Koden versus SOX En analys avseende intern kontroll i svenska börsbolag

Transkript

1 UPPSALA UNIVERSITET EXAMENSARBETE C Företagsekonomiska Institutionen Redovisning Vt Hans Brandt S:t Larsgatan 6B Uppsala Tfn: E-post: habr0015@student.uu.se Erica Lindgren Tegnérgatan 28B Uppsala Tfn: E-post: erli4442@student.uu.se Koden versus SOX En analys avseende intern kontroll i svenska börsbolag Handledare: Mats Karén Företagsekonomiska Institutionen

2 Innehållsförteckning 1. Inledning Bakgrund Problemdiskussion Problemprecisering Syfte Teoretisk referensram Corporate Governance - Bolagsstyrning Svenskt och Amerikanskt företagsklimat Intern kontroll och COSO Agentteorin Svensk kod för bolagsstyrning Generellt om Koden och dess tillkomst Intern kontroll och Koden Sarbanes-Oxley Act Metod Angreppssätt Tillvägagångssätt Litteraturstudie Intervjuer Avgränsning och urval Metodkritik och giltighet Validitet Källkritik Empiri COSO-modellen Koden Implementeringen av Koden Tolkning av Koden Följa eller förklara Förväntningar på FARs rekommendationer Rekommendationen tillräcklig? SOX, sektion Implementeringen av SOX Positiva och negativa effekter Generellt om Koden och SOX Analys COSO-modellen Förtroendefrågan Koden versus SOX Konsekvenser av implementeringen Framtiden Slutsatser Fortsatta studier Källförteckning Bilaga

3 1. Inledning 1.1 Bakgrund Under de senaste åren har det inträffat ett flertal stora företagsskandaler runt om i världen. I USA gjorde bolag som Enron och Worldcom stora rubriker när det avslöjades att företagsledningen vilselett allmänheten, anställda och aktieägare. Företagen hade förvrängt omsättningssiffror, förluster hade förvandlats till vinster, dokument försvann och det förekom insiderhandel (Svernlöv & Blomberg, 2003). Här i Sverige kan nämnas bland andra Trustors försök till bolagsplundring och Skandia, där ledningen skapade tvivelaktiga bonussystem utan maxtak som resulterat i stora utgifter för företaget och dess ägare. (Veckans Affärer, 2005) Skandalerna som inträffat på senare år har skadat allmänhetens förtroende till företagsvärlden och debatten om bolagsstyrning har intensifierats under det senaste decenniet. Stark kritik har riktats mot brister i bolagsstyrningen och för att återfå marknadens och näringslivets förtroende samt för att förhindra att liknande skandaler inträffar igen så har länderna försökt reglera företagen och förbättra deras interna kontroll genom att införa olika former av etiska koder och lagstiftning. (SOU 2004:46, Bilaga 1) I USA upprättades 2002 Sarbanes-Oxley Act även kallad SOX. En lag vars syfte var att återfå marknadens förtroende och säkerställa att bolagens finansiella rapporter stämmer överens med verkligheten. SOX ställer stora krav på att företagen i detalj dokumenterar och analyserar alla processer och system som påverkar posterna i resultat- och balansräkningarna. Från och med 2005 gäller lagen även för svenska företag som är registrerade på amerikansk börs eller har någon form av finansiellt instrument noterat i USA. (Affärsvärlden, 2006) Sverige har valt en mindre sträng linje och införde i juli 2005 som ett av de sista länderna i Europa en kod för bolagsstyrning och därigenom även intern kontroll. Svensk kod för bolagsstyrning, även kallad Koden tillämpar principen följ eller förklara. Ett bolag som omfattas av Koden kan alltså avvika från enskilda regler men måste då förklara det i en särskild bolagstyrningsrapport som tillfogas årsredovisningen. Därefter får marknaden avgöra om avvikelserna är godtagbara eller inte. Motivet för att denna modell valts är att den tillämpats i ett flertal andra länder med stor framgång och att ambitionsnivån då kunnat läggas högre jämfört med lagens krav. 1

4 1.2 Problemdiskussion Alla bolag i Sverige som är registrerade hos Securities and Exchange Commission (SEC), den amerikanska motsvarigheten till svenska finansinspektionen, måste rätta sig efter SOX. Hos SEC registreras de företag som är noterade på amerikansk börs eller dotterbolag till sådana. Det är 13 svenska företag som omfattas och därmed är skyldiga att redovisa enligt gällande SOX regelverk. (SEC, 2006) Både när det gäller Koden och SOX så är det delarna om intern kontroll som är den stora stöttestenen. Där skiljer sig de båda regelverken åt främst genom hur höga krav som ställs på företagen och revisorerna. SOX sektion 404 som berör intern kontroll är en lag med hårda straffsanktioner. Makthavarna i USA skapade SOX under stor press från samhället efter de skandaler som uppdagats och många anser att de tog i för mycket. Reglerna ses som alltför resurskrävande och orimliga att applicera. Bolagen tvingas dokumentera och se över sina processer in i minsta detalj. Den modell som valts i Sverige är ingen lag utan en samling anvisningar för hur bolagen bör agera. Dessa anvisningar kräver normer och ramverk för hur de ska tolkas och tillämpas i bolagen vilket överlåtits till FAR att utveckla. FAR, ursprungligen en förkortning av Föreningen Auktoriserade Revisorer men föreningen innefattar numera även godkända revisorer och andra högt kvalificerade specialister inom revisionsbyråbranschen. (FAR, 2005) I slutet av 2005 publicerade FAR en vägledning för hur den interna kontrollen ska gå till och rapporteras. Denna vägledning ansågs inte vara tillräckligt tydlig och är just nu under omarbetning för att bli klar någon gång under Både SOX och Koden säger att styrelsen ska rapportera hur den interna kontrollen till den del den avser den finansiella rapporteringen är organiserad och hur väl den har fungerat under det senaste räkenskapsåret. (SOU 2004:130) Då både Koden och SOX är nytt för bolagen finns ingen tidigare praxis att rätta sig efter här i Sverige vilket gör det svårt att uttala sig om hur väl den interna kontrollen fungerat. Bolagen vet inte vad som krävs för att uppnå tillräckligt god intern kontroll, eller om dom kanske redan uppfyller kraven. Just nu råder det många oklarheter kring hur Koden ska tillämpas. Företagen och revisorerna behöver mer vägledning för att kunna göra några uttalanden. (Respondent I, intervju, 2006) Problemprecisering För att belysa detta problemområde vill vi utifrån revisorns sätt att se på det hela undersöka vilka positiva och negativa aspekter som de tycker att de respektive regelverken har. Vilken struktur anser de är lämplig för svenska börsbolag? Hur kommer införandet av Koden påverka 2

5 utvecklingen av svensk intern kontroll? Är det svårt att försöka skapa en egen svensk modell när det redan finns ett etablerat amerikanskt regelverk som de svenska bolagen registrerade hos SEC måste följa? 1.3 Syfte Syftet med vår uppsats är först att ur revisorns perspektiv göra en jämförelse mellan svensk kod för bolagsstyrning och Sarbanes-Oxley Act avseende intern kontroll i svenska börsbolag. Därefter görs en analys av vilken utveckling som kan förväntas avseende svensk intern kontroll och svensk kod för bolagsstyrning. 3

6 2. Teoretisk referensram 2.1 Corporate Governance - Bolagsstyrning Corporate Governance, eller bolagsstyrning med svensk term, handlar om att styra bolag på ett sådant sätt att de uppfyller ägarnas krav på avkastning på det investerade kapitalet och därigenom bidrar till samhällsekonomins effektivitet och tillväxt (SOU 2004:130). Med ett spritt ägande i börsnoterade bolag ökar risken att bolagen inte leds med ägarnas intresse för ögonen. Det är inte alls säkert att en anställd företagsledning har samma mål som ägarna gällande exempelvis ersättningar, avkastningskrav och risktagande. Den svenska modellen för bolagsstyrning grundar sig självfallet på lagar som bokföringslagen, aktiebolagslagen och årsredovisningslagen men även till stor del på självreglering och praxis inom området. (SOU 2004:46) Svenskt och Amerikanskt företagsklimat Ur ett globalt perspektiv brukar en åtskillnad göras mellan hur ägarstrukturen beskrivs hos svenska och amerikanska bolag. Stora börsnoterade företag i USA kännetecknas av ett spritt ägande medan svenska bolag oftast karakteriseras av en eller flera större och mer kontrollerande ägare. En del svenska bolag har visserligen många ägare men det är ändå oftast någon eller några ägare som innehar så pass mycket aktier att de kan anses ha en betydande kontroll. (SOU 2004:47) Generellt så är den amerikanska företagskulturen mer formaliserad och kontrollerad än vad den är i Sverige. De anställda övervakas och kontrolleras på ett helt annat sätt i USA medan den svenska mentaliteten kännetecknas av tillit och förtroende. Det spridda ägandet i amerikanska bolag gör även att aktieägarna har mindre insyn i bolagen vilket bidrar till större krav från ägarna på att kontrollera ledande befattningshavares förehavanden i bolaget. (Ibid.) Intern kontroll och COSO I USA bildades 1985 en kommitté vid namn The Committee of the Sponsoring Organizations of the Treadway Commission, vidare nämnd COSO. Kommittén är en frivillig privat organisation som består av olika representanter från företag, intern- och externrevisorer, 4

7 redovisningsekonomer, investeringsbolag och representanter från New York Stock Exchange. De arbetar med att förbättra kvalitén på den finansiella rapporteringen genom att bland annat effektivisera den interna kontrollen och företagsstyrningen. (Ramos, 2004) Intern kontroll har länge haft olika definitioner som existerat sida vid sida och vad intern kontroll är har länge varit en omdebatterad fråga. Begreppsförvirringen med flera olika definitioner av intern kontroll fick till följd att FAR, liksom många andra organisationer, kom att använda sig av den definition som COSO presenterade 1992 i sin modell för intern kontroll. Enligt den så kallade COSO-modellen definieras intern kontroll enligt följande (Damberg, 2000): Intern kontroll är en process genom vilken företagets styrelse, ledning och annan personal skaffar sig rimlig säkerhet för att företagets mål uppnås på följande områden: - verksamhetens ändamålsenlighet och effektivitet - den ekonomiska rapporteringens tillförlitlighet - efterlevnad av tillämpliga lagar och förordningar Det är även denna definition som det hänvisas till i Sarbanes-Oxley Act. Definitionen säger att intern kontroll är en process genom vilken bolagets styrelse, ledning och annan personal skaffar sig rimlig säkerhet om att företagets mål kan nås inom följande kategorier; ändamålsenlig och effektiv verksamhet, tillförlitlighet i den finansiella rapporteringen samt efterlevnad av lagar och förordningar. Intern kontroll behövs i alla företag för att motverka att fel uppstår i det dagliga arbetet. Blir det fel i redovisningen och i ekonomiska rapporter kan det leda till att felaktiga beslut tas och att olönsamma investeringar görs. Det är lättare att fånga upp både avsiktliga och oavsiktliga fel med en god intern kontroll. Dock måste den reducerade risken som den interna kontrollen är avsedd att ge alltid vägas mot de kostnader som den medför. (Damberg, 2000) COSO beskriver i ramverket att intern kontroll består av fem interagerande komponenter som nedan visas i den så kallade COSO-pyramiden: 5

8 Figur 1: COSO-modellen (Haglund m.fl. 2006, s. 64) Kontrollmiljö utgör grunden för de andra komponenterna och förmedlar disciplinen och strukturen för den interna kontrollen. Med kontrollmiljö avses den kultur och anda som finns inom bolaget och den består av komponenter såsom etik, ansvarsfördelning, ledningens filosofi och handlingar och organisationens uppbyggnad. Riskbedömning för att nå bolagets operationella och finansiella mål är det viktigt att göra en fullständig riskbedömning om vad som kan utgöra ett hot mot bolagets målförverkligande. Ledningen bör implementera kontroller för att förhindra fel. Det är viktigt att på ett effektivt sätt kunna hantera de risker som uppkommer då omvärlden är i ständig förändring. Kontrollaktiviteter syftar till att övervaka att ledningens direktiv och mål uppnås. Kontrollåtgärderna kan vara både förebyggande och upptäckande och några exempel är de riktlinjer, processer och policys som säkerställer att ledningens beslut genomförs. Kommunikation och information att kunna kommunicera och sprida relevant information är av stor vikt för att säkerställa att de processer som implementerats uppfyller sitt syfte. Information ska identifieras, registreras, bearbetas och kommuniceras i rätt form, vilket kräver ett väl fungerande informationssystem. Övervakning och uppföljning informationen i företagets verksamhet måste kontinuerligt utvärderas och följas upp. För att övervaka kontrollsystemen måste det kontinuerligt genomföras bedömningar av kontrollsystemens kvalitet. Det är både ledningens och anställdas arbetsuppgifter som bör övervakas. Övervakningen kan 6

9 både ske genom löpande kontroller som är inbyggda i företagets regelbundna aktiviteter eller genom separata utvärderingar i form av revision. (FAR Förlag, 2005) Agentteorin Teorin inriktas på relationen mellan två individer; principalen och agenten och det är till följd av problematiken i denna relation som behovet av revision och intern kontroll uppstår. Ett antagande i agentteorin är att alla individer agerar i självintresse och problemet är då att agenten inte alltid gör det som är bäst för principalen utan också tänker på vad som är mest fördelaktigt för honom personligen. Principalen kan dock styra agenten genom incitament och övervakning. (Anthony & Govindarajan, 2003) I ett bolag är aktieägarna principaler och VD är agent. Styrelsen anställer VD åt aktieägarna och förväntar sig att denna ska agera i deras intresse. Ett annat problem enligt agentteorin är den informationsasymmetri som finns mellan ägare och ledning då ledningen har bättre insikt i bolaget och därmed också besitter bättre information. Figur två nedan illustrerar hur målkongruensen kan förbättras mellan ägare och ledning genom incitament och övervakning. Incitament/ Övervakning Principal Ägare Agent Ledning Figur 2: Egen figur, Med incitament, som är en av de två kontrollmekanismerna, menas i agentteoretiska termer kontrakt som medför att agentens belöning är beroende av vinstutvecklingen i företaget. Kontrakten antas öka agentens prestationer och motivera agenten att arbeta i principalens intresse. Exempel på incitament är bonusprogram och optionsprogram (SOU 2004:47). Den andra kontrollmekanismen handlar om övervakning. Principalen kan inrätta kontrollsystem som övervakar agentens handlingar och således minskar de handlingar som leder till att agenten nyttomaximerar på bekostnad av principalen. Exempel på övervakningssystem är 7

10 finansiella rapporter som granskas av revisorer. Principalen kan även införa så kallad direktövervakning, där agentens prestationer och utförande kontrolleras (Anthony & Govindarajan, 2003). Denna externa övervakning som utförs av revisorer är nödvändig då ägarna enbart kan förlita sig på årsredovisningar och finansiella rapporter vid värdering av företagsledningens prestationer. Agenten anses vara mer riskavert än principalen vilket innebär att denne inte är beredd att ta några risker som kan påverka belöningen negativt utan att belöningen ökar i större grad än risken. Detta kan härledas från att ägarna kan sprida sina risker på flera bolag till skillnad från ledningen som är helt beroende av ett enda företag. Det finns två typer av beteenden där agenten kan vilseleda principalen. Det ena kallas för Adverse selection och innebär att agenten ger en felaktig bild av verkligheten exempelvis genom att undanhålla fakta som i sin tur kan leda till felaktiga beslut. Det andra beteendet kallas för Moral hazard vilket syftar på att agenten inte presterar till fullo i enlighet med ägarna. Exempel på det kan vara när ledningen fokuserar på sin egen vinning istället för att agera enligt verksamhetens mål och riktlinjer. (Ibid.) 2.2 Svensk kod för bolagsstyrning Generellt om Koden och dess tillkomst Svensk kod för bolagsstyrning är resultatet av ett samarbete mellan den statliga förtroendekommissionen och det privata näringslivet i den så kallade Kodgruppen. Näringslivet representeras av ett samarbete mellan FAR, Stockholmsbörsen, Näringslivets börskommité och Svenskt Näringsliv. Denna särskilda kodgrupp tillsattes hösten 2003 och presenterade i april 2004 sitt förslag på hur koden ska se ut. I grunden bygger koden på den svenska aktiebolagslagen och den är anpassad till svenska traditioner för bolagsstyrning. Den skiljer sig därmed från det anglosaxiska synsätt med en spridd ägarbild som är utgångspunkt för bolagsstyrning i många andra länder (SOU 2004:130). Koden bygger på principen följ eller förklara vilket innebär att ett företag som tillämpar koden inte måste följa varje regel till punkt och pricka. Om företaget anser att en viss regel inte passar företagets verksamhet eller av annan anledning vill avvika från denna regel är det tillåtet att göra det. Dock så måste företaget tydligt redovisa detta och även ge en tydlig motivering till varför de valt att inte följa regeln. Genom att tillämpa denna princip har 8

11 ambitionsnivån kunnat läggas högre än om reglerna skulle vara tvingande. Vid tvingande regler måste kraven läggas på en nivå som är rimlig att begära av varje företag vid varje tillfälle. Genom principen följ eller förklara kan kraven i stället läggas på en nivå som i allmänhet kan förväntas leda till god bolagsstyrning, samtidigt som det skapas en flexibilitet som tar hänsyn till att bolag kan vara väldigt olika. Företaget ska även i en årlig bolagsstyrningsrapport redogöra för hur de tillämpat koden, samt på sin hemsida fortlöpande redovisa nyckeldata om bolagsstyrningen. (Precht, 2006) I juli 2005 började Stockholmsbörsen tillämpa koden enligt en överenskommelse mellan Stockholmsbörsen och Aktiemarknadsbolagens förening. Koden ska tillämpas av samtliga svenska bolag på börsens A-lista och av svenska bolag på O-listan som har ett marknadsvärde på över tre miljarder kronor (Bolagsstyrning, 2006) Intern kontroll och Koden Avsnitten i koden rörande intern kontroll och internrevision är medvetet kortfattade då det är ett område där kodgruppen ansåg att praxis behöver få tid att utvecklas (Öhrlings PWC, 2005). Det är i första hand avsnittet 3.7 men även avsnitt 5.2 i Koden som berör den interna kontrollen och revision vilka är bifogade i sin helhet nedan. För att belysa de tolkningsproblem med Koden i sin ursprungsform som uppsatsen kommer att beröra i ett senare skede bör läsaren vara extra uppmärksam på de understrukna begrepp som avsnitten om intern kontroll uttrycker. 3.7 Intern kontroll och internrevision Styrelsen ansvarar för bolagets interna kontroll, vars övergripande syfte är att skydda ägarnas investering och bolagets tillgångar Styrelsen skall se till att bolaget har god intern kontroll och fortlöpande hålla sig informerad om och utvärdera hur bolagets system för intern kontroll fungerar. 9

