Hur förebygger interna kontrollsystem ekonomisk brottslighet?

Hur förebygger interna kontrollsystem ekonomisk brottslighet?

En kvalitativ utredning om sex börsnoterade företags samt två experters syn på interna kontrollsystem och hur dessa förebygger ekonomisk brottslighet.

Anna Boqvist Michael Lundin

oegentligheter. Istället ligger fokus på hur företag efter bästa förmåga kan förebygga ekobrott.

Börsnoterade företagens interna kontrollsystem har fått ytterligare uppmärksamhet på senare år genom problematiken kring agentteorin, svensk kod för bolagsstyrning och inte minst det ökande antalet anmälningar av ekonomisk brottslighet i Sverige på senare år. Ökningen kan sägas bero på en rad faktorer, där motiv, möjlighet och rationalisering är tre viktiga delar.

Svenska företag försöker idag motverka ekobrott genom preventiva, detektiva samt reaktiva metoder vilka ofta också verkar i symbios. Detta görs både genom hårdare kontrollmiljöer i form av exempelvis stickprov och attestrutiner, men också med ökat fokus på mjukare

kontroller i form av uppförandekoder och spridandet av en god företagskultur. Här ser företag idag ett ökat behov av förändringar, gällande exempelvis belöningssystemen och den interna informationsspridningen. Interna kontrollsystem är dock resurskrävande, varför företag hela tiden måste göra en avvägning om huruvida nyttan av kontrollen uppväger eller överstiger dess kostnad.

Sammantaget kan sägas att de undersökta företagen upplever att de hårdare kontrollerna är effektiva, men behöver ses över regelbundet samtidigt som mer resurser med fördel kan läggas på de mjukare kontrollerna. Dock är det viktigt att de hårda och mjuka kontrollerna samverkar för att kostnadseffektivt bekämpa ekonomisk brottslighet.

Hur  förebygger  interna  kontrollsystem  ekonomisk  brottslighet?  ...  1

1.  Inledning  ...  1

1.1 Bakgrund  ...  1

1.2 Tidigare utredningar  ...  2

1.3 Problemdiskussion  ...  3

1.4 Syfte  ...  3

3.  Teoretisk  Referensram  ...  4

3.1 Agentteorin  ...  4

3.2 Intern kontroll  ...  5

3.2.1. Internkontrollens hårdare värden  ...  7

3.2.2. Internkontrollens mjukare värden  ...  8

3.3 Svensk kod för bolagsstyrning  ...  8

3.4 Cost-Benefit Analys...  9

3.5 Ekonomisk brottslighet  ...  10

3.6 Sammanfattning av den teoretiska referensramen  ...  12

4.  Metod  ...  14

4.1 Ansats  ...  14

4.2 Val av metod  ...  14

4.3 Urval  ...  14

4.4 Bortfall  ...  15

4.5 Datainsamling  ...  15

4.6 Operationalisering  ...  16

4.7 Tidsperiod  ...  16

4.8 Informationens tillförlitlighet  ...  17

4.9 Metoddiskussion  ...  17

4.10 Litteraturkritik  ...  18

5.  Empiri  ...  19

5.2. Hur ser KPMG:s Forensic-avdelning på sambandet mellan svenska börsnoterade

företags interna kontrollsystem och ekobrott?  ...  20

5.3 Medverkande företag  ...  22

5.4 Medverkande företagens syn på interna kontrollsystem  ...  23

5.4.1. Hur ser Ni på era interna kontrollsystem?  ...  23

5.4.2. Internkontrollens mjuka och hårda värden  ...  24

5.4.3. Riskutvärdering  ...  24

5.4.4. Utveckling av interna kontrollsystem de senaste tio åren  ...  25

5.5 Medverkande företagens syn på ekonomisk brottslighet  ...  26

5.5.1. Hur ser Ni på ekonomisk brottslighet?  ...  26

5.5.2. Bakgrunden till ekonomisk brottslighet  ...  26

5.5.3. Utvecklingen av ekonomisk brottslighet de senaste tio åren  ...  27

5.6 Hur ser Ni på sambandet mellan interna kontrollsystem och ekobrott samt dess utveckling de senaste tio åren?  ...  28

6.  Analys  ...  30

6.1 Interna kontrollsystem...  30

6.2 Ekonomisk brottslighet  ...  32

6.3 Samband mellan interna kontrollsystem och ekonomisk brottslighet  ...  33

7.  Slutsatser...  35

8.  Förslag  till  vidare  forskning  ...  36

Referenslista  ...  37

Bilaga  1  ...  40

Bilaga  2  ...  43

1. Inledning 1.1 Bakgrund

De senaste åren har det skett en tydlig ökning av anmälningarna gällande ekonomisk brottslighet (ekobrott). Enligt kriminalstatistik från Brottsförebyggande rådet (Brå) har antalet anmälningar gällande ekobrott stigit från ca 7000 anmälningar första halvåret 2007 till 11000 motsvarande period 2008. Majoriteten av de brottsmisstankar som Ekobrottsmyndigheten utreder rubriceras som bokförings- eller skattebrott (Ekobrottsmyndigheten, 2008 s. 4f). Det är ofta anställda med hög befattning som begår ekobrott (PWC, 2009) Med anledning av detta avser författarna att utifrån ett företagsledningsperspektiv undersöka eventuella samband mellan interna kontroller och ekonomisk brottslighet under de senaste tio åren.

Ökningen av ekobrott kan delvis förklaras av att sämre ekonomiska tider ofta medför en ökning av ekobrott som exempelvis bedrägerier. Dessutom blir företag mer kostnadsmedvetna och upptäcker därmed lättare ekobrott (Ekobrottsmyndigheten, 2009, s. 2ff). I kontrast till Ekobrottsmyndighetens undersökningar kan dagens lågkonjunktur enligt PWC även ha bidragit till att färre ekobrott uppdagas då många företag varit tvungna att skära ned på kontrollverksamheten, varför oegentligheter inte fångas upp i samma utsträckning som tidigare. Det är också tydligt att företag som konsekvent och kontinuerligt undersöker och följer upp riskerna för ekonomisk brottslighet i den egna verksamheten med hjälp av de interna kontrollerna finner fler oegentligheter. (PWC, 2009, s. 3).

Olika typer av ekobrott kräver olika brottsförebyggande åtgärder. Här kan bland annat nämnas regleringar, val av kontroll- och rättskedja samt interna kontrollsystem. Dessa åtgärder mot ekobrott kan ses som bristfälliga, vilket ytterligare betonar vikten av och intresset för en undersökning av ämnet (Brottsförebyggande rådet, 2003, s. 6). Detta förstärks ytterligare av Ekobrottsmyndighetens som anser att det även utom juristernas intresse finns efterfrågan om bred redovisning om brott och brottsföljder av ekonomisk brottslighet. /Dahlqvist, 2004, s.

15)

Bakgrunden till ekobrott utgörs ofta av missnöje, personlig press eller tillgång till sekretessbelagd information rörande företagets interna kontrollsystem. I sin tur skapas också en förutsättning för att personer, vanligtvis med hög befattning, begår ekobrott (Ekobrottsmyndigheten, 2009, s. 2ff). Att det ofta är personer med hög befattning som begår

ekobrott är även något soP 3:&V VWXGLH ´7KH *OREDO (FRQRPLF &ULPH 6XUYH\´ YLVDU Sn

(PWC, 2009).

Vad är då ekonomisk brottslighet? Detta är ett svårtdefinierat begrepp, varför författarna utifrån den teoretiska referensramen har utarbetat en egen definition som lyder;

´'nHQHOOer flera personer på otillbörligt sätt tillförskansar sig något av ekonomiskt värde IUnQHQQlULQJVYHUNVDPKHW´

Företag   kan   till   viss   del   förebygga   ekobrott,   men   riskerar   alltid   att   utsättas   för   bedrägerier   eftersom   de   aldrig   kan   implementera   system   som   helt   eliminerar   ekonomisk   brottslighet   enligt   Martin   Krüger,   chef   för   KPMG   Forensic.   Krüger   betonar   dock  att  det  finns  många  förebyggande  åtgärder  som  ett  företag  kan  vidta,  exempelvis   goda   riskanalyser   (KPMG   2007).   Här   är   det   också   viktigt   att   poängtera   att   inte   bara   prioritera  de  hårda  värdena  inom  interna  kontrollsystem,  utan  också  mjuka  värden  som   företagskultur.   Enligt   Henk-­‐Anne   Rijpma,   specialist   på   KPMG   Forensic,   är   det   en   kombination   av   hårda   och   mjuka   värden   som   både   kan   möjliggöra   samt   motverka   ekobrott  (Rijpma,  2009).    

