Den nya dataskyddsförordningens påverkan på företag : En flerfallsstudie om förändringsarbetet i samband med införandet av GDPR

Sebastian, Holmgren, Spehar, Sara

January 2018

On May 25th in 2018, the old EU directive that has been used as a guideline for data protection since 1995 was replaced. The new regulation, General Data Protection Regulation (GDPR) was implemented with a primary purpose to strengthen the rights of individuals and to give them greater control over their personal data. In general, the law involves changes for those who process personal data and strengthened rights of every individual's privacy. Change is a recurring element in every organization and how it's handled is crucial to the future of the company. This paper intends to investigate how change management can be applied in connection with the introduction of the new data protection regulation and how oganizations ensure compliance with changes. The interviews conducted in this paper has generated qualitative data and the result shows that there is a comprehensive conversion for companies of any size. Companies have an iterative approach regarding change managment and several changes have been required to reach full compliance with the law. To ensure compliance, companies have created an awareness of the law, educated all employees within their organization, and helped their employees apply the gained knowledge to their everyday work. However there are flaws companies may need to work on, which includes motivating employees to follow the newly implemented changes and use reinforcement to avoid returning to old habits. / Den 25 maj år 2018 ersattes det gamla EU-direktivet som behandlat dataskydd sedan år 1995. Den nya dataskyddsförordningen, General Data Protection Regulation (GDPR) har som huvudsakligt syfte att stärka privatpersoners rättigheter och ge dem en större kontroll över sina personuppgifter. I det stora hela innebär lagändringen förändringar för de som behandlar personuppgifter och stärkta rättigheter för den enskilde individens personliga integritet. Förändring är ett återkommande element i organisationslivet och hur dessa hanteras är avgörande för företagets framtid. Studien ämnar att undersöka hur ett förändringsarbete hos företag kan genomföras i samband med införandet av den nya dataskyddsförordningen och hur de säkerställer att förändringarna efterlevs. Datainsamlingen har genererat kvalitativ data och resultatet visar att det är en omfattande omställning för företag oavsett storlek. Företag har ett iterativt tillvägagångssätt i förändringsarbetet och flera förändringar har behövts genomföras för att uppfylla lagen. För att säkerställa en efterlevnad har företag varit noggranna med att skapa en medvetenhet om lagen, utbilda samtliga anställda inom företag och hjälpt till att applicera kunskapen på det vardagliga arbetet. Dock finns det brister företag kan behöva arbeta på vilket innefattar att motivera anställda till att följa förändringar och använda förstärkning för att undvika att de återgår till gamla arbetssätt.

General Data Protection Regulation

GDPR

change managment

compliance

General Data Protection Regulation

dataskyddsförordningen

förändringsarbete

efterlevnad

Information Systems, Social aspects

Efterlevnaden av upplysningskraven i IFRS 13 vid värdering till verkligt värde : En studie om efterlevnaden av IFRS 13 bland börsnoterade fastighetsbolag i Sverige, Tyskland och Storbritannien

