Effektiv företagsstyrning med ledningssystem

Transkript

1 Effektiv företagsstyrning med ledningssystem Verktyg för att uppfylla kraven från SOX och andra nya regelverk SIS, Swedish Standards Institute Postadress: Besöksadress: Telefon: Organisationsnr: STOCKHOLM Sankt Paulsgatan 6, Stockholm Telefax: E-post:

2 2 INNEHÅLLSFÖRTECKNING sid Introduktion 3 Vad är SOX? 4 Vilka företag omfattas av SOX? 4 SOX-krav blir modern europeisk lagstiftning 4 Ledningssystem - plattform för bolagsstyrning 5 SOX ställer krav ledningssystem ger struktur 5 Vd och ekonomichef personligt ansvariga för ekonomiska rapporter 6 Ledningens ansvar för internkontroll 6 Omedelbar rapportering 8 Rätt information på rätt plats med ledningssystemet för informationssäkerhet ISO Sammanfattning 10 Faktarutor 11

3 3 Introduktion Internationella företag spelar en viktig roll i dagens globala ekonomi. Och i takt med att företagen får större makt, blir det allt viktigare att investerare, anställda och allmänhet kan lita på information från företagen. Den finansiella rapporteringen måste vara trovärdig. Men även andra krav lyfts fram; företagsledningen måste ta ett personligt ansvar, de interna processerna måste utvärderas och ekonomiska förändringar i verksamheten måste rapporteras omedelbart. I USA har de nya kraven samlats i en ny bolagslag, Sarbanes-Oxley Act (SOX), som infördes SOX är en direkt följd av företagsskandalerna i USA vid millennieskiftet, varav de mest kända gällde Enron och Worldcom, och syftet är just att förbättra allmänhetens förtroende för de börsnoterade företagen. Även inom Europa debatteras frågan och direktiven från EU revideras för att följa utvecklingen. Så oavsett SOX eller specifika EU-direktiv behöver svenska företag anpassa sin verksamhet till en modernare bolagsrätt med krav på effektivare företagsstyrning. Företag med ett fungerande ledningssystem har en inbyggd kontroll över verksamhetens effektivitet och kvalitet. ISO 9001, standarden för kvalitetsledning, har i 20 år varit en katalysator för företag att se över sina interna rutiner och tydliggöra ansvarsfördelningen. Till exempel har vd och ekonomidirektör som en del av ledningen personligt ansvar för processerna i ISO 9001 något som stämmer väl överens med kraven på personligt ansvar i SOX. ISO 9001 och andra standarder för verksamhetsstyrning, som ISO för informationssäkerhet och ISO för riskhantering, fungerar som ramverk för att hantera olika typer av legala, interna och externa krav, där SOX är ett exempel på ett externt krav.

4 4 Vad är SOX? SOX, SarBox, SOX Act den amerikanska bolagslagen Sarbanes-Oxley Act har många förkortningar men kallas oftast för SOX. Namnet kommer från de två upphovsmännen Paul Sarbanes, senator för staten Maryland och Michael Oxley, medlem av USAs kongress för det Republikanska partiet. SOX handlar om att säkerställa den finansiella kontrollen och rapporteringen för företag och organisationer och är som tidigare nämnts ett resultat av företagsskandalerna i USA i början av 2000-talet. Den mest kända är energiföretaget Enrons konkurs Enron hade överdrivit vinster och dolt förluster under flera år. Dessutom hade revisionsbyrån i åratal godkänt denna tvivelaktiga bokföring. Skandalen var ett faktum, anställda miste sina pensioner, tiotusentals anställda miste sina jobb och allmänhetens förtroende för börsbolagen fick sig en rejäl törn. Enron är inte det enda exemplet, andra företag som begärdes i konkurs under de här åren var WorldCom, Tyco International och Adelphia Reglerna i SOX ska minska risken för felaktig information och bedrägerier. Ett företag som uppfyller samtliga krav i SOX ska vara säkert att satsa på för såväl investerare som anställda och andra intressenter. Exempel på krav i SOX; Vd och ekonomichef ska ta personligt ansvar för företagens finansiella rapportering och intyga att varje delårsrapport och årsrapport är korrekt. Externa revisorer ska bytas ut åtminstone vart femte år. Revisionskommittéer (Audit Committees) ska se till att revisorerna får den information som krävs för att göra ett korrekt jobb. Vilka företag omfattas av SOX? SOX omfattar alla företag som: är noterade på en amerikansk börs, till exempel NASDAQ, American Stock Exchange (Amex) och New York Stock Exchange (NYSE) har obligationer emitterade på den amerikanska marknaden och har minst 300 amerikanska aktieägare. Även många svenska företag omfattas av SOX och lägger mycket tid och pengar på att klara lagkraven, krav som läggs ovanpå kraven i den svenska Bolagskoden och den internationella redovisningsstandarden IFRS (International Financial Reporting Standards). SOX-krav blir modern europeisk lagstiftning Även inom Europa ställs krav på starkare företagsstyrning och bättre intern kontroll. Redan nu finns ett EU-direktiv om lagstadgad revision av årsbokslut och sammanställd redovisning. Ett direktiv som dels syftar till en harmonisering mellan medlemsstaterna, dels en harmonisering med lagstiftningen i USA. EU har även en handlingsplan för Modernare bolagsrätt och effektivare företagsstyrning i Europeiska unionen som utgår från att marknadskrafterna kräver större säkerhet för sina investeringar. Slutsatsen är att alla svenska företag kommer att behöva leva upp till hårdare krav på effektiv företagsstyrning och intern kontroll oavsett om de behöver anpassa sig till SOX eller om det handlar om en ny europeisk lagstiftning.

