Vad styr styrelser?

(1)

D-uppsats 2009.06.05

Författare: Johan Hallin Martin Sandberg

Handledare: Thomas Carrington

Vad styr styrelser?

__________________________________________________________________

-En studie av styrelsers påverkan på varandra och deras användning av legitima förlagor.

(2)

2

Sammanfattning

Bakgrund

Begreppet corporate governance har på senare tid fått en ökad betydelse i den bolagsrättsliga kontexten. Enligt Svensk Kod för Bolagsstyrning så ska företag på reglerade marknader avlägga en bolagsstyrningsrapport bifogad till sin årsredovisning. En stor del av rapporten utgörs av en presentation av bolagets interna kontroll och riskhantering avseende den finansiella rapporteringen.

Här har företagen möjlighet att stärka sina aktieägares och andra potentiella investerares förtroende för sin verksamhet. Men vad är det som styr hur företagen väljer att framställa och presentera denna information? Enligt institutionell teori så finns det faktorer i ett företags omgivning som påverkar organisationens medlemmars agerande och ett sådant tryck är att styrelseledamöter påverkas av styrelseledamöter i andra företag. Vilken roll spelar legitima förlagor i form av vedertagna ramverk vid företagens val av rapporteringsstruktur?

Metod

Vi har i vår undersökning studerat 14 finansbolags bolagsstyrningsrapporter och analyserat dessa efter ett vedertaget ramverk för intern kontroll och riskhantering.

Resultat

Vi fann i undersökningen ett svagt samband med antalet relevanta styrelseuppdrag som ledamöterna i det enskilda företaget är involverade i och företags rapportering i bolagsstyrningsrapporten. Dock förekom indikationer på att faktorer som företagets storlek, hur lång tid man omfattats av Svensk Kod för Bolagsstyrning samt exponering mot regelverk med likartat innehåll kan vara av betydelse. Vidare uppkom frågan om de mindre bolagen på börsen influeras av de större, i arbetet med intern kontroll och risk avseende den finansiella rapporteringen.

Nyckelord: corporate governance, Svensk Kod för Bolagsstyrning, nyinstitutionell teori, COSO, intern kontroll, legitimitet, institutionella tryck.

(3)

3

Innehåll

1 Inledning ... 5

1.1 Syfte ... 8

1.2 Frågeställning ... 8

2 Förhållande mellan Corporate Governance, Koden och Intern kontroll och riskhantering avseende den finansiella rapporteringen ... 9

2.1 Corporate Governance ... 9

2.2 Separation av ägandet och den operativa makten ... 9

2.3 Shareholder modellen ... 10

2.4 Svensk Kod för Bolagsstyrning ... 11

2.5 Intern kontroll och riskhantering avseende den finansiella rapporteringen ... 12

2.5.1 Kontrollmiljön ... 14

2.5.2 Riskbedömning ... 14

2.5.3 Kontrollaktiviteter ... 15

2.5.4 Information och kommunikation ... 15

2.5.5 Uppföljning ... 15

3 Ekonomisk sociologi ... 15

3.1 Bakgrund ... 15

3.2 Nyinstitutionell teori ... 16

3.3 Legitimitet ... 16

3.4 Företags agerande på externa institutionella tryck ... 17

3.5 Mimetiska processer ... 18

3.6 Normativt tryck ... 19

3.7 Villkor för företagsrespons ... 20

4 Metod ... 22

4.1 Metodbeskrivning ... 22

4.2 Operationalisering ... 22

(4)

4

4.3 Antal styrelseuppdrag som oberoende variabel ... 23

4.4 Urvalet av studerade företags rapportering ... 24

4.5 Användandet av separata revisionsutskott ... 27

4.6 Kritikdiskussion ... 27

5. Resultat från undersökningen ... 29

5.1 Antal styrelseuppdrag inom revisionsutskotten ... 29

5.2 Resultat från bolagsstyrningsrapporten ... 29

5.3 Fördelning av COSO- poäng ... 32

5.4 COSO- poäng i förhållande till antal styrelseuppdrag ... 32

5.5 Förekomster i avseende på företagsstorlek ... 34

5.6 Uttryckliga hänvisningar till COSO ... 35

5.7 Bakomliggande element till företagsrespons ... 36

6 Slutdiskussion ... 38

Referenser ... 40

Tryckta källor: ... 40

Internetkällor ... 42

Övriga källor ... 42

Appendix 1. ... 44

(5)

5

1 Inledning

Termen corporate governance (bolagsstyrning) och den moderna synen på styrning utvecklades främst i U.S.A. i mitten av 1980-talet som ett resultat av ett antal uppmärksammade företagsskandaler där företagets ledning agerat utifrån egenintresse snarare än med ägarnas intressen som ledstjärna (SOU, 2004:46). Begreppets framkomst bottnar i just detta problem med att ägandet och därmed pengarna är separerade från företagskontrollen, som vilar i händerna på företagsledning och VD. En sådan separation gör det möjligt för företagsledningen att avvika från den lönsamhetsmaximering och kostnadsmaximering som antas vara det främsta målet med investeringar för aktieägarna (Keasey, Thompson & Wright, 1997:2). Det teoretiska förhållandet i detta problem uttrycks i agentteorin, i vilken inkluderas en principal (exempelvis aktieägare) och agenten (företagsledning) som denne kontrakterar för att arbeta för sina intressen. Konflikt i förhållandet mellan principal och agent uppstår då agenten kan välja att maximera sina egna intressen snarare än att tillgodose principalens behov (Kane, 1999).

För att aktieägarnas intressen, i form av investeringar, ska skyddas så måste företagsledningen kunna hållas ansvariga för den verksamhet de bedriver då de förvaltar ägarnas investeringar. Detta ansvar skall, för att uppnå önskad effekt, kommuniceras till den publik som berörs av företagsledningens arbete och på detta sätt så når man tydlighet i förhållandet mellan aktieägare och de personer som sköter deras investeringar och man undviker sådana situationer där företagsledningar kan gynna sina

(6)

6 egna intressen på aktieägarnas bekostnad (Denis et al., 1996). Som ett svar på efterfrågan på bättre och mer tydlighet i styrningen av företagen har lagförslag och direktiv utarbetats av länder runt om i världen. I U.S.A. antogs 2002 SOX¹ som lag och syftar till att öka aktieägarnas i synnerhet och resten av samhällets i allmänhet förtroende för de amerikanska bolagens styrning och då främst avseende den finansiella rapporteringen. (McCauley, O’Sullivan och Shannon, 2007).

I Storbritannien presenterades Cadbury-rapporten 1992, vilken innehöll flera direktiv och tillvägagångssätt för företagen att efterfölja vid sin verksamhetsstyrning. Här introducerades även konceptet ”comply or explain”, vilket innebär att avsteg från direktiv och vägledning får göras, men måste då förklaras och argumenteras för. Cadbury-rapporten låg senare till grund för The Combined Code² i Storbritannien, som i sin tur ligger till grund för många andra europeiska styrningskoder, däribland den svenska Svensk Kod för Bolagsstyrning (Koden). (Svernlöv, 2008)

Koden utvecklades av den så kallad Kodgruppen att till en början endast gälla för de större bolagen noterade vid reglerade marknader i Sverige. Efter en revidering av Kollegiet så skall Koden från och

1 The Sarbanes-Oxley Act of 2002- Det sanktionerade regelverk som utformades av Securities and Exchange Commission och lagstadgades i U.S.A år 2002 och som behandlar ett stort antal frågor som berör bolagsstyrning genom lag.

2 Den brittiska motsvarigheten till Svensk Kod för Bolagsstyrning. The Combined Code är en sammanställning av Cadbury-rapporten från 1992, Greenbury-rapporten från 1995, Hampel-rapporten 1997 och senast uppdaterad med Higgs-rapporten 2003.

(7)

7 med den 1 juli 2008 även tillämpas av mindre bolag noterade på reglerade marknader. Koden syftar till att stärka förtroendet för de svenska börsbolagen genom att främja en positiv bolagsstyrning inom dessa bolag (Kollegiet för svensk kod för bolagsstyrning, 2008). Koden som sådan är en sammansättning av ”mjuka regler” och är därmed inte tvingande utan syftar snarare till att komplettera lagstiftning snarare än att vara en del av den. Till saken hör att det ändå har lagstadgats att alla bolag från och med den 1 mars 2009 skall avlämna en obligatorisk Bolagsstyrningsrapport i samband med den ordinarie årsredovisningen. Denna rapport skall Koden punkt 10.5 innehålla en beskrivning om hur bolagsstyrningen fungerar i bolaget och ett särskilt avsnitt ska innehålla en beskrivning av den interna kontrollen och riskhanteringen avseende den finansiella rapporteringen (Kollegiet för svensk kod för bolagsstyrning, 2008). Här har företagen chansen att stärka aktieägares förtroende och minimera misstankar om att eventuella oegentligheter skulle förekomma i verksamheten. Enligt den traditionella synen på corporate governance så skall företagen hållas ansvariga för det arbete som förekommer inom organisationen och detta skall kommuniceras till aktieägarna på det vis som Kodens direktiv föreskriver (Nwanji och Howell, 2007;

PricewaterhouseCoopers, 2003). Vidare finns teorier inom institutionell teori och ekonomisk sociologi som syftar till att förklara och öka förståelsen för hur företag beter sig inför de förutsättningar de ställs inför. Två faktorer inom institutionell teori som anses påverka organisationers avgöranden är mimetiskt tryck och normativt tryck (Dimaggio och Powell, 1983).

Enligt detta antagande kommer dessa två faktorer påverka hur ett bolag beter sig i en beslutssituation utifrån vad bolaget anser kommer leda till mest legitimitet. I besittning av legitimitet och genom att betraktas som en legitim aktör har företaget de största chanserna att överleva på sin marknad (White, 2001).

Vår studie inriktar sig vidare på att studera hur information, i form av rapporter från svenska bolag som berörs av Koden, påverkas av ovanstående tryck. Denna undersökning utgår dels ifrån ett befintligt ramverk i form av COSO och dels utifrån huruvida ett bolags styrelseledamöters uppdrag i andra bolag har inflytande på den avgivna rapporteringen.

(8)

8

1.1 Syfte

Syftet med studien är att undersöka i vilken utsträckning företag med revisionsutskott väljer att basera sin presentation av företagets arbete med intern kontroll och riskhantering avseende finansiell rapportering i bolagsstyrningsrapporten på legitima förlagor och om det finns någon relation mellan detta samband och kollegors normativa inflytande.

1.2 Frågeställning

I vilken utsträckning baserar företag med revisionsutskott presentationen av företagets arbete med intern kontroll och riskhantering avseende finansiell rapportering i bolagsstyrningsrapporten på COSO-ramverket?

Finns det ett samband mellan hur företag i sina bolagsstyrningsrapporter presenterar sitt arbete med intern kontroll och riskhantering avseende finansiell rapportering och antalet övriga styrelseuppdrag för medlemmarna i revisionsutskottet?

(9)

9

2 Förhållande mellan Corporate Governance, Koden och Intern kontroll och riskhantering avseende den finansiella rapporteringen 2.1 Corporate Governance

Termen corporate governance har främst de senaste årtiondena blivit ett allmänt vedertaget begrepp inom ekonomisk teori, även om användningen av begreppet fortsatt att variera i olika sammanhang. Den smalaste betydelsen inkluderar de formella systemen som syftar till att övervaka bolagsledningens handlingar kontra aktieägarnas intressen. I den mer vidsträckta betydelsen innefattar begreppet hela nätverket av formella och informella relationer inom bolagssektorn och dessas konsekvenser för samhället som helhet (Keasey & Wright, 1993).

Denna brist på konsensus gällande begreppets betydelse innebär i praktiken att debattörerna inom litteraturen har helt olika analyser av problemen inom corporate governance och därmed även olika lösningar på dessa problem. Ett område där man kan hitta väsentliga meningsskiljaktigheter är huruvida effektiviteten av ett företags corporate governance har implikationer som går ut över dess aktieägare och, om så är fallet, rättfärdigar då detta interventioner i form av samhällspolicys?

(Keasey, Thompson & Wright, 1997:2)

Det fundamentala problemet inom corporate governance kan hittas i det faktum att ägandet är separerat från den exekutiva makten i form av aktieägare och bolagsledning i ett aktiebolag.

Dilemmat med en sådan uppdelning är erkänd av en mångfald av analytiker och sträcker sig tillbaka till Adam Smiths ”An inquiry into the Nature and Causes of the Wealth of Nations” (1776). Teoretiker och analytiker inom ämnet är överens om att separationen av ägande och exekutivt beslutsfattande tillåter ett företags beteende att avvika från idealläget av lönsamhetsmaximering och kostnadsminimering (Keasey, Thompson & Wright, 1997:2).

2.2 Separation av ägandet och den operativa makten

Agentteorin är ett utav de dominerande synsätten på ett företag och förhållandet mellan aktieägare och företagsledning. Enligt Kane (1999) så uppstår konflikter enligt detta synsätt då en principal (exempelvis aktieägare) kontrakterar en agent (företagsledare) för att denne skall utföra en uppgift åt principalen. Agenten kan välja att maximera sitt eget välbefinnande utifrån kontraktet och detta då på principalens bekostnad. Principalens intressen är aldrig helt skyddade på grund av svårigheten i att övervaka agenten perfekt. Vidare menar Kane att problem som kommer från en principal-agent relation är av moralisk natur och definierat från principalens perspektiv så uppstår detta moraliska problem när en, för principalen, ofördelaktig förändring uppstår i ett underförstått eller uttryckt

(10)

10 kontrakt mellan de båda parterna (Kane, 1999). Hart (1995a,b) ser corporate governance arrangemanget som en förhandlingsprocess där både interna och externa aktörer har ingått frivilligt.

Hans synsätt motsätter sig därmed alla ex post externa interventioner och erkänner istället att alla övervaknings- och bondingkostnader som uppstår för att justera beteendet hos agenterna (företagsledningen) att passa intresset hos principalerna (aktieägarna) representerar kostnader i det ekonomiska systemet. Därmed så rättfärdigar dessa kostnader inte offentligt intervenerande utan påkallar snarare innovationer inom corporate governance. Vidare så accepterar anhängare av principal-agent modellen det faktum att aktieägare kan gynnas av utvecklandet av corporate governance genom frivilliga koder såsom Cadbury-rapporten och den svenska Koden, men samma anhängare ställer sig fortfarande skeptiska till lagstiftning som bringar kostnader för antingen företaget självt eller deras majoritetsägare. Detta förhållningssätt stöds av argumentet att om det är möjlighet att införa förbättringar inom corporate governance som kommer betyda ökad lönsamhet och därmed företagsvärde, så kommer dessa förbättringar att antas utan tvång. (Keasey, Thompson

& Wright, 1997:5)

2.3 Shareholder modellen

Shareholder modellen är den traditionella synen på corporate governance inom den Anglo- Amerikanska företagskontexten där företaget har ansvar endast mot aktieägarna och skall verka för att maximera värdet för dessa (Nwanji och Howell, 2007). Grundtanken i modellen är att detta sker genom att maximera lönsamheten utan att ta hänsyn till andra intressenter än just företagets aktieägare. Däremot kommer en maximering av lönsamheten att resultera i att man på längre sikt maximerar även samhällets välbefinnande, vilket var antagandet som gjordes redan av Adam Smith 1776. Det har argumenterats för att enligt shareholder modellen så handlar corporate governance om två saker som skall svara mot problematiken med agentproblemet, nämligen ansvarsskyldighet och kommunikation. Ansvarsskyldighet handlar om hur de som sköter ägarnas investeringar och hålls ansvariga för detta arbete, emedan kommunikation handlar om hur företaget kommunicerar sitt ansvar till en bredare publik. Till denna publik räknas bland annat; potentiella investerare, anställd personal och regelstiftare (PricewaterhouseCoopers, 2003). Detta synsätt kan kopplas an till Nobelprisvinnaren Milton Friedmans idéer om företagets syfte:

”…there is one and only one social responsibility of business- to use its resources to engage in activities designed to increase its profits as long as it stays within the rules of the game, which is to say, engages in open and free competition, without deception or fraud.” (Friedman, 1970)

(11)

11 I dessa formuleringar anknyter Friedman till idén om att företagsledningen måste kunna hållas ansvarig för sitt arbete och att risken för gynnande av sina egna intressen skall hållas på ett minimum samtidigt som transparensen gentemot ägarna skall hålla en hög nivå. Just dessa tankar om att styrningen av företag skall skötas på ett, för aktieägarna, så effektivt sätt som möjligt är de som ligger till grund för koder såsom Svensk Kod för Bolagsstyrning (Kollegiet för svensk kod för bolagsstyrning, 2008).

