• No results found

Koden versus SOX – En analys avseende intern kontroll i svenska börsbolag

N/A
N/A
Protected

Academic year: 2021

Share "Koden versus SOX – En analys avseende intern kontroll i svenska börsbolag"

Copied!
39
0
0

Loading.... (view fulltext now)

Full text

(1)

Hans Brandt S:t Larsgatan 6B 753 11 Uppsala Tfn: 070-380 06 08

E-post: habr0015@student.uu.se Erica Lindgren

Tegnérgatan 28B 752 27 Uppsala Tfn: 070-928 60 64

E-post: erli4442@student.uu.se

Koden versus SOX

– En analys avseende intern kontroll i svenska börsbolag

Handledare: Mats Karén Företagsekonomiska Institutionen

(2)

1.1 Bakgrund ... 1

1.2 Problemdiskussion ... 2

1.2.1 Problemprecisering... 2

1.3 Syfte ... 3

2. Teoretisk referensram

... 4

2.1 Corporate Governance - Bolagsstyrning ... 4

2.1.1 Svenskt och Amerikanskt företagsklimat... 4

2.1.2 Intern kontroll och COSO... 4

2.1.3 Agentteorin... 7

2.2 Svensk kod för bolagsstyrning ... 8

2.2.1 Generellt om Koden och dess tillkomst... 8

2.2.2 Intern kontroll och Koden... 9

2.3 Sarbanes-Oxley Act... 10

3. Metod

... 13

3.1 Angreppssätt... 13

3.2 Tillvägagångssätt... 13

3.3 Litteraturstudie ... 13

3.4 Intervjuer ... 14

3.4.1 Avgränsning och urval... 14

3.5 Metodkritik och giltighet... 15

3.5.1 Validitet... 15

3.5.2 Källkritik... 15

4. Empiri

... 17

4.1 COSO-modellen ... 17

4.2 Koden ... 17

4.2.1 Implementeringen av Koden... 17

4.2.2 Tolkning av Koden... 19

4.2.3 ”Följa eller förklara”... 19

4.2.4 Förväntningar på FARs rekommendationer... 20

4.2.5 Rekommendationen tillräcklig?... 21

4.3 SOX, sektion 404 ... 22

4.3.1 Implementeringen av SOX... 22

4.3.2 Positiva och negativa effekter... 23

4.4 Generellt om Koden och SOX ... 24

5. Analys

... 26

5.1 COSO-modellen ... 26

5.2 Förtroendefrågan ... 27

5.3 Koden versus SOX ... 28

5.3.1 Konsekvenser av implementeringen... 29

5.4 Framtiden ... 30

5.3 Slutsatser ... 30

5.4 Fortsatta studier ... 31

Källförteckning

... 33

Bilaga

(3)

1. Inledning

1.1 Bakgrund

Under de senaste åren har det inträffat ett flertal stora företagsskandaler runt om i världen. I USA gjorde bolag som Enron och Worldcom stora rubriker när det avslöjades att företagsledningen vilselett allmänheten, anställda och aktieägare. Företagen hade förvrängt omsättningssiffror, förluster hade förvandlats till vinster, dokument försvann och det förekom insiderhandel (Svernlöv & Blomberg, 2003). Här i Sverige kan nämnas bland andra Trustors försök till bolagsplundring och Skandia, där ledningen skapade tvivelaktiga bonussystem utan maxtak som resulterat i stora utgifter för företaget och dess ägare. (Veckans Affärer, 2005) Skandalerna som inträffat på senare år har skadat allmänhetens förtroende till företagsvärlden och debatten om bolagsstyrning har intensifierats under det senaste decenniet. Stark kritik har riktats mot brister i bolagsstyrningen och för att återfå marknadens och näringslivets förtroende samt för att förhindra att liknande skandaler inträffar igen så har länderna försökt reglera företagen och förbättra deras interna kontroll genom att införa olika former av etiska koder och lagstiftning. (SOU 2004:46, Bilaga 1)

I USA upprättades 2002 Sarbanes-Oxley Act även kallad SOX. En lag vars syfte var att återfå marknadens förtroende och säkerställa att bolagens finansiella rapporter stämmer överens med verkligheten. SOX ställer stora krav på att företagen i detalj dokumenterar och analyserar alla processer och system som påverkar posterna i resultat- och balansräkningarna. Från och med 2005 gäller lagen även för svenska företag som är registrerade på amerikansk börs eller har någon form av finansiellt instrument noterat i USA. (Affärsvärlden, 2006) Sverige har valt en mindre ”sträng” linje och införde i juli 2005 som ett av de sista länderna i Europa en kod för bolagsstyrning och därigenom även intern kontroll. Svensk kod för bolagsstyrning, även kallad Koden tillämpar principen följ eller förklara. Ett bolag som omfattas av Koden kan alltså avvika från enskilda regler men måste då förklara det i en särskild bolagstyrningsrapport som tillfogas årsredovisningen. Därefter får ”marknaden” avgöra om avvikelserna är godtagbara eller inte. Motivet för att denna modell valts är att den tillämpats i ett flertal andra länder med stor framgång och att ambitionsnivån då kunnat läggas högre jämfört med lagens krav.

(4)

1.2 Problemdiskussion

Alla bolag i Sverige som är registrerade hos Securities and Exchange Commission (SEC), den amerikanska motsvarigheten till svenska finansinspektionen, måste rätta sig efter SOX. Hos SEC registreras de företag som är noterade på amerikansk börs eller dotterbolag till sådana.

Det är 13 svenska företag som omfattas och därmed är skyldiga att redovisa enligt gällande SOX regelverk. (SEC, 2006) Både när det gäller Koden och SOX så är det delarna om intern kontroll som är den stora stöttestenen. Där skiljer sig de båda regelverken åt främst genom hur höga krav som ställs på företagen och revisorerna. SOX sektion 404 som berör intern kontroll är en lag med hårda straffsanktioner. Makthavarna i USA skapade SOX under stor press från samhället efter de skandaler som uppdagats och många anser att de tog i för mycket. Reglerna ses som alltför resurskrävande och orimliga att applicera. Bolagen tvingas dokumentera och se över sina processer in i minsta detalj. Den modell som valts i Sverige är ingen lag utan en samling anvisningar för hur bolagen bör agera. Dessa anvisningar kräver normer och ramverk för hur de ska tolkas och tillämpas i bolagen vilket överlåtits till FAR att utveckla. FAR, ursprungligen en förkortning av Föreningen Auktoriserade Revisorer men föreningen innefattar numera även godkända revisorer och andra högt kvalificerade specialister inom revisionsbyråbranschen. (FAR, 2005) I slutet av 2005 publicerade FAR en vägledning för hur den interna kontrollen ska gå till och rapporteras. Denna vägledning ansågs inte vara tillräckligt tydlig och är just nu under omarbetning för att bli klar någon gång under 2006.

Både SOX och Koden säger att styrelsen ska rapportera hur den interna kontrollen till den del den avser den finansiella rapporteringen är organiserad och hur väl den har fungerat under det senaste räkenskapsåret. (SOU 2004:130) Då både Koden och SOX är nytt för bolagen finns ingen tidigare praxis att rätta sig efter här i Sverige vilket gör det svårt att uttala sig om hur väl den interna kontrollen fungerat. Bolagen vet inte vad som krävs för att uppnå tillräckligt god intern kontroll, eller om dom kanske redan uppfyller kraven. Just nu råder det många oklarheter kring hur Koden ska tillämpas. Företagen och revisorerna behöver mer vägledning för att kunna göra några uttalanden. (Respondent I, intervju, 2006)

1.2.1 Problemprecisering

För att belysa detta problemområde vill vi utifrån revisorns sätt att se på det hela undersöka vilka positiva och negativa aspekter som de tycker att de respektive regelverken har. Vilken struktur anser de är lämplig för svenska börsbolag? Hur kommer införandet av Koden påverka

(5)

utvecklingen av svensk intern kontroll? Är det svårt att försöka skapa en egen svensk modell när det redan finns ett etablerat amerikanskt regelverk som de svenska bolagen registrerade hos SEC måste följa?

1.3 Syfte

Syftet med vår uppsats är först att ur revisorns perspektiv göra en jämförelse mellan svensk kod för bolagsstyrning och Sarbanes-Oxley Act avseende intern kontroll i svenska börsbolag.

Därefter görs en analys av vilken utveckling som kan förväntas avseende svensk intern kontroll och svensk kod för bolagsstyrning.

(6)

2. Teoretisk referensram

2.1 Corporate Governance - Bolagsstyrning

”Corporate Governance, eller bolagsstyrning med svensk term, handlar om att styra bolag på ett sådant sätt att de uppfyller ägarnas krav på avkastning på det investerade kapitalet och därigenom bidrar till samhällsekonomins effektivitet och tillväxt” (SOU 2004:130). Med ett spritt ägande i börsnoterade bolag ökar risken att bolagen inte leds med ägarnas intresse för ögonen. Det är inte alls säkert att en anställd företagsledning har samma mål som ägarna gällande exempelvis ersättningar, avkastningskrav och risktagande. Den svenska modellen för bolagsstyrning grundar sig självfallet på lagar som bokföringslagen, aktiebolagslagen och årsredovisningslagen men även till stor del på självreglering och praxis inom området. (SOU 2004:46)

2.1.1 Svenskt och Amerikanskt företagsklimat

Ur ett globalt perspektiv brukar en åtskillnad göras mellan hur ägarstrukturen beskrivs hos svenska och amerikanska bolag. Stora börsnoterade företag i USA kännetecknas av ett spritt ägande medan svenska bolag oftast karakteriseras av en eller flera större och mer kontrollerande ägare. En del svenska bolag har visserligen många ägare men det är ändå oftast någon eller några ägare som innehar så pass mycket aktier att de kan anses ha en betydande kontroll. (SOU 2004:47)

Generellt så är den amerikanska företagskulturen mer formaliserad och kontrollerad än vad den är i Sverige. De anställda övervakas och kontrolleras på ett helt annat sätt i USA medan den svenska mentaliteten kännetecknas av tillit och förtroende. Det spridda ägandet i amerikanska bolag gör även att aktieägarna har mindre insyn i bolagen vilket bidrar till större krav från ägarna på att kontrollera ledande befattningshavares förehavanden i bolaget. (Ibid.)

2.1.2 Intern kontroll och COSO

I USA bildades 1985 en kommitté vid namn The Committee of the Sponsoring Organizations of the Treadway Commission, vidare nämnd COSO. Kommittén är en frivillig privat organisation som består av olika representanter från företag, intern- och externrevisorer,

(7)

redovisningsekonomer, investeringsbolag och representanter från New York Stock Exchange.

De arbetar med att förbättra kvalitén på den finansiella rapporteringen genom att bland annat effektivisera den interna kontrollen och företagsstyrningen. (Ramos, 2004)

Intern kontroll har länge haft olika definitioner som existerat sida vid sida och vad intern kontroll är har länge varit en omdebatterad fråga. Begreppsförvirringen med flera olika definitioner av intern kontroll fick till följd att FAR, liksom många andra organisationer, kom att använda sig av den definition som COSO presenterade 1992 i sin modell för intern kontroll. Enligt den så kallade COSO-modellen definieras intern kontroll enligt följande (Damberg, 2000):

”Intern kontroll är en process genom vilken företagets styrelse, ledning och annan personal skaffar sig rimlig säkerhet för att företagets mål uppnås på följande områden:

- verksamhetens ändamålsenlighet och effektivitet - den ekonomiska rapporteringens tillförlitlighet - efterlevnad av tillämpliga lagar och förordningar”

Det är även denna definition som det hänvisas till i Sarbanes-Oxley Act. Definitionen säger att intern kontroll är en process genom vilken bolagets styrelse, ledning och annan personal skaffar sig rimlig säkerhet om att företagets mål kan nås inom följande kategorier;

ändamålsenlig och effektiv verksamhet, tillförlitlighet i den finansiella rapporteringen samt efterlevnad av lagar och förordningar. Intern kontroll behövs i alla företag för att motverka att fel uppstår i det dagliga arbetet. Blir det fel i redovisningen och i ekonomiska rapporter kan det leda till att felaktiga beslut tas och att olönsamma investeringar görs. Det är lättare att fånga upp både avsiktliga och oavsiktliga fel med en god intern kontroll. Dock måste den reducerade risken som den interna kontrollen är avsedd att ge alltid vägas mot de kostnader som den medför. (Damberg, 2000)

COSO beskriver i ramverket att intern kontroll består av fem interagerande komponenter som nedan visas i den så kallade COSO-pyramiden:

(8)

Figur 1: COSO-modellen (Haglund m.fl. 2006, s. 64)

• Kontrollmiljö – utgör grunden för de andra komponenterna och förmedlar disciplinen och strukturen för den interna kontrollen. Med kontrollmiljö avses den kultur och anda som finns inom bolaget och den består av komponenter såsom etik, ansvarsfördelning, ledningens filosofi och handlingar och organisationens uppbyggnad.

• Riskbedömning – för att nå bolagets operationella och finansiella mål är det viktigt att göra en fullständig riskbedömning om vad som kan utgöra ett hot mot bolagets målförverkligande. Ledningen bör implementera kontroller för att förhindra fel. Det är viktigt att på ett effektivt sätt kunna hantera de risker som uppkommer då omvärlden är i ständig förändring.

• Kontrollaktiviteter – syftar till att övervaka att ledningens direktiv och mål uppnås.

Kontrollåtgärderna kan vara både förebyggande och upptäckande och några exempel är de riktlinjer, processer och policys som säkerställer att ledningens beslut genomförs.

• Kommunikation och information – att kunna kommunicera och sprida relevant information är av stor vikt för att säkerställa att de processer som implementerats uppfyller sitt syfte. Information ska identifieras, registreras, bearbetas och kommuniceras i rätt form, vilket kräver ett väl fungerande informationssystem.

Övervakning och uppföljning – informationen i företagets verksamhet måste kontinuerligt utvärderas och följas upp. För att övervaka kontrollsystemen måste det kontinuerligt genomföras bedömningar av kontrollsystemens kvalitet. Det är både ledningens och anställdas arbetsuppgifter som bör övervakas. Övervakningen kan

(9)

både ske genom löpande kontroller som är inbyggda i företagets regelbundna aktiviteter eller genom separata utvärderingar i form av revision.

(FAR Förlag, 2005)

2.1.3 Agentteorin

Teorin inriktas på relationen mellan två individer; principalen och agenten och det är till följd av problematiken i denna relation som behovet av revision och intern kontroll uppstår. Ett antagande i agentteorin är att alla individer agerar i självintresse och problemet är då att agenten inte alltid gör det som är bäst för principalen utan också tänker på vad som är mest fördelaktigt för honom personligen. Principalen kan dock styra agenten genom incitament och övervakning. (Anthony & Govindarajan, 2003) I ett bolag är aktieägarna principaler och VD är agent. Styrelsen anställer VD åt aktieägarna och förväntar sig att denna ska agera i deras intresse. Ett annat problem enligt agentteorin är den informationsasymmetri som finns mellan ägare och ledning då ledningen har bättre insikt i bolaget och därmed också besitter bättre information. Figur två nedan illustrerar hur målkongruensen kan förbättras mellan ägare och ledning genom incitament och övervakning.

Figur 2: Egen figur, 2005-04-23

Med incitament, som är en av de två kontrollmekanismerna, menas i agentteoretiska termer kontrakt som medför att agentens belöning är beroende av vinstutvecklingen i företaget.

Kontrakten antas öka agentens prestationer och motivera agenten att arbeta i principalens intresse. Exempel på incitament är bonusprogram och optionsprogram (SOU 2004:47). Den andra kontrollmekanismen handlar om övervakning. Principalen kan inrätta kontrollsystem som övervakar agentens handlingar och således minskar de handlingar som leder till att agenten nyttomaximerar på bekostnad av principalen. Exempel på övervakningssystem är

Incitament/

Övervakning

Principal

Ägare

Agent

Ledning

(10)

finansiella rapporter som granskas av revisorer. Principalen kan även införa så kallad direktövervakning, där agentens prestationer och utförande kontrolleras (Anthony &

Govindarajan, 2003). Denna externa övervakning som utförs av revisorer är nödvändig då ägarna enbart kan förlita sig på årsredovisningar och finansiella rapporter vid värdering av företagsledningens prestationer. Agenten anses vara mer riskavert än principalen vilket innebär att denne inte är beredd att ta några risker som kan påverka belöningen negativt utan att belöningen ökar i större grad än risken. Detta kan härledas från att ägarna kan sprida sina risker på flera bolag till skillnad från ledningen som är helt beroende av ett enda företag. Det finns två typer av beteenden där agenten kan vilseleda principalen. Det ena kallas för Adverse selection och innebär att agenten ger en felaktig bild av verkligheten exempelvis genom att undanhålla fakta som i sin tur kan leda till felaktiga beslut. Det andra beteendet kallas för Moral hazard vilket syftar på att agenten inte presterar till fullo i enlighet med ägarna.

Exempel på det kan vara när ledningen fokuserar på sin egen vinning istället för att agera enligt verksamhetens mål och riktlinjer. (Ibid.)

2.2 Svensk kod för bolagsstyrning

2.2.1 Generellt om Koden och dess tillkomst

Svensk kod för bolagsstyrning är resultatet av ett samarbete mellan den statliga förtroendekommissionen och det privata näringslivet i den så kallade Kodgruppen.

Näringslivet representeras av ett samarbete mellan FAR, Stockholmsbörsen, Näringslivets börskommité och Svenskt Näringsliv. Denna särskilda kodgrupp tillsattes hösten 2003 och presenterade i april 2004 sitt förslag på hur koden ska se ut. I grunden bygger koden på den svenska aktiebolagslagen och den är anpassad till svenska traditioner för bolagsstyrning. Den skiljer sig därmed från det anglosaxiska synsätt med en spridd ägarbild som är utgångspunkt för bolagsstyrning i många andra länder (SOU 2004:130).

Koden bygger på principen följ eller förklara vilket innebär att ett företag som tillämpar koden inte måste följa varje regel till punkt och pricka. Om företaget anser att en viss regel inte passar företagets verksamhet eller av annan anledning vill avvika från denna regel är det tillåtet att göra det. Dock så måste företaget tydligt redovisa detta och även ge en tydlig motivering till varför de valt att inte följa regeln. Genom att tillämpa denna princip har

(11)

ambitionsnivån kunnat läggas högre än om reglerna skulle vara tvingande. Vid tvingande regler måste kraven läggas på en nivå som är rimlig att begära av varje företag vid varje tillfälle. Genom principen följ eller förklara kan kraven i stället läggas på en nivå som i allmänhet kan förväntas leda till god bolagsstyrning, samtidigt som det skapas en flexibilitet som tar hänsyn till att bolag kan vara väldigt olika. Företaget ska även i en årlig bolagsstyrningsrapport redogöra för hur de tillämpat koden, samt på sin hemsida fortlöpande redovisa nyckeldata om bolagsstyrningen. (Precht, 2006)

I juli 2005 började Stockholmsbörsen tillämpa koden enligt en överenskommelse mellan Stockholmsbörsen och Aktiemarknadsbolagens förening. Koden ska tillämpas av samtliga svenska bolag på börsens A-lista och av svenska bolag på O-listan som har ett marknadsvärde på över tre miljarder kronor (Bolagsstyrning, 2006).

2.2.2 Intern kontroll och Koden

Avsnitten i koden rörande intern kontroll och internrevision är medvetet kortfattade då det är ett område där kodgruppen ansåg att praxis behöver få tid att utvecklas (Öhrlings PWC, 2005). Det är i första hand avsnittet 3.7 men även avsnitt 5.2 i Koden som berör den interna kontrollen och revision vilka är bifogade i sin helhet nedan. För att belysa de tolkningsproblem med Koden i sin ursprungsform som uppsatsen kommer att beröra i ett senare skede bör läsaren vara extra uppmärksam på de understrukna begrepp som avsnitten om intern kontroll uttrycker.

”3.7 Intern kontroll och internrevision

Styrelsen ansvarar för bolagets interna kontroll, vars övergripande syfte är att skydda ägarnas investering och bolagets tillgångar.

3.7.1 Styrelsen skall se till att bolaget har god intern kontroll och fortlöpande hålla sig informerad om och utvärdera hur bolagets system för intern kontroll fungerar.

(12)

3.7.2 Styrelsen skall årligen avge en rapport över hur den interna kontrollen till den del den avser den finansiella rapporteringen är organiserad och hur väl den har fungerat under det senaste räkenskapsåret. Rapporten skall granskas av bolagets revisor.

3.7.3 I bolag som inte har en särskild granskningsfunktion (internrevision) skall styrelsen årligen utvärdera behovet av en sådan funktion och i sin rapport över den interna kontrollen motivera sitt ställningstagande.

5.2 Rapport om intern kontroll

5.2.1 Till bolagets årsredovisning skall fogas styrelsens den interna kontrollen samt revisorns granskningsberättelse över denna rapport enligt 3.7.2 ”

(SOU 2004:130)

Arbetsgrupper från Svenskt Näringsliv respektive FAR tilldelades att skriva en vägledning hur koden skulle tolkas i praktiken utifrån svenska förhållanden. Denna vägledning gavs ut i oktober 2005 men är nu under remiss för att ytterligare utvecklas och anpassas till svenska företag. (Precht, 2006)

På några års sikt, då erfarenheter av hur väl koden fungerat och eventuella modifieringar gjorts för att underlätta för mindre bolag att tillämpa koden, är avsikten att den ska gälla för börsens samtliga bolag. Bolag som inte omfattas av koden kan redan nu bestämma sig för att helt eller delvis tillämpa koden, vilket kan antas öka förtroendet för dessa företag på marknaden. (Bolagsstyrning, 2006)

2.3 Sarbanes-Oxley Act

Sarbanes-Oxley Act är en amerikansk lagstiftning som tillkom 30 juli 2002 efter de stora företagsskandalerna och är uppkallad efter sina skapare senator Paul Sarbane och kongressmannen Michael Oxley. Reglerna ska förhindra bedrägerier men även oavsiktliga fel

(13)

i redovisningen och förvaltningen av företagens tillgångar. SOX sektion 404 är det kapitel som behandlar intern kontroll och ska främst tillgodose att bolaget avlämnar en tillförlitlig årsredovisning. Reglerna i sektion 404 täcker in alla processer och system som har inflytande på posterna i resultat- och balansräkningarna i bolagets årsredovisning. (Ramos, 2004) Den revisionsbyrå som avger revisionsberättelse för ett noterat bolag ska som en del av revisionsuppdraget även granska och rapportera om den genomgång och det intygande ledningen har gjort beträffande den interna styrningen i bolaget (LRD Revision &

Rådgivning, 2006).

Straffpåföljden om lagen inte efterlevs är minst sagt kännbar. Enligt den amerikanska lagstiftningen har företagets VD och finanschef ett personligt ansvar och de riskerar böter på upp till 5 miljoner dollar eller hela 20 års fängelse om inte SOX efterlevs. Detta gäller inte bara i det enskilda bolaget utan i hela koncernen globalt (Soliditet, 2006).

Även SOX är liksom Koden kortfattad i sin definition om hur intern kontroll ska tillämpas i bolagen. För att tillämpa lagen har ett tillsynsorgan för revisionsfrågor, (PCAOB, 2006) inrättats som i efterhand utarbetat en standard för hur SOX 404 ska tolkas och efterföljas.

Enligt denna standard är ledningen skyldig att:

1. Ta ansvaret för bolagets interna kontroll avseende den finansiella rapporteringen.

2. Utvärdera effektiviteten på bolagets interna kontroll angående den finansiella rapporteringen med hjälp av passande kontroller och kriterier.

3. Stödja sin utvärdering med bevis och dokumentation.

4. Presentera en skriftlig bedömning av effektiviteten på bolagets interna kontroll avseende den finansiella rapporteringen i samband med det senaste bokföringsåret.

(Ramos, 2004)

Det framgår även att ledningen skall använda ett passande och erkänt ramverk för uppbyggnaden och bedömningen av internkontrollen. Bolagen förväntas följa COSO eller något annat liknande, känt ramverk. (PCAOB, 2006)

Standarden är i övrigt väldigt omfattande och detaljerad när det gäller den praktiska implementeringen av SOX 404 och den ställer höga krav på företagens interna kontroll vilket medför stora kostnader för bolagen. (Deloitte, 2005) Det anses ligga ett alltför stort fokus på att kontrollera verksamheten istället för att bedriva den. Enligt en artikel i Svenska Dagbladet

(14)

har kostnaden uppskattats till över en miljard kronor för svenska bolag. (Svenska Dagbladet, 2005)

Förespråkarna för SOX menar att de nya reglerna i första hand innebär att investerarnas förtroende för marknaden återställs och förstärks vilket i sin tur påverkar marknaden i positiv riktning. Detta bör öka ”villigheten” att våga investera i företaget och därmed dras kapitalkostnaden ner. Bolagen tvingas dokumentera och se över sina processer vilket kan leda till en förbättring av den interna styrningen och kontrollen som i sin tur ökar effektiviteten.

Genom en bättre rapportering kan dessutom svagheter upptäckas i tid, innan de lett till större fel och kapitalförluster. En annan positiv effekt är att tydlighet i roller och ansvar klargörs på ett bättre sätt (Precht, 2005).

Från och med 2005 gäller lagen alla utländska företag som är registrerade hos Securities and Exchange Commission (SEC). Några av de 13 svenska bolag som berörs är ABB, SKF, Ericsson, Volvo och Stora Enso.

(15)

3. Metod

3.1 Angreppssätt

Vi vill med denna studie studera implementeringen av SOX 404 och Koden utifrån revisorns synpunkt. Detta genom att utreda vad som uppfattas som bra respektive dåligt för svenska börsbolag. Vidare kommer det göras en analys avseende vilka attribut som kan tänkas influera svensk utveckling av intern kontroll.

3.2 Tillvägagångssätt

Det finns i huvudsak två skilda metodiska angreppssätt: kvantitativa eller kvalitativa studier (Bryman & Bell, 2003). Kvantitativa undersökningar baseras på mätningar som kan användas för att beskriva eller förklara och grundar sina slutsatser på data som kan kvantifieras.

Kvalitativa studier däremot baserar sina slutsatser mer på ord än siffror som till exempel attityder, värderingar eller föreställningar. Vidare så kännetecknas kvalitativa undersökningar av att undersökaren försöker förstå hur människor upplever något (Lundahl & Skärvad, 1999).

Vilket lämpar sig bra för vår studie då vi ämnar undersöka vilka problem och möjligheter som revisorerna upplever med de båda regelverkan. De intervjuer som genomfördes gav en djupare förståelse och kunskap om intern kontroll i svenska börsbolag enligt Sarbanes-Oxley Act, sektion 404 och svensk kod för bolagsstyrning.

3.3 Litteraturstudie

För att få en grundförståelse för problemområdet, samt för att fördjupa vår kunskap inom ämnet inleddes uppsatsarbetet av en litteraturstudie. Som bas för informationssökandet har Ekonomikums litteratur- och tidskriftsbibliotek använts. Författarna läste flera debattartiklar om hur situationen ser ut idag och hur utvecklingen ser ut för att öka förståelsen. De databaser som använts i störst utsträckning är Business Source Premier (EBSCO), FAR komplett och Affärsdata. De artiklar som gav mest inspiration var artiklar från Balans och Dagens Industri.

Vi har även fördjupat vår kunskap genom att studera tidigare forskning inom ämnet, såsom andra kandidat- och magisteruppsatser. De sökbegrepp som främst använts är: Sarbanes- Oxley Act, koden, sox, svensk kod, intern kontroll.

(16)

3.4 Intervjuer

Undersökningsmaterialet grundar sig på fyra intervjuer om ca 60 min vardera. Före intervjuerna utformades en intervjuguide (se bilaga) där vår utgångspunkt var att frågorna skulle inbringa den information vi behövde för att kunna besvara våra frågeställningar (Bryman & Bell, 2003). Vi valde att genomföra semistandardiserade intervjuer, vilket innebär att såväl frågeformuleringen som ordningsföljden var bestämd på förhand men ett visst utrymme lämnades dock för att låta intervjupersonerna berätta mer, och för oss att ställa följdfrågor utifrån de svar vi fick. (Lundblad & Skärvad, 1999) För att respondenterna skulle vara förberedda och på förhand få grepp om vilka områden som skulle beröras skickades intervjuguiden ut i förväg. En önskan från vår sida var att genomföra intervjuerna via personliga möten på deras respektive arbetsplatser, detta för att dem skulle känna sig trygga i situationen och för att få en så avslappnad dialog och så korrekt helhetsbild som möjligt. Ett undantag gjordes dock för en respondent där vi gjorde en telefonintervju på grund av plötslig tidsbrist från dennes sida. Intervjuerna spelades in så att fokus kunde läggas på dialogen istället för dokumentationen.

3.4.1 Avgränsning och urval

Intervjuerna gjordes med fyra personer från Sveriges största revisionsbyråer; Deloitte, Öhrlings PWC, KPMG och Ernst & Young. Alla respondenter jobbar på respektive byrås huvudkontor i Stockholm. Urvalet av revisionsbyråer är baserat på att det bara är dessa fyra som är registrerade att få revidera bolag som omfattas av SOX (FAR INFO, 2004).

Anledningen till att vi valde just revisorer är deras gedigna kunskap och insikt i många olika företag och branscher.

Urvalet av respondenter gjordes med hjälp av både revisionsbyråerna och det material vi gått igenom i våra inledande studier. Till exempel genom de artiklar och utredningar vi läste fick vi namn på vilka som har varit med och jobbat med de här frågorna och på vilka revisionsbyråer de jobbar. När vi sedan vände oss till revisionsbyråerna fick vi hjälp och förslag på vilka vi kunde kontakta och som har god kunskap och erfarenhet om SOX respektive svensk kod för bolagsstyrning. Alla fyra som intervjuades har minst 5 års

(17)

erfarenhet av branschen och anses ha expertkunskap inom området då de alla arbetar på avdelningar som ansvarar för intern kontroll och därmed SOX och Koden.

Motiveringen till att antalet intervjupersoner blev fyra stycken är att när vi hade genomfört fyra intervjuer ansåg att fler intervjuer med revisorer inte skulle ge någon ytterligare ny och relevant information då samtliga gett en samlad bild av det undersökta området.

3.5 Metodkritik och giltighet

Mätfel är ett vanligt problem som kan ha inverkan på tillförlitligheten av resultatet. Det är viktigt att vara medveten om vilka det är som intervjuats eftersom respondenternas svar utgår från deras personliga synvinkel och att det inte är någon allmängiltig ”sanning”. Hur svaren tolkas och framställs av intervjuaren kan också påverka resultatet.

3.5.1 Validitet

Något som kan påverka studiens validitet är själva intervjun, där den huvudsakliga risken ligger i att respondenten påverkas av intervjuaren genom att exempelvis ledande frågor ställs.

Vid genomförandet av intervjuerna hade vi detta i åtanke och försökte så lite som möjligt styra respondenterna. Att frågorna skickades ut i förväg kan ha också få en negativ påverkan i den meningen att de svar man får inte är spontana. Då frågorna utgår från uppsatsen syfte gör det att den information som erhålls är kopplad till det som ska undersökas vilket därmed höjer validiteten. Att respondenterna i dessa intervjuer alla har lång erfarenhet av redovisning och revision och stor kunskap inom området talar för att tillförlitligheten och trovärdigheten i materialet är högt.

3.5.2 Källkritik

Vid inhämtande av information, vare sig källan är artiklar, böcker eller intervjuer är det viktigt att ha i åtanke att det knappast existerar någon objektiv form av information. När det gäller granskningen av använda källor bör de källkritiska kriterierna samtidskrav, äkthet, tendenskritik och beroendekritik beaktas (Eriksson & Wiederheim-Paul, 2001). Kriteriet samtidskrav borde vara det lättaste kravet att uppfylla då ämnet är aktuellt och den

(18)

svår att avgöra därför har vi använt flera källor vid datainsamlingen som sedan jämförts.

Tendenskritik används för att utreda om upphovskällan till informationen har något egenintresse i den aktuella frågan. Då revisionsbyråerna kan ha ett egenintresse i kravet på ökad reglering på grund av att det ökar arbetsuppdragen och därmed intäkterna för dessa byråer bör det tas i beaktning. Oavsett vem som intervjuas så finns det ofta en personlig åsikt med i bilden. Hade vi intervjuat representanter både från företag och från revisionsbyråer så hade problemet kanske minimerats men då skulle undersökningens proportioner ha vuxit sig alldeles för stora med tanke på den tidsram vi har på tio veckor. Med beroendekritik avses kontroll av källornas oberoende gentemot varandra. När ämnet är så pass nytt och implementeringen av de båda regelverken är i ett inledande skede bör extra vaksamhet tas.

Det är troligt att revisionsbyråerna tar del av samma informationsmaterial och går på samma seminarium och utbildningar vilket försämrar deras oberoende.

(19)

4. Empiri

Hela empiriavsnittet grundar sig på vad respondenterna sagt vid de fyra intervjuer som gjorts och inga egna tolkningar eller åsikter tas upp i detta avsnitt. Samtliga respondenter har svarat likartat på frågorna och vi har därför valt att presentera deras gemensamma uttalanden som generella åsikter med undantag för särskilda referat vi anser viktiga att framföra.

4.1 COSO-modellen

Samtliga revisorer ser det som naturligt att tillämpa COSO-ramverket. Både SOX och koden förespråkar att företagen ska ha en god intern kontroll som ska utvärderas kontinuerligt och det har då blivit praxis att företagen använder COSO. Det anses vara ett väl etablerat ramverk som rekommenderas att använda för att ha någon form av benchmark i sin interna kontroll.

Därifrån utgår de flesta bolagen men sedan är det varierande hur de gör rent praktiskt. En del bolag kartlägger många processer och tittar på alla olika tänkbara risker och kontroller, då blir den delen automatiskt mer resurskrävande och påfrestande. Riskbedömningen som är en av de fem övergripande beståndsdelarna i COSO-modellen anses vara en viktig del att göra ordentligt och korrekt men även andra delar av mer övergripande karaktär bör inte försummas då de kan underlätta arbetet totalt sett.

”Om man gör det rätt med de övergripande delarna så kan man sedan fokusera och vara effektivare och fokusera mer på de områden som verkligen är riskabla.” (Respondent I)

4.2 Koden

4.2.1 Implementeringen av Koden

Hur långt bolagen har kommit i sin anpassning till Koden uppfattas som varierande och det anses vara lite för tidigt för att göra något uttalande om hur bolagen tycker att anpassningen fungerat. Generellt sett har det inte har varit några större problem med själva Koden förutom de tre paragraferna som handlar om intern kontroll. Det är dessa som tar mest tid och kräver mest resurser att genomföra om man jämför med andra delar av Koden. Bolagen är osäkra, de vet inte i alla lägen hur de ska utvärdera den interna kontrollen enligt de premisser som anges

(20)

titta på, hur omfattande det ska vara eller hur den praktiska hanteringen ska gå till. Många bolag lägger stor tilltro till de revisorer som har anlitats och förlitar sig på den hjälpen då det inte finns någon tidigare praxis eller klara riktlinjer för svensk bolagskod.

Det finns enligt respondent I tre olika kategorier av företag. Dels de som började i god tid och har kommit igång med arbetet, sen finns det dom som medvetet väntar och ser hur andra gör för att själva undvika att göra misstag. Den tredje kategorin har inte riktigt förstått vad som ska göras och har därför inte påbörjat implementeringen.

Den debatt som pågår kring Koden anses vara en helt naturlig debatt då det är så många otydligheter kring de nya reglerna och hur de ska tolkas. Olika bolags verksamhet och storlek skiljer sig åt vilket gör att alla regler inte är lämpliga att följa. Tanken med Koden är att bolagen själva ska kunna ta ställning och förklara varför bolaget inte bör anpassa sig efter regeln. Det finns mycket positivt med Koden och debatten om intern kontroll anses vara positiv eftersom den visar att frågorna kring intern kontroll har kommit upp till rätt nivå.

Samtidigt är uppfattningen att det finns flera negativa aspekter såsom all form av ytterligare krav vad det gäller formaliteter som kostar pengar och ibland kanske skapar fokus på fel frågor.

Det är ofta bolag som initialt påstår att Koden är något revisorerna har kommit på för att kunna sälja fler tjänster och på så sätt tjäna mer pengar vilket revisionsbyråerna får dementera då det inte är de som skapat Koden. Svårigheten för revisorerna har vart att få bolagen att själva ta ställning och göra en ordentlig analys för att se över vilka poster som kan vara riskfyllda, ett jobb som revisorn tidigare gjorde. Det är oundvikligt att bolagen måste göra någon form av test för att kunna uttala sig om den interna kontrollen.

”Ska man uttala sig om hur väl något fungerar då kan man inte bara allmänt säga att det fungerar man måste ha belägg för sitt uttalande” (Respondent II)

För att revisorerna i sin tur ska kunna uttala sig om ledningen och styrelsens uttalande måste bolagen kunna visa att det finns fog för deras uttalande och därigenom måste den interna kontrollen på något sätt testas.

(21)

4.2.2 Tolkning av Koden

Koden är ganska kortfattad och den är inte speciellt uttömmande i avsnittet om interkontroll.

Revisorer vill alltid ha tydlighet och klarhet, så uppfattningen är att det är tolkningsfrågorna som är den svåraste biten.

Att styrelsen skall skriva en rapport avseende företagets interna kontroll gör att det blir en diskussion kring frågorna, det kommer upp på agendan och debatteras på ett mer strukturerat sätt. Att bolagen dessutom tvingas rapportera på ett papper och skriva under som sedan lämnas till aktieägarna gör att det troligen blir ännu större tyngd i frågan. En ytterligare konsekvens är att det krävs stora arbetsinsatser för att få en tillräckligt god grund för att kunna skriva på styrelserapporten. Vilken i sin tur leder till att det blir större fokus på områden som är mer riskfyllda än andra och då stärks kontrollen på de områden där det verkligen behövs.

God intern kontroll som det benämns i koden anses inte helt lätt att tolka. Det finns inte någon skala eller några objektiva kriterier utan även här går man tillbaka till grunddefinitionen som bland annat COSO har, att det ska ge en rimlig säkerhet kring tillförlitligheten. Det talas inte om hundraprocentig tillförlitlighet utan om ”tillräckligt god” tillförlitlighet och hur det ska tolkas råder det inte alltid samma uppfattning om hos revisorer och bolag. Som i så många andra sammanhang är kunskapsgapet för tillfället ganska stort. Revisorerna har jobbat med kontroller i många år och är duktiga på internkontroller och vad som är bra och dåligt. Det finns helt klart ett utbildningsbehov hos bolagen för att komma upp på samma nivå som revisorerna för att lättare kunna hålla en diskussion.

”Men om man ska säga någonting generellt, som kanske både gäller Koden och SOX, innebär god intern kontroll att man har en så pass god kontroll att man inte tar mer risker än man vill ta, olika företag har olika riskaptit. Helt enkelt, att ha en bra koll på hur mycket risk man vill ta och hur mycket man vill kontrollera den” (Respondent I)

4.2.3 ”Följa eller förklara”

Den gemensamma uppfattningen bland revisorerna är att ”följa eller förklara” principen är bra och anses vara ett sunt sätt att applicera Koden på. Tanken med Koden är att marknaden ska

(22)

bedöma eller straffa och då anses det rimligt att bolagen har en möjlighet att förklara sig om varför de ej följt reglerna. Koden kanske inte är applicerbar för precis alla olika sorts bolag.

”Det viktiga är att bolagen upplyser om saker och ting, tar fram och lämnar fakta och förklarar” (Respondent II).

Generellt så uppfattas ambitionsnivån bland styrelser vara ganska hög för ingen vill vara

”sämst i klassen” så tron på att Koden kommer att följas är stor. På några års sikt kommer det dessutom vara svårt att inte ”följa” därför att det finns så många olika internationella lagstiftningar och olika börser som kommer att påverka de svenska bolagen.

”EU har sina direktiv som är på väg in inom ett par år, så det kommer att vara väldigt svårt att vara noterad på börsen och ha ett större marknadsvärde om man väljer att inte följa Koden. Koden prövas nu och så får tiden utvisa om bolagen tar detta på allvar, gör de inte det så säger många stalltips att det blir en lagstiftning av det om två, tre år eller så.”

(Respondent I)

Enligt respondent IV visar en studie, som nyligen utförts av den revisionsbyrå han jobbar på, att av de 77 årsredovisningar som hittills kommit in så är det åtta som inte har en rapport om intern kontroll varav fyra förklarar varför de inte har det, till exempel med att de har påbörjat arbetet men inte är mogna att lämna en rapport ännu. De andra fyra däremot har inte gjort någonting så dessa har inte följt Koden överhuvudtaget medan de som förklarat bort sig har följt Koden under förutsättning att deras förklaring är rimlig. Enligt respondenten är det färre avvikelser med förklaring från Koden än vad som förväntats.

4.2.4 Förväntningar på FARs rekommendationer

”Bolagen har hittills bara beskrivit den interna kontrollen, de har inte gjort något uttalande om hur väl den fungerat utan alla väntar på FARs rekommendation som kommer ut senare i år (2006).” (Respondent II)

Allting styrs av vad som definieras som risk för fel i finansiella rapporteringar och utifrån det definierar bolagen kontrollstrukturen och så går de vidare neråt. Definieras bara en risk så är

(23)

det relativt enkelt men definieras flera saker som risk medför det större omfattning på kontrollstrukturen. Där förväntas FARs rekommendation kunna ge en viss vägledning åt även bolagen. En annan fråga rekommendationen förväntas sprida ljus över är vad revisionsstandarden kommer att ställa för krav på bolagens dokumentation för att revisorn ska kunna göra en revision. Det finns en risk att det blir lite omvänt, bolagen kommer titta på revisionsstandarden för att få veta vad som krävs av revisorerna vilket då också blir de krav som bolagen behöver upprätthålla.

”Om FAR säger att så här mycket ska omfattas, så här ska det dokumenteras och vi vill ha 10 års spårbarhet på allting ni har gjort, ja då blir frågan helt enkelt mycket enklare.”

(Respondent IV)

Det anses vara bra att det kommer en ny rekommendation för då blir det klarare för bolagen, de kan se vad det är som granskas. Därefter kan de fråga sin revisor om vad det innebär och var revisorerna kommer att lägga ribban. Det blir en mer fokuserad diskussion kring vad bolagen behöver göra, sen är det upp till bolagen själva att bestämma vad dom tycker är lämpligt, vilket nog kommer att främja en mer konkretiserad och bättre diskussion.

4.2.5 Rekommendationen tillräcklig?

Förhoppningarna är att FARs nya rekommendationer kommer leda till att det blir lättare att följa Koden i praktiken men det förväntas ändå bli lite olika tolkningar och diskussioner som det blir med allting nytt. Så länge det inte är något som är detaljstyrt så kommer olika tolkningar att uppstå och det kan ta ett tag innan det sätter sig vad som är god sed för interkontroll. Rekommendationen kommer förtydliga vad revisorerna kan förvänta sig ska finnas på plats i bolagen vilket kan skapa ett visst stöd. Uppfattningen är ändå generellt att det fortfarande kommer att finnas flera frågetecken, mycket tolkningsutrymme och många oklarheter kvar.

Den nya rekommendationen förväntas inte heller vara så detaljerad, det kommer inte stå hur testningen ska gå till i detalj, hur mycket som ska testas eller hur revisorn ska gå in och kontrollera. Den förväntas heller inte att vara som SOX när det gäller detaljregleringen.

Rekommendationen kommer inte bara kunna läsas rakt av utan företagen måste dels ta

(24)

ställning själva men även läsa på en del andra saker om intern kontroll. Det är ett svårt gränsland mellan självreglering och mer tvingande lagstiftningsfrågor, då det kan vara svårt att komma in med krav på hur det ska se ut även från revisorernas sida. Desto mer tvingande och mer tydlig rekommendationen är desto mer går den mot lagstiftningshållet. Det är nog lätt att hamna i en sån situation där det blir stora testvolymer och mycket jobb från revisorerna.

”I svenskt management klimat och lagstiftningsklimat så tycker jag att självreglering är bästa vägen just nu även om det skulle innebära att allt ifrågasätts totalt, då får det göra det i så fall, det är bättre det än att vi försöker tvinga på någonting.” (Respondent IV)

Koden anses av samtliga intervjuade revisorer vara bättre än SOX så länge det finns tillräckliga riktlinjer för hur mycket revisorn själv måste göra för att förvissa sig om att bolaget har gjort det de ska.

4.3 SOX, sektion 404

4.3.1 Implementeringen av SOX

Bland dem som är ansvariga partners har det blivit så att revisorerna har tvingats att bli försiktigare. Det är så stora pengar på spel och det är stora skadestånd och det har gjort att alla revisorer måste vara extra vaksamma. Revisorerna bör ha haft en bra relation med sin klient innan implementeringen då det har uppstått friktion mellan revisionsbyråerna och företagsledningarna. Det handlar om att klara sig igenom det första året, för år två är tron att det kommer att gå lättare.

”Ribban för att kontrollera och dokumentera processer sattes lite för långt ner än för vad som är väsentligt, och i varje process har man plockat fram för mycket som är nyckelkontroller.

Man börjar tänka på risker utifrån allt möjligt som kan hända men är det verkligen sådant som måste vara med?” (Respondent III)

Det som är viktigt från bolagens sida är att man gör en bra riskbedömning och fokuserar sig på de områden där det finns risker och där det finns risker ska det dokumenteras upp bra och testas.

(25)

De höga straff som tillämpas av SOX har gjort att revisionsbyråerna har blivit ännu petigare med vad de släpper igenom och inte tillåter. Framförallt i de jättestora bolagen, där är det stora volymer med nyckelkontroller som ska testas.

”SOX kan bli så att man springer in i skogen för att inventera träd vilket gör att det blir fokus på fel saker istället för att fokusera på de områden som är viktiga” (Respondent III)

Samtliga respondenter är överens om att SOX inte passar in i det svenska klimatet som har självreglering som ledstjärna.

4.3.2 Positiva och negativa effekter

En positiv effekt med SOX är att det blir en bättre transparens och en bättre process som helhet för den finansiella rapporteringen. Den information som kommer till marknaden blir bättre, har bättre kvalité och i många fall blir dessutom arbetet med att ta fram informationen efter hand smidigare.

Generellt har man börjat prata om intern kontroll på ett helt annat sätt än man gjorde tidigare och i de här projekten skapas en bra medvetenhet och det är en av de allra viktigaste konsekvenserna.

Det har pratats om en kvalitetsstämpel genom SOX som ska ge en bättre kreditvärdighet på lån exempelvis men inte alls i den omfattningen som det nämnts. Det har gjorts lite jämförelser på hur aktiekursen rört sig och det finns inga jättetydliga samband där.

Aktieägarna ifrågasätter alla pengar som SOX har kostat och tycker att det har gått lite för långt.

Den största nackdelen är just att det har kostat mycket pengar. I USA sägs implementeringen ha kostat de amerikanska bolagen 7 miljarder dollar. Idag ägnar de amerikanska revisorerna halva sin tid åt riskminimering genom att fylla i en massa formulär, skapa dokumentation och checklistor som ska skrivas på bara för att de sen ska kunna användas som bevis i en eventuell

(26)

rättsprocess. Revisorerna som ska leda och utveckla verksamheten och hjälpa kunderna med de svåraste frågorna får ägna sig åt interna riskfrågor istället för det de borde.

SEC har backat lite i sina regler och tron bland revisorerna är att lagen kan komma att bli ytterligare förmildrad i sin tillämpning då den fått så mycket kritik.

4.4 Generellt om Koden och SOX

Koden stämmer till stor del överens med andra internationella regelverk och den kommer troligtvis vara bra nog i många fall. Möjligen kommer vissa utländska investerare kräva något mer genomlysning och fråga om saker som inte ingår i Koden. I och med att COSO finns som bas och gemensam benchmark för alla liknande regelverk så kommer det dock att finnas ett gemensamt språk och terminologi. Uppfattningen är ändå att koden är relativt hård om man jämför med andra europeiska länder.

I USA hände så pass många skandaler så de tvingades till att göra någonting vilket var nödvändigt just för att visa att inte vad som helst accepteras och för att återupprätta det förtroende för USA: s finansmarknader som underminerades av bland annat Enrons manipulationer.

”När det gäller trovärdigheten i Sverige så vet jag inte om det har varit samma behov. Det är en pendel i hela världen att man ska fokusera mer på intern kontroll så då måste vi följa med.”(Respondent III)

Utifrån ett svenskt perspektiv så passar inte SOX för svenska bolag eller svenskt management. Amerikanskt management är annorlunda och den amerikanska miljön är annorlunda med avseende på juridiska system där allting som inte uttryckligen är förbjudet är tillåtet.

Intern kontroll som begrepp är relativt nytt men så länge det funnits företag har det funnits intern kontroll eftersom alla vill säkerställa att faktureringen går rätt till och att företaget inte förlorar några pengar. Om det sätts tydliga krav på ledningen att det är deras ansvar, så är Koden rätt väg att gå.

(27)

Trovärdigheten för näringslivet har till viss del kommit tillbaka tack vare SOX men det kan även bero på att det har varit ganska goda tider sedan de stora skandalerna runt bland annat Enron vilket kan spela en viss roll. Om marknaden vänder finns det risk att det börjas leta efter problem och då kan det dyka upp nya negativa saker som inte framkommit under ”goda år”. Koden är det svårare att uttala sig om då den inte har funnits lika länge och inte riktigt skapat någon praxis.

En fråga som många har ställt sig är om de här skandalerna som hänt med Enron och Worldcom skulle ha förhindrats om SOX fanns på plats? Det kanske inte är helt säkert att skandalerna hade hindrats då det har handlat om ledande befattningshavare som har gått vid sidan om. SOX har handlat om de vardagliga rutinerna, det vill säga hur det säkerställs att ett system lämnar över information till ett annat och så vidare. De största riskerna kanske ändå ligger uppe på ledningsnivå.

”Jag hörde om det på Enron och det var tydligen en chef som sa till en controller att gör så här och controllern gick till en bokföringsperson och sa gör så här och så gjorde de så, det följde inga gängse rutiner och så, vad gör man om chefen kommer och knackar på axeln.”

(Respondent III)

Angående det förväntade ökade förtroendet som SOX och Koden skulle bidra till så är uppfattningen att när det gäller SOX så är det främst de som är involverade som är insatta i de nya reglerna medan andra är relativt okunniga. För att skapa ett ökat förtroende för näringslivet krävs kunskap om vad som sker inom området intern kontroll. Risken finns att det blir likadant med Koden, att inte gemene man vet att regelverket finns. Det finns en uppfattning om att Koden inte har sålts in tillräckligt hos allmänheten, de vet inte vad svensk kod för bolagsstyrning är för något och de vet ännu mindre vad SOX är.

(28)

5. Analys

I följande analys av den empiriska studien jämförs det empiriska materialet med vår teoretiska referensram som leder fram till studiens slutsats. Analysen inleds med en diskussion kring Koden, SOX och vad som passar det svenska bolagsklimatet. Därefter följer en analys kring den framtida utvecklingen av svensk interkontroll. Det är viktigt att ha i åtanke att denna analys enbart grundar sig på revisorernas åsikter vilka inte kan anses som objektiva eller oberoende. Det är troligt att dessa på grund av sin kunskap upplever SOX och Koden som enkla att implementera jämfört med hur företagen upplever situationen. En följdeffekt av nya regler och formaliteter är att det krävs ytterligare insatser från extern- och interrevisorer vilket skapar nya arbetstillfällen och goda tider för revisionsbranschen vilket kan påverka deras inställning till situationen positivt.

5.1 COSO-modellen

Då Koden hittills har saknat en klar definition om vad god intern kontroll är så har COSO- modellen kommit att användas allt mer. I grunden har svenska bolag en bra intern kontroll men de har inte varit så bra på att testa och dokumentera på det sättet som COSO föreskriver.

Att både svensk kod för bolagsstyrning och SOX vilar på COSO-modellen för intern kontroll gör att det används samma modell och språk inom internrevisionen i Svenska börsbolag vilket kan befrämja att det snabbt kommer att utvecklas en praxis för effektiv och kostnadsbesparande intern kontroll.

Med utgångspunkt från COSOs fem beståndsdelar så skiljer sig främst kontrollmiljön mellan länderna. Detta gör att det i USA krävs ett mer detaljerat och formaliserat regelverk för intern kontroll. Hela den svenska företagskulturen kännetecknas av tillit och låg grad av formalisering. Varje person förväntas göra det den blivit tillsagd att göra vilket är en stor skillnad mot den amerikanska kulturen där allt som inte uttryckligen är förbjudet är tillåtet.

Det är viktigt att företagen har en bra bild av sin kontrollmiljö då den ligger till grund för att kunna göra en bra bedömning av de övriga komponenterna i COSO-modellen. Då andelen kontrollägare är betydligt större i Sverige finns inte samma behov här av en så pass hårt reglerad lag som SOX.

(29)

Det är viktigt att göra en bra och ingående riskbedömning för att verkligen fokusera på rätt processer där de väsentliga riskerna finns. I många fall där SOX tillämpas så kastar sig bolagen in och går igenom och kartlägger alla processer, även lågriskområden, utan att egentligen tänkt igenom var de mest väsentliga riskerna finns. En dåligt utförd riskbedömning kan leda till att företagen missar nödvändiga kontroller men det kan även vara så att de lägger resurser på onödiga kontroller som egentligen inte behövs. Riskbedömning är en viktig process och om den görs på rätt sätt så kan bolagen spara både tid och pengar och kan istället lägga fokus på de andra delarna i COSO-modellen som också är viktiga.

När det gäller kontrollaktiviteter så kommer många svenska bolag bli tvungna att lägga ner en hel del resurser på förbättringar. Framförallt har kraven på dokumentation ökat väsentligt och det är något som företagen utanför den finansiella sektorn visat sig vara dåliga på. Med det ökade fokus som är kring interkontroll så finns risken för att anställda kommer känna sig övervakade och hotade. Det är därför viktigt att ha en bra dialog inom företaget om vad de nya reglerna innebär och att skapa en förståelse hos de anställda för deras roll och ansvar.

Helt klart är att den ökade regleringen kommer leda till ett ökat fokus på att dokumentera sin interna kontroll men det är viktigt att inte bara fokusera på dokumentationen som ett ont måste inför den årliga rapporteringen. Det är genom kontinuerlig övervakning och uppföljning som den största chansen finns till att upptäcka brister och möjligheter till effektiviseringar inom verksamheten.

5.2 Förtroendefrågan

Ett av de främsta syftena med Koden och framförallt SOX var att stärka förtroendet för bolagsledningarna hos allmänheten och att öka ägarskyddet. Det var viktigt att visa allmänheten en reaktion på de skandaler som inträffat och att inte vad som helst accepteras.

Enligt agentteorin är både agenten (ledningen) och principalen (ägarna) nyttomaximerare men problemet för principalen är att han inte kan vara säker på att dessa delar samma mål. För större bolag föreligger ofta en informationsasymmetri mellan ledning och ägare där ledningen har tillgång till bättre och mer pålitlig information. I och med Kraven från Koden och SOX kommer denna informationsklyfta minskas något till följd av bättre transparens och ökade interna kontroller av ledningens verksamhet. Även det opportunistiska beteendet som agenten

(30)

antas ha kommer antagligen minska eftersom ansvaret ökar framförallt med SOX men även Koden ger en ökad insyn i ledningens verksamhet. Syftet med internkontroll är att ge information och insyn i bolagen för ägarna och därigenom stärka deras ställning och inflytande. Det säkerställer möjligheten för ägarna att effektivt se över sina egna intressen och motverkar att företagsledningen inte endast tillgodoser intressen som gynnar endast de själva.

En ökad insyn minskar osäkerheten och riskerna varpå förtroendet höjs.

5.3 Koden versus SOX

Det resultat som intervjuerna gav visar att respondenterna i det stora hela har samma uppfattning om implementeringen av de båda regelverken. Vi intervjuade fyra respondenter från olika revisionsbyråer och alla var överens om att svensk kod för bolagsstyrning är ett regelverk som passar det svenska styrningsklimatet väldigt bra.

Hela den svenska företagskulturen kännetecknas av tillit och låg grad av formalisering. Varje person förväntas göra det den blivit tillsagd vilket är en stor skillnad mot den amerikanska kulturen där allt som inte uttryckligen är förbjudet är tillåtet. Med utgångspunkt från COSOs fem beståndsdelar så skiljer sig främst kontrollmiljön mellan länderna. Detta gör att det i USA behövs ett mer detaljerat och formaliserat regelverk för intern kontroll.

SOX var ett svar på bland annat skandalen med Enron då förtroendet störtdök för revisionsbranschen och näringslivstopparna. Lagstiftare och politiker var tvungna att sätta gränser som visar att USA:s rättsystem behandlar alla lika, även tunga makthavare i näringslivet. De vidtog kraftfulla åtgärder för att återskapa förtroendet för näringslivet och USA:s finansmarknader. Så som en av respondenterna uttryckte det så har SOX tagit i lite för hårt i sin lagstiftning. Åsikten om att SOX är för omfattande finns i både USA och Sverige.

SOX fokuserar på många olika processer och kontrollerar även lågriskområden. Revisorerna i USA tvingas vara försiktiga och får ägna mycket tid åt att dokumentera och minimera de interna riskerna då det ger dryga böter på hundratusentals- eller miljontals dollar och även risk för långa fängelsestraff i de fall där man bryter mot reglerna i SOX, medvetet eller omedvetet.

I Sverige finns ingen vilja hos någon av aktörerna på marknaden att sträva mot den hårda reglering som förekommer i USA. Här anses istället Koden, med sin självreglering från

(31)

marknaden, vara tillräcklig förutsatt att det finns tydliga riktlinjer för hur Koden ska följas.

Just nu finns ingen tydlig praxis och tolkningarna av Koden är varierande.

5.3.1 Konsekvenser av implementeringen

Samtliga revisorer menar att en av de viktigaste konsekvenserna av SOX och koden är att det har blivit ett ökat fokus på intern kontroll. Nu när styrelsen måste skriva under en rapport om företagets interna kontroll har deras intresse och engagemang lyfts till en annan nivå vilket förväntas förbättra företagens kunskap och insikt i intern kontroll. Det framkom också att de flesta företagen har börjat med arbetet kring intern kontroll och att det endast är ett fåtal företag som valt att inte fullt ut följa Koden utan istället förklarat av vilken anledning de inte har gjort det. Detta är något som förvånat både revisorerna och författarna då det fanns en förutfattad mening om att många bolag skulle avvika från Koden eftersom det inte finns några straffsanktioner liknande de som är kopplade till SOX. Risken finns att det kanske skulle vara lite för enkelt att komma undan men denna studie visar nästan motsatsen; att de flesta bolag faktiskt vill följa Koden och att självreglering verkar vara en bra väg för svenska bolag.

Bolagen jobbar seriöst och försöker göra det bästa av situationen under givna förutsättningar.

Något som tydligt framkommer är att implementeringen av både Koden och framför allt SOX har inneburit stora kostnader. Revisorerna menar att många aktieägare undrar var alla pengarna tar vägen. Det anses inte rimligt med de stora kostnader som SOX medför i förhållande till vad som genereras. Gällande kostnaderna runt Koden så anses de vara mer accepterade då det finns en tydligare koppling mellan kostnad och nytta.

Att förtroendet bland utländska investerare skulle ha ökat och därmed möjligheten att lättare få tag i riskkapital i och med implementeringen av Koden råder det delade uppfattningar om.

Men det står klart att det borde göra en viss skillnad att vi har en kod för bolagsstyrning.

Enligt en av respondenterna så tittar inte analytiker på om bolagen har följt SOX eller Koden förrän de står i en situation med två identiska bolag som endast skiljer sig på den punkten.

(32)

5.4 Framtiden

En förutsättning för att intern kontroll enligt den svenska Koden ska fungera är att den struktureras upp och formaliseras på ett tydligare sätt. Det är här som FARs nya rekommendation förväntas spela en stor roll. Bolagen och revisorerna både tror och hoppas på det ska bli lättare att i praktiken tillämpa Koden.

Regelverken har inte lett till så mycket effektiviseringar än så länge men tron om att de kommer att göra det framöver finns. I och med att man jobbar mycket mer med att utvärdera och granska sina processer och rutiner så vore det konstigt om man i längden inte upptäcker möjliga effektivitetsförbättringar. Dock måste detta alltid vägas mot kostnaderna för den ökade kontrollen.

Ett fortsatt fokus på intern kontroll är att vänta i alla fall ett par år framöver. Det finns ingenting som tyder på att det skulle minska snarare tvärtom. Detta framför allt då avsikten med Koden är att den så småningom ska komma att gälla alla börsnoterade bolag. De stora kostnader som den ökade interna kontrollen fört med sig i ett inledande skede förväntas minska med tiden då rutin och praxis har utvecklats.

Det finns ingen som efterfrågar ett detaljregelverk i Sverige, varken revisorerna eller markanden. God intern kontroll är bra men det måste ske till rimliga kostnader. Koden passar svenska börsbolag väldigt bra då den är självreglerande och kostnaderna för implementeringen har inte varit lika höga. Koden lämnar dessutom mer utrymme till varje enskilt bolags unika förutsättningar.

5.3 Slutsatser

De positiva förändringar som SOX exempelvis för med sig är att bolagen ser över sina rutiner och processer och att det blir mer fokus på områden med större risker. Detta är något som även Koden för mer sig. Det finns därför ingen uppfattning om att bolagen varken bör eller skulle ha implementerat SOX eller delar av den om de inte varit tvungna. Det är helt enkelt en lag som är mer anpassad för amerikanska bolag och deras juridiska system.

(33)

Med hänsyn till det managementklimat och den företagskultur som är i Sverige så passar

”följa eller förklara” istället väldigt bra. Självreglering anses vara bäst just nu i en inledande fas. Skulle det dock visa sig att företagen inte tar till sig Koden utan istället kommer med dåliga förklaringar alternativt att FARs nya rekommendation inte är tilläckligt tydlig, då kan det i framtiden bli aktuellt med lagstiftning. Sverige som är ett litet land kommer nog i viss grad att behöva anpassa sig till andra internationella regelverk i längden som till exempelvis EU. Koden kommer ändå troligen att fylla sitt syfte bra och ”följa eller förklara” principen stå sig rätt långt då bolagen har den goda viljan och vill anpassa sig till lagen. Även marknaden verkar vara nöjd och efterfrågar inte något detaljregelverk.

Att hitta en svensk passande modell verkar inte vara några större problem då det amerikanska systemet anses vara alldeles för brett och omfattande i förhållande till sitt syfte. Det pekar mot att intern kontroll i framtiden kommer bli mer riskbaserad med en större betoning på kostnad och nytta. Den svenska koden handlar just om att bolagen själva får bedöma vilka områden som är kritiska och därför kräver extra resurser och uppmärksamhet. Därefter är det upp till marknaden och investerarna att vara domare och avgöra om bolagets interna kontroll säkerställs på ett tillförlitligt och effektivt sätt.

Sen verkar det som om att det amerikanska regelverket kommer att ”normaliseras” något och att det kanske är större chans att de båda regelverken möts på hälften än att Koden glider över för mycket åt det detaljreglerade hållet. Som tidigare nämnts kommer det bli svårt för Sverige att ha något helt eget regelverk, det kommer blandas upp och influeras av andra.

5.4 Fortsatta studier

Under denna studies gång har vi stött på flera intressanta vinklingar och frågeställningar. Det finns mycket att skriva om inom detta ämne och mycket som skulle behöva undersökas närmare, speciellt då reglerna och praxis ständigt ändras och att FAR kommer ut med en ny rekommendation för granskning av styrelserapporten om intern kontroll. Här följer några förslag på fortsatta studier:

 En djupare studie om vilka effekter, positiva och negativa, som implementeringen har medfört. Gärna fokusera på ett fåtal bolag och fördjupa sig i dem.

(34)

 Utreda hur bolagen ser på intern kontroll när den nya rekommendationen från FAR kommer ut. Hur de tolkar den och hur de ser på det. Revisorn kontra bolaget.

 Göra en jämförande studie om hur bolagen har valt att rapportera sin interna kontroll, hur väljer de att beskriva olika faktorer?

 Bolagen lägger stora pengar på att kontrollera verksamheten men finns det tillräckligt med undersökningar som visar att det verkligen är problem med den interna kontrollen i svenska bolag?

References

Related documents

Enligt revisorerna berörs inte så många svenska bolag av kravet på SOX och att Koden i dagsläget inte har någon enhetlig tolkning vilket gör det svårt för bolagen att veta hur

Syftet är att undersöka om bolagskodens införande har påverkat bolagens sätt att arbeta med intern kontroll av den finansiella rapporteringen, baserat på intern

 Avslutningsvis baseras vår bedömning på att kommunstyrelsen inte fullgjort sitt uppdrag utifrån internkontrollreglementets § 10 gällande att, med utgångspunkt från

Frågorna A-D inkluderas inte i själva bedömningen av kvaliteten i rapporterna, utan finns enbart med för att ge läsaren en översiktlig information om vilka regler

Avvikelserna som uppkommer ligger till grund för syftet i denna uppsats och målet är att ta reda på vilka företag det är som vanligen avviker och vad som kännetecknar dessa samt

Den interna kontrollen avseende den finansiella rapporteringen har enligt Skandia inte påverkats som en följd av koden utan kommer att fortsätta vara kontrollerad genom

Bland annat arbetade både Contra Costa County Library och Danska Køge Biblioteket med att att leverera biblioteksservice till potentiella användare utanför biblioteket och göra

Johanna Cedergren Jeanette Ljung.. Som följd av de senare årens uppmärksammade bolagsskandaler har bolagsstyrning fått ett ökat fokus. Genom en god bolagsstyrning uppfyller