Risicomanagement, een selectie van toepassingen in ondernemingsbestuur Jan van de Poel
14
Framework voor integraal risicomanagement Jan van de Poel is hoogleraar risicomanagement aan de Universiteit Maastricht, president-commissaris van het Telematica Instituut, commissaris bij Conquaestor en voorheen financieel directeur van ABP en Koninklijke Sphinx. In 2006 was hij deskundige voor de rechtbank in Amsterdam inzake de strafzaak tegen voormalige Ahold-bestuurders, waarover hij het boek Schade en Schande, lessen uit de zaak Ahold schreef (uitgeverij BusinessContact, Amsterdam). In 2007 voerde hij een toekomstverkenning uit voor de Nederlandse financiële sector in opdracht van de Nederlandse Vereniging van Banken, getiteld Hoogwaardig en Duurzaam (te downloaden op de website van NVB).
Risicomanagement, een selectie van toepassingen in ondernemingsbestuur
15
Theorie? Voor we aan de slag gaan met praktische problemen en suggesties, willen we eerst wat filosoferen en een theoretisch kader voorstellen. Dat is beter om later geen onnodige fouten te maken en om de zaken zo simpel mogelijk te houden. Risicomanagement is niet moeilijk te definiëren: het in de hand houden van risico’s die voortkomen uit het streven naar begeerlijke objecten, emoties, gevoelens of toestanden. Dat kan geld zijn, of macht of seksuele diensten of wat dan ook. Het in de hand houden betreft in elk geval het vooraf weten welke risico’s gelopen worden bij een bepaalde beslissing en dat in de afweging te betrekken. Weten waar je aan begint dus. Het kan ook geen kwaad om de afhankelijkheid van de onvoorspelbare natuur of de tegenwerking van anderen in kaart te brengen. Risicomanagement is eerst en vooral afwegen. Risico’s zijn dus negatieve gevolgen van acties waartoe besloten werd (of zou kunnen worden) om bepaalde positieve effecten te verwerven of de kans daarop te verhogen. Iedere inspanning om een positief effect te behalen is derhalve al riskant vanwege de onzekerheid die er in de regel bestaat omtrent het zich daadwerkelijk voordoen van dat beoogde effect. Niets is helemaal zeker en de inspanning kan achteraf gezien vergeefs geweest zijn. Een inspanning kan bijzondere competenties vereisen waarover de beslisser wel of niet geheel beschikt. De kans op het bereiken van het doel wordt uiteraard gunstig beïnvloed als de juiste vaardigheden aanwezig zijn. Het aanleren van bepaalde competenties is trouwens op zich al riskant: sommige mensen kunnen trainen tot ze een ons wegen zonder het gewenste vaardigheidsniveau te bereiken. Verder hebben risico’s vooral betrekking op ongewenste neveneffecten. Zoals bij het gebruik van medicijnen. Je wilt iets bereiken en dat zal ook wel lukken, maar er kunnen zich vervelende bijwerkingen voordoen. Dat kan zich ook voordoen bij organisaties; je kunt een team tot grote inspanningen aansporen, maar als je dat overdrijft, zullen er mensen afvallen omdat ze het niet trekken en gaan tegenwerken of uitvallen. Dat kan vervelende gevolgen hebben. Niet altijd wordt risicomanagement zo gedefinieerd. Meestal wordt geen vermelding gemaakt van het streven naar begeerlijke spullen. Maar het is evident dat doelstellingen en begeerte essentiële componenten van risicomanagement zijn. Risico’s lopen zonder dat je er iets mee bereikt, is wel het laatste wat je wilt. Er zijn echter risico’s die je kunt ontwijken door af te zien van het begeerlijke spul en er zijn ook risico’s die je niet kunt ontwijken omdat ze domweg bij het leven horen. Toch moet er altijd een zeker verband bestaan tussen de intensiteit van het risico en de intensiteit van wat begeerd wordt. Risico’s die je niet kunt mitigeren, voorspellen en ontwijken, kun je wel beter willen kennen, maar je kunt er niet veel aan doen, behalve maatregelen ontwerpen voor het geval dat het onheil geschiedt. Daar kun je je op voorbereiden.
