De invloed van Sarbanes-Oxley Act section 404 op de controleaanpak van Bedrijf X
‘benaderd vanuit het accountantscontrolerisico en COSO’
Door E.M. Kamp
De invloed van Sarbanes-Oxley Act section 404 op de controleaanpak van Bedrijf X
‘benaderd vanuit het accountantscontrolerisico en COSO’
Door E.M. Kamp (s1143425)
Afstudeerscriptie Faculteit Bedrijfskunde Rijksuniversiteit Groningen
2004
Begeleiders Universiteit
Eerste begeleider: Drs. A. Smeenge RA Tweede begeleider: Drs. H.A. Ritsema
De auteur is verantwoordelijk voor de inhoud van de afstudeerscriptie.
Het auteursrecht van de afstudeerscriptie berust bij de auteur.
INHOUDSOPGAVE
VOORWOORD... 5
SAMENVATTING... 6
INLEIDING ... 9
1. ONDERZOEKSOPZET ... 11
1.1 Inleiding ...11
1.2 Aanleiding ...11
1.3 Probleemstelling ...12
1.3.1 Doelstelling...12
1.3.2 Vraagstelling...12
1.3.3 Deelvragen...12
1.3.4 Randvoorwaarden ...13
1.4 Afbakening ...14
1.4.1 Onderzoeksmodel ...14
1.4.2 Afbakening onderzoeksrapport...15
1.5 Plan van aanpak ...17
1.6 Theoretisch kader ...17
1.6.1 Control versus controle...17
1.6.2 Audit ...18
1.6.3 Accountantscontrolerisico ...19
1.6.3.1 Begrip accountantscontrolerisico...19
1.6.3.2 Beperkingen accountantscontrolerisico ...20
1.6.3.3 Rol accountantscontrolerisico in het onderzoeksrapport ...21
1.6.4 COSO...21
1.6.4.1 Begrip COSO...21
1.6.4.2 Beperkingen COSO ...23
1.6.4.3 Rol COSO in het onderzoeksrapport ...24
2. SARBANES-OXLEY ACT... 25
2.1 Inleiding ...25
2.2 Sarbanes-Oxley Act...25
2.2.1 Aanleiding ...26
2.2.2 Inhoud ...27
2.3 Sarbanes-Oxley Act; section 404...28
2.3.1 Aanleiding ...28
2.3.2 Inhoud ...29
2.3.3 Verantwoordelijkheid onderneming ...30
2.3.4 Verantwoordelijkheid accountant ...31
2.4 Conclusie...32
3. REGULIERE CONTROLEAANPAK ... 34
3.1 Inleiding ...34
3.2 Algemeen beeld reguliere controleaanpak...34
3.3 Scoping en planning ...35
3.3.1 Risicoanalyse ...35
3.3.2 Inschatting accountantscontrolerisico ...36
3.3.3 Inschatting inherent risico en interne controle risico ... 37
3.4 Testen internal control...39
3.5 Gegevensgerichte controle...41
3.6 Evaluatie controlebevindingen ...42
3.6.1 Evaluatie controlebevindingen ...42
3.6.2 Verantwoordelijkheid accountant internal control statement...43
3.7 Conclusie...44
4. GEÏNTEGREERDE CONTROLEAANPAK... 45
4.1 Inleiding ...45
4.2 Algemeen beeld geïntegreerde controleaanpak ...45
4.3 Scoping en planning ...46
4.3.1 Risicoanalyse ...47
4.3.2 Inschatting accountantscontrolerisico ...47
4.3.3 Inschatting inherent risico en interne controlerisico ... 48
4.4 Testen internal control...49
4.4.1 Internal control inzake financial reporting...49
4.4.2 Jaarrekening...50
4.4.3 Het effect van de tests van internal control inzake financial reporting op de interim werkzaamheden van de jaarrekening...51
4.5 Gegevensgerichte controle...51
4.5.1 Internal control inzake financial reporting...51
4.5.2 Jaarrekening...52
4.6 Evaluatie controlebevindingen ...52
4.6.1 Internal control inzake financial reporting...52
4.6.2 Jaarrekening...53
4.7 Conclusie...53
5. VERANDERINGEN EN MOEILIJKHEDEN IN DE CONTROLEAANPAK NAAR AANLEIDING VAN SARBANES-OXLEY ACT SECTION 404 ... 55
5.1 Inleiding ...55
5.2 Algemeen beeld controleaanpak...55
5.3 Verandering assurance accountant ...56
5.4.1 Risicoanalyse ...57
5.4.2 Inschatting accountantscontrolerisico ...57
5.4.3 Inschatting inherent en interne controlerisico ...58
5.5 Testen internal control...59
5.5.1 Testen internal control ...59
5.5.2 Het effect van de tests van internal control inzake financial reporting op de interim werkzaamheden van de jaarrekening...61
5.6 Gegevensgerichte controle...61
5.7 Evaluatie controlebevindingen ...62
5.8 Conclusie...63
6. INVLOED VAN DE VERANDERINGEN IN DE CONTROLEAANPAK OP HET ACCOUNTANTSCONTROLERISICOMODEL EN COSO... 65
6.1 Inleiding ...65
6.2 Invloed op het accountantscontrolerisicomodel ...65
6.3 Invloed op COSO ...66
6.4 Conclusie...67
7. ONTWIKKELINGEN EUROPA EN NEDERLAND... 68
7.1 Ontwikkelingen Europa...68
7.2 Ontwikkelingen Nederland...68
8. CONCLUSIES EN AANBEVELINGEN ... 70
8.1 Inleiding ...70
8.2 Terugblik op het onderzoek ...70
8.3 Conclusies en aanbevelingen ...71
LITERATUURLIJST ... 75
BIJLAGE ... 758
Bijlage 1 Vragenlijst ... Error! Bookmark not defined.
FIGUREN
FIGUUR 1: ONDERZOEKSMODEL ... 144 FIGUUR 2: ACCOUNTANTSCONTROLERISICOMODEL [SCHILDER E.A., 2002]... 19 FIGUUR 3: COSO-KUBUS ... 233 FIGUUR 4: DE RELATIE BEDRIJFSRISICO’S EN ACCOUNTANTSCONTROLERISICO [NIEUW AMERONGEN, 2002] ... 36 FIGUUR 5: ACCOUNTANTSCONTROLE IN RELATIE TOT INTERNAL CONTROL
[SCHILDER E.A., 2002] ... 400 FIGUUR 6: RELATIE ONTDEKKINGSRISICO MET INSCHATTING INHERENT- EN INTERNE
CONTROLERISIC [RAC BIJLAGE 400]... 411
FIGUUR 7: VERSCHIL REGULIERE CONTROLEAANPAK MET GEÏNTEGREERDE CONTROLEAANPAK GEZIEN VANUIT HET ACCOUNTANTSCONTROLERISICOMODEL EN COSO... 74
Voorwoord
Voor u ligt een afstudeeronderzoek dat is geschreven bij Bedrijf X. Deze afstudeerscriptie vormt het afsluitende onderdeel van de afstudeerrichting Accountancy van mijn studie Bedrijfskunde aan de Rijksuniversiteit Groningen. Deze scriptie behandelt de invloed van de Sarbanes-Oxley Act section 404 op de controleaanpak van Bedrijf X, waarbij de invloed op COSO en het accountantscontrolerisico ter sprake komt.
Voor de invulling en afronding van mijn scriptie ben ik een aantal mensen dank verschuldigd.
Allereerst wil ik mijn dank uitspreken aan mijn afstudeerbegeleider binnen Bedrijf X. Zijn deskundige raad die hij mij heeft gegeven over de ontwikkelingen van de Sarbanes-Oxley Act binnen Bedrijf X hebben mij enorm geholpen bij het schrijven van deze scriptie. Mijn dank gaat mede uit naar mijn afstudeerbegeleiders van de Rijksuniversiteit Groningen, de heer A. Smeenge en de heer H.A.
Ritsema. Ik heb de samenwerking als erg prettig ervaren.
Tenslotte wil ik alle mensen bij Bedrijf X, familie en vrienden bedanken die mij tijdens het schrijven van mijn scriptie op verschillende manieren bijgestaan en geholpen hebben.
Esther Kamp Amsterdam, 2004
Samenvatting
De Sarbanes-Oxley Act is van kracht geworden om het vertrouwen van beleggers in het bestuur van ondernemingen en in de kwaliteit van financiële informatie te herstellen. De wet geeft gedetailleerde regels om uiteindelijk tot meer disclosure en betere kwaliteit van financiële informatie te komen.
Investeerders kunnen meer vertrouwen hebben in de jaarrekening wanneer een onderneming laat zien dat zij over een adequate internal control beschikt. SOX 404, die aansluit op SOX 302, vereist een publiekelijk verslag van de effectiviteit van het gehanteerde stelsel van internal control van alle ondernemingen die geregistreerd zijn bij de SEC.
De interpretaties en uitwerking van SOX 404 voor de accountant is door de PCAOB en SEC ingevuld in de Audit Standard No. 2, ‘’An Audit of internal control over financial reporting performed in conjunction with an audit of financial statements’’ (de standaard). De standaard bevat strikte regels die door de accountant in acht moeten worden genomen bij een audit van een public company.
De methodologie van de Bedrijf X audit is niet veranderd door SOX 404; alleen de bestaande audit (reguliere controleaanpak) is uitgebreid met maatregelen om te voldoen aan de eisen van de wetgeving waaruit de geïntegreerde controleaanpak is ontstaan.
De kern van de Bedrijf X audit is een uitvoerige risicoanalyse gericht op mogelijke fouten in de jaarrekening die een zodanige invloed hebben dat ze de lezer van de jaarrekening een verkeerd beeld geven. De risicoanalyses van het management en het op de risico’s afgestemde systeem van internal control worden getoetst en vertaald naar de risico’s voor de jaarrekening en de daarmee samenhangende werkzaamheden voor de accountant.
In de reguliere controleaanpak onderzoekt de accountant de interne controle in het kader van de jaarrekeningcontrole teneinde de aard en reikwijdte van de overige werkzaamheden vast te stellen (de keuze tussen een effectieve mix tussen een primair systeemgerichte dan wel gegevensgerichte aanpak) die nodig zijn om te komen tot een hoge mate van zekerheid dat de jaarrekening een getrouw beeld geeft (aanvaardbaar laag accountantscontrolerisico).
Daar waar de accountant schat dat hij kan steunen op de internal control zal hij top down toetsen of de internal control hem zodanige zekerheid geeft, dat hij zijn aanvullende werkzaamheden voornamelijk kan richten op de risico’s die niet door de internal control worden ondervangen.
De accountant geeft geen zelfstandig oordeel over ‘de effectiviteit van de internal control’ maar een oordeel over de getrouwheid van het internal control statement van het management, over de verantwoording. Het gaat er om dat de accountant ‘assurance’ geeft bij een verantwoording en niet bij het proces of systeem zelf.
Naar aanleiding van SOX 404 moet de accountant een internal control statement geven. De accountant moet naar aanleiding van SOX 404 naast de beoordeling van de jaarrekening een beoordeling geven van de internal control inzake financial reporting. Hierbij moet de accountant ook beoordelen of het management de procedures en werkzaamheden om de effectiviteit van de internal
control vast te stellen juist en volledig heeft uitgevoerd en de procedures en werkzaamheden voldoende zijn gedocumenteerd. COSO is een door de PCAOB goedgekeurd raamwerk om de internal control in kaart te brengen.
Doordat de accountant een opinie moet geven van de beoordeling afkomstig van het management is de accountant meer afhankelijk van het werk dat het management afgeeft en zal er meer overleg en discussie met het management plaatsvinden.
Tevens neemt de assurance die de accountant afgeeft toe. Doordat de accountant meer assurance afgeeft, neemt het risico dat de accountant een onjuiste verklaring geeft (accountantscontrolerisico) toe.
De accountant dient in de scopingfase naar aanleiding van de wetgeving de opzet van de effectiviteit van de internal control afkomstig van het management te beoordelen naast het uitvoeren van de eigen scope. De problemen die de klant heeft waar de accountant tegen aan loopt, zijn het missen van gedetailleerde omschrijvingen van de controls die het management moet maken van wie doet wat, waar, wanneer en waarom. De accountant mag hierbij slechts zeggen wat er niet goed is vanwege zijn onafhankelijkheid.
De bepaling van de controlestrategie gebeurt binnen de geïntegreerde controleaanpak uitgebreider en gedetailleerder op consolidatieniveau. Bij de fullscoping van de geconsolideerde jaarrekening worden de significante jaarrekeningposten en entiteiten op basis van de geconsolideerde jaarrekening bepaald die de richtlijnen (specified procedures) vormen voor de onderliggende entiteiten. De specified procedures zijn hierdoor veel gedetailleerder.
In de reguliere controleaanpak moet de accountant inzicht verkrijgen in het ontwerp van de controls om de aard, timing en diepgang van de gegevensgerichte tests te bepalen. Binnen de geïntegreerde controleaanpak moet de accountant inzicht in de internal control verkrijgen, om naast het bepalen van de gegevensgerichte controlewerkzaamheden, voldoende bewijs te verkrijgen over het ontwerp en de operationele effectiviteit van de keycontrols over alle relevante jaarrekeningposten om een opinie af te kunnen geven over de effectiviteit van de internal control (internal control statement).
Wanneer een key risk of proces wijzigt of verbetert zal er nog steeds moeten worden voldaan aan de minimumperiode dat een control moet werken. Dit tijdsbestek kan erg krap zijn om te beoordelen of de controls voldoende tijd hebben gefunctioneerd om als effectief te kunnen worden beschouwd en maakt het plannen van de controle lastig.
Doordat er binnen de geïntegreerde controleaanpak een internal control statement moet worden afgegeven is er een toename van het aantal processen met bijbehorende keycontrols die gecontroleerd moeten worden.
De tests bij de geïntegreerde controleaanpak worden breder en dieper door de eisen die de standaard stelt. Breder in de zin van meer locaties en processen, waarbij alle COSO-elementen moeten worden getest. Dieper in de manier waarop je test, wat je test en wat de omvang van de tests is.
Doordat de tests breder en dieper worden en de beoordeling van de internal control afkomstig van het management beoordeeld moet worden, neemt het testen van de internal control meer tijd in beslag.
De bevindingen van beide opinies beïnvloeden elkaar waarbij de verbanden tussen de bevindingen dienen te worden gelegd. Voor elke deficiëntie, die is opgenomen in de summary of unadjusted differences (in het vervolg afgerond als SUD), dient de betrokkenheid met de internal control te worden weergegeven. De deficiënties in de internal control inzake financial reporting, de Summary of Aggregated Deficiencies (in het vervolg afgerond als SAD), dienen te worden geëvalueerd op jaarrekening niveau.
