det finns inget beständigt förutom...
TRANSCRIPT
Examensarbete i företagsekonomi
En fallstudie om intern kontroll
Det finns inget beständigt förutom förändring
Författare: Elena Marsiglia
Författare: Monica Nilsson
Handledare: Elin Funck
Examinator: Pia Nylinder
Termin: VT13
Ämne: Företagsekonomi
Nivå: A
Kurskod: 2FE90E
i
Sammanfattning
Titel: Det finns inget beständigt förutom förändring; en fallstudie om intern
kontroll
Författare: Elena Marsiglia & Monica Nilsson
Handledare: Elin Funck
Bakgrund: Inom offentlig verksamhet uppmärksammas emellanåt skandaler
med mutor, bestickning och andra oegentligheter. Många organisationer läg-
ger därför idag stort fokus på den interna kontrollen. För att den interna kon-
trollen ska uppnå full effekt behövs bra styrdokument. Vi finner det därför in-
tressant att studera policies och riktlinjer avseende intern kontroll inom offent-
lig verksamhet.
Syfte: Rapportens syfte är att studera hur policies för intern kontroll i Udde-
valla kommun ser ut samt studera hur man arbetar med riktlinjerna inom olika
nivåer av kommunen.
Metod/genomförande: Semistrukturerade intervjuer är grunden till vår em-
piri där vi valt att intervjua personer som arbetar med intern kontroll eller på
annat sätt har ledande befattningar och därmed är viktiga i arbetet kring den
interna kontrollen. Vi har också tagit del av dokument på kommunens hem-
sida och intranät för att få så stor inblick som möjligt i arbetet.
Slutsats: Uddevalla kommun har en omfattande samling policydokument
som ter sig svårarbetad för en utomstående. Ledningen och förvaltningarna
har inte samma uppfattning om hur organisationen ska arbeta med de sty-
rande dokumenten. Tydligare kommunikation behövs kring syftet och utform-
ningen av författningssamlingen, samtidigt som förvaltningarna inom kom-
munen behöver lägga mer energi på att vidareutveckla regler för den egna
verksamheten.
Nyckelord: Intern kontroll, COSO, redovisning, riskanalys, verksamhetsstyr-
ning, ekonomistyrning, kommunal verksamhet,
ii
Abstrakt
Titel: There is no constant thing but change; a case study on internal control
Authors: Elena Marsiglia & Monica Nilsson
Supervisor: Elin Funck
Background: In the public sector scandals involving bribes, corruption and
other irregularities are occasionally observed. Many organizations are
therefore currently focusing on internal control. For internal control to achieve
full power, good policy documents are required. We therefore find it
interesting to study the policies and guidelines on Internal Controls in the
public sector.
Purpose: The purpose of this report is to study the design of policies for in-
ternal control in Uddevalla municipality. We also intend to study the organiza-
tion’s work with the guidelines within different levels of the municipality.
Method and implementation: Semi-structured interviews are the basis for
our empirical work, where we chose to interview people who are involved in
internal control or otherwise have leading positions and hence are important
in the process of internal control. We have also examined the governing doc-
uments on the municipal website and intranet to gain as much insight as
possible throughout the study.
Results: Uddevalla municipality has an extensive collection of guidelines that
to an outsider seem difficult to handle. The management and the Operations
are not of the same idea of how to process these guidelines. The purpose
and design of the statutes need to be communicated more clearly. On an
operational level more energy needs to be spent on further developing the
guidelines to suite the operation.
Key words: Internal control, COSO, accounting, risk management, perfor-
mance management, financial control, municipal operations
iii
Tack
Vi vill tacka alla personer som på något sätt varit involverade i vårt arbete
med denna uppsats.
Ett speciellt tack vill vi rikta till följande personer:
Vår handledare, Elin Funck, för att du gett oss vägledning och konkreta syn-
punkter under arbetets gång.
Vår uppdragsgivare, Thomas Davidsson, som satte igång tankeverksam-
heten inför detta arbete.
Våra respondenter på Uddevalla kommun, för att ni ställt upp med er tid och
värdefulla åsikter och erfarenheter.
Uddevalla, maj 2013 Göteborg, maj 2013
Monica Nilsson Elena Marsiglia
iv
Innehåll
1 Inledning ____________________________________________________ 1
1.1 Bakgrund ______________________________________________ 1
1.2 Problemdiskussion _______________________________________ 2
1.3 Frågeställning ___________________________________________ 5
1.4 Syfte och mål ___________________________________________ 5
1.5 Avgränsningar __________________________________________ 6
1.6 Disposition _____________________________________________ 6
2 Metod _______________________________________________________ 7
2.1 Fallstudie ______________________________________________ 7
2.2 Insamling av data ________________________________________ 8
2.3 Insamling av teori ________________________________________ 9
2.4 Analys av insamlat material _______________________________ 10
2.5 Kvalitetskriterier ________________________________________ 10
2.6 Metodproblem __________________________________________ 12
2.7 Forskningsetiska aspekter ________________________________ 12
3 Teoretisk referensram ________________________________________ 13
3.1 Ekonomistyrning & intern kontroll ___________________________ 13
3.1.1 Definition av begrepp _________________________________ 13
3.1.2 Intern kontroll inom kommunal verksamhet ________________ 15
3.1.3 Syftet med intern kontroll ______________________________ 15
3.1.4 Att lyckas med den interna kontrollen ____________________ 16
3.2 COSO-modellen ________________________________________ 19
3.3 Risk & väsentlighet ______________________________________ 21
3.4 Att upprätta ett system för intern kontroll _____________________ 22
3.5 Fallgropar i COSO-modellen? _____________________________ 24
3.6 Konceptuell modell ______________________________________ 25
v
4 Empiri ______________________________________________________ 27
4.1 Bakgrundsfakta Uddevalla kommun _________________________ 27
4.2 Arbetet med riktlinjer för intern kontroll i Uddevalla kommun ______ 28
4.2.1 En ny struktur _______________________________________ 28
4.2.2 Kommunens olika styrande dokument ____________________ 29
4.2.3 Kontrollmiljön i Uddevalla kommun ______________________ 31
4.2.4 Risk och väsentlighet _________________________________ 32
4.2.5 Att kommunicera i en stor organisation ___________________ 33
4.2.6 Internkontrollgruppen och dess uppgift i organisationen ______ 34
4.3 Att upprätthålla ett hållbart system för intern kontroll ____________ 35
4.4 Sammanfattning ________________________________________ 36
5 Analys _____________________________________________________ 37
5.1 Riktlinjer och policies ____________________________________ 37
5.2 Att dokumentera den interna kontrollen ______________________ 39
5.3 Engagemang hos ledning och politiker _______________________ 40
5.4 Ett vidgat perspektiv på intern kontroll _______________________ 41
5.5 Information, kommunikation och utbildning ____________________ 42
5.6 Utveckling av internkontrollarbetet __________________________ 43
5.7 Risk och väsentlighet ____________________________________ 44
5.8 Översyn av författningssamlingen __________________________ 44
5.9 Fallgropar _____________________________________________ 45
6 Slutdiskussion _______________________________________________ 47
6.1 Slutsatser _____________________________________________ 47
6.2 Egna reflektioner och kritik till uppsatsen _____________________ 51
6.3 Förslag till vidare forskning ________________________________ 52
7 Referenser __________________________________________________ 53
8 Bilagor ______________________________________________________ I
Bilaga 1 – Intervjuguide _______________________________________ I
1
1 Inledning
1.1 Bakgrund
Intern kontroll är ur ett ekonomiskt perspektiv en organisations verktyg för att
förhindra fel, misstag eller förvanskningar av den ekonomiska verksamheten i
organisationen (Carrington 2010, sid. 109). Ytterst handlar det om att säker-
ställa att ekonomistyrningens processer fungerar på ett ändamålsenligt sätt
som främjar verksamheten (Haglund, Sturesson & Svensson, 2005, sid. 6).
Intern kontroll handlar i korthet om ett företags process att minimera risker i
den egna verksamheten. Med risk avses sannolikheten att en viss händelse
inträffar samt bedömning av konsekvenserna om denna händelse skulle
komma att inträffa (Wikland 2012a, kap 3).
Idag räcker det dock inte med att företag, myndigheter och andra organisat-
ioner har kontroll över risker i sin verksamhet. De måste även kunna visa för
omvärlden att denna kontroll existerar. Att ha en väl fungerande intern kon-
troll med tydligt nedtecknade styrdokument och riktlinjer för processer och
arbetssätt inom organisationen är ett sätt att påvisa att organisationen har
kontroll över sin verksamhet. Intern kontroll regleras inte i lagar, förordningar
eller andra formella standarder, men i praktiken har COSO-modellen blivit det
mest dominerande ramverket (Wikland, 2006, sid. 3). Modellen som används
inom såväl privata bolag som inom offentlig sektor, handlar i korthet om verk-
tyg för att hjälpa organisationer att hantera de moment som utgör en väl fun-
gerande intern kontroll samt vilka aspekter som bör beaktas i arbetet med
den interna kontrollen.
Finlands kommunförbund ställer följande fråga för att testa hur väl den inter-
na kontrollen fungerar: ”Hur säkerställs det att rätt person (eller organ) gör
rätt saker i rätt tid på rätt sätt?” (ESV, 2013.) Denna frågeställning samman-
fattar på ett enkelt sätt vad internkontroll avser att kontrollera.
2
Haglund, Sturesson och Svensson (2005, sid. 10) beskriver den interna kon-
trollen som ”en länk för att verksamheten ska kunna bedrivas så effektivt och
ändamålsenligt som möjligt”. Den interna kontrollen ska vara ett hjälpmedel
som integreras i verksamhetsprocesserna. För att nå en fungerande intern
kontroll krävs att organisationen i fråga går igenom verksamhetens samtliga
delar grundligt och nedtecknar riktlinjer för hur arbetsprocesser ska genomfö-
ras.
Aktieägare i privata bolag har förväntningar om ekonomisk utdelning från fö-
retagets verksamhet. Bolaget har ett åtagande gentemot sina ägare. Vad
gäller kommunal verksamhet finns det motsvarande åtagande, men här ut-
görs den huvudsakliga intressenten av invånarna tillika skattebetalarna i
kommunen.
Inom många kommuner har man börjat anamma den ovan nämnda COSO-
modellen, som är ett generellt hjälpmedel vid arbetet med intern kontroll inom
såväl offentlig som privat verksamhet (Haglund, Sturesson & Svensson,
2005, sid. 27).
1.2 Problemdiskussion
Den interna kontrollen ska, som vi nämnt ovan, tjäna ett syfte att förhindra
avsiktliga och oavsiktliga felaktigheter i den ekonomiska delen av en verk-
samhet. Dock fungerar den inte alltid som det är tänkt. Skandaler inom of-
fentlig verksamhet har uppdagats på senare år, och beskriver förekomster av
försummelse, mutor och andra oegentligheter. Det mest aktuella exemplet på
skandaler i offentliga organisationer i Västsverige är Muthärvan i Göteborg,
där flera tjänstemän inom Göteborgs Stad och de kommunalägda bolagen
Göteborgs Energi AB, Bostads Poseidon AB, Familjebostäder och Hjällbobo-
staden misstänks ha skaffat sig fördelar från ett antal entreprenörer. Denna
härva uppdagades med start i april 2010 (Göteborgsposten, 2010, samt
Wikland, 2012b).
3
Ett annat exempel har vi hämtat från Danderyds kommun där en tjänsteman i
oktober 2010 anmäldes för mutbrott i samband med en fastighetsaffär. Man-
nen ska ha fått köpa fastigheten till ett pris under marknadsvärdet av ett
byggbolag som mannen haft kontakt med genom sitt arbete (Svenska Dag-
bladet, 2010).
Sveriges Radios nyhetsprogram Ekot genomförde under 2010 en så kallad
”mutenkät” som visade att det i minst 14 av landets kommuner pågick utred-
ningar eller att man redan avslöjat misstänkta oegentligheter där tjänstemän
ska ha bluffat kommunen på skattebetalarnas pengar. 184 av landets 290
kommuner svarade på enkäten som Ekot skickade ut.
Dessa skandaler är bidragande anledningar till att det riktas mycket fokus på
förbättrad intern kontroll. En väl fungerande intern styrning och kontroll kan
hjälpa en organisation att nå sina resultat- och verksamhetsmål samtidigt
som organisationen kan undvika förtroendeskador (Wikland, 2006, sid. 6).
Förekomsten av oegentligheter inom kommunal verksamhet är dock inget
nytt fenomen. Haglund, Sturesson och Svensson (2005, sid. 11) beskriver att
det under 1990-talet förekom flera fall där ledande tjänstemän och förtroen-
devalda hanterade offentliga medel vårdslöst eller omoralisk. Uppmärksam-
made fall av oegentligheter inom landets kommuner har gjort att brister i
bland annat den interna kontrollen inom nämnderna uppdagats. Skillnaden
mellan oegentligheter inom privata bolag och liknande fall inom offentlig
verksamhet är att det inom den offentliga verksamheten så gott som alltid är
skattebetalarna som får stå för kostnaden.
Ytterligare anledningar till att intern kontroll har hamnat i fokus på senare år
beskrivs i boken ”Intern kontroll – en del av verksamhets- och ekonomistyr-
ningen”. Haglund, Sturesson & Svensson (2005, sid. 10-11) tar bland annat
upp ökade krav på kvalitet och kostnadseffektivitet, ny teknik samt decentra-
lisering som orsaker till det ökade intresset för intern kontroll inom kommu-
nerna.
4
Haglund, Sturesson och Svensson (2005, sid. 10-11) nämner just decentrali-
seringen som en bidragande orsak till en ökad risk för högre kostnader ef-
tersom ansvar och befogenheter för tidigare centralstyrda verksamheter nu-
mera är uppdelat på flera håll. God kommunikation mellan kommunledning
och respektive nämnd eller förvaltning samt en väl fungerande intern kontroll
är förutsättningar för att uppnå effektiv styrning och därmed minskade risker
för kostsamma fel i verksamheten. En större organisation löper givetvis större
risk att ha sämre kontroll över sina kostnader. I en kommun kan pengar flyta
iväg utan kontroll om det inte finns fungerande rutiner.
De ekonomiska förutsättningarna i en kommun skiljer sig något från en vinst-
drivande verksamhet. Den vinstdrivande verksamheten kan försöka förbättra
sitt resultat genom att arbeta för att öka försäljningen. En kommun kan inte
utan vidare höja skatten för invånarna om ekonomin inte är i balans. Därför
krävs en bra kostnadseffektivitet och ett ökat behov av en tydlig och konse-
kvent styrning och kontroll (Hagluns, Sturesson & Svensson, 2005, sid. 10-
11).
