Institutionen för teknik och samhälle
EXAMENSARB ET E
Hur kan den interna kontrollen kostnadsberäknas?
En fallstudie hos GÖSAB Sotnings AB
How to calculate the cost of internal control?
A case study at GÖSAB Sotnings AB
Examensarbete inom ämnet Företagsekonomi C-uppsats 15 hp
Vårterminen 2010 Therese Davidsson Karolin Ryberg
Handledare: Zia Mansouri
Examinator: Marianne Kullenwall
Hur kan den interna kontrollen kostnadsberäknas?
Examensrapport inlämnad av Therese Davidsson och Karolin Ryberg till Högskolan i Skövde, för kandidatexamen (BSC) vid Institutionen för Teknik och Samhälle:
2010-‐06-‐04
Härmed intygas att allt material i denna rapport, vilket inte är vårt eget, har blivit tydligt identifierat och att inget material är inkluderat som tidigare använts för erhållande av annan examen.
Signerat: ... ...
Therese Davidsson Karolin Ryberg
Förord
Denna uppsats har tagit form vid Högskolan i Skövde under vårterminen 2010. Den kunskap som vi har erhållit under dessa veckor kommer vi att ha enorm glädje och användning av i framtiden. Vi vill först och främst tacka VD och vice VD på GÖSAB Sotnings AB för att vi fick ta del av den interna kontrollen i företaget. Vi vill också tacka alla intervjurespondenter för att de tagit sig tid att svara på våra frågor.
Vi vill tacka vår handledare Zia Mansouri och alla opponenter som kommit med nyttiga och intressanta synpunkter.
Skövde den 4 juni 2010
Summary
In order to improve the efficiency and ensure the quality of activities, internal control today is an integrated management tool that is useful for both the company itself and for its various stakeholders. The companies’ external information must be reliable in order for the right decisions to be made in the business world. To ensure the reliability of the financial information, new laws have taken form in several countries and are the contributing factor for the ever increasing debate on the internal control. More and more companies spend a lot of time and resources on this tool, but only a few seem to take into account what it really costs to establish internal control.
There are many ways to describe internal control, which is due to the dynamic nature of the tool. However, there is a generally accepted definition of internal control that has been authorized by The Committee of the Sponsoring Organizations of the Treadway Commission (COSO) and is called the COSO model.
A case study was conducted at GÖSAB Sotnings AB through a qualitative method raising the question of how a calculation of the cost of internal control could look like based on the COSO models control components. Four small service companies in Sweden have been interviewed to identify why they choose to implement internal control, if they estimate and budget its costs and whether the tool can become too extensive to handle.
The qualitative method was chosen for this study in order to gain a deeper understand-‐
ing of how internal control is used and applied in small service companies. The data in the study have been obtained partly from scientific articles on internal control and costing, literature that explains relevant theoretical concepts and websites of concerned organizations.
Furthermore, an analysis has been conducted on GÖSAB's control components to identify some essential activities that can be the basis for the calculation of the total cost of internal control. Empirical data showed that there are many activities regarding internal control that are difficult to relate to only one cost centre. The companies also find it difficult to put a limitation on the extent of this work. The external pressure is one of the major reasons that the small service companies in our study choose to implement internal control but the cost of it is rarely noted. We conclude that an accurate and reliable estimate of the cost of internal control is difficult, but is necessary as any major investment must be cost effective, which can only be concluded through financial data.
Sammanfattning
I syfte att effektivisera och kvalitetssäkra verksamheten är intern kontroll idag ett integrerat ledningsverktyg som är till nytta både för företaget och för företagets olika intressenter. För att rätt beslut i företagsvärlden ska kunna fattas måste företagens externa information vara tillförlitlig. För att säkerställa detta har nya lagar i flera länder tagit form och bidragit till den ökade debatten om intern kontroll. Fler och fler företag ägnar mycket tid och resurser på verktyget men få verkar ta hänsyn till vad det egentligen kostar att införa intern kontroll.
Det finns många sätt att beskriva intern kontroll på eftersom verktyget är av sådan dynamisk karaktär. Det finns dock en allmänt vedertagen definition på intern kontroll som är författad av The Committee of the Sponsoring Organizations of the Treadway Commission (COSO) och kallas för COSO-‐modellen.
En fallstudie har genomförts hos GÖSAB Sotnings AB genom en kvalitativ metod där frågan hur en kostnadsberäkning av intern kontroll utifrån COSO-‐modellens kontroll-‐
komponenter kan se ut har utgjort kärnan i studien. Varför små tjänsteföretag väljer att implementera intern kontroll, om de beräknar och budgeterar kostnaden för det samt huruvida verktyget kan komma att bli allt för omfattande, har också undersökts genom personliga intervjuer samt telefonintervju på fyra små tjänsteföretag i Sverige.
Varför kvalitativ metod valdes till studien var för att få en djupare förståelse för hur intern kontroll används och tillämpas i små tjänsteföretag. Den använda datan i studien har inhämtats dels från vetenskapliga artiklar om intern kontroll och kostnadsberäk-‐
ning, litteratur som förklarar relevanta teoretiska begrepp samt berörda organisationers hemsidor på Internet.
