Karl-Magnus Sahlén Johan Hagman
Sarbanes-Oxley Act – uppfyller den sitt syfte?
En studie av svenska bolags åsikter om SOX och vad den inneburit för dem
Sarbanes-Oxley Act – Does it fulfill it’s purpose?
A study of Swedish companies views on SOX and what it means to them
Redovisning C-uppsats
Termin: VT-10
Handledare: Hans Lindkvist
Ordlista
ADR American Depository Receits
ELC Entity Level Controls
FEI Financial Executives International
ITGC Information Technology Controls
PCAOB Public Company Accounting Oversight Board
SOX Sarbanes and Oxley Act
SEC Securities and Exchange Comission
TLC Transaction Level Controls
Förord
Vi vill börja med att tacka våra respondenter. De har ställt upp med sin dyrbara tid och genom sin erfarenhet och kunskap gett oss de svar som gjort denna uppsats möjlig. Utan de svar och de tankar de delade med oss hade vi inte kunnat nå det resultat vi gjort.
Ett tack riktas även till de personer som hjälpt oss med korrekturläsning och språklig kritik.
Slutligen och självklart vill vi även tacka vår handledare Hans Lindkvist för den hjälp och de mycket goda idéer och synpunkter han bidragit med.
_________________ ____________
Karl-Magnus Sahlén Johan Hagman
Karlstad, maj 2010
Sammanfattning
Sarbanes-Oxley Act, SOX, har inneburit stora förändringar för de företag som är noterade på en amerikansk börs. Med höga krav på en struktur för interna kontroller av processer inom företaget har detta inneburit mycket arbete för företagen och revisorer. Framförallt under införandet men även efteråt i det dagliga arbetet.
I denna uppsats redogör vi för hur svenska företag ser på Sarbanes-Oxley Act och vad de anser om hur väl regelverket uppfyller sina mål att förhindra fel och fusk i redovisningen samt den finansiella rapporteringen. För att komma fram till våra slutsatser har vi intervjuat sex olika personer som på något sätt kommer eller har kommit i kontakt med SOX. Det är svar från personer på ABB, AstraZeneca, Autoliv, Ericsson samt Ernst & Young som varit grunden i vårt arbete.
Det visade sig att de alla ansåg att SOX höjt kvaliteten i deras redovisning och hjälpt dem att hitta felaktigheter i ett tidigare skede. Dock är det tveksamt om regelverket motverkar de riktigt omfattande bedrägerier vi sett och kanske även i fortsättningen kommer se.
Innehållsförteckning
ORDLISTA...6
1. INLEDNING ...6
1.1. BAKGRUND...6
1.2. PROBLEMDISKUSSION...7
1.3. SYFTE...8
1.4. AVGRÄNSNING...8
1.5. DISPOSITION...9
2. METOD... 10
2.1. KVALITATIV ELLER KVANTITATIV?...10
2.2. DATAINSAMLING...10
2.3. VAL AV INTERVJUPERSONER...10
2.4. VAL AV FRÅGOR...11
2.5. TROVÄRDIGHETSDISKUSSION...12
3. TEORI ... 14
3.1. INFÖRANDET AV SOX...14
3.2. PCAOB ...14
3.3. SARBANES-‐OXLEY ACT SECTION 404 ...15
3.4. PCAOB:S ARBETE...16
3.5. STEG I UTFÖRANDET AV EN REVISION...17
3.5.1. Entity Level Controls ...18
3.5.2. Transaction Level Controls...18
3.5.3. Information Technology Controls ...19
3.6. BEFOGENHETSFÖRDELNING...19
3.7. BROTT OCH STRAFF...19
3.8. KRITIK MOT SOX...20
3.9. INDIREKTA EFFEKTER AV LAGSTIFTNINGEN...22
4. EMPIRI ... 23
4.1. ERICSSON...23
4.2. AUTOLIV SVERIGE AB ...25
4.2.1. Autoliv AB Stockholm ...25
4.2.2. Autoliv Sverige AB Vårgårda...26
4.3. ASTRAZENECA...27
4.4. ABB ...28
4.5. ERNST & YOUNG...29
5. ANALYS... 32
5.1. GER SOX EN MER KORREKT REDOVISNING? ...32
5.2. MINSKAR SOX MÖJLIGHETERNA TILL FUSK OCH BEDRÄGERIER? ...32
5.3. MINSKAR SOX MÖJLIGHETERNA TILL VILSELEDANDE REDOVISNING? ...33
5.4. GER SOX EN SÅ PASS HÖGRE TILLFÖRLITLIGHET ATT DEN ÄR VÄRD DE ÖKADE KOSTNADER REGELVERKET MEDFÖRT? ...34
6. SLUTSATS ... 35
1. Inledning
I detta avsnitt presenteras bakgrunden till ämnet som ska ge en förståelse för problemet och syftet.
1.1. Bakgrund
Sarbanes-Oxley Act är en direkt följd av de ökade krav som ställdes på den interna kontrollen och testandet av kontrollernas kvalitet i börsnoterade företag under 2001 och 2002. Orsaken till att rösterna höjdes för hårdare kontroller kan nästan helt tillskrivas Enronskandalen. Det Enrons ledning gjorde var att genom en avancerad bokföring som befann sig på gränsen till olaglig visa en starkt förbättrad bild av företagets ekonomiska ställning trots att de egentligen åstadkom minusresultat. Det skedde genom att starta bolag som tekniskt sett inte tillhörde Enron, men i praktiken kontrollerades av bolaget. I dessa bolag lades vissa skulder och derivatinstrument medan alla intäkter redovisades i bolag som Enron ägde. Resultatet av denna bokföring blev att Enron kunde visa upp mycket goda resultat vilket drev upp priset på aktierna där ledningen hade stora innehav (Rundfeld 2002). Dessutom hade nästan alla i personalen indirekta innehav i Enronaktien genom den pensionsfond som bolaget erbjöd sina anställda. Fondens innehav bestod till väldigt stor del av Enronaktier. Det var dock endast ledningen som kände till de oegentligheter som låg till grund för aktiepriset. När fusket till slut började uppdagas utnyttjade ledningen sin insiderinformation och sålde aktierna. Personalen som inte kände till den verkliga bilden blev de stora förlorarna och blev av med nästan hela sina pensioner (Dagens Industri 2002).
Efter att Enrons affärer hade klarats upp och granskats gick det väldigt fort att färdigställa och anta den nya lagstiftning som skulle förhindra att ett nytt
”Enron” skulle kunna uppstå. I juli 2002 antogs lagstiftningen genom att den dåvarande presidenten George W Bush skrev under SOX (Garner et al. 2007).
SOX är tvingande för alla företag som är noterade på en amerikansk börs oavsett bolagets nationalitet. Detta har lett till att många företag har valt att avnotera sig från amerikanska börser för att slippa det kostsamma arbetet med SOX (Wong ).
2006 kom en reviderad upplaga av SOX, det var i huvudsak section 404 som ändrades. Section 404 är den paragraf som kräver att en extern revisor ska uttala sig om kvaliteten i de interna kontrollerna. Orsaken till revideringen var
att ytterligare säkerställa tillförlitligheten samtidigt som de processer section 404 innebar gjordes mer effektiva och billigare (Wong).
Sox-reglerna har som tidigare nämnts uppkommit för att förhindra fusk i redovisningen hos amerikanskt börsnoterade företag eller dotterbolag till desamma. Securities and Exchange Commission, SEC, den amerikanska motsvarigheten till Finansinspektionen, har dock kritiserats för sitt arbete eftersom förhållandevis lite tid har lagts ner på förarbetet och uppskattningen av kostnaden för företagen att tillämpa regelverket (Baker 2008)(Gilbert Welytok 2008). Fyra år efter att lagen satts i bruk tog SEC därför ett beslut att göra en revidering av lagen. Målet med revideringen var främst att förenkla lagen i första hand för mindre företag (Cox 2007). Lagen har både före och efter revideringen medfört ökade krav på interna kontrollerna i de berörda företagen. Omfattningen av den interna kontrollen i dessa företag har ökat för att kunna uppfylla lagens redovisningskrav. Detta har då ökat kostnaderna avsevärt i de företag som innan lagens införande inte hade en tillräcklig omfattning i sin interna kontroll (Baker 2008).
1.2. Problemdiskussion
Frågan är då hur dessa företag värderar den förbättrade interna kontrollen? De ökade kostnaderna leder till reduceringar av årets resultat men ger samtidigt bättre information om hur företagets status är ekonomiskt. Hur gör företagen för att kunna dra nytta av det nya reglementet, om de överhuvudtaget gör det?
En del av de svenska företag som var registrerade på den amerikanska börsen vid SOX-lagens inträde har valt att flytta från amerikanska marknaden just på grund av de högre krav lagen medförde. Samtidigt har en del av dessa företag valt att bibehålla en del av den interna kontroll man inledde vid lagändringen.
Orsaken är i dessa fall att de har lyckats dra nytta av den förbättrade interna kontrollen och numera anser att den är behövlig för att kunna driva verksamheten på ett lönsamt sätt. Det verkar ha funnits utrymme för organisatoriska förbättringar då man förbättrat sin interna kontroll och på så vis blivit mer uppdaterad om företagets verkliga hälsa är och var förbättringar eventuellt kan göras för att ytterligare effektivisera företaget (B:son Blomberg
& Svernlöf 2003).
En av våra frågeställningar är om SOX-lagen helt enkelt är alltför kostsam i förhållande till den nytta den skulle innebära. Skulle det vara fallet måste någonting göras för att förändra lagens utformning och möjliggöra för företagen att med mindre arbete klara lagkraven.
1.3. Syfte
Det ställs två krav på SOX. Dels att lagen ska förhindra möjligheter till fusk i redovisning av företag samtidigt som den inte får vara för omfattande och kostnadsdrivande för företagen. Lagen har inneburit ett större ansvar för bolagens revisorer, därför har intervjufrågorna delvis fokus på just revisorerna.
Balansgången däremellan är viktig att hitta för lagens överlevnad. Syftet med den här uppsatsen är i första hand att avgöra om SOX lyckas uppfylla sitt syfte att minska och kanske till och med förhindra felaktigheter och fusk i bolagens redovisning och rapporter. I andra hand syftar den till att peka på de delar av lagstiftningen som skulle behöva en översyn för att undvika att lagens syfte inte kan uppfyllas. De frågor vi ska besvara är:
• Ger SOX en mer korrekt redovisning?
• Minskar SOX möjligheterna till fusk och bedrägerier?
• Minskar SOX möjligheterna till vilseledande redovisning?
• Ger SOX en så pass högre tillförlitlighet att den är värd de ökade kostnader regelverket medfört?
1.4. Avgränsning
Vi har fokuserat på vad Sarbanes-Oxley Act resulterat i för svenska bolag i avseende på ökad kvalitet, högre kostnader samt om bolagen anser att risken för bedrägerier finns kvar. Vi har inte gått djupare in på lagtexten och tolkningen av den.
1.5. Disposition
Inledning
• I detta avsnitt presenteras bakgrunden till ämnet som ska ge en förståelse för problemet och syftet.
Metod
• Här ges en beskrivning av vårt tillvägagångssätt för insamlingen av den data vi använt.
Teori
• Här finns en redogörelse för det som skrivits om ämnet och som är relevant för vår undersökning.
Empiri
• Här presenteras de relevanta uppgifterna som tagits fram under våra intervjuer.
Analys
• Här kopplas teorin samman med de intervjuer vi gjort.Slutsats
• I detta kapitel redogör vi för de slutsatser vi dragit av undersökningen med hänsyn till vårt syfte.
2. Metod
Här ges en beskrivning av vårt tillvägagångssätt för insamlingen av den data vi använt.
2.1. Kvalitativ eller kvantitativ?
Denna uppsats är författad utefter en deduktiv ansats. Denna ansats eller strategi innebär att uppsatsen går från teori till empiri. Den deduktiva ansatsen förespråkas av de som anser att det är bäst att först skaffa sig en uppfattning om omvärlden för att därefter samla in empiri för att se om insamlad data stämmer överens med uppfattningen eller teorin. Denna ansats eller strategi menar att det bästa sättet att arbeta är att med hjälp av tillskansad kunskap utreda om teorin stämmer överens med verkligheten. Denna uppsats är i huvudsak en kvalitativ undersökning eftersom empirin bygger på intervjuer med ett fåtal personer. Dock har den kvantitativa drag då vi intervjuat personer på samtliga i Sverige börsnoterade bolag som också är noterade på en amerikansk börs (D.I Jacobsen 2002).
2.2. Datainsamling
I vår uppsats kommer en stor del av materialet från skrivna källor. Främst är det vetenskapliga artiklar som publicerats i tidskrifter med redovisning som huvudämne. Självklart ska en kritisk ställning hållas när sådana texter läses och används som referenser. En viktig del i detta är att försöka förstå vilken agenda författaren haft (D.I Jacobsen 2002). Kan det vara så att skriften är publicerad i syfte att smutskasta eller försköna någonting? Har artikeln granskats av andra forskare? Detta är frågor vi hela tiden haft i bakhuvudet när dessa källor valts ut och implementerats i denna uppsats. Materialet har sedan använts som en grund för vår fortsatta studie av reglerna samt de frågeställningar vi hade kring denna lag. Empirin är till fullo baserad på intervjuer med personer som på olika sätt arbetar med SOX i det svenska näringslivet. Samtliga, bortsett från en, intervjuer är gjorda per telefon. Den sista intervjun gjordes vid ett besök på respondentens kontor.
2.3. Val av intervjupersoner
Intervjuerna har varit avgörande för att kunna besvara våra frågor om de eventuella brister som fortfarande finns i lagen då det är svårt att skapa sig en
helhetsbild och total förståelse för det arbete som utförs endast genom att läsa lagar och artiklar. Personer som har varit med i det verkliga och praktiska arbetet har större möjlighet till djupare insikt i de olika delarna av arbetet och har därmed lättare att se felaktigheter och brister. Intervjuerna har varit öppna, med det menas att vi i förväg förberett ett fåtal frågor som syftat till att leda in respondenten på ett samtal om fördelarna men framförallt nackdelarna med SOX (D.I Jacobsen 2002). Anledningen till att vi endast valde att förbereda ett fåtal frågor är framförallt för att vi inte innan samtalen kunde veta hur intervjuerna skulle komma att utvecklas och att vi därför behövde kunna vara flexibla för att anpassa frågorna efter den information vi fick. Det vi ville uppnå under våra samtal var att få en ännu djupare insikt i den djungel SOX kan liknas vid.
Empirin grundas på intervjuer med totalt sex personer som i någon form arbetar med SOX i dagsläget. Fem av personerna finns på ABB, AstraZeneca, Autoliv och Ericsson som är de bolag som är noterade på både en svensk och en amerikansk börs och därmed måste följa SOX. Den sjätte och sista personen jobbar på Ernst & Young som revisor och kommer i kontakt med SOX i både revisions- och konsultarbete. Vi är medvetna om att vi inte fått tag på personer som sitter på samma nivå i de olika bolagen, exempelvis pratade vi med internrevisionschefen på Ericsson och en person på AstraZeneca som ingår i teamet som arbetar med att göra kontroller och se till att AstraZeneca följer reglerna.