16
Framework voor integraal risicomanagement
Veel van de praktische benaderingen die je tegenwoordig tegenkomt, besteden weinig aandacht aan doelen en begeerte omdat dat triviaal zou zijn. Toch is dat niet slim, want het is op voorhand duidelijk dat er een balans moet zijn tussen de omvang van het risico en de omvang van wat begeerd wordt. Niet alles is het risico waard. In de financieringstheorie gaat het bijvoorbeeld altijd om de verhouding tussen risico en beloning. Soms zijn er vaste verhoudingen, zoals bij het beleggen in allerlei soorten vermogenstitels. Soms is het risico echter ook volkomen idiosyncratisch oftewel uniek, net zoals bij het streven naar een relatie met een begerenswaardige huwelijkskandidaat. Noteringen bestaan, maar niet voor alles. Risico’s kunnen nooit onbeperkt gelopen worden. Je kunt bijvoorbeeld maar één keer je leven verliezen en er zijn activiteiten waar dat risico inderdaad gelopen wordt. In financieel opzicht heb je ook geen onbeperkte ruimte om risico’s te nemen. Je moet zuinig omspringen met die risico’s en je moet als het ware kiezen uit de verschillende manieren om je risicobudget in te zetten. Er is inderdaad een benadering die zo heet: risk budgeting. Risk appetite is een belangrijke factor bij het nemen van beslissingen waar risico’s aan kleven. De een wil nu eenmaal minder risico lopen dan de ander. Toch is niet alles te herleiden tot een individuele afweging. Er zijn situaties waarin anderen zich met onze risico’s bemoeien door de risk appetite te begrenzen. Iedereen die te onkundig is of te onervaren om een juiste afweging te kunnen maken, bijvoorbeeld kinderen of demente bejaarden, wordt bevoogd en ook dat is een vorm van risicomanagement. Op sommige terreinen wordt voetstoots aangenomen dat gewone mensen er te weinig verstand van hebben, zoals met financiële producten. Weten waar de tax ligt (de risk appetite) is dus een belangrijk gegeven. Overigens kan ook het tegenovergestelde voorkomen: aanmoedigen om een bepaald risico maar te accepteren met een beroep op de intensiteit van wat begeerd wordt. Een belangrijke vraag is of je risico kunt meten. Het antwoord is: soms wel. Er wordt altijd aandacht besteed aan het al dan niet kennen van een betrouwbare kansverdeling. Heb je die, dan spreekt men van risico. Heb je die niet, dan gaat het om onzekerheid. Dit onderscheid is wel handig, want met een betrouwbare inschatting kun je beter finetunen dan zonder die informatie. Maar je kunt altijd wel redeneren en meten zonder de kansen te kennen, zoals bij het criterium van de geringste spijt. Dan een probleem met een praktische strekking: is er een neutrale definitie van risico, dus een waarbij het niet alleen om negatieve aspecten gaat? Ja, die is er, en wel in de financiële economie. De waarde van een aandeel is onzeker in de tijd. Er is marktrisico en dat betekent dat de koers in de toekomst, hoe kort ook, meer of minder is dan nu. Wil je de upside potential bereiken, dan zul je de downside ook moeten accepteren, maar het is een glijdende schaal. We kunnen daar ook het volgende van zeggen. Risico kan ook een tegenvallend resultaat zijn waarbij een verwachtingswaarde of een ambitieniveau een belangrijke rol speelt. Hoe hoger de lat, hoe groter het risico dat je het niet haalt. Dat is wel duidelijk. Het probleem
Risicomanagement, een selectie van toepassingen in ondernemingsbestuur
17
is dat sommige mensen geneigd zijn om de illusie te koesteren die lat wel te zullen halen en daarbij zichzelf overschatten. Misschien is die illusion of control wel het grootste risico. Het een na laatste theoretische doorkijkje heeft betrekking op het gevaar van weerstand en tegenacties van de kant van andere beslissers, concurrenten of tegenstanders, hoe je ze maar wilt noemen. Riskant kan al zijn je bedoelingen openbaar te maken waardoor anderen gaan tegenwerken nog voordat het spel begonnen is. Dergelijke speltheoretische werkelijkheden en hoe je daarmee moet omgaan zijn heel reëel. Het laatste punt is het domein van risicobeheersing, oftewel maatregelen die kunnen leiden tot het mitigeren van risico’s. Daar heb je in principe drie strategieën voor: (1) vermijden; (2) compenseren en (3) beheersen. Dat beheersen kan weer op allerlei manieren, maar dat wordt in dit stadium te gecompliceerd.
Bekende toepassingen Het voorgaande kan in een soort overzicht geplaatst worden. Dat is in de vakliteratuur al meerdere keren gedaan. Het best ontwikkeld is de financiële economie die vrijwel alles op dit gebied afdekt. Die benadering heet risicomanagement en is leidend in de hele financiële sector. Denk ook aan toezichtregimes zoals Bazel II, FTK en Solvency II. Dat zijn bekende nummers die laten zien dat risicomanagement heel goed gestructureerd kan worden en dan meteen heel dominant is voor de werkelijkheid. Ook in de techniek vinden we goed uitgewerkte modellen, bijvoorbeeld voor de luchtvaart of de bruggenbouw. Eigenlijk is ook de Arbo een voorbeeld waarbij toezichtregimes leidend zijn voor de inrichting van de werkelijkheid. Veiligheidseisen inzake producten die nietsvermoedende consumenten kopen en gebruiken zijn ook een voorbeeld van praktisch risicomanagement. In de gezondheidszorg zie je dat ook. In het algemeen gaat het dan om het publiek te beschermen tegen risico’s die de professional wel, maar het volk als leek niet begrijpt. In de kern is alles wat met milieubeleid te maken heeft ook risicomanagement, maar dan nog niet volledig uitgewerkt. In de accountantscontrole bestaat risicomanagement ook al heel lang. Eerst ging het om betrekkelijk eenvoudige modellen, maar gaandeweg zijn die gecompliceerder en meer gedetailleerd geworden. Dat is ook de algemene trend: begint men eenmaal in risicotermen te denken, dan worden de schema’s alsmaar ingewikkelder en gedetailleerder. Totdat de modellen zo ingewikkeld geworden zijn dat niemand er nog iets van snapt of dat het product als zodanig zijn betekenis geheel verloren heeft.
18
Framework voor integraal risicomanagement
In de accountancy heb je zoiets als een algemeen model waarbij allerlei risico’s met elkaar in verband gebracht worden teneinde op een verstandige manier een palet aan controlemaatregelen te kiezen. Dat is een goed model gebleken, maar natuurlijk is het lastig om het model goed te gebruiken vanwege de problemen bij het schatten van risico’s en effecten. Meer dan een hulpmiddel bij het nemen van belangrijke beslissingen is het dan ook niet. Je kunt er niet blind op varen zoals je dat wel kunt met de navigatieapparatuur gebaseerd op gps. Een veelbesproken model is dat van Enterprise Risk Management in allerlei varianten. Ik vind die varianten niet zo interessant, want ze zijn eigenlijk precies gelijk aan elkaar. Om marketingtechnische redenen worden er allerlei specifieke elementen aan het basismodel toegevoegd, wat je met auto’s ook hebt, maar het blijven auto’s met vier wielen en een motor. Er zijn verschillen en die doen er soms ook toe, maar veel is het niet. Over die verschillen zal ik het nu niet hebben. In de instructies van die benaderingen zitten ongeveer alle zaken en overwegingen die ik hier (in deze en de vorige paragraaf) aan de orde gesteld heb. Het is moeilijk om een korte introductie te geven waarin onbekende zaken aan de orde komen. De lezer zal op de hoogte zijn van de benaderingen die hier besproken zijn. Behalve wellicht financieelrisicomanagement omdat dit alleen in de financiële wereld gebruikt wordt. ERM en het standaardmodel accountantsrisico zijn bij iedereen bekend. Risicomanagement, zoals in de financieringstheorie gangbaar, komt neer op het vertalen van voorkeuren die in de markt door aanbieders van vermogen gedemonstreerd worden naar instructies voor het handelen van ondernemingen. Het model dat hierbij hoort, is dat van het Capital Asset Pricing Model (CAPM) waarbij een verband gelegd wordt tussen het risico van de onderneming als geheel of een project dat daar deel van uitmaakt enerzijds en de beloning die de verschaffers van eigen en vreemd vermogen daarvoor verlangen anderzijds. Ook dit model is goed bekend, ook bij accountants. Aldus wordt per onderneming een hurdle rate vastgesteld die afgeleid wordt uit de volatiliteit van de onderneming ten opzichte van de markt als geheel, mede gebaseerd op enkele min of meer vaste waarden zoals het tarief voor risicoloze beleggingen en belastingtarieven. Deze hurdle rate dient als maatstaf voor het beoordelen van investeringsprojecten. Die moeten voldoende opleveren om de vermogenskosten te vergoeden.
Risicomanagement in de financiële sector Risicomanagement is een aparte discipline geworden die de financiële dienstverlening (banken, verzekeraars, pensioenfondsen en beleggers) behoorlijk domineert. Dit doet zich voor op twee niveaus: (1) op het operationele vlak bij het ontwerpen, beoordelen en bewaken van contracten; (2) op bestuurlijk vlak ter bewaking van de goede gang van zaken in afdelingen, divisies en de instelling als
Risicomanagement, een selectie van toepassingen in ondernemingsbestuur
19
geheel. Op het eerste niveau gaat het vooral om het hanteren van formele (wiskundige) modellen waarin derivaten een grote rol spelen, maar ook aandacht geschonken wordt aan marktrisico, kredietrisico en andere vervelende zaken. Op bestuurlijk niveau gaat het om het default risk van de instelling of afdeling. Financiële instellingen moeten immers alles doen om te voorkomen dat ze onderuitgaan en daarom is het in die sector normaal dat er serieus aan risicomanagement gedaan wordt. Dat was altijd al zo en daarbij wordt men ook geholpen door regelgeving en toezicht, maar er is altijd een eigen verantwoordelijkheid van de instelling. Het bestuurlijke risicomanagement in de financiële sector wordt veelal aangeduid als Asset-Liability Management (ALM). De vraag die daarbij gesteld wordt, is hoe groot de kans van default is en hoeveel risico men wenst te nemen. De belangrijkste variabele is het eigen vermogen (in economische en dus niet in boekhoudkundige zin) en de kansverdeling daarvan. Je moet een aggregatie zien te krijgen van alle onderliggende contracten en marktprocessen en dat is veel werk. Er zijn enkele valkuilen die bekend zijn, maar toch iedere keer onverhoeds de kop opsteken. De eerste is het effect van covarianties van gebeurtenissen en toestanden die ogenschijnlijk weinig met elkaar te maken hebben. Denk aan de mate van samenhang tussen aandelen en obligaties. Soms is er een getoetste theorie die hierbij kan helpen, maar niet altijd. Het moge duidelijk zijn dat sommige risico’s elkaar dempen en dat weet je door de covarianties te onderzoeken. In de praktijk moet dus veel aandacht besteed worden aan het onderzoeken van verbanden die men op grond van theorie of empirie vermoedt. Dat levert veel discussie op, want een geobserveerd verband kan ook best een toevalstreffer zijn. De tweede valkuil zijn de embedded options, oftewel opties die partijen elkaar geven (al dan niet tegen een vergoeding) en die niet zo glashelder te herkennen zijn. Men zou kunnen spreken van vage beloften, maar als de nood aan de man komt, moeten die soms om de drommel wel gezien worden als hard. Dat hangt ook af van juridische beoordeling en loyaliteit jegens de andere partij. Welnu, in de financiële dienstverlening komen die embedded options veel voor. Men dekt zich in, maar wil niet overdrijven. Een spectaculair voorbeeld van embedded options zijn de zogenaamde Special Purpose Vehicles (SPV’s) waarbij activa en/of passiva van de balans gehaald worden omdat ze aan een andere partij verkocht worden. Zo worden hypotheken gebundeld en doorverkocht (niet alleen subprime hypotheken). Men noemt dit securitization en mortage backed securities. Vaak blijft een gering risico achter bij degene die zijn balans opschoont. Binnen bepaalde grenzen komt het risico bij de nieuwe eigenaren te liggen, maar vaak blijft er een extreem risico over voor degene die de spullen van de hand doet. Men noemt deze risico’s equity stumps. De vraag is hoe de verkoper rekening moet houden met dat restrisico. Soms zijn er boekhoudregels, in US GAAP bijvoorbeeld is hiervoor een normenstelsel bedacht in termen van minimaal aan te houden economisch vermogen, maar dat werkt lang niet altijd goed. Zo is Enron, niet de geringste boekhoudaffaire, het gevolg van verkeerde boekhoudregels. Enron heeft de regels keurig toegepast en
20
Framework voor integraal risicomanagement
reserves aangehouden, maar toen het fout ging, bleken die onvoldoende. De mop is dat de huisaccountant Anderson in FASB-verband jaren toegewerkt had naar (te) kleine reserveringsnormen die goed uitkwamen voor de cliënt Enron. Leuk detail is dat als Enron gedaan had wat Ahold verweten werd, namelijk deelnemingen consolideren waarover men wellicht niet de zeggenschap had, de hele affaire nooit had kunnen gebeuren omdat iedereen de risico’s dan in het jaarverslag had kunnen zien. ALM gebruikt tegenwoordig voornamelijk de zogenaamde Value-at-Risk- of VaRbenadering. Dat is een stochastische modellering waarbij toegewerkt wordt naar een kansverdeling van het eigen vermogen van de instelling. Door de keuze van een maximaal aanvaardbaar risico (default risk oftewel de toestand waarbij men niet meer in staat is aan zijn verplichtingen te voldoen) resulteert dan het minimaal aan te houden eigen vermogen. Dit bepaalt bij een pensioenfonds of een verzekeraar onder andere de hoogte van de premie, gegeven het beleid inzake beleggingen. Bij banken wordt de methode heel intensief toegepast om de performance van afdelingen te bewaken. Economisch kapitaal wordt gealloceerd naar afdelingen en product-marktcombinaties zodat de performance risk-adjusted wordt en men inzicht krijgt in de waardecreatie. Aangezien deze bijdrage niet bedoeld is om uit te wijden over ALM en financieelrisicomanagement, zullen we het onderwerp laten voor wat het is: interessant en belangrijk. De materie is ook relevant voor de regelgeving en het toezicht in de financiële sector. De financiële toezichtregels worden alsmaar meer van dit soort risicomanagement afgeleid. De genoemde valkuilen blijven echter bestaan, getuige de huidige nasleep van de credit crunch die op het conto van de embedded options geschreven kan worden waardoor het ook niet mogelijk bleek om de omvang van schade en kans per instelling prompt in kaart te brengen. Men moest goed zoeken in de afzonderlijke contracten voordat men op de nauwelijks serieus genomen extreme risico’s kon stuiten.
Risico’s in verband met ondernemingsbestuur Dat ook ondernemingsbestuur verband houdt met risico’s is niet nieuw. Wat nieuw is, is dat de sancties op ontoereikend risicomanagement – of erger het bewust nalaten ervan – de laatste jaren aangescherpt zijn. Er zijn de laatste jaren tamelijk veel gevallen aan het licht gekomen waar zoveel commotie over ontstond dat de normen en eventuele sancties explicieter omschreven zijn. Naast de bekende risico’s is daar nu ook ondernemingsbestuur uitdrukkelijk bijgekomen. Het is nu vrijwel onmogelijk om het excuus ‘wist ik niet’ te gebruiken als zich problemen voordoen. Op zich zijn de operationele risico’s die hiermee verband houden niet nieuw. Er kon altijd al geknoeid worden in de administratie, er kon gefraudeerd worden en
Risicomanagement, een selectie van toepassingen in ondernemingsbestuur
21
er was misleiding van aandeelhouders en andere belanghebbenden. Wat nieuw is, is dat de ondernemingsleiding periodiek moet verklaren in control te zijn, met andere woorden dat formeel vastgelegd wordt dat de leiding zich ervan bewust moet zijn dat men zich te verantwoorden heeft als er foutieve verslagen uitgebracht worden of zich problemen voordoen waar belanghebbenden schade van ondervinden. De verklaring houdt tevens in dat men gepaste maatregelen genomen heeft om de kansen op dit soort ongerief te vermijden of te mitigeren tot redelijke proporties. In feite betekenen deze nieuwe regels – onverschillig of ze vrijwillige codes of conduct zijn of een wettelijke basis hebben – dat risicomanagement een taak voor het ondernemingsbestuur geworden is. Er is inmiddels genoeg geschreven over de inhoudelijke kanten van corporate governance en het in-controlstatement. Ook is al voldoende aan de orde gekomen dat lang niet ieder bestuur redelijkerwijs kan verklaren dat alle risico’s beheerst worden. Er is tijd nodig om de zaken te regelen. Het is derhalve goed dat er een praktijk op gang gekomen is waarbij de ondernemingsleiding moet aangeven aan de nieuwe normen voldaan te hebben of bij gebrekkige assurance aangeeft waar de problemen liggen en dat eraan getrokken wordt om de zaak te regelen. Het is de vraag hoe lang deze overgangsperiode zal duren, want er zijn natuurlijk altijd risico’s die nog niet in kaart gebracht zijn en die opeens de kop opsteken. Een alerte houding en een schoon geweten hoeven geen absolute zekerheid te impliceren. Hoe dat zal lopen, is mede afhankelijk van de welwillendheid van de aandeelhouders en ook van de schade die hun toegebracht wordt. Alleen daarom al heb ik een voorkeur voor de Amerikaanse oplossing die ervoor zorgt dat geschillen efficiënt opgelost kunnen worden door inspanning en resultaat te koppelen (risico’s die zich materialiseren). Is die inspanning geleverd en gaat het toch fout, dan hangt de leiding niet. Dat is redelijk. Er zijn wat mij betreft twee bijzondere omstandigheden die tot nu toe in het debat over corporate governance en de in-controlverklaring weinig aan de orde gekomen zijn. De eerste heeft met afstomping te maken. De tweede met het inschakelen van externe adviseurs. Eerst de afstomping. Dit gevaar ligt op de loer omdat de organisatie en het personeel in slaap gesust worden door de bureaucratische aanpak die overal gekozen is. De belangrijkste interventie is immers de Enterprise-Risk-Managementmethode, waarbij door de hele organisatie heen, het personeel gevraagd wordt zich te bezinnen op risico’s en welke maatregelen daartegen genomen zijn of moeten worden. Niets mis mee, maar uit eigen ervaring weet ik dat de lol er na enige tijd behoorlijk af is en de mensen de exercities ervaren als een slaapverwekkende activiteit die hen van het werk houdt. Daar komt bij dat de kaders waarin men denkt, bepaald worden door de formats van de formulieren die gebruikt worden. Het wordt al heel gauw een invuloefening zonder dat men fris en onbevooroordeeld aan de slag blijft. De allereerste keer is iedereen enthousiast, maar na de derde keer is het wel even anders. Er zijn mij op dit moment geen andere oplossingen van dit verschijnsel bekend dan het rallying the troops.
22
Framework voor integraal risicomanagement
Ten tweede het inschakelen van externe deskundigen. Daar is uiteraard weinig tegen in te brengen, want de zaak wordt zo hoog gespeeld dat je als ondernemingsleiding op alle fronten ingedekt wilt zijn. Maar de verantwoordelijkheid blijft bij de ondernemingsleiding, zo beweert men. Dat zal best, maar in de praktijk zal het er in geval van escalatie zeker harder toegaan. De leiding die met problemen geconfronteerd wordt, zal zeker proberen de schade te verhalen op de indertijd ingeschakelde externe adviseurs, wat er ook in de betreffende overeenkomst over aansprakelijkheid opgenomen is. Het inschakelen van externe adviseurs heeft nog een problematische kant, namelijk het bemoeilijken van interne leereffecten. Als je serieus van plan bent om iedere keer opnieuw te verklaren dat je in control bent, dan is het van het grootste belang dat de organisatie dat op eigen houtje onder de knie krijgt. Sommige externe adviseurs weten dat en maken er ook werk van, maar niet iedereen bekijkt het op die manier. Het aanscherpen van de discipline is op zich prima, maar er is nog een kant van de zaak die aandacht verdient. Hoe banger de bestuursleden worden – en bang zijn ze – hoe meer zij terugvallen op deskundigen, zowel intern als extern. Er is helemaal geen jaarverslag meer te maken zonder intensieve inschakeling van accountants en andere experts. De interne controle is vrijwel uitsluitend in handen van externe deskundigen; de general managers – en in het bijzonder de CEO – moeten het niet wagen om een eigen mening te hebben. Zou het risicomanagement en de kwaliteit van het ondernemingsbestuur hiermee gediend zijn? Het komt mij voor dat het bestuur te allen tijde moet zorgen dat strategie en verantwoording in overeenstemming zijn. Daarin moeten ze niet gehinderd worden, behoudens door harde normen en regels. Maar zelfs de meest uitgebreide en gedetailleerde accounting regimes laten nog ruimte voor zoiets als corporate accounting policy. Deze keuzevrijheid is er niet om bestuurders in de gelegenheid te stellen er een warboel van te maken, juist het tegendeel. Ze moeten zorgen dat de communicatie met de buitenwereld effectief is. Dat houdt in dat de hoofdlijnen van het rapportagemodel door niemand anders vastgesteld kunnen worden dan door het bestuur in samenspraak met de commissarissen. De bovenstaande observaties waren de reden om in de inleiding van deze bijdrage zoveel aandacht te besteden aan wat daar ‘theorie’ genoemd werd, maar wat in werkelijkheid neerkomt op gezond verstand. De bedoeling was om te vermijden dat we vervallen in bureaucratische exercities en juridisering. In plaats daarvan moet de ondernemingsleiding empowered worden om in deze zaken zelf het initiatief te nemen. Alleen dan is er zekerheid dat assurance in de 21ste eeuw tot stand gebracht wordt. Dat geldt ook voor de financiële sector, al staat die onder een nog veel grotere druk door een ware uitbarsting van nieuwe regels en normen. Eind 2007 verscheen bij het NIVRA het boek Assurance voor de 21e eeuw (redactie: Willem Verhoog, Peter van der Zanden en Rob Schouten) naar aanleiding van een gelijknamig VERA-congres op 7 juni 2007. Aan dit congres en boek leverde Jan van de Poel een bijdrage over de gevaren van verslaggeving.