Vidare har en analys gjorts av GÖSAB:s kontrollkomponenter för att identifiera några väsentliga aktiviteter som kan tänkas ligga till grund för beräkningen av den totala kostnaden av intern kontroll. Empirin visade att det finns många aktiviteter kring intern kontroll som är svåra att hänföra till endast ett kostnadsställe. Företagen upplever det också svårt att sätta en begränsning på omfattningen av detta arbete. Det externa trycket är en av de stora anledningarna till att små tjänsteföretag i vår studie väljer att implementera intern kontroll och kostnaden för det uppmärksammas sällan. Vi har kommit fram till att en exakt och tillförlitlig kostnadsberäkning av intern kontroll är svår att göra men är nödvändig eftersom varje större investering måste vara kostnadsef-‐
fektiv, vilket endast kan konkluderas genom finansiella underlag.
Förkortningar
ABM -‐ Activity Based Management
COBIT -‐ Control Objectives for Information and Related Technology CoCo -‐ Guidance of Control
COSO -‐ Committee of Sponsoring Organizations of the Treadway Commissions FAR – Föreningen Auktoriserade Revisorer
FR – Företagarnas Riksorganisation FRC -‐ Financial Reporting Council
ICOFR -‐ Internal Control over Financial Reporting ISA -‐ International Federation of National Associations ISO -‐ International Organization for Standardization SAC -‐ Systems Auditability and Control
SEC -‐ Securities and Exchange Commission SOX Sec. 404 – Sarbanes Oxley Section 404
SSR -‐ Sveriges Skorstensfejarmästares Riksförbund OVK – Obligatorisk ventilationskontroll
UNSCC -‐ United Nations Standards Coordinating Committee U.S. Sec -‐ U.S. Securities and Exchange Commission
VD – Verkställande direktör VVD – Vice verkställande direktör
INNEHÅLLSFÖRTECKNING
1. INLEDNING 1
1.1. BAKGRUND 1
1.2. PROBLEMDISKUSSION 2
1.3. PROBLEMFORMULERING 4
1.4. SYFTE 4
1.5. AVGRÄNSNING 4
2. METOD 5
2.1. ÖVERGRIPANDE ANGREPPSSÄTT 5
2.2. UNDERSÖKNINGENS UPPLÄGGNING 5
2.3. DATAINSAMLING 5
2.4. DATABEARBETNING 6
2.5. RELIABILITET OCH VALIDITET 7
3. TEORETISK REFERENSRAM 10
3.1. AGENTTEORIN 10
3.2. VAD ÄR INTERN KONTROLL? 12
3.3. TIDIGARE FORSKNING 13
3.3.1. KRITIK MOT INTERN KONTROLL 19
3.4. OLIKA MODELLER OCH SYNSÄTT FÖR INTERN KONTROLL 19
3.5. COSO-MODELLEN 21
3.5.1. MÅL 21
3.5.2. PROCESSER 22
3.5.3. KONTROLLKOMPONENTER 22
3.6. FR2000 25
4. EMPIRI 27
4.1. GÖSABSOTNINGS AB 27
4.1.1. KONTROLLMILJÖ 28
4.1.2. RISKANALYS 28
4.1.3. KONTROLLAKTIVITETER 29
4.1.4. INFORMATION OCH KOMMUNIKATION 29
4.1.5. TILLSYN 30
4.2. FOKUS PÅ DEN INTERNA KONTROLLENS KOSTNAD 30
5. ANALYS 33
5.1. KOSTNADSANALYS 33
5.2. KONTROLLMILJÖ 33
5.3. RISKANALYS 34
5.4. KONTROLLAKTIVITETER 35
5.5. INFORMATION OCH KOMMUNIKATION 36
5.6. TILLSYN 37
5.7. FOKUS PÅ DEN INTERNA KONTROLLENS KOSTNAD 37 6. SLUTSATS OCH FÖRSLAG TILL VIDARE FORSKNING 40
6.1. SLUTSATSER 40
6.2. FÖRSLAG TILL VIDARE FORSKNING 42
REFERENSER 43
BILAGA 1 - INTERVJUFRÅGOR GÖSAB A
BILAGA 2 - INTERVJUFRÅGOR FÖRETAG D
BILAGA 3 – ORGANISATIONSKARTA FÖR GÖSAB SOTNINGS AB E BILAGA 4 – KOSTNADSBERÄKNINGSMODELL FÖR INTERN KONTROLL F
FIGURFÖRTECKNING
FIGUR 1: UTVÄRDERINGSKOSTNADER 15
FIGUR 2: ATTESTERINGSKOSTNADER 16
FIGUR 3: COSO-‐MODELLEN 22
FIGUR 4: GÖSAB-‐GRUPPENS STRUKTUR 27
1. Inledning
I det inledande kapitlet redogör vi för studiens bakgrund samt problemformulering, vilka mynnar ut i studiens syfte. Problembakgrunden behandlar främst utvecklandet av ett enhetligt internationellt styrsystem och hur viktig den interna kontrollens roll är i dagens företag. Vidare behandlas även avgränsning i det inledande kapitlet.
