Copenhagen Business School CMA eksamensprojekt revision 2006 Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Vejleder: Kurt Keldebæk Rasmussen Gruppe 32: Mai-Brit Bergholt ****** Søren H. Madsen ****** Erling Kyed ****** Daniel Malmskov ******
Indholdsfortegnelse 1. Introduktion... 3 2. Problemformulering... 4 3. Metode... 6 3.1 Struktur... 6 Figur 3.1: Struktur... 6 3.2 Dataindsamling... 7 3.2.1 Valg af dataindsamlingsmetode... 7 3.2.3 Forberedelse til dataindsamling... 8 4. Ledelsens ansvar... 10 4.1 Indførelse af Sarbanes-Oxley Act sektion 404... 10 4.1.1 Beskrivelse... 10 4.1.2 Idéen med SOX 404... 11 4.1.3 SOX 404 i forhold til Europa... 12 4.2 Ledelseserklæring... 13 4.2.1 Management Report... 13 4.2.2 Nytte for regnskabsbrugeren... 14 4.3 Opsamling... 15 5. Den organisatoriske effekt... 17 5.1 Hvor stor skal virksomheden være?... 17 5.1.1. USA... 17 5.1.2. Danmark... 17 5.2. Skal der oprettes en speciel intern kontrol afdeling?... 18 5.2.1 Organisationens størrelse... 18 5.2.2 Branchen... 19 5.2.3 Informationsværdien... 19 5.3 Auditudvalg i bestyrelsen... 19 5.3.1. USA... 19 5.3.2 Danmark... 20 5.4 Den kulturelle effekt ved indførelsen af SOX 404... 21 Figur 5.1: Deming cirklen - egen tilretning... 22 5.4.1 Medarbejderne... 22 5.5 Fremskaffelsen af kapital... 23 1
5.6 Opsamling... 24 6. Udførelsen af den interne kontrol... 26 6.1 Indledende om udførelsen af den interne kontrol... 26 6.2 Fokus på udvalgte kritiske kontroller... 26 6.2.1 Funktionsadskillelse... 26 6.2.2 Godkendelsesprocedurer... 28 6.2.3 Procesdokumentation... 30 6.2.4 Kontrolspor og kontrol af posteringsmønstre/valideringer på konti... 31 6.2.5 Integrerede periodiske kontroller... 32 6.3 Opsamling af udførelsen af intern kontrol... 32 7. Outsourcing af intern kontrol... 33 7.1 Generelt... 33 7.2 Fordeling af ansvar... 33 Figur 7.1: Deming cirklen - egen tilretning... 34 Figur 7.2: Outsourcing... 35 7.3 Opgavespecifik kontrol... 35 7.4 Hvem kan løse opgaven?... 36 7.5 Fordele og ulemper ved outsourcing... 37 7.5.1 Fordele ved outsourcing... 37 7.5.2 Ulemper ved outsourcing... 38 7.6 Opsamling på outsourcing af komponenter i intern kontrol... 38 8. Fordele og ulemper ved implementering af SOX 404... 40 8.1 Ulemper... 40 8.1.1 Ressourceforbrug ved implementering... 40 8.1.2 One time project... 41 8.2 Fordele... 42 8.2.1 Forbedring af processer... 42 8.2.2 Reducering af risici... 42 8.2.3 Ændring af kontroller... 43 8.3 Diskussion... 43 9. Konklusion... 45 10. Perspektivering... 48 11. Litteraturliste... 50 2
1. Introduktion Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder I 2002 blev Sarbanes-Oxley Act vedtaget som et nyt regelsæt, gældende i USA. Danske selskaber der enten er forbundet koncernmæssigt med et selskab der er børsnoteret på de amerikanske børser, eller selv er børsnoterede på amerikanske børser, skal efterleve dette regelsæt. Sarbanes-Oxley Act er et regelsæt der stiller krav til nøjagtighed og troværdighed i de informationer, som selskaberne, der er underlagt regelsættet, skal aflægge til offentligheden. Senator Paul Sarbanes og repræsentant Michael Oxley fik vedtaget Sarbanes-Oxley regelsættet den 30. juli 2002. Grunden til at Sarbanes-Oxley Act (SOX) opstod, var en række erhvervsskandaler bl.a. Enron, WorldCom, Waste Management mf. Formålet med SOX er at beskytte investorerne, da virksomheden bliver tvunget til at offentliggøre en vurdering af den interne kontrol til investorerne. Det er hensigten at offentliggørelse af de informationer som regelsættet påkræver og det at revisor skal lave en påtegning på at oplysningerne er korrekte, vil bevirke at virksomheden og revisoren oplyser offentligheden korrekt. SOX 404 er en af de mange regler der blev vedtaget i 2002 ved offentliggørelsen af SOX. SOX 404 omhandler den interne kontrol i virksomheden og offentliggørelse af denne. Det påkræves i SOX 404 at virksomhedens ledelse skal offentliggøre den interne kontrol, med revisors påtegning om at ledelsen offentliggør korrekt information i forbindelse med hvert års årsrapport. Som hele det øvrige regelsæt er det for investors skyld at informationen om intern kontrol offentliggøres, da investor herved får tillid til virksomhedens regnskab 1. SOX er som hovedregel ikke lovpligtig i Danmark, men da mange danske virksomheder enten er forbundet med virksomheder der er registreret, eller selv er registreret på de amerikanske børser er SOX også relevant for mange danske virksomheder. I Danmark er der allerede vejledninger, lovgivning og anbefalinger til intern kontrol som dækker dele af samme områder som SOX 404, her tænkes på Regnskabsvejledningerne 240, 315, 330 og 500, Årsregnskabsloven 54 og 56 2 samt Nørby-udvalgets rapport om Corporate Governance 3. Det er med udgangspunkt i SOX 404 og de danske vejledninger, love og anbefalinger at opgaven udarbejdes. 1 2 3 Http://www.aicpa.org/info/sarbanes_oxley_summary.htm (section 404) Årsregnskabet teori og regulering, Jens O. Elling Nørby-udvalgets rapport om Corporate Governance i Danmark Anbefalinger for god selskabsledelse I Dnamrk, 1. udgave, 1. oplag. 3
2. Problemformulering I dette kapitel opstilles problemformuleringen. Problemformuleringen kommer til at bestå af et hovedspørgsmål samt delspørgsmål til opklaring af opgavens problem. Formålet med opgaven er en analyse af implementeringen af SOX 404 i danske virksomheder. Specifikt vil der blive set på konsekvensen for ledelsens ansvar samt den organisatoriske effekt ved den reelle udførelse af kontrollen i henhold til SOX 404. Endeligt vil fordelene og ulemperne ved indførelse af SOX 404 i danske virksomheder blive opstillet og diskuteret. På baggrund af ovenstående opstilles følgende problemformulering: Hvad er implikationen ved indførelsen af SOX 404 i danske virksomheder? For at besvare ovenstående spørgsmål ønskes følgende delspørgsmål besvaret: I. Hvordan ændres ledelsens ansvar ved indførelse af SOX 404? II. Hvad er den organisatoriske effekt ved indførelsen af SOX 404? A. Hvilke kulturelle ændringer, vil der være forbundet med implementeringen af SOX 404? III. Analyse af potentielle tiltag i udførelsen af den interne kontrol ved implementering af SOX 404? A. Kan den interne kontrol, som SOX 404 påkræver, med fordel outsources? IV. Hvilke fordele og ulemper er der ved implementering af SOX 404 i danske virksomheder? 4
Afgrænsning Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Med fokus på SOX 404 og dennes relation til især ledelsen og virksomheden vil, den ellers meget interessante diskussion omkring revisorens forpligtelser og ansvar i forbindelse med rapporteringen fra en sådan virksomhed ikke blive behandlet i denne fremstilling. Generelt lægges fokus ikke på de eksterne interessenter, hvorfor den forandrede situation for investorer og offentlige instanser ikke bliver behandlet. Den politiske baggrund for SOX initiativet og den mere makroanalytiske diskussion i relation til eventuelle tiltag i DK og/eller EU bliver ikke behandlet i store træk, udover en løbende sammenligning og perspektivering til de i Danmark allerede eksisterende regler og retningslinier. Dog vil det ikke være et primært fokus for denne rapport at analysere disse regler og retningslinier. Det er ej heller formålet med opgaven at diskutere hvorvidt der er brug for samme juridiske regelsæt i virksomheder noteret på Fondsbørsen i Danmark, hvorfor dette udelades. Den praktiske interne kontrol der bør udøves i SOX virksomheden vil blive behandlet i et relativt overordnet omfang idet en tilsvarende fremstilling kunne fokuseres alene på enkelte tiltag. Dog har vi vurderet at de vigtigste opgaver i denne relation skal behandles for at give forståelse for impacten i virksomheden. 5
3. Metode Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Metodeafsnittet er udarbejdet for at læseren kan se en struktur over opgaven samt hvilke dataindsamlingsmetoder der er valgt til besvarelse af opgavens spørgsmål. Da der gøres brug af et empirisk grundlag i opgaven er der ikke noget teoretisk grundlag. Indsamlingen af data vil derfor blive brugt til diskussion i opgaven omkring implementering af Sarbanes Oxley Act 404. 3.1 Struktur Strukturen viser opgavens opbygning, så læseren kan få et overblik over der kapitler projektet indeholder. Introduktion Problemformulering Metode Analyse Ledelsens ansvar Fordele/ Ulemper Organisatorisk Effekt Udførelse kontrol Konklusion Perspektivering Figur 3.1: Struktur 6
