ENTERPRISE RISK MANAGEMENT

(1)

Företagsekonomiska institutionen Kandidatuppsats

Höstterminen 2009

En empirisk studie om hur sju utvalda faktorer påverkar implementeringsfasen av ERM

Författare: Erik Göranzon Joakim Spanne Handledare: Katerina Hellström Datum: 2010-01-07

(2)

Sammanfattning

Som ett resultat av de stora företags- och redovisningsskandalerna i början av det här decenniet skapades Sarbanes-Oxley Act (SOX). SOX är ett regelverk vars huvudsyfte är att öka trovärdigheten och transparensen i den finansiella redovisningen. Bland annat regleras företagen att redovisa den risk de ställs inför. Detta har bidragit till att allt fler företag, i huvudsak amerikanska, har implementerat så kallade företagsövergripande riskhanteringssystem (”ERM”), i syfte att skapa en hanterbar riskhantering som genomsyrar hela företaget. Intressant är att även ett flertalet svenska företag har valt att implementera ERM. Bakgrunden till denna förändring är tämligen okänd, även om Sveriges motsvarighet till SOX - Koden för svensk bolagsstyrnings - kan tänkas påverka. Varför vår studies syfte är att undersöka om det finns en korrelation mellan sju utvalda faktorer och hur långt svenska företag har kommit i implementeringen av ERM.

För denna studie väljs en kvantitativ ansats och genom enkätsvar från får urvalsgrupp genomförs en regressionsanalys, för att finna ett samband mellan studiens sju utvalda faktorer och den beroende variabeln – hur långt svenska företag har kommit i implementeringsfasen av ERM.

Utifrån vår studie kan vi konstatera att tre av de utvalda faktorerna är signifikanta – (1) ekonomichefens involvering i den interna kontrollen, (2) närvaro av riskchef och (3) frikopplad styrelse. (1) och (2) överensstämmer med de hypoteser som utformas i uppsatsen, medan (3) motsäger en hypotes.

17 av 30 företag har implementerat delar, eller redan har ett företagsövergripande riskhanteringssystem. Slutsatsen vi har dragit från detta är att Koden för svensk bolagsstyrnings troligtvis har påverkat eftersom den syftar till att stärka förtroendet för de svenska företagen genom att främja den interna styrningen och således den interna kontrollen och företagets riskhantering.

Nyckelord: risk, riskhantering, företagsövergripande riskhantering, the Sarbanes-Oxley ACT, COSO:s ramverk för företagsövergripande riskhantering

(3)

1. Inledning och frågeställning... 4

1.1. Avgränsning... 5

2. Teoretisk referensram ... 6

2.1. Risk... 6

2.2. Risk Management... 7

2.3. Enterprise Risk Management... 7

2.4. Svensk kod för bolagsstyrning...10

2.4. The Sarbanes-Oxley ACT ...10

2.6. Sju förklarande faktorer...10

3. Metod ...15

3.1. Metodansats ...15

3.2. Datainsamling...15

3.3. Urval ...15

3.4. Behandling av insamlad data ...16

3.5. Metoddiskussion ...16

3.6. Modell ...17

3.7 Justering av modell ...17

4. Resultat och analys ...21

5. Sammanfattande analys ...27

6. Referenser...28

7. Appendix ...32

7.1. Appendix 1 ...32

7.2. Appendix 2 ...35

7.3. Appendix 3 ...36

7.4. Appendix 4 ...37

(4)

1. Inledning och frågeställning

Som reaktion till företags- och redovisningsskandalerna i början av 2000-talet skapades en ny lagstiftning kring den interna kontrollen av företags finansiella rapportering - “Sarbanes-Oxley Act of 2002” (”SOX”) (SOX, 2008). SOX reglerar, bland annat, att företag ska rapportera hur de hanterar den risk de exponeras emot. Av den anledningen har allt fler företag valt att implementera ett företagsövergripande riskhanteringssystem (”ERM”¹), vars syfte är att förenkla riskhanteringsprocesserna inom företag (Gordon, Loeb & Tseng, 2009). Det har i synnerhet observerats bland amerikanska bolag, då företag som är listade på en amerikansk börs eller företag med mer än 300 amerikanska aktieägare är tvingade att följa SOX. Överraskande är att allt fler svenska företag har valt att implementera ERM² då de inte rätteligen följer SOX. Bakgrunden till det kan tänkas vara den svenska motsvarigheten till SOX - Koden för svensk bolagsstyrnings. Ett regelverk vars syfte är att stärka förtroendet för svenska börsbolag, genom att bland annat reglera hur företag ska utforma den finansiella rapporteringen och stärka den interna kontrollen.

Historiskt sett har riskhanteringen i företag varit uppdelad mellan olika divisioner, vilket har inneburit att divisionerna själva har utformat risknivåerna och ledningens inverkan har varit nästintill obefintlig (Collier, 2009). ERM å andra sidan ger ledningen en möjlighet att få en överskådlig bild över all den risk som företaget exponeras mot, vilket underlättar när riktlinjerna för riskhanteringen ska utformas (Beasley et al., 2005).

Den ökade utbredningen av ERM renderar i flertalet frågor kring varför svenska företag väljer att förändra eller utveckla sin riskhantering. Därför ämnar denna uppsats utföra en kvantitativ studie där vi försöker finna om sju utvalda faktorer påverkar hur långt svenska företag har kommit i implementeringen av ERM.

De sju utvalda faktorerna som vi menar påverkar implementeringen av ERM är: (1) Närvaro av en riskchef, (2) Frikopplad styrelse, (3) Stöd från ledningen, (4) Närvaro av de fyra stora revisionsbolagen, (5) Företagets storlek, (6) Branschklassificering och (7) USA noterade. Den statistiska modell som skapas för denna uppsats har sin grund i en studie av Beasley, Clune, &

Hermanson (2005), där en motsvarande undersökning har gjorts bland ett globalt urval av företag.

1 Enterprise Risk Management

2 Exempelvis Volvo, TeliaSonera och Eniro.

(5)

Således är denna uppsats frågeställning:

Finns det en korrelation mellan sju utvalda faktorer och hur långt svenska bolag har kommit i implementeringen av ERM?

1.1. Avgränsning

Vår urvalsgrupp består av företag som är noterade på Mid- och Large Cap på Nasdaq OMX Stockholm³. Denna avgränsning görs i huvudsak för att dessa bolag antas vara stora nog för att exponeras mot den mängd risker som ett företagsövergripande riskhanteringssystem hanterar. De lyder även under hårdare regler för att de är noterade och detta ökar också chansen att de har ett företagsövergripande riskhanteringssystem.

3 Large- och Mid Cap på Nasdaq OMX Stockholm är Stockholmsbörsens listor för bolag med ett börsvärde på mer än 150 miljoner kronor.

(6)

2. Teoretisk referensram

För att kunna ge läsaren förståelse i varför företag använder sig av ERM kommer vi här behandla de stora begreppen som föranleder skapandet av ERM – Risk och Risk Management. Sedan beskrivs ERM utifrån organisationen Committee of Sponsoring Organizations (”COSO”) ramverk, där ramverkets tre dimensioner presenteras. Avslutningsvis tar vi upp Koden för svensk bolagsstyrning och The Sarbanes-Oxley Act, två regelverk kring ett företags interna kontroll – där riskhantering ingår.

