Intern kontroll i insamlingsorganisationer

(1)

Företagsekonomiska Institutionen MAGISTERUPPSATS Ht 2009

Intern kontroll i insamlingsorganisationer

Hur motverkas bedrägerier?

Lisa Bosson Jenny Lassis

(2)

2

Sammanfattning

I flera undersökningar framgår att det vanligaste sättet som bedrägerier eller förskingringar i insamlingsorganisationer upptäcks är genom tips från anställda inom organisationen eller av en ren tillfällighet. Det är tämligen sällsynt att ekonomiska brott upptäcks av externa revisorer. Detta pekar på vikten av att ha ett väl fungerande internt kontrollsystem. Syftet med uppsatsen är därför att utreda hur svenska insamlingsorganisationer arbetar med intern kontroll för att förhindra att drabbas av bedrägerier samt att analysera hur detta arbete kan förbättras.

Vi ämnar besvara vårt syfte genom att utifrån vår analysmodell utföra kvalitativa intervjuer med utvalda svenska insamlingsorganisationer. Då COSO-modellen är en allmänt vedertagen modell för intern kontroll, kommer den vara utgångspunkt i analysmodellen. Enligt COSO kan den interna kontrollen delas upp i fem områden som är relaterade till varandra. Dessa är kontrollmiljö, riskanalys, kontrollaktiviteter, information och kommunikation samt övervakning och uppföljning. För att få en fördjupad och mer konkret användbar modell kompletterar vi denna med företaget KPMG:s praktiskt användbara modell för hantering av bedrägeririsker.

(3)

3

Innehållsförteckning

1 Inledning ... 5

1.1 Problemformulering ... 6

1.2 Syfte ... 6

2 Bakgrund & Teori ... 7

2.1 Insamlingsorganisationer ... 7

2.1.1 Svensk insamlingskontroll, SFI ... 7

2.1.2 Bedrägerier som begås mot insamlingsorganisationer ... 8

2.2 Frivilligorganisationernas Insamlingsråd, FRII ... 9

2.3 Intern kontroll ... 10

2.4 COSO-modellen ... 11

2.4.1 Kontrollmiljö ... 12

2.4.2 Riskanalys ... 13

2.4.3 Kontrollaktiviteter ... 13

2.4.4 Information & kommunikation ... 15

2.4.5 Övervakning & uppföljning... 16

2.5 Analysmodell ... 19

3 Metod ... 20

3.1 Insamling av primär data ... 20

3.2 Insamling av sekundär data ... 20

3.3 Faktiskt tillvägagångssätt ... 21

3.4 Pålitlighet & överförbarhet ... 22

3.5 Källkritik ... 22 4 Redogörelse för intervjuer ... 24 4.1 Barncancerfonden ... 25 4.1.1 Kontrollmiljö ... 25 4.1.2 Riskanalys ... 26 4.1.3 Kontrollaktiviteter ... 27

4.2 Childhood ... 28

(4)

4

4.3 Läkare Utan Gränser ... 30

4.4 Organisation X ... 34

4.5 Stadsmissionen ... 37

5 Analys ... 42

5.1 Kontrollmiljö ... 42

5.2 Riskanalys ... 44

5.3 Kontrollaktiviteter ... 45

5.4 Information & kommunikation ... 46

5.5 Övervakning & uppföljning ... 47

6 Slutsatser ... 49

6.1 Förslag till vidare forskning ... 50

Källor ... 52

(5)

5

1 Inledning

I slutet av december 2008 fattade anställda på svenska Röda Korset misstankar om att en chef förskingrade pengar från organisationen genom falska fakturor, som han bad dem att bestyrka. De vände sig till ledningen med sina misstankar och en intern utredning inleddes. (DN.se, 2009, a.) Det handlar om en kommunikationschef i organisationen (Röda Korset, 2009) med lång erfarenhet av insamlingsorganisationer som alltså misstänks för att ha förskingrat pengar genom bluffakturor, som han själv attesterat. Mannen polisanmäldes av organisationen och sitter nu häktad misstänkt för grovt bedrägeri och grov trolöshet mot huvudman. Han misstänks även ha medbrottslingar utanför organisationen. Till att börja med uppskattades det handla om ett sammanlagt belopp på mellan 2.5 och 3 miljoner kronor. (DN.se, 2009, a.) Under åren 2000-2002, innan hans uppdrag på Röda Korset, arbetade mannen som insamlingschef för Cancerfonden (DN.se, 2009, b.). När förskingringen i Röda Korset uppdagades, började även de misstänka oegentligheter och inledde därför en utredning (DN.se, 2009, a.). Under juli 2009 riktade även Cancerfonden ett skadeståndskrav mot mannen, på 1.6 miljoner kronor. Samtidigt utökade Röda Korset summan på sitt krav till drygt 5 miljoner kronor. (DN.se, 2009, b.) Under sommaren 2009 har polis och åklagare bedrivit förundersökning som väntas leda till att åtal väcks i januari 2010 (Röda Korset, 2009). Röda Korsets styrelseordförande Bengt Westerberg har medgivit att det kan förkomma brister i deras kontrollrutiner och att de kommer se över sina attestrutiner (DN.se, 2009, c.). Ovanstående är bara ett av flera uppmärksammade fall av bedrägerier och förskingringar i insamlingsorganisationer under de senaste åren.

I flera undersökningar, av bland andra E. J. McMillan (2006) och Greenlee, Fischer, Gordon & Keating (2007), framgår att det vanligaste sättet som bedrägerier eller förskingringar i insamlingsorganisationer upptäcks är genom tips från anställda inom organisationen eller av en ren tillfällighet. Näst vanligast är att oegentligheter upptäcks genom interna kontroller eller vid internrevision. Det är tämligen sällsynt att ekonomiska brott upptäcks av externa revisorer. Detta pekar på vikten av att ha ett väl fungerande internt kontrollsystem.

(6)

6

kontrollen i organisationer bör se ut. De ger också råd på metoder för att upptäcka och förebygga bedrägerier. (Sinnett, 2009)

I Sverige finns stiftelsen Svensk insamlingskontroll (SFI) som arbetar med kontroll av insamlingsorganisationer (SFI, 2009, a.) samt Frivilligorganisationernas Insamlingsråd (FRII) som är en organisation som framtagit en kvalitetskod för svenska insamlingsorganisationer (FRIIs

kvalitetskod, 2007, s.1). Reglerna om intern kontroll i denna kod är baserade på COSOs standard för

intern kontroll, benämnd COSO-modellen (FRIIs kvalitetskod, 2007, s. 30). Alla större insamlingsorganisationer i Sverige är medlemmar i FRII och kontrolleras av SFI (FRII, 2009).

1.1 Problemformulering

Insamlingsorganisationer är organisationer som arbetar med välgörenhetsarbete, och finansierar sin verksamhet bland annat genom donationer. Hela deras verksamhet bygger på att de har ett förtroende bland allmänheten, eftersom de är beroende av deras gåvor. För att förbättra förtroendet och transparensen för insamlingsorganisationer införde FRII, år 2007, en kvalitetskod med regler för hur verksamheten i medlemsorganisationerna ska bedrivas och hur de ska redogöra för den. Bland reglerna finns riktlinjer om intern kontroll, vilka är baserade på COSO-modellen. Många undersökningar om förebyggande och upptäckande av brott i insamlingsorganisationer är utförda i USA och det vore därför intressant att undersöka hur insamlingsorganisationer i Sverige arbetar med den interna kontrollen. Detta är ett aktuellt ämne som väcker intressanta frågeställningar.

- Hur ser den interna kontrollen ut i svenska insamlingsorganisationer?

- Hur arbetar insamlingsorganisationer med att upptäcka och förhindra risken att personer inom organisationen begår bedrägerier?

- Inom vilka områden skulle den interna kontrollen kunna förbättras för att ytterligare minska risken för oegentligheter?