3.2 Dataindsamling Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Med udgangspunkt i problemformuleringens fastlagte spørgsmål beskrives i dette afsnit, hvilken dataindsamlingsmetode det er valgt at benytte til analyse af Sarbanes Oxley Act 404. 3.2.1 Valg af dataindsamlingsmetode Ifølge Yin 4 findes der i alt fem dataindsamlingsmetoder, alle listet nedenfor: Survey Eksperimenter Historiske beretninger Case studie Arkiv analyse Ifølge Yin er tre faktorer afgørende for valget af dataindsamlingsmetode. For det første har det betydning hvilke spørgsmål der ønskes besvaret i problemformuleringen. For det andet bør det klarlægges, om der er kontrol over de fænomener, der ønskes observeret, og for det tredje bør det fastlægges, om der fokuseres på nutidige fænomener. Survey Surveys benyttes bl.a. til klarlæggelse af sammenhængen mellem et antal variable i et undersøgelsesområde. Dette gøres ved udarbejdelse af et spørgeskema, hvori undersøgelsesvariablerne specificeres. Disse spørgeskemaer udsendes herefter til et antal informanter der udfylder og returnerer dem. Efterfølgende foretages en statistisk analyse af besvarelserne. Eksempelvis kunne der udarbejdes et spørgeskema til danske virksomheder som er pligtige til at anvende Sarbanes Oxley Act (SOX). Ved at tage udgangspunkt i nogle bestemte mekanismer, kunne man lave supplerende spørgsmål, hvor den enkelte medarbejder kunne svare på om de oplevede en ændring i virksomheden under/efter indførelsen af SOX 5. En benyttelse af Surveys ville dog også betyde at visse informationer ikke kan indhentes. Det er nemlig oftest ikke muligt ud fra et spørgeskema at få uddybet overraskende svar. Alt i alt ville en survey-undersøgelse ikke resultere i noget nyt, men højst be- eller afkræfte det allerede kendte. 4 5 Case Study research, s. 6 Case Study research, s. 5 7
Eksperimenter Eksperimenter udføres med henblik på at manipulere fænomenets adfærd 6, da vores projekt skal være en analyse af SOX 404 og ikke har til hensigt at manipulere SOX 404, er denne metode uhensigtsmæssig i henhold til projektet. Historiske beretninger Brug af analyse ved hjælp af historiske beretninger er at foretrække, når der ikke er adgang til informationer omkring de eller det specifikke fænomen på anden måde. Denne analyse bør derfor kun benyttes når der er tale om bestemte historiske analyser som ikke kan genskabes 7. Da projektet arbejder med et nutidigt fænomen, er denne metode udelukket. Case Studier Case studier foretages ved undersøgelser af midlertidige fænomener, hvor der ikke manipuleres med fænomenernes adfærd. Case studier udføres ved brug af flere forskellige informationskilder såsom dokumenter, objekter/genstande, interviews og observationer, samt hvad der ud over dette er tilgængeligt af information 8. Da projektet har til formål bl.a. at analysere ledelsen i danske virksomheder med henblik på implementering af SOX 404, vurderes det at case-studie ville være den mest brugbare dataindsamlingsmetode til projektets analyse. Dog vurderes det at den begrænsede tidsramme for projektet bevirker at et dybdegående case-studie, af en eller flere casevirksomheder, ikke vil være muligt. Arkiv analyse Den sidste af Yin's dataindsamlingsmetoder er arkiv analyse. Ved arkiv analyse forstås informationsindsamling i bred forstand, dog indsamles data ikke i casevirksomheder, men eksempelvis i andres beretninger, hvilket udgør forskellen mellem case-studiet og arkiv analyse 9. Det er valgt at benytte arkiv analyse, idet dette findes passende til projektets omfang og tidsramme. 3.2.3 Forberedelse til dataindsamling Da vi nu har valgt arkiv analyse er vores næste skridt at forberede selve dataindsamlingen. Dette kan både være primær og sekundær data. I det følgende vælges der blandt primær- og 6 7 8 9 Case study research, s. 8 Case study research, s. 8 Case study research, s. 8 Case study research, s. 5 8
sekundære datakilder 10. Intern kontrol og implementering af Sarbanes-Oxley i danske virksomheder Primær- og sekundær data I opgaven vil gøres brug af kvalitativ data i form af sekundær data. Primær data gør sig gældende i ustrukturerede og semistrukturerede interviews og observationsteknikker, der kendetegner et case-studie. Der vil som beskrevet ovenfor ikke gøres brug af primær data i opgaven. Sekundær data gør sig gældende i dokumenter, nedskrevne standarder, breve, resultater fra tidligere undersøgelser mm. I projektet gøres der brug af sekundære datakilder i form af artikler, rapporter, nedskrevne standarder osv. Da disse data ikke er opstillet af projekt gruppen selv, som et interview eksempelvis ville være, tillægges data en anden værdi. Dette skyldes at der ofte er tale om rådata der ikke kan tolkes, eksempelvis en nedskreven standard som SOX 404 eller at data allerede er tolket af andre, som et eksempel kunne nævnes tidligere udførte analyser. I denne situation er det en klar fordel at benytte så mange forskellige kilder som muligt for at bevisliggøre opstillede teser. I dette afsnit blev det besluttet at gøre brug af arkiv analyse samt sekundær data. 10 Den skinbarlige virkelighed, Ib Andersen, s. 194-195 9
4. Ledelsens ansvar I dette kapitel beskrives og kommenteres det fornyede ledelsesansvar, som SOX 404 medfører i den enkelte virksomhed. SOX 404 som helhed kommenteres, men der bliver lagt vægt på ledelsens position mht. den interne kontrol af den finansielle rapportering. Derudover vil revisors processer omkring revision af de interne kontroller blive beskrevet overordnet. De faktiske og tekniske processer omkring indførelsen vil ikke blive beskrevet. 4.1 Indførelse af Sarbanes-Oxley Act sektion 404 4.1.1 Beskrivelse SOX 404 af Sarbanes-Oxley Act fra år 2002, har sat nye standarder for interne kontroller i virksomhederne og for præsentationen af virksomheden til offentligheden, oven på skandalerne i begyndelsen af årtusindet med bl.a. energiselskabet Enron som en af de største sager. Med SOX 404 er der lagt et større pres på ledelsen i virksomhederne, som står i en position med et bredere ansvar for virksomheden og dens fremtid. Denne amerikanske lovgivning sætter med stor styrke fokus på intern kontrol og processer, og har medført store administrative konsekvenser for det givne selskab. Et tiltag i SOX 404 er bl.a., at der kræves en officiel ledelsesvurdering af de interne kontroller over de finansielle rapporteringer, i forlængelse af offentliggørelsen af virksomhedens årsregnskab. Som sidestykke til denne vurdering kræves der også en revision og vurdering fra den uafhængige revisor, af de interne kontroller og effektiviteten af disse samt af ledelsens kontrolvurdering, (Management Report bliver gennemgået i et senere afsnit og Auditors Report beskrives i noten 11 ). Sarbanes-Oxley Act sektion 404 er et væsentligt fremskridt i forsøget på, at gøre pålideligheden i årsregnskaber og rapporter større, og dermed også øge gennemskueligheden for bl.a. investor 12. Den generelt øgede fokusering på intern kontrol i virksomhederne forårsages bl.a. af, at flere ledelser har fået øjnene op for mulighederne heri. Mere fokuserede og veludviklede interne kontroller arbejder for, at ledelsen kan optimere processer på stort set alle niveauer i den enkelte virksomhed, med henblik på minimering af fejl, og forøgelse af sandsynligheden for 11 12 Auditors Report: Revisor skal vurdere ledelsens vurdering af effektiviteten af de interne kontrol og risikoen for eventuelle fejl i regnskabet grundet mangler eller fejl i de interne kontroller og processer. Yderligere skal revisor ligeledes vurdere effektiviteten af kontrollerne uafhængigt af ledelsens (Auditing Standard No. 2), jf. Perspectives on Internal Control Reporting - A Resource for Financial Market Participants, December 2004. Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP. Perspectives on Internal Control Reporting - A Resource for Financial Market Participants, December 2004. 10
at opdage eventuelle fejl. Yderligere er det lovgivningsmæssigt sandsynligt, at man i de europæiske lande indenfor den nærmeste fremtid følger op på de amerikanske standarder 13. SOX omfatter primært kun de amerikanske selskaber, mens datterselskaber eller selskaber der er omfattet af den amerikanske børs også bliver omfattet, og skal have implementeret reglerne inden 2007. At SOX direkte implementeres indenfor EU er dog ikke givet, men det europæiske samarbejde er ligeledes opmærksomme på fokuseringen på intern kontrol 14. Det er projektgruppens forventning, at det indenfor et kort tidsrum hvis ikke allerede - er alment anerkendt og påkrævet, at der sættes større fokus på intern kontrol i den enkelte virksomhed, og derfor er der også tendenser til i dag, at direktioner og bestyrelser så småt vælger at være på forkant med situationen. 4.1.2 Idéen med SOX 404 På baggrund af de store skandaler i starten af årtiet, ønskes der nu en mere sikker kontrol af virksomhederne og deres ageren i forhold til offentligheden. Formålet med paragraf 404 af den i år 2002 Kongres-bestemte Sarbanes-Oxley Act er bl.a., at øge opdagelsesrisikoen for svig og fejl i virksomhederne. Man ønsker en større sandsynlighed for, at eventuelle fejl, bevidste som ubevidste, opdages og der dermed efterfølgende kan handles på disse opdagelser. Paragraf 404 centrerer sig omkring kontrollen og processen af de finansielle rapporteringer. Det er formålet at støtte integriteten og pålideligheden af disse og de eksterne rapporteringer