De in-controlverklaring in de Verenigde Staten

Als reactie op de eerder genoemde boekhoudschandalen bij onder meer Enron, Arthur Andersen, Worldcom en Tyco voerde de Amerikaanse wetgever op 30 juli 2002 de SOx- Act in.250 _{De invoering had een grote impact op het corporate governance-beleid van} beursgenoteerde bedrijven in de VS en heeft bovendien een belangrijke impuls gegeven aan het denken over risicobeheersing in Europa. 251 _{De wet bevat naast} openbaarmakings- en rapportagevereisten ook bepalingen die van wezenlijke invloed zijn op de manier waarop bedrijven hun corporate governance moeten inrichten.252 _Aan beursgenoteerde bedrijven worden zware verplichtingen opgelegd met betrekking tot de manier waarop zij met hun risico’s omspringen. In tegenstelling tot de Nederlandse CGC zijn deze bepalingen niet “principle-” maar “rule-based”. Er is geen mogelijkheid om middels het pas toe of leg uit-regime gemotiveerd van de regels af te wijken. Niet- naleving of (opzettelijk) verkeerde naleving van de bepalingen kan daarom niet alleen direct persoonlijke aansprakelijkheid van bestuurders vestigen, maar ook forse strafrechtelijke sancties opleveren.253 _{In het kader van dit onderzoek is één bepaling uit} de SOx-Act van bijzonder belang: Section 404.254

Section 404 verplicht het bestuur om een intern controlerapport in het jaarverslag op te nemen. Dat rapport moet een verklaring over de effectiviteit van de interne controlestructuur en de daarbij behorende procedures voor de financiële verslaggeving

250 _{In de VS bestaat er geen CGC waardoor de corporate governance-regels uit andere rechtsbronnen}

voortvloeien.

251 _{Strik, ‘Aansprakelijkheid voor falend risicomanagement’, in Assink & Strik, Preadvies van de}

vereniging handelsrecht (2009) 209.

252 _{R. Romano, ‘The Sarbanes-Oxley Act and the making of quack corporate governance’, in Yale Law}

Journal (2005) vol. 114, nr. 7 1521-1611.

253 _{D. Strik, ‘De ondertekening van de ‘in control’-verklaring en financiële verslaggeving nar}

Nederlands en Amerikaans recht’, Geschriften vanwege de Vereniging Corporate Litigation 2008-2009 (Deventer 2009) 129-162.

254 _{Sarbanes-Oxley Act, Public Law 107–204, Section 404; Nota bene: hoewel de certification}

requirements van Section 302 SOX-Act ook verplichtingen aan de CEO en CFO van een beursgenoteerde vennootschap opleggen in de vorm van voorgeschreven verklaringen omtrent interne controle(s), zien deze verklaringen meer op de controle over het proces voor de totstandkoming van de jaarrekening of de kwartaalcijfers. D.w.z.: controle over de rapportagestructuur en het proces die/dat heeft geleid tot het uitvaardigen van die specifieke geopenbaarde cijfers. In het kader van dit onderzoek richt ik mij voornamelijk op een verklaring over de interne controlesystemen zelf. Voor de bestudering van de Nederlandse in-controlverklaring is de “Section 404”-verklaring belangrijker.

bevatten.255 _{Dit wordt ook wel de Section 404-verklaring of de “in control over financial} reporting”-verklaring genoemd. Deze vertoont een grote gelijkenis met de huidige Nederlandse in-controlverklaring.256 _{Indien Section 404 in onderlinge samenhang met} de aanvullende regels van de Securities and Exchange Commission (verder: SEC) wordt bezien, komen de volgende verplichtingen van het bestuur naar voren. Allereerst moet het in het interne controlerapport verklaren dat het verantwoordelijk is voor de implementatie en het onderhoud van adequate interne controlesystemen en procedures voor de financiële verslaggeving van de vennootschap. 257 _{Bovendien is vereist dat het} bestuur een beoordeling van de effectiviteit van dat interne systeem met betrekking tot die financiële verslaggeving over het afgelopen boekjaar in het rapport opneemt. Daarbij wordt bestuurders de verplichting opgelegd aan te geven welk risicobeheersingsraamwerk of normenkader het bij die evaluatie heeft gehanteerd.258 Het bestuur mag pas verklaren dat de systemen in het afgelopen boekjaar effectief zijn geweest indien daarin geen materiële zwaktes zijn geconstateerd. Als dergelijke zwaktes wél zijn gesignaleerd, moet het bestuur deze openbaren.259 _{Ten slotte dient de externe} accountant een verklaring over de door het bestuur verrichte beoordeling van de effectiviteit van de interne controlestructuur en procedures af te leggen.260 _{Deze moet} ook in het interne controlerapport worden opgenomen. Section 404 verplicht dus in feite tot het afgeven van een in-controlverklaring over de opzet en werking van het interne controlesysteem en de procedures ter zake van de financiële rapportage.261 _Het bestuur moet verklaren of en in hoeverre het interne controlesysteem effectief is geweest met betrekking tot de beheersing van de financiële verslaggevingsrisico’s van de vennootschap. Dat systeem moet uiteindelijk een redelijke mate van zekerheid geven

255 _{Protiviti, ‘Guide to the Sarbanes-Oxley Act. Internal control reporting requirements’, Frequently}

asked questions regarding Section 404 (2007) nr. 4, 7-12.

256 _{Stibbe, Reactie op het consultatiedocument Voorstel tot herziening van de Code (2016).}

257_{Bier, ‘Het risico van de risicobeheersings- en interne controlesystemen’, Ondernemingsrecht (2005)}

nr. 188.

258 _{Protiviti, ‘Guide to the Sarbanes-Oxley Act. Internal control reporting requirements’, Frequently}

asked questions regarding Section 404 (2007) nr. 4, 7-12.

259 _Ibidem.

260 _{M. Schoordijk, ‘Risk management als hoeksteen van corporate governance’, in R. Verdaas, S.}

Dumoulin, T. Raaijmakers & A. Tervoort (red.), Tussen Themis en Mercurius (Deventer 2005) 309-329.

261 _{M. Westeteijn & S. van der Werve, ‘Werking en gevolgen van SOx’, Tijdschrift Controlling (2007) nr.}

dat die verslaggeving betrouwbaar is.262 _{De in-controlverklaring in best practice-} bepaling II.1.5 Code Frijns is daarmee grotendeels in overeenstemming met de Section 404-verklaring.263

Krachtens de huidige Nederlandse CGC moet het bestuur immers verklaren dat de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat en dat die systemen in het afgelopen boekjaar naar behoren hebben gewerkt (ten aanzien van die financiële verslaggeving). Een belangrijk verschil is echter dat de in-controlverklaring in de VS pas mag worden gegeven indien die redelijke mate van zekerheid bestaat, terwijl de verplichting in Nederland is losgekoppeld van het al dan niet bestaan van die zekerheid. Door de koppeling tussen de effectiviteit van de interne risicobeheersings- en controlesystemen met de financiële verslaggevingsrisico’s op te heffen, zoals in het voorstel tot herziening van de CGC wordt beoogd, zal de Nederlandse in- controlverklaring een veel grotere reikwijdte krijgen dan de Section 404-verklaring - de bepaling waar de huidige verklaring op is gebaseerd. De interne risicobeheersings- en controlesystemen moeten dan op zowel financiële als niet-financiële risico’s berust zijn. Tot slot dient kort opgemerkt te worden dat de Section 404-verklaring door de bestuurders gezamenlijk wordt ingediend. Door het “one-tier” bestuursstelsel betekent dit dat ook non-executive bestuurders – de Amerikaanse equivalenten van commissarissen – de verklaring ondertekenen. Derhalve is de Section 404-verklaring voor Amerikaanse vennootschappen wat breder opgezet dan de Nederlandse in- controlverklaring.264