Nuttige bescherming voor beleggers?

Transcriptie

1 MCA 2 Internal control Het Sarbanes-Oxley 404-rapport (I) Nuttige bescherming voor beleggers? Drs. K. van Herwaarden RC en ir. T. Buurman RC 1 Karel van Herwaarden is werkzaam als zelfstandig adviseur financieel management, Tonnie Buurman is senior (internal) auditor bij ABN AMRO Bank In 2002 werd in de VS als reactie op de genoegzaam bekende accountingschandalen de Sarbanes-Oxley Act (SOX) ingevoerd. Belangrijke onderdelen daarvan zijn dat CEO s en CFO s voortaan persoonlijk garant staan voor de betrouwbaarheid van de jaarrekening en dat de interne beheersing daartoe voldoende waarborgen biedt, kortom dat de organisatie financieel in control is. Sinds eind 2004 moet een groot deel van de Amerikaanse beursgenoteerde bedrijven gereed zijn met het in control -rapport ( SOX 404 ) en in 2006 moeten buitenlandse bedrijven met een beursnotering in de Verenigde Staten eveneens SOX-compliant worden. taken ook standaarden opstelt voor werkzaamheden van de externe accountant (titel 1); diverse maatregelen om de onafhankelijke positie van de externe accountant beter te waarborgen, zoals het verbieden van bepaalde niet-auditgerelateerde dienstverlening en het elke vijf jaar verplicht wisselen van lead audit partner (titel 2); SOX verplicht elke vijf jaar te wisselen van lead audit partner Dit artikel is het eerste in een serie van twee. In dit eerste artikel geven wij een kort overzicht van de Sarbanes- Oxley wet en in het bijzonder de twee meest relevante secties daarvan (404 en 302). We gaan kort in op de belangrijkste stappen van een SOXA 404-implementatietraject. In het tweede artikel gaan we in op de kosten waarmee ondernemingen geconfronteerd worden bij implementatie van SOXA 404, verkennen we de mogelijke baten en wegen deze tegen elkaar af. We sluiten het tweede deel af met enkele aanbevelingen om de kosten-batenverhouding te optimaliseren en met conclusies. Het artikel is toegespitst op de initiële implementatie van SOX 404; aan de jaarlijks verplichte update wordt niet afzonderlijk aandacht besteed. 1. De Sarbanes-Oxley wet van 2002 De Sarbanes-Oxley wet, die geldt voor alle aan Amerikaanse beurzen genoteerde bedrijven, omvat een breed scala van maatregelen, die alle erop gericht zijn om de corporate governance van ondernemingen te verbeteren. De wet voorziet onder andere in: oprichting van een toezichthouder voor externe accountants, de Public Company Accounting Oversight Board (PCAOB), die naast toezichthoudende explicieter beleggen van de verantwoordelijkheid voor betrouwbare verslaggeving bij de CEO en CFO van de onderneming (sectie 302: certification of corporate responsibility), om zodoende fraude en nalatigheid gemakkelijker te kunnen vervolgen en zwaarder te bestraffen (titel 8 en 9); uitbreiden van de rapportageverplichtingen, waaronder een internal control report op basis van een beoordeling door het management van de opzet en werking van de internal controls over financial reporting, dat wil zeggen een verklaring van het management dat het interne beheersingssysteem met betrekking tot de financiële rapportage in orde is, vergezeld van een certificering door de externe accountant (titel 4, waaronder sectie 404 Management assessment of internal controls ); betere bescherming van klokkenluiders (sectie 806). De meeste van de genoemde maatregelen vergen hooguit beperkte implementatie-inspanningen voor ondernemingen. Dat geldt echter niet voor de implementatie van de 302-verklaring en nog veel minder voor het jaarlijks vereiste internal control report (SOX 404). 1 Voor de totstandkoming van dit artikel zijn gesprekken gevoerd met SOX 404-deskundigen van Deloitte, Ernst & Young en KPMG. Het artikel is geschreven op persoonlijke titel en dekt derhalve niet per se de opvattingen van de geïnterviewde organisaties. 6

2 Internal control MCA Tijdschrift voor Organisaties in Control 2005 Sectie 302 Sectie 302 verplicht de CEO en de CFO om bij jaarverslag en kwartaalverslag een verklaring te voegen dat zij het verslag (inclusief de niet-financiële onderdelen) hebben beoordeeld, dat er naar hun beste weten geen sprake is van materiële onjuistheden of omissies en dat de financiële informatie een getrouw beeld geeft van resultaat en vermogen van de onderneming. Bovendien nemen zij in deze verklaring de verantwoordelijkheid voor de disclosure controls & procedures, dat wil zeggen de beheersingsmaatregelen die moeten waarborgen dat alle materiële informatie tijdig bij hen bekend is, en zij verklaren dat deze beheersingsmaatregelen in opzet effectief zijn, op basis van een beoordeling negentig dagen voor de rapportage. De ondertekenaar kan zich hierdoor dus niet verschuilen achter het excuus ik wist het niet ; hij had het immers moeten weten! Ten slotte verklaren de ondertekenaars dat zij de externe accountant en het audit committee hebben geïnformeerd over alle significant deficiencies bij de totstandkoming van de externe financiële verslaggeving (zowel periodiek als ad hoc). Er is geen accountantsrapport nodig bij de 302-verklaring en misschien nog wel belangrijker er wordt vooralsnog door de SEC nauwelijks beoordeeld of de ondertekenaar kan aantonen dat zijn disclosure controls & procedures daadwerkelijk effectief zijn. Wel moeten in het kader van de 302-verklaring eventuele significant deficiencies en material weaknesses in de interne beheersing (zie kader 1) bij de externe accountant en het audit committee worden gemeld en dient daarvan ook melding te worden gemaakt in het jaar- of kwartaalverslag dat bij de SEC worden gedeponeerd. Sectie 404 Sectie 404 betreft de vereiste aan het management om een afzonderlijk internal control report op te nemen in het jaarverslag, op basis van een beoordeling door het management van de interne beheersing van de financiële rapportage (internal control over financial reporting afgekort ICoFR). Het rapport moet bevatten: 2 een verklaring waarin het management expliciet verantwoordelijkheid neemt voor de inrichting van een adequate ICoFR; een opgave van het raamwerk (de evaluatiecriteria) dat het management heeft gehanteerd bij de evaluatie van de effectiviteit van de ICoFR. Het COSO-raamwerk voor interne beheersing wordt aanbevolen, maar andere breed geaccepteerde raamwerken zijn eveneens toegestaan; de feitelijke uitkomsten van de beoordeling van het management per ultimo van het verslagjaar, uitmondend in een verklaring of de ICoFR daadwerkelijk effectief is of niet. Wanneer er sprake is van een material weakness in de ICoFR dan moet die worden gepubliceerd en dan kan het management per definitie niet concluderen dat de ICoFR effectief is; een verwijzing naar de bijbehorende accountantsverklaring. Kader 1. Deficiencies, significant deficiencies en material weaknesses. Internal control deficiencies zijn alle gebreken in de interne beheersing die een negatieve invloed hebben op het vermogen van een organisatie om financiële feiten te initiëren, vastleggen, verwerken en rapporteren. Deze gebreken zijn significant als ze ertoe leiden dat de kans op een onjuiste of onvolledige financiële rapportage niet irrelevant ( more than inconsequential ) is. Een material weakness is een significant deficiency of een combinatie van significant deficiencies, die leidt tot een more than remote likelihood dat een materiële fout in de jaarrekening niet voorkomen of tijdig gedetecteerd en gecorrigeerd wordt door medewerkers in hun normale functie-uitoefening. In dat geval kan de rapporterende organisatie geen redelijke mate van zekerheid meer geven dat de financiële rapportage op elk moment betrouwbaar is en kan zij daarom niet langer concluderen dat de interne beheersing effectief is. Het moge duidelijk zijn dat de begrippen more than inconsequential en more than remote likelihood ruimte laten voor interpretatie. De beoordeling door het management vergt een uitgebreide inventarisatie van de relevante risico s en de bijbehorende beheersingsmaatregelen diep in de organisatie. Van de beheersingsmaatregelen dienen zowel de opzet als de werking te worden beoordeeld, en wel zodanig dat de feitelijke werking aan de hand van vastleggingen kan worden bewezen. De ondertekenaar kan zich niet verschuilen achter het excuus ik wist het niet De externe accountant moet naast de reguliere accountantsverklaring bij de jaarcijfers over het internal control report een separate, tweeledige verklaring afgeven: enerzijds over de kwaliteit van het management-assessmentproces dat ten grondslag lag aan de rapportage, anderzijds over de conclusies die in het rapport zijn opgenomen. De eisen waaraan de beoordeling door de accountant moet voldoen zijn streng. Deze zijn vastgelegd in een 2 Deze vereisten zijn afkomstig van de Amerikaanse Securities & Exchange Commission (SEC), die de opdracht kreeg om SOX op onderdelen nader uit te werken. Zie SEC,