1.1. Bakgrund
Intresset för intern kontroll har den senaste tiden stadigt ökat, inte minst i avseendet finansiell rapportering (FAR, 2006). I takt med de i början på 2000-‐talet inträffade redovisningsskandaler i främst USA har lagar kring redovisningen skärpts betydligt. I USA infördes 2002 lagen Sarbanes Oxley Act Sec. 404 (SOX sec. 404) som syftar till att öka kraven på att börsnoterade bolag i USA ska dokumentera den interna kontrollen i sina respektive årsredovisningar samt att externa revisorer ska intyga dokumentatio-‐
nens grad av säkerhet (U.S. Sec, 2008). Även i Sverige har fokus kring skärpta regler om intern kontroll utvecklats sedan 2003 då den så kallade ”Kodgruppen”, ett samarbete mellan Förtroendekommissionen1 och ett antal privata organisationer i näringslivet, hade i uppgift att ta fram en Svensk kod för bolagsstyrning. Denna kod ska fungera som en norm för svenska börsnoterade bolag vad gäller god bolagsstyrning och på så sätt öka marknadens förtroende för dessa bolag. Sedan 2005 arbetar Kollegiet för svensk bolagsstyrning (Kollegiet) med att följa upp de berörda bolagens arbete med Koden, vilken trädde i kraft första gången 1 juli 2005, för att revidera den där det behövs (Kollegiet för svensk bolagsstyrning, 2010). I den reviderade Koden, som trädde i kraft 1 februari 2010 finns tydliga krav på att styrelsen bland annat ansvarar för att bolaget har en god intern kontroll (Svensk kod för bolagsstyrning, 2010). Även i årsredovisningsla-‐
gens sjätte kapitel finns krav om att det i förvaltningsberättelsen eller i en från årsredovisningen avskild rapport ska lämnas en bolagsstyrningsrapport som bl.a. ska innehålla en redogörelse för de viktigaste elementen i företagets interna kontroll (FAR SRS, 2009).
Kommunallagens proposition 2003/04:1059 God ekonomisk hushållning i kommuner och landsting fick 2005 också kompletteringar med utökade bestämmelser om kommuners systematisering av den interna kontrollen. Där står tydliga krav om att kommuner och landsting ska ange ekonomiska och verksamhetsmässiga mål både på års-‐ och flerårsbasis, vilka sedan ligger till grund för utvärdering (Haglund, Sturesson &
Svensson, 2005).
Den utveckling och globalisering som under de senaste decennierna har skett har bidragit till att företag fått möjligheten, både ekonomiskt och geografiskt, att växa (Jacobsen & Thorsvik, 2002). Därigenom har också fokus kring intern kontroll ökat, genom att ett växande företag bl.a. är i behov av fungerande styrsystem. Företagen blir ofta i det växande skedet allt mer komplexa och medarbetare har fler hierarkiska nivåer
1 Förtroendekommissionen är tillsatt av regeringen sedan 2002 med uppdrag att skapa en dialog mellan aktieägare och styrelser i syfte att analysera förtroendeskadliga företeelser i näringslivet för att rama in behovet av lagar och uppförandekoder för bolagsstyrning (Förtroendekommissionen, 2004).
att förhålla sig till. För att kunna hantera ett växande företag krävs ett organiserat styrande. Många företag som växer ändrar den organisatoriska strukturen genom att förskjuta vissa delar av makten och ansvaret från ledningen till mindre instanser i företaget för att kunna effektivisera verksamhetens processer och styrning (Jacobsen &
Thorsvik, 2002). Decentraliseringen medför dock att möjligheten till direkt och personlig övervakning försvåras. Säkerställningen av att den förskjutna makten och ansvaret hanteras på det sätt som är tänkt kräver en kontinuerlig kommunikation mellan alla instanser om bl.a. mål, policys och riktlinjer. Denna kommunikation kan med hjälp av ett verktyg som intern kontroll lättare struktureras och systematiseras. I ett företag som växer eller ett företag som redan är stort torde det av just denna anledning vara av ännu större vikt att fokusera på den interna kontrollen för att effektivisera styrandet och för att upprätthålla en stabil tillväxt (Haglund m.fl., 2005). Enligt Haglund m.fl. (2005) kan den förväntade effekten på styrningen dessutom väntas bli relativt låg eller till och med utebli om ingen kontroll av de uppsatta målen och reglerna görs.
