Standard Norge, ISACA Norway Chapter og Norges Interne Revisorers Forening (NIRF)

Høringssvar vdr. NOU:16 Om foretaksstyring og tiltak mot manipulering av finansiell informasjon.

 

Innledning

Dette høringssvaret er et samlet svar fra tre forskjellige institusjoner som alle er opptatt av temaene bokføring, revisjon, styring og internkontroll i forskjellige sammenhenger. Vi føler at selv om våre ståsteder er forskjellige, så er våre interesser så sammenfallende at det er bedre å gi et samlet svar på denne høringen fra Finansdepartementet.

Prosjekt NorSox i Standard Norge har under arbeid et dokument som skal kunne bli et verktøy for norske bedrifter som ønsker å sette fokus på ”helhetlig foretaksstyring og kontroll”. Prosjekt NorSox legger til grunn for sitt arbeide bla de lovendringer som forventes ved implementering av EU direktivene:

  • Fjerde selskapsdirektiv 78/660/EØF; - Regnskapsdirektivet endres nå ved nytt direktiv 2006/46/EF
  • Syvende selskapsdirektiv 83/349/EØF; - Konsernregnskapsdirektivet, endres nå ved direktiv 2006/46/EF samt henvisninger til fjerde direktiv
  • Åttende selskapsdirektiv; - Gjeldende direktiv er 84/253/EØF erstattes av 2006/43/EF

Mandatet for utarbeidelsen av dokumentet i prosjekt NorSox er:

  • ”Lage nøytrale og forståelige prinsipper for god virksomhetsstyring (med særskilt fokus på IKT). Retningslinjer basert på disse prinsippene vil bidra til at virksomheter innfører god risikostyring og internkontroll med utgangspunkt i det operative risikobildet.
  • Prinsippene omfatter rammeverk, retningslinjer, prosesser, oppgaver, adferd og andre forhold som bidrar til å sikre at virksomheten opererer i samsvar med relevante lover, forskrifter og internasjonale standarder for virksomheten. 
  • Retningslinjene skal tilfredsstille lovmessige krav og forskrifter som gjelder virksomhetsstyring i virksomheter av allmenn interesse: dvs børsnoterte selskaper, statlig eide virksomheter, offentlige/departementale foretak, finansvirksomhet og SMB-virksomheter m.m.
  • Prinsippene skal demonstreres ved eksempler fra virksomheter som kan si at de følger ”Beste Praksis”.

Prosjektet vil i løpet av 2kv/2009 komme med et slikt dokument

ISACA Norway Chapter (IS Audit and Control Association) er en organisasjon for IT revisorer, personer innen IT sikkerhet og Kontroll. Foreningen er internasjonal og har 86000 medlemmer i 160 land. Foreningens hovedmål er å sikre at profesjonelle utøvere av revisjon og sikkerhet har et felles rammeverk å arbeide ut ifra som også er forankret i oppfyllelse av lover og forskrifter i de forskjellige landene hvor organisasjonen er aktiv. ISACA har derfor utarbeidet rammeverket CobiT som er en de Facto standard i innføring av god internkontroll innen operasjonell IT og IT Governance (IT Styring og Kontroll).
”… Since its inception, ISACA has become a pace-setting global organization for information governance, control, security and audit professionals. Its IS auditing and IS control standards are followed by practitioners worldwide. Its research pinpoints professional issues challenging its constituents. Its Certified Information Systems Auditor (CISA) certification is recognized globally and has been earned by more than 60,000 professionals since inception. The Certified Information Security Manager (CISM) certification uniquely targets the information security management audience and has been earned by more than 10,000 professionals. The Certified in the Governance of Enterprise IT (CGEIT) designation promotes the advancement of professionals who wish to be recognized for their IT governance-related experience and knowledge and has been earned by more than 200 professionals….”

