SUPER-REVISORN

Den 1 juli 2005 förändras verkligheten för börsens hundra största företag över en natt. Då ska koden för bolagsstyrning ingå som en del av börskontraktet. Men om den största förändringen talas det minst: Kravet på intern kontroll

- Sveriges svar på USA:s stentuffa regelverk Sarbanes-Oxley.

Nyligen offentliggjorde ABB att bolaget upptäckt tvivelaktiga betalningar motsvarande 3,5 miljoner kronor i ett amerikanskt dotterbolag.

Samma vecka tvingas dryckesjätten Coca-Cola acceptera ett krav från amerikanska finansinspektionen, SEC, att räkna om vinsten för åren 1997 och 1999 som bolaget själv upptäckte hade blåsts upp i redovisningen.

Den växande skandalen i den amerikanska försäkringsjätten AIG följer ett liknande mönster. Luftaffärer med försäkringskontrakt avslöjas genom interna kontroller och revision och anmäls till SEC, som sedan återkommer med en granskning.

Eter alla företagsskandaler, etikdebatter och kodförslag är verkligheten här. Regelverket kring den fruktade Sarbanes-Oxley Act, SOX, är på plats i USA sedan årsskiftet. Snart kommer den även gälla för utländska bolag noterade i USA. Plötsligt står den interna kontrollen högst på de internationella bolagens dagordning. Konsekvenserna är på gång att märkas även i Sverige. Tuffare regler för intern kontroll, riskhantering och styrning är på väg. Det medför ökade revisionskostnader och en ny guldålder för en bortglömd yrkesgrupp – internrevisorn.

I Sverige har SOX, som från och med december 2006 påtvingas flera av de svenska storföretagen, hittills mest hånats för att vara orimligt dyr och komplicerad att införa. ABB räknar med att under 2005 spendera femtio miljoner dollar för att följa SOX, som i sektion 404 beskriver hur bolagen ska kartlägga och systematisera koncernens rutiner för den finansiella rapporteringen.

 Det som fått kostnaderna att skena är framför allt friskrivningsklausulen Sektion 302, där vd och finanschefe går i god för att den finansiella redovisningen ger en korrekt bild av företagets verksamhet och risker. Innan namnunderskrifterna finns på plats har bolag med en försäljning över 30 miljarder kronor lagt ner i genomsnitt 25 000-50 000 mantimmar, enligt en undersökning från revisionsbyrån Ernst & Young. Bolag med en försäljning på över 120 miljarder kronor lägger ner mer än 100 000 timmar. Dessutom väljer många bolag att gå längre än vad SEC kräver och rapporterar om sin interna kontroll med tätare intervall för att bygga upp sitt förtroendekapital. Det kostar också pengar.

– Trots kritiken är SOX här för att stanna. Vad vi börjar se är att SOX faktiskt fungerar och höjer kvaliteten på redovisningen från amerikanska bolag, säger den kände amerikanske revisorn och programkonsulten Tim Leech, som nyligen var föredragshållare på en konferens om internrevision i Stockholm.

I mars hade 5 000 amerikanska bolag lämnat in en redovisning till SEC för 2004 anpassad till SOX. Av dessa hade 8 procent rapporterat ”betydande avvikelser”, sådana avser fel som påverkar rörelseresultatet med minst en procentenhet.

Utvecklingen i USA har satt hård press på Europas eget arbete med att bygga upp en modell för att säkerställa intern kontroll och riskhantering i företagen, och framför allt för att se till att bolagens styrelseledamöter klarar av att på ett trovärdigt sätt försäkra omvärlden om att alla lovvärda policier också tillämpas i praktiken.

Och det går snabbt. EU-kommissionen presenterade i december förra året ett tydligt krav på att börsnoterade europeiska bolag ska ha en revisionskommitté som övervakar den interna revisionens arbete och lämnar en rapport över både riskstyrning och intern kontroll.

Andra förslag från EU är redan på väg att bli ny svensk lag. Enligt årsredovisningslagen, som träder i kraft 30 april, ska förvaltningsberättelsen beskriva väsentliga risker och osäkerhetsfaktorer som företaget står inför. På gång är även lagstiftning om detaljerad redovisning av ersättningarna till ledande befattningshavare.

Lagstiftning bemöts med misstänksamhet av det europeiska näringslivet och redovisningsexpertis. Det europeiska redovisningsrådet vill att Europa tydligt ska hålla kvar vid de europeiska bolagens principbaserade modell till skillnad mot den amerikanska regelbaserade. Framför allt vill Europa slippa byråkratin och kostnaderna som finns i USA.

Lagstiftning slår dessutom undan benen för kodernas flexibilitet, uppbyggd kring självreglering och framväxandet av goda exempel, eller ”best practice”, som britterna kallar det.

Sverige, som i december förra året var sist ut i Europa med att ta fram en kod för bolagsstyrning, har redan hamnat ordentligt på efterkälken. Den svenska koden för bolagsstyrning blir en del av kontraktet med Stockholmsbörsen från och med första juli. Den omfattar alla bolag med ett börsvärde över tre miljarder kronor. Nu måste den anpassas till hårdare krav på mer tillförlitlig bolagsstyrning.

Koden, som är på 22 sidor, skriver bara kort om de nya kraven avseende den interna kontrollen: ”Till bolagets årsredovisning skall fogas styrelsens rapport om den interna kontrollen samt revisorns granskningsberättelse över bolagsstyrningsrapporten.”

I dag kan egentligen ingen i Sverige säga hur internkontrollrapporteringen kommer att se ut. Men diskussionen pågår för fullt. Föreningen för revisionsbyråbranschen, FAR, har åtagit sig att ta fram ett svenskt ramverk för rapporteringen av intern kontroll. Det ska göras tillsammans med Svenskt Näringsliv. Arbetet leds av KPMG:s Anders Malmeby från FAR och Torbjörn Boije från Scania.

– Det är viktigt att vi lägger oss på rätt nivå, där nyttan överstiger kostnaden. Därför vill vi hålla oss till en principbaserad modell i stället för detaljreglering av amerikanskt slag. Det finns en allmän trend mot alltmer detaljreglering som vi vill stå emot, säger Dan Brännström, generalsekretare i FAR.

Klart är att styrelse och vd omedelbart innan de skriver under årsredovisningen måste lämna en försäkring att ingenting av väsentlig betydelse är utelämnat som påverkar den bild av bolaget som skapats av årsredovisningen. Det kravet innebär att det tydligare framgår att det är bolagets styrelse, inte revisorerna, som har ansvaret för redovisningen och den interna kontrollen. Det kommer leda till merarbete och nyanställningar internt.

Den svenska ”Soxen” kommer, oavsett önskemål, att låta tala om sig.

Framför allt inom tre områden blir det stora förändringar:

1 Revisionskommittén blir ett måste.
Den ska främja dialogen mellan styrelsen och de externa revisorerna. I dag har fyra av fem företag med en omsättning överstigande sex miljarder kronor en permanent revisionskommitté, enligt en färsk undersökning från Affärsvärlden och konsultfirman Booz Allen Hamilton. Bland de mindre bolagen har dock knappt hälften inrättat en revisionskommitté.

2 Internrevisorn gör comeback.
Den gamla ”polisrollen”, som försvann på 1990-talet, kommer att ersättas av en ny typ av internrevisor som likt en konsult utvecklar en helhetssyn på riskhantering, styrning och corporate governance. Lika centralt är oberoendet. Enligt Affärsvärldens och Booz Allen Hamiltons styrelseundersökning hade bara 40 procent av bolagen på Stockholmsbörsen en intern revisionsfunktion med en oberoende relation till styrelsen.

3 En ny bibel att följa – COSO.
Genom koden är det meningen att företagets interna kontroller ska byggas som en logisk kedja som styrelsen kan förstå. Den oberoende internrevisionen blir då en integrerad del av bolagets affärsverksamhet.

Det finns olika modeller och ramverk för intern riskstyrning där COSO är den mest kända, beskriven som bibeln för all riskmanagement. Många svenska bolag har COSO redan i dag, men sällan täcker ramverket hela företagets samtliga verksamheter. De kan ha COSO i produktionen, men inte på marknadsavdelningen.

I en stor del av de svenska börsnoterade bolagen pågår redan förberedelserna för fullt. Fast på olika sätt, vilket gör att det kommer bli svårt att jämföra dem med varandra. Några exempel:

n En kategori är de som har en huvudnotering på en amerikansk börs, exempelvis Autoliv. Fjolårets arbete med SOX och tillämpningen av COSO:s ramverk kostade nio miljoner dollar i externa merkostnader.
– Vi har på ett dyrt sätt dokumenterat och fått en förbättrad internkontroll, säger Autolivs finanschef Magnus Lindquist.

n En annan kategori är ett tjugotal svenska storbolag, exempelvis Volvo, Ericsson, Telia Sonera, SKF och Electrolux, som har eller har haft en notering av värdepapper på amerikansk börs. Volvo räknar med att anpassningen kommer kosta ”ett par hundra miljoner kronor”.

– Självfallet hade vi helst sett att vi sluppit SOX 404. Men arbetet kan ha andra värden, som att Volvo har stor försäljning i USA och många anställda. Det ligger ett värde i att uppfattas som en god affärspartner också, säger Fredrik Brunell, ansvarig för investor relations på Volvo.

n En tredje kategori är bankkoncerner som står under Finansinspektionens bevakning och som redan har att anpassa sig till de hårdare krav på genomlysning som följer av nya EU-rekommendationer via det så kallade Basel II-direktivet. Förra året fick exempelvis Nordeas enhet för internrevision ett globalt pris för sin verksamhet. Nordeas internrevisor Fred Andresen är anställd direkt av Nordeas styrelse. Modellen har kopierats av Skandia.

n En fjärde grupp av företag förbereder sig för kraven i den svenska bolagsstyrningskoden på egen hand. Här ingår merparten av de hundratalet bolag som är noterade på Stockholmsbörsen och som har omsättning som överstiger tre miljarder kronor. Det handlar om bolag som Scania, SCA, Securitas, Intrum Justitia och Sandvik. Det är i den här gruppen som den svenska koden kommer att spela en avgörande roll, eftersom det är här avvikelserna kan dyka upp.

– I praktiken kommer de flesta större bolag att följa kodens regler om revsionskommittén och den interna kontrollen. Men vi får ändå räkna med att ett antal bolag kommer att välja att inte ha exempelvis en revisionskommitté. Där kommer vi få se en hel del förklaringar, säger Torsten
Örtengren, chef för övervakningen på Stockholmsbörsen.

Frågan är förstås också hur bestämd FAR:s vägledning till hur bolagsstyrningsrapporter ska utformas kommer att bli. Risken finns att kompromisser leder till lika urvattnade och försvenskade formuleringar som resten av den svenska koden för bolagsstyrning.  Än så länge saknas investerarna som samtalspartner i gruppen kring FAR. Men deras åsikter kommer att vägas in, bedömer Hans Dalborg, ordförande i det kollegium som ska övervaka efterlevnaden av den svenska koden för bolagsstyrning.

 – När man tar fram denna vägledning är det givetvis både förnuftigt och rekommendabelt att inhämta synpunkter från såväl investerare som marknadsaktörer, säger Hans Dalborg,

Oavsett var nivån landar så påverkas alla bolag på något sätt. Ta implementeringen av COSO. Det har utvecklats i USA för en amerikansk miljö och handlar om en långtgående standardisering som passar amerikanska bolag som ofta har en styrmodell som är väldigt centralistisk. Svensk ledarstil har historiskt handlat om decentralisering. Många svenska bolag har vuxit internationellt genom förvärv av företag som länge fått agera ganska självständigt. 

– COSO slår mot den traditionella svenska ledningsfilosofin. Nu måste den kompletteras med ytterligare känselspröt ner i verksamheten i betydligt mer detalj än vad som görs idag, säger Peter Strandh, specialist på internkontroll på Ernst & Young.

Det var just vad som skedde i Volvo Cars, när Ford köpte bilföretaget på västkusten vällde det in amerikanska internrevisorer på uppdrag av de nya ägarna.

Med bättre intern kontroll följer dock även fördelar. Merparten av de amerikanska bolagen säger i undersökningar att de upplever att möjligheten till styrning och uppföljning förbättrats. För första gången börjar de samordna de operativa riskerna, finansiella riskerna och försäkringsriskerna. SOX har även haft betydelse för bolagens arbete med it-system och de interna finansiella processerna.

 – Under arbetet med SOX 404 kan vi ofta se att bolagens finansiella processer kan automatiseras och kontrolleras mer tillförlitligt och även till en lägre kostnad än tidigare, säger Peter Strandh på Ernst & Young.

Även investerarna på kapitalmarknaden står bakom. Ratinginstitut som Moodys och Standard & Poors har publicerat analyser där de konstaterat att SOX-redovisningen är pålitligare. Framför allt har ratinginstituten uppskattat revideringen av den övergripande kontrollen på bolagsnivå, det vill säga ledningens etik och arbetssätt. Det är en typ av revidering som även europeiska bolag kan anamma.

– Bolag som kan visa på en god intern kontroll blir lättare att avyttra i ett senare skede, det är också sådant vi tittar själva på när vi förvärvar, säger Anne Holm Rannaleet, informationschef på private equity-jätten Industri Kapital. Hon följer utvecklingen på bolagsstyrningsområdet noggrant, trots att branschen agerar utanför börsen.

Av de avvikelser som rapporterats till SOX är inkomstskatter starkt överrepresenterade. Även här finns det intressanta lärdomar för svenska företag att dra. Även skattefunktionen på de svenska företagen har varit mycket decentraliserad. Men när styrelsen ska skriva under på att den finansiella rapporteringen är korrekt går det inte längre att se lätt på exempelvis en latent skatteskuld. Då behövs central kontroll, något som för med sig att skattejuristernas roll kommer att växa. Utvecklingen kommer sannolikt att leda till att många företag förstärker sina skatteavdelningar.

Den yrkesgrupp som är den stora vinnaren är internrevisorerna. Företagen behöver inte bara personer som arbetar med intern kontroll. Någon måste också se till att den verkligen fungerar, att fina policydokument verkligen omsätts i praktisk handling. Under 1990-talet försvagades internkontrollens roll i företagen, på många håll mer eller mindre avvecklades hela avdelningar för att i stället ersättas av controllern. Men när de nu kommer tillbaka är det i den mer kittlande rollen som styrelsens och ledningens sanningssägare.

– De stora börsföretagen börjar upptäcka vad vi gör igen. Vi har redan fått femtio nya medlemmar och föreningen har nu 500 medlemmar, säger Torbjörn Wikland, ordförande i internrevisorernas förening och internrevisionschef på Försäkringskassan.

– Titta bara på Systembolaget. Anitra Steen lade ner internrevisionen bara några år innan mutskandalen small. Det är dags att ta bladet från munnen och berätta att Systembolaget sannolikt skulle ha kommit härvan på spåren långt tidigare om internrevisionen fått vara kvar.

Kommer det att gå att fly från de nya kraven på hårdare intern kontroll, revisionskommittér och riskuppföljning? För mindre företag blir det förmodligen möjligt. Kritiska röster på hemmaplan om att COSO:s ramverk inte anpassats till mind-re bolag har fått SEC att fundera på att ändra rapporteringskraven för dessa.

När nu reglerna formas i Europa hoppas många att britterna kan kunna mota de amerikanska modellerna i grind, precis som britterna gjorde när de gick i bräschen för att utveckla en uppförandekod, numera the Combined Code. Men pressen är hård från investerarna att brittiska börsbolag ska ha lika och hög kvalitet på bolagsstyrningen som deras amerikanska konkurrenter. I England pågår ett arbete med att se över nu gällande rekommendationer kring internkontroll och styrelsens ansvar..

– Detta är inte precis vad vi i Sverige vill se. Trenden är den att utvecklingen i Storbritannien får stort inflytande över resten av Europa. Många i Europa har räknat med att Storbritannien ska hålla emot SOX. I Sverige har vi bara att på sikt anpassa oss efter de stora länderna i EU, säger Göran Tidström, revisor och ordförande i Pricewaterhouse Coopers och ordförande i European Financial Reporting and Advisory Group.

Nya benhårda regler
Straffskala för olika brott i USA.

Rymning 1-2 år
Kidnappning 3-5 år
Mord av andra graden 11-14 år
Falskt Sarbanes-Oxley-intygande 10-20 år
Flygplanskapning 20-25 år

Fakta / Sarbanes-Oxley

En central del i det amerikanska regelverket Sarbanes-Oxley Act från 2002 är paragrafen 404 som slår fast att företagsledningen måste upprätta ett system för intern kontroll som säkerställer att den finansiella rapporteringen är korrekt.

Ekonomichefer och vd ska skriftligen intyga att fungerande och ändamålsenliga kontroller är på plats samt att inga betydande fel uppkommer i den finansiella repporteringen.
 
Det ska finnas en internrevisor som rapporterar direkt till revisionsutskottet i styrelsen.
 
Det ska även finnas en fungerande funktion för både personal och utomstående som anonymt vill uppmärksamma oegentligheter, så kallade wistleblowers.

SOX är lag och därmed tvingande till sin karaktär.
 
Införandet av SOX kostade det genomsnittliga amerikanska bolaget 4,4 miljoner dollar, enligt en amerikansk studie. Kostnaden avser både interna och externa kostnader.

Fakta / COSO

Följande formulering kommer snart att dyka upp i varenda årsredovisning:

”Koncernledningen utvärderade effektiviteten i koncernens interna kontroll över den finansiella rapporteringen, varvid ledningen tillämpar de kriterier som framtagits av COSO.”

COSO, eller The Committee of Sponsoring Organisations of the Treadway Commission, etablerades 1985 i USA och är en oberoende
organisation med syfte att förbättra kvaliteten på finansiell rapportering inom näringslivet.

I SOX-sammanhang används COSO av de flesta företag som en struktur för att bedöma effektiviteten av bolagets interna kontroll.

Genom hela COSO löper som en röd tråd frågor kring etiska värderingar, effektiva interna kontroller och bolagsstyrning.

COSO:s ena dimension fokuserar på själva rörelsen, den finansiella rapporteringen samt lagar och förordningar. Den andra COSO-dimensionen rör kontrollmiljön, riskbedömning, information och kommunikation, kontrollåtgärder, övervakning och uppföljning.

Fakta / Svensk kod för bolagsstyrning

Den svenska bolagsstyrningskoden kommer gälla bolagen på
A-listan och större bolag på
O-listan från och med den 1 juli 2005.

Den svenska koden avser att utgöra en del av självregleringen på aktiemarknaden.
n Koden grundas på det brittiska synsättet ”följ eller förklara” (comply or explain).

Det finns skillnader jämfört med SOX. Enligt svensk lag är det inte företagsledningen utan styrelsen som är ytterst ansvarig inför aktieägarna.
n Enligt koden åligger det styrelsen att se till att det finns en fungerande intern kontroll som garanterar finansiell rapportering av hög kvalitet.

En särskild bolagstyrningsrapport ska fogas till årsredovisningen och en revisorsgranskad rapport över arbetet med intern kontroll ska fogas till årsredovisningen. Om företaget saknar egen internrevision ska detta årligen utvärderas och motiveras.

Styrelsen och vd ska skriftligen försäkra att årsredovisningens uppgifter är korrekta.

Utan kontroll

ABB
2004 Redovisningsfel i det italienska dotterbolaget blåste upp resultatet med en halv miljard kr.

2002 Asbesten blir känd i samband med övergång till redovisning enligt US Gaap. Bristfälligt beslutsunderlag när bolaget spenderar miljardbelopp på aktieåterköp.

Ericsson
1998-1999 2005 väcks åtal mot sex direktörer för att de ska ha betalat mutor till anonyma handelsagenter runt om i världen.

Intrum Justitia
2003 Redovisningsfel i det engelska dotterbolaget. Total kostnad inkl. granskning och processer 232 mkr.

Nordea
1999 31-årig mäklare förlorar 290 mkr på olika blankningsaffärer i bl.a. Nokia.

Prosolvia
1998 Intäkterna manipulerades med 100 miljoner kronor.

SAS
2001 Kartellbildningen med Maersk Air avslöjas.

Skandia
2003 Felaktigt redovisade och dyra bonusprogram. Ingen beskrivning av de riskfyllda dödsfallsskydden till amerikanska livsparare.

Systembolaget
2003-2004 Hundra butikschefer åtalas för mutbrott.



OBS: Ursprungsversionen av denna artikel publicerades på en äldre version av www.affarsvarlden.se. I april 2020 migrerades denna och tusentals andra artiklar över till Affärsvärldens nya sajt från en äldre sajt. I vissa fall har inte alla delar av vissa artiklar följt på med ett korrekt sätt. Det kan gälla viss formatering, tabeller eller rutor med tilläggsinfo. Om du märker att artikeln verkar sakna information får du gärna mejla till webbredaktion@affarsvarlden.se.