Risk

Risk Management

ERM

Figur 1: Egentillverkad modell som förklarar förhållandet mellan Risk, Risk Management och ERM

2.1. Risk

Begreppet risk är något vi stöter på varje dag. Att brygga kaffe, ta en dusch och gå över vägen är förenat med en viss risk. Det är däremot inte enkelt att finna en enhetlig definition av risk. Institute of Risk Management (2002) definierar risk som sannolikheten att en händelse sker och dess konsekvenser. Ser vi på risk ur ett kvalitativt perspektiv finner vi bland annat denna definition myntad av Kaplan & Garrick (1981):

Risk = Fara/Försiktighetsåtgärder⁴

Definitionen kan utläsas som att risken minskar vid ökade försiktighetsåtgärder och att risken ökar vid ökad fara. Vidare menar Knight (1921) att risk kännetecknar att man inte vet vad framtiden utvisar, men det finns en möjlighet att beräkna sannolikheten för ett visst utfall. Det viktigt att inte

4 Fri översättning av ”Risk” = ”Hazard”/”Safeguards”

(7)

bortse ifrån att det finns en positiv sida av risk, där risk är förknippat med avkastning; den förväntade avkastningen ökar med risken (Collier, 2009; Fama & McBeth, 1973). En annan viktig aspekt är att begreppet risk skiljer sig åt mellan människor. Collier (2009) talar om individens riskbenägenhet, vissa människor är mer villiga att anta risk och ser det som en möjlighet medan andra ser det som något farligt som bör undvikas.

2.2. Risk Management

Det är inte alltid möjligt att förhindra händelser som naturkatastrofer och bränder, däremot går det att reducera skadan de åstadkommer genom att arbeta proaktivt med skyddsåtgärder (ex.

handlingsplaner, brandsläckare). Vidare varierar sannolikheten mellan händelser; det är större sannolikhet att det börjar brinna i hemmet än att en orkan drar in över Sverige. På samma sätt som utgångens omfattning är olika för olika händelser; ett fotografi brinner upp i kontrast till att en hel byggnad sätts i brand. Allt det här kan vi fånga in under begreppet risk management - att identifiera en risk och kontrollera den (Collier, 2009).

Det går att skåda två läger inom Risk Management, statistiker/matematiker som har en kvantitativ vetenskaplig syn på risk (Wald, 1944; Linsmeier & Pearson, 1996) - risk går att beräkna – och en bredare psykologisk syn där även männskligt beteende vägs in (Gahin, 1966; Bernstein, 1998;

Rebonato, 2009). Gahin (1966) benämner de två lägren som vetenskap och mänsklig inverkan⁵, där vi finner att Risk Management har gått från en kombination mellan dessa (Gahin, 1966) till ett mer rent vetenskapligt tänkande med den finansiella riskhanteringen som största orsak (Linsmeier & Pearson, 1996⁶) till att åter ifrågasätta om den kvantitativa riskhanteringen kan eliminera risk eller om vi måste se mer till mänskligt beteende (Rebonato, 2009; Taleb, 2001;2007).

Sammanfattningsvis kan man se Risk Management som ett övergripande begrepp för hur organisationer kontrollerar sin riskexponering, oavsett om man tror att det går att kalkylera bort risk eller om man har en mer psykologisk ansats.

2.3. Enterprise Risk Management

ERM är ett tämligen svävande begrepp och många har försökt finna en adekvat definition av termen (Collier, 2009; IRM, 2002; Standards Australia, 2004). För att göra det enkelt för denna uppsats

5 Fri översättning av ”Art” och ”Science” i sammanhanget risk.

6 Introduktion till riskverktyget Value-at-Risk som skapades av investmentbanken JP Morgan och som senare utvecklades till bolaget RiskMetrics, mer läsning finns att tillgå på http://www.riskmetrics.com

(8)

intressenter väljer vi att följa organisationen COSO:s⁷ definition av ERM. COSO har publicerat ett ramverk kring ERM vilket är ett av de mest använda bland världens risk managers (Fraser, Schoening- Thiessen & Simkins, 2008).

COSO:s definition: “Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” (COSO, 2004:2)”

För enkelhetens skull presenterar vi vår tolkning av COSO:s (2004) definition av ERM:

”Enterprise Risk Management” (”Företagsövergripande riskhantering) är en riskhanteringsprocess som berör en hel organisation. Det appliceras i strategiarbetet genom hela organisationen, skapat för att identifiera händelser som påverkar organisationen och hantera den risk som organisationen utsätts för. Det för att skapa en rimlig försäkran att en organisation når sina mål.

Huvudkännetecken för ERM är att det är en formell process, det påverkar hela företaget, och det behandlar risk i ett portföljperspektiv, där samspelet mellan olika risker övervägs.

COSO:s ramverk för ERM utgår från tre olika dimensioner; den företagsövergripande riskhanteringens mål, den företagsövergripande riskhanteringens komponenter samt organisationens olika enheter. Dessa tre dimensioner visar sambandet mellan de mål ett företag strävar efter att nå och komponenterna i den företagsövergripande riskhanteringen, där komponenterna representerar vad som behövs för att nå dem (Moeller, 2007). Tanken med de tre dimensionerna är att de ska belysa helheten av en organisations riskhantering, följaktligen de mål företaget sätter upp, hur de ska nå dem och att samtliga enheter i organisationen arbetar på samma sätt för att nå dem (COSO, 2004). Nedan följer en kort redogörelse för de tre dimensionerna.

COSO föreslår att organisationer ska sträva efter att uppnå fyra kategorier med mål. Genom att göra detta minimerar de risken som organisationen utsätts för (COSO, 2004). De fyra kategorierna är;

7 COSO är en ideell organisation som verkar i den privata sektorn. COSO:s syfte är att skapa riktlinjer för företag och dess ledning för att effektivisera och föra in mer etiskt tänkande i företag. COSO finansieras genom fem stora amerikanska organisationer, de är dock helt fristående från dessa (Coso.org).

(9)

strategiska mål, operationella mål, trovärdighetsmål samt medgörliga mål. Med strategiska mål menas hur företag väljer att positionera sig på marknaden i jämförelse med sina konkurrenter (Porter, 1996; 2008). Genom att utveckla en konkurrenskraftig strategi reducerar företag risken att misslyckas och vilket torde leda till ökat värde och att företag presterar bättre (Gordon, 2009;

Chathotha & Olsen, 2007; Nocco & Stulz 2006). Med operationella mål menas att genom förbättring av de interna processerna kan företag uppnå högre effektivitet. Banker et al. (1989:529) benämner effektivitet i termer av produktivitet, där en högre produktivitet torde minska ett företags risk att misslyckas och öka dess värde och prestationsförmåga (Gordon, 2009). Med trovärdighetsmål avses helt enkelt företagens trovärdighet. Exempel på detta är att ha en korrekt och trovärdig finansiell rapportering (Sikka, 2009). Gordon (2009) menar att en trovärdig rapportering genererar en lägre risk, ökat värde och ökad prestationsförmåga för företag. Med medgörliga mål avses företagens regelefterlevnad. Företag har en mängd regleringar och lagar att följa, en del strängare än andra.

Dessa lagar och regleringar har sannolikt skapats för att skydda företagens intressenter⁸(BRC, 2006;

Collier, 2009). Således kan antas att om företag är medgörliga med de lagar och regleringar som de underkastas så minskar den risk de exponeras för och det medför ökat värde och prestationsförmåga (Gordon, 2009).

