De teleurstelling voorbij

Dat een Amerikaanse beursnotering een onderneming verplicht om aan de eisen van de Sarbanes-Oxley-wetgeving te voldoen, is inmiddels wel bekend. Dat dit voor sommige ondernemingen draconische gevolgen heeft gehad, hoeft hier ook niet herhaald te worden. Het was verbazingwekkend hoeveel geld en energie sommige Nederlandse ondernemingen hebben geïnvesteerd om SOXcompliant te worden. Wat valt er te leren van het afgelopen jaar, waarin de 'foreign filers' bijna voor het eerst moesten voldoen aan SOX?

Ondanks alles hebben we het nog gemakkelijk gehad met SOX in Nederland. Amerikaanse  ondernemingen moesten in 2004 immers al SOX-compliant zijn. Wij hebben kunnen leren van de fouten die de Amerikanen in dat eerste jaar hebben gemaakt. Maar al zijn de afgelopen maanden ongetwijfeld leerzaam geweest, veel SOXbetrokkenen waren in die periode ook meer gericht op reparatie dan op verbetering.

Teleurstelling heeft zich dan ook wellicht van u meester gemaakt, met name doordat de ingehuurde consultants uw organisatie inmiddels reeds via de achterdeur hebben verlaten, terwijl uw eigen mensen enigszins gedesillusioneerd zijn achtergebleven.

Ze zullen wel opgelucht zijn dat de strijd is gestreden, maar of ze ook overtuigd zijn dat er veel is verbeterd in de wijze waarop kritieke processen en risico's 'duurzaam' worden beheerst, is nog maar de vraag.

Veel vragen zijn wellicht nu nog onbeantwoord, zoals: Wie test in 2007 de interne controlemaatregelen? Weer 25 samples? Waarom doen de businessmanagers zo zelden mee? Hoe zou het dan moeten gaan? Het lijkt bedrieglijk gemakkelijk om jaar na jaar de opzet en werking van interne controles, nu wel uitgebreid beschreven en gedocumenteerd, te testen.

Hiermee zou wellicht recht worden gedaan aan het omvangrijke en ongetwijfeld dure SOXproject van het afgelopen jaar. Maar dit kan toch niet 'the way forward' zijn? Deze benadering, van SOX als 'add-on', zoals criticasters dat noemen, is ook niet in de geest van de verschillende roundtables die de Amerikaanse toezichthouder (PCAOB) in de afgelopen twee jaar heeft georganiseerd.

Deze roundtables bleken (onverwachts) een prima platform te zijn voor een ander geluid. Niet alleen om de  strakke SOXleer die door veel accountants wordt gepredikt in een breder perspectief te plaatsen, maar ook om management de ruimte te geven om een eigen weg te vinden in de wijze waarop control wordt georganiseerd.

Wij hebben in onze gesprekken met CFO's, controllers en procesmanagers vastgesteld dat SOX volgens velen onder hen veel meer voor een organisatie kan betekenen dan nu vaak het geval is. De komende jaren zal een aantal thema's dan ook centraal staan.

De rode draad zal zijn 'embedding':  de wijze waarop control daadwerkelijk in de organisatiecultuur, de dagelijkse handelingen en werkwijzen wordt geïntegreerd, zonder dat creativiteit en eigen verantwoordelijkheid in het geding komen. In feite is dit reeds in 1992 fantastisch beschreven door Simon in zijn artikel 'Age of Empowerment'.

Hierin  behandelt hij op pakkende wijze vier verschillende stijlen van control die naast elkaar moeten functioneren. Hij benoemt deze als 'beliefs system', 'diagnostic system', 'boundaries system' en 'interactive system'. Het voert te ver om alle stijlen in detail te bespreken, maar geloof ons, het gaat hier net als bij zoveel andere dingen in het leven om het vinden van evenwicht, yin en yang.

CENTRALE THEMA'S
Enkele andere thema's die centraal zullen komen te staan zijn supervisory testing, het gebruik van IT, de rol van de externe accountant en de samenstelling van het team. Het concept van supervisory testing binnen de context van SOX is redelijk nieuw en steunt op de controls die (als het goed is) al door verantwoordelijke managers zelf worden uitgevoerd als onderdeel van hun managementtaken.

Managers beoordelen periodiek het werk van de teams waaraan zij leiding geven. De uitkomsten van deze  beoordelingen worden veelal vastgelegd in de vorm van memo's en aantekeningen. Supervisory testing s de demonstratie van deze managementcontrols en vervangt technieken van sample based testing door bijvoorbeeld de externe consultants. Kortom, een focus op hoe daadwerkelijk control wordt uitgevoerd verklaart beter het 'waarom'.

Al die maatregelen van interne controle zijn immers niet alleen beschreven  oodat een externe consultant ze jaarlijks kan komen testen. Het management moet zelf 'ownership' nemen en het proces zo inrichten dat het dagelijks werk van managers leidend wordt in de demonstratie van 'control' - niet die testdossiers vol lijncontroles en detailtests die door externe adviseurs zijn gecreëerd.

Verder moet technologie beter ingezet worden om zo veel mogelijk handmatige acties overbodig te maken. Continue monitoring op transactieniveau, bijvoorbeeld met behulp van datawarehouse- en business-intelligencetechnieken, moet het mogelijk maken om op uitzonderingen te focussen. De techniek van continue monitoring, veel besproken, maar nog zeer weinig toegepast, ondersteunt ook de techniek van 'reperformance'.

Op basis hiervan wordt vastgesteld dat de belangrijkste Het gaat hier net als bij zoveel andere dingen in het leven om het yin en yang verbanden voor een bepaalde periode sluitend zijn. Dit is een zogenaamde analytische controle, gecombineerd met oeroude waarborgen van functiescheiding. Simon (zie boven) verwijst hier naar het diagnostic system: diagnose stellen en alleen ingrijpen wanneer het nodig is.

Tevens moet de rol van de externe accountant centraal staan, in het bijzonder de wijze waarop deze zijn controlewerkzaamheden afstemt op het embedded SOX-proces van zijn cliënt (we gaan er hier gemakshalve van uit dat SOX binnen tien jaar voor alle grote Nederlandse ondernemingen de standaard wordt). Zo ver is het nog niet. Ook voor de grote  accountantskantoren was het afgelopen jaar een hectische periode.

Zij zijn opgezadeld met nieuwe, strengere regelgeving vanuit de Amerikaanse toezichthouder, een uitgedund personeelsbestand en een wat onrustig imago. Wat hun wel zal zijn bevallen is de inhoudelijke kant van de SOX-regelgeving. Ondanks de strengere voorschriften veranderde er namelijk weinig in de fundamenten van een goede jaarrekeningcontrole.

De door de 'big four' omarmde integrated audit approach, steunen op de interne beheersingsmaatregelen en verificatie van de cijfers in de jaarrekening, is redelijk intact gebleven. De theorie van accountantscontrole sprak altijd al van onvervangbare maatregelen van interne controle.

Als die bij een onderneming ontbreken en significant genoeg zijn, kan de accountant niet tot een deugdelijk oordeel over de jaarrekening komen. Geen prettige situatie dus. Dit was in het preSOX-tijdperk uiteraard aan de orde.

De meedenkende accountant wist echter altijd wel een min of meer valide argument te verzinnen waarom het allemaal toch niet zo spannend was. En dus een positief oordeel over de jaarrekening te vellen. Aan dit 'meedenken' is anno 2006 een abrupt einde gekomen.

De gebreken in de interne controle worden in het SOX-tijdperk onder een vergrootglas gelegd. U raadt het al, de argumenten van destijds waren niet meer afdoende en dezelfde punten zijn nu de grootste struikelblokken in de oordeelsvorming van de accountant.

Ooit steunt de accountant echter wellicht volledig op het 'management assessment process' van de cliënt. Uitvoerige interim-controles en gegevensgerichte controles behoren dan tot het verre verleden. De accountant focust dan op de kwaliteit van het interne managementproces.

De door externe accountants zo vaak geprezen integrated audit approach is namelijk door de cliënt volledig doorgevoerd. De belangrijkste componenten van dit proces zijn een risk based  SOX-aanpak, een evaluatie van de werking van interne controle, gevolgd door de vraag of het niet werken van maatregelen van interne controle tot fouten in de jaarrekening kan leiden (het management assessment proces) en het gelijktijdig herstellen van vastgestelde gebreken.

De term 'management assessment' is wellicht nog weinig bekend. Dit proces omvat een analyse van wat er fout is gegaan of wat er fout kan gaan, met als doelstelling om tot een kwantificering van de 'potential error' te komen. Gelijktijdig moeten opgetreden fouten in de financiële administratie, indien nodig, worden hersteld.

Natuurlijk is er enige verfijning in dit managementproces noodzakelijk, evenals verdere opleiding en training van verantwoordelijk management. Maar hierna heeft de externe accountant - in vergelijking met tien jaar terug - een counterpart die een groot deel van zijn taken heeft overgenomen, waardoor de  externe accountant op een andere wijze 'assurance' moet leveren.

Als laatste willen we nog de samenstelling van het team aan de orde stellen. De vraag is of het huidige SOX-team, dat veelal nog uit financials en controllers bestaat, wel zo ideaal is. Dat zijn namelijk niet alle vertegenwoordigers van uw control framework.

Uw organisatie is toch in control vanuit de business, en niet omdat de financials zaken op het laatste moment rechttrekken? Wij stellen ons daarom voor dat u in de komende jaren een multidisciplinair team opzet, waarvan de leden verstand hebben van de organisatie, van automatisering, communicatie, marketing, statistiek etc.

Geef ze een whiteboard en een deadline en verlang inspiratie en creativiteit. Eis vervolgens van uw accountant dat hij meedenkt, lef toont en zijn aanpak aanpast aan die  aan uw organisatie. Wie weet, gaan er dan echt mooie dingen gebeuren.

Drs. Pieter de Kok RA en drs. Joris Joppe RA zijn beiden werkzaam als partner bij Coney, gespecialiseerd in compliance & audit readiness vraagstukken (http://www.coney.nl/) De gebreken in de interne controle worden onder een vergrootglas gelegd