Uppsala Universitet
Företagsekonomiska institutionen Kandidatuppsats
Vårterminen 2009
Handledare: Robert Joachimsson
Internrevision vid riskhantering – ett effektivt verktyg för styrelsen?
- en jämförelse mellan Handelsbanken och Nordea
Författare:
Niklas Berggren Carl Evenbom
Sammanfattning
En väl fungerande internrevision är ett måste för stora organisationer. En viktig del i internrevisionens arbete, kanske den viktigaste, är att granska riskhanteringen inom organisationen. Vi har valt att granska Handelsbankens och Nordeas riskorganisationer. Riskhantering inom banker är ytterst viktig för deras verksamhet och än mer intressant i samband med den rådande finanskrisen. Internrevisionens syfte är att vara ett oberoende och effektivt verktyg för styrelsen med uppgift att granska den egna verksamheten och vid behov föreslå förändringar som kan förbättra organisationen. Internrevisionen ska även säkerställa att organisationens information är tillförlitlig, att organisationen följer lagar och regler och att organisationens resurser används effektivt för att se till att organisationens syfte och mål uppnås.
Det främsta syftet med uppsatsen är att undersöka om och framförallt varför internrevisionen är ett effektivt och oberoende verktyg för styrelsen. Vi vill även undersöka om de valda bankernas, Handelsbanken och Nordea, internrevisionsarbete med avseende på riskhantering har förändrats till följd av den rådande finanskrisen. Vi kommer även att jämföra hur
Handelsbankens och Nordeas internrevisionsavdelningar fungerar för att belysa skillnader och likheter i deras riskhanteringsorganisationer.
För att besvara syftet har vi använt oss av relevanta teorier och genomfört
respondentintervjuer med bankernas internrevisionschefer samt en informantintervju med en för området kunnig och oberoende person. Vi har i undersökningen använt oss av en kvalitativ metod som ger en helhetsbild av syftet för undersökningen.
Slutligen visar undersökningen att bankernas internrevision fyller sitt syfte och är ett effektivt och oberoende verktyg för styrelsen i deras arbete att minimera riskerna i organisationen.
Innehåll
1. Inledning ... 1 1.1 Bakgrund ... 1 1.2 Problemformulering ... 2 1.3 Syfte ... 2 2. Teori ... 32.1 Teoretisk uppbyggnad av riskorganisationen ... 3
2.1.1. Modell av riskorganisationens uppbyggnad ... 3
2.2 Riskkontroll ... 4 2.3 Internkontroll ... 4 2.4 Compliance/regelefterlevnad ... 6 2.5 Internrevision ... 6 2.5.1 Vad är internrevision?... 6 2.5.2 Internrevisionens syfte ... 7 2.5.3 Internrevisionens oberoende ... 8 2.6 Kreditrisk ... 9 3. Metod ... 10 3.1 Metodval ... 10 3.2 Insamling av data ... 10 3.3 Upplägg för intervjuer... 11 3.4 Urval ... 12 3.4.1 Urval av respondenter ... 12 3.5 Operationalisering ... 13 3.6 Oberoende ... 14 3.7 Källkritik ... 15
3.8 Kritik av genomförande och intervjuer ... 15
4.1 Resultat från informantintervjun ... 17
4.1.1 Internrevisionens uppbyggnad och dess betydelse för riskhantering ... 17
4.1.2 Internrevisionens plan och målsättning med riskhantering ... 18
4.1.3 Risker och finanskrisens betydelse ... 19
4.2 Handelsbanken ... 19
4.2.1 Riskorganisationens uppbyggnad och arbetsfördelning ... 19
4.2.2 Internrevisionens oberoende ... 21
4.2.3 Internrevisions värde för organisationen ... 21
4.2.4 Finanskrisens påverkan på internrevisionens granskning av krediter ... 22
4.3 Nordea ... 22
4.3.1 Riskorganisationens uppbyggnad och arbetsfördelning ... 22
4.3.2 Internrevisionens oberoende ... 25
4.3.3 Internrevisions värde för organisationen ... 25
4.3.4 Finanskrisens påverkan på internrevisionens granskning av krediter ... 26
5. Analys ... 27
5.1 Riskorganisationens uppbyggnad och arbetsfördelning ... 27
5.1.1 Riskkontroll och internkontroll ... 27
5.1.2 Compliance/Regelefterlevnad ... 28
5.1.3 Internrevisionen ... 29
5.2 Internrevisionens oberoende ... 32
5.3 Internrevisionens värde ... 33
5.4 Finanskrisens påverkan på internrevisionens granskning av krediter ... 35
6. Slutsatser ... 36
7. Källförteckning ... 38
1
1. Inledning
Kapitlet inleds med en kort presentation av bakgrunden till det valda ämnet, sedan kommer problemformuleringen och syftet att introduceras för ett ge uppfattning om vad
undersökningen kommer att behandla.
1.1 Bakgrund
Till följd av de många företagsskandaler, såsom Worldcom, Enron och svenska Skandia, som avslöjades under den första hälften av 2000-talet, började röster höjas både inom
statsförvaltning och på internationell nivå om en kod för bolagsstyrning. I Skandias fall rörde sig skandalen om den högsta ledningens orimligt höga bonussystem samt att ledningens lägenheter hade lyxrenoverats på företagets bekostnad. I Worldcom och Enrons fall rörde det sig om både bonussystem men även korruption, marknadsmanipulation och bokföringsbrott. I Sverige bildades Etik och förtroendekommissionen av regeringen som en reaktion på de svenska skandalerna som allvarligt skadade förtroendet för näringslivet i det svenska samhället. Det ansågs vara av yttersta vikt då en majoritet av det svenska folket numera är aktieägare, antingen direkt eller indirekt genom fondägande.(Svensk kod för bolagsstyrning, 2004:2)
Kommissionen fick, tillsammans med näringslivsprofiler utvalda av regeringen, i uppdrag att utforma en kod för bolagsstyrning vars syfte var att bidra till en förbättrad styrning av svenska bolag. Detta betyder dock inte att Sverige har varit utan regleringar gällande bolagsstyrning före koden, den svenska aktiebolagslagen har tidigare fungerat som grund för svensk
bolagsstyrning, och även Aktiespararna har publicerat ägarpolicys sedan 1993 vilket har fått till följd att andra stora svenska ägarinstitutioner har utarbetat liknande dokument. (Svensk kod för bolagsstyrning, 2004:4)
I koddokumentet tas bland annat behovet av intern kontroll upp och att styrelsen är tvingad att säkerställa att god internkontroll finns i företaget. Utöver god internkontroll ska styrelsen årligen utvärdera behovet av en internrevision. Internrevisionen svarar oftast direkt till företagets styrelse, och ger rekommendationer för hur organisationens kan förbättras samt utför granskning av den övriga organisationen på styrelsens uppdrag.
En viktig del i internrevisionens arbete, kanske den viktigaste, är att granska riskhanteringen i organisationen. Eftersom det är svårt för den operativa verksamheten att själv göra en opartisk
2 riskanalys fyller interrevisionen denna funktion genom att i samråd med verksamheten
genomföra denna. Sedan är det styrelsens uppgift att på analysen som internrevisionen arbetar fram, bedöma och ta beslut som leder till att minimera de väsentliga riskerna. (Berggren, 2009-03-23)
Vi har i vår undersökning valt att inrikta oss på internrevision med avseende på riskhantering inom två banker. Anledningen till att vi valt banksektorn som område för vår uppsats är att vi båda har en bakgrund inom varsin storbank och på så sätt väcktes vårt intresse, samt att det för tillfället är en enorm fokus, inte minst i media, på riskhantering i allmänhet och
kreditrisker i synnerhet. Kreditriskhantering inom banker är ytterst viktigt för deras verksamhet och än mer intressant i samband med den rådande finanskrisen.
1.2 Problemformulering
I uppsatsen har vi valt inrikta oss på hur de valda bankernas internrevisionsavdelningar granskar den operativa verksamheten med avseende på riskhantering. Finns det skillnader i uppbyggnaden och arbetssätt mellan bankernas internrevisionsavdelningar? Framförallt vill vi belysa kreditrisken, då det är den största risken för banker. Vi vill även undersöka om det har skett någon förändring i de valda bankernas internrevisionsarbete till följd av den rådande finanskrisen.
Ett av målen med internrevision är att den ska skapa mervärde för den operativa verksamheten i syfte att effektivsera riskhanteringen och minimera riskerna. Skapar internrevisionen mervärde i praktiken?
Det är även av central betydelse att undersöka huruvida internrevisionsavdelningarna är oberoende gentemot bankledningen eller inte? Syftet med internrevision är att vara ett effektivt och oberoende granskande verktyg för styrelsen. Men är det verkligen möjligt att vara helt oberoende?
1.3 Syfte
Syftet med uppsatsen är att undersöka och jämföra Handelsbankens och Nordeas
riskorganisationer. Ur jämförelsen vill vi belysa skillnader och likheter mellan bankerna, om det skett någon förändrig i bankernas internrevisionsarbete till följd av finanskrisen samt slutligen, avgöra om och i så fall varför internrevisionen fyller sitt tilltänkta syfte, att vara ett effektivt och oberoende verktyg för styrelsen i deras arbete att minimera riskerna i
3
2. Teori
Detta kapitel inleds med hjälp av en modell för att ge en förklaring av hur uppbyggnaden kring bankers riskorganisation ser ut. Det syftar till att ge läsaren en bättre förståelse för den teoretiska grunden. Vidare i teorin förklaras varje del av uppbyggnaden steg för steg. Sist i detta kapitel ges en förklaring av kreditrisk, som är den risk vi har valt belysa.
2.1 Teoretisk uppbyggnad av riskorganisationen
För att lättare förstå uppbyggnaden av bankernas riskhantering och hur organisationen kring den fungerar har vi valt att nedan presentera en förklarande modell som ska vara till hjälp för läsaren. Modellen bygger på tre lager av skydd för att minimera de olika riskerna som
bankerna ställs inför. Efter modellen följer sedan en förklaring av de olika skyddslagrena i den ordning de kommer med start i den operativa verksamheten och dess riskkontroll och internkontroll. Därefter compliance/regelefterlevnad och till sist internrevisionen.
2.1.1. Modell av riskorganisationens uppbyggnad
Modellen som är bearbetad av oss, bygger på Finansinspektionens allmänna råd om hur riskorganisationer bör vara uppbyggda.
4
2.2 Riskkontroll
Finansinspektionen föreslår i sina allmänna regler (FFFS 2005:1) att det bör finnas en samlad funktion i den operativa verksamheten som för en självständig riskkontroll. Informationen som funktionen sammanställer och analyserar bör vidare redovisas till styrelse eller ledning beroende på storleken och uppbyggnaden av organisationen. Informationen bör ge en allsidig och saklig bild av risktagandet i organisationen samt föreslå förändringar i styrdokument och processer om dessa kan minska riskerna.
Organisationshierarkiskt föreslås funktionen vara underställd VD:n eller en annan ledande befattningshavare. Dock är Finansinspektionen noggrann att avråda från att funktionens chef och dennes närmste befattningshavare är inblandad i den dagliga affärsverksamheten då detta kan leda till intressekonflikter.
Riskkontrollen ska utforma sitt arbete utifrån organisationens förutsättningar och verksamhet. Det är möjligt att låta andra funktioner i den operativa verksamheten sammanställa rapporter om riskkontrollen i den specifika delen av verksamheten. Riskkontrollen svarar dock alltid för att innehållet i den sammanställda analysen, och att de data som ligger till grund för den, är korrekta när dessa presenteras uppåt i organisationshierarkin.
2.3 Internkontroll
Organisationer har ofta någon form av intern kontroll oavsett om det finns en internrevision eller ej. Den interna kontrollens syfte är att upptäcka fel som kan uppstå i verksamheten, vilket kan få till följd att redovisningen blir felaktig eller orsakar ekonomisk skada.
Omfattningen av den interna kontrollen varierar beroende på verksamhet. Styrelsen, som är ansvarig för den interna kontrollen, gör en avvägning hur omfattande den interna kontrollen ska vara och om den interna kontrollen ger tillräckliga ekonomiska fördelar i förhållande till vad den kostar. (FAR, 1982:12- 13, SOU 2004:46)
I Öhrlings PWC: s rapport om intern kontroll enligt svensk kod för bolagsstyrning (2006, s.4) betonas att den kultur som styrelsen kommunicerar till verksamheten är grunden för en god kontrollmiljö. Vilket är en väsentlig förutsättning för en god intern kontroll.
De primära målen för internkontroll är enligt föreningen internrevisorernas (IIR) förslag till riktlinjer för internrevision att säkerställa:
5 1.) Den finansiella informationens tillförlitlighet och fullständighet.
Informationssystemen inom större organisationer utgör ofta underlag för
beslutsfattande och det är därför av stor vikt att den information som genereras är tillförlitlig. Den interna kontrollen bör kontinuerligt pröva denna tillförlitlighet och granska de metoder som används för att identifiera och mäta och rapportera
informationen. (Bergh, 1981:25)
2.) Att lagar, förordningar och interna regler efterföljs.
Det här målet talar till viss del för sig själv. Den interna kontrollen fungerar här som en kontrollfunktion och ser till att de interna regler som organisationen har slagit fast och samhällets lagar efterlevs. Samtidigt kan detta mål bli allt mer komplicerat när de regler som man följer t.ex. inte längre är relevanta eller realistiska, då är det upp till den interna kontrollen att se över regelverket och ta upp en regeländring med ledning eller styrelse. I ett sådant fall kan den interna kontrollen i förlängningen utgöras av en internrevisor som granskar den operativa verksamheten och finner en avvikelse som behöver korrigeras. (Bergh, 1981:26)
3.) Att organisationens tillgångar är skyddade.
Detta mål anses vara av mer praktisk art. Tidigare var den interna kontrollens uppgift att säkerställa att organisationens tillgångar skyddades fysiskt. Detta innebar bl.a. att förhindra stöld av organisationens varor, men även försäkringsfrågor och underhåll av anläggningstillgångarna. (Bergh, 1981:26)
4.) Ekonomisk och ändamålsenlig användning av resurser.
Den här punkten tar upp internkontrollens funktion som granskande och utvärderande vad gällande kvaliteten på de processer som utförs i organisationen. (Bergh, 1981:27) 5.) Att organisationens mål uppfylls.
Enkelt uttryckt är detta delmål att säkerställa att de uppsatta målen för organisationen uppfylls och att de uppnådda resultaten överensstämmer med de mål som angivits. (Bergh, 1981:28)
Finansinspektionen belyser i sina allmänna råd för finansiella företag (FFFS 2005:1) vikten av kontinuerlig anpassning av den interna kontrollen efter de interna och externa risker som inträffar över tiden. Genom att följa dessa delmål fastslagna av IIR samt även senare av
6 Finansinspektionens FFFS 2005:1 leder detta till god internkontroll som mynnar ut i en
framgångsrik riskhantering.
2.4 Compliance/regelefterlevnad
Med regelefterlevnad menar Finansinspektionen (FFFS 2005:1) att lagar, förordningar, och interna regler samt god sed efterlevs. Bristande regelefterlevnad kan leda till ökade risker, bl.a. ur en ekonomisk, juridisk och operativ synvinkel. För att se till att regelefterlevnaden upprätthålls föreslår Finansinspektionen att ytterligare en funktion (en s.k. compliance avdelning) utgör stöd för att organisationen och verksamheten drivs enligt gällande regler. Regelefterlevnad som även berörs av interkontrollen anses vara ett så pass viktigt delmål för organisationen att ett specifikt lager i riskorganisationen endast arbetar med detta.
Styrelsen eller ledningen bör utforma ansvarsområde, omfattning och regler för genomförandet av funktionens arbete. Funktionen rekommenderas vara, precis som
riskkontrollen, underställd styrelsen eller VD:n eller annan lämplig beslutsfattare. Dock bör även denna enhetschef vara skild från den operativa verksamheten för att undvika
intressekonflikter och jäv i samband med granskningar.
Finansinspektionen föreslår att organisationen ska sträva efter att funktionen når en så
självständig ställning som möjligt inom organisationen, det är viktigt att funktionen är åtskiljd från den verksamhet den granskar. Vilket i största möjliga mån ger en bra förutsättning för en oberoende granskning.
2.5 Internrevision
I den här delen av teorin kommer vi att beskriva det tredje lagret i modellen, internrevisionen. Vi kommer att ta upp vad internrevision är, hur den fungerar och vad internrevisionen har för syfte. Vidare kommer vi redogöra för vad som menas med internrevisionens oberoende.
2.5.1 Vad är internrevision?
När en hantverkare är färdig med sitt föremål och han sedan undersöker och kontrollerar den, kan det ses som den allra enklaste form av internrevision. Hantverkaren kanske undersöker om föremålet har några skavanker, hur väl han använt sitt material och han kanske kommer fram till vad han kan göra för att förbättra föremålet till nästa gång. När sedan produktionen av föremål växer och han anställer två medarbetare så kommer han ha flera föremål att granska och undersöka. (Bergh, 1981:21–22) Detta är ett väldigt enkelt exempel på
7 internrevision och i stora organisationer finns det såklart mera och komplexa frågor att reda ut.
När organisationen växer blir det omöjligt för ledningen i organisationen att kontrollera allt som händer i den löpnade verksamheten. Då inrättar de olika system för regler och styrning av organisationen, det är viktigt att dessa olika system fungerar och fyller sin funktion. Det är här som internrevisionen kommer in i bilden, som en oberoende funktion som ska granska
verksamheten och utvärdera effektiviteten hos organisationens system åt företagsledningen. (Bergh, 1981:21 -22)
Det är viktigt att skilja på internrevision och externrevision. Internrevision är i första hand organisationens eget kontrollorgan. Den ska granska och bedöma organisationens verksamhet och dess interna kontrollfunktion samt komma med förslag på förbättringar till ledningen i företaget. (FAR, 1982:13) Externrevisorerna styrs och pådrivs av samhällets lagar och regler som ska se till att den finansiella informationen som organisationen presenterar ger en rättvisande bild av företaget. (Internrevisorerna, 2009)
2.5.2 Internrevisionens syfte
Internrevision ska vara ett oberoende och objektivt verktyg för styrelsen med uppgift att granska den egna verksamheten och vid behov föreslå förändringar som kan förbättra
organisationen och ge mervärde till verksamheten. Internrevisionen skall även säkerställa att organisationens information är tillförlitlig, att lagar och regler följts och att resurser använts effektivt för att se till att syfte och mål uppnås. Genom att göra detta hjälper internrevisionen organisationen att nå sina mål, öka effektiviteten i riskhantering, styrning och kontroll samt ledningsprocesser. (Internrevisorerna 2009, Institutet för internrevision, 1985: 126-127) I och med att internrevisionen ska granska den egna verksamheten blir huvuduppgiften att granska organisationens verksamhet, för att kartlägga dess tillförlitlighet och effektivitet. Vidare skall internrevisionen granska verksamheten i övrigt för att kartlägga om den bedrivs på ett ändamålsenligt och ett ekonomiskt tillfredsställande sätt. (Bergh, 1981:24)
8
2.5.3 Internrevisionens oberoende
Ordet oberoende definieras enligt Nationalencyklopedin (2009) som” att inte vara avhängig
av någon eller något för sin existens och sitt handlande”.
Det är av stor vikt att internrevisionsavdelningen har en sådan placering och funktion i organisationen att deras oberoende gentemot styrelsen och de delar av organisationen som de ska granska kan säkerställas. Det som då är viktigt är att internrevisionen är placerad högt upp i organisationen och det ska finnas så få led som möjligt mellan internrevisionen och den högsta företagsledningen som möjligt. Anledningen till att det är viktigt att
internrevisionsavdelningen är högt placerad i organisationen är att den, för att granska olika avdelningar inom organisationen som till exempelvis operativa avdelningar eller
ekonomiavdelningar, inte kan ligga under dem i organisationen för att granskningen av dessa ska bli oberoende. (Bergh, 1981: 28-29, Internrevisionens Utredningsinstitut, 1985: 124-125) Enligt Bergh (1981: 28) är internrevisionen vanligtvis underställd någon av följande fem beslutsfattare i organisationen: Controllern, ekonomiechefen, VD, styrelsen eller en
revisionskommitté. Beroende på vilken av ovanstående beslutsfattare som internrevisionen svarar till, ge det en uppfattning av hur högt ansedd internrevisionen är i organisationen. Enligt IIR:s förslag till riktlinjer för internrevision föreslås att internrevision ska vara direkt underställd styrelsen. ”Revisorns oberoende uppnås genom dels, organisatorisk inplacering, dels opartiskhet i arbetet…Chefen för internrevision bör vara direkt underställd VD eller styrelse” (Bergh, 1981:30)
Samtidigt menar författarna Cook och Winkle att internrevisionen bör vara underställd ekonomichefen eller controllern. Detta på grund av att de anser att styrelsen inte befinner sig tillräckligt nära den löpande verksamheten för att kunna bedöma de uppgifter och
rekommendationer som kommer från internrevisionen. De anser att controllern eller ekonomichefen befinner sig tillräckligt långt ifrån den löpande verksamheten för att de ska kunna bedöma internrevisionen objektivt men att de samtidigt är insatta i de mål, planer och system som ledningen har inrättat för att kunna vara objektiva. (Bergh, 1981:30–31)
9
2.6 Kreditrisk
All kreditgivning är förenad med risk och hanteringen av kreditrisken är ett centralt område inom en banks verksamhet (FFFS 2004:6). Kreditiskhantering innebär att banken ska identifiera, mäta, styra och ha kontroll över kreditrisker. En bank ska särskilt se till att dessa kreditrisker tillsammans med andra risker som banken utsätts för, inte medför att bankens förmåga att fullgöra sina förpliktelser äventyras. (Lag om bank och finansieringsrörelse 6:2) Enligt Finansinspektionens författningssamling (FFFS 2004:6) bör det inom banken finnas ett informationssystem för rapportering av kreditrisk. Det framgår också att en bank bör ha fastställda skriftliga dokument, så kallade styrdokument för kreditriskhantering. Dokumenten ska vara anpassade för bankens organisation och arbetsätt. Styrdokumenten ska fastställas årligen och kommuniceras väl i organisationen samt utvärderas löpande.
Banken ska ha en god beredskap för att vid en förändring i omvärlden som skapar behov av att ändra riskanalysen och kreditstrategin kunna göra detta. Om flera banker ingår i en koncern bör kreditriskhantering så långt som det är möjligt ske på ett homogent sätt. Vidare ska banken ha en klar strategi för omfattningen av och inriktningen i den samlade kreditrisk som banken väljer att exponera sig för.(FFFS 2004:6)
Det bör inom en bank finnas en central funktion för oberoende kontroll och analys av kreditrisk och som ska rapportera till styrelse och till dem som har behov av informationen. Rapporteringen ska ge en omfattande och objektiv bild av bankens kreditrisker samt innehålla en analys av utvecklingen i bankens kreditrisker. Funktionen ska även föreslå förändringar i styrdokument och processer i organisationen som funktionens iakttagelser om
kreditriskhanteringen ger upphov till. (FFFS 2004:6)
Enligt Finansinspektionens författningssamling (FFFS 2004:6) är det är styrelsen inom banken som har det yttersta ansvaret för kreditriskhanteringen.
10
3. Metod
I detta kapitel presenterar vi vår metod som använts i undersökningen och tillvägagångssättet för intervjuer och datainsamling. Vi presenterar också hur urvalet av respondenter och företag har gått till samt reflekterar kritiskt över källor och intervjuer. Kapitlet avslutas med att vi förklarar hur operationalisering har beaktats i vår undersökning.
3.1 Metodval
Enligt Holme och Krohn Solvang (1997:75) är det viktiga i valet av metod att välja den som passar bäst för den frågeställnig som man avser att undersöka i uppsatsen. En kvalitativ metod har sin styrka i att den går in på djupet, visar på totalsituationen och ger en överblickande helhetsbild. Vidare leder det av resursskäl och genom behov av en överblick över
informationen att undersökningen blir koncentrerad till få enheter. (Holme och Krohn Solvang, 1997:79- 80) Då vi har för avsikt att få en djupare bild av internrevisionens riskhantering i de valda bankerna och på så sätt få en större förståelse för den valda
problemformulering och syftet. Därför anses valet av en kvalitativ metod som den bästa och mest fördelaktiga för vår situation.
3.2 Insamling av data
Datakällor kan delas in primärdata och sekundärdata. Primärdata är material som undersökaren själv har samlat in och sekundärdata är material som är insamlat av andra. Sekundärdata är data och information som finns sammanställt av andra och som inte är insamlat eller sammanställt primärt för den egna studien. Sekundärdata är ofta böcker, artiklar, rapporter och mycket annat. (Lundahl och Skärvad, 1999:131- 136) Vi har i
undersökningen använt oss av såväl primära som sekundära källor. Våra primära källor utgörs av de intervjuer vi genomfört och är således den internrevisionsansvarige på Handelsbanken respektive Nordea samt informantintervjun med Andreas Thåberg på KMPG. Våra sekundära källor kommer från litteratur i form av tryckta böcker och elektroniska källor i form av
rapporter och artiklar.
