Nr: 2004 7008.
i.
Zonder i n t e r n e beheersing geen corporate governance ~
~~~
Remko M. Renes
Een halfjaar geleden is de code Tabaksblat gepresenteerd als een belangrijke stap op weg naar herstel van vertrouwen van het publiek in de gang van zaken binnen Nederlandse beursgenoteerde ondernemingen.
Inleiding
Het kabinet wenst de code Tabaksblat (hierna ‘de Code’) integraal over te nemen en door middel van het ‘comply or explaid-principe wettelijk te verankeren. Volgens Tabaksblat zijn bestuur en commissarissen verantwoordelijk voor de corporate governance-structuur en de naleving van de Code. Jaarlijks dienen zij in een governance-verslag verantwoordingaan de aandeelhoudersaf te leggen. Het zal erop aankomen of de code nu ook echt gaat worden nageleefd. Het onderwerp interne beheersing neemt een prominente plaats in, maar de Code laat ook nog veel ruimte over voor interpretatie door de ondernemingen. Met name over de reikwijdte en diepgang van de bestuursverklaring over de kwaliteit van de interne beheersing alsmede de inhoudelijke verificatie door bijvoorbeeld de externe accountant wordt verschillendgedacht. In het vervolg van dit artikel gaan wij in paragraaf z allereerst in op het onderwerp interne beheersing in de Code. Vervolgens staan wij in paragraaf 3 stil bij verschillende bronnen voor interne beheersing zoals door de commissie Tabaksblat zijn gehanteerd. Achtereenvolgens staan we stil bij de vereisten over interne beheersing in de SarbanesOxley Wet en het Amerikaanse COSO-raamwerk voor interne beheersing. Daarna gaan we in paragraaf 4 in op de rol van de accountant voor interne beheersing zoals in de Code is voorzien. Naast de verantwoordelijkhedenvan de accountant beschrijven we ook kort de knelpunten. Dit artikel wordt in paragraaf 5 afgesloten met onze verwachtingen omtrent de publieke verantwoording - en controle daarvan - over interne beheersing. t. Aspecten van
interne beheersing in de code
Tabaksblat
20
De Code bevat op meerdere plaatsen bepalingen over interne beheersing. In de bijlage zijn de relevante bepalingen voor het bestuur, de raad van commissarissen en de audit van de financiële verslaggeving opgenomen. Doel van deze bepalingen is de kwaliteit te verhogen van het interne risicobeheersings- en controlesysteem (hierna ‘interne beheersing‘), alsmede de verantwoordingdaarover. Belangrijk is te constateren dat in de Code zowel risicobeheersingals maatregelen van interne controle onder het brede begrip interne beheersing vallen. In tegenstelling tot bijvoorbeeld de Verenigde Staten, waar eigenlijk alleen maatregelen van interne controle met betrekking tot de financiële verantwoording onder de reikwijdte vallen (hierna ‘interne financiële beheersing‘). Enige nuancering op de verschillen in
Nr: 200417008.