1.2. Problemdiskussion
Intern kontroll är ett verktyg som innefattar alla processer i en organisation och syftar enligt COSO-‐modellen2 till att med rimlig grad av säkerhet kunna uppnå:
ändamålsenlig och kostnadseffektiv verksamhet
tillförlitlig finansiell rapportering och information om företaget samt
efterlevnad av lagar, föreskrifter och riktlinjer
Eftersom de flesta företag har olika mål, policys och föreskrifter att arbeta efter kan ett verktyg som intern kontroll i olika verksamheter inte tillämpas utefter en och samma modell. Intern kontroll måste snarare anpassas efter varje enskild verksamhet, utifrån egna uppsatta mål och principer, för att fungera som bäst. Ibland måste den interna kontrollen till och med anpassas för olika avdelningar i en och samma verksamhet (Haglund m.fl., 2005). Den interna kontrollen kan definieras på flera sätt i olika organisationer i form av exempelvis kontoavstämning, ISO-‐certifieringar3 eller en övervakande internrevision (FAR, 2006). Att införa intern kontroll kan således bli ett omfattande arbete från start till mål (Haglund m.fl., 2005). Paradoxalt nog finns det förmodligen ingen mållinje för arbetet med intern kontroll då företagande generellt sett handlar om att hela tiden sätta upp nya mål, som i sin tur också de måste följas upp och revideras. Detta kan innebära att den interna kontrollen är av sådan dynamisk karaktär att det kan leda till svårigheter vad gäller dess planering, genomförande och nytta eftersom det är svårt att jämföra den med andra företags interna kontroll.
Intern kontroll kräver ett kontinuerligt arbete som lätt kan bli byråkratiskt och ta överhand över de till ordinarie verksamheten tillhörande processerna. Det är därför viktigt att den interna kontrollen utformas så att fokus ligger på att uppnå verksam-‐
2 Committee of Sponsoring Organizations of the Treadway Commissions (COSO) är en amerikansk organisation som utvecklar ramar och riktlinjer för företags riskhantering och intern kontroll för att förebygga omfattningen av bedrägerier i organisationer (COSO, 2010).
3 International Organization for Standardization (ISO) är en av världens största organisationer som har utvecklat internationella kvalitets-‐ samt miljöledningsstandarder tillämpat i certifieringssystem (ISO, 2010).
hetsmålen. Lika viktigt är det att risken för att fokus bara ligger på själva kontrolleran-‐
det utesluts. Med andra ord ska det eftersträvas en tillräcklig kontroll för att uppnå de uppsatta målen på ett kostnadseffektivt sätt (Öhrlings PricewaterhouseCoopers, 2008).
I skrivande stund är det bara börsnoterade bolag som omfattas av Kodens normer (Svensk kod för bolagsstyrning, 2010), vilket innebär att de små bolagen som arbetar med intern kontroll gör det på egen fri vilja. FR20004 Verksamhetsledning är som ISO ett ledningssystem som handlar om att kvalitetssäkra olika processer i verksamheten och är viktig i detta sammanhang för att FR2000 är tillämpbart hos de flesta små och medelstora företag i Sverige och kan hjälpa till att strukturera upp och underlätta arbetet med den interna kontrollen (FR2000, 2009). Men med eller utan ett ledningssy-‐
stem kan den interna kontrollen ändå vara svår att strukturera och kräver tid och tålamod. Så vad är det då som gör att mindre företag vill eller behöver arbeta med intern kontroll. Behöver medarbetarna verkligen styras in till minsta detalj? Behöver ledningen veta precis allt? Den organisatoriska teorin som kallas agentteorin tar upp några av de aspekter som kan förklara relationerna mellan ledningen och de anställda, och kan hjälpa oss att svara på just de här frågorna. Agentteorin kan hjälpa oss att förstå olika aspekter och karaktärer på relationer mellan individer i olika grupper i en organisation (Nygaard & Bengtsson, 2002).
Intern kontroll är ett långsiktigt arbete som konkret inte leder till några intäkter utan tvärtom medför kostnader. Dessa kostnader mäts i framför allt tid och kan främst i uppstarten bli mycket omfattande (Öhrlings PricewaterhouseCoopers, 2008). I diskussionen kring intern kontroll pratas det emellertid sällan om vad det kan kosta att införa detta styrsystem. Komplexiteten och omfattningen av verktyget medför risken att kostnaden överstiger dess nytta (Noy, 1999), vilket än en gång för tanken till varför små företag som inte på grund av lagar, utan av egen fri vilja väljer att arbeta med intern kontroll. Vad kan det finnas för aspekter som gör att ett litet företag väljer att implementera ett verktyg som intern kontroll?
Ändamålet med intern kontroll är att kostnadseffektivisera alla processer i företaget (Haglund m.fl., 2005), men får det ske till vilken kostnad som helst? I dagens samhälle med rådande lågkonjunktur är kostnadseffektivisering önskvärt inom alla verksamhe-‐
ter. Hur det skall uppnås kan däremot vara olika. Genom att utföra kostnadsanalyser i verksamheter kan det upptäckas vart det skall och kan effektiviseras för att få ner kostnaderna. Dock, kan analyserna vara dyra och därför kan en god intern kontroll vara att rekommendera för att hålla nere kostnaderna för att utesluta en sådan analys (Mayer, 1998). Däremot kan tidsaspekten för många vara den kritiska faktorn vid avgörandet om en implementering ska ske eller inte då det är tidskrävande att få en fungerande intern kontroll. Men tid kostar i slutändan alltid pengar och den interna kontrollen måste väl också den vara kostnadseffektiv!? Det kan upplevas som riskfyllt att mäta kostnadseffektiviteten på den interna kontrollen då det är lätt att hamna i ett ekorrhjul som bara går runt och runt, vilket i realiteten innebär att kontrollera kontrollerandet? Men hur långt ska arbetet med den interna kontrollen sträcka sig och när börjar den kosta för mycket?