Den företagsövergripande riskhanteringen består av åtta olika komponenter. Dessa utgår ifrån hur ledningen driver ett företag och det är en integrerad del av verksamhetsstyrningen (Collier, 2009;

Beasley et al, 2008; COSO, 2004). Den första komponenten är den interna miljön som innefattar arbetsklimatet inom ett företag och lägger grunden till hur risk uppfattas och hanteras. Den andra komponenten är formulering av de mål som anses måste finnas innan ledningen kan identifiera eventuella händelser som påverkar dessa mål. Den tredje komponenten är att identifiera interna och externa händelser som kan komma att påverka företaget. Dessa ska sedan preciseras som risker eller möjligheter. Den fjärde komponenten är att riskera ska analyseras och bedömas för att få ett underlag för hur de ska hanteras. Den femte komponenten är de riskåtgärder som företagsledningen väljer det vill säga vilka risker som ska undvikas, accepteras, reduceras eller delas. Den sjätte komponenten är kontrollaktiviteter som avser de riktlinjer och rutiner som bör fastställas i syfte att säkerställa att riskåtgärderna genomförs på ett korrekt sätt. Den sjunde komponenten är att skapa en effektiv kommunikation genom företaget samt skapa ett sätt för att samla in relevant information så att de anställda ska kunna fullgöra sina åtaganden. Den åttonde och sista komponenten är övervaktning, inklusive uppföljning och utvärdering. Den företagsövergripande riskhanteringen övervakas och modifieras vid behov. Detta sker genom löpande uppföljningar och utvärderingar

8 Stakeholders

(10)

(COSO, 2004). Det är viktigt att poängtera vad gäller företagsövergripande riskhantering att komponenterna verkar som en process i flera riktningar och mellan de olika stegen (COSO, 2004).

Modellens tredje dimension berör organisationens olika nivåer. ERM behandlar riskhantering på organisationens samtliga nivåer. COSO:s ramverk för ERM tar upp fyra olika nivåer; dotterbolag (subsidiary), affärsenhet (business unit), avdelning (division) och enhetsnivå (entity-level). Detta är dock ingen nivåuppdelning som är generell utan varierar från företag till företag och de följer ofta organisationens organisationsschema. Dimensionens syfte och verkan i modellen blir således att samtliga nivåer i företaget ska samtycka med den företagsövergripande riskhanterings mål och komponenter (Moeller, 2007).

2.4. Svensk kod för bolagsstyrning

Svensk kod för bolagsstyrning (”Koden”) är en svensk regelsamling för bolagsstyrning och syftar till att stärka förtroendet för de svenska börsbolagen genom att främja en positiv utveckling av styrningen i dessa bolag. Koden riktar sig till samtliga bolag noterade på en svensk reglerad marknad (Kollegiet för svensk bolagsstyrning, 2008). I nuläget finns det två reglerade marknader i Sverige:

OMX Nordic Exchange Stockholm och NGM Equity (Aktiespararna, 2009). Bolagsstyrningen av de svenska bolagen regleras av fyra olika delar. Förutom Koden gäller även Aktiebolagslagen, de regelverk som finns för notering på de olika marknaderna samt Aktiemarknadsnämndens uttalanden om god sed på aktiemarknaden (Kollegiet för svensk bolagsstyrning, 2008). De regler i Koden som direkt påverkar bolagens riskhantering är reglerna för finansiell rapportering och intern kontroll.

Bland annat säger regelverket att styrelsen ansvarar för att bolaget har god intern kontroll samt formaliserande och säkerhetsställande rutiner (Kollegiet för svensk bolagsstyrning, 2008).

2.5. The Sarbanes-Oxley ACT

Sarbanes-Oxley ACT (SOX) är en amerikansk lagstiftning som stiftades 2002 och är ett resultat av de stora amerikanska redovisningsskandalerna i början av 2000-talet. Lagstiftningen omfattar samtliga bolag som är noterade vid en amerikansk börs eller har fler än 300 amerikanska aktieägare. Därför omfattas flertalet svenska bolag av SOX (Till exempel AB Volvo, ABB och Ericsson). Huvudsyftet med SOX är att ge ökad kvalitet och transparens i den finansiella rapporteringen (SOX, 2002; Holt, 2008).

2.6. Förklarande faktorer

I denna sektion presenteras de sju faktorer som denna studie ämnar verifiera. Dessa kommer likaledes att verka som oberoende variabler i vår regressionsmodell. Faktorerna har sin grund i frågeställningar från en studie av Beasley et al (2005).

(11)

Närvaro av en riskchef

Att företag har personal som arbetar med riskhantering är inget nytt, emellertid har en ny ledningsroll blivit allt mer populär att tillsätta bland världens företag – riskchef⁹ (Wheeler, 2009).

Bakgrunden är att företag har velat integrera risk i de strategiska målen, och då behövs en person som kan leda riskhanteringen över hela organisationer. En riskchefs roll innefattar således en mer holistisk syn över hur företag hanterar sin risk (Colquitt, et al. 1999; Economist Intelligence Unit, 2005.). Wheeler (2009 s. 55) menar att en riskchef ska vara ”the champion and ultimate sponsor of ERM” i en organisation. En studie av Kleffner et al. (2003) visar att bland bolag som valt att implementera ERM, har bakgrunden till implementeringen i 61 procent av fallen varit riskchefens inflytande över beslutet. En fallstudie av ERM i Hydro One Inc. visar att det första steget i implementeringen av ERM var tillsättandet av en riskchef (Aabo et al, 2005).

Hypotes 1: Närvaron av en riskchef är positivt korrelerande med implementeringsfasen av ERM

Frikopplad styrelse

En styrelse arbetar i huvudsak med att kontrollera ledning och verksamhet, hantera företags resurser och bistå ledningen (Johnson et al., 1996). Som en del i att bistå ledningen ingår att utforma strategier för verksamheten, varför styrelsens åsikter torde var högst påverkande vid en implementering av ERM. I huvudsak bör de sannolikt ha en stor inverkan på beslutet huruvida ERM ska implementeras eller inte, men även under pågående implementering kan det tänkas att styrelsens tankar ligger som grund för hur projektet utvecklas. Vidare är det dock ett väldebatterat ämne huruvida sammansättning av styrelsemedlemmar påverkar styrelsens strategiarbete. Johnson et al. (1993) finner att det är mer sannolikt att styrelser med dominerat antal utomstående styrelsemedlemmar initierar stora förändringar i en organisation. Judge & Zeithaml (1992) finner att insiderdominerade¹⁰ styrelser tenderar att vara mindre involverade i strategibeslut. Å andra sidan upptäcker Hill & Snell (1988) att styrelser med en majoritet av utomstående har en negativ korrelation med beslutstagande av innovativa strategier, huruvida ERM kan anses vara en innovativ strategi lämnar vi osagt.

Kleffner et al. (2003) fann att uppmuntran från styrelsen var en stark orsak till företags beslut att implementera ERM. Beasley et al. (2005) visar på en positiv korrelation mellan en styrelse med fler utomstående styrelsemedlemmar och implementeringsfasen av ERM.

9 Eng. Chief Risk Officer (CRO)

10 Insider – Styrelsemedlem som är anställd av företaget, utöver styrelseuppdraget.

(12)

Hypotes 2: En större andel styrelsemedlemmar som är frikopplad från ledningen är positivt korrelerande med implementeringsfasen av ERM

Stöd från ledningen

Det är relativt givet att ett starkare stöd från ledning ökar chansen att ett projekt utförs. Walker, Shenkir & Barton (2002)¹¹ tar det ett steg längre och menar att ERM inte kan lyckas utan ett starkt stöd från ledningen. McKenzie et al. (2001) visar att ett starkt stöd från ledningen ökar prestationsförmågan hos de anställda. Dock finns även faror med starkt ledarskap; de anställdas engagemang blir stark knutet till ledningen - där ett snedsteg kan få ödesdigra konsekvenser (McKenzie et al., 2001).

Då engagemang hos dem som hanterar den interna kontrollen är viktigt för implementeringen av ERM, bör omfattningen av verkställande direktörens och ekonomichefens involvering i den interna kontrollen vara högst betydande för hur implementeringen fortlöper (Beasley et al., 2005).

