Hvad betyder oplysningskravene for din virksomhed?

Transkript

1 Risikostyring og interne kontroller oplysningskrav i EU s 4. og 7. direktiv Hvad betyder oplysningskravene for din virksomhed? Marts 2009

2 2009 PricewaterhouseCoopers. PricewaterhouseCoopers betegner det netværk af virksomheder, der er omfattet af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt og uafhængig juridisk enhed. Alle andre varemærker, som nævnes i dette indstik, tilhører de respektive ejere. PricewaterhouseCoopers tager forbehold for tryk- og/eller skrivefejl. M&C

3 Oplysningskrav i EU s 4. og 7. direktiv De ændrede krav i EU s 4. og 7. direktiv, der vedrører risikostyring og interne kontroller, omtales til tider med den korte betegnelse EuroSox. Betegnelsen er primært skabt af medierne, men har nogle ligheder med den amerikanske Sarbanes- Oxley lovgivning. Regelsættet er dog mere uformelt og er fokuseret på at skabe god corporate governance praksis. Det er en del af et langsigtet EU initiativ møntet på harmonisering af lovgivningen om risikostyring og interne kontroller inden for EU. Europa-Parlamentets og Rådets direktiv 2006/46/EF af 14. juni 2006 (ændringer til 4. og 7. direktiv) anfører i Artikel 46a: 1. Et selskab, hvis værdipapirer er optaget til handel på et reguleret marked skal medtage en redegørelse for virksomhedsledelse i sin årsberetning. Denne redegørelse skal medtages som et særligt afsnit i årsberetningen og skal mindst indeholde følgende oplysninger: c)... en beskrivelse af hovedelementerne i selskabets interne kontrol- og risikostyringssystemer i forbindelse med dets regnskabsaflæggelsesprocedure. Gennemførelsen af ovenstående ændringer til 4. og 7. selskabsdirektiv er implementeret i dansk lov ved Folketing -ets vedtagelse af ændringer af årsregnskabsloven den 3. juni Det fremgår således af den ny årsregnskabs -lov 107 b) at virksomheder bl.a.: b) skal beskrive hovedelementerne i virksomhedens interne kontrol- og risikostyringssystemer i forbindelse med virksomhedens regnskabsaflæggelse. Hvornår træder lovændringen i kraft? Ændringen til årsregnskabsloven er trådt i kraft 1. sep tember 2008, og har som udgangspunkt virkning for regnskabs år, der begynder den 1. september 2008 eller senere. Hvem er omfattet af lovændringen? Børsnoterede virksomheder og statslige aktieselskaber, bortset fra datterselskaber, er direkte omfattet af lovændringen, men andre virksomheder kan med fordel følge samme krav som et element i god selskabsledelse. Hvordan griber virksomheden det an? Beskrivelsen af virksomhedens interne kontrol- og risikostyringssystemer i ledelsesberetningen (og/eller på virksomhedens hjemmeside) skal være relevant og pålidelig og tage afsæt i de hovedelementer, som virksomheden bygger sine interne kontrol- og risikostyringssystemer på. Virksomheden skal sikre, at den fornødne dokumentation for de beskrevne hovedelementer er tilstede; f.eks. politikker og procedurer i relation til risikostyring og interne kontroller i forbindelse med regnskabsaflæggelsen. Inden virksomheden påbegynder beskrivelsen af hovedelementerne, bør virksomheden revurdere virksomhedens nuværende systemer for at sikre, at de er designet på en effektiv måde og fungerer optimalt. Erfaringer fra Sarbanes-Oxley implementeringer kan være nyttige at inddrage for at opnå den mest omkostningseffektive og optimale løsning for virksomheden. PricewaterhouseCoopers 3

4 Hvad forstås ved hovedelementer? Der stilles ikke nærmere krav i loven til indhold af redegørelsen, da best practice udvikles løbende. Detaljeringsniveauet der kræves i redegørelsen er derfor ikke helt klart, men beskrivelsen bør dog fokusere på virksomhedens handlinger i forbindelse med regnskabsaflæggelsesprocessen. Hvad angår regnskabsaflæggelsen fremhæves det af Foreningen af Statsautoriserede Revisorer (FSR), at begrebet vedrører hele processen fra modtagelsen af bilag og registrering heraf i bogholderiet til udarbejdelse af årsrapporten. Strategi & mål Driftsmæssige aktiviteter - Performance og indtjening - Beskyttelse af ressourcer Organisatorisk succes Driftsmæssig effektivitet Virksomhed Forretningsenheder Forretningsenheder FSR fremfører desuden, at det kan være relevant at beskrive bl.a. ledelsens involvering i regnskabsaflæggelsen, controlling aktiviteter mv. Da der pt. ikke findes mere detaljerede retningslinjer for indhold af redegørelsen, bør virksomheden drage nytte af erfaringerne fra Sarbanes-Oxley, hvilket støttes af interessenterne i EU-landene og fremgår af en analyse foretaget af den europæiske revisororganisation (FEE) 1). Ved Sarbanes-Oxley er COSO s 2) anerkendte begrebsramme for intern kontrol den mest anvendte, men for at afdække både risikostyring og interne kontroller kan virksomheden også overveje at anvende COSO s Enterprise Risk Management (ERM) begrebsramme. Denne har større fokus på interne kontroller som en integreret del af risk management 3). Andre begrebsrammer for rapportering af intern kontrol og risikostyring kan findes i den engelske Turnbull Cadbury Report og den canadiske Criteria of Control Committee model 4). Desuden er det vigtigt, at virksomheden sikrer, at dens interne kontrol- og risikostyringssystemer faciliterer driftsmæssig effektivitet samt har sammenhæng til virksomhedens strategi og mål, for derved at skabe et solidt grundlag for virksomhedens succes. Denne tilgang er illustreret ved modellen til højre, som virksomheden med fordel kan tage udgangspunkt i. Regnskabsaflæggelse - Udarbejdelse af pålidelig regnskabsinformation Compliance - Overholdelse af love og regulativer Overvågning Information & kommunikation Kontrolaktiviteter Kontrolmiljø Risikovurdering 1) Analysis of Responses to FEE Discussion Paper on Risk Management and Internal Control in the EU (FEE, 2006). 2) Committee of Sponsoring Organisation. 3) COSO s ERM begrebsramme erstatter ikke COSO s oprindelige intern kontrol begrebsramme, men indarbejder intern kontrol og løfter dermed intern kontrol op på et højere niveau ved at tilfredsstille virksomhedens behov for effektive kontroller og effektiv risk management. 4) Turnbull Cadbury Report (kendt som The Combined Code of Corporate Governance i England) og The Canadian Criteria of Control Committee model (kendt som COCO i Canada). 4 PricewaterhouseCoopers

5 Hvordan kan PricewaterhouseCoopers hjælpe? Virksomheden står naturligt overfor en række spørgsmål i forbindelse med oplysningskravene i den ny årsregn-skabslov 107 b). PricewaterhouseCoopers kan ved vores mangeårige erfaring med og viden om interne kontroller og risikostyring hjælpe med at afklare spørgsmål som nedenstående: Hvad menes der med risikostyring og hvordan etableres et effektivt system? Hvordan skal risikostyringen dokumenteres? Hvilke risici er der i regnskabsaflæggelsesprocessen? Hvordan sikrer vi at vores risici ved regnskabsaflæggelsesprocessen er behørigt afdækket? Hvad er et intern kontrol system? Hvordan etableres et intern kontrolsystem eller hvordan optimerer vi det eksisterende? Hvor mange interne kontroller er nødvendige? Hvad med IT? Hvordan skal vi dokumentere kontrollerne? Hvordan sikrer vi at kontrollerne er effektive? Er kontrollerne omkostningseffektive? Er processerne omkring regnskabsaflæggelse optimeret i forhold til mål og risici? Skal vi teste om kontrollerne bliver udført? Er det relevant med intern revision? Hvad skal der oplyses i ledelsesberetningen? PricewaterhouseCoopers kan assistere virksomheden med at dokumentere, implementere og optimere de interne kontrol- og risikostyringssystemer. Dette vil skabe værdi for orga nisationen, således at virksomhedens udbytte ikke udelukkende er opfyldelse af et lovkrav. Vi kan desuden hjælpe med organisering af og deltagelse i et eventuelt projekt. Hvad er udbyttet for virksomheden? Ved at tage en holistisk tilgang til intern kontrol og risikostyring får virksomheden ikke kun værdifuldt input til beskriv else af interne kontrol- og risikostyringssystemer i ledelsesberetningen, men får også: Vurdering af modenheden og kompleksiteten af virksomhedens nuværende interne kontrol- og risikostyring Identificering af primære områder for forbedring samt oversigt over potentialerne for at opnå øget effektivitet Rådgivning vedrørende etablering af en effektiv proces til styring af risici og kontroller, herunder styring af ændringer Øget sammenhæng mellem risici og kontrolaktiviteter Øget fokus på intern kontrol som en løsning på mulige problemer og uhensigtsmæssigheder i regnskabsaflæggelsen Øget overblik over processer vedrørende regnskabsaflæggelsen gennemsigtighed og fokus på svagheder Mere effektivitet i processer flere værdiskabende aktiviteter og mulighed for optimering af kontroller Reducering af fejl og mangler i regnskabsaflæggelsesprocessen. Eksempel på beskrivelse af interne kontrol- og risikostyringssystemer Kontrolmiljø Ansvar og beføjelser er defineret i bestyrelsens instruktioner til direktionen, politikker, procedurer og kodeks. Bestyrelsen godkender virksomhedens primære politik for kommunikation, treasury- og finanspolitik og risikostyring samt virksomhedens kodeks for forretningsførelse. Direktionen godkender andre politikker og procedurer og de ansvarlige funktioner udsteder retningslinjer og fører tilsyn med anvendelsen af alle politikker og procedurer. Der er etableret systemer, der sikrer behørig funktionsadskillelse i regnskabsafdelingen. Den organisatoriske struktur og interne retningslinjer udgør kontrolmiljøet. PricewaterhouseCoopers 5

