Kosten Sarbhanes Oxley- wetgeving in miljoenen
07-11-2007 | Interviewer: Cees de Boer | Auteur: Willem Nijeboer | Beeld: Lex Draijer
Hoeveel kost de invoering van SOX Océ?
"Precies kun je dat niet aangeven. Amerikaanse bedrijven van ongeveer onze omvang tot vijf miljard dollar omzet, zijn in het eerste jaar vijf miljoen dollar kwijt aan de implementatie. Ik denk dat wij tussen de drie en vijf miljoen dollar aan kosten kwijt zijn. Die bestaan uit consultantsuren van je eigen organisatie, systemen die je moet neerzetten en alles wat daar bijkomt inclusief de auditingkosten. Het is een fors bedrag."
Wat leveren die drie tot vijf miljoen dollar aan kosten u straks op?
"De kwaliteit van je rapportage zal wellicht beter zijn en zeker het gevoel dat het rapport oproept: dat het waarheidsgetrouw en juist is. Als het dat niet oplevert zou het wel dramatisch zijn. Het resultaat van SOX meten in termen van investering en rendement is erg ingewikkeld. Doordat de rapportages verbeteren, verwacht ik wel dat de processen zelf beter worden. Ik hoop dat de toegevoegde waarde van SOX 404 op termijn zal zijn dat de processen worden geharmoniseerd en dat ze daardoor efficiënter worden. Dat zal uiteindelijk ook financiële resultaten opleveren."
Tegen welk problemen loopt u momenteel aan?
"Het is voor een organisatie heel erg moeilijk om deze jaren te bestempelen als de jaren van SOX. Je wilt toch vooral bezig zijn om continuïteit en winst te creëren.
Maar de implementatie is een geweldige hoeveelheid werk, zeker voor een internationaal bedrijf als Océ dat in dertig landen zit. Dit is natuurlijk niet gewoon een financieel project, maar een groot managementproject dat je door de hele organisatie heen implementeert. Het kost erg veel energie en tijd, het kost veel mensen, het kost een hoop geld en het draagt uiteindelijk in eerste instantie niet bij aan de bottomline.
Ik vind ook dat de relatie met auditors in het afgelopen jaar sterk is veranderd. Het interne controleraamwerk is een middel om controle uit te oefenen. Voor de auditors wordt 404 een dóel en dat is een enorm verschil. De relatie tussen het bedrijf en de auditor wordt daardoor veel moeilijker en dat merk je."
Bedoelt u dat het voor auditors moeilijk is zo specifiek een uitspraak te doen over de mate waarin u controle heeft?
"Ik bedoel dat het interne controleraamwerk niet meer een middel is om een bedrijf te controleren, maar dat het een doel op zich is je eraan te houden. Auditors gaan heel anders tegen je interne controles aankijken. Veel formalistischer."
Hoever bent u nu met de invoering van SOX?
"We zitten nu natuurlijk midden in het proces wat 404 betreft. De documentatie is grotendeels klaar. We testen nu de documentatie, dan de remediation en dan komen de auditors. Als u mij nu vraagt hoe het uiteindelijk is gelopen, dan kan ik alleen zeggen dat u dat over een maand of zes nogmaals moet vragen.
De tussenstand is dat we op schema zitten. Ik wil niet zeggen dat de invoering bij ons moeilijker is dan bij anderen, maar we hebben zeventien processen geïdentificeerd. Die testen we in twaalf bedrijven door onze organisatie heen. In al die processen moet je toch zo'n tien key controls aanwijzen waarop je de processen op het hoogste niveau gaat testen. We zijn dus door de organisatie heen meer dan tweeduizend key controls aan het testen. Dat vraagt bijna een militaire planning. We hebben daar een aparte organisatie voor opgezet: hier in de centrale organisatie en in alle landen. Daar zitten dus ook hele teams van verantwoordelijken."
U bent halverwege. Heeft u straks meer controle?
"Het is natuurlijk zo dat wanneer je een strakker raamwerk neerzet, je vanzelfsprekend meer grip krijgt op de processen. De vraag die je jezelf moet stellen is: is het nodig? Als u mij twee of drie jaar geleden had gevraagd of ik in control ben, of ik de Letter of Representation zou kunnen onderschrijven en de jaarrekening zou kunnen ondertekenen, dan had ik daar absoluut ja op gezegd. Dat is niet wat je nu doet. Je maakt het raamwerk steviger, de grip wordt strakker."
Is het goed voor de organisatie dat dat raamwerk steviger wordt?
"Ja, daar ben ik van overtuigd. Ik hoop alleen dat het veel meer zal opleveren."
Zijn gedurende dit proces dingen omhoog gekomen die bij Océ niet zo goed geregeld bleken te zijn?
"Stel dat we tot de conclusie zouden komen dat er één item is dat material weaknesses oplevert, dan hoeft dat nog helemaal niet te betekenen dat er fraude kan optreden of dat we verkeerd gerapporteerd hebben. Maar je kunt je afvragen wat de impact is op de buitenwereld, op de beurskoers bijvoorbeeld. Ik denk dat één van de grootste angsten voor raden van bestuur is dat er ineffective controls zijn. Want daar regeert een belegger op. De onzekerheid die je in je creëert zal gevolgen hebben voor je beurskoers.
Stel dat de autorisaties bij IT systemen bijvoorbeeld niet volledig op orde zijn. Dat komt in veel bedrijven voor. Of dat je fall back systemen bij IT niet honderd procent op orde zijn. Dat je als er ergens een brand plaatsvindt misschien je systemen niet kunt draaien. Is dat feit dan reden om te zeggen dat je controls ineffective zijn? Dat heeft een hele impact. Dan is het ineens van: bedrijf A heeft ineffective controls. Zoiets is meteen een diskwalificatie van het bedrijf.
Er komen bij Océ dingen bloot waar we nog actie op moeten ondernemen en die nemen we ook. Maar ik heb nog niet ontdekt dat er zaken zijn die we niet wisten. Dat is op zich goed nieuws. Deze slag is een verbetering van de interne controle. Ik ben er zeker van dat mijn opvolger weer betere interne controles zal neerzetten dan wij hebben gedaan. Dat proces vindt in de tijd toch plaats. Maar dat betekent niet dat ik hierbij zeg dat ik me absoluut geen illusie maak over de uiteindelijke conclusie. Die kan nog best anders zijn."
U praat waarschijnlijk heel regelmatig met analisten en brokers, mensen die beleggers vertegenwoordigen. Bespreken ze dit onderwerp met u?
"Op dit moment stellen ze vragen over SOX in zijn algemeenheid. Hoe gaat het? Waar zitten jullie in het proces? Dat soort zaken. Met de gevolgen van IFRS zijn analisten en brokers veel meer bezig. Maar discussie over wat SOX echt betekent, hebben we niet. Als u naar de VS kijkt, daar leeft het natuurlijk wel. CFO's, analisten en brokers maken zich er duidelijk ongerust over."
Als we kijken naar hoe de beurs reageert, hebben we inmiddels een aantal voorbeelden achter de rug. Adecco gaf een duidelijk statement af dat ze wat problemen hebben. Dat had een gigantisch negatief effect op de beurskoers. Kodak kwam recentelijk met een statement dat ze wellicht problemen zouden hebben met de invoering van SOX. Daar reageerde de beurs helemaal niet op. Het is dus erg moeilijk in te schatten hoe de markt gaat reageren.
"Ik denk dat het heel belangrijk is dat je duidelijk maakt wat er werkelijk aan de hand is. Maar laten we niet vooruit lopen op doemscenario's. We gaan er doorheen, we doen het en we zien ook de positieve kanten. We vinden wel dat er erg veel op ons afkomt. Alles gelijktijdig: IFRS, SOX... Uiteindelijk bestaan organisaties om continuïteit en winst voor de aandeelhouders en werknemers op te leveren. Dat geeft wel eens spanning."
Bedrijven vinden het moeilijk om niet-financiële mensen bij de implementatie van de SOX-wetgeving te betrekken. Hoe heeft u dat voor elkaar gekregen?
"Wij vinden het ook niet eenvoudig ons management een volledige focus op SOX te geven. Toch is dat heel belangrijk en ook daar zijn weer fasen in. De weerstand en het enthousiasme zijn nooit hetzelfde.
