Internkontroll och Internrevision - En jämförelse mellan banker och andra typer av företag

Transkript

1 MÄLARDALENS HÖGSKOLA Akademin för hållbar samhälls- och teknikutveckling EFO019 Magisteruppsats i ekonomistyrning Internkontroll och Internrevision - En jämförelse mellan banker och andra typer av företag Grupp 1814 Eskilstuna, Källebrink Cornelia Pettersson Zandra Handledare: Segelod Esbjörn

2 Sammanfattning Datum: Nivå: Magisteruppsats i företagsekonomi 15 hp Författare: Cornelia Källebrink Zandra Pettersson Hyttgatan 27 Malmabergsgatan 79 H Sala Västerås ckk04001@student.mdh.se zpn07001@student.mdh.se Handledare: Esbjörn Segelod Titel: Problem: Syfte: Metod: Resultat: Internkontroll och internrevision En jämförelse mellan banker och andra typer av företag. På grund av alla företagsskandaler som upptäckts de senaste åren har många länder infört koder eller regler om hur bolag skall hantera bolagsstyrning. År 2002 införde USA Sarbanes Oxley Act (SOX) som är ett omdiskuterat regelverk. I Sverige kom år 2005 svensk kod för bolagsstyrning som är en rekommendation som bygger på principen följa eller förklara. I och med dessa koder har fokusering på internkontroll blivit allt viktigare. En rapport om internkontroll är något alla bolag som måste följa bolagskoden skall ha i sin finasiella rapport. En annan funktion som blivit allt viktigare i bolagen är internrevision. Denna funktion är dock ej obligatorisk enligt bolagskoden. Vi vill genom införandet av dessa koder och regelverk studera och jämföra hur bolag i Sverige hanterar sin bolagsstyrning, internkontroll, internrevision och riskhantering. Syftet med denna uppsats är att granska hur banker och andra typer av företag tillämpar svensk kod för bolagsstyrning samt SOX. Dessutom kommer en jämförelse om hur banker och andra typer av företag hanterar internkontroll, internrevision samt riskhantering. Studien börjades med att samla in information och skapa en referensram genom bland annat böcker, artiklar och internetkällor. En jämförelse mellan valda bolag gjordes genom att studera respektive årsredovisningar. Efter att ha studerat och jämfört de valda bolagen har det visat sig att få av dem gör avvikelser. Det är endast två av de studerade bolagen som gör detta. Nästan alla studerade bolag skriver i sin årsredovisning att de utgår från COSOmodellen när det gäller deras internkontroll rapport i den finasiella rapporten. De två bolag som inte nämner detta har efter jämförelsen konstaterats att de följer COSO- modellen helt eller delar av den. De flesta studerade bolagen har en intern-revisionfunktion. Det är endast ett bolag som inte har detta. Undersökningen har visat att internrevision blir allt vanligare i bolag. Riskhantering i bolagen blir allt viktigare. Banker använder sig av Basel II, vilket är ett resultat av att en ny lag infördes 1 februari år Medan företag använder sig av antingen ramverk eller har delat in risker i olika grupper.

3 Abstract Date: Level: Master thesis in Business Administration 15 ECTS credits Authors: Cornelia Källebrink Zandra Pettersson Hyttgatan 27 Malmabergsgatan 79 H Sala Västerås ckk04001@student.mdh.se zpn07001@student.mdh.se Tutor: Title: Problem: Purpose: Method: Result: Esbjörn Segelod Internal control and internal audit - a comparison between banks and other types of companies. Because of all the business scandals that has been discovered during the past years many contries have introduced codes and laws aboute how organizations should manage their corporate governance. In 2002 the US introduced Sarbanes Oxley Act (SOX) which has created a big debate. In 2005 the Swedish Code for Corporate Governance was introduced, which is a recomendation that is built on the principle comply or explain. This code brings more focus on the internal control in organizations. A rapport about internal control must be included in the anual rapport from every organization that have to follow the code. Another important function in companies is internal audit. This function is not mandatory according to the code. Because of the introduction of codes and laws we want to study and compare how organizations in Sweden manage their corporate governance, internal control, internal audit and risk management. The purpose of this thesis is to examine how banks and other types of companies in Sweden apply the Swedish Code for Corporate Governance and SOX. Furthermore it will be a comparison between banks and companies on how they managing internal control, internal auditing and risk management. The study started with collacting books, articels and Internetsources to create information to build a model of theoretical framework. A comparison between the chosen organizations has been done by studing their anual rapports. Analyze of Anual Reports show that very few of the chosen organizations deviate from the code. The study shows that only two of the organizations that have been studied deviate from the code. Almost all organization studied are writing in their annual rapports that they are using COSO when it comes to their internal control. However the two organizations that do not mention COSO have after the study showed that they are using COSO either in full or parts of it. Most of the organizations are using internal auditing, the study shows that only one of them does not use that function and that internal auditing has become more common in organizations. Risk management in organizations has become more important. Banks are using Basel II, which is a result of the new law that was introduced February 1th Companies either using framwork or devid the risks in diffrent groups.

4 Definition Basel II Kapitaltäckningsregelverk som infördes i Sverige från den 1 februari år 2007 och med detta infördes EU-reglerna och Basel II 1. Bolagskoden Svensk kod för bolagsstyrning, alla börsnoterade bolag på A-listan och alla på O-listan som har ett marknadsvärde som överstiger tre miljarder kronor ska tillämpa bolagskoden 2. COSO The Committee of Sponsoring Organizations of the Treadway Commission organization, som utkommit med ramverk för intern styrning, kontroll och riskhantering 3. Dualitetsprincipen Går ut på att ingen enskild person utan kontroll eller insyn skall hantera en rutin eller sköta ett ärende ensam 4. Finansiell rapport Avser enligt IAS 1 resultaträkning, balansräkning, eget kapital, kassaflödesanalys och beskrivning för använda redovisningsprinciper samt noter 5. IAS 1 Internal Accounting Standard, rekommendationer utgivna av IASB. IAS 1 tar upp om utformning av den finansiella rapporten. Syftet med denna standard är att trygga jämförbarhet mellan bolags årsredovisningar samt ett bolags årsredovisning från olika perioder. 6 IASB International Accounting Standards Board, ger fortlöpande ut redovisningsstandarder, IAS 7. Internkontroll Styrelsen i bolagen skall se till att en god internkontroll finns i bolaget och kontinuerlig se till att de är informerade och att de analyserar hur bra systemet för den interna kontrollen fungerar i bolaget 8. Internkontroll upprättas för att bolagen kan styras mot vinstmål, huvudsakliga uppdrag och för att överraskningar ska kunna minimeras 9. Internkontroll gynnar effektiviteten, minskar risker för förluster bland tillgångar, hjälper tillförlitligheten i den finansiella rapporteringen och gör att lagar och regler följs 10. Internrevision Internrevisorn är ett hjälpmedel för ledningen i bolaget som kontrollerar bolagets effektivitet och verksamhet. Internrevisorn kan ha en ställning i bolaget som är självständigt och kan 1 Finansinspektionen 2 Kollegiet för svensk bolagsstyrning 3 COSO, s. 3 4 Swedbank 1 5 Svensk kod för bolagsstyrning, s FAR Komplett 7 Sundgren, S m.fl. (2007). s Svernlöv, Carl, Balans nr COSO, s Ibid, s. 4

