Årsregnskabslovens § 107b

Beskrivelse af risikostyring og kontrolsystemer relateret til regnskabsaflæggelsen

I henhold til årsregnskabslovens § 107b nr. 6 skal børsnoterede virksomheder, og forventeligt også finansielle virksomheder, beskrive hovedelementerne i virksomhedens interne risikostyrings- og kontrolsystemer i forbindelse med regnskabsaflæggelsen. Loven er gældende for regnskabsår, der begynder den 1. september 2008 eller senere.

I henhold til loven skal beskrivel-sen alene omfatte interne kontrol- og risikostyringssystemer i forbindelse med regnskabsaflæggelsen. Der er således ikke krav om at beskrive risikostyringssystemer og interne kontrolsystemer for andre områder. Formålet med beskrivelsen er at give regnskabsbrugeren centrale oplysninger om dis se systemer.

Det fremgår af bemærkninger til lovforslaget § 107b nr. 6, at beskrivelsen bør omfatte:

Procedurer eller systemer, som virksomheden har indført i forbindelse med risikostyring, herunder hvorledes ledelsen løbende identificerer og styrer risici for væsentlige fejl i regnskabsaflæggelsen.

Interne kontrolsystemer, som er indført i virksomheden til sikring af, at væsentlige fejl i regnskabsaflæggelsen bliver imødegået, opdaget og korrigeret.

Beskrivelsen skal afspejle de aktuelle forhold og være dokumenteret. Selv om virksomheden har stærke processer for risikostyring og stærke interne kontrolsystemer, er der ikke garanti for, at der ikke kan være væsentlige fejl eller mangler, eller at der ikke kan ske misbrug af virksomhedens midler.

Vores informationsskrivelse om overvejelser vedrørende beskrivelse af ”Hovedelementerne i virksomhedens interne risikostyrings- og kontrolsystemer i forbindelse med regnskabsaflæggelsen” kan hentes her:

 Årsregnskabslovens pgr. 107b.pdf

Vi har i det følgende beskrevet nogle overvejelser og handlinger, som ledelsen bør gøre i forbindelse med udarbejdelsen af denne beskrivelse.

Indhold

Valg af kodeks

Kontrolmiljøet

Risikostyringssystem

Interne kontroller

Information og kommunikation

Overvågning

 

Valg af kodeks

  • Efterlevelse af anbefalinger for god selskabsledelse, som også omhandler ovenstående, kan beskrives andet steds i årsregnskabet.
  • Som redskab for virksomhedens arbejde med risikostyring og interne kontroller kan eventuelt anvendes det såkaldte COSO-framework, som er internationalt anerkendt. Det giver en struktureret tilgang, men stiller også krav til indsatsen.


Kontrolmiljøet

  • Udarbejdelse af kort beskrivelse af:
    • De informationssystemer og processer som regnskabs- aflæggelsen er omfattet af (det generelle miljø, organisationen, medarbejdere, købs-, salgs-, og produktionsprocesserne m.v.)
    • Proces for fastlæggelse af virksomhedens politikker, procedurer og interne kontroller
    • Eventuel intern revision, uafhængighed og opgave/metodik
    • Vedtagne politikker, manualer og procedurer, herunder krav til regnskab og rapporttering, funktionsadskillelse, ansvar og beføjelser, politikker for finanstransaktioner, skat, it og it-sikkerhed m.v.
    • Den løbende opfølgning på og kontrol af overholdelse af virksomhedens politikker
    • Den løbende overvågning af overholdelse af relevant
    • Lovgivning og bestemmelser i forbindelse med regnskabsaflæggelsen
    • Den løbende kommunikation/rapportering fra direktion til revisionskomite/bestyrelse
       
  • Foretage en samlet vurdering af kontrolmiljøet.

Risikostyringssystem

  • Mindst årligt samt ved større ændringer i virksomheden foretages identifikation af væsentlige risici vedrørende regnskabsaflæggelsen og vurdering af disse.
  • Drøftelse og vedtagelse af politikker til styring af risici samt tiltag til foranstaltninger, interne kontroller m.v. til imødegåelse af de identificerede risici og reduktion af disse til et acceptabelt niveau. Risici og nødvendige tiltag vurderes ud fra økonomiske konsekvenser, som hvis den enkelte risiko skulle blive en realitet.
  • Vurdering af risikoen for besvigelser/misbrug af aktiver og imødegåelse heraf.
  • Vurdering af risikoen for tilsidesættelse af kontroller og imødegåelse heraf.
  • Oplistning af væsentlige identificerede risici i forbindelse med regnskabsaflæggelsen.

Interne kontroller

  • De interne kontroller omfatter kontroller i de applika-tioner, som understøtter regnskabsaflæggelsesprocessen. Det vil sige programmerede kontroller i applikationer og de manuelle kontroller, som udføres i tilknytning til processen. Endvidere fysisk sikkerhed i virksomheden og generelle it-kontroller vedrørende de systemer, som understøtter regnskabsaflæggelsesprocessen. Dette gælder også etablerede forretnings- og it-baserede bered-skabsplaner og løbende test af disse.
  • Med udgangspunkt i risikovurderingen og de identificerede risici har virksomheden opbygget interne kontroller til imødegåelse af disse. Formålet med de interne kontroller er at forebygge eller opdage samt korrigere væsentlige fejl eller mangler i regnskabsaflæggelsesprocessen. Endvidere at sikre, at data o.l. er fuldstændige, nøjagtige, rettidige og godkendte. Endelig at forebygge bedrageri gennem funktionsadskillelse i de delprocesser, som påvirker regn-skabsaflæggelsen, således at der ikke er områder, hvor en ekstern eller intern person egenhændigt kan gennemføre en proces.
  • Sikre, at der:
    • Er opsat krav til omfang, omhu og frekvens af de udførte kontroller samt en løbende opfølgning på, at de gennemføres. Alle kontroller, som afdækker væsentlige risici skal foreligge dokumenteret
    • Er etableret en fast og formel proces for tilblivelsen af måneds- og kvartalsrapporter samt halvårsregnskaber og årsrapporter
    • Sker en gennemgang af alle væsentlige afvigelser i forhold til budgetter og andet forventningsmateriale
    • I regnskabsprocessen er fastlagt rutiner til sikring af korrekt information til noter og andre lovpligtige oplysningskrav.

Information og kommunikation

  • Informations- og kommunikationspolitik for regnskabsaflæggelsen for såvel intern som ekstern rapportering.
  • Formål med politikken er at sikre:
    • At oplysninger er fuldstændige og nøjagtige, og som minimum lever op til de lovmæssige krav
    • Rettidig rapportering til fondsbørsen og offentligheden i øvrigt
    • Tilstrækkelig åbenhed i og omkring virksomheden
    • At væsentlige risici og bestyrelsens holdning til intern kontrol er kendt, herunder væsentlige tiltag til reduktion af de identificerede risici i regnskabsaflæggelsen
    • At direktion og medarbejdere kender sit ansvar for risikostyring og interne kontroller i forbindelse med regnskabsaflæggelsen
    • At alle i virksomheden har den fornødne viden, herunder de rette informationer til rådighed, for at kunne udføre deres erhverv.
       
  • Interne risikostyrings- og kontrolsystemer skal sikre, at processerne er dokumenteret. Endvidere at det er muligt at foretage løbende opfølgning på, at alle væsentlige interne kontroller vedrørende regnskabsaflæggelsen, bliver udført med den aftalte frekvens, omfang og omhu, herunderat gennemførte kontroller er dokumenteret.

Overvågning

  • Løbende overvågning af interne risikostyrings- og kontrolsystemer. Overvågning er tilrettelagt i forhold til risiko og er væsentlig på alle niveauer i organisationen, herunder af at interne kontroller bliver udført med den aftalte frekvens, omfang og omhu.
  • Al overvågning sker som udgangspunkt på et ledelsesniveau. For at overvågning og opfølgning er mulig, skal kontrollerne være dokumenteret/synlige.
  • Eventuelle konstaterede svagheder, kontrolsvigt og overskridelser af rammer, beføjelser og politikker rapporteres opad i organisationen i henhold til de vedtagne politikker. Alle svagheder, kontrolsvigt mv. rapporteres til direktionen. Alle væsentlige fejl eller mangler rapporteres til bestyrelsen/revisionskomiteen.
  • Der er lagt faste processer og tidspunkter for direktionens rapportering til bestyrelsen/revisionskomiteen, herunder indhold og omfang af rapporteringen. Der modtages endvidere en løbende rapportering fra virksomhedens interne revision.
  • Bestyrelsen/revisionskomiteen holder løbende møder med den generalforsamlingsvalgte revision, ligesom denne rapporterer om væsentlige fejl eller mangler i revisionsprotokollen. Revisionen rapporterer endvidere om mindre væsentlige fejl eller mangler til direktionen.
  • Bestyrelsen/revisionskomiteen overvåger løbende, at direktionen gennemfører aftalte tiltag til imødegåelse af identificerede risici i regnskabsaflæggelsesprocessen. Endvidere at direktionen foretager den fornødne overvågning og reagerer rettidigt på identificerede fejl ogmangler, samt overtrædelse af aftalepolitikker, processer og forretningsgange.

Ønskes en uddybende dialog om anbefalingerne, er du meget velkommen til at henvende dig til din sædvanlige kontaktperson hos Grant Thornton. 

IFRS Top 20

Publikationen ”IFRS’ Top 20 om vigtige oplysninger og regnskabsmæssige problemstillinger” kan downloades her.

© 2009 Grant Thornton - Statsautoriseret Revisionsaktieselskab