2.4. Val av frågor
Arbetet med att hitta de frågor som skulle ge oss de svar vi ville ha fick inte underskattas. Frågorna av typen ”vad är dåligt med SOX?” är något vi ville undvika då de är för allmängiltiga och det inte specifikt talar om vad vi var ute efter. SOX kan ha medfört mycket som kan tänkas vara dåligt ur flera perspektiv. Det vi behöver göra är att föra samtalet med hjälp av frågor som tar oss in på det vi specifikt undrar över. Dessutom ville vi inte riskera att förlora respondenternas förtroende genom att ställa naiva och ”dumma”
frågor.
Nedan listas de frågor vi utgått ifrån i våra intervjuer. Vi har använt samma mall för alla respondenterna för att undvika att styra personerna i olika riktningar.
• I vilka lägen är det upp till revisorn att göra en riskbedömning?
• Finns det några fall där SOX är onödigt mycket reglerat vilket leder till onödigt höga kostnader?
• Finns det några fall där det borde vara mer reglerat för att undvika felbedömningar och/eller oärlighet från revisorns sida?
• Tycker du att SOX minskar risken för bedrägerier?
• Är det inte fortfarande slutligen upp till revisorn att förhindra bedrägerier genom sin riskbedömning och avgöranden angående väsentligheten?
• Finns det något du skulle vilja ändra på i SOX-reglerna?
2.5. Trovärdighetsdiskussion
Vi som författare har hela tiden arbetat för att försöka uppnå och hålla en så hög reliabilitet som möjligt i uppsatsen. En första fråga som måste besvaras är tillförlitligheten i respondenternas svar. Detta avgörs mycket av de frågor vi ställt och hur de ställdes. Personerna är trots allt anställda och betalda för att följa detta regelverk. Exempelvis har vi svårt att se att de skulle vilja avskaffa reglerna helt då det åtminstone till viss del skulle innebära att deras arbete försvann. Det går inte att bortse från att respondentens arbetsuppgift och nivå i hierarkin påverkat svaren. Det vi har försökt göra är att få fram personens och inte organisationens erfarenheter och åsikter. Genom att både intervjua personer vars arbete blir granskat av revisorer och en person vars uppgift är att granska arbetet bör vi ha fått en tillräckligt omfattande bild av situationen för att kunna dra våra slutsatser. Med denna uppsats syfte och de frågor som ställts tror vi att respondenterna i väldigt hög grad, om inte absolut, valt att dela med sig av sina oförvanskade svar. Det har framkommit kritik av både negativ och positiv karaktär i samtliga intervjuer och vår bild av respondenterna är att de alla har en neutral inställning till SOX och dess regleringar.
Ovan nämndes att alla utom en intervju gjordes per telefon. Det finns ett antal nackdelar just med telefonintervjuer. Exempelvis kan det vara svårare att få en personlig kontakt vilket kan göra det svårare för respondenten att tala om
”känsliga ämnen” över telefon. Vidare anses det vara bättre att genomföra öppna intervjuer ansikte mot ansikte, bland annat p.g.a. att det går att iaktta respondentens kroppsspråk och ansiktsuttryck (D.I Jacobsen 2002).
Det innebär dock inte bara nackdelar att göra telefonintervjuer. Det finns något som kallas för intervjuareffekten. Denna effekt innebär att intervjuarens närvaro kan göra att respondenten inte uppträder normalt och kanske reagerar på intervjuarens egna kroppsspråk och ansiktsuttryck. Denna effekt minskar vid en telefonintervju då den är mer anonym (D.I Jacobsen 2002).
Anledningen till att de flesta intervjuer skedde per telefon är helt p.g.a.
praktiska skäl. Det fanns inte tid eller möjlighet för varken oss eller våra respondenter att mötas för en intervju. Intervjun med revisorn skedde vid ett besök på dennes kontor. Vi gjorde detta val då vi ville uppnå en så hög reliabilitet som möjligt vid den intervjun då vi av tidskäl valt att endast intervjua en (1) revisor. Antalet respondenter begränsades av tidskäl till sex personer. Ett så pass litet urval gör att underlaget inte räcker till att dra några generella slutsatser, de slutsatser vi ändå dragit är således endast för de bolag vi intervjuat.
Sammanfattningsvis anser vi att vi gjort vad vi kunnat för att nå en så hög reliabilitet som varit möjligt under de förutsättningar arbetet skett.
3. Teori
Här finns en redogörelse för det som skrivits om ämnet och som är relevant för vår undersökning.
3.1. Införandet av SOX
Den 30 juli 2002 skrev President George W Bush på ett lagförslag framarbetat av senatorerna Michael Oxley och Paul Sarbanes. Dessförinnan hade ett rungande ja för lagens inträde ägt rum i senatens omröstning (endast tre röster emot) (B:son Blomberg & Svernlöf 2003). Lagens namn Sarbanes-Oxley Act döptes följaktligen efter dess skapare och hade för avseende att återupprätta redovisningens anseende i USA efter de senaste årens bokföringsskandaler. På så vis hoppades man också öka investerarnas förtroende och trygghet när de handlade på aktiemarknaden. Dessutom vill man en gång för alla se till att företags finansiella redovisningar verkligen är reella. Mer ingående såg syftet med lagens inträde ut såhär enligt tidsskriften Balans första nummer 2003:
• Strängare krav på redovisning och information till aktiemarknaden
• Högre krav på revisorers oberoende och professionalism
• Krav på interna strukturer för revision och informationslämning till marknaden
• Stränga straff för brott mot lagen. (B:son Blomberg & Svernlöf 2003)
SOX har slagit igenom som en av amerikansk lagstiftnings allra viktigaste och mest omfattande lagrum gällande marknadsaktörer. Den tillämpas inte bara i amerikanska bolag utan gäller alla bolag som är registrerade på den amerikanska marknaden för värdepapper. Enligt Securities Exchange Act (lagstiftning om värdepappershandlingar) från 1934 kallas dessa aktörer för emittenter. Man ses som emittent då man som juridisk person handlas på den amerikanska finansiella marknaden med aktier eller ADR (American Depository Receits). ADR är ett kvitto som bevisar aktivitet på den amerikanska finansiella marknaden då du är en icke amerikanska aktör (Tafara 2003).
3.2. PCAOB
Public Company Accounting Oversight Board, PCAOB, är en icke vinstdrivande organisation som skapats genom Sarbanes-Oxley Act. PCAOB har till uppgift att granska revisionen av företag noterade på en amerikansk börs, samt liknande frågor i syfte att skydda investerare och allmänheten genom att granska förberedelserna av informativa, korrekta och oberoende
dvs. börsbolag. PCAOB ska fortsätta sin verksamhet tills den upplöses av kongressen i USA. Securities and Exchange Commission, SEC, den amerikanska motsvarigheten till Finansinspektionen, är tillsynsmyndighet för PCAOB och har därmed bestämmanderätt när det kommer till regler, standarder och budget. PCAOB finansieras genom SOX på så vis att årliga avgifter tas ut från publika företag baserat på deras marknadsvärde (Public Company Accounting Oversight Board 2010 A).
3.3. Sarbanes-Oxley Act section 404
Sarbanes-Oxley Act section 404 är kanske den del som kräver mest arbete från revisorernas och företagens sida, men själva lagtexten är mycket kort. Nedan följer hela section 404 (Gilbert Welytok 2008).
SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.
(a) RULES REQUIRED.—The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall —
(1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.
(b) INTERNAL CONTROL EVALUATION AND
REPORTING.—With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement. (Sarbanes-Oxley Act of 2002 Section 404)
Det är denna regel företagen lägger stora resurser på att följa, men för att kunna följa den måste man först förstå den. Paragrafen innehåller medvetet inga specifika detaljer om vad som måste göras för att det ska anses att man uppfyllt rekvisiten. Den amerikanska kongressen lämnade istället uppdraget till SEC och PCAOB att ta fram mer detaljerade regler för hur paragrafen ska
följas. Intern kontroll är ingenting som uppfanns i och med SOX, många företag har goda rutiner för sin internkontroll. Dessutom har det sedan 1977 funnits en lag i USA som kräver att företag har en intern kontroll (U.S.
Securities and Exchange Commission 2005). Det som är nytt i SOX är huvudsakligen att section 404 ger en struktur och formalitet som ska gälla för alla företag. SOX har skapat tre mål som ska uppfyllas i interna kontrollen.
• Förtydligar vad som krävs för att ett företag ska bibehålla en adekvat internkontroll
• Kräver att ledningen och revisorerna formellt intygar att det finns en adekvat internkontroll.
• Specificerar SEC:s och PCAOB:s roller när det gäller att uppnå SOX:s syfte (Gilbert Welytok 2008).
Securities and Exchange Commission har fokuserat på två kritiska områden vid implementeringen av section 404. Dels ledningens ansvar och dels effektiviteten i den interna kontrollen. Årliga finansiella rapporter som lämnas in till SEC måste ange ledningens ansvar för att upprätta och bibehålla tillräckliga strukturer och procedurer för den finansiella rapporteringen.
Dessutom måste de årliga rapporterna innehålla en bedömning av effektiviteten i företagets interna kontroll (Gilbert Welytok 2008).
För att den interna kontrollen av finansiell rapportering ska vara tillräcklig kräver SEC:s regler att tre nyckelfunktioner ska uppfyllas.
• Registerföring. Processen måste innebära att dokument och handlingar som korrekt och rättvist (i rimlig omfattning) reflekterar transaktioner och dispositioner rörande företagets tillgångar.
• Överensstämmelse. Processen måste tillhandahålla rimlig försäkran om att transaktioner faktiskt är registrerade så att fakturor och utgifter endast bokförs och betalas efter att ha blivit attesterade av ledningen och att bokföringen följer GAAP (den amerikanska motsvarigheten till god redovisningssed).
• Prevention och upptäckt. Processen måste ge en rimlig försäkran om att obehörigt förfogande eller disposition av tillgångar upptäcks (Gilbert Welytok 2008).
3.4. PCAOB:s arbete
PCAOB ger ut en stor mängd publikationer och standarder som ska hjälpa revisionsbyråerna, revisorerna och deras klientföretag att följa SOX. Från och med 2007 är det Accounting Standards No 5 som anger hur en revision ska genomföras för att följa Sarbanes-Oxely Act section 404 (Cox 2007). Det är en publikation som lämnar lite åt slumpen, även om dess föregångare Accounting Standard No 2 var betydligt större rent kvantitativt. Skillnaden mellan de två är i stora drag att No 5 instruerar revisorerna att fokusera på helheten och att bli
riskerna i det aktuella företaget. Detta nya ”riskbaserade” angreppssätt är tänkt att vara skalbart för att kunna passa företag i alla storlekar (Gilbert Welytok 2008). No 5 är dessutom mindre en steg-för-steg-manual och mer en riktlinje än No 2. Eller för att använda SEC:s ord från deras pressmeddelande, den är mindre normativ och innehåller färre ska (Cox 2007).
Accounting Standard No 5 ska ge de svar en revisor kan behöva för att kunna genomföra en korrekt revision av bolaget. Det är en förhållandevis enkel läsning med exempel och noter som ska underlätta arbetet. En viktig del i No 5 är avdelningen som handlar om planeringen av revisionen. I den finns hela tolv punkter som ska tas hänsyn till. Revisorn ska skapa sig en uppfattning om hur och i vilken grad dessa tolv delar påverkar företagets finansiella ställning och den interna kontrollen av den finansiella rapporteringen. I listan hittar man bland annat den relativa komplexiteten i företagets processer, en preliminär bedömning av effektiviteten i de interna kontrollerna samt tidigare svagheter som rapporterats till ledningen (PCAOB Release No. 2007-005A 2007).
3.5. Steg i utförandet av en revision
I och med införandet av SOX har revisorns arbetsuppgift förändrats ganska mycket. Omfattningen av arbetet för att göra en revision har ökat till följd av de åtstramade kraven (Gilbert Welytok 2008).
Den SOX-enliga revisionen ses ändå som en ingrediens i företagets sammanställande av sin redovisning. Revisorns huvudansvar innebär fortfarande att bedöma effektiviteten i företagets kontroller (Gilbert Welytok 2008).
En bra genomförd revision kräver en grundläggande planläggning av hur revisionen ska utföras. För att hjälpa revisorerna i sitt arbete har PCAOB sammanställt en lista över ställningstaganden revisorn måste göra gentemot företaget för att kunna utföra en effektiv granskning. Revisorn ska utgå från varje punkt på listan och bedöma om den är viktig för företagets bokslut och interna kontroll. Nedan följer en mall för vad revisorn ska ha i åtanke för att underlätta planeringen av sin revision:
• Iakttagelser av företagets interna kontroll över finansiell rapportering som gjorts av revisorn på annat sätt än vid revisionen.
• Aspekter som påverkar den bransch där företaget är verksamt, såsom praxis för finansiell rapportering, ekonomiska villkor, lagar och förordningar, och teknisk förändring.
• Aspekter som anknyter till företagets verksamhet. Så som dess organisation, operativa
• Omfattningen av eventuella ändringarna som gjorts på senare tid angående företagets verksamhet eller dess interna kontroll över finansiell rapportering.
• Revisorns egen bedömning vad det gäller väsentlighet, risk och andra faktorer som spelar in i beslutstagandet om huruvida det finns väsentliga brister.
• Lagar och föreskrivanden som företaget påverkas av.
• Utseende och omfattning av tillgängliga uppgifter angående effektiviteten i företagets interna kontroller av finansiell rapportering.
• Preliminära bedömningar angående effektiviteten vid företagets interna kontroller av finansiell rapportering.
• Offentlig information om företaget som kan vara relevant i värderingen av sannolikheten för att något material kan innehålla felaktigheter eller att effektiviteten i företagets interna kontroll över finansiell rapportering kan vara bristfällig..
• Eventuell vetskap om risker anknutna till jävighet vid revisionsbyrån.
• Sammansättningen av företagets verksamhet i stort. (PCAOB Release No. 2007-005A 2007), (Gilbert Welytok 2008)
I själva utförandet av granskningen delar revisorerna upp sina kontroller i tre olika delar för att effektivisera sitt arbete.
3.5.1. Entity Level Controls
Entity Level Controls (ETC) är en kontroll som revisorn gör för att kartlägga företagets övergripande transaktioner. ETC-kontrollerna övervakar företagets fördelning i arbetssysslorna i det dagliga arbetet. Syftet är att se till att företaget har ett så pass bra organiserat system att t.ex. samma individ inte tar emot en faktura och betalar densamma utan att någon annan är medverkande i processen. Den som medverkar i processen måste även vara betitlad i samma ranking som den han godkänner. Detta för att förhindra utpressning eller dylikt från den överordnade. ETC innefattar också kontroll över att kompetensen inte är bristfällig i någon del i företaget för att förhindra att kunskapsbrist för med sig felaktigheter i redovisningen. (UHY Advisors Tax &
Business Consultants 2010)
3.5.2. Transaction Level Controls
SOX-lagstiftningen har många gånger anklagats för att vara omfattande.
Denna kontroll har starkt bidragit till att SOX är så pass arbetskrävande.
Denna del kallas Transaction Level Controls (TLC). Orsaken till varför den blev så omfattande var för att revisorn i och med SOX inträde var tvungen att skaffa sig större underlag för att kunna bedöma den interna kontrollen i företaget. Det är just det TLC är till för, att kartlägga företagets interna transaktioner (PCAOB Release No. 2007-005A 2007), (Gilbert Welytok 2008).
