Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder

Transkript

1 Copenhagen Business School CMA eksamensprojekt revision 2006 Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Vejleder: Kurt Keldebæk Rasmussen Gruppe 32: Mai-Brit Bergholt ****** Søren H. Madsen ****** Erling Kyed ****** Daniel Malmskov ******

2 Indholdsfortegnelse 1. Introduktion Problemformulering Metode Struktur... 6 Figur 3.1: Struktur Dataindsamling Valg af dataindsamlingsmetode Forberedelse til dataindsamling Ledelsens ansvar Indførelse af Sarbanes-Oxley Act sektion Beskrivelse Idéen med SOX SOX 404 i forhold til Europa Ledelseserklæring Management Report Nytte for regnskabsbrugeren Opsamling Den organisatoriske effekt Hvor stor skal virksomheden være? USA Danmark Skal der oprettes en speciel intern kontrol afdeling? Organisationens størrelse Branchen Informationsværdien Auditudvalg i bestyrelsen USA Danmark Den kulturelle effekt ved indførelsen af SOX Figur 5.1: Deming cirklen - egen tilretning Medarbejderne Fremskaffelsen af kapital

3 5.6 Opsamling Udførelsen af den interne kontrol Indledende om udførelsen af den interne kontrol Fokus på udvalgte kritiske kontroller Funktionsadskillelse Godkendelsesprocedurer Procesdokumentation Kontrolspor og kontrol af posteringsmønstre/valideringer på konti Integrerede periodiske kontroller Opsamling af udførelsen af intern kontrol Outsourcing af intern kontrol Generelt Fordeling af ansvar Figur 7.1: Deming cirklen - egen tilretning Figur 7.2: Outsourcing Opgavespecifik kontrol Hvem kan løse opgaven? Fordele og ulemper ved outsourcing Fordele ved outsourcing Ulemper ved outsourcing Opsamling på outsourcing af komponenter i intern kontrol Fordele og ulemper ved implementering af SOX Ulemper Ressourceforbrug ved implementering One time project Fordele Forbedring af processer Reducering af risici Ændring af kontroller Diskussion Konklusion Perspektivering Litteraturliste

4 1. Introduktion Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder I 2002 blev Sarbanes-Oxley Act vedtaget som et nyt regelsæt, gældende i USA. Danske selskaber der enten er forbundet koncernmæssigt med et selskab der er børsnoteret på de amerikanske børser, eller selv er børsnoterede på amerikanske børser, skal efterleve dette regelsæt. Sarbanes-Oxley Act er et regelsæt der stiller krav til nøjagtighed og troværdighed i de informationer, som selskaberne, der er underlagt regelsættet, skal aflægge til offentligheden. Senator Paul Sarbanes og repræsentant Michael Oxley fik vedtaget Sarbanes-Oxley regelsættet den 30. juli Grunden til at Sarbanes-Oxley Act (SOX) opstod, var en række erhvervsskandaler bl.a. Enron, WorldCom, Waste Management mf. Formålet med SOX er at beskytte investorerne, da virksomheden bliver tvunget til at offentliggøre en vurdering af den interne kontrol til investorerne. Det er hensigten at offentliggørelse af de informationer som regelsættet påkræver og det at revisor skal lave en påtegning på at oplysningerne er korrekte, vil bevirke at virksomheden og revisoren oplyser offentligheden korrekt. SOX 404 er en af de mange regler der blev vedtaget i 2002 ved offentliggørelsen af SOX. SOX 404 omhandler den interne kontrol i virksomheden og offentliggørelse af denne. Det påkræves i SOX 404 at virksomhedens ledelse skal offentliggøre den interne kontrol, med revisors påtegning om at ledelsen offentliggør korrekt information i forbindelse med hvert års årsrapport. Som hele det øvrige regelsæt er det for investors skyld at informationen om intern kontrol offentliggøres, da investor herved får tillid til virksomhedens regnskab 1. SOX er som hovedregel ikke lovpligtig i Danmark, men da mange danske virksomheder enten er forbundet med virksomheder der er registreret, eller selv er registreret på de amerikanske børser er SOX også relevant for mange danske virksomheder. I Danmark er der allerede vejledninger, lovgivning og anbefalinger til intern kontrol som dækker dele af samme områder som SOX 404, her tænkes på Regnskabsvejledningerne 240, 315, 330 og 500, Årsregnskabsloven 54 og 56 2 samt Nørby-udvalgets rapport om Corporate Governance 3. Det er med udgangspunkt i SOX 404 og de danske vejledninger, love og anbefalinger at opgaven udarbejdes (section 404) Årsregnskabet teori og regulering, Jens O. Elling Nørby-udvalgets rapport om Corporate Governance i Danmark Anbefalinger for god selskabsledelse I Dnamrk, 1. udgave, 1. oplag. 3

5 2. Problemformulering I dette kapitel opstilles problemformuleringen. Problemformuleringen kommer til at bestå af et hovedspørgsmål samt delspørgsmål til opklaring af opgavens problem. Formålet med opgaven er en analyse af implementeringen af SOX 404 i danske virksomheder. Specifikt vil der blive set på konsekvensen for ledelsens ansvar samt den organisatoriske effekt ved den reelle udførelse af kontrollen i henhold til SOX 404. Endeligt vil fordelene og ulemperne ved indførelse af SOX 404 i danske virksomheder blive opstillet og diskuteret. På baggrund af ovenstående opstilles følgende problemformulering: Hvad er implikationen ved indførelsen af SOX 404 i danske virksomheder? For at besvare ovenstående spørgsmål ønskes følgende delspørgsmål besvaret: I. Hvordan ændres ledelsens ansvar ved indførelse af SOX 404? II. Hvad er den organisatoriske effekt ved indførelsen af SOX 404? A. Hvilke kulturelle ændringer, vil der være forbundet med implementeringen af SOX 404? III. Analyse af potentielle tiltag i udførelsen af den interne kontrol ved implementering af SOX 404? A. Kan den interne kontrol, som SOX 404 påkræver, med fordel outsources? IV. Hvilke fordele og ulemper er der ved implementering af SOX 404 i danske virksomheder? 4

6 Afgrænsning Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Med fokus på SOX 404 og dennes relation til især ledelsen og virksomheden vil, den ellers meget interessante diskussion omkring revisorens forpligtelser og ansvar i forbindelse med rapporteringen fra en sådan virksomhed ikke blive behandlet i denne fremstilling. Generelt lægges fokus ikke på de eksterne interessenter, hvorfor den forandrede situation for investorer og offentlige instanser ikke bliver behandlet. Den politiske baggrund for SOX initiativet og den mere makroanalytiske diskussion i relation til eventuelle tiltag i DK og/eller EU bliver ikke behandlet i store træk, udover en løbende sammenligning og perspektivering til de i Danmark allerede eksisterende regler og retningslinier. Dog vil det ikke være et primært fokus for denne rapport at analysere disse regler og retningslinier. Det er ej heller formålet med opgaven at diskutere hvorvidt der er brug for samme juridiske regelsæt i virksomheder noteret på Fondsbørsen i Danmark, hvorfor dette udelades. Den praktiske interne kontrol der bør udøves i SOX virksomheden vil blive behandlet i et relativt overordnet omfang idet en tilsvarende fremstilling kunne fokuseres alene på enkelte tiltag. Dog har vi vurderet at de vigtigste opgaver i denne relation skal behandles for at give forståelse for impacten i virksomheden. 5

7 3. Metode Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Metodeafsnittet er udarbejdet for at læseren kan se en struktur over opgaven samt hvilke dataindsamlingsmetoder der er valgt til besvarelse af opgavens spørgsmål. Da der gøres brug af et empirisk grundlag i opgaven er der ikke noget teoretisk grundlag. Indsamlingen af data vil derfor blive brugt til diskussion i opgaven omkring implementering af Sarbanes Oxley Act Struktur Strukturen viser opgavens opbygning, så læseren kan få et overblik over der kapitler projektet indeholder. Introduktion Problemformulering Metode Analyse Ledelsens ansvar Fordele/ Ulemper Organisatorisk Effekt Udførelse kontrol Konklusion Perspektivering Figur 3.1: Struktur 6

8 3.2 Dataindsamling Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Med udgangspunkt i problemformuleringens fastlagte spørgsmål beskrives i dette afsnit, hvilken dataindsamlingsmetode det er valgt at benytte til analyse af Sarbanes Oxley Act Valg af dataindsamlingsmetode Ifølge Yin 4 findes der i alt fem dataindsamlingsmetoder, alle listet nedenfor: Survey Eksperimenter Historiske beretninger Case studie Arkiv analyse Ifølge Yin er tre faktorer afgørende for valget af dataindsamlingsmetode. For det første har det betydning hvilke spørgsmål der ønskes besvaret i problemformuleringen. For det andet bør det klarlægges, om der er kontrol over de fænomener, der ønskes observeret, og for det tredje bør det fastlægges, om der fokuseres på nutidige fænomener. Survey Surveys benyttes bl.a. til klarlæggelse af sammenhængen mellem et antal variable i et undersøgelsesområde. Dette gøres ved udarbejdelse af et spørgeskema, hvori undersøgelsesvariablerne specificeres. Disse spørgeskemaer udsendes herefter til et antal informanter der udfylder og returnerer dem. Efterfølgende foretages en statistisk analyse af besvarelserne. Eksempelvis kunne der udarbejdes et spørgeskema til danske virksomheder som er pligtige til at anvende Sarbanes Oxley Act (SOX). Ved at tage udgangspunkt i nogle bestemte mekanismer, kunne man lave supplerende spørgsmål, hvor den enkelte medarbejder kunne svare på om de oplevede en ændring i virksomheden under/efter indførelsen af SOX 5. En benyttelse af Surveys ville dog også betyde at visse informationer ikke kan indhentes. Det er nemlig oftest ikke muligt ud fra et spørgeskema at få uddybet overraskende svar. Alt i alt ville en survey-undersøgelse ikke resultere i noget nyt, men højst be- eller afkræfte det allerede kendte. 4 5 Case Study research, s. 6 Case Study research, s. 5 7

9 Eksperimenter Eksperimenter udføres med henblik på at manipulere fænomenets adfærd 6, da vores projekt skal være en analyse af SOX 404 og ikke har til hensigt at manipulere SOX 404, er denne metode uhensigtsmæssig i henhold til projektet. Historiske beretninger Brug af analyse ved hjælp af historiske beretninger er at foretrække, når der ikke er adgang til informationer omkring de eller det specifikke fænomen på anden måde. Denne analyse bør derfor kun benyttes når der er tale om bestemte historiske analyser som ikke kan genskabes 7. Da projektet arbejder med et nutidigt fænomen, er denne metode udelukket. Case Studier Case studier foretages ved undersøgelser af midlertidige fænomener, hvor der ikke manipuleres med fænomenernes adfærd. Case studier udføres ved brug af flere forskellige informationskilder såsom dokumenter, objekter/genstande, interviews og observationer, samt hvad der ud over dette er tilgængeligt af information 8. Da projektet har til formål bl.a. at analysere ledelsen i danske virksomheder med henblik på implementering af SOX 404, vurderes det at case-studie ville være den mest brugbare dataindsamlingsmetode til projektets analyse. Dog vurderes det at den begrænsede tidsramme for projektet bevirker at et dybdegående case-studie, af en eller flere casevirksomheder, ikke vil være muligt. Arkiv analyse Den sidste af Yin's dataindsamlingsmetoder er arkiv analyse. Ved arkiv analyse forstås informationsindsamling i bred forstand, dog indsamles data ikke i casevirksomheder, men eksempelvis i andres beretninger, hvilket udgør forskellen mellem case-studiet og arkiv analyse 9. Det er valgt at benytte arkiv analyse, idet dette findes passende til projektets omfang og tidsramme Forberedelse til dataindsamling Da vi nu har valgt arkiv analyse er vores næste skridt at forberede selve dataindsamlingen. Dette kan både være primær og sekundær data. I det følgende vælges der blandt primær- og Case study research, s. 8 Case study research, s. 8 Case study research, s. 8 Case study research, s. 5 8

