Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 19. november 2004.
SARBANES-OXLEY: Den amerikanske virksomhedslov Sarbanes-Oxley er et varmt emne blandt landets it-chefer.
I Danmark skal mindst tre it-ansvarlige på overarbejde som følge af lovens krav. Observatører mener, det tal vil stige,
og at en "Sarbanes-Oxley-light" er på vej til Europa.
På den anden side af Atlanten tikker uret i it-afdelingerne hos børsnoterede virksomheder ekstra højt i disse dage. November er deadline for amerikanske virksomheder til at stå klar med dokumentation for, at de lever op til virksomhedsloven Sarbanes-Oxley (SOX). Loven er den mest omfattende regulering, der i nyere tid har ramt virksomheder på det amerikanske marked, og er p.t. blandt de absolut største hovedpiner for it-cheferne "over there".
Loven handler om god virksomhedsledelse og dækker alt, fra hvem der kan sidde i bestyrelsen, over detaljerede regler for finansiel rapportering til straf for at chikanere de medarbejdere, der fortæller om interne problemer.
Når SOX er blevet it-afdelingernes problem, er det, fordi loven stiller store krav til dokumentation af informationerne i årsrapporter og regnskaber. Selskaberne - og ikke mindst ledelsen - skal dokumentere, at der er kontrol med, at ingen har svindlet med resultaterne. Og hvad værre er: De skal personligt skrive under på, at det er rigtigt. Sammen med Sarbanes-Oxley blev straffen for virksomhedssvindel hævet og kan nu - alt efter svindlens omfang og karakter - give op til 25 års fængsel.
Amerikansk migræne?
Dermed skriver de CEO'er og CFO'er, som skal sætte deres signatur i regnskaberne, under på, at virksomheden har fuld kontrol med, har overblik over og løbende tester de it-systemer, som kan have indflydelse på oplysninger, der ender i regnskabet. Resten af selskabets processer og interne kontroller skal også gennemgås. Det medfører, at de skal købe og implementere nye it-systemer, der kan understøtte hele organisationens dokumentationsproces i forhold til SOX-kravene. Og alt sammen giver mere arbejde til it-cheferne.
Men alt det er jo amerikanernes hovedpine, ikke sandt? Ikke helt. I Danmark er tre selskaber, Torm, TDC og Novo Nordisk, børsnoteret i USA og skal derfor følge de nye krav. Dertil kommer datterselskaber til de amerikanske virksomheder, der også falder ind under loven, og hvis man skal tro Mogens Nørgaard Mogensen, partner, PricewaterhouseCoopers, stopper det ikke der.
- Det er interessant at se, at man i Europa lidt mente, at det der med de store erhvervsskandaler var et amerikansk fænomen. Så ramte de Parmalat og Royal Ahold, og nu har vi fået øjnene op for, at vi nok ikke er markant bedre kørende. Der er kommet stærkt fokus på hele corporate governance-tanken i EU, og jeg tror ikke, vi kommer uden om en mini-SOX på europæisk plan, siger han.
Markedet vil kræve
Foreløbig har EU dog lagt blødt ud. I starten af oktober kom kommissionen med to corporate governance-henstillinger om direktørers løn og uafhængighed. Der er tale om henstillinger, ikke love, og de rummer ikke den omfattende dokumentationsproces i forhold til regnskaber, der trækker tænder ud på mange af de virksomheder, som skal leve op til Sarbanes-Oxley.
Hos Fondsbørsen er Tine Rau Schiøtt, seniorrådgiver i notering og overvågning og medlem af et udvalg, der ser på corporate governance, ikke helt så overbevist.
- Foreløbig er der ikke en Sarbanes-Oxley på vej fra EU, men med de europæiske erhvervsskandaler er det klart, at de seneste henstillinger ikke er det sidste, vi har set fra EU på corporate governance-siden. Vi ved, at der kigges på revisorernes rolle, og så begynder det at lugte lidt af SOX, siger hun.
Men uanset om det kommer på lov eller ej, er udviklingen i retning af omfattende dokumentation gået i gang, mener Mogens Nørgaard Mogensen.
- Jeg tror, det vil komme som krav fra investorerne. Hvis de skal vælge mellem at investere i et selskab, hvor ledelsen kan lægge det hele på bordet, har fuld kontrol over alle deres processer og garanterer investorerne mod at sætte penge i en erhvervsskandale - og et selskab, hvor ledelsen ikke garanterer kontrol, hvorfor så vælge virksomheden, der ikke gør det, spørger han.
Så stor er hovedpinen
Hos TDC er man ved at gennemleve, hvad der kan blive fremtiden for børsnoterede virksomheder.
I hovedkvarteret på Nørregade i København sidder Henrik Nørmark Christensen, TDC's ansvarlige for at gennemføre Sarbanes-Oxley 404, i et lille kontor og er ved at lægge sidste hånd på udrulningen af et nyt it-system. Det skal understøtte den omfattende dokumentations- og kontrolproces, som TDC skal gennem for at leve op til Sarbanes-Oxley.
Hos TDC har man identificeret seks forretningsenheder og datterselskaber, som koncernen skal bruge mere dokumentation fra. Det gælder blandt andet TDC Totalløsninger, TDC Mobil og TDC Switzerland. For hver enhed skal man gennemgå forretningsprocesserne for mulige fejlkilder. En forretningsproces kan for eksempel være, hvordan omsætningen skabes. Men selv i de enkelte forretningsenheder er der forskellige måder at skabe omsætning, afhængig af produktet: I TDC Mobil er pengestrømmen for talekort og abonnement langt fra ens. Alle forretningsprocesser skal beskrives og dokumenteres. Og det fortsætter.
For hver proces skal virksomheden identificere og dokumentere mulige fejlkilder - også kaldet kontrolområder. En ordre må ikke kunne faktureres to gange, der skal være styr på brugerrettighederne til relevante systemer og tilstrækkelig adgangsbegrænsning til pengekassen. Når fejlkilderne er indkredset, kommer de reelle kontrolaktiviteter. Det er de handlinger, der skal foretages og dokumenteres for at modvirke fejlkilderne, så man ikke kan dobbeltfakturere.
- Det er et meget omfattende projekt. I en af vores forretningsenheder fandt vi 150 relevante mulige fejlkilder på én omsætningsstrøm og 300 kontroller, der skulle udføres for at sikre os mod de fejlkilder, siger Henrik Nørmark Christensen.
Software støtter
Det er her, dokumentationssoftwaren kommer ind. Teoretisk set ville procesbeskrivelserne, kontrolområderne og kontrolaktiviteterne kunne dokumenteres i et Excel-ark. Teoretisk set. For det er i praksis umuligt, når man som TDC har over 50 processer alene i form af forskellige typer omsætningsstrømme - for ikke at tale om de mange indkøbsprocesser og andre typer af processer, der også skal dokumenteres.
Fortsat fra side 37
- Jeg turde ikke gøre det her uden en it-løsning, der understøtter Sarbanes-Oxley, siger han.
Det er der ikke ret mange SOX-ansvarlige, der gør, og det har softwarebranchen luret. Ud over tilbud fra de etablerede spillere som Oracle, SAP og Microsoft findes der et væld af mere eller mindre kendte softwarespillere, som tilbyder SOX-understøttelse. De nye reguleringer har skabt et nyt marked.
Hos TDC evaluerede man seks forskellige systemer og valgte i sidste ende en portalbaseret intranet-løsning fra Microsoft. Både frontend- og backend-delen består af en række gamle Microsoft-kendinge som SQL-server, Office og Web Access. Oven i det kommer modulet Solutions Accelerator for Sarbanes-Oxley, som sætter struktur på de informationer, der indgår i rapporteringen.
- Tricket for os ved at vælge den løsning var, at vi allerede lå inde med de fleste af licenserne. Enkelte afdelinger skulle købe et par ekstra Office-licenser, men systemet endte med stort set ikke at koste noget. Systemet giver overblik i dokumentationsprocessen, understøtter den nødvendige videndeling og systematiserer kontrolaktiviteterne på en overskuelig måde.
TDC har ikke et endeligt overblik over, hvad Sarbanes-Oxley kommer til at koste. Men ifølge Henrik Nørmark Christensen er det ikke billigt.
- Spørgsmålet er, hvad det koster at lade være. Hvis vi lader være, vil vores kurs rasle ned, og hvad sker der, hvis der slipper en væsentlig fejl igennem? Alle de skandaler, der ligger til grund for Sarbanes-Oxley, stammer fra manglende kontrol, og vi kan jo tage dem fra en ende af og se, hvad de har kostet, siger han.
Ikke-amerikanske virksomheder har fået en senere deadline end de amerikanske og skal ikke leve op til Sarbanes-Oxley-kravene før november 2005. Hos TDC betyder det, at selskabet endnu ikke er nået til at dokumentere og fejlsikre it-systemerne.
Novo kender krav
Novo Nordisk har endnu ikke købt sit dokumentationssystem.
- Det er først nu, vi går over i den mere centrale dokumentationsfase, og lige nu ser vi på de systemer, der er på markedet. Problemet er, at man ikke just bliver imponeret over udvalget, siger Brita Dybdal, it-ansvarlig for Sarbanes-Oxley-projektet i Novo Nordisks interne Business IT-afdeling.
Som farmaceutisk virksomhed er Novo Nordisk i forvejen underlagt strenge krav til dokumentation blandt andet fra den amerikanske Food and Drug Administration (FDA). Det fremhæver Brita Dybdal som en fordel, men peger samtidig på, at det skaber udfordringer i forhold til valget af et værktøj, der understøtter Sarbanes-Oxley-dokumentationen.
- En af vores udfordringer er at finde et system, der gør, at vi ikke skal duplikere dokumentationen for at opfylde formalia to steder.
Systemvalget er altså ikke på plads. Til gengæld er Novo Nordisk gået i gang med at gennemgå og teste selskabets it-systemer.
- Vi kigger på alt, der har betydning for regnskabskvaliteten: Integration, interfaces mellem systemer, brugerrettigheder, opdeling af roller, at et bilag ikke kan bogføres med to forskellige beløb, at man ikke kan bogføre en faktura og rette i kreditormaster samtidig, så man kan fakturere sig selv, at overførslen af data mellem systemerne er, som den skal være. Det skal dokumenteres, at alt går rigtigt for sig i vores systemer.
Ingen klare svar
I øjeblikket har Novo Nordisk en fuldtidsansat på projektet, men på grund af arbejdets omfang vurderer Dybdal, at der skal ansættes flere personer.
- Sarbanes-Oxley er stadig nyt, og vi har svært ved at få at vide, hvor meget der skal testes, og hvor meget der er acceptabelt, fordi det er standardsystemer, vi arbejder med. Vi skal se de første sager fra USA, før vi ved, hvad der sker. Lige nu siger revisorerne, at vi skal tolke kravene så hårdt som muligt, siger hun.
- Hvis man laver en Sarbanes-Oxley-light, håber jeg, at man laver den med omtanke og med tanke på, hvad det giver værdi at teste. At man tager de omfattende lærepenge fra SOX og tænker mere pragmatisk.
Billedtekst:
SOX blev vedtaget i 2002 i et forsøg på at genetablere tilliden til markedet efter en lang række omfattende virksomhedsskandaler som Enron og World Com, der rystede investorernes tillid til markedet og markerede startskuddet til den økonomiske recession, der har præget verden de
seneste tre år. Foto: Scanpix
Boks:
Sarbanes-Oxley sektion 404
Sarbanes Oxley-loven er delt op i flere sektioner. En af dem, der får mest opmærksomhed, er 404.
404 kræver en årlig evaluering af alle interne kontroller og procedurer i forbindelse med regnskabsaflæggelse. Det betyder, at virksomhedens processer skal gennemgås.
Det skal dokumenteres, at eksisterende kontroller er designet, så de sikrer mod svindel, at de er tilstrækkelige, og at de bliver udført. Det skal ikke bare ske for hovedorganisationen, men også for datterselskaber og forretningsområder, der har væsentlig betydning for selskabets regnskaber.
Boks:
Det koster det
AMR Research vurderede i slutningen af 2003, at virksomheder, der opererer i USA, vil bruge 5,5 milliarder dollars på at leve op til kravene i Sarbanes-Oxley inden udgangen af 2004. Udgifterne fordeler sig på følgende områder:
