Het ‘in control statement’

(1)

Het ‘in control statement’

Margriet Wielens

Studentnummer 1258710 Rijksuniversiteit Groningen

Faculteit de Economische Wetenschappen Variant Accountancy

Begeleider:

Wilmar de Munnik

(2)

Interne beheersing volgens de

Sarbanes-Oxley Act versus de code Tabaksblat

(3)

Inhoudsopgave Afkortingenlijst 5 Samenvatting 6 Voorwoord 8 1 Inleiding 9 1.1 Aanleiding 9

1.2 Waarom dit onderzoek 10

1.3 Probleemstelling 11

1.4 Werkwijze 12

2 De Sarbanes-Oxley Act 17

2.1 Interne beheersing volgens SOX 17

2.2 Ondernemingen die aan SOX moeten voldoen 19

2.3 Rapportage over interne beheersing in het kader van SOX 20

2.4 Conclusie en samenvatting 21

3 De Code Tabaksblat 22

3.1 Definitie interne beheersing volgens de code Tabaksblat 22 3.2 Ondernemingen die aan de code Tabaksblat moeten voldoen 24 3.3 Rapportage over interne beheersing in het kader van de code Tabaksblat 24

4 De overeenkomsten en verschillen 27

4.1 Vergelijking tussen interne beheersing volgens SOX en Tabaksblat 27 4.2 Overzicht van ondernemingen die aan SOX en/of aan Tabaksblat moeten

voldoen 28

4.3 Overeenkomsten en verschillen in rapportageverplichtingen in het kader

van SOX en de code Tabaksblat 28

5 Elementen interne controle 32

5.1 Algemeen 32 5.2 Interne beheersingsomgeving 33 5.3 Risicoanalyse 36 5.4 Beheersingsactiviteiten 39 5.5 Informatie en communicatie 39 5.6 Monitoring 41

(4)

6 Verantwoording over interne beheersing door ondernemingen 42

6.1 Opzet van de analyse 42

6.2 Uitvoering van de analyse 44

7 Conclusie 47

Literatuurlijst 49

Bijlage 1 Nederlandse ondernemingen die aan de code Tabaksblat en aan SOX

moeten voldoen 52

Bijlage 2 Nederlandse ondernemingen die aan de code Tabaksblat en aan SOX

moeten voldoen 53

Bijlage 3 Amerikaanse ondernemingen die aan SOX sectie 404 moeten voldoen 54

(5)

Afkortingenlijst

AMvB Algemene Maatregel van Bestuur

AS2 Auditing Standard 2

BW Burgerlijk Wetboek

COSO Committee of Sponsoring Organizations of the Treadway Commission

IC Interne Controle

ICFR Internal Control over Financial Reporting IFRS International Financial Reporting Standards

RvB Raad van Bestuur

SEC Securities and Exchange Commission SOX Sarbanes-Oxley Act

(6)

Samenvatting

Naar aanleiding van de boekhoudschandalen is in Amerika de Sarbanes-Oxley Act ontworpen. Deze wet heeft tot doel de interne beheersing van financiële verslaggeving te verbeteren en kan worden gezien als een poging van de Amerikaanse wetgever om het tanende publieke vertrouwen in het bedrijfsleven en de beurs een halt toe te roepen.

In Nederland is naar aanleiding van de schandalen bij onder meer Ahold en Shell in 2003 de commissie corporate governance, onder voorzitterschap van mr. M Tabaksblat, geïnstalleerd. De commissie is gevraagd om voor het eind van 2003 met een hernieuwde ‘code of best practice’ op het terrein van corporate governance te komen (met het rapport van de commissie Peters als uitgangspunt). De commissie publiceerde op 9 december 2003 de definitieve versie van de code.

Zowel SOX als de code Tabaksblat zijn allebei tot stand gekomen met als doel de financiële verslaggeving te verbeteren. Bij beide is rapportage over interne controle verplicht geworden. Echter bij zowel SOX als de code Tabaksblat ontbreekt een duidelijke norm waar de interne beheersing aan moet voldoen. In dit onderzoek luidt de centrale vraag:

In hoeverre wijkt de rapportage over het systeem van interne beheersing in het kader van SOX af van de rapportage in het kader van de code Tabaksblat?

Om antwoord te kunnen geven op deze vraag zijn een literatuurstudie en een casestudy gedaan. Bij deze casestudy zijn de jaarverslagen van 10 ondernemingen die alleen aan de code Tabaksblat moeten voldoen, 10 ondernemingen die aan SOX en de code Tabaksblat moeten voldoen en 10 ondernemingen die alleen aan SOX moeten voldoen beoordeeld.

Bij zowel SOX als de code Tabaksblat moet het management 1 keer per jaar een verklaring geven over de werking van de interne controle. Het verschil is dat bij SOX een verklaring moet worden gegeven over de werking van de interne controle per ultimo boekjaar, bij Tabaksblat moet een verklaring worden gegeven over de werking van de interne controle gedurende het boekjaar. Doordat bij Tabaksblat een verklaring wordt gegeven over de werking van het systeem van interne controle over het gehele boekjaar geeft dit naar mijn mening een beter beeld over de kwaliteit van de interne controle dan als deze verklaring alleen over de stand per ultimo boekjaar wordt gegeven. Dat er een verklaring moet worden

(7)

gegeven over de verklaring van de interne controle suggereert dat er een norm is waaraan getoetst moet worden.

Zowel de SEC (nadere uitwerking SOX) als Tabaksblat verwijzen naar het COSO model. Het COSO model moet echter per organisatie verschillend worden toegepast. Hiermee is het COSO model een algemeen model dat ‘over’ de organisatie moet worden gelegd. In sommige gevallen is een element wel van belang en in andere gevallen weer niet. Het COSO model bestaat uit vijf samenhangende componenten. Deze componenten zijn de volgende:

- interne beheersingsomgeving; - risicoanalyse;

- beheersingsactiviteiten; - informatie en communicatie; - monitoring.

Al deze componenten moeten aanwezig zijn en effectief functioneren om tot de conclusie te kunnen komen dat het systeem van interne controle effectief is. Hoe deze componenten worden ingevuld is voor iedere organisatie anders. Hierdoor kan er geen standaard model voor worden gegeven. In deze scriptie zijn aan de hand van COSO een aantal criteria ontworpen waaraan een effectief systeem van interne controle moet voldoen. Aan deze criteria zijn in hoofdstuk 6 de jaarverslagen getoetst.

In het onderzoek kwam naar voren dat ondernemingen die aan Tabaksblat moeten voldoen gericht zijn op het geven van een onderbouwing van de verklaring over interne controle. Vergelijkend met onderneming die alleen aan SOX moeten voldoen wordt er veel meer aandacht geschonken aan de toepassing van de elementen van COSO binnen de organisatie. Ondernemingen die aan SOX moeten voldoen zijn voornamelijk gericht op het geven van een verklaring in plaats van deze verklaring te onderbouwen.

(8)

Voorwoord

Deze scriptie is geschreven als onderdeel van mijn doctorale opleiding economie aan de Rijksuniversiteit Groningen, met afstudeervariant accountancy.

Ik wil mijn begeleider, Wilmar de Munnik van de Rijksuniversiteit Groningen bedanken voor de begeleiding bij het schrijven van mijn scriptie.

(9)

1 Inleiding

1.1 Aanleiding

De discussie over het opnemen van een verklaring over interne beheersing in het jaarverslag is al lang aan de gang. In Amerika kwam dit als zodanig aan de orde toen de commissie Cohen dit in 1978 adviseerde. Het rapport van de commissie Cohen bevatte aanbevelingen dat organisaties moesten rapporteren over het systeem van interne beheersing en dat accountants hierover hun oordeel zouden moeten uitspreken. In april 1979 stelde de Securities and Exchange Commission (SEC)1 regels op, op basis van de aanbevelingen van de commissie Cohen, voor verplichte rapportering over het systeem van interne beheersing van de organisatie. In juni 1980 is dit voorstel van de SEC weer ingetrokken.

In 1985 laaide de discussie over verplichte rapportering over interne beheersing opnieuw op. Dit naar aanleiding van de financiële schandalen van enkele Amerikaanse beursgenoteerde ondernemingen. Echter dit heeft niet geleid tot verplichte rapportering over het systeem van interne beheersing.