Hypotes 3: Den verkställande direktörens eller ekonomichefens involvering i den interna kontrollen är positivt korrelerande med implementeringen av ERM

Närvaro av de fyra stora revisionsbolagen

Det finns ett flertal studier som finner att revisionskvalitén är högre hos de fyra stora revisionsbolagen¹² än hos mindre revisionsbolag (Francis & Yu, 2009; DeAngelo, 1981). Här kan den samlade kunskapen som finns inom de fyra stora ses som en stark konkurrensfördel. Å andra sidan menar t.ex. Francis et al (1999) att revisionsbolagens egenskaper inte kan kopplas till bolagen per se utan det skiljer sig mellan städerna de verkar i.

Beasley et al. (2005) visar att det finns en positiv korrelation mellan företag som anlitar revisorer från ett av de fyra stora revisionsbolagen implementeringsfasen av ERM.

Hypotes 4: Närvaron av de fyra stora revisionsbolagen är positivt korrelerande med implementeringen av ERM

Företagets storlek

Riskens natur och omfattning skiljer sig åt mellan företag, där en organisationers storlek har en betydande roll. Stora företag har ett större behov av ett effektivt företagsövergripande

11 Andrahandskälla - Beasley et al. (2005)

12 KPMG, Ernst & Young, PWC och Deloitte

(13)

riskhanteringssystem, samtidigt som det är mer troligt att det har resurserna som krävs för att implementera ERM (Beasley et al., 2005). Colquitt et al. (1999) visar att det är mer troligt att större företag integrerar riskhanteringssystem i verksamheten. Ballou & Heitger (2005) menar emellertid ett företags storlek inte ska vara en begränsning för implementeringen av ERM. Beasley et al. (2005) finner att det är mer troligt att större företag har kommit längre i implementeringsprocessen av ERM.

Hypotes 5: Större företag har kommit längre i implementeringsprocessen av ERM

Branschtillhörighet

Riskomfånget emellan branscher kan tänkas skifta avsevärt. Den finanskris som uppkom under 2007 är direkt kopplad till bostadsobligationer innehållande, mestadels, amerikanska bostadslån (Hellwig, 2009). Bostadsobligationerna skapades och såldes ut av finansiella institutioner som per dagens datum lever tack vare konstgjord andning från staten i form av kapitalinjektioner¹³. Vidare kan krisens hastiga spridning vara svår att förstå, men den systematiska integrationen i finansvärlden anses vara en tänkbar anledning – faller en, faller alla (Hellwiq, 2009). Det utan att säga att krisen var oundviklig, riskhanteringen felade, finansiella institutioner spelade ett högt spel med omåttlig risk.

Företag i finansbranschen kan således anses vara exponerade för ett komplext nätverk av risk. Där det är den interna riskhanteringen, och statliga regleringar som styr risktagandet. Regleringen har blivit ett starkt verktyg bland världens regeringar, där kapitaltäckningsregleringen för banker Basel II¹⁴ är en av de mest aktuella. Med hänvisning till den interna riskhanteringen finner Beasley et al.

(2005) att banker har kommit längre i implementeringen av ERM, än andra branscher.

Hypotes 6: Företag som har branschklassificeringen finans har kommit längre i implementeringsprocessen av ERM

USA noterade

Företag som är noterade på en amerikansk börs eller har över 300 amerikanska aktieägare ska följa regelverket SOX, vars huvudsyfte är att ge ökad kvalité och transparens i den finansiella rapporteringen (SOX, 2002). Vidare behandlar SOX Section 404 den interna kontrollen, där riskhantering är en stor komponent. Section 404 fordrar att företag hanterar den interna kontrollen på ett effektivt sätt, vilket har anfört att allt fler företag har implementerat ett ERM-system

13 Många finansiella institutioner lyckades ändå inte undvika likvidering, där Lehman Brother är det mest kända fallet. På samma sätt tvingades några av de amerikanska investmentbankerna gå samman med affärsbanker för att förbättra sin kapitaltäckning (t.ex. Bank of America - Merrill Lynch) (Sorkin, 2008).

14 Basel II skapades för att främja säkerhet och sundhet i banksystemen. Det verkställs genom att skapa minimiregler för hur mycket kapital banker måste ha, för att minska riskerna för finansiell instabilitet (Finansinspektionen, 2002).

(14)

(Cappelletti, 2009). Giniat & Saporito (2007) menar att icke-vinstdrivande organisationer inom hälsovård bör implementera ERM och på så sätt tillmötesgå regelverket i Section 404. I Sverige berörs ett tjugotal¹⁵ bolag av SOX regelverket (Affärsvärlden, 2006).

Hypotes 7: Företag som är noterade i USA har kommit längre i implementeringsprocessen av ERM

15 Notera att antalet bolag som berörs av SOX troligtvis har förändrats sedan februari 2006 när artikeln skrevs.

(15)

3. Metod

3.1. Metodansats

Vi väljer en kvantitativ ansats för vår studie, då vårt syfte är att undersöka om sju utvalda faktorer påverkar hur långt svenska företag har kommit i implementeringen av ERM. Den kvantitativa ansatsen kännetecknas av insamling av data vilken sedan ligger till grund för analys och slutsatser (Bryman & Bell, 2007).

3.2. Datainsamling

För att få in den information vi behöver från vår urvalsgrupp utformar vi en enkät (Appendix 1) som täcker in den information som är nödvändig för vår modell (se sektion 4). Enkäten skapas utifrån de hypoteser vi har antagit för denna uppsats, samtidigt inspireras frågeställningarna i enkäten från Beasley et al:s (2005) dito¹⁶. Bryman & Bell (2008) beskriver enkätundersökning som ”en undersökningsmetod som vid ett tillfälle samlar in både kvalitativ och kvantitativ data kopplade till två eller fler variabler som sedan analyseras för att påvisa mönster hos associationer”. Då vi vill se mönster hos svenska företag gällande vad som påverkar hur långt de har kommit i implementeringen av företagsövergripande riskhanteringssystem, utgör enkäter en adekvat undersökningsmetod för oss.

Vi kommer att kontakta vår urvalsgrupp per telefon för att erhålla kontaktuppgifter till rätt person. Vi strävar efter att skicka enkäten till den ansvariga över internrevision/intern kontroll, alternativt till riskchefen eller redovisningschefen. Enkäten skickas sedan elektroniskt till erhållna personers e-post- adress, där vi introducerar vår uppsats (bilaga 2) och bifogar en länk till en elektronisk version av vår enkät. Vi ämnar följa upp denna kontakt med en påminnelse i syfte att öka svarsfrekvensen.

Eftersom kännedom om våra respondenter är irrelevant för vår studies resultat har vi meddelat företagen att enkäten är anonym.

3.3. Urval

För att kunna genomföra vår undersökning på ett korrekt sätt har vi sett till två faktorer. För det första att vår urvalsgrupp är tillräckligt stor samt att våra respondenter passar för vår analys. Utifrån dessa kriterier kommer vår urvalsgrupp att bestå av bolag noterade på Large- och Mid Cap på Nasdaq OMX Stockholm (Stockholmsbörsen). Då vår frågeställning berör företagsövergripande riskhantering har en grundläggande faktor varit att företagen tillhör en storleksgrupp där sannolikheten att det

16 Erhålls på förfrågan till Dana R. Hermanson.

(16)

existerar företagsövergripande riskhanteringssystem är stor. Vi väljer att skicka ut enkäten till 129 företag på elektroniskt vis, vilket efter två påminnelser leder till en urvalsgrupp på 30 företag.

3.4. Behandling av insamlad data

När den beroende variabeln är av diskret ordnad skala är en linjär regression inte att föredra. Då en linjär regression förutsätter normalfördelning, homoskedasticitet och linjärt samband. Samtidigt avses den beroende variabeln vara av kontinuerlig art i en linjär regressionsanalys (Menard, 2001).