4 Företagarnas Riksorganisations råd tog 2005 fram en omarbetad och förenklad version av ISO:s kvalitets-‐ och miljöstandard samt lade till kompetensförsörjning, hälsa och säkerhet som krav för företag att bli FR2000 certifierade (ISO, 2010).
1.3. Problemformulering
Kostnadsaspekten för intern kontroll är till synes ett problematiskt och sällan omtalat område som samtidigt är en kritisk punkt för att arbetet med den interna kontrollen ska löna sig. Utifrån detta formuleras följande problemfrågeställning:
Hur beräknas kostnaden för intern kontroll i små tjänsteföretag?
Finns det problem med att beräkna kostnaden för intern kontroll?
Vilka aspekter gör att ett mindre tjänsteföretag väljer att implementera intern kontroll?
Finns det några indikationer på när intern kontroll kan bli för omfattande?
1.4. Syfte
Det allmänna syftet med detta arbete är att öka vår kunskap kring varför vissa utvalda mindre tjänsteföretag väljer att arbeta med intern kontroll och om den interna kontrollen kostnadsberäknas och budgeteras. På den praktiska nivån syftar detta arbete till att kartlägga GÖSAB:s interna kontroll utifrån COSO-‐modellens kontrollkomponenter för att skapa en modell för kostnadsberäkning av intern kontroll för mindre tjänsteföre-‐
tag.
1.5. Avgränsning
De nya lagarna och kraven om intern kontroll visar att fokus på detta område den senaste tiden stadigt har vuxit. Varken ”Koden” eller Kommunallagen berör emellertid små tjänsteföretag i Sverige och kommer således endast ha funktionen som en förklaring till det ökade intresset och kommer inte behandlas vidare i uppsatsen. Inte heller SOX Sec. 404 berör små svenska tjänsteföretag men kommer i teorin att nämnas i samband med presentationen av den tidigare forskningen kring ämnet. Denna lag kommer dock inte att förklaras närmare eller ligga till grund för resten av uppsatsen.
2. Metod
I detta kapitel redogörs studiens angreppssätt, datainsamling och databearbetning.
Kapitlet beskriver även studiens validitet samt reliabilitet.
2.1. Övergripande angreppssätt
För att uppnå syftet att skapa en modell för att beräkna kostnaden av intern kontroll och belysa problematiken kring kostnadsberäkning, gick vi på djupet av ämnet och genomförde en kvalitativ studie på ett utvalt företag. Enligt Backman (2008) anses fallstudier inom det kvalitativa synsättet vara lämpliga där studieobjektet visar sig vara komplext och används för att söka förståelse, förklara eller beskriva exempelvis system som inte enkelt kan undersökas med annan metodik. En kvalitativ fallstudie innebär en undersökning av ett fenomen i sin realistiska miljö eller kontext. Med anledning av detta blev en kvalitativ fallstudie vårt angreppssätt för denna uppsats. Detta för att det krävs en djupare kunskap om hur den interna kontrollen används och tillämpas i små tjänsteföretag för att kunna utforma en kostnadsberäkningsmodell.
2.2. Undersökningens uppläggning
Uppsatsen bygger till stor del på en fallstudie gjord på ett litet tjänsteföretag i Sverige där vi undersökt hur och om det går att kostnadsberäkna deras interna kontroll.
Anledningen till att GÖSAB blev företaget vi valde att utföra vår fallstudie på är att en av författarna arbetar på företaget vilket innebar att en kontakt redan var etablerad och underlättade därmed datainsamlingen på företaget. GÖSAB är också ett bolag som växt snabbt under de senaste fem åren, men som nu har beslutat sig för att stagnera tillväxten för att utvärdera och förbättra kvaliteten inom organisationen. Detta innebär att den interna kontrollens omfattning växer och skapar förutsättningar för att kostnaden av den interna kontrollen ökar. Företaget är intresserat av att få fram en modell i syfte att beräkna kostnaden för deras interna kontroll. Utöver fallstudien ville vi ta reda på om den interna kontrollen inom små tjänsteföretag i Sverige är ett verktyg som kostnadsberäknas och om den kostnaden överhuvudtaget uppmärksammas. Den informationen har vi fått fram genom att utföra intervjuer av ett litet antal tjänsteföretag som använder sig av intern kontroll. Uppsatsen tar även upp en del litteraturstudier i syfte att jämföra nuvarande dokumentation mot vad företagen i studien använder som modell för intern kontroll. Detta har gjorts för att presentera en modell i kostnadsbe-‐
räkningssyfte av intern kontroll.
2.3. Datainsamling
Det finns två olika sätt att samla in data på, sekundärt eller primärt. Sekundärdata är data som tidigare insamlats för ett annat syfte medan primärdata är nyinsamlad data som är insamlad endast för uppsatsens syfte (Bryman & Bell, 2005). Vår datainsamling bygger på båda dessa metoder. Genom intervjuer har vi samlat primärdata. Som det beskrevs tidigare arbetar en av författarna på företaget vilket har gjort att informatio-‐
nen som krävts har varit lättillgänglig och underlättat datainsamlingen genom att vi hela tiden har kunnat ställa följdfrågor och fått svar på frågor som uppkommit under
arbetets gång. Vi har därför kunnat följa arbetet på nära håll. Informationen som vi fått om företaget i fallstudien har baserats på intervjuer på ca. 50 minuter gjorda med företagets VD och vice VD (VVD). Anledningen till att dessa personer har varit nyckelfigurer i vår datainsamling är p.g.a. att det är de som driver den interna kontrollen. Karaktären på frågorna behandlar hur den interna kontrollen ser ut på GÖSAB. Frågorna behandlar också om det finns uppskattningar på vad den interna kontrollen kostar idag och om den finns med i budgeten. Utöver detta har vi haft tillgång till företagets dokument angående den interna kontrollen och har även haft samtal med företagets externa konsult som har haft stor inverkan på bolaget genom ett certifie-‐
ringssystem som företaget tillämpat i verksamheten. På grund av att företagets interna kontroll styrs till stor del av detta certifieringssystem var informationen från konsulten viktig för att kunna få en större inblick i den interna kontrollen som används i GÖSAB.
Utöver fallstudien ville vi ta reda på om den interna kontrollen inom små tjänsteföretag i Sverige är ett verktyg som kostnadsberäknas och om den kostnaden uppmärksammas.
Den informationen kunde vi få genom att utföra intervjuer av ett litet antal tjänsteföre-‐
tag. Med anledning av att företaget i vår fallstudie arbetar med intern kontroll efter ett visst certifieringssystem beslöt vi oss för att intervjua små tjänsteföretag som arbetar efter samma system och därav har liknande rutiner när det gäller att arbeta med den interna kontrollen. Genom att utföra en telefonintervju och tre personliga intervjuer på ca. 30 minuter vardera med de olika respondenterna tror vi att vi lättare och bättre fått fram mer information än om vi hade utfört en omfattande statistisk undersökning med utskick av enkäter där svaren tenderar att bli kortare än vad som krävs i en kvalitativ studie.
Den sekundärdata som samlats har använts för att förstå vad intern kontroll innebär och om det läggs någon vikt vid kostnadsaspekten. Detta har skett genom användning av litteratur och vetenskapliga artiklar. Den litteratur som använts i arbetet har funnits via biblioteket på Högskolan i Skövde samt genom fjärrlån från andra högskolor i Sverige.
För att hitta relevant litteratur har tidigare uppsatser och dess källförteckning studerats samt genom egen sökning via bibliotekets hemsida. De vetenskapliga artiklar som legat till grund för en del av teorin i arbetet har hittas genom användning av databaserna Elin, Emerald och Science Direct. De sökord som användes var; intern kontroll, kostnad, kostnadsberäkning, COSO och FR2000.
Detta gav oss mer information om vad intern kontroll är och vad den har för betydelse ur ett ekonomiskt perspektiv. Vad gäller kostnadsaspekten av intern kontroll finns det nästan ingen forskning alls. Det finns dock en del forskning om kostnad och nytta av den nya amerikanska lagen SOX Sec. 404. Forskningen är dock inte inriktad på kostnadsbe-‐
räkningen av att införa intern kontroll utan istället på vad det kostar om intern kontroll inte införs eller är ineffektiv. Det finns också en del forskning om hur kostnader för processer kan minskas genom att bryta ner processer till aktiviteter och därmed försöka kostnadsberäkna dessa i syfte att kvalitetssäkra och effektivisera organisationer. Dessa artiklar har använts för att se hur det resoneras kring kostnadsaspekten av intern kontroll och för att kostnadsanalysera de aktiviteter som vi identifierat i fallstudien.
2.4. Databearbetning
Det material som samlats från intervjuerna med GÖSAB representerar företaget. Med anledning av att företaget har bett oss att hitta ett sätt att kostnadsberäkna deras interna kontroll har vi fått information när vi har behövt det. Det innebär att även
dokumenten som vi fått tillgång till på GÖSAB har granskats för att klargöra hur den interna kontrollen i stora drag fungerar på företaget. Samtalen med företagets externa konsult har spelats in och har sparats fram tills sammanställningen av samtalet har gjorts. Även vid intervjuer som gjorts med de små tjänsteföretagen har spelats in, dock har författarna gett alla respondenter garanti om att de inspelade intervjuerna skall raderas efter att intervjuerna sammanställts. I dessa fall presenteras svaren helt anonymt p.g.a. att syftet med dessa undersökningar är att ta reda på om kostnadsaspek-‐
ten av intern kontroll är något som tas hänsyn till och att ett så ärligt och utförligt svar som möjligt önskas. Litteraturen och de vetenskapliga artiklarna som använts har jämförts med företagens verkliga interna kontrollsystem för att dra slutsatser om hur en modell för kostnadsberäkningen av intern kontroll skall se ut.
