EFO019 Magisteruppsats i ekonomistyrning
Internkontroll och
Internrevision
-
En jämförelse mellan banker och andra
typer av företag
Grupp 1814 Eskilstuna, 2008-06-10
Källebrink Cornelia 840212 Pettersson Zandra 820217 Handledare: Segelod Esbjörn
Datum: 2008-06-10
Nivå: Magisteruppsats i företagsekonomi 15 hp
Författare: Cornelia Källebrink Zandra Pettersson
Hyttgatan 27 Malmabergsgatan 79 H
733 31 Sala 723 35 Västerås
ckk04001@student.mdh.se zpn07001@student.mdh.se Handledare: Esbjörn Segelod
Titel: Internkontroll och internrevision – En jämförelse mellan banker och andra typer av företag.
Problem: På grund av alla företagsskandaler som upptäckts de senaste åren har många länder infört koder eller regler om hur bolag skall hantera bolagsstyrning. År 2002 införde USA Sarbanes Oxley Act (SOX) som är ett omdiskuterat regelverk. I Sverige kom år 2005 svensk kod för bolagsstyrning som är en rekommendation som bygger på principen “följa eller förklara”. I och med dessa koder har fokusering på internkontroll blivit allt viktigare. En rapport om internkontroll är något alla bolag som måste följa bolagskoden skall ha i sin finasiella rapport. En annan funktion som blivit allt viktigare i bolagen är internrevision. Denna funktion är dock ej obligatorisk enligt bolagskoden. Vi vill genom införandet av dessa koder och regelverk studera och jämföra hur bolag i Sverige hanterar sin bolagsstyrning, internkontroll, internrevision och riskhantering.
Syfte: Syftet med denna uppsats är att granska hur banker och andra typer av företag tillämpar svensk kod för bolagsstyrning samt SOX. Dessutom kommer en jämförelse om hur banker och andra typer av företag hanterar internkontroll, internrevision samt riskhantering.
Metod: Studien börjades med att samla in information och skapa en referensram genom bland annat böcker, artiklar och internetkällor. En jämförelse mellan valda bolag gjordes genom att studera respektive årsredovisningar.
Resultat: Efter att ha studerat och jämfört de valda bolagen har det visat sig att få av dem gör avvikelser. Det är endast två av de studerade bolagen som gör detta. Nästan alla studerade bolag skriver i sin årsredovisning att de utgår från COSO- modellen när det gäller deras internkontroll rapport i den finasiella rapporten. De två bolag som inte nämner detta har efter jämförelsen konstaterats att de följer COSO- modellen helt eller delar av den. De flesta studerade bolagen har en intern-revisionfunktion. Det är endast ett bolag som inte har detta. Undersökningen har visat att internrevision blir allt vanligare i bolag. Riskhantering i bolagen blir allt viktigare. Banker använder sig av Basel II, vilket är ett resultat av att en ny lag infördes 1 februari år 2007. Medan företag använder sig av antingen ramverk eller har delat in risker i olika grupper.
Date: 2008-06-10
Level: Master thesis in Business Administration 15 ECTS credits Authors: Cornelia Källebrink Zandra Pettersson
Hyttgatan 27 Malmabergsgatan 79 H
733 31 Sala 723 35 Västerås
ckk04001@student.mdh.se zpn07001@student.mdh.se Tutor: Esbjörn Segelod
Title: Internal control and internal audit - a comparison between banks and other types of companies.
Problem: Because of all the business scandals that has been discovered during the past years many contries have introduced codes and laws aboute how organizations should manage their corporate governance. In 2002 the US introduced Sarbanes Oxley Act (SOX) which has created a big debate. In 2005 the Swedish Code for Corporate Governance was introduced, which is a recomendation that is built on the principle “comply or explain”. This code brings more focus on the internal control in organizations. A rapport about internal control must be included in the anual rapport from every organization that have to follow the code. Another important function in companies is internal audit. This function is not mandatory according to the code. Because of the introduction of codes and laws we want to study and compare how organizations in Sweden manage their corporate governance, internal control, internal audit and risk management.
Purpose: The purpose of this thesis is to examine how banks and other types of companies in Sweden apply the Swedish Code for Corporate Governance and SOX. Furthermore it will be a comparison between banks and companies on how they managing internal control, internal auditing and risk management. Method: The study started with collacting books, articels and Internetsources to create
information to build a model of theoretical framework. A comparison between the chosen organizations has been done by studing their anual rapports.
Result: Analyze of Anual Reports show that very few of the chosen organizations deviate from the code. The study shows that only two of the organizations that have been studied deviate from the code. Almost all organization studied are writing in their annual rapports that they are using COSO when it comes to their internal control. However the two organizations that do not mention COSO have after the study showed that they are using COSO either in full or parts of it. Most of the organizations are using internal auditing, the study shows that only one of them does not use that function and that internal auditing has become more common in organizations. Risk management in organizations has become more important. Banks are using Basel II, which is a result of the new law that was introduced February 1th 2007. Companies either using framwork or devid the risks in diffrent groups.
Basel II
Kapitaltäckningsregelverk som infördes i Sverige från den 1 februari år 2007 och med detta infördes EU-reglerna och Basel II1.
Bolagskoden
Svensk kod för bolagsstyrning, alla börsnoterade bolag på A-listan och alla på O-listan som har ett marknadsvärde som överstiger tre miljarder kronor ska tillämpa bolagskoden2.
COSO
The Committee of Sponsoring Organizations of the Treadway Commission organization, som utkommit med ramverk för intern styrning, kontroll och riskhantering3.
Dualitetsprincipen
Går ut på att ingen enskild person utan kontroll eller insyn skall hantera en rutin eller sköta ett ärende ensam4.
Finansiell rapport
Avser enligt IAS 1 resultaträkning, balansräkning, eget kapital, kassaflödesanalys och beskrivning för använda redovisningsprinciper samt noter5.
IAS 1
Internal Accounting Standard, rekommendationer utgivna av IASB. IAS 1 tar upp om utformning av den finansiella rapporten. Syftet med denna standard är att trygga jämförbarhet mellan bolags årsredovisningar samt ett bolags årsredovisning från olika perioder.6
IASB
International Accounting Standards Board, ger fortlöpande ut redovisningsstandarder, IAS7. Internkontroll
Styrelsen i bolagen skall se till att en god internkontroll finns i bolaget och kontinuerlig se till att de är informerade och att de analyserar hur bra systemet för den interna kontrollen fungerar i bolaget8. Internkontroll upprättas för att bolagen kan styras mot vinstmål, huvudsakliga uppdrag och för att överraskningar ska kunna minimeras9. Internkontroll gynnar effektiviteten, minskar risker för förluster bland tillgångar, hjälper tillförlitligheten i den finansiella rapporteringen och gör att lagar och regler följs10.
Internrevision
Internrevisorn är ett hjälpmedel för ledningen i bolaget som kontrollerar bolagets effektivitet och verksamhet. Internrevisorn kan ha en ställning i bolaget som är självständigt och kan
1 Finansinspektionen
2 Kollegiet för svensk bolagsstyrning 3 COSO, s. 3
4 Swedbank 1
5 Svensk kod för bolagsstyrning, s. 30
6 FAR Komplett
7 Sundgren, S m.fl. (2007). s. 11-12 8 Svernlöv, Carl, Balans nr 3 2005 9 COSO, s. 4
Kollegiet för svensk bolagsstyrning
Inrättats för att se till och utveckla svensk bolagsstyrning13. Koncern
Ett antal bolag som samverkar, men under ledning av ett moderbolag14. Nasdaq
National Association of Securities Dealers Automated Quotation, amerikansk aktiebörs15. Riskhantering
En bra riskhantering kräver en bra intern styrning och kontroll och det har blivit en viktig fråga för ledningen, myndigheter och andra organisationer gällande hur risker skall skötas och accepteras16. Fokus på riskhanteringen har ökat under de senaste åren och ger ledningen en
möjlighet att hantera osäkerhet på ett effektivare sätt som skapar ökat värde för organisationen17.
Sarbanes Oxley Act (SOX)
Amerikans lagstiftning gällande bolagsstyrning och hur bolag skall hantera internkontroll och dokumentation18.
