Interne beheersing in het jaarverslag: De verschillen tussen de code Tabaksblat en de Sarbanes-Oxley Act

De verschillen tussen de code

Tabaksblat en de Sarbanes-Oxley Act

Masterscriptie Accountancy Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde Afstudeerrichting Accountancy

Auteur: B. Dijkstra

Studentnummer: 1455257

Eerste begeleider: Drs. A. Smeenge RA Tweede begeleider: Dr. J.H.M. van Kesteren

Groningen, 4 juni 2008

De auteur is verantwoordelijk voor de inhoud van deze afstudeerscriptie. Het auteursrecht van deze afstudeerscriptie berust bij de auteur.

Voorwoord

Deze scriptie heb ik geschreven in het kader van de afsluiting van de Master Accountancy aan de Rijksuniversiteit Groningen.

De scriptie gaat over interne beheersing in het jaarverslag bij Nederlandse beursgenoteerde ondernemingen. Deze scriptie onderzoekt de verschillen die op dit gebied ontstaan door toepassing van alleen de code Tabaksblat of door toepassing van zowel de code Tabaksblat als de Sarbanes-Oxley Act.

Bij deze wil ik dhr. Smeenge bedanken voor zijn begeleiding bij de totstandkoming van deze scriptie. Verder wil ik hierbij ook dhr. Van Kesteren bedanken voor zijn rol als tweede beoordelaar. Ook wil ik bij deze mijn familie, studiegenoten en vrienden bedanken voor hun steun en adviezen gedurende de hele studie en gedurende het schrijven van deze scriptie.

Samenvatting

De centrale vraag uit deze scriptie is de volgende:

“In hoeverre publiceren Nederlandse beursgenoteerde ondernemingen, die alleen aan de code Tabaksblat moeten voldoen, voldoende zinvolle informatie over interne beheersing in het jaarverslag ten opzichte van Nederlandse beursgenoteerde ondernemingen die zowel aan de code Tabaksblat als aan de Sarbanes-Oxley Act moeten voldoen?”

De belangrijkste reden om hier onderzoek naar te doen is omdat de code Tabaksblat (Nederlandse corporate governance code) en de Sarbanes-Oxley Act (Amerikaanse corporate governance code) een verschillende wettelijke basis hebben. De Sarbanes-Oxley Act is een Amerikaanse wet, en de bepalingen uit deze wet dienen door de ondernemingen op de Amerikaanse beurzen nageleefd te worden. Indien deze bepalingen niet nageleefd worden is het mogelijk om straffen op te leggen. De code Tabaksblat is in de Nederlandse wet aangewezen als de Nederlandse corporate governance code. Echter deze code hanteert het ‘pas toe of leg uit’ principe. Een onderneming die aan deze code moet voldoen kan een bepaling dus niet naleven indien zij uitlegt waarom ze dit niet doet. Bovendien zijn er geen straffen voor ondernemingen die niet aan de code Tabaksblat voldoen. Bovenstaande zou tot gevolg kunnen hebben dat stakeholders van ondernemingen die alleen aan de code Tabaksblat voldoen minder geïnformeerd worden over interne beheersing dan stakeholders van ondernemingen die zowel aan de code Tabaksblat als aan de Sarbanes-Oxley Act voldoen.

De basis van dit onderzoek bestaat uit de volgende theoretische concepten: de Informatietheorie, de Agency Theory, transparantie van informatie, corporate governance in Nederland en in de Verenigde Staten, en COSO Enterprise Risk Management. Het daadwerkelijk onderzoek richt zich op vier belangrijke aspecten. Te weten: het in-control statement, het COSO framework, een lijst met geïdentificeerde risico’s, en de invulling van het COSO framework.

De uiteindelijke conclusie van dit onderzoek is dat de ondernemingen die alleen aan de code Tabaksblat moeten voldoen in een behoorlijke mate voldoen aan het criterium van het publiceren van voldoende zinvolle informatie over interne beheersing in het jaarverslag t.o.v. de groep ondernemingen die behalve aan de code Tabaksblat ook aan de Sarbanes-Oxley Act voldoen. Alleen op de gebieden van het gebruik en de invulling van het COSO framework wordt niet aan de norm voldaan. Op deze gebieden zorgt SOX voor een meerwaarde t.o.v. de code Tabaksblat.

Inhoudsopgave

Blz. Voorwoord 1 Samenvatting 2 1. Inleiding 4 • 1.1 Introductie 4 • 1.2 Aanleiding 4 • 1.3 Probleemstelling 5 • 1.4 Relevantie 6 • 1.5 Eerdere onderzoeken 7 2. Literatuuroverzicht 8 • 2.1 Introductie 8 • 2.2 De Informatietheorie 8

• 2.3 The Agency Theory 8

• 2.4 Transparantie van informatie 9

• 2.5 Corporate Governance in Nederland 10

• 2.6 Corporate Governance in de Verenigde Staten 13 • 2.7 Verschillen tussen de Sarbanes-Oxley Act en de code Tabaksblat 16

• 2.8 COSO Enterprise Risk Management 17

• 2.9 Conclusie literatuuroverzicht 21 3. Onderzoeksopzet 22 • 3.1 Introductie 22 • 3.2 Hypotheses 22 • 3.3 Onderzoeksmethoden 24 4. Analyse 27 • 4.1 Introductie 27

• 4.2 Onderzoeksresultaten en analyse resultaten 27

5. Conclusie 32

• 5.1 Introductie 32

• 5.2 Conclusie 32

• 5.3 Beperkingen onderzoek 35

• 5.4 Aanbevelingen verder onderzoek 36

Literatuurlijst 37

Bijlagen 39

• Bijlage 1: Resultaten onderzoek 39

1. Inleiding

1.1 Introductie

In dit hoofdstuk worden de aanleiding, de probleemstelling, en de relevantie van het onderzoek beschreven. De probleemstelling wordt uitgesplitst in vier elementen. Namelijk: de onderzoeksdoelstelling, de centrale vraag, de deelvragen, en de randvoorwaarden. Verder zal er in dit hoofdstuk aandacht worden besteed aan eerdere onderzoeken die betrekking hebben op dit onderwerp.

1.2 Aanleiding

Binnen de Accountancy is corporate governance een belangrijk thema. Corporate governance is, na verschillende schandalen (Enron, Worldcom, Parmalat, en Ahold) rondom de afgelopen eeuwwisseling, tegenwoordig ook nog eens erg actueel. Om aan deze schandalen een einde te maken hebben veel landen besloten om een zogenaamde corporate governance code in te voeren. De twee landen waarop dit onderzoek zich toespitst hebben beide ook een dergelijke code. In Nederland is dit de code Tabaksblat. Deze code biedt best-practice bepalingen die tot doel hebben om de Nederlandse corporate governance op orde te brengen. In de Verenigde Staten is de corporate governance code geïntroduceerd in de vorm van een wet. Namelijk de Sarbanes-Oxley Act (SOX). Het belangrijkste verschil tussen de twee betreft de grondslag. Waarbij SOX een wet is, is de code Tabaksblat slechts een code die in de wet aangewezen is als ‘Nederlandse gedragscode’. Het niet naleven van bepalingen door het bestuur van de onderneming betekent onder SOX behoorlijke straffen. Code Tabaksblat kent deze straffen niet. Bovendien geldt hier voor de bepalingen het ‘pas toe of leg uit’ principe. Ondernemingen kunnen hierdoor een bepaling niet naleven indien ze vermelden waarom ze dit niet doen. Op het gebied van de interne beheersing zouden de verschillen tussen SOX en code Tabaksblat kunnen zorgen voor verschillen in de rapportering naar beleggers toe. Onder het kopje probleemstelling zal hier nader op ingegaan worden. De reden dat ik voor interne beheersing heb gekozen is omdat dit volgens het COSO rapport (COSO, 2004) een grote invloed heeft op de mate waarin ondernemingen erin slagen om hun doelstellingen te bereiken. In het literatuuroverzicht zal COSO verder behandeld worden.

1.3 Probleemstelling

Zoals hieronder weergegeven is wordt de probleemstelling uitgesplitst in vier elementen. Deze vier elementen zal ik hier nader toelichten.

Onderzoeksdoelstelling

De doelstelling van deze scriptie is om te onderzoeken in hoeverre de onderzochte ondernemingen voldoende zinvolle informatie voor stakeholders in het jaarverslag publiceren over de interne beheersing bij deze onderzochte ondernemingen.

Bij dit onderzoek wordt de norm van voldoende zinvolle informatie gesteld op de groep ondernemingen die zowel aan SOX als aan de code Tabaksblat moeten voldoen. Deze groep wordt de normgroep. De groep van ondernemingen die alleen aan de code Tabaksblat moet voldoen zal getoetst worden aan deze normgroep. De manier van toetsing zal in de onderzoeksopzet worden besproken. Stakeholders zijn de rechtspersonen die belang hebben bij de interne beheersing van een betreffende onderneming. Beleggers en vreemd vermogenverschaffers zijn belangrijke groepen van stakeholders. In het kader van dit onderzoek gaat het alleen om informatie die via het jaarverslag naar de stakeholders toe gecommuniceerd wordt. De keuze hiervoor is te verklaren uit het betrouwbaarheidsaspect. Immers informatie uit het jaarverslag heeft een hogere waarde van betrouwbaarheid dan bijvoorbeeld informatie uit kranten over de onderneming. Dit heeft onder andere te maken met het feit dat de informatie uit het jaarverslag rechtstreeks vanuit de onderneming afkomstig is, en met de accountantscontrole die is toegepast op bepaalde informatie uit het jaarverslag.

Centrale vraag

Vanuit de doelstelling van het onderzoek is de centrale vraag voor dit onderzoek te stellen. De centrale vraag voor dit onderzoek is:

“In hoeverre publiceren Nederlandse beursgenoteerde ondernemingen, die alleen aan de code Tabaksblat moeten voldoen, voldoende zinvolle informatie over interne beheersing in het jaarverslag ten opzichte van Nederlandse beursgenoteerde ondernemingen die zowel aan de code Tabaksblat als aan de Sarbanes-Oxley Act moeten voldoen?”

In de onderzoeksopzet zullen de verschillende aspecten die in de jaarverslagen onderzocht zullen worden aan de orde komen. Deze aspecten behoren tot zinvolle informatie voor de stakeholders van de ondernemingen. Dit wil echter niet zeggen dat de aspecten die ik niet in dit onderzoek betrek, geen zinvolle informatie voor stakeholders zou kunnen bevatten. De lijst met aspecten, zoals die in dit onderzoek gebruikt zal worden, is dus niet per definitie uitputtend.

Deelvragen

De onderstaande deelvragen zullen samen de centrale vraag beantwoorden.

1. Welke theorieën vormen de basis van de huidige informatievoorziening naar stakeholders toe, en wat houden deze theorieën in?

2. Wat houden de code Tabaksblat en de Sarbanes-Oxley Act in, en wat zijn de verschillen tussen deze twee?

3. Wat is de rol van COSO binnen de interne beheersing?

4. In hoeverre zijn er verschillen in de rapportering over interne beheersing in het jaarverslag tussen ondernemingen die alleen aan de code Tabaksblat voldoen, en de ondernemingen die zowel aan de code Tabaksblat als aan de Sarbanes-Oxley Act voldoen?

Randvoorwaarden

Aan de uitvoering van dit onderzoek liggen verschillende randvoorwaarden ten grondslag. Deze randvoorwaarden worden hieronder puntsgewijs beschreven.

• Tijdsduur: Het onderzoek vindt gedurende het tweede semester van het collegejaar 2007-2008 plaats. Het beschikbare aantal punten is twintig ec. Hiermee komt de beschikbare tijd op 20 ec*28 uren=560 uren.

• Eisen onderzoek: Het uiteindelijke onderzoek dient te voldoen aan de eisen voor de afstudeeropdracht van Accountancy.

1.4 Relevantie

Stakeholders van beursgenoteerde ondernemingen zijn er in verschillende categorieën. De meest voor de hand liggende categorie zijn de aandeelhouders. Zij hebben een direct belang bij de prestaties van een vennootschap. Een andere groep stakeholders zijn de vreemd vermogenverschaffers. Hierbij zal het vaak gaan om banken. Het rentepercentage hangt in veel gevallen af van verschillende ratio’s en de kredietwaardigheid van de onderneming. Andere groepen stakeholders zijn bijvoorbeeld crediteuren of maatschappelijke instellingen, en de politiek. Voor deze groep van stakeholders, met name de aandeelhouders, is het zeer van belang om te weten hoe een organisatie omgaat met de interne beheersing. Het jaarverslag wordt door ondernemingen gebruikt om hier meer informatie over te geven. Het is voor deze groep stakeholders dan ook van belang dat de informatie over interne beheersing, die de onderneming in het jaarverslag publiceert, zo betrouwbaar en volledig mogelijk is. Immers deze informatie kan hun beslissingen ten aanzien van het kopen van aandelen of het verstrekken van krediet behoorlijk beïnvloeden. Een bank verstrekt namelijk niet graag krediet aan een organisatie die zijn interne beheersing niet op orde heeft. De relevantie van dit onderzoek ligt in het feit dat het onderzoekt in hoeverre de code Tabaksblat ervoor zorgt dat stakeholders voldoende

zinvolle informatie ontvangen. De norm waaraan dit getoetst zal worden, zijn de ondernemingen uit het onderzoek die zowel aan code Tabaksblat als aan SOX moeten voldoen.

1.5 Eerdere onderzoeken

Het gebied Internal Control is een zeer veelbesproken gebied in de wetenschappelijke literatuur rondom corporate governance. Hieronder zal ik twee scripties uitlichten die raakvlakken hebben met mijn scriptie.

De heer Boeve heeft in zijn scriptie “Het in control statement volgens best practice bepaling II.1.4. van de code Tabaksblat” (2006) onderzocht hoe de naleving van bepaling II.1.4. van code Tabaksblat verbeterd kan worden. Voor deze scriptie heeft hij zowel de in-control statements zoals die onder Tabaksblat gebruikt worden, als de in control statements zoals die onder SOX gebruikt worden onderzocht. Doel van dit onderzoek is om te komen tot aanbevelingen waarmee het inzicht dat de gebruiker van het jaarverslag heeft in de interne beheersing van ondernemingen wordt vergroot.

In de scriptie “Interne beheersing in het jaarverslag - Nederland, Duitsland en Groot-Brittannië onder de loep” (Reinsma, 2007) wordt via ja/nee stellingen onderzocht in hoeverre bedrijven in de drie genoemde landen voldoen aan de informatievoorziening rondom interne beheersing. De conclusie van dit onderzoek is dat Nederlandse bedrijven over het algemeen het beste scoren op de gekozen stellingen. Echter overall is de score op de stellingen in de drie onderzochte landen redelijk laag. Opmerkelijk is dat de schrijver geen verschil constateert in de informatievoorziening tussen bedrijven die wel aan de Amerikaanse beurs genoteerd zijn, en bedrijven die niet aan de Amerikaanse beurs genoteerd zijn. Dit verschil wordt door de schrijver verklaard door aan te geven dat de Amerikaanse beursregels in het onderzochte jaar nog niet van toepassing waren op deze zogenaamde “Foreign Registrants”.

2. Literatuuroverzicht

2.1 Introductie

In het literatuuroverzicht zullen ten eerste de Informatietheorie en de Agency Theory behandeld worden. Deze twee theorieën geven aan wat het nut is van betrouwbare informatie, en hoe er te komen is tot betrouwbare informatie. Vervolgens zal transparantie van informatie aan de orde gesteld worden. Hierna zullen de code Tabaksblat en de Sarbanes-Oxley Act aan bod komen. Verder zal hier ook ingegaan worden op de verschillen tussen deze twee. Uit de bespreking van de code Tabaksblat en SOX zal duidelijk worden wat er theoretisch gezien verwacht mag worden over de rapportering van de interne beheersing in jaarverslagen. Het onderdeel dat de verschillen tussen de twee beschrijft, gaat in op de verschillen die versus de theorie verwacht mogen worden in de jaarverslagen. Tot slot zullen de COSO rapporten behandeld worden. Deze rapporten werken een integraal risicobeheersingssysteem uit dat door ondernemingen gebruikt zou kunnen worden.

2.2 De Informatietheorie

De informatietheorie (Majoor et al, 2007) beschrijft de rol van de accountant in het kader van de informatievoorziening. Indien een persoon informatie ontvangt over bijvoorbeeld de interne beheersing van een onderneming, dan kleeft hier altijd het risico aan dat de informatie onjuist is. Om dit risico te reduceren resten deze persoon drie manieren: de informatie zelf controleren, het eisen van een schadevergoeding indien de informatie na afloop onjuist blijkt te zijn, of eisen dat een onafhankelijke deskundige de informatie controleert.

Verschillende oorzaken, zoals de afstand van de gebruiker tot het te beoordelen object, het bestaan van tegengestelde belangen, de toenemende omvang van de te verwerken gegevens, en de complexiteit van transacties, leiden ertoe dat het laten controleren van de informatie door een onafhankelijke deskundige de beste oplossing is. Deze onafhankelijke deskundige is de accountant. Hierbij wordt de gecontroleerde informatie, die naar het maatschappelijk verkeer wordt gecommuniceerd, gezien als een ‘public good’.

