Internrevision i fokus?

45  Download (0)

Full text

(1)

Peter Tjärnkvist

MAGISTERUPPSATS

Malin Åhlin Handledare: Jan Lindvall

Internrevision i fokus?

– En studie av hur en ökad fokus på interna kontroller

påverkar internrevisionens betydelse och roll

FÖRETAGSEKONOMISKA INSTITUTIONEN UPPSALA UNIVERSITET

(2)

Sammanfattning

En allt större fokusering på interna kontroller har gjort att företagsledningen har fått ett ökat ansvar genom olika ramverk som Sarbanes-Oxley Act och Svensk Kod för Bolagsstyrning. Denna fokusering gör att ett av företagsledningens styrsystem, internrevisionen, används i allt större utsträckning och flertalet undersökningar har visat att internrevisionen har fått en ökad betydelse i andra länder än Sverige. Uppsatsens syfte är därför att undersöka hur internrevi-sionens roll och betydelse, i bolagen på Stockholmsbörsens mest omsatta lista, har förändrats genom en ökad fokusering på interna kontroller. Uppsatsen syftar även till att skapa en förstå-else för respondenternas syn på internrevisionens betydförstå-else och roll. För att få svar på syftet har vi valt att göra en kvalitativ undersökning av kvantitativ art i form av kortare telefoninter-vjuer med arton bolag och tre externa revisorer.

Det teoretiska ramverket som ligger till grund för uppsatsen behandlar tre huvudområden,

interna kontroller, internrevisionens betydelse och internrevisionens roll. Interna kontroller

(3)

FÖRORD

Efter en intressant och lärorik period vill vi rikta ett stort tack till de bolag som varit med och möjliggjort studien genom att dela med sig av sin kunskap och erfarenhet inom det undersökta området.

Vi vill även tacka Jan Lindvall, vår handledare på Företagsekonomiska Institutionen vid Uppsala Universitet, för stöd och vägledning under arbetets gång.

Uppsala, 1juni 2005

(4)

Innehållsförteckning

1 Inledning ...5 1.1 Problemdiskussion ...5 1.2 Studiens syfte ...6 1.3 Uppsatsens disposition ...6 2 Teoretiskt ramverk...7 2.1 Interna kontroller...7

2.1.1 Vad är intern kontroll...7

2.1.2 COSO...8

2.1.3 Interna kontroller i fokus...8

2.2 Internrevision ...10

2.2.1 Internrevision och ramverken den styrs av ...10

2.2.2 Varför skall bolagen ha en internrevision ...11

2.2.3 Internrevisionens betydelse...12

2.2.4 Internrevisionens roller ...13

2.2.4 Fokus på internrevision och rollkonflikter ...15

3 Metodologiskt ramverk ...17

3.1 Angreppssätt...17

3.2 Undersökningsmetod ...17

3.2.1 Urval och respondenterna ...18

3.3 Tillvägagångssätt...19

3.3.1 Intervjumetod och problematik...19

3.3.2 Validitet och reliabilitet ...20

4 Empiriskt ramverk ...22

4.1 Intervjuer med representanter från bolagen...22

4.1.1 Interna kontroller ...22

4.1.2 Internrevisionens betydelse...23

4.1.3 Internrevisionens roller ...25

4.2 Intervjuer med externa revisorer ...28

4.2.1 Interna kontroller ...28 4.2.2 Internrevisionens betydelse...29 4.2.3 Internrevisionens roller ...31 5 Analys ...34 5.1 Påverkan på betydelsen ...34 5.2 Påverkan på rollen ...37 6 Slutsats...40 Källförteckning

(5)

1

Inledning

Detta kapitel inleds med en problembakgrund som leder läsaren in i ämnet och mynnar ut i uppsatsens problemformulering. Därefter följer uppsatsens syfte och avslutningsvis ger vi en bild av uppsatsens disposition. Syftet med detta kapitel är att ge läsaren en introduktion till vårt problem och motivera till fortsatt läsning.

1.1

Problemdiskussion

Organisationer idag kan beskrivas som föränderliga och komplexa. Företagsledningen, utsedd av styrelsen, fattar besluten och har makten att förändra och effektivisera organisationen. In-terna kontroller eller intern styrning används som ett verktyg för företagsledningen att se till att människorna inom organisationen uppfyller de uppsatta målen och handlar på ett optimalt sätt ur bolagets perspektiv. För att försäkra sig om att den interna kontrollen och styrningen är effektiv, och för att upptäcka risker, har många organisationer en internrevisionsfunktion som rapporterar till företagsledningen och styrelsen. Dess främsta uppgift är att utvärdera risker och effektiviteten i de interna kontrollerna så att de kan förbättras och garantera att inga fel uppstår i den finansiella rapporteringen (IIA, 2005).

För bara ett årtionde sedan sågs internrevision som den minst glamourösa delen av revisions-professionen (Nixon, 2005). Med bolagens ökade storlek och komplexitet har internrevisio-nens betydelse ökat och är idag en kritisk faktor för att bestämma kvaliteten i bolagens interna kontroller (Woolf, 1994). Med det nya regelverket Sarbanes-Oxley Act1 och speciellt avsnitt

404 som är inriktat på hur den interna kontrollen och styrningen bör se ut, är behovet och be-tydelsen större än någonsin. Med SOX har företagsledningen och revisorerna fått ett ökat an-svar när det gäller riktigheten i de finansiella rapporterna. I Sverige är det ett fåtal (Svernlöv och Blomberg, 2003) av alla börsnoterade bolag som berörs direkt av den nya lagen men även i Sverige har en ny rekommendation, Svensk kod för bolagsstyrning2, uppkommit. Denna är

ansedd som en ”SOX version light” (Hult och Bernhardtz, 2004) där interna kontroller och bolagets styrning också betonas. Med de hårdare kraven har många bolag tvingats se över och förbättra sina interna kontroller. En förväntad konsekvens av en större fokus på interna

1 Den vardagliga benämningen på Sarbanes Oxley Act är förkortningen SOX, vilken kommer att användas genomgående i uppsatsen.

(6)

troller, och kravet på en försäkran om att rapporteringen skall kunna dokumenteras och bevi-sas, är att behovet och betydelsen av en internrevision kommer att växa (Ernst & Young, 2004). Att internrevisionen har ökat i andra länder har visats genom olika undersökningar och i Storbritannien har exempelvis internrevisionen ökat i bolagen med 25 % på tre år (Nixon, 2005). Hur internrevisionens roll och betydelse har förändrats i svenska bolag med de ökade kraven är så vitt författarna vet inte dokumenterat och ett område som inte uppmärksammats i någon större utsträckning. Detta leder oss in på frågan:

Hur har internrevisionens betydelse och roll i Sverige förändrats genom en ökad fokus på in-terna kontroller och hur ser bolagsledning och revisorer på internrevisionens betydelse och roll?

1.2

Studiens syfte

Syftet med uppsatsen är att undersöka användningen av internrevisionen och vilken föränd-ring internrevisionens betydelse och roll har haft, från 90-talet till i dag, i bolagen på Stock-holmsbörsens mest omsatta lista. Vi ämnar även skapa en förståelse för respondenternas syn på internrevisionens betydelse och roll.

1.3

Uppsatsens disposition

1. Inledning

Här introduceras läsaren till det problemområde och syfte som vi ämnar undersöka.

4. Empiriskt ramverk

Här presenterar vi resultatet av

undersökningen på ett enkelt och strukturerat sätt som förebereder läsaren för analysen.

6. Slutsats

I detta kapitel redogörs för de viktigaste slutsatserna som kunnat göras av den föregående analysen. Här besvaras det inledande problemet och syftet

5. Analys

I analysen kopplas teori och empiri samman för att utreda problemet och syftet som formulerades i inledningen.

2. Teoretiskt ramverk

Denna del verkar som en grund för uppsatsens fortsatta inriktning och för att ge läsaren en klar bild över de områden som undersöks.

3. Metod

(7)

2

Teoretiskt ramverk

Detta kapitel inleds med en modell som visar hur intern kontroll påverkar internrevisionens betydelse och roll. Därefter ges en introduktion till interna kontroller följt av vad som menas med god intern kontroll samt en diskussion kring de senaste årens ökade fokus på intern kon-troll. Efter de ökade kraven följer en förklaring till internrevisionen och ramverken den styrs av och slutligen redogör vi för internrevisionens betydelse och roll.