1.2 Tidigare utredningar

Tidigare undersökningar visar att den ekonomiska brottsligheten i Sverige fortsatte att öka år 2008 och KPMG spår att även år 2009 kommer att bli ett svart rekordår. En stark trend är att antalet interna bedrägerier har uppvisat en markant ökning, vilket torde vara en varningssignal för svenska företag. (KPMG, 2009) Enligt Brottsförebyggande rådet finns det flera orsaker till att antalet anmälningar av ekobrott ökar i Sverige i dagsläget. (Brottsförebyggande rådet, 2009)

I en undersökning från 2007, hade en fjärdedel av 76 svenska företag, under de senaste två åren utsatts för någon typ av ekobrott. Undersökningen visade även att de största företagen, såväl svenska som utländska fortsatte att rapportera ekobrott. Av de företag som har fler än 5000 anställda har över 60 % sedan 2003 berättat att de någon gång utsatts för ekonomisk brottslighet. Detta i kombination med skärpta regelverk, företagsskandaler och en hårdare tillsyn har lett till att i synnerhet de största företagen har investerat i diverse brottsförebyggande samt upptäckande funktioner. (PWC, 2007, s. 2)

Vanligt förekommande är att anmälda brott upptäcks av en slump snarare än som en följd av medvetna åtgärder från företaget. År 2007 upptäcktes 45 % av brotten till följd av tillfälligheter eller interna och externa tips och mörkertalen är troligtvis mycket höga.

Internrevision, whistle blower-funktioner¹ samt lösningar för detektionssystem uppgavs vara mest effektiva bland de inrättade kontrollfunktionerna. (Ibid. 2007, s. 4)

1.3 Problemdiskussion

Ekonomisk brottslighet drabbar fler än det enskilda företaget som utsätts och förekomsten av ekobrott ökar historiskt sett. Sammantaget skapar detta ett ökat antal intressenter och därmed en ökad betydelse av att förebygga ekobrott. Företag kan motverka ekobrott med hjälp av deras interna kontroller, vilka kan sägas uppvisa bristfälligheter som kan minskas. Detta trots införandet av svensk kod för bolagsstyrning och företagens etablerade kontrollsystem. Inom ramarna för svenska interna kontrollsystem ryms ett mörkertal, vilket kan komma att kosta företagen både ekonomiskt samt publicitetsmässigt. Här kan exempelvis Enron omnämnas, vars skandaler antas ha kostat över 10 billioner amerikanska dollar och resulterade i konkurs.

(Elkind, McLean, 2003)

Härigenom upplevs en efterfrågan efter undersökningar gällande hur interna kontrollsystem kan förebygga ekonomiska oegentligheter. Detta kan behjälpas i denna undersökning genom det jämförelseunderlag som skapas för företagen, vilket ämnar underlätta för företag att utvärdera sina interna kontroller och upptäcka eventuella förbättringsområden.

1.4 Syfte

Syftet med uppsatsen är att utifrån ett företagsledningsperspektiv utreda hur svenska bolag upplever att sina respektive interna kontrollsystem förebygger ekonomisk brottslighet samt dess utveckling de senaste tio åren. Med bakgrund av tidigare forskning och studerade teorier formulerades följande forskningsfråga;

Hur  ser  anställda  med  ledande  befattningar  i  svenska  bolag  på  interna  kontrollsystem,   dess  samband  med  ekonomisk  brottslighet  och  utvecklingen  av  dessa  under  de  senaste  

tio  åren?    

Utifrån  detta,  samt  ytterligare  underlag  från  specialister  på  området,  kan  interna   kontrollsystem  förebygga  ekobrott  och  i  så  fall  hur  ser  detta  samband  ut?

1 (QZKLVWOHEORZHUlUHQVDQQLQJVVlJDUHVRP´EOnVHULYLVVHOSLSDQ´I|UDWW påvisa att något inte står rätt till. Detta är ofta personer som med specifik expertis eller arbetsuppgifter inom en organisation (Rudström, 2007)

3. Teoretisk Referensram 3.1 Agentteorin

I publika bolag uppstår så kallade agentproblem eftersom ägar- och ledningsfunktioner är åtskilda. Anledningen till att agentproblem uppstår är att ägarna inte vet hur de ska försäkra sig om att den anställda företagsledningen agerar i ägarnas bästa intresse istället för sina egna.

(Urwitz, 2009, s. 739)

I ett aktiebolag överlåts kontrollen över diverse resurser som exempelvis egendom, kapital eller potentiella affärsmöjligheter från aktieägarna till styrelsen och företagsledningen.

Relationen mellan de parter som förser företaget med resurser och de som förvaltar dessa brukar beskrivas som en agent-/principalrelation där de som förser företaget är principals och förvaltarna är agents. Agentkostnader uppstår när principalerna måste övervaka agenterna.

Denna relation anses ofta ha ett högt förklaringsvärde i bolagsordningssammanhang (Keisu, Stattin, 2009). Agenten och principalens relation brukar normalt förklaras utifrån tre olika typer av kostnader;

x Övervakningskostnader: Uppstår när principalen måste övervaka att agentens handlande överensstämmer med principalens intressen och målsättningar. Exempel är bland annat revisionen då revisorn granskar att företagets förvaltning är i enlighet med aktieägarnas intressen och mål.

x Samordningskostnader: Kostnader förenade med att bevara och anpassa relationen mellan principalen och agenten. Ett exempel är incitamentsprogram för att motivera företagsledningen att arbeta i linje med aktieägarnas intressen.

x Residualkostnader: Kostnader som uppkommer på grund av förluster när agenten inte agerar i principalen bästa intresse trots övervakning och samordning. Exempel på denna typ av kostnad är när företagsledningen exempelvis begår brott som förskingring trots incitamentsprogram och revision.

(Sevenius, 2007)

Ur aktieägarnas synvinkel är det viktigt att styrelsen och företagsledningen övervakar deras resurser men också att övervakningen av styrelsen och företagsledningen sker effektivt.

Orsaken till detta är att styrelsen och i synnerhet företagsledningen har skilda incitament från aktieägarna. Aktieägarnas mål är att få avkastning på sitt satsade kapital och sprider ofta sina

risker på flera investeringar vilket gör att de anses ha relativt hög riskvillighet.

Företagsledningen å andra sidan får oftast sin huvudsakliga inkomst från lön och förmåner av företaget och vill inte riskera detta och anses därför ofta vara mindre riskbenägna än aktieägarna. (Keisu, Stattin, 2009)

3.2 Intern kontroll

Begreppet intern kontroll har olika innebörd beroende på vem som tillfrågas. Under 1980- och 1990-talen växte behovet av en allmän och heltäckande definition av intern kontroll fram, vilket ledde till att olika ramverk utvecklades framförallt i de anglosaxiska länderna (FAR 2006, s. 7). Det ramverk som fått störst utbredning samt blivit mest erkänt heter Internal Control ± Integrated Framwork. Ramverket introducerades 1992 av The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Deras definition lyder:

Intern kontroll är en process som påverkas av styrelsen, bolagsledningen och annan personal, och som utformats för att ge en rimlig försäkran om att bolagets mål uppnås inom följande kategorier:

x Ändamålsenlig och effektiv verksamhet (operations) x Tillförlitlig finansiell rapportering (financial reporting)

x Efterlevnad av tillämpliga lagar och förordningar (compliance) (FAR 2006, s. 7)

COSO framhåller att intern kontroll inte är avgränsad enbart till det dagliga arbetet, som attestering av fakturor, utan påverkar samtliga kontroller på alla nivåer inom företaget. För att möjliggöra och vidmakthålla en bra intern kontroll har COSO-ramverket listat ett antal komponenter som krävs inom de ovan nämnda kategorierna, samt för att efterleva reglerna i koden gällande intern kontroll och finansiell rapportering (Svernlöv, 2008, s. 151f). För att lyckas med detta rekommenderar COSO att man arbetar utifrån en riskanalys med utgångspunkt i verksamhetens mål och yttre krav. Detta efterföljt av riskhantering med hjälp av en god kontrollmiljö och ett antal kontrollåtgärder med stöd av bra information och kommunikation i organisationen samt en effektiv uppföljning av internkontrollen (Tunbjörk, Wiklund, 2009). Dessa presenteras i Modell 1 och komponenterna beskrivs ytterligare nedan.

Modell 1

(hämtad från COSO, 2008, figure 1, s. ³,QWHUQDO&RQWURO± Integrated Framework)

Modellen består av fem sammankopplade och lika viktiga delar. Fyra komponenter relaterar till det interna kontrollsystemets design och användande. Dessa innefattar kontrollmiljön (control environment), riskbedömning (risk assessment), kontrollaktiviteter (control activities), information och kommunikation (information & communication). Den femte komponenten uppföljning och övervakning (monitoring) syftar till att säkerställa att den interna kontrollprocessen är effektiv samt av hög kvalitet. (COSO, 2008 s. 1)

Kontrollmekanismerna i kontrollaktiviteter är detaljerade, exempelvis en kontroll av att en faktura är korrekt konterad. Övriga fyra dimensioner är av mer övergripande karaktär och täcker in hur verksamheten styrs, exempelvis genom riktlinjer och kvartalsvisa uppföljningar (Svernlöv, 2008, s. 152f). COSO-regelverket beskriver ramverkets olika delar mer detaljerat, vilket följer nedan.

3.2.1. Internkontrollens hårdare värden

Kontrollmiljön är basen för de övriga komponenterna och påverkar samtliga tre mål med internkontroll samt alla ytterliga kontrollkomponenter. Kontrollmiljön återspeglar företagets styrelse och företagslednings inställning till intern kontroll samt vilka åtgärder de vidtar för att upprätthålla denna (Moeller. 2007, s. 158). En effektiv kontrollmiljö stöttar och förstärker de övriga kontrollkomponenterna, medan en ineffektiv underminerar de övriga elementen och gör dem oanvändbara. I en effektiv kontrollmiljö vet de anställda att de förväntas göra vad som är rätt och får stöd av sina chefer även vid tillfällen då rätt agerande kan vara skadligt för verksamheten. I en svag miljö blir kontrollfunktioner ofta åsidosatta vilket öppnar för möjligheter till bedrägeri (Ligthle, Castellano & Cutting 2007).

Alla bolag står inför olika risker, både internt och externt som måste undersökas. Ett förhandskrav för att utvärdera risker är att etablera mål som är kopplade till olika nivåer samt är konsekventa. Syftet med detta är att identifiera och analysera risker som är relevanta för att uppnå målen och ligger till grund för att bestämma hur dessa risker skall hanteras. Flexibla processer är nödvändiga för att identifiera och tillmötesgå de speciella risker som är förknippade med ekonomisk -, industrimässig -, regelverksmässig - och operationell utveckling då dessa områden ständigt förändras. (COSO, 2008, glossary 6)

Kontrollaktiviteter är de policys och processer som hjälper ledningen att säkerställa att deras direktiv efterlevs. De ser till att nödvändiga åtgärder tas för att möta risker mot organisationens mål. De utförs på samtliga nivåer, inom alla funktioner och innefattar en rad aktiviteter som verifikationer och olika ansvarsområden etc. (Ibid. glossary 1)

Information och kommunikation inom organisationen är viktig. Detta för att korrekt information skall kommuniceras i rätt form och inom rätt tidsram för att möjliggöra för personalen att utföra sina åtaganden. Informationsspridning nedåt i organisationen samt återrapportering till ledningen gällande hur personalen efterlever de regler och policys som företaget instiftat är också en viktig del. (Ibid. glossary 4)

COSO-modellen tar hänsyn till att kontrollprocesser och övriga system förändras över tiden.

Att en process är effektiv idag är ingen garanti för att den ska vara det i framtiden på grund av förändrade yttre faktorer, ny personal, nya system och processer. För att säkerställa att de interna kontroller är effektiva är det viktigt att det finns ett system för att utvärdera dessa och vidta åtgärder när en förändring är nödvändig. Denna typ av uppföljning och övervakning

(monitoring) kan möjliggöras både genom en serie av separata utvärderingar samt genom löpande processer. (Moeller 2007, s. 173)

3.2.2. Internkontrollens mjukare värden

Företagets integritet och etiska värderingar utgör väsentliga delar av kontrollmiljön. Dessa bygger ofta på den attityd som kommuniceras ifrån företagsledningen. Om företaget exempelvis har utvecklat en stark uppförandekod som betonar integritet och etiska värderingar och samtliga intressenter verkar följa denna så kan företaget sägas ha en god uppsättning av etiska värderingar samt god integritet. En uppförandekod är en viktig del av företagsstyrning, men anställda kan ofta bryta mot denna både på grund av okunskap och genom ett medvetet beteende. Många gånger vet inte anställda om att de gör något fel utan tror att de handlar i företagets bästa intresse. Detta beror vanligtvis på bristande styrning från ledningen snarare än den enskilde anställdes uppsåt att bedra. Ett företags policys och värderingar måste kommuniceras till alla nivåer i företaget och om detta görs korrekt uppmuntras de anställda att agera korrekt. Om uppförandekoden är förlegad, inte tar upp viktiga etiska problem inom företaget eller om ledningen inte på regelbunden basis upplyser samtliga intressenter om denna, kommer kontrollmiljön försvagas. De typer av frestelser som kan uppmuntra intressenter att begå brott är icke-existerande eller ineffektiva kontroller, hög decentralisering, en svag internrevision och icke kännbara straff för ett felaktigt beteende.

(Moeller 2007, s. 159f)

3.3 Svensk kod för bolagsstyrning

Med ett allt mer spritt ägande på den svenska aktiemarknaden ges ägarna minskat inflytande i företagen, vilket också leder till agentproblem enligt agentteorin. Detta är en global trend som råder i Sverige, vilken under de senaste årtiondena fått fäste i västvärlden och resulterat i en kod för bolagsstyrning (Urwitz, 2009, s. 738). Det första steget mot koden togs då Förtroendekommissionen utnämnde en expertgrupp, bestående av representanter ifrån näringslivet och Förtroendekommissionen, med uppdrag att utarbeta en svensk bolagsstyrningskod. Den 1 juli 2005 infördes koden och i anknytning till detta grundades Kollegiet för Svensk Bolagsstyrning (fortsättningsvis Kollegiet) (Keisu 2009, s. 721f). Vid införandet blev koden en del av Stockholmsbörsens noteringsavtal, vilken gällde samtliga bolag med ett börsvärde på mer än tre miljarder kronor (Urwitz 2009, s. 738).

Det huvudsakliga syftet med koden är att förbättra bolagsstyrning i svenska företag och den riktar sig främst till börsnoterade företag med avsikt att öka ägarnas inflytande (Fritzes, 2005).

Kollegiet presenterade ett förslag till revidering av koden i maj 2008 vilken trädde i kraft den 1 juli 2008. Denna ändring innebar bland annat att koden inte längre gällde enbart för de största börsbolagen utan för samtliga. Koden fungerar som en självreglering och används enligt en comply or explain-princip. Innebörden av principen är att ett bolag kan välja mellan att följa en regel eller avvika från den, och i så fall bestämma sig för en alternativ lösning, om bolaget redogör för denna samt anger varför detta skett. Syftet med principen är att nivån på regleringen kan sättas högre än om regleringen hade varit tvingande. Anledning till detta är att koden vid tvingande reglering hade varit tvungen att ligga på en nivå som alla bolag kan uppnå (Keisu, 2009 s. 720ff).