2.3 The Agency Theory

De Agency Theory (Jensen & Meckling, 1976) beschrijft de relatie tussen eigenaar en manager van een onderneming. De manager wordt in deze theorie de ‘agent’ genoemd. De eigenaar van de onderneming is de ‘principaal’. De agent en de principaal sluiten met elkaar een contract waarin de agent verplicht wordt om bepaalde diensten voor de principaal te verrichten. Deze bepaalde diensten zullen in veel gevallen inhouden dat de bedrijfsvoering van de onderneming door de agent wordt gevoerd. Bij beursgenoteerde ondernemingen zijn alle aandeelhouders samen de principaal. De raad

van bestuur van de onderneming is de agent. De agent kan andere belangen hebben dan de principaal. Hierbij moet bijvoorbeeld gedacht worden aan de manager die zijn bonus probeert te maximaliseren, terwijl de aandeelhouder streeft naar zo maximaal mogelijke winsten en dividenden. De kosten die de principaal heeft aan de agent worden de ‘agency costs’ genoemd. Deze kosten bestaan uit de controlekosten (bv. kosten voor een accountant), de beloning voor de agent, en overige verliezen. Deze overige verliezen ontstaan doordat de agent niet volledig handelt in het belang van de principaal. Bepaalde beloningstechnieken proberen de agent en de principaal in deze op één lijn te brengen. Het is voor het onderzoek dat in deze scriptie besproken wordt niet relevant om verder in te gaan op deze beloningstechnieken.

Deze theorie is echter op een andere manier een belangrijke basis voor deze scriptie. Immers de principalen hebben informatie nodig om te beoordelen in hoeverre de agent in het belang van de aandeelhouders handelt. Het jaarverslag is een zeer belangrijke en vooral betrouwbare manier van verslaggeving. Immers deze informatie is direct afkomstig van het management, en daarbij komt dat de financiële cijfers en bepaalde andere informatie gecontroleerd zijn door een accountant (monitor). De accountant voegt, na een controleopdracht, een redelijke mate van zekerheid toe over de door hem gecontroleerde gegevens. Dit geldt vanzelfsprekend alleen indien er een goedkeurende accountantsverklaring is verstrekt.

2.4 Transparantie van informatie

Er zijn talloze onderzoeken gedaan naar de transparantie van informatie. Hierbij kwamen verschillende voor- en nadelen aan het licht. Zo zorgt meer transparantie voor een toename van het vertrouwen op de aandelenmarkt. Nadeel is echter dat concurrenten ook wijzer kunnen worden door de openheid van een onderneming. Hier zal ik verder niet ingaan op de algemene onderzoeken. Hieronder staat een onderzoek beschreven waarin specifiek ingegaan wordt op transparantie onder corporate governance. De belangrijkste conclusies uit dit onderzoek zal ik hieronder beschrijven.

Nadat de Sarbanes-Oxley Act is ingevoerd is de transparantie van de ondernemingen die aan SOX moeten voldoen duidelijk verhoogd (Hermalin & Weisbach, 2007). In dit onderzoek komt naar voren dat bestuurders een zo positief mogelijk beeld naar de buitenwereld proberen te schetsen van de onderneming. Dit beeld kunnen ze beïnvloeden door het geven van informatie. Indien wetten of andere regelgeving geen strenge eisen stelt aan de transparantie kunnen bestuurders gemakkelijk bepaalde (negatieve) gegevens achterhouden. SOX stelt echter wel strenge eisen aan de transparantie van informatie. Dit heeft tot gevolg dat bestuurders zich meer en beter zullen inzetten om te voorkomen dat ze gedwongen worden om negatieve informatie te onthullen. Bij bovenstaande redenering gaat het steeds om betrouwbare informatie, anders zouden bestuurders onjuiste informatie kunnen onthullen. Informatie kan onder andere betrouwbaarder worden door het oordeel van een accountant. Niettemin

blijft er een kans dat een bestuurder de informatie manipuleert. Eindconclusie van dit onderzoek is dat er een optimaal niveau van transparantie bestaat. Op dit optimale niveau zijn de winst voor aandeelhouders en de kosten van de bestuurders in evenwicht. Bij deze conclusie is geen rekening gehouden met informatie waar concurrenten hun voordeel mee kunnen doen.

2.5 Corporate Governance in Nederland

De code Tabaksblat

In 2003 presenteerde de Commissie Corporate Governance (commissie Tabaksblat) de Nederlandse variant van de Corporate Governance Code. Deze Nederlandse code (code Tabaksblat) is genoemd naar de voorzitter van de commissie; Morris Tabaksblat. Het doel van de code is om bij beursgenoteerde ondernemingen de transparantie van de jaarrekening te verbeteren, meer zeggenschap aan de aandeelhouders te bieden en een betere verantwoording van de raad van commissarissen. De code biedt best-practice bepalingen op vijf verschillende gebieden.

Deze vijf gebieden zijn:

• Naleving en handhaving van de code • Het bestuur

• De raad van commissarissen

• De algemene vergadering van aandeelhouders

• De audit van de financiële verslaggeving en de positie van de interne audit functie en van de externe accountant

De principes en bepalingen uit de code werken volgens het “pas toe of leg uit” principe. Dit betekent dat er van de Nederlandse beursgenoteerde ondernemingen verwacht wordt dat ze de best-practice bepalingen uit de code toepassen, tenzij ze uitleggen waarom de betreffende bepaling niet is nageleefd. Vanaf 1 januari 2004 is de code Tabaksblat van kracht geworden voor alle Nederlandse beursgenoteerde vennootschappen. De code heeft op 1 oktober 2004 een wettelijke verankering gekregen in het Burgerlijk Wetboek 2; artikel 391 lid 4. De tekst van dit artikel is: “Bij algemene maatregel van bestuur kunnen nadere voorschriften worden gesteld omtrent de inhoud van het jaarverslag. Deze voorschriften kunnen in het bijzonder betrekking hebben op naleving van een in de algemene maatregel van bestuur aan te wijzen gedragscode”. Op 30 december 2004 is de code Tabaksblat aangewezen in het Staatsblad als zijnde de genoemde code in bovenstaand artikel (Staatsblad, 2004).

Op het gebied van interne beheersing en risicobeheersingssystemen zijn in de code Tabaksblat verschillende bepalingen opgenomen. De bepalingen die voor dit onderzoek van belang zijn zal ik hieronder citeren.

“II.1.2 Het bestuur legt ter goedkeuring voor aan de raad van commissarissen: a) de operationele en financiële doelstellingen van de vennootschap;

b) de strategie die moet leiden tot het realiseren van de doelstellingen;

c) de randvoorwaarden die bij de strategie worden gehanteerd, bijvoorbeeld ten aanzien van de financiële ratio’s.

De hoofdzaken hiervan worden vermeld in het jaarverslag.”

“II.1.3 In de vennootschap is een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig. Als instrumenten van het interne risicobeheersings- en

controlesysteem hanteert de vennootschap in ieder geval:

a) risicoanalyses van de operationele en financiële doelstellingen van de vennootschap;

b) een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst;

c) handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures;

d) een systeem van monitoring en rapportering.”

“II.1.4 In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken.”

“II.1.5 Het bestuur rapporteert in het jaarverslag over de gevoeligheid van de resultaten van de vennootschap ten aanzien van externe omstandigheden en variabelen.”

Verder is er ook een klokkenluiderregeling in de code opgenomen.

In de toelichting op bepaling II.1.4. wordt gezegd dat het voor de hand ligt dat het bestuur aangeeft welk raamwerk gebruikt wordt voor de evaluatie van het interne risicobeheersings- en

controlesysteem. Hierbij moet, volgens de code, bijvoorbeeld gedacht worden aan het COSO Enterprise Risk Management framework.

Commissie Frijns

Elk jaar evalueert de Monitoring Commissie Corporate Governance (Commissie Frijns) de naleving van de code Tabaksblat. Uit het rapport van 19 december 2007 blijkt dat over het jaar 2006 gemiddeld 95% van de bepalingen uit de code Tabaksblat zijn nageleefd (2005: 96%). De toepassing van de best-practice bepalingen lag over 2006 op 90% (2005: 92%). Deze cijfers betekenen dat drie jaar na de invoering van de code nog steeds niet alle bepalingen door alle bedrijven worden nageleefd. De commissie Frijns streeft naar een naleving van 100% van de code Tabaksblat.

Op het gebied van de interne risicobeheersing constateert de commissie Frijns (2007) weliswaar dat de rapportering over dit onderwerp in 2006 licht is verbeterd ten opzichte van 2005. Echter de commissie schetst nog wel enkele aanbevelingen om te komen tot een betere verslaggeving over risicobeheersing.

