Styrelsens ansvar för ickefinansiell riskhantering i aktiemarknadsbolag: hur ser det ut och hur bör det se ut? 

Juridiska institutionen Vårterminen 2015

Examensarbete i bolagsrätt, särskilt bolagsstyrning 30 högskolepoäng

Styrelsens ansvar för ickefinansiell riskhantering i aktiemarknadsbolag

- hur ser det ut och hur bör det se ut?

Författare: Sara Dennås

Handledare: Adj. professor och advokat Carl Svernlöv

(2/83)

Förord

Första gången jag började juristprogrammet var år 2006 i Göteborg. Jag trivdes bra, men eftersom ett spännande jobb i Stockholm lockade, läste jag bara en termin innan jag tog studieuppehåll. När jag nästa gång återvände till juridikens värld hade det hunnit bli år 2009, och jag valde att börja om i Uppsala. Jag lyckades faktiskt läsa nästan hela utbildningen samt åka på utbyte innan jag år 2013 tog studieuppehåll av jobbskäl igen.

Ett och ett halvt år senare återkom jag för sista spurten och målet i sikte: Examen. Jag har som tur är, till skillnad från vissa (glada och välmenande) skeptiker i min omgivning, hela tiden vetat att jag skulle bli färdig. Det var egentligen bara en fråga om när, och så småningom även om var, i och med att jag i vintras flyttade till England.

Jag vill varmt tacka min handledare Carl Svernlöv, som i höstas presenterade ett förslag till ett intressant och aktuellt ämne, och som under terminen har tagit sig tiden att läsa och ge kommentarer på mitt alster. Tack till riskexperten Anders Hult, som har ställt upp och berättat om sin syn på risk och riskhantering för mig. Tack till Björn Kristiansson, verkställande ledamot i Kollegiet för svensk bolagsstyrning, som gett mig en tidig inblick i framtagandet av en ny Koduppdatering. Tack även till Emelie Hallin som, i egenskap av fantastisk vän har varit ett fint och peppande stöd under den här tiden, och i egenskap av begåvad affärsjurist korrekturläst mina utkast och kommit med bra synpunkter. Ett sista tack vill jag ge till alla mina ljuvliga studiekamrater som jag har lärt känna genom åren – det har varit ett sant nöje. I och med denna uppsats har jag nu äntligen min juristexamen! Det tog visserligen nio år, men även med den vetskapen långt tidigare skulle jag inte ha gjort något annorlunda.

London, 27 maj 2015

Sara Dennås

1 Jag kan därmed meddela alla trogna JB-fans att det fungerar utmärkt att skriva uppsats även från British Library.

Förkortningar

Allmennaksjeloven Lov om allmennaksjeselskaper av 13. juni 1997 (norsk)

AMN Aktiemarknadsnämnden

ABL Aktiebolagslagen (2005:551)

CRO Chief Risk Officer

Nasdaqs regelverk Nasdaq OMX Stockholms regelverk för emittenter NGM Equitys regelverk Nordic Growth Market Equitys börsregler

Ot.prp. Norsk proposition (före 1 okt 2009)

Prop. Svensk proposition

Prop. L Norsk proposition (efter 1 okt 2009)

Opptaksreglerna Opptaksreglerna for aksjer (norska)

Regnskapsloven Loven om årsregnskap av 17. juli 1998 (norsk)

Revisorloven Loven om godkendte revisorer og revisionsvirksomheder (LOV nr 468 af 17/06/2008) (dansk)

SAS-principen Principen om samtliga aktieägares samtycke

Selskabsloven Loven om aktie- og anpartsselskaber (LBK nr 322 af 11/04/2011) (dansk)

SOX Sarbanes-Oxley Act of 2002

SOU Statens offentliga utredningar

ÅRL Årsredovisningslagen (1995:1554)

Årsregnskabsloven Årsregnskabsloven (LBK nr 1253 af 01/11/2013) (dansk)

Innehållsförteckning

Förord ... 3

Förkortningar ... 4

1 Inledning... 7

1.1 Bakgrund ... 7

1.2 Syfte och frågeställning ... 8

1.3 Metod och källhantering... 8

1.4 Avgränsningar ... 11

1.5 Disposition... 12

2 Risk och riskhantering... 13

2.1 Definition av begreppet ”risk”... 13

2.1.1 Finansiella risker ... 14

2.1.2 Ickefinansiella risker ... 15

2.2 Riskhantering... 16

2.2.1 Rutiner för riskhantering ... 16

2.2.2 COSO:s riskhanteringsmodell... 19

2.2.3 ISO:s riskhanteringsmodell... 21

2.3 Sammanfattning och kommentarer... 22

3 Dagens svenska reglering... 24

3.1 Allmänt om bolagsrätt och bolagsstyrning... 24

3.2 Allmänt om styrelseansvar ... 27

3.3 Lagreglering... 31

3.3.1 Styrelsens uppgift enligt ABL... 31

3.3.2 Revisionsutskott enligt ABL ... 33

3.3.3 Bolagsstyrningsrapport enligt ÅRL ... 36

3.3.4 Kommande svensk reglering... 37

3.4 Självreglering... 40

3.4.1 Koden för bolagsstyrning... 40

3.4.2 Styrelsens uppgifter enligt Koden... 43

3.4.3 Styrelsens arbetsformer enligt Koden ... 45

3.5 Sammanfattning och kommentarer... 46

4 Internationell utblick ... 48

4.1 Nordisk bolagsstyrning... 48

4.2 Norge ... 49

4.2.1 Norska lagstiftningen ... 49

4.2.2 Norska koden ... 53

4.3 Danmark ... 56

4.3.1 Danska lagstiftningen... 56

4.3.2 Danska koden ... 57

4.4 Ickebindande EU-instrument... 59

4.5 Sammanfattning och kommentarer... 61

5 Framtida reglering ... 63

5.1 Inledning... 63

5.2 Delfråga 1: Varför behövs överhuvudtaget regler på området? ... 63

5.2.1 Syftet med regleringen ... 63

5.2.2 Behovet av regler ... 64

(6/83)

5.3 Delfråga 2: I vilken form bör regleringen ske? ... 66

5.3.1 Europeisk vs. nationell nivå ... 66

5.3.2 Lagstiftning vs. självreglering... 67

5.4 Delfråga 3: Vad bör reglerna innehålla?... 69

5.4.1 Ansvarigt organ... 69

5.4.2 Reglernas innehåll... 70

5.5 Sammanfattning och kommentarer... 73

Käll- och litteraturförteckning ... 76

Offentligt tryck ... 76

Svenska förarbeten... 76

Utländska förarbeten... 76

EU-dokument... 77

Litteratur ... 78

Tidsskrifter... 79

Övriga källor ... 79

Privata organs information, instrument och modeller ... 79

Rapporter ... 81

Rättsfall och mål ... 82

Remissvar ... 82

Nyhetsartiklar ... 83

Intervjuer, pressmeddelanden och övrigt... 83

1 Inledning

1.1 Bakgrund

Sedan 1990-talet har affärsvärlden, i sviterna efter finanskriser och tack vare en ökad professionalisering inom bolagsstyrning, börjat tala allt mer om begreppen risk, riskhantering och riskstyrning. Det startade i USA och har spridit sig över världen genom den tilltagande internationaliseringen och globaliseringen. Allt fler företag inser att de behöver bättre kunskap om sin omvärld – vare sig det gäller marknaden, konkurrenter eller politiken – för att identifiera nuvarande och framtida möjligheter och hot för verksamheten. För att inte exponera sig för onödiga interna eller externa risker krävs att företagen gör riskanalyser och riskbedömningar för att kunna planera strategier och åtgärder.

Detta ligger framförallt i företagens eget intresse så att de kan undvika förluster, men i förlängningen även i andra intressenters, såsom arbetstagare, samarbetspartners och staten.

Det kan diskuteras om staten överhuvudtaget bör ta sig rätten att reglera företags riskhantering, eller om sådant ska anses tillhöra de affärsmässiga avvägningar som är upp till företagen själva. I dag finns dock redan bestämmelser som ställer krav på rutiner gällande risker som får konsekvenser för bolagets finansiella rapportering, vilket innebär att lagstiftaren ansett att det finns ett behov av tvingande regler på området.

Däremot finns det inga tydliga bestämmelser om risker som inte är finansiella.

I uppsatsen ifrågasätts om det verkligen är rimligt att göra denna åtskillnad. Vi ser ofta exempel på företagskriser som beror på bristande ickefinansiell riskhantering – minns de senaste årens mutskandaler i Telia Sonera, turerna kring SCA:s företagsjet och köttfusket inom ICA Gruppen.

Riskexponeringen och konsekvenserna är förvisso normalt mycket större när det kommer till finansiella risker (i synnerhet när det gäller finansiella bolag och institutioner

), men även inom andra områden kan bristande                                                                                                                

2 Med intern risk menas sådan som kommer från inom bolaget, ex. relaterad till personal eller otillräckliga rutiner. Extern risk betyder följaktligen en risk som kommer utifrån, ex. naturkatastrofer eller en IT- attack.

3 Se t.ex. krav på revisionsutskott i 8 kap. 49 a § ABL och bolagsstyrningsrapport i 6 kap. 6 § ÅRL. Läs mer om dessa i avsnitt 3.3.

4 Se avsnitt 3.3.

5 Svenska Dagbladet, Telia rensar efter Uzbekistanaffären (http://www.svd.se/naringsliv/telia-rensar- efter-uzbekistanaffaren_8776136.svd), Svenska Dagbladet, SCA-toppen tar affärsflyget till jaktresor (http://www.svd.se/naringsliv/sca-toppen-tar-affarsflyget-till-jaktresor_4182455.svd) och Svenska Dagbladet, ICA fuskar med datummärkning på köttfärs (http://www.svd.se/nyheter/stockholm/ica-fuskar- med-datummarkning-pa-kottfars_661097.svd).

6 ”Dessa typer av kombinerade sårbarhets- och spridningsproblem är unika för finanssektorn och finns i

(8/83)

riskhantering leda till betydande smällar i form av kursras, anseendeförluster, avgångar och till och med åtal. Aktieägarna bör ha en rätt att informeras om sådana omständigheter som kan vara till nackdel för företaget, precis som de har en rätt att hållas informerade om de finansiella risker som omger verksamheten.

En bättre riskhantering gynnar också bolagsstyrningen i stort, vilket i sin tur leder till bättre ekonomisk och organisatorisk utveckling för företagen och ökat välstånd för samhället som helhet.

1.2 Syfte och frågeställning

Syftet med uppsatsen är att klargöra i vilken utsträckning styrelser i svenska noterade

bolag i dag ansvarar för bristfällig hantering av ickefinansiella risker, samt utreda om regelverket bör uppdateras och i sådana fall på vilket sätt.

I uppsatsen drivs en tes innebärande att det finns ett behov av tydligare regler gällande ickefinansiell riskhantering i aktiemarknadsbolag. I arbetet med att uppfylla syftet väcks ett par följdfrågor som kommer att diskuteras och besvaras i uppsatsens sista kapitel:

1. Varför behövs det överhuvudtaget regler på området?

2. I vilken form bör regleringen ske?

3. Vad bör reglerna innehålla?

1.3 Metod och källhantering

Metoden som använts i denna uppsats är rättsvetenskaplig, i den rymliga betydelsen att ett rättsvetenskapligt arbete använder sig av rättskälleläran i vid mening, delar av juridisk metod och ofta även komparativ metod. När rättsvetenskaplig metod används står argumentationen i centrum, och i arbetet kan exempelvis intervjuer och insikter från                                                                                                                                                                                                                                                                                                                                    

princip inte för exempelvis industriföretagen. Detta motiverar särskild reglering och tillsyn   [...]”, SOU 2013:6 s. 238.

7 Riskregler i aktiemarknadsbolag bör enligt mig ses som ett aktieägarskydd, inte som krav för statens eller samhällets skull, se avsnitt 5.2.1. När det gäller systemkritiska företag som banker och andra finansiella institutioner finns andra skyddsaspekter, i och med att samhället i stort på grund av de omfattande och systemhotande konsekvenserna har ett intresse i att de inte går omkull. Dessa företag är dock utanför ramen för denna uppsats.

8 SOU 2004:47 s. 162.

9 Uppsatsen berör således endast aktiemarknadsbolag, se definition i 1 § 4 p. anmälningslagen: ”svenskt aktiebolag som gett ut aktier vilka är upptagna till handel på en reglerad marknad i Sverige”. I Sverige är de reglerade marknaderna för aktier Nasdaq OMX Stockholm och NGM Equity.

andra vetenskaper ingå.

I och med att jag resonerar kring hur de existerande reglerna och dess syfte kan utvecklas, finns också ett rättspolitiskt perspektiv som främst kommer till uttryck i slutet av uppsatsen.

Det finns en begränsad mängd lagstiftning, förarbeten och juridisk doktrin gällande riskhantering, vilket har inneburit en utmaning. Jag har ibland därför behövt vända mig till fler källor än de strikt juridiska, såsom intervjuer med experter, managementrapporter och tidskrifter för revisorer. I den mån det varit möjligt har jag i övrigt följt den aktiebolagsrättsliga rättskälleläran som utöver de traditionella källorna lagtext, förarbeten, praxis, myndighetsföreskrifter och doktrin, även tar hänsyn till soft law, privata organs texter och rekommendationer samt bolagsspecifika instrument som bolagsordning och styrelsens arbetsordning. Även kommentarer till lag och självreglering har varit till stor hjälp i arbetet.

Det saknas till min kännedom helt praxis rörande skadeståndstalan grundad på

”bristande riskhantering” eller liknande, vilket tyder på att riskhantering i dagsläget är ett tämligen outvecklat rättsområde.

Det saknas tyvärr empiriska undersökningar kring varför, och det är därför oklart om anledningen är att de som väcker talan väljer att se saken ur ett annat ljus och därmed formulerar sina grunder på annat sätt än som riskhanteringsrelaterade, eller om det beror på att det helt enkelt inte uppstått några tvister rörande rena brister i riskhantering.

Det skulle också kunna bero på att eventuella mål har tagits upp i skiljedomstol i stället för allmän domstol, vilket har gjort att domarna ej har blivit offentliga. Att riskhanteringsfrågor kommer att bli allt vanligare inom börsbolagen framöver är troligt, men det återstår att se om det så småningom kommer att ge avtryck i rättskipningen och leda till fler domar.

Det finns ett par huvudsakliga förarbeten som används i stor utsträckning i uppsatsen. Främst kan nämnas Förtroendekommissionens betänkande Näringslivet och förtroendet, SOU 2004:47, och dess anslutande förslag om införande av en Svensk kod för bolagsstyrning från Kodgruppen (SOU 2004:46), samt det slutgiltiga Kodförslaget                                                                                                                

10 Sandgren, C., Rättsvetenskap för uppsatsförfattare, s. 39.

11 Inte heller har jag lyckats hitta några uttalanden från AMN på området.

12 Förmodligen det tidigare, i och med att det är lättare att sikta in sig på överträdelser mot uttryckliga regler i ABL, eller brottsliga gärningar enl. BrB, snarare än att driva just ”bristande riskhantering” som grund.

