Magazine 01 maart 2005

Tabaksblat 'in control'?

Terwijl de jaarverslagen over 2004 al naar de drukker moeten is er nog steeds onduidelijkheid rond de verklaring over de kwaliteit van de interne controlesystemen. Cees Visser: “Ondernemingen hebben het probleem voor zich uitgeschoven of het zich onvoldoende gerealiseerd”.

Dit artikel is verschenen in de Accountant nr. 7, 2005

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

William Rothuizen

“Verklaren dat zijn risicomanagement adequaat en effectief is, is momenteel de riskantste verklaring die het bestuur kan geven, vooral als die onderneming ook in de VS genoteerd is”, schreef Cees Visser, partner bij Ernst & Young in het Financieele Dagblad van 20 december 2004. Een verontrustende bewering. Is zo’n verklaring altijd riskant?

Visser: “Dat hangt voor een belangrijk deel af van de bewoordingen. Welke verwachtingen wek je daarmee? Neem het woord effectief. In de Amerikaanse regelgeving is het begrip effectief in het kader van de juridische context uitgekristalliseerd en heeft het een heel precieze definitie gekregen die we hier niet hebben. Als je de betekenis van woorden uit andere rechtsgebieden gaat importeren, ontstaat het gevaar van interpretatieverschillen. Dat kan ertoe leiden dat gebruikers van het jaarverslag aan woorden een betekenis toekennen die ze in dat verband niet hebben. Als ze lezen dat het risicomanagement van de organisatie adequaat en effectief is, zoals het ondernemingsbestuur volgens de code Tabaksblat moet verklaren, kan dat gemakkelijk uitgelegd worden als: er kan niks misgaan, geen onprettige verrassingen. Natuurlijk is er nooit een garantie van absolute zekerheid te geven. Maar wanneer we het begrip ‘redelijke mate van zekerheid’ hanteren krijg je de vraag wat daaronder moet worden volstaan. Die dialoog is met het Nederlandse publiek nooit gevoerd. Wij weten dus niet hoe Nederlandse aandeelhouders, analisten enz., dat zullen interpreteren.”

Dilemma

Die onduidelijkheid leidt tot begrijpelijke aarzeling bij bestuurders. Tegelijkertijd heeft de aandeelhouder recht op de waarheid. Hier ligt een dilemma dat veel ongerustheid oproept.

“Onze ongerustheid ontstond al bij het eerste concept van de code Tabaksblat, toen we lazen dat de bestuursverklaring over de interne systemen niet alleen, zoals de Amerikaanse wetgeving dat vraagt, de financiële verslaggeving betreft, maar alle aan de doelstelling van de vennootschap verbonden risico’s”, zegt Visser. “Er moet op dit punt nadere duiding komen van wat er precies wordt bedoeld. Anders ontstaat er onrust. Maar wat zagen we? Dat het publieke debat rond de code vooral over de beloning van besturen en aantallen commissariaten ging. Terwijl toch het meeste geld gaat zitten in het voldoen aan bepaling II.1.4, zoals blijkt uit een in opdracht van VNO-NCW uitgevoerd onderzoek naar de kosten die de code met zich meebrengt.”

Vooruitgeschoven

De commisie Tabaksblat deed de aanbeveling om bij het opstellen van de jaarverslagen over 2003 de code - die per 1 januari 2004 van kracht zou worden - erbij te pakken om alvast wat te oefenen. Het viel Visser op dat de meeste ondernemingen toen niet aangaven dat ze bij bepaling II.1.4 moeilijkheden verwachtten. Hij vermoedt dat ze het probleem toen voor zich uit hebben geschoven of het zich onvoldoende hebben gerealiseerd.

Bij het opstellen van de jaarverslagen over 2004 kwam er onvermijdelijk meer aandacht voor de code. “Maar er ontstond ook meer onrust bij ondernemingen. Ze gingen hun accountants vragen wat ze er precies mee aan moesten, terwijl de accountants discussieerden over hun eigen rol en verantwoordelijkheden ten aanzien van de bestuursverklaring.”

Amerikaanse context

Een groot aantal ondernemingen heeft ook een notering in de VS. Voor hen ligt hier mogelijk een extra risico. “Zo’n onderneming loopt het gevaar dat Amerikaanse aandeelhouders de door Tabaksblat gevraagde verklaring zien als een garantie omtrent de realisatie van de operationele en financiële doelstellingen”, waarschuwt Visser. “Als men deze verklaring in de Amerikaanse context plaatst, mag het niet zo zijn dat Amerikaanse aandeelhouders en hun advocaten je ermee om de oren gaan slaan.”

Hoe reëel is dit gevaar?

Visser: “Het is moeilijk te zeggen met welke bril aandeelhouders straks de verklaring zullen lezen. Ook weet ik niet of een Amerikaanse rechtbank de redenering van iemand die zich gedupeerd voelt, zou willen volgen. De Sarbanes-Oxley Act legt in artikel 906 een link naar het strafrecht. Als blijkt dat iemand lichtvaardig of willens en wetens onjuiste verklaringen aftekent die vereist zijn onder die wet, dan staat hij voor een serieus probleem. Wat we nog niet weten is of soortgelijke verklaringen, getekend op basis van andere wet- en regelgeving, ook begrepen zullen worden onder die verplichting.”

Verwachtingskloof

De strekking van het in control statement in Sarbanes-Oxley betreft dan ook alleen afdwingbare zaken, waarvan redelijkerwijs kan worden verwacht dat men zich eraan houdt. “Maar”, zegt Visser, “Tabaksblat heeft gekozen voor de volle breedte. In de toelichting op de code wordt aangegeven dat je het COSO-model (zie kader) kunt gebruiken als referentiekader voor de evaluatie van de effectiviteit van de beheerssystemen. Er bestaan naast COSO ook andere referentiekaders voor risicomanagement en interne beheersing, maar alleen COSO wordt genoemd. Samenvattend zegt COSO ten aanzien van doelstelling 1 in zijn model: Als het bestuur verklaart dat de systemen van risicomanagement adequaat en effectief zijn, dan wil dat zeggen dat systematisch wordt bewaakt in welke mate de strategische doelstellingen worden gerealiseerd. Dat is geen garantie dat deze daadwerkelijk zullen worden gerealiseerd. Er wordt alleen verklaard dat de bewaking daarvan deugt en dat dus tijdig kan worden bijgestuurd als zich veranderingen voordoen. COSO legt weliswaar uit wat onder reasonable assurance wordt verstaan, maar het is een nogal lijvig en technisch rapport; hoeveel aandeelhouders zullen dat gelezen hebben? Bestuurders lopen het risico dat ze een verwachtingskloof creëren, terwijl men zich nu juist inspant om het vertrouwen te herstellen.”

Speerpunt

Verschillende accountantskantoren hebben aangedrongen op een nadere duiding van met name bepaling II.1.4 van de code Tabaksblat. Nu is het eigenlijk al te laat, stelt Visser vast, want veel jaarverslagen liggen al bij de drukker. De in december 2004 geïnstalleerde Monitoring Commissie Corporate Governance Code (zie pagina 50) heeft laten weten dat nadere duiding een van haar speerpunten is.

Visser: “Ook in andere Europese landen worden steeds explicietere eisen gesteld aan waarvoor de ondernemingsleiding moet instaan op het gebied van risicomanagement en interne beheersing. Je mag dus verwachten dat de behoefte aan een nadere interpretatie blijft en nog zal groeien. Daar heeft de bestuurder recht op. Hij mag zeggen: als je mij een verplichting oplegt, zeker in deze gespannen tijd, dan moet je me ook uitleggen wanneer ik daaraan heb voldaan.”

COSO

De recente COSO-publicatie ‘Enterprise Risk Management - Integrated Framework’ noemt een differentiatie in de mate van zekerheid die kan worden verschaft bij de drie verschillende beheersdoelstellingen (control objectives) van interne risicobeheersingssystemen. Aangegeven moet worden in hoeverre:

1. het bestuur op de hoogte is van de mate waarin de strategische en operationele doelstellingen worden gerealiseerd;
2. de in- en externe (financiële) rapportages betrouwbaar zijn;
3. de organisatie zich houdt aan de van toepassing zijnde wetten en regels.

Visser benadrukt dat er voor doelstelling 1 geen externe normen bestaan en dat de onderneming hier dus vrij is eigen standaarden te bepalen. “Mocht de onderneming haar doelen niet halen, dan kan een buitenstaander lastig verklaren wat adequaat en effectief is. Bovendien zijn er vaak factoren die je niet in de hand hebt, zoals wat doet de markt, het weer, de concurrentie? De onderneming heeft hier richting aandeelhouders dus eerder een inspannings- dan een prestatieverplichting.”

Bij doelstelling 2 en 3 zijn er wel degelijk externe normen. Visser: “Hier is wèl sprake van prestatieverplichtingen. De Amerikaanse wet- en regelgeving richt zich vooral daarop, want dat zijn zaken die je in rechte kunt afdwingen. De strekking van het in control statement in Sarbanes-Oxley betreft dan ook alleen zaken waarvan redelijkerwijs kan worden verwacht dat men zich eraan houdt”.

Management is primair verantwoordelijk

Het NIVRA heeft al in 2003 de noodzaak aangegeven van een raamwerk dat bestuurders bij hun aanpak van en rapportage over de interne beheersing kunnen hanteren. Dit ter ondersteuning van bestuur en commissarissen die willen voldoen aan de bepaling in de code Tabaksblat dat in het jaarverslag moet worden gerapporteerd over de werking van het intern risicobeheersings- en controlesysteem (in control statement) en de realisering van transparantie. In dit kader heeft het NIVRA in het voorjaar 2004 overleg gevoerd met het ministerie van Financiën, VNO-NCW en de AFM, om na te gaan of deze organisaties bereid zijn het initiatief voor een nadere uitwerking te nemen. Medio 2004 heeft het NIVRA besloten tot het formuleren van voorstellen voor een dergelijk raamwerk, om dit vervolgens aan bestuurders voor te leggen ter bespreking en commentaar.

Begin 2005 is overlegd tussen een aantal vertegenwoordigers van de Corporate Governance Commissie, Monitoring Commissie, NICG, VNO-NCW, ABP, SCGOP en NIVRA, over de noodzaak van guidance en de wijze waarop deze zou kunnen worden ontwikkeld. Het NIVRA acht het ontwikkelen hiervan in eerste instantie de verantwoordelijkheid van bestuurders en commissarissen. In het overleg is voorts besloten dat een aantal bijeenkomsten zal worden georganiseerd met verschillende groepen van belanghebbenden.

Model rapportage

De code Tabaksblat schrijft niet voor hoe de bestuursverklaring over de interne risicobeheersing eruit moeten zien. Visser stelt de volgende model-opbouw voor, waarbij wordt uitgegaan van een bestuursrapportage in plaats van een bestuursverklaring: “Die opbouw kan beginnen met een overzicht van de belangrijke, specifieke risico’s. In het tweede deel beschrijft de ondernemer wat hij in huis heeft om die risico’s zo goed mogelijk te beheersen en welk normenkader, zoals COSO, is gehanteerd bij de evaluatie van de interne risicobeheersings- en controlesystemen. Vervolgens bevelen wij een gedifferentieerde conclusie aan, dat wil zeggen dat je de kapitaalmarkt ten aanzien van de strategische en operationele doelstellingen een andere mate van zekerheid biedt dan ten aanzien van financial reporting en naleving van wet- en regelgeving. Wat je uiteraard ook aangeeft zijn de genomen maatregelen tot verbetering, en - een eis van de code - dat het geheel van werkzaamheden inzake de risicobeheersing regelmatig wordt besproken met de raad van commissarissen en het audit committee.”