Magma topp logo Til forsiden Econa

Amund Haukerud er Manager i PricewaterhouseCoopers. Han er tilknyttet rådgivningsenheten Business Advisory Services (BAS) og jobber hovedsakelig med intern kontroll og risikostyring innenfor finansnæringen. Han er utdannet siviløkonom fra NHH.

Kjetil Sandanger er Senior Associate i PricewaterhouseCoopers. Han er tilknyttet rådgivningsenheten Business Advisory Services (BAS) og jobber hovedsakelig med intern kontroll og risikostyring innenfor finansnæringen. Han er utdannet siviløkonom fra Handelshøyskolen BI.

Ny renessanse for internkontroll

De siste årene har vi sett store oppslag om regnskapsskandaler og svakcorporate governance i flere profilerte selskaper, slik som Enron, WorldCom og Finance Credit. Etter hvert som detaljer rundt skandalene har blitt offentliggjort, er det blitt klart at sammenbrudd i fundamentale deler av selskapenes internkontroll er en viktig forklaringsvariabel. De regulatoriske myndighetene verden rundt har kommet på banen med innskjerpede regulatoriske krav, for eksempel den amerikanske Sarbanes-Oxley Act.

I denne artikkelen tar vi for oss hvordan disse skandalene har bidratt til økt fokus på internkontroll, sentrale deler av regelverket og hvordan norske bedrifter må forholde seg til dette.

HVA MENER VI MED INTERNKONTROLL?

Internkontroll defineres i videste forstand som en prosess, iscenesatt og gjennomført av foretakets styre, ledelse og ansatte. Den utformes for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder:

  • målrettet og effektiv drift
  • pålitelig ekstern regnskapsrapportering
  • overholdelse av gjeldende lover og regler

Dette er den mest benyttede definisjonen på internkontroll, og den er hentet fra COSO-rapporten fra 1992 (Committee of Sponsoring Organisations of the Treadway Commision).

Internkontroll defineres som de tiltak selskapet gjennomfører for å sikre at det når sine mål på en forsvarlig måte. Dette kan være alt fra overordnet risikovurdering i forhold til måloppnåelse til innebygde kontroller i operasjonelle rutiner. Det integrerte rammeverket for internkontroll som er presentert i COSO-rapporten, har blitt den mest benyttede standarden for internkontroll. Vi kommer tilbake til COSO-rammeverket senere i artikkelen.

HVORFOR ØKT FOKUS PÅ INTERNKONTROLL?

Svekket tillit

Manglende tillit til selskapenes styring, kontroll og rapportering er i stor grad et resultat av de senere årenes store skandaler knyttet til tidligere anerkjente selskaper som Enron og WorldCom. Krisene i tilknytning til selskaper som Finance Credit og Sponsorservice har generelt redusert tilliten til selskaper også i Norge.

Krisene kommer oftere

Krisene kommer oftere, noe som har medført sterkere svingninger i kapitalmarkedene. Den kanskje viktigste effekten av den svekkede tilliten er redusert tilgang til kapital. De ulike lands økonomier er bundet sammen gjennom kapital- og verdipapirmarkedet. Når tilliten til aktørene i markedene brister, får vi et tilbakeslag som rammer økonomier og markeder i store deler av verden. Dette kan i ytterste konsekvens sette balansen i kapitalmarkedene i fare.

Hva er årsakene til den svekkede tilliten?

Et av de mest sentrale elementene i tillitssvikten er mangelen på tillit til kvaliteten på regnskapene. Mange hevder at individers sviktende samfunnsmoral er den underliggende årsaken. Muligheten for gevinst og fortjeneste i et marked er en grunnleggende drivkraft, og for at et marked skal fungere, må aktørene ha tillit til at spilleregler følges. Det er denne tilliten som er satt på prøve gjennom de senere årenes finansskandaler.

På selskapsspesifikt nivå kan vi se at mange av forholdene som har medført svekket tillit, har vært knyttet til menneskelig svikt og mangler ved den interne kontrollen. Det er flere eksempler på at institusjoner, spesielt innen finansbransjen, har gått overende eller fått store problemer som følge av enkeltstående hendelser, som skyldes svikt hos nøkkelpersonell og/eller sviktende interne kontrollmekanismer. Et norsk eksempel på dette er Bærum kommunale pensjonskasses tap på derivater. Internasjonale eksempler er Bank of Credit and Commerce og Barings Bank. Problemene oppsto som følge av at de interne kontrollmekanismene ikke fanget opp at enkeltindivider gikk langt ut over sine fullmakter. Svikt i sentrale deler av selskapenes interne kontroll har vært en av de viktigste forklaringene bak flere av de store kollapsene internasjonalt næringsliv har sett de siste årene.

