SOX cursus

SOX cursus SOX (Sarbanes-Oxley)

Sarbanes-Oxley Act (SOX)
De Sarbox Act of Sarbanes-Oxley Act is een Amerikaanse wet die in 2002 van kracht werd. De naam is afkomstig van de initiatiefnemers: senator Sarbanes en volksvertegenwoordiger Oxley.
Waarom de SOX-wetgeving?
De Sarbanes-Oxley-wet is het antwoord op diverse schandalen waarbij grote Amerikaanse bedrijven (zoals Emron, Arthur Andersen en WorldCom) betrokken waren. Hierdoor kreeg het vertrouwen van de belegger in de waarheidsgetrouwheid van de financiële rapportering een flinke deuk. SOX moet het deugdelijke bedrijfsbeheer garanderen en zo het vertrouwen van de belegger herstellen. Hiertoe moet elk bedrijf dat valt onder de SOX-wetgeving kunnen bewijzen dat het elk bedrijfsproces met mogelijk financiële implicaties volledig onder controle heeft.
Is Sarbanes-Oxley op u van toepassing?
Sarbanes-Oxley is van toepassing op alle ondernemingen die op een Amerikaanse beurs zijn genoteerd en op alle revisoren die instaan voor de controle van genoteerde ondernemingen.
Ook de eraan verbonden buitenlandse bedrijven (toeleveranciers) en revisorenkantoren zijn aan de wet onderworpen!
Wat regelt Sarbanes-Oxley?
De Sarbanes-Oxley-wet bevat 11 secties die nieuwe of strengere standaarden voor het beheer, het financiële beheer en de auditing beschrijven, tezamen met de straffen bij overtreding:
• nieuwe normen voor de raad van beheer en auditcommissies;
• nieuwe rekenplichtige normen en bijhorende straffen voor bedrijfsmanagement;
• nieuwe onafhankelijke normen voor externe auditoren;
• installatie van een Public Company Accounting Oversight Board (PCAOB), een non-profit organisatie met eigen rechtspersoonlijkheid die onder het toezicht staat van de Security and Exchange Commission (SEC - Amerikaanse commissie die toezicht houdt op de voorwaarden waaronder ondernemingen genoteerd worden op de Amerikaanse beurzen).
Wat is de impact van Sarbanes-Oxley op archivering?
Deugdelijke rapportering is ondenkbaar zonder professionele archivering zoals bij Merak.
Papieren en magnetische dragers zijn immers het sluitstuk van al uw bedrijfsprocessen.
Opgelet: 'archivering' beperkt zich allerminst tot 'fysieke opslag'. Daar begint het pas mee.
Foutloze archivering, online-consultatie, management én 100% traceerbaarheid van alle bewegingen van de archiefstukken: dáár draait het om.

SARBOX en Merak
Merak neemt dan ook de verantwoordelijkheid voor al uw gegevensdragers van handtekening tot handtekening. Van A tot Z iso-gecertificeerd (ISO 9001-2000) en met 0% foutenmarge. Waarbij aan een belangrijk uitgangspunt van Sarbanes-Oxley voldaan wordt, die van de taaksplitsing ('segregation of duties'). De controle van een taak mag niet gedaan worden door diegene die de taak zelf uitvoert.



Om de Sarbanes Oxley act en Code Tabaksblat zorgvuldig in de organisatie in te bedden, is een helder inzicht in de processen, risico’s en beheersmaatregelen noodzakelijk zowel op concern- niveau als op business unit/afdelingsniveau. Kintraco Management Consultants heeft ervaren specialisten die u kunnen assisteren en adviseren bij onder andere het opstellen van procesbeschrijvingen en bij het uitvoeren van operational audits.
Achtergrond
De afgelopen jaren is het vertrouwen in het bedrijfsleven beschadigd. Verscheidene echte en vermeende boekhoudschandalen hebben de roep om meer controle versterkt. In de Verenigde Staten heeft dit geresulteerd in de Sarbanes-Oxley Act. De twee belangrijkste eisen die deze nieuwe wet stelt zijn transparantie van procesnormering voor verslaglegging van bedrijfsresultaten - ofwel Internal Control - en scheiding van controle en advies door accountants. De corporate governance code van de Commissie Tabaksblat hangt hier weer nauw mee samen. Maar eind 2004 zal het Nederlandse bedrijfsleven ook aan de regels zoals omschreven in deze Amerikaanse wet moeten voldoen.
Wat betekent dit voor u?
De Sarbanes-Oxley Act regels zijn geënt op continue garanties ten aanzien van betrouwbare financiële verslaglegging binnen bedrijven en een ethisch verantwoorde bedrijfsvoering. Dit betekent in de praktijk onder ander het volgende:
Beheersen van risico’s
Alle managers binnen de organisatie dienen inzicht en controle te hebben over mogelijke risico’s en de gevolgen daarvan voor de organisatie. Dit betekent dat directie en leidinggevenden volledige overeenstemming dienen te bereiken over het managen en beheersen van risico’s.
Processen en procedures helder beschrijven
Alle ondernemingsactiviteiten dienen integer te worden uitgevoerd; integriteit dient verankerd te zijn in de organisatie. Als een werknemer ethische standaarden overtreedt, dient dit direct gesignaleerd en gerapporteerd te worden en dienen adequate maatregelen te worden genomen. Dit betekent onder andere dat processen en procedures dienen vast te liggen en regelmatig dienen te worden geëvalueerd.


Bevoegdheden en verantwoording
Iedere functionaris binnen de organisatie dient verantwoording af te leggen over haar handelen. Dit betekent dat verantwoordelijkheden en bevoegdheden binnen de organisatie vastgelegd zijn, evenals taakomschrijvingen en functieprofielen.
Interne audits / operational audits
Bovendien dienen alle maatregelen te worden genomen om te kunnen garanderen dat financiële rapportages een getrouw beeld van de werkelijkheid weergeven. Dit houdt onder andere in dat interne controles op alle momenten afdoende en inzichtelijk dienen te zijn
In de Verenigde Staten is het niveau van security awareness op dit moment zeer hoog. Dit is een gevolg van de Sarbanes-Oxley act, die bedrijven voorschrijft zich te wapenen tegen ongeoorloofd gedrag van medewerkers en directie. Overtredingen kunnen leiden tot straffen van maximaal $5 miljoen of 20 jaar gevangenisstraf. Dit is voor directieleden een belangrijke stimulans om de verslaggeving van het
bedrijf op orde te krijgen. In Nederland en andere Europese landen is deze dreiging minder aanwezig, behalve bij aan de Amerikaanse beurs genoteerd multinationals. Ook toeleveranciers van beursgenoteerde Amerikaanse bedrijven zullen strenger geselecteerd worden op basis van hun security maatregelen. Men hoopt zo een inktvlek-effect teweeg te brengen: als een klein aantal bedrijven zich conformeert en aldus een sterke marktpositie verkrijgt, volgt de rest vanzelf. Echter, op dit moment kunnen toeleveranciers van bedrijven genoteerde aan de Amerikaanse beurs
niet worden vervolgd voor het niet naleven van veiligheidsvoorschriften.

Er bestaat veel onduidelijkheid over de rol en doelstelling van de Sarbanes Oxley act in de Verenigde Staten. De doelstelling kan echter in een enkele regel worden samengevat: het brengen en geven van openheid en transparantie over investeringen die een bedrijf doet om investeerders en het publiek te beschermen tegen mismanagement. Als we ons losmaken van de regelgeving, die meestal ontstaat als een reactie op gebeurtenissen in de maatschappij---wie herinnert zich niet de grote schandalen in de Verenigde Staten van grote energie en internet
bedrijven - Enron! of in Europa Ahold en Barings---blijkt ook dat deze gedwongen (maatregelen) tot het meten en documenteren van bedrijfsactiviteiten kunnen leiden tot een gigantische verbetering in business performance. Belangrijke aspecten bij de implementatie zijn het meten van alle relevante gegevens en activiteiten op bijvoorbeeld bedrijfsnetwerken, het openbaar maken van gegevens inclusief fouten of problemen, procesbesturing en bewaking, resources en infrastructuur. Naast Sarbanes Oxley is Basel II regelgeving in Nederland actueel, deze is echter uitsluitend bestemd voor de bank- en verzekeringswereld. Andere organisaties zijn niet gebonden door Basel II regelgeving, wel door regels voor bescherming van data en prive-gegevens.










Basel II, Sarbanes-Oxley en andere bepalingen

Basel II en SOX dwingen bedrijven risico’s te kwantificeren en te documenteren. Dit brengt een grotere transparantie met zich mee. In de bankwereld worden onder Basel I en II drie soorten benaderingen toegepast: de Basic Indicator Approach (BIA), de Standard Indicator Approach (SIA) en de Advanced Measurement Approach (AMA). Elke benadering is gekoppeld aan een vast voorgeschreven minimum reserveringspercentage als zekerheid. Het hoogste uiteraard bij de BIA tussen 15 en 18%, 8 tot 12 % voor de SIA en 8% voor de AMA implementatie van
Basel II dient te zijn gerealiseerd voor 1 januari 2008. De specifieke punten met betrekking tot AMA zijn gebruik van interne data en externe verlies data, zelfbeoordeling en de meest essentiele risico-indicatoren. Het ligt hierbij voor de hand dat beveiliging een economische drijfveer voor de financiele wereld vormt.

Vanuit de bankwereld kennen we al duidelijk het kredietrisico en het marktrisico. Dit werd uitgebreid behandeld in Basel I. Sinds Basel II is hieraan het operationeel risicomanagement toegevoegd. Basel II biedt de financiele wereld een eenvoudige handreiking aan, door drie regels voor te stellen waarbij de financiele instelling een percentage tussen 8 en 18% moet reserveren voor niet te voorziene risico's.
Daarnaast dient data drie jaar lang te worden gedocumenteerd, geregistreerd en gerapporteerd. SOX daarentegen is veel meer gericht op de bescherming van de aandeelhouder. Sectie 404 schrijft voor dat er een jaarlijkse review van interne kernprocessen en principes volgens een vast stramien moet worden uitgevoerd. Dit dient transparantie te brengen bij de financiele rapportages en het jaarverslag. SOX
404 beschrijft de rapportage, SOX 302 verlangt een kwartaalmatige benadering en SOX 409 wijst op een real time (maximaal 4 dagen) invulling van risicovolle incidenten.

Samenvattend kun je stellen dat SOX de financiele aspecten van de zakelijke rapportage afdekt, met als doel transparantie, en Basel II brengt het proces voor alle operaties in kaart om tot optimale capital deployment te komen. SOX dreigt met stevige straffen, maar Basel II werkt met beloning. Non-compliance levert bij SOX gevangenisstraffen op, bij Basel II levert compliance permissie op om minder grote
reserveringen op te bouwen. Andere benaderingen die eerder hun toepassingen vonden zijn COSO, veelvuldig geadviseerd door de SEC. COSO orienteert zich sterk
op governance. GISO richt zich meer op controle en Itil richt zich meer op business services. De laatste ontwikkeling genaamd Cobit combineert een aantal
van de voorgaande procedures. Financieel en Operationeel Riskmanagement dragen in het bijzonder bij aan het verhogen van de accuratesse van de business forecast.

Vind je vaste baan

Al 28 jaar is WR het Werving en Selectie bureau voor vaste banen.