3 MCA 2 Internal control Kader 2. Sectie 404 versus 302 Sectie 302 Sectie 404 Wat is vereist? Verklaringen van de CEO en CFO dat zij Een rapportage met betrekking tot de de rapportage waarop de verklaring kwaliteit van de interne beheersing van de betrekking heeft beoordeeld hebben en externe financiële rapportage, op basis van dat deze naar beste weten geen fouten of een aantoonbare beoordeling door het omissies bevat. Daarnaast verklaren zij management. De rapportage bevat de verantwoordelijk te zijn voor de betrouw- conclusies van de beoordeling, met baarheid van de externe verslaggeving, specifieke vermelding van alle material hiervoor een adequaat beheersings- weaknesses. systeem te hebben ingericht en dit boven- Een tweeledige verklaring van de externe dien in afgelopen negentig dagen te accountant, enerzijds over de kwaliteit van hebben beoordeeld en alle hierbij de uitgevoerde beoordeling en anderzijds geconstateerde significant deficiencies te de eigen conclusies ten aanzien van de hebben gerapporteerd aan externe effectiviteit van de interne beheersing van accountant en audit committee. de financiële rapportage. De beoordeling door het management moet dus controleerbaar zijn door de accountant! Wat is de scope? Disclosure controls & procedures (dat Interne beheersing van de externe financiële wil zeggen de beheersing van tijdige en rapportage. volledige informatievoorziening naar beleggers (financieel zowel als nietfinancieel, periodiek zowel als ad hoc)). Wie stelt op/tekent af? CEO en CFO. Het management stelt het op. Aftekenen indirect door CEO en CFO, via vereiste signoff op 302 (immers het internal control report wordt onderdeel van de verslaggeving). Hoe vaak? Jaarlijks (eens per kwartaal voor US- Jaarlijks. ondernemingen). richtlijn van de eerdergenoemde PCAOB. 3 Dit is een belangrijk verschil ten opzichte van 302 en dit verklaart in belangrijke mate het vele werk dat ondernemingen moeten uitvoeren om het internal control report te kunnen afgeven. Aangezien de rapportage jaarlijks dient te worden afgegeven, moet een proces worden ingericht dat bewaakt dat ook in veranderende omstandigheden de interne beheersing toereikend en de documentatie up-to-date blijft. De adequate werking moet tenslotte doorlopend bewaakt en steeds opnieuw beoordeeld worden. Sectie 404 en 302 overlappen elkaar deels wat betreft de scope: internal control over financial reporting is onderdeel van de disclosure controls & procedures (zie kader 2). Verschillen zitten vooral in het feit dat 302 vraagt om een verklaring waar 404 vraagt om een rapportage, en dat 302 gaat over de verantwoordelijkheden van de CEO en CFO waar 404 zich richt op het bredere begrip het management. En niet te vergeten de vereiste accountantsverklaring bij 404 die een grote nadruk legt op de controleerbaarheid van de beoordeling van de interne beheersing die zowel in 404 als 302 vereist is. In feite is sectie 404 gezien de ermee verbonden werklast het onderdeel van de wet waarop de discussie over kosten en baten zich voornamelijk toespitst. Om die reden zullen wij ons daar in het tweede artikel ook op concentreren. 2. Beoordelingscriteria De SEC schrijft voor dat het management de ICoFR evalueert aan de hand van een breed geaccepteerd raamwerk, zoals het Internal Control Integrated Framework van COSO uit 1992, 4 dat in de praktijk verreweg het meest lijkt te worden gebruikt (zie figuur 1). Het COSO-raamwerk werkt het begrip interne beheersing uit en geeft criteria waarmee organisaties de effectiviteit 3 PCAOB, Auditing standard no. 2: an audit of internal control over financial reporting performed in conjunction with an audit of financial statements,

4 Internal control MCA Tijdschrift voor Organisaties in Control 2005 van hun interne beheersing kunnen evalueren en verbeteren. Het COSO-model onderscheidt drie categorieën van internal control: effectiviteit en efficiëntie van de bedrijfsprocessen; betrouwbare financiële rapportage; voldoen aan relevante wet- en regelgeving. Zoals uit het voorgaande al bleek is in het kader van het SOX 404-rapport vooral de tweede categorie relevant. De derde categorie is in het kader van SOX 404 slechts van toepassing voorzover het gaat om het voldoen aan wet- en regelgeving voor de externe financiële rapportage. Het internal control report hoeft dus niet in te gaan op beheersingsmaatregelen die ondernemingen treffen om operationele bedrijfsrisico s te ondervangen. De uitwerking daarvan wordt aan bedrijven zelf overgelaten, vanuit de overweging dat zij daartoe vanuit eigen belang voldoende worden gemotiveerd. ICoFR is echter nadrukkelijk niet beperkt tot de vraag of transacties boekhoudkundig juist worden verwerkt; ook beheersingsmaatregelen die gericht zijn op het ongeoorloofde gebruik van activa (safeguarding of assets) maken deel uit van ICoFR. Het COSO-model ontleedt interne beheersing in vijf control components, die alle van belang zijn voor ICoFR: 1. control environment: dit is het fundament waarop de andere componenten gebouwd worden en dat het controlbewustzijn van management en medewerkers vormt. Het gaat hierbij om zaken als integriteit en bekwaamheid van het personeel, het besturingsmodel en de verdeling van taken, bevoegdheden en verantwoordelijkheden; 2. risk assessment: de inventarisatie van risico s die zouden kunnen verhinderen dat de gedefinieerde doelstellingen worden gerealiseerd. Deze inventarisatie is de basis voor de te nemen specifieke beheersingsmaatregelen. In het kader van ICoFR zijn de te behalen doelstellingen de zgn. assertions, beweringen over de kwaliteit van verslaggevingsposten (zoals juistheid, volledigheid); 3. control activities: dit zijn de activiteiten die geïmplementeerd zijn om de onderkende risico s tot een acceptabel niveau terug te brengen, zoals autorisaties, afstemmingen, toegangsbeveiligingen; 4. information and communication: de informatievoorziening, zowel intern als extern, die nodig is om het functioneren van processen te beoordelen en bij te sturen en om medewerkers te instrueren over hun rollen en verantwoordelijkheden; 5. monitoring: het onafhankelijke toezicht op het functioneren van het interne beheersingssysteem. Enerzijds het reguliere toezicht door het management, anderzijds ook periodieke interne audits en risk self asessments. Het COSO-model ontleedt interne beheersing in vijf control components Voor een effectieve ICoFR dient elk van de genoemde vijf componenten adequaat te zijn ingevuld en dat is dan ook wat voor het 404-rapport dient te worden beoordeeld. 3. Stappen in een SOX 404- implementatie De aanpak die het management moet volgen bij het opstellen van het 404-rapport is niet direct voorgeschreven door de SEC of de PCAOB. De al genoemde richtlijn van de PCAOB waaraan de externe auditor die het 404-rapport certificeert zich moet houden, bepaalt in de praktijk welke werkzaamheden voor het 404-rapport moeten worden uitgevoerd. De vier grote accountantskantoren hebben voor hun clientèle elk een eigen SOX 404-aanpak afgeleid van onder meer deze PCAOB-richtlijn. Deze aanpakken vertonen betrekkelijk geringe onderlinge verschillen. 5 De voornaamste stappen zijn met toelichting en voorbeelden weergegeven in kader 3. Kenmerkend voor deze accounts & assertions -aanpak is dat niet de bedrijfsprocessen het startpunt van de inventarisatie en analyse zijn, maar de jaarrekeningposten. Hiermee wordt men gestimuleerd om de aandacht te concentreren op uitsluitend de beheersingsmaatregelen die onmisbaar zijn voor een voldoende betrouwbare financiële rapportage; beheersingsmaatregelen die bijdragen aan de andere COSO-beheersingsdoelstellingen blijven aldus buiten beschouwing. Deze zijn natuurlijk wel rele- Figuur 1. Het COSO-raamwerk. 4 In de loop van 2004 is er een opvolger van het oorspronkelijke COSO-model beschikbaar gekomen, het Enterprise Risk Management-framework. Dit lijkt nog nauwelijks te worden toegepast in SOX-trajecten. 5 Pricewaterhouse Coopers, 2004 of Deloitte,

5 MCA 2 Internal control vant voor de onderneming, maar vallen niet in de scope van de SOX 404-verantwoordingsrapportage. Zelfs met deze relatief efficiënte accounts & assertions - aanpak kost de implementatie van SOX 404 veel tijd en geld. In het tweede artikel zullen we ingaan op deze kosten en deze relateren aan de mogelijke baten voor de beleggers, om wie het allemaal te doen was. Literatuur Zie artikel (II), pagina 12 t/m 18 van dit nummer. Kader 3. Stappen in een SOXA-traject. Stap Vaststellen en beoordelen ondernemingsbrede risico s en beheersingsmaatregelen: welke algemene beheersingsmaatregelen zijn aanwezig die uitstijgen boven het niveau van individuele processen en business units? Het inventariseren en beoordelen van deze beheersingsmaatregelen is de eerste stap in een SOX 404-project, omdat deze maatregelen doorgaans het fundament vormen voor de andere, op specifieke processen gerichte controls. Dat geeft direct ook het belang van deze stap aan. Toelichting Voorbeelden zijn de beheersingsmaatregelen die gerekend worden tot de COSO-component control environment: de integriteit van het management, de ondernemingscultuur en de competenties van management en medewerkers. De wijze waarop medewerkers worden aangespoord tot gewenst gedrag kan leiden tot hoge inherente risico s: zo zal in een onderneming met hoge winstgerelateerde beloningscomponenten op allerlei niveaus in de organisatie er meer neiging bestaan om winstcijfers op te poetsen dan in een bedrijf zonder zulke bonussen; dus in bedrijven met een uitgebreide bonusstructuur zijn relatief meer controls in de processen nodig. Ook de COSO-componenten risicobeoordeling en monitoring vinden gedeeltelijk plaats op het niveau van de onderneming als geheel. Ten slotte behoren ook de controls op gecentraliseerde processen (shared services; waaronder de jaarafsluiting en consolidatie) en algemene IT-controls (toegang, wijzigingen in programma s enz.) hiertoe. Vaststellen significante jaarrekeningposten en toelichtingen: voor welke jaarrekeningposten is er een niet verwaarloosbaar ( more than remote likelihood ) inherent risico dat deze een fout bevat die een materieel effect op de cijfers kan hebben? Vaststellen relevante beweringen( assertions ) ten aanzien van een jaarrekeningpost: welke beweringen (bestaan, juistheid, volledigheid, waardering, eigendom rechten en verplichtingen en presentatie) zijn relevant per significant account? Vaststellen significante processen en transacties: welke processen en daarbinnen welke transacties beïnvloeden de significante posten? Welke jaarrekeningposten en toelichtingen relevant zijn, wordt natuurlijk bepaald door de hoogte van de cijfers, maar hangt daarnaast ook van kwalitatieve factoren af (bijvoorbeeld de cijfers die gepubliceerd worden over een veelbelovende nieuwe activiteit zijn misschien nu nog beperkt in omvang, maar voor een belegger mogelijk relatief relevanter dan de cijfers die gepubliceerd worden over de omvangrijker bestaande activiteiten). Normaliter zal gelden dat alle jaarrekeningposten en voetnoten in de gepubliceerde jaarrekening significant zijn. Welke beweringen relevant zijn, verschilt per (type) jaarrekeningpost. Voor bijvoorbeeld de post Personeelskosten is juistheid de belangrijkste bewering, terwijl eigendom voor die post in het algemeen niet relevant is. Voor bijvoorbeeld een kantoorpand is het wel relevant of het eigendomsrecht bij de onderneming ligt, naast de bewering dat de waardering correct is. Het gaat hierbij zowel om de primaire als om de secundaire processen. Bijvoorbeeld: de significant account Personeelskosten wordt beïnvloed door het HRM-proces, dat onder meer als transacties heeft: aannemen nieuw personeel, uitbetalen van salaris enz. 10

6 Internal control MCA Tijdschrift voor Organisaties in Control 2005 Vaststellen van de risico s die het realiseren van de relevante beweringen kunnen verhinderen: wat kan er in processen fout gaan, resulterend in een materiële misstatement (het niet kunnen waarmaken van een relevante bewering)? Inventariseren en waar nodig documenteren van de feitelijk bestaande interne beheersingsmaatregelen om de onderkende risico s te beheersen; zodanig dat bij een zogenaamde walkthrough (lijncontrole) de initiatie, autorisatie, registratie, verwerking en rapportage van relevante transacties kan worden gevolgd en begrepen door een verstandige leek. Om werk te besparen kan hier worden volstaan met uitsluitend de beheersingsmaatregelen die noodzakelijk en voldoende zijn om het risico te ondervangen (de zogenaamde key controls ). Beoordelen opzet van interne beheersingsmaatregelen: aan de hand van de documentatie en aan de hand van de proces- en beheersingskennis van de auditor en het management wordt beoordeeld of de geïmplementeerde en gedocumenteerde kritische beheersingsmaatregelen in staat moeten worden geacht om de onderkende risico s tot een acceptabel niveau terug te brengen. Als dit niet het geval is, zullen aanvullende maatregelen moeten worden geïmplementeerd (en gedocumenteerd). Testen feitelijke werking van de kritische beheersingsmaatregelen: als deze in opzet effectief zijn, moet nog getest worden of deze in de praktijk ook werken zoals beoogd. Dit dient te gebeuren aan de hand van een testprogramma, waarin bijvoorbeeld een voldoende omvangrijke steekproef van transacties wordt onderzocht. Beoordeling van de testresultaten: in hoeverre moet uit een negatieve testuitkomst worden geconcludeerd dat er geen sprake meer kan zijn van een adequate interne beheersing, omdat er sprake is van een of meer material weaknesses? Als uit testen blijkt dat een beheersingsmaatregel in de praktijk onvoldoende effectief is, dan wordt onderzocht wat het effect hiervan is op het risico op een materiële fout of omissie. Hierbij moeten ook eventuele alternatieve beheersingsmaatregelen meegenomen worden, die het risico nog in meer of mindere mate mitigeren. Een van de relevante risico s bij Personeelskosten is de mogelijkheid dat salaris wordt betaald aan mensen die geen arbeidsovereenkomst hebben met de organisatie. In het onderhavige voorbeeld dient dan te worden beschreven welke maatregelen worden ingezet om te voorkomen dat betalingen aan niet-personeelsleden als personeelskosten worden verantwoord (zoals het gebruik van een standenregister) en hoe deze maatregelen precies worden uitgevoerd (wie houdt het standenregister bij, aan de hand van welke gegevens en met welke systemen, via welke procedure wordt het standenregister bij de controle ingezet? enz.). Het gaat hier om een beschrijving van de feitelijk bestaande situatie. Tijdens de inventarisatie zou kunnen blijken dat er helemaal geen standenregister wordt gebruikt voor de controle op de personeelsbetalingen. In dat geval dient te worden vastgesteld of andere controlemaatregelen het risico toch voldoende afdekken. Zo niet, dan dient de opzet te worden aangepast door het introduceren van een standenregister. Of het zou kunnen blijken dat er wel een standenregister is, maar dat er bijvoorbeeld geen duidelijke procedure is voor het bijwerken daarvan enz. In dat geval dient het ontwerp van de beheersmaatregel standenregister te worden aangepast door introductie van zo n procedure. Tijdens de testfase moet dus worden vastgesteld of de organisatie kan bewijzen dat het standenregister consequent, zoals gedocumenteerd in de inventarisatiestap, door de juiste personen of programma s wordt bijgehouden, gevoed met de juiste gegevens uit de juiste systemen, dat de inzet van het standenregister voor de controle van de salarisbetalingen inderdaad en op de juiste wijze heeft plaatsgevonden enz. Hiertoe dienen dus op allerlei momenten in de uitvoering van het proces vastleggingen te worden gedaan van uitgevoerde controlehandelingen. Tijdens de testfase zou bijvoorbeeld kunnen blijken dat in twee van de onderzochte zestig gevallen een afwijkingssignaal werd gegeven bij de vergelijking van de salarissommen (standenregister versus werkelijk) zonder dat duidelijk vastgelegd is wat er met dat signaal werd gedaan. Er dient dan te worden beoordeeld hoe ernstig dit is: een deficiency, een significant deficiency of een material weakness? Samen met de beoordeling van de opzet van de interne beheersingsmaatregelen is dit het moeilijkste deel van een SOX 404-traject. Ervaring is hierbij onmisbaar en subjectiviteit onvermijdelijk. Herstellen van deficiencies (of constateren dat er onvoldoende basis is om in het 404-rapport te concluderen dat de internal control effective is). MCA 11