Effectuering van Sarbanes-Oxley Act sectie 302 en 404 bij TPG Post

Effectuering van Sarbanes-Oxley Act sectie 302 en 404 bij TPG Post

-verklaringen voor de vertaling naar het Business Balie proces-

Michiel Liefting

Effectuering van Sarbanes-Oxley Act sectie 302 en 404 bij TPG Post

-verklaringen voor de vertaling naar het Business Balie proces-

Afstudeerrapport M. Liefting (1272942) Rijks

Groningen

Faculteit Bedrijfskunde

Afstudeerrichting Accountancy

Afstudeerbegeleiding

Eerste begeleider: Drs. A. Smeenge RA

Mede-beoordelaar: Mr. drs. H.A. Ritsema

Groningen, april 2006

Inhoudsopgave

Voorwoord 4

Samenvatting 5

Inleiding 8

Hoofdstuk 1 Onderzoeksopzet 9

§ 1.1 Inleiding 9

§ 1.2 Aanleiding 9

§ 1.3 Probleemstelling 10

§ 1.3.1 Doelstelling 10

§ 1.3.2 Vraagstelling 10

§ 1.3.3 Randvoorwaarden 11

§ 1.4 Plan van aanpak 12

§ 1.4.1 Soort onderzoek 12

§ 1.4.2 Theoretisch kader 13

Hoofdstuk 2 De aanleiding van de Sarbanes-Oxley wetgeving

van 2002 en de inhoud van SOx 302 en 404 15

§ 2.1 Inleiding 15

§ 2.2 De aanleiding voor de SOx wetgeving 15

§ 2.3 Algemene inhoud en uitwerking van de SOx wetgeving 17

§ 2.4 SOx 302 en 404 20

§ 2.4.1 Inhoud van sectie 302 21

§ 2.4.2 Specifieke maatregelen met betrekking tot sectie 302 22

§ 2.4.3 Inhoud van sectie 404 23

§ 2.4.4 Specifieke maatregelen met betrekking tot sectie 404 24

§ 2.5 Tot slot 26

Hoofdstuk 3 Het logistieke proces van TPG Post 27

§ 3.1 Inleiding 27

§ 3.2 Het bedrijfsproces BUBA 27

§ 3.3 De verantwoordelijkheden van de vestigingsmanager 31

§ 3.4 Tot slot 33

Hoofdstuk 4 Verklaringen omtrent de effectuering van SOx 302 en 404 binnen het logistieke proces 34

§ 4.1 Inleiding 34

§ 4.2 Ingevoerde SOx-maatregelen 34

§ 4.3 Verklaringen voor de ingevoerde SOx-maatregelen 37

§ 4.4 Het COSO raamwerk 38

§ 4.4.1 Onderdelen van het COSO raamwerk 39

§ 4.4.2 Het BUBA-proces volgens het COSO raamwerk 40

§ 4.5 Tot slot 43

Hoofdstuk 5 Conclusies en aanbevelingen 44

§ 5.1 Inleiding 44

§ 5.2 Conclusies van het onderzoek 44

§ 5.3 Enkele aanbevelingen naar aanleiding van de conclusies 46

Literatuurlijst 47

Bijlage I Integrale tekst SOx 302 en SOx 404

Bijlage II Interviewschema de heer J. Laan Bijlage III Interviewschema de heer T. Tijhuis

Bijlage IV Management Verklaring Sarbanes-Oxley

Bijlage V Control Assessment Clarity

Bijlage VI BUBA-procedure 6.1.2

Bijlage VII BUBA-procedure 6.1.7

Bijlage VIII BUBA-procedure 6.1.8

Bijlage IX BUBA-procedure 6.1.9

Voorwoord

Voor u ligt het literatuuronderzoek dat in het kader van mijn afstudeerrapport is uitgevoerd. Dit rapport vormt het afsluitende onderdeel van mijn studie Bedrijfskunde, afstudeerrichting Accountancy aan de Rijks

Groningen. Het onderwerp dat centraal staat in dit rapport is de invoering van de Sarbanes-Oxley (SOx) wetgeving van 2002 bij TPG Post. Concreet zal er worden gezocht naar verklaringen voor de effectuering van sectie 302 en 404 van deze wet bij het bedrijfsproces Business Balie. Ook zal de invloed op de verantwoordelijkheden van de vestigingsmanager belicht worden.

Voor het onderzoek, de uitwerking en de afronding van mijn rapport ben ik verschillende mensen dank verschuldigd. Binnen TPG Post waren het de heer J.

Laan, als contactpersoon vanuit het bedrijf en voornaamste aanspreekpunt, en de heer T. Tijhuis die mij bij het vormen van dit rapport begeleid hebben, waarvoor dank. De verkregen informatie, beeldvorming en tips zijn bijzonder bruikbaar gebleken.

Verder gaat mijn dank uit naar de afstudeerbegeleiding vanuit de Rijks

Groningen, de heer A. Smeenge en de heer H.A. Ritsema. Het was een ontspannen en functionele samenwerking.

Tenslotte wil ik mijn familie en vrienden bedanken die, in welke vorm dan ook, hebben bijgedragen aan de vorming van dit rapport.

Michiel Liefting

Groningen, april 2006

Samenvatting

Het doel van de Sarbanes-Oxley Act is het herstel van het vertrouwen van belanghebbenden in het bestuur van ondernemingen en de kwaliteit van de financiële verslaggeving.

Naar aanleiding van sectie 302 moet het management de verantwoordelijkheid aanvaarden voor de financiële rapportage. Sectie 302 bevat maatregelen die ervoor zorgen dat daadwerkelijk kan worden gecontroleerd of het management die verantwoordelijkheid heeft aanvaard.

Sectie 404 behandelt de beoordeling van het management met betrekking tot de effectiviteit van de internal control. Het management is volgens de sectie verplicht een systeem van adequate internal controls en procedures voor de financiële rapportage op te zetten en te onderhouden. Regelmatig moet de effectiviteit van de internal control door het management worden geëvalueerd en beoordeeld.

In dit rapport zal worden onderzocht welke invloed de invoering van sectie 302 en 404 van de SOx wetgeving heeft op een deel van het logistieke proces van TPG Post.

Door middel van interviews met verschillende personen bij TPG Post wordt de praktijksituatie geschetst en de invloed die SOx daarop heeft. Het Business Balie (BUBA) proces kan globaal worden getypeerd als ‘de kassa van het bedrijf’.

Belangrijkste risico bij dit proces is dat er onbetaalde of onjuist afgerekende post in het postverwerkingsproces terechtkomt. Dit risico kan verder worden onderverdeeld in de routing van het proces, het opleidingsniveau van de medewerkers, de werking van het informatiesysteem en een juiste en volledige betaling. De SOx wetgeving heeft ervoor gezorgd dat vanuit de risico’s naar het proces wordt gekeken. Vanwege de ISO-certificering van TPG Post moeten er zogenaamde procesbeheersingstoetsen (PBT’s) worden uitgevoerd. Hierdoor functioneert de SOx wetgeving niet als compleet nieuwe werkwijze, maar meer als aanscherping van de bestaande. Volgens de vestigingsmanager worden alleen de verantwoordelijkheden scherper neergezet.

Dit komt tot uiting in de Management Verklaring (MV), die sinds de invoering van SOx wordt ingevuld. Ondanks dat blijft het verantwoordelijkheidsgevoel voor het BUBA-proces ver achter bij het kernproces van TPG, post.

De ingevoerde SOx-maatregelen zijn te vinden in het Control Assessment (CA). Dit

formulier bevat de vertaling van de algemene SOx-maatregelen in concrete

maatregelen voor het BUBA-proces. De vestigingsmanager is zelf verantwoordelijk voor het invullen van deze evaluatie. Door te verklaren dat het proces

is en de risico’s afdoende worden beheerst, voldoet het proces aan de SOx eisen. Een beoordeling of de organisatie in zijn geheel voldoet aan SOx kan alleen plaatsvinden op basis van informatie afkomstig uit alle managementlagen van de organisatie. Dit is en blijft dus een exclusieve taak voor de CEO en CFO.

Het CA is, samen met de MV, het eindproduct van het projectteam, dat de landelijke invoering van SOx onderzocht en waarbij ook pilots werden uitgevoerd. Er kan gesteld worden dat de maatregelen die in werking worden gezet bij de evaluatie van het proces voldoen – tot zich een onvolkomenheid voordoet.

In het kader van het COSO raamwerk, dat de interne beheersing van processen centraal stelt, zal ook naar de werking van het BUBA-proces worden gekeken. De onderdelen van COSO bestaan uit het beheersingskader, een risicobeoordeling, interne beheersingsmaatregelen, informatie en communicatie, en bewaking. Enkele opvallende punten zullen hieronder kort uiteen worden gezet.

Bij ‘beheersingskader’ wordt het belang van het toe-eigenen van het proces benadrukt. Verder dient de managementaandacht niet te verslappen; het besef SOx proof te blijven voor het proces wordt gestimuleerd door het invullen van de MV.

