De reikwijdte van Sarbanes-Oxley

Sinds het Enron debacle is de Sarbanes-Oxley
Act---de wet die investeerders moet
beschermen---geamendeerd.  De aanvulling bestond
hieruit dat cijfers nu ook compleet en correct
moeten zijn, en dat verantwoordelijke
directieleden daarvoor aansprakelijk gesteld
kunnen worden.  Denk aan boetes tot 5 miljoen, en
straffen tot 20 jaar.  Een paar jaar geleden
vloog Sarbanes-Oxley nog onder het radar van de
Nederlandse IT-bestuurder, maar dat lijkt
veranderd.  De wet kan zich in een warme
belangstelling verheugen zo merk ik keer op
keer.  Aan de andere kant hoor ik nog steeds over
SOX dat het heel ver van hun bed is.

Veroordelingen zoals die van Jamie Olis die op
grond van onder andere Sarbanes-Oxley maar liefst
292 maanden gevangenisstraf kreeg opgelegd, maken
geen indruk in Europa.  De 38-jarige voormalige
accountant van Dynegy moet 24 jaar zitten omdat
"the number of victims exceeded 50 and the amount
of loss was not less than the $105 million loss
suffered by the 13000 participants in the
California University Retirement Plan."  In de
Verenigde Staten is het kennerljik een zware
misdaad als je gaten maakt in de oude sok die ons
pensioen toch is.

Uit recent onderzoek bleek dat 94% van 400
ondervraagde Europese IT-bestuurders wel erkende
meer verantwoordelijkheden te hebben gekregen op
dit gebied, maar dat 72% onverschillig stond ten
opzichte van persoonljke aansprakelijkheid a la
Jamie Olis.  Verder was binnen Nederland niet
transparantie, maar flexibiliteit een voorname
reden om informatietechnologie bestuurbaar en
beheersbaar te krijgen.  Gelukkig maar dat
pensioenfondsen meer en meer in het buitenland
beleggen, want met zo'n houding blijft er in de
avond van ons bestaan niet veel over als het aan
sommige Nederlandse IT-bestuurders ligt.

Want inderdaad zijn problematische
IT-investeringen mogelijk van grote invloed op de
aandeelhouderswaarde.  Stel even dat je
pensioenfonds heeft geinvesteerd in Handelshuis
Hagemeyer, Textielboer van Heek-Tweka, of
Chemiconcern ICI-Group.  Hagemeyer kreeg te maken
met een divisie die van 86 miljoen winst naar 26
miljoen verlies ging, en een marktaandeel dat
daalde met 4%---omdat men een nieuw ICT-platform
had ingevoerd bij die divisie.  Gelukkig werd
wereldwijde uitrol stopgezet.  Maar het effect
was heel slecht voor de aandelenkoers.  Van
Heek-Tweka kwam diep in de problemen toen dochter
Iduna failliet ging, wederom door een niet
werkende IT-investering.  Ditmaal problematische
Supply Chain Management Software.  Aandelen
gekelderd.  Idem dito ging de aandelenkoers van
ICI met 39% in 1 dag naar beneden omdat de
Nederlandse dochter Quest de SCM-software niet
correct runnend kreeg.

Ik heb niet gezien dat pensioenfondsen actie
hebben ondernomen wegens geleden schade door
gebrek aan transparantie waardoor de
aandeelhouderswaarde mogelijk te rooskleurig was
voorgesteld.  Immers, als je wist dat men ging
investeren in IT, had je kunnen weten dat dat
niet goed zou aflopen---zoals met meer grootse
IT-programma's.

Met SOX heb je tenminste een wapen in handen.  Zo
heeft de Stichting Pensioenfonds ABP onlangs
onderdelenboer Delphi Corporation aangeklaagd
wegens oppoetsen der cijfers.  In een van de
claims:  "Having employed the fraudulent scheme
to inflate its financial results (and hence its
stock price) in the critical early years of its
existence, the Company responded to the growing
national concern about corporate fraud and
passage of the Sarbanes Oxley Act in 2002, by
slowly weaning itself off of the most egregious
aspects of the scheme."  Dus om aan SOX te
voldoen ging men het kunstmatig te hoge aandeel
onopvallend omlaag brengen.  Bijvoorbeeld: "It
also began to dole out bits of bad news (couched
in terms of industry 'headwinds', massive
restructurings, and the like) which, in fits and
starts, slowly siphoned off much of the
artificial inflation that had been pumped into
the stock in the early part of the Class Period."
Leuk bedrijf om voor te werken!

Gelukkig werd de beurswaakhond SEC getipt en
begon men een onderzoek.  Het aandeel ging met
bijna 75% omlaag toen de markt lucht kreeg van de
omvang van de fraude.  Zoals je ziet,
Sarbanes-Oxley raakt zelfs iedereen die bij het
Rijk werkt, vanwege het pensioen dat bij het
Algemeen Burgelijk Pensioenfonds is
ondergebracht.

En die reikwijdte zie je ook binnen de IT-sector
zelve.  Ben je aan Amerikaanse regelgeving
onderhevig?  Dan is het duidelijk.  Doe je zaken
met een SOX-bedrijf---wat snel het geval is---dan
zul je ook transparant moeten zijn over de
IT-kosten en risico's zodat zij transparant
blijven.  Men zal zoveel mogelijk
aansprakelijkheid voor SOX op je afwentelen, en
je wordt bijkans zelf een SOX-bedrijf.  Met
andere woorden, Sarbanes-Oxley is een virale
wet.  Iedereen wordt direct, indirect,
persoonlijk, of professioneel besmet.  Sommige
IT-bestuurders schamperen wel eens over al die
regelgeving, maar voor onze pensioenen is SOX
gewoon het nieuwe sokken stoppen.

X

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica 
aan de Vrije Universiteit in Amsterdam.  Hij schrijft      
maandelijks een column in AG II.  Deze tekst is 
copyright SDU.  Niets van deze uitgave mag zonder
schriftelijke toestemming van de uitgever worden
overgenomen of worden gepubliceerd.