Effektiv företagsstyrning med ledningssystem



Relevanta dokument
SOX & ISO 9000-serien


Policy för internkontroll för Stockholms läns landsting och bolag

Förklarande text till revisionsrapport Sid 1 (5)

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Samma krav gäller som för ISO 14001


Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Processinriktning i ISO 9001:2015

Intern kontroll enligt koden.

Inga krav utöver ISO 14001

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000

VAD ÄR KVALITET? Röntgenveckan Monica Kasevik

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

OHSAS Av Benny Halldin

Organisation av och uppföljning av intern kontroll

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015

Nyheter i ISO och 14004

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

REGLER FÖR INTERN KONTROLL

Ledningssystem för verksamhetsinformation en introduktion

Vägledning för krav på dokumenterad information enligt ISO 9001:2015

Riktlinjer för intern kontroll

Miljö- och hälsoskyddsnämndens plan för intern kontroll 2014

Korsreferens mellan ISO 9001 ISO BF9K 1 (6) ISO 9001:2000/2008 ISO 14001:2004 BF9K Ledningssystem för Kvalitet (Endast rubrik)

Reglemente för internkontroll

Riktlinjer för intern kontroll

Policy för Essunga kommuns internkontroll

Anpassade riktlinjer för intern kontroll inom Hälso- och sjukvårdsnämndens ansvarsområde

Välkomna! VBEF05, Anne Landin maj Med utveckling menas som bekant åsiktsförändring i för bedömaren behaglig rikting.

Ledningssystem för IT-tjänster

Kvalitetsledningssystem! och! ISO 9001! Copyright Cornema AB!

Ledningssystem för informationssäkerhet - Kompetensprofil

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Spårbarhet och Koncernsäkerhet Sarbanes-Oxley i ett industriföretag

Anvisning för intern kontroll och styrning

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

Policy för informations- säkerhet och personuppgiftshantering

Internrevision miljö- och kvalitet - enligt ISO och ISO 9001

Information Technology and Security Governance

Svensk Kvalitetsbas kravstandard (1:2016)

Reglemente Innehåll Fastställt av: Fastställt datum: Dokumentet gäller till och med: Dokumentet gäller för: Dokumentansvarig: Diarienummer:

Välkomna! Med utveckling menas som bekant åsiktsförändring i för bedömaren behaglig rikting. Hjalmar Söderberg

ABC - Hur certifiera verksamheten?

Lokala regler och anvisningar för intern kontroll

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

Riskbaserat tänkande i ISO 9001:2015

Kvalitets- och miljösystem? Välkomna! Vad är ett kvalitets- miljösystem? Varför i byggprocessen?

Välkommen till NMTs miljöledningssystem

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

ISO :2015 4: Ledarskap, ansvar och delaktighet

Regler och riktlinjer för intern styrning och kontroll vid KI

Riktlinje för riskhantering

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Intern kontroll, reglemente och tillämpningsanvisningar,

REGLEMENTE INTERN KONTROLL

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Internrevision. Södertörns högskola Institutionen för ekonomi och företagande C-uppsats 15 poäng, HT 2007 Handledare: Curt Scheutz

Svensk Kvalitetsbas kravstandard (2:2019) 1. Utfärdare 2. Revisorer 3. Verksamheter. Antagen den 15 maj 2019

Kvalitets och miljösystem på byggföretag

Ta steget in i SIS värld

Intern kontroll och riskbedömningar. Strömsunds kommun

Vilket mervärde ger certifiering dig?

Kvalitetsprocesser och nya utmaningar i ISO-certifieringar. Jana Johansson Kvalitetsansvarig CityAkuten Praktikertjänst AB

Informationssäkerhetspolicy inom Stockholms läns landsting

Miljöledningsbarometern 2002

ISO 9000 Introduktion och produktstöd:

Ledningssystem för kvalitet en introduktion

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Informationssäkerhetspolicy för Umeå universitet

MÖJLIGHETER MED ISO 9001:2000 OCH ISO INTEGRERADE VERKSAMHETSSYSTEM. Kvalitetsledningssystemet vad har man egentligen för nytta av det?

Regler. Fö r intern köntröll. Vision. Program. Policy. Regler. Handlingsplan. Riktlinjer Kommunfullmäktige Kommunstyrelsen Nämnd

Revisionsrapport Övergripande granskning

LUNDS UNIVERSITET. Kvalitets- och miljöledning

Informationssäkerhetspolicy

Nya regler om styrning och riskhantering

Policy för intern styrning och kontroll

LIDINGÖ STADS FÖRFATTNINGSSAMLING F 20 / 2017 REGLEMENTE FÖR INTERN KONTROLL I LIDINGÖ STAD

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Bolagsstyrningsrapport

Ledningssystem för god kvalitet

Informationssäkerhetspolicy för Ånge kommun

Riktlinjer för arbetet med intern kontroll

Bolagsstyrningsrapport Gävle Energi AB

Författningssamling. Arbetsordning för fullmäktige samt reglementen och arbetsformer för styrelser, nämnder, kommittéer med flera

I policyn fastställs ansvaret för den interna kontrollen samt på vilket sätt uppföljningen av den interna kontrollen ska ske.

Plan för intern kontroll 2017

Uppdateringar nya standarden ISO/IEC 17020:2012

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Hur kan företag ta hjälp av ledningssystem mot mutor i sitt arbete med integritet och förtroende?

Reglemente för internkontroll

Internrevision för ständig

Tjänsteskrivelse 1 (2) Handläggare Datum Beteckning. Kommunrevisionen MISSIVSKRIVELSE

Enkätundersökning 2009

Kvalitetsmanual. Baserat på System ISO Active Care Sverup AB

VÄLKOMMEN TILL TRIFFIQS VERKSAMHETSSYSTEM - TVS!

Transkript:

Effektiv företagsstyrning med ledningssystem Verktyg för att uppfylla kraven från SOX och andra nya regelverk SIS, Swedish Standards Institute Postadress: Besöksadress: Telefon: 08-555 520 00 Organisationsnr: 118 80 STOCKHOLM Sankt Paulsgatan 6, Stockholm Telefax: 08-555 520 01 8024100151 E-post: info@sis.se www.sis.se

2 INNEHÅLLSFÖRTECKNING sid Introduktion 3 Vad är SOX? 4 Vilka företag omfattas av SOX? 4 SOX-krav blir modern europeisk lagstiftning 4 Ledningssystem - plattform för bolagsstyrning 5 SOX ställer krav ledningssystem ger struktur 5 Vd och ekonomichef personligt ansvariga för ekonomiska rapporter 6 Ledningens ansvar för internkontroll 6 Omedelbar rapportering 8 Rätt information på rätt plats med ledningssystemet för informationssäkerhet ISO 27001 9 Sammanfattning 10 Faktarutor 11

3 Introduktion Internationella företag spelar en viktig roll i dagens globala ekonomi. Och i takt med att företagen får större makt, blir det allt viktigare att investerare, anställda och allmänhet kan lita på information från företagen. Den finansiella rapporteringen måste vara trovärdig. Men även andra krav lyfts fram; företagsledningen måste ta ett personligt ansvar, de interna processerna måste utvärderas och ekonomiska förändringar i verksamheten måste rapporteras omedelbart. I USA har de nya kraven samlats i en ny bolagslag, Sarbanes-Oxley Act (SOX), som infördes 2002. SOX är en direkt följd av företagsskandalerna i USA vid millennieskiftet, varav de mest kända gällde Enron och Worldcom, och syftet är just att förbättra allmänhetens förtroende för de börsnoterade företagen. Även inom Europa debatteras frågan och direktiven från EU revideras för att följa utvecklingen. Så oavsett SOX eller specifika EU-direktiv behöver svenska företag anpassa sin verksamhet till en modernare bolagsrätt med krav på effektivare företagsstyrning. Företag med ett fungerande ledningssystem har en inbyggd kontroll över verksamhetens effektivitet och kvalitet. ISO 9001, standarden för kvalitetsledning, har i 20 år varit en katalysator för företag att se över sina interna rutiner och tydliggöra ansvarsfördelningen. Till exempel har vd och ekonomidirektör som en del av ledningen personligt ansvar för processerna i ISO 9001 något som stämmer väl överens med kraven på personligt ansvar i SOX. ISO 9001 och andra standarder för verksamhetsstyrning, som ISO 27001 för informationssäkerhet och ISO 31000 för riskhantering, fungerar som ramverk för att hantera olika typer av legala, interna och externa krav, där SOX är ett exempel på ett externt krav.

