Werklast als gevolg van Sarbanes-Oxley (SOX) compliance blijft toenemen

20 juli 2017 Consultancy.nl

Het is vijftien jaar geleden dat Sarbanes-Oxley (SOX) als wet van kracht werd. Uit nieuw onderzoek van Protiviti blijkt dat de tijd die professionals kwijt zijn aan SOX-compliance activiteiten het afgelopen jaar verder is toegenomen. In twee derde van deze gevallen betrof het een aanzienlijke stijging in bestede uren, wat volgens de onderzoekers aantoont dat compliance een cruciaal aandachtsgebied blijft. 

De studie van het wereldwijd opererende adviesbureau werd gehouden onder 450 chief audit executives, interne audit/finance leiders en professionals die werkzaam zijn in beursgenoteerde bedrijven met een hoofdkwartier in de VS. Binnen deze doelgroep werd gekeken naar de impact van SOX op de bedrijfsvoering en naar de manier waarop zij hun compliance afstemmen op deze wet.

De wet staat ook bekend als de ‘Corporate and Auditing Accountability, Responsibility, and Transparency Act’. Deze werd in 2002 aangenomen als federale wet en introduceerde hogere eisen op het gebied van compliance voor alle besturen van naamloze vennootschappen, management en accountantsfirma's in de Verenigde Staten. SOX – die van toepassing is voor Amerikaanse bedrijven die wereldwijd opereren – bevat ook een aantal provisies die gelden voor particuliere ondernemingen. De hoofdelementen van SOX richten zich op verbeterde financiële verslaglegging, management governance, aansprakelijkheid en onafhankelijkheid van de auditor.
 

Belangrijkste conclusie van het Protiviti onderzoek is dat het aantal werkuren dat wordt besteed aan SOX-compliance blijft stijgen. De toename geldt voor een meerderheid van de onderzochte organisaties, actief in uiteenlopende branches. De helft van de zogenaamde ‘large accelerated filers’* zag de werklast groeien, terwijl ook 63% van de ‘accelerated filers’* en ‘emerging growth companies’* hun SOX-compliance activiteiten zagen toenemen. Net iets minder dan de helft (48%) van de ‘non-accelerated filers’* was meer tijd kwijt met het voldoen aan SOX-standaarden. 

Tijd besteed aan SOX-compliance

Algemeen beschouwd nam voor twee derde van deze bedrijven het aantal bestede uren met meer dan 10% toe, waaruit blijkt dat compliance nog altijd een tijdrovende bezigheid is. En dat ondanks de technologische vernieuwingen die door analisten worden aangevoerd als ‘the next big thing’ voor interne audit. Hoewel bedrijven die al meer dan twee jaar bezig zijn met compliance hier minder tijd aan kwijt zijn dan ‘pre-IPO’ bedrijven en bedrijven die voor het eerst hun boekhouding indienen, zag ook een meerderheid van deze meer ervaren bedrijven de urenlast toenemen. 

Oorzaken werklast

Er zijn verschillende oorzaken aan te wijzen voor de groeiende werklast voor compliance-teams. 35% van de onderzochte organisaties gaf aan een toename te zien in de vereisten rondom de verslaglegging van de procescontrole voor risicogebieden, een stijging ten opzichte van de 31% van vorig jaar. Bovendien is het percentage van controle op entiteitsniveau dat als essentiële controle wordt aangemerkt gestegen, een trend die volgens Protiviti waarschijnlijk het gevolg is van de implementatie van het geüpdate COSO Internal Control-Integrated framework. Ook is de werklast gestegen als gevolg van toegenomen controles van externe auditors, terwijl organisaties met het oog op de toenemende risico’s en eisen van de markt ook hun eigen interne inspanningen op het gebied van interne controle verhogen, om pro-actievere compliance te kunnen nastreven. 

Veranderende werklast voor SOX-compliance-programma

Nieuwe aspecten van SOX die een bijdrage leveren aan de stijging van de urenlast zijn onder meer Auditing Standard No. 18 (gehercodeerd als AS.2410), de continuïteitsbeoordeling, ‘non-GAAP’-verslaglegging en de gerelateerde kennisgevingscontroles – evenals de toegenomen intensiteit in de focus op uitbesteedde SOC-rapportages. Daar komt bovenop dat sommige controles op hoger niveau zijn opgedeeld in meer fijnmazige controleprocedures, wat verder bijdraagt aan de totale SOX-compliance inspanningen. 

De Amerikaanse toezichthouder PCAOB (Public Company Accounting Oversight Board) zorgt vanuit zijn rol voor een verdere toename van de werklast. Hogere eisen die de PCAOB stelt ten aanzien van verslaglegging door externe auditors hebben bij veel bedrijven geresulteerd in strengere compliance-procedures. Maar liefst driekwart van de bedrijven voor wie de externe auditors significante aanpassingen moesten doorvoeren ten aanzien van de SOX-compliance activiteiten, schrijven dit toe aan de door de PCAOB doorgevoerde aanpassingen.

Cybersecurity vormt nog een oorzaak voor de stijging in aan SOX-compliance besteedde tijd. Door de toenemende frequentie van cyberaanvallen in het afgelopen jaar – waarmee naar schatting meer dan $280 miljard aan schade werd veroorzaakt – is er extra controle op compliance door externe auditors, management en bestuursraden. Aangezien cybersecurity van een IT-onderwerp is veranderd in een fundamenteel probleem voor de gehele organisatie, is het volgens de onderzoekers niet verwonderlijk dat er in 2016 onder de respondenten een substantiële toename in de verslaglegging omtrent cybersecurity zichtbaar is. Van de bedrijven die te maken hadden met de cybersecurity-meldplicht ervaart bijna een derde een toename van tenminste 16% in de uren besteed aan SOX-compliance.

Wie voert SOX-werk uit

“SOX-compliance inspanningen worden nog steeds mede bepaald door nieuwe en opkomende invloeden. Van de nieuwe ‘revenue recognition’ standard en cybersecurity-kwesties, tot de inspectierapporten van de PCAOB over externe auditors en de resulterende effecten op audits van de interne controle op financiële verslaglegging”, stelt Brian Christensen, Executive Vice President of Global Internal Audit and Financial Advisory bij Protiviti. 

Verder keken de onderzoekers naar wie er binnen de organisatie betrokken is bij het SOX-testen, waarbij bleek dat 75% van het werk wordt uitgevoerd door interne auditors of door het management / de proceseigenaren. 

SOX-volwassenheid neemt toe

De extra investeringen in SOX-compliance leiden volgens de onderzoekers wel tot resultaten omdat bedrijven voordelen realiseren op basis van hun extra SOX-compliance inspanningen. Zo geeft 70% aan dat de interne controle ten aanzien van de financiële verslagleggingsstructuur is verbeterd en geeft 50% aan een continue verbetering van de bedrijfsprocessen te kunnen realiseren. “SOX-vereisten en praktijken zijn met de tijd veranderd en we zijn verheugd te zien dat veel bedrijven de vruchten plukken van hun compliance-inspanningen, wat tevens goed nieuws is voor investeerders”, merkt Christensen op. “Door gestroomlijnde en lean processen te creëren kunnen bedrijven inspelen op nieuwe en opkomende industrieën, of op regelgeving-gerelateerde uitdagingen op het gebied van agility. Anderzijds zullen organisaties die dit model niet volgen en in plaats daarvan altijd achter de feiten aanlopen, mogelijk worstelen om op de lange termijn concurrerend te blijven.”

Uitbesteding van SOX-compliance activiteiten

Uren gestegen maar kosten gedaald?

Opmerkelijk genoeg komt uit het onderzoek van Protiviti ook naar voren dat de SOX-compliance gerelateerde kosten in vergelijking met het afgelopen jaar zijn afgenomen. Onder de large accelerated filers is het aandeel van bedrijven die minimaal $2 miljoen uitgeven met tien procentpunten gedaald tot 18%. Tegelijkertijd is onder de accelerated filers het aandeel van bedrijven met veel uitgaven aan compliance gedaald, van 15% in 2015 tot 10% in 2016. Hoewel de totale uitgaven van non-accelerated filers en emerging growth companies op dit gebied toenamen, groeide anderzijds het aandeel van deze bedrijven dat minder dan $500.000 uitgaf aan SOX-compliance veel harder. Dat suggereert dat algemeen bekeken, de totale uitgaven voor deze groep ook een dalende trend hebben vertoond. 

Christensen stelt dat een mogelijke verklaring voor de trend ligt in het toegenomen gebruik van externe leveranciers. In gevallen waarin bedrijfsprocessen en de gerelateerde controles zijn uitbesteed aan externe leveranciers, een groeiende trend binnen het landschap, worden de kosten die gepaard gaan met de uitbesteding in de meeste gevallen niet meegenomen in het SOX-compliance budget. Dat komt doordat interne transactiecontroles dan veranderen in controles die door leveranciers worden beoordeeld. “Dus worden de kosten versnipperd en niet noodzakelijk vastgelegd in de SOX-compliance activiteiten. Niettemin zal het management moet begrijpen hoe en waar binnen de organisatie de compliance-kosten gemaakt”, merkt Christensen op.

In de huidige toestand besteedt 11% van de bedrijven zijn procescontrole-gerelateerde SOX-activiteiten uit en bij IT-gerelateerde controles is dit 19%. Voor beide domeinen geldt dat ongeveer 40% van de bedrijven aangeven dat ze op de een of andere manier input ontvangen van externe partijen om te voldoen aan de eisen. De onderzoeker merken dit aan als ‘co-sourcing’.

Uitgaven aan SOX-compliance

Over een langere termijn is er echter sprake van een stijgende trendlijn voor SOX-compliance kosten. Vandaag de dag geeft meer dan de helft (51%) van de respondenten (72% van de respondenten werkt voor een organisatie met een omzet boven de $1 miljard) meer dan $2 miljoen uit aan SOX-compliance. Hierbij is de grootte van het bedrijf van belang: 53% van de organisaties met een omzet van meer dan $20 miljard geeft $2 miljoen of meer uit aan SOX terwijl dit aandeel op 7% ligt bij bedrijven die tussen de $100 miljoen en $500 miljoen omzetten. Weinig verrassend correleert de hoogte van de kosten nauw met het aantal unieke locaties waarop een organisatie gevestigd is. Hiervoor geldt ‘hoe meer locaties des te hoger de jaarlijkse SOX-compliance kosten’, met een gemiddelde afwijking van bijna $1 miljoen tussen de minst en de meest complexe organisaties (op basis van aantal unieke locaties).

Vooruitkijkend noemen respondenten de zich opstapelende PCAOB-audit eisen, nieuwe omzet-erkenningsstandaarden en cybersecurity-zorgen als de belangrijkste factoren die de komende maanden van invloed zullen zijn op de SOX-compliance inspanningen. 

* ‘Large accelerated filers’ zijn bedrijven waarvan de uitstaande aandelen minimaal $700 miljoen waard zijn. ‘Accelerated filers’ zijn bedrijven waarvan de uitstaande aandelen tussen de $75 miljoen en $700 miljoen waard zijn. ‘Emerging growth companies’ zijn bedrijven die ten tijde van hun beursgang (‘initial public offering’ (IPO)) minder dan $1 miljard omzetten; de status blijft behouden tot vijf jaar na de IPO of tot de omzet boven de $1 miljard uitkomt. ‘Non-accelarated filers’ zijn bedrijven waarvan de uitstaande aandelen minder dan $75 miljoen waard zijn.

Nieuws