Om knapt et år bliver danske børsnoterede virksomheders tur til at leve op til nye regler for investorbeskyttelse, når EU's 4., 7. og 8. direktiv – populært kaldet Eurosox – bliver til dansk lovgivning.
Dermed kommer større danske virksomheder til at stå overfor nogenlunde samme udfordringer som deres amerikanske- og andre internationale kolleger, der allerede fra 2002 blev tvunget til at leve op til forskellige retningslinjer, som ligner den amerikanske Sarbanes-Oxley-lovgivning.
USA-regning: Seks milliarder dollar
Anslået har det kostet amerikanske virksomheder den svimlende sum af seks milliarder dollar.
Selv om alt tyder på, at det europæiske såkaldte compliance regelsæt for investorbeskyttelse bliver en smule mere lempeligt end den amerikanske pendant, vurderer eksperter, at det sagtens kan komme til at give virksomhederne og deres it-afdelinger kamp til stregen.
De opfordrer derfor virksomhederne til allerede nu at påbegynde planlægningen.
"Allerede nu kan man inspireret af erfaringer fra den amerikanske Sarbane-Oxley-lovgivning og begynde at få et overblik over, hvad der skal til, når reglerne fra Eurosox bliver endeligt vedtaget," siger Kersi F. Porbunderwalla fra konsulentfirmaet Controllers.
Sæt ambitionsniveauet højt
Ifølge Philip Nordfalk fra konsulenthuset Devoteam Consulting, handler det - belært af de amerikanske erfaringer med efterlevelse af reglerne i Sarbanes Oxley-lovgivningen - om ikke at sætte ambitionsniveauet for lavt.
"I de værste tilfælde har virksomheder, der ikke fra begyndelsen har struktureret processen og lagt et højt ambitionsniveau, brugt det første år på at implementere SOX, hvorefter man i det efterfølgende år har måttet begynde helt forfra med et nyt og mere struktureret implementeringsprojekt med ekstra omkostninger til følge." siger Philip Nordfalk.
Ikke alle danske virksomheder vil blive omfattet af lovgivningen.
EU-direktiverne gælder kun børsnoterede selskaber, kreditinstitutter, banker og forsikringsselskaber.
Dog kan der i forbindelse med udformningen af den danske lovgivning komme ekstra selskabstyper på listen – eksempelvis de større offentlige selskaber som har ’public interest’.
Flere virksomheder er der allerede
Imidlertid har en række danske virksomheder, især dem der har været børsnoteret i USA, allerede gennemgået processen med at blive Sarbanes-Oxley compliant.
For mange har det været en omsiggribende proces, som har afhængt meget af, hvilken it-systemportefølje virksomhederne havde i forvejen.
Netop den eksisterende platform er helt afgørende for, hvor automatiseret det bliver at indføre det væld af manuel og it-kontroller, som er nødvendige for at leve op til reglerne for investorbeskyttelse.
Har en virksomhed eksempelvis flere forskellige ERP-systemer, er det sværere at indføre de automatiske kontroller, som er helt afgørende for, om det er muligt at leve op til lovgivningen.
Automatiserede kontroller
"Alternativet er manuelle kontroller – og de er ofte meget tidskrævende. De helt store multinationale koncerner har måske brug for op mod 20.000 interne kontroller, og skal de alle håndteres manuelt, bliver der meget let brug for op i mod en million tests om året," siger Kersi F. Porbunderwalla.
Formålet med kontrollerne er at sikre, at alle regnskabsinformationer er nøjagtige, fuldstændige og gyldige, når de præsenteres i regnskabet. Regnskabsinformationer genereres i mange forskellige forretningsprocesser og it-systemer rundt omkring i virksomheden, og Eurosox involverer således store dele af it-området.
Det handler i høj grad også om, hvem der har adgang til de forskellige it-systemer - og hvordan denne adgang styres.
Dette element er specielt vigtigt i forhold til at understøtte den såkaldte organisatoriske funktionsadskillelse, der bl.a. sørger for, at én og samme person f.eks. ikke både kan udstede salgsfakturaer og modtage indbetalinger fra kunder. På den måde reduceres muligheden for fejl.
Mange virksomheder opererer i dag med en manuel og knapt så struktureret proces, hvor en afdelingsleder eksempelvis ringer til it-afdelingen for at give en ny medarbejder adgang til bestemte it-systemer.
"Derfor bør administration af adgang defineres klart og lægges ind i systemunderstøttede workflows, som i højere grad vil kunne automatisere og strukturere denne proces," siger Philip Nordfalk.
Også Kersi F. Porbunderwalla opfordrer danske virksomheder, der forventes at blive omfattet af lovgivningen, til at påbegynde kortlægningen og dokumentation af alle processer som reducering af risici, rollefordeling og godkendelses procedurer og dermed få overblik over dokumenthåndteringen i virksomheden.
Dyr affære – store gevinster
Begge eksperter vurderer, at indarbejdelsen af Eurosox kan blive en dyr affære for danske virksomheder, men at man kan begrænse risikoen for fejl i processen ved at vælge det rigtige ambitionsniveau fra begyndelsen.
"Det koster en pose penge – både i intern tid, til konsulenter og til understøttende software. Men der også en række gevinster i den anden ende i form af reducerede omkostninger, blandt andet fordi det ofte giver et bedre overblik over it-systemerne," siger Philip Nordfalk.
Kersi F. Porbunderwalla peger også på gevinsterne af det nødvendige onde:
"Det giver generelt en større tillid til virksomheden fra stakeholderne, og det kan blive et konkurrenceparameter. Samtidig er der en tendens til, at man kan spare en hel del på revisions- og finansieringsudgifterne," siger han.