10 sekundære datakilder 10. Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Primær- og sekundær data I opgaven vil gøres brug af kvalitativ data i form af sekundær data. Primær data gør sig gældende i ustrukturerede og semistrukturerede interviews og observationsteknikker, der kendetegner et case-studie. Der vil som beskrevet ovenfor ikke gøres brug af primær data i opgaven. Sekundær data gør sig gældende i dokumenter, nedskrevne standarder, breve, resultater fra tidligere undersøgelser mm. I projektet gøres der brug af sekundære datakilder i form af artikler, rapporter, nedskrevne standarder osv. Da disse data ikke er opstillet af projekt gruppen selv, som et interview eksempelvis ville være, tillægges data en anden værdi. Dette skyldes at der ofte er tale om rådata der ikke kan tolkes, eksempelvis en nedskreven standard som SOX 404 eller at data allerede er tolket af andre, som et eksempel kunne nævnes tidligere udførte analyser. I denne situation er det en klar fordel at benytte så mange forskellige kilder som muligt for at bevisliggøre opstillede teser. I dette afsnit blev det besluttet at gøre brug af arkiv analyse samt sekundær data. 10 Den skinbarlige virkelighed, Ib Andersen, s

11 4. Ledelsens ansvar I dette kapitel beskrives og kommenteres det fornyede ledelsesansvar, som SOX 404 medfører i den enkelte virksomhed. SOX 404 som helhed kommenteres, men der bliver lagt vægt på ledelsens position mht. den interne kontrol af den finansielle rapportering. Derudover vil revisors processer omkring revision af de interne kontroller blive beskrevet overordnet. De faktiske og tekniske processer omkring indførelsen vil ikke blive beskrevet. 4.1 Indførelse af Sarbanes-Oxley Act sektion Beskrivelse SOX 404 af Sarbanes-Oxley Act fra år 2002, har sat nye standarder for interne kontroller i virksomhederne og for præsentationen af virksomheden til offentligheden, oven på skandalerne i begyndelsen af årtusindet med bl.a. energiselskabet Enron som en af de største sager. Med SOX 404 er der lagt et større pres på ledelsen i virksomhederne, som står i en position med et bredere ansvar for virksomheden og dens fremtid. Denne amerikanske lovgivning sætter med stor styrke fokus på intern kontrol og processer, og har medført store administrative konsekvenser for det givne selskab. Et tiltag i SOX 404 er bl.a., at der kræves en officiel ledelsesvurdering af de interne kontroller over de finansielle rapporteringer, i forlængelse af offentliggørelsen af virksomhedens årsregnskab. Som sidestykke til denne vurdering kræves der også en revision og vurdering fra den uafhængige revisor, af de interne kontroller og effektiviteten af disse samt af ledelsens kontrolvurdering, (Management Report bliver gennemgået i et senere afsnit og Auditors Report beskrives i noten 11 ). Sarbanes-Oxley Act sektion 404 er et væsentligt fremskridt i forsøget på, at gøre pålideligheden i årsregnskaber og rapporter større, og dermed også øge gennemskueligheden for bl.a. investor 12. Den generelt øgede fokusering på intern kontrol i virksomhederne forårsages bl.a. af, at flere ledelser har fået øjnene op for mulighederne heri. Mere fokuserede og veludviklede interne kontroller arbejder for, at ledelsen kan optimere processer på stort set alle niveauer i den enkelte virksomhed, med henblik på minimering af fejl, og forøgelse af sandsynligheden for Auditors Report: Revisor skal vurdere ledelsens vurdering af effektiviteten af de interne kontrol og risikoen for eventuelle fejl i regnskabet grundet mangler eller fejl i de interne kontroller og processer. Yderligere skal revisor ligeledes vurdere effektiviteten af kontrollerne uafhængigt af ledelsens (Auditing Standard No. 2), jf. Perspectives on Internal Control Reporting - A Resource for Financial Market Participants, December Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP. Perspectives on Internal Control Reporting - A Resource for Financial Market Participants, December

12 at opdage eventuelle fejl. Yderligere er det lovgivningsmæssigt sandsynligt, at man i de europæiske lande indenfor den nærmeste fremtid følger op på de amerikanske standarder 13. SOX omfatter primært kun de amerikanske selskaber, mens datterselskaber eller selskaber der er omfattet af den amerikanske børs også bliver omfattet, og skal have implementeret reglerne inden At SOX direkte implementeres indenfor EU er dog ikke givet, men det europæiske samarbejde er ligeledes opmærksomme på fokuseringen på intern kontrol 14. Det er projektgruppens forventning, at det indenfor et kort tidsrum hvis ikke allerede - er alment anerkendt og påkrævet, at der sættes større fokus på intern kontrol i den enkelte virksomhed, og derfor er der også tendenser til i dag, at direktioner og bestyrelser så småt vælger at være på forkant med situationen Idéen med SOX 404 På baggrund af de store skandaler i starten af årtiet, ønskes der nu en mere sikker kontrol af virksomhederne og deres ageren i forhold til offentligheden. Formålet med paragraf 404 af den i år 2002 Kongres-bestemte Sarbanes-Oxley Act er bl.a., at øge opdagelsesrisikoen for svig og fejl i virksomhederne. Man ønsker en større sandsynlighed for, at eventuelle fejl, bevidste som ubevidste, opdages og der dermed efterfølgende kan handles på disse opdagelser. Paragraf 404 centrerer sig omkring kontrollen og processen af de finansielle rapporteringer. Det er formålet at støtte integriteten og pålideligheden af disse og de eksterne rapporteringer i forhold til omverdenen. Det er ikke formålet med paragraf 404, at give officielle vurderinger eller rapporter om selve virksomhedens formåen i den branche, eller i de generelle operative processer etc., men primært omkring virksomhedens gøren og vurdering omkring de finansielle rapporteringer. Ledelsen skal designe og implementere et system i virksomheden, der pålideligt kan evaluere den interne kontrol over de finansielle rapporteringer mv. i virksomheden. Et effektivt system der sikkert kan frembringe de oplysninger, som ledelsen skal danne deres årlige vurdering på i henhold til Paragraf 404 og COSO 15. Det forventes, med en løbende ledelseskontrol på virksomhedens finansielle poster, at der for Sarbanes-Oxley Act Paragraf 404. PricewaterhouseCoopers, Corporate Governance og Revisor. konsekvenser af aktuelle corporate gorvernance indsatser, T. Riise Johansen, CBS, COSO: Committee of Sponsoring Organizations of the Treadway Commission. COSO har opstillet rammer for behandling af intern kontrol for virksomheden og revisoren, og definerer den interne kontrol i forhold til generel virksomhedsstyring, lov og regulering, samt for finansiel rapportering, Se: Perspectives on Internal Control Reporting - A Resource for Financial Market Participants, appendix II, December

13 virksomheden skabes en mere sikker og troværdig finansiel rapportering, og dermed øges investorernes tillid til virksomheden og dens publicerede regnskab 16. Disse systemer der ønskes designet og indført i den enkelte virksomhed af direktioner, bestyrelser og den generelle daglige ledelse, vil dog aldrig være fuldkommen fejlfrie. Dvs. at hvis virksomhedsledelsen fremkommer med en offentlig årlig vurdering, der afkræfter enhver form for mangler eller fejl ved de interne kontroller, og dermed konstatere minimal usikkerhed ved årsregnskabet, skal man alligevel have et forbehold. Det er meningen med paragraf 404 for ledelsen at opnå en så høj og fornuftig sikkerhed ved de interne kontroller som muligt. Et effektivt system vil dog stadig ikke kunne opnå total sikkerhed, da man ikke kan se bort fra eventuelle menneskelige fejl eller bevidst manipulation SOX 404 i forhold til Europa De generelle formål med SOX 404 kan genkendes i de europæiske lovgivninger og anbefalinger til årsrapporter fra offentlig myndigheder, jf. eksempelvis Turnbull-vejledningen i Storbritannien og Erklæringsbekendtgørelsen i Danmark 18. Turnbull foreskriver en generel vurdering af alle typer kontroller og en overordnet beskrivelse af intern kontrol i virksomheden skal fremgå af årsrapporten 19. I EU-regi foreskrives der en beskrivelse af det interne kontrolsystem i virksomhederne med hensyn til direktiverne, men ligesom i Danmark, er der fokus på de interne kontroller med henblik på den finansielle rapportering og pålideligheden af denne. Dette er indbygget i SOX 404, og denne adskiller sig direkte fra europæiske standarder ved at kræve deciderede ledelses- og revisorerklæringer om effektiviteten af den interne kontrol. De nuværende danske anbefalinger, skelner mellem risikostyring og decideret intern kontrol. Der gås videre fra at skulle overvåge den interne kontrol med hensyn til finansiel rapportering, men at de interne kontroller ligeledes også bør gennemgås og vurderes årligt, men uden at komme med erklæring i forbindelse med årsrapporten Internal Control over Financial Reporting - An Investor Resource, December Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP. Jf. også PCAOB (Public Company Accounting Oversight Board) Standard No. 2 (For den uafhængige revisor): Erklæringsbekendtgørelsen 22 stk.2. Yderligere: Fondsbørsens Komités anbefaling VII.3, og RS240. Corporate Governance og Revisor. konsekvenser af aktuelle corporate gorvernance indsatser, T. Riise Johansen, CBS,

14 4.2 Ledelseserklæring Management Report Den årlige erklæring fra ledelsen, må siges at være det helt centrale element i SOX 404 i forhold til investor og offentligheden generelt. Det er her, at ledelsens vurdering fremkommer, og skal konkludere om hvorvidt virksomhedens interne kontrol over den finansielle rapportering er effektivt eller ikke, og dermed om investor kan sætte sin tillid til det offentliggjorte regnskab. SOX 404 foreskriver, at ledelsen skal fremkomme med en vurdering af virksomhedens interne kontroller i forbindelse med offentliggørelsen af årsrapporten. SOX 404 er opdelt i to dele; for virksomhedsledelsen hhv. den uafhængige revisor. Ifølge Sarbanes-Oxley, skal ledelsen fremkomme med en vurdering, der skal:...state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting. Contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting. 20 Vurderingen skal som minimum indeholde erklæring om ledelsens ansvar for at oprette og vedligeholde en tilstrækkelig intern kontrol af den finansielle rapportering, samt erklæring der identificerer rammerne ledelsen anvender for evalueringen af effektiviteten af denne kontrol. Yderligere skal ledelsen identificere eventuelle svagheder i kontrollen, samt bekræfte at virksomhedens uafhængige revisor har revideret og kommenteret ledelsens interne kontrol i en officiel erklæring (Auditors Report). Ledelsen skal bekendtgøre hvorvidt den interne kontrol over den finansielle rapportering er effektiv eller ineffektiv. Hvis der forefindes væsentlige svagheder i den interne kontrol, er ledelsen pålagt at indikere dette i vurderingen, samt en uddybende præcisering af de eventuelle problemer og betydningen af disse. En ledelse vil typisk og naturligt undgå at fremkomme med potentielle eller faktiske svagheder i en officiel erklæring, og derfor foreskriver SOX 404, at hvis der er væsentlige svagheder eller bare én - i den interne kontrol, der kan påvirke årsregnskabet, skal dette oplyses objektivt, også selvom ledelsen ikke ønsker dette offentliggjort. Investor og andre regnskabsbrugere skal danne deres egen 20 Sarbanes-Oxley Act Section 404, 13

15 konklusion på de givne oplysninger fra virksomhedens ledelse 21. Hvis virksomheden opdager en væsentlig svaghed i den interne kontrol af den finansielle rapportering, skal ledelsen i samspil med den uafhængige revisor evaluere denne. Ledelsen må bekendtgøre dette i vurderingen, og erklære den interne kontrol ineffektiv. Afhængig af situationen må ledelsen i detaljer kommentere problemet, og af- eller bekræfte eventuelle usikkerheder i årsrapporten. Dette er naturligvis ikke hensigtsmæssigt for virksomheden, at bekendtgøre eventuelle usikkerheder i regnskabet. Det er derfor også nødvendigt for ledelsen, at få indarbejdet et effektivt system, som løbende i regnskabsåret kan opsamle og vurdere oplysninger mv. til brug for ledelsen. Med et vedvarende og fungerende system, har ledelsen mulighed for at opdage og reagere på eventuelle svagheder eller fejl, inden den årlige officielle vurdering, og dermed afkræfte potentiel usikkerhed. Hvis der findes en væsentlig svaghed i kontrollen, er det dog alligevel ikke et faktum, at dette betyder større usikkerhed i regnskabet. En given svaghed i den interne kontrol af den finansielle rapportering medfører ikke per automatik fejl i årsregnskabet, men dette betyder at der kan være mulighed for det, og det må ledelsen bekendtgøre i forbindelse med årsrapporten. Ledelsen bør også overveje resultatet af revisors rapport på effektiviteten af de interne kontroller, og genoverveje sin vurdering af disse, hvis revisors rapport ikke stemmer overens med ledelsens egen vurdering. Hvis tilfældet er, at revisor opdager fejl i regnskabet, kan det indikere fejl i de interne kontroller, og ledelsen bør herefter reagere på dette, inden offentliggørelsen af regnskabet Nytte for regnskabsbrugeren Et af formålene med paragraf 404, er at skabe større sikkerhed for investorerne i forhold til svig og misinformation i virksomhedernes regnskaber. For investorer og andre regnskabsbrugere, er det årlige regnskab, præsenteret af virksomheden, en af de vigtigste informationskilder vedrørende virksomheden. Det er derfor også vigtigt for fremtidige investeringer, at regnskaberne præsenteres med en tilfredsstillende grad af sikkerhed og pålidelighed. I forhold til præsentationen af regnskaberne som vi kender dem i dag (i DK), er der som nævnt en væsentlig forskel i Management Report. Her har brugeren en mulighed for at danne deres egen vurdering af virksomhedens interne kontroller af den finansielle rapportering, og 21 Perspectives on Internal Control Reporting - A Resource for Financial Market Participants, December Internal Control over Financial Reporting - An Investor Resource, December

16 dermed deres egen vurdering af sikkerheden og pålideligheden i årsrapporten. Hvis virksomheden og ledelsen heri ikke finder nogle væsentlige fejl eller mangler i de interne kontroller, og dermed konstaterer disse effektive, samt at den uafhængige revisor bekræfter dette, står regnskabsbrugeren med et bedre udgangspunkt for vurderingen af virksomheden. Men hvis virksomhedens ledelse erklærer kontrollerne ineffektive, og derfor må uddybe grundlaget for denne erklæring, har regnskabsbrugeren en bedre mulighed for at danne sin egen vurdering af regnskabet og virksomheden som helhed. Det er her, at investoren får mest ud af tiltaget, Management Report. Ledelsen vil så vidt muligt ønske og arbejde for, trods den erklærede ineffektivitet, at nedvurdere alvorligheden og konsekvenserne af ineffektiviteten. Grunden til ineffektiviteten i den enkelte situation ikke nødvendigvis er af afgørende betydning for regnskabet, har den eksterne bruger af regnskabet nu et værktøj til, at vurdere regnskabet og skabe sin egen opfattelse af betydningen, og dermed udnytte regnskabet til højst mulig individuel nytte. 4.3 Opsamling Sarbanes-Oxley Act er omfattende og omkostningsfyldt at få indført i en given virksomhed eller selskab. SOX 404 er kun en del af lovgivningen, men dog en af de mest omdiskuterede og centrale dele. For ledelsen har og vil det betyde ændringer i ansvaret i den eksterne rapportering for virksomheden. Management Report er helt central her, og er et klart element i forsøget på at øge pålideligheden og investors tillid, samt at sænke sandsynligheden for, at betydningsfulde fejl i regnskaber ikke opdages af revisor. Selve det at skulle indføre SOX 404 er et projekt i sig selv, da fuldt effektivitet kræver reglerne gennemført igennem hele virksomheden og dens processer. Reglen arbejder for at undgå at besvigelser ikke opdages fra bunden til toppen af virksomhedsniveauerne. Det giver ledelsen yderligere et tungt ansvar, at få gennemført ændringer som disse i traditionelle processer i virksomhedens og få dens ansatte til at forstå vigtigheden af denne implementering. SOX 404 anses af mange som et stærkt middel mod skandaler som dem man oplevede i starten af årtusindet, men midlet er ikke nødvendigvis nok. Det er ofte blevet diskuteret, om SOX 404 er nok til at ramme de højere niveauer i selskaberne, dér hvor de store besvigelser typisk stammer fra bestyrelser og ledelse. Man kan spekulere i om en given ledelse ikke alligevel vil kunne omdirigere virksomhedens interne kontroller på den ene eller anden måde, så revisor stadig ikke vil kunne opdage væsentlige fejl i regnskabet. SOX 404 anses derfor også blandt mange, som værende et middel mod besvigelser på lavere selskabsniveauer og 15

17 ikke omkring ledelsesniveauer, dette synspunkt deles desuden af T. Riise Johansen Arbejdspapir til Corporate Governance og Revisor konsekvenser af aktuelle corporate governance indsatser, T.Riise Johansen, CBS,

18 5. Den organisatoriske effekt I dette kapitel ses der på, hvad der påvirker danske selskaber organisatorisk ved implementering af SOX 404. SOX 404 sammenlignes med den nuværende danske regnskabslovgivning samt relevante revisionsstandarder. 5.1 Hvor stor skal virksomheden være? USA Der arbejdes ikke med størrelse af virksomheder i Sarbanes-Oxley act. Sarbanes-Oxley Act er en lov som har pålagt U.S. Securities and Exchange Commission (SEC) at indarbejde bl.a. SOX 404 i regnskabsaflæggelseslovgivningen. Der er dog i USA debat om der ikke bør være en opdeling af selskaberne, så de mindre virksomheder undtages helt fra SOX 404 eller kun skal opfylde den i begrænset omfang. Der har i debatten 23 blandt andet været opereret med at mindre virksomheder som har en omsætning på under 125 millioner dollars, svarende til (kurs 6) 750 millioner danske kr., skal fritages fra SOX Danmark I henhold til revisionsstandard RS 315 skal revisor opnå en forståelse af virksomheden og dens omgivelser herunder virksomhedens interne kontroller, der er tilstrækkelig til at identificere og vurdere risiciene for væsentlig fejlinformation i regnskabet 24 og revisionsstandard RS 330 kræver at revisor udformer og udfører yderligere revisionshandlinger, herunder test af kontrollernes funktionalitet 25. Revisionsstandarderne er ikke egentlig lovgivning, men vejledninger til revisorerne om hvordan de kan revidere og udføre det der kaldes god revisionsskik 26. Revisionsstandarderne er udarbejdet af FSR's 27 Revisionstekniske udvalg og er via udtrykket God revisionsskik skrevet ind i lovgivningen via LOV nr. 302 af 30/04/2003 om It's Time to Pull Up Our SOX, Wall Street Journal RS 315 Forståelse af virksomheden og dens omgivelser og vurdering af risici for væsentlig fejlinformation punkt 2 RS 330 Revisors handlinger som reaktion på vurderede risici - punkt 2 Foreningen af Statsautoriserede Revisorer 17

19 statsautoriserede og registrerede revisorer i 2 stk Selskaberne er ikke, lovgivningsmæssigt, underlagt revisionsstandarderne. Men selskabernes revisorer skal følge revisionsstandarderne, da det er god revisionsskik, og god revisionsskik er en del af lovgivningen om revisorers arbejde. Dermed bliver det et krav til selskaberne, at de har den interne kontrol, så revisor kan få en forståelse af denne og teste dens funktionalitet. Der er altså ingen krav i USA eller Danmark til hvor store selskaberne skal være før de skal udføre den interne kontrol, men blot det faktum at de er selskaber der skal revideres Skal der oprettes en speciel intern kontrol afdeling? I foregående afsnit fandt vi ud af at selskaber i USA og Danmark skal udføre intern kontrol, men bør selskaberne også have en egentlig afdeling til at afhjælpe den intern kontrol? Der er ikke noget i SOX eller i dansk lovgivning m.v. der foreskriver, hvornår der skal oprettes afdelinger for intern kontrol. Det er op til virksomhederne og de forhold de har internt i virksomheden, eller den branche de arbejder i, der kan være afgørende. Nedenstående forhold kan have indflydelse på, hvornår et selskab skal oprette en egentlig afdeling for intern kontrol Organisationens størrelse Organisationens størrelse kunne være en målestok for, hvornår der skulle oprettes en afdeling for intern kontrol. De interne kontroller i selskaberne skal forekomme i henhold til revisionsstandarderne og SOX, da det er nødvendigt at de interne kontroller bliver kontrolleret samt at de interne kontroller overholdt og at der bliver taget hånd om eventuelle omgåelser af reglerne. I mindre organisationer vil det være en afdelingsleder eller lignende, der vil kontrollere medarbejderne som vedkommende har under sig, men efterhånden som organisationen vokser vil den interne kontrol skulle vedligeholdes, dette kan evt. medføre et større arbejdspres. Ved at oprette en afdeling for intern kontrol, skulle udviklingen af de interne kontroller i

20 forbindelse med en virksomhed der vokser, kunne glide nemmere. Afdelingen for intern kontrol ville også mindske den enkelte leders overvågning af medarbejderen. En anden fordel ved at oprette en afdeling for intern kontrol vil være at lederen, der skal kontrollere sine medarbejdere, ikke kan indgå aftaler med underordnede, omkring omgåelser af den interne kontrol og derefter forsøge at skjule dem. Denne risiko er der selvfølgelig også ved at have kontrollen i en egentlig afdeling, men her arbejder kontrollant og kontrollerede ikke direkte sammen Branchen Selskabernes arbejdsområde eller branche kunne også være årsagen til at der skulle oprettes en afdeling for intern kontrol. Intern kontrol skal først og fremmest være præventivt, men også kvalitetssikrende. Den finansielle sektor er nok den branche hvor afdelinger for intern kontrol mest åbenlyst vil havde deres berettigelse. Talrige eksempler på at ansatte har taget af kassen eller lånt af kontohavere i pengeinstitutter, gør at branchen har en intern kontrol ud over det sædvanlige. Danske Banks interne revisionsafdeling ville, for eksempel, være det ottende største revisionsinstitut i Danmark hvis det var et selvstændigt firma Informationsværdien Informationsværdien af at have en afdeling for intern kontrol kunne også være en medvirkende årsag til at oprette afdelingen. Informationsværdien skal forstås på den måde, at hvis selskabet har en afdeling for intern kontrol, kan investorer og långivere/kreditorer opfatte selskabet som mere sikkert, da den interne kontrol vil være mere omfattende, da selskabet har en afdeling der kun tager vare på intern kontrol. Dette vil måske betyde at selskabet vil have lettere ved at oprette lån og at der er flere der er villige til at investere i selskabet og give selskabet et godt ry. 5.3 Auditudvalg i bestyrelsen USA Som en del af SOX er det blevet indført at virksomhederne skal have an audit committee eller på dansk et revisionsudvalg. Det vil sige at bestyrelsen ikke har et andet valg end at 29 Udtalt af chefen for den interne kontrol i Danske Bank, på seminardag om Intern Kontrol/Intern Revision på CBS 19

21 udpege et sådant udvalg. Det er et krav at medlemmerne af revisionsudvalget er medlemmer i virksomhedens bestyrelse. Der er i SOX også vedtaget at U.S. Securities and Exchange Commission (SEC) skal stille krav om at mindst et af medlemmerne i revisionsudvalget skal være finansiel ekspert. Dette er blevet vedtaget med virkning fra d. 3/ Danmark I Danmark er der ingen krav om at virksomheder skal have et revisionsudvalg. Nørby-udvalgets rapport om Corporate Governance i Danmark nævner ikke specifikt revisionsudvalg, men taler faktisk mest i mod udvalg i bestyrelsen 31. Der nævnes at mange bestyrelser ikke er store nok til at der kan etableres et udvalg samt at bestyrelserne må overveje om der er behov for et udvalg. Nørby-udvalget advarer mod at et udvalg i virksomheden kan blive ene om at modtage information som den samlede bestyrelse faktisk skulle have haft. I Københavns Fondsbørs komité for god selskabsledelses rapport fra 2005 skrives der I selskaber med komplekse regnskabs- og revisionsmæssige forhold bør bestyrelsen overveje, hvorvidt der etableres et revisionsudvalg til forberedelse af bestyrelsens behandling af revisions- og regnskabsmæssige forhold. 32 Nørby-udvalgets rapport fra 2001 og rapporten fra Københavns Fondsbørs fra 2005 har det til fælles, at både Lars Nørby Johansen formand i begge rapporter og Mads Øvlisen har været med til at skrive rapporterne. Hvorfor kommer de to personer med to forskellige anbefalinger, når begge personer har været med til at udvikle de to ovennævnte rapporter. Dette kunne måske være grundet i, at de hver især har opnået forskellig erfaring mht. brug af revisionsudvalg. Nørby-udvalgets rapport kom før SOX og SOX blev vedtaget i Københavns Fondsbørs rapport kom efter vedtagelsen. Novo Nordisk, hvor Mads Øvlisen er bestyrelsesformand, har via selskabets børsnotering i USA været nødt til at indføre revisionsudvalg. Revisionsudvalget blev indført i Novo Nordisk Nørby-udvalgets rapport om Corporate Governance i Danmark side 60. Kan hentes på Rapport om god selskabsledelse i Danmark 2005 side 43 udarbejdet af Københavns Fondsbørs komité for god selskabsledelse. Kan hentes på 20

22 A/S i marts Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Mads Øvlisen har måske via sine erfaringer, med revisionsudvalget i Novo Nordisk A/S, kunne se fordelene ved et revisionsudvalg i bestyrelsen, og har derfor efterfølgende anbefalet i rapporten fra Københavns Fondsbørs i 2005 at man gør brug af et revisionsudvalg. 5.4 Den kulturelle effekt ved indførelsen af SOX 404 Ud over en effekt på virksomhedernes organisation, afstedkommer indførelsen af SOX 404 også en effekt på kulturen i virksomheden. Den interne kontrol i virksomheden skal udføres lige meget om der indføres SOX 404 eller ej. Den danske revisionsstandard 315 kræver at revisor opnår en forståelse af virksomhedens interne kontroller og virksomheden er derfor pligtige til at have intern kontrol Intern kontrol kan være virksomhedens redskab til at sikre sig kvalitet i sine handlinger, at handlingerne bliver udført, samt at det er de rigtige medarbejdere der udfører handlingerne. Men intern kontrol kan også resultere i dårligere kvalitet på grund af medarbejderne føler sig mistænkeliggjort/overvåget. Intern kontrol skal løbende vurderes og justeres og påvirker derfor medarbejdernes arbejde med den interne kontrol. Det er selve arbejdskulturen i virksomheden der løbende vurderes og tilrettes, på den måde at uhensigtsmæssigheder i arbejdsfordelinger og ansvarsområder løbende vurderes med hensyn til for eksempel funktionsadskillelse. For at illustrere, hvad der sker når den interne kontrol implementeres, løbende vurderes og tilrettes, illustreres dette ved hjælp af Deming Cirkelen, som er tilrettet til formålet. I den øverste kasse udarbejder og tilretter ledelsen den interne kontrol. Cirklen fører læseren videre mod højre, hvor medarbejderne arbejder efter de retningslinier ledelsen har implementeret for den interne kontrol. Cirklen fortsætter til kassen, hvor den interne kontrol kontrolleres/tjekkes. I den sidste kasse vurderes den interne kontrol der er udført og forslag til ændringer udarbejdes. Ændringerne forlægges ledelsen og cirklen kan starte forfra

23 Nedenstående figur 5.1 illustrer hvad der sker. Ledelsen udarbejder den interne kontrol Ændringer til den interne kontrol på baggrund af den udførte interne kontrol Medarbejderne arbejder efter den interne kontrol Den interne kontrol tjekkes Figur 5.1: Deming cirklen 34 - egen tilretning Ved indførelsen af SOX 404 skal virksomheden offentliggøre resultaterne af deres interne kontrol, dette har blandt andet Novo Nordisk 35 og TDC 36 gjort og mere eller mindre samstemmende skriver de, at deres interne kontroller er etablerede og fungerer, men at de interne kontroller ikke giver 100 % sikkerhed for at der ikke sker fejl i den rapportering de afgiver i deres årsregnskaber og finansielle forhold. At den interne kontrol i virksomhederne skal offentliggøres, er ikke ensbetydende med at der sker ændringer i den måde den interne kontrol bliver indført og udført på. Hvis kontrollen virker er der ingen grund til ændringer Medarbejderne Indførelsen af SOX 404 har først og fremmest en indflydelse på ledelsen, da denne skal Deming cirklen, Grundbog i kvalitetsstyring og måleteknik, s. 22 ff F%202005%20final.pdf side pdf side 74 22

24 rapportere om den interne kontrol og kan straffes for eventuelle fejl og mangler i den interne kontrol. Når den øverste ledelse får mere ansvar, plejer det at resultere i mere ansvar ned efter i organisationen, den interne kontrol udføres ikke af ledelsen, men ledelsen bliver ansvarlig i henhold til SOX 404 og er derfor nød til at sikre sig at den interne kontrol udføres så korrekt som muligt. Dermed vil indførelsen af SOX 404 påvirke medarbejderne. Det kan godt være at der ikke sker ændringer i den interne kontrol, men der kan opstå yderligere kontrol, hvis virksomheden ikke er up to date med den nuværende kontrol. Hænger det sådan sammen vil dette påvirke arbejdskulturen for de medarbejdere der arbejder med finansiel rapportering, grundet den øgede kontrol. Medarbejdernes arbejde ændres umiddelbart ikke, da man må antage at den interne kontrol løbende er tilrettet og derfor virker optimalt inden indførelsen af SOX 404. Men det øgede ansvar vedrørende den interne kontrol kan have en negativ påvirkning på medarbejdernes arbejdsmiljø og kultur. Det er derfor vigtigt at ledelsen gør sig umage med at forklare, hvorfor den interne kontrol skærpes. Medarbejderne er nødt til at få forklaret formålet med indførelsen, og gerne på en måde, så de kan se en positiv effekt i det arbejde de udfører. Ledelsen vil ved hjælp af den rette information omkring nødvendigheden af ændringer i den interne kontrol kunne opnå medarbejdere, der arbejder mere ansvarligt, end hvis formålet med den øgede kontrol ikke var blevet gjort klart fra ledelsens side. 5.5 Fremskaffelsen af kapital I USA har det været diskuteret 37 om ikke mindre selskaber skulle undtages fra SOX 404 eller dele af den, da indførelsen og den efterfølgende rapportering øger omkostningerne væsentligt. Der er dog modstandere, der taler i mod at undtage mindre selskaber fra SOX 404. De mener at de mindre selskaber i stedet skal hjælpes med den interne kontrol. Modstanderne af undtagelserne mener, at SOX 404 vil hjælpe alle selskaber til at skaffe mere kapital til investeringer, via den udvidede rapportering 38. Da indførelsen af SOX 404 er for at tjene investorerne, bør der være fælles regler for alle virksomheder noteret på de amerikanske børser, så der ikke opstår nye skandaler Wall Street Journal 27. januar 2006 A Misguided Exemption Wall Street Journal 27. januar 2006 A Misguided Exemption Wall Street Journal 27. januar 2006 A Misguided Exemption 23

25 At en anderledes rapportering skulle kunne tiltrække kapital, kan diskuteres. Hvis nogle virksomheder er underlagt rapporteringen via lov, og rapporteringen skaber mere tillid til selskabet, kan det ske, at de selskaber der er underlagt frivillig rapportering evt. ville miste investorer, i så fald de ikke rapportere den interne kontrol, da investor kunne se dette som negativt. Indførelsen af SOX 404 vil derfor ikke ændre væsentligt på kulturen i regnskabsaflæggelsen i USA, da det er en lovgivning der bliver pålagt virksomhederne. Men ved at virksomheder i Danmark selv vælger at følge SOX 404, eller en tilrettet version af den, ændre de på regnskabskulturen i Danmark. Virksomhederne vil da eventuelt udvide deres årsrapport til også at offentliggøre deres interne kontrol og måske også være villige til at skrive mere om den interne kontrol, end hvis det var et krav via lovgivning. Virksomheder der vælger den yderligere rapportering, vurderes at øge tilliden hos investorerne og kan evt. skabe grobund for en større kreds af investorer, der på baggrund af den offentliggjorte rapportering, vil være interesseret i virksomheden aktier. 5.6 Opsamling Den største forskel mellem SOX og danske regelsæt er at der i SOX kræves offentliggørelse af den interne kontrol. Regelsættet har sat nye standarder for lovgivning som fremover vil påvirke rapporteringen, for de virksomheder der rapporterer efter SOX. At den interne kontrol skal offentliggøres vil skabe tillid, fra investoren til virksomheden, da virksomheden af revisor får erklæret at den interne kontrol er tilstrækkelig. I medfør af dette vil virksomheder der formidler den rette rapportering kunne opnå en større interesse for deres aktier og samtidig opnå en lettere adgang til fremmedkapital. SOX kræver et revisionsudvalg i bestyrelsen. Udviklingen i Danmark tyder på at der kommer flere revisionsudvalg i bestyrelserne, efterhånden som flere anbefaler udvalgene og der opnås positive erfaringer med udvalgene. Det vurderes at flere selskaber i Danmark frivilligt vil indføre revisionsudvalg i bestyrelsen, da der menes at kunne opnås fordele ved at have et revisionsudvalg. Som følge af det øgede ansvar hos ledelsen ved indførelse af SOX 404, vil den interne kontrol blive øget. Den øgede kontrol vil påvirke medarbejderne og derfor er det vigtigt at få forklaret 24

26 formålet med ændringerne på den rigtige måde, så ændrede procedurer ikke bliver opfattet negativt, og medfører at medarbejderen ikke følger nye procedurer. 25

27 6. Udførelsen af den interne kontrol 6.1 Indledende om udførelsen af den interne kontrol Dette kapitel vil fokusere på udførelsen af den interne kontrol, med det formål at illustrere hvorledes ledelsen har mulighed for trygt at kunne stole på at den interne kontrol udføres, idet - som nævnt ovenfor - deres ansvar i henhold til SOX 404, også dækker dette. Det kan således anses som metoder ledelsen kan benytte, for at forsikre at den interne kontrol udføres i tilstrækkelig grad uden at ledelsen dagligt skal involvere sig i denne opgave. De følgende sider vil redegøre for udvalgte vigtige interne kontroller og altså hvorledes disse kan udføres. Hovedvægten er lagt på udførelsen af disse kontroller i et finansielt miljø som reguleres af integrerede ERP systemer, idet dette må antages at være den fremtidige økonomistyringsmodel, især for de største danske virksomheder. Hermed vil diskussionen indeholde et element af antagelser om fremtiden, som dog synes at gøre diskussionen mere interessant og relevant for perspektiverne. Dette betyder således også at der vil være fokus på IT-revisionens område. Endvidere er formålet at redegøre for hvorledes udførelsen kan fortages, og danne baggrund for følgende diskussion af muligheden for at outsource kontrollen af den interne kontrol. I relation til de fem kontrolelementer for intern kontrol 40 vil dette kapitel især omhandle Kontrol Aktiviteter, Overvågningen og ikke mindst Information og Kommunikation. 6.2 Fokus på udvalgte kritiske kontroller Funktionsadskillelse En af de primære grunde til opretholdelse af en dokumenteret og reelt udført adskillelse af funktioner er minimeringen af risiko for besvigelser og dermed sårbarhed for væsentlig fejlinformation i regnskabet 41 men i høj grad også til beskyttelse af virksomhedens aktiver. Funktionsadskillelsen kan i meget høj grad systematiseres i forbindelse med integrerede økonomistyringssystemer, idet adgangen til enkelte transaktioner kan gives til specifikke personer. I praksis er det dog ikke en direkte relation mellem transaktionerne og de ansatte der skal kontrolleres men snarere introduktionen af mellemled i form af jobroller og 40 De 5 elementer i RS 315 afsnit 43: a. Kontrol Miljø; b. Risiko vurdering; c Information og Kommunikation; d. Kontrol Aktiviteter; e. Overvågning. For uddybning af disse begreber se Bilag 2 til RS Se nærmere herom i RS

28 jobprofiler. Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Relationen mellem disse begreber er som modellen nedenfor illustrerer 42 : Transaktioner Jobprofiler Transaktioner Jobrolle Slutbruger Jobprofiler Transaktioner Gennem varetagelse af funktionsadskillelsen ved brug af ovenfor nævnte model kan der fastlægges procedurer der sikrer at slutbrugere ikke teknisk har mulighed for eksempelvis at foretage en komplet indkøbsprocess uden indblanding fra en anden person som enten godkender eller ordreafgiver 43. Med en sådan løsning vil det være betydeligt lettere at kunne angive at kontrollen er udført. Der kræves således: At det kontrolleres at der ikke er slutbrugere der har jobroller der kolliderer med den krævede adskillelse, hvilket kan udføres ved mapningen af slutbrugere til jobroller. At der løbende kan trækkes rapporter der kan verificere at der ikke er sket omgåelse af retningslinierne for slutbruger / jobrolle relationen. At der ved designændringer tages højde for funktionsadskillelsen i forbindelse med mapningen af transaktioner til jobprofiler og videre til jobroller og at disse er dokumenteret og let tilgængelige. At der ved nødvendige omgåelser af system-autorisationerne 44, er fastlagt dokumenterede 42 Denne funktion i forbindelse med opsætning og adskillelse findes i alle større ERP-systemer i dag som SAP, Oracle (peoplesoft) og Navision. 43 Se nærmere specifikt om godkendelsesprocedurer nedenfor under Der kan være tilfælde hvor en afdeling i sagens natur ikke har den nødvendige størrelse til at have en person 27

29 retningslinier i form af eksempelvis SOP er 45 for hvorledes dette ikke i praksis omgås. I sådanne tilfælde skal der endvidere kunne trækkes rapporter der vil fange aktuelle omgåelser, og en sådan kontrol skal gennemføres systematisk og periodisk 46. At der kommunikeres strenge regler omkring beskyttelse af adgangen til systemet med andre brugeres ID og dermed roller, hvilket i praksis betyder benyttelse (- og beskyttelse) af passwords ved login. Ved at følge retningslinierne overfor vil der ved hjælp af system-autorisationer og interne procedurer kunne opretholdes en relativ streng kontrol med at funktionsadskillelsen ikke bare følger teoretiske retningslinier, men reelt også udøves i praksis Godkendelsesprocedurer Under afsnittet ovenfor om funktionsadskillelsen blev der nævnt et eksempel på at der skulle tages højde for godkendelsesprocedurer i allokeringen af medarbejdere til de forskellige jobroller. Dette eksemplificerer udemærket integrationen mellem de forskellige elementer der skal tages højde for ved den strategiske udarbejdelse af retningslinier for den interne kontrol 47. Det skal altså fastlægges i, på det strategiske niveau i virksomheden, hvilke godkendelsesprocedurer der skal implementeres i processerne. I forbindelse med godkendelsesprocedurer er det især processerne der relaterer sig til udgående betalinger og direkte posteringer på konti 48 der har høj fokus. Godkendelse i Indkøbsprocessen Ved udgående betalinger bør der i henhold til funktionsadskillelsen 49 foretages en reel godkendelse af omkostningen af anden part, end den der faciliterer udbetalingen. Denne godkendelse bør endvidere ikke være lavet samme person som har lavet indkøbsordren. I praksis kan det dog accepteres at godkendelsen af fakturaen kommer fra samme person som har lavet indkøbsordren, men dette bør dog være begrænset med specifikke beløbsgrænser. Ved benyttelsen af ERP-systemer er det de seneste år blevet mere korrekt at have i godkendelsesprofilen som ikke også vil have ordreafgivelsesprofilen. 45 Standart Operationelle Procedurer (et dokument der beskriver arbejdsgangene i meget detaljeret niveau, som kan være baserede på centraliserede krav, dog med lokale modifikationer) 46 Eksempelvis under periodeafslutningsprocedurerne som behandles nedenfor under Den strategiske sammensmeltning relaterer sig især til kontrolmiljøet jf. RS 315 Bilag Herunder daglig kasse- og periodisk lager afstemning. 49 Accounting Information Systems ed.6 side 268 ff. 28

30 godkendelseselementet allerede inden virksomheden påtager sig forpligtelsen udadtil, hvilket betyder at indkøbsordren er genstand for godkendelsen og i fald den modtagede faktura stemmer overens med det allerede godkendte beløb fra indkøbsordren, kræves der derefter ikke godkendelse igen af fakturaen, men den kan derimod betales automatisk ved forfaldsdatoen. Forudsat at der findes en validering i systemet der betyder at fakturaer ikke kan betales medmindre de kan linkes direkte til en allerede godkendt indkøbsordre, vil princippet om 4 øjne allerede være opfyldt ved indkøbsordren. I denne forbindelse er det vigtigt at sætte korrekt godkendelses hierarki op i systemet, med relevant beløbsgrænser, som eventuelt kan være baseret på jobroller eller direkte slutbrugere. Dette hierarki skal dokumenteres og indgå i den lokale dokumentation og kommunikeres til alle relevante parter 50. Det kræves således: At der kontrolleres at systemet har den sikring indbygget, at der ikke kan forestå betalinger uden at en indgående faktura kan matches mod en godkendt indkøbsordre. Herunder især validering af beløb, antal enheder og leverandør. At der er dokumenteret en procedure for indgående fakturaer der ikke kan matches mod en indkøbsordre, som inkluderer et sikkert godkendelseselement. At der er udarbejdet et godkendelseshierarki, dels for processer men også for beløbsgrænser og at dette er kendt og afspejler jobrollerne. Godkendelse i forbindelse med direkte posteringer på konti På trods af en dybdegående integration mellem operationelle transaktioner og finansfunktionen i et ERP system, vil der altid være behov for direkte manuelle posteringer på specifikke konti. I denne forbindelse er det igen et krav at der skal indgå et godkendelseselement. Dette kan i sagens natur sættes op med begrænsninger på beløb eller specifikke konti 51, men kan også være en del af processen hvor kun enkelte jobroller får adgang til at postere på konti, hvorimod der vil være andre jobroller som kan forberede posteringerne men parkere dem til personerne med den rette autorisation. 50 Mere om dokumentation og kommunikation lige nedenfor Se nærmere om posteringer på konti nedenfor under

31 Andre godkendelseskrav Udover de ovenfor nævnte processer er der også andre processer der kræver at de rette godkendelses procedurer er sat op. Nogle eksempler herpå kunne være oprettelsen af nye leverandører (inkl. Bankkonti) og godkendelse betalingsbetingelser. Begge disse må dog antages, at være mere et krav afledt af behovet for beskyttelsen af virksomhedens aktiver end en reel kontrolaktivitet afledt af RS 315 eller eventuelt af SOX Procesdokumentation Som eksemplet ved funktionsadskillelsen ovenfor understreger, må det anses som en nødvendighed at der findes en reel dokumentation for hvorledes procedurerne er og at disse er kommunikeret ud til slutbrugere. Når det gælder dokumentation til understøttelse af den interne kontrol i ERP systemer, kan det deles i to hovedgrene; 1) Dokumentation i relation til opsætning af- og processerne i systemet og 2) Dokumentation af de reelle arbejdsgange for udførelse af diverse opgaver. 1) Dokumentation af systemets opsætning Idet integrationen mellem processerne og inddataen i meget høj grad danner baggrund for posteringerne der direkte udgør den finansielle rapportering, er det en absolut nødvendighed at der foreligger dokumentation der beskriver disse sammenhænge. Dels for at kunne dokumentere/forklare sammenhængen mellem system-opsætningen og de finansielle posteringer til interessenter 52, og dels for at kunne gennemføre reelle kontroller i systemet, hvor der benchmarkes mod dokumentationen. 2) Dokumentation af arbejdsprocesserne Som ovenfor nævnt er det en nødvendighed at der er en klar forståelse af hvorledes opgaver skal udføres korrekt for at sikre at den tilsigtede konsekvens i form af f.eks. finansielle posteringer eller som i ovennævnte tilfælde hvor det kan være en forudsætning for en reel funktionsadskillelse. Især det høje elementet af integration mellem operationelle funktioner og finansielle posteringer, som er grundstenen for ERP-systemer, giver anledning til en stor risiko for uoverskuelig finansiel rapportering såfremt de korrekte procedurer på det 52 Interessenter i denne sammenhæng er primært interne, som controllere og mellemledere og ledelsen generelt, men også i meget høj grad den eksterne revisor. 30

32 operationelle niveau ikke efterleves 53. Derfor er det nødvendigt at procedurer - som er godkendt af controllere eller lign dokumenteres og udøves i praksis, og at der foretages periodiske kontrolaktiviteter af hvorledes disse SOP er efterleves Kontrolspor og kontrol af posteringsmønstre/valideringer på konti I forbindelse med de strenge krav i SOX 404 til ledelsen, som sjældent vil have kendskab til de enkelte posteringer på konto niveau, er det afgørende at de har en relativ stærk tro på (eller viden om) at det der er repræsenteret i regnskabet på konto niveau også giver et retvisende billede. I denne forbindelse vil mange af de afgørende operationelle konti i et ERP system være blokeret for manuelle posteringer såsom alle indtægtskonti og nogle operationelle omkostnings konti. I stedet vil posteringen på disse konti være genereret af salgsordrer eller indkøbsordrer, således at man vil kunne være sikker på at disse er repræsenteret af operationelle handlinger 54. Det vil derigennem altid være muligt at spore sig fra den totale balance på kontoen, ned til den enkelte salgsordre eller indkøbsordre og derigennem give et komplet kontrolspor. Desuden kan denne integration give mulighed for mere præcis information i regnskabet, ved f.eks. automatisk eliminering af koncernforbundne transaktioner i henhold til ÅRL 114 osv. 55 Idet ERP systemet tillader sådanne integrerede løsninger vil det igen kræve at der følger en skærpet kontrol af opsætningen, således at det kan følges hvilke konti posteringer automatisk er genereret på og hvilke der er åben for manuelle posteringer og dermed også i sagens natur højere risiko for fejl 56. En af de absolutte fordele ved det integrerede ERP system er muligheden for et kontrolspor og de indbyggede rapporter der kan samle information om dette. Igen vil kontrolsporet således snarere benyttes til fejlsøgning og specifikation af enkelte posteringer altså dermed 53 Som eksempel på kan være afgrænsningen mellem nettoindtægt der skal indregnes i regnskabet og indbetalinger der blot skal distribueres videre til leverandøren eller, i et agent forhold til hovedmanden. De finansielle posteringer i sådanne tilfælde kan være afhængige hvad der indtastes i salgsordren eller hvad kontrakten i systemet har af informationer. Dette efterlader stor risiko for forkerte posteringer, såfremt den operationelle bruger benytter forkert data. 54 Især indtægtssregistreringen er relevant taget baggrunden for SOX initiativet i betragtning. Én af kritikpunkterne ved Enron s regnskabspraksis var virksomhedens liberale indtægtsføring idet dette registreredes i virksomheden allerede ved kontrakternes indgåelse, på trods af at disse reelt leveredes og faktureredes i nogle tilfælde flere år senere. The Rise and Fall of Enron 55 For mere information om konsolidering se Årsrapporten 4. udg. s. 757 ff. 56 Især konti vil i sagens natur være åbne for manuelle posteringer/korrektioner, hvilket kan give høj risiko for manipulationer eller fejl der vil føre til et ikke retvisende billede. 31

33 også til test af posteringsmønstre. Det vil derfor kun indirekte have en forebyggende virkning gennem den opfølgende kontrol der nødvendigvis må indføres. Denne kontrol kan dog udføres centralt, og vil utvivlsomt kunne have en indflydelse på medarbejdernes egen kvalitet af inddata Integrerede periodiske kontroller En af de absolut vigtigste elementer i en løbende intern kontrol er en systematiseret periodeafslutningsprocess, der kan indeholde en række interne kontroller og ikke mindst reelle krav om at have udførelsen af disse opgaver signed af af relevante controllere eller ledere i økonomiafdelinger 58. Periodeafslutningsmanualen vil således indeholde en række punkter der skal kontrolleres i forbindelse med periodeafslutningerne, der endvidere vil fungere som baggrunden for den månedlige rapportering til ledelsen. Såfremt denne proces indeholder de elementer der af virksomhedens ledelse er beskrevet i strategien for den interne kontrol, vil disse på en naturlig måde integreres i de almindelige arbejdsgange under periodeafslutningen. En periodeafslutningsplan kan indeholde en blanding af systemtekniske opgaver, rene finans- /bogføringsopgaver og ledelsesopgaver. Alle disse kan indeholde elementer af en interne kontrol, og vil sikre en systematiseret process som vil give komparetive strømlinet rapportering. 6.3 Opsamling af udførelsen af intern kontrol Som gennemgangen ovenfor specificerer findes der en række opgaver i forbindelse med udførelsen af den interne kontrol. En del af opgaverne relaterer sig til elementer der skal udføres i planlægnings- og procesdesignfasen 59 både lokalt men også på koncernniveau, og en anden del af opgaverne relaterer sig til en løbende kontrol af udførelsen af reelle operative opgaver Dette gælder såvel direkte posteringer som transaktionel inddata generelt 58 I praksis betyder dette at en given person i systemet skal tilkendegive at han har udført den krævede opgave, og kun når dette er sket kan en næste opgave begynde. Denne proces er styret af en specifik applikation i systemet (Eksempelvis har SAP en applikation der hedder Schedule Manager ) 59 Primært opgaver der relaterer sig til de tre første elementer i RS 315 afsnit 43 / bilag 2 (Kontrolmiljø, Risikovurdering, Information og Kommunikation) 60 Primært opgaver der relaterer sig til de to sidste elementer i RS 315 afsnit 43 / bilag 2 (Kontrolaktiviteter, Overvågning af kontroller) 32

34 7. Outsourcing af intern kontrol 7.1 Generelt Diskussionen om placeringen af den interne kontrol i relationen til den virksomhedens organisation og ikke mindst til den eksterne revision er yderst aktuel. Den lovpligtige adskillelse af konsulentmæssige opgaver og revisionsmæssige opgaver for den eksterne revisor, har efterladt et potentielt marked for nye agenter 61. Når tendensen går mod et stærkere fokus på Corporate Governance, hvorunder den interne kontrol også hører 62 og processerne i virksomheden samtidigt i høj grad bliver systematiseret, begrænset og kontrolleret af integrerede ERP systemer 63, bør det diskuteres hvorledes denne opgave kan løses mest optimalt for virksomheden. Som nævnt tidligere vil der være implikationer i organisationsstrukturen for virksomheden i forbindelse med at implementeringen af SOX reglerne, men dette relaterer sig især til organisatoriske enheder på et meget højt niveau i virksomheden 64. I dette afsnit vil det undersøges, hvorvidt nogle af opgaverne relateret til den interne kontrol kan outsources og i givet fald hvem der kan varetage opgaven. Især for de større danske virksomheder der opererer på internationalt plan med operationer og finansfunktioner der spreder sig over store dele af verden, kan der være store muligheder for en centraliseret intern kontrol funktion, såfremt det foregår i globalt integrerede systemer der kan overvåges centralt Fordeling af ansvar Som beskrevet ovenfor har en implementering af SOX 66 regelsættet en effekt på placering af ansvaret i forbindelse med de interne kontroller. At ledelsen i virksomheden har et ubetinget ansvar for at de interne kontroller bliver udført, betyder derfor ikke at en eventuel outsourcing Se artiklen ændrer risiko- og kontroludviklingen inden for corporate governance den eksterne revisors rolle, Revision og Regnskabsvæsen, Nr. 3,2006. Se endvidere afgrænsningen og relationen mellem interne kontroller og corporate governance i artiklen ændrer risiko- og kontroludviklingen inden for corporate governance den eksterne revisors rolle, Revision og Regnskabsvæsen, Nr. 3,2006. Se overfor afsnit 6.Udførelsen af den interne kontrol Bestyrelseseskomiteen og opsættelsen af uafhængig afdeling for intern revision. Se nærmere afsnit 7.2 Det kræver online adgang til de finansielle bøger og ERP systemet generelt i de enkelte lokationer/selskaber. Især artikel 302 og

35 af enkelte komponenter i den interne kontrol også betyder en outsourcing af ansvar. Dette vil uanset hvem der udfører opgaven ultimativt være ledelsens ansvar 67. Det vil således være op til ledelsen i samarbejde med en eventuel revisionskommité og/eller en Intern Revisionsafdeling at vurdere hvorledes kontrollen reelt skal udføres for at give den tilstrækkelige komfort for ledelsen ved deres lovpligtige erklæringen. Illustreret eksempel på, hvilket element i kontrolprocessen outsourcingen bør relatere sig til. Ledelsen udarbejder den interne kontrol Ændringer til den interne kontrol på baggrund af den udførte interne kontrol Medarbejderne arbejder efter den interne kontrol Den interne kontrol tjekkes Figur 7.1: Deming cirklen 68 - egen tilretning Desuden er det af yderste vigtighed at leverandøren af kontrolservicen har direkte kontakt til virksomheden og et eksempel på placeringen i forhold til organisationsdiagrammet kan findes nedenfor Og ikke mindst den eksterne revisors ansvar i henhold til SOX 404. Deming cirklen, Grundbog i kvalitetsstyring og måleteknik, s. 22 ff 34

36 Intern organisation Ekstern Bestyrelsen Ledelsen Intern revision Outsourcing intern kontrol enhed Operation Operation Operation = forbindelse mellem ledelse og intern revision = Outsourcing Figur 7.2: Outsourcing 7.3 Opgavespecifik kontrol For at kunne udføre en reel analyse af, hvorvidt det er muligt at analysere den interne kontrol eller om enkelte komponenter af denne kan outsources, bør man ikke fokusere på den interne kontrol som en helhed men snarere vurdere enkelte komponenter af denne separat. Dette begrundes med det faktum at mange interne kontroller bør indbygges i arbejdsprocesserne 69 kombineret med den interne kontrols flydende overgang til andre corporate governance elementer som risikostyring 70. Nedenfor vil der oplistes eksempler på kontrolelementer der muligvis kunne outsources med udgangspunkt i redegørelsen i kapitel 3 og dermed igen under forudsætning af benyttelsen af integrerede ERP systemer som udgangspunkt for den finansielle rapportering Se ovenfor om implementeringen af den interne kontrol i periodeafslutningsprocessen Afsnit For nærmere om relationerne mellem risikostyring og intern kontrol generelt se artiklen Rapportering om forretningsmæssige risici i årsrapporten Revision & Regnskabsvæsen nr Listen er ikke udtømmende, men snarere eksemplificerende. For uddybning af indholdet af kontrollerne henvises til afsnit 6 hvori de behandles dybere. 35

37 Kontrol af at systemdesign og vedligeholdelse i forbindelse med funktionsadskillelsen følger dokumenterede retningslinier 72. Kontrol af reel udført funktionsadskillelse i forbindelse med posteringer og godkendelser. Generel gennemgang af lokale SOP er i processer der direkte eller indirekte relaterer sig til finansielle posteringer. Forsikre at disse ikke afviger fra generelle centrale SOP er. Kontrol af indkøbsprocessen i relation til godkendelsesprocedurer. Kontrol af omfanget af manuelle posteringer og korrektioner på kontoniveau. Kontrol af at lokale kreditaftaler ikke overstiger generelt udstedte grænser. Kontrol af at processen for oprettelse af stamdata kræver godkendelser, herunder især leverandører. Generelle kontroller af slutbrugeres anvendelse af systemet i relation til de centralt udstedte retningslinier. Kontrol af afstemninger af bank, kassebeholdning, A/R, A/P mod balancer på hovedkontoplanen. 7.4 Hvem kan løse opgaven? Som nævnt i indledningen til dette kapitel findes der ikke en naturlig agent der varetager denne type opgaver med det formål at forbedre den interne kontrol. Det kræves at konsulenten har indgående kendskab til finansiel rapportering og til en vis grad dansk regnskabslovgivning kombineret med et dybere kendskabs til de benyttede systemer og systemdesign generelt. Alt i alt kvaliteter der bør kunne findes i en IT-revisions afdeling i dag. 72 Herunder relationerne mellem transaktioner-jobprofiler-jobroller-slutbrugere. 36

38 Efter Enron skandalen har lovgiver introduceret en skarp grænse for hvilke konsulentopgaver den eksterne revisor for en given virksomhed kan påtage sig for samme virksomhed. Varetagelse af en operativ udøvende intern revisionsfunktion må naturligvis falde under denne begrænsning. Ved implementeringer af ERP løsninger vælger virksomheder ofte at benytte hjælp fra konsulentselskaber 73 med speciale i netop disse systemer og kendskab til finansielle regnskabsmæssige regelsæt. Samme konsulenter kunne meget vel fortsætte som støtte til den interne revision og udføre opgaver som nævnt ovenfor. Idet omkostningerne for at have sådanne konsulenter tilknyttet en funktion, som må antages at være at sammenligne med en fast ansættelse, vil være relativt høje, kan de største virksomheder endda spekuleres i at købe denne ydelse fra konsulentvirksomheder i andre lande 74. Der vil som sådan ikke være nogle krav til autorisationer til at tilbyde denne service, hvorfor det vil være et marked der også kan penetreres af en måske ny type virksomhed som lægger sig mellem revisionsvirksomheden og den almindelige konsulentvirksomhed. 7.5 Fordele og ulemper ved outsourcing Fordele ved outsourcing Såfremt der er tale om en mindre virksomhed som generelt ikke har forretningsenheder nok til at have fuldtidsansatte med speciale i at kontrollere processerne i systemerne, kan outsourcing have den klassiske fordel at konsulenten med den dybdegående viden kan foretage en periodisk kontrol som skal rapporteres videre til ledelsen eller i det daglige økonomiafdelingen med omkostningsminimering til følge. Altså den klassiske fordel ved outsourcing af specialopgaver. Som nævnt ovenfor kan den større virksomhed med fordel outsource til lavindkomstlande, idet der allerede findes konsulenthuse med speciale i sådanne opgaver. Dette kræver dog at virksomheden er af en vis størrelse og at dokumentationen som del af den naturlige Markedsledere for sådanne produkter er Accenture og IBM. Lande som Indien har mange konsulentfirmaer med speciale i kontrol og support til ERP-systemer og er i stand til at levere disse ydelser til væsentlig lavere priser end hvis disse skulle leveres i Danmark. 37

39 forretningspolitik er på engelsk. Dette vil udover specialefordelen endvidere kunne give en signifikant stordriftsfordel hvilket vil afspejles i reducerede omkostninger Ulemper ved outsourcing Uanset størrelsen på virksomheden vil der på trods af den klare ansvarsfordeling 75 - være en risiko for at virksomheden internt vil nedprioritere den interne kontrol, og måske slække på opfølgningen og den kontrol der normalt skal være indbygget i arbejdsprocesserne. Det må ikke anses som et alternativ til denne daglige kontrol og årvågenhed, men blot et ekstra sikkerhedsnet. Såfremt man vælger at benytte de eksterne konsulenter på en så integreret måde at de endvidere vil foretage kommunikationen direkte til slutbrugerne, kan der være en risiko for at medarbejderne vil føle sig utrygge ved overvågningen og derigennem måske reducere handlekraftigheden. Dette må dog antages at have samme effekt såfremt kontrollen føres internt, med den modifikation at dette sandsynligvis lettere kunne opfattes som en støttefunktion i slutbrugernes øjne. Generelt må risikoen for denne ulempe kunne reduceres kraftigt såfremt virksomhedens ledelse entydigt støtter kontrolfunktionen og lader dette kommunikeres ud til slutbrugere. Samarbejdet med konsulentvirksomheden skal virke optimalt og der skal være meget klare retningslinier for hvorledes arbejdet skal udføres og kommunikationslinierne skal være klart definerede således at der ikke mistes værdifuld information. 7.6 Opsamling på outsourcing af komponenter i intern kontrol Generelt er outsourcing af enkelte komponenter i den interne kontrol en mulighed der for mange virksomheder kan være fornuftig idet det i den sidste ende kan være omkostningsreducerende i forhold til outputtet uanset om det begrundes med fordelen ved køb af specialopgaver eller om det for større virksomheder skyldes en optimering gennem en centraliseret kontrolenhed i et lavindkomstland. Såfremt det overvejes at outsource, stiller det meget stærke krav til at virksomheden har organiseret sig godt og aftalen med konsulenten er klar, intet skal være åbent for tvivl. 75 Se ovenfor afsnit

40 Endvidere er det nødvendigt at ledelsen støtter tredjeparten i dens virke, idet det må antages at der er stor risiko for at disse vil anses mere som en begrænsning end en samarbejdspartner for slutbrugeren. Det kan i dag være svært at finde kompetente udbydere af denne service i Danmark, uden at skulle betale høje omkostninger for konsulentbistand, idet relaterede ydelser i dag varetages af dyre specialister. Det skal igen understreges at det ikke findes muligt at outsource den interne kontrol som helhed idet den uundgåeligt må være en del af de daglige/periodiske arbejdsprocesser, men at det blot er kontrollen af at enkelte komponenter aktivt udøves. 39

41 8. Fordele og ulemper ved implementering af SOX 404 I dette kapitel ses der på fordele og ulemper ved implementering af SOX 404. I litteraturen er der mange bud på fordele og ulemper, i dette kapitel er det valgt at lægge vægt på nedenstående fordele og ulemper, som alle findes i KPMG's rapport The Compliance Journey 76. Disse fordele og ulemper, vil blive forklaret og efterfølgende vil både fordele og ulemper blive diskuteret. Fordele Forbedring af processer Reducering af risici Ændring af kontroller Ulemper Ressourceforbrug ved implementering One time project 8.1 Ulemper I dette afsnit præsenteres ulemperne ved implementering af SOX Ressourceforbrug ved implementering Flere virksomheder, både udenlandske og indenlandske er bekymrede for det ressourceforbrug der hører sammen med implementeringen af SOX 404. De mener ikke at udfaldet af indførelsen af SOX, som gerne skulle være at vinde kapital marked og generere flere investorer, generelt kan opveje de ressourcer der ligger i at rapportere efter SOX 77. Diskussionen går på om mindre virksomheder skal fritages fra at rapportere SOX sektion 404. Mindre virksomheder betegnes af Mr. Greifeld (President og CEO for Nasdaq) som virksomheder med en markedskapital på mindre end 128 mio $ og et resultat på under 125 mio $ 78. Mr. Greifeld skriver yderligere at de mindre virksomheder har langt flere udgifter ved implementering af SOX 404, end det de kan tjene, via investorer, på rapportering af intern KPMG 5. april 2006, Wall Street Journal 27. januar 2006 A Misguided Exemption Wall Street Journal 6. marts 2006 It s time to pull up our SOX 40

42 kontrol. Dog mener Arthur Levitt, Jr. at dette endnu engang ville så tvivl hos investorerne, hvis forslaget om fritagelse fra SOX 404 for mindre virksomheder gennemføres, da han stiller spørgsmål ved, om det ikke netop er de mindre virksomheder som har problemer med intern kontrol pga. at deres størrelse ikke har så mange aktieanalytikere og investorer der holder øje med dem 79. Da ressourceforbruget i forbindelse med implementering af SOX skræmmer flere ikke amerikanske virksomheder, har Mr. Greifeld på et besøg i Kina, Indien og Israel spurgt virksomheder, som arbejder frem mod en dag at blive børsnoterede, om de ville vælge de amerikanske børser, hvilket de klart ville fravælge grundet SOX, i alt ville 90% af de mindre virksomheder foretrække at blive børsnoteret andre steder end på de amerikanske børser grundet SOX 80. Mr. Greifeld mener dog at flere virksomheder der tidligere har valgt andre børser end den amerikanske, er blevet skuffede efterfølgende, da Mr. Greifeld udtaler følgende i sin artikel 81 : Over the years we have also seen major U.S. companies experiment with listing on overseas exchanges, only to be disappointed in the results. I henhold til ovenstående udtalelse, gøres der opmærksom på, at Mr. Greifeld som nævnt er Præsident og CEO for Nasdaq og at han derfor taler meget positivt for SOX, da han ønsker at flere virksomheder bliver børsnoteret på Nasdaq. Det er dog ikke alle der foretrækker at vælge andre børser i stedet for de amerikanske. Novo Nordisk udtaler til Børsen, at de ser implementeringen af SOX som noget positivt, der kan forbedre deres processer internt i virksomheden One time project De større revisionsselskaber har udtalt en del problemstillinger i henhold til SOX 404. KPMG udtaler i en artikel fra deres webside, at de ser den ulempe at virksomhederne ser Wall Street Journal 27. januar 2006 A Misguided Exemption Wall Street Journal 6. marts 2006 It s time to pull up our SOX Wall Street Journal 6. marts 2006 It s time to pull up our SOX Børsen 23. august 2002 Novo støtter skrap USA-børslov, side 6 41

43 implementeringen af SOX 404 som et one time project i stedet for at se det som noget der implementeres og holdes ved lige samt udvikles efterhånden som virksomheden udvikler sig i henhold til resten af verden 83. Hvis virksomheden ser implementering af SOX 404 som et one time project gavner det bestemt ikke investorerne. Frem for hvis virksomheden udvikler den interne kontrol hvert år de offentliggør årsrapporten og uddyber i årsrapporten, hvordan de har formået at vedligeholde dette, vil dette være værdiskabende for investor og åbenheden vil måske tiltrække flere investorer. 8.2 Fordele Ovenfor er ulemperne gennemgået. I dette afsnit ses på fordelene Forbedring af processer I forbindelse med implementering af SOX 404 vil der ofte ske en forbedring, af de processer der eksisterer i virksomheden. Under implementering af SOX 404 kan virksomheden opdage, at mange af de kontroller der eksisterede før i tiden ikke er fyldestgørende nok, ligesom der i nogle tilfælde vil kunne findes processer som ikke fungerer optimalt, hvilket de får muligheden for at rette op på i forbindelse med implementeringen 84. Det er derfor vigtigt når virksomheden investerer ressourcer i implementeringen, at de også vedligeholder og opdatere deres interne kontrol i årene efter, så det bliver en investering for virksomheden og ikke kun en udgift Reducering af risici I forbindelse med forbedring af processerne, ved implementering af SOX 404, kan der også ske en reducering af risici. Risici opstår, hvis medarbejderne er i tvivl om de procedurer virksomheden har og derfor ikke følger reglerne om intern kontrol. Ved implementering af SOX 404 vil virksomhedskulturen ofte blive ændret, og ved hjælp af ERP-systemer vil det mindske risikoen for at begå fejl eller lignende, som beskrevet i kapitel 6. Den interne kontrol KPMG, The Compliance Journey: Balancing Risks and Controls with Business Improvements, KPMG 5. april 2006, The Compliance Journey: Balncing Risks and Controls with Business Improvements, KPMG 27. april 2006, The Compliance Journey making compliance sustainable, side 1 42

44 vil også blive gået bedre efter i sømmene, når ledelsen skal rapportere at der foretages intern kontrol og hvorledes dette foretages. Hvis man får medarbejderen til at forstå meningen med den interne kontrol, bliver der et bedre samarbejde om at nå et godt resultat, med henblik på intern kontrol. KPMG har lavet en Compliance Manual, som rådgiver virksomhederne ved implementering af SOX 404, i denne står hvordan virksomheden reducerer sine risici ved implementering af SOX 404, og efterfølgende forstår at vedligeholde deres interne kontrol, så risiciene forbliver få 86. Det er meget vigtigt at de ansatte forstår vigtigheden af udførelsen af intern kontrol. De ansatte kunne evt. reagere med irritation over forbedring af kontroller, da de måske kunne føle sig overvåget. Det er også i sådan et henseende at det er vigtigt at virksomheden vedligeholder deres interne kontrol, så evt. nye processer også bliver lært af nye ansatte, og de derfor ikke skal igennem de samme implementeringsproblemer flere gange. I nogle tilfælde vil risiciene ikke blive reduceret, men måske blive forværret, hvis eksempelvis organisationens medarbejdere demotiveres af den øgede administrative byrde, som også nævnt i kapitel Ændring af kontroller Ændringen af kontroller ved implementering af SOX 404, hænger meget sammen med reduceringen af risici. Ændres kontrollen til det bedre, som også gennemgået ovenfor, formindskes risiciene også og der opstår større sikkerhed. Som nævnt ovenfor, er det vigtigt at det ikke kun er en ansat der godkender en transaktion, men at det i hvert fald er to eller flere. Ved at bruge IT til at lave et informationsflow er det også nemmere for virksomheden at finde frem til, hvor fejlen blev lavet og hvad der gik galt. Det er umuligt for en leder at holde øje med alle ansatte og derfor kan IT bruges, som en forbedring af kontrollerne, som også nævnt i kapitel Diskussion Ovenstående fordele og ulemper hænger sammen, idet de virksomheder, som forstår at se implementeringen af SOX 404 som en investering ikke længere ser implementeringen som et one time project, og der vil kunne fokuseres på løbende forbedring af kontroller og processer samt reducering af risici. 86 KPMG 5. april 2006, The Compliance Journey: Balncing Risks and Controls with Business Improvements, 43

45 Novo Nordisk udtaler at de ser en fordel ved implementeringen af SOX 404, da de på den måde kunne få fulgt op på processerne i virksomheden og få ændret disse til det bedre 87. TDC udtaler i samme artikel at analysen af love og regler fra SOX 404 kunne være det der voldte problemer i forberedelsen til implementering, men at TDC økonomisk ser det som en investering. I stedet for at se implementeringen af SOX som en fremtidig værdi, ser virksomhederne tit på de økonomiske udgifter lige nu og her. Det drejer sig om at se langsigtet på implementeringen af SOX 404, også for at vedligeholde den interne kontrol, så implementeringen ikke kun ender med at blive en udgift. Problemstillingen omkring de mindre virksomheder, under afsnittet ressourceforbrug, er relevant, og forslaget om mulighed for fritagelse fra SOX 404, kan også vise sig som den bedste løsning da ressourcerne er høje for mindre virksomheder 88. Det betyder at man i USA vil opdele virksomhederne i tre kategorier, små virksomheder som fritages fra SOX 404, mellemstore virksomheder som vil få lempede krav til SOX 404 og store virksomheder som skal følge SOX , det kan sammenlignes med den danske årsregnskabslov vedr. A-B-C-D virksomheder 90. Dog bør man indføre regelsættet for alle børsnoterede eller ingen i henhold til Arthur Levitt, Jr. 91, da han mener at det måske lige netop er de mindre virksomheder som har problemer med deres interne kontroller Børsen 23. august 2002 Novo støtter skrap USA-børslov, side 6 Wall Street Journal 6. marts 2006 It s time to pull up our SOX Wall Street Journal 6. marts 2006 It s time to pull up our SOX Årsregnskabsloven 7 Wall Street Journal 27. januar 2006 A Misguided Exemption 44

46 9. Konklusion Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Der vil nu blive konkluderet på problemformuleringen. Hvert enkelt delspørgsmål i problemformuleringen vil blive besvaret. Ud fra disse besvarelser bliver der til sidst konkluderet på hovedspørgsmålet. Hvordan ændres ledelsens ansvar ved indførelsen af SOX 404? Ved implementering af SOX 404 vil det betyde en ændring i ansvaret for ledelsen. Den eksterne rapportering i virksomheden er ledelsen ansvar, og ved rapportering af den interne kontrol skal ledelsen være helt sikker på, at denne fungerer som beskrevet i årsrapporten. Ledelsen kan gøre brug af Management Report, som øger pålideligheden og investors tillid samt sænker risikoen for at revisor finder betydningsfulde fejl i regnskabet. Med indførelsen af SOX 404 kan denne evt. erstatte Management Report. Spørgsmålet er dog om ledelsen kan finde en måde at omgås SOX 404, ligesom ved brug af Management Report. På baggrund af det brugte materiale konkluderes der at SOX 404 kan være effektiv for at undgå besvigelser på lavere selskabsniveau, hvorimod effekten på topledelsesniveau er mere tvivlsom. Hvad er den organisatoriske effekt ved indførelsen af SOX 404? Virksomheder der skal rapportere i henhold til SOX, vil organisatorisk være påvirket af regelsættet. Virksomheden vil i startfasen mærke et øget arbejdspres, indtil der er oparbejdet en rutine. Virksomheden vil igennem rapporteringen øge investors tillid. Virksomheden kan evt. øge interessen omkring deres aktier, da investor ved at virksomheden skal rapportere i henhold til SOX, sammenlignet med den danske regnskabsvejledning 315, hvor det er frivilligt for virksomheden om den vil rapportere den interne kontrol i årsrapporten. SOX kræver et revisionsudvalg i bestyrelsen. Dette er en ændring i den organisatoriske struktur, da dette ikke kræves af de danske regnskabsvejledninger. På denne måde er der konstant overvågning med virksomhedens bestyrelse, og betydningsfulde fejl vil evt. blive opdaget. Hvilke kulturelle ændringer, vil der være forbundet med implementeringen af SOX 404? Intern kontrol skal udføres i en virksomhed uanset om SOX 404 benyttes eller ej. Såfremt man følger SOX 404 vi man automatisk opfylde RS 315, hvor revisor skal opnå en forståelse for virksomhedens interne kontroller. SOX 404 har en virkning på kulturen idet den stiller 45