HVORDAN GJENREISE TILLITEN TIL SELSKAPENES STYRING, KONTROLL OG RAPPORTERING?

Innskjerpede regulatoriske krav

Stabilitet i kapital- og verdipapirmarkedet er en viktig målsetting for myndighetene i alle verdens land. Markedsøkonomien kan bryte sammen hvis tilliten til aktørene i markedet forsvinner. Myndigheter verden rundt reagerer derfor med innskjerpede regulatoriske krav for å oppnå:

  • økt innsyn og transparens (gjennomsiktighet)
  • ansvarliggjøring av selskapenes ledelse og styrende organer
  • økt tillit til selskapenes rapportering
  • redusert risiko for nye store kriser
  • lavere volatilitet i aksjemarkedene
  • et stabilt kapitalmarked

Nye rammebetingelser stiller økte krav til selskapets styre, ledelse og interne ressurser. I tillegg har de skjerpede kravene betydning for intern og ekstern revisjon.

Som eksempler på sentrale regulatoriske endringer og initiativer den senere tid kan nevnes:

  • Sarbanes-Oxley Act
  • Jaap Winter-rapporten
  • Basel II og Solvency II
  • internasjonale regnskapsstandarder

- IFRS

  • internkontrollforskriften og IKT-forskriften (for finansnæringen i Norge)

Disse reguleringene setter rammer av vesentlig betydning for selskapenes interne kontroll. God internkontroll er dermed ikke barebest practice, men lovbestemt for selskaper i flere markeder og bransjer.

figur

Figur 1

Fellestrekk mellom reguleringene

Et viktig mål med reguleringene vi ser verden rundt, er å sikre stabilitet i finansmarkedene. Det er kritisk å gjenopprette tilliten til selskapenes styring, kontroll og rapportering. De regulatoriske initiativene har dermed flere fellesnevnere:

  • krav om økt transparens og innsikt i virksomheten
  • flere kontrollinstanser (kontroll av at kontroller fungerer)
  • økt detaljeringsgrad i kontrollarbeidet
figur

Figur 2

HVORDAN TILRETTELEGGE FOR ØKTE RAPPORTERINGS- OG INFORMASJONSKRAV?

Et selskap har en rekkestakeholders som forutsetter at selskapets interne kontroll tilfredsstiller de kravene som stilles gjennom reguleringene. Dette medfører at selskapene må etablere en rapporterings- og informasjonsstruktur som sikrer interessentene god innsikt.

Selskapene må etablere interne prosesser som gjør at virksomheten tilfredsstiller kravene fra de ulike interessentene. Det er en utfordring for et selskap å etablere et rammeverk som på en enhetlig måte tilfredsstiller kravene til innsikt fra ledelsen, styret, kapitalmarkedet, myndighetene og andre interessenter.

Typiske problemstillinger og utfordringer som oppstår i forbindelse med et økt fokus på internkontroll, er:

  • behov for økt kompetanse om internkontroll og regulatoriske krav i organisasjonen
  • behov for å starte en internkontrollprosess
  • behov for metodikk og verktøy
  • ønske om helhetlig risikostyring
  • ønske om en vurdering av at lover og regler etterleves
  • vurdering av behov for å etablere/styrke internrevisjonen

SENTRALE DELER I RAMMEVERKET FOR INTERNKONTROLL

Mye av dagens arbeid med internkontroll er basert på COSO-rapporten. Denne rapporten legger opp et integrert rammeverk for hvordan internkontroll i en organisasjon bør organiseres og gjennomføres. Rammeverket i COSO-rapporten ligger ofte til grunn for selskapenes arbeid med å oppfylle kravene i den norske internkontrollforskriften og den amerikanske Sarbanes-Oxley Act.

