Magma
04.02.2020
SAMMENDRAG
Hensikten med denne studien er å presentere empiriske funn knyttet til internkontroll som virkemiddel for å hindre svindel og underslag. Basert på intervjuer med regnskapssjefene i seks norske mellomstore bedrifter finner vi at man i disse bedriftene har variert erfaring med både underslag og svindel/svindelforsøk. Bedrif-
INNLEDNING
Fremveksten av internett og utstrakt bruk av IT har ført til nye former for misligheter og svindel og tidvis gjort mer tradisjonelle svindeltyper lettere å gjennomføre. Dette dreier seg for eksempel om bruk av ulike former for falske fakturaer eller endringer av opplysninger på faktisk eksisterende fakturaer, direktørsvindel (dvs. svindel utført ved hjelp av e-post
tene har alle internkontrollsystemer med en rekke implementerte kontroller, men de synes å rette seg mer mot avdekkende enn forebyggende kontroller. Dette tilsier sårbarhet med tanke på å bli utsatt for både svindel og underslag, og det kan være nyttig kunnskap å ta med seg for ledere som er ansvarlig for å utforme et godt internkontrollsystem.
eller SMS fra personer som utgir seg å være i ledelsen i bedriften, på engelsk CEO fraud) og underslag (dvs. svindel utført av ansatte). I Mørketallsundersøkelsen 2018 oppgir en rekke av respondentene at de har vært utsatt for ulike typer sikkerhetshendelser: I 2017 hadde for eksempel seks prosent opplevd ulike former for bedrageri (Mørketallsundersøkelsen 2018). Norske bedrifter svindles hvert år for hundrevis av millioner kroner gjennom direktørsvindel (Nordstrøm, 2017): I 2016 ble for eksempel et norsk selskap svindlet for 500 millioner kroner, hvorav 100 millioner kroner fortsatt er borte (Bjerkan, 2016 og Norsis, 2017). Vi vet altså at omfanget av svindel, svindelforsøk og underslag er stort, og at ulike typer hendelser kan gi store finansielle konsekvenser.
En rekke aktører, for eksempel Økokrim og NSM (Nasjonal sikkerhetsmyndighet), gir råd til norske bedrifter slik at de kan hindre ulike former for svindel. Når det gjelder direktørsvindel, gir for eksempel Gjemdal i Bits AS (bank- og finansnæringens infrastrukturselskap) hovedrådet at bedrifter må ha to personer som godkjenner utbetalinger (Nordstrøm, 2017). Dette rådet samsvarer med rutinene som anbefales av profesjonslitteraturen på innkjøpsområdet (se for eksempel Eilifsen mfl., 2014 og Gulden, 2016). Tidligere forskning (se for eksempel oversiktsartikkel av Trompeter mfl., 2013) viser mer generelt at gode rutiner og kontroller (dvs. en godt implementert internkontroll) kan bidra til å hindre at bedrifter utsettes for svindel og underslag. Vi vet altså en hel del om hvilke tiltak det foreslås at bedrifter kan innføre for å unngå å bli svindlet eller utsatt for underslag. Hvilke tiltak norske bedrifter faktisk har innført for å redusere risikoen for å bli utsatt for denne typen kriminalitet, synes i liten grad å ha vært studert tidligere.
Med dette som bakteppe ønsker vi i denne studien å undersøke hvorvidt norske bedrifter har på plass passende interne kontroller for å forebygge og avdekke ulike former for svindel og underslag. Svindel og underslag vil ofte på ulikt vis ha sammenheng med de innkjøpene en bedrift foretar, og de utbetalingene som gjennomføres, og manglende internkontroll knyttet til innkjøp gjør gjerne bedrifter spesielt sårbare. Vi vil derfor i denne studien begrense oss til å studere bedriftenes internkontroll på innkjøpsområdet. Vi er ikke kjent med at det eksisterer norsk forskning på dette området, og denne artikkelen vil således bidra med kunnskap som vil være nyttig for norske bedrifter når de
1 1 Ellen M. Kulset takker Sparebankstiftelsen Nøtterøy-Tønsberg for forskningsmidler tildelt USN til bruk i prosjekter innenfor fagfeltene regnskap og revisjon.
utformer sine internkontrollsystemer, spesielt på innkjøpsområdet.
Følgende spørsmål er i fokus:
Spørsmål 1:
Spørsmål 2:
Hvilke forsøk på svindel og underslag har bedriftene vi studerer, erfaring med? Hvilke kontrollaktiviteter har bedriftene implementert på innkjøpsområdet for å blant annet hindre svindel og underslag?
For å finne svar på spørsmålene benytter vi en blanding av et beskrivende og et fortolkende design, og vi studerer et rikt datasett fremskaffet gjennom dybdeintervjuer med regnskapssjefene i seks ulike norske mellomstore bedrifter.
