Sarbanes-Oxley-wet

De Public Company Accounting Reform and Investor Protection Act, beter bekend onder de naam Sarbanes-Oxley wet,^[1] is een Amerikaanse wet op het vlak van het besturen van bedrijven en de financiële verslaglegging door bedrijven (corporate governance).

Totstandkoming[bewerken | brontekst bewerken]

In het voorjaar van 2002 verdedigde de Amerikaanse Democratische senator Paul Sarbanes met grote moeite in de Senaat zijn wetsvoorstel voor deugdelijk ondernemingsbestuur. Gezien het feit dat de door hem voorgestelde maatregelen streng en drastisch waren, oogstte hij weinig bijval. Zijn Republikeinse collega Michael Oxley kwam met een aangepaste, mildere versie naar de Senaat, maar ook die versie werd niet met gejuich ontvangen. De sfeer sloeg om als een blad aan de boom toen een aantal schandalen aan het licht kwam, waarvan WorldCom en Enron de bekendste zijn. De politici legden hun versies naast elkaar en vormden daarmee de basis voor de Sarbanes-Oxley-wet (afgekort SOx). De wet werd van kracht op 30 juli 2002^[2] en kreeg nog meer bijval door inmiddels nieuwe schandalen (onder meer AOL, Tyco en QWest).

Hoofdlijnen[bewerken | brontekst bewerken]

De wet legt tal van regels op aan bedrijven die aan een Amerikaanse beurs genoteerd zijn (en haar buitenlandse filialen), of een buitenlands bedrijf met een genoteerde vestiging^[1] (zoals Ahold Delhaize of Arcadis). In 69 artikelen tracht de wet deugdelijk ondernemingsbestuur af te dwingen en nieuwe schandalen te voorkomen.

De belangrijkste artikelen zijn artikel 302 en 404.

• Artikel 302 handelt over de controle op de verspreiding van informatie (disclosures). De leiding van een bedrijf dient periodiek te rapporteren over de effectiviteit van de controles op twee niveaus: ontwerp en opzet van controles (design effectiveness) en werking (operating effectiveness).
• Artikel 404 stelt regels voor de interne controle en de financiële rapportering. Het management wordt verplicht om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne controles die in het bedrijf gehanteerd worden. De CEO (Chief Executive Officer, bestuursvoorzitter) en de CFO (Chief Financial Officer, financieel directeur) moeten een verklaring afleggen dat alle controles waterdicht zijn en de auditor (accountant) moet, naast zijn gebruikelijke taak op het gebied van de financiële verslaglegging, een expliciete verklaring toevoegen omtrent het akkoord gaan met de uitspraken van de CFO en de CEO.

Het komt er dus op neer dat in het financieel jaarverslag ook jaarlijks een hoofdstuk dient te staan dat de interne controle op de correctheid van de aangeboden cijfers evalueert.

Bijzonder aan de wetgeving is het feit dat voor de hoofddirecties gevangenisstraffen en geldboetes dreigen wanneer zij niet aan de voorwaarden van deugdelijk ondernemingsbestuur voldoen.

Ook niet-Amerikaanse bedrijven moeten voldoen aan de SOx-wetgeving wanneer deze een notering hebben aan een Amerikaanse beurs.

Belangrijkste artikelen[bewerken | brontekst bewerken]

101 lidmaatschap van de PCAOB[bewerken | brontekst bewerken]

De PCAOB (Public Company Accounting Oversight Board) bestaat uit vijf leden, allemaal experts op bedrijfseconomisch vlak, waarvan er twee accountant zijn of geweest zijn, de overige drie mogen dat niet zijn. De PCAOB-leden worden voor vijf jaar fulltime benoemd (door de SEC, na overleg met de directeur van de Federal Reserve) en mogen geen betaling van accountants-bedrijven ontvangen.

103 standaards en regels[bewerken | brontekst bewerken]

De PCAOB:

1. bepaalt de standaarden die nodig zijn voor een goede en onafhankelijke audit-verslaglegging
   De PCAOB dient –in overleg met groepen van professionals- normen te definiëren. Jaarlijks legt de PCAOB verantwoording af over haar activiteiten op dit gebied aan de SEC.
2. houdt een registratie bij van accountancybedrijven
   Bedrijven worden voor 7 jaar geregistreerd, en moeten een bijdrage betalen aan het werk van de PCAOB.
3. controleert accountancy-bedrijven
   De PCAOB moet controles uit laten voeren van de interne controlesystemen van de auditor. Dit werk moeten zij weer laten auditten door een tweede partner.
4. onderzoekt mogelijke fraude en legt sancties op

104 inspecties van accountancy-bedrijven[bewerken | brontekst bewerken]

Jaarlijks moeten audits uitgevoerd worden van de accountancy-bedrijven waarbij meer dan 100 audit-items openstaan. Anders is een keer in de drie jaar voldoende. De PCAOB kan te allen tijde beslissen tot een speciale audit.

105 onderzoek en strafzittingen[bewerken | brontekst bewerken]

Alle documentatie en informatie is confidentieel tot het moment dat overgegaan wordt tot een publieke rechtszaak. De SEC en de VS landsadvocaat hebben echter het recht om de vertrouwelijke stukken van de PCAOB op te vragen. Disciplinaire zittingen zijn gesloten tenzij beide partijen het beter achten ze openbaar te maken. Rapportage van opgelegde sancties komt pas nadat alle beroepen ertegen zijn afgehandeld.

106 buitenlandse accountants bedrijven[bewerken | brontekst bewerken]

De wet geldt voor alle V.S.-accountants die ingeschreven staan bij de PCAOB. Maar strekt zich ook uit tot buitenlandse bedrijven die werk verrichten waar de V.S-accountant zich op baseert.

107 Toezicht op de PCAOB[bewerken | brontekst bewerken]

Toezicht op de PCAOB wordt uitgeoefend door de SEC. De PCAOB stelt haar eigen regels en reglementen op, en deponeert deze bij de SEC. Stuit de PCAOB gedurende onderzoeken op mogelijke overtredingen op de wetten op de aandelenhandel, dan is zij verplicht dit door te geven aan de SEC. De PCAOB moet de SEC altijd op de hoogte brengen van opgelegde sancties, de SEC is vervolgens vrij dit verder te onderzoeken en de sancties aan te passen.

108 normen voor de verslaglegging[bewerken | brontekst bewerken]

De SEC kan alle standaards op het vlak van de financiële verslaglegging als “algemeen geldend” verklaren, wanneer deze zijn opgesteld door een orgaan dat aan de vereisten uit deze wet voldoet, dat houdt in dat:

1. het een niet-overheidsorgaan dient te zijn
2. er een raad van toezicht (of iets dergelijks) dient te zijn die in meerderheid niet mag komen uit de wereld van de accountantsbedrijven
3. de financiering vergelijkbaar moet zijn met de financiering van de PCAOB
4. er een standaard procedure voor aanpassen van normen is die gebaseerd is op het autoriseren van wijzigingen op basis van meerderheid.
5. gestreefd moet worden naar het up-to-date houden van standaards en naar een internationaal naar elkaar toegroeien van de standaards.

201 verboden nevenactiviteiten[bewerken | brontekst bewerken]

Voor accountantsfirma’s die zich met de audit bezighouden is het verboden ook andere activiteiten voor het bedrijf uit te voeren:

1. boekhouden of andere diensten in het kader van de financiële verslaglegging door de klant
2. het ontwerpen / implementeren van financiële software
3. diensten op het vlak van waardebepaling
4. uitvoeren van uitbestede interne audit diensten
5. broker/dealer functies of investeringsadviezen
6. juridische dienstverlening, expertise diensten ook al is deze niet gerelateerd aan de audit
7. en elke andere vorm van dienstverlening waarvan de PCAOB stelt dat deze verboden is.

Dienstverlening op het vlak van belastingadviezen mag wel, mits deze van tevoren is goedgekeurd door de auditcommissie van het bedrijf. De inkomsten gegenereerd uit deze extra diensten mogen nooit meer dan 5% zijn van de totale inkomsten die de accountant uit het contact haalt.

203 audit partner rotatie[bewerken | brontekst bewerken]

De belangrijkste auditpartners die de audit van een bedrijf uitvoeren dienen om de vijf jaar afgewisseld te worden. Bedrijven zijn dus verplicht eens in de 5 jaar van accountant te wisselen.

206 Belangentegenstellingen[bewerken | brontekst bewerken]

De belangrijkste personen in een bedrijf op het vlak van de verslaglegging (algemeen directeur, financieel directeur, controller, hoofd financiële administratie) mogen niet in dienst geweest zijn bij de accountant die de controle uitvoert (voor het jaar voorafgaande aan de controle)

209 regelgeving op staat-niveau[bewerken | brontekst bewerken]

Op het niveau van de staat dient vastgesteld te worden of de PCAOB-standaards ook moeten gelden voor kleine en middelgrote niet-geregistreerde accountantsbedrijven.

302 Verantwoordelijkheid voor financiële verslaglegging[bewerken | brontekst bewerken]

De algemeen directeur (CEO) en de financieel directeur (CFO) moeten een verklaring uitgeven bij het audit rapport waarin staat dat de verslaglegging de stand van zaken bij het uitgevende bedrijf correct weergeeft (er geen substantiële afwijkingen zijn). De twee ondertekenaars zijn aansprakelijk, kunnen dus vervolgd worden bij grote fouten in het jaarverslag.

303 beïnvloeding van de audit-uitvoering[bewerken | brontekst bewerken]

Het is verboden de gang van zaken van de audit te beïnvloeden, de auditor te beïnvloeden, manipuleren, misleiden met als doel om een jaarverslag op te leveren dat een geflatteerd beeld van de werkelijkheid geeft.

305 Management bestraffing[bewerken | brontekst bewerken]

Wanneer het jaarverslag (kwartaalverslag) aangepast moet worden (een restatement) vanwege een later geconstateerde forse afwijking ("material noncompliance"), dan dienen de algemeen directeur en financieel directeur de ontvangen bonussen of aandeelgebaseerde compensaties, plus eventuele verkoopwinsten gemaakt tussen het uitkomen van het verslag en het uitkomen van de aanpassing, terug te storten naar het bedrijf. Indien nodig kan de SEC bepalen dat een bepaalde manager een dergelijke functie niet meer uit mag oefenen.

401 pro forma gegevens in de verslagen[bewerken | brontekst bewerken]

Elk financieel verslag dat is opgezet in overeenstemming met de US GAAP omvat ook een opsomming van alle substantiële wijzigingen in het verslag die door de accountant zijn aangebracht.

Elk jaarverslag en kwartaalverslag omvat alle substantiële niet op de balans opgenomen transacties en andere verhoudingen met niet-geconsolideerde eenheden die een substantieel effect kunnen hebben (nu of in de toekomst) op de financiële positie van de uitgever van het verslag.

Doel van dit artikel is dat alle financiële informatie die volgens de GAAP regels niet op de balans weergegeven wordt, maar die wel degelijke een substantiële invloed op de financiële positie van het bedrijf heeft, ook in de verslagen opgenomen moet zijn. De SEC dient daartoe de regels te geven en eventueel aan te scherpen wanneer dat nodig mocht zijn.

402 verbod op persoonlijke leningen voor managers[bewerken | brontekst bewerken]

In het algemeen is het een bedrijf verboden persoonlijke leningen te verstrekken aan haar management. Uitzondering hierop zijn financiële dienstverleners, maar het management dient daar de leningen te krijgen onder de standaard voorwaarden.

403 openbaar maken van transacties door het management en door grote aandeelhouders[bewerken | brontekst bewerken]

Managers en eigenaren van 10% of meer van de aandelen dienen transacties in de aandelen aan te melden voor het einde van de tweede werkdag na de transactie.

404 beoordeling door management van de interne controle[bewerken | brontekst bewerken]

Elk jaarverslag moet ook een rapportage bevatten van de intern controle. In dit rapport moeten staan:

1. de verantwoordelijkheid van het management voor het opzetten en in stand houden van een adequate intern controle systeem voor de financiële verslaglegging
2. een beoordeling van de effectiviteit van de interne controle per einde van het fiscale jaar.
   De accountant dient daarnaast de beoordeling van het management van de interne controle ook te onderzoeken en daarover te rapporteren in een formaat zoals dat door de PCAOB is vastgelegd.

Daarnaast dient de SEC zich ervan te vergewissen dat de verslagleggende bedrijven over een ethische norm (code of ethics) beschikken voor het belangrijkste financiële personeel, daarnaast dient de SEC op de hoogte te blijven van afwijkingen van / wijzigingen op de ethische normering in het bedrijf.

409 snelle berichtgeving[bewerken | brontekst bewerken]

Het bedrijf dient wanneer er substantiële wijzigingen zijn in de financiële positie van het bedrijf gedurende het jaar, dit onverlet openbaar te maken.

501 research analisten[bewerken | brontekst bewerken]

De beurzen en de geregistreerde aandelenhandelaren dienen regels op te stellen met betrekking tot de belangentegenstellingen die kunnen ontstaan in het werk van researchanalisten die rapporten schrijven over bedrijven - rapporten die gebruikt kunnen worden voor het onderbouwen van aandelentransacties.

602 aandelenhandel[bewerken | brontekst bewerken]

De SEC mag een persoon het recht om te handelen ontzeggen wanneer deze niet over de juiste kwalificaties beschikt, of wanneer deze de aandelenwetten overtreden heeft. De SEC kan onderzoek plegen naar bedrijven / personen die geholpen hebben in een overtreding van de wetgeving op het vlak van de aandelenhandel.

Interne controles[bewerken | brontekst bewerken]

De SOx-wet is tot stand gebracht vanwege falende interne en externe controle bij sommige bedrijven. Externe controles worden uitgevoerd door auditors, en het Enron-schandaal heeft de audit-firma die daar controleerde, Arthur Andersen, ten onder doen gaan. Om het vertrouwen in de controle op de financiële jaarrekening door auditors te herstellen wordt de controle op die branche in de SOx-wet opgevoerd.

De interne controles, audits genaamd, binnen bedrijven hebben betrekking op de systematiek waarmee een bedrijf intern controleert of gerapporteerde cijfers correct zijn. Bij het Ahold-schandaal schortte het met name aan de interne controle.

Interne controles worden in bedrijven uitgevoerd om te voorkomen dat door onvolledige of incorrecte gegevens een onjuist beeld ontstaat, waardoor verkeerde beslissingen genomen zouden kunnen worden. In eerste instantie is die controle er op gericht om te zorgen dat het management op basis van juiste gegevens beslissingen neemt. In tweede instantie worden zo ook de gegevens gecontroleerd die een bedrijf naar buiten brengt.

Voorheen waren ook al interne controlesystemen aanwezig, maar door de SOx-wetgeving wordt dit verregaand geformaliseerd. Doel van de wet is om fraude te voorkomen, fraude wordt wellicht wat moeilijker gemaakt, maar volledig fraude voorkomen zal ook met deze wet in de hand niet lukken, daarin blijft de menselijke factor te bepalend.

Public Company Accounting Oversight Board[bewerken | brontekst bewerken]

Voor de uitvoering van de SOx-wet is de PCAOB, de Public Company Accounting Oversight Board in het leven geroepen. Dit is een lichaam dat de standaards voor de controles definieert, dat aangeeft wat en hoe gecontroleerd moet worden. Daarnaast controleert zij de controleurs, dat wil zeggen dat zij de accountancy-bedrijven controleert op de uitvoering van hun taken. In geval van overtreding van de wet is de PCAOB gerechtigd om straffen op te leggen.

IT[bewerken | brontekst bewerken]

Een bijzondere plaats in het geheel neemt de IT in. IT is geen direct doel van SOx, dat is interne controle, maar in die interne controle speelt de IT een centrale rol.

Een belangrijk fenomeen bij beursgenoteerde ondernemingen is dat deze over het algemeen hun eigen software schrijven voor afhandeling van logistieke en interne procedures. Niet zelden zijn een aantal programmeurs in dienst die wijzigingen in de software verzorgen op basis van eisen en wensen (wetgeving, gebruikersvraagstukken, bugs)

Als de door het bedrijf geschreven software de cijfers oplevert waar de accountants hun gegevens uit betrekken, dan zullen de accountants zeker vragen stellen bij het tot stand komen van deze software. In veel gevallen zal het bedrijf moeten aantonen dat de software op een deugdelijke wijze is beheerd. Hiervoor dienen een aantal bewijzen te worden geleverd:

• Welke software is aangepast?
• Wie heeft de software aangepast?
• Waarom is de software aangepast?
• Wat is er aangepast (t.o.v. de vorige versie)?
• Wie heeft de software vrijgegeven voor productie?

Om een dergelijk proces onder controle te krijgen wordt over het algemeen gebruikgemaakt van SCM/CM- of Software Lifecycle Support-systemen waarmee het mogelijk is om bovenstaande gegevens automatisch te reproduceren en die het tevens mogelijk maakt om grootschalige wijzigingsprojecten te beheren.

Daarnaast spelen nog veel banalere zaken. Tijdens het overzenden van een bestand van het ene naar het andere systeem wordt door een checksum gecontroleerd of de verzending volledig verwerkt is. Naast het feit van de verplichting van het uitvoeren van deze controles vereist SOx bewijs dat deze geautomatiseerde controles correct en volledig zijn.

Zie ook[bewerken | brontekst bewerken]

• Administratieve organisatie
• Code Tabaksblat

Externe links[bewerken | brontekst bewerken]

• SOx en IT - kritiek

Bronnen, noten en/of referenties ↑ a b de Vries, Bouke, Gevolgen Sarbanes Oxley en de Code Tabaksblat voor grote bedrijven (pdf). Rabobank (2004-12). Geraadpleegd op 14 oktober 2023. ↑ De gevolgen van de invoering van de Sarbanes-Oxley Act voor Nederlandse vennootschappen in het licht van de Tabaksblat Code. Sdu (31 januari 2004). Geraadpleegd op 14 oktober 2023.