Magma topp logo Til forsiden Econa

T. Flemming Ruud, PhD og statsautorisert revisor, professor ved Handelshöyskolen BI, Universität Zürich og Universität St. Gallen i Sveits

Intern styring og kontroll i et bredere forretningsfokus - eller begrenset til finansiell rapportering?

Krisene i en rekke internasjonale selskaper (Ahold, Enron, Parmelat, Worldcom med flere) rundt tusenårsskiftet førte til mange endringer i selskapslovgivningen i mange land. Innføringen av Sarbanes-Oxley-loven (SOX-loven) i USA medførte eksempelvis betydelige konsekvenser for krav til intern kontroll over regnskapsrapportering, endringer i eierstyring (corporate governance), bekjempelse av økonomisk kriminalitet og dessuten skjerpede krav til uavhengighet og kvalitetskrav for revisorer.

At lovgivningen også omfattet utenlandske selskaper notert på NYSE, gjorde at den fikk en «ekstraterritorial effekt», det vil si at den fikk konsekvenser for selskaper utenfor landet der loven var vedtatt. Slik lovgivning er uvanlig og utløste følgelig en rekke reaksjoner. Mange internasjonale selskaper, herunder også Norsk Hydro og Telenor, har trukket seg fra børsene i USA. Dels ble dette begrunnet med at kravene til selskapene økt betydelig, og dels ble det begrunnet med at omsetningen på børsen var lav.

Et av lovkravene i SOX som har fått betydelige konsekvenser, er kravet til utforming av såkalt intern kontroll for finansiell rapportering. Mange selskaper undervurderte konsekvensene av denne lovendringen, og undersøkelser viser at kostnadene i forbindelse med kravet beløp seg til hundrevis av millioner (se også nedenfor).

Fordelene med og nytten av å fokusere mer på intern kontroll for finansiell rapportering kan dokumenteres, og denne artikkelen viser resultatene av en undersøkelse vi gjorde i Sveits for 13 selskaper som er notert på amerikanske børser. Det stilles likevel ofte spørsmål ved om ikke dette arbeidet ble overdrevet, og dessuten ved om lovgivningen treffer riktig og om man oppnår målsettingen. I lys av den nåværende og tiltagende finansielle krisen verden over er det betimelig at det stilles spørsmål ved om kravene til intern kontroll var de riktige og de tilstrekkelige tiltakene. De enorme tapene som følger av dårlige strategiske valg og andre feilbeslutninger i banker og andre selskaper, indikerer i alle fall at intern kontroll som foreskrevet med hensyn til regnskapsrapporteringen i beste fall har hatt en begrenset nytte. Muligens har kravet til en slik kontroll dessuten gitt en form for falsk sikkerhet for at drifts- så vel som regnskapsrapportering er tilstrekkelig.

En gjennomgang av hva intern kontroll egentlig kan bidra med, er interessant å analysere mer i dybden. Her kan det også stilles spørsmål ved hvor godt forskjellige selskapsfunksjoner som ofte er beskrevet som annen- eller tredjelinjeforsvar fungerer, og funksjoner som risikostyring, compliance, internrevisjon med videre er i denne sammenheng verd å analysere.

Dette bidraget tar opp konsekvenser av endrede lovkrav, herunder hvordan intern kontroll hensiktsmessig kan struktureres og bygges opp. I denne sammenheng omtales både fordeler og ulemper med spesifikk lovregulering av intern kontroll.

1. Regulatorisk utgangspunkt

Etter vedtak av SOX sommeren 2002 og krav om etterlevelse fra og med 2006 er utenlandske selskaper notert på amerikanske børser (såkalte foreign private issuers) forpliktet til å overholde SOX-loven. I Norge gjelder dette nå bare Statoil. Tidligere var også Telenor og Norsk Hydro børsnotert i USA. Paragrafene «Section 302» og «Section 404» står særlig sentralt. Disse forlanger at daglig leder og finansdirektør (CEO og CFO) plikter å organisere interne kontrolltiltak over finansielle rapporteringen. Ledelsen påtar seg gjennom dette eksplisitt ansvaret for balanse og resultatregnskap, og den har ansvaret for å bekrefte at disse er fullstendige og utarbeidet i henhold til regelverket. Deres eksistens og funksjonsdyktighet skal bekreftes i en egen rapport fra ledelsen, og denne skal igjen bekreftes av en ekstern revisor som en del av revisjonsarbeidet.

I Europa ble det 8. selskapsdirektiv endret med virkning fra og med 2008. En del tilsvarende temaer som i SOX ble også drøftet, men ikke med hensyn til intern kontroll for finansiell rapportering. Norge plikter å implementere 8. direktiv, men bygger for øvrig på bestående lovregler om formuesforvaltning og intern kontroll. Aksjeloven beskriver eksempelvis styrets ansvar i § 6-12 tredje ledd at «Styret skal holde seg orientert om selskapets økonomiske stilling og plikter å påse at dets virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende kontroll». Videre tillegges daglig leder oppgaver, og loven foreskriver at «Daglig leder skal sørge for at selskapets regnskap er i samsvar med lov og forskrifter og at formuesforvaltningen er ordnet på betryggende måte» (§ 6-14 fjerde ledd).

Etter revisorloven § 5-1 skal «Revisor vurdere om årsregnskapet er utarbeidet og fastsatt i samsvar med lov og forskrifter, og om den revisjonspliktiges ledelse har oppfylt sin plikt til å sørge for registrering og dokumentasjon av regnskapsopplysninger i samsvar med lov og forskrifter. … Revisor skal se etter at den revisjonspliktige har ordnet formuesforvaltningen på en betryggende måte og med forsvarlig kontroll. … Revisor skal gjennom revisjonen bidra til å forebygge og avdekke misligheter og feil». Videre krav følger under § 5-5 Revisors plikter.

I disse lovkravene ligger tilstrekkelig veiledning for å fokusere på at ledelsen og styret er ansvarlig for korrekt regnskapsutarbeidelse og -fastsettelse, og at revisor skal etterprøve dette. En tilsvarende forsterkning av disse kravene som i SOX er derfor i utgangspunktet unødvendig for Norge. Kravene i EUs 8. direktiv strammer uansett kravene noe.

For å få et innblikk i hvordan intern kontroll skal forstås, beskriver det følgende avsnittet forskjellige definisjoner og drøfter hvilken nytte foretak kan trekke ut av systemer for intern kontroll.

2. Hva er intern kontroll – i forbindelse med finansiell rapportering?

Intern kontroll kan defineres på forskjellige måter, men den oftest nevnte og mest brukte definisjon ble publisert av the Commission of Sponsoring Organisation of the Treadway Committee i 1992 – etter en lang rekke konkurser i banker og andre selskaper på 1980-tallet:

Intern revisjon er en prosess, iverksatt av styret, ledelsen og annet personale, for å gi rimelig grad av sikkerhet for måloppnåelse innen følgende kategorier:

– Målrettet og effektiv drift

– Pålitelig finansiell rapportering

– Etterlevelse av lover, forskrifter og regler

(Internal Control – An Integrated Framework)

Som det fremgår, setter definisjonen av intern kontroll søkelyset ikke bare på finansiell rapportering, men også på målrettet og effektiv drift samt etterlevelse. En interessant sammenligning er at SOX i sine krav til intern kontroll kun fokuserer på «intern kontroll for finansiell rapportering». Denne innsnevringen kan være formålstjenlig for regnskapene. Et betimelig spørsmål er dog om et videre perspektiv med øvrige aspekter av COSOs definisjon av intern kontroll kunne bidratt til å unngå mange av de problemstillingene som banker og andre selskaper i dag står overfor.

Andre definisjoner av intern kontroll støtter også opp under at det kan være hensiktsmessig å utvide perspektivet. Den kanadiske revisorforeningen for eksempel tok utgangspunkt i COSO-definisjonen, men bearbeidet denne for nettopp å fokusere mer på organisasjonens behov.

Control comprises those elements of an organization (incl. its resources, systems, processes, culture, structure and tasks) that, taken together, support people in the achievement of the organization’s objectives.

(Criteria on Control, Canadian Institute of Chartered Accountants, 1996)

Den internasjonale internrevisorforeningen fokuserte tilsvarende mer på risikohåndtering.

Any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved.

(The Institute of Internal Auditors, 2002)

I forbindelse med definisjoner av intern kontroll er det verd å merke seg at alle de tre definisjonene fokuser på sannsynligheten for måloppnåelsen på forskjellige områder. Som vi var inne på ovenfor, hadde SOX et snevert syn på intern kontroll, mens intern kontroll generelt sett ser drift og etterlevelse som integrerte målkategorier. Man kan også stille seg spørsmålet om det i det hele tatt lar seg gjøre å se målsettingen for finansiell rapportering separat uten de to øvrige målkategoriene. Enhver regnskapsrapportering er jo en refleksjon av det som skjer i operative prosesser.

