SOX-compliant worden… en blijven
Door Monique Witziers, Marleen Lemmens en Jeroen Ruepert Zoals bekend vereist sectie 404 van de Amerikaanse Sarbanes-Oxley wet (SOX) dat de CEO en CFO een verklaring afleggen over de kwaliteit van het interne beheersingssysteem ten behoeve van de externe financiële rapportage. SOX 404 is per 15 juli 2006 ook van toepassing op buitenlandse ondernemingen die aan de Amerikaanse beurs zijn genoteerd. Binnen Nederlandse organisaties waarop SOX 404 van toepassing is, zijn projecten gestart gericht op het afgeven van een SOX-verklaring binnen de gestelde tijdslijnen. Al deze organisaties zijn zich ervan bewust dat dit geen eenmalige actie is. Organisaties gaan nu echter nog vaak zo op in het project ‘SOX-compliant worden’, dat ze zich er nog geen beeld van hebben kunnen vormen hoe ze het project ‘SOX-compliant blijven’ moeten organiseren. Hierdoor lopen deze bedrijven het risico dat de organisatie met het afgeven van de eerste verklaring overgaat tot business as usual en dat hiermee de opgedane kennis en ervaring verdwijnt als sneeuw voor de zon. Dit kan echter worden vermeden, en wel door al tijdens het initiële project te zorgen voor verankering van de SOX-activiteiten in de staande organisatie. Alleen dit voorkomt dat volgend jaar eenzelfde exercitie moet worden gestart. Hoe doet u dit? Laten we eerst eens kijken welke activiteiten er binnen een structureel SOX-proces plaatsvinden. Vervolgens gaan we na hoe SOX kan worden verankerd binnen de organisatie. De eerste keer Tijdens het SOX-project moeten een aantal generieke activiteiten worden uitgevoerd, voordat de organisatie de SOX 404-verklaring kan afgeven. Deze zelfde activiteiten vormen tevens de basis voor het jaarlijks terugkerende SOX-proces. Wij onderkennen binnen dit proces negen stappen. Deze worden weergegeven in de figuur en hieronder beknopt toegelicht. Het SOX process 1 Uitgangspunten bepalen Deze stap bestaat uit het vaststellen van de uitgangspunten voor het SOX-proces in het komende rapportagejaar. Voorbeelden zijn: de criteria voor materialiteit, de vereisten ten aanzien van de te gebruiken documentatie, de (rapportage)planning en de opzet van de sign-off structuur. 2 Organisatiebrede risico’s en controls beoordelen Deze stap bestaat uit het vaststellen en beoordelen van de algemene interne beheersingsmaatregelen die proces- en business-unit-overstijgend zijn. Voorbeelden zijn: de integriteit van het management, de ondernemingscultuur en algemene IT-controls (zoals toegangsbeveiliging, back-up en recovery-faciliteiten). 3 Scope bepalen Deze stap heeft tot doel de processen die in het SOX-proces in beschouwing worden genomen aan te geven. Drie subactiviteiten worden onderscheiden: het bepalen van de ‘significant accounts’, het vaststellen van de bijbehorende ‘assertions’, en het koppelen van de significant accounts aan primaire en secundaire bedrijfsprocessen. Naast criteria van materialiteit worden hierbij ook specifieke financiële risico’s overwogen. 4 Proces, risico’s en controls beschrijven Deze stap omvat het documenteren van de processen, de onderkende risico’s en de beheersingsmaatregelen die ontworpen zijn om deze risico’s te ondervangen. Het betreft hier enkel de risico’s op het niet realiseren van de ‘assertions’. Organisaties hebben de keuze uit verschillende vastleggingsmethodieken, variërend van een eenvoudige beschrijving in Word tot een uitvoerige documentatie in een AO-vastleggingstool. 5 Design effectiveness bepalen Binnen deze processtap wordt bepaald in welke mate de ontworpen interne beheersingsmaatregelen de risico’s afdekken. Dit gebeurt aan de hand van de opgestelde documentatie. Als er geen adequate interne beheersingsmaatregel ontworpen is, is er sprake van een ‘deficiency’. 6 Operating effectiveness bepalen Tijdens deze processtap vindt het testen van het bestaan en de werking van de beheersingsmaatregelen plaats. Tijdens het testen wordt vastgesteld of de beheersingsmaatregelen aanwezig zijn en in de praktijk werken zoals beoogd. Is dit niet het geval, dan is er eveneens sprake van een ‘deficiency’. 7 Management assessment Deze stap omvat de beoordeling van de geïdentificeerde deficiencies door het management. Op basis van onder andere materialiteitscriteria bepaalt het management welke deficiencies moeten worden opgelost. 8 Deficiencies oplossen Deze processtap bestaat uit het opstellen en uitvoeren van verbeterplannen van de door het management aangewezen deficiencies. Deze verbeterplannen zijn enerzijds gericht op het ontwerpen en implementeren van nieuwe beheersingsmaatregelen, en anderzijds op het zeker stellen dat de bestaande interne beheersingsmaatregelen op de juist manier worden uitgevoerd. 9 SOX 404-verklaring afgeven In deze processtap ondertekent het management de SOX 404-verklaring en geeft het aan in control te zijn. Aan het eind van het jaar vindt de rapportage en interne sign-off plaats. Wie doet wat De activiteiten zijn hiermee bekend, de vraag is nu waar en bij wie deze rollen en verantwoordelijkheden in de organisatie worden belegd. Hierbij gaat het om verantwoordelijkheid voor de operationale activiteiten (de resultaatverantwoordelijkheid) en om de verantwoordelijkheid voor opzet, inrichting en beheer van de bedrijfsprocessen (de procesverantwoordelijkheid). Welnu, de volgende rollen zijn essentieel: de CEO en de CFO, de unitmanagers, de afdelingsmanagers, de proceseigenaar, de unitcontroller, de afdeling internal audit, de AO-deskundige en het SOX Office. De CEO en CFO SOX 404 stelt dat de CFO en CEO jaarlijks verklaren dat de organisatie voldoet aan de eisen die SOX stelt aan de kwaliteit van het interne beheersingssysteem ten behoeve van de externe financiële rapportage. Dit doen zij door het tekenen van een zogenaamde sign-off verklaring. De CFO en CEO zijn eindverantwoordelijk voor alle stappen in het SOX-proces. De uitvoering van deze stappen delegeren zij aan de bovenstaande rollen. Bij stap 7, ‘management assesment’, is directe betrokkenheid van de CFO en CEO echter onontbeerlijk. De unitmanager De CFO en de CEO zijn eindverantwoordelijk voor de activiteiten van de businessunit en het in control zijn, maar zullen deze verantwoordelijkheid delegeren aan een aantal unitmanagers. Deze unitmanagers zijn derhalve verantwoordelijk voor een gedeelte van de activiteiten van deze businessunit en voor een gedeelte van de bedrijfsprocessen die door de verschillende units worden uitgevoerd. De afdelingsmanager Onder een unit vallen verschillende afdelingen. De unitmanager delegeert de verantwoordelijkheid voor de operationele activiteiten en het in control zijn aan de managers van deze afdelingen. Daarmee is de afdelingsmanager verantwoordelijk voor een kleiner gedeelte van de bedrijfsprocessen van de gehele unit. De proceseigenaar Gegeven het feit dat er een aantal unitmanagers en meerdere afdelingsmanagers zijn die allen verantwoordelijk zijn voor een gedeelte van de bedrijfsprocessen van de businessunit, is het van belang dat ook de overall verantwoordelijkheid voor deze processen wordt belegd. Hiervoor kan de rol van proceseigenaar worden gecreëerd. De proceseigenaar wordt in dat geval verantwoordelijk voor de inrichting, de beheersing en het beheer van de processen. Van belang is hierbij op te merken dat dit een procesverantwoordelijkheid betreft en geen resultaatverantwoordelijkheid. De unitmanager en afdelingsmanagers (‘de lijn’) blijven verantwoordelijk voor de resultaten van het operationele bedrijfsproces. De proceseigenaar zorgt hierbij dat zij hun activiteiten kunnen uitvoeren conform een proces dat qua inrichting en beheersing voldoet aan de eisen ten aanzien van interne beheersing. Tevens heeft de proceseigenaar een rol in het toezicht op de uitvoering (de werking) van de processen conform de voorgeschreven werkwijze. Hij heeft echter vanuit zijn rol als proceseigenaar geen hiërarchische zeggenschap over de afdelingsmanagers. Hierin kan worden voorzien door de rol van proceseigenaar te beleggen bij de unitmanagers. Indien de proceseigenaar constateert dat processen niet worden uitgevoerd conform de voorgeschreven werkwijze, kan hij vanuit zijn rol als unitmanager de afdelingsmanagers aanspreken. De proceseigenaar is in het SOX-proces verantwoordelijk voor het laten plaatsvinden van de stappen 4 tot en met 6 en 8. Voor het uitvoeren van deze activiteiten kan hij andere partijen inschakelen. De unitcontroller De unitcontroller is verantwoordelijk voor de control binnen de unit. In deze rol beoordeelt hij met name de betrouwbaarheid van de bestuurlijke informatievoorziening en de adequate werking van de AO/IC. De controller heeft onder andere expertise op het gebied van riskmanagement en de werking van de beheersingsmaatregelen in de bedrijfsprocessen. In het SOX-proces is de unitcontroller verantwoordelijk voor het uitvoeren van stap 5, ‘design effectiveness bepalen’. Internal audit Internal audit is een geheel onafhankelijke afdeling binnen de organisatie die toeziet op de adequate werking van het interne beheersingssysteem. Vanuit deze onafhankelijke rol rapporteert de afdeling aan de CFO en CEO, maar ook aan de Raad van Commissarissen. Internal audit heeft veelal expertise op het gebied van riskmanagement, financial audit en operational audit. Om die reden is deze afdeling in het SOX-proces verantwoordelijk voor het testen van de ‘operating effectiveness’ van de controls in de bedrijfsprocessen (stap 6 in het SOX-proces). Dit gebeurt in deze rol onder verantwoordelijkheid van de proceseigenaar. De AO-deskundige Voor het beschrijven van de bedrijfsprocessen, de financiële rapportage risico’s en de interne beheersingsmaatregelen (stap 4) is specialistische proceskennis en ervaring op het gebied van AO-vastlegging gewenst. De proceseigenaar kan hierbij ondersteuning c.q. advies vragen aan een deskundige op het gebied van administratieve organisatie. Binnen veel organisaties bestaat een AO-afdeling die verantwoordelijk is voor het beheren van de vastgelegde AO. De medewerkers van deze afdeling beschikken over expertise op het gebied van procesinrichting en -vastlegging. Wanneer deze afdeling niet bestaat, kan deze ondersteunende rol belegd worden bij het SOX Office. Het SOX Office Bij het SOX-proces zijn veel partijen betrokken. Door de complexiteit en reikwijdte vereist het SOX-proces een heldere en strakke regie. Wij raden de CEO en CFO aan een SOX Office in te richten dat de coördinatie op zich neemt van alle activiteiten die nodig zijn om tot een SOX-verklaring te komen. De bemoeienis van het SOX Office start aan het begin van het jaar met het bepalen en uitdragen van de uitgangspunten voor het komende rapportagejaar. In de loop van het jaar vervult het SOX Office een faciliterende functie en coördineert het de communicatie tussen de betrokken partijen op het gebied van SOX. Daarnaast vervult het SOX Office een aanjagende rol, bewaakt de voortgang, toetst de kwaliteit van de opgeleverde producten en rapporteert aan het management. Tot slot kan het SOX Office aan het eind van het jaar ondersteunen in het traject rond de ondertekening van de SOX-verklaring. Drs. ing. Monique Witziers (Principle Business Consultant), drs. Marleen Lemmens (Senior Business Consultant) en drs. Jeroen Ruepert (Junior Business Consultant) zijn allen werkzaam binnen Atos Consulting, World Class Finance DE PRAKTIJK: Het beschrijven van de processen De CEO en CFO zijn eindverantwoordelijk voor het in control zijn van de organisatie. Zij tekenen de SOX-verklaring. In het SOX-proces hebben zij de verantwoordelijkheid voor goed ingerichte bedrijfsprocessen (inclusief de controls) belegd bij de proceseigenaren. Voor de vastlegging van de bedrijfsprocessen en de controls zijn de proceseigenaren derhalve gedelegeerd opdrachtgever en verantwoordelijk dat dit gebeurt. De proceseigenaren zullen in dit kader bij stap 4 van het SOX-proces (Proces, risico’s en controls beschrijven) een opdracht geven aan een procesdeskundige (bijvoorbeeld een procescoördinator of AO-afdeling) om in samenwerking met de afdelingsmanagers de bedrijfsprocessen vast te leggen. De procesdeskundige levert de procesbeschrijving op aan de proceseigenaar. De proceseigenaar beoordeelt de procesbeschrijving en accordeert deze op grond van zijn gedelegeerde verantwoordelijkheid. Procesbeschrijvingen worden opgeleverd aan het SOX Office. DE PRAKTIJK: Het bepalen van de design effectiveness Bij het bepalen van de design effectiveness gaat het erom vast te stellen of de controls in het proces effectief zijn ontworpen (de onderkende risico’s afdekken). De proceseigenaar is overall verantwoordelijk voor een goede opzet van het proces. Of de controls effectief zijn ontworpen is in het SOX-proces ter beoordeling aan de unitcontroller. Deze overziet de unit en heeft ook de legitimiteit om de controls in de bedrijfsprocessen van de unit te beoordelen. Deze taak past ook bij zijn dagelijkse rol en zijn expertise. De unitcontroller rapporteert de uitkomsten van zijn beoordeling in eerste instantie aan de afdelingsmanagers (ter bevestiging van de bevindingen). Tevens rapporteert de unitcontroller de bevindingen aan de proceseigenaar. De proceseigenaar rapporteert vervolgens, eventueel in een voorgedefinieerd format, aan het SOX Office. Het SOX Office gebruikt deze informatie in zijn rapportages aan de CFO en CEO. DE PRAKTIJK: Het bepalen van de operating effectiveness De verantwoordelijkheid voor het toezien op de uitvoering van de beheersmaatregelen is belegd bij de proceseigenaar. Het testen van de werking vraagt om specialistische (operational audit) kennis. Vandaar dat er in het model voor is gekozen om deze taak bij internal audit te beleggen. De proceseigenaar verstrekt vanuit de gedelegeerde verantwoordelijkheid de opdracht hiervoor aan internal audit. De uitkomsten van de audit, de geconstateerde leemten in de werking, legt internal audit in eerste instantie voor aan de afdelingsmanagers. De proceseigenaar ontvangt vervolgens de rapportage van internal audit. Met deze informatie legt de proceseigenaar verantwoording af aan de CFO en CEO inzake de werking van de bedrijfsprocessen en de mate waarin deze ‘in control’ zijn. Het SOX Office verzorgt vanuit zijn faciliterende rol de verzending van de rapportages aan de CFO en CEO. Tips uit de praktijk – De betrokkenheid van meerdere partijen en het beleggen van de eerdergenoemde activiteiten in de lijn vragen om een helder SOX-implementatieplan. Activiteiten in het kader van SOX behoren immers op dit moment nog niet tot de dagelijkse ‘corebusiness’ van de lijn, waar toch een groot deel van de SOX-activiteiten wordt belegd. Wil men voorkomen dat SOX gezien wordt als een extra belasting waarvan de toegevoegde waarde voor de business nihil is, dan is het essentieel dat de business bij het proces betrokken wordt. Gezamenlijk met de business bespreken welke ondersteuning qua middelen en menskracht noodzakelijk is, welke opleidingen gewenst zijn, maar ook welke andere ‘benefits’ er zijn aan te wijzen, is daarbij een belangrijke stap. Ook de door ons geadviseerde rol van de controller en de AO-afdeling dienen hierin te worden meegenomen. Activiteiten in dit kader worden beschreven in het implementatieplan. – Het is van groot belang dat elke partij helder voor ogen heeft wie waarvoor verantwoordelijk is en vanuit welke rol er wordt gehandeld. Met name bij de rol van proceseigenaar is dit cruciaal, aangezien deze een tweede pet draagt, te weten die van unitmanager. Door deze twee petten ontstaat al snel verwarring tussen de lijnverantwoordelijkheid en de procesverantwoordelijkheid van de betrokken persoon. Wanneer steeds strikt wordt gekeken vanuit welke rol hij optreedt, heeft de proceseigenaar een grote toegevoegde waarde in het SOX-proces. Dit geldt tevens voor het SOX Office, dat bij een adequate rolvervulling zorgt dat de informatiestromen rond het SOX-proces goed verlopen en dat de voortgang en kwaliteit binnen het SOX-proces goed worden bewaakt. – Om de betrokken partijen voldoende uit te rusten voor de activiteiten rondom SOX wordt in het implementatieplan specifiek aandacht geschonken aan opleidingen. Hierbij kan worden gedacht aan opleidingen betreffende de SOX-wetgeving, betreffende de opzet van het SOX-proces en de rollen en verantwoordelijkheden, en betreffende de te gebruiken templates en formulieren. Zo nodig worden tevens trainingen op het gebied van basis- en/of advanced kennis AO/IC georganiseerd. – Net als bij andere implementaties speelt het topmanagement ook hier een belangrijke rol. Dat SOX op de agenda staat, moet duidelijk blijken in woord en daad. Zonder steun en commitment van het management kan ook een SOX Office niet functioneren. Coördineren en aanjagen zonder de mogelijkheid om iets af te dwingen kan nooit het gewenste resultaat opleveren. Ook het opnemen van SOX-verantwoordelijkheden in het beoordelings- en beloningssysteem werkt stimulerend en verdient aanbeveling. Daarnaast kan worden besloten de interne functionarissen een interne sign-off verklaring te laten ondertekenen. Deze interne sign-off heeft slechts een interne werking. De verklaring geeft enerzijds de CFO voldoende vertrouwen om de externe verklaring te ondertekenen, en vormt anderzijds een sterk signaal over het belang dat het management aan SOX 404 hecht.