Denna studies beroende variabel, ERM, betecknar implementeringsstatusen för ERM redovisad i ordnad skala(1-5). Varför vi kommer att använda oss av en ordinal logistisk regressionsmodell, då flertal forskare anser att det genererar ett mer tillförlitligt resultat (ex. Campbell & Donner, 1989).

Koefficienten i en logistisk regressionsmodell utgör chansen för ett visst utfall, sett till hur de oberoende variablerna påverkar varandra. Tillskillnad från en linjär regressionsmodell där koefficienten visar på sambandet mellan den beroende variabeln och de oberoende (Menard, 2001).

3.5. Metoddiskussion

Något som bör beaktas är de konsekvenser som kan uppstå till följd av vår metodansats. För det första vill vi belysa de risker som är förknippade med en kvantitativ ansats. Bryman & Bell (2008) tar upp fyra olika kritiska aspekter av kvantitativa studier. I denna metoddiskussion tar vi endast ta upp den kritik mot kvantitativa studier som vi anser relevant för vår studie.

Kritikerna menar bland annat att ”den kvantitativa mätningsprocessen besitter en konstgjord och oäkta känsla av precision och noggrannhet”. Med detta menas att de flesta författare ställs inför problemet att deras respondenter uppfattar frågor och termer olika och ger därför en skev och oklar svarsbild (Cicourel, 1964¹⁷). Den andra aspekten som tas upp är att det finns ett glapp mellan forskning och verkligheten. Kritikerna ställer sig frågan, hur vet vi att respondenterna har tillräcklig kunskap för att kunna svara på frågorna korrekt? (Cicourel, 1982)¹⁸

För det andra identifierar vi vissa risker med vår urvalsgrupp. Studiens trovärdighet är beroende av att vi får en tillräckligt hög svarsfrekvens från våra respondenter. Vi hoppas undvika denna risk genom de uppföljningar vi valt att göra till vår urvalsgrupp. Green (1991) menar att urvalsgruppens storlek vid regressionsanalys bör vara N > 50 + 8p där p är antalet oberoende variabler. Emellertid finns det ingen definitiv minimiregel för urvalsgruppens storlek.

17 Andrahanskälla – Bryman & Bell (2008)

18 Andrahandskälla – Bryman & Bell (2008)

(17)

3.6 Modell

Ordinal Logistisk Regression

ERM = β1RC + β2FRI_STYR + β3VD_INV + β4EC_INV + β5REV4 + β6STRLK + β7BRANSCH + β8USA + ε

Beroende variabel:

ERM - Implementeringsstatus för ERM

5 = Har redan ett företagsövergripande riskhanteringssystem

4 = Har implementerat delar av ett företagsövergripande riskhanteringssystem 3 = Har planer på att implementera ett företagsövergripande riskhanteringssystem

2 = Funderar på att implementera ett företagsövergripande riskhanteringssystem, men inget beslut finns

1 = Inga planer på att implementera ett företagsövergripande riskhanteringssystem

Oberoende variabler:

(1) RC är en dummyvariabel som betecknar om det finns en riskchef i organisationen: Har en riskchef= 1; Har inte en riskchef= 0. (2) FRI_STYR uttrycker hur stor andel av styrelsemedlemmarna som är utomstående: 0-100%. (3) VD_INV beskriver i vilken omfattning den verkställande direktören är involverad i den interna kontrollen: 1-5 där 1= Inte alls 5= I allra högsta grad. (4) EC_INV beskriver i vilken omfattning ekonomichefen är involverad i den interna kontrollen: 1-5, 1= Inte alls 5= I allra högsta grad. (5) REV4 är en dummyvariabel som avspeglar om ett företag använder ett av de stora fyra revisionsbolagen: Ett av de fyra stora= 1; Annat= 0. (6) STRLK är en beteckning för företagets storlek mätt i totala intäkter¹⁹ uppdelat i fem kategorier: 1-5 där 1= 0-5 Mdkr; 2= 5-10 Mdkr; 3= 10- 20 Mdkr; 4= 20-50 Mdkr; 5= 50+ Mdkr. (7) BRANSCH är en dummyvariabel som betecknar om ett företag har branschklassificeringen finans: Finans= 1; Annan= 0. (8) USA är en dummyvariabel som visar om ett företag är noterat i USA: Noterade i USA=1; Ej noterade i USA=0.

3.7 Justering av modell

För att finna en stabil ordinal logistisk regressionsmodell fordras att den uppfyller ett flertal statistiska kriterier. Således behandlar denna sektion hur vi finner en adekvat modell.

19 Storleksmåttet skiljer åt mellan många studier, Bamber (1987), Barber & Lyon (1997) med flera menar att marknadsvärdet för alla stamaktier bör användas, andra (t.ex. Andersen, 2008; Gordon, Loeb & Tseng, 2009) använder totala tillgångar som storleksmått. Vi har valt att totala intäkter med hänvisning till liknande studier utförda av Beasley et al. (2005) och Kleffner (2003), då vi önskar jämföra med dessa studier.

(18)

Illustration 1

Vi inleder med att studera fördelningen av den beroende variabeln (illustration 1). Den visar att det är mer sannolikt att högre värden uppkommer, vilket tyder på att vi måste korrigera vänstersidan i vår modell. I sådana fall är en komplementär log-log funktion²⁰ att föredra (Norušis, 2008) Samtidigt är det hög sannolikhet att värde 1 uppkommer - inga planer på att implementera ERM.

Det kan tolkas som vi har extremvärden i fördelningen och en Cauchit-funktion²¹ kan vara att föredra framför en komplementär log-log funktion.

Tabell 1

Tabell 2 visar att ett övergripande test²² för vår modell med komplementär log-log funktionen ger ett signifikant resultat (p<0.05), vi förkastar nollhypotesen att de oberoende variablerna är noll; vilket är ett tecken på att vi har en hållbar modell. Emellertid visar -2Log Likelihood ett nollvärde vilket tyder på att vi har en fullständig separation mellan variablerna²³. Det medför att vi inte går vidare med den

20 Ln(-ln(1-y), där y är sannolikheten för att en av händelserna i den beroende variabeln sker.

21 Tan(π(y-0.5)), där y är sannolikheten för att en av händelserna i den beroende variabeln sker.

22 Model Fitting Information

23 Dvs. den beroende variabeln kan förklaras perfekt av en eller flera oberoende variabler. Det är ett tydligt tecken på en logistisk regression kollapsar. -2LogLikelihood motsvarighet i en linjär regression är Log Likelihood (Menard, 2001).

Model Fitting Information Model Fitting Information

Model -2 Log Likelihood

Chi-

Square df Sig.

Chi-

Square Df Sig.

Intercept Only

90,825

Intercept Only

90,825

Final ,000 90,825 16 ,000 Final 13,825 77,000 16 ,000

Link function: Complementary Log-log. Link function: Cauchit.

Test of Parallel Linesc Test of Parallel Linesc

Chi-

Square df Sig.

Chi-

Square Df Sig.

Null Hypothesis

13,825

Null Hypothesis

13,825

General 199,404 .b 48 . General 199,404 .b 48 .

(19)

komplementära log-log funktionen. Istället väljer vi att arbete med Cauchit funktionen som visare ett -2LogLikelihood värde på 13.825²⁴.

Nästa bekymmer vi finner är i testet för parallella linjer²⁵ som inte visar ett fullständigt resultat.

Vidare finner vi att ingen variabel, beroende som oberoende, är signifikant (se Appendix 4). Vilket säger oss att en eller flera variabler försämrar vår modell. Vi väljer att utesluta variabeln VD_INV av anledningen att den visar ett väldigt högt p-värde på alla nivåer (p>0.962). En verkställande direktörs involvering i den interna kontrollen tycks således inte påverka implementeringsfasen av ERM.

I tabell 3 ser vi resultatet av den nya modellen där vi har uteslutit variablerna REV4, VD_INV, och vi använder en Cauchit funktion på den beroende variabeln.

Tabell 2

Parameter Estimates

Koefficient Sig.

[ERM = 1] ,000

[ERM = 2] ,000

[ERM = 3] ,000

Threshold

[ERM = 4] ,000

FRI_STYR -26,539 ,096

[RC=0] -5,941 ,074

[RC=1] 0 .

[EC_INV=1] -9,276 ,050 [EC_INV=2] -11,794 ,052 [EC_INV=3] -15,474 ,063 [EC_INV=4] -5,127 ,073

[EC_INV=5] 0 .

[STRLK=1] 6,497 ,123 [STRLK=2] 1,890 ,431

[STRLK=3] 390,599 .

[STRLK=4] 12,997 ,093

[STRLK=5] 0 .

[BRANSCH=0] ,667 ,778

[BRANSCH=1] 0 .

[USA=0] -320,022 .

Location

[USA=1] 0 .

Model Fitting Information

Model -2 Log

Likelihood Chi-

Square df Sig.

Intercept Only

90,825

Final 48,619 42,206 12 ,000

Test of Parallel Linesc

Model -2 Log

Likelihood Chi-

Square df Sig.

Null Hypothesis

48,619

General 45,232 3,387 36 1,000

Goodness-of-Fit

^Chi-

Square df Sig.

Pearson 111,917 104 ,280

Deviance 48,619 104 1,000

Pseudo R-Square Cox and

Snell

,755

Nagelkerke ,794

McFadden ,465

24 Det låga värdet tyder på kvasiperfekt separation, är dock att föredra framför fullständig separation.

25 Testet för parallella linjer säger oss om det är skillnad i koefficienterna mellan de oberoende variablerna och varje nivån av den beroende variabeln. Nollhypotesen säger att det inte någon skillnad i koefficienterna mellan variablerna, varför vi önskar få ett icke-signifikant resultat dvs. noll hypotesen förkastas ej (Norušis, 2008).

(20)

Det övergripande testet för modellen ger ett signifikant resultat (p<0.05), vi förkastar nollhypotesen att koefficienten för de oberoende variablerna är noll. Värdet (48.619) är fortfarande lågt varför vi antar kvasiperfekt separation, men vi anser att modellen är hållbar. Vidare ger testet för parallella linjer ett icke-signifikant resultat, vi förkastar inte nollhypotesen att det inte är någon skillnad i koefficienterna mellan variablerna. Anpassningsgraden²⁶ enligt Pearsons test visar ett icke-signifikant p-värde, vi förkastar inte nollhypotesen att de observerade och förväntade värdena är likartade. Ett högt p-värde tyder på en bra modell (Norušis, 2008). Slutligen vill vi se hur väl de oberoende variablerna påverkar den beroende; där ett högt pseudo-R²-värde visar att det är en bra modell.

Menard (2001) menar att MacFaddens pseudo-R² ska användas vid en logistisk regression, vilketi vår modell är 0.465, vilket kan anses vara en acceptabel nivå. Vi anser att modellen uppfyller kraven för att vara en adekvat modell.

26 Goodness-of-fit

(21)

4. Resultat och analys

Nedan kommer resultatet från vår enkät att presenteras. Vidare kommer resultatet diskuteras och analyseras och med grund i den teori som hittas under avsnitt 2.7 förklarande faktorer. Vi använder oss av en signifikansnivå på 10 procent för alla variabler i vår analys.

ERM

17 företag i denna studies urvalsgrupp har redan har ett företagsövergripande riskhanteringssystem eller har implementerat delar av ett. 10 företag har inga planer på, eller inte tagit något beslut på att implementera ett företagsövergripande riskhanteringssystem. Det totala antalet företag i vår studie uppgår till 30. Det visar att majoriteten av

de företagen i vår urvalsgrupp har kommit långt i implementeringsfasen av ERM, vilket ger ett ökat intresse till att utreda vilka faktorer som påverkar att svenska företag har valt att forma sin riskhantering som ERM.

Närvaro av en riskchef

Hypotes 1 säger att företag med en riskchef har kommit längre i implementeringen av ERM;

en positiv korrelation mellan variabeln RC och ERM. 12 av 30 företag som besvarade enkäten för denna studie har en utnämnd riskchef i sin organisation.

Således ser vi att majoriteten av urvalsgruppen inte har en riskchef i sin organisation. Vidare finner vi att koefficienten för variabeln RC=0 är negativ vilket säger oss att det är högre

Frekvens (antal)

Har riskchef (RC=1) 12

Har ej riskchef (RC=0) 18

Resultat Koefficient P-värde

[RC=0] -5,941 0,074

[RC=1] 0 .

12

18

Har riskchef (RC=1) Har ej riskchef (RC=0) Frekvens (antal)

ERM St at us 1 ERM St at us 2 ERM St at us 3 ERM St at us 4 ERM St at us 5

(22)

chans²⁷ att företag utan en riskchef inte har kommit långt i implementeringsprocessen av ERM. P- värdet är 0,074, vilket säger oss att resultatet är signifikant. Det överensstämmer med hypotes 1 och de tankar som Wheeler (2009) presenterar, att en riskchef är ytterst involverad och pådrivande gällande ERM. Vidare kan det tänkas att svenska företag har vunnit ett större intresse för en mer holistisk syn gällande riskhantering efter den finansiella krisen som drabbade världen 2007. Då företagsledningen kan tänkas vilja få en tydligare bild över alla de risker som påverkar företagen, för att inte drabbas av en akut kris likt exempelvis investmentbanken Lehman Brothers. Första steget i en sådan förändring av riskhantering är troligtvis skapandet av riskchefsrollen som i sin tur har en starkt inflytande i implementeringen av ERM (Kleffner et al., 2003; Aabo et al., 2005). Det är intressant att se resultatet från denna studie, där endast svenska företag studeras, överensstämmer med resultatet från Beasleys (2005) studie, där ett globalt urval av företag studeras. Vilket säger oss att riskchefens roll i implementeringen av ERM är samma oberoende av i vilket land företag har sin verksamhet.

Frikopplad styrelse

Hypotes 2 uttrycker att ett företag med en styrelse som har fler utomstående medlemmar i sin styrelse har kommit längre i implementeringen av ERM. Där en utomstående styrelsemedlem är en person som endast är verksam i styrelse och inte i övrig verksamhet. Andelen utomstående

styrelsemedlemmar i urvalsgruppen är i genomsnitt 87,8 procent; minimum är 60 procent och maximum är 100 procent.

Vi ser att koefficienten i regressionsanalysen för variabeln FRI_STYR är negativ, det säger oss att en högre andel utomstående styrelsemedlemmar genererar större chans att företag inte har kommit långt i implementeringen av ERM. P-värde är 0,096, resultatet är signifikant. Det säger emot hypotes två (H2), resultaten påvisar istället motsatsen. Det skapar ett ifrågasättande emot bland annat Johnsons et. al:s (1993) studie, som finner att en styrelse med en större andel utomstående styrelsemedlemmar tenderar att sätta igång stora förändringar i organisationer. ERM torde vara en stor förändring i en organisation. Å andra sidan finner Hill & Snell (1988) en negativ korrelation mellan en högre andel utomstående styrelsemedlemmar och beslutstagande gällande innovativa strategier. ERM kan anses vara en innovativ strategi inom ett relativt robust område – riskhantering.

Där företag tidigare har delat upp riskhanteringen mellan divisioner, och riskexponering har

27Notera att koefficienten i en logistisk modell inte betecknar förändringssambandet mellan variablerna, utan chansen för att ett visst utfall.

Andel frikopplad styrelse Medelvärde Maximum Minimum

87,80% 60,00% 100,00%

Resultat Koefficient P-värde

FRI_STYR -26,549 0,096

(23)

hanterats med ett ad hoc-perspektiv. ERM har förändrat synen på riskhantering och kan därför anses vara av innovativ karaktär. Emellertid finner Beasley et al. (2005) att det finns en positiv korrelation mellan implementeringsfasen av ERM och större andelen utomstående styrelsemedlemmar. Det som skiljer sig mellan Beasley er al:s (2005) och denna studie är urvalsgruppens geografiska placering.

Vilket kan antas ha en stor inverkan då styrelsestruktur kan tänkas skilja sig åt mellan länder. Därför kan resultatet som denna studie påvisar var kopplat till att urvalsgruppen endast består av svenska företag.

Stöd från ledning

17 av företagen i vår urvalsgrupp har en ekonomichef som i hög omfattning är involverade i den interna kontrollen, 4 och 5 i en skala på 1-5.

Koefficienterna för de oberoende variabler i en ordinal regressionsanalys som presenteras i en ordnad skala, i detta fall 1-5, kännetecknar chansen att vara högre upp i skalan för den beroende variabeln - i jämförelse med referenskategorin. Som alltid är det högsta värdet i skalan för den oberoende variabeln, i detta fall EC_INV=5.

EC_INV kännetecknar hur involverad ekonomichefen är i den interna kontrollen.

Koefficienten i vår modell är negativ för alla kategorier, vilket säger oss att det är större chans att företag med ekonomichef som är mindre involverade i den interna kontrollen inte har kommit lika långt i implementeringen av ERM, än företag med en mer involverad ekonomichef. P-värdet är signifikant för alla nivåer, således överensstämmer vår studie med en del av hypotes 3 – att högre involvering i den interna kontrollen av ekonomichefen är positivt korrelerande med implementeringen av ERM. Det är förenligt med studier av Walker, Shenkir & Barton (2002) som menar att ERM inte kan lyckas utan stöd från ledningen. Det kan antas att ekonomichefens roll i den

Ekonomichefens involvering i den interna kontrollen

Frekvens (antal)

Inte alls = 1 5

2 2

3 6

4 9

I allra högst grad = 5 8

[EC_INV=1] -9,276 0,05

[EC_INV=2] -11,79 0,052

[EC_INV=3] -15,47 0,063

[EC_INV=4] -5,127 0,073

[EC_INV=5] 0 .

5

2

6

9

8

Inte alls = 1 2 3 4 I allra högst grad =

5

(24)

interna kontrollen skiftar mellan olika branscher, då riskexponeringen skiljer sig dem emellan. En bransch som finans kan tänkas exponeras emot stora risker varför det förmodas att ekonomichefen måste ta större ansvar gällande den interna kontrollen.

Däremot utesluts variabeln för den verkställande direktörens involvering i den interna kontrollen ur modellen (se metodavsnitt 3.7). Varför vi inte har möjlighet att diskutera dess påverkan på implementeringen av ERM.

Storlek

19 av 30 företagen i urvalsgruppen har en omsättning under 20 miljarder kronor, och 7 företag har en omsättning på över 50 miljarder kronor. Vilket säger oss att det är mer troligt att fler företag från Mid Cap-listan har valt att besvara den enkät som använts för denna studie.

Variabeln storlek har positiva koefficienter för alla kategorier 1 till 4, det tyder på att de har större chans att företagen har kommit längre i implementeringen av ERM än kategori 5 vilket kännetecknar bolag med omsättning på över 50 Mdkr. Det säger emot hypotes 5 som påstår att det är mer troligt att större företag har kommit längre i implementeringsprocessen av ERM.

Resultaten är dock icke-signifikanta för kategori 1-3 varför vi antar att storlek inte påverkar implementeringsfasen av ERM för

företagen i dessa kategorier. Däremot visar kategori fyra ett signifikant resultat, där fyra av företagen i urvalsgruppen placerar sig. Det är emot Beasley et al. (2005) studie som finner att större företag har kommit längre i implementeringen av ERM. Det kan bero på att de företag i denna studies urvalsgrupp som har en omsättning mellan 20-50 miljarder kronor har en verksamhet som kräver en mer omfattande riskhantering. Vilket i sådant fall troligtvis kan förklaras av urvalsgruppens

Storlek

1 = 0-5 Mdkr 12

2= 5-10 Mdkr 6

3= 10-20 Mdkr 1

4= 20-50 Mdkr 4

5= 50+ Mdkr 7

[STRLK=1] 6,497 0,123

[STRLK=2] 1,89 0,431

[STRLK=3] 390,599 .

[STRLK=4] 12,997 0,093

[STRLK=5] 0 .

12

6

1

4

7

1 = 0-5 Mdkr 2= 5-10 Mdkr 3= 10-20 Mdkr 4= 20-50 Mdkr 5= 50+ Mdkr

(25)

begränsade storlek, varför resultatet ej kan tolkas för en hel population. Vidare anser vi att det inte finns någon mening med att tolka ett resultat där tre kategorier av fyra är icke-signifikanta.

Branschtillhörighet

11 av företagen i urvalsgruppen är verksamma i finansbranschen, vilket vi anser är många sett till urvalsgruppens storlek. Möjligtvis

är företag i finansbranschen mer

insatta rådande

riskhanteringssystem varför de är mer villiga att besvara enkäter inom ämnet.

Variabeln BRANSCH, som står för branschklassificering finans eller annan, visar på en positiv koefficient för BRANSCH=0. Vilket säger oss att ett företag med annan branschklassificering än finans har större chans att ha kommit längre i implementeringen av ERM. Detta säger emot hypotesen (H6) att det

är mer troligt att företag som har branschklassificeringen finans har kommit längre i implementeringsfasen av ERM. Vi ser dock att p-värdet är långt över signifikansnivån, således kan vi dra slutsatsen att branschklassificering inte påverkar implementeringsfasen av ERM. Det säger emot Beasley et al. (2005) som finner att banker har kommit längre i implementeringen av ERM. Att resultatet skiljer sig åt kan bero på att endast svenska företag granskas i denna studie, medan Beasley et al (2005) undersöker ett globalt spektrum av företag. Det kan möjligtvis kopplas till att finanskrisen inte drabbade Sverige i samma utsträckning som exempelvis USA, varför skillnaden i riskhantering mellan finansbolag och företag i andra branscher kan tänkas vara likartad bland svenska företag.

Branschklassificeringen

Finans (1) 11

Annan (0) 19

[BRANSCH=0] 0,667 0,778

[BRANSCH=1] 0 .

11

19

Finans (1) Annan (0)

(26)

USA noterade

Vi finner att variabeln USA visar ofullständigt resultat. Det beror troligtvis på det faktum att endast tre företag i vår urvalsgrupp var

noterade i USA. Vi väljer därför att inte analysera hur variabeln USA påverkar den beroende variabeln ERM.

Noterat i USA

JA (1) 3

NEJ (0) 27

[USA=0] -320,022 .

[USA=1] 0 .

