Vanuit de wetenschappelijke literatuur is gebleken dat externe accountants ook in aanraking komen met de interne beheersing binnen ondernemingen en hier informatie over dienen te verzamelen in het kader van de jaarrekeningcontrole. Het doel hiervan is om vast te stellen in hoeverre de externe accountant bij de uitvoering van zijn jaarrekeningcontrole kan steunen op de interne beheersmaatregelen uit het interne beheersraamwerk van een onderneming (NIVRA, 2010).
Accountant A. geeft tijdens het interview echter duidelijk aan dat een intern beheersingssysteem primair belangrijk is voor de onderneming zelf. Vanuit de wetenschappelijke literatuur is
inderdaad gebleken dat interne beheersing voornamelijk van groot belang is voor ondernemingen voor de inschatting van risico‟s, optimalisatie van informatie-uitwisseling en voor de
inzichtelijkheid in de effectiviteit van bedrijfsprocessen (NIVRA, 2002). Volgens accountant A. is dit bij FrieslandCampina duidelijk het geval en is dit de hoofdreden waarom zij het interne beheersraamwerk hebben opgezet.
Accountant A. geeft verder aan dat het interne beheersraamwerk van FrieslandCampina bijdraagt aan een goede beheersomgeving en dat een deel van het interne beheersraamwerk hen helpt bij de jaarrekeningcontrole. Accountant A. zegt hierover:
“Als een onderneming een intern beheersingssysteem met een intern beheersraamwerk heeft, ga je als externe accountant proberen daar zoveel mogelijk gebruik van te maken”.
Accountant B. bevestigd dit en geeft aan dat een intern beheersingssysteem ook belangrijk is voor de externe accountant. Accountant B. merkt hierover op:
“Tijdens de risicoanalyse onderkennen we inherente (bruto) risico‟s en risico‟s na implementatie van interne beheersmaatregelen (netto). Een goed intern beheersingssysteem bevat interne beheersmaatregelen die al deze risico‟s mitigeert en de risico‟s voor een onderneming dus verkleint. Wat je dan over houdt zijn de „rest‟ risico‟s en dit zijn de risico‟s waar wij ons op
42
focussen. Als je inherent aan een business risico‟s onderkent en er zou geen intern
beheersingssysteem aanwezig zijn, dan zou dit betekenen dat wij als accountant aan alle risico‟s aandacht moeten besteden”.
Uit de interviews blijkt dat externe accountants een belang hebben bij een goede interne beheersing, omdat zij van de gehele exercitie van interne beheersing gebruik kunnen maken tijdens hun eigen jaarrekeningcontrole. In veel gevallen bespaart dit de externe accountant werk tijdens de jaarrekeningcontrole. Vanuit de wetenschappelijke literatuur komt echter vooral het belang van interne beheersing voor ondernemingen zelf naar voren en veel minder het belang voor externe accountants tijdens de jaarrekeningcontrole. Een verklaring hiervoor is dat de interne beheersing op zich geen controleobject is voor de externe accountant en hier dus minder belangstelling voor is vanuit wetenschappelijk oogpunt (NIVRA, 2010).
6.1.2 Interne beheersraamwerken
Uit het literatuuronderzoek is gebleken dat veel ondernemingen tegenwoordig in toenemende mate gebruik maken van een openbaar beschikbaar intern beheersraamwerk voor het managen van de interne beheersing (Paape en Swagerman, 2006). Volgens accountant A. hebben de grote beursfondsen dit niet in de laatste plaats, omdat het bestuur van deze ondernemingen
verantwoording moeten afleggen over het „in-control‟ zijn van de onderneming. Accountant A. merkt hierover op:
“Als je om je heen kijkt zie je dat diverse mensen hebben nagedacht over interne beheersing en interne beheersraamwerken hebben ontworpen die uitleggen en beschrijven hoe je vorm kan geven aan interne beheersing. Waarom zouden ondernemingen zelf iets gaan uitvinden als dat al voor hen is gedaan? Het is fijn voor ondernemingen om een intern beheersraamwerk te gebruiken dat zichzelf al min of meer heeft bewezen in de praktijk”.
