Magma topp logo Til forsiden Econa

Hans-Christian Berger er siviløkonom og statsautorisert revisor. Han arbeider som senior manager ved Oslo-kontoret til PricewaterhouseCoopers. For tiden arbeider han som rådgiver for Telenor ASA i deres arbeid med å implementere seksjon 404 av Sarbanes-Oxley Act.

Vil Sarbanes-Oxley øke tilliten til selskapenes rapportering?

Et velfungerende kapitalmarked er av avgjørende betydning for norsk og internasjonalt næringsliv for å kunne sikre nødvendig tilgang på kapital til en fornuftig pris. Effektiviteten i verdens kapitalmarkeder avhenger av offentlig tillit. Flere negative hendelser de siste årene i inn- og utland har bidratt til å redusere tilliten til kapitalmarkedene og de ulike aktører. Et viktig bidrag for å gjenreise tilliten er økt kvalitet og transparens i selskapsrapporteringen. Kapitalmarkedene er avhengige av informasjon som er pålitelig, relevant og tilgjengelig. Dette forutsetter god corporate governance (som regel oversatt med eier- og virksomhetsstyring) i alle selskaper som rapporterer til børs eller er av stor samfunnsmessig betydning.

For å gjenoppbygge tilliten i markedet etter finansskandalene i USA vedtok kongressen i USA Sarbanes-Oxley Act i 2002. Sarbanes-Oxley Act gjelder kun selskaper som er notert på amerikansk børs. Lovgivningens mandat var å forbedre selskapsrapporteringen og etablere parametere for hvordan de ulike aktørene i «rapporteringskjeden» skulle forholde seg til hverandre og ansvarliggjøres.

I det følgende vil jeg redegjøre kort for lovens bakgrunn og innhold samt forklare hva Sarbanes-Oxley Act er for noe. Jeg vil først og fremst fokusere på å omtale den delen av loven som omhandler internkontroll av finansiell rapportering.

1.1 Bakgrunn

Sarbanes-Oxley Act 1, i det følgende referert til som SOA, ble vedtatt i USA 30. juli 2002. SOA er utvilsomt en av de største og mest gjennomgripende lovendringer innenfor finans- og børsområdet på mer enn 70 år. Den viktigste enkelthendelsen som ledet til dette paradigmeskiftet i finansmarkedet, var skandalen og den påfølgende konkursen i Enron. Det graverende forholdet var ikke konkursen i seg selv, men det faktum at ledelsen bevisst hadde manipulert finansiell rapportering for å skjule dårlige resultater og for å opprettholde sine egne skyhøye lønninger. Etter denne og flere andre avsløringer var tilliten til det amerikanske børsmarkedet tynnslitt, og et behov for sterkere offentlig regulering tvang seg fram.

SOA gjelder for alle selskaper som er notert på amerikansk børs (NYSE og NASDAQ). Den skiller i utgangspunktet ikke mellom noterte amerikanske selskaper og utenlandske selskaper registrert på børs i USA, såkalte «Foreign Private Issuers», bortsett fra at implementeringstidspunktet i noen tilfeller er satt senere for utenlandske selskaper. I Norge må selskaper som for eksempel Telenor, Statoil, Norsk Hydro og Frontline følge dette regelverket, ettersom de er registrert på børs i USA. I tillegg vil en rekke norske selskaper som er datterselskaper av utenlandske selskaper notert på amerikansk børs, måtte tilpasse seg SOA.

2 Hva er Sarbanes-Oxley Act?

Sarbanes-Oxley Act er som nevnt lovgivernes svar på den manglende tillit som investorer og andre interessenter har til kapitalmarkedet og selskapenes finansielle rapportering. PricewaterhouseCoopers har i sterk grad engasjert seg i arbeidet med å gjenreise tilliten og har blant annet gitt ut boken Building Public Trust 2. I boken beskrives de ulike aktørers roller i utarbeidelse og kvalitetssikring av selskapsrapporteringen (rapporteringens verdikjede), og dette danner et godt utgangspunkt for å forstå det prinsipielle ved SOA.

