Happy Birthday SOX

Var de regnskabskontroller og bestemmelser for God selskabsledelse, kaldet SOX, der blev indført efter Enron skandalen, overflødige eller nyttige? Den generelle bedømmelse 10 år efter er, at SOX har opfyldt nogle af de udfordringer, lovgivningen skulle adressere: Ansvarlighed, gennemsigtighed, beskyttelse af aktionærerne, revisors uafhængighed, objektivitet og en sund professionel skepsis er nogle af de positive effekter af SOX, der har styrket tilsynet med erhvervslivet.

Sarbanes-Oxley Act af 2002 (ofte forkortet SOX) formål er at beskytte aktionærerne og offentligheden fra regnskabsmæssige fejl og svindel. SOX § 404 kræver at alle børsnoterede selskaber skal udarbejde interne kontroller og procedurer for finansiel rapportering samt løbende dokumentere, teste og vedligeholde at disse kontroller og procedurer er effektive.

Hver gang en ny lovgivning kræver, at selskaber etablerer flere administrative kontroller og andre compliance-aktiviteter, deler virksomheder sig normalt i to kategorier. Den ene gruppe fokuserer udelukkende på grundlæggende overholdelse af reglerne, så de forhåbentlig til sidst finder, at de har indført en sammenhængende ramme af øget kontrol, der fører til bedre data og retvisende regnskaber.

Den anden gruppe af virksomheder derimod forstår den fulde betydning af Compliance aktivitet, opdeler det i mindre projekter for God selskabsledelse, risikostyring, rapportering, etablering af revisionsudvalg, it-sikkerhed, og bruger tid og ressourcer til at gennemføre dem.

Med andre ord, SOX - og den voldsomt udskældte § 404 - forpligter dem til at tænke strategisk, modernisere deres kontroller og processer og producere en langsigtet plan for deres IT-sikkerhed (fx en platform). Disse virksomheder kan opnå langt større effektivitet, sikkerhed, og i sidste ende omkostningsbesparelser.

Procedure snarere end substans

Investorerne har altid insisteret på visse grundlæggende regnskabs- og kontrolregler, processer og procedurer, når virksomheder har brug for deres penge eller investerer dem på deres vegne. Dokumentation, test og beviser for Compliance er besværlige størrelser for sjuskede organisationer, som er nødt til at starte fra bunden, idet de mangler den korrekte procesdokumentation eller har kun forældede versioner.

Overholdelse af de enkelte aktiviteter fra anbefalinger fra God selskabsledelse, risikostyring eller compliance (GRC) skaber værdi. De fleste undersøgelser viser, at indførelse af GRC har været god for aktiestigninger. Implementering af GRC er en læreproces, eller en rejse, der kræver forpligtelse og engagement fra bestyrelsen. Når de forskellige komponenter af GRC udfolder sig, kan ledelsen åbenbare, at det detaljerede arbejde med processerne kan være meget komplekst, og kompleksiteten kan også medføre utilsigtede konsekvenser, hvis ekspertisen mangler.

Forud for sin tid

I løbet af de 10 år, SOX har været med til at udvikle den finansielle disciplin ved at gennemføre strenge kontroller og risikostyringssystemer, har vi set katastrofer som AIG (2004), Madoff og Lehman Brothers (2008), Satyam Computer Services (2009), og den langvarige kredit-og finanskrise (2010 -) og på det seneste en række finansskandaler. Det kunne jo tyde på, at SOX ikke var nok eller ikke var tilstrækkelig.

En af de mere kontroversielle bestemmelser i SOX, var § 404, der med 146 ord, beskrev, hvordan intern kontrol over finansiel rapportering skal overholdes. Det ser ud til, at SOX var den sidste amerikanske lovgivning, der var præcis, kortfattet og forståeligt. Det frygtelige 848 sider lange, The Dodd-Frank Act, der sigter på at styrke landets finansielle system efter krisen, vakler på sine fødder med ganske små skridt, 2 år efter dets gennemførelse, fordi den mangler afgørende styrke og drukne i detaljer og undtagelser.

Absurde resultater og omkostninger

I lighed med andre væsentlige procesforbedrings projekter eller -aktiviteter, blev SOX ikke implementeret korrekt i begyndelsen. Ledelsen var mere fokuseret på procedurer end substansen i de 146 ord i § 404. Senere beskyldte økonomicheferne SOX reglerne for de absurde resultater og omkostninger. Andre virksomheder derimod, brugte indholdet i § 404, kombinerede det med GRC komponenter, og forbedrede deres beslutninger vedr intern kontrol over finansiel rapportering. Deres opmærksomhed var på God selskabsledelse, ansvarlighed og materielle konsekvenser snarere end på proces.

Når nu SOX lige har haft 10 års jubilæum (29. juli 2012), så lad os fremhæve de 10 positive gevinster i SOX:

     01. Forbedret revisionskvalitet på trods af en reduktion af de samlede revisionsomkostninger. Flere kontroller udføres af personale i overensstemmelse med § 404.

     02. Stakeholdere og investorer har større tillid til virksomheder og regnskaber

     03. Efter indførelse af revisionsstandard nr. 5, som har en principbaseret tilgang, er der større harmoni i de amerikanske revisionsprocesser

     04. Revisionsudvalg gør et bedre stykke arbejde end før SOX på grund af den styrkede rolle for uafhængige revisionsudvalg og fokus på God selskabsledelse.

     05. SOX har eskaleret ansvar for kontroller og risikostyring til bestyrelsesniveauet, som skal sikre, at de interne processer og systemer virker, og at der er tilstrækkelig dokumentation for, at regnskabet er retvisende.

     06. Intern kontrol med den finansielle rapportering er blevet bedre

     07. Virksomhederne forsøger til stadighed at forbedre kvaliteten af den interne kontrol og effektiviteten af deres compliance processer

     08. Øget vægt på IT og automatisering af interne kontroller for at opnå en betydelig forbedring af processerne og omkostningsbesparelser

     09. SOX har indført et kvalitativt aspekt for at sikre, at der er styr på de mest risikable it-processer, og der kræves flere test.

     10. SOX og lign. er blevet indført i flere lande og kan dermed give internationale investorer større sikkerhed

Det skal indrømmes, at der var nogle elementer i lovgivningen som var i kategori overkill, på grund af fejlfortolkninger af enkelte revisionsbegreber, men senere justeringer har tilføjet mere præcision til definitionerne. Sandsynligvis har vi blot lært at leve med SOX som alt mulig andet tilsyn.

Selvfølgelig var der et ramaskrig over de negative elementer, da SOX skulle gennemføres. Høje revisionshonorarer og afhængighed af konsulenter til at udarbejde procesdokumentation og test fjernede fokus fra de fornuftige elementer, som også indgik i SOX. Men efter 10 år kan virksomhederne konstatere forbedret revisionskvalitet, reduktion af revisionsomkostninger og ikke mindst at stakeholdere- og investorer har større tillid til virksomheder og regnskaber.