Magazine 01 maart 2006

Hoezo veel werk?

Zowel in Europa als de Verenigde Staten klagen bedrijven over de enorme kosten door sectie 404 van de Sarbanes-Oxley Act. Verbazingwekkend, want SOx 404 gaat over beheersmaatregelen die al sinds jaar en dag bij de jaarrekeningcontrole worden beoordeeld. Een deel van die kosten heeft dan ook een andere oorzaak.

Dit artikel is verschenen in de Accountant nr. 7, 2006

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Patricia Kandelaars en Annette Mosman

Waarom SOx 404 écht zo duur is

SOx-compliancy staat momenteel bij veel bedrijven en hun accountants hoog op de agenda. Er zijn al vele onderzoeken geweest naar de kosten van SOx. De resultaten lopen uiteen, maar de boodschap is duidelijk: de implementatiekosten van deze wetgeving zijn hoog.

Organisaties doen voor die implementatie een groot beroep op de kennis en ervaring van consultants en accountants, met als direct gevolg hoge externe kosten. Bovendien vraagt SOx (met SOx wordt in dit artikel steeds bedoeld SOx 404) niet alleen tijd en energie van ondersteunende, financiële, administratieve organisatie-, (operationele) risico-afdelingen en interne accountantsdiensten, maar is ook de betrokken heid van operationele afdelingen - de business - groot. Managers en medewerkers besteden kostbare tijd aan de beschrijving van interne processen, in plaats van bezig te zijn met de klant of markt.

Nieuw: bewijs

Wat is er zo nieuw dat er zoveel tijd en geld moet worden geïnvesteerd om SOx-compliant te worden?

SOx 404 vereist dat het management een afzonderlijk internal control report opneemt in het jaarverslag. De accountant moet een verklaring afgeven. In dit internal control report legt het management verantwoording af over de kwaliteit van de interne controle rondom de financiële processen. Dit betekent dat bedrijven de processen en interne controlemaatregelen, ofwel de administratieve organisatie en interne controle (AO/IC), moeten documenteren en testen. Het echt nieuwe van SOx is dat deze wetgeving bewijs eist: het proof me-uitgangspunt. Dit betekent dat processen en beheersmaatregelen niet alleen moeten zijn gedocumenteerd, maar dat er ook bewijs moet zijn dat de beheersmaatregelen daadwerkelijk zijn uitgevoerd.

In accountantstermen vertaald: de opzet, het bestaan en de werking van voor de jaarrekening relevante processen moeten worden vastgesteld.

Weerbarstige praktijk

Dit zijn echter precies de activiteiten die sinds jaar en dag ook al onderdeel uitmaken van de reguliere accountantscontrole. Kortom, als de AO/IC binnen een organisatie op orde is, dan mag het proof me-uitgangspunt in theorie geen grote gevolgen hebben. De praktijk is echter weerbarstiger. Grootschalige SOxprojecten trekken een grote wissel op beschikbare capaciteit om zaken die eigenlijk op orde behoorden te zijn alsnog op orde te krijgen.

En het einde is nog niet in zicht, want SOx is geen one-time event maar een blijvertje! Gezien het structurele karakter van deze wetgeving is het van belang inzicht te krijgen in de onderliggende oorzaken van de hoge investeringen. Wij hebben daarom op basis van drie jaar praktijkervaring met SOx-compliance-projecten een analyse gemaakt van de belangrijkste redenen. Dat zijn er vier:

1 Regelgeving niet eenduidig: er wordt te veel gedaan
Doordat de SOx-regelgeving nieuw is, weten bedrijven en soms ook de externe accountant niet exact wat er in de praktijk van hen wordt verwacht. De grote lijnen zijn duidelijk, maar de exacte invulling laat ruimte voor verschillende interpretaties. Daarbij komt dat de kennis over de nieuwe regelgeving beperkt is en bovenal dat de ervaring ermee nog ontbreekt. Het effect is dat bedrijven het zekere voor het onzekere nemen waardoor er mogelijk ‘te veel’ gedaan wordt. Enkele voorbeelden:

• Processen en beheersmaatregelen worden regelmatig gedetailleerder beschreven dan nodig is.
• De procesdocumentatie wordt voor de gehele organisatie in één sjabloon gezet, doorgaans ondersteund door een applicatie. Dit kan het overzicht, de kwaliteit en de integratie van procesbeschrijvingen bevorderen, maar is voor SOx niet per se noodzakelijk.
• De beheersmaatregelen worden vaak in één applicatie vastgelegd. Dit is handig, maar voor SOx niet vereist. Ook voor de externe accountant is dit wellicht praktisch, maar niet noodzakelijk. Vaak hebben verschillende accountants bij verschillende onderdelen of landen zelfs voldoende aan deeloverzichten.
• SOx eist dat de financiële rapportagerisico’s worden afgedekt. Daarom hoeven alleen de beheersmaatregelen worden vastgelegd die een directe of indirecte relatie hebben met de jaarrekening. In de praktijk blijken veel bedrijven echter ook operationele risico’s mee te nemen.

2 Achterstallig onderhoud AO/IC
Bedrijven geven vaak aan dat hun processen zijn vastgelegd, bijvoorbeeld in AO-handboeken of werkinstructies, maar deze zijn doorgaans onvolledig of verouderd. Het niet regelmatig actualiseren en beoordelen van deze processen op effectiviteit en risico’s leidt tot verborgen kosten. Externe accountants melden in management letters regelmatig dat de AO/IC onvoldoende is vastgelegd. Met deze opmerking wordt in het algemeen weinig gedaan, maar door SOx kan dit achterstallig onderhoud niet meer worden uitgesteld. Vanzelfsprekend kost dit extra tijd en geld, maar juist het transparant krijgen en onderling op elkaar afstemmen van processen kan leiden tot kostenbesparingen en performance-verbetering.

3 Aan randvoorwaarden SOx-project is niet voldaan
SOx kent specifieke randvoorwaarden die veel tijd, geld en frustratie besparen als ze goed geregeld zijn. De belangrijkste:

• Betrokkenheid van de proceseigenaren en -deskundigen in de hele organisatie. Zonder die kennis is het niet mogelijk kwalitatief goede vastleggingen te maken of te onderhouden (zie punt 2).
• Proceseigenaren benoemen die verantwoordelijk zijn voor het SOx-proof zijn van een proces, inclusief het opzetten en uitvoeren van voldoende beheersmaatregelen. In de praktijk zijn deze verantwoordelijkheden niet of onduidelijk belegd, zeker als processen zijn opgedeeld in bijvoorbeeld een front- en een back-office.
• Bij veel bedrijven wordt het operationeel testen van beheersmaatregelen (de werking) gedaan door de interne auditafdeling, om de proceseigenaren te ontlasten. Het in een vroeg stadium betrekken én betrokken willen zijn van de interne auditor kan veel tijd besparen.
• Het betrekken van de externe accountant is onontbeerlijk aangezien hij de uiteindelijke jaarrekening goedkeurt, met daarbij het ‘in control’-statement. In de praktijk worden SOx-projecten regelmatig gestart met een aanpak die later niet wordt goedgekeurd door de externe accountant, waardoor de vastleggingen opnieuw moeten worden overgedaan.

4 SOx-project aangewend voor andere doelen
Sommige bedrijven wenden SOx 404 aan om naast het documenteren van processen en beheersmaatregelen ook verbeteringen te realiseren. Bedrijfsmatig kunnen deze verbeteringen waardevol zijn, maar het maakt een SOx-project kostbaarder en tijdrovender.

Deze investering kan overigens zeer goed worden terugverdiend door een kostenreductie in de processen, en een verbetering van performance. Het is ook erg handig om SOx te gebruiken om zaken te veranderen die anders veel weerstand geven. Niemand wil namelijk zijn eigen proces inzichtelijk maken.

Van nood naar deugd

Sarbanes-Oxley wordt door velen gezien als de zoveelste verplichting tot extra werkzaam heden die niets opleveren in termen van kostenbesparing of opbrengstverhoging. De werkelijke redenen waarom SOx bedrijven zoveel tijd en geld kost zijn echter vaak van een andere orde. Kortom, geef Sarbanes-Oxley niet meteen de schuld, maar maak van de nood een deugd!

Noot

Patricia Kandelaars en Annette Mosman, registeraccountant, zijn respectievelijk als principal consultant en partner werkzaam bij Atos Consulting.