reikwijdte van de Code in vergelijking met SOX lijken overigens gewenst. In best practice-bepaling V.i.3 is bepaald dat binnen de onderneming procedures dienen te bestaan die waarborgen dat alle relevante financiële informatie juist, tijdig en volledig bekend is. De commissarissen dienen toezicht uit te oefenen op de instelling en handhaving van deze procedures. Deze bepaling in de Code lijkt in grote mate overeenkomstig te zijn aan paragraaf 302 in SOX die de ‘corporate responsibility for financial reports’ beschrijft. In reactie op deze SOX-vereiste hebben de meeste ondernemingen zogenaamde ‘disclosure committees’ingesteld onder de verantwoordelijkheid van het bestuur, die belast zijn met in hoofdlijnen - de bepalingen van de Code (V.i.3). De Code schrijft voor dat het management een bestuursverklaring inzake interne beheersing opneemt in het jaarverslag’. Duidelijk is ook dat de Code vereist dat het management de bestuursverklaring moet onderbouwen met een deugdelijke grondslag. Management moet zowel de opzet als de goede werking van de interne beheersing evalueren en beoordelen. Het doen van navraag alleen is niet meer toereikend. Het op structurele wijze inzichtelijk maken van de belangrijkste bedrijfsrisico’s vormt de basis voor een gestructureerd risicomanagementproces.Deze inventarisatie vormt het startpunt voor de ontwikkeling van aanvullende risicobeperkendeacties. Het risicomanagementproces maakt het voor het management mogelijk om op een uniforme, consistente en pro-actieve wijze de risico’s te identificeren, vast te stellen, te mitigeren en te beheersen. Met betrekking tot de bepalingen over risicomanagement is het belangrijk te weten dat ook na volledige implementatie van de Code ondernemen niet zonder risico’s zal zijn. Goed risicomanagement betekent dat na identificatie van risico’s vier keuzes kunnen worden gemaakt (ook wel de vier T’s genoemd):take, transfer, terminate en treat. Risico’s nemen is en blijft vereist voor het realiseren van succes. Zonder risico geen winst. Om te komen tot een reguliere risicoanalyse,zijn bewaking van uit te voeren werkzaamheden en een jaarlijkse beoordeling van de significante maatregelen minimaal vereist. Opereren volgens het motto ‘trust me’ of ‘tel1 me’ volstaat niet meer. Ten aanzien van interne beheersing vereist de Code verregaande transparantie en concrete bewijsvoering. ‘Show me’ en ‘proveme’ zijn dan ook logische ontwikkelingen. ‘Show me’ vereist dat de bestuursverklaring inzake interne beheersing intern wordt gedocumenteerd. ‘Prove
me’ gaat nog een stap verder, omdat dan ook van het management wordt vereist dat de kwaliteit van de interne beheersing wordt getest alvorens daarover naar buiten te treden. De Code schrijft verplichte controle door een derde bijvoorbeeld de externe accountant - slechts voor een zeer beperkt deel voor (zie ook paragraaf 4). In tegenstelling tot de Amerikaanse Sarbanes-OxIey Wet, die externe accountantscontrole vereist van de bestuursverklaringover interne financiële beheersing. 3. Bronnen voor interne beheersing in de code
Tabaksblat Bij het opstellen van de Code is met betrekking tot het onderwerp interne beheersinggebruikgemaaktvan de ervaringen in de Verenigde Staten. In de volgende paragrafen gaan we nader in op de vereisten in de Sarbanes-Oxley Wet en het COSO-raamwerk voor interne beheersing, dat als wereldstandaard fungeert voor de beoordeling van de kwaliteit van de interne beheersing.
d N O
3 P
E
EM o\
1
8 Q
3.1. Sarbanes-ûxley Wet Ruim twee jaar geleden is op 30 juli 2002 de Sarbanes-Oxley Wet (hierna ‘SOX’) door president Bush van de Verenigde Staten ondertekend. Als reactie op de boekhoudschandalen bij bedrijven als Enron, Worldcom, Adelphia, Tyco en Global Crossing en de uiteindelijke ondergang van de accountantsfirma Andersen is de wet in een recordtijd van amper zes weken opgesteld. Voor ‘corporate’ Amerika was dit niet voorzien. Immers, na acht jaar een democratische president in het Witte Huis, zou bij een republikeinse president afkomstig uit Texas de ‘vrije markt‘-economie centraal staan. Dat de president van de Verenigde Staten niet alleen president voor het bedrijfsleven maar voor alle Amerikaanse burgers is, blijkt uit de druk die hij heeft uitgeoefend op een spoedige totstandkoming van de wet ‘to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes”. Als gevolg van de boekhoudschandalen hebben vele burgers hun bestaanszekerheid verloren, doordat ze hun baan verloren of hun in aandelen belegde pensioengeld zijn kwijtgeraakt. Wij constateren dat SOX tot stand is gekomen ter bescherming van de belangen van zowel particuliere als institutionele beleggers.
De commissie corporate governance onder leiding van de heer Tabaksblat is bij het opstellen van de code gedurende het jaar 2003 in belangrijke mate geïnspireerd door de
E
21
Nr: 200417008.
inhoud en bepalingen in de Amerikaanse Sarbanes-Oxley Wet die een jaar daarvoor was vastgesteld.Zoals het zich nu Zaat aanzien is een van de meest ingrijpende onderdelen van de implementatie van alle bepalingen van SOX de bepalingen met betrekking tot interne beheersing, de zogenaamde paragraaf 404 (SOX 404). In het kort moet de leiding van een onderneming in een bestuursverklaring verklaren dat de interne beheersing met betrekking tot de financiële verslaggeving goed is ontworpen en ingericht en dat de interne financiële beheersing adequaat heeft gefunctioneerd. De accountant dient te controleren of deze bestuursverklaring getrouw is (‘fairly stated’). Volgens onderzoek van Financial Executives International in januari zo04 verwachten ondernemingen een grote stijging van de kosten om te voldoen aan de SOX @+vereisted. Deze toename van de kosten van accountantscontrole is goed te verklaren, omdat de externe accountant in het verleden slechts gebruikmaakte van de interne beheersing door de cliënt, indien die onderdelen van de interne beheersing nodig werden geacht voor de accountantscontrolevan dejaarrekening. Als gevolg werden ook slechts bevindingen en aanbevelingen door de externe accountant gerapporteerd in de management letter die uit dat beperkte - niet verplichte - onderzoek naar voren kwamen. SOX 404 vereist dat zowel het management als de accountant zonder eigen invloed in het bepalen van de reikwijdte moet onderzoeken of de gehele interne financiële beheersing adequaat heeft gefunctioneerd. Dat is een significante uitbreiding van het object van onderzoek, en resulteert dientengevolge in een uitbreiding van de werkzaam-
heden, zowel in opdracht van het management als door de accountant. De stapsgewijzeaanpak die ondernemingen volgen om SOX 404 te implementeren, is in figuur I afgebeeld. De inspanningen in de Verenigde Staten en bij buitenlandse ondernemingen met een notering in de VS om te voldoen aan de SOX 44-vereisten zijn enorm, omdat een hoge mate van betrouwbaarheid is vereist van de bestuursverklaring over interne beheersing. Een hoge mate van zekerheid vereist een hoge mate van detail in de uitvoering van de evaluatie en beoordeling van de interne beheersing. Dat terwijl de reikwijdte van interne beheersing volgens SOX 404 beperkt is tot die interne beheersing aangaande slechts de betrouwbaarheid van de financiële verslaggeving. Niet alleen het management moet zich uitspreken over de kwaliteit van de interne beheersing. Ook de externe accountant moet de bestuursverklaring controleren, vergelijkbaar met de accountantscontrole van de jaarrekening. De externe accountant geeft ten slotte een verklaring omtrent de betrouwbaarheid van de bestuursverklaring èn de effectiviteit van de interne financiële beheersing zelf, Voldoen aan de vereisten van de wet en invulling kunnen geven aan de verantwoordelijkheden volgens SOX door het management staat zeer hoog op de agenda. Want uiteindelijk is de kernvraag met betrekking tot SOX 404 onder welke voorwaarden de CE0 en de CFO een verklaring kunnen tekenen waarvan bekend is dat als die verklaring onjuist is, daaraan strafrech-
Establish internal control evaluation process. Determine significant controls and locations / business units to be included. Define project approach, milestones, timeline, and resources Launch project.
I
Document design of significant controls for al1 significant locations and business units. Evaluate design and operatig effectiveness of internal control over financial reporting and document results of evaluation. Indentify, accumulate and evaluate design and operating control deficiencies, communicate findings and correct deficiencies. Prepare management’s written assertion on the effectiveness of internal control over financial reporting. Prepare for independent auditor to conduct the internal control audit.
Overall project management of 404 compliance process. 22
Nr: 200417008.
telijke consequenties verbonden zijn. Voor het eerst is in de Amerikaanse ‘Corporate Law’ (SOX)een relatie gelegd met het strafrecht4. Het vereiste hoge zekerheidsniveau kan daarom worden verklaard uit de zware sancties die SOX kent voor bestuurders die een onjuiste verantwoording afgeven. De sancties voor overtredingen die ‘knowingly’ worden gedaan is de persoonlijke boete voor bestuurders $ i miljoen en 10jaar gevangenisstraf. Indien de overtreding daarentegen ‘willfully and knowingly’ wordt begaan, zijn de sancties $ 5 miljoen respectievelijk 20 jaar.