12 3.7.2 Styrelsen skall årligen avge en rapport över hur den interna kontrollen till den del den avser den finansiella rapporteringen är organiserad och hur väl den har fungerat under det senaste räkenskapsåret. Rapporten skall granskas av bolagets revisor I bolag som inte har en särskild granskningsfunktion (internrevision) skall styrelsen årligen utvärdera behovet av en sådan funktion och i sin rapport över den interna kontrollen motivera sitt ställningstagande. 5.2 Rapport om intern kontroll Till bolagets årsredovisning skall fogas styrelsens den interna kontrollen samt revisorns granskningsberättelse över denna rapport enligt (SOU 2004:130) Arbetsgrupper från Svenskt Näringsliv respektive FAR tilldelades att skriva en vägledning hur koden skulle tolkas i praktiken utifrån svenska förhållanden. Denna vägledning gavs ut i oktober 2005 men är nu under remiss för att ytterligare utvecklas och anpassas till svenska företag. (Precht, 2006) På några års sikt, då erfarenheter av hur väl koden fungerat och eventuella modifieringar gjorts för att underlätta för mindre bolag att tillämpa koden, är avsikten att den ska gälla för börsens samtliga bolag. Bolag som inte omfattas av koden kan redan nu bestämma sig för att helt eller delvis tillämpa koden, vilket kan antas öka förtroendet för dessa företag på marknaden. (Bolagsstyrning, 2006) 2.3 Sarbanes-Oxley Act Sarbanes-Oxley Act är en amerikansk lagstiftning som tillkom 30 juli 2002 efter de stora företagsskandalerna och är uppkallad efter sina skapare senator Paul Sarbane och kongressmannen Michael Oxley. Reglerna ska förhindra bedrägerier men även oavsiktliga fel 10

13 i redovisningen och förvaltningen av företagens tillgångar. SOX sektion 404 är det kapitel som behandlar intern kontroll och ska främst tillgodose att bolaget avlämnar en tillförlitlig årsredovisning. Reglerna i sektion 404 täcker in alla processer och system som har inflytande på posterna i resultat- och balansräkningarna i bolagets årsredovisning. (Ramos, 2004) Den revisionsbyrå som avger revisionsberättelse för ett noterat bolag ska som en del av revisionsuppdraget även granska och rapportera om den genomgång och det intygande ledningen har gjort beträffande den interna styrningen i bolaget (LRD Revision & Rådgivning, 2006). Straffpåföljden om lagen inte efterlevs är minst sagt kännbar. Enligt den amerikanska lagstiftningen har företagets VD och finanschef ett personligt ansvar och de riskerar böter på upp till 5 miljoner dollar eller hela 20 års fängelse om inte SOX efterlevs. Detta gäller inte bara i det enskilda bolaget utan i hela koncernen globalt (Soliditet, 2006). Även SOX är liksom Koden kortfattad i sin definition om hur intern kontroll ska tillämpas i bolagen. För att tillämpa lagen har ett tillsynsorgan för revisionsfrågor, (PCAOB, 2006) inrättats som i efterhand utarbetat en standard för hur SOX 404 ska tolkas och efterföljas. Enligt denna standard är ledningen skyldig att: 1. Ta ansvaret för bolagets interna kontroll avseende den finansiella rapporteringen. 2. Utvärdera effektiviteten på bolagets interna kontroll angående den finansiella rapporteringen med hjälp av passande kontroller och kriterier. 3. Stödja sin utvärdering med bevis och dokumentation. 4. Presentera en skriftlig bedömning av effektiviteten på bolagets interna kontroll avseende den finansiella rapporteringen i samband med det senaste bokföringsåret. (Ramos, 2004) Det framgår även att ledningen skall använda ett passande och erkänt ramverk för uppbyggnaden och bedömningen av internkontrollen. Bolagen förväntas följa COSO eller något annat liknande, känt ramverk. (PCAOB, 2006) Standarden är i övrigt väldigt omfattande och detaljerad när det gäller den praktiska implementeringen av SOX 404 och den ställer höga krav på företagens interna kontroll vilket medför stora kostnader för bolagen. (Deloitte, 2005) Det anses ligga ett alltför stort fokus på att kontrollera verksamheten istället för att bedriva den. Enligt en artikel i Svenska Dagbladet 11

14 har kostnaden uppskattats till över en miljard kronor för svenska bolag. (Svenska Dagbladet, 2005) Förespråkarna för SOX menar att de nya reglerna i första hand innebär att investerarnas förtroende för marknaden återställs och förstärks vilket i sin tur påverkar marknaden i positiv riktning. Detta bör öka villigheten att våga investera i företaget och därmed dras kapitalkostnaden ner. Bolagen tvingas dokumentera och se över sina processer vilket kan leda till en förbättring av den interna styrningen och kontrollen som i sin tur ökar effektiviteten. Genom en bättre rapportering kan dessutom svagheter upptäckas i tid, innan de lett till större fel och kapitalförluster. En annan positiv effekt är att tydlighet i roller och ansvar klargörs på ett bättre sätt (Precht, 2005). Från och med 2005 gäller lagen alla utländska företag som är registrerade hos Securities and Exchange Commission (SEC). Några av de 13 svenska bolag som berörs är ABB, SKF, Ericsson, Volvo och Stora Enso. 12