1.2 Syfte

(7)

7

2 Bakgrund & Teori

2.1 Insamlingsorganisationer

En insamlingsorganisation är en sorts icke vinstdrivande organisation (KPMG, 2009, a.). Icke vinstdrivande organisationer påminner på många sätt om vanliga vinstdrivande företag; de tillhandahåller tjänster (och ibland varor), de konkurrerar med andra liknande organisationer och de har en ledning som ansvarar för strategi, mål och budget. Dock skiljer de sig även åt på många sätt. Den mest uppenbara skillnaden är syftet med verksamheten. Icke vinstdrivande organisationer arbetar exempelvis för att tillhandahålla tjänster till allmänheten eller skapa nytta för sina medlemmar. (Merchant & Van der Stede, 2007, s. 781-788)

För insamlingsorganisationer kommer en viktig del av finansieringen av deras verksamhet från donationer, där det kan finnas restriktioner för hur dessa medel får användas. Till skillnad från vinstdrivande organisationer, har icke vinstdrivande organisationer inte några ägare som de har ansvar gentemot. Däremot ansvarar de gentemot andra externa intressenter, som till exempel donatorer, regeringsgrupper och samhället i stort. Dessa grupper av intressenter ställer ofta höga krav på organisationen och kan ge påtryckningar, exempelvis genom att hålla tillbaka donationer eller reglera deras verksamhet. (Merchant & Van der Stede, 2007, s. 781-788)

Det finns både positiva och negativa aspekter gällande kontroll av anställda inom dessa organisationer. Eftersom lönen kan vara lägre än den i en likartad vinstdrivande organisation kan anställda tänkas ha en relativt sett lägre motivationsnivå. Å andra sidan kan själva syftet med organisationens verksamhet attrahera en viss typ av anställda. Med anställda som brinner för den specifika frågan och därmed är engagerade i verksamheten, kan behovet av intern kontroll antas minska. (Merchant & Van der Stede, 2007, s. 781-788)

2.1.1 Svensk insamlingskontroll, SFI

Svensk insamlingskontroll, SFI, är en stiftelse som bedriver kontroll av insamlingsorganisationer, under ansvar av den svenska arbetsmarknadens centralorganisationer LO, SACO, TCO, Svenskt Näringsliv samt FAR SRS. För att en organisation ska få bli innehavare av ett 90-konto, alltså ett bank- eller plusgirokonto som börjar med siffran 90, krävs SFIs godkännande. SFI granskar sedan årligen verksamheten i dessa organisationer. Det är givarnas intressen som bevakas och 90-kontot ska fungera som en bekräftelse för allmänheten på att insamlingen sköts på ett ansvarsfullt sätt och att pengarna går till ändamålet utan onödiga kostnader. Att organisationen har ett 90-konto kan därför ses som en kvalitetsstämpel. (SFI, 2009, a.)

(8)

8

används är etiska och ekonomiskt försvarbara samt att kontrollmetoder för insamling införs. SFI har föreskrifter och anvisningar för 90-konton, och dessa ska följas av alla organisationer som är godkända som innehavare av 90-konto. När en organisation har ett 90-konto är det hela verksamheten som granskas av SFI, inte bara aktiviteter runt kontot. (SFI, 2009, a.) I granskningen kontrolleras hur och i vilken omfattning ändamålet främjats under året, samt att verksamheten inte belastats med onödiga kostnader. Kravet är att minst 75 procent av de totala intäkterna ska gå till ändamålet. Om de administrativa kostnaderna överstiger 25 procent av de totala intäkterna under tre på varandra följande år ska 90-kontot avslutas. SFI har rätt att frånta organisationen tillståndet att inneha 90-kontot, om det framkommer att de bryter mot föreskrifterna. (SFI, 2009, b.)

2.1.2 Bedrägerier som begås mot insamlingsorganisationer

Insamlingsorganisationer förknippas starkt med moral, etik och icke-monetära motiv. I jämförelse med andra organisationer är de helt eller delvis beroende av donationer och samhällets förtroende. (Holtfreter, 2008)

När en insamlingsorganisation drabbas av bedrägeri är det inte bara de rena ekonomiska förlusterna som påverkar organisationen. Kanske ännu värre är konsekvenserna av det nedsvärtade ryktet, förlusten av allmänhetens förtroende och därav förlorade donationer. Det är därför viktigt att organisationen arbetar aktivt med att förebygga bedrägerier och organisationens ledare måste vara uppmärksamma och kontrollera risker för bedrägerier. (Case, 2008)

En anledning till att insamlingsorganisationer utsätts för bedrägerier kan vara att de, på grund av sitt ädla syfte, utgår från att ingen av deras anställda och volontärer skulle stjäla från dem. Detta antagande kan tänkas göra att många insamlingsorganisationer lägger mindre vikt vid bakgrundskontroller av anställda och intern kontroll än vad exempelvis vinstdrivande företag gör. Detta i sin tur gör dessa organisationer till en måltavla för personer med syfte att förskingra pengar för egen vinning. (Buckhoff & Parham, 2009)

(9)

9

ske i maskopi med externa intressenter. Till exempel kan en leverantör skicka falska fakturor till organisationen, fakturor som i sin tur godkänns och betalas av bedragaren inne i organisationen. (Keller & Owens, 2008)

De flesta interna bedrägerierna utförs av personal på ekonomiavdelningen eller av personer i ledningen. Ju högre upp i organisationen den anställde befinner sig desto högre belopp förskingras, generellt sett. De vanligaste sätten som brott uppdagas på är i följande ordning; tips från anställd, kund, leverantör eller anonym källa, av ren tur, intern revision, interna kontroller och extern revision. Implementering av kontroller mot bedrägeri har en tydlig effekt på organisationens utsatthet för brott och avsaknad av interna kontroller är den vanligaste anledningen till att brott kan begås. (Keller & Owens, 2008)

2.2 Frivilligorganisationernas Insamlingsråd, FRII

FRII – Frivilligorganisationernas Insamlingsråd – är en organisation som framtagit en kvalitetskod för svenska insamlingsorganisationer. Denna kod ska verka som god sed för dess medlemsorganisationer. (FRIIs kvalitetskod, 2007, s.1-2) Alla större insamlingsorganisationer i Sverige är medlemmar i FRII (FRIIs kvalitetskod, 2007, s.49-50). Koden utgör ett komplement till andra regler och riktlinjer som reglerar insamlingsorganisationers verksamhet. Syftet är att öka förtroendet för dessa organisationer genom ökad transparens och öppenhet. Koden är inte tvingande, utan de organisationer som är medlemmar i FRII ska i en rapport beskriva vilka delar av den de följer, och för de delar som de inte följer ska de förklara varför. Den enda del av koden som en organisation inte får avvika från är kravet på denna så kallade kodrapport. (FRIIs kvalitetskod, 2007, s.1-2) Rapporten ska ingå i den tryckta årsredovisningen eller publiceras som en separat rapport (FRIIs kvalitetskod, 2007, s.6-7). Koden infördes 2007 och medlemsorganisationerna är ålagda att följa koden och ge ut en rapport senast för det verksamhetsår som inleds efter 31 december 2008.

(10)

10

I Sverige finns det inga lagar som reglerar specifikt hur insamling av pengar från allmänheten ska ske. Det finns inga restriktioner för vem som får samla in eller till vilket ändamål. På grund av att olika organisationer på många sätt skiljer sig åt är det svårt att i detalj försöka reglera verksamheten. FRIIs kvalitetskod är en del av branschens självreglering och koden är principbaserad, vilket innebär att den innehåller principer snarare än detaljerade regler. Dessa principer är av två typer. Vissa reglerar hur verksamheten ska bedrivas, så kallade ”verksamhetskrav”. Andra reglerar hur organisationen ska redogöra för sina val, så kallade ”informationskrav”. (FRIIs kvalitetskod, 2007, s.4-7)

Områden som regleras i koden är organisationens värdegrund, dess förhållningssätt till omgivningen, mål och måluppfyllelse, dess styrning och kontroll, medarbetare, insamlingsarbetet, samt rapportering (FRIIs kvalitetskod, 2007, s.6).