6 Risikovurdering Der er relativt større risiko for fejl ved de poster i regnskabet, der er baseret på skøn eller genereres gennem komplekse processer, end for andre poster. En detaljeret risikovurdering med det formål at identificere disse poster og angive omfanget af de forbundne risici koor di neres af virksomhedens interne revision (eller Com pliance-funktion). Kontrolaktiviteter Målet med kontrolaktiviteterne er at forhindre, opdage og korrigere eventuelle fejl og uregelmæssigheder. Aktiviteterne er integreret i virksomhedens regnskabs- og rapporteringsprocedurer og omfatter blandt andet procedurer for attestation, autorisation, godkendelse, afstemning, analyser af resultater, adskillelse af uforenelige funktioner, kontroller vedrørende IT applikationer og de generelle IT kontroller. Virksomheden har indført standarder for intern kontrol, dvs. standarder for kontrolaktiviteter vedrørende regnskabsaflæggelsen. Alle risikovurderinger og tilhørende kontroller har sammenhæng til virksomhedens strategi og mål. Information og kommunikation Virksomheden opretholder informations- og kommunikationssystemer for at sikre, at regnskabsaflæggelsen er korrekt og fuldstændig. Virksomhedens bogføringsregler og -procedurer for regnskabsaflæggelsen fremgår af en regnskabsmanual. Regnskabsmanualen og andre rapporteringsinstruktioner opdateres, herunder budget- og måneds afslutningsprocedurer, når det er nødvendigt, og gennemgås mindst én gang om året. Disse er sammen med andre politikker, der er relevante for intern kontrol vedrørende regnskabsaflæggelsen, såsom politik for kreditgivning og anlægsinvesteringer, tilgængelige på virksomhedens intranet for alle økonomimedarbejdere samt andre relevante medarbejdere. 6 PricewaterhouseCoopers Overvågning Virksomheden anvender et omfattende økonomisystem til overvågning af selskabets resultater, som gør det muligt på et tidligt tidspunkt at opdage og korrigere eventuelle fejl og uregelmæssigheder i regnskabsaflæggelsen, herunder konstaterede svagheder i de interne kontroller, manglende overholdelse af procedurer og politikker mv. Overholdelsen af regnskabsmanualen overvåges løbende på koncern- og regionsniveau. Kontakt Rasmus Friis Jørgensen Partner Dir. tlf.: Mobil: [email protected] Lars Engelund Partner Dir. tlf.: Mobil: [email protected] Jess Kjær Mogensen Partner Telefon: Mobil: [email protected] Jesper Parsberg Madsen Partner Telefon: Mobil: [email protected] Kristina Tauber Wiese Senior Manager Dir. tlf.: Mobil: [email protected] Mirella Hansen Senior Manager Dir. tlf.: Mobil: [email protected]

7

8