Spesielt i dagens turbulente finansmarkeder ville et videre perspektiv på måloppnåelsen innen strategi, drift og etterlevelse sikkert gitt ledelsen og styret et annet utgangspunkt enn SOX gjorde. Som det fremgår av figur 1, er fokuset i SOX Section 302 og 404 mye smalere enn slik intern kontroll vanligvis forstås, og i forhold til de anerkjente internasjonale rammeverkene for intern kontroll (COSO, kanadiske Criteria of Control eller det britiske Turnbull) har de et mye bredere perspektiv enn det SOX har. 1 Rammenverkene dekker, ved siden av de SOX-fokuserte tiltakene for finansielle rapporteringen, også begge målkategoriene målrettet og effektiv drift og etterlevelse (compliance) av lover, forskrifter og interne normer og retningslinjer. 2

figur

Hva er da ønskelig og nødvendig for at selskaper skal nå målene sine – både innen drift, regnskapsrapportering og etterlevelse av lover, regler og standarder? Det følgende avsnittet presenterer noen resultater av en studie vi gjennomførte av effekter og konsekvenser av innføringen av SOX i 13 sveitsiske børsnoterte selskaper.

3. Resultater og erfaringer fra sveitsiske selskaper notert på amerikanske børser

3.1 Organisatoriske aspekter

SOX førte til at selskapene gjennomførte prosjekter hvor de vurderte, utbedret og dokumenterte intern kontroll – spesielt for regnskapsrapporteringen. SOX-prosjektene ble som oftest koordinert av en sentral funksjon som avstemte aktuelle og relevante prosesser med hverandre. Videre var denne funksjonen ansvarlig for å utvikle et totalkonsept hvor SOX-kravene omsettes med hensyn til metoder, infrastruktur, rapporteringsprosess og opplæring av medarbeidere. 3 En undersøkelse vi gjennomførte av de 13 børsnoterte selskapene i Sveits som etterlever SOX-lovgivningen, viser at prosessene i selskapene gjennom SOX-prosjektet i større grad er blitt sentralisert.

Sentralisering av retningslinjer og policyer gir fordeler med hensyn til å ha en enhetlig forståelse som fremmer kommunikasjonen innen konsernet. Sentrale retningslinjer underbygges uavhengig med standardisert oppfølging av innføring og gjennomføring. En optimal utforming forutsetter at det blir tatt hensyn til de lokale behovene, og at man kan desentralisere utvalgte prosesser. I tillegg må tilstrekkelige insentiver stilles til rådighet slik at de ansvarlige personer rapporterer mangler og svakheter innenfor sine områder til rett nivå.

3.2 Omfang og utforming

Prosjektene har ført til betydelige finansielle, tidkrevende og organisatoriske konsekvenser. 4 Et eksempel i størrelsesorden av et SOX-prosjekt er det børsnoterte selskapet Adecco som eksempelvis regnet med rundt 200 000 arbeidstimer for interne og eksterne tjenester for førstesertifiseringen sin i 2006. Om disse tallene virker høye, så ligger Adecco til sammenligning med andre US benchmarks i nedre tredjedel når det gjelder kostnader. Ciba beregnet tidsforbruket i 2005, altså før første sertifisering, til rundt 27 000 arbeidstimer og vurderte tilleggskostnadene av SOX til rundt NOK 25 millioner. 5 Norsk Hydro, Statoil og Telenor rapporterte også om høye kostnader ved innføringen av SOX.

De forespurte foretakene oppgir at minst 50–70 % av tidsforbruket i SOX-prosjektene går med til målsettingen finansiell rapportering. Avhengig av situasjon og tilgjengelige ressurser brukes øvrig tid til bearbeidelse av tiltak for intern kontroll av operative prosesser og etterlevelse. Da de tre målkategoriene i henhold til COSO henger sammen og ofte er vanskelige å skille fra hverandre, er det ikke mulig å gi en nøyaktig beskrivelse. Som vi har sett ellers i artikkelen, hadde det å fokusere på de øvrige målkategoriene muligens gitt bedre resultater.

SOX inneholder dessuten en rekke videre bestemmelser som selskapene må etterleve. Eksempler er bestemmelser knyttet til forhold utenfor balansen (Section 401), meldeplikt (Section 409), styre og revisjonskomité (Audit Committee) (Section 204, 301, 407, 402), innsidehandel (Section 306, 403), etikkodex (Section 406) og varslere (Whistleblowers, Section 806).