4 Vad är SOX? SOX, SarBox, SOX Act den amerikanska bolagslagen Sarbanes-Oxley Act har många förkortningar men kallas oftast för SOX. Namnet kommer från de två upphovsmännen Paul Sarbanes, senator för staten Maryland och Michael Oxley, medlem av USAs kongress för det Republikanska partiet. SOX handlar om att säkerställa den finansiella kontrollen och rapporteringen för företag och organisationer och är som tidigare nämnts ett resultat av företagsskandalerna i USA i början av 2000-talet. Den mest kända är energiföretaget Enrons konkurs 2001. Enron hade överdrivit vinster och dolt förluster under flera år. Dessutom hade revisionsbyrån i åratal godkänt denna tvivelaktiga bokföring. Skandalen var ett faktum, anställda miste sina pensioner, tiotusentals anställda miste sina jobb och allmänhetens förtroende för börsbolagen fick sig en rejäl törn. Enron är inte det enda exemplet, andra företag som begärdes i konkurs under de här åren var WorldCom, Tyco International och Adelphia Reglerna i SOX ska minska risken för felaktig information och bedrägerier. Ett företag som uppfyller samtliga krav i SOX ska vara säkert att satsa på för såväl investerare som anställda och andra intressenter. Exempel på krav i SOX; Vd och ekonomichef ska ta personligt ansvar för företagens finansiella rapportering och intyga att varje delårsrapport och årsrapport är korrekt. Externa revisorer ska bytas ut åtminstone vart femte år. Revisionskommittéer (Audit Committees) ska se till att revisorerna får den information som krävs för att göra ett korrekt jobb. Vilka företag omfattas av SOX? SOX omfattar alla företag som: är noterade på en amerikansk börs, till exempel NASDAQ, American Stock Exchange (Amex) och New York Stock Exchange (NYSE) har obligationer emitterade på den amerikanska marknaden och har minst 300 amerikanska aktieägare. Även många svenska företag omfattas av SOX och lägger mycket tid och pengar på att klara lagkraven, krav som läggs ovanpå kraven i den svenska Bolagskoden och den internationella redovisningsstandarden IFRS (International Financial Reporting Standards). SOX-krav blir modern europeisk lagstiftning Även inom Europa ställs krav på starkare företagsstyrning och bättre intern kontroll. Redan nu finns ett EU-direktiv om lagstadgad revision av årsbokslut och sammanställd redovisning. Ett direktiv som dels syftar till en harmonisering mellan medlemsstaterna, dels en harmonisering med lagstiftningen i USA. EU har även en handlingsplan för Modernare bolagsrätt och effektivare företagsstyrning i Europeiska unionen som utgår från att marknadskrafterna kräver större säkerhet för sina investeringar. Slutsatsen är att alla svenska företag kommer att behöva leva upp till hårdare krav på effektiv företagsstyrning och intern kontroll oavsett om de behöver anpassa sig till SOX eller om det handlar om en ny europeisk lagstiftning.

5 Ledningssystem plattform för bolagsstyrning Företag har valt olika vägar för att uppfylla kraven i SOX, och många har hunnit upptäcka att det är dyrt att bygga särskilda lösningar för just SOX-kraven. Målet blir att hitta effektiva sätt att integrera SOX-kraven i det existerande ledningssystemet. De krav som ställs i SOX och den kommande europeiska lagstiftningen har många likheter med de krav som finns i standarden ISO 9001 för kvalitet, men även i ISO 27001 för informationssäkerhet samt i ISO 31000 för riskhantering. I fortsättningen görs jämförelserna i första hand med ISO 9001 på grund av den betydligt större spridningen och kännedomen om kvalitetsledningssystem. I ett särskilt avsnitt beskrivs även hur viktigt ITstödet är för den interna kontrollen och hur ISO 27001 kan se till att informationen bevaras säkert och inte förloras eller förvanskas. De yttre kraven på kontroll, säkerhet och korrekt rapportering kräver att flera delar av en organisation samverkar. Med ett fungerande ledningssystem finns processerna på plats och ledningssystemet blir en plattform för effektiv bolagsstyrning. Ett etablerat ledningssystem baserat på ISO 9001 löser även efterlevnadsproblematiken och ger underlag för att effektivt kunna kommunicera företagets riskhantering, interna kontroller, kvalitetsstyrning och informationssäkerhet. Processen för att införa ISO 9001och ISO 27001 har många likheter med att införa SOX. Processen kan se innehålla följande moment: Genomföra en riskanalys Utarbeta en lista över verksamhetskritiska processer och redogör för dem både grafiskt och i text Identifiera och övervaka kontroller Upprätta och underhålla register Genomföra revisioner för att kontrollera att identifierade risker adresseras korrekt Låt företaget granskas av en oberoende tredje part som är certifierad av en ackrediterad organisation SOX ställer krav ledningssystem ger struktur Ett företag som arbetar enligt ISO 9001 för kvalitet kan enklare identifiera vad som behöver stärkas upp för att även uppfylla kraven i SOX. Alltså är en integrerad ISO 9001- SOX-lösning bättre än att endast fokusera på de nya SOX-kraven. I kvalitetssystemet ISO 9001 kan man sammanföra i princip alla företagets aktiviteter med SOX krav på: Kontrollmiljö Kontroller IT Riskhantering Uppföljning Den största fördelen med det här förhållningssättet är möjligheten att etablera en gemensam plattform för bolagsstyrning för kontroller, mätning och indikatorer. ISO 9001 blir en operationell plattform för SOX som dessutom tillgodoser kraven på dokumentation av efterlevnad.

6 Vd och ekonomichef personligt ansvariga för ekonomiska rapporter En viktig aspekt i SOX, och något som uppfylls av ISO 9001, är att företagsledningen tydligt ställs till svars för företagets redovisning. Företagsledningen ska etablera och upprätthålla en fullgod struktur för interna kontroller intern rutiner för finansiell rapportering. Ledningen ska även årligen utvärdera kontrollernas effektivitet. I kvalitetssystemet ISO 9001 är ledningen ytterst ansvarig för att processerna bidrar till ständiga förbättringar och att specificerade kvalitetskrav uppfylls. Ledningsprincipen om faktabaserade beslut förutsätter att organisationen har planerat och infört de processer för övervakning, mätning, analys och förbättring som erfordras för att kunna fatta välgrundade beslut. Detta, som beskrivs huvudsakligen i kapitel 8 i ISO 9001, ger ledningen möjlighet att visa effektiviteten i historiska beslut genom referens till fakta samt möjlighet att se över, utvärdera och ändra bedömningar och beslut. Användandet av principen om faktabaserade beslut leder oftast till att data och annan information är tillräckligt exakt och pålitlig och att man har data och annan information tillgänglig för dem som behöver den. Förbättringscykeln i kvalitetsledningssystemet är ett utmärkt sätt att övervaka tillståndet i organisationen. Cykeln utgår från kvalitetspolicy (5.3) och övergripande mål (5.4) via resultatet av intern revision (8.2.2) och analys av information (8.4) samt förbättring (8.5) till ledningens genomgång (5.6). Förutom att säkerställa att den ekonomiska rapporteringen är korrekt kan förbättringscykeln också avslöja fysiska svagheter och signifikanta brister i den interna kontrollen. Ledningens ansvar för internkontroll Enligt SOX krävs det att företagsledningen utvärderar systemet för intern kontroll, att man har ett tydligt riskhanteringsprogram på plats, att man har identifierat processerna för finansiell rapportering samt att de ekonomiska redovisningssystemen har hög integritet. Vad menar SOX med system för intern kontroll i det här sammanhanget? För att hjälpa till att reda ut begreppen kom COSO fram med ett koncept för intern kontroll kopplat till SOX. COSO står för the Committee Of Sponsoring Organizations som bildades redan 1985 för att, som oberoende organisation, arbeta för att förbättra kvaliteten på ekonomisk rapportering med hjälp av affärsetik, effektiva interna kontroller och effektiv företagsstyrning.