5 därmed arbeta på ett objektivt sätt. 11 Den interna revisorns roll är att införa bevakning gällande riskhantering, kontroll och styrningsprocessen 12. Kollegiet för svensk bolagsstyrning Inrättats för att se till och utveckla svensk bolagsstyrning 13. Koncern Ett antal bolag som samverkar, men under ledning av ett moderbolag 14. Nasdaq National Association of Securities Dealers Automated Quotation, amerikansk aktiebörs 15. Riskhantering En bra riskhantering kräver en bra intern styrning och kontroll och det har blivit en viktig fråga för ledningen, myndigheter och andra organisationer gällande hur risker skall skötas och accepteras 16. Fokus på riskhanteringen har ökat under de senaste åren och ger ledningen en möjlighet att hantera osäkerhet på ett effektivare sätt som skapar ökat värde för organisationen 17. Sarbanes Oxley Act (SOX) Amerikans lagstiftning gällande bolagsstyrning och hur bolag skall hantera internkontroll och dokumentation 18. Svensk Näringsliv Företräder företag i Sverige 19. Årsredovisning Offentlig ekonomisk och finansiell rapport som består utav resultat- och balansräkning, noter samt förvaltningsberättelser FAR 2, (2006). s Pickett, K H Spencer, (2003). s Kollegiet för svensk bolagsstyrning 14 Nationalencyklopedin 15 Nationalencyklopedin 2 16 COSO 2, s Ibid, s FAR 2, (2006). s Svenskt Näringsliv 20 Nationalencyklopedin 3

6 Förkortningar ADS American Depositary Shares. CIA Certified Internal Auditor, certifiering för internrevisorer 21. CRD The Capital Requirements Directive. ERM Enterprise Risk Management, ramverk från COSO om riskhantering 22. FAR Branschorganisation för revisorer och redovisning 23. GCC GIA IFRS IIA IRB IRF KR SEC ÅRL Group Credit & Risk Control i Nordea. Group Internal Audit i Nordea. International Financial Reporting Standards. The Institute of Internal Auditors, internationell organsiation för interna revisorer 24. The Internal Ratings Based. Internrevisorernas Förening. Koncernens Riskkontroll i Swedbank. Securities and Exchange Commission. Årsredovisningslagen. 21 Internrevisorerna 22 COSO 2, s FAR/SRS 24 The Institute of Internal Auditors

7 Innehållsförteckning 1 Inledning Bakgrund och problemdiskussion Frågeställningar Syfte Avgränsning Målgrupp Disposition Metod Ämnesval Metodval Tillvägagångssätt Urval av banker och andra typer av företag Sekundärkällor och litteraturval Validitet och Reliabilitet Metod och litteraturkritik Referensram Bolagsstyrning Svensk kod för bolagsstyrning Internkontroll Internrevision Basel II Sammanfattning Empiri SEB Swedbank Nordea Handelsbanken Volvo Ericsson Hennes & Mauritz TeliaSonera Analys Slutdiskussion Förslag på fortsatt forskning Källförteckning Figur- och tabellförteckning Figur 1 Disposition...4 Figur 2 COSO kuben.. 15 Tabell 1 Sammanfattande tabell 1.39 Tabell 2 Sammanfattande tabell 2.40

8 1 Inledning Här presenteras en kortare bakgrund om bolagsstyrning och dess utveckling samt problemdiskussion. Därefter kommer våra frågeställningar, syfte, avgränsning, målgrupp samt disposition att presenteras. 1.1 Bakgrund och problemdiskussion Både i Sverige och utomlands har stora företagsskandaler försämrat förtroendet för börsnoterade företag 25. Några exempel på företagsskandaler är Barings Bank, Enron, WorldCom och Société Générale. Barings Bank gick i konkurs år 1995 då börsmäklaren Nick Leeson hade spekulera bort 850 miljoner pund. Barings Bank, i Storbritannien blev kritiserade för deras brist på internkontroll eftersom Nick Leeson kunde dölja förlusterna som han gjort i flera månader. Det amerikanska energiföretaget Enron kollapsade år Enron redovisade en vinst på 979 miljoner dollar den 31 december år 2000 och det fanns inget för aktieägarna som tydde på att Enron under år 2001 skulle kollapsa och bli en av de största konkurserna i USA:s historia. 26 Precis när ekonomin i USA höll på att återhämta sig efter Enron skandalen så blev en annan stor skandal känd, WorldCom. WorldCom var värderat till 180 miljarder dollar år När ledningen ändrades år 2002 tillfrågades internrevisorerna att noggrant granska redovisningstransaktioner och där det upptäcktes att företags kostnader behandlades som kapitalinvesteringar. Worldcom erkände att de medverkade till det största redovisningsbedrägeriet i historien år Den senaste av skandalerna är den franska banken Société Générale som beskrivs som en av historiens största bankbedrägeri. Felaktiga affärer av en ensam handlare kommer att kosta banken cirka 46 miljarder kronor. En anställd i finans- och investeringsavdelningen hade utfört internt bedrägeri, vilket ledningen för Société Générale nyligen upptäckte. Mannen ska ha med hjälp av sin stora kunskap om kontrollmekanismerna i banken lyckats dölja sitt bedrägeri. 28 Global Economic Crime Survey gjorde en undersökning som visade att vart fjärde svenskt företag någon gång varit utsatt för ekonomisk brottslighet. Rapporteringsgraden av ekonomisk brottslighet beror på vilken kontrollmöjlighet som finns i företagen. Enligt Ulf Sandlund, ansvarig för Forensic hos Öhrlings PricewaterhouseCoopers, finns bättre kontrollsystem oftast hos de större företagen och det medför att de upptäcker och rapporterar brott oftare. 29 En organisations huvuduppgift är att uppnå den nivå av arbete som den skapades för, men samtidigt måste organisationen följa de standarder, regler, lagar med mera som finns angivna. Detta kan skapa många problem. Med bolagsstyrningskoder och policys kan en balans mellan detta uppnås för att garantera öppenhet, integritet och säkerhet. Koderna får stöd av strukturen som stödjer dessa tre ideal och den interna revisorn är en nyckel komponent i strukturen. Den interna revisionen har ytterligare en roll, att utbilda chefer i användbara lösningar samt att hjälpa till att ta fram verktyg och teknik i detta avseende. De interna revisorerna som har ordentligt grepp om bolagsstyrning kan ha en stor roll i att försäkra uthållighet och framgång i privata och offentliga sektorn Svensk kod för bolagsstyrning, (2004). s Mallin, C A, (2004). s Pickett, K H Spencer (2003). s Sydsvenskan.se 29 Juhlin Erik, Agenda nr , s Pickett, K H Spencer, (2003). s. 11 1