Norges Interne Revisorers Forening (NIRF) er en del av det internasjonale Institute for Internal Auditors (IIA). NIRF er interesseorganisasjonen for alle som arbeider med eller har interesse av fagområdene intern revisjon, risikostyring, styring og kontroll og corporate governance. NIRF er et såkalt National Institute av den globale organisasjonen The Institute of Internal Auditors (IIA Inc.). IIA Inc. oppstod i New York i 1941, og har siden vokst til en verdensomspennde organisasjon med mer enn 160.000 medlemmer og er lokalisert i mer enn 120 land. IIAs medlemsmasse arbeider innenfor internal auditing, governance and internal control, IT audit, education, and security.
NIRF er medlem av, og var med å stifte, The European Conferation of Institutes of Internal Auditing (ECIIA). ECIIA er en organisasjon bestående av i alt 28 nasjonale foreninger i Europa og Middelhavsområdet.
 

Kommentarer fra prosjekt NorSox, ISACA og NIRF:

Generelt

Innledningsvis vil alle tre institusjoner uttrykke en glede over at det nå skjer en harmonisering mellom EUs direktiver og norske lover og forskrifter. I dette tilfellet har mye av den norske lovgivningen vært toneangivende og de fleste ”primære” krav som stilles til foretaksstyring, regnskap, bokføring, revisjonshandlinger og interkontroll i direktivene er allerede innarbeidet i de norske selskapene som er underlagt Kredittilsynet innenfor bank, forsikring og meglingsvirksomhet. For både lovutreder og interesseorganisasjonene kan man derfor si at kravene stilt i EUs direktiver allerede er godt kjent og innarbeidet i denne bransjen. De forslag til endringer i norske lovtekster som foreslås har derfor interesseorganisasjonene ingen grunnleggende kommentarer til. Vi har heller ikke noen kommentarer knyttet til at de eksisterende kravene til bank, forsikring og meglingsvirksomhet utvides til også å gjelde børsnoterte selskaper
NorSOX, ISACA og NIRF vil derfor bruke dette høringssvaret til å poengtere to ”sekundære” krav som ligger implisitt eller eksplisitt i EUs direktiver. 

  • Hvilke type bedrifter/virksomheter som blir berørt; 
  • Omfang av krav til oppfølging og kontroll av forskjellige typer operasjonelle risiko i tillegg til de finansielle (Markedsrisiko og Kredittrisiko) som i dag vektlegges.

Kommentar nr 1:
Hvilken kategori bedrifter skal gi redegjørelse i forbindelse med årsberetningen?
- Regnskapsloven §3-3b Redegjørelse om foretaksstyring. Første avsnitt

I forslaget til endring i denne paragrafen referer man til..”utstedere med Norge som hjemstat etter verdipapirhandelsloven §5-4….” og sitat: ”…… gjelder for utstedere med Norge som hjemstat hvis omsettelige verdipapirer er opptatt til handel på regulert marked. Det betyr: Aksjeselskaper som er listet på Børs i Norge, banker og forsikringsselskaper med tilsvarende listing, omtalt som ”foretak av allmenn interesse”.

Med henvisning til den opprinnelige teksten i EU Direktiv 43/2006 på side 6 under punkt 13, blir dette et spørsmål om fortolkning av begrepet “foretak av allmenn interesse” hvor det sies noe om hva "public-interest entity" betyr.

“13. 'public-interest entities' means entities governed by the law of a Member State whose transferable securities are admitted to trading on a regulated market of any Member State within the meaning of point 14 of Article 4(1) of Directive 2004/39/EC, credit institutions as defined in point 1 of Article 1of Directive 2000/12/EC of the European Parliament and of the Council of 20 March 2000 relating to the taking up and pursuit of the business of credit institutions (1) and insurance undertakings within the meaning of Article 2(1) of Directive 91/674/EEC.

Member States may also designate other entities as public-interest entities, for instance entities that are of significant public relevance because of the nature of their business, their size or the number of their employees;”

Som tidligere nevnt vil innføringen av disse direktivene ikke ha stor innvirkning på selskaper som allerede er underlagt Kredittilsynets IKT forskrift og forskrift til Internkontroll da disse allerede harmoniserer med EUs direktiver.

- Imidlertid vil det være en utvidelse av ”nedslagsfeltet” og en innskjerpning overfor de børsnoterte selskapene som ikke tidligere har hatt samme krav til etablering av revisjonsaktiviteter, risikostyring, internkontroll og internkontroll-rapportering og det er blitt argumentert med at den foreslåtte utvidelse av kravene også vil gi økt beskyttelse av investorer på børsen.

NorSox, ISACA og NIRF synes dette er meget bra, men stiller samtidig spørsmål om lovutreder fortsatt er for snever i sin bruk av begrepet “foretak av allmenn interesse” i forhold til den tolkningen som er gitt i andre avsnitt. Det er her 3 forhold vi vil peke på.

  • Vi ser at flere (store og mindre) foretak som er store markedsaktører og/eller aksjeselskaper ikke vil bli omfattet fordi de ikke er børsnoterte; for eksempel Landbrukssamvirket, Nortura/Prior mfl. 
  • Videre er det siste avsnittet interessant fordi det åpner for at det enkelte land (i vårt tilfelle Norge og norske lovgivere) kan inkludere foretak i offentlig sektor som for eksempel etater, direktorater, tilsyn, NSB, helseforetak og statlige/kommunale foretak etc dersom man ønsker det. Dette overlater EU til det enkelte land å tolke inn.
  • Som man kan lese ut av denne engelske beskrivelsen kan "Public Interest entities" også tolkes til å omfatte selskaper registrert i Brønnøysundsregisteret.

Ut fra dette kan lovutreder velge å legge til grunn en bredere tolkning om at alle virksomheter basert på aksjer eller omsettelige verdipapirer som kan selges/kjøpes, er omfattet. Dette vil også gjelde små, mellomstore og store virksomheter som ikke er notert på Oslo Børs, men som allikevel er aksjeselskap eller har tilsvarende eierstruktur hvor man ønsker å ansvarliggjøring av revisor og styret og beskytte eierne/investorene uansett børsnotering eller ikke.

NorSox, ISACA og NIRF har forståelse for at lovutreder velger å gjøre begrensninger ut fra dagens situasjon med hensyn til at det er et begrenset antall statsautoriserte revisorer som kan utføre kontroll i det omfang som er nødvendig. Imidlertid synes vi det er viktig å påpeke at direktivets tekst med vilje er utformet på en slik måte at det gir et potensiale for å omfatte mange flere områder av norsk næringsliv enn bank/finans og børsnoterte selskaper hvor man allerede i dag har relativt gode reguleringer og forskrifter på plass.

Vi håper at lovutreder med basis i andre avsnitt i den engelske teksten kan kommunisere offentlig at man ved senere behov kan utvide omfanget og vi mener lovutreder burde uttrykke dette eksplisitt i lov og/eller forskrift i form av en veiledning om at de 3 EU direktivene også skal/bør/kan gjelde for offentlige forvaltningsvirksomheter som har betydelig interesse hos landets innbyggere og/eller andre unoterte markedsaktører. En slik utvidelse bør inn i de kommende lovtekstene og forskriftene.


Kommentar nr 2:
Hva er betydningen/fortolkningen av ”……en samlet redegjørelse for foretakets prinsipper og praksis for foretaksstyring”
Regnskapsloven §3-3b Redegjørelse om foretaksstyring. Først avsnitt

Det er foreslått at Redegjørelsen for foretaksstyringen skal inneholde følgende opplysninger:

pkt 1) en angivelse av anbefalinger og regelverk om foretaksstyring som foretaket er omfattet av eller som selskapet velger å følge.
pkt 4) en beskrivelse av hovedelementene i foretakets systemer for internkontroll og risikostyring knyttet til regnskapsprosessen

NorSox, ISACA og NIRF er enig i at Redegjørelsen bør se på risiko knyttet til regnskapsprosessen, men vi vil anbefale at lovutreder eksplisitt definerer at Redegjørelsen skal omfatte styring av både finansiell og operasjonell risiko knyttet til selskapets virksomhet (daglig drift) og ikke bare selve regnskapsprosessen og risiko forbundet til finansiell manipulasjon alene, men også til alle forhold som er egnet til å påvirke regnskapet.
Vi er av den formening at begrepet ”daglig drift” bør med da det er i denne sammenheng at ledelsen i foretaket kan ha behov for ”styringsverktøy” som også omfatter ”operasjonell risiko”.

Som et bilde på dette: Ingen vil føle seg komfortabel med å bruke eller investere i et flyselskap hvor pilotene ikke gjennomgår en sjekkliste før hver avgang, men bare fyller ut sjekklisten ved månedsavslutningen. Den sikkerhet vi som passasjerer eller eiere føler for at selskapet har kontroll over sin daglige drift er viktig.

Vi mener at argumentet for denne utvidelsen i risikovurdering er bygget opp rundt de direktivene som allerede gjelder for virksomheter underlagt Kredittilsynet og hvor krav om en slik utvidet risikoprofilering nevnes i Basel II-direktivet. I dette direktivet kreves det at virksomheter skal ha kontroll over så vel Operasjonell Risiko som Finansiell Risiko (Finansiell risiko er i Basel II definert som kredittrisiko pluss markedsrisiko) og presentere dette i årsberetningen.

Igjen er dette et velkjent krav for bank, forsikring og meglervirksomheter i dag og NorSox, ISACA og NIRF mener at dette også må klargjøres for øvrige børsnoterte selskaper som lovutreder ønsker å dekke inn i det forelagte utkastet til endrede lovtekster. Det vil også gi en harmonisering og komplettering mot NUES (Norsk utvalg for eierstyring og selskapsledelse) anbefaling for foretaksstyring.

De børsnoterte virksomhetene har i dag ingen tradisjon for å vurdere sin operasjonelle risiko og presentere dette i sine årsberetninger (med untak av HMS). Imidlertid er det ingen tvil om at det å pålegge styrene også å påse at operasjonell risiko er under kontroll vil bidra til at virksomhetene drives forsvarlig. (typiske operasjonelle risikoer kan være IT risiko, Styrings- og kontrollrisiko, Rammeverksrisiko, Lovpålagt og regulatorisk etterlevelsesrisiko, Etisk risiko osv. Jfr. SABSA Institute oversikt over operasjonelle risikoområder)

Slik dagens forslag er utformet har man kun lagt vekt på å få fram den finansielle risikoen i årsberetningene. NorSox, ISACA og NIRF forstår at dette er det den statsautoriserte revisoren er kompetente til å vurdere ut fra sin autorisasjon, men mener det ikke bør være en begrensning for å stille krav om å få på plass en internkontroll som ivaretar operasjonell risiko og at dette også skal synliggjøres i årsberetnings Redegjørelse og i revisors rapport.
 
NorSox, ISACA og NIRF vil derfor argumentere for en endring i Pkt 4) slik at en redegjørelse bør være "en helhetlig beskrivelse av hovedelementene i foretakets systemer for internkontroll og risikostyring knyttet til regnskapsprosessen, inkludert operasjonell risiko knyttet til IKT-anvendelse og daglig drift"    

Avslutning:

NorSox, ISACA og NIRF vil nok en gang uttrykke tilfredshet over det arbeidet som lovutreder har gjort for å harmonisere de regulatoriske kravene i EU og Norge. Dette er blitt gjort på en måte som fremmer revisjonens og risikostyringens betydning sammen med foretakstyring og kontroll. Vi håper at synspunkter gitt i våre to kommentarer kan tas med i det videre arbeidet mot endelige formuleringer i bla Regnskapsloven §3-3b

 

bia_isaca_nirf.pdf