Hallin Johansson, Fredrik, Warren, Sebastian

January 2017

Sammanfattning   Titel: Efterlevnaden av upplysningskraven i IFRS 13 vid värdering till verkligt värde - En studie om efterlevnaden av IFRS 13 bland börsnoterade fastighetsbolag i Sverige, Tyskland och Storbritannien    Nivå: C-uppsats i ämnet företagsekonomi   Författare: Fredrik Hallin Johansson & Sebastian Warren   Handledare: Fredrik Hartwig   Datum: 2017 – juni   Syfte: Företag som brister i den finansiella rapporteringen lever inte upp till IFRS krav på transparens, kompabilitet och en enhetlig redovisning i Europa. Relevant information riskerar därmed att undanhållas från investerare, analytiker och övriga intressenter på kapitalmarknaden. Att redovisningsstandarder efterlevs är avgörande för att uppfylla dessa målsättningar. Syftet med denna studie är att undersöka hur variablerna företagsstorlek, revisionsbyrå, skuldsättningsgrad, lönsamhet, likviditetsnivå, tid och kluster påverkar efterlevnad av de obligatoriska upplysningskraven i IFRS 13 hos börsnoterade fastighetsbolag i Sverige, Tyskland och Storbritannien.    Metod: Deduktiv ansats där hypoteser formuleras för att testa ett antal oberoende variablers påverkan på fastighetsbolagens efterlevnad av IFRS 13. Ett upplysningsindex konstrueras för att operationalisera efterlevnaden där analysen av insamlad data från årsredovisningar genomförs med multipel regressionsanalys och korrelationsanalys.    Resultat & Slutsats: Studien visar att det finns ett positivt signifikant samband mellan tid och efterlevnadsgrad, vilket innebär att företagen har en högre efterlevnad av de obligatoriska upplysningskraven i IFRS 13 2015 jämfört med 2013. Ett signifikant negativt samband mellan likviditetsnivå och efterlevnadsgrad kan också konstateras där fastighetsbolag med lägre likviditetsnivå har en högre efterlevnad. Studien visar även att efterlevnaden av de obligatoriska upplysningskraven var relativt hög överlag med en genomsnittlig efterlevnad på 76,1 % för 2013 och 81,6 % för 2015. Vi kan slutligen konstatera varierande resultat mellan Sverige, Tyskland och Storbritannien, vilket visar att de studerade variablerna har olika stor påverkan på efterlevnaden av upplysningskraven i dessa länder.   Förslag till fortsatt forskning: En begränsning med denna studie är att vi enbart studerar hur tid, kluster och ett antal företagsspecifika faktorer påverkar efterlevnaden av obligatoriska upplysningskrav. Tidigare forskning visar att det finns landspecifika faktorer som också kan ha en påverkan på efterlevnaden i olika länder. Det vore därmed intressant att även inkludera dessa variabler i vidare studier för att studeras dess påverkan. Den finansiella sektorn står ut med en generellt låg efterlevnad av obligatoriska upplysningskrav i IFRS och det vore därmed också intressant att studera vilka faktorer som kan förklara variationer i efterlevnaden inom denna sektor.      Uppsatsens bidrag: Studien ger bevis på vad som kan förklara skillnader i efterlevnadsgraden av IFRS 13 hos svenska, tyska och brittiska fastighetsbolag. Studiens praktiska bidrag är att den kan ge intressenter en större förståelse för vilka faktorer som kan påverka i vilken utsträckning fastighetsbolag efterlever obligatoriska upplysningskrav. En sådan ökad förståelse leder förhoppningsvis till tydligare standarder och en högre efterlevnad i framtiden vilket innebär en högre kvalité i den finansiella rapporteringen. / Title: Compliance with IFRS disclosure requirements when valuating at fair value – A study examining the compliance with IFRS 13 within listed real estate investment companies in Sweden, Germany and Great Britain.   Level: Final assignment for Bachelor Degree in Business Administration   Author: Fredrik Hallin Johansson & Sebastian Warren   Supervisor: Fredrik Hartwig   Date: 2017 - June   Aim: Companies that lack in their financial reporting do not live up to IFRS requirements of transparency, comparability and uniform accounting in Europe. Relevant information risk to be withheld from investors, analysts and other stakeholders on the capital market. Compliance with accounting standards is crucial to reach these goals. The purpose of this study is to examine how the variables company size, auditor, leverage, profitability, liquidity, time and cluster affects compliance with the mandatory disclosure requirements of IFRS 13 within listed real estate investment companies in Sweden, Germany and Great Britain.   Method: Deductive approach where hypotheses are formulated to test several independent variables impact on real estate investment companies compliance with IFRS 13. A disclosure index is designed to operationalize the compliance level, where the analysis of gathered data from annual reports is performed with multiple regression- and correlation analysis.   Result & Conclusions: The result of this study shows a positive significant relationship between time and compliance level, which means that companies have a better compliance with the mandatory disclosure requirement of IFRS 13 for the year 2015 compared to 2013. A significant negative relationship between liquidity and compliance level can also be found, which means that companies with a lower level of liquidity tend to comply better with the mandatory requirements of IFRS 13. The study also shows a relatively high compliance overall with an average compliance level of 76,1 % for 2013 and 81,6 % for 2015. We can finally conclude a varying result between Sweden, Germany and Great Britain, which shows that the examined variables have different effects on the compliance level in the different countries.   Suggestions for future research: A limitation within this study is that we only examine how time, clusters and several firm specific factors affect the compliance of mandatory disclosure requirements. Prior studies shows that country specific factors also could have an impact on the compliance level in different countries. Therefore it would be interesting to include these variables in further studies to see if they affect the compliance level. The financial sector has been shown to have low level of compliance with IFRS mandatory disclosure requirements and it would therefore also be interesting to examine explanatory factors for compliance level within this sector.   Contribution of the thesis: This study provide evidence of what can explain the differences between Swedish, German and British real estate investment companies level of compliance with mandatory disclosure requirements of IFRS 13. This paper could be useful for different stakeholders by giving them a greater understanding for which factors that can affect to what extent real estate investment companies comply with mandatory disclosure requirements. A greater understanding will hopefully result in clearer standards and higher compliance in the future which thereby would result in a higher quality in the financial reporting.