7 För att tydliggöra hur konceptet hänger ihop, finns nedanstående modell framtagen: De tre primära kategorierna i konceptet, vars mål man ska försäkra sig om att uppnå, visas som tre vertikala skivor i modellen: verksamhet, finansiell rapportering och efterlevandet av gällande lagar och förordningar. Systemet för internkontroll representeras av de fem horisontella skivorna. Den tredje dimensionen är exempel på organisatoriska enheter och/eller projekt i en organisation. Systemet för intern kontroll består alltså av fem delar. Bottenskivan representerar den omgivande organisationsmiljö i vilken internkontrollen ska fungera, d v s organisationens affärsidé, värderingar, principer, verksamhets art och struktur samt strategiska och operativa mål och deras utfall. Detta är helt i överensstämmelse med de grundläggande kraven på ett ledningssystem i ISO 9001, i synnerhet kapitel 4.1 med processinriktnin g och hantering av resurser, samt kraven på policy och mål i 5.3 och 5.4. Den andra skivan handlar om riskbedömning, d v s identifiering och analys av riskerna för att inte uppnå olika mål, avgöra hur risker ska hanteras samt ett sätt att hantera förändringar. Riskbedömning finns i ISO 9001 men framför allt i ISO 27001 för informationssäkerhet och ISO 31000 för riskhantering. I ISO 9001 är det i huvudsak genom att arbeta med analys av information (8.4) och förebyggande åtgärder (8.5.3) som riskvärdering och riskhantering utförs. I ISO 14001 är det framför allt rutinerna för att identifiera miljöaspekter (4.3.1), att identifiera lagar och andra krav (4.3.2) samt beredskap för och agerande vid nödlägen (4.4.7) som är användbara även i SOX-sammanhang. Den tredje skivan om styraktiviteter är i allt väsentligt att säkerställa att ledningens direktiv blir genomförda. Det handlar bland annat om delegering, auktorisation och attestregler och i ISO 9001 finns det framför allt i avsnittet om ansvar, befogenheter och kommunikation (5.5) och självklart ledningens genomgång (5.6) men även 8.5.2 och 8.5.3 om korrigerande och förebyggande åtgärder kan hjälpa till. Den fjärde skivan handlar om information och kommunikation och har stor betydelse när det gäller att uppfylla kraven i SOX. Information utgörs både av de hårda och de mjuka delarna i systemet och många affärsstödsystem har visat sig inte motsvara kraven i lagen framför allt när det gäller att säkerställa att obehöriga inte kan manipulera den la g- rade informationen. Här finns det mycket att hämta från ledningssystemet för informa-

8 tionssäkerhet ISO 27001. När det gäller kommunikationen är det viktigt att all ekonomisk information av betydelser snabbt och korrekt lämnas ut till alla relevanta intressenter. I ISO 9001 är det framför allt de allmänna kraven på ledningssystemet i 4.1, dokumentationskraven i 4.2, kraven på högsta ledningen att lämna intern information (5.1 och 5.5.3) samt kraven på kommunikation med kund (7.2.3) som kan hjälpa organisationen att uppfylla dessa krav i SOX. Den översta skivan i modellen handlar om övervakning och har av COSO definierats som övergripande tillsyn av systemet för internkontroll utförd av ledningen eller andra inblandade parter. Det är en process för att utvärdera systemets prestation över tid och man framhåller vikten av att det sker såväl fortlöpande som genom särskilda utvärderingar. Svagheter i det interna kontrollsystemet ska rapporteras uppåt i organisationen. Man hänvisar också till den revisionskommitté som ska finnas i varje företag enligt sektion 301 i SOX. EU har fattat ett motsvarande beslut i februari 2005 (se bilaga 3, punkt 24) om revisions-kommittéer. Det finns dessutom en rekommendation från EUkommissionen från den 15 februari 2005 (2005/162/EG) som bl. a. tar upp styrelsekommittéer. I ISO 9001 är det i huvudsak inom kapitel 8, Mätning, analys och förbättring som man kan finna hjälp med kontroll och övervakning av det interna kontrollsystemet. Framför allt är det internrevisionen (8.2.2) som kan utnyttjas mycket mera effektivt och verkningsfullt om kvalitetsrevision och ekonomisk revision utförs gemensamt. Rapporteringen uppåt sker naturligt i samband med ledningens genomgång (5.6) och övervakningen blir en del i förbättringscykeln (se avsnitt 7.1 ovan). Omedelbar rapportering Enligt SOX ställs det krav på omedelbar rapportering till allmänheten om väsentliga ekonomiska eller operativa förändringar i verksamheten som är av allmänt intresse och kan påverka investeringar och inflytande i företaget. Rapporteringen ska ske på ett begripligt språk. I ISO 9001 är det framför allt de allmänna kraven på ledningssystemet i 4.1, dokumentationskraven i 4.2, kraven på högsta ledningen att lämna intern information (5.1 och 5.5.3) samt kraven på kommunikation med kund (7.2.3) som kan hjälpa organisationen att uppfylla dessa krav i SOX.

9 Rätt information på rätt plats med ledningssystemet för informationssäkerhet ISO 27001 Eftersom SOX huvudsakliga uppgift är att säkerställa riktigheten och tillförlitligheten i företagens ekonomiska rapportering handlar många delar om informationssäkerhet. I dagens företagsmiljöer drivs processer för ekonomisk rapportering och ekonomiska transaktioner i integrerade IT-system som måste utvärderas mot kraven i SOX och kommande europeiska lagar och förordningar. Generellt sett gäller för alla organisationer att det är viktigt att relevant information bevaras säkert, så att den inte kan förloras eller förvanskas. När SOX ställer krav på organisationer att välja och införa en passande struktur för intern kontroll kan ledningssystemet för informationssäkerhet ISO 27001 vara ett stöd i arbetet med att ta fram krav och förväntningar på informationssäkerheten. ISO 27001 är dessutom skriven på ett sätt som gör att den kan integreras och tillämpas inom ramen för ett befintligt kvalitetsledningssystem. Med ett ledningssystem för informationssäkerhet grundat på ISO 27001 får en organisation större möjligheter att uppfylla kraven på systematisk internkontroll. Några exempel på kopplingar mellan SOX och ISO 27001: Företaget ska beskriva vilka standarder de använder I samband med revisioner ska företaget iordningställa arbetspapper och annan information som hör till revisionsrapporten Det ska finnas en etablerad riskhanteringsprocess samt garanti för att de ekonomiska redovisningssystemen har hög integritet. Företaget ska rapportera snabbt och avslöjande om operativa eller ekonomiska förändringar i verksamheten som kan påverka företagets investerare och andra intressenter.

10 Sammanfattning Svenska företag kommer att behöva leva upp till hårdare krav på effektiv företagsstyrning och intern kontroll oavsett om de behöver anpassa sig till SOX eller om det handlar om en ny europeisk lagstiftning. För företag som står inför en anpassning till de ökade kraven finns mycket hjälp att hämta i ett väl fungerande ledningssystem. Ett ledningssystem skapar bra förutsättningar för att leda verksamheten på ett strukturerat sätt. Och med den strukturen på plats har företaget en bra grund för att hantera legala, interna och externa krav. I det här fallet står SOXlagen för ett externt krav, men det kan även handla om nya EU-direktiv eller andra nya framtida regelverk. I ISO 9001 är det framför allt kapitel 4 Ledningssystem för kvalitet, kapitel 5 Ledningens ansvar och kapitel 8 Mätning, analys och förbättring som direkt kan stödja högsta ledningen i hanteringen av SOX-kraven. Med ledningssystemet för informationssäkerhet, ISO 27001, får företag större möjligheter att uppfylla kraven på systematisk internkontroll och säkra rutiner. ISO 27001 ser till att det finns en etablerad riskhanteringsprocess och att de ekonomiska redovisningssystemen har hög integritet. Det finns många fördelar med att integrera de nya SOX-kraven med företagets existerande ledningssystem. På så sätt har organisationen en flexibel plattform och är redo för nya anpassningar i framtiden.

11 Faktarutor Bolagskoden Svensk kod för bolagsstyrning är resultatet av ett samarbete mellan det privata näringslivet och den statliga Förtroendekommissionen. Koden kompletterar aktiebolagslagen och annan tvingande reglering genom att utöver lagens minimikrav ange en norm för vad som i allmänhet kan anses vara god inte bara acceptabel bolagsstyrning. Från den 1 juli 2005 ska koden tillämpas av bolag på börsens A-lista och bolag på O-listan med marknadsvärde över tre miljarder kronor. Euro-SOX Den 7 juli 2006 trädde det så kallade 8:e Direktivet, eller Euro-SOX i kraft. Under närmaste åren måste innehållet i EU riktlinjerna vara omvandlat och infört som en del i nationell lagstiftning i EU: s medlemsländer. Syftet med direktivet är att säkerställa att investerare och andra berörda skall kunna förlita sig på de reviderade bokslutens riktighet. Revisorns uppgifter klargörs och vissa principer för att stärka objektivitet och oberoende anges, samt krav på att en koncernrevisor ska ha hela ansvaret för revisionen av företagskoncernens sammanställda bokslut. För att säkerställa tillgång till korrekt information måste aktiebolag kunna redovisa ett informationssäkerhetskoncept. Om ett företag inte klarar av att leva upp till dessa krav är företagsledningen ytterst ansvarig. I förlängningen kan det även påverka kreditvärdighet och försäkringsvillkor för företaget. Sarbanes-Oxley Act The Sarbanes-Oxley Act: Efter Paul Sarbanes, Demokrat från Maryland, och Republikanen Michael Oxley, Ohio. De anses vara arkitekterna bakom regelverket som populärt kallas för bland annat SOX och SarbOx. Sammanfattningsvis kan sägas att SOX har inneburit att företagens VD och finanschefer är tvungna att formellt intyga att hela redovisningsprocessen är korrekt, och att felaktig information kan medföra straff på upp till 5 miljoner dollar och 20 års fängelse. SOX innebar nya krav på tydliga verksamhetsprocesser, verifierbara rutiner och kontrollpunkter. Riktlinjer för lämpliga processer, rutiner och kontroller redovisas dock inte i detalj i själva regelverket. ISO, International Organization for Standardization ISO, International Organization for Standardization, med huvudkontor i Geneve i Schweiz, är världens största organisation för utveckling av standarder. ISO är ett nätverk av nationella standardiseringsorgan från 156 länder. ISO-standarder medverkar till att göra tillverkning av och handel med produkter och tjänster mer effektiv. Standarder som nämns i rapporten: SS-EN ISO 9001 Ledningssystem för kvalitet - Krav SS-ISO/IEC 27001 Ledningssystem för informationssäkerhet - Krav ISO 31000 Risk Management - Guidelines on principles and implementation of risk management (ISO 31000 är under utveckling.)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss