Wat is SOX compliance?
SOX staat voor de Sarbanes-Oxley Act, een Amerikaanse wet uit 2002 die werd ingevoerd na de boekhoudschandalen rond Enron en WorldCom. Het doel was het herstellen van het vertrouwen in de financiële markten door beursgenoteerde ondernemingen te dwingen aantoonbaar grip te houden op de betrouwbaarheid van hun financiële verslaggeving. SOX compliance is het geheel van maatregelen, documentatie en toetsing waarmee een onderneming aantoont dat ze aan die wet voldoet.
Twee artikelen vormen het hart van de wet en komen in elke functieomschrijving terug:
- Section 302 — Corporate Responsibility for Financial Reports: de CEO en CFO ondertekenen persoonlijk dat de gerapporteerde cijfers juist en volledig zijn en dat de onderliggende interne beheersing op orde is. Het maakt de top van de onderneming persoonlijk verantwoordelijk.
- Section 404 — Management Assessment of Internal Controls: het management beoordeelt en rapporteert jaarlijks over de werking van de interne beheersing over de financiële verslaggeving (in het Engels Internal Control over Financial Reporting, ICFR). Onderdeel 404(a) betreft die beoordeling door het management zelf; onderdeel 404(b) verplicht bij grotere ondernemingen (accelerated filers) de externe accountant om daar een eigen, onafhankelijk oordeel over te geven.
Het kernbegrip is dus ICFR: het stelsel van beheersmaatregelen dat moet voorkomen dat de jaarrekening een wezenlijke fout bevat. En omdat in een moderne onderneming vrijwel elke transactie door IT-systemen loopt, is een groot deel van die beheersing — en dus van het SOX-werk — van nature IT-werk.
SOX en IT: de rol van IT-controls en ITGC
Binnen ICFR onderscheidt men twee soorten geautomatiseerde beheersing. Application controls zitten in een applicatie zelf en bewaken een specifieke verwerking, bijvoorbeeld een drieweg-matching bij inkoopfacturen of een geconfigureerde autorisatielimiet. IT General Controls (ITGC) werken een laag dieper en borgen dat de systemen waarin die controles draaien betrouwbaar blijven.
De vier ITGC-domeinen — logische toegang, wijzigingsbeheer, systeemontwikkeling en IT-operations — vormen het fundament onder een SOX-programma. De logica is hard: het management en de accountant willen kunnen steunen op een geautomatiseerde controle, maar dat kan alleen als vaststaat dat die controle het hele jaar ongewijzigd en correct heeft gefunctioneerd. Als bijvoorbeeld het wijzigingsbeheer niet deugt, of als ontwikkelaars ongecontroleerd toegang tot productie hebben, valt die zekerheid weg. Daarom is het toetsen van IT-controls het dagelijkse werk van de IT-auditor binnen SOX.
Naast ITGC speelt IPE (Information Produced by the Entity) een grote rol: systeemrapportages die als controlebewijs worden gebruikt, zijn alleen betrouwbaar als de onderliggende data en de ITGC kloppen. Bij uitbestede processen verschuift een deel van de beheersing naar leveranciers, en leunt het SOX-programma op assurancerapporten als SOC 1 en ISAE 3402. Voor de bredere context van die rapporten is onze gids over SOC 2 en ISAE 3402 een nuttige aanvulling.
Op zoek naar een rol in IT-audit of SOX?
Van junior IT-auditor en SOX-tester tot internal control officer en IT Audit Manager: op IT Compliance Jobs vind je de nieuwste vacatures bij de Big Four, advieskantoren en beursgenoteerde multinationals.
Bekijk IT-auditvacaturesHet SOX-jaar: hoe een testprogramma verloopt
SOX is geen eenmalig project maar een terugkerende cyclus die elk boekjaar opnieuw wordt doorlopen. In grote lijnen ziet dat “SOX-jaar” er zo uit:
| Fase | Wat er gebeurt |
|---|---|
| Scoping & risicoanalyse | Top-down en risicogebaseerd bepalen welke rekeningen, processen, systemen en locaties materieel zijn voor de jaarrekening. Hier worden de relevante applicaties en de bijbehorende ITGC vastgesteld. |
| Documentatie | Het vastleggen van processen, risico's en controles in een risk-and-control matrix (RCM), met per control een eigenaar, frequentie en bewijsstuk. |
| Walkthroughs & opzet | Per control doorlopen hoe die hoort te werken en beoordelen of de opzet het risico afdekt (test of design). |
| Werking testen | Toetsen of de control gedurende de hele periode heeft gewerkt (operating effectiveness), doorgaans met een steekproef per control. |
| Tekortkomingen evalueren | Afwijkingen wegen op hun impact: deficiency, significant deficiency of material weakness, inclusief eventuele compenserende maatregelen. |
| Assertie & attestatie | Het management doet zijn 404(a)-uitspraak; bij accelerated filers geeft de externe accountant onder 404(b) een eigen oordeel over ICFR. |
De scoping is daarbij allesbepalend en wordt steeds belangrijker. De Amerikaanse toezichthouder PCAOB heeft de standaarden voor de controle van interne beheersing (AS 2201) aangescherpt, met een nog sterkere nadruk op een top-down, risicogebaseerde benadering die begint bij de beheersing op concernniveau (entity-level controls). Te ruim scopen maakt het programma onnodig duur; te krap scopen brengt de betrouwbaarheid in gevaar. Het is precies de afweging waarin een ervaren IT-auditor of internal control officer waarde toevoegt.
Het wegen van tekortkomingen
Niet elke afwijking is even ernstig. Het wegen van een bevinding is een van de lastigste onderdelen van SOX-werk, omdat een IT-tekortkoming zelden direct een fout in de cijfers is, maar wél het risico daarop verhoogt. De praktijk hanteert een oplopende schaal:
| Niveau | Betekenis |
|---|---|
| Deficiency (tekortkoming) | Een control is niet goed opgezet of heeft niet (altijd) gewerkt, maar de mogelijke impact op de jaarrekening is beperkt. |
| Significant deficiency | Een tekortkoming die belangrijk genoeg is om te melden aan het auditcomité of de leiding. |
| Material weakness (materiële zwakte) | Een tekortkoming waardoor een wezenlijke fout in de financiële verslaggeving niet tijdig zou worden voorkomen of ontdekt — en die publiek gerapporteerd moet worden. |
Een gemelde material weakness raakt direct het vertrouwen van investeerders, en de doorvertaling van een IT-bevinding naar dat niveau is geen mechanische exercitie. PCAOB-inspecties wijzen er al jaren op dat het selecteren van de juiste controls, het testen van controls met een beoordelingselement en het verkeerd evalueren van tekortkomingen veelvoorkomende aandachtspunten zijn. Wie de koppeling tussen een IT-control en het onderliggende transactieproces echt doorgrondt, is daarom goud waard.
SOX versus J-SOX: de Japanse variant
De Sarbanes-Oxley Act kreeg internationaal navolging. De bekendste tegenhanger is J-SOX, de Japanse variant die werd verankerd in de Financial Instruments and Exchange Act en van kracht is sinds boekjaar 2008. De doelstelling is dezelfde — betrouwbare financiële verslaggeving via aantoonbare interne beheersing — maar er zijn accentverschillen.
| Aspect | SOX (VS) | J-SOX (Japan) |
|---|---|---|
| Wettelijke basis | Sarbanes-Oxley Act, 2002 | Financial Instruments and Exchange Act, van kracht vanaf boekjaar 2008 |
| Kernverplichting | Section 302 en 404 (ICFR) | Management assessment en accountantsoordeel over interne beheersing |
| Benadering | Risicogebaseerd, top-down vanuit entity-level controls | Sterk top-down vanuit concernbrede beheersing |
| Recente ontwikkeling | Aangescherpte PCAOB-standaarden (o.a. AS 2201) | Herziening 2023: meer nadruk op IT-controls en governance |
Voor de Nederlandse arbeidsmarkt is vooral één punt cruciaal: beide regimes werken door naar buitenlandse dochters. Een Nederlandse vestiging van een Japans of Amerikaans beursfonds wordt betrokken in de documentatie en het testen van interne processen en controles, omdat de eis op concernniveau geldt. Juist bij overzeese dochters — waar de documentatiestandaard kan afwijken — ligt een bekend aandachtspunt. Dat verklaart waarom je in Nederland vacatures tegenkomt voor een Internal Officer J-SOX of een SOX-specialist bij een lokale dochteronderneming.
Wie werkt er met SOX? De rollen op de arbeidsmarkt
SOX is bij uitstek een onderwerp dat meerdere functies verbindt. De ene rol coördineert het programma, een andere voert de controles uit en weer een andere toetst ze onafhankelijk. Zo verdeelt het werk zich doorgaans:
| Rol | Rol binnen SOX / J-SOX |
|---|---|
| SOX program manager / internal control officer | Coördineert het jaarlijkse programma: scoping, planning, de RCM, de voortgang van de testing en de rapportage richting management en accountant. |
| IT-auditor / Senior IT-auditor | Toetst onafhankelijk de opzet, het bestaan en de werking van de IT-controls en ITGC waarop ICFR steunt. |
| IT compliance auditor | Bewaakt de naleving van SOX naast andere kaders en houdt de control-documentatie actueel. |
| Control owner / proceseigenaar | Voert de control in de eerste lijn daadwerkelijk uit en levert het bewijs, bijvoorbeeld de beheerder die toegang of wijzigingen goedkeurt. |
| IT Risk & Compliance Officer / GRC | Bewaakt het beheersingsraamwerk in de tweede lijn, beheert de tooling en challenged de eerste lijn. |
| IT Audit Manager | Stuurt het auditteam aan, bepaalt scope en aanpak en is verantwoordelijk voor de kwaliteit en conclusies. |
Die verdeling sluit naadloos aan op het Three Lines Model: de business beheert de controls in de eerste lijn, risk en compliance bewaken in de tweede lijn en de IT-auditor toetst onafhankelijk in de derde. SOX-ervaring is bovendien sterk gevraagd in de financiële sector, waar interne beheersing en regelgeving zoals DORA elkaar raken. Op ons platform zijn de IT-auditfuncties veruit het sterkst vertegenwoordigd, en SOX vormt daarvan een vaste inhoudelijke component.
Vaardigheden, certificeringen en salaris
Wie met SOX werkt, combineert begrip van financiële processen met een gestructureerde, kritische blik op IT. Werkgevers vragen doorgaans om kennis van interne beheersing en het COSO-raamwerk, vertrouwdheid met COBIT en ISO 27001, ervaring met ERP-systemen en GRC-tooling, en het vermogen om bevindingen helder te wegen en te rapporteren. Aan de IT-kant is de CISA (Certified Information Systems Auditor) van ISACA de standaard; aanvullend zijn CRISC, CISM en de CIA (Certified Internal Auditor) waardevol. In Nederland sluit de postacademische opleiding tot RE (Register EDP-auditor) sterk aan op het werkveld.
Omdat SOX-werk de kern raakt van de sterk gevraagde IT-auditfunctie, liggen de salarissen op een aantrekkelijk niveau. Als indicatie voor Nederland in 2026:
| Rol | Indicatief bruto jaarsalaris |
|---|---|
| Junior IT-auditor / SOX-tester | €38.000 – €55.000 |
| Medior IT-auditor / internal control officer | €55.000 – €75.000 |
| Senior IT-auditor / SOX program lead | €75.000 – €95.000 |
| IT Audit Manager / Head of Internal Controls | €90.000 – €130.000+ |
De bedragen zijn richtbedragen; de feitelijke beloning verschilt per werkgever, regio en sector. Voor meer detail is onze gids over het salaris van de IT-auditor een goed vertrekpunt.
SOX in 2026: kosten, schaal en AI
De inhoud van SOX is stabiel, maar de context verandert snel. Een paar ontwikkelingen bepalen het werk in 2026:
- Schaal en kosten lopen op. Recente brancheonderzoeken laten zien dat het aantal systemen binnen de SOX-scope sterk is gegroeid en dat programma's miljoenen euro's en duizenden uren kosten. Dat zet druk op efficiëntie en op slimme scoping.
- Cloud en SaaS. Een groot deel van de IT-omgeving draait bij externe leveranciers. Dat verschuift een deel van de controls naar die partijen en maakt assurancerapporten als SOC 1 en ISAE 3402 en het beheersen van third-party risk belangrijker dan ooit.
- Automatisering en AI. Handmatig testen met spreadsheets schaalt niet meer. GRC-tooling, continue monitoring en AI doen hun intrede: van het analyseren van volledige populaties in plaats van steekproeven tot het signaleren van afwijkende toegangsrechten. Tegelijk introduceert AI nieuwe controlevraagstukken over de modellen zelf.
- Strengere toezichtstandaarden. De PCAOB scherpt de eisen aan de risicogebaseerde scoping en de bewijsvoering verder aan, wat de lat voor de kwaliteit van het auditwerk hoger legt.
De rode draad: SOX-werk beweegt richting data, automatisering en ketenbeheersing. Dat maakt het vak inhoudelijk rijker en de vraag naar mensen die finance én IT spreken alleen maar groter.
Conclusie
SOX compliance is veel meer dan een Amerikaanse formaliteit. Via de doorwerking naar dochterondernemingen raakt de Sarbanes-Oxley Act — en in Japanse concerns J-SOX — tal van Nederlandse vestigingen, en daarmee een vaste stroom aan banen in IT-audit, internal controls en GRC. Wie begrijpt hoe Section 302 en 404, ICFR, IT-controls en ITGC samenhangen, en hoe een tekortkoming wordt gewogen, beschikt over een profiel dat de taal van zowel finance als IT spreekt. Met de opkomst van cloud, automatisering en AI wordt dat profiel eerder schaarser dan overbodig. Bekijk de actuele IT-auditvacatures en compliancevacatures om te zien welke organisaties vandaag versterking zoeken — of verken het volledige aanbod aan IT-compliancevacatures.