SOX is voorts niet alleen 404, terwijl daar wel vooral naar wordt gekeken. SOX heeft ook bijvoorbeeld 302. Dat onderdeel heeft te maken met de interne controles, niet de rapportage maar meer in zijn algemeenheid. Daar zijn we al drie jaar mee bezig. We hebben in de organisatie ingevoerd dat bij het invullen van de Letter of Representation de managementteams er echt in een halve dag of een hele dag doorheen gaan. Dat wordt als zeer positief ervaren. Dus het management is zich echt bewust van het bestaan van SOX. We hebben heel duidelijk gemaakt dat 404 ook geweldig belangrijk is. Het moet gebeuren. Dat heeft de raad van bestuur uitgedragen en ook managing directors van de landen dragen dat uit. Het project wordt getrokken door onze financiële mensen in de verschillende landen. Zij hebben er wel voor gezorgd dat het de verantwoordelijkheid werd van het hele managementteam."
Is het aan een decentraal management makkelijker uit te leggen waarom dingen gestandaardiseerd moeten worden?
"Absoluut. SOX vraagt inderdaad om een beschrijving van de processen en ook om de processen zelf op een meer geharmoniseerde wijze te doen. Maar het slechtste argument om het management te overtuigen van de noodzaak van standaardisatie en harmonisatie is te zeggen: het moet van SOX. Deze wet heeft te maken met toezicht en verantwoording. Die zijn we verschuldigd aan een aantal stakeholders: de OR, werknemers, aandeelhouders, non gouvernementele organisaties, leveranciers en afnemers. En de overheid natuurlijk."
Is door SOX de bedrijfsstructuur veranderd?
"Nee, ik geloof niet dat SOX een reden is het bedrijf anders te gaan aansturen. Ik denk dat we enorm moeten oppassen dat je operationele gang van zaken gedicteerd zal worden door, om het heel flauw te zeggen, de wetgever, de accountant en de juristen. Dat zou echt heel verkeerd zijn."
Bedoelt u dat met SOX de overheid zich te veel bemoeit met u?
"Het zou eigenlijk niet nodig moeten zijn dat de overheid bij dit soort zaken betrokken is. Toch heeft die gemeend dat het toezicht van aandeelhouders, werknemers en andere stakeholders niet voldoende heeft plaatsgevonden. Dus is de overheid, vooral wat SOX betreft, er nogal fors ingestapt. SOX heeft een nogal Amerikaanse aanpak, heel directief. Tabaksblat houdt zich toch meer bezig met echte corporate governance, minder met de interne controles, terwijl SOX toch meer de interne controle op de eerste plaats zet. En dan op de Amerikaanse manier volgens de Amerikaanse cultuur, checking the box, het is vaak form over substance en terwijl toch de Europese Tabaksblat meer substance over form is. Het is de Amerikaanse cultuur van ondernemen tegenover de Europese. Dat maakt SOX misschien voor Europese organisaties nog ingewikkelder dan het voor Amerikaanse organisaties al is. Mijn ervaring met Amerikaanse organisaties is dat ze nogal centralistisch zijn. Centraal geleid en als er een missive vanuit de top naar beneden komt, dan zegt iedereen: dat gaan we zo doen. In de Europese cultuur is toch meer zelfstandigheid van organisaties en ook meer eigen interpretatie. Dat is aan de ene kant de kracht van Europese organisaties, maar het zou ook wel eens een zwakker punt kunnen zijn, het proces van mensen iedere keer overtuigen. Maar SOX is een feit. We leven ermee. We werken er geweldig hard aan."
SOX is heel directief, de Europese wetgeving minder. Verwacht u dat het directieve karakter van SOX wat zal afnemen?
"Ik verwacht zeker dat er van de kant van Europa druk wordt uitgeoefend. En met recht. Ik weet niet of de Amerikanen bereid zijn concessies te doen. In grote lijnen zullen de verschillen blijven bestaan.
Jan van den Belt (58)
Opleiding: HBS-B, economie Erasmus Universiteit Rotterdam, Chartered Institute of Management Accountants
Loopbaan: sinds 2000 CFO bij Océ; Shell, Latijns-Amerika, Verenigd Koninkrijk en Rotterdam (10 jaar); Unilever Nederland en Verenigd Koninkrijk (7 jaar)
Nevenfuncties: geen
Hobby's: joggen, reizen, kleinkinderen
Van den Belt is getrouwd
Lees ook:
> Océ in de lift
> Bijna winstverdubbeling voor Océ
> Océ verkoopt Duitse ODT
> Minder omzet, meer winst voor Océ