UPPSALA UNIVERSITET Företagsekonomiska institutionen Intern kontroll och ERP system En explorativ studie i hur den interna kontrollen påverkas under implementeringen av ett ERP system Datum: 2012-01- 09 Kandidatuppsats: HT 11 Författare: Jens Eriksson och Alexandra Larsson Handledare: Per Forsberg
Förord Vi vill rikta ett stort tack till personalen på den undersökta organisationen för att ni har tagit er tid för våra intervjuer och gjort denna studie möjlig. Vi tackar även vår handledare Per Forsberg för synpunkter och vägledning. Avslutningsvis riktas även ett tack till de personer som bidragit med konstruktiv kritik under uppsatsens gång. Uppsala, Januari 2012 Jens Eriksson Alexandra Larsson.... 1
Sammandrag Denna explorativa studie beskriver hur den interna kontrollen i organisationer kan påverkas under implementeringen av ett ERP system. Intern kontroll är en del av organisationens ekonomistyrning och består av organisationens rutiner och aktiviteter för att undvika risker och säkerställa att organisationens mål uppfylls. Eftersom implementeringen av ett ERP system är en riskfylld process är det viktigt att förstå hur den interna kontrollen påverkas. För att undersöka detta används i studien ramverket Internal Control - Integrated framework. Datainsamlig genomfördes på en stor IT-organisation där ERP systemet Navision 2009 implementeras och 10 respondenter från olika avdelningar intervjuades. Studiens resultat indikerar att den interna kontrollen främst påverkas negativt under implementeringen av ett ERP system. Enligt studien beror det främst på att personalens användarkompetens i systemet är bristfällig och att det finns tekniska brister i ERP systemet som gjort att det inte fungerat optimalt under implementeringen. Nyckelord: ERP system, Intern kontroll, implementering, medarbetare, kontrollmiljö, riskhantering, information och kommunikation, kontrollaktiviteter, tillsyn 2
Innehållsförteckning Inledning...5 Problembakgrund... 5 Problemdiskussion... 6 Syfte... 7 Teori...8 ERP system och implementering... 8 ERP systems påverkan på ekonomistyrning... 9 Intern kontroll...10 Internal Control - Intergrated Framework...11 Kontrollmiljö...12 Riskhantering...12 Information och kommunikation...13 Kontrollaktiviteter...13 Tillsyn...14 Metod... 15 Val av organisation...15 Val av teori och operationalisering...15 Kontrollmiljö...16 Riskhantering...16 Information och kommunikation...16 Kontrollaktiviteter...16 Tillsyn...17 Datainsamling...17 Förstudie...18 Respondenter...18 Intervjustruktur...19 Begränsningar med studien...19 Bolag AB och Navision 2009... 21 Bolag AB...21 Navision 2009...21 Implementering av Navision 2009...21 Resultat av intervjuerna... 22 Kontrollmiljö...22 Riskhantering...23 Information och kommunikation...24 Kontrollaktiviteter...25 Tillsyn...26 Analys... 28 Kontrollmiljö...28 Riskhantering...29 Information och kommunikation...30 Kontrollaktiviteter...31 Tillsyn...32 Slutsats... 34 Vidare forskning...34 3
Utvärdering av ramverket Internal Control - Intergrated Framework...35 Källförteckning... 36 Bilagor... 39 Bilaga 1...39 Intervjufrågor, förstudie...39 Bilaga 2...40 Intervjufrågor...40 4
Inledning Problembakgrund Användandet av affärssystem har sedan 60-talet vuxit kraftigt. Ursprungligen var systemen mindre komplexa och användes som automatiseringsverktyg för att underlätta materialplaneringen inom tillverkningsindustrin. En ökad komplexitet inom företag och omgivningen de verkar i har lett till att organisationer sedan mitten av 90-talet har implementerat övergripande IT-affärssystem (Magnusson & Olsson, 2008). Syftet med systemen är att effektivisera organisationers processer samt att underlätta beslutsfattande för att på så sätt bli mer konkurrenskraftiga (Magnusson & Olsson, 2008). Systemen kallas Enterprice Resource Planning (ERP) system och består av standardiserade processer (Dillard & Yuthas, 2006). I början av 2000-talet använde sig de flesta av företagen på Fortune 500 - listan av ERP system och även många medelstora företag använder sig av eller planerar att införa ett system (Mambert et al., 2001). ERP system gör att organisationens befintliga system för olika processer kan ersättas med ett huvudsystem som täcker informationsflöden från lokal till global nivå. Strukturen på systemen möjliggör informationsdelning i realtid, i en centraliserad databas från hela organisationen och ökar möjligheten att jämföra och analysera information genom standardisering av datainsamling (Dillard & Yuthas, 2006). Systemen är verksamhetsövergripande och kan i princip innehålla alla värdestödjande och värdeskapande processer som en organisation hanterar, som produktion, försäljning och HR (Magnusson & Olsson, 2008). Det finns flera tänkbara skäl till varför organisationer väljer att införa ett ERP system. En orsak är att organisationen vill förbättra den interna kontrollen (Gong et al., 2011). Intern kontroll är en viktig del av organisationens ekonomistyrning och används för att uppnå organisationens uppsatta mål. Grunden för den interna kontrollen är organisationens samlade rutiner och aktiviteter för att undvika risker och är en process som är integrerad genom hela organisationen (Haglund et al., 2005). Andra motiv som ofta nämns är strävan efter kontroll ända ner till transaktionsnivå (Magnusson & Olsson, 2008), viljan att genomföra en organisatorisk förändring, strävan efter att standardisera arbetsprocesser, eller att få tillgång 5
till centraliserad information (Light & Papazafeiropolou, 2004). Ett lyckat införande av ett ERP system kan innebära rationaliseringar som ger organisationen ökade konkurrensfördelar (Dillard & Yuthas, 2006). Men införandet av ett ERP system kan även få negativa konsekvenser. Det enorma åtagandet en implementering innebär medför finansiella risker. Det är inte ovanligt att ett implementeringsprojekt sträcker sig från sex månader och upp till två år (Aloimi et al., 2007) till en kostnad motsvarande 2-10 % av företagets totala omsättning (Magnusson & Olsson, 2008). Trots att så mycket resurser satsats märker många företag att de väntade effekterna av ERP system uteblir (Robinson & Wilson, 2001). Problemdiskussion Tidigare forskning har visat att problem kopplat till själva användandet av ERP system kan vara de mest överhängande och kritiska riskerna med ERP system. Riskerna brukar vara som mest framträdande vid implementeringsprocessen (Magnusson & Olsson, 2008) och berör om användandet av det nya systemet gör att företaget tappar förmågan att identifiera problem och agera. Eftersom affärssystemet fungerar som en del av verksamhetens infrastruktur, innefattande organisationens processer och rutiner, kan små fluktuationer i drift och informationshantering få stora konsekvenser (Magnusson & Olsson, 2008). Problem relaterade till ovan nämnda risker har gjort att många verksamheter gått i konkurs vid försök att implementera ett nytt ERP system (Magnusson & Olsson, 2008). Ett exempel är det amerikanska företaget Fox Meyer Drugs som gick i konkurs under implementeringsprocessen av ett ERP system. Misslyckandet kunde härledas till bland annat tekniska brister i systemet, motstånd i från personalen och okunskap i att hantera och implementera systemet (Scott & Vessey, 2000). Problem med användandet av ett ERP system kan påverka organisationens interna kontroll negativt. Den interna kontrollen påverkas till stor del av organisationens medarbetare där personalens kompetens, medvetenhet och erfarenhet är viktiga faktorer för att den interna kontrollen ska fungera effektivt (Haglund et al., 2005). Utan tillräcklig träning i ett nytt affärssystem kan bristande kunskaper hos den administrativa personalen leda till att de inte klarar av att arbeta i systemet (Scapens & Jazayeri 2010). Med ny teknologi tillkommer därför relativt outforskade riskområden som ställer nya krav på den interna kontrollen (Haglund et 6
al., 2005). Det är därför intressant att studera hur den interna kontrollen påverkas under implementeringen av ett ERP system. Syfte Vi ämnar i denna studie öka förståelsen för hur den interna kontrollen kan påverkas under implementeringen av ett ERP system. Vi kommer göra det genom att studera hur medarbetarna upplever att den interna kontrollen påverkas. Utifrån detta avser vi dessutom att bidra med kunskap om vilka alternativa åtgärder som organisationer kan vidta för att minska risker som påverkar den interna kontrollen under införandet av ERP system. 7
Teori ERP system och implementering ERP-system är standardiserade och ofta anpassade efter vanligt förekommande processer i specifika branscher snarare än anpassningsbara efter enskilda företag. Det gör att implementeringen av ett ERP system föranleder att organisationen måste se över sina processer och flöden för att säkerställa att systemet kan användas effektivt (Dillard & Yuthas, 2006). Ofta görs mindre modifikationer och justeringar i systemet för att anpassa det efter organisationen vilket kan medföra problem vid exempelvis programuppdatering av ERPsystem, då justeringar och anpassningar inte alltid hålls intakta (Markus & Tanis, 2000). Om en organisations processer är snarlika de processer som ERP-systemet består av blir en övergång mindre svårhanterlig. Om det däremot är stora skillnader mellan de olika systemen kan det krävas att organisationen genomför stora förändringar av sina processer för att anpassas till systemet (Magnusson & Olsson, 2008). Enligt tidigare forskning kan problem med användandet av ERP system härledas till systemens tekniska komplexitet. Eftersom systemen är tekniskt komplicerade är det viktigt att låta användarna involveras så tidigt som möjligt vid införandet av systemet (Magnusson & Olsson, 2008). Det kan ske på olika sätt men det är vanligt att organisationer i ett tidigt stadium låter vissa nyckelpersoner, parallellt med planering och uppstart, få utbildning i systemet. De här nyckelpersonerna kallas superanvändare och skall förmedla kunskapen vidare genom organisationen (Magnusson & Olsson, 2008). Genom att involvera användarna så tidigt som möjligt höjs personalens kompetens och möjligheterna att systemet kan användas vid införandet ökar. Ytterligare motivering för att involvera medarbetare i ett tidigt stadium är att skapa acceptans för det nya systemet, då medarbetares eventuella motvilja mot systemet utgör en stor risk vid implementering (Pipan & Czarniawska, 2008). Utöver utbildning identifierar Marcus et al. (2000) att ytterligare stöd i form av manualer för arbetsprocesser är viktiga under implementeringen, då det ofta kan ta ett tag innan personalen lär sig nya arbetsuppgifter. Det är viktigt att rätta till eventuella fel och brister i ett affärssystem tidigt och där fyller personal en viktig funktion genom att ge respons i ett kvalitetssäkringssyfte (Marcus et al., 2000). Om utbildning nedprioriteras kan det leda till en minskad användarkunskap i systemet, vilket gör att det kan bli svårt för medarbetare att identifiera och lösa systemrelaterade 8
problem (Magnusson & Olsson, 2008). En del organisationer får svårt att hämta sig från dessa problem och är tvungna att öka personalstyrkan för att uppnå normal produktivitet i systemen (Marcus et al., 2000). En annan orsak till att det är viktigt att utbilda medarbetare i systemet är att organisationen annars riskerar att bli beroende av nyckelpersoner med mycket kompetens. Deras kompetens går förlorad om de lämnar organisationen och då är det viktigt att övrig personal kan arbeta i systemet (Marcus et al., 2000). För att säkerställa personalens kompetens kan organisationer genomföra utbildning löpande. Det kan minska personberoendet och även risken att personalen inte använder systemet på ett effektivt sätt (Marcus et al., 2000). ERP systems påverkan på ekonomistyrning Eftersom ERP system är verksamhetsövergripande är det vanligt att en implementering medför att hela processer i verksamheter fundamentalt ändras (Magnusson & Olsson, 2008). Många verksamheter är uppbyggda kring funktioner och inte kring processer, vilket kan innebära att organisationsstrukturen därefter blir mer horisontell än tidigare (Scapens & Jazayeri, 2010). Scapens och Jazayeri, (2010) menar att behovet av samarbete mellan organisationens medlemmar ökar för att informationsdelning mellan enheter blir viktigare. Användandet av ERP system ökar också möjligheterna till att dela information och öka centraliseringen i organisationen. Systemens integrerade karaktär möjliggör även att viss ekonomisk rapportering som tidigare framställdes manuellt nu kan tas fram direkt. Det gör att avdelningschefer får tillgång till den information som ekonomipersonalen tidigare framställde (Scapens & Jazayeri 2010) vilket gör att ERP system därför kan minska behovet av ekonomipersonal (Wagle, 1998). Enligt författarna Granlund och Malmi (2002) har ERP system inte haft någon större inverkan på ekonomistyrning. Detta resonemang grundar de på en studie genomfört i tio olika organisationer där alla har implementerat ett ERP system och inga större effekter har kunnat noteras. Det som upptäcktes var att informationsflödet i de flesta organisationerna förbättrades, vilket har resulterat i en ökad centralisering av information och en ökad tillgänglighet. Organisationsstrukturen och ansvarsfördelningen påverkades i en del av organisationerna i form av nya avdelningar och nya ansvarsområden. De fann även att ekonomipersonalens roll har påverkats i vissa organisationer då den blivit mer analyserande i stället för rutinarbete. Dock påverkades inte ekonomistyrning som exempelvis ABC 9
kalkylering i någon av organisationerna, orsaken till detta var främst att de inte är integrerade i ERP system vilket beror på att det var otroligt avancerat och kostsamt att genomföra. (Granlund & Malmi, 2002) Sutton (2006) menar till skillnad från Garnlund och Malmi (2002) att införandet av ERP system har förändrat klimatet företag verkar i radikalt och att det krävs forskning på en bredare front än vad som tidigare gjorts gällande. Han anser att ERP-system har bidragit till fundamentala förändringar av hur information samlas in, lagras och hanteras och att det har haft stor inverkan på alla delar av ekonomistyrningen. ERP system har möjliggjort för organisationer att genomföra stora organisatoriska förändringar, att växa globalt och att lägga ut kärnfunktioner på externa leverantörer. Sutton (2006) hävdar att trots det har dessa förändringar blivit ignorerade i stor utsträckning i den forskning som bedrivs kring ERP system. Sutton (2006) menar vidare att ekonomipersonalens arbetsuppgifter tydligt har förändrats i och med införandet av ERP system. Från att generera rapporter till att söka efter och analysera information. Han anser också att mer fokus bör riktas mot systemspecifika problem och hur ERP systemet används operationellt av administratörer. Intern kontroll Intern kontroll är en process som används av ledningen för att säkerhetsställa att organisationens fastställda mål uppfylls. Använd på rätt sätt kan intern kontroll vara till stor nytta för verksamheter för att undvika kostsamma fel, skapa effektiva processer och bidra till bättre informationsdelning. Den interna kontrollen påverkas inte enbart av ledningen utan av alla medarbetare i organisationen (FAR Förlag, 2006). Vid jämförelse med revision, så är revision en extern granskning av organisationen och intern kontroll är en process som är integrerad i organisationens styrning (Haglund et al., 2005). Intern kontroll och ekonomistyrning är tätt sammanflätade med varandra där ekonomistyrning är en medveten styrningsprocess för att leda organisationen mot önskat resultat och den interna kontrollen ser till att styrningen ger önskad effekt (Haglund et al., 2001). Ytterligare en funktion som uppfylls av en fungerande intern kontroll är motverkandet av de risker som en organisation möter. Intern kontroll försäkrar dock inte total säkerhet angående risker mot organisationens utsatta mål och en hög intern kontroll är i regel mer kostsamt. Detta innebär att en avvägning måste göras för vilka risker som finns för organisationen och i vilken mån de kan hanteras 10
(FAR Förlag, 2006). Den interna kontrollen påverkas till stor del av organisationens medarbetare (Ramos, 2006). Vilken effekt den interna kontrollen ger är i beroende av vilket ansvar varje medarbetare tar på alla nivåer i organisationen. Detta innebär att vid utformning av intern kontroll måste det tas hänsyn till den mänskliga faktorn. Det är av stor vikt att medarbetare vet vad som fordras av dem, vilket förmedlas effektivast genom att integrera kommunikation i den interna kontrollen (Ramos, 2006). Den mänskliga faktorn bidrar till att det kan vara svårt att använda dokument för att upprätthålla en viss struktur i den interna kontrollen (Leitch, 2008), då medarbetare i regel inte använder sig av dokument när problem uppstår. Det kan vara svårt att nå fram till medarbetare och få en förståelse för processer och rutiner via mejl, då det finns en risk att de glöms bort eller inte ens noteras av medarbetaren (Leitch, 2008). Internal Control - Intergrated Framework The Committee of Sponsoring Organizations of the Treadway Commission (COSO) är en amerikansk organisation inom redovisning och revision. COSO har tagit fram ett internationellt erkänt ramverk, Internal Control - Intergrated Framework, bestående av fem områden som är viktiga för att säkerställa intern kontroll (Haglund et al., 2001; FAR Förlag, 2006). Modellen kan ses som ett ledningsverktyg och ett ramverk som går att anpassa och applicera på allt ifrån små till stora organisationer, såväl offentliga som privata (Haglund et al., 2005). De områdena som ingår i modellen är; kontrollmiljö, riskhantering, information och kommunikation, kontrollaktiviteter, samt tillsyn (Haglund et al., 2005). Sambandet mellan modellens områden kan illustreras med en pyramid (Figur 1). Längst ner är kontrollmiljö som utgör basen i organisationen och är den miljö som de andra områdena verkar i. Närmst ovan i pyramiden följer riskhantering som beskriver hur identifierade risker hanteras. Därefter kommer kontrollaktiviteter, vilka är organisationens rutiner som ska säkerställa kvalitet och att organisationen uppfyller sina mål. Information och kommunikation används för att förmedla hur identifierade risker kan förebyggas genom kontrollaktiviteter. Överst i triangeln är tillsyn, vilken är utformad efter de risker som har identifierats under området riskhantering (Haglund et al., 2005). 11
Intern kontroll och riskhantering Grupp nr 4 Josephine Nordström RC06 Mattias Boman RC06 Figur Figur 1: Helhetsbild 1: av av COSO-modellen Internal Control - Intergrated (Haglund, Framework et al, s 64, (Haglund 2005). et al., s 64, 2005). 3.2.1 Kontrollmiljö Kontrollmiljö är ett samlingsbegrepp för Här Organisationsstruktur, ingår till exempel integritet, ledarstil, kultur etik, ledarskap, och ansvarsfördelning utgör av ansvar organisationens samt engagemang kontrollmiljö och och styrning är det från område ledning som den och övriga styrelse. interna Kontrollmiljön kontrollen verkar utgör i (FAR grunden Förlag, för de 2006). andra Kontrollmiljön komponenterna utvecklas i över den tiden interna och formas kontrollen av organisationens (FAR-förlag, medarbetare 2006). varför Kontrollmiljön det är viktigt skapas att medarbetarna av människorna arbetar i enlighet och hur med de organisationens interagerar med mål och varandra delar samma i verksamheten. etik och moral. Vad finns Området för är integrerat kunskaper i i arbetet verksamheten? vilket gör Hur att ser det relationerna är viktigt med ut? En ansvarsfördelning bra kontrollmiljö och tydliga skapas definitioner inte automatiskt på arbetsuppgifter. utan utvecklas För med att kontrollera tiden (Haglund organisationen et al, 2005). kan ledningen välja att utse nyckelpersoner med extra ansvar och se till att det finns rätt kompetens på rätt plats i organisationen (Haglund et al., 2001). 3.2.2 Riskanalys Identifiering Riskhantering och analys av risker är viktigt för att organisationer ska nå sina mål. Det handlar om att hantera riskerna innan de uppstår (Haglund et al, 2005). En Oavsett storlek finns det i alla organisationer en risk för att oönskade situationer ska uppstå. riskbedömning består av en kartläggningsprocess, en uppskattning av Det kan gälla allt från att obehöriga personer får tillgång till organisationens resurser till att konsekvenserna, risken för relevanta rutiner och system samt ett beaktande av hur felaktiga fakturabelopp betalas ut (Haglund et al., 2005). Om risken blir verklighet kan det riskerna ska hanteras. En strukturerad riskbedömning möjliggör identifiering av påverka verksamhetens möjlighet att nå sina mål. En del av intern kontroll handlar därför om de risker som väsentligt påverkar den interna kontrollen (FAR-förlag, 2006). att analysera vilka potentiella risker som finns och att vidta åtgärder för att förhindra att riskerna realiseras (Haglund et al., 2001). Det finns dock inget sätt att i praktiken helt När det gäller intern kontroll kan risker delas upp i externa och interna risker. De eliminera risker och ett visst risktagande måste alltid accepteras. Det är viktigt att externa riskerna omfattar bland annat omvärldsrisker i form av att exempelvis riskbedömningen tar många faktorer i beaktning och att kontrollprocesser prioriteras i myndighetsbeslut påverkar verksamheten negativt. Finansiella risker i form av till områden som präglas av högre risk (Haglund et al., 2001). Risker kan delas in i interna och exempel sena betalningar från kunder utgör också en extern risk. Även legala externa risker vad gäller intern kontroll.! 15 12
Externa risker är kopplade till den omgivningen i vilken en organisation är verksam i och innefattar bland annat omvärldsrelaterade och finansiella risker (Haglund et al., 2005). Omvärldsrisk innebär att politiskt fattade beslut, av exempelvis riksdagen eller andra externa aktörer, påverkar organisationens verksamhet negativt. Det kan även gälla andra faktorer som arbetsmarknadsutvecklingen eller utbyggnaden av infrastruktur (Haglund et al., 2005). Finansiella risker kan utgöras av att verksamheten får sina kundfordringar betalda för sent eller inte alls. Det kan även gälla valutarisker då fluktuationer kan påverka exempelvis leverantörsskulder och kundfordringar eller av likviditetsrisker som påverkar organisationens betalningsmöjligheter (Haglund et al., 2005). Interna risker är de risker som uppstår inom verksamheten och faktorer som påverkar dessa är till exempel informationssystemets tillförlitlighet, personalens kompetens, förändring av rutiner, system och teknik (Haglund et al., 2005). IT - baserade problem kan uppstå vid införandet av ny teknik, varför det är viktigt att den interna kontrollen beaktas vid införandet av ett ERP system. En viktig intern riskfaktor är redovisningsrisken som innebär att olika kalkyler och rapporter inte är tillförlitliga vilket kan leda till att beslut fattas utifrån felaktig information. Redovisningsrisken berör även om räkenskaperna är rättvisande eller ej (Haglund et al,. 2005). Information och kommunikation För att den interna kontrollen ska kunna bedrivas effektivt är det nödvändigt med tillförlitlig information och att kommunikationen fungerar genom hela organisationen (FAR förlag, 2006). Information används för att kontrollera processer och aktiviteter inom organisationen och att se till att resursallokeringen är korrekt. Det är viktigt att det finns tillgång till tillförlitlig information som kan ligga till grund för olika beslut och utvärderingar. Kommunikationen kan ske verbalt och skriftligt, internt och externt (Haglund et al., 2005). Kontrollaktiviteter Kontrollaktiviteter är aktiviteter integrerade i organisationens rutiner som sker på daglig basis för att uppnå företagets mål (Haglund et al., 2001). Utformningen av kontrollaktiviteter bygger på organisationens struktur och vilka risker som identifierats i organisationen. För att uppnå effektivitet är det av stor vikt att samtliga medarbetare tar sitt ansvar för den interna kontrollen. För att organisationen ska fungera är det nödvändigt med dokumenterad ansvarsoch befogenhetsfördelning, tydliga mål och regelverk samt dokumenterade rutiner så att 13
organisationen inte blir personberoende (Haglund et al., 2001). Tillsyn Avsikten med tillsyn är att kontrollera och analysera de aktiviteter som sker i en organisation (FAR Förlag, 2006). Syftet är att upptäcka snarare än att förhindra fel och brister och omfattar inspektion, observation, utredning och analys. Det sker ofta i form av iakttagelser som exempelvis granskning av fakturor, befintliga tillgångar och internredovisning, kontrollera lager och göra trendanalyser (Haglund et al., 2005). Resultatet av tillsyn ska leda till förslag på förbättringar och en kontinuerlig kvalitetssäkring av organisationens rutiner och processer. Förändringstakten i omvärlden leder till att ledningen kontinuerligt måste omvärdera kontrollsystemen i organisationen varför tillsyn är en ständigt pågående process (Haglund et al., 2005). 14
Metod Val av organisation En stor del av den bedrivna forskningen inom ekonomistyrningsförändring tenderar att fokusera på utfallet av en förändringsprocess där olika villkorade faktorer jämförs med en förändring som har skett (Scapens & Jazayeri, 2010). Efter att ett projekt är över glöms dock detaljer ofta bort och förklaringar konstrueras utefter resultatet av processen (Lynne et al., 2000). Eftersom vissa risker med ERP system är som störst vid implementeringen och att majoriteten av forskningen kring ERP system studerar effekterna av en förändring (Scapens & Jazayeri, 2010) torde det därför vara viktigt att studera hur den interna kontrollen påverkas under själva implementeringsprocessen. Studien genomfördes i en organisation inom IT-branschen. Valet av organisation där studien är genomförd motiveras med att organisationen i dagsläget är mitt under implementeringen av ett ERP system. Vi hoppas att med att undersöka implementeringen under processen därför kunna identifiera fenomen som tillbakablickande undersökningar kan missa. Organisationen har valt att vara anonym och benämns som Bolag AB i uppsatsen. Val av teori och operationalisering Vi har använt oss av det teoretiska ramverket Internal Control - Intergrated Framework som utgångspunkt vid insamling av data och vid analys. Ramverket är en erkänd modell som kan användas för att skapa en helhetsbild över intern kontroll (FAR Förlag, 2006 och Haglund et al., 2005) och modellen används i regel till att studera intern kontroll ur ett ledarperspektiv. Vi har i vår studie utgått ifrån modellen för att undersöka hur den administrativa personalen upplever att den interna kontrollen påverkas. Ramverket har tidigare använts för att studera förändringar i den interna kontrollen (Jones, 2008), men vi har inte funnit forskning där modellen används för att undersöka hur den interna kontrollen påverkas under implementeringen av ett ERP system. Syftet med att använda ramverket Internal Control - Intergrated Framework som utgångspunkt i vår studie är därför att fånga nya infallsvinklar på hur den interna kontrollen påverkas under implementeringen av ett ERP system och på så sätt bidra till den pågående forskningsfrågan. 15
Nedan följer en redogörelse för vad vi har valt att studera inom respektive område i modellen; Kontrollmiljö För att få information om hur kontrollmiljön har påverkats under implementeringen har vi ställt frågor utformade efter organisationsstruktur och ansvarsfördelning. Vi har valt att fråga hur ansvarsfördelningen har förändrats på och mellan avdelningarna för att undersöka hur kontrollmiljön har påverkats under implementeringen av ett ERP system. Vi undersökte även hur arbetsbelastningen påverkades under implementeringen. Vi har inte undersökt kultur, då den är i grunden förändringsobenägen (Haglund et al., 2005) vilket gör att det kan vara svårt för respondenten att identifiera om den har förändrats under implementeringen. Riskhantering Vi har valt att studera vilka risker som kan uppstå under implementeringen av ett ERP system och hur en organisations hantering av interna och externa risker kan påverkas. Vi frågade respondenterna vilka risker de upplevde vara mest kritiska under implementeringen för att se vilka risker de prioriterade. Vi noterade även potentiella riskfaktorer som framkom under intervjuerna, även om det inte var svaret på en direkt fråga kopplad till området riskhantering. En avgränsning vi gjorde i vår studie var att bortse från omvärldsrelaterade risker, vilket beror på att det kan vara svårt för medarbetare att avgöra om exempelvis riksdagsbeslut har påverkat riskhanteringen under implementeringen av ERP systemet. Information och kommunikation För att intern kontroll ska fungera på ett bra sätt är det viktigt med en fungerande kommunikation (Haglund et al., 2005), varför vi har undersökt hur olika avdelningar kommunicerar med varandra och hur personalen upplever att behovet av kommunikation har förändrats under implementeringen. Vi har även valt att studera hur informationshanteringen har förändrats och hur informationens tillgänglighet och tillförlitlighet har påverkats under implementeringen. Kontrollaktiviteter Här har vi valt att undersöka hur behovet av kontrollaktiviteter kan förändras. För att göra det valde vi att studera hur medarbetarna upplevde att behovet av dokumenterade rutinbeskrivningar, manualer och internutbildning har påverkats. Orsaken till att vi valde att studera dessa variabler är att utbildning och rutinbeskrivningar används för att säkerställa personalens kompetens (Markus et al., 2000) vilket torde vara viktigt när stora förändringar 16
sker. Tillsyn Frågorna i tillsyn är utformade efter de svar vi fick av respondenten på området riskhantering. Det beror på att tillsyn av aktiviteter utgår från de observerade risker som finns i organisationen för att säkerställa den interna kontrollen (Haglund et al., 2005). Vi ville med studien ta fasta på om och i så fall hur tillsynsrutinerna påverkades under implementeringen. Datainsamling Då vi ämnat undersöka hur den interna kontrollen påverkas under implementeringsprocessen av ett ERP system valde vi att genomföra en explorativ studie med semistrukturerade kvalitativa intervjuer för insamling av primärdata (Saunders et al., 2009). Valet av explorativ metod motiveras med att forskningen angående ERP system inte är fullständig (Sutton, 2006), varför vi gjort en utredande istället för en förklarande undersökning (Saunders et al., 2009). Anledningen till att vi använt oss av semistrukturerade intervjuer är att respondenten kan utveckla sina svar och ge sin personliga åsikt samtidigt som att möjligheten för följdfrågor finns genom hela intervjun. Strukturen på intervjuerna möjliggör också att frågorna kan justeras något efter varje respondent och avdelning (Saunders et al., 2009). Vi har dock ställt alla grundfrågor som visas i frågeformuläret (bilaga 2) för att en jämförelse och analys senare ska vara möjlig. Vi har gjort en fallstudie som har genomförts på olika avdelningar i en organisation. Detta angreppsätt har gett oss en möjlighet till djupare förståelse för hur den interna kontrollen påverkas när ett ERP system implementeras och även möjlighet att jämföra och analysera eventuella skillnader mellan avdelningar. Alternativa metoder för datainsamling för oss var att genomföra en kvantitativ enkätstudie eller gruppintervjuer. En enkätstudie hade gett oss en bredd i undersökningen och ökad möjlighet till mer generella slutsatser (Saunders et al., 2009), men då vår undersökning föll in under ett område som behövde mer forskning ansåg vi att djupgående svar gav oss ett mer relevant material. Gruppintervjuer var ett alternativ, då vi hade fått möjlighet att intervjua fler respondenter under kortare tid, vilket hade varit en fördel då tiden för att utföra studien var begränsad. Dock kan det vara svårt att fånga varje enskild respondents åsikt och jämföra olika 17
avdelningar under en gruppintervju (Saunders et al., 2009), varför vi valde att genomföra enskilda semistrukturerade intervjuer. Förstudie Innan vi började vår insamling av primärdata valde vi att göra en förstudie (bilaga 1) för att få en uppfattning om frågornas användbarhet och en medvetenhet om vilka justeringar som var nödvändiga. Förstudien genomfördes med projektansvarig för implementeringen av ERP systemet i Bolag AB. Syftet med förstudien var att få bakgrundsinformation om implementeringen och få respons på vårt tänkta fokus med att undersöka hur den interna kontrollen kan påverkas under implementeringen av ett ERP system. Han tyckte vårt syfte verkade intressant och föreslog att vi skulle studera avdelningarna kundreskontra, redovisning, leverantörsreskontra, inköp och innesälj. Detta eftersom hans uppfattning var att alla avdelningarna har påverkats under implementeringen och att de två sistnämnda uppkom i samband med implementeringen. Vi fick rekommendationen att intervjua avdelningsansvarig personal. Han menade att avdelningsansvariga kan ha en tydlig bild av hur hela enheten de ansvarar för har påverkats. Vi valde att även intervjua fler medarbetare för att fånga upp flera perspektiv på hur avdelningarna har påverkats och för att få ett bredare urval. Efter intervjun fick vi möjlighet att testa våra intervjufrågor för att se vad som behövde justeras. Responsen vi fick var att vissa av våra frågor behövde förklaras med ett exempel för att medarbetarna skulle få en bättre förståelse för innebörden av frågorna. Efter justeringarna upplevde vi att våra intervjufrågor var lämpliga att använda i våra efterföljande intervjuer med bra koppling till teori och bra möjligheter för senare analys, varför vi valde att inte genomföra fler förstudier. Respondenter Vi har genomfört en förstudie med projektledaren för implementeringen av Navision 2009 och tio intervjuer fördelade på fem avdelningar med två respondenter från respektive avdelning. De avdelningar som har medverkat i studien är kundreskontra, leverantörsreskontra, redovisning, inköp och innesälj. Vi har genomfört två intervjuer på respektive avdelning, en med avdelningsansvarig och en med medarbetare. Intervjuerna genomfördes under två veckors tid utan inbördes ordning. 18
Avdelning Respondent Befattning Datum Intervjutid Kundreskontra Respondent 1 Avdelningsansvarig 11-11-23 40 min Hanterar inkommande betalningar, skickar ut fakturor och påminnelser. Respondent 2 Administratör 11-11-23 45 min Redovisning Respondent 3 Avdelningsansvarig 11-11-25 30 min Hanterar organisationens bokföring Respondent 4 Administratör 11-11-25 och den finansiella rapporteringen. Leverantörsreskontra Respondent 5 Avdelningsansvarig 11-11-25 45 min Handlägger inkommande fakturor Respondent 6 administratör 11-11-25 30 min och betalningar av leverantörsskulder. Inköp Respondent 7 Avdelningsansvarig 11-11-25 40 min Hanterar inköp och vissa av Respondent 8 Administratör 11-11-28 40 min organisationens inkommande fakturor. Innesälj Respondent 9 Avdelningsansvarig 11-11-28 40 min Avdelningen handlägger beställningar och ordrar från kunder. Respondent 10 Administratör 11-11-28 35 min Projektledare Projektledare Projektledare 11-11-22 1 h Ansvarig för implementeringen av ERP systemet. Tabell 1. Avdelningarnas ansvarsuppgifter och information om intervjuerna. Intervjustruktur Intervjuerna har genomförts enskilt med respektive respondent på deras arbetsplats. Vi valde att genomföra enskilda intervjuer för att fånga varje respondents personliga åsikt och utan inverkan från övriga respondenter (Saunders et al., 2009). Varje intervju inleddes med att vi presenterade bakgrunden till uppsatsen och syftet med intervjun. Inför intervjuerna frågade vi om vi fick möjlighet att spela in intervjun för att underlätta senare transkribering av materialet, vilket vi fick tillåtelse att göra under samtliga intervjuer. Respondenterna upplystes i samband med detta att de skulle vara anonyma och att de kunde välja att inte besvara de frågor de uppfattade som obekväma. För att respondenterna skulle känna sig bekväma genom intervjuerna valde vi att inleda med frågor om deras bakgrund (Saunders et al., 2009). Därefter fortsatte vi intervjuerna med att ställa frågor utformade efter områdena i ramverket Internal Control - Intergrated Framework (kontrollmiljö, riskhantering, information och kommunikation, kontrollaktiviteter samt tillsyn). Begränsningar med studien Implementeringen av ERP systemet sträcker sig över ett tidsspann på ca tre år och våra intervjuer är utförda under en period på två veckor. Detta medför att det finns en risk att vi fångar upp detaljer som inte är representativa för majoriteten av perioden. För att undvika detta har vi under intervjuerna försökt att få respondenterna att reflektera över hur den interna kontrollen har påverkats under hela implementeringen. 19
Vi har intervjuat 10 respondenter och samtliga kommer från samma organisation, vilket leder till att generaliserbarheten kan vara låg. Dock anser vi att på grund av uppsatsens explorativa karaktär är syftet inte att dra generella slutsatser utan att urskilja eventuella faktorer som kan bidra till forskningsfrågan angående internkontroll och ERP system. Vidare använder vi oss av ett teoretiskt ramverk vilket kan det medföra nackdelar i studien. Enligt Saunders et al. (2009) begränsar denna metod studien och vissa faktorer som hade kunnat vara av betydelse för studien utesluts, då de inte är en del av modellen. 20
Bolag AB och Navision 2009 Bolag AB Bolag AB är en koncern specialiserad på IT-infrastruktur och är verksam i Norden och Baltikum. Koncernens svenska verksamhet är indelad i regionala kontor som har en centraliserad ekonomi- och administrationsenhet. Den centraliserade enheten består i sin tur av följande avdelningar: leverantörsreskontra, kundreskontra, redovisning, innesälj och inköp. Organisationen har de senaste tre åren förvärvat ett flertal bolag som arbetat i olika informationssystem. För att underlätta för den centraliserade ekonomi- och administrationsenheten har därför organisationen beslutat att övergå till ett ERP-system. Implementeringen av detta har påbörjats och sker i projektform där en projektgrupp har tillsats för att genomföra implementeringen av affärssystemet Navision 2009. (projektledaren) Navision 2009 Navision 2009 (Nav 9) är ett ERP system utvecklat av Microsoft. Systemet är utformat för att medarbetare ska kunna arbeta snabbare och ha större tillgång till information, vilket realiseras av att Nav 9 integreras i organisationens operativa processer. Systemet är användarvänligt och ökar möjligheten att utnyttja övriga Microsoft produkter maximalt som exempelvis Microsoft Excel. Systemet har en flexibel struktur, vilket gör att det går att koppla ihop med utomstående system och samla data så att den finns tillgänglig för samtliga medarbetare. Samtlig information som hanteras i systemet är samlad på ett ställe och ger medarbetaren tillgång till information och en tydlig överblick över exempelvis lagerstatus, aktuella priser på produkter och valutakurser. (Produktblad) Implementering av Navision 2009 I dagsläget arbetar Bolag AB i fyra verksamhetsövergripande system, inklusive Nav 9, vilket är en konsekvens av bolagsuppköp. Övergången till Nav 9 har påbörjats för ett av dessa system. De andra två verksamhetsövergripande systemen är fortfarande i en planeringsfas och övergången från dessa har inte påbörjats. Planeringen inför implementeringsprojektet startade för två år sedan med att en projektgrupp tillsattes med målet att organisationen endast skulle bestå av ett ERP system. I augusti i år påbörjades övergången från ett av affärssystemen då ett antal testkunder lades över till Nav 9 och i oktober hade 90 procent av Bolag AB:s kunder förts över från det systemet. (projektledaren) 21
Anledningen till att Bolag AB beslutade att övergå till endast ett ERP system är att organisationen vill ha ett övergripande system som hanterar all information, istället för flera som det är i dagsläget. Målet med implementeringen är att det ska bli billigare och enklare att hantera informationsflöden och ge organisationen möjlighet att växa snabbare. (projektledaren) Bolag AB köper kontinuerligt upp företag vilket gör att implementeringen av systemet kanske aldrig blir klar, dock hoppas projektledaren att implementeringen hela tiden kommer förfinas och förenklas och inte vara ett lika stort projekt som idag. För att övergången till det Nav 9 ska gå så smidigt som möjligt har personal som ska arbeta i systemet utbildats i omgångar under ca ett års tid. Utbildning i systemet sker även i form av superanvändare, vilket innebär att några ansvariga på olika enheter utbildas, för att kunna föra kunskapen vidare till sin avdelning. (projektledaren) Samtidigt som implementeringen av ERP systemet startade valde Bolag AB att göra en omstrukturering i organisationen. Orsaken till detta var inte enbart för att anpassa organisationen efter systemet, utan att hela tiden utvecklas och ha tydliga ansvarsområden vilket blir av större vikt ju större organisationen blir. De förändringar som har gjorts är att de har byggt upp nya rutiner och avdelningar. De avdelningar som har införts är en inköpsavdelning och en innesäljsavdelning för produktadministration. (projektledaren) Resultat av intervjuerna Kontrollmiljö Kontrollmiljön i Bolag AB har förändrats under implementeringen av ERP systemet Nav 9. Två nya avdelningar, inköp och innesälj, uppkom i samband med implementeringen och var planerade organisatoriska förändringar snarare än en konsekvens av övergången till Nav 9. Det visade sig att ansvarsfördelningen mellan organisationens avdelningar har förändrats och inköp har tagit över vissa arbetsuppgifter som tidigare utfördes av leverantörsreskontran och kundreskontran. Eftersom inköp inte hade tidigare erfarenhet av hur arbetsuppgifterna utförs har det krävts mycket stöd från leverantörs- och kundreskontran för upplärning av inköpsavdelningen. Resurser i form av personal har därför avvarats från båda dessa 22
avdelningar vilket i sin tur har förändrat ansvarsfördelningen internt inom de båda reskontrorna. Detta då personal får täcka upp för utbildande personals administrativa arbetsuppgifter. Även på innesäljsavdelningen har ansvarsfördelningen förändrats. I början av omstruktureringen bestod innesäljavdelning av tre team som arbetade med liknande arbetsuppgifter, men med olika inriktning. Under implementeringens gång har det blivit en tydligare distinktion mellan teamen och en tydligare ansvarsuppdelning (respondent 9). På en majoritet av avdelningarna har arbetsbelastningen blivit snedvriden under implementeringen. Stora delar av kunderna finns nu i Nav 9, men då inte alla medarbetare är bekanta med systemet ökar arbetsbelastningen för de som tidigare har arbetat i systemet. (respondent 1-10) Respondenterna från leverantörsreskontran menar att deras avdelning under implementeringen blivit allt mer enhetlig. Tidigare jobbade de i tre av organisationens övergripande system och avdelningen var indelad i tre olika reskontror. I och med implementeringen har fler och fler börjat arbeta i samma system. Detta är även något kundreskontran noterat. (respondent 1,2 och 5,6) Redovisningen är den avdelningen där kontrollmiljön har förändrats minst. Avdelningens ansvarsområden har inte förändrats och inte heller ansvarsfördelningen inom avdelningen (respondent 3 och 4). Riskhantering Det finns ett ökat behov av riskhantering på samtliga av dem undersöka avdelningarna. Interna IT-baserade risker och brister i medarbetares kompetens relaterade till Nav 9 är de risker som varit mest framträdande och upplevts av samtliga respondenter. De IT-baserade risker som noterades skiljde sig åt, men majoriteten av riskerna härstammar i tekniska brister i systemet. Vissa IT-baserade risker som ökat under implementeringen är relaterade till informationshantering, då bristerna lett till att information saknas och att all information inte går att hantera i Nav 9, vilket har ökat osäkerheten och medfört att uppgifter måste dubbelkontrolleras. (respondent 1-10) Tekniska brister har även orsakat externa finansiella risker som uppstår som en effekt av att systemet inte är tillräckligt utvecklat. Kundreskontran har identifierat två risker under implementeringen. En har varit att rapporter på fakturor varit felaktiga, vilket inneburit att 23
