I december år 2002 gick Telia och Sonera samman och resultatet blev TeliaSonera. Detta var ett sammangående av de två ledande telekommunikationsföretagen i Norden. Bildandet resulterade i den ledande telekommunikationskoncernen i Norden och Baltikum samt starka marknadspositioner i Eurasien, Ryssland och Turkiet. TeliaSonera aktien är noterad på både Stockholmsbörsen och Helsingforsbörsen.226 Under år 2004 avnoterades TeliaSonera från Nasdaq, men enligt amerikansk lag var de bundna av SOX och lagen om aktiehandel fram till juni år 2007. I juni år 2007 slutade TeliaSonera med registrering enligt den amerikanska lagen om aktiehandel på grund av nya amerikanska regler. I och med det slutade TeliaSonera att följa SOX.227 Internkontroll
TeliaSonera tillämpar svensk kod för bolagsstyrning228. Enligt aktiebolagslagen och svensk kod för bolagsstyrning är styrelsen ansvarig för den interna kontrollen. I TeliaSoneras bolagsstyrning är den interna kontrollen över finansiell rapportering en integrerad del. ”Den innefattar metoder och processer för att säkerställa koncernens tillgångar och för att säkerställa att den finansiella rapporteringen är tillförlitlig och korrekt och i enlighet med rådande lagar och regler samt förbättra effektiviteten i verksamheten och kontrollera risknivån i verksamheten.”229 Styrelsen har fastställt företagspolicy som innebär att TeliaSoneras finansiella rapportering ska ha en hög professionell standard, den ska vara komplett, rättvis, noggrann, exakt och förståelig. Internkontrollen över finansiell rapportering
223 H&M:s Årsredovisning 2007, s. 80 224 Ibid, s. 80 225 Ibid, s. 53 226 TeliaSonera 227 TeliaSoneras Årsredovisning 2007, s. 6 228 Ibid, s. 121 229 Ibid, s. 123
baseras på COSO- modellen.230 TeliaSoneras bolagsstyrningsrapport för år 2007 är inte granskad av revisorer231.
Kontrollmiljö: Ledningen uppdaterade bolagets etiska kod under år 2007. Kodens syfte är att bland annat ännu mera stimulera ärligt och etiskt beteende, klar kommunikation, enlighet med rådande lagstiftning, direkt internrapportering vid överträdelse av koden och ansvars- skyldighet i koppling till koden. På grund av de snabba marknadsförändringarna så behövs det ett anpassbart planeringssystem. Rullande sjukvartalsplaner arbetar TeliaSonera med för planering och uppföljning. Det finns en controller för samtliga verksamhetsenheter som är ansvarig för att säkerhetsställa att varje månad och kvartal att den finansiell rapportering rättar sig efter policy, att leverans av rapporter kommer i tid, att det finns tillräckligt med interna kontroller och att dessa genomförs, och att de avstämningar som måste göras görs på rätt sätt och att affärsrisker av det större slaget samt finansiella risker identifieras och meddelas.232
Riskhantering: I koncernens affärsstyrning och uppföljning finns en integrerad del som är Risk Management. Denna funktion är till för att identifiera risker som kan utgör fara för genomförandet av affärsmålen och ge förslag till åtgärder som minimerar riskerna. Organisationen för säkerhet jobbar med preventiva insatser inom säkerhet och krishantering. Det som ingår i denna organisation är att ge skydd åt koncernens egendom, IT-system och personal och även skydda telenät, sedan skall tjänster och kunder mot intrång och bedrägerier skyddas.233
Kontrollaktiviteter: Bolaget genomför kontrollaktiviteter för att håll nere risker. Dessa görs både manuellt och automatiskt. ”Processer har beskrivits på ett gemensamt och strukturerat sätt, och nyckelkontroller som är nödvändiga för att reducera riskerna för fel i den finansiella rapporteringen har identifieras och dokumenteras.”234