13 Det ska bli intressant att se vad som händer i skadeståndsprocessen som efterföljer HQ Bankkraschen år 2010. HQ AB stämde år 2011 tidigare styrelseledamöter i HQ Bank AB samt revisorn KPMG för fel och försummelse vid utövandet av sina uppdrag vilket därmed orsakat HQ AB skada. HQ AB talar om bristande intern styrning och kontroll, vilket är ett klart uttryck för bristande riskhantering. Det återstår att se hur domstolen väljer att bedöma saken nu när saken snart ska prövas i Stockholms tingsrätt. Se målnr.

T 9311-11.

(10/83)

(SOU 2004:130). I övrigt har bland annat förarbeten till de senaste versionerna av ABL nyttjats, det vill säga prop. 1975:103 om förslag till ny aktiebolagslag, m.m. och prop.

2004/05:85 Ny aktiebolagslag.

De auktoriteter som jag främst har tagit intryck av när det gäller riskhanteringen som område är Anders Hult och Carl Svernlöv. När det gäller bolagsstyrningen och aktiebolagsrätten mer generellt kan även nämnas Daniel Stattin, Rolf Dotevall och Rolf Skog, samt de numera närmast klassiska verken Aktiebolagets grundproblem av Clas Bergström och Per Samuelsson samt Svensk associationsrätt i huvuddrag av Svante Johansson.

I denna uppsats görs först en deskriptiv redogörelse över den svenska regleringen, men då det snabbt framgår att det inte finns någon tydlig lagstadgad bolagsrättslig reglering av ickefinansiell riskhantering i nuläget, ges därefter en internationell utblick över hur våra grannländer Norge och Danmark har hanterat saken. Detta för att undersöka vad vi kan och bör ta med oss till Sverige. De utländska källor som jag har använt mig av har varit lagtext, förarbeten och de respektive koderna för bolagsstyrning.

De norska och danska koderna är självregleringsinstrument precis som den svenska motsvarigheten, och påminner i stort om varandra till uppbyggnad och innehåll, även om det kommer att visas att de skiljer sig åt i vissa delar. Jag har av omfångsskäl inte tittat på eventuell utländsk praxis. Översynen som görs bör inte kallas rent komparativ, då det skulle kräva en jämförelse på en mycket djupare nivå än vad jag har eftersträvat.

Det är mer rättvisande att säga att uppsatsen har betydande komparativa inslag. Den komparation som görs har en tjänande uppgift, resultatet ska alltså agera inspirationskälla för mitt arbete som fokuserar på en svensk lösning snarare än att ha en självständig betydelse.

Danmark och Norge är utvalda som jämförelseländer i och med att vi i stora avseenden har en delad rättstradition på det bolagsrättsliga området, vilket möjliggör rakare jämförelser än vad som hade varit fallet med exempelvis Storbritannien, som har ett helt annat rättsligt system.

Det är även naturligt att ta upp EU:s initiativ på området, då unionen påverkar allt mer av vår lagstiftning och rättsutveckling, samt eftersom det dessutom finns en uttalad ambition att få en mer strömlinjeformad europeisk bolagsstyrning.

14 Strömholm, S., Har den komparativa rätten en metod?, Svensk Juristtidning, 1972, s. 462.

15 ABL 1975 var en samnordisk produkt i syfte att uppnå nordisk rättslikhet på bolagsrättens område.

Johansson, S., s. 26. Jfr common law-systemet.

16 Se mer i avsnitt 4.4.

1.4 Avgränsningar

När det kommer till riskhantering är det lätt att redovisnings- och revisionsrätten hamnar i fokus. För denna uppsats har jag dock valt ett aktiebolagsrättsligt perspektiv, och därmed har jag avgränsat bort alla redovisnings- och revisionsaspekter. Inte heller skadeståndsrätten får särskilt mycket utrymme, även om det kort nämns i avsnitt 3.2 om styrelseansvar.

Min ansats har varit att skriva generellt om svenska aktiemarknadsföretag. Av naturliga skäl hamnar därför riskkapitalägda bolag utanför ramen för detta arbete. Av samma anledning har jag avstått från att skriva om regleringen av offentligt ägda företags och myndigheters riskhantering. Jag har också valt att avgränsa bort finansiella och så kallade systemkritiska företag, då de kräver andra hänsyn än det gängse industriföretaget.

Det kan vara värt att poängtera att arbetet fokuserat på företagsövergripande riskhantering som företeelse, och det utelämnar därför detaljer om exempelvis avdelningsspecifika eller andra nischade riskhanteringsåtgärder som kan vidtas inom bolagen. Arbetet behandlar alltså enbart bestämmelser som gäller riskhantering utan närmare specifikation, inte regler som föreskriver olika konkreta riskhanterande uppgifter.

I ABL finns många bestämmelser som rör styrelsen som organ samt dess funktion. Det lagrum som får mest utrymme i denna framställning är det som gäller styrelsens huvudsakliga uppgift i 8 kap. 4 §. Övriga regler för styrelsen kommer i princip ej att beröras. När det gäller ansvarsdelen kommer jag ej att gå in närmare på de olika skadeståndsgrundande rekvisiten eller skadeberäkningen. Inte heller tar jag upp ansvarsgenombrott, moderbolags eventuella ansvar för dotterbolag eller andra                                                                                                                

17 Finansiella företag är exempelvis banker och kreditmarknadsbolag (företag som bedriver finansiell verksamhet och har tillstånd att driva finansieringsrörelse av Finansinspektionen, t.ex. värdepappersbolag, leasingbolag och försäkringsförmedlare). Vissa av dessa företag anses vara systemkritiska på grund av att de är en vital del av det finansiella systemet och därmed har avgörande betydelse för hela samhällsekonomin. Det anses nödvändigt att staten på olika sätt engagerar sig för att säkra stabiliteten i det finansiella systemet, och därmed för dessa företag. Systemkritiska företag kan vara t.ex. banker, handelsplatser och värdepappersförvarare, i praktiken bl.a. Carnegie, Nasdaq OMX och Euroclear. Alla banker och finansbolag är dock inte systemkritiska, SOU 2013:6, s. 238f. Bank- och finansieringsrörelser respektive kreditmarknadsbolag definieras i 1 kap. 3 §, 4 § och 5 § p. 12 lagen (2004:297) om bank- och finansieringsrörelse.

18 För att ytterligare förtydliga, kommer uppsatsen endast beröra sådana bestämmelser som innehåller orden ”risk, ”riskhantering” eller ”intern kontroll”. Det finns många regler, både i svensk och utländsk rätt, som rör exempelvis oberoende inom bolagsorganen, lägsta kapital, eller rekryteringsförfaranden.

Dessa, och många andra, är helt klart bestämmelser som hjälper till att hantera och begränsa olika risker inom bolaget, men som inte kommer att få särskilt stort utrymme i denna uppsats. Det är viktigt för att uppnå viss fokusering i slutprodukten.

(12/83)

koncernförhållanden. När jag skriver om bolagsrätt och bolagsstyrning åsyftar jag endast det som gäller aktiebolag, och i huvudsak publika sådana, inte några andra bolagsformer.

Reglerna som undersöks gäller svenska bolag registrerade i Sverige på en svensk börs, och då reglerna skiljer sig åt för utländskregistrerade bolag har detta ej getts utrymme. Undantag görs givetvis i den internationella utblicken, då jag på motsvarande sätt redogör för vad som gäller för norska företag på den norska marknaden respektive danska företag på den danska marknaden.

Uppsatsen handlar enbart om de aspekter som rör styrelser, och med detta menas de ordinarie ledamöterna. Ingen hänsyn tas till suppleanter eller VD, trots att reglerna ofta sammanfaller. Det faktum att ansvarsförsäkringar oftast finns med i bilden och givetvis påverkar styrelseansvaret berörs inte heller.

1.5 Disposition

Uppsatsen består av fem kapitel, varav det första är ett inledande kapitel som redogör för arbetets syfte, frågeställning, källhantering, metod och avgränsningar. Därefter, i 2 kap. görs en grundläggande presentation av riskbegreppet och två vanliga riskhanteringsmodeller. Detta för att visa vad uttrycket ”risk” innebär och hur olika risker kan kategoriseras. Dessutom ges en liten inblick i vilka steg som ingår i praktisk riskhantering.

I 3 kap. ges en materiell genomgång av rättsläget i Sverige för att visa hur gällande reglering ser ut. Här presenteras de grundläggande EU-direktiven på området, samt de relevanta bestämmelserna i den svenska lagstiftningen och den svenska Koden. Detta följs av 4 kap. som ger en internationell utblick, i form av en genomgång av hur Norge och Danmark har valt att reglera riskhanteringen.

Slutligen knyts allt samman i 5 kap. där jag med hjälp av uppsatsens frågeställning ger några förslag till hur vi borde göra i Sverige. Varje kapitel avslutas med en kort sammanfattning och några kommentarer för att hjälpa läsaren och tydliggöra kapitlets innehåll.

19 Se 1 kap. 2 § ABL om att aktiebolag antingen är publika eller privata.

2 Risk och riskhantering

2.1 Definition av begreppet ”risk”

Riskbegreppet används inom många olika sektorer i samhället, exempelvis inom spelteori och sport, medicin och naturvetenskap, psykologi och sociologi, national- och företagsekonomi. I praktiken definieras och används ordet på olika sätt inom dessa grupper, även om den breda betydelsen torde vara snarlik. Denna uppsats fokuserar på det affärsmässiga risktagandet och de potentiellt ”farliga” (direkt eller indirekt kapitaldrivande eller -förstörande) åtgärder och omständigheter som hela tiden finns i och omkring affärsverksamhet.

Det saknas en allmänt vedertagen definition av ”risk”. Däremot finns en ISO- standardfamilj på riskområdet, ISO 31000. Den definierar begreppet som: ”the effect of uncertainty on objectives”, det vill säga ”effekten av osäkerhet på måluppfyllelsen” (se avsnitt 2.2.3).

Till definitionen hör också fem kommentarer som förklarar att:

1. En effekt är en avvikelse från det väntade, positiv eller negativ.

2. Mål kan ha olika aspekter (exempelvis vara finansiella, hälsorelaterade eller miljömässiga) och kan tillämpas på olika nivåer (såsom strategiska, organisationsövergripande, projekt, produkt och process).

3. Risk beskrivs ofta som potentiella händelser och konsekvenser, eller en kombination av dessa.

4. Risk uttrycks ofta som en kombination av konsekvenserna av en händelse (inklusive förändrade omständigheter) och den tillhörande sannolikheten att händelsen inträffar.

5. Osäkerhet är ett tillstånd av bristande information om, förståelse för eller kännedom om en händelse, dess konsekvens eller dess sannolikhet.

ISO-definitionen utarbetades av en internationell kommitté med ett sextiotal representanter från ett trettiotal länder.

Detta ger den naturligtvis en hög trovärdighet.

Även det ansedda fristående organet COSO (se avsnitt 2.2.2) har en definition för risk: ”Möjligheten att en händelse kommer att inträffa och negativt påverka måluppfyllelsen”, på originalspråk ”the possibility that an event will occur and

20 ISO Guide 73:2009, definition 2.1.

21 Dali, A., & Lajtah, C., ISO 31000 – The Gold Standard, Strategic Risk, september 2009, s. 21.

Tydligen ska de ha haft samlade synpunkter från flera tusen experter på området.

(14/83)

adversely affect the achievement of objectives.”)

En sammanfattad förklaring med egna ord vad begreppet ”risk” innebär skulle kunna vara ”sannolikhet att en viss (oftast, men inte alltid, negativ, oönskad eller hotfull) händelse inträffar”. Risken hör också ihop med hur stora de påföljande konsekvenserna av den inträffade händelsen blir. En stor risk för något kan alltså betyda både att det är hög sannolikhet för att något ska ske, och i viss mån även att konsekvenserna skulle bli påfallande. Om inte följderna skulle märkas, spelar det ju mindre roll om händelsen inträffar eller ej.

Det kan även tilläggas att en risk kan vara mer eller mindre konkret och kvantifierbar, i princip alltid osäker och ibland oöverblickbar. Risker kan kategoriseras på många olika sätt. Den distinktion som får utrymme i detta arbete är den uppdelning som görs i juridisk mening mellan finansiell risk och ickefinansiell risk, och trots att denna uppsats fokuserar på ickefinansiella risker kommer i det följande även finansiella risker att förklaras i korthet.

2.1.1 Finansiella risker

Finansiella risker uppstår i anknytning till hur företag väljer att finansiera sin verksamhet. Har företaget stort eget kapital eller är verksamheten beroende av mycket lån? Om ett bolags kapital är litet i förhållande till bolagets skulder, innebär det en hög finansiell risk eftersom bolaget kan få svårt att uppfylla sina ekonomiska åtaganden såsom att betala krediter, fordringar och räntor. Det kan fortfarande vara intressant att investera i ett sådant bolag om lönsamheten är hög, men så fort något händer och företaget börjar tappa intäkter, uppstår problem. Snöbollseffekten gör att skuldsättningen ökar mycket snabbt, vilket leder till att en återhämtning kan bli svår. I detta skede går många bolag i konkurs.

Begreppet ”finansiell risk” har fått stort utrymme i den allmänna debatten och i lagstiftarens medvetande det senaste decenniet på grund av internationella finansiella kriser.

Efter börsnedgångarna som följde efter attackerna mot World Trade Center den 11 september 2001, skapades i USA lagstiftningen Sarbanes-Oxley Act (hädanefter SOX) år 2002. Genom den infördes nya skarpare regler för ansvar och transparens vid                                                                                                                

22 COSO, Internal Control – Integrated Framework and Appendices, s. 60. Då COSO:s produkter inte går att få tag på kostnadsfritt utan kostar ett par tusen kronor, har jag tyvärr inte haft möjlighet att närmare granska vad denna definition innebär.

23 Se t.ex. SOU 2013:6 Att förebygga och hantera finansiella risker, för en omfattande genomgång av finanskrisen 2008.

revision och redovisning till skydd för investerare, och fokuserade helt på finansiella risker. Detta på grund av att kursrasen även delvis förklaras med att det var en IT- bubbla som till slut sprack och satte stopp för en långvarig övervärdering av de nordamerikanska börserna. Övervärderingen hade i sin tur skett på grund av hög belåning och väldiga risktaganden i börsbolagen. Storföretaget Enron

och dess fullständiga kollaps fungerar här som ett tydligt exempel på vad som kan hända när stora finansiella risker inte hanteras på rätt sätt.

I syfte att stoppa denna typ av missbruk skärptes reglerna på detta område.