Accountant A. geeft aan dat interne beheersraamwerken in het verleden wat meer onbewust werden gebruikt en dat tegenwoordig de interne beheersing formeler wordt aangepakt en gefundeerd wordt vanuit de literatuur. Volgens accountant A. is dit terug te zien in de manier waarop beursgenoteerde ondernemingen met interne beheersraamwerken omgaan. Uit de interviews blijkt dat accountant A. en B. voornamelijk grote beursgenoteerde ondernemingen in hun portefeuille hebben, die allemaal een intern beheersraamwerk in meer of mindere mate hebben geïmplementeerd.
Volgens accountant A. zijn er allerlei redenen en fasen te bedenken voor ondernemingen om interne beheersraamwerken te gaan gebruiken en verschilt dit per onderneming. Het belang van interne beheersraamwerken wordt vanuit de wetenschappelijke literatuur voornamelijk belicht vanuit het oogpunt van ondernemingen. Uit hoofdstuk 2 blijkt onder andere dat ondernemingen interne beheersraamwerken van oudsher gebruiken als leidraad bij de inrichting van de eigen interne beheersing. Accountant B. bevestigd dit en geeft aan dat interne beheersraamwerken verantwoordingsinstrumenten zijn voor ondernemingen. Accountant B. zegt hierover:
“Een intern beheersraamwerk is een kapstok waar je een heleboel dingen aan hangt. Het is als ware een beschrijving van hoe je de interne beheersing inricht binnen een onderneming.
Daarnaast kun je bij kleine ondernemingen iedereen wel verbaal instrueren met betrekking tot de interne beheersing, maar bij grotere ondernemingen zoals FrieslandCampina lukt dit niet en zal je een intern beheersraamwerk moeten hebben”.
43
Verder is uit hoofdstuk 2 gebleken dat ondernemingen interne beheersraamwerken vaak
gebruiken als mechanisme om hun „in-control‟ verklaring mee te valideren. In de meeste gevallen geven ondernemingen bij hun „in-control‟ verklaring aan welk intern beheersraamwerk zij hebben gehanteerd bij de evaluatie van de effectiviteit van de interne beheersing. In het kader van SOx is dit zelfs een verplichting. Beide accountants benoemen tijdens het interview het belang van interne beheersraamwerken om te kunnen bepalen in hoeverre een onderneming „in-control‟ is. Accountant B. merkt op dat deze vaststelling ook heel belangrijk is voor de externe accountant en zegt hierover:
“Met behulp van een intern beheersraamwerk wordt een overzicht van de totale effectiviteit van de interne beheersing zichtbaar gemaakt. Stap 1 is het hebben van überhaupt interne
beheersmaatregelen en stap 2 is het zichtbaar maken van de effectiviteit van deze interne beheersmaatregelen. Dit is voor ons als externe accountant heel belangrijk, omdat wij binnen onze risicoanalyse tijdens de jaarrekeningcontrole graag willen weten waar de tekortkomingen zitten”.
Beide accountants erkennen dat interne beheersraamwerken ook belangrijk zijn voor externe accountants. Accountant A. geeft bijvoorbeeld aan dat interne beheersraamwerken externe accountants helpen om gebruikte interne beheersraamwerken te kunnen „benchmarken‟. Als een onderneming namelijk een intern beheersraamwerk gebruikt dat al veelvuldig toegepast wordt door andere ondernemingen, is het gemakkelijker voor de externe accountant om te verifiëren of het interne beheersraamwerk in de kern goed is. Accountant B. geeft daarnaast aan dat een intern beheersraamwerk zorgt voor een norm voor externe accountants. De externe accountant wil immers dingen toetsen aan een norm en die norm moet voor iedereen duidelijk zijn. Verder geeft accountant A. aan dat externe accountants tegenwoordig interne beheersraamwerken gebruiken als norm voor de evaluatie van de effectiviteit van de interne beheersing. In de V.S. is dit zelfs een eis in het kader van SOx. Accountant A. zegt hierover:
“In het kader van SOx dienen feitelijk twee beoordelingen te worden gedaan door de externe accountant. Enerzijds moet worden beoordeeld of het bestuur van een onderneming een effectieve interne controleomgeving heeft gebouwd. Anderzijds moet worden beoordeeld of de interne beheersmaatregelen hebben gewerkt. De eerste beoordeling kan alleen getoetst worden door deze tegen een norm aan te houden. Deze norm is bijvoorbeeld het COSO raamwerk. In de V.S. wordt dit afgedwongen door de wet. In deze gevallen wordt het interne beheersraamwerk van de ondernemingen dus gebruikt en vervolgens getoetst door de externe accountant”.