För att skapa en förståelse kring ämnet och hitta relevanta teorier om internrevision och riskhantering har vi använt oss av olika sorters litteratur samt årsredovisningar från de båda bankerna. Vi har försökt att använda oss av böcker så mycket som möjligt, men det är elektroniska källor som huvudsakligen har använts. Modellen som presenterades i början av
11 teorikapitlet har haft stor betydelse för hur vi valt att organisera uppsatsen och varit av stor betydelse då stora delar av teorin kretsar kring den.
När vi har sökt material har Uppsala Universitets databas DISA samt den nationella katalogen LIBRIS använts för att hitta relevant information. Sökord som använts är internrevision, internkontroll, riskhantering och kreditgivning.
3.3 Upplägg för intervjuer
Kvalitativa studier präglas av flexibilitet vilket bland annat kommer fram under intervjuer. Då upplägget av våra intervjuer var flexibelt gav det oss möjlighet att omformulera frågor och ställa följdfrågor, samt en möjlighet för respondenten att prata fritt. Det kan göra att den tänkta frågeordningen inte alltid följdes men att vi under intervjun fick mer kunskap om hur respondenten upplevde riskhantering och på så sätt möjlighet att omformulera och ställa nya följdfrågor för att få en fördjupad bild. Detta leder enligt Holme och Krohn Solvang (1997:99- 108) till en ständigt bättre förståelse för den valda problemformuleringen i undersökningen. En annan styrka med kvalitativa intervjuer är att själva intervjun liknar ett vanligt samtal i en vardagssituation. Det är den intervjuform där den eller de som håller i intervjun utövar minst styrning på intervjuobjektet utan istället ger den personen möjlighet att få påverka samtalets utveckling. (Holme och Krohn Solvang, 1997:99)
Vi har genomfört samtliga intervjuer på respondenternas arbetsplatser vilket har varit en fördel då den personliga kontakten har ökat möjligheten att göra relevanta tolkningar samt att alternativen telefonintervjuer eller interjuver via mail kan öka risken för missförstånd och feltolkningar.
Inför varje intervju har vi i förväg skrivit ner frågor och meddelat våra respondenter dessa innan intervjun. Vi har även erbjudit respondenterna att vara anonyma samt frågat om det går bra att vi spelar in samtalet.
Intervjuerna har genomförts genom att en person har varit ansvarig för att ställa frågorna och den andra har varit huvudansvarig för anteckningarna. Båda personerna har dock antecknat och vi har sedan jämfört våra anteckningar för att säkerställa att ingen viktig information har gått förlorad samt för att undvika att feltolkningar har gjorts. Vidare har vi även bandat samtalen och sedan lyssnat av dessa för att ytterligare undvika felaktigheter.
12
3.4 Urval
Vi ville med den här undersökningen ta reda på hur internrevision med avseende på riskhantering i bankbranschen fungerar och om internrevisionen fyller sitt syfte. Vidare ämnade vi att göra en jämförelse mellan två storbanker för att hitta likheter och skillnader i deras riskorganisationer. De två banker som valdes ut i undersökningen var Handelsbanken och Nordea. Anledningen till detta var förutom de valda bankernas olika företags filosofier att vi har en bakgrund inom varsin bank, vilket på så sätt ökat intresset för dessa samt att
möjligheter till kontakter för intervjuer har underlättat.
Handelsbanken har under en längre tid haft lägre kreditförlustnivå än konkurrenterna. Banken har en låg risktolerans och undviker att göra affärer med hög risk, vilket har resulterat i lägre kreditförluster och jämnare resultatutveckling än andra banker. Handelsbanken marknadsförs och framställs ofta som den ”trygga banken” och under de senare åren har banken aktivt tagit beslut som syftar till att minska risknivån. På bekostnad av vinster vid en högkonjunktur klarar man sig istället bättre vid en lågkonjunktur. Det visade sig inte minst under bankkrisen på 1990-talet då Handelsbanken var den enda av storbankerna som inte tvingades diskutera statligt stöd. (Handelsbanken 2009)
Till skillnad från Handelsbanken är Nordea en centraliserad bank. Nordea är den största finanskoncernen i Norden och Östersjöregionen. Nordeas summa av rörelseintäkter uppgick 2008 till cirka 79 miljarder kronor medan motsvarande siffra hos Handelsbanken uppgick till ca 24 miljarder kronor. Nordeas kreditförluster uppgick under år 2008 till 5096 miljoner kronor, vilket är betydlig större än Handelsbankens motsvarande siffra på 1605 miljoner kronor.( Handelsbanken 2009, Nordea 2009)
3.4.1 Urval av respondenter
Vi valde våra respondenter medvetet utifrån den kunskap de besitter och har haft med i beräkningen att de ska kunna bidra till den problemformulering som undersökningen bygger på. Valet av respondenter är en avgörande del av undersökningen och slumpmässiga val som innebär ett val av fel personer kan leda till att hela undersökningen blir fel i relation till den utgångspunkt som undersökningen bygger på. Vidare ska enligt syftet med kvalitativa intervjuer vara att öka informationsvärdet och skapa en grund för djupare och en mer fullständig uppfattning om det som studeras. (Holme och Krohn Solvang, 1997:101)
13 Med bakgrund av detta valde vi att göra respondentintervjuer med Handelsbankens respektive Nordeas internrevisionschefer. På Nordea har vi intervjuat Eva-Lotta Rosenqvist, chef för Nordeas internrevision och på Svenska Handelsbanken har vi intervjuat Tord Jonerot som arbetar som koncernrevisionschef. Då respondenterna är ansvariga för respektive banks internrevisionsavdelning får de genom sin position inom organisationen anses ha en god kunskap och överblick över det som vi ämnade undersöka.
Utöver detta intervjuade vi Andreas Thåberg som arbetar som Certified internal auditor på KPMG. Vidare hade vi även haft mail kontakt med Guidon Berggren från KPMG,
chefsrevisor inom internal audit services på KPMG och ordförande för organisationen internrevisorerna. Vi kom i kontakt med KPMG genom deras studentansvarige Gabriella Olsson och fick genom henne Guidon Berggren tilldelad som uppsatsmentor. Tanken var att vi skulle intervju Guidon men på grund av ledighet blev vi istället förmedlade till Thåberg. Thåberg är bland annat verksam som internrevisionskonsult åt fristående sparbanker och har stor erfarenhet av bankbranschen. Det gör att hans kunskap och kännedom om ämnet får anses vara stort. Vi valde att göra intervjun med Thåberg på KPMG först, en så kallad
informantintervju. Det gjorde vi för att få en bättre och oberoende bild av internrevision och riskhantering inom bankbranschen i allmänhet samt för att få veta vilka typer av risker och riskhantering som en bank ställs inför. Efter vi fått hans syn på internrevision och
riskhantering, kunde vi utforma bättre och mer utförligare frågor till respektive banks internrevisionschef.
3.5 Operationalisering
Operationalisering handlar om de metoder vi använder oss av för att koppla samman teorins språk med undersökningens språk (Bell, 2005:140). Intervjufrågornas utformning är en viktig del i operationalisering, därför måste man strukturera och utforma frågorna på ett sätt som stämmer överens med de teoretiska utgångspunkter som ligger till grund för undersökningen. (Holme och Krohn Solvang, 1997:159- 161)
Vi har genom att utforma våra intervjufrågor till respondenterna med bakgrund av teori och att intervjufrågorna varit relevanta för syftet och problemformuleringen lyckats omvandla teori till empiri. De flesta av frågorna som ställts har varit kopplade med bakgrund till modellen och dess uppbyggnad som beskrevs i teorikapitlet, således har dessa frågor varit viktiga för att beskriva hur teorin fungerar i praktiken. Frågorna om oberoende, finanskrisens
14 betydelse och internrevisionens värde är viktiga för empirin då de är centrala frågor som undersökningens problemformulering bygger på och som grundas på teorierna från
Internrevisorerna (2009), Bergh (1981) och Finansinspektionens allmänna råd 2004:6. I bilaga två, som är uppdelad i rubriker, finns en sammanställning av de frågor som användes vid respondentintervjuerna. Genom vår metod har vi, för den problemformulering som undersökningen bygger på, lyckats beskriva hur teori fungerar i verkligheten.