Wat betreft de ‘risicobeoordeling’ kan nog worden aangevuld dat er niet alleen rekening moet worden gehouden met interne risico’s, maar ook met een extern risico: de gebruikers keuren de jaarrekening af, waarvoor het BUBA-proces deels verantwoordelijk zou kunnen zijn.

Bij ‘informatie en communicatie’ wordt gesproken over PBT’s en niet over het CA.

Het voordeel van het CA is, dat alle stappen die nodig zijn om tot een goed oordeel te komen over de effectiviteit van het proces in één document zwart-op-wit zijn vastgelegd.

Tenslotte zullen de conclusies van het onderzoek aan de orde komen. Het gaat om

de vraag: van welke kwaliteit is de vertaling van sectie 302 en 404 van SOx die

neergelegd is in het CA? Tot nu toe kan gesteld worden dat op basis van dit

onderzoek het CA een goed middel is om de effectiviteit van het proces te evalueren

en beoordelen. Voor een getrouw beeld zal een grootschaliger onderzoek moeten

worden opgezet en uitgevoerd. Anders dan voorheen is de vestigingsmanager nu

verantwoordelijk voor het invullen van het CA en deels voor de MV (samen met

manager Business Control).

Naar aanleiding van het onderzoek kunnen ook nog enkele aanbevelingen worden gedaan:

- Alle vestigingsmanagers zouden bekend moeten zijn met het CA (krijgt de voorkeur boven de PBT’s).

- Een vergroting van het verantwoordelijkheidsgevoel van de BUBA- medewerkers ter ondervanging van de soms zwakke management- aandacht.

- Het bij vestigingsmanagers stimuleren van het verantwoordelijkheids-

gevoel voor het BUBA-proces naast het kernproces (post) door het belang

van het proces aan te geven.

Inleiding

Als er een lijst zou worden gemaakt van steeds terugkerende, actuele thema’s in de financiële wereld, zouden de boekhoudschandalen hoog genoteerd staan. De afgelopen jaren kwamen deze schandalen vrij regelmatig aan het licht. Enron, Worldcom en Parmalat: de omvang van de fraude loopt in de miljoenen, soms zelfs in de miljarden. Als gevolg hiervan zonk het vertrouwen van de belanghebbenden in het bestuur van ondernemingen en de kwaliteit van de financiële verslaggeving naar een dieptepunt. Er ontstond een dringende behoefte aan structurele veranderingen in de wijze waarop ondernemingen werden gecontroleerd. In de VS is daarom de Sarbanes-Oxley Act of 2002 (SOx wetgeving) in werking getreden, waardoor wordt gestreefd naar herstel dit vertrouwen. Vanwege een beursnotering in de VS gelden de eisen die uit deze SOx wetgeving voortvloeien ook voor TNT N.V. en zal de invloed hiervan direct merkbaar zijn bij haar divisies, bijvoorbeeld de divisie Mail – in Nederland TPG Post.

In dit rapport zullen sectie 302 en 404 van de wet centraal staan en worden verklaringen gezocht voor de effectuering van deze secties bij het Business Balie proces van TPG Post in samenhang met de verantwoordelijkheden van de vestigingsmanager.

In hoofdstuk 1 wordt de onderzoeksopzet, onderverdeeld in de probleemstelling en het plan van aanpak, uitgewerkt en toegelicht.

Hoofdstuk 2 behandelt eerst de aanleiding en de uitwerking van de SOx wetgeving.

Verder zal de inhoud van sectie 302 en 404 van de wet worden belicht en welke specifieke maatregelen uit deze secties kunnen worden afgeleid.

In hoofdstuk 3 zal de vertaalslag naar de praktijk worden gemaakt. Hier wordt namelijk het Business Balie proces beschreven en komen de verantwoordelijkheden van de vestigingsmanager met betrekking tot dit proces aan de orde.

In hoofdstuk 4 worden de ingevoerde SOx-maatregelen beschreven en komen verklaringen hiervoor aan bod. Vervolgens wordt het proces vanuit het COSO raamwerk belicht.

Tenslotte bevat hoofdstuk 5 de conclusies die naar aanleiding van dit onderzoek

kunnen worden getrokken en tevens een antwoord vormen op de vraagstelling die in

hoofdstuk 1 aan de orde is gekomen. Er wordt afgesloten met enkele aanbevelingen

voor TPG Post.

Hoofdstuk 1 Onderzoeksopzet

§ 1.1 Inleiding

In dit eerste hoofdstuk zal de opzet van het onderzoek besproken worden. Er wordt dus een kader aangereikt, waarbinnen het onderzoek wordt gespecificeerd. De daadwerkelijke uitvoering vindt zijn oorsprong ook in deze onderzoeksopzet. Eerst volgt de probleemstelling van het onderzoek, uitgesplitst in een doelstelling, vraagstelling en randvoorwaarden, waarbij de vraagstelling onderverdeeld is in deelvragen. Daarna zal het plan van aanpak aan bod komen. Daarin wordt het soort onderzoek uiteengezet en wordt beschreven in welk theoretisch kader het onderzoek geplaatst is.

§ 1.2 Aanleiding

De afgelopen jaren zijn er regelmatig grote boekhoudschandalen aan het licht gekomen, waarbij de omvang van de fraude in de miljoenen, soms zelfs in de miljarden loopt.

Het gevolg van deze schandalen was dat het vertrouwen van de belanghebbenden in het bestuur van ondernemingen en de kwaliteit van de financiële verslaggeving naar een dieptepunt zonk. Er ontstond een dringende behoefte aan structurele veranderingen in de wijze waarop ondernemingen werden gecontroleerd. In de VS is daarom de Sarbanes-Oxley Act of 2002 in werking getreden, waardoor wordt gestreefd naar herstel dit vertrouwen.

Vanwege een beursnotering in de VS gelden de eisen die uit deze SOx wetgeving voortvloeien ook voor TNT N.V. en zal de invloed hiervan direct merkbaar zijn bij haar divisies, bijvoorbeeld de divisie Mail – in Nederland TPG Post.

Uit deze wet zullen sectie 302 en 404 voor het voetlicht gebracht worden. Deze secties handelen over respectievelijk de vaststelling van de internal control met betrekking tot de verantwoordelijkheid van het management voor de financiële rapportage en de beoordeling van het management met betrekking tot de internal control. De integrale tekst van deze secties is in Bijlage I te vinden.

In dit onderzoeksrapport zullen verklaringen gezocht worden voor de invoering van maatregelen die hun oorsprong vinden in sectie 302 en 404 van de SOx wetgeving.

De focus zal liggen op het Business Balie proces in samenhang met de

verantwoordelijkheden van de vestigingsmanager bij TPG Post.

§ 1.3 Probleemstelling

De probleemstelling bestaat volgens De Leeuw (2000) uit een doelstelling, een vraagstelling en de randvoorwaarden. De vraagstelling zal voor de beantwoording daarvan onderverdeeld worden in deelvragen die in de drie hierna volgende hoofdstukken aan de orde zullen komen.

§ 1.3.1 Doelstelling

De doelstelling van een onderzoek geeft het belang, het nut van het onderzoek en het resultaat wat het onderzoek beoogt te verwerven aan. De doelstelling van dit onderzoek is als volgt:

Het verschaffen van inzicht voor het management van TPG Post in de veranderingen die zich als gevolg van de invoering van de Sarbanes-Oxley wetgeving van 2002, specifiek sectie 302 en 404, hebben voorgedaan voor wat betreft het Business Balie proces in samenhang met de verantwoordelijkheden van de vestigingsmanager en welke verklaringen daarvoor te geven zijn.

§ 1.3.2 Vraagstelling

De vraagstelling is voor een onderzoek van belang, omdat een beantwoording van deze vraag, via de beantwoording van de in deelvragen uitgesplitste vraagstelling, leidt tot de kennis die je met behulp van dit onderzoek wilt verkrijgen. De vraag die in dit onderzoek centraal staat, ziet er als volgt uit:

Welke maatregelen die voortkomen uit sectie 302 en 404 van de Sarbanes-Oxley wetgeving van 2002 (SOx 302 en 404) zijn ingevoerd bij het bedrijfsproces Business Balie (BUBA) in samenhang met de verantwoordelijkheden van de vestigingsmanager bij TPG Post en welke verklaringen zijn hiervoor te geven?

Er zal gekeken worden naar de inhoud van sectie 302 en 404 van de SOx wetgeving

en welke specifieke maatregelen daaruit afgeleid kunnen worden. Daarna zal er een

vertaalslag naar de praktijk worden gemaakt: het BUBA-proces, waar het

voornamelijk draait om de kassafunctie van het bedrijf, en de verantwoordelijkheden

van de vestigingsmanager zullen worden beschreven. Vervolgens zullen er

verklaringen worden gegeven voor de invoering van de SOx-maatregelen bij dit deel

van het logistieke proces van TPG Post.

Deze vraagstelling wordt uiteengerafeld in de volgende deelvragen die in de hierna volgende hoofdstukken aan bod zullen komen:

-

Wat is de aanleiding van de Sarbanes-Oxley wetgeving van 2002?

-

Welke uitwerking heeft de SOx wetgeving op de organisaties die aan deze wetgeving moeten voldoen?

-

Welke inhoud hebben SOx 302 en 404 en welke specifieke maatregelen, die uit deze secties zijn af te leiden, moeten worden ingevoerd?

Deze drie deelvragen komen aan de orde in hoofdstuk 2 ‘De aanleiding van de Sarbanes-Oxley wetgeving van 2002 en de inhoud van SOx 302 en 404’.

-

Hoe ziet de procesvoering van het bedrijfsproces BUBA van TPG Post met betrekking tot de volledigheid van de opbrengsten eruit?

-

Wat zijn de verantwoordelijkheden van de vestigingsmanager met betrekking tot dit bedrijfsproces?

Deze twee deelvragen vinden hun uitwerking in hoofdstuk 3 ‘Het logistieke proces van TPG Post’.

-

Welke maatregelen die af te leiden zijn uit SOx 302 en 404 zijn ingevoerd bij de Business Balies en welke gevolgen heeft dit gehad voor de verantwoordelijkheden van de vestigingsmanager?

-

Welke verklaringen zijn er te geven voor de invoering van de SOx- maatregelen bij het BUBA-proces in samenhang met de verantwoordelijk- heden van de vestigingsmanager?

Deze deelvragen zullen aan bod komen in hoofdstuk 4 ‘Verklaringen omtrent de effectuering van SOx 302 en 404 binnen het logistieke proces’.

§ 1.3.3 Randvoorwaarden

Om een kwalitatief goed onderzoek neer te zetten, moet het eindresultaat bruikbaar zijn (De Leeuw: 2000). De Leeuw omschrijft het zo: bruikbaarheid = relevantie * deugdelijkheid. Daarom zijn de volgende randvoorwaarden van belang voor dit onderzoek:

-

Voor een relevant en deugdelijk eindresultaat moet het onderzoek relevant zijn en op een deugdelijke manier uitgevoerd worden.

-

Het onderzoek beslaat in overeenstemming met de zwaarte die eraan is

toegekend ongeveer drie maanden.

§ 1.4 Plan van aanpak

Het plan van aanpak met betrekking tot het onderzoek bestaat enerzijds uit het soort onderzoek dat zal worden uitgevoerd: dat wil zeggen een empirisch onderzoek, een literatuuronderzoek, dan wel een combinatie van beide. Anderzijds komt het plan van aanpak tot uitdrukking in een theoretisch kader, waarbinnen verschillende methoden en technieken gebruikt zullen worden om de benodigde gegevens voor het onderzoek te bemachtigen.

§ 1.4.1 Soort onderzoek

Het onderzoek wordt uitgevoerd als zijnde een empirisch onderzoek met kenmerken van een literatuuronderzoek. Het uitvoeren van een empirisch onderzoek betekent dat via onderzoek wordt getoetst of een verondersteld verband in de werkelijkheid is terug te vinden. De kenmerken van een literatuuronderzoek die tot uitdrukking komen in dit onderzoek worden teruggevonden in de beschrijving en analyse van de SOx wetgeving die voor de uitvoering van het onderzoek een noodzakelijke basis is.

Deze beschrijving en analyse komt aan de orde in hoofdstuk 2, waar de deelvragen die handelen over de aanleiding en werking van de SOx wetgeving, en de inhoud en specifieke maatregelen van SOx 302 en 404 besproken worden. Vanuit deze kenmerken, die een basis vormt van waaruit verder wordt gewerkt, kan dan verder empirisch onderzoek worden uitgevoerd om te zien in hoeverre de SOx wetgeving zijn effect vindt in een praktijksituatie, in dit geval een deel van het logistieke proces van TPG Post. Dit zal aan de orde komen in hoofdstuk 3 en 4. Hoofdstuk 3 zal de deelvragen bespreken die de procesvoering van het BUBA-proces en de verantwoordelijkheden van de vestigingsmanager centraal stellen. In hoofdstuk 4 zal hier dieper op worden ingegaan door verklaringen te zoeken voor de invoering van SOx (hoofdstuk 2) bij het logistieke proces van TPG Post (hoofdstuk 3). De beantwoording van deze deelvragen leidt tot een antwoord op al de facetten die aan de orde komen in de vraagstelling.

Volgens Baarda en De Goede (2001) kan een onderzoek ook op een andere wijze opgedeeld worden, namelijk in beschrijvend onderzoek, exploratief onderzoek en toetsingsonderzoek. Het doel van dit onderzoek is voor een deel beschrijvend onderzoek (in combinatie met desk research, zie § 1.4.2) en voor een deel exploratief onderzoek (in combinatie met field research, zie § 1.4.2).

Beschrijvend onderzoek houdt in dat het gaat om de zorgvuldige beschrijving van

kenmerken van onderzoekseenheden aan de hand van een vooraf gegeven

systematiek zonder het aandragen van relaties of verklaringen. Hypothesen komen eigenlijk niet aan de orde. Dit beschrijvende deel van het onderzoek zal vooral naar voren komen in de beschrijving van de theorie omtrent SOx, in het bijzonder sectie 302 en 404.

In dit onderzoek is exploratief onderzoek ook relevant. Exploratief onderzoek is vooral gericht op de ontwikkeling van een theorie en/of scherpe formulering van hypothesen. Via dit type onderzoek wil je antwoord krijgen op ‘open’ verschil- en/of samenhangonderzoeksvragen. De werkwijze wordt van tevoren niet precies vastgelegd. Exploratief onderzoek wordt gebruikt om te kijken in hoeverre de theorie die aangereikt wordt vanuit de literatuur direct kan worden geïmplementeerd in bedrijfssituaties en zo niet, welke aanpassingen en aannames moeten worden gemaakt om deze invoering wel succesvol te laten verlopen.

Bovenstaande kan ook in een figuur worden weergeven, om zo het verband van het logistiek proces, SOx 302 en 404, de daarbij behorende maatregelen en de daadwerkelijke effectuering ervan te zien.

Figuur 1: Onderzoeksmodel

§ 1.4.2 Theoretisch kader

Een theoretisch kader dient ervoor om de benodigde gegevens zo aan te wenden dat er voldoende ‘body’ wordt gegeven aan het onderzoek. Deze gegevens die als input dienen, zijn voor een deel afkomstig uit bestudeerde literatuur die verschenen is over de Sarbanes-Oxley wetgeving van 2002 en in het bijzonder sectie 302 en 404.

Logistiek proces TPG Post (in casu BUBA’s in

samenhang met verantwoordelijkheden vestigingsmanager)

Maatregelen die volgens SOx 302 en 404 ingevoerd

moeten worden in dit logistieke proces

SOx-maatregelen die

daadwerkelijk zijn ingevoerd in dit logistieke proces Verklaringen ten

aanzien van deze ‘gap’

Daarnaast zijn verschillende artikelen die van belang zijn voor het gebied van onderzoek (zowel hard-copy als soft-copy) bestudeerd. Deze methode van dataverzameling wordt ook desk research genoemd, vanwege het kenmerkende ‘van huis uit’ verrichten van onderzoek / verzamelen van informatie. Dit komt vooral in hoofdstuk 2 en 4 naar voren. In hoofdstuk 2 wordt een beschrijving en analyse gegeven van de (aanleiding van de) SOx wetgeving, met name SOx 302 en 404, die de basis vormt voor de uitvoering van het onderzoek. Dit als theoretisch fundament dat de lezer in staat stelt zich een beeld te vormen welke uitwerking deze regelgeving heeft op beursgenoteerde bedrijven. In hoofdstuk 4 komt het COSO raamwerk aan de orde. Dit is een geïntegreerd raamwerk van internal control opgezet en uitgewerkt door het Committee of Sponsoring Organizations of the Treadway Commission in 1992. Het COSO raamwerk geeft op het gebied van interne beheersing ten aanzien van de risico’s van de bedrijfsprocessen verschillende aandachtgebieden aan, waaraan geen harde normen kunnen worden ontleend. Eerst zal een beschrijving plaatsvinden van deze aandachtsgebieden waaruit het raamwerk is opgebouwd. Daarna zal de situatie zoals die bij het logistieke proces van TPG Post te vinden is per aandachtsgebied vanuit dit COSO perspectief worden belicht.

Daarnaast zal de volgende methode van informatieverzameling worden gebruikt die

onder field research valt: interviewen. Met deze methode wordt informatie verzameld

die nog niet eerder verzameld is en wordt uitgevoerd ‘buitenshuis’ (Starters

Informatie Centrum, 2005). Enkele personen in de organisatie zullen worden

geïnterviewd. Dit is in de eerste plaats een medewerker die betrokken is geweest bij

de invoering van de SOx wetgeving, die ziet hoe de theorie (al dan niet direct)

aansluit op de praktijk en daarnaast ook een medewerker die dagelijks met deze

regelgeving te maken heeft: kortom interviews met personen uit verschillende lagen

van de organisatie. Zodoende zullen gegevens verkregen worden die een idee geven

van de praktijksituatie en kunnen aan deze gegevens ook enkele ‘lichte’ conclusies

en aanbevelingen verbonden worden. De informatie die met deze interviews

verzameld wordt, komt vooral naar voren in hoofdstuk 3, waar een beschrijving van

de praktijksituatie centraal staat. Ook in hoofdstuk 4 zal deze informatie een plaats

krijgen, met name bij het beschrijven van de ingevoerde maatregelen en de

verklaringen die daarvoor te geven zijn. Een belangrijke opmerking tot slot: voor een

getrouw beeld van de praktijksituatie en daaruit afgeleide conclusies en

aanbevelingen dient diepgaander onderzoek verricht te worden. Dit valt echter

buiten het bereik van dit onderzoek.

Hoofdstuk 2

De aanleiding van de Sarbanes-Oxley wetgeving van 2002 en de inhoud van SOx 302 en 404

§ 2.1 Inleiding

In dit hoofdstuk zal worden stilgestaan bij de oorzaken van de totstandkoming van de Sarbanes-Oxley (SOx) wetgeving. Ook zal er gekeken worden naar welke invloed de SOx wetgeving heeft op de organisaties waar zij op van toepassing is geworden.

Daarnaast wordt ingezoomd op de voor dit onderzoek relevante secties van SOx, te weten sectie 302 en 404. De inhoud van deze secties en welke maatregelen daaruit kunnen worden afgeleid die van belang zijn voor het onderzoeksgebied staan in dit hoofdstuk centraal. De volgende deelvragen zullen in dit hoofdstuk behandeld worden:

-

Wat is de aanleiding van de Sarbanes-Oxley wetgeving van 2002?

-

Welke uitwerking heeft de SOx wetgeving op de organisaties die aan deze wetgeving moeten voldoen?

-

Welke inhoud hebben SOx 302 en 404 en welke specifieke maatregelen, die uit deze secties zijn af te leiden, moeten worden ingevoerd?

Deze deelvragen zullen respectievelijk in paragraaf 2, 3 en 4 aan de orde komen om zodoende een antwoord te krijgen op het eerste deel van de vraagstelling.

§ 2.2 De aanleiding voor de SOx wetgeving

U kent ze wel: Enron, Worldcom, Parmalat. Grote ondernemingen die een aantal jaren geleden ‘over de kop’ zijn gegaan. Een belangrijke overeenkomst tussen deze organisaties: de enorme boekhoudschandalen die aan hun ondergang ten grondslag liggen. De schandalen die bij de eerste twee ondernemingen aan het licht kwamen, vormden de directe aanleiding tot actie. Bij Enron werd door het opboeken van fictieve winsten en het niet afboeken van verliezen een miljoenenfraude veroorzaakt, bij Worldcom liep het zelfs in de miljarden door onkosten als investering te boeken.

Niet alleen het vertrouwen van investeerders, maar dat van alle belanghebbenden

was in meer of mindere mate ernstig geschaad. Het vertrouwen in kapitaalmarkten,

bestuurders van ondernemingen, toezichthouders, accountants en in de overige

schakels van de verslaggevingsketen komt hierdoor op losse schroeven te staan.

Juist deze basis die zo van belang is bij het hele proces van financiële rapportage.

In een poging dit te herstellen en het fundament weer terug te geven aan het vertrouwen, wordt door de senatoren Sarbanes en Oxley een wet ontworpen die dat doel dient, de zogenaamde Sarbanes-Oxley Act van 2002. Dit feit op zichzelf lijkt misschien niet zo bijzonder. Echter bij schandalen die aan het begin van de vorige eeuw aan het licht kwamen, was geen sprake van het direct opstellen en invoeren van nieuwe wet- en regelgeving, die dit soort praktijken in de toekomst zou moeten voorkomen. Er was meer sprake van: ‘herstel alles in de oude staat en ga weer verder’.

Waarom dat na Enron en Worldcom niet het geval is, wordt verklaard door de Securities and Exchange Commission (SEC) commissaris Glassman (2002): ‘wat de meer recente schandalen onderscheidt van die uit het verleden, is dat nu bijna alle marktinstellingen, die bescherming zouden moeten bieden tegen het plegen van fraude op grote schaal, ieder in een bepaalde mate gefaald hebben: bestuurders, toezichthouders, accountants, analisten en ratingbureaus. (…) Misschien nog belangrijker is de reikwijdte van het effect dat deze schandalen hebben gehad op onwetende investeerders. Meer dan 50% van de Amerikaanse huishoudens investeert tegenwoordig, veel meer dan 20 jaar geleden. (…) Deze omstandigheden vragen om een andere benadering dan bij eerdere schandalen. Het is van belang dat de (bestaande) regelgeving aangescherpt wordt, waarbij de nadruk zal vallen op begrippen als aansprakelijkheid, verantwoordelijkheid en preventie’.

Daarom wordt al snel na ‘Enron en Worldcom’ de Sarbanes-Oxley wet op 30 juli 2002 door president Bush ondertekend. Bush karakteriseert deze wet als ‘de meest verregaande hervormingen van de Amerikaanse bedrijfsuitoefening sinds Roosevelt’.

Dat met het in werking treden van deze wet niet automatisch alle schandalen uit de

wereld zijn geholpen, bewijst een recenter voorbeeld, Parmalat. Bij dit Italiaanse

zuivelconcern blijkt eind 2003 dat in voorgaande jaren voor miljarden met de boeken

is gefraudeerd. Hieruit blijkt de actualiteit en relevantie van de thematiek die in de

SOx wetgeving aan de orde komt. In de volgende paragraaf zal verder ingegaan

worden op de algemene inhoud en uitwerking van deze wet.

§ 2.3 Algemene inhoud en uitwerking van de SOx wetgeving

Eerst wordt kort de inhoud van de Sarbanes-Oxley wet uiteengezet en toegelicht.

Daarna zal de uitwerking van deze wet voor bedrijven voor wie zij geldt aan de orde komen.

De SOx wet bestaat uit elf secties en omvat onder andere de volgende onderwerpen:

-

Onafhankelijkheid van de accountant

-

Verantwoordelijkheden van het management

-

Verantwoordelijkheden van het audit committee

-

Vergrote financiële rapportage

-

Bescherming van klokkenluiders

-

Bestrijding en preventie van fraude

Tegelijk met deze wet is de ‘Public Company Accounting Oversight Board’ (PCAOB) in het leven geroepen om (verscherpt) toezicht te houden en controle uit te oefenen op de activiteiten van het accountantsberoep. De PCAOB neemt de nog bestaande zelfregulering van de controlerend accountant over en stelt daarnaast onder andere standaarden vast, houdt toezicht op de naleving ervan en sanctioneert in voorkomende gevallen. De wet stelt namelijk zware straffen in het vooruitzicht in het geval van overtredingen.

Relevant is dat de wet niet alleen voor Amerikaanse beursgenoteerde fondsen en hun wereldwijde dochters geldt, maar ook voor de zogenaamde ‘foreign registrants’, buitenlandse ondernemingen die een notering hebben op een van de Amerikaanse beurzen. Vandaar ook dat TNT N.V. (en haar onderdelen, zoals TPG Post in Nederland) voor de invoering van deze wet in aanmerking komt. Reden hiervoor is het overheidsstreven gelijke eisen te stellen aan op Amerikaanse beurzen genoteerde ondernemingen en zodoende aan alle beleggers de nodige bescherming te bieden.

De vraag blijft echter nog staan wat de daadwerkelijke uitwerking van het moeten voldoen aan en invoeren van de SOx wetgeving nu is. Glassman (2002) omschrijft

‘het nieuwe denken’ als volgt: ‘gegeven de behoefte aan nieuwe regelgeving, is de

vraag wat het overheersende principe ervan moet zijn. De rode draad kan worden

getypeerd als ‘goed’ bestuur, dat ernaar neigt bedrijfsbeslissingen de goede richting

op te sturen.’

Wat is ‘goed’ bestuur en hoe komt dat in wet- en regelgeving tot uiting? Volgens Glassman (2002) is ‘een bestuur verplicht te handelen in het belang van de aandeelhouders en andere belanghebbenden. Zij is als het ware het geweten van de organisatie, dus moet het bestuur ook gewetensvol handelen door het goede te zoeken voor alle betrokkenen. Voldoet een bestuur hier niet aan, dan volgen harde maatregelen (sancties), die ervoor dienen om juist het goede gedrag te stimuleren.’

Hieruit blijken verschillende zaken. Allereerst dat uit deze laatste zin de rules based benadering van de Amerikanen blijkt. Voldoe je niet aan de regels, dan volgen er sancties.

Wat nog meer blijkt, is dat het bestuur de leiding moet nemen in dit soort (nieuwe)

‘projecten’. Zoals gezegd wordt van de leiding verwacht dat ze het bedrijf de goede richting op stuurt. Dit betekent dus dat van de leiding mag worden verwacht dat als zij een nieuwe richting op wil (in dit geval willen voldoen aan de nieuwe wet- en regelgeving van SOx), zij voor 100% voorstander is van de invoering van de nieuwe regelgeving en dit ook dient uit te stralen naar alle overige werknemers. Dat is nodig om bij deze werknemers het gevoel te kweken dat de nieuwe situatie ook daadwerkelijk beter zal zijn dan de huidige situatie. Ontbreekt dit gevoel, dan missen de werknemers ook de motivatie om gezamenlijk, met teamgeest mee te werken om het implementatieproces tot een succes te maken.

Kortom, een sterke commitment van de leiding of het topmanagement is noodzakelijk voor een geslaagde invoering van de nieuwe wet.

Dit komt ook naar voren in een goed voorbeeld van de uitwerking die SOx heeft op grote, beursgenoteerde ondernemingen als ABN AMRO. Verhoog en Wallage (2005) beschrijven de gevolgen die de Amerikaanse wet heeft voor buitenlandse organisaties die hieraan moeten voldoen. Financieel directeur Tom de Swaan vertelt:

‘het is een enorme inspanning geweest. Niet zozeer dat onze interne beheersing niet goed zou functioneren, maar veeleer omdat we in een omgeving zijn gekomen waarin alles in een andere vorm moest worden vastgelegd. (…) Het is dus een zeer arbeidsintensief proces. (…) Het heeft wel een bewustwordingsproces in gang gezet ten aanzien van de verantwoording. Er was een soort automatisme in de processen gelopen.’

Uit het bovenstaande wordt duidelijk dat SOx zich kenmerkt door het vastleggen van

allerlei gegevens met betrekking tot de bedrijfsprocessen en handelingen. Voordat

de wet werd ingevoerd, gebeurde dit waarschijnlijk ook wel in een bepaalde,

misschien iets minder gestructureerde, vorm. Met SOx wordt er een strak, onderling

consistent kader aangeboden, waardoor het zicht en de controle op alle processen en handelingen in de organisatie verbetert. Hierdoor worden de zaken goed op een rij gezet, waardoor men meer bewustwording kweekt.

Toch blijft de omgeving waarin Europese ondernemingen opereren duidelijk een andere dan die van Amerikaanse organisaties. De Swaan: ‘de best practice- omgeving waarin wij opereren, is toch een andere dan de rules based-omgeving van de Amerikanen. Daarom leggen zij bij overtreding van de wet harde sancties op.

Regels overtreden, dan de gevangenis in. Dat past slecht in onze cultuur, al verandert die natuurlijk ook. Wij voelen ons prettiger in een best practice-omgeving.

(…) Of we wat veranderd zouden hebben, als de Amerikanen ons daar niet toe hadden gebracht? Ik denk het wel: je bent altijd aan het ontwikkelen en je kijkt altijd hoe je de controlemechanismen kunt verbeteren. Maar dat is meer een geleidelijke wijziging die permanent optreedt door de stand van de techniek en het denken over verslaggeving.’

Nog een voorbeeld van de omgeving waarin Europa verschilt van die van Amerika.

De Swaan: ‘je kunt niet anders dan constateren dat er veel regels worden ontwikkeld – SOx is een voorbeeld – die wereldwijd een sterke werking hebben, maar eenzijdig zijn en daardoor soms wat imperfect. Er zijn onderdelen in SOx te noemen die gewoonweg niet van toepassing kunnen zijn op niet-Amerikaanse financiële instellingen.’

In de Financial Times van 22 december 2005 wordt in een artikel van Robert Bruce aandacht besteed aan de winners en losers van onder andere Sarbanes-Oxley. Naar aanleiding van dit artikel kunnen enkele algemene opmerkingen gemaakt worden die in het achterhoofd voor een kritische noot (kunnen) zorgen:

-

Regelgevende instanties zijn hun rol opnieuw aan het formuleren. Ze spreken formeel met elkaar en proberen gemeenschappelijke problemen over de hele wereld aan te pakken en op te lossen.

-

Bedrijven hebben behoefte aan een snel advies, maar accountants zijn niet in staat dat te geven.

-

Accountants zien aan de ene kant hun honorarium stijgen, maar hun geloofwaardigheid schiet naar beneden.

-

Bedrijven verliezen het vertrouwen in de accountant.

Wat ook als ‘loser’ van de invoering van Sarbanes-Oxley kan worden aangeduid, is

wat ik noem het ‘window-dressingeffect’.

Een bedrijf kan voor de aandeelhouders en andere belanghebbenden nog zo mooi alle boekhoudkundige zaken op orde (lijken te) hebben, bij grondig onderzoek naar de achterliggende feiten en gebeurtenissen blijkt echter dat het geheel in werkelijkheid niet zo solide is als het voor de buitenwereld lijkt.

Dit beeld kan ook worden vertaald in een situatie waarin SOx wordt ingevoerd. Op papier (van de buitenkant) lijken de regels redelijk gemakkelijk in te voeren en is het beeld dat wordt geschetst nastrevenswaardig, in werkelijkheid komen er echter heel wat meer zaken bij kijken om de invoering tot een succes te maken. Vaker dan van tevoren was gedacht of verwacht.

Een voorbeeld hiervan geeft De Swaan in het artikel van Verhoog en Wallage (2005):

Nu alles in een andere vorm moet worden vastgelegd, hebben we nu in totaal 580 templates gedefinieerd voor interne beheersing in onze organisatie, en zijn bezig om die vanuit een quality assurance-proces te beoordelen. Daarvoor ontstaat een dialoog met de onderdelen van het bedrijf waar de ingevulde templates vandaan komen. We zullen in het vierde kwartaal van dit jaar (2004, ML) klaar zijn met de evaluatie, om dan nog een jaar lang te kunnen droogzwemmen en om vervolgens aan de SOx vereisten te voldoen’.

Uit dit voorbeeld blijkt dus dat het veel tijd vergt om alle regels die uit de wet voortvloeien op een goede manier in te voeren, zodat het daadwerkelijk ook leidt tot een meer transparante financiële verslaggeving. Wat dus voorkomen moet worden is dat het juist gaat leiden tot een kluwen aan regelgeving waar men door de bomen het bos niet meer ziet: dan zou aan het doel (o.a. meer transparante financiële verslaggeving) voorbijgegaan worden.

Nog duidelijker zal de inhoud en werking van SOx naar voren komen als de afzonderlijke secties voor het voetlicht worden gebracht. Voor dit onderzoek zijn sectie 302 en 404 van belang. In de volgende paragraaf komt de inhoud van deze secties aan de orde en de specifieke maatregelen die hieruit zijn af te leiden.

§ 2.4 SOx 302 en 404

Achtereenvolgens komen sectie 302 en 404 aan bod. Sectie 302 handelt over de

verantwoordelijkheden van het management met betrekking tot de financiële

rapportage en in sectie 404 staat een beoordeling van het management met

betrekking tot de internal control centraal. Eerst wordt de inhoud uiteengezet,

daarna worden de maatregelen beschreven die hieruit voortvloeien en die in principe van toepassing zijn voor bedrijven die aan deze nieuwe regelgeving moeten voldoen.

Zoals in hoofdstuk 1 al is aangegeven, is de integrale tekst van beide secties te vinden in Bijlage I.

Alvorens de inhoud van sectie 302 te bespreken, moeten er eerst nog twee begrippen worden verduidelijkt die centraal staan in deze secties, namelijk de

‘disclosure controls en procedures’ en ‘internal control over financial reporting (ICFR)’.

Het eerste begrip is erg breed en raakt zowel de financiële als niet-financiële rapportage. Bij deze ‘disclosure controls en procedures’ ligt de nadruk op het interne beheersingssysteem dat een juiste en tijdige informatieverschaffing moet waarborgen.

Het tweede begrip komt ook in de wet voor en wel in sectie 404 en heeft betrekking op de interne beheersing voor zover die van invloed is op de inhoud van de financiële rapportage van de onderneming. Onder ‘financial reporting’ wordt verstaan, ieder verslag dat een financiële verantwoording inhoudt en dat opgesteld of aangepast moet worden overeenkomstig algemeen aanvaarde verslaggevingstandaarden. Wat internal control over financial reporting betekent, kan het beste duidelijk gemaakt worden aan de hand van De Koning (2004). De Koning stelt dat internal control een proces is dat ervoor moet zorgen dat met een redelijke mate van zekerheid de doelstellingen van de onderneming in brede zin worden gehaald (interne beheersing). ICFR is een onderdeel hiervan, dat zich richt op de betrouwbaarheid van de financiële informatie, noodzakelijk voor aandeelhouders en overige belanghebbenden om te beoordelen of de doelen van de onderneming daadwerkelijk worden behaald en voor het management om hierover verantwoording af te leggen.

Kortom, ICFR is het proces dat zorgdraagt voor een adequate financiële informatiecontrole.

§ 2.4.1 Inhoud van sectie 302

Sectie 302 stelt, zoals hierboven al staat vermeld, de internal control vast met

betrekking tot de verantwoordelijkheid van het management voor de financiële

rapportage. Deze sectie vereist een verklaring van de CEO en de CFO(‘s) met

betrekking tot de jaar- / kwartaalrapportage. De inhoud van deze verklaring

omschrijft KPMG (2003) als volgt: ‘de functionarissen moeten verklaren dat de

inhoud van de (financiële en niet-financiële) rapportages nauwkeurig, compleet en

juist gepresenteerd is en dat zij de verantwoordelijkheid op zich nemen voor onderhoud en evaluatie van de ‘disclosure controls en procedures’ van het bedrijf.

Het rapportagesysteem moet relevante financiële en niet-financiële informatie tijdig en betrouwbaar naar buiten brengen, zodat die niet misleidend is. Het systeem moet niet langer dan 90 dagen geleden door het management zijn beoordeeld op zijn doeltreffendheid. Ook moeten de functionarissen bevestigen dat zij tegenover de onafhankelijke accountants en het audit committee de vereiste disclosures voor wat betreft fraude en voor wat betreft ‘significant defeciencies’ (een meer dan geringe kans op een, niet als onbeduidend aan te merken, fout in de jaarrekening) en

‘material weaknesses’ (een meer dan geringe kans op een materiële fout in de jaarrekening) in de internal control hebben gemaakt. Bovendien moeten de functionarissen aangeven of er zich significante veranderingen in de internal controls hebben voorgedaan of in factoren die deze mogelijkerwijs significant kunnen veranderen (in het rapport dient ook te worden aangegeven welke corrigerende maatregelen zijn getroffen ingeval van ‘significant defeciencies’ en material weaknesses’ in de internal control).’

Hieruit kan geconcludeerd worden dat er alleen een dergelijke verklaring afgegeven kan worden als de functionarissen zeker weten wat de inhoud is van de jaarrekening die ze ter controle voorleggen aan de accountant. Overigens hoeft er geen verplichte accountantsverklaring over de uitspraken van het management in het kader van sectie 302 te worden afgegeven.

§ 2.4.2 Specifieke maatregelen met betrekking tot sectie 302

Er moet met betrekking tot ICFR een aantal stappen worden gezet om tot een 302- verklaring te komen:

-

Beoordeel de opzet van de organisatorische maatregelen die betrekking hebben op de goede werking van ICFR. Specifieke aandacht moet worden besteed aan de geautomatiseerde controlemaatregelen.

-

Bepaal wie de werking van deze maatregelen moet testen en laat deze tests met enige regelmaat en met de vereiste frequentie uitvoeren.

-

Vraag de uitkomsten van de tests op en geef hierover een beoordeling.

De benadering die door SOx wordt vereist, is dat deze stappen door de organisaties

zelf moeten worden uitgevoerd en niet meer mogen behoren tot het domein van de

externe accountant. Voor veel organisaties betekent dit dat zij naast het beschrijven

van de interne controlemaatregelen ook een proces moeten opzetten en mogelijk een systeem moeten aanschaffen waarin zij de uitkomsten van de beoordeling van de opzet en werking van alle interne controlemaatregelen kunnen vastleggen om

‘monitoring’ mogelijk te maken.

Binnen een concernstructuur (zoals het geval is bij TNT N.V.) zullen deze drie stappen, die uiteindelijk leiden tot een oordeel over ICFR, gelaagd plaatsvinden.

Vaak kunnen daarbij ook verschillende activiteiten en verantwoordelijkheidsniveaus worden onderkend.

TNT N.V. geeft op haar site aan welke invulling zij geeft aan de eisen die door de SOx wetgeving wordt gesteld. ‘In antwoord op de Sarbanes-Oxley wet uit de VS en de eis voor een versterking van de corporate governance, heeft het management een zogenaamd ‘Disclosure Committee’ benoemd in 2002. Deze commissie assisteert het management in het verschaffen van volledige, juiste, nauwkeurige, tijdige en begrijpelijke informatie in rapportages die door TNT moeten worden opgesteld in overeenstemming met relevante wet- en regelgeving en vereisten vanuit de effectenbeurs. Daarnaast assisteert de commissie het management bij het waarborgen van de disclosures, zodat zij een nauwkeurig, volledig en juist beeld geven van TNT’s conditie. Tenslotte zorgt de commissie voor onderhoud en ontwikkeling van beleid, procedures en controles.’

Een van de eerste successen van de commissie was de verbetering van de totstandkoming en inhoud van de Letter of Representation. Het verbeterde afsluitingsproces heeft het management van extra zekerheid voorzien, naast datgene dat werd verschaft door het Internal Control Framework, het management review en het controleproces. Dit stelt de commissie in staat tot het afgeven van de verklaringen die sectie 302 van de SOx wetgeving vereist en om te midden van anderen te verklaren dat effectieve ‘disclosure controles en procedures’ aanwezig zijn.

§ 2.4.3 Inhoud van sectie 404

Sectie 404 behandelt ook de internal control, namelijk de beoordeling van het

management hieromtrent. De sectie stelt dat het management ‘verplicht is een

systeem van adequate internal controls en procedures voor de financiële rapportage

op te zetten en te onderhouden.’ De SEC (2003) nam deze sectie over in haar

regelgeving en vereist dat elke jaarrekening een managementrapportage bevat met de volgende elementen:

-

Een mededeling van de verantwoordelijkheid van het management voor het opzetten en onderhouden van adequate internal controls en procedures voor de financiële rapportage van de onderneming.

-

Een mededeling waarin het raamwerk wordt gepresenteerd dat door het management gebruikt wordt bij het evalueren van de effectiviteit van ICFR.

-

Een verklaring van het management aangaande de effectiviteit van ICFR dat betrekking heeft op het einde van het meest recente boekjaar van de onderneming.

-

Een mededeling dat de onafhankelijke accountant van de onderneming een rapport opstelt dat een beoordeling van de verklaring van het management bevat.

ICFR (centraal in SOx 404) wordt door de SEC enger gedefinieerd dan de disclosure controls en procedures (centraal in SOx 302). Deze laatste omvat ook de niet- financiële informatie, terwijl bij ICFR meer nadruk gelegd wordt op het financiële aspect van internal control. Dit is misschien ook niet zo verwonderlijk, gezien de aanleiding van SOx: de boekhoudschandalen. Deze sectie is juist in het leven geroepen met het doel het vergroten van de transparantie van de situatie waarin een onderneming zich met betrekking tot internal control bevindt.

§ 2.4.4 Specifieke maatregelen met betrekking tot sectie 404

Voor wat betreft de specifieke maatregelen die uit sectie 404 te distilleren zijn, kan het volgende worden opgemerkt. Waar het volgens Emanuels (2004) om gaat bij deze sectie is dat ‘het management jaarlijks een uitspraak moet doen over de opzet en de werking van ICFR, die in een verklaring van het management moet worden opgenomen. Extra eis is dat het evaluatieproces van het management voldoende moet zijn om het oordeel te onderbouwen.’

De evaluatie van de werking van ICFR is een complexe en tijdrovende zaak die veel tijd en geld gaat kosten. Een tijdige start van de evaluatie is dus van groot belang.

Deze ICFR-verklaring van het management vereist wel een controle door een

onafhankelijke accountant. Hier gaat het niet alleen om een controle van het

evaluatieproces dat het management heeft uitgevoerd, maar ook dat de accountant

zich zelfstandig een oordeel vormt over de effectiviteit van ICFR.

Dit betekent dus dat SOx hoge eisen stelt aan de totstandkoming en onderbouwing van de mededeling van het management en de documentatie ervan om verificatie door de accountant mogelijk te maken.

Uitgangspunt voor de controle is het evaluatieproces zoals dat door het management heeft plaatsgevonden. Het management moet op grond van de PCAOB-standaard:

-

De verantwoordelijkheid voor de effectiviteit aanvaarden.

-

De evaluatie uitvoeren aan de hand van relevante en bruikbare criteria.

-

De conclusie onderbouwen op basis van voldoende bewijsmateriaal inclusief documentatie.

-

Een schriftelijke uitspraak doen met betrekking tot de effectiviteit van de interne beheersing op basis van de evaluatie.

De documentatie door het management van ICFR moet tenminste de volgende informatie bevatten:

-

Het ontwerp van de interne controlemaatregelen voor zover betrekking hebbend op significante posten van de jaarrekening.

-

De manier waarop de transacties tot stand komen, worden verwerkt, vastgelegd en gerapporteerd.

-

De transactiestromen.

-

De interne controlemaatregelen gericht op het voorkomen of ontdekken van fraude.

-

De interne controlemaatregelen met betrekking tot het afsluitingsproces.

-

Maatregelen ter beveiliging van activa.

-

De uitkomsten van het testwerk en evaluatie van de bevindingen door het management.

Al deze regelgeving is dus ontworpen om met behulp van duidelijk geformuleerde regels (uitvoering van maatregelen en de daaraan verbonden documentatie) fraude en schandalen in de toekomst te kunnen voorkomen. Er bestaat blijkbaar dus een sterke maatschappelijke behoefte aan ondernemingen die kunnen aantonen dat zij hun interne betrouwbaarheidssysteem rondom financiële rapportage (en breder) hebben geëvalueerd en de uitkomsten hiervan openbaar maken.

Wat TNT N.V. aangaat, zij vermeldt op haar site wat deze sectie voor haar te

betekenen heeft: ‘in 2004 initieerde de commissie alle noodzakelijke voorbereidingen

om per 2005 aan de vereiste voorzieningen van internal control van financiële rapportage te voldoen, zoals beschreven staat in sectie 404 van de SOx wetgeving.’

Met deze nogal weinig concrete mededeling kom je niet ver. Het is dus zaak te onderzoeken in hoeverre de bovenstaande eisen uit SOx 404 geïmplementeerd zijn in het bedrijf zelf (in casu TPG Post) en welke belemmeringen zich voordoen bij dat invoeringsproces.

§ 2.5 Tot slot

In dit hoofdstuk stond de aanleiding en inhoud van de SOx wetgeving centraal, met name SOx 302 en 404. Naar aanleiding van diverse boekhoudschandalen als Enron en Worldcom bleek het vertrouwen van belanghebbenden in het bestuur van ondernemingen en de kwaliteit van de financiële verslaggeving ernstig geschaad.

SOx is een van de manieren om te zorgen voor een vertrouwenssprong.

SOx 302 behandelt de verantwoordelijkheden van het management met betrekking tot de financiële rapportage en SOx 404 komt een beoordeling van het management met betrekking tot de internal control aan bod.

De specifieke maatregelen die uit deze secties zijn af te leiden, blijven heel breed in termen van ‘het aanvaarden van de verantwoordelijkheid’ en ‘het meten van de effectiviteit’. Deze algemene formulering hangt samen met het feit dat SOx geldt voor allerlei typen organisaties met sterk uiteenlopende kenmerken.

Hoe deze brede maatregelen concreet gemaakt kunnen worden voor TPG Post komt

in de volgende hoofdstukken aan de orde. In hoofdstuk 3 wordt het logistieke proces

beschreven, waarvoor deze regelgeving (ook) geldt. Hoofdstuk 4 geeft een

beschrijving en verklaring voor de maatregelen die zijn ingevoerd naar aanleiding

van SOx.

Hoofdstuk 3 Het logistieke proces van TPG Post

§ 3.1 Inleiding

De vorige hoofdstukken stonden vooral in het teken van de theoretische aspecten van de SOx wetgeving. In hoofdstuk 1 stond de opzet van het onderzoek centraal:

welke vragen staan centraal en in wat voor een kader worden zij geplaatst. In hoofdstuk 2 werd inhoudelijk op de wetgeving ingegaan: de inhoud van sectie 302 en 404 en de specifieke maatregelen die op basis van verschenen literatuur daaruit te destilleren zijn. Deze maatregelen gelden voor alle bedrijven die aan een beurs in de VS genoteerd staan. Nu zal er één bedrijf uitgelicht worden waarop de SOx wetgeving van toepassing is, TPG Post. Het gaat om de vraag welke concrete invulling wordt gegeven aan de brede SOx eisen, zodat deze hanteerbaar worden voor bijvoorbeeld een bedrijfsproces. In het vervolg van het rapport zal hier verder op worden ingegaan. In dit hoofdstuk komt de beschrijving van het BUBA-proces aan de orde. De deelvragen die hier ter sprake komen, zijn de volgende:

-

Hoe ziet de procesvoering van het bedrijfsproces BUBA van TPG Post met betrekking tot de volledigheid van de opbrengsten eruit?

-

Wat zijn de verantwoordelijkheden van de vestigingsmanager met betrekking tot dit bedrijfsproces?

Uit de bovenstaande deelvragen blijkt dat het voor het onderzoek relevante deel van het logistieke proces van TPG Post bestaat uit enerzijds het bedrijfsproces BUBA en anderzijds de verantwoordelijkheden van de vestigingsmanager. Het logistieke proces op zichzelf is uiteraard veel omvangrijker. In het kader van het onderzoek is het niet mogelijk het gehele logistieke proces als uitgangspunt te nemen, maar slechts enkele onderdelen daarvan (zie hoofdstuk 1). De hierboven beschreven onderdelen van het logistieke proces zullen achtereenvolgens in paragraaf 2 en 3 behandeld worden.

§ 3.2 Het bedrijfsproces BUBA

In een interview met de heer J. Laan, die tot 01/01/2006 de functie van Manager

Business Control in rayon Amersfoort bekleedde, is een aantal dingen voor het

voetlicht gebracht. Van kenmerken van het Business Balie-proces tot de risico’s die

daarmee samenhangen, van beheersing van processen tot de Management Verklaring die in het kader van SOx ondertekend moet worden. De heer Laan maakte onderdeel uit van een team dat de landelijke implementatie onderzocht van de SOx wetgeving. Hierbij ging het om het ontwikkelen van theorie en het maken van een vertaalslag naar de praktijk. Anderzijds was hij als MBC verantwoordelijk voor de pilot met betrekking tot de invoering van SOx die in zijn rayon werd gehouden.

Een tweede interview vond plaats met de heer T. Tijhuis, manager van VBG (voorbereidingsgebied) Nijkerk. Hij bekleedde voor, tijdens en na de invoering van de SOx wetgeving dezelfde functie en met hem is uitvoerig gesproken over zijn taken en verantwoordelijkheden met betrekking tot het BUBA-proces.

Veel informatie aangaande de beschrijving van het BUBA-proces, de verantwoordelijkheden van de vestigingsmanager en ook de effectuering van de SOx wetgeving voor wat betreft het voorgaande die in het volgende hoofdstuk aan de orde zal komen, is ontleend aan deze interviews. Voor een overzicht van de vragen die betrekking hebben op de interviews met de heer Laan en de heer Tijhuis verwijs ik respectievelijk naar Bijlage II en III.

Het BUBA-proces kan eenvoudigweg getypeerd worden als de ‘kassa van het bedrijf’.

Dit geldt met name voor de zakelijke klanten van TPG Post.

Er zijn twee verschillende soorten BUBA’s al naar gelang de grootte te onderscheiden. De eerste variant is de grote BUBA die te vinden is bij de sorteercentra, bijvoorbeeld in Amsterdam. Daar leveren de grote mailinghouses direct hun post aan. De tweede variant is veel kleiner dan de eerste, maar qua procesvoering is er in principe geen verschil bij beide varianten. Bij de kleine BUBA wordt de post door kleinere klanten aangeleverd. Daarnaast wordt ook de post aangeleverd die door TPG Post zelf wordt opgehaald bij de klanten (zgn.

haalklanten). Deze klanten hebben hiervoor een contract bij TPG Post. De procesvoering bij beide soorten BUBA’s is in principe gelijk. In het vervolg wordt uitgegaan van de eerste variant, de grote BUBA.

De kassafunctie behelst het volgende: de post wordt aangeleverd in emballage en arriveert op het sorteercentrum bij de BUBA, het eerste contactmoment voor de post met het bedrijf. Daar wordt de post op een weegschaal gewogen aan de hand van bepaalde parameters. De omzet wordt bijvoorbeeld berekend aan de hand van de volgende formule: totaal gewicht -/- gewicht emballage = gewicht post * afgesproken prijs = omzet. Deze omzet wordt dan ook gefactureerd aan de klant.

Hierbij kan de volledigheid van de opbrengstverantwoording worden gecontroleerd

op basis van – binnen het waardenkringloopproces – te onderkennen rationeel verband tussen opgeofferde en verkregen waarden. In dit geval kan het totaalverband tussen de Omzet en de Debiteuren gelegd worden. Wel moet dan rekening worden gehouden met een bepaalde ‘ruis’, in de vorm van BTW die alleen terug te vinden is bij Debiteuren (Jans, 2000).

Het gewicht aan post wordt in het systeem ingevoerd en kan tegelijk ook worden gezien als totale input voor de productie. Dit zal in de sorteercentra verwerkt en later naar de verschillende vestigingen gedistribueerd worden die vanuit het sorteer- centrum worden bediend.

Tenslotte wordt de post die door de BUBA is verwerkt (fysiek) gescheiden van de post die nog door de BUBA verwerkt moet worden. De routing is zo opgezet dat de post (pakketten en post (bijvoorbeeld 24-uurs / 48-uurs post)) soort bij soort gerangschikt wordt alvorens het in het proces verwerkt kan worden.

Wat centraal staat bij het BUBA-proces is het afrekenen. Er wordt zowel (van tevoren reeds) betaalde en onbetaalde (nog af te rekenen) post aangeleverd. Het is van belang dat er een duidelijk onderscheid wordt gemaakt tussen deze twee soorten post. Het gaat er dus om dat er post is die wel of niet direct in het sorteerproces mag worden verwerkt. Hier komt gelijk het grootste ‘paraplurisico’ naar voren:

(dreigend) omzetverlies door onbetaalde of onjuist afgerekende post in het sorteerproces. Uit dit ‘paraplurisico’ zijn weer verschillende deelrisico’s af te leiden die door middel van interne controlemaatregelen beheerst en teruggebracht dienen te worden tot nihil. Meestal is het terugbrengen van risico’s tot nihil een zeer kostbare aangelegenheid en staat dit niet in verhouding tot het nut wat het brengt.

Daarom brengt men vaak de risico’s terug tot een aanvaardbaar niveau en blijft er een restrisico over.

In het kader van risicobeheersing kan in dit verband ook gesproken worden over het

interne controlerisico (Schilder, 2002). Nu is het niet het bedrijf dat relevante risico’s

van haar processen onderzoekt en probeert te beheersen, maar de accountant. Hij

gaat na hoe groot het interne controlerisico is bij de uitvoering van zijn

controlewerkzaamheden. Hier gaat het om het risico dat het interne beheersings-

systeem materiële onjuistheden niet voorkomt of tijdig aan het licht brengt. De

accountant moet ernaar streven het ontdekkingsrisico (het risico dat de

gegevensgerichte controles materiële onjuistheden in de jaarrekening niet aan het

licht brengen) op een aanvaardbaar laag niveau te houden door een effectief

programma van gegevensgerichte controles te ontwerpen en door de controles

grondig en effectief uit te voeren. Er bestaat altijd een risico dat de accountant tot een onjuiste conclusie komt bij het uitvoeren en evalueren van de resultaten van controleprocedures. Dat risico kent twee componenten, te weten het steekproefrisico (soms ‘restrisico’ genoemd) en het niet-steekproefrisico, dat aanwezig is wanneer andere controleprocedures uitgevoerd worden.

Een eerste risico dat genoemd kan worden is de routing: welke ingekomen post is al wel afgerekend en welke nog niet. Hieruit volgt dat de stromen moeten worden geïdentificeerd. Een vraag die hierbij van belang is: zijn deze stromen (onbetaalde en betaalde post) zo van elkaar gescheiden dat er niet gemakkelijk vermenging van stromen op kan treden, bijvoorbeeld door een fysieke afscheiding?

Een volgend risico is de opleiding van medewerkers. Zij moeten goed weten hoe zij het proces op een deugdelijke wijze moeten uitvoeren, bijvoorbeeld de juiste, onlangs gewijzigde prijs toekennen aan een partij post en niet uitgaan van de nog ongewijzigde prijs die vastgelegd is in het systeem. Daarnaast moet het besef worden aangemoedigd dat de BUBA de enige echte kassafunctie van het bedrijf is.

Hieruit blijkt ook dat een niet goed werkend informatiesysteem of een systeem dat onjuiste klantengegevens bevat een groot risico vormt. Daarom kan qua systeembeheer de eis worden gesteld dat het systeem altijd up-to-date moet zijn.

Tenslotte vormt het betalingsproces van de klant een risico, waarbij het gaat om het factureren van de volledige aanlevering van post tegen een juiste, meest recente prijs. Ook hierbij kan het verband worden gelegd met de controle van de volledigheid van de opbrengstverantwoording (Jans, 2000).

Een praktijkvoorbeeld waarin enkele van de hierboven genoemde risico’s terugkomen, kan gevonden worden bij een winkel: als je bij een winkel langs de kassa naar buiten kunt lopen (routing), een medewerker rekent af voor een bounty in plaats van een gekocht krat bier (opleiding, betaling) of een medewerker rekent een krat bier af aan de hand van de oude prijs, terwijl er zich inmiddels een prijswijziging heeft voorgedaan (opleiding, informatiesystemen en betaling), leidt dit automatisch tot omzetverlies.

Het feit dat er op deze wijze € 30 mln aan omzet wordt verloren, bewijst dat er niet te lichtzinnig over deze risico’s gedacht moet worden.

In de situatie dat een te hoge prijs in rekening wordt gebracht, zal dit leiden tot

ontevreden klanten die erop zullen staan dat een juiste prijs in rekening dient te

worden gebracht. In een erger geval zal dit tot klantenverlies leiden. Temeer daar

TPG Post bekend staat als een bedrijf dat hoge kwaliteit en service verleent, maar daar ook een corresponderende prijs voor vraagt. Ook de verdere liberalisering van de postmarkt geeft de klant de mogelijkheid een keuze te maken tussen verschillende aanbieders. Vaak zijn het aanbieders die niet beschikken over een vergelijkbare infrastructuur en service als die van TPG Post, maar die wel een stuk goedkoper zijn. Zeker bij een niet al te florerende economie speelt het kostenaspect een dominante rol in de keuze van de klant.

Door de invoering van de SOx wetgeving is het kernproces van de BUBA niet veranderd. De manier waarop naar processen wordt gekeken echter wel. De SOx wetgeving stimuleert te kijken naar de risico’s van het proces en bijvoorbeeld niet naar de te volgen procedures. Voor wat betreft de BUBA’s geldt, vanwege de ISO- certificering van TPG Post en een AO die zeer goed op orde is, dat er al veel regelkringen aanwezig zijn. Niet alleen SOx, maar ook ISO toetst of die regelkringen allemaal gesloten zijn door middel van zgn. procesbeheersingstoetsen (PBT’s) die van tijd tot tijd binnen het bedrijf worden uitgevoerd. Vanuit ISO bestaan er dus al uitgebreide werkwijzen en checklists. De uitvoering van de PBT’s bleek soms onvoldoende en leidde niet tot het écht sluiten van de regelkringen. Een voorbeeld is een fysieke scheiding tussen betaalde en onbetaalde post bij de BUBA om hierdoor de omzet beter te borgen.

De invoering van SOx brengt met zich mee dat risico’s als de routing en opleiding van medewerkers net even aangescherpt worden, vanwege het verplichte karakter van de wet, de verklaring die over de beheersing van de processen moet worden afgegeven en de sancties die van toepassing zijn bij het onjuist afgeven van deze verklaring. In hoofdstuk 4 zal aandacht worden besteed aan de invoering van interne controlemaatregelen voor wat betreft het BUBA-proces om de hierboven beschreven risico’s te beheersen en zodoende SOx proof te zijn.

§ 3.3 De verantwoordelijkheden van de vestigingsmanager

De heer Tijhuis vervult de functie van VBG-manager Nijkerk. Binnen een dergelijk voorbereidingsgebied kunnen meerdere locaties, met of zonder manager, vallen.

Vanwege de grootte van sommige vestigingen, is ervoor gekozen daar een aparte

vestigingsmanager aan te stellen. Deze staat in de hiërarchie onder de betreffende

VBG-manager. Een VBG-manager stuurt enerzijds dus rechtstreeks teamcoaches van

de vestigingen aan (bij afwezigheid van een vestigingsmanager) en anderzijds kan

voor bepaalde gebieden binnen de VBG gelden dat een locatiemanager direct onder zijn verantwoordelijkheid valt.

Een eerste kanttekening kan al worden geplaatst bij de verantwoordelijkheden van de vestigingsmanager met betrekking tot het BUBA-proces. Als vestigingsmanager ben je eindverantwoordelijk voor alles wat er op jouw vestiging gebeurt. Enkele specifieke bevoegdheden met betrekking tot het BUBA-proces zijn:

-

Zorgen voor een (fysieke) scheiding tussen reeds betaalde en nog onbetaalde post (in het algemeen: de routing).

-

Zorgen voor een goed functionerend informatiesysteem.

-

Zorgen voor personeel dat bekwaam is in de uitvoering van het BUBA- proces.

In de beleving van de heer Tijhuis is door de invoering van SOx weinig veranderd met betrekking tot zijn verantwoordelijkheid, in het bijzonder met betrekking tot het BUBA-proces. Wat er veranderd is, is dat het vastleggen van de interne verantwoordelijkheid veel scherper neergezet is. Dit komt onder andere door het invullen van de Management Verklaring (zie Bijlage IV). Bij het invullen ervan komen de maatregelen met betrekking tot sectie 302 en 404 van de SOx wetgeving terug.

Het is een vragenlijst die in de organisatie aggregeert tot het niveau van de CEO. In 2005 heeft de heer Laan de verklaring met zijn baas, de rayonmanager, ingevuld. Zij hebben van deze verklaring een doorvertaling gemaakt naar de vestigingsmanager.

Het is voor de vestigingsmanager dus een verklaring die hij eens per kwartaal moet invullen. Daarin staan alleen punten die voor hem relevant zijn met ook nog een enkele vraag die interessant is om gesteld te worden.

Bij invulling van de Management Verklaring valt op dat veel vragen aan de orde komen die ‘bekendheid’ en ‘overtuiging’ eisen van de vestigingsmanager. Bij sommige vragen kun je daar ‘ja’ op antwoorden, bij andere vragen wordt die

‘bekendheid’ of ‘overtuiging’ juist gekweekt door het stellen van deze specifieke vragen aan de manager. Daarnaast is het de eindverantwoordelijkheid die de functie van vestigingsmanager kenmerkt.

Bijvoorbeeld als het gaat over de routing en er acties ondernomen dienen te worden

die voor verandering moeten zorgen, dan is de vestigingsmanager daar

verantwoordelijk voor. Hetzelfde geldt voor de opleiding van medewerkers: zij

moeten volgens de afgesproken procedures werken, functiescheiding juist toepassen