en
da
I en tid med stigende lovgivningsmæssig kompleksitet er et effektivt kontrolmiljø afgørende. Denne artikel guider dig gennem designet af et kontrolmiljø, der hjælper din virksomhed med at håndtere de centrale finance-relaterede lovkrav inden for regnskab og skatter.
Udfordringen med at etablere et effektivt kontrolmiljø er en kompleks opgave. Det skyldes en øget regulatorisk kompleksitet – at reglerne simpelthen bliver mere omfattende og komplicerede – samt ændringer i virksomhedens aktiviteter af fx konkurrencemæssige årsager eller som følge af geopolitik og makroøkonomiske forhold, som fører til, at virksomhedens compliance-landskab ændrer sig.
Du kender måske udfordringen med, at kontrolmiljøet løbende skal opdateres for effektivt at håndtere et ændret risikobillede; nye risici opstår, andre forsvinder, og de aktuelle risicis indbyrdes væsentlighed forrykkes. Og det bliver ikke mindre udfordrende af, at din organisation også ændrer sig jævnligt. Det betyder nemlig alt sammen, at også kontrolopgaverne skal overvåges nøje, så de udføres af rette medarbejdere af hensyn til at sikre de nødvendige kompetencer og med en omkostningseffektiv organisering af roller og ansvar.
Når vi taler om risici, kan de defineres bredt som de omstændigheder og vilkår, der truer opfyldelsen af virksomhedens opsatte mål, hvad end de er operationelle, rapporterings- eller compliancerelaterede. Mange risici er generelle, mens nogle kan være meget branchespecifikke, drevet enten af de forretningsmæssige aktiviteter eller de regulatoriske forhold.
Du vil i denne artikel blive klogere på finance-relaterede compliance-risici – især dem, der handler om regnskab og skatter – og hvordan du kan risikostyre dem med et effektivt kontrolmiljø.
Det er nemlig et emne, der kræver enorm fokus og grundighed. For overholder din finansafdeling ikke lovkravene, kan det medføre ressourcekrævende korrektioner, behov for omkostningstung rådgiverbistand og skade på virksomhedens omdømme.
Figur: Financial Controlling & Compliance-cirkel
Financial Controlling & Compliance framework
Figuren illustrerer, at Financial Controlling er fundamentet for finansfunktionens ansvarsområder Reporting og Compliance, som består af en række kerneopgaver. For at opnå et højt kvalitets- og effektivitetsniveau skal disse tilpasses virksomhedens særlige forhold samt rammebetingelserne, du kan se i cirklens yderste ring.
Vi har her fremhævet området Control Environment i figuren. Det skyldes, at det netop er de opgaver, du kan blive klogere på i denne artikel.
Basico kan bidrage med rådgivning og assistance indenfor alle områder i modellen.
Forstå virksomhedens aktiviteter og compliance-landskab
En forudsætning for, at du kan designe et effektivt kontrolmiljø, er en dyb indsigt i virksomhedens forretningsaktiviteter – både kommercielle og interne. Det er vigtigt at forstå aktiviteterne på entitetsniveau – dels fordi lovkravene, som entiteterne er underlagt, varierer afhængig af hjemstedet, og dels da transaktionerne inden for koncernen og med nærtstående parter også er underlagt regulatoriske krav. Et yderligere hensyn er, at risiciene skal præciseres så meget, som det er praktisk muligt, for at undgå, at du implementerer unødvendige kontroller. Fx kan der være specifikke risici forbundet med et kunde- eller produktsegment, som ikke skal have afsmittende virkning på andre omsætningssegmenter med et andet risikobillede.
Når alle virksomhedens aktiviteter er kortlagt, kan du begynde at identificere de relevante lovkrav. Her er udfordringen ofte, at du skal kende reglerne for at stille de rigtige spørgsmål i ”forretningen”, og omvendt skal du kende til aktiviteterne for at vide, hvilke regler som er relevante at forholde sig til.
Arbejdsprocessen bliver derfor ofte iterativ, hvor du først kortlægger aktiviteterne overordnet og dernæst undersøger den relevante lovgivning med nysgerrighed på ”randområderne”. Med yderligere regelindsigt genoptager du nemlig forståelsen af aktiviteterne for at forstå detaljerne. Afhængig af, hvorvidt du bevæger dig i gråzonen, fx fordi konklusionen skal støttes af retspraksis eller andre inputs til regelfortolkning, skal du gentage den iterative proces.
For at du sikrer den nødvendige kvalitet og en effektiv ressourceanvendelse, kan det være hensigtsmæssigt at involvere specialister på lovgivningsområdet, som hurtigere kan identificere de relevante risici. Det kan fx give dig en detaljeret forståelse af, hvordan lovgivning skal omsættes i en praktisk kontekst, og åbne dine øjne for potentielle faldgruber.
Håndtering af komplekse risici på tre vigtige områder
Regnskab
For at designe effektive kontroller målrettet den eksterne rapportering er det afgørende, at du tilpasser dem til de regulatoriske rammer for de pågældende aktiviteter og transaktionstyper.
Årsregnskabsloven regulerer regnskabskravene for danske ikke-finansielle virksomheder med differentierede krav afhængig af virksomhedens regnskabsklasse (A-D) baseret på den såkaldte byggeklodsmodel. Hvor det for ikke-børsnoterede virksomheder er frivilligt, er børsnoterede virksomheder underlagt krav om at aflægge årsrapporten efter de internationale regnskabsstandarder (IFRS) godkendt af EU. I så fald sker det med tillæg af nogle specifikke yderligere oplysningskrav fra Årsregnskabsloven.
Komplekse transaktionstyper på regnskabsområdet kan fx være kundekontrakter, hvor flere varer og/eller serviceydelser kombineres, segmentering efter kunder, produkter eller geografi, varebeholdninger med indirekte produktionsomkostninger, derivater, konvertible lån, leasingaftaler, pensionsforpligtelser, aktiebaseret aflønning og behandling af virksomhedsovertagelser.
Derudover er det værd at bemærke, at aflæggelse af koncernregnskab øger kompleksiteten yderligere på grund af fx behandling af interne transaktioner samt reguleringseffekter som følge af opkøbte virksomheder, inkl. behandling af goodwill.
Risici kan opstå af forskellige årsager: Fx fordi aftalegrundlaget i virksomheden er kompliceret at oversætte til de regnskabsmæssige krav, fordi regnskabsreglerne er komplicerede og kan føre til fejl, hvis de ikke anvendes korrekt, eller fordi en stor transaktionsmængde kræver præcis indretning af kontoplanen og nøjagtig bogføring. Det kan også være, fordi behandlingen indebærer regnskabsmæssige skøn eller estimatusikkerhed
Skat
De fleste virksomheder er underlagt selskabsskatteloven, men der findes også her undtagelser. Nogle er skattemæssigt transparente, fx partnerselskaber, hvor beskatningen sker hos ejerne. Andre er underlagt særlige branchebeskatningsregler, som tonnageskat for rederier eller særbeskatningsregler for finansielle virksomheder.
Skattemæssig behandling ved komplekse transaktioner afhænger ofte af juridiske skøn og retsafgørelser. For eksempel kræver prissætning af transaktioner med nærtstående parter – kendt som transfer pricing – en dyb forretningsmæssig og skattejuridisk forståelse trods OECD's retningslinjer.
Bogføringen danner fundamentet for opgørelsen af den skattepligtige indkomst. Her foretages de nødvendige skattemæssige reguleringer som fradragsbegrænsninger og skattemæssige afskrivninger. Din kontoplan skal derfor understøtte disse reguleringer, og kontrollerne skal sikre nøjagtig kontering. Nogle skattemæssige reguleringer har en mekanisk karakter, fx ved at fradragsværdien reduceres til 75%, mens andre indebærer vanskelige juridiske skøn. Derudover prisfastsættes førnævnte transaktioner med nærtstående parter, men dette er reflekteret i bogføringsgrundlaget. Efterhånden som nye forretningsmodeller bliver mere udbredte, har skattemyndighederne behov for at øge reguleringen fx i form af dokumentations- og rapporteringskrav. Dette fører til en kontinuerlig ændring af lovgrundlag og retspraksis, hvilket påvirker risikobilledet.
Moms og afgifter
Kontoplanens indretning skal også sikre, at din virksomhed behandler moms og afgifter på den korrekte måde. Din kontoplan bør derfor understøtte korrekt udfyldelse af de respektive moms- og afgiftsfelter i indberetningen til skattemyndighederne.
Har din virksomhed fx import af afgiftsbelagte varer, hvor afgiftsgrundlaget baserer sig på ikke-finansielle data, vil der være endnu en risikokilde, som du skal forholde dig til. Disse risici kan fx opstå, hvis der bliver arbejdet med forkerte varekoder, eller hvis data ikke er ajourført, og her bør afgiftsgrundlaget fx sikres validt via produktstamdata beskyttet af kontroller.
Andre risici kan opstå; hvis din virksomheds aktiviteter kun delvist er omfattet af momsloven, kræver det en opdeling mellem momspligtige og momsfritagne aktiviteter. Dette kan indebære skøn i fordelingsnøgler og risiko for fejlagtig bogføring af omkostninger. En løsning kan inkludere brug af profit- og kostcenterstrukturer for hhv. moms- og momsfritagne aktiviteter. Men disse indebærer også risici – især hvis datagrundlaget er usikkert.
Identificer og vurder dine risici
Når du har fået et godt overblik over virksomhedens aktiviteter og compliance-landskab, er næste skridt at identificere væsentlige risici for alle dine forskellige transaktioner. Herefter skal du vurdere dem ud fra kvantitativ og kvalitativ væsentlighed og ud fra sandsynlighed.
Det vil være oplagt at koble dine risici til fx de respektive regnskabsposter, til selvangivelsen og til moms-/afgiftsindberetningerne i de respektive oplysningsfelter, men faktisk opstår langt hovedparten af risiciene på transaktionsniveau. Derfor skal du afdække risiciene med kontroller integreret i de underliggende finansprocesser som fx Order-to-Cash, Procure-to-Pay og Record-to-Report. Afhængigheder til fx ikke-finansielle stamdata og kunde-/leverandørstamdata skal du også identificere.
En god måde at gribe det an på er at mappe dine risici på proceskæder, der registrerer data hele vejen fra oprindelsen i fx produktionssystemer til bogføringen og senere i rapporteringen. Dette indebærer, at du identificerer alle procesflows. Fx kan omsætning måske opdeles i salgskanaler, produkter og geografi, mens varebeholdninger kan opdeles efter råvarer og færdigvarer, ligesom lønprocesser kan opdeles mellem timelønnede og funktionærer. Dette af hensyn til at præcisere og afgrænse risikoen, så kontrollerne også er målrettede ud fra et effektivitetshensyn.
Når risikolandskabet er kortlagt – gerne ved hjælp af velbeskrevne procesflows – kan du identificere og kvantificere de unikke risici efter karakteristika, hvilket gør det muligt at designe et effektivt kontrollandskab.
Sådan designer du effektive kontroller
Når du har identificeret og vurderet risiciene, kan du designe passende interne kontroller. Her er det væsentligt at overveje, om de skal designes omkring forebyggende eller opdagende kontroller, som groft betegnet hhv. undgår og opdager fejlene, ligesom du skal overveje, om kontrollerne skal være automatiske eller manuelle. Om det skal være det ene eller andet, kan afhænge af risicienes karakter, transaktionsmængden og afvejningen mellem ressourceforbrug og risikotolerance.
Funktionsadskillelse er en central kontrolforanstaltning, som skal sikre, at den samme person ikke både udarbejder og kontrollerer. Her er det afgørende, at funktionsadskillelsen er systemunderstøttet, hvor brugerroller og adgangsrettigheder bliver administreret omhyggeligt for at undgå overlap og utilsigtede rettigheder.
Kontroldesignet skal afspejle lovkravene og specifikt afdække de identificerede risici. Hvis de fx relaterer til omsætningens forekomst, bør du lade designet af kontrollen understøtte en afstemning af bogføringstransaktionen med underliggende dokumentation som fx aftaler og fragtdokumenter.
Din kontoplan bør ligeledes indrettes på en måde, hvor de manuelle tilretninger bliver minimeret. Det vil sikre dig et direkte transaktionsspor fra rapporteringerne til myndighederne og videre til bogføringen.
Desuden kan du mindske risici ved brug af regnskabsmanualer, arbejdsinstruktioner og intern træning, som øger sandsynligheden for en korrekt registrering.
Overvågning og revurdering af kontrolmiljøet
En vigtig komponent i dit kontrolmiljø er løbende overvågning. På den måde sikrer du, at kontrolaktiviteterne udføres korrekt, og det giver dig mulighed for at sætte ind, hvis der er brug for korrigerende handlinger.
Gennem overvågningen kan du også løbende vurdere, om kontrollerne effektivt afdækker dine aktuelle risici. Det kan være nødvendigt at redesigne kontroller, hvis du identificerer nye eller øgede risici, ligesom nye kontroller kan være nødvendige ved ændringer i forretningsaktiviteter eller lovgrundlag. Vi oplever ofte, at nye risici ikke er afdækkede, samt at virksomheder udfører overflødige kontrolhandlinger, fordi de ikke løbende har revurderet det risikobillede, de anvender til at tilpasse kontrolaktiviteterne.
Det er en omfattende opgave at etablere et kontrolmiljø, der effektivt afdækker alle risici for manglende overholdelse af finansiel lovgivning. I praksis kan opgaven formentligt aldrig løses uden enkelte svagheder i kontrolmiljøet. Men ved at følge fremgangsmåden i denne artikel er du i hvert fald sikret et robust og compliance-venligt miljø, der reducerer de mest kritiske risici og styrker overholdelsen af lovgivningen.
Skal vi hjælpe dig med dit kontrolmiljø?
Ræk ud for en uforpligtende snak om, hvordan den bedste vej mod compliance ser ud for dig.
