1 Corporate governance: IN-CONTROL VERKLARINGEN: GEBAKKEN LUCHT OF EEN TE KOESTEREN FENOMEEN? Beursgenoteerde bedrijven dienen te voldoen aan de code ...
‘IN-CONTROL’VERKLARINGEN: GEBAKKEN LUCHT OF EEN TE KOESTEREN FENOMEEN? Beursgenoteerde bedrijven dienen te voldoen aan de code Tabaksblat en/of Sarbanes Oxley en een ‘in-control’verklaring in hun jaarverslag op te nemen. Veel andere organisaties geven vrijwillig vergelijkbare verklaringen af. De complexiteit van een management control systeem (MCS) betekent dat zo’n verklaring nauwelijks meer dan gebakken lucht kan zijn. Het is echter wel erg verstandig continu aandacht te besteden aan het MCS. Dit artikel definieert het begrip ‘in control’, geeft aan uit welke componenten een MCS bestaat, plaatst een aantal kanttekeningen bij het beloningsbeleid als een veel besproken onderdeel van een MCS en eindigt met een beschouwing over de bijdrage van een in-controlverklaring. Prof.dr. Leen Paape RA RO CIA: Wie het nieuws volgt, constateert dat financiële schandalen elkaar snel opvolgen. We zitten midden in een forse kredietcrisis, een discussie over topbeloningen, een gebrek aan vertrouwen en een vermeend overschot – volgens anderen een tekort – aan regelgeving. Met name de klappen die de banken hebben opgelopen in de kredietcrisis roepen de vraag op hoe dat toch kon terwijl ze allemaal ongetwijfeld een in-controlverklaring hadden. Dat leidt tot de vraag wat een in-controlverklaring eigenlijk betekent. In control: wat is dat? Tot op heden ontbreekt een adequate definitie van wat ‘in control’ nu eigenlijk is. De algemene verwachting van ‘in control’ zal zijn dat de bedrijfsvoering op orde is en dat er geen onverwachte verrassingen zullen optreden met grote – negatieve – gevolgen. Groot is een relatief begrip en veronderstelt een zekere bandbreedte. ‘Kleine’ verrassingen zijn waarschijnlijk acceptabel. Onverwacht veronderstelt dat we in staat zijn verwachtingen te expliciteren en dat ook hier sprake is van een zekere bandbreedte. De eerste conclusie is dan ook dat ‘in control’ een relatief begrip is. Het gaat om het vin-
8
MCA: november 2008, nummer 7
den van een aanvaardbare balans tussen risico en beheersing. Dit noopt in ieder geval tot het kwantificeren van risico’s en het expliciteren van de tolerantie voor risico’s door een onderneming. Uit onderzoek van Linsley en Shrives (2006), de Monitoring Commissie (2006), Linsley en Lawrence (2007) en Mertens en Blij (2008) blijkt dat het kwantificeren van risico’s nu juist niet of nauwelijks geschiedt. Dit gebeurt bij Nederlandse beursfondsen nog wel in overwegende mate voor rente- en valutarisico’s maar voor allerlei andere risico’s laten ondernemingen het afweten. Dat maakt dat voor de lezer de waarde van de in-controlverklaring al nauwelijks vast te stellen is. Daarnaast is het noodzakelijk dat vooraf duidelijk zou moeten worden gemaakt hoe vaak of hoe lang binnen de vastgestelde risicotolerantie dient te worden gebleven. Het is uiteraard een illusie – en vanuit kostenoverwegingen weinig raadzaam – om te veronderstellen dat dit in 100% van de situaties het geval zou moeten zijn. Vervolgens kan achteraf nagegaan worden of dat inderdaad gelukt is. Mijn definitie van ‘in control’ luidt als volgt: ‘Een organisatie is in control als zij beschikt over een management control systeem (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de gevallen/tijd
I. Quintanilla: beeld
MCA: november 2008, nummer 7
9
binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten die risicotolerantiegrens wordt getreden, stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen.’ In figuur 1 zijn de gearceerde momenten de momenten waarop de organisatie buiten de vooraf gedefinieerde risicotolerantie verkeert. Indien de totale duur van deze over- en onderschrijdingen binnen het boekjaar binnen het vooraf gedefinieerde percentage blijft, is de organisatie ‘in control’.
