Sarbanes-Oxley

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Sarbanes-Oxley slaat op een Amerikaanse wet op het terrein van het bestuur van ondernemingen.

Totstandkoming[bewerken]

In het voorjaar van 2002 verdedigde de Amerikaanse Democratische senator Paul Sarbanes met grote moeite in de Senaat zijn wetsvoorstel voor deugdelijk ondernemingsbestuur. Gezien het feit dat de door hem voorgestelde maatregelen streng en drastisch waren, oogstte hij weinig bijval. Zijn Republikeinse collega Michael Oxley kwam met een aangepaste, mildere versie naar de Senaat, maar ook die versie werd niet met gejuich ontvangen. De sfeer sloeg om als een blad aan de boom toen een aantal schandalen aan het licht kwam, waarvan WorldCom en Enron de bekendste zijn. De politici legden hun versies naast elkaar en vormden daarmee de basis voor de Sarbanes-Oxley (afgekort SOx) wet. De invoering van de wet op 30 juli 2002, kreeg nog meer bijval door inmiddels nieuwe schandalen (onder meer AOL, Tyco en QWest).

De wet zelf[bewerken]

Nuvola single chevron right.svg Zie Sarbanes-Oxley-wet voor het hoofdartikel over dit onderwerp.

De wet legt tal van regels op aan bedrijven die aan een Amerikaanse beurs genoteerd zijn (en haar buitenlandse filialen), of een buitenlands bedrijf met een genoteerde vestiging (zoals Ahold, Delhaize of Arcadis). In 69 artikelen tracht de wet deugdelijk ondernemingsbestuur af te dwingen en nieuwe schandalen te voorkomen.

De belangrijkste artikelen zijn artikel 302 en 404.

  • Artikel 302 handelt over de controle op de verspreiding van informatie (disclosures). De leiding van een bedrijf dient periodiek te rapporteren over de effectiviteit van de controles op twee niveaus: ontwerp / opzet van controles (design effectiveness) en werking (operating effectiveness).
  • Artikel 404 stelt regels voor de interne controle en de financiële rapportering. Het management wordt verplicht om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne controles die in het bedrijf gehanteerd worden. De CEO (Chief Executive Officer, algemeen directeur) en de CFO (Chief Financial Officer, financieel directeur) moeten een plechtige verklaring afleggen dat alle controles waterdicht zijn en de auditor (accountant) moet naast zijn gebruikelijke taak op het gebied van de financiële verslaglegging, een expliciete verklaring toevoegen omtrent het akkoord zijn met de uitspraken van de CFO en de CEO.

Het komt er dus op neer dat in het financieel jaarverslag ook jaarlijks een hoofdstuk dient te staan dat de interne controle op de correctheid van de aangeboden cijfers evalueert.

Bijzonder aan de wetgeving is het feit dat voor de hoofddirecties gevangenisstraffen en geldboetes dreigen wanneer zij niet aan de voorwaarden van deugdelijk ondernemingsbestuur voldoen.

Ook niet-Amerikaanse bedrijven moeten voldoen aan de SOx-wetgeving wanneer deze een notering hebben aan een Amerikaanse beurs.

Interne controles[bewerken]

De SOx wet is tot stand gekomen vanwege de falende interne en externe controles van bedrijven. Externe controles worden uitgevoerd door de bedrijfsrevisor, en het Enron-schandaal heeft de revisor die daar controleerde, Arthur Andersen, in haar val meegesleept. Om het vertrouwen in de controle op de financiële jaarrekening door bedrijfsrevisoren te herstellen wordt de controle op die branche in de SOx wet opgevoerd.

De interne controles van bedrijven slaan op de systemen waarmee een bedrijf intern controleert of de cijfers zoals ze gerapporteerd worden correct zijn. Bij het Ahold-schandaal schortte het met name aan de interne controle.
Interne controles worden in bedrijven uitgevoerd met als doel te voorkomen dat door onvolledige of incorrecte gegevens een verkeerd beeld ontstaat, op basis waarvan verkeerde beslissingen genomen kunnen worden. In eerste instantie is die controle er op gericht om te zorgen dat de interne informatie correct is, zodat het management op basis van juiste gegevens beslissingen neemt. In tweede instantie worden zo ook de gegevens gecontroleerd die een bedrijf naar buiten brengt.
Voorheen waren dat soort systemen ook altijd al aanwezig, maar met de SOx wet wordt dit verregaand geformaliseerd (en gebureaucratiseerd). Doel van de wet is fraude voorkomen, fraude wordt wellicht wat moeilijker gemaakt, maar volledig fraude voorkomen zal ook met deze wet in de hand niet lukken, daarin blijft de menselijke factor te bepalend.

Public Company Accounting Oversight Board[bewerken]

Voor de uitvoering van de SOx-wet is de PCAOB, de Public Company Accounting Oversight Board in het leven geroepen. Dit is een lichaam dat de standaards voor de controles definieert, dat aangeeft wat en hoe gecontroleerd moet worden. Daarnaast controleert zij de controleurs, dat wil zeggen dat zij de accountancy-bedrijven controleert op de uitvoering van hun taken. In geval van overtreding van de wet is de PCAOB gerechtigd om straffen op te leggen.

IT[bewerken]

Een bijzondere plaats in het geheel neemt de IT in. IT is geen direct doel van SOx, dat is interne controle, maar in die interne controle speelt de IT een centrale rol.

Een belangrijk fenomeen bij beursgenoteerde ondernemingen is dat deze over het algemeen hun eigen software schrijven voor afhandeling van logistieke en interne procedures. Niet zelden zijn een aantal programmeurs in dienst die wijzigingen in de software verzorgen op basis van eisen en wensen (wetgeving, gebruikersvraagstukken, bugs)

Als de door het bedrijf geschreven software de cijfers oplevert waar de accountants hun gegevens uit betrekken, dan zullen de accountants zeker vragen stellen bij het tot stand komen van deze software. In veel gevallen zal het bedrijf moeten aantonen dat de software op een deugdelijke wijze is beheerd. Hiervoor dienen een aantal bewijzen te worden geleverd:

  • Welke software is aangepast
  • Wie heeft de software aangepast
  • Waarom is de software aangepast
  • Wat is er aangepast (t.o.v. de vorige versie)
  • Wie heeft de software vrijgegeven voor productie

Om een dergelijk proces onder controle te krijgen wordt over het algemeen gebruikgemaakt van SCM/CM of Software Lifecycle Support systemen waarmee het mogelijk is om bovenstaande gegevens automatisch te reproduceren en die het tevens mogelijk maakt om grootschalige wijzigingsprojecten te beheren.

Daarnaast spelen nog veel banalere zaken. Tijdens het overzenden van een bestand van het ene naar het andere systeem wordt middels hash-totalen gecontroleerd of de verzending volledig verwerkt is.
Naast het feit van de verplichting van het uitvoeren van deze controles vereist SOx bewijs dat deze geautomatiseerde controles correct en volledig zijn.

Zie ook[bewerken]

Externe links[bewerken]