2.4 Svensk Kod för Bolagsstyrning

Som noterat tidigare så har begreppet corporate governance fått ökad betydelse i den bolagsrättsliga debatten, vilket kan sägas vara ett resultat av ökad internationalisering av aktiemarknaden och ägandet i bolag samt ett ökat institutionellt ägande av publika företag och ett flertal medialt uppmärksammade bolagsskandaler (Svernlöv, 2008).

Sedan den 1 juli 2005 har Koden tillämpats av bolag vars aktier är noterade vid svenska reglerade marknader om bolaget har ett marknadsvärde överstigande tre miljarder kronor. Efter några års tillämpning av dessa större företag på reglerade marknader i Sverige så trädde en reviderad kod för bolagsstyrning i kraft den 1 juli 2008 och kom därmed att innefatta alla bolag vars aktier är upptagna till handel på en reglerad marknad. I och med denna utvidgning så har Koden anpassats till de mindre företagens förutsättningar (Kollegiet för svensk kod för bolagsstyrning, 2008). Som tidigare nämnts så har begreppet corporate governance (bolagsstyrning) haft ett antal olika betydelser, vilka ofta utgår från nationellt skilda juridiska system och traditioner för ägande och styrning av företag.

Kodgruppen, vilken arbetade fram den ursprungliga koden, och senare Kollegiet har utgått från ett synsätt på begreppet bolagsstyrning som ansluter till det som används i Cadbury-rapporten. Enligt detta ramverk så kan bolagsstyrning sägas innefatta tankegångar och bestämmelser hur bolag skall ägas och styras (Svernlöv, 2008).

Kollegiet har i sin utarbetning av Koden kommit fram till att (till skillnad från exempelvis i U.S.A.) låta detta ramverk för bolagsstyrning vara självreglerande snarare än lagstadgande, även om en lag om obligatoriska bolagsstyrningsrapporter trädde i kraft från och med 1 april 2008, och bygger på principen ”följ eller förklara”. Denna princip innebär i praktiken att företag kan välja att följa de villkor som finns stipulerade i Koden, eller avträda från dessa, i vilket fall en medföljande förklaring erfordras. (Svernlöv, 2008)

(12)

12

2.5 Intern kontroll och riskhantering avseende den finansiella rapporteringen

I Koden punkt 10.5 anges hur företagen årligen skall lämna in en rapport som beskriver bolagets system för intern kontroll och riskhantering med avseende på den finansiella rapporteringen (Kollegiet för svensk kod för bolagsstyrning, 2008). Det är styrelsens ansvar att företaget har en god intern kontroll och rutiner som säkerställer finansiell rapportering och fungerar i samverkan med lag, tillämpliga redovisningsstandarder och övriga krav på noterade bolag. Med god intern kontroll menas främst ett system för att förhindra materiella fel i den finansiella rapporteringen, exempelvis för att förekomma fel i resultat- och balansräkning. Ett väsentligt fel skulle kunna påverka en utomstående intressents agerande utifrån dennes syn på och värdering av bolaget (Deloitte, 2007). Enligt den vägledning som arbetats fram av FAR tillsammans med Svenskt Näringsliv så definieras intern kontroll enligt följande:

Intern kontroll är en process som påverkas av styrelsen, bolagsledningen och annan personal, och som utformats för att ge en rimlig försäkran om att bolagets mål uppnås inom följande kategorier:

· Ändamålsenlig och effektiv verksamhet

· Tillförlitlig finansiell rapportering

· Efterlevnad av tillämpliga lagar och förordningar

De delar som utgör den interna kontrollen är riskbedömning, kontrollaktiviteter, system för intern och extern kommunikation och uppföljning från styrelsen och bolagsledningen. Basen för dessa delar är kontrollmiljön, vilken innefattar den kultur som styrelse och bolagsledning kommunicerar och verkar utifrån och som skapar disciplin och struktur för övriga delar i processen (Svenskt Näringsliv och FAR, 2005).

För närvarande finns inget etablerat ramverk för hur arbetet med intern kontroll skall fungera och någon praxis har heller inte hunnit växa fram på grund av den relativt korta tid som Koden har tillämpats av noterade svenska bolag. Under utarbetandet av Koden så efterfrågade flera remissinstanser ett förtydligande om vad som avses med intern kontroll och en sådan förståelse är fundamental för efterlevnaden av Kodens direktiv (Svernlöv, 2008). Det ramverk som internationellt sett är det mest erkända är det som utarbetats av The Committee of Sponsoring Organizations of the

(13)

13 Treadway Commission (COSO³) och lanserades 1992. Svenska vägledande aktörer som Carl Svernlöv (2008) och FAR tillsammans med Svensk Näringsliv hänvisar till detta ramverk som en guide i hur ett internt kontrollarbete ska struktureras. Även i Storbritannien så har vägledande skrivelser såsom The Turnbull Guidance, vilken vägleder efterlevnad av The Combined Code, utgiven av The Institute of Chartered Accountants in England & Wales (ICAEW⁴), grundat sig på det ramverk som framställs i och med COSO.

COSO-ramverket består av tre olika kategorier, inom vilka man delar in det interna kontrollarbetet.

Inom var och en utav dessa tre kategorier finns fem komponenter som skall samverka för att uppnå en god intern kontroll. Av de övergripande kategorierna i COSOs ramverk så har den interna kontrollen och den finansiella rapporteringen en naturlig koppling till kategorin som avser tillförlitlig finansiell rapportering (Financial Reporting) (Svernlöv, 2008; Far och Svenskt Näringsliv).

COSO-ramverket beskrivs av figur 1 nedan.

3 COSO skapades i U.S.A. 1985 för att bistå the National Commission on Fraudulent Financial Reporting, vilket var ett privat initiativ som syftade till att studera vilka orsaker som kan leda till bedräglig finansiell rapportering.

4 ICAEW är en revisionsorganisation i Storbritannien som kontinuerligt utvecklar vägledningar för företag inom olika sektorer och branscher när det kommer till finansiella rapporter och revisionen av företag.

(14)

14

Figur 1. COSOs ramverk för intern kontroll

2.5.1 Kontrollmiljön

Kontrollmiljön är den del av ramverket på vilken resterande delar vilar. Den är avgörande för hur det interna kontrollarbetet uppfattas av medarbetarna. Kontrollmiljöns väsentliga komponenter är bland det som nämns i ramverket; organisationens etik, integritet, kompetens, bolagsledningens ledningsfilosofi och stil, organisationsstruktur, ansvar och befogenheter, personalpolicys och rutiner samt disciplin och struktur för övriga komponenter. (Svernlöv, 2008; Far och Svensk Näringsliv, 2005) 2.5.2 Riskbedömning

En strukturerad riskbedömning skall genomföras och därigenom identifiera de väsentliga risker som påverkar den interna kontrollen avseende den finansiella rapporteringen. Riskbedömningen skall även svara på var dessa risker befinner sig på såväl bolags-, affärsenhets-, funktions- som processnivå och systemet skall även kunna hantera risker som är förknippade med omvärlden och branschen.

Riskbedömningen som bolaget gör skall resultera i kontrollmål, vilka ska stödja att grundläggande krav på de finansiella rapporterna uppfylls. Bolaget skall sedan arbeta utifrån dessa kontrollmål och riskbedömningen skall uppdateras löpande för att hela tiden omfatta de förändringar som påverkar den interna kontrollen. (Svernlöv, 2008; FAR och Svenskt Näringsliv, 2005)

(15)

15 2.5.3 Kontrollaktiviteter

Kontrollaktiviteterna utgörs av de policys och rutiner som tillser att de uppställda kontrollmålen uppfylls. Kontrollaktiviteterna skall utformas och dokumenteras i alla delar av organisationen och inkluderar därmed både mer övergripande kontroller och mer detaljerade kontroller. IT-kontroller skall vara utformade för de system som avser den interna kontrollen avseende finansiell rapportering och även för tredje part som granskar bolagets räkning skall kontrollaktiviteter ha utformats.

