SOX (afkorting voor Sarbanes-Oxley , en eigenlijk de “Public Company Accounting Reform and Investor Protection Act of 2002”) heeft een definitieve verandering teweeg gebracht voor de boekhoudregels van grote Amerikaanse bedrijven. Deze verandering is veroorzaakt door enkele schandalen rondom bijvoorbeeld Enron en WorldCom, waarbij klanten en aandeelhouders zijn benadeeld. SOX is een reglement waarvan de handvaten in 11 hoofdstukken zijn vastgelegd voor interne- en externe auditors, alsook het management en het bestuur van de organisatie. In het hoofdstuk SOX – sectie 404 “Assessment of internal control” is vastgelegd hoe het interne management en de externe auditor op financieel gebied gerapporteerd en gecontroleerd moet worden. Nu is de vraag: Waarom zijn SOX & SAM (Software Asset Management) vrienden voor het leven?
Het in gebruik nemen van software waarvoor betaald moet worden, heeft invloed op de financiële situatie van een bedrijf. Het zal niemand verbazen wanneer een gemiddelde geautomatiseerde werkplek bij een bedrijf voorzien wordt van software ter waarde van 1000 Euro. Een bedrijf met 10000 werkplekken heeft dus al gauw 10 miljoen aan software geïnstalleerd op de beschikbare werkstations. Deze wordt, als het goed is, gebudgetteerd en aangeschaft.
En dan? Niets is statisch. De manier van werken niet, en ook het personeelsbestand niet. Door groei of door op een andere manier te gaan werken kan er natuurlijk een tekort aan licenties ontstaan. Laten we zeggen dat het tekort 20% is, echter is niemand ervan op de hoogte. Of, erger nog: Men is ergens op de hoogte, maar er zijn geen processen om dit probleem anoniem te kunnen rapporteren. Het nettoresultaat van de jaarcijfers wordt daardoor onbedoeld positief: Er wordt een winst gerapporteerd die 2 Miljoen Euro hoger ligt dan eigenlijk het geval is. Immers is in de gerapporteerde cijfers nog geen rekening gehouden met de kosten van de (illegaal gebruikte) software, te weten 20% van 10 Miljoen Euro. Om dergelijke situaties te voorkomen moeten er processen aanwezig waardoor dit scenario niet kan ontstaan, en dat wanneer deze alsnog ontstaat, de bestuurders op de hoogte worden gesteld zodat een oplossing gezocht kan worden.
SOX legt een manier van werken op waardoor elk bedrijfsonderdeel een rapportageverplichting heeft. Als resultaat wordt ook de werkelijke beschikbaarheid van software licenties en het gebruik daarvan geïnventariseerd en gerapporteerd: Interne- en externe auditors maken op hun beurt weer steekproeven. Bij een goede implementatie van de SOX wetgeving is een scheefgroei daardoor (bijna) niet meer mogelijk, en zijn SOX en SAM vrienden voor het leven.