2.5. Reliabilitet och validitet
Det finns olika ansatser att bedöma reliabiliteten och validiteten i en forskning. Då forskningen är kvantitativ finns det speciella begrepp som många menar är överförbara till den kvalitativa forskningsansatsen (Bryman & Bell, 2005). Utefter detta bedöms undersökningens trovärdighet genom att titta på den interna och externa validiteten av arbetet. Den interna validiteten syftar till att de teorier som forskarna utvecklar skall överensstämma med de observationer som dessa bevittnat medan den externa validiteten behandlar generaliseringen av forskningen till andra miljöer och situationer.
Dock för kvalitativa forskare kan den externa indelningen utgöra ett problem då det ur ett kvalitativt forskningssynsätt ofta används fallstudier och begränsade urval. Detta kan göra att forskningen blir för sluten för att kunna tillämpas på andra situationer (Bryman
& Bell, 2005).
Den externa reliabiliteten anses vara i den mån som undersökningen kan replikeras, vilket enligt Bryman och Bell (2005) kan vara svårt att uppfylla ur en kvalitativ forskningsansats då den sociala miljö samt lagar och regler som varit föremål för undersökningen kan förändras drastiskt med tiden och gör det svårt för senare vidare forskning med samma utgångspunkt. Den interna reliabiliteten behandlar huruvida forskarna som utför undersökningen kommer överens om hur resultaten skall tolkas.
Men det finns enligt Bryman och Bell (2005) också de som menar på att reliabilitet och validitet utifrån ett kvalitativt forskningssyfte borde bedömas och värderas utifrån andra kriterier. Dessa kriterier är uppdelade i två delar och benämns som trovärdighet samt äkthet. Under trovärdighet ingår tillförlitlighet, överförbarhet, pålitlighet och en möjlighet att styrka och bekräfta. Anledningen till dessa olika metoder är att den senare metoden syftar till att det inte finns en absolut bild av den sociala världen medan den första är född ur den kvantitativa forskningsansatsen och menar på att det förutsätts att resultaten visar på en enda absolut verklighet. Det kan alltså enligt denna uppdelning finnas mer än en och möjligen många fler beskrivningar av en verklighet. Skapandet av tillförlitlighet som är ett delbegrepp under trovärdighet och kan hänföras till intern validitet innebär att resultaten inbegriper både att forskningen utförts i enlighet med de regler som finns samt att resultaten rapporteras till de som är en del av den sociala verklighet som studerats för att dessa skall bekräfta att forskarna har uppfattat situationen på rätt sätt. Överförbarheten i studien som är en motsvarighet till extern validitet handlar om att djupet i forskningen kan förse andra med en databas som gör att studien kan överföras till en annan miljö. Motsvarigheten till reliabiliteten i den kvantitativa forskningsansatsen kan vara pålitlighet vilket innebär att forskarna skall säkerställa att det skapas en fullständig redogörelse av alla processer i arbetet som
senare kan granskas. Möjligheten till att styrka och bekräfta hänförs till studiens objektivitet och behandlar forskarens medvetenhet om att inte låta egna värderingar påverka utförandet och de slutsatser som dras. Vidare är den andra delen av dessa kriterier äkthet. Denna behandlar undersökningens rättvisande bild, om undersökning-‐
en har lett till att deltagarna i den fått en bättre bild om hur andra personer i samma miljö har upplevt saker och ting samt om undersökningen har gjort att de som medverkat i den kan förändra sin situation (Bryman & Bell, 2005). Vilken beskrivning av validitet och reliabilitet som används i detta arbete är en blandning av de båda. Det står inget beskrivet om vilken av de som är rätt eller fel, utan det som skiljer dessa åt är att olika människor tolkar uttrycken annorlunda. Således ligger båda förklaringar på samma plattform och därför har det i uppsatsen valts att titta på båda förklaringar och tolka uppsatsens validitet samt reliabilitet utifrån det.
För att öka validiteten i arbetet har vi vid intervjuer tilldelat respondenterna material på förhand så att dessa personer har varit väl förberedda och införstådda i vad vi vill veta och uppnå. Dessutom har vi fokuserat på att få prata med rätt person på de olika företagen så att informationen vi fått vid dessa tillfällen har varit tillfredsställande. För att öka validiteten ytterligare presenterar vi resultaten från intervjuerna anonymt vilket vi tror ger respondenterna större frihet att uttrycka sig och återge verkligheten.
Däremot kan trovärdigheten minskat något vid inspelning av intervjuerna då respon-‐
denterna med vetskapen om att de blir inspelade kan tendera till att ge mer restriktiva och återhållsamma svar än vid en oinspelad intervju.
Vad som också bör tas hänsyn till angående validiteten är att en av författarna arbetar på företaget där fallstudien genomförts. Detta kan haft en negativ effekt på de svar som erhållits från de intervjuer som genomförts på företaget genom att respondenterna kan ha påverkats av att inte säga hela sanningen eller ge en bättre bild av företaget än vad verkligheten säger. Detta tror vi dock inte är fallet då författaren som arbetar på företaget har sina arbetsuppgifter inom det område som uppsatsen hänförs till vilket gör att validiteten inte är hotad.