in de toekomst te voorkomen dat illegale transacties plaatsvinden, zoals ongepaste betalingen inclusief steekpenningen en illegale bijdragen aan politieke partijen. De laatste reden is vele jaren later in de VS wederom actueel geworden na het faillissement van het Texaanse energieconcernEnron in zooi. Enron was de grootste sponsor van politici en presidentskandidaten en wilde daarmee invloed verkrijgen op de besluitvorming met betrekking tot de energieliberalisering in de VS. De FCPA is gebaseerd op de gedachte dat illegale transacties kunnen worden voorkomen met een goede interne beheersing.
3.2. COSO-raamwerk voor interne beheersing
Ten aanzien van het onderwerp interne beheersing heeft de commissie Tabaksblat zich ook laten inspireren door het COSO-raamwerk voor interne beheersing. In de verklaring en toelichting op de Code staat het volgende: ‘Het ligt in de rede dat het bestuur in de verklaring over de interne risicobeheersings- en controlesystemen aangeeft welk raamwerk of normenkader (zoals bijvoorbeeld het COSO-raamwerk voor interne beheersing) hij heeft gehanteerd bij de evaluatie van het interne risicobeheersings-en controlesysteem’5. Met de publicatie van het eindrapport van de Committee of Sponsoring Organisations of the Treadway Commission (COSO) ‘Internal Control - Integrated Framework’ is destijds in 1992 een wereldstandaard voor interne beheersing gecreëerd. De doelstellingenvan het in 1992gepubliceerdeeindrapport zijn het vestigen van een eenduidige - voor meerdere belanghebbenden aanvaardbare - begripsbepaling voor interne beheersing en het opstellen van een standaard voor het beoordelen van interne beheersingssystemen. Volgens grootschalig empirisch onderzoek6 was er grote behoefte aan een gemeenschappelijke definitie van interne beheersing, omdat verschillende partijen elk een andere interpretatie van interne beheersing hanteren. Een eenduidig begrippenkader was echter meer dan gewenst, omdat in toenemende mate bedrijven in de VS rapporteren over de effectiviteit van hun interne beheersingssysteem.De tweede doelstelling - het opstellen van een standaard voor beoordeling van interne beheersing - is relevant met het oog op de in dit artikel besproken Nederlandse navolging door de commissie Tabaksblat van de COSO-standaard. De aanleiding voor de oprichting van de COSO-organisatie gaat terug tot de Watergate-onderzoeken in 1973 en de daaruit voortkomende vaststellingvan de Foreign Corrupt Practices Act (FCPA)in 1977.De FCPA werd in de VS aangenamen om
Interne beheersing wordt in het COSO-rapport als volgt gedefinieerd. Interne beheersing is een proces, uitgevoerd door de directie van een organisatie, het management of ander personeel, gericht op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de volgende categorieën: de effectiviteit en efficiëntie van bedrijfsprocessen; de betrouwbaarheid van de financiële informatieverzorging; de naleving van relevante wet- en regelgeving. De belangrijkste elementen in deze definitie zijn dat interne beheersing wordt gezien als een proces dat wordt uitgevoerd door mensen op alle niveaus in de organisatie en niet door maatregelen, formulieren en procedures. Interne beheersing verschaft slechts redelijke - geen absolute - zekerheid voor het realiseren van doelstellingen, in één of meerdere aparte maar overlappendecategorieën.
MONITORING
;t N O 44
3
aE vi
o\
i $ 8
i Q
Nr: 200417008.