3.5.3. Information Technology Controls
Information Technology Controls (ITGC) är den kontroll som görs för att se att datasystemen och den teknologiska organisationen är tillfredställande.
Exempelvis testas om rätt personer har rätt behörigheter då det är mycket viktigt att personer inte kan överskrida sina befogenheter (PCAOB Release No. 2007-005A 2007).
3.6. Befogenhetsfördelning
En fungerande intern kontroll bygger mycket på att man i företaget organiserar och fördelar olika arbetsuppgifter på rätt sätt. Man ser till att rätt person får rätt arbetsuppgift för att minimera risken för felaktigheter eller i viss grad också fusk. (Gilbert Welytok 2008). Det är hela tiden en balansgång för att få rätt antal individer i varje process. För att förhindra fusk och felaktigheter i processerna vill man att så många som möjligt ska kontrollera att det dagliga arbetet görs på rätt sätt samtidigt som man vill ha en så effektiv arbetskraft som möjligt (så få inblandade som möjligt). Befogenheterna måste helt enkelt fördelas på rätt sätt (Gilbert Welytok 2008).
3.7. Brott och straff
PCAOB har behörighet att undersöka och disciplinera revisionsbyråer och dess revisorer som arbetar med publika företag för avsteg från SOX. PCAOB har även möjlighet att straffa om PCAOB:s och SEC:s regler, samt andra lagar, regler eller riktlinjer gällande revisionen av publika företag, inte följs. I de fall felaktigheter eller avsteg upptäcks kan PCAOB ålägga revisionsbyrån eller revisorn en skälig sanktion. Enligt en paragraf i SOX ska förfarandet vid sanktioner vara konfidentiella, precis som de utredningar som gjorts innan, tills det att en slutgiltigt avgörande har kommit till stånd (Public Company Accounting Oversight Board 2010 B).
När PCAOB genomför utredningar av revisionsbyråer och dess revisorer kräver PCAOB:s regler att byrån och allt som innefattas i den samarbetar fullt ut. Det handlar oftast då om att hjälpa till med att ta fram dokument, lämna vittnesmål och allmän information. Om en utredning upptäcker regelbrott får de anklagade en möjlighet att bli hörda av PCAOB och kan i förekommande fall bli tilldömda en sanktion vars syfte är att avskräcka och höja kvaliteten på framtida revisioner (Public Company Accounting Oversight Board 2010 B).
Exempel på sanktioner är återkallande av en revisionsbyrås registrering, avstängning för en enskild revisor och skadestånd. PCAOB kan även kräva förbättringar av den interna kontrollen inom en byrå, vidareutbildning, oberoende övervakning eller andra liknande företeelser. På PCAOB:s hemsida finns en lista på ett 30-tal personer eller revisionsbyråer som på något sätt blivit straffade av PCAOB. Det finns ett telefonnummer, ett faxnummer och ett formulär på internet som går till PCAOB:s tipstjänst gällande misstänkta regelbrott (Public Company Accounting Oversight Board 2010 B).
Än så länge har PCAOB inte gjort några utredningar i Sverige trots att de svenska revisionsbyråerna är registrerade hos PCAOB och de har behörighet att göra det. I ett pressmeddelande har de dock gått ut och sagt att de avser att genomföra utredningar i Sverige under 2010 (Public Company Accounting Oversight Board 2010 C).
3.8. Kritik mot SOX
Det har framförts en hel del kritik mot Sarbanes-Oxley Act av varierande karaktär. Det minst förvånande och första som kom fram var att arbetet med att följa SOX var mycket dyrt och att fördelarna med den skärpta kontrollen inte ens i närheten vägde lika tungt som kostnaderna (Baker 2008).
För att företag skall kunna åstadkomma en lagenlig redovisning måste omfattningen av arbetet för att framställa den alltså hos de flesta företag bli större. Det leder direkt till ökade kostnader som många gånger av företagen anses som obefogade kostnader. I mars 2005 gjordes av FEI (Financial Executives International) en undersökning som inkluderade 217 av de berörda företagen. Undersökningen visade att den genomsnittliga kostnadsökningen p.g.a. förändringen i redovisningslagen uppgår till 4.3 miljoner dollar i företag värderade till under 25 miljarder dollar och i resterande (större) företag 14.7 miljoner dollar. En slutsats som FEI drar av detta är att kostnaden för att utföra en revision som uppfyller SOX krav är långt större än den nyttan som revisionen i sig och den förstorade interna kontrollen för med sig (Brod 2005).
Ett annat kritiskt uttalande gjordes av SEC guvernören Paul Atkins i september 2005. Han ansåg att SEC inte hade gjort tillräckliga förundersökningar och förarbeten för att kunna kartlägga de kostnader som redovisning enligt SOX regelverk skulle medföra. I det stadiet som SOX befann sig i då hävdade han att allt klarare tendenser tydde på att kostnaden för att slutföra SOX-enliga redovisningar var markant underskattade. Enligt
den prognos som SEC först gjorde för att fastställa den ökning av kostnader som SOX-redovisning skulle medföra uppgick till 94 000 dollar per företag.
Atkins kommenterade och förkastade dessa uppskattanden och antog att de var ca 20 gånger större än det antagna värdet. Dessutom höll han inte alls med SEC om att kostnaden för att sammanställa en SOX-enlig redovisning det andra året skulle minska kraftigt (Gilbert Welytok 2008).
Reduktionen av kostnaden från år ett kommer istället ligga runt spannet 5-20
%. Ändå förutspår jag att denna beräkning av kostnadsminskningen är högt antagen. (Gilbert Welytok 2008)
Samtidigt visar en annan studie från 2006 att kostnaden för att revidera enligt sox-reglerna har minskat sedan inträdet av SOX. Denna studie är gjord av CRA International år 2006 och behandlar SOX 404:s kostnader och revisionsarvode (CRA International 2006). En annan studie gjord av FEI stärker denna tes. En undersökning gjordes där man frågade berörda företag om hur deras kostnadsberäkningar för det andra året under SOX styre skulle se ut. 68 % beräknade att kostnader förankrade till revisorn skulle minska med i snitt 25 % och andra SOX-relaterade kostnader beräknades i 85 % av företagen minska med 39 % (Gilbert Welytok 2008).
Till försvar mot kritiken står Paul Sarbanes, en av grundarna av SOX, som anser att anledningen till att lagen från första början togs i bruk var att förhindra att skandaler som Enron och WorldCom skulle inträffa igen. Han anser att första prioritet ligger i att försvara vanliga aktieägares besparingar på ett bättre sätt genom att inte låta dem luras av falskt uppbyggda redovisningar.
Genom att kunna ge en ”medelkonsument” trygghet när denne placerar sina besparingar blir detta en viktig del i att bygga upp en trovärdighet på den amerikanska marknaden (Baker 2008).
Det har också höjts röster om att SOX var en överreaktion på de skandaler som föregick reglerna och att det riskerar att resultera i att de finansiella marknaderna blir för hårt reglerade. När stora händelser inträffar såsom Enron och den finansskris vi sett finns det alltid en grupp som skriker efter regleringar och kontroll för att kunna förhindra det som precis skett. Risken finns då att de lagstiftande organen tar i lite för mycket av olika anledningar.
Lagar och regler är bra, men de måste stå i proportion till både risken för att det inträffar igen och fördelen med en fri och självreglerande marknad. I samma anda finns det de som menar att politiker inte har den kunskap och
insikt som krävs för att förstå mekanismerna bakom de bedrägerier vi sett och därför inte är kompetenta nog att skriva lagarna (Schmidt 2008).
3.9. Indirekta effekter av lagstiftningen
SOX har sedan sitt införande påverkat den internationella finansmarknaden i stor skala. Det faktum att ändringar i nationell lagstiftning också påverkar den internationella lagstiftningen har varit en trend på världsmarknaden i många decennier i takt med globaliseringen av världens ekonomier. Dessa effekter syns inte minst då en inflytelserik, ekonomisk stormakt som USA gör en betydande revidering i sin lagstiftning (Tafara 2003).
Medan mycket uppmärksamhet har fokuserats på brister i vissa bolag i USA, som Enron och WorldCom, finns även en del av de bakomliggande problemen utanför landets gränser. USA är med andra ord inte ensamma om att försöka återvinna investerarnas förtroende. Idag arbetas det aktivt runt om i världen med att utöka bolagsstyrningens eget ansvar, förbättra revisorns tillsyn och självklart också förbättra alla delar av det finansiella systemet.
Händelserna under de senaste åren har lett till ett snabbt växande internationellt samtycke om att det existerar kritiska områden som behöver förändras för att investerarnas förtroende för värdepappersmarknaden skall återfinna sig (Gilbert Welytok 2008).
Samtidigt som världens ekonomier delar många gemensamma mål insåg SEC från början att delar av Sarbanes-Oxley Act ställde till med svårigheter för utländska aktörer på amerikanska kapitalmarknaden. Man oroade sig för att den amerikanska marknaden skulle bli mindre attraktiv i och med den nya lagen. Ändå var den amerikanska Kongressen bestämd i att inte göra några regleringsskillnader på utlands- och inrikesbaserade bolag (Tafara 2003). Man ville att när amerikanska investerare gör affärer på de amerikanska marknaderna ska de ha rätt till samma skydd oavsett om utgivaren är utländsk eller inhemsk. SEC insåg däremot att tillämpningen av SOX regler på utländska företag var tvunget att ske på ett milt sätt för att fortfarande få företagen att bibehålla sin position som amerikansk aktör (B:son Blomberg &
Svernlöf 2003). En av de största utmaningarna som SEC mötte vid införandet av lagen var att uppfylla kongressens krav på lagens utseende och samtidigt respektera de utländska lagar och andra system som berörs av den. SEC har fått arbeta hårt för att uppnå denna balans och har därigenom fått en stor del av de utländska företagen att stanna kvar på marknaden (Gilbert Welytok 2008).
4. Empiri
Här presenteras de relevanta uppgifterna som tagits fram under våra intervjuer.
I detta avsnitt redogör vi för den information vi ansett viktig för våra frågeställningar, det innebär att vissa av de intervjufrågor vi presenterat inte besvaras i alla intervjuer.
4.1. Ericsson
Vi har intervjuat Peter Johrén på Telefon AB LM Ericsson. Totalt har han ca 35 år inom bolaget och är internrevisionschef sedan sex år tillbaka. Peter Johrén var en gång huvudansvarig för implementeringen av SOX på Ericsson.
Han har således inte huvudansvaret för SOX i dagsläget. Ansvaret för SOX ligger i den så kallade SOX Expert function som är organiserad inom koncernfunktionen Finans och i den enhet som är ansvarig för extern rapportering. Med sin gedigna bakgrund inom Ericsson och med erfarenheterna från införandet av SOX i Ericssons egna kontrollsystem är Johrén absolut kvalificerad att besvara våra frågor.
Ericsson har valt en väg för att säkerställa kvaliteten i redovisningen i hela organisationen där de olika ansvariga som bolagschefer, controllers etc. får göra interna certifieringar. De får underteckna ett dokument där de formellt talar om att just den enheten följer de regelverk Ericsson satt upp. Dessa dokument har kanske ingen legal substans, men inom organisationen är de starka och betydelsefulla. Detta gör att de ansvariga får upp ögonen för hur viktigt det är att redovisningen är korrekt. Fortsättningsvis har det höjt medvetenheten hos de ”lokala” bolagscheferna och att detta faller under deras ansvarsområden vilket inte många kanske var medvetna om tidigare. Det här är inget riktigt krav i SOX, men det visar på hur Ericsson arbetar för att säkerställa att internkontrollerna fungerar.
Peter Johrén håller med om att SOX innebar att kostnaderna ökade åren närmast efter implementeringen men påpekar tydligt att i dagens läge anser han att kostnaderna för revisionsarbetet inte hade varit mycket lägre utan SOX. Genom den förbättrade kontrollstrukturen och de interna self assessments som görs som en del av detta innebär att externrevisionen kan genomföras mer effektivt och reducera substanstester som utan SOX hade varit nödvändiga. Det SOX medför kostnadsmässigt är det arbete som krävs för att nå de krav gällande formalia i de rapporter som ska lämnas in, i övrigt
är det en naturlig del av internkontrollsystemet. Däremot var det kostsamt under de första åren med implementeringen och innan personalen och revisorerna hade lärt sig leva och arbeta med den nya lagstiftningen.
På frågan om huruvida han anser att SOX borde vara mer omfattande svarar Johrén klart och tydligt att amerikanska regelverk är mycket strukturerade och i många fall överreglerade. Det är inte ovanligt att regelverket inte riktigt går att anpassa till verkligheten då den är ”rätt fyrkantig”. Formalian som krävs i hela lagstiftningen och framförallt section 404 och 302 (som reglerar delårsrapporteringen) är ibland överdriven. En mer uppluckrad reglering hade varit önskvärt. Johrén menar att i så pass stora och världstäckande företag som Ericsson är det så mycket som påverkar redovisningens och rapporteringens kvalitet. ”SOX i all ära men det är inte bara därifrån kvaliteten kommer.” Däremot kan Johrén inte säga något specifikt han skulle vilja ändra på i SOX- lagstiftningen i dagens läge. Ericsson har lyckats med att sammanfoga SOX med deras befintliga kontrollsystem och rutiner och sedan revideringen av SOX 2006 har det blivit mer uppluckrat och hanterligt. I samband med införandet av SOX var det lite andra tongångar. I och med att ingen egentligen visste hur paragraferna skulle tolkas blev det en hel del merarbete och diskussioner mellan företaget och dess revisorer. Osäkerheten kring den nya lagstiftningen gjorde i många fall att revisorns egen bedömning inte fick något utrymme utan man gjorde allting lika grundligt. Det var lite stökigt under en period menar Peter Johrén.
När vi kommer till felaktigheter och bedrägerier i redovisningen är uppfattningen att SOX med dess kontroller har hjälpt till att höja kvaliteten i kontroller, processer och redovisning framförallt i IT-systemen och genom att felaktigheter upptäcks tidigare. Detta betyder inte att felaktigheter inte upptäcktes innan SOX, men de hittas och rättas till tidigare nu. Den kvalitetshöjning som skett gör att misstag och mänskliga fel hindras i större utsträckning. Däremot anser Johrén att bedrägerier och uppsåtliga fel inte hindras av SOX. Den som har möjligheten och vill fuska kan göra det, det finns i princip inga kontroller som kan stoppa det. ”Det är ju inte så att SOX eller någon annan regel sätter hundraprocentiga gränser.” Han tycker att man ska ha en begränsad tilltro till SOX när det gäller bedrägerier och redovisningsfusk.
Visserligen ger SOX genom sina strukturer och kontroller en större möjlighet att upptäcka fel. De kontroller regelverket medför är i grunden inget speciellt.
Det är rimliga kontroller för redovisning, bokföring och rapportering, det handlar om att göra avstämningar för att se om det är korrekt. Skillnaden är att
det numera är mer formellt. Sådana saker som redovisningsskandalerna i Enron och liknande händelser kan fortfarande inträffa. Det handlar mer om konsekvenser av ett beteende som SOX inte kan komma åt. Där är det ledningens attityd till ägare och kvalitet som är orsaken.
4.2. Autoliv Sverige AB
4.2.1. Autoliv AB Stockholm
Mattias Gelinder arbetar på Autoliv AB i Stockholm som internrevisionschef för Autoliv Europe. Första gången han kom i kontakt med SOX var 2004, då som revisor på Ernst & Young och arbetade med ett antal amerikanska kunder. Sedan flyttade han till USA och jobbade sex månader på Ernst &
Youngs kontor i Kalifornien där SOX-revision var en av arbetsuppgifterna.
Därefter tillbaka till samma revisionsbyrå i Sverige för ytterligare två år. Under den tiden arbetade han som konsult för Ericsson runt om i världen, för att till sist hamna på Autoliv år 2007 där han arbetat fram tills idag.
Gelinder säger att under de senaste tre åren, som anställd för Autoliv, har han inte kommit i kontakt med SOX i någon större utsträckning. Hans erfarenhet av SOX kommer huvudsakligen från hans yrkeskarriär innan anställningen på Autoliv.
Han kan dock svara på att Autoliv har upptäckt små saker som kan förbättras i deras redovisning och interna kontroller sedan bolaget började lyda under SOX-lagstiftningen. Han upplever att företaget har lagt ner mycket tid på att arbeta fram bra interna kontroller för att förhindra att felaktigheter uppkommer. Gelinder nämner också att detta fört med sig kostnadsökningar, inte bara för Autoliv utan enligt hans antaganden, för alla bolag som påverkas av SOX. Dessa kostnadsökningar tror han bedöms på olika sätt i olika företag.
Vissa ser dem som ett onödigt ont medan andra faktiskt ser dem som en möjlighet till bättre översikt på sitt företag. Gelinder tror inte att kvalitetsutvecklingen på SOX-företags internkontroll skulle ha varit lika snabb om SOX inte införts.
Men det viktigaste som SOX fört med sig tror han är att många i företagsledningarna världen över har skaffat sig en annan syn på riskerna för felaktigheter och oegentligheter. Man har, från att ha varit lite slapphänt i riskbedömningen, fått upp ögonen för att det visst kan förekomma felaktigheter inom deras företags processer. Riskmedvetenheten har ökat i samband med införandet av SOX. Han tror att detta beror på att företagen
helt enkelt har blivit tvungna till att fördjupa sig i sina interna kontroller och på så vis fått bättre lärdom av hur man minskar risken för exempelvis bedrägerier och andra felaktigheter.
Gelinder är positivt inställd till SOX och anser att företagen världen över med åren har lärt sig att genomföra fullgoda interna kontroller genom att de initialt blivit påtvingade lagstiftningen men sedan själva ha förbättrat sättet att tillämpa den.
Dock anser han att den liksom många andra lagrum inte är helt vattentät. Om någon med rätt behörighet i ett företag anstränger sig för att undanhålla information så kan han också lyckats med det.
4.2.2. Autoliv Sverige AB Vårgårda
Charlotta Dahlquist är SOX-samordnare på Autoliv Sverige AB i Vårgårda.
Hon började sin karriär inom Autolivkoncernen 2006. Då som redovisningsansvarig inom ett systerbolag för att senare gå över till Autoliv Sverige AB som SOX-samordnare. Hon var alltså inte aktiv inom företaget när SOX infördes våren 2004 och kunde därför inte ge några specifika vittnesmål till förändringar i företagets arbete för att sammanställa en fullgod redovisning.
Men hon kan tänka sig att den största skillnaden på redovisningens framställande före och efter SOX är dokumentationen av de kontroller som ingår i rutinerna vid redovisningens färdigställande.
För deras del som företag fick de under den inledande perioden av SOX sammanställa något som man kallar kontrollmatris. Den innehåller riskbedömningar vad det gäller felaktigheter i företagets finansiella redovisning, vad målet med kontrollerna är och hur kontrollerna går till väga . Från början ägnade Autoliv AB mycket tid åt att dokumentera många detaljerade kontroller för att verkligen kartlägga eventuella felaktigheter.
Tillvägagångssättet och kontrollmatrisen har utvecklats med tiden och nu finns bara nyckelkontroller beskrivna i kontrollmatrisen, det vill säga de kontroller som företaget anser är kritiska för att uppnå kontrollmålen. Autolivkoncernen har också tillsammans konsulter och revisorer arbetat för att effektivisera företagets SOX-arbete och granskningen av detta. En del i detta är att vissa kontrollmål nu uppfylls genom mer övergripande kontroller istället för ett högre antal detaljerade kontroller. Att omfattningen av kontroller minskat har även lett till att företagets kostnader har minskat sedan den första SOX-enliga redovisningen sammanställdes. Sedan 2009 har Autoliv Sverige AB ”legat
utanför scope" inom koncernen. Det innebär att de sedan 2009 inte har behövt ha några regelrätta SOX-granskningar utan den interna kontrollen har istället granskats som en del i den vanliga revisionen. Företagsledningen i koncernen gör tillsammans med företagets revisorer en bedömning av vilka bolag i koncernen som ska vara i ”scope” baserat på ett antal olika kriterier, t.ex. storlek och risk. De utvalda bolagen kommer att genomgå en SOX- granskning från revisorerna under räkenskapsåret.
Dahlquist anser att införandet av SOX har lett till en klarare arbetsgång för att arbeta fram en felfri redovisning. Detta har i sin tur gjort att risken för bedrägerier och felaktigheter har minskat. Dels på grund av att en del av kontrollgranskningen har förts över på företaget själva. Om företaget uppfyller alla krav på rätt sätt så läggs mindre arbete på revisorn.
Även om hon tror att risken för fel har minskat för berörda bolag så finns det fortfarande möjlighet att manipulera redovisningen om ett bolag anstränger sig för att göra det. Men SOX har gjort det avsevärt svårare.
4.3. AstraZeneca
Vi har intervjuat en person på AstraZeneca i Sverige som arbetar inom gruppen som ansvarar för att SOX efterlevs. Då denna person önskade att vara anonym har vi tillgodosett detta och kommer i fortsättningen att hänvisa till personen som respondenten.
Hos AstraZeneca har de som kallas för SOX Champions huvudansvaret för att företaget följer regelverket. Dessa har till sin hjälp ett antal Analysts som analyserar och kontrollerar den information som kommer in till dem. Det handlar främst om testning, bevis och bekräftelser på att de i förväg bestämda kontrollerna har genomförts. På frågan om huruvida det fanns någonting respondenten vill ändra på i SOX var det möjligtvis antalet kontroller som skall testas vid olika tillfällen under året och bevis som krävs för att det ska anses att kontrollen varit fullgod. Det kan i vissa fall bli onödigt mycket. I övrigt har SOX implementerats så långt ner i processerna att det kommit att ingå i personalens arbetsbeskrivning.
Respondenten anser att SOX har hjälpt dem att förbättra samtliga delar inom internredovisningen och att de genom de månatliga bekräftelser och rapporter som de ansvariga för processerna lämnar in gör att de ”ligger ett steg före” när det handlar om att upptäcka eventuella oegentligheter. När det kommer till rent bedrägliga förehavanden är uppfattningen att SOX gjort det avsevärt
svårare då det innebär noggrannare och fler kontroller. Dock finns det ingen hundraprocentig garanti att bedrägerier upptäcks. ”Efterlevnaden av SOX och dess regelverk har gjort det avsevärt mycket svårare att lyckas med oegentligheter.”
4.4. ABB
Vi har intervjuat Kjell Sörbom som ansvarar för att SOX- redovisningen går rätt till på Power Product avdelningen inom ABB. Ansvaret täcker inköpsprocessen, lagerprocessen, ekonomiprocessen samt industri- och it- processen på ABB. Han har arbetat med SOX-frågor sedan 4 år tillbaka.
Han berättar att införandet av SOX har krävt vissa ändringar i företagets internredovisning. Han uppger att den största förändringen som krävdes för att en godkänd kontroll och redovisning skulle kunna genomföras var en omstrukturering i tilldelningen av roller och behörigheter i affärssystemen. Ett exempel är att man inte får attestera fakturor om man betalar desamma. Idag har behörigheterna till inträde i affärssystem noga fördelats över rätt människor. Precis rätt antal har idag tillträde till datasystemen. Inte för många så att rutinerna sprids ut på fler ansvariga och därmed ökar risken för slarvfel.
Samtidigt inte för få så att en individ aldrig helt ensam kan sköta hela kedjan vid exempelvis leverans eller inköp. Det har hjälp oss minimera risken för felaktigheter eller fusk, berättar Kjell Sörbom.
Allt eftersom tiden har gått så har de som arbetat med SOX inom företaget fått mer erfarenhet av arbetsgången samtidigt som man har standardiserat SOX-arbetet över hela ABB. Det har gjort att vi har kunnat minska bemanningen men samtidigt bibehållit samma effektivitet i arbetet, det har i sin tur medfört att vi har kunnat minska på kostnaderna, säger han.
ABB har klarat sig bra ifrån påpekanden från de granskande revisorerna som är anställda på Ernst & Young. Däremot berättar Sörbom att företagets internrevisorer gör fler påpekanden.
Sörbom ger sedan ett exempel på vad han upplever skulle behöva förbättras inom SOX-lagstiftningen. Han anser att tolkningarna av lagen skulle kunna vara lite tydligare. I första hand gällande SOD (segregation of duty), den som berör bestämmelserna om rollfördelningar. Där tycker han att det skulle behövas enklare regler om hur man ska tolka dessa. ”Ofta blir det en diskussion med revisorn om hur vi gjorde tolkningen för att motivera våra kontrolluppgifter”. Den delen skulle kunna undvikas om lagen förtydligades. SOX är annars överlag ganska svårt att tyda, tilläger han. Han upplever inte heller att några
förbättringar skedde i lagen under revideringen 2006. Dock tycker han att SOX har fyllt sitt syfte vad det gäller att förhindra bedrägerier. Det har blivit svårare att genomföra bedrägerier, säger han. Det ska vara väldigt omfattande försök i så fall.
4.5. Ernst & Young
Slutligen gjordes en intervju med Andreas Troberg på Ernst & Young som är revisionsansvarig på många av hans revisionsuppdrag och därmed kommer i kontakt med Sarbanes-Oxley. Just nu har kontoret där han arbetar två kundföretag som måste tillämpa SOX då de ingår i en koncern som är noterad på en amerikansk börs. Troberg har arbetat på kontoret sedan fem år tillbaka.
Han började på kontoret under den tid många företag jobbade med att implementera det nya regelverket. Detta ledde till att hans byrå, precis som många andra, arbetade väldigt mycket som konsulter till företag och andra revisorer för att hjälpa till med införandet av de nya kontrollstrukturerna som SOX krävde. Troberg berättar att arbetet med att få in dessa strukturer var tvunget att gå snabbt samtidigt som ganska få personer hade kunskapen om detta nya regelverk. Det ledde till en hel del osäkerheter i och diskussioner kring tolkningen av lagtexten. ”Då var det verkligen mycket” sammanfattar han.
Numera när alla företag som måste följa SOX har implementerat regelverket och arbetat med det en tid har konsulttimmarna minskat avsevärt. Nu handlar det om att testa kontrollsystem och mindre uppdateringar av strukturen.
Troberg berättar om hur de arbetar med SOX-granskningen. Eftersom ett USA-noterat företags alla enheter måste tillämpa regelverket blir även svenska bolag föremål för den speciella granskning SOX innebär. Det vanligaste förfarandet är då att den revisionsbyrå som reviderar moderbolaget, vanligtvis ett amerikanskt kontor, skickar instruktioner till det kontor som ska utföra testningen av kontrollerna. Dessa instruktioner är normalt mycket detaljerade och berättar vilken testning som ska genomföras. Sedan rapporterar det svenska kontoret tillbaka med sina slutsatser till uppdragsgivaren. Arbetssättet innebär att mottagaren av instruktionerna egentligen inte behöver vara speciellt bevandrad i SOX-lagstiftningen utan klarar sig med instruktionerna.
På frågan om vad SOX har inneburit för förändringar i arbetssättet för revisorerna berättar han att en kollega som jobbat längre på kontoret har uppfattningen att bolagen har en tydligare och starkare kontrollstruktur än innan. Det gör att revisorerna kan dra nytta av bolagens dokumentation vid
granskningarna och ägna mindre tid åt detaljgranskning av transaktioner. De kan alltså förlita sig på det granskade bolagets kontroller och den dokumentation kontrollerna resulterar i. Planeringen blir också en aning lättare då de i förväg vet hur strukturen ser ut i ett bolag eftersom SOX har hjälpt till att likrikta den interna kontrollstrukturen.
Vi frågade om han ansåg att SOX-regelverket var för diffust och svårtolkat.
Troberg höll med om att företagen kan tänkas tycka det men poängterade att lagen måste passa alla typer av verksamheter. Därför kan paragraferna inte vara för specifika då det skulle kunna innebära att den inte blev tillämplig på vissa typer av företag. Vi undrade om detta ledde till diskussioner mellan revisorer och företagen om hur lagtexten skulle tolkas. Trobergs uppfattning är att det inte alls var så. Det förekommer visserligen diskussioner på detaljnivå, exempelvis om hur en kontroll ska utformas bäst och om utfallet av en kontroll varit tillfredsställande. Dock är företagen överens med revisorerna om den stora bilden om vad som ska uppnås och varför regelverket överhuvudtaget finns.
Troberg är övertygad om att SOX ökar chansen att upptäcka felaktigheter i redovisningen och att motverka bedrägligt beteende. Han berättar att i några av de bolag han granskar fokuserar de väldigt mycket på att minska felaktigheter och att upptäcka bedrägerier med hjälp av många kontroller, avstämningar och uppföljningar. Exempelvis gör man utsökningar på transaktionsnivå på personer som inte brukar göra bokningar, personer som inte borde göra bokningar på vissa konton, transaktioner som sker på udda tider eller transaktioner på avvikande belopp. Genom denna granskning kan de upptäcka konstigheter i god tid vilket ger en möjlighet till bättre uppföljning.
Däremot är uppfattningen hos Troberg att det inte går att garantera att misstag eller fusk upptäcks. Det är företagsledningens ansvar att den interna kontrollen fungerar, att strukturen är effektiv samt att den externa rapporteringen är korrekt. Revisorerna har inte möjlighet att göra en fullständig granskning av alla transaktioner, utan får försöka att genom stickprov på utvalda delar av bolaget avgöra om redovisningen ser korrekt ut.
Eftersom företagens organisation utgörs av människor går det inte att försäkra sig om att någon någonstans i organisationen har andra uppsåt än att följa reglerna. Sitter fel person på fel plats som avsiktligen väljer att förskingra kan det vara omöjligt att upptäcka det i tid. Likaså kan man inte förutsäga hur en
person reagerar på exempelvis utpressning eller hot. Dock har SOX gjort det mycket svårare att komma undan med felaktigheter och fusk.
Vi ville veta om Troberg kunde nämna någon specifik svaghet i lagtexten som möjliggjorde att fel, medvetna eller inte, kunde undgå att bli upptäckta men han kunde inte ge något exakt svar på detta. Framförallt för att detaljkunskapen om lagstiftningen inte är tillräcklig, men det framgår att lagen knappast är att anse som perfekt. ”Det finns säkert förbättringspotential. Den kommer säkert att anpassas framöver då den är ganska ung” (lagen). Troberg pekar även på problematiken med att avgöra vad som egentligen är bedrägerier. ”Ta till exempel bank- och finansbranschen i USA. Där har man ju diverse instrument som utnyttjar regelverket på ett sätt som inte bryter mot reglerna men effekterna av det går kanske att likställa med bedrägerier.”