2.1

Interna kontroller

I detta kapitel kommer vi att visa hur intern kontroll påverkar internrevisionens betydelse och internrevisionens roll. Sambanden förklaras i denna modell:

2.1.1 Vad är intern kontroll

Interna kontroller i ett bolag bygger på rutiner som är utformade efter bolagets resurser och målet med de interna kontrollerna är att se till att exempelvis transaktioner utförs enligt före-tagsledningens allmänna eller särskilda godkännande (FAR, 2003).

Eftersom felaktigheter kan uppstå, i redovisningen och i de mätsystem som används, är det viktigt att ledningen är medveten om riskerna. Felkällorna kan exempelvis vara att outbildad arbetskraft utför transaktioner felaktigt och att erfarna medarbetare gör fel till följd av ett högt arbetstempo (Simons, 2000). I extrema fall kan även anställda förskingra bolagets resurser, det vill säga bedrägeri. Till följd av dessa oundvikliga risker är det ett måste att varje bolag implementerar kontroller som säkerställer kvaliteten på bolagets redovisningsdata. (Ibid.) En

Intern kontroll

– COSO’s ramverk

– Ökat fokus med SOX och Koden – Ökat ansvar på företagsledningen – Krav på revisionskommitté Internrevisionens betydelse – Användningen ökar – Ökat oberoende – Ökad status Internrevisionens roller – Mer övervakande – Mindre rådgivande

(8)

riktig och fullständig redovisning är oftast en förutsättning för god planering och kontroll inom bolaget. (FAR, 2003)

En god intern kontroll kan enligt FAR3 (2003) erhållas genom att kombinera generella och rutinorienterade kontroller. Generella kontroller bygger på att bolaget har en klart utformad ansvars- och arbetsfördelning. Rutinorienterade kontroller handlar om att lägga in olika kon-troller i kontrollsystemet. Dessa konkon-troller kan exempelvis vara manuella konkon-troller, pro-grammerade kontroller eller en kombination av dessa och syftar främst till att säkerställa full-ständighet och riktighet samt till att endast godkända transaktioner behandlas.

2.1.2 COSO

The Committee of Sponsoring Organizations of the Treadway Commission4 (COSO) är en organisation som jobbar med att ta fram ramverk för hur bolag kan höja kvalitén på den eko-nomiska rapporteringen genom bedömningar av bolagsetiken, effektiviteten på de interna kontrollerna och bolagsstyrningen. Idag är det tusentals bolag över hela världen som använder COSO’s ramverk och har för många blivit en standard för utformningen av intern kontroll. COSO definierar intern kontroll som en process där hela organisationen tillsammans arbetar för att kunna ge en rimlig försäkran beträffande måluppfyllelse genom: effektivitet i verksam-heten, trovärdighet i den finansiella rapporteringen och uppfyllande av förordningar. För att skapa ett effektivt intern kontrollsystem måste fem centrala komponenter beaktas. Dessa är kontrollmiljö, riskbedömning, information och kommunikation, kontrollaktiviteter och över-vakning. (COSO, 2005)

2.1.3 Interna kontroller i fokus

Till följd av de senaste årens redovisningsskandaler, till exempel Enron och WorldCom, har regelverket SOX skapats i USA och nya rekommendationer getts ut i flertalet länder däribland den svenska Koden. SOX är en tvingande amerikansk lag som trädde i kraft juni 20025 men berör alla bolag som har aktier inregistrerade på de amerikanska börserna eller har tagit upp publika lån i USA. Detta innebär att några svenska bolag även berörs av SOX. Syftet med

3 FAR är en vedertagen förkortning av Föreningen för revisionsbyråbranschen.

4 Den vedertagna förkortningen COSO kommer fortsättningsvis att användas som referens till The Committee of Sponsoring Organizations of the Treadway Commission.

(9)

lagen är att minska risken för felaktig rapportering och bedrägerier samt skydda investerare genom en ökad noggrannhet och pålitlighet i bolagens finansiella rapportering och annan in-formation som lämnas till aktiemarknaden (Svernlöv och Blomberg, 2003). Enligt Securities and Exchange Committee, amerikanska motsvarigheten till finansinspektionen, ska alla bolag som omfattas av SOX uppfylla nedanstående krav (Svernlöv och Blomberg, 2003, s1).

- Tillsätta oberoende revisionskommittéer

- Kräva att VD och ekonomichef intygar redovisningens riktighet. - Byta huvudansvarig revisor vart femte år.

- Under vissa förutsättningar upphöra med att lämna penninglån till sina företrädare. Lagen är uppdelad i flera olika avsnitt varav avsnitt 404 är den del som av många anses ha störst påverkan på bolagen (Deloitte, 2005). Avsnitt 404 handlar om ledningens ansvar för att det finns väl fungerande interna kontroller och att alla processer och risker i verksamheten dokumenteras. Med lagen har VD och finanschef fått ett tydligare ansvar och skall i årsredo-visningen intyga och skriva under på att de interna kontrollerna är i överensstämmelse med de krav som ställs i lagen samt lämna en bedömning av effektiviteten i den interna kontroll-strukturen (Sarbanes-Oxley, 2005).

Huvudsyftet med den svenska Koden är att den ska ge vägledningen för hur svenska bolag ska förbättra styrningen i bolagen. Koden kan ses som en förenklad version av SOX men skiljer sig genom att den är anpassad efter aktiebolagslagen och att den bygger på principen ”följ eller förklara” (”comply or explain”) som tillämpas i flertalet utländska koder (Kodgruppen, 2004). Principen innebär att bolag som väljer att avvika helt från koden eller enskilda regler måste avge en förklaring där skälen för avvikelsen anges.6 En annan skillnad

är att styrelsen är ansvarig för bolagets interna kontroller istället för VD och CFO. Styrelsen är också i likhet med SOX tvungen tillsätta en revisionskommitté. Koden riktar sig främst till börsnoterade bolag eftersom frågor angående bolagsstyrning har sin främsta betydelse i bolag med bred ägarspridning. Meningen är att stärka effektiviteten, konkurrenskraften och förtro-endet på den svenska kapitalmarknaden och samhället i stort (Kodgruppen, 2004).

Det har varit mycket debatt kring Kodens utformning och även SOX har fått stor uppmärk-samhet. Det är inte alla som är positiva till att ramverket kan uppfylla sitt syfte. I en tidskrift,

(10)

Agenda, från PriceWaterhouseCoopers (2004 s 18) påpekar Magnus Lindqvist, CFO Autoliv, att:

”Vill man lura systemet, så kan man göra det även i fortsättningen. Jag tycker det här är överbyråkratisering av detaljer. Visst är det bra att man ser över sina ruti-ner och kontrollmekanismer och att man kvalitetssäkrar sina processer. Men pen-deln har slagit över för långt åt regleringshållet.”

Denna inställning till intern kontroll kan enligt Kropatkin (1987) vara till skada för bolaget. Han menar att det inom många bolag finns oenighet om vad god intern kontroll är och hur den skall utföras. Det är därför viktigt att företagsledningen har en positiv inställning till den in-terna kontrollen och ramverken eftersom deras handlingar påverkar organisationens attityder. Dessa ökade krav på intern kontroll kommer med all säkerhet att leda till att komplexiteten ökar och att ledningens ansvar utökas. Detta skulle enligt Ouchi (1975) och Woolf (1994) vara en indikator på att företagsledningens styrsystem, internrevisionen, får en allt viktigare roll och betydelse när företagsledningen har ett större incitament att försäkra sig om att den interna kontrollen fungerar väl.

2.2

Internrevision

2.2.1 Internrevision och ramverken den styrs av

Till skillnad från den externa revisorn arbetar internrevisorn på företagsledningens uppdrag och är ett av företagsledningens instrument för granskning och värdering av den interna styr-funktionens effektivitet och säkerhet. Internrevisionen arbetar främst med att utvärdera och föreslå förbättringar i de interna kontrollerna och bör inom bolaget ligga som en funktion un-der styrelsen. Internrevision definieras enligt The Institute of Internal Auditors7 enligt följande (IIA, 20058):

“Internrevision är en oberoende, objektiv försäkrings- och konsultaktivitet utfmad för att skapa värde och förbättra organisationens processer. Den hjälper

7 The Institute of Internal Auditors är en organisation som startades 1941 och dess syfte är att vara en global röst för yrkesgruppen interna revisorer. De utger standards på området och certifierar interna revisorer. The Institute of Internal Auditors benämns fortsättningsvis IIA.

