SCRIPTIE
HET IN CONTROL STATEMENT VOLGENS BEST PRACTICE BEPALING II.1.4 VAN DE CODE TABAKSBLAT
AANBEVELINGEN VOOR EEN MEER UNIFORME VERKLARING OVER DE INTERNE RISICOBEHEERSINGS- EN CONTROLESYSTEMEN
Wiljan Boeve Faculteit der Economische Wetenschappen
Kreengoedweg 41 Landleven 5
8080 LL Elburg Postbus 800
Studentnummer: 0993093 9700 AV Groningen
Voorwoord
Deze scriptie is geschreven in het kader van mijn afstuderen voor de studie Economie, afstudeerrichting Accountancy. In deze scriptie behandel ik de ‘in control statements’ volgens SOX Sectie 404 en volgens ‘best practice bepaling’ II.1.4 van de code Tabaksblat. De centrale vraag in het uitgevoerde onderzoek is: Hoe kan de naleving van best practice bepaling II.1.4 door ondernemingen verbeterd worden? Deze vraagstelling is gebaseerd op een analyse van de heer Dassen, waarin hij aangeeft dat het grote nadeel van de aanbevelingen van Tabaksblat is dat een toetsings- of normenkader ontbreekt. In het artikel stelt hij: “De tools die het management krijgt aangereikt zijn buitengewoon mager. Dat leidt tot diversiteit in de interpretaties.” (Jong, M. de, 2005). Door middel van het onderzoek wil ik komen tot aanbevelingen voor duidelijkere richtlijnen, zodat een meer uniforme verklaring over de interne risicobeheersings- en controlesystemen volgens bepaling II.1.4 kan worden opgesteld. Hoerdoor moet het inzicht, dat de gebruiker van het jaarverslag krijgt over de interne risicobeheersings- en controlesystemen van een onderneming, worden vergroot. Het onderzoek is ook van belang voor het bestuur en management van ondernemingen die een verklaring moeten afgeven volgens deze bepaling.
Verder is het van belang voor de controlerend accountant van de jaarverslagen en de wet- en regelgevers met betrekking tot de naleving van de code Tabaksblat.
In de scriptie geef ik in hoofdstuk 1 een algemene inleiding over corporate governance in Nederland en de Verenigde Staten. Vervolgens behandel ik hoofdstuk 2 de verschillen tussen SOX en de code Tabaksblat. In hoofdstuk 3 ga ik dieper in op de eisen die gesteld worden aan de
‘in control statements’ volgens SOX Sectie 404 en volgens best practice bepaling II.1.4. Het onderzoek wordt behandeld in hoofdstuk 4. De conclusies van het onderzoek en de aanbevelingen die gegeven worden op basis van deze conclusies worden beschreven in hoofdstuk 5. In dit hoofdstuk worden ook de beperkingen van het onderzoek gegeven en mogelijkheden voor vervolgonderzoek.
Inhoudsopgave
Hoofdstuk Onderwerp Pagina
1. Inleiding 4
1.1 Verenigde Staten 4
1.2 Nederland 6
2. Verschillen tussen SOX en de code Tabaksblat 10
2.1 Toepassingsgebied 10
2.2 Wettelijke verankering 11
2.3 Opbouw codes 11
2.4 Raamwerk 12
2.5 Reikwijdte oordeel interne beheersing 16
2.6 Verklaring externe accountant 19
2.7 Samenvattend overzicht 23
3. Het in control statement 24
3.1 Verenigde Staten 24
3.2 Nederland 27
4. Onderzoek 31
4.1 Onderzoeksopzet 33
4.2 Bevindingen onderzoek 35
5. Conclusies en aanbevelingen 46
5.1 Conclusies op basis van bevindingen in paragraaf 4.2 46
5.2 Aanbevelingen 48
5.3 Beperkingen van het onderzoek en aanbevelingen voor 52 vervolgonderzoek
Literatuurlijst 54
Bijlage 1 57
1. Inleiding
Na een golf van (boekhoud)schandalen in de Verenigde Staten en Europa, zoals Enron, Worldcom en Ahold, daalde het vertrouwen in kapitaalmarkten, bestuurders van ondernemingen, toezichthouders en overige betrokkenen bij de verslaggeving. Door dit gedaalde vertrouwen in de integriteit van het bedrijfsleven, waren kapitaalverschaffers minder snel bereid kapitaal te verschaffen en dan alleen nog tegen een veel hogere vergoeding. Dit heeft bijgedragen aan de dalende aandelenkoersen. Internationaal kwam corporate governance, of in het Nederlands
‘deugdelijk ondernemingsbestuur’, hierdoor sterk in de belangstelling. In deze scriptie wordt voor de definitie van het begrip corporate governance uitgegaan van de definitie van de Commissie Peters en deze luidt als volgt:
Voor de discussie in de Commissie is het begrip Corporate Governance opgevat als een stelsel van omgangsvormen voor bij de vennootschap en haar onderneming betrokken direct belanghebbenden – met name bestuurders, commissarissen en kapitaalverschaffers – inhoudende een aantal regels voor goed bestuur en goed toezicht en regels voor een verdeling van taken, verantwoordelijkheden en bevoegdheden die een evenwichtige invloed bewerkstelligen van bij de vennootschap en haar onderneming betrokkenen. Uitgangspunt daarbij is dat bestuurders en commissarissen over hun taakuitoefening – ook publiekelijk – verantwoording dienen af te leggen (Corporate Governance in Nederland, De Veertig Aanbevelingen; 1997, pag. 14).
Steeds meer landen hebben in zogenaamde corporate governance codes vastgelegd wat er wordt verstaan onder deugdelijk ondernemingsbestuur. Te denken valt hierbij aan de Deutscher Corporate Governance Kodex en de Britisch Combined Code. Ook in Nederland en de Verenigde Staten werden maatregelen genomen om dit beschadigde vertrouwen weer te herstellen, te weten de Sarbanes-Oxley wet in de Verenigde Staten en de Nederlandse Corporate Governance Code in Nederland. In dit hoofdstuk wordt dieper ingegaan op de ontwikkelingen in de Verenigde Staten en in Nederland.
1.1 Verenigde Staten
In de Verenigde Staten ontwerpen de senatoren Sarbanes en Oxley een wet, die op 31 juli 2002 door president Bush wordt getekend. Deze Sarbanes-Oxley wet (hierna SOX) is een strenge wet, die moet garanderen dat zich geen nieuwe schandalen meer voordoen en het vertrouwen in de kapitaalmarkt van beleggers weer herstellen. Dit blijkt al uit de aanhef van de wet:
To protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes (Sarbanes-Oxley Act of 2002, page 1).
Het kerndoel van de wet is het verbeteren van de betrouwbaarheid van de financiële verslaggeving van beursgenoteerde ondernemingen. De wet geldt niet alleen voor Amerikaanse beursgenoteerde ondernemingen en hun wereldwijde dochters, maar ook voor zogenaamde
‘foreign registrants’. Dit houdt in dat buitenlandse multinationals met een beursnotering in de Verenigde Staten eveneens aan deze wet onderworpen zijn, echter pas vanaf 15 juli 2006. In
Nederland zijn dit bijvoorbeeld ondernemingen als Akzo-Nobel, Ahold, ING en Philips. Reden voor deze extraterritoriale werking is het overheidsstreven om eensluidende eisen te stellen aan op Amerikaanse beurzen genoteerde ondernemingen en zodoende aan alle beleggers de nodige bescherming te bieden en een ‘level playing field’ te waarborgen (Emanuels et al., 2004).
De wet bestaat uit de volgende 11 secties:
1. Public Company Accounting Oversight Board 2. Auditor Independence
3. Corporate Responsibility 4. Enhanced Financial Disclosures 5. Analyst Conflicts of Interest
6. Commission Resources and Authority 7. Studies and Reports
8. Corporate and Criminal Fraud Accountability 9. White-Collar Crime Penalty Enhancements 10. Corporate Tax Returns
11. Corporate Fraud and Accountability
De wet stelt eisen aan de taken en de samenstelling van de raad van bestuur en het audit committee. Er is een klokkenluiderprocedure vereist, zodat fraudezaken anoniem kunnen worden gemeld aan het audit committee. Verder verscherpt de wet het toezicht op de controlerend accountant. Voorzover nog zelfregulering bestond, wordt deze door SOX overgedragen aan de Public Accounting Oversight Board (hierna PCAOB). Naast het registreren van accountantskantoren heeft de PCAOB onder andere tot taak standaarden (regels) vast te stellen, toezicht op de naleving te houden en het eventueel sanctioneren (Emanuels et al., 2004).
De PCAOB heeft onder andere Auditing Standard No. 2 – An Audit of Internal Control Over Financial Accounting Performed in Conjunction with An Audit of Financial Statements uitgebracht. Deze Standard regelt de wijze waarop de controlerend accountant dient vast te stellen dat de klant voldoet aan een van de belangrijkste bepalingen van SOX, namelijk Sectie 404:
Management assessment of internal controls. Deze Sectie richt zich op het doen van een uitspraak over de effectiviteit van de opzet en werking van de ‘internal control over financial reporting’1 door het management. De effectiviteit van deze verantwoordingsbeheersing is van groot belang voor de juiste verwerking van transacties en het samenstellen van betrouwbare financiële verslagen. Het management moet jaarlijks een uitspraak doen over de effectiviteit van de opzet en werking van de verantwoordingsbeheersing. Dit betekent niet dat het management de effectiviteit eenmalig beoordeelt, maar de beoordeling moet een continu proces zijn, waarbij de beoordeling wordt ingebouwd in de alledaagse processen. Hierdoor zullen zwakheden in de verantwoordingsbeheersing eerder worden geïdentificeerd en hersteld. De Amerikaanse Senaat en
1 In deze scriptie wordt het begrip ‘internal control’ vertaald met ‘interne beheersing’. Deze vertaling doet meer recht aan het begrip dan de rechtstreekse vertaling ‘interne controle’, uitgaande van de volgende definitie van interne beheersing: “Het systeem dat het management in staat stelt om de risico’s, die het behalen van doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen”. In lijn hiermee wordt ‘internal
het Congres zien de effectiviteit van de verantwoordingsbeheersing dan ook als basis voor betrouwbare financiële verslaggeving, gezien de prominente aandacht voor dit onderwerp in de wet. In appendix E van de Auditing Standard No. 2 sluit de PCAOB zich hierbij aan. Onder punt E5 staat:
Internal control over financial reporting enhances a company’s ability to produce fair and complete financial reports.
Without reliable financial reports, making good judgements and decisions about a company becomes very difficult for anyone, including the board of directors, management, employees, investors, lenders, customers and regulators.
The auditor’s reporting on management’s assessment of the effectiveness of internal control over financial reporting provides users of that report with important assurance about the reliability of the company’s financial reporting.
De PCAOB erkent ook dat geen enkel systeem perfect is en een goede verantwoordingsbeheersing geen 100% garantie is voor betrouwbare financiële verslaggeving:
Internal control over financial reporting cannot provide absolute assurance of achieving financial reporting objectives because of its inherent limitations. Internal control over financial reporting is a process that involves human diligence and compliance and is subject to lapses in judgement and breakdowns resulting from human failures. Internal control over financial reporting also can be circumvented by collusion or improper management override. Because of such limitations, there is a risk that material misstatements may not be prevented or detected on a timely basis by internal control over financial reporting (Auditing Standard No. 2, 2004, par. 16).
Zoals aangegeven in Sectie 404 van SOX heeft de Securities and Exchange Commission (hierna SEC) regels opgesteld voor ondernemingen die vallen onder de verslaggevingeisen van de Securities Exchange Act uit 1934, anders dan geregistreerde beleggingsinstellingen. Eén van deze regels is de Final Rule: Management’s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports (hierna Final Rule). Volgens deze Final Rule moeten de ondernemingen een uitspraak van het management over de verantwoordingsbeheersing toevoegen aan de jaarlijkse rapportage. De Final Rule regelt aan welke eisen deze uitspraak over de verantwoordingsbeheersing moet voldoen. Verder bevat de Final Rule de eis dat het management alle veranderingen in de verantwoordingsbeheersing beoordeelt, die gedurende het fiscale kwartaal plaatsvinden en deze beheersing materieel hebben beïnvloed of waarschijnlijk zullen beïnvloeden.
1.2 Nederland
In Nederland komt de Commissie Corporate Governance onder voorzitterschap van Morris Tabaksblat op 9 december 2003 met: De Nederlandse Corporate Governance Code, Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen (hierna code Tabaksblat). Deze code is gebaseerd op de 40 aanbevelingen van de Commissie Corporate Governance (Commissie
Peters)2 en moet zorgen voor een goed systeem van corporate governance bij de Nederlandse organisaties. Niet alleen de schandalen zijn aanleiding om de ‘code of best practices’ van de Commissie Peters te herijken. De Nederlandse Corporate Governance Stichting heeft in 2002 de naleving van de 40 aanbevelingen geëvalueerd. De conclusie van deze evaluatie is, dat er op het terrein van corporate governance in Nederland in de afgelopen vijf jaar vooruitgang is geboekt, maar dat er nog veel verbetering mogelijk en gewenst is. Daarnaast zijn ook de ontwikkelingen in Europa een aanleiding om een nieuwe ‘code of best practices’ op te stellen. Een High Level Group of Company Law Experts heeft in zijn aan de Europese Commissie aangeboden rapport ‘A Modern Regulatory Framework for Company Law in Europe’ aanbevolen dat iedere Lid-Staat een nationale code over corporate governance zou moeten opstellen, waaraan beursgenoteerde ondernemingen zouden moeten voldoen of transparant zouden moeten zijn over de onderdelen van zo’n code die niet wordt nagevolgd (Taakopdracht Commissie Corporate Governance).
De Commissie Peters was een particulier initiatief en de veertig aanbevelingen van de commissie hadden dan ook geen enkele wetskracht. Hierdoor ontstond de situatie dat de naleving gebrekkig was en er was geen mogelijkheid deze af te dwingen. Om een strengere naleving te bewerkstelligen, heeft de code opgesteld door de Commissie Tabaksblat een wettelijke verankering gekregen in Boek 2 BW. De wettelijke grondslag van de code is sinds 1 oktober 2004 te vinden in artikel 2:391 lid 4 BW (Staatsblad 2004, 370):
Bij algemene maatregel van bestuur kunnen nadere voorschriften worden gesteld omtrent de inhoud van het jaarverslag. Deze voorschriften kunnen in het bijzonder betrekking hebben op naleving van een in de algemene maatregel van bestuur aan te wijzen gedragscode.