Koden anger att det är styrelsen som är ansvarig för ett företags interna kontroll vars främsta mål är att skydda aktieägarnas investering och företagets tillgångar. Styrelsen skall även se till att det förekommer formaliserade rutiner för att se till att bestämda principer gällande finansiell rapportering och internkontroll följs samt att företagets finansiella rapportering har upprättats i enlighet med lag, tillämpliga redovisningsstandarder och övriga krav på noterade bolag. (Svensk kod för bolagsstyrning, 2008, s. 22)

Reglerna för internkontroll syftar till att anpassa svenska styrelsers arbete i börsnoterade bolag för att möta en internationell utveckling inom detta område. Kodgruppen betonar i synnerhet att reglerna ur ett internationellt perspektiv har betydelse för förståelsen av förvaltningsrevisionen i Sverige. Det har bland annat framförts önskemål om förtydliganden gällande innebörden av internkontroll samt att ansvaret för den interna styrningen och kontrollen inte huvudsakligen vilar på internrevisorn. Eftersom detta är ett område där praxis är i behov av tid för att utvecklas och det krävs bra förebilder för hur rapporteringen och granskningen ska ske har reglerna dock hållits kortfattade. (Svernlöv, 2005)

3.4 Cost-Benefit Analys

Innebörden av F$5VIRUPXOHULQJ´JHHQULPOLJI|UVlNUDQ´VlU att de kostnader som är relaterade till den interna kontrollen måste hållas på en rimlig nivå i relation till verksamhetens omfattning och övriga omständigheter. Följaktligen bör omfattningen och designen av de interna kontrollerna bestämmas med utgångspunkt i en väsentlighets- och riskbedömning (Haglund, Sturesson & Svensson, 2001, s. 18). Syftet med en riskbedömning är att urskilja verksamhetens viktiga processer, vilka eventuella risker och konsekvenser som är förknippade med dessa samt till vilken mån ett företag kan kontrollera dem. Väsentlighet

syftar bland annat till vilka ekonomiska och verksamhetsmässiga konsekvenser som kan uppstå vid eventuella brister och fel i processerna (Ibid. s. 33).

3.5 E konomisk brottslighet

Inom kriminologin har otaliga försök gjorts att formulera en tydlig definition av begreppet ekonomisk brottslighet (Dahlqvist, 2004, s. 15). Det går dock inte att utförligt tydliggöra vilka brott som aktualiseras i samband med näringsverksamhet. Vissa brott, som bokföringsbrott, kan endast begås inom näringsverksamhet, medan exempelvis borgenärsbrott, är vanliga i näringsverksamhet men kan ske varsomhelst i samhället. Utöver dessa finns det bedrägeribrott av olika slag, vilka kan förekomma både inom och utom näringsverksamhet.

Till sist förekommer också brott inom värdepappershandel, såsom insiderbrott vilket förutsätter en viss näringsverksamhetsinblandning (Ibid. s. 23f).

För att ett brott per definition skall ha ägt rum krävs det såväl subjektiva som objektiva rekvisit. De objektiva rekvisiten vid bedrägerier består i ett vilseledande förfarande som får den vilseledda att handla eller underlåta att handla på ett visst sätt, vilket resulterar i en ekonomisk vinst för bedragaren samt en motsvarande förlust för den som blivit vilseledd. De subjektiva rekvisiten kräver även ett uppsåt hos gärningsmannen. (Ibid. s. 19f)

Ekobrott innefattar således flera typer av brott som riktas mot samhällets centrala ekonomiska system (Polisen, 2009). Detta uppmärksammades på allvar i Sverige på 1990-talet, då en medvetenhet om att svenskar var relativt dåligt beskyddade mot ekobrott spred sig. Efter detta har ekobrott fått större fokus, bland annat genom att Ekobrottsmyndigheten grundades år 1998. (Alvesalo, A & Tombs, S, 2001) Ekobrott bekämpas idag av både Ekobrottsmyndigheten, vars åsikter kring ämnet återkommer i den empiriska delen av utredningen, samt av ett kansli för ekobrott vilka tillsätter poliser till Ekobrottsmyndighetens hjälp (Polisen, 2009).

Det finns flera orsaker till att antalet anmälningar av ekobrott ökar i Sverige i dagsläget. Det kan delvis härledas till myndigheternas aktivitet inom sina kontrollsystem. Ekobrott begås vanligtvis av medelålders män inom en och samma näringsverksamhet. Brotten klaras ofta upp vilket kan förklaras av att det vanligtvis finns misstanke om vem som är skyldig när anmälan görs. (Brottsförebyggande rådet, 2009)

Enligt Oskar Engdahl, forskare vid Göteborgs universitet, används ekobrott ofta som ett sätt att dölja eller att förebygga en ekonomisk kris. Han syftar framförallt på ekonomiska

bedrägerier som ett sätt för kapitalförvaltare att upprätthålla social och ekonomisk status i sin karriär. (Engdahl, 2009)

En annan typ av ekonomiska bedrägerier förekommer inom betalningsfunktioner, vilket ses som oundvikligt med dagens betalningssystem. Detta anser den före detta direktören för Federal Reserve Information Technology, Bruce J. Summers. Han hävdar att marknadens incitament och mekanismer inte lyckas fånga bedrägerier och andra operationella risker till den grad att betalningsfunktionen idag är optimerad. (Summers, B, 2009)

Ekonomiska bedrägerier kan således bero på en rad faktorer, vilket KPMG presenterar i en bedrägeritriangel innehållande följande faktorer; möjlighet, motiv samt rationalisering vilka visas i modell 2 nedan

Modell 2

Möjlighet

Motiv Rationalisering

± Möjligheten att genomföra bedrägerier uppstår på grund av brister i den interna kontrollen, vilket företag prioriterar i sina förebyggande åtgärder. Trots kontrollerande åtgärder förkommer dock möjligheter till ekonomiska bedrägerier till stor del på grund av en tillit emellan företags anställda.

± Motiv för ekonomiska bedrägerier kan uppkomma på en rad sätt. Häribland ryms ekonomisk press hos individen, högt uppsatta ekonomiska mål samt girighet.

± Rationalisering utvecklas hos bedragaren och är den process som försvarar den kriminella handlingen genom att bedragaren anser sig vara värd denna form av belöning från sin arbetsgivare. (KPMG, 2007, s. 3)

Dessa tre faktorer kan och bör förebyggas, vilket är möjligt på olika sätt. Åtgärderna kan grovt delas in i olika stadier, vilka presenteras nedan och ryms inom bolagens interna kontroll.

Företag kan internt förhindra ekobrott preventivt, detektivt samt reaktivt. Det preventiva tillvägagångssättet bygger på återkommande kontroller och styrdokument, det detektiva utgår ifrån speciella granskningar, analyser samt anpassad granskning medan de reaktiva åtgärderna innefattar riktlinjer för åtgärder, rapportering samt skademinskning vid ekonomiska oegentligheter (Ekobrottsmyndigheten, 2009, s. 6ff.) Dessa presenteras i modell 3 och används vidare som en indelning av olika typer av åtgärder.

Modell 3

Det krävs med andra ord en rad brottsförebyggande åtgärder, vilka ställer krav på de interna kontrollsystem i svenska företag och som utgör fokus för utredningen.

3.6 Sammanfattning av den teoretiska referensramen

Företag kan minimera risken för ekobrott på ett preventivt, detektivt samt reaktivt tillvägagångssätt. Detta med hjälp av ett effektivt internt kontrollsystem vilket består av både mjuka och hårda värden i form av exempelvis uppförandekoder och stickprovskontroller. I och med införandet av svensk kod för bolagsstyrning fick börsnoterade företags styrelser ett utökat ansvar för den interna kontrollen. Diskussionerna kring bolagsstyrning grundar sig i agentteorin, och är, precis som internkontroller, resurskrävande, varför en kostnadsanalys är lämplig. Ekobrott är svårdefinierat och det finns många bakomliggande orsaker, vari den bakomliggande möjligheten, motivet samt rationaliseringen bör nämnas.

Genom dessa teoretiska referenser utarbetas ett förhållningssätt till den empiriska delen, vilken grundar sig i hur interna kontrollsystem fungerar för att förebygga den ökande

Detektivt  

Reaktivt  

Preventivt  

ekobrottsligheten. Utifrån teoriavsnittet skapas en rad frågor till Ekobrottsmyndigheten samt KPMG och därefter skapas ytterligare frågor till de medverkande företagen. Härigenom skapas ett ramverk för den avslutande analysen, utifrån likväl empirisk som teoretisk data.

Som grund ligger modell 4 (se nedan), vilket utgör en sammanfattande teoretisk referensram för denna utredning. Här belyses att interna kontrollsystem påverkas av en rad faktorer, både inom samt utom kontrollsystemets ramar, vilket sedan utvärderas kostnadsmässigt. Härefter vidtas eventuella kostnadseffektiva åtgärder, vilket resulterar i den kontrollmiljö där ekonomiska oegentligheter uppstår samt förebyggs.

Modell 4

    Svensk  kod  för  

bolagsstyrning   Agentteorin  

Interna  

kontrollsystem  

Cost-­‐Benefit-­‐analys  

Preventivt     Detektivt     Reaktivt  

Möjlighet   Motiv   Rationaliserin

g   Mjuka  

värden   Hårda  

värden  

4. Metod 4.1 Ansats

Utredningen syftar till att utifrån den information som samlats in ifrån de personliga intervjuerna med företagsrepresentanter i ledande befattningar, undersöka sambandet mellan interna kontroller och ekobrott de senaste tio åren. För att kunna identifiera ett eventuellt samband mellan dessa har den teoretiska referensramen testats utifrån insamlad information vid åtta intervjutillfällen. Utredningen utgår ifrån företagsledningens syn på ekobrottshantering, vilket är relevant då det vanligen är personer med hög befattning som begår ekobrott (PWC, 2009, s. 2). Dock kan detta ge en något snedvriden bild av situationen inom företagen, vilket diskuteras ytterligare i metoddiskussionen nedan. Författarna ämnar också att med utredningen skapa ett jämförelseunderlag vilket kan nyttjas av svenska bolag vid utvärderingar av deras interna kontroller samt påvisa eventuella förbättringsåtgärder de kan vidta.

4.2 Val av metod

Genom att åtskilja ekonomiska utredningar i kvantitativa eller kvalitativa undersökningar förenklas arbetet. Kvantitativa undersökningar innefattar, till skillnad från kvalitativa, tydliga mått och betonar kvantitet både i insamling som analys av data (Bryman, Bell 2007, s. 28ff).

Undersökningen studerar företagsledningars syn på internkontroll och ekobrott samt dess samband med varandra. Dessa innefattar subjektiva och kvalitativa mått som är relevanta för utredningen, vilket utelämnas om man endast ser till kvantitativa mått. Därför krävs istället ett kvalitativt förhållningssätt där tyngdpunkten läggs på ord och dess betydelse i såväl insamling som analys av information. Den kvalitativa strategin förkastar också användandet av naturvetenskapliga metoder i samhällsvetenskapliga sammanhang (Ibid. s. 28ff), vilket även är i linje med vår ansats som lägger vikt vid den subjektiva faktorn i utredningens gång.

4.3 Urval

De sex medverkande företagen ryms inom bank-, försäkrings-, tillverknings- samt fordonsindustrin, vilka också presenteras i empirin. Företagen tillkom slumpmässigt inom en urvalsgrupp som avgränsades till svenska företag i olika branscher vilka var noterade på Stockholmsbörsen. Urvalet utgör ett stickprov av samtliga företag listade på Stockholmsbörsens listor small-, mid-, och large cap. Företagen är verksamma inom olika branscher och är av olika storlek vilket är gynnsamt för undersökningen då det ger en bredare bild av olika företags syn på ämnet för undersökningen.

4.4 Bortfall

Anledningarna till att företag tackade nej till att medverka var flera, där vissa hänvisade till tidsbrist och andra till att denna typ av information var konfidentiell. En problematik med bortfallet kan vara att de icke medverkande företagen eventuellt har erfarenheter kring ämnet som de inte ville sprida vidare, vilket diskuteras i metoddiskussion nedan.

4.5 Datainsamling

I det initiala skedet av utredningen utformades ett standardiserat e-postmeddelande, vilket skickades ut till 45 aktiebolag noterade på Stockholmsbörsen listor för små, mellanstora och stora bolag. Författarna kontaktade 45 företag då de ville kontakta lika många företag (15 stycken) på vardera börslista, för att kunna ge en mer generell bild av svenska börsnoterade företags syn på ämnet. Då utredningen syftade till att djupgående studera företagsrepresentanternas syn på ämnet var det fördelaktigt att ha ett begränsat antal intervjuer, där intervjuresultaten analyseras på djupet. Eftersom undersökningen hade en begränsad tidsram var författarna av uppfattningen att sex stycken intervjuer skulle vara genomförbart samt ge en övergripande bild av hur dessa företag ser på ämnet samt göra en analys kring detta. I syfte att inte låta undersökningen påverkas av författarnas förutfattade meningar om vissa företag, valdes företagen ut slumpmässigt genom att de sex första företag som svarade på förfrågan också intervjuades. Samtliga deltagande företag tilldelades sedan maximalt en tvåtimmarsintervju där tidsutrymme fanns för samtliga respondenter att uttala sig på alla intervjufrågor.

Viktigt att vara medveten om är inte bara vilka företag som valde att avstå och orsaken till detta, utan också de medverkande företagen och deras bakomliggande orsaker till sitt deltagande. Eventuellt hade de för avsikt att förbättra sina kunskaper på området eller så ansåg de sig kunna bidra till området för andra medverkande. Oavsett är det viktigt att ha i åtanke att detta kan ha påverkat företagens svar.

Då vår uppsats är av kvalitativ karaktär är det fördelaktigt att genomföra samtalsintervjuer (Esaiasson 2007, s. 285). Alla intervjuer var semistrukturerade och genomfördes på respektive respondents kontor. Detta möjliggjorde för författarna att ställa följdfrågor samt att respondenterna kunde uppmärksamma områden kring forskningsfrågan som utredningen annars riskerat att utelämna ifall den enbart utgått från frågeformulär eller enkäter.

Den empiriska utredningen inleddes med att intervjua Henk-Anne Rijpma, en specialist från KPMG som arbetar med interna kontroller på företagets Forensic-avdelning samt Henrik Lundin, ekorevisor på Ekobrottsmyndigheten. Detta bidrog med likväl sakkunskaper som erfarenheter. Efter att ha tagit del av deras kommentarer och åsikter på området följde sex stycken intervjuer med företagsrepresentanter ansvariga för olika säkerhetsfrågor inom företagens respektive interna kontrollsystem.

4.6 Operationalisering

För att göra studien mätbar delades de två forskningsfrågorna och syftet upp i ett antal undersökningspunkter vilka presenteras i empiri- och analysavsnittet. Dessa vävs sedan samman genom att besvara frågorna i analysen.

I ett tidigt skede skickades förfrågningar till utvalda företag. För att skapa sig en bättre uppfattning om eventuella problem som kunde vara av intresse för undersökningen studerade författarna först en rad teorier inom ämnet. Dessa sammanställdes i en teoretisk referensram (modell 4) vilken efterföljs genom utredningen, då fokus ligger på hur interna kontrollsystem kan förebygga ekobrott utifrån en rad teorier kring ämnet.

Härigenom skapades en förståelse för att interna kontroller inte till fullo lyckats förebygga ekobrott, samtidigt som antalet uppdagade ekobrott ökat på grund av en rad faktorer. Detta avsåg författarna att testa genom empirisk data, vilken tar sin början i två intervjuer med en expert från KPMG och en från Ekobrottsmyndigheten (se bilaga 1 för frågeformulär). På detta vis fick undersökningen en ytterligare dimension då företagsrepresentanternas svar kunde ställas i kontrast till externa parter som är verksamma inom området. Utifrån studerade teorier, tidigare forskning och information från de två initiala intervjuerna utarbetades ett intervjufrågeformulär för företagen (se bilaga 2). Resultatet av intervjuerna sammanställdes i empirin under de olika undersökningspunkterna för att underlätta för läsaren att ta åt sig den information som givits från respondenterna. Författarna har slutligen utifrån relevanta teorier analyserat den empiriska sammanställningen och kommit med en rad slutsatser, för att på så vis kunna identifiera bakomliggande orsaker till resultaten av den kvalitativa undersökningen.

4.7 Tidsperiod

Utredningens fokus är på företagens syn på ämnet i dagsläget men även hur de ser på qutredningsresultaten åren 1999-2009 och vad företagsrepresentanterna anser ha hänt inom tidsintervallet. Avsikten med att använda sig av en flerårig tidsram var att skapa en större

tillförlitlighet, ökad relevans samt ytterligare intresse. Detta då en flerårig analys kan stärka sambanden mellan företagens syn samtidigt som det förekommit konjunktursvängningar vilka eventuellt influerat ekobrott samt internkontrollen.

4.8 Informationens tillförlitlighet

Då syftet var att kvalitativt utreda sambandet mellan internkontroll och ekobrott utgjorde detta fokus för såväl empiri som teori. Utöver detta ställdes samma intervjufrågor till samtliga respondenter efter ett uppsatt intervjuformulär (bilaga 1 och 2) På så vis undveks slumpmässiga fel till följd av felformulerade frågor eller irrelevanta teorier och uppsatsen fick reliabilitet. (Esaiasson, 2007, s. 70).