De accountants noemen grotendeels dezelfde redenen en voordelen van interne
beheersraamwerken voor ondernemingen als de wetenschappelijke literatuur beschrijft. Accountant A. en B. noemen echter ook expliciet een aantal voordelen van interne
beheersraamwerken voor externe accountants, die niet direct uit de wetenschappelijke literatuur naar voren zijn gekomen. Opvallend is dat beide accountants tijdens de interviews niets hebben gezegd over het feit dat interne beheersraamwerken bewustzijn kunnen creëren voor het belang van interne beheersing bij werknemers, omdat dit een belangrijk punt is vanuit de
wetenschappelijke literatuur. Een verklaring hiervoor zou kunnen zijn, dat dit punt voornamelijk van belang is voor ondernemingen en in veel mindere mate voor externe accountants in het kader van hun jaarrekeningcontrole. Daarnaast is het creëren van bewustzijn moeilijk te meten en te controleren voor externe accountants. Verder is het opvallend dat beide accountants tijdens het interview niets hebben gezegd over het feit dat een intern beheersraamwerk een onderneming kan helpen om haar externe controlekosten te reduceren. FrieslandCampina heeft namelijk expliciet aangegeven dat ze verwachten dat hun interne beheersraamwerk helpt om de externe
44
dusver heel beperkt onderzoek is gedaan. Er is nog geen onderzoek geweest die de relatie tussen het hebben van een intern beheersraamwerk en de externe controlekosten duidelijk in kaart heeft gebracht.
6.1.3 Definitie van een effectief intern beheersraamwerk
Vanuit de wetenschappelijke literatuur is geen eenduidige definitie gevonden voor een effectief intern beheersraamwerk. Wel is op basis van het literatuuronderzoek en vanuit de doorgenomen interne beheersraamwerken een beschrijving gegeven van hoe een intern beheersraamwerk er in opzet effectief uit kan zien. Uit de interviews met de accountants blijkt dat zij een vergelijkbare beschrijving geven. Accountant A. geeft de volgende beschrijving:
“Een effectief intern beheersraamwerk moet mijns inziens in staat zijn om risico‟s zichtbaar te maken en voor deze risico‟s interne beheersmaatregelen te definiëren, die zo efficiënt mogelijk ingezet worden. Daarnaast dient de kwaliteit of de werking van de geïmplementeerde interne beheersmaatregelen zichtbaar te worden gemaakt door het interne beheersraamwerk”. Accountant B. voegt hier nog aan toe:
“Om effectief te zijn vind ik het voor een intern beheersraamwerk heel belangrijk dat het continu gemonitord wordt om te kijken of het aangepast moet worden, omdat je hiermee waarborgt dat je de juiste risico‟s pakt met het interne beheersraamwerk”.
De beschrijvingen die de externe accountants geven van hoe een intern beheersraamwerk er in opzet effectief uit kan zien, komen grotendeels overeen met de beschrijving die aan de hand van de wetenschappelijke literatuur is gegeven. Het monitoren van interne beheersraamwerken, waar accountant B. een opmerking over maakt, kwam al eerder naar voren in het literatuuronderzoek als beheerscomponent uit de COSO raamwerken (COSO, 1992; COSO 2004).
6.1.4 Bekende interne beheersraamwerken
In de loop der jaren zijn er wereldwijd door verschillende instanties interne beheersraamwerken ontwikkeld. In het literatuuronderzoek zijn drie bekende interne beheersraamwerken (COSO, ABIB en CoBIT) kort uiteengezet. Uit het literatuuronderzoek is onder andere gebleken dat de COSO raamwerken de meest bekende en gebruikte interne beheersraamwerken zijn wereldwijd. De COSO raamwerken zijn in de loop van de tijd zelfs verwerkt tot beleid, wet- en regelgeving in een aantal landen, waaronder Nederland en de V.S. (COSO, 2004). Uit de interviews blijkt dat accountant B. alleen de COSO raamwerken kent en zelfs nog nooit van ABIB gehoord heeft. Accountant A. antwoordde op de vraag welke bekende interne beheersraamwerken hij kent als volgt:
“Ik ken COSO en een ander Canadees raamwerk waarvan ik de naam kwijt ben. Ik heb wel eens van andere interne beheersraamwerken gehoord, maar heb die nog nooit toegepast zien worden”. Opvallend is het feit dat zowel accountant A. als accountant B. ABIB niet noemen, terwijl dit een Nederlands intern beheersraamwerk is dat is uitgegeven door het NIVRA. Een verklaring
hiervoor zou kunnen zijn, is dat beide accountants voornamelijk grote beursgenoteerde
ondernemingen in hun portefeuille hebben die voornamelijk werken met internationaal erkende interne beheersraamwerken, zoals de COSO raamwerken. Beide accountants geven dan ook aan dat de door hun gecontroleerde ondernemingen vrijwel allemaal COSO of een op COSO
45
gebaseerd intern beheersraamwerk hebben. Daarnaast noemen beide accountants CoBIT niet specifiek.
Beide accountants hebben niet echt een verklaring voor de populariteit van COSO bij veel ondernemingen. Accountant B. geeft bijvoorbeeld aan dat de beheerscomponenten uit de COSO raamwerken in theorie al bestonden en ook al werden toegepast door externe accountants. Volgens accountant B. heeft COSO deze beheerscomponenten wel mooi vastgelegd in een raamwerk en kan COSO worden gezien als een best practice. Accountant A. zegt over de raamwerken van COSO:
“Ik vind COSO niet bijzonder revolutionair. COSO is vrij logisch en heeft een heldere grafische voorstelling in de vorm van een kubus. Als je al met interne beheersing werkt, zijn de gedachten en concepten achter het COSO raamwerk goed te begrijpen. COSO is makkelijk toe te passen en redelijk goed te begrijpen voor ondernemingen, mede omdat het COSO raamwerk goed
beschreven is”.
Een echte heldere verklaring voor de populariteit van de COSO raamwerken ontbreekt ook vanuit de wetenschappelijke literatuur. Het noemen van de COSO raamwerken door bijvoorbeeld de Nederlandse Corporate Governance Code en de SOx wet in de V.S. draagt natuurlijk bij aan de populariteit van COSO. Accountant A. denkt ook dat dit een belangrijke reden is voor de populariteit van COSO. Daarnaast merkt accountant A. nog op dat de brede definitie van interne beheersing uit de COSO raamwerken bijdraagt aan haar populariteit, omdat de meeste
ondernemingen wel iets kunnen met de COSO raamwerken. Tevens denkt accountant A. dat sommige ondernemingen de neiging hebben om elkaar na te doen, om maar niet af te wijken van de rest en hier achteraf vragen over te krijgen.
Uit de interviews blijkt verder dat de accountants de beheerscomponenten uit de COSO raamwerken stuk voor stuk bekijken tijdens de jaarrekeningcontrole. De belangrijkste beheerscomponenten uit de COSO raamwerken zijn beheersomgeving, risicobeoordeling, beheersmaatregelen, informatie en communicatie en monitoren (COSO, 1992). Deze beheerscomponenten zijn in de controleaanpak van de geïnterviewde externe accountants verwerkt en zijn de pilaren waarop de externe accountant bouwt tijdens de jaarrekeningcontrole. Accountant A. zegt hierover:
“Tijdens de jaarrekeningcontrole worden de COSO raamwerken niet zozeer ter hand gepakt door ons, maar de concepten van COSO vormen wel de rode draad waarin we de interne beheersing van een onderneming bekijken”.
Beide accountants geven aan dat de raamwerken van COSO degelijk en uitgebreid zijn en dat veel deskundigen zich hebben gebogen over de interne beheersraamwerken van COSO. Uit de interviews blijkt dan ook dat externe accountants de beheerscomponenten uit de COSO
raamwerken meenemen tijdens hun jaarrekeningcontrole. Tijdens de beoordeling van de interne beheersing, onderdeel van de jaarrekeningcontrole, stellen de externe accountants min of meer vast of alle beheerscomponenten uit de COSO raamwerken juist en duidelijk zijn opgenomen door de onderneming. Dit is in overeenstemming met hoofdstuk 2, waarin COSO (1992; 2004) stelt dat alle beheerscomponenten nodig zijn om een intern beheersraamwerk effectief te laten zijn.