Accountant
NBA-platform voor accountants en financials
Overig
Magazine Podcast Dossiers Nieuwsbrief Contact
Home > Opinie > 2012 > 7 > 'Zonder cultuurverandering heeft SOx geen zin'
Opinie

'Zonder cultuurverandering heeft SOx geen zin'

Leestijd van ongeveer 3 minuten 6 reacties

Op 10 juli 2012 berichtte Accountant.nl 'Financiële instellingen schroeven uitgaven risicomanagement op'. Dit nieuwsitem zette mij op het verkeerde been, en ik neem aan ook Jan Weezenberg die de redactie op de inhoud aanspreekt.

Het bericht is echter een samenvatting van een persbericht van E&Y, zonder dat dat blijkt. Dat is niet handig. Maar dat terzijde. Belangrijker is de vraag welke conclusies een professioneel-kritische accountant uit dit onderzoek kan trekken. Zijn we hiermee op de goede weg? 

Het is, laat ik dat eerst vaststellen,  een belangrijk onderzoek. Het geeft inzicht in de inspanningen van de financials om meer risicogericht te gaan werken. Maar daar wil ik mij in deze opinie niet op richten. 

Het onderzoek toont namelijk impliciet aan dat de SOx-regelgeving die een decennium geleden is ingevoerd geen enkele wezenlijke bijdrage heeft geleverd aan het bijstellen van het gedrag van bestuurders en handelaren in de financiële sector. Het toont glashelder aan dat de bestuurders in de financiële wereld niet 'in control' zijn geweest, niet zijn en voorlopig ook niet zullen zijn. Alle blabla daarover ten spijt. 

Zelfs nu, achteraf, is SOx niet of nauwelijks gebruikt om de voor de bühne afgegeven in control statements aan te grijpen voor vervolging van bestuurders en de door hen  geleide ondernemingen, noch zijn mij sancties bekend. 

Het toont ook aan dat accountants voor hun controle helemaal niets hebben aan dit soort regelgeving. Het zijn de spreekwoordelijke kleren van de keizer. Accountants moeten zich niet meer met dit soort regeltjes in de luren laten leggen. (En moeten ook niet meer via hun adviesdiensten bij dit soort luchtfietserij betrokken zijn. Juist daarom is scheiding van controle en advies zo essentieel.)
Cultuur en waarden en normen, dat is waar het om gaat. Een mooi voorbeeld daarvan is te lezen in de column 'Meer dan hebzucht' van Joris Luyendijk van 5 juli 2012 op NRCNext.nl. Een citaat: "Als je een werkomgeving zou moeten ontwerpen die conformisme op de korte termijn bevordert en het afgeven van alarmsignalen ontmoedigt, zou je de huidige financiële sector als model hanteren." 

Regelgeving zoals SOx helpt de accountant niet of nauwelijks om grip te krijgen op 'inherente controlerisico's'. Zolang raden van bestuur en raden van commissarissen niet overgaan op het vaststellen en handhaven van  een eigen normen- en waardensysteem, en pas in het verlengde daarvan van een risicobeheersingssysteem, zullen bestuurders altijd zoeken naar een zo gunstig mogelijke interpretatie van externe regelgeving. En zullen accountants continu op hun hoede moeten zijn voor het ontstaan van nieuwe inherente controlerisico's. 

Zolang financiële instellingen er niet toe overgaan om cultuur en normen en waarden centraal aan te sturen en te handhaven, hebben accountants geen enkele grip op het inherente controlerisico dat hoort bij de evolutionaire basishouding van mensen om te pakken wat er te pakken valt zolang niemand het ziet, en te manipuleren zolang het niet opvalt. 

Dat vereist dat accountants buiten de organisatie om onderzoek doen om de omvang van het interne controlerisico te beoordelen. Los van de bekende affaires, zijn de waarnemingen van Joris Luyendijk voldoende aanleiding om daartoe over te gaan. 

Het betekent dat er aanvullende controlehandelingen nodig zijn om frauduleus gedrag in de top van de financials te ontdekken. Met betrekking tot het leidinggevende kader houdt dat in dat alle communicatie, ook e-mail en dergelijke, onderwerp van een gegevensgerichte controle dient te zijn. 

Een aanvullende controle van de geldhandelaren zou kunnen bestaan uit de inzet van mystery shoppers en langdurige waarnemingen ter plaatse. En als dat niet helpt, kunnen toezichthouders altijd nog infiltranten sturen.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Toine Goossens AA werkte als turnaround manager bij verschillende dienstverlenende bedrijven en leidde onder meer een eigen advies- en organisatiebureau voor startende en groeiende ondernemers en een accountantskantoor.

6 reacties

Leen Paape

Collega's, mijn vakantie belet mij om uitgebreid in te gaan op de bijdrage van Toine maar het moet mij in ieder geval van het hart dat de bewijsvoering inzake het falen van SOX ontbreekt. Er is een lading onderzoeken gedaan naar de effecten van SOX en die zijn niet zo negatief als nu gesuggereerd wordt. Dat de incontrol verklaring gebakken lucht is kunnen jullie lezen in mijn oratie uit 2008 en ja het is waarschijnlijk niet snel genoeg. Dat werken aan in control van waarde is, is wat mij betreft wel waar. Dat gedrag van groot belang is, staat als een paal boven water. Hoe dat goed te beoordelen en te beinvloeden is nog niet zo simpel, maar daar werken velen hard aan uit diverse disciplines. Om vervolgens gemakshalve ook de scheiding tussen controle en advies op te hangen aan het vermeende falen van SOX is misplaatst. Wellicht later meer.

Hans Hoekstra

Ik ben het deels eens met de stelling dat SOx geen bijdrage heeft geleverd aan het gedrag van bestuurders van financiele instellingen. Ik begrijp alleen niet waarom juist dit in verband wordt gebracht met het aangehaalde artikel. Dat financiele instellingen zwaar investeren in risico management heeft alles te maken met de stortvloed aan externe regelgeving die op hen af komt. En ben je een bank-verzekeraar, dan kun je helemaal je borst nat maken. Slechts van secundair belang is dat risico management een professionaliseringslag moet doormaken en dat uit hoofde daarvan geinvesteerd wordt in risico management. Juist dat gebeurt nu te weinig en dat maakt dat vele financiele instellingen wel veel met risico management bezig zijn, maar dat er inhoudelijk nog wel een slag gemaakt mag worden. Juist mijn visie op dat laatste, en de onwil van mijn vorige werkgever hier een verbetering in te doen, was voor mij reden risico management vaarwel te zeggen. Nogmaals, de link met SOx is maar deels op zijn plek. Uiteraard moeten er checks and balances op het gebied van risico management zijn die door de hoogste leiding moeten worden bestuurd, maar weet wel dat SOx gaat over de releability van financial reporting en dan hebben we het slechts over het (achterhaalde) jaarverslag as we know it. Rapportering over risico's vraagt namelijk wel wat meer dan wat onder SOx wordt begrepen.

Toine Goossens

Beste Jan, Ik kan niet direct een kant en klare oplossing uit de mouw schudden, maar ik kan wel benoemen welke richting we uit moeten. Een Alles draait om gedrag. Slechts inzicht in de werking van gedrag kan (naast inhoud) tot de juiste wet- en regelgeving leiden. Met de inhoud of de bedoeling van wet- en regelgeving is meestal niks mis, maar de mechanismen voor gedragsbeïnvloeding die in deze regelgeving worden gebruikt stammen uit een tijd dat alles veel simpeler en overzichtelijke was. Twee De twee belangrijkste componenten van gedrag zijn: * De evolutionair vastgelegde gedragspatronen. Ik bedoel dan niet de emoties, maar de wijze waarop wij vertrouwen, hebzucht, moreel bewustzijn e.d. uiten. * De directe omgeving die stimulerend of afkeurend op dat evolutionaire gedrag reageert. Drie Massa mobiliteit, massa communicatie, massa informatie e.d. leiden tot een explosie van de omvang van wat ik noem 'Maatschappelijke entropie' (complexiteit). Die entropie is nu zo omvangrijk dat het Ontdekkings Risico met rasse schreden terugloopt. ICT is een instrument met als doel het vergroten van het ontdekkingsrisico, maar dat blijft een lapmiddel zolang er geen simpeler mechanismen komen om het toenemen van de 'Maatschappelijke entropie' direct bij te sturen. ICT loopt altijd achter bij het ontstaan van nieuwe Inherente Risico's. Mijns inziens betekent dat organisaties aanspreekbaar dienen te zijn op hun Inherente Gedrag; het centraal stellen en handhaven van normen- en waardensystemen. Ik zie Horizontaal Toezicht slechts als een milde voorbode voor wat ons te wachten staat. Vier Bij het ontwerpen van nieuwe wet- en regelgeving dient het verlagen van de 'Maatschappelijke entropie' centraal te staan. * Dat betekent dat het vast stellen van definities, codificaties en begrippen, alsmede uitleg en afstemming, op een zo hoog mogelijk bestuurlijk niveau plaats dienen te hebben én * Dat ieder begrip als zodanig tot een lagere 'Maatschappelijke entropie' leidt. Zonder de al meer dan 200 jaar bestaande codificatie van de kilogram, de liter en de kilometer zou de chaos in de wereld nog veel groter zijn.

Toine Goossens

Beste Ruud, Dat ga ik zeker doen. Natuurlijk geldt wat ik schrijf ook voor de interne accountants. Iedereen die in de keten van toezicht en controle betrokken is (dus ook RvB en RvC) en bekende nationale en internationale toezichthouders moeten zich realiseren dat toezichtsystemen die gebaseerd zijn op een niet-complexe wereld niet meer van deze tijd zijn.

Jan Weezenberg

Geachte Toine Goossens, Misschien ben ik op het verkeerde been gezet, SOx is nooit mijun ding geweest en de associatie kon dus wegblijven. Maar ik draag af en toe aan elk been een klomp en met die beide klompen voel ik aan dat mijn citaatje uit het vorige commentaar toch wel zorgwekkend is. Het is mooi dat E & Y dit rapporteert en het is uiteraard zinvol op te merken dat de regelgeving niets heeft bijgedragen (dat geldt trouwens voor de meeste regelgeving in ons wereldje). Maaaaarrrrr: er volgt geen enkele aanduiding hoe het probleem van de inadequate systemen kan worden aangepakt. Vriendelijke groet, Jan Weezenberg Herhaling deel reactie 10 juli "Systemen blijken de nieuwe liquiditeitseisen niet te kunnen verwerken" Dan kan dus aan die eisen niet worden voldaan ? Hoe lang duurt het voordat dit wel lukt ? En wat betekent dat in de tussentijd voor de "bestuurlijke informatieverzorging "?

Ruud Pruijm

Beste Toine, Ben met je eens dat er ook een cultuuromslag nodig is maar feit is en blijft dat er door bestuurders en accountants niet goed is omgegaan met Sox-404. Zie ook mijn artikel daarover in het MAB van juni 2009 met als titel "Risicomanagement, interne controle en de kredietschandalen.' Daarbij vestig ik ook de aandacht op het disfunctioneren van de interne accountants, want die laat je in je commentaar denk ik ten onrechte buiten beschouwing.

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.

Relevantie Datum