Gebruikerservaringen van in control statements.
Scriptie 2011/2012
Naam: Emiel Claassen student nr.: 5926769 Datum: inleverdatum Scriptiebegeleider: dr. ir. S.P. van Triest Tweede lezer: dr F.H.M. Verbeeten MBA MSc Accountancy & Control, track Accountancy Faculteit Economie & Bedrijfskunde, Universiteit van Amsterdam
Abstract Voor beursgenoteerde ondernemingen die onder het SOx-regime vallen is een ‘in control’-statement een verplicht onderdeel van het jaarverslag. Deze statements hebben betrekking op de gehele organisatie. Er zijn daarnaast in control-statements die zich richten op onderdelen van de activiteiten van een organisatie, specifiek voor uitvoeringsorganisaties die een dienstverlenend proces uitvoeren voor een klant. Deze verklaringen worden vrijwillig aangevraagd door de uitvoeringsorganisatie. In deze scriptie wordt onderzocht welk belang klanten van een uitvoeringsorganisatie van pensioenregelingen aan zo’n statement hechten, in dit geval ISAE 3402. Is dit te vergelijken met het belang dat aan een SOx-gebaseerde verklaring wordt gehecht? Deze vraag wordt onderzocht door een case study bij een pensioenuitvoerder. De resultaten laten zien dat er een scheiding is tussen pensioenfondsen met betrekking tot het gebruik van de ISAE3402 rapportage. Daarnaast is er een verband tussen het aantal bevindingen en het vertrouwen dat een pensioenfonds heeft met betrekking tot de pensioenuitvoerder. Ten slotte is er bij de pensioenuitvoerder een verband tussen het aantal bevindingen dat in de ISAE3402 rapportage is opgenomen en de inrichting van de interne controle omgeving. Geconcludeerd wordt dat vrijwillige in controlstatements niet anders zijn dan verplichte.
Inhoudsopgave 1 Introductie...............................................................................................................................3 1.1 Doel en onderzoeksvraag..................................................................................................4 2 Literatuuronderzoek................................................................................................................6 2.1 SOX....................................................................................................................................6 2.2 Sox en gebruikers van de jaarrekening..............................................................................6 2.3 Sox en interne controle omgeving....................................................................................9 2.4 Accountants en interne controle.....................................................................................13 2.5 Proposities......................................................................................................................18 3 Achtergrondinformatie .........................................................................................................20 3.1 Wat is een ISAE3402 en een SAS70.................................................................................20 3.2 Verschillen en overeenkomsten tussen de Incontrol Statements....................................21 3.3 Achtergrondinformatie van de te onderzoeken organisatie............................................23 4 Resultaten..............................................................................................................................25 4.1 Methodologie.................................................................................................................25 4.2 Processen.......................................................................................................................26 4.3 Het ISAE3402 rapport......................................................................................................28 4.4 Klanten............................................................................................................................29 4.5 Resultaten propositie 1...................................................................................................30 4.6 Resultaten Propositie 2...................................................................................................33 4.7 Resultaten Propositie 3...................................................................................................36 5 Conclusies en aanbevelingen.................................................................................................40 6 Literatuurlijst..........................................................................................................................42
2
1 Introductie Na het uiteenspatten van de internetbubble begin 2000, het Enron schandaal en andere grote fraude zaken is de wetgeving aangaande accountantscontrole aangescherpt, om te beginnen in de Verenigde Staten. De roep om strengere regelgeving heeft geresulteerd in de Sarbanes Oxley Wet (hierna SOX). Het doel van de wet om de controleerbaarheid van Amerikaanse ondernemingen te vergroten (Coates 2007, p 91)Een gevolg hiervan is dat er naast een verklaring omtrent de getrouwheid van de jaarrekening ook een verklaring wordt afgegeven met betrekking tot de interne controle van de gecontroleerde entiteit. Deze verplichting is alleen van toepassing voor bedrijven die zijn genoteerd aan een beurs in de Verenigde Staten. Ook in andere landen is de aandacht voor betrouwbaarheid, beheersing, transparantie en verantwoording toegenomen. Dit wordt aangeduid met corporate governance (http://www.eumedion.nl/nl/overeumedion/wat-is-corporate-governance). In Nederland is de verslaggeving met betrekking tot Corporate Governance sinds 2003 opgenomen in de Code Tabaksblat, deze Code is aangepast in december 2009 en heet nu de Code Frijns naar de gelijknamige commissie die de code heeft aangepast (http://www.accountant.nl/Accountant/Nieuws/Code+Frijns+vervangt+Code+Tabaksbl at). Deze schandalen hebben tot verscherpt toezicht geleid maar ook tot aanvullende verklaringen met betrekking tot de interne beheersing van een organisatie. Naast SOX zijn er andere controlestandaarden die zekerheid verschaffen bij de interne controle van een onderneming. In deze scriptie worden de SAS70 en de recente ISAE3402 besproken. De SAS70 is een Amerikaanse Standaard en is ontwikkeld door de AICPA in 1992. Een SAS70 heeft tot doel het verschaffen van inzicht in de beheersing van bedrijfsprocessen van een serviceorganisatie. De serviceorganisatie stelt zelf een rapportage op en een extern accountant geeft hierbij een verklaring af. Een soortgelijke standaard is de ISAE3402. Deze standaard is de internationale variant van de SAS 70 en is ontwikkeld door de International Standard on Assurance Engagements (ISAE). De ISAE3402 is recent en is toepasbaar op perioden die eindigen na 15 juni 2011. Een serviceorganisatie is een bedrijf dat specifieke diensten uitvoert voor een andere organisatie zoals bijvoorbeeld de administratie van pensioenen of salarissen maar ook opslag en distributie van produkten uitvoeren in naam van de organisatie 3
waarmee zaken worden gedaan. Voorbeelden zijn ADP en RAET; zij voeren de salarisadministratie voor hun klanten. Syntrus Achmea en Pensioenuitvoerder X zijn pensioenuitvoerders, zij verzorgen de pensioenadministratie voor een pensioenfonds. De achterliggende gedachte van een serviceorganisatie is dat zij diensten aanbiedt die specialisatie vereisen. Het is voor een organisatie makkelijker of goedkoper om gebruik te maken van de diensten van een serviceorganisatie. De genoemde standaarden verschaffen allen inzicht in de interne controle rondom de gedefinieerde processen van een organisatie de manier waarop en diepgang zijn echter wel verschillend. In hoofdstuk 3.2 wordt dieper ingegaan op de verschillen en overeenkomsten zijn tussen de drie standaarden.
1.1 Doel en onderzoeksvraag Het doel deze scriptie is inzicht te verkrijgen welk belang gebruikers aan een vrijwillige in control rapportage hechten, in dit geval een ISAE3402 verklaring. Is dit vergelijkbaar met het belang dat aan de verplichte SOx-rapportage wordt toegekend? Deze vraag zal beantwoord worden door interviews af te nemen met interne en externe partijen en het raadplegen van overige documentatie zoals rapportages. In deze scriptie worden de bevindingen van gebruikers van in control statements vergeleken met de bevindingen uit het literatuuronderzoek. De onderzochte verklaring is een ISEA3402. Deze controlestandaard is opgesteld door de ISEA (International Standard on Assurance Engagements). Deze standaard wordt gebruikt door service organisaties om te verklaren dat de processen in de organisatie voldoende beheerst worden. De relevantie van deze vraag is het verkrijgen van inzicht in gebruikerservaringen van een ISAE3402. Aansluitend wordt een vergelijking gemaakt tussen de bevindingen van de afgenomen interviews en hetgeen dat is besproken in het literatuuronderzoek. Deze scriptie zal gaan over ervaringen van gebruikers met betrekking tot een ISAE3402 verklaring. Het onderzoek hiernaar wordt uitgevoerd door middel van een case study. De case study zal uitgevoerd worden bij een middelgrote pensioenuitvoerder en zal in de verdere scriptie Pensioenuitvoerder X (pseudoniem) genoemd worden. dat voor een zevental pensioenfondsen de uitvoering van de pensioenregeling van betreffende fondsen tot zijn takenpakket rekent. Pensioenuitvoerder voert de administratie en het vermogensbeheer van deze
4
pensioenfondsen. Het uitvoeren van dit onderzoek heeft tevens nog een toegevoegde waarde omdat getoetst kan worden of de resultaten van de kwantitatieve onderzoeken overeenkomen met de bevindingen die zijn opgedaan gedurende de interviews.
5
2 Literatuuronderzoek 2.1 SOX Er is zijn verschillende onderzoeken gedaan naar het effect van in control statements voornamelijk SOX en hoe gebruikers op het rapport reageren. Er zijn twee stromingen met betrekking tot onderzoek naar SOX te weten onderzoek naar de kwaliteit van interne controle en het gevolg hiervan op de verklaring. De andere stroming kijkt voornamelijk naar de effecten van bevindingen in de rapportage op de gebruikers van de jaarrekening. In de sectie 404 van SOX worden de bevindingen gepresenteerd naar aanleiding van uitgevoerde controles met betrekking tot de interne controle van de betreffende organisatie. Er wordt gekeken naar het interne controle raamwerk dat wil zeggen welke risico's zijn onderkent en worden gemitigeerd door middel van beheersmaatregelen en welke risico's zijn dat niet. Hoe is de organisatie ingericht? Is er corporate goveranance? Hanteert men COSO? Deze vragen worden beantwoord. Het interne controle raamwerk heeft alleen betrekking op financiële aspecten. De sectie 404 wordt door de accountant en het management geschreven. De beheersmaatregelen in het raamwerk worden gedurende het jaar getoetst op opzet, bestaan en werking zowel door het management als de externe accountant. In de volgende paragraaf wordt het effect van de sectie 404 besproken op investeerders.
2.2 Sox en gebruikers van de jaarrekening Informatie is van invloed op gebruikers. Sommige informatie is al verwerkt in de jaarrekening zoals Ball & Brown in 1968 al hebben bewezen. In navolging van hen volgende velen anderen zoals Dechow, Dichev, Sloan en velen anderen. De volgende artikelen hebben zich geconcentreerd op de gevolgen van SOX sectie 404 met betrekking tot investeerders. Het artikel van Arnold (2011) bevat een onderzoek naar de gevolgen van een 404 verklaring met bevindingen. Verschillende hypothesen dienen aan te tonen dat er een onderscheid is tussen professionele beleggers en niet professionele beleggers, een 404 verklaring met ineffectieve beheersmaatregelen zal een hogere betrouwbaarheid krijgen door niet professionele beleggers dan door professionele beleggers (Arnold, 2011, p. 6). Door middel van een enquête verspreidt onder professionele en niet professionele beleggers is onderzoek verricht in totaal zijn er 167 enquêtes gebruikt
6
(Arnold, 2011, p.7). Hieruit komt naar voren dat er een onder reactie is van de markt. Professionele beleggers lezen blijkbaar wel het rapport en verbinden daar hun conclusies aan de overgrote meerderheid van investeerders leest de bevindingen niet en laat zich leiden door andere documentatie. Uit de resultaten blijkt dat een schone 404 verklaring leidt tot een hogere waardering van de professionele belegger en bevindingen leiden tot een lagere waardering (Arnold, 2011, p.14). De niet professionele belegger daarentegen lijkt het niet uit te maken wat er in de 404 verklaring staat (Arnold, 2011, p.15). Tevens blijkt dat de professionele belegger een minimum standaard effectiviteit aanhouden en als daaraan voldaan is neemt de waardering niet meer toe met andere woorden een rapport zonder bevindingen wordt niet hoger gewaardeerd dan een rapport met enkele bevindingen. (Arnold, 2011, p. 15). Een verband tussen toelichting op materiële interne controle bevindingen en investeerders reactie is uitgevoerd door Ittonen (2009). Zij heeft opmerkelijke bevindingen gedaan naar aanleiding van haar onderzoek naar 342 bedrijven die gerapporteerd hebben tussen 2005-2007 inzake SOX sectie 404. De toelichting op materiële bevindingen worden positief ontvangen door investeerders indien de bevindingen van de accountant overeenkomen met de bevindingen van het management. Indien de bevindingen niet overeenkomen is er sprake van een koersdaling. Het management wordt getoetst of het de waarheid spreekt, indien er verschillen zijn wordt het management als onbetrouwbaar gezien. Arnold heeft gekeken naar bevindingen en de reactie van beleggers en Ittonen naar de reactie van het management op bevindingen. Onderzoek naar de aard van de bevindingen is gedaan door Hammersley (2007). In haar artikel wordt gekeken naar de reactie van aandelen op de management rapportage, bekend als SOX302 en het soort opmerkingen die zijn opgenomen in de betreffende verklaring. In de sectie302 worden drie soorten fouten genoemd te weten falen van beheersmaatregelen, materiele zwakheden en wezenlijke zwakheden (Hammersley, 2007, p.142). Indien deze zwakheden niet zijn opgelost zal de accountant geen goedkeurende verklaring verstrekken in SOX sectie 404 (Hammersley, 2007, p.145). Een steekproef van 358 bedrijven waarvan de aandelenkoersen over de periode november 2003 tot januari 2005 zijn verzameld. De aandelenkoersen zijn gekoppeld aan de datum van deponeren van de cijfers bij de SEC van het betreffende bedrijf. Daarnaast is geanalyseerd welke soorten bevindingen zijn opgenomen in sectie 302 (Hammerley, 2007, p.148-149). De analyse heeft geleidt tot de volgende conclusies. De markt reageert heftig op de bevindingen die zijn opgenomen in sectie 302, dit gebeurd voornamelijk in de eerste 7
drie dagen na publicatie (Hammersley, 2007, p.163). Indien management aangeeft dat de geconstateerde zwakheden in interne controle van beperkte omvang zijn reageert de markt minder heftig. Daarnaast heeft de accountant ook invloed op de koersen. Een accountant van de grote vier zorgt voor minder koersdalingen dan een accountant van een kleiner kantoor (Hammersley, 2007, p.164). De algehele conclusie is dat sectie 302 en 404 wel degelijk een toegevoegde waarde heeft op de gebruikers van de jaarrekening. Naast onderzoek tussen bevindingen en reactie van beleggers middels data analyse is er een onderzoek in een laboratorium omgeving uitgevoerd door Hirst (1995). Hij heeft onderzoek gedaan naar de reactie van investeerders op adviezen van analisten, een analist is in dienst bij een (investerings)bank en analyseert fondsen op basis van jaarrekeningen, rapportages maar ook gesprekken met directie en geven een gemotiveerd advies om aandelen te kopen, houden of te verkopen. De investeerders kregen de volgende informatie: achtergrondinformatie van de onderzochte onderneming en informatie aangaande de analist en zijn relatie tot de onderneming en investeringsbank of bank. Daarnaast werd de jaarrekening met verklaringen en bevindingen inzake sectie 404 van SOX gegeven zodat investeerders zelf onderzoek konden verrichten of de conclusies van de analist konden verifiëren. Een investeerder heeft veel informatie tot zijn beschikking maar volgens (Hirst, 1995, p. 337) zien investeerders het analisten onderzoek als het meest waardevol. Deze informatie tezamen leiden tot een oordeel van de investeerders. In een experiment met 1ste jaars M.B.A. Studenten werd hen gevraagd deel te nemen aan een onderzoek, in totaal 291 studenten (Hirst, 1995, p.340) hebben deelgenomen. Na verdeling van groepen in een kopen en niet-kopen groep moesten zij de behorende stukken lezen en een oordeel geven op basis van punten. Een maximale score van 15 punten kon gegeven worden en dat hield in dat het aandeel zeker gekocht werd door de student omdat hierin een hoog potentieel werd gezien (Hirst, 1995, p.342). Uit het onderzoek kwamen de volgende resultaten naar voren investeerders/studenten zijn vooringenomen wat betreft de conclusie van de analist. Indien de analist werkt bij een investeringsbank zal de conclusie positief zijn richting het bedrijf aangezien dit kan resulteren in het kopen van aandelen. De deelnemers aan het experiment vonden het erg vreemd indien de analist werkzaam was voor een investeringsbank en een negatief advies gaf (Hirst, 1995, p.348). Het onderzoek laat zien dat gebruikers verschillend kijken naar conclusies van derden en van wie deze afkomstig zijn namelijk analist bij een investeringsbank of geen investeringsbank en conclusie positief of negatief. Negatieve analyses werden 8
kritischer bekeken (Hirst, 1995, p.349) door de studenten en wogen zwaarder in de beslissing om aandelen te kopen of niet. In de besproken literatuur is steeds een verband gelegd tussen interne beheersing en de reactie hierop van gebruikers van de jaarrekening in dit geval investeerders. Er is een duidelijk onderscheid tussen professionele beleggers en amateur beleggers. De eerstgenoemde groep leest de bevindingen en reageert hierop door aandelen te kopen of te verkopen op de andere groep hebben bevindingen geen invloed. Bestuurders van een pensioenfonds kunnen vergeleken worden met professionele beleggers, indien een ISAE3402 verklaring veel bevindingen bevat zal een bestuur eisen dat er verbeteringen worden getroffen. In het ergste geval kan een bestuur besluiten het contract te verbreken of niet te verlengen. In de volgende paragraaf zal worden ingegaan op een andere benadering namelijk die van de controle omgeving. Wat is de invloed van de interne controle van een organisatie op de SOX controle, verklaring en bevindingen. In de onderstaande tabel 1 is een korte weergave te zien van hetgeen dat behandeld is. Tabel 1 Aute ur
Jaar Onde rzoe ksvraag
Arnold
2011 Hoe reageren professionele beleggers en niet professionele beleggers op bevindingen opgenomen in SOX404?
Ittonnen
Hammersley
Hirst
M e thode Toetsen van hypotheses m.b.v. statische gegevens die zijn verkregen uit enquetes.
Pe riode Re sultate n -
Professionele beleggers gebruiken de SOX404 sectie voor hun beoordeling van de organisatie. Niet professionele beleggers gebruiken deze informatie niet. 2009 Wat is de investeerders reactie op materiele Regressie analyse, populatie van 2005-2007 Beleggers reageren positief op materiele bevindingen met betrekking tot de interne 342 bedrijven bevindingen mits deze bevindingen worden controle? bevestigd door het management in de managementreactie. 2007 Hoe reageren beleggers op verschillende fouten Reactie op publicatie is getoetst 2003-2005 Beleggers reageren heftig op publicatie, in SOX302? a.d.h.v. aandelenkoerzen. gedurende 3 dagen stijgt of daalt de koers. Een accountant van de grote 4 kantoren zorgt voor kleinere schommelingen in de aandeleenkoers. 1995 Reactie van investeerders op verwachtingen van Experiment met MBA studenten. - De soort analist en zijn conclusie geven analisten? D.m.v. vragen en documentatie doorslag aan de conclusie die de student is informatie ingewonnen. trekt.
2.3 Sox en interne controle omgeving Naast het verband tussen interne controle en reacties van investeerders zijn er ook andere artikelen geschreven die naar een verband zoeken tussen de karakteristieken van de organisatie of afdelingen met betrekking tot interne controle en de gevolgen hiervan op de rapportage zoals Bronson (2006). Hierin wordt gezocht naar een verband tussen organisatie en rapportages met betrekking tot interne controle. Het onderzoek betreft pre-SOX rapportering derhalve was er nog geen vaste rapportage vorm met betrekking tot de rapportering van interne controle. Bronson (2006) is van mening dat sectie 404 van SOX het meest controversiële element is van SOX 9
(Bronson, 2006, p.25). Veel organisaties die dienen te rapporteren conform SOX geven aan dat de kosten ten behoeve van de uitvoering erg hoog zijn. Er zijn naast hoge kosten ook voordelen te behalen zoals investeerders waarderen deze vrijwillige rapportages omtrent interne controle als toegevoegde waarde ten behoeve van investeringsbeslissingen (Bronson, 2006, p.27). Naast de verklaring die de accountant afgeeft is er ook ruimte voor een verklaring van het management. Deze management rapportage is vrijwillig en dient te voldoen aan enkele voorwaarden, het is aan het management om een uitgebreid rapport te schrijven of te voldoen aan de minimale vereisten (Bronson, 2006, p.28). Er is gezocht naar een verband tussen de karakteristieken van een organisatie en de mate van vrijwillige rapportage van het management in de SOX 404 sectie. Deze karakteristieken hadden betrekking op onder andere de winst en omzetgroei over de afgelopen vijf jaren, percentage accountants in de audit committee, aantal audit committee vergaderingen, verhouding schuld en bezittingen (leverage). Deze data zijn verzameld en heeft geleid tot 397 verschillende organisaties over de periode einde jaar 1998 tot en met juli 1999 afkomstig van de Compact D/SEC diskette (Bronson, 2006, p.31). De conclusie van het artikel is dat de vrijwillige rapportage geen resultaten geeft over de werking van de AO/IC. Een vrijwillige rapportage van het management leidt er toe dat deze weinig informatie zal geven. De sectie 404 van SOX geeft wel aan of de AO/IC werkt en heeft daarom meer waarde voor beleggers de detaillering daarentegen is niet voldoende. Het rapport van de accountant geeft meer inzicht in de werking van de AO/IC (Bronson, 2006, p.35). Het artikel van S. Lin e.a (2011) bevat een onderzoek naar het verband tussen de rol van de interne accountantsdienst en toelichting van het niet of niet goed functioneren van beheersmaatregelen die tot een materiële fout kunnen leiden in de jaarrekening. Geconcludeerd wordt na het uitvoeren van een kwantitatief onderzoek van 214 bedrijven in de jaren 2003 en 2004 dat een kwalitatief sterke interne controle denk hierbij aan het oplossen van hiaten in de interne controle maar ook de opleiding van de interne accountants leiden tot een verbeterde kwaliteit van de interne beheersing. In het artikel van Krishan e.a. (2005) is gekeken naar de invloed van Audit Committee en de kwaliteit van interne controle. De Audit Comittee heeft als taak de interne controle te controleren (Krishan, 2005, p.651). Indien er kwalitatief goede Interne Controle is er blijkbaar ook een goede Audit Committee. De Audit Committee wordt beoordeeld op omvang, onafhankelijkheid en ervaring deze variabelen zijn vertaald in een formule en leidt tot het verwerpen of accepteren van de hypothese 10
(Krishan, 2005, p. 652). De steekproef bedroeg uiteindelijk 128 bedrijven over de periode 1994-2000 (Krishan, 2005, p.656). Uit de uitkomsten blijkt dat er een negatieve correlatie bestaat tussen Interne Controle problemen en de onafhankelijkheid van de Audit Committee. Tevens is er sprake van een negatieve correlatie tussen de aanwezigheid van financiële experts binnen de Audit Committee en de aanwezigheid van problemen met interne controle (Krishan, 2005, p.671). Een voortzetting van het onderzoek van Krishan (2005) is het artikel van Zhang (2007). In het artikel wordt een verband gelegd tussen de kwaliteit van de Audit Committee, onafhankelijkheid van de accountant en de rapportage van materiele zwakheden in de interne controle. Aan de hand van twee hypothesen wordt een analyse uitgevoerd. De eerste hypothese luidt; Bedrijven met een audit committee met een hoge mate van financiele expertise zullen minder materiele zwakheden hebben in de interne controle (Zhang, 2007, p.306). De tweede hypothese luidt Onafhankelijkheid van de accountant wordt niet geassocieerd met de toelichting van zwakheden in de interne controle (Zhang, 2007, p.307) De steekproef bestaat uit 208 bedrijven die allen bevindingen hadden in de SOX404 sectie, het gebruikte boekjaar is 2004 (Zhang, 2007, p.311). Naar aanleiding van de statische analyse worden de volgende conclusies door Zhang getrokken; indien een organisatie een audit committee heeft met weinig financiele ervaring neemt de kans op zwakheden in de interne controle toe. Daarnaast is gebleken dat een onafhankelijke accountant leidt tot meer bevindingen in de toelichting (Zhang, 2007, p.322) Goh (2009) heeft onderzoek verricht naar de relatie tussen het maken van correcties en de rol van de Raad van Bestuur en Audit Committee op de correcties en gevolgen hiervan voor de verklaring die de accountant afgeeft. De Raad van Bestuur heeft invloed op de uitkomsten en heeft wel degelijk een belangrijke rol in de monitoring van de interne controle (Goh, 2009. p.550). Het artikel heeft een toegevoegde waarde doordat het de bevindingen bevestigd van Krishan (2005) en tevens toont het aan dat een corporate governance structuur bijdraagt aan het verminderen van materiele zwakheden en de geloofwaardigheid van de onderneming doet toenemen (Goh, 2009, p. 551). Door middel van 2 hypothesen die de werking van de audit Committee en de werking van de Raad van Bestuur (Goh, 2009, p.553) dienen aan te tonen wordt een steekproef van 208 bedrijven uitgevoerd over de periode juli 2003 tot december 2004 (Goh, 2009, p.560) . Hieruit blijkt dat Corporate Governance effectief is in het tijdig aanpakken van materiële zwakheden in de interne controle. Daarnaast hebben niet financiële experts en grote Audit Committee een positieve 11
invloed op het wegnemen van materiële zwakheden. Een onafhankelijke raad van Bestuur draagt ook bij aan het tijdig wegnemen van materiële zwakheden in de interne controle (Goh, 2009, p.571). Ashbaugh (2009) heeft onderzoek gedaan naar voordelen van een SOX controle aangezien de standaard als kostbaar wordt ervaren door organisaties (Bronson, 2006 en Ashbaugh 2009, p.1). Er wordt een verband gelegd tussen de bevindingen in een sectie 404 en de kosten van eigen vermogen voor een organisatie. De verwachting is namelijk dat deze kosten lager zijn indien de sectie 404 geen materiele of wezenlijke bevindingen heeft in vergelijking met organisaties die geen schone verklaring hebben (Ashbaugh, 2009, p.7). Door middel van regressie analyses worden 1.053 bedrijven verdeeld over 4 groepen getoetst. De gehanteerde data van november 2003 tot en met september 2005 (Ashbaugh 2009, p.11). Ashbaugh, concludeert dat bedrijven met bevindingen een stijging ervaren in de kosten van het eigen vermogen. Bedrijven die jaarlijks verbetering tonen en een schone verklaring hebben ervaren een verlaging van diezelfde kosten (Ashbaugh, 2009, p.40). Bedrijven met bevindingen worden gezien als een hoog risico door beleggers (Ashbaugh, 2009, p.41). Uit de artikelen is gebleken dat de invoering van SOX heeft geleidt tot een hogere kwaliteit van interne controle en corporate governance. Organisaties zien de noodzaak en het belang van interne controle. Daarnaast is het een logisch gevolg van hetgeen dat in de vorige paragraaf is behandeld. Slechte interne controle wordt niet gewaardeerd door professionele investeerders en zij kunnen de aandelenkoers positief of negatief beïnvloeden of kosten van het aantrekken van eigen vermogen is kostbaarder. Met betrekking tot de ISAE3402 heeft een interne controle afdeling ook invloed op de totstandkoming van deze verklaring. Is de kennis zodanig van de afdeling dat zij in staat zijn bevindingen weg te nemen of te zwakken tot een acceptabel niveau voor de organisatie. In de volgende paragraaf zullen artikelen behandeld worden die de rol van de accountant met betrekking tot SOX hebben bestudeerd. In tabel 2 worden de behandelde artikelen samengevat.
12
Tabel 2 Aute ur
M e thode
Pe riode Re s ultate n
Bronson
2006 Relatie tussen manier van rapporteren door het management en de karakteristieken van de organisatie.
Regressie analyse a.d.h.v. 397 waarnemingen afkomstig van Compact D/SEC diskette.
Lin
2011 Verband tussen interne accountantsdienst en toelichting op bevindingen.
Statische analyse van 214 bedrijven
Krishan
2005 Invloed van de Audit Committee en de kwaliteit van de interne controle
1998-1999 Een vrijwillige rapportage door het management bevat geen opmerkingen over geconstateerde zwakheden in de AO/IC. De sectie 404 met conclusie van de accountant geeft aan of de AO/IC werkt of niet maar bevat geen details. SOX404 is van toegevoegde waarde voor de belegger. 2003-2004 Een goede interne accountantsdienst in staat is zelfs tandig hiaten in de interne controle kan opmerken en oplossen. 1994-2000 De interne controle verbetert indien de onafhankelijk is. Interne controle verbetert indien er meer financiele expertise aanwezig is binnen de Audit Committee.
Zhang
Statische analyse van 128 bedrijven. Omvang, onafhankelijkheid en ervaring van de Committee zijn geanalyseerd. Toetsen van hypothesen 2004 middels statistische analyse van 208 bedrijven.
2007 Invloed van de kwaliteit van Audit Committee, Bevestiging van de conclusies die door onafhankelijkheid van de accountant en de Krishan (2005) zijn beschreven. rapportage materiele zwakheden in de interne controle. 2009 Relatie tussen correcties, de rol van de Raad van Toetsen van hypothesen 2003-2004 Effectiviteit van corporate governance is Bestuur en Audit Committee en gevolgen hiervan middels statistische analyse van aangetoond. Zwakheden in de interne voor de afgegeven verklaring door de accountant. 208 bedrijven. controle worden tijdig en effectief opgelost. Een bevestiging van de conclusies van Krishan. 2009 Verband tussen de bevindingen in een sectie 404 Door middel van regressie 2003-2005 Kosten voor eigen vermogen zijn hoger voor en de kosten van eigen vermogen voor een analyses worden 1.053 bedrijven bedrijven met bevindingen in sectie SOX302 organisatie verdeeld over 4 groepen en SOX404 getoetst
Goh
Ashbaugh
Jaar Onde rzoe ks vraag
2.4 Accountants en interne controle Naast investeerders en de organisatie hebben accountants ook een mening over interne controle. Het artikel van Munsif (2011) laat een verband zien tussen de kosten van de accountant en hiaten in de interne controle. Ook hij geeft aan dat sectie 404 erg controversieel is (Munsif, 2011, p. 87). Reden is dat voorgaand onderzoek na introductie van SOX404 blijven stilstaan dat bedrijven met complexe processen veel bevindingen krijgen of een afkeurende verklaring leidt tot hoge kosten van eigen vermogen of dat bevindingen leiden tot een lagere aandelenkoers (Munsif, 2011, p.89). Later onderzoek toont aan dat er bedrijven met materiële interne controle hiaten significant meer accountantskosten hadden. Indien een bedrijf deze hiaten verbeterd zouden de accountantskosten logischerwijs moeten dalen, de toeslag van de accountant heeft geen reden meer (Munsif, 2011, p.89). Gesteld wordt in controle jaar t+2 de accountantskosten zullen afnemen. In jaar t komen de zwakheden naar voren en worden gerapporteerd. In jaar t+1 stelt de accountant vast dat de hiaten zijn opgelost en zullen in jaar t+2 de controle kosten voor de onderneming afnemen. Het gebruikte model maakt gebruik van tien variabelen die betrekking hebben op welk kantoor de controle uitvoert, accountantskosten, omvang onderneming, materiële fouten in de interne controle (Munsif, 2011, p.90). Er is data verzameld over vier jaren van 398 bedrijven aangezien deze materiële hiaten in de interne controle hadden (Munsif, 2011, 13
p.91). Uit het onderzoek wordt de volgende conclusie getrokken. Accountantskosten nemen af na het oplossen van materiële zwakheden in de interne controle, de kosten blijven wel hoger in vergelijking met vergelijkbare organisaties die geen materiële bevindingen hebben in de 404 sectie. Blijkbaar blijven “besmette” bedrijven een toeslag betalen. Uit het onderzoek is niet gebleken waarom en hoe lang deze toeslag van de accountant blijft plakken aan de onderneming (Munsif, 2011, p.103-104). Doyle (2006) kijkt naar het verband tussen type organisatie en materiële zwakheden van interne controle. Uit zijn artikel blijkt dat hiaten in de interne controle een verband houden met het type onderneming. Hiaten in de interne controle komen vaker voor bij kleine, jonge bedrijven die financieel zwak zijn en complexe processen hebben daarnaast maken ze een snelle groei door en/of aan het reorganiseren (Doyle, 2006, p.195). In zijn onderzoek richt hij zich alleen op de materiele hiaten omdat dit de meest zware vorm van fouten zijn in de interne controle en deze worden derhalve ook verplicht opgenomen in de verklaring andere fouten worden vrijwillig gerapporteerd (Doyle, 2006, p.195). De steekproef bestaat 5047 waarnemingen over de periode november 2003 tot en met augustus 2005. In totaal zijn er 888 bedrijven geanalyseerd (Doyle, 2006, p. 205). Uit de regressie analyse is gebleken dat er een significant verband bestaat tussen materiele bevindingen aangaande de interne controle en het type onderneming (Doyle, 2006, p. 220). Deze ondernemingen zijn kleiner, jonger en zijn financieel zwak. Daarnaast hebben zij complexe processen en groeien snel en/of zijn aan het reorganiseren. Deze combinatie zorgt ervoor dat de interne controle niet meegroeit met de onderneming en derhalve niet voldoende kennis en capaciteit om problemen in de interne controle aan te pakken of het bestuur van de onderneming geeft (nog) geen prioriteit aan interne controle. Bedard (2008) hierin is een onderzoek verricht naar het verband tussen accountantskosten en tijdstip van publicatiedatum van jaarrekeningen. In twee hypotheses probeert hij dit verband te toetsen. De 1ste hypothese komt op het volgende neer; Zijn accountantskosten van laat gepubliceerde jaarrekeningen gecorrigeerd voor risicofactoren die geassocieerd worden met problemen in interne controle? De 2de hypothese veranderen accountantskosten voor laat gepubliceerde jaarrekeningen als sectie 402 was geïmplementeerd voor snel gepubliceerde jaarrekeningen (Bedard, 2008, p.108)? De steekproef is afkomstig uit de data over de boekjaren 2003 en 2004 voor bedrijven met een beschikbare sectie 302 (Bedard, 2008, p.109), deze sectie is het verslag van het management met betrekking tot de bevindingen aangaande de interne controle en ondertekenen het verslag. De populatie bestond uit 2296 bedrijven (Bedard, 14
2008, p. 114 en p. 115) Met betrekking tot de accountantskosten maakt Bedard (2008) gebruik van het model dat ook gehanteerd is door Hay, Knechel en Wong uit 2006. In dit onderzoek is een vergelijking gemaakt tussen late en snel gepubliceerde jaarrekeningen (Bedard, 2008, p.119) hieruit blijkt dat laat gepubliceerde jaarrekeningen ook hogere accountantskosten hebben betaald. Er is dus wel degelijk een verband tussen laat publiceren en hogere accountantskosten. Daarnaast is gebleken dat er een verband bestaat tussen hiaten in de interne controle en hogere accountantskosten. Hieruit kan men concluderen dat informatie uit SOX sectie 302 nuttige informatie bevat (Bedard, 2008, p.110). Uit het onderzoek kwam naar voren dat nog drie bevindingen zijn gedaan aangaande de accountantskosten namelijk, accountantskosten nemen toe naarmate een onderneming groter en complexer wordt, accountantskosten nemen toe als nieuwe problemen worden gerapporteerd in sectie 302 in 2004. Accountantkosten blijven gelijk als de situatie ten opzichte van 2003 niet is veranderd in 2004 (Bedard, 2008, p.120). Tevens is gebleken dat verandering van een accountant van een klein kantoor naar een van de grote vier leidt tot een toename in accountantskosten en omgedraaid tot een afname van accountantskosten (Bedard, 2008, p.121). Verandering van accountant binnen de grote vier leidt niet tot een verschil in accountantskosten. Als laatste wil ik het artikel van Elder (2009) noemen. Elder heeft onderzoek gedaan naar het verband tussen problemen van interne controle en accountantskosten en/of omzet van de accountant. Hierin neemt hij de risico inschatting van de accountant mee. Een zestal hypothesen zijn geformuleerd. In het kort moeten deze 3 vragen beantwoorden. De 1ste vraag luidt als volgt; Accountants zullen eerder geen schone verklaring verstrekken aan bedrijven met hiaten in de interne controle (Elder, 2009, p.551). De volgende vraag is dat accountants eerder de opdracht zullen teruggeven aan bedrijven met hiaten in de interne controle. De laatste vraag is als het controle risico toeneemt zal de accountant de tarieven verhogen, verklaring aanpassen of de opdracht teruggeven. Deze vragen worden beantwoord met behulp van een steekproef (Elder, 2009, p.552, de omvang bedroeg 2.350 waarnemingen over de periode van 1 november 2004 tot 31 december 2005 (Elder, 2009, p.553). Na analyse van de data voortkomend uit de regressie analyses is er duidelijk sprake van een strategische pikorde van de accountant. Indien er wijzigingen voortkomen uit de risico analyse zal de accountant eerst zijn tarieven verhogen en vervolgens een verklaring met bevindingen verstrekken. Indien de risico’s niet afnemen zal de accountant de opdracht teruggeven (Elder, 2009, p. 577). Verder bleek dat er een positief verband is tussen hiaten in de interne controle 15
en de niet schone verklaring van de accountant en het teruggeven van de opdracht. Uit de voorgaande artikelen is te zien dat de accountant gebruik maakt van de interne controle. Indien deze niet voldoet zal de accountant daarop reageren door in eerste instantie zijn tarieven aan te passen. De aanpassing van tarieven naar beneden duurt langer dan het aanpassen naar boven zoals uit Munsif blijkt. Uit de behandelde artikelen blijkt gebruikers van de jaarrekening waarde hechten aan het oordeel van de accountant. Een BIG4 kantoor geniet meer aanzien dan een kleiner kantoor. Tevens blijkt dat accountants richting de cliënt een strategie bepalen hoe om te gaan met bevindingen en met extra kosten in rekening brengen. Tabel 3 op de volgende pagina geeft kort weer wat de kernpunten van de behandelde artikelen zijn.
16
Tabel 3 Aute ur
Jaar Onde rzoe ks vraag
M e thode
Pe riode Re sultate n
Munsif
2011 Verband tussen de kosten van de accountant en hiaten in de interne controle
Er is data verzameld over vier jaren van 398 bedrijven aangezien deze materiële hiaten in de interne controle hadden
Accountantskosten nemen af na het oplossen van materiële zwakheden in de interne controle, de kosten blijven wel hoger in vergelijking met vergelijkbare organisaties die geen materiële bevindingen hebben in de 404 sectie. Munsif spreekt van besmette bedrijven, aangezien accountantskosten onnodig hoog blijven. Onderzoek door middel van 2003-2005 Aangetoond is dat er een significant verband regressie analyse. In totaal zijn bestaat tussen materiele bevindingen er 888 bedrijven genanalyseerd. aangaande de interne controle en het type onderneming. Deze ondernemingen zijn kleiner, jonger en zijn financieel zwak. Daarnaast hebben zij complexe processen en groeien snel en/of zijn aan het reorganiseren. Deze combinatie zorgt ervoor dat de interne controle niet meegroeit met de onderneming en derhalve niet voldoende kennis en capaciteit om problemen in de interne controle aan te pakken of het bestuur van de onderneming geeft (nog) geen prioriteit aan interne controle.
Doyle
2006 Verband tussen type organisatie en materiële zwakheden van interne controle
Bedard
2008 Verband tussen accountantskosten en tijdstip van publicatiedatum van jaarrekeningen
Toetsen van 2 hypotheses. Met 2003-2004 Er bestaat een verband tussen hiaten in de behulp van diverse variabelen interne controle en hogere uit de Compustat database. In accountantskosten. Uit het onderzoek kwam totaal 2296 waarnemingen. naar voren dat nog drie bevindingen zijn gedaan aangaande de accountantskosten namelijk, accountantskosten nemen toe naarmate een onderneming groter en complexer wordt, accountantskosten nemen toe als nieuwe problemen worden gerapporteerd in sectie 302 in 2004. Accountantkosten blijven gelijk als de situatie ten opzichte van 2003 niet is veranderd in 2004. Tevens is gebleken dat verandering van een accountant van een klein kantoor naar een van de grote vier leidt tot een toename in accountantskosten en omgedraaid tot een afname van accountantskosten. Verandering van accountant binnen de grote vier leidt niet tot een verschil in accountantskosten. Laat gepubliceerde jaarrekeningen hebben hogere accountantskosten.
Elder
2009 Het verband tussen problemen van interne controle en accountantskosten en/of omzet van de accountant.
6 hypothesen zijn geformuleerd. 2004-2005 Indien er wijzigingen voortkomen uit de In het kort moeten deze 3 vragen risico analyse zal de accountant eerst zijn beantwoorden. tarieven verhogen en vervolgens een 1.Accountants zullen eerder verklaring met bevindingen verstrekken. geen schone verklaring Indien de risico’s niet afnemen zal de verstrekken aan bedrijven met accountant de opdracht teruggeven. Verder hiaten in de interne controle. bleek dat er een positief verband is tussen 2. Accountants zullen eerder de hiaten in de interne controle en de niet opdracht zullen teruggeven aan schone verklaring van de accountant en het bedrijven met hiaten in de teruggeven van de opdracht interne controle. 3. Als het controle risico toeneemt zal de accountant de tarieven verhogen, verklaring aanpassen of de opdracht teruggeven. Deze vragen worden beantwoord met behulp van een steekproef de omvang bedroeg 2.350 waarnemingen
17
2.5 Proposities De behandelde literatuur is in te delen in drie groepen: een gedeelte richt zich op de waardering van SOx door externen, een gedeelte op de invloed van de interne kenmerken zoals interne accountantsdienst en de Raad van Bestuur op de kwaliteit van internal control, en een gedeelte op verbanden tussen SOx-resultaten en de controlerend accountant. In de af te nemen interviews en analyse van rapportages zal getoetst worden of de interne gebruikers en externe gebruikers van een ISAE3402 dezelfde antwoorden geven als de behandelde literatuur. De derde groep de accountants zullen niet behandeld worden, reden van deze uitsluiting is dat deze groep niet open de vragen kan beantwoorden aangezien zij vertrouwelijk dienen om te gaan met gegevens van hun cliënten. De bevindingen uit het literatuuronderzoek leiden tot de volgende proposities P1: Grote pensioenfondsen vinden een ISAE3402 belangrijker dan kleine pensioenfondsen. In het artikel van Arnold (2011) worden professionele beleggers en niet professionele beleggers met elkaar vergeleken. Grote pensioenfondsen hebben meer kenmerken van professionele beleggers. Deze hechten meer waarde aan in control statements. De verwachting is dat grote pensioenfondsen meer aandacht besteden aan de ISAE3402 en kleinere minder aandacht besteden aan de ISAE3402. P2: Indien een ISAE3402 rapport weinig bevindingen/opmerkingen heeft neemt het vertrouwen in de pensioenuitvoerder toe. De artikelen van Ittonnen (2009) en Hammersley (2007) hebben aangetoond dat weinig opmerkingen in de SOX404 van een organisatie leiden tot een toename van het vertrouwen in de betreffende organisatie. De verwachting is dat een kleiner pensioenfonds weinig waarde hecht aan de bevindingen in het ISAE3402 rapport en dat grote pensioenfondsen kritisch het rapport lezen en een oordeel geven over de pensioenuitvoerder. P3: Een sterke/goede interne controle omgeving leidt tot minder bevindingen/opmerkingen in het ISAE3402 rapport. Uit het literatuuronderzoek is gebleken dat een goede interne controle omgeving bevindingen in de rapportage van de accountant voorkomen. Bronson (2006), Lin (2011) concluderen dit op basis van hun uitgevoerde onderzoek. Aansluitend hebben 18
Krishan (2005), Zhang (2007) en Goh (2009) onderzoek gedaan naar het verband tussen Audit Committee, Raad van Bestuur en het aantal bevindingen die zijn opgenomen in de SOX 404 verklaring. Indien deze organen bestaan uit mensen met voldoende ervaring en kennis zullen de bevindingen die uiteindelijk in het rapport worden opgenomen kleiner zijn dan bij organisaties waar de kennis en ervaring minder is. De verwachting is dat de inrichting van de interne controle omgeving van Pensioenuitvoerder X zodanig is dat bevindingen/opmerkingen niet in het ISAE3402 rapport worden opgenomen omdat er voldoende kennis en ervaring aanwezig is.
19
3 Achtergrondinformatie 3.1 Wat is een ISAE3402 en een SAS70 De ISEA3402 is een onderdeel van de internationale internationale standaarden de ISEA (International Standard on Assurance Engagements). In Nederland is dit de NV COS. De ISAE3402 is een nieuwe standaard en is toepasbaar op perioden die eindigen na 15 juni 2011. Voordat de ISAE 3402 er was konden organisaties een SAS70 verklaring krijgen of een SOX verklaring, een SOX verklaring wordt in de praktijk alleen gebruikt als de moeder genoteerd is aan de Amerikaanse beurs, haar dochterondernemingen die deel uitmaken van de consolidatiekring dienen ook te voldoen aan de Amerikaanse wetgeving en zijn zodoende ook SOX plichtig. De SAS70 en SOX verklaringen werken volgens Amerikaanse controlestandaarden. De ISAE3402 is een nieuwe standaard maar vertoont grote overeenkomsten met de SAS70. Alle drie de standaarden leiden tot een verklaring met redelijke zekerheid en geven een beeld van de Administratieve Organisatie en Interne Controle bij een organisatie. Net zoals bij de SAS70 heeft de ISAE3402 twee verschillende controles uitvoeren. Er is een keus te maken uit een Type I of Type II, bij SAS70 is dit een Type A of Type B. Een Type II repectievelijk Type B hebben betrekking op een periode van minimaal zes maanden. Gedurende die zes maanden wordt getoetst of de organisatie in control is, met andere woorden voldoen de beschreven beheersmaatregelen in opzet, bestaan en werking. Bij een Type I respectievelijk Type A is er sprake van momentopname en wordt er een maand getoetst. Daarnaast wordt de werking van de beheersmaatregelen niet getoetst bij een Type I repectievelijk Type A. Een Type II dan wel Type B wegen geven meer zekerheid omdat er sprake is van een minimum referteperiode van zes maanden en naast de opzet en bestaan wordt ook de werking gedurende de referteperiode getoetst. Alle processen worden zodanig getoetst zodat voldaan wordt aan de Type II. Het IC kader is getoetst door de intern en extern accountant. Hierbij wordt gekeken of alle gedefinieerde risico's voldoende worden gemitigeerd door de beheersmaatregelen of dat een risico bewust wordt genomen doordat de organisatie van mening is dat het risico verwaarloosbaar is dan wel niet te beheersen. Indien de opzet voldoende is zal de interne en externe accountant een bestaanstoets uitvoeren. Vervolgens zullen er meerdere proceduretests worden uitgevoerd om de zodoende de werking vast te stellen.
20
3.2 Verschillen en overeenkomsten tussen de Incontrol Statements. De ISAE3402, SAS 70 en een SOX verklaring zijn allen verklaringen die inzicht geven in de interne controle van een organisatie. Ondanks deze overeenkomsten zijn er diverse verschillen maar ook overeenkomsten. In deze paragraaf zullen de belangrijkste verschillen en overeenkomsten worden beschreven. De rapportage van SAS70 en ISAE3402 verklaringen maken geen deel uit van het jaarverslag zoals SOX wel doet daarnaast zijn een SAS70 en ISAE3402 speciaal gedefinieerd voor serviceorganisaties. De wijze van publiceren en rapporteren zijn verschillend. De SOX rapportage is openbaar aangezien de jaarrekening voor iedereen beschikbaar is. De SAS70 en ISAE3402 daarentegen wordt verstrekt aan de opdrachtgever namelijk de serviceorganisatie. In de verklaring is ook opgenomen aan wie het rapport ter beschikking gesteld mag worden. Het rapport is opgesteld voor intern gebruik, de klanten van de serviceorganisatie en hun accountants de gebruikersgroep is beperkt in vergelijking met SOX. De wijze van rapporteren tussen de drie is verschillend. De SOX verklaring is opgenomen in de jaarrekening die gepubliceerd wordt en is voor iedereen te lezen. In de verklaring wordt stilgestaan bij het controle object en de bevindingen in hoofdlijnen. Uit de verklaring is duidelijk of de onderzochte organisatie in control is of niet. Daarnaast geeft het management ook een reactie op de resultaten en de bevindingen van de accountant. Een ISAE3402 en SAS70 verklaring worden opgenomen in een rapport dat is opgesteld door de organisatie. Deze bestaat uit diverse hoofdstukken waarin de volgende zaken behandeld worden. Een risico analyse en uitleg over de inrichting van de organisatie aangaande met betrekking tot corporate governance, soort organisatie en organogram, soort werkzaamheden en inrichting van de interne controle. Hoofdstuk 6 is het meest uitgebreide hoofdstuk omdat daarin het interne controle kader is opgenomen en de bevindingen van de accountant en interne controle afdelingen van de organisatie. In dit hoofdstuk wordt behandeld hoeveel waarnemingen per proces of beheersmaatregel zijn gedaan en of deze maatregelen werkte of niet en wat voor fouten zijn geconstateerd. De gevonden fouten en de aard van deze fouten leiden tot een verklaring van de accountant. Indien de impact van de bevindingen laag is zal er een goedkeurende verklaring een zogenaamde schone verklaring worden verstrekt. Indien de impact groter is of te herleiden is tot enkele
21
processen volgt een verklaring met bevindingen. De bevindingen kunnen betrekking hebben op drie oorzaken. Voordat dieper wordt ingegaan op deze oorzaken is een korte introductie van enkele begrippen noodzakelijk dit zijn de begrippen opzet, bestaan en werking. De opzet is de beschrijving van de beheersmaatregelen, welke controles worden wanneer, hoe en door wie uitgevoerd. Het bestaan wil zeggen dat de accountant vaststelt dat de opzet zoals beschreven ook aanwezig is en tenslotte wordt met vastgesteld met de werking dat het proces ook daadwerkelijk wordt uitgevoerd. Na uitleg van de begrippen opzet, bestaan en werking is het duidelijker welke drie oorzaken leiden tot een verklaring met bevindingen. De eerste oorzaak is dat de opzet niet overeenkomt met de werking. Een andere bevinding is dat de opzet niet voldoende is dat wil zeggen het opgenomen proces leidt niet tot een redelijke mate van zekerheid. Een laatste oorzaak is dat de accountant niet voldoende bewijs heeft kunnen verzamelen om de opzet te kunnen toetsen, het bestaan en werking heeft de accountant niet kunnen vaststellen. Omvang van gebruikers en manier van rapporteren zijn verschillend zoals we hebben kunnen lezen. Naast verschillen zijn er ook overeenkomsten. De ISAE3402 en SOX beoordelen alleen processen die betrekking op de jaarrekening bij een SAS70 is deze restrictie met betrekking tot de te onderzoeken processen afwezig. De ISAE3402 en SAS70 zijn beiden op vrijwillige basis en worden gebruikt voor service organisaties. De betreffende serviceorganisatie vraagt de accountant om een onderzoek in te stellen naar zijn interne controle omgeving. Redenen hiervoor zijn dat de gebruikers van de service organisatie hierom vragen of de service organisatie ziet de controle als een kwaliteitskeurmerk en kan de verklaring gebruiken om zich te onderscheiden op de markt. Een SAS70 en ISAE3402 verschillen in enkele opzichten van elkaar. De eerste betreft de reactie van het management, naast de accountant die een verklaring afgeeft is er ruimte in het rapport voor een management reactie, de accountant moet wel vaststellen of de management reactie overeenkomt met de werkelijkheid. Bij de SAS70 is deze vrijwillig maar bij de ISAE3402 is deze verplicht. De managementreactie geeft het management de ruimte om uitleg te geven aan de bevindingen van de accountant en kan ook aangeven hoe de organisatie de bevindingen gaat oplossen. Daarnaast geeft de ISAE3402 een minimale set aan criteria mee waaraan het interne controle raamwerk aan dient te voldoen. De ISAE3402 en ook SOX beoordelen alleen processen die gerelateerd zijn aan de jaarrekening. Een SAS70 daarentegen heeft deze beperking niet en kan alle processen in een organisatie beoordelen. De makers van de ISAE3402 22
standaard zijn van oordeel dat de overige processen in een ISAE3000 opgenomen kunnen worden. http://www.compact.nl/artikelen/C-2010-1-Beek.htm. In tabel 4 op de volgende pagina is een overzicht opgenomen waaruit blijkt wat verschillen en overeenkomsten zijn van de drie standaarden. Tabel geeft een korte samenvatting van hetgeen dat in deze paragraaf is besproken. Tabel 4 Verplicht
Bedoeld voor
Scope
SOX Ja, indien Amerikaanse beursnotering
ISAE 3402 Nee
SAS 70 Nee
Organisaties met een Amerikaanse beursnotering Financiële processen
Serviceorganisaties
Serviceorganisaties
Financiële processen
Alle processen
Verplicht Beperkt
Niet verplicht Beperkt
Managementreactie Verplicht Gebruikersgroep Onbeperkt
3.3 Achtergrondinformatie van de te onderzoeken organisatie Pensioenuitvoerder X is een pensioenuitvoerder. In CAO's worden afspraken gemaakt over pensioenen. Om deze pensioenen veilig te stellen wordt een pensioenfonds opgericht. In Nederland zijn de pensioenfondsen onafhankelijk van de bedrijven in de Verenigde Staten bijvoorbeeld is het gangbaarder dat een pensioenregeling uitgevoerd wordt door het bedrijf waar de werknemer werkzaam is. Indien het bedrijf failliet gaat is de werknemer naast zijn baan ook zijn pensioen kwijt. In Nederland dragen werknemers en werkgevers pensioenpremies af aan het pensioenfonds. Het pensioenfonds wordt geleid door het fondsbestuur. Aangezien de administratie met betrekking tot premie inning maar ook de administratie van aanspraken en uitkeringen nogal arbeidsintensief is worden deze processen uitbesteed aan een pensioenuitvoerder. Naast de administratie wordt ook het vermogensbeheer veelal uitbesteed aan een pensioenuitvoerder. Sommige pensioenuitvoerders hebben slechts een cliënt, het pensioenfonds waarvan ze zijn afgesplitst. Anderen bedienen meerdere fondsen. Pensioenuitvoerder X is begonnen als uitvoerder van een pensioenfonds, maar heeft in de loop der jaren de uitvoering van andere fondsen opgenomen, alsook van diverse verzekeringswetten. Recent is Pensioenfonds X overgenomen door een meerdere verzorgt de administratie voor meerdere fondsen,. Zij
23
is recent overgenomen door een groot Nederlands pensioenfonds. Door deze overname is de interne controle en de risicobeheersing aangepast.
24
4 Resultaten 4.1 Methodologie Het onderzoek zal zich richten op de drie proposities geformuleerd in hoofdstuk 2.5. P1: Grote pensioenfondsen vinden een ISAE3402 belangrijker dan kleine pensioenfondsen. Door middel van de definitie van de Nederlandsche Bank worden een onderscheid gemaakt tussen kleine en grote pensioenfondsen. De grote pensioenfondsen zijn professionele beleggers en de kleinere de niet-professionele beleggers. Aan de hand van interviews wordt getoetst of grote pensioenfondsen inderdaad meer belang hechten aan een ISAE3402 rapport.. P2: Indien een ISAE3402 rapport weinig bevindingen/opmerkingen heeft neemt het vertrouwen in de pensioenuitvoerder toe. Het afnemen van een interview met het hoofd van het bestuursbureau van een groot pensioenfonds en interviews met Risk Managers werkzaam bij Pensioenuitvoerder X wordt getoetst of pensioenfondsen hun oordeel over Pensioenuitvoerder X laten bepalen door het ISAE3402 rapport of dat het functioneren van Pensioeuitvoerder X berust op andere informatie. P3: Een sterke/goede interne controle omgeving leidt tot minder bevindingen/opmerkingen in het ISAE3402 rapport. Het afnemen van een interview met het hoofd van de afdeling Risk AO/IC en de rapportages rondom de ISAE3402 wordt getoetst of bevindingen worden opgenomen in de ISAE3402 rapportage of dat deze buiten beschouwing blijven doordat de interne controle omgeving voldoende werkzaamheden heeft verricht dat bovenstaande propositie overeenkomt met de werkelijkheid. Het onderzoek naar de proposities is verricht door middel van drie interviews en het gebruik van interne en externe rapportages. De resultaten en bevindingen worden besproken in paragraaf 4.4. De resultaten worden behandeld nadat besproken welke processen van belang
25
zijn bij het voeren van een pensioenadministratie. Het ISAE3402 rapport en de opmerkingen en bevindingen zijn van toepassing op de besproken processen in paragraaf 4.2. Het besproken ISAE3402 rapport is afgegeven door pensioenbeheer en niet door vermogensbeheer. Vermogensbeheer heeft een eigen ISAE3402 rapport. Voor het toetsen van de proposities is gebruik gemaakt van drie interviews. De structuur van de interviews was voor alle drie gelijk. Begonnen is met een introductie van het onderwerp en dat vanuit het literatuuronderzoek proposities zijn gedefinieerd. De vragen hadden betrekking op het eens of oneens zijn met de proposities. Hieruit volgde een gemotiveerd antwoord en naar aanleiding van het antwoord zijn andere vragen gesteld. De 3de propositie is niet gesteld aan de directeur van het bestuursbureau van pensioenfonds B. Hieronder volgt een korte weergave van de achtergrond van de drie geinterviewden. Geïnterviewde 1 is werkzaam bij pensioenfonds B en is directeur van het bestuursbureau. In het verleden heeft hij gewerkt bij Pensioenuitvoerder X als directeur pensioenbeheer en is 2009 begonnen in zijn huidige functie. De antwoorden die gegeven zijn komen overeen met het beeld dat bestaat bij Pensioenuitvoerder X met betrekking tot pensioenfonds B. Geïnterviewde 2 is werkzaam als Risk Manager bij Pensioenuitvoerder X en in zijn functie dient hij de fondsen bewust te maken van de risico’s die gelopen worden bij de pensioenuitvoering. Hiervoor wordt gebruikt gemaakt van het risicomodel zoals gedefinieerd door de Nederlandsche Bank. In zijn functie heeft hij contact met pensioenfondsen C, D, E en F. Door zijn contacten en diverse rapportages die hij bespreekt met het bestuur van de fondsen heeft hij een goed beeld hoe de eerdergenoemde fondsen omgaan met een ISAE3402 rapport maar ook hun risicobeleid en welke prioriteiten het bestuur heeft. Geïnterviewde 3 is ook werkzaam als Risk Manager bij Pensioenuitvoerder X en is verantwoordelijk voor de ISAE3402 rapporten en de gehele procesgang bij alle fondsen. Vanuit zijn functie heeft hij een goed beeld van de processen en de zwakke en sterke punten van de verschillende teams bij Pensioenuitvoerder X. Daarnaast heeft hij contact met fondsbesturen, om vragen te beantwoorden van de fondsen naar aanleiding van het ISAE3402 rapport.
4.2
Processen
Binnen een pensioenadministratie zijn de volgende processen te onderscheiden:
26
1. Beheren van basisgegevens 2. Beheren van aanspraken 3. Vaststellen en toekennen van uitkeringen 4. Betalen van uitkeringen 1. Onder basisgegevens wordt verstaan de koppeling met de Gemeentelijke Basisadministratie en de koppeling met werkgeversdiensten. Werkgeversdiensten is een aparte afdeling met een eigen administratie binnen Pensioenuitvoerder X en heeft ook een afzonderlijk ISEA 3402 traject. Werkgeversdiensten is verantwoordelijk voor het berekenen van premies en de bijbehorende premie inning. Aangezien met deze premies de rechten worden opgebouwd is deze koppeling erg belangrijk. Andere zaken die komen kijken bij de basisgegevens is het openen en afsluiten van het boekjaar en het inlezen van de juiste parameters hieronder verstaat men onder andere indexeringspercentages, inhoudingspercentages van sociale lasten en loonheffing. 2. Beheren van aanspraken zijn ondermeer in- en uitgaande waardeoverdrachten, vereveningen bij echtscheidingen of opbouw van rechten gedurende werkloosheid als belangrijkste processen. 3. Vaststellen en toekennen hangt samen met het vaststellen van de uitkeringen ouderdomspensioen, partnerpensioen en wezenpensioen maar ook vervroegd pensioen en VUT worden berekend en klaargezet voor betaling. Levensbewijzen, ten behoeve van deelnemers die in het buitenland wonen en studieverklaringen die dienen voor voortzetting van een wezenpensioen vallen onder het proces vaststellen en toekennen. Het stopzetten van uitkeringen door bijvoorbeeld overlijden valt ook onder vaststellen en toekennen, immers een overlijden kan resulteren in een partnerpensioen en/of wezenpensioen. 4. Het proces betalen zorgt ervoor dat de deelnemers die een uitkering vastgesteld hebben gekregen in het voorgaande proces ook daadwerkelijk hun uitkering tijdig en juist ontvangen. Daarnaast worden vorderingen en retouren ook afgehandeld binnen het proces betalen. Dit zijn de voornaamste processen die een horen bij een pensioenadministratie. Daarnaast maakt Pensioenuitvoerder X ook de jaarrekeningen van de pensioenfondsen, geeft advies en heeft een call center om vragen en klachten van deelnemers af te handelen.
27
4.3 Het ISAE3402 rapport In deze paragraaf zal worden beschreven hoe het ISAE3402 rapport bij Pensioenuitvoerder X is opgebouwd. De regelgever heet aangegeven welke informatie moet worden gegeven en heeft een indeling gegeven. Het is de opsteller van het rapport vrij om hiervan af te wijken zolang de verstrekte informatie overeenkomt met de gestelde voorwaarden van de regelgever. Het rapport van Pensioenuitvoerder X bestaat uit de volgende hoofdstukken: •
Hoofdstuk 1 bevat doel, doelgroep, reikwijdte van het rapport. Tevens wordt aangegeven wat de verantwoordelijkheden van het bestuur zijn en van de accountant. In hoofdstuk 1 is ook de verklaring van de accountant opgenomen.
•
Hoofdstuk 2 bevat de reactie van het management en komt overeen met de opgenomen bevindingen in de accountantsverklaring.
•
Hoofdstuk 3, hierin wordt kort weergegeven wat Pensioenuitvoerder X doet en hoe zij verder in de organisatie van het pensioenfonds is opgenomen dat Pensioenuitvoerder X recentelijk heeft overgenomen.
•
Hoofdstuk 4 behandeld de administratieve organisatie en interne beheersing van Pensioenuitvoerder X. Welke afdelingen er zijn en wat hun functie is. Daarnaast wordt de corporate governance structuur behandeld. Ook de controle omgeving, risico evaluatie en beheersing, inrichting van de IT omgeving enzovoorts worden beschreven. Daarnaast wordt aangegeven welke processen en afdelingen onderdeel uitmaken van de “scope”.
•
Hoofdstuk 5 is het hoofdstuk geschreven door de accountant. Opgenomen is welke werkzaamheden zijn verricht en hoe de resultaten opgenomen in hoofdstuk 6 dienen te worden geïnterpreteerd.
•
Hoofdstuk 6 bevat de controlematrices, dit zijn overzichten waarin is opgenomen een korte beschrijving van het proces, welke beheersmaatregel is gedefinieerd om vast te stellen dat het proces juist, tijdig en volledig verloopt. Daarnaast wordt weergegeven wat het resultaat is geweest van de controle op de betreffende beheersmaatregel(en). Hoofdstuk 6 is veruit het grootste hoofdstuk.
•
Hoofdstuk 7 bevat overige informatie. In dit hoofdstuk reageert het
28
management specifiek op de gevonden uitzonderingen die zijn gevonden door de accountant en zijn weergegeven in hun accountantsverklaring (Hoofdstuk 1). De hoofdstukken 1, 6 en 7 zijn de hoofdstukken waarmee een beeld gevormd kan worden over de prestaties van de service organisatie. Dit komt overeen met sectie 302 en sectie 404 in de SOX rapportages.
4.4 Klanten Pensioenuitvoerder X heeft zeven pensioenfondsen als klant. Deze klanten variëren in omvang. Informatie rondom de uitbesteding van pensioenen heerst een vertrouwelijk karakter. In deze scriptie zijn de klanten van Pensioenuitvoerder X derhalve voorzien van een letter A tot en met H. A is het fonds met de grootste omvang en H met de kleinste omvang. In onderstaande tabel 5 zijn de belangrijkste kenmerken van de pensioenfondsen opgenomen. De cijfers zijn gebaseerd op de jaarverslagen over boekjaar 2010. In tabel 5 zijn zes van de zeven fondsen opgenomen. Een fonds valt buiten het onderzoek aangezien deze klant geen ISAE3402 verklaring krijgt. Tabel 5 Kenmerken pensioenfondsen Pensioenfonds A Pensioenfonds B Pensioenfonds C Pensioenfonds D Pensioenfonds E Pensioenfonds F aktieve deelnemers
185.550
36.093
4.116
1.617
1.680
1.237
gepensioneerden deelnemers
217.433
13.731
1.327
3.246
1.282
1.351
23.334
-
334
118
98
99
gewezen (slapende) deelnemers
389.312
17.263
15.859
1.900
2.690
2.962
Totaal
815.629
67.087
21.636
6.881
5.750
5.649
Pensioenvermogen/Belegdvermogen
29.363.000.000
5.910.949.000
216.027.000
145.669.000
127.636.000
641.400.000
Pensioenvoorziening
26.896.000.000
5.606.680.000
220.108.000
121.274.000
127.081.000
571.000.000
109,2%
105,4%
98,1%
120,1%
100,4%
112,3%
invalide/arbeidsongeschikte deelnemers
Dekkingsgraad Omvang bestuur (aantal leden)
14
6
6
6
6
Aantal commissies
10
3
6
2
3
8 2
Indeling omvang volgens DNB
T4
T3
T2
T2
T2
T2
In de tabel is ook een indeling opgenomen volgens de Nederlandsche Bank (Hierna DNB). DNB hanteert een indeling van T1 tot T5 om de omvang van een financiële instelling aan te geven. De omvang geeft aan wat de mate van toezicht wordt die DNB uitoefent. T1 zijn financiële instellingen die weinig tot geen activiteiten meer ontplooien. T5 zijn de financiële instellingen die een grote impact op de samenleving hebben denk hierbij aan syteembanken. De indeling van DNB geeft inzicht van de 29
omvang het pensioenfonds en helpt de proposities te verklaren.
4.5 Resultaten propositie 1 In deze paragraaf worden de bevindingen uiteengezet naar aanleiding van propositie 1. Bij het toetsen van de propositie is gebruik gemaakt van de informatie uit tabel 5 en uit interviews met de genoemde personen uit paragraaf 4.2. P1: Grote pensioenfondsen vinden een ISAE3402 belangrijker dan kleine pensioenfondsen. Op basis van de indeling van de Nederlandsche Bank wordt een onderscheid gemaakt tussen kleine en grote pensioenfondsen. De grote pensioenfondsen worden gezien als meer professionele beleggers en de kleinere als meer niet-professionele beleggers. Op basis hiervan wordt verwacht dat A en B de verklaring belangrijker vinden dan de andere fondsen. Pensioenfonds A Dit pensioenfonds is het fonds dat het langste klant is bij Pensioenuitvoerder X en is tevens de grootste klant in portefeuille van Pensioenuitvoerder X. DNB heeft de pensioenfonds A een T4 status gegeven. Status T5 is de hoogste status en dat krijgen systeembanken of andere financiële instellingen die een grote impact hebben op de Nederlandse economie. T4 is van minder grote omvang maar kan een impact hebben op de nederlandse economie. Door status T4 krijgt Pensioenfonds A naast de standaard rapportages ook veel verzoeken om aanvullende informatie te verstrekken of een onderzoek te laten uitvoeren en te rapporteren aan DNB. Uit het interview met de geïnterviewde 3 blijkt dat pensioenfonds A geen belang hecht aan een ISAE3402 rapport. Het rapport wordt inhoudelijk niet behandeld tijdens bestuursvergaderingen. Reden hiervan is dat pensioenfonds A een historische band heeft met pensioenuitvoerder X, enkele bestuurders zijn werkzaam geweest voor pensioenuitvoerder X. Pensioenfonds A bekijkt de bedrijfsvoering als een ondernemer en is zich bewust dat een foutloze procesgang een utopie is. Eind 2011 is hierin een verandering door vragen van DNB over hoe het pensioenfonds om ging met risico’s rondom de uitvoering van het pensioen regelement en hoe de pensioenuitvoerder wordt gemonitord door het pensioenfonds. Het fonds dient inzicht te geven in hun monitoring activiteiten en gaat nu ook het ISAE3402 rapport gebruiken om te voldoen aan de
30
vragen van DNB. De ISAE3402 rapportage is namelijk een goede indicator rondom de organisatie van de interne beheersing bij de pensioenuitvoerder. Het gebruik van het ISAE3402 rapport bij pensioenfonds A is ontstaan door vereisten van DNB. Pensioenfonds B Pensioenfonds B heeft een T3 status gekregen. Dat wil zeggen dat het toezicht bestaat uit het leveren van periodieke rapportages en aanvullende onderzoeken van DNB. Deze indeling is een eerste indicatie hoe Pensioenfonds B omgaat met een ISAE3402 rapport. Uit het interview dat is afgenomen met geïnterviewde 1 blijkt dat Pensioenfonds B kijkt zeer kritisch naar het ISAE3402 rapport kijkt. Alle bevindingen in hoofdstuk 6 dienen te worden voorzien van een uitleg door Pensioenuitvoerder X. Daarnaast wilt het fonds ieder kwartaal een voortgangsrapportage ontvangen waarin is opgenomen welke acties zijn ondernomen om bevindingen en opmerkingen van voorgaand jaar op te lossen en wat de huidige status is van de beheersmaatregelen. Het gedetailleerde toezicht heeft een historische achtergrond. Pensioenfonds B had net als Pensioenfonds A zelf een organisatie opgericht om het pensioenbeheer uit te voeren. De uitvoering was duur maar ook goed, een zeer goede administratie is ook een vereiste van het pensioenfonds. Door diverse ontwikkelingen met betrekking tot strengere wetgeving en ook kostenbesparing heeft het bestuur besloten om de pensioenadministratie onder te brengen bij Pensioenuitvoerder X. Gevolg hiervan was dat in de ogen van het bestuur de kwaliteit achteruit is gegaan. Pensioenuitvoerder X is tot nu niet in staat om het gevoel dat Pensioenfonds B heeft weg te nemen. Pensioenfonds B weet uit het verleden dat de administratieve organisatie/interne beheersing beter kan. Daarnaast is Pensioenfonds B sceptisch over de verbeteringen die Pensioenuitvoerder X aanbrengt in de interne beheersing aangezien Pensioenuitvoerder X meerder malen heeft beloofd problemen rondom de interne beheersing op te lossen. Samenvattend is Pensioenfonds B kritisch met betrekking tot de resultaten voortkomend uit de ISAE3402 rapportage omdat Pensioenfonds B verbeteringen wilt zien maar ook zich bewust is dat de interne beheersing beter kan. Pensioenfonds C Pensioenfonds C is een klein fonds en hoeft voor DNB ook weinig tot geen extra werkzaamheden te verrichten naast de standaard rapportages. Geïnterviewde 2 geeft aan in het interview dat pensioenfonds C een beperkte waarde hecht aan het ISAE3402 rapport. Oorzaken hiervoor dat het fonds al geruime tijd klant is bij Pensioenuitvoerder 31
X en dat de uitvoering van pensioenadministratie goed verloopt in vergelijking met de vorige uitvoerder. Het bestuur is derhalve tevreden. Het fonds hecht meer waarde aan klachten van deelnemers om een beeld te vormen rondom de uitvoering van de pensioenadministratie. Een van de bestuursleden heeft ook een werkzaam verleden bij Pensioenuitvoerder X en kent de organisatie. Het pensioenfonds heeft grotere problemen zoals een dalende dekkingsgraad en stijgende uitvoeringskosten waardoor er weinig aandacht is voor de ISAE3402 rapportage. Pensioenfonds D Pensioenfonds D is net als het voorgaande fonds klein in omvang en ook vanuit DNB is het toezicht beperkt. Het fonds is zeer regionaal en de algemeen adviseur van het fonds kent alle aangesloten werkgevers en deelnemers. Indien in de uitvoering een individueel geval niet goed verloopt wordt dit opgenomen met Pensioenuitvoerder X. Een bevinding in het ISAE3402 rapport bevestigt de “slechte uitvoering” in de ogen van de algemeen adviseur. Het bestuur van het fonds steunt op de mening van externen zoals de accountant, extern actuaris en ook de algemeen adviseur. Het bestuur gebruikt de ISAE3402 zelf niet en wordt inhoudelijk niet behandeld tijdens bestuursvergaderingen, aldus geïnterviewde 2. Pensioenfonds E De omvang van pensioenfonds E is vergelijkbaar met fonds C en D. Pensioenfonds E is net als de voorgaande fondsen ingedeeld in klasse T2 door DNB. Geïnterviewde 2 vertelt dat het fonds meerdere malen heeft aangegeven dat het niet “in control” is, het bestuur heeft het gevoel dat ze niet voldoende zicht hebben op de pensioenadministratie. Het bestuur steunt op de Service Level Agreement (hierna SLA) met Pensioenuitvoerder X. In deze overeenkomst is opgenomen wat het service niveau moet zijn van Pensioenuitvoerder X. Bijvoorbeeld het afhandelen van 95% van de correspondentie moet binnen 5 werkdagen zijn afgerond. De resultaten van de SLA worden ieder kwartaal gerapporteerd. Daarnaast is er een met betrekking tot de vergoeding van de kosten van de uitvoering een bonus/malus systeem afgesproken met Pensioenuitvoerder X. Een nadeel van een SLA is dat de rapportage alleen een inzicht geeft in een tijdige afhandeling en niet in een juiste en/of volledige afhandeling. Geïnterviewde 2 heeft aangegeven dat een ISAE3402 een goed hulpmiddel is om inzicht te krijgen in de interne beheersing van pensioenuitvoerder X en is derhalve een rapport dat het gevoel van niet in control zijn kan wegnemen. De ISAE3402 32
rapportage is een goed aanknopingspunt om in gesprek te raken met pensioenuitvoerder X rondom de interne beheersing. Het bestuur van pensioenfonds E besprak of las de ISAE3402 rapportages niet. Het rapport over 2011 is wel gelezen en is besproken met de uitbestedingscommissie van het fonds. Ondanks de aanbeveling van geinterviewde 2 is er door Pensioenfonds E weinig gedaan met de ISAE3402 rapportages. Pensioenfonds F Pensioenfonds F heeft van DNB een status T2 gekregen. Pensioenfonds F komt overeen met de voorgaande fondsen als gekeken wordt naar omvang en deelnemers en de indeling van DNB is ook overeenkomstig. Pensioenfonds F hecht weinig waarde aan de ISAE3402. De belangrijkste oorzaak hiervan is dat de het bestuur zelf werkzaam is bij Pensioenuitvoerder X. Pensioenfonds F is namelijk het pensioenfonds van het personeel dat werkzaam is bij pensioenuitvoerder X. Hierdoor is het bestuur al op de hoogte van de inhoud van het rapport. Het rapport wordt inhoudelijk behandeld tijdens de bestuursvergaderingen op hoofdlijnen. Samenvattend kan gesteld worden dat er weinig verschil zit in de aandacht die wordt besteed aan de ISAE 3402 rapportages. Uitzondering is Pensioenfonds B. Mogelijke verklaringen zijn dat Pensioenfondsen vertrouwen hebben in Pensioenuitvoerder X en weten de fondsbesturen dat een foutloze pensioenadministratie niet mogelijk is of dat de uitvoeringskosten dan zeer hoog worden. Een andere oorzaak kan een onvoldoende kennis zijn met betrekking tot administratieve organisatie/interne beheersing.
4.6 Resultaten Propositie 2 In deze paragraaf worden de bevindingen uiteengezet van propositie 2. P2: Indien een ISAE3402 rapport weinig bevindingen/opmerkingen heeft neemt het vertrouwen in de pensioenuitvoerder toe. Aan de hand van de afgenomen interviews en de bevindingen en opmerkingen uit de ISAE3402 rapportage over 2011 wordt bovenstaande propositie getoetst. In tabel 6 is opgenomen wat de bevindingen en opmerkingen zijn geweest in de ISAE3402 rapportages van de betreffende fondsen. In de tabel is te zien dat
33
pensioenfonds D en E zijn samengevoegd. Dit komt doordat de administratie is samengevoegd en wordt uitgevoerd door dezelfde mensen en de inrichting van de administratieve processen identiek zijn. Tabel 6 Opmerkingen/bevindingen in de verklaring van pensioenfondsen Pensioenfonds A
Pensioenfonds B
Pensioenfonds C
Pensioenfonds D en E
Pensioenfonds F
Opmerki ngen i n verkl a ri ng
3
6
1
0
0
Aa nta l getes te ma a tregel en
81
81
81
81
81
Rel eva nte bevi ndi ngen i n ra pport Percenta ge opmerki ngen
15
22
11
14
7
18,52%
27,16%
13,58%
17,28%
8,64%
In Tabel 6 worden de aantallen opmerkingen en bevindingen per fonds genoemd. Een opmerking wil zeggen dat de controlerend accountant in zijn verklaring een opmerking heeft opgenomen rondom het falen van een beheersmaatregel. De impact en omvang hiervan is zodanig dat de accountant de gebruiker van het rapport hierop moet attenderen, en dit wordt opgenomen in de verklaring. Bevindingen daarentegen hebben een kleinere impact en kunnen vaak gecompenseerd worden met andere beheersmaatregelen zodat de beheers doelstelling wordt gehaald. Bevindingen worden opgenomen in hoofdstuk 6 van het rapport en hebben geen effect op de verklaring die afgegeven wordt door de controlerend accountant. Het foutpercentage bestaat uit het totaal van opmerkingen en bevindingen opgenomen in het ISAE 3402 rapport. De gegevens zijn ontleent aan de ISAE3402 rapporten van 2011. Pensioenfonds A In tabel 6 is zichtbaar dat er 3 opmerkingen zijn opgenomen in de verklaring. Van de 81 beheersmaatregelen waren er 15 waarbij relevante uitzonderingen waren geconstateerd. Het bestuur heeft over de opmerkingen nadere uitleg gevraagd maar heeft niet zijn zorgen geuit volgens risk manager 2. Daarnaast geeft Risk Manager 2 aan dat het bestuur een ondernemingsgerichte visie en focus heeft en van oordeel is dat de belangrijkste processen goed verlopen. De achtergrond van het fonds is hierin bepalend, historisch zijn pensioenfonds A en Pensioenuitvoerder X onlosmakelijk met elkaar verbonden. Pensioenuitvoerder X is namelijk ontstaan doordat pensioenfonds A van mening was om in de jaren 50 een eigen uitvoeringsorganisatie op te richten. Pensioenfonds B Geinterviewde 1 heeft bij propositie 1 vertelt dat iedere bevinding uit het ISAE3402 34
rapport van uitleg dient te worden voorzien door Pensioenuitvoerder X. Uit tabel 6 blijkt dat de accountant 6 opmerkingen heeft geplaatst in de verklaring en dat er 22 bevindingen waren opgenomen in hoofdstuk 6. Het fondsbestuur is niet tevreden volgens geïnterviewde 1. Sinds 2009 zijn er bevindingen en opmerkingen opgenomen in het rapport, deze zijn nog niet of onvoldoende opgelost door Pensioenuitvoerder X. Het bestuur is kritisch en wil op de hoogte worden gehouden van de voortgang van het oplossen van de administratieve problemen. Ieder kwartaal dient Pensioenuitvoerder X te rapporteren rondom de status van de ISAE3402. Geïnterviewde 1 geeft aan dat de problemen rondom de ISAE3402 zwaarder gaan meewegen bij een eventuele verlenging van het contract rondom de pensioenuitvoering in 2015. Momenteel krijgt Pensioenuitvoerder X het voordeel van de twijfel aangezien deelnemers tevreden zijn over de dienstverlening van Pensioenuitvoerder X. Pensioenfonds C Pensioenfonds C heeft 1 opmerking in de verklaring en heeft met 11 bevindingen in hoofdstuk 6 in vergelijking met de andere fondsen goed gepresteerd. Het fonds is ondanks het positieve rapport niet tevreden. Volgens geïnterviewde 2 is de oorzaak hiervan dat het ISAE3402 rapport wordt gezien als een melding achteraf, het rapport wordt eenmaal per jaar besproken in het voorjaar. Een andere oorzaak is dat de algemeen adviseur dagelijks contact heeft met deelnemers en bespreekt al hun klachten of opmerkingen met Pensioenuitvoerder X. Indien een deelnemer een probleem heeft wordt het ervaren als een falen in het administratieve proces en interne controle. Pensioenfonds D en E Beiden fondsen hadden geen opmerking in de verklaring en 14 bevindingen in hoofdstuk 6. Geïnterviewde 2 geeft aan dat het vertrouwen van het bestuur in de pensioenuitvoering goed is. Het ISAE3402 geeft daarnaast ook geen reden tot zorgen rondom de administratieve organisatie en interne controle. Pensioenfonds F Het pensioenfonds F had geen opmerkingen in de verklaring en de bevindingen in hoofdstuk 6 waren er zeven. Het ISAE3402 rapport geeft geen reden tot zorgen volgens geïnterviewde 2. Daarnaast heeft het bestuur vertrouwen in de pensioenuitvoerder. Dit komt voornamelijk door de achtergrond die het fondsbestuur heeft. 35
Uit bovenstaande bevindingen blijkt dat pensioenfonds B gebruik maakt van de ISAE3402 rapportage om een beeld te vormen voor de toekomstige samenwerking met Pensioenuitvoerder X en hiermee een uitspraak doet over het vertrouwen dat pensioenfonds B heeft. De overige fondsen laten zich minder of niet leiden door de ISAE3402 rapportages zoals ook gebleken is uit de bevindingen bij propositie 1. De voornaamste reden hiervoor is dat de overige fondsen andere bronnen gebruiken om een beeld te krijgen van pensioenuitvoerder X zoals SLA rapportages, naar de mening van de extern accountant en extern actuaris vragen of het raadplegen van haar leden. Daarnaast hebben pensioenfondsen D, E en F geen aanleiding tot minder vertrouwen in Pensioenuitvoerder X aangezien er geen opmerkingen in de verklaring staan en de bevindingen beperkt zijn.
4.7 Resultaten Propositie 3 In deze paragraaf worden de bevindingen van propositie 3 behandeld. Alvorens de resultaten en de propositie weer te geven is een uitleg rondom de interne controle van belang. Het interne controle raamwerk bij pensioenuitvoerder X is gebaseerd op drie lagen van interne controle namelijk de 1ste lijn, 2de lijn en 3de lijn. De 1ste lijn betreffen de mensen op de werkvloer de diverse administratie en klantteams die werkzaam zijn voor een pensioenfonds. Ook wel de uitvoering genoemd. De 1ste lijn is verantwoordelijk voor de inrichting en uitvoering van hun beheersmaatregelen. De 2de lijn is het personeel van de afdeling Risk/AO/IC, geinterviewde 3 is van deze afdeling de leidinggevende. De 2de lijn controleert de 1ste lijn, door middel van maandelijkse deelwaarnemingen worden de verrichte controle werkzaamheden gecontroleerd door de 2de lijn. De 2de lijn en 1ste lijn werken nauw samen denk hierbij voornamelijk aan het aanbrengen van verbeteringen in het interne controle raamwerk. De 3de lijn is een samenwerking tussen de extern accountant en de interne accountantsdienst. Zij controleren de werkzaamheden van de 2de lijn en geven een oordeel over het functioneren van de 2de lijn en indirect een oordeel over de 1ste lijn. De inrichting van de interne controle op deze wijze leidt er toe dat de 2de lijn de intermediair is tussen de 1ste lijn en 3de lijn. De 2de lijn kan de 1ste lijn corrigeren en bijsturen indien beheersmaatregelen niet goed functioneren of niet worden uitgevoerd, hierdoor kan de 2de lijn eventuele bevindingen of opmerkingen in de ISAE302
36
rapportage voorkomen. Een andere taak van de 2de lijn is bevindingen of opmerkingen van de 3de lijn weerleggen door het aantonen van compenserende beheersmaatregelen of het uitvoeren van aanvullende werkzaamheden om aan te tonen dat de beheersdoelstelling van gehaald wordt en derhalve geen opmerking of bevinding in de ISAE3402 rapportage wordt. Deze informatie is van belang om de resultaten van propositie te interpreteren. P3: Een sterke/goede interne controle omgeving leidt tot minder bevindingen/opmerkingen in het ISAE3402 rapport. Het afnemen van een interview met het hoofd van de afdeling Risk AO/IC en de rapportages rondom de ISAE3402 wordt getoetst of bovenstaande propositie overeenkomt met de werkelijkheid. In onderstaande tabel 7 is een overzicht opgenomen tussen de bevindingen die de accountant voornemens was op te nemen in het rapport en het aantal bevindingen dat uiteindelijk in het definitieve rapport is opgenomen. Uit de tabel is op te maken dat bij alle fondsen het aantal bevindingen en opmerkingen zijn afgenomen ten opzichte van het 1ste voorstel van de extern accountant. Tabel 7 Verschil tussen bevindingen en definitief rapport Pensioenfonds A
Pensioenfonds B
Pensioenfonds C
Pensioenfonds D en E
Pensioenfonds F
Aa nta l ge te s te ma a trege l e n
81
81
81
81
81
Aa nta l bes pre ekpunte n
1
1
0
1
1
Aa nta l bevi ndi nge n
20
42
15
16
10
Tota a l
21
43
15
17
11
Opme rki nge n i n ve rkl a ri ng
3
6
1
0
0
Aa nta l ge te s te ma a trege l e n
81
81
81
81
81
Re l e va nte be vi ndi ngen i n ra pport Pe rcenta ge opme rki nge n Ve rs chi l
15
22
11
14
7
18,52%
27,16%
13,58%
17,28%
8,64%
3
15
3
3
4
Uit het interview met geïnterviewde 3 blijkt dat de interne controle omgeving sterk is. De extern accountant maakt gebruik van de werkzaamheden die zijn verricht door interne controle afdelingen van Pensioenuitvoerder X. Daarnaast ziet de 2de lijn potentiele problemen in de interne controle en neemt tijdig actie om de beheersmaatregel te herstellen of een compenserende beheersmaatregel in te zetten
37
zodat de doelstelling van de beheersmaatregel wordt gehaald. Tevens merkt geïnterviewde 3 op dat het bewustzijn met betrekking tot interne controle van de organisatie is toegenomen de afgelopen jaren. De noodzaak van interne controle begint via het management door te dringen op de werkvloer. De kennis van de werknemers van de 2de lijn draagt bij aan het verminderingen van opmerkingen en bevindingen in de ISAE3402 rapportages. Tabel 7 laat zien dat de 2de lijn zorgt dat het aantal bevindingen en opmerkingen minder is dan de 3de lijn wilde opnemen in de ISAE3402 rapportage. De gegevens opgenomen in het bovenste deel van de tabel is ontleent aan een excel sheet waarin de extern accountant bevindingen heeft opgenomen die opgenomen worden in hoofdstuk 6 of in de verklaring van de ISAE3402 rapportage. De bespreekpunten in het excel sheet zijn issues waarvan de accountant meer duidelijkheid wenst. Het onderste deel van de tabel zijn de bevindingen en opmerkingen die in de definitieve ISAE3402 rapportage zijn opegenomen. Het verschil is totaal van het excel sheet minus de relevante bevindingen in het rapport. Het meest opmerkelijke verschil is pensioenfonds B omdat er uiteindelijk 15 bevindingen niet in de definitieve ISAE3402 rapportage zijn opgenomen. Dit verschil heeft twee oorzaken. De 2de lijn heeft de 1ste lijn extra werkzaamheden laten uitvoeren om aan bij enkele beheersmaatregelen aan te tonen dat de gevonden fouten een incident betroffen en dat de beheersmaatregel dus voldoende effectief is. Daarnaast heeft de 2de lijn aan de hand van compenserende beheersmaatregelen of aanvullende beheersmaatregelen kunnen aantonen dat het falen van de geteste beheersmaatregel niet leidt tot een onbetrouwbare populatie omdat, fouten door middel van bijvoorbeeld een aansluitcontrole gevonden worden. Een aansluitcontrole is het maken van een aansluiting tussen twee systemen bijvoorbeeld de pensioenadministratie en de uitkeringadministratie. In de pensioenadministratie is een populatie van deelnemers die recht hebben op een uitkering. Deze uitkeringsgerechtigden zijn ook opgenomen in de uitkeringadministratie. In het beste geval zijn beiden administraties identiek aan elkaar. Tussen beide administraties ontstaan verschillen en hiervoor dient een verklaring te worden gegeven. Een verklaring bijvoorbeeld is dat een deelnemer tijdelijk niet uitgekeerd krijgt omdat de betreffende deelnemer geen levensbewijs heeft opgestuurd binnen de gestelde termijn en is het terecht dat betreffende deelnemer niet in de uitkeringadministratie is opgenomen. De betreffende aansluitcontrole is bijvoorbeeld een beheersmaatregel die jaarlijks wordt uitgevoerd ten behoeve van het jaarwerk. Veel van dit soort maatregelen vielen buiten de referteperiode van een halfjaar van 1 mei 2011 tot en met 31 oktober 2011. Ondanks het gegeven dat 15 bevindingen niet zijn 38
opgenomen in de definitieve ISAE3402 rapportage is Pensioenfonds B het fonds met de meeste bevindingen. Oorzaak hiervan is dat het administratieteam fouten maakt voornamelijk in de registratie van basisgegevens. Basisgegevens zijn gegevens over deelnemers die ontvangen worden van de Gemeentelijke Basisadministraties zoals overlijden, echtscheidingen en adreswijzigingen. Daarnaast zijn er ook gegevens van werkgevers zoals adreswijzigingen maar ook salarisgegevens van werknemers die gebruikt worden voor de premieberekening.Het administratieteam van pensioenfonds B heeft een zekere onverschilligheid in vergelijking met bijvoorbeeld pensioenfonds C en D waar de werknemers een grotere betrokkenheid tonen. Binnen pensioenfonds A zijn ook enkele teams waar een zekere onverschilligheid heerst maar door de hoge mate van automatisering is de kans op fouten veel kleiner. Bij pensioenfonds B worden veel mutaties met betrekking tot de basisgegevens handmatig ingevoerd door een medewerker en worden gefiatteerd door een ervaren medewerker het zogenaamde 4ogen principe. Bij pensioenfonds A is de handmatige invoer niet nodig aangezien de gegevens door middel van interfaces worden ingelezen in de pensioenadministratie. De onverschilligheid bij pensioenfonds B manifesteert zich voornamelijk in het niet voldoende controleren van de mutaties die worden ingevoerd, onjuiste mutaties worden goedgekeurd.
39
5 Conclusies en aanbevelingen Samenvattend zijn de resultaten naar aanleiding van de proposities als volgt Propositie 1 stelt dat er een onderscheid is tussen grote en kleine pensioenfondsen. De indeling volgens DNB impliceert dat Pensioenfonds A een fonds is dat waarde hecht aan een ISAE3402 rapportage. Uit het interview blijkt dat niet zo te zijn daarentegen ziet Pensioenfonds A zich genoodzaakt meer aandacht te besteden aan de ISAE3402 door druk van DNB. Pensioenfonds B is kleiner dan Pensioenfonds A maar hecht veel waarde aan de ISAE3402 rapportage en gebruikt het rapport als uitgangspunt voor de controle op Pensioenuitvoerder X. De fondsen C, D, E en F hechten weinig waarde aan de ISAE3402 rapportage en komt overeen met de indeling van DNB. De eerdergenoemde fondsen hebben allen status T2 en is de op een na laagste status. De conclusie van propositie 1 is dat er een onderscheid is tussen kleine en grote pensioenfondsen. Het onderscheid ontstaat door druk van derden zoals DNB en de Autoriteit Financiële Markten. Zij willen weten van de pensioenfondsen wat hun risicobeleid is en welke maatregelen zij hebben om te toetsen of de pensioenadministratie wordt beheerst. Propositie 2 is een afgeleide van de 1ste Propositie. Pensioenfonds A, D, E en F gebruiken andere middelen om hun vertrouwen in Pensioenuitvoerder X uit te spreken. Pensioenfonds B daarentegen gebruikt de ISAE3402 rapportage om een beeld te vormen van Pensioenuitvoerder X. De bevindingen en opmerkingen in de ISAE3402 rapportage geven aanleiding om kritisch te kijken naar de werkzaamheden die Pensioenuitvoerder X uitvoert. Pensioenfonds A heeft uitgaande van de ISAE3402 rapportage ook reden om kritisch te zijn richting Pensioenuitvoerder X maar heeft dat niet. Oorzaak hiervan is de historie en manier van aansturen van het fonds en pensioenuitvoerder. Pensioenfonds C daarentegen zou uitgaande van de bevindingen en opmerkingen in de ISAE3402 rapportage een hoog vertrouwen moeten hebben in Pensioenuitvoerder X. Pensioenfonds C geeft aan dat het moeite heeft een beeld te vormen van Pensioenuitvoerder X. De overige fondsen D, E en F hebben vertrouwen in pensioenuitvoerder X en komt ook overeen met het aantal bevindingen en opmerkingen in de ISAE3402 rapportage. Concluderend kan gesteld worden dat het vertrouwen toeneemt van de pensioenfondsen indien de ISAE3402 rapportage weinig opmerkingen en bevindingen bevat. Propositie 3 geeft inzicht in de interne controle omgeving van
40
Pensioenuitvoerder X. Uit de resultaten blijkt dat de 2de lijn in staat is om bevindingen die de 3de lijn heeft te verwerpen door middel van extra werkzaamheden of compenserende beheersmaatregelen. Conclusie aangaande propositie 3 is dat een goede interne controle omgeving leidt tot minder bevindingen en opmerkingen in de ISAE3402 rapportage. De organisatie en zijn interne controle omgeving zijn in staat om te reageren op bevindingen en ze deels aan te passen. In de literatuur rondom SOX en de interne controle omgeving is er een verband tussen het aantal opmerkingen in de verklaring en het niveau van de interne controle omgeving. Hoe sterker de interne controle neemt het aantal bevindingen af zoals Krishan (2005) en Lin (2011) aantonen in hun onderzoek. In deze scriptie is gebruik gemaakt van de informatie van een organisatie is het maken van een benchmark tussen verschillende interne controle omgevingen niet mogelijk. Derhalve is een conclusie zoals die in de literatuur rondom SOX worden getrokken niet mogelijk. Tijdens het schrijven van deze scriptie is het moeilijk gebleken om informatie te krijgen van betrokkenen omdat pensioenuitvoerders en ook pensioenfondsen terughoudend zijn in het geven van informatie in verband met geheimhouding. Dat heeft tot gevolg dat de empirische resultaten in deze scriptie beperkt zijn. Desondanks draagt deze scriptie bij aan de literatuur door dat conclusies die zijn getrokken door middel van kwantitatief onderzoek zijn getoetst door middel van een kwalitatief onderzoek. Toekomstig onderzoek zou kunnen plaatsvinden door het toetsen van de proposities met een grotere populatie om een representatiever beeld te krijgen. Met name proposities 1 en 2 zijn interessant voor regelgevers om vast te stellen of het huidige rapport of rapportage vorm de informatie geeft die van belang is voor gebruikers van het rapport.
41
6 Literatuurlijst Arnold V. et al. 2011. Do section 404 disclosures affect investors' perceptions of information systems reliability and stock predictions? International Journal of Accounting Information Systems: 1-16 Ashbaugh-Skaife H., Collins D.W., Kinney W.R., Lafond R.,2009. The effect of SOX internal control deficiencies on firm risk and cost of equity. Journal of Accounting Research: 47 1-43 Bedard J.C., Hoitash U., Hoitash R., 2006. Audit pricing and internal control disclosures among non-accelerated filers. Research in Accounting Regulation 20: 103-126. Bronson S.N, Carcello J.V. and Raghunandan K. 2006. Firm Characteristics and Voluntary Management Reports on Internal Control. Auditing: A Journal of Practice & Theory 25: 25-39 Coates IV J.C. 2007 The Goals and Promise of the Sarbanes-Oxley act. The Journal of Economic Perspectives 21: 91-116 Doyle J., Ge W., McVay S. 2007. Determinants of weaknesses in internal control over financial reporting. Journal of Accounting and Economics 44:193-223. Goh, B.W. 2009. Audit committees, boards of directors and remediation of material weaknesses in internal control. Contemporary Accounting Research 26 2: 549-579. Hammersley, J.S., Myers, L.A., Shakespeare C 2007. Market reactions to the disclosure of internal control weaknesses and to the characteristics of those weaknesses under section 302 of the Sarbanes Oxley act of 2002. Review of Accounting Studies 13 1. 141-165.
42
International Standard on Assurance Engagements (ISEA 3402) Assurance reports on controls at a service organization Ittonen, K. 2010. Investor reactions to disclosures of material internal control weaknesses. Managerial Auditing Journal 25 3: 259-268. Kim Y, Park M.S. 2009. Market uncertainty and disclosure of internal control deficiencies
under the Sarbanes-Oxley Act. Journal of Accounting and Public
Policy 28: 419-445. Krishnan, J. 2005. Audit Committee Quality and Internal Control: An Empiric Analysis. The Accounting Review 80: 649-675. Lin S, Pizzini M, Vargus M and R. Bardhan Indranil. 2011. The Role of the Internal Audit Function in the Disclosure of Material Weaknesses. The Accounting Review 86: 287-223 Munsif V., Raghunandan K., Dasaratha D., Rama V., Singhvi M., 2011. Audit fees after remediation of internal control weaknesses. Accounting Horizons 25 1: 87-105. Schneider, A. 1984. Modeling external auditors’ evaluations of internal auditing. Journal of Accounting Research 22 2: 657–678. Zhang Y, Zhou, J, Zhou N, 2007. Audit Committee quality, auditor independence, and internal control weaknesses. Journal of Accounting and Public Policy 26 200-327.
43