(Svernlöv, 2008; Far och Svenskt Näringsliv, 2005) 2.5.4 Information och kommunikation

Informations- och kommunikationsvägar rörande den interna kontrollen avseende den finansiella rapporteringen ska utgöras av processer och rutiner som tillser att styrningen fungerar så optimalt som möjligt. Systemen skall vara utformade på så vis att rapportering och återkoppling från verksamheten till styrelse och bolagsledning är möjlig. Interna policys, riktlinjer och dylikt är kommunicerade till rätt personer inom verksamheten. Rapporter om informationssäkerhet skall utformas och dessa skall även innehålla sådana externa förhållanden som berör driften, beslut och extern rapportering. (Svernlöv, 2008; Far och Svenskt Näringsliv, 2005)

2.5.5 Uppföljning

En process skall finnas för löpande uppföljning och årlig utvärdering av efterlevnaden av de utformade kontrollaktiviteterna. Dessutom skall i bolaget finnas en särskild process för uppföljning av rapporterade brister (Svernlöv, 2008; FAR och Svensk Näringsliv, 2005).

3 Ekonomisk sociologi 3.1 Bakgrund

Ekonomisk sociologi är från början en ansats att försöka förklara fenomen i ekonomin utifrån sociologiska teorier (Smelser, 1963). Ekonomisk teori har sina grundantaganden baserade på kritik mot klassisk och neo-klassisk ekonomisk teori. Inom ekonomisk sociologi saknas en överordnad teoretisk tradition och ämnet är mer ett samlingsbegrepp med olika forskningsansatser, vilket mer påminner om sociologiämnet. En genomgående skillnad är att forskare inom ekonomi och sociologi ställer olika frågor.(Arrow, 1972) Ekonomisk forskning tar utgångspunkt i individen och dess beteende medan ekonomisk sociologi utgår från grupper, institutioner och samhället. Begreppet som inom ekonomisk teori avser förklara beteenden kallas ”Rational Man”, ett begrepp som har fått en vidare definition inom ekonomisk sociologi där en aktörs beteende förklaras genom begrepp som

(16)

16 rationell, traditionell och affektuell. Dessa begrepp innefattar hur kultur och personliga relationer spelar en betydande roll för en aktörs handlande. (Weber, 1978)

3.2 Nyinstitutionell teori

Nyinstitutionell teori går i huvudsak ut på att studera hur organisationers beteende påverkas av dess institutionella omgivning och kulturella faktorer. Vidare söker den förstå institutioner och hur/varför institutionell förändring sker (Nee, 2005). Det mest grundläggande elementet i vad som kallas institutionell omgivning är de spelregler som gäller, exempelvis lagar. Men istället för att anta att det är de formella regler som till mestadels styr den rationalitet organisationer handlar utefter föreslås en rad andra faktorer. (North 1981) Detta illustrerar den nyinstitutionella plattformen. Vidare delas denna idéströmning upp i olika fraktioner som representerar olika förklaringsmodeller, vilka inte är harmoniserade i en enhetlig teori utan bildar tillsammans ett ramverk av olika idéer. North (1981) föreslår att vid en organisationsanalys är konventioner och normer i samhället av minst lika stor vikt som formella regler, vilket betraktas som angeläget vid exempelvis implementeringar då inkongruens mellan dessa kommer leda till instabilitet samt högre kostnader vid förändringsarbete. Meyer och Rowan (1977) betonar att kulturella tryck, sociala jämförelser och övertygelser är relevanta faktorer utöver formella regler. I ljuset av nyinstitutionell teori ter sig ett regelverk som Svensk Kod för Bolagsstyrning som särskilt intressant som studieobjekt, då detta ej är en lagstiftning utan en Kod.

Avsikten i Koden är inte att detaljstyra utan låta marknaden själv reglera det slutgiltiga innehållet (Kollegiet för svensk kod för bolagsstyrning, 2008). Här har regelstiftaren medvetet lämnat över en del av ansvaret till det något diffusa begreppet marknaden. Detta kan tolkas som att upphovsmakaren till dessa regler erkänner de krafter som nyinstitutionell teori föreskriver. I fortsättningen i detta arbete antas att strävan efter legitimitet och olika institutionella tryck påverkar hur företag förhåller sig till koden.

3.3 Legitimitet

Meyer och Rowan (1977) är organisationsteoretiker vilka betraktas som pionjärer inom vad som kallas ”Stanfords” legitimhetsskola. Från början var utgångspunkten att utifrån explicita regler som förklaringsmodell på hur organisationer handlar ger otillfredsställande resultat. Långt viktigare än vad man tidigare antagit är organisationernas benägenhet att uppfylla vad man tror att samhället förväntar sig av dem. Resultatet blir en likriktningsprocess utifrån samhällets förväntningar vilken

(17)

17 syftar till att erhålla den legitimitet som är nödvändig för att kunna agera i enlighet med sina intressen.

Man brukar göra viss åtskillnad på ideella organisationer och kommersiella där organisationer har som absolut överordnat mål att säkra sin egen fortlevnad. Vidare är det viktigaste redskapet för överlevnad att betraktas av andra som en legitim aktör. (White 2001) Ett antagande uppsatsen bygger på är att företag drivs av strävan efter legitimitet i avseende områden som är av generell och icke-operationell natur. Ett sätt att uppnå legitimitet är att imitera andra företag, varför ett sätt att definiera legitimitet är att följa vad som är normen inom ett visst område. I avseende på bolagets förhållningssätt till koden utgår företags beteende först och främst från dess styrelses beteende, då denna inom bolagsstyrning, har rollen som spindeln i nätet (Svernlöv, 2008). Med detta sagt väcks frågan om hur styrelsens sammansättning kan påverkas av strävan efter legitimitet. Att styrelseledarmöter har uppdrag i andra styrelser skulle kunna vara ett sätt att skapa legitimitet hos styrelsen som helhet eller hos företaget.

3.4 Företags agerande på externa institutionella tryck

I vårt försök att förklara svenska bolags agerande efter Koden och de vägledningar som ankopplar till intern kontroll och riskhantering med avseende på den finansiella rapporteringen skall vi utgå ifrån ett resonemang av Dimaggio och Powell (1983). Dessa författare beskriver tre olika tillvägagångssätt som företagen använder sig av för att förändra eller anpassa sig när de står inför externa påtryckningar som påverkar dem att förändras. Enligt författarna så blir företagen inom ett institutionellt område mer och mer homogena vad gäller den inneboende strukturen och byråkratin.

Ett företags institutionella område består (aggregerat) av komponenter som: reglerande myndigheter, resurs- och produktkonsumenter eller nyckelleverantörer. En sådan ansats till beskrivning av ett område får, enligt författarna, den fördelen att den inkluderar alla relevanta aktörer inom ett och samma område. Ett område kan således utgöras utav organisationer som påverkas av samma regleringar. I likhet med exempelvis Oliver (1991) så framkommer i teoretiseringen att institutionell teori utgör ett komplement eller till och med substitut till den förklaring till företags beteende och förändringar inom företag som erbjuds inom resursberoendeteori. Den senare använder sig av resurser, strömmen av dessa samt kontrollen däröver som förklaringsvariabler till varför företag anpassar sig eller varför förändringar inom organisationen genomförs (Oliver, 1991). En betydande skillnad mellan de båda perspektiven är synen på var den externa makten, och därmed även källan till externa påtryckningar, befinner sig. Till

(18)

18 skillnad från resursberoendeteorin så antar institutionell teori att den externa makten består av de aktörer som formar och driver på värderingar och regleringar och företagens svar på dessa påtryckningar består av integrering och likformighet, emedan resursberoendeteorin ser den externa makten som något som kontrolleras utav dem som har kontrollen över knappa resurser (Oliver, 1991).

Som nämnts ovan så bottnar sig Dimaggios och Powells resonemang i ett antagande om att allteftersom företag genomgår förändringar så blir de alltmer homogena, vilket förklaras av tre olika processer som företagen genomgår när de ändrar sina tillvägagångssätt, strukturer eller processer.

I vår studie har vi valt att använda oss av två utav dessa olika processer för att undersöka vad som får företagen att anpassa sig efter det externa tryck som utgörs av befintliga vägledningar och experter vilka propagerar för användning av COSOs system för arbete med den interna kontrollen och riskhantering avseende den finansiella kontrollen. Dessa två variabler är den mimetiska processen och den normativa processen.

3.5 Mimetiska processer

En mimetisk process uppstår främst som ett svar på upplevd osäkerhet i sin omgivning. Osäkerheten kan till exempel vara ett resultat av organisatoriska teknologier (March och Olsen, 1976), när målsättningar är otydliga eller när omgivningen skapar en symbolisk osäkerhet. Företag som verkar inom sådana miljöer tenderar då att modellera sig själva efter andra företag. Det företaget som blir modellerat behöver inte vara medvetet om att det sker eller ha någon önskan om att bli kopierat.

Det fungerar helt enkelt endast som en källa för ett tillvägagångssätt som därmed oftast blir mindre kostsamt än om det kopierande företaget själva skulle utveckla ett nytt helt på egen hand.

Historiskt sett så har många fall av modellering varit sökanden efter legitimitet eller ett sätt att försöka upplevas som ”legitima spelare”, spelare som åtminstone försöker bättra sina tillvägagångssätt inom vissa arbetsområden. Så var exempelvis fallet med uppkomsten av de

”kvalitetscirklar” eller ”kvalitet-i-arbetslivet”-diskussioner i U.S.A som till stor del var försök på att visa hur man inom amerikanska företag försökte förbättra arbetsvillkoren för sina anställda och var formade efter europiska och japanska modeller (Dimaggio och Powell, 1983).

Vidare så finns en utav orsakerna till homogeniseringen ibland företag till stor del i att det finns ett begränsat urval av variationer att välja på och chefer som försöker förändra sin organisation söker aktivt efter modeller som de kan bygga sin nya organisation på. Andra orsaker till att företag använder sig av mimetiska processer kan hittas i det faktum att dessa ofta då de stöter på förändringar som verkar komplicerade att genomföra, eller då osäkerheten är hög, använder sig av

(19)

19 konsulttjänster (Kipping, 1999). Konsultföretag som används av ett företag, och vilkas lösningar syftar till att minska osäkerheten inför ett problem, används sedan ofta av andra liknande företag varför dessa företag då kommer att likna varandra och således har genomgått en mimetisk process medvetet eller omedvetet (se exempelvis Kipping, 1999; McKenna, 1997). Vidare så tenderar företag som står inför osäkerhet i sin omgivning, och önskar möte denna osäkerhet genom förändring, att modellera sig efter företag som befinner sig inom samma område och har stått inför samma osäkerhet, speciellt efter sådana företag som man känner till och litar på eller ser upp till (Galaskiewicz och Wasserman, 1989).

Många utav de remissvar som lämnats av företag som skulle komma att påverkas av Koden anförde till förslaget till 2004 års Kod ett behov av större tydlighet. Den efterfrågade ökade tydligheten refererade främst till innebörden av begreppet intern kontroll samt förtydligande vad gäller att ansvaret för den interna styrningen och kontrollen inte primärt åvilar internrevisorn utan istället ansvaras för av styrelsen och genom de revisionsutskott där minst tre styrelseledamöter skall ingå.

Detta till trots så lämnar Kodens text inte något ytterligare förtydligande, varken i det ursprungliga förslaget till 2004 års Kod eller i dess nuvarande bestämmelser, för bolagen i arbetet med att implementera Koden (Svernlöv, 2008). Till detta hör även att Koden är en relativt ny företeelse och bolagen som berörs utav dess direktiv har därmed haft en begränsad tid att anpassa sitt arbete och sin rapportering efter de ramar och vägledningar som uttrycker hur en bolagsstyrningsrapport ska se ut och vad den skall innehålla.

3.6 Normativt tryck

Ett normativt tryck kan hänföras till vad som anses vara ett allmänt korrekt eller moraliskt förpliktigat (Suchman, 1995) tillvägagångssätt vad gäller en viss situation som ett företag står inför. Signaler skickas då ifrån ett företags omgivning om vad som är det förväntade eller passande handlandet ifrån ett företag vad gäller ett nytt användande eller en ny företagsstruktur. Normativa tryck är ofta sammankopplade med yrkesgrupper eftersom utbildning och träning framkallar ett liknande ramverk av värderingar av vad som är ”korrekt”, vilka senare införlivas i den organisation personen som genomgått utbildningen eller träningen senare börjar arbeta för (se exempelvis Galaskiewicz och Burt, 1991; Mezias, 1990). En viktig källa till den kognitiva uppfattningen om vad som är legitimt inom olika yrkesgrupper kan man även hitta i professionella nätverk inom vilka nya modeller och uppfattningar sprider sig. Universitet och yrkescentra samt olika yrkesförbund och handelsorganisationer är andra viktiga mekanismer där definitionen och förkunnandet av normer om organisationer och yrkesbeteende utvecklas (Dimaggio och Powell, 1983). Sådana källor skapar en

(20)

20 samling av individer som är nästan helt substituerbara och har liknande egenskaper och uppfattningar vilka i hög grad åsidosätter variationer i tradition och kontroll som annars skulle kunna påverka en organisations beteende (Perrow, 1974).

Vidare så utgör filtreringsprocessen genom vilken man tar in personal till företaget ännu en orsak till normativ likformighet (Dimaggio och Powell, 1983). Många företag inom samma organisatoriska område rekryterar från samma industrier, från samma skolor och så vidare. Många karriärvägar är så pass svåra att ta sig in på, såväl från början av dem som under karriärens gång, att de individer som tar sig ända till toppen är svåra att skilja från varandra i fråga om bakgrund. Exempelvis så fann March och March (1977) att skolinspektörer i Wisconsin var så likformade i bakgrund och attityd att det var i stort sett omöjligt att försöka förutspå vem utav dem som skulle gå vidare i sitt karriäravancemang. Ett liknande fall upptäcktes vid en undersökning av styrelsemedlemmar som satt i företag vilka räknades som Fortune 500, då det även här inte gick att finna några olikheter mellan de individer som upptog styrelseplatserna (Hirsch och Whistler, 1982). Kanter (1977) refererar till fenomenet som ”homosexuell reproduktion av ledning”. Han menar att det sätt på vilket ledningsmedlemmar och chefer rekryteras från samma universitet och filtreras på basis av samma uppsättning av attityder gör att de ser problem på samma sätt, uppfattar samma policys, tillvägagångssätt och strukturer som normativt sanktionerade och legitima. Detta i sin tur medför att de tenderar att fatta liknande beslut.

På styrelseplatserna i de bolag som är noterade på Stockholmsbörsens Large Cap-lista sitter idag till stor del individer som upptar flera platser i olika bolag på denna lista. Vår förundersökning visar även att många styrelseledamöter sitter i varandras styrelser, och ibland så är medlemmarna ur en viss styrelse återkommande tillsammans i andra bolag. Detta kan jämföras med den av Perrow (1974) utförda studien som visade på att individer som hade liknande bakgrunder och omgivningar i stort sett var substituerbara med varandra.

3.7 Villkor för företagsrespons

Ovanstående teorier och hypoteser refererar till de fall då företagen svarar på det institutionella tryck som de upplever och varför de beslutat göra det på sitt sätt. Utöver att svara på det institutionella trycket genom att kopiera framgångsrika företag med vilka man identifierar sig eller anpassar sig efter de normer som pådyvlas från likar i företagsomgivningen så har företagen även alternativet att inte förändra sig alls. Enligt Oliver (1991) så finns det främst tre olika orsaker till att ett företag förändrar sig efter de tryck de utsätts för; 1) Kapacitet: Ett företag måste ha tillgång till de nödvändiga resurserna för att förändra och anpassa sig och utan dessa så är sannolikheten stor att

(21)

21 företaget kvarstår i den ursprungliga strukturen eller fortsätter använda sig av de gamla tillvägagångssätten. 2) Konflikt: Om företaget samtidigt påverkas av olika motstridiga tryck vilka alla verkar för att företaget skall anpassa sig efter just de villkor som de ställer så finns det en möjlighet att företaget inte förändrar sig alls eller misslyckas att uppnå anpassning efter någon av dessa i sina försök att tillfredsställa alla samtidigt. 3) Medvetenhet: Det finns alltid en risk att företaget som utsätts för externa påtryckningar inte själva inser detta och därmed inte gör några ansatser till att förändra eller anpassa sig.

(22)

22

4 Metod

4.1 Metodbeskrivning

I syfte att få en tillfredställande och allomfattande undersökning, valde vi att studera tryckt material som utgivits av företagen själva. Då vårt studieområde behandlar företags beteende i avseende på styrelsers handlingar, skulle en enkät- eller ett intervjuförfarande med stor sannolikhet leda till en otillfredsställande svarsfrekvens. En mindre förstudie vi vidtog bekräftade att styrelseledarmöter är upptagna, får enkätförfrågningar dagligen samt har en ovilja att diskutera sådant som kan betraktas som känsligt för företaget. En undersökning som studerar företags beteende avseende den formellt avgivna informationen bedömdes här som mest ändamålsenlig. Bolag som är börsnoterade i Sverige ska enligt Svensk Kod för Bolagsstyrning (sid 23 pkt 11) årligen avge en bolagsstyrningsrapport som skall innehålla information om hur bolagsstyrningen fungerar samt hur bolaget tillämpar Svensk kod för Bolagsstyrning. Bolagsstyrningsrapporten består av sju punkter, varav en hänvisar till Svensk Kod för Bolagsstyrning, pkt 10:5, vilken beskriver arbetet med den interna kontrollen med avseende finansiell rapportering. I Sverige har COSO-verktyget erkänts som vägledning för den syn på intern kontroll som stipuleras av Koden och en omarbetning av dess ramverk har gjorts på svenska som ett samarbete mellan Svenskt Näringsliv och FAR.

4.2 Operationalisering

COSO-ramverket berör, genom Koden, samtliga företag noterade på stockholmsbörsen. Det som gör detta ramverk till ett intressant studieobjekt i vårt fall är den grad av frivillighet och individualitet det lämnar öppet för. Ramverket ger hänvisningar och instruktioner som är av generell natur och resultatet verifieras inte av revisor. Det COSO-arbete som presenteras i 2008 års redovisning är ej heller på annat sätt detaljstyrt med lagstiftning. COSO kan därför genom sin ställning som ett vedertaget ramverk utgöra en legitim förlaga, vars användning i första hand syftar till att vinna legitimitet och förtroende hos intressenter i företagets omgivning. Vi har studerat om bolagsstyrningsrapporters beskrivning av intern kontroll ser ut på olika sätt, vi har jämfört företag i urvalet och provat på vilket sätt de har varit under påverkan av normativt institutionellt tryck. Att studera bolagsstyrningsrapporter är ett kvalitativt arbete som vi på ett enkelt sätt valde att kvantifiera för att sedan jämföra med variabeln antal styrelseuppdrag. Det gick till på så sätt att vi valde ut delar ur COSOs så kallade väsentliga områden, vilka valdes ut utifrån kriteriet att de betraktades som enkla att studera. Vi formulerade sex frågor som vi sökte efter i

(23)

23 bolagsstyrningsrapportens kapitel om intern kontroll, och varje företag poängsattes för respektive fråga och erhöll sedan en totalpoäng på mellan 0 -6 poäng (1 p per fråga). Värt att poängtera är att data som presenteras således inte är en uttömlig eller systematisk redogörelse av COSO ramverket.

Frågorna konstruerades utifrån FAR SRS och Svensk Näringslivs vägledning till Svensk Kod för Bolagsstyrning. I förstudien framkom att företagen generellt presenterade sin interna kontroll i utpräglat allmänna termer och i låg grad specificerade och preciserade vilka system, risker eller åtgärder man arbetade med. Med utgångspunkt av detta formulerade vi undersökningsfrågorna så att det var hur tillvida företagen konkretiserade sitt arbete inom ett specifikt område som gav en poäng, medan de som i allmänna termer refererade till FAR SRS & Svenskt Näringslivs vägledning erhöll noll poäng. En hög grad av konkretiseringar och preciseringar i bolagsstyrningsrapporten leder således till en hög COSO- poäng i studien. Det att företagen framhåller sina företagsspecifika arbetssätt och system betraktas som en hög grad av legitimitetssökande och beaktas i förhållande till det institutionella tryck som bolagen är utsatt för i form av andra relevanta styrelseuppdrag.

4.3 Antal styrelseuppdrag som oberoende variabel

För att studera företagens eventuella likriktning vad gäller deras arbete med intern kontroll och riskhantering avseende den finansiella rapporteringen utifrån ett teoretiskt perspektiv så har vi valt att använda oss av variabeln antal styrelseuppdrag i relevanta bolag och denna siffra representerar därmed det institutionella tryck som bolaget är utsatt för. Denna variabel är definierad som hur många relevanta styrelseuppdrag som de styrelseledamöter i de studerade bolagen är förtrodda med utöver uppdraget i det studerade bolaget. För att ett styrelseuppdrag ska betraktas som relevant så måste det vara på ett företag som även det berörs av Kodens direktiv. Enligt vår teori och vad som sägs däri om normativt tryck så influeras styrelseledamöter och därmed det bolag de sitter i utav vad deras likar har för uppfattning om vad som karaktäriserar en legitim spelare (Dimaggio och Powell, 1983). Genom detta normativa tryck så kommer styrelseledamöter i olika bolag att likna varandra mer och mer vid beslutssituationer och arbetssätt i sitt sökande efter legitimitet. Det aggregerade antalet styrelseuppdrag vi har inkluderat i vår beräkning innefattar endast styrelseuppdrag som vi har bedömt som relevanta för studien, vilket innebär att vi har sållat bort styrelseuppdrag där vi har bedömt sannolikheten för att dessa skall utgöra en källa för normativt tryck som låg eller obefintlig.

Med relevanta styrelseuppdrag avses sådana där bolaget varit noterad på någon utav de marknader där de berörs av Kodens regler och direktiv, mer specifikt de reglerade marknaderna OMXS Nordic Exchange Stockholm och NGM Equity. Valet att endast inkludera styrelseuppdrag för bolag på dessa marknader innebär att vi potentiellt sett riskerar att missa att ta med i beräkningen andra bolag där

(24)

24 man använder COSOs ramverk som arbetsverktyg för intern kontroll och riskhantering, eller som verktyg för att rapportera sitt arbete inom dessa områden. Dock så avser vi att undersöka hur svenska bolag som berörs av Koden och dess direktiv rapporterar sitt arbete inom intern kontroll och riskhantering avseende den finansiella rapporteringen och därmed anser vi vårt snävare urval vara motiverat. Denna motivering kan förklaras av att bolag som även de använder sig av COSOs ramverk inte nödvändigtvis rapporterar om detta i sin årsredovisning och därmed anser vi att de inte heller kan antas utgöra någon källa för normativt tryck för andra att rapportera om detta. Vidare så kan valet av antal relevanta styrelseuppdrag som oberoende variabel ytterligare förklaras av de svar som vi fick då vi gjorde en mindre förundersökning på de börsnoterade företag som berörs av Koden. I denna förundersökning valde vi ut sex olika variabler som representerade de två olika tryck som beskrivs i teorin och bad företagen svara på vilken betydelse som respektive variabel haft för deras arbete med de fem olika områdena i COSOs ramverk. Den variabel som företagen påstod hade haft genomgående störst betydelse var den kunskap som deras styrelseledamöter hade förvärvat genom uppdrag i andra bolag. Detta tillsammans med det faktum att vi kan få fram information om andra styrelseuppdrag genom bolagens årsredovisning stärker oss i beslutet att använda denna variabel och motiverar vår ansats i undersökningen generellt. Enkäten som användes vid förundersökningen återfinns i appendix.

4.4 Urvalet av studerade företags rapportering

Vårt val att studera rapporteringen från svenska bolag som är noterade på antingen OMX Nordic Exchange Stockholm eller NGM Equity faller sig naturlig då det är endast dessa som berörs av Kodens direktiv och regleringar. Därmed så är det endast dessa bolag som skall lämna en bolagsstyrningsrapport innehållandes en beskrivning av sitt arbete med riskhantering enligt Kodens punkt 10.5 (Kollegiet för svensk kod för bolagsstyrning, 2008). Vidare så har vi valt att undersöka de bolag som är klassificerade som finansbolag enligt sin GICS-kod (Global Industry Classification Standard). Detta gjordes genom att använda det filtreringsverktyg som finns på www.bolagsfakta.se och den grupp som uppkom därav validerades genom sökning på kategorier på respektive börs hemsida (www.ngmequity.com, www.nasdaqomxnordic.com) och även Affärsvärldens branschsorteringsverktyg via deras hemsida (www.affarsvarlden.se). Valet att undersöka endast en bransch kan motiveras av att vi genom denna ansats bedömde att chansen att hitta skillnader i rapporteringen som grundade sig på annat än rent operationell basis, att företagens rapportering grundar sig på den verksamhet de bedriver, ökade och därmed gavs ökar sannolikheten att vår valda variabel är den inverkande variabeln. Även en ansats där man studerar företag som verkar inom olika

(25)

25 branscher är enligt oss intressant och legitim att genomföra, men något vi lämnar för vidare forskning. Finansbranschens bolagsrapportering är i vår mening den mest intressanta att undersöka då dessa bolags verksamhet rimligtvis kan sägas vara abstrakt och därmed i behov av rapporter som bolagsstyrningsrapporter där bolagen kan söka legitimitet och genomlysa sin verksamhet för potentiella investerare, vilket är en del av syftet med Koden.

I vår studie av bolag klassificerade som finansbolag och berörda av Kodens direktiv och regleringar valde vi att snäva ner antalet bolag genom att inrikta oss på de bolag som har ett separat revisionsutskott enligt Kodens punkt 10.2, men kommer även redovisa vilka företag inom branschen som använder sig av separata revisionsutskott och vilka som inte gör det. De bolag som har valt att utse styrelseledamöter att ingå i ett separat revisionsutskott skiljer sig från de fall där bolagen har valt att utföra revisionsutskottets uppgifter med styrelsen i sin helhet som dess medlemmar. Beslutet att endast ta med bolag med separata revisionsutskott grundar sig på att bilden av antal styrelseuppdrag skulle vi bli missvisande om vi valt att studera även de bolag där styrelsen i sin helhet utgör revisionsutskottets medlemmar i och med att antalet styrelseuppdrag skulle bli avsevärt högre än hos de bolag där ett separat revisionsutskott utsetts med, i regel, tre ledamöter som dess medlemmar. Till detta hör även att de bolag där vi har funnit separata revisionsutskott har visat sig vara de som har den mest utförliga rapporteringen, vilket gör det mer intressant att studera i vilka delar de skiljer sig åt och samtidigt enklare att göra jämförelser. En förteckning av de studerade bolagen följer nedan i tabell 1, och 2 där hela listan av bolag presenteras av tabell 1 medan de slutgiltiga bolagen med revisionsutskott visas i tabell 2.

(26)

26 Tabell 1. Av Koden berörda finansbolag

Tabell 2. Förteckning av bolag med separata revisionsutskott

Företag Börslista

Ratos Large Cap

Latour Large Cap

Kinnevik Large Cap

Melker Schörling Large Cap

HQ Large Cap

Lundbergföretagen Large Cap

Hufvudstaden Large Cap

Investor Large Cap

Industrivärden Large Cap

Fabege Large Cap

Castellum Large Cap

Sv. Handelsbanken Large Cap

SEB Large Cap

Nordea Large Cap

Swedbank Large Cap

Atrium Ljungberg Mid Cap

HEBA Mid Cap

SäkI Mid Cap

Skanditek Mid Cap

Brinova Fastigheter Mid Cap

Fast Partner Mid Cap

Öresund Mid Cap

Nordnet Mid Cap

Företag Börslista

Bure Equity Mid Cap

Klövern Mid Cap

Wallenstam Mid Cap

Neonet Mid Cap

Avanza Bank Holding Mid Cap East Capital Explorer Mid Cap Wihlborgs Fastigheter Mid Cap Vostok Nafta Investment Mid Cap

Kungsleden Mid Cap

Dagon SEK Small Cap

Din Bostad Sverige Small Cap Havsfrun Investment Small Cap

Novestra Small Cap

Catena Small Cap

Svolder Small Cap

Sagax Small Cap

Affärsstrategerna Small Cap

Diös Fastigheter Small Cap

Fast. Balder Small Cap

Ledstiernan Small Cap

Traction Small Cap

Geveko Small Cap

LinkMed Small Cap

Företag Börslista

Kinnevik Large Cap

HQ Large Cap

Investor Large Cap

Fabege Large Cap

Svenska Handelsbanken Large Cap

SEB Large Cap

Nordea Bank Large Cap

Swedbank Large Cap

East Capital Explorer Mid Cap Vostok Nafta Investment Mid Cap

Kungsleden Mid Cap

Sagax Small Cap

Geveko Small Cap

LinkMed Small Cap

(27)

27

4.5 Användandet av separata revisionsutskott

Företag inom finansbranschen som berörs av Koden och använder sig av separata revisionsutskott enligt Kodens punkt 10.2 uppgår till 30,4%, emedan 69,6% låter hela styrelsen exklusive VD fullgöra revisionsutskottets åtaganden enligt Kodens direktiv. Det totala antalet företag inom finansbranschen uppgick till 46 stycken, vilka återfanns på OMX Nordic Exchange Stockholm tre börslistor. Majoriteten av de företag som använder sig av separata revisionsutskott ligger på Large Cap-listan där de flesta företag har påverkats av Kodens direktiv och regleringar under en längre tid än många bolag som ligger på Small- och Mid Cap-listorna. Dessutom så har företag på Large Cap i regel större resurser att faktiskt tillsätta ett separat revisionsutskott och oftare mer avancerade rapporteringsstrukturer som i sig kan motivera tillsättandet av separata revisionsutskott.

Uppdelningen av företag som använder separata revisionsutskott respektive de som låter styrelsen fullgöra revisionsutskottets åtaganden presenteras i figur 2.

Figur 2. Företagens benägenhet att använda separata revisionsutskott

4.6 Kritikdiskussion

En potentiell felkälla är hur vi formulerade frågor för att kvantifiera innehållet i bolagsstyrningsrapporterna till vad vi i uppsatsen kallar COSO poäng. I och med att vi på förhand inte hade kunskap om hur bolagsstyrningsrapporterna skiljde sig åt fick vi gå på de indikationer vi såg i förstudien.

Mätproblemet ligger i att vissa gränsfall var svåra att placera. Fördelen var att vissa företag gick lätt att placera och författarna kom genom bedömningar, oberoende av varandra, fram till samma svar, varför tendenser torde vara möjliga att påvisa. Ytterligare en faktor som potentiellt skulle kunna påverka våra resultat är storleken på företaget. I undersökningen ingår Large Cap-bolag såväl som Mid- och Small Cap-bolag. Dessa skiljer sig ansenligt åt i storlek och kan även genom att besitta olika kapacitet och resurser, ha skillnader i processerna bakom sitt arbete med COSO. Det behövde dock

(28)

28 inte nödvändigtvis vara så varför vi istället valde att i analysen beakta utifall sådana avvikelser förekommer. Vidare skulle man kunna anta att större bolag har större behov av standardiserade informations- och kommunikationsprocesser för att ledning och styrelse ska få tillräcklig överblick. Vi fick genom förstudien indikationer på att det även innan COSO delvis existerade motsvarande arbete med risk och intern kontroll, för vilka COSO till viss del kan ha varit ett presentationsformat mer än ett nytt arbetssätt. I och med att vi bara använt oss av företag som har tillsatt revisionsutskott finns en potentiell risk för att urvalet blir snedvridet och därmed även resultaten. Dock anser vi att effekterna av att inte göra den uppdelningen skulle kunna vara värre då någon skälig jämförbarhet mellan antalet relevanta styrelseuppdrag ej då skulle kunna uppnås.

Då antalet undersökta företag uppgår till endast 14 stycken så kan vidare slutsatser utifrån statistiska beräkningar inte göras.

(29)

29

5. Resultat från undersökningen

5.1 Antal styrelseuppdrag inom revisionsutskotten

Av de bolag som hade valt att tillsätta separata revisionsutskott och därmed blev föremål för vår vidare undersökning framgick att det totala antalet relevanta styrelseuppdrag utöver det i det undersökta bolaget uppgick till 46. Dessa fördelas på de tre börslistorna där 5 bolag från Small Cap, 5 från Mid Cap och 36 från Large Cap hade utsett separata revisionsutskott. Det totala antalet undersökta bolag med separat revisionsutskott uppgick till 14. Då det totala antalet relevanta styrelseuppdrag hos dessa 14 bolag var 46 så framgår att medeltalet för antalet relevanta styrelseuppdrag 3,3 styck per bolag. Antal bolag per börslista var 8 på Large Cap och 3 på Mid Cap respektive Small Cap. På respektive börslista blir medeltalen av relevanta styrelseuppdrag per bolag därmed; Large Cap 4,5 Mid Cap 1,7 och Small Cap 1,7. Antalet relevanta styrelseuppdrag sorterat per lista presenteras i figur 3.

Figur 3. Relevanta styrelseuppdrag per börslista

5.2 Resultat från bolagsstyrningsrapporten

Resultatet från Bolagsstyrningsrapporten härrör från de 14 företag med separata revisionsutskott där arbetet med intern kontroll analyserats. De analyskriterier som ligger till grund för COSO- poäng presenteras nedan. Varje analyskriterium representerar hur tillvida företagen i urvalet konkretiserat sitt arbete inom respektive område och hur företagsspecifikt de presenterar sitt arbete. Kriterierna är hämtade från samtliga fem komponenter inom COSO-ramverket. Till komponenten kontrollmiljö finns två analyskriterier och berört område framgår vid respektive fråga.

(30)

30

Figur 4. Kontrollmiljö 1

Detta analyskriterium behandlar rapporteringen av den kultur och de policys som styrelse och bolagsstyrning kommunicerar och verkar utifrån. I analysen av bolagsstyrningsrapporten ligger ett särskilt fokus på det som sägs om integritet och etiska värderingar.

Figur 5. Kontrollmiljö 2

Även denna fråga ligger inom komponenten kontrollmiljö. Här presenteras hur tillvida företagen i urvalet preciserat beslutsvägar, befogenheter och ansvar i bolagsstyrningsrapporten.

Figur 6. Riskbedömning

Inom riskbedömning valdes området som behandlar arbete mot otillbörligt gynnande, vilket betonades vara av särskild vikt enligt det vägledande ramverket.

(31)

31

Figur 7. Kontrollaktiviteter

Inom kontrollaktiviteter bedöms om företagen inom urvalet preciserat företagsspecifika kontrollaktiviteter i rapporteringen. Exempel på sådana skulle kunna vara affärssystem, komplicerade affärstransaktioner eller redovisningsprocessens överensstämmande med gällande regler.

Figur 8. Information och kommunikation

Inom information och kommunikation bedöms om företagen inom urvalet konkretiserat informationsvägar för finansiell information i avseende för återkoppling från verksamhet till bolagsledning och styrelse.

Figur 9. Uppföljning

(32)

32 Inom uppföljning bedöms om det rapporterats om särskilda granskningsfunktioner vilka har till syfte att identifiera och bedöma uppföljning av rapporterade brister.

5.3 Fördelning av COSO- poäng

Företagen erhöll som nämnt ovan 1 stycken poäng per fråga där bolagsstyrningsrapportens om intern kontroll överensstämde med våra analyskriterier. Det påträffades förekomster av företag med 0 poäng såväl som 6 poäng. Medel- och medianvärdet var 3 poäng. Bland de större företagen (Large Cap)fanns tendenser till något högre COSO poäng. Large Cap-bolagen hade i snitt ett medeltal på 3.75 poäng medan övriga (Small- och Mid Cap) hade ett poängsnitt på 2. Storbankerna, Nordea bank, Swedbank, SEB och Svenska Handelsbanken låg i toppen. I nästföljande del kommer poängen ställas i relation till antalet relevanta styrelseuppdrag.

5.4 COSO- poäng i förhållande till antal styrelseuppdrag

Figur 10. Företag sorterade efter COSO-poäng åtföljda av styrelseuppdrag

Företagen presenteras här utefter COSO- poäng ordnade i fallande ordning åtföljda av respektive antal styrelseuppdrag. Under studien av bolagsstyrningsrapporter med anknytning till styrelseuppdrag noterade författarna att många styrelseuppdrag verkställdes i andra företag som ingick i urvalet av företag. Någon sådan förteckning presenteras inte i detta arbete, men det styrker

(33)

33 ändå antagandet om normativt tryck såsom teorin beskriver naturen av styrelseledamöters arbete.

Det är bland annat liknande erfarenheter, bakgrund och arbetsupplevelser bland styrelseledarmöter som skapar en likriktning i hur arbetet organiseras. Enligt teorin för styrelseledarmöter vidare de erfarenheter de har från ett styrelseuppdrag till andra. Då företagen i urvalet är finansiella företag finns en potentiell möjlighet att en ytterligare homogenisering av styrelseledarmöter förekommer, under antagandet att styrelseledarmöter har en benägenhet att vara branschspecialiserade. De företag vilka erhållit höga COSO-poäng har, enligt analyskriterierna, visat sig vara starkt påverkade av COSO som en legitim förlaga för rapporteringsarbetet, vidare provas utifall detta har ett samband med antalet relevanta styrelseuppdrag.

Figur 11. Företag sorterade efter COSO-poäng åtföljda av styrelseuppdrag. Trendlinje avser styrelseuppdrag.

Linjediagrammet innehåller samma variabler som stapeldiagrammet i figur 11. Trendlinjen som infogats avser styrelseuppdrag. Grafiskt kan en svag tendens med avseende på trendlinjen för COSO- poäng och variabeln styrelseuppdrag utläsas och det ser ut som att det skulle föreligga en samvariation mellan dessa. Dock visar sig kurvan rörande styrelseuppdrag vara påtagligt utspridd och det finns företag med noll antal styrelseuppdrag bland de företag längre ned i COSO-serien, vilka till viss del kan förklara det synbara sambandet. Då vårt urval av företag uppgår till endast 14 och är

(34)

34 begränsat till att gälla endast en mindre del av de företag som berörs av Koden har vi valt att inte gå vidare med ytterligare statistiska beräkningar.

5.5 Förekomster i avseende på företagsstorlek

Figur 12. Styrelseuppdrag och COSO-poäng i förhållande till börslista (LC= Large Cap, MC=Mid Cap och SC=Small Cap)

I figur 12 presenteras förekomster av styrelseuppdrag och COSO poäng utifrån vilken börslista de tillhör. Här åskådliggörs skillnader med hänsyn till företagets storlek, vilket vi tolkar har haft betydelse i båda fallen angående utbredningen av förekomster. Även i förekomsten av de som explicit refererar till COSO- ramverket finns en stark tendens åt de bolag noterade på Large Cap.

Detta skulle kunna vara en effekt ett mimetiskt tryck på de mindre bolagen. I förstudien vilken utfördes på bolag som är noterade på Small Cap fick vi indikationer på att dessa följer och influeras av större bolag i sitt arbete med intern kontroll, detta skulle kunna vara en förklaring till att Small och Mid Cap-bolagen följer COSO trots att de inte specifikt anger att de gör det.

(35)

35

5.6 Uttryckliga hänvisningar till COSO

I vår studie av företagens årsredovisningar ingick att undersöka huruvida de väljer att uttryckligen referera till COSO och det ramverk som utformats för att arbeta med intern kontroll och riskhantering. Utav de 14 undersökta bolagen så är det 57,1% av (8 st.) företagen som refererar till COSO i sin rapportering och därmed 42,9% (6 st.) av företagen som väljer att inte göra detta. Då alla företag på något sätt nämnde något eller flera av de områden som även återfinns i COSO så avses här med referat till COSO endast att företaget uttryckligen nämner namnet COSO och att deras rapportering bygger på detta ramverk.

I de företag som valde att i sin rapportering referera till COSO så var medeltalet för antal relevanta styrelseuppdrag 3,25. Motsvarande siffra för de företag som valde att inte referera till COSOs ramverk var 3,33. Genom detta resultat kan man inte påvisa att styrelseledamöters normativa inflytande inte har några påvisbara samband med referenser till legitima förlagor såsom COSO- ramverket. För att detta antagande skulle ha kunnat påvisas så hade det alltså krävts att referenser till COSO hade något samband med att dessa företags styrelseledamöters inblandning i ett högre antal styrelseuppdrag än de styrelseledamöter som satt i företag med mindre genomsnittlig inblandning i andra styrelseuppdrag.

Om inte antalet relevanta styrelseuppdrag är en faktor som leder till ökat tryck för bolagen att söka legitimitet så kan man spekulera vidare i vad som skulle kunna vara det. I vår undersökning så ser vi en möjlighet att företagets storlek, eller mera specifikt vilken lista det är noterat på, skulle kunna spela in. Av Large Cap-bolagen så refererade 3/4 till COSO i sin rapportering. Motsvarande siffra för Mid Cap-bolagen var 1/3 och av de studerade Small Cap-bolagen så refererade ingen till COSO.

Denna faktor kan enligt oss sannolikt spela in då det i regel är Large Cap-bolagen som berörts av Kodens direktiv under den längsta tidsperioden och därmed haft längre tid på sig att utvärdera sin rapportering och ta beslut om hur arbetet med intern kontroll och riskhantering skall presenteras.

Om dessa då under detta arbete funnit nytta i att referera till COSO så är det faktumet att man är ett stort bolag och tidsperioden man haft att anpassa sin rapportering de faktorer som spelar in snarare än antalet relevanta styrelseuppdrag man kan influeras av.