Op naar het sustainable stadium

De SOX-processen binnen de meeste bedrijven lijken zich nog steeds in de ad-hoc- of repeatable fase te bevinden. Maar door de juiste focus kunnen bedrijven een transformatie maken naar een meer volwassen stadium.

Zoals bekend is in 2002 in slechts twee maanden tijd de Sarbanes-Oxley Act (SOX) opgesteld. In 2003 starten de eerste Nederlandse, aan de Amerikaanse beurs genoteerde bedrijven met omvangrijke SOX-projecten, elk op geheel eigen wijze.

Menig consultant wordt ingezet om een beperkt onderdeel van de totale wet- en regelgeving naar de gevolgen voor de dagelijks praktijk te vertalen, processen en beheersingsmaatregelen vast te leggen en verbeterplannen uit te werken om ondernemingen in staat te stellen te transformeren naar een SOX-com-pliant organisatie, waarin SOX werkelijk business as usual is.

Op basis van de eerste ervaringen met SOX heeft een drietal collegae van Atos Consulting in 2004 het SOX-proces ontworpen. In het artikel ‘SOX-compliant worden en blijven’ beschrijven zij de activiteiten en verantwoordelijkheden binnen het jaarlijks terugkerende SOX-proces.

Drie jaar later en veel SOX-ervaringen rijker is het tijd om een kritische blik te werpen op het toen opgestelde proces. Is het SOX-proces anno 2007 nog steeds opportuun? Komen de eerder vastgestelde activiteiten en verantwoordelijkheden nog overeen met de praktijk van vandaag? Het blijkt dat het oude model nog steeds voldoet.

Het kent op individuele basis mogelijk afwijkingen, die voornamelijk liggen in de terminologie van het continue proces (of de cycle), maar de basisgedachte (waarin scoping, beschrijving/beoordeling en rapportage de verschillende stadia van het proces langslopen) zoals deze in de negen stappen was beschreven, bestaat nog steeds.

Kortom, het proces uit 2004, een reactie op de nieuwe regelgeving van de SEC, blijkt anno 2007 nog altijd adequaat. Het proces zou echter wel in een andere fase terecht kunnen komen. Een blik op het zogeheten ‘compliance maturity model’ maakt dit duidelijk.*2

Dit model wordt gebruikt om de volwassenheidsstadia van de compliancefunctie te beschrijven, maar is ook van toepassing op individuele regelgevingen zoals SOX. Het model bestaat uit vijf niveaus waarop een functie of proces zich kan bevinden, te weten ad hoc, repeat-able, manageable, sustainable en uiteindelijk competitive.

Als we de ontwikkeling van de SOX-functie vanaf 2003 binnen de verschillende organisaties nu tegen het compliance maturity model aanhouden, kunnen we het volgende concluderen. De functie heeft vanaf 2004 een zekere ontwikkeling doorgemaakt. Na het introductiejaar (ad hoc) en de eerste proeven (repeat-able) zou de SOX-functie anno 2007 de manageable, misschien wel sustainable fase moeten bereiken.

De praktijk wijst uit dat dit op individueel niveau misschien waar kan zijn, maar structurele verbeteringen en daarmee de mogelijkheid om ook in de toekomst veranderingen in de wet- en regelgeving goed op te pakken, laten vaak nog op zich wachten. Er is nog een inhaalslag te maken.

Om toch de gewenste transformatie naar het volwassenheidsstadium in 2007 te bereiken dient de aandacht op een aantal punten te worden gericht (beschreven per activiteit van het SOX-proces):


1. UITGANGSPUNTEN BEPALEN
Volgens de deskundigen is het verbeteren van deze eerste, kaderstellende activiteit in het SOX-proces cruciaal om een volgend volwassenheidsniveau te bereiken. Voornamelijk de communicatie en de kennis van de betrokken partijen laten bij menig bedrijf tot op heden te wensen over. De communicatie van het Corporate SOX Office ten opzichte van de business is vaak niet tijdig, onsamenhangend en wordt regelmatig gewijzigd.

Dit resulteert in suboptimale ad-hocoplossingen, die noodzakelijk zijn om de steeds veranderende koers te kunnen managen. Het is dan ook logisch dat de verantwoordelijken binnen de SOX-organisatie onvoldoende op de hoogte zijn van de details in de wet- en regelgeving. Zij zijn niet in staat de business, waar het ook vaak aan detailkennis ontbreekt, voldoende uitleg te geven.

Om de knelpunten te verhelpen is het belangrijk dat het Corporate SOX Office vooraf een communicatieplan opstelt, waarin tijdige, eenduidige en constante informatiebehoeften zijn geregeld.

Ten tweede dient de kennis van alle betrokken partijen te worden verbeterd door middel van opleidingen en uitvoerige communicatie, zodat de helderheid van de uitgangspunten toeneemt en de business in staat is deze te begrijpen. Wanneer de verantwoordelijkheid voor het opstellen van de uitgangspunten bij een beperkt aantal individuen wordt gelegd, draagt dit volgens deskundigen bij aan de kwaliteitsverbetering.


2. ORGANISATIEBREDE RISICO’S EN CONTROLS BEOORDELEN
Het beoordelen van organisatiebrede risico’s en beheersingsmaatregelen kan én moet efficiënter en effectiever. Deze activiteit kenmerkt zich momenteel door de eindeloze afstemming van een veelheid van gedetailleerde risico’s en beheersingsmaatregelen.

In 2007 zal dan ook het aantal risico’s en beheersingsmaatregelen drastisch moeten afnemen, waardoor er een duidelijke focus ontstaat op de werkelijke key risico’s en beheersingsmaatregelen (SEC en PCOAB lijken hiervoor nu openingen te bieden). Tevens is het raadzaam dat het Corporate en Local SOX Office gezamenlijk richtlijnen opstellen die inzicht geven in het gewenste detailniveau.


3. SCOPE BEPALEN
De scoping en mapping hebben de afgelopen jaren de nodige kopzorg opgeleverd. De kennis om de materiële accounts te benoemen ontbreekt nogal eens bij het Corporate SOX Office en de adviserende organen daarvan. Om te voorkomen dat accounts ten onrechte buiten beschouwing worden gelaten, kiezen veel bedrijven voor een zo groot mogelijke scope.

Veel accounts in scope betekent meer grond voor aanpassingen, maar deze worden vaak slecht gecommuniceerd naar de business. Kortom, genoeg ruimte voor verbeteringen op het gebied van communicatie en kennis in 2007.

Ook het mappen van accounts naar bedrijfsprocessen levert anno 2006 nog de nodige problemen op. Er zijn voorbeelden van bedrijven waar tweeënhalf jaar na de eerste kennismaking met SOX de link van accounts naar processen nog altijd niet inzichtelijk is gemaakt. In veel gevallen is dit te wijten aan de spaghetti van systemen die de koppeling tussen deze twee elementen vormt.

Het oplossen van deze brij wordt gezien als een structurele verbetering waar de hele organisatie van kan meeprofiteren. Helaas wordt dit onderdeel maar al te vaak niet structureel aangepakt: de analyse van en het inzicht in de brij worden op zich al als oplossing gezien.

We moeten erop hameren dat er bovendien een overzichtelijke proceshiërarchie wordt opgesteld die door alle lagen van het bedrijf geaccepteerd wordt. Dit voorkomt dat door het Corporate SOX Office geïdentificeerde processen niet herkend worden door de decentrale SOX-organisatie en de businesseigenaren.


4. PROCES, RISICO’S EN CONTROLS BESCHRIJVEN
Voor de documentatie van processen, risico’s en beheersingsmaatregelen geldt momenteel dat er net zoveel manieren van vastleggen zijn als er processen bestaan. De nadruk moet in 2007 dan ook liggen op het vergroten van de uniformiteit tussen de SOX-dossiers van de proceseigenaren.

De ervaring leert dat een simpele invulinstructie al een groot verschil kan maken. Het selecteren van een adequate documentatietool dwingt uniformiteit af en draagt bij aan verbeterde rapportagemogelijkheden. De deskundigen benadrukken hierbij wel dat er gekozen moet worden voor een adequate tool en voor niet te gedetailleerde documentatiestandaarden, zodat de documentatie goed te onderhouden is. Adequate tooling betekent dat de gebruikte software ook toegankelijk is voor mensen met een lage gebruiksfrequentie.

Andere aanbevelingen voor 2007 zijn het transparant maken van interne en externe afhankelijkheden (hand-over points) om verantwoordelijkheden vast te stellen, het terugbrengen van het aantal key beheersingsmaatregelen en het borgen van de kennis aangaande documentatie in de business, bij de proceseigenaren.

Met name dit laatste punt is belangrijk in het kader van de borging van kennis in de bedrijven zelf – een harde voorwaarde voor de sustainable fase. Tot op heden was deze activiteit toch vaak ‘het feestje’ van de adviseurs of van de lokale SOX-organisatie.


5. DESIGN EFFECTIVENESS BEPALEN
Voor deze activiteit zijn er weinig verbeterpunten te formuleren. Er wordt gesteld dat ook hierbij de nadruk moet liggen op de key risico’s en beheersingsmaatregelen om een buitensporige papierexercitie te voorkomen. Daarnaast wordt het gebruik van standaard beheersingsmaatregelen, gedefinieerd door het Corporate SOX Office, ter discussie gesteld.

De deskundigen geven aan dat businesseigenaren de neiging hebben om deze beheersingsmaatregelen over te nemen (uit gemakzucht), terwijl er verschillen zijn met de maatregelen die daadwerkelijk in de praktijk aanwezig zijn, verschillen die vaak bestaan uit frequentie, controleopzet, doel van de controle en praktische uitvoering.

Ook levert het verwarring op bij het vaststellen van deficiënties. “Is er een deficiëntie als het risico wordt afgedekt door een beheersingsmaatregel die niet overeenkomt met de standaard beschrijving zoals opgesteld door de corporate SOX-afdeling?” Er wordt dan ook gepleit om in 2007 alleen standaarden te gebruiken voor accounts en assertions. Op deze manier wordt er meer vrijheid (en flexibiliteit) gecreëerd in het koppelen van decentrale controls aan de centrale controls.


6. OPERATING EFFECTIVENESS BEPALEN
Planning, communicatie en kennis, daaraan schort het tot op heden nog vaak bij het bepalen van de operating effectiveness, ofwel het testen. Er wordt geen of een te krappe planning opgesteld, het waarom en hoe van het testen wordt onvoldoende duidelijk gemaakt en het ontbreekt de interne audit soms aan kennis om de operationele deficiënties om te zetten in gevolgen voor financiële rapportages (audit heeft tot op heden voornamelijk operationele risico’s getest).

Om deze activiteit in 2007 soepel te laten verlopen moeten er eerst duidelijke afspraken komen tussen het Local SOX Office en de testteams (mogelijk audit of andere testers). De planning van het testen moet worden afgestemd met de planning van het Local SOX Office en de communicatie aangaande het testen moet worden gesynchroniseerd. Daarnaast moet er geïnvesteerd worden in het trainen van auditors in het testen van financiële rapportagerisico’s.

Uit de workshop komt nog een aandachtspunt voor 2007 naar voren, te weten het bewaren van testbewijzen. Binnen veel bedrijven is hiervoor nog geen structurele aanpak ontworpen. Het digitaal maken van bewijs zou in ieder geval onderdeel moeten zijn van de oplossing en sluit aan bij mogelijke toekomstige veranderingen en aanpassingen van processen die niet meer uit de huidige markt zijn weg te denken: ‘de enige constante is de verandering’.


7. DEFICIËNTIES OPLOSSEN
De deficiënties die in de voorgaande drie processtappen zijn geconstateerd, moeten door de business worden opgelost, over het algemeen liever gisteren dan vandaag. Hiermee leggen we dan ook meteen de vinger op de zere plek: irrealistische tijdschema’s om tot een oplossing te komen. Daarnaast is de begeleiding minimaal. Interne audit benoemt de deficiëntie en de deadline, maar maakt nog weinig gebruik van zijn natuurlijke adviesfunctie.

Hierdoor wordt er geen mogelijke oplossing of oplossingsrichting aangegeven, met als gevolg dat de business met handmatige, op zichzelf staande oplossingen komt, die zonder besef van scope en impact geïmplementeerd worden.

In 2007 zal er gestreefd moeten worden naar meer geintegreerde oplossingen, eventueel gefaciliteerd door tooling. Hiervoor is begeleiding vanuit onder andere het SOX Office, audit en IT noodzakelijk. Gezamenlijk moeten deze partijen komen tot een geïntegreerde aanpak, realistische tijdschema’s en een adequate manier van action tracking.


8. MANAGEMENT ASSESSMENT
De naam van de activiteit zegt het eigenlijk al: het management is verantwoordelijk voor het uitvoeren van het management assessment. De praktijk wijst echter uit dat deze verantwoordelijkheid gedelegeerd wordt aan SOX-medewerkers.

Het management vertrouwt hiermee te veel op kennis van andere partijen, waaronder het Local SOX Office en testers. Om de betrokkenheid van het management te vergroten moet de nadruk in 2007 liggen op het beleggen van deze verantwoordelijkheid bij het management en een uitbreiding van kennis en draagvlak bij deze groep.


9. SOX 404-VERKLARING AFGEVEN
Er was in dit artikel al eerder sprake van de beperkte betrokkenheid van het management, waaronder de CEO en CFO. In deze laatste stap van het SOX-proces is deze betrokkenheid echter cruciaal. Het zijn immers de CEO’s en/of CFO’s die de SOX 404-verklaring moeten aftekenen. Tot op heden gaat dat te vaak onder het motto: ‘Wanneer een aantal belangrijke spelers rondom mijn functie mede ondertekent, dan doe ik dat ook.’

Vandaar dat wij adviseren te blijven investeren in de SOX-kennis van het management door SOX in performanceplannen op te nemen en zo verantwoordelijkheid af te dwingen. Een SOX-bekwaam management komt dan niet alleen ten goede van deze activiteit, maar van het gehele SOX-proces.

Al het bovenstaande in beschouwing nemend is er in het SOX-proces nog een behoorlijke transformatie vereist, die voor het merendeel betrekking heeft op kennis en communicatie. Adequate kennis en eenduidige communicatie zijn nodig voor het opstellen en succesvol ten uitvoer brengen van een duidelijk SOX-beleid (manage-able fase).

Daarnaast dragen deze twee succesfactoren bij aan het risicobewustzijn van de betrokkenen, hetgeen noodzakelijk is voor de verdere inbedding van SOX in de organisatie (sustainable fase). Met andere woorden, door adequate kennis en eenduidige communicatie maken bedrijven een goede kans om in 2007 de manageable of sustainable fase te bereiken.


HENNY REKELHOF is Senior Business Consultant bij Atos Consulting