Frekevens (antal)

3

27

JA (1) NEJ (0)

(27)

5. Sammanfattande diskussion

Denna studie ämnade finna om sju utvalda faktorer påverkar implementeringen av ERM – ett företagsövergripande riskhanteringssystem. Genom enkätsvar från urvalsgruppen genomfördes en ordinal logistisk regression, för att finna ett samband mellan studiens utformade faktorer (H1-H7) och den beroende variabeln ERM – hur långt företag har kommit i implementeringsfasen av ERM. Vi finner att tre variabler är signifikanta; riskchefens närvaro, frikopplad styrelse och ekonomichefs involvering i den interna kontrollen. Två av dess överensstämmer med de hypoteser vi har skapat för denna studie, (H1) att närvaron av en riskchef är positivt korrelerande med implementeringsfasen av ERM och (H3) Ekonomichefens involvering i den interna kontrollen är positivt korrelerande med implementeringen av ERM. Däremot säger resultatet från vår studie emot (H2); En större andel styrelsemedlemmar som är frikopplad från ledningen är positivt korrelerande med implementeringsfasen av ERM.

Vidare upptäcker vi att variablerna för den verkställande direktörs involvering i den interna kontrollen, branschklassificering, notering i USA och storlek²⁸ ger ett icke-signifikant resultat. Vilket säger oss att de inte kan antas påverka implementeringsprocessen av ERM. Vi finner även att alla företag i vår urvalsgrupp använder sig av en externrevisor från en av det stora fyra revisionsbolagen, varför den inte analyseras i vår modell.

Slutligen bör läsaren ifrågasätt hur adekvat modellen i denna studie är. Det kritiska momentet är urvalsgruppens storlek, 30 fall är med all sannolikhet inte ett tillräckligt stort urval för en regressionsanalys med sex oberoende variabler. Det medför att resultatet från denna studie troligtvis inte kan tolkas för en hel population.

Intressant är dock att 17 av 30 företag har implementerat delar, eller har redan har ett företagsövergripande riskhanteringssystem. Något vi inte förmodade innan vi påbörjade studien. Här kan det tänkas att koden för svensk bolagsstyrning har påverkat och möjligtvis allt fler företag tvingats se över sin riskhantering.

28 Även om en kategori är signifikant, anser vi är resultatet för vagt för att tolka för alla kategorier.

(28)

6. Referenser

Aabo, T., Fraser, J., & Simkins, B. (2005). The Rise and Evolution of the Chief Risk Officer: Enterprise Risk Management at Hydro One. Journal of Applied Corporate Finance, 17(3), 5.

Affärsvärlden. 2006. Guldregn över Sveriges revisorer. [Tillgänglig Online]

<http://www.affarsvarlden.se/hem/nyheter/article270923.ece> [2009-12-02]

Andersen, T. (2008). The Performance Relationship of Effective Risk Management: Exploring the Firm-Specific Investment Rationale. Long Range Planning, 41(2), 155-176.

Ballou, B., & Heitger, D. (2005). A Building-Block Approach for Implementing COSO's Enterprise Risk Management--Integrated Framework. Management Accounting Quarterly, 6(2), 1-10.

Banker, Rajiv D., Srikanti M. Data, and Robert S. Kaplan. 1989. "Productivity Measurement and Management Accounting." Journal of Accounting, Auditing & Finance 4, no. 4: 528-554.

Bamber, L. (1987). Unexpected Earnings, Firm Size, and Trading Volume Around Quarterly Earnings Announcements. Accounting Review, 62(3), 510.

Barber, B., & Lyon, J. (1997). Firm Size, Book-to-Market Ratio, and Security Returns: A Holdout Sample of Financial Firms. Journal of Finance, 52(2), 875-883.

Beasley, M.S., Clune, R., Hermanson, D.R. 2005. Enterprise risk management: An empirical analysis of factors associated with the extent of implementation. Journal of Accounting and Public Policy 24, 521–531.

Beasley, M.S. et al., 2008. Rising Expectations – Audit committee oversight of enterprise risk management. Journal of Accountancy, Vol 205, Issue 4, 44-51

Bernstein PL. 1998. Against the Gods: The Remarkable Story of Risk. New York: John Wiley Better Regulation Commission, “BRC”. 2006. Risk, Responsibility and Regulation – Whose risk is it anyway?.

Campbell, M.K. & Donner, A. 1989. Classification Efficiency of Multinomial Logistic Regression Relative to Ordinal Logistic Regression. Journal of the American Statistical Association, Vol. 84, No.

406: 587-591.

Cappelletti, L. (2009). Performing an Internal Control Function to Sustain SOX 404 and Improve Risk Management: Evidence from Europe. Management Accounting Quarterly, 10(4), 17-27.

Chathotha, P.K, Olsen, M.D. 2007., The effect of environment risk, corporate strategy, and capital structure on firm performance: An empirical investigation of restaurant firms. Hospitality

Management 26, 502–516.

Collier, P.M., 2009. Fundamentals of Risk Management for Accountants and Managers.

Butterworth-Heinemann Publications, Elsvier Ltd.

Colquitt, L, L,, R, E, Hoyt, and R, B, Lee, 1999, Integrated Risk Management and the Role of the Risk Manager, Risk Management & Insurance Review, 2: 43-61.

(29)

Committee of Sponsoring Organizations of the Treadway Commission (COSO). 2004. Enterprise Risk Management – Integrated Framework.

DeAngelo, L. (1981). Auditor size and audit quality. Journal of Accounting & Economics, 3(3), 183-199.

Economist Intelligence Unit. 2005. The Evolving Role of the CRO. London, New York, Hong Kong: The Economist Intelligence Unit.

Fama, E.F., MacBeth, J.D. 1973. Risk, Return and Equilibrium: Empirical Tests. Journal of political Economy, Vol. 81, NO. 3, 607-636.

Field, A. 2005. Discovering statistics using SPSS. (2. nd. ed.). London: Sage: 856.

Finansinspektionen. 2002. Riskmätning och kapitalkrav II: En lägesrapport om arbetet med nya kapitaltäckningsregler. [Tillgänglig online]

<http://www.fi.se/upload/20_Publicerat/30_Sagt_och_utrett/10_Rapporter/2002/rapport2002_8.p df >[2009-12-01]

Francis, J., Stokes, D., & Anderson, D. (1999). City Markets as a Unit of Analysis in Audit Research and the Re-Examination of Big 6 Market Shares. Abacus, 35(2), 185-206.

Francis, J., & Yu, M. (2009). Big 4 Office Size and Audit Quality. Accounting Review, 84(5), 1521-1552.

Fraser, J. R.S., Schoening-Thiessen, K., Simkins, B.J., 2008. "Who Reads What Most Often? A Survey of Enterprise Risk Management Literature Read by Risk Executives." Journal of Applied Finance 18, no.

1: 73-91.

Gahin, Fikry S. 1967. "A THEORY OF PURE RISK MANAGEMENT IN THE BUSINESS FIRM." Journal of Risk & Insurance 34, no. 1: 121-129.

Giniat, E., & Saporito, J. (2007). Sarbanes-Oxley impetus for enterprise risk management. (cover story). hfm (Healthcare Financial Management), 61(8), 64-70.

Gordon, L.A., Loeb, M.P., Tseng, C-Y., 2009. Enterprise risk management and firm performance: A contingency perspective. J. Account. Public Policy 28, 301–327.

Green, S.B. (1991) How many subjects does it take to do a regression analysis? Multivariate Behavioral Research, 26, 499-510.

Hellwig, M. (2009). Systemic Risk in the Financial Sector: An Analysis of the Subprime-Mortgage Financial Crisis. De Economist (0013-063X), 157(2), 129-207.

Hill, C. W. L., & Snell, S. A. 1988. External control, corporate strategy, and firm performance in research intensive industries. Strategic Management Journal, 9: 577-590.

Holt, M.F., 2008. The Sarbanes-Oxley ACT: Cost, benefits and business impacts, CIMA Publishing, Elsevier Ltd., Burlington USA

Institute of Risk Management, “IRM”. 2002. A Risk Management Standard. London: IRM.