2.1 Prinsipielt utgangspunkt

Formålet med å definere verdikjeden for selskapenes finansielle rapportering i bokenBuilding Public Trust var å identifisere de viktigste aktørene og deres rolle i å sikre pålitelig og tidsriktig ekstern finansiell regnskapsrapportering. Verdikjeden kan illustreres slik figur 1 viser. 3

figur

Figur 1 Verdikjeden for ekstern finansiell rapportering

De sentrale aktørenes rolle i verdikjeden kan oppsummeres som følger:

  • Selskapets ledelse utarbeider eller godkjenner den finansielle rapporteringen.
  • Styret og revisjonskomiteen representerer eierne og er ansvarlig for Corporate Governance og oppfølging av selskapets ledelse.
  • Ekstern revisor har et ansvar for å fastslå om den finansielle rapporteringen er beheftet med vesentlige feil eller ikke.
  • Informasjonsformidlere distribuerer aggregert finansiell rapportering.
  • Analytikere benytter finansiell rapportering som grunnlag for analyser.
  • Investorer og andre er brukere av finansiell rapportering.

SOA både forsterker og utvider ledelsens, styrets, revisjonskomiteens og ekstern revisors ansvar i forhold til deres rolle i verdkjeden for finansiell rapportering. I korte trekk kan dette oppsummeres slik:

Ledelsen

SOA slår fast at det er og har alltid vært CEO og CFOs ansvar å sørge for tilfredsstillende finansiell rapportering. I tillegg krever SOA nå at disse i en egen erklæring, underbygget og støttet av tilstrekkelig dokumentasjon, bekrefter at den underliggende internkontrollen i selskapet er effektiv. Internkontrollen er effektiv når sannsynligheten for at det oppstår vesentlige feil i den finansielle rapporteringen, er redusert til «svært lite sannsynlig» 4.

Styret og revisjonskomiteen

Styret, ved revisjonskomiteen, har fått betydelige nye plikter og oppgaver:

  • oppnevne ekstern revisor
  • følge opp ekstern revisors arbeid og motta revisors rapportering
  • godkjenne alle tjenester som ekstern revisor skal yte, samt honoraret for disse tjenestene
  • ha ansvar for å følge opp og overvåke at selskapets ledelse oppfyller sin rolle i forhold til å etablere og vedlikeholde god internkontroll over finansiell rapportering

Videre er revisjonskomiteen pålagt å ha medlemmer som er uavhengige av selskapet, samt at de må tilkjennegi hvorvidt noen av medlemmene tilfredsstiller kravene til å være en finansiell ekspert. Dersom ingen tilfredsstiller kravene, må det redegjøres for hvorfor de ikke har en finansiell ekspert. For øvrig er det selvfølgelig ingen endring i at det er styret som er ansvarlige for den overordnede styringen av virksomheten og oppfølgingen av ledelsens arbeid.

Ekstern revisor

Med SOA bekreftes det hvilken avgjørende rolle revisjonsproduktet har for gjenreisningen av tilliten til selskapenes finansielle rapportering. Denne loven bekrefter også behovet for en revisor som både reelt og tilsynelatende er uavhengig av selskapets ledelse. Revisors rapporteringsansvar er kraftig utvidet med SOA. Rapporteringen skal inneholde både en attestasjon av ledelsens påstand om at selskapet effektivt kontrollerer den finansielle rapporteringen, og en attestasjon hvor revisor på eget grunnlag vurderer effektiviteten av den finansielle rapporteringen. Begge disse attestasjonene er nye idet en eksplisitt bekreftelse på intern kontroll tidligere ikke er gitt. I Norge har revisor gjennom revisjonsberetningen attestert på hvorvidt selskapets formuesforvaltning er ordnet på en hensiktsmessig og betryggende måte. I praksis har dette medført at vi har hatt et rapporteringsansvar i forhold til ansvarsbetingede forhold for styret og ledelsen. Dette er noe helt annet enn den vurderingen revisor nå er pålagt å gjøre gjennom SOA.