Het is lastig om de significantie van de internal control deficiënties te bepalen, omdat deze niet kwantitatief zijn.
De accountant moet alle bewijzen die de opinies ondersteunen documenteren waaraan de standaard expliciete eisen stelt. Dit brengt met zich mee dat er veel meer gedocumenteerd moet worden.
SOX 404 beïnvloedt het accountantscontrolerisico, het inherente risico, het interne controlerisico en het ontdekkingsrisico.
COSO is een door de PCAOB goedgekeurd raamwerk om de internal control in kaart te brengen. De elementen van COSO: control environment, risk assessment, control activities, risk assessment en mointoring worden binnen de geïntegreerde controleaanpak explicieter behandeld, omdat alle elementen dienen te worden beoordeeld en getest.
Inleiding
Wanneer is een jaarrekening betrouwbaar? Betrouwbaar wordt in de dikke Van Dale omschreven als
‘’te vertrouwen, zodat men zich erop kan verlaten’’. Dit betekent dat alle belanghebbenden zich zouden moeten kunnen verlaten op de jaarrekening van een onderneming om een betrouwbaar beeld te krijgen van een onderneming.
Door de grote beursschandalen zoals Enron, Worldcom en Parmalat is het beeld bij de belanghebbenden, zoals aandeelhouders en banken dat een jaarrekening betrouwbaar is in duigen gevallen.
Ook het vertrouwen in het werk van accountantskantoren met betrekking tot het afgeven van een goedkeurende verklaring is ernstig geschaad door de boekhoudschandalen.
Als reactie op deze negatieve ontwikkelingen is op 30 juli 2002 de Sarbanes-Oxley Act of 2002 in de Verenigde Staten (in het vervolg afgerond als VS) in werking getreden om het vertrouwen van beleggers in het bestuur van ondernemingen en in de kwaliteit van financiële informatie te herstellen.
De Sarbanes-Oxley Act is van grote invloed op het corporate governance-beleid van ondernemingen, de verantwoordelijkheid van bestuurders, de interne controle, de financiële verslaggeving en de functie van de accountant, zowel in de VS als daarbuiten.
Section 404 van de Sarbanes-Oxley Act (in het vervolg afgerond als SOX 404), die in totaal slechts 168 woorden telt, heeft de meest verstrekkende gevolgen voor ondernemingen. Er worden vele duizenden manuren besteed aan de implementatie van de wetgeving in de onderneming.
SOX 404 sluit aan op section 302 van de Sarbanes-Oxley Act (in het vervolg afgerond als SOX 302) die in augustus 2002 al van kracht is geworden. In SOX 302 moeten de CEO’s en de CFO’s bij elke jaar- en kwartaalrapportage verklaren dat deze een juist beeld geeft van het vermogen en het resultaat van de onderneming. Ze worden daarbij verantwoordelijk gesteld voor het opzetten en in stand houden van de internal control.
De accountant heeft als taak om de eisen van SOX 404 te controleren bij de onderneming, die geïntegreerd met de controle van de jaarrekening moet plaatsvinden. De invloed van de Sarbanes- Oxley Act is ook voelbaar in Nederland. Niet alleen academisch middels een verscherping van de discussie omtrent corporate governance, maar ook praktisch doordat de accountants van 44 Nederlandse bedrijven met een beursnotering aan de Amerikaanse beurs meer verplichtingen krijgen.
Ook de accountants die de dochterondernemingen controleren van Amerikaans beursgenoteerde bedrijven zullen zich moeten voegen naar de regels van de nieuwe wet.
Voor Bedrijf X brengt de vernieuwde verscherpte wetgeving grote veranderingen met zich mee. De wijze waarop een onderneming moet worden gecontroleerd verandert wanneer de Sarbanes-Oxley Act van toepassing is op de gecontroleerde onderneming.
In dit onderzoeksrapport worden de veranderingen in de wijze van de controle naar aanleiding van SOX 404 voor de accountants van Bedrijf X in kaart gebracht, zodat het voor een accountant duidelijkheid schept wat er gaat veranderen wanneer SOX 404 van toepassing is.
Opbouw onderzoeksrapport
In hoofdstuk één wordt de onderzoeksopzet weergegeven waarin de aanleiding, de probleemstelling, de afbakening met het onderzoeksmodel, de aanpak van het onderzoek en het theoretische kader aan de orde komen.
In hoofdstuk twee worden de aanleiding tot en de inhoud van de Sarbanes-Oxley Act besproken waarna er vervolgens specifiek op section 404 wordt ingegaan, het onderdeel van de wetgeving waarop het onderzoek betrekking heeft.
In hoofdstuk drie wordt de reguliere controleaanpak van Bedrijf X besproken, de controleaanpak wanneer de SOX 404 niet van toepassing is op de gecontroleerde. Het hoofdstuk is verdeeld over vier fasen van controle; de scoping en planning, testen internal control, gegevensgerichte controle en de evaluatie van de controlebevindingen.
Daarna wordt in dezelfde structuur als hoofdstuk drie de geïntegreerde controleaanpak van Bedrijf X besproken, de controleaanpak wanneer de Sarbanes-Oxley Act van toepassing is op de gecontroleerde.
In hoofdstuk drie wordt de controleaanpak zonder de wetgeving geschetst en in hoofdstuk vier de controleaanpak met de wetgeving.
In het volgende hoofdstuk vijf zal er een vergelijking worden gemaakt van de situatie zonder de wetgeving en de situatie met de wetgeving. Hierin worden de veranderingen en de moeilijkheden per controlefase naar aanleiding van SOX 404 weergegeven.
De invloed van de veranderingen in de controleaanpak op het accountantscontrolerisico en COSO zullen in hoofdstuk zes worden geanalyseerd.
Vervolgens zal er worden ingegaan op de ontwikkelingen van soortgelijke wetgevingen in Nederland en Europa.
Het laatste hoofdstuk acht bevat de conclusie van het onderzoeksrapport waarbij een antwoord wordt gegeven op de vraagstelling. Verder wordt er een terugblik gegeven op de totstandkoming van het onderzoeksrapport.
Hoofdstuk 1 Onderzoeksopzet
1.1 Inleiding
In dit hoofdstuk wordt de opzet van het onderzoeksrapport weergegeven. In de tweede paragraaf wordt de aanzet van het onderzoek besproken. Vervolgens wordt in de derde paragraaf de probleemstelling met de doelstelling en de vraagstelling met deelvragen besproken. Aan het onderzoek zitten randvoorwaarden die ook in deze paragraaf ter sprake komen. Om het onderzoek visueel te maken is de probleemstelling in een onderzoeksmodel weergegeven in paragraaf vier waarbij de afbakening van het onderzoek wordt weergegeven. In paragraaf vijf wordt de aanpak van het onderzoek besproken.
Tenslotte wordt in de laatste paragraaf het theoretische kader geschetst.
1.2 Aanleiding
Als reactie op de beursschandalen is er op 30 juli 2002 de Sarbanes-Oxley Act of 2002 gekomen in de VS. Deze wetgeving moet worden geïmplementeerd bij ondernemingen met een beursnotering in de VS, maar ook bij de dochtermaatschappijen en filialen van Amerikaans beursgenoteerde bedrijven.
De wetgeving is de grootste verandering binnen de accountants branche van de afgelopen tijd en heeft grote gevolgen voor beursgenoteerde ondernemingen en accountantskantoren. De accountants zullen door de Sarbanes-Oxley Act meer werk krijgen en de grote ondernemingen besteden vele duizenden manuren aan de implementatie van de wetgeving.
De accountants dienen de naleving van de wetgeving bij ondernemingen vast te stellen.
Elk accountantskantoor en betrokken onderneming moeten meegaan met de eisen van de Sarbanes- Oxley Act, want het is een wettelijke verplichting. Het risico van de accountantskantoren is door de wetgeving verhoogd, omdat er meer eisen aan de accountantscontrole worden gesteld en een onafhankelijk orgaan, de PCAOB, het werk van de accountant gaat controleren.
Het bestaansrecht van een accountantskantoor bestaat uit het maatschappelijke vertrouwen in het kantoor. Het is voor de continuïteit van een accountantskantoor van groot belang om niet onterecht een goedkeurende verklaring af te geven en te kunnen voldoen aan de eisen van de Sarbanes-Oxley Act om op die manier het maatschappelijke vertrouwen te behouden.
In Nederland is er nog niet veel ervaring met de wijze van controle die wordt geëist vanuit SOX 404.
In dit onderzoeksrapport waarin de controleaanpak met de Sarbanes-Oxley Act wordt beschreven en vergeleken met de controleaanpak zonder de Sarbanes-Oxley Act zal een bijdrage worden geleverd aan het verder ontwikkelen van de vakkennis over de wetgeving Sarbanes-Oxley.
1.3 Probleemstelling
1.3.1 Doelstelling
In de voorgaande paragraaf, de aanleiding van het onderzoek, is beschreven wat de aanzet van mijn onderzoek is. Uit deze aanleiding is de doelstelling van mijn onderzoeksrapport voortgekomen.
De doelstelling van het onderzoek luidt als volgt:
“Inzicht geven voor accountants van Bedrijf X in de gevolgen van de Sarbanes-Oxley Act section 404 op een audit bij een Nederlandse onderneming met een beursnotering in de VS, zodat er meer duidelijkheid wordt geschapen over de veranderingen in een audit wanneer de Sarbanes-Oxley Act van toepassing is op de gecontroleerde onderneming’’.
1.3.2 Vraagstelling
Uit bovenstaande doelstelling is de volgende vraagstelling af te leiden:
“Wat is de invloed voor accountants van Bedrijf X van de Sarbanes-Oxley Act section 404 op de controleaanpak van een audit van een Nederlandse onderneming met een beursnotering in de VS en welke invloed hebben de veranderingen op het accountantscontrolerisico en COSO?’’.
Er zal een vergelijking worden gemaakt tussen de controleaanpak van een audit waarbij SOX 404 niet van toepassing is op de gecontroleerde onderneming (reguliere controleaanpak) en de controleaanpak van een audit waarbij SOX 404 wel van toepassing is op de gecontroleerde onderneming (geïntegreerde controleaanpak). Hierbij komen de veranderingen en moeilijkheden naar aanleiding van SOX 404 ter sprake. De invloed van de veranderingen in de controleaanpak op het accountantscontrolerisico en COSO zal hierbij worden geanalyseerd.
Wat er wordt verstaan onder accountantscontrolerisico en COSO is beschreven in paragraaf 1.6.3 en 1.6.4.
1.3.3 Deelvragen
De vraagstelling zal worden uitgewerkt aan de hand van de volgende deelvragen:
1. Wat houdt in hoofdlijnen de Sarbanes-Oxley Act en section 404, het voor het onderzoeksrapport relevante onderdeel van de Sarbanes-Oxley Act, in?
• Wat houdt section 404 in en welke eisen stelt ze aan de onderneming?
• Op welke bedrijven is de wet van toepassing?
• Wanneer gaat de wet voor de bedrijven gelden?
2. Welke directe eisen met betrekking tot de audit stelt het Public Company Accounting Oversight Board aan de externe accountant die een audit verricht bij een onderneming die moet voldoen aan de eisen van section 404 van de Sarbanes-Oxley Act?
• In welke mate is de externe accountant verantwoordelijk voor de juistheid en volledigheid van het Interne Controle rapport van de onderneming bij een audit?
3. Hoe ziet de controleaanpak van een audit voor een accountant van Bedrijf X van een Nederlandse onderneming met een beursnotering in de VS eruit wanneer de Sarbanes-Oxley Act section 404 niet van toepassing is?
4. Hoe ziet de controleaanpak van een audit voor een accountant van Bedrijf X van een Nederlandse onderneming met een beursnotering in de VS eruit wanneer de Sarbanes-Oxley Act section 404 van toepassing is?
5. Wat zijn de veranderingen in de controleaanpak van Bedrijf X naar aanleiding van de Sarbanes-Oxley Act section 404 bij een audit van een Nederlandse onderneming met een beursnotering in de VS en welke moeilijkheden vloeien daaruit voort?
6. Wat is de invloed van de veranderingen in de controleaanpak van Bedrijf X naar aanleiding van de Sarbanes-Oxley Act section 404 op het accountantscontrolerisicomodel en COSO?
1.3.4 Randvoorwaarden
De randvoorwaarden voor dit onderzoek zijn:
1. De uitkomsten van het onderzoek dienen wetenschappelijk verantwoord te zijn;
2. Het onderzoek dient te worden uitgevoerd binnen een termijn van zes maanden.
1.4 Afbakening
1.4.1 Onderzoeksmodel
Dit is een grafische weergave van de verbanden die voortkomen uit de vraagstelling.
Geïntegreerde controleaanpak Reguliere controleaanpak
Nederlandse onderneming met beursnotering in de VS
Sarbanes-Oxley Act section 404
Accountants
Controleaanpak
Nederlandse onderneming
met beursnotering in de VS Accountants
Controleaanpak
Invloed en moeilijkheden voor accountants
Accountantscontrolerisico Accountantscontrolerisico
Figuur 1: Onderzoeksmodel
Aan de rechterkant wordt de reguliere controleaanpak zonder SOX 404 geschetst en aan de linkerkant wordt de geïntegreerde controleaanpak geschetst wanneer SOX 404 van toepassing is op de gecontroleerde onderneming. De Sarbanes-Oxley Act heeft invloed op de onderneming en op de accountants van Bedrijf X die een audit bij de onderneming uitvoeren. Om tot een goedkeurende verklaring te komen dient de accountant tot een aanvaardbaar laag accountantscontrolerisico te komen.
De vergelijking tussen de reguliere controleaanpak en de geïntegreerde controleaanpak wordt gemaakt vanuit het oogpunt van het accountantscontrolerisico waaruit de invloed en de moeilijkheden voor de accountants voortkomen.
1.4.2 Afbakening onderzoeksrapport 1) Perspectief:
De gevolgen van SOX 404 worden vanuit het perspectief van de externe accountant bekeken. Er wordt vanuit de accountant gekeken hoe een audit plaatsvindt bij een onderneming waarbij de wetgeving niet van toepassing is en een audit waarbij de wetgeving wel van toepassing is. Hierbij worden de veranderingen met de daaraan gekoppelde moeilijkheden in kaart gebracht en geanalyseerd.
2) Sarbanes-Oxley Act; section 404
De Sarbanes-Oxley Act is een raamwerk met gedetailleerde wetgeving. Het onderzoek beperkt zich tot SOX 404, omdat dit onderdeel de grootste gevolgen heeft voor de controlerende accountant en het onderzoek vanuit het perspectief van de accountant bekeken wordt.
3) Rol accountant:
De externe accountant kan de gecontroleerde in twee opzichten bedienen. Hij kan een adviserende rol dan wel een controlerende rol innemen.
De auditcommissie moet volgens de Sarbanes-Oxley Act vooraf goedkeuring verlenen voor alle werkzaamheden die de controlerende accountantsorganisatie verricht om de onafhankelijkheid van de accountant te bewaken.
De overige dienstverlening van accountants heeft in de publiciteit veel aandacht gekregen, met de nodige misverstanden als gevolg. Soms wordt er ten onrechte de indruk gewekt dat er naast de controle door de accountantsorganisatie vrijwel geen enkele andere dienstverlening meer mogelijk is.
De accountantsorganisatie dient echter bij het verlenen van andere dienstverlening naast de controle het collisiegevaar in acht te nemen. De onafhankelijkheid in de oordeelsvorming kan worden beïnvloed in het geval het adviesonderzoek wordt opgedragen aan de accountant die belast is met de algemene controle van de onderneming. De registeraccountant die pleegt op te treden als openbaar accountant vervult generlei functie die geacht kan worden de onpartijdigheid van zijn oordeel of van het oordeel van degene met wie hij onder gemeenschappelijke naam optreedt, dan wel zijn onafhankelijkheid of de onafhankelijkheid van degene met wie hij onder gemeenschappelijke naam optreedt, in gevaar te brengen [1994, GBR ex artikel 27 lid 1].
In feite betekent de wet vooral een precisering van de al bestaande regels over welke diensten een accountantsorganisatie naast de controle wel en niet aan een cliënt mag verlenen. Uitgangspunt is dat de accountant niet in de positie mag komen dat de uitkomsten van de eigen advisering worden gecontroleerd.
De gebieden die geacht te behoren tot de natuurlijke adviesfunctie, zoals onder meer belastingen, interne controle, corporate finance, actuariële berekeningen en waarderingsmethoden en calculaties ten behoeve van waarderingen, blijft toegestaan. Een nieuwe beperking geldt voor de ‘expert services’, waarbij het voor de controlerende accountant niet is toegestaan om deze dienst te verrichten. Dit zijn
werkzaamheden ten behoeve van rechtszaken, waarbij standpunten worden ingenomen op basis van verklaringen van experts.
In mijn onderzoek zal ik mij beperken tot de controlefunctie die Bedrijf X uitoefent. Het is voor Bedrijf X niet toegestaan om te adviseren en assisteren met de implementatie van de Sarbanes-Oxley Act, omdat ze dan in de positie komen dat de uitkomsten van de eigen advisering worden gecontroleerd. De adviesfunctie van Bedrijf X is beperkt tot de natuurlijke adviesfunctie die voortvloeit uit de controle.
4) Wetgeving US GAAP en NL GAAP
Dit onderzoek is gericht op een controle bij een Nederlandse onderneming met een beursnotering in de VS waardoor de externe verslaggeving van de onderneming zal moeten voldoen aan de Amerikaanse wetgeving en aan de wetgeving waar de rechtspersoon gevestigd is. Dit betekent dat de geconsolideerde jaarrekening moet worden opgesteld in overeenstemming met in Nederland algemeen aanvaardbare grondslagen voor financiële verslaggeving (NL GAAP) en in overeenstemming met de Amerikaanse algemeen aanvaardbare grondslagen voor Amerikaanse verslaggeving (US GAAP).
De enkelvoudige jaarrekening van rechtspersonen gevestigd in Nederland moet worden opgesteld in overeenstemming met Nederlands algemeen aanvaardbare grondslagen voor financiële verslaggeving.
Een rechtspersoon gevestigd in Nederland moet voldoen aan artikel 2:391 lid 1 van het Burgerlijk Wetboek.
‘’Het jaarverslag geeft een getrouw beeld omtrent de toestand op de balansdatum en de gang van zaken gedurende het boekjaar van de rechtspersoon en van de groepsmaatschappijen waarvan de financiële gegevens in zijn jaarrekening zijn opgenomen. Het jaarverslag wordt in de Nederlandse taal gesteld, tenzij de Algemene vergadering tot het gebruik van een andere taal heeft besloten’’ [BW 2:391].
De interpretatie van de wetgeving is weergegeven in de Richtlijnen voor de jaarverslaggeving. De richtlijnen zijn zowel bedoeld voor de enkelvoudige als voor de geconsolideerde jaarrekening [NL GAAP 110:110].
In dit onderzoeksrapport wordt er gekeken naar de rechtspersonen die zijn gevestigd in Nederland.
Er kan een onderscheid worden gemaakt tussen een enkelvoudige jaarrekening en een geconsolideerde jaarrekening.
De enkelvoudige jaarrekening is de jaarrekening van een rechtspersoon, waarbij belangen in groepsmaatschappijen, zo deze voorkomen, als activa in de balans zijn verwerkt [NL GAAP 110:109].
Een geconsolideerde jaarrekening is een jaarrekening van een aantal ondernemingen dat als economische eenheid onder gemeenschappelijke leiding optreedt. Tot een groep zullen in het
1.5 Plan van aanpak
De verzamelingmethoden bestaat uit desk research en field research;
• Desk research; literatuur onderzoek
De wetgeving Sarbanes-Oxley Act en in het bijzonder section 404 zijn bestudeerd. Verder is de reguliere controleaanpak en de geïntegreerde controleaanpak van Bedrijf X onderzocht met de bijhorende richtlijnen en wetgeving. Verder zijn diverse artikelen en white papers gerelateerd aan het onderwerp van het onderzoeksrapport bestudeerd.
• Field research; interviewen en observeren
Er zijn een aantal acountants geïnterviewd om de invloed van de wetgeving en de moeilijkheden in de praktijk te achterhalen. Dit heeft plaatsgevonden bij verschillende entiteiten waardoor je de invloed van de wetgeving op verschillende niveaus in kaart kunt brengen.
Tenslotte zijn er ook vragenlijsten afgenomen bij accountants die binnen hun klantenkring met de Sarbanes-Oxley Act te maken hebben om de invloed en de moeilijkheden van de Sarbanes-Oxley Act op een zo breed mogelijke manier te achterhalen.
1.6 Theoretisch kader
De invloed van SOX 404 voor accountants van Bedrijf X bij een audit van een Nederlandse onderneming met een beursnotering in de VS worden benaderd vanuit twee methodieken;
• Accountantscontrolerisico
• COSO
Alvorens verder in te gaan op deze methodieken zullen eerst de begrippen control en controle worden uitgelegd, omdat dit veel voorkomende begrippen in het onderzoeksrapport zijn, waarvan het onderscheid belangrijk is. Ook zal het begrip audit worden uitgewerkt, omdat dit een basisbegrip is in het onderzoeksrapport.
1.6.1 Control versus controle
Beide begrippen komen in dit onderzoeksrapport regelmatig voor en omdat de begrippen internal control en interne controle als afzonderlijke begrippen moeten worden gehandhaafd, worden deze begrippen toegelicht.
Control
‘Control’ is gericht op procesbeheersing met behulp van normen en (prestatie-) indicatoren ten einde de doelstellingen van de onderneming te kunnen verwezenlijken.
Control houdt in feite het onder controle houden – het beheersen – door managers van activiteiten die in de onderneming onder ieders verantwoordelijkheid plaatsvinden [Jans, 2000].