fakturor ibland inte nått kunden. Den andra risken är att fel som uppstått när inköpsavdelningen skapar fakturor drabbar deras avdelning, då systemet inte fångar upp felaktiga uppgifter, utan det märks i ett senare skede när fakturan registreras hos kunden. Kundreskontran som ansvarar för att fakturorna betalas i tid får då problem att kräva betalning från kunder när fakturor inte är korrekta. (respondent 1 och 2). På redovisningsavdelningen har tekniska brister bidragit till problem vid hantering av terminssäkringar, vilket innebär att valutan måste kontrolleras och låsas i flera system vilket innebär extra arbete och en ökad risk. (respondent 3 och 4) Samtliga avdelningar upplever att kunskapsbrist hos medarbetare i Nav 9 innebär en ökad risk. En av anledningarna är att Bolag AB blivit mer personalberoende, då en del personal är kunnig i systemet medan andra knappt kan hantera det. En annan orsak är att då inte alla medarbetare utbildats kontinuerligt, har de inte hunnit hänga med i övergången till det Nav 9 varför bristen på utbildning ses som en riskfaktor. En respondent var med vid testkörning av systemet och då upptäcktes att det fanns uppenbara glapp, vilka sammanställdes på en kritisk lista som sedan åtgärdades. Alla avdelningar fick efter testkörningen arbeta med ett antal testkunder i Nav 9 och därefter komma med synpunkter på eventuella förändringar i systemet. En respondent upplevde att en effekt av detta var att de kunder som var de första att läggas över till Nav 9 drabbades extra hårt, då personalen inte kunde hantera systemet i tillräckligt stor utsträckning, vilket bidragit till en del missnöjda kunder. (respondent 1-10) Ytterligare en risk som noterats under implementeringen är att mycket av information måste hanteras manuellt, då endast 4 av 200 leverantörer finns i systemet. Det medför att risken ökar att information blir felaktig eller inte registreras korrekt. (Respondent 7 och 8). Information och kommunikation Samtliga avdelningar upplever att behovet av kommunikation har ökat under implementeringen, dock i något olika omfattning. Det finns flera orsaker bakom den ökade kommunikationen. Majoriteten av de tillfrågade upplever att en orsak till den ökade kommunikation är att det har skett en omfördelning av arbetsuppgifter under implementeringen. Omfördelningen har skett genom att innesälj tagit över vissa av kundreskontrans arbetsuppgifter och inköp tagit över vissa av leverantörsreskontrans 24
arbetsuppgifter. Detta har medfört att inköp och innesälj behövt ett ökat stöd för att lära sig de nya arbetsuppgifterna, vilket främst har skett genom kommunikation via personlig kontakt. Kommunikationen mellan avdelningar som ligger nära varandra, sker främst via personlig kontakt och avdelningar som har ett längre avstånd kommunicerar främst via mejl. (respondent 1-10) Inlärning och utbildning i det nya systemet är ytterligare en bidragande faktor till att kommunikationen har ökat i och mellan avdelningarna. De respondenter som har märkt av detta mest är de medarbetare som är avdelningsansvariga. Det har tidigare kunskap och fått utbildning i systemet, vilket medfört ett ansvar för att lära ut till resterande av medarbetarna på respektive avdelning. (respondent 1-10) Tillgången till och hantering av information har påverkats under implementeringen, vilket främst beror på att Bolag AB arbetar i flera system och informationen inte finns samlad på ett ställe. De flesta av respondenterna upplever att tillförlitligheten kan ha påverkats negativt och att flera uppgifter måste dubbelkontrolleras. Det kommer mycket information angående implementeringen via mejl och mycket publicerats på intranätet där alla har tillgång till informationen (respondent 9). Flera respondenter anser att det är kritiskt att information sker muntligt, då mejl och intranätbaserad information kan vara svår att ta till sig. (respondent 1-10) Kontrollaktiviteter På samtliga avdelningar är behovet av internutbildningar betydligt större nu under implementeringen, vilket beror på att personalen behöver lära sig det nya systemet och hur det används på bästa sätt. Hur tillgången till internutbildningar har sett ut skiljer sig dock mellan avdelningarna. De respondenter som arbetar på innesälj och leverantörsreskontra menar att utbildningar har skett kontinuerligt sedan starten och att de har varit av god kvalité. Kundreskontran fick främst utbildning i systemet innan implementeringen startade, vilket var i ett för tidigt skede för att vara användbar då mycket av kunskapen glömts bort. På inköp och redovisningen har behovet av internutbildningar varit större än vad de faktiskt fått varför de inte kunnat utnyttja systemet till fullo som en följd av detta. (respondent 1-10) En av respondenterna på innesälj tycker att de går igenom en kritisk period nu under 25
implementeringen när det kommer till utbildning. Det beror på att miljön de jobbar i är väldigt komplicerad och det nya systemet bidrar med ökad komplexitet. Utbildning har skett i form av teoretiska matriser och med riktiga fall, vilket hon upplever gett bäst resultat. Dessutom har de på avdelningen fyra stycken superanvändare vilket bidrar med stor hjälp vid inlärning av systemet nu under implementeringen. (respondent 9 och10) Nästan alla respondenterna anser att behovet av manualer och processbeskrivningar har ökat under implementeringen vilket beror på att det finns nya informationsflöden. Flera respondenter menar att rutinbeskrivningar är viktiga för att undvika att verksamheten blir allt för personberoende. (respondent 1-10) På kundreskontran, leverantörsreskontran och inköp brister dock manualerna något, då inte alla är uppdaterade och en del är under uppbyggnad, vilket gör att tillförlitligheten till manualer inte är så hög. Majoriteten av respondenterna upplever att behovet av manualer är stort och de hjälper till att dagligen producera nya manualer, då det ingår i deras arbetsuppgifter. Inköpsavdelningen kom in sent i implementeringen vilket har bidragit till att istället för att vara med och utforma systemet, får det justeras i efterhand. (respondent 1-10) Tillsyn På samtliga avdelningar har behovet av tillsyn ökat nu under implementeringen. Orsaken bakom detta skiljer sig mellan avdelningarna och är framförallt relaterade till de processer som anses ha påverkats negativt på respektive avdelning under implementeringen. (respondent 1-10) På kundreskontran har behovet av att manuellt kontrollera listor med fakturor som inte blivit betalda ökat, vilket beror på att fakturor registreras i flera system och att det är lätt att misstag sker vid registrering. Även på redovisningen och inköpsavdelningen hanteras mycket information manuellt och behovet av att dubbelkontrollera processer och jämföra information i olika system är även där större nu under implementeringen. (respondent 1-8) På redovisningen har nya rapporteringsrutiner arbetats fram under implementeringen. Därför kontrolleras processer extra och noggranna avstämningar görs för att höja de nya rapporternas tillförlitlighet och öka möjligheten till att kunna göra eventuella justeringar. (respondent 4) 26