Key words: IFRS 13

compliance

disclosure

financial reports

fair value

investment property

IFRS 13

efterlevnad

upplysningskrav

finansiella rapporter

verkligt värde

förvaltningsfastigheter

Business Administration

Företagsekonomi

Vägen mot en komponentredovisande kommunal sektor : En studie om de svenska kommunernas bemötande av ny redovisningsreglering / The road towards a component accounting municipal sector : A study of the Swedish municipalities' response to new accounting regulation

Jenskog, Maria, Zettervall, Emelie

January 2017

Inledning År 2014 utfärdade Rådet för Kommunal Redovisning ett explicit krav om att svenska kommuner ska komponentredovisa materiella anläggningstillgångar. Tidigare studier visar att kommuners efterlevnad av redovisningsreglering är bristfällig och att ny reglering tar lång tid att implementera, samtidigt som det principbaserade regelverket ger upphov till skillnader i gjorda bedömningar. Syfte Studiens syfte är att utforska hur de svenska kommunerna har hanterat det nya explicita kravet på komponentredovisning, och förklara skillnader i uppskattningar och bedömningar avseende komponentindelning samt nyttjandeperioder. Metod Studien är av ett kvantitativt slag med en deduktiv ansats, där 18 hypoteser avseende kommunernas redovisningsval har formulerats. En tvärsnittsdesign har använts, och datainsamlingen har huvudsakligen skett genom enkäter. Studien har begränsats till tillgångsslaget gator och vägar. Slutsatser Analysen visade att 39,4% av de studerade kommunerna ännu inte hade implementerat komponentredovisning för gator och vägar vid slutet av år 2016. Kommunens storlek visade sig vidare ha ett signifikant positivt samband med tillämpningen av komponentredovisning. En stor spridning i både antalet redovisade komponenter och längden på bedömd nyttjandeperiod uppvisades hos de studerade kommunerna. Kommunens storlek och förekomsten av ett minoritetsstyre visade sig ha signifikanta positiva samband med antalet komponenter som kommunerna redovisade. / Introduction In 2014, the Council for Municipal Accounting issued an explicit requirement that Swedish municipalities have to implement component depreciation of tangible fixed assets. Previous studies show that municipalities' compliance with accounting regulations is inadequate and that new regulation takes a long time to implement, while the principle-based regulatory framework gives rise to differences in assessments. Purpose The purpose of the study is to explore how the Swedish municipalities have handled the new explicit requirement for component accounting, and explain differences in estimates and assessments regarding component classification and useful lives. Method The study is of a quantitative nature with a deductive approach, where 18 hypotheses regarding municipalities' accounting choices have been formulated. A cross-sectional design has been used, and data collection has mainly taken place through surveys. The class of assets included in the study has been limited to roads. Conclusions The analysis showed that 39.4% of the municipalities studied had not yet implemented component accounting of roads at the end of 2016. The size of the municipality proved to have a significant positive relation to the implementation of component accounting. A large spread in both the number of reported components and the length of the estimated useful life was shown in the municipalities studied. The size of the municipality and the existence of a minority rule proved to have significant positive correlations with the number of components reported by the municipalities.