9 På grund av alla företagsskandaler har förtroendet från aktieägare och investerare blivit försämrat. Många länder har upprättat koder för bolagsstyrning för att förbättra internkontrollen och återfå förtroendet från intressenterna. 31 I USA introducerades i juni år 2002 ett lagstadgat regelverk kallat Sarbanes Oxley Act (SOX) som alla amerikanska och utländska företag noterade på den amerikanska börsen måste följa 32. Under åren 2003 till 2004 utarbetades koden för bolagsstyrning i Sverige, svensk kod för bolagsstyrning (bolagskoden), som började användas under år Bolagskoden är uppbyggd på principen följa eller förklara vilket innebär att bolagen får avvika från bolagskodens rekommendationer, men om detta görs skall det motiveras 34. Syftet med koden är att förbättra styrningen av svenska börsnoterade bolag. Bolagskoden skall främst förbättra förtroendet på den svenska kapitalmarknaden och höja kunskapen och förtroende för utländska investerare gällande svenska bolag. 35 Enligt bolagskoden har styrelsen ansvar för bolagens interna kontroll och skall varje år presentera en finansiell rapport över hur den interna kontrollen har fungerat 36. Internkontroll är något som behövs i alla företag och organisationer. Internkontroll kan leda till bättre information, effektivare processer samt undvikande av kostsamma fel. En bra internkontroll hjälper till att undvika risker som kan påverka bolagets måluppfyllelse. 37 Genom dessa koder och regelverk har det blivit en mer fokusering på bolagens interna kontroll. Kraven på internkontroll kommer med lagar, rekommendationer, börsregler och förordningar, men det finns inte idag några officiellt framtagna standarder över hur bolagen skall agera när det kommer till deras interna kontroll 38. Det mest erkända och använda ramverk gällande hanteringen av internkontroll är COSO- modellen 39. Denna modell utarbetades och år 1991 gavs ramverket, Internal Control an intergrated framework ut 40. Bolagskoden tar upp internkontroll, men nämner inte på ett specifikt sätt hur bolagen skall hantera den. Utifrån att internkontroll har blivit så viktigt de senaste åren på grund av alla företagsskandaler och nya regler vill vi undersöka hur banker och andra typer av företag väljer att hantera den interna kontrollen. De banker och andra typer av företag som vi valt ut till denna studie diskuteras i avsnitt 2.4. En annan sak vi vill undersöka är om COSOmodellen används vid hanteringen av internkontroll, då denna är det mest erkända ramverket gällande hantering av internkontroll. Enligt bolagskoden behöver inte bolag ha en internrevision utan det räcker med att utvärdera varje år om en sådan funktion är nödvändig 41. Internrevisionen innebär att bolagets information granskas, bland annat kontrollera att lagar och regelverk följs, tillgångar skyddas samt att mål uppnås 42. Den interna revisionen är ett hjälpmedel för att kunna kontrollera effektiviteten och verksamheten för ledningen 43. I svensk kod för bolagsstyrnig finns det inget krav på internrevision utan varje år måste bolagen utvärdera om en sådan granskningsfunktion är nödvändig 44. Då internrevision enligt bolagskoden är frivilligt vill vi undersöka om banker och andra typer av företag använder sig av denna funktion. 31 Svensk kod för bolagsstyrning, (2004). s Prentice, R, (2005). s Svensk kod för bolagsstyrning, (2004). s Svernlöv, C, (2006). s Svensk kod för bolagsstyrning, (2004). s Ibid, s FAR 1, (2006). s COSO, s FAR 1, (2006). s COSO, s Svensk kod för bolagsstyrning, (2004). s Internrevisorerna 43 FAR 2, (2006). s Precht Elisabeth, Balans nr

10 En bra riskhantering kräver en bra intern styrning och kontroll och det har blivit en viktig fråga för ledningen, myndigheter och andra organisationer gällande hur risker skall skötas och accepteras 45. Fokus på riskhanteringen har ökat under de senaste åren och ger ledningen en möjlighet att hantera osäkerhet på ett effektivare sätt som skapar ökat värde för organisationen 46. I denna uppsats vill vi även undersöka hur banker och andra typer av företag hanterar riskhantering, då upptäckten av risker i ett tidigt skede kan hjälpa att undvika stora kostnader. En bra internkontroll, internrevision och riskhantering minskar eventuella fel och ökar förtroendet bland intressenter. I denna uppsats vill vi med detta undersöka hur banker och andra typer av företag sköter dessa viktiga poster. 1.2 Frågeställningar Utifrån vår bakgrund och problemdiskussion är frågeställningarna följande: Hur har banker och andra typer av företag implementerat svensk kod för bolagsstyrning? Följer svenska banker och andra typer av företag SOX? Hur hanterar banker och andra typer av företag internkontroll, internrevision samt riskhantering? 1.3 Syfte Syftet med denna uppsats är att granska hur banker och andra typer av företag tillämpar svensk kod för bolagsstyrning samt SOX. Dessutom kommer en jämförelse om hur banker och andra typer av företag hanterar internkontroll, internrevision samt riskhantering. 1.4 Avgränsning Uppsatsen har avgränsats med att endast undersöka fyra valda banker, det vill säga SEB, Swedbank, Nordea och Handelsbanken som hädanefter kommer att refereras som banker samt fyra börsnoterade företag, det vill säga Volvo, Ericsson, Hennes & Mauritz och TeliaSonera som kommer refereras som företag. Alla dessa bolag tillämpar svensk kod för bolagsstyrning. En annan avgränsning är att vi endast undersöker hur dessa banker och företag hanterar bolagskoden när det gäller avvikelser, internkontroll och internrevision. Inom internkontroll har avgränsning gjorts till att endast beskriva COSO- modellen då detta är det mest använda ramverket. Ytterligare en avgränsning som har gjorts är att endast studera årsredovisningar från år Målgrupp Denna uppsats riktar sig främst till personer som vill få en tydligare bild av hur svenska kod för bolagsstyrning, internkontroll, internrevision och riskhantering behandlas i svenska börsnoterade bolag. 45 COSO 2, s Ibid, s