i forhold til omverdenen. Det er ikke formålet med paragraf 404, at give officielle vurderinger eller rapporter om selve virksomhedens formåen i den branche, eller i de generelle operative processer etc., men primært omkring virksomhedens gøren og vurdering omkring de finansielle rapporteringer. Ledelsen skal designe og implementere et system i virksomheden, der pålideligt kan evaluere den interne kontrol over de finansielle rapporteringer mv. i virksomheden. Et effektivt system der sikkert kan frembringe de oplysninger, som ledelsen skal danne deres årlige vurdering på i henhold til Paragraf 404 og COSO 15. Det forventes, med en løbende ledelseskontrol på virksomhedens finansielle poster, at der for 13 14 15 Sarbanes-Oxley Act Paragraf 404. PricewaterhouseCoopers, www.pwcglobal.com Corporate Governance og Revisor. konsekvenser af aktuelle corporate gorvernance indsatser, T. Riise Johansen, CBS, 2006. COSO: Committee of Sponsoring Organizations of the Treadway Commission. COSO har opstillet rammer for behandling af intern kontrol for virksomheden og revisoren, og definerer den interne kontrol i forhold til generel virksomhedsstyring, lov og regulering, samt for finansiel rapportering, Se: Perspectives on Internal Control Reporting - A Resource for Financial Market Participants, appendix II, December 2004. 11
virksomheden skabes en mere sikker og troværdig finansiel rapportering, og dermed øges investorernes tillid til virksomheden og dens publicerede regnskab 16. Disse systemer der ønskes designet og indført i den enkelte virksomhed af direktioner, bestyrelser og den generelle daglige ledelse, vil dog aldrig være fuldkommen fejlfrie. Dvs. at hvis virksomhedsledelsen fremkommer med en offentlig årlig vurdering, der afkræfter enhver form for mangler eller fejl ved de interne kontroller, og dermed konstatere minimal usikkerhed ved årsregnskabet, skal man alligevel have et forbehold. Det er meningen med paragraf 404 for ledelsen at opnå en så høj og fornuftig sikkerhed ved de interne kontroller som muligt. Et effektivt system vil dog stadig ikke kunne opnå total sikkerhed, da man ikke kan se bort fra eventuelle menneskelige fejl eller bevidst manipulation 17. 4.1.3 SOX 404 i forhold til Europa De generelle formål med SOX 404 kan genkendes i de europæiske lovgivninger og anbefalinger til årsrapporter fra offentlig myndigheder, jf. eksempelvis Turnbull-vejledningen i Storbritannien og Erklæringsbekendtgørelsen i Danmark 18. Turnbull foreskriver en generel vurdering af alle typer kontroller og en overordnet beskrivelse af intern kontrol i virksomheden skal fremgå af årsrapporten 19. I EU-regi foreskrives der en beskrivelse af det interne kontrolsystem i virksomhederne med hensyn til direktiverne, men ligesom i Danmark, er der fokus på de interne kontroller med henblik på den finansielle rapportering og pålideligheden af denne. Dette er indbygget i SOX 404, og denne adskiller sig direkte fra europæiske standarder ved at kræve deciderede ledelses- og revisorerklæringer om effektiviteten af den interne kontrol. De nuværende danske anbefalinger, skelner mellem risikostyring og decideret intern kontrol. Der gås videre fra at skulle overvåge den interne kontrol med hensyn til finansiel rapportering, men at de interne kontroller ligeledes også bør gennemgås og vurderes årligt, men uden at komme med erklæring i forbindelse med årsrapporten. 16 17 18 19 Internal Control over Financial Reporting - An Investor Resource, December 2004. Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP. Jf. også PCAOB (Public Company Accounting Oversight Board) Standard No. 2 (For den uafhængige revisor): Erklæringsbekendtgørelsen 22 stk.2. Yderligere: Fondsbørsens Komités anbefaling VII.3, og RS240. Corporate Governance og Revisor. konsekvenser af aktuelle corporate gorvernance indsatser, T. Riise Johansen, CBS, 2006. 12