I många kommuner pågår ett förbättringsarbete för den interna kontrollen
(Haglund, Sturesson & Svensson, 2005, sid. 7). Detta gäller även Uddevalla
kommun, som är föremål för vår studie. Uddevalla kommuns interna kontroll
genomförs varje år och omfattar även frågor av icke-ekonomisk karaktär
såsom genomgång av anställningsbeslut, de balanserade styrkorten med
mera. Beslut i respektive nämnd om att fullmäktiges fastställda mål uppfylls
tas vid nämndens sammanträde i december (UaFs 15/2004).
I början av 2000-talet gjorde Uddevalla kommun ett omfattande arbete med
att dokumentera sina policies och riktlinjer för internkontroll vilket resulterade
i nya styrande dokument som antogs år 2005. Allt eftersom omvärlden för-
ändras behöver organisationer löpande arbeta med att uppdatera sina riktlin-
jer för intern kontroll (Haglund, Sturesson & Svensson, 2005, sid 92). Även
om Uddevalla kommun nyligen gjort förändringar i författningssamlingen, be-
höver kommunen fortsätta arbetet med översyn och uppdatering av sina sty-
rande dokument. Under 2011 gjordes en ansats till att förändra riktlinjerna för
5
intern kontroll, men på grund av personalomsättning gick detta i stå och för-
ändringen uteblev. Utifrån detta perspektiv finner vi det intressant att under-
söka kommunens arbete med policies och riktlinjer för intern kontroll när-
mare.
Vi vill med bakgrund av detta undersöka hur riktlinjerna för intern kontroll ser
ut inom kommunen, samt hur man inom kommunen arbetar med dessa rikt-
linjer. Dessutom vill vi undersöka hur man ser på riktlinjerna inom olika nivåer
inom organisationen samt hur dessa riktlinjer skulle kunna förändras ytterli-
gare för att ge en ännu bättre intern kontroll.
1.3 Frågeställning
Hur ser Uddevalla kommuns policies och riktlinjer för intern kontroll ut?
Hur arbetar man med internkontrollpolicies på olika nivåer i Uddevalla
Kommun?
Vilka olika uppfattningar finns inom organisationen angående kommu-
nens rutiner och policies?
Hur kan kommunens policies och riktlinjer för intern kontroll förbättras?
1.4 Syfte och mål
Vårt syfte med denna uppsats är att studera rutiner och policies för intern
kontroll inom Uddevalla kommun. Vi vill illustrera hur man ser på intern kon-
troll inom kommunen, dels ur ett ledningsperspektiv dels ur förvaltningarnas
synvinkel, samt hur man på olika nivåer inom kommunen arbetar med riktlin-
jerna för intern kontroll. Målet är att kunna bidra till förbättrande åtgärder gäl-
lande kommunens rutiner kring intern kontroll.
6
1.5 Avgränsningar
Vi kommer att avgränsa studien till två av kommunens förvaltningar samt
kommunledningen. Vi kommer inte att beröra hur andra förvaltningar inom
kommunen arbetar med intern kontroll. Vi kommer heller inte att gå in på hur
andra förvaltningar uppfattar de policydokument som finns.
1.6 Disposition
Kapitel 1 – Inledning: I detta första kapitel redogörs för ämnets bakgrund
och syfte. Även problemformulering och frågeställning presenteras.
Kapitel 2 – Metod: Uppsatsens metodik presenteras i studiens andra kapitel.
Här beskrivs valet av studiens utformning, tillvägagångssättet för insamling
av relevanta data till studien samt hur dessa data har bearbetats och analy-
serats. Även valet av organisation förklaras.
Kapitel 3 – Teoretisk referensram: Detta kapitel går igenom den teori som
är utgångspunkten för studien.
Kapitel 4 – Empiri: Här presenteras fallstudieobjektet och de data som
framkommit genom fallstudien.
Kapitel 5 – Analys: I detta kapitel kopplas empiriavsnittet ihop med den teo-
retiska referensramen och de förhållanden som har beskrivits i genomföran-
det av studien analyseras.
Kapitel 6 – Slutdiskussion: Uppsatsens syfte och frågeställning besvaras i
detta kapitel. Kapitlet innehåller även egna reflektioner kring uppsatsen. För-
slag till åtgärder inom fallstudieobjektet presenteras, liksom förslag till vidare
forskning.
7
2 Metod
2.1 Fallstudie
Att genomföra kontroller kostar givetvis pengar och i en kommun är många
personer inblandade i den ekonomiska hanteringen. Det spelar därför ingen
roll hur många policies som utarbetas om de inte implementeras i verksam-
heterna. Därför har vi valt att närmare studera hur kommunen upprättar sina
policies och framför allt den interna kontrollen av hur dessa policies efterlevs
i praktiken. Anledningen till att vi har valt att inrikta studien på intern kontroll
grundar sig i den senaste tidens uppmärksammade skandaler inom kommu-
ner och kommunala bolag.
Vi har valt att genomföra studien som en fallstudie för att få en så djupgå-
ende bild som möjligt av undersökningsenheten. En fallstudie möjliggör för
forskaren att bibehålla en helhetsbild över verkliga händelser (Yin, 2007, sid.
18). Vi har valt att göra en fallstudie i enfallsdesign, vilket innebär att fokus
ligger på ett enda fall, såsom ett företag eller en organisation. En anledning
till detta är att vi av Uddevalla kommun fått uppdraget att göra en analys av
kommunens arbete med policies och riktlinjer avseende intern kontroll, vilket
gör att vi finner det intressant att studera hur just Uddevalla kommuns poli-
cies ser ut i dagsläget, hur de används i verksamheten samt vilken uppfatt-
ning man på olika nivåer inom Uddevalla kommun har om organisationens
policies och riktlinjer.
Med bakgrund av detta finner vi det inte intressant att jämföra med andra
kommuner, vilket hade varit det naturliga förfarandet vid en flerfallsstudie. Att
genomföra en multipel fallstudie hade kunnat bidra med fördjupad kunskap i
hur organisationer generellt arbetar med intern kontroll, vilket inte är vårt hu-
vudsakliga syfte med denna studie. Ytterligare en anledning till att vi valt ett
enda fall är att vår tidsram för genomförandet av studien är begränsad till
denna kurs.
8
Yin (2007, sid. 31) beskriver fallstudien som en ”empirisk undersökning som
studerar en aktuell företeelse i dess verkliga kontext” och det är just en så-
dan undersökning vi har för avsikt att genomföra. Fallstudie är en lämplig
metod att tillämpa då undersökningen är icke-experimentell och endast berör
en enda organisation, vilket är fallet med denna studie. Yin förklarar vidare
att fallstudier lämpar sig när förståelse är viktigt och när olika samband skall
förklaras.
Genom att en av författarna arbetar inom den valda organisationen, har vi
god inblick i organisationen och dess olika verksamheter. Hennes arbete ger
oss även tillgång till en hel del information och data. Ytterligare anledning till
den valda organisationen är att en av kommunens chefsekonomer uttryckt
önskemål om att låta undersöka eventuella frågeställningar som behöver för-
tydligas i ekonomistyrningen.
2.2 Insamling av data
Vi kommer att använda oss av både primära och sekundära källor. De pri-
mära källorna utgörs av intervjuer av anställda inom kommunen. De sekun-
dära källorna består främst av kommunens hemsida och interna dokument.
För att få fram information om hur kommunen arbetar med intern kontroll
samt utformning och uppföljning av policies, kommer vi att intervjua ett antal
anställda inom kommunen. Enligt Yin är intervjuer en av de viktigaste infor-
mationskällorna vid fallstudier. Han menar vidare att även om intervjuaren
ibland frångår en strikt strukturerad utfrågning och istället vänder intervjun till
ett samtal där man genom flexibilitet får fram relevanta uppgifter, så spelar
intervjuer en stor roll för hela fallstudien.
Vi har med anledning av vårt syfte valt att genomföra intervjuer med fem an-
ställda inom kommunen. Samtliga arbetar med intern kontroll och/eller inne-
har en chefsbefattning och utgör därmed viktiga funktioner vid framtagandet
av organisationens styrdokument.
9
För att få fram hur man dels från ledningens sida och dels från förvaltningens
sida ser på kommunens riktlinjer för intern kontroll, har vi har valt ut personer
på olika nivåer inom organisationen. Respondenterna är nyckelpersoner vid
framtagandet av policies och/eller i arbetet av den interna kontrollen.
Tre av respondenterna arbetar inom kommunledningen och två arbetar inom
förvaltningarna. Samtliga respondenter har mångårig erfarenhet inom kom-
munalt arbete i allmänhet och Uddevalla kommun i synnerhet. Eftersom
denna uppsats behandlar dokumentation kring den interna kontrollen och
utformningen av policies, ser vi inte behovet av att intervjua personer som
utför själva kontrollaktiviteterna.
Vi har valt att använda fallstudieintervjuer av semistrukturerad karaktär för att
få ta del av respondenternas egna åsikter och uppfattningar i frågorna. Inter-
vjuerna varade mellan 25 och 40 minuter. Som stöd vid genomförandet av
intervjuerna använde vi en intervjuguide som finns bifogad (bilaga 1).
Vi har haft förmånen att prata med:
Kenneth Erlandsson, ekonomichef för kommunen
Helena Olsson, tillförordnad redovisningschef för kommunen
Marie Jensen, ekonom och ansvarig för internkontrollgruppen
Thomas Davidsson, chefsekonom Barn och utbildningsförvaltningen
Christin Slättmyr, verksamhetsutvecklare Kultur och
fritidsförvaltningen
2.3 Insamling av teori
Som stöd för vårt teoretiska avsnitt har vi använt ett antal facklitterära böcker
samt vetenskapliga artiklar och rapporter. Vi har främst använt oss av böck-
erna Intern kontroll – en del av verksamhets- och ekonomistyrningen, Intern
kontroll – ett flerdimensionellt ledningsverktyg, samt Intern styrning och kon-
troll – både lönsamt och säkert. Därutöver har vi hämtat information från an-
nan litteratur, ett antal vetenskapliga artiklar samt från internet. För att hitta
10
relevant material har vi använt nyckelord som intern kontroll, kommunal verk-
samhet, COSO, risk management, risk analys, internal control strategy.
2.4 Analys av insamlat material
Vi har valt att spela in intervjuerna för att ha möjlighet att gå tillbaka och ana-
lysera materialet ytterligare vid bearbetning och sammanställande av materi-
alet. När samtliga intervjuer genomförts har vi jämfört respondenternas svar
med varandra för att försöka måla bilden av hur arbetet med riktlinjerna för
intern kontroll ser ut inom Uddevalla kommun. Vi har samtidigt tagit i beak-
tande de kommuninterna dokument och övrig kompletterande information då
vi genomförde vår analys. Själva analysen har inte genomförts som en isole-
rad aktivitet, utan pågått under hela empiriavsnittet med start vid insamlingen
av det empiriska materialet.
Eftersom intervjuerna genomförts som mer eller mindre fria samtal med re-
spondenterna, har vi utgått ifrån vår intervjumall när vi sammanställt informat-
ionen från våra respondenter.
2.5 Kvalitetskriterier
För att bedöma kvaliteten hos en forskningsdesign tillämpas enligt Yin (2006,
sid. 54 – 59) vanligen fyra kriterier, nämligen begreppsvaliditet, intern validi-
tet, extern validitet och reliabilitet vilka beskrivs nedan:
Begreppsvaliditeten handlar om ”utformning av riktiga operationella mått för
de begrepp som studeras”. Med andra ord beskriver begreppsvaliditeten
överensstämmelsen mellan teoretiska begrepp och hur man i verkligheten
har operationaliserat dessa teoretiska begrepp.
Vi har intervjuat anställda inom Uddevalla kommun. Vi har även tagit del av
den information som står att finna i kommunens författningssamling, samt ett
antal andra kommunala dokument. Vi har valt att spela in samtliga intervjuer
för att i efterhand kunna gå igenom materialet på nytt utan att riskera att data
11
gått förlorat på vägen. I den utsträckning det är möjligt har vi använt Udde-
valla kommuns interna dokument för att verifiera den information vi fått fram.
Vi har därmed använt oss av flera empiriska källor för att nå så hög be-
greppsvaliditet som möjligt.
Den interna validiteten handlar om att kunna dra välgrundade slutsatser.
Det mätinstrument man använder ska fungera så att det mäter det man har
för avsikt att mäta.
Vi har valt ut ett flertal respondenter på olika nivåer inom kommunen för att få
olika synvinklar på intern kontroll inom kommunen. Samtliga respondenter är
väl insatta i kommunens arbete med den interna kontrollen och dess riktlinjer.
Vissa av respondenterna är beslutsfattare som är delaktiga vid framtagandet
av nya riktlinjer inom kommunen, andra medverkar i större grad vid det prak-
tiska arbetet och genomförandet av den interna kontrollen. För att nå så hög
intern validitet som möjligt har vi vid samtliga intervjuer använt samma inter-
vjuguide.
Den externa validiteten avgränsar det område till vilket studiens resultat kan
generaliseras. För att uppnå hög extern validitet behöver man samla in
material från rätt källor. I vårt fall handlar det om att intervjua personer som är
väl insatta i ämnet och som arbetar med intern kontroll inom vår valda orga-
nisation. Vidare har vi i våra slutsatser gjort vissa analytiska generaliseringar
utifrån de uppgifter som framkommit i vår studie. Dessa generaliseringar kan
få ett generellt värde först då vidare studier genomförs på andra enheter.
Dock är generaliserbarhet inte något som eftersträvats i studien.
Rapportens reliabilitet visar att undersökningens utförande kan upprepas av
andra forskare med samma resultat. Ju högre reliabilitet desto mindre
slumpmässig inverkan på resultatet.
Den guide vi har använt vid intervjuerna finns bifogad sist i denna rapport för
att en utomstående forskare ska ha möjlighet att bestyrka våra slutsatser ge-
nom att genomföra samma fallstudie. Dock måste man beakta en viss inter-
12
vjuareffekt eftersom intervjuerna genomförts personligen. Samma person har
ställt frågorna för att minimera intervjuareffekten och stärka reliabiliteten i vår
studie.
2.6 Metodproblem
En identifierad risk vid genomförandet av denna studie är att den författare
som är anställd av uppdragsgivaren, och som därigenom deltar i den dagliga
verksamheten inom kommunen, kan ha förbisett relevant information och
därigenom haft svårigheter med att korrekt återge information. Den andra
författaren har ingen tidigare erfarenhet av kommunal ekonomi och förvalt-
ning. Hennes ifrågasättande av information bör därför ha utjämnat riskerna.
2.7 Forskningsetiska aspekter
Vid studiens genomförande har vi informerat samtliga respondenter om vårt
syfte med studien och varför respektive respondent valts ut att delta i vår
studie. Vi har även informerat om att inspelning ägt rum, samt poängterat att
denna inspelning enbart kommer att avlyssnas av författarna till denna upp-
sats, och enbart i syfte att säkerställa att rätt information används vid sam-
manställande av det empiriska materialet. Vidare har samtliga respondenter
frivilligt medverkat i studien.
13
3 Teoretisk referensram
Massmedia har under de senaste 15-20 åren uppmärksammat ett antal fall
av misstänkta oegentligheter inom kommuner där till exempel chefer har ut-
nyttjat kommunens kontokort. Media framställer händelserna som om oe-
gentligheter inom kommunerna vore vanligt förekommande, vilket de i själva
verket inte är. Av alla som är offentligt anställda är det enligt Haglund, Stu-
resson och Svensson (2005, sid. 84) ytterst få som ens har möjligheten att
utnyttja system eller kontokort för egen vinning, och mindre än en promille
som faktiskt begår oegentligheter. Författarna menar att en övervägande ma-
joritet av de oegentligheter som förekommer faktiskt upptäcks, och att detta
är ett resultat av god intern kontroll inom kommunerna.
Det är dock viktigt att den som är offentligt anställd förstår att han eller hon
handhar medel för någon annans räkning eftersom kommunal verksamhet
handlar om förvaltning av medborgarnas skattepengar. Även om det är ett
fåtal som sysslar med oegentligheter bör kommuner vara tydliga med vad
som är tillåtet och vad som inte är tillåtet samt vilka rättsliga påföljder det får
för den som inte följer fastställda regler och policies.
De uppmärksammade ”affärerna” inom flera av landets kommuner har lett till
ökat fokus på intern kontroll inom kommunal verksamhet. Arwinge (2013)
menar att mycket handlar om förtroende i en organisation. Förtroende gör att
vi inte tycker att vi behöver kontrollera andra människor. Dilemmat ligger i att
det kan visa sig att förtroendet var oberättigat.
3.1 Ekonomistyrning & intern kontroll
3.1.1 Definition av begrepp
”Intern styrning och kontroll är generellt definierad som en
process, utförd av en organisations styrelse, ledning och an-
nan personal, utformad för att ge rimlig försäkran om att må-
len uppfylls…” (Wikland 2012a, kap 6)
14
De mål som Wikland syftar på är att uppnå effektivitet och produktivitet i
verksamheten, en tillförlitlig finansiell rapportering och att verksamheten följer
tillämpliga lagar och regler.
Enligt Svensson (2012, sid. 14) handlar styrning om att på ett positivt sätt
”påverka de som arbetar i en organisation i den riktning som de styrande
önskar”. Han menar vidare att begreppet intern kontroll delvis felaktigt kallas
just kontroll som ett resultat av en översättning från engelskans internal con-
trol, och att man i det engelska begreppet främst avser just styrning och inte
kontroll. Svensson menar att det är detta som är orsaken till att man när man
på svenska talar om intern kontroll ofta nämner ordet styrning i samma ande-
tag.
Författarparet Anthony och Govindarajan (2006) beskriver intern kontroll som
en process med syfte att ”motivera och inspirera medarbetarna i en organi-
sation att utföra aktiviteter som gynnar organisationens mål”. Författarna till-
lägger att processen även ska ”upptäcka och korrigera felaktigheter i age-
randet, som exempelvis olika former av viss användning av resurser”.
Författarna Haglund, Sturesson och Svensson (2005, sid 15) förklarar att
arbetet med intern kontroll bland annat innefattar att i de olika verksamhets-
processerna skapa rutiner och system som dokumenteras på ett bra och lätt-
förståeligt sätt. Rutinerna ska vara så väl dokumenterade att en kunskaps-
överföring vid personalförändringar enkelt ska kunna ske och att den sårbar-
het organisationer normalt utsätts för vid personalomsättning därigenom
minskar. Det är också genom detta arbete som felaktigheter inom redovis-
ning och även inom andra områden kan synliggöras. Även Aikins (2011, sid.
332) poängterar vikten av att noggrant dokumentera hur arbetsuppgifter ska
utföras steg-för-steg för att underlätta vid personalomsättning.
Carrington (2010, sid. 109) beskriver intern kontroll på liknande sätt. Även
han poängterar att ett väl fungerande system för intern kontroll är ”ett system
som inte lämnar utrymme för fel, misstag eller förvanskningar”.
15
3.1.2 Intern kontroll inom kommunal verksamhet
Kommunallagen 6 kap. 7§ beskriver nämndernas ansvar för den interna kon-
trollen i följande ordalag:
”Nämnderna skall var och en inom sitt område se till att
verksamheten bedrivs i enlighet med de mål och riktlinjer
som fullmäktige har bestämt samt de föreskrifter som gäl-
ler för verksamheten.
De skall också se till att den interna kontrollen är tillräcklig
samt att verksamheten bedrivs på ett i övrigt tillfredsstäl-
lande sätt.”
Ekonomistyrningsverket, ESV, är en central förvaltningsmyndighet som ut-
vecklar den ekonomiska styrningen för statliga myndigheter. Inom ESV besk-
rivs intern styrning och kontroll inom myndigheter som ”den process som
med rimlig säkerhet säkerställer att en myndighet fullgör sina uppdrag och
mål i enlighet med kraven i myndighetsförordningen”.
Inom en kommun handlar det alltså, liksom inom statliga myndigheter och
privata bolag, om att fastställda mål ska uppnås och dessa mål är då fast-
ställda av kommunfullmäktige. Målen omfattar att fastställa redovisningen så
att en tillförlitlig och rättvisande redovisning ges samt att säkra den informat-
ion som ges om verksamheterna i övrigt. Man ska också i den interna kon-
trollen säkerställa att lagar, fastställda policies och reglementen tillämpas på
korrekt sätt samt att det inte förekommer förstörelse av kommunens till-
gångar. Det som eftersträvas är skydd mot ekonomisk förlust.
3.1.3 Syftet med intern kontroll
En organisation ska ha så bra kontrollrutiner att skydd finns mot förlust eller
förstörelse av organisationens tillgångar. Det kan gälla kontanter och värde-
16
papper men även många andra stöldbegärliga tillgångar som hanteras i
verksamheten (Haglund, Sturesson & Svensson, 2001, sid. 15).
Den interna kontrollen ska med andra ord bidra till att eliminera såväl avsikt-
liga som oavsiktliga felaktigheter. Oavsiktliga fel kan till exempel vara att man
av misstag knappar in fel siffror vid registrering av affärstransaktioner i orga-
nisationens ekonomisystem, eller att en post som ska bokföras i debet av
misstag hamnar i kredit. Med avsiktliga fel avses att en person medvetet för
egen eller annans vinning utför handlingar som inte är tillåtna. Att helt ute-
sluta felaktigheter i en verksamhet är i det närmaste omöjligt men de rutiner
som finns ska hjälpa personal att så långt möjligt undvika oavsiktliga fel. Att
skydda en verksamhet mot avsiktliga fel kräver ett mer sofistikerat kontrollsy-
stem där ansvar och befogenheter är tydligt fördelade (Haglund, Sturesson &
Svensson, 2001, sid 15).
På liknande sätt tar Aikins (2011) upp betydelsen av intern kontroll men då
inom statliga och lokala myndigheter i USA. Även bland Sveriges medbor-
gare finns ett ökande behov av offentliga tjänster vilka betalas med skatte-
medel. Stat, kommun och landsting behöver därmed ha kontroll över ekono-
min. Vidare menar Aikins att den interna kontrollen är nyckeln för statliga och
kommunala myndigheter för att maximalt kunna utnyttja de ekonomiska re-
surserna och upptäcka bedrägerier på bästa sätt (Aikins, 2011, sid. 306).
3.1.4 Att lyckas med den interna kontrollen
Arbetet med intern kontroll skiljer sig inte nämnvärt mellan kommunal verk-
samhet och privata företag. I båda fallen står ledningen till svars för organi-
sationens prestationer – i fallet med privata bolag gäller det främst inför
ägarna, inom kommuner gäller det i första hand inför kommunens invånare. I
båda fallen går den interna kontrollen ut på att förhindra felaktigheter och
minimera risker.
För att uppnå en bra och fungerande intern kontroll belyser Carrington (2010,
sid. 114-116) bland annat god dokumentation till exempel i form av manualer
17
och arbetsbeskrivningar. Haglund, Sturesson & Svensson (2010, sid. 15)
åskådliggör samma angelägenheter och lägger dessutom till vikten av att
personalen måste få information och kunskap om syftet med och de olika
beståndsdelarna i den interna kontrollen. Den ska inte bara tjäna som ett
skydd för organisationen, utan även för de anställda i frågor om misstankar
om oegentligheter. Man bör därför se till att den interna kontrollen implemen-
teras i verksamhetsprocesserna på ett naturligt sätt.
Kommuner har många olika policydokument, reglementen, ekonomistyr-
ningsprinciper och andra styrdokument som verksamheterna ska följa. Om
ingen kontrollerar att alla de styrdokument som finns efterlevs, kommer dock
inte den avsedda styrningseffekten att uppnås (Haglund, Sturesson &
Svensson, 2001, sid. 18). Arwinge (2013) tar upp problematiken med att ar-
betet med den interna kontrollen kan bli en fråga som stannar hos ledningen.
Han låter förstå att om arbetet går på rutin blir det bara en skrivbordsprodukt
som inte får fotfäste i verksamheten.
Vid framtagning av styrdokumenten ska hänsyn tas till många olika faktorer.
De personer som medverkar till att ta fram styrdokument behöver ha god
kännedom om hur verksamheten fungerar för att kunna skriva ner relevanta
mål och arbetsrutiner. Det är även viktigt att involvera annan personal än an-
ställda vid exempelvis huvudkontor eller centralorganisation för att uppnå ett
lyckat arbete med intern kontroll (Svensson, 2012,sid. 59-60).
Framtagande av internkontrollplaner och policydokument med mera är oftast
inte det svåraste arbetet. När arbetet kommit så långt att man ska ”få med
alla på internkontrolltåget” börjar det stora arbetet. För att lyckas med arbetet
med den interna kontrollen inom kommunal verksamhet nämner Haglund,
Sturesson & Svensson (2005, sid. 101-105) ett antal olika faktorer. Vi har valt
att speciellt belysa engagemang hos ledning och politiker, information och
utbildning, ett vidgat perspektiv på intern kontroll samt regelbunden översyn
av policydokument och regler.
18
Att engagemang hos ledning och politiker är viktigt borde inte vara en över-
raskning ens för den som inte är insatt i organisationen. På så gott som alla
arbetsplatser sätter cheferna stor prägel på arbetsmiljön – en chef utan fokus
på intern kontroll inspirerar knappast medarbetarna till att lägga ner själ och
hjärta i ämnet.
Information och utbildning handlar om att skapa acceptans och förståelse
hos personalen för vikten av intern kontroll. Det handlar även om att tydlig-
göra vilka policies och styrdokument som finns att följa inom verksamheten.
Om tid och resurser finns, kan man med fördel samla personalgruppen i en
gemensam utbildning för att säkerställa att all personal får samma informat-
ion samtidigt. (Haglund, Sturesson & Svensson, 2005, sid. 104).
Ett vidgat perspektiv på intern kontroll innebär att all fokus inte läggs på eko-
nomiska aspekter, utan att även andra delar inom verksamheten behandlas
(Svensson, 2012, sid. 59). Det kan till exempel gälla systematiskt arbetsmil-
jöarbete, uppföljning av balanserade styrkort samt riktlinjer vid anställning av
ny personal för att nämna några. Den offentliga sektorn ska, enligt Aikins,
tillhandahålla offentliga tjänster på ett effektivt och lönsamt sätt och arbeta för
att de övergripande målen inom organisationen nås (2011, sid. 3).
Att ha en regelbunden översyn av policydokument och regler innebär kort att
med jämna mellanrum uppdatera de dokument som behöver förändras för att
passa verksamheten samt att rensa bort de dokument som inte längre är ak-
tuella. Detta främst för att hålla regelverket hanterbart för användarna (Hag-
lund, Sturesson & Svensson, 2005, sid 104).
Även Rittenberg, Martens och Landes (2007, sid. 47) belyser vikten av att
riktlinjerna för den interna kontrollen inte blir statiska, utan hela tiden uppdat-
eras i takt med att omvärlden och riskerna däri förändras. Författarna menar
att organisationer behöver ha tydliga rutiner för såväl bedömning av riskerna
som översyn och uppdatering av riktlinjerna. De principer som författarna
hänvisar till är i grunden de fem komponenterna i COSO-modellen. Policydo-
kument ska vara så levande att de med tiden ingår i den dagliga rutinen. En-
19
ligt Atwood, Raiborn & Butler (2012, sid. 33) är illusionen att statiska riktlinjer
för intern kontroll fungerar i en föränderlig omvärld lika banal som att utveckl-
ingen skulle stanna bara för att den ignoreras.
Arbetet med intern kontroll genomgår ständig förändring och behöver lö-
pande uppdateras så att den följer det utvecklingsarbete som ständigt sker
inom kommunen. Som exempel kan nämnas förändringen av fakturahante-
ring, där de flesta kommuner och större företag har gått från pappersfakturor
med skriftliga attester till e-fakturor som digitalt ska godkännas och attesteras
av två olika personer. Detta som ett led i att samhället allt mer digitaliseras
men även för att man genom denna hantering ska undvika oegentligheter
(Haglund, Sturesson & Svensson, 2005, sid. 100).
3.2 COSO-modellen
Den så kallade COSO-modellen är en relativt ny modell i arbetet med intern
kontroll (Haglund, Sturesson & Svensson, 2005, sid 27). Modellen togs fram
under 1990-talet i USA av Coopers & Lybrand, nuvarande PWC, och rappor-
ten som beskriver modellen fick namnet COSO-rapporten (The Commitee of
the Sponsoring Organizations of the Treadway Commission). Den initiala
grundtanken med modellen kvarstår men har omarbetats något under åren.
Det är en modell som kan användas inom både privat och offentlig verksam-
het, samt i såväl små som stora företag.
Den interna kontrollen ska enligt Haglund, Sturesson och Svensson vara ett i
verksamhetsprocesserna integrerat hjälpmedel för att nå uppsatta mål. Det
är också därför som alla, politiker såväl som anställda, bör vara utbildade och
involverade i arbetet med den interna kontrollen.
Även Rittenberg, Martens och Landes (2007, sid. 49) framhåller att COSO-
modellen innehåller grundläggande principer som ska ge hjälp och
vägledning till en bra intern kontroll. Principerna ska därmed inte ses som en
checklista utan som en grund att använda för att kunna upptäcka och
förhindra felaktigheter inom organisationen.
20
COSO-modellen identifierar fem olika komponenter som är nödvändiga för
att säkra en effektiv intern kontroll:
Kontrollmiljön är den första komponenten och utgör det som omfattas av
den interna kontrollen. Det kan till exempel handla om fördelningen av ansvar
och befogenheter, redovisningssystem och företagets ståndpunkt i etiska
frågor (Carrington, 2010, sid. 110),
Om inte kontrollmiljön fungerar är det svårt att få till stånd en fungerande in-
tern kontroll. Viktiga aspekter som påverkar och utvecklar kontrollmiljön är till
exempel ”det sociala systemet” vilket handlar om personalens kompetens,
attityd och värderingar, företagsklimatet och ledningens styrning. Vidare på-
verkar reglementen, policydokument och riktlinjer, politik, bra tekniska hjälp-
medel, dataprogram med mera. Intern kontroll bör därför innefatta en hel-
hetssyn kring allt ovan. (Haglund, Sturesson & Svensson, 2005, sid. 31)
Den andra komponenten, riskanalys, handlar om att identifiera och analy-
sera relevanta risker. Inom alla typer av organisationer finns en risk för ovän-
tade eller otillbörliga händelser. Haglund, Sturesson & Svensson (2005, sid
33-35) nämner några exempel på risker som kommunen kan utsättas för;
o Någon som inte är behörig beställer varor eller tjänster.
o Fakturor manipuleras på olika sätt så att pengar blir felaktigt utbetalda.
o Fakturaregister raderas
o Hackers tar sig in i datasystemen och får tillgång till eller förstör data.
Bland faktorer som kan påverka sannolikheten för att felaktigheter inträffar
nämns bristande rutiner, brist på kompetens hos personalen samt avsaknad
av utförlig dokumentation. Arbetet med den interna kontrollen bör sträva efter
att eliminera risker som kan drabba verksamheten. (Haglund, Sturesson &
Svensson, 2005, sid. 33-35)
21
Kontrollaktiviteter är det som oftast avses när man till vardags talar om
intern kontroll. Denna komponent handlar bland annat om avstämningar av
redovisning samt säkerställande av att rutiner efterlevs och att ledningens
direktiv genomförs (Carrington, 2010, sid. 111). Kontrollaktiviteterna är de
åtgärder som vidtas för att minimera eller i bästa fall eliminera risker (Hag-
lund, Sturesson & Svensson, 2005, sid. 47).
Som fjärde komponent nämns information och kommunikation, där
tyngdpunkten ligger på att de individer som arbetar i organisationen fångar
upp relevant information om till exempel brister i rutiner och vidareförmedlar
denna information uppåt i organisationen. Om policydokumenten förändras
är det även viktigt att information- och kommunikationsflödet går nedåt i or-
ganisationen (Haglund, Sturesson & Svensson, 2001, sid. 45-46).
Övervakning, uppföljning och utvärdering utgör den sista av COSO-
modellens fem komponenter i den interna kontrollen. Att upprätta ett bra sy-
stem för intern kontroll hjälper föga om företaget inte lägger resurser på att
se till att detta system fungerar tillfredsställande (Carrington, 2010, sid. 113).
3.3 Risk & väsentlighet
En ledning som har bra kunskap om sin interna kontroll inser att de aldrig kan
få ett 100-procentigt skydd eftersom kostnaderna för detta skulle vara för
hög. Kostnaden för den interna kontrollen måste därför vägas mot vilken nivå
av säkerhet ledningen vill ha (Atwood, Raiborn & Butler, 2012, sid. 36).
Tsay (2010, sid. 56) framhåller att COSOs ramverk kan användas som ett
verktyg för att identifiera och prioritera riskerna. När riskerna identifierats och
graderats ska anvisningar och rutiner nedtecknas så de kan följas av all per-
sonal.
Haglund, Sturesson och Svensson (2005) nämner ekonomisk betydelse som
ett kriterium att ta hänsyn till vid bedömningen av risker och deras väsentlig-
het. Nyttan av den interna kontrollen bör med andra ord överskrida riskerna
22
med att inte ha en väl fungerande intern kontroll. Att införa en kontroll som
inte leder till någon större vinst av vare sig ekonomisk eller annan vinning
fyller ingen funktion.
Även Koutoupis (2007, sid. 23) tar upp den ekonomiska aspekten av riskbe-
dömningen, och menar att de kontroller som genomförs måste minska ris-
kerna för felaktigheter till en acceptabel nivå men till en rimlig kostnad. Han
anser även att riskerna ska dokumenteras för att undvika bedrägerier men
även för att kunna identifiera vilka kontroller som bör göras för att kunna han-
tera dessa risker.
Riskhantering är konsten av god företagsstyrning menar Vijayakumar och
Nagaraja (2012, sid. 2). Det finns alltid en risk att något inträffar som kommer
att påverka uppnåendet av uppsatta mål och att detta mäts i termer som på-
verkan och sannolikhet. Författarna menar vidare att detta är en del av pro-
cessen att identifiera och gradera riskerna och utifrån denna process bygga
ett ramverk för att hantera riskhanteringen. Ett effektivt system för intern kon-
troll har stor betydelse för organisationen, men författarna anser också att
sunt förnuft och bra omdöme hjälper organisationen att uppnå uppsatta mål.
3.4 Att upprätta ett system för intern kontroll
Som ett första steg vid upprättandet eller förändringsarbetet av intern kontroll
bör organisationen ha klart för sig vad den vill uppnå med den interna kon-
trollen. Det kan till exempel handla om ökad lönsamhet, effektivisering av
verksamheten eller att komma åt oegentligheter. Då förändringsarbetet med
det interna kontrollsystemet kan vara omfattande och tidskrävande rekom-
menderas att arbetet sker i projektform (Wikland, 2012a, kap. 9). Vijayaku-
mar och Nagaraja (2012, sid. 2) tillstår att den interna kontrollen ska brukas
för att övervaka verksamheten i organisationen och hjälpa till att uppnå upp-
satta mål. En effektiv övervakning ska uppmuntra till att organisationen an-
vänder de resurser som finns på bästa möjliga sätt.
23
Organisationer kan nå högre effektivitet genom att inse vinningen av att de
dagliga aktiviteterna så småningom blir en del av den ekonomiska rapporte-
ringen. Rittenberg, Martens och Landes (2007, sid. 49) menar att god och
effektiv intern kontroll över det dagliga arbetet kommer att leda till att proces-
serna kring den finansiella rapporteringen effektiviseras över tid. Detta be-
styrker Vijayakumar och Nagaraja (2012) och förklarar att den interna kon-
trollen ska vara integrerad i processer för att rimliga garantier ska kunna ges
om att verksamheten bedrivs på ett ändamålsenligt och effektivt sätt.
Rittenberg, Martens och Landes (2007, sid. 50) belyser även vikten av
dokumentation av den interna kontrollen. Dokumentationen är enligt Ritten-
berg, Martens och Landes bra att använda dels som grund för utbildning av
ny personal och dels som ett bevis för ledningen att de kontroller som görs
fungerar effektivt. Författarna menar att många organisationer blir förvånade
när de upptäcker att deras interna kontroll inte fungerar effektivt och förfat-
tarna framhåller att orsaken många gånger är otillräcklig dokumentation.
Genom egenanalys inom ledningsgrupp eller utsedd projektgrupp kan man
komma fram till styrkor och svagheter som organisationen behöver arbeta
vidare med. Arbetsstegen i denna analys består av att identifiera, värdera
och prioritera riskerna. Efter denna analys är det läge att vända sig till de
personer i organisationen som utför arbetsuppgifterna som innehåller definie-
rade risker. Genom diskussioner, workshops med mera kan många bra för-
slag på förbättringar komma fram. Man kan sedan välja att utgå från ”brutto-
risken”. Detta innebär att arbeta förutsättningslöst utan att ta hänsyn till de
kontroller och åtgärder som redan existerar. Ett alternativ är att utgå från
”nettorisken”. Då ligger fokus på att bygga vidare på och förbättra de kontrol-
ler som redan finns. (Wikland, 2012a, kap. 9).
Tsay (2010, sid. 55) beskriver vikten av att organisationer har en intern grupp
som arbetar med intern kontroll. Organisationen kan spara pengar genom att
ha kompetent och objektiv personal och därmed inte behöva anlita externa
experter. Vidare menar Tsay att det är ledningens attityd till det interna kon-
trollsystemet som sätter ”tonen” i organisationen och som påverkar hur med-
24
arbetarna väljer att följa rktlinjer och samarbeta i frågor som rör intern kon-
troll.
Arwinge (2013) tillstyrker i sin avhandling vikten av företagsledningens attityd
och ton till intern kontroll. Arwinge menar vidare att vetenskapliga studier
också har påvisat vikten av ledningens inställning till risktagande och allmän
affärspraxis för att främja en sund inställning i resten av organisationen.
3.5 Fallgropar i COSO-modellen?
Trots sin utbredning finns kritik mot den vida använda COSO-modellen.
Bland annat menas att modellen är stelbent och formulerad på ett perfek-
tionistiskt klichéartat sätt (Weick, 1993 se Power, 2007, sid. 155). Detta me-
nar författaren kan bidra till att man i en organisation har svårt att hitta rätt
väg att gå när man behöver vara flexibel. Detta helt enkelt för att en standar-
diserad modell hämmar det kritiska tänkandet hos individen. Han menar
också att modellen ställer orimligt höga krav på en organisations förmåga att
övervaka sin egen verksamhet samt att modellen saknar relevans för det
dagliga arbetet i en organisation (Power, 2007, sid. 79).
Även Shaw (2006, sid. 75) skriver om problemen med COSO och menar
bland annat att ramverket enligt kritiker bara är ett principbaserat dokument
och inte lämpligt för användning vid intern kontroll. Författaren menar vidare
att ramverket kan verka ostrukturerat, då många varit inblandade vid framta-
gandet och sammanställningen. Enligt en undersökning bland läsarna av tid-
skriften CFO använder 75 procent kompletterande ramverk eftersom man
anser att COSO-modellen är alltför komplicerad.
Wikland (2012b, sid 9) poängterar å andra sidan att COSOs riktlinjer ska ses
som just riktlinjer, inte givna regler, och måste anpassas till den aktuella
verksamheten. Wikland (2009, sid 8) menar även att COSOs standard för
intern styrning och kontroll, trots sin utbredning, inte etablerats fullt ut och att
man tillsammans med det ”hårda” ramverket, det vill säga de formella styr-
nings- och kontrollstrukturerna, måste använda de ”mjuka” kontrollerna, som
25
bland annat handlar kommunikation i organisationen och ledningens sätt att
leda.
Wikland (2009, sid. 9-10) pålyser vikten av att se COSOs ramverk som ett
stöd, och att kanske den viktigaste aspekten när man tillämpar COSO hand-
lar om att se intern kontroll för organisationen som en helhet. Det handlar inte
bara om fysiska kontroller av arbetsmoment, utan även om att kommunicera
och få samtliga anställda att inse meningen och nyttan med intern kontroll,
samt att anpassa COSOs ramverk till den egna verksamheten. Rittenberg,
Martens och Landes (2007, sid. 46) har skrivit artikeln Internal control
guidance med utgångspunkt att COSO-modellen ska ses precis på det sättet
– som en vägledning. Både stora och små organisationer ska kunna använda
COSOs ramverk som vägledning i arbetet med den interna kontrollen.
3.6 Konceptuell modell
Vår studie handlar om intern kontroll och syftet med uppsatsen är att studera
rutiner och policies för intern kontroll inom Uddevalla kommun. För att lyckas
med våra mål har vi börjat med att definiera begreppen ekonomistyrning och
intern kontroll och därigenom ge en bra bakgrund till varför arbetet med in-
tern kontroll är viktigt inom organisationer.
Därefter har vi valt att presentera COSO-modellen, som är ett utbrett ramverk
för arbetet med intern kontroll inom organisationer över hela världen. Mo-
dellen används även inom Uddevalla kommun, varför vi ansåg det nödvän-
digt att presentera denna modell i vår uppsats. Vi har valt att speciellt belysa
begreppen risk och väsentlighet eftersom de är viktiga och centrala aspekter
inom intern kontroll.
Då vår studie koncentrerar sig på de riktlinjer och policies som finns inom
Uddevalla kommun, snarare än arbetet med intern kontroll i stort, har vi även
valt att presentera hur man teoretiskt sett upprättar ett system för intern kon-
troll, samt hur arbetet med rutiner och policies bör gå till. Dessa delar utgör
grunden till vår intervjuguide.
26
Slutligen har vi tagit upp exempel på den kritik som finns mot COSO-
modellen. Detta har vi gjort för att visa att ingen teoretisk modell är fulländad
och att kritiskt granskande måste tillämpas då teoretiska modeller omsätts i
praktiken.
Med hjälp av denna teoretiska referensram kommer vi att beskriva Uddevalla
kommuns arbete med riktlinjer och policies för intern kontroll.
27
4 Empiri
4.1 Bakgrundsfakta Uddevalla kommun
Uddevalla kommun ligger i Västra Götalands Län i landskapet Bohuslän.
Kommunen har ca 52 000 invånare (SCB, 2013) och styrs idag av en politisk
majoritet bestående av Moderaterna, Kristdemokraterna, Folkpartiet, Center-
partiet och Miljöpartiet (Uddevalla, 2013a).
Figur 1Organisationschema Uddevalla kommun
Kommunfullmäktige är kommunens högsta beslutande organ. Det är full-
mäktige som tar beslut i alla principiella frågor. Här fastställs även mål och
riktlinjer för kommunens verksamhet. Ledamöterna utses genom allmänna
val vart fjärde år.
Direkt under kommunfullmäktige i organisationsschemat finns kommunsty-
relsen som är kommunens politiska ledningsorgan och som tjänar som
kommunens regering. Kommunstyrelsen ska leda förvaltningen av kommu-
nens angelägenheter.
Kommun-fullmäktige
Kommun-styrelse
Barn och utbildnings-nämnden
Kultur och fritids-
nämnden
Miljö och stadsbyggnads
nämnden
Patient-nämnden
Social-nämnden
Tekniska nämnden
Val-nämnden
28
Respektive nämnd svarar för förvaltningen av sitt ansvarsområde (Uddevalla
2013a). Kommunens organisation är uppdelad i sju nämnder;
Barn och utbildningsnämnden
Kultur och fritidsnämnden
Miljö och stadsbyggnadsnämnden
Patientnämnden
Socialnämnden
Tekniska nämnden
Valnämnden
Fram till år 2006 drevs kommunen decentraliserat, vilket innebar att varje
förvaltning utgjorde en självständig balansräkningsenhet. År 2006 ändrades
detta till att bli mer centraliserat. Som beskrivs i kommunens ekonomistyr-
ningsprinciper bygger organisationen idag på ett ”decentraliserat arbetssätt
med en central styrning av gemensamma utgångspunkter för vissa delar av
den ekonomiska förvaltningen” (UaFS, sid. 3). Därmed får balansräknings-
enheter inom Uddevalla kommun endast förekomma för avgiftsfinansierade
enheter, såsom kommunens VA-verksamhet. Fortfarande är varje nämnd en
egen resultatenhet som ansvarar för kostnader och intäkter, och som upprät-
tar en egen resultaträkning för verksamhetsperioden.
4.2 Arbetet med riktlinjer för intern kontroll i Uddevalla
kommun
4.2.1 En ny struktur
Enligt Kenneth Erlandsson, ekonomichef på Uddevalla kommun, har kom-
munen i stort sett alltid arbetat med intern kontroll. Dock gjordes i början av
2000-talet en stor genomgång av rutinerna kring den interna kontrollen och
ett antal policies och riktlinjer skapades. Dessförinnan hade intern kontroll
varit ett odefinierat område i kommunen.
29
Vid framtagandet av dessa policies och riktlinjer berättar Kenneth även att
kommunen valde att arbeta efter COSO-modellen. Anledningen till detta var
att man ansåg att modellen var till stor hjälp för att systematisera arbetet med
intern kontroll, samt att det fanns användbara modeller att implementera i
verksamheten. Att strukturera den interna kontrollen var enligt Kenneth också
ett sätt för politikerna att säkerställa att förutsättningar givits för hur kommu-
nen skulle bedriva en effektiv intern kontroll. Kenneth menar att intern kontroll
är något som måste finnas, samtidigt pålyser han att mycket av den interna
kontrollen sker utan att man tänker på det i vardagen.
4.2.2 Kommunens olika styrande dokument
Vad gäller kommunens styrande dokument finns en uttalad struktur. Kenneth
beskriver att de övergripande styrande dokument kallas riktlinjer och fast-
ställs av kommunfullmäktige. Samma klargörande får vi från Marie Jensen,
ekonom och ansvarig för internkontrollgruppen. I de fall de styrande doku-
menten antas av kommunstyrelsen benämns de bestämmelser.
Varje förvaltning ska därefter anpassa dessa riktlinjer/bestämmelser till den
egna verksamheten och skriva ner regler som mer i detalj beskriver hur man
ska arbeta inom förvaltningen. Som respondenterna beskriver det får förvalt-
ningens regler givetvis inte gå emot bestämmelserna eller riktlinjerna, utan
ska tjäna som en vidareutveckling av riktlinjerna och bestämmelserna och
anpassas till den egna verksamheten. I korta ordalag beskriver Marie att
kommunfullmäktige tar fram VEM som har ansvaret och kommunstyrelsen
HUR det ska genomföras.
På kommunens hemsida finns kommunens styrande dokument samlade i en
författningssamling. Här återfinns samtliga styrande dokument i bokstavsord-
ning och de utgör ca 165 stycken till antalet. Flera av våra respondenter ut-
trycker att det ibland upplevs svårt att hitta bland dokumenten. I vissa fall
upplever våra respondenter att det borde finnas en policy i ett visst ämne. Vid
en närmare granskning av författningssamlingen finner vi att det faktiskt re-
dan existerar en sådan.
30
Samtliga respondenter belyser internkontrollplanen som det verktyg nämn-
derna i praktiken använder för att sammanställa och åskådliggöra de punkter
i den interna kontrollen som man fäster extra vikt vid under innevarande år.
Vilka dessa punkter är bestämmer respektive nämnd själv utifrån de brister
man funnit i översynen. Planen innehåller förutom vilken process/rutin som
ska kontrolleras även information om vem som är kontrollansvarig, vilket kon-
trollmoment som ska genomföras, hur och hur ofta kontrollen ska genomfö-
ras samt vart återrapporteringen ska ske.
Varje nämnd inom Uddevalla kommun upprättar sin egen internkontrollplan,
genomför de interna kontrollerna samt beslutar om fastställande av den ut-
förda kontrollen. Det är tjänstemän som utför kontrollerna men vid beslut om
fastställande av den genomförda interna kontrollen görs en redogörelse för
politiker vilka sedan beslutar om årets interna kontroll kan fastställas (UaFS
15/2005).
Christin Slättmyr arbetar som verksamhetsutvecklare på Kultur och fritidsför-
valtningen. Hon är även politiker i en annan kommun och understryker att
den interna kontrollen är ett av de få styrinstrument politikerna har för att
styra verksamheten inom kommunen. Hon menar att det därför är viktigt att
tjänstemännen arbetar tillsammans med nämndpolitikerna så att man inom
verksamheten är medveten om varför den interna kontrollen genomförs, vilka
punkter som är aktuella för året samt varför just dessa punkter har ett ökat
fokus i internkontrollplanen. Christin påtalar också vikten av att den interna
kontrollen är ett levande dokument.
Thomas Davidsson, chefsekonom Barn och utbildningsförvaltningen, uttryck-
er samma åsikt och lägger samtidigt till att de ekonomiska rutinerna kontrolle-
ras löpande, medan större frågor i internkontrollplanen inte lika ofta fångas
upp i vardagen; ”Den interna kontrollen ska vara ett levande dokument, men
på förvaltningen arbetar vi mest med den under ett par månader.”
31
4.2.3 Kontrollmiljön i Uddevalla kommun
Kontrollmiljön i Uddevalla kommun utgår ifrån dokumentet Riktlinjer för intern
kontroll för Uddevalla kommun (UaFS 15/2005). I detta dokument, fastställt
av kommunfullmäktige, beskrivs hur organisationen av och ansvaret för den
interna kontrollen är fördelade mellan kommunstyrelsen, nämnderna, förvalt-
ningscheferna, verksamhetsansvariga och övriga anställda. Riktlinjerna be-
skriver även övergripande hur uppföljningen av den interna kontrollen ska
genomföras.
Kommunstyrelsens bestämmelser gällande regler för intern kontroll återfinns
i ”Bestämmelser till riktlinjer för intern kontroll” (UaFS 16/2005). Detta doku-
ment är en vidareutveckling av riktlinjen och är skriven i något mer detalje-
rade ordalag, dock fortfarande ganska övergripande och utan handfasta in-
struktioner för rutinerna kring den interna kontrollen.
Vad gäller mer detaljerad information kring den interna kontrollen och
kontrollmiljön finns olika bestämmelser. Dessa av kommunstyrelsen fast-
ställda bestämmelser finns i en rad olika ämnen, såsom rekrytering, systema-
tiskt arbetsmiljöarbete och användande av tjänstefordon. Dessutom finns av
kommunfullmäktige fastställda policies och riktlinjer som behandlar till exem-
pel internhyra, konkurrensprövning, avgiftsfri parkering för miljöfordon, och
upphandling. I ett försök att förenkla för läsaren och för användarna inom
Uddevalla kommun, finns dokumentet ”Riktlinjer för terminologi för olika styr-
dokument” som ska förklara vilka dokument som existerar efter beslut av
kommunfullmäktige, och vilka som genereras i kommunstyrelsen.
Enligt Kenneth arbetar ekonomiavdelningen inom kommunen hårt med ruti-
nerna kring den interna kontrollen. Han beskriver vikten av att allting bokförs
på rätt sätt och att kommunen upprätthåller god redovisningssed för att sä-
kerställa att det finns jämförbara siffror och rapporter år från år. Samma in-
formation får vi från Thomas, som lägger till att personalen ibland kan ge in-
trycket av att intern kontroll uppfattas som rutinmässigt, en "pålaga" och "nå-
32
got som måste uträttas". Marie anser att arbetet med intern kontroll inte skuf-
fas undan av andra ärenden, utan tas på allvar.
4.2.4 Risk och väsentlighet
Risk och väsentlighet nämns av alla våra respondenter vid flera tillfällen och
det är påtagligt att denna komponent ses som en viktig del i processen. He-
lena Olsson, tillförordnad redovisningschef, förklarar att om det är stor risk att
något går fel, är det viktigt att lägga ner arbete på det. Ibland handlar det inte
om så många felaktiga fakturor, men å andra sidan väldigt stora belopp. Då
punkterna i internkontrollplanen ofta behandlar andra frågor än ekonomiska
rutiner, handlar därför risken allt mindre om diskussion av pengar.
Som exempel nämner Thomas att ett av verksamhetsmålen för Barn och ut-
bildningsnämnden är att alla elever ska avsluta årskurs 9 med behörighet till
gymnasiet. Om elever i årskurs 9 inte uppnår målen för att komma in på
gymnasiet, är den viktigaste risken inte vad det kostar i pengar, utan hur man
kan arbeta för att alla elever ska ha behörighet till gymnasiet (systematiskt
kvalitetsarbete). Ytterligare exempel på risker som hanteras är enligt Kenneth
felaktigt användande av kommunens mobiltelefoner. Att kontrollera kommu-
nens alla mobiltelefonräkningar för att se om någon ringt två samtal av privat
karaktär skulle komma att kosta mer än man vinner på att skicka ut en fak-
tura på motsvarande belopp till mobilinnehavaren. Inom kommunen vägs
enligt samtliga våra respondenter kostnaden för kontroll med vinsten av att
upptäcka felaktigheter.
Enligt Helena lägger man inom kommunen ner mycket energi på att lägga in
så mycket interna kontroller som möjligt i det dagliga arbetet så att stickprov
inte ska behöva göras. Som exempel nämner hon att man vid skifte av eko-
nomisystem har byggt in spärrar för att försöka förhindra medvetna och
omedvetna fel. Helena är medveten om att man aldrig kan bygga bort alla
risker, men menar att en hel del av arbetet med intern kontroll är avklarat
genom att bygga ekonomisystemet rätt från början.
33
Ekonomerna inom Uddevalla kommun arbetar löpande med att till exempel
skapa överskådlighet över kostnader och intäkter. Helena nämner bygget av
det nya IKEA-varuhuset i kommunen som exempel, där konteringarna för
byggandets olika affärstransaktioner styrs med hjälp av koder i affärssyste-
met. På detta sätt kan man enkelt följa prognoserna för olika delar även i
mycket omfattande projekt.
Helena menar vidare att mycket arbete därför läggs på att ha bra rutiner kring
redovisningen i stället för att lägga tid på att granska att fakturor konterats på
rätt sätt. Förr skulle det kontrolleras att rätt person attesterat fakturan – detta
hanteras idag automatiskt i affärssystemet. Alla respondenter är eniga om att
frågor som rör dagliga ekonomiska rutiner får allt mindre fokus eftersom
många av dessa punkter har arbetats bort genom det förbättrade och moder-
na affärssystem som köpts in.
4.2.5 Att kommunicera i en stor organisation
Samtliga respondenter är även eniga om att det är svårt att se till att all in-
formation kommer ut i organisationen på rätt sätt. De är även överens om att
det finns brister i kommunens rutiner vad gäller informationsflödet i organisat-
ionen. En av anledningarna som nämns är att Uddevalla kommun, liksom
många andra offentliga organisationer, är en stor organisation med många
anställda vilket gör effektiv information och kommunikation till tuffa utmaning-
ar för ledningen. Kenneth nämner även personalomsättning som en kritisk
punkt vad gäller att upprätthålla kunskapen om rutiner och riktlinjer.
Helena påtalar att ekonomiavdelningen ibland brister när det gäller att ta fram
anvisningar och instruktioner för exempelvis användning av affärssystemet.
Arbetet med anvisningar och instruktioner har påbörjats men hamnat lite i
skymundan under kommunens byte av affärssystem.
Respondenterna beskriver flera olika kanaler för att sprida information om
intern kontroll inom kommunen. Kenneth menar att en anledning till de
många kanalerna är att man inte vill "bombardera" en och samma person
34
med information som inte berör den personens arbetsuppgifter. I stället vill
man att information i så stor utsträckning som möjligt ska spridas genom rätt
kanaler.
När förändringar eller uppdateringar sker i policydokumenten, skickas denna
information enligt Kenneth till berörda instanser, till exempel ekonomer om
ärendet gäller en ekonomifråga. Avsändaren utgår därefter ifrån att informat-
ionen sprids vidare, men kontrollerar aldrig att så är fallet. Kenneth poängte-
rar åter igen att problemet som man brottas med är att organisationens stor-
lek gör det svårt att säkerställa informationsflödet på ett bra sätt. Att sprida
information borde enligt Kenneth nästan vara en egen punkt i den interna
kontrollen; "Hur har vi sett till att information har gått ut?"
4.2.6 Internkontrollgruppen och dess uppgift i organisationen
I Uddevalla kommun har varje förvaltning en representant i kommunens in-
ternkontrollgrupp. Marie är sammankallande för internkontrollgruppen, som
har till uppgift att hålla ihop det formella arbetet med intern kontroll inom
kommunen och att driva arbetet framåt. Gruppen ska enligt Marie även se till
att varje nämnd upprättar sin internkontrollplan årligen, skriva anvisningar vid
behov samt se till att de punkter som är gemensamma frågor för hela kom-
munen återfinns i samtliga nämnders internkontrollplaner för året.
När nämnderna utfört sina kontroller återrapporterar man till Marie som se-
dan sammanställer samtliga nämnders rapporter och vidareförmedlar dessa
till kommunstyrelsen. Skulle någon nämnd inte återrapportera i tid fångas
detta upp av Marie, som vidareförmedlar informationen uppåt i organisation-
en. När så den saknade rapporten är färdigställd vidareförmedlas även den
till kommunstyrelsen.
Både Thomas och Christin sitter med i internkontrollgruppen där Marie är
sammankallande. Genom intervjuerna får vi veta att medlemmarna i intern-
kontrollgruppen känner en viss frustration över att arbetet inte drivits framåt
på det sättet som det är tänkt. Av olika anledningar har gruppen inte haft
35
några sammankomster under det senaste året. Därför har gruppens arbete
legat på is under en tid. Under våra intervjuer fick vi dock veta att det fanns
en mötestid inplanerad under april månad.
4.3 Att upprätthålla ett hållbart system för intern kontroll
Att hålla författningssamlingen uppdaterad och aktuell kan vara ett omfat-
tande arbete. Inom Uddevalla kommun har man enligt Kenneth medvetet
skrivit riktlinjerna på ett sådant sätt att man inte varje år ska behöva gå in och
ändra i sina policies. Därför är de ganska övergripande och "svepande" i sin
formulering.
Respondenterna är emellertid eniga om att man varje år arbetar med att ta
fram aktuella punkter för den interna kontrollen i nämndernas internkontroll-
planer. Det är således olika punkter som är föremål för kontroll från år till år
då respektive nämnd i sin internkontrollplan tar upp punkter som man känner
ett behov av att följa upp närmare.
Thomas berättar att tjänstemännen inom verksamheten i samråd med re-
spektive politiska nämnd tar fram vilka frågor som ska vara med internkon-
trollplanen för verksamhetsåret. Det är enligt Thomas verksamhetsmålen
som utgör beslutsunderlaget till vilka frågor som ska tas med. Även kritik från
revisorerna utgör underlag för punkter i kommande internkontrollplan. Vidare
berättar han att det i samband med framtagning av årets aktuella punkter i
internkontrollplanen görs en risk- och väsentlighetsanalys. Internkontrollpla-
nen registreras sedan i Uddevalla kommuns IT-stöd för verksamhetsutveckl-
ing, VUV-IT, där kommunens samtliga verksamhetsmål och uppföljningar
därav ska registreras. Som Christin uttrycker det: "Det som inte finns i VUV-
IT finns liksom inte."
Kommunledningskontoret har på uppdrag av den tidigare kommundirektö-
rens ledningsgrupp påbörjat arbetet med att vidta förebyggande åtgärder för
mutor och korruption. Som ett led i detta arbetar man nu med att ta fram en
övergripande policy/riktlinje för att förhindra mutor och korruption inom kom-
36
munen. Arbetsgången för att ta fram nya riktlinjer och policies är dock sådan
att det tar lite tid innan en ny riktlinje eller policy fastställs eftersom remisser
ska skickas till övriga nämnder samt lämpliga helägda kommunala bolag och
stiftelser för eventuella synpunkter. När en ny riktlinje så är fastställd ska
varje nämnd ta vid och vidareutveckla regler som är anpassade efter den
egna verksamheten (BUN 2012 866).
Uddevalla kommun har enligt Kenneth i dagsläget ingen rutin för att se över
de dokument som finns i författningssamlingen och se till att dessa är aktu-
ella. Dock berättar han om hur detta arbete fungerar i praktiken. Om det
praktiska arbetet inte utförs i enlighet med policyn, ställer man sig frågan om
arbetssättet är felaktigt, eller om man hittat ett bättre arbetssätt i praktiken
och då i stället behöver se över policyns formulering. Även nya lagar eller
praxis kan medföra ändringar i policydokumenten.
Kenneth berättar också att Uddevalla kommun agerar ”offentlig tjuv” i den
bemärkelsen att man sneglar på andra kommuner och tar efter de arbetssätt
man anser vara goda exempel. Detsamma gäller då andra kommuner hör av
sig för att få reda på hur Uddevalla kommun arbetar i en viss fråga. Enligt
Kenneth är kommuner generellt sett bra på att dela med sig av erfarenheter
och goda exempel till varandra.
4.4 Sammanfattning
Genom vår undersökning har vi fått en grundläggande bild av hur man inom
Uddevalla kommun arbetar med riktlinjerna för intern kontroll på olika nivåer.
Vi har även fått god inblick i hur kommunens författningssamling ser ut, samt
hur arbetet med utvecklingen av riktlinjerna går till. Våra respondenter har
dessutom beskrivit kommunikationen mellan ledning och nämnder samt givit
sin syn på hur man tillämpar begreppen risk och väsentlighet i arbetet med
intern kontroll.
37
5 Analys
Efter sammanställningen av intervjuerna med anställda inom Uddevalla
kommun kan vi göra följande analys:
5.1 Riktlinjer och policies
Som bland andra Haglund, Sturesson och Svensson (2005) förklarar, innefat-
tar intern kontroll bland annat att skapa rutiner och system som dokumente-
ras på ett bra och lättförståeligt sätt. Inom Uddevalla kommun har man över-
gripande policydokument som gäller för hela kommunen. Därutöver ska varje
nämnd skapa sina egna regler som är anpassade till den verksamhet man
arbetar i.
Ledningen inom Uddevalla kommun menar att policydokumenten behöver
vara översiktliga och lämna utrymme för att varje förvaltning ska kunna vida-
reutveckla egna regler som kompletterar riktlinjerna och som är anpassade
till den egna verksamheten. Förvaltningarna efterfrågar å andra sidan
kommungemensamma riktlinjer som ger likadana rutiner över alla kommu-
nens förgreningar. Förvaltningarna upplever att kommunens gemensamma
styrande dokument är alltför övergripande och lämnar för stort utrymme för
fria tolkningar.
Idag känner anställda inom förvaltningen att flera nämnder uppfinner hjulet
på varsitt håll, vilket man upplever som tidskrävande. Man vill från förvalt-
ningarnas sida undvika att göra egna rutiner för att i stället kunna koncen-
trera tid och energi till kärnverksamheten. Förvaltningarna efterlyser därför
kommunledningens handfasta styrning i fråga om policydokumenten.
Vi härleder delar av denna meningsskiljaktighet till det faktum att kommunen
tidigare styrts mer decentraliserat och att den idag något mer centraliserade
styrningen inte är riktigt samstämmig med hur författningssamlingen och an-
svarsfördelningen är upprättad. Kortfattat menar vi att centraliseringen, som
38
genomfördes 2006, har genomförts i praktiken, men inte i policydokumenten,
som fortfarande till stora delar är från 2005.
Carrington (2010, sid 114-116) belyser vikten av tydliga manualer och ar-
betsbeskrivningar för att uppnå en väl fungerande intern kontroll. Att ha ruti-
ner som är krångliga och alltför omfattande leder till ökad risk för att ingen
följer dem (Wikland, 2012a, kap 9). Har man å andra sidan inte tillräckligt
utförlig dokumentation riskerar man högre sårbarhet vid personalomsättning
(Haglund, Sturesson & Svensson, 2005).
Vi menar därutöver att arbetet med att vidareutveckla regler för den interna
kontrollen kan kräva en hel del tid och resurser. Dessa resurser tas från
verksamhetens andra uppgifter. Därigenom riskerar organisationer att inte ha
ett regelverk som är operationaliserbart i verksamheten. Härmed finns en risk
för att medarbetarna i organisationen inte arbetar med den interna kontrollen
på det sätt som ledningen avser.
Precis som kostnaderna för den interna kontrollen måste vägas mot vilken
nivå av säkerhet ledningen vill ha (Atwood, Raiborn & Butler, 2012, sid. 36),
anser vi att en organisation måste väga kostnaden för arbetet med administ-
rativa rutiner med vad organisationen kan tjäna på att utveckla dessa rutiner.
De resurser som läggs på att utveckla en författningssamling måste tas från
någon annan del av verksamheten, som därigenom riskerar att inte ha till-
räckligt med resurser för att uppnå verksamhetens mål i övrigt.
För de respondenter som arbetar med utvecklingen av policies för intern kon-
troll inom Uddevalla kommun är det naturligt att ansvaret för att utarbeta de-
taljerade regler ligger på respektive nämnd. De respondenter vi talat med
inom verksamheterna efterfrågar å andra sidan tydligare riktlinjer från led-
ningen för att slippa uppfinna hjulet inom varje enskild nämnd. Responden-
terna menar att det finns flera delar i kontrollmiljön som är gemensamma för
alla nämnder och att kommunfullmäktige och kommunstyrelsen därför borde
fastställa tydligare policies och riktlinjer gällande dessa delar.
39
Som Haglund, Sturesson och Svensson (2005, sid 31) påpekar, är ledning-
ens kommunikation och styrning viktiga aspekter som påverkar och utvecklar
arbetet med den interna kontrollen. Vår analys är att man inom kommunens
olika delar inte har samma uppfattning om hur tydliga de övergripande riktlin-
jerna behöver vara. Vi upplever också att förvaltningarna inte fullt ut har upp-
fattat kommunledningens budskap om att varje nämnd ska stifta egna regler
som kompletterar de övergripande riktlinjerna. Vi uppfattar att det finns en
brist någonstans i kommunikationsleden och att ledningen inom Uddevalla
kommun behöver förtydliga ansvarsfördelningen vid arbetet med kommunens
styrande dokument och riktlinjer.
Arwinge understryker att arbetet med intern kontroll har en benägenhet att bli
en skrivbordsprodukt. Efter genomförande av vår studie har vi bildat oss upp-
fattningen att kommunens ledning lagt ner stor möda vid att upprätta sty-
rande dokument för den interna kontrollen, men att många av dessa inte till-
lämpas i praktiken i någon vidare utsträckning.
5.2 Att dokumentera den interna kontrollen
Som Rittenberg, Martens och Landes (2007, sid 50) belyser är det viktigt att
dokumentera den interna kontrollen. Detta ska göras bland annat för att un-
derlätta informationsöverföring vid byte av personal. Dokumentationen funge-
rar även som ett bevis för ledningen att den interna kontrollen fungerar på ett
tillfredsställande sätt. Haglund, Sturesson och Svensson påpekar dessutom
att en god dokumentation kan minska risken för att felaktigheter inträffar.
Detsamma gäller då organisationen på ett framgångsrikt sätt lyckas imple-
mentera den interna kontrollen i verksamhetsprocesserna.
Våra respondenter ger oss en enhetlig bild av hur Uddevalla kommun arbetar
med internkontrollplanerna inom de olika förvaltningarna. Vi får även en en-
hetlig bild av hur uppföljningen går till när någon verksamhet till exempel
INTE rapporterar resultatet av den interna kontrollen i tid. Här råder inga de-
lade meningar om hur dokumentationen ska genomföras.
40
Därtill är respondenterna överens om att kommunen arbetar mycket aktivt
med att integrera den interna kontrollen i arbetsprocesser i organisationens
affärssystem. Detta för att minimera risken för till exempel felaktigheter i bok-
föringen.
Vår uppfattning är att dokumentationen av internkontrollplanerna fungerar
mycket bra i Uddevalla kommun. Dock upplever vi en brist i kommunens do-
kumentering av arbetsrutiner, vilket enligt bland annat Aikins skapar en sår-
barhet bland annat vid personalomsättning.
5.3 Engagemang hos ledning och politiker
Svensson (2012) nämner engagemang hos ledning och politiker som en vik-
tig framgångsfaktor för en väl fungerande intern kontroll. Även författarna
Tsay samt Atwood, Raiborn och Butler belyser att ledningens attityd till intern
kontroll påverkar engagemanget hos personalen.
Att man inom Uddevalla kommun under början av 2000-talet på allvar drog
igång med att dokumentera riktlinjer och policydokument kom sig delvis av
att politikerna skulle kunna säkerställa att kommunen hade rätt förutsättning-
ar för att bedriva en effektiv intern kontroll. Detta krafttag vittnar om ett stort
engagemang hos kommunpolitikerna, som står som ytterst ansvariga för
kommunens verksamheter.
Kommunen är i processen att ta fram fler styrande dokument, vilket vittnar
om en medvetenhet om att systemet inte är fullständigt. Detta i sig tolkar vi
som att det inom kommunledningen finns ett gott engagemang för den fort-
satta utvecklingen av den interna kontrollen. Samtidigt menar vi att man ge-
nom skapandet av ytterligare dokument riskerar att vidare utöka den redan
idag gedigna författningssamling som finns inom kommunen och därmed yt-
terligare försvåra för användarna att hitta rätt bland alla dokument. Ett alltför
omfattande regelverk bidrar enligt bland andra Carrington (2010, sid 116) till
en ökad risk för att riktlinjerna inte följs.
41
I våra intervjuer berättade de två respondenterna som arbetar inom förvalt-
ningarna mycket om internkontrollplanen och den diskussion som förs med
nämndpolitikerna. Båda respondenterna är överens om att man har ett gott
samarbete och givande diskussioner med politikerna rörande frågor i den
interna kontrollen.
Att ha ett väl fungerande samarbete med ledning och politiker lägger grunden
till ett bra resultat i arbetet med den interna kontrollen (Haglund, Sturesson
och Svensson, 2005, sid 101). Vi upplever som helhet att ledning och politi-
ker i Uddevalla kommun har ett stort engagemang i fråga om den interna
kontrollen.
5.4 Ett vidgat perspektiv på intern kontroll
Svensson (2012) belyser även vikten av att ha ett vidgat perspektiv på intern
kontroll, vilket innebär att man inte enbart lägger fokus på ekonomiska
aspekter av verksamheten. Detta för att nå så stor framgång som möjligt med
den interna kontrollen, vars huvudsyfte är att säkerställa att fastställda mål
uppfylls. Icke-ekonomiska perspektiv inom den interna kontrollen kan i för-
längningen påverka det ekonomiska resultatet i en verksamhet. Många av de
fastställda målen inom kommunal verksamhet är av icke-ekonomisk karaktär,
vilket bör återspelas i arbetet med den interna kontrollen.
Uddevalla kommun lägger enligt respondenterna allt mindre fokus på kontrol-
ler inom redovisningen eftersom dagens affärssystem kan hantera spärrar av
olika slag för att undvika fel. Samtidigt belyser respondenterna att flera av
punkterna i internkontrollplanen är av icke-ekonomisk karaktär. Även de ex-
empel som Thomas nämner i sin förklaring på hur förvaltningen hanterar risk
och väsentlighet, handlar om verksamhetsmål som inte är av ekonomisk art.
Vår tolkning av detta är att kommunen har ett vidgat perspektiv på intern kon-
troll, vilket bidrar till ökade chanser att lyckas med den interna kontrollen och
därmed lyckas att uppnå organisationens fastställda mål.
42
5.5 Information, kommunikation och utbildning
Ytterligare en viktig framgångsfaktor till god intern kontroll är enligt Svensson
(2012) information och utbildning inom organisationen. Även Haglund, Stu-
resson och Svensson (2005) belyser vikten av fungerande kommunikation
och informationsflöde mellan olika aktörer och olika nivåer i verksamheten.
Brister i kommunikationen kan medföra risker för att den interna kontrollen
inte utförs på rätt sätt och därmed att felaktigheter i verksamheten inte upp-
märksammas. Ytterst kan detta leda till kostsamma fel i verksamheten (Hag-
lund, Sturesson och Svensson, 2005).
Våra respondenter inom Uddevalla kommun påpekar flertalet gånger att or-
ganisationens storlek gör det svårt att kommunicera intern information på ett
effektivt sätt. Vi har även fått fram att rutiner saknas för att säkerställa att in-
formation om till exempel nya eller uppdaterade policies nått fram till alla be-
rörda parter. Avsändaren av informationen räknar med att informationen som
skickas till första instansen sedan går vidare ut i ledet åt rätt håll. Inom kom-
munen förekommer heller inga gemensamma utbildningar för den interna
kontrollen. Det förväntas att personalen informerar varandra vid till exempel
nyanställning.
Vår tolkning av detta är att det finns brister i informations- och kommunikat-
ionsflödet inom Uddevalla kommun. Vi har genom våra intervjuer inte hittat
någon struktur för att säkerställa att rätt information kommer fram till rätt per-
soner. Därigenom finns bland annat en ökad risk för att felaktigheter och bris-
ter i kommunens rutiner inte fångas upp och åtgärdas på adekvat sätt (Hag-
lund, Sturesson & Svensson, 2001, sid 45-46).
Vidare finner vi, liksom Wikland (2009) att kommunikation i organisationen
och ledningens sätt att leda, har en stor påverkan på hur man arbetar med
intern kontroll. Inom Uddevalla kommun, liksom i många andra stora organi-
sationer, anser vi att mer fokus behöver läggas på intern kommunikation och
information för att kunna förbättra arbetet med intern kontroll. Därmed kan
organisationen nå högre engagemang hos personalen och ett bättre resultat.
43
Givetvis innebär ökat fokus på en punkt att resurser tas från ett annat om-
råde. Här är ledningens utmaning att balansera de resurser man har till sitt
förfogande för att uppnå så bra resultat som möjligt i det stora perspektivet.
Vi har genom vår studie även fått fram att graden av engagemang för intern
kontroll varierar hos personalen inom kommunen. Genom att tydligare infor-
mera och utbilda personalen i syftet med intern kontroll och hur arbetet med
densamma ska gå till, kan kommunen uppnå högre acceptans, förståelse
och engagemang hos personalen för vikten av en väl fungerande intern kon-
troll (Haglund, Sturesson & Svensson, 2005, sid. 104).
5.6 Utveckling av internkontrollarbetet
Enligt Tsay (2010) är det viktigt att organisationer har en intern grupp som
arbetar med den interna kontrollen. Även Wikland (2012a) påpekar fördelar-
na med en intern grupp som arbetar med styrkor och svagheter som finns
inom organisationen.
Inom Uddevalla kommun finns internkontrollgruppen, vars uppgift är just att
arbeta med frågor som rör den interna kontrollen. Dock fungerar gruppens
arbete inte tillfredsställande för närvarande.
Vår tolkning är att Uddevalla kommun har en hög ambition i sitt arbete med
utvecklingen av den interna kontrollen, och därmed har tillsatt en internkon-
trollgrupp. Gruppen består enbart av anställda inom kommunens centralor-
ganisation – inga representanter för den operativa delen av verksamheten
finns i kommunens internkontrollgrupp.
Vi menar att internkontrollgruppen skulle kunna tillämpa Wiklands modell
med workshops för att involvera verksamheterna i större utsträckning. Då
skulle man också nå större förståelse för intern kontroll inom HELA organi-
sationen, vilket enligt Carrington (2010) och Svensson (2012) är av största
vikt för att uppnå en bra och fungerande intern kontroll.
44
Vi upplever även att Uddevalla kommun brister något i vad gäller att invol-
vera övrig personal från verksamheterna till exempel vad gäller arbetet med
att definiera risker inom organisationen. Detta är enligt Wikland nödvändigt
för ett effektivt förbättringsarbete inom intern kontroll.
5.7 Risk och väsentlighet
Enligt Atwood, Raiborn och Butler (2012) måste en organisation väga kost-
naderna för den interna kontrollen mot vilken nivå av säkerhet man vill
uppnå.
Våra respondenter är överens om att risk och väsentlighet är vanligt före-
kommande inslag i arbetet med den interna kontrollen inom kommunen. Ju
större sannolikhet för att fel inträffar och ju större ekonomisk skada felen kan
leda till, desto högre prioriteras frågan i den interna kontrollen. Flera respon-
denter poängterar även att många risker är svåra att kvantifiera i ekonomiska
termer. I sådana fall vägs kommunens måluppfyllelse in vid värdering av vä-
sentligheten.
Vår analys är att personal inom Uddevalla kommun använder mycket av det
sunda förnuft som Vijayakumar och Nagaraja (2012) anser har stor betydelse
för organisationens måluppfyllelse. Dock har vi genom vår studie funnit att
Uddevalla kommun i dagsläget inte har några övergripande riktlinjer för mutor
och bestickning, vilket vi anser vara en lucka i dokumenteringen av riskerna.
5.8 Översyn av författningssamlingen
Ytterligare en viktig framgångsfaktor vid arbetet med den interna kontrollen är
regelbunden översyn av policydokument och regler. Både Rittenberg, Mar-
tens och Landes (2007), Haglund, Sturesson och Svensson (2005) samt
Svensson (2012) påpekar att riktlinjerna bör uppdateras i takt med förändring
i omvärlden och att organisationer bör ha rutiner för översynen av de sty-
rande dokumenten.
45
Uddevalla kommun har i dagsläget ingen fast rutin för att se över de styrande
dokument som finns i författningssamlingen. Vi har gått igenom författnings-
samlingen och håller med våra respondenter om att det är gedigen samling
dokument. Respondenterna har i flera fall gett oss intryck av att sakna riktlin-
jer som vi senare upptäckt redan existerar i författningssamlingen utan att
respondenterna vetat om det. Detta vittnar åter igen om en ambition från
kommunens sida för att upprätthålla bra kvalité på de interna styrande doku-
menten, men att författningssamlingens upplägg och ordning inte är tydliga
för användarna inom kommunen.
Den gedigna samlingen av styrande dokument bidrar enligt vår mening till att
användarna inte ser skogen för alla träden. Att sakna rutiner för regelbunden
översyn av policydokument kan medföra att författningssamlingen är ohan-
terbar för användarna. Därmed finns även en ökad risk för att policies inte
efterlevs (Haglund, Sturesson & Svensson, 2005, sid. 104).
Dock betyder avsaknaden av rutiner för att se över författningssamlingen inte
att kommunens riktlinjer ALDRIG uppdateras. När man inom Uddevalla
kommun genom praktisk tillämpning upptäcker att en policy inte överens-
stämmer med verkligheten görs en översyn av den aktuella riktlinjen. I våra
intervjuer framkommer att Uddevalla kommun ofta håller en dialog med
andra kommuner för att hitta goda exempel för hur rutiner kan se ut.
5.9 Fallgropar
Enligt Weick (1993) genom Power (2007) kan en alltför bokstavlig tillämpning
av COSO-modellens ramverk leda till att organisationer har svårt att anpassa
ramverket till den egna verksamheten. Vår reflektion under denna studie är
att Uddevalla kommun valt att tillämpa COSO-modellens ramverk som stöd
för sitt arbete med intern kontroll. Dock har man inte valt att slaviskt följa
COSO-modellen, utan i stället försökt anpassa arbetet med den interna kon-
trollen till hur verksamheten inom organisationen ser ut. Uddevalla kommun
har till exempel inte till fullo lyckats med att skapa fulländade och tydliga ruti-
46
ner kring den interna kontrollen, men detta anser vi beror på andra faktorer
än en bokstavlig tillämpning av COSO-modellens ramverk.
Som Wikland påpekar (2009) behöver man se organisationen som en helhet
och därmed beakta de ”mjuka” delarna såsom kommunikation och ledarskap
då man tillämpar COSO-modellen. Vår mening är att kommunens fokus på
dessa mjuka delar behöver förstärkas för att uppnå ytterligare förbättringar i
arbetet med den interna kontrollen.
47
6 Slutdiskussion
6.1 Slutsatser
Hur ser Uddevalla kommuns riktlinjer för intern kontroll ut?
I vår teoretiska referensram nämner vi flera faktorer att beakta gällande rikt-
linjer för den interna kontrollen. Bland annat tar vi upp relevansen av att do-
kumentera rutiner och arbetssätt, men även vikten av att ha ett hanterbart
regelverk.
Uddevalla kommun har en omfattande författningssamling som innehåller en
mängd övergripande policies, riktlinjer och bestämmelser. Denna författ-
ningssamling är på kommunens hemsida uppdelar under rubrikerna;
Föreskrifter och bestämmelser
Förtroendevalda
Kommunala bolag, stiftelser och förbund
Policy, Riktlinjer och program,
Reglemente och arbetsordning,
Taxor och avgifter samt
Övrigt.
Många av dessa dokument är byggstenar i den interna kontrollen och har
fastställts av kommunfullmäktige eller kommunstyrelsen. Dokumenten är ut-
formade som övergripande grundprinciper och är därför svepande i sin for-
mulering.
Utöver dessa dokument kan det inom varje nämnd finnas ytterligare doku-
ment, så kallade regler, som är en vidareutveckling av de fall då kommunsty-
relsens och kommunfullmäktiges dokument inte är tillräckligt detaljerade för
den operativa verksamheten. Dessa regler beskriver mer i detalj den opera-
48
tiva delen av den interna kontrollen och är anpassade efter respektive
nämnds verksamhet.
Vår slutsats är att kommunen har en omfattande samling styrande dokument
som ter sig en smula brokig för en utomstående. Det är svårt att veta var
man ska söka om man vill veta vilka regler som gäller för ett specifikt om-
råde.
Hur arbetar man med internkontrollpolicies på olika nivåer i Uddevalla
Kommun?
Riktlinjer och policydokument behöver, som vi tidigare beskrivit, regelbundet
ses över för att säkerställa att de hålls uppdaterade och aktuella. Kommun-
fullmäktige och kommunstyrelsen i Uddevalla kommun fastställer övergri-
pande policies och riktlinjer. Därefter förutsätts att förvaltningarna gör sin
egen bedömning om vad som behöver anpassas till den egna verksamheten
och agerar därefter. Det finns inom kommunen ingen rutin för att se över,
uppdatera och rensa bland de policydokument som finns i författningssam-
lingen. Översyn görs först när det upptäcks att policydokumenten inte stäm-
mer överens med verkligheten.
Vi har i vår teoretiska referensram även redogjort för att organisationer kan
tillsätta särskilda grupper som arbetar med intern kontroll. Inom Uddevalla
kommun lägger förvaltningarna ner mycket tid på internkontrollplanerna och
diskussioner med nämndpolitikerna. Förutom rent ekonomiska frågor tar in-
ternkontrollplanerna även upp frågor av icke-ekonomisk karaktär för att se till
att även kommunens kvalitetsmål blir uppfyllda. Mindre tid läggs på att vida-
reutveckla de interna reglerna för intern kontroll. Förvaltningarna samarbetar
genom internkontrollgruppen och tanken är att detta forum ska användas för
att lyfta frågor som rör brister i riktlinjerna för den interna kontrollen. Vår upp-
fattning är att gruppens arbete har fungerat otillfredsställande under en tid,
men att gruppen nu bemödar sig för att åter komma igång med sitt arbete.
49
Vilka olika uppfattningar finns inom organisationen angående kommu-
nens rutiner och policies?
COSO-modellens kontrollmiljö innefattar bland annat en tydlig fördelning av
ansvar och befogenheter. Ledningen inom Uddevalla kommun eftersträvar så
övergripande policies som möjligt för att undvika att behöva omarbeta sina
styrande dokument alltför ofta. Ytterligare en anledning är att man från kom-
munledningens sida vill att varje nämnd ska vidareutveckla riktlinjerna så att
de anpassas efter den egna förvaltningens verksamhet.
Inom förvaltningarna som vi studerat menar man att kommunens policies är
alltför övergripande och svepande i sin formulering. Vi uppfattar önskemål
om att de centrala riktlinjerna bör vara tydligare och mer detaljerade för att
förvaltningarna ska undvika att uppfinna hjulet på varsitt håll. Förvaltningarna
efterlyser mer handfast styrning från kommunledningens håll och mer centra-
liserade processer vad gäller utformningen av riktlinjer för den interna kon-
trollen.
Vår mening är att ledningen och förvaltningen inte har samma uppfattning om
hur organisationen ska arbeta med de styrande dokumenten. Kommunled-
ningens åsikt om hur man inom kommunens olika nivåer ska arbeta med rikt-
linjer och policydokument har inte nått hela vägen ut i organisationen. Vår
tolkning är att detta delvis kan beror på svårigheten att lyckas med tydlig
kommunikation, vilket ofta förekommer inom stora organisationer.
Hur kan kommunens policies för intern kontroll förbättras?
I vårt teoriavsnitt har vi tagit upp olika faktorer som kan hjälpa till att lyckas
med arbetet med intern kontroll. Vår slutsats är att kommunen skulle kunna
förbättra sin policy för den interna kontrollen genom att tillämpa COSO-
modellen i ännu större utsträckning än vad som görs idag. Det gäller framför
att göra den samling styrande dokument som finns inom kommunen mer
överskådlig. Samtidigt behöver kommunledningen tydligare kommunicera
ATT denna författningssamling existerar, HUR den är tänkt att tillämpas samt
50
VAR man hittar den. Även förvaltningarnas ansvar med att komplettera de
övergripande styrande dokumenten med egna regler behöver belysas tydli-
gare.
Genom att från ledningens sida uppmuntra individernas delaktighet och en-
gagemang i intern kontroll, kan den interna kontrollen bli ett levande verktyg i
verksamheten. De flesta av kommunens policies och riktlinjer är fastställda
för snart tio år sedan. Kommunen har i dagsläget ingen rutin för att se över
och uppdatera sin författningssamling. Som Haglund, Sturesson och Svens-
son beskriver det, riskerar en organisation ”att drunkna i ett regelverk som
ingen följer” om man inte återkommande går igenom sina styrande doku-
ment.
Vi upplever att författningssamlingen inom Uddevalla kommun idag är svår-
arbetad och inte tillräckligt överskådlig. Vår rekommendation är därför att
kommunen försöker hitta en bra rutin för översyn och genomgång av författ-
ningssamlingen, för att säkerställa att de dokument som ligger samlade alltid
är aktuella. Kommunen bör även se över hur dokumenten kan presenteras
på ett mer enhetligt och överskådligt sätt.
I dagsläget finns en avsaknad av detaljerade övergripande rutiner, varför
personalens engagemang och ledningens lyhördhet är av största vikt för det
fortsatta arbetet med intern kontroll. Detta för att snabbare kunna täppa till
fler brister i den interna kontrollen. Vi tänker här till exempel på mutor och
bestickning, som är ett högaktuellt ämne i många kommuner vilket vi beskrev
i den inledande delen av denna rapport, och som Uddevalla kommun för när-
varande arbetar med att utveckla ett styrande dokument för.
Vi håller med kommunledningen om att de delar i kontrollmiljön som är speci-
fika för en särskild nämnd bör regleras så nära verksamheten som möjligt.
Med bakgrund av detta resonemang anser vi att nämnderna behöver ta över
stafettpinnen och vidareutveckla det arbete som kommunfullmäktige och
kommunstyrelse gjorde 2005. Det handlar alltså om att för varje nämnd
skapa de rutiner och regler som behövs för att tydliggöra arbetsrutinerna. Ett
51
bra forum för detta arbete torde vara den internkontrollgrupp som redan finns
inom kommunen, och vars arbete nu är på frammarsch. När dessa rutiner
och regler skapats behöver de, likt kommunens övergripande bestämmelser
och riktlinjer, en regelbunden översyn för att hållas aktuella.
Kommunfullmäktige och kommunstyrelse bör sträva efter att i de fall där det
är möjligt ha så detaljerade policies och riktlinjer som möjligt inom de områ-
den som berör samtliga nämnder. Detta för att se till att det finns tydliga ra-
mar i den interna kontrollen samt att verksamheternas tid används på bästa
sätt.
6.2 Egna reflektioner och kritik till uppsatsen
I vår studie har vi begränsats av framför allt två faktorer; dels det geografiska
avståndet mellan författarna till denna uppsats och dels av tiden för denna
kurs. Det geografiska avståndet mellan författarna har gjort att samtliga inter-
vjuer genomförts av en och samma intervjuare. Detta har fördelen att vi har
riskerat en mindre intervjuareffekt än om vi hade delat upp genomförandet av
intervjuerna mellan oss. Däremot hade vi haft möjlighet att ställa ytterligare
fördjupande frågor om båda författarna medverkat vid intervjuerna.
Å andra sidan har samtliga respondenter gett sitt medgivande till oss att i
efterhand ställa kompletterande frågor, vilket vi inte känt något behov av. I så
stor utsträckning som var möjligt tillämpade vi videokonferenser under inter-
vjuerna för att båda författarna skulle kunna medverka. I princip är det bara
intervjuerna som påverkats något negativt av det geografiska avståndet mel-
lan författarna. Dagens teknologiska hjälpmedel har överbryggat övriga tänk-
bara svårigheter med att skriva tillsammans på distans.
Då våra respondenter inte kunde avsätta exakt de tidpunkter som hade pass-
sat oss bäst hann vi träffa ett par av respondenterna innan vi hunnit gå ige-
nom hela författningssamlingen, vilket kan ha medverkat till att vissa frågor
vinklades olika till olika respondenter. Även ordningen efter vilken vi intervju-
ade våra respondenter kan ha inverkat på intervjuernas innehåll.
52
Om vi fick möjlighet att genomföra studien på nytt skulle vi vilja tillämpa
gruppintervjuer i stället för, eller som komplement till, att intervjua varje re-
spondent enskild. Genom att samla samtliga respondenter vid samma tillfälle
kunde vi åstadkommit en, förmodligen livlig, men förhoppningsvis även
mycket givande och intressant diskussion kring kommunens arbete med rikt-
linjerna för intern kontroll.
6.3 Förslag till vidare forskning
För denna studie har vi begränsats av tiden, vilket medfört att studier kring
exempelvis hur författningssamlingen i Uddevalla kommun konkret skulle
kunna förbättras inte har prioriterats. Att avgöra vad som behövs för att göra
författningssamlingen mera överskådlig skulle kräva ytterligare fördjupade
studier, vilket vi lämnar åt Uddevalla kommun och/eller framtida studiekolle-
gor att utföra.
Inte heller har vi haft möjlighet att studera det praktiska arbetet vid framta-
gande av nya policies har gått till. Även här finns möjlighet till vidare forsk-
ning för kommande studenter. Därutöver skulle man kunna undersöka hur
rutinerna och riktlinjerna efterlevs i praktiken samt hur Uddevalla kommun
väljer att hantera de risker som definieras genom arbetet med den interna
kontrollen.
53
7 Referenser
Aikins, S. K. (2011): An Examination of Government Internal Audits’ Role in
Improving Financial Performance, Public Finance and Manage-
ment, Vol. 11, nr. 4
Anthony, R. & Govindarajan, V., (2006): Management Control Systems,
Berkshire UK, McGraw-Hill Higher Education
Arwinge, O. (2013): Internal Control – A Study of Concept and Themes,
Berlin Heidelberg, Springer Verlag
Atwood, B., Raiborn, C. A. & Butler, J. B. (2012): Illussions of Internal Con-
troll, Strategic Finance, Oktober
BUN/2012:866; Kommunstyrelsens remiss - Policy och riktlinjer mot mutor
och annan korruption inom Uddevalla kommun
Carrington, T., (2010): Revision, Malmö, Liber
ESV (2013); Ekonomistyrningsverket; Intern styrning och kontroll – Tillgänglig
http://www.esv.se/amnesomraden/Styrning/Intern-styrning-och-
kontroll/ [2013-02-22]
Finlands kommunförbund; Internkontroll och riskhantering – Tillgänglig
http://www.kommunerna.net/sv/sakkunnigtjanster/ekonomi/revisi
on/intern-kontroll-och-riskhantering/Sidor/default.aspx
[2013-02-25]
Göteborgsposten (2010): Läget i muthärvan – tillgänglig
http://www.gp.se/polopoly_fs/1.474463.1287743560!/1019_muth
arvan.pdf [2013-02-21]
Haglund, A., Sturesson, J., & Svensson, R., (2001): Intern kontroll – ett
flerdimensionellt ledningsverktyg, Malmö, Komrev AB
Haglund, A., Sturesson, J., & Svensson, R., (2005): Intern kontroll – en del
av verksamhets- och ekonomistyrningen, Malmö, Komrev AB
Koutoupis, A. G. (2007): Documenting Internal Controls, Internal auditor, ok-
tober
54
Power, M., (2007): Organized Uncertainty – Designing a World of Risk
Management, New York, Oxford University Press Inc. Citerar
Weick, K. W. (1993), The Collapse of Sensemaking in Organiza-
tions: The Mann Gulch disaster, Administrative Science Quarter-
ly, 38: 628-52)
Rittenberg, L. E., Martens, F., & Landes, C. E. (2007): Internal Control
Guidence – Not just a small matter, Journal of Accountancy,
Mars
SCB; Statistiska Centralbyrån (2013) Skattesatser 2013 i kommuner, län
och hela riket – tillgänglig:
http://www.scb.se/Pages/TableAndChart____67873.aspx
[2013-02-12]
Shaw, H. (2006): The Trouble with COSO, CFO, Mars
Svenska Dagbladet (2010-10-07); Kommunal tjänsteman i Danderyd anmäld
för mutbrott – tillgänglig
http://www.svd.se/nyheter/inrikes/kommunal-tjansteman-i-
danderyd-anmald-for-mutbrott_5469829.svd [2013-03-22]
Svensson, R., (2012): Hur vet vi vad som ska kontrolleras?, Uppsala, Iustus
Förlag AB
Sveriges Radio (2010-11-09); Ekots mutenkät – tillgänglig
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=4
163408 [2013-02-21]
Tsay, B. (2010): Designing an Internal Control Assessment Program Using
COSO´s Guidance on Monitoring, the CPA Journal, Maj
UaFS; Ekonomistyrningsprinciper för Uddevalla kommun
UaFS 15/2005; Riktlinjer för intern kontroll för Uddevalla Kommun
UaFS 16/2005; Bestämmelser till Riktlinjer för intern kontroll
Uddevalla kommun (2011), Årsredovisning 2011 – tillgänglig:
http://www.uddevalla.se/download/18.86895b71369ac66889185f
/133]6129424311/TOTALT+DOKUMENT+slutlig+med+omslag+
2011.pdf [2013-02-12]
Uddevalla kommun (2013a), Kommun & Politik – tillgänglig:
55
http://www.uddevalla.se/kommunpolitik/omkommunen.4.1742c56
104a8c0cb6080004710.html [2013-05-24]
Vijayakumar, A. N. & Nagaraja, Dr. N. (2012): Internal Control Systems:
Effectiveness of Internal Audit in Risk Management at Public
Sector Enterprises, BVIMR Management Edge, Vol. 5, No. 1
Wikland, T. (2009): COSO – nytta eller regelkrav? Vart går utvecklingen?,
Internrevision, nr 1
Wikland, T. (2012a): Intern styrning och kontroll - både lönsamt och säkert,
[Elektronisk version], FAR Akademi
Wikland, T. (2012b): Från utskälld till föredömlig?, Göteborgs Stad
Yin, Robert K. (2007): Fallstudier: design och genomförande, Malmö, Liber
I
8 Bilagor
Bilaga 1 – Intervjuguide
1. Hur länge har man arbetat med intern kontroll inom kommunen?
o Den förra policyn är från 2005, finns det ännu äldre skrivelser?
2. Vad är din uppfattning om hur man ser på intern kontroll från KLK:s
(Kommunledningskontorets) håll?
o Hur ser din närmaste chef på intern kontroll?
o Är intern kontroll något man talar om till vardags?
o Känns intern kontroll viktigt?
o …ett nödvändigt ont som man suckar över? Något som man
gör för att kunna bocka av på en lista så att chefen blir nöjd för
stunden?
o Som chef - Hur tror du dina anställda ser på intern kontroll?
Hur skulle du vilja att deras inställning var?
3. Vilka är med och tar fram nya policies?
o Är det internkontrollgruppen – vilka sitter med i den?
o Varför har man valt de personer man valt till internkontrollgrup-
pen?
4. Hur resonerar man när man skriver ner policies?
o Dvs hur gör man när man stiftar en ny policy?
o Vem initierar en ny policy?
5. Hur är arbetsgången när ni tar fram en ny policy?
o Sneglar man på hur andra kommuner gör och skriver ungefär
samma sak?
o Eller kollar man på vad man har för brister i den egna organi-
sationen och försöker ”bygga bort” dessa?
o Jag har lånat boken ”Intern kontroll – en del av verksamhets-
och ekonomistyrningen”.
II
Används den vid arbetet med policies? I så fall hur?
Boken tar upp COSO-modellen. Är du bekant med
denna modell?
Använder ni denna modell och i så fall hur? (Hur har
COSO-modellens komponenter RISK, KONTROLL-
MILJÖ, KONTROLLAKTIVITETER, INFORMATION &
KOMMUNIKATION respektive ÖVERVAK-
NING/UPPFÖLJNING & UTVÄRDERING gett sig uttryck
i arbetet med policyn för intern kontroll?
Till exempel – en risk kan vara att personalens misstag
kostar företaget/organisationen pengar, hur har ni täckt
in detta i policyn för intern kontroll?
6. Enligt § 2 i ”Riktlinjer för intern kontroll för Uddevalla kommun” har
kommunstyrelsen ansvar för att ”en organisation kring intern kontroll
upprättas inom kommunen samt tillse att denna utvecklas utifrån
kommunens kontrollbehov”. Hur ser denna organisation ut?
7. Enligt §§ 5-7 i ”Bestämmelser till riktlinjer för intern kontroll” är det
nämndernas ansvar att arbetet planeras och hanteras på ett bra sätt.
o Hur tycker du att arbetet med implementeringen av policies ska
gå till i verksamheterna?
o Vems ansvar är det att man når ”ända ut”?
o Hur ska man som individ agera om man känner att policyn inte
täcker in alla delar av verksamheten?
Ska de olika förvaltningarna skapa egna policies som är
mer detaljerade för att kunna implementera dem?
Till exempel – är det ok att olika förvaltningar har olika
riktlinjer för samma del i den interna kontrollen? (Hur
man ska hantera fordon tex).
Ska man ”flagga tillbaka” till internkontrollgruppen som
ska formulera om policyn så att den täcker in allt?
8. Varför har Uddevalla Kommun ETT dokument för riktlinjerna (”Uppfölj-
ning Internkontrollplan 2012”), ett ANNAT dokument som talar om för
III
oss hur vi ska TOLKA riktlinjerna (”Bestämmelser till riktlinjer för intern
kontroll”) och ett TREDJE dokument som hanterar tjänstefordon (”Be-
stämmelse för tjänstefordon”), ett FJÄRDE för betalkort (”Bestämmel-
ser för betalkort”) och så vidare…?
Dessutom finns till exempel ”Riktlinjer, med regler för kontroll (attest)
av ekonomiska transaktioner i Ua kommun” och ”Upphandlingspolicy
för Uddevalla kommun”.
Är tanken att de så småningom ska sammanställas till ett
och samma dokument/kompendium?
Blir det för omfattande att samla alla policies på samma
ställe?
Blir det rörigt att ha dem på OLIKA ställen och med olika
benämning (policy/bestämmelse, riktlinjer mm mm mm)?
Riktar de sig till olika mottagare? (Är det därför kommu-
nen har olika policies på olika ställen?)
Hur upplever användarna strukturen av författningssam-
lingen?
Hur uppfattas tydligheten i riktlinjerna som finns i författ-
ningssamlingen?
9. Finns det något område gällande policies och intern kontroll som vi
inte berört, och som du upplever behöver belysas?
o Hur ska man som individ agera om man känner att policyn inte
täcker in alla delar av verksamheten?
Ska de olika förvaltningarna skapa egna policies som är
mer detaljerade för att kunna implementera dem?
Till exempel – är det ok att olika förvaltningar har olika
riktlinjer för samma del i internkontrollen? (Hur man ska
hantera fordon tex).
Ska man ”flagga tillbaka” till internkontrollgruppen som
ska formulera om policyn så att den täcker in allt?
10. Finns det något område gällande policies och intern kontroll som vi
inte berört, och som du upplever behöver belysas?