Gaat de invoering van een verklaring omtrent risicobeheersing verschil maken? De accountant heeft een belangrijke rol naar het ondernemingsbestuur dat die verklaring verstrekt, aldus Arjan Brouwer.

Discussie Column 13 februari 2024

Handreiking?

In mijn vorige column heb ik de invoering van de verklaring omtrent risicobeheersing (VOR) besproken. Hoewel ik nog steeds niet begrijp wanneer en hoe deze van toepassing wordt op alle grote rechtspersonen, is het in ieder geval duidelijk dat bepaalde ondernemingen een verklaring over hun interne beheersing zullen gaan opnemen in het bestuursverslag.

Gegeven de beperkte wijzigingen in de Corporate Governance Code ten opzichte van de huidige situatie, is het de vraag of deze verklaring voor grote veranderingen gaat zorgen. Beursgenoteerde ondernemingen moeten al jarenlang informatie verschaffen over hun interne beheersing, tekortkomingen daarin en moeten in het bestuursverslag verklaren dat de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat.

Waarop deze conclusie en verklaring gebaseerd zijn, is echter niet altijd duidelijk. De code schrijft niet voor welk raamwerk of criteria hiervoor dienen te worden gehanteerd en welke werkzaamheden en bewijsvoering van het bestuur worden verwacht voordat de verklaring wordt afgegeven. Dat brengt het risico met zich mee dat ondernemingen de verklaring soms wat lichtvaardig verstrekken. Accountants die te maken hebben met controles in een SOx-omgeving zullen herkennen dat er een wereld van verschil zit tussen de wijze waarmee ondernemingen omgaan met het stelsel van interne beheersing en het aantonen van de werking ervan in een SOx-omgeving, ten opzichte van ondernemingen die een verklaring afgeven op basis van de Corporate Governance Code. Dat heeft in mijn optiek minder te maken met de verklaring zelf en meer met houding en gedrag in de praktijk, als het gaat om procedures en interne beheersing.

Als het doel is om ondernemingen beter te maken en de keten te versterken, dan moet er dus iets gebeuren. En om terug te gaan naar het voetbalthema van mijn vorige column, Johan Cruijff zei ooit: "Vaak moet er iets gebeuren voordat er iets gebeurt." De vereiste dat het bestuur een verklaring omtrent risicobeheersing opneemt in het bestuursverslag en de auditcommissie daarop toeziet, is een leuke start, maar er is meer nodig dan dat. En accountants kunnen daaraan vanuit hun rol inhoud geven.

De accountant verstrekt geen afzonderlijke assurance bij de verklaring omtrent risicobeheersing en wat mij betreft is dat terecht. Als dat wel zo zou zijn, kijkt al snel iedereen weer naar de accountant en dat komt de verantwoordelijkheid van de onderneming zelf niet ten goede. De accountant heeft echter wel een belangrijke rol bij het scherp houden van het bestuur dat de verklaring verstrekt. Het startpunt en de verankering daarvan in de wet- en regelgeving zijn wat mij betreft artikel 2:393 en NV COS 720. Hierin staat onder andere dat de accountant moet toetsen of de informatie in het bestuursverslag in overeenstemming is met de informatie en kennis die de accountant tijdens de jaarrekeningcontrole heeft verkregen.

Accountants verkrijgen tijdens een jaarrekeningcontrole veel informatie over de interne beheersing bij een onderneming. Op basis van die informatie kan de accountant een kritische toets uitvoeren op de verklaring via de COS 720-werkzaamheden. Het zou goed zijn als accountants richting ondernemingen en hun stakeholders meer duidelijkheid verschaffen over de inhoud van die toets. Dat kan via een handreiking, die bijvoorbeeld ingaat op de volgende vragen:

• Aangezien de Corporate Governance Code regelgeving is die de onderneming dient na te leven: Wat moet de accountant op grond van COS 250, paragraaf 13, doen om inzicht te verkrijgen in het proces op basis waarvan het bestuur de effectiviteit van de interne risicobeheersings- en controlesystemen heeft beoordeeld en heeft vastgesteld dat deze systemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat? Zou niet minimaal moeten worden verwacht dat de procedures en interne controles gedocumenteerd zijn en de werking ervan wordt getest? Als geen documentatie hiervan en geen rapportages over de intern uitgevoerde tests van de maatregelen van interne beheering kunnen worden getoond, kan de accountant dan instemmen met een bestuursverslag waarin het bestuur positief verklaart dat zij heeft vastgesteld dat de interne risicobeheersings- en controlesystemen adequaat functioneren?
• Onderdeel van een gedegen raamwerk voor interne beheersing is een goede risicoanalyse. Het ligt voor de hand dat de accountant, als onderdeel van de frauderisicoanalyse in het kader van COS 240 en de risicoanalyse op grond van COS 315, kennis neemt van de risicoanalyse die door de onderneming is uitgevoerd. Maar wat nu als de onderneming geen eigen risicoanalyse kan delen met de accountant (omdat die niet aanwezig is)?
• Als de accountant conform COS 315 inzicht heeft verkregen in de processen, interne beheersing en het proces van de entiteit om het interne beheersingssysteem te monitoren, en voor belangrijke processen concludeert dat er onvoldoende basis is om te steunen op de interne beheersing en daarom kiest voor een gegevensgerichte aanpak, wat betekent dit dan als het bestuur verklaart dat de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat?
• Als de accountant bij het uitvoeren van de controle tekortkomingen in de interne beheersing heeft geconstateerd en gerapporteerd aan de met governance belaste personen, wat zou dat moeten betekenen voor de verklaring van het bestuur, voordat de accountant kan concluderen dat deze in overeenstemming is met zijn of haar kennis van de rechtspersoon?
• En als de accountant bij de uitvoering van de jaarrekeningcontrole fouten heeft geconstateerd die materieel zijn (of hadden kunnen zijn): Welke evaluatie dient plaats te vinden van de maatregelen van interne beheersing die deze fouten hadden moeten voorkomen, voordat de accountant kan instemmen met een bestuursverslag waarin het bestuur positief verklaart over de werking van de interne risicobeheersings- en controlesystemen?

Door hier duidelijkheid over te verschaffen en consistent op te acteren, zouden accountants weleens meer beweging kunnen creëren dan wat verwacht mag worden van de aanpassingen die zijn gedaan in de Corporate Governance Code. Bij de beursgenoteerde ondernemingen, nu de rest nog.