Norske bedrifter må lære kravene til Sarbanes-Oxley

Konsekvensen er at det skal være mulig å spore en økonomisk transaksjon fra den oppstår til den avsluttes i regnskapet. På mange måter handler Sox også om å forsterke revisorers uavhengige stilling.

Det skal eksempelvis ikke være mulig for en leder å drive valutaspekulasjon slik at virksomheten taper millioner av kroner. Det skal ikke være mulig å spørre; hvor var revisor? når en virksomhet går konkurs. Tilfellet Finance Credit skal ikke kunne oppstå.

Europeiske og norske myndigheter må derfor være interessert i strengere krav til rapportering, ikke bare selve regnskapsføringen, men også de økonomiske beslutningene som påvirker resultatet.

Norske selskaper

Alle amerikanske selskaper i Norge må forholde seg til Sarbanes-Oxley. Et titalls norske virksomheter må også klare kravene, fordi de eller eierne er notert på en amerikansk børs, deriblant Hydro, Statoil og Telenor.

I Japan skal det innføres regler som ifølge prosjektleder Halvor Bru i Telenor tilsvarer et 8Mini-Sox8.

Det er et omfattende arbeid og en betydelig kostnad å tilpasse seg Sarbanes-Oxley. Telenor vil antakelig bruke over 150 årsverk fordelt på alle bedriftene hvor selskapet har mer enn 50 prosent eierandel.

-- Tilpasning til Sarbanes-Oxley er et veldig stort prosjekt i Telenor som vi har introdusert i samarbeid med Price Waterhouse Coopers. Vi benytter mye tid på å dokumentere våre rutiner. Vi har etablert styringsregler for ledelsen som er i samsvar med kravene. Alle må lese og signere, sier Torstein Moland, konserndirektør for finans og økonomi i Telenor.

Ingen er villig til å stå frem og fortelle om kostnadene, men alle er enige om at det bidrar til en mer profesjonell virksomhet. Etterlevelse vil være et konkurransefortrinn for nye oppdrag.

Inntekter og kostnader

Teoretisk vil bedre styring som Sox bidra til reduksjon av inntektslekkasjer, det vil si uteglemt fakturering, som statistisk er på to til fem prosent. Bare to prosent omsetningsøkning kan være et ekstra løft.

Etterlevelse av kravene fører til at revisjonskostnadene øker. For de største amerikanske virksomhetene er regningen anslått til mellom to og ti millioner dollar. Håpet er at it-verktøy etter hvert vil bidra å redusere revisjonskostnadene.

I en amerikansk undersøkelse svarte 70 prosent av de økonomiansvarlige at fortrinnene ved å etterleve Sox ikke overstiger kostnadene. I en annen undersøkelse svarte 84 prosent at etterleving av Sox er en utfordring. Av disse anser 49 prosent at Sox er en omfattende utfordring.

-- Kravene til Sarbanes-Oxley krever 40 prosent av min tid, generell sikkerhet 20 prosent, revisjon av sikkerheten 25 prosent og Microsoft SMS 15 prosent, sier Michael Kamens, sikkerhetssjef i instrumentfirmaet Thermo Electron Corporation.

Fengsel

-- Forholder man seg ikke til Sarbanes-Oxley, vil den ansvarlige kunne risikere inntil 20 års fengsel, sier Halvor Bru, prosjektleder for Telenors prosjekt for Sarbanes-Oxley.

I USA har Enron, Tyco og Worldcom, og i noe mindre grad, Arthur Andersen og Computer Associates, sørget for de store økonomiske skandalene. En tidligere toppsjef i Worldcom står i øyeblikket for retten tiltalt for økonomisk svindel.

Konsekvensen av økonomiske manipulasjoner er mangel på tillit, og uten tillit kan ikke virksomheten leve. Enron og Arthur Andersen har blitt borte, Worldcom har blitt kjøpt opp.

I Europa har matvaregigantene Ahold og Parmelat skapt skandale.

Kravene til Sox, seksjon 404, skal sørge for at den økonomiske rapporteringen er til å stole på. En erklæring skal stå i årsregnskapet, både fra ledelsen og fra revisor om at rutinene for å sikre den økonomiske rapporteringen er på plass.

-- Det gjelder å ha kontroll. Det omfatter å vite hva du har, hvorfor det er der og hvordan du kontrollerer det, sier Kristian Borge-Jensen, programvaresjef i Hewlett-Packard.

Tidsfrist

Tidsfristen for amerikanske selskaper var årsskiftet. Det gjelder først og fremst selskaper som har en børsverdi over en viss størrelse, anslått til 75 millioner dollar. Tidsfristen for de norske selskapene er neste årsskifte.

75 dager etter årsavslutning, 40 dager etter kvartalsavslutning skal regnskapene være godkjente med nødvendige forsikringer.

Dødsfristen for norske selskaper som omfattes av Sox, er 15. mars 2006. Da skal regnskapet presenteres i endelig form i henhold til kravene.

To separate kontrollsystemer gjelder, ett for nøkkelkontroll for den økonomiske rapporteringen og ett for at toppledelsen er edruelig med hensyn til resultatpåvirkning. I praksis gjelder det etiske retningslinjer. Det er seksjon 302 som omfatter sertifisering av ledelsen.

-- Det hele handler om å kunne dokumentere økonomikontrollen fra ende til ende og 8Tone at the Top8. For små firmaer gjelder det å dokumentere 8Tone at the Top8, forklarer Halvor Bru.

Etiske retningslinjer bør dermed få mye større oppmerksomhet i utdannelsen til jurister, ingeniører og økonomer. Derfor har amerikanske selskaper jobbet i over ett år med å tilpasse seg kravene i Sarbanes-Oxley.

Kopierer

-- Vi startet med å tilpasse oss kravene i mai 2004, sier Halvor Bru.

Telenor må sertifisere alle de selskapene de eier mer enn 50 prosent av. De utenlandsk eide selskapene har derfor vært i Norge for å kunne samkjøre seg med arbeidet her.

I øyeblikket foretas det dokumentering. Telenors utenlandske mobiltelefonselskaper kopierer oppsettet til Telenor.

-- De dyktigste teamene er i fjerne Østen, hevder Halvor Bru.

Eksempler er Digi i Malaysia, Grameenphone i Bangladesh, Kyvistar i Ukraina og det nye selskapet i Pakistan. Russiske Vimplecom som Telenor er en stor deleier i, er notert på børs i USA og må derfor selv jobbe med kravene til Sox.

-- 15. april skal vi være ferdig med dokumentasjonen, påpeker Halvor Bru.

Deretter er det test, justeringer, bruk, og ny testing i august.

Et annet norsk selskap som må klare kravene er EDB Business Partner ASA på grunn av Telenors eierandel.

-- Sarbanes-Oxley gjelder ikke hele bedriften, men EDB IT-drift må klare kravene, sier Tore Valderhaug, økonomi og finansdirektør i EDB Business Partner.

Støtte

En rettesnor er COBIT-metodikken (Control Objectives for Information and related Technology) fra ISACA (Information System Audit and Control Association). Den legger opp til skjeletter for kontrollfunksjonene.

Alternativer er COSO (The Committee of Sponsoring Organizations of the Threadway Commission) og Systrust fra AICPA (American Institute of Certified Public Accountants).

COSO anbefales av den amerikanske børsinspeksjonen SEC (Security Exchange Commission), men COSO er ikke et krav i forhold til Sox. COSO er et startgrunnlag for mer profesjonell intern kontroll, et resultat av bankproblemer i 1990. Enda ett alternativ er ISO 17799.

Alle de store revisjonsselskapene har derfor jobbet sammen for å komme frem til retningslinjer de kan benytte i forhold til sine klienter. Virksomhetens ansvarlige revisor kan ikke benyttes som rådgiver.

Telenor, som har Ernst & Young som ansvarlig revisor, bruker Price Waterhouse Coopers som sin rådgiver for Sox.

De viktige kravene er å dokumentere en arbeidsflyt for de økonomiske forholdene med nødvendige kontrollpunkter og tester.

Testing

Resultatet skal være en kartlegging som medfører oppretting av nødvendige kontrollpunkter, dokumentasjon, testing, retting, bruk i tre måneder, før ny testing. Gjennomføres den siste testen tilfredsstillende, har virksomheten klart kravene og kan trygt skrive under.

-- Sox-prosjektet er et stor løft for Hydro. Vi har ut året på å klare kravene, men vi vil bli ferdig før det. Realiseringen følger linjen, sier Trygve Kristoffer Nilssen, it-direktør i Hydro.

Det betyr at divisjonene Olje og Gass er ansvarlig for sine rutiner, Aluminium er ansvarlige for sine. Sentral it tar ansvar for felles oppgaver.

Disse oppgavene omfatter adgangskontroll med sikker autentisering, forandringsrutiner, tilgjengelighet av infrastruktur og integritet av data.

Sistnevnte omfatter å ta vare på og sikre at data ikke blir borte, samtidig som de kan spores. Det kan være nødvendig å sikre kopier av alle regneark som benyttes for økonomiske vurderinger. Livssyklus av data er et stikkord.

Konsekvensen er at ikke hvem som helst får lov til å lage rutiner tilknyttet en database. Et gruppepassord for it-fagfolk for å lage programprosedyrer (Scripts) vil ikke kunne godkjennes i henhold til seksjon 404.

Påbygg

Etter hvert vil det komme en rekke påbygg på programvare og verktøy for kontroll av rutinene. De fleste som har laget kontrollverktøy, er foreløpig mindre kjente, men også de kjente har våknet.

Hewlett-Packard utvider HP Openview med ekstra styringskontroll for å håndtere Sox og virksomhetsstyring.

Microsoft utvider Office for Sox med Office Solution Accelarator for Sarabanes-Oxley. Programvaren er gratis og kan lastes ned over nettet.