3.3 Vurdering av prosessene

Control Self Assessment (CSA) er en utbredt metode for å evaluere prosessene ved at medarbeiderne som er direkte involvert, selv forestår vurderingene. Metoden består av forskjellige egenevalueringsformer som spørreskjemaer, intervjuer eller såkalte«Self Assessment Workshops». 10 av 13 SOX-pliktige selskaper bruker ofte CSA, hovedsakelig da spørreskjemaer. 6 Fordelene med CSA er blant annet bedre og mer intensiv kommunikasjon, læreeffekt for medarbeidere, forsterket samarbeid og bedre forståelse for kompleksiteten av egne systemer og prosesser. En ulempe med CSA kan være at det blir tatt for lite hensyn til eksterne ideer.

Kravene i SOX Section 404 omfatter mange enkelte styrings- og kontrolltiltak for å øke troverdigheten av finansregnskapet. Særlig i testfasen fører dette til en betydelig kostnad. 9 av 13 selskaper mener testene er for omfattende.

3.4 Tiltak

Direktive eller styrende tiltak er tiltak som foreskriver ønsket oppførsel, mens preventive tiltak forhindrer uønskede hendelser, for eksempel funksjonsdeling og fysisk kontroll med eiendeler. Oppdagende tiltak avdekker bestående mangler og svakheter, og korrigerende tiltak bringer situasjonen tilbake til slik man ønsker at den skal være, gjennom for eksempel dataanalyser, fysisk varetelling eller gjennomgang av kontrollrapporter. 7 Seks selskaper legger mest vekt på direktive tiltak, fire selskaper tillegger styrende tiltak like mye vekt som oppdagende tiltak, mens tre foretak legger mest vekt på avdekkende tiltak.

Så vel styrende som avdekkende tiltak kan være manuelle eller automatiserte. Automatiske tiltak er integrert i systemene og består av automatiserte avstemminger eller foreskrevne arbeidsbeskrivelser. Manuelle kontrollaktiviteter er for eksempel gjennomgang av medarbeiderlister eller en sammenligning med nye forskrifter. Slikt gjennomføres av forskjellig funksjoner, mens automatiserte systemer styres sentralt. 11 av 13 selskaper forventer økt automatisering og med det betydelige kostnadsinnsparinger.

3.5 Sertifisering av prosesser som er outsourcet

Globalisering fører ofte til at funksjoner outsources til utlandet. For å sikre den finansielle rapporteringen må ifølge SOX den eksterne tjenesteleverandøren sertifiseres. Eksempelvis kan dette skje ved såkalt SAS 70-godkjenning som følger av den amerikanske Statement on Auditing Standards 70. 8 Det finnes forskjellige muligheter for å gjennomføre en sertifisering. Godkjennes ikke en ordning gjennom SAS 70-sertifisering, må selskapet gjennomføre egne tester (f.eks. inngangs- og utgangskontroller). Bare 4 av de 13 undersøkte selskapene angir at de har hatt små eller ingen vanskeligheter ved sertifisering av outsourcede tjenester, mens 8 selskaper hadde store utfordringer med dette.

3.6 Dokumentasjon

Kravene til dokumentasjon og formalisering har økt betraktelig med SOX-lovgivningen. Prosessene skal være sporbare fra transaksjonsnivå til regnskapet og orientere seg etter et rammeverk for intern kontroll. Dokumentasjonen betraktes som tilstrekkelig når transaksjonene og detaljene lar seg rekonstruere. Utfordringen med å oppfylle dokumentasjonskravene og samtidig være i et fornuftig kost–nytte-forhold kan være betydelig. Dokumentasjonen kan styres fra øverste hierarkinivå og brukes likt på alle forretningsenhetsnivå (top–down) eller alternativt fra lavere nivå og oppover (bottom–up). Åtte selskaper anvendte begge former, mens tre selskaper anvendte top–down-metoden, og to selskaper brukte bottom–up ved SOX-prosjektene.

3.7 Konsekvenser for interne prosesser

Fra kravene i SOX følger at medarbeiderne setter seg mer detaljert enn tidligere inn i prosessene. Det fordrer en bedre forretningsforståelse for medarbeidere og forenkler innarbeiding av nye, for eksempel gjennom utførlige stillingsbeskrivelser. Gjennom bedre strukturering og systematikk har tiltakene for intern kontroll ikke bare forbedret seg, men også forbedret sammenlignbarheten mellom deler av foretaket. Standardiseringen av prosessene fordrer dessuten et felles språk i foretaket. 9 Innen risikostyring kan prosessanalyser gi fordeler ved risikoidentifikasjon ved at mer informasjon står til rådighet om risikovurdering som avstemmes på tvers av hele organisasjonen.

Diskusjonen omkring nytten av de omfattende SOX-kravene står for mange sentralt. 10 På spørsmålet om hvor den største nytten for interne prosesser finnes, nevner fem selskaper læreeffekt og kunnskap om prosesser, tre nevner forbedret risikovurdering og forbedret prosesskvalitet, og to trekker frem standardisering av prosessene som den største nytten ved implementeringen av SOX.

3.8 Forhindring av misligheter (Financial Fraud)

SOX-kravene søker å øke tilliten til finansielle rapporteringen og forhindre misligheter. Imidlertid vurderer bare 6 av 13 selskaper finansregnskapet som mer troverdig på grunn av SOX-kravene. Selv om mer enn halvparten av selskapene ikke ser noen vesentlig forbedring av finansregnskapet, mener 70 % av de spurte at SOX generelt kan bidra til å forhindre misligheter.

Det å forhindre misligheter må imidlertid differensieres ut fra organisasjonsnivå. Åtte av selskapene erkjenner spesielt potensialet på mellomnivå og lavere nivå i hierarkiet, og én av årsakene ligger i kravet til dokumentasjon (Section 404) hvor misligheter her lar seg forebygge og forhindre. Gjennom varsling kan ulovlige handlinger avdekkes.

På de øverste hierarkinivåene er det enklere å omgå tiltakene for intern kontroll. Ifølge en studie fra PwC (2005) er konsekvensene av misligheter i toppledelsen tre ganger så graverende som misligheter blant medarbeidere i mellomsjikt og lavere sjikt. 11 Til tross for skjerpede krav til sammensetning av revisjonskomité og ekstern revisors uavhengighet til SOX avhenger den interne kontrollens virksomhet av ledelsen integritet og «tone at the top». Bare 4 av 13 selskaper ser med SOX bedre muligheter til å avdekke og forhindre misligheter i toppetasjen.

4. Avslutning

SOX har ført til en økt bevissthet for styrings-, kontroll- og oppfølgingsaktiviteter i de selskapene det gjelder, spesielt innen målkategorien finansiell rapportering. Implementering og igangsetting av kravene har fått betydelige finansielle, tidsmessige og organisatoriske konsekvenser. Nytteaspekter blir også fremhevet, men disse kommer ofte i bakgrunnen for ressursbruken.

Ut fra det vi har vært inne på ovenfor, kan vi trekke følgende konklusjon:

  • Prosessene sentraliseres – forebyggende, styrende tiltak vektes til dels mer enn avdekkende tiltak.
  • På lengre sikt automatiseres prosessene i større grad.
  • Betydelige forbedringer skjer i form av bedre forståelse for egne regnskapsprosesser, utforming av prosesser, risikovurdering og standardisering.
  • Målet om forhøyet troverdighet av årsregnskapet betviles av mange forespurte, og omfanget av tester (kostnader) anses som for høyt.
  • Når det gjelder forhindring av uregelsmessigheter, hjelper SOX-kravene særlig på lavere og middels hierarkinivå. På høyere nivå er man ikke enig i dette.

Eksempler fra selskaper som har oppfylt SOX-kravene, viser at kostnadene og kompleksiteten undervurderes. Selskapene må derfor finne en balanse mellom forskjellige parter, herunder prosjektgrupper, eksterne konsulenter, internrevisjonen og ekstern revisor.

Intern kontroll gjelder imidlertid ikke bare for selskaper som er underlagt SOX, selv om dette er foreskrevet gjennom lovregulering. Vel så viktig er hvordan andre selskaper – også mellomstore og mindre selskaper – håndterer risiko og strukturerer intern kontroll – også innenfor øvrige målkategorier.

Helt sentralt i den videre utviklingen er dessuten hvordan foretak kan øke nyttefunksjonen av intern kontroll innen alle målkategoriene. Målrettet og effektiv drift og etterlevelse i for eksempel COSO legger vekt på et mye bredere perspektiv enn bare det å fokusere på finansiell rapportering. I disse krisetider ville det også vært svært interessant å trekke inn risikohåndtering som kan true måloppnåelse, slik definisjonen fra Institute of Internal Auditors understreker.

Avslutningsvis kan vi oppsummere med at SOX i stor grad har satt søkelyset på intern kontroll for finansiell rapportering. Konkurser og de pågående krisene innen bank og finans, industri og service indikerer imidlertid at andre virkemidler enn intern kontroll for finansiell rapportering skal til. En samordnet innfallsvinkel til helhetlig styring som kan håndtere risiko, og hvor målkategoriene strategi, drift, etterlevelse og finansiell rapportering kan oppfylles, borger for en høyere grad av suksess. Lovregulering spiller i denne sammenheng trolig en mindre rolle da det dreier seg om selskapets og interessegruppenes egne ønsker, og lovverket i Norge har foreskrevet slike tiltak – i det minste implisitt – i årtier.

Noter

  • 1: FEE (2005). Se COSO (2005), CoCo (1995) og ICAW (1999) for utførlig behandling. I tillegg til bestående rammeverk og på grunn av SOX-kravene utga COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting.
  • 2: Se Hauser, Hopkins, Leibundgut (2004), s. 1059.
  • 3: Se utførlig beskrivelse for SOX-prosjektorganisasjon, Studer & Chiomento (2004).
  • 4: Se Zhang (2005), s. 1.
  • 5: De gitte tallene er kun å fortolke som holdepunkt, da SOX-prosjekter bare delvis lar seg avgrense og bare delvis muliggjør sammenligning av selskaper.
  • 6: Ifølge PCAOB-standardene kan ikke resultatet av CSA anvendes av ekstern revisor.
  • 7: Ruud & Jenal (2005), s. 456, og COSO (1992), s. 77 f.
  • 8: Mens SAS 70 type I sertifiserer den outsourcede tjenesten, blir disse ved type II utvidet gjennom observasjon minst 6 måneder. Type II muliggjør en vurdering av hvor godt systemene fungerer og anerkjennes av SOX.
  • 9: COSO (2005), s. 4.
  • 10: IIA Research Foundation ga Rittenberg og Miller (2005) oppdraget å studere kostnadene og nytten av SOX. Av 171 forespurte US-selskaper vurderer 37 % kostnadene ved SOX som altfor høye, 35 % som for høye, 14 % som nøytrale kostnad–nytte-forhold, mens bare 13 % ser positive kostnad–nytte-forhold. På lengre sikt blir kostnad–nytte-forholdet vurdert mer nøytralt.
  • 11: Vgl. PwC (2005), s. 17.

Litteratur

  • CICA (1995). Guidance on Control, The Canadian Institute of Chartered Accountants, Toronto.
  • COSO (1992). Internal Control: Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission, Jersey City, [NJ].
  • COSO (2005). Internal Control: Integrated Framework: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting, Jersey City [NJ].
  • FEE (2003). Discussion Paper on the Financial Reporting and Auditing Aspects of Corporate Governance, Fédération des Experts Comptables Européens, Brüssel.
  • FEE (2005). Risk Management and Internal Control in the EU, Discussion Paper, Fédération des Experts Comptables Européens, Brüssel.
  • ICAEW (1999). Internal Control: Guidance for Directors on the Combined Code, London.
  • Hauser, D., Hopkins, R., Leibundgut, H. (2004). The Sarbanes-Oxley Act and the Role of the Internal Audit: Anticipating and Adopting to Forthcoming Changes. I: Der Schweizer Treuhänder, nr. 12, s. 1057–1065.
  • PwC (2005). Gobal Economic Crime Survey 2005, PricewaterhouseCoopers.
  • Rittenberg, L.E., Miller, P.K. (2005). Sarbanes-Oxley Section 404 Work: Looking at the Benefits, IIA Research Foundation, Altamonte Springs [FL].
  • Ruud, T.F., Jenal, L. (2005). Licht im Internal-Control-Dschungel: Begriffsdefinitionen sind unerlässlich. I: Der Schweizer Treuhänder, nr. 6–7, s. 455–460.
  • Studer, M., Chiomento, C. (2004). Berichterstattung über finanzielle Kontrollen – eine aktive Rolle für die Interne Revision: Was interne Revisorate von Schweizer Konzernen von Sarbanes-Oxley lernen können. I: Der Schweizer Treuhänder, nr. 1/2, s. 29–36.
  • Von der Crone, H.C., Roth, K. (2003). Der Sarbanes-Oxley Act und seine extraterritoriale Bedeutung, Aktuelle Juristische Praxis, nr. 2, s. 131–140.
  • Zhang, I.X. (2005). Economic Consequences of the Sarbanes-Oxley Act of 2002, Working Paper, AEI-Brookings Joint Center for Regulatory Studies.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS