Nadrzędnym celem SOA (Sarbanes-Oxley Act of 2002 - dalej "SOA" lub "Ustawa") było przywrócenie zaufania inwestorów poprzez znaczne zaostrzenie wymogów niezależności wobec kluczowych graczy na rynku finansowym oraz podniesienie na bardzo wysoki poziom wymagań w zakresie efektywności kontroli wewnętrznej podmiotów zarejestrowanych w US Securities and Exchange Commission (SEC).

Ustawa Sarbanes-Oxley składa się z jedenastu rozdziałów, w których omawiane jest bardzo szerokie spektrum zagadnień. Od powołania Rady Nadzoru nad Rachunkowością Spółek Publicznych (Public Company Accounting Oversight Board - PCAOB) odpowiedzialnej między innymi za opracowanie nowego standardu badania sprawozdań finansowych, łącznie z badaniem systemu kontroli wewnętrznej ("integrated audit"). Poprzez określenie nowych wymogów niezależności audytorów, odpowiedzialności kierownictwa spółek, ustalenie nowych wymogów w zakresie zapewnienia odpowiednich mechanizmów kontroli wewnętrznej oraz ich corocznej oceny, aż po problem oszustw korporacyjnych.

Ustawa często określana jest mianem "największej rewolucji" w ustawodawstwie finansowym od czasów Security Exchange Act z 1934 r., w związku z tym jak wielkich zmian dokonuje w odpowiedzialności zarządów i komitetów audytowych spółek publicznych oraz relacji pomiędzy spółkami a ich audytorami.

Sekcja 404 - ocena kontroli

wewnętrznych przez kierownictwo

Sekcja 404, pomimo że zajmuje niespełna pół strony w całej ustawie, wywołała najwięcej kontrowersji i najżywsze reakcje ze strony środowiska biznesowego w związku z zakresem prac i środków finansowych niezbędnych do zapewnienia określonych tam wymagań. Sekcja 404 określa wymóg weryfikacji przez biegłego rewidenta przyjętych przez spółkę rozwiązań w zakresie kontroli wewnętrznej i oceny efektywności kontroli dokonanej przez zarząd. Wymagania te będą obowiązywać w odniesieniu do raportowania za lata obrotowe kończące się po 15 listopada 2004 r. dla spółek zarejestrowanych w Stanach Zjednoczonych oraz za lata obrotowe kończące się po 15 lipca 2005 r. dla emitentów zarejestrowanych poza Stanami Zjednoczonymi - "Foreign Private Issuers".

Wymogi Sekcji 404 w zakresie obowiązków kierownictwa spółek oraz biegłych rewidentów zostały określone w samej ustawie oraz w standardzie badania nr 2 "Badanie kontroli wewnętrznych wykonywane łącznie z badaniem sprawozdań finansowych" opublikowanym przez PCAOB w marcu 2004 r. Standard nr 2, pomimo że jako standard badania definiuje obowiązki biegłego rewidenta przeprowadzającego badanie "integrated audit", jest również podstawowym dokumentem określającym obowiązki samych spółek przygotowujących ocenę systemu kontroli wewnętrznej, gdyż definiuje kluczowe obszary weryfikacji i oczekiwania wobec kierownictwa spółek w zakresie dokumentacji i oceny kontroli.

Kluczowe wymogi wynikające z Sekcji 404 dla kierownictwa spółek zostały zwięźle przedstawione w opracowaniu "Management responsibility for assessing effectiveness of internal control over financial reporting under Section 404 of the Sarbanes - Oxley Act" przygotowanym przez PricewaterhouseCoopers i dostępnym na stronie www.pwc.com.

Zgodnie z nimi dyrektor generalny i dyrektor finansowy spółki mają obowiązek załączyć do rocznego sprawozdania finansowego oświadczenie dotyczące systemu kontroli wewnętrznej spółki, określające:

- odpowiedzialność kierownictwa za ustalenie i utrzymywanie odpowiednich mechanizmów kontroli wewnętrznej oraz procedur dotyczących sprawozdawczości finansowej spółki,

- ocenę kierownictwa na temat skuteczności kontroli wewnętrznej spółki oraz procedur sprawozdawczości finansowej na koniec ostatniego roku finansowego spółki,

- fakt, że biegły rewident zatrudniony przez spółkę poświadczył i sporządził raport na temat oceny przez kierownictwo kontroli wewnętrznej spółki i procedur sprawozdawczości finansowej.

Ponadto Sekcja 404 precyzuje, że:

- ocena kierownictwa musi opierać się na procedurachsystemu i zbadania efektywności kontroli,

- kierownictwo musi przechowywać dokumentację będącą podstawą oceny systemu kontroli wewnętrznej,

- wszelkie istotne słabości kontroli wewnętrznej nad sprawozdawczością finansową nie pozwalają kierownictwu orzec, że kontrola jest skuteczna,

- kierownictwo musi być aktywnie zaangażowane w cały proces.

W praktyce oznacza to, że spółka musi zidentyfikować kluczowe procesy i kontrole wpływające na wiarygodność poszczególnych pozycji sprawozdania finansowego, zidentyfikować kluczowe czynniki ryzyka w nich występujące, a następnie ocenić, w jakim stopniu istniejące kontrole zapobiegają zidentyfikowanym czynnikom ryzyka. Ocena obejmuje zarówno ocenę budowy kontroli, czyli w jakim stopniu jest w stanie przeciwdziałać określonemu ryzyku oraz ocenę jej skuteczności operacyjnej "operating effecitveness", czyli w jakim stopniu kontrola była wykonywana w sposób zgodny z procedurą w analizowanym okresie. Działania te muszą też zostać udokumentowane w formie pozwalającej na weryfikację przez niezależnego biegłego rewidenta oraz na okresową aktualizację przygotowanej dokumentacji.

Koszty zapewnienia zgodności

O tym, jak znacznego nakładu pracy wymaga spełnienie powyższych wymogów, świadczy najlepiej fakt, że początkowa data wejścia w życie przepisów Sekcji 404 była już dwukrotnie przesuwana, początkowo z września 2003 r. na czerwiec 2004 r., a następnie na 15 listopada 2004 r. Świadczy to także o tym, że sam legislator nie docenił, jak dużym obciążeniem dla spółek będzie spełnienie nowych wymogów.

Początkowe przekonanie znacznej liczby spółek, że posiadane procedury i dotychczasowa działalność audytu wewnętrznego będą wystarczające dla zapewnienia zgodności z Ustawą, w miarę postępu prac ustąpiło coraz wyższym szacunkom koniecznych zasobów i wydatków w celu realizacji projektów zapewnienia zgodności.

Potwierdzają to także wyniki ankiety przeprowadzonej w styczniu i lipcu 2004 r. przez Financial Executives International wśród odpowiednio 321 i 224 amerykańskich spółek przygotowujących się do spełnienia wymogów Sekcji 404. Średni koszt zapewnienia zgodności w pierwszym roku, szacowany w styczniu na poziomie 2 milionów dolarów wzrósł do 3 milionów dolarów w lipcu, natomiast koszt zapewnienia zgodności dla grupy największych spółek, o obrotach powyżej 5 miliardów dolarów wzrósł z 4,6 miliona do 8 milionów dolarów. Wysiłek ten ma także odzwierciedlenie w przewidywanej liczbie godzin poświęconych przez pracowników na realizację projektu zapewnienia zgodności, która uległa podwojeniu w porównaniu z badaniem styczniowym i wyniosła ponad 25 tysięcy godzin.

Początkowe nieoszacowanie zakresu prac znajduje także odzwierciedlenie w znaczących opóźnieniach w realizacji projektów, jakiego doświadcza wiele spółek.

Zgodnie z wynikami ankiety przeprowadzonej przez PricewaterhouseCoopers wśród ponad 130 spółek notowanych na giełdzie amerykańskiej we wrześniu 2004 r., a więc zaledwie trzy miesiące przed terminem, w którym wymagana będzie ocena zgodności z Ustawą, około 12% respondentów uważała, że spółka będzie w pełni gotowa do spełnienia wymogów Ustawy na czas, 70% uważało, że zdąży pomimo istotnych opóźnień, które miały miejsce, natomiast około 3% respondentów zakładało, że nie będzie gotowa w wymaganym terminie. W kontekście powyższych interesujące wydają się oceny obecnego zaawansowania prac w spółkach, gdzie jedynie 5% respondentów deklaruje zakończenie dokumentacji procesów i testowania efektywności kontroli oraz rozpoczęcie ponownego testowania kontroli, które wymagały naprawy, natomiast aż 35% respondentów nie zakończyło jeszcze procesu dokumentacji kontroli wewnętrznych.

Zgodnie ze wspomnianą wcześniej ankietą PricewaterhouseCoopers, czas poświęcony na przetestowanie jednej kontroli manualnej wynosi od 2 godzin (33% respondentów) do 8 godzin (25% respondentów), co przy dość realnym założeniu podmiotu posiadającego 10 istotnych lokalizacji podlegających testowaniu, w każdej z nich 10 procesów biznesowych, w których zidentyfikowano średnio po 15 kluczowych kontroli daje od 3 tysięcy do 12 tysięcy godzin na samo testowanie efektywności kontroli.

Biorąc to pod uwagę staje się jasne, dlaczego nawet dla podmiotów znanych z posiadania systemów kontroli wewnętrznej na bardzo wysokim poziomie wykonanie powyższych procedur stanowi znaczny wysiłek.

Tak duże koszty zapewnienia zgodności z przepisami Ustawy wywołały żywą reakcję ze strony spółek publicznych zmuszonych ponosić te koszty oraz ze strony giełdy amerykańskiej obawiającej się spadku nowych notowań, czy wręcz wycofania walorów spółek notowanych z rynku amerykańskiego. Natomiast stanowisko zarówno SEC, jak też PCAOB w tym zakresie opiera się na stwierdzeniu, że koszty zapewnienia zgodności z Ustawą nawet jeżeli wysokie, to są nieporównanie mniejsze od strat, na które naraziły inwestorów skandale finansowe, będące przyczyną wprowadzenia nowych regulacji i w związku z tym konieczność ich ponoszenia przez spółki w imię większej przejrzystości sprawozdań finansowych jest w pełni uzasadniona.

Sekcja 404 - czy tylko

zapewnienie zgodności?

Zgodnie z ostatnimi badaniami zapewnienie efektywności kontroli wewnętrznych i poprawa ładu korporacyjnego w spółce, w dzisiejszym środowisku biznesowym może także oznaczać poprawę efektywności działania i przekładać się na wymierne korzyści finansowe. Może to być osiągnięte poprzez zintegrowaną politykę ładu korporacyjnego, ryzyka i zgodności z przepisami (Governance, Risk and Compliance - GRC).

Oczywiście, dosyć trudną i wciąż dyskutowana kwestią jest mierzenie całkowitego kosztu zapewnienia zgodności oraz wartości wynikającej dla spółki z przestrzegania przepisów.

Zgodnie z ankietą przeprowadzoną przez PricewaterhouseCoopers i Economist Intelligence Unit ryzyko utraty reputacji jest postrzegane przez spółki jako największe zagrożenie dla ich działalności, a jedynie 15 procent respondentów uważa, że ich procedury wewnętrzne skutecznie minimalizują ryzyko utraty reputacji. Natomiast z ankiety przeprowadzonej przez Meta Group i PricewaterhouseCoopers wynika, że zintegrowane podejście do GRC może: poprawić reputację spółki o 23%, obniżyć rotację pracowników o 10%, poprawić przychody o 8%. Analiza porównawcza przeprowadzona przez General Counsel Roundtable wykazała natomiast, że 1 USD wydany na przestrzeganie przepisów daje organizacjom średnio 5,21 USD oszczędności w następujących dziedzinach: odpowiedzialność prawna, pogorszenie reputacji, utrata zdolności produkcyjnych.