I somras publicerade IFAC en vägledning om intern styrning och kontroll; Evaluating and Improving Internal Control in Organizations, International Good Practice Guidance. Vägledningen visar bland annat hur man ska göra för att den interna styrningen och kontrollen ska bli en del av företagets eller organisationens DNA, eller enklare uttryckt, hur den ska kunna vävas in i den ordinarie verksamheten.
I denna artikel diskuterar Anders Hult och Carl Svernlöv en möjlig väg framåt vad det gäller att ta vara på initiativ om intern styrning och kontroll.
IFAC – International Federation of Accountants
ÅRL – Årsredovisningslagen
SOX – Sarbanes-Oxley Act
SEC – US Securities and Exchange Commission
PCAOB – Public Company Accounting Oversight Board
IFACs skrift om Internal Control (vilket numera översätts till svenska som ”Intern styrning och kontroll”) är till viss del ett marknadsföringsdokument för det som enligt IFACs terminologi, en civilekonom eller revisor (accountant), kan bidra till angående intern styrning och kontroll i en organisation där vederbörande är anställd eller levererar konsulttjänster.
I dokumentet beskrivs på ett fullständigt och systematiskt sätt vad intern styrning och kontroll är, nyttan med konceptet och det viktiga samspelet med bolagsstyrning och riskhantering. Här bör noteras att IFAC inte vill hålla fast vid att endast täcka in finansiell rapportering. Man talar i stället om en generell tillämpning av intern styrning och kontroll i organisationens samtliga viktiga processer.
Dokumentet från IFAC är pedagogiskt och kan vara till stor nytta för den som behöver en fullständig bild av vad som krävs i organisationen för att etablera en stark intern styrning och kontroll i samspel med en väl strukturerad bolagsstyrning och riskhantering.
Det bör nämnas att IFAC i dokumentet anger att organisationen arbetar dels för att öka medvetandet om viktiga roller som en civilekonom eller revisor kan spela med sin kompetens och erfarenhet som bas, dels för att stödja IFACs medlemsorganisationer genom att bygga vidare på medlemmarnas kompetens. Som grund för detta ger IFAC stöd i kommunikation och utbyte av erfarenheter och idéer. Vi anser att dokumentet väl uppfyller IFACs mål vad gäller kunskapsöverföring och kommunikation. Dokumentet är väl strukturerat och klargör många frågor kring intern styrning och kontroll. Det kan möjligen sägas att IFAC inte lagt till så mycket nytt under solen i form av att beskriva eller utveckla definitioner, begrepp, kompetenskrav, ansvarsfördelning och organisatoriska roller, etcetera. Den som är bekant med intern styrning och kontroll och dess innehåll känner därför väl igen sig i principerna, som är följande:
Stöd till organisationens mål
Intern styrning och kontroll bör användas för att stödja organisationen i uppfyllandet av dess mål, genom att kontrollera dess risker och samtidigt följa regler, bestämmelser och organisationens policyer. Organisationen bör därför göra intern styrning och kontroll till en del av riskhanteringen och integrera båda dessa element i sitt bolagsstyrningssystem.
Bestämma roller och ansvar
Organisationen bör bestämma roller och ansvar med avseende på intern styrning och kontroll, inklusive styrelsen, företagsledning på alla nivåer, anställda samt interna och externa granskningsfunktioner, samt koordinera samarbetet mellan olika aktörer.
Odla en motiverande kultur
Styrelse och företagsledning bör odla en kultur som motiverar organisationens medlemmar att handla i enlighet med företagets riskhanteringsstrategi samt policyer om intern styrning och kontroll som bestämts av styrelsen för att uppnå organisationens mål. Ton och handlingar hos den högsta ledningen är avgörande i detta avseende.
Koppla till individuella prestationer
Styrelse och företagsledning bör koppla uppfyllelsen av organisationens mål för intern styrning och kontroll till individuella prestationsmål. Varje person inom organisationen bör vara ansvarig för att de interna styrnings- och kontrollmål som han eller hon har fått uppfylls.
Tillförsäkra tillräcklig kompetens
Styrelse, företagsledning och andra aktörer i organisationens bolagsstyrningssystem bör vara tillräckligt kompetenta för att uppfylla det ansvar för intern styrning och kontroll som är förknippat med deras roller.
Svara mot risk
Kontroller ska alltid utformas, implementeras och tillämpas som åtgärder mot specifika risker och deras orsaker och konsekvenser.
Regelbunden kommunikation
Företagsledningen bör se till att regelbunden kommunikation om det interna kontroll- och styrningssystemet samt dess resultat, äger rum på alla nivåer inom organisationen för att säkerställa att principerna för den interna styrningen och kontrollen fullt ut förstås och tillämpas av alla.
Uppföljning och utvärdering
Såväl enskilda kontroller som hela systemet för intern styrning och kontroll bör regelbundet följas upp och utvärderas. Identifiering av oacceptabelt höga risknivåer, kontrollfallisemang eller händelser som ligger utanför gränserna för risktagning kan vara ett tecken på att en enskild kontroll eller det interna kontroll- och styrningssystemet är otillräckligt och behöver förbättras.
Tillförsäkra transparens och tilltro
Styrelsen, tillsammans med företagsledningen, bör regelbundet rapportera till organisationens intressenter om såväl dess riskprofil, som om den interna styrningens och kontrollens struktur och faktiska tillämpning.
Vad som måhända är en nyhet – och som IFAC alltså lägger in i slutet av dokumentet – är en princip om öppenhet/transparens och tilltro (accountability). Här säger man att styrelse och ledning ska rapportera externt om organisationens riskprofil och hur systemet för intern styrning och kontroll fungerar. Detta på en tämligen detaljerad nivå. Förutom generella krav har man också angivit fyra underpunkter med en mer preciserad beskrivning av hur extern rapportering ska gå till. IFAC påminner i sammanhanget om att man måste ta hänsyn till sekretess vid rapporteringen. Något uppseendeväckande är dock punkt 4, där man säger att organisationen ska införa en särskild ordning för att ta in och använda återkoppling från viktiga intressenter till organisationen, i arbetet med att utforma och utveckla ett system för intern styrning och kontroll.
Dokumentet från IFAC är av hög kvalitet och kan vara till stor nytta för dem som arbetar med intern styrning och kontroll i olika organisationer. Tillämpar man de råd och anvisningar som på ett utförligt sätt presenteras i dokumentet, kan de användas som grund för avgörande förbättringar.
Ett framtida vägval för intern styrning och kontroll?
IFACs dokument väcker i förlängningen intressanta frågor i samband med den debatt som för närvarande pågår inom EU om intern styrning och kontroll. Sverige måste delta i denna debatt både genom att utvärdera vad IFAC säger och genom att ta ställning avseende i vilken omfattning dessa rekommendationer ska implementeras. Tiden är enligt vår mening mogen för att låta formell intern styrning och kontroll bli heltäckande inom organisationer oavsett branschtillhörighet eller börsnotering. Det är som IFAC säger, att intern styrning och kontroll stödjer riskhantering och möjliggör skapande och utveckling av värde för organisationen och dess intressenter. Det gäller alltså helheten, inte bara den finansiella rapporteringen.
Frågan är hur IFACs dokument kan implementeras i svensk miljö och – än viktigare – inom EU. Vem tar täten i detta arbete och när kan vi se förändringar?
Att en mer öppen rapportering till omvärlden är att vänta är inte ett särskilt kontroversiellt påstående. Kanske är till och med IFACs punkt om att viktiga intressenter ska återkoppla till företaget med förslag på hur intern styrning och kontroll kan förbättras, något vi kommer att se inom en överskådlig framtid. Vi måste i vilket fall som helst ta vara på den här möjligheten!
Vägvalet står i likhet med andra områden inom bolagsstyrningen som vi tidigare har pekat på i artiklar i Balans mellan att slaviskt förhålla sig till den miniminivå som lag eller självreglering stadgar eller att ta chansen att utnyttja de erfarenheter som finns, inte minst internationellt, för att förbättra och utveckla bolagen och dess processer.
Ett bra exempel är den svenska bolagsstyrningsrapporten, där en rapport som bara uppfyller lagens och kodens minimikrav blir tämligen intetsägande, medan en välskriven bolagsstyrningsrapport kan vara till stor nytta för bolagen och övriga intressenter med ett särskilt fokus på investerare och analytiker. Vad gäller den interna styrningen och kontrollen är de upplysningar som bolagsstyrningsrapporten enligt 6:6, 2 stycket, 2 punkten, ÅRL ska innehålla om bland annat de viktigaste inslagen i bolagets system för intern styrning och kontroll och riskhantering i samband med den finansiella rapporteringen i dagsläget tämligen intetsägande. Så är det även med revisorsgranskningen av bolagsstyrningsrapporten samt rapporteringen med revisorns uttalande.
Under våren 2012 gav Grant Thornton ut en bok med titeln ”Intern styrning och kontroll i finansiell sektor 1999–2011”? som redovisar Finansinspektionens beslut baserade på brister i intern styrning och kontroll. Trots ett stort behov av förbättring har det redan nu gått en avsevärd tid utan reaktioner från marknaden på boken. Hur kan det komma sig? Finns det ett motstånd mot att öppna företagen genom att rapporterna om dessa saker så att intressenter av olika slag kan läsa om det? Varför vill man, som FARs generalsekreterare Dan Brännström frågade sig i sin blogg (3 juli 2012), ”låta det interna förbli internt”?
Boken saknar enligt Dan Brännström dock en diskussion om ”möjligheten” att lyfta fram statusen på den interna styrningen och kontrollen i offentlighetens ljus, exempelvis genom uttalanden från styrelse och revisor. USA införde ett sådant krav efter Enron-kraschen genom de så kallade SOX-reglerna och EU-kommissionen har föreslagit att revisorn ska uttala sig om företagets interna styrning och kontroll. I EU-förslaget är det ännu oklart om revisorns uttalande är på ”SOX-nivå” eller på någon annan ambitionsnivå. Det står heller inget skrivet om huruvida styrelsen ska uttala sig om intern styrning och kontroll. Dan Brännström frågar sig hur vi ska ha det i Sverige. Kärnfrågan är om företagets externa intressenter verkligen upplever ett behov av att få uttalanden om hur den interna styrningen och kontrollen fungerar i verkligheten. Eller räcker det med den allmänna beskrivning som följer av de nuvarande reglerna i årsredovisningslagen? Synpunkterna är kloka och manar till eftertanke.
Hur gör vi praktiskt?
Enligt vår uppfattning måste man, som IFAC skriver, göra den interna styrningen och kontrollen till en del av företagets eller organisationens så kallade DNA. Och när det gäller transparens kring den interna styrningen och kontrollen krävs det att styrelsen – inte revisorn – regelbundet rapporterar om företagets riskprofil och interna styrning och kontroll till externa intressenter. Frågan är hur detta sker i praktiken.
Det bästa vore, som också Dan Brännström anser, att företagen på frivillighetens väg lyfter rapporteringen om den interna styrningen och kontrollen. Utmaningen för oss svenskar är då att övertyga EU-kommissionen om att något som är frivilligt också kan fungera. Som bekant har kommissionen en övertro på reglering. Samtidigt måste vi konstatera att alltför många av dagens svenska bolagsstyrningsrapporter är allmänt hållna och dåligt underbyggda, vilket medför att de inte gör någon skillnad. Man kan faktiskt förmoda att det knappt finns några läsare till dessa rapporter – eftersom syftet med rapporteringen är oklart och sanktionerna för att inte ge rapporterna ett tillräckligt högkvalitativt innehåll inte är tydliga.
Bygger man vidare på detta resonemang kan man utan vidare säga att om IFACs principer inte tas upp i den svenska debatten på ett aktivt sätt, kommer förmodligen skärpta krav att plötsligt införas inom EU utan att det finns tillräcklig beredskap i företagen och hos revisorerna.
Arbetsgruppen för Intern styrning och kontroll som Internrevisorerna och FAR etablerade tillsammans i början av 2008, bedriver ett intensivt arbete för att propagera för den viktiga roll intern styrning och kontroll spelar inom bolagsstyrning och riskhantering. Ledamöterna jobbar med att nå ”båda sidor” av den stora målgruppen för detta, det vill säga styrelser och företagsledningar likaväl som revisorer och rådgivare. Sammanfattningsvis uppfattar ledamöterna inom arbetsgruppen att synen på intern styrning och kontroll i dag är positiv och konstruktiv i de flesta fall. Man möter oftare frågor av typen hur än frågeställningar kring varför. Det har med andra ord hänt en hel del sedan både införandet av SOX och införandet av den svenska koden för bolagsstyrning.
Faktum är att om arbetet med intern styrning och kontroll ska få ett starkare fäste inom de svenska bolagen, måste detta uppfattas som nyttigt och värdeskapande.
Inom arbetsgruppen intern styrning och kontroll hävdar ledamöterna att det är en självklarhet att det är värdeskapande att veta att processerna i ett företag efterlevs och att man därmed ”gör rätt” i verksamheten. Det måste dock enligt arbetsgruppen finnas en övertygelse om detta hos de personer som är ansvariga i företagen, annars blir det inte bra.
Självklart är intern styrning och kontroll en angelägenhet för alla företagets intressenter. Nu talar vi framför allt om börsnoterade bolag vilkas ägare och andra intressenter har rätt till information i ett flertal avseenden. Det är förknippat med ett gott betyg hos dessa att företaget har en väl fungerande intern styrning och kontroll.
I dag krävs det inte av vare sig styrelsen eller företagsledningen att specifikt uttala sig om kvaliteten avseende intern styrning och kontroll i företaget. Revisorn behöver inte heller göra det. Skulle det krävas att styrelsen gör ett sådant uttalande (vilket krävdes i den ursprungliga koden för bolagsstyrning i Sverige, år 2005) vore det också på sin plats att revisorn uttalar sig på en lämplig nivå om hans eller hennes bedömning av antingen styrelsens uttalande eller om den interna styrningen och kontrollen i sig själv. Man kan därmed fundera över om det är så att revisorn ska yttra sig om den interna styrningen och kontrollen specifikt eller om det är styrelsens (eller för den delen företagsledningens) uttalande om den interna styrningen och kontrollen som revisorn ska uttala sig om.
Om revisorn ska uttala sig, anser Dan Brännström att uttalandet ska handla om styrelsens eller företagsledningens uttalande om den interna styrningen och kontrollen. Annars blir roll- och ansvarsfördelningen otydlig, skriver han i sin blogg. Frågan är om EU-kommissionen har ägnat detta några djupare funderingar. Här finns utrymme för politiska lappkast. Det kan nog sägas att det i dag är ett större engagemang i Sverige avseende dessa frågor än tidigare. Men vad gör till exempel Kollegiet för svensk bolagsstyrning? Tillsammans med Dan Brännström inväntar vi deras inlägg i denna debatt.
Det är klart att styrelsens eller företagsledningens eget yttrande om den interna styrningen och kontrollen får en större trovärdighet om revisorn också uttalar sig. Så långt kan vi vara överens. Sedan kan man alltid undra över om det finns ett sådant behov bland aktieägare och andra intressenter i Sverige. Möjligen är det lite svalt på den fronten i dag. Om EU inför ett sådant krav, kommer företagen att följa det, men kanske endast med måttlig entusiasm. Bättre vore då en frivillig modell. Därmed kommer de inblandade parterna att vara mer motiverade, vilket vore bra för sakfrågans utveckling.
När det gäller SOX var ett av problemen när det infördes att företagen hade en tämligen lång och brant startsträcka. Detta var helt ny materia. Dock ska vi komma ihåg att SOX så som vi vanligen talar om lagen avser paragrafen Section 404. Det är en tämligen liten del av SOX som helhet. Den har i alla fall fått stor betydelse eftersom den ställer tämligen omfattande krav på företagsledningen och företagets revisorer i de börsnoterade bolagen i USA.
SOX infördes under 2002. Redan då talade man i Sverige om att beslutet stod mellan att välja angreppsätt på skalan efterlevnad och nytta. Antingen skulle styrelsen och företagsledningen besluta att ta sig igenom arbetet med målet att precis uppfylla kraven eller så skulle man etablera ett mål som handlade om att dra så mycket nytta som möjligt av det arbete man måste lägga ner. Vi såg båda varianterna och även en del mellanting.
Faktum är att i en enkät som Deloitte genomförde 2004, svarade hälften av de SEC-registrerade svenska företagen att de var beredda att genomföra sitt SOX-projekt på ett sådant sätt att man, förutom införandet av SOX, ville etablera en hållbar ordning som skulle kunna stödja en bättre lönsamhet, högre effektivitet och bättre kontroll för företaget.
Dock är det helt klart att i dag, tio år senare, är det betydligt fler som är vana vid och insatta i bakgrund och strukturer för formell intern styrning och kontroll än år 2002 då detta var nytt för de flesta.
PCAOB ställde tidigt i processen specifika krav på hur arbetet med intern styrning och kontroll över finansiell rapportering skulle bedrivas. I och med den svenska koden för bolagsstyrning som infördes 2005, överlät man i Sverige implicit åt styrelsen och företagsledningen i de börsnoterade bolagen att sätta ambitionsnivån för arbetet, inklusive omfattning och exempelvis testning av kontroller. Därmed har det varit självklart för de svenska börsnoterade bolagens styrelser att man själva beslutar om med vilken precision man ska bedriva arbetet med intern styrning och kontroll. Det är en hållbar modell, anser vi.
Det borde gå att uppnå vad Dan Brännström på sin blogg uttrycker som en ”gyllene medelväg” mellan SOX och att det ”interna förblir internt”. Genom att fler aktiemarknadsbolag på frivillig väg inser inte bara vikten av god intern styrning och kontroll – vilket de flesta säkert gör – utan även nyttan med att kommunicera denna till marknaden. I det arbetet bör IFACs dokument kunna tjäna som god ledning.
Anders Hult är specialist inom riskhantering på Deloitte samt ordförande i arbetsgruppen Intern styrning och kontroll, ett samarbete mellan FAR och IIA.
Carl Svernlöv är advokat på Baker & McKenzie Advokatbyrå och adjungerad professor i associationsrätt vid Uppsala universitet.