Övervakning av kontrollaktiviteter: Speciellt genom revisionsutskottet kontrollerar styrelsen aktivt miljön för den interna kontrollen över finansiell rapportering. Styrelsen tar varje månad emot finansiella rapporter från koncernchefen. Innan de externa finansiella rapporterna publiceras går styrelsen och revisionsutskottet igenom dessa. De externa och interna revisorerna rapporterar till revisionsutskottet som i sin tur samtalar och följer upp deras åsikter. Vid kommitténs möte är både de externa och interna revisorerna representerade. Ledning sammanställer riskrapporter som regelbundet ges till styrelsen. Revisionsutskottet träffar varje år ansvariga personer från Risk Management, Business control, Koncernfinans, Juridik, Skatt och ansvariga för kontrollen av den finansiella rapporteringen från affärs- områdena. Dessa möten är till för att öka styrelsens förståelse av alla perspektiv som hör ihop med TeliaSoneras riskhantering och riskkontroller. ”Revisionsutskottet hanterar bland annat miljön för internkontroll, värderingar av nedskrivningar, tolkningar av redovisnings-principer av särskild betydelse för koncernen, juridiska frågor som kan ha betydande inverkan på koncernredovisningen och utvärdering av revisorernas arbete.”235 Både vid affärsområden och på koncernnivå har bolaget infört ordnad övervakningsprocess, systematiska tester av nyckelkontroller, och regelbunden bevakning av interna kontroller. Det är finansdirektören
230 TeliaSoneras Årsredovisning 2007, s. 123 231 Ibid, s. 121 232 Ibid, s. 123 233 Ibid, s. 123 234 Ibid, s. 123 235 Ibid, s. 123
som rapporterar regelbundet till revisionsutskottet om bevakningen av de interna kontrollerna. ”Både revisionsutskottet och Styrelsen har sett över och diskuterat ledningens bedömning av bolagets interna kontroller och har aktivt följt upp relaterade förbättringsåtgärder vidtagna av ledningen.”236
Internrevision
Internrevisionen i koncernen är en enhet som går igenom koncernens verksamhet och ger förslag till att förbättra den interna kontrollen, förbättra verksamhetsprocessen samt att öka effektiviteten. På uppdrag av ledningen har internrevisionen under år 2007 provat och analyserat nyckelkontroller som avser den finansiella rapporteringen. Rapportering till koncernchefen görs av chefen för internrevisionen. Tillsammans med revisionsutskottet beslutar koncernchefen vilka uppgifter och prioriteringar som skall gälla för internrevisionen. De uppgifter och prioriteringar som internrevisionen har och även slutsatser rapporteras regelbundet till revisionsutskottets sammankomster detta diskuteras även vid dessa sammankomster.237
Riskhantering
I den starkt konkurrensutsatta och reglerade telekombranschen verkar TeliaSonera inom en mängd olika geografiska produkt- och tjänstemarknader. Vilket för med sig ett antal risker och osäkerhetsfaktorer. Risk i TeliaSonera definieras av ledningen som en betydande negativ effekt som kan påverka bolagets mål negativt. Hot, osäkerhetsfaktorer eller förlorade tänkbarheter som hör ihop med bolagets aktuella eller kommande verksamheter eller aktiviteter är exempel på risker. Det finns ett etablerat ramverk för riskhantering i TeliaSonera som kontinuerligt identifierar, analyserar, bedömer och rapporterar finansiella risker och risker som är relaterade till verksamheten och osäkerhetsfaktorer. Även minska riskerna när det är möjligt. I verksamhetsplaneringen i TeliaSonera ingår riskhanteringen.238
236 TeliaSoneras Årsredovisning 2007, s. 123-124 237 Ibid, s. 124
5 Analys
I detta kapitel kommer referensramen och empirin att kopplas samman och jämföras. Innan analysen kommer två sammanfattande tabeller att presenteras och utifrån dessa kommer analysen att grundas på.
I tabell 1 nedan presenteras en sammanfattning av avvikelserna från bolagskoden, eventuell granskning av finansiella rapporter gällande internkontroll, tillämpning av SOX samt användning av Basel II.
Tabell 1, Sammanfattning av avvikelser, revisionsgranskning, SOX och Basel II. Egenkomponerad.
Svensk kod för
bolagsstyrning Avvikelser
Granskad av
revisor SOX Basel II
SEB Tillämpar koden Inga avvikelser Ej granskad Följer ej SOX JA
Swedbank Tillämpar koden Inga avvikelser Ej granskad Följer ej SOX JA
Nordea Tillämpar koden Inga avvikelser Ej granskad Följer ej SOX JA
Handelsbanken Tillämpar koden Inga avvikelser Ej granskad Följer ej SOX JA
Volvo Tillämpar koden 1 st Avvikelse, se
not 1 Ej granskad Följer SOX NEJ
Ericsson Tillämpar koden Inga avvikelser Ej granskad Följer SOX NEJ
H&M Tillämpar koden 3 st Avvikelser, se
not 2 Ej granskad Följer ej SOX NEJ
TeliaSonera Tillämpar koden Inga avvikelser Ej granskad Följde fram till juni
år 2007 NEJ
Not 1 Avvikelsen består i att en medlem i ersättningskommittéen ej är oberoende i förhållande
till bolaget och bolagsledningen.
Not 2 Avvikelser görs gällande styrelseordförande är ordförande i valberedningen, bolaget har inget
ersättningsutskott och bolaget uppfyller inte alla av kodens oberoendekriterier för styrelsen och för revisionsutskottet.
I tabell 2 nedan redovisas i sammanfattning internkontroll, internrevision och riskhantering för bankerna och företagen.
Tabell 2 Sammanfattning av bankerna och företagens internkontroll, internrevision och riskhantering. Egenkomponerad.
Internkontroll Komponenter Internrevision Riskhantering
SEB COSO Kontrollmiljö, Riskhantering, Kontrollsystem, Information och kommunikationsvägar, Uppföljning Internrevision
Risk and Capital
Committee, Group Risk Control Swedbank COSO Riskbedömning, Kontrollaktiviteter, Information och kommunikation, Uppföljning Oberoende granskningsfunktion Koncernens Riskkontroll
Nordea Följer alla steg
Kontrollmiljö, Riskbedömning, Kontrollaktiviteter, Informaion och kommunikation, Uppföjlning Oberoende funktion;
Group Internal Audit
Riskhanteringsramverk et; Group Credit & Risk Control
Handelsbanken Följer alla steg
Kontrollmiljö, Riskidentifiering, Kontrollstrukturer, Informaion och Kommunikation, Uppföljning Centrala Revisionsavdelningen Affärsverksamhet, Verksamhetsnära riskkontroll, Central riskkontroll, Kapitalplanering Volvo COSO Kontrollmiljö, Riskbedöming, Kontrollaktiviteter, Information och kommunikation, Uppföljning/ Övervakning
Internrevisionsfunktion Riskhanteringsmodell, ERM
Ericsson COSO Kontrollmiljö, Riskbedömning, Kontrollaktiviteter, Informaion och kommunikation, Uppföjlning Internrevisionsfunktion
Operativa risker, finansiella risker, risker avseende den finansiella rapporteringen och risker avseende efterlevnad av lagar och förordningar H&M COSO Kontrollmiljö, Riskbedömning, Kontrollaktiviteter samt Information och kommunikation, Uppföljning Ingen internrevision
Risker och osäkerhets- faktorer som finns är relaterat till modet, vädret, kvotsystem och valutor TeliaSonera COSO Kontrollmiljö, Riskhantering, Kontrollaktivieter, Övervakning av kontrollaktiviterter
Internrevision Ett erkänt ramverk för
Svensk kod för bolagsstyrning skall tillämpas av alla börsnoterade företag på A- listan samt de företag som är värderade över tre miljarder och noterade på O- listan. Jämförelsen mellan de studerade bankerna och företagen har visat att alla dessa tillämpar bolagskoden, vilket de skall göra enligt regler. Enligt bolagskoden skall den följas, men avvikelser får göras om dessa motiveras. Dock nämns det aldrig i bolagskoden hur företagen skall motivera sina avvikelser. Studien visar att två företag, Volvo och Hennes & Mauritz avviker från bolagskoden. Volvo gör en avvikelse som motiveras med följande:
”Avvikelsen består i att Tom Hedelius är medlem i ersättningskommittéen trots att han, enligt koden, inte är oberoende i förhållande till bolaget och bolagsledningen eftersom han har varit styrelseledamot i bolaget i mera än tolv år. Styrelsen anser emellertid att Tom Hedelius är väl lämpad som ledamot av ersättningskommittén, oberoende av att han varit ledamot i styrelsen under lång tid.”239