Accounting

Component accounting

Municipal sector

Compliance

Tangible fixed assets

Positive accounting theory

Institutional theory

Redovisningsval

Komponentredovisning

Kommunal sektor

Efterlevnad

Materiella anläggningstillgångar

Positiv redovisningsteori

Institutionell teori

Business Administration

Företagsekonomi

En kvalitativ djupstudie av svanenkriteriernas efterlevnad i en svanenmärkt fond

Granström, Oskar, Lindholm, Svante

January 2020

Svanenmärkta fonder är något som tillkommit i den finansiella världen på senare tid. Världens första svanenmärkta fonder lanserades 2017. Att bli benämnd som svanenmärkt innebär att fonden uppfyller ett visst antal kriterier bestämda av Svanen. Detta innebär att fonden kan rapportera ett arbete som kan anses som ett ytterligare steg mot hållbarhet och inte endast agera enligt lagar och regler. Syftet med studien är att beskriva hur innehaven i en svanenmärkt fond efterlever svanenkriterierna, genom att identifiera hur riskområden rapporteras och hur dessa hanteras i innehavens hållbarhetsredovisning, samt att analysera hur dessa mönster kopplas till svanens hållbarhetskriterier. Frågeställningen lyder ”Hur rapporterar innehaven sin efterlevnad till svanenkriterierna?” och den besvaras genom en kvalitativ metod med en induktiv forskningsansats. För att besvara frågeställningen har data samlats in med hjälp av en analysmetod där primärdata har inhämtats från års- och hållbarhetsrapporter från respektive företag. Resultaten visade att samtliga företag rapporterar liknande gällande hållbarhet. Företagen rapporterade att de implementerat riktlinjer, program och policys för att efterleva svanenkriterierna. Transparensen går att ifrågasätta i företagens sätt att rapportera hållbarhet då de brister i sin information samt använder vaga beskrivningar av problem. Några slutsatser som kan dras av detta arbete är att informationsasymmetri är en anledning till att transparensen brister hos vissa innehav i fonden, genom att ha oförståelig information. Vidare fallerar även legitimiteten i företagens rapportering vilket leder till mindre trovärdighet i rapporterna och efterlevnaden till svanenkriterierna. / The Nordic Swan Ecolabel regarding funds is something that has emerged in the financial system in recent times. The world’s first Nordic Swan Eco labeled fund launched in 2017. To be certified by Svanen the fund has to fulfill a couple of criteria that has been stated by Svanen. This certification gives the fund the opportunity to market their work as an additional step towards sustainability and not just act according to the laws and regulations. The purpose of this study is to describe the holdings in a fund that follows the Svanen criterias, by identify how the reporting of areas of risk and how they are being handled in the sustainability report and also to analyze its patterns to the Svanen criterias. The purpose will lead to the research question that is “How does the holdings report its compliance to the Svanen Criterias?”, Further on also answer the research question through a qualitative method with an inductive research approach. In order to answer the research question data have been gathered with an analyze method and a literature review where the primary data comes from annual and sustainability reports from each individual company. The result of this study showed that every company reports in a similar way regarding sustainability. Each company reports that they have implemented guidelines, programs and policies in order to comply with the Svanen Criterias. The transparency within the holdings can be questioned because of the lack of information and vague description of problematic happenings. Conclusions of this study is that information asymmetry is one of the reasons that makes one question the holdings transparency. Due to this asymmetry the holdings legitimacy is affected which leads to less credibility in their reports and so on their compliance toward the Svanen Criterias.

Compliance

Socially responsibility investment

Sustainability

Corporate social responsibility

Standards

Efterlevnad

Socialt ansvarsfulla investeringar

Hållbarhet

Företagens ansvarstagandet i samhället

ansvar och standarder

Business Administration

Företagsekonomi

Styrning av informationssäkerhet vid hemarbete : En fallstudie om styrning av informationssäkerhet i förhållande till hemarbete / Governance of information security in a work from home context : A case study on information security governance relative to working from home

Palmgren, Patrik, Schylström, Per

January 2021

Under Covid-19-pandemin har organisationer med hjälp av digitaliseringen genomgått en omställning från kontorsarbete till hemarbete i en större utsträckning än tidigare. Förflyttningen av personal till hemmet och nya kommunikationskanaler har lett till en ökad hotbild gentemot organisationer och dess medarbetare som arbetar med känslig information. Höga krav ställs därför på en god informationssäkerhetsnivå inom organisationer, vilket kräver ett systematiskt styrningsarbete av informationssäkerhet. En nyckelfaktor i efterlevnaden av organisationers regler för informationssäkerhet är tydlig kommunikation och utbildning i syfte att öka medvetenheten och förmågan hos medarbetarna i organisationen. Genom en kvalitativ ansats beskriver denna fallstudie hur olika medarbetare som arbetar hemifrån kan uppleva informationssäkerhet och hur en organisation kan arbeta med styrning av informationssäkerhet i samband med att medarbetarna arbetar hemifrån. Studien presenterar också likheter och skillnader som finns mellan dessa två perspektiv. Vi har genomfört åtta intervjuer med olika personer från en fallorganisation som har flyttat större delen av sin arbetsstyrka från arbetsplatsen till hemmet.  Studiens resultat är att efterlevnaden av informationssäkerhet är beroende av en organisations kultur och personalens säkerhetsmedvetande. Motivationsfaktorer för att följa regler för informationssäkerhet har i fallet följt delarna i Protection Motivation Theory och Fogg Behavior Model. Vi ser också att borttagandet av sociala kontakter och påminnelser försvårar för medarbetare att arbeta på ett informationssäkert sätt och för organisationen att påverka sina medarbetare. Vidare är också avsaknaden av kontroll vid utbildning och kommunikation en faktor som är organisationen inte har åtkomst till, detta är ett problem då det försvårar för en organisation att bygga en bild över medarbetarnas kompetens. Insatser för att öka medvetenheten om informationssäkerhet bör ske löpande och det ska vara enkelt för medarbetaren att göra rätt och hitta väsentlig information. / During the Covid-19 pandemic, organisations have shifted from office work to work at home to a greater extent than before with the help of digitalisation. The shift of staff to the home and new communication channels have led to an increased threat to organisations and their employees working with sensitive information. High standards of information security are required within organisations, which calls for great governance efforts regarding information security. Clear communication and training to increase the awareness and capability of employees in the organisation is a key factor in ensuring compliance with the organisation's information security rules. Through a qualitative approach, this case study describes how different employees working from home experience information security efforts and how an organisation can work on information security governance. The study also presents similarities and differences that exist between these two perspectives. We conducted eight interviews with different people from different parts of an organisation that has moved most of its workforce from the workplace to their home.  The findings of the study are that compliance with information security is dependent on an organisation's culture and the security awareness and ability of its staff. Motivational factors for information security compliance in the case followed the elements of Protection Motivation Theory and Fogg's Behavior Model. We also see that the removal of social contacts and reminders makes it more difficult for employees to work in an information-secure manner and for the organization to influence its employees. Furthermore, the lack of control in training and communication is also a factor that is not accessible to the organisation, this is a problem as it makes it difficult for an organisation to build a picture of the competence of its employees. Efforts to raise awareness of information security should be ongoing and it should be easy for employees to do the right thing and find essential information.

information security

information security governance

compliance

work from home

informationssäkerhet

informationssäkerhetsstyrning

efterlevnad

hemarbete

Information Systems, Social aspects

Sjukvårdspersonalens efterlevnad kring handhygienrutiner : En litteraturöversikt

Kaiser, Charlotte, Nerc, Patricia

January 2022

Bakgrund Inom hälso-och sjukvården är vårdrelaterade infektioner den mest förkommande typen av vårdskador. Vårdrelaterade infektioner kan leda till lidande för patienten samtidigt som det medför stora kostnader för samhället. Den basala handhygienrutinen är en grundläggande faktor för att kunna arbeta preventivt gentemot vårdrelaterade infektioner. Ämnet är viktigt att studera i syfte att förstå hur rutiner för handhygien ser ut i vården ur ett globalt perspektiv. Syfte Syftet var att belysa sjukvårdspersonalens efterlevnad av handhygienrutiner. Metod Denna studie har skrivits som en litteraturöversikt. Resultatet är baserat på tio vetenskapliga originaltitlar av både kvantitativ samt kvalitativ design som svarade på studien syfte. Sökmotorerna som användes för att hitta artiklarna var PubMed och Cinahl complete. Resultat I resultatet påvisade sjukvårdspersonalen en förhållandevis låg efterlevnad av handhygienrutiner. Personliga uppfattningar, tid, kunskap och utförande var faktorer som påverkade sjukvårdpersonalens efterlevnad. Det framkom att det fanns en stor variation av kunskap gällande handhygienrutiner. Kunskapsbristen berodde på personalens förhållningssätt samt i vilken utsträckning de fått utbildning i handhygienrutiner. En faktor som ökade sjukvårdspersonalens efterlevnad var kontinuerlig utbildning. Sammanfattning I studien framgick det att det fanns ett stort behov av att öka sjukvårdspersonalens efterlevnad av handhygienrutiner runt om i världen. Interventionen grundar sig att sjukvårdspersonalen bör följa de rekommenderade handhygienrutinerna så som handhygiens utförande, tidsåtgång samt aseptisk teknik. Regelbunden utbildning inom handhygien var en viktig faktor för efterlevnaden. Fortsättningsvis finns ett stort behov för vidareutbildning och kontinuerlig träning hos sjukvårdspersonalen. / Background In healthcare, healthcare-associated infections (HRI) are the most common type of healthcare injuries. Healthcare related infections can lead to unnecessary suffering for the patient, and it entails great costs for the society. The basic hand hygiene routine is a fundamental factor to be able to work preventively against healthcare related infections. The subject is important to study in order to understand what the routines for hand hygiene looks like in healthcare from a global perspective.  Aim The purpose was to highlight healthcare workers compliance regarding hand hygiene routines. Method This study has been written as a literature review. Based on ten original articles of both quantitative and qualitative design which answered the purpose of the study. The search engines used to find the articles were PubMed and Cinahl complete. Results Healthcare personnel showed relatively low compliance with hand hygiene routines. Attitudes, time, knowledge and hand performance were factors that had an influence on the health care workers compliance. It emerged that there was a large variation in knowledge regarding hand hygiene routines. The lack of knowledge was due to the healthcare workers approach and the extent to which they received training in hand hygiene routines. One factor that increased healthcare workers compliance was further education. Summary The study shows that there is a great need to increase healthcare personnel's compliance with hand hygiene routines around the world. The intervention is based on the fact that healthcare workers should follow the recommended hand hygiene routines such as hand hygiene washing technique, time consumption and aseptic technique. Regular training in hand hygiene proved to be an important factor for compliance.