Det ska dock tilläggas att operationaliseringen vid utformandet av frågor för intervjuerna har varit utförligare och bättre vid respondentintervjuerna hos de båda bankerna än vid
informantintervjun som hölls först. Det berodde på att vi var mer inlästa i teorierna vid respondentintervjuerna samt att syftet med informantintervjun var ett annat.
Informantintervjun bidrog samtidigt till en bättre operationalisering vid utformandet av frågorna till bankerna.
3.6 Oberoende
Vid insamling av information till en undersökning uppstår det alltid problem när
informationen som samlats in ska tolkas. Det gäller att via hjälpmedel och minnesregler skydda sig från feltolkningar eller övertolkningar av insamlat material och på så sätt få en ökad garanti för att på det sätt som informationen tolkas stämmer överens med de
uppfattningar som respondenterna hade. (Holme och Krohn Solvang, 1997:290- 291) Genom att vi har skickat en färdigställd version av intervjun till vardera respondent har vi försökt förhindra att feltolkningar eller andra felaktiga antagande har gjorts. På så sätt har respondenterna haft möjlighet att komma med synpunkter på om våra tolkningar ger en rättvisande bild. Det har, förutom att de minskat risken för att feltolkningar gjorts, även varit till hjälp för oss då respondenterna kommit med förslag på förtydliganden av deras åsikter samt gett oss möjligheten till en vidare kontakt.
15
3.7 Källkritik
De källor som sekundärdata hämtas ifrån kan vara vinklade på ett icke opartiskt sätt, medvetet partiska eller ha gjort tveksamma urval. Eftersom vi i vår uppsats använt oss av sekundära källor är det viktigt att vi har ett kritiskt förhållningssätt. (Lundahl och Skärvad, 1999:134) Våra sekundära källor har huvudsakligen varit elektroniska källor och vi har då strävat efter att använda information i form av rapporter som vi anser vara pålitliga och kommer från respekterade föreningar och myndigheter så som, Statens offentliga utredningar (SOU), Finansinspektionen (FI), Internrevisorerna(IIR) och Föreningen auktoriserade revisorer (FAR). Information från SOU och Finansinspektionen bör vara opartiska i förhållande till vårt syfte, då det är myndigheter som inte har något att vinna på att vinkla sin information på ett partiskt sätt. Föreningen auktoriserade revisorer och Internrevisorerna får anses vara opartiska i sammanhanget på grund av att de saknar egenintresse att vara partisk i de dokument vi har använt oss av.
Vi har vid ett par tillfällen sett oss tvungna att citera en källa som i sin tur refererar till en annan källa. Det kan ha ökat risken för feltolkningar.
3.8 Kritik av genomförande och intervjuer
Eftersom intervjuerna har hållits öppna och flexibla, har det gett respondenten möjligheten att tala fritt och vi har hela tiden kunnat ställa följdfrågor samt komma på nya frågor till följd av detta. Som Holme och Krohn Solvang (1997:99- 108) beskriver kan det vara en nackdel med detta i och med att det kan vara svårt att jämföra informationen från de olika respondenterna. Styrkan är att det ger en ständigt bättre bild och mer förståelse för den valda
problemformuleringen. Vi har, trots fritt talande, alltid försäkrat oss om att få svar på våra frågor. Det kan dock ha resulterat i att mer information kommit fram om ett område från en respondenten medan inte lika mycket information kommit från den andra respondenten om det specifika området.
Vår respondent Andreas Thåberg som var vår informant är verksam som
internrevisionskonsult inom sparbankerna i Sverige. Vissa skulle säkert kunna uppfatta det som att han inte har tillfört något värde för undersökningen eftersom vår undersökning behandlar en jämförelse mellan Handelsbanken och Nordea. Dock var bland annat vårt syfte med informantintervjun att få en bättre och oberoende allmän bild av internrevision med avseende på riskhantering. För att med den informationen kunna utforma mer intressanta och
16 aktuella frågor till respondenterna på Handelsbanken och Nordea. Dessutom är
internrevisionen i många banker likartad då alla uppmanas att följa Finansinspektionens allmänna råd samt styrs av lagar och regler.
Vi är medvetna om att några av frågorna som ställdes till respondenterna på vardera bank i samband med intervjuerna är upplagda så att det kan bli besvarade ur en partisk synvinkel. Frågor som exempelvis handlar om att internrevisionens riskhantering tillför värde eller om internrevisionen är ett effektivt granskande verktyg för styrelsen blir lätt partiska vid tillfrågandet av en internrevisionschef. Dock ska det tilläggas att vi fått en förklaring till varför internrevisionen tillför mervärde. Vidare ska det även poängteras att respondenterna på vardera bank kan ha intresse av att försköna verkligheten och lyfta fram deras verksamhet i bättre dagar.
Intervjufrågorna har innan intervjuerna ägt rum skickats till respondenterna. Nackdelen med detta är att respondenten i förväg kan formulera sina svar och kanske välja att svara på ett sätt som han eller hon inte hade gjort annars. Vi har dock inte upplevt att så är fallet, utan att respondenterna istället talat väldigt fritt med långa svar och inte verkar ha förberett standardiserade svar. Dessutom har vi utan problem kunnat ställa följdfrågor som inte meddelats innan. I enlighet med vad Holme och Krohn Solvang (1997:99) säger har istället intervjuerna präglats av flexibilitet och fått något av en berättarkaraktär.
I enlighet med vad Bell (2005:157) säger anser vi även att det är en fördel att respondenterna innan intervjuerna meddelats frågeställningarna så att de har tid på sig att fundera över vad de ger sig in på. Det är bättre att respondenterna får säga nej till intervjun innan än att tvingas avbryta den eller få reda på att stora delar av intervjun inte kan eller får användas som information i undersökningen.
17
4. Empiri
I det här kapitlet kommer vi presentera den information som framkommit i den kvalitativa undersökningen som genomförts med internrevisionscheferna på Nordea och Handelsbanken. Bankerna presenteras var för sig. Även den information som framkom under
informantintervjun kommer att presenteras i början av kapitlet. De intervjufrågor som använts finns under bilaga I och II .
4.1 Resultat från informantintervjun
Nedan kommer den information som framkom under informantintervjun, med Andreas
Thåberg, att presenteras. Thåberg arbetar som Certified Internal Auditor på KPMG med bland annat konsultarbete inom internrevision mot fristående sparbanker.
4.1.1 Internrevisionens uppbyggnad och dess betydelse för riskhantering
Thåberg anser att granskningen av riskhantering och riskbedömning är en klart viktig uppgift för bankbranschens internrevisionsavdelningar, kanske den viktigaste. Eftersomriskhanteringen eller snarare bristen på riskhantering inom just en bank kan få stora
ekonomiska konsekvenser för banken belyser det vikten av en välfungerande granskning av den interna regelefterlevnaden och den interna kontrollen. En annan uppgift för
internrevisionen är att skapa mervärde för organisationen den granskar. Detta är ett mer diffust begrepp men som kort innebär att internrevisionen ska, om skäl finns, förbättra rutiner och styrdokument inom de affärsområden de granskar.
Inom just bankbranschen är det vedertaget att bygga upp riskhanteringen i tre lager. Det första lagret är riskkontrollen i den operativa verksamheten, i bankbranschens fall ingår t.ex.
kontorsrörelsen i detta lager. I det första lagret strävar man även efter en god internkontroll, som uppnås genom utformning av rutiner och styrdokument för att minimera riskerna i den operativa verksamheten.
I nästa lager finns den så kallade compliance funktionen vars största uppgift är att undersöka att den operativa verksamhetens regelefterlevnad är god. Med regelefterlevnad menas att både lagar och egenutformade regler och rutiner följs. Tanken är att funktionen ska innefattas i organisationen men vara separerad från den dagliga verksamheten för att undvika
intressekonflikter och göra funktionen så oberoende som möjligt gentemot den operativa verksamheten.
18 I det tredje och sista lagret återfinns internrevisionen vars uppgift i första hand är att
oberoende granska compliance funktionen, men även att granska den operativa verksamheten om behov av detta anses finnas från styrelsens sida.
4.1.2 Internrevisionens plan och målsättning med riskhantering
Beroende på storleken på banken fastställs en plan årligen eller kvartalsvis där bankens styrelse ger riktlinjer för hur internrevisionen ska agera under perioden. På sparbankerna där Thåberg arbetar är det vanligt att dessa planer läggs på årsbasis.