2.1.2 Ickefinansiella risker

Denna uppsats fokuserar således på ickefinansiella risker, och i det begreppet återfinns föga förvånande alla risker som inte är finansiella. De kan kategoriseras såsom exempelvis strategiska, operativa, anseenderelaterade och regelefterlevnadsrelaterade.

Några exempel är plötsliga nedgångar i efterfrågan, politiska beslut eller ekonomiska kriser, miljö- och klimatförändringar eller naturkatastrofer, biologiska olyckor och hälsorisker i form av pandemier och bakterieresistens, forskningsutveckling som leder till teknikskiften, IT-attacker och tekniska system som fallerar, våldshot och terrorhandlingar, arbetsplatsrelaterade utmaningar gällande personal, ergonomi, bullernivåer och skyddsutrustning. Här återfinns även intressekonflikter, mänskliga fel, medvetna avsteg och bedrägerier. Många av dessa risker har skyddslagstiftning på respektive område redan, både inom straffrätten och civilrätten, men det hindrar inte att olyckor kan inträffa eller misstag begås ändå. Företag behöver gå igenom alla risker som är relevanta för dem och se hur de på bästa sätt kan förebyggas eller hanteras. Detta för att undvika förluster.

Som nämndes i inledningen är de senaste månadernas mediestorm kring SCA och                                                                                                                

24 Den amerikanska energihandelsjätten Enron föll samman under hösten 2001 efter avslöjandet att bolaget genom bokföringsmanipulationer lämnat falska uppgifter om sin ekonomiska ställning. Bolaget var före kollapsen USA:s sjunde största företag i marknadsvärde, och Enronkoncernen bestod av ca 3 000 olika dotterbolag och partnerskap. Troligtvis gjorde bolagskonstruktionen det möjligt att dölja både förluster och skulder. De banker som hjälpte till att dölja skulderna, Citigroup och JP Morgan Chase, har dömts att betala mycket stora belopp i böter. Innan sammanbrottet kunde de högsta cheferna i Enron sälja aktier för miljardbelopp i dollar, medan konkursen ledde till att personalens pensionsfonder raderades ut.

Enron drog även med sig den välansedda revisionsjätten Arthur Andersen i fallet, SOU 2004:47 s. 101f.

25 I efterhand konstaterade en utredning att ”[the Enron board] ’failed to monitor ... ensure ... or halt abuse.’ Sometimes the Board ’chose to ignore’ problems, other times it ’knowingly allowed Enron to engage in high … risk practices,’ The Board also ’approved an unprecedented arrangement.’ In so doing, the Board breached its duties ’to safeguard Enron shareholders,’”, läs mer i Rosen, R.E., Risk Management and Corporate Governance: The Case of Enron, Connecticut Law Review, # 35 2003, häfte 3, s. 1157.

(16/83)

Industrivärden ett aktuellt exempel på kris som beror på en ickefinansiell risk som inte i tid hanterats på ett önskvärt sätt. Det framkom tidigt under våren 2015 att höga företrädare för SCA exempelvis hade bjudit bland andra bolagets revisorer på exklusiva jaktresor utanför Åre samt använt företagets privatjet för bland annat ensamresor över Atlanten. Detta ledde till dålig publicitet, framtvingade avgångar och sänkt aktiekurs för bolaget.

Genom att ha mer välgenomtänkta och implementerade rutiner och policydokument samt någon typ av uppföljning och utvärdering gällande bland annat representation och användandet av affärsflyg, kunde SCA förmodligen ha undvikit mycket av detta.

2.2 Riskhantering

2.2.1 Rutiner för riskhantering

Nästa fråga är vad som ska göras åt alla dessa risker. I uppsatsen används för enkelhetens skull genomgående det breda begreppet riskhantering, vilket är en del av bolagsstyrningsmekanismen kallad ”intern styrning och kontroll”. Olof Arwinge och Torbjörn Wikland sammanfattar på ett bra sätt kännetecknen som är grundläggande för intern styrning och kontroll i sin artikel:

1. Det finns en direkt koppling till bolagets riskhanteringsprocesser, som i sin tur är kopplade till verksamhetsmålen.

2. Det finns historiskt sett en nära koppling till bolagets bokföring och redovisning, samt skydd av bolagets tillgångar. Numera har det breddats till att omfatta även regelefterlevnad, ändamålsenlighet och effektivitet i verksamheten.

3. Det är ett regulatoriskt objekt med stark koppling till ägar- och bolagsstyrning.

4. Det utgör grunden för all kontroll- och styrningsverksamhet i bolag.

”Intern kontroll” är det begrepp som huvudsakligen nämns i lagstiftningen (som kommer att visas i avsnitt 3.3) och som är en viktig, om inte fundamental, mekanism för                                                                                                                

26Bl.a. Sveriges Radio, SCA-ordförande avgår efter resor med privatjet (http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6048126).

27 Till SCA:s försvar hade de en policy för affärsflyget. Denna ansågs av revisorerna ”generös”

(http://www2.deloitte.com/se/sv/footerlinks/pressreleasespage/sca-utredningen.html). Att ha generösa villkor är (och ska självklart vara) tillåtet i ett aktiebolag, även om det med facit i hand i det här fallet inte nödvändigtvis kan anses ha varit förnuftigt. Styrelsen gavs dock ansvarsfrihet, och det verkar inte finnas grund för åtal. Kanske visar affären sig i slutändan ha varit något av en medieanka, och det är svårt att helt gardera sig mot sensationsjournalistik och vantolkningar.

28 Arwinge, O., & Wikland, T., Utvecklingen av intern styrning och kontroll, #1 2014 Balans, s. 6-8.

ägare och styrelser att ha koll på. I detta arbete används det i princip synonymt med riskhantering.

Riskhantering innebär en bred palett av åtgärder som omfattar framtagandet av olika riktlinjer, processer, uppdrag, policyer och annat som på något sätt underlättar en målinriktad och effektiv verksamhet. Dessutom handlar det om en implementering och en uppföljning av aktiviteterna. Några konkreta exempel kan vara handböcker kring IT- säkerhet och e-posthantering, brand- och utrymningsträning, värderings- och etikpolicyer, rutiner för internrevision och så vidare. Naturligtvis är det viktigt att förhållningssätten verkligen får avtryck i organisationen, och inte endast hamnar i en dammig pärm i ett låst förråd någonstans. En välfungerande riskhantering gör det möjligt att i förväg hantera olika svåra moment som kan uppkomma i eller runtom verksamheten. Dessutom bidrar förekomsten av dessa planer till att säkra kvaliteten på den interna och externa rapporteringen samt till att säkerställa att bolaget agerar i enlighet med alla relevanta lagar, föreskrifter och företagsinterna riktlinjer.

Rapportering från företagsledningen krävs för att styrelsen ska kunna skapa sig en uppfattning om företagets interna kontroll baserat på information som kommer den till del. Denna rapportering bör ge en balanserad framställning av alla de risker av betydelse, samt hur internkontrollsystemet hanterar dessa risker.

Trots att ordet ”risk” ofta får en negativ klang, bör det noteras att risktagande är nödvändigt i affärsverksamheter. En risk innebär ju en chans. Att våga satsa medför en möjlighet till vinst, till tillväxt – något som är avgörande för ett företag.

En aktieägare som har investerat en del av sin förmögenhet i ett aktiemarknadsbolag är därför oftast tämligen riskbenägen och villig att riskera det satsade kapitalet (särskilt i jämförelse med VD:n för samma bolag, som snarare är riskaversiv i och med att han eller hon satsar sin karriär på att företaget långsiktigt ska gå säkert och stabilt).