Nurses

Hand hygiene

Guideline adherence

Professional compliance

Handwashing

Hand disinfection

Hand sanitization

Sjuksköterska

Handhygien

Följsamhet

Efterlevnad av riktlinjer

Handtvätt

Handdesinfektion

Nursing

Omvårdnad

Säkerhetspolicyer på svenska företag : Hur efterlevnad säkerställs bland anställda / Security policies at Swedish companies

Cederstrand, Christopher, Berg, Elias

January 2023

I den digitala världen som vi lever i är vi mer uppkopplade och hanterar mer information än någonsin tidigare. Informationen, som i fel händer kan leda till katastrofala händelser för dagens företag. En viktig aspekt som ofta diskuteras är de anställda som ofta regleras av företagsspecifika policyer för att hålla företaget på en säker väg. Efterlevnad från de anställda är inte så enkelt som att bara tala om för dem att följa företagets regler, det måste finnas något mer för att motivera de anställda och därigenom skapa en säker miljö att arbeta inom. Denna rapport presenterar en studie där forskning har utförts för att analysera hur företag i Sverige arbetar för att höja efterlevnaden av företagets policyer med fokus påinformationssäkerhet och medvetenhet om informationssäkerhet. Genom att använda grounded theory i kombination med kvalitativa, semistrukturerade intervjuer med en representant från varje företag som har ansvar för företagets informationssäkerhet, har vi studerat vilka metoder företag använder för att öka efterlevnaden av deras policyer. Resultaten visar att utbildning är en viktig metod som tillämpas, men det finns fleraolika variationer av utbildning och företagen skiljer sig åt i hur de informerar sina anställda om risker som är kopplade till policyer. En annan upptäckt som har kommit fram i denna forskning är att ansvaret för utbildning och policyer är snarlika blandföretagen. I slutsatsen av denna rapport presenteras rekommendationer som potentiellt kan hjälpa företag att öka efterlevnaden av sina IT-policyer. Dessa rekommendationer baseras på de metoder som har framkommit i de intervjuer som utförts i denna studie.

Informationsäkerhet

Säkerhetspolicy

Efterlevnad

Policy

ISA

Cybersäkerhet

Riskhantering

Dataskydd

Säkerhetsstandarder

Hothantering

Informell Säkerhet

Work Sciences

Arbetslivsstudier

Information Systems, Social aspects

Utveckling av det iterativa lärandet genom PDCA-cykeln : Fallstudie på ett mejeri / Development of iterative learning through the PDCA cycle