Interne beheersing is opgebouwd uit vijf onderling samenhangende componenten: control environment, risk assessment, control activities, information en communication, en ten slotte monitoring. De vijf componenten van interne beheersing vormen een geïntegreerd systeem dat dynamisch op veranderende omstandigheden reageert. De componenten kunnen niet los van elkaar worden gezien en het systeem zal moeten mee veranderen wanneer de omstandigheden veranderen waarin de onderneming verkeert. Het interne beheersingssysteemis verstrengeld met de bedrijfsactiviteiten van de onderneming. De effectiviteit van de interne beheersing is dan ook het grootst indien de beheersingsmaatregelenin de infrastructuur van de onderneming zijn ingebed en een wezenlijk onderdeel uitmaken van de onderneming. Tussen de drie categorieën doelstellingenen de vijf componenten voor interne beheersing bestaat een direct verband. Alle componenten zijn namelijk afionderlijk gerelateerd aan elk van de categorieën doelstellingen. Wanneer een bepaalde categorie wordt geanalyseerd, bijvoorbeeld de effectiviteit en efficiency van de bedrijfsactiviteiten, moeten dus alle vijf elementen daarin vertegenwoordigd zijn en goed functioneren om te kunnen vaststellen dat de interne beheersing rond de bedrijfsactiviteiten effectief is. Ten slotte zijn de vijf componenten en doelstellingen van toepassing op verschillende onderdelen van en niveaus binnen de organisatie, zoals is weergegeven in figuur 2. 4 Interne beheersing en de rol van de accountant
Ten aanzien van de publieke verantwoording over interne beheersing vervult de accountant in verschillende landen een andere rol. In deze paragraaf vergelijken wij de verantwoordelijkheidvan de accountant met betrekking tot interne beheersing volgens SOX in de VS en de Code in Nederland. 4.1.Verantwoordelikkid van de accountant
24
In de VS vereist SOX dat de accountant inhoudelijk controleert of de bestuursverklaring over de effectiviteit van de interne financiële beheersing een getrouw beeld geeft. De kapstokbepalingen in SOX zijn door de Public Company Accounting Oversight Board (PCAOB)in een ‘auditing standard’ verder uitgewerkt’. Volgens de audit-standaard worden eisen gesteld aan het managementevaluatieproces.Management moet:
eindverantwoordelijkheid nemen voor de effectiviteitvan interne financiële beheersing; O de effectiviteit van interne financiële beheersing bepalen met behulp van een geschikt raamwerk (COSO/COBITraamwerk); de mededeling over interne financiële beheersing onderbouwen met een toereikend dossier en toereikende documentatie; een schriftelijkeoordeel over de interne financiële beheersing presenteren aan de accountant. Wanneer het management niet aan deze cumulatieve voorwaarden voldoet, kan de accountant zijn onderzoek niet afronden en volgt een ‘verklaringvan oordeelonthouding‘. In Nederland voorziet de Code niet in toezicht op naleving van de Code, ook niet met betrekking tot de best practicebepalingen inzake interne beheersing. De accountant heeft slechts de taak tot het uitvoeren van ‘marginaletoetsing‘. In artikel ~ 3 9 3is ten aanzien van de accountant opgenomen: ‘Hij gaat voorn na, (...), ofhetjaanierslag, voor zover hij dat kan beoordelen, overeenkomstig deze titel is opgesteld en met dejaarrekening verenigbaar is.’ De accountant rapporteert volgens de Code ingevolge artikel ~ 3 9 3lid 4 onder andere met betrekking tot de werking van de interne risicobeheersings- en controlesystemen (inclusief IT)en de kwaliteit van de informatievoorziening: (i) verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen, (2)opmerkingen over bedreigingen en risico’s voor de vennootschap en de wijze van verslaggeving, en [3) naleving van interne en externe wet- en regelgeving. De verantwoordelijkheid van de accountant in Nederland ten aanzien van de naleving van de Code in het algemeen en met betrekking tot interne beheersing in het bijzonder is derhalve beperkt tot een marginale toetsing. Dit houdt in dat de accountant geen verantwoordelijkheid heeft voor (a) de volledigheid en (b)de doelmatigheid van de bestuursverklaring. 42. Knelpunten in de code Tabakbiat
Het belangrijkste knelpunt in de Code is dat naleving niet inhoudelijk wordt gecontroleerd. Controle op de naleving van de Code - en daarmee het gehele effect van de Code dreigt tussen wal en schip te vallen. Volgens de wet zijn bestuurders en commissarissen op grond van het enquête-
Nr: 200417008.
recht aan te spreken op onjuiste mededelingen in het jaarverslag. Eerlijkheid duurt het langst, maar hoe lang moet je als aandeelhouderof andere belanghebbende wachten op je gelijk? Voor werknemers geldt bovendien dat het enquêterecht voor ondernemingsraden niet bestaat. Wij zijn van mening dat het ongewenst is dat de controle op de naleving van de Code niet afdoende is geregeld. Herstel van vertrouwen wordt slechts bereikt als ook de inhoudelijke controle van de naleving van de code eenduidig is geregeld. Zonder eenduidig toezicht op de naleving van de code Tabaksblat wordt de verwachtingskloof tussen ondernemingen en het publiek alleen maar groter. Wij voorspellen een belangrijk maatschappelijk probleem bij de code Tabaksblat, wanneer ondernemingen verklaren aan de Code te voldoen, maar dat in feite niet het geval is. In dat geval handelen ondernemingen in strijd met de wettelijk verankerde code. Wie controleert de naleving? Wie constateert en rapporteert deze onjuistheid? Als illustratie van dit probleem verwijzen wij naar het jaarlijkse onderzoek door Pensions & Investment Research Consultants Ltd (PIRC)dat in 2003 constateert dat slechts 34%van de Engelse ondernemingen volledig aan de Engelse Combined Code voldoet, terwijl 58%zelf aangeeft volledig aan de code te voldoen. Ook in het Verenigd Koninkrijk (waar PIRC haar onderzoek heeft uitgevoerd) bestaat in de ‘Combined Code’ voor corporate governance het ‘complyor explaid-principe. Het verschil tussen de 58%en 34%betreft ondernemingen die het niet voldoen aan de Combined Code niet - voldoende - uitleggen. En ‘explain’is niet simpelweg het uitleggen dat je de bepalingen niet nastreeft. Er dient een deugdelijke argumentatie te worden gegeven.
’
Net als de commissieTabaksblat verwacht het kabinet nogal veel van de aandeelhouders. Zij zijn de enige aangewezen partij die expliciet belast wordt met de controle op de naleving. Wij zijn van mening dat van aandeelhouders te veel wordt verwacht. Uit onderzoek dat is uitgevoerd op instigatie van de voormalige minister van Financiën (Hoogervorst) blijkt immers dat de algemene vergadering van aandeelhouders slechts een ‘belangrijk forum is voor discussie met bestuurders en commissarissen’8.De rol van de aandeelhouders gaat echter niet veel verder. Bovendien beschikken aandeelhouders niet over de mogelijkheid en de middelen de verantwoordingsinformatieadequaat te controleren. De regering is - bij monde van minister Zalm - niet eendui-
dig over de controle op naleving. In antwoord op kamervragen antwoordt minister Zalm mondeling dat de AFM (actiefJcontroleert of bedrijven Tabaksblat toepassen dan wel het afwijken uitleggen. In antwoord op kamervragen in de Eerste Kamer stelt dezelfde minister echter: ‘Handhaving betekent dat de AFM controleert of er een paragraaf als bedoeld in artikel 2:39i lid 4 in het jaarverslag staat, niet of de inhoud van die paragraaf naar het inzicht van de AFM blijk geeft van goede corporate governance.’ Onduidelijk is hoe ver de verantwoordelijkheid voor de controle door de accountant strekt. Vooralsnog lijkt die alleen verantwoordelijk voor de controle op de vraag of het jaarverslag ook een zogenaamd corporate governance-verslag bevat. Het al dan niet adequaat functioneren van het interne risicobeheersings- en controlesysteem lijkt geen onderwerp van inhoudelijke toetsing. Ten slotte is belangrijk te constateren dat de commissie Tabaksblat een veel ruimere opvatting heeft over interne beheersing dan de vereisten in SOX 404. In de VS heeft SOX 404 alleen betrekking op de interne beheersing ten aanzien van de financiëlerapportage. In de Code worden ook - dankzij de expliciete verwijzing naar het COSO-raamwerk voor interne beheersing - de categorieën met operationele en compliance doelstellingen onder interne beheersing geschaard. Dat is een veel ruimer begrip, terwijl de controle door een onafhankelijk derde - zoals de externe accountant - niet expliciet in de Code is geregeld en vastgelegd. Misschien is reparatie van de Code naar Engels voorbeeld een alternatief. Volgens de Combined Code dient namelijk het bestuur de interne beheersing in ruime zin te beoordelen en de resultaten te rapporteren aan de onafhankelijke toezichthouders. Oorspronkelijk was in de Cadbury code het onderwerp net als bij SOX 404 beperkt tot interne financiële beheersing. Echter, uit reacties en discussie onder bestuurders en accountants bleek dat de scheidslijn tussen interne financiële beheersing en interne beheersing niet eenduidig is te trekken. Als oplossing die inmiddels al weer enkele jaren - en schijnbaar naar tevredenheid - werkt, is gekozen om de bestuursverklaring omtrent interne beheersing niet te publiceren. Het bestuur moet aangeven dat een evaluatie van de interne beheersing is uitgevoerd en dat de resultaten met de toezichthouders zijn besproken. Vervolgens dient de externe accountant te verklaren dat deze bestuursverklaring daadwerkelijk is opgesteld en besproken. Daarmee blijven de uitkomsten besloten, het proces daarentegen is transparant.
Nr: 200417008.
5. Verwachtingen omtrent interne beheersing
Wij hebben in deze bijdrage de aspecten over interne beheersing die in de code Tabaksblat zijn opgenomen, onderworpen aan een nadere analyse. In vergelijking met Sarbanes-Oxley-vereisten in de VS is het begrip ‘interne beheersing‘in de Code veel ruimer gedefinieerd.Anderzijds is de inhoudelijke controle op de naleving van de code in de VS veel duidelijker - en beter? - geregeld. Uit de verwoording van de relevante best practice-bepalingenis af te leiden dat ondernemingen in Nederland het zogenaamde ‘trust me’-gevoel moeten vervangen door ‘prove me’. In Nederland is - los van de marginale toetsing vergelijkbaar aan de betrokkenheid van de accountant bij het reguliere jaarverslag - niet voorzien in onafhankelijke controle, in het algemeen en de bestuursverklaring inzake interne beheersing in het bijzonder. Wel is te zien dat beursgenoteerde ondernemingen in Nederland vaart beginnen te maken met de organisatorische inbedding van interne beheersing. Uiteindelijk moeten deze initiatieven resulteren in een continue bewaking van de opzet en goede werking van de interne beheersing. De tijd zal echter leren of de ‘ruime aanpak‘met betrekking tot de reikwijdte maar met de niet belegde verantwoordelijkheid van toetsing van de naleving in Nederland van de Code aan het gewenste herstel van vertrouwen zal bijdragen. Misschien ontstaat bijvoorbeeld bij een volgend schandaal de niet te onderdrukken neiging om de draconische bepalingen uit de VS inzake interne beheersing over te nemen en verplicht te stellen. Dan krijgt de accountant een grotere verantwoordelijkheid voor de controle van de bestuursverklaring inzake interne financiële beheersing. Meer verantwoordelijkheden,meer werk en derhalve meer kosten, maar over een veel kleiner deelterrein van interne beheersing, namelijk de interne beheersing voorzover relevant met betrekking t o t de financiële verslaggeving. Misschien is het wel beter om de controle van de naleving van de Code te ‘repareren’, dan te wachten op Amerikaanse toestanden in Nederland.
26
Auteur Remko Renes is werkzaam bij KPMG Accountants en docent corporate governanceaan de Universiteit Nyenrode.
Noten i
Best practice bepaling ILi.4.
z Sarbanes-OxleyAct of zooz.
3 Volgens FEI zijn de kosten van SOX-implementatieproportioneel
in relatie met de omvang van de onderneming. Bijvoorbeeld, ondernemingen met een omzet lager dan $ 2 5 mi’joen verwachten $ i70.000aan extra kosten voor SOX 404, terwijl ondernemingen met een omzet groter dan $ 5 miljard gemiddeld $1,4 miIjoen extra moeten betalen. De kosten voor accountantscontrole zullen volgens de uitkomsten van het FEI-onderzoek gemiddeld met 38% toenemen, ongeacht de grootte van de onderneming. 4 In hoofdstuk9 ‘Whitecollar crime penalty enhancements’ bevat SOX paragraaf 906 ‘Corporateresponsibility for financial reports’ de genoemde crimina1penalties. 5 Code Tabaksblat p. 34. 6 Mautz, RK. et al, (1980), Internal Control in U.S.COrpOratiOW: ‘TheState ofthe Art, Financial Executives Research Foundation, New York. Mautz, RK. en J. Winjum, (19811, Criteriafor
Management Control System, Financial Executives Research Foundation, New York. 7 PCAOB Auditing Standard No. 2 ‘An audit of internal control over
financial reporting performed in conjunction with an audit of financial statements’. 8 Rotterdam School of Management, Erasmus Universiteit Rotterdam (2003),Aandeelhoudersvergaderingenin Nederland 1998-2002.
Nr: 200417008.
Bijlage Relevante best practice-bepalingen uit de Code Tabaksblatover interne beheersing Hoofdstuk Iï - Het bestuur 11.1.3 In de vennootschap is een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig. Als instrumenten van het interne risicobeheersings- en controlesysteem hanteert de vennootschap in ieder geval a. risicoanalyses van de operationele en financiële doelstellingen van de vennootschap; b. een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst; c. handleidingen voor de inrichting van de financiële verslaggevingen de voor de opstelling daarvan te volgen procedures; d. een systeem van monitoring en rapportering. 11.1.4 In het jaarverslag verklaart het bestuur dat de interne risicobeheersings-en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings-en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissenis besproken.
Hoofdstuk 111 - ñaad van commissarissen 111.1.6 Het toezicht van de raad van commissarissen op het bestuur omvat onder andere: a. de realisatie van de doelstellingen van de vennootschap; b.de strategie en de risico’s verbonden aan de ondernemingsactiviteiten; c. de opzet en de werking van de interne risicobeheersingsen controlesystemen; d. het financiële verslaggevingsproces; e. de naleving van de wet- en regelgeving. 111.1.8 De raad van commissarissen bespreekt in ieder geval éénmaal per jaar de strategieën en de risico’s verbonden aan de onderneming en de uitkomsten van de beoordeling door het bestuur van de opzet en de werking van de interne risicobeheersings- en controlesystemen, alsmede eventuele significante wijzigingen hierin. Van
het houden van de besprekingen wordt melding gemaakt in het verslag van de raad van commissarissen. 111.5.4 De auditcommissie richt zich in ieder geval op het toezicht op het bestuur ten aanzien van: a.de werking van de interne risicobeheersings-en controlesystemen, waaronder het toezicht op de naleving van de relevante wet- en regelgeving en het toezicht op de werking van gedragscodes; b. ...
Hoofdstuk V - De audit van de financiële verslaggeving en de positie van de interne audit-hctie en van de externe accountant Het bestuur is verantwoordelijkvoor het instellen en handhaven van interne procedures die ervoor zorgen dat alle belangrijke financiële informatie bij het bestuur bekend is, zodat de tijdigheid, volledigheid en juistheid van de externe financiële verslaggeving worden gewaarborgd. Vanuit dit oogpunt zorgt het bestuur ervoor dat de financiële informatie uit ondernemingsdivisies en/of dochtermaatschappijen, rechtstreeks aan hem wordt gerapporteerd, en dat de integriteit van de informatie niet wordt aangetast. De raad van commissarissen houdt toezicht op de instelling en handhaving van deze interne procedures.
V.i.3
Het verslag van de externe accountant ingevolge V.4.3 artikel 2:393 lid 4 BW bevat datgene wat de externe accountant met betrekking tot de controle van de jaarrekening en de daaraan gerelateerdecontroles onder de aandacht van het bestuur en de raad van commissarissen wil brengen. Daarbij kan aan de volgende onderwerpen worden gedacht: A.Met betrekking tot de accountantscontrole:(...I B.Met betrekking tot de financiële cijfers: (...) C.Met betrekking tot de werking van de interne risicobeheersings- en controlesystemen (inclusief de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking) en de kwaliteit van de interne informatievoorziening: verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen; opmerkingen over bedreigingen en risico’s voor de vennootschap en de wijze waarop daarover in de te publiceren gegevens gerapporteerd dient te worden; naleving van statuten, instructies, regelgeving, leningsconvenanten, vereisten van externe toezichthouders, et cetera.
