P ARTNERS IN
C RIME ?
E EN C ASESTUDIE NAAR HET V INRICHTING VAN DE
HET VOORKOMEN VAN FR
1
Heidi de Voogd 2009
ASESTUDIE NAAR HET VERBAND TUSSEN DE INRICHTING VAN DE I NTERNAL E NVIRONMENT EN HET VOORKOMEN VAN FRAUDE
ERBAND TUSSEN DE
NVIRONMENT EN
Partners in crime?
Een meervoudige casestudie naar de inrichting van de Internal Environment en het voorkomen van fraude
Master thesis Accountancy Rijksuniversiteit Groningen
Faculteit Economie en Bedrijfskunde
Eerste begeleider: Drs. W. de Munnik Tweede begeleider: Drs. P.A. Jellema
Begeleider PricewaterhouseCoopers: Drs. R. Renken RA
Heidi de Voogd
Noorderdwarsstraat 1 9717 LW Groningen
Heididevoogd@hotmail.com Studentnummer 1274708 April 2009
2 Voorwoord
Als afronding van mijn Master Accountancy aan de RijksuniversiteitGroningen heb ik gedurende iets meer dan een half jaar deze thesis geschreven. Gedeeltelijk heb ik dit gedaan bij PricewaterhouseCoopers te Groningen, gedeeltelijk heb ik dit thuis gedaan of in de bibliotheek van de Faculteit Psychologie.
Het schrijven van deze thesis is voor mij een ware ontdekkingreis geweest. Gedurende het schrijven van deze thesis heb ik definitief besloten om na afronding van de Master Accountancy niet verder te gaan met de Post Master opleiding tot RA. Daarentegen heb ik ontdekt dat ik heel graag de Master of Criminal Investigation aan de Politieacademie zou willen gaan volgen, om vervolgens bij de recherche te gaan werken. Op dit moment is mijn sollicitatieprocedure hiervoor in de afsluitende fase beland.
Zo begint naar alle waarschijnlijkheid een geheel nieuwe fase in mijn leven na het afstuderen, waar ik erg veel zin in heb.
Graag had ik gezien dat deze Master thesis eerder af was geweest, maar een verhuizing, een voetoperatie en andere randzaken hebben er voor gezorgd dat het niet sneller ging.
Nu het eindresultaat zichtbaar wordt kan ik concluderen dat ik veel heb geleerd van het hele proces van het schrijven van een thesis. Je bent voornamelijk op jezelf aangewezen, maar als je het echt niet meer ziet zitten zijn er altijd mensen die er voor je zijn met advies en steun.
Daarom wil ik ten eerste mijn zus bedanken voor haar immer opbeurende mailtjes en telefoontjes, met altijd bruikbaar advies. Ook wil ik mijn ouders bedanken voor alle jaren dat zij het mogelijk hebben gemaakt dat ik kon studeren. Ook zonder de steun van mijn vriend Karel was de thesis nu nog steeds niet af geweest.
Op de Universiteit ben ik veel dank verschuldigd aan Kristina Linke, Pieter Jansen en Wilmar de Munnik, die mij in de goede richting hebben gestuurd en hebben voorzien van veel bruikbaar advies.
Daarnaast wil ik alle anderen bedanken, die ik niet bij naam heb genoemd, voor het geven van faciliteiten, advies, steun en commentaar.
Ik hoop dat deze thesis uw interesse zal wekken en wens u veel leesplezier.
Groningen, Maart 2009.
Pagina Inhoudsopgave:
Voorwoord __________________________________________________________________2 Hoofdstuk 1: Inleiding
1.1: Inleiding___________________________________________________________ 6 1.2: Relevantie_________________________________________________________ 8 1.3: Afbakening & Vraagstelling_____________________________________________ 8 1.4: Opbouw van de scriptie_______________________________________________ 10 Hoofdstuk 2: Internal Environment
2.1: De COSO organisatie__________________________________________________ 11 2.2: COSO Internal Control-Integrated Framework_______________________________ 11 2.3: COSO-Enterprise Risk Management Framework_____________________________ 13 2.4: Internal Environment____________________________________________________ 16
2.4.1: Risk Management Philosophy____________________________________ 17 2.4.2: Risk Appetite________________________________________________ 17 2.4.3: Risk Culture_________________________________________________ 17 2.4.4: Board of directors/Audit committee______________________________ 19 2.4.5: Commitment to competence_____________________________________ 20 2.4.6: Organizational Structure_______________________________________ 21 2.4.7: Assignment of Authority and Responsibility_________________________ 23 2.4.8: Human Resource Policies and Practices____________________________ 24 2.5: Samengevat:_______________________________________________________ 25 Hoofdstuk 3: Fraude
2.1: Wat is fraude_______________________________________________________ 27 2.2: de fraude driehoek__________________________________________________ 29 2.3: Oorzaken van fraude_________________________________________________ 32 2.4: Samengevat________________________________________________________ 34 2.5: Vraagstelling en Deelvragen____________________________________________ 37 Hoofdstuk 4: Onderzoeks methoden
4.1: Casestudie_________________________________________________________ 48 4.2: Documentenselectie_________________________________________________ 40 4.3: Vragenlijst_________________________________________________________ 40
4.3.1: Het Callaghan onderzoek_______________________________________ 41 4.3.2: Evaluation Tools_____________________________________________ 41 4.3.3: De vragenlijst_______________________________________________ 42 4.4: Documenten analyse_________________________________________________ 43 4.5 Samengevat________________________________________________________ 44 Hoofdstuk 5: Resultaten
5.1: Welke onderdelen van de Internal Environment zijn relatief het slechtste ingericht door frauderende ondernemingen?_________________________________________________ 46
5.1.1: Welke onderdelen van de internal environment zijn relatief het slechtste ingericht door Tyco International, niet rekening houdend met onbeantwoordbare vragen_________________________________________________________ 47 5.1.2: Welke onderdelen van de internal environment zijn relatief het slechtste ingericht door Enron Corporation, niet rekening houdend met onbeantwoordbare vragen_________________________________________________________ 47
4
5.1.3: Welke onderdelen van de internal environment zijn relatief het slechtste ingericht door Tyco International en Enron Corporation te samen, niet rekening houdend met onbeantwoordbare vragen______________________________ 48 5.1.4: Welke onderdelen van de internal environment zijn relatief het slechtste ingericht door Tyco International, rekening houdend met onbeantwoordbare vragen__________________________________________________________49 5.1.5: Welke onderdelen van de internal environment zijn relatief het slechtste ingericht door Enron Corporation, rekening houdend met onbeantwoordbare
