×

The Committee of Sponsoring Organizations of the Treadway Commission (COSO)¹ offentliggjorde den 14. maj, 2013, en opdateret version af sin Internal Control-Integrated Framework (den “2013-ramme”). Derudover udgav COSO to illustrative dokumenter: Illustrative Tools for Assessing Effectiveness of a System of Internal Control (de “illustrative værktøjer”) og Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples (“ICEFR Compendium”) samt et resumé af 2013 Framework.

Originalt blev COSO’s Internal Control-Integrated Framework (“1992 Framework”) udstedt i 1992 og blev en af de mest almindeligt accepterede rammer for intern kontrol i verden. COSO’s primære mål med at opdatere og forbedre rammen er at tage højde for de betydelige ændringer i forretningsmiljøet og driftsmiljøet, der er sket i løbet af de seneste 20 år.

The 2013 Framework and Illustrative Tools kan købes hos AICPA. Et resumé af 2013 Framework er gratis tilgængeligt på COSO’s websted.

Nedenfor findes en oversigt fra Deloittes Heads Up-nyhedsbrev udgivet den 10. juni 2013 om forbedringerne i 2013 Framework, en diskussion af overvejelser for virksomheder, der anvender 1992 Framework i forbindelse med overholdelse af Section 404 i Sarbanes-Oxley Act of 2002 (SOX), og oplysninger om at foretage overgangen fra 1992 Framework til 2013 Framework, herunder konsekvenser for andre COSO-relaterede dokumenter. Desuden sammenligner bilagene i Heads Up-nyhedsbrevet af 10. juni 2013 Framework 2013 med 1992 Framework og fremhæver nogle af de udvidede begreber i 2013 Framework. For yderligere oplysninger om rammerne henvises til Deloittes Heads Up-nyhedsbreve af 6. februar 2012 og 7. august 2012.

Forbedringer i 2013 Framework

The 2013 Framework skaber en mere formel struktur for udformning og vurdering af effektiviteten af den interne kontrol ved:

1. Anvendelse af principper til at beskrive komponenterne i den interne kontrol. 2013-rammen indeholder 17 principper, der forklarer de begreber, der er forbundet med de fem komponenter i COSO-rammen (kontrolmiljø, risikovurdering, kontrolaktiviteter, information og kommunikation samt overvågningsaktiviteter). Ved udarbejdelsen af de 17 principper fokuserede COSO på begreber fra 1992-rammen, tog hensyn til de principper, der blev udviklet og formuleret i COSO’s 2006 Internal Control Over Financial Reporting-Guidance for Smaller Public Companies (“Small Business Guidance”) fra 2006, og tog hensyn til de betydelige ændringer i erhvervslivet, driftsmiljøer og ledelse siden 1992. COSO ønsker, at principperne skal hjælpe virksomhederne med at udforme effektive systemer til intern kontrol og evaluere, om disse systemer fungerer effektivt. I 2013-rammen antages det, at eftersom de 17 principper er grundlæggende begreber i de fem komponenter, er alle 17 principper relevante for alle virksomheder. Hvis et princip ikke er til stede og fungerer, er den tilhørende komponent derfor heller ikke til stede og fungerer. I sjældne tilfælde kan ledelsen på grund af branchemæssige, lovgivningsmæssige eller driftsmæssige forhold beslutte, at et princip ikke er relevant for en komponent. 2013-rammen beskriver principperne yderligere ved hjælp af fokuspunkter, som typisk er vigtige karakteristika ved principperne. Selv om fokuspunkterne kan hjælpe ledelsen med at udforme, implementere og evaluere den interne kontrol og vurdere, om de relevante principper er til stede og fungerer, er de ikke nødvendige for at vurdere effektiviteten af den interne kontrol. Ledelsen kan beslutte, at nogle af fokuspunkterne ikke er egnede eller relevante, og kan identificere og overveje andre.

2. Oprettelse af en mere formel måde at udforme og evaluere den interne kontrol på i overensstemmelse med principperne. Se diskussionen nedenfor under “Effektive systemer for intern kontrol”.”

Mens de grundlæggende begreber i 2013-rammen svarer til dem i 1992-rammen, tilføjer eller udvider 2013-rammen diskussioner om hver komponent og hvert princip, herunder forbedringer såsom de detaljerede fokuspunkter. For eksempel, selv om begrebet identifikation af og reaktion på risici var til stede i 1992-rammen, indeholder 2013-rammen mere detaljerede diskussioner om risikovurderingsbegreber, herunder dem, der vedrører iboende risici, risikotolerance, hvordan risici kan styres, og sammenhængen mellem risikovurdering og kontrolaktiviteter.

I modsætning til 1992-rammen indeholder 2013-rammen desuden udtrykkeligt begrebet om at overveje potentialet for risikoen for svig ved vurderingen af risici for opnåelse af en organisations mål (jf. princip 8). I 2013-rammen forklares det, at “som en del af risikovurderingsprocessen bør organisationen identificere de forskellige måder, hvorpå svigagtig rapportering kan forekomme, idet den tager hensyn til:

• Ledelsesbias, f.eks. ved valg af regnskabsprincipper
• Grad af skøn og vurderinger i den eksterne rapportering
• Svindelordninger og -scenarier, der er almindelige i de industrisektorer og markeder, hvor virksomheden opererer
• Geografiske regioner, hvor virksomheden driver virksomhed
• Incitamenter, der kan motivere til svigagtig adfærd
• Natur Teknologiens karakter og ledelsens evne til at manipulere oplysninger
• Ualmindelige eller komplekse transaktioner, der er underlagt betydelig indflydelse fra ledelsens side
• Sårbarhed over for tilsidesættelse af ledelsen og potentielle ordninger til at omgå eksisterende kontrolaktiviteter”

Princip 8 behandler også overvejelser vedrørende tilsidesættelse af ledelsen, sikring af aktiver, incitamenter og pres, muligheder for uhensigtsmæssige handlinger samt holdninger og rationaliseringer, der kan retfærdiggøre uhensigtsmæssige handlinger. (Se yderligere diskussion af princip 8 i bilag A i Heads Up, Volume 20, Issue 17.)

Dertil kommer, at COSO har tilføjet overvejelser i hele 2013-rammen vedrørende:

• Anvendelse af outsourcede tjenesteudbydere (se bilag B i Heads Up, Volume 20, Issue 17.).
• Indholdet af informationsteknologi er blevet mere relevant (se bilag C i Heads Up, Volume 20, Issue 17).

Nedenstående tabel opsummerer principperne efter komponent. Bilag A kortlægger principperne til de aktuelle afsnit i 1992-rammen (hvor det er relevant) og opsummerer på et højt niveau nogle af de forbedrede begreber i 2013-rammen.

Kontrolkomponenter og -principper

Effektive systemer for intern kontrol

I et effektivt system for intern kontrol i henhold til 2013-rammen:

1. Hver af de fem komponenter og relevante principper skal være til stede og fungere. I henhold til 2013-rammen:

• Tilstedeværelse defineres som “konstatering af, at der findes komponenter og relevante principper i udformningen og gennemførelsen af systemet for intern kontrol med henblik på at nå bestemte mål.”
• Funktionering defineres som “konstatering af, at der fortsat findes komponenter og relevante principper i forbindelse med gennemførelsen af systemet for intern kontrol med henblik på at nå bestemte mål.”

2. De fem komponenter skal fungere sammen på en integreret måde. I 2013-rammen forklares det, at:

• Ved at fungere sammen forstås “konstateringen af, at alle fem komponenter tilsammen reducerer risikoen for ikke at nå et mål til et acceptabelt niveau.”
• Ledelsen kan påvise, at komponenterne fungerer sammen, når 1) “Komponenterne “er til stede og fungerer” og 2) “Mangler i den interne kontrol samlet på tværs af komponenterne ikke resulterer i konstateringen af, at der foreligger en eller flere væsentlige mangler.”

Redaktørens note: I henhold til SEC’s regler vedrørende overholdelse af afsnit 404 i SOX skal “vurderingen af et selskabs interne kontrol over den finansielle rapportering baseres på procedurer, der er tilstrækkelige til både at evaluere dens udformning og teste dens driftseffektivitet.”² Ligeledes kræver PCAOB Auditing Standard 5³, at revisor skal evaluere udformningen og driftseffektiviteten af den interne kontrol over den finansielle rapportering. Vi mener, at “tilstedeværende” og “fungerende” svarer til henholdsvis “udformning” og “driftseffektivitet”.

I 2013-rammen anvendes udtrykkene “mangel på intern kontrol” og “væsentlig mangel” til at beskrive graden af alvorlighed af mangler ved den interne kontrol. I henhold til 2013-rammen henviser en mangel i den interne kontrol til en “mangel i en eller flere komponenter og relevante principper, som reducerer sandsynligheden for, at en virksomhed kan nå sine mål”, og en væsentlig mangel henviser til en “mangel i den interne kontrol eller en kombination af mangler, som i alvorlig grad reducerer sandsynligheden for, at virksomheden kan nå sine mål”. Endvidere forklares det i 2013-rammen, at der foreligger en væsentlig mangel, når “en komponent og et eller flere relevante principper ikke er til stede eller fungerer”, eller når “komponenterne ikke fungerer sammen”. Hvis der foreligger en væsentlig mangel, kan organisationen desuden ikke konkludere, at den har opfyldt kravene til et effektivt system for intern kontrol.

Væsentligt er det, at 2013-rammen anerkender, at tilsynsmyndigheder, standardsættere og andre parter ved vurderingen af mangler i den interne kontrol kan opstille kriterier for at definere alvoren af, vurdere og rapportere om mangler i den interne kontrol. For at overholde kravene om rapportering om intern kontrol i henhold til SOX vil ledelsen fortsat anvende SEC’s terminologi om væsentlige mangler og væsentlige svagheder, og revisorerne vil fortsat anvende den samme terminologi i henhold til PCAOB’s standarder. Når en virksomhed evaluerer udformningen og den operationelle effektivitet af sin interne kontrol med ekstern finansiel rapportering (ICEFR) (dvs, om principperne er til stede og fungerer) og identificerer en mangel, vil virksomheden være forpligtet til at anvende SEC’s definitioner og vejledning til at vurdere manglens alvor, og revisor vil være forpligtet til at anvende definitionerne og vejledningen i henhold til PCAOB-standarderne.

COSO Transition Guidance and Impact on Other COSO Documents

Under den offentlige kommenteringsproces vedrørende udkastet til 2013 Framework anmodede forskellige interessenter om, at COSO angiver en specifik dato for, hvornår overgangen fra 1992 Framework til 2013 Framework skal være afsluttet. På baggrund af denne feedback har COSO givet nogle specifikke overgangsbestemmelser og opfordrer brugerne til at “overgå deres applikationer og tilhørende dokumentation til den opdaterede ramme så hurtigt som muligt under deres særlige omstændigheder”. COSO har også erklæret, at COSO “fortsat vil stille sin oprindelige ramme til rådighed i overgangsperioden frem til den 15. december 2014, hvorefter COSO vil betragte den som erstattet”. Desuden har SEC’s regnskabschef Paul Beswick erklæret, at “SEC’s personale har planer om at overvåge overgangen for udstedere, der anvender 1992-rammen, for at vurdere, om og hvis det på et tidspunkt i fremtiden bliver nødvendigt eller hensigtsmæssigt at træffe foranstaltninger fra personalets eller Kommissionens side.” Han erklærede endvidere, at han på nuværende tidspunkt “blot henviser brugere af COSO-rammen til de erklæringer, som COSO har fremsat om deres nye ramme og deres tanker om overgangen.”

I overgangsperioden (14. maj 2013 til 15. december 2014) foreslår COSO, at enhver “anvendelse af dens Internal Control – Integrated Framework, der involverer ekstern rapportering, klart skal oplyse, om den oprindelige eller 2013-versionen er blevet anvendt.” Som følge heraf vil det være hensigtsmæssigt, at virksomhederne, når de fremlægger deres årlige vurdering af ICEFR i overensstemmelse med SOX, angiver den nøjagtige COSO-ramme, som de har anvendt ved gennemførelsen af vurderingen.

Redaktørens note: I PCAOB Auditing Standard 5 hedder det, at “revisor bør anvende den samme egnede, anerkendte kontrolramme til at udføre sin revision af intern kontrol over den finansielle rapportering, som ledelsen anvender til sin årlige vurdering af effektiviteten af virksomhedens interne kontrol over den finansielle rapportering.” Som følge heraf vil tidspunktet for, hvornår revisor foretager overgangen til 2013-rammen for revision af ICEFR, afhænge af tidspunktet for virksomhedens overgang. Hvis virksomheden anvender 1992-rammen for det kalenderår, der slutter den 31. december 2013, vil revisor også anvende 1992-rammen. Vi mener, at det på en måde, der er i overensstemmelse med fremgangsmåden for offentliggørelse af den nøjagtige COSO-ramme, der er anvendt i ledelsens ICEFR-vurdering, vil være hensigtsmæssigt at angive i revisors erklæring den nøjagtige ramme, der er anvendt.

COSO’s Small Business Guidance vil blive erstattet af ICEFR-kompendiet efter den 15. december 2014.

COSO’s Enterprise Risk Management-Integrated Framework (“ERM Framework”) er ikke blevet erstattet af 2013 Framework. Selv om det er hensigten, at ERM-rammen og 2013-rammen skal have forskellige fokuspunkter, er de to rammer designet til at supplere hinanden. COSO mener, at selv om ERM Framework indeholder dele af teksten fra 1992 Framework, er ERM Framework fortsat egnet til at designe, implementere, gennemføre og vurdere virksomhedens risikostyring.

COSO’s Guidance on Monitoring Internal Control Systems, som blev skrevet for at hjælpe organisationer med at forstå og anvende overvågningsaktiviteter i et system af intern kontrol, er også fortsat relevant (dvs. den er ikke blevet erstattet af 2013 Framework). I bilag F til 2013-rammen står der, at “ændringerne af principperne i rammen ikke vil ændre væsentligt på de tilgange, der er udviklet til COSO’s Guidance on Monitoring Internal Control Systems.”

Intern kontrol med ekstern finansiel rapportering

Indflydelsen af 2013-rammen på ledelsens vurdering af effektiviteten af ICEFR (dvs. for at overholde SOX Section 404) vil afhænge af, hvordan en virksomhed har anvendt og fortolket begreberne i 1992-rammen. F.eks. kan et eksisterende system for intern kontrol måske ikke klart vise eller dokumentere, at alle de relevante principper er til stede og fungerer. COSO har udviklet ICEFR-kompendiet for at hjælpe virksomheder med at anvende 2013-rammen. De tilgange, der diskuteres i dokumentet, beskriver, hvordan organisationer kan anvende principperne i deres system af ICEFR, og dets eksempler illustrerer anvendelsen af hvert princip. Virksomheder, der bruger COSO til at rapportere om ICEFR, kan overveje:

1. At læse 2013 Framework og identificere nye begreber og ændringer.

2. At vurdere deres trænings- og uddannelsesbehov.

3. At fastslå, hvordan 2013 Framework påvirker udformningen og evalueringen af ICEFR ved:

a. Vurdering af dækningen af principperne i eksisterende processer og relaterede kontroller og overvejelse af fokuspunkterne.

b. Vurdering af de nuværende processer, aktiviteter og tilgængelig dokumentation i forbindelse med anvendelsen af principperne.

c. Identificering af eventuelle huller i ovenstående.

4. Identificering af de eventuelle trin, der skal udføres i forbindelse med overgangen til 2013-rammebestemmelserne, og:

a. Udarbejdelse af en plan for at gennemføre overgangen senest den 15. december 2014 (dvs. at virksomheder med kalenderårsafslutning, der overholder SOX Section 404, bør foretage overgangen til 2013-rammen for rapporteringsperioder, der slutter efter den 31. december 2014).

b. Overvejer at anvende aktiviteter udført i 2013 (f.eks. gennemgange, afprøvning af relevante kontroller, evaluering af mangler) til at identificere nødvendige ændringer og pilot- eller felttest af anvendelsen af 2013-rammen.

c. Bekræftelse af korrekt offentliggørelse af den anvendte ramme i overgangsperioden og på det tidspunkt, hvor 2013-rammen vedtages.

5. Koordinering og intern kommunikation med alle grupper, der er ansvarlige for at implementere, overvåge og rapportere om organisationens ICEFR.

6. Drøftelse og koordinering af aktiviteter med intern revision (hvis relevant) og den eksterne revisor.

Illustrative værktøjer

COSO’s Illustrative Tools giver eksempler på, hvordan en virksomhed kan anvende 2013-rammen ved vurderingen af effektiviteten af sit system for intern kontrol. Dokumentet indeholder illustrative skabeloner og omfatter scenarier med eksempler på, hvordan de forskellige skabeloner skal udfyldes. De illustrative værktøjer har dog ikke til formål at:

• opfylde eventuelle lovmæssige krav til evaluering af mangler ved den interne kontrol.
• Illustrere ledelsens valg af kontroller for at effektuere principper eller imødegå identificerede risici.
• Illustrere beslutninger om arten, tidspunktet eller omfanget af testning af kontroller for at sikre et effektivt system af intern kontrol.

-Produceret af Jennifer Burns og Brent Simer, Deloitte LLP

Endnoter
1. COSO er et fælles initiativ fra fem organisationer i den private sektor og er dedikeret til at levere tænkt lederskab ved at udvikle rammer og vejledning om virksomhedens risikostyring, intern kontrol og forebyggelse af svig. De fem private organisationer er American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants og Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File Nos. S7-40-02 og S7-06-03 (14. august 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.