Hovedkomponentene i COSO-rammeverket er:

  • Kontrollmiljøet er grunnmuren som de andre komponentene bygger på, og omfatter menneskene i virksomheten - deres individuelle egenskaper og integritet, etiske verdier, holdninger og kompetanse - og hvordan virksomheten er organisert. Ledelsesfilosofi, lederstil og driftsform inngår også i kontrollmiljøet.
  • Risikovurderingen forutsetter at det er fastsatt mål for virksomheten og aktivitetene. Risikofaktorene som kan hindre måloppnåelsen, må kartlegges og analyseres. Analysen danner grunnlaget for hva virksomheten velger å gjøre for å kontrollere risikoene.
  • Kontrollaktivitetene henger nøye sammen med risikovurderingen. De skal sikre at det settes i verk tiltak for å håndtere risikoene som kan hindre oppnåelse av virksomhetens målsettinger. Slike aktiviteter skal bidra til at rutiner og systemer fungerer som forutsatt.
  • Informasjon og kommunikasjon må være effektiv og virke både horisontalt og vertikalt i organisasjonen. Tilstrekkelig og relevant informasjon til rett tid skal gjøre det mulig for hver enkelt ansatt å ivareta det ansvaret de har blitt tildelt.
  • Overvåking/oppfølging skal sørge for at det kan vurderes hvor effektivt systemet er over tid. Dette kan være kontinuerlig overvåking og/eller frittstående evalueringer. Disse handlingene skal være integrert med andre handlinger som ansatte gjør når de skal utføre sine oppgaver. Mangler bør rapporteres oppover i organisasjonen.
figur

Figur 3

COSO-modellen klargjør sammenhengen mellom en organisasjons målsettinger, identifiserte risikoer og de kontrolltiltakene som skal sikre måloppnåelse. Rammeverket er svært utfyllende og gir en god forståelse av de ulike elementene i internkontrollen.

COSO-komiteen arbeider nå med en ny rapport: COSO-Enterprise Risk Management Framework (COSO-ERM). COSO-rapporten fra 1992 er en integrert del av dette nye og utvidede rammeverket. Rapporten er tilgjengelig som høringsutkast og er forventet å foreligge i endelig versjon i løpet av 2004. Den nye rapporten legger opp et rammeverk for helhetlig risikostyring i virksomheten. Rammeverket er utarbeidet for at det skal bli lettere å identifisere hendelser som kan påvirke selskapets risikoeksponering, og gjennom dette styre risiko, slik at selskapet oppnår ønsket risikonivå. Risikostyringen skal bidra til at selskapet med større grad av sannsynlighet når sine mål.

For mer utfyllende informasjon, se www.coso.org og www.erm.coso.org

SARBANES-OXLEY ACT

I USA ble det sommeren 2002 vedtatt en ny lov for å gjenreise tilliten i det amerikanske kapitalmarkedet. The Sarbanes-Oxley Act (SOX) ble vedtatt med bred støtte fra både demokrater og republikanere. De regulatoriske myndighetene måtte iverksette tiltak etter de store finansskandalene og kollapsen i selskapenescorporate governance. SOX er et omfattende regelverk som er inndelt i 11 kapitler og over 1000 paragrafer. Godcorporate governance er ikke lenger frivillig i USA - det er lovbestemt!

SOX gjelder for alle selskaper som er notert på børs i USA, eller som er pålagt rapportering til den amerikanske Securities and Exchange Commission (SEC). Dette kommer også til å berøre amerikanske datterselskaper i Norge.

Norske selskaper er helt eller delvis allerede underlagt mye av det SOX regulerer, etter norsk aksje-, børs- eller verdipapirlovgivning og annen spesiallovgivning.

Sentrale elementer i SOX:

  • Daglig leder (CEO) og finansdirektøren (CFO) er pålagt å bekrefte at de har gjennomgått regnskapene som er fremlagt, og at regnskapene gir et korrekt bilde av selskapets finansielle stilling og resultat («Section 302»). De må også bekrefte at det er etablert tilstrekkelige interne kontrollrutiner som sikrer at all vesentlig informasjon blir kjent for selskapet («Section 404»).
  • Det kreves at det opprettes en revisjonskomité. Komiteen skal bestå av styremedlemmer som er uavhengige av selskapet, og skal blant annet ha som oppgave å velge og føre kontroll med revisor (i Norge velges ekstern revisor av generalforsamlingen).
  • Det innføres beskyttelsesregler for såkaltewhistleblowers.
  • Definerte primærinnsidere pålegges plikt til å melde kjøp og salg av selskapets aksjer, og det innføres strenge regler for selskapets lån til styremedlemmer og ledende ansatte.
  • Det kreves at det skal benyttes en uavhengig revisor.

Overtredelse av bestemmelsene kan medføre strenge fengselsstraffer og/eller store bøter.

Bekreftelser fra daglig leder og finansdirektøren har vært mest i fokus når de nye kravene har blitt presentert. Nedenfor følger en kort beskrivelse av hovedinnholdet i «Section 302» og «Section 404».

Section 302

Det kreves en kvartalsvis bekreftelse fra daglig leder (CEO) og finansdirektøren (CFO) som inneholder en uttalelse om at regnskapene er utarbeidet i samsvar med relevant regnskapslovgivning og gir et riktig bilde av selskapets finansielle stilling, resultat og kontantstrøm. Et annet hovedpoeng er at daglig leder og finansdirektøren bekrefter at det er etablert interne kontrollrutiner som sikrer kvaliteten i kvartals- og årsrapportene.

Section 404

Ledelsen har ansvaret for at selskapet har etablert og har en tilfredsstillende kvalitet i sin interne kontrollstruktur og regnskapsrapportering. De skal årlig, i tilknytning til årsregnskapet, avgi en bekreftelse som inneholder:

  • en beskrivelse av ledelsens ansvar for å etablere og ha tilfredsstillende kvalitet i internkontroll relatert til finansiell rapportering
  • ledelsens vurdering av kontrollene
  • en redegjørelse av rammeverket som benyttes for å vurdere selskapets internkontroll (for eksempel COSO)

Selskapets revisor skal attestere denne bekreftelsen.

Kravene i «Section 404» skal for større selskaper i USA være implementert for regnskapsår som avsluttes 15. juni 2004 eller senere. For ikke-amerikanske og mindre selskaper i USA er kravet utsatt til 15. april 2005.

For mer utfyllende informasjon, se www.sarbanes-oxley.com

HVA MÅ NORSKE FORETAK FORHOLDE SEG TIL?

Internkontroll i norske selskaper (utenom finansnæringen) har i liten grad vært regulert eller under tilsyn. Riktignok gjør revisoren en vurdering av selskapets interne kontrollsystemer, og aksjeloven fastsetter styrets ansvar for en betryggende kontroll av virksomheten, men det finnes ikke noe enhetlig rammeverk selskapene må følge. Selv om det er få norske bedrifter som blir direkte berørt av SOX, er det grunn til å tro at EU og også norske myndigheter kan komme med et mer omfattende regelverk.

Finansnæringen er en bransje som i dag er regulert. I internkontrollforskriften har Kredittilsynet definert et rammeverk for internkontroll som næringen må forholde seg til. Økt fokus på godcorporate governance kan gjøre at dette rammeverket også er interessant for andre selskaper. Rammeverket for finansnæringen kan benyttes i andre større selskaper dersom det er ønskelig. Rammeverket i internkontrollforskriften har betydelige likhetstrekk med enkelte av kravene som stilles i SOX. Vi vil derfor kort presentere rammeverket som i dag gjelder for finansnæringen.

INTERNKONTROLLFORSKRIFTEN

«Forskrift om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll» ble fastsatt av Kredittilsynet 20.06.1997 og sist endret våren 2003. Formålet med forskriften er å presisere styrets og ledelsens ansvar for den interne kontrollen. Ledelsen må årlig bekrefte til styret om internkontrollopplegget fungerer som forutsatt, og rapportere eventuelle svakheter.

I 2003 er det gjort endringer i internkontrollforskriften, og dette kan ses i sammenheng med den utviklingen som skjer internasjonalt. Nytt av året er kravet om at finanskonsern med en forvaltningskapital på over 10 milliarder kroner må ha egen internrevisjon. I foretak med under 10 milliarder kroner i forvaltningskapital må styret ta stilling til om selskapet skal etablere en internrevisjon. Internrevisjonstjenesten kan utkontrakteres.

Forskriften bygger på 13 prinsipper for internkontroll, som er utarbeidet av Basel-komiteen for banktilsyn.

For mer utfyllende informasjon, se www.bis.org

Ansvar

Forskriften klargjør at det er styret som er ansvarlig for at internkontrollen i selskapet blir fulgt opp i et tilstrekkelig omfang og på en systematisk måte. Daglig leders ansvar er å etablere et forsvarlig internkontrollsystem basert på en risikoanalyse og retningslinjer fastsatt av styret.

Dokumentasjon

Selskapene er pålagt å dokumentere de kontroller de har iverksatt for å unngå at forskjellige typer risiko, for eksempel kreditt-, markeds- og operasjonell risiko, fører til tap eller feil. Kontrolltiltakene kan være fullmaktsrammer, retningslinjer, arbeidsbeskrivelser, systemkontroller samt intern- og ekstern rapportering.