Jönander, Anna, Silfver, Sofia

January 2021

In today's society, much is based on standards and standardized working methods. ISO standards can be seen as a way of organizing according to different requirements to ensure, for example, food safety or quality in different processes. All ISO standards are based on the fundamental approach of the PDCA cycle, that promotes iterative learning in organizations. The study examines how a dairy can improve the work with follow-up and compliance. The study has a primary focus on the last two parts of the PDCA cycle. The empirical material states that the employees feel that an unclear ownership and division of responsibilities, lack of resources, time and locked competence are the basis for the organization's lack of work with follow-up and compliance. Through a root cause analysis and the approach of "Five why?" root causes could be determined and placed in a relationship diagram. In a further analysis of the root causes of lack of follow-up and compliance through a relationship diagram, two themes could be identified, organizational culture and lack of requirements and clear responsibilities. The two themes led to concrete solutions proposals consistent with ISO 14001:2015 and 22,000:2019 requirements. It turned out that all root causes seemed to link together and proves that by starting work on one root cause, it will have consequences for the others. To improve and develop the dairy's work with follow-up and compliance following implementation proposals are presented in the study: - Build a structured toolbox - Create role description - Integrate requirements from management / I dagens samhälle grundar sig mycket på standarder och standardiserade arbetssätt. ISO standarder kan ses som ett sätt att organisera efter olika krav för att säkerställa exempelvis livsmedelssäkerhet eller kvalitet i olika processer. Samtliga ISO-standarder bygger på det grundläggande angreppssättet PDCA-cykeln, vilket främjar det iterativa lärandet i organisationer. Det handlar om att följa upp och lära sig av händelser i samtliga processer. Studien undersöker hur ett mejeri kan förbättra och utveckla arbetet med uppföljning och efterlevnaden i standardarbetet, med säkerskilt fokus på PDCA-cykelns två sista delar. Det empiriska materialet fastställer att medarbetarna upplever att ett otydligt ägandeskap och ansvarsfördelning, resursbrist, tid och låst kompetens ligger till grund för organisationens bristande arbete med uppföljning och efterlevnad. Genom en rotorsaksanalys och tillvägagångssättet med ”Fem-varför?” kunde rotorsaker fastställas och placerades i ett relationsdiagram. Vid vidare analys av rotorsakerna till bristande uppföljning och efterlevnad genom ett relationsdiagram kunde två teman kartläggas, vilka var den befintliga organisationskulturen samt bristande krav och ansvarsroller. Studien lyfter olika perspektiv för de två teman, vilka mynnar ut i konkreta lösningsförslag i enlighet med ISO 14001:2015 och 22 000:2019 krav på berörda områden. Det framgick att samtliga rotorsaker tycks sammanlänka och påvisar att genom att börja arbeta med en rotorsak kommer det få konsekvens på de övriga. För att förbättra och utveckla mejeriets arbete med uppföljning och efterlevnad presenteras följande lösningsförslag med tillhörande implementeringsförslag: - Bygga en strukturerad verktygslåda - Skapa rollbeskrivning - Integrera krav från ledningen

compliance

continuous improvement

iso standards

learning organizations

organizational culture

pdca cycle

structure

efterlevnad

iso standarder

lärande organisationer

organisationskultur

pdca-cykeln

struktur

ständiga förbättringar

Work Sciences

Arbetslivsstudier

Övrig annan teknik

Initiativ, regelefterlevnad, policyer och riktlinjer… : En kvalitativ studie om informationssäkerhet och mätpraktiker i svenska offentliga organisationer.