Punkt 4.5.4 i FRIIs kvalitetskod behandlar den interna kontrollen. Först ges en definition av intern kontroll, vilken lyder:

”Med ”intern kontroll” menas alla de riktlinjer och rutiner (interna kontroller) som

ledningen infört för att uppnå målet att, så långt det är praktiskt möjligt, säkerställa att verksamheten sköts väl och effektivt. Häri ingår rutiner för att säkerställa att de riktlinjer som ledningen lagt fast följs, att tillgångar skyddas, att oegentligheter och fel förhindras och upptäcks, att redovisningen är riktig och fullständig samt att tillförlitlig ekonomisk information upprättas i tid.” (FRIIs kvalitetskod, 2007, s.16)

Sedan följer krav på styrelsen att besluta om och regelbundet utvärdera den interna kontrollen i syfte att säkerställa att den fungerar effektivt. Styrelsen ska även rapportera årligen i kodrapporten hur den interna kontrollen är organiserad. (FRIIs kvalitetskod, 2007, s.16)

2.3 Intern kontroll

(11)

11

interna kontrollerna. Det finns en mängd olika risker som de måste vara medvetna om när de gör detta. En viktig sådan är risken för bedrägeri, som till exempel ökar om en person ensam ansvarar för en transaktion. Bedrägeri kan leda till att organisationen förlorar förtroende från intressenter, som leverantörer, kunder och allmänhet. Det är alltså för att minska denna och andra risker som organisationer behöver ett internt kontrollsystem. (Turner & Owhoso, 2009) Enbart tillgängligheten av intern kontroll reducerar inte risken att bli utsatt för bedrägerier och liknande. Att implementera strategierna är viktigt, men ännu viktigare är att kontrollen blir en del av det dagliga arbetet för att upprätthålla en fungerande verksamhet. (Holtfreter, 2008) Ett problem är att den interna kontrollen ofta bedrivs på ledningsnivå och i en stor del av fallen gällande bedrägerier är just personer från ledningen inblandade (Sinnett, 2009).

2.4 COSO-modellen

Committee of Sponsoring Organizations of the Treadway Commission (COSO) är en oberoende revisionsorganisation i USA som är sponsrad av fem stora yrkesorganisationer, bland annat American Accounting Association (AAA) och American Institutute of Certified Public Accountants (AICPA). COSO gav 1992 ut ”Internal Control - Integrated Framework”. I denna rapport definierar de begreppet ”intern kontroll” och utvecklar en struktur för denna som alla företag och andra organisationer ska kunna utgå ifrån, oavsett storlek och verksamhet. COSOs definition av intern kontroll (översatt av FAR FÖRLAG) lyder:

”Intern kontroll är en process som påverkas av styrelsen, bolagsledningen och annan personal, och som utformats för att ge en rimlig försäkran om att bolagets mål uppnås inom följande kategorier:

 Ändamålsenlig och effektiv verksamhet.  Tillförlitlig finansiell rapportering.

 Efterlevnad av tillämpliga lagar och förordningar.” (Testa den interna kontrollen, 2006, s.7)

(12)

12

management”-modell, för att förebygga och hantera oegentligheter i organisationer. Modellen består av tre huvudsakliga områden: Förhindra, Upptäcka samt Åtgärda och agera. Det första området handlar om att preventivt arbeta med att undvika oegentligheter. Det andra området handlar om att aktivt arbeta med åtgärder för att upptäcka oegentligheter. Det sista området handlar om att hantera upptäckta eller misstänkta bedrägerier och åtgärda brister som gör oegentligheter möjliga. (KPMG, 2009, c.) Då denna modell inte finns utförligt förklarad skriftligt inhämtades informationen genom en intervju med Henk-Anne Rijpma, ansvarig för ”fraud risk management” på KPMG:s Forensic-avdelning.

2.4.1 Kontrollmiljö

Kontrollmiljön utgör grunden för den interna kontrollen, (COSO, 2009) och består av den inställning till, medvetenhet om och aktiviteter angående den interna kontrollen som organisationens ledning har. (FAR SRS, 2009, a.) En viktig del i kontrollmiljön utgörs av organisationskulturen, det vill säga att värderingar regler och attityder är väl förankrade i organisationen (Haglund, Sturesson & Svensson, 2005, s.31). Ledningen har ett ansvar att visa de anställda, med ord och handling, att oärligt och oetiskt beteende inte tolereras, även om resultatet av handlingen skulle vara till fördel för organisationen. Det bör även framgå tydligt att bedragarens position i organisationen inte har någon betydelse. (Keller & Owens, 2008)

Kontrollmiljön innefattar även sådana konkreta dokument som uppförandekoder och personalpolicys (COSO, 2009). En åtgärd enligt KPMG:s modell är att organisationen har ett etiskt dokument angående oegentligheter, exempelvis en bedrägeripolicy. Många ideella organisationer har en policy angående korruption, vilket handlar mer om hur de hanterar risker gentemot externa parter. Däremot är det inte lika vanligt med någon policy angående interna risker, till exempel att bli utsatt för bedrägeri från någon person inom organisationen. En sådan policy utgör dock ett viktigt fundament för hur organisationen ser på etiskt beteende och vad de har för förväntningar på sin personal. Speciellt i ideella organisationer är detta ett område där det finns utrymme för förbättring. En förklaring till denna bristfällighet kan vara att verksamheten i många ideella organisationer bygger på förtroende och att man inom organisationen utgår från att alla vill väl och vill göra sitt bästa för organisationens ändamål, och därför inte fokuserar tillräckligt på bedrägeririsken. En person som vill lura till sig pengar har därför ett stort spelutrymme. Många organisationer fokuserar på risker utanför organisationen, men det kan vara minst lika viktigt att vända fokus inåt och analysera de risker som finns internt. (Rijpma, 2009)

(13)

13

riktlinjer gällande bedrägerier och påföljder av dessa skapas en kultur där risken för bedrägerier är låg (Keller & Owens, 2008). En annan viktig aspekt enligt KPMG:s modell är kommunikationen av de etiska dokumenten. Det är viktigt att arbeta med medvetenhet och praxis, det vill säga att förklara för personalen vad som står i policys och hur de ska arbeta med det i praktiken. Det är också viktigt att personalen får utbildning i att upptäcka och hantera bedrägerier. (Rijpma, 2009) Genom att säkerställa att personalen har den kompetens som krävs, speciellt när det gäller den ekonomiska redovisningen, ökar förutsättningarna för att ha en god kontrollmiljö (Haglund et al., 2005, s.32).

Som komplement till dessa åtgärder bör kontrollmiljön även innefatta en fungerande internrevisionsfunktion (FAR SRS, 2009, a.). En internrevisor är en person anställd inom organisationen med uppgift att granska verksamheten och dess effektivitet (FAR SRS, 2009, b.). 2.4.2 Riskanalys

Alla organisationer är utsatta för risker, såväl interna som externa. Det är viktigt att identifiera och analysera de olika riskerna för att kunna hantera dem på bästa sätt (COSO, 2009). I FRIIs kvalitetskod finns det en punkt som heter Riskanalys, som medlemsorganisationerna ska följa (eller förklara avvikelsen). Denna regel säger:

”Styrelsen skall säkerställa att organisationen har en riskhanteringsstrategi och regelbundet genomföra en riskanalys samt utvärdera organisationens riskhantering.”

(FRIIs kvalitetskod, 2007, s.17)

Det är både interna och externa risker som måste identifieras och analyseras med utgångspunkt från väsentlighet. Riskanalysprocessen kan tänkas vara mindre omfattande och strukturerad i mindre organisationer, men alla organisationer bör åtminstone bedöma risken för att deras övergripande mål inte kan uppfyllas. (FRIIs kvalitetskod, 2007, s. 30)

Organisationer bör arbeta aktivt med att förhindra att det finns möjligheter för anställda att begå brott genom att identifiera och analysera risken för brott, införa åtgärder för att minska identifierade risker samt implementera och övervaka interna kontroller som syftar till att förebygga och upptäcka brottsliga beteenden (Keller & Owens, 2008).

2.4.3 Kontrollaktiviteter

(14)

14

effektivt internt kontrollsystem ska både motverka att bedrägerier begås och upptäcka de fall som ändå sker (Buckhoff & Parham, 2009). Det kan bestå av följande fem kontrollaktiviteter:

1. Ansvarsuppdelning

Organisationen bör se till att ha en bra ansvars- och arbetsuppdelning, det vill säga att ingen enskild person kan hantera alla led i en transaktion (FRIIs kvalitetskod, 2007, s.31). Risken för bedrägeri minskas om arbetsuppgifter segregeras så att en person exempelvis inte själv kan utfärda, godkänna och bokföra en check eller faktura (Buckhoff & Parham, 2009). VD:n är ansvarig för att en person på egen hand inte anförtros med alltför mycket ansvar (Gallagher & Radcliffe, 2002).

