Wildinghe Consultancy

Advies + Interim Management

Artikelen
Navigatie
 

"In Control" statement



Inleiding
De Nederlands corporate governance code ('code Tabaksblat') is eind 2003 verschenen.
Het zogenoemde 'in control statement' wordt algemeen gezien als de zwaarste eis binnen de code Tabaksblat. Van bestuurders wordt gevraagd dat ze in hun jaarverslag verklaren dat de interne risicobeheersings- en controlesystemen adequaat van opzet zijn en gedurende de verslagperiode effectief hebben gewerkt. Een risicobeheersings- en controlesysteem is adequaat van opzet indien het de organisatie in staat stelt steeds tijdig en gepast te kunnen reageren op belangrijke operationele, financiële, juridische en andere risico's.

De code Tabaksblat heeft inmiddels een wettelijke verankering gekregen. In boek 2 BW is de verplichting voor Nederlandse beursgenoteerde vennootschappen opgenomen om elk jaar in hun jaarverslag gemotiveerd uit te leggen of en zo ja waarom en in hoeverre zij afwijken van de best practice bepalingen van de code.

Gedurende 2005 heeft een commissie onder leiding van Jean Frijns de toepassing en naleving van Tabaksblat onderzocht. In december 2005 heeft deze 'Monitoring Commissie Corporate Governance Code' verslag uitgebracht.

Frijns constateert dat de eisen rond de financiële verslaggeving weinig weerstand vinden. Bestuurders vinden echter de eisen rondom de rapportage van operationele/ strategische risico's en wet- en regelgevingrisico's te streng. Frijns stelt dan ook voor om deze buiten de werkingssfeer van het 'in control' statement te brengen. Bestuurders kunnen wat hem betreft volstaan met:
  • het beschrijven in het jaarverslag van de belangrijke risico's en de daarbij behorende risicobeheersings- en controlesystemen;
  • het vermelden, indien van toepassing, in het jaarverslag van belangrijke tekortkomingen die in het verslagjaar zijn geconstateerd, evenals aangebrachte of geplande verbeteringen.

Het 'in control' statement voor de financiële verslaglegging blijft bestaan. Ten aanzien van financiële verslaggevingrisico's meent Frijns dat aan Tabaksblat wordt voldaan indien bestuurders:
  • verklaren dat de risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat;
  • verklaren dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt;
  • verklaren dat er geen indicaties zijn dat de risicobeheersings- en controlesystemen in het lopende jaar niet naar behoren zullen werken;
  • eventuele tekortkomingen melden die in het verslagjaar respectievelijk het lopende jaar zijn geconstateerd en die mogelijkerwijs materiële gevolgen kunnen hebben. Bestuurders dienen tevens aan te geven welke verbeteringen zijn aangebracht of gepland.

De commissie Frijns heeft geen bevoegdheid om de code Tabaksblat zelfstandig te wijzigen. Voorshands is deze code dan ook nog in de volle breedte geldig.

Dat zadelt bestuurders op met de vraag wanneer zij gegrond een 'in control' statement kunnen afgeven ten aanzien van zowel de financiële risico's als de operationele/ strategische risico's en wet- en regelgevingrisico's. Daarop geeft Tabaksblat echter geen antwoord. De code-Tabaksblat stelt slechts 'dat er een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig moet zijn' en dat 'de vennootschap als instrumenten van het interne risicobeheersings- en controlesysteem in ieder geval hanteert:
  • risicoanalyses van de operationele en financiële doelstellingen van de vennootschap;
  • een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst;
  • handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures;
  • een systeem van monitoring en rapportering'.

Dat laat bestuurders veel ruimte voor een eigen oordeel. Bij één en dezelfde organisatie kan de ene bestuurder vinden dat hij 'in control' is, terwijl de andere bestuurder dat niet vindt. Er zijn geen kant-en-klare checklists die eenvoudig kunnen worden afgevinkt. Wel is er een internationaal aanvaard raamwerk voor interne beheersing dat als basis kan dienen. Dit is het zogenaamde COSO-model.

Tenslotte nog een opmerking over de betrokkenheid van de accountant bij het 'in control' statement. Deze is niet groot. De accountant wordt niet geacht de interne beheersing van een onderneming te onderzoeken. Wel kan het zijn dat hij zich tijdens zijn controle van de jaarrekening een oordeel vormt over bepaalde aspecten van interne beheersing. Uitsluitend over deze aspecten rapporteert hij dan aan het bestuur en de Raad van Commissarissen.

Sarbanes-Oxley
Tabaksblat kan worden gezien als een bredere en meer globale versie van Sarbanes-Oxley (SOX). SOX kent, net als Tabaksblat, vele regels over governance en beheersing, maar beperkt zich tot de interne beheersing van financiële informatie en compliance risico's. Voor het 'in control' statement is in het bijzonder 'sectie 404' van de wet belangrijk. Hierin staat het volgende:
    De onderneming dient een rapport uit te brengen waarin
    (1) de verantwoordelijkheid van het bestuur vermeld wordt voor het opzetten en in stand houden van een adequaat systeem van interne beheersing en procedures voor de financiële verslaggeving, en
    (2) een beoordeling per het einde van het laatste boekjaar is opgenomen van de effectiviteit van de interne beheersingsmaatregelen van de onderneming voor de financiële verslaggeving.
    De controlerend accountant dient deze verklaringen van het bestuur te bevestigen en te vermelden in zijn rapport.

Bestuurders zijn dus primair verantwoordelijk voor de juistheid en volledigheid van alle belangrijke posten en uitspraken in de jaarrekening en het jaarverslag. Zij moeten beheersmaatregelen treffen om deze juistheid en volledigheid te waarborgen.
Bestuurders dienen de opzet en werking van het systeem van interne beheersing van de financiële verslaglegging van de onderneming jaarlijks te beoordelen aan de hand van geschikte criteria, zoals het COSO raamwerk. Zij dienen de door of namens hen verrichte werkzaamheden te documenteren en hierover te rapporteren. Voor hun verklaring dat de interne beheersing van de onderneming effectief is moeten zij verifieerbaar voldoende bewijs hebben verzameld. Bestuurders kunnen hun verantwoordelijkheid voor de beoordeling van de interne beheerssystemen niet aan de accountant of andere derden delegeren. Zij mogen de uitkomsten van werkzaamheden van de accountant niet gebruiken als basis voor hun verklaring over de effectiviteit van interne beheersing.

Bij het verzamelen van bewijs voor haar verklaring dat de interne beheersing van de onderneming effectief is, moeten bestuurders de volgende stappen nemen:
  • Inschatten van het risico van een materiële fout.
  • Identificeren van ondernemingsbrede beheersmaatregelen.
  • Identificeren van belangrijke rekeningen en toelichtingen.
  • Identificeren van belangrijke uitspraken in de jaarrekening.
  • Identificeren van belangrijke processen.
  • Bepalen welke locaties of business units in de evaluatie moeten worden betrokken.
  • Documenteren van het ontwerp van de beheersmaatregelen.
  • Bepalen welke beheersmaatregelen moeten worden getest.
  • Evalueren van de effectiviteit van het ontwerp van beheersmaatregelen.
  • Testen en documenteren van de werking van beheersmaatregelen.
  • Evalueren van aangetroffen tekortkomingen in de beheersing en trekken van een conclusie over de overall effectiviteit.
  • Communiceren van bevindingen naar audit comité en accountant.

Over de voor SOX te verrichten werkzaamheden is al veel bekend. Zo geeft de 'Public Company Accounting Oversight Board' een gedetailleerde uitwerking van de wijze waarop aan de in de wet gestelde eisen moet worden voldaan. SOX kan daarmee als uitgangspunt dienen voor de ten behoeve van Tabaksblat te verrichten werkzaamheden rond de financiële risico's en de wet- en regelgevingrisico's.

Werkzaamheden 'in control statement'
Voor de ten behoeve van Tabaksblat te verrichten werkzaamheden rond operationele risico's kunnen de ervaringen in het Verenigd Koninkrijk dienen. Daar verschenen in 1999 en 2003 twee belangrijke rapporten, te weten het 'Turnbull report' en de hernieuwde 'Combined Code'. Op basis van de ervaringen met SOX en Turnbull kan het volgende overzicht worden gegeven van werkzaamheden die bestuurders in het kader van Tabaksblat moeten verrichten om een gegrond 'in control' statement te kunnen afgeven.

  1. Vaststellen wie namens de Raad van Bestuur alle activiteiten coördineert die nodig zijn voor een gegrond 'in control' statement. Deze persoon zorgt ervoor dat er een planning is, dat de uitvoering op schema ligt, dat de daadwerkelijke uitvoering wordt gecontroleerd en dat alles goed wordt gedocumenteerd. Hij schakelt daarvoor de geëigende lijn- en stafmanagers in.

  2. Organiseren cascadesysteem waarbij lijn- en stafmanagers aan het eind van het boekjaar schriftelijk verklaren welke bijzonderheden op het gebied van interne risicobeheersing en controle hebben plaatsgevonden en dat de werking van interne risicobeheersings- en controlesystemen adequaat en effectief is geweest.

  3. Organiseren jaarlijkse actualisatie van de risico-analyse.

  4. Formuleren van een richtlijn waarin wordt aangegeven hoe medewerkers met risico moeten omgaan (prioriteitsstelling, mogelijke reacties, etc.)

  5. Vaststellen dat medewerkers deze richtlijn hebben begrepen en dus weten a) wat er van hen wordt verwacht ten aanzien van het omgaan met risico's en b) welke ruimte zij hebben om iets te doen.

  6. Vaststellen dat de Raad van Bestuur zelf het goede voorbeeld geeft (de zogenaamde 'tone at the top') en dat zij, zowel in acties als in beleid, duidelijk commitment toont aan competentie, integriteit en het onderhouden van een sfeer van vertrouwen binnen de organisatie.

  7. Vaststellen dat risicomanagement- en interne beheersingssystemen in voldoende mate door aanvullend beleid (i.c. bijpassende cultuur, gedragscode, HR-beleid en prestatiegerelateerde beloningssystemen) worden ondersteund.

  8. Vaststellen dat bevoegdheden, verantwoordelijkheden en aansprakelijkheden duidelijk zijn gedefinieerd.

  9. Nagaan of aanvullende beheersmaatregelen nodig zijn voor de geïdentificeerde risico's.

  10. Vaststellen dat medewerkers voldoende kennis, vaardigheden en tools hebben om het bereiken van de doelstellingen van de organisatie te ondersteunen en deze tegen risico's te beschermen. Dit geldt ook voor medewerkers van organisaties waaraan diensten zijn uitbesteed.

  11. Vaststellen dat er een systematiek is die er voor zorgt dat de organisatie 'uit zichzelf' risico's herevalueert en – zo nodig – processen, beheersmaatregelen, informatiebehoeften en informatiesystemen aanpast in reactie op wijzigingen in haar doelstellingen, haar bedrijfsactiviteiten, haar externe omgeving, operationele tekortkomingen en/of tekortkomingen in de rapportages.
    Vaststellen dat er deze systematiek (follow-up procedures) daadwerkelijk functioneert en dat gepaste actie wordt genomen in reactie op veranderingen in de beoordeling van risico's en beheersing.

  12. Vaststellen dat er een duidelijke handleiding is voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures (accounting manual) en dat deze wordt nageleefd.

  13. Vaststellen dat het management van de belangrijke bedrijfsonderdelen zelfstandig evaluaties maakt van de effectieve werking van de systemen van risicobeheersing en controle en hierover rapporteert in maand- en/of kwartaal rapportages.

  14. Vaststellen dat er een duidelijk treasurystatuut is en dat dit wordt nageleefd.

  15. Beoordelen van de opzet van het interne rapportagesysteem. Vaststellen dat dit systeem in staat is om tijdige, relevante en betrouwbare informatie te genereren over de voortgang bij de realisatie van organisatiedoelstellingen en de daarmee samenhangende risico's. Vaststellen dat dit systeem werkt, en dat de geïdentificeerde risico's voortdurend worden gevolgd en bewaakt. Vaststellen dat de opzet (het ontwerp) van het stelsel getroffen beheersmaatregelen goed is gedocumenteerd. Duidelijk moet zijn welke maatregelen zijn genomen en waarom. Dit moet achteraf controleerbaar zijn. Vaststellen dat testen zijn uitgevoerd op alle getroffen beheersmaatregelen en op alle aspecten van interne beheersing. Duidelijk moet zijn welke testen zijn uitgevoerd en waarom. Achteraf moet kunnen worden vastgesteld dat deze testen daadwerkelijk zijn uitgevoerd; ook dit moet dus goed worden gedocumenteerd.

  16. Periodiek vaststellen dat rapporteringsprocedures, inclusief halfjaarlijkse en jaarlijkse rapporten effectief zijn bij het communiceren van een evenwichtig en begrijpelijk beeld van de organisatie en haar vooruitzichten.

  17. Periodiek vaststellen dat de klokkenluiderregeling voldoet.

  18. Vaststellen dat beleidslijnen, processen en activiteiten met betrekking tot interne beheersing en risico-management zodanig in de organisatie zijn verankerd dat de daadwerkelijke toepassing ervan voortdurend kan worden gevolgd. Vaststellen dat het senior management dit ook werkelijk doet.

  19. Vaststellen dat belangrijke fouten en zwakheden rond risico's en de beheersing daarvan tijdig aan de Raad van Bestuur worden gerapporteerd (en daarmee vaststellen dat het continue bewakingsproces effectief is).

  20. Vaststellen dat er specifieke regels zijn opgesteld over de wijze waarop managers aan de Raad van Bestuur moeten rapporteren in het geval van risico's en beheerszaken van bijzonder belang (zoals werkelijke of vermoede fraude, overige onwettige of onrechtmatige daden).

Samenvattend: Nadat de belangrijkste risico's in kaart zijn gebracht en de noodzakelijke beheersmaatregelen zijn vastgesteld, moet worden vastgesteld dat hierover effectief wordt gecommuniceerd op basis van relevante informatie. Tenslotte moet de effectieve werking van de interne risicobeheersings- en controlesystemen worden bewaakt.

Naschrift
Over SOX is al veel geschreven. Volgens velen zijn de kosten ervan aanzienlijk groter dan de maatschappelijke baten. Interessant is om te weten in welke politiek geladen situatie deze wet tot stand is gekomen. President Bush had nog maar net de verkiezingen gewonnen toen de Verenigde Staten werden opgeschrikt door de terroristische aanvallen van 9/11. Nog geen drie maanden later brak het Enron schandaal uit en werd bekend dat Arthur Andersen bewijsmateriaal had vernietigd. Vanaf dat moment volgden de ineenstortingen van grote ondernemingen elkaar in hoog tempo op. De politici moesten iets doen. De meeste wetgeving komt tot stand in tijden van crisis. De wetgeving die een nieuw Enron zou moeten voorkomen was – volgens juridische experts – zeer haastig in elkaar gezet. Zij werd aangenomen door de Republikeinen in november 2002 net voor de tussentijdse verkiezingen die de Democraten dreigden te gaan winnen.

Maart 2006