(11)

ganisationen att uppnå sina mål genom en systematisk och disciplinerad utvärde-ring och förbättutvärde-ring av effektiviteten i riskhanteutvärde-ring, styrning och ledningsproces-ser”.

Internrevisionsprofessionen har genom IIA ett uppställt ramverk, Professional Practices

Framework9, för hur en internrevisor bör agera, förhålla sig till bolaget och vilken dennes syfte skall vara (IIA, 2005). I Sverige arbetar organisationen Internrevisorerna, som är en del av IIA, med att försöka översätta och anpassa PPF till svenskt regelverk (Internrevisorerna, 2005). PPF handlar om syfte, professionalism, oberoende och objektivitet. Internrevisionens syfte är att utvärdera och upptäcka brister i kontroll, styrning och riskhantering och ge förslag på förbättringar till företagsledningen i en konsulterande oberoende roll. Genom olika krite-rier för utvärdering av kontrollprocesser kan internrevisionen upptäcka om målen med kon-trollen har nåtts och effektiviteten i kontrollprocessen är tillfredsställande. Om så inte är fallet skall internrevisionen arbeta med företagsledningen för att förbättra dem. De etiska reglerna som också ryms inom PPF säger att internrevisionen skall vara oberoende från företagsled-ningen och skall även undvika att hamna i situationer där deras arbete och roll kräver att de kan försäkra en process från fel som de tidigare har varit med att utforma (IIA, 2005).

2.2.2 Varför skall bolagen ha en internrevision

Enligt Simons (2000) spenderar företagsledningen normalt lite tid med att designa och överse interna kontrollsystem trots att det är deras ansvar att ta beslut kring detta. De delegerar istäl-let ansvaret till utbildade redovisare eller revisorer som enligt Burch och Sardinas (1978) normalt sett har ett ansvar att rekommendera och ge synpunkter på hur kontrollfunktionen är utformad. Trots detta måste företagsledningen ta ansvaret för en dålig intern kontroll och det ligger på företagsledningen att väga kostnaderna för mer styrning mot nyttan, det vill säga minimeringen av riskerna (Burch och Sardinas, 1978). Chambers et al (1987) menar i sin tur att det finns ett behov från företagsledningen att kunna försäkra sig om att de interna kontrol-lerna fungerar tillfredsställande och ger den information som är nödvändig för att ta beslut. Denna försäkran kan fås genom egna ansträngningar och övervakningar eller genom internre-visionen. Chambers et al (1987) menar att behovet av en internrevision kommer att bli större i situationer som är svåra att kontrollera och där företagsledningen inte själva har kunskapen att

(12)

försäkra sig om riktigheten i informationen. Kropatkin (1987) anser att anledningen till att bolagen anställer internrevisorer är för att ge en professionell kritik av de interna systemen.

2.2.3 Internrevisionens betydelse

Enligt Nixon (2005) har internrevisionen under de senaste tio åren fått en allt större betydelse inom bolagen och de ökade kraven på intern kontroll har gjort att företagsledningens förtro-ende för internrevisionsfunktionen är stort och har ökat. I Nixons artikel (2005) påpekar James Paterson, chef för Internrevisionen inom Astra Zeneca, att det krävs en väldigt modig bolagsledning för att inte ta internrevisionens arbete på största allvar i det rådande klimatet. Paterson menar även att en stor skillnad från tidigare är att företagsledningen och även lägre chefer hellre frågar internrevisionen om råd före besluten fattas.

I föregående avsnitt introducerades IIA som en organisation som arbetar med att ge ut stan-dards men de arbetar även med att certifiera internrevisorer för att höja statusen på yrket. Att en certifiering ökar statusen styrks av Chambers et al (1987) som menar att en person med en uttalad profession kommer att få mer respekt inom en organisation eller av kollegorna. Detta eftersom respekten grundar sig på att kunskapen personen har är viktig för organisationen och en profession fungerar då som ett bevis på denna kunskap. En liknelse kan göras med den externa revisionens auktorisation vilket gör att denne anses lämplig att agera för aktieägarna och revidera stora börsbolag.

Införandet av revisionskommittéer, som är ett av kraven i Koden och SOX, kommer troligtvis också öka betydelsen och statusen för internrevisorerna. Att styrelsen inför en revisionskom-mitté betyder att internrevisionsfunktionerna får en speciell enhet inom styrelsen som de kan rapportera till. Revisionskommittén har som uppgift att koordinera revisionen vilket gör att internrevisionen blir direkt underställda dem istället för under den verkställande ledningen. Nackstad (1989) framhöll i en artikel i tidningen att det enda hållbara argument till revisions-kommittéernas fördel är att internrevisorernas status skulle öka genom att de blev mer obero-ende från ledningen.

(13)

hu-vudansvaret för att de interna kontrollerna fungerar tillfredsställande och att informationen är korrekt (Smith et al, 1968). Kropatkin (1987) anser att koordineringen mellan interna och externa revisorer ofta misslyckas trots att de har likvärdiga kunskaper och standards. Han menar därför att det är viktigt att företagsledningen förstår vikten av ett nära samarbete. Nackstad (1989) framhåller att det är ofta de externa revisorerna som får ta på sig ansvaret för att resultatet av internrevisorernas arbete får den uppmärksamhet det förtjänar.

För att internrevisionen skall kunna utföra sitt arbete krävs det att de har de resurser som behövs för att kunna utföra internrevisionen på bästa möjliga sätt och det är något som före-tagsledningen och styrelsen ansvarar för. IIA (2005) anser att bolagen har störst nytta med en internrevisionsfunktion som har stora resurser och kompetent personal. En sådan internrevi-sionsfunktion har möjligheten att förse organisationen med värdehöjande tjänster som är kritiska för att öka effektiviteten. Enligt en artikel av Herolf, i tidskriften Agenda (PriceWaterhouseCoopers, 2004), innebär de nya regelverken att bolagen måste utöka sina resurser för intern kontroll vilket leder till att särskilt internrevisionsavdelningarna kommer att behöva utökas. Denna åsikt stöds även av Hult och Bernhardtz (2004) som tror att införan-det, av det som Koden kräver, tar betydande resurser i anspråk och att bolagen i många fall behöver inrätta en internrevisionsfunktion.

2.2.4 Internrevisionens roller

Inom bolaget kan internrevisorn ikläda sig flera olika roller där rollerna som övervakare och rådgivare är de centrala.

(14)

medlemmar av organisationen som ska implementera sina rekommendationer och sedan utforma system för att upprätthålla dem. Chambers et al (1987) menar också att internrevisionen ofta utför rutinärenden såsom att utföra avstämningar av till exempel betalningar innan de slutförs. Problemet med detta enligt dem är att alla kontroller av rutinärenden som görs av internrevisionen hindrar internrevisionen från att senare utföra en effektiv och objektiv kontroll av dessa avstämningar. Chambers et al (1987) ställer sig därför frågande till hur internrevisionen kan kontrollera det de själva har varit med att utföra.

Utvecklingen av rollen har enligt Chambers et al (1987) gått från att vara redovisnings och finansiellt inriktad till mer operationell. På senare tid har också riskhantering blivit en mycket viktig del av övervakningen och enligt Nixon (2005) fokuserar nu internrevisionen mer på affärsrisker som helhet istället för andra mer specifika frågor. Matyjewicz och D’Arcangelo (2004) menar att internrevisionen främst arbetar med att bestämma och utvärdera risk mana-gement aktiviteter uppsatta för att styra riskerna till en acceptabel nivå och bedöma effektiviteten i dessa aktiviteter. När risker i de interna kontrollerna har identifierats kan internrevisionen gå över till en rådgivande roll där de rekommenderar hur företagsledningen skall angripa problemet (ibid.)

(15)

ställ-ning i bolaget respektive koncernen (ibid). Enligt Bridge och Moss (2003) har de externa revisorerna stor nytta av internrevisionens arbete och de tar denna i beaktande i fråga om vilken typ av kontroll som gjorts, när den utfördes och hur ofta. De påpekar att det är mycket viktigt med ett nära samarbete mellan internrevisor och externrevisor. Kropatkin (1987) är av samma åsikt och betonar att företagsledningen bör se till att internrevisionsfunktionen arbetar effektivt med de externa revisorerna. Enligt honom gör ett effektivt samarbete att den totala revisionen täcker in de väsentliga delarna bättre vilket leder till kostnadsbesparingar och att risken för fel i den finansiella rapporteringen minimeras.