Vi vil i resten av denne artikkelen først sette temaet inn i en teoretisk sammenheng. Deretter vil vi kortfattet presentere vår metodebruk før vi presenterer funn knyttet til spørsmålene vi stiller. Avslutningsvis vil vi oppsummere hva vi har funnet, presentere studiens begrensninger og kommentere hvilke implikasjoner hovedfunnene våre har for norske bedrifter og videre forskning.
TEORI OG BAKGRUNN
BEGREPSAVKLARING
I internasjonal litteratur benyttes gjerne begrepet
fraud. Dette begrepet omfatter ulike hendelser som er utført mot eller for en organisasjon, blant annet regnskapsmanipulasjon (se f.eks. Coenen, 2014). Hendelsene kan utføres av ledelse, ansatte eller eksterne (se f.eks. O'Gara, 2004). Vi vil i denne artikkelen benytte det norske begrepet misligheter som et synonym for fraud. Vår definisjon av misligheter samsvarer således med bruken av begrepet i for eksempel Løken (1996), men er videre enn begrepet slik det anvendes i ISA 240, der misligheter ikke inkluderer svindel utført av eksterne parter, jf. ISA 240, pkt. A1 og A3. Vi vil videre benytte begrepene svindel og underslag, som begge inkluderes i begrepet fraud. Vi benytter begrepet svindel i forbindelse med ulike hendelser som utføres av eksterne parter der bedriftene på ulikt vis blir lurt til å betale for varer eller tjenester de ikke har bestilt og mottatt, eventuelt til å betale til feil mottaker. Underslag vil vi forstå som tyveri av en enhets eiendeler (inklusiv kontanter), jf. ISA 240 pkt. A5. Underslag utføres av én eller flere av bedriftens ansatte.
For å analysere bedrifters internkontrollsystemer benyttes gjerne COSO-modellen2 (Committee of Sponsoring Organizations of the Treadway Commision 1992 eller senere versjoner) som rammeverk. I denne modellen består en bedrifts internkontroll av fem ulike komponenter: (1) kontrollmiljø, (2) selskapets risikovurderingsprosess, (3) kontrollaktiviteter, (4) informasjon og kommunikasjon, og (5) oppfølgingsaktiviteter (COSO, 2013). I denne artikkelen konsentrerer vi oss om komponenten kontrollaktiviteter, definert som retningslinjer og rutiner som bidrar til å sikre at instrukser fra ledelsen utføres, og omfatter aktiviteter som autorisasjon, gjennomgåelse av prestasjoner og resultater, informasjonsbehandling, fysiske kontroller og arbeidsdeling3 (COSO, 2013 og ISA 315, pkt. A99).
INTERNKONTROLLENS BETYDNING
Ifølge Singleton og Atkinson (2011) er «the role of internal control in preventing and detecting fraud (...) well-known and well-documented in the accounting and anti-fraud
Gå til medietINNLEDNING
Fremveksten av internett og utstrakt bruk av IT har ført til nye former for misligheter og svindel og tidvis gjort mer tradisjonelle svindeltyper lettere å gjennomføre. Dette dreier seg for eksempel om bruk av ulike former for falske fakturaer eller endringer av opplysninger på faktisk eksisterende fakturaer, direktørsvindel (dvs. svindel utført ved hjelp av e-post
tene har alle internkontrollsystemer med en rekke implementerte kontroller, men de synes å rette seg mer mot avdekkende enn forebyggende kontroller. Dette tilsier sårbarhet med tanke på å bli utsatt for både svindel og underslag, og det kan være nyttig kunnskap å ta med seg for ledere som er ansvarlig for å utforme et godt internkontrollsystem.
eller SMS fra personer som utgir seg å være i ledelsen i bedriften, på engelsk CEO fraud) og underslag (dvs. svindel utført av ansatte). I Mørketallsundersøkelsen 2018 oppgir en rekke av respondentene at de har vært utsatt for ulike typer sikkerhetshendelser: I 2017 hadde for eksempel seks prosent opplevd ulike former for bedrageri (Mørketallsundersøkelsen 2018). Norske bedrifter svindles hvert år for hundrevis av millioner kroner gjennom direktørsvindel (Nordstrøm, 2017): I 2016 ble for eksempel et norsk selskap svindlet for 500 millioner kroner, hvorav 100 millioner kroner fortsatt er borte (Bjerkan, 2016 og Norsis, 2017). Vi vet altså at omfanget av svindel, svindelforsøk og underslag er stort, og at ulike typer hendelser kan gi store finansielle konsekvenser.
En rekke aktører, for eksempel Økokrim og NSM (Nasjonal sikkerhetsmyndighet), gir råd til norske bedrifter slik at de kan hindre ulike former for svindel. Når det gjelder direktørsvindel, gir for eksempel Gjemdal i Bits AS (bank- og finansnæringens infrastrukturselskap) hovedrådet at bedrifter må ha to personer som godkjenner utbetalinger (Nordstrøm, 2017). Dette rådet samsvarer med rutinene som anbefales av profesjonslitteraturen på innkjøpsområdet (se for eksempel Eilifsen mfl., 2014 og Gulden, 2016). Tidligere forskning (se for eksempel oversiktsartikkel av Trompeter mfl., 2013) viser mer generelt at gode rutiner og kontroller (dvs. en godt implementert internkontroll) kan bidra til å hindre at bedrifter utsettes for svindel og underslag. Vi vet altså en hel del om hvilke tiltak det foreslås at bedrifter kan innføre for å unngå å bli svindlet eller utsatt for underslag. Hvilke tiltak norske bedrifter faktisk har innført for å redusere risikoen for å bli utsatt for denne typen kriminalitet, synes i liten grad å ha vært studert tidligere.
Med dette som bakteppe ønsker vi i denne studien å undersøke hvorvidt norske bedrifter har på plass passende interne kontroller for å forebygge og avdekke ulike former for svindel og underslag. Svindel og underslag vil ofte på ulikt vis ha sammenheng med de innkjøpene en bedrift foretar, og de utbetalingene som gjennomføres, og manglende internkontroll knyttet til innkjøp gjør gjerne bedrifter spesielt sårbare. Vi vil derfor i denne studien begrense oss til å studere bedriftenes internkontroll på innkjøpsområdet. Vi er ikke kjent med at det eksisterer norsk forskning på dette området, og denne artikkelen vil således bidra med kunnskap som vil være nyttig for norske bedrifter når de
1 1 Ellen M. Kulset takker Sparebankstiftelsen Nøtterøy-Tønsberg for forskningsmidler tildelt USN til bruk i prosjekter innenfor fagfeltene regnskap og revisjon.
utformer sine internkontrollsystemer, spesielt på innkjøpsområdet.
Følgende spørsmål er i fokus:
Spørsmål 1:
Spørsmål 2:
Hvilke forsøk på svindel og underslag har bedriftene vi studerer, erfaring med? Hvilke kontrollaktiviteter har bedriftene implementert på innkjøpsområdet for å blant annet hindre svindel og underslag?
For å finne svar på spørsmålene benytter vi en blanding av et beskrivende og et fortolkende design, og vi studerer et rikt datasett fremskaffet gjennom dybdeintervjuer med regnskapssjefene i seks ulike norske mellomstore bedrifter.
Vi vil i resten av denne artikkelen først sette temaet inn i en teoretisk sammenheng. Deretter vil vi kortfattet presentere vår metodebruk før vi presenterer funn knyttet til spørsmålene vi stiller. Avslutningsvis vil vi oppsummere hva vi har funnet, presentere studiens begrensninger og kommentere hvilke implikasjoner hovedfunnene våre har for norske bedrifter og videre forskning.
TEORI OG BAKGRUNN
BEGREPSAVKLARING
I internasjonal litteratur benyttes gjerne begrepet
fraud. Dette begrepet omfatter ulike hendelser som er utført mot eller for en organisasjon, blant annet regnskapsmanipulasjon (se f.eks. Coenen, 2014). Hendelsene kan utføres av ledelse, ansatte eller eksterne (se f.eks. O'Gara, 2004). Vi vil i denne artikkelen benytte det norske begrepet misligheter som et synonym for fraud. Vår definisjon av misligheter samsvarer således med bruken av begrepet i for eksempel Løken (1996), men er videre enn begrepet slik det anvendes i ISA 240, der misligheter ikke inkluderer svindel utført av eksterne parter, jf. ISA 240, pkt. A1 og A3. Vi vil videre benytte begrepene svindel og underslag, som begge inkluderes i begrepet fraud. Vi benytter begrepet svindel i forbindelse med ulike hendelser som utføres av eksterne parter der bedriftene på ulikt vis blir lurt til å betale for varer eller tjenester de ikke har bestilt og mottatt, eventuelt til å betale til feil mottaker. Underslag vil vi forstå som tyveri av en enhets eiendeler (inklusiv kontanter), jf. ISA 240 pkt. A5. Underslag utføres av én eller flere av bedriftens ansatte.
For å analysere bedrifters internkontrollsystemer benyttes gjerne COSO-modellen2 (Committee of Sponsoring Organizations of the Treadway Commision 1992 eller senere versjoner) som rammeverk. I denne modellen består en bedrifts internkontroll av fem ulike komponenter: (1) kontrollmiljø, (2) selskapets risikovurderingsprosess, (3) kontrollaktiviteter, (4) informasjon og kommunikasjon, og (5) oppfølgingsaktiviteter (COSO, 2013). I denne artikkelen konsentrerer vi oss om komponenten kontrollaktiviteter, definert som retningslinjer og rutiner som bidrar til å sikre at instrukser fra ledelsen utføres, og omfatter aktiviteter som autorisasjon, gjennomgåelse av prestasjoner og resultater, informasjonsbehandling, fysiske kontroller og arbeidsdeling3 (COSO, 2013 og ISA 315, pkt. A99).
INTERNKONTROLLENS BETYDNING
Ifølge Singleton og Atkinson (2011) er «the role of internal control in preventing and detecting fraud (...) well-known and well-documented in the accounting and anti-fraud
