EuroSOX og Ny forskrift for risikostyring og internkontroll Hva betyr dette for din bedrift? Advokatfullmektig Kristin Haram 6. februar 2009
Agenda: foretaksstyring, risikostyring og internkontroll Euro-SOX Foretaksstyring Nytt regelverk på trappene Risikostyring og intern-kontroll Forskrift i kraft 1.1.2009 2
3 Bakgrunn og historikk
Men. At the centre of corporate failure is human weakness and no reforms will ever fully cater for this. Individuals who wish to defraud or manipulate the system will always find a way to do so, notwithstanding even the best regulations. N. Brennan: Accounting in Crisis 4
Nytt regelverk NOU 2008:16 : Om foretaksstyring og tiltak mot manipulering av finansiell informasjon (eurosox) Kontroll på regnskapsrapportering Opplysninger om foretakets systemer for internkontroll og risikostyring knyttet til dette 5
Hva er EuroSOX? Revisjonsdirektivet (direktiv 2006/43/EF) Regnskapsdirektivet (direktiv 2006/46/EF) EuroSOX - Eus svar på Sarbanes-Oxley Act (SOX) fra 2002? Utvalgets kommentar: finner grunn til å presisere at kravene som følger av utvalgets forslag ikke er sammenlignbare med kravene etter SOX. 6
EuroSOX Formål: gode prinsipper og regler for foretaksstyring (corporate governance) Sikre at foretak har interne retningslinjer og prosedyrer for å håndtere bl a risiko, corporate governance og virksomhetskritisk informasjon danne et grunnlag for økt tillit til finansiell rapportering og mer aktivt eierskap. Behov for interne kontrollrutiner og risikostyring Mye av dette finnes allerede i andre regelverk i Norge i dag Selskapslovgivning Best praksis - anbefalinger Minstekravene i direktivene implementeres i Norge 7
Opplysningene Foretakene pålegges å gi en redegjørelse om foretaksstyring Styret og ledelsens ansvar at disse opplysningene blir gitt Direktivets minstekrav er at foretak hjemmehørende i Norge med verdipapirer notert på et regulert marked innen EØS-området skal omfattes av kravet. Direktivet artikkel 46a nr. 2 åpner for at redegjørelsen for foretaksstyring gis som et eget dokument, forutsatt at det henvises til dette dokumentet i årsberetningen. 8
Hva slags opplysninger? Om foretaket faktiske prinsipper for foretaksstyring: Etterlever loven Beste praksis Avtalemessige grunnlag Om internkontroll og risikostyringssystemer knyttet til regnskapsrapporteringsprosessen Foretakets kontroll på regnskapsrapporteringen Bidra til økt styrefokus på hvordan foretakets system for internkontroll og risikostyring bør innrettes Revisjonsutvalg Overvåke foretakets finansielle rapportering, og effektiviteten til foretakets systemer for intern kontroll, risikostyring og eventuelt intern revisjon 9
Ny forskrift fra 1.1.2009 Risikostyring og internkontroll Foretakets risikostyring er hva foretaket gjennom strategi, organisasjon, rutiner og forsvarlig drift gjør for å nå fastsatte mål og sikre sine og kundenes verdier, samt pålitelig rapportering og etterlevelse av lover og regler. 10
Risikostyring og internkontroll Formål: å bedre foretakenes risikostyring og internkontroll gjennom å utdype styrets og ledelsens ansvar utover det som følger av selskapsrettslige regler og regler i særlovgivningen 11
Risikostyring og internkontroll Fastsetter minimumskrav til foretakets prosesser for, og dokumentasjon av, risikostyring og internkontroll. Foretakenes risikostyring og internkontroll skal tilpasses virksomhetens art, omfang og kompleksitet. Prinsippet om forholdsmessighet hva som er god og tilstrekkelig risikostyring og internkontroll kan variere Formål: bedre foretakenes risikostyring og internkontroll gjennom å utdype styrets og ledelsens ansvar 12
Risikostyring og internkontroll forts. styret skal påse at risikostyring og internkontroll er sikret i tilstrekkelig omfang på en systematisk måte Prinsippene for risikostyring og internkontroll bør omfatte: Angivelse av hvordan foretaket skal vektlegge forhold av betydning for å sikre forsvarlig drift: rollefordelingen mellom styret, administrasjonen og andre kontrollerende funksjoner, organisatoriske forhold, systemmessige forhold, samt hvordan myndighet eventuelt skal delegeres Etablering og gjennomføring av tiltak for å korrigere eller redusere de svakheter som blir funnet hensynet til risikostyring og internkontroll skal inngå i vurderingen ved beslutninger om vesentlige endringer i virksomheten 13
Komponenter i risikostyring Internt miljø Etablering av målsettinger Identifisering av hendelser Risikovurdering Risikohåndtering Kontrollaktiviteter Informasjon og kommunikasjon Oppfølging 14
Hva er internkontroll? Internkontroll er en prosess, utført av styre, ledelse og ansatte, utformet for å gi rimelig grad av sikkerhet for å oppnå foretakets mål. Lederne i organisasjonen gjennomfører og overvåker vedtatte kontrolltiltak innen eget ansvarsområde: - personlig nærvær, - forespørsler i møter med medarbeidere, - stikkprøver og andre spesielle undersøkelser, - gjennomgang av nøkkeltall, - avviksmåling i IT-systemer - og oppfølging av revisorrapporter. 15
Dokumentasjon Daglig leder må være forberedt på at styre, kontrollkomité, internrevisjon, ekstern revisor eller Kredittilsynet ber om å bli orientert. Systematisk opplegg og dokumentasjon 16
Dokumentasjon forts. Viktige retningslinjer, rutiner og kontrolltiltak må foreligge skriftlig. Det må være dokumentert at det er foretatt en risikovurdering. Foretaket står fritt til å velge dokumentasjonsform. Dokumentasjonen skal reflektere: arbeidsprosedyrer kontrollrutiner vesentlige risikovurderinger på alle aktivitetsområder Det bør framgå hvordan ledere på forskjellige nivåer har deltatt i prosessen. 17
Hva betyr dette for din bedrift? Høyere krav til dokumentasjon av internkontroll- og risikostyringsprosesser medføre en økt administrativ byrde for foretakene økt dokumentasjon forutsettes å kunne gi styret bedre kontroll over hva som skjer i foretaket bedre grunnlag for å vurdere risiko redusere mulighetene for at det begås finansielle misligheter mer informative redegjørelser vil føre til økt investortillit 18
19 Eksempel: kontroll på datasikkerhet
20 Hva gjør du mht datasikkerhet?
Det nye trusselbildet Egen dokumentasjonskontroll, i forhold til andres Manipulasjon av data Sletting av data Utro tjenere Effektivitet Spam 21
Oppsummering Dokumenterte prosedyrer - Etterlevelse Automatisering - Manuelle prosesser Struktur Sikkerhet Programvare for dokumenthåndtering Systematisk opplegg og dokumentasjon 22
Spørsmål? Kristin Haram kh@simonsenlaw.no Mob: +47 95 10 13 07 23