2. Dokumentation

Dokumentation utgör en metod som organisationer kan använda för att spåra resurser. Saknas kvitton till en viss utgift ska det utgöra en varningssignal till att det kan handla om bedrägeri. Personer kan bli mindre benägna att begå bedrägerier om de vet att alla inkomster och utgifter noggrant dokumenteras. (Buckhoff & Parham, 2009)

3. Fysisk säkerhet

Organisationer kan minimera möjligheten till bedrägeri genom att begränsa åtkomsten till tillgångar och bokföring. Personal bör endast ha tillgång till de resurser som de behöver för att utföra sitt dagliga arbete. Detta kan exempelvis göras genom lås på kassor och förråd, lösenord till bokföringssystem och genom att dagens kassa placeras i bankfack eller konto efter varje arbetsdag. (Buckhoff & Parham, 2009) Vilken typ av processer som är viktigast för organisationer att fokusera på i kontroller är svårt att avgöra och varierar från organisation till organisation. Ett generellt känsligt område är kontantrelaterade aktiviteter, som är riskfyllda per automatik. (Rijpma, 2009)

4. Elektronisk säkerhet

Om obehöriga får tillgång till organisationens elektroniska data finns risk att denna information stjäls eller ändras. Genom att införa tillgångskontroll kan detta motverkas. Endast behöriga personer bör ha åtkomst till data, vilket kan säkerställas med ett personligt användarnamn och lösenord med mera. (Buckhoff & Parham, 2009)

5. Förebyggande åtgärder

(15)

15

anställer nyckelpersoner. Även gällande andra parter, som leverantörer och samarbetspartners, bör en bakgrundskontroll genomföras, speciellt vid samarbete med parter utomlands. (Rijpma, 2009) VD:n bör begära bakgrundsupplysningar från alla potentiella uppdragstagare, för att försäkra sig om att de är kvalificerade och inte har en bakgrund som kan ifrågasättas (Gallagher & Radcliffe, 2002). Ledningen ansvarar för att risken att bedrägerier utförs av anställda minskar genom bakgrundskontroll av kandidater (Keller & Owens, 2008). Förutom att kontakta referenser som personen själv har lämnat kan ytterligare kontroller göras. Till exempel kan organisationen göra en sökning på offentliga källor eller Internet. Detta är något som blir allt vanligare inom vinstdrivande organisationer, men som fortfarande är relativt ovanligt inom ideella organisationer. (Rijpma, 2009)

Det finns många exempel på hur de olika funktionerna i organisationen rent praktiskt arbetar med kontrollaktiviteter. Styrelsen ansvarar exempelvis för att antal signaturer som fakturor och betalningar kräver uppfylls, hur pengar som kommer in i organisationen hanteras, av vem och under vilka omständigheter som pengar får föras över från allmänna till begränsade fonder samt för att godkänna planer och åtaganden innan de utförs. VD:s ansvar är att försäkra att inkommande pengar blir omhändertagna och handlagda enligt regler och föreskrifter samt att försäkra att alla utbetalningar som sker är korrekta och blir dokumenterade, gällande allt från gåvor och donationer till räkningar och löner. (Gallagher & Radcliffe, 2002) Ledningen bör införa både finansiella och icke-finansiella kontroller för att förhindra och upptäcka bedrägerier. Exempel på finansiella kontroller är avstämning av konton (vilket bör utföras av annan person än den som är ansvarig för respektive konto), undersökning av alla justeringar i bokföringen samt jämförelse av olika förhållanden för att se om de har ändrats över tiden, till exempel antal donatorer jämfört med summan av donerade medel och antal anställda jämfört med den totala lönesumman. (Keller & Owens, 2008)

2.4.4 Information & kommunikation

Kommunikationen måste flöda fritt genom organisationen både från ledningen och nedåt och vice versa. Anställda måste förstå sin egen roll i det interna kontrollsystemet och ha tillgång till effektiva kommunikationskanaler med ledningen. Även en god kommunikation med externa intressenter är viktig. (COSO, 2009) Alla nivåer och avdelningar inom en organisation bör vara väl informerade. För att skapa och bibehålla förståelse för processer och dess genomförande, enskilda personers ansvarsuppgifter samt kontrollmål är god kommunikation nödvändig. (COSO, 2008, a.)

(16)

16

arbetsuppgifter. Ledningen ska kunna kommunicera organisationens etiska policys och riktlinjer på ett tydligt sätt. Det är också viktigt att ledningen har god kontakt med personalen. Därmed ökar sannolikheten att förändrat beteende hos någon person upptäcks. Att det finns möjlighet för personalen att rapportera oegentligheter, även anonymt, är viktigt för ledningens möjlighet att upptäcka oegentligheter. (Keller & Owens, 2008) Detta är vad som brukar omnämnas ett ”whistleblower-system” (KPMG, 2009, b.). Det viktigaste inom detta område är att organisationen har en strukturerad och dokumenterad rutin gällande hur personalen bör agera om de misstänker eller upptäcker oegentligheter samt hur organisationen ska hantera rapporterade fall. Många organisationer har en policy som anger att personalen ska rapportera till sin närmaste chef. Därutöver finns oftast inga instruktioner hur de ska gå till väga om de inte litar på sin chef, om de blir missnöjda med dennes hantering av ärendet eller om chefen är subjektet för misstankarna. Det är viktigt att det, utöver chefen, finns en specifik roll utsedd för att ta emot rapportering av bedrägerimisstankar inom organisationen. Detta kan till exempel vara någon inom den juridiska avdelningen eller ekonomiavdelningen. Det kan också finnas fördelar med att lägga denna roll på någon person utanför dessa avdelningar, eller till och med på en extern part. Ofta saknas officiella riktlinjer gällande praktiska frågor runt rapportering av misstankar. Många personer uppfattar det som känsligt och riskfyllt att rapportera misstänkta bedrägerier och vill veta hur hela rutinen går till; vilka rättigheter och vilka skydd han eller hon har, hur information delges den misstänkte och den rapporterande personen och så vidare. Ofta kan medarbetare märka att något verkar gå konstigt till, men på grund av att de saknar instruktioner vet de inte vad de kan och bör göra eller vad organisationen förväntar sig av dem. Detta kan speciellt vara ett problem för personer som sitter långt från huvudkontoret, som till exempel arbetar på projekt utomlands. Därför är det mycket viktigt att se till att rutiner och riktlinjer för rapportering finns tillgängliga i hela organisationen, så att viktig information framkommer. (Rijpma, 2009)

Ett väl fungerande informationssystem, intranät och utbildning är effektiva medel för att förmedla den information som behövs för att ha en bra intern kontroll. Ett effektivt IT-stöd förmedlar organisationens policys och ansvarsuppdelningar till de anställda så att de känner till dessa och snabbt kan ta del av uppdateringar. (Testa den interna kontrollen, 2006, s.13)

2.4.5 Övervakning & uppföljning

(17)

17

korrigeringar. (COSO, 2009) I FRIIs kvalitetskod finns en punkt som heter ”Utvärdering av intern kontroll” (Punkt 4.5.4.1) som anger att styrelsen regelbundet ska utvärdera den interna kontrollen för att säkerställa att den fungerar effektivt (FRIIs kvalitetskod, 2007, s.16). De revisorer som granskar organisationernas räkenskaper har ett visst ansvar att utvärdera den interna kontrollen och uppskatta riskerna för att de finansiella uttalandena är falska eller manipulerade (Gallagher & Radcliffe, 2002).

Tanken med att övervaka och följa upp den interna kontrollen är att försäkra sig om att den fungerar effektivt och fortsätter att göra det. Genom denna övervakning ökar möjligheterna att upptäcka och därmed rätta till problem med den interna kontrollen. (COSO, 2008, b.) COSO har en guide för övervakning av den interna kontrollen som bygger på tre steg:

1. Upprätta en grund för övervakningen, genom att till exempel tilldela övervakningsroller till personer med rätt kunskaper och förmåga att arbeta objektivt. En annan del i detta steg är att bestämma en utgångspunkt, från interna kontroller som man vet fungerar effektivt, utifrån vilken man utvecklar den fortlöpande övervakningen och de enskilda utvärderingarna. Det är viktigt att försöka identifiera vilken information som behövs för att avgöra om den interna kontrollen fungerar effektivt. (COSO, 2008, b.)

2. Skapa och implementera övervakningsaktiviteter. Här bör organisationen utgå från sina väsentliga risker och de kontrollaktiviteter som vid övervakning kan ge en slutsats om huruvida det interna kontrollsystemet fungerar effektivt eller inte. Det gäller att fokusera övervakningen där den ger störst nytta. Några konkreta exempel på aktiviteter inom övervakning är regelbunden utvärdering och testning av interna kontroller, fortlöpande övervakningsprogram i organisationens affärssystem, kvalitetsutvärdering av internrevisionsavdelningen samt analys och uppföljning av operativa rapporter som kan identifiera avvikelser vilket kan antyda problem i den interna kontrollen. (COSO, 2008, b.)

(18)

18

En viktig åtgärd enligt KPMG:s modell är att förankra och dra lärdom av de fel och brister som upptäckts. Om en svaghet upptäcks vid kontroller bör organisationen göra en analys av vad svagheten beror på och vad de kan göra annorlunda, och ta med denna svaghet i den löpande granskningen nästkommande år. (Rijpma, 2009)

(19)

19

2.5 Analysmodell

Följande modell kommer att användas för att analysera det empiriska materialet för att besvara uppsatsens syfte. Utifrån modellens begrepp kommer insamlingsorganisationers arbete med intern kontroll att utredas. Modellen är grundad i COSO-modellen enligt beskrivningen ovan och sammanfattas i följande figur:

COSO-modellen

Kontrollmiljö

- Organisationskultur - Policys & riktlinjer

- Utbildning & kompetensutveckling - Kontrollfunktioner

Riskanalys

- Riskidentifiering - Riskhantering

Kontrollaktiviteter

- Ansvarsuppdelning - Dokumentation - Fysisk säkerhet - Elektronisk säkerhet - Förebyggande åtgärder

Information &

kommunikation

- Kommunikation av policys & riktlinjer - Rapporteringsmöjligheter - IT-system

Övervakning &

uppföljning

- Ansvarsfördelning av övervakning - Hantering av brister

- Uppdatering av riktlinjer & policys

(20)

20

3 Metod

Vi ämnar besvara vår frågeställning och vårt syfte genom att utifrån väsentlig teori utföra kvalitativa intervjuer med utvalda svenska insamlingsorganisationer. Som referensram och utgångspunkt för vår metod kommer vi använda oss av metodboken ”Research methods for business students” av Saunders, Lewis & Thornhill (2003). Vi syftar till att använda en kvalitativ ansats för att få en djupare insikt i arbetet med intern kontroll i insamlingsorganisationer, snarare än att kvantitativt mäta kontrollen. På grund av den speciella karaktären av dessa organisationer och deras verksamhet (exempelvis vikten av omgivningens förtroende) finns intresse i att grundläggande analysera deras interna kontroll. Med anledning av FRIIs nyligen införda kvalitetskod för insamlingsorganisationer samt uppdagade fall av oegentligheter i vissa organisationer är ämnet aktuellt och får oss att anta att den interna kontrollen har setts över i dessa organisationer under de senaste åren. Då COSO-modellen är en allmänt vedertagen modell för intern kontroll, kommer den att vara vår utgångspunkt i analysmodellen. För att få en fördjupad och mer konkret användbar modell kompletterar vi denna med övriga teorier samt företaget KPMG:s praktiskt användbara modell för hantering av bedrägeririsker. Utifrån den teoretiska referensramen och vår analysmodell med grund i COSO-modellen kommer den primära datan, insamlad vid intervjuerna, att analyseras för att besvara vårt syfte.

3.1 Insamling av primär data

Ambitionen är att genomföra intervjuer för att utifrån dem kunna dra slutsatser om arbetet med intern kontroll i insamlingsorganisationer och eventuellt utarbeta förslag på förbättringar för att förebygga och motverka bedrägerier. Intervjufrågorna samt en sammanfattning av våra teorier ska i förväg delges de intervjuade personerna så att de ska kunna sätta sig in i våra frågeställningar. För att undvika att ställa ledande frågor använder vi oss av ett semistrukturerat frågeformulär med öppna frågor som låter respondenterna svara fritt. Vid behov kommer svaren kompletteras med följdfrågor.

3.2 Insamling av sekundär data

(21)

21

insamlingsorganisation, internal audit, non-profit organization, COSO, internal control, fraud, bedrägeri samt FRII.

3.3 Faktiskt tillvägagångssätt

Vid arbetets början tog vi kontakt med 23 av de största svenska insamlingsorganisationerna utifrån medlemslistan som finns på FRIIs hemsida. Vi skickade e-post till dessa organisationer med förfrågningar om intervju. Fem organisationer tackade ja till att bli intervjuade, de övriga avböjde eller svarade ej. Bortfallet på 18 organisationer kan bland annat ha berott på tidsbrist eller ovilja att delge information om ämnet. Detta kan ha haft som effekt att vårt urval består av organisationer som anser att de har en god intern kontroll och därav är villiga att berätta om den. Vi ser inte detta som någon nackdel då vår studie ämnar ge en beskrivning över hur arbetet med att förhindra att drabbas av interna bedrägerier kan fortlöpa.

De organisationer som tog emot oss för intervju var Barncancerfonden, Stockholms Stadsmission, World Childhood Foundation, Läkare Utan Gränser samt en organisation som önskar vara anonym, nedan omnämnd Organisation X. De fem organisationerna skiljer sig åt, både till storlek och struktur, och har därför olika metoder för att säkerställa sin interna kontroll. Då vårt syfte med uppsatsen inte är jämförande, utan att utreda hur svenska insamlingsorganisationer arbetar med intern kontroll samt att analysera hur deras arbete kan förbättras, anser vi inte att organisationernas olika strukturer är ett hinder. De personer vi intervjuat arbetar alla aktivt med den interna kontrollen i sina respektive organisationer, och har därför den kunskap och erfarenhet som behövs för att på ett tillförlitligt sätt kunna besvara våra frågor. Intervjufrågorna1 är indelade och strukturerade i enlighet med vår analysmodell. Intervjuerna utfördes på plats på organisationerna, enligt överenskommelse med respondenterna. För att öka trovärdigheten har vi under intervjuerna bett respondenterna att exemplifiera sina svar. Alla intervjuer har med respondenternas godkännande spelats in, vilket säkerställt att vi inte gått miste om någon information samt att vi kunnat fokusera på samtalet under intervjuernas gång. Det har även tillåtit oss att, vid tveksamheter i sammanställandet, gå tillbaka och lyssna igen för att försäkra oss om att vi inte uppfattat eller tolkat svaret fel.

Efter intervjuerna har sammanställningar av dem skickats via e-post till respektive respondent. Respondenterna återkom med synpunkter eller rena godkännanden av sammanställningarna. Därefter har hela det empiriska materialet kortats ner så att endast relevant information i förhållande till analysmodellen har behållits. Utifrån detta material har en diskussion förts kring organisationernas arbete med intern kontroll.

(22)

22

För att ge vår analysmodell en inriktning mot svenska insamlingsorganisationer och för att ge oss kriterier som kunde användas i vår analys, valde vi att inkludera KPMG:s modell för hantering av bedrägeririsker. Denna modell finns översiktligt redogjord för på KPMG:s hemsida men en utförligare skriftlig beskrivning finns inte tillgänglig för allmänheten. Vi fick den därför utvecklad och exemplifierad vid en intervju med Henk-Anne Rijpma, manager och ansvarig för ”Risk Management” på KPMG:s avdelning ”Forensic”. Han berättade om hur KPMG arbetar med att hjälpa företag och organisationer med att förebygga, upptäcka och åtgärda oegentligheter, vilket gav oss en djupare förståelse för hur detta arbete bör ske enligt ”best practise”. Det gav oss även insikt i hur en revisor uppfattar arbetet med intern kontroll i svenska organisationer.

3.4 Pålitlighet & överförbarhet

Enligt Saunders, Lewis & Thornhill (2003, s.252) finns två faktorer som påverkar pålitligheten i kvalitativa studier i form av intervjuer, dessa är intervjuarbias och respondentbias. Intervjuarbias innebär att intervjuaren ställer ledande frågor eller omedvetet påverkar respondenten vid intervjun. Det kan även bestå i att intervjuarens egna värderingar avspeglas i frågeställningarna. Med respondentbias menas att respondenten av olika anledningar kan vara ovillig att dela med sig av informationen. Det kan vara det känsliga ämnet, personkemin mellan intervjuare och respondent eller andra liknande anledningar som ligger till grund för detta.

För att minska risken för intervjuarbias har vi i minsta möjliga mån låtit våra egna värderingar speglas i de frågor vi ställt genom att utgå från den teoretiska basen vid utformandet av intervjufrågorna. Respondentbias kan däremot vara ett svårare område att påverka då intern kontroll kan vara känsligt ämne. Detta har vi försökt motverka genom att ge respondenterna möjligheten att vara anonyma.

Resultaten från undersökningen gör inga anspråk på att kunna generaliseras på en population, utan utifrån syftet och den kvalitativa metoden är ambitionen snarare att göra en grundläggande analys av ett fåtal subjekt. Resultatet av analysen ämnar ge förslag på utformning och förbättringsmöjligheter av ett internt kontrollsystem.

3.5 Källkritik

(23)

23

En av organisationerna har valt att vara anonym och därmed ställt vissa krav på att det empiriska materialet från deras intervju ”tvättas” från uttalanden som skulle kunna tänkas härleda till dem. Detta kan ha påverkat uppsatsens trovärdighet och pålitlighet. Vi har valt att ändå ta med intervjun i uppsatsen, då svaren vi fått bidragit till att besvara vårt syfte.

En annan faktor som kan ha uppstått med anledning av våra öppna frågor är att svaren till viss del kan vara subjektiva och grunda sig på respondentens personliga åsikter eller syn på saker. Då de intervjuade personerna arbetar aktivt med de aktuella frågorna, och har en stor insyn i respektive organisations interna kontroll, bedömer vi denna risk vara relativt låg. Vidare är intervjufrågorna utformade för att minska risken för egna tolkningar.

(24)

24

4 Redogörelse för intervjuer

Barncancerfonden är en ideell förening som samlar in pengar från privatpersoner och företag. De är helt beroende av dessa medel och får inga bidrag av kommun, landsting eller stat. Barncancerfonden är huvudfinansiär av svensk barncancerforskning. De arbetar även med informationsspridning och stöd till cancersjuka barn och deras familjer. Organisationens medlemmar är sex olika barncancerföreningar runt om i landet som arbetar med att hjälpa och stötta drabbade familjer. (Barncancerfonden, 2009) På Barncancerfondens huvudkontor arbetar 22 personer. Organisationen bygger inte på volontäraktivitet. Intervjurespondent på Barncancerfonden är Ulf Hermelin, ekonomiansvarig och controller på Barncancerfonden. I sin roll som controller arbetar han med intern styrning och kontroll. (Hermelin, 2009)

Childhood är en relativt liten och ny organisation. Den grundades 1999 av drottning Silvia och har de senaste åren vuxit från två till åtta anställda på kontoret i Stockholm. Childhood skiljer sig från andra liknande organisationer genom att deras huvudsakliga intäktskälla är längre kontrakt med företagspartners. Intervjurespondenter är Tove Danielson och Gisela Ivarsson som arbetar på Childhood Foundations huvudkontor i Stockholm. Danielson arbetar med Childhoods interna kontroll och organisationens implementering av FRIIs kvalitetskod, och Gisela Ivarsson är projekthandläggare; ett arbete som innebär tät kontakt, inklusive besök på plats, med de projekt som hon handlägger. (Danielson & Ivarsson, 2009)

Läkare Utan Gränser grundades år 1971 av en grupp franska läkare som ansåg att det behövdes en oberoende medicinsk hjälporganisation där arbetet enbart styrdes av nödställda människors behov, utan någon politisk inblandning (Läkare Utan Gränser, 2009). Idag har Läkare Utan Gränser sektioner i 19 olika länder. På kontoret i Stockholm arbetar cirka 30 personer. Dessutom finns det ett 60-tal kontorsvolontärer som hjälper till vid behov. Utöver detta anställs runt 100 fältarbetare årligen på svenska kontrakt. På Stockholmkontoret arbetar de huvudsakligen med insamling, kampanjer, rekrytering av volontärer samt med att informera om situationen för befolkningar i nöd och om arbetet i fält. Intervjurespondent på organisationen är Erik Falkenberg, ekonomi- och kontorsansvarig på Läkare Utan Gränser i Stockholm. (Falkenberg, 2009)

(25)

25

Stockholms Stadsmission är en organisation som vuxit mycket under de senaste åren, och som fortsätter att växa i snabb takt. Antal helårsanställda är närmare 300, medan antal volontärer är mellan 350 och 400 personer. Från 2008 och framåt har de fått flera stora entreprenadavtal med Stockholms kommun och samarbetsavtal med stiftelser, som till exempel Jerringfonden, med vilka Stadsmissionen bedriver ungdomsprojekt. Detta är en av orsakerna till denna tillväxt. Intervjurespondent är Harald Hagman, administrativ chef, på Stadsmissionen. (Hagman, 2009)

4.1 Barncancerfonden

Den interna kontrollen är en viktig fråga för organisationens trovärdighet. Arbetet med den interna kontrollen har stramats upp under de senaste åren. Det har förtydligats hur organisationen ska agera i olika situationer. Det behöver inte vara fråga om att förhindra att organisationen utsätts för brott, utan kan vara för att minska utrymmet för godtycke. Organisationen jobbar processorienterat, om man gör rätt från början så blir det lättare rätt i slutändan. Barncancerfonden har inte, så vitt de vet, blivit utsatt för bedrägeri eller bedrägeriförsök. (Hermelin, 2009)

Den grundläggande förutsättningen för Barncancerfondens arbete med intern kontroll är att organisationen är regel- och policystyrd. Det ska vara stor förutsägbarhet och hög transparens vilket är viktigt för trovärdigheten framför allt gentemot de som överväger att skänka pengar. Det ska finnas så lite utrymme som möjligt för godtycke i allt det de arbetar med. För att skapa den här kontrollen och styrningen har de utarbetat ett antal styrdokument med regler för hur de ska arbeta i olika situationer. Ett känsligt område är upphandling och ideella organisationers förhållande till leverantörer. (Hermelin, 2009)

Det är generalsekreteraren som leder verksamheten. Barncancerfonden har även en ledningsgrupp som arbetar med frågor som bland annat rör den interna kontrollen. I detta arbete utgår de från FRIIs kvalitetskod. När policydokument omarbetas förankras de alltid i ledningsgruppen och utifrån detta ska informationen vara etablerad i organisationen. (Hermelin, 2009)

(26)

26

Barncancerfonden avsätter resurser för kompetensutveckling för de anställda. De har dels allmänna kompetensutvecklingsambitioner som gäller hela organisationen, till exempel inom sakfrågor eller FRIIs kvalitetskod, dels har den HR-ansvarige kompetensutvecklingssamtal med varje medarbetare. Specifika önskemål om kompetensutveckling försöker de tillgodose. Det finns ingen konkret utbildning i att upptäcka och motverka brott, däremot har de en genomgång en gång per år med de anställda om vad som står i kvalitetskoden och hur det kan exemplifieras. (Hermelin, 2009)

Förutom Ulf Hermelin i hans roll som controller finns ingen formell internrevisionsfunktion (Hermelin, 2009).