4.2 Ledelseserklæring 4.2.1 Management Report Den årlige erklæring fra ledelsen, må siges at være det helt centrale element i SOX 404 i forhold til investor og offentligheden generelt. Det er her, at ledelsens vurdering fremkommer, og skal konkludere om hvorvidt virksomhedens interne kontrol over den finansielle rapportering er effektivt eller ikke, og dermed om investor kan sætte sin tillid til det offentliggjorte regnskab. SOX 404 foreskriver, at ledelsen skal fremkomme med en vurdering af virksomhedens interne kontroller i forbindelse med offentliggørelsen af årsrapporten. SOX 404 er opdelt i to dele; for virksomhedsledelsen hhv. den uafhængige revisor. Ifølge Sarbanes-Oxley, skal ledelsen fremkomme med en vurdering, der skal:...state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting. Contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting. 20 Vurderingen skal som minimum indeholde erklæring om ledelsens ansvar for at oprette og vedligeholde en tilstrækkelig intern kontrol af den finansielle rapportering, samt erklæring der identificerer rammerne ledelsen anvender for evalueringen af effektiviteten af denne kontrol. Yderligere skal ledelsen identificere eventuelle svagheder i kontrollen, samt bekræfte at virksomhedens uafhængige revisor har revideret og kommenteret ledelsens interne kontrol i en officiel erklæring (Auditors Report). Ledelsen skal bekendtgøre hvorvidt den interne kontrol over den finansielle rapportering er effektiv eller ineffektiv. Hvis der forefindes væsentlige svagheder i den interne kontrol, er ledelsen pålagt at indikere dette i vurderingen, samt en uddybende præcisering af de eventuelle problemer og betydningen af disse. En ledelse vil typisk og naturligt undgå at fremkomme med potentielle eller faktiske svagheder i en officiel erklæring, og derfor foreskriver SOX 404, at hvis der er væsentlige svagheder eller bare én - i den interne kontrol, der kan påvirke årsregnskabet, skal dette oplyses objektivt, også selvom ledelsen ikke ønsker dette offentliggjort. Investor og andre regnskabsbrugere skal danne deres egen 20 Sarbanes-Oxley Act Section 404, www.sarbanes-oxley.com 13
konklusion på de givne oplysninger fra virksomhedens ledelse 21. Hvis virksomheden opdager en væsentlig svaghed i den interne kontrol af den finansielle rapportering, skal ledelsen i samspil med den uafhængige revisor evaluere denne. Ledelsen må bekendtgøre dette i vurderingen, og erklære den interne kontrol ineffektiv. Afhængig af situationen må ledelsen i detaljer kommentere problemet, og af- eller bekræfte eventuelle usikkerheder i årsrapporten. Dette er naturligvis ikke hensigtsmæssigt for virksomheden, at bekendtgøre eventuelle usikkerheder i regnskabet. Det er derfor også nødvendigt for ledelsen, at få indarbejdet et effektivt system, som løbende i regnskabsåret kan opsamle og vurdere oplysninger mv. til brug for ledelsen. Med et vedvarende og fungerende system, har ledelsen mulighed for at opdage og reagere på eventuelle svagheder eller fejl, inden den årlige officielle vurdering, og dermed afkræfte potentiel usikkerhed. Hvis der findes en væsentlig svaghed i kontrollen, er det dog alligevel ikke et faktum, at dette betyder større usikkerhed i regnskabet. En given svaghed i den interne kontrol af den finansielle rapportering medfører ikke per automatik fejl i årsregnskabet, men dette betyder at der kan være mulighed for det, og det må ledelsen bekendtgøre i forbindelse med årsrapporten. Ledelsen bør også overveje resultatet af revisors rapport på effektiviteten af de interne kontroller, og genoverveje sin vurdering af disse, hvis revisors rapport ikke stemmer overens med ledelsens egen vurdering. Hvis tilfældet er, at revisor opdager fejl i regnskabet, kan det indikere fejl i de interne kontroller, og ledelsen bør herefter reagere på dette, inden offentliggørelsen af regnskabet. 4.2.2 Nytte for regnskabsbrugeren Et af formålene med paragraf 404, er at skabe større sikkerhed for investorerne i forhold til svig og misinformation i virksomhedernes regnskaber. For investorer og andre regnskabsbrugere, er det årlige regnskab, præsenteret af virksomheden, en af de vigtigste informationskilder vedrørende virksomheden. Det er derfor også vigtigt for fremtidige investeringer, at regnskaberne præsenteres med en tilfredsstillende grad af sikkerhed og pålidelighed. I forhold til præsentationen af regnskaberne som vi kender dem i dag (i DK), er der som nævnt en væsentlig forskel i Management Report. Her har brugeren en mulighed for at danne deres egen vurdering af virksomhedens interne kontroller af den finansielle rapportering, og 21 Perspectives on Internal Control Reporting - A Resource for Financial Market Participants, December 2004. Internal Control over Financial Reporting - An Investor Resource, December 2004. 14
dermed deres egen vurdering af sikkerheden og pålideligheden i årsrapporten. Hvis virksomheden og ledelsen heri ikke finder nogle væsentlige fejl eller mangler i de interne kontroller, og dermed konstaterer disse effektive, samt at den uafhængige revisor bekræfter dette, står regnskabsbrugeren med et bedre udgangspunkt for vurderingen af virksomheden. Men hvis virksomhedens ledelse erklærer kontrollerne ineffektive, og derfor må uddybe grundlaget for denne erklæring, har regnskabsbrugeren en bedre mulighed for at danne sin egen vurdering af regnskabet og virksomheden som helhed. Det er her, at investoren får mest ud af tiltaget, Management Report. Ledelsen vil så vidt muligt ønske og arbejde for, trods den erklærede ineffektivitet, at nedvurdere alvorligheden og konsekvenserne af ineffektiviteten. Grunden til ineffektiviteten i den enkelte situation ikke nødvendigvis er af afgørende betydning for regnskabet, har den eksterne bruger af regnskabet nu et værktøj til, at vurdere regnskabet og skabe sin egen opfattelse af betydningen, og dermed udnytte regnskabet til højst mulig individuel nytte. 4.3 Opsamling Sarbanes-Oxley Act er omfattende og omkostningsfyldt at få indført i en given virksomhed eller selskab. SOX 404 er kun en del af lovgivningen, men dog en af de mest omdiskuterede og centrale dele. For ledelsen har og vil det betyde ændringer i ansvaret i den eksterne rapportering for virksomheden. Management Report er helt central her, og er et klart element i forsøget på at øge pålideligheden og investors tillid, samt at sænke sandsynligheden for, at betydningsfulde fejl i regnskaber ikke opdages af revisor. Selve det at skulle indføre SOX 404 er et projekt i sig selv, da fuldt effektivitet kræver reglerne gennemført igennem hele virksomheden og dens processer. Reglen arbejder for at undgå at besvigelser ikke opdages fra bunden til toppen af virksomhedsniveauerne. Det giver ledelsen yderligere et tungt ansvar, at få gennemført ændringer som disse i traditionelle processer i virksomhedens og få dens ansatte til at forstå vigtigheden af denne implementering. SOX 404 anses af mange som et stærkt middel mod skandaler som dem man oplevede i starten af årtusindet, men midlet er ikke nødvendigvis nok. Det er ofte blevet diskuteret, om SOX 404 er nok til at ramme de højere niveauer i selskaberne, dér hvor de store besvigelser typisk stammer fra bestyrelser og ledelse. Man kan spekulere i om en given ledelse ikke alligevel vil kunne omdirigere virksomhedens interne kontroller på den ene eller anden måde, så revisor stadig ikke vil kunne opdage væsentlige fejl i regnskabet. SOX 404 anses derfor også blandt mange, som værende et middel mod besvigelser på lavere selskabsniveauer og 15
ikke omkring ledelsesniveauer, dette synspunkt deles desuden af T. Riise Johansen 22. 22 Arbejdspapir til Corporate Governance og Revisor konsekvenser af aktuelle corporate governance indsatser, T.Riise Johansen, CBS, 2006. 16
5. Den organisatoriske effekt I dette kapitel ses der på, hvad der påvirker danske selskaber organisatorisk ved implementering af SOX 404. SOX 404 sammenlignes med den nuværende danske regnskabslovgivning samt relevante revisionsstandarder. 5.1 Hvor stor skal virksomheden være? 5.1.1. USA Der arbejdes ikke med størrelse af virksomheder i Sarbanes-Oxley act. Sarbanes-Oxley Act er en lov som har pålagt U.S. Securities and Exchange Commission (SEC) at indarbejde bl.a. SOX 404 i regnskabsaflæggelseslovgivningen. Der er dog i USA debat om der ikke bør være en opdeling af selskaberne, så de mindre virksomheder undtages helt fra SOX 404 eller kun skal opfylde den i begrænset omfang. Der har i debatten 23 blandt andet været opereret med at mindre virksomheder som har en omsætning på under 125 millioner dollars, svarende til (kurs 6) 750 millioner danske kr., skal fritages fra SOX 404. 5.1.2. Danmark I henhold til revisionsstandard RS 315 skal revisor opnå en forståelse af virksomheden og dens omgivelser herunder virksomhedens interne kontroller, der er tilstrækkelig til at identificere og vurdere risiciene for væsentlig fejlinformation i regnskabet 24 og revisionsstandard RS 330 kræver at revisor udformer og udfører yderligere revisionshandlinger, herunder test af kontrollernes funktionalitet 25. Revisionsstandarderne er ikke egentlig lovgivning, men vejledninger til revisorerne om hvordan de kan revidere og udføre det der kaldes god revisionsskik 26. Revisionsstandarderne er udarbejdet af FSR's 27 Revisionstekniske udvalg og er via udtrykket God revisionsskik skrevet ind i lovgivningen via LOV nr. 302 af 30/04/2003 om 23 24 25 26 27 It's Time to Pull Up Our SOX, Wall Street Journal RS 315 Forståelse af virksomheden og dens omgivelser og vurdering af risici for væsentlig fejlinformation punkt 2 RS 330 Revisors handlinger som reaktion på vurderede risici - punkt 2 http://www.rigsrevisionen.dk/composite-609.htm Foreningen af Statsautoriserede Revisorer 17
