De invloed van interne beheersraamwerken op de
externe controlekosten
Een case studie bij FrieslandCampina
Paul van de Wiel
Rijksuniversiteit Groningen
Faculteit Economie en Bedrijfskunde
Juni 2011
Trefwoorden:
Interne beheersing, intern beheersraamwerk, COSO, „in-control‟, rol externe en interne
accountant, NV COS 610, „FrieslandCampina Internal Control Framework‟,
2
De invloed van interne beheersraamwerken op de
externe controlekosten
Een case studie bij FrieslandCampina
Rijksuniversiteit Groningen
Faculteit Economie en Bedrijfskunde
Masterthesis Accountancy & Controlling
Afstudeerrichting: Accountancy
Afstudeerbegeleider: K. de Haan RA
Tweede begeleider: M.G. Slot MSc EMA
Auteur: Paul van de Wiel
Studentnummer: s1615513
Juni 2011
3
Voorwoord
Voor u ligt mijn scriptie ter afsluiting van de master Accountancy aan de Rijksuniversiteit Groningen. Het betekent echter niet het einde van mijn studententijd, daar ik ervoor gekozen heb om een tweede master te gaan volgen op het gebied van Finance. Deze scriptie is het resultaat van ongeveer acht maanden onderzoek waarin ik heb onderzocht in hoeverre een effectief intern beheersraamwerk bijdraagt aan een efficiëntere jaarrekeningcontrole, wat een daling van de externe controlekosten tot gevolg heeft. De scriptie is tot stand gekomen vanuit de vraag van FrieslandCampina om te onderzoeken in hoeverre hun nieuwe interne beheersraamwerk bijdraagt aan de reductie van de externe controlekosten.
Deze scriptie was niet tot stand gekomen zonder de hulp van FrieslandCampina. Ik wil met name Gert Hagedoorn, directeur van de interne accountantsdienst van FrieslandCampina, bedanken voor de mogelijkheid die hij me heeft gegeven voor het uitvoeren van dit onderzoek. Ik ben hem dankbaar voor de kans die ik heb gekregen om een kijkje te mogen nemen binnen een interne accountantsdienst van een grote onderneming. Ook wil ik Marloes Buijtenhek van
FrieslandCampina bedanken voor haar begeleiding en informatie over het interne beheersraamwerk van FrieslandCampina.
Daarnaast wil ik graag de twee externe accountants bedanken voor hun tijd en medewerking aan de interviews, die veel tijd in beslag hebben genomen. Zij hebben mij inzichten gegeven over de visie van externe accountants ten opzichte van interne beheersraamwerken in het kader van de jaarrekeningcontrole. Verder wil ik Mevr. De Haan bedanken voor haar begeleiding vanuit de Rijksuniversiteit Groningen.
Rest mij u veel leesplezier toe te wensen,
Paul van de Wiel
4
Samenvatting
In deze scriptie is onderzoek gedaan naar de invloed van interne beheersraamwerken op de externe controlekosten, aan de hand van onderstaande centrale onderzoeksvraag:
“In hoeverre draagt een effectief intern beheersraamwerk bij aan een efficiëntere
jaarrekeningcontrole van de externe accountant, wat een daling van de externe controlekosten tot gevolg heeft?”
Om tot een antwoord van de centrale onderzoeksvraag te komen is allereerst een
wetenschappelijk literatuuronderzoek uitgevoerd op het gebied van interne beheersraamwerken. Daarnaast is er een kwalitatief interpretatieve case studie uitgevoerd bij FrieslandCampina in de vorm van diepte-interviews. De centrale onderzoeksvraag is beantwoord door de resultaten van de case studie bij FrieslandCampina te koppelen aan de resultaten van het wetenschappelijk literatuuronderzoek.
Op basis van deze scriptie kan worden geconcludeerd dat het implementeren van een effectief intern beheersraamwerk bijdraagt aan een efficiëntere jaarrekeningcontrole van de externe accountant, wat een daling van de externe controlekosten tot gevolg heeft. Door een effectief intern beheersraamwerk te implementeren kunnen ondernemingen hun externe controlekosten met ongeveer een kwart reduceren.
Daarnaast blijkt uit de resultaten van deze scriptie dat op het moment dat een onderneming eenmaal een effectief intern beheersraamwerk heeft geïmplementeerd, er weinig verdere efficiëntievoordelen met het interne beheersraamwerk zijn te behalen. Zo is gebleken dat het gebruikmaken van het werk van de interne accountantsdienst met betrekking tot interne beheersraamwerken (self-assessments), slechts zal leiden tot een beperkte bijdrage aan de reductie van de externe controlekosten.
5
Inhoudsopgave
Voorwoord ... 3 Samenvatting ... 4 1.0 Inleiding ... 8 1.1 Introductie... 8 1.2 Vraagstelling en onderzoeksdoel ... 10 1.3 Wetenschappelijke relevantie ... 11 1.4 Praktische relevantie ... 12 1.5 Indeling onderzoeksrapport ... 12 2.0 Interne beheersraamwerken ... 142.1 Begrip interne beheersing ... 14
2.2 Interne beheersraamwerken ... 15
2.2.1 COSO ... 15
2.2.2 ABIB ... 17
2.2.3 CoBIT ... 18
2.3 Gebruik interne beheersraamwerken door ondernemingen en accountants ... 18
2.3.1 Onderzoek naar gebruik interne beheersraamwerken ... 20
2.4 Beantwoording deelvragen 1 en 2 ... 21
3.0 Verhouding en samenwerking tussen de interne accountantsdienst en de externe accountant met betrekking tot de interne beheersing ... 22
3.1 De interne accountantsdienst in het kader van de interne beheersing ... 22
3.2 De externe accountant in het kader van de interne beheersing ... 24
3.3 Samenwerking tussen de interne accountantsdienst en de externe accountant ... 25
3.4 Steunen op het werk van de interne accountantsdienst ... 27
3.4.1 Wetgeving ... 27
3.4.2 Onderzoek ... 28
6
4.0 Het FrieslandCampina Internal Control Framework ... 30
4.1 Voordelen van het interne beheersraamwerk ... 30
4.2 Overzicht en structuur ... 32
4.2.1 Self-assessments (SA‟s) ... 33
4.2.2 Link met COSO ... 33
4.3 De rol van de interne accountantsdienst ... 34
4.4 Implementatieproces ... 34
4.5 Beantwoording deelvraag 4 ... 35
5.0 Onderzoeksmethodologie ... 37
5.1 Onderzoeksmethoden ... 37
5.2 Het semigestructureerde diepte-interview ... 37
5.3 Onderwerpen semigestructureerd diepte-interview ... 39
5.4 Beperkingen onderzoeksmethoden ... 40
6.0 Resultaten ... 41
6.1 Visie van externe accountants op interne beheersraamwerken ... 41
6.1.1 Belang interne beheersing ... 41
6.1.2 Interne beheersraamwerken ... 42
6.1.3 Definitie van een effectief intern beheersraamwerk ... 44
6.1.4 Bekende interne beheersraamwerken ... 44
6.2 Visie van externe accountants op het FrieslandCampina Internal Control Framework ... 46
6.2.1 Implementatieproces ... 46
6.2.2 Structuur en diepgang ... 47
6.2.3 Relevante en bruikbare onderdelen van het interne beheersraamwerk ... 48
6.2.4 Belang van het FrieslandCampina Internal Control Framework voor de externe accountant ... 49
6.3 Visie van externe accountants op de verhouding en samenwerking tussen de interne accountantsdienst en de externe accountant met betrekking tot de interne beheersing ... 50
6.3.1 Huidige verhouding en samenwerking ... 50
6.3.2 Rol interne accountantsdienst met betrekking tot het interne beheersraamwerk ... 51
6.3.3 De NV COS 610 ... 53
7
6.4 Steunen op het interne beheersraamwerk van FrieslandCampina ... 55
6.4.1 Testen op werking ... 55
6.4.2 Efficiëntievoordelen van het interne beheersraamwerk ... 56
6.4.3 Verbeterpunten en aanbevelingen ... 60
6.5 Beantwoording deelvragen 5 en 6 ... 61
7.0 Conclusies ... 63
7.1 Conclusies... 63
7.2 Beperkingen onderzoek ... 65
7.3 Aanbevelingen voor wetenschappelijk vervolgonderzoek ... 66
Referenties ... 67
Bijlage 1: Handleiding interview ... 73
8
1.0 Inleiding
1.1 Introductie
Ingegeven door een aantal grote boekhoudschandalen in binnen- en buitenland (bijvoorbeeld Enron, WorldCom en Ahold) en de financiële crisis als gevolg van het falen van
risicomanagementsystemen bij banken is internal control, ofwel interne beheersing, de laatste decennia een opkomend begrip. Hiermee ontstond ook de grote behoefte aan een
gemeenschappelijke definitie van interne beheersing (Soeting en Spoor, 2003; Renes, 2004). The Committee of Sponsoring Organizations of the Treadway Commission (COSO) uit de V.S. speelde in op deze behoefte en kwam in 1992 met een raamwerk, het Internal Control Integrated Framework (COSO I). Dit interne beheersraamwerk geeft naast een definitie van interne
beheersing, aanbevelingen voor de opzet en evaluatie van de interne beheersing (Sampers, 2005). Sindsdien worden de raamwerken van COSO gezien als een internationale standaard op het gebied van interne beheersing (Renes, 2004; Spruyt, 2005).
Interne beheersingssystemen zijn voor ondernemingen van groot belang voor de inschatting van risico‟s, optimalisatie van informatie-uitwisseling en voor de inzichtelijkheid in de effectiviteit van bedrijfsprocessen (NIVRA, 2002). Het opkomende belang van interne beheersing bij
ondernemingen heeft geleidt tot de wens van verschillende belanghebbenden om ondernemingen in het jaarverslag transparanter te laten zijn over de eigen interne beheersing. Dit heeft ertoe geleidt dat in tal van landen de afgelopen jaren er steeds strengere eisen zijn gekomen voor ondernemingen ten aanzien van de externe rapportage over de eigen interne beheersing. Zo heeft de invoering van de Nederlandse Corporate Governance Code geleidt tot de verplichting voor beursgenoteerde ondernemingen om een „in-control‟ verklaring af te geven of om in het
jaarverslag aan te geven waarom ze geen „in-control‟ verklaring hebben afgegeven. In de V.S. is de „in-control‟ verklaring verplicht voor beursgenoteerde ondernemingen vanwege de Sarbanes Oxley wet (SOx). De „in-control‟ verklaring houdt onder meer in dat het bestuur verklaart dat de interne beheersings- en controlesystemen adequaat en effectief werken (Renes, 2004). Hiermee betracht de wetgever inzicht te krijgen inzake de evaluatie van de effectiviteit van de interne beheersing.
Zowel in Nederland als in de V.S. ligt het in de rede dat het bestuur van een onderneming in de „in-control‟ verklaring aangeeft welk raamwerk of normenkader men heeft gehanteerd bij de evaluatie van de effectiviteit van de interne beheersing. Hierbij wordt het COSO raamwerk expliciet genoemd door wetgevers als standaard voor de evaluatie van de effectiviteit van de interne beheersing, maar ondernemingen kunnen ook kiezen voor een ander intern
beheersraamwerk. Veel ondernemingen gebruiken echter al een raamwerk van COSO of een op COSO gebaseerd raamwerk als basis voor de inrichting van de eigen interne beheersing, zodat het bereiken van ondernemingsdoelstellingen op een beheerste manier georganiseerd wordt. Tevens worden interne beheersraamwerken gebruikt door ondernemingen om de kwaliteit van hun interne beheersing te analyseren, te beoordelen en te verbeteren (NIVRA, 2002). Interne
accountantsdiensten van ondernemingen spelen vaak een belangrijke rol bij het implementeren en evalueren van interne beheersraamwerken.
Externe accountants krijgen tijdens de jaarrekeningcontrole ook te maken met interne beheersraamwerken. In het kader van de jaarrekeningcontrole dient de externe accountant de effectiviteit van de interne risicobeheersings- en controlesystemen voor zover gericht op de financiële verantwoording te beoordelen. Het doel hiervan is om vast te stellen in welke mate potentiële fouten reeds worden tenietgedaan door interne beheersmaatregelen. De externe accountant verzamelt hiervoor informatie door onder andere het inwinnen van inlichtingen bij de
9
leiding en anderen binnen de onderneming, waarneming ter plaatse en documentanalyse (Majoor et al., 2007). Ook zal de externe accountant de kwaliteit van het interne beheersraamwerk van de onderneming beoordelen (indien aanwezig) door zich onder andere te verdiepen in diverse beheerscomponenten van het interne beheersraamwerk zoals de beheersomgeving, risicoanalyse en interne beheersmaatregelen.
Daarnaast gebruiken externe accountants, vooral in de V.S., in toenemende mate zelf interne beheersraamwerken als norm die de basis vormt voor hun beoordeling van de effectiviteit van de interne beheersing. In het kader van SOx dient de externe accountant namelijk te beoordelen of het bestuur van een onderneming een effectieve interne controleomgeving heeft gebouwd. Deze beoordeling kan alleen getest worden door de externe accountant door deze met een norm - een intern beheersraamwerk - te vergelijken.
De vernieuwde wetgeving met betrekking tot de interne beheersing heeft geleidt tot een hoop extra werk en hogere controlekosten voor ondernemingen. De afgelopen jaren zijn er veel
artikelen verschenen waarin gesteld wordt dat de eisen van de vernieuwde wetgeving te ver gaan. Zo zou er onevenredig veel werk gaan zitten in het vaststellen van de effectiviteit van de interne beheersmaatregelen en het documenten hiervan. Daarnaast zou het implementeren van interne beheersraamwerken erg veel geld en tijd kosten (Van Leeuwen, 2005).
Door de extra maatregelen als gevolg van de invoering van nieuwe wetten en de inherente kosten die hieraan verbonden zijn, is er de laatste jaren een toenemende aandacht vanuit de literatuur voor de stijgende controlekosten en hoe deze controlekosten in te dammen zijn (bijvoorbeeld Coustan et al., 2004; Eldridge en Kealey, 2005; Sneller en Langendijk, 2007). Aangezien ondernemingen vaak een intern beheersraamwerk gebruiken voor de inrichting van de eigen interne beheersing en externe accountants deze interne beheersing deels moeten beoordelen, is het interessant om te onderzoeken of externe accountants interne beheersraamwerken van
ondernemingen gebruiken tijdens de jaarrekeningcontrole. Het literatuuronderzoek en de case studie bij FrieslandCampina in deze scriptie, richten zich specifiek op de vraag in hoeverre een effectief intern beheersraamwerk kan bijdragen aan een efficiëntere jaarrekeningcontrole van de externe accountant, wat een daling van de externe controlekosten tot gevolg heeft.
FrieslandCampina is ontstaan uit de fusie tussen Friesland Foods en Campina eind 2008.
FrieslandCampina is een multinationale zuivelonderneming waarvan alle aandelen in handen zijn van Zuivelcoöperatie FrieslandCampina, waarbij ruim 15.000 ledenmelkveebedrijven in
Nederland, Duitsland en België zijn aangesloten. FrieslandCampina levert zuivelproducten aan meer dan honderd landen wereldwijd en had in 2010 een omzet van bijna 9 miljard euro1. FrieslandCampina is niet direct verplicht om te voldoen aan de Nederlandse Corporate
Governance Code, maar FrieslandCampina past de principes en best practice-bepalingen van de corporate governance code actief toe op vrijwillige basis. Hier komt ook de uitrol van het interne beheersraamwerk uit voort.
In 2009 is de interne accountantsdienst van FrieslandCampina begonnen met de uitrol van een nieuw intern beheersraamwerk voor de eigen interne beheersing, het zogenaamde
FrieslandCampina Internal Control Framework. FrieslandCampina heeft gepland om eind 2011 het interne beheersraamwerk volledig te hebben geïmplementeerd. Het hebben van een intern beheersraamwerk biedt FrieslandCampina uiteenlopende voordelen. Een intern beheersraamwerk helpt FrieslandCampina onder andere bij de voorbereiding van de opstelling van de „in-control‟ verklaring en bij de harmonisatie van interne beheersmaatregelen binnen een werkmaatschappij.
1
10
Tevens creëert het interne beheersraamwerk bewustzijn voor het belang van interne beheersmaatregelen bij werknemers van FrieslandCampina. In deze scriptie zal onderzocht worden in hoeverre de implementatie van het nieuwe interne beheersraamwerk van
FrieslandCampina bijdraagt aan de reductie van externe controlekosten.
1.2 Vraagstelling en onderzoeksdoel
In deze scriptie zal de relatie tussen het hebben van een intern beheersraamwerk en de hoogte van de externe controlekosten worden onderzocht. Om dit doel te bereiken zijn de onderzoeksvragen onderverdeeld in een centrale onderzoeksvraag en een aantal deelvragen.
Vraagstelling
Het onderzoek richt zich op de centrale onderzoeksvraag en de hiervan afgeleide deelvragen.
Centrale onderzoeksvraag:
“In hoeverre draagt een effectief intern beheersraamwerk bij aan een efficiëntere
jaarrekeningcontrole van de externe accountant, wat een daling van de externe controlekosten tot gevolg heeft?”
Deelvragen:
1. Wat is een intern beheersraamwerk en wanneer is een intern beheersraamwerk effectief?
2. Wat is het meest voorkomende interne beheersraamwerk?
3. Wanneer is een intern beheersraamwerk efficiënt voor de jaarrekeningcontrole van de externe accountant?
4. Wat is het belang van een intern beheersraamwerk voor FrieslandCampina?
5. Gebruikt de externe accountant het interne beheersraamwerk van FrieslandCampina bij de jaarrekeningcontrole en wat zijn de randvoorwaarden van de externe
accountant om al dan niet gebruik te maken van dit interne beheersraamwerk? 6. Welke verbeterpunten en aanbevelingen zijn er te noemen ten aanzien van het interne
beheersraamwerk van FrieslandCampina, zodat de externe controlekosten in de toekomst verder gereduceerd kunnen worden?
Onderzoeksdoel
De primaire doelstelling van deze scriptie is onderzoeken in hoeverre een effectief intern beheersraamwerk bijdraagt aan een efficiëntere jaarrekeningcontrole van de externe accountant, wat een daling van de externe controlekosten tot gevolg heeft. Met behulp van een
literatuuronderzoek zal allereerst informatie verzameld worden over interne beheersraamwerken en over de samenwerking en verhouding tussen de externe accountant en de interne
accountantsdienst met betrekking tot interne beheersraamwerken. Daarna zal aan de hand van het literatuuronderzoek en een case studie, het interne beheersraamwerk van FrieslandCampina kort geanalyseerd worden. Het interne beheersraamwerk van FrieslandCampina zal geanalyseerd
11
worden met behulp van documentanalyse en gesprekken met medewerkers van de interne accountantsdienst van FrieslandCampina. Aan de hand van de verzamelde informatie zal worden onderzocht in hoeverre de aanwezigheid van een intern beheersraamwerk bij FrieslandCampina leidt tot minder controlewerkzaamheden voor de externe accountant en uiteindelijk tot lagere externe controlekosten voor FrieslandCampina. Voorgaande zal worden onderzocht door middel van het afnemen van twee diepte-interviews met externe huisaccountants van FrieslandCampina. Met dit onderzoek wordt tevens getracht te bepalen welke verbeterpunten en aanbevelingen worden aangedragen door de externe accountants ten aanzien van het interne beheersraamwerk van FrieslandCampina, zodat de externe controlekosten in de toekomst verder verlaagd kunnen worden. Deze informatie is van belang voor de interne accountantsdienst van FrieslandCampina, aangezien zij nauw betrokken zijn bij het interne beheersraamwerk en veel werkzaamheden verrichten ten behoeve van dit interne beheersraamwerk. Met deze informatie zou de interne accountantsdienst van FrieslandCampina het interne beheersraamwerk eventueel aan kunnen passen, zodat de externe accountant in de toekomst mogelijk meer op dit raamwerk kan steunen. Hierdoor zouden de externe controlekosten voor FrieslandCampina mogelijk meer kunnen dalen in de toekomst.
1.3 Wetenschappelijke relevantie
In het kader van de stijgende controlekosten naar aanleiding van invoering van diverse wetten met betrekking tot interne beheersing, is voornamelijk de verhouding en samenwerking tussen interne en externe accountants tijdens de jaarrekeningcontrole veelvuldig onderzocht. Er is echter nog geen onderzoek geweest die de specifieke relatie tussen het hebben van een intern
beheersraamwerk bij een onderneming en de externe controlekosten heeft onderzocht. Wel zijn er onderzoeken geweest die de relatie tussen de beoordeling van de interne beheersing door de externe accountant en externe controlekosten en –uren hebben onderzocht, maar de uitkomsten van deze onderzoeken zijn erg wisselend (bijvoorbeeld Kreutzfeldt en Wallace, 1990; O‟Keefe et al., 1994; Bedard en Johnstone, 2004).
Dit onderzoek vindt plaats in Nederland, in een periode na invoering van verschillende wetten met betrekking tot de interne beheersing, en levert daarmee een relevante wetenschappelijke bijdrage aan de beperkte kennis die op dit gebied bestaat. Dit onderzoek zal dus een bijdrage leveren over het gebruik van interne beheersraamwerken door externe accountants in Nederland in het kader van de beoordeling van de interne beheersing tijdens de jaarrekeningcontrole en het effect hiervan op de externe controlekosten. Daarmee levert dit onderzoek ook een bijdrage aan de discussie over hoe ondernemingen hun externe controlekosten kunnen reduceren.
Uit onderzoek van Daigle et al. (2005) blijkt dat goed gedocumenteerde en ontworpen interne beheersmaatregelen, die tevens geïmplementeerd zijn en effectief werken, leiden tot minder beoordelingsuren door de auditor van informatiesystemen (IS). De reductie van het aantal controle-uren leidde tot een efficiëntere controle van de IS auditor en tot een reductie van de kosten voor IS audits. IS auditors ondersteunen auditors van de jaarrekening door de
betrouwbaarheid van informatie te evalueren door te beoordelen of de juiste „system controls‟ zijn geïmplementeerd en of deze effectief werken (Sayana, 2002). Alhoewel IS auditors en „reguliere‟ auditors van elkaar verschillen draagt dit onderzoek bij aan de kennis van het onderzoek van Daigle et al. (2005) in hoeverre een duidelijke en heldere vastlegging van de interne beheersing, die tevens effectief is, bijdraagt aan een reductie van externe controlekosten. Dit onderzoek richt zich echter nadrukkelijk op het effect van een intern beheersraamwerk voor de gehele jaarrekeningcontrole en is daarmee veel breder dan het onderzoek van Daigle et al. (2005) dat zich beperkt tot de interne beheersing van IS.
12
Uit onderzoek van Elliott en Korpi (1978) en Felix et al. (2001) blijkt dat ondernemingen hun externe controlekosten kunnen verlagen door de externe accountant meer te laten steunen op werkzaamheden van de interne accountantsdienst tijdens de jaarrekeningcontrole. Aangezien interne accountantsdiensten vaak veel werkzaamheden verrichten ten behoeve van interne beheersraamwerken, draagt dit onderzoek ook bij aan de kennis over hoe het gebruik van het werk van interne accountantsdiensten kan helpen om de externe controlekosten te reduceren. Dit onderzoek is vernieuwend ten opzichte van onderzoeken als Elliott en Korpi (1978) en Felix et al. (2001) omdat dit onderzoek zich richt op één nieuw specifiek aspect van de interne accountantsdienst; werkzaamheden van de interne accountantsdienst met betrekking tot interne beheersraamwerken. Een intern beheersraamwerk waar de interne accountantsdienst veel werkzaamheden voor verricht en waar de externe accountant op kan steunen, zal waarschijnlijk leiden tot minder controlewerkzaamheden voor de externe accountant en tot een reductie van de externe controlekosten voor de onderneming. Daarmee geeft dit onderzoek nieuwe inzichten over in hoeverre ondernemingen hun externe controlekosten kunnen verlagen door de externe
accountant meer gebruik te laten maken van een intern beheersraamwerk.
1.4 Praktische relevantie
Van der Pijl en Nuijten (2001) deden onderzoek naar het gebruik van raamwerken voor interne beheersing. Zij stellen dat het hanteren van raamwerken in de praktijk, zowel bij het inrichten en beheersen als het beoordelen van de interne beheersing, nogal eens tot opmerkelijke resultaten leidt. Volgens hen blijkt de toepassing van raamwerken in de beheerssfeer lang niet altijd op te leveren wat de betreffende ondernemingen hopen en/of verwachten en blijkt dat de toepassing van raamwerken als norm door externe accountants soms leiden tot oordelen die niet door alle betrokkenen worden gedeeld.
In deze scriptie wordt onderzocht hoe de externe accountant van FrieslandCampina omgaat met het nieuwe interne beheersraamwerk van FrieslandCampina tijdens de jaarrekeningcontrole. Daarmee levert dit onderzoek een bijdrage aan de discussie van Van der Pijl en Nuijten (2001), over het gebruik van interne beheersraamwerken in de praktijk. Dit onderzoek zal met name een beeld schetsen over het gebruik van het interne beheersraamwerk van FrieslandCampina door de externe accountant tijdens de jaarrekeningcontrole. Deze informatie is relevant voor
FrieslandCampina in het kader van hun eigen interne beheersing. Daarnaast levert dit onderzoek nieuwe inzichten op voor FrieslandCampina, in hoeverre het gebruik van het interne
beheersraamwerk leidt tot een efficiëntere jaarrekeningcontrole en tot lagere externe controlekosten.
1.5 Indeling onderzoeksrapport
Na dit hoofdstuk gaat deze scriptie verder met het literatuuronderzoek. Het literatuuronderzoek bestaat uit twee hoofdstukken. Allereerst zal in hoofdstuk 2 wetenschappelijke literatuur met betrekking tot interne beheersraamwerken worden besproken en zal antwoord gegeven worden op de eerste en tweede deelvraag. Vervolgens zal in hoofdstuk 3 antwoord worden gegeven op de derde deelvraag aan de hand van literatuur ten aanzien van de verhouding en samenwerking tussen de interne accountantsdienst en de externe accountant met betrekking tot interne
beheersraamwerken. In hoofdstuk 4 zal een kort overzicht van het interne beheersraamwerk van FrieslandCampina worden weergegeven aan de hand van documentanalyse en gesprekken met medewerkers van de interne accountantsdienst van FrieslandCampina. In hoofdstuk 4 zal tevens de vierde deelvraag worden behandeld. Hoofdstuk 4 vormt naast het literatuuronderzoek de basis voor het empirische gedeelte van deze scriptie.
13
In hoofdstuk 5 volgt de onderzoeksmethodologie, waarbij de gebruikte data en
onderzoeksmethoden kort uiteen worden gezet. Tevens worden in hoofdstuk 5 de beperkingen van de gekozen onderzoeksmethoden toegelicht. De resultaten van de diepte-interviews zullen in hoofdstuk 6 besproken worden, waarbij ook antwoord wordt gegeven op de vijfde en zesde deelvraag. Tenslotte zal in hoofdstuk 7 een conclusie worden getrokken en zal antwoord worden gegeven op de centrale onderzoeksvraag. Verder worden in hoofdstuk 7 de beperkingen van het onderzoek besproken en zullen er aanbevelingen worden gedaan voor wetenschappelijk
14
2.0 Interne beheersraamwerken
Door invoering van onder andere SOx in de V.S. en de
Nederlandse Corporate Governance
Code
, werd van beursgenoteerde ondernemingen verwacht dat zij een zogenaamde „in-control‟ verklaring of beheersingsverklaring af zouden geven. Ondernemingen worden hierdoor geacht transparanter te zijn richting externe partijen door middel van het vastleggen en documenteren van het interne beheersingssysteem in het jaarverslag (De Boer, 2008). Tevens ligt het in de rede dat ondernemingen bij de „in-control‟ verklaring het gebruikte interne beheersraamwerkvermelden, indien ondernemingen een intern beheersraamwerk hebben geïmplementeerd. De nieuwe maatregelen met betrekking tot interne beheersing hebben geleidt tot stijgende externe controlekosten voor ondernemingen, omdat de maatregelen extra werkzaamheden voor de onderneming opleverden die veel geld hebben gekost. Het gaat dan voornamelijk om het vastleggen en documenteren van controlebewijs door ondernemingen zelf. Hierdoor is ook de interesse voor interne beheersing en interne beheersraamwerken toegenomen (bijvoorbeeld Hay Group, 2003; Coustan et al., 2004).
In dit hoofdstuk zal eerst een definitie van interne beheersing worden gegeven in paragraaf 2.1. Vervolgens zal in paragraaf 2.2 uitgelegd worden wat interne beheersraamwerken zijn en zullen drie bekende interne beheersraamwerken nader worden toegelicht. In paragraaf 2.3 zal worden beschreven welke rol interne beheersraamwerken spelen voor ondernemingen respectievelijk accountants. Hierbij zal onder meer worden ingegaan op de voordelen en beperkingen van interne beheersraamwerken voor zowel ondernemingen als accountants. Tenslotte zal in paragraaf 2.4 antwoord worden gegeven op deelvragen 1 en 2.
2.1 Begrip interne beheersing
Ondanks de ruimte die het begrip interne beheersing of het Engelse equivalent internal control laat voor verschillende interpretaties, wordt internationaal vaak de algemeen geaccepteerde definitie van het COSO I raamwerk uit 1992 gehanteerd. De definitie uit het COSO I raamwerk wordt in vrijwel alle literatuur ten aanzien van interne beheersing genoemd (Renes, 2004; Spruyt, 2005). Interne beheersing wordt door de eerste versie van COSO gedefinieerd als het geheel van processen, beleidsmaatregelen, taken en gedragingen dat door een onderneming wordt gebruikt om een redelijke mate van zekerheid te verkrijgen met betrekking tot het bereiken van
onderstaande ondernemingsdoelstellingen:
Betrouwbaarheid van de financiële verslaggeving;
Effectiviteit en efficiëntie van de ondernemingsprocessen;
Voldoen aan wet- en regelgeving (COSO, 1992).
COSO gebruikt een brede definitie van interne beheersing, waarbij interne beheersing wordt gezien als een proces dat bijdraagt tot de realisatie van de drie bovenstaande
ondernemingsdoelstellingen. Hiermee reageerde COSO op grootschalig empirisch onderzoek dat aangaf dat er grote behoefte was aan een gemeenschappelijke definitie van interne beheersing (Soeting en Spoor, 2003; Renes, 2004). Het interne beheersingssysteem is het meest effectief wanneer de interne beheersmaatregelen in de infrastructuur van de onderneming zijn ingebouwd en een belangrijk onderdeel binnen de onderneming vormen (COSO, 1992). COSO noemt ook een tweetal beperkingen van interne beheersing. De beperkingen van interne beheersing zijn dat interne beheersing geen absolute zekerheid verschaft en dat interne beheersing niet kan
zekerstellen dat ondernemingen succesvol zijn (COSO, 1992; Beurden, 2004; Sampers, 2005). Deze beperkingen bestaan bijvoorbeeld omdat er een mogelijkheid is op menselijke fouten en het bewust niet toepassen van interne beheersmaatregelen door samenspanning (Majoor et al., 2007).
15
2.2 Interne beheersraamwerken
Een raamwerk of „framework‟ kan gedefinieerd worden als een elementair denkbeeld dat aannames, concepten, waardes en richtlijnen vastlegt en daarbij instructies geeft voor de implementatie (Kuunders). Een intern beheersraamwerk stelt de onderneming in staat om te bepalen in hoeverre ze de juiste dingen doen met betrekking tot de interne beheersing.
Wereldwijd zijn er door verschillende instanties raamwerken ontwikkeld ten aanzien van de wijze waarop interne beheersing vorm zou kunnen worden gegeven. Bekende interne
beheersraamwerken zijn onder andere COSO I, COSO ERMF, ABIB, CoBIT, CoCo, ITIL en branchespecifieke raamwerken zoals Bazel 2 voor banken en Solvency 2 voor
verzekeringsmaatschappijen (Paape en Swagerman, 2006; De Boer, 2008).
In het vervolg van deze paragraaf zullen drie verschillende interne beheersraamwerken nader worden toegelicht. Allereerst zullen de COSO raamwerken worden toegelicht omdat deze raamwerken internationaal het meest gebruikt en bekend zijn op het gebied van interne beheersing. Vervolgens zal het ABIB raamwerk worden beschreven omdat dit een Nederlands intern beheersraamwerk is, uitgegeven door het Nederlands Instituut voor Register Accountants (NIVRA). Tenslotte zal het CoBIT raamwerk aan bod komen. CoBIT wordt beschouwd als een zeer goed raamwerk voor de interne beheersing van IT specifiek en wordt daarnaast veelvuldig gebruikt als aanvulling op de COSO raamwerken.
2.2.1 COSO
Interne beheersing wordt internationaal doorgaans ingevuld op de manier zoals dat in het COSO raamwerk is beschreven (De Koning, 2004; Spruyt, 2005). Het COSO raamwerk is in de loop van de tijd verwerkt tot beleid, wet- en regelgeving en wordt door duizenden ondernemingen gebruikt om de beheersing te verbeteren met betrekking tot de activiteiten die zich richten op het behalen van de formuleerde ondernemingsdoelstellingen (COSO, 2004). In het eindrapport van COSO dat in 1992 werd gepubliceerd staan, naast een definitie van interne beheersing, aanbevelingen voor de opzet en evaluatie van interne beheersingssystemen (Sampers, 2005). Interne beheersing wordt volgens COSO I beïnvloed door mensen uit alle lagen van de onderneming en steunt op vijf beheerscomponenten die onderling afhankelijk zijn en elkaar positief of negatief kunnen beïnvloeden. De beheerscomponenten zijn afgeleid van de manier waarop het management de onderneming runt en zijn geïntegreerd in operationele processen (COSO, 1992; Soeting en Spoor, 2003; Sampers, 2005). De vijf beheerscomponenten volgens het COSO I raamwerk (1992) zijn:
Control Environment – deze component bepaald het beeld van een onderneming en beïnvloed het bewustzijn van „control‟ van haar werknemers. Het is tevens het fundament voor alle andere beheerscomponenten en biedt discipline en structuur aan de onderneming.
Risk Assessment – elke onderneming heeft te maken met verschillende interne en externe risico‟s die het behalen van de ondernemingsdoelstellingen mogelijk kunnen beïnvloeden. Bij de risicobeoordeling worden relevante risico‟s voor deze
ondernemingsdoelstellingen geïdentificeerd en wordt bepaald hoe de onderneming deze risico‟s kan managen.
Control Activities – deze refereren aan het interne beheersingssysteem van de onderneming, inclusief beleid en procedures die goedkeuringsprocessen, autorisaties, functiescheidingen, etc. definiëren.
Information and Communication – deze component refereert aan informatie- en communicatiesystemen van een onderneming, inclusief de productie van operationele en financiële rapportages. Informatie moet pertinent worden geïdentificeerd,
16
verzameld en gecommuniceerd worden ten behoeve van de besturing van de onderneming.
Monitoring – de monitoring component focust zich op het monitoren van de interne beheersingssystemen, zoals directe supervisie en evaluatie. Dit is een proces waarin de kwaliteit van het interne beheersingssysteem wordt beoordeelt (COSO, 1992). COSO I deelt deze vijf beheerscomponenten vervolgens op in meerdere deelcomponenten. Vervolgens worden er per deelcomponent veel aandachtspunten gegeven die behulpzaam zijn voor de oordeelsvorming over de interne beheersing (Ellenbroek, 2005). Er is een directe relatie tussen de drie eerder genoemde categorieën ondernemingsdoelstellingen, welke aangeven wat een onderneming tracht te bereiken, en de zojuist genoemde vijf beheerscomponenten, welke
weergeven wat er nodig is om deze ondernemingsdoelstellingen te halen. Hierbij moet opgemerkt worden dat alle beheerscomponenten relevant zijn voor elke doelstellingscategorie en dat per doelstellingscategorie alle vijf de beheerscomponenten aanwezig moeten zijn en effectief moeten functioneren om te kunnen concluderen dat de interne beheersing effectief is (COSO, 1992). De genoemde definitie van interne beheersing en de vijf beheerscomponenten vormen samen het interne beheersingssysteem.
In 2004 werd het raamwerk van COSO I geactualiseerd naar aanleiding van het opkomende belang en focus op risicomanagement, dat is uitgegroeid tot een nieuw paradigma voor het managen van risico‟s waar ondernemingen mee worden geconfronteerd (Beasley et al., 2005). Hiermee ontstond ook een duidelijke behoefte aan een raamwerk dat op effectieve wijze risico‟s kan identificeren, beoordelen en managen (COSO, 2004). Het nieuwe Enterprise Risk
Management Integrated Framework (COSO ERMF) werkt risicoanalyse en – beheersing nader uit en wordt gezien als een aanvulling op het reeds bestaande raamwerk uit 1992 dat geacht wordt volledig te zijn ingelijfd in het nieuwe raamwerk. Dit is te zien in figuur 1 hieronder.
Ten opzichte van het oude model (COSO I) voegt het nieuwe model (COSO ERMF) aan de drie eerder genoemde ondernemingsdoelstellingen een vierde doelstelling toe; risicobeheersing ten aanzien van de strategie van een onderneming. Voorts worden de vijf eerder genoemde beheerscomponenten aangevuld met drie nieuwe beheerscomponenten die onder andere
risicoanalyse en – respons weergeven (COSO, 2004; Sampers, 2005). Verder kent COSO ERMF een nieuw element, het begrip „risk appetite‟. Hiermee wordt gedoeld op de hoeveelheid risico‟s die een onderneming kan of wenst te accepteren (De Boer, 2008). In Nederland is COSO ERMF het meest gebruikte raamwerk voor het opstellen van een „in-control‟ verklaring (De Boer, 2008).
17
2.2.2 ABIB
In Nederland heeft het Koninklijk NIVRA in 1999 het Analyse- en Beoordelingsinstrument Interne Beheersing (ABIB) ontwikkeld waarmee een analyse van de effectiviteit van het eigen interne beheersingssysteem kan worden gemaakt door ondernemingen. Het Koninklijk NIVRA tracht met het ABIB bij te dragen aan het tot stand brengen van een algemeen aanvaard raamwerk voor het analyseren en beoordelen van de opzet van de interne beheersing en de verantwoording daarover (NIVRA, 2002). Het ABIB geeft ondernemingen de mogelijkheid om op een
gestructureerde en overzichtelijke wijze een analyse te maken van sterke en te verbeteren punten van de interne beheersing (Steens en Partners, 2004). Het ABIB raamwerk is in beginsel bestemd voor het management van grotere ondernemingen en is geïnspireerd door COSO. De gebruikers van het ABIB binnen een onderneming zijn veelal werknemers met specifieke kennis van organisatiekunde en interne beheersing.
Het ABIB is gebouwd rond vijf beheerscomponenten die ook vaak in internationale publicaties (bijvoorbeeld COSO I) worden gehanteerd; risicobeoordeling, beheersmaatregelen, informatie en communicatie, bewaking en beheersingkader (NIVRA, 2002). Deze beheerscomponenten zijn door het ABIB verder onderverdeeld in 20 deelcomponenten. De kern van het ABIB bestaat uit een vragenlijst die onder meer inzicht wil geven in onderstaande vraagstukken2:
Hoe gaat de onderneming om met de risico‟s die het realiseren van de ondernemingsdoelstellingen in de weg staan?
Hoe zorgt de onderneming ervoor dat de ondernemingsprocessen tot de gewenste effectiviteit en efficiëntie leiden?
Hoe zorgt de onderneming ervoor dat datgene wat moet gebeuren ook daadwerkelijk wordt uitgevoerd?
Per beheerscomponent geeft het ABIB een aantal vragenlijsten met aandachtspunten die de gebruiker helpen vaststellen op welke zake de analyse gericht moet worden. Het ABIB bevat dus geen kant-en-klare checklists die toepasbaar zijn op ieder type onderneming (NIVRA, 2002). Door beantwoording van de uitgebreide vragenlijst en een analyse van de antwoorden kunnen ondernemingen zelf vaststellen, eventueel met de hulp van interne en/of externe accountants, welke verbeteringen omtrent interne beheersing gerealiseerd kunnen worden.
Door de overzichtelijke en gestructureerde analyse van sterke en te verbeteren punten is het ABIB goed bruikbaar om verbeterpunten voor de effectiviteit van de interne beheersing op te stellen en om vast te stellen welke verbeterpunten voorrang krijgen. Daarnaast biedt het ABIB de
mogelijkheid tot „benchmarking‟. De heldere gestructureerde aanpak van het ABIB geeft namelijk inzicht in de overeenkomsten en verschillen in de interne beheersing van verschillende werkmaatschappijen en/of afdelingen binnen een onderneming, waardoor het ABIB zeer geschikt is voor managers van grote ondernemingen (Steens en Partners, 2004).
Het ABIB hanteert dezelfde definitie van interne beheersing als de COSO raamwerken en ook de ondernemingsdoelstellingen en beheerscomponenten van het ABIB komen overeen met die van COSO I. Net als bij COSO I kunnen de vijf beheerscomponenten van het ABIB niet los van elkaar worden gezien en bestaat er bij het ABIB ook een direct verband tussen de drie categorieën ondernemingsdoelstellingen en de vijf beheerscomponenten (NIVRA, 2002).
2
18
Het ABIB onderscheid zich van andere interne beheersraamwerken doordat het ABIB gebruik maakt van de management control cyclus bij de beoordeling van de interne beheersing. De management control cyclus bestaat uit de volgende fasen: opzet/beleid, uitvoering, toetsing en evaluatie/bijsturing. Het ABIB werkt alle deelcomponenten volgens de vier fasen van de management control cyclus uit en per fase worden er aandachtsgebieden gegeven en vragen gesteld om de mate van interne beheersing te kunnen bepalen. Zowel accountants als managers geven aan dat zij het ABIB goed toepasbaar vinden, omdat de management control cyclus voor hen erg herkenbaar is. Hierdoor zullen beide partijen over het algemeen sneller op dezelfde lijn zitten. Deze herkenbare aanpak creëert tevens een grotere bewustwording voor het belang van interne beheersing (Spruyt, 2005).
2.2.3 CoBIT
CoBIT staat voor „Control Objectives for Information and related Technology‟ en is een raamwerk uit 1996 dat internationaal steeds meer gezien wordt als het raamwerk voor IT-beheersing. CoBIT richt zich specifiek op IT-beheersing en IT-gerelateerde risico‟s binnen ondernemingen. CoBIT biedt ondernemingen een praktische basis voor het inrichten en toetsen van aan IT-gerelateerde beheersingsmaatregelen (Lindgreen, 2005). CoBIT is een generiek raamwerk dat bestaat uit een aantal good practices op het gebied van IT Governance, die verdeeld zijn over ict-processen die voor elke onderneming herkenbaar zijn. De richtlijnen vormen een praktisch handvat voor gebruikers en richten zich op de vraag „wat dient er te gebeuren?‟ in plaats van „hoe moet het gebeuren?‟. De ict-processen zijn gegroepeerd in vier domeinen: planning en organisatie, acquisitie en implementatie, levering en ondersteuning en monitoring. Binnen deze ict-processen staan beheersdoelstellingen en bijbehorende beheersmaatregelen,
prestatie-indicatoren en volwassenheidsniveaus centraal. CoBIT tracht een aansluiting te maken tussen de bedrijfsvoering en hoe ict kan worden ingezet om de ondernemingsdoelstellingen te bereiken (Lindgreen, 2005; Bouker, 2008).
CoBIT wordt zowel door managers als door accountants gebruikt. Managers kunnen profiteren van CoBIT omdat het hen van een basis voorziet waarop IT-gerelateerde beslissingen en
investeringen kunnen worden gebaseerd. De besluitvoering is hierdoor effectiever omdat CoBIT het management onder meer helpt bij het bepalen van een strategisch IT-plan en het monitoren van de prestaties van het IT-systeem. Daarnaast geeft CoBIT een zekerheid van de beheersing van de beveiliging van de systemen aan (ict-)managers (Bouker, 2008). CoBIT biedt ook
accountants voordelen omdat het hen helpt bij de identificatie van IT-beheersmaatregelen binnen de IT-infrastructuur binnen een onderneming. Daarnaast levert het voor accountants een lijst van control objectives op en tevens een handvat voor het benchmarken van een groep (Bouker, 2008). CoBIT wordt vaak door ondernemingen gebruikt als aanvulling op de COSO raamwerken.
2.3 Gebruik interne beheersraamwerken door ondernemingen en accountants
Tegenwoordig maken ondernemingen in toenemende mate gebruik van interne
beheersraamwerken binnen het domein van de inrichting en beheersing van bedrijfsprocessen. Ondernemingen hebben interne beheersingssystemen, omdat deze de kans verlagen op verkeerde beslissingen, menselijke fouten, het doelbewust omzeilen van beheersingsprocessen door
functionarissen en fraude (Beurden, 2004). Het toenemende gebruik van interne
beheersraamwerken door ondernemingen is mede te verklaren door het feit dat besturen volgens vernieuwde wetgevingen, zoals SOx, in de „in-control‟ verklaring aan dienen te geven welk raamwerk zij hebben gehanteerd bij de evaluatie van de effectiviteit van de interne beheersing. Met een intern beheersraamwerk kan de onderneming namelijk aantonen op welke
19
(Driessen et al., 2003). In toenemende mate neemt ook het gebruik van interne
beheersraamwerken door accountants toe als norm die de basis vormt van hun beoordeling van de effectiviteit van de te beoordelen bedrijfsprocessen. In het kader van SOx is dit zelfs een
verplichting. In onderstaande tabellen wordt een overzicht gegeven van de voordelen en beperkingen van interne beheersraamwerken voor ondernemingen en accountants.
Tabel 1: Voordelen en beperkingen van interne beheersraamwerken voor ondernemingen
Voordelen interne beheersraamwerken voor ondernemingen:
Beperkingen interne beheersraamwerken voor ondernemingen:
Interne beheersraamwerken kunnen als leidraad dienen bij de inrichting van de interne beheersing, zodat het bereiken van ondernemingsdoelstellingen op een beheerste manier wordt georganiseerd.
Interne beheersraamwerken zijn vaak op ervaringen en onderzoek in specifieke situaties gebaseerd. Hierdoor kan men niet zonder meer stellen dat interne
beheersraamwerken geldig zijn in alle situaties.
Een intern beheersraamwerk helpt bij de harmonisatie van interne beheersmaatregelen en zorgt ervoor dat interne
beheersmaatregelen niet worden vergeten of dubbel geïmplementeerd worden.
Veel interne beheersraamwerken dienen als afbeelding van de werkelijkheid. Dit wil niet per se zeggen dat de werkelijkheid gebouwd kan worden naar het voorbeeld van een intern beheersraamwerk.
Met behulp van een intern beheersraamwerk kan de kwaliteit van een intern
beheersingssysteem geanalyseerd, beoordeeld en verbeterd worden.
Interne beheersraamwerken laten vaak het menselijk gedrag buiten beschouwing, omdat dit bijna niet te modelleren valt. Hierdoor hebben interne
beheersraamwerken vaak beperkte aandacht voor belangrijke aspecten zoals cultuur en subjectiviteit.
Interne beheersraamwerken creëren bewustzijn voor het belang van interne beheersmaatregelen.
Interne beheersraamwerken
vereenvoudigen de werkelijkheid door zich te richten op bepaalde belangrijke aspecten. Vaak worden de noodzakelijke beperkingen die interne beheersraamwerken aanbrengen, niet expliciet weergegeven.
Interne beheersraamwerken helpen bij de voorbereiding van „in-control‟ verklaringen.
Interne beheersraamwerken dragen bij aan de optimalisatie van self-assessments (SA‟s).
Tabel 2: Voordelen en beperkingen van interne beheersraamwerken voor accountants
Voordelen interne beheersraamwerken voor accountants:
Beperkingen interne beheersraamwerken voor accountants:
Interne beheersraamwerken bieden
accountants hulp bij de hantering van normen en maken het mogelijk een veel concretere invulling te geven aan gehanteerde normen.
Objectieve en duidelijke normen ontbreken vaak voor accountants wanneer het gaat over de beoordeling van de effectiviteit en efficiëntie van ondernemingsprocessen.
20
De beperkingen van tabel 1 en 2 zijn grotendeels ontleend aan onderzoek van Van der Pijl en Nuijten (2001) die op basis van literatuuronderzoek en eigen praktijkervaring vaststellen dat ondernemingen uiterst voorzichtig moeten zijn met het achteloos gebruiken van interne
beheersraamwerken voor de inrichting van de eigen interne beheersing. Vanuit de bedrijfskunde- en organisatiekundeliteratuur blijken er verklaringen te zijn voor het feit dat het gebruik van interne beheersraamwerken niet altijd het verwachte resultaat oplevert (bijvoorbeeld Rouse, 1982; Wahlström, 1994). Op basis van een aantal van deze verklaringen hebben Van der
Pijl en Nuijten (2001) een aantal aandachtspunten opgesteld die ingaan op de opgesloten beperkingen van interne beheersraamwerken die zijn opgenomen in bovenstaande tabellen. Aan de hand van beantwoording van die vragen dienen ondernemingen te bepalen of een beoogd intern beheersraamwerk effectief kan functioneren en of het zinvol is om het beoogde interne beheersraamwerk op de eigen situatie toe te passen. Interne beheersraamwerken zullen echter vrijwel nooit volledig op de eigen situatie toepasbaar zijn en daarom zal men bij geconstateerde verschillen vanaf het begin maatregelen moeten formuleren om de toepassing van het interne beheersraamwerk aan te passen aan de betreffende situatie (Van de Pijl en Nuijten, 2001). Accountants beschikken over duidelijke normen die in de loop der jaren steeds duidelijker zijn uitgewerkt wanneer het gaat over de betrouwbaarheid van de financiële verslaggeving en de betrouwbare werking van geautomatiseerde informatiesystemen (IS). Wanneer het echter gaat over de beoordeling van de effectiviteit en efficiëntie van ondernemingsprocessen zijn er veel minder harde en duidelijke normen aanwezig (Van der Pijl, 2000). Dit is te verklaren door het feit dat de externe accountant zich van oudsher primair heeft gericht op de vaststelling van de
betrouwbaarheid van de financiële verslaggeving. Terwijl betrouwbaarheid van financiële verslaggeving in feite dus een extern gedefinieerde objectieve norm kent, is de norm voor effectiviteit en efficiëntie van de ondernemingsprocessen sterk afhankelijk van de keuzes van het management en dus aan subjectiviteit onderhevig (COSO, 1992). Accountants moeten zich dan ook bewust zijn van de veronderstellingen en beperkingen die in interne beheersraamwerken opgesloten zitten. Tevens dienen accountants zich steeds weer te verdiepen in specifieke aspecten van de te beoordelen situatie en te bekijken in hoeverre benaderingen en normen die in andere situaties golden, kunnen worden overgenomen (Van der Pijl en Nuijten, 2001).
2.3.1 Onderzoek naar gebruik interne beheersraamwerken
Uit onderzoek van PricewaterhouseCoopers in samenwerking met de Rijksuniversiteit Groningen (2006) naar de praktijk van risicomanagement in Nederland, blijkt dat 63% van de ondervraagde ondernemingen gebruik maakt van een openbaar beschikbaar raamwerk voor risicomanagement bij het vormgeven van het eigen risicomanagement. Bijna driekwart van deze ondernemingen noemt het COSO raamwerk als gehanteerde standaard. Uit onderzoek van het Instituut van Management Accountants (2006) in de V.S. naar de implementatie van COSO I blijkt verder dat ruim 56% van de ondervraagden (managers en interne accountants) aangeeft dat hun
onderneming het COSO I raamwerk tot op zekere hoogte gebruikte voor het managen van risico‟s en beheersmaatregelen in de periode voor invoering van SOx in 2002. Uit deze onderzoeken blijkt dus dat de COSO raamwerken veelvuldig worden gebruikt door ondernemingen.
Daarnaast blijkt uit onderzoek van het Instituut van Management Accountants (2006) in de V.S. dat ruim 50% van de respondenten (managers en interne accountants) aangeeft dat hun externe accountant het COSO I raamwerk tot op zekere hoogte gebruikt bij de beoordeling van de effectiviteit van de interne beheersing in het kader van SOx. De essentie van zo‟n beoordeling is dat uitspraken worden gebaseerd op een vergelijking van de werkelijke situatie waarin een object van beoordeling zich bevindt, met een normatieve situatie waarin het object van beoordeling zich idealiter zou moeten bevinden (Moonen, 1991; Weber, 1999). Een belangrijke vraag bij de
21
uitvoering van deze beoordeling is de vraag welke normen moeten worden gehanteerd. Het kwaliteitsaspect is een belangrijke bepalende factor bij de keuze van de te hanteren normen (Van der Pijl en Nuijten, 2001).
2.4 Beantwoording deelvragen 1 en 2
Deelvraag 1:
Wat is een intern beheersraamwerk en wanneer is een intern beheersraamwerk effectief?
Een intern beheersraamwerk kan gezien worden als een schematische weergave van aannames, ondernemingsdoelstellingen, normen en richtlijnen met betrekking tot de interne beheersing (Kuunders). Vanuit het wetenschappelijk literatuuronderzoek blijkt geen definitie voor een effectief intern beheersraamwerk. Wel kan vanuit de doorgenomen modellen van interne beheersing en op basis van de wetenschappelijke literatuur worden omschreven hoe een intern beheersraamwerk er in opzet effectief uit kan zien. Zo kan men stellen dat een intern
beheersraamwerk er in opzet effectief uit ziet, wanneer het uitgaat van de
ondernemingsdoelstellingen en aansluit bij de bedrijfsprocessen, zodat alle relevante risico‟s afgedekt worden. Hiervoor dient het interne beheersraamwerk voor alle bedrijfskritieke processen de interne beheersmaatregelen te beschrijven. Daarnaast dient het interne beheersraamwerk continu nieuwe risico‟s te signaleren en nieuwe interne beheersmaatregelen op te nemen in het interne beheersraamwerk om effectief te kunnen blijven functioneren. Tevens dient het interne beheersraamwerk inzichtelijk te maken in hoeverre de interne beheersmaatregelen effectief werken en hoe deze interne beheersmaatregelen op werking getest kunnen worden. Effectieve interne beheersraamwerken formuleren daarnaast expliciet de veronderstellingen en beperkingen die in het raamwerk opgesloten zitten en hebben aandacht voor het menselijk gedrag.
Deelvraag 2:
Wat is het meest voorkomende interne beheersraamwerk?
Uit diverse onderzoeken blijkt dat de interne beheersraamwerken van COSO de meest gebruikte interne beheersraamwerken zijn door ondernemingen voor het vormgeven van de eigen interne beheersing (bijvoorbeeld Gupta, 2006). De COSO raamwerken worden tegenwoordig wereldwijd door duizenden ondernemingen gebruikt om de eigen interne beheersing in te richten, te
analyseren en te verbeteren. De COSO raamwerken zijn in de loop van de tijd zelfs verwerkt tot beleid, wet- en regelgeving (COSO, 2004). Ook accountants gebruiken het vaakst het interne beheersraamwerk van COSO, indien zij de effectiviteit van de interne beheersing dienen te beoordelen.
22
3.0 Verhouding en samenwerking tussen de interne accountantsdienst
en de externe accountant met betrekking tot de interne beheersing
De invoering van de Nederlandse Corporate Governance Code en SOx, met betrekking tot interne beheersing, hebben geleidt tot stijgende controlekosten en daarmee is er meer aandacht gekomen voor de verhouding en samenwerking tussen interne accountantsdiensten en externe accountants. Zowel interne accountantsdiensten als externe accountants hebben namelijk vanuit hun vakgebied raakvlakken met interne beheersing, waarbij interne beheersraamwerken een belangrijke rol spelen.
Wanneer men spreekt over accountants komt veelal de agency theorie om de hoek kijken. In de agency theorie wordt verondersteld dat de belangen en voorkeuren van principalen
(aandeelhouders) en agents (managers) verschillen en soms zelfs tegengesteld zijn en dat er een gebrek is aan perfecte observatie van de acties van agents door principalen. Deze
veronderstellingen leiden tot informatieasymmetrie tussen principalen en agents, waarmee de behoefte ontstaat aan een onafhankelijke tussenpersoon, de externe accountant (Fama en Jensen, 1983; Jensen and Meckling, 1976). Bij het verkleinen van de informatiesymmetrie worden er onder andere „bonding‟ en „monitoring‟ kosten gemaakt door de onderneming. Bonding kosten zijn alle kosten die een agent maakt om zijn principaal ervan te overtuigen dat de agent in het belang van de principaal werkt. Monitoring kosten zijn alle kosten die een principaal maakt om alle activiteiten van de agent die een andere doel hebben dan die van de principaal, tegen te gaan. Een voorbeeld hiervan zijn de kosten voor de jaarrekeningcontrole door de externe accountant (Soltani, 2007; Hill en Jones, 1992).
Ook de interne accountantsdienst kan in het kader van de agency theorie geplaatst worden. Sherer en Kent (1983) zien interne audit als bonding kosten, gemaakt door agents om te voldoen aan de eisen van controleerbaarheid van externe partijen. Volgens Sherer en Kent (1983) hebben agents de stimulans om kosten van interne audit te nemen als hierdoor de totale kosten van het audit proces, zowel intern als extern, minder zijn dan de verwachte kosten van externe audit alleen. Ook kunnen de kosten van interne audit worden gezien als monitoring kosten. De interne accountantsdienst wordt in dat geval gezien als een onafhankelijke partij die is ingesteld door principalen om hun economische belangen te beschermen (Adams, 1994).
In het vervolg van dit hoofdstuk zal in paragraaf 3.1 eerst een definitie worden gegeven van een interne accountantsdienst en zal uitleg worden gegeven over de werkzaamheden van de interne accountantsdienst in het kader van de interne beheersing. In paragraaf 3.2 zal ingegaan worden op het begrip externe accountant en zullen de werkzaamheden van de externe accountant in het kader van de interne beheersing worden besproken. Vervolgens zal in paragraaf 3.3 dieper worden ingegaan op de samenwerking tussen interne accountantsdiensten en externe accountants. Daarna wordt in paragraaf 3.4 besproken in hoeverre de externe accountant mag en kan steunen op het werk van de interne accountantsdienst met betrekking tot interne beheersraamwerken. Tevens zullen enkele onderzoeken worden toegelicht die onderzoek hebben gedaan naar het steunen op het werk van de interne accountantsdienst tijdens de jaarrekeningcontrole. In paragraaf 3.5 zal tot slot antwoord worden gegeven op de derde deelvraag.
3.1 De interne accountantsdienst in het kader van de interne beheersing
Een interne accountant wordt door de NIVRA Verordening gedragscode (2006) gedefinieerd als een registeraccountant die werkzaam is bij of verbonden is aan een accountantsafdeling. Een accountantsafdeling of accountantsdienst wordt vervolgens gedefinieerd als een organisatorische eenheid, die behoort tot een onderneming en de daarmee gelijk te stellen dienst, waarbij één of
23
meer registeraccountants werkzaam zijn. De interne accountantsdienst biedt een variëteit aan services aan de onderneming. Deze services variëren van het uitvoeren van operationele, financiële en IS-audits tot het participeren in commissies om nieuwe accounting software te selecteren (Anderson, 2003). Een audit kan volgens Kocks (2003) worden beschreven als een onderzoek met als doel het, door middel van het verzamelen en beoordelen/evalueren van bewijs, toetsen van één of meer aspecten van een gedefinieerd object aan een vastgestelde (set) norm(en) met als doel om op grond van de resultaten van die toetsing, één of meer gecertificeerde oordelen te kunnen geven aan de opdrachtgever of aan derden. Een operationele audit is het uitvoeren van een onderzoek naar de effectiviteit en efficiëntie van een intern beheersingssysteem. Een
financiële audit richt zich op de betrouwbaarheid van de financiële informatie en bij een IS-audit wordt de automatisering en de organisatie van de automatisering binnen een onderneming beoordeeld. Interne accountantsdiensten rapporteren en adviseren de Raad van Bestuur en de Auditcommissie over de uitkomsten van deze verschillende soorten audits.
De hoofdtaak van de interne accountantsdienst is onderzoeken of de opzet en werking van processen op het gebied van risicomanagement, beheersing en besturing toereikend zijn om de ondernemingsdoelstellingen te realiseren. Hiermee geeft de interne accountantsdienst aanvullende zekerheid aan het bestuur van een onderneming over de effectiviteit en de beheersing van de bedrijfsvoering (IIA, NIVRA en NOREA, 2005). De interne accountantsdienst is vaak een staforgaan die buiten de lijnorganisatie staat. Het voordeel hiervan voor een onderneming is dat de interne accountantsdienst hierdoor onafhankelijk en objectief onderzoeken kan uitvoeren. Daarnaast heeft de interne accountantsdienst een toegevoegde waarde voor ondernemingen die ligt in haar kennis van cultuur, verhoudingen, processen en gehanteerde IS binnen ondernemingen (IIA, NIVRA en NOREA, 2008). De interne accountantsdienst kan vanuit haar specifieke kennis adviezen geven aan het management, waarbij het wel van belang is om de consequenties voor de onafhankelijkheid van de interne accountantsdienst in acht te nemen. Een ander voordeel van de interne accountantsdienst voor ondernemingen is dat de interne accountantsdienst
werkzaamheden verricht waar de externe accountant mogelijk op kan steunen tijdens de jaarrekeningcontrole (Van Meegeren, 2008). Tot slot helpt een goed functionerende interne accountantsdienst het bestuur om een onderneming met een goed stelsel van normen te beheersen (IIA, NIVRA en NOREA, 2005).
Ondanks dat de reikwijdte en de doelstellingen van interne accountantsdiensten afhankelijk zijn van de omvang en structuur van de onderneming en van de behoeften van het bestuur van de onderneming, zijn veel interne accountantsdiensten belast met het bewaken van de interne beheersing. Ook de Nederlandse Corporate Governance Code vermeld expliciet dat de interne accountant een belangrijke rol kan spelen in het beoordelen en toetsen van de interne beheersing van een onderneming. De interne accountantsdienst wordt dan ook vaak de specifieke
verantwoordelijkheid gegeven om de interne beheersing te beoordelen en aanbevelingen voor verbeteringen te doen (NIVRA, 2007). Interne beheersraamwerken spelen een belangrijke rol bij de inrichting en beoordeling van de effectiviteit van de interne beheersing. Interne
accountantsdiensten zijn vaak nauw betrokken bij interne beheersraamwerken en voeren daarnaast verschillende werkzaamheden uit voor interne beheersraamwerken. Hieronder zal een korte opsomming van de raakvlakken tussen interne beheersraamwerken en interne
accountantsdiensten worden gegeven:
In veel ondernemingen is de interne accountantsdienst de initiator en begeleider bij de implementatie van interne beheersraamwerken (Anderson, 2003).
In veel ondernemingen voert de interne accountantsdienst een kwaliteitstoets uit op het geheel van de procesbeschrijvingen en de beschrijvingen van de interne
24
basis voor de uiteindelijke toets van de interne beheersmaatregelen (de SA‟s) en vormen ook de basis voor een goede documentatie van het interne beheersraamwerk.
Interne accountantsdiensten zijn veelal belast met de beoordeling van het ontwerp en de uitvoering van SA‟s.
In veel ondernemingen hebben interne accountantsdiensten een leidende rol bij de identificatie van risico‟s (Gupta, 2006).
Veel interne accountantsdiensten hebben de taak om het gehele interne beheersraamwerk te monitoren. In het COSO raamwerk wordt bijvoorbeeld expliciet aandacht gegeven aan de monitoring rol van de interne accountantsdienst bij de toelichting van de
beheerscomponent monitoring (Paape, 2007).
Veel interne accountantsdiensten krijgen tijdens het uitvoeren van hun werkzaamheden dus vaak te maken met interne beheersraamwerken. Een interne accountantsdienst gebruikt niet alleen interne beheersraamwerken voor zijn eigen werkzaamheden, maar verricht ook werkzaamheden ten behoeve van deze interne beheersraamwerken waar de externe accountant mogelijk gebruik van kan maken tijdens de jaarrekeningcontrole. Enerzijds zorgt de interne accountantsdienst er bijvoorbeeld voor dat de SA‟s correct worden ontworpen en anderzijds gebruikt de interne accountantsdienst de uitkomsten van de SA‟s om te bepalen waar de interne beheersing verbeterd kan worden.
3.2 De externe accountant in het kader van de interne beheersing
De NIVRA Verordening gedragscode (2006) definieert een externe of openbaar accountant als een registeraccountant die werkzaam is bij of verbonden is aan een accountantsorganisatie. Daarin wordt een accountantsorganisatie beschreven als een onderneming of instelling die bedrijfsmatig wettelijke controles verricht. De externe accountant is verantwoordelijk voor het uitvoeren van wettelijke controles. Het doel van de externe accountant is het verschaffen van zekerheid aan externe belanghebbenden. Hiertoe geeft de externe accountant een onafhankelijk oordeel over de getrouwheid van de financiële verslaggeving. De externe accountant beoordeelt hiertoe onder andere de beheersing van de processen relevant voor de financiële verslaglegging en rapporteert daarover in zijn management letter aan het bestuur van de onderneming (IIA, NIVRA en NOREA, 2008).
De externe accountant dient dus ook kennis te vergaren over de interne beheersing bij de onderneming. De externe accountant beoordeelt in het kader van de jaarrekeningcontrole slechts de interne risicobeheersings- en controlesystemen voor zover gericht op de financiële
verantwoording (NIVRA, 2008). Naast de opzet en bestaan, dient de externe accountant ook de werking (en daarmee de effectiviteit) van de interne beheersing te beoordelen (Majoor et al., 2007). Het doel van deze beoordeling is om vast te stellen in hoeverre de externe accountant bij de uitvoering van zijn controle kan steunen op interne beheersmaatregelen (NIVRA, 2010). Ondernemingen die verplicht zijn om hun jaarrekening te laten controleren dienen ingevolge artikel 2:393 lid 1 BW opdracht te verlenen tot onderzoek van de jaarrekening aan een externe accountant. Volgens artikel 2:393 lid 4 BW brengt de externe accountant verslag omtrent zijn onderzoek uit aan de Raad van Commissarissen en de Raad van Bestuur. De externe accountant dient in dit verslag te rapporteren over zijn bevindingen met betrekking tot de werking van interne risicobeheersings- en controlesystemen, inclusief de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. De externe accountant maakt onder andere melding van geconstateerde verbeterpunten en leemten en maakt opmerkingen over bedreigingen en risico‟s voor de onderneming, de wijze van verslaggeving en naleving van interne en externe wet- en regelgeving (Renes, 2004). Het stelsel van interne beheersing in zijn geheel is echter geen
25
object van onderzoek. Het gevolg hiervan is dat de externe accountant voornamelijk bevindingen heeft over dat deel van de interne beheersing dat in het kader van de jaarrekeningcontrole is onderzocht (NIVRA, 2008; NIVRA, 2010). In Nederland is de verantwoordelijkheid van de externe accountant ten aanzien van de naleving van de Nederlandse Corporate Governance Code in het algemeen en met betrekking tot interne beheersing in het bijzonder, beperkt tot een marginale toetsing (Renes, 2004). De externe accountant beoordeelt in dit kader slechts of de verklaring van het bestuur over de kwaliteit van de interne risicobeheersings- en
controlesystemen in het jaarverslag, de „in-control‟ verklaring, niet in strijd is met zijn
bevindingen vanuit de jaarrekeningcontrole. De externe accountant geeft dus geen verklaring af over de kwaliteit van die beheersmaatregelen (IIA, NIVRA en NOREA, 2008). Ondanks dat de verantwoordelijkheid van de externe accountant in Nederland is beperkt tot een marginale toetsing, zijn de externe controlekosten als gevolg van invoering van nieuwe wetten met betrekking tot interne beheersing gestegen.
Ook externe accountants komen tijdens het uitvoeren van hun werkzaamheden interne
beheersraamwerken tegen. Om inzicht in de interne beheersing van een onderneming te krijgen zal de externe accountant nagaan of de onderneming een raamwerk voor de interne beheersing gebruikt. Wanneer een onderneming een raamwerk gebruikt voor de interne beheersing zal de externe accountant dit interne beheersraamwerk gaan beoordelen. De externe accountant zal hiertoe onder andere controleren of alle beheerscomponenten van een intern beheersraamwerk (bijvoorbeeld beheersomgeving, risicoanalyse en interne beheersmaatregelen) zijn opgenomen in het interne beheersraamwerk. Daarnaast is het voor de externe accountant van belang hoe de te controleren onderneming het gekozen interne beheersraamwerk heeft vertaald naar hanteerbare criteria die ook meetbaar zijn. Hiervoor is de externe accountant aangewezen op zijn
professionele oordeel, aangezien op dit punt duidelijke criteria ontbreken (Amerongen en de Jager, 2005).
3.3 Samenwerking tussen de interne accountantsdienst en de externe accountant
Er komt steeds meer aandacht voor de samenwerking tussen interne accountantsdiensten en externe accountants in voortgaande discussies over corporate governance, terwijl de wet- en regelgeving op dit gebied zeer beperkt blijft (Dekker, 2009). In het Burgerlijk Wetboek (BW), de Wet op de Registeraccountants (WRA) en de Wet toezicht accountantsorganisaties (Wta) wordt niets vermeld over de samenwerking tussen interne accountantsdiensten en externe accountants. De Verordening gedragscode (VGC) reguleert wel het gedrag van registeraccountants, maar vermeld niets over de samenwerking tussen de interne accountantsdienst en de externe accountant. Dit is te verklaren door het feit dat bovenstaande wet- en regelgeving voornamelijk gericht is op het werk en de verantwoordelijkheid van de externe accountant. Uit onderzoek naar de
samenwerking tussen de interne accountantsdienst en de externe accountant in Nederland blijkt dat de beperkte wet- en regelgeving hieromtrent niet tot problemen in de praktijk leidt (IIA en NIVRA, 2009).
De samenwerking tussen de interne accountantsdienst en de externe accountant wordt ook wel „integrated audit‟ genoemd. Ondanks dat het begrip integrated auditing binnen het vakgebied accountancy op verschillende wijzen wordt geïnterpreteerd en gedefinieerd, wordt het in de praktijk vaak gehanteerd wanneer verschillende audit disciplines samenwerken (Beugelaar en Visch, 2005). De interne accountantsdienst en de externe accountant hebben als
gemeenschappelijke stakeholders met name de Raad van Bestuur en de Auditcommissie. Een harmonieuze samenwerking tussen de interne accountantsdienst en de externe accountant is wenselijk en kan leiden tot synergie en toegevoegde waarde voor een onderneming. De interne accountantsdienst heeft immers veel kennis van de cultuur en verhoudingen binnen een
