I Balans nr 6–7/2011 presenterade Anders Hult och Carl Svernlöv historiken kring den svenska förvaltningsrevisionen. I denna artikel utvecklar de resonemangen kring möjligheterna att använda detta väl beprövade angreppssätt för att stärka bolagsstyrningsrapporteringen i de svenska börsbolagen.
Vilket värde tillför bolagsstyrningsrapporten och hur kan man höja detta värde? Vi har i tidigare artiklar behandlat hur bolagen själva bör förhålla sig till rapporten och dess framtagande för att hålla en hög kvalitet. Ett ytterligare och naturligt – men helt frivilligt – steg är att utnyttja den kompetens och den kunskap om bolaget som dess revisorer tillägnat sig genom den sedvanliga förvaltningsrevisionen och låta revisorerna revidera även bolagsstyrningsrapporten genom att tillämpa förvaltningsrevision.
Marknadens förväntningar på lagstadgad förvaltningsrevision i våra börsbolag är att hela årsredovisningen inklusive bolagsstyrningsrapporten granskas utifrån revisorns kunskap om företaget och att informationen är korrekt. Det finns ingen anledning utifrån rapportmottagarnas behov, att bolagsstyrningsrapporten specifikt ska ha en mindre granskningsomfattning än förvaltningsberättelsen. Tvärtom finns en uppenbar risk att läsaren inte inser att så är fallet. Om dessutom bolagsstyrningsrapporten är skriven med minimikraven som bas, riskerar informationen att bli tämligen torftig. Särskilt avsnittet om intern kontroll blir svårt att dra nytta av om det är summariskt eller otydligt skrivet.
Far har uttalat att en revision av bolagsstyrningsrapporten enligt lagens krav inte innebär ett betydande merarbete från revisorernas sida och därmed inte någon större merkostnad för det rapporterande företaget. Vi anser att det av skäl som redovisas nedan finns utrymme för att revisorerna i stället utvidgar förvaltningsrevisionen till att omfatta även bolagsstyrningsrapporten. En sådan revision utgör inte bara en kvalitetsstämpel som följer av en oberoende granskning utan den höjer även kvaliteten på innehållet genom den ”benchmarking” som revisorns uppdrag för andra börsbolag innebär. I förhållande till marknaden ger det granskningen en helt annan tyngd än ett enkelt konstaterande att rapporten har upprättats och överensstämmer i vissa begränsade delar med årsredovisningen.
Det arbete som i dag görs inom ramen för förvaltningsrevisionen kan alltså komma bolaget till godo med ett minimum av extra arbetsinsats för att höja kvaliteten på bolagsstyrningsrapporterna.
Om förvaltningsrevisionen så som den bedrivs i Sverige formellt avskaffas, kommer det att krävas en ökad arbetsinsats från revisorernas sida i bolag som fortsatt önskar revision av bolagsstyrningsrapporten, vilket i sin tur skulle innebära att ett slags förvaltningsrevision – i de delar som förvaltningen avspeglas i bolagsstyrningsrapporten – faktiskt skulle överleva.
Berättar bolagsstyrningsrapporten hur det verkligen står till i bolaget?
I bolagen upplevs i dag ingen efterfrågan från marknaden på högre kvalitet i bolagsstyrningsrapporteringen. Rapporterna används ändå inte av externa mottagare till någonting annat än statistik och till att konstatera att rapporterna upprättats. Inte i något känt fall kommer bolagsstyrningsrapporteringen till en dynamisk användning som exempelvis aktivt kommenteras av analytiker eller andra intressenter.
Trots de nya lagkraven är bolagsstyrningsrapporten i Sverige klart marginaliserad. Om det skulle gå att visa att det finns kvalitet i innehållet, kan rapporterna enligt vår åsikt komma att börja användas på ett bra sätt av bolagens intressenter såsom ursprungligen var avsikten.
Hur höjer man då läsvärdet på de bolagsstyrningsrapporter som i dag avges av svenska börsbolag? Det första steget är att bolagen bygger sin rapportering på väl etablerad ordning och reda i verksamheten. I arbetet med rapporteringen behöver de också se läsarnas behov av en välskriven och innehållsrik rapport. Företagen måste avgöra vad de vill ha ut av bolagsstyrningsrapporten, men framförallt fokusera på vad marknaden behöver.
Har författaren av bolagsstyrningsrapporten en bra bild av vilken målgrupp man bör ha för budskapen i rapporten?
Den som fått uppgiften att upprätta en bolagsstyrningsrapport, har en grannlaga uppgift. Det är en stor mängd uppgifter att samla in, verifiera och se till att de är väl dokumenterade. I bolag där man jobbar aktivt med dessa frågor blir det allt vanligare att man använder datoriserade hjälpmedel som ligger under rubriken Governance Risk & Compliance, förkortat GRC. Sådana programvaror ger stöd till företagen i form av att administrera och följa upp omvärldsrisker, verksamhetsrisker, riskerna i den finansiella rapporteringen, etc. De används också som ett stöd i att genomföra arbete med företagets policyer och efterlevnad av dessa tillsammans med externa regler som lagar och förordningar, styrning av IT-verksamheten samt styrning och utvärdering av internrevisionsarbetet i företaget. GRC kan göra arbetet med bolagsstyrningsrapportering greppbart.
Förutom den granskning som genomförs av bolagens revisorer (se nedan), visar erfarenheten att det är en bra investering för bolagen att låta bolagsstyrningsrapporten genomgå en särskild fristående kvalitetsgranskning. Kvalitetsgranskningen bör göras på ett tidigt stadium i processen med framtagandet av rapporten. Denna granskning tar upp aspekter som innehåll, formuleringar, omfattning, relevans, underbyggnad och efterlevnad, etc. Med dessa kvalitetsfrågor som bas kan rapporteringen förbättras och göras mer attraktiv.
Idealiskt borde kvalitetsarbetet bedrivas på några års sikt då ansvar för olika delar av rapportens innehåll behöver klarläggas och exempelvis den interna kontrollen behöver kvalitetssäkras och testas. Detta tar mer än en ”säsong” att åstadkomma.
Lagstadgad granskning av en bolagsstyrningsrapport – vad är det?
Lagstadgad granskning, alternativt revision av rapporten som utförs av bolagets revisor är numera som det beskrivs ovan, ett lagkrav. Revisorns insatser kan även vara ett viktigt steg i processen att kvalitetssäkra och förbättra rapporten. Men då måste revisorn ha en betydligt högre ambitionsnivå än den som för närvarande anges i lagen. För att rekapitulera lagkraven, är det så att revisorn enligt 9 kap 31 § ABL ska, med avseende på moderbolaget, kontrollera dels om bolagsstyrningsrapporten har upprättats, dels om rapportens upplysningspunkter 2–6 är förenliga med årsredovisningen. Vad gäller koncernens information, när denna placeras i en avskild rapport, ska revisorn kontrollera om informationen avseende de viktigaste inslagen i koncernens system för intern kontroll och riskhantering i samband med upprättandet av koncernredovisningen är förenlig med koncernredovisningen. Dessa krav bygger på Europaparlamentets och rådets direktiv med ändringar i de fjärde och sjunde bolagsrättsliga direktiven (eut l 224, 16.8.2006, s. 1, Celex 32006L0046) ”ändringsdirektivet” och utgör ett absolut minimum i förhållande till vad detta direktiv kräver.
Granskningen ska enligt förarbetena vara så ingående och omfattande som god revisionssed kräver, vilket innebär att lagstiftaren överlämnat åt självreglering att närmare utveckla de krav som ställs på granskningen av bolagsstyrningsrapporten. Granskningen är visserligen mindre långtgående än den lagstadgade granskningen av själva förvaltningsberättelsen, men avsikten är att bolagsstyrningsrapporten ska granskas i samma utsträckning oavsett var den placeras. Inom ramen för självregleringen har Far tagit fram ett särskilt uttalande i revisionsfrågor för granskning av bolagsstyrningsrapporten, RevU 16. Detta anger inledningsvis bland annat att revisorns granskning av bolagsstyrningsrapportens upprättande omfattar, som ett minimum, en översiktlig kontroll av att bolagsstyrningsrapporten innehåller den lagstadgade informationen. Revisorns uppgift är dock inte att granska att informationen som sådan är korrekt, utan bara att granska att informationen ingår i bolagsstyrningsrapporten, samt att viss information är förenlig med årsredovisningen. Då informationen i bolagsstyrningsrapporten är av sådan karaktär att motsvarande information i årsredovisningen eller koncernredovisningen bara undantagsvis förekommer där, kommer någon sådan förenlighet inte att föreligga, varför Fars tolkning är att det som avses med lagstiftningen är att revisorn ska kontrollera att den aktuella informationen är förenlig med revisorns kunskap om moderbolaget respektive koncernen. Det kan dock noteras att ISA 720 går något längre vad avser revisorns granskning av fakta (se särskilt p 14–16).
Vad är revisorsuttalandet egentligen värt?
Revisorns granskning vid en så kallad ”lagstadgad ” granskning av bolagsstyrningsrapporten eller en så kallad revision utmynnar i följande likalydande uttalande. ”[Jag/Vi anser att] en bolagsstyrningsrapport har upprättats, och dess lagstadgade information är förenlig med årsredovisningens och koncernredovisningens övriga delar”. Skillnaden i revisionsberättelsen ligger istället i beskrivningen av uppdraget. Inom ramen för den lagstadgade granskningen, innefattar uppdragsbeskrivningen att revisorn har läst bolagsstyrningsrapporten och bedömt dess lagstadgade innehåll baserat på den egna kunskapen om bolaget. Om styrelsen begärt en utökad granskning beskriver revisorn den mera som en helhet för den totala granskning som görs av ett bolag eller koncern som är skyldigt att upprätta bolagsstyrningsrapport. Mot bakgrund av att tvingande reglering inte bör vara mer betungande för bolagen än vad som absolut är nödvändigt, är det svårt att kritisera den svenska implementeringen av minimikraven i direktivet. Det är också mot denna bakgrund man ska se Svenskt Näringslivs kritik mot den ursprungliga formuleringen av RevU 16 i remissvaret från 9 december 2010. Kritiken gick bland annat ut på att Far sökte införa ytterligare krav som inte framgår av lagtexten, bland annat på styrelsens undertecknande av en från årsredovisningen fristående bolagsstyrningsrapport (se även vår artikel i Balans nr 12/2010) samt på ett särskilt uttalande från företagsledningen.
Departementets minimalistiska syn
Lagen och ändringsdirektivet kräver alltså enbart granskning av bolagsstyrningsrapportens förenlighet med vissa preciserade delar av moderbolagets information, och avseende koncernens information krävs granskning av förenligheten endast i de fall bolagsstyrningsrapporten har upprättats som avskild från årsredovisningen. En sådan begränsning är dock enligt Far inte tillåten i förhållande till kravet att revision av årsredovisningen ska utföras enligt god revisionssed. God revisionssed kräver att revisorn läser all information i det dokument där en reviderad årsredovisning ingår för att identifiera väsentliga oförenligheter och väsentliga felaktigheter i faktaåtergivningen. (Se ISA 720). Far anser att kravet i god revisionssed i detta fall är styrande, varför revisorn inte kan begränsa genomgången till viss, i lagen, utpekad information.
En nordisk jämförelse
Även lagstiftarna i våra nordiska grannländer har valt minimilösningar för revisors granskning av bolagsstyrningsrapporterna. Enligt danska årsregnskabslovens § 107 b ska ett noterat bolag i anslutning till förvaltningsberättelsen medta en bolagsstyrningsrapport. Rapporten behöver inte vara en del av förvaltningsberättelsen om denna innehåller en hänvisning till företagets hemsida där rapporten offentliggjorts. Om rapporten är en del av förvaltningsberättelsen omfattas den av revisorns uttalande om denna, varvid revisorn ska uttala sig om huruvida den är konsekvent i förhållande till de revisionspliktiga delarna av årsredovisningen. Om rapporten avges separat ska revisorn endast kontrollera att den innehåller upplysningar om den kod som bolaget tillämpar. Enligt norsk rätt, regnskapsloven § 3–3b (1998) ska ett börsnoterat bolag i årsredovisningen eller separat dokument som årsredovisningen hänvisar till, redogöra för sina principer och praxis om bland annat. företagsstyrning. En revisor ska utvärdera om bland annat upplysningarna i bolagsstyrningsrapporten § 3–3 b motsvarar lag och föreskrifter och om dessa är förenliga med årsredovisningen. I Finland ska enligt 2:6.3 § finska värdepappersmarknadslagen börsnoterade bolag lämna en bolagsstyrningsrapport i förvaltningsberättelsen eller i en särskild berättelse. Av en förordning från Finansministeriet framgår att en revisor ska kontrollera att en bolagsstyrningsrapport har lämnats. Om rapporten har lämnats separat från förvaltningsberättelsen, ska revisorerna ge ett uttalande i frågan i den händelse att de uppgifter som ingår i den särskilda berättelsen och i bokslutet inte stämmer överens.
Förvaltningsrevisionens roll
Som vi redogjorde för i vår förra artikel har förvaltningsrevisionen en lång och stabil tradition i svensk aktiebolagsrätt. Det förväntas att revisorn i ett aktiebolag granskar förvaltningen i enlighet med lagkraven och god revisionssed. Baserat på denna långa tradition har Far utvecklat standarder och rekommendationer för hur förvaltningsrevision ska bedrivas. Revisorskåren är väl utbildad och tränad i att använda dessa verktyg på ett aktivt och för bolagens intressenter nyttigt sätt. Det finns oändliga källor av erfarenhet att ösa ur här. Det förtjänar också att nämnas att det inte finns en idrottsförening eller bostadsrättsförening där styrelsen inte får veta av revisorn om de har skött förvaltningen på ett bra sätt eller inte. Granskningen kan ha utförts av kvalificerad revisor men lika gärna kan en eller flera lekmannarevisorer ligga bakom genomförd granskning. Med andra ord är inte förvaltningsrevisionen bara en fråga om yrkesrevision. Den finns där, djupt rotad i svenskens uppfattning om vad man behöver bedöma hos en styrelse som tar ansvar för att driva en verksamhet med ekonomiskt ansvar för andra, medlemmar, ägare och andra tredje män. Som konstaterades i artikeln i Balans nr 6–7/2011 har förvaltningsrevisionen på senare år kommit att ifrågasättas allt mer. Vi menar dock att den kan ha en viktig funktion att fylla, inte minst i förhållandetill de nya reglerna kring bolagsstyrningsrapporter.
En fylligare granskning
Mot denna bakgrund anser vi att styrelsen i ett börsnoterar bolag bör begära en utökad granskning, det vill säga revision av rapporten baserad på förvaltningsrevision. Enligt RevU 16 anser dock Far att en fullständig revision av bolagsstyrningsrapporten i normala fall inte kräver en särskilt mycket större arbetsinsats av revisorn än en granskning enligt lagens krav. Ett skäl för denna uppfattning är att lagen ställer krav på att det i förvaltningsberättelsen lämnas information som också ska lämnas i bolagsstyrningsrapporten och att denna information därför redan omfattas av revisionskrav. Ett annat skäl är att revisorn i den ordinarie revisionen skaffat sig kunskap om förhållanden som behandlas i bolagsstyrningsrapporten, exempelvis om bolagets interna kontroll och riskhantering. Revision av bolagsstyrningsrapporten följer enligt RevU 16 samma krav som revision av årsredovisningen, det vill säga att den ska förse revisorn med tillräckliga och ändamålsenliga revisionsbevis för att bolagsstyrningsrapportens information uppfyller krav på fullständighet, riktighet och verifierbarhet.
I planeringsfasen ska revisorn skaffa sig kunskap om rutiner och kontroller som bolaget tillämpar för att säkerställa att bolagsstyrningsrapporten uppfyller reglerna i ÅRL och Svensk kod för bolagsstyrning. Revisorn tar här på sig ett ytterligare ansvar utöver det traditionella uttalandet om ansvarsfrihet för förvaltningen. En korrekt tillämpad förvaltningsrevision av bolagsstyrningsrapporten kräver därför enligt vår uppfattning en större insats än en revision enligt definitionen i RevU 16.
Vad har EU på gång?
Sannolikt kommer Sverige på litet längre sikt, precis som övriga medlemsländer inom EU, att lyda under en mer omfattande och mer detaljreglerad bolagsstyrning. Detta antyds inte minst i EU-kommissionens grönbok som offentliggjordes i våras, även om det än så länge bara rör sig om preliminära förslag. Det är fullt möjligt att det inom en överskådlig framtid blir så att revisorn regelmässigt, i samband med att årsredovisningen avges (i åtminstone börsnoterade bolag och finansiella företag) ska göra uttalanden om intern styrning och kontroll, bolagsstyrningen, hållbarhetsredovisning, styrelsens förvaltning, själva balans- och resultaträkningen, och så vidare. Vi har då kommit in på området ”Combined Reporting” och revison av denna, som i sig kräver en egen artikel.
I sammanhanget kan nämnas att finansmarknadsminister Peter Norman nyligen har bett Far att, tillsammans med Finansinspektionen (FI) ta fram ett upplägg för granskning av den interna kontrollen i de finansiella företagen. Granskningen ska ske i tillägg till den ordinarie revisionen av de finansiella företagen och får anses utgöra en komplettering till förvaltningsrevisionen. Vi tycker att det ska bli intressant att se hur detta tas emot av marknaden, särskilt bolagen själva som därmed kommer att behöva göra en hel del ytterligare insatser av formell karaktär.
Bolagsstyrningsrapporten kan kvalitetssäkras genom förvaltningsrevision
Vår bärande tes är att den svenska förvaltningsrevisionen får en renässans, och att de standarder och metoder som hittills varit unika för Sverige kan komma att användas för granskning av bolagsstyrningsrapporten och kan få inflytande i andra EU-länder, när man ser de kvalitetshöjande effekter granskningen har hos oss här i Sverige.
Anders Hult är specialist inom riskhantering på Deloitte och ordförande i arbetsgruppen intern styrning och kontroll, ett samarbete mellan FAR och IIA.
Carl Svernlöv är advokat på Baker & McKenzie Advokatbyrå och adjungerad professor i associationsrätt vid Uppsala universitet.