Samtlig information från intervjuerna möter problematiken gällande samtidskriteriet, vilket innebär att ju längre tid som passerat sedan något inträffat och detta redogörs för desto mer kan dess tillförlitlighet ifrågasättas. Betydelsefullt är också huruvida källan är oberoende eller ej. (Thurén, 1997) Denna problematik motverkas genom att resultaten från företagsintervjuerna styrks av intervjuerna med Rijpma (KPMG) och Lundin (Ekobrottsmyndigheten), vilket ger utredningen en ytterligare dimension med erfarenheter och sakkunskaper kring ämnet. Här existerade inte heller samma potentiella risk för att intervjufrågorna besvarades partiskt eftersom det härrörde till deras arbetsuppgifter och externa klienter vilket tillför ytterligare tillförlitlighet.

4.9 Metoddiskussion

Utredningens metod bygger på empiriska material som underbyggs av teoretiska ramar. Det empiriska materialet är baserat på ett urval inom svenska börsnoterade bolag. För att få en mångnyanserad bild kontaktades flera olika företag på Stockholmsbörsen. Bortfallet från de kontaktade företagen var cirka 87 %, vilket kan förklaras av att ämnet enligt flera både är sekretessbelagt och kontroversiellt. Härigenom uppstår en problematik eftersom flera av de icke medverkande företagen eventuellt kunnat bidra till utredningen, men valde att avstå av olika anledningar. Då utredningen trots allt innefattar flera empiriska källor kan utredningsprocessen fortfarande anses vara tillförlitlig (totalt åtta stycken intervjuer). Dock kan tilläggas att samtliga medverkande företag hålls anonyma efter önskemål av en majoritet av dessa. Anledningen till att författarna valde att hålla samtliga företag anonyma, även de som ej bett om detta, var att dessa inte skulle ges större betydelse än de som valde att begärde anonymitet. I och med detta uppstår en viss anonymitetsproblematik, då respondenterna ges utrymme att vara öppna om företagskänslig information samtidigt som detta är svårt att

kontrollera. Att erbjuda anonymitet var dock ett måste för att få sex stycken företag att medverka och samtidigt skapar detta också möjligheten för en öppen dialog mellan författarna och företagen. Så länge läsaren är medveten om problematiken kring detta, torde det inte utgöra ett problem för utredningens resultat.

Alla företagsrepresentanter har relativt höga befattningar, då samtliga innehar chefsroller inom företagens interna revisions- samt redovisningsavdelningar. Detta är positivt då de bör ha god kännedom samt insyn i verksamheten samt vad som sker. Samtidigt kan det också finnas vissa mer problematiska aspekter då ledningen inte alltid har inblick i vad som faktiskt försiggår längre ned i verksamheten samt de anställdas syn på frågorna. Värt att notera är dock att det övervägande är ledande befattningshavare som begår ekobrott, varför deras syn kring ämnet är likväl relevant som intressant.

Den empiriska datan är insamlad genom intervjuer, vilket för med sig en potentie1l risk av missvisande svar som döljer viss fakta. Här gäller det att ställa likartade frågor till samtliga företag som inte kan misstolkas. Tilläggas ska att subjektiviteten till viss del är syftet med intervjuerna då utredningen söker svar på företagens olika syn på ämnet.

4.10 Litteraturkritik

Utredningsprocessen innehåller en rad teoretiska val, vilka har baserats på noggranna förundersökningar där relevans, tillförlitlighet och åtkomst varit avgörande. Teorierna har valts utifrån de ämnen och inriktningar som studeras och syftar till att skapa en god empirisk och analytisk grund. Vidare används undersökningar som kopplar an till ämnet och som också har valts på liknande premisser. Litteraturen som använts har hämtats antingen från originalkällor, välrenommerade ekonomiska tidskrifter eller från företag och myndigheter med expertis inom ämnet. De teorier och regelverk som använts i undersökningen i form av COSO-modellen, Svensk kod för bolagsstyrning och agentteorin får anses som tillförlitliga och relevanta då de är väl förankrade och accepterade inom akademisk forskning. KPMGs Fraud Triangle får även den anses ha hög tillförlitlighet då denna används av deras Forensic- avdelning samt är väl förankrad i teorin.

5. E mpiri

5.1. Hur ser E kobrottsmyndigheten på sambandet mellan svenska börsnoterade företags interna kontrollsystem och ekobrott?

,

Henrik Lundin² definierar ekonomisk brottslighet som något som i huvudsak utförs av en eller flera personer inom en näringsverksamhet för egen vinnings skull. Den behöver dock inte vara uppsåtlig utan kan också bero på oaktsamhet. Vidare kan ses att olika intressenter drabbas beroende på vilken typ av näringsverksamhet, såsom att momsbrott drabbar staten medan företag i större utsträckning drabbas av exempelvis svinn, bedrägerier och förskingringar.

Ekobrottsmyndigheten upplever också att företag sällan är benägna att anmäla brott som begåtts internt. Istället väljer många att lösa det själva, genom att avskeda den som begått förseelsen och tysta ner det, då de inte vill bli sedda i dålig dager utåt. Denna trend har existerat de senaste tio åren och cirka 70 % av myndighetens anmälningar kommer in ifrån Skatteverket eller konkursförvaltare.

Dagens ökning av ekobrott kan framförallt förklaras utav att fler brott uppdagas än att det begås fler. Ekobrottmyndigheten har dock sett en generell tendens på ökad ekonomisk brottslighet under de senaste tjugo åren. Henrik Lundin förklarar motiven bakom ekobrotten med att allmänheten generellt sett hade en större tilltro till auktoriteter tidigare, men på grund av diverse skandaler har denna tillit underminerats och moralen har allmänt undergrävts.

För att motarbeta detta är Tone at the top³ viktigt då det är riskfyllt ifall oegentligheter skulle bli en del av företagskulturen. Detta bidrar nämligen till att öppna upp för ökad ekonomisk brottslighet både för företagets som för den enskilde individens vinning. Det preventiva arbetet spelar här en viktig roll vilket bland annat bör bestå av utförliga policydokument, vilka förklarar vad som accepteras och inte inom företaget, samt att personer som inte följer dessa avskedas från verksamheten. Utöver detta är också bra atteståtgärder, flera ansvariga i alla led, god företagsetik samt regelbundna kontroller av att de anställda uppfyller detta viktiga verktyg för företag. Det är också viktigt att ej glömma bort de uppföljande åtgärderna då det

2 Ekorevisor på Ekobrottsmyndigheten

3 Tone at the top kan beskrivas som en process där företagets värderingar, normer, verksamhet samt processer, vilka ska förebygga ekonomiska oegentligheter och påverkas samtliga anställda inom en organisation. (Whelan, 2008, s. 7)

är av stor betydelse att företagsledningen vidtar åtgärder mot personal som bryter mot reglerna för att visa att reglerna hålls på, vilket också har en preventiv verkan.

Ekobrottsmyndigheten anser att företagens fokus på ekobrott generellt har ökat. Detta inte minst med tanke på att flera Forensic-avdelningar på revisionsbyråerna har tillkommit de senaste tio åren. Även lågkonjunkturen kan påverka ekobrott, då företag blir mer kostnadsmedvetna och därför stärker sina interna kontroller.

5.2. Hur ser K PM G :s Forensic-avdelning på sambandet mellan svenska börsnoterade företags interna kontrollsystem och ekobrott?

Henk-Anne Rijpma⁴ tycker det är svårt att avgöra huruvida ekobrott ökat eller inte. Han tycker snarare att medias roll har förändrats, med ökat fokus på ekobrott, vilket lett till att fler uppdagas. Detta kan även härledas till bättre interna kontrollsystem, vilket beror på att många företag har en lärande organisation som anpassar sig till nya risker. Företag arbetar även mer fokuserat mot ekobrott och detta utgör numera ofta en särskild punkt på många företags agenda. Exempelvis är bedrägeririskhantering nuförtiden en del av internkontrollen samtidigt som flera Forensic-avdelningar har bildats i Sverige.

Trots utvecklingen drar inte alla företag lärdom av sina erfarenheter från ekobrott, utan istället görs ofta rapporter till ledning och styrelse som inte resulterar i ytterligare utvärderingar och uppföljningar. Dokumenterade rutiner för hur anställda ska agera vid ett uppdagat bedrägerifall är också sällan förekommande.

