Sarbanes Oxley: tijd voor bezinning

Inleiding

Gedurende de afgelopen periode is er ook in Nederland bij vele beursgenoteerde ondernemingen hard gewerkt aan het Sox – compliant krijgen van de onderneming. Daarbij is in grote mate gebruik gemaakt van de ondersteuning van accountantsorganisaties. Met het oog op de follow up bij deze bedrijven en met het oog op de vele bedrijven die nog Sox compliant moeten worden, is het tijd om een tussenbalans op te maken.
De doelstelling van dit artikel is een discussie los te weken over de vraag: “Hebben wij met Sox meer gedaan dan datgene de aandeelhouders ons vroegen te doen?” Hebben wij ons meer bezig gehouden met vorm dan dat wij hebben gekeken naar de werkelijke vraagstelling ? Wat wij gedaan hebben lijkt in mijn ogen op riscomijdend gedrag.Ik draag derhalve in dit artikel een aanpak aan die inhoud laat prevaleren boven de vorm. Form over Substance en Substance over Form vraag erbij betrekken.

Sox een hype?

Wij hoeven niet lang stil te staan bij de oorzaken die verband houden met de Genesis van Sarbanes – Oxley. We noemen o.a. Worldcom, Enron,Tyco,, Ahold en staan meteen weer op scherp.
De SEC heeft namens de aandeelhouders en andere stakeholders geëist dat Raden van Bestuur verklaren dat maatregelen in de administratieve organisatie en interne controle waarborgen bieden dat materiële fouten in de jaarrekening niet meer kunnen voorkomen. Om verveling te voorkomen spreek ik in onderstaande alleen nog over de aandeelhouders.
Het ligt in de verwachting dat na de beursgenoteerde ondernemingen ook de niet- beursgenoteerde ondernemingen tot Sox compliancy zullen overgaan.

Zullen wij over enige tijd constateren dat Sox een hype is geweest? Ik denk het van niet.
Bij legio bedrijven in binnen- en buitenland bleek de beschrijving van de AO/IC van onvoldoende niveau te zijn. Daarnaast is menige CEO en CFO gestuit op tekortkomingen in het bestaan en of werking van de AO/IC. Ik heb mij in de afgelopen periode meerdere keren afgevraagd hoe controlerend accountants jarenlang durfden te steunen op de gebrekkige of informele AO/IC die in een groot aantal bedrijven is aangetroffen. Door de inhaalslag die nu binnen veel bedrijven is gemaakt zullen vele vakbroeders zich vanaf heden zich in een wat eenvoudigere controle zetel nestelen.

Heel veel verschillende – vaak kostbare – methoden van Aanpak heb ik voorbij zien komen.
De big 4 accountants (in hun rol van adviseurs) neigen daarbij één ding vergeten: de implementatie van Sox is één, de follow up van het neergelegde product in de komende jaren is een ander belangrijk punt. Dat lijkt mij bij vele bedrijven juist vanwege de vaak ingewikkelde neergelegde producten een bijna ondoenlijke zaak. Hoog tijd voor bezinning dus.

Wat krijgen de aandeelhouders terug

AO/IC is op de kaart gezet. Directies van menig beursgenoteerde onderneming hebben de afgelopen tijd ervaren dat er- vaak onbedoeld – aanzienlijke bedrijfsrisico’s zijn gelopen, waarvan zij geen weet hadden.
Naar verwachting zijn de “grootste “leemtes in AO/IC inmiddels gedicht. In de komende perioden worden ongetwijfeld een aantal tekortkomingen verder opgelost.

Aandeelhouders zoeken naar zekerheid t.a.v rendementen op het belegd vermogen, behaalde omzet en resultaten en de verwachtingen in de komende jaren.
Door een verbetering en verscherping van de AO/IC zullen meerdere directies in staat zijn scherpere analyses te maken en zullen zaken die vroeger verborgen bleven eerder boven tafel komen. Hierbij valt te denken aan de wijze waarop budgetten en periodecijfers werden samengesteld en zullen mijn inziens o.a. de inkoop-, verkoop- en productieprocessen scherper worden uitgevoerd.
Rekening houdend met de administratieve lasten denk ik dat een verbetering van proces rendementen zullen optreden en daarmee een verhoging van het bedrijfsresultaat te zien zal geven.
Rest mij u in dit verband nog een vraag te stellen : De Raden van Bestuur geven uiteindelijk de klap met de hamer. In hoeverre hebben wij die laatste klap -het bepalen van het eindelijke resultaat dat zij aan aandeelhouders laten zien – in voldoende mate Sox compliant gemaakt? Is dit proces überhaupt Sox compliant te maken?

De aanpak: accountantsaanpak of management aanpak

Zoals ik in de inleiding al aangaf zijn er door de Big Four en de compliance afdelingen van beursgenoteerde bedrijven een groot aantal methoden uitgedacht.
Uiteraard is daarbij gekeken naar de volledigheid van de te beschrijven processen en de mate van diepgang.
.
Vooral in dat laatste, de mate van diepgang zijn veel bedrijven – in opdracht van hun controlerend accountant – behoorlijk doorgeschoten. Zo ver zelfs, dat in mijn ogen gevreesd moet worden voor de onderhoudbaarheid van de Sox documentatie. Account mapping, flowcharts, AO beschrijvingen , vaak aangevuld met separate IT documentatie, risico-beheer matrixen, controle matrixen, separate documenten voor vaststellen van bestaan (assesment) en documentatie waarin de testen van de IC zijn vastgelegd.

Accountants leven bij de gratie van referenties van hun werkdocumenten naar de controle stukken. Bewijsvoering van de uitgevoerde controle, daar draait het immers om.
We zien dezelfde werkwijze ook doorgevoerd worden in een wirwar van bovengenoemde documenten.
De hoeveelheid door accountants ter voorbereiding opgeleverde documenten is in veel bedrijven niet meer te volgen. Verschillende documenten verwijzen naar elkaar, alles gericht op die ene implementatie. De opvolging blijkt een crime te zijn.
Bekeken vanuit een kosteneffectief management, maak ik mij over de opvolging in de komende jaren grote zorgen. Ik vrees dat bedrijven in de komende jaren op jaarbasis miljoenen Euro’s moeten besteden om hun product Sox compliant te houden. Mijn vraag is derhalve kan het niet simpeler. Immers wat vraag t de aandeelhouder aan ons? Voorkom verrassingen!!

Werken aan een mogelijke oplossing.

Om de houdbaarheid van Sarbanes-Oxley te vergroten stel ik voor te komen tot de volgende wijzigingen in de aanpak:

– gebruik maken van minder documenten
– gebruik van óf gedetailleerde flowcharts of beschrijvingen.
– gebruik van één document per proces.
– de verslaglegging rondom het bestaan en de werking van AO samenvoegen in één document.

Gebruik van minder documenten

Aandeelhouders en directies vragen om een pragmatische uitwerking van Sox binnen hun onderneming. In control zijn van het bedrijf betekent in mijn ogen geenszins dat de AO/IC van alle processen tot in detail beschreven hoeft te worden, inzicht in de AO/IC is m.i. al voldoende.

Het gebruik van verschillende documenten vraagt om onderlinge afstemming tussen deze documenten. Dat vereist een bepaalde discipline die velen niet gegeven is.
Dat is de reden dat wij bij een aantal implementaties gebruik maken van één overall document. Per (sub)process zijn in één document de volgende elementen opgenomen:
– de controle aspecten m.b.t de balans of winst- en verliesrekening posten
– de risico’s die op deze balans of winst- en verliesrekening posten worden onderkend
– de proces beschrijving
– de beschrijving van interne controles (met opgaaf van de key controls)
– de onderlinge referentie tussen de interne controle risico’s en de beschreven controls
– de onderkenning van de tekortkomingen in interne controles (het verbeteraspect)
– de verwijzing naar afhankelijke processen bij derden (de zgn. cut-off issues intern / extern)
– IT aspecten (waarin o.a. het gebruik van de software en IT applicaties wordt genoemd

Gebruik van óf gedetailleerde flowcharts of beschrijvingen

In mijn ogen kunnen flowcharts uitstekend dienen als ondersteuning voor het beschrijvende gedeelte. Het lijkt er op dat wij in de afgelopen periode hebben willen forceren dat én flowcharts én beschrijvingen én de interne controles in alle gedetailleerdheid moesten worden opgenomen.
Ik stel voor dat de flowchart ondersteunend worden gebruikt en de beschrijvingen leidend te laten zijn.

Gebruik van één document per proces

Het gebruik van één document pre subproces leidt er toe dat medewerkers in één oogwenk zien wat een AO/IC procesbeschrijving inhoudt.
Wijzigingen laten zich veel eenvoudiger aanpassen. Onderlinge referenties worden tot een minimum beperkt.

Verslaglegging rondom bestaan en werking samenvoegen in één document

Het vaststellen van bestaan en werking van de administratieve organisatie zijn twee trajecten. Bestaat de AO niet of bestaat de controle niet dan valt er weinig te testen.
Het opnemen van zowel bestaan als de testen rondom de werking in één document verhoogt de inzichtelijkheid van de gerezen tekortkomingen. Omvang van de fout, het belang voor de cijfers in de jaarrekening en het effect van de tekortkomingen kunnen in dit ene document worden opgenomen en verklaart.
Het voordeel van deze werkwijze is, dat de “eigenaar” van het proces inzicht verkrijgt in de materiële bijdrage die hij moet leveren om de jaarrekening Sox compliant te krijgen.

Resumerend

In bovenstaand artikel heb ik vanuit een management bril naar de implementatie van Sarbanes-Oxley gekeken. Ik heb daarnaast vastgesteld door de grote onbekendheid van Sarbanes- Oxley zich hebben laten leiden door de big four accountants. Deze adviseurs hebben in mijn ogen te weinig door de bril gekeken van de operationele business. Hierdoor zijn bij een aantal bedrijven omvangrijke Sox – producten neergezet die in de komende jaren alleen tegen hoge kosten zijn te onderhouden.