SOX | Financial Controllers

01 – Introductie

In het voorjaar van 2002 verdedigde de Amerikaanse Democratische senator Paul Sarbanes met grote moeite in de Senaat zijn wetvoorstel voor deugdelijk ondernemingsbestuur. Gezien het feit dat de door hem voorgestelde maatregelen streng en drastisch waren, oogstte hij weinig bijval. Zijn Republikeinse collega Michael Oxley kwam met een aangepaste, mildere versie naar de Senaat, maar ook die versie werd niet met gejuich ontvangen. De sfeer sloeg om als een blad aan de boom toen een aantal schandalen aan het licht kwam, waarvan WorldCom en Enron de bekendste zijn. De politici legden hun versies naast elkaar en vormden daarmee de basis voor de Sarbanes-Oxley (afgekort SOx) wet. De invoering van de wet (op 30/7/2002) kreeg nog meer bijval door inmiddels nieuwe schandalen.

02 – Sarbanes Oxley-wet (SOx)

Een samenvatting van de belangrijkste onderdelen van de SOx wet, per artikel:

101 Lidmaatschap van de PCAOB

De PCAOB bestaat uit vijf leden, allemaal experts op bedrijfseconomisch vlak, waarvan er twee accountant zijn of geweest zijn, de overige drie mogen dat niet zijn. De PCAOB-leden worden voor vijf jaar full-time benoemd (door de SEC, na overleg met de directeur van de Fed) en mogen geen betaling van accountants-bedrijven ontvangen.

103 Standaarden en regels

De PCAOB:

  1. bepaalt de standaarden die nodig zijn voor een goede en onafhankelijke audit-verslaglegging De PCAOB dient –in overleg met groepen van professionals- normen te definiëren. Jaarlijks legt de PCAOB verantwoording af over haar activiteiten op dit gebied aan de SEC;
  2. houdt een registratie bij van accountantskantoren;
    Bedrijven worden voor 7 jaar geregistreerd, en moeten een bijdrage betalen aan het werk van de PCAOB;
  3. controleert accountancy bedrijven;
    De PCAOB moet controles uit laten voeren van de interne controle systemen van de auditor. Dit werk moeten zij weer laten nakijken door een tweede partner;
  4. onderzoekt mogelijke fraude en legt sancties op.

104 Inspecties van accountancy bedrijven

Jaarlijks moeten audits uitgevoerd worden van de accountancy bedrijven waarbij meer dan 100 audit items open staan. Anders is een keer in de drie jaar voldoende. De PCAOB kan te allen tijde beslissen tot een speciale audit.

105 Onderzoek en strafzittingen

Alle documentatie en informatie is confidentieel tot het moment dat overgegaan wordt tot een publieke rechtszaak. De SEC en de VS landsadvocaat hebben echter het recht om de vertrouwelijke stukken van de PCAOB op te vragen. Disciplinaire zittingen zijn gesloten tenzij beide partijen het beter achten ze openbaar te maken. Rapportage van opgelegde sancties komt pas nadat alle beroepen ertegen zijn afgehandeld.

106 buitenlandse accountants bedrijven

De wet geldt voor alle V.S.-accountants die ingeschreven staan bij de PCAOB. Maar strekt zich ook uit naar buitenlandse bedrijven die werk verrichten waar de V.S-accountant zich op baseert.

107 Toezicht op de PCAOB

Toezicht op de PCAOB wordt uitgeoefend door de SEC. De PCAOB stelt haar eigen regels en reglementen op, en deponeert deze bij de SEC. Stuit de PCAOB gedurende onderzoeken op mogelijke overtredingen op de wetten op de aandelenhandel, dan is zij verplicht dit door te geven aan de SEC. De PCAOB moet de SEC altijd op de hoogte brengen van opgelegde sancties, de SEC is vervolgens vrij dit verder te onderzoeken en de sancties aan te passen.

108 Normen voor de verslaglegging

De SEC kan alle standaards op het vlak van de financiële verslaglegging als “algemeen geldend” verklaren, wanneer deze zijn opgesteld door een orgaan dat aan de vereisten uit deze wet voldoet, dat houdt in dat:

  1. het een niet-overheidsorgaan dient te zijn;
  2. er een raad van toezicht (of iets dergelijks) dient te zijn die in meerderheid niet mag komen uit de wereld van de accountantsbedrijven;
  3. de financiering vergelijkbaar moet zijn met de financiering van de PCAOB;
  4. er een standaard procedure voor aanpassen van normen is die gebaseerd is op het autoriseren van wijzigingen op basis van meerderheid;
  5. gestreefd moet worden naar het up-to-date houden van standaards en naar een internationaal naar elkaar toegroeien van de standaards.

201 Verboden nevenactiviteiten

Voor accountantsfirma’s die zich met de audit bezig houden is het verboden ook andere activiteiten voor het bedrijf uit te voeren:

  1. Boekhouden of andere diensten in het kader van de financiële verslaglegging door de klant.
  2. Het ontwerpen / implementeren van financiële software.
  3. Diensten op het vlak van waardebepaling.
  4. Uitvoeren van uitbestede interne audit diensten.
  5. Broker/dealer functies of investeringsadviezen.
  6. Juridische dienstverlening, expertise diensten ook al is deze niet gerelateerd aan de audit.
  7. Elke andere vorm van dienstverlening waarvan de PCAOB stelt dat deze verboden is.

Dienstverlening op het vlak van belastingadviezen mag wel, mits deze van tevoren is goedgekeurd door de auditcommissie van het bedrijf. De inkomsten gegenereerd uit deze extra diensten mogen nooit meer dan 5% zijn van de totale inkomsten die de (assistent) accountant uit het contact haalt.

203 Audit partner rotatie

De belangrijkste accountantsfirma’s die de audit van een bedrijf uitvoeren dienen om de vijf jaar afgewisseld te worden met andere accountantsbedrijven

206 Belangentegenstellingen

De belangrijkste personen in een bedrijf op het vlak van de verslaglegging (algemeen directeur, financieel directeur, controller, hoofd financiële administratie) mogen niet in dienst geweest zijn bij de accountant die de controle uitvoert (voor het jaar voorafgaande aan de controle)

209 Regelgeving op staat-niveau

Op het niveau van de staat dient vastgesteld te worden of de PCAOB-standaards ook moeten gelden voor kleine en middelgrote niet-geregistreerde accountantsbedrijven.

302 Verantwoordelijkheid voor financiële verslaglegging

De algemeen directeur (CEO) en de financieel directeur (CFO) moeten een verklaring uitgeven bij het audit rapport waarin staat dat de verslaglegging de stand van zaken bij het uitgevende bedrijf correct weergeeft (er geen substantiële afwijkingen zijn). De twee ondertekenaars zijn aansprakelijk, kunnen dus vervolgd worden bij grote fouten in het jaarverslag.

303 Beïnvloeding van de audit-uitvoering

Het is verboden de gang van zaken van de audit te beïnvloeden, de auditor te beïnvloeden, manipuleren, misleiden met als doel om een jaarverslag op te leveren dat een geflatteerd beeld van de werkelijkheid geeft.

305 Management bestraffing

Wanneer het jaarverslag (kwartaalverslag) aangepast moet worden (een restatement) vanwege een later geconstateerde forse afwijking (“material non-compliance”), dan dienen de algemeen directeur en financieel directeur de ontvangen bonussen of aandeel-gebaseerde compensaties, plus eventuele verkoopwinsten gemaakt tussen het uitkomen van het verslag en het uitkomen van de aanpassing, terug te storten naar het bedrijf. Indien nodig kan de SEC bepalen dat een bepaalde manager een dergelijke functie niet meer uit mag oefenen.

401 Pro-forma gegevens in de verslagen

Elk financieel verslag dat is opgezet in overeenstemming met de GAAP omvat ook een opsomming van alle substantiële wijzigingen in het verslag die door de accountant zijn aangebracht.

Elk jaarverslag en kwartaalverslag omvat alle substantiële niet op de balans opgenomen transacties en andere verhoudingen met niet-geconsolideerde eenheden die een substantieel effect kunnen hebben (nu of in de toekomst) op de financiële positie van de uitgever van het verslag.

Doel van dit artikel is dat alle financiële informatie die volgens de GAAP regels niet op de balans weergegeven wordt, maar die wel degelijke een substantiële invloed op de financiële positie van het bedrijf heeft, ook in de verslagen opgenomen moet zijn. De SEC dient daartoe de regels te geven en eventueel aan te scherpen wanneer dat nodig mocht zijn.

402 Verbod op persoonlijke leningen voor managers

In het algemeen is het een bedrijf verboden persoonlijke leningen te verstrekken aan haar management. Uitzondering hierop zijn financiële dienstverleners, maar het management dient daar de leningen te krijgen onder de standaardvoorwaarden.

403 Openbaar maken van transacties door het management en door grote aandeelhouders

Managers en eigenaren van10% of meer van de aandelen dienen transacties in de aandelen aan te melden voor het einde van de tweede werkdag na de transactie.

404 Beoordeling door management van de interne controle

Elk jaarverslag moet ook een rapportage bevatten van de intern controle. In dit rapport moeten staan:

  1. De verantwoordelijkheid van het management voor het opzetten en in stand houden van een adequate intern controle systeem voor de financiële verslaglegging.
  2. Een beoordeling van de effectiviteit van de interne controle per einde van het fiscale jaar.
    De (assistent) controller dient daarnaast de beoordeling van het management van de interne controle ook te onderzoeken en daarover te rapporteren in een formaat zoals dat door de PCAOB is vastgelegd.

Daarnaast dient de SEC zich ervan te vergewissen dat de verslagleggende bedrijven over een ethische norm (code of ethics) beschikken voor het belangrijkste financiële personeel, daarnaast dient de SEC op de hoogte te blijven van afwijkingen van / wijzigingen op de ethische normering in het bedrijf.

409 Snelle berichtgeving

Het bedrijf dient wanneer er substantiële wijzigingen zijn in de financiële positie van het bedrijf gedurende het jaar, dit onverlet openbaar te maken.

501 Research analisten

De beurzen en de geregistreerde aandelenhandelaren dienen regels op te stellen met betrekking tot de belangentegenstellingen die er kunnen ontstaan in het werk van research analisten, die rapporten schrijven over bedrijven, welke gebruikt kunnen worden voor het onderbouwen van aandelentransacties.

602 Aandelenhandel

De SEC mag een persoon het recht om te handelen ontzeggen wanneer deze niet over de juiste kwalificaties beschikt, of wanneer deze de aandelenwetten overtreden heeft. De SEC kan onderzoek plegen naar bedrijven / personen die geholpen hebben in een overtreding van de wetgeving op het vlak van de aandelenhandel.

03 – De belangrijkste artikelen van SOx

De wet legt tal van regels op aan bedrijven die aan een Amerikaanse beurs genoteerd zijn (en haar buitenlandse filialen, of een buitenlands bedrijf met een genoteerde vestiging (Ahold, Delhaize, Arcadis). In 69 artikelen tracht de wet deugdelijk ondernemingsbestuur af te dwingen en nieuwe schandalen te voorkomen.

De belangrijkste artikelen zijn artikel 302 en 404.

Artikel 302 handelt over de controle op de verspreiding van informatie (disclosures). De leiding van een bedrijf dient periodiek te rapporteren over de effectiviteit van de controles op twee niveaus: ontwerp / opzet van controles (design effectiveness) en werking (operating effectiveness).

Artikel 404 stelt regels voor de interne controle en de financiële rapportering. Het management wordt verplicht om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne controles die in het bedrijf gehanteerd worden. De CEO (Chief Executive Officer, algemeen directeur) en de CFO (Chief Financial Officer, financieel directeur) moeten een plechtige verklaring afleggen dat alle controles waterdicht zijn en de auditor (accountant) moet naast zijn gebruikelijke taak op het gebied van de financiële verslaglegging, een expliciete verklaring toevoegen omtrent het akkoord zijn met de uitspraken van de CFO en de CEO.

Het komt er dus op neer dat naast de in het financieel jaarverslag er ook jaarlijks een hoofdstuk dient te staan dat de interne controle op de correctheid van de aangeboden cijfers evalueert.

Bijzonder aan de wetgeving is het feit dat voor de hoofddirecties gevangenisstraffen en geldboetes dreigen wanneer zij niet aan de voorwaarden van deugdelijk ondernemingsbestuur voldoen.

Ook niet-Amerikaanse bedrijven moeten voldoen aan de SOx-wetgeving wanneer deze een notering hebben aan een Amerikaanse beurs.

04 – Interne Controles

De SOx wet is tot stand gekomen vanwege de falende interne en externe controles van bedrijven. Externe controles worden uitgevoerd door de accountant, en het Enron-schandaal heeft de accountant die daar controleerde, Arthur Andersen, in haar val meegesleept. Om het vertrouwen in de accountancy te herstellen wordt de controle op die branche in de SOx wet opgevoerd.

De interne controles van bedrijven slaan op de systemen waarmee een bedrijf intern controleert of dat de cijfers zoals ze gerapporteerd worden correct zijn. Bij het Ahold-schandaal schortte het met name aan de interne controle.
Interne controles worden in bedrijven uitgevoerd met als doel te voorkomen dat door onvolledige of incorrecte gegevens een verkeerd beeld ontstaat, op basis waarvan verkeerde beslissingen genomen kunnen worden. In eerste instantie is die controle er op gericht om te zorgen dat de interne informatie correct is, zodat het management op basis van juiste gegevens beslissingen neemt. In tweede instantie worden zo ook de gegevens gecontroleerd die een bedrijf naar buiten brengt.

Voorheen waren dat soort systemen ook altijd al aanwezig, maar met de SOx wet wordt dit verregaand geformaliseerd (en gebureaucratiseerd). Doel van de wet is fraude voorkomen, fraude wordt wellicht wat moeilijker gemaakt, maar volledig fraude voorkomen zal ook met deze wet in de hand niet lukken, daarin blijft de menselijke factor te bepalend.

05 – IT

Een bijzondere plaats in het geheel neemt de IT in. IT is geen direct doel van SOx, dat is interne controle, maar in die interne controle speelt de IT een centrale rol.

Een belangrijk fenomeen bij beursgenoteerde ondernemingen is dat deze over het algemeen hun eigen software schrijven voor afhandeling van logistieke en interne procedures. Niet zelden zijn een aantal programmeurs in dienst die wijzigingen in de software verzorgen op basis van eisen en wensen (wetgeving, gebruikersvraagstukken, bugs)

Als de door het bedrijf geschreven software de cijfers oplevert waar de accountants hun gegevens uit betrekken, dan zullen de accountants zeker vragen stellen bij het tot stand komen van deze software. In veel gevallen zal het bedrijf moeten aantonen dat de software op een deugdelijke wijze is beheerd. Hiervoor dienen een aantal bewijzen te worden geleverd:

  • Welke software is aangepast
  • Wie heeft de software aangepast
  • Waarom is de software aangepast
  • Wat is er aangepast (t.o.v. de vorige versie)
  • Wie heeft de software vrijgegeven voor productie

Om een dergelijk proces onder controle te krijgen wordt over het algemeen gebruikgemaakt van SCM/CM of Software Lifecycle Support systemen waarmee het mogelijk is om bovenstaande gegevens automatisch te reproduceren en die het tevens mogelijk maakt om grootschalige wijzigingsprojecten te beheren.
Daarnaast spelen nog veel basalere zaken. Tijdens het overzenden van een bestand van het ene naar het andere systeem wordt middels hash-totalen gecontroleerd of de verzending volledig verwerkt is.

Naast het feit van de verplichting van het uitvoeren van deze controles vereist SOx bewijs dat deze geautomatiseerde controles correct en volledig zijn.

06 – PCAOB

Voor de uitvoering van de SOx-wet is de PCAOB, de Public Company Accounting Oversight Board in het leven geroepen. Dit is een lichaam dat de standaards voor de controles definieert, dat aangeeft wat en hoe gecontroleerd moet worden. Daarnaast controleert zij de controleurs, dat wil zeggen dat zij de accountancy-bedrijven controleert op de uitvoering van hun taken. In geval van overtreding van de wet is de PCAOB gerechtigd om straffen op te leggen.