15 3. Metod 3.1 Angreppssätt Vi vill med denna studie studera implementeringen av SOX 404 och Koden utifrån revisorns synpunkt. Detta genom att utreda vad som uppfattas som bra respektive dåligt för svenska börsbolag. Vidare kommer det göras en analys avseende vilka attribut som kan tänkas influera svensk utveckling av intern kontroll. 3.2 Tillvägagångssätt Det finns i huvudsak två skilda metodiska angreppssätt: kvantitativa eller kvalitativa studier (Bryman & Bell, 2003). Kvantitativa undersökningar baseras på mätningar som kan användas för att beskriva eller förklara och grundar sina slutsatser på data som kan kvantifieras. Kvalitativa studier däremot baserar sina slutsatser mer på ord än siffror som till exempel attityder, värderingar eller föreställningar. Vidare så kännetecknas kvalitativa undersökningar av att undersökaren försöker förstå hur människor upplever något (Lundahl & Skärvad, 1999). Vilket lämpar sig bra för vår studie då vi ämnar undersöka vilka problem och möjligheter som revisorerna upplever med de båda regelverkan. De intervjuer som genomfördes gav en djupare förståelse och kunskap om intern kontroll i svenska börsbolag enligt Sarbanes-Oxley Act, sektion 404 och svensk kod för bolagsstyrning. 3.3 Litteraturstudie För att få en grundförståelse för problemområdet, samt för att fördjupa vår kunskap inom ämnet inleddes uppsatsarbetet av en litteraturstudie. Som bas för informationssökandet har Ekonomikums litteratur- och tidskriftsbibliotek använts. Författarna läste flera debattartiklar om hur situationen ser ut idag och hur utvecklingen ser ut för att öka förståelsen. De databaser som använts i störst utsträckning är Business Source Premier (EBSCO), FAR komplett och Affärsdata. De artiklar som gav mest inspiration var artiklar från Balans och Dagens Industri. Vi har även fördjupat vår kunskap genom att studera tidigare forskning inom ämnet, såsom andra kandidat- och magisteruppsatser. De sökbegrepp som främst använts är: Sarbanes- Oxley Act, koden, sox, svensk kod, intern kontroll. 13

16 3.4 Intervjuer Undersökningsmaterialet grundar sig på fyra intervjuer om ca 60 min vardera. Före intervjuerna utformades en intervjuguide (se bilaga) där vår utgångspunkt var att frågorna skulle inbringa den information vi behövde för att kunna besvara våra frågeställningar (Bryman & Bell, 2003). Vi valde att genomföra semistandardiserade intervjuer, vilket innebär att såväl frågeformuleringen som ordningsföljden var bestämd på förhand men ett visst utrymme lämnades dock för att låta intervjupersonerna berätta mer, och för oss att ställa följdfrågor utifrån de svar vi fick. (Lundblad & Skärvad, 1999) För att respondenterna skulle vara förberedda och på förhand få grepp om vilka områden som skulle beröras skickades intervjuguiden ut i förväg. En önskan från vår sida var att genomföra intervjuerna via personliga möten på deras respektive arbetsplatser, detta för att dem skulle känna sig trygga i situationen och för att få en så avslappnad dialog och så korrekt helhetsbild som möjligt. Ett undantag gjordes dock för en respondent där vi gjorde en telefonintervju på grund av plötslig tidsbrist från dennes sida. Intervjuerna spelades in så att fokus kunde läggas på dialogen istället för dokumentationen Avgränsning och urval Intervjuerna gjordes med fyra personer från Sveriges största revisionsbyråer; Deloitte, Öhrlings PWC, KPMG och Ernst & Young. Alla respondenter jobbar på respektive byrås huvudkontor i Stockholm. Urvalet av revisionsbyråer är baserat på att det bara är dessa fyra som är registrerade att få revidera bolag som omfattas av SOX (FAR INFO, 2004). Anledningen till att vi valde just revisorer är deras gedigna kunskap och insikt i många olika företag och branscher. Urvalet av respondenter gjordes med hjälp av både revisionsbyråerna och det material vi gått igenom i våra inledande studier. Till exempel genom de artiklar och utredningar vi läste fick vi namn på vilka som har varit med och jobbat med de här frågorna och på vilka revisionsbyråer de jobbar. När vi sedan vände oss till revisionsbyråerna fick vi hjälp och förslag på vilka vi kunde kontakta och som har god kunskap och erfarenhet om SOX respektive svensk kod för bolagsstyrning. Alla fyra som intervjuades har minst 5 års 14

17 erfarenhet av branschen och anses ha expertkunskap inom området då de alla arbetar på avdelningar som ansvarar för intern kontroll och därmed SOX och Koden. Motiveringen till att antalet intervjupersoner blev fyra stycken är att när vi hade genomfört fyra intervjuer ansåg att fler intervjuer med revisorer inte skulle ge någon ytterligare ny och relevant information då samtliga gett en samlad bild av det undersökta området. 3.5 Metodkritik och giltighet Mätfel är ett vanligt problem som kan ha inverkan på tillförlitligheten av resultatet. Det är viktigt att vara medveten om vilka det är som intervjuats eftersom respondenternas svar utgår från deras personliga synvinkel och att det inte är någon allmängiltig sanning. Hur svaren tolkas och framställs av intervjuaren kan också påverka resultatet Validitet Något som kan påverka studiens validitet är själva intervjun, där den huvudsakliga risken ligger i att respondenten påverkas av intervjuaren genom att exempelvis ledande frågor ställs. Vid genomförandet av intervjuerna hade vi detta i åtanke och försökte så lite som möjligt styra respondenterna. Att frågorna skickades ut i förväg kan ha också få en negativ påverkan i den meningen att de svar man får inte är spontana. Då frågorna utgår från uppsatsen syfte gör det att den information som erhålls är kopplad till det som ska undersökas vilket därmed höjer validiteten. Att respondenterna i dessa intervjuer alla har lång erfarenhet av redovisning och revision och stor kunskap inom området talar för att tillförlitligheten och trovärdigheten i materialet är högt Källkritik Vid inhämtande av information, vare sig källan är artiklar, böcker eller intervjuer är det viktigt att ha i åtanke att det knappast existerar någon objektiv form av information. När det gäller granskningen av använda källor bör de källkritiska kriterierna samtidskrav, äkthet, tendenskritik och beroendekritik beaktas (Eriksson & Wiederheim-Paul, 2001). Kriteriet samtidskrav borde vara det lättaste kravet att uppfylla då ämnet är aktuellt och den information som finns att tillgå är från de senaste åren. Äktheten kan däremot vara ganska 15

18 svår att avgöra därför har vi använt flera källor vid datainsamlingen som sedan jämförts. Tendenskritik används för att utreda om upphovskällan till informationen har något egenintresse i den aktuella frågan. Då revisionsbyråerna kan ha ett egenintresse i kravet på ökad reglering på grund av att det ökar arbetsuppdragen och därmed intäkterna för dessa byråer bör det tas i beaktning. Oavsett vem som intervjuas så finns det ofta en personlig åsikt med i bilden. Hade vi intervjuat representanter både från företag och från revisionsbyråer så hade problemet kanske minimerats men då skulle undersökningens proportioner ha vuxit sig alldeles för stora med tanke på den tidsram vi har på tio veckor. Med beroendekritik avses kontroll av källornas oberoende gentemot varandra. När ämnet är så pass nytt och implementeringen av de båda regelverken är i ett inledande skede bör extra vaksamhet tas. Det är troligt att revisionsbyråerna tar del av samma informationsmaterial och går på samma seminarium och utbildningar vilket försämrar deras oberoende. 16

19 4. Empiri Hela empiriavsnittet grundar sig på vad respondenterna sagt vid de fyra intervjuer som gjorts och inga egna tolkningar eller åsikter tas upp i detta avsnitt. Samtliga respondenter har svarat likartat på frågorna och vi har därför valt att presentera deras gemensamma uttalanden som generella åsikter med undantag för särskilda referat vi anser viktiga att framföra. 4.1 COSO-modellen Samtliga revisorer ser det som naturligt att tillämpa COSO-ramverket. Både SOX och koden förespråkar att företagen ska ha en god intern kontroll som ska utvärderas kontinuerligt och det har då blivit praxis att företagen använder COSO. Det anses vara ett väl etablerat ramverk som rekommenderas att använda för att ha någon form av benchmark i sin interna kontroll. Därifrån utgår de flesta bolagen men sedan är det varierande hur de gör rent praktiskt. En del bolag kartlägger många processer och tittar på alla olika tänkbara risker och kontroller, då blir den delen automatiskt mer resurskrävande och påfrestande. Riskbedömningen som är en av de fem övergripande beståndsdelarna i COSO-modellen anses vara en viktig del att göra ordentligt och korrekt men även andra delar av mer övergripande karaktär bör inte försummas då de kan underlätta arbetet totalt sett. Om man gör det rätt med de övergripande delarna så kan man sedan fokusera och vara effektivare och fokusera mer på de områden som verkligen är riskabla. (Respondent I) 4.2 Koden Implementeringen av Koden Hur långt bolagen har kommit i sin anpassning till Koden uppfattas som varierande och det anses vara lite för tidigt för att göra något uttalande om hur bolagen tycker att anpassningen fungerat. Generellt sett har det inte har varit några större problem med själva Koden förutom de tre paragraferna som handlar om intern kontroll. Det är dessa som tar mest tid och kräver mest resurser att genomföra om man jämför med andra delar av Koden. Bolagen är osäkra, de vet inte i alla lägen hur de ska utvärdera den interna kontrollen enligt de premisser som anges i Koden då det inte finns några klara definitioner för den processen. Ingen vet vad man ska 17

20 titta på, hur omfattande det ska vara eller hur den praktiska hanteringen ska gå till. Många bolag lägger stor tilltro till de revisorer som har anlitats och förlitar sig på den hjälpen då det inte finns någon tidigare praxis eller klara riktlinjer för svensk bolagskod. Det finns enligt respondent I tre olika kategorier av företag. Dels de som började i god tid och har kommit igång med arbetet, sen finns det dom som medvetet väntar och ser hur andra gör för att själva undvika att göra misstag. Den tredje kategorin har inte riktigt förstått vad som ska göras och har därför inte påbörjat implementeringen. Den debatt som pågår kring Koden anses vara en helt naturlig debatt då det är så många otydligheter kring de nya reglerna och hur de ska tolkas. Olika bolags verksamhet och storlek skiljer sig åt vilket gör att alla regler inte är lämpliga att följa. Tanken med Koden är att bolagen själva ska kunna ta ställning och förklara varför bolaget inte bör anpassa sig efter regeln. Det finns mycket positivt med Koden och debatten om intern kontroll anses vara positiv eftersom den visar att frågorna kring intern kontroll har kommit upp till rätt nivå. Samtidigt är uppfattningen att det finns flera negativa aspekter såsom all form av ytterligare krav vad det gäller formaliteter som kostar pengar och ibland kanske skapar fokus på fel frågor. Det är ofta bolag som initialt påstår att Koden är något revisorerna har kommit på för att kunna sälja fler tjänster och på så sätt tjäna mer pengar vilket revisionsbyråerna får dementera då det inte är de som skapat Koden. Svårigheten för revisorerna har vart att få bolagen att själva ta ställning och göra en ordentlig analys för att se över vilka poster som kan vara riskfyllda, ett jobb som revisorn tidigare gjorde. Det är oundvikligt att bolagen måste göra någon form av test för att kunna uttala sig om den interna kontrollen. Ska man uttala sig om hur väl något fungerar då kan man inte bara allmänt säga att det fungerar man måste ha belägg för sitt uttalande (Respondent II) För att revisorerna i sin tur ska kunna uttala sig om ledningen och styrelsens uttalande måste bolagen kunna visa att det finns fog för deras uttalande och därigenom måste den interna kontrollen på något sätt testas. 18

21 4.2.2 Tolkning av Koden Koden är ganska kortfattad och den är inte speciellt uttömmande i avsnittet om interkontroll. Revisorer vill alltid ha tydlighet och klarhet, så uppfattningen är att det är tolkningsfrågorna som är den svåraste biten. Att styrelsen skall skriva en rapport avseende företagets interna kontroll gör att det blir en diskussion kring frågorna, det kommer upp på agendan och debatteras på ett mer strukturerat sätt. Att bolagen dessutom tvingas rapportera på ett papper och skriva under som sedan lämnas till aktieägarna gör att det troligen blir ännu större tyngd i frågan. En ytterligare konsekvens är att det krävs stora arbetsinsatser för att få en tillräckligt god grund för att kunna skriva på styrelserapporten. Vilken i sin tur leder till att det blir större fokus på områden som är mer riskfyllda än andra och då stärks kontrollen på de områden där det verkligen behövs. God intern kontroll som det benämns i koden anses inte helt lätt att tolka. Det finns inte någon skala eller några objektiva kriterier utan även här går man tillbaka till grunddefinitionen som bland annat COSO har, att det ska ge en rimlig säkerhet kring tillförlitligheten. Det talas inte om hundraprocentig tillförlitlighet utan om tillräckligt god tillförlitlighet och hur det ska tolkas råder det inte alltid samma uppfattning om hos revisorer och bolag. Som i så många andra sammanhang är kunskapsgapet för tillfället ganska stort. Revisorerna har jobbat med kontroller i många år och är duktiga på internkontroller och vad som är bra och dåligt. Det finns helt klart ett utbildningsbehov hos bolagen för att komma upp på samma nivå som revisorerna för att lättare kunna hålla en diskussion. Men om man ska säga någonting generellt, som kanske både gäller Koden och SOX, innebär god intern kontroll att man har en så pass god kontroll att man inte tar mer risker än man vill ta, olika företag har olika riskaptit. Helt enkelt, att ha en bra koll på hur mycket risk man vill ta och hur mycket man vill kontrollera den (Respondent I) Följa eller förklara Den gemensamma uppfattningen bland revisorerna är att följa eller förklara principen är bra och anses vara ett sunt sätt att applicera Koden på. Tanken med Koden är att marknaden ska 19

22 bedöma eller straffa och då anses det rimligt att bolagen har en möjlighet att förklara sig om varför de ej följt reglerna. Koden kanske inte är applicerbar för precis alla olika sorts bolag. Det viktiga är att bolagen upplyser om saker och ting, tar fram och lämnar fakta och förklarar (Respondent II). Generellt så uppfattas ambitionsnivån bland styrelser vara ganska hög för ingen vill vara sämst i klassen så tron på att Koden kommer att följas är stor. På några års sikt kommer det dessutom vara svårt att inte följa därför att det finns så många olika internationella lagstiftningar och olika börser som kommer att påverka de svenska bolagen. EU har sina direktiv som är på väg in inom ett par år, så det kommer att vara väldigt svårt att vara noterad på börsen och ha ett större marknadsvärde om man väljer att inte följa Koden. Koden prövas nu och så får tiden utvisa om bolagen tar detta på allvar, gör de inte det så säger många stalltips att det blir en lagstiftning av det om två, tre år eller så. (Respondent I) Enligt respondent IV visar en studie, som nyligen utförts av den revisionsbyrå han jobbar på, att av de 77 årsredovisningar som hittills kommit in så är det åtta som inte har en rapport om intern kontroll varav fyra förklarar varför de inte har det, till exempel med att de har påbörjat arbetet men inte är mogna att lämna en rapport ännu. De andra fyra däremot har inte gjort någonting så dessa har inte följt Koden överhuvudtaget medan de som förklarat bort sig har följt Koden under förutsättning att deras förklaring är rimlig. Enligt respondenten är det färre avvikelser med förklaring från Koden än vad som förväntats Förväntningar på FARs rekommendationer Bolagen har hittills bara beskrivit den interna kontrollen, de har inte gjort något uttalande om hur väl den fungerat utan alla väntar på FARs rekommendation som kommer ut senare i år (2006). (Respondent II) Allting styrs av vad som definieras som risk för fel i finansiella rapporteringar och utifrån det definierar bolagen kontrollstrukturen och så går de vidare neråt. Definieras bara en risk så är 20

23 det relativt enkelt men definieras flera saker som risk medför det större omfattning på kontrollstrukturen. Där förväntas FARs rekommendation kunna ge en viss vägledning åt även bolagen. En annan fråga rekommendationen förväntas sprida ljus över är vad revisionsstandarden kommer att ställa för krav på bolagens dokumentation för att revisorn ska kunna göra en revision. Det finns en risk att det blir lite omvänt, bolagen kommer titta på revisionsstandarden för att få veta vad som krävs av revisorerna vilket då också blir de krav som bolagen behöver upprätthålla. Om FAR säger att så här mycket ska omfattas, så här ska det dokumenteras och vi vill ha 10 års spårbarhet på allting ni har gjort, ja då blir frågan helt enkelt mycket enklare. (Respondent IV) Det anses vara bra att det kommer en ny rekommendation för då blir det klarare för bolagen, de kan se vad det är som granskas. Därefter kan de fråga sin revisor om vad det innebär och var revisorerna kommer att lägga ribban. Det blir en mer fokuserad diskussion kring vad bolagen behöver göra, sen är det upp till bolagen själva att bestämma vad dom tycker är lämpligt, vilket nog kommer att främja en mer konkretiserad och bättre diskussion Rekommendationen tillräcklig? Förhoppningarna är att FARs nya rekommendationer kommer leda till att det blir lättare att följa Koden i praktiken men det förväntas ändå bli lite olika tolkningar och diskussioner som det blir med allting nytt. Så länge det inte är något som är detaljstyrt så kommer olika tolkningar att uppstå och det kan ta ett tag innan det sätter sig vad som är god sed för interkontroll. Rekommendationen kommer förtydliga vad revisorerna kan förvänta sig ska finnas på plats i bolagen vilket kan skapa ett visst stöd. Uppfattningen är ändå generellt att det fortfarande kommer att finnas flera frågetecken, mycket tolkningsutrymme och många oklarheter kvar. Den nya rekommendationen förväntas inte heller vara så detaljerad, det kommer inte stå hur testningen ska gå till i detalj, hur mycket som ska testas eller hur revisorn ska gå in och kontrollera. Den förväntas heller inte att vara som SOX när det gäller detaljregleringen. Rekommendationen kommer inte bara kunna läsas rakt av utan företagen måste dels ta 21

24 ställning själva men även läsa på en del andra saker om intern kontroll. Det är ett svårt gränsland mellan självreglering och mer tvingande lagstiftningsfrågor, då det kan vara svårt att komma in med krav på hur det ska se ut även från revisorernas sida. Desto mer tvingande och mer tydlig rekommendationen är desto mer går den mot lagstiftningshållet. Det är nog lätt att hamna i en sån situation där det blir stora testvolymer och mycket jobb från revisorerna. I svenskt management klimat och lagstiftningsklimat så tycker jag att självreglering är bästa vägen just nu även om det skulle innebära att allt ifrågasätts totalt, då får det göra det i så fall, det är bättre det än att vi försöker tvinga på någonting. (Respondent IV) Koden anses av samtliga intervjuade revisorer vara bättre än SOX så länge det finns tillräckliga riktlinjer för hur mycket revisorn själv måste göra för att förvissa sig om att bolaget har gjort det de ska. 4.3 SOX, sektion Implementeringen av SOX Bland dem som är ansvariga partners har det blivit så att revisorerna har tvingats att bli försiktigare. Det är så stora pengar på spel och det är stora skadestånd och det har gjort att alla revisorer måste vara extra vaksamma. Revisorerna bör ha haft en bra relation med sin klient innan implementeringen då det har uppstått friktion mellan revisionsbyråerna och företagsledningarna. Det handlar om att klara sig igenom det första året, för år två är tron att det kommer att gå lättare. Ribban för att kontrollera och dokumentera processer sattes lite för långt ner än för vad som är väsentligt, och i varje process har man plockat fram för mycket som är nyckelkontroller. Man börjar tänka på risker utifrån allt möjligt som kan hända men är det verkligen sådant som måste vara med? (Respondent III) Det som är viktigt från bolagens sida är att man gör en bra riskbedömning och fokuserar sig på de områden där det finns risker och där det finns risker ska det dokumenteras upp bra och testas. 22

25 De höga straff som tillämpas av SOX har gjort att revisionsbyråerna har blivit ännu petigare med vad de släpper igenom och inte tillåter. Framförallt i de jättestora bolagen, där är det stora volymer med nyckelkontroller som ska testas. SOX kan bli så att man springer in i skogen för att inventera träd vilket gör att det blir fokus på fel saker istället för att fokusera på de områden som är viktiga (Respondent III) Samtliga respondenter är överens om att SOX inte passar in i det svenska klimatet som har självreglering som ledstjärna Positiva och negativa effekter En positiv effekt med SOX är att det blir en bättre transparens och en bättre process som helhet för den finansiella rapporteringen. Den information som kommer till marknaden blir bättre, har bättre kvalité och i många fall blir dessutom arbetet med att ta fram informationen efter hand smidigare. Generellt har man börjat prata om intern kontroll på ett helt annat sätt än man gjorde tidigare och i de här projekten skapas en bra medvetenhet och det är en av de allra viktigaste konsekvenserna. Det har pratats om en kvalitetsstämpel genom SOX som ska ge en bättre kreditvärdighet på lån exempelvis men inte alls i den omfattningen som det nämnts. Det har gjorts lite jämförelser på hur aktiekursen rört sig och det finns inga jättetydliga samband där. Aktieägarna ifrågasätter alla pengar som SOX har kostat och tycker att det har gått lite för långt. Den största nackdelen är just att det har kostat mycket pengar. I USA sägs implementeringen ha kostat de amerikanska bolagen 7 miljarder dollar. Idag ägnar de amerikanska revisorerna halva sin tid åt riskminimering genom att fylla i en massa formulär, skapa dokumentation och checklistor som ska skrivas på bara för att de sen ska kunna användas som bevis i en eventuell 23

26 rättsprocess. Revisorerna som ska leda och utveckla verksamheten och hjälpa kunderna med de svåraste frågorna får ägna sig åt interna riskfrågor istället för det de borde. SEC har backat lite i sina regler och tron bland revisorerna är att lagen kan komma att bli ytterligare förmildrad i sin tillämpning då den fått så mycket kritik. 4.4 Generellt om Koden och SOX Koden stämmer till stor del överens med andra internationella regelverk och den kommer troligtvis vara bra nog i många fall. Möjligen kommer vissa utländska investerare kräva något mer genomlysning och fråga om saker som inte ingår i Koden. I och med att COSO finns som bas och gemensam benchmark för alla liknande regelverk så kommer det dock att finnas ett gemensamt språk och terminologi. Uppfattningen är ändå att koden är relativt hård om man jämför med andra europeiska länder. I USA hände så pass många skandaler så de tvingades till att göra någonting vilket var nödvändigt just för att visa att inte vad som helst accepteras och för att återupprätta det förtroende för USA: s finansmarknader som underminerades av bland annat Enrons manipulationer. När det gäller trovärdigheten i Sverige så vet jag inte om det har varit samma behov. Det är en pendel i hela världen att man ska fokusera mer på intern kontroll så då måste vi följa med. (Respondent III) Utifrån ett svenskt perspektiv så passar inte SOX för svenska bolag eller svenskt management. Amerikanskt management är annorlunda och den amerikanska miljön är annorlunda med avseende på juridiska system där allting som inte uttryckligen är förbjudet är tillåtet. Intern kontroll som begrepp är relativt nytt men så länge det funnits företag har det funnits intern kontroll eftersom alla vill säkerställa att faktureringen går rätt till och att företaget inte förlorar några pengar. Om det sätts tydliga krav på ledningen att det är deras ansvar, så är Koden rätt väg att gå. 24

27 Trovärdigheten för näringslivet har till viss del kommit tillbaka tack vare SOX men det kan även bero på att det har varit ganska goda tider sedan de stora skandalerna runt bland annat Enron vilket kan spela en viss roll. Om marknaden vänder finns det risk att det börjas leta efter problem och då kan det dyka upp nya negativa saker som inte framkommit under goda år. Koden är det svårare att uttala sig om då den inte har funnits lika länge och inte riktigt skapat någon praxis. En fråga som många har ställt sig är om de här skandalerna som hänt med Enron och Worldcom skulle ha förhindrats om SOX fanns på plats? Det kanske inte är helt säkert att skandalerna hade hindrats då det har handlat om ledande befattningshavare som har gått vid sidan om. SOX har handlat om de vardagliga rutinerna, det vill säga hur det säkerställs att ett system lämnar över information till ett annat och så vidare. De största riskerna kanske ändå ligger uppe på ledningsnivå. Jag hörde om det på Enron och det var tydligen en chef som sa till en controller att gör så här och controllern gick till en bokföringsperson och sa gör så här och så gjorde de så, det följde inga gängse rutiner och så, vad gör man om chefen kommer och knackar på axeln. (Respondent III) Angående det förväntade ökade förtroendet som SOX och Koden skulle bidra till så är uppfattningen att när det gäller SOX så är det främst de som är involverade som är insatta i de nya reglerna medan andra är relativt okunniga. För att skapa ett ökat förtroende för näringslivet krävs kunskap om vad som sker inom området intern kontroll. Risken finns att det blir likadant med Koden, att inte gemene man vet att regelverket finns. Det finns en uppfattning om att Koden inte har sålts in tillräckligt hos allmänheten, de vet inte vad svensk kod för bolagsstyrning är för något och de vet ännu mindre vad SOX är. 25