H&M gör tre avvikelser som motiveras med följande:
”Koden anger dock att en majoritet av de stämmovalda styrelseledamöterna ska vara oberoende i förhållande till bolaget och bolagsledningen. H&M avviker från denna regel genom att fyra av åtta stämmovalda styrelseledamöter har suttit i styrelsen i över tolv år samt att en stämmovald styrelseledamot är anställd i bolaget. Förklaringarna till den första avvikelsen är enligt valberedningen att H&M bör ha en styrelse vars ledamöter under en lång tid har lärt känna bolaget och dess verksamhet mycket väl. Den andra avvikelsen som handlar om att en anställd även är styrelseledamot, anses i detta fall vara naturligt med hänsyn tagen till ägarstrukturen i H&M.”240 ”En avvikelse från Koden är att H&M inte har ett ersättningsutskott då styrelsen kan anses ha ett ersättningsutskotts uppgifter.”241
”En avvikelse från koden är att majoriteten av medlemmarna i utskottet är beroende i förhållande till bolaget och bolagsledningen då Stig Nordfelt och Bo Lundquist har suttit i styrelsen i över tolv år. Förklaringen till avvikelsen är att dessa ledamöter har djup kunskap om företaget och företagsekonomi och anses därför bidra konstruktivt i utskottsarbetet med sin erfarenhet och kompetens.”242
Bankerna gör inga avvikelser gällande bolagskoden, detsamma gäller för de övriga företagen. Ericsson poängterar i sin bolagsstyrningsrapport att de aldrig någonsin gjort några avvikelser från bolagskoden. Både Volvo och H&M avviker när det kommer till oberoendet för styrelseledarmöter i förhållande till bolaget och bolagsledningen. Volvos motivering till detta är att den person det gäller ändå är väl lämpad. H&M motiverar sin avvikelse med att de ledarmöter som detta berör har stor kunskap om företaget och företagsekonomi.
239 Volvos Årsredovisning 2007, s. 73 240 H&M:s Årsredovisning 2007, s. 78 241 Ibid, s. 79
De svenska bolagen som även är registrerade på den amerikanska börsen måste likaså följa Sarbanes Oxley Act (SOX). SOX är en lag och avsnitt 404 förklara hur bolag skall hantera sin interna kontroll och dokumentation. Jämförelsen mellan bankerna och företagen visar att ingen av bankerna följer SOX. Däremot följer två företag, Volvo och Ericsson, denna lag. Ericsson poängterar i sin bolagsstyrningsrapport att de har infört grundliga tester, kontroller och dokumentationer enligt COSO- modellen för att kunna uppfylla de hårda kraven som ställs enligt SOX avsnitt 404. TeliaSonera följde fram till juni år 2007 SOX, men har nu avregistrerat sig från Nasdaq. Under år 2007 har även Volvo lämnat in en ansökan om att få avregistrera sig från SEC och Nasdaq.
Bolagskoden tar upp finansiell rapportering gällande internkontroll och revisorsgranskning av denna rapport är frivillig. Studien visar att ingen av bolagen har låtit sina revisorer granska den finansiella rapporten gällande internkontroll. Bolagskoden går inte in på hur internkontroll skall hanteras. Alla bolag rapporterar om internkontroll i sin finansiella rapport, men Handelsbankens rapport om internkontroll är mycket kortfattat i jämförelse med de övriga bolagen. Internkontrollen är en viktig del för bolagen då bland annat medvetna och omedvetna fel kan upptäckas, eventuella risker kan hanteras samt att ge bättre information till intressenter. COSO har gett ut ett erkänt ramverk gällande internkontroll. Studien visar på att de flesta bolagen utgår från detta ramverk. COSO- modellen består av fem komponenter. Dessa komponenter är kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt övervakning inklusive uppföljning och utvärdering. SEB, Swedbank, Volvo, Ericsson, H&M och TeliaSonera nämner i sina rapporter om internkontroll att de utgår från COSO- modellen. Efter att ha studerat Nordeas och Handelsbankens rapporter om internkontroll tyder det på att de har med alla fem komponenterna.
Enligt COSO är kontrollmiljön basen för de andra komponenterna som medför ordning och struktur. Efter jämförelse mellan banker och företag har det visat sig att Swedbank inte har någon kontrollmiljö i sin rapport gällande interkontroll. Flera av organisationerna nämner i rapporten under kontrollmiljö att det är den som är basen för deras finansiella rapport. De flesta bolagen nämner etik och kultur under denna komponent och att det hjälper till att forma deras struktur.
COSO säger att risker är något som finns både internt och externt och som måste identifieras och analyseras. Alla organisationer tillämpar riskbedömning i sina rapporter och det är ett väldigt viktigt område. Identifiering av risker är något som samtliga bankerochföretag ägnar sig åt. Många av bolagen har någon form av kommitté eller grupp/funktion som hanterar riskerna.
Enligt COSO är kontrollaktiviteter de rutiner och riktlinjer som hjälper till att ledningens direktiv genomförs. Kontrollaktiviteter finns på alla nivåer i en organisation. Alla organisationer har någon slags kontrollaktivitet som de arbetar med. De använder dem för att bland annat dokumentera, upptäcka, förbättra och förhindra fel.
Enligt COSO skall informationen identifieras och sedan förmedlas till personalen. Fungerande kommunikation måste finnas inom hela organisationen för att all ska veta sina roller gällande intern styrning och kontroll. De flesta av bolagen poängterar att information och kommunikationskomponenten används för att säkra den finansiella rapporten. TeliaSonera är den enda organisationen som inte har en specifik komponent gällande information och kommunikation, däremot nämns kommunikation lite kort i kontrollmiljön. Övriga organisationer har någon form av kommunikationssystem eller nätverk. Swedbank
använder sig av ett system, whistleblower där personalen anonymt kan rapportera eventuella regelfel.
Enligt COSO sker kontinuerliga övervakningsåtgärder och uppföljningar, enskilda ut- värderingar eller en kombination av dem alla. Samtliga organisationer har någon form av övervakning/uppföljning. En del av bolagen använder sig av revisionsutskott, internrevisorer, kommittéer eller grupper/funktioner gällande övervakning/uppföljning och en del av bolagen använder sig av självutvärderingar.
Bolagens kontroller, redovisning och betalningar bör hanteras av olika personer för att minska risker för fel då det är lättare att fel uppstår om en ensam person sköter allt. Studien visar att tre av de studerande bolagen poängterar att de använder sig av dualitetsprincipen. De bolag som tar upp i sin internkontrollsrapport att de använder sig av dualitetsprincipen är Swedbank, Nordea och Volvo.
I bolagskoden finns även ett avsnitt om internrevision. Detta avsnitt uttrycker att varje företag som inte har en internrevision skall varje år kontrollera behovet av en sådan funktion. Vid val av att inte ha någon internrevision skall detta beslut motiveras i rapporten gällande intern- kontroll. Studien visar på att endast ett bolag, H&M inte har någon internrevision. Detta förklaras med att de anser att den internkontrollen som görs är tillräcklig och medfört en större medvetenhet om den interna kontrollen. Studien visar på att det blir allt vanligare att bolag använder sig av internrevision efter att bolagskoden infördes år 2005. Studien visar också på att samtliga bolag har någon form av revisionskommitté eller revisionsutskott. Dessa kommittéer/utskott har en övervakande och planerande funktion över den interna revisionen. Riskhantering är något som alla organisationer måste ha för att kunna identifiera, mäta och analysera risker för att kunna förhindra dem. Från första februari år 2007 måste alla banker använda sig av Basel II gällande kapitaltäckning, vilket är en förstärkning gällande riskhanteringen i bankerna. Jämförelsen visar att alla banker utgår i från denna. SEB, Swedbank och Nordea har egna kontrollgrupper/funktioner gällande riskhanteringen medan Handelsbanken har delat in sina risker i fyra nivåer, det vill säga affärsverksamhet, verksamhetsnära riskkontroll, central riskkontroll och kapitalplanering. Under år 2007 började Volvo använda sig av ERM gällande riskhantering för att förbättra koncernens riskhanteringssystem. TeliaSonera använder sig av ett etablerat ramverk när det kommer till deras riskhantering medan Ericsson och H&M delar in sina risker i olika nivåer/grupper.
