Telenors SOA 404-prosjekt:

Veien mot god internkontroll

Assisterende prosjektdirektør for Telenors SOA 404-prosjekt

Statsautorisert revisor

Eli Moe-Helgesen

PricewaterhouseCoopers

Prosjektdirektør

Halvor Bru

Telenor ASA

Som børsnotert selskap i USA må ledelsen i Telenor ASA på årlig basis vurdere og bekrefte kvaliteten på den interne kontrollen av finansiell rapportering. Et eget konsernprosjekt har siden mai 2004 jobbet for å tilfredsstille disse kravene. Artikkelen handler både om prosessen og ikke minst utfordringene i dette prosjektet.

SOX og intern kontroll

Etter de store finansskandalene som herjet USA omkring millenium-skiftet, var det et uttalt behov for å gjenreise tilliten til børs-systemet. Finansskandaler som Enron og WorldCom hadde lært amerikanske investorer at de børsnoterte selskapenes finansrapportering ikke var til å stole på. De to amerikanske politikerne Paul Sarbanes og Michael G. Oxley tok ansvaret for å utforme et lovverk som igjen skulle sikre sannferdig og korrekt finansiell rapportering. Deres initiativ var omfattende, og loven, som populært bærer deres navn «Sarbanes-Oxley Act» (SOA, SarbOx eller SOX) blir betraktet som en av de mest omfattende endringer i amerikansk finanslovgivning siden 1930-tallet. I sin tale i forbindelse med signering av loven den 30. juli 2002 sa president George Bush blant annet at lovens formål var «to deter and punish corporate and accounting fraud and corruption, ensure justice for wrongdoers, and protect the interests of workers and shareholders».

Loven omfatter 12 kapitler («Titles»), hvorav de 180 ordene i seksjon 04 under Title 4. SOA 404 har fått mest oppmerksomhet. SOA 404 krever at selskapets ledelse på årlig basis skal vurdere og bekrefte kvaliteten på den interne kontrollen over finansiell rapportering. Dette skal bekreftes personlig av CFO og CEO. Ekstern revisor skal igjen bekrefte ledelsens vurdering så vel som gjøre sine egne vurderinger. Senere er loven blitt fulgt opp med forskrifter fra the Securities and Exchange Commission (SEC - gir føringer for selskapene) og Public Company Accounting Oversight Board (PCAOB - gir føringer for revisor), sistnevnte et organ som for øvrig ble etablert som følge av SOA.

Telenor ASA er notert på den amerikanske NASDAQ-børsen og er dermed pålagt å følge amerikansk børslovgivning og forskrifter, blant annet SOA 404. En håndfull andre norske selskaper er i samme situasjon, blant annet Hydro og Statoil. Første gang Telenors ledelse skal avgi nevnte erklæring er i forbindelse med årsoppgjøret for 2006. Dette er 2 år etter at første rapportering for tilsvarende amerikanske selskap. Bakgrunnen for denne forskjellen er blant annet en erkjennelse av vanskelighetsgraden ved å oppfylle loven.

Svakheter i den interne kontrollen kan i henhold til SOA 404 inndeles i tre hovedgrupper:

  • a. «Material weakness», som er en enkeltstående kontrollsvakhet eller evt. aggregerte «significant deficiencies» som er så alvorlige at ekstern revisor vil måtte omtale den i sin offentlige erklæring.

  • b. «Significant deficiency», som er en kontrollsvakhet som er så alvorlig at ekstern revisor vil måtte omtale den skriftlig til selskapets ledelse, revisjonskomité og styre

  • c. Øvrige kontrollsvakheter som i sin natur verken alene eller sammen med andre er vesentlige. Disse bør revisor rapportere til selskapets ledelse.

I forbindelse med årsavslutningen for 2004 avga ca. 3.000 store børsnoterte amerikanske selskaper («accelerated filers») årsregnskap. I ca. 13% av dem måtte revisor orientere om «material weakness». Dette var omtrent som forventet. Tidligere har amerikanske børsmyndigheter antydet at de forventer en høyere prosentandel «material weakness-erklæringer» blant de utenlandske selskapene.