statsautoriserede og registrerede revisorer i 2 stk. 2 28. Selskaberne er ikke, lovgivningsmæssigt, underlagt revisionsstandarderne. Men selskabernes revisorer skal følge revisionsstandarderne, da det er god revisionsskik, og god revisionsskik er en del af lovgivningen om revisorers arbejde. Dermed bliver det et krav til selskaberne, at de har den interne kontrol, så revisor kan få en forståelse af denne og teste dens funktionalitet. Der er altså ingen krav i USA eller Danmark til hvor store selskaberne skal være før de skal udføre den interne kontrol, men blot det faktum at de er selskaber der skal revideres. 5.2. Skal der oprettes en speciel intern kontrol afdeling? I foregående afsnit fandt vi ud af at selskaber i USA og Danmark skal udføre intern kontrol, men bør selskaberne også have en egentlig afdeling til at afhjælpe den intern kontrol? Der er ikke noget i SOX eller i dansk lovgivning m.v. der foreskriver, hvornår der skal oprettes afdelinger for intern kontrol. Det er op til virksomhederne og de forhold de har internt i virksomheden, eller den branche de arbejder i, der kan være afgørende. Nedenstående forhold kan have indflydelse på, hvornår et selskab skal oprette en egentlig afdeling for intern kontrol. 5.2.1 Organisationens størrelse Organisationens størrelse kunne være en målestok for, hvornår der skulle oprettes en afdeling for intern kontrol. De interne kontroller i selskaberne skal forekomme i henhold til revisionsstandarderne og SOX, da det er nødvendigt at de interne kontroller bliver kontrolleret samt at de interne kontroller overholdt og at der bliver taget hånd om eventuelle omgåelser af reglerne. I mindre organisationer vil det være en afdelingsleder eller lignende, der vil kontrollere medarbejderne som vedkommende har under sig, men efterhånden som organisationen vokser vil den interne kontrol skulle vedligeholdes, dette kan evt. medføre et større arbejdspres. Ved at oprette en afdeling for intern kontrol, skulle udviklingen af de interne kontroller i 28 http://www.retsinfo.dk/_getdoci_/accn/a20030030230-regl 18
forbindelse med en virksomhed der vokser, kunne glide nemmere. Afdelingen for intern kontrol ville også mindske den enkelte leders overvågning af medarbejderen. En anden fordel ved at oprette en afdeling for intern kontrol vil være at lederen, der skal kontrollere sine medarbejdere, ikke kan indgå aftaler med underordnede, omkring omgåelser af den interne kontrol og derefter forsøge at skjule dem. Denne risiko er der selvfølgelig også ved at have kontrollen i en egentlig afdeling, men her arbejder kontrollant og kontrollerede ikke direkte sammen. 5.2.2 Branchen Selskabernes arbejdsområde eller branche kunne også være årsagen til at der skulle oprettes en afdeling for intern kontrol. Intern kontrol skal først og fremmest være præventivt, men også kvalitetssikrende. Den finansielle sektor er nok den branche hvor afdelinger for intern kontrol mest åbenlyst vil havde deres berettigelse. Talrige eksempler på at ansatte har taget af kassen eller lånt af kontohavere i pengeinstitutter, gør at branchen har en intern kontrol ud over det sædvanlige. Danske Banks interne revisionsafdeling ville, for eksempel, være det ottende største revisionsinstitut i Danmark hvis det var et selvstændigt firma 29. 5.2.3 Informationsværdien Informationsværdien af at have en afdeling for intern kontrol kunne også være en medvirkende årsag til at oprette afdelingen. Informationsværdien skal forstås på den måde, at hvis selskabet har en afdeling for intern kontrol, kan investorer og långivere/kreditorer opfatte selskabet som mere sikkert, da den interne kontrol vil være mere omfattende, da selskabet har en afdeling der kun tager vare på intern kontrol. Dette vil måske betyde at selskabet vil have lettere ved at oprette lån og at der er flere der er villige til at investere i selskabet og give selskabet et godt ry. 5.3 Auditudvalg i bestyrelsen 5.3.1. USA Som en del af SOX er det blevet indført at virksomhederne skal have an audit committee eller på dansk et revisionsudvalg. Det vil sige at bestyrelsen ikke har et andet valg end at 29 Udtalt af chefen for den interne kontrol i Danske Bank, på seminardag om Intern Kontrol/Intern Revision på CBS 19