11 1.6 Disposition Kapitel 1- I detta kapitel kommer en kortare bakgrund om bolagsstyrning och dess utveckling att presenteras samt problemdiskussion och frågeställningar, syfte och avgränsning att diskuteras. Kapitel 2- I detta kapitel kommer en beskrivning om hur arbetet har gått till, vilken metod som uppsatsen har baserats på, vilka val som gjorts, validitet och reliabilitet samt metod- och litteraturkritik. Kapitel 3 I detta kapitel kommer bolagsstyrning och dess historia, SOX samt bolagskoden att presenteras. Därefter kommer en beskrivning av internkontroll inklusive COSO, internrevision samt Basel II presenteras. Kapitel 4 I detta kapitel kommer bankerna och företagens avvikelser från bolagskoden samt deras internkontroll, internrevision och riskhantering att presenteras utifrån respektive bolags årsredovisning. Kapitel 5 I detta kapitel kommer en analys och jämförelse utifrån referensramen, empirin och tabellerna att göras. Kapitel 6 I detta kapitel kommer en slutdiskussion att föras. Förslag på fortsatt forskning kommer även att presenteras. 4

12 2 Metod I detta kapitel kommer metod, metodval, tillvägagångssätt, urval, litteraturval, validitet och reliabilitet samt metod och litteraturkritik att diskuteras. 2.1 Ämnesval När valet av ämne diskuterades kom tidigt en inriktning mot ekonomiskbrottlighet upp. I och med två promemorior i magisterkursen ekonomistyrning och redovisning undersökte vi närmare denna inriktning som ledde in oss på internkontroll och internrevision. Eftersom dessa ämnen är väldigt breda och en avgränsning behövdes valde vi att koncentrera oss på hur bolag tillämpar svensk kod för bolagsstyrning samt internkontroll, internrevision och riskhantering. Ytterligare en avgränsning som gjordes var att endast studera de fyra största bankerna i Sverige samt fyra valda svenska börsnoterade företag och undersöka och jämföra hur de hanterar bolagskoden, internkontroll, internrevision samt riskhantering. Därmed valdes ekonomiskbrottslighet bort då det skulle medföra svårigheter att undersökas då mörkertalen är stora. 2.2 Metodval Valet av metod blev en litteraturstudie då den informationen som behövdes för denna undersökning fanns tillgänglig genom böcker, artiklar, årsredovisningar och interntkällor. Det grundläggande syftet med litteraturgenomgång är att samla information och kunskap om det problem som ska arbetas med. Användningen av den kunskap som har samlats in med hjälp av litteraturen används till följande: att skapa en teoretisk ram, som kan fungera som tolknings- eller förklaringsmodell att definiera och avgränsa nyckelbegreppen att bidra till preciseringen av problemställningen genom att klarlägga vad man redan vet om problemet, för att därefter inringa vad man ännu inte vet att bidra till val av metod. 47 Desto omfattande litteraturgenomgången blir ju svårare kan det bli att hålla fast till den röda tråden. Har en teoretisk ram skapats innebär det att det finns ett större sammanhang att infoga sitt resultat i. Vilket i sin tur leder till större giltighet samt räckvidd. Teoriramen ska hjälpa till att klarlägga problemet. Det som skrivs i teoriramen ska vara relevant till undersökningen Tillvägagångssätt Studien började med att undersöka lämplig information till referensramen. Detta gjordes genom att söka relevant data i form av böcker, artiklar och webbsidor, för att skapa en bred förståelse för detta ämne. Utifrån detta skapades en avgränsning som bara tar upp det som är relevant till syftet. För den empiriska undersökningen valde vi att studera banker och företag för att bilda oss en uppfattning om hur dessa hanterar bolagskoden, internkontroll, internrevision samt 47 Winter, J, (1992). s Ibid, s

13 riskhantering. Intervjuer valdes bort i den empiriska undersökningen på grund av att tillräcklig information fanns att tillgå på annat sätt, det vill säga genom årsredovisningar och internetkällor. Dessutom har denna undersökning haft en tidsbegränsning samt att intervjuer med ledningen för respektive bolag skulle vara mycket tidskrävande. Informationen i empirin utgår från teorin som tas upp i referensramen. I referensramen presenteras de teoretiska delarna som är relevanta för vår undersökning för att sedan kunna göra jämförelse mellan bolagen. Efter insamling av relevant data har vi gjort jämförelsetabeller mellan bankerna och företagen för att förtydliga skillnaderna och som hjälpmedel för vår analys. Utifrån empirin har vi analyserat och jämfört bolagens agerande gällande tillämpandet av bolagskoden, internkontroll, internrevision samt riskhantering. I slutsatsen har vi svarat på våra problemformuleringar samt haft en slutdiskussion. I slutet av vår uppsats har förslag på fortsatt forskning gjorts. 2.4 Urval av banker och andra typer av företag Valet som gjordes var att studera fyra banker och fyra andra typer av företag. Anledningen till att studera både banker och företag var för att vi vill se skillnaden dels mellan de olika bankerna och företagen sinsemellan samt skillnaden mellan banker och företag. Detta val gjordes för att se om det finns någon betydande skillnad mellan hur dessa hanterar avvikelser när det gäller bolagskoden samt internkontroll, internrevision och riskhantering. Dessutom är det av intresse att studera skillnaden utifrån att banker har en förtroendeställning då de hanterar andra personers pengar samt ett ägarintresse medans företag har ägarintresset i fokus. Valen av banker gjordes utifrån de största svenska bankerna 49, som alla finns i Västerås. I och med att bankerna är börsnoterade i Sverige skall de tillämpa bolagskoden och därmed uppfyller de det vi vill studera. Därmed kommer undersökningen av banker att gälla SEB, Swedbank, Nordea och Handelsbanken. Förutsättningarna för ett urval är att ha en relativt komplett lista över alla enheter som ingår i undersökningsområdet 50. Valen av andra typer av företag baseras på att de uppfyller de krav som vi ville studera. Det vill säga att de är börsnoterade i Sverige och med det tillämpar svensk kod för bolagsstyrning, med detta skall de ha en finansiell rapport angående internkontroll. Svensk kod för bolagsstyrning tar även upp internrevision. För att få en bred spridning från hela listan har ett systematiskt urval används 51. Utifrån det har vi valt fyra företag inriktade på olika områden/marknader, det vill säga Volvo, Ericsson, Hennes & Mauritz och TeliaSonera. 2.5 Sekundärkällor och litteraturval De källor som har används i denna studie är sekundärkällor. Med sekundärkällor menas att informationen har samlats in av någon annan tidigare. I sekundärkällor som är kvalitativa ingår bland annat texter, exempelvis befintliga berättelser och historier. Med kvantitativa sekundärkällor är bland annat årsredogörelser, börsnoteringar och räkenskaper, som oftast används inom ekonomiska undersökningar. Vid användning av sekundärkällor måste ett kritiskt ställningstagande emot dem göras Yelah 50 Jacobsen, D I, (2002). s Ibid, s Ibid, s

14 Vid dokumentundersökningar kan bland annat företags årsredogörelser, dagböcker, brev et cetera användas. Det finns tre situationer då dokumentundersökningar är tillämpliga. Den första är när primärdata är omöjligt att samla in, det vill säga när information direkt från källor till exempel från högt uppsatta chefer i stora företag kan vara väldigt svårt eller omöjligt att få tillgång till. Den andra situationen är när undersökarna vill veta hur andra personer tolkat en speciell händelse. Den sista situationen är när undersökarna vill veta vad andra personer verkligen uttryckt sig och agerat till exempel genom mötesprotokoll. 53 När urval av litteratur görs, bör bland annat författarnamn, titel, utgivningsort och förlag samt utgivningsår värderas. Ju oftare författarnamn figurerar i hänvisningar desto större sannolikhet är det att denne är expert på området. En väl formulerad titel hjälper till att avgöra om innehållet är relevant för studien som skall göras. Betydelsefull litteratur ges oftast ut av de största kända förlagen och stora universitetsstäder. Ny litteratur hänvisar många gånger till tidigare utgivningar och bör därför i första hand jämföra den nya litteraturen med äldre för att se vilket av den äldre litteraturen som fortfarande är befintlig. 54 Vid val av litteratur har detta tagits i beaktning och framförallt gällande titeln och utgivningsår då många förändringar har skett under de senaste åren samt att bolagskoden nyligen har införts. Böcker har sökts genom Mälardalens högskolebiblioteks sökmotor Book-it och Libris. Artiklar har sökts från FAR Komplett, där artiklar från Balans har hämtats. Artikeln från Agenda är en tidning från Öhrlings PricewaterhouseCoopers. Artiklar från The Internal Auditor har sökts i ELIN, vilket är en sökmotor på Mälardalens högskola som kopplar samman elektroniska databaser via Mälardalens Högskolebibliotek. Sök ord som används vid böcker, artikel och webbsökning har bland annat varit: internkontroll, internal control, internrevision, internal audit, svensk kod för bolagsstyrning, SOX, Basel II och riskhantering. Årsredovisningar har beställts från respektive bank och företags webbsida där det har funnits tillgängligt. De resterande har laddats ner i PDF format från respektive webbsida. Sökning av väsentlig information har även skett genom sökmotorn Google, Nationalencyklopedin, Internrevisorernas webbsida samt andra relevanta organisationers webbsidor. 2.6 Validitet och Reliabilitet I en studie bör alla sträva efter att åstadkom en så hög som möjlig validitet, reliabilitet och objektivitet, det är dessa metodbegrepp som är de centrala 55. Empirin i en studie skall uppfylla två krav, oberoende på vilken metod som används. Dessa krav är att empirin skall vara valid, det vill säga relevant och giltig samt reliabel, det vill säga trovärdig och tillförlitlig. Med relevans och giltighet avses att det som skall mätas mäts och med trovärdig och tillförlitlig avses att studien går att lita på. 56 Med reliabilitet menas att det finns tillförlitlighet i det som studeras, det vill säga att vid upprepning av studien att samma resultat uppstår 57. Mätning och noggrannhet vid behandling gällande information bestämmer reliabiliteten 58. Med objektivitet menas med i vilken omfattning studien berörs av egna värderingar. Vid metodval skall resursåtgången jämföras mot validitet, reliabilitet och objektivitet Jacobsen, D I, (2002). s Winter, J, (1992). s Paulsson, U, (1999). s Jacobsen, D I, (2002). s Paulsson, U, (1999). s Holme, I M & Solvang, B K, (1997). s Paulsson, U, (1999). s

15 Denna studie har hög validitet då det som ska studeras har studerats. Referensramen består av relevant information som används som grund vid jämförelsen. Informationen i årsredovisningarna är giltiga, det vill säga att dessa går att lita på då bolagen vill skapa förtroende samt bibehålla det förtroende som de redan har byggt upp hos aktieägare och övriga intressenter. Reliabiliteten i denna studie är hög då tillförlitligheten i våra källor är hög. Framförallt hos Volvo och TeliaSonera gällande internkontrollen, då dessa även följer SOX som är lagreglerat. Årsredovisningarna är granskade av revisorer, dock är inte den finansiella rapporten gällande internkontroll granskad. Men tillförlitligheten är ändock hög då bolagen utgår från ett väl fungerat etablerat ramverk, COSO. Objektiviteten i denna studie är hög då inga förutfattade värderingar om detta ämne samt bolagen fanns innan studien startade. 2.7 Metod och litteraturkritik I denna studie har inga intervjuer gjorts. Alternativet hade varit att genomföra intervjuer med respektive bolagsledning, men detta valdes bort då all den information som behövdes för undersökningen fanns att tillgå genom årsredovisningar och webbplaster samt den tidsbegränsning som denna studie har. Givetvis kan resultatet ha blivit annorlunda vid intervjuer, men för att få rätt bild av bolagen krävs troligtvis många olika intervjuer från vardera bolag då inte en och samma person sköter hela processen. Undersökningen begränsades till åtta bolag. Resultatet kunde ha blivit annorlunda vid fler bolag alternativt andra bolag istället för dem som valdes till denna undersökning. Dock anses spridningen av bolagens områden/ branscher att det medför en relativt bred täckning över hur de behandlar internkontroll, internrevision och riskhantering. Undersökaren har vid insamling av primärdata själv en del av kontrollen gällande tillförlitligheten för data som samlats in. Vid användning av sekundärdata finns inte denna kontroll, då den som gör undersökningen inte vet hur data har samlats in och vilka metoder som har används för insamlingen. Ytterligare ett problem med sekundärdata är att data kan komma från olika perioder. 60 Information från olika källor gällande samma ämne har studerats och jämförts för att minska felaktigheter. Vi är medvetna om att litteraturen kan vara vinklad beroende på hur författaren har genomfört undersökningen samt att egna åsikter kan ha påverkat resultatet. För att undvika detta har litteratur gällande samma ämne studerats och jämförts för att få en rätt bild av ämnet. Problemet med att data kan komma från olika perioder har lösts genom att endast studera årsredovisningar gällande redovisningsåret IAS 1 syfte är att finansiella rapporter skall vara jämförbara mellan företag och därmed blir denna studie mer giltig. Dock kan texten angående internkontrollen i årsredovisningarna förfinats då dessa inte är granskade av bolagens revisorer. 60 Jacobsen, D I, (2002). s

16 3 Referensram I detta kapitel presenteras bolagsstyrning inklusive Sarbanes Oxley Act, svensk kod för bolagsstyrning, internkontroll med inriktning på COSO- modellen, internrevision samt Basel II. Dessa modeller är relevanta att studera och förklara då det är dessa som kommer att ingå i jämförelsen mellan bankerna och företagen. 3.1 Bolagsstyrning Företagen som inte styrs av sina ägare skall skötas i ägarnas intresse, detta är vad bolagsstyrning, corporate governance, i grunden handlar om. I börsnoterade företag med många olika ägare ökar risken att styrningen av företaget inte sker i ägarnas intresse utan att företagsledningen kan ha ett eget intresse i företaget. Dessa kan bland annat vara att de har olika uppfattningar gällande risktagande, ersättningar, finansiell struktur och avkastningskrav. 61 Frågor om bolagsstyrning har ökat markant de senare åren, både i Sverige och utomlands. Detta beror på den ökade internationaliseringen av aktiemarknaden samt ägandet i bolag. Även det markanta ökandet av institutionellt innehavande av publika företag och bolagsskandaler som har inträffat på grund av bolagsledningens brist på företagsstyrning, är ytterligare anledningar till ökade frågor kring bolagsstyrning. Begreppet bolagsstyrning innebär bland annat resonemang och bestämmelser om hur bolagen skall ägas och styras. 62 För att risken gällande intressekonflikter skall minskas har det i många länder i Europa och i övriga världen införts koder för bolagsstyrning som en komplettering till lagar 63. Totalt fanns det i mars år länder med 169 koder och rapporter angående bolagsstyrning samt från olika internationella organisationer ett tiotal rekommendationer. År 1992 kom den brittiska Cadbury-rapporten, vilket hade ett genombrott i Europa gällande bolagsstyrning. Denna rapport följdes av ett antal rapporter som behandlade synpunkter angående börsnoterade brittiska företags bolagsstyrning. I juli år 2003 utkom Combinde Code, vilket innehåller en sammanställning av flera av dessa rapporter. 64 På grund av de redovisningsskandaler som skett de senaste åren har kraven på internkontroll ökat. I USA infördes Sarbanes Oxley Act (SOX) som genom denna reglering förklarar hur företagens interna kontroll och dokumentation skall göras. 65 SOX infördes i juni år När det gäller bolagsstyrning är det många länder som antingen ser över existerande regelverk eller utvecklar regelverk runt bolagsstyrning. Amerikansk SOX är det regelverk som är mest omdiskuterat. Den del som har frambringat mest arbete för företagen är avsnittet 404 som behandlar den interna kontrollen över den finansiella rapporteringen. 67 Avsnitt 404 kräver att bolagens årsredovisning innehåller en rapport gällande internkontroll. Ledningen ansvarar för att etablera och vidhålla en tillfredställande internkontrollstruktur så att ett riktigt finansiellt uttalande kan framställas och innehålla en värdering av det senaste taxeringsåret gällande effektiviteten av den interna kontrollens struktur och procedurer. Vidare kräver avsnitt 404 att revisorer skall granska bolagens bedömning gällande deras internkontroll samt utvärdera finansiella uttalanden. Avsnitt 404 fokuserar på den interna finansiella kontrollen för att den information som används till att framställa de finansiella uttalandena blir pålitliga. Även om 61 Kollegiet för svenskbolagsstyrning 3 62 Svernlöv, C, (2006). s Kollegiet för svenskbolagsstyrning 3 64 Kollegiet för svenskbolagsstyrning 2 65 FAR 2, (2006). s Prentice, R, (2005). s KPMG 9

17 bolagen anser att kostnaderna för detta avsnitt är höga har de ändå kunnat spara mycket pengar på att de nya kontrollerna har upptäckt ineffektivitet och bedrägeri inom verksamheten. 68 Företagsledningen måste identifiera risker när det gäller den finansiella rapporteringen. De risker som identifieras skall ledningen fatta beslut om hur dessa skall hanteras med hjälp av kontroller, dokumentationer och undersökningar av dessa processer och kontroller. Dessutom skall det göras en bedömning av ledningen hur detta går. Den bedömning som företagsledningen gör skall rapporteras tillsammans med övrig finansiell rapportering. Intern styrning och kontroll bedöms av de externa revisorerna som även kontrollerar rapporten som företagsledningen lämnar. Bedömningen av den interna kontrollen skall in på samma gång som den övriga rapportering, vilket kräver mycket arbete i de flesta fall. Om inte företagsledningen hinner med detta eller fel uppstår i arbetet kan det medföra straff, vilket även gäller för revisorerna om det visar sig att rapporten är felaktig Svensk kod för bolagsstyrning Aktiebolagslagen ligger till grund för svensk bolagsstyrning. Debatten om bolagsstyrningen har förts sedan mitten av 1980-talet i Sverige. Aktiebolagskommittén har gjort en successiv granskning och modernisering av aktiebolagslagen sedan år Ett antal bestämmelser gällande centrala frågor inom bolagsstyrningen har infogats kontinuerligt i självregleringsorganens regelverk. Dessa organ är bland annat Stockholmsbörsen, Näringslivets börskommitté och Aktiemarknadsnämnden. För svenska aktiebolag har det inte tidigare funnits någon gemensam och vidsträckt sammanbunden kod för styrning av dessa. 70 Den 16 december år 2004 presenterades den färdiga versionen av Svensk kod för bolagsstyrning (bolagskoden), vilket innebär att även Sverige har fått en samlad kod för bolagsstyrning. Bemötandet av bolagskoden i näringslivet har varit bra. Det generella syftet med bolagskoden är att medverka till förbättrad styrning av svenska bolag. Bolagskoden riktar sig i första hand till aktiemarknadsbolag, men den kommer även att verka som vägledning för andra typer av bolag. 71 Idag måste alla bolag som är börsnoterade på A-listan och alla på O-listan som har ett marknadsvärde som överstiger tre miljarder kronor tillämpa bolagskoden 72. Detta kommer att förstärka näringslivets effektivitet och konkurrenskraft samt förbättra förtroendet för den svenska kapitalmarknaden. Bolagskoden har även ett annat syfte, nämligen att öka kunskapen samt tillförlitligheten hos utländska investerare och andra aktörer på den internationella kapitalmarknaden gällande svensk bolagsstyrning. 73 Bolagskodens innehåll Bolagskoden riktar sig till själva bolagen och framförallt styrelsen. Detta beror på att bolagskoden hanterar det beslutsystem som ägarna direkt eller indirekt styr bolaget med. Dessutom omfattar bolagskoden anvisningar om hur bolaget skall rapportera till ägarna, kapitalmarknaden och övriga i omvärlden. Ägarna omfattas i en liten del, vad gäller regler för valberedning och val. Bestämmelserna i aktiebolagslagen vad gäller bolagets organisation upprepas inte i bolagskodens regler. Däremot hänvisas dem i kommentarer till bestämmelserna för att skapa gynnsammare förutsättningar för läsförståelsen. 74 Bolagskoden 68 Prentice, R, (2005). s KPMG 70 Svernlöv, C, (2006). s Ibid, s Kollegiet för svensk bolagsstyrning 2 73 Svernlöv, C, (2006). s Ibid, s