2.2 Hva er innholdet i loven?

SOA består av elleve kapitler som spenner over et forholdsvis bredt sett av temaer. Kapitlene er som følger:

  • Public Company Accounting Oversight Board (PCAOB)
  • Auditor Independence
  • Corporate Responsibility
  • Enhanced Financial Disclosures
  • Analyst Conflict of Interest
  • Commission Resources and Authority
  • Studies and Reports
  • Corporate and Criminal Fraud Accountability
  • White-Collar Crime Penalty Enhancements
  • Corporate Tax Returns
  • Corporate Fraud and Accountability.

Etableringen av PCAOB markerer et viktig skille for revisjonsbransjen i USA, fra i hovedsak å være selvregulert til å bli regulert av det offentlige. Organets rolle er å utarbeide retningslinjer for revisjon av de børsnoterte selskapene samt føre tilsyn med dette arbeidet. Dette er i realiteten en kraftig innskjerpelse for revisjonsbransjen, som tidligere har gjort dette selv. Foreløpig har PCAOB vedtatt to standarder 5 som begge er sentrale kilder i tolkningen av SOA, og da spesielt den delen av loven som omhandler internkontroll over finansiell rapportering (kapittel fire).

I det følgende går jeg ikke gjennom alle deler av loven, men det kan være verdt å nevne at det fokuseres sterkt på misligheter i både lovteksten og de to utgitte revisjonsstandardene. Dette er et viktig poeng ved gjennomgang og vurdering av internkontroll. Risikoen for misligheter må analyseres nøye, og virksomhetene må sørge for gode kontroller som adresserer identifisert mislighetsrisiko.

La oss nå se på den delen av loven som omhandler internkontroll over finansiell rapportering. Dette er avsnitt fire i kapittel fire i loven. Dette kapitlet har fått stor oppmerksomhet, både fordi lovgivningen har stilt styret og ledelsen til ansvar for internkontroll over finansiell rapportering, og fordi både ledelsens erklæring og revisors attestasjon krever en betydelig ressursinnsats.

3 internkontroll over finansiell rapportering

3.1 Innledning

I seksjon 404, som omhandler internkontroll over finansiell rapportering, heter det blant annet: 6

«[...] to contain an internal control report, which shall _

  • state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and
  • contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.»

Det fremgår helt tydelig av lovteksten at selskapene er pålagt å gjøre en vurdering av den interne kontrollen over finansiell rapportering. Hva betyr egentlig dette? Jeg tror figuren nedenfor kan bidra til å forklare dette konseptuelt:

figur

Figur 2 Koblingen mellom forretningsprosesser og finansregnskapet

Utgangspunktet er finansregnskapet. Det er dette som i hovedsak er den eksterne finansielle rapporteringen, og det er her ledelsens nye erklæring om effektivitet i internkontroll over finansiell rapportering samt revisors attestasjoner skal fremkomme. I tillegg sier standarden fra PCAOB tydelig at det skal fremgå av selskapets underliggende dokumentasjon hvordan transaksjoner som danner grunnlag for selskapets eksterne finansielle rapportering, initialiseres, autoriseres/godkjennes, bokføres, prosesseres og rapporteres. Dette medfører at startstedet der kartleggingsarbeidet må begynne, er i forretningsprosessene og deres subprosesser. Det er her transaksjonene initialiseres. En salgstransaksjon vil for handelsvirksomheters del som regel initialiseres ved at man mottar en bestilling. For innkjøp vil initialisering være når en ordre er plassert hos leverandør og en forpliktelse er oppstått.

Det jeg nå har omtalt, er initialisering, som skjer nede i forretningsprosessene, og rapportering, som skjer i konsernregnskapet (finansregnskapet). I figur 2 er dette egentlig henholdsvis bunnen og toppen av figuren. Det essensielle er å knytte sammen forretningsprosessene og deres subprosesser med konsernregnskapet. Skjematisk vil derfor konsernregnskapet først brytes ned i de enkelte rapporteringspakker som mottas fra alle rapporterende enheter i konsernet. Det er på bakgrunn av rapporteringspakkene at konsernregnskapet utarbeides. Videre må rapporteringspakkene kobles mot hovedbok i hver rapporterende enhet, da det er i hovedbok alle transaksjonene fra forretningsprosessene aggregeres opp. Dernest må alle utvalgte konti kobles sammen med de underliggende forretningsprosessene og tilhørende subprosesser. Ved å lage disse koblingene etablerer man en «drill-down-funksjon» som tillater at man på en enkel måte kan underbygge at konsernets internkontroll over ekstern finansielle rapportering er effektiv. Om ønskelig kan man ved å synliggjøre disse sammenhengene identifisere akkurat hva slags internkontroll konsernet har over for eksempel ordremottak fra kunder eller varemottak ved innkjøp.

