Entity-level controls opnieuw geclassificeerd

In de fasen dat de accountant nog werkt aan de awareness of de opzet en het bestaan van informatie- en registratiesystemen, zal de accountant nog geen zekerheid kunnen

verstrekken. In deze fase zal de accountant vooral een adviserende rol kunnen hebben bij de uitgangssituatie en de mogelijkheden om bestaan en opzet van de systemen te

ontwikkelen. Bij deze adviezen wordt geen zekerheid verstrekt en worden er ook geen feitelijke bevindingen vastgelegd. Bij fase vier, wanneer bestaan en werking getoetst kunnen worden door de accountant, rapporteert de accountant in de vorm van een rapport van feitelijke bevindingen. Hierbij is COS 4400 van toepassing. In de laatste fase, kan de

accountant zekerheid verstrekken bij de verantwoording van niet-financiële informatie. Deze zekerheid is onder te verdelen in een verklaring met beperkte mate van zekerheid dat zich uit in een negatief geformuleerde conclusie en een verklaring met een redelijke mate van zekerheid dat zich uit in een positief geformuleerde conclusie. Het normenkader hiervoor is terug te vinden in COS 3000: assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie.

In deze paragraaf werd duidelijk dat niet de aard van de informatie bepalend is voor het feit of hier assurance over verstrekt kan worden. De mate van volwassenheid van informatie en de verankering in de organisatie bepaalt of er assurance kan worden verleend. Daarnaast is het bij behaviour control van belang dat de drie verschillende componenten: ‘gedragingen, structuren en besluiten’ worden beoordeeld in de samenhang met elkaar om met een grotere mate van zekerheid het gewenste gedrag te verkrijgen.

4.3.1 Entity-level controls opnieuw geclassificeerd

In paragraaf 4.2 werd duidelijk dat er een vraag is naar assurance over niet financiële informatie met betrekking tot entity-level controls. Daarom wordt in deze paragraaf een verkenning gedaan of het mogelijk is om een model dat betrekking heeft op entity-level controls te classificeren naar de drie componenten van behaviour control: gedragingen, structuren en besluiten. Als eerste wordt de totstandkoming van het model behandeld. Daarna wordt een nieuwe invulling gegeven aan de hand van de drie componenten uit de definitie van behaviour control: gedragingen, structuren en besluiten.

Nederlandse bedrijven die in Amerika beursgenoteerd zijn, moeten sinds 2003 voldoen aan de sarbanes-Oxley (SOx) wetgeving. Het Instituut van Internal Auditors Nederland (hierna:

49

IIA) heeft een platform samengesteld, waarbij interne accountants van verschillende bedrijven met elkaar in gesprek kunnen gaan over SOx gerelateerde dilemma’s. Hierbij hebben de entity-level controls tot veel discussie geleid. De regelgevende instanties gaven destijds namelijk wel aan dat de op COSO (1992) gebaseerde entity-level controls zeer relevant zijn, maar gaven verder geen advies over de invulling van deze controls (Gerkes e.a., 2007). Een taakgroep binnen dit platform heeft daarom alle beschikbare control

documentatie binnen het platform als basis gebruikt voor het maken van een kader voor het beheersen van entity-level controls.

De nadruk die IIA Nederland legt op entity-level controls komt overeen met de visie die de Public Company Accounting Oversight Board (PCAOB) en de Exchange Commission (SEC) hierover hebben. Ondanks dat de PCAOB geen heldere definitie geeft van entity-level controls, geeft de PCAOB wel enkele voorbeelden. Hierin komen de volgende kenmerken voor:

- ze bestaan op een hoger niveau in de organisatie dan processpecifieke controls; - zijn kaderstellend voor het gedrag van de medewerkers en voor de kwaliteit van de

(werking van de) meer operationele controls; en - zijn de infrastructuur van interne beheersing.

Het kader (figuur 4.3) geeft de positie weer van company (entity) level controls en de aard van de focus van entity-level controls binnen het COSO-framework. Hieruit blijkt dat de basis van entity-level controls terug te vinden zijn in de beheersomgeving van het

50

Figuur 4.3 Framework of entity-level controls (Bron: Gerkes, Van der Werf en Van der Wijk, 2007)

Gerkes, Van der Werf en Van der Wijk (2007) omschrijven een lijst van de 29 best-practice Entity level controls (bijlage 1). Deze lijst vormt een minimale lijst met beheersmaatregelen, waaraan een bedrijf minimaal zou moeten voldoen. Dit betekent dat het nodig kan zijn om bedrijfsspecifieke controls te identificeren. Van elke control wordt tevens aangegeven in welke categorie deze valt en in welk COSO element deze terug komt. Deze set van 29 entity-level controls richt zich niet zozeer op een specifiek risico maar is veel meer

voorwaardenscheppend voor andere controls. De controls zijn beschrijvend van aard en hebben geen norm.

De nieuwe classificatie is opgenomen in tabel 4.1. Van de 29 best-practice entity-level controls is aangegeven of deze is in te delen in één of meerdere componenten: gedragingen, structuren ofwel besluiten. Dit is gedaan op basis van inschatting door de schrijver van dit onderzoek. Sommige controls zijn voor meerdere interpretaties vatbaar, waardoor discussie kan ontstaan over de precieze indeling. Er is geprobeerd om de controls op de meest

logische wijze in te delen. Hierbij komt regelmatig voor dat een control ingedeeld is onder meerdere componenten. In de meeste gevallen is de control zo omschreven dat deze

meerdere componenten beslaat. In de tabel is tevens per component geteld op hoeveel (van de totaal 29) controls deze betrekking heeft.

51

Tabel 4.1: Entity-level controls (Gerkes, J. e.a. 2007), geclassificeerd naar behaviour controls

Entity-level controls, geclassificeerd naar behaviour controls

Entity-level Control

Gedra-gingen

Struc-turen

Besluit-en

Een accountinghandboek is opgesteld en verspreid in de

organisatie, oftewel deze bestaat, is beschikbaar, autorisatie en discussies over veranderingen zijn goedgekeurd.

x

Verplichte opleidingen en trainingen voor boekhoudkundig personeel

x

Senior management beoordeelt periodiek een overzicht van de boekhouding, rapportages en interne beheersingsproblemen.

x

Het senior management zorgt ervoor dat processen met een hoog risico en de verwerking hiervan in de jaarrekening alleen met autorisatie van, of door de top van het bedrijf gebeurt.

x

Een tabel waarin de functies en bevoegdheden vermeld staan. Deze moet beschikbaar zijn en periodiek ge-updated worden.

x

Senior management handhaaft bewust en vrijwillig een passende tone at the top.

x

Een gedragscode (code of conduct) is beschikbaar en in geval van overtreding volgen er disciplinaire maatregelen.

x⁸ x

Fraude risicobeoordeling wordt uitgevoerd en is beschikbaar inclusief passende anti-fraude-programma's en het rapporteren over fraude gevallen.

x⁹ x x

De bedrijfsleiding oefent toezicht uit op geschillen en communicatie met (financiële) regelgevende instanties.

x¹⁰ x

Periodiek worden de divisies en operationele afdelingen geëvalueerd door de bedrijfsleiding.

x¹¹ x

8

Deze ELC is op te delen in een structuurcomponent: er is een gedragscode aanwezig en in een besluitcomponent: welke disciplinaire maatregelen worden er genomen in het geval van overtreding.

9Deze ELC bestaat heeft alle drie de componenten in haar beschrijving. Structuur: er is een fraude

risicobeoordeling beschikbaar, gedragingen: hoe wordt er omgegaan met het anti-fraude-programma (welke sancties worden er bijvoorbeeld uitgedeeld?)en besluiten: hoe transparant wordt er gerapporteerd over fraudegevallen.

10

Structuur: er wordt toezicht gehouden op geschillen en gedragingen: hoe gaat de bedrijfsleiding om met de geschillen en communicatie

11

Structuur: de bedrijfsleiding evalueert de divisies, gedragingen: wat wordt er belangrijk bevonden bij de evaluatie door de bedrijfsleiding.

52

De auditcommissie voert een beoordeling uit op haar eigen prestaties.

x¹² x

De auditcommissie oefent passend toezicht op het gebied van interne beheersing en voert een open communicatie met de controllers en in- en externe accountants.

x¹³ x

De auditcommissie zorgt ervoor dat er open gecommuniceerd wordt met in- en externe accountants door het audit plan goed te keuren, een actieve deelname tijdens vergaderingen en regelmatige afspraken.

x

De Human Resource-afdeling beoordeelt het organisatorische ontwerp en de beschikbaarheid van functiebeschrijvingen.

x

Voordat er personeel wordt aangenomen, volgt eerst een pre-employment screening plaats, waarbij vastgesteld wordt of sollicitanten de waarheid spreken over hun achtergrond en of ze betrouwbaar zijn.

x

Realistische doelen worden geformuleerd en gebruikt bij het meten van prestaties.

x

Human resource beleid is beschikbaar x

Er bestaat akkoord over de toekomstige ontwikkeling van het informatiesysteem en over de lopende IT-projecten.

x¹⁴ x

Er bestaat een onafhankelijke relatie tussen de interne accountant en de auditcommissie.

x

Periodiek rapporteert de interne accountant over de prestaties aan de auditcommissie.

x

Het senior management houdt toezicht op de resultaten betreffende de door de divisies, afdelingen en

werkmaatschappijen afgegeven letters of representation (of in control statements).

x

Toezicht op de geïdentificeerde beheersingskwesties middels een herstel voortgangsrapportage.

x

Het management inventariseert de risico’s en beoordeelt x¹⁵ x

12

Structuur: de auditcommissie voert de beoordeling uit en gedragingen, op welke wijze beoordeelt de auditcommissie?

13 Structuur: de auditcommissie houdt toezicht en besluiten: hoe transparant wordt er omgegaan met accountants?

14

Structuur: er ligt een akkoord vast en besluiten: waar wordt in geïnvesteerd?

15

Structuur: het management inventariseert de risico’s en gedragingen: hoe schat het management de risico’s en impact in?

53

daarbij de waarschijnlijkheid en impact.

De Raad van Commissarissen beoordeelt de strategie van de onderneming en keurt de jaarlijkse begroting.

x

De auditcommissie zorgt voor het bestaan, de beschikbaarheid, geschiktheid en kennisgeving van de klokkenluidersregeling procedure.

x

Er vindt een begrotingsproces plaats, gerelateerd aan de strategie, kwantitatieve doelstellingen en periodieke rapportagebeoordelingen.

x

Het ontwerp van de bonusregeling is zo ingericht dat er geen stimulans bestaat dat zou kunnen leiden tot oneigenlijk financiële verslaggeving.

x¹⁶ x

Het ondernemingsbestuur houdt elk kwartaal een vergadering met de financiële afdeling, juridische afdeling en het

management om de prestaties te bespreken en maakt deze informatie ook openbaar.

x¹⁷ x

Er worden vergaderingen gehouden met het bestuur, juridische afdeling en IT-afdeling om te discussiëren over de juridische gevolgen en de zakelijke impact op de financiële rapportage van het aangaan van nieuwe zakelijke beslissingen.

x¹⁸ x

Hoeveel controls (totaal 29) hebben betrekking op het desbetreffende component? 8 (28%) 24 (83%) 8 (28%)

Bij de indeling van de controls naar de drie componenten van behaviour control, zijn de volgende opvallendheden geconstateerd:

- Het model is beschrijvend van aard, daarmee ontbreekt een duidelijke norm. Per organisatie kan de norm verschillen. De control ‘Periodiek rapporteert de interne accountant over de prestaties aan de auditcommissie.’ zegt bijvoorbeeld niet hoe vaak en in welke mate de interne accountant dient te rapporteren aan de

auditcommissie. In hoeverre er een norm beschikbaar is en welke rol de accountant

16 Structuur: het bestaan van een bonusregeling, besluiten: wat wordt belangrijk bevonden (hoe wordt er beoordeeld en hoeveel geld wordt hieraan besteed)?

17

Structuur: er wordt een vergadering gehouden en besluiten: hoe transparant wordt dit gecommuniceerd?

18

Structuur: er wordt een vergadering gehouden en gedragingen: hoe wordt de zakelijke impact omtrent het aangaan van nieuwe zakelijke beslissingen ingeschat?

54

hierin heeft, hangt samen met de volwassenheid van de informatie en de verankering hiervan in de organisatie, zoals is behandeld in paragraaf 4.3.

- Zoals eerder in dit hoofdstuk al behandeld is, is de samenhang tussen de

verschillende componenten van belang voor de beheersing van de gedragsmatige aspecten van interne beheersing. De verwachting is daarom dat een control die betrekking heeft op meerdere componenten, beter is dan een control die betrekking heeft op een enkel component. In het model is bij één van de 29 controls de

beschrijving zo geformuleerd, dat deze betrekking heeft op alle drie de

componenten: ‘Fraude risicobeoordeling wordt uitgevoerd en is beschikbaar inclusief passende anti-fraude-programma's en het rapporteren over fraude gevallen.’ Dat er een anti-fraude-programma aanwezig is, heeft betrekking op de structuur. Hoe er wordt omgegaan met het anti-fraude-programma (welke sancties worden er

bijvoorbeeld uitgedeeld), heeft betrekking op de gedragingen en hoe transparant er gerapporteerd wordt over fraudegevallen zegt iets over besluiten.

- De 29 controls zijn verdeeld over de drie componenten gedragingen, structuren en besluiten. Hierbij valt op dat er veel meer controls betrekking hebben op structuren (24 van de 29 controls) dan op gedragingen en besluiten (beide 8 van de 29 controls). Het lijkt er dus op dat dit model te weinig aandacht besteed aan gedragingen en besluiten. Voor de toekomstige ontwikkeling betekent dit, dat een dergelijk model meer aandacht moet besteden aan gedragingen en besluiten, om gedragingen binnen de interne beheersing te beheersen.

Om de entity-level controls te beoordelen is het vereist om over een bepaalde norm te beschikken. De werking van structuren kan relatief gemakkelijk worden vastgesteld. Van bijvoorbeeld de control ‘De aanwezigheid van een code of conduct.’ is relatief gemakkelijk vast te stellen. Bij gedragingen en besluiten is dit relatief gezien moeilijker. De werking van de control ‘Senior management handhaaft bewust en vrijwillig een passende tone at the top.‘ is relatief moeilijker vast te stellen, omdat hier een grotere mate van subjectiviteit aanwezig is. Wat is bijvoorbeeld een passende tone at the top? Bij het bepalen van de norm zal de nodige ervaring en deskundigheid vereist zijn. Hierbij wordt de rol van de accountant bepaald door de mate van volwassenheid van de informatie en de verankering ervan in de organisatie.

55

Elk jaar kan bijvoorbeeld een interview worden gehouden onder de werknemers, waarbij in kaart wordt gebracht hoe zij kijken naar de leidinggevenden. Hierbij is het van belang om kwalitatieve gegevens te kwantificeren. Door bijvoorbeeld een puntenschaal te gebruiken (cijfer van 1 tot 10) kunnen de gegevens beter vergeleken worden. Sancties kunnen daarnaast vergeleken worden met het beleid. Het probleem zit hier echter niet in de juistheid van de sancties, maar meer in de volledigheid. Worden alle misdragingen ontdekt en wordt hier altijd wat aan gedaan? Een interne accountant lijkt hier de aangewezen persoon om dit te beoordelen.

Het is pas mogelijk om assurance te verlenen wanneer het systeem functioneert binnen een duidelijk normenkader. Hiervoor is de nodige ervaring en deskundigheid vereist. Wanneer de normen voor de verantwoording nog niet volledig zijn ontwikkeld, kan er door de accountant wel een rapport van bevindingen worden verstrekt. Hierin is geen conclusie opgenomen. De gebruiker van de informatie zal daarom zelf de conclusie moeten vaststellen uit de

gerapporteerde bevindingen.

4.4 Conclusie

In deze paragraaf wordt antwoord gegeven op deelvraag 3 en 4. Informatieverstrekking en het afleggen van verantwoording zijn onlosmakelijk verbonden met de beheersing van de organisatie. Financiële informatie geeft maar een deel van het verhaal. Door recente gebeurtenissen als de kredietcrisis, verschillende fraudeschandalen en maatschappelijke thema’s zoals de duurzaamheid, is de vraag naar betrouwbare niet-financiële informatie toegenomen. Voor de toetsing van deze informatie door onafhankelijke deskundige komt de accountant in beeld. De behoefte en daarmee de controle van niet-financiële informatie is voor de accountant een goede uitgangspositie om in deze behoefte te voorzien (deelvraag 3).

Het verschil tussen financiële en niet-financiële informatie is het normenkader waar de accountant de informatie aan toetst. Bij financiële informatie is dit vastgelegd in wetgeving, zoals bijvoorbeeld het Burgerlijk Wetboek of de Richtlijnen voor de jaarverslaggeving. Voor niet-financiële informatie bestaat echter nog geen wettelijk kader. Echter is de aard van de informatie niet relevant is, maar het ontwikkelstadium van de informatie. Deze is afhankelijk van de mate van volwassenheid van de informatie en de verankering ervan in de organisatie.

56

Op basis van een verkenning is gekeken of het mogelijk is om een 29-tal entity-level controls in te delen in de drie componenten van behaviour control: ‘gedragingen, structuren en besluiten’. Hierbij is het van belang dat de drie componenten in lijn consistent aan elkaar zijn. Het is mogelijk om assurance te verlenen wanneer het systeem functioneert binnen een duidelijk normenkader voor de verantwoording van assurance, met periodieke in- en

externe bijsturing op basis van gebruiksdialoog. Hierdoor is assurance over behaviour control theoretisch mogelijk. Dit zal echter empirisch vastgesteld moeten worden. (deelvraag 4).

57

Hoofdstuk 5 Conclusie

In dit hoofdstuk wordt de conclusie gegeven van dit onderzoek. Vervolgens wordt in paragraaf 5.2 de beperkingen gegeven van dit onderzoek. Tenslotte wordt in paragraaf 5.3 enkele suggesties gedaan voor vervolgonderzoek.

5.1 Conclusie

In dit hoofdstuk wordt de conclusie van deze scriptie besproken, waarbij antwoord wordt gegeven op de probleemstelling. De probleemstelling luidt:

In hoe verre en op welke wijze kan assurance verkregen worden over de gedragsmatige aspecten van interne beheersing?

De op basis van dit onderzoek nieuwe, werkbare definitie luidt:

behaviour control:

Behaviour control is het kader waarbinnen gedragingen, structuren en besluiten in samenhang zorgen voor het voor de organisatie gewenste gedrag, waardoor met een grotere mate van zekerheid de ondernemingsdoelen gehaald worden.

Op basis van een verkenning zijn een 29-tal entity-level control ingedeeld in de drie componenten van behaviour control. Hierbij kan het volgende geconcludeerd worden:

- Het model is beschrijvend van aard, hierdoor ontbreekt een duidelijke norm. De norm zal per organisatie verschillen.

- Het model heeft veel meer aandacht voor het component structuren (24 van de 29 controls) dan voor gedragingen en besluiten (beide 8 van de 29 controls). Dit

betekend theoretisch gezien voor de toekomstige ontwikkeling dat er meer aandacht moet zijn/ komen binnen het model van entity-level control voor gedragingen en besluiten.

- Om het gewenste gedrag te bereiken is het is noodzakelijk dat de componenten consistent zijn aan elkaar en in lijn liggen met de doelstellingen van de organisatie.

In document Soft controls ‘revisited’ (pagina 49-59)