Kwantificeren van risico’s Het kwantificeren is op zich al een complexe zaak en komt nog weinig voor, met uitzondering van banken en verzekeraars. Uit het onderzoek van Mertens en Blij blijkt dat momenteel gemiddeld slechts 16% van de beursgenoteerde fondsen informatie verstrekt over de risicobereidheid (risk appetite). Bij de AEX-fondsen is dat ongeveer tweemaal zoveel maar nog steeds een magere 33%. Resultaten van onderzoek in het VK (Linsley en Lawrence, 2007), Frankrijk (Gumb, 2007; Combes-Thuélin, Henneron en Touron, 2006) en Canada (Lajili en Zéghal, 2005) zijn op dat punt bepaald niet hoopgevend. Uit mijn oratie (Paape, 2008) blijkt dat ook in Nederland slechts de financiële risico’s enigszins worden gekwantificeerd. Voor strategische en operationele risico’s vindt dat niet plaats. Als u nadere details wenst, is het lezen van het onderzoek van Mertens en Blij (2008) een aanrader. Verder is er nog de vraag of we kunnen spreken over ‘in control’ zijn op een bepaald moment, over een bepaalde periode en, nog mooier, als we kunnen spreken over de toekomst. In het fameuze COSO-rapport (1992, 1994) is die discussie indertijd ook gevoerd. Uit praktische overwegingen werd toen geconcludeerd dat een ‘point-in-time’ rapportage inzake ‘internal control’ het meest voor de hand lag. De eerlijkheid gebiedt te zeggen dat de achterbannen van de leden van COSO de bui al zagen hangen indien een verklaring diende te worden gegeven over een periode. Natuurlijk lijkt een ‘point-in-time’ verklaring weinig relevant. In mijn ogen is dat uitgangspunt ook conform mijn definitie niet langer houdbaar. Een periodeperspectief is onontbeerlijk. Het gaat er immers om of in de verslagperiode binnen de risicotolerantie is gebleven en daarin is 31 december een volstrekt willekeurig moment.
10
MCA: november 2008, nummer 7
Een toekomstgerichte uitspraak ligt zo mogelijk nog minder voor de hand. Het voorzien van de toekomst is uitermate hachelijk. Een dergelijke garantie is mijns inziens niet waar te maken. De wens van onder andere de Monitoring Commissie (2007) om toch een ‘forward looking statement’ op te nemen is af te raden. Zoals hierna zal blijken is zelfs de vraag om een ‘in control’ verklaring al dubieus.
Het management control systeem (MCS) Een MCS is een uitermate complex geheel. De literatuur kent vele artikelen en boeken die zicht proberen te geven op de samenstellende delen ervan. Voor een beknopt overzicht verwijs ik graag naar mijn oratie (Paape, 2008). Het vinden van consensus inzake die delen is al geen sinecure. Op grond van een analyse en een zekere mate van synthese van bestaand onderzoek en modellen zoals COSO (1992, 1994), Simons (1995) en Ferreira en Otley (2005) kom ik tot de volgende relevante elementen van een MCS: ~ de missie/visie/strategie; ~ de wijze waarop doelen tot stand komen; ~ de structuur van de organisatie; ~ de wijze waarop ‘key performance indicators’ worden bepaald; ~ hoe de performance wordt gemeten; ~ de leiderschapsstijl; ~ de wijze waarop met beloningen wordt omgegaan; ~ de cultuur of ‘tone at the top’ van de organisatie; ~ hoe het gedrag van mensen wordt beïnvloed en mensen worden gemotiveerd; ~ de wijze waarop feedback is georganiseerd; ~ het gebruik van informatie- en communicatiesystemen; ~ hoe monitoring plaatsvindt; ~ wat de onderneming doet om de veranderingen in de omgeving te onderkennen en daarop in te spelen (lerend vermogen); en tot slot ~ hoe de samenhang tussen de hiervoor genoemde elementen wordt geborgd. Deze opsomming is wat mij betreft te beschouwen als een ‘best practice’ en daarmee geen normatief model. Het probleem is dat voor geen van de 14 afzonderlijke elementen een normatief kader beschikbaar is op grond waarvan kan worden bepaald wat wel of niet goed is in welke omstandigheden.
op groepsniveau Zelfbewustzijn; beleid; doelgericht handelen 6
Dier
5
Plant
Doelgerichtheid; bewustzijn Taakverdeling en -coördinatie; samenwerking; interactie met omgeving; aanpassen
4
Cel
Zelfhandhaving
3
Thermostaat
Terugkoppeling
2
Uurwerk
Tijd; eenvoudige bewegingen
1
Raamwerk
Statische structuur
Figuur 2: De systeemhiërarchie volgens Boulding (1956)
William Allum: beeld
Laat staan dat er een gemeenschappelijk idee bestaat over de interactie van de elementen. Helpen een juiste cultuur en leiderschapsstijl een gebrek aan functiescheiding te compenseren? Niemand die het weet en onderzoek dat een dergelijke stelling kan schragen, is er niet. Het zal duidelijk zijn dat de combinaties die mogelijk zijn met de genoemde 14 elementen zo groot zijn, dat wetenschappelijk onderzoek de gewenste antwoorden niet snel zal kunnen leveren. Een oordeel over zo’n complex geheel is dan ook bepaald niet eenvoudig en dat maakt dat een in-controlverklaring niet anders dan zwaar geclausuleerd kan zijn. Dat enige bescheidenheid op zijn plaats is, wordt nog duidelijker aan de hand van de systeemhiërarchie van Boulding (1956) (zie figuur 2). Boulding maakt duidelijk dat onze menselijke vermogens ons in staat stellen te doorgronden wat op niveau 3 geschiedt. We zijn daar in staat te begrijpen wat er gebeurt als we een bepaalde actie doen en te voorspellen wat het resultaat zal zijn. Op de niveaus daarboven zijn we daartoe nog lang niet in staat. Een voorbeeld van de juistheid van die stelling is dat we op het niveau van de cel wel veel weten, maar nog steeds onvoldoende kennis hebben om kanker effectief te kunnen voorkomen dan wel kunnen genezen. Volgens het schema proberen we met een in-controlverklaring een uitspraak te doen op niveau 8 en dat lijkt mij zeer aanmatigend. Mijn conclusie is dan ook dat een in-controlverklaring eigenlijk onmogelijk is. Dat wil niet zeggen dat het daarmee te allen tijde vermeden dient te worden. Als we met elkaar afspreken dat zo’n verklaring noodzakelijk is, mag dat. Het is dan wel zaak alle aannames en veronderstellingen en vooral beperkingen duidelijk te maken. Daarmee wordt de verklaring natuurlijk zwaar geclausuleerd maar een ongeclausuleerde versie lijkt mij zeer af te raden omdat daarmee zekerheden worden gesuggereerd die er naar mijn overtuiging (nog) niet zijn. De echte waarde is gelegen in het feit dat continu aandacht wordt gegeven aan de sterkten en zwakten van de risicomanagement- en interne beheersingssystemen. Het proces is belangrijker dan de eindbestemming. Het is mijn overtuiging dat die continue aandacht ook een continu leerproces kan creëren, waardoor voortdurend verbeteringen in het MCS kunnen worden aangebracht. Die voortdurende aandacht is sowieso noodzakelijk omdat een onderneming zich beweegt in een omgeving
MCA: november 2008, nummer 7
11
‘Helpen een juiste cultuur en leiderschapsstijl een gebrek aan functiescheiding te compenseren?’ die ook bij voortduring aan verandering onderhevig is en zich dus ook regelmatig dient aan te passen (zie element 13).
Het belang van beloningen De beloningssystematiek is één van de meest krachtige maar ook meest gevaarlijke instrumenten voor het beïnvloeden van het gedrag van mensen. Daarom en vanwege de momenteel nogal eens hoog oplopende discussies wordt dit element in dit artikel er speciaal uitgelicht. De relatie tussen hoge beloningen, excessieve risico’s en de huidige kredietcrisis wordt steeds breder erkend. Toezichthouders als de Financial Services Authority in het VK, de Senior Supervisors Group (de verzamelde centrale banken van Frankrijk, Duitsland, Zwitserland, het VK, en de VS) constateren dat disproportionele risico’s zijn genomen ten behoeve van korte termijn winstbejag. Wellink (2008), president van De Nederlandsche Bank, meldde onlangs dat De Bank de beloningssystematiek in hun beoordeling van de onder hun toezicht staande financiële instellingen gaat meenemen. Jensen en Murphy voerden in 2004 een diepgaande analyse uit van de wijze waarop met beloningen werd en wordt omgegaan en hoe verantwoord dat was. Hun conclusies luidden dat de systematiek, zoals die in Amerikaanse beursgenoteerde ondernemingen werd gehanteerd, totaal gecorrumpeerd is en toe is aan een grootschalige hervorming. Hoezeer de theorie ook aanbeveelt om met financiële prikkels topmanagers te prikkelen, de wijze waarop dat werd gerealiseerd, leidde tot disfunctioneel gedrag. Eén van de manieren was het manipuleren van verantwoordingen. Jensen en Murphy concluderen: ‘[…] we have no doubt that short-term earnings are being manipulated in many, if not all, companies.’ De vraag is ook wie toezicht uitoefent op de toegekende beloningen. De remuneratiecommissie van de raad van commissarissen is het aangewezen orgaan. Ik heb de indruk dat zij in een aantal gevallen niet goed hebben opgelet. Jensen en Murphy (2004) bevelen versterkte dijkbewaking aan in geval van hoge prestatiebeloningen. In de jaarverslagen van de AEX- en de AMX-bedrijven is niet terug te vinden of en in hoeverre controle plaatsvindt. Bij AEX-fondsen blijkt dat in 83% van de bedrijven de variabele beloningscomponent van topmanagers meer dan 50% uitmaakt van het totale pak-
12
MCA: november 2008, nummer 7
ket (Paape, 2008). Bij AMX-fondsen ligt dit percentage op 68%. De koppeling tussen te behalen doelen en de variabele beloning wordt volgens de Monitoring Commissie (2007) nog onvoldoende gelegd. In zijn boek ‘Controle is goed, vertrouwen is beter’ wijst Cools (2005) op het gevaar van een verkeerd gebruik van prestatiebeloning en adviseert een bandbreedte van 25 tot 50%. De maximale prestatiebeloning zou niet meer dan de helft van de totale beloning mogen uitmaken. Uit onderzoek van PricewaterhouseCoopers (2008) blijkt echter dat ongeveer tweederde van de totale beloning van bestuursvoorzitters wordt gevormd door allerlei bonussen. Dat dit kan leiden tot het nemen van excessieve risico’s wordt dankzij de huidige kredietcrisis dagelijks bewezen. Wachter (2008) verscheen in maart 2008 voor een commissie van het Amerikaanse Congres en merkte dan ook het volgende op: ‘The current crisis is a textbook demonstration of how misaligned incentives cause financial markets to fail.’
Waartoe draagt een in-controlverklaring bij? De werkelijke vraag blijft natuurlijk of een in-controlverklaring ergens toe bijdraagt. De conclusies van enkele onderzoeken zijn dat ruimere risicorapportages leiden tot lagere vermogenskosten (Sengupta, 1998), een meer liquide markt (Welker, 1995), betere prestaties op de beurs (Healy et al, 1999) en een lagere gevoeligheid van de omzet voor schommelingen (Linsmeier et al, 2002). Uit enkele onderzoeken blijkt dat SOx een positief effect heeft op de beurskoers (Jain en Rezaee, 2006) en dat de voordelen de nadelen van hogere kosten van compliance overtroffen. Het blijkt dat ondernemingen die een betere governance kennen, transparanter zijn en geloofwaardiger auditfuncties hebben, een sterker positief effect laten zien dan zwakkere broeders. Onderzoek van Scholz (2008) maakt duidelijk dat dankzij SOx er geleerd lijkt te zijn en dat inmiddels minder ‘restatements’ voorkomen. Ook het aantal gerapporteerde fraudes lijkt af te nemen. In Nederland heeft inmiddels een respectabele rij bedrijven zich teruggetrokken van de Amerikaanse beurs. Het betreft bedrijven zoals Akzo Nobel, Air France-KLM, KPN en Océ. Mogelijk is één van de redenen dat de kosten van naleving van SOx (te) hoog zijn. Bijzonder is wel dat ik van alle genoemde bedrijven persoonlijk heb vernomen dat men zou doorgaan met een – weliswaar ‘light’ – variant van SOx. Die keuze is ook ingegeven door de
positieve ervaringen die men heeft opgedaan met SOx in relatie tot het verbeteren van de sterkte van het internal-controlsysteem. Resumerend kunnen we stellen dat het rapporteren over ‘in control’ positieve effecten lijkt te hebben, waarbij de resultaten van wetenschappelijk onderzoek overigens niet eenduidig zijn. Transparantie over risico’s en beheersingssystemen wordt positief gewaardeerd. Verder is er nog behoorlijk wat ruimte voor verbetering als het gaat om het rapporteren inzake risico’s. Het ligt niet in de rede te veronderstellen dat daar snel verandering in zal komen op basis van vrijwilligheid. De Monitoring Commissie is aan zet om die nadere duiding van rapportering over risico’s en beheersingssystemen te verschaffen. In de hiernavolgende conclusies zet ik mijn suggesties op een rij.
Conclusies Verklaren dat een organisatie ‘in control’ is, is geen eenvoudige zaak, zo niet onmogelijk. Wat mij betreft niet doen dus. Een MCS is een complex geheel van een groot aantal samenstellende delen. Momenteel lijkt gebakken lucht de boventoon te voeren. Er wordt weliswaar veel gerapporteerd, maar echt begrijpelijk zijn de rapportages nog niet. Het is niet coherent, het ontbreekt aan kwantitatieve gegevens, zeker als het gaat om strategische en operationele risico’s. Kwantificering van alle belangrijke risico’s en een gekwantificeerde risicotolerantie lijken mij eisen die in de regelgeving dienen te worden opgenomen. Er worden nu te veel beloftes gedaan en mooie voornemens en formuleringen uitgesproken. Onder druk wordt alles vloeibaar en de disciplinerende werking komt niet van bedrijven zelf. Zij streven eerder naar minder dan naar meer regels. SOx heeft echter geleerd dat er kennelijk nogal wat achterstallig onderhoud was en veel bedrijven lijken daar uiteindelijk toch van overtuigd te zijn. Zelfs die bedrijven die van de Amerikaanse beurs afgaan, handhaven een ‘light’ versie van SOx. De regels dienen niet ‘rules based’ – en daarmee vaak gedetailleerd – te zijn, maar ‘principle based’. Iedere onderneming is uniek en dient zijn eigen MCS te ontwikkelen. Ik pleit ervoor de volle breedte – strategisch, operationeel en financieel – van het in-controlvraagstuk in ere te herstellen. Momenteel geven bedrijven slechts een mening over de financiële rapporteringsrisico’s. Uiteindelijk komt aandacht voor alle risico’s de beheersing ten goede. Als een in-control-
verklaring wordt gevraagd, is die uiteraard geclausuleerd en maakt duidelijk hoe vaak de grenzen werden overschreden. Het betreft een verklaring over de werking van systemen en betreft de verslagperiode. Echter, het proces is belangrijker dan de in-controlverklaring zelf. In mijn ogen is er in die zin dus sprake van een te koesteren fenomeen waarbij het voor iedereen duidelijk moet zijn dat er nog ongelooflijk veel ontbreekt aan onze kennis om erg veel zekerheid te mogen verwachten. Dat is niet erg. Al struikelend gaan we voorwaarts. Prestatieafhankelijke beloningen dienen aan banden te worden gelegd, omdat excessen leiden tot ondermijning van het vertrouwen in bedrijven en aanzet tot meer disfunctioneel gedrag, waardoor zelfs de maatschappij dreigt te worden ontwricht. Indien remuneratiecommissies hun verantwoordelijkheid niet nemen, is regelgeving ook op dit punt onvermijdelijk. De door de Monitoring Commissie gevraagde transparantie inzake de relatie tussen prestatie-indicatoren en variabele beloning, zowel ex ante als ex post, is hard nodig. Transparantie over risico’s, het proces van de totstandkoming van de in-controlverklaring, de risicotolerantie en de gekwantificeerde risico’s is noodzakelijk. Zonder dat is een afgewogen beoordeling voor stakeholders onmogelijk. Zij hebben er recht op dit te weten om te kunnen afwegen of hun deelname aan de onderneming nog gerechtvaardigd is. Literatuur ~ Boulding, K.E. (1956). General system theory – the skeleton of science, General Systems I, Society for General Systems Research: Louisville. ~ Combes-Thuélin, E., Henneron, S., en Touron , P. (2006). Risk regulations and financial disclosure: An investigation based on corporate communication in French traded companies, Corporate Communications: An International Journal, vol. 11, issue 3: 303-326. ~ Committee of Sponsoring Organisations of the Treadway Commission (1992). Internal Control – Integrated Framework, Jersey City: American Institute of Certified Public Accountants. ~ Committee of Sponsoring Organizations of the Treadway Commission (1994). Internal Control – Integrated Framework, Jersey City: American Institute of Certified Public Accountants. ~ Cools, K. (2005). Controle is goed, vertrouwen nog beter: Over bestuurders en corporate governance, study for Stichting Management Studies (SMS), Koninklijke Van Gorcum BV: Assen.
MCA: november 2008, nummer 7
13
~ Ferreira, A., en Otley, D. (2005). The Design and Use of Management Control Systems: An Extended Framework for Analysis. Working paper.
~ PricewaterhouseCoopers (2008). Executive Remuneration in The Netherlands, PricewaterhouseCoopers. ~ Scholz, S. (2008). The Changing Nature and Consequences of Public
~ Gumb, B. (2007). What is Shown, what is hidden: Compulsory disclosure as a spectacle, Critical Perspectives on Accounting, vol. 18: 807-828.
Company Financial Restatements 1997-2006, The Department of the Treasury. ~ Sengupta , P. (1998). Corporate disclosure quality and the
~ Healy, P., Hutton, A., en Palepu, K. (1999). Stock performance and intermediation changes surrounding sustained increases in disclosure, Contemporary Accounting Research, Fall 1999: 485-520.
cost of debt, The Accounting Review, vol. 73: 459-474. ~ Simons, R. (1995). Levers of Control: How Managers Use Innovative Control Systems to Drive Strategic Renewal, Harvard Business School Press: Boston.
~ Jain, P.K., en Rezaee, Z. (2006). The Sarbanes-Oxley Act of
~ Wachter, S.M. (2008). Executive Compensation II: CEO
2002 and Capital-Market Behavior: Early Evidence, Con-
pay and the mortgage crisis, Testimony before The Com-
temporary Accounting Research, vol. 23: no. 3.
mittee on Oversight and Government Reform, U.S. House
~ Jensen, M.C., en Murphy (2004). Remuneration: Where we’ve been, how we got to here, what are the problems, and how to fix them, European Corporate Governance Institute. ~ Lajili, K., en Zéghal, D. (2005). A content analysis of risk management disclosures in Canadian annual reports, Ca-
of Representatives, March 7, 2008. ~ Wellink, A.H.E.M. (2008). Speech president Wellink ‘It’s the incentive, stupid!’ Conferentie ‘Integrating micro and macroeconomic perspectives on financial stability’, Rijksuniversiteit Groningen, 26 mei 2008.
nadian Journal of Administrative Sciences, June 2005, vol. 22, issue 2: 125-142. ~ Linsmeier, T.J., Thornton, D.B., Venkatachalam, M., en Welker, M. (2002). The effect of mandated market risk disclosure on trading volume sensitivity to interest rate, exchange rate and commodity price movements, The Accoun-
CWjj^_`i )&
ting Review, April 2002, vol. 77, no. 2: 343-377. ~ Linsley, P.M., en Shrives, P.J. (2006). Risk Reporting: A study of risk disclosures in the annual reports of UK companies, The British Accounting Review, 38: 387-404. ~ Linsley, P.M., en Lawrence, M.J. (2007). Risk Reporting by the largest UK companies: readability and lack of obfuscation, Accounting, Auditing & Accountability Journal, 20 (4): 620627. ~ Mertens, G.M.H., en Blij, I.H.C. (2008). Inzicht in Onzekerheid; Onderzoek naar de risicoparagrafen in de jaarverslagen 2007 van beursfondsen, Koninklijk NIVRA, Amsterdam, http://www.nivra.nl/Downloads/Externe_verslaggeving /nivra_071007_inzicht_LR.pdf ~ Monitoring Commissie Corporate Governance Code, tweede rapport over de naleving van de Nederlandse corporate governance code (2006). Den Haag. ~ Monitoring Commissie Corporate Governance Code, derde rapport over de naleving van de Nederlandse corporate governance code (2007). Den Haag. ~ Paape, L. (2008), ‘In control’ verklaringen: Gebakken lucht of een te koesteren fenomeen? Oratie uitgesproken op 25 juni 2008, Nyenrode Business Universiteit, Breukelen, http://www.nivra-nyenrode.nl/onderzoek/oraties1/overzicht-oraties-1/Oratie-LeenPaape.pdf/view?searchterm=paape