Naar aanleiding van recente boekhoudschandalen, zoals Enron en Worldcom, is in Amerika de Sarbanes-Oxley Act (verder SOX) ontworpen. Hieruit kan geconcludeerd worden dat na 3 keer dezelfde aanleiding (de boekhoudschandalen) de maatschappij het wel genoeg vond en is gekomen met strenge wetgeving. Door de boekhoudschandalen was het vertrouwen van beleggers in de financiële rapportages van ondernemingen en het toezicht hierop gedaald. De wet heeft tot doel de interne beheersing van financiële verslaggeving te verbeteren en kan worden gezien als een poging van de Amerikaanse wetgever om het tanende publieke vertrouwen in het bedrijfsleven en de beurs een halt toe te roepen (Diekman, 2005). Volgens artikel 404 van deze wet moet het management één keer per jaar een rapport uitbrengt over de effectiviteit van de interne beheersing van de financiële verslaggeving.

In Nederland kent het opnemen van een verklaring over interne beheersing in het jaarverslag nog niet zo’n lange historie. Met betrekking tot corporate governance werd in april 1996 de commissie Peters ingesteld. Corporate governance gaat over besturen en beheersen, over verantwoordelijkheid en zeggenschap en over verantwoording en toezicht (commissie Peters,

1_{De SEC (Securities & Exchange Commission) is het Amerikaans overheidsorgaan dat toezicht houdt op de}

(10)

1997, p.13). Interne beheersing is hier een onderdeel van. De commissie Peters kreeg tot taak te onderzoeken of het toenmalige evenwicht tussen toezicht, bestuur en aandeelhouders binnen de beursgenoteerde vennootschappen houdbaar was tegen de achtergrond van de internationalisering van de Nederlandse economie. Het rapport van de commissie Peters bevat 40 aanbevelingen om de transparantie over het gevoerde ondernemingsbeleid en de verantwoording daarover te vergroten en om de aandeelhouders meer zeggenschap te geven, zodat zij inadequaat beleid of inadequate beleidsvoering kunnen corrigeren. De commissie gaf nog geen aanbeveling over de rapportage van interne beheersing in het jaarverslag. De commissie deed slechts de aanbeveling dat in het jaarverslag de hoofdzaken van de rapportage van het bestuur aan de commissarissen, betreffende ondernemingsdoelstellingen en ondernemingsstrategie en de risico’s en mechanismen tot beheersing van risico’s van financiële aard moest worden opgenomen.

Naar aanleiding van de schandalen bij onder meer Ahold en Shell is op 10 maart 2003 de commissie corporate governance, onder voorzitterschap van mr. M Tabaksblat, geïnstalleerd. De commissie is een initiatief van een aantal private partijen in Nederland en is gevraagd om voor het eind van 2003 met een hernieuwde ‘code of best practice’ op het terrein van corporate governance te komen (met het rapport van de commissie Peters als uitgangspunt). De commissie publiceerde op 9 december 2003 de definitieve versie van de code. Volgens deze code moet het management in het jaarverslag verantwoording afleggen over de opzet en werking van de interne beheersing. Het doel van de code Tabaksblat is een goed systeem van corporate governance bij de Nederlandse organisaties te bewerkstelligen. Want ‘een goed systeem van corporate governance draagt bij aan een goed functionerende economie’ [Commissie Corporate Governance, 2003]. Voor een nadere uitwerking van de code Tabaksblat is de monitoring commissie in het leven geroepen. Deze commissie heeft tot taak de actualiteit en bruikbaarheid van de code te bevorderen en de naleving ervan door de Nederlandse beursgenoteerde vennootschappen te bewaken.

1.2 Waarom dit onderzoek

Zowel SOX als de code Tabaksblat zijn allebei tot stand gekomen met als doel de financiële verslaggeving te verbeteren. Het gaat dus alleen om de interne beheersing met betrekking tot de financiële verslaggeving, de interne controle. Bij beide is rapportage hierover verplicht

(11)

geworden. Echter bij zowel SOX als de code Tabaksblat ontbreekt een duidelijke norm waar de interne beheersing aan moet voldoen. Dit blijkt wel uit de volgende citaten:

“Er bestaat op dit moment geen gezaghebbende bron waaraan een nadere invulling van de aan de bestuursverklaring te stellen eisen kan worden ontleend. Sterker nog, het is niet eens duidelijk of sprake moet zijn van een expliciete verklaring over interne beheersing, analoog met de accountantsverklaring, of kan worden volstaan met een beschrijving in het jaarverslag. De Code Tabaksblat beperkt zich tot algemene formuleringen en ook de wetgever komt noch in de tekst van de wet noch in de nota van toelichting tot concrete aanbevelingen.” (Sampers).

“Het duiden van de interpretatieleemtes heeft veel tijd gevergd en is nog niet afgerond’’ (accountancy nieuws, 6 mei 2005 nr 9).

In dit rapport zal worden geprobeerd invulling te geven aan de norm voor interne beheersing volgens SOX en de code Tabaksblat.

1.3 Probleemstelling

In dit onderzoek zal worden geprobeerd een eerste aanzet te geven voor een duidelijke normstelling voor interne beheersing in het kader van SOX en de code Tabaksblat.

De centrale vraag van onderzoek luidt:

In hoeverre wijkt de rapportage over het systeem van interne beheersing in het kader van SOX af van de rapportage in het kader van de code Tabaksblat?

De centrale onderzoeksvraag is onder te verdelen in een aantal deelvragen, namelijk:

1. De Sarbanes-Oxley Act

1.1 Wat is de betekenis en reikwijdte van het begrip interne beheersing volgens SOX?

(12)

1.3 Waar moet de rapportage hierover aan voldoen?

2. De code Tabaksblat

2.1 Wat is de betekenis en reikwijdte van het begrip interne beheersing volgens de code Tabaksblat?

2.2 Welke ondernemingen moeten aan deze wettelijke verplichting voldoen? 2.3 Waar moet de rapportage hierover aan voldoen?

3. Wat zijn de overeenkomsten en verschillen?

3.1 Wat zijn de overeenkomsten en verschillen in de betekenis en reikwijdte van interne beheersing volgens SOX en de code Tabaksblat?

3.2 Welke ondernemingen moeten aan SOX en/of de code Tabaksblat voldoen? 3.3 Wat zijn de overeenkomsten en verschillen aan de rapportageverplichtingen in

het kader van interne beheersing volgens SOX en de code Tabaksblat?

4 Aan welke criteria moet een adequaat en effectief systeem van interne controle voldoen?

5. Hoe leggen ondernemingen hier verantwoording over af?

In ieder hoofdstuk wordt een antwoord gegeven op een deelvraag. Het antwoord op de centrale onderzoeksvraag wordt beantwoord in de conclusie.

1.4 Werkwijze

1.4.1 Afbakening

In de probleemstelling komen twee termen naar voren die enige toelichting vereisen. Dit zijn de termen interne beheersing en interne controle. Deze termen zullen hier worden gedefinieerd. Onder de term interne beheersing wordt het volgende verstaan:

Het systeem dat het management in staat stelt om de risico’s, die het behalen van doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen (Emanuels, 2005).

(13)

Hierbij gaat het om de doelstellingen in de volgende drie categorieën: - effectiviteit en efficiëntie van bedrijfsprocessen;

- de betrouwbaarheid van de financiële rapportage; en - naleving van relevante wet- en regelgeving.

Onder een systeem wordt een doelmatig geordend geheel van bij elkaar horende entiteiten en hun onderlinge relaties verstaan (Emanuels, 2005).

Het begrip interne controle heeft alleen betrekking op de doelstelling betrouwbare financiële verslaggeving. Met andere woorden, interne controle is een systeem dat het management in staat stelt de risico’s die de betrouwbaarheid van de financiële verslaggeving bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen.

In de literatuur worden voor deze begrippen verschillende synoniemen gebruikt. Bijvoorbeeld ‘internal control’ voor het begrip interne beheersing en het begrip ‘internal control over financial reporting’ voor het begrip interne controle. Om duidelijkheid in het verslag aan te brengen zullen in dit verslag de begrippen interne beheersing en interne controle worden gehanteerd.

In de inleiding komt het begrip corporate governance aan de orde. Corporate Governance is een stelsel van omgangsvormen voor bij de vennootschap en haar onderneming betrokken direct belanghebbenden – met name bestuurders, commissarissen en kapitaalverschaffers – inhoudende een aantal regels voor goed bestuur en goed toezicht en regels voor een verdeling van taken, verantwoordelijkheden en bevoegdheden die een evenwichtige invloed bewerkstelligen van bij de vennootschap en haar en haar onderneming betrokkenen. Uitgangspunt daarbij is dat bestuurders en commissarissen over hun taakuitoefening ook publiekelijk verantwoording dienen af te leggen (commissie Peters, 1997, p.14). Interne beheersing vormt hier een onderdeel van.

1.4.2 Literatuuronderzoek

Om antwoord te kunnen geven op de eerste vier deelvragen zal een literatuur onderzoek worden verricht. Er zijn momenteel veel artikelen over interne beheersing te vinden. Als eerst zal in kaart worden gebracht wat SOX onder interne beheersing verstaat, welke ondernemingen hieraan moeten voldoen en waarover gerapporteerd moet worden. Vervolgens zal worden onderzocht wat de code Tabaksblat onder interne beheersing verstaat, welke

(14)

ondernemingen hieraan moeten voldoen en waarover gerapporteerd moet worden. Hierna zullen de overeenkomsten en verschillen tussen de interne beheersing volgens SOX en de code Tabaksblat geanalyseerd worden. Vervolgens zal in kaart worden gebracht aan welke criteria een effectief systeem van interne beheersing moet voldoen. Voor de gebruikte literatuur wordt verwezen naar de literatuurlijst.

1.4.3 Casestudy

Deelvraag 5 zal worden beantwoord door middel van een empirisch onderzoek. Aan de hand van een casestudy zal het bovenstaande worden getoetst aan de praktijk. Hiervoor zullen de jaarverslagen worden gebruikt van ondernemingen die alleen op de Nederlandse beurs genoteerd zijn, ondernemingen met alleen een beursnotering op de Amerikaanse beurs en ondernemingen met een beursnotering op de Nederlandse en Amerikaanse beurs.

1.4.4 Structuur

Om het overzicht niet uit het oog te verliezen zijn de verschillende deelvragen in een conceptueel model geplaatst. Zie figuur 1.

In hoofdstuk 2 wordt SOX behandeld. In paragraaf 1 van dit hoofdstuk zal antwoord worden gegeven op de vraag wat interne beheersing is volgens SOX. In paragraaf twee wordt antwoord gegeven op de vraag welke ondernemingen aan deze wettelijke verplichting moeten voldoen. In paragraaf drie zal worden weergegeven waar de rapportage over interne beheersing aan moet voldoen. Tot slot zal in paragraaf vier een conclusie en samenvatting worden gegeven van dit hoofdstuk.

In hoofdstuk 3 zal de code Tabaksblat behandeld worden. In de eerste paragraaf van dit hoofdstuk zal antwoord worden gegeven op de vraag wat interne beheersing is volgens de code Tabaksblat. In paragraaf twee wordt weergegeven welke ondernemingen aan deze wettelijke verplichting moet voldoen. In paragraag drie wordt uiteengezet waar de rapportage over interne beheersing in het kader van de code Tabaksblat aan moeten voldoen. Tot slot zal in paragraaf vier een conclusie en samenvatting van dit hoofdstuk worden gegeven.

(15)

In hoofdstuk 4 zal SOX vergeleken worden met de code Tabaksblat. Hier zullen de overeenkomsten en verschillen worden weergegeven. In paragraaf 1 wordt een vergelijking gegeven tussen de definitie van interne beheersing volgens SOX en de code Tabaksblat. In paragraaf twee wordt aangegeven welke ondernemingen aan SOX en/of de code Tabaksblat moeten voldoen. In paragraaf drie worden de overeenkomsten en verschillen weergegeven tussen de rapportage in het kader van SOX en de code Tabaksblat. Tot slot wordt in paragraaf vier een conclusie en samenvatting gegeven.

In hoofdstuk 5 zal antwoord worden gegeven op de vraag waar het systeem van interne controle aan moet voldoen, zodat het management kan verklaren dat dit systeem adequaat en effectief is. In paragraaf 1 van dit hoofdstuk wordt het COSO model geïntroduceerd. Vervolgens komen in de paragrafen daarna alle componenten van het systeem van interne controle aan de orde. Hier zal per component een aantal criteria worden gedefinieerd waaraan een adequaat systeem van interne beheersing moet voldoen. Tenslotte zal in paragraaf 7 een conclusie en samenvatting worden gegeven.

Uiteindelijk zal in hoofdstuk 6 op basis van de bevindingen in de vorige hoofdstukken een toetsing aan de praktijk plaatsvinden. Dit door een analyse van de jaarverslagen van 2005. Hierin zal worden gekeken hoe Amerikaanse en Nederlandse ondernemingen verantwoording afleggen over interne beheersing.

(16)

Figuur 1 Conceptueel model SOX Artikel 404 Hfdst 2 De code Tabaksblat Artikel II.1.4 Hfdst. 3 “onduidelijke” normstelling over interne beheersing. Duidelijkheid norm creëren. Literatuur – COSO Hfdst. 5 Casestudy – COSO Hfdst. 6

(17)

2 De Sarbanes-Oxley Act

In paragraaf 1 van dit hoofdstuk zal antwoord worden gegeven op vraag wat de betekenis en reikwijdte is van interne beheersing volgens SOX. In paragraaf 2 wordt behandeld welke ondernemingen aan SOX moeten voldoen. Vervolgens wordt in paragraaf 3 weergegeven waar de rapportage over interne beheersing volgens SOX aan moet voldoen. Tot slot zal in paragraaf 4 een conclusie en samenvatting van dit hoofdstuk worden gegeven.

2.1 Interne beheersing volgens SOX

Uit SOX heeft sectie 404 betrekking op interne beheersing. Sectie 404 luidt als volgt:

“(a) The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall—(1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.

(b) With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement.”

Het management moet dus in elk jaarverslag een verklaring geven over de werking van het systeem van interne beheersing en procedures voor de financiële verslaggeving aan het eind van het boekjaar. SOX is in recordtempo geschreven. Bij de inwerkingtreding van deze wet waren alleen de hoofdlijnen geformuleerd. De SEC is belast met het verder uitwerken van deze wet door het uitvaardigen van nadere regels en voorschriften. Over de reikwijdte van het begrip interne beheersing bestond onduidelijkheid. Het was onduidelijk of het management een verklaring moest geven over de interne beheersing in brede zin of uitsluitend over de

(18)

interne controle. Om duidelijkheid omtrent sectie 404 te scheppen heeft de SEC interne controle als volgt geformuleerd (final rules):

“A process designed by, or under the supervision of, the registrant's principal executive and principal financial officers, or persons performing similar functions, and effected by the registrant's board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles.”

Hier geeft het SEC aan dat het management in een verklaring moet geven over de werking van de interne controle. Echter in deze definitie komen termen naar voren die niet nader door de SEC zijn uitgewerkt. Hierbij gaat het om de termen: proces, redelijke mate van zekerheid en betrouwbaarheid van de financiële verslaggeving. Doordat deze termen niet duidelijk zijn geformuleerd blijft de normstelling onduidelijk. Het gevolg hiervan is dat de norm door iedere manager anders geïnterpreteerd kan worden. Hierdoor zullen de verklaringen over de werking van de interne controle een grote mate van subjectiviteit bevatten.

Om de normstelling verder uit te werken zal ik hier deze begrippen verder uitwerken.

Een proces wordt gedefinieerd als: een gesystematiseerde opeenvolging van gelijkgerichte activiteiten (Jans, 2001). Dit betekent dat interne controle bestaat uit een gesystematiseerde opeenvolging van gelijkgerichte activiteiten. In hoofdstuk 5 wordt het proces van interne controle nader uitgewerkt.

De term ‘reasonable assurance’ geeft aan dat het systeem van interne controle een hoge, maar geen absolute zekerheid geeft dat de verslaggeving van de onderneming betrouwbaar is. Ieder systeem van interne beheersing kent inherente factoren waardoor het systeem geen absolute zekerheid kan bieden. Deze factoren kunnen worden ingedeeld in 2 categorieën: menselijk handelen en economische afwegingen.

Mensen kunnen bewust en onbewust fouten maken waardoor het systeem van interne beheersing geen absolute zekerheid kan bieden. Een voorbeeld van een fout die iemand bewust of onbewust kan maken is dat bij het invoeren van factuurgegevens een fout gemaakt wordt. Ook is het economisch niet altijd verantwoord om voor alle risico’s interne controlemaatregelen op te zetten. Sommige risico’s zullen zich zelden of nooit voor doen. Het

(19)

is dan economisch niet verantwoord om voor deze risico’s interne beheersingsmaatregelen op te zetten.

De term betrouwbaarheid van de financiële verslaggeving duidt erop dat de financiële verslaggeving een getrouwe weergave geeft van de realiteit en is opgesteld conform de algemene aanvaardbare accounting principes. In Nederland is dit de IFRS in Amerika de US GAAP. Dit betekent dat als het jaarverslag volgens deze regels is opgesteld en de cijfers op de realiteit berusten het jaarverslag een getrouw beeld geeft van de werkelijkheid en dus betrouwbaar is.

Een verklaring over interne beheersing betekent dus dat het management een oordeel moet geven over de kwaliteit van de interne controle. Een dergelijk oordeel zal gebaseerd moeten zijn op onderzoek en dus goed onderbouwd. Het doen van een oordeel suggereert de aanwezigheid van een norm waaraan de werkelijkheid kan worden getoetst. Momenteel bestaat geen norm waaraan wordt getoetst. De SEC verwijst in de ‘final rules’ naar het COSO model. Het COSO model moet echter per organisatie verschillend worden toegepast. Hiermee is het COSO model een algemeen model dat ‘over’ de organisatie moet worden gelegd. In sommige gevallen is een element wel van belang en in andere gevallen weer niet. In Hoofdstuk 5 wordt meer in detail de normstelling uitgewerkt.

2.2 Ondernemingen die aan SOX moeten voldoen

SOX is van toepassing op alle ondernemingen die verplicht zijn kwartaal- en jaarrapportages in te dienen bij de SEC als gesteld onder de paragrafen 13(a) en15(d) van de Exchange Act uit 1934. Dit betekent dat ook Nederlandse ondernemingen met een rechtstreekse beursnotering in de Verenigde Staten en Nederlandse deelnemingen van ondernemingen met een Amerikaanse notering onder SOX vallen.

Sectie 404 is van kracht voor een domestic registrant vanaf boekjaren eindigend op of na 15 november 2004. Voor foreign registrants is deze sectie van toepassing vanaf boekjaren eindigend op of na 15 juli 2006.

(20)

SOX is via sectie 906 gekoppeld aan het Amerikaanse strafrecht. Het niet naleven van de bepalingen van SOX kan leiden tot geldboetes van maximaal US $ 5 miljoen en gevangenisstraf van maximaal twintig jaar.

2.3 Rapportage over interne beheersing in het kader van SOX

Het management moet in het jaarverslag een oordeel geven over de werking van de interne controle. Hierbij is de vraag wanneer het management tot de conclusie kan komen dat het systeem effectief is. De SEC geeft aan dat het management niet tot de conclusie kan komen dat het systeem van interne controle effectief is als er sprake is van een materiële tekortkoming. Een materiële tekortkoming in de interne controle wordt gedefinieerd als een tekortkoming die zodanig is dat een materiële fout in de jaarrekening mogelijk is. Het management kan wel tot de conclusie komen dat de interne controle effectief is als er sprake is van een tekortkoming waarbij het getrouwe beeld van de jaarrekening niet wordt aangetast. De SEC vereist dat het management een uitspraak doet over de effectiviteit van de interne controle aan het eind van het boekjaar en niet gedurende het jaar. Dit betekent dat een materiële tekortkoming gedurende het jaar niet hoeft te leiden tot de conclusie dat het systeem aan het eind van het jaar niet effectief is, mits er tijdig correctieve maatregelen zijn getroffen.

De verklaring over interne controle in het jaarverslag moet de volgende elementen bevatten [www.sec.gov/rules/final.shtml, release no. 33-8238, AS2 artikel 162]:

- Een bewering van het management dat zij verantwoordelijk is voor de opzet en instandhouding voor een adequaat systeem van interne controle.

- Een verwijzing naar het model dat gebruikt is bij de evaluatie van het systeem van interne controle.

- Een oordeel over de effectiviteit van de interne controle.

- Een bespreking van alle materiële tekortkomingen in de interne controle.

- Een uitspraak dat de externe accountant van de onderneming een verklaring heeft afgegeven bij de uitspraak van het management

Indien er sprake is van een materiële tekortkoming moet over het volgende worden gerapporteerd:

- Het feit dat het management een materiële tekortkoming in de interne controle heeft geïdentificeerd;

(21)

- Een definitie van of verwijzing naar het begrip materiële tekortkoming; en

- Acties die het management heeft ondernomen om de materiële tekortkoming te corrigeren.

2.4 Conclusie en samenvatting

In deze paragraaf zal antwoord worden gegeven op de eerste deelvraag. Deze vraag luidt als volgt:

Wat is de betekenis en reikwijdte van het begrip interne beheersing volgens SOX, welke ondernemingen moeten hier aan voldoen en waar moet de rapportage hierover voldoen?

Een verklaring over interne beheersing betekent dat het management een oordeel moet geven over de werking van de interne controle per ultimo boekjaar. Hierdoor kan er bij materiële tekortkomingen gedurende het jaar geconcludeerd worden dat het systeem van interne controle effectief is, mits er tijdig corrigerende maatregelen zijn getroffen. Deze verklaring kan het management geven wanneer zij onderzoek heeft gedaan naar de werking van de interne controle. Uit dit hoofdstuk blijkt dat er geen duidelijke normstelling aanwezig is. De SEC verwijst in de ‘final rules’ naar het COSO model. Het COSO model moet echter per organisatie verschillend worden toegepast. Hieruit kan geconcludeerd worden dat het doen van objectief onderzoek door het ontbreken van een duidelijke norm wordt bemoeilijkt. Oftewel dergelijke onderzoeken bevatten altijd een bepaalde mate van subjectiviteit omdat de norm anders kan worden geïnterpreteerd. In hoofdstuk 5 zal de normstelling worden uitgewerkt.

SOX is geldend voor alle ondernemingen met een notering op de Amerikaanse beurs, hierdoor moeten ook Nederlandse ondernemingen met een Amerikaanse beursnotering voldoen aan SOX.

(22)

3 De code Tabaksblat

In dit hoofdstuk zal antwoord worden gegeven op de tweede deelvraag. Het hoofdstuk is als volgt opgebouwd. In paragraaf 1 wordt antwoord gegeven op de vraag wat interne beheersing is volgens de code Tabaksblat. In paragraaf 2 wordt behandeld welke ondernemingen aan de code Tabaksblat moeten voldoen. Vervolgens wordt in paragraaf 3 weergegeven waar de rapportage over interne beheersing volgens de code Tabaksblat aan moet voldoen. Tot slot wordt in paragraaf 4 dit hoofdstuk samengevat en wordt de conclusie behandeld.

3.1 Definitie interne beheersing volgens de code Tabaksblat

De code Tabaksblat geeft in onderdeel II een aantal best practice bepalingen die te maken hebben met interne beheersing en risicomanagement.

De verklaring van het bestuur met betrekking tot interne beheersing is opgenomen in best practice bepaling II.1.4. De tekst van deze best practice bepaling luidt als volgt:

“In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken.” (Commissie Corporate Governance, 2003, p.9)

In bepaling II.1.3 wordt een intern risicobeheersings- en controlesysteem als volgt omschreven:

´In de vennootschap is een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig. Als instrument van het interne risicobeheersings- en controlesysteem hanteert de vennootschap in ieder geval:

a) risicoanalyses van de operationele en financiële doelstellingen van de vennootschap; b) een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst; c) handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures;

(23)

d) een systeem van monitoring en rapportering.´ (Commissie Corporate Governance, 2003, p.9)

Uit deze omschrijving blijkt dat niet de doelstelling wordt omschreven, maar slechts een omschrijving van een aantal componenten, waarbij uit de toevoeging ‘in ieder geval’ kan worden afgeleid dat deze beschrijving niet limitatief is. Door het ontbreken van een duidelijke doelomschrijving is het niet duidelijk waar een adequaat en effectief systeem van interne beheersing aan moet voldoen.

De monitoring commissie is in haar rapport met de aanbeveling gekomen om de verklaring van het management uit hoofde van artikel II.1.4 te differentiëren naar soort risico in die zin dat ten aanzien van financiële verslaggeving risico’s het management met een “redelijke mate van zekerheid“ verklaart dat de beheersingssystemen adequaat en effectief zijn terwijl ten aanzien van operationele en ‘compliance’ risico’s de beheersingssystemen op hoofdlijnen worden beschreven, dit om zoveel mogelijk aan te sluiten bij het COSO model en de internationale gangbare best practices (Monitoring commissie, rapport 2005, p. 52).

Hieruit blijkt dat bij de invoering van de code Tabaksblat het management in het jaarverslag een verklaring moest geven over de werking van de interne beheersing in brede zin. Door de aanbeveling van de monitoring commissie is de verantwoording die het management moet afleggen in het jaarverslag beperkt tot het geven van een verklaring over de werking van het systeem van interne controle.

De monitoring commissie is van mening dat niet in alle redelijkheid aan het ondernemingsbestuur kan worden gevraagd om een verklaring te geven over de werking over het gehele systeem van interne beheersing. “Het management kan van de operationele en ‘compliance’ risico’s nooit tot zo’n robuust ‘in control het statement’ kan komen, zoals vereist voor de financiële rapportage.” (Van Manen, in artikel Rothuizen, 2006).

Deze eis impliceert dat er een raamwerk is dat het management kan hanteren bij de beoordeling van de interne controle. De code Tabaksblat geeft in de verklaring van enkele in de code gebruikte begrippen aan dat het management in het ‘in control statement’ aangeeft welk raamwerk of normenkader is gehanteerd. Net als bij SOX wordt hierbij een verwijzing gemaakt naar het COSO model, waarbij ook hier het COSO model voor iedere organisatie anders moet worden ingevuld. Dit model is echter niet het verplicht voorgeschreven model. Ondernemingen kunnen dus afwijken van dit model zolang het gehanteerde model maar

(24)

geschikt is voor een evaluatie van de interne controle. De normstelling wordt in hoofdstuk 5 meer in detail uitgewerkt.

3.2 Ondernemingen die aan de code Tabaksblat moeten voldoen

De code is van toepassing op alle vennootschappen met statutaire zetel in Nederland en waarvan aandelen of certificaten van aandelen zijn toegelaten tot de officiële notering van een van overheidswege erkende effectenbeurs (hierna: beursgenoteerde vennootschappen). De code is niet van toepassing op beleggingsinstellingen die als financiële producten kunnen worden aangemerkt.

De corporate governance code is in werking getreden vanaf het boekjaar beginnend op of na 1 januari 2004. Dit betekent dat er in het jaarverslag over boekjaar 2004 gerapporteerd moet worden over de naleving van de corporate governance code.

De code heeft een wettelijke basis gekregen door de sedert 1 oktober 2004 geldende lid 4 van artikel 2:391 BW. Hierin staat dat bij algemene maatregel van bestuur ( ‘AMvB’) nadere voorschriften kunnen worden gesteld omtrent de inhoud van het jaarverslag. Op 30 december is de AMvB in het staatsblad gepubliceerd (2004, 747). Artikel 3 hiervan luidt:

"De naamloze vennootschap doet in het jaarverslag mededeling over de naleving van de principes en "best practice" -bepalingen van de in artikel 2 aangewezen gedragscode die zijn gericht tot het bestuur of de raad van commissarissen van de vennootschap. Indien de vennootschap die principes of "best practice" -bepalingen niet heeft nageleefd of niet voornemens is deze in het lopende en daaropvolgende boekjaar na te leven, doet zij daarvan in het jaarverslag gemotiveerd opgave." Hierdoor is de rapportage over de naleving van de code Tabaksblat verplicht geworden.

3.3 Rapportage over interne beheersing in het kader van de code Tabaksblat

In het kader van artikel II.1.4 moet een onderneming over het volgende rapporteren (Monitoring commissie, rapport 2005, p. 64):

(25)

- wordt verklaard dat de risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat;

- wordt verklaard dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt;

- wordt verklaard dat er geen indicaties zijn dat de risicobeheersings- en controlesystemen in het lopende jaar niet naar behoren zullen werken;

- eventuele tekortkomingen die mogelijkerwijs materiële gevolgen kunnen hebben en in het verslagjaar respectievelijk het lopende jaar zijn geconstateerd worden gemeld, waarbij tevens aangebrachte of geplande verbeteringen worden aangegeven.

2. Ten aanzien van andere risico’s (operationele/strategische risico’s en wet- en regelgeving risico’s):

- een beschrijving van de risicobeheersings- en controlesystemen op basis van de geïdentificeerde belangrijke risico’s wordt gegeven;

- indien van toepassing, belangrijke tekortkomingen die in het verslagjaar zijn geconstateerd worden gemeld, waarbij tevens aangebrachte of geplande verbeteringen worden aangegeven.

Voor wat betreft de inhoud van een “redelijke mate van zekerheid” dient uitgegaan te worden van wat als zodanig geldt voor een zorgvuldig handelend bestuurder in de gegeven omstandigheden.

In deze paragraaf zal antwoord worden gegeven op de tweede deelvraag. Deze vraag luidt als volgt:

Wat is de betekenis en reikwijdte van het begrip interne beheersing volgens Tabaksblat, welke ondernemingen moeten hier aan voldoen en waar moet de rapportage hierover voldoen?

Een verklaring over interne beheersing betekent dat het management een oordeel moet geven over de werking van de interne controle gedurende het boekjaar. Hierdoor kan er bij een materiële tekortkomingen gedurende het jaar niet geconcludeerd worden dat het systeem van interne controle effectief is. Ook niet als er tijdig corrigerende maatregelen zijn getroffen.

(26)

Deze verklaring kan het management geven wanneer zij onderzoek heeft gedaan naar de werking van de interne controle. Uit dit hoofdstuk blijkt dat er geen duidelijke normstelling aanwezig is. Net als bij SOX wordt hierbij een verwijzing gemaakt naar het COSO model, waarbij ook hier het COSO model voor iedere organisatie anders moet worden ingevuld. Hieruit kan geconcludeerd worden dat het doen van objectief onderzoek door het ontbreken van een duidelijke norm wordt bemoeilijkt. Oftewel dergelijke onderzoeken bevatten altijd een bepaalde mate van subjectiviteit omdat de norm anders kan worden geïnterpreteerd. In hoofdstuk 5 zal de normstelling worden uitgewerkt.

De code is in werking getreden vanaf het boekjaar beginnend op of na 1 januari 2004 en is geldend voor ondernemingen met een Nederlandse beursnotering. De code heeft een wettelijke basis gekregen door lid 4 van artikel 2:391 BW. Dit betekent dat ondernemingen verplicht moeten rapporteren over de naleving van de code. Als een onderneming een best practice bepaling niet naleeft moet de onderneming dit in het jaarverslag uitleggen.

Het ‘in control statement’ moet een verklaring over de werking van de financiële risico’s en een beschrijving van de andere (operationele/strategische risico’s en wet- en regelgeving risico’s) risico’s bevatten.

(27)

4 De overeenkomsten en verschillen

In dit hoofdstuk zullen de overeenkomsten en verschillen tussen SOX en de code Tabaksblat behandeld worden. Het hoofdstuk is als volgt opgebouwd. In paragraaf 1 zal interne beheersing volgens SOX en code Tabaksblat vergeleken worden. In paragraaf 2 wordt een overzicht gegeven welke ondernemingen aan SOX en/of de code Tabaksblat moeten voldoen. In paragraaf 3 wordt de rapportage in het kader van SOX vergeleken met de rapportage in het kader van de code Tabaksblat. Tot slot wordt in paragraaf 4 dit hoofdstuk samengevat en wordt de conclusie behandeld.

4.1 Vergelijking tussen interne beheersing volgens SOX en code Tabaksblat

Als gevolg van de aanbeveling van de monitoring commissie, zijn de verschillen in reikwijdte tussen SOX en de code Tabaksblat verdwenen. Bij zowel SOX als de code Tabaksblat moet het management van een onderneming in het jaarverslag een oordeel geven over de werking van de interne controle. Echter bij SOX moet het management een oordeel geven over de werking van de interne controle aan het eind van het boekjaar. De code Tabaksblat verlangt een oordeel over de werking van de interne controle gedurende het boekjaar.

De code Tabaksblat verlangt naast een oordeel over de werking van de interne controle een beschrijving van de interne beheersing met betrekking tot de operationele en ‘compliance’ risico’s. In SOX worden hier geen regels voor gesteld.

Bij zowel SOX als de code Tabaksblat bestaat er onduidelijkheid over de norm waaraan moet worden getoetst. Beide verwijzen naar het COSO model. Het COSO model moet echter per organisatie verschillend worden toegepast. Hiermee is het COSO model een algemeen model dat ‘over’ de organisatie moet worden gelegd. In sommige gevallen is een element wel van belang en in andere gevallen weer niet. In hoofdstuk 5 wordt de normstelling verder uitgewerkt.

(28)

4.2 Overzicht van ondernemingen die aan SOX en/of de code Tabaksblat moeten voldoen?

SOX is geldend voor ondernemingen met een notering op de Amerikaanse beurs. Ondernemingen die op de Nederlandse beurs zijn genoteerd moeten aan de code Tabaksblat voldoen. Dit betekent dat een onderneming met zowel een notering op de Amerikaanse beurs als op de Nederlandse beurs aan SOX en de code Tabaksblat moet voldoen. Hieronder is dit in een overzicht weergegeven.

SOX code Tabaksblat Een onderneming met een Nederlandse beursnotering Nee ja

Een onderneming met een Amerikaanse beursnotering Ja nee Een onderneming met een Amerikaanse en Nederlandse

Beursnotering

Ja Ja

4.3 Overeenkomsten en verschillen in de rapportageverplichtingen in het kader van SOX en de code Tabaksblat

In deze paragraaf zullen de rapportageverplichtingen van SOX vergeleken worden met de rapportageverplichtingen van de code Tabaksblat.

In het kader van zowel SOX als de code Tabaksblat moet een oordeel worden gegeven over de werking van de interne controle. Dit betekent dat het management een verklaring moet geven dat met een redelijke mate van zekerheid kan worden gezegd dat de financiële verslaggeving betrouwbaar is en geen fouten van materieel belang bevat. Als er sprake is van een materiële tekortkoming in de interne controle kan het management niet tot de conclusie komen dat het systeem van interne controle effectief is. Bij zowel SOX als de code Tabaksblat moeten alle materiële tekortkomingen in de interne controle worden vermeld. Ook moet bij beide worden verwezen naar een raamwerk dat is gebruikt bij de evaluatie van de interne controle. Daarnaast moeten veranderingen in de interne controle worden aangegeven. Er zijn echter ook verschillen. De code Tabaksblat verlangt naast het bovenstaande nog een beschrijving van de interne beheersing met betrekking tot de operationele en ‘compliance’ risico’s.

(29)

SOX verlang naast het bovenstaande nog een vermelding van het management dat zij verantwoordelijk is voor het opzetten en in stand houden van een adequaat systeem van interne controle. Tevens moet het management aangeven dat de externe accountant een verklaring heeft afgegeven bij de verklaring van het management.

In deze paragraaf zal antwoord worden gegeven op de derde deelvraag. Deze vraag luidt als volgt:

Wat zijn de overeenkomsten en verschillen tussen SOX en de code Tabaksblat?

In de tabel hieronder worden de overeenkomsten en verschillen tussen SOX en de code Tabaksblat samengevat.

De Sarbanes-Oxley Act De code Tabaksblat

Uitspraak over de interne controle in het jaarverslag

Oordeel over effectiviteit van opzet en werking

interne controle aan het eind van het boekjaar

Oordeel over effectiviteit van opzet en werking

interne controle gedurende het boekjaar

Verklaring externe accountant

Ja, zowel bij management- evaluatieproces als bij effectiviteit

interne beheersing

Beperkt, de verklaring van het management vormt geen object van onderzoek. De accountant moet wel beoordelen of het jaarverslag waar de verklaring onderdeel van uitmaakt niet strijdig is met de jaarrekening.

Raamwerk Eisen geformuleerd waaraan

raamwerk moet voldoen.

Geen verplicht raamwerk

Geen eisen waaraan het raamwerk moet voldoen geformuleerd

(30)

aangewezen.

COSO wordt geschikt geacht

aangewezen

Als voorbeeld wordt COSO genoemd

Toepassingsgebied Ondernemingen die op de Amerikaanse beurs zijn genoteerd

Ondernemingen die op de Nederlandse beurs zijn genoteerd

Rapportage over interne controle

▪het management is verantwoordelijk voor de opzet en instandhouding van een adequaat systeem van interne controle.

▪Een verwijzing naar het raamwerk dat gebruikt is bij de evaluatie van het systeem van interne controle.

▪Een oordeel over de werking van de interne controle aan het eind van het boekjaar.

▪Een bespreking van alle materiële tekortkomingen in de interne controle.

▪Een uitspraak dat de externe accountant van de onderneming een verklaring heeft afgegeven bij de uitspraak van het management

-

▪Verwijzing naar het raamwerk dat is gebruikt voor de evaluatie van de interne controle

▪Oordeel over de werking van de interne controle gedurende het boekjaar

▪Een bespreking van alle materiële tekortkomingen in de interne controle

-

▪Vermelding dat er geen aanwijzingen zijn dat de interne controle in komend boekjaar niet naar behoren zal functioneren.

(31)

Beschrijving interne beheersing met betrekking tot ‘compliance’ en operationele risico’s

(32)

5 Elementen interne controle

In dit hoofdstuk zullen de elementen waar de interne controle aan moet voldoen worden behandeld. Hiervoor wordt gebruik gemaakt van het COSO model. In paragraaf 1 zal een toelichting worden gegeven op het COSO model en er zal worden uitgelegd waarom er in deze scriptie voor dit model is gekozen. In de daarop volgende paragrafen zullen achtereenvolgens de verschillende componenten van interne beheersing aan bod komen. Tot slot zal in de laatste paragraaf een conclusie en samenvatting van dit hoofdstuk worden gegeven.

5.1 Algemeen

COSO staat voor Committee of Sponsoring Organizations of de Treadway Commission. Deze commissie is opgesteld eind jaren 80 van de vorige eeuw. Aanleiding voor dit model is een aantal grote fraudezaken in de jaren 80 van de vorige eeuw. Met dit model werd beoogd een algemeen, wereldwijd, aanvaardbaar model te creëren voor een systeem van interne beheersing. Zo’n 14 jaar later wordt dit model nog steeds toegepast, zoals bijvoorbeeld in de code Tabaksblat en in de literatuur van verschillende universiteiten. Op basis hiervan kan worden geconcludeerd dat het doel, het realiseren van een algemeen wereldwijd aanvaardbaar model, is gerealiseerd. Om deze reden is in deze scriptie gekozen voor het COSO model voor interne beheersing.

COSO betreft een systeem voor interne beheersing dat bestaat uit een vijftal samenhangende componenten. Het betreft hier een systeem waarbij wordt uitgegaan van de definitie van het begrip systeem zoals is weergegeven in paragraaf 1.4.1. De vijf samenhangende componenten van het model zijn:

- interne beheersingsomgeving; - risicoanalyse;

- beheersingsactiviteiten; - informatie en communicatie; - monitoring.

(33)

evenals een aantal methoden en technieken om vorm te geven aan deze componenten. Alle componenten zijn relevant voor elke doelstelling van interne beheersing. De componenten moeten aanwezig zijn en effectief functioneren om tot de conclusie te kunnen komen dat het systeem van interne beheersing doeltreffend is.

In dit hoofdstuk worden de inhoudelijke aspecten en de methoden en technieken nader uiteen gezet. Tevens wordt door middel van een aantal voorbeelden uiteengezet waarom sprake is van samenhang, en dus een systeem, tussen de genoemde componenten. Uiteindelijk wordt per component een aantal criteria gedefinieerd waaraan een adequaat systeem van interne beheersing moet voldoen.

5.2 Interne beheersingsomgeving

De interne beheersingsomgeving wordt wel gezien als het fundament van interne beheersing. De interne beheersingsomgeving kan worden vergeleken met het bouwen van een huis. Een huis zonder fundament zal op termijn instorten. Een vergelijkbare situatie geldt voor de interne beheersingsomgeving. Een systeem van interne beheersing zonder beheersingsomgeving zal op termijn instorten. Het fundament van een dergelijk systeem kan als volgt worden weergegeven:

De interne beheersingsomgeving verschilt per organisatie en dient dan ook per specifieke situatie te worden ingevuld. Een van de aspecten van de interne beheersingsomgeving betreft

Interne

(34)

de organisatiestructuur. Per organisatie is niet van te voren te zeggen welke organisatiestructuur het beste daarbij past. Dit is afhankelijk van meerdere factoren.

De aspecten van de interne beheersingsomgeving zijn:

- integriteit en ethisch handelen. Hiermee wordt bedoeld dat wanneer binnen ondernemingen niet met elkaar wordt afgesproken dat men ethisch handelt, mensen dit ook verschillend zullen interpreteren. Een onderneming zal dus moeten benoemen wat onder integriteit en ethisch handelen wordt verstaan. De mate waarin dit wordt uitgewerkt verschilt per onderneming. Een voorbeeld: in de bouwwereld wordt niet expliciet benoemd om ethisch te handelen. Ieder individu zal dan op basis van zijn/haar eigen waarden en normen gaan handelen. Deze waarden en normen kunnen verschillen per persoon. De een zal het wel acceptabel vinden vooroverleg te plegen over de prijsstelling en een ander niet. Dit leidt tot ongewenst handelen, met ongewenste en onzekere effecten waardoor het niet mogelijk is met een bepaalde mate van zekerheid te stellen dat de organisatiedoelstellingen worden gerealiseerd. Daarom is het noodzakelijk om integriteit en ethisch handelen te benoemen en te expliciteren. Bij een organisatie waarin veelal gelijkgestemde mensen werken, bijvoorbeeld een advocatenkantoor, zal dit een andere uitwerking hebben.

- Draagvlak voor competenties. In de onderneming zijn verschillende functies die er samen voor moeten zorgen dat de doelstellingen van de onderneming worden bereikt. Voor deze functies zijn verschillende competenties nodig. Hierom moeten voor alle functies binnen de onderneming functieomschrijvingen worden gemaakt en worden geanalyseerd wat voor competenties ervoor nodig zijn. De persoon die een functie uitvoert moet over de kennis en ervaring beschikken die nodig is om die functie uit te voeren. Een voorbeeld is dat een medewerker van de administratie kennis moet hebben van boekhouden. Als deze medewerker niet over deze kennis beschikt leidt dit tot onzekerheid in de financiële verslaggeving. Deze persoon kan bijvoorbeeld kosten op een verkeerde grootboekrekening boeken waardoor een fout in de jaarrekening ontstaat.

- Raad van commissarissen of Audit committee. In de onderneming moet een raad van commissarissen of audit committee aanwezig zijn die toezicht houdt op het bestuur. Hierdoor kan in de gaten worden gehouden dat het management in het belang van de onderneming handelt en niet haar eigen belangen nastreeft. Om deze taak naar behoren uit te voeren moeten deze commissies tijdig de juiste informatie ontvangen. Ook

(35)

moeten de leden van deze commissies over de juiste kennis en ervaring beschikken. Een voorbeeld is dat het audit committee belast is met het toezicht houden op de werking van het systeem van interne beheersing. Hiervoor moet het audit committee de juiste informatie van het bestuur krijgen. Ook moeten de leden van deze commissie over de kennis en ervaring beschikken om het systeem van interne beheersing te kunnen evalueren. Als het audit committee constateert dat er sprake is van een tekortkoming in de interne beheersing moet deze commissie de bevoegdheid hebben om corrigerende maatregelen te ontwerpen en te implementeren.

- Management filosofie en manier van leidinggeven. De manier van leiding geven heeft invloed op de organisatie. Het management bepaalt hoe de onderneming tegenover risico’s staat. Iedere onderneming heeft een andere risicostrategie. De ene onderneming zal er voor kiezen om veel risico’s te lopen, terwijl een andere onderneming juist zo min mogelijk risico’s wil lopen. De risicostrategie van de onderneming is bepalend voor het verdere systeem van interne beheersing. In de risicoanalyse wordt namelijk bepaald voor welke risico’s de onderneming beheersingmaatregelen opzet. Dit is afhankelijk van de risicostrategie en dus voor iedere onderneming anders.

- Ook de houding van het management tegenover de gegevensverwerkende en accounting functie is een belangrijke factor voor de doelstelling betrouwbare financiële verslaggeving. Het is belangrijk dat het management de gegevensverwerkende en accounting functie als een belangrijke en onmisbare functie ziet. Hierdoor zullen de medewerkers dit ook als een belangrijke en onmisbare functie zien en hier zorgvuldig mee omgaan. Dit leidt tot betrouwbare financiële rapportage.

- Het management moet niet gericht zijn op korte termijn doelstellingen. Dit kan leiden tot verkeerde verantwoordingen. Bijvoorbeeld een sales manager moet een omzet halen van 100.000 euro in de maand. Aan het eind van de maand merkt hij dat hij deze doelstelling niet gaat halen. Om deze doelstelling te bereiken gaat hij producten aan klanten verkopen waarvan hij al weet dat deze klanten in het beging van de volgende maand deze producten weer terug brengen. Hierdoor haalt de sales manager zijn doelstelling, maar de omzet is hoger weergegeven dan de omzet in werkelijkheid is (in het begin van de volgende maand wordt de omzet namelijk weer terug geboekt). Als de onderneming niet was gericht op deze doelstelling had de sales manager dit niet gedaan en was de omzet juist geweest.

(36)

- Organisatiestructuur. De organisatiestructuur is voor iedere onderneming anders en moet passen bij de onderneming en haar omgeving. Zo kan een onderneming in een stabiele omgeving een centrale ondernemingsstructuur hebben. Een onderneming die steeds moet reageren op veranderingen in de omgeving vereist een decentrale ondernemingsstructuur. Uit de organisatiestructuur moet blijken wat de verantwoordelijkheden van de managers zijn.

- De verdeling van taken en bevoegdheden. In de organisatie moeten de taken en bevoegdheden van alle medewerkers worden gedefinieerd en naar hen worden gecommuniceerd. Als een werknemer niet weet wat zijn taken zijn kan hij ze ook niet uitvoeren. De bevoegdheden van een werknemer moeten aansluiten bij zijn taken. Bijvoorbeeld een werknemer die belast is met de inkopen moet bevoegd zijn inkopen te doen. Als hij hier niet toe bevoegd is kan hij zijn taak niet uitvoeren.

- Human Resource Beleid en procedures. De organisatie moet beleid en procedures hebben met betrekking tot het in dienst nemen, opleiden en belonen van werknemers. Hierbij is het belangrijk dat competente medewerkers worden geworven en opgeleid. Om het functioneren van de medewerkers te vergroten moeten medewerkers regelmatig een functioneringsgesprek krijgen. Hierin moet het functioneren van de desbetreffende medewerker worden besproken en eventuele suggesties voor verbeteringen worden gegeven. Het human resource beleid moet de ethische waarden van de onderneming ondersteunen. Dit kan bijvoorbeeld door integriteit en ethische waarden een criterium te laten vormen in de beloning van medewerkers.

5.3 Risicoanalyse

In de risicoanalyse moeten de risico’s van de onderneming worden benoemd. Om de risico’s te kunnen bepalen moet eerst de doelstelling worden geformuleerd. In het kader van SOX en code Tabaksblat is dit betrouwbare financiële verslaggeving. Dus in de risicoanalyse moeten alle risico’s worden benoemd die de betrouwbaarheid van de financiële verslaggeving in de weg staan. Om deze risico’s te bepalen moeten de volgende stappen worden doorlopen.

Als eerst moet de materialiteit worden bepaald voor de jaarrekening en voor de individuele posten in de jaarrekening. Hierbij zou het criterium van de accountant als uitgangspunt kunnen worden genomen. De materialiteit geeft de omvang van een fout of onnauwkeurigheid in de jaarrekening aan waardoor, als die zich voordoet, ook iemand zonder financiële

(37)

achtergrond waarschijnlijk tot andere beslissingen zou komen. Hierbij moet de materialiteit op het niveau van de jaarrekeningpost voldoende laag zijn om ervoor te zorgen dat significante tekortkomingen van de interne beheersing worden geïdentificeerd.

Nadat de materialiteit is bepaald moeten de significante jaarrekeningposten worden bepaald. Deze zijn nodig om de processen die significant zijn voor de jaarrekening te bepalen. Een post of een groep posten is als significant aan te merken als zich fouten kunnen voordoen die van materieel belang zijn of als er een belangrijke samenhang is met jaarrekeningrisico’s.

Daarbij zal op de eerste plaats de materialiteit worden toegepast op de posten van de jaarrekening. Posten en/of groepen van jaarrekeningposten met totaalsaldi die ongeveer gelijk of groter zijn dan de toelaatbare fout, zijn waarschijnlijk significant. De materialiteit van het totaalsaldo van een post is echter niet de enige factor die van belang is bij het bepalen van de significante posten. Andere belangrijke risicofactoren bij het bepalen van een significante post of groep van posten zijn:

• omvang en samenstelling van de financiële post en de individuele transacties die verwerkt worden voor die post, waaronder ook de gevoeligheid voor diefstal of fraude;

• de mate van subjectiviteit bij het bepalen van het saldo (dat wil zeggen de mate waarin dit afhankelijk is van menselijk oordeel of inschatting). Als een post een grote mate van subjectiviteit kent is de post als significant aan te merken.

• de aard van de post (bijvoorbeeld tussenrekeningen vereisen over het algemeen meer aandacht);

• bijzondere boekhouden rapportageprincipes voor de betreffende post (account);

• het bestaan van transacties met verbonden partijen.

Na het bepalen van de significante posten, moet de onderneming een analyse maken van alle andere bekende risicogebieden die kunnen leiden tot significante fouten. Daarbij zou gebruik gemaakt kunnen worden van de volgende informatiebronnen:

• internal audit rapportages;

• aanbevelingen van de externe accountant uit het verleden;

• knelpunten die besproken zijn tijdens bestuursvergaderingen of andere interne overlegplatformen die van belang kunnen zijn.

De posten in het financieel verslag die worden beïnvloed door dergelijke risicogebieden moeten worden toegevoegd aan de lijst met significante posten.

(38)

Nadat alle significante posten zijn benoemd moeten alle processen die invloed hebben op de significante jaarrekeningposten worden geïdentificeerd. In deze processen moeten alle risico’s worden benoemd. Hierbij moet voor elk significant proces in de processtappen punten worden geïdentificeerd waarbij informatie wordt geïnitieerd, overgedragen of veranderd. Bij elk punt moet worden nagegaan wat er fout kan gaan. Vervolgens moet worden vastgesteld welke interne beheersingsmaatregelen dit kunnen voorkomen of detecteren.

Om het bovenstaande te verduidelijken zal hier een voorbeeld worden gegeven voor de post voorraden. De post voorraden heeft bijna altijd een materiële invloed op de jaarrekening. Dit komt doordat de post voorraden meestal een groot gedeelte uitmaakt van de totale activa. Hierdoor is de jaarrekeningpost voorraden een significante post. Nu moeten de processen die invloed hebben op de post voorraden worden geïdentificeerd. Twee processen die invloed hebben op de post voorraden zijn het inkoop- en verkoopproces. Hier zal alleen een voorbeeld worden gegeven voor het inkoopproces.

Het inkoopproces kent de volgende stappen:

Plaatsen bestelorder – goederenontvangstprocedure – ontvangst inkoopfactuur – betalen factuur

Na het bepalen van de processtappen moet voor elk punt waarbij informatie wordt geïnitieerd, overgedragen of veranderd de risico’s worden bepaald.

Een voorbeeld van een risico bij het plaatsen van een bestelorder is dat dit is gedaan door iemand die hier niet toe bevoegd is. Een voorbeeld van een beheersingsmaatregel om dit te voorkomen is een autorisatietabel te maken waarin staat wie er bevoegd is om in te inkopen. Een voorbeeld van een risico bij het betalen van de factuur is dat het bedrag naar de verkeerde rekening wordt overgemaakt. Een beheersingsmaatregel kan zijn dat een werknemer een betaaladvieslijst maakt, een andere werknemer deze controleert en vervolgens door iemand anders wordt betaald. Degene die de betaaladvieslijst betaalt mag hier geen wijzigingen meer in aanbrengen.

Ook moet er functiescheiding zijn. Degene die inkoopt mag de factuur niet verwerken of betalen.

(39)

5.4 Beheersingsactiviteiten

In de risicoanalyse zijn de risico’s bepaald en zijn er interne beheersingsmaatregelen ontworpen om deze risico’s te beheersen. In de onderneming moeten ook beheersingsactiviteiten aanwezig zijn die toezicht houden op de werking van de beheersingsmaatregelen. Als de beheersingsmaatregelen niet werken zoals de onderneming had beoogd wordt nog steeds het risico gelopen dat er een fout van materieel belang in de jaarrekening zit en de jaarrekening dus niet getrouw is. Om door te gaan op het voorbeeld in de vorige paragraaf over de risicoanalyse waarin is gezegd dat er als beheersingsmaatregel een autorisatietabel aanwezig moet zijn, moet er toezicht op de naleving hiervan worden gehouden. Dus dat er alleen door medewerkers die hiervoor geautoriseerd zijn wordt ingekocht. Er kan wel een autorisatietabel zijn, maar als niemand zich er aan houdt en hier geen toezicht op wordt gehouden is de beheersingsmaatregel niet effectief.

De risico’s die de onderneming loopt zijn aan veranderingen onderhevig. Hierdoor moet bewaakt worden dat de interne beheersingsmaatregelen nog gericht zijn op de actuele risico’s die de onderneming loopt. De onderneming is alleen in staat om nieuwe risico’s te identificeren en te beheersen als de risicoanalyse is ingebed in de processen van de onderneming.

Ook moet er toezicht op worden gehouden dat de procedures die worden uitgevoerd nog nodig zijn. Het kan zijn dat door veranderingen bepaalde risico’s voor de onderneming niet meer aanwezig zijn. De procedures die de onderneming had om deze risico’s te beheersen zijn dan niet meer nodig. Bijvoorbeeld dat de onderneming een systeem krijgt dat automatisch een order plaatst bij de leverancier als de voorraad onder een bepaald niveau komt. Hierdoor is de autorisatietabel niet meer noodzakelijk. Er ontstaan hierdoor echter wel nieuwe risico’s.

5.5 Informatie & Communicatie

Informatie en communicatie vormen een essentieel bestanddeel van het systeem van interne beheersing en zit verweven in alle componenten van het systeem. Informatiestromen in een onderneming kunnen worden vergeleken met de aderen in het menselijk lichaam. Het is van essentieel belang voor een mens, zonder bloed kun je niet leven. Dit geldt ook voor de organisatie. Zonder communicatie van informatie is de organisatie niet in staat om haar doelstellingen te bereiken. Hierbij is het belangrijk dat iedereen de juiste informatie krijgt op

(40)

het juiste moment en dat de informatie van voldoende gedetailleerd niveau is, passend bij de informatiebehoefte van de informatievrager. Informatie moet door de gehele organisatie stromen, door alle niveaus van de organisatie. Hierbij moet informatie van de top naar beneden stromen, van beneden naar boven en in de verschillende niveaus van de organisatie. Dit is weergegeven in de volgende figuur:

De informatie heeft betrekking op alle componenten van het systeem van interne beheersing. Een voorbeeld hiervan is dat medewerkers op de hoogte moeten zijn van de ethisch waarden van de onderneming. Als de medewerker hier niet van op de hoogte is, kan de medewerker hier ook niet naar handelen. Hierdoor kan ongewenst gedrag ontstaan.

Een ander voorbeeld is dat medewerkers kennis moeten hebben van de richtlijnen met betrekking tot de financiële rapportage. Alleen dan kan de werknemer ze ook toepassen en zal dit bijdragen aan de doelstelling betrouwbare financiële verslaggeving.

Tactisch

Operationeel Strategisch