SOX og intern kontroll

Etter de store finansskandalene som herjet USA omkring millenium-skiftet, var det et uttalt behov for å gjenreise tilliten til børs-systemet. Finansskandaler som Enron og WorldCom hadde lært amerikanske investorer at de børsnoterte selskapenes finansrapportering ikke var til å stole på. De to amerikanske politikerne Paul Sarbanes og Michael G. Oxley tok ansvaret for å utforme et lovverk som igjen skulle sikre sannferdig og korrekt finansiell rapportering. Deres initiativ var omfattende, og loven, som populært bærer deres navn «Sarbanes-Oxley Act» (SOA, SarbOx eller SOX) blir betraktet som en av de mest omfattende endringer i amerikansk finanslovgivning siden 1930-tallet. I sin tale i forbindelse med signering av loven den 30. juli 2002 sa president George Bush blant annet at lovens formål var «to deter and punish corporate and accounting fraud and corruption, ensure justice for wrongdoers, and protect the interests of workers and shareholders».

Loven omfatter 12 kapitler («Titles»), hvorav de 180 ordene i seksjon 04 under Title 4. SOA 404 har fått mest oppmerksomhet. SOA 404 krever at selskapets ledelse på årlig basis skal vurdere og bekrefte kvaliteten på den interne kontrollen over finansiell rapportering. Dette skal bekreftes personlig av CFO og CEO. Ekstern revisor skal igjen bekrefte ledelsens vurdering så vel som gjøre sine egne vurderinger. Senere er loven blitt fulgt opp med forskrifter fra the Securities and Exchange Commission (SEC - gir føringer for selskapene) og Public Company Accounting Oversight Board (PCAOB - gir føringer for revisor), sistnevnte et organ som for øvrig ble etablert som følge av SOA.

Telenor ASA er notert på den amerikanske NASDAQ-børsen og er dermed pålagt å følge amerikansk børslovgivning og forskrifter, blant annet SOA 404. En håndfull andre norske selskaper er i samme situasjon, blant annet Hydro og Statoil. Første gang Telenors ledelse skal avgi nevnte erklæring er i forbindelse med årsoppgjøret for 2006. Dette er 2 år etter at første rapportering for tilsvarende amerikanske selskap. Bakgrunnen for denne forskjellen er blant annet en erkjennelse av vanskelighetsgraden ved å oppfylle loven.

Svakheter i den interne kontrollen kan i henhold til SOA 404 inndeles i tre hovedgrupper:

• a. «Material weakness», som er en enkeltstående kontrollsvakhet eller evt. aggregerte «significant deficiencies» som er så alvorlige at ekstern revisor vil måtte omtale den i sin offentlige erklæring.

• b. «Significant deficiency», som er en kontrollsvakhet som er så alvorlig at ekstern revisor vil måtte omtale den skriftlig til selskapets ledelse, revisjonskomité og styre

• c. Øvrige kontrollsvakheter som i sin natur verken alene eller sammen med andre er vesentlige. Disse bør revisor rapportere til selskapets ledelse.

I forbindelse med årsavslutningen for 2004 avga ca. 3.000 store børsnoterte amerikanske selskaper («accelerated filers») årsregnskap. I ca. 13% av dem måtte revisor orientere om «material weakness». Dette var omtrent som forventet. Tidligere har amerikanske børsmyndigheter antydet at de forventer en høyere prosentandel «material weakness-erklæringer» blant de utenlandske selskapene.