SOX kan een organisatie helpen als het op de juiste manier wordt toegepast

SOX kan een organisatie helpen als het op de juiste manier wordt toegepast

Wat is SOX? SOX is een wet. Deze wet legt tal van regels op aan bedrijven die aan een Amerikaanse beurs genoteerd zijn. In 69 artikelen tracht de wet deugdelijk ondernemingsbestuur af te dwingen en nieuwe schandalen te voorkomen.

“De belangrijkste artikelen zijn artikel 302 en 404”

Artikel 302 handelt over de controle op de verspreiding van informatie (disclosures). De leiding van een bedrijf dient periodiek te rapporteren over de effectiviteit van de controles op twee niveaus: ontwerp en opzet van controles en werking.

Artikel 404 stelt regels voor de interne controle en de financiële rapportering. Het management wordt verplicht om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne controles die in het bedrijf gehanteerd worden. De CEO en de CFO moeten een verklaring afleggen dat alle controles waterdicht zijn en de accountant moet, naast zijn gebruikelijke taak op het gebied van de financiële verslaglegging, een expliciete verklaring toevoegen omtrent het akkoord gaan met de uitspraken van de CFO en de CEO.

“Het komt er dus op neer dat in het financieel jaarverslag ook jaarlijks een hoofdstuk dient te staan dat de interne controle op de correctheid van de aangeboden cijfers evalueert.”

Interne controle inrichten in een organisatie wordt meestal gedaan met COSO. Deze methodiek wordt wereldwijd toegepast om organisaties beheersbaar te maken en de methodiek is in de loop der jaren steeds verder verfijnd.

COSO onderkent vijf stappen: Control Environment, Risk Assessment, Control Activities, Monitoring en Information & Communication. De eerste drie worden hieronder uitgelegd.

De Control Environment wordt gevormd door de integriteit van de medewerkers, de normen en waarden die binnen de organisatie gelden. Dit hangt nauw samen met de tone-at-the-top. Dat wil zeggen dat de leiding van de organisatie het voorbeeld stelt voor de medewerkers. Maar u kunt ook normen uitdragen door bijvoorbeeld het invoeren van een gedragscode en andere geschikte middelen.

Risk assessment gaat over het opzetten van een degelijke risicoanalyse door te bepalen wat de belangrijkste risico’s voor uw organisatie zijn. Deze risico-analyse laat u zien welke belangrijke risico’s de realisatie van de doelstellingen van uw organisatie in de weg staan. Het inzicht dat u hiermee verkrijgt is voor uw organisatie van groot belang, niet alleen voor de beheersing maar zeker ook voor het kunnen bepalen van de ambities van uw organisatie

Bij het bepalen van de control activities draait het om het vinden van de passende beheersingsmaatregelen die de risico’s van uw organisatie kunnen mitigeren. Het betreft een stelsel van activiteiten die waarborgen dat belangrijke risico’s zich niet of in mindere mate zullen voordoen. 

Een interne controle inrichten is iets wat in de organisatie moet groeien, waarbij praktische werkbaarheid afgewogen moet worden ten opzichte van een optimale beheersing van processen.

“Onze ervaring is dat een internal control framework bouwen met COSO, een proces is” 

In een project waarbij een SOX-omgeving relevant is kunnen wij u helpen door mee te denken in het opzetten en verder verbeteren van de beheersingsmaatregelen. 

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *