In Nederland wordt Sarbanes Oxley (Sox) artikel 404 gerelateerd aan de code Tabaksblat. Ook Tabaksblat verlangt van bestuurders dat zij jaarlijks verklaren dat het interne risicobeheer en bijbehorende controlesystemen van de door hun geleide onderneming adequaat en effectief zijn.
Sox geldt voor alle beursgenoteerde Amerikaanse ondernemingen, hun dochtermaatschappijen en buitenlandse ondernemingen die aan een effectenbeurs in de VS genoteerd zijn. Al sinds juli 2005 moeten ook Nederlandse ondernemingen of onderdelen hiervan met beursnotering in de VS Sox compliant zijn. Kort gezegd: Sox is van toepassing op alle ondernemingen die verplicht zijn kwartaal- en jaarrapportages in te dienen bij de “Securities and Exchange Commission” (SEC).
Sox bestaat uit vele artikelen. Artikel 404 is van toepassing op de bestuurder en dwingt deze, zijn of haar IT en operationele processen te bewaken, te beheren en te administreren. Directieleden zijn verantwoordelijk voor het instellen en onderhouden van genoemde processen en procedures en tegelijkertijd verplicht jaarlijks een ICR (internal control report) in te dienen.
Bij in gebreke stelling of onvoldoende genomen adequate maatregelen kan de bestuurder (CEO of CFO) uiteindelijk zelfs hoofdelijk (financieel) aansprakelijk gesteld worden. In een worst-case situatie zijn gevangenisstraffen welke kunnen oplopen tot 20 jaar – gekoppeld aan boetes oplopend tot 10 miljoen dollar mogelijk.
Ondernemingen moeten een (ICT) omgeving creëren die processen en de bijbehorende risico’s inzichtelijk maakt. Door hoofdelijke aansprakelijkheid zullen CEO en CFO er alles aan doen om de genoemde verantwoordelijkheid te delegeren. SOX heeft daarmee invloed op alle lagen en alle processen binnen de organisatie en niet alleen op de financiële bedrijfsvoering.
Ten einde interne beheersing te kunnen aantonen verwijst de Amerikaanse wet naar het zogenaamde COSO model. COSO is een raamwerk voor interne controle. COSO stelt dat het bedrijf in haar omgeving en haar markt continue aan verandering onderhevig is. Aangezien de omgeving continue verandert, mogen de operationele processen en de daaraan gekoppelde metingen niet statisch zijn. Bestuurders hebben dan als opgave elk jaar opnieuw risico’s te inventariseren en (tegen)maatregelen te nemen.
ICT vormt een integraal onderdeel van de strategie van een organisatie. Daarom dient de bestuurder juist op het gebied van ICT / automatisering “in control” te zijn en te blijven.
ICT middelen en doelstellingen zijn onlosmakelijk verbonden met SOX. De betrouwbaarheid en continuïteit dienen meetbaar en controleerbaar te zijn en te blijven.