Jonsson, Sandra, Ekström, Vidar

January 2023

Informationssäkerhet är ett ämnesområde som berör hur olika typer av information ska hanteras på ett säkert sätt. En av de större utmaningarna berör hur de individer som arbetar med informationssäkerhet ska förmås att följa de regler, riktlinjer och rutiner som etablerats. Studien syftar till att studera detta fenomen närmare, och framförallt undersöka det uppföljande arbetet som sker kring de insatser som görs. Det görs inom en kontext av offentliga organisationer. Forskningsfrågan är: Hur arbetar svenska offentliga organisationer med (1) efterlevnad av riktlinjer inom informationssäkerhet och (2) hur mäts eller utvärderas detta? Studiens empiri består av 10 semistrukturerade intervjuer med centralt placerade personer från olika offentliga organisationer, samtliga med ansvar för verksamhetens informationssäkerhet. Data har analyserats med hjälp av teoribildning om organisatoriska rutiner varvid tre övergripande teman har identifierats: säkerhetsarbete, förändring och utvärdering. Studiens diskussion klargör att eftersom arbetet med efterlevnad av informationssäkerhet till stor del handlar om att utveckla rutiner som svarar mot de organisatoriska behoven måste praktiken ges ett tydligt företräde framför teorin. Det är med andra ord nödvändigt att utvärderingar och mätningar utformas så att dessa ges möjlighet att fånga upp faktiska förhållanden och inte endast policyer och riktlinjer. / Information security is a field that describes how different types of information should be handled in a secure manner. One of the major challenges concerns how the individuals working with information security should be encouraged to follow the rules, guidelines and routines which have been established. The study aims to study this phenomenon more closely, and above all, to examine how the different efforts made are evaluated. This is done within the context of public organisations. The research question is: How do Swedish public organisations work with (1) compliance with information security guidelines and (2) how is this measured or evaluated? The study's empirical data consists of 10 semi-structured interviews with centrally located people from different public organisations, all of whom are responsible for the organisation's information security. The data has been analysed with the help of theory of organisational routines whereby three themes have been identified: security work, change, and evaluation.  The study's discussion clarifies that since information security compliance work is largely about developing routines that respond to organisational needs, practice must be given clear precedence over theory. In other words, it is essential that assessments and measurements are designed to capture actual conditions and not just policies and guidelines.

Information security

compliance

measurement and evaluation

public sector

organisational routines

Informationssäkerhet

efterlevnad

mätning och utvärdering

offentlig sektor

organisatoriska rutiner

Information Systems, Social aspects

Business Administration

Företagsekonomi

Informationssäkerhetsmedvetenhet inom mikro- och småbolag : Medvetenhetsåtgärder hos svenska mikro- och småbolag inom IT-branschen / Information security awareness in micro and small companies.

Vukovic, Alexander, Samet, Özcelik

January 2022

All organizations, regardless of size, are affected by information security awareness. Information security awareness is an important component, especially for organizations in the IT industry, to be able to respond to new cyber threats but also comply with requirements and regulations for handling customer data. The purpose of the study is to improve awareness-raising measures used by Swedish micro and small companies in the IT industry to increase information security awareness among employees. The study is performed through semi-structured interviews and then analyzed using the Grounded theory-method. The study highlights the awareness measures used in the IT industry and how they are used among companies to make employees aware of information security. In addition, the companies' underlying motives for their choice of awareness measure and their perspective on adapting the measure are examined. The study's conclusions present recommendations that can be used by micro and small companies in the IT industry to improve their awareness-raising measures. The study highlights the importance of adapting training measures, but also that companies should present reality-based scenarios to employees. In addition, it is also emphasized that incentives should be used by information security officers for employees to ensure compliance. / Alla organisationer, oavsett storlek påverkas av informationssäkerhetsmedvetenhet. Medvetenhet om informationssäkerhet är en viktig komponent i synnerhet för organisationer inom IT-branschen för att kunna bemöta nya cyberhot men också efterleva krav och regleringar för hantering av kunddata. Syftet med studien är att förbättra medvetenhetshöjande åtgärder som används av svenska mikro- och småbolag inom IT-branschen för att öka informationssäkerhetsmedvetenheten bland anställda. Studien utförs genom semistrukturerade intervjuer och analyseras sedan med hjälp av Grundad teori-metoden. Studien synliggör vilka medvetenhetsåtgärder som används inom IT-branschen och hur de används bland bolagen för att göra anställda medvetna gällande informationssäkerhet. Dessutom framgår bolagens bakomliggande motiv för deras val av medvetenhetsåtgärd samt deras perspektiv på anpassning av åtgärd. Studiens slutsatser presenterar rekommendationer som kan användas av mikro- och småbolag inom IT-branschen för att förbättra deras medvetenhetshöjande åtgärder. Studien lyfter fram betydelsen av anpassning av utbildningsåtgärder, men även att bolagen bör presentera verklighetsförankrade scenarier till de anställda. Därtill framhävs även att incitament bör användas av informationssäkerhetsansvariga till anställda för att säkerställa efterlevnad.

Information security

information security awareness

awareness measures

training measures

compliance

IT industry

micro and small companies

Informationssäkerhet

informationssäkerhetsmedvetenhet

medvetenhetsåtgärder

utbildningsåtgärder

efterlevnad

IT-branschen

mikro- och småbolag

Information Systems