Interplay between technical and social control : Internal control and SOX compliance at Nokia
Ratsula, Niina (2020-12-04)
Interplay between technical and social control : Internal control and SOX compliance at Nokia
Ratsula, Niina
(04.12.2020)
Turun yliopisto. Turun kauppakorkeakoulu
Julkaisun pysyvä osoite on:
https://urn.fi/URN:ISBN:978-951-29-8240-0
https://urn.fi/URN:ISBN:978-951-29-8240-0
Tiivistelmä
There are high expectations for companies to act responsibly and provide transparent and reliable information about their operations and financial status. Regulations such as the Sarbanes–Oxley Act of 2002 (SOX) have put pressure on companies to increase their technical controls and formalize their internal control and compliance systems. At the same time, authorities are adding significantly more weight on company ethics and the “tone set at the top” in determining whether a compliance program is comprehensive and effective. For example, the most recent DOJ guidance (U.S. Department of Justice Criminal Division 2019) on evaluating corporate compliance programs does not recommend that companies adopt a specific set of policies or procedures. Rather, it instructs prosecutors to assess whether a company has “incorporated the culture of compliance into its day-to-day operations.” This study is about understanding the relationship between these written rules (i.e., technical control) and the culture of compliance (i.e., social control).
Technical controls constitute written rules and procedures, whereas social controls are about the efforts to persuade people to adapt to certain values, norms, and ideas about what is good and important in terms of work. Increased attention toward this softer aspect of controls is because, in many accounting fraud scandals, the issue has not been the lack of technical controls but the existence of toxic culture and poor tone at the top. To meet the stakeholders’ expectations of acting as responsible corporate citizens, companies need both technical and social controls. Despite this realization, the research around management control systems has still been largely focused on technical control systems. Social controls have been studied in the sociological literature, with only a few studies focusing on the relationship between social and technical controls.
This study explores the different elements of control systems and their interrelations in a rather unexplored context: focusing on the design and implementation of an internal control system under a SOX compliance program. The study seeks to understand what happens when an organization introduces new technical controls as part of its SOX implementation project. More specifically, the focus is on the relationship between technical and social controls. Furthermore, this study seeks to differentiate between the control design, which is a management task, and the control implementation, which is about how the controls are introduced to and adopted by the employees. Empirical analysis is drawn from a case setting in which Nokia, a Finnish-based public company subject to SOX legislation, has designed an internal control system and introduced it to its employees globally.
This study provides managerial and legislative implications and contributes to the literature on both management control and internal control systems. The management control literature has previously considered internal control as primarily related to controls that are in place to safeguard assets and ensure financial reporting quality. This study widens this traditional view and brings the definition of internal control closer to the concept of management control.
The key finding of this study is that the social controls can play a significant role in implementing technical controls. This study suggests that these two control types should not be considered as isolated in the control design process because their continuous interplay will affect how the controls are perceived and performed. It is a matter of how managers apply social control when designing and introducing technical controls. They must consider that employees do not always follow the controls as a result of rational decision-making; instead, employees’ emotions affect how they decide to act. In this study, employees who had strong emotions toward the controls were also more likely to perform the controls. Thus, emotions are tied with employee perceptions of the controls. Even though today’s technology provides endless possibilities for automated, system-based controls, a human factor will always be central in an effective internal control system.
KEYWORDS: internal control, management control systems, technical control, social control, SOX compliance, global companies, Nokia Yrityksiltä odotetaan vastuullisuutta, läpinäkyvyyttä ja luotettavaa raportointia toiminnastaan ja taloudellisesta asemastaan. Yhdysvalloissa vuonna 2002 säädetty Sarbanes–Oxley laki eli niin kutsuttu SOX-lainsäädäntö on lisännyt Yhdysvaltain pörssissä noteerattujen yritysten painetta kiinnittää huomiota sisäisen valvonnan järjestämiseen ja compliance-ohjelmien rakentamiseen. Usein tämä johtaa siihen, että, yrityksissä otetaan käyttöön helposti todennettavia kontrolleja, kuten ohjeita ja sääntöjä sekä henkilöstölle suunnattuja koulutusohjelmia. Samaan aikaan viranomaiset ovat lisänneet huomattavasti enemmän painoarvoa eettisesti kestävään yrityskulttuuriin ja johdon osoittamaan esimerkkiin, kun ne arvioivat, onko yrityksen compliance-ohjelma kattava ja tehokas. Esimerkiksi viimeisimmän Yhdysvaltain oikeusministeriön (Department of Justice, DOJ) asettaman compliance-ohjelmien arviointia koskevan ohjeistuksen mukaan ei ole suositeltavaa laatia ainoastaan toimintapolitiikkoja tai menettelytapoja. Sen sijaan DOJ kehottaa syyttäjiä arvioi¬maan, onko yritys "sisällyttänyt asianmukaisen toimintakulttuurin päivittäiseen toimintaansa". Tämän tutkimuksen ytimessä ovat näiden formaalien sääntöjen eli todennettavien kontrollien sekä yrityskulttuuriin pohjautuvien sosiaalisten kontrol¬lien välisen vuorovaikutuksen ymmärtäminen.
Todennettava kontrolli muodostuu kirjallisista säännöistä ja menettelytavoista, kun taas sosiaalinen kontrolli tarkoittaa pyrkimystä saada ihmiset sisäistämään tietyt arvot, normit ja ajatukset siitä, mikä on hyvää ja tärkeää sekä yksittäisen työntekijän että organisaation edun kannalta. Lisääntynyt huomio tälle pehmeämmälle ohjaukselle johtuu siitä, että monissa yritysskandaaleissa kysymys ei ole ollut todennettavan kontrollin puutteesta, vaan myrkyllisen yrityskulttuurin erilaisista ilmentymistä. Yritykset tarvitsevat sekä todennettavaa että sosiaalista kontrollia pystyäkseen vastaamaan sidosryhmien odotuksiin toimia vastuullisina yrityskansa-laisina. Tästä huolimatta johdon ohjausta koskeva tutkimus on edelleen keskittynyt suurelta osin todennettaviin ohjausjärjestelmiin. Sosiaalista kontrollia on tutkittu sosiologisessa kirjallisuudessa, ja vain harvat tutkimukset keskittyvät sosiaalisten ja todennettavien kontrollien väliseen suhteeseen.
Tässä tutkimuksessa tarkastellaan ohjausjärjestelmien eri elementtejä ja niiden välisiä suhteita melko tutkimattomassa yhteydessä: tutkimus keskittyy sisäisen valvonnan rakenteiden suunnitteluun ja toteuttamiseen SOX-compliance -ohjelman kontekstissa. Tutkimuksella pyritään ymmärtämään, mitä tapahtuu, kun organisaatio ottaa käyttöön uusia todennettavia kontrolleja osana SOX-projektiaan. Tarkemmin sanottuna keskitytään todennettavien ja sosiaalisten kontrollien väliseen vuorovaikutukseen. Lisäksi tässä tutkimuksessa pyritään erottamaan sisäisen valvonnan suunnittelu, joka on johdon tehtävä, ja sisäisen valvonnan käytännön toteutus, mikä liittyy siihen, miten kontrollit esitellään organisaatiolle, ja miten työntekijät ovat lopulta valmiita noudattamaan niitä. Empiirinen analyysi perustuu tapaustutkimukseen, jossa Nokia Oyj, suomalainen SOX-lainsäädännön alainen julkinen yritys, on suunnitellut sisäisen valvonnan järjestelmän ja ottanut sen käyttöön maailmanlaajuisesti läpi organisaation.
Tutkimus kontribuoi johdon ohjausta ja sisäistä valvontaa koskevaan kirjallisuuteen. Aiempi kirjallisuus on liittänyt sisäisen valvonnan käsitteen vahvasti kirjanpidon luotettavuuden varmistamiseen ja yrityksen omaisuuden turvaamiseen. Tämä tutkimus laajentaa sisäisen valvonnan määritelmää ja tuo sen lähemmäksi johdon ohjauksen määritelmää.
Tämän tutkimuksen keskeinen löydös on, että sosiaalisella kontrollilla voi olla merkittävä rooli siinä, miten hyvin ja laajasti henkilöstö ottaa sisäisen valvonnan ohjeita ja sääntöjä käyttöön. Tutkimuksen tärkeimmät tulokset viittaavat siihen, että näitä kahta ohjaustyyppiä ei tulisi tarkastella erillään sisäisen valvonnan suunnitteluprosessissa, sillä niiden jatkuva vuorovaikutus vaikuttaa siihen, miten kontrolleihin suhtaudutaan ja miten ne lopulta suoritetaan – tai jätetään suorittamatta. Avainasemassa on se, miten esihenkilöt soveltavat sosiaalisia kontrolleja, kun he suunnittelevat ja panevat täytäntöön todennettavia kontrolleja. Heidän on otettava huomioon, että työntekijät eivät aina noudata kontrolleja järkevän päätöksenteon seurauksena; sen sijaan työntekijöiden käsitykset ja tunteet vaikuttavat siihen, miten he päättävät toimia. Tässä tutkimuksessa työntekijät, joilla oli voimakkaita tunteita kontrolleja kohtaan, myös suorittivat kontrolleja todennäköisemmin. Siten tunteet ovat sidoksissa siihen, miten työntekijät suhtautuvat kontrolleihin. Vaikka teknologia tarjoaa lähes rajattomat mahdollisuudet automatisoituun, järjestelmiin perustuvaan valvontaan, inhimillisen tekijän merkitys on aina keskeinen tehokkaan sisäisen valvonnan järjestämisessä.
ASIASANAT: sisäinen valvonta, johdon ohjausjärjestelmät, todennettava kontrolli, sosiaalinen kontrolli, SOX, globaalit yritykset, Nokia
Technical controls constitute written rules and procedures, whereas social controls are about the efforts to persuade people to adapt to certain values, norms, and ideas about what is good and important in terms of work. Increased attention toward this softer aspect of controls is because, in many accounting fraud scandals, the issue has not been the lack of technical controls but the existence of toxic culture and poor tone at the top. To meet the stakeholders’ expectations of acting as responsible corporate citizens, companies need both technical and social controls. Despite this realization, the research around management control systems has still been largely focused on technical control systems. Social controls have been studied in the sociological literature, with only a few studies focusing on the relationship between social and technical controls.
This study explores the different elements of control systems and their interrelations in a rather unexplored context: focusing on the design and implementation of an internal control system under a SOX compliance program. The study seeks to understand what happens when an organization introduces new technical controls as part of its SOX implementation project. More specifically, the focus is on the relationship between technical and social controls. Furthermore, this study seeks to differentiate between the control design, which is a management task, and the control implementation, which is about how the controls are introduced to and adopted by the employees. Empirical analysis is drawn from a case setting in which Nokia, a Finnish-based public company subject to SOX legislation, has designed an internal control system and introduced it to its employees globally.
This study provides managerial and legislative implications and contributes to the literature on both management control and internal control systems. The management control literature has previously considered internal control as primarily related to controls that are in place to safeguard assets and ensure financial reporting quality. This study widens this traditional view and brings the definition of internal control closer to the concept of management control.
The key finding of this study is that the social controls can play a significant role in implementing technical controls. This study suggests that these two control types should not be considered as isolated in the control design process because their continuous interplay will affect how the controls are perceived and performed. It is a matter of how managers apply social control when designing and introducing technical controls. They must consider that employees do not always follow the controls as a result of rational decision-making; instead, employees’ emotions affect how they decide to act. In this study, employees who had strong emotions toward the controls were also more likely to perform the controls. Thus, emotions are tied with employee perceptions of the controls. Even though today’s technology provides endless possibilities for automated, system-based controls, a human factor will always be central in an effective internal control system.
KEYWORDS: internal control, management control systems, technical control, social control, SOX compliance, global companies, Nokia
Todennettava kontrolli muodostuu kirjallisista säännöistä ja menettelytavoista, kun taas sosiaalinen kontrolli tarkoittaa pyrkimystä saada ihmiset sisäistämään tietyt arvot, normit ja ajatukset siitä, mikä on hyvää ja tärkeää sekä yksittäisen työntekijän että organisaation edun kannalta. Lisääntynyt huomio tälle pehmeämmälle ohjaukselle johtuu siitä, että monissa yritysskandaaleissa kysymys ei ole ollut todennettavan kontrollin puutteesta, vaan myrkyllisen yrityskulttuurin erilaisista ilmentymistä. Yritykset tarvitsevat sekä todennettavaa että sosiaalista kontrollia pystyäkseen vastaamaan sidosryhmien odotuksiin toimia vastuullisina yrityskansa-laisina. Tästä huolimatta johdon ohjausta koskeva tutkimus on edelleen keskittynyt suurelta osin todennettaviin ohjausjärjestelmiin. Sosiaalista kontrollia on tutkittu sosiologisessa kirjallisuudessa, ja vain harvat tutkimukset keskittyvät sosiaalisten ja todennettavien kontrollien väliseen suhteeseen.
Tässä tutkimuksessa tarkastellaan ohjausjärjestelmien eri elementtejä ja niiden välisiä suhteita melko tutkimattomassa yhteydessä: tutkimus keskittyy sisäisen valvonnan rakenteiden suunnitteluun ja toteuttamiseen SOX-compliance -ohjelman kontekstissa. Tutkimuksella pyritään ymmärtämään, mitä tapahtuu, kun organisaatio ottaa käyttöön uusia todennettavia kontrolleja osana SOX-projektiaan. Tarkemmin sanottuna keskitytään todennettavien ja sosiaalisten kontrollien väliseen vuorovaikutukseen. Lisäksi tässä tutkimuksessa pyritään erottamaan sisäisen valvonnan suunnittelu, joka on johdon tehtävä, ja sisäisen valvonnan käytännön toteutus, mikä liittyy siihen, miten kontrollit esitellään organisaatiolle, ja miten työntekijät ovat lopulta valmiita noudattamaan niitä. Empiirinen analyysi perustuu tapaustutkimukseen, jossa Nokia Oyj, suomalainen SOX-lainsäädännön alainen julkinen yritys, on suunnitellut sisäisen valvonnan järjestelmän ja ottanut sen käyttöön maailmanlaajuisesti läpi organisaation.
Tutkimus kontribuoi johdon ohjausta ja sisäistä valvontaa koskevaan kirjallisuuteen. Aiempi kirjallisuus on liittänyt sisäisen valvonnan käsitteen vahvasti kirjanpidon luotettavuuden varmistamiseen ja yrityksen omaisuuden turvaamiseen. Tämä tutkimus laajentaa sisäisen valvonnan määritelmää ja tuo sen lähemmäksi johdon ohjauksen määritelmää.
Tämän tutkimuksen keskeinen löydös on, että sosiaalisella kontrollilla voi olla merkittävä rooli siinä, miten hyvin ja laajasti henkilöstö ottaa sisäisen valvonnan ohjeita ja sääntöjä käyttöön. Tutkimuksen tärkeimmät tulokset viittaavat siihen, että näitä kahta ohjaustyyppiä ei tulisi tarkastella erillään sisäisen valvonnan suunnitteluprosessissa, sillä niiden jatkuva vuorovaikutus vaikuttaa siihen, miten kontrolleihin suhtaudutaan ja miten ne lopulta suoritetaan – tai jätetään suorittamatta. Avainasemassa on se, miten esihenkilöt soveltavat sosiaalisia kontrolleja, kun he suunnittelevat ja panevat täytäntöön todennettavia kontrolleja. Heidän on otettava huomioon, että työntekijät eivät aina noudata kontrolleja järkevän päätöksenteon seurauksena; sen sijaan työntekijöiden käsitykset ja tunteet vaikuttavat siihen, miten he päättävät toimia. Tässä tutkimuksessa työntekijät, joilla oli voimakkaita tunteita kontrolleja kohtaan, myös suorittivat kontrolleja todennäköisemmin. Siten tunteet ovat sidoksissa siihen, miten työntekijät suhtautuvat kontrolleihin. Vaikka teknologia tarjoaa lähes rajattomat mahdollisuudet automatisoituun, järjestelmiin perustuvaan valvontaan, inhimillisen tekijän merkitys on aina keskeinen tehokkaan sisäisen valvonnan järjestämisessä.
ASIASANAT: sisäinen valvonta, johdon ohjausjärjestelmät, todennettava kontrolli, sosiaalinen kontrolli, SOX, globaalit yritykset, Nokia
Kokoelmat
- Väitöskirjat [2845]