Het begrip internal control zoals gedefinieerd in het COSO-rapport benadert de betekenis van Management control zoals door Simons beschreven. Internal control wordt hier gedefinieerd als: ’the proces, effected by an entity’s board of directors, management and other personel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: ·
• Effectiveness and efficiency of operations
• Reliability of financial reporting
• Compliance with applicable laws and regulations to which the entity is subject’.
Internal control is gericht op het waarborgen van de integriteit, doelmatigheid en doeltreffendheid van de organisatorische activiteiten, waaronder ook de informatieproductie. Internal control is tevens gericht op de bescherming van activa van de onderneming tegen ongeoorloofde handelingen [Dassen, 2002].
De internal control is geen statisch maar een dynamisch begrip. Het is een samenstel van activiteiten dat doordringt tot en is verknoopt met de activiteiten van een bedrijf [Jans, 2000].
Controle
Aan het begrip ‘controle’ zonder meer kunnen verschillende betekenissen worden gegeven. Globaal komt deze term voor in de betekenisvelden van ‘toetsing’ en ‘beheersing’. Onder toetsen wordt verstaan, het vergelijken van een feitelijke situatie met een gegeven norm; de vergelijking van de ‘ist- positie’ met de ‘soll-positie’. Bij het gebruik van het Engelse woord control is de betekenis van beheersing primair. Control in de zin van beheersing omvat ook de beheersing van de correctieve actie, is gericht op het realiseren van de doelstelling en is daarmee breder dan alleen controle in de zin van toetsing.
Interne controle is een direct gevolg van de delegatie van bevoegdheden en richt zich op de wijze waarop en de mate waarin van deze bevoegdheden gebruik is gemaakt [Jans, 2000].
In dit onderzoeksrapport worden beide begrippen gebruikt waarbij controle als een onderdeel van control wordt gezien.
1.6.2 Audit
Het begrip ‘audit’ komt van het Latijnse werkwoord ‘audire’, dat horen betekent. ‘Auditor’ betekent toehoorder. Het was de taak van de auditor om, op grond van zijn kennis van de omstandigheden, te horen en te beoordelen of de boeren die mondeling verantwoording van hun opbrengsten kwamen afleggen aan de rechthebbenden, een verantwoording gaven die in overeenstemming met de werkelijkheid en de gestelde regels was.
Audit heeft altijd, in mindere of meerdere mate, al dan niet geformaliseerd, een plaats gehad in het kader van het afleggen van verantwoordingen.
De American Accounting Association (1973) definieert ‘auditing’ als volgt:
‘Auditing is a systematic process of objectively obtaining and evaluating evidence regarding assertions about economic actions and events to ascertain the degree of correspondence between those assertions and established criteria and communicating the results to interested users.’
Audit wordt veelal behandeld in een specifieke context, zoals de audit van financiële verslaggeving, operational audit of kwaliteitsaudit. Wat er aan algemene theorie aangaande auditing is, is vaak duidelijk te herleiden tot een bepaald audit-object dat centraal staat in de beroepsuitoefening en/of theorievorming bij de betreffende auteur.
In dit onderzoeksrapport heeft het woord audit betrekking op audit van de financiële verslaggeving.
1.6.3 Accountantscontrolerisico
1.6.3.1 Begrip accountantscontrolerisico
Het accountantscontrolerisico is het risico dat de accountant een onjuiste accountantsverklaring verstrekt bij een jaarrekening die onjuistheden of omissies van materieel belang bevat. De accountant dient op grond van de vakkundige oordeelsvorming het niveau van het accountantscontrolerisico in te schatten en zijn controlewerkzaamheden zodanig op te zetten en in te richten dat een aanvaardbaar laag niveau van het accountantscontrolerisico is gewaarborgd [RAC 400:3]. De accountant moet controleprocedures ontwerpen en uitvoeren die leiden tot een aanvaardbaar laag risico dat de verklaring over de jaarrekening niet correct is.
Het accountantscontrolerisico is opgebouwd uit de volgende elementen.
= = x x x
Figuur 2: Accountantscontrolerisicomodel [Schilder e.a., 2002]
Dit model is geen rekenmodel, maar een denkmodel dat de accountant ondersteunt bij het programmeren van zijn accountantswerkzaamheden. De accountant moet controleprocedures ontwerpen en uitvoeren die leiden tot een aanvaardbaar laag risico dat de verklaring over de jaarrekening niet correct is.
Accountantscontrolerisico
Inherent Risico
Interne Controle
Risico
Ontdek- kings Risico
• Opsporen en evalueren van inherente risico’s
• Beoordelen van de effectiviteit van internal control maatregelen die het inherente risico op fouten verminderen
• Het ontwerpen en uitvoeren van gegevensgerichte controles van posten en soorten transacties [Schilder e.a., 2002]
Inherent risico
Het inherente risico is de gevoeligheid van een jaarrekeningpost voor een onjuistheid die afzonderlijk of samen met onjuistheden in andere jaarrekeningposten van materieel belang kan zijn, onder de veronderstelling dat daarop geen internal control van toepassing is [RAC 400:4].
Interne controlerisico
Het interne controlerisico (beheersingsrisico) is het risico dat een onjuistheid, die zich in de jaarrekening kan voordoen en die, afzonderlijk of samen met andere onjuistheden in andere jaarrekeningposten van materieel belang kan zijn, niet tijdig wordt voorkomen of ontdekt en hersteld door het stelsel van maatregelen van administratieve organisatie en internal control (in het vervolg afgerond als AO/IC) [RAC 400:5].
De effectiviteit van de internal control is de mate waarin de internal control structuur van de cliënt materiële onjuistheden zal voorkomen of tijdig aan het licht zal brengen die het resultaat zijn van inherente risico’s van fraude en andere fouten.
De accountant dient de effectiviteit van de internal control maatregelen te taxeren als hulpmiddel bij de ontwikkeling van een adequate reactie op de geïdentificeerde inherente risico’s en bij de planning van de aard, omvang en timing van de gegevensgerichte controle [Schilder e.a., 2002].
Ontdekkingsrisico
Het ontdekkingsrisico is het risico dat gegevensgerichte werkzaamheden van de accountant een onjuistheid voorkomt in een jaarrekeningpost en die, afzonderlijk of samen met andere onjuistheden in andere jaarrekeningposten van materieel belang kan zijn, niet ontdekken [RAC 400:6].
Het accountantscontrolerisico wordt van te voren vastgesteld en wordt daarmee een constante. De grens van aanvaardbaar accountantscontrolerisico wordt bepaald door het inschatten van de materialiteit.
1.6.3.2 Beperkingen accountantscontrolerisico
De definitie van accountantscontrolerisico richt zich op het professionele risico waaraan de auditor is blootgesteld, wanneer hij zijn oordeel afgeeft. Zij richt zich niet op het moment van het aangaan van een nieuwe cliëntrelatie of van het aanvaarden van een nieuwe opdracht (engagementrisico).
Ten tweede richt de definitie zich op de afgifte van een ongekwalificeerd positief oordeel, dat wil zeggen een oordeel dat zonder voorbehoud positief is [Mollema, 2003].
1.6.3.3 Rol accountantscontrolerisico in het onderzoeksrapport
SOX 404 heeft invloed op de beoordeling en samenhang van het accountantscontrolerisico en de componenten van het accountantscontrolerisico. De wetgeving stelt eisen aan de manier waarop de accountant de inherente risico’s, interne controlerisico’s en de ontdekkingsrisico’s moet ontwerpen, uitvoeren en beoordelen. Dit heeft invloed op het beoordelen van het accountantscontrolerisico. De invloed van SOX 404 voor accountants van Bedrijf X op een audit van de jaarrekening van een Nederlandse onderneming met een beursnotering in de VS wordt bekeken vanuit het oogpunt van het accountantscontrolerisico, omdat dit model het basisprincipe is van de accountantscontrole. Om tot een goedkeurende verklaring te komen, dient de accountant tot een aanvaardbaar laag accountantscontrolerisico te komen. Het model van accountantscontrolerisico loopt als een rode lijn door het rapport heen waarbij alle componenten van het model ter sprake komen. In dit onderzoeksrapport wordt geanalyseerd wat de invloed van SOX 404 op het beoordelen van de componenten accountantscontrolerisico, inherent risico, interne controlerisico en ontdekkingsrisico is.
De controleaanpak wordt in vier fasen besproken; scoping en planning, testen internal control, gegevensgerichte controle en evaluatie van de controlebevindingen waarbij de componenten van het accountantscontrolerisico behandeld worden. In de scoping en planning komen alle componenten aan de orde. Vervolgens in het testen van internal control komt expliciet het interne controlerisico aan de orde en in de gegevensgerichte controle komt expliciet het ontdekkingsrisico ter sprake. Ten slotte worden alle componenten geëvalueerd en beoordeeld in de evaluatie van de controlebevindingen.
In deze fasen wordt er gekeken wat er veranderd aan de onderlinge verhoudingen tussen deze componenten wanneer SOX 404 van toepassing is op de gecontroleerde onderneming.
1.6.4 COSO
1.6.4.1 Begrip COSO
Het COSO is een geïntegreerd raamwerk van internal control geschreven door het Committee of Sponsoring Organizations of the Treadway Commission in 1992.
In dit rapport wordt het slecht functioneren van het internal control systeem aangemerkt als één van de belangrijkste oorzaken van onbetrouwbare externe verslaggeving. De relatie tussen management, organisatie en interne controle loopt als een rode lijn door het rapport.
COSO is geen rekenmodel, maar een model waarmee je de controleaanpak kunt bepalen. Het bevat aandachtgebieden waaraan je geen harde normen kunt ontlenen.
Door COSO wordt onder internal control verstaan het proces dat wordt uitgevoerd door het toezichthoudende orgaan, de leiding en het overige personeel dat is ontworpen om een redelijke zekerheid te verkrijgen over de mate waarin de volgende doelstellingen worden bereikt:
• Effectiviteit en efficiency van de bedrijfsprocessen (operations)
• Betrouwbaarheid van financiële verslaggeving (financial reporting)
• Naleving van wet- en regelgeving (compliance)
Volgens COSO zijn er vijf componenten in de internal control [Schilder e.a., 2002].
• Monitoring
• Information & communication
• Control activities
• Risk assessment
• Control environment
Control environment
De control environment bepaalt de gehele atmosfeer waarin en de condities waaronder de medewerkers van het bedrijf hun werk moeten verrichten. Het is de primaire component van de internal control en de organisatorische fundering voor de overige vier elementen. De control environment bestaat uit de diverse elementen zoals ethiek, opleiding en ervaring, de stijl van het management, auditcommissie, organisatiestructuur, taakstelling en personeelsbeleid.
Risk assessment
Risk assessment is risicobeoordeling, het onderkennen en analyseren door de leiding van externe en interne risico’s die het bereiken van de doelstellingen in gevaar kunnen brengen en het bepalen hoe deze risico’s moeten worden beheerst. De leiding kan met behulp van deze risicobeoordeling beslissen welke beheersingsmaatregelen werkelijk noodzakelijk zijn om de onderneming te beheersen. De risicobeoordeling vormt een basis voor een effectief beheersingssysteem.
Control activities
De control activities omvatten voornamelijk de administratieve organisatie en de interne controlemaatregelen die ervoor moeten zorgen dat de richtlijnen van de leiding worden nageleefd om de gestelde doelstellingen te bereiken. De accountant dient voldoende kennis te verzamelen over de internal control maatregelen om de controlestrategie te bepalen, de effectiviteit te beoordelen en de gegevensgerichte controle te ontwerpen.
De beoordeling van de internal control bestaat voornamelijk uit het verwerven van kennis en inzicht over de administratieve organisatie en de voornaamste interne controlemaatregelen die ontworpen zijn om te voldoen aan de controledoelstellingen voor belangrijke jaarrekeningposten en soorten transacties.
Information & Communication
Om een onderneming te kunnen besturen en beheersen, is kwalitatief goede informatie nodig. De kwaliteit van informatie is afhankelijk van de aspecten relevantie, tijdigheid, nauwkeurigheid, betrouwbaarheid en toegankelijkheid. De accountant gaat na of in het informatiesysteem een zodanige vastlegging van interne en externe transacties en gebeurtenissen plaatsvindt dat kwalitatief goede informatie wordt gegenereerd.
Monitoring
De kwaliteit van de internal control zal voortdurend door de leiding moeten worden bewaakt.
Veranderingen in de omgeving kunnen tot gevolg hebben dat de internal control niet meer functioneert. De accountant gaat na welke procedures aanwezig zijn om onvolkomenheden in het systeem te signaleren en het systeem zonodig aan te passen.
Figuur 3: COSO-kubus
Het verband tussen de doelstellingen van internal control en de vijf componenten wordt in de COSO- kubus weergegeven (zie figuur 3).
De COSO-kubus wordt gebruikt om de invloed voor de accountant weer te geven (zie hoofdstuk zes).
1.6.4.2 Beperkingen COSO
Er moeten enkele kanttekeningen worden geplaatst bij het model van COSO.
De vijf elementen van COSO bevatten geen harde normen, maar zijn aandachtsgebieden.
Een andere beperking van het COSO-rapport is het feit dat het rapport geen richtlijnen voor de onderlinge weging van de componenten en deelcomponenten geeft.
Een andere beperking is de enge opvatting van internal control. Internal control wordt voornamelijk uitgewerkt in aandachtspunten die een formele, rationeel economische achtergrond hebben. Het belang van informele internal control wordt nauwelijks meegewogen.
Tenslotte wordt de internal control ook uitgewerkt in aandachtspunten op basis van een gesloten systeembenadering. De eisen die de omgeving aan een onderneming oplegt worden in de COSO- standaard nauwelijks meegewogen [Renes, 2003].
1.6.4.3 Rol COSO in het onderzoeksrapport
Sarbanes-Oxley Act heeft COSO weer terug in de spotlight gebracht, omdat COSO een raamwerk biedt dat is goedgekeurd door de PCAOB om de internal control te beschrijven. In hoofdstuk 2.3 wordt dit feit verder toegelicht. De wetgeving heeft invloed op het bestuderen en beoordelen van de internal control van een klant. De veranderingen in het bestuderen en beoordelen van de internal control zal met behulp van de COSO-kubus worden uitgewerkt waarmee het in verband wordt gebracht met het accountantscontrolerisico.
De COSO-kubus in figuur 3 wordt gebruikt om de invloed voor de accountant weer te geven.
Hoofdstuk 2 Sarbanes-Oxley Act
2.1 Inleiding
In dit hoofdstuk worden de aanleiding en de inhoud van de Sarbanes-Oxley Act in hoofdlijnen weergegeven en worden de voor het onderzoek relevante onderdelen van de wetgeving, SOX 404 en SOX 302, verder uitgediept. SOX 404 sluit aan op SOX 302 die in augustus 2002 al van kracht is geworden. In SOX 302 moeten de CEO’s en de CFO’s bij elke jaar- en kwartaal rapportage verklaren dat deze een juist beeld geeft van het vermogen en het resultaat van de onderneming (zie paragraaf 2.3.1). In dit hoofdstuk wordt een antwoord gegeven op de eerste en tweede deelvraag;
1. Wat houdt in hoofdlijnen de Sarbanes-Oxley Act en section 404, het voor het onderzoeksrapport relevante onderdeel van de Sarbanes-Oxley Act, in?
2. Welke directe eisen met betrekking tot de audit stelt het Public Company Accounting Oversight Board aan de externe accountant die een audit verricht bij een onderneming die moet voldoen aan de eisen van section 404 van de Sarbanes-Oxley Act?
In de tweede paragraaf worden eerst de hoofdlijnen van de wetgeving weergegeven. Vervolgens wordt in de derde paragraaf een voor het onderzoek relevant onderdeel van de Sarbanes-Oxley Act, section 404 beschreven waarbij de aanleiding, de inhoud, de verantwoordelijkheid voor de onderneming en de verantwoordelijkheid voor de accountant ter sprake komen. In deze paragraaf komt SOX 302 ook ter sprake, omdat SOX 404 aansluit op SOX 302.
2.2 Sarbanes-Oxley Act
Op 30 juli 2002 is in de VS de Sarbanes-Oxley Act in werking getreden. De wet is met grote snelheid tot stand gekomen door de Securities and Exchange Commission (in het vervolg afgerond als SEC).
Dit is een reactie van de Amerikaanse regering op de negatieve effecten van de boekhoudschandalen bij ondernemingen.
De doelstelling van de nieuwe wet is het herstel van het vertrouwen van beleggers in het bestuur van ondernemingen en in de kwaliteit van financiële informatie.
Het is nog niet mogelijk om alle gevolgen te overzien. Wel duidelijk is dat de wetgeving meer verantwoordelijkheid van de onderneming en de accountants eist en meer openheid in de externe verslaggeving. Dit is duidelijk als je de gevangenisstraffen verbonden aan overtreding van de Sarbanes-Oxley Act in relatie ziet met andere wetsovertredingen. De sancties op overtreding van de wet zijn fors en de naleving van de gedetailleerde regelgeving wordt door de Amerikaanse wet uiterst serieus genomen.
De Sarbanes-Oxley Act is van grote invloed op het corporate governance beleid van ondernemingen, de verantwoordelijkheid van bestuurders, de interne controle, de financiële verslaggeving en de functie van de accountant, zowel in de VS als daarbuiten.
2.2.1 Aanleiding
Na het Enron debacle wilden het Amerikaanse congres en beurstoezichthouder SEC de externe verslaggeving van beursgenoteerde ondernemingen verbeteren.
Enron was een groot beursgenoteerde Amerikaanse energiehandelaar waarbij eind 2001 een groot beursschandaal aan het licht kwam. Er was sprake van een complot om beleggers in Enron op te lichten door middel van off balance sheet entities, BV’s die niet in de boeken van Enron voorkwamen maar wel werden beheerd door Enron-managers. Met deze BV’s sleepte een groepje topmanagers miljoenen voor zichzelf binnen.
Door ingewikkelde en soms frauduleuze constructies werden de winsten van Enron kunstmatig te hoog voorgesteld.
Aanleiding voor de ondergang van Enron waren even onverwachte als reusachtige afboekingen op het eigen vermogen en de neerwaartse revisie van winst over de afgelopen jaren.
Dit boekhoudschandaal betekende ook de ondergang voor de Enron-accountant Arthur Andersen.
Naast de externe audit verrichtte Arthur Andersen ook veel interne boekingen en consulting werkzaamheden bij Enron en werden er door de SEC al vermeende fouten ontdekt bij de controle op Waste Management en Sunbeam. Het nieuws dat Arthur Andersen aan het einde van het jaar documenten rond de controle van de Enron verslagen heeft vernietigd, heeft haar uiteindelijk de kop gekost.
De onthullingen over fraude, en soortgelijke schandalen bij bedrijven als Worldcom en Global Crossing, leidden tot een ernstige crisis op de beurzen, omdat beleggers bedrijven niet meer vertrouwen.
Na het boekhoudschandaal bij Enron heersten de vragen hoe een groot beursgenoteerd bedrijf als Enron jarenlang ongestraft zijn werkelijke situatie kon verhullen met ondoorzichtige financiële rapporten zonder dat het door de externe accountants aan het licht werd gebracht en hoe kunnen we een dergelijke ramp in de toekomst voorkomen.
Het antwoord van de SEC is gekomen door op 30 juli 2002 de Sarbanes-Oxley Act van kracht te laten worden.
Het is niet zo dat de beursschandalen voorkomen hadden kunnen worden door de Sarbanes-Oxley Act, maar het risico van een beursschandaal wordt door de vernieuwde wetgeving wel gereduceerd [Quigley, 2003].
2.2.2 Inhoud
De wet bestaat uit een raamwerk van gedetailleerde regels die verdeeld zijn over elf hoofdstukken, die verdeeld zijn in diverse paragrafen.
De in de wet vervatte maatregelen omvatten zes aandachtgebieden:
1. Grotere verantwoordelijkheid van de ondernemingsleiding voor het opstellen van de jaarrekening
2. Verscherping van de kwaliteitseisen en grotere transparantie van verslaggeving in kwartaal- en jaarverslagen
3. Vergroting van de rol en betrokkenheid van de auditcommissie bij de verslaggeving 4. Vergroting van de invloed en reikwijdte van de accountantscontrole
5. Toezicht op de accountant door een onafhankelijke instantie
6. Nadere regels voor het combineren van de accountantscontrole met overige dienstverlening
De nieuwe wetsbepalingen zijn primair gericht op Amerikaanse beursgenoteerde ondernemingen, maar Nederlandse ondernemingen die een beursnotering in de VS hebben of Nederlandse ondernemingen die een deelneming zijn van een in de VS beursgenoteerde onderneming vallen ook onder de wetgeving.
De invloed van de Sarbanes-Oxley Act is ook voelbaar voor de controlerende accountants in Nederland. Niet alleen academisch middels een verscherping van de discussie omtrent corporate governance, maar ook praktisch doordat de accountants van 44 Nederlandse bedrijven met een beursnotering aan de Amerikaanse beurs meer verplichtingen krijgen. Ook de accountants die de dochterondernemingen controleren van deze bedrijven zullen zich moeten voegen naar de regels van de nieuwe wet.
De organen die een belangrijke rol spelen in de wetgeving voor de accountant worden hieronder toegelicht.
SEC
De SEC is de Securities and Exchange Commission, de beurscommissie van de VS. Deze commissie heeft als primair doel de investeerders te beschermen en de integriteit van de securities markten te behouden. Het basisprincipe hierbij is dat alle investeerders toegang zouden moeten hebben tot de noodzakelijke informatie betreffende de investering alvorens het te kopen. De SEC vereist van public companies om alle openheid te verschaffen over de financiële gegevens en de daaraan gerelateerde informatie van de onderneming om te zorgen dat de investeerder een goede beoordeling kan maken over de investering. De effectiviteit van de SEC is extra groot vanwege de wetgevende macht die zij bezit [SEC, 2004].
De Sarbanes-Oxley Act is een wet die de SEC heeft ingevoerd om de beleggers te beschermen.