4.1.2 Riskanalys

Organisationens ordförande har nyligen bett de externa revisorerna att göra en fördjupad riskanalys över organisationens verksamhet. Detta för att försäkra sig om att organisationen arbetar på rätt sätt. Revisorerna ska dels se över formella risker som attester och riktlinjer för anmälan, dels kultur, attityd och ledarskap. Dessa områden har styrelsen det yttersta ansvaret för. Organisationen har inget systematiskt sätt för att identifiera risker förutom nu då en extern konsult anlitats för att kartlägga riskerna. För Barncancerfonden är det viktigt att denna kontroll utförs av någon utomstående. (Hermelin, 2009)

Riskhanteringsstrategin består i att informera, kommunicera och utbilda alla medarbetare om vilka risker som finns, men även att, genom kommunikation med sina revisorer, försöka se var riskerna kan uppstå. Varje år görs en SWOT-analys, där organisationens styrkor, svagheter, möjligheter och hot kartläggs. Riskerna som upptäcks behöver inte alltid vara förknippade med oegentligheter. Till exempel kan generalsekreterarens ersättning vara en risk om allmänheten anser den vara oskälig. Största risken är att människor inte känner sig trygga med att donera pengar för att de inte tycker att organisationen hanterar sina risker på ett bra sätt. (Hermelin, 2009)

(27)

27 4.1.3 Kontrollaktiviteter

Organisationens attestordning är utformad på så vis att styrelsen ger generalsekreteraren rätt att teckna föreningen och generalsekreteraren ger i sin tur ut attesträtter till de som är behöriga. Alla utbetalningar över tre basbelopp attesteras av generalsekreteraren och alla inköp av vara eller tjänst över tre basbelopp är föremål för upphandling. Kvitton på utlägg sparas och alla utlägg ska kunna förklaras. Vidare är det bara två personer som har tillgång till bokföringen. Allt som rör personliga förehavanden har bara den HR-ansvarige tillgång till. (Hermelin, 2009)

Andra förebyggande åtgärder som vidtas är att policys och riktlinjer ses över med jämna mellanrum, lösenord till kassaskåpet byts ut och kontanthanteringen stramas upp. Vid upphandling görs en mindre bakgrundskontroll av uppdragstagare. Någon formell bakgrundskontroll görs inte på personer innan de anställs av Barncancerfonden. (Hermelin, 2009) 4.1.4 Information & kommunikation

Barncancerfonden avsätter ett eller två möten per år till att diskutera regler och riktlinjer med de anställda. Där förs en diskussion om vilka regler som fungerar och vilka som inte gör det. (Hermelin, 2009)

Medarbetarna ges möjlighet att kommunicera med ledningen och även att rapportera misstänkta oegentligheter utan att själva drabbas negativt. Det finns tydliga riktlinjer för hur de anställda ska bete sig om de misstänker något. Det finns dock inget system för att vara helt anonym vid anmälan. Det är i första hand generalsekreteraren som tar emot anmälningar om oegentligheter. Gäller anmälan generalsekreteraren så tas den upp av ekonomiansvarige som i sin tur vidarebefordrar informationen till styrelsens ordförande och organisationens revisorer. Barncancerfonden har inget intranät. (Hermelin, 2009)

Ansvar för utvärdering och korrigering av brister i den interna kontrollen har den ekonomiansvarige och generalsekreteraren. Den HR-ansvarige är ansvarig för personalfrågor. De externa revisorerna har ett visst ansvar när det kommer till att upptäcka eventuella brister i den interna kontrollen. Då organisationen är ganska liten är det svårt att själva granska det egna arbetet med intern kontroll. (Hermelin, 2009)

Avvikelser och brister i den interna kontrollen rapporteras till generalsekreteraren och styrelseordföranden. Kontrollaktiviteter och tillhörande riktlinjer uppdateras två gånger om året. SWOT-analys, där identifiering av organisationens risker ingår, sker en gång om året.

(28)

28

4.2 Childhood

Att Childhood är en så pass liten organisation har inneburit att den interna kontrollen på huvudkontoret, under de tio första åren, har legat på en ganska informell och personlig nivå. Detta börjar sakta men säkert ändras nu, i och med FRIIs nya kvalitetskod och i takt med att organisationen växer, till både omsättning, antal anställda och antal projekt. Fram till dagens datum har Childhood, såvitt de vet, aldrig utsatts för något bedrägeribrott. (Danielson & Ivarsson, 2009) 4.2.1 Kontrollmiljö

Childhoods ledning har inte någon uttalad policy angående intern kontroll för de anställda. Däremot har Childhood en stark organisationskultur och mycket kring sättet de arbetar ”goes without saying”. Exempelvis har Childhood en stark policy om hur de anställda ska bete sig i olika situationer men de anser inte att det finns ett behov av att skriva ner det. En medarbetarpolicy med övergripande riktlinjer är dock under utformning. Viss kompetens och erfarenhet, bland annat i projekt- och riskbedömningar är en förutsättning för att bli anställd på Childhood, och organisationen anställer därför inte nyutexaminerade. Childhood har hittills inte haft någon strukturerad kompetensutveckling för sina medarbetare utan en viktig del av de anställdas eget ansvar är att hålla sig uppdaterad på vad som händer runt om i världen, bland annat för att aktivt kunna delta i de konferenser som organisationen ofta närvarar vid. Utöver självständig uppdatering och utvecklingssamtal med chefen vid jämna mellanrum har Childhood, från och med 2010, även en viss summa per anställd budgeterad för kompetensutveckling. (Danielson & Ivarsson, 2009)

Eftersom Childhood grundades av drottning Silvia är det inte bara organisationens namn som står på spel om deras agerande ifrågasätts, utan även en svensk kunglighets. Därför är det extra viktigt att allting går rätt till. (Danielson & Ivarsson, 2009)

(29)

29 4.2.2 Riskanalys

Förutom att Childhood genomför riskanalyser för varje projekt de deltar i, görs det årligen även mer allmänna externa och interna riskanalyser av organisationens anställda, givare, co-funders och dylikt. Utifrån resultaten av riskanalyserna rangordnas organisationens risker efter störst sannolikhet och påverkan och därefter utformas riskhanteringsstrategier. (Danielson & Ivarsson, 2009)

Childhood har nyligen sett över sina rutiner som en del av arbetet med att identifiera och hantera risken att anställda kan begå bedrägerier. Bland annat krävs det alltid minst två personer för att godkänna en utbetalning. En jävsklausul i styrelsens arbetsordning förhindrar möjligheten för styrelseledamöter att, för Childhoods räkning, exempelvis ingå samarbetskontrakt med företag där de själva, familjemedlemmar eller dylikt har vinstintresse. (Danielson & Ivarsson, 2009)

Gällande ansvarsuppdelning av viktiga uppgifter har Childhood nyligen gjort en utförlig beskrivning av projektprocesserna och brutit ned dessa till olika befattningsbeskrivningar som anger vem som ska göra vad, vem som har vilka befogenheter och på vilken nivå olika beslut ska fattas. Organisationens chefer har även i uppgift att delegera visst ansvar. Möjligheten till stöld och bedrägerier minskas också genom dubbelsignering och attestering av alla kostnader och utbetalningar. (Danielson & Ivarsson, 2009)

Alla projekts kvitton, rapporter, kommunikationsdokument och dylikt sparas i flera år. Integriteten i Childhoods elektroniska data säkras bland annat genom att alla anställda har en personlig inloggning samt att endast en person har tillgång till bokföringssystemet. Andra förebyggande åtgärder är exempelvis att Childhood bara godkänner projekt för max ett år första gången de ingår avtal med en ny samarbetspartner och de kräver referenser från samarbetspartnerns tidigare arbeten. De gör även en bakgrundskontroll inför nyanställning. (Danielson & Ivarsson, 2009)

(30)

30

Childhood har inte något internt informationssystem men håller på att inhandla ett internt projekthanteringssystem som kommer att fungera lite som ett intranät, även om det egentligen mer är tänkt som en projektdatabas (Danielson & Ivarsson, 2009).

För tillfället har Childhood inga uttalade riktlinjer för att upptäcka och hantera brister eller problem i den interna kontrollen. Däremot ligger det på styrelsens ansvar att årligen skriva om den interna kontrollen. Det arbetet i kombination med en kontinuerlig dialog samt en extern revisors granskning av organisationen innebär förhoppningsvis att eventuella brister eller problem upptäcks. Danielson är just nu, tillsammans med de högre cheferna, särskilt ansvarig för utvärderingen av den interna kontrollen och för korrigering av brister och problem. Att Childhood är en liten organisation innebär att upptäckta avvikelser och brister eller förslag på förbättringar i den interna kontrollen tas upp direkt, exempelvis på deras måndagsmöten. Eftersom projekten är de största riskerna för Childhood läggs extra energi på övervakning av kontrollaktiviteter där. Bland annat betalar Childhood inte ut några pengar innan de fått in, noggrant granskat, godkänt och signerat rapporterna från projekten. (Danielson & Ivarsson, 2009)

Den unga organisationen är precis i övergångsfasen att formalisera de kontrollaktiviteter och styrmetoder som funnits informellt men inte varit nedskrivna. Svårigheten ligger i att öka kontrollen samtidigt som närheten och flexibiliteten gentemot samarbetspartnerna behålls. (Danielson & Ivarsson, 2009)

4.3 Läkare Utan Gränser

Under de senaste åren har en del handfasta förändringar skett i organisationens interna kontroll. Som regel brukar Läkare Utan Gränser försöka att inte anställa så många nya på huvudkontoret då det kostar väldigt mycket pengar. Dock har de nu ökat på personalstyrkan med en ny position på finansavdelningen. Tidigare fanns det bara en person som var ”finance officer”, vilket innebar att den personen ensam hade en del kontroll och ansvar över organisationens betalningar. Idag, efter nyanställningen, är det en som bokför och en som stämmer av. Detta innebär inte bara minskad arbetsbelastning för personalen utan även ökad effektivitet och ökad kontroll. En ytterligare del i Läkare Utan Gränsers interna kontroll numera är FRIIs kvalitetskod. Så vitt de vet har organisationen inte blivit utsatt för några bedrägeriförsök. (Falkenberg, 2009)

(31)

31

information som alla kan ta del av. Där står bland annat hur tidsrapportering ska ske, hur medarbetare går tillväga om de vill klaga på något, vilka rutiner för uttag av semester som gäller etcetera. Organisationen har även en lönepolicy och en attestpolicy som alla måste följa. Enligt Falkenberg kan man nästan aldrig ha för många policys. Alla dokument ligger ute på intranätet, lätt tillgängligt för de anställda. (Falkenberg, 2009)

Hela Läkare Utan Gränsers personalstrategi är kompetensbaserad. Hela processen, från rekrytering till utveckling och befordran, bygger på den kompetensbaserade strategin som genomsyrar organisationen. Det är varje avdelnings eget ansvar att se till att personalen kompetensutvecklas. För att sedan kontrollera att utveckling sker finns vissa hjälpmedel. De anställdas karriärer följer en trappa. Efter varje steg kommer de till en nivå där deras arbetsbeskrivning måste ändras för att säkerställa fortsatt utveckling. (Falkenberg, 2009)

På Läkare Utan Gränser får anställda inte någon speciell utbildning i att upptäcka och motverka brott. Däremot deltar både styrelse och anställda vid olika kurser och utbildningar som FRII anordnar. Angående bedrägerier och hur de arbetar emot det har Läkare Utan Gränser inte en direkt policy som riktar sig mot detta. I stället fokuserar organisationen mer på den starka, genomsyrande kulturen och deras övriga policys. (Falkenberg, 2009)

Det operationella centret i Bryssel är så pass stort att de har interna revisorer, men organisationen i Sverige är för liten för det. Däremot har de en så kallad ”finance controller” som arbetar med bevakning, rapportering, uppföljning med mera. (Falkenberg, 2009)

4.3.2 Riskanalys

För att identifiera riskerna som organisationen har tar Läkare Utan Gränser hjälp av sina revisorer. Revisorerna ställer frågor till organisationen och använder sig senare av diverse datorsystem för att analysera svaren de fått och ta fram en riskbild. Datorsystemen är hjälpmedel för revisorerna att analysera komplexa sammanhang och viktiga risker. Det kan vara svårt för organisationen själv att identifiera riskerna eftersom det är lätt att missa något eller att ta något för givet då man själv tycker att det fungerar bra. Att lägga upp arbetet med hur riskerna ska identifieras eller hur identifierade risker ska tas om hand, ligger på Falkenbergs eller generalsekreterarens bord. En intern riskanalys som Läkare Utan Gränser gör med jämna mellanrum är att bocka av vilka punkter de följer från en checklista med 76 punkter. Denna checklista är själva grunden i FRII-koden organisationen går igenom den för att undersöka om de följer koden eller om de avviker på någon punkt. Bland annat finns det en punkt med redogörelse för beroendeförhållande, där organisationen måste fundera på om de till exempel är beroende av något företag som etiskt kan ifrågasättas. (Falkenberg, 2009)

(32)

32

finansiella riskerna för Läkare Utan Gränser kan därför ses som annorlunda i förhållande till andra insamlingsorganisationer. Det blir till exempel svårare för pengarna att försvinna i korruption eller på icke-ändamålsenligt sätt i ett annat land då de insamlade medlen från Sverige direkt skickas till kontoren i Holland eller Bryssel. Där används pengarna för att driva verksamheten i fält, vilket innefattar löner för lokalanställda, inköp av mediciner, transporter och så vidare. Den interna risken att anställda i Sverige bryter mot någon policy och försöker bedra organisationen finns dock alltid, även om den är liten. (Falkenberg, 2009)

När det gäller arbetet med att identifiera och hantera risken att anställda begår brott är det organisationens kultur och deras många policys som är viktigast. En stor del i riskhanteringen handlar om att se till att det inte finns tillfällen att begå brott, till exempel genom att det krävs flera personer som attesterar. (Falkenberg, 2009)

Läkare Utan Gränser har en ganska klassisk ansvarsstruktur. Ytterst ansvarig på kontoret är generalsekreteraren. Under honom sitter de olika avdelningsansvariga, bland annat en insamlingsansvarig, en HR-ansvarig, och en finans- och kontorsansvarig. En grundläggande policy de har är att en person inte både kan utföra beställning och betalning. Det krävs till exempel flera led och olika personer för att utbetalningar för inköp ska genomföras. Att man gått igenom de olika stegen kontrolleras slutligen av den finansiella avdelningen innan de godkänns och bokförs. Alla regelbundna fakturor som organisationen betalar ligger dessutom inlagda i ett system så att det uppmärksammas om det inkommer en ny. Så fort en utbetalning överstiger 5 000 kronor krävs generalsekreterarens underskrift. 5 000 kronor är en medvetet lågt satt gräns, för att visa att Läkare Utan Gränser tar allvarligt på givarnas pengar. (Falkenberg, 2009)

I enlighet med bokföringslagen sparar Läkare Utan Gränser alla kvitton. Då fältarbete ofta bedrivs i krisdrabbade länder kan det i undantagsfall vara så att kvitto för taxiresor och dylikt är svårt att få, men då krävs det istället en skriftlig förklaring till situationen. Viktiga dokument, kontrakt och andra papper finns sparade i brandsäkra skåp och elektronisk data finns sparad på servrar. (Falkenberg, 2009)

(33)

33

För personer som nyanställs kräver Läkare Utan Gränser alltid referenser men att gå så långt som utdrag ur straffregistret gör de inte. De vill ändå tro gott om personer och att de arbetsansökande brinner för verksamheten och dess ändamål. Någon bakgrundskontroll på samarbetspartners eller uppdragstagare görs inte heller. Oftast försöker de göra sina inköp från stora och välkända leverantörer. I allmänhet vill företagen vara med och stötta organisationen finansiellt genom att erbjuda bättre priset och så vidare, vilket är lättare för stora än för små företag att göra. De gånger som organisationen trots allt köper in från mindre företag försöker de till viss mån granska dem, bland annat ur miljösynpunkt. (Falkenberg, 2009)

Alla organisationens anställda vet var de olika policydokumenten finns att läsa och alla uppdateringar skickas ut via e-post. En gång varje månad har Läkare Utan Gränser personalmöte där eventuella större förändringar tas upp och diskuteras. Eftersom Läkare Utan Gränser är en ganska platt organisation är det inte svårt för anställda att kommunicera med ledningen. Varje år genomförs dessutom en kontorsundersökning, som sedan visas för ledning och styrelse, där de anställda får möjlighet att skriva och berätta vad de tycker. På stockholmskontoret sker mycket av informationsspridningen och kommunikationen via den interna e-posten. Det finns även ett internationellt intranät för hela internationella Läkare Utan Gränser. Där kan alla anställda i hela världen ta del av informationen. (Falkenberg, 2009)

Läkare Utan Gränser har inget uttalat system om hur en anställd skulle gå till väga om de vill rapportera misstänkta bedrägerier anonymt, men vill man vara anonym kan man lägga en lapp, exempelvis i generalsekreterarens postfack (Falkenberg, 2009).