18 tar upp många olika delar gällande bolagsstyrning, men nedan presenteras endast de relevanta delarna för denna uppsats. Följa eller förklara Ett bolag kan välja att frångå enskilda regler, men för att kunna göra det så skall en förklaring avges vid varje avvikelse. Det är alltså inget brott att avvika från regler i bolagskoden, bara bolaget redovisar varför de har valt att inte använda sig av just den eller de reglerna. Det finns inte heller någon regel i bolagskoden som säger hur avvikelser skall motiveras. Istället är det en fråga som bolagets styrelse får ta ställning till. Bolagskoden innehåller inte någon speciell instans som skall bedöma vilka förklaringar som är antagbara. 75 Vad gäller aktiemarknadsbolag så är det marknaden i form av investerare och andra aktörer som skall avgöra om en förklaring är godtagbar. De bolag som inte redovisar rimliga förklaringar riskerar att få försämrat förtroende på kapitalmarknaden. Bedömningen av andra typer av bolag som har gjort avvikelser från bolagskoden görs av ägarna. 76 Finansiell rapportering Det är styrelsen som har ansvar över att upprättningen av bolagets finansiella rapport stämmer överens med lagar, redovisningsstandarder och de krav som finns på noterade bolag. Det skall klart synas vilka delar i årsredovisningen och delårsrapporterna som är formella finansiella rapporter, vilka regelverk som de bygger på samt vilken del som är granskad av bolagets revisorer. 77 Internkontroll Enligt bolagskoden är det styrelsens som ansvar för bolagens interna kontroll. De skall se till att det finns en god internkontroll i bolaget och se till att de löpande håller sig informerade samt att granska hur den interna kontrollens system fungerat. Varje år skall styrelsen avlämna en rapport om hur den interna kontrollen är organiserad i den finansiella rapporteringen. Rapporten bör genomföras enligt Svenskt Näringsliv och FAR:s vägledningar. Denna rapport behöver inte granskas av bolagets revisorer, utan det är frivilligt att granska den, samt att det inte behöver finnas några kommentarer om hur den interna kontrollen har fungerat under räkenskapsåret. Denna rapport skall ingå i bolagsstyrningsrapporten som en egen del. 78 Internrevision Bolagskoden tar även upp internrevision. Där står det att i de bolag som inte har någon speciell granskningsfunktions så skall styrelsen varje år göra en utvärdering om behovet av en sådan funktion behövs. Detta skall sedan motiveras i den årliga rapporten om internrevision kommer att behövas eller inte. Det är alltså inte ett krav att ha internrevision men det skall ses över om en sådan behövs Svernlöv, C, (2006). s Ibid, s Svensk kod för bolagsstyrning, (2004). s Ibid, s Svernlöv, C, (2006). s

19 3.3 Internkontroll Ett bra internkontrollsystem medför att risken för att medvetna och omedvetna fel uppstår i det löpande arbetet minskas och det medför att fel i redovisningen och förluster för bolagets minskar. En nackdel med att ha bra internkontroll är att det kostar mycket pengar men kostnaden för den interna kontrollen måste jämföras med nyttan som riskminskningen medför. Redovisningen, betalningen och kontrollen i bolagen bör hanteras av olika personer då det medför en minskning av risker för fel jämfört med om en ensam person sköter allt. 80 I Europa har EG-kommissionen framhållit den interna kontrollens roll för att minska bedrägerier och ekonomisk kollaps bland bolag i deras redovisning. I Sverige regleras detta i bolagskoden. 81 Det är viktigt att bolag inte bara har ordning och kan hantera risker i verksamheten utan de måste sköta kraven på ett effektivt, strukturerat och tillförlitligt sätt. Kraven på bolagen kommer från lagar, förordningar, rekommendationer och börsregler, men det finns ingen officiellt framtagen standard över hur bolag ska agera. 82 En god internkontroll är något som krävs i alla organisationer och företag. Om organisationerna och företagen hanterar den interna kontrollen på rätt sätt kan det hjälpa mycket och ge underlag för att till exempel få effektivare processer, ge bättre information till intressenter och med det få ett bättre förtroende från dem samt på ett bättre sätt kunna undvika fel som blir kostsamma för bolaget. En bra internkontroll kan påverka bolagens möjligheter att uppnå målen som är satta genom att undvika risker som kan uppkomma då det ges möjlighet att behandla dessa risker som till exempel undvika felaktiga beslut och felaktig information till intressenter. Det är därmed viktigt att bolagen gör en koppling mellan de risker som kan påverka målen och den interna kontrollen. Varje bolag får göra en vägning mellan riskerna för att till exempel ta felaktiga beslut, förluster och dålig kvalitet i produkter mot kostnaderna för att ha en bra fungerande internkontroll. 83 Enligt Brink s Modern Internal Auditing antyder han att den interna kontrollen är det viktigaste samt grundprincipen som den interna revisorn måste förstå 84. Dålig kontroll kan leda till fel, förluster, skandaler och kan skada organisationens rykte. När risker blir tillåtna att run wild och nya utmaningar tas an utan att risker kontrolleras är det sannolikt att det kan uppstå problem. En organisation måste sätta klara mål och uppskatta den ingående risken som följer med dessa mål för att kunna uppnå dem. Det måste finnas en kontrollstrategi för uppskattningen att ta till sig de förväntade målen. Kontrollstrategin härstammar från den bredare riskhanteringsstrategi, men som kommer att ha fokuserings- och effektivitetssystem som huvudkomponent gällande internkontrollen. 85 Styrelsen i bolagen skall se till att en god internkontroll finns i bolaget och kontinuerligt se till att de är informerade och att de analyserar hur bra systemet för den interna kontrollen fungerar i bolaget 86. En god internkontroll har blivit allt viktigare på grund av de företagsskandaler och förtroende minskning bland intressenter. En fungerande internkontroll har blivit en viktig kugge för att få tillbaka förtroende på olika kapitalmarknader genom att skapa bra modeller för bolags- och ägarstyrning FAR 2, (2006). s Ibid, s COSO, s FAR 1, (2006). s Pickett, K H Spencer, (2003). s Ibid, s Svernlöv Carl, Balans nr FAR 1, (2006). s. 9 12