Svensk Näringsliv
Företräder företag i Sverige19. Årsredovisning
Offentlig ekonomisk och finansiell rapport som består utav resultat- och balansräkning, noter samt förvaltningsberättelser20.
11 FAR 2, (2006). s. 15-16
12 Pickett, K H Spencer, (2003). s. 43 13 Kollegiet för svensk bolagsstyrning 14 Nationalencyklopedin 15 Nationalencyklopedin 2 16 COSO 2, s. 3 17 Ibid, s. 5-6 18 FAR 2, (2006). s. 47 19 Svenskt Näringsliv 20 Nationalencyklopedin 3
ADS American Depositary Shares.
CIA Certified Internal Auditor, certifiering för internrevisorer21. CRD The Capital Requirements Directive.
ERM Enterprise Risk Management, ramverk från COSO om riskhantering22. FAR Branschorganisation för revisorer och redovisning23.
GCC Group Credit & Risk Control i Nordea. GIA Group Internal Audit i Nordea.
IFRS International Financial Reporting Standards.
IIA The Institute of Internal Auditors, internationell organsiation för interna revisorer24.
IRB The Internal Ratings Based. IRF Internrevisorernas Förening.
KR Koncernens Riskkontroll i Swedbank. SEC Securities and Exchange Commission. ÅRL Årsredovisningslagen.
21 Internrevisorerna 22 COSO 2, s. 3-5
23 FAR/SRS
Innehållsförteckning
1 Inledning... 1
1.1 Bakgrund och problemdiskussion ... 1
1.2 Frågeställningar... 3 1.3 Syfte ... 3 1.4 Avgränsning ... 3 1.5 Målgrupp ... 3 1.6 Disposition ... 4 2 Metod ... 5 2.1 Ämnesval... 5 2.2 Metodval... 5 2.3 Tillvägagångssätt... 5
2.4 Urval av banker och andra typer av företag ... 6
2.5 Sekundärkällor och litteraturval ... 6
2.6 Validitet och Reliabilitet ... 7
2.7 Metod och litteraturkritik ... 8
3 Referensram ... 9
3.1 Bolagsstyrning... 9
3.2 Svensk kod för bolagsstyrning ... 10
3.3 Internkontroll... 12 3.4 Internrevision ... 17 3.5 Basel II ... 18 3.6 Sammanfattning ... 19 4 Empiri ... 21 4.1 SEB... 21 4.2 Swedbank ... 23 4.3 Nordea ... 25 4.4 Handelsbanken ... 28 4.5 Volvo... 30 4.6 Ericsson ... 32
4.7 Hennes & Mauritz ... 34
4.8 TeliaSonera... 36
5 Analys... 39
6 Slutdiskussion... 44
6.1 Förslag på fortsatt forskning ... 47
Källförteckning ... 48
Figur- och tabellförteckning Figur 1 Disposition………...4
Figur 2 COSO – kuben ………..………15
Tabell 1 Sammanfattande tabell 1 ……….39
Tabell 2 Sammanfattande tabell 2 ……….40
1 Inledning
Här presenteras en kortare bakgrund om bolagsstyrning och dess utveckling samt problemdiskussion. Därefter kommer våra frågeställningar, syfte, avgränsning, målgrupp samt disposition att presenteras.
1.1 Bakgrund och problemdiskussion
Både i Sverige och utomlands har stora företagsskandaler försämrat förtroendet för börsnoterade företag25. Några exempel på företagsskandaler är Barings Bank, Enron, WorldCom och Société Générale. Barings Bank gick i konkurs år 1995 då börsmäklaren Nick Leeson hade spekulera bort 850 miljoner pund. Barings Bank, i Storbritannien blev kritiserade för deras brist på internkontroll eftersom Nick Leeson kunde dölja förlusterna som han gjort i flera månader. Det amerikanska energiföretaget Enron kollapsade år 2001. Enron redovisade en vinst på 979 miljoner dollar den 31 december år 2000 och det fanns inget för aktieägarna som tydde på att Enron under år 2001 skulle kollapsa och bli en av de största konkurserna i USA:s historia.26 Precis när ekonomin i USA höll på att återhämta sig efter Enron skandalen så blev en annan stor skandal känd, WorldCom. WorldCom var värderat till 180 miljarder dollar år 1999. När ledningen ändrades år 2002 tillfrågades internrevisorerna att noggrant granska redovisningstransaktioner och där det upptäcktes att företags kostnader behandlades som kapitalinvesteringar. Worldcom erkände att de medverkade till det största redovisningsbedrägeriet i historien år 2002.27 Den senaste av skandalerna är den franska banken Société Générale som beskrivs som en av historiens största bankbedrägeri. Felaktiga affärer av en ensam handlare kommer att kosta banken cirka 46 miljarder kronor. En anställd i finans- och investeringsavdelningen hade utfört internt bedrägeri, vilket ledningen för Société Générale nyligen upptäckte. Mannen ska ha med hjälp av sin stora kunskap om kontrollmekanismerna i banken lyckats dölja sitt bedrägeri.28
Global Economic Crime Survey gjorde en undersökning som visade att vart fjärde svenskt företag någon gång varit utsatt för ekonomisk brottslighet. Rapporteringsgraden av ekonomisk brottslighet beror på vilken kontrollmöjlighet som finns i företagen. Enligt Ulf Sandlund, ansvarig för Forensic hos Öhrlings PricewaterhouseCoopers, finns bättre kontrollsystem oftast hos de större företagen och det medför att de upptäcker och rapporterar brott oftare.29 En organisations huvuduppgift är att uppnå den nivå av arbete som den skapades för, men samtidigt måste organisationen följa de standarder, regler, lagar med mera som finns angivna. Detta kan skapa många problem. Med bolagsstyrningskoder och policys kan en balans mellan detta uppnås för att garantera öppenhet, integritet och säkerhet. Koderna får stöd av strukturen som stödjer dessa tre ideal och den interna revisorn är en nyckel komponent i strukturen. Den interna revisionen har ytterligare en roll, att utbilda chefer i användbara lösningar samt att hjälpa till att ta fram verktyg och teknik i detta avseende. De interna revisorerna som har ordentligt grepp om bolagsstyrning kan ha en stor roll i att försäkra uthållighet och framgång i privata och offentliga sektorn.30
25 Svensk kod för bolagsstyrning, (2004). s. 3 26 Mallin, C A, (2004). s. 1-2
27 Pickett, K H Spencer (2003). s. 20 28 Sydsvenskan.se
29 Juhlin Erik, Agenda nr 4 2007, s. 24-25 30 Pickett, K H Spencer, (2003). s. 11
På grund av alla företagsskandaler har förtroendet från aktieägare och investerare blivit försämrat. Många länder har upprättat koder för bolagsstyrning för att förbättra internkontrollen och återfå förtroendet från intressenterna.31 I USA introducerades i juni år 2002 ett lagstadgat regelverk kallat Sarbanes Oxley Act (SOX) som alla amerikanska och utländska företag noterade på den amerikanska börsen måste följa32. Under åren 2003 till 2004 utarbetades koden för bolagsstyrning i Sverige, svensk kod för bolagsstyrning (bolagskoden), som började användas under år 200533. Bolagskoden är uppbyggd på principen ”följa eller förklara” vilket innebär att bolagen får avvika från bolagskodens rekommendationer, men om detta görs skall det motiveras34. Syftet med koden är att förbättra styrningen av svenska börsnoterade bolag. Bolagskoden skall främst förbättra förtroendet på den svenska kapitalmarknaden och höja kunskapen och förtroende för utländska investerare gällande svenska bolag.35 Enligt bolagskoden har styrelsen ansvar för bolagens interna kontroll och skall varje år presentera en finansiell rapport över hur den interna kontrollen har fungerat36. Internkontroll är något som behövs i alla företag och organisationer. Internkontroll kan leda till bättre information, effektivare processer samt undvikande av kostsamma fel. En bra internkontroll hjälper till att undvika risker som kan påverka bolagets måluppfyllelse.37 Genom dessa koder och regelverk har det blivit en mer fokusering på bolagens interna kontroll. Kraven på internkontroll kommer med lagar, rekommendationer, börsregler och förordningar, men det finns inte idag några officiellt framtagna standarder över hur bolagen skall agera när det kommer till deras interna kontroll38. Det mest erkända och använda
ramverk gällande hanteringen av internkontroll är COSO- modellen39. Denna modell utarbetades och år 1991 gavs ramverket, Internal Control – an intergrated framework ut40. Bolagskoden tar upp internkontroll, men nämner inte på ett specifikt sätt hur bolagen skall hantera den. Utifrån att internkontroll har blivit så viktigt de senaste åren på grund av alla företagsskandaler och nya regler vill vi undersöka hur banker och andra typer av företag väljer att hantera den interna kontrollen. De banker och andra typer av företag som vi valt ut till denna studie diskuteras i avsnitt 2.4. En annan sak vi vill undersöka är om COSO- modellen används vid hanteringen av internkontroll, då denna är det mest erkända ramverket gällande hantering av internkontroll.
Enligt bolagskoden behöver inte bolag ha en internrevision utan det räcker med att utvärdera varje år om en sådan funktion är nödvändig41. Internrevisionen innebär att bolagets information granskas, bland annat kontrollera att lagar och regelverk följs, tillgångar skyddas samt att mål uppnås42. Den interna revisionen är ett hjälpmedel för att kunna kontrollera effektiviteten och verksamheten för ledningen43. I svensk kod för bolagsstyrnig finns det inget krav på internrevision utan varje år måste bolagen utvärdera om en sådan granskningsfunktion är nödvändig44. Då internrevision enligt bolagskoden är frivilligt vill vi undersöka om banker och andra typer av företag använder sig av denna funktion.
31 Svensk kod för bolagsstyrning, (2004). s. 3 32 Prentice, R, (2005). s. 1-3
33 Svensk kod för bolagsstyrning, (2004). s. 3-4 34 Svernlöv, C, (2006). s. 30-31
35 Svensk kod för bolagsstyrning, (2004). s. 7-8 36 Ibid, s. 30
37 FAR 1, (2006). s. 7 38 COSO, s. 3 39 FAR 1, (2006). s. 7 40 COSO, s. 3
41 Svensk kod för bolagsstyrning, (2004). s. 31 42 Internrevisorerna
43 FAR 2, (2006). s. 15-16
En bra riskhantering kräver en bra intern styrning och kontroll och det har blivit en viktig fråga för ledningen, myndigheter och andra organisationer gällande hur risker skall skötas och accepteras45. Fokus på riskhanteringen har ökat under de senaste åren och ger ledningen en möjlighet att hantera osäkerhet på ett effektivare sätt som skapar ökat värde för organisationen46. I denna uppsats vill vi även undersöka hur banker och andra typer av företag hanterar riskhantering, då upptäckten av risker i ett tidigt skede kan hjälpa att undvika stora kostnader. En bra internkontroll, internrevision och riskhantering minskar eventuella fel och ökar förtroendet bland intressenter. I denna uppsats vill vi med detta undersöka hur banker och andra typer av företag sköter dessa viktiga poster.
1.2 Frågeställningar
Utifrån vår bakgrund och problemdiskussion är frågeställningarna följande:
Hur har banker och andra typer av företag implementerat svensk kod för bolagsstyrning?
Följer svenska banker och andra typer av företag SOX?
Hur hanterar banker och andra typer av företag internkontroll, internrevision samt riskhantering?
1.3 Syfte
Syftet med denna uppsats är att granska hur banker och andra typer av företag tillämpar svensk kod för bolagsstyrning samt SOX. Dessutom kommer en jämförelse om hur banker och andra typer av företag hanterar internkontroll, internrevision samt riskhantering.
1.4 Avgränsning
Uppsatsen har avgränsats med att endast undersöka fyra valda banker, det vill säga SEB, Swedbank, Nordea och Handelsbanken som hädanefter kommer att refereras som banker samt fyra börsnoterade företag, det vill säga Volvo, Ericsson, Hennes & Mauritz och TeliaSonera som kommer refereras som företag. Alla dessa bolag tillämpar svensk kod för bolagsstyrning. En annan avgränsning är att vi endast undersöker hur dessa banker och företag hanterar bolagskoden när det gäller avvikelser, internkontroll och internrevision. Inom internkontroll har avgränsning gjorts till att endast beskriva COSO- modellen då detta är det mest använda ramverket. Ytterligare en avgränsning som har gjorts är att endast studera års-redovisningar från år 2007.
1.5 Målgrupp
Denna uppsats riktar sig främst till personer som vill få en tydligare bild av hur svenska kod för bolagsstyrning, internkontroll, internrevision och riskhantering behandlas i svenska börsnoterade bolag.
45 COSO 2, s. 3 46 Ibid, s. 5-6
1.6 Disposition
Kapitel 1- I detta kapitel kommer en kortare bakgrund om bolags-styrning och dess utveckling att presenteras samt problem-diskussion och frågeställningar, syfte och avgränsning att diskuteras.
Kapitel 2- I detta kapitel kommer en beskrivning om hur arbetet har gått till, vilken metod som uppsatsen har baserats på, vilka val som gjorts, validitet och reliabilitet samt metod- och litteratur-kritik.
Kapitel 3 – I detta kapitel kommer bolagsstyrning och dess historia, SOX samt bolagskoden att presenteras. Därefter kommer en beskrivning av internkontroll inklusive COSO, internrevision samt Basel II presenteras.
Kapitel 4 – I detta kapitel kommer bankerna och företagens avvikelser från bolagskoden samt deras internkontroll, intern-revision och riskhantering att presenteras utifrån respektive bolags årsredovisning.
Kapitel 5 – I detta kapitel kommer en analys och jämförelse utifrån referensramen, empirin och tabellerna att göras.
Kapitel 6 – I detta kapitel kommer en slutdiskussion att föras. Förslag på fortsatt forskning kommer även att presenteras.
2 Metod
I detta kapitel kommer metod, metodval, tillvägagångssätt, urval, litteraturval, validitet och reliabilitet samt metod och litteraturkritik att diskuteras.
2.1 Ämnesval
När valet av ämne diskuterades kom tidigt en inriktning mot ekonomiskbrottlighet upp. I och med två promemorior i magisterkursen ekonomistyrning och redovisning undersökte vi närmare denna inriktning som ledde in oss på internkontroll och internrevision. Eftersom dessa ämnen är väldigt breda och en avgränsning behövdes valde vi att koncentrera oss på hur bolag tillämpar svensk kod för bolagsstyrning samt internkontroll, internrevision och riskhantering. Ytterligare en avgränsning som gjordes var att endast studera de fyra största bankerna i Sverige samt fyra valda svenska börsnoterade företag och undersöka och jämföra hur de hanterar bolagskoden, internkontroll, internrevision samt riskhantering. Därmed valdes ekonomiskbrottslighet bort då det skulle medföra svårigheter att undersökas då mörkertalen är stora.
2.2 Metodval
Valet av metod blev en litteraturstudie då den informationen som behövdes för denna undersökning fanns tillgänglig genom böcker, artiklar, årsredovisningar och interntkällor. Det grundläggande syftet med litteraturgenomgång är att samla information och kunskap om det problem som ska arbetas med. Användningen av den kunskap som har samlats in med hjälp av litteraturen används till följande:
”att skapa en teoretisk ram, som kan fungera som tolknings- eller förklaringsmodell att definiera och avgränsa nyckelbegreppen
att bidra till preciseringen av problemställningen genom att klarlägga vad man redan vet om problemet, för att därefter inringa vad man ännu inte vet
att bidra till val av metod.”47
Desto omfattande litteraturgenomgången blir ju svårare kan det bli att hålla fast till den röda tråden. Har en teoretisk ram skapats innebär det att det finns ett större sammanhang att infoga sitt resultat i. Vilket i sin tur leder till större giltighet samt räckvidd. Teoriramen ska hjälpa till att klarlägga problemet. Det som skrivs i teoriramen ska vara relevant till undersökningen.48 2.3 Tillvägagångssätt
Studien började med att undersöka lämplig information till referensramen. Detta gjordes genom att söka relevant data i form av böcker, artiklar och webbsidor, för att skapa en bred förståelse för detta ämne. Utifrån detta skapades en avgränsning som bara tar upp det som är relevant till syftet.
För den empiriska undersökningen valde vi att studera banker och företag för att bilda oss en uppfattning om hur dessa hanterar bolagskoden, internkontroll, internrevision samt
47 Winter, J, (1992). s. 23 48 Ibid, s. 24-25
riskhantering. Intervjuer valdes bort i den empiriska undersökningen på grund av att tillräcklig information fanns att tillgå på annat sätt, det vill säga genom årsredovisningar och internetkällor. Dessutom har denna undersökning haft en tidsbegränsning samt att intervjuer med ledningen för respektive bolag skulle vara mycket tidskrävande.
Informationen i empirin utgår från teorin som tas upp i referensramen. I referensramen presenteras de teoretiska delarna som är relevanta för vår undersökning för att sedan kunna göra jämförelse mellan bolagen. Efter insamling av relevant data har vi gjort jämförelsetabeller mellan bankerna och företagen för att förtydliga skillnaderna och som hjälpmedel för vår analys. Utifrån empirin har vi analyserat och jämfört bolagens agerande gällande tillämpandet av bolagskoden, internkontroll, internrevision samt riskhantering. I slutsatsen har vi svarat på våra problemformuleringar samt haft en slutdiskussion. I slutet av vår uppsats har förslag på fortsatt forskning gjorts.
2.4 Urval av banker och andra typer av företag
Valet som gjordes var att studera fyra banker och fyra andra typer av företag. Anledningen till att studera både banker och företag var för att vi vill se skillnaden dels mellan de olika bankerna och företagen sinsemellan samt skillnaden mellan banker och företag. Detta val gjordes för att se om det finns någon betydande skillnad mellan hur dessa hanterar avvikelser när det gäller bolagskoden samt internkontroll, internrevision och riskhantering. Dessutom är det av intresse att studera skillnaden utifrån att banker har en förtroendeställning då de hanterar andra personers pengar samt ett ägarintresse medans företag har ägarintresset i fokus. Valen av banker gjordes utifrån de största svenska bankerna49, som alla finns i Västerås. I och med att bankerna är börsnoterade i Sverige skall de tillämpa bolagskoden och därmed uppfyller de det vi vill studera. Därmed kommer undersökningen av banker att gälla SEB, Swedbank, Nordea och Handelsbanken.
Förutsättningarna för ett urval är att ha en relativt komplett lista över alla enheter som ingår i undersökningsområdet50. Valen av andra typer av företag baseras på att de uppfyller de krav som vi ville studera. Det vill säga att de är börsnoterade i Sverige och med det tillämpar svensk kod för bolagsstyrning, med detta skall de ha en finansiell rapport angående internkontroll. Svensk kod för bolagsstyrning tar även upp internrevision. För att få en bred spridning från hela listan har ett systematiskt urval används51. Utifrån det har vi valt fyra företag inriktade på olika områden/marknader, det vill säga Volvo, Ericsson, Hennes & Mauritz och TeliaSonera.
2.5 Sekundärkällor och litteraturval
De källor som har används i denna studie är sekundärkällor. Med sekundärkällor menas att informationen har samlats in av någon annan tidigare. I sekundärkällor som är kvalitativa ingår bland annat texter, exempelvis befintliga berättelser och historier. Med kvantitativa sekundärkällor är bland annat årsredogörelser, börsnoteringar och räkenskaper, som oftast används inom ekonomiska undersökningar. Vid användning av sekundärkällor måste ett kritiskt ställningstagande emot dem göras.52
49 Yelah
50 Jacobsen, D I, (2002). s. 339 51 Ibid, s. 342
Vid dokumentundersökningar kan bland annat företags årsredogörelser, dagböcker, brev et cetera användas. Det finns tre situationer då dokumentundersökningar är tillämpliga. Den första är när primärdata är omöjligt att samla in, det vill säga när information direkt från källor till exempel från högt uppsatta chefer i stora företag kan vara väldigt svårt eller omöjligt att få tillgång till. Den andra situationen är när undersökarna vill veta hur andra personer tolkat en speciell händelse. Den sista situationen är när undersökarna vill veta vad andra personer verkligen uttryckt sig och agerat till exempel genom mötesprotokoll.53
När urval av litteratur görs, bör bland annat författarnamn, titel, utgivningsort och förlag samt utgivningsår värderas. Ju oftare författarnamn figurerar i hänvisningar desto större sannolikhet är det att denne är expert på området. En väl formulerad titel hjälper till att avgöra om innehållet är relevant för studien som skall göras. Betydelsefull litteratur ges oftast ut av de största kända förlagen och stora universitetsstäder. Ny litteratur hänvisar många gånger till tidigare utgivningar och bör därför i första hand jämföra den nya litteraturen med äldre för att se vilket av den äldre litteraturen som fortfarande är befintlig.54 Vid val av litteratur har detta tagits i beaktning och framförallt gällande titeln och utgivningsår då många förändringar har skett under de senaste åren samt att bolagskoden nyligen har införts.
Böcker har sökts genom Mälardalens högskolebiblioteks sökmotor Book-it och Libris. Artiklar har sökts från FAR Komplett, där artiklar från Balans har hämtats. Artikeln från Agenda är en tidning från Öhrlings PricewaterhouseCoopers. Artiklar från The Internal Auditor har sökts i ELIN, vilket är en sökmotor på Mälardalens högskola som kopplar samman elektroniska databaser via Mälardalens Högskolebibliotek. Sök ord som används vid böcker, artikel och webbsökning har bland annat varit: internkontroll, internal control, internrevision, internal audit, svensk kod för bolagsstyrning, SOX, Basel II och riskhantering. Årsredovisningar har beställts från respektive bank och företags webbsida där det har funnits tillgängligt. De resterande har laddats ner i PDF format från respektive webbsida. Sökning av väsentlig information har även skett genom sökmotorn Google, Nationalencyklopedin, Internrevisorernas webbsida samt andra relevanta organisationers webbsidor.
2.6 Validitet och Reliabilitet
I en studie bör alla sträva efter att åstadkom en så hög som möjlig validitet, reliabilitet och objektivitet, det är dessa metodbegrepp som är de centrala55. Empirin i en studie skall uppfylla två krav, oberoende på vilken metod som används. Dessa krav är att empirin skall vara valid, det vill säga relevant och giltig samt reliabel, det vill säga trovärdig och tillförlitlig. Med relevans och giltighet avses att det som skall mätas mäts och med trovärdig och tillförlitlig avses att studien går att lita på.56 Med reliabilitet menas att det finns tillförlitlighet i det som studeras, det vill säga att vid upprepning av studien att samma resultat uppstår57. Mätning och noggrannhet vid behandling gällande information bestämmer reliabiliteten58. Med objektivitet menas med i vilken omfattning studien berörs av egna värderingar. Vid metodval skall resursåtgången jämföras mot validitet, reliabilitet och objektivitet.59 53 Jacobsen, D I, (2002). s. 185-186 54 Winter, J, (1992). s. 29 55 Paulsson, U, (1999). s. 48-49 56 Jacobsen, D I, (2002). s. 21-22 57 Paulsson, U, (1999). s. 48-49
58 Holme, I M & Solvang, B K, (1997). s. 163 59 Paulsson, U, (1999). s. 48-49
Denna studie har hög validitet då det som ska studeras har studerats. Referensramen består av relevant information som används som grund vid jämförelsen. Informationen i årsredovisningarna är giltiga, det vill säga att dessa går att lita på då bolagen vill skapa förtroende samt bibehålla det förtroende som de redan har byggt upp hos aktieägare och övriga intressenter.
Reliabiliteten i denna studie är hög då tillförlitligheten i våra källor är hög. Framförallt hos Volvo och TeliaSonera gällande internkontrollen, då dessa även följer SOX som är lag-reglerat. Årsredovisningarna är granskade av revisorer, dock är inte den finansiella rapporten gällande internkontroll granskad. Men tillförlitligheten är ändock hög då bolagen utgår från ett väl fungerat etablerat ramverk, COSO.
Objektiviteten i denna studie är hög då inga förutfattade värderingar om detta ämne samt bolagen fanns innan studien startade.
2.7 Metod och litteraturkritik
I denna studie har inga intervjuer gjorts. Alternativet hade varit att genomföra intervjuer med respektive bolagsledning, men detta valdes bort då all den information som behövdes för undersökningen fanns att tillgå genom årsredovisningar och webbplaster samt den tidsbegränsning som denna studie har. Givetvis kan resultatet ha blivit annorlunda vid intervjuer, men för att få rätt bild av bolagen krävs troligtvis många olika intervjuer från vardera bolag då inte en och samma person sköter hela processen. Undersökningen begränsades till åtta bolag. Resultatet kunde ha blivit annorlunda vid fler bolag alternativt andra bolag istället för dem som valdes till denna undersökning. Dock anses spridningen av bolagens områden/ branscher att det medför en relativt bred täckning över hur de behandlar internkontroll, internrevision och riskhantering.
Undersökaren har vid insamling av primärdata själv en del av kontrollen gällande tillförlitligheten för data som samlats in. Vid användning av sekundärdata finns inte denna kontroll, då den som gör undersökningen inte vet hur data har samlats in och vilka metoder som har används för insamlingen. Ytterligare ett problem med sekundärdata är att data kan komma från olika perioder.60 Information från olika källor gällande samma ämne har studerats och jämförts för att minska felaktigheter. Vi är medvetna om att litteraturen kan vara vinklad beroende på hur författaren har genomfört undersökningen samt att egna åsikter kan ha påverkat resultatet. För att undvika detta har litteratur gällande samma ämne studerats och jämförts för att få en rätt bild av ämnet. Problemet med att data kan komma från olika perioder har lösts genom att endast studera årsredovisningar gällande redovisningsåret 2007. IAS 1 syfte är att finansiella rapporter skall vara jämförbara mellan företag och därmed blir denna studie mer giltig. Dock kan texten angående internkontrollen i årsredovisningarna ”förfinats” då dessa inte är granskade av bolagens revisorer.
3 Referensram
I detta kapitel presenteras bolagsstyrning inklusive Sarbanes Oxley Act, svensk kod för bolagsstyrning, internkontroll med inriktning på COSO- modellen, internrevision samt Basel II. Dessa modeller är relevanta att studera och förklara då det är dessa som kommer att ingå i jämförelsen mellan bankerna och företagen.
3.1 Bolagsstyrning
Företagen som inte styrs av sina ägare skall skötas i ägarnas intresse, detta är vad bolagsstyrning, corporate governance, i grunden handlar om. I börsnoterade företag med många olika ägare ökar risken att styrningen av företaget inte sker i ägarnas intresse utan att företagsledningen kan ha ett eget intresse i företaget. Dessa kan bland annat vara att de har olika uppfattningar gällande risktagande, ersättningar, finansiell struktur och avkastnings-krav.61 Frågor om bolagsstyrning har ökat markant de senare åren, både i Sverige och utomlands. Detta beror på den ökade internationaliseringen av aktiemarknaden samt ägandet i bolag. Även det markanta ökandet av institutionellt innehavande av publika företag och bolagsskandaler som har inträffat på grund av bolagsledningens brist på företagsstyrning, är ytterligare anledningar till ökade frågor kring bolagsstyrning. Begreppet bolagsstyrning innebär bland annat resonemang och bestämmelser om hur bolagen skall ägas och styras.62 För att risken gällande intressekonflikter skall minskas har det i många länder i Europa och i övriga världen införts koder för bolagsstyrning som en komplettering till lagar63. Totalt fanns det i mars år 2006 55 länder med 169 koder och rapporter angående bolagsstyrning samt från olika internationella organisationer ett tiotal rekommendationer. År 1992 kom den brittiska Cadbury-rapporten, vilket hade ett genombrott i Europa gällande bolagsstyrning. Denna rapport följdes av ett antal rapporter som behandlade synpunkter angående börsnoterade brittiska företags bolagsstyrning. I juli år 2003 utkom Combinde Code, vilket innehåller en sammanställning av flera av dessa rapporter.64
På grund av de redovisningsskandaler som skett de senaste åren har kraven på internkontroll ökat. I USA infördes Sarbanes Oxley Act (SOX) som genom denna reglering förklarar hur företagens interna kontroll och dokumentation skall göras.65 SOX infördes i juni år 200266. När det gäller bolagsstyrning är det många länder som antingen ser över existerande regelverk eller utvecklar regelverk runt bolagsstyrning. Amerikansk SOX är det regelverk som är mest omdiskuterat. Den del som har frambringat mest arbete för företagen är avsnittet 404 som behandlar den interna kontrollen över den finansiella rapporteringen. 67 Avsnitt 404 kräver att bolagens årsredovisning innehåller en rapport gällande internkontroll. Ledningen ansvarar för att etablera och vidhålla en tillfredställande internkontrollstruktur så att ett riktigt finansiellt uttalande kan framställas och innehålla en värdering av det senaste taxeringsåret gällande effektiviteten av den interna kontrollens struktur och procedurer. Vidare kräver avsnitt 404 att revisorer skall granska bolagens bedömning gällande deras internkontroll samt utvärdera finansiella uttalanden. Avsnitt 404 fokuserar på den interna finansiella kontrollen för att den information som används till att framställa de finansiella uttalandena blir pålitliga. Även om
61 Kollegiet för svenskbolagsstyrning 3 62 Svernlöv, C, (2006). s. 21 63 Kollegiet för svenskbolagsstyrning 3 64 Kollegiet för svenskbolagsstyrning 2 65 FAR 2, (2006). s. 47 66 Prentice, R, (2005). s. 1 67 KPMG
bolagen anser att kostnaderna för detta avsnitt är höga har de ändå kunnat spara mycket pengar på att de nya kontrollerna har upptäckt ineffektivitet och bedrägeri inom verk-samheten.68 Företagsledningen måste identifiera risker när det gäller den finansiella rapporteringen. De risker som identifieras skall ledningen fatta beslut om hur dessa skall hanteras med hjälp av kontroller, dokumentationer och undersökningar av dessa processer och kontroller. Dessutom skall det göras en bedömning av ledningen hur detta går. Den bedömning som företagsledningen gör skall rapporteras tillsammans med övrig finansiell rapportering. Intern styrning och kontroll bedöms av de externa revisorerna som även kontrollerar rapporten som företagsledningen lämnar. Bedömningen av den interna kontrollen skall in på samma gång som den övriga rapportering, vilket kräver mycket arbete i de flesta fall. Om inte företagsledningen hinner med detta eller fel uppstår i arbetet kan det medföra straff, vilket även gäller för revisorerna om det visar sig att rapporten är felaktig.69
3.2 Svensk kod för bolagsstyrning
Aktiebolagslagen ligger till grund för svensk bolagsstyrning. Debatten om bolagsstyrningen har förts sedan mitten av 1980-talet i Sverige. Aktiebolagskommittén har gjort en successiv granskning och modernisering av aktiebolagslagen sedan år 1990. Ett antal bestämmelser gällande centrala frågor inom bolagsstyrningen har infogats kontinuerligt i själv-regleringsorganens regelverk. Dessa organ är bland annat Stockholmsbörsen, Näringslivets börskommitté och Aktiemarknadsnämnden. För svenska aktiebolag har det inte tidigare funnits någon gemensam och vidsträckt sammanbunden kod för styrning av dessa.70
Den 16 december år 2004 presenterades den färdiga versionen av Svensk kod för bolagsstyrning (bolagskoden), vilket innebär att även Sverige har fått en samlad kod för bolagsstyrning. Bemötandet av bolagskoden i näringslivet har varit bra. Det generella syftet med bolagskoden är att medverka till förbättrad styrning av svenska bolag. Bolagskoden riktar sig i första hand till aktiemarknadsbolag, men den kommer även att verka som vägledning för andra typer av bolag.71 Idag måste alla bolag som är börsnoterade på A-listan och alla på O-listan som har ett marknadsvärde som överstiger tre miljarder kronor tillämpa bolagskoden72. Detta kommer att förstärka näringslivets effektivitet och konkurrenskraft samt förbättra förtroendet för den svenska kapitalmarknaden. Bolagskoden har även ett annat syfte, nämligen att öka kunskapen samt tillförlitligheten hos utländska investerare och andra aktörer på den internationella kapitalmarknaden gällande svensk bolagsstyrning.73
Bolagskodens innehåll
Bolagskoden riktar sig till själva bolagen och framförallt styrelsen. Detta beror på att bolagskoden hanterar det beslutsystem som ägarna direkt eller indirekt styr bolaget med. Dessutom omfattar bolagskoden anvisningar om hur bolaget skall rapportera till ägarna, kapitalmarknaden och övriga i omvärlden. Ägarna omfattas i en liten del, vad gäller regler för valberedning och val. Bestämmelserna i aktiebolagslagen vad gäller bolagets organisation upprepas inte i bolagskodens regler. Däremot hänvisas dem i kommentarer till bestämmelserna för att skapa gynnsammare förutsättningar för läsförståelsen.74 Bolagskoden
68 Prentice, R, (2005). s. 35-37
69 KPMG
70 Svernlöv, C, (2006). s. 23-24 71 Ibid, s. 25
72 Kollegiet för svensk bolagsstyrning 2 73 Svernlöv, C, (2006). s. 25
tar upp många olika delar gällande bolagsstyrning, men nedan presenteras endast de relevanta delarna för denna uppsats.
”Följa eller förklara”
Ett bolag kan välja att frångå enskilda regler, men för att kunna göra det så skall en förklaring avges vid varje avvikelse. Det är alltså inget brott att avvika från regler i bolagskoden, bara bolaget redovisar varför de har valt att inte använda sig av just den eller de reglerna. Det finns inte heller någon regel i bolagskoden som säger hur avvikelser skall motiveras. Istället är det en fråga som bolagets styrelse får ta ställning till. Bolagskoden innehåller inte någon speciell instans som skall bedöma vilka förklaringar som är antagbara.75 Vad gäller aktiemarknadsbolag så är det marknaden i form av investerare och andra aktörer som skall avgöra om en förklaring är godtagbar. De bolag som inte redovisar rimliga förklaringar riskerar att få försämrat förtroende på kapitalmarknaden. Bedömningen av andra typer av bolag som har gjort avvikelser från bolagskoden görs av ägarna.76
Finansiell rapportering
Det är styrelsen som har ansvar över att upprättningen av bolagets finansiella rapport stämmer överens med lagar, redovisningsstandarder och de krav som finns på noterade bolag. Det skall klart synas vilka delar i årsredovisningen och delårsrapporterna som är formella finansiella rapporter, vilka regelverk som de bygger på samt vilken del som är granskad av bolagets revisorer.77
Internkontroll
Enligt bolagskoden är det styrelsens som ansvar för bolagens interna kontroll. De skall se till att det finns en god internkontroll i bolaget och se till att de löpande håller sig informerade samt att granska hur den interna kontrollens system fungerat. Varje år skall styrelsen avlämna en rapport om hur den interna kontrollen är organiserad i den finansiella rapporteringen. Rapporten bör genomföras enligt Svenskt Näringsliv och FAR:s vägledningar. Denna rapport behöver inte granskas av bolagets revisorer, utan det är frivilligt att granska den, samt att det inte behöver finnas några kommentarer om hur den interna kontrollen har fungerat under räkenskapsåret. Denna rapport skall ingå i bolagsstyrningsrapporten som en egen del.78 Internrevision
Bolagskoden tar även upp internrevision. Där står det att i de bolag som inte har någon speciell granskningsfunktions så skall styrelsen varje år göra en utvärdering om behovet av en sådan funktion behövs. Detta skall sedan motiveras i den årliga rapporten om internrevision kommer att behövas eller inte. Det är alltså inte ett krav att ha internrevision men det skall ses över om en sådan behövs.79
75 Svernlöv, C, (2006). s. 30-31 76 Ibid, s. 31
77 Svensk kod för bolagsstyrning, (2004). s. 29-30 78 Ibid, s. 30-31
3.3 Internkontroll
Ett bra internkontrollsystem medför att risken för att medvetna och omedvetna fel uppstår i det löpande arbetet minskas och det medför att fel i redovisningen och förluster för bolagets minskar. En nackdel med att ha bra internkontroll är att det kostar mycket pengar men kostnaden för den interna kontrollen måste jämföras med nyttan som riskminskningen medför. Redovisningen, betalningen och kontrollen i bolagen bör hanteras av olika personer då det medför en minskning av risker för fel jämfört med om en ensam person sköter allt.80 I Europa har EG-kommissionen framhållit den interna kontrollens roll för att minska bedrägerier och ekonomisk kollaps bland bolag i deras redovisning. I Sverige regleras detta i bolagskoden.81 Det är viktigt att bolag inte bara har ordning och kan hantera risker i verksamheten utan de måste sköta kraven på ett effektivt, strukturerat och tillförlitligt sätt. Kraven på bolagen kommer från lagar, förordningar, rekommendationer och börsregler, men det finns ingen officiellt framtagen standard över hur bolag ska agera.82 En god intern- kontroll är något som krävs i alla organisationer och företag. Om organisationerna och företagen hanterar den interna kontrollen på rätt sätt kan det hjälpa mycket och ge underlag för att till exempel få effektivare processer, ge bättre information till intressenter och med det få ett bättre förtroende från dem samt på ett bättre sätt kunna undvika fel som blir kostsamma för bolaget. En bra internkontroll kan påverka bolagens möjligheter att uppnå målen som är satta genom att undvika risker som kan uppkomma då det ges möjlighet att behandla dessa risker som till exempel undvika felaktiga beslut och felaktig information till intressenter. Det är därmed viktigt att bolagen gör en koppling mellan de risker som kan påverka målen och den interna kontrollen. Varje bolag får göra en vägning mellan riskerna för att till exempel ta felaktiga beslut, förluster och dålig kvalitet i produkter mot kostnaderna för att ha en bra fungerande internkontroll.83
Enligt Brink´s Modern Internal Auditing antyder han att den interna kontrollen är det viktigaste samt grundprincipen som den interna revisorn måste förstå84. Dålig kontroll kan leda till fel, förluster, skandaler och kan skada organisationens rykte. När risker blir tillåtna att ”run wild” och nya utmaningar tas an utan att risker kontrolleras är det sannolikt att det kan uppstå problem. En organisation måste sätta klara mål och uppskatta den ingående risken som följer med dessa mål för att kunna uppnå dem. Det måste finnas en kontrollstrategi för uppskattningen att ta till sig de förväntade målen. Kontrollstrategin härstammar från den bredare riskhanteringsstrategi, men som kommer att ha fokuserings- och effektivitetssystem som huvudkomponent gällande internkontrollen.85
Styrelsen i bolagen skall se till att en god internkontroll finns i bolaget och kontinuerligt se till att de är informerade och att de analyserar hur bra systemet för den interna kontrollen fungerar i bolaget86. En god internkontroll har blivit allt viktigare på grund av de företagsskandaler och förtroende minskning bland intressenter. En fungerande internkontroll har blivit en viktig kugge för att få tillbaka förtroende på olika kapitalmarknader genom att skapa bra modeller för bolags- och ägarstyrning.87
80 FAR 2, (2006). s. 45 81 Ibid, s. 47 82 COSO, s. 3 83 FAR 1, (2006). s. 7 84 Pickett, K H Spencer, (2003). s. 85 85 Ibid, s. 86
86 Svernlöv Carl, Balans nr 3 2005 87 FAR 1, (2006). s. 9
Det kom under 1980- och 1990-talet många olika ramverk för hur internkontroll skall skötas och det ramverk som slagit igenom mest och fått störst spridning är COSO, the Committee of Sponsoring Organizations of the Treadway Commission88.
COSO - Internal Control – an integrated framework
Den dominerande standarden som används är den amerikanska COSO. År 1985 formades COSO för att förhindra ekonomisk brottslighet i samband med den finansiella redovisningen. COSO gav år 1991 ut ett ramverk, Internal Control – an integrated framework, som beskriver vad som utmärker god internkontroll och styrning samt god riskhantering.89
Åtgärder för styrning och kontroll upprättas för att bolag kan styras mot vinstmål, huvudsakliga uppdrag och för att överraskningar ska kunna minimeras. Detta gör att styrelsen för bolaget kan behandla snabba förändringar i bland annat den ekonomiska omvärlden, konkurrensmässigt och efterfrågan från kunder. Insatser inom intern styrning och kontroll gynnar effektiviteten, minskar risker för förluster bland tillgångar, hjälper tillförlitligheten i den finansiella rapporteringen och gör att lagar och regler följs.90
Intern styrning och kontroll kan skapa förvirring hos de människor som arbetar inom bolagen, lagstiftare med flera då det betyder olika saker för olika människor. COSO:s rapport behandlar förväntningar och behov hos ledningen och den definierar och beskriver intern styrning och kontroll enligt följande:
”Etablera en gemensam definition som tillgodoser behoven hos olika intressenter. Tillhandahålla en standard mot vilket företag och andra organisationer – stora eller
små, inom den offentliga sektorn eller privata sektorn, med eller utan vinst – kan bedöma sina styr- och kontrollsystem och bestämma hur de ska förbättras.”91
Intern styrning och kontroll är i allmänhet definierat som ”en process, utförd av en organisations styrelse, ledning och annan personal för att ge rimlig försäkran om att målen uppfylls inom följande kategorier:
Effektivitet och produktivitet i verksamheten. Tillförlitlig finansiell rapportering.
Efterlevnad av tillämpliga lagar och regler.”92
Kategorin Effektivitet och produktivitet i verksamheten fokuserar på bolagens huvudsakliga verksamhetsmål, vilket resultat- och vinstmål samt skydd av tillgångar ingår. Kategorin Tillförlitlig finansiell rapportering har att göra med förberedelsen för pålitliga publicerade finansiella lägesrapporter. Den sista kategorin Efterlevnad av tillämpliga lagar och regler behandlar att lagar och förordningar följs.93
88 FAR 1, (2006). s. 7 89 COSO, s. 3 90 Ibid, s. 4 91 FAR 1, (2006). s. 4 92 Ibid, s. 4 93 Ibid, s. 4
Effektiviteten för intern styrning- och kontrollsystem är olika beroende på nivåer. De tre kategorierna kan var och en bedömas som effektiva om styrelsen och ledningen rimligtvis är säkra på att:
”De förstår i vilken utsträckning organisationens verksamhetsmål uppnås. Publicerande finansiella uttalanden är tillförlitligt underbyggda.
Gällande lagar och förordningar efterlevs.”94 Komponenter inom internstyrning
Det finns fem med varandra beroende komponenter inom intern styrning och kontroll som är ”härledda från det sätt som en ledning styr ett företag och är integrerade i styrprocessen95”. Dessa komponenter är (1) kontrollmiljö, (2) riskbedömning, (3) kontrollaktiviteter, (4) information och kommunikation samt (5) övervakning inklusive uppföljning och utvärdering96.
(1) Kontrollmiljön (Control Environment) utmärker harmonin i en organisation och inverkar på medarbetarnas kontrollmedvetenhet. Detta är basen för övriga komponenter och medför ordning och struktur. Inom kontrollmiljön finns element som består av bland annat etiska värden, integritet, ledningens filosofi och ledarstil, ledningens sätt att fördela ansvar och befogenheter med mera.97
(2) Risker av både intern och extern grund är något som organisationer möter och måste utvärdera. För att göra en riskbedömning (Risk Assessment) måste det finnas upprättade mål som finns anknutna till olika nivåer som är internt konsistenta. Riskbedömningen utgör identifiering och analysering av väsentliga risker för att kunna uppnå de uppsatta målen som utgör grunden för att avgöra hur dessa risker ska behandlas. För risker som är kopplade till förändringar som ekonomiska, branschmässiga, regleringsmässiga och verksamhetsmässiga krävs verktyg som kan identifiera och behandla dessa förändringar.98
(3) Kontrollaktiviteter (Control Activities) är de rutiner och riktlinjer som medverkar till att ledningens direktiv genomförs. För att säkra risker som kan hota måluppfyllelsen medför kontrollaktiviteterna nödvändiga ingrepp som skall förhindra detta. Kontrollaktiviteter sker på alla nivåer och i alla funktioner inom hela organisationer, vilket omfattar aktiviteter som bland annat godkännande, verifikationer, genomgångar av verksamhetens resultat och säkrande av tillgångarna med mera.99
(4) Information (Information) skall identifieras och förmedlas till anställda i sådan form och inom den tidsram som behövs för att dessa ska kunna genomföra arbetet. Genom informationssystem skapas rapporter som omfattar finansiella och verksamhetsmässig information och uppgifter om hur regler ska följas. Vilket gör det möjligt för organisationen att driva och styra verksamheten. Detta gäller även information och villkor som sker utanför organisationen och som är nödvändiga som grund för till exempel affärsbeslut. Fungerande
94 COSO, s. 4-5 95 Ibid, s. 5 96 Ibid, s. 5-6 97 Ibid, s. 5 98 Ibid, s. 5 99 Ibid, s. 5
kommunikation (Communication) måste finnas i stor utsträckning inom hela organisationen. Klara underrättelser till personal från ledningen krävs för att intern styrning och kontroll skall tas på allvar och att de förstår sina enskilda roller och hur deras arbete påverkar andras arbete inom intern styrning och kontroll. Det är även viktigt med en bra kommunikation utanför organisationen med till exempel kunder, leverantörer och aktieägare.100
(5) Ett skeende som påverkar kvalitén på systemets resultat över en längre tid är övervakandet, uppföljandet och utvärderandet (Monitoring) av interna styr- och kontroll-system. Dessa utgörs av kontinuerliga övervakningsåtgärder och uppföljningar, enskilda utvärderingar eller i en kombination av alla dessa. De kontinuerliga övervakningsåtgärder och uppföljningar sker under verksamhetens gång.101
I figur 2 nedan presenteras de olika komponenterna i förhållande till målkategorierna.
Figur 2, COSO – kuben Källa: sox-online.com
Det finns effekter mellan dessa komponenter som formar ett system som reagerar flexibelt om förändringar i förutsättningarna sker. Det finns ett samband mellan komponenterna som gäller för att uppnå mål och för kategorierna av mål där alla komponenter är viktiga för varje målkategori. Alla fem komponenter måste finnas och fungera effektivt för att en målkategori ska kunna vara effektivt.102
Roller och ansvarsfördelningar inom organisationen
Varje person i en organisation har ansvar för intern styrning och kontroll. Ledningen, det vill säga den verkställande direktören, har det störst ansvaret och det är denne som ger tonen i bolagets ledning som inverkar på organisationens integritet, etik och andra faktorer som kan medföra en positiv kontrollmiljö. I större bolag medföljer detta genom att visa ledarskap och riktlinjer till högre chefer inom organisationen, som i sin tur ska skapa specifikare riktlinjer och rutiner för de personer som har ansvar för verksamhetens olika funktioner. Störst betydelse för detta har ekonomichefer och deras personal då det är de som har kontroll-aktiviteter som verkar över hela bolaget. 103
100 COSO, s. 5-6 101 Ibid, s. 5-6 102 Ibid, s. 6 103 Ibid, s. 7-8
Styrelsen har en granskande roll och ska ge råd och riktlinjer till företagsledningen, vilket medför att styrelseledamöterna måste vara objektiva, frågvisa och kunniga. En ohederlig företagsledning kan använda sig av sin position för att avsiktligen förändra och förvränga resultat vilket medför att styrelsen måste vara stark och aktiv med effektiva kommunikationer. Skickliga funktioner inom ekonomi, juridik och internrevision medför större möjligheter att identifiera problem med oärliga ledningar.104
En viktig roll har internrevisorer som utvärderar styr- och kontrollsystems effektivitet och bidrar till den kontinuerliga effektiviteten. En internrevisionsfunktion har ofta en viktig roll i övervakningen tack vare sin organisatoriska placering och befogenhet i bolaget.105
Intern styrning och kontroll bör vara en del av arbetsbeskrivningen för alla i bolaget då mer eller mindre de flesta anställda skapar information som används i systemen eller vidtar åtgärder som behövs för att utöva styrning och kontroll106.
Det finns även externa parter som påverkar bolagets måluppfyllelse som till exempel externrevisorer som oberoende och objektivt skall granska årsredovisningen och lämna information så att styrelsen och företagsledningen ska kunna uträtta sina arbeten. Andra externa parter som kan påverka kan bland annat vara lagstiftare, myndigheter och kunder.107 COSO – Enterprise Risk Management – an integrated framework
Efter att COSO framarbetat ramverket Internal Control - an integrated framework började de fördjupa sig i riskhantering. Detta arbete ledde till att år 2004 kom COSO ut med ett nytt ramverk Enterprise Risk Management – an integrated framework (ERM). En bra risk-hantering kräver en bra intern styrning och kontroll och det finns därmed en nära koppling mellan dessa ramverk. Ramverken riktar sig mot organisationers ledningar, controllers, risk managers, interna och externa revisorer samt andra intresserade med frågor angående intern styrning och kontroll samt riskhantering. Ramverket för riskhantering är inte till för att ersätta ramverket för intern styrning och kontroll utan de ska integrera med varandra.108
Internkontroll – självreglering eller lagstiftning?
Internkontroll gällande den finansiella rapporteringen är den dyra och det stora problemet, risken finns att det blir mer och mer likt det amerikanska SOX. Det kan vara svårt att hitta någon ”lagom” modell för Sverige när det redan finns utförliga regelverk både amerikanska och andra internationella regelverk. Då det idag bara finns en liten del angående internkontrollen i bolagskoden och som inte säger mycket om vad och hur bolaget skall sköta den interna kontrollen blir frågorna många. De oklara förklaringarna i bolagskoden har medfört förvirring bland bolagen och vet inte hur de skall hantera den interna kontrollen. Det medför problem när verken bolag, revisorer eller styrelser vill skriva på saker de inte riktigt vet vad det är för något. För att en revisor skall kunna uttala sig om internkontrollen måste de kunna utgå från en definierad standard för internkontroll. Enligt revisorerna Bertel Enlund och Tommy Mårtensson kan det komma att uppstå ett SOX liknande rapportering och med det kan kostnader för revisionen att öka med 50 – 60 procent. Men med för mycket fokus på
104 COSO, s. 8 105 Ibid, s. 8 106 Ibid, s. 8 107 Ibid, s. 8 108 COSO 2, s. 3-5
internkontroll kan det finnas risker att bolagen och styrelsen kan ägna för mycket tid åt att följa regler istället för att sköta affärer.109
3.4 Internrevision
”Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organisation’s operations. It helps an organisation accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance processes.”110
Det finns fyra grundstenar inom internrevisionen vilka är:
Pålitlighet och integritet av finansiell- och operationellinformation. Effektivitet och prestationsförmåga av processen.
Skydd av tillgångar.
Efterlevnad av lagar, regleringar och kontrakt.111
En internrevisor är anställd i bolaget och kan aldrig ersätta en extern revisors arbete. Internrevisorn är ett hjälpmedel för ledningen i bolaget att kontrollera bolagets effektivitet och verksamhet. Internrevisorn kan ha en ställning i bolaget som är självständigt och kan därmed arbeta på ett objektivt sätt. Det är vanligt att interna och externa revisorer har ett nära samarbete med varandra. Den kontroll som internrevisorerna gör kan den externa revisorn på eget ansvar dra nytta av. Internrevisorer har ingen formell utbildning eller erfarenhetskrav på sig. Men många internrevisorer har liknande utbildningar och erfarenheter som de auktoriserade eller godkända revisorerna samt att det finns vidareutbildningskurser som Internrevisorernas Förening (IRF) erbjuder. Den interna revisorn kan göra ett internationellt test genom IRF och få en slags auktorisation, Certified Internal Auditor (CIA). För att klara formkraven för CIA finns vissa krav angående utbildning, arbetslivserfarenhet och att The Institute of Internal Auditors (IIA) regelverk tillämpas.112
Enligt IIA skall den interna revisorn aktivt bedöma och ge rekommendationer för att förbättra styrningsprocessen för dennes genomförande av följande mål:
Uppmana till passande etik och värderingar inom organisationen. Försäkra effektiva organisations prestationer.
Effektiv kommunikations risk och kontroll information inom lämpliga områden inom organisationen.
Effektivt samordna aktiviteterna och kommunicera informationen till styrelsen, externa och interna revisorer samt ledningen.113
Den interna revisorns roll är att införa bevakning gällande riskhantering, kontroll och styrningsprocessen114. Internrevisionens uppgift är att kontrollera att den information som
109 Precht Elisabeth, Balans nr 1 2006 110 Pickett, K H Spencer, (2003). s. 109 111 Ibid, s. 111-112
112 FAR 2, (2006). s. 15-16
113 Pickett, K H Spencer, (2003). s. 41 114 Pickett, K H Spencer, (2003). s. 43
organisationen tillhandahåller är pålitlig och att den har integritet. Dessutom kontrolleras att lagar och regelverk följs samt att det värnas om tillgångarna. Till sist ser internrevisionen till att organisationens resurser används effektivt och att mål och syften åstadkoms. ”Internrevision hjälper en organisation att nå sina mål, genom att tillföra ett systematisk, strukturerat sätt att värdera och förbättra effektiviteten i riskhantering, styrning och kontroll samt ledningsprocesserna.” 115 Den blir på detta vis oberoende och objektiv. Detta är ett sätt att förbättra en organisations verksamhet samt tillföra värde.116 Internrevisorerna måste förstå flödet av transaktioner, även hur transaktionerna påbörjats, dokumenterats, godkänts, behandlats och rapporterats för att på ett effektivt sätt dokumentera den interna kontrollen. De måste även dokumentera och identifiera de risker som kan finnas i processen, exempelvis bedrägerier och även granska så att de kontroller som skall minska riskerna finns där. Det är även viktigt att internrevisorerna kan ta beslut om vilka kontroller som är nödvändiga när det gäller processer, aktiviteter eller system som är under granskning när det gäller riskprofil och en önskad nivå av kontroll.117
Är det så att ett bolag har en speciell riskexponering som kan föra med att bolaget inte kommer att ha råd med de följder som kan uppstå vid tänkbara brister så kan ett behov av internrevision förekomma. Detta gäller för en del bolag med ett särskilt publikt intresse. ”Till exempel har staten genom Finansinspektionen reglerat att en särskild granskningsfunktion skall finnas för finansiella bolag i syfte att ge en oberoende utvärdering av den interna kontrollen så att styrelsen kan vidta lämpliga åtgärder.” 118 Internrevisorn behöver förstå risk och de behöver uppskatta betydelsen av riskhantering för en organisation. Många stora bolag driver idag inte riskhanteringen som ett rapporteringsbehov utan som ett viktigt affärsverktyg som vid rätt hantering förbättrar arbetet.119 I internrevisorernas tidning nummer 3 2007 skriver Harald Lööf i artikeln Börsbolagen ökar internrevisionen att det har visat sig att internrevisionen bland börsbolag som tillämpar bolagskoden har ökat från 38 procent år 2005 till 47 procent år 2006.120
3.5 Basel II
Den 1 februari år 2007 trädde en ny lag, Kapitaltäckningslagen i kraft i Sverige samt att Finansinspektionens föreskrifter började gälla. I och med detta infördes i svensk rätt EU- reglerna och Basel II. Detta medför att ett fungerade riskhanteringssystem skall finnas i verksamheten för att kunna se över riskerna.121
År 1988 beslutade the Basel Committee on Banking Supervision för Basel Accord, som idag kallas Basel I. Basel I hjälpte till med att stärka pålitligheten och stabiliteten för det internationella banksystemet, detta var resultat av de höga kapital förhållanden som fanns vid denna tidpunkt. Det existerande ramverket Basel I har kommit i en ytterligare version Basel II. Syftet med ramverket är att göra det mer riskkänsligt samt representativt för den moderna bankens riskhanterings utövning. Det finns fyra huvudkomponenter inom Basel II vilka är:
115 Vad är internrevision? 116 Ibid 117 Koutoupis, Andreas G 118 Svernlöv, C, (2006). s. 140 119 Pickett, K H Spencer, (2003). s. 53 120 Lööf, Harald, InternreVision 121 Finansinspektionen