Dessa riktlinjer tydliggör vilka risker som ska prioriteras och i vilken omfattning som granskningarna ska göras. I kartläggningen bestäms även vilka kontroller i den operativa verksamheten som ska granskas. Det vill säga att internrevisorerna ser över om den specifika kontrollen är utformad på ett bra sätt och om riskerna kontrolleras på ett tillfredställande sätt. Det görs även sannolikhetsbedömningar att olika risker inträffar som t.ex. risken att
likviditetsbrist eller kreditförlust inträffar, då dessa sannolikheter förändras över tiden bör nya bedömningar göras kontinuerligt, exempel på detta var den bankbranschens akuta
likviditetsbrist som inträffade under hösten 2008, en risk som enligt Thåberg inte ansågs vara lika stor vid årsskiftet 2007/2008.
Enligt Thåberg finns ingen klar kvantifierad målsättning inom internrevisionen inom de sparbanker han arbetar med, men styrelsen förväntar sig att internrevisionen ser till att den årsplan som upprättats efterlevs då internrevisionen gör sina granskningar. Styrelsen förväntar sig även att internrevisionen kommer med förslag på förändringar i processer och rutiner som kan göra verksamheten mer effektiv och riskminimerad.
Thåberg anser vidare att det arbetssätt som används inom de internrevisionsuppdrag han är involverad i fungerar bra och han anser att internrevisionen är ett effektivt granskande verktyg för styrelsen. Det är dock svårt att mäta framgången poängterar han. Det är snarare enklare att mäta när en bedömning visar sig vara felaktig, eller när en process eller rutin som har
granskats av internrevisionen visar sig vara grund till en större ekonomisk skada. Han anser vidare att relationen mellan styrelsen och internrevisionen skulle kunna fungera bättre. Med detta menar han att speciella kontaktpersoner, ett särskilt revisionsutskott, i styrelsen skulle underlätta kommunikationen.
19
4.1.3 Risker och finanskrisens betydelse
När risker upptäcks i verksamheten tas dessa i beaktande i förhållande till storleken på risken och vilken omfattning den har, i större organisationer kan större risker prioriteras framför risker som har mindre skadeverkan. Det görs även beräkningar över sannolikheten att en händelse inträffar och påverkan för organisationen om den uppstår.
Arbetssättet i sig har inte förändrats till följd av finanskrisen, men styrelsen, i de banker som Thåberg arbetar med, har ökat sitt engagemang med internrevisionskonsulterna. För att mer ingående gå igenom hur samarbetet ser ut och vad som kan förbättras. Thåberg tror att krisen har gjort att de externa internrevisorerna och styrelserna har närmat sig varandra.
Största risken alltjämnt enligt Thåbergs bedömning är kreditrisk, det vill säga risken att utgivna krediter inte kan återbetalas till banken.
4.2 Handelsbanken
Nedan kommer den information som framkom under respondentintervjun, med Tord Jonerot att presenteras. Jonerot arbetar som koncernrevisionschef på Handelsbanken. Han har studerat ekonomi vid Lunds universitet. Efter examen arbetade han först fem år på revisionsbyrå som externrevisor. Sedermera började han arbeta på Handelsbankens internrevision och 1993 blev han koncernrevisionschef. I hans roll som koncernrevisionschef är han ansvarig för
Handelsbankens internrevision.
4.2.1 Riskorganisationens uppbyggnad och arbetsfördelning
Enligt Jonerot är Handelsbankens riskorganisation är uppbyggd i tre olika lager. I den
operativa verksamheten har områdesansvariga, dvs. kundansvariga och affärsansvariga ansvar för hanteringen av områdets specifika risker. Den operativa verksamheten innehåller även en speciell avdelning för riskkontroll. Riskkontrollenheten ansvarar för den samlade interna rapporteringen av organisationens samlade risker. Enheten ska identifiera, mäta och övervaka organisationens risker samt informera styrelsen och bankledningen om dessa risker och en analys av hur riskerna utvecklas. Riskkontrollenheten ligger organisatoriskt under
Handelsbankens ekonomichef (CFO) men enhetschefen rapporterar även direkt till VD och styrelsens revisionsutskott.
I nästa lager finns en compliance funktion vars arbete och ansvar är att informera om de risker som kan uppkomma om inte regler efterföljs. Funktionen ska identifiera och bedöma risker
20 samt även hjälpa till vid framtagandet av nya interna regler som ska öka effektiviteten i
riskkontrollen. Compliance avdelningen ska rapportera till riskkontrollenheten och även rapportera till VD och styrelsen i frågor om regelefterlevnad.
I det tredje och sista lagret finns internrevisionen. Internrevisionen svarar direkt mot styrelsen, ett s.k. revisionsutskott i styrelsen har inrättats för att förenkla kommunikationen mellan styrelse och internrevision. I detta utskott ingår tre av styrelsens ledamöter och dessa följer bankens internrevision och riskhantering. Detta ger enligt Jonerot en bättre dialog mellan internrevisionen och styrelsen.
Då Handelsbanken är en decentraliserad organisation får det effekten att även internrevisionen till viss del är decentraliserad och uppdelad på regional nivå under respektive regionbank som har sin egen internrevision. Varje regional internrevision är fortfarande kopplad till den centrala revisionsavdelningen där Jonerot arbetar. Jonerot menar vidare att även fast internrevisionen är uppdelad på regional nivå, ska den vara en oberoende gentemot den regionala operativa verksamheten och arbetar fortfarande som styrelsens verktyg. I internrevisionen på Handelsbanken finns det fem medarbetare som har varsitt
områdesansvar inom affärsverksamheten, dessa lämnar kontinuerligt rapporter med sina analyser som i sin tur koncernrevisionschefen lägger fram för revisionsutskottet. Till revisionsutskottet lämnas även kontinuerligt rapporter från bankens övriga risklager,
riskkontrollen i den operativa verksamheten och compliance avdelningen. En övergripande bild av organisationens uppbyggnad finns i bilaga 3.
Jonerot menar även att i de fall som styrelsen saknar detaljkunskapen om en specifik aspekt av den operativa verksamheten är det viktigt med förtroende mellan styrelse och deras kontaktpersoner inom verksamheten. Det är viktigt att detta förtroende finns och att styrelsen kan förlita sig på att de presenterade rapporterna och analyserna är objektiva och korrekta. Enligt Jonerot brukar styrelsen följa de rekommendationer som de får från internrevisionen.
En årsplan med riskanalys görs årligen för internrevisionen där ledningen för internrevisionen specificerar internrevisionens uppgifter för året och vad som ska granskas. Årsplanen
presenteras för revisionsutskottet som får möjlighet att diskutera och föreslå förändringar innan den godkänns. Internrevisionen anpassar dock planen till omvärlden om något drastiskt händer. Det görs vidare en bedömning av vilka typer av risker som finns utifrån de processer och produkter som innefattas av den undersökta verksamheten. Utifrån detta identifieras
21 risker och en utvärdering görs som tar hänsyn till hur väl internrevisionen tycker att
avdelningen har hanterat de undersökta riskerna.
Enligt Jonerot utför Handelsbankens internrevision, både den operativa och den finansiella revisionen. Till finansiell revision hör bland annat värderingsprinciper av tillgångar.
Operationell revision är gransknig av den egna verksamheten. Jonerot tror att detta skiljer sig från Nordea som enligt honom är mer inriktade på den operativa revisionen.
4.2.2 Internrevisionens oberoende
Oberoendet inom compliance avdelningen är tveksamt enligt Jonerot, då de till skillnad från internrevisionen är underställd bankledningen. Regler och råd som banken styrs av skapar förutsättningar för att arbeta så oberoende som det går, men det är enligt Jonerot svårt att vara helt oberoende. Så länge det inte föreligger intressekonflikter mellan compliance avdelningen och de enheter som den granskar går det enligt Jonerot att få ett visst oberoende. Med
intressekonflikter menas att avdelningarna har en organisatorisk direktkoppling till varandra. Internrevisionen ska självständigt och oberoende granska organisationens verksamhet och Jonerot är tveksam till begreppet oberoende och hur det används i Finansinspektionens allmänna råd. Det beror på hur begreppet oberoende definieras. Totalt oberoende för internrevisionsavdelningen är svårt att uppnå då banken ändå är uppdragsgivare och löneutbetalare. Ingen kan vara helt oberoende i förhållande till detta. Det går dock att vara oberoende, på grund av organisationens uppbyggnad, gentemot de avdelningar som man granskar samt bankledningen då en intressekonflikt inte existerar menar Jonerot .
4.2.3 Internrevisions värde för organisationen
Internrevisionen är en värdeskapande funktion för banken tycker Jonerot, i företagskulturen på Handelsbanken är ”ordning och reda” något som premieras. När internrevisionen granskar centrala avdelningar och kontor ger de ett femgradigt betyg i hur välskött avdelningen är. De kommer vidare med förslag på vad som kan förbättras för att minimera riskerna. Detta är ett bra praktiskt exempel på hur internrevisionen skapar nytta för den övriga organisationen. Jonerot tycker att internrevisionen fyller sitt syfte och är ett effektivt granskande verktyg för Handelsbanken. Han menar att varje organisation måste anpassa sin internrevision efter sin specifika organisation och dess behov och förutsättningar, först då kan internrevisionen bli
22 värdeskapande för organisationen. Inom bankbranschen har internrevision funnits länge, långt före det blev påbud från statligt håll att införa det.
4.2.4 Finanskrisens påverkan på internrevisionens granskning av krediter
Enligt Jonerot har man inte förändrat sin arbetssätt vid granskning av verksamheten alltför mycket på grund av den ökade kreditrisken som följt i och med finanskrisen. Eftersom kreditrisk är något som banken medvetet väljer att exponera sig mot i sin verksamhet är det något som internrevisionen ständigt tar hänsyn till och beaktar i de riskanalyser som de gör. Han poängterar att Handelsbanken även i högkonjunktur måste ta hänsyn till de ökade risker som kan uppstå till följd av en lågkonjunktur. Det gäller alltså att i goda tider förbereda sig för sämre, om detta inte görs kan det få allvarliga konsekvenser. Dock säger Jonerot att man numera till följd av finanskrisen är mer noggrann och restriktiv i bedömningen av t.ex. riskkapitalutlåning då detta är förenat med en högre kreditrisk.4.3 Nordea
Nedan kommer den information som framkom under respondentintervjun, med Eva-Lotta Rosenqvist att presenteras. Rosenqvist arbetar som chef för Nordeas internrevision. Hon har studerat ekonomi vid Lunds universitet. Hon började först arbeta på Riksrevisionsverket och började sedermera på KPMG. 1998 började hon på den bank som senare skulle komma att bli Nordea. Där arbetade hon först som IT revisor och hon blev därefter chef för IT
revisionsavdelningen. Efter detta blev hon ansvarig för revisionen av området Group Proccesing & Technology. Tjänsten som chef för Nordeas internrevision tillträdde hon i november 2007.
4.3.1 Riskorganisationens uppbyggnad och arbetsfördelning
Riskorganisationen inom Nordea är enligt Rosenqvist uppbyggd utefter Finansinspektionens råd med ett riskkontrollsansvar som finns på varje enhetschef. Dessa ansvarar för att den interna kontrollen för dennes verksamhetsområde är god. Det finns även en specifik enhet för riskkontroll inom organisationen. Denna avdelning tar dels fram rutiner för hur företaget ska arbeta med olika risker som de ställs inför och har även en uppföljande roll för att säkerställa att dessa rutiner efterlevs. Riskkontrollenheten ligger organisatoriskt under en områdeschef men har även en direkt kommunikationskanal till VD.
23 Compliance funktionen är det andra lagret av skydd i riskorganisationen. Dess chef
rapporterar dels till riskkontrollschefen samt även till VD:n för att säkerställa oberoende från den övriga verksamheten. Compliance arbetar exklusivt med att se till att lagar och regelverk efterlevs.
Den slutliga kontrollfunktionen inom riskorganisationen är internrevisionen som granskar den operativa verksamheten samt riskkontrollsenheten och compliance avdelningen.
Inom styrelsen finns ett speciellt utskott för revisionsfrågor som fungerar som länk mellan styrelsen och Nordeas internrevision. Utskottet består av tre ledamöter från styrelsen. Trots att den mesta kommunikationen mellan internrevision och styrelsen går via revisionsutskottet har Rosenqvist möten med hela styrelsen ett par gånger per år vid viktiga tillfällen såsom när internrevisionens årsplan ska godkännas och när de periodiska rapporterna presenteras. Rosenqvist anser att det är hennes skyldighet som internrevisor att på ett bra sätt
kommunicera de rekommendationer som internrevisionen sammanställer, så att budskapet går fram.
Då det finns ett utarbetat avtal mellan Nordeas extern- och internrevisorer om vad respektive parts ansvar är möjliggör detta att Nordeas internrevision är mer inriktad på operationell revision Operationell revision består enligt Nordeas definition av att utvärdera ”risk management, control and governance processess”, utifrån följande aspekter; effektivitet, tillförlitlighet av finansiell och operationell information, säkerställande av tillgångar och regelefterlevnad.
Nordeas revisionsprocess är en cykel upplagd på årsbasis. Med detta innebär det att internrevisionen planerar inför kommande verksamhetsår. I denna plan fastslås det sedan vilka områden som behöver särskild granskning, underlag för detta beslut tas bl.a. utifrån tidigare års granskningar, förslag från externrevisorerna, synpunkter från bankens ledning, synpunkter från revisionsutskottet samt en omvärldsanalys. Riskanalysen är kontinuerligt omvärderad, åtminstone kvartalsvis, men den övergripande planen förändras inte under året förutsatt att inte något extremt inträffar. Årsplanen tas sedan upp till hela styrelsen för godkännande. Efter att årsplanen är fastställd och godkänd har man ett antal fokusområden, under 2008 var dessa åtta till antalet, en av dessa var kreditrisk.
Utifrån fokusområdena skapas en projektportfölj, internrevisionen har ungefär 200-250st projekt per år. Varje projekt innebär en detaljerad revision av ett visst område. Dessa områden
24 kan t.ex. vara en process, en enhet eller ett system. Inom detta område måste man i sin tur granska vad som är väsentligt för detta område, t.ex. vilka rutiner och styrdokument som är väsentliga och riskfyllda. Resultaten av dessa revisioner summeras och rapporteras halvårsvis tillbaka till styrelsen och ledningen för att ge feedback på det som granskats.
I årsrapporten ingår även ett s.k. ”Assurance Statement” från internrevisionen till styrelsen, något som Rosenqvist tror fortfarande är unikt för Nordea i Sverige än så länge.
Ett Assurance Statement motsvarar externrevisorns revisionsberättelse som ingår i årsredovisningen. I dokumentet ger internrevisionen uttryck för sin åsikt på risk- och
internkontroll inom organisationen. I dagsläget presenteras dokumentet endast för ledningen och styrelsen. Rosenqvist tycker att denna redogörelse är bra både som ett instrument för att kommunicera internrevisionens sammanfattande bedömning men också som ett instrument i diskussionerna med uppdragsgivaren vilka resurser som internrevisionen behöver för att utföra sina åtaganden och avge ett ”Assurance Statement”.
Vid granskningen av ett specifikt område följer internrevisorerna ett ramverk för hur granskningsprocessen ska gå till. Det första steget är planeringsfasen där man gör en
riskbedömning som sedan omvandlas till ett arbetsprogram som skickas till den granskande enheten och som beskriver vad som ska undersökas. Det är ett brev som i korthet beskriver vad internrevisionen ska göra och tidsramar för granskningen. Sedan följer möten där internrevisorerna förklarar och kommer överens om praktiska saker som kontaktpersoner, intervjuer och tidplaner. Vid själva granskningen inhämtas information, både genom intervjuer och granskning av styrdokument och rutiner. Det görs en bedömning av vilka moment som är kritiska för processen och därefter utförs tester av dessa för att säkerställa att de fungerar som det är tänkt.
Slutligen sammanställs resultaten till en skriftlig rapport som ger rekommendationer till den granskade enheten om de brister eller möjligheter till förbättringar som har upptäckts. Den granskade enheten får även i rapporten tillfälle att ge svar på hur enheten tänkt agera utifrån rapporten. I rapporten ges en sammanlagd rating på det granskade området på en tregradig skala. Rosenqvist poängterar också att granskningen av området inte är slutfört innan en uppföljning är gjord, för att säkerställa att de förändringar som enheten har lovat att göra har genomförts. Alternativt om förutsättningarna förändras så att de ursprungliga riskerna som adresserats i rapporter åtgärdats på annat sätt.
25
4.3.2 Internrevisionens oberoende
Arbetsuppgifterna för revisionsutskottet och för internrevisionen är formaliserad i s.k. charters, som beskriver ansvar och arbetsuppgifter i detalj. Nordeas internrevision ligger utanför den operativa verksamheten och rapporterar direkt till styrelsen via revisionsutskottet. Dock har internrevisionschefen en administrativ koppling till koncernchefen då styrelsen inte är anställda inom den operativa organisationen. Det är koncernchefen som bland annat. godkänner räkningar, vilket faller under den administrativa kopplingen. Men t.ex. tillsättning av Rosenqvists tjänst som internrevisionschef, hennes ersättning mm. beslutas av styrelsen. Rosenqvist anser dock att internrevisionens oberoende är så optimalt som det går att få den med utgångspunkt från att internrevisionen är en del av organisationen. Ett alternativ är att hyra in internrevisionskonsulter som gör granskningen av verksamheten. Rosenqvist tror dock att detta skulle vara negativt för Nordea, då detaljkunskapen om organisationen skulle
försvinna. Rosenqvist tror att detaljkunskap om organisationen är en viktig förutsättning för en god granskning.
4.3.3 Internrevisions värde för organisationen
Rosenqvist menar att definitionen av värde naturligtvis kan diskuteras, det är ett positivt begrepp som Nordea liksom andra revisionsavdelningar vill leva upp till. Det är dock inte lätt att mäta. Nordea försöker mäta det på olika sätt, t ex genom s.k. ”auditee feedback” där den som granskats får ge svar på 5 korta frågor som ger internrevisionen feedback på hur värdefulla deras rekommendationer är för den granskades verksamhet, om internrevisionen förstått den verksamhet vi granskar etc. Med jämna mellanrum tillfrågas även styrelsen om hur de uppfattar internrevisionens arbete. Internrevisionen får goda betyg i denna typ av undersökningar vilket styrker att internrevisionen uppskattas som en värdeskapande enhet.
Internrevisionen i Nordea har en roll som innebär att den ska ge tillförlitlighet till styrelsen på att riskkontrollen fungerar väl. Granskningen och bedömningen i sig är värdeskapande, det hjälper styrelsen att förstå hur verksamheten mår i deras arbete som slutligt ansvariga gentemot aktieägarna. Rosenqvist menar vidare att det är hur internrevisionen genomför arbetet som avgör om internrevisionen uppfattas som värdeskapande eller inte. Ett väl genomfört arbete där internrevisionen har de riktiga kompetenserna för att förstå
verksamheten, har en konstruktiv attityd i arbetet och bidrar till ständiga förbättringar av bankens processer skapar förtroende för internrevisionen.
26
4.3.4 Finanskrisens påverkan på internrevisionens granskning av krediter
Nordea har i samband med finanskrisen intensifierat det förebyggande arbetet motkreditförluster. I årsplanen för år 2009 har man belyst detta då man ska granska bl.a.
proaktiviteten för att upptäcka tänkbara kreditförluster på olika enheter. Detta fokus var enligt Rosenqvist inte aktuellt för drygt ett år sen men har uppstått i och med finanskrisens
utveckling.
Kreditrisk är den största risken för Nordea, vilket kräver att den är välkontrollerad. Vikten av detta visade sig inte minst under bankkrisen under 90-talet som skakade Nordeas föregångare Nordbanken hårt. Regelverket som togs fram för att kontrollera kreditrisken efter detta har varit en bra grund för Nordeas kreditriskhantering. Oavsett om kreditrisken är överhängande eller inte avsätter internrevisionen årligen ansenliga resurser för att se över kreditrisken, även under högkonjunktur när kreditrisken generellt sett anses vara låg
Rosenqvist menar att Nordea har en bra diversifierad kreditportfölj då krediterna är utspridda på flera olika typer av marknader och geografiska områden. Detta är till stor del ett resultat av samtliga enheters arbete med en aktiv hantering av kreditrisken. Rosenqvist sticker dock inte under stolen med att kreditförlusterna kommer att öka för Nordea framöver precis som hon tror att det kommer göra för bankbranschen i stort, något annat vore omöjligt i dagens ekonomiska läge.
27
5. Analys
I det här kapitlet analyserar vi det empiriska resultatet i jämförelse med den valda teorin som undersökningen bygger på. Analysen har i stora delar sin utgångspunkt i modellen som presenterades i början av teorikapitlet.
5.1 Riskorganisationens uppbyggnad och arbetsfördelning
5.1.1 Riskkontroll och internkontroll
Riskorganisationenska enligt Finansinspektionens allmänna råd, som beskrivs av KPMG: s
modell bestå av tre lager av skydd. Det första lagret besår av den operativa verksamhetens riskkontroll och den interna kontrollen. Enligt Finansinspektionen (FFFS 2005:1) bör det finnas en självständig riskkontroll. Riskkontrollen ska sammanställa information som ska ge en allsidig bild av risktagandet i organisationen samt föreslå förändringar i styrdokument och processer som kan minska riskerna i organisationen. Informationen som sammanställs ska rapporteras till styrelse eller ledning.
Den interna kontrollens syfte är att upptäcka fel som kan uppstå i verksamheten, och som kan få till följd att redovisningen blir felaktig eller orsakar ekonomisk skada. Enligt FAR (1982) är styrelsen ansvariga för den interna kontrollen och bestämmer omfattningen av den. De primära målen för internkontroll är enligt IIR att säkerställa organisationens finansiella informations tillförlitlighet och fullständighet, se till att lagar och regler efterlevs samt att organisationens tillgångar är skyddade. Vidare ska även den interna kontrollen verka för ekonomisk och ändamålsenlig användning av resurser och att organisationens mål uppfylls. Detta leder till en god internkontroll som mynnar ut i en framgångsrik riskhantering. Enligt Jonerot är Handelsbankens riskansvar i den operativa verksamheten indelad i olika områden, där områdescheferna ansvarar för sitt områdes specifika risker. Den operativa verksamheten innehåller även en speciell avdelning för riskkontroll. Riskkontrollenheten ansvarar för den samlade interna rapporteringen av organisationens samlade risker. Enheten ska identifiera, mäta och övervaka organisationens risker samt informera styrelsen och bankledningen om dessa risker och en analys av hur riskerna utvecklas. Riskkontrollenheten ligger organisatoriskt under Handelsbankens CFO men enhetschefen rapporterar även direkt till VD och styrelsens revisionsutskott.
28 Riskkontrollen inom Nordea är enligt Rosenqvist uppbyggd med ett riskansvar som fördelas på varje enhetschef. Dessa ansvarar för att den interna kontrollen för dennes
verksamhetsområde är tillfredställande. Det finns även en specifik enhet för riskkontroll inom organisationen. Denna avdelning tar dels fram rutiner för hur företaget ska arbeta med olika risker som de ställs inför och har även en uppföljande roll för att säkerställa att dessa rutiner efterlevs. Riskkontrollenheten ligger organisatoriskt under en områdeschef men har även en direkt kommunikationskanal till VD.
Vi tolkar information som att Handelsbanken och Nordea följer Finansinspektionens råd avseende riskkontrollenheten. Samt att uppdelningen av områdesansvar för riskhanteringen är relativt lika. Vi har noterat att rapporteringen i de båda bankerna är snarlik den som
Finansinspektionen förslår, men även att rapportering sker till närmste chef. Det kan ses som att båda bankerna öppnar för en direkt kanal till ledningen vid behov men att den dagliga kontakten sköts via den närmste chefen. Vi tolkar det även som att den möjliga direktkanalen till ledningen är en del i bankernas arbete att säkerställa ett visst oberoende från den närmaste organisationshierarkin.
Anledningen till att respondenterna inte nämnt interkontrollen särskilt mycket, tror vi beror på att de ser interkontroll, framförallt god internkontroll, som en produkt av deras
riskorganisations arbete och dess måluppfyllnad.
5.1.2 Compliance/Regelefterlevnad
I det andra skyddslagret i riskorganisationen finner vi Compliance/regelefterlevnad. Med regelefterlevnad menar Finansinspektionen (FFFS 2005:1) att lagar, förordningar, och interna regler samt god sed efterlevs. För att se till att regelefterlevnaden upprätthålls föreslår
Finansinspektionen att ytterligare en funktion (en s.k. compliance avdelning) utgör stöd för att organisationen och verksamheten drivs enligt gällande regler. Funktionen rekommenderas vara, precis som riskkontrollen, underställd styrelsen eller VD:n eller annan lämplig beslutsfattare.
Enligt Jonerot består Handelsbankens andra lager i riskorganisationen av
compliance/regelefterlevnad. Funktionens arbete är att informera om de risker som kan uppkomma om inte regler efterföljs. Funktionen ska identifiera och bedöma risker samt även hjälpa till vid framtagandet av nya interna regler som ska öka effektiviteten i riskkontrollen.