Vidare finns en länk mellan lågkonjunkturer och en liten ökning av ekobrott. Detta kan bero på att fler inom en organisation i dåliga tider ser till sitt eget bästa. Samtidigt kan detta motsägas då folk i lågkonjunktur är glada enbart av det faktum att de har ett jobb. I högkonjunktur är det också sannolikt att färre ekobrott rapporteras då företag inte genomför lika omfattande kontroller, medan lågkonjunkturer ofta för med sig att företag går längre i tvister och anlitar externa Forensic-avdelningar för att driva processer längre.

Idag finns enligt KPMG en större press på personalen, vilket kan leda till felaktigt beteende.

Sålunda läggs idag mer fokus på bakomliggande motiv utöver den mer konkreta möjligheten ett begå ett brott. Här är det viktigt att vara medveten om att en stor andel av bedrägerier      

4 Europeisk specialist vid KPMG:s Forensic-avdelning, som arbetar med att hjälpa företag att motarbeta ekonomiska oegentligheter.

begås för att skydda organisationens fortlevnad snarare än för individens personliga vinning, något som sällan uppmärksammas. KPMG har sett att mjuka värden i form av företagskultur och uppförandekoder uppmärksammas alltmer fastän dessa är svårare att kartlägga, då de är subjektiva begrepp vilka är svåra att förankra i en organisation. Här är det viktigt att organisationen avsätter tillräckliga resurser och har tydliga styrdokument som efterföljs och uppdateras. Företag idag har generellt mer informering än förankring, då de mjuka kontrollerna lättare hamnar i skymundan. Det krävs dock en kombination av mjuka och hårda kontroller vilka jobbar såväl preventivt, detektivt som reaktivt, ett samband vilket få studier gjorts om i Sverige.

Ekobrott begås ofta av medelålders män med högre befattningar eftersom de lättare kan manipulera kontrollerna då de är högre upp i kontrollkedjan. Detta kan möjliggöras av att den svenska kulturen historiskt sett till stor del har baserats på moral och tillit till de anställda, vilket minskat förståelsen för att prioritera kontroller inom svenska företag. Större företag har dock ofta bra hårda kontroller och har snarare ett behov av att jobba på de mjuka.

I enlighet med Ekobrottsmyndighetens trestegsmodell (modell 3) kan företag internt bekämpa ekobrott på tre sätt; preventivt, detektivt samt reaktivt. Det preventiva arbetet kan exempelvis utgöras av tillförlitliga rekryteringsprocesser där eventuella jävsituationer och liknande utreds.

Här brister ofta svenska företag och det finns utrymme för förbättring. Det detektiva tillvägagångssättet lägger vikt vid att de interna rapporteringslinjerna skall vara väl fungerande. Det bör exempelvis finnas en utnämnd person i oberoende ställning som anställda kan diskutera dessa problem med och där den anställde ges möjlighet att vara anonym. Detta är extra viktigt eftersom det ofta är chefer som begår ekobrott. Här är det betydelsefullt att företaget internt kommunicerar vikten av att rapportera och att den som rapporterar beskyddas. Det blir sedan upp till ledningen att bedöma huruvida anklagelserna har grunder.

Whistle-blowing-funktionen är ett verktyg många företag kan behöva vidareutveckla då den enligt KPMG ofta är bristfällig. Denna funktion är mycket viktig för att skapa en bra rapporteringsstruktur så att fler oegentligheter uppdagas. Utöver denna rapporteringsfunktion är det också fördelaktigt att använda olika dataanalysverktyg för att upptäcka interna ekobrott.

Vanliga riskutvärderingar upptäcker många oegentligheter men mörkertalet är stort. En renodlad bedrägeririskutvärdering, vilket många företag saknar, är enligt KPMG mycket bra

att genomföra då fler oegentligheter uppdagas eftersom utvärderingen görs utifrån ett annorlunda perspektiv än en vanlig riskutvärdering.

I det tredje steget, det reaktiva tillvägagångssättet, är det viktigt att det finns tydliga rutiner och ansvarsfördelningar för att kunna dra lärdom utav uppdagade bedrägerier. Även här finns utrymme för förbättringar hos svenska företag idag. Dock finns det ett stort mörkertal, som företag inte kan dra lärdom utav. På denna punkt anser KPMG att svenska företag är något naiva då många tror att de bedrägerier som uppdagas är samtliga som ägt rum.

Den ekonomiska brottsligheten är inte knuten till en bransch utan snarare beroende av geografiskt område, varför det inte är en märkbar skillnad mellan svenska företag inom Sverige. KPMG tror inte att svensk kod för bolagsstyrning haft någon generell inverkan på de interna kontrollsystemen men styrelsernas roll har dock utökats. De är nu bland annat ytterst ansvariga för de interna kontrollsystemen vilket medför att de är mer intresserade av att få tillgång till information om eventuella oegentligheter. Bedrägerier förekommer i alla organisationer, varför det är viktigt att ledningen motarbetar detta ute i organisationen, något som görs i stora organisationer idag men det finns utrymme till förbättring.

Sammanfattningsvis kan sägas att stora, svenska företag ytterligare bör betona sin inlärningsprocess av tidigare bedrägerier och att det är viktigt att granska både hårda och mjuka värden. Det finns en svaghet i de interna kontrollerna idag, vilka kan förbättras genom att exempelvis studera de anställdas incitament för att begå ekobrott. Enligt KPMG skulle en skandal som Enron-skandalen kunna äga rum varsomhelst idag på grund av att de mjuka värdena och kontrollerna inte är tillräckligt förankrade i organisationer.

5.3 Medverkande företag

Företag 1 ± Tillverkningsföretag inom industrin för motordrivna utomhusprodukter Företag 2 ± Tillverkningsföretag inom motorindustrin

Företag 3 ± Fullsortimentsbank.

Företag 4 ± Fullsortimentsbank

Företag 5 ± Tillverkningsföretag inom konsumentindustrin.

Företag 6 ± Försäkringsbolag.

5 För företagsrepresentanternas yrkestitel; se muntlig referenslista

5.4 Medverkande företagens syn på interna kontrollsystem 5.4.1. Hur ser Ni på era interna kontrollsystem?

Alla medverkande företag beskriver sina interna kontrollsystem som ett sätt att säkerställa samt skydda företagets tillgångar både mot avsiktliga som ouppsåtliga oegentligheter. Interna kontrollsystem ska också verka för att externa intressenter såsom aktieägare, kunder samt lagstiftare får en god och tillförlitlig bild av företagets processer.

Inget av företagen tror att deras interna kontrollsystem fångar in samtliga oegentligheter som förekommer inom företaget, utan menar på att det finns ett mörkertal. Dock uttrycker majoriteten av företagen att det här är en fråga om huruvida nyttan av fler upptäckta ekonomiska oegentligheter kan överstiga kostnaden för att genomföra mer omfattande kontroller. Företag 6 menar också att det inte finns något vattentätt system för att fånga upp alla oegentligheter, varför mörkertal är ofrånkomligt.

I dagsläget har hälften av företagen (2, 3 och 4) dokumenterade rutiner för hanteringen av ekobrott, vilka tydliggör hur respektive företag ska gå tillväga då ekonomiska oegentligheter uppdagas. Hos de övriga tre företagen hävdar företag 1 att dokumenterade rutiner inte behövs, då företaget inte utsätts för detta så ofta och företag 5 utgår från de riktlinjer som deras revisionskommitté utger. Viktigt att betona här är att de anställda har ett personligt anmälningsansvar av ekobrott. Företag 6 fokuserar också på det personliga ansvaret genom att sätta upp tydliga etiska regler och normer, istället för dokumenterade rutiner. För att kontrollera om ekobrott existerar genomför företaget också flera stickprovskontroller samt tillsätter specifika utredare om ekobrottsmisstankar finns.

Fem av sex företag (företag 1-5) har etablerade anonyma rapporteringskanaler vid misstanke om ekobrott. Dock påpekar företag 3 att denna anonymitet endast sträcker sig till ett eventuellt åtal, då ett vittnesmål måste ges. Hälften av företagen (2,3 och 5) nämner också att de internt använder en whistleblower-funktion i sina rapporteringslinjer vilket består av en specifikt utsedd person som rapporteras till vid misstänkta oegentligheter. De tre företag som inte per definition nämner whistleblower-funktionen beskriver dock att de har tydliga direktiv och tillvägagångssätt internt vilka påminner om whistleblower-systemet.