20 Det kom under och 1990-talet många olika ramverk för hur internkontroll skall skötas och det ramverk som slagit igenom mest och fått störst spridning är COSO, the Committee of Sponsoring Organizations of the Treadway Commission 88. COSO - Internal Control an integrated framework Den dominerande standarden som används är den amerikanska COSO. År 1985 formades COSO för att förhindra ekonomisk brottslighet i samband med den finansiella redovisningen. COSO gav år 1991 ut ett ramverk, Internal Control an integrated framework, som beskriver vad som utmärker god internkontroll och styrning samt god riskhantering. 89 Åtgärder för styrning och kontroll upprättas för att bolag kan styras mot vinstmål, huvudsakliga uppdrag och för att överraskningar ska kunna minimeras. Detta gör att styrelsen för bolaget kan behandla snabba förändringar i bland annat den ekonomiska omvärlden, konkurrensmässigt och efterfrågan från kunder. Insatser inom intern styrning och kontroll gynnar effektiviteten, minskar risker för förluster bland tillgångar, hjälper tillförlitligheten i den finansiella rapporteringen och gör att lagar och regler följs. 90 Intern styrning och kontroll kan skapa förvirring hos de människor som arbetar inom bolagen, lagstiftare med flera då det betyder olika saker för olika människor. COSO:s rapport behandlar förväntningar och behov hos ledningen och den definierar och beskriver intern styrning och kontroll enligt följande: Etablera en gemensam definition som tillgodoser behoven hos olika intressenter. Tillhandahålla en standard mot vilket företag och andra organisationer stora eller små, inom den offentliga sektorn eller privata sektorn, med eller utan vinst kan bedöma sina styr- och kontrollsystem och bestämma hur de ska förbättras. 91 Intern styrning och kontroll är i allmänhet definierat som en process, utförd av en organisations styrelse, ledning och annan personal för att ge rimlig försäkran om att målen uppfylls inom följande kategorier: Effektivitet och produktivitet i verksamheten. Tillförlitlig finansiell rapportering. Efterlevnad av tillämpliga lagar och regler. 92 Kategorin Effektivitet och produktivitet i verksamheten fokuserar på bolagens huvudsakliga verksamhetsmål, vilket resultat- och vinstmål samt skydd av tillgångar ingår. Kategorin Tillförlitlig finansiell rapportering har att göra med förberedelsen för pålitliga publicerade finansiella lägesrapporter. Den sista kategorin Efterlevnad av tillämpliga lagar och regler behandlar att lagar och förordningar följs FAR 1, (2006). s COSO, s Ibid, s FAR 1, (2006). s Ibid, s Ibid, s. 4 13

21 Effektiviteten för intern styrning- och kontrollsystem är olika beroende på nivåer. De tre kategorierna kan var och en bedömas som effektiva om styrelsen och ledningen rimligtvis är säkra på att: De förstår i vilken utsträckning organisationens verksamhetsmål uppnås. Publicerande finansiella uttalanden är tillförlitligt underbyggda. Gällande lagar och förordningar efterlevs. 94 Komponenter inom internstyrning Det finns fem med varandra beroende komponenter inom intern styrning och kontroll som är härledda från det sätt som en ledning styr ett företag och är integrerade i styrprocessen 95. Dessa komponenter är (1) kontrollmiljö, (2) riskbedömning, (3) kontrollaktiviteter, (4) information och kommunikation samt (5) övervakning inklusive uppföljning och utvärdering 96. (1) Kontrollmiljön (Control Environment) utmärker harmonin i en organisation och inverkar på medarbetarnas kontrollmedvetenhet. Detta är basen för övriga komponenter och medför ordning och struktur. Inom kontrollmiljön finns element som består av bland annat etiska värden, integritet, ledningens filosofi och ledarstil, ledningens sätt att fördela ansvar och befogenheter med mera. 97 (2) Risker av både intern och extern grund är något som organisationer möter och måste utvärdera. För att göra en riskbedömning (Risk Assessment) måste det finnas upprättade mål som finns anknutna till olika nivåer som är internt konsistenta. Riskbedömningen utgör identifiering och analysering av väsentliga risker för att kunna uppnå de uppsatta målen som utgör grunden för att avgöra hur dessa risker ska behandlas. För risker som är kopplade till förändringar som ekonomiska, branschmässiga, regleringsmässiga och verksamhetsmässiga krävs verktyg som kan identifiera och behandla dessa förändringar. 98 (3) Kontrollaktiviteter (Control Activities) är de rutiner och riktlinjer som medverkar till att ledningens direktiv genomförs. För att säkra risker som kan hota måluppfyllelsen medför kontrollaktiviteterna nödvändiga ingrepp som skall förhindra detta. Kontrollaktiviteter sker på alla nivåer och i alla funktioner inom hela organisationer, vilket omfattar aktiviteter som bland annat godkännande, verifikationer, genomgångar av verksamhetens resultat och säkrande av tillgångarna med mera. 99 (4) Information (Information) skall identifieras och förmedlas till anställda i sådan form och inom den tidsram som behövs för att dessa ska kunna genomföra arbetet. Genom informationssystem skapas rapporter som omfattar finansiella och verksamhetsmässig information och uppgifter om hur regler ska följas. Vilket gör det möjligt för organisationen att driva och styra verksamheten. Detta gäller även information och villkor som sker utanför organisationen och som är nödvändiga som grund för till exempel affärsbeslut. Fungerande 94 COSO, s Ibid, s Ibid, s Ibid, s Ibid, s Ibid, s. 5 14

22 kommunikation (Communication) måste finnas i stor utsträckning inom hela organisationen. Klara underrättelser till personal från ledningen krävs för att intern styrning och kontroll skall tas på allvar och att de förstår sina enskilda roller och hur deras arbete påverkar andras arbete inom intern styrning och kontroll. Det är även viktigt med en bra kommunikation utanför organisationen med till exempel kunder, leverantörer och aktieägare. 100 (5) Ett skeende som påverkar kvalitén på systemets resultat över en längre tid är övervakandet, uppföljandet och utvärderandet (Monitoring) av interna styr- och kontrollsystem. Dessa utgörs av kontinuerliga övervakningsåtgärder och uppföljningar, enskilda utvärderingar eller i en kombination av alla dessa. De kontinuerliga övervakningsåtgärder och uppföljningar sker under verksamhetens gång. 101 I figur 2 nedan presenteras de olika komponenterna i förhållande till målkategorierna. Figur 2, COSO kuben Källa: sox-online.com Det finns effekter mellan dessa komponenter som formar ett system som reagerar flexibelt om förändringar i förutsättningarna sker. Det finns ett samband mellan komponenterna som gäller för att uppnå mål och för kategorierna av mål där alla komponenter är viktiga för varje målkategori. Alla fem komponenter måste finnas och fungera effektivt för att en målkategori ska kunna vara effektivt. 102 Roller och ansvarsfördelningar inom organisationen Varje person i en organisation har ansvar för intern styrning och kontroll. Ledningen, det vill säga den verkställande direktören, har det störst ansvaret och det är denne som ger tonen i bolagets ledning som inverkar på organisationens integritet, etik och andra faktorer som kan medföra en positiv kontrollmiljö. I större bolag medföljer detta genom att visa ledarskap och riktlinjer till högre chefer inom organisationen, som i sin tur ska skapa specifikare riktlinjer och rutiner för de personer som har ansvar för verksamhetens olika funktioner. Störst betydelse för detta har ekonomichefer och deras personal då det är de som har kontrollaktiviteter som verkar över hela bolaget COSO, s Ibid, s Ibid, s Ibid, s