En minskning av validiteten är däremot möjlig med anledning till den sekundärdata som samlats på företaget samt genom den litteratur som använts. Dokumenten och litteraturen är inte samlat för författarnas syfte, vilket kan göra att materialet kan anses vara mindre pålitligt. Men även här anser vi att validiteten inte är hotat då framtagandet av en modell för att beräkna de interna kostnaderna ändå kunde genomföras oavsett i vilket syfte rapporterna har samlats in.
För att öka validiteten angående generaliseringen inom den yttre validiteten borde fler företag undersökas. Det är givet att ju fler företag som studeras uppnås desto större validitet. Men med tanke på den begränsade tidsplanen och att studien är en kvalitativ studie där vi går in på djupet anser vi att validiteten är stor nog.
Däremot kan objektiviteten angående uppsatsens reliabilitet diskuteras p.g.a. att en av författarna arbetar på företaget där fallstudien genomförts. Risken att denne inte har haft tillräckligt stor objektivitet kan vara stor då denne ingått i studien med referensra-‐
mar och värderingar från organisationen. Vi hävdar dock även här att objektiviteten inte är i fara och att reliabiliteten inte heller riskeras då den andre författaren inte arbetar på företaget och denne på så vis inte är präglad av företagskulturen.
För att stärka reliabiliteten på uppsatsen har vi valt att försöka framställa en modell för kostnadsberäkning för intern kontroll genom att använda oss av COSO-‐modellens
kontrollkomponenter. Trots att de företag som vi har intervjuat har använt sig av ett certifieringssystems uppbyggnad på den interna kontrollen har vi valt att överföra det systemet till COSO-‐modellens system och därigenom skapa en kostnadsberäkningsmo-‐
dell. P.g.a. att COSO-‐modellen är internationellt erkänd stärker detta vår reliabilitet samt validitet då vår modell kan appliceras på företag som inte arbetar efter det certifierings-‐
system för intern kontroll som GÖSAB gör.
3. Teoretisk referensram
I följande kapitel redovisas studiens teori som använts. Kapitlet börjar med agentteorin, fortsätter sedan med tidigare forskning för att till slut beskriva COSO-modellen som ligger till grund för den största delen av det empiriska materialet.
3.1. Agentteorin
Intern kontroll är som tidigare nämnt ett bra verktyg för styrning av en organisation.
Den intressanta frågan i detta sammanhang är förstås varför en organisation behöver styras. Om en medarbetare får en specifik arbetsuppgift eller ett visst ansvar kan det väl förväntas att detta sköts på rätt sätt. En medarbetares handlingar speglas inte bara utav order och policys satta av högre instanser i organisationen, utan styrs också av sina egna intressen. En organisation består ofta av olika hierarkiska nivåer som sätter prägeln på både handlingar och relationer som finns i verksamheten. Denna problematik bidrar många gånger till att en organisation arbetar efter många olika individers intressen. Det är i detta sammanhang därför viktigt att belysa och förstå relationerna mellan olika individer i en organisation (Nygaard & Bengtsson, 2002).
Under 1970-‐talet växte en organisatorisk teori fram kallad agentteorin. Den hjälper oss att förstå olika aspekter och karaktärer på relationer mellan individer i olika grupper i en verksamhets hierarki. Ursprungligen har agentteorin främst använts till att analysera förhållandet mellan aktieägare och företagsledare men kan med fördel appliceras på alla typer av relationer i en organisation, både relationer inom och utanför verksamheten.
En verksamhet kan utifrån detta således förstås som en komplex sammansättning av relationer mellan individer som finns på olika nivåer i en organisations hierarki (Nygaard & Bengtsson, 2002).
Enligt Nygaard och Bengtsson (2002) fokuserar agentteorin på relationer mellan två typer av individer, en principal och en agent, men kan egentligen appliceras på de flesta relationerna i organisationen. Principalen är den som är uppdragsgivaren medan agenten är den som åtar sig att utföra uppdraget. I de flesta relationer i en organisation rör det sig om att den ene, t.ex. företagsledningen, vill ha någonting utfört och den andre, t.ex. den anställde, utför uppgiften i utbyte mot någon typ av belöning, t.ex. lön. Det ligger nu i agentens intresse att utföra uppgiften för att kunna erhålla sin belöning och denne har, utifrån tanken om att varje person är en enskild individ, möjligheten att påverka hur och att den blir utförd. Detta betyder inte att agenten själv kan bestämma hur han ska genomföra uppdraget, för så är väl sällan fallet i en organisation. Sedan alla individer är olika och i det närmaste inte kan programmeras exakt till hur en uppgift ska genomföras har han därför möjlighet att påverka, omedvetet eller medvetet, i den bemärkelsen att han styr över exakt hur och hur väl den blir utförd. Utifrån denna tankegång kan det tolkas som att beslutskompetensen decentraliseras från principalen till agenten (Nygaard & Bengtsson, 2002). Detta föder då en central fråga om hur principalen kan försäkra sig om att agenten utför uppgiften efter principalens intressen så att denna får det resultat han förväntar sig att få i utbyte mot den belöning han sedan ska ge agenten. Principiellt kan han inte försäkra sig om det. Däremot kan han utifrån agentteorin försöka förstå de grundläggande antaganden som rör sig om beteende och