Deze aanbevelingen zijn het rapporteren in het jaarverslag over:

• “de voornaamste risico’s gerelateerd aan de strategische doelstellingen van de onderneming, alsmede de houding ten opzichte van deze risico’s (‘risk appetite’)”

• “een beschrijving van de voornaamste strategische, operationele, financiële, wet- en

regelgeving en financiële verslaggevingrisico’s van de onderneming, waarbij in ieder geval de kwalitatieve impact van deze risico’s wordt beschreven”

• “een gevoeligheidsanalyse van de geïdentificeerde risico’s, indien deze analyse redelijkerwijs verwacht mag worden gelet op de “best practices” in de desbetreffende sector”

• “de risico’s die door het interne risicobeheersing- en controlesysteem worden beheerst en zonodig het referentiemodel dat is gebruikt om het systeem te ontwerpen”

• “de organisatie van het interne risicobeheersing- en controlesysteem en de inbedding daarvan in de organisatie”

• “de resultaten van een periodiek te verrichten evaluatie van het interne risicobeheersing- en controlesysteem en, voor zover van toepassing, de naar aanleiding daarvan getroffen

verbetermaatregelen”

Bovenstaande aanbevelingen tonen aan dat de naleving van de code Tabaksblat op het gebied van interne risicobeheersing nog niet op het streefniveau van 100% zit.

2.6 Corporate Governance in de Verenigde Staten

De Sarbanes-Oxley Act

De Sarbanes-Oxley Act (SOX) is een Amerikaanse wet die tot doel heeft het vertrouwen van de Amerikaanse belegger in de financiële verslaggeving weer te herstellen (SOX, 2002). Na verschillende boekhoudschandalen in het begin van deze eeuw (Enron, Worldcom, Ahold, Arthur Andersen) had het vertrouwen van de belegger in de betrouwbaarheid van de financiële rapportering een flinke deuk opgelopen. De senator Sarbanes en volksvertegenwoordiger Oxley kwamen met een ontwerp voor de wet zoals die er nu ligt. Nadat dit ontwerp door het Huis van Afgevaardigden en de Senaat was goedgekeurd heeft president Bush de wet ondertekend. Vanaf 30 juli 2002 is deze wet van kracht voor alle Amerikaanse beursgenoteerde vennootschappen. Vanaf 15 juli 2006 is deze wet ook van kracht voor de zogenaamde ‘foreign registrants’ aan de Amerikaanse beurzen. Deze foreign registrants zijn buitenlandse bedrijven die ook een beursnotering hebben aan de Amerikaanse beurs. De reden dat SOX ook van kracht is voor deze foreign registrants is het Amerikaanse overheidsstreven om eensluidende eisen te stellen aan alle ondernemingen die genoteerd zijn aan de Amerikaanse beurzen. Zodoende krijgen alle beleggers een bepaalde vorm van bescherming (Emanuels et al, 2004). Nederlandse voorbeelden van deze foreign registrants zijn onder andere ABN-AMRO, Aegon en KPN.

SOX bestaat uit de volgende elf secties:

1. Public Company Accounting Oversight Board 2. Auditor Independence

3. Corporate Responsibility 4. Enhanced Financial Disclosures 5. Analyst Conflicts Of Interest

6. Commission Resources And Authority 7. Studies And Reports

8. Corporate And Criminal Fraud Accountability 9. White-Collar Crime Penalty Enhancements 10. Corporate Tax Returns

11. Corporate Fraud And Accountability

Aangezien SOX een wet betreft zijn ondernemingen verplicht om deze bepalingen na te leven. Indien dit niet gebeurt, dan zijn in de wet de bijbehorende straffen opgenomen. Het kan dan gaan om geldstraffen maar ook om gevangenisstraffen.

Voor het onderwerp van dit onderzoek is vooral de vierde sectie van SOX van belang. In deze sectie wordt namelijk ingegaan op interne beheersing.

Met name sectie 404 (Management Assessment Of Internal Control) geeft een belangrijke bepaling voor de betreffende ondernemingen. Deze bepaling vereist dat het jaarverslag een internal control rapport bevat dat:

“(1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and

(2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.”

Indien een onderneming aan deze bepaling voldoet dan heeft het management verklaard dat de onderneming beschikt over een adequate opzet en werking van de interne beheersingsstructuur en adequate procedures voor het rapporteren van financiële informatie. Verder bevat het jaarverslag dan een beoordeling over de effectiviteit van de interne beheersingsstructuur en de procedures voor financiële rapportering op het eind van het meest recente verslagjaar. Verwacht wordt van het management dat de effectiviteit van de opzet en werking van het risicobeheersingssysteem gedurende het hele jaar getoetst wordt. Dit gebeurt d.m.v. deze beoordeling in de processen van de onderneming te integreren. Dit biedt de meeste kans dat zwakheden in het systeem zo snel mogelijk worden ontdekt, en dat er maatregelen genomen kunnen worden. Een externe accountant dient te controleren of het management van de onderneming inderdaad aan bepaling 404 van SOX heeft voldaan. De nakoming van deze bepaling blijkt in de praktijk tot zeer hoge kosten te leiden (Emanuels, 2005). De totale kosten voor nakoming van deze bepaling, dus zowel accountantskosten als interne kosten van alle beursgenoteerde ondernemingen in de VS, worden naar aanleiding van een enquête van de universiteit van Illinois geschat op 10 miljard dollar (Solomon & Peecher, 2004).

Ook sectie 302 (Corporate Responsibility For Financial Reports) is op het gebied van interne beheersing essentieel. Dit artikel gaat over de verplichting die het management van een onderneming heeft om de interne beheersing rondom de rapportering van financiële overzichten regelmatig te evalueren. Bovendien dient het management eventuele gebreken zelf te melden aan het maatschappelijk verkeer en de toezichthouder. Een deel van deze sectie wordt hieronder toegelicht.

“(4) the signing officers

(A) are responsible for establishing and maintaining internal controls;

(B) have designed such internal controls to ensure that material information relating to the issuer and its consolidated subsidiaries is made known to such officers by others within those entities, particularly during the period in which the periodic reports are being prepared; (C) have evaluated the effectiveness of the issuer’s internal controls as of a date within 90 days prior to the report; and

(D) have presented in the report their conclusions about the effectiveness of their internal controls based on their evaluation as of that date;”

Zoals in onderdeel “D” van bovenstaand citaat te zien is, is het management verplicht om haar conclusies over de evaluatie van de effectiviteit van de interne beheersingsmaatregelen te presenteren. Dit is een belangrijk resultaat dat in het jaarverslag terug zal komen. Alle bepalingen die in deze sectie worden genoemd hebben alleen betrekking op de interne beheersing over de financiële rapportering. Het gaat in deze sectie dus niet over alle interne beheersingsmaatregelen. Dit onderscheid is zeer van belang voor de interpretatie van de verklaringen die het management in dit kader doet.

Sectie 906 eist van de Chief Executive Officer (CEO) en de Chief Financial Officer (CFO) dat ze bij elk periodiek rapport, dat financiële verantwoording bevat, een verklaring afgeven. In deze verklaring geven de CEO en de CFO aan dat de informatie getrouw is, en dat deze aan wettelijke regels voldoet. Indien deze verklaring wordt afgegeven bevat de informatie dus geen materiële onjuistheden volgens de CEO en CFO. Indien deze verklaring onjuist blijkt te zijn, dan zijn er verschillende straffen mogelijk. Bijvoorbeeld een geldboete van maximaal een miljoen dollar, of een gevangenisstraf van 10 jaar voor degene die zijn handtekening heeft gezet. Indien er bewust een onjuiste verklaring wordt afgegeven is de boete maximaal 5 miljoen dollar, of 20 jaar gevangenisstraf.

Als gevolg van de hoge kosten die SOX met zich meebrengt voor de ondernemingen is de Amerikaanse beurs minder aantrekkelijk geworden voor bedrijven die overwegen de beurs op te gaan. Dit blijkt uit een dalend aantal initial public offerings (IPO’s), en een groeiend aantal bedrijven dat overweegt zich terug te trekken van de Amerikaanse beurs (Van Nieuw Amerongen, 2007). Echter uit ditzelfde artikel komen ook verschillende positieve punten naar voren. Zo zou de beheersomgeving aanzienlijk versterkt zijn, en is er een verbetering waarneembaar in de documentatie van interne beheersingsmaatregelen.

2.7 Verschillen tussen de Sarbanes-Oxley Act en de code Tabaksblat

Er zijn diverse verschillen aan te duiden tussen de Sarbanes-Oxley Act en de code Tabaksblat. Echter het belangrijkste verschil op het punt van de interne beheersing is de focus van de beheersing (control). Het control systeem kent twee belangrijke pijlers (Emanuels et al. 2004). Namelijk: effectiviteit & efficiency en de betrouwbaarheid van informatie. Onder effectiviteit & efficiency gaat het om de strategie, de processen en normhandhaving (compliance). De pijler ‘betrouwbaarheid van informatie’ richt zicht alleen op de aspecten betrouwbaarheid van financiële informatie en betrouwbaarheid van overige informatie. Het belangrijkste verschil tussen code Tabaksblat en SOX is dat de bepalingen uit de code Tabaksblat betrekking hebben op beide pijlers, terwijl de wettelijke bepalingen uit SOX zich vooral richten op de betrouwbaarheid van informatie. Code Tabaksblat legt dus een bredere focus ten opzichte van SOX.

Een ander belangrijk verschil tussen de code Tabaksblat en SOX is te onderscheiden in de basis die aan de code Tabaksblat dan wel SOX ten grondslag ligt. SOX is namelijk een wet en heeft daarom meer rechtskracht dan de code Tabaksblat. Weliswaar wordt de code Tabaksblat in de wet aangewezen als zijnde de Nederlandse gedragscode, het gaat hier echter alleen om een wettelijke verankering. Verder werkt de code Tabaksblat met het ‘pas toe of leg uit’ principe, waardoor ondernemingen een best-practice niet na hoeven te leven indien ze uitleggen waarom ze de bepaling niet naleven.

Historisch gezien maken de Amerikanen gebruik van rules-based standaarden voor financiële rapportering. In Nederland maakt men historisch gezien gebruik van principles-based standaarden voor financiële rapportering (Scott, 2006). Het verschil hiertussen is dat Amerikanen hun standaarden baseren op strakke regels die geen ruimte voor onduidelijkheid laten. Nederlanders maken veelal gebruik van principes. Het belangrijkste is dat de gedachte achter het principe duidelijk naar voren komt in de rapportage. Dit cultuurverschil speelt ook een rol bij het ontwerpen van zowel SOX als de code Tabaksblat. SOX is namelijk gebaseerd op strenge regels, terwijl de code Tabaksblat tracht om via principes de gedachte achter het betreffende principe over te brengen.

De eisen die SOX stelt aan de rapportering over de financiële verslaggeving gaan verder dan de eisen die code Tabaksblat hieraan stelt (Emanuels et al. 2005). Zo dient de accountant onder SOX de verklaring die het management aflegt over de interne beheersing over financiële rapportering te controleren. Onder code Tabaksblat is zo’n dergelijke eis niet opgenomen. De accountant dient zich bovendien onder SOX een zelfstandig oordeel te vormen over de effectiviteit van de interne beheersing over financiële rapportage. Het is dus niet voldoende om alleen de evaluatie van het management over dit onderdeel te beoordelen.

Op het gebied van de vertaling van best-practice bepalingen (code Tabaksblat) dan wel wettelijke bepalingen (SOX) naar de uitwerking in de praktijk valt op dat code Tabaksblat deze uitwerking aan de ondernemingen zelf over laat. Dit in tegenstelling tot SOX die precies uitwerkt hoe een bepaling in de praktijk toegepast dient te worden. Dit komt duidelijk naar voren als er een vergelijk wordt getrokken tussen sectie 302 van SOX en bepaling II.1.4 van code Tabaksblat. SOX geeft een verplicht te volgen stappenplan om te voldoen aan deze bepaling. Code Tabaksblat laat de ondernemingen vrij in de uitwerking van de bepaling naar de praktijk.

Code Tabaksblat is milder in de toepassing van de bewaking betreffende de naleving van de interne beheersing dan SOX (Emanuels, 2005). Zoals al eerder genoemd blijkt dit onder andere uit het feit dat er onder Tabaksblat geen accountantscontrole op dit punt plaats vindt. Verder staan er geen straffen op het niet naleven van de best-practice bepalingen. Dit in grote tegenstelling tot SOX waarbij hoge geldboetes of zelfs gevangenisstraffen van 20 jaar mogelijk zijn voor bestuurders die de bepalingen uit SOX niet naleven. Bovendien is de code Tabaksblat ook milder omdat een onderneming met een gegronde reden kan afzien van naleving van de bepaling. Immers het ‘pas toe of leg uit’ principe is hierop van toepassing.

2.8 COSO Enterprise Risk Management

COSO staat voor Committee of Sponsoring Organizations of the Treadway Commission. Dit comité heeft zowel in 1992 als in 2004 een rapport uitgevaardigd dat organisaties helpt bij het beoordelen en verbeteren van de interne beheersingssystemen. Zowel SOX als de code Tabaksblat geven aan dat het COSO raamwerk voor interne beheersing uit 1992 geschikt is als basis voor het inrichten van een intern beheersingssysteem. Het raamwerk uit 1992 heet Internal Control-Integrated Framework. In 2004 heeft COSO een nieuw raamwerk (Enterprise Risk Management-Integrated Framework) gelanceerd. Dit nieuwe raamwerk moet men volgens de schrijvers echter zien als een toevoeging op het eerdere raamwerk in plaats van als een vervanging van het eerdere raamwerk.

Bij de uitwerking van het onderzoek in de onderzoeksopzet zal ik verschillende aspecten uit het COSO framework gebruiken. In de jaarverslagen zal onderzocht worden in hoeverre ondernemingen over deze aspecten rapporteren. Hieronder zal ik voor het juiste begrip van deze aspecten het COSO Enterprise Risk Management-Integrated Framework uit 2004 bespreken. Het raamwerk uit 1992 zal ik verder niet toelichten, aangezien alle belangrijke aspecten uit dit raamwerk ook terugkomen in het raamwerk uit 2004.

Ondernemingsrisicomanagement is bedoeld om de aandeelhouderswaarde te maximaliseren, en het management van de onderneming in staat te stellen om op een efficiënte wijze om te gaan met

onzekerheid (COSO, 2004). Ondernemingsrisicomanagement bestaat uit zes verschillende onderdelen. Namelijk:

• Afstemmen van risicoacceptatiegraad en strategie.

• Versterken van de beslissingen ten aanzien van de reactie op risico. • Vermindering operationele verrassingen en verliezen.

• Identificeren en beheersen van meervoudige en dwars door de organisatie lopende ondernemingsrisico’s.

• Kansen benutten.

• Verbeteren van de inzet van kapitaal.

COSO definieert ondernemingsrisicomanagement op de volgende manier:

“Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed zouden kunnen hebben op de onderneming te identificeren en om risico’s te managen zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen.”

Deze uitgebreide definitie geeft een duidelijk beeld van ondernemingsrisicomanagement. Doordat de definitie zo breed gekozen is, kan deze definitie op zeer uiteenlopende organisaties en sectoren van toepassing zijn.

Vanuit de missie van de organisatie dient een onderneming verschillende doelen te formuleren die in lijn zijn met de missie. De doelen kunnen op vier verschillende gebieden liggen. Strategische doelen zijn globaal en op de lange termijn gericht. De operationele doelen hebben betrekking op het effectief en efficiënt gebruiken van middelen. De rapportagedoelen waarborgen de betrouwbaarheid van de informatievoorziening. Tot slot zijn er de compliance doelen. Deze zorgen dat de organisatie zich houdt aan de relevante wet- en regelgeving.

Het ondernemingsrisicomanagement systeem bestaat uit acht op elkaar aansluitende componenten. Deze acht componenten vormen samen een geheel. De acht componenten zal ik hier beschrijven. Het is echter niet zo dat deze componenten een chronologisch geheel zijn. Het is namelijk een zich steeds herhalend proces, waarbij alle componenten invloed op elkaar kunnen hebben.

• Interne omgeving: Deze component bevat de toon van de organisatie. In deze component wordt bepaald hoe de organisatie tegen risico aan kijkt.

• Formuleren van doelstellingen: Doelstelling moeten bestaan voordat de organisatie risico’s kan inventariseren. Immers een risico heeft invloed op het behalen van doelstellingen.

• Identificeren van gebeurtenissen: Interne en externe gebeurtenissen die invloed kunnen hebben op de doelstellingen moeten worden geïdentificeerd. Gebeurtenissen met een positieve impact op de doelstellingen worden kansen genoemd. Gebeurtenissen met een negatieve impact op de doelstellingen worden risico’s genoemd.

• Risicobeoordeling: In deze component worden de waarschijnlijkheid en de impact van een risico ingeschat.

• Reactie op risico: Het management kan op vier verschillende manieren reageren op risico. Namelijk: vermijden van risico, risico accepteren, risico delen, of risico verminderen.

• Beheersingsactiviteiten: In deze component vindt het formuleren en implementeren van richtlijnen en procedures plaats die waarborgen dat de reactie op risico effectief verloopt. • Informatie en communicatie: Het effectief communiceren van relevante informatie binnen de

organisatie wordt in dit deel van het systeem beheerst.

• Bewaking: Deze laatste component bewaakt het totale risicomanagementsysteem. Eventueel voert het waar nodig wijzigingen in het systeem door.

In de onderstaande figuur worden de verschillende doelen, componenten, en delen van de organisatie in een kubus weergegeven. Deze kubus brengt duidelijk in beeld dat elke component invloed kan hebben op elke doelstelling en elk deel van de organisatie.

Figuur 1: Het COSO model uit 2004

Indien elke bovenstaande component aanwezig is, en effectief functioneert dan zal het totale risicomanagementsysteem ook effectief functioneren. Er is dan met een redelijke mate van zekerheid

te zeggen dat de onderneming inzicht heeft in mate waarin zij er in slaagt om haar doelen te behalen op de gebieden van strategie, operationeel management, rapportering, en compliance. Dit gegeven biedt voor het onderzoek in deze scriptie een belangrijk uitgangspunt. Immers als een organisatie in het jaarverslag duidelijk weet te rapporteren over deze componenten, en aangeeft dat deze effectief functioneren, dan is dit voor een stakeholder van deze organisatie een belangrijke aanwijzing over de mate waarin deze organisatie in control is.

Kritiek op het COSO raamwerk

Echter er zitten niet alleen maar voordelen aan het COSO raamwerk. In het artikel ‘Nieuw COSO-raamwerk lost problemen voorganger niet op’ (Faber & Visser, 2006) worden vijf knelpunten gesignaleerd die de gebruikers van het raamwerk ervaren.

Het eerste knelpunt is dat COSO geen eenduidig normenkader aangeeft voor de beoordeling van de effectiviteit van het risicomanagementsysteem. Juist nu onder andere SOX de bestuurders van een onderneming vraagt om een uitspraak te doen over de effectiviteit van de interne beheersingssystemen neemt de vraag naar een normenkader toe. De schrijvers wijten het gebrek aan zo’n eenduidig normenkader echter niet zozeer aan COSO, maar meer aan de complexiteit van de interne beheersing.

In de praktijk blijkt dat veel bestuurders denken dat risicomanagementsystemen de ondernemingen beperken in hun aanpassingsmogelijkheden. Ook is het voor de bestuurders vaak niet duidelijk in welke mate bijvoorbeeld COSO waarde aan de organisatie kan toevoegen. Het tweede knelpunt is dat COSO niks gedaan heeft om deze gedachten bij managers weg te nemen. Overigens is het voor de schrijvers van COSO ook vrijwel onmogelijk om aan te geven in hoeverre zij waarde creëren voor organisaties. Dit kan namelijk sterk verschillen per organisatie.

Het derde knelpunt is dat het COSO raamwerk niet een duidelijk concreet stappenplan biedt hoe een organisatie het raamwerk het beste kan implementeren.

Verder blijkt uit de praktijk dat het lastig is voor organisaties om het risicomanagementsysteem actueel te houden. Vooral in tijden met veel veranderingen slagen organisaties hier niet altijd in, met als gevolg dat ze in financiële problemen kunnen raken. COSO erkent dit probleem ook.

Tot slot biedt COSO geen garanties dat de organisatie haar beheersingsdoelstellingen zal realiseren. Zoals al eerder genoemd is een redelijke mate van zekerheid het maximale dat dit raamwerk biedt.

Samenvattend biedt COSO vele voordelen maar zijn er ook enkele punten van kritiek. Op het moment is er verder geen ander risicobeheersingssysteem algemeen bekend, dat dezelfde of zelfs meer

voordelen biedt dan het COSO raamwerk. Niet voor niets zijn er wereldwijd vele organisaties die dit systeem in hun organisatie geïmplementeerd hebben, en bevelen zowel de code Tabaksblat als SOX dit systeem aan. Dit is voldoende reden om in dit onderzoek gebruik te maken van het COSO raamwerk.

2.9 Conclusie literatuuroverzicht

In dit literatuuroverzicht zijn verschillende aspecten van interne beheersing aan de orde gekomen. De Informatietheorie, Agency Theory, en de transparantie van informatie geven de relevantie van betrouwbare informatie aan. Zowel code Tabaksblat als SOX geven regels waaraan de betreffende ondernemingen moeten voldoen op het gebied van interne beheersing. Doordat SOX verschillende manieren kent om ondernemingen en bestuurders die de regels niet naleven te bestraffen, zal de naleving van de regels onder SOX zeer hoog zijn. Oftewel de eisen die SOX stelt aan de publicatie over interne beheersing in het jaarverslag zullen vrijwel altijd nageleefd worden. Bij code Tabaksblat is dit vanwege het ‘pas toe of leg uit’ principe, en vanwege het ontbreken van straffen niet vanzelfsprekend. In de praktijk is het goed mogelijk dat de betreffende ondernemingen niet aan de eisen voldoen. Dit betekent dat deze ondernemingen t.o.v. ondernemingen die aan SOX moeten voldoen minder informatie over interne beheersing geven. Dit kan weer gevolgen hebben voor stakeholders. Vanuit het literatuuroverzicht zijn zowel theoretische overeenkomsten als theoretische verschillen tussen SOX en code Tabaksblat naar voren gekomen. In het vervolg van deze scriptie zal onderzocht worden in hoeverre deze overeenkomsten en verschillen ook in de praktijk daadwerkelijk aan het licht komen, en wat de gevolgen hiervan zijn voor de informatie die stakeholders ontvangen via het jaarverslag van bedrijven die alleen Tabaksblatplichtig zijn.

De overeenkomsten en verschillen die in het onderzoek behandeld worden hebben onder andere betrekking op:

• Aanwezigheid in-control statement • Gebruik van COSO Framework • Invulling risicobeheersingssysteem

• Aanwezigheid van de beschrijving van processen tot risicobeheersing • Aanwezigheid van een lijst met geïdentificeerde risico’s

3. Onderzoeksopzet

3.1 Introductie

In dit onderdeel wordt de opzet van het onderzoek besproken. Aan de orde komen de te gebruiken onderzoeksmethoden en de motivatie voor deze methoden.

Het uiteindelijke doel van het onderzoek is het beantwoorden van de centrale vraag. De centrale vraag is:

“In hoeverre publiceren Nederlandse beursgenoteerde ondernemingen, die alleen aan de code Tabaksblat moeten voldoen, voldoende zinvolle informatie over interne beheersing in het jaarverslag ten opzichte van Nederlandse beursgenoteerde ondernemingen die zowel aan de code Tabaksblat als aan de Sarbanes-Oxley Act moeten voldoen?”

Om de centrale vraag te kunnen beantwoorden dienen eerst verschillende hypotheses onderzocht te worden. Deze hypotheses worden hieronder besproken, en de methodes van onderzoek worden toegelicht.

3.2 Hypotheses

Vanuit het literatuuroverzicht zijn er verschillende punten naar voren gekomen die belangrijk zijn in dit onderzoek. Deze punten zullen hieronder besproken worden, en als hypothese geformuleerd worden. De beantwoording van de hypotheses zal plaatsvinden aan de hand van de jaarverslagen van de ondernemingen. Tot de jaarverslagen kunnen ook de zogenaamde 20-F forms behoren. Dit zijn documenten die onder andere gaan over de interne beheersing van een onderneming. Een onderneming die in de VS genoteerd is moet dit document jaarlijks overleggen aan de Securities and Exchange Commission (SEC). De SEC is de Amerikaanse beurswaakhond.

Het in-control statement

De aanwezigheid van het in-control statement geeft stakeholders een behoorlijke mate van zekerheid over de interne beheersing van de ondernemingen ten aanzien van de betrouwbaarheid van financiële rapportering (SOX), dan wel het hele interne beheersingssysteem (code Tabaksblat). Zoals in het literatuuroverzicht al aan de orde is gekomen is de focus van de code Tabaksblat breder. Voor het vergelijken van de in-control statements is dit echter niet relevant, aangezien een onderneming die volgens code Tabaksblat ‘in control’ is, dit ook is volgens de definitie van SOX. Vanwege de strenge Amerikaanse regelgeving is de verwachting dat ondernemingen die aan SOX moeten voldoen allemaal dit statement hebben opgenomen in het jaarverslag. Omdat code Tabaksblat verschillende uitwegen

geeft voor het niet opvolgen van de bepalingen is het onzeker of de Nederlandse beursgenoteerde vennootschappen, die alleen aan code Tabaksblat voldoen, dit statement ook hebben opgenomen.

De hypothese luidt als volgt:

“Nederlandse beursgenoteerde ondernemingen, die alleen aan code Tabaksblat moeten voldoen, hebben minder vaak een in-control statement in het jaarverslag opgenomen dan Nederlandse beursgenoteerde ondernemingen die zowel aan code Tabaksblat als aan SOX moeten voldoen.”

Het COSO framework

Zowel de code Tabaksblat als SOX geven aan dat het COSO framework uit 1992 geschikt is als risicobeheersingssysteem. Vanwege de strenge eisen die de VS stelt aan de rapportage over de interne beheersing van beursgenoteerde ondernemingen is de verwachting dat deze ondernemingen eerder geneigd zijn om een risicobeheersingssysteem te implementeren dan Nederlandse beursgenoteerde ondernemingen die alleen aan code Tabaksblat moeten voldoen. Aangezien er weinig geschikte alternatieven zijn voor het COSO Internal Control-Integrated Framework uit 1992 of het COSO ERM framework uit 2004 lijkt het mij voldoende om alleen te toetsen op aanwezigheid van het COSO framework uit 1992 of 2004. Indien dit aan de orde is zal ik in de analyse van het onderzoek echter wel melding van maken van het gebruik van een ander framework.

De hypothese luidt als volgt:

“Nederlandse beursgenoteerde ondernemingen, die alleen aan code Tabaksblat moeten voldoen, maken minder vaak gebruik van het COSO framework dan Nederlandse beursgenoteerde ondernemingen die zowel aan code Tabaksblat als aan SOX moeten voldoen.”

Invulling risicobeheersingssysteem

Vanuit de verwachting zoals die bij de vorige hypothese is geformuleerd, lijkt het voor de hand te liggen dat ondernemingen die aan SOX moeten voldoen ook een uitgebreidere invulling geven aan het risicobeheersingssysteem. Tot de invulling van het risicobeheersingssysteem reken ik ook het beschrijven van de processen die bijdragen aan het beheersen van risico’s. De verwachting voor dit onderdeel is dat de ondernemingen die aan SOX moeten voldoen uitgebreider rapporteren in het jaarverslag over de invulling van het risicobeheersingssysteem.

De hypothese luidt als volgt:

“Nederlandse beursgenoteerde ondernemingen, die alleen aan code Tabaksblat moeten voldoen, geven minder invulling aan het risicobeheersingssysteem in het jaarverslag dan Nederlandse beursgenoteerde ondernemingen die zowel aan code Tabaksblat als aan SOX moeten voldoen.”

Aanwezigheid van een lijst met geïdentificeerde risico’s

Ondernemingen die aan SOX moeten voldoen worden in een hoge mate gedwongen om effectief en efficiënt met risico’s om te gaan. Ondernemingen die alleen aan code Tabaksblat moeten voldoen worden in mindere mate hiertoe gedwongen. Vanuit deze gedachte ligt het in de lijn der verwachting dat ondernemingen die aan SOX moeten voldoen vaker een lijst met geïdentificeerde risico’s op zullen nemen.

De hypothese luidt als volgt:

“Nederlandse beursgenoteerde ondernemingen, die alleen aan code Tabaksblat moeten voldoen, publiceren minder vaak een lijst met geïdentificeerde risico’s in het jaarverslag dan Nederlandse beursgenoteerde ondernemingen die zowel aan code Tabaksblat als aan SOX moeten voldoen.”

3.3 Onderzoeksmethoden

Voor het uitvoeren van dit onderzoek maak ik gebruik van de jaarverslagen van 2006 van onderstaande ondernemingen. Dit jaartal is het meest geschikt aangezien de jaarverslagen over 2007 op het moment van onderzoek nog niet allemaal beschikbaar zijn. Jaarverslagen van voor 2006 zijn niet geschikt omdat de zogenaamde ‘foreign registrants’ in die jaren nog niet volledig aan SOX hoefden te voldoen. Tot de jaarverslagen behoren ook de zogenaamde 20-F Forms, waarin ondernemingen, die aan SOX moeten voldoen, rapporteren over onder andere de interne beheersing. De onderstaande ondernemingen zijn in twee groepen van elk 17 ondernemingen verdeeld. De eerste groep bestaat uit ondernemingen die alleen aan de code Tabaksblat moeten voldoen. De tweede groep bevat ondernemingen die zowel aan code Tabaksblat als aan SOX moeten voldoen. Alle 34 ondernemingen zijn in ieder geval afkomstig uit de Nederlandse AEX- of AMX index. Deze indexen bevatten samen de vijftig grootste Nederlandse beursgenoteerde ondernemingen. Het aantal van 34 ondernemingen is het maximum aantal ondernemingen uit deze indexen dat geschikt is voor dit onderzoek. Dit heeft vooral te maken met de toepassing van SOX en de vergelijkbaarheid tussen beide groepen. Aangezien de beide groepen op het gebied van regelgeving voor interne beheersing aan gelijke eisen moeten voldoen deel ik de bedrijven op naar sectoren. Immers specifieke regelgeving is vaak van toepassing op een bepaalde sector. Een voorbeeld hiervan is Basel II, dat van toepassing is op financiële instellingen. De groep van bedrijven die alleen aan code Tabaksblat voldoet is qua

diversiteit van sectoren vergelijkbaar met de groep van bedrijven die zowel aan code Tabaksblat als aan SOX voldoet. De bedrijven heb ik naar sector ingedeeld via de website www.accountantsonline.nl. De indeling op deze manier waarborgt de betrouwbaarheid van dit onderzoek.

In de onderstaande tabel staan de ondernemingen en de sector per groep ingedeeld.

Alleen code Tabaksblat

Sector Zowel code

Tabaksblat als SOX

Sector

Fortis Financieel ABN AMRO Financieel

Rodamco Europe Financieel Aegon Financieel

Binckbank Financieel ING Financieel

SNS Reaal Financieel Van Der Moolen Financieel

SBM Offshore Engineering Ahold Detail/groothandel

Hagemeyer Bouw/materialen Corporate Express Detail/groothandel

DSM Chemie AKZO Nobel Chemie

Stork Elektronica ASML Elektronica

Tom Tom Informatietechnologie Philips Elektronica

Getronics Informatietechnologie OCE Elektronica

Logica CMG Informatietechnologie ASM International Elektronica

Tele Atlas Informatietechnologie KPN Telecommunicatie

Wolters Kluwer Media Reed Elsevier Media

Heijmans Bouw/materialen Royal Dutch Shell Utilities

Vopak Transport TNT Transport

Heineken Voeding/drank/ levensmiddelen

Unilever Voeding/drank/ levensmiddelen

Aalberts Metaal Corus Metaal

Tabel 1: Ondernemingen per groep en sector

De hypotheses die betrekking hebben op de aanwezigheid van het in-control statement, het gebruik van het COSO framework, en de aanwezigheid van een lijst met geïdentificeerde risico’s zal ik op de volgende manier onderzoeken. Bij alle jaarverslagen uit dit onderzoek zal nagegaan worden of deze de bovengenoemde elementen bevatten. Indien een jaarverslag een element wel bevat dan wordt hiervoor de waarde 1 toegekend. Indien een jaarverslag deze waarde niet bevat, dan krijgt deze onderneming hiervoor de waarde 0 toegekend. Uiteindelijk zal voor beide groepen de gemiddelde waarde voor het betreffende element ergens liggen tussen de 0 en 1. Door middel van het gebruik van de T-toets is het mogelijk om deze twee gemiddelde waarden met elkaar te vergelijken. Hieruit kan een conclusie

getrokken worden in hoeverre er significante verschillen bestaan tussen beide groepen. De H0 hypothese voor deze manier van onderzoek is dat er geen significant verschil zit tussen de beide groepen voor het betreffende element. De H1 hypothese is dat er wel een significant verschil zit tussen beide groepen voor het betreffende element. De overschrijdingskans voor dit onderzoek is 5%=0,05. De keuze voor deze waarde is gebaseerd op het gegeven dat deze waarde het meeste gebruikt wordt voor dit soort onderzoeken. Bij dit onderzoek is er geen reden om hiervan af te wijken.

Het daadwerkelijk uitvoeren van de T-toets zal ik doen aan de hand van het statistische computerprogramma SPSS, versie 12.0.1.

Het onderzoeken van de invulling van het COSO framework, indien aanwezig bij een onderneming, vergt een andere techniek van onderzoek. Zoals in het literatuuroverzicht al genoemd bevat het COSO framework acht verschillende componenten. Deze acht componenten vormen samen een proces. Bij dit onderzoek is het van belang in welke mate deze componenten terug te vinden zijn in de rapportering van de ondernemingen in de jaarverslagen. Elke onderneming die aangeeft COSO te gebruiken zal een kwalitatieve beoordeling krijgen voor de invulling van het COSO framework. Dit kwalitatieve oordeel komt tot stand op basis van het aantal componenten waarover gerapporteerd wordt, en de mate waarin er zinvolle informatie wordt gegeven. De kwalitatieve beoordeling kan variëren van slecht, matig, redelijk, goed tot zeer goed. De beoordelingen definieer ik op de volgende manier:

• Zeer goed: Het jaarverslag bevat over alle acht componenten zinvolle informatie. • Goed: Het jaarverslag bevat over minimaal zes componenten zinvolle informatie. • Redelijk: Het jaarverslag bevat over minimaal vijf componenten zinvolle informatie. • Matig: Het jaarverslag bevat over minimaal drie componenten zinvolle informatie. • Slecht: Het jaarverslag bevat over maximaal twee componenten zinvolle informatie.

Per jaarverslag zal ik ook een korte toelichting geven hoe ik tot een bepaald oordeel kom. Tot slot zal ik per groep (code Tabaksblat of code Tabaksblat en SOX) een schema geven waarin aangegeven staat hoeveel procent van de ondernemingen uit die groep welke beoordeling hebben gekregen. Dit biedt een duidelijk schematisch overzicht in hoeverre er verschillen zijn bij de invulling van het COSO framework in het jaarverslag.

4. Analyse

4.1 Introductie

In dit hoofdstuk worden de resultaten uit het onderzoek, zoals beschreven in de onderzoeksopzet, weergegeven en geanalyseerd.

4.2 Onderzoeksresultaten en analyse resultaten

Hieronder zullen de hypotheses, zoals in de Onderzoeksopzet geformuleerd, besproken en geanalyseerd worden. De resultaten uit dit onderzoek zijn normaal verdeeld. Beide onderzochte groepen bevatten zeventien vergelijkbare ondernemingen.

Het in-control statement

De hypothese bij dit onderdeel luidt als volgt:

“Nederlandse beursgenoteerde ondernemingen, die alleen aan code Tabaksblat moeten voldoen, hebben minder vaak een in-control statement in het jaarverslag opgenomen dan Nederlandse beursgenoteerde ondernemingen die zowel aan code Tabaksblat als aan SOX moeten voldoen.”

De H0-hypothese stelt dat er geen significant verschil te bekennen is tussen de beide groepen. De H1-hypothese stelt dat er wel een significant verschil te bekennen is tussen beide groepen.

Uit het onderzoek blijkt dat de groep ondernemingen die zowel aan code Tabaksblat als aan SOX moeten voldoen alle een in-control statement in het jaarverslag hebben opgenomen. Dit is in lijn met de verwachting van het onderzoek. Immers bepaling 404 van SOX eist expliciet van de betreffende ondernemingen dat ze dit statement opnemen. Zoals in het literatuuroverzicht al aan de orde is gekomen vraagt de code Tabaksblat in bepaling II.1.4. de betreffende ondernemingen ook om een in-control statement op te nemen. Echter aangezien er voor de ondernemingen verschillende uitgangswegen mogelijk zijn om hier niet aan te voldoen, is het onzeker of de betreffende ondernemingen aan deze bepaling voldoen. In de praktijk blijken zestien van de zeventien ondernemingen, die alleen aan de code Tabaksblat moeten voldoen, het in-control statement in het jaarverslag opgenomen te hebben. Slechts de onderneming ‘Rodamco Europe’ heeft het in-control statement niet opgenomen in het jaarverslag over 2006. Deze onderneming geeft aan dat het design om te komen tot een in-control statement wel aanwezig is. In 2007 verwacht de onderneming dit design operationeel te hebben. Vanaf dit moment zal het jaarverslag ook het in-control statement bevatten.

Na het uitvoeren van de T-toets blijkt de overschrijdingskans voor deze hypothese op 33,2% te liggen. Dit is aanzienlijk meer dat de gekozen 5%. Dit betekent dat de H0-hypothese niet wordt verworpen. De groep van ondernemingen die alleen aan de code Tabaksblat voldoet verschilt niet significant van de groep ondernemingen die zowel aan de code Tabaksblat als aan SOX voldoet. Dit betekent dat de strenge wetgeving in de VS (SOX) geen significante meerwaarde biedt t.o.v. een code met ‘best-practice’ bepalingen (code Tabaksblat) zoals die in Nederland geldt als het gaat om de aanwezigheid van het in-control statement in het jaarverslag.

Het COSO framework

De hypothese bij dit onderdeel luidt als volgt:

“Nederlandse beursgenoteerde ondernemingen, die alleen aan code Tabaksblat moeten voldoen, maken minder vaak gebruik van het COSO framework dan Nederlandse beursgenoteerde ondernemingen die zowel aan code Tabaksblat als aan SOX moeten voldoen.”

De H0-hypothese stelt dat er geen significant verschil te bekennen is tussen de beide groepen. De H1-hypothese stelt dat er wel een significant verschil te bekennen is tussen beide groepen.

Uit de jaarverslagen van de ondernemingen, die zowel aan SOX als aan de code Tabaksblat voldoen, blijkt dat veertien van de zeventien ondernemingen (82,35%) hun risicobeheersingssysteem gebaseerd hebben op het COSO framework. Twee van de drie overige ondernemingen (Unilever en Corus) geven aan dat zij het interne risicobeheersingssysteem gebaseerd hebben op ‘Internal Control – Revised Guidance for Directors on the Combined Code’. Dit model is in oktober 2005 door de ‘Internal Control Working Party of the Institute of Chartered Accountants in England & Wales’ op de markt gebracht. Dit model wordt ook wel de ‘The Turnbull Guidance’ genoemd. Corus geeft wel expliciet aan in het jaarverslag dat het interne beheersingssysteem wel voldoet aan de eisen van het COSO framework. De onderneming ‘Reed Elsevier’ noemt in het jaarverslag geen intern risicobeheersingssysteem dat ze gebruikt.

De ondernemingen die alleen aan de code Tabaksblat moeten voldoen gebruiken minder vaak het COSO framework dan de ondernemingen uit de bovenstaande alinea. Bij elf van zeventien ondernemingen (64,71%) wordt in het jaarverslag het COSO framework genoemd. De zes ondernemingen die het COSO framework niet noemen (Binckbank, Hagemeyer, DSM, Tom Tom, Logica CMG en Aalberts) noemen geen ander intern risicobeheersingssysteem dat ze gebruiken. Het zal hier waarschijnlijk veelal gaan om een eigen intern ontworpen systeem.

De uitvoering van de T-toets over de resultaten geeft een overschrijdingskans van 15,9%. Dit is meer dan de gestelde 5%. De H0-hypothese wordt in dit geval niet verworpen. Dit betekent dat er geen significant verschil is geconstateerd voor het gebruik van het COSO framework tussen de ondernemingen die alleen aan de code Tabaksblat voldoen en de ondernemingen die zowel aan de code Tabaksblat als aan SOX voldoen. Deze uitkomst is opvallend aangezien 82,35% van de ondernemingen die aan SOX en de code Tabaksblat voldoen gebruik maken van het COSO framework, tegen 64,71% van de ondernemingen die alleen aan de code Tabaksblat moeten voldoen. Dat er desondanks geen significant verschil is geconstateerd heeft mede te maken met de omvang van de groepen. Waren dit groepen van beide 500 ondernemingen geweest, dan was dit verschil waarschijnlijk wel significant geweest. Echter voor dit onderzoek is de maximale steekproefomvang 17 ondernemingen per groep. Deze beperking is nader toegelicht in de onderzoeksopzet. De verwachting dat ondernemingen die aan SOX moeten voldoen eerder geneigd zijn tot de implementatie van een risicobeheersingssysteem volgens COSO lijkt ondanks de niet significante uitkomst wel enigszins gerechtvaardigd. Echter de verschillen tussen beide groepen zijn te klein om deze verwachting als waarheid te bestempelen.

Invulling risicobeheersingssysteem

De hypothese bij dit onderdeel luidt als volgt:

“Nederlandse beursgenoteerde ondernemingen, die alleen aan code Tabaksblat moeten voldoen, geven minder invulling aan het risicobeheersingssysteem in het jaarverslag dan Nederlandse beursgenoteerde ondernemingen die zowel aan code Tabaksblat als aan SOX moeten voldoen.”

In het onderzoek voor deze hypothese zijn alle ondernemingen betrokken die aangeven het COSO framework te gebruiken als risicobeheersingssysteem. Zoals hierboven te lezen valt zijn dit veertien ondernemingen uit de groep die zowel aan de code Tabaksblat als aan SOX voldoen. Uit de groep die alleen aan de code Tabaksblat voldoet, zijn dit elf ondernemingen.

De onderstaande tabel geeft een overzicht van het procentuele aantal onderneming dat in welke kwalitatieve beoordelingscategorie valt. De individuele beoordelingen per onderneming zijn te vinden in bijlage 2 van deze scriptie. De betekenis van de kwalitatieve beoordelingen is gedefinieerd in de onderzoeksopzet.