6 Slutdiskussion
I detta kapitel kommer vi att svara på våra frågeställningar samt komma fram till slutsatser utifrån vår jämförelse mellan bolagen. Förslag på fortsatt forskning kommer att läggas fram i detta kapitel.
Vårt syfte med denna uppsats var att studera hur svenska banker och andra typer av företag har tillämpat svensk kod för bolagsstyrning samt SOX. Dessutom har en jämförelse mellan de valda bankerna och företagen gjorts angående hur de hanterar internkontroll, internrevision och riskhantering.
Den första frågan som vi kommer besvara är: Hur har banker och andra typer av företag implementerat svensk kod för bolagsstyrning?
Svensk kod för bolagsstyrning infördes år 2005, som har principen ”följa eller förklara”. Efter att ha studerat och jämfört de valda bankerna har vi kommit fram till att avvikelser inte är så vanligt då ingen av dem under år 2007 har använt sig av avvikelser. Det är endast två företag, Volvo och Hennes & Mauritz som avviker från bolagskoden under år 2007. Båda bolagen har avvikelser gällande oberoendet av styrelseledarmöter. Jämförelsen visar att både Volvo och H&M har liknade förklaringar gällande avvikelsen som har med att de berörda personerna inte är oberoende men har kunskaper och är väl lämpade för arbetet. Av de åtta studerade bolagen är det endast två som gör avvikelser. Då avvikelser skall motiveras, men det finns ingen regel som säger hur detta skall göras, kan det vara en anledning till att så få bolag väljer att avvika. Detta kan bero på en osäkerhetsfaktor eller att de inte ”vågar” avvika, då de inte vet hur de skall motivera detta på ett bra sätt som inte minskar förtroendet bland intressenter. En annan anledning till att så få företag avviker skulle kunna vara att de har många utländska intressenter, framför allt i USA och då deras lagstiftning är hårdare kan de uppfatta avvikelser som ”fel”. I och med detta kan de vara rädda att förlora viktiga intressenter.
Vår andra fråga är: Följer svensk banker och andra typer av företag SOX?
Sarbanes Oxly Act är en lagreglerad amerikansk ”variant” av bolagskoden. Tre av de studerade företagen, Volvo, Ericsson och TeliaSonera följer eller har följt SOX. Ericsson har anpassat sin dokumentation av internkontroll så de kan uppfylla de krav som SOX avsnitt 404 ställer på bolaget. TeliaSonera avregistrerades i juni år 2007 och därmed tillämpas inte längre SOX. Under år 2007 ansökte även Volvo om avregistrering från både Nasdaq- börsen i USA och SEC. Vi tror att en av anledningarna till avregistreringen från både TeliaSonera och Volvo kan bero på de hårda och krävande regler som SOX medför. Även det extrema dokumentationskrav som SOX för med sig kan vara ytterligare en anledning. Det medför en stor kostnad för bolagen och är mycket tidskrävande. Ericssons grundliga arbete med internkontrollen visar att det är krävande att uppfylla SOX:s krav på rapportering.
Skulle Sverige gå från självreglering till lagstiftning tyder det på att revisionskostnaderna kan öka med över 50 procent enligt revisorerna Bertel Enlund och Tommy Mårtensson. En