47 flere krav til intern kontrol end RS 315, nemlig at de interne kontroller skal rapporteres i årsrapporten. Den specifikke kulturelle effekt kan være at nogle medarbejdere føler sig overvåget i medfør af den øgede kontrol. Derfor er det vigtigt at ledelsen gør formålet, med den øgede kontrol klart, så de ansatte kan se en højere mening med udførelsen af kontrollen. Analyse af potentielle tiltag i udførelsen af den interne kontrol ved implementering af SOX 404? Der findes en række opgaver i forbindelse med udførelsen af den interne kontrol. I analysen blev der fundet frem til, at en del af elementerne, i den interne kontrol, relaterer sig til kontroller der skal udføres i planlægnings- og procesdesignfasen, både lokalt og på koncernniveau. Der blev endvidere givet forslag til hvorledes kontrollen kunne systematiseres gennem strenge periodesafslutningsprocesser. Det må konkluderes at en del vigtige kontroller kan implementeres, som vil gøre det muligt for ledelsen, med større tryghed, at det leve op til ansvaret som en implementering af SOX 404 påkræver. Kan den interne kontrol, som SOX 404 påkræver, med fordel outsources? Generelt kan outsourcing af enkelte komponenter i den interne kontrol være fornuftigt for virksomheden. Ved at vedligeholde den interne kontrol, kan dette i det på længere sigt betyde en reducering af omkostninger og optimering af kontrollen. Hvis virksomheden vælger at outsource stiller det strenge krav til ledelsen, da de skal sørge for at virksomheden har organiseret sig godt, samt at gøre aftalen klar for konsulenterne, så der ikke opstår tvivl. Ledelsen skal støtte tredjeparten, da slutbrugeren kunne opfatte tredjeparten som en begrænsning og ikke en samarbejdspartner. Der pointeres at det ikke er muligt at outsource den intern kontrol som helhed, idet den interne kontrol er en del af de daglige arbejdsprocesser, men at det blot er outsourcing af enkelte komponenter i den interne kontrol. Hvilke fordele og ulemper er der ved implementering af SOX 404 i danske virksomheder? En oplistning af fordele og ulemper skal foretages nuanceret, idet nogle aspekter vil være fordele i nogle sammenhænge og ulemper i andre. Eksempelvis er udgifterne til implementering af SOX 404 en ulempe når det anses som et one time project, men sørger virksomheden for løbende tilpasning af de interne kontroller som krævet i SOX 404, kan 46

48 udgiften anses som en god investering, hvorved det er vendt til en fordel. Fordelen ligger i den værdiskabelse der fremkommer ved forbedring af processer, reducering af risici samt ændring af kontroller. Størrelsen på virksomheden har også betydning for, hvad den enkelte virksomhed ser som en fordel og en ulempe. For en mindre virksomhed med få investorer kan ressourceforbruget måske ikke opfylde værdiskabelsen, derfor er der tale om at dele SOX 404 op i tre grupper, hvor små virksomheder fritages for SOX 404, mellemstore virksomheder får lempede krav til SOX 404 og store virksomheder skal følge SOX 404. Der er nu konkluderet på de seks ovenstående delspørgsmål. Der vil nu blive konkluderet på hovedspørgsmålet i henhold til de seks delspørgsmål. Hvad er implikationerne ved indførelsen af SOX 404 i danske virksomheder? Implikationerne ved indførelsen af SOX 404 er først og fremmest de store organisatoriske ændringer som medfører nye processer og arbejdsgange, medarbejdere der føler sig overvåget, oprettelse af revisionsudvalg i bestyrelsen, udvikling af ERP-systemer til den interne kontrol, evt. outsourcing af kontrollen med den interne kontrol samt ledelsens øgede ansvar i form af øget rapportering. For den mindre virksomhed vil de samme implikationer samt gevinsten ved brugen af SOX 404 ikke være den samme som for større virksomheder. Ovennævnte implikationer vil medføre et øget ressourceforbrug, både arbejdsmæssigt og omkostningsmæssigt. Implikationerne skulle gerne føre til værdiskabelse i fremtiden. Hvis virksomheden løser ovenstående implikationer efterhånden, samt efterfølgende vedligeholder de nye arbejdsgange og processer i forbindelse med den øgede interne kontrol, kan værdiskabelsen blive opfyldt. 47

49 10. Perspektivering Gennem opgaven ses der SOX 404 fra ledelsens side, samt hvilke ændringer indførelsen af reglen vil medføre for ledelsen og dens ansvar. Alternativt kunne der ses på SOX 404 fra revisors side, der ligeledes er anderledes fra reglerne man kender i Danmark i dag. Et centralt punkt i SOX for revisor, er reglen om en Audit Report - en revision vedrørende Management Report, samt revidere og vurdere effektiviteten af den interne kontrol af virksomhedens finansielle rapportering. Typisk skal revisor bedømme den interne kontrol, og i revisorerklæringen kommentere og konkludere om hvorvidt den interne kontrol af de finansielle rapporteringer er effektiv eller ej. Hvis der findes fejl eller mangler ved den interne kontrol, der kan betyde misinformation i årsregnskabet, vil revisor konkludere kontrollen som ineffektiv. For at kunne frembringe en konklusion vil revisor se, hvorledes den givne virksomhed behandler og registrerer økonomiske oplysninger baseret på dens transaktioner i regnskabsperioden, til forberedelse og offentliggørelse af årsregnskabet 92. Det er et væsentligt tiltag for revisor, at skulle gennemføre yderligere revision og konkludere på disse. Man kunne forestille sig at situationen typisk ville være, at revisor inden offentliggørelsen gennemfører revisionen og finder potentielle fejl eller mangler, og dermed giver mulighed for ledelsen til at ændre på forholdene. Virksomheden og ledelsen er ikke interesseret i, at revisor offentliggør en erklæring på årsrapporten hvori den interne kontrol konkluderes som værende ineffektiv. I det henseende vil der komme mere fokus på revisors rolle og dennes samspil med virksomheden i forhold til dagen i dag. Netop dette er blandt andet hvad hensigten med SOX 404 er i relation til revisor. Som nævnt tidligere i opgaven, vil der være en teoretisk mulighed for ledelsen for at undgå de interne kontroller, og dermed stadig kunne manipulere med regnskabet som set tidligere. Dette kunne også tænkes gældende for revisor. Der er dermed lagt et større ansvar på revisor mht. til besvigelser i kundens virksomhed i forhold til offentligheden. Selve processen for revisor ved revisionen af den interne kontrol er dybdegående. Sandsynligvis vil revisor have været indblandet ved indførelsen af SOX i den enkelte virksomhed, og dermed også være godt bekendt med forholdene i virksomheden. SOX 404 skal gennemarbejdes igennem flere virksomhedsniveauer, og det er da derfor også en klar fordel for såvel revisor som virksomhed, at revisoren har været blandt aktørerne ved indførelsen. Ved en virksomheds overvejelse som SOX, er det nævnt tidligere i opgaven, væsentligt at 92 Perspectives on Internal Control Reporting A resource for Financial Market Participants, December

50 vurdere omkostningen ved det. Afhængig af størrelsen af virksomheden, vil omkostningerne naturligvis også variere, men en virksomhed som Novo Nordisk der netop har fået blåstemplet deres SOX, er omkostningerne store, og man skal også forvente en vis effektivitet af den nye kontrol. Ved en mindre virksomhed er det derfor også tvivlsomt, om SOX overhovedet er relevant. Yderligere efter de kendte vurderingerne af SOX 404 blandt amerikanske virksomheder, hvor det er nævnt at effektiviteten af SOX 404 er højest på lavere virksomhedsniveau. På højere plan kan effektiviteten være lavere, og dermed er det tvivlsomt om omkostningerne for selskabet kan betale sig. Formålet med 404 var blandt andet, at undgå besvigelser på ledelsesplan og i forhold til revisor. Man kan næsten udelukke mindre virksomheder fra SOX 404, da det næppe er nødvendigt på nuværende tidspunkt. Med en udvidelse og mere specifik SOX 404, kan det blive aktuelt senere hen. I SOX 404 s nuværende form, henvender den sig til større selskaber og koncerner, men den som er nu, hvor den mest rammer lavere virksomhedsniveauer, er det også et diskussionsemne om den er relevant på nuværende tidspunkt. SOX i helhed vil med tiden sandsynligvis blive revideret, og senere tiltag kan opgradere forventningerne, og ikke mindst effektiviteten blandt et bredere virksomhedsfundament. 49

51 11. Litteraturliste Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Litteratur Titel Accounting Information Systems Forfatter Gelinas, Ulrich J; Sutton, Steve G; Hunton, JamesE. Udgave 6 Årstal 2005 Titel Årsrapporten Kommentarer til årsregnskabsloven Forfatter Johansen, Aksel Runge; Damgaard, Jens Otto; Steffensen, Henrik Udgave 4 Årstal 2003 Titel Rapport om god selskabsledelse i Danmark 2005 Forfatter Københavns fondsbørs komité for god selskabsledelse Udgave Årstal Maj 2005 Titel Nørby-udvalgets rapport om Corporate Governance i Danmark Forfatter Corporate Governance, Erhvervs- og Selskabsstyrelsen Udgave 1. udgave 1. oplag ISBN Årstal 2001 Titel Revisionsstandard RS 315 Forfatter FSR s revisionstekniske udvalg Udgave ISBN Årstal Marts 2005 Titel Revisionsstandard RS 330 Forfatter FSR s revisionstekniske udvalg Udgave ISBN Årstal Marts 2005 Titel Form 20 F Forfatter Novo Nordisk A/S Udgave Vedrørende indkomståret 2005 Årstal Titel Form 20 F Forfatter TDC A/S Udgave Vedrørende indkomståret 2004 Årstal 50

52 Titel Grundbog i kvalitetsstyring og måleteknikker Forfatter Jørgen Møltoft, Palle Drachmann, Kai Hansen, N.C. Jensen, K.E. Jensen, Bent Kjeldal, Per Steen Kristensen, Valter Loll, Hans Henrik Ploug, Carl Aage Dahl Winther Udgave 2. udgave, 1. oplag Årstal 1996 Titel The Compliance Journey Forfatter KPMG Udgave Årstal 2004 Artikler Titel Fire empiriske undersøgelser om udbredelsen af Enterprise Risk Management Forfatter Axelsen, Henrik; Rothaus, Bjørn Dato Revision og Regnskabsvæsen Februar 2006 Titel Intern Revision og Revisors uafhængighed Forfatter Fabricius, Ole Dato Revision og Regnskabsvæsen Februar 2006 Titel Ændrer risiko- og kontroludviklingen inden for Corporate Governance den eksterne revisors rolle Forfatter Birkholm Laursen, Peter; Holm, Claus Dato Revision og Regnskabsvæsen Marts 2006 Titel Rapportering om forretningsmæssige ricisi i årsrapporten Forfatter Kofoed, Henrik; Fauerskov, Henrik Dato Revision og Regnskabsvæsen Marts 2006 Titel Perspectives on Internal Control Reporting - A Resource for Financial Market Participants Forfatter Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP Dato December 2004 Titel Sarbanes-Oxley Act Paragraf 404 Forfatter PricewaterhouseCoopers, Dato Titel Internal Control over Financial Reporting - An Investor Resource Forfatter Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP Dato December 2004 Titel Corporate Governance og Revisor. konsekvenser af aktuelle corporate gorvernance indsatser Forfatter T. Riise Johansen, CBS Dato

53 Titel Novo støtter skrap USA-børslov Forfatter Esben Bull og Jens Kristian Lai Dato Børsen 23. august 2003 Titel It's Time to Pull Up Our SOX Forfatter Bob Greifeld Dato Wall Street Journal 6. marts 2006 Titel A Misguided Exemption Forfatter Arthur Levitt, Jr. Dato Wall Street Journal 27. januar 2006 Links Virksomhed Sarbanes-Oxley Act Section 404 Link Dato Virksomhed Link Dato Virksomhed Link Dato Virksomhed Link Dato Virksomhed Link Dato Virksomhed Link Dato Virksomhed Link Dato U.S. Securities and Exchange Commission (SEC) Corporate Governance Novo Nordisk A/S TDC A/S Rigsrevisionen God revisionsskik 52

54 Virksomhed Link Dato Retsinfo - revisorlovgivning Virksomhed KPMG Link Dato Hentet 5. april Virksomhed Link Dato Novo Nordisk A/S 53