Denna typ av intressekonflikter kan i sig innebära en risk och behöver därför hanteras.

Vad                                                                                                                

29 Norska koden tar upp detta på ett tydligt sätt, s. 36ff.

30 Vinst är alltid det primära syftet med ett företags verksamhet om inte annat stadgas i bolagsordningen, enl. 3 kap. 3 § ABL. Andra hänsyn, såsom sociala, miljömässiga eller genusmässiga, kan numera anses angelägna, men det är mycket sällsynt att de prioriteras högre än vinstsyftet, se Skog, R., Rodhes aktiebolagsrätt, s. 106. Om bolagsledningen bryter mot vinstsyftet i sin förvaltning så att skada uppkommer kan de ställas till ansvar enl. 29 kap. 1 § ABL.

31 Keisu, J., & Stattin, D., Bolagsorgan och bolagsstyrning, s. 43f.

32 SOU 2004:47 s. 164f. Intressekonflikter mellan aktieägare och VD motverkas huvudsakligen genom att styrelsen instruerar och kontrollerar VD:s arbete, men även de överhängande hoten om straff eller skadestånd enligt ABL fungerar avskräckande. En mer positiv metod är att styrelsen eller stämman beslutar om incitamentsprogram (bonusprogram) utformade i syfte att sammanföra VD:s intressen med bolagets. VD kan också uppmuntras att köpa aktier i företaget, vilket på så sätt minimerar problematiken

(18/83)

intressekonflikterna har för roll när det kommer till riskhanteringsregler kommer att behandlas vidare i avsnitt 5.2.2.

Ett företags risknivå kan påverkas på flera olika sätt: Företaget kan välja att undvika risker, minska risker, överföra risker till annan eller acceptera en viss risknivå.

En minskning eller överföring av risk innebär att aktörer som kan och vill ta på sig en större risk kan överta risk från andra som inte har samma vilja eller förmåga.

Denna omfördelning sker i dag genom exempelvis försäkringar. Metoden möjliggör riskfyllda men ändå ekonomiskt lönsamma affärer, vilket leder till både arbetstillfällen och ökad tillväxt.

Ett fullständigt undvikande av risk skapar ett försiktigt företagande med mycket små möjligheter till stora kliv framåt på marknaden. Det leder i förlängningen till ett sämre företagsklimat med utebliven utveckling och innovation.

Det gäller således inte att söka eliminera alla typer av risker, utan att i vissa fall acceptera, planera och hantera risker på ett för företaget tillfredsställande sätt.

Ett bolag som har analyserat vilka risker som finns i eller i anknytning till verksamheten har sett över sin riskexponering. Om företaget därefter har bestämt vilken nivå av risk det helst vill vara på, har det slagit fast sin riskaptit. Risktoleransen är ett något bredare begrepp, som beskriver vilken risknivå som kan accepteras.

Förhållandesättet till risk kan variera stort från företag till företag beroende på exempelvis bransch, affärskultur och externa faktorer.

Dessa begrepp saknar förvisso fastslagna definitioner, men är viktiga att bära med sig i den fortsatta diskussionen om riskhantering.

Det är vanligt att företags riskhantering sker på avdelningsnivå, det vill säga att den ekonomiansvarige ansvarar för ekonomiska risker, den produktansvarige hanterar risker kopplade till produktionen och varorna, den personalansvarige sköter risker som kan uppkomma gällande personalen, och så vidare. Det finns dock tydliga tecken på att en mer övergripande riskstrategi är ett bättre sätt få en sammanhållen syn gällande                                                                                                                                                                                                                                                                                                                                    

med skilda intressen. Dessa bonus- och aktieincitamentsprogram måste dock utformas på rätt sätt för att inte få motsatt effekt och därmed leda till ökade oönskade risker, som i Lehman Brothersskandalen eller bankerna på Island under finanskrisen 2008, se Stattin, D. & Keisu, J., Bolagsorgan och bolagsstyrning, s.

46f och 51.

33 Laux, C., Integrating Corporate Risk Management, s. 439.

34 SOU 2013:6 s. 62.

35 I World Economic Forums Global Competitiveness Report 2014-2015 på s. 65 framgår att entreprenöriellt risktagande kan leda till jobbskapande och innovativa idéer, vilket i sin tur är positivt för samhällsekonomin. Se även SIFO, Risktagning är viktigast för att främja innovation enligt svenska beslutsfattare (http://www.mynewsdesk.com/se/dassault_systemes/pressreleases/ny-sifo-undersoekning- risktagning-aer-viktigast-foer-att-fraemja-innovation-enligt-svenska-beslutsfattare-991765), 6 maj 2014.

36 KPMG, Understanding Enterprise Risk Management. An Emerging Model for Building Shareholder Value, 2011, s. 4.

investeringar, kapitalstruktur och andra nödvändiga åtgärder.

När företag planerar sin riskhantering tar de därför ofta olika etablerade modeller till hjälp. Dessa erbjuder nämligen vägledningar, checklistor och stöd, och underlättar så att delar inte glöms bort.

I det följande ska två av de mest kända modellerna presenteras.

2.2.2 COSO:s riskhanteringsmodell

The Committee of Sponsoring Organizations of the Treadway Commission (hädanefter COSO) grundades 1985 utav fem intresseorganisationer inom den privata sektorn i USA, i syfte att tillhandahålla så kallat thought leadership (ungefär ledande kunskap), på området riskhantering.

COSO utvecklade under 1990-talet ett sammanhållet ramverk och guider rörande internkontroll gällande finansiell rapportering och därefter kom ett vidareutvecklat ramverk för det något bredare begreppet ”företagsövergripande riskhantering” (det som kallas Enterprise Risk Management, hädanefter ERM).

När SOX infördes år 2002 fick COSO ett nytt uppsving, i och med att det blev obligatoriskt för amerikanska börsbolag att använda sig av vedertagna modeller för riskhantering. COSO:s ramverk är numera helt dominerande på marknaden och är i praktiken en de facto-norm för att skapa och vidmakthålla en effektiv intern styrning och kontroll.

Företagsövergripande riskhantering definieras enligt COSO som ”en process som genomförs av en organisations styrelse, ledning och annan personal, och som genomförs i ett strategiskt sammanhang och över hela företaget, utformad för att identifiera potentiella händelser som kan påverka organisationen och hantera risker inom ramen för dess riskaptit och ge rimlig försäkran om att organisationens mål uppnås.”

COSO:s modell för företagsövergripande riskhantering består av åtta sammankopplade komponenter:

1. Den interna miljön. Arbetsklimat, riskaptit hos medarbetare och ledning,                                                                                                                

37 A.a, s. 2.

38 COSO:s hemsida (http://www.coso.org/aboutus.htm). De fem grundarorganisationerna är Institute of Internal Auditors (IIA), American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), och Institute of Management Accountants (IMA).

39 Intern styrning och kontroll – ett sammanhållet ramverk (Internal Control Integrated Framework) respektive Företagsövergripande riskhantering – ett sammanhållet ramverk (Enterprise Risk Management Integrated Framework).

40 Även många ickenoterade bolag använder modellen. Arwinge, O., & Wikland, T., Utvecklingen av intern styrning och kontroll, Balans #1 2014, s. 6ff.

41 COSO, ERM Executive Summary – Swedish, s. 6.

(20/83)

integritet, etiska värderingar.

2. Formulerandet av mål. Nödvändigt för resultat och utvärdering. Dessa mål måste vara välformulerade och knyta an till verksamheten.

3. Identifiering av händelser. Interna och externa händelser som kan påverka en organisations möjligheter att nå sina mål.

4. Riskbedömning. Analys av sannolikhet och konsekvenser i syfte att få fram ett underlag för hur riskerna bör hanteras.

5. Riskåtgärder. Vilka åtgärder ska vidtas så att organisationens risktolerans och riskaptit hålls på önskad nivå.

6. Kontrollaktiviteter. Riktlinjer och rutiner skapas och implementeras för att säkerställa att riskåtgärderna genomförs på ett effektivt sätt.

7. Information och kommunikation. Relevant information identifieras och kommuniceras i rätt tid, vilket gör det möjligt för samtliga medarbetare att utföra sina åtaganden.

8. Övervakning. Inklusive uppföljning och utvärdering.

ERM-ramverket illustreras i figur 1 nedan.

Figur 1.

Modellen är naturligtvis inte felfri. Den största begränsningen ligger dock i den mänskliga faktorn, i och med att vi människor ibland fattar dåliga beslut på grund av                                                                                                                

42 A.a, s. 8f.

43 Bild från COSO, ERM Executive Summary – Swedish, s. 9. Kolumnerna på ovansidan av kuben visar de fyra målkategorierna: strategiska, operativa, rapporteringsrelaterade och regelefterlevnadsrelaterade mål. I de horisontella raderna på framsidan av kuben återfinns de åtta ERM-komponenterna som nämndes ovan. Den tredje dimensionen, på högersidan av kuben, innehåller organisationens olika enheter.

felbedömningar, exempelvis när det gäller avvägningar mellan nytta och kostnad för olika riskhanteringsrutiner, eller begår enkla misstag. Givetvis finns även situationer när avsiktliga bedrägerier äger rum, vilket sätter modellen ur spel. Det finns därför ingen möjlighet att med hundraprocentig säkerhet se till att bolaget alltid når samtliga uppställda mål och undviker alla risker enligt plan.

2.2.3 ISO:s riskhanteringsmodell

Internationella standardorganisationen ISO har som tidigare nämnt en standard gällande riskhantering, ISO 31000, sedan år 2009. Under dessa år har ISO 31000 antagits som nationell standard av över femtio nationella standardorgan. Även olika FN-organ och stater har tagit den till sig för att använda den i utvecklandet av sina egna riskrelaterade standarder och policyer, särskilt när det gäller det katastrofförebyggande området.

Precis som COSO-modellen innehåller den principer och riktlinjer samt ett ramverk och en process för hur risker ska hanteras inom företag och föreningar, och är tänkt att kunna användas på i alla sammanhang och på alla nivåer i organisationen.

Den är dock inte lika utbredd som COSO. ISO-modellen är uppdelad i tre delar: principer, ramverk och process, se illustration nedan i figur 2.

Det finns två ytterligare ISO-produkter som också anknyter till riskhantering: ISO Guide 73:2009, ”Risk Management – Vocabulary”, som kompletterar ISO 31000 genom att innehålla en samling av olika begrepp och termer som används på området, och ISO/IEC 31010, ”Risk Management – Risk Assessment Techniques” som rör just koncept och processer för riskbedömning. ISO 31000-familjen håller just nu på att revideras för att behålla sin aktualitet.

44 A.a., s. 10.

45 ISO, The Revision of ISO 31000 on Risk Management Has Started.

46 ISO, ISO 31000 – Risk Management.

47 Bild hämtad från ISO 31000, Introduction.

48 ISO, The Revision of ISO 31000 on Risk Management Has Started.

(22/83) Figur 2

2.3 Sammanfattning och kommentarer

I detta kapitel har riskbegreppet preciserats, en introduktion till riskhantering getts och de två mest kända riskhanteringsmodellerna COSO och ISO presenterats i korthet.

Sammanfattningsvis kan sägas att trots att det saknas en vedertagen definition för begreppet, råder någorlunda enighet kring vad risk innebär och att det finns goda möjligheter att skydda sin verksamhet för den som vill.

I det här arbetet definierar jag ickefinansiell riskhantering som framtagandet, implementeringen och uppföljningen av processer och åtgärder som avser att hantera alla risker som är i anslutning till bolagets verksamhet men som inte hör till bolagets finansiella rapportering eller skuldsättning. Vissa hävdar att riskhantering är strukturerat sunt förnuft, andra att det är mycket mer komplicerat än så.

Det framgår tydligt att ett metodiskt arbete med dessa frågor är nyckeln till att få en övergripande och heltäckande bild av ett företags risktagande. För ett aktiemarknadsföretag med stor omsättning och verksamhet är det förmodligen enklast att använda sig av ett redan välbeprövat och                                                                                                                

49 Å ena sidan praktikern och riskhanteringsexperten Anders Hult (tidigare partner på Deloitte och numera Chief Risk Officer, CRO, på Trafikförvaltningen i Stockholms läns landsting) i telefonintervju 17 mars 2015, å andra sidan Olof Arwinge & Torbjörn Wikland i Utvecklingen av intern styrning och kontroll i Balans #1 2014.

vedertaget ramverk för att inte missa någon aspekt. Det råder oklarhet kring vilket av systemen som faktiskt är bäst, men i sammanhanget blir det ändå tämligen irrelevant eftersom COSO är överlägset mest använt.

Detta skulle kunna vara ett exempel på nackdelen med all standardisering – det faktum att marknadsmekanismerna, som vanligtvis leder till att det bästa systemet konkurrerar ut de sämre alternativen, sätts ur spel då kostnaderna för att byta från ett vedertaget system till ett annat blir högre än vinsterna med det nya systemet.

Det är nu dags att gå närmare in på hur riskhantering regleras i dag, vilka krav som ställs och hur tvingande de egentligen är.

50 Detta enligt Anders Hult i telefonintervju 17 mars 2015. Olof Arwinge och Torbjörn Wikland påpekar i en fotnot i sin artikel Utvecklingen av intern styrning och kontroll i Balans #1 2014, s 8, att ISO:s system har många förtjänster men att det – jämfört med COSO:s system – saknar struktur och hjälpmedel att göra en helhetsbedömning. Alex Dali & Christopher Lajtah anser dock att ISO-verktyget är mer användarvänligt än COSO, ISO 31000 – The Gold Standard, Strategic Risk, september 2009, s. 21. För den som vill få en mer fullödig jämförelse mellan systemen, läs Gjerdrum, D., & Peter, M., The New International Standard on the Practice of Risk Management – A Comparison of ISO 31000:2009 and the COSO ERM Framework, hos The Institute for Internal Auditors.

51 Jfr exempelvis tangentbord, där det välbekanta QWERTY-tangentbordet fortsätter vara standard trots att andra tangentbord är bättre anpassade till vårt sätt att skriva i dag, t.ex. Dvorak eller Colemak.

3 Dagens svenska reglering

3.1 Allmänt om bolagsrätt och bolagsstyrning

Aktiebolagsformen bygger på att ägarna bidrar med en kapitalinsats och får rätt till utdelning av vinsten men slipper personligt ansvar om bolaget skulle gå med förlust.

Associationsformen tillkom i samband med den industriella revolutionen i syfte att möjliggöra omfattande näringsverksamhet i de fall då någon annan organisationstyp hade varit alltför svårhanterbar eller riskfylld.

I dagens läge kan dock sägas att de övergripande ändamålen med aktiebolagsrätten är tre:

1. Att möjliggöra näringsverksamhet oavsett omfattning.

2. Att stimulera aktiebolagens tillgång till riskkapital i olika former.

3. Att främja omsättningen av varor och tjänster.

Det överordnade syftet är att öka det totala välståndet i samhället.

Dessa ändamål ska även anses gälla för aktiemarknadsrätten, även om den därutöver kan sägas ha två kompletterande ändamål:

1. Att möjliggöra en effektiv handel med såväl enskilda aktier som större aktieposter.

2. Att upprätthålla förtroendet för aktiemarknaden.

Det ses som naturligt i den svenska bolagsrätten att aktieägarna ska ha den yttersta makten i bolaget, det är därför vanligt med aktiva bolagsstämmor och starka storägare som tar ansvar för företagets utveckling.

Något som inte är så vanligt ur ett internationellt perspektiv är att även minoritetsägare får sina intressen skyddade samt får utrymme att driva igenom vissa beslut genom bestämmelser i ABL.

Precis som inom andra delar av svensk förvaltning, är vi i Sverige också vana vid en hög grad av transparens och informationsgivning i bolagsrätten, särskilt för aktiemarknadsbolag.

Styrelsen representerar bolaget i aktieägarnas frånvaro och är i aktiemarknadsbolag i allmänhet icke-exekutiv.

Genom styrelsebeslut uppdrar de i stället åt                                                                                                                

52 1 kap. 3 § ABL, med de sällsynta undantagen för ansvarsgenombrott som finns.

53 Stattin, D., Företagsstyrning, s. 52. Första gången som aktiebolag reglerades i Sverige var genom Kongl. Förordning om lag om aktiebolag d. 6 Okt 1848, SFS 1848:43.

54 A.a, s. 54.

55 Eklund, K., & Stattin, D., Aktiebolagsrätt och aktiemarknadsrätt, s. 39.

56 Jfr exempelvis USA där företagsledningen har större inflytande och ägandet är mer spritt och passivt, Henrekson, M., & Jakobsson, U., Globaliseringen och eroderingen av den svenska modellen för bolagsstyrning, Ekonomisk Debatt nr 3 2011, s. 5.

57 Exempelvis 18 kap. 11 § eller 22 kap. 16 § ABL.

58 Unger, S., Special Features of Swedish Corporate Governance, s. 1.

företagsledningen att sköta den dagliga verksamheten samt följa övriga instruktioner.

Det finns också en önskan om maktdelning inom bolagsrätten, som bland annat yttras i att styrelseordföranden och VD i ett aktiemarknadsbolag inte får vara samma person, samt att det finns krav på att vissa styrelsemedlemmar ska vara oberoende i förhållande till bolaget och ägarna.

Det sätt genom vilket bolag styrs och kontrolleras, kallas bolagsstyrning.

Begreppet saknar en allmänt etablerad och allmängiltig definition, utan får anses vara ett tämligen brett koncept som kan innehålla många aspekter på företagsledande.

Det kan exempelvis beskriva hur relationerna mellan bolagsorganen (huvudsakligen aktieägarna, styrelsen och företagsledningen) sköts, eller handla om att se till att bolag styrs ”på ett sätt som gör att de uppfyller ägarnas krav på avkastning på det investerade kapitalet och därigenom bidrar till samhällsekonomins effektivitet och tillväxt”.

Bolagsstyrningen kan av naturliga skäl se väldigt olika ut i olika organisationer, men bygger alltid på grundantagandet att ägarna i respektive bolag ansvarar för att besluta hur bolagsstyrningen ska ske.

Se det svenska bolagsstyrningssystemet i figur 3 nedan, bilden hämtad från SOU 2004:47 s. 169.

Figur 3

I Sverige och Europa, liksom i stora delar av övriga världen, har regleringen av                                                                                                                

59 8 kap. 49 § och 49 a § ABL, samt 4.3–4.5 Koden.

60 SOU 2004:47 s. 165.

61 Slutligt förslag till kod för svensk bolagsstyrning, SOU 2004:130 s. 51. En annan om än liknande definition ges i Cadburyrapporten: ”Corporate governance is the system by which companies are directed and controlled”, 2.5.

62 SOU 2004:47 s. 166.

(26/83)

bolagsstyrning huvudsakligen skett genom självreglering i så kallade koder för bolagsstyrning. Det är kort sagt branschen själv som har tagit ansvar och skapat gemensamma uppförandekoder för hur företagen ska uppträda och organiseras.

Som kontrast har exempelvis USA använt sig av mer traditionell lagstiftningsmetod för att åstadkomma tvingande regler för aktiemarknadsföretag.

Styrningen av svenska aktiemarknadsbolag regleras både av lagstiftning, huvudsakligen ABL, och av självreglering, i form av Svensk kod för bolagsstyrning (hädanefter kallad Koden).

Det finns även mellanstatliga organisationer som tagit initiativ till instrument och riktlinjer på bolagsstyrningens område, bland annat EU, OECD och FN.

Den bindande EU-regleringen som finns av intern kontroll och styrning samt riskhanteringssystem baseras på två genomförda minimidirektiv, 2006/43/EG

, 2006/46/EG

. Dessutom finns två än så länge icke genomförda direktiv, 2013/34/EU

och 2014/95/EU

, som för tillfället håller på att beredas för implementering.

I de följande avsnitten kommer dessa direktiv att tas upp i tur och ordning i anslutning till dess svenska implementeringar respektive lagförslag. I nästa kapitel kommer även de ickebindande dokumenten EU-kommissionens grönbok och handlingsplaner att presenteras översiktligt.

63 Sedan 2006 ställs också krav från EU att alla börsnoterade företag i Europa ska rapportera om de följer en kod och om den använder sig av följ- eller förklara-principen, direktiv 2006/46/EG. Läs vidare i avsnitt 3.4.

64 Se avsnitt 2.1.1 om SOX, samt Svernlöv, C., Svensk kod för bolagsstyrning – en kommentar, kommentar till 1. Syfte.

65 EU-kommissionens Grönbok – en EU-ram om bolagsstyrning, respektive Handlingsplan: Europeisk bolagsrätt och företagsstyrning – ett modernt regelverk för mer engagerade aktieägare och hållbara företag, OECD:s Principer för bolagsstyrning respektive Riktlinjer för multinationella företag samt FN:s Guidance on Good Practices in Corporate Governance Disclosure.

66 Europaparlamentets och rådets direktiv 2006/43/EG av den 17 maj 2006 om lagstadgad revision av årsbokslut och sammanställd redovisning och om ändring av rådets direktiv 78/660/EEG och 83/349/EEG samt om upphävande av rådets direktiv 84/253/EEG.

67 Europaparlamentets och rådets direktiv 2006/46/EG av den 14 juni 2006 om ändring av rådets direktiv 78/660/EEG om årsbokslut i vissa typer av bolag, 83/349/EEG om sammanställd redovisning, 86/635/EEG om årsbokslut och sammanställd redovisning för banker och andra finansiella institut och 91/674/EEG om årsbokslut och sammanställd redovisning för försäkringsföretag.

68 Europaparlamentets och rådets direktiv 2013/34/EU av den 26 juni 2013 om årsbokslut, koncernredovisning och rapporter i vissa typer av företag, om ändring av Europaparlamentets och rådets direktiv 2006/43/EG och om upphävande av rådets direktiv 78/660/EEG och 83/349/EEG.

69 Europaparlamentets och rådets direktiv 2014/95/EU av den 22 oktober 2014 om ändring av direktiv 2013/34/EU vad gäller vissa stora företags och koncerners tillhandahållande av ickefinansiell information och upplysningar om mångfaldspolicy.

70 Det finns även andra bolagsrättsliga EU-rättsakter rörande redovisning, finansiell rapportering och revision, men dessa faller utanför uppsatsens ram.