De Sarbanes-Oxley Act (SOX) is een federale wet die in 2002 door het Amerikaanse Congres is aangenomen om fraude in het bedrijfsleven te voorkomen en aandeelhouders en het publiek te beschermen tegen boekhoudkundige fouten. Het doel is om de nauwkeurigheid van financiële openbaarmakingen door bedrijven te verbeteren.

SOX-compliance verwijst naar de naleving door een organisatie van de regels en vereisten van de Sarbanes-Oxley Act van 2002. Regelgeving voor financiële verslaglegging, informatiebeveiliging en auditing is noodzakelijk om behoorlijk bestuur binnen ondernemingen te bevorderen door transparantie, integriteit en verantwoording te introduceren en fraude binnen ondernemingen te verminderen. Dit compliancesysteem vereist interne controles, grondige documentatie en interne controles om de juistheid en veiligheid van informatie te waarborgen en tegemoet te komen aan de behoeften van investeerders en toezichthouders.

In gevallen zoals Enron, WorldCom en W. Craighead, manipuleerden leidinggevenden financiële gegevens om schulden te verbergen, winsten op te blazen en investeerders te misleiden. Dit leidde tot een misvatting over hun winstgevendheid, wat uiteindelijk leidde tot enorme verliezen toen de waarheid aan het licht kwam. Bovendien legde dit schandaal de kwetsbaarheden bloot in corporate governance en verantwoording in de financiële verslaggeving.

Wat zijn de doelstellingen van SOX?

Volgens de Sarbanes-Oxley Act zijn de hoogste leidinggevenden van een organisatie, met name de Chief Executive Officer (CEO) en de Chief Financial Officer (CFO), verplicht om persoonlijk de nauwkeurigheid van financiële overzichten te controleren en ervoor te zorgen dat deze geen financiële onjuistheden bevatten. sectie 302 De wet bepaalt dat deze leidinggevenden verantwoordelijk zijn voor het controleren van de financiële cijfers van de organisatie en de effectiviteit van haar interne controles. Door hun handtekening te plaatsen, nemen zij persoonlijke verantwoordelijkheid voor de integriteit van de rapportages.

Als er later onjuistheden of frauduleuze praktijken worden ontdekt, worden er zware straffen opgelegd, waaronder boetes en gevangenisstraf. Deze bepaling waarborgt transparantie, verantwoording en vertrouwen in de financiële verslaggeving.

Om te voldoen aan de SOX-regelgeving moeten organisaties interne controlesystemen implementeren om financieel wangedrag te voorkomen. Bovendien moeten de controles voortdurend worden gecontroleerd en gemonitord om de integriteit van de organisatie te waarborgen.

Een beknopt overzicht van SOX 11-titels

De Sarbanes-Oxley Act is een uitgebreid document met 11 secties (ook wel titels genoemd), die elk betrekking hebben op een ander aspect van corporate governance en financiële verantwoording.

1. Raad voor Toezicht op de Boekhouding van Publieke Bedrijven (PCAOB)

Beursgenoteerde bedrijven ondergaan verplichte audits, die vallen onder het toezicht van de Public Company Accounting Oversight Board (PCAOB). De PCAOB is verantwoordelijk voor het ontwikkelen van richtlijnen en standaarden voor het opstellen van auditrapporten. De PCAOB handhaaft deze standaarden strikt en start zo nodig een onderzoek.

De raad houdt ook toezicht op de werkzaamheden van onafhankelijke accountantskantoren die dergelijke controles uitvoeren.

2. Onafhankelijkheid van de accountant

Deze titel bestaat uit negen secties die de onafhankelijkheid van een accountant benadrukken door de vereisten te specificeren om resultaatconflicten te voorkomen. Het verbiedt accountants om niet-controlediensten aan hun cliënten te verlenen. Daarnaast hanteert het een afkoelingsperiode van één jaar voordat accountants als leidinggevende voor voormalige klanten mogen werken.

3. Verantwoord ondernemen

Titel III benadrukt persoonlijke verantwoordelijkheid door certificering van CEO's en CFO's te eisen over de juistheid van hun financiële overzichten. Dit impliceert dat leidinggevenden rechtstreeks aansprakelijk zijn voor de juistheid en integriteit van de financiële overzichten van het bedrijf. Dit zorgt voor meer transparantie en beperkt fraude binnen bedrijven.

4. Verbeterde financiële openbaarmakingen

Onder deze titel moeten bedrijven meer informatie openbaar maken over hun openbaarmakingen, zoals handel met voorkennis, transacties buiten de balans en pro-formawinsten. Snelle en betrouwbare openbaarmakingen helpen beleggers de gezondheid van een bedrijf te beoordelen, zodat ze een weloverwogen beslissing kunnen nemen over de vraag of ze in een bepaald bedrijf moeten investeren.

5. Belangenconflicten van analisten

De titel is bedoeld om het vertrouwen van beleggers in de rapporten van analisten te vergroten. Dit omvat de openbaarmaking van alle soorten belangen, de gedragsregels en de aanpak van belangenconflicten bij financiële analyses. Alles moet openbaar worden gemaakt, van de portefeuilles van analisten tot de betalingen aan bedrijven.

6. Middelen en bevoegdheden van de Commissie

Hierdoor krijgt de Amerikaanse toezichthouder Securities and Exchange Commission (SEC) meer macht om overtredingen van de effectenwetgeving door een makelaar, adviseur of zelfs een handelaar te bestraffen. Dit verbetert de juridische praktijk en de marktcontrole.

7. Studies en rapporten

Verplicht diverse onderzoeken naar marktpraktijken door de SEC en de Controller General. Deze worden uitgevoerd om de status van de corporate governance van de emittent te evalueren en onethische praktijken bij investeringsbanken, accountantskantoren en kredietbeoordelingsbureaus te evalueren. Deze rapporten minimaliseren de kans op fraude in het financiële ecosysteem.

8. Verantwoordingsplicht voor bedrijfs- en criminele fraude

Deze titel stelt strenge straffen op voor fraude, waaronder het verbergen, wijzigen of vernietigen van financiële gegevens, wat kan leiden tot een gevangenisstraf tot 20 jaar. Daarnaast worden er geldboetes en straffen genoemd voor iedereen die aandeelhouders helpt misleiden.

9. Straffen voor witteboordencriminaliteit worden strenger

De zes bepalingen onder deze titel zorgen voor strengere straffen voor misdrijven gepleegd door professionals in de witteboordenzorg, waaronder het niet certificeren van financiële rapporten. De invoering van strengere straffen is bedoeld om wanpraktijken te beperken en de verantwoordingsplicht van leidinggevenden te versterken.

10. Vennootschapsbelastingaangiften

Deze titel stelt dat CEO's persoonlijk hun handtekening moeten zetten onder de belastingaangiften van de organisatie. Dit wordt gedaan om de verantwoordelijkheid van de leidinggevenden voor het indienen van correcte belastingaangiften te waarborgen en belastingfraude te voorkomen.

11. Verantwoordingsplicht voor bedrijfsfraude

Deze titel bestaat uit zeven secties. Het stelt dat bedrijfsfraude een strafbaar feit is en dat er verschillende straffen worden opgelegd voor frauduleuze activiteiten. De SEC beschikt over middelen om het probleem van bedrijfsfraude aan te pakken en sancties op te leggen aan personen die verdachte transacties uitvoeren.

SOX-controles en nalevingsvereisten

SOX-controles fungeren als een essentieel vangnet dat organisaties beschermt door het risico op fouten en frauduleuze activiteiten in financiële overzichten te beperken. Ze fungeren als een intern mechanisme dat is ontworpen om de balans, nauwkeurigheid en waarheidsgetrouwheid van het financiële rapportagesysteem te handhaven in overeenstemming met de wetgeving en standaardpraktijken in de sector.

Veel organisaties gebruiken het COSO-framework (Committee of Sponsoring Organizations) om SOX-controles te implementeren. Dit omvat het gebruik van gedetailleerde interne controles en risicomanagement.

Het COSO-raamwerk legt de nadruk op:

Risicomanagement, dat wil zeggen de processen voor het beoordelen en minimaliseren van bedreigingen voor de nauwkeurigheid en volledigheid van financiële informatie.
Gegevensintegriteit om de betrouwbaarheid, volledigheid en geldigheid van financiële informatie te behouden.
Het toezicht op naleving gebeurt door het regelmatig monitoren van externe en interne vereisten.

Door gebruik te maken van het COSO-raamwerk kunnen organisaties krachtige SOX-nalevingsmaatregelen implementeren, wat de basis voor transparante en betrouwbare financiële verslaglegging versterkt.

De kern van SOX

Sectie 404 blijft het belangrijkste aspect van SOX. Deze sectie vereist dat organisaties hun interne financiële controles jaarlijks documenteren en testen om de effectiviteit ervan aan te tonen. Het houdt bedrijven dus in de gaten en, belangrijker nog, illustreert dat er een sterke controleomgeving bestaat rond de financiële overzichten van het bedrijf.

Waarom is SOX belangrijk?

Het Enron-schandaal

Enron gebruikte eierschaaltechnieken om grote openstaande bedragen te verbergen, waardoor het bedrijf winsten kon overdrijven voordat het uiteindelijk failliet ging, wat aanzienlijke financiële verliezen voor zijn investeerders tot gevolg had. Hun accountantskantoor, Arthur Andersen, slaagde er niet in deze misdaad te detecteren of te voorkomen. Om soortgelijke voorvallen in de toekomst te voorkomen, zorgt SOX ervoor dat deze twee functies volledig gescheiden blijven binnen hetzelfde bedrijf, zodat er geen sprake is van vooringenomenheid bij het leveren van het vereiste rapport.

Wat is een SOX-complianceaudit?

Een SOX-complianceaudit evalueert de interne controles van een bedrijf om te garanderen dat deze voldoen aan de eisen en regelgeving van de Sarbanes-Oxley Act, met name met betrekking tot financiële overzichten en IT-beveiliging. Auditors beginnen doorgaans met het beoordelen van het ontwerp en de structuur van de controles van een organisatie om mogelijke zwakke punten of hiaten te identificeren. Een succesvolle SOX-audit geeft externe stakeholders meer vertrouwen dat het bedrijf zich inzet voor transparantie, verantwoording en de nauwkeurigheid van de financiële verslaggeving. Dit waarborgt niet alleen de naleving, maar versterkt ook de reputatie van het bedrijf op het gebied van betrouwbaarheid en betrouwbaarheid in de ogen van investeerders en toezichthouders.

Als bijvoorbeeld het IT-systeem van een bedrijf wordt gehackt vanwege minder controles, kan dit leiden tot financiële onnauwkeurigheden. SOX-audits zijn bedoeld om deze kwetsbaarheden te identificeren en financiële informatie veilig te houden.

Het SOX-auditproces

SOX-audit is een procedure voor het beoordelen van de integriteit van de financiële rapportageprocessen van een bedrijf. Hoewel dit proces zeer gedetailleerd is, kan het worden onderverdeeld in vier belangrijke fasen:

1. Ontwerpvoorstel voor SOX-auditwerk

De eerste fase van elke Sarbanes-Oxley (SOX) audit is het nauwkeurig vaststellen van de reikwijdte van de audit. Deze reikwijdte definieert de grenzen en aandachtsgebieden van de audit, waaronder financiële processen, systemen, compliancecontroles en te evalueren risico's. Dit maakt een meer gerichte en efficiënte aanpak van de evaluatie mogelijk en is in overeenstemming met de Accounting Standards nr. 5 van de Public Company Accounting Oversight Board (PCAOB), die de top-down auditbenadering ondersteunen.

De top-down auditaanpak begint met een evaluatie op hoog niveau en verfijnt deze geleidelijk tot de details. Dat wil zeggen, beginnend met het bekijken van het grote geheel en vervolgens afbouwend naar specifieke details.

De eerste stap omvat meestal het identificeren van belangrijke stakeholders en het houden van eerste informatiesessies met de relevante stakeholders. Daarna worden de belangrijkste interessegebieden in kaart gebracht.

Rekeningen waarbij de kans op financiële rapportagefouten groter is.
Kritieke activa kunnen een grote impact hebben op de financiële cijfers.
Kritieke activa kunnen een grote impact hebben op de financiële cijfers.
Belangrijke systemen en processen die cruciaal zijn voor het verstrekken van financiële informatie.

Het doel van deze stap is om proactief potentiële risico's voor de nauwkeurigheid en kwaliteit van de financiële verslaggeving te identificeren en te beoordelen. Door deze aanpak te hanteren, is de reikwijdte van de audit ontworpen om de factoren te schatten die een risico kunnen vormen voor betrouwbare financiële verslaggeving, de bronnen van deze risico's te identificeren en hun potentiële impact op de onderneming te evalueren. Deze fase, bekend als de controlemaatregelen verwachtingZorgt ervoor dat significante risico's of verstoringen worden gedetecteerd en aangepakt voordat ze onopgemerkt blijven door de interne controlesystemen van de organisatie. Uiteindelijk versterkt het de integriteit van de financiële verslaggeving door ervoor te zorgen dat potentiële problemen effectief worden beheerd.

2. Het bepalen van materialiteit in SOX

Deze fase van de audit is nuttig omdat u hierdoor alleen tijd hoeft te besteden aan de relevante aspecten van de financiële verslaggeving. Hieronder vindt u de vereenvoudigde vier belangrijkste procedures:

Stap 1: Identificeer wat materiaal is

De eerste stap is het bepalen welke posten in de winst- en verliesrekening en de balans als 'materieel' kunnen worden beschouwd. Dit zijn de posten waarvan de weglating of verkeerde voorstelling van zaken de economische beslissingen van de gebruikers zou kunnen beïnvloeden.

Normaal gesproken meten accountants de materialiteit door een percentage van de belangrijke rekeningen te nemen, bijvoorbeeld 5% van de totale activa of 3-5% van de gegeven bedrijfsopbrengsten.

Stap 2: Vind de saldi van de materiaalrekeningen per locatie

Voer dezelfde stappen uit voor de financiën van alle bedrijfsafdelingen. Mochten de saldi van een rekening de materiële drempelwaarden in stap 1 overschrijden, dan worden deze afdelingen het komende jaar opgenomen in de scope van SOX-complianceactiviteiten.

Stap 3: Identificeer belangrijke transacties

Organiseer een vergadering met uw controller en de proceseigenaren om de transacties in kaart te brengen die van invloed zijn op deze materiële rekeningsaldi.

Stap 4: Beoordeel de risico's op het gebied van financiële verslaggeving

Inherente risico's zijn risico's die voortvloeien uit de aard van de onderneming of haar omgeving en die mogelijk kunnen leiden tot onjuistheden in de jaarrekening. Deze risico's ontstaan door factoren die buiten de controle van interne controles of controleprocedures vallen en de nauwkeurigheid van de financiële verslaggeving aanzienlijk kunnen beïnvloeden.

3. SOX-controles identificeren

Bij het uitvoeren van de materialiteitsanalyse moeten accountants zich richten op het identificeren en evalueren van de effectiviteit van SOX-controles die het risico van onjuiste financiële transacties beperken. Zo zorgen ze ervoor dat deze controles bijdragen aan een betrouwbaarder en transparanter financieel verslaggevingsproces.

i) Scheiding van rollen en taken

Een van de belangrijkste categorieën SOX-controles is de scheiding van rollen en taken. Deze controle zorgt ervoor dat geen enkele persoon volledige controle heeft over kritieke processen. Zo zouden bijvoorbeeld verschillende mensen betrokken moeten zijn bij het goedkeuren van een factuur en het boeken van onderdelen van die factuur. Door deze verantwoordelijkheden te scheiden, verkleint het bedrijf het risico dat één persoon financiële gegevens manipuleert of zich bezighoudt met frauduleuze activiteiten.

ii) Transactiecontrole

Een andere categorie is transactie-auditing, waarbij de tijdige controle van transacties door auditbevoegde personen plaatsvindt om eventuele afwijkingen in financiële transacties op te sporen.

iii) Saldobevestigingen

Balansbevestigingen bieden externe accountants de nodige zekerheid dat de rekeningsaldi overeenkomen met de gerapporteerde saldi. Dit waarborgt de nauwkeurigheid en betrouwbaarheid van de documentatie.

Voor materiële rekeningen is vaak de invoering van meer dan één controle nodig voor een effectieve beveiliging tegen onjuiste financiële overzichten die de besluitvorming van stakeholders (zogenaamde materiële onjuistheden) voldoende kunnen beïnvloeden. Het is de verantwoordelijkheid van de organisatie om de effectiviteit te beoordelen en te bepalen van de controles die de mensen, processen en technologie die bij het gehele systeem betrokken zijn, ondersteunen. Risico's zijn niet gelijk verdeeld, dus er zijn belangrijke en niet-belangrijke controles binnen het kader van het SOX-auditproces, waarbij belangrijke controles de belangrijkste zijn bij het beperken van significante risico's die mogelijk kunnen leiden tot materiële onjuistheden in de financiële overzichten.

4. Een frauderisico-evaluatie uitvoeren

Het ontwikkelen van een veilig kader voor een intern controlebeleid vereist een beoordeling van de verschillende frauderisico's, zoals onjuiste financiële overzichten, die zich waarschijnlijk binnen de organisatie voordoen. Om fraude te bestrijden, moeten organisaties zich richten op preventieve maatregelen en waarschuwingssignalen. Organisaties kunnen de kans op fraude proactief verkleinen en de maatregelen voor de aanpak van dergelijke incidenten verbeteren door sterke interne controles in te voeren en te handhaven.

Laten we eens kijken naar enkele eenvoudige beleidsmaatregelen die u kunt nemen om de hierboven genoemde fraude te voorkomen.

i) Scheiding van taken

Fraude is gemakkelijker te plegen wanneer één persoon zowel de middelen heeft om de overtreding te begaan als om deze te verbergen. Dit betekent dat de uitvoering en het verbergen van fraude door verschillende personen moeten worden uitgevoerd. Het is vergelijkbaar met het instellen van interne controles.

ii) Onkostenvergoedingen

Fraude binnen een organisatie is moeilijk te voorkomen zonder effectief beheer van de kosten die werknemers maken. Om dit probleem aan te pakken, moet het vergoedingsbeleid worden vastgesteld en aan alle betrokkenen worden verspreid. Voordat u een vergoeding ontvangt, moet u meerdere goedkeurders inschakelen, bijvoorbeeld de baas en een of meer andere teamleden.

iii) Periodieke bankafstemming

Zorg ervoor dat de saldi in de boekhouding van uw bedrijf regelmatig worden vergeleken met die van de bank zelf om verschillen te voorkomen. Dit helpt niet alleen bij het detecteren van fraude, maar voorkomt ook mogelijke problemen in de toekomst, zoals vertragingen in betalingen of verstoringen van boekhoudprocessen.

5. Documentatie van proces- en SOX-controles beheren

De controles die aanwezig zijn in de complianceprocessen moeten ook correct worden gedocumenteerd. Alle aspecten met betrekking tot belangrijke controles moeten uitgebreid worden behandeld, inclusief hun definities, implementatie, prestaties, tests, risico's, populaties en bewijs. Het beheren van deze aspecten kan echter een uitdaging zijn, omdat hetzelfde risico zich over meerdere processen en eenheden kan uitstrekken, waardoor het moeilijk is om alles effectief te monitoren. Zelfs een kleine omissie, zoals het vergeten van een update, kan leiden tot aanzienlijke toekomstige opruimwerkzaamheden en mogelijke falende controles.

Om dit probleem te beperken, wordt het gebruik van een relationeel databasemanagementsysteem (RDBMS) als centrale opslagplaats sterk aanbevolen. In tegenstelling tot traditionele spreadsheetgebaseerde systemen kan SOX-compatibele software, gebaseerd op een grote, geïntegreerde database, het hele proces stroomlijnen. Deze gecentraliseerde aanpak maakt naadloze integratie van alle programmafuncties mogelijk, waardoor de noodzaak voor frequente updates afneemt en het risico op over het hoofd geziene wijzigingen wordt geminimaliseerd. Bovendien maken RDBMS-gebaseerde systemen het mogelijk om grotere hoeveelheden data in minder tijd te verwerken, wat de efficiëntie verbetert en zorgt voor nauwkeurigere monitoring en rapportage van controles, waardoor de compliance wordt verbeterd en toekomstige complicaties worden verminderd.

6. Testen van belangrijke controles

SOX-controletests worden uitgevoerd om de effectiviteit en betrouwbaarheid van de controles te garanderen. Het gaat erom aan te tonen dat de tests zijn ontworpen om de controles daadwerkelijk te beoordelen wanneer ze worden uitgevoerd. Het gaat er ook om te bevestigen dat de personen die als proceseigenaren zijn aangewezen, de controles consistent hebben toegepast tijdens het auditproces. Ten slotte moet de test aantonen dat de controles in staat zijn om materiële onjuistheden te voorkomen of te detecteren in gebieden waar ze bescherming moeten bieden.

Controletesten kunnen ook verschillende benaderingen omvatten, waaronder (maar niet beperkt tot) doorlopende beoordelingen, observaties, interviews met proceseigenaren, transactiedoorlopen, documentbeoordeling of zelfs het proces opnieuw uitvoeren.

7. Het beoordelen van tekortkomingen in SOX

Een auditor die een specifieke lacune aanpakt, creëert een "probleem". Het auditteam moet beslissen of het een ontwerpprobleem of een implementatieprobleem is dat kan worden opgelost door hertraining. Het team zal ook aangeven of dit een tekortkoming in de controle is die zorgvuldiger moet worden beheerd omdat het gepaard gaat met een groter risico.

8. Het managementrapport over controles afleveren

Aan het einde van uw SOX-controletest wordt een gedetailleerd rapport opgesteld voor de auditcommissie. Hoewel er tijdens het hele proces veel informatie wordt verzameld, moet het rapport de mening van het management over de nalevingsstatus bevatten, samen met bewijsmateriaal ter onderbouwing.

Het verslag moet de volgende informatie bevatten:

De mening van het management en het bewijsmateriaal ter onderbouwing van die conclusie.
Een samenvatting van de evaluatie van de gekozen aanpak en de uitkomsten.
Resultaten van alle assessments, inclusief ondernemingsbrede IT- en sleutelcontrole.
Controlestoringen, controlehiaten en de daarmee samenhangende factoren.
De input van de wettelijke accountant van de onderneming.

Door voortdurend deel te nemen aan deze aanpak en de benodigde documentatie en procedures toe te passen, kunt u uw compliance-initiatieven verbeteren en een gevoel van eigenaarschap op alle niveaus in uw organisatie bevorderen.

Checklist voor SOX-nalevingsaudit

Hier is een algemene checklist die kan worden gebruikt voor SOX-nalevingsaudits:

1. Zorgen voor bescherming tegen manipulatie van gevoelige gegevens

Er moeten systemen worden geïnstalleerd om ongeoorloofde of opzettelijke wijzigingen in financiële informatie te monitoren en te waarschuwen. Dit waarborgt de integriteit van de gegevens en verkleint de kans op fraude.

2. Implementeer controletoegang

Implementatie van het principe van minimale toegang tot gevoelige gegevens. Deze gegevens mogen niet toegankelijk zijn voor onbevoegden. Met beperkte toegang tot financiële informatie kunnen organisaties ongecontroleerde veranderingen controleren en de integriteit van gevoelige gegevens behouden.

3. Beperkte toegang tot accountants

Auditors spelen een belangrijke en cruciale rol bij de naleving van SOX-regels. Om objectief te blijven, moeten ze toegang krijgen wanneer dat nodig is om hun taken effectief uit te voeren. Dit is een zeer transparante manier om de financiële informatie van het bedrijf te beschermen.

4. Detecteer informatiebeveiligingsincidenten

Het detecteren van incidenten met betrekking tot informatiebeveiliging is essentieel. Er moeten systemen worden geïnstalleerd die beveiligingsinbreuken in realtime detecteren en melden. Dit helpt mogelijke schade te voorkomen en zorgt ervoor dat financiële systemen altijd veilig zijn.

5. Volg acties binnen het financiële systeem

Het volgen van acties binnen het financiële systeem is essentieel voor een zuiver audittraject. Elke belangrijke transactie moet worden voorzien van een datum- en tijdstempel met een overzicht van de details die door auditors en compliance officers worden gebruikt om de juistheid en volledigheid van de financiële gegevens te achterhalen.

Gevolgen van SOX-niet-naleving

De Sarbanes-Oxley Act (SOX) stelt strenge straffen vast voor degenen die zich niet aan de bepalingen houden, waaronder enorme boetes en gevangenisstraffen voor CEO's en CFO's die valse financiële rapporten goedkeuren. Dit garandeert dat het management van de organisatie zich blijft richten op de integriteit van de financiële verslaggeving.

Een voorbeeld van zo'n opvallende zaak was die van HealthSouth Corporation, waarbij leidinggevenden de winst met ruim 2 miljard dollar overdreven en CEO Richard Scrushy als een van de eersten voor de rechter daagden onder SOX.

Een schandaal dat de noodzaak van SOX aantoonde, was dat van WorldCom, dat de financiële administratie manipuleerde om de winst met bijna 11 miljard dollar te overdrijven. Dit schandaal bracht niet alleen het bedrijf ten gronde, maar veroorzaakte ook grote verliezen voor investeerders en werknemers.

Voordelen van SOX-naleving

De SOX wekt vertrouwen in de integriteit van gepubliceerde financiële overzichten, wat hen aanzet tot investeren. Het versterkt de geloofwaardigheid van bedrijven en investeerders en draagt zo bij aan een veiligere beleggingsomgeving door te garanderen dat de gegevens accuraat worden gepresenteerd.

Daarnaast verplicht SOX organisaties om effectieve interne controles te implementeren, wat resulteert in efficiëntere prestaties wat betreft de nauwkeurigheid en betrouwbaarheid van financiële gegevens. Door de financiële verslaggeving zo nauwkeurig en volledig mogelijk te maken, verkleint u de kans op fouten of fraude. Dit verbetert het algehele financiële beheer en de verantwoording van de organisatie.

Belangrijkste bepalingen van de Sarbanes-Oxley (SOX) Act van 2002

De SOX werd goedgekeurd om de verantwoording en transparantie van bedrijven in de financiële verslaggeving te vergroten. Laten we de belangrijkste onderdelen eens bekijken:

sectie 302

Een van de belangrijke bepalingen is sectie 302, die een senior bedrijfsfunctionaris verplicht om persoonlijk de nauwkeurigheid van financiële overzichten en de naleving van de Amerikaanse Securities and Exchange Commission te certificeren (SEC) openbaarmakingsnorm. Bestuurders die willens en wetens valse financiële overzichten ondertekenen, riskeren zware straffen, waaronder gevangenisstraf.

sectie 404

Dit stelt de eis van het opzetten en onderhouden van interne controles voor accurate financiële verslaggeving. Een dergelijke verbetering levert voordelen op voor de verantwoording, maar wordt vaak bekritiseerd omdat het hoge kosten met zich meebrengt voor compliance.
Klik voor meer informatie hier.

sectie 802

sectie 802 Betreft archivering. Het verbiedt de vernietiging of vervalsing van gegevens, definieert bewaartermijnen en identificeert welke bedrijfsgegevens bewaard moeten worden (inclusief elektronische communicatie).

Wie moet zich aan SOX houden?

Alle beursgenoteerde ondernemingen en hun volledige dochterondernemingen die zakendoen in de Verenigde Staten, moeten voldoen aan de SOX-wetgeving. Dit geldt ook voor Amerikaanse beursgenoteerde ondernemingen en hun accountants. Daarnaast moeten effectenanalisten en accountantskantoren die audits uitvoeren bij beursgenoteerde ondernemingen, voldoen aan de SOX-regelgeving.

Hoewel particuliere bedrijven en non-profitorganisaties over het algemeen niet verplicht zijn zich aan de SOX te houden, zijn er enkele belangrijke uitzonderingen. Zo moeten particuliere bedrijven die een registratieverklaring bij de SEC indienen en zich voorbereiden op een beursintroductie, zich wel aan de SOX houden.

Daarnaast beschermt de SOX klokkenluiders bij particuliere bedrijven; dat wil zeggen dat werknemers die diensten verlenen aan beursgenoteerde bedrijven beschermd zijn als zij wangedrag of wanpraktijken melden waarbij hun publieke cliënten betrokken zijn.

SOX is een Amerikaanse regelgeving. Deze reikt echter verder dan de Amerikaanse grenzen. Elk buitenlands bedrijf dat zaken doet in de VS of genoteerd staat op Amerikaanse beurzen, moet zich ook aan SOX houden.

Uitdagingen op het gebied van SOX-naleving

Het meest voorkomende type uitdaging waarmee organisaties worden geconfronteerd bij SOX-naleving is Afhankelijkheid van spreadsheets en eindgebruikers.

Wat vroeger een eenvoudig boekhoudkundig hulpmiddel was, een spreadsheet, is nu een integraal onderdeel van de meeste, zo niet alle, processen onder SOX. Het verbindt gegevens en elimineert handmatig werk. Het nadeel is dat naarmate het auditproces geavanceerder wordt, ook de mate van controle op de processen en elk geproduceerd document toeneemt. Helaas zijn spreadsheets meestal traag, garanderen ze geen efficiëntie en missen ze uniformiteit.

Het gebruik van spreadsheets bij SOX-compliance brengt de volgende risico's met zich mee:

Versiebeheer: Werken met oudere versies is foutgevoelig.
Onvolledige downloads: Er kunnen fouten optreden omdat er gegevens ontbreken na een onjuiste download.
Gebruikersfouten: Het typen van onjuiste informatie of het onbedoeld verwijderen van gegevens kan duur uitpakken.
Inconsistente datasets: Als u een analyse maakt op basis van foutieve of onvolledige informatie, leidt dat tot verkeerde uitkomsten.
Gebrek aan communicatie: Meestal hebben proceseigenaren geen toegang tot cruciale controle-informatie, omdat interne auditbestanden meestal op de pc's van de auditors worden opgeslagen en nooit worden verspreid. Dit betekent dat ze hun controles slechts drie keer per jaar bekijken en deze dus niet in de processen integreren.
Hogere kosten en middelen: Op het gebied van corporate governance heeft SOX een aantal fundamenteel positieve veranderingen teweeggebracht in de financiële verslaglegging van bedrijven, maar de kosten voor compliance zijn gestegen. Volgens de jaarlijkse studies van Protiviti zijn deze kosten ook gestegen door de implementatie van nieuwe systemen zoals COSO en de veranderende eisen van de auditors.

Hoe kan Encryption Consulting helpen?

Encryption Consulting helpt organisaties een verbeterde beveiligingshouding te bereiken en de complexiteit van naleving, zoals SOX, te beheren. NIST 2.0, FIPS 140-3, enz. Onze encryptie-adviesdiensten omvatten grondig audits en assessments om de hiaten in verschillende processen te identificeren die uw organisatie kunnen blootstellen aan compliancerisico's.

Wij zijn gespecialiseerd in het ontwerpen van op maat gemaakte aanbevelingen en saneringen routekaarten Deze stappenplannen bieden aanbevelingen of herstelplannen om de door de kwetsbaarheden veroorzaakte risico's te beperken en om aan alle noodzakelijke regelgeving en nalevingsnormen te voldoen en deze te handhaven.

Door uw processen af te stemmen op de SOX-vereisten, helpen wij organisaties om te voldoen aan de vereisten, risico's te beperken en hun beveiliging te verbeteren.

Conclusie

SOX wordt al meer dan twintig jaar succesvol geïmplementeerd en de impact ervan op corporate governance is tot op de dag van vandaag aanzienlijk. In plaats van alleen maar te kijken naar 'vink het vakje aan'-naleving, profiteren organisaties die de SOX-vereisten omarmen van betere interne controles, een goede verantwoordingsplicht en een groter publiek vertrouwen. De nadruk op SOX-naleving ontwikkelt zich ook in de loop der tijd; naarmate de praktijk van zakendoen toeneemt, neemt ook de behoefte aan transparantie en maatschappelijk verantwoord ondernemen in de wereldeconomie toe.

Financiële overzichten moeten nauwkeurig en waarheidsgetrouw zijn in een gezonde economie. Dit is geen kwestie van goede praktijken, maar van een goed functionerende structuur.

Wat is de Sarbanes-Oxley Act (SOX)?