Før vi ser på hvordan et slikt prosjekt kan organiseres, introduserer jeg internkontrollrammeverket COSO.

3.2 Valg av rammeverk for internkontroll

Det fremgår helt eksplisitt i revisjonsstandarden fra PCAOB 7 at selskap som er underlagt SOA, må velge et anerkjent internkontrollrammeverk. Det er nødvendig å velge et rammeverk slik at vurderingen av den interne kontrollen over finansiell rapportering skjer mot et etablert og anerkjent referansepunkt. Dette vil bidra til å sikre konsekvens i forskjellige virksomheters vurderinger. Revisjonsstandarden fra PCAOB viser til COSO-rammeverket 8 som et eksempel på et anerkjent rammeverk. Det presiseres at COSO kun er et eksempel, men det sies samtidig at dersom man velger noe annet enn COSO, må det inneholde de samme komponentene. Etter mitt skjønn er det vanskelig å gå lengre i å foreslå noe uten å gjøre det pliktig. Det er derfor ventet at stort sett alle velger COSO som rammeverk. Figur 3 viser en grafisk fremstilling av COSO-rammeverket.

figur

Figur 3 COSO Rammeverket

I COSO rammeverket er det definert tre målsetninger som god intern kontroll skal underbygge. De er:

  • målrettet og effektiv drift (operations)
  • pålitelig ekstern regnskapsrapportering (financial reporting)
  • overholdelse av lover og regler (compliance)

Den første kategorien inneholder et foretaks grunnleggende forretningsmessige mål, herunder lønnsomhetsmål og sikring av ressurser. Den neste omfatter utarbeidelse av pålitelige offentlige finansregnskaper, herunder delårsrapporter, sammendrag av regnskaper eller data som stammer fra slike regnskaper, eksempelvis pressemeldinger om inntjening. Den tredje kategorien dreier seg om overholdelse av de lover og regler som virksomheten er underlagt. Som vist i figur 3 er det målsetningen om pålitelig ekstern regnskapsrapportering som står i fokus i SOA. Litt enkelt kan man si at SOA ikke bryr seg om hvorvidt et selskap er godt drevet eller ikke, så lenge regnskapene med pålitelighet viser den underliggende realiteten. På sett og vis kan man snakke om en arbeidsdeling i verdikjeden for finansiell rapportering der SOA gjennom krav til ledelse, styre og revisor sørger for pålitelig ekstern regnskapsrapportering, mens analytikere og investorer på bakgrunn av den finansielle rapporteringen forestår vurderingen av hvorvidt et selskap er godt drevet eller ikke.

Det er dog viktig å presisere at dersom forhold knyttet til målsetningene om målrettet og effektiv drift samt overholdelse av lover og regler har en effekt på finansiell rapportering, så vil det være relevant for SOA. Dersom det er slik at konsekvensen av å ikke overholde en spesiell lov eller regel kan medføre betydelige bøter, vil dette naturligvis være en del av SOA.

De enkelte komponentene i COSO

Kontrollmiljøet setter standarden for en organisasjon når det gjelder å påvirke de ansattes holdninger til kontroll og styring. Sentrale komponenter er ledelsens integritet, etiske verdier, organisering og utvikling av menneskelige ressurser og deres kompetanse, driftsmodell, delegering av ansvar og myndighet, ledelsesfilosofi og styrets oppgaver og oppfølging. Et godt kontrollmiljø er fundamentet for god internkontroll.

Risikovurdering dreier seg om hvordan selskaper forholder seg til de interne og eksterne risikoer virksomheten står overfor. Identifisert risiko må analyseres, og handlingsplaner utarbeides på bakgrunn av dette. Virksomheter må også ha mekanismer som kan håndtere de endringer som dynamikken i rammebetingelser medfører.

Kontrollaktiviteter er handlingsplaner og rutiner som sikrer gjennomføring av ledelsens direktiver. De bør være innrettet slik at de håndterer den risiko som eksisterer for at virksomhetens målsetninger ikke blir realisert. Kontrollaktiviteter gjennomføres på alle nivåer i virksomheten og består blant annet av godkjennelser, verifikasjoner, avstemminger, anvisninger, sikring av ressurser og god arbeidsdeling.

Informasjon og kommunikasjon handler om hvordan man sikrer at relevant informasjon blir kommunisert ut i virksomheten til rett tid til de som trenger den. Kommunikasjon handler også om at alle forstår sin rolle i internkontrollsystemet, og hvordan dette passer inn i en helhet. Kommunikasjonskanaler som sikrer at viktig informasjon flyter oppover i selskapet, er også meget viktig. Whistleblower-program kan være et eksempel på dette. Metaforisk kan man si at informasjon og kommunikasjon er limet som holder kuben sammen.

Overvåkning er prosessen som vurderer hvor godt internkontrollsystemet fungerer over tid. Dette kan gjøres ved kontinuerlig overvåkning, frittstående evalueringer eller en kombinasjon. En velfungerende internrevisjon kan være en viktig komponent i overvåkningen.

Komponentene er et integrert system. Kontrollmiljøet ligger i bunnen som en forutsetning for de øvrige komponentene. Dersom ledelsen ikke er opptatt av internkontroll, og utviser manglende integritet og moral, blir det vanskelig å få de øvrige komponentene til å fungere. Risikovurdering er en nødvendig komponent fordi all internkontroll er fokusert på å redusere risikoen for at målsetninger ikke nåes. Kontrollaktiviteter er selskapets respons på de identifiserte risikoer fra risikovurderingen. Informasjon og kommunikasjon er den komponenten som setter de øvrige i stand til å fungere optimalt ved at relevant og tidsriktig informasjon tilflyter de som trenger den. Avslutningsvis sørger overvåkning for at internkontrollsystemet fungerer som det skal. Alle komponentene må være på plass for at internkontrollen skal kunne fungere optimalt. Dette betyr at for å ha en god internkontroll over finansiell rapportering i samsvar med SOA må alle fem komponentene i COSO-rammeverket være på plass.

Kontrollaktiviteter er gjerne den delen av COSO som er enklest å dokumentere. Det er gjerne arbeidskrevende fordi omfanget er stort, men det er forholdsvis konkret. Når noen utfører en bankavstemming, er det greit å både kartlegge hva vedkommende gjør, og samtidig teste avstemmingen i ettertid. Når det gjelder de øvrige komponentene, som i SOA kalles «Company Level Controls», er det vanskeligere. Hvordan skal man for eksempel teste ledelsens integritet og moral? Det er imidlertid klart at hvis SOAs krav om effektiv internkontroll over finansiell rapportering skal være en respons på de finansielle skandalene man har sett, må slike Company Level Controls være velfungerende. Revisorer vet av erfaring at det ofte er her problemene dukker opp. De alvorlige regnskapsfeilene oppstår normalt sett ikke som en følge av svakheter på transaksjonsnivå. Det som ofte er problemet, er periodiseringer og andre justeringer av transaksjonsstrømmene. I den grad man opplever manipulerte regnskaper, skjer dette ofte som en følge av overstyring fra ledelsen.

La oss nå gå noe inn i detaljene for hvordan man gå frem for å organisere et slikt prosjekt.

3.3 Oversikt

I modellen nedenfor vises en metode for hvordan prosjekter knyttet til SOA kan deles opp:

figur

Figur 4 Skjematisk oversikt over de ulike faser i et internkontrollprosjekt

I første fase må ledelsen bestemme hvilke elementer i selskapets rapportering og prosesser som skal være gjenstand for vurdering. Andre fase består i å systematisk og konsistent dokumentere de deler av internkontrollen som ble valgt ut i scopingfasen, mens man i den tredje fasen tester det som er dokumentert. Avslutningsvis konkluderer ledelsen og avgir sin erklæring. Disse fire fasene er sekvensielle. Løpende gjennom prosessen må man gjøre vurderinger av hvorvidt internkontrollen må endres eller oppgraderes. Dette er en iterativ prosess. I prosjekter som er så omfattede som dette, er kommunikasjon, prosjektstyring og faglig kvalitetssikring avgjørende og pågår kontinuerlig.

3.4 Scoping

I utgangspunktet skal internkontrollen forhindre at vesentlige feil kan oppstå i selskapets eksterne finansielle rapportering. Scoping omhandler den fasen av prosjektet der man definerer hvilke deler av den finansielle rapporteringen som internkontrollen må dekke for at man skal kunne forhindre at vesentlige feil oppstår i den eksterne finansielle rapporteringen.

Scopingen gjøres i flere dimensjoner. For det første plukker man ut de konti som enten kvantitativt er store nok til å kunne inneholde vesentlige feil, eller som på grunn av spesielle karakteristika er spesielt risikoutsatte. Konti for nedskrivninger er et eksempel på det siste. Utvalgte konti kalles signifikante. I tilknytning til signifikante konti bestemmer man også hvilke regnskapspåstander som er relevante for de enkelte konti. Videre bestemmer man hvilke prosesser som genererer transaksjoner til de utvalgte konti. I den grad det er relevant, bryter man prosessene ned i homogene transaksjonsstrømmer. Eksempelvis vil et selskap som bedriver vanlig kontantsalg over disk samtidig som man selger de samme varene via Internett med tredjepartsdistribusjon, normalt sies å ha to forskjellige transaksjonsstrømmer innenfor inntektsprosessen. Det er forskjellig risiko og internkontroll for disse transaksjonsstrømmene. Avslutningsvis vil scopingen også foreta en gruppering av de enkelte delene av et selskap slik at arbeidsomfanget kan effektiviseres. Man deler gjerne inn i fire grupper:

  • signifikante lokasjoner
  • lokasjoner med en spesifikk risiko
  • lokasjoner som ikke er signifikante i seg selv, men som kan bli det sammen med andre
  • uvesentlige lokasjoner både selvstendig og aggregert med andre

Den viktige gruppen er signifikante lokasjoner. Her skal alle signifikante konti, regnskapspåstander og prosesser dekkes. For de øvrige er omfanget kun utvalgte deler.

Scoping er at arbeid som i meget stor grad er basert på skjønn og kvalitative vurderinger. Kvalitative retningslinjer i standarden er imidlertid gjenstand for omfattende diskusjon i revisjonsbransjen og en viss konsensus er oppnådd i forhold til hvor stor del av et konsern som må fanges opp av SOA-gjennomgangen. For det første må de delene av konsernet som defineres som signifikante lokasjoner, utgjøre mer en 60-70 prosent 9 av konsernets omsetning og totale eiendeler 10. For det annet må gjennomgangen av de signifikante lokasjonene medføre at alle konti som er plukket ut, blir dekket med minst 50 prosent.

3.5 Kartlegging og dokumentering

Etter at scopingen er gjennomført, vet man hvilke prosesser som skal være underlagt en kartlegging og testing. Den virkelig store jobben kan begynne. SOA fokuserer hovedsakelig på kontroller. Det er imidlertid nødvendig å kjenne flyten i en prosess eller subprosess relativt godt for å kunne vite både hva slags målsetninger man må ha med internkontrollen for denne prosessen/subprosessen, og hvilke risikomomenter man står overfor. Det er først når man vet dette, at man kan vurdere om man har tilstrekkelig med kontroller på plass.

Arbeidsgangen blir å først skaffe seg en god kunnskap om prosessen/subprosessen. Det er ikke stilt noen krav til hvordan denne kunnskapen skal fremskaffes og dokumenteres, men vår erfaring er at bruk av flytdiagram er en meget god måte å gjøre dette på. Dette er også oppfattet som «best practise» i markedet.

Neste skritt blir å dokumentere hvilke kontroller som finnes i prosessen/subprosessen. Det som er viktig i denne fasen, er å koble sammen hvilke kontrollmålsetninger som er relevante for prosessen, hvilke risikoer som truer oppnåelsen av de enkelte målsetninger, og hvilke kontroller som reduserer risikoene til et akseptabelt nivå.

Når kunnskap om prosessen/subprosessen og kontrollene er dokumentert, må man gjøre en «walk-through» 11. Dette er simpelthen en prosedyre hvor man følger en transaksjon eller en bunke med transaksjoner gjennom alle trinn i flytdiagrammet. Revisorer kaller gjerne dette en «vugge til grav-test». Formålet er å verifisere at det man har kartlagt og dokumentert, faktisk stemmer med hvordan prosessen fungerer.

Avslutningsvis definerer man hvilke kontroller i prosessene og subprosessene som er nøkkelkontroller, og a om kontrollene reduserer identifisert risiko tilstrekkelig. Dersom de ikke gjør dette, oppstår behovet for «reparasjon».

Som dere kan forestille dere, er dette et formidabelt arbeid. I et stort konsern med mange rapporterende enheter kan antall prosesser og subprosesser fort komme opp i et firesifret antall. Selskapet må da utarbeide et flytdiagram for hver prosess og subprosess.

3.6 Testing og validering

I starten av denne fasen er selskapets internkontroll dokumentert på en konsistent måte, og man har konkludert med at internkontrollen er designet slik at den med stor sannsynlighet vil forhindre at vesentlige feil oppstår i selskapets eksterne finansielle rapportering. Hovedfokus i testings- og valideringsfasen er om kontrollene faktisk fungerer slik de er designet, og om de som utfører kontrollene, har tilstrekkelig kompetanse til å gjennomføre og forstå kontrollene.

Det er kun de kontrollene som er definert som nøkkelkontroller, som må testes 12. Hvordan man fastsetter hva som er en nøkkelkontroll, finnes det ikke noe klart svar på. Dette er basert på skjønn, men hovedkriteriet for utvelgelse er hvorvidt kontrollen er godt egnet til å møte én eller helst flere identifiserte risikoer knyttet til kontrollmålsetninger. Gode nøkkelkontroller er ofte ende-til-ende-kontroller eller input-/output-kontroller. Dersom man på en god måte kan avstemme de råvarene som er konsumert i produksjonsprosessen med det produserte volumet, og selskaper faktisk utfører denne avstemmingen regelmessig, er dette en kontroll som gir god sikkerhet for at produksjonsprosessen ikke «lekker», og at det ikke foregår underslag av enten råvarer eller ferdigvarer. Denne kontrollen vil ofte bli definert som en nøkkelkontroll.

For hver prosess/subprosess bør det utarbeides testplaner som spesifiserer hvordan og fra hvilken tidsperiode utvalget skal plukkes fra, størrelsen på utvalget som skal testes, og hva slags testmetode som skal benyttes.

3.7 Konklusjon og attestasjon

Løpende vil det avdekkes svakheter både i internkontrolldesignen og i forhold til hvordan kontrollene fungerer. Dette registreres som «svakheter» 13. Svakhet i designen vil man oppdage fortløpende i kartleggings- og dokumentasjonsfasen. Innenfor hver prosess eller subprosess må det fortløpende gjøres en vurdering av hva som må «repareres». En svakhet i denne sammenheng er at identifisert risiko ikke blir tilstrekkelig redusert av en eller flere kontroller.

Når man kommer til testfasen vil det også her identifiseres «svakheter». I denne sammenhengen betyr det at kontrollen enten ikke fungerte som man hadde tenkt, eller at vedkommende som utfører kontrollen, ikke har tilstrekkelig kompetanse til å gjøre dette. Da testingen skjer i slutten av prosjektet, vil det være begrensede muligheter for å reparere kontrollen når det identifiseres svakheter. Dersom man står igjen med svakheter som ikke kan rettes, eller som ikke ønskes rettet, må ledelsen foreta en vurdering av hvor alvorlige svakhetene er. Vurderingen skal både gjøres for hver enkelt svakhet og for grupper av svakheter. Identifiserte svakheter kan enten alene eller sammen med andre svakheter ha en alvorlighetsgrad som gjør at de klassifiseres som en «signifikant svakhet» 14 eller som en «vesentlig svakhet» 15. Vurderingen gjøres basert på sannsynligheten for at en feil kan oppstå, samt den potensielle størrelsen på feilen. Vesentlig svakhet innebærer at det er mer enn «svært lite sannsynlig» at en feil som er vesentlig for finansregnskapet, ikke vil bli fanget opp av selskapets internkontroll av finansiell rapportering. Som en tommelfingerregel kan man si at en signifikant svakhet har den samme sannsynlighetsvurderingen som en vesentlig svakhet, mens en potensiell feil bare trenger å være ca 1/5 av det den må være for at den skal kunne klassifiseres som en vesentlig svakhet. Dette kommer til å bli svært skjønnsmessige og kompliserte vurderinger å gjennomføre, både for selskapet selv og for revisor.

Dersom selskapet skal kunne gi en erklæring som sier at selskapets internkontroll for finansiell rapportering er effektiv, kan det ikke eksistere noen vesentlige svakheter noe sted i konsernet som ikke er rettet. Det kan finnes signifikante svakheter, men dersom det er flere, må man vurdere om de kan aggregeres til å bli en vesentlig svakhet.

4 Avslutning

De av oss som arbeider med Sarbanes-Oxley Act, går spennende tider i møte. For det første er det kun snakk om svært kort tid før det første selskapet i USA avgir sitt offisielle regnskap for 2004 med erklæringen vedrørende internkontroll og revisors attestasjon. Det blir interessant å se hvordan de har løst oppgaven. Hvordan vil markedet reagere på identifiserte vesentlige svakheter publisert som en del av erklæringen? Får dette betydning for aksjekursene? Hva med finansieringskostnadene?

Det som i fremtiden blir mer spennende for en bredere krets, er imidlertid hvordan EU og Norge har tenkt å forholde seg til dette regelverket. Det sies at Kredittilsynet har diskutert situasjonen for norske forhold, og EU-kommisjonen har gitt signaler om at de vurderer å modernisere det 8. selskapsdirektiv, blant annet for å øke tilliten til kapitalmarkedene.

For min egen del tror jeg fullt og helt på at dette kommer til EU og Norge, det er kun et spørsmål om tid. Formen på regelverket kan det godt hende vil avvike, men et regelsett som omhandler de samme grunnleggende problemstillingene, vil sannsynligvis komme til EU og Norge innen få år. Dette vil være en krevende utfordring, men gjennom rett fokus på kvalitet og tillitt til regnskapsrapportering vil det bidra til høyere presisjon og bedre internkontroll for finansiell rapportering.

  • 1: U.S. Congress,Sarbanes-Oxley Act of 2002, Pub. L. 107-204, 116 Stat. 745 (2002)
  • 2: Samuel A. DiPiazza, Jr og Robert G. Eccles for PricewaterhouseCoopers:Building Public Trust - The Future of Corporate Reporting. (New York: John Wiley & Son, Inc., 2002)
  • 3: Se fotnote 2.
  • 4: Samme sannsynlighetsdefinisjon som i NRS 13 - Usikre forpliktelser og betingede eiendeler, pkt. 3.2
  • 5: - PCAOB's Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial Statements. - PCAOB's Auditing Standard No. 3, Audit Documentation and Amendment to Interim Auditing Standards.
  • 6: U.S. Congress,Sarbanes-Oxley Act of 2002, Pub. L. 107-204, 116 Stat. 745 (2002), Section 404
  • 7: PCAOB Auditing Standard # 2 § 13
  • 8: Committee of Sponsoring Organisations of the Treadway Commission (COSO or COSO report)
  • 9: I Auditing Standard # 2 har man benyttet begrepet «large portion».
  • 10: Det er mulig å velge andre måleenheter, som f.eks. resultat før skatt eller egenkapital. Det viktige er at man velger én måleenhet for resultatregnskapet og én måleenhet for balansen. Selskapet må velge det de mener passer best til sin virksomhet.
  • 11: PCAOB Auditing Standard # 2 § 79
  • 12: PCAOB Auditing Standard # 2 § 86
  • 13: Den amerikanske termen er «deficiency»
  • 14: I amerikansk terminologi er dette «Significant Deficiency»

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS