MCA
3
Internal control
Endemols weg naar SOX en COSO II Drs. H.A.L.M. van Horn RA RC en drs. A.T.W.M. Oostvogel RA Henri van Horn is adviseur en commissaris van ondernemingen; Alex Oostvogel is Chief Financial Officer (CFO) en lid van de Raad van Bestuur van Endemol Holding NV In het jaar 2000 werd Endemol van de Nederlandse effectenbeurs gehaald vanwege de overname door Telefónica S.A. Dit betekende echter niet dat Endemol zou zijn verlost van de beursregelgeving. Het Spaanse telecomconcern is namelijk genoteerd aan onder meer de New York Stock Exchange. Door deze notering is Telefónica verplicht de regelgeving na te leven van de Amerikaanse beurstoezichthouder: de U.S. Securities and Exchange Commission (SEC). De SEC heeft de Amerikaanse Sarbanes-Oxley Act van 2002 (SOX) van toepassing verklaard op aan Amerikaanse effectenbeurzen genoteerde ondernemingen. De regelgeving van de SEC heeft voor genoteerde ondernemingen ook tot gevolg dat (buitenlandse) dochterondernemingen moeten voldoen aan SOX. Endemol moest daarom aan de slag met deze wet. Sectie 404 van de wet vereist een gestructureerde en gedocumenteerde ‘internal control over financial reporting’, waarover moet worden gerapporteerd. Dit artikel geeft een casebeschrijving van de manier waarop Endemol de weg naar implementatie heeft gerealiseerd.
Wat is Endemol? Endemol is in 1994 ontstaan door een fusie van twee Nederlandse TV-producenten: Joop van den Ende Productions en John de Mol Produkties, nadat Joop van de Ende midden jaren ’70 was gestart met het ontwikkelen en produceren van amusementsprogramma’s. Het is de strategie van Endemol om wereldwijd een leidende rol te spelen als een ontwikkelaar, producent en distributeur van creatieve en marktgedreven amusement voor televisie en interactieve media. Endemol Holding NV, gevestigd in Hilversum, heeft dochterondernemingen en joint ventures in 23 landen van Europa, Latijns-Amerika, de Verenigde Staten, Australië en Zuid-Afrika. Sedert de zomer van 2000 is Endemol een onderdeel van de Spaanse Telefónica Groep. Telefónica S.A. is veruit de grootste telecom service provider in het Spaans en Portugees sprekende deel van de wereld. Endemol heeft in 2004 een omzet gerealiseerd van € 1.033,7 miljoen met een aantal medewerkers van meer dan 3300 fte. Hiermee werd meer dan 25.000 uur televisie geproduceerd voor ongeveer 376 series van 250 formats.
22
Owner’s control Endemol is voortgekomen uit een fusie van Joop van den Ende Productions en John de Mol Produkties. Niet alleen naam-, maar ook zeer persoonsgebonden bedrijven vanwege de passie van de beide eigenaren voor het ontwikkelen van amusementsprogramma’s. De stijl van ‘business control’ van beide heren is algemeen bekend: bij het opnemen van televisieprogramma’s gaf Joop zelf aan wanneer er door het publiek moest worden geklapt en op kantoor plakte John aan het einde van de dag gele stickers bij medewerkers die vergeten waren het licht uit te doen in hun kamer.
”
Het creatieve proces mag niet worden belemmerd door ‘tight’ control Was persoonsgebonden control een karakteristiek binnen Endemol, creativiteit is een voorwaarde voor het ontwikkelen van nieuwe programma’s. En dat creatieve proces mag natuurlijk niet worden belemmerd door ‘tight’ control. Hier ligt een professioneel dilemma. Het creatieve proces kan echter beheersbaar blijven wanneer wereldwijd in alle dochterondernemingen van Endemol een goede, uniforme financiële rapportage wordt geïimplementeerd die tijdig de locale cijfers ‘onthult’ bij de holding in Hilversum, waar de analyse plaatsvindt door Endemol Group Control.
Financial control Zo is in de periode 2000-2003 de eerste stap gerealiseerd in de professionalisering van de financiële functie binnen Endemol, waarmee op holdingniveau het bedrijfsgebeuren binnen de werkmaatschappijen financieel transparant werd gemaakt. Als instrument hiervoor is het Endemol Finance Manual ontwikkeld, dat een standaard financiële rapportagestructuur hanteert en uniforme waarderingsregels voorschrijft. Het Endemol Finance Manual is de richtlijn voor de financiële rapportage van de werkmaatschappijen en wordt daarom vooral gebruikt binnen de financiële afdelingen
”
Internal control
MCA Tijdschrift voor Organisaties in Control
van die werkmaatschappijen. Daarnaast is de brochure Finance in Endemol: partners in business samengesteld om de toegevoegde waarde van de financiële functie in het totale bedrijfsproces van Endemol te definiëren en deze vervolgens te communiceren naar de financiële functie zelf alsmede naar de andere bedrijfsfuncties binnen Endemol. De brochure definieert de rol van de financiële functie bij een werkmaatschappij door middel van drie taakgebieden: 1. de verantwoordelijkheden van de finance manager in het managementteam; 2. de taken van de financiële functie in relatie tot de andere functies; 3. de managementtaken binnen de eigen financiële afdeling. Omdat de CFO te maken heeft met diverse tegenstellingen, moet hij zoeken naar de juiste balans. In een creatieve omgeving met veel ondernemers heeft de financiële discipline niet altijd een even hoge prioriteit. De organisatorische inbedding van genoemde taken worden op holdingniveau aangestuurd door de Group Controller en zijn drie subsidiary controllers die ieder als aandachtsgebied hebben een groep van Endemol-werkmaatschappijen met hun respectieve finance managers. Op deze wijze wordt decentrale control centaal gecoördineerd en aangestuurd met groepsrichtlijnen. Jaarlijks wordt een Finance Managers Conference georganiseerd om de wederzijdse feedback hierover te activeren, onderlinge kennisuitwisseling te realiseren, de financiële visie uit te dragen en de onderlinge band te verstevigen.
Business operations
2005
Management control Werd de periode van 2000-2003 vooral gebruikt om de financiële organisatie en financiële rapportage van Endemol transparant en gestandaardiseerd te krijgen, 2004 was het jaar om de volgende stap te maken: de management control van alle bedrijfsprocessen van Endemol. Daar was om diverse redenen aanleiding toe. Na het op orde brengen van financial control binnen Endemol was dit een logische vervolgstap. Maar er was ook een actuele aanleiding: de opkomende aandacht voor corporate governance en met name de verplichtingen als gevolg van de Amerikaanse Sarbanes-Oxley Act van 2002 (SOX). Weliswaar is Endemol zelf geen beursgenoteerde onderneming meer, maar zijn aandeelhouder, Telefónica S.A., is genoteerd aan de New York Stock Exchange (NYSE). Dit betekende dat Endemol zich moest buigen over de consequenties van deze wet voor zijn organisatie. Telefónica zette nog eens extra druk op de ketel door eind 2002 een persbericht te publiceren: “Telefónica’s board has approved stringent new regulations governing financial and accounting information and control. The new measures are part of a wide range of initiatives aimed at maintaining the highest standards of quality and transparency in management.”
Risk Management Assessment De Executive Board van Endemol Holding heeft het initiatief van de Telefónica overgenomen en besloten dat de Endemol Groep Sarbanes-Oxley ‘compliant’ moest wor-
Internal Assurance Structure
External Assurance
Reporting
Group strategy
Business Strategy
Audit Strategy
Risk analysis
Business risks
Audit Approach & Group Audit instructions
Risk assessment Risk Control Framework
Organisation
Processes
Lines of Defense (page 2)
COSO model (page 3)
• • • • •
Governance Policy Management controls Monitoring (BSC) Internal reporting Process controls (AO/IC)
• Internal reports • Financial statements • Management Control Report (for audit committee )
• • • •
Highlightsmemo Audit opinion Management letter Report to Supervisory Board ( including Opinion on Management Control Report)
Figuur 1. Endemol Risk Management Model.
23
MCA
3
Internal control
den. Eind 2003 werd als eerste stap hiertoe de externe accountant van Endemol gevraagd aan te geven welke aanvullende maatregelen Endemol zou moeten nemen om dit te realiseren. Vervolgens heeft de accountant een voorstel gemaakt voor een actieplan: ‘Endemol Risk Management and Corporate Governance 2003-2005’. Naar volgorde van prioriteit bestond dit plan uit de volgende actiepunten. “1. Formulate Corporate Governance and Risk Management Policy, discuss internally and approve. 2. Extend the current internal control framework and finance manual for process analysis, risk controls and control effectiveness in line with Sarbanes-Oxley (COSO model). 3. Include responsibilities related to Risk Management in function profiles. 4. Adjust current letter of representation to SarbanesOxley. 5. Develop a reporting structure on Corporate Governance and Risk Management and communicate.” Vervolgens zijn deze actiepunten door Endemol ter hand genomen op de wijze zoals in het vervolg van dit artikel zal worden besproken.
• •
internal assurance: een in de organisatie verweven proces van risicoanalyse en rapportage; in het kader van de external assurance werd de externe accountant gevraagd een auditstrategie op te stellen die het voorgaande transparant maakt en controleert op zijn werking.
”
Risicomanagement moet niet verworden tot een papieren tijger
In het ex-ante-proces is de risicopreventie van de zogenoemde ‘Lines of Defense’ een belangrijke organisatorische maatregel binnen Endemol. De werking hiervan wordt in beeld gebracht in figuur 2. De componenten van de internal en external assurance worden in het vervolg van dit artikel besproken.
Management Control Report Endemol Risk Management Model Om risicomanagement niet te laten verworden tot een papieren tijger, maar te integreren in het totale bedrijfsproces van Endemol, werd het Endemol Risk Management Model in 2003 opgesteld (zie figuur 1). Het model wordt tevens gebruikt om de interne en externe taken van de verschillende functies met betrekking tot risicomanagement te communiceren. Het model maakt een onderscheid tussen: • business risks als onderdeel van de business operations: het onderkennen van risico’s die inherent zijn aan de gekozen strategie: een ex-ante proces;
Als aanzet om reeds over het boekjaar 2003 het verantwoordingsproces van internal control over financial reporting conform artikel 404 van SOX binnen Endemol te realiseren, werd begin 2004 het Endemol Management Control Report 2003 opgesteld door Group Control ten behoeve van de Executive Board van Endemol. Dit eerste Management Control Report (MCR) had een drieledig doel: 1. senior management bewust maken van de implicaties voor de Endemol-organisatie van de SOX-wetgeving en dan met name van artikel 404; 2. verantwoording afleggen over de stand van zaken met betrekking tot internal control in de Endemol-organisatie in het boekjaar 2003 en de in dat jaar genomen
Supervisory Board External Assurance
Endemol Executive Board Audit Committee
3rd Division Division Telefonica Filiales Contenidos
Risk Endemol Group Controlling
2nd
Risk Endemol EndemolCountry Opco Management Management Risk
Figuur 2. Lines of Defense.
24
1st
Operating Company Board
”
Internal control
initiatieven als aanloop naar volledige naleving, ‘compliance’, van artikel 404; 3. actiepunten voorstellen met betrekking tot internal control voor realisatie in 2004 om volledig te gaan voldoen aan SOX artikel 404. Mede gezien de actualiteit van de implementatie van artikel 404 was het eerste MCR van Endemol vooral aan dit onderwerp gewijd. Echter de doelstelling van het MCR van Endemol is om een verantwoordingsstuk te kunnen overleggen aan het Audit and Control Committee van de Raad van Commissarissen met betrekking tot de stand van zaken van corporate governance, en daarmee business control, binnen de Endemol organisatie. Het concept hiervan wordt gevisualiseerd in de Endemol Control Cycle (ECC; zie figuur 3). Het ECC is opgebouwd uit de controlcomponenten van COSO om aan te geven dat Endemol de aanbeveling van SOX voor dit framework overneemt.
Internal Control Framework Het hiervoor besproken Endemol Management Control Report en het Endemol Risk Management Model zijn initiatieven die op holdingniveau genomen zijn om het control-proces binnen de gehele Endemol-organisatie te structureren. De volgende stap die moest worden genomen was om het nieuwe control-concept handen en voeten te geven binnen de 23 landen waarin werkmaatschappijen van de Endemol Groep werkzaam zijn. Hiertoe werd het Internal Control Framework (ICF) van Endemol ontwikkeld. Met het ICF wordt niet alleen de door SOX artikel 404 gevraagde documentatie van control-activiteiten binnen Endemol gerealiseerd, maar het beoogt ook de onderbouwing te geven voor het management certificaat zoals dat wordt vereist door SOX artikel 302. Met behulp van een adviesbureau, zijnde niet de huisaccountant, werden door middel van een pilot bij Endemol Nederland alle belangrijke bedrijfsprocessen van Endemol beschreven in een ‘software tool’: MAVIM. Als logisch vervolg op het hiervoor beschreven Endemol Risk Assessment Model werd hierbij gekozen voor een risico georiënteerde benadering van de bedrijfsprocessen en de daarbij behorende controls. Derhalve moesten in MAVIM de volgende onderwerpen worden gedocumenteerd: 1. alle belangrijke bedrijfsprocessen: creatie, verkoop, produktie en de ondersteunende processen); 2. de aan deze processen inherente risico’s 3. de controles die deze risico’s ondervangen; 4. de bijbehorende werkinstructies. De doelstelling hierbij zal duidelijk zijn: het realiseren van ‘disclosure controls and procedures’ conform SOX artikel 302. Zoals bekend is deze omschrijving ruimer dan de in SOX artikel 404 bedoelde ‘internal control over financial reporting’. Artikel 302 vereist van de CEO en CFO van de onderneming een door hen ondertekend certificaat waarin staat
MCA Tijdschrift voor Organisaties in Control
2005
dat zij, zeer kort samengevat, ‘in control’ zijn, dat de overlegde financiële verantwoordingsstukken niet onjuist zijn en dat eventuele tekortkomingen zijn gerapporteerd aan de accountant en het auditcommittee. Hiertoe heeft Endemol de tekst van zijn reeds langer bestaande ‘Letter of Representation’ aangepast.
Assessment plan Was documentatie van bedrijfsprocessen, risico’s, controles en werkinstructies de eerste fase van de uitvoering van het ICF, de tweede fase is de beoordeling of de geïdentificeerde controles zodanig effectief en efficiënt zijn dat zij de onderkende risico’s ondervangen. Hier moeten de werkmaatschappijen van Endemol zelf aan het werk. Van hen wordt gevraagd dat zij een risicobeoordeling doen in hun eigen locale situatie en controles ontwikkelen en documenteren die instrumenteel zijn in hun specifieke situatie. Van lokaal management wordt verwacht dat het zijn sleutelcontroles identificeert en vervolgens periodiek test of deze controles: • effectief zijn, dat wil zeggen: of de controles werken; • efficiënt zijn, dat wil zeggen: of de controles onderkende risico’s ondervangen. Aan het resultaat per primair of ondersteunend proces wordt een prioriteit toegekend: ‘low’, ‘medium’ of ‘high’. Om control assessment als proces te integreren in de organisatie van elke werkmaatschappij, heeft Endemol de navolgende methodologie ontwikkeld.
Endemol ControlCycle Control Control Environment Environment
Monitoring Monitoring
Endemol ’s Strategy Strategy Information Information && Communication Communication
Risk Risk Assessment Assessment
Control Control Activities Activities
Figuur 3. Endemol Control Cycle.
25
MCA
3
Internal control
1. Iedere werkmaatschappij stelt een ‘assessment plan’ op met een overzicht van de sleutelcontroles die moeten worden beoordeeld. 2. Om het assessment door alle werkmaatschappijen op een uniforme wijze te laten uitvoeren, zijn zij voorzien van een assessment template (zie figuur 4). 3. Elke werkmaatschappij voert ieder kwartaal een assessment uit en analyseert de resultaten. 4. De resultaten en analyses worden elk kwartaal gerapporteerd aan de Group Controller van Endemol. De subsidiary controller bespreekt ze met de betreffende finance manager van de werkmaatschappij. 5. Aan het eind van ieder verslagjaar stelt de Group Controller een assessmentrapport op met de analyseresultaten van alle werkmaatschappijen. Voorzien van actiepunten en met vermelding van de verantwoordelijke voor uitvoering en de prioriteiten voor het komende jaar, wordt dit rapport vervolgens besproken in de Executive Board van Endemol en het Audit and Control Committee van de Raad van Commissarissen. Over 2004 heeft de assessmentrapportage van alle werkmaatschappijen van Endemol voor het eerst plaatsgevonden. Hoewel het resultaat bevredigend was voor een initiële rapportage en het rapport tijdig kon worden opgeleverd, moest toch een aantal conclusies worden getrokken: • de kwaliteit van de documentatie en de assessments van de diverse werkmaatschappijen varieerde nogal; • door de risicobenadering van het ICF bleken niet alle relevante onderwerpen te zijn geadresseerd (bijvoorbeeld personeelgerelateerde onderwerpen als opvolgingskwesties, kennismanagement, jobrotatie, kennis van Endemolprocedures of ondernemingsbeleid)
•
veel assessments bleken te zijn uitgevoerd door de financiële functie: finance managers en/of controllers, in plaats van door het lijnmanagement van de businessprocessen.
Deze conclusies zijn omgezet in geplande actiepunten voor de betreffende werkmaatschappijen, die zijn geagendeerd voor het eerste kwartaal van 2005.
Telefonica Audit Als onderdeel van haar programma om het hele Telefónica concern te laten voldoen aan de vereisten van SOX heeft Corporate Internal Audit (CIA) van Telefónica medio 2004 een viertal werkmaatschappijen van Endemol gecontroleerd op Endemols voortgang met de implementatie van SOX. De werkmaatschappijen werden hierbij getoetst aan de hand van de vijf control-componenten van COSO: • monitoring; • information and computing; • control activities; • risk assessment; • control environment. De bij de audit gevolgde werkwijze is weergegeven in figuur 5. Teneinde Endemols ‘internal control over financial reporting’ te kunnen evalueren werden door CIA twee methodieken gehanteerd:
Assessment documentation Name Period Date Name Process Sub process Conclusion
Sales Invoicing No omissions noted
Documentation transaction testing Sample number Document id
Approval finance manager Date
Date
Control 1 Authorized by executive producer
<signature>
Control 2 G/L entry
Remarks
1 2 Documentation interview Who
What
Control 1 Control 2 Is the effectiveness and efficiency of the control discussed with the employees involved? What are the conclusions based on discussions with involved employees? Is the control effective and efficient? What are action points? What is the proposed timing for completion of the action points?
Figuur 4. Voorbeeld van een Assessment Template.
26
Enough assurance?
Remarks
Internal control
MCA Tijdschrift voor Organisaties in Control
2005
Figuur 5. SOX Initiative Summary: Calender.
1. De kritische processen en controles werden beoordeeld. De selectie van de werkmaatschappijen en de processen die door CIA werden gecontroleerd, vond plaats aan de hand van vier criteria: • een country factor die wordt bepaald door het niveau en de transparantie van de financiële en wettelijke regelgeving in een bepaald land; • een business factor die wordt bepaald door de groeifase waarin de betreffende bedrijfsactiviteit zich bevindt, de daaraan verbonden risico’s en eventuele andere factoren die ‘stress’ op de financiële rapportages zouden kunnen veroorzaken; • een level of internal control-factor, die is gebaseerd op het resultaat van de hierna te bespreken ‘self-assessment questionnaires’; • een accounting account factor, die werd afgeleid uit de voorgaande drie en die weergeeft het inherente risico verbonden aan een financiële post van de jaarrekening (overigens werd een materialiteitsniveau van € 200 miljoen gehanteerd). 2. ‘Self-assessment questionnaires’ werden uitgestuurd. Hierbij werd de CEO en CFO van elke werkmaatschappij van Telefónica gevraagd een vragenlijst te beantwoorden waarbij de eigen ‘control environment’ moest worden geëvalueerd. De vragenlijst dekt de vijf control-componenten van COSO. Steekproefsgewijze werden de beantwoorde vragenlijsten beoordeeld door CIA. De conclusie van de audit van Telefónica’s CIA was dat Endemol reeds een heel eind gevorderd is met de bouw van een adequate ‘control environment’ in zijn werkmaatschappijen. Naast enkele specifieke aanbevelingen werd aanbevolen de structuur in de control-componenten en de toegankelijkheid in de documentatie van procedures te verbeteren als onderdeel van Endemols ‘internal control over financial reporting’.
Endemol Business Control Framework Om uitvoering te geven aan deze aanbeveling werd in het vierde kwartaal van 2004 het Endemol Business Control Framework (EBCF) samengesteld. Het EBCF moet worden onderscheiden van het hiervoor besproken ICF dat op het niveau van de werkmaatschappijen voorschrijft hoe zij hun bedrijfsprocessen en controls moeten beschrijven, documenteren en periodiek moeten beoordelen op hun werking (‘assessment’). Het EBCF is op holdingniveau ontwikkeld om inhoudelijk sturing te geven aan het ICF-proces in de werkmaatschappijen. Het ICF is de ‘vorm’ en het EBCF is de ‘inhoud’ waarmee een effectieve corporate governance binnen de gehele Endemol Groep wordt gerealiseerd.
COSO II: Enterprise Risk Management Het ICF en de audit van Telefónica waren gestructureerd op basis van de control-componenten van de tot dan toe laatst bekende versie van COSO uit 1994: Internal Control – Integrated Framework (COSO I). Vlak voor de start van de ontwikkeling van het EBCF in oktober j.l., verscheen eind september 2004 de nieuwste versie van COSO: Enterprise Risk Management – Integrated Framework (COSO II). Zie figuur 6 voor een vergelijking van COSO I met COSO II. Omdat Endemol bij de start van de ontwikkeling van het EBCF dit niet wilde baseren op het oude COSO-framework van tien jaar geleden en volledig ‘bij de tijd’ wilde zijn, werd besloten het EBCF te baseren op de control objectives en control-componenten van COSO II. Dit temeer daar COSO II naast de risico-, tevens de controlcomponenten van COSO in zich herbergt. Voorts was het voor Endemol evident dat zijn control
27
MCA
3
Internal control
COSO II
COSO I
Control objectives • Strategic • Operations • Reporting • Compliance
•– • Operations • Financial Reporting • Compliance
Control-componenten • Internal Environment • Objective Setting • Event Identification • Risk Assessment • Risk Response • Control Activities • Information & Communication • Monitoring
• Control Environment •– •– • Risk Assessment •– • Control Activities • Information & Communication • Monitoring
Figuur 6. Vergelijking van COSO II met COSO I.
framework niet zonder ‘Strategie’ als control objective kon functioneren. Dit is het kompas waarvoor het EBCF het stuurwiel is. Realisatie hiervan vindt binnen Endemol plaats door de jaarlijkse planningscyclus te starten met het opstellen van het Endemol Group Stategic Plan voor de komende vier jaar. In het aldus geformuleerde strategisch kader wordt met dit plan tevens invulling gegeven aan de doelstellingen voor de Endemol Groep voor het komende jaar. Vervolgens is dit weer de basis voor de budgettering van de activiteiten van de werkmaatschappijen voor het komende jaar. Met betrekking tot risicocontrol is COSO II verrijkt met de control-componenten ‘Event Identification’ en ‘Risk Response’, dit als verfijning en aanvulling op de reeds uit COSO I bekende ‘risk assessment’. Uit de aard van zijn activiteiten is Endemol een creatieve organisatie die zeker
moest wennen aan de beheersingsinstrumenten die in rap tempo, en in een paar jaar tijd, werden en worden ingevoerd. Tegen deze achtergrond is besloten om in het EBCF ‘risk assessment’ en ‘risk response’ procedureel te combineren tot één control-component.
Endemol Business Control Cycle Met de control-doelstellingen van COSO II en met als hoofdstukindeling de controlcomponenten van COSO II werden de reeds binnen de Endemol Groep bestaande procedures geïnventariseerd en gecategoriseerd. Dit was een activiteit die in zeer korte tijd werd gerealiseerd door de afdelingen Group Control en Legal van Endemol Holding. Uit de inventarisatie bleek dat de op basis van COSO II te regelen onderwerpen grotendeels reeds waren uitgewerkt in bestaande procedures van Endemol, zelfs meer dan aanvankelijk was ingeschat. Door de categorisering van de bestaande procedures volgens de control-componenten van COSO II, werd overigens ook een aantal blinde vlekken in control blootgelegd. Voornaamste hiaat bleek beveiliging zijn, zowel in fysieke zin, als wel dataprotectie. Noodzakelijk geachte procedures, die tot nu toe ontbraken, werden als nog ontwikkeld.
”
Een aantal blinde vlekken in control werd blootgelegd
Het fysieke resultaat van het hiervoor beschreven proces is het Endemol Business Control Framework geworden. Dit bevat: • de doelstellingen van control binnen Endemol in termen van Endemols strategie, bedrijfsactiviteiten, rapportage en ‘compliance’; • de referentie van deze doelstellingen naar de effectuering binnen de Endemol Groep van een goede corporate governance die is gebaseerd op de uitgangspunten van de Nederlandse Corporate Governance Code van 9 december 2003 (‘Code Tabaksblat’) en de Amerikaanse Sarbanes-Oxley Act van 2002; • naar de systematiek van COSO II, een rubricering en documentatie van alle control-procedures en -activiteiten die binnen de Endemol-organisatie op enig bedrijfproces van toepassing zijn. Om de visie en de doelstellingen van het EBCF aan de organisatie te communiceren werd de Endemol Business Control Cycle ontwikkeld (zie figuur 7).
Figuur 7. Endemol Business Control Cycle.
28
”
Internal control
Management Control Report 2004 Als voorlopig sluitstuk, maar ook als verantwoording voor de status van Endemols internal control, werd het tweede Management Control Report (MCR) opgesteld. In het MCR over 2004 doet de Executive Board van Endemol aan het Audit en Control Committee van de Raad van Commissarissen verslag van de hiervoor besproken initiatieven gedurende het verslagjaar 2004 ter verbetering van business control in Endemol, teneinde Endemol te laten voldoen aan de vereisten van SOX. Zoals door artikel 404 van deze wet wordt vereist, verklaart de Executive Board dat zij hiermee een adequaat framework binnen Endemol heeft geïmplementeerd voor een effectieve ‘internal control over financial reporting’. In het MCR wordt ook een aantal verbeterpunten als acties voor het jaar 2005 aangekondigd: • omissies bij een aantal werkmaatschappijen die naar voren zijn gekomen uit de assessment-analyse over 2004; • de aanstelling van een Compliance Officer in Endemol om het EBCF actueel te houden en de naleving in Endemols organisatie te borgen: ‘compliance’; • de invoering binnen Endemol van een Internal-Auditfunctie. Over deze verbeterpunten zal de Executive Board van Endemol zich verantwoorden in de eerstkomende vergadering van het Audit en Control Committee van de Raad van Commissarissen van Endemol. Hiermee wordt Endemols Control Cycle sluitend gemaakt en is de voortgangsstatus van internal control binnen Endemol volledig transparant voor het toezicht en toetsbaar voor aandeelhouders en hun controlerende accountants.
MCA Tijdschrift voor Organisaties in Control
Literatuur •
•
•
•
•
• • • •
• • • • • •
Conclusie Met de beschreven methodiek heeft Endemol internal control als permanent onderwerp op de managementagenda staan van zowel de werkmaatschappijen als de holding. Hierdoor kan het ontwikkelingen als SOX en COSO II tijdig incorporeren in zijn organisatie.
”
Bij Endemol is corporate governance ‘in control’
2005
• •
•
Bos, A. de, B. van Beurden & P.J. Snoep (2003): De Sarbanes-Oxley Act in Nederland. MCA 2/2003, p. 911. Commissie Corporate Governance (2003): De Nederlandse Corporate Governance Code. (Code ‘Tabaksblat’) Den Haag. Dirks, D., B. van Hussen & E. Soerjatin (2004): Tekst & toelichting Nieuwe structuurregeling. Sdu Uitgevers, Den Haag. Emanuels, J.A., O.C. van Leeuwen en Ph. Wallage (2004): Internal Control volgens Sarbanes-Oxley. Maandblad voor Accountancy en Bedrijfseconomie juli / augustus 2004, p. 348-355. Ginneken, M.J. van (2003): De ‘Sarbanes-Oxley Act of 2002’: het Amerikaanse antwoord op Enron (I). Ondernemingsrecht 2003-3, p. 63-70. Herwaarden, K.L. & T. Buurman (2005): Het SarbanesOxley 404-rapport (I) & (II). MCA 2/2005, p. 6-18. Horn, H.A.L.M. van (2003): Controlling Corporate Governance. MCA 1/2003, p. 22-30. Horn, H.A.L.M. van (2004): Corporate Governance volgens Tabaksblat. MCA 1/2004, p. 18-25. Horn, H.A.L.M. van (2004): Internal Control. Discussion Paper for PAIB meeting, September 2004, IFAC, New York. Horn, H.A.L.M. van (2005): COSO, risky COSO, little COSO. MCA 2/2005, p. 1. Huiskes, C.R. (2005): Maak een einde aan de rechtsonzekerheid. Goed Bestuur 1, p. 23-29. Huizink, J.B. (2005): ‘In Control’ wettelijke status. MCA 1/ 2005, p. 38-39. Nijs, J. de & J.F.M.G. Bouwens (2005): Compliance met Sarbanes-Oxley. MCA 1/2005, p. 10-20. Lander, G.P. (2004): What is Sarbanes-Oxley? McGrawHill, New York, NY. Oudemans, C.A.J.A. & S. Peters (2003): Wij zijn creatief, maar niet in onze financiële rapportages (Interview met A.T.W.M. Oostvogel). MCA 3/2003, p. 2-7. Ramos, M. (2004): How to comply with Sarbanes-Oxley Section 404. John Wiley & Sons, Hoboken, NJ. The Committee of Sponsoring Organizations of the Treadway Commission (1992/1994): Internal Control – Integrated Framework. AICPA, Jersey City, NJ. The Committee of Sponsoring Organizations of the Treadway Commission (2004): Enterprise Risk Management – Integrated Framework. AICPA, Jersey City, NJ. MCA
”
Voor het totale control-proces binnen de organisatie verantwoordt de Executive Board van de holding zich jaarlijks door middel van het Management Control Report aan de Raad van Commissarissen en worden actiepunten voor verdere ontwikkeling aan de orde gesteld. Op deze wijze is corporate governance in Endemol ‘in control’.
29