5.4.2. Internkontrollens mjuka och hårda värden

Samtliga företag anger att både mjuka och hårda värden inom interna kontrollsystem är viktiga. De är eniga i att det inte går att urskilja ett av dessa värden som viktigare, utan de måste verka tillsammans för att motarbeta ekobrott. Här kan också nämnas att flera företag har belyst vikten av hur värderingar och åsikter kommuniceras från toppen av organisationen genom Tone at the top. Här har företag fokuserat på att ge rimliga utdelningar och bonus till företagsledningarna och på så sätt implementera ett långsiktigt förhållningssätt till företagets verksamhet. Detta hoppas företagen sprider sig ner i alla led i verksamheten. Företag 1 och 4 uttrycker också vikten av en tydlig bestraffning då ekonomiska brott uppdagas. På så sätt fungerar denna reaktiva åtgärd också som en preventiv handling, då den verkar i avskräckande syfte. Här betonas också att företagen arbetar både förebyggande, upptäckande samt uppföljande då kontroller och bestraffningar verkar i symbios. Företagen anser också att det är betydelsefullt att följa upp ekonomiska oegentligheter och se hur dessa möjliggjordes och på så sätt korrigera eventuella svagheter eller fel.

Hårda verktyg i form av mer sofistikerade dataanalysverktyg används inte specifikt av något företag. De har istället tydliga riktlinjer för hur man sköter attestering av fakturor, ansvarsfördelning med mera. Här görs också en avvägning mellan nytta och kostnad.

5.4.3. Riskutvärdering

Företagens riskanalyser uppvisar vissa olikheter. Här gör företag 1, 5 och 6 mer övergripande riskutvärderingar då de anser att det inte finns ett behov av att göra specifika bedrägeririskutvärderingar. Bland dessa utmärker sig dock försäkringsföretaget (nummer 6), då de gör riskutvärderingar av sina kunder. De har olika täckningsförbudsrisker, vilket innebär att säljarna inte har rättighet att godkänna kunder i vissa branscher. Detta görs istället av affärsområdeschefen, vilket beror på särskilda erfarenheter och skäl där speciella risker innefattas. Internt uttrycker försäkringsbolaget en tilltro till sina interna kontroller, med förhoppningen att den interna risken för att bli upptäckt ska vara tillräckligt stor. På så vis skall den anställda avskräckas från att begå oegentligheter internt.

Företag 2, 3 och 4 säger att de gör specifika riskutvärderingar baserade på risken för bedrägerier. Företag 2 har en decentraliserad organisation med personal som är ansvarig för specifik riskhantering inom olika områden. Utöver detta görs också övergripande kontroller, som bland annat innefattar bedrägeririsker. Här talar företag 2 hellre om att utvärdera riskprocesser, snarare än riskgrupper, då företaget internt fokuserar på att minimera risken i

processer där företaget riskerar att ta mest skada, såsom kontanthantering. Den ena banken (nummer 3) anger att de sköter många företeelser internt, då dem ofta är svåra att bevisa.

Fastän det inte går att bevisa tappar banken förtroende för den misstänkte och denne får sluta, men först om det är regelrätt brottsligt görs en anmälan. Vidare säger företag 3 att deras verksamhet enklare utsätts för ekonomiska oegentligheter, då deras verksamhet innehar något attraktivt, nämligen pengar. Därför måste banken arbeta intensivt för att motverka ekobrott då de annars riskerar att mista deras kunders förtroende. Hos den andra banken (företag 4) ingår bedrägerier i en större riskutvärdering samtidigt som det också görs specifikt. Banken säger att de alltid haft starkt fokus på internrevision och riskkontroll samt att de lägger mycket resurser på detta. Vid konstaterade brott polisanmäler man och avskedar den skyldige omedelbart.

5.4.4. Utveckling av interna kontrollsystem de senaste tio åren

Företagens interna kontrollsystem kan generellt sägas ha blivit mer formaliserade. Detta kan enligt företag 5 delvis förklaras av en ökad kunskap om interna kontrollsystem samt det faktum att svensk kod för bolagsstyrning har ökat styrelsens ansvar. De anser också att interna kontrollsystem har blivit alltmer byråkratiska och trögrodda. Samtidigt kan företag 1 inte se någon större skillnad inom sina interna kontrollsystem, förutom ett ökat fokus på området på grund av det ökade mediala intresset. Detta kan också tänkas bero på den svenska koden för bolagsstyrning, vilken ställt krav på bland annat en revisionskommitté. Här poängterar också företag 3 att designen av interna kontrollsystem förändrats i och med den tekniska utveckling som skett.

Företag 3,4 och 6, vilka verkar inom finanssektorn, betonar också betydelsen av externa krav och regelverk samt att dessa blivit alltmer omfattande de senaste åren som en följd av den senaste finanskrisen. Här gäller Basel II⁶ för banksektorn och den kommande implementeringen av Solvens II⁷ för försäkringsbranschen, vilka bidrar till att göra marknaden mer transparent. Företag 4 anser att dessa har påverkat deras verksamhet mer än koden.

Hälften av företagen säger att de en eller flera gånger har valt att tillämpa kodens senare del av comply or explain-principen och alltså frångått koden, vilket de menar har haft att göra med kostnadsfrågor för att efterleva koden.

6 Ett internationellt regelverk som kräver att finansiella institutioner bibehåller tillräckligt kapital för att täcka eventuella risker inom verksamheten. (Bitepipe.com, 2010)

7 Namnet på nya solvensregler för försäkringsbolag inom EU, vilka ska träda i kraft hösten 2012 i Sverige.

(Finansinspektionen, 2009)

De tre tillverkningsföretagen upplever ingen skillnad inom deras respektive interna kontrollsystem på grund av konjunktursvängningar. Här nämner företag 1 att ökade kontroller är en resursfråga, vilket kanske inte har högsta prioritet i sämre ekonomiska tider. Däremot upplever bankerna samt försäkringsföretaget en skillnad i och med att kunderna förändras i lågkonjunkturer. För banker blir det tydligt då kunderna får betalningssvårigheter på krediter medan skadebedrägerierna förändras i lågkonjunkturer. Detta gör att bankerna blir mer restriktiva i sin kreditutgivning och försäkringsbranschen genomför fler kontroller mot kunder med många rapporterade skador. Dessutom hävdar företag 4 att det är enklare att gripa externa bedragare i lågkonjunkturer, då det vanligen är då som deras bedrägliga verksamhet uppdagas.

5.5 Medverkande företagens syn på ekonomisk brottslighet 5.5.1. Hur ser Ni på ekonomisk brottslighet?

Samtliga företag har en relativt bred definition på ekonomisk brottslighet. Företag 1 och 2 anser att ekobrott innefattar alla typer av oegentligheter där någon eller några via ett bedrägligt beteende tillskanskar sig tillgångar som inte tillhör dem. Företag 5, även det ett tillverkningsföretag, anser att ekobrott är svårdefinierat. Där talar de istället om bedrägerier, eftersom detta är något som företaget kan jobba med internt. Företag 3 och 4, de båda bankerna, anser att ekobrott är ett svårdefinierat begrepp som många slänger sig med utan att riktigt veta innebörden. Vidare säger företag 3 att det rör sig om att tillförskaffa sig fördelar som man inte redovisar för, medan företag 4 ser det som all typ av brottslighet med syfte att skapa ekonomisk vinning men som inte innefattar våld. Företag 6 poängterar att alla typer av försäkringsbedrägerier ingår i begreppet och att cirka 10 procent av deras skadeanmälningar härstammar från bedrägerier.

5.5.2. Bakgrunden till ekonomisk brottslighet

De medverkande företagen är mer eller mindre överens om de bakomliggande orsakerna till att anställda begår ekobrott. Här finns två grundläggande faktorer, där den ena innefattar de hårda värdena som kontrollmiljön i vilken företagens respektive anställda rör sig. Den andra utgörs av mer mjuka värden, där det talas om företagskultur och hur denna kan uppmuntra till ekonomisk brottslighet. Gällande den förstnämnda är det flera som säger att det ofta är anställda i chefsposition som begår ekobrott internt. Enligt företag 4 är det därför viktigt att ständigt ha fokus på kontrollstrukturen, då chefer har kontroll över denna och därmed kan försöka kringgå den. Även företag 1 och 2 anser att bristande kontroller kan resultera i