Op 30 december 2004 is de code Tabaksblat aangewezen als gedragscode in de zin van artikel 2:391 lid 4 BW (Staatsblad 2004, 747). Om de officiële status van de code Tabaksblat te bevestigen, is de code gepubliceerd in Staatscourant nr. 250 van 27 december 2004 (http://www.commissiecorporategovernance.nl/Wettelijke%20verankering).
Onder punt 1 van de preambule van de code Tabaksblat wordt het bereik aangegeven voor wie de code van toepassing is:
De code is van toepassing op alle vennootschappen met statutaire zetel in Nederland en waarvan aandelen of certificaten van aandelen zijn toegelaten tot de officiële notering van een van overheidswege erkende beurs (hierna:
beursgenoteerde vennootschappen). De code is niet van toepassing op beleggingsinstellingen die als financiële producten kunnen worden aangemerkt. Een beleggingsinstelling is derhalve in beginsel uitgezonderd van verplichte toepassing van de code, tenzij het gaat om een beursgenoteerde vennootschap die (ook) beheerder is in de zin van het wetsvoorstel tot wijziging van de Wet toezicht beleggingsinstellingen (De Nederlandse Corporate Governance Code;
2003, pag. 3).
2 De officiële benaming voor zowel de Commissie Peters als de Commissie Tabaksblat is: Commissie Corporate Governance. Ter onderscheiding van beide commissies worden ze veelal aangeduid onder de naam van hun
Voor deze beursgenoteerde ondernemingen geldt bij de toepassing van de code de ‘pas toe of leg uit’-regel. Deze regel houdt in dat van de bepalingen in de code mag worden afgeweken, mits gemotiveerd uiteengezet wordt waarom van de naleving wordt afgezien en de algemene vergadering van aandeelhouders akkoord is gegaan met de uitleg (“uitleggen is naleven na goedkeuring door de algemene vergadering van aandeelhouders”; De Nederlandse Corporate Governance Code, 2003, pag. 46). De regeling geldt uitsluitend voor de in de code beschreven best practice bepalingen en niet voor de hierin beschreven principes. Deze principes laten zich het beste omschrijven als de uitgangspunten van de code (de waarden), terwijl de bepalingen de hiervan afgeleide normen vormen (Kooijman, 2005).
De principes en best practice bepalingen in de code behandelen de volgende 5 onderwerpen:
I. Naleving en handhaving van de code II. Het bestuur
III. Raad van commissarissen
IV. De (algemene vergadering van) aandeelhouders
V. De audit van de financiële verslaggeving en de positie van de interne audit functie en van de externe accountant
De code wordt vooraf gegaan door de Preambule, waarin algemene zaken en de werking worden besproken. Net als in de SOX wordt in de code ook aandacht besteed aan de interne beheersing.
In best practice bepaling II.1.3 wordt namelijk vereist dat in de vennootschap een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig is. Vervolgens moet volgens bepaling II.1.4 het bestuur in het jaarverslag verklaren dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en hiervan een duidelijke onderbouwing geven. De Commissie Tabaksblat geeft echter geen nadere uitwerking van de wijze waarop een en ander gestalte zou moeten krijgen.
Op 6 december 2004 heeft de minister van Financiën, mede namens de minister van Justitie en de staatssecretaris van Economische Zaken, de Monitoring Commissie Corporate Governance Code ingesteld, ook wel bekend als de Commissie Frijns. Deze commissie heeft tot taak de actualiteit en de bruikbaarheid van de code Tabaksblat te bevorderen en de naleving ervan door de Nederlandse beursgenoteerde vennootschappen te bewaken. De Commissie Frijns zal deze taak uitvoeren door:
- ten minste jaarlijks te inventariseren op welke wijze en in welke mate de codevoorschriften door de Nederlandse beursgenoteerde vennootschappen worden nageleefd;
- zich op de hoogte te stellen van de internationale ontwikkelingen en gebruiken op het terrein van corporate governance;
- het signaleren van leemtes of onduidelijkheden in de code.
De Commissie Frijns zal ten minste jaarlijks verslag doen aan de minister van Financiën, de minister van Justitie en de staatssecretaris van Economische Zaken. De bevindingen zullen vergezeld gaan van commentaar op het gebruik van de code door beursgenoteerde vennootschappen en op de toereikendheid van de code in relatie tot de maatschappelijke en
internationale corporate governance standaarden en praktijken. De Commissie Frijns heeft echter niet de bevoegdheid de codevoorschriften aan te passen. Haar visie kan echter als richtsnoer dienen voor beursgenoteerde vennootschappen en hun aandeelhouders.
Vergelijkbaar met Auditing Standard No. 2 van de PCAOB in de Verenigde Staten heeft het Koninklijk NIVRA Audit Alert 18 De Verantwoordelijkheid van de accountant bij de toetsing van in het jaarverslag opgenomen informatie over de naleving van de Nederlandse corporate governance code uitgegeven. Doel van deze Audit Alert is de controlerend accountant duidelijkheid te verschaffen over zijn verantwoordelijkheid met betrekking tot de toetsing van de naleving van de code Tabaksblat, waarover door het bestuur verantwoording moet worden afgelegd in het jaarverslag (Audit Alert 18; 2006).
2. Verschillen tussen SOX en de code Tabaksblat
Het vorige hoofdstuk gaf een overzicht van de stand van zaken met betrekking tot de corporate governance in de Verenigde Staten en in Nederland en dan met name toegespitst op de interne beheersing. Er werd ingegaan op de Sarbanes-Oxley wet in de Verenigde Staten en de code Tabaksblat in Nederland. In dit hoofdstuk worden de meer algemene verschillen tussen SOX en de code Tabaksblat bekeken en toegelicht voor wat betreft de gevolgen voor het in control statement dat afgegeven moet worden door het management. In de figuur aan het eind van het hoofdstuk wordt een overzicht gegeven van de verschillen.
2.1 Toepassingsgebied
SOX geldt voor de ondernemingen die moeten voldoen aan de verslaggevingseisen van de Securities Exchange Act van 1934. Dit betekent dat de toepassing van SOX afhankelijk is van een notering aan een Amerikaanse beurs. Voor bepaalde onderdelen van de wet bestaan uitzonderingen. Zo vallen geregistreerde beleggingsinstellingen niet onder de eisen van Sectie 404. De wet geldt verder niet alleen voor Amerikaanse beursgenoteerde ondernemingen en hun wereldwijde dochters, maar vanaf 15 juli 2006 zijn ook zogenaamde ‘foreign registrants’
verplicht om aan SOX te voldoen. Buitenlandse ondernemingen met een beursnotering in Amerika zijn dan ook aan de wet onderworpen. Hierop bestaan ook uitzonderingen. Omdat deze ondernemingen geen kwartaalrapportages hoeven te registreren volgens de Securities Exchange Act van 1934, vallen ze buiten het bereik van Sectie 302 en moeten ze jaarlijks een uitspraak doen over de verantwoordingsbeheersing.
Alle ondernemingen, de uitzonderingen daargelaten, met een notering aan een Amerikaanse beurs moeten dus wel voldoen aan SOX Sectie 404 en jaarlijks een uitspraak doen over de verantwoordingsbeheersing.
Zoals de definitie in het vorige hoofdstuk weergeeft, is de code Tabaksblat van toepassing op alle vennootschappen met statutaire zetel in Nederland en waarvan aandelen of certificaten van aandelen zijn toegelaten tot de officiële notering van een van overheidswege erkende effectenbeurs. Dit betekent dat niet alleen de Nederlandse vennootschappen die een notering hebben bij een Nederlandse beurs onder het toepassingsbereik vallen, maar ook de Nederlandse vennootschappen die een notering hebben aan één of meer, door de overheid erkende, effectenbeurzen. De code is niet van toepassing op beleggingsinstellingen die als financiële producten kunnen worden aangemerkt, tenzij het gaat om een beursgenoteerde vennootschap die (ook) beheerder is in de zin van het wetsvoorstel tot wijziging van de Wet toezicht beleggingsinstellingen. Verder is de code niet uitsluitend van toepassing op beursgenoteerde vennootschappen, maar richt een aantal principes en ‘best practice’ bepalingen zich tot anderen, zoals institutionele beleggers, het administratiekantoor en de accountant.
Alle ondernemingen, de uitzonderingen daargelaten, met een statutaire zetel in Nederland en waarvan de aandelen of certificaten van aandelen zijn toegelaten tot de officiële notering van een
van overheidswege erkende effectenbeurs, in binnen- of buitenland, moeten dus voldoen aan de code Tabaksblat. Dit betekent dat de besturen van deze ondernemingen in het jaarverslag moeten verklaren dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en hiervan een duidelijke onderbouwing geven. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar.
2.2 Wettelijke verankering
Zoals de naam al aangeeft is SOX geheel wettelijk verankerd. Hierdoor moet aan de gestelde eisen worden voldaan en zijn afwijkingen hiervan niet toegestaan.
De ondernemingen die onder het toepassingsgebied vallen, zijn dus verplicht jaarlijks een uitspraak te doen over de verantwoordingsbeheersing.
In het hoofdstuk hiervoor is al aangegeven, dat de code Tabaksblat wettelijke verankering heeft gekregen in Boek 2 BW. De code is hierbij aangewezen als officiële gedragscode, waarbij de ‘pas toe of leg uit’-regel geldt. Dit betekent dat van de best practice bepalingen in de code mag worden afgeweken, mits de uitleg van de afwijkingen goed wordt gemotiveerd. Afwijking van de principes in de code is echter niet toegestaan.
Volgens de best practice bepaling II.1.4 moet het bestuur van de ondernemingen die onder het toepassingsgebied vallen, verklaren dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn. Aangezien het hier gaat om een bepaling, en geen principe, mag hiervan worden afgeweken, mits gemotiveerd uiteengezet wordt waarom van de naleving wordt afgezien en de algemene vergadering van aandeelhouders akkoord gegaan is met de uitleg.
2.3 Opbouw codes
Tussen SOX en de code Tabaksblat bestaat een verschil in de manier waarop de codes zijn opgebouwd. SOX is een voorbeeld van een rule-based standaard, oftewel op regels gebaseerd.
Hierbij is er sprake van gedetailleerde regels die erop gericht zijn zoveel mogelijk situaties af te dekken met een specifiek voorschrift. Afwijkingen van de regels zijn zeer beperkt of zelfs niet toegestaan. Er wordt verondersteld dat het volgen van de specifieke regels voldoende is.
In de Verenigde Staten waar men sterk rule-based georiënteerd is, kijkt men omdat het in het verleden dus fout is gegaan, steeds meer naar de mogelijkheden van een principle-based aanpak.
In Sectie 108(d) van SOX bijvoorbeeld, wordt aan de SEC opgedragen om een studie te verrichten naar de wenselijkheid van een op beginselen gebaseerd verslaggevingsysteem in de Verenigde Staten. De SEC heeft op 25 juli 2003 de studie gepubliceerd onder de titel: Study Pursuant to Section 108(d) of the Sarbanes Oxley Act of 2002 on the Adoption by the United States Financial Reporting System of a Principles-Based Accounting System. In het rapport
wordt aan de regelgevers aanbevolen om meer dan voorheen op consistente wijze standaarden te ontwikkelen die gebaseerd zijn op beginselen of doelstellingen (Ter Hoeven, 2005).
Ondanks deze ontwikkelingen moeten ondernemingen, die volgens SOX Sectie 404 een uitspraak doen over de effectiviteit van de verantwoordingsbeheersing, voldoen aan specifieke regels waarvan afwijkingen beperkt of niet zijn toegestaan. De SEC regelt in de Final Rule aan welke eisen de uitspraak moet voldoen en dat de uitspraak van het management moet worden toegevoegd aan de jaarlijkse rapportage. Auditing Standard No. 2 van de PCAOB geeft de regels waaraan de controlerend accountant moet voldoen.
De code Tabaksblat is een voorbeeld van een principle-based code. De code is dus gebaseerd op beginselen of principes, die de algemene uitgangspunten van de code vormen, in plaats van op gedetailleerde regels. Er wordt niet op voorhand verondersteld dat het volgen van de specifieke regels voldoende is om alle transacties of gebeurtenissen te dekken. Aanvullingen ten opzichte van de minimumpositie of afwijkingen kunnen noodzakelijk zijn. Onder punt 15 van de verantwoording van het werk van de commissie wil de commissie Tabaksblat opmerken dat een principle-based benadering niet kan zonder een aantal concrete regels. Een ‘pure’ principle-based benadering geeft te weinig richting hoe de principes moeten worden geïmplementeerd (De Nederlandse Corporate Governance Code, 2003, pag. 44). Afwijkingen van de principes in de code zijn dan ook niet toegestaan, maar van de best practice bepalingen wel.
Ondernemingen, die volgens de code Tabaksblat moeten verklaren dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn, hoeven niet te voldoen aan gedetailleerde regelgeving. In de verklaring kunnen afwijkingen ten opzichte van de code opgenomen worden, zolang de afwijkingen voldoende worden toegelicht. Van de principes mag echter niet worden afgeweken.
2.4 Raamwerk
Voor de behandeling van de verschillen is het van belang om kort in te gaan op het rapport Internal Control – Integrated Framework. Dit rapport wordt internationaal gezien als toonaangevend raamwerk op het gebied van interne beheersing en wordt door zowel SOX als de code Tabaksblat aangehaald.
Het rapport Internal Control – Integrated Framework is in 1992 gepubliceerd door het Committee of Sponsoring Organizations (hierna COSO). COSO komt uit Amerika en is opgericht in 1985 om de National Commission on Fraudulent Financial Reporting te ondersteunen, ook wel bekend als de Treadway Commission naar de voorzitter. Dit was een onafhankelijk particulier initiatief, opgericht om de oorzaken van frauduleuze financiële verslaggeving te onderzoeken en aanbevelingen te ontwikkelen voor ondernemingen en hun accountant, voor de SEC en andere regelgevende instellingen en voor opleidingsinstituten.
COSO heeft een interne beheersing raamwerk ontwikkeld voor ondernemingen en hun accountants. Hierin wordt interne beheersing gedefinieerd als:
Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:
· Effectiveness and efficiency of operations
· Reliability of financial reporting
· Compliance with applicable laws and regulations
Vaak wordt ‘safeguarding of assets’ als vierde categorie genoemd, maar deze wordt niet vermeld in de definitie in het COSO rapport.
Een aantal kernbegrippen wordt in het rapport genoemd:
· Internal control is a process. It is a means to an end, not an end in itself.
· Internal control is effected by people. It’s not merely policy manuals and forms, but people at every level of an organization.
· Internal control can be expected to provide only reasonable assurance, not absolute assurance, to an entity’s management and board.
· Internal control is geared to the achievement of objectives in one or more separate but overlapping categories.
Interne beheersing bestaat volgens COSO uit vijf componenten die onderling afhankelijk zijn en in wisselwerking met elkaar functioneren. Deze componenten zijn:
· Control environment
The core of any business is its people – their individual attributes, including integrity, ethical values and competence – and the environment in which they operate. They are the engine that drives the entity and the foundation on which everything rests.
· Risk assessment
The entity must be aware of and deal with the risks it faces. It must set objectives, integrated with the sales, production, marketing, financial and other activities so that the organization is operating in concert. It also must establish mechanisms to identify, analyze and manage the related risks.
· Control activities
Control policies and procedures must be established and executed to help ensure that the actions identified by management as necessary to address risks to achievement of the entity’s objectives are effectively carried out.
· Information and communication
Surrounding these activities are information and communication systems. These enable the entity’s people to capture and exchange the information needed to conduct, manage and control operations.
· Monitoring
The entire process must be monitored, and modifications made as necessary. In this way the system can react dynamically, changing as conditions warrant.
Een tweetal beperkingen van interne beheersing komt in het rapport herhaaldelijk aan de orde.
Interne beheersing verschaft geen absolute zekerheid en interne beheersing kan niet zekerstellen
dat organisaties succesvol zijn. In alle gevallen blijft sprake van een redelijke mate van zekerheid en kan het proces slechts hulp bieden aan de leiding van de onderneming om tot realisatie van de doelstellingen te komen (Sampers, 2005).
In 2004 heeft COSO een extra rapport uitgebracht, namelijk Enterprise Risk Management – Integrated Framework. Dit rapport geeft een ruimere definitie van interne beheersing en gaat dieper in op het onderwerp van risicomanagement van de onderneming. Enterprise Risk Management wordt omschreven als:
Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may effect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.
In dit rapport wordt aan de reeds bestaande drie doelstellingen van interne beheersing een vierde toegevoegd, risicobeheersing ten aanzien van de strategie. De bestaande vijf componenten van interne beheersing worden aangevuld met drie componenten, waarbij meer nadruk wordt gelegd op de risicoanalyse en de reactie op deze risico’s door het management. Het nieuwe rapport is niet bedoeld om het Internal Control – Integrated Framework te vervangen, maar is een aanvulling op dit reeds bestaande rapport. Het laatste rapport is geïntegreerd in de nieuwe versie.
Omdat het Internal Control – Integrated Framework (nog steeds) beter bekend is als raamwerk voor interne beheersing en onderdeel uitmaakt van het Enterprise Risk Management – Integrated Framework, is voor de eenvoud in de rest van deze scriptie uitgegaan van het Internal Control – Integrated Framework.
Onder SOX worden eisen gesteld waaraan het raamwerk voor de beoordeling van de effectiviteit van de opzet en werking van de verantwoordingsbeheersing moet voldoen. Deze eisen worden uitgewerkt door de PCAOB en de SEC. In artikel 13 van Auditing Standard No. 2 geeft de PCAOB aan welk raamwerk het management moet gebruiken bij de beoordeling. Het management moet zijn beoordeling van de effectiviteit van de verantwoordingsbeheersing van de onderneming baseren op een geschikt, erkend controleraamwerk. Dit raamwerk moet zijn vastgesteld door deskundigen die bepaalde procedures hebben gevolgd, waaronder het wijd verspreiden van het raamwerk voor publiek commentaar. Naast het feit dat het raamwerk beschikbaar moet zijn voor de gebruikers van de managementrapportage, is een raamwerk alleen geschikt als het:
- Vrij is van vooroordelen;
- Redelijk constante, kwalitatieve en kwantitatieve metingen mogelijk maakt van de verantwoordingsbeheersing van een onderneming;
- Compleet genoeg is zodat de relevante factoren, die de conclusie over de effectiviteit van de verantwoordingsbeheersing van een onderneming zouden kunnen veranderen, niet worden weggelaten;
- Relevant is voor de evaluatie van de verantwoordingsbeheersing.
In artikel 14 noemt de PCAOB het COSO-raamwerk als een geschikt raamwerk voor de beoordeling door het management. Verder wordt aangegeven, dat de norm in Auditing Standard No.2 voor interne beheersing en de rapportering is gebaseerd op het COSO-raamwerk. Het gebruik van andere geschikte raamwerken is toegestaan, maar deze raamwerken moeten dan in het algemeen alle thema’s van het COSO-raamwerk omvatten.
In artikel 15 wordt aangegeven, dat SOX slechts ten dele toekomt aan de drie doelen van interne beheersing volgens het COSO-raamwerk. Van de drie door COSO beschreven doelen van interne beheersing wordt het doel efficiënte en effectieve financiële verslaggeving door de invoering van SOX nagestreefd. SOX geeft geen regels voor de beheersing van de nakoming van de wet- en regelgeving en het operationele risico.
In de Final Rule (in II.B.3.a) hanteert de SEC dezelfde eisen voor een raamwerk. De SEC schrijft het gebruik van een bepaald raamwerk niet voor. Er wordt echter expliciet vermeld dat het COSO-raamwerk voldoet aan de criteria en gebruikt mag worden als evaluatie raamwerk voor de jaarlijkse beoordeling door het management over de effectiviteit van de verantwoordingsbeheersing en de openbaarmakingeisen hiervan. Het management moet in haar rapportage het gebruikte raamwerk wel identificeren.
Een onderneming, die moet voldoen aan SOX Sectie 404, is dus niet verplicht om een bepaald raamwerk te volgen, zolang het raamwerk voldoet aan de eisen gesteld aan een raamwerk door de SEC en de PCAOB. Beide organisaties bevelen echter sterk het COSO raamwerk aan als evaluatie raamwerk van de verantwoordingsbeheersing. De norm in Auditing Standard No. 2 is zelfs gebaseerd op het COSO raamwerk, zodat een onderneming er bijna niet onderuit komt het COSO raamwerk te hanteren.
In de code Tabaksblat worden geen eisen gesteld waaraan het raamwerk moet voldoen. Alleen in de toelichting op bepaling II.1.4 gaat men in op het raamwerk dat het bestuur heeft gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem. Volgens de toelichting ligt het in de rede dat het bestuur in de verklaring over de interne risicobeheersings- en controlesystemen aangeeft welk raamwerk of normenkader men heeft gehanteerd, waarbij het COSO raamwerk voor interne beheersing als voorbeeld wordt gegeven (De Nederlandse Corporate Governance Code, 2003, pag. 33).
Ook in Audit Alert 18 worden geen eisen voor een raamwerk gegeven. Wel wordt aangegeven, dat een goed ontwikkeld normenkader (‘suitable criteria’) een vereiste is voor het kunnen uitvoeren door de accountant van een specifieke opdracht om te komen tot een oordeel over de interne risicobeheersings- en controlesystemen. Verder wordt er aangegeven, dat er ten aanzien van een “normenkader” een taak ligt voor bestuurders, commissarissen en externe toezichthouders om dat uit te werken. Hierbij kan gekeken worden naar ontwikkelingen in het buitenland (bijvoorbeeld SEC in relatie tot SOX 404) en in Nederland waar toezichthouders invulling geven aan wat instellingen moeten doen aan (deelgebieden van) interne beheersing (Audit Alert 18, 2006).
Op 20 december 2005 is het eerste rapport van de Commissie Frijns over de naleving door ondernemingen van de code Tabaksblat verschenen. Dit rapport heeft betrekking op 2004, het eerste boekjaar waarin naleving van de code Tabaksblat voor Nederlandse beursgenoteerde vennootschappen verplicht is. Uit het onderzoek van de Commissie Frijns blijkt dat de code Tabaksblat op het terrein van de verklaring inzake interne risicobeheersings- en controlesystemen aan duidelijkheid te wensen over laat. Er wordt aangegeven, dat in de toepassingspraktijk behoefte blijkt te zijn aan meer handvatten hoe de bepaling moet worden toegepast. De Commissie Frijns gaat in haar rapport verder in op het COSO-raamwerk als normenkader voor de toepassing van de code Tabaksblat. In de aanbevelingen die de Commissie Frijns aan het eind van het rapport doet, komt het COSO-raamwerk echter niet terug als te hanteren raamwerk.
Ondernemingen, die volgens de code Tabaksblat een verklaring moeten geven over de interne risicobeheersings- en controlesystemen, zijn dus niet verplicht om bij de toepassing hiervan een bepaald raamwerk te volgen. Anders dan in de Verenigde Staten worden er geen eisen gesteld aan het te hanteren raamwerk. Wel wordt ook in Nederland het COSO-raamwerk als voorbeeld genoemd, maar vrijblijvender dan in de Verenigde Staten.
2.5 Reikwijdte oordeel interne beheersing
Sectie 404 van SOX richt zich op het doen van een uitspraak over de effectiviteit van de opzet en werking van de ‘internal control over financial reporting’ door het management. De SEC, en de PCAOB gebruikt dezelfde definitie, definieert het begrip in de Final Rule (in II.A.3) als volgt:
A process designed by, or under the supervision of, the registrant’s principal executive and principal financial officers, or persons performing similar functions, and effected by the registrant’s board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles and includes those policies and procedures that:
(1) Pertain to the maintenance of records that in reasonable detail accurately and fairly reflect the transactions and dispositions of the assets of the registrant;
(2) Provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the registrant are being made only in accordance with authorizations of management and directors of the registrant; and
(3) Provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use or disposition of the registrant’s assets that could have a material effect on the financial statements.
Onder de uitwerking van het COSO rapport werd een definitie gegeven van interne beheersing.
Bovenstaande definitie van ‘Internal control over financial reporting’ is een onderdeel van deze interne beheersing, dat zich richt op de betrouwbaarheid van de financiële verslaggeving. Het
eerste gedeelte van de definitie komt overeen met de definitie van interne beheersing. Daarna wordt een verdieping gegeven voor wat betreft de betrouwbaarheid van de financiële verslaggeving. ‘Internal control over financial reporting’ omvat niet de gedeeltes van interne beheersing die betrekking hebben op de effectiviteit en efficiëntie van de bedrijfsprocessen en op de naleving van de van toepassing zijnde wet- en regelgeving.
Naast Sectie 404 zijn ook de Secties 302 en 906 van belang rondom het afleggen van verantwoording over de interne beheersing. Deze secties werden direct na invoering van de wet van kracht. Uit Sectie 302 komt het begrip ‘disclosure controls and procedures’ naar voren. De SEC geeft aan dat er tussen dit begrip en de ‘internal control over financial reporting’ een significante overlapping bestaat. ‘Disclosure controls and procedures’ is een breder begrip, dat zowel financiële als niet-financiële rapportage omvat. Volgens Sectie 302 moet het management ieder kwartaal en jaarlijks een verklaring toevoegen aan de periodieke rapportages, die volgens de Securities Exchange Act van 1934 opgesteld moeten worden. Hierin moet het management verklaren dat:
- ze de rapportage heeft beoordeeld;
- de inhoud van de financiële en niet-financiële rapportages juist, volledig en niet misleidend is;
- ze verantwoordelijk is voor de opzet en het onderhoud van de interne controles;
- ze de effectiviteit van de interne beheersing heeft beoordeeld binnen een periode van 90 dagen voor de rapportage;
- ze alle significante gebrekkigheden en materiële zwakheden in de opzet en de werking van de interne beheersing en ook alle fraudegevallen aan de accountant en de auditcommissie heeft gerapporteerd;
- er wel of geen belangrijke wijzigingen zijn geweest in de interne beheersing gedurende de afgelopen periode en de wijzigingen bekend maken, inclusief de eventuele corrigerende maatregelen met betrekking tot significante gebrekkigheden en materiële zwakheden.
Op basis van bovenstaande punten lijkt het alsof het management een verklaring moet geven over de gehele interne beheersing. De titel van Sectie 302: “Corporate Responsibility For Financial Reports” doet echter anders vermoeden. Hieruit kan worden afgeleid dat niet de gehele interne beheersing onderwerp is van Sectie 302, maar slechts de verantwoordingsbeheersing. In paragraaf 200 van Auditing Standard No. 2 wordt dit bevestigd, doordat hier consequent over
‘internal control over financial reporting’ gesproken wordt (Emanuels et al., 2004). De SEC gebruikt ook de term ‘internal control over financial reporting’ bij de herziening van de certificeringeisen van Sectie 302 en de formulieren hierover (Final Rule, 2003, II.A.3).
Sectie 906 is een strafrechtelijke bepaling. Deze sectie vereist dat de voorzitter van de raad van bestuur (CEO) en de financieel directeur (CFO) aan elk periodiek rapport, dat een financiële verantwoording bevat, een verklaring toevoegen. Het gaat om een andere verklaring dan die vereist volgens Sectie 302. Hierin verklaren de CEO en CFO dat het rapport voldoet aan de wettelijke normen en dat de informatie in het rapport, in materieel opzicht, de financiële toestand en de bedrijfsresultaten van de uitgever getrouw weergeven. Degene die een verklaring afgeeft die niet waar is, kan een geldboete krijgen van $ 1 miljoen of een gevangenisstraf van 10 jaar.
Degene die dit bewust doet, kan een boete krijgen van $ 5 miljoen of een gevangenisstraf van 20 jaar.
Sectie 404 van SOX vereist van het management van een onderneming alleen een uitspraak over de effectiviteit van de opzet en werking van de verantwoordingsbeheersing en niet over de gehele interne beheersing. Op basis van de titel van Sectie 302 en de termen die de SEC hanteert, geldt dit ook voor de verklaringen die het management volgens deze sectie moet afgeven. Sectie 906 vereist een verklaring van de CEO en CFO dat het rapport voldoet aan de wettelijke normen en dat de informatie in het rapport, in materieel opzicht, de financiële toestand en de bedrijfsresultaten getrouw weergeven.
De code Tabaksblat gaat verder door een uitspraak van het management te vragen over het totale interne risicobeheersings- en controlesysteem. In best practice bepaling II.1.3 wordt vereist dat in de vennootschap een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig is. Volgens best practice bepaling II.1.4 moet het bestuur verklaren dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en een duidelijke onderbouwing hiervan geven. De verklaring blijft dus niet beperkt tot een uitspraak over de effectiviteit van de opzet en werking van de verantwoordingsbeheersing.
De Commissie Peters geeft in haar 40 aanbevelingen een definitie van interne beheersing in best practice bepaling 4.3:
Onder interne beheersing wordt het proces verstaan, dat gericht is op het verkrijgen van redelijke zekerheid over het bereiken van doelstellingen in de volgende categorieën:
- de betrouwbaarheid van de financiële informatieverzorging;
- de effectiviteit en efficiency van bedrijfsprocessen;
- de naleving van relevante wet- en regelgeving.
Deze definitie is een vertaling van de definitie van interne beheersing in het COSO rapport. De Commissie Tabaksblat heeft de 40 aanbevelingen van de Commissie Peters als uitgangspunt genomen voor haar eigen code. Daarbij heeft ze deze definitie van interne beheersing overgenomen. Dat blijkt uit de tekst van principe II.1:
Het bestuur is verantwoordelijk voor de naleving van alle relevante wet- en regelgeving, het beheersen van de risico’s verbonden aan de ondernemingsactiviteiten en voor de financiering van de vennootschap. Het bestuur rapporteert hierover aan en bespreekt de interne risicobeheersings- en controlesystemen met de raad van commissarissen en zijn auditcommissie.
De uitspraak van het management onder de code Tabaksblat omvat dus wel de gedeeltes van interne controle die betrekking hebben op de effectiviteit en efficiency van bedrijfsprocessen en op de naleving van relevante wet- en regelgeving, naast de betrouwbaarheid van financiële informatieverzorging.
2.6 Verklaring externe accountant
De PCAOB heeft in Auditing Standard No. 2 regels gegeven waaraan de accountant moet voldoen bij de controle van de verantwoordingsbeheersing. In het verleden hoefde de accountant alleen een verklaring te geven ten aanzien van de getrouwheid van de financiële verantwoordingen. De accountant controleerde de interne beheersing alleen in samenhang met de planning van de controle van de jaarcijfers. Er vond geen formele controle van het interne beheersingssysteem plaats en ook werd er niet formeel gerapporteerd over de resultaten van deze controle. Onder SOX controleert de accountant niet alleen de financiële verantwoording, maar hij moet ook de verklaring van het management over de effectiviteit van de opzet en de werking van de verantwoordingsbeheersing controleren. Bovendien moet hij een onafhankelijk onderzoek uitvoeren naar de effectiviteit van hetzelfde beheersingssysteem. Hierover moet hij ook een verklaring afgeven, dus hij moet nu twee verklaringen extra afgeven, één bij het in control statement van het management en één over de effectiviteit van de verantwoordingsbeheersing.
Figuur 1 geeft voor de duidelijkheid een samenvattend overzicht. Hieruit blijkt dat de verklaring van het management het uitgangspunt vormt voor de accountantscontrole.
Figuur 1. Sectie 404 verklaringen (Deloitte & Touche et al., 2004)
Als alles goed is, kan de accountant een goedkeurende verklaring geven bij zowel de verklaring van het management als over de effectiviteit van de verantwoordingsbeheersing. Wanneer er sprake is van één of meer materiële zwakheden mag het management niet concluderen dat de interne beheersing effectief is. De accountant moet dan een afkeurende verklaring geven over de effectiviteit van de verantwoordingsbeheersing. Afhankelijk van de omstandigheden kan de accountant een combinatie van een goedkeurende en een afkeurende verklaring geven. Wanneer er door de omstandigheden beperkingen zijn in het kader van de opdracht, kan de accountant zich terugtrekken of een verklaring met beperking of oordeelonthouding geven. De beslissing van de accountant hangt af van het belang dat hij hecht aan het ontbreken van de procedures voor het vormen van zijn mening. Zijn de beperkingen opgelegd door het management dan moet de accountant zich terugtrekken of een verklaring van oordeelonthouding geven bij de verklaring van het management en over de effectiviteit van de verantwoordingsbeheersing (Auditing Standard No. 2, 2004, par. 174-178).
Management’s Section 404 Assessment
Auditor’s Report on the Audit of Internal Control over Financial
Reporting
Opinion on Effectiveness Opinion on Management’s
Assessment Auditor’s Report on the Audit of the
Financial Statements
Opinion on the Financial Statements
Note:
Auditor’s reports
Bovenstaande verklaringen moeten jaarlijks gegeven worden in het kader van Sectie 404. Ieder kwartaal moet de accountant handelingen verrichten die hem een basis verschaffen om te kunnen beoordelen of er materiële veranderingen nodig zijn in de verklaringen van wijzigingen in de verantwoordingsbeheersing, zodat deze verklaringen nauwkeurig zijn en voldoen aan de eisen van Sectie 302. De accountant hoeft hierover geen verklaring openbaar te maken, maar wanneer er dergelijke veranderingen nodig zijn moet hij dit doorgeven aan het management. Als het management niet naar tevredenheid reageert, moet hij de auditcommissie informeren. Reageert de auditcommissie niet naar tevredenheid, dan moet hij beoordelen of hij zich moet terugtrekken.
Wanneer dergelijke veranderingen in het vierde kwartaal nodig zijn, en dus van invloed zijn op de jaarlijkse verklaringen, moet de accountant hetzelfde traject volgen. Reageren het management en de auditcommissie in dit geval niet naar tevredenheid, dan moet hij ook een toelichtende paragraaf toevoegen aan zijn verklaring, waarin hij de redenen aangeeft waarom hij vindt dat de verklaring van het management moet worden aangepast (Auditing Standard No. 2, 2004, par.
202-206).
Dit verschil lijkt geen directe gevolgen te hebben voor de ondernemingen die een uitspraak moeten geven over de verantwoordingsbeheersing volgens SOX Sectie 404. Op het eerste gezicht heeft het alleen gevolgen voor de controlerend accountant, die nu twee verklaringen extra moet afgeven, namelijk één bij het in control statement van het management en één over de effectiviteit van de verantwoordingsbeheersing. Voor het management van de ondernemingen heeft het echter wel degelijk gevolgen. In Auditing Standard No. 2 zijn de richtlijnen gegeven waaraan de accountant moet voldoen bij de controle van de beoordeling van de verantwoordingsbeheersing door het management. Dit betekent impliciet dat het management ook moet voldoen aan de eisen gesteld in Auditing Standard No. 2. In paragraaf 20 van Auditing Standard No. 2 worden zelfs expliciet eisen gesteld waaraan het management moet voldoen:
For the auditor to satisfactorily complete an audit of internal control over financial reporting, management must do the following:
a. Accept responsibility for the effectiveness of the company’s internal control over financial reporting;
b. Evaluate the effectiveness of the company’s internal control over financial reporting using suitable control criteria;
c. Support its evaluation with sufficient evidence, including documentation; and
d. Present a written assessment of the effectiveness of the company’s internal control over financial reporting as of the end of the company’s most recent fiscal year.
De code Tabaksblat stelt een afzonderlijke accountantsverklaring bij de uitspraak van het management over de interne risicobeheersings- en controlesystemen niet verplicht. De verklaring van het management in het jaarverslag moet op dezelfde wijze worden onderworpen aan het onderzoek door de externe accountant als de rest van het jaarverslag.
In Audit Alert 18 wordt dit verder uitgewerkt. Hierin wordt aangegeven, dat het stelsel van interne beheersing op zich geen object van onderzoek is. De accountant beoordeelt de interne risicobeheersings- en controlesystemen uitsluitend voor zover dit binnen de gekozen controle aanpak van de jaarrekening noodzakelijk is om vast te stellen in hoeverre de accountant bij de
uitvoering van zijn controle hierop kan steunen. Hij beoordeelt in het kader van de controle slechts de interne risicobeheersings- en controlesystemen voor zover gericht op de financiële verantwoording. Hij moet echter wel een globaal beeld hebben van de stand van zaken van de documentatie en toetsing van de gehele interne risicobeheersings- en controlesystemen. Op grond van zijn bevindingen in het kader van de controle zal hij slechts globaal kunnen beoordelen of (delen van) de rapportage van het bestuur deze stand van zaken adequaat weergeeft.
Ten aanzien van de verklaring van het management over de effectiviteit van de interne risicobeheersings- en controlesystemen moet de accountant nagaan of een dergelijke verklaring is opgenomen in het jaarverslag. Verder moet hij toetsen of de verklaring voldoet aan de rapportage-eisen van de code Tabaksblat, of de verklaring consistent is met de overige uiteenzettingen in het jaarverslag en de jaarrekening en in de pas loopt met de uitkomsten van de wettelijke jaarrekeningcontrole.
Bij de toetsing op de naleving van de principes en best practice bepalingen ten aanzien van de paragraaf inzake risicobeheersings- en controlesystemen zijn de volgende vijf situaties te onderkennen:
a. de bepalingen worden nageleefd en de verantwoording hierover in het jaarverslag is correct;
b. de bepalingen worden niet allemaal nageleefd maar de verantwoording hierover in het jaarverslag is naar de mening van de controlerende accountant toereikend;
c. de bepalingen worden niet allemaal nageleefd en de verantwoording over het niet (volledig) toepassen, is niet opgenomen in het jaarverslag;
d. de verantwoording in het jaarverslag inzake de naleving van de bepalingen bevat materiële tegenstrijdigheden ten opzichte van de jaarrekening;
e. de verantwoording inzake de naleving van de bepalingen geeft een materieel onjuiste voorstelling van zaken.
De situaties onder a en b leiden niet tot aanvullende acties in het kader van de jaarrekeningcontrole. In de situaties c en d is overleg noodzakelijk met het bestuur van de onderneming en zal het bestuur in het jaarverslag toelichtingen voor afwijkingen van de code moeten geven dan wel de uiteenzettingen in het jaarverslag moeten corrigeren en/of aanvullen.
Indien de accountant na overleg met bestuur en commissarissen van de onderneming van mening blijft dat het jaarverslag niet voldoet aan de bij of krachtens artikel 2:391 BW uitgevaardigde bepalingen, dient de accountantsverklaring een toelichtende paragraaf te bevatten. In het geval van situatie d biedt RAC 720.13 ook de mogelijkheid andere maatregelen te nemen zoals het niet afgeven van een accountantsverklaring of het teruggeven van de opdracht. Dit is afhankelijk van de specifieke omstandigheden. In situatie e is overleg met het bestuur van de onderneming noodzakelijk en dient de accountant het bestuur te verzoeken juridisch advies in te winnen. Als de accountant tot de conclusie komt dat er materieel onjuiste informatie in het jaarverslag voorkomt, die het bestuur weigert te corrigeren, moet de accountant de raad van commissarissen hiervan schriftelijk op de hoogte stellen. Leidt dit proces niet tot aanpassing van de informatie in het jaarverslag, dan zal de accountant juridisch advies moeten inwinnen. Als dit advies het standpunt
van de accountant ondersteunt en de vennootschap bij haar standpunt blijft, moet de accountant een toelichtende paragraaf in de accountantsverklaring opnemen (Audit Alert 18; 2006).
In situatie e dient de accountant het bestuur te verzoeken juridisch advies in te winnen. Dit is noodzakelijk voor het bestuur om de positie te bepalen van het bestuur ten opzichte van de gebruikers van de verantwoording inzake de naleving van de bepalingen. Een materieel onjuiste voorstelling van zaken zal namelijk reacties oproepen bij de gebruikers van de verantwoording.
Het bestuur moet dan een goed overzicht hebben van de mogelijke juridische gevolgen. De accountant moet juridisch advies inwinnen als het bestuur weigert de materieel onjuiste informatie te corrigeren en ook na het op de hoogte stellen van de raad van commissarissen geen aanpassingen doorgevoerd worden. Hiervoor wordt verwezen naar RAC RAC 720, paragraaf 18:
Indien de accountant tot de conclusie komt dat een materiële voorstelling van zaken in de andere informatie voorkomt die de leiding van de huishouding weigert te corrigeren, dient de accountant verdergaande passende actie te ondernemen. Daartoe kunnen behoren het schriftelijk aan de organen belast met governance ter kennis brengen van zijn kritiek op de andere informatie en het inwinnen van juridisch advies.
Hiermee bepaalt de accountant zijn positie ten opzichte van het bestuur. De accountant moet vanuit zijn positie als dienstverlener het juridisch advies terugkoppelen naar het bestuur. Wanneer hij juridisch sterk staat, kan hij eerder het bestuur bewegen de informatie in het jaarverslag aan te passen. Door het vooraf inwinnen van juridisch advies, door zowel het bestuur als de accountant, kunnen juridische stappen worden voorkomen of worden geanticipeerd.
Omdat een afzonderlijke accountantsverklaring bij de verklaring van het management over de interne risicobeheersings- en controlesystemen niet verplicht is, heeft dit onderdeel minder gevolgen voor de ondernemingen dan in de Verenigde Staten. In Audit Alert 18 wordt aangegeven, dat het stelsel van interne beheersing op zich geen object van onderzoek is. De verklaring van het management moet op dezelfde wijze worden onderworpen aan het onderzoek door de controlerend accountant als de rest van het jaarverslag. Dit betekent concreet, dat de verklaring van het management over de interne risicobeheersings- en controlesystemen moet zijn opgenomen in het jaarverslag, moet voldoen aan de rapportage-eisen van de code Tabaksblat, consistent moet zijn met de overige uiteenzettingen in het jaarverslag en de jaarrekening en in de pas moet lopen met de uitkomsten van de wettelijke jaarrekeningcontrole.