SOA 404-prosjektet i Telenor

For å sikre at Telenor imøtekommer kravene i SOA 404 innen fristen, ble det i mai 2004 nedsatt et eget konsernprosjekt innunder CFOs ansvarsområde. Etter en anbudsprosess ble PricewaterhouseCoopers (PwC) valgt som rådgiver for prosjektet.

Prosjektet er i dag et av Telenors største prosjekter og omfatter alle de større, majoritetseide datterselskapene, blant annet Digi (Malaysia), Telenor Pakistan, Grameen Phone (Bangladesh), Pannon (Ungarn), Kyivstar (Ukraina), Sonofon (Danmark), Telenor AB (Sverige), Telenor Mobil (Norge), Telenor Nordic og AS EDB. I tillegg inngår flere av konsernfunksjonene. Felles for alle er at de etter en vurdering blir ansett for alene å kunne påvirke Telenors samlede finansrapportering i vesentlig grad.

Prosjektet har fire hovedfaser/-milepæler før testing og attestasjon for 2006 skal finne sted:

Hovedfase/-milepæl

Leveringsfrist

Planlegging og definisjon av prosjektomfang

13. september 2004

Alle finansielle transaksjonsprosesser og kontroller knyttet til finansiell rapportering dokumentert og klar til review

1. juni 2005

Alle identifiserte svakheter knyttet til design av kontrollstrukturen er rettet opp

31. desember 2005

«Prøvetesting» er gjennomført for risikofylte områder inkl. årsoppgjøret 2005

Mars 2006

Kjernen i SOA seksjon 404 er som nevnt at CEO og CFO skal bekrefte at selskapet har god internkontroll over finansiell rapportering, og at denne bekreftelsen er basert på en forsvarlig og veldokumentert vurderingsprosess. Derfor ble løsningen for Telenor å etablere et eget SOA-prosjekt som skulle tilrettelegge for vurderingsprosessen år 1 (dvs. pr. 31.12.2006), og deretter integreres i organisasjonen. Nedenfor utdypes noen av problemstillingene som har dukket opp underveis, samt mulige løsninger.

Første utfordring var at SOA bygger på amerikansk kultur og tilnærming til internkontroll. Det foreligger krav til formalisering, skriftlighet og byråkrati som langt overgår det en har vært vant til i privat sektor i Norge. Man kan eksempelvis ha gode kontroller basert på andre kontrollmekanismer enn byråkrati, men disse er ikke tilstrekkelige i et SOA-regime. SOA-prosjektet måtte derfor først analysere seg fram til hvor listen ligger for god internkontroll, og deretter vurdere Telenors situasjon i forhold til dette.

Vi fant at Telenors prosesser kunne klassifiseres i tre grupper:

  1. God internkontroll i tråd med SOA

  2. God internkontroll, men ikke i tråd med SOA

  3. Mangelfull internkontroll, og ikke i tråd med SOA

1) God internkontroll i tråd med SOA

Den første gruppen var naturligvis enklest å forholde seg til. Her slapp vi å gjøre endringer i prosesser på grunn av de nye kravene. Imidlertid krever SOA mer enn god internkontroll. Det må også være en forsvarlig og veldokumentert vurderingsprosess som danner grunnlaget for konklusjonen. Så selv om alt var i orden med internkontrollen, var det en omfattende jobb å dele opp prosessene i fullstendige, men ikke overlappende deler på tvers av juridisk, forretningsmessig og geografisk organisering. Når denne jobben var unnagjort, måtte vi dokumentere prosesser og kontroller i et ensartet dokumentsystem, og trekke konklusjoner om kvaliteten på internkontroll. Konklusjonene måtte dekke hele løpet fra den enkelte transaksjon og opp til endelig presentasjon i årsregnskapet. Utgangspunktet i lovverket er at man skal kunne ta tak i en regnskapspost i årsregnskapet og bore seg ned gjennom prosessene helt ned til den enkelte transaksjon og dokumentere god internkontroll på alle nivåer i hele organisasjonen.

Underveis måtte det omfattende opplæring til for alle involverte parter. Først måtte alle enes om hvor listen ligger for god internkontroll, og anvende kriteriet likt på tvers i organisasjonen. Deretter måtte vi dokumentere eksisterende kontroller i tråd med kravene i dokumentasjonsverktøyene. Denne fasen er nå gjennomført, men det har krevd god opplæring og overvåkning. Selvfølgelig har det også kommet avklaringer og endringer, både fra SEC og PCAOB, men også i form av presiseringer og valg av løsninger fra Telenor. Det har derfor vært behov for et betydelig omfang av kommunikasjon og oppfølging.

En tilleggsutfordring oppsto etter hvert som Telenor tok stilling til hvordan internkontrollen skulle være: isolert sett sier nemlig SOA og COSO-rammeverket som Telenor har valgt å legge til grunn, at man skal ha god internkontroll, men at man kan velge selv hvordan man gjør det. Dette hadde vært enklere i et lite selskap, men i et stort og komplekst konsern som Telenor er det krevende å få oversikt og dermed oppfylle kravene til en forsvarlig og veldokumentert vurderingsprosess hvis alle gjør ting på hver sin måte, selv om det de gjør er bra. Dette betyr: det er mange måter for den enkelte internkontroll å være «SOA compliant» på, men hvis totaliteten skal holde mål, kan man kun gjøre internkontrollen på en, eller noen få, tillatte måter. Mange kontroller som tilsynelatende ville havnet i gruppe 1 (God internkontroll i tråd med SOA) måtte derfor skyves til gruppe 2 (God internkontroll, men ikke i tråd med SOA).

2) God internkontroll, men ikke i tråd med SOA

Denne typen prosesser møtte de samme utfordringene som nevnt over. Imidlertid avdekket dokumentasjonsjobben at prosessene ikke var tilstrekkelige. Det måtte gjøres endringer. En ting var å enes om hva som måtte gjøre for å oppfylle SOA-kravene, en annen ting var å få gjennomslag i organisasjonen for at en god internkontroll måtte endres fordi den måtte gjøres på en annen måte. Begge deler var en stor utfordring. SOA-regelverket og COSO-rammeverket er vagt. Omfattende faglige vurderinger måtte derfor gjennomføres for å komme opp med mulige løsninger. Deretter måtte like omfattende forretningsmessige og politiske vurderinger gjennomføres for å enes om akseptable måter å gjennomføre prosesser og internkontroll på. Så måtte disse kommuniseres ut, opplæring gjennomføres og overvåkning etableres for å få de nye prosessene og kontrollene til å fungere. På tvers av juridisk, forretningsmessig og geografisk organisering i et stort internasjonalt konsern er dette en utfordring. Sluttresultatet er et Telenor med en mer ensartet internkontroll, og dermed bedre effektivitet, oversikt og totalkontroll.

3) Mangelfull internkontroll, og ikke i tråd med SOA

Denne typen kontroller møtte de samme utfordringene som de to gruppene over, men vi slapp utfordringen med å motivere for å endre gode kontroller som ikke holdt SOA mål. Den største utfordringen i denne gruppen har vært de «mykere» kontrollene. I Norge er det begrenset kultur for å formalisere og teste kontroller som «tone at the top». Jobben har derfor bestått i å definere hvordan et formalisert Company Level Control regime skal se ut, og sammenstille dette med COSO-kravene til Control Environment, Risk Assessment, Information and Communication og Monitoring.

Integrasjon av SOA-prosjektet i organisasjonen etter år 1

I øyeblikket arbeides det systematisk frem mot 31.12.2006 og SOA-erklæringen som skal avgis pr. dette tidspunkt. Parallelt har vi begynt å planlegge integrasjonen av SOA-arbeidet i organisasjonen. Som nevnt over; store deler av år 1-arbeidet har bestått i å definere hva som er SOA-kravene og å finne ut hvilke valg Telenor skal ta der det finnes valgmuligheter. Neste utfordring er å implementere løsningene i organisasjonen og dokumentere og teste at kontrollene gjennomføres som forutsatt. Ved årsslutt 2006 «overleverer» SOA-prosjektet derfor et Telenor som vet hva SOA-kravene er, oppfyller kravene, og har dokumentert hvordan prosessene gjennomføres.

Det viktigste elementet i SOA er kontroll. De ansatte i Telenor skal på forhånd vite hvordan ulike prosesser skal gjennomføres og kontrolleres. Dette krever formalisering og er en form for preventiv kontroll. Deretter skal man i ettertid vite hvordan ting er gjort. Dette krever et formalisert overvåkningsregime som aggregerer overvåkning fra detaljerte prosesser og helt opp til det øverste nivå. Når begge disse dimensjonene er på plass, er man «SOA-compliant». Overleveringsjobben handler derfor om å få organisasjonen til å ta eierskap til, og vedlikeholde dokumentasjon av prosessene og kontrollene når det gjøres endringer, samt selv å sørge for å etterleve disse.

Vi er fortsatt i planleggingsstadiet for overføring av prosjektet til linjen, og har derfor ikke besluttet alle detaljer. Vi planlegger imidlertid for at den prosessen vi har lagt opp til vil føre oss frem til styrket kontroll over den finansielle rapportering i Telenor.

Verdiskapning og motivasjon

Verdiskapning og motivasjon er to begrep som er nært knyttet til hverandre. For å sikre nødvendig engasjement i Telenor har prosjektgruppen valgt å vektlegge de mange positive effektene etterlevelse av SOA 404 medfører. Dette kombinert med stor oppmerksomhet fra ledelse, revisjonskomité og styret har medført at prosjektet har hatt betydelig momentum og aksept i alle deler av organisasjonen, både i konsernenhetene så vel som ute i virksomhetene.

I tillegg til at SOA 404 reduserer muligheten for bevisst eller ubevisst manipulasjon på ledelsesnivå av finanstall, har også prosjektet vektlagt følgende:

  • a. Innen telekombransjen er såkalte inntektslekkasjer et alvorlig problem. Internasjonale undersøkelser viser at i størrelsesorden 2-4% av alle samtaler ikke blir fakturert/krevd av kunden. Ulykkeligvis vet kunden heller ikke om at han faktisk får en andel av sine samtaler gratis, dvs. denne gratistrafikken utnyttes ikke engang i markedsføringssammenheng. Hovedtyngden av nøkkelkontrollene i de finansielle prosesser som er blitt definert i Telenor er nettopp innenfor inntektsområdet. Det er derfor naturlig å anta at god /forbedret internkontroll på inntektssiden kan redusere fremtidige lekkasjer.

  • b. Fordi tallgrunnlaget nå blir underlagt en mer systematisk kontroll, antar vi at beslutninger trukket på grunnlag av tallene kan bli mer korrekte. Dette gjelder både internt i selskapet, men også av eksterne parter, særlig i lys av at Telenor rapporterer etter IFRS.

  • c. Systematikken i prosjektgrunnlaget og de årlige oppdateringene vil gi selskapets ledelse en forbedret oversikt over de mange finansielle risiki i selskapet. Mange av Telenors uteoperasjoner er kommet til gjennom oppkjøp, og SOA 404-prosessen har gitt selskapsledelsen et velegnet «temperaturmål» på kvaliteten i den finansielle rapportering.

  • d. Totalt har SOA 404-prosjektet i Telenor dokumentert omtrent 1100 viktige prosesser med tilhørende nøkkelkontroller. Dokumentasjonen er standardisert og gjort tilgjengelig for alle selskaper. Prosjektet har sammenlignet identiske prosesser i forskjellige selskaper og på denne måten vært i stand til å gi en slags «Telenor best practice» - anbefaling til alle berørte selskaper.

  • e. Viktigst for et selskap som kan dokumentere at det møter SOA 404-kravene, er sannsynligvis at dette gir en positiv omdømmeeffekt, jf. tidligere bruk av NS 5801 og ISO 9000. Dette er et kvalitetsstempel som kan brukes positivt overfor aksjonærer, investorer, i arbeidsmarkedet og mot leverandører. Den motsatte effekten, dvs. negativ omdømmeeffekt av ikke å være i stand til å imøtekomme loven, må heller ikke undervurderes. For de 18 amerikanske selskapene som rapporterte «material weakness» i februar 2004, falt aksjekursen for 12 av dem med inntil 19,5% de to første dagene etter offentliggjøring. Sammenligningen tar dog ikke hensyn til den generelle børsutviklingen samme dag, men er en indikasjon på at nevnte sammenhenger finnes. Et av selskapene var legemiddelselskapet Alpharma, som noen uker senere annonserte CEOs avgang.

Forutsetninger for god internkontroll

God internkontroll starter med ledelsesinvolvering, en klar tone fra toppen og ved at ledelsen beslutter hvilke prinsipper som skal legges til grunn for kontrollstrukturen i selskapet. Vi skal nedenfor redegjøre for hvilke prinsipper vi har lagt til grunn i Telenors SOA-prosjekt.

Balansering av risiko og kontroll

Internkontroll er et kost-nytte spørsmål. Basert på de målene selskapet har, skal man analysere risiko og iverksette kontroller der man ønsker å redusere risiko. Det finnes ikke noe fasitsvar på hvordan dette skal gjøres. Det er likevel et minimumskrav at man har en systematisk risikoovervåkningsprosess som identifiserer og analyserer risiko og iverksetter tiltak i tråd med selskapets holdning til risiko. Nedenfor følger en utdypning av prinsipper for hvordan internkontroll bør utformes.

Implementering av internkontroll

Internkontroll blir gjennomført av mennesker gjennom en prosess. For at prosessen skal være tilfredsstillende må følgende 5-trinnsprosess være systematisk gjennomført for hver enkelt kontroll:

  1. Utvikling og påfølgende endringer av retningslinjer må være i tråd med selskapets internkontroll-rammeverk

  2. Retningslinjene må kommuniseres til de som har ansvar for etterlevelse

  3. Forståelse må sikres hos de som har ansvar for etterlevelse

  4. Overvåkning av etterlevelse må gjennomføres

  5. Tiltak må iverksettes hvis overvåkningen indikerer manglende etterlevelse

Preventive og oppdagende kontroller

Både preventive og oppdagende kontroller må være på plass for at man skal oppnå god internkontroll.

Preventive kontroller innebærer at man har et regime for å etablere retningslinjer for hvordan prosesser skal gjennomføres og kontrolleres. I praksis skal dette være et regime for å holde policies og prosedyrer oppdatert i forhold til endringer i underliggende drift. Retningslinjene må være konkrete på hvem som har ansvar for å gjøre hva, til hvilken tid, og hvordan dette skal dokumenteres.

Oppdagende kontroller innebærer at man har et overvåknings- og rapporteringsregime som fanger opp og korrigerer avvik fra vedtatte retningslinjer. Retningslinjene legger grunnlaget for overvåkning, da det etablerer en retningslinje man kan overvåke opp i mot. Overvåkningen må sammenstille, filtrere og vidererapportere avvik fra nederste nivå og helt til topps.

Formalisering og dokumentasjon

I store selskap bør i tillegg kontrollene formaliseres og standardiseres slik at man får forutsigbarhet og effektiv kontrollovervåkning.

Formalisering er avgjørende for å muliggjøre kommunikasjon av retningslinjene til de som har ansvaret for etterlevelse og det øker sannsynligheten for forståelsen av pålagte oppgaver.

Dokumentasjon av gjennomførte kontroller er et avgjørende bevis for om man har forstått retningslinjene og er en premiss for overvåkning.

Kontroll av konkrete transaksjoner

I den finansielle rapporteringen innebærer god internkontroll at man har formalisert prosessen og lagt opp kontroller for initiering, godkjennelse, registrering, prosessering og rapportering av transaksjoner. Dette må dekke alle trinn fra initieringen, og gjennom alle mulige forsystemer, regnskapssystemer og eventuelle manuell behandling frem til årsregnskapet. Det er avgjørende at tilstrekkelig arbeidsdeling er til stede mellom de ulike trinnene.

Oppsummering

I sum vil de prinsippene som er diskutert over medføre at Telenor etablerer en internkontroll i tråd med COSO rammeverket. Etterleves prinsippene, har konsernet et godt kontrollmiljø, tilstrekkelig informasjon og kommunikasjon, risikoovervåkning, kontrolltiltak og overvåkning.

Vi tror at mange selskap, uavhengig av børsnotering, vil ha god nytte av å integrere slike prinsipper i sin internkontroll. Sannsynligvis er det også bare et tidsspørsmål før deler av SOA 404-lovgivningen blir innarbeidet i europeisk regelverk eller at kapitalmarkedene i Europa vil forvente en kvalitet i prosesser og kontroller knyttet til finansiell rapportering som ikke står tilbake for det amerikanske selskap kan oppvise.