2.2.4 Fokus på internrevision och rollkonflikter

Med en allt större medvetenhet från bolagens sida att det är nödvändigt med en stark intern kontroll har internrevisionens roll utökats markant (Nixon 2005). En allt större fokusering på att implementera de nya ramverken har dock skapat ett problem eftersom tid, pengar och personalbrist gör att internrevisionen får ikläda sig många olika roller (IIA, 2004). En viktig del av kontrollprocessen är själva dokumenteringen som ligger till grund för ledningens undertecknande (Bridge och Moss, 2003). Internrevisionen kan assistera med denna dokumentation i bolaget men det är viktigt att de gör det inom ramen för sitt oberoende. Enligt en artikel från IIA (2004) används också internrevisionen i allt högre grad när olika projekt skall utföras. Deras roll vid dessa är att samverka med projektledare och övervaka att utformningen av kontrollsystem inom det specifika projektet håller den kvalité som den övriga organisationen har.

I tidsskriften Agenda (PriceWaterhouseCoopers, 2003 s18) förklarar Hans Löfgren, specialist på internrevision, varför inte internrevisionen fungerar effektivt i många bolag:

”En värdeskapande effektiv internrevision bygger på ett tätt samspel mellan sty-relse, vd, externrevisorer och internrevisorer. Internrevisorn ska vara obero-ende/objektiv men involverad, många gånger igångsättare av förändringsarbete. Han eller hon ska följa och utvärdera risk management-, kontroll- och lednings-processerna noga men utan att vara operativt ansvarig. Det täta samspelet med klara roller finns inte alltid i dag”

(16)
(17)

3

Metodologiskt ramverk

Detta kapitel behandlar först angreppssättet och sedan undersökningsmetoden som använts i uppsatsen. Under den sistnämnda huvudrubriken redogörs även för urvalet och responden-terna. Därefter följer tillvägagångssättet där vi har specificerat hur datainsamlingen har gått till och vad som har varit problematiskt med telefonintervjuerna. Avsnittet avslutas med en diskussion om validitet och reliabilitet.

3.1

Angreppssätt

Vårt sätt att se på problemet i denna studie ligger mer åt en beskrivande och förklarande syn men med vissa inslag av tolkning och förståelse. Vad vi menar med detta är att vi avser att undersöka och förklara internrevisionens roll inom bolaget men samtidigt skapa en förståelse för hur de som använder sig av internrevisionen ser på dess roll och betydelse. Enligt Johansson-Lindfors (1993) kan det också vara svårt att enbart inrikta sig mot ett av de båda synsätten i en undersökning. För att uppnå detta har vi skapat en teoretisk referensram som tar upp internrevisionsfunktionens betydelse och roll. Utifrån denna har sedan en modell och frågor utformats för att kunna närma oss den empiriska verkligheten och för att kunna skapa en bas med vilka jämförelser om olika roller och funktioner skall kunna göras. Detta kan liknas vid ett deduktivt sätt att angripa problemets art (Johansson-Lindfors 1993). När det gäller bolagens och revisorernas syn på internrevisionens roll och betydelse är det inte lika självklart att utgå från det teoretiska ramverket och sedan jämföra med de empiriska resultaten. Här måste istället en möjlighet till tolkning och förståelse kunna generera en ny kunskap om det specifika problemområdet vilket kan liknas vid deduktionens motsats, induktion (Johansson-Lindfors, 1993).

3.2

Undersökningsmetod

(18)

mer in på djupet. I denna undersökning är dock bredden viktigare än djupet och därför har vi valt att göra kortare telefonintervjuer med alla bolag. Valet av telefonintervjuer istället för en enkätundersökning görs på grund av att en enkätundersökning inte ger samma möjlighet till förståelse som en intervjusituation gör.

3.2.1 Urval och respondenterna

För att besvara problemet och för att avgränsa undersökningsobjekten till organisationer med liknande kravbild har vi valt att vända oss mot 26 bolag noterade på Stockholmsbörsens mest omsatta lista. Valet av bolag på Stockholmsbörsens mest omsatta lista beror på att de har större incitament att följa de nya kraven på bättre interna kontroller genom att flertalet är tvingade att implementera SOX och övriga bör följa Koden. Av de 26 bolagen fick vi kontakt med kunde 18 av dem ställa upp i undersökningen10. Den yrkesgrupp vi har valt att vända oss

mot är bolagens ekonomidirektör, CFO, eftersom denne sitter i företagsledningen och har eller har haft ett operationellt ansvar över internrevisionsfunktionen. I några bolag har det ej varit möjligt att få kontakt med CFO eller så har denne inte ansett sig lämplig att besvara våra frågor. I dessa fall har vi istället intervjuat chefer för internrevisionsavdelningarna eller group controllers inom koncernerna i Sverige. De externa revisorerna ha valts ut på grund av att vi vill belysa internrevisionsavdelningarnas roll vid ett närmare samarbete med externrevisionen och de externa revisorernas syn på dess funktion och roll. Vi har därför vänt oss till auktorise-rade revisorer som har en mycket god kunskap om internrevisionens roll och i sitt arbete kommit i kontakt med internrevisionsavdelningar på större bolag.

Bolag från Stockholmsbörsens mest omsatta lista

ABB Astra Zeneca Atlas Copco

Ericsson FöreningsSparbanken Gambro

Getinge Handelsbanken Holmen

Nordea Sandvik SCA

Scania Skanska SKF

SSAB Trelleborg Volvo

Externa revisorer

Deloitte KPMG PriceWaterhouseCoopers

(19)

De personer vi har intervjuat är fördelade på fem group controllers, nio CFO, fyra internrevi-sionschefer och tre auktoriserade revisorer. Vi kan inte urskilja att det skulle vara till vår nackdel att respondenterna är utspridda över olika verksamhetsområden utan vi ser det istället som en fördel då vi får in olika tankar och åsikter.

3.3

Tillvägagångssätt

Den första kontakten med respondenterna togs via e-post där vi presenterade vår undersök-ning och frågade om de kunde tänka sig att ställa upp på en kortare intervju. Där vi inte fick något svar via mejl ringde vi upp efter en vecka för att få bekräftelse på att mejlet nått dem och om de kunde ställa upp. Denna metod att närma oss bolagen var en bra metod vilket utfallet på 18 av 26 bolag visar och betoningen på att det var en kort telefonintervju har troligtvis förbättrat vår access. En intervjumall skapades så att vissa frågor skulle ge ett mer specifikt svar medan andra tillåter att respondenten för fram sina tankar och idéer. Respondenten fick tillgång till 5-7 huvudfrågor men samtidigt har den som intervjuat haft tillgång till mer specificerade frågor för att säkerställa att respondenten berörde de områden vi ville belysa11. Den som utförde intervjun behövde alltså inte strikt hålla sig till dessa huvudfrågor, utan har dem endast som stöd vilket gör att de går att variera med den specifika intervjusituation som råder. Frågornas struktur har byggts upp kring de tre basblock som kan urskiljas ur teorin men varierar med vilken typ av respondent som besvarar frågorna. Detta har tillämpats på grund av att vissa inte har någon internrevision och kan således inte besvara specifika frågor rörande internrevisionens roll. Frågorna till de externa revisorerna är också av en annan karaktär eftersom de är riktade mot deras syn på internrevisionen i allmänhet och inte specifikt mot något bolag12.

3.3.1 Intervjumetod och problematik

Eftersom alla intervjuer i denna undersökning är telefonintervjuer gör att förutsättningarna i grunden är lika för alla respondenter. Intervjuerna varade mellan 15 och 30 minuter och spelades in på band. Att intervjuerna bandades är något som kan orsaka ett obehag för respon-denten. Vi har vid intervjuerna inte uppfattat att detta skulle vara till en nackdel och vår garanti att svaren skulle anonymiseras har antagligen gjort att respondenten varit tillmötesgå-ende och kunnat tala obehindrat. Telefonintervjuer valdes för att vi skulle få största möjliga

(20)

access eftersom det är högt uppsatta personer inom bolagen som ingår i undersökningen och de har oftast inte tid med en längre personlig intervju.

Valet av telefonintervju lämpade sig även väl då vi ämnade undersöka ett större antal bolag och djupintervjuer är då inte möjliga på grund av uppsatsens tidsram. Annan kritik som kan riktas mot en telefonintervju är att respondenten och den som intervjuar inte ser varandra och kan på så sätt inte observera respondentens uttryckliga reaktioner. Ytterligare kritik är att det inte går att ställa allt för komplicerade frågor och att personen som intervjuar förlorar kon-trollen över vad som händer runt respondenten vid tidpunkten för intervjun (Eriksson och Wiedersheim-Paul, 1999). I de flesta fall har intervjuerna bokats in på förhand och vi får därmed förutsätta att de respondenterna avsatt tid för intervjun och därmed varit fullt tillgängliga. I de fall där det blev mer spontana intervjuer har författarna inte märkt av något som skulle göra att intervjun blivit påverkad på något sätt. Det är trots allt en risk med telefonintervjuer och vi kan aldrig med säkerhet inte avgöra om så är fallet. Alla respondenter som har ingått i undersökningen har varit väl pålästa och kunnat besvara våra frågor på ett mycket bra sätt. Risken med att frågorna delas ut innan är naturligtvis att respondenten får en möjlighet att ge de svar som är mest fördelaktiga ur bolagets synvinkel vilket kan ge en falsk bild av verkligheten. I vårt fall ser vi dock inte detta som en nackdel eftersom svaren anonymiseras och fördelen med att skicka ut frågorna på förhand säkerställer att vi får kontakt med rätt person.

3.3.2 Validitet och reliabilitet

(21)
(22)

4

Empiriskt ramverk

Detta kapitel är indelat i två olika huvuddelar där vi redogör för intervjuerna med respon-denterna från bolagen och revisionsbyråerna åtskilda. Intervjuguiden är uppdelad i tre block och därför redovisas även empirin i dessa block. Eftersom respondenterna är anonymiserade åtföljs alla citat i detta kapitel av en fotnotsreferens där respondenterna numreras för att lä-saren skall kunna följa vilka och hur många respondenter som citeras.

4.1

Intervjuer med representanter från bolagen

4.1.1 Interna kontroller

Av våra respondenter har de flesta påverkats av ett ökat fokus på de interna kontrollerna. Fyra av bolagen har ett krav på att implementera ramverket SOX och har därför gjort många an-passningar av de interna kontrollerna. Även flertalet av de bolag som inte direkt berörs av SOX har också märkt av ett ökat tryck, då främst från Koden, men också att det är generellt mer fokus inom bolaget på att förbättra den interna kontrollen. Ingen av de banker som ingick i undersökningen har berörts nämnvärt av eftersom det traditionellt inom bankväsendet varit ett mycket högt krav på en god intern kontroll.

Av de bolag som påverkats av ett ökat krav har merparten på något sätt anpassat de interna kontrollerna och det är COSO’s ramverk som ligger till grunden för vad de interna kontrol-lerna bör omfatta. Några bolag anser att de redan har en god intern kontroll inom koncernen och att några anpassningar därför inte har gjorts. ”Vi har en god intern kontroll och den är

dokumenterad på ett sätt som kan förvänta sig av ett börsbolag” 13, är en av de kommentarer

som framkom i undersökningen. Många bolag, speciellt de som berörs av SOX, har vid en genomgång av de interna kontrollerna insett att det finns brister som kan rättas till. En respondent i ett bolag som berörs av SOX förklarar: ”Vi tyckte att vi hade en bra intern kon-troll innan och det tyckte våra revisorer med, men vi ser med SOX att det finns mer att göra”

14. Vi ser alltså att de som har ett ökat krav och har utvärderat de interna kontrollerna upptäckt

att det finns saker att göra med de interna kontrollerna. De som inte har samma krav på sig litar mer på den interna kontrollen som finns eftersom de inte har haft några problem tidigare

(23)

och har därför inte anpassat den interna kontrollstrukturen nämnvärt. Generellt sett kan en negativ inställning till de ökade kraven skönjas. De bolag som inte har ett tvingande krav på sig anser i det flesta fall att de redan har en bra kontroll och att regelverket SOX är att gå ett steg för långt. Koden ses av många som enbart inriktat mot styrningsfrågor eftersom de krav på intern kontroll som den har redan funnits i många år i svensk lagstiftning. De bolagen som måste följa SOX eller försöker anpassa sig till Koden verkar ha uppnått en större insikt att de ökade kraven även medför något positivt. ”Det positiva med SOX är att vi får en möjlighet att

förbättra och effektivisera processerna och vi ser det mer som en möjlighet än ett krav” 15.

Denna inställning grundar sig kanske på att de försöker hitta de positiva aspekterna med SOX eftersom alla bolagen är ense om att implementeringen av regelverket är mycket kostsamt och tidskrävande.

En god intern kontroll är mycket viktigt för alla bolag både ur säkerhetssynpunkt och att oegentligheter stoppas i tid vilket skall minska risken för finansiella fel. Flertalet respondenter betonar också att den interna kontrollen ligger på operativ nivå som ett linjeansvar och att det är den operativa chefen som skall se till att kontrollerna finns. Det som de flesta bolagen måste ta tag i och det som de känner är den viktigaste åtgärden i de interna kontrollerna är att förbättra dokumentationen. Ett par respondenter understryker att uppnå en god intern kontroll handlar om att ändra attityderna inom organisationen och att det inte går att kontrollera folk till döds. En respondent menar att, ”Har man inte linjen med sig så hjälper inget regelverk i världen” 16.

4.1.2 Internrevisionens betydelse

Av de 18 bolagen i undersökningen är det åtta stycken som har en internrevisionsfunktion och tre bolag planerar att inrätta en sådan som ett led i den ökade fokuseringen på interna kon-troller. Några av bolagen håller också på att stärka sina internrevisionsavdelningar och att utöka antalet internrevisorer för att möta den ökade efterfrågan på en kontrollfunktion inom bolaget. Av de sju bolag som inte har någon internrevisionsfunktion idag har de flesta haft en sådan fram till 90-talet men denna har avvecklats med åren. Den allmänna uppfattningen är att en internrevisionsfunktion inte har tillfört bolaget något tidigare eller inte skulle tillföra bola-get något i dagsläbola-get. En respondent understryker att endast en stor internrevisionsfunktion

(24)

kan följa med i bolagets utveckling och att de är mer generella och inte behöver specialister i den mening internrevisionen är. ”Utan en väldigt stor internrevision på ett så stort bolag som

vi åstadkommer man inte någon effektiv internrevision… svårt att hålla en internrevision dynamisk och uppdaterad vilket gör att man lätt går ner i djupa hjulspår och har svårt att förnya sig” 17. I ett av bolagen är det en kostnadsfråga och det var också troligen det som

gjorde att de avvecklade internrevisionsavdelningen på 90-talet. En annan av respondenterna menar att de istället för en internrevision utnyttjar externa resurser där specialistkunskapen behövs vid specifika problem. I ett bolag beskriver de internrevisionens ställning som en svår position inom bolaget när de bara skall komma in och kontrollera eventuella fel och inte som tidigare då de mer arbetade med verksamhetsgenomgångar. På frågan varför detta bolag inte har någon internrevision menar respondenten att: ”Vi tror inte på att ha en internpolis som

åker omkring och skall gräva upp saker och ting” 18. Bolaget tror mer på en operationell

kontroll där linjeansvaret betonas. En respondent menar att de kommer att följa Kodens riktlinjer och om de avviker från denna, däribland att det inte finns någon internrevision inom bolaget, kommer de att förklara varför.

Bland bolagen som planerar att inrätta en internrevisionsfunktion menar en respondent att det i allmänhet finns en ovilja bland svenska bolag mot internrevision. De tenderar att gå mer på förtroende men att internrevision är en trend som börjar återkomma även bland svenska bolag.

”Det finns en poäng med internrevision och man kanske får ta den olägenhet som finns av att personer tycker det är obehagligt att folk hänger över axeln” 19. Vi kan urskilja en allmän

uppfattning bland dessa bolag att internrevision ses som något negativt och stereotypt vilket kan bero på en gammaldags syn på internrevisionen som enbart en sorts polisär verksamhet. I de bolag som har en internrevision är alla positiva till dess betydelse och ser det som en mycket viktig funktion för företagsledningen och organisationen som helhet. Särskilt bland bankerna har internrevisionen haft en mycket stark ställning som ett viktigt verktyg för före-tagsledningen och detta har inte förändrats med åren. Internrevisionen inom bankerna har effektiviserats men har fortfarande, på grund av dess starka betydelse, mycket stora resurser i fråga om pengar och människor som arbetar inom internrevisionsavdelningarna. I de övriga bolagen får internrevisionsavdelningarna också mycket resurser men i några av fallen har det

(25)

inte skett någon förändring som har att göra med den ökade fokuseringen eller kraven. I alla bolag med interrevisionsfunktion betonas det starka samspelet mellan styrelse, företagsled-ningen och interrevisionsavdelföretagsled-ningen vilket understryker internrevisionens betydelse. Intern-revisionens ställning och status gör också att det blir lättare att rekrytera personer internt, enligt en av respondenterna.

Alla bolag utom ett har en revisionskommitté men detta bolag planerar att inrätta en sådan som ett led av kodens krav. I de flesta bolagen var detta något som inte fanns för ett antal år sedan och de har därför under de senaste åren utsett en revisionskommitté eller som vissa, enligt Koden, benämner revisionsutskott. Undantaget är bankerna där det sedan många år tillbaka har funnits en revisionskommitté inom styrelsen.

Många av respondenterna betonar att en internrevisor inom bolaget skall ha en hög integritet och bred kompetens. Respondenterna menar också att det är viktigt att det finns en mix av externt och internt rekryterade internrevisorer på grund av att det är viktigt att internrevisorn är väl insatt i verksamheten och att de får access. En respondent förklara detta med att: ”Kan

man inte förstå människor, kan man inte affären och blir man inte inbjuden till diskussionen så är du vilse och kan springa runt i korridoren och tror att du kan allt” 20. En certifiering av internrevisor tror de flesta kan göra att statusen höjs och att organisationen får ett kvitto på att personen har en bred kompetens. I en av bankerna är certifiering mycket viktigt medan en annan menar att en certifiering inte kommer att betyda så värst mycket eftersom de anser att håller en hög klass redan idag.

4.1.3 Internrevisionens roller

På frågan om vilken utveckling internrevisionens roll har haft är svaren ganska entydiga. Fram till mitten av 90-talet fanns en tydlig fokus på intern kontroll från internrevisionens sida.

”För ett visst antal decennier sedan så var det mer siffergranskning och manuell kontroll av att alla transaktioner hanterats på ett rätt sätt” 21, är en beskrivning på internrevisionens historiska roll. Några respondenter menar också att mycket av den kontroll som utfördes då är något som är linjens ansvar att följa upp och inte internrevisionens. Från mitten av 90-talet och fram tills idag har internrevisionen fokuserat på verksamhetsgenomgångar. I denna roll

(26)

har de mer tittat på processerna och gett råd till förbättring. Många respondenter menar dock att detta är controllerns roll och att de därför tog över en del av internrevisionens arbete i vissa bolag. En respondent menar också att i andra bolag har utvecklingen under 90-talet gått mot att de externa revisorerna tar över den direkta uppföljningen av intern kontroll. Att internrevi-sionen nu har återgått till att fokusera mer på interna kontroller är alla respondenter eniga om. Särskilt i bolagen som implementerar regelverket SOX har denna fokusering varit extra tydlig. En respondent från ett av dessa bolag menar att, ”Nu fokuserar internrevisionen på

intern kontroll igen vilket de borde ha gjort mycket tidigare” 22.

Internrevisionens huvudsakliga roll idag är enligt flertalet respondenter att utvärdera och granska den interna kontrollen. Den rådgivande rollen finns naturligtvis också representerad inom bolagen där några påpekar att internrevisionen är viktiga för att ge råd om förbättring av verksamheten. En respondent hävdar också att internrevisionen medverkar till att göra systemförbättringar så att den interna kontrollen blir bättre. En annan menar dock att rollen är mer övervakande nu och ingenting annat. ”Vi har en övervakande roll men den nya rollen att

vara en förlängd arm för koncernledningen skulle jag inte vilja säga är det bästa för intern-revisionen, detta är controllerns uppgift” 23, är dennes uppfattning. Respondenten tycker att det är tveksamt vilken funktion bolagen skall satsa mest på eftersom det är controllern eller linjen som skall se till att de interna kontrollerna finns och inte internrevisionens, vilket också merparten av respondenterna är överens om. Respondenten tycker vidare att det tidigare var viktigt med en stark controllerfunktion medan i dagsläget istället skall det vara en stark intern-revision vilket egentligen är att byta namn på samma sak. ”Ska vi få en bra internintern-revision som

vi får en nytta av skall det finnas en stark controllerorganisation som ser till att saker funge-rar och en något mindre resursstark internrevision som kan försäkra att det fungefunge-rar bra med controllerorganisationen” 24.

En annan respondent menar att det är viktigt att internrevisionen skall vara pådrivande och kontrollerande och se till att systemen fungerar på ett tillfredsställande sätt och att lagen följs. Ett fåtal respondenter antyder att de har en typ av internrevisionsfunktion i bolaget men ingen speciell avdelning. På frågan om vilken roll internrevisionen har i dessa bolag är det generella svaret en mer projektorienterad internrevision som används när någon initierar ett problem.

(27)

En respondent säger att ”Internrevisionen triggas av en utlösande aktivitet” 25. I detta bolag används internrevisionen för att vara en oberoende och objektiv instans för att säkerställa att värde skapas i organisationen och att de interna kontrollerna fungerar. Personerna till projek-tet tas från den operativa enheten och syfprojek-tet med detta är att utveckla personalens kunskap. Respondenten påpekar dock att personen som leder projektet är någon som har erfarenhet från internrevisionsuppdrag. Internrevisionen ses av bolaget som ett komplement till operativ styr-ning och den externa revisionen. Ett flertal respondenter påpekar att det är väldigt viktigt att internrevisionen arbetar med riskhantering inom bolaget och affärsrisker i synnerhet. Respon-denterna är eniga om att det är linjens ansvar att de interna kontrollerna efterlevs och inte internrevisionens.

I bolag som implementerar SOX är internrevisionens roll ganska olikartad. En respondent menar att internrevisionen ingår väldigt tydligt i projektgrupperna och har ett visst ansvar för att ta fram en ”best practice” 26 i de 17 processer som ingår i SOX. Internrevisionen ingår i styrgrupperna och är med under hela implementeringsfasen. En annan menar att internrevi-sionen inte alls är med i själva projektet utan ”sitter på sidan om och övervakar” 27. En

person från internrevisionen kan dock delta vid projektmötena och kolla så att projektet går framåt i rätt riktning och ”ta temperaturen” 28. Ansvaret för att driva projektet ligger här på CFO och inte på internrevisionen.

Enligt merparten av respondenterna har internrevisionsfunktionen och de externa revisorerna ett nära samarbete av något slag. En respondent tror inte att andra bolag har samma nära sam-arbete som dem vilket han anser inte är särskilt ”cost efficient” 29. En annan respondent från en av bankerna menar att samarbetet ligger i den finansiella revisionen vid vilken internrevi-sorerna skall ta fram så bra underlag som möjligt för de externa reviinternrevi-sorernas uttalande. ”Det

handlar om att minimera deras insatser och göra ett så bra arbete att de kan förlita sig på oss” 30. I ett bolag är samarbetet inte lika tydligt och respondenten beskriver det som att de

(28)

interna kontrollen. Synen och syftet med samarbetet kan därför i flera fall ses som en kost-nadsminimering av de externa revisionskostnaderna. Ett bolag uttrycker dock att samarbetet är intensivt men att de inte gör någon uppdelning av de arbetsuppgifter som den externa revi-sionen normalt utför. Respondenten menar att det tidigare var vanligt att internrevisorerna gjorde en del arbete åt de externa revisorerna för att det var billigare men det har bolaget läm-nat eftersom de inte tror på den funktionen. I en av bankerna existerar en tydlig gräns mellan den finansiella revisionen och den operationella revisionen. ”Externrevisionen fokuserar på

det de kan bäst och internrevisionen fokuserar på det de kan bäst” 31. Denna gränsdragning återfinns även inom ett par andra bolag och en av respondenterna menar att de ser en fördel med att de kompletterar varandra.

4.2

Intervjuer med externa revisorer

4.2.1 Interna kontroller

Revisorerna är eniga om att den ökade fokuseringen på intern kontroll är positivt för svenska bolag. Jämfört med andra länder har Sverige haft ett lägre krav på intern kontroll och de nya regelverken är ett sätt att öka medvetandet om vikten av en god intern kontroll. Två av reviso-rerna pekar också på det ökade utländska inflytandet över styrelserna som en faktor som har bidragit till den ökade fokuseringen. Enligt revisorerna berörs inte så många svenska bolag av kravet på SOX och att Koden i dagsläget inte har någon enhetlig tolkning vilket gör det svårt för bolagen att veta hur de skall förhålla sig till den. En revisor påpekar också att Koden i princip är en ordagrann översättning av SOX 404, men i praktiken kommer det inte alls vara samma omfattning på granskningen. ”Inte ens en tiondel av vad som krävs i USA med avsnitt

404” 32. Respondenten tycker även att SOX har väldigt tydliga riktlinjer kring vilka interna

kontroller som skall utvärderas av bolagen och vilka de externa revisorerna skall granska. Han menar att: ”I Sverige har det varit en mer generell linje att bolaget skall granska de interna

kontrollerna och sedan har man gjort det utifrån vad revisorerna bedömt vara den riktiga granskningen” 33.

(29)

Att ha en god intern kontroll har egentligen olika syften, menar en respondent. Dels handlar det om att bolagen skall kunna lämna tillförlitlig information och dels om att bolagen arbetar med risk management. En annan respondent menar att COSO’s ramverk har blivit en realitet för svenska bolag de senaste åren och med detta har bolagen fått en bra bedömningsgrund för den interna kontrollen.

4.2.2 Internrevisionens betydelse

När det gäller betydelsen så understryker en respondent att de bolag som startar upp en intern-revisionsavdelning, och gör det på ett bra sätt, ofta får ut väldigt mycket av det. Respondenten menar att det ofta visar sig att de interna kontrollerna som alla från styrelsen och nedåt tar för givet att dom finns, inte alltid gör det. Vidare påpekar denne att det är väldigt få svenska bolag som har någon internrevisionsavdelning att prata om förutom bankerna, vilket även de andra till viss del håller med om. Respondenterna är eniga om att bankerna har väldigt väl utvecklade internrevisionsavdelningar och har en bra intern kontroll. ”I övrigt om man tittar

på svenska industribolag så är det väldigt få som har drivit detta på något bra sätt” 34,

under-stryker en respondent.

En respondents reflektion på internrevisionens historiska betydelse är att den i Sverige haft en extremt låg status. ”Få bolag har riktigt prioriterat detta om man bortser från bankerna som

har gjort ett bra jobb” 35. Respondenten tror att detta naturligtvis beror på att styrelsen och företagsledningen i bolagen inte heller ansett att internrevisionen varit viktig. Samtidigt menar två respondenter att internrevisorerna måste vara lite självkritiska eftersom de inte har skapat det värdet som de kan göra. En av dem påpekar att internrevisorerna har ”granskat de

verk-samheter där de har kompetens att granska och inte de verkverk-samheter som varit viktiga att granska utifrån en risksituation i organisationen” 36. Den andra är inne på samma linje och menar att ”betydelsen i viss utsträckning måste härröras till internrevisionens förmåga att

leverera prestationer, inte bara men man skall inte bara känna sig missförstådd” 37.

Med det ökade fokus som finns idag på de interna kontrollerna menar respondenterna att internrevisionen blivit allt mer betydelsefull. En respondent förklarar att, ”med

bolagsskanda-lerna och SOX ser vi nu att internrevisionen och vikten av intern kontroll åkt upp på styrelsen

34 Respondent 12 35 Ibid.

(30)

och VD’s agenda och plötsligt blivit en ganska viktig fråga” 38. Att flertalet bolag i Sverige inte har någon internrevisionsavdelning är inte konstigt enligt respondenterna på grund av den låga statusen och den traditionellt svaga rekryteringsgrunden. En förklarar avvecklingen av interrevisionsavdelningarna på 90-talet med att ”det gjorde bolagen väl av den enkla

anled-ningen att cost-benefit analysen inte gav ett positivt resultat” 39. Denne menar att fördelen

med internrevisionen är att den rör sig fritt över organisationen och ser samband som inte är så entydiga. En respondent menar också att en internrevisionsfunktion inte är mindre rele-vanta än andra funktioner inom bolaget och förklarar detta med:

”Om alla svenskar skulle lämna en deklaration och ingen skulle granska att den var rätt som kan man anta att staten skulle få in mindre skattepengar än om man vet att det finns någon form av organ som faktiskt granskar deklarationerna. Det är lika inom ett bolag att man har sagt det är dessa rutiner som gäller men är det så att alla vet att det faktiskt finns några som årligen följer upp rutinerna så är det större sannolikhet att man faktiskt följer rutinerna och sätter sig in i vad de innebär” 40.

Införandet av revisionskommittéer tror alla respondenter är positivt för internrevisorernas ställning och betydelse. En respondent påpekar dock att revisionskommittéer inte är särskilt vanligt i Sverige och att det inte finns något krav i nuläget på att ha en sådan funktion förutom för de bolag som lyder under SOX. Respondenten påpekar dock att kravet på revisionskom-mittéer kommer att införas när Kodens ramverk måste tillämpas av bolag på Stockholms-börsen. I de bolag som har revisionskommittéer kommer revision och riskhantering att få större fokus vilket enligt respondenterna kommer att leda till att internrevisionsfunktionen prioriteras upp i organisationen. Detta leder enligt dem också till kraven på internrevisionsav-delningarnas arbete ökar vilket också stärker dess betydelse.

Respondenterna tror att en certifiering av internrevisorer är bra för professionen, men att det är väldigt få som har denna certifiering i Sverige. En respondent understryker dock att allt fler bolag har börjat efterfråga internrevisorer med en certifiering. Att bankerna i slutet på 90-talet satsade på att certifiera sina internrevisorer har lett till en positiv effekt för branschen

(31)

som helhet, enligt en denne. ”Alla yrkeskårer mår bra av att kunna visa att man har mött visa

professionella krav” 41. En respondent påpekar dock att en person som är en duktig revisor blir inte duktigare av en certifiering men det är bra att visa för omvärlden.

4.2.3 Internrevisionens roller

En respondent beskriver utvecklingen av rollen från att vara verksamhetsinriktad till att bli mer kontrollinriktad enligt följande:

”Internrevisionen tittade då mer på verksamheten det vill säga den styrning och uppföljning som finns inom ramen för den operativa verksamheten. Internrevisio-nen släppte redovisningen lite grann till de externa revisorerna men det finns en pendel tillbaka idag och då framför allt de bolag som har att leva efter SOX-lagstiftningen. Där har ledningen ett ansvar för att testa de interna kontrollerna och då har man gått tillbaka till sin internrevision och sagt att ni är ju specialister, kan inte ni göra det åt oss. Det innebär att internrevisionen har tagit ett steg tillbaka och återigen blivit en testare av den interna kontrollen i de finansiella processerna” 42.

En respondent påpekar att de internrevisionsfunktioner som har varit lågpresterande och lågkvalitativa har arbetat med utvärderingar på en detaljeringsnivå som kanske inte ger ledningen så mycket incitament att arbeta med effektiviseringsfrågor. ”Utvärderingar som

reseräkningar och representation som i och för sig är väsentliga frågor men det gäller att göra det på rätt sätt” 43. Denne understryker att det gäller för internrevisionsfunktionen att hjälpa styrelser med verksamhetsrisker och kontroller av dessa risker.

I dagsläget uppfattar en respondent att det finns vissa internrevisorer som jobbar väldigt mycket med olika projekt. ”De gör någon form av riskanalys varje år och sedan går man ut

och tittar på vissa områden, lite ad hoc skulle jag vilja säga” 44. Denne påpekar att en del internrevisionsfunktioner har en ganska klar struktur och delat upp bolaget i olika processer. Enligt respondenten genomförs denna kontroll på de kritiska kärnprocesserna med olika

(32)

tervall och det är den modellen att föredra för internrevisionen. En respondent varnar för vissa exempel på när internrevisionen inte ifrågasätter företagsledningen och när företagsledningen är rädda för kritik. Respondenten menar då att internrevisionen blir helt förlamade och att de inte skapar något värde. En annan respondent betonar att det inte heller är internrevisionens roll att vara ledningens verktyg för att hitta syndabockar. Denne betonar också att det finns en uppfattning om att internrevisionen är en sorts internpolis när de i själva verket är en hjälp och stöd till ledningen. Respondenten understryker dock att internrevisionen i många fall kan bidra till att förstärka denna syn.

Den ideala rollen för en internrevisor enligt en respondent är en ”oberoende utvärderare av

risker och interna kontroller… de skall ej implementera och fatta beslut men kan vara en igångsättare av förändringsprocesser” 45. Två av respondenterna betonar också att

internrevi-sionen måste våga vara rådgivare och inte gömma sig bakom oberoendet annars upplever inte organisationen att internrevisionen ger dem något värde. Den rådgivande rollen vänder sig direkt mot den verkställande ledningen genom att visa dem fördelar och nackdelar med den interna kontrollen som utvärderingen visar på. En rådgivande roll kan därför ses som ett led av den utvärderande och bidrar till att höja effektiviteten i processerna.

Att vissa bolag inte har någon internrevisionsavdelning utan istället utför projektrevision med personer från den operativa verksamheten ser en respondent som både positivt och negativt. Det positiva med detta är att internrevisionen får in en verksamhetskunskap som ibland kan saknas och det negativa är att den typen projekt skapar en otydlighet om vilken roll personen har. Respondenten betonar att det krävs en skolad internrevisor som leder själva projektet

”annars så har man per definition tappat sitt oberoende och då är det inte ett internrevi-sionsprojekt” 46.

Enligt respondenterna har det traditionellt sett varit så att de externa revisorerna använder sig av internrevisionens arbete i ganska begränsad utsträckning förutom när det gäller bankerna. Hos bankerna har de externa revisorerna använt sig av internrevisionens arbete när det ska följa upp bokslutsgranskningen och de interna kontrollerna. En av respondenterna tror att de i de fallen använt sig interrevisionens arbete för att det varit enkelt. En annan respondent menar

(33)

att samarbetet mellan parterna ska finnas men att de ska ha olika uppgifter. Den viktigaste uppgiften för de externa revisorerna är att uttala sig om den finansiella informationen medan internrevisionen ska se till att de operativa processerna fungerar på ett tillfredställande sätt, ”de skall ha en mer operationellt fokus medan externrevisorerna en finansiell fokus” 47. En respondent påpekar vikten av att interrevisionen och externrevisionen har olika uppgifter och att dessa inte blandas ihop. ”Ofta säger styrelsen att det är viktigt att externrevisorerna ska

dra nytta av det som internrevisorerna gör och då är man naturligtvis ute efter att sänka sina revisionskostnader” 48.

En respondent tror att en ökad fokus från styrelsen på internrevisionsarbetet och en utveckling av detta arbete kommer att leda till att de externa revisorerna i större utsträckning kan använda sig av det. Varför samarbetet inte är så stort idag beror enligt respondenten på att ex-ternrevisionen har långtgående dokumentationskrav och behöver göra egna bedömningar. En annan respondent menar också att den externa revisionen inte alltid utvärderat internrevisio-nens kompetens och att detta beror på att de använt internrevisionen till enklare uppgifter. Respondenten menar att kvalificerade internrevisorer inte skall göra ”grovarbete” men att det fortfarande finns banker där internrevisionen ”sitter i bokslutsträsket” 49. En respondent menar att de till viss del kan göra jobben tillsammans men att ”om man inte vet vad man vill

ha så kan man inte skylla på att man inte får det man vill ha” 50. En respondent understryker att den externa revisorn inte kan styra internrevisionens arbete.

(34)

5

Analys

I detta kapitel kopplar vi samman det teoretiska ramverket med den empiriska verkligheten i en analys. Kopplingen mellan interna kontroller och dess påverkan på internrevisionens roll och betydelse visas här uppdelat i två avsnitt efter den teoretiska modellen som presenterades i slutet av det teoretiska ramverket.

5.1

Påverkan på betydelsen

Att de flesta bolagen märkt av ett ökat tryck på interna kontroller är ganska väntat eftersom alla bolag ska påverkas av antingen SOX eller Koden. Enligt de externa revisorerna har Sverige generellt haft ett lägre krav på intern kontroll och att de nya kraven nu skall öka medvetandet, vilket de anser som positivt. Bolagen har dock en ganska ljum inställning till att det ställs högre krav på dem och många menar på att regelverket SOX är för detaljerad vilket även revisorerna till viss del håller med om.

De flesta bolag menar att de använder sig av COSO’s ramverk vilket styrks av en revisor som menar att detta blivit en realitet för svenska bolag de senaste åren. Vad som är värt att notera är att många som säger att de använder COSO inte har någon internrevisionsfunktion trots att övervakning finns med bland de centrala komponenterna i ramverket. Hur bolagen upplever att de uppfyller den punkten är oklart men eftersom många påpekar att de har ett linjeansvar och att ansvaret ligger på operativ chef får antagas att det är de som sköter denna övervak-ning. Det som bolagen upplever att de måste förbättra i de interna kontrollerna är dokumenta-tionen. Dokumentationen av de interna kontrollerna är en central del i både SOX och Koden där det mer eller mindre understryks att det som inte är dokumenterat det finns inte. Trots att det brister i dokumentationen för bolagen anser de sig ha en god intern kontroll vilket kan tyckas märkligt. Detta förklaras av respondenterna med att vi i Sverige traditionsenligt förlitar oss mer på förtroende inom organisationerna. De bolag som har en internrevisionsfunktion har dock märkt av att de interna kontrollerna kan förbättras och att deras användning av en internrevisionsfunktion fungerar väl. Internrevisionen kan därav ses uppfylla en viktig funk-tion som bör komplettera förtroendet för att kunna uppnå en god intern kontroll.

(35)

kon-trollerna kan förbättras medan bolagen som inte har SOX som krav tycker att de redan har en bra intern kontroll. Vi ser också att det är många av dessa bolag som inte har någon internre-visionsfunktion vilket kan betyda att de eventuella brister och fel som finns inte kommer fram. En av revisorerna påpekade att när en internrevisionsavdelning införs på ett bra sätt visar det sig ofta att de interna kontroller som alla inom organisationen tar för givet att de finns inte alltid gör det. Det är därför rimligt att anta att många bolag upplever en bra intern kontroll men att en grundlig genomgång av en väl fungerande internrevisionsfunktion skulle kunna påvisa eventuella brister. Av de bolag som har en internrevisionsfunktion utgör en stor del av dem banker och bolag underställda SOX. För bolagen underställda SOX är detta troligtvis ett led av de ökade kraven att VD och CFO får ett ökat ansvar vilket enligt Ouchi (1975) och Woolf (1994) skulle vara incitament för mer styrning och mer internrevision. När det gäller bankerna är den troliga förklaringen att branschen sedan långt tillbaka varit en reglerad bransch som omfattats av höga krav på en god intern kontroll på grund av deras affärsinriktning. Vi ser även att tre bolag planerar att inrätta en internrevisionsfunktion på grund av den ökade fokuseringen vilket är i linje med Hult och Bernhardtz (2004) uppfattning om att bolagen i många fall behöver inrätta en internrevisionsfunktion för att möta de nya kraven.

I de bolag där de inte har någon internrevisionsfunktion är det enligt respondenterna på grund av att den inte har tillfört något. Revisorerna påpekar att detta naturligtvis beror delvis på att internrevisionens arbete inte har setts som särskilt viktigt men även att det beror på internrevi-sionens bristande kompetens och dåliga rekryteringsgrund under 90-talet. Detta är rimliga förklaringar eftersom det enligt respondenterna och teorierna varit en lågt prioriterad funktion inom bolaget. En respondent från ett av bolagen menar att det för dem troligtvis varit en kost-nadsfråga vars teori tillstyrks av en revisor som menar att det för många bolag visat sig att nyttan helt enkelt inte har uppvägts av kostnaderna. Detta tyder på att internrevisionen antingen använts på ett felaktigt sätt eller helt enkelt inte kunnat tillföra den nytta som företagsledningen efterfrågar. Detta kan bero på att internrevisionsfunktionen inte har fått de resurser som IIA (2004) anser är viktiga för att internrevisionen skall kunna leverera. Samtidigt är IIA en intresseorganisation som företräder internrevisorerna och det kan ses som ganska självklart att de efterfrågar mer resurser till internrevisionen.

Figur

Updating...

Referenser

Relaterade ämnen :