Innledning
Fremveksten av internett og utstrakt bruk av IT har ført til nye former for misligheter og svindel og tidvis gjort mer tradisjonelle svindeltyper lettere å gjennomføre. Dette dreier seg for eksempel om bruk av ulike former for falske fakturaer eller endringer av opplysninger på faktisk eksisterende fakturaer, direktørsvindel (dvs. svindel utført ved hjelp av e-post eller SMS fra personer som utgir seg å være i ledelsen i bedriften, på engelsk CEO fraud) og underslag (dvs. svindel utført av ansatte). I Mørketallsundersøkelsen 2018 oppgir en rekke av respondentene at de har vært utsatt for ulike typer sikkerhetshendelser: I 2017 hadde for eksempel seks prosent opplevd ulike former for bedrageri (Mørketallsundersøkelsen 2018). Norske bedrifter svindles hvert år for hundrevis av millioner kroner gjennom direktørsvindel (Nordstrøm, 2017): I 2016 ble for eksempel et norsk selskap svindlet for 500 millioner kroner, hvorav 100 millioner kroner fortsatt er borte (Bjerkan, 2016 og Norsis, 2017). Vi vet altså at omfanget av svindel, svindelforsøk og underslag er stort, og at ulike typer hendelser kan gi store finansielle konsekvenser.
En rekke aktører, for eksempel Økokrim og NSM (Nasjonal sikkerhetsmyndighet), gir råd til norske bedrifter slik at de kan hindre ulike former for svindel. Når det gjelder direktørsvindel, gir for eksempel Gjemdal i Bits AS (bank- og finansnæringens infrastrukturselskap) hovedrådet at bedrifter må ha to personer som godkjenner utbetalinger (Nordstrøm, 2017). Dette rådet samsvarer med rutinene som anbefales av profesjonslitteraturen på innkjøpsområdet (se for eksempel Eilifsen mfl. 2014 og Gulden, 2016). Tidligere forskning (se for eksempel oversiktsartikkel av Trompeter mfl. 2013) viser mer generelt at gode rutiner og kontroller (dvs. en godt implementert internkontroll) kan bidra til å hindre at bedrifter utsettes for svindel og underslag. Vi vet altså en hel del om hvilke tiltak det foreslås at bedrifter kan innføre for å unngå å bli svindlet eller utsatt for underslag. Hvilke tiltak norske bedrifter faktisk har innført for å redusere risikoen for å bli utsatt for denne typen kriminalitet, synes i liten grad å ha vært studert tidligere.
Med dette som bakteppe ønsker vi i denne studien å undersøke hvorvidt norske bedrifter har på plass passende interne kontroller for å forebygge og avdekke ulike former for svindel og underslag. 12 Svindel og underslag vil ofte på ulikt vis ha sammenheng med de innkjøpene en bedrift foretar, og de utbetalingene som gjennomføres, og manglende internkontroll knyttet til innkjøp gjør gjerne bedrifter spesielt sårbare. Vi vil derfor i denne studien begrense oss til å studere bedriftenes internkontroll på innkjøpsområdet. Vi er ikke kjent med at det eksisterer norsk forskning på dette området, og denne artikkelen vil således bidra med kunnskap som vil være nyttig for norske bedrifter når de utformer sine internkontrollsystemer, spesielt på innkjøpsområdet.
Følgende spørsmål er i fokus:
Spørsmål 1: Hvilke forsøk på svindel og underslag har bedriftene vi studerer, erfaring med?
Spørsmål 2: Hvilke kontrollaktiviteter har bedriftene implementert på innkjøpsområdet for å blant annet hindre svindel og underslag?
For å finne svar på spørsmålene benytter vi en blanding av et beskrivende og et fortolkende design, og vi studerer et rikt datasett fremskaffet gjennom dybdeintervjuer med regnskapssjefene i seks ulike norske mellomstore bedrifter.
Vi vil i resten av denne artikkelen først sette temaet inn i en teoretisk sammenheng. Deretter vil vi kortfattet presentere vår metodebruk før vi presenterer funn knyttet til spørsmålene vi stiller. Avslutningsvis vil vi oppsummere hva vi har funnet, presentere studiens begrensninger og kommentere hvilke implikasjoner hovedfunnene våre har for norske bedrifter og videre forskning.
Teori og bakgrunn
Begrepsavklaring
I internasjonal litteratur benyttes gjerne begrepet fraud. Dette begrepet omfatter ulike hendelser som er utført mot eller for en organisasjon, blant annet regnskapsmanipulasjon (se f.eks. Coenen, 2014). Hendelsene kan utføres av ledelse, ansatte eller eksterne (se f.eks. O'Gara, 2004). Vi vil i denne artikkelen benytte det norske begrepet misligheter som et synonym for fraud. Vår definisjon av misligheter samsvarer således med bruken av begrepet i for eksempel Løken (1996), men er videre enn begrepet slik det anvendes i ISA 240, der misligheter ikke inkluderer svindel utført av eksterne parter, jf. ISA 240, pkt. A1 og A3. Vi vil videre benytte begrepene svindel og underslag, som begge inkluderes i begrepet fraud. Vi benytter begrepet svindel i forbindelse med ulike hendelser som utføres av eksterne parter der bedriftene på ulikt vis blir lurt til å betale for varer eller tjenester de ikke har bestilt og mottatt, eventuelt til å betale til feil mottaker. Underslag vil vi forstå som tyveri av en enhets eiendeler (inklusiv kontanter), jf. ISA 240 pkt. A5. Underslag utføres av én eller flere av bedriftens ansatte.
For å analysere bedrifters internkontrollsystemer benyttes gjerne COSO-modellen 13 (Committee of Sponsoring Organizations of the Treadway Commision 1992 eller senere versjoner) som rammeverk. I denne modellen består en bedrifts internkontroll av fem ulike komponenter: (1) kontrollmiljø, (2) selskapets risikovurderingsprosess, (3) kontrollaktiviteter, (4) informasjon og kommunikasjon, og (5) oppfølgingsaktiviteter (COSO, 2013). I denne artikkelen konsentrerer vi oss om komponenten kontrollaktiviteter, definert som retningslinjer og rutiner som bidrar til å sikre at instrukser fra ledelsen utføres, og omfatter aktiviteter som autorisasjon, gjennomgåelse av prestasjoner og resultater, informasjonsbehandling, fysiske kontroller og arbeidsdeling 14 (COSO, 2013 og ISA 315, pkt. A99).
Internkontrollens betydning
Ifølge Singleton og Atkinson (2011) er «the role of internal control in preventing and detecting fraud () well-known and well-documented in the accounting and anti-fraud profession» (side 10). COSO-kommisjonen konkluderte allerede i 1992 med at den beste måten å forebygge misligheter (fraud) på er via bedre intern kontroll (Singleton, 2008). Tidligere forskning innenfor temaet betydningen av internkontroll er mangfoldig og omfangsrik og finner blant annet en sterk sammenheng mellom en bedrifts tidligere manifesterte internkontrollsvakheter og avdekket regnskapsmanipulasjon (financial reporting fraud) begått av en bedrifts ledelse (Donelson mfl. 2017). Tidligere forskning knyttet til betydningen av bedrifters internkontroll viser også at god internkontroll bidrar til å forebygge og avdekke regnskapsmanipulasjon (fraudulent reporting) (se for eksempel Trompeter mfl. 2013; Cheng mfl. 2018). I norsk sammenheng studerer Renå (2013) korrupsjonsskandalene i Bærum kommune, vannverkssaken og undervisningsbyggsaken og finner i alle de tre casene manglende kontroll med vide budsjettfullmakter kombinert med svak budsjettstyring, manglende underlagsdokumentasjon og lite gjennomsiktige beslutningsprosesser basert på tillit.
Når det gjelder forskning spesifikt knyttet til en bedrifts internkontrollaktiviteter, er denne mer sparsom (Barra, 2010), og sammenhengen mellom spesifikke kontrollaktiviteter og misligheter i betydningen svindel og/eller underslag synes i liten grad å være studert. I Trompeter og medforfatteres (2013) litteraturgjennomgang påpekes det at kontrollaktiviteter er viktig for å hindre og avdekke regnskapsmanipulasjon, men de nevner ingen artikler som omhandler dette. Sammenhengen mellom internkontrollaktiviteter og misligheter spesifikt innenfor innkjøpsprosessen er således også sparsomt studert, men Rendon og Rendon (2015) viser til Tan (2013), som finner at manglende arbeidsdeling synes å ha vært en medvirkende faktor til misligheter knyttet til innkjøp i US Federal Government.
De ulike kontrollaktivitetene en bedrift kan benytte, er utviklet av praktikere, i stor grad revisorer, og det legges gjerne til grunn at de er effektive, uten at dette nødvendigvis er basert på forskning (Barra, 2010). Mens COSO-modellen kan benyttes som et rammeverk for å utforme en god internkontroll, må mer konkret implementering av modellen foretas på bedriftsnivå (Gupta & Thomson, 2006), og beste praksis (best practice) knyttet til kontrollaktiviteter finner vi først og fremst i lærebøker, profesjonslitteratur og revisjonsfirmaenes manualer, og i liten grad i publisert forskning. I profesjonslitteraturen hevdes det for eksempel at det er behov for en god internkontroll knyttet til «attestasjons- og godkjenningsfullmakter for ulike beløpsstørrelser og type utbetalinger og krav til dokumentasjon» (eksempler på kontrollaktiviteter) for å forebygge direktørsvindel (Lindahl & Lillevik, 2017, s. 17).
Grunnleggende om ulike former for kontrollaktiviteter på innkjøpsområdet
Ved utforming av en passende internkontroll må man blant annet ta hensyn til kontrollens planlagte hensikt (skal kontrollen for eksempel være forebyggende eller avdekkende?) samt ønsket kontrolltype (manuell eller automatisert), se ISA 315. Der avdekkende kontroller i mange sammenhenger kan være tilstrekkelig for å sikre at internkontrollen bidrar til å sikre at bedriften kan produsere god regnskapsinformasjon, vil bedriftens evne til å sikre at man overholder lover og regler samt at man når operasjonelle mål, i større grad være avhengig av at man også implementerer passende forbyggende kontroller. Forebyggende kontroller vil være spesielt viktige når siktemålet er å forebygge svindel og underslag.
Når revisor analyserer internkontrollen i et selskap, deler han gjerne selskapet inn i ulike områder eller prosesser, og deretter deles de ulike områdene inn i funksjoner (Eilifsen mfl. 2014). Vi benytter en tilsvarende tilnærming i vår studie for å strukturere de funnene vi gjør. På innkjøpsområdet vil en tradisjonell funksjonsinndeling se ut som under (jf. Eilifsen mfl. 2014), og internkontrollen vil først og fremst rette seg mot å sikre at varer og tjenester bare bestilles når bedriften har et behov, at man foretar innkjøp på en mest mulig effektiv måte (best mulige innkjøpsbetingelser), og at foretaket ikke betaler for varer og tjenester som ikke er mottatt (Gulden, 2016, s. 530). Generelt legges det til grunn at det eksisterer en reell arbeidsdeling mellom de ulike funksjonene (Eilifsen mfl. 2014).
rekvisisjon
kjøp
mottak
fakturabehandling
utbetaling
leverandørgjeld
hovedbok
I tillegg til arbeidsdeling vil vi hos våre respondenter forvente å finne også andre kontroller som inkluderes i ISA 315, pkt. A99, se over.
Metode
For å finne svar på forskningsspørsmålene vi stiller, benytter vi en kombinasjon av et beskrivende og et fortolkende design (Ryan mfl. 2002) med bruk av tematisk analyse (Johannessen mfl. 2018). Vi beskriver først eksempler på svindel og underslag hentet fra våre respondenter. Deretter beskriver vi eksempler på ulike kontrollaktiviteter i de ulike bedriftene. I denne presentasjonen benytter vi blant annet begrepsparet forebyggende og avdekkende kontroller og beskriver hvilke endringer bedriftene har innført i sine kontrollaktiviteter etter å ha vært utsatt for svindel eller underslag.
Små og mellomstore bedrifter kan være spesielt utsatt for svindel og underslag ettersom de gjerne har en mer uformell internkontroll enn den vi finner i større bedrifter. Samtidig kan nærhet til ledelsen i små bedrifter gi en viss beskyttelse mot noen typer svindel, særlig direktørsvindel. Små bedrifter har også i stadig større grad tatt i bruk automatiserte alternativer. For å finne svar på spørsmålene vi stiller, ønsket vi derfor å undersøke norske bedrifter og konsern av en viss størrelse samtidig som de ikke skulle være av de aller største. Vi satte en omsetning i 2017 på 250 millioner kroner som et minimum for å inngå i studien.
Vi er ikke kjent med tidligere forskning rettet mot hvilke kontrollaktiviteter norske bedrifter faktisk har implementert på innkjøpsområdet for å hindre svindel eller underslag. Vi har derfor et ønske om å skaffe til veie dybdekunnskap om bedriftene vi studerer. Kombinert med at spørsmålene vi stiller, kan oppleves som kontroversielle, tilsier dette at vi studerer et mindre antall bedrifter, og vi har intervjuet seks regnskapssjefer i seks norske, mellomstore norske bedrifter i ulike bransjer (omsetning fra 200 til 4500 millioner) i perioden april-september 2018. Datamateriale samlet inn i forbindelse med disse intervjuene, benyttes også i studien «Digitalisering, regnskap og internkontroll: en studie av innkjøpsområdet i seks mellomstore norske bedrifter» (Meidelsen og Kulset, 2019). Ettersom bedrifter gjerne har en mer gjennomført internkontroll for innkjøp som hører til varekretsløpet, har vi i denne studien konsentrert oss om andre innkjøp.
Intervjuene ble gjennomført av én av artikkelforfatterne med utgangspunkt i en intervjuguide med en blanding av helt åpne og noe mer strukturerte spørsmål. Respondentene fikk gjennomgå det skriftlige materialet i sin helhet for å oppklare eventuelle feil eller misforståelser.
Funn og drøfting
Deskriptive data
Data er samlet inn i seks bedrifter innenfor ulike bransjer og med ulik størrelse, se tabell 1.
Tabell 1 Oversikt over bedriftene som inngår i studien.
Bransje Omsetning Prosjektstyrt Erfaring med svindel / underslag Erfaring med svindelforsøk
Konsern 1 Produksjon 400 mill. ja 2 3
Konsern 2 Formidling 400 mill. nei 1 3
Konsern 3 Kraft 500 mill. ja 3
Konsern 4 Renovasjon 250 mill. ja
Konsern 5 Transport/regnskap 4 500 mill. nei 3
Konsern 6 Transport 4 500 mill. nei 2 3
Har erfaring med underslag.
Har tapt penger på svindel av typen direktørsvindel eller urettmessig endring av leverandørs kontonummer eller fiktive/falske leverandørfakturaer.
Har erfaring med svindelforsøk av typen direktørsvindel eller urettmessig endring av leverandørs kontonummer eller fiktive/falske leverandørfakturaer.
Hvilke typer underslag og svindel har respondentene erfaring med?
Med unntak av én av bedriftene oppgir våre respondenter at de har variert erfaring med underslag, svindel og svindelforsøk, se tabell 1. Svindelforsøk som nevnes, er direktørmailer, falske fakturaer som synes å vedrøre bedriftens virksomhet, og forsøk på å få bedriften til å endre betalingsinformasjon knyttet til leverandører/fakturaer. Tre av respondentene nevner at de har vært utsatt for svindel eller underslag i løpet av de siste årene. Respondentene er i intervjuene også opptatt av ulike andre former for cyberkriminalitet som ikke behandles i denne artikkelen.
Underslag
En av respondentbedriftene har nylig vært utsatt for to underslag. Begge underslagene ble oppdaget litt tilfeldig, det vil si at det ikke var eksisterende internkontroll som førte til at hendelsene ble avdekket.
Direktørsvindel
Fem av respondentene nevner mottak av direktørmailer som svindelforsøk de har vært utsatt for, og minst ett av selskapene har tapt penger på denne typen svindel. En av respondentene uttaler for eksempel følgende:
Ja, ukentlig. () De kommer stort sett alltid på fredager og gjerne i ferien. Det er liksom sånn at de sitter med en norsk kalender og ser når det nærmer seg røde, inneklemte dager, og da sender de masse mailer til folk.
En av de andre respondentene svarer slik på om de har erfaring med direktørmailer:
Ja, det har vi. Det har opplevdes rart til å begynne med, etter hvert har vi blitt vant til det. Når vi mottar e-poster fra direktøren om at vi skal foreta hasteutbetalinger eller sånt, så tar vi en ekstra runde. Da spør vi ham: «Stemmer dette?» Svarene har da vært både ja og nei. ()
Urettmessig endring av leverandørs kontonummer eller fiktive/falske leverandørfakturaer
Her er særlig to typer svindelforsøk aktuelle: (1) faktura med små beløp som sendes til mange mottakere, hvor svindlerne kan tjene mye penger fordi det er masseutsendelser, (2) noe større svindel, gjerne mer presist rettet mot mottaker, der betalingsbetingelser knyttet til eksisterende handler endres. En av respondentene våre opplyser å ha har tapt penger i forbindelse med feilaktig endring av leverandøropplysninger.
En av respondentene våre sier det slik:
Det vi opplever, er at ofte kan medarbeidere finne på å sende en faktura videre for å få den unna. For eksempel sånn katalogsvindel: «Aner ikke hva dette er, men kan ikke du se på dette. Det er sikkert noe som du skal se på.» Jeg tror at mange slike småting kan gå gjennom, men jeg har jo hørt fra andre kollegaer i andre selskaper at de har brent seg på fiktiv renholdsfaktura eller for eksempel «iht. ekstra vedlikehold pga. et eller annet». Og det har da kun blitt avdekket i etterkant av controllere, og da er jo pengene tapt, for da er utbetalingen allerede foretatt.
Flere av respondentene våre har erfaring med at svindlere sender brev der de utgir seg for å representere en leverandør og ber om at betalinger til leverandøren skal foretas til et nytt kontonummer. En av dem sier følgende:
Dette er profesjonelle svindlere som har gjort et forarbeid. De vet hvem som er administrerende direktør, regnskapssjef, eventuelt bestiller i selskapet, de vet hvilke leverandører selskapet benytter, og hvem som er kontaktpersoner eller nøkkelpersoner i selskapene. Så forfalsker de logo og signaturer og sender brev med leverandørens logo og signatur og ber om endring av leverandørinformasjon. Dersom dette ikke stoppes, vil neste faktura bli betalt til dette fiktive bankkontonummeret og ikke oppdages før purring fra den ekte leverandøren kommer. Da er det gjerne for sent. Svindleren har sagt opp konto og er borte vekk.
Hvilke kontroller er implementert på innkjøpsområdet?
Rekvisisjon, kjøp og varemottak
I bedriftene vi studerer, blir innkjøp indirekte godkjent via godkjenning av budsjett for avdelingsleders kostnadssted, ettersom dette setter rammer for hva som kan kjøpes inn av ulike varer eller tjenester. Budsjettoppfølging eller avvikskontroll sørger for rammer for kostnadsomfanget. I tillegg er de bedriftene som er prosjektstyrt, begrenset for innkjøp innenfor rammene av prosjektplanen. Bedriftene vi studerer, opererer altså med forhåndsgodkjenning innenfor rammer. Ved mottak av varer og tjenester utenfor varesyklusen er det typisk bestiller som kontrollerer at man har mottatt det man har bestilt.
Selv om profesjonslitteraturen (se f.eks. Eilifsen mfl. 2014) legger til grunn at det er behov for et skille mellom rekvisisjon og innkjøp, er det ingen av respondentbedriftene som har et slikt skille. Isteden gis det fullmakter til navngitte personer i bedriften til å foreta innkjøp av bestemte typer innenfor gitte beløpsgrenser. Med en slik rutine har man ikke dobbeltkontroll knyttet til hvilke innkjøp som gjennomføres før innkjøpet finner sted (er dette varer man bør kjøpe, og er kjøpet innenfor bestillers fullmakter?), og bedriften må vurdere behovet for denne type kontroll i etterkant for eksempel ved mottak av innkjøpte varer, ved attestasjon eller ved anvisning. Ved kontroll i etterkant har man imidlertid ikke mulighet til å stanse uønskede kjøp før de er utført og trolig er juridisk bindende for bedriften.
Fakturabehandling: attestasjon og anvisning
Fem av seks bedrifter mottar i hovedsak inngående faktura på EHF (elektronisk handelsformat). Når faktura mottas, blir attestasjon for samtlige bedrifter utført ute i organisasjonen av enten bestiller, prosjektleder eller avdelingsleder. Denne kontrollen kan bidra til å hindre at falske fakturaer (fakturaer der det ikke har funnet sted noe varemottak eller kjøp av tjeneste) kommer inn i regnskapssystemet. I de prosjektstyrte virksomhetene kontrolleres faktura opp mot budsjettet i prosjektet. De øvrige bedriftene har rutiner hvor faktura er påført deres referanse, slik at faktura blir sendt til personen som opprinnelig har bestilt varen, eller som har ansvaret for kostnadene tilknyttet gitt kostnadssted. Hvis bestiller ikke finnes eller mottaker av faktura ikke vedkjenner seg kostnaden, blir faktura ofte videresendt internt. To av våre respondenter sa at i tilfeller hvor faktura blir videresendt i flere ledd over tid, kan det være at noen bare godkjenner fakturaen for å få den ut av verden hvis det er snakk om små beløp.
Hvorvidt attestasjonsrutinene i praksis virker forbyggende og avdekkende med tanke på underslag og svindel, er naturligvis helt avhengig av kvaliteten på den attestasjonen som utføres. Ettersom det hos våre respondenter ikke er innført arbeidsdeling mellom rekvisisjon og bestilling, og attestanten ikke kontrollerer hvorvidt kjøpet han skal attestere på, burde vært utført (bestiller er også tidvis den som er ansvarlig for attestasjon, slik at man har manglende arbeidsdeling), blir bedriftenes anvisningsrutiner spesielt viktige for å kunne hindre eller avdekke underslag. Alle bedriftene med unntak av én har en dobbel attestasjonsrutine (attestasjons- og anvisningsrutine) ute i organisasjonen. Denne ene bedriften har imidlertid besluttet å innføre en dobbel rutine. Med anvisning menes i dette tilfellet en overordnet godkjenning av den attestasjonen som er utført. Anviser har gjerne også et ansvar for budsjett eller prosjekt og vil dermed kontrollere kostnaden i samsvar med dette. Også når det gjelder anvisning, vil naturligvis den avdekkende effekten avhenge av hvilken kontroll den enkelte anviser utfører. Tidspress vil for eksempel kunne føre til at den faktiske kontrollen som utføres, ikke kvalitativt sett blir så god som den burde være.
Utbetaling
Dobbelsignatur anses tradisjonelt som en viktig kontrollaktivitet i forbindelse med utbetalinger og vil innebære at ingen utbetalinger kan finne sted uten at disse signeres ut av en annen enn den personen som har lagt inn utbetalingsforslaget. Fem av seks av bedriftene vi har studert, har denne kontrollen.
En av respondentene benytter AutoPay (automatisk remittering) og påpeker at man da har potensielle problemer knyttet til at siste person i kjeden kan legge inn privatfakturaer eller liknende uten at dette blir oppdaget. Denne respondenten har altså ikke dobbeltkontroll av utbetalinger. Bedriften har imidlertid avdekkende kontroller i etterkant der de ser på «konsistens og nummerserier som blir brukt». I forbindelse med denne kontrollen vil privatfakturaer og liknende komme opp som ID-løse fakturaer, ettersom alle fakturaer som skannes inn, blir tildelt et ID-nummer. Det er altså relativt enkelt for den ansatte som utfører betalinger, å begå underslag, men etterkontrollene vil virke preventivt, ettersom den ansatte vet at dette vil bli oppdaget.
En av respondentene våre med utstrakt erfaring med forsøk på direktørsvindel, uttaler at de hittil ikke har blitt lurt, og det skyldes at de sjekker alle slike henvendelser. På spørsmål om hvorvidt det er en risiko for å gå på slike mailer, svarer en annen av respondentene følgende:
Vi har snakket om dette internt i regnskapsavdelingen, at får vi sånne mailer, må vi være årvåkne, men samtidig har de som har brukt å sende slike e-poster, fått en beskjed om at de må ikke bare sende ut en mail med kort tekst om utbetaling. Men det er en risiko, absolutt.
Direktørsvindel kan være spesielt vanskelig å hindre da dette innebærer utbetalingsordre som ikke følger standardrutinene i bedriften. En av respondentene sier det slik:
Jeg tror det fort kan skje (at man gjør en feil, forfatters anmerkning) dersom en gjør en manuell betaling. () Da er risikoen mye større for at man gjør feil. Man får kanskje en hastebetaling - denne må betales i dag, og så har man kanskje ikke fått gjennomgått den i systemet. Det skjer hos oss dersom det for eksempel er noen varer som skal frigis, og så har vi ikke fått betalt, for det tar jo noen dager før fakturaen er blitt kjørt gjennom. () Da må man ha en del rutiner: CFO må godkjenne at betalingen skal finne sted, og den som er prosjektleder, må bekrefte at betalingen er riktig, vi skal motta varene sånn og sånn.
Leverandørgjeld, bokføring / hovedbok / avstemminger / andre kontroller
Samtlige av våre respondenter gjennomfører avstemming av balansekonti inklusiv leverandøravstemming. I tillegg blir det gjennomført budsjettkontroller som kontrollrutine for rimelighetsvurdering av kostnader. En av respondentene bemerket at budsjett er mindre i fokus nå enn tidligere. Dette kan innebære at bedriften nå er mer utsatt for underslag og svindel. Ulike avstemmingsrutiner virker først og fremst avdekkende, men de vil også kunne bidra til å forebygge underslag ved at de ansatte vet at rutinene øker sjansen for at underslag avdekkes. Avstemming vil imidlertid i liten grad forebygge svindel.
Tre av respondentene våre har innført kontroll og arbeidsdeling ved opprettelse av nye leverandører eller endringer av leverandøropplysninger. Flere av respondentene våre mangler altså formelle rutiner knyttet til godkjenning av leverandører, noe som gjør dem sårbare for svindel. En av respondentbedriftene har for eksempel svært mange små leverandører og finner det ikke praktisk å ha formelle rutiner basert på en ren kost-nytte-vurdering, og sier det slik: «Så får man heller satse på å lære opp de som skal godkjenne og de som har budsjettansvar: at de skal være kritiske av natur.»
Tabell 2 Oversikt over respondentbedriftenes kontroller.
Kontrollrutiner R1 R2 R3 R4 R5 R6
Fakturamatch mot bestilling ja nei ja ja nei ja
Kontroll vare-/tjenestemottak mot bestilling ja ja ja ja ja ja
Arbeidsdeling attestant og anviser ja ja nei ja ja ja
Dobbelsignatur utbetalinger (arbeidsdeling) ja ja nei * ja ja ja
Arbeidsdeling utbetaling/bokføring ja ja nei ja ja ja
Kontroll ved opprettelse/endring av leverandører eller konto-opplysninger ja ja nei nei nei ja
Budsjettkontroll ja ja ja ja ja ja
Kontoavstemminger ja ja ja ja ja ja
Kontroll av kostnader via prosjektstyring ja nei ja ja nei nei
Endring av kontrollrutiner som følge av svindel/underslag ja ja nei nei nei ja
* planlagt innført
Endring av kontroller i etterkant av hendelser
Bedriften som har erfaring med underslag, innførte i ettertid skjerpet arbeidsdeling både knyttet til attestasjon og utbetaling:
Dette (underslaget, vår anmerkning) førte til at vi hadde store innskrenkninger på at man alltid skal være fire øyne, og litt kritisk til hvilke fire øyne som skal kunne godkjenne, da også spesielt på bank, og at det ikke innføres slik at alle er klasse A: at hvem som helst kan gjennomføre bank.
Bedriften har videre innført et skille mellom hvilke ansatte som har tilgang til å godkjenne alle typer utbetalinger, og hvilke ansatte som bare kan godkjenne noen typer.
Bedriften har også innført sterkere budsjettkontroll, blant annet ved at flere personer er involvert i budsjetteringsprosessen enn tidligere: «Nå har alle avdelinger eget budsjettansvar, og så er det noen fellesavdelinger som er kontrollert av regnskap, men disse fellesavdelingsregnskapene gjennomgås særskilt.» Hensikten med denne vektleggingen av budsjettering og ansvarliggjøring er blant annet å gjøre det vanskeligere for ansatte og ledelse å budsjettere feil med vilje for å på den måten kunne skjule underslag.
Bedriften som har tapt penger på direktørsvindel, har i etterkant av hendelsen innført strengere rutiner rundt prosjektstyring og hvilke fakturaer som godkjennes og avvises.
Bedriften som var blitt svindlet som følge av henvendelse om endring av leverandøropplysninger, innførte i etterkant nye kontroller knyttet til opprettelse av leverandører samt endring av leverandørinformasjon:
Ved opprettelse av nye leverandører innførte vi rutine med å sjekke leverandør mot Brønnøysundregisteret samt hjemmesiden til leverandør. På alle leverandører har vi registrert en kontaktperson. I tilfeller hvor vi får tilsendt brev om endring av kontonummer eller annen leverandørinformasjon, kryssjekker vi alltid denne informasjonen med kontaktpersonen vi har hos leverandøren. Vi bruker IKKE den kontaktinformasjonen som følger av brevet. Kontrolltiltakene registreres i leverandørinformasjonen som dokumentasjon på at kontrollen er gjort. Vi har også innført en arbeidsdeling mellom hvem som kan opprette og endre informasjon, og de som godkjenner endringene.
Oppsummering og konklusjon
Vi finner i vår studie at alle de seks respondentbedriftene har etablert tradisjonelle avdekkende kontroller som budsjettkontroll og kontoavstemminger. Kontroll av varemottak mot bestilling har alle også innført. Bedriftene synes å ha forebyggende kontroller mindre i fokus (ingen har for eksempel et system med bruk av rekvisisjoner, og fire av bedriftene har ikke kontroller som hindrer ureglementerte endringer av leverandøropplysninger).
Et system basert på avdekkende kontroller vil kunne virke forebyggende med tanke på underslag (alle vet at man vil bli oppdaget), men for å unngå å bli rammet av svindel utført av både ansatte og eksterne parter, vil det være spesielt viktig med gode rutiner knyttet til både attestasjon og utbetaling med vekt på å kontrollere at fakturaen som mottas, representerer en kostnad man faktisk skal betale for. Vi finner at én av bedriftene vi undersøker, per i dag ikke har dobbel kontroll knyttet til utbetalinger (mangler arbeidsdeling). Det er imidlertid viktig å huske på at for å unngå å bli rammet av svindel og underslag kan kvaliteten på kontrollene som utføres, være viktigere enn at kontrollen utføres av to personer.
Vi viser i denne studien eksempler på internkontrollutforming hos bedriftene vi studerer, som impliserer at disse i noen grad er sårbare både for svindel og underslag. Dette er innsikt som norske bedrifter bør være bevisst på når de utformer sine fremtidige internkontrollsystemer på innkjøpsområdet. Vi ser også en tendens til at det iverksettes nye kontrollaktiviteter i etterkant av erfarte hendelser, både når det gjelder underslag og svindel.
Vi har i denne studien ikke undersøkt internkontrollen i små bedrifter som tidvis benytter meget automatiserte regnskapssystemer. Dette er et interessant spørsmål for videre forskning. Ettersom vi i stor grad benyttet åpne spørsmål i forbindelse med datainnsamlingen for å samle inn et rikt datasett, kan respondentene som ikke snakket om ulike typer svindelforsøk, allikevel ha vært utsatt for slike. Respondentene kan også ha vært involvert i slike hendelser uten at regnskapssjefen er klar over dette eller ønsket å snakke om dette. Denne studien kan altså ikke si noe om omfang av svindelforslag og underslag, og funnene er ikke nødvendigvis generaliserbare, noe som er i samsvar med studiens hensikt om å fremskaffe og diskutere eksempler på internkontroll i bedriftene vi studerer. Videre forskning kan rettes mot å fremskaffe mer generaliserbare funn.
Forfatterne takker den anonyme fagfellen for konstruktive bidrag til den endelige artikkelen.
12: 12 Ellen M. Kulset takker Sparebankstiftelsen Nøtterøy-Tønsberg for forskningsmidler tildelt USN til bruk i prosjekter innenfor fagfeltene regnskap og revisjon.
13: 13 COSO-modellen ble utviklet i USA på siste halvdel av 80-tallet og begynnelsen av 90-tallet. Bakgrunnen for utarbeidelsen var en økende bekymring for regnskapsmanipulasjon (Beasley, 2015) og et ønske om å oppnå en felles forståelse blant ulike amerikanske interessegrupper for anbefalinger når det gjelder intern kontroll i bedrifter. Prosjektet besto av teoretiske studier, praktisk erfaring fra sentrale ledere og ikke minst bidrag fra revisjonsbransjen med Coopers & Lybrand i spissen (se bl.a. Beasley, 2015 og Lenth, 1996).
14: 14 I lærebøker og profesjonslitteratur, inkludert revisjonsstandardene, benyttes noe ulike begreper for å beskrive de ulike kontrollaktivitetene en bedrift kan benytte (se f.eks. Stuart, 2012; Eilifsen mfl. 2014; ulike utgaver av COSO-rapporten, osv.). I praksis dekker disse begrepene stort sett over de samme kontrollene.
Barra, R.A. (2010). The impact of internal controls and penalties on fraud. Journal of Information Systems, 24(1), 1-21.
Beasley, M. (2015). COSO at 30 years. Foredrag. Hentet 10.01.2020 fra http://3197d6d14b5f19f2f440-5e13d29c4c016cf96cbbfd197c579b45.r81.cf1.rac...
Bjerkan, L. (2016, 29. august). Bedragere lurte norsk bedrift Aftenposten. Hentet 8.5.2019 fra https://www.aftenposten.no/okonomi/i/BmjvG/Bedragere-lurte-norsk-bedrift...
Chang, S. Yen, D.C. Chang, I. & J. Derek (2014). Internal control framework for a compliant ERP system. Information & Man agement, 51, 187-205.
Cheng, Q, Goh, B.W. & Kim, J.B. (2018). Internal control and operational efficiency. Contemporary Accounting Research, 35(2), 1102-1139.
Coenen, T.L. (2014). The CPA's handbook of fraud & commercial crime prevention. New York: American Institute of Certified Public Accountants, Inc.
Committee of Sponsoring Organizations of the Treadway Commision. (1992). Internal Control - Integrated Framework.
Donelson, D.C. Ege, M.S. & Mcinnis, J.M. (2017). Internal control weaknesses and financial reporting fraud. Auditing: A Journal of Practice & Theory, 36(3), 45-69.
Eilifsen, Aa. Messier, W.F. Glover, S.M. & Prawitt, D.F. (2014). Auditing & Assurance Services. Berkshire: McGraw-Hill Education (UK) Limited.
Gulden, B.P. (2016). Revisjon. Teori og metode. Oslo: Cappelen Damm.
Gupta, P.P. & Thomson, J.C. (2006). Use of COSO 1992 in management reporting on internal control. Strategic Finance, 88(3), 27-33.
Haukerud, A. & Sandanger, K. (2003). Ny renessanse for internkontroll. Magma, 6, 43-51.
The International Auditing and Assurance Standards Board / Den norske Revisorforening (2012). Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser. Norsk utgave av internasjonal revisjonsstandard 315. New York, NY: The International Federation of Accountants (IFAC).
Johannessen, L.E.F. Rafoss, T.W. & Rasmussen, E.B. (2018). Hvordan bruke teori? Nyttige verktøy i kvalitativ analyse. Oslo: Universitetsforlaget.
Lindahl, Aa. & Lillevik, E. (2017). Cybersecurity-trusler krever god internkontroll. Revisjon og Regnskap, 7, 16-18.
Lenth, B. (1996). Intern kontroll. Et integrert rammeverk. Oslo: Cappelen Akademisk Forlag.
Løken, K. (1996). Kontroll. Oslo: Cappelen Akademisk Forlag.
Meidelsen, K. & Kulset, E. (2019). Digitalisering, regnskap og internkontroll: en studie av innkjøpsområdet i seks mellomstore norske bedrifter. I: Gårseth-Nesbakk, L. Baksaas, K.M. og T. Gustavsen (red.), Trender og utfordringer i regnskap og revisjon. Bergen: Fagbokforlaget.
Nordstrøm, J. (2017, 29. september). Bare toppen av et isfjell. E24. Hentet 4.12.2018 fra https://e24.no/digital/datakriminalitet/bedrifter-svindles-for-hundrevis...
Norsis. (2017). Politi spilte direktør og rundlurte svindlere. Hentet 8.5.19 fra https://norsis.no/politi-spilte-direktor-rundlurte-svindlere/
NSR. (2016). Mørketallsundersøkelsen 2016. Hentet 3.10.18 frahttps://www.nsr-org.no/getfile.php/Bilder/M%C3%B8rketallsunders%C3%B8kel...
O'Gara, J.D. (2004). Corporate fraud: Case studies in detection and prevention. United States: Wiley.
Rendon, R.G. & Rendon, J.M. (2015). Auditability in public procurement: an analysis of internal controls and fraud vulnerability. International Journal of Procurement Management, 8(6), 710-730.
Ryan, B. Scapens, R.W. & Theobald, M. (2002). Research method and methodology in finance and accounting. London: Thomson.
Singleton, T. (2008). Internal controls: Strategies for smaller companies. The Journal of Corporate Accounting & Finance, 19(4), 37-40.
Singleton, T. & Atkinson, K.E. (2011). An empirical analysis of the independent relationship of the usage of anti-fraud controls and the losses they reduce. Journal of Forensic Studies in Accounting and Business, 3(1), 9-23.
Trompeter, G.M. Carpenter, T.D. Desai, N. Jones, K.L. & Riley, R.A. Jr. (2013). A synthesis of fraud-related research. Auditing: A Journal of Practice & Theory, 32(1), 287-321.
