UPPSALA UNIVERSITET MAGISTERUPPSATS Företagsekonomiska institutionen 2005-06-01 Författare: Elena Isaieva Bröderna Berwaldsväg 68 756 50 UPPSALA Helena Nilsson Allévägen 13 D 744 51 MORGONGÅVA Sarbanes-Oxley Act sektion 404 om intern kontroll och dess konsekvenser Handledare: Eva Wallerstedt Företagsekonomiska institutionen
Förkortningar Coso Committee of Sponsoring Organizations of the Treadway Commission FEI Financial Executive International IIA Institute of Internal Auditors PCAOB Public Company Accounting Oversight Board PwC PricewaterhouseCoopers SEC Securities and Exchange Commission Sox Sarbanes-Oxley Act of 2002 2
Sammandrag Efter de redovisningsskandaler som har inträffat i framför allt USA har intern kontroll blivit allt viktigare. En ny amerikansk lag, Sarbanes-Oxley Act of 2002 (Sox), tillkom för att bland annat minska risken för bedrägerier och felaktig rapportering. Den mest uppmärksammade delen av lagen, sektion 404, behandlar företagsledningens utvärdering av den interna kontrollen. Syftet med uppsatsen är att utifrån specialisters erfarenhet av sektion 404 undersöka om lagen kommer att bidra till minskad risk för felaktigheter och ökad tillförlitlighet i företags finansiella rapporter samt om den interna kontrollprocessen kommer att effektiviseras. Vi har även valt att undersöka vilken nytta lagen kommer att medföra i förhållande till dess kostnad. Detta har vi undersökt genom att intervjua fyra interna specialister inom företag och fyra externa specialister inom revisionsbyråer. Av vår undersökning har det framkommit att sektion 404 till viss del kommer att bidra till minskad risk för felaktigheter och ökad tillförlitlighet i de finansiella rapporterna samt att lagen kommer att bidra till effektivisering av den interna kontrollprocessen. På lång sikt när företag har utarbetade rutiner för dokumentation av kontroller och tester och den interna kontrollen har blivit en integrerad del i företagets verksamhet tror vi att de kan uppleva en större nytta med lagen än vad de gör i dag. 3
Innehållsförteckning 1 Inledning...6 1.1 Syfte...7 2 Sarbanes-Oxley Act...8 2.1 Bakgrund...8 2.2 Sektion 404...8 2.2.1 Tillämpning av sektion 404...9 2.3 Coso-modellen...9 2.3.1 Bakgrund...9 2.3.2 Intern kontroll enligt Coso...10 2.3.3 Coso-modellens komponenter...10 3 Nytta och kostnad med intern kontroll...11 3.1 Nytta...11 3.1.1 Minskad risk...12 3.1.2 Ökad tillförlitlighet...13 3.1.3 Effektivitet...13 3.2 Kostnad...14 3.3 Nytta kontra kostnad...15 4 Undersökningsmetod...16 4.1 Tillvägagångssätt...16 4.1.1 Arbetsmodellens tillämpning...17 4.2 Val av respondenter...18 4.3 Datainsamling...18 4.3.1 Primärdata...18 4.3.2 Sekundärdata...19 4.4 Käll- och metodgranskning...19 5 Presentation av insamlad data...21 5.1 Nytta...21 5.1.1 Minskad risk...23 5.1.2 Ökad tillförlitlighet...25 5.1.3 Effektivitet...26 5.2 Kostnad...26 5.3 Nytta kontra kostnad...29 4
5.4 Sammandrag av respondenternas svar...31 6 Analys och slutsatser...32 6.1 Nytta...32 6.1.1 Minskad risk...33 6.1.2 Ökad tillförlitlighet...34 6.1.3 Effektivitet...34 6.2 Kostnad...35 6.3 Nytta kontra kostnad...36 6.4 Slutsatser...36 7 Förslag till fortsatt forskning...37 8 Referenslista...38 Figur- och tabellförteckning Figur 1: Arbetsmodell...16 Tabell 1: Presentation av respondenter...21 Tabell 2: Svar från respondenter inom företagen...31 Tabell 3: Svar från respondenter inom revisionsbyråerna...31 Bilagor Bilaga 1: Frågor till interna specialister inom företag... 41 Bilaga 2: Frågor till externa specialister inom revisionsbyråer... 42 5
1 Inledning Under 1970-talet var intern kontroll en viktig del i företagets verksamhet. Det ändrades under slutet av 80-talet och början av 90-talet, då fokus flyttades från den interna kontrollen till nyckelkontroller. (Ett samtal 2004.) Den senaste tidens redovisningsskandaler i bland annat de amerikanska företagen Enron och Worldcom har lett till att förtroendet för kapitalmarknaden har minskat, vilket har medfört att intern kontroll åter har kommit i fokus (Forsberg 2003). Med intern kontroll avses den organisation och de rutiner som gör att redovisningen blir fullständig och korrekt, att resurser används på det sätt som styrelse och vd åsyftar (Far förlag 1992 s. 12 f). Ett väl fungerande internt kontrollsystem motverkar att fel, som kan uppkomma i det dagliga arbetet, leder till fel i redovisningen, ekonomiska rapporter, beslutsunderlag och därmed till att olönsamma beslut fattas. Genom ett väl fungerande internt kontrollsystem kan företag även utnyttja sina resurser maximalt, ge en tillförlitlig finansiell rapportering samt uppmärksamma och följa lagar och regler. (Far förlag 2000 s.7.) En ny amerikansk lag, Sarbanes-Oxley Act of 2002 (Sox), tillkom för att minska risken för bedrägerier och felaktig rapportering samt för att bidra till en förbättrad genomskinlighet av företags finansiella rapportering och ställning (Sarbanes-Oxley 2005). Den 15 november 2004 började lagen gälla för amerikanska bolag noterade i USA och deras dotterbolag (Ramos 2004a). Lagen kommer från och med den 15 juli 2006 även att omfatta utländska bolag, som är börsnoterade eller som har tagit publika lån i USA (Höij 2005, Werner 2004). I Sverige kommer lagen direkt att beröra 14 företag, men även cirka 1000 svenska dotterbolag till utländska företag som är registrerade hos den amerikanska finansinspektionen Securities and Exchange Commission (SEC) (Levander 2005). Den mest uppmärksammade och kravfyllda delen av lagen, sektion 404, behandlar företagsledningens utvärdering av den interna kontrollen. Lagen avser att säkerställa finansiella rapporters överensstämmelse med verkligheten. (Werner 2004.) Tillämpningen av sektion 404 är inte en engångsföreteelse, utan en process som måste uppdateras kontinuerligt och ständigt anpassas till förändringar inom företaget. Det krävs en grundlig dokumentation av alla processer 1 inom den interna kontrollen och över de risker som påverkar företagets möjligheter att nå sina mål. Svenska företag förväntas årligen avlägga en rapport över sin interna kontroll. (Werner 2004.) Den externa revisorn är ansvarig för granskningen av hur effektivt ledningen har tillämpat sektion 404 (Ramos 2004a). 1 Med processer menas hur arbetet faktiskt utförs (Haglund et al 2001 s. 52). 6
Den nya lagen medför en hel del kostnader för berörda företag, vilket har väckt debatt. I dag är företagen hårt pressade av att uppfylla kraven som sektion 404 ställer, samtidigt som de vill uppnå sina vinstmål (Tulin 2004). PricewaterhouseCoopers (PwC:s) undersökning genomförd sommaren 2003 bland 136 multinationella företag i USA har visat att majoriteten av de tillfrågade företagen anser att Sox är ett välment försök att förbättra den interna kontrollen, men att den i realiteten innebär onödiga kostnader för företag som redan anser sig ha en väl fungerande intern kontroll. Dessutom finns risk för att en alltför stor fokus läggs på att förfina den interna rapporteringen och utvärdera finansiella rapporter, vilket medför att andra områden i företaget blir lidande. (D Aquila 2004.) En annan undersökning som Dagens Industri har gjort bland svenska börsbolag i USA visar att för exempelvis ABB kan kostnaderna för att tillämpa sektion 404 komma att bli cirka 350 miljoner kronor (Dyr övergång 2004). De höga kostnaderna har resulterat i att en del företag har avnoterat sig från den amerikanska börsen och vissa företag upplever den omfattande dokumentationen som lagen kräver som en byråkratisk mardröm (Tulin 2004). Däremot menar ordförande för SEC, William H Donaldson, att även om tillämpning av lagen på kort sikt kan innebära höga kostnader, kan en mer felfri process på lång sikt ge en tillförlitligare finansiell rapportering (D Aquila 2004). Då lagen tillkom på grund av inträffade redovisningsskandaler blev lagens främsta syfte att öka investerarnas förtroende för kapitalmarknaden genom att öka finansiella rapporters tillförlitlighet. Kostnaden bör vägas mot den fördel i form av minskad risk för felaktigheter och tillförlitligare finansiell rapportering som sektion 404 bör medföra. Frågan är om kostnaderna för att framställa och dokumentera den interna kontrollen på lång sikt kan komma att minska och den erhållna nyttan att förstärkas samt om den nya lagens fördelar kommer att uppväga dess kostnader. 1.1 Syfte Syftet med uppsatsen är att utifrån specialister inom företag och revisionsbyråer, vilka genom sitt arbete och sin erfarenhet är kunniga inom Sarbanes-Oxley Act sektion 404, undersöka om lagen kommer att bidra till att: minska risken för felaktigheter i företags finansiella rapporter öka tillförlitligheten i företags finansiella rapporter och effektivisera den interna kontrollprocessen. Vi vill även undersöka vilken nytta specialisterna tror att lagen kommer att medföra i förhållande till de kostnader som företag tvingas lägga ner för att uppfylla sektion 404:s krav på intern kontroll. 7
2 Sarbanes-Oxley Act Kapitlet ger inledningsvis en övergripande introduktion till Sox och dess sektion 404. Lagen är en direkt följd av de reformer som Committee of Sponsoring Organizations of the Treadway Commission (Coso) har arbetat fram (Edelstein 2004). Enligt SEC uppfyller Cosomodellen samtliga krav som sektion 404 ställer och är därför den modell som SEC rekommenderar till företag för att de ska kunna efterleva lagens krav (Nagy & Cenker 2004). Sist i kapitlet finns en kort presentation av Coso-modellen, som ger anvisningar gällande företags interna kontroll. Modellen är ett användbart verktyg för att tillämpa den nya lagen, eftersom den är genomförbar, testbar, enkel och dynamisk (Hermanson 2003). 2.1 Bakgrund Den amerikanska lagen, Sarbanes-Oxley Act, tillkom i juli 2002 för att återställa förtroendet för företags finansiella rapporter på kapitalmarknaden, sedan en rad skandaler inträffat (McNally 2004). Syftet med Sox sektion 404 är att skydda aktieägarna från bedrägeri genom att fel upptäcks i ett tidigt stadium, att aktieägarna försäkras om att balansräkningen är korrekt samt att företag lever upp till gällande lagar (Walsh 2005). En fullständig tillämpning av lagen är avsedd att förbättra företagets styrning, etik och rapporters genomskinlighet samt att göra företagsledningen uppmärksam på den information som ges ut (McNally 2004). Både den verkställande direktören och finanschefen måste personligen garantera att informationen som kommer till marknaden är korrekt och uppfyller Sox:s krav samt att inga risker försummas (Werner 2004). Konsekvenserna av att bryta mot den nya lagens regler kan för vd eller finanschef innebära långa fängelsestraff och dryga böter (Forsberg 2003). Sox innefattar elva huvudsektioner och närmare 70 undersektioner. Sektion 404, Management Assessment of Internal Controls, anses vara den mest komplexa och kostsamma lagregleringen för företagen. Den behandlar företagsledningens utvärdering av den interna kontrollen. (McNally 2004.) 2.2 Sektion 404 Sektion 404 kräver att företagsledningen ansvarar för etablering och underhåll av den interna kontrollen och processen kring den finansiella rapporteringen. Ledningen måste också göra en bedömning av effektiviteten i företagets interna kontroll och finansiella rapportering samt identifiera den bakomliggande modell som har använts. Slutligen måste den externa revisorn lämna en försäkran att företaget uppfyller sektion 404:s krav på intern kontroll. (Sarbanes- Oxley Act of 2002.) 8
2.2.1 Tillämpning av sektion 404 McNally (2004) anser i The year of Internal Control att företagen, oberoende av dess komplexitet, genomgår fyra olika steg för att kunna tillämpa sektion 404: planering, dokumentation och utvärdering, kontrollers giltighet samt extern granskning. I det första steget, planering, ska ledningen efter det att de satt sig in i reglerna inom sektion 404 utarbeta och identifiera en metod och strategi för att på bästa sätt kunna tillämpa den nya lagen. Företagets revisorer bör vara engagerade i processen redan vid planeringsstadiet för att kunna förmedla sina förväntningar till ledningen och försäkra att företagets tillämpning av lagen är tillfredsställande. I det andra steget, dokumentation och utvärdering, börjar dokumentationsprocessen efter det att personalen har fått kunskap om och förstått innebörden av sektion 404:s krav. Det innebär omfattande investeringar av tid och resurser för att noggrant dokumentera företagets nuvarande kontroller. Fokus bör först och främst inriktas på företagets mest väsentliga kontrollaktiviteter. Dokumentationen avser att underlätta den externa revisorns granskning. I det tredje steget, kontrollers giltighet, måste kontrollerna testas för att kunna försäkra att den interna kontrollen är korrekt tillämpad och fungerar som den ska. Genom olika typer av tester kan företaget lättare upptäcka de risker som är kritiska och ta itu med dem. I det fjärde och sista steget, extern granskning, ska den externa revisorn utvärdera hur sektion 404 har tillämpats, vilket görs genom en genomgång av all tillgänglig dokumentation. Revisorn ska därefter lämna en offentlig försäkran att den interna kontrollen uppfyller lagens krav och ge sitt utlåtande om ledningens bedömning av den interna kontrollens effektivitet. 2.3 Coso-modellen 2.3.1 Bakgrund Coso har sammanställt en modell för att förebygga bedrägerier och utarbeta rekommendationer för SEC, publika företag och deras oberoende revisorer (Treff & Kirwan 2003). Coso:s Internal Control Integrated Framework, som blev offentligt publicerad år 1992, har blivit standarden för analys och rapportering av den interna kontrollen. Vägen står dock öppen för andra modeller, men både SEC och Public Company Accounting Oversight Board (PCAOB) 2 har specifikt gett sitt stöd åt Coso-modellen som en lämplig riktlinje, eftersom den är i enlighet med Sox:s krav på analys, utformning och dokumentation av den interna kontrollen. (Edelstein 2004.) 2 PCAOB bildades i och med Sox och är det organ som ska övervaka de revisionsbyråer som arbetar åt noterade företag som berörs av lagen. 9
2.3.2 Intern kontroll enligt Coso Det finns flera olika definitioner av intern kontroll och även Coso har utarbetat en egen definition, som både Coso-modellen och Sox bygger på. Definitionen kommer att presenteras utifrån den av Far (2000) gjorda översättningen: Intern kontroll är en process genom vilken företagets styrelse, ledning och annan personal skaffar sig rimlig säkerhet för att företagets mål uppnås på följande områden: verksamhetens ändamålsenlighet och effektivitet den ekonomiska rapporteringens tillförlitlighet efterlevnaden av tillämpliga lagar och förordningar. (Far 2000 s. 8, Coso definition of internal control 2005) Enligt definitionen är intern kontroll ett medel och inte ett mål i sig. Intern kontroll bygger inte enbart på regler och förordningar, utan på att alla personer i organisationen tar sitt ansvar och är involverade i processen. Den interna kontrollen påverkas av hur samtliga personer inom alla led i organisationen agerar i både ord och handling. En fullkomlig säkerhet kan inte uppnås, utan intern kontroll kan enbart ge en rimlig grad av säkerhet. (Internal Control Integrated framework 2005.) 2.3.3 Coso-modellens komponenter Coso-modellen delar in den interna kontrollen i fem komponenter: kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt tillsyn. Samtliga komponenter måste föreligga och integreras i verksamheten för att företagets mål ska uppnås. Kontrollmiljön fastställer grunden för det interna kontrollsystemet och utgör därmed grunden för de övriga komponenterna genom att förmedla disciplin och struktur. Kontrollmiljön anger ett lämpligt klimat i företaget, vilket har en positiv inverkan på personalens kontrollmedvetande (Ramos 2004b). De anställda måste vara väl förtrogna med gällande spelregler samt dela företagets grundläggande värderingar och förhållningssätt etik och moral. (Haglund et al 2001 s. 26). företagets Riskbedömning innefattar företagsledningens identifiering och analys av relevanta risker, vilka kan påverka företags möjligheter att nå sina förutbestämda mål. Komponenten innefattar även bestämda handlingsåtgärder för att mildra dessa risker. (English et al 2004.) Kontrollaktiviteter är alla de åtgärder som bidrar till att säkerställa att företagsledningens mål uppnås och att strategier, för att mildra riskerna, tillämpas. Fördelning av arbete och ansvar, avstämningar, uppföljning av resultat, attestrutiner och skydd av tillgångar är några exempel på vad som innefattas i kontrollaktiviteter. (English et al 2004.) Information och kommunikation måste fungera väl mellan aktörer i olika organisatoriska nivåer för att företaget ska erhålla en effektiv intern kontroll (Haglund et al 2001 s. 45). 10
Tillsyn omfattar övervakning och uppföljning av hela kontrollprocessen samt nödvändiga ändringar som måste göras då förhållanden ändras (Ramos 2004b). Ett effektivt system för intern kontroll måste vara dynamiskt och anpassningsbart (Edelstein 2004). Coso:s modell för intern kontroll är utformad för att bland annat främja effektivitet, minska risken för förlust av tillgångar och bidra till att säkerställa finansiella rapporters tillförlitlighet (Brune 2004). 3 Nytta och kostnad med intern kontroll Den nytta som Coso-modellen och sektion 404 tillför företagets interna kontroll i form av minskad risk, ökad tillförlitlighet i de finansiella rapporterna och effektivitetsvinster måste vägas mot kostnaden för att tillämpa sektion 404. Kapitlet presenterar en del av den litteratur och de undersökningar som finns kring nytta respektive kostnad med lagens tillämpning. Kapitlet kommer att avslutas med en avvägning mellan lagens medförda nytta och kostnad. 3.1 Nytta Nationalencyklopedin definierar nytta som något som har fördelaktig, kvarstående verkan på visst område, för viss person eller verksamhet (Nytta 2005). Intern kontroll är till nytta om den kan användas av företagets ledning och intressenter för att kunna fatta bättre beslut än vad som är möjligt utan intern kontroll (Far 2001 passim). En undersökning som har gjorts bland 222 amerikanska företagsledare har visat att 79 % av företagsledarna anser att deras interna kontroll har förbättrats i samband med sektion 404 och 74 % upplever att lagen medför fördelar för företaget. Företagsledarna upplever att fördelarna är att ledningen får ett ökat förtroende för de anställda, att lagen minskar risken för bedrägerier och förekomsten av felaktigheter samt att den medför ökad tillförlitlighet i de finansiella rapporterna. Allt detta anses leda till ett ökat förtroende bland aktieägarna. (Williams 2005.) En annan undersökning har däremot visat att 50 % av 137 tillfrågade företagsledare anser att Sox sektion 404 inte kommer att bidra till att återskapa investerarnas förtroende (PwC mars 2003). Institute of Internal Auditors (IIA) menar att den interna revisorns arbete med att leva upp till sektion 404:s krav ger en förbättrad möjlighet till att öka ledningens medvetenhet om risk och kontroll samt hjälper till att skapa bättre kontroller och minskad kostnad för den externa revisionen. (Levinsohn 2004.) Rent teoretiskt borde en större fokusering på intern kontroll minska den externa revisorns arbete, men givet den ökade granskningen som lagts på den externa revisorn är det tveksamt om detta kommer att minska granskningsarbetet av den finansiella rapporten (Nagy & Cenker 2004). 11
3.1.1 Minskad risk Coso-modellen avser att medverka till att företagsledningen utarbetar en effektiv intern kontroll som ser till att risker upptäcks och förebyggs på ett tidigt stadium (Intern kontroll 2005). Företagsledare i USA anser att arbetet med sektion 404 har bidragit till att företaget lättare kan upptäcka misstag och förskingring (Thunholm 2004). Med risk menas den risk som finns för att felaktigheter eller brister kan förekomma i redovisningen eller förvaltningen. För att kunna bedöma risker är det viktigt att först avgöra vad och hur mycket som skall granskas och sedan när och hur kontrollen bör ske. (Far 2001 s. 17.) Med väl fungerande kontrollverktyg kan företaget lättare identifiera potentiella problem och sätta in åtgärder i tid. För att kontrollverktygen ska fungera måste dessa integreras i hela verksamheten. Intern kontroll är inte en separat del av företagets verksamhet, utan den måste vara väl inrotad i hela organisationen. (Green 2004 s. 20.) Den interna kontrollen inom företaget anses vara svag om den inte kan upptäcka väsentliga fel. Med väsentliga fel avses sådana fel som påverkar årsredovisningen eller är viktiga för bedömningen om ledningen har handlat inom bestämda lagar och regler. En grundlig analys av företagets risker kan medföra att väsentliga fel i redovisningen eller svagheter inom den interna kontrollen upptäcks. (Far 2001 s. 17 ff & Far 1992 s. 12.) Intern kontroll bör riktas mot de områden som är mest riskfyllda. Det är en ständigt pågående process att identifiera dessa risker. (Haglund et al 2001 s. 29.) Genom att göra korrekta riskbedömningar kan företaget lättare identifiera och bedöma de risker som utgör en fara för företagets mål (Far 2000 s. 9). En undersökning som PwC (januari 2004) har genomfört bland 120 företagsledare har visat att riskidentifiering och utvärderingsprocesser är de områden som kommer att genomgå de största förbättringarna med hjälp av sektion 404. I en rapport presenterad av KPMG har effekten av sektion 404 utvärderats. I rapporten framkommer det att lagen på sikt kommer att leda till bättre riskhantering genom att företagen samlar in information om risker, kontroller och processer i en omfattning som tidigare inte gjorts. Den ökade informationssamlingen kommer att resultera i att risker för felaktigheter minimeras och därmed att mer värde tillförs företaget. Vid utvärdering av den interna kontrollens processer kan företaget tydligare se var dess svagheter respektive styrkor ligger samt var möjligheter och hot förekommer. (Levinsohn 2005.) Enligt en artikel i Dagens Industri har den första årsrapporteringen av de amerikanska företagens interna kontroll visat att en del företag har upptäckt brister i sin redovisning, tack vare tillämpningen av sektion 404 (USA: stor redovisningsbrist 2005). 12
3.1.2 Ökad tillförlitlighet Företagets ledning måste säkerställa att den information som krävs för att öka finansiella rapporters tillförlitlighet finns tillgänglig (Intern kontroll 2005). Kravet på tillförlitlighet är en av de finansiella rapporternas kvalitativa egenskaper. Med tillförlitlighet avses huruvida informationen på ett tillförlitligt sätt avbildar den ekonomiska verkligheten i företaget. Inom redovisningen används termen tillförlitlighet oftast i mätsituationer. Fel i mätutfall leder oftast till att informationen inte anses vara tillförlitlig. (Falkman 2000 s. 64 f). Redovisningens tillförlitlighet beror på hur väl de finansiella rapporterna återger rätt aspekt av verkligheten och att det görs på ett relativt säkert sätt. Finansiella rapporters tillförlitlighet kan ses utifrån begreppen validitet och verifierbarhet. Validitet syftar till att återge de aspekter av verkligheten som de finansiella rapporterna avser att återge medan verifierbarhet syftar till att verifiera ett måtts sanningshalt med något slags bevis. (Smith 2000 s. 26 ff.) Bestämmelserna om intern kontroll i sektion 404 avser att kvalitetssäkra företags finansiella rutiner för att undvika nya finansskandaler (Sinnett 2005). Den nya lagen avser att hjälpa företagen att fatta mer effektiva beslut, som stödjer planering och kontroll av organisationens värdeskapande aktiviteter samt bidra till en mer tillförlitlig rapportering av resultat (White 2005). 3.1.3 Effektivitet Den interna kontrollen ska enligt Coso-modellen bidra till att företag uppnår en ändamålsenlig och effektiv verksamhet (Internal Control Integrated framework 2005). Genom en kontinuerlig utvärdering av det interna kontrollsystemet kan ledningen effektivisera och säkerställa att den interna kontrollen fungerar på ett tillfredsställande sätt (Intern kontroll 2005). En effektivare intern kontroll ska hjälpa företagen att nå sina mål och minska risken för felaktigheter till en acceptabel nivå. (Ramos 2004b). En bra intern kontroll börjar med ett positivt klimat inom företaget (Green 2004 s. 20). Det är viktigt med kompetens och engagemang hos företagets anställda för det interna kontrollsystemets effektivitet. En enhetlig och tydlig kommunikation av företagets mål mellan de olika nivåerna i företaget underlättar tillämpningen av den interna kontrollen. Faktorer bakom en effektiv organisation är en tydlig ansvars- och befogenhetsfördelning, klara och mätbara mål samt väl dokumenterade rutinbeskrivningar. (Haglund et al 2001 s. 18-41.) Den nya amerikanska lagen säkerställer att transaktioner görs av rätt person, för den rätta anledningen och med det rätta beloppet. (Hannon 2005.) För att säkerställa effektivitet krävs det att det 13
finns olika verktyg för att utveckla och utvärdera personalens arbete (Haglund et al 2001 s. 19). Enkätundersökningar och intervjuer med personal, fokusering på nyckelaktiviteter samt genomgång av relevanta dokument är exempel på tester av den interna kontrollens effektivitet (McNally 2004). Den interna revisorn eller en tredje part kan vid utvärdering av den interna kontrollens effektivitet bistå ledningen, men det övergripande ansvaret vilar på ledningen (Management s responsibility 2004). För att uppfylla sektion 404:s krav måste företagen gå från manuella till mer automatiserade kontroller. I tidigare manuella kontroller, som var mer kostsamma, förelåg en större sannolikhet för att felaktigheter skulle förekomma. Automatiserade kontrollsystem kan på lång sikt leda till minskade kostnader, bättre riskhantering och ökad genomskinlighet i företaget. (Levingsohn 2005.) Effektivitetsvinster kan uppnås genom att företaget utformar kontroller på ett mer funktionellt sätt och att det tar bort onödiga kontroller (Thunholm 2004). 3.2 Kostnad Kostnad kan definieras som en resursuppoffring som ett visst handlingsalternativ för med sig (Laurelli et al 1990). En mycket omdebatterad fråga är de kostnader som en tillämpning av sektion 404 medför. 3 Det är bland annat kostnader för att göra personalen insatt i all dokumentation samt värdering och tester av den nuvarande interna kontrollen. Därutöver har företaget kostnaden av att anlita externa konsulter och kostnaden av att införa IT-system i syfte att underlätta dokumentation och underhåll av den interna kontrollen. Den externa revisorns utökade arbetsuppgifter och ansvar medför även att företagets kostnader för den externa revisionen ökar. (McNally 2004.) Enligt Svenska Dagbladet har Sox inneburit extra kostnader på cirka nio miljarder dollar för det amerikanska näringslivet (Bergkvist 2005). I januari 2004 uppgick snittkostnaden för de amerikanska bolagen till närmare två miljoner dollar per företag, i juli samma år var siffran över tre miljoner dollar per företag (Bergin 2005). En undersökning som har genomförts av PwC (juli 2003) bland 150 företagsledare har visat att 56 % anser att införandet av de nya reglerna om intern kontroll inte är särskilt kostsam. Bland de mindre bolagen (under en miljard dollar i intäkter) anser dock 58 % att tillämpningen av sektion 404 är kostsam. Dokumentationen, framför allt när det gäller att samla in och säkerställa information, anses av 74 % vara det mest omfattande kravet som lagen har medfört för företag. En annan undersökning som har gjorts i januari 2004 av Financial Executives International (FEI) har visat att tillämpningen av sektion 404 inneburit omfattande extrainsatser för företag. Den extra 3 Bergin 2005; D Aquila 2004; Hermanson 2003; McNally 2004; Tulin 2004; Walsh 2005 m fl. 14
arbetstiden har inom företag uppgått till ungefär 12 000 timmar. Samma undersökning har visat att den externa konsultationen har uppgått till i snitt 3 000 timmars arbete. Den mest påtagliga kostnaden i samband med lagen är enligt undersökningen revisionsarvodet. Extra revisionskostnader har uppgått till i genomsnitt 590 000 dollar. (D Aquila 2004.) Revisionskostnaderna i Sverige beräknas stiga med 50-80 % i samband med lagens tillämpning (Tulin 2004). En undersökning som har genomförts bland nio interna revisorer på olika företag i USA har visat att samtliga tillfrågade tror att de extra kostnader som tillämpningen medfört kommer att upphöra i en nära framtid efter det att Sox-tillämpningens inlärningskurva är mättad (Nagy & Cenker 2004). Tillämpning av sektion 404 upplevs generellt som en byråkratisk process. 4 Den höga kostnaden och all tid som företagen måste lägga ned för att uppfylla Sox krav har resulterat i att en del företag redan har avnoterat sig från den amerikanska börsen istället för att spendera sina resurser på den nya lagen (Hermanson 2003, Tulin 2004, Walsh 2005). 3.3 Nytta kontra kostnad En tumregel för intern kontroll är att den nytta som den tillför företaget och dess intressenter måste väga mer än kostnaden (D Aquila 2004). Nyttan av de förbättrade besluten ska vara större än kostnaden för att framställa, kommunicera och använda informationen (Smith 2000 s. 33). Sektion 404 kan medföra en alltför krävande intern kontroll. Denna överkontroll kan bli motproducerande och kostsam om uppoffring i form av tid och pengar inte motsvarar den interna kontrollens nytta i form av ökad tillförlitlighet och minskad risk i finansiella rapporter (Roth 2004). Sektion 404 är lönsam om den bidrar till att återskapa investerarnas förtroende på kapitalmarknaden och bidrar till att förbättra kvaliteten i den finansiella rapporteringen. Om detta blir fallet kommer fördelarna av de investeringar som företag gör, i och med tillämpningen av sektion 404, överväga kostnaden. 5 En undersökning som har genomförts i USA bland nio interna revisorer har visat att fem av de tillfrågade har en negativ inställning till lagen. De tycker att sektion 404 medför att företaget slösar bort avsevärd tid och resurser på att dokumentera och kontrollera den interna kontrollen i områden där sannolikheten för att upptäcka fler felaktigheter är näst intill obefintlig och där sannolikheten för att bedrägerier ska inträffa är minimal. På frågan om sektion 404 kommer att bidra till en förbättrad kvalitet av de finansiella rapporteringarna anser de flesta tillfrågade att lagen medför snarare en övning i 4 Brune 2004; Nagy & Cenker 2004; D Aquila 2004; Tulin 2004. 5 D Aquila 2004; English et al 2004; Sinnett 2005; Walsh 2005. 15
dokumentation än en betydlig förbättring av den finansiella rapporteringen. För vissa företag som redan har en väl fungerande intern kontroll kan lagen upplevas som en börda, men däremot kan den vara en fördel för de företag som inte har en väl fungerande intern kontroll. (Nagy & Cenker 2004.) Även om den nya lagen kan upplevas som svår och smärtsam för företaget i början kan företaget på lång sikt komma att se positivt på det arbete som nu utförs (Hannon 2005). Trots att företag måste uppdatera sina system för att uppfylla den nya lagens krav på dokumentation upplever vissa företagsledare att lagen kommer att tillföra högre värde än kostnad (PwC juli 2003). Dagens kostnader för tillämpning av sektion 404 kan ses som en investering för framtiden. 6 4 Undersökningsmetod 4.1 Tillvägagångssätt Figur 1 illustrerar hur problemet kring den interna kontrollen kommer att undersökas. De valda variablerna i figuren utgår från uppsatsens referensram. (Holme & Solvang 1997 s. 58 ff). Nytta Minskad risk? Ökad tillförlitlighet? Ökad effektivitet? Kostnad Upplevda kostnader? Byråkratisk? Interna och externa specialisters erfarenhet av sektion 404 Nytta kontra kostnad Figur 1: Arbetsmodell Figuren speglar den information vi har valt att koncentrera oss på. Den har delats in i tre huvudområden: nytta, kostnad och hur dessa två variabler ställs mot varandra nytta kontra kostnad. Dessa huvudområden kommer att undersökas utifrån både interna och externa specialisters erfarenhet av sektion 404. Genom att undersöka deras erfarenheter kring nyttan av sektion 404 kan uppsatsens första syfte uppfyllas, vilken är om den nya lagen leder till minskad risk för felaktigheter och ökad tillförlitlighet i företags finansiella rapporter samt om 6 D Aquila 2004, Simmons 1997, Sinnett 2005, Walsh 2005. 16
lagen kommer att bidra till att effektivisera den interna kontrollprocessen. Lagen har bidragit till en hel del kostnader för företag. Det är därför av intresse att, utifrån de personer som är insatta i lagen, undersöka vilken nytta lagen medför i förhållande till de kostnader företag tvingas lägga ner för att uppfylla lagens krav. Denna frågeställning avser att besvara uppsatsens andra syfte. För att få en bättre förståelse och en djupare bild av problemet bakom Sox sektion 404 har en kvalitativ metod valts. De frågeställningar som uppsatsen avser att besvara är relativt omfattande och uppsatsens ämne kan vara känsligt, därför har vi valt att göra intervjuer. (Holme & Solvang 1997 s. 13, 101.) Delvis standardiserade intervjuer har valts för att ha möjlighet att under intervjun komplettera med följdfrågor (Holme & Solvang 1997). Några av frågorna är öppna, vilket ger ett stort utrymme för respondenten att svara inom. Målet med denna typ av frågor är att få ut så mycket information som möjligt gällande konsekvenserna av sektion 404. 4.1.1 Arbetsmodellens tillämpning Vid operationalisering av nytta och kostnad har utgångspunkten varit att företagen i någon utsträckning har börjat agera för att uppfylla de nya kraven på intern kontroll. Vi har velat undersöka vilken nytta respektive kostnad lagen hittills har medfört för företag enligt specialister inom Sox sektion 404 och vad dessa personer tror om framtida effekter av lagen. För att kunna genomföra detta har vi utformat en rad intervjufrågor (bilaga 1 och 2) utifrån de områden som uppsatsen avser att undersöka. Till att börja med har vi velat skapa oss en bild av företags utgångspunkt och därför har vi frågat vilken modell som företagen använder sig av för att tillämpa sektion 404:s krav på intern kontroll (fråga 1). Det är också av intresse att belysa hur företagens interna kontroll har fungerat före lagens tillämpning (fråga 4) för att lättare kunna bedöma i vilken utsträckning lagen har bidragit till förändringar i företagens nuvarande interna kontroll. Utifrån vår arbetsmodell (figur 1) har vi ställt frågor om lagens medförda nytta. Vi har undersökt om den nya amerikanska lagen kommer att bidra till att minska risken för felaktigheter (frågor 6-7), öka tillförlitligheten i de finansiella rapporterna (frågor 8-9) och om lagen kommer att effektivisera den interna kontrollprocessen (fråga 10). Den externa revisorns arbete kan komma att underlättas i och med att större fokus läggs på den interna kontrollen och därför har vi valt att ställa två frågor rörande detta (fråga 2-3). Lagen kan medföra ytterligare fördelar (fråga 5), förutom de som redan nämnts. 17
Sektion 404 har blivit omdebatterad på grund av de stora kostnader den medför. Vi har därför valt att undersöka närmare om de tillfrågade tror att deras företag/kunder upplever detta och i så fall i vilken omfattning (fråga 12-13). Eftersom processen även i media har beskrivits som byråkratisk (fråga 15) har vi velat undersöka om detta är något som företag/kunder hittills har upplevt. Denna fråga har ställts för att bedöma respondenternas inställning till lagen. Den nya lagen kan ha fler nackdelar än de som litteraturen hittills har behandlat och därför har en öppen fråga om de nackdelar som är förknippade med sektion 404 ställts (fråga 11). Till sist har vi ställt frågor rörande avvägningen mellan lagens medförda nytta och kostnad. Vi har velat ta reda på om kostnaden som lagen medför kommer att minska på sikt och därmed medföra att nyttan kommer att öka (fråga 14). De två sista frågorna i undersökningen (fråga 16-17) avser att tydligare spegla avvägningen mellan lagens nytta och kostnad. 4.2 Val av respondenter Tidigare undersökningar om konsekvenserna av sektion 404 har främst berört företagsledningens syn på tillämpningen av lagen. Vi har därför velat undersöka lagens effekter utifrån den erfarenhet som specialister, inom företag respektive revisionsbyråer, har om Sox sektion 404. För att få en helhetsbild av konsekvenserna av sektion 404 har vi velat få både interna och externa specialisters erfarenhet av lagen. De bör vara väl insatta i lagen och har som uppgift att bistå ledningen när det gäller den interna kontrollen. Respondenterna har valts ut på grund av den kompetens och erfarenhet de besitter kring sektion 404. Valda respondenter har mellan sex månader och tre års erfarenhet när det gäller tillämpningen av lagen. För en närmare presentation av respondenterna hänvisar vi till kapitel 5. Sox-lagen gäller enbart de bolag som är börsnoterade i USA. I Sverige är det 14 bolag som direkt berörs av den nya lagen och därmed begränsas urvalet av företag. De företag som omfattas av lagen har vi fått kännedom om dels genom att företagen omnämnts i en artikel i Dagens Industri (Tulin 2004), dels på grund av kännedom att de är noterade på de amerikanska börserna. Interna specialister har valts inom fyra koncerner, vilka samtliga är anonyma i uppsatsen. De fyra stora revisionsbyråerna, det vill säga Öhrlings Pricewaterhouse- Coopers, KPMG, Deloitte och Ernst & Young, har valts ut då samtliga har verksamhet i utlandet och till stor del anlitas av börsnoterade bolag (Gerestrand & Leonardsson 2003). 4.3 Datainsamling 4.3.1 Primärdata Sammanlagt har vi genomfört åtta intervjuer: fyra intervjuer inom företag och fyra intervjuer inom revisionsbyråer för att få en rättvis avvägning av resultatet. Intervjuer har genomförts 18
genom två personliga möten med respondenter, fem telefonintervjuer och genom att en respondent har svarat via e-post. Telefonintervjuer har valts på grund av geografiskt avstånd och den givna tidsramen. Ett frågeformulär har sammanställts för de interna specialisterna (bilaga 1) och ett för de externa specialisterna (bilaga 2). Till stor del är frågorna likalydande, men skiljer sig i det avseendet att revisionsbyråerna har företagen som kunder, varför vi justerade frågorna efter vem det var som intervjuades. Tre av respondenterna, en inom företag och två inom revisionsbyråer, har valt att få vara anonyma både till namn och företag/byrå, och då har automatiskt även övriga respondenter blivit anonyma. Anonymitet erbjöds för att värna om respondentens integritet. Alla respondenter utom en har godkänt att intervjun har spelats in. Intervjuerna har spelats in för att få ett så tillförlitligt resultat som möjligt och för att inget som sägs ska missas eller misstolkas. Efter det att intervjuerna renskrivits har ett utkast skickats till respektive respondent för godkännande och eventuella tillägg. 4.3.2 Sekundärdata Den teoretiska referensramen som ligger till grund för uppsatsen har inhämtats från böcker, artiklar och Internet. Litteratur har sökts på Uppsalas och Lunds universitets bibliotekskataloger, Disa respektive Elin@, samt på den nationella biblioteksdatabasen Libris. Följande sökord har bland annat använts: Coso, intern kontroll, Sarbanes-Oxley Act, sektion 404, risk och tillförlitlighet. Sökorden har använts enskilt och i olika kombinationer. Vi har dessutom använt oss av olika referensdatabaser såsom Far komplett, Emerald, Affärsdata samt Artikelsök. Artiklarna är främst engelska vetenskapliga artiklar skrivna av finanschefer och andra högt uppsatta personer inom företag samt professorer och revisorer. Förutom bibliotekets resurser har vi använt oss av tidigare uppsatser om Sarbanes-Oxley Act för att få tips på relevant litteratur. Information har även sökts via Internet och dess sökmotor Google. 4.4 Käll- och metodgranskning Den övervägande delen av sekundärdatan är amerikanska artiklar och undersökningar. Detta kan innebära att de inte nödvändigtvis behöver gälla för Sverige. Men de fåtal svenska källor som berör uppsatsämnet har hittills överensstämt med de amerikanska källorna. Vi har därför haft anledning att tro att det problem som finns gällande konsekvenserna av sektion 404 även kan gälla för Sverige. Ett flertal olika källor inom problemområdet har behandlat samma information, vilket ger större trovärdighet till källan (Holme & Solvang 1997 s. 136). Vid informationssökning på Internet har vi noggrant beaktat källangivelser, vem som har skrivit informationen och i vilket syfte, samt när den skrivits (Thurén 1997 s.11). 19
Nackdelen med kvalitativa studier är svårigheten att kunna göra generaliseringar, men valet att göra en kvalitativ studie ansågs lämplig då vi har velat skapa oss en helhetsbild och få en djupare förståelse som gör det möjligt att analysera de konsekvenser som sektion 404 medför (Holme & Solvan 1997 s.14). Till stor del har frågorna medfört svar av subjektiv karaktär, vilket vi är medvetna om. Men avsikten har varit att få fram specialisters åsikt om den nya lagen och inte enbart rena fakta. En av respondenterna har, som vi nämnt tidigare, valt att svara på frågorna via e-post, vilket medfört att vi inte har kunnat ställa följdfrågor på plats. Vi har ej heller vid behov kunnat förtydliga frågorna, vilket har lämnat utrymme för tolkning hos respondenten. Vi anser ändå att vi har fått konkreta svar på våra frågor. Då svaren har varit alltför korta och outvecklade har vi fått gå tillbaka till respondenten och bett om förtydligande. En respondent har inte velat att vi skulle spela in intervjun, vilket kan ha medfört att vi missat eventuell viktig information. För att minska denna risk har vi skickat en förfrågan med kompletteringar på de svar som inte var fullständiga och fått utförlig feedback från respondenten. Vid intervjuer måste en eventuell intervjuareffekt tas i beaktande. Den kan påverka intervjuns tillförlitlighet och är en följd av att den som intervjuar uppträder på ett sätt som gör att respondenten känner på sig vad som förväntas av denne. Ljudbandsinspelningar kan vara en nackdel eftersom de kan påverka respondentens svar. Respondenten kan känna sig hämmad och inte lika spontan som han/hon vore om det inte funnits någon bandspelare. (Patel & Davidson 1991 s. 70-88.) Vi är vidare medvetna om att telefonintervjuer kan göra att respondenten inte öppnar sig lika mycket som han/hon skulle göra vid en personlig intervju. Ett visst egenintresse och partiskhet måste också tas i beaktande, främst när det gäller konsulter på revisionsbyråer, vilka erbjuder tjänster (däri konsultation gällande tillämpningen av sektion 404) och kan vilja, medvetet eller omedvetet, tala mer positivt om lagen än vad de annars skulle göra. De interna specialisterna på företagen kan också vara partiska då de inte vill riskera att skada företagets anseende. Eftersom samtliga respondenter erbjöds anonymitet tror vi att vi har fått öppnare och ärligare svar än vad vi fått om personerna ej varit anonyma. Sox sektion 404 börjar gälla från och med den 15 juli 2006. Företagen befinner sig därmed fortfarande i tillämpningsstadiet. Det är sannolikt att ett annat resultat kan uppkomma om undersökningen görs vid en senare tidpunkt. 20
5 Presentation av insamlad data Undersökningens syfte är att få en bild av interna och externa specialisters erfarenhet av Sox sektion 404. Samtliga respondenter är anonyma, varför varje företag och dess respondent har angivits med en bokstav, A-D och varje revisionsbyrå och dess respondent har angivits med E-H. Samtliga svar som redovisas är respondenternas personliga åsikter och behöver inte betyda att hela företaget/byrån tycker likadant. I tabell 1 presenteras samtliga respondenter inom företag och revisionsbyråer. Respondent Arbetsområde Antal år inom företaget/byrån Antal år med Sox Antal företag som byrån hjälpt I n t e r n a s p e c i a l i s t e r A Intern revision 35 år 3 år B SOA manager for market unit Nordic, ansvarig för tillämpningen av sektion 404 6 mån 6 mån C Vice president for internal control, ansvarig för tillämpningen av sektion 404 9 år 1 år D Ingår i projektteamet som ansvarar för tillämpningen av sektion 404 1 år 1 år E x t e r n a s p e c i a l i s t e r E Intern revision 8 år 3 år cirka 15 företag F Intern revision 9 år 2 år cirka 10 företag G Riskkonsultation 1,5 år 9 mån en koncern H Extern revision, konsult gällande Sox 5 år 2,5 år cirka 10 företag Tabell 1: Presentation av respondenter Den följande presentationen har strukturerats med hjälp av den arbetsmodell vi illustrerade i figur 1, i föregående kapitel. 5.1 Nytta Interna specialister Samtliga interna specialister 7 använder sig i grund och botten av Coso-modellen, som de alla tycker har fungerat på ett tillfredsställande sätt. Modellen är, enligt respondenterna, mycket generell. Respondent A och B anser att den är pedagogisk och att den klargör vad begreppet intern kontroll innebär. Modellen ger, enligt C, systematik åt arbetet. Respondent D anger att Coso-modellen är ett etablerat ramverk och är ett hjälpmedel för att strukturera den interna kontrollen. De interna specialisterna anser att de redan innan tillämpningen av sektion 404 har haft en väl fungerande intern kontroll. Respondent B tillägger att deras interna kontroll var inte lika formaliserad som sektion 404 kräver att den ska vara. Samtliga interna specialister anser att revisorns granskningsarbete kommer att bli mer omfattande eftersom större fokus läggs på intern kontroll och dess dokumentation samt att fler 7 Med samtliga interna specialister åsyftas fortsättningsvis enbart de personer inom företagen som medverkat i vår undersökning. 21
moment kommer in i arbetet. Respondent A och D anser att lagen på sikt kan komma att underlätta den externa revisorns arbete, eftersom revisorn bättre kommer att kunna förlita sig på att företaget har ett bra system för intern kontroll. Genom att testa och bevisa att kontrollerna fungerar kan fokus på lång sikt läggas på de mest väsentliga aspekterna inom intern kontroll. Respondent D tillägger att en mer homogen intern kontroll kommer att hjälpa revisorn att få en överblick över hela koncernen, eftersom de nu kan se vilka kontroller som finns runt om i världen. Samtliga interna specialister anser att de främsta fördelarna med Sox sektion 404 är att arbetet blir mer systematiskt och att det blir mer fokus på intern kontroll. Respondent A och D tycker att kontrollerna testas på ett helt annat sätt än tidigare och att de är mer detaljerade. Företaget vet nu, enligt D, exakt hur kontrollerna är utformade. Externa specialister Samtliga externa specialister 8 anger att deras klienter använder sig av Coso-modellen. De anger att Sox föreskriver att vald modell måste vara ett etablerat ramverk och att Cosomodellen även är den modell som rekommenderas av SEC och PCAOB. Respondenterna anser att modellen är bra, därför att den är komplett och generell. De externa specialisterna anser att en del av de svenska företagen har haft en väl fungerande intern kontroll redan innan tillämpningen av sektion 404, men att den inte har varit lika omfattande som sektion 404 föreskriver. Både respondent G och H påpekar att de företag som har haft en bra intern kontroll har inte haft den dokumenterad. Respondent G tillägger att i Sverige är all kommunikation till och från ledning mer baserad på tillit till människor, medan relationen i USA mellan ledning och organisation är mer baserad på tester och bevis. Detta är också något som E håller med om. Respondenten nämner att de amerikanska organisationerna är mer hierarkiska. Företagsledningens intresse för intern kontroll och/eller om företaget har varit utsatt för tidigare bedrägeriförsök har påverkat hur bra företagets interna kontroll tidigare har sett ut. Samtliga externa specialister anser att den externa revisorns arbete kommer att bli mer omfattande än tidigare av de bolag som omfattas av Sox, eftersom revisorn nu har mer att granska på grund av lagens krav på dokumentation för dessa bolag. Respondent H anger att revisorn måste bekräfta att kontrollerna, som leder fram till årsredovisningens siffror, är riktiga. Respondenten tror att den externa revisorns arbete kan komma att underlättas på sikt, 8 Med samtliga externa specialister åsyftas fortsättningsvis enbart de personer inom revisionsbyråerna som medverkat i vår undersökning. 22
eftersom företags kontroller blir mer stabila. Detta medför att revisorn kan förlita sig mer på kontrollerna. Respondent E anger att det har varit mycket arbete att övertyga företag om vikten av att tillämpa den nya lagen. Vissa bitar av lagen har, enligt respondenten, de svenska företagen svårt att förstå med tanke på att de svenska företagen har ett annat sätt att arbeta, annan miljö och annan tillit till människor än vad som gäller i USA. Respondent F anser att regelverkets instruktioner är relativt specifika i vissa avseenden, vilket underlättar arbetet. Det som respondenten däremot anser försvåra arbetet är att lagen lämnar stort utrymme för tolkning, vilket medför att inte alla inblandade parter vet exakt vad som menas. Respondent G anser att revisorn har mer arbete eftersom volymen på arbetet är större, men att arbetet underlättas i och med att det är bättre organiserat och dokumenterat. Alla externa specialister tror att lagen förhoppningsvis kommer att medföra att företaget får en bättre struktur på sin interna kontroll. Respondent E tror att sektion 404 kommer att medföra att företaget får en engagerad personal som förstår vikten av god intern kontroll. Detta anser respondenten är ett måste för att behålla Sox-tillämpningen på en bra nivå. Sox kräver även någon form av dualitet, vilket innebär att en person inte kan sitta och göra allting i en process, utan att någon annan kommer in med nya ögon och upptäcker eventuella felaktigheter. Företaget kan även effektivisera sina kontroller och ta bort eventuellt dubbelarbete. Lagen ska, enligt F, bidra till att skapa en bättre transparens i de finansiella rapporterna gentemot aktieägare och investerare. Detta genom att företaget kan visa att samtliga kontroller är på plats samt att de är testade och utvärderade, vilket även kommer att öka bankers och kreditgivares förtroende för företaget. Respondent G och H anser att lagen bidrar till att företaget får en grundlig genomgång av hur deras kontroller fungerar, att man gör rätt saker och att risken för fel minimeras. Respondent H tillägger att företaget även får en genomlysning av hela verksamheten och en utökad kommunikation mellan olika avdelningar i företaget. 5.1.1 Minskad risk Interna specialister Två av de interna specialisterna, A och D, tror att det kommer att vara lättare att upptäcka risker i de finansiella rapporterna i ett tidigare stadium, dock anser de att företaget redan har haft en uppfattning om vilka risker som finns. Respondent A tror att vissa områden inom företaget kan ha saknat en fullbordad intern kontroll, medan andra områden kan ha haft dubbla kontroller. Respondent D anser att det i och med dokumentationen finns fler kontroller kopplade till riskerna, vilket gör det lättare att upptäcka risker. De övriga två respondenterna, 23