5 5 Ledningssystem plattform för bolagsstyrning Företag har valt olika vägar för att uppfylla kraven i SOX, och många har hunnit upptäcka att det är dyrt att bygga särskilda lösningar för just SOX-kraven. Målet blir att hitta effektiva sätt att integrera SOX-kraven i det existerande ledningssystemet. De krav som ställs i SOX och den kommande europeiska lagstiftningen har många likheter med de krav som finns i standarden ISO 9001 för kvalitet, men även i ISO för informationssäkerhet samt i ISO för riskhantering. I fortsättningen görs jämförelserna i första hand med ISO 9001 på grund av den betydligt större spridningen och kännedomen om kvalitetsledningssystem. I ett särskilt avsnitt beskrivs även hur viktigt ITstödet är för den interna kontrollen och hur ISO kan se till att informationen bevaras säkert och inte förloras eller förvanskas. De yttre kraven på kontroll, säkerhet och korrekt rapportering kräver att flera delar av en organisation samverkar. Med ett fungerande ledningssystem finns processerna på plats och ledningssystemet blir en plattform för effektiv bolagsstyrning. Ett etablerat ledningssystem baserat på ISO 9001 löser även efterlevnadsproblematiken och ger underlag för att effektivt kunna kommunicera företagets riskhantering, interna kontroller, kvalitetsstyrning och informationssäkerhet. Processen för att införa ISO 9001och ISO har många likheter med att införa SOX. Processen kan se innehålla följande moment: Genomföra en riskanalys Utarbeta en lista över verksamhetskritiska processer och redogör för dem både grafiskt och i text Identifiera och övervaka kontroller Upprätta och underhålla register Genomföra revisioner för att kontrollera att identifierade risker adresseras korrekt Låt företaget granskas av en oberoende tredje part som är certifierad av en ackrediterad organisation SOX ställer krav ledningssystem ger struktur Ett företag som arbetar enligt ISO 9001 för kvalitet kan enklare identifiera vad som behöver stärkas upp för att även uppfylla kraven i SOX. Alltså är en integrerad ISO SOX-lösning bättre än att endast fokusera på de nya SOX-kraven. I kvalitetssystemet ISO 9001 kan man sammanföra i princip alla företagets aktiviteter med SOX krav på: Kontrollmiljö Kontroller IT Riskhantering Uppföljning Den största fördelen med det här förhållningssättet är möjligheten att etablera en gemensam plattform för bolagsstyrning för kontroller, mätning och indikatorer. ISO 9001 blir en operationell plattform för SOX som dessutom tillgodoser kraven på dokumentation av efterlevnad.

6 6 Vd och ekonomichef personligt ansvariga för ekonomiska rapporter En viktig aspekt i SOX, och något som uppfylls av ISO 9001, är att företagsledningen tydligt ställs till svars för företagets redovisning. Företagsledningen ska etablera och upprätthålla en fullgod struktur för interna kontroller intern rutiner för finansiell rapportering. Ledningen ska även årligen utvärdera kontrollernas effektivitet. I kvalitetssystemet ISO 9001 är ledningen ytterst ansvarig för att processerna bidrar till ständiga förbättringar och att specificerade kvalitetskrav uppfylls. Ledningsprincipen om faktabaserade beslut förutsätter att organisationen har planerat och infört de processer för övervakning, mätning, analys och förbättring som erfordras för att kunna fatta välgrundade beslut. Detta, som beskrivs huvudsakligen i kapitel 8 i ISO 9001, ger ledningen möjlighet att visa effektiviteten i historiska beslut genom referens till fakta samt möjlighet att se över, utvärdera och ändra bedömningar och beslut. Användandet av principen om faktabaserade beslut leder oftast till att data och annan information är tillräckligt exakt och pålitlig och att man har data och annan information tillgänglig för dem som behöver den. Förbättringscykeln i kvalitetsledningssystemet är ett utmärkt sätt att övervaka tillståndet i organisationen. Cykeln utgår från kvalitetspolicy (5.3) och övergripande mål (5.4) via resultatet av intern revision (8.2.2) och analys av information (8.4) samt förbättring (8.5) till ledningens genomgång (5.6). Förutom att säkerställa att den ekonomiska rapporteringen är korrekt kan förbättringscykeln också avslöja fysiska svagheter och signifikanta brister i den interna kontrollen. Ledningens ansvar för internkontroll Enligt SOX krävs det att företagsledningen utvärderar systemet för intern kontroll, att man har ett tydligt riskhanteringsprogram på plats, att man har identifierat processerna för finansiell rapportering samt att de ekonomiska redovisningssystemen har hög integritet. Vad menar SOX med system för intern kontroll i det här sammanhanget? För att hjälpa till att reda ut begreppen kom COSO fram med ett koncept för intern kontroll kopplat till SOX. COSO står för the Committee Of Sponsoring Organizations som bildades redan 1985 för att, som oberoende organisation, arbeta för att förbättra kvaliteten på ekonomisk rapportering med hjälp av affärsetik, effektiva interna kontroller och effektiv företagsstyrning.

7 7 För att tydliggöra hur konceptet hänger ihop, finns nedanstående modell framtagen: De tre primära kategorierna i konceptet, vars mål man ska försäkra sig om att uppnå, visas som tre vertikala skivor i modellen: verksamhet, finansiell rapportering och efterlevandet av gällande lagar och förordningar. Systemet för internkontroll representeras av de fem horisontella skivorna. Den tredje dimensionen är exempel på organisatoriska enheter och/eller projekt i en organisation. Systemet för intern kontroll består alltså av fem delar. Bottenskivan representerar den omgivande organisationsmiljö i vilken internkontrollen ska fungera, d v s organisationens affärsidé, värderingar, principer, verksamhets art och struktur samt strategiska och operativa mål och deras utfall. Detta är helt i överensstämmelse med de grundläggande kraven på ett ledningssystem i ISO 9001, i synnerhet kapitel 4.1 med processinriktnin g och hantering av resurser, samt kraven på policy och mål i 5.3 och 5.4. Den andra skivan handlar om riskbedömning, d v s identifiering och analys av riskerna för att inte uppnå olika mål, avgöra hur risker ska hanteras samt ett sätt att hantera förändringar. Riskbedömning finns i ISO 9001 men framför allt i ISO för informationssäkerhet och ISO för riskhantering. I ISO 9001 är det i huvudsak genom att arbeta med analys av information (8.4) och förebyggande åtgärder (8.5.3) som riskvärdering och riskhantering utförs. I ISO är det framför allt rutinerna för att identifiera miljöaspekter (4.3.1), att identifiera lagar och andra krav (4.3.2) samt beredskap för och agerande vid nödlägen (4.4.7) som är användbara även i SOX-sammanhang. Den tredje skivan om styraktiviteter är i allt väsentligt att säkerställa att ledningens direktiv blir genomförda. Det handlar bland annat om delegering, auktorisation och attestregler och i ISO 9001 finns det framför allt i avsnittet om ansvar, befogenheter och kommunikation (5.5) och självklart ledningens genomgång (5.6) men även och om korrigerande och förebyggande åtgärder kan hjälpa till. Den fjärde skivan handlar om information och kommunikation och har stor betydelse när det gäller att uppfylla kraven i SOX. Information utgörs både av de hårda och de mjuka delarna i systemet och många affärsstödsystem har visat sig inte motsvara kraven i lagen framför allt när det gäller att säkerställa att obehöriga inte kan manipulera den la g- rade informationen. Här finns det mycket att hämta från ledningssystemet för informa-

8 8 tionssäkerhet ISO När det gäller kommunikationen är det viktigt att all ekonomisk information av betydelser snabbt och korrekt lämnas ut till alla relevanta intressenter. I ISO 9001 är det framför allt de allmänna kraven på ledningssystemet i 4.1, dokumentationskraven i 4.2, kraven på högsta ledningen att lämna intern information (5.1 och 5.5.3) samt kraven på kommunikation med kund (7.2.3) som kan hjälpa organisationen att uppfylla dessa krav i SOX. Den översta skivan i modellen handlar om övervakning och har av COSO definierats som övergripande tillsyn av systemet för internkontroll utförd av ledningen eller andra inblandade parter. Det är en process för att utvärdera systemets prestation över tid och man framhåller vikten av att det sker såväl fortlöpande som genom särskilda utvärderingar. Svagheter i det interna kontrollsystemet ska rapporteras uppåt i organisationen. Man hänvisar också till den revisionskommitté som ska finnas i varje företag enligt sektion 301 i SOX. EU har fattat ett motsvarande beslut i februari 2005 (se bilaga 3, punkt 24) om revisions-kommittéer. Det finns dessutom en rekommendation från EUkommissionen från den 15 februari 2005 (2005/162/EG) som bl. a. tar upp styrelsekommittéer. I ISO 9001 är det i huvudsak inom kapitel 8, Mätning, analys och förbättring som man kan finna hjälp med kontroll och övervakning av det interna kontrollsystemet. Framför allt är det internrevisionen (8.2.2) som kan utnyttjas mycket mera effektivt och verkningsfullt om kvalitetsrevision och ekonomisk revision utförs gemensamt. Rapporteringen uppåt sker naturligt i samband med ledningens genomgång (5.6) och övervakningen blir en del i förbättringscykeln (se avsnitt 7.1 ovan). Omedelbar rapportering Enligt SOX ställs det krav på omedelbar rapportering till allmänheten om väsentliga ekonomiska eller operativa förändringar i verksamheten som är av allmänt intresse och kan påverka investeringar och inflytande i företaget. Rapporteringen ska ske på ett begripligt språk. I ISO 9001 är det framför allt de allmänna kraven på ledningssystemet i 4.1, dokumentationskraven i 4.2, kraven på högsta ledningen att lämna intern information (5.1 och 5.5.3) samt kraven på kommunikation med kund (7.2.3) som kan hjälpa organisationen att uppfylla dessa krav i SOX.

9 9 Rätt information på rätt plats med ledningssystemet för informationssäkerhet ISO Eftersom SOX huvudsakliga uppgift är att säkerställa riktigheten och tillförlitligheten i företagens ekonomiska rapportering handlar många delar om informationssäkerhet. I dagens företagsmiljöer drivs processer för ekonomisk rapportering och ekonomiska transaktioner i integrerade IT-system som måste utvärderas mot kraven i SOX och kommande europeiska lagar och förordningar. Generellt sett gäller för alla organisationer att det är viktigt att relevant information bevaras säkert, så att den inte kan förloras eller förvanskas. När SOX ställer krav på organisationer att välja och införa en passande struktur för intern kontroll kan ledningssystemet för informationssäkerhet ISO vara ett stöd i arbetet med att ta fram krav och förväntningar på informationssäkerheten. ISO är dessutom skriven på ett sätt som gör att den kan integreras och tillämpas inom ramen för ett befintligt kvalitetsledningssystem. Med ett ledningssystem för informationssäkerhet grundat på ISO får en organisation större möjligheter att uppfylla kraven på systematisk internkontroll. Några exempel på kopplingar mellan SOX och ISO 27001: Företaget ska beskriva vilka standarder de använder I samband med revisioner ska företaget iordningställa arbetspapper och annan information som hör till revisionsrapporten Det ska finnas en etablerad riskhanteringsprocess samt garanti för att de ekonomiska redovisningssystemen har hög integritet. Företaget ska rapportera snabbt och avslöjande om operativa eller ekonomiska förändringar i verksamheten som kan påverka företagets investerare och andra intressenter.

10 10 Sammanfattning Svenska företag kommer att behöva leva upp till hårdare krav på effektiv företagsstyrning och intern kontroll oavsett om de behöver anpassa sig till SOX eller om det handlar om en ny europeisk lagstiftning. För företag som står inför en anpassning till de ökade kraven finns mycket hjälp att hämta i ett väl fungerande ledningssystem. Ett ledningssystem skapar bra förutsättningar för att leda verksamheten på ett strukturerat sätt. Och med den strukturen på plats har företaget en bra grund för att hantera legala, interna och externa krav. I det här fallet står SOXlagen för ett externt krav, men det kan även handla om nya EU-direktiv eller andra nya framtida regelverk. I ISO 9001 är det framför allt kapitel 4 Ledningssystem för kvalitet, kapitel 5 Ledningens ansvar och kapitel 8 Mätning, analys och förbättring som direkt kan stödja högsta ledningen i hanteringen av SOX-kraven. Med ledningssystemet för informationssäkerhet, ISO 27001, får företag större möjligheter att uppfylla kraven på systematisk internkontroll och säkra rutiner. ISO ser till att det finns en etablerad riskhanteringsprocess och att de ekonomiska redovisningssystemen har hög integritet. Det finns många fördelar med att integrera de nya SOX-kraven med företagets existerande ledningssystem. På så sätt har organisationen en flexibel plattform och är redo för nya anpassningar i framtiden.

11 11 Faktarutor Bolagskoden Svensk kod för bolagsstyrning är resultatet av ett samarbete mellan det privata näringslivet och den statliga Förtroendekommissionen. Koden kompletterar aktiebolagslagen och annan tvingande reglering genom att utöver lagens minimikrav ange en norm för vad som i allmänhet kan anses vara god inte bara acceptabel bolagsstyrning. Från den 1 juli 2005 ska koden tillämpas av bolag på börsens A-lista och bolag på O-listan med marknadsvärde över tre miljarder kronor. Euro-SOX Den 7 juli 2006 trädde det så kallade 8:e Direktivet, eller Euro-SOX i kraft. Under närmaste åren måste innehållet i EU riktlinjerna vara omvandlat och infört som en del i nationell lagstiftning i EU: s medlemsländer. Syftet med direktivet är att säkerställa att investerare och andra berörda skall kunna förlita sig på de reviderade bokslutens riktighet. Revisorns uppgifter klargörs och vissa principer för att stärka objektivitet och oberoende anges, samt krav på att en koncernrevisor ska ha hela ansvaret för revisionen av företagskoncernens sammanställda bokslut. För att säkerställa tillgång till korrekt information måste aktiebolag kunna redovisa ett informationssäkerhetskoncept. Om ett företag inte klarar av att leva upp till dessa krav är företagsledningen ytterst ansvarig. I förlängningen kan det även påverka kreditvärdighet och försäkringsvillkor för företaget. Sarbanes-Oxley Act The Sarbanes-Oxley Act: Efter Paul Sarbanes, Demokrat från Maryland, och Republikanen Michael Oxley, Ohio. De anses vara arkitekterna bakom regelverket som populärt kallas för bland annat SOX och SarbOx. Sammanfattningsvis kan sägas att SOX har inneburit att företagens VD och finanschefer är tvungna att formellt intyga att hela redovisningsprocessen är korrekt, och att felaktig information kan medföra straff på upp till 5 miljoner dollar och 20 års fängelse. SOX innebar nya krav på tydliga verksamhetsprocesser, verifierbara rutiner och kontrollpunkter. Riktlinjer för lämpliga processer, rutiner och kontroller redovisas dock inte i detalj i själva regelverket. ISO, International Organization for Standardization ISO, International Organization for Standardization, med huvudkontor i Geneve i Schweiz, är världens största organisation för utveckling av standarder. ISO är ett nätverk av nationella standardiseringsorgan från 156 länder. ISO-standarder medverkar till att göra tillverkning av och handel med produkter och tjänster mer effektiv. Standarder som nämns i rapporten: SS-EN ISO 9001 Ledningssystem för kvalitet - Krav SS-ISO/IEC Ledningssystem för informationssäkerhet - Krav ISO Risk Management - Guidelines on principles and implementation of risk management (ISO är under utveckling.)