Selskapene må årlig foreta en gjennomgang og vurdering av de vesentligste risikoene og av de interne kontrolltiltakene som er etablert.

Bekreftelse

Ledende personale skal på sine ansvarsområder rapportere oppover i organisasjonen om kvaliteten i internkontrollen. De må rapportere om hvordan kontrollen er gjennomført i forhold til det forutsatte kontrollopplegget. Dette skal gi daglig leder tilstrekkelig informasjon om hvorvidt internkontrollen er forsvarlig ivaretatt og er i samsvar med selskapets mål og risikovurdering. Bekreftelsen på kontrollen må gjennomføres minst én gang i året, og den må dokumenteres. Selskapets interne revisor eller en annen uavhengig part, for eksempel selskapets eksterne revisor, skal gi en bekreftelse på at kontrollen er gjennomført. SOX-rammeverket («Section 404») krever at det er den eksterne revisoren som gir denne bekreftelsen.

Formålet med bekreftelsen fra ledere er å sikre at tilstrekkelig informasjon om gjennomføringen av den interne kontrollen og eventuelle vesentlige mangler blir kommunisert til selskapets ledelse og styre. Dette krever et systematisk opplegg for overvåkning og rapportering som omfatter alle nivåer og ledere i selskapet.

IKT-FORSKRIFTEN

Selskaper i finansnæringen er også underlagt en forskrift som omhandler risiko knyttet til informasjons- og kommunikasjonsteknologi (IKT). Denne setter krav til at selskapene skal gjennomføre risiko- og sårbarhetsanalyser for IKT i virksomheten for å påse at risiko styres innenfor akseptable grenser. Forskriftens krav bør være en naturlig del av et selskaps overordnede risikoanalyse og kartlegging av internkontroll.

BASEL II

Basel II er en omfattende oppdatering av det eksisterende regelverket for ansvarlig kapital i finansnæringen. Det nye regelverket skal etter planen bli innført med virkning fra 1. januar 2007. Sentralt i dette regelverket er kravet om at næringen må ha etablert tilstrekkelige kontrollprosedyrer i forhold til selskapenes strategi og risiko. Kredittilsynet pålegges etter det nye regelverket en mer aktiv rolle i forhold til vurdering og godkjennelse av næringens interne rutiner og systemer for vurdering av risiko.

ERFARINGER FRA ARBEID MED INTERNKONTROLL

En utfordring for selskaper som er underlagt regulatoriske krav til organisering av internkontrollen, er å integrere disse kravene som en del av selskapets ordinære virksomhetsstyring. Vår erfaring er at de selskaper som har lyktes best med organiseringen av internkontrollen, er de som har klart nettopp dette. Hvis oppfølgingen etter internkontrollforskriften blir liggende på siden av den løpende virksomhetsstyringen, har den sjelden noen verdi for selskapet. Det er uheldig og lite hensiktsmessig hvis elementene i internkontrollrammeverket blir en årlig øvelse for å tilfredsstille regulatoriske krav. For å oppnå en slik integrasjon er det avgjørende at ledelsen setter fokus på og gir tilstrekkelig ressurser til arbeidet med internkontroll. Her som andre steder er det ledelsens fokus som er avgjørende for om en virksomhet klarer å oppnå god kultur og tilfredsstillende «hverdagskvalitet» i organisasjonen.

HVA SKJER FREMOVER I EUROPA OG NORGE?

De amerikanske kravene til internkontroll og rapportering er betydelig skjerpet etter innføringen av Sarbanes-Oxley Act. I Europa gir denne loven direkte konsekvenser for selskaper notert i USA, samtidig som den har lagt et stort press på EU. Amerikanerne forventer at Europa skal implementere et regelverk tilsvarende deres. Dagens regelverk i Europa er basert på landenes nasjonale standarder. En del av det SOX regulerer, er norske selskaper allerede pålagt å forholde seg til etter norsk lovgivning.

Det jobbes hardt i EU for å utrede hvordan man kan få til reguleringer som også amerikanerne kan ha tillit til. Winter-rapporten til EU-kommisjonen gir anbefalinger til fremtidig selskapslovgivning og godcorporate governance i EU. Denne rapporten legger imidlertid ikke spesifikke føringer for reguleringen av selskapenes interne kontroll. Tendensen går nok på sikt mot en mer omfattende regulering av internkontroll også i EU. Det som blir det gjeldende regelverket i EU, kommer til å ha stor innflytelse på norsk lovgivning.


© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS