29. juni trer nye regler for internrevisjon i kraft i Norge. EUs regelverket minner om de amerikanske bestemmelsene for børsnoterte selskaper. I EU har direktivene fått numeriske navn som 4, 7 og 8, og kalles gjerne EuroSOX. De vil få følger også for norsk regelverk, og stille i første omgang krav til Norges 300 børsnoterte selskaper og finansielle institusjoner.
Regelverket har vekt sterke reaksjoner i IT-bransjen, og digi.no har i løpet av denne uken skrevet en rekke artikler med synspunkter fra både Gartner, IKT-Norge og fra Den norske revisorforening. Mens Gartner og Den norske revisorforening toner det hele ned, peker IKT-Norge og IT-leverandørene på myndighetenes krav om økt fokus på EuroSOX.
Sjefene i børsnoterte selskaper derimot, som regelverket dreier seg mot, vet svært lite om EuroSox. En fersk undersøkelse gjort på oppdrag for NorSox mot 100 toppsjefer i børsnoterte selskaper, avdekket at så mange som tre av fire toppsjefer ikke engang har hørt om EuroSox.
IKT-Norge på sin side anklager Revisorforeningen for å drive en profesjonskamp, ettersom mange av de oppgaver som tidligere er blitt pålagt revisorer, nå kan overtas av blant annet IT-systemer og metoder. Dette kan bety tap av lukerative rådgivningstjenester for revisorene.
Leder av konsulentgruppen for området Business Risk Management i IBM, Rune Berggren, rister på hodet av det hele.
Selv om «compliance» vil være et lønnsomt forretningsområde for IBM, og de nå bygger opp med konsulenter som skal håndtere dette markedet, ønsker likevel Berggren å være nøktern.
- Vi ser en stor begrepsforvirring på dette området nå. Vi snakker om nye EU-direktiver som vil få langt mindre omfang enn det amerikanske regelverket. Det er bare Norge og Danmark som kaller direktivene for EuroSox, sier Berggren til digi.no.
Det forventes likevel at dette blir et forretningsområdet med stort potenasiale, og flere nye aktører skal være i ferd med å etablere seg med spisset satsning på det Gartner kaller GRC (Governance, Risk & Compliance). Analyseselskapet spår en kraftig vekst på dette området i tiden framover.
Det europeiske regelverket vil være langt mindre krevende enn det såkalte Sarbanes-Oxley Act (SOX), som ble vedtatt i USA i 2002. Enron-saken i USA var en viktig årsak til at nye, regulatoriske krav ble fremmet. Sentralt står økte krav til etterrettelighet, dokumentasjon, personlig ansvar og uavhengige revisorer.
For norske bedrifter vil regelverket først og fremst kreve sterkere internrevisjon med en uavhengig revisjonskomite og egenerklæring rundt internkontroll (corporate government) som innebærer at man signerer for at man har kontrollert alt og ikke feid noe under teppet.
Den viktigste forskjellen er at USA er pliktig til å installere rutiner, metoder og IT-løsninger for å sikre kontroll av data, og i tillegg dokumentere at løsningen fungerer. I Europa er det tilstrekkelig for norske ledere av børsnoterte selskaper å dokumentere i årsmeldingen at de har innført kontrollrutiner i henhold til EU-direktivene.
Advokat Ståle L. Hagen i Simonsen Advokatfirma mener likvel at de selskaper som er nøye med å innføre kontrollrutiner, vil være vinnerne framover.
Hagen har ved flere anledninger klart å avdekke bevis i tvistesaker ved å gå gjennom elektroniske spor med sine klienter.
- Hvis jeg regner på alle de klienttimene vi har måtte bruke for å lete etter dokumentasjon i elektroniske arkiv, er jeg ganske overbevist om at en løsning for datahåndtering raskt ville ha tjent seg inn, sier Hagen til digi.no.
Les også:
- [01.10.2008] Glem Eurosox, det finnes ikke
- [18.04.2008] «Compliance» er det sunne for forretningen
- [18.04.2008] Ser ikke på «EuroSOX» som IT-prosjekt
- [17.04.2008] Ikke lytt til selgere av «EuroSOX»
- [16.04.2008] Ingen sommerferie på børsnotertes sjefer
- [13.02.2008] Strengere internregler gir gulltider for IT
- [03.01.2008] Må dokumentere alt av digitalt innhold
- [20.09.2007] Norge pålegges nye EU-regler for e-post