Vragen_________________________________________________________50 5.1.6: Welke onderdelen van de internal environment zijn relatief het slechtste ingericht door Tyco International en Enron Corporation te samen, rekening houdend met onbeantwoordbare vragen_______________________________________ 50 5.1.7: Samengevat_________________________________________________ 51 5.2: Welke onderdelen van de Internal Environment zijn relatief het beste ingericht door frauderende ondernemingen?______________________________________________ 52
5.2.1: Welke onderdelen van de internal environment zijn relatief het beste ingericht door Tyco International, niet rekening houdend met onbeantwoordbare vragen__ 52 5.2.2: Welke onderdelen van de internal environment zijn relatief het beste ingericht door Enron Corporation, niet rekening houdend met onbeantwoordbare vragen__ 53 5.2.3: Welke onderdelen van de internal environment zijn relatief het beste ingericht door Tyco International en Enron Corporation te samen, niet rekening houdend met onbeantwoordbare vragen__________________________________________54 5.2.4: Welke onderdelen van de internal environment zijn relatief het beste ingericht door Tyco International, rekening houdend met onbeantwoordbare vragen _____ 54 5.2.5: Welke onderdelen van de internal environment zijn relatief het beste ingericht door Enron Corporation, rekening houdend met onbeantwoordbare vragen_____ 55 5.2.6: Welke onderdelen van de internal environment zijn relatief het beste ingericht door Tyco International en Enron Corporation te samen, rekening houdend met onbeantwoordbare vragen__________________________________________ 56 5.2.7: Samengevat_________________________________________________ 56 5.3: Hoe goed of slecht is de totale inrichting van de Internal Environment door frauderende ondernemingen?_______________________________________________________ 57
5.3.1: Hoe goed of slecht is de totale inrichting van de internal environment voor Tyco International, niet rekening houdend met onbeantwoordbare vragen_____ 58 5.3.2: Hoe goed of slecht is de totale inrichting van de internal environment voor Enron Corporation, niet rekening houdend met onbeantwoordbare vragen______ 58 5.3.3: Hoe goed of slecht is de totale inrichting van de internal environment voor Tyco International en Enron Corporation te samen, niet rekening houdend met onbeantwoordbare vragen__________________________________________ 58 5.3.4: Hoe goed of slecht is de totale inrichting van de internal environment voor Tyco International, rekening houdend met onbeantwoordbare vragen_________ 59 5.3.5: Hoe goed of slecht is de totale inrichting van de internal environment voor Enron Corporation, rekening houdend met onbeantwoordbare vragen_________ 59 5.3.6: Hoe goed of slecht is de totale inrichting van de internal environment voor Tyco International en Enron Corporation te samen, rekening houdend met onbeantwoordbare vragen_________________________________________ 60 5.3.7: Samengevat________________________________________________ 60 5.4: Bestaat er voor de geselecteerde ondernemingen een verband tussen de inrichting van de Internal Environment en het voorkomen van fraude_____________________________ 62 5.4.1: Bestaat er voor Tyco International een verband tussen de inrichting van de Internal Environment en het voorkomen van fraude_______________________ 62
5
5.4.2: Bestaat er voor Enron Corporation een verband tussen de inrichting van de Internal Environment en het voorkomen van fraude_______________________ 64 5.4.3: Bestaat er voor Tyco International en Enron Corporation te samen een verband tussen de inrichting van de Internal Environment en het voorkomen van fraude__ 66 5.4.4: Samengevat_________________________________________________ 68 Hoofdstuk 6: Conclusies________________________________________________________ 70 Hoofdstuk 7: Evaluatie_________________________________________________________ 72 Literatuurlijst_________________________________________________________________ 74 Bijlage I: De Callaghan vragenlijst
Bijlage II: Vragenlijst inclusief het ideaal antwoord en antwoorden van Tyco en Enron Bijlage III: Lijst met vindplaatsen van antwoorden op de vragen uit de vragenlijst Bijlage IV: Geheel aan onderbouwde antwoorden op de vragen uit de vragenlijst Bijlage V: Board of Directors & Audit Commitee Tyco International LTD.
Bijlage VI: Board of Directors & Audit Commitee Enron Corporation.
6 Hoofdstuk 1: Inleiding:
1.1: Inleiding.
Ondernemingsbestuur en –besturing zijn volop in beweging. In Nederland, maar ook in andere Europese landen en de Verenigde Staten is de afgelopen jaren nieuwe wet- en/of regelgeving op dit terrein tot stand gekomen. Voorbeelden hiervan zijn de Nederlandse code Tabaksblat, de Engelse Turnbull guidance en de Amerikaanse Sarbanes Oxley Act. Deze nieuwe wet- en/of regelgeving komt deels als reactie op de grote internationale boekhoudschandalen, deels als aanpassing van bij de economische ontwikkelingen achterlopende wetgeving. In de vernieuwingen staat de relatie tussen kapitaalverschaffers en bestuur centraal, met nieuwe regels over meer controle op en verantwoording en informatieverschaffing door het bestuur. Om aan deze externe component van corporate governance te kunnen voldoen, moet veelal ook de interne organisatie van de onderneming worden aangepast. De Amerikaanse Sarbanes Oxley Act geeft zelfs gedetailleerde voorschriften voor informatie-, controle- en risicobeheersingsystemen. (Cools, 2005)
In Nederland is deze vernieuwde wet- en regelgeving opgesteld door de Commissie Tabaksblat in de gelijknamige code. De code Tabaksblat bestaat uit principes en best practice bepalingen voor goed bestuur. De vier hoofdstukken van de code hebben betrekking op bestuur, commissarissen, aandeelhouders en financiële verslaggeving. Een van de meest in het oog springende bepalingen over het bestuur heeft betrekking op een verplicht risico- en controlesysteem. (Cools, 2005) De code Tabaksblat stelt in hoofdstuk ∏.1.3 dat in de vennootschap een op de vennootschap toegesneden intern risicobeheersing- en controlesysteem aanwezig moet zijn. In hoofdstuk ∏.1.4 wordt daarna gesteld dat het bestuur in een verklaring over de interne risicobeheersing- en controlesystemen aangeeft welk raamwerk of normenkader (zoals bijvoorbeeld het COSO raamwerk) is gehanteerd.
(Code Tabaksblat, 2003) De Code Tabaksblat is in december 2008 aangepast door de Monitoring Commissie Corporate Governace. Uitgangspunt van de aanpassingen is dat behoorlijk gedrag van bestuurders, commissarissen en aandeelhouders moet worden gestimuleerd. Daarom ligt bij de aanpassing de nadruk meer op de manier waarop bestuurders, commissarissen en aandeelhouders hun taken in de praktijk uitvoeren, in plaats van op de wijze waarop zij achteraf verantwoording afleggen. (www.commissiecorporategovernance.nl)
Een veel gebruikt interne risicobeheersing- en controlesysteem is het COSO-ERM Framework. Dit framework stelt managers in staat om effectiever te opereren in risicovolle omgevingen en kan als volgt worden gedefinieerd:
7
Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives (Coso ERM, 2004)
Het framework bestaat uit een achttal componenten: internal (control) environment, objective setting, event identification, risk assessment, risk response, control activities, information &
communication en monitoring. COSO beschrijft de internal environment als het onderdeel dat de toon van een organisatie bepaalt en welke het controle bewustzijn van de mensen daarin beïnvloedt.
Van de acht componenten wordt de internal environment door velen gezien als de belangrijkste component. Zo stelt Joseph H. Callaghan (2007) dat de sleutel tot succesvolle internal control een control environment is welke een integere toon neerzet en zo het ethische- en controlebewustzijn van medewerkers beïnvloedt. Castellano en Lightle (2007) voegen hier aan toe dat een sterke control environment welke wordt ondersteund door een ethische tone at the top de hoeksteen is van een interne controle systeem welke de financiële overzichtsrol van het Audit Committee ondersteunt.
Castellano en Lightle (2007) stellen verder dat van alle componenten, de control environment wellicht de meest cruciale is, en ook de meest moeilijk te beheersen en te evalueren is. COSO (2004) gaat nog verder en stelt dat de internal environment het fundament is van het ERM systeem.
Door bovenstaande uitspraken lijkt het alsof er voor onderzoekers en managers die in de praktijk werken geen twijfel bestaat ten aanzien van het belang van de inrichting van de internal environment. Bovenstaande uitspraken suggereren zelfs een mogelijk verband tussen de inrichting van de internal environment en de werking van een ERM systeem als geheel. Door middel van onderzoek is echter nog nooit dit belang en een mogelijk verband tussen de inrichting van de internal environment en de werking van het gehele ERM systeem aangetoond. Hier ligt dus een probleem.
Mensen uit de praktijk veronderstellen een verband, terwijl dit verband wetenschappelijk nooit is bewezen. In mijn onderzoek wil ik gaan onderzoeken of de internal environment daadwerkelijk het fundament is van de werking van het gehele ERM systeem. Hoe ik dit ga onderzoeken kunt u lezen in paragraaf 1.3.
8 1.2: Relevantie.
ERM levert een framework aan het management om effectief om te gaan met onzekerheid en bijbehorende risico’s en kansen en vergroot daarbij de capaciteit om waarde te creëren. (COSO, 2005) Gezien de uitspraken van Callaghan, Lightle en Castelano en COSO is het belangrijk voor organisaties om te weten of de internal environment van cruciaal belang is voor het goed werken van een ERM systeem en om zodoende de waardecreërende capaciteiten van de organisatie te vergroten. Hierdoor heeft mijn onderzoek een grote praktische relevantie.
Gezien de bovengenoemde uitspraken, is het voor veel onderzoekers, managers en andere mensen uit de praktijk blijkbaar duidelijk dat de internal environment een cruciale rol speelt in de werking van een ERM systeem als geheel. Ook nemen zij door hun ervaringen uit de praktijk aan dat er een verband bestaat tussen de internal environment en het gehele ERM systeem. Toch is eerst wetenschappelijk onderzoek nodig naar een mogelijk verband tussen de inrichting van de internal environment en de werking van het gehele ERM systeem om deze veronderstelling hard te kunnen maken. Hierdoor heeft mijn onderzoek ook wetenschappelijke relevantie.
1.3: Afbakening & vraagstelling.
Om mijn onderzoeksterrein te verkleinen en het onderzoek te concretiseren ga ik me tijden het onderzoek richten op ondernemingen waar fraude is vastgesteld. Een effectief ERM framework helpt een onderneming haar prestatie- en winstdoelstellingen te behalen en voor komt het verlies van middelen. (COSO-ERM, 2004) Fraude is volgens Van Dale: valsheid, bedrog (in administratie, geldelijk beheer en mbt. de samenstelling van waren). Voor accountants geldt een frauderichtlijn waarin fraude is gedefinieerd als: "Een opzettelijke handeling door één of meer personen uit de kring van de leiding, de organen belast met governance, het personeel of derden, waarbij misleiding wordt gebruikt om een onrechtmatig of onwettig voordeel te behalen" (Richtlijnen voor de accountantscontrole, 2005)
Gezien deze definities kan men stellen dat fraude afbreuk doet aan het behalen van deze doelstellingen en zorgt voor het verlies van middelen. Fraude is hierdoor van invloed op de effectiviteit van een ERM systeem.
Om de problematiek zoals ik deze heb geschetst in bovenstaande paragrafen te onderzoeken heb ik er voor gekozen om te kijken of er een mogelijk verband te vinden is bij ondernemingen waar de afgelopen jaren fraude is geconstateerd en de inrichting van de internal environment bij deze ondernemingen.
9 Dit heb ik verwoord ik in de volgende vraagstelling:
Welke mogelijke positieve verbanden bestaan er tussen de inrichting van de internal environment en het voorkomen van fraude?
Aan de hand van relevante theorie en onderzoeken, die ik in hoofdstuk 2 en 3 zal bespreken ben ik gekomen tot de volgende deelvragen:
- Welke onderdelen van de Internal Environment zijn relatief het slechtste ingericht door frauderende ondernemingen?
- Welke onderdelen van de Internal Environment zijn relatief het beste ingericht door frauderende ondernemingen?
- Hoe goed of slecht is de totale inrichting van de Internal Environment door frauderende ondernemingen?
- Bestaat er voor de geselecteerde ondernemingen een verband tussen de inrichting van de Internal Environment en het voorkomen van fraude?
Om bovenstaande te onderzoeken zal ik een case studie gaan uitvoeren bij een tweetal ondernemingen waarbij de afgelopen jaren (boekhoud) fraude is geconstateerd. Door het onderzoek te beperken tot een tweetal ondernemingen zal ik geen algemene uitspraken kunnen doen met betrekking tot mijn vraagstelling. Dit komt ook tot uitdrukking in de formulering van de vraagstelling door middel van het gebruik van de bewoording: mogelijk positief verband. De uitkomsten zullen alleen betrekking hebben op de twee geselecteerde ondernemingen. Om de vraagstelling te generaliseren zal er aanvullend onderzoek moeten plaatsvinden, met een steekproef waarbij wel generaliserende conclusies kunnen worden getrokken in combinatie met een controlegroep. Bij mijn keuze van de te selecteren ondernemingen zal ik voornamelijk letten op de grootte van de gepleegde fraude en de hoeveelheid beschikbare informatie. Het is voor het slagen van mijn onderzoek van groot belang om de ondernemingen met grote zorg te selecteren. Het onderzoek staat of valt met de hoeveelheid informatie en literatuur die beschikbaar is, dit omdat ik anders de verschillende elementen van de internal environment niet voldoende kan evalueren en beoordelen. Meer over de opzet van het onderzoek kunt u vinden in hoofdstuk 4.
10 1.4 Opbouw van de scriptie.
Om te komen tot de beantwoording van de vraagstelling uit paragraaf 1.3 zal ik in de komende hoofdstukken eerst de kernbegrippen uit de vraagstelling gaan uitdiepen. Hoofdstuk 2 gaat in op het COSO framework in het algemeen en alle facetten van de internal environment specifiek. Tevens worden relevante onderzoeken op het gebied van de internal environment behandelt. Hoofdstuk 3 gaat vervolgens in op het begrip fraude en de verschillende oorzaken van fraude. Ook hier worden relevante theorieën en onderzoeken behandelt. Aan het einde van het hoofdstuk wordt aan de hand van alle theorie die is besproken in hoofdstuk 2 en 3, de hoofdvraag opgespitst in een viertal deelvragen.
Hoofdstuk 4 gaat vervolgens in op de gebruikte onderzoeksmethoden. Hierin wordt onder meer uitgelegd welke ondernemingen ik heb geselecteerd en hoe ik mijn deelvragen ga beantwoorden.
In hoofdstuk 5 zullen de verschillende deelvragen worden beantwoord, welke leiden tot mijn onderzoeksresultaten en in hoofdstuk 6 zullen de conclusies uit dit onderzoek worden besproken. In een afsluitend hoofdstuk zal een evaluatie plaatsvinden van het onderzoek, waarin ik de beperkingen van het onderzoek benoem en waar plaats is voor aanbevelingen voor bijvoorbeeld vervolgonderzoek.
11 Hoofdstuk 2: Internal Environment:
Dit hoofdstuk zal ik eerst inleidend ingaan op wat internal control is en uit welke onderdelen zij bestaat uitgaande van de COSO modellen. Daarna zal ik dieper ingaan op de internal environment, welke een onderdeel is van het COSO-ERM framework, om zodoende de volgende vraag te kunnen beantwoorden: welke onderzoeken zijn er gedaan en welke onderzoeksresultaten zijn er gevonden die samenhangen met de verschillende onderdelen van de internal environment.
2.1 De COSO organisatie:
COSO is een private sector organisatie die zich wijdt aan de verbetering van financiële verslaggeving door middel van business ethics, effectieve internal controls en corporate governance.
COSO is opgericht in 1985, naar aanleiding van een aantal fraudezaken, om de National Commission on Fraudulent Financial Reporting te sponsoren. De National Commission on Fraudulent Financial Reporting was een onafhankelijk initiatief vanuit de private sector en bestudeerde de causale factoren die kunnen leiden tot frauduleuze financiële verslaggeving en ontwikkelde aanbevelingen voor publieke ondernemingen en hun onafhankelijke accountants, voor de SEC en andere wet- en regelgevers en voor educatieve instanties. (www.coso.org) Het doel was om te komen tot een algemeen framework, maar dit lukte in eerste instantie niet.
In 1992 kwam COSO uiteindelijk met het Internal Control - Integrated Framework en in 2004 met het COSO - Enterprise Risk Management Framework. Na de recente fraudeschandalen is COSO verankerd in de Amerikaanse wetgeving. (SOX)
2.2 COSO Internal Control – Integrated Framework:
Internal controls worden toegepast in ondernemingen om ondernemingsdoelstellingen te halen en om verrassingen op weg naar het behalen van deze doelstellingen te minimaliseren. Internal controls zorgen er onder andere voor dat er compliance is met alle financiële en operationele behoeftes van de onderneming, verminderen het risico van het verlies van bezittingen, helpen om de accuraatheid van financiële registraties te vergroten, voorziet het management van bruikbare informatie, het zorgt voor procedures en systemen die snel fouten of fraude kunnen identificeren en verminderen de kans op onverwachte gebeurtenissen. (www.startrungrow.com)
12
Begin jaren ’90 kwamen er steeds meer geluiden op voor een beter internal control systeem en betere rapportage methodes betreffende deze internal controls. Men ging internal control steeds meer zien als een oplossing voor een verscheidenheid aan potentiële problemen. Als antwoord op deze tendens kwam COSO in 1992 met het Internal Control – Integrated Framework.
Internal control kan gedefinieerd worden als:
“a process, effected by an entity's board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:
a) Effectiveness and efficiency of operations;
b) Reliability of financial reporting;
c) Compliance with laws and regulations.” (COSO-Integrated framework, 1992)
Internal control kan worden gezien als effectief als in elk van de drie categorieën, respectievelijk, als de Raad van Bestuur en het management een redelijke mate van zekerheid hebben dat:
• de operationele doelstellingen van de onderneming worden behaald
• Informatievoorziening betrouwbaar is
• de onderneming zich houdt aan de geldende wet- en regelgeving
Figuur 2.1: COSO Internal Control-Integrated Framework
13
Internal control bestaat uit een vijftal componenten. Deze componenten zijn afgeleid van de manier waarop het management een onderneming leidt. De componenten zijn ook geïntegreerd met het managementproces.
Internal control bestaat uit de volgende componenten:
• Control environment:
• Risk assessment:
• Control activities:
• Information en Communication:
• Monitoring:
(zie bijlage I voor een beschrijving van de componenten)
Tussen de verschillende componenten bestaat een verband en het vormt een geïntegreerd systeem dat dynamisch reageert op veranderende condities. Internal control is het effectiefste wanneer de controls in de infrastructuur van de onderneming zijn ingebouwd en een deel zijn van de essentie van de onderneming. Er is tevens een directe relatie tussen de categorieën van doelstellingen, wat de onderneming wil bereiken, en de componenten, wat nodig is om de doelstellingen te bereiken. Alle componenten zijn voor alle categorieën van doelstellingen relevant.
Over het geheel gezien, kan internal control helpen een onderneming te bereiken wat het wil, en valkuilen en andere verrassingen te voorkomen. (internal control-integrated framework executive summary, 1992)
2.3 COSO-Enterprise Risk Management framework:
In 2004 kwam COSO met het COSO-ERM framework. Management van verschillende organisaties hadden in de loop der jaren processen ontwikkeld waarmee zij risico’s konden identificeren en managen binnen organisaties. Ondanks dat er veel literatuur en informatie bestond met betrekking tot enterprise risk management bestond er geen algemene terminologie en algemeen aanvaarde principes die het management van een organisatie kon gebruiken als lijdraad bij het maken van een effectief risk management ontwerp. Er bestond veel informatie over de inhoud van risico’s, maar over het proces, het denken en handelen was weinig bekend. COSO ontwikkelde als antwoord hierop het ERM- framework. Het framework geeft geïntegreerde principes, algemene terminologie en praktische implementatieadviezen om organisaties te helpen bij het ontwikkelen of benchmarken van een enterprise risk management proces.
14
Een bijkomend doel is om dit framework te laten gelden als een algemene basis voor management, directeuren, wet- en regelgevers, academici en anderen om zodoende enterprise risk management, de voordelen en beperkingen ervan beter te begrijpen en om effectiever te communiceren over enterprise risk management zaken.
De relevantie van enterprise risk management is dat zij voor het management van een organisatie een framework ter beschikking stelt zodat zij effectief kan omgaan met onzekerheid en geassocieerde risico’s en kansen en daardoor de waarde creërende capaciteit van de organisatie vergroot.
Enterprise risk management maakt het voor het management van een organisatie mogelijk om effectiever te opereren in risicovolle omgevingen. Het is dus niet zo dat enterprise risk management zorgt voor een omgeving zonder risico’s. Het vergroot echter het vermogen van een organisatie om:
• de risk appetite en de strategie op één lijn te brengen
• groei, risico’s en winsten te verbinden
• risico reactie beslissingen te verbeteren
• operationele verrassingen en verliezen te minimaliseren
• “cross-enterprise” risico’s te identificeren en te managen
• geïntegreerde beslissingen voor verschillende risico’s te maken
• kansen te grijpen
• kapitaal te rationaliseren
Enterprise risk management is gerelateerd aan corporate governance, doordat het informatie kan verschaffen aan de Raad van Bestuur met betrekking tot de meest significante risico’s en hoe deze worden gemanaged.
Enterprise risk management en internal control liggen in het verlengde van elkaar. Net zoals internal control helpt ook enterprise risk management de organisatie om haar prestatie- en ondernemingsdoelstellingen te behalen en helpt het bij het voorkomen van het verlies van activa.
Enterprise risk management is echter meer omvattend dan internal control. Dit komt duidelijk naar voren als je de definities van beide met elkaar vergelijkt. De definitie van enterprise risk management is afgeleid van de definitie van internal control en uitgebreid.
15
De definitie van enterprise risk management kan als volgt worden omschreven:
“Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may effect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” (Coso ERM, 2004)
Net zoals bij het COSO Internal Control-Integrated Framework kan ook het COSO ERM framework als effectief worden beschouwd wanneer de Raad van Bestuur een redelijke mate van zekerheid verkrijgt met betrekking tot het behalen van doelstelling in de volgende categorieën: strategische en operationele doelen, betrouwbaarheid van informatievoorziening en het voldoen aan geldende wet- en regelgeving. ERM is een proces en de effectiviteit van ERM is een gegeven op een bepaald punt in de tijd. Het bepalen van de effectiviteit van ERM is subjectief en wordt bepaald aan de hand van een beoordeling van de aanwezigheid en werking van de acht componenten van ERM.
Het COSO ERM framework bestaat uit de volgende componenten:
• Internal Environment:
• Objective Setting:
• Event Identification:
• Risk Assessment:
• Risk Response:
• Control Activities:
• Information en Communication:
• Monitoring:
(zie bijlage I voor een beschrijving van de componenten)
16
Figuur 3.2: Coso Enterprise Risk Management Framework
2.4 Internal Environment:
De Internal Environment van een onderneming is volgens COSO de fundering van alle andere componenten van ERM management en geeft richting en structuur. De Internal Environment beïnvloedt hoe strategie en doelen worden bepaald, bedrijfsactiviteiten zijn gestructureerd en hoe risico’s worden geïdentificeerd, beoordeeld en op wordt gereageerd. Het beïnvloedt het ontwerp en het functioneren van control activiteiten, informatie en communicatie systemen en monitoring activiteiten. De Internal Environment daar in tegen wordt beïnvloed door de geschiedenis en cultuur van de onderneming. De Internal Environment bestaat uit veel elementen zoals, ethische waarden, competenties en ontwikkeling van personeel, stijl van leidinggeven van het management en het toewijzen van gezag en verantwoordelijkheden. De Raad van Bestuur is een kritiek onderdeel van de Internal Environment en beïnvloedt de andere onderdelen van de Internal Environment sterk. De onafhankelijkheid van de board ten opzichte van het management, ervaring en status van de leden, de mate van betrokkenheid en oplettendheid en de doelmatigheid van haar acties spelen hierbij een rol. (COSO-ERM, 2004)
Alle elementen van de Internal Environment zijn belangrijk, echter de mate waarin elk element wordt behandeld verschilt per onderneming. Ook is het zo dat de Internal Environment van zelfstandige dochterondernemingen, divisies en andere onderdelen sterk kunnen verschillen door verschillen in voorkeuren van het hogere management, waardeoordelen en management stijlen. Het is hierdoor belangrijk om het effect te onderkennen welke verschillen in de Internal Environment kunnen hebben op andere elementen van ERM. (COSO Enterprise Risk Management Framework, 2004)
17
Hieronder zal ik alle onderdelen van de Internal Environment bespreken en ook zal ik relevante onderzoeken betrekken in deze bespreking.
2.4.1 Risk management Philosophy:
Risk management philosophy zijn de overtuigingen met betrekking tot risico’s, de manier waarop de onderneming haar activiteiten uitvoert en hoe zij omgaat met risico’s. De risk management philosophy geeft de waarde weer die de onderneming verlangt van ERM en beïnvloedt hoe de ERM elementen worden toegepast. De risk management philosophy komt tot uitdrukking in de beleidsregels en in andere mededelingen van de onderneming. Belangrijk is dat het management de philosophy niet alleen versterkt door middel van woorden maar er zelf ook elke dag naar handelt.
(COSO Enterprise Risk Management Framework, 2004)
2.4.2 Risk Appetite:
Risk appetite is de hoeveelheid risico die een onderneming bereid is te nemen in ruil voor waarde.
Risk appetite kan zowel kwalitatief als kwantitatief worden bekeken. Kwalitatieve risk appetite kan worden gemeten aan de hand van categorieën zoals hoog, gemiddeld of laag, terwijl kwantitatieve risk appetite kan worden gemeten aan de hand van de reflectie en het wegen van groei- , return- en risicodoelen.
De risk appetite van een onderneming is direct gerelateerd aan de strategie. Het wordt in aanmerking genomen bij het vaststellen van de strategie, omdat de gewenste opbrengst van een strategie aan moet sluiten met de risk appetite van de onderneming. Verschillende strategieën stellen de onderneming bloot aan verschillende risico’s. ERM, toegepast bij het vaststellen van de strategie, helpt het management bij het kiezen van een strategie die in lijn is met de risk appetite van een onderneming. (COSO -ERM, 2004)
2.4.3 Risk Culture:
Risk culture is de set van gedeelde opvattingen, waarden en gebruiken die karakteriseren hoe een onderneming omgaat met de risico’s in hun dagelijkse activiteiten. De risk culture vloeit, voor de meeste ondernemingen, voort uit de risk philosophy en de risk appetite.
Het management van de onderneming denkt na over hoe de risk culture aansluit met de andere elementen van ERM en hoe zij deze beïnvloedt. Als dit niet goed aansluit zal het management stappen nemen om de cultuur een nieuwe vorm te geven, door bijvoorbeeld de risk philosophy en risk appetite te heroverwegen, of door na te denken over hoe zij ERM toepast.
18
Afzonderlijke business units, functies en afdelingen hebben kleine verschillen in hun risk culture. Als deze subculturen samenwerken en elkaar aanvullen, zullen zij gezamenlijk de gewenste risk appetite en philosophy van de onderneming weergeven.
Ook als er in het verleden nooit grote verliezen zijn geleden door risico’s en gebeurtenissen, moet het management er rekening mee houden dat ook goed functionerende ondernemingen kwetsbaar zijn. Veel variabelen in zowel de externe- als de interne omgeving kunnen namelijk snel veranderen.
(COSO Enterprise Risk Management Framework, 2004)
Risk management Philosophy, Risk appetite, Risk culture en onderzoek:
Risk management philosophy, risk appetite en risk culture kunnen samen worden gezien als
de corporate culture, of te wel de bedrijfscultuur. De bedrijfscultuur zet de morele toon voor een organisatie. De bedrijfscultuur kan worden gedefinieerd als alle statements, visies, gebruiken, slogans, waarden, voorbeeld figuren en sociale rituelen die uniek zijn voor, en gebruikt worden door een organisatie om corruptie en fraude tegen te gaan.(Luo, 2004)
De hoeksteen van een anti-corruptie organisatiestructuur en -cultuur is een gedetailleerde anti- corruptie verklaring, die managers begeleid bij het maken van dagelijkse beslissingen. Deze anticorruptie verklaring, maar ook de waarden van de onderneming moeten worden verspreid naar alle werknemers in alle hiërarchieën, sub-units en locaties. Deze verspreiding moet in een zo open mogelijke omgeving plaatsvinden, zodat participatie en feedback wordt aangemoedigd. Het is tevens belangrijk dat medewerkers worden geïnformeerd aan wie zij moeten rapporteren in het geval van overtredingen, maar ook bij wie zij kunnen aankloppen voor vragen. Ondernemingen moeten voor deze verspreiding gedetailleerde procedures opstellen. (Luo,2004)
Ook door middel van ‘compliance programma’s’ kan het gedrag van mensen binnen de onderneming op één lijn worden gebracht met de gewenste ethische standaard. Naast deze programma’s moeten er ook regelmatig ethische- en compliance trainingen worden gehouden, voor zowel werknemers als het op management. (luo, 2004)
De visies en de toewijding van het leiderschap van een onderneming (RvB, CEO, CFO etc) spelen naar mijn mening een grote rol in het bestrijden van corruptie en fraude. Mijn mening wordt gedeeld door Luo (2004) die vindt dat ethisch leiderschap de morele standaard voor een organisatie zet door te focussen op de integriteit van gemeenschappelijke doelen. De leiders van ondernemingen zouden volgens hem moeten worden gezien als voorbeeld figuren die belangrijk zijn voor het zetten van een positief ethisch klimaat. Deze voorbeeld figuren kunnen door middel van hun gedrag het gedrag van anderen beïnvloeden binnen de organisatie. (Luo,2004)
19
Zonder de toewijding van het leiderschap is het onmogelijk voor een onderneming om zichzelf te manifesteren als een ‘goede burger’ die bezorgd is over eerlijke praktijken en de noodzaak om te zorgen voor een gelijkwaardig speelveld in binnenlandse- en wereldwijde markten. Het is tevens van groot strategisch belang dat deze leiders corruptie en fraude identificeren als een bedreiging voor de lange termijn groei en gezondheid van de onderneming.
2.4.4 Board of Directors / Audit Committee:
Het audit comitee is een operationeel comité van de RvB
(http://en.wikipedia.org/wiki/Audit_committee) en overziet het audit proces en de interne accounting controles van de onderneming. (Agrawal & Chadha, 2005)
De Raad van bestuur van een onderneming is een kritiek onderdeel van de Internal Environment en beïnvloedt andere elementen van de Internal Environment sterk. De onafhankelijkheid van de board ten opzichte van het management, ervaring en status van de leden, de mate van betrokkenheid en oplettendheid en de doelmatigheid van haar acties spelen hierbij een rol. (COSO-ERM, 2004)
Andere factoren zijn de graad waarin moeilijke vragen worden gesteld door de RvB en het audit committee aan het management en de mate waarin zij hier volhardend in is aangaande de strategie, plannen en prestaties en interactie tussen de RvB of het Audit Committee en de interne- en externe accountants. Een actieve en betrokken RvB, raad van beheer, of een vergelijkbaar lichaam moet een geschikte mate van kennis bezitten van management, techniek en andere gebieden. Ook moet zij de juiste denkrichting hebben om zo haar toezichthoudende verantwoordelijkheden te kunnen uitvoeren.
Het is belangrijk om externe bestuurders aan te stellen, omdat hierdoor betere alternatieve visies worden verkregen en zij beter kritische vragen en de activiteiten van het management kan beoordelen. Leden van het top management van de onderneming kunnen goede bestuurders zijn, omdat zij veel expertise met betrekking tot de onderneming hebben. Maar er moeten ook voldoende onafhankelijke externe bestuurders zijn. Dit is niet alleen vanwege bovengenoemde redenen, maar ook omdat zij het management in balans houdt. (COSO-ERM, 2004)
De bovengenoemde punten beïnvloeden dus niet alleen de werking van de board of directors zelf, maar werken door naar alle andere componenten van de internal environment, vandaar dat zij als kritiek onderdeel van de internal environment kan worden gezien.
Bovenstaande is geschreven met als uitgangspunt het “one-tier board” systeem, zoals deze in veel Angelsaksische landen wordt gebruikt. Bij een “one-tier board” bestuursstructuur is er geen aparte Raad van Commissarissen naast de Raad van Bestuur, maar zitten de uitvoerende bestuurders (de
20
‘executives’) samen met de toezichthoudende bestuurders (de ‘non-executives’) in één bestuur. In Nederland kennen wij de tegenhanger van deze structuur, namelijk een dualistisch systeem of ‘two- tier board’, waarbij er wel sprake is van een aparte Raad van Commissarissen naast de Raad van Bestuur. (www.wieringa-advocaten.nl)
Board of directors/ Audit committee en onderzoek:
Agrawal & Chadha (2005) komen met twee redenen waarom onafhankelijke externe bestuurders bij Amerikaanse beursgenoteerde ondernemingen de kans op fraude en winstmanipulatie verkleinen.
Onafhankelijke bestuurders missen de stimulans om de onderneming te helpen met het verbergen van boekhoud problemen. Als eerste reden geven zij dat onafhankelijke bestuurders niet in dienst zijn bij de onderneming en daardoor niet zoals managers hun baan op het spel hebben staan. Als tweede reden geven zij dat onafhankelijke bestuurders substantiële verantwoording en reputatie schade tegemoet zien als zij worden betrapt op het helpen verbergen van een serieus boekhoud probleem.
Om een effectieve Internal Environment te hebben moet een meerderheid van de RvB bestaan uit onafhankelijke externe bestuurders. Van onafhankelijke bestuurders wordt geloofd dat zij managers beter kunnen monitoren. Bij Ondernemingen met een onafhankelijker bestuur komt minder boekhoudfraude en winstmanipulatie voor. Tevens is de kans statistisch kleiner dat ondernemingen met in ieder geval één onafhankelijke bestuurder met financiële expertise doen aan winstmanipulatie. (Agrawal & Chadha, 2005)
De invloed die een CEO op het bestuur heeft kan ook de effectiviteit van de monitoring activiteiten van het bestuur beïnvloeden. Hoe groter de invloed van de CEO op het bestuur, hoe kleiner de kans is dat het bestuur onregelmatigheden vermoed ten opzichte van een meer onafhankelijkere RvB of audit committee. (Agrawal & Chadha, 2005)
2.4.5 Committent to competence:
Competenties geven de kennis en de vaardigheden weer die nodig zijn om toegewezen taken uit te voeren. Het management beslist hoe goed deze taken moeten worden uitgevoerd door de strategie en doelen van de onderneming te wegen ten opzichte van de implementatie van de strategieplannen en het bereiken van doelen. Er bestaat altijd een wisselwerking tussen competenties en kosten. Het management specificeert de competentie niveaus voor een bepaalde functie naar vereiste kennis en vaardigheden. Hier kan een afweging gemaakt worden tussen de hoeveelheid supervisie en het vereiste competentie niveau van de werknemer. (COSO-ERM, 2004)
21 Commitment to competence en onderzoek:
De groei van een onderneming hangt in een competitieve omgeving af van de dynamische capaciteiten van de onderneming. Te denken valt hierbij aan het lerend vermogen van de organisatie, het bevorderen van kennis, continue innovatie en een innovatieve bedrijfscultuur. In een bedrijfscultuur waar wordt omgekocht en waar een corrupte atmosfeer hangt kunnen deze dynamische capaciteitmechanismen niet worden gevoed en onderhouden. (Luo, 2004) Een lerende, innovatieve organisatie is dus niet mogelijk als er fraude voorkomt in een onderneming. Dit geldt helemaal als het top management van een onderneming betrokken is, in meer of mindere mate, bij de fraude praktijken. (luo, 2004)
Eby et al. definiëren Organizational commitment als de houding van een individu ten opzichte van een onderneming, bestaand uit een sterk geloof in en acceptatie van de organisatiedoelen, de bereidheid om aanzienlijke moeite te doen voor de onderneming en een sterke wens om deel uit te blijven maken van de onderneming. Deze commitment wordt te weeg gebracht door intrinsieke motivatie. Motivatie wordt op haar beurt weer te weeg gebracht door functie kenmerken en de werkomgeving. Vooral het gevoel van een betekenisvol werk en het gevoel dat je goed wordt behandeld spelen een grote rol. (Eby et al., 1999)
2.4.6 Organizational Structure:
De organisatie structuur voorziet in een framework om bedrijfsactiviteiten te plannen, uit te voeren en te monitoren. Een relevante organisatie structuur bevat onder andere het vaststellen van sleutel functies met betrekking tot autoriteit en verantwoordelijkheid en het instellen van geschikte rapportage lijnen.
Een onderneming ontwikkelt een organisatie structuur die past bij zijn behoeftes. Sommige organisatie structuren zijn gecentraliseerd en anderen gedecentraliseerd, sommigen hebben directe rapportage lijnen en anderen zijn meer een matrix organisatie, sommige organisaties zijn georganiseerd per industrie en anderen door producten of geografische locatie. Veel organisaties zijn georganiseerd door middel van functies.
De geschiktheid van de organisatiestructuur hangt af van de grootte van de organisatie en de soort activiteiten. Welke structuur een organisatie ook heeft, de structuur moet zo zijn ingericht dat het een effectieve werking van ERM mogelijk maakt en dat activiteiten zo worden uitgevoerd zodat doelstellingen worden behaald. (COSO -ERM, 2004)
22 Organizational Structure en onderzoek:
Uit onderzoek blijkt dat de eigendomsstructuur van een organisatie van invloed is op het voorkomen van boekhoudfraude en winstmanipulatie bij ondernemingen. De kans op boekhoudfraude of winstmanipulatie is statistisch groter bij ondernemingen waarbij de CEO behoord tot de familie van de oprichters van de onderneming. (Agrawal & Chadha, 2005)
Ook de grootte van de onderneming lijkt van invloed te zijn op het voorkomen van boekhoudfraude en winstmanipulatie. Grotere ondernemingen hebben een statistisch grotere kans om hun resultaten te herformuleren dan kleinere ondernemingen. Dit kan echter komen doordat grotere ondernemingen vaker beschikken over een onafhankelijke bestuurder met financiële expertise dan kleinere ondernemingen en zodoende deze ondernemingen vaker terecht worden gewezen door de RvB of het audit committee. (Agrawal & Chadha, 2005)
Wat verder uit onderzoek naar voren komt is dat de kans op fraude groter en sneller groeiend is bij opkomende economieën en groeimarkten. (Luo, 2004)
Wangedrag kan worden opgespoord en gecorrigeerd door middel van de organisatie structuur, omdat de organisatie structuur de inhoud van taken bepaalt, het monitoring proces specificeert en de manier waarop taken en verantwoordelijkheden worden ingevuld bepaald. Doordat corruptie en fraude vaak worden uitgevoerd door individuele werknemers, in opdracht van de onderneming, is het kritiek om te komen tot een goede bedrijfsintegriteit. Een formele structuur is nodig om deze integriteit te onderhouden en om morele verwachtingen op een duidelijke manier te verwezenlijken.
(Luo,2004) Luo is verder van mening dat bij sterk geïntegreerde, (verticaal of horizontaal) of gecentraliseerde (dmv functies of gebieden) ondernemingen, de kans dat fraude collectief wordt uitgevoerd door, of betrekking heeft op, meerdere hiërarchieën vergroot.
Als een onderneming sterk is gedecentraliseerd, waarbij elk hiërarchisch niveau of elke sub-unit sterk onder druk wordt gezet om illegale activiteiten uit te voeren of er ontbreken duidelijke gedragscodes, dan wordt de kans vergroot dat illegale activiteiten zowel gelijktijdig als afzonderlijk op meerdere niveaus of in meerdere sub-units voorkomen.
Om dit te voorkomen is het noodzakelijk voor sterk gedecentraliseerde onderneming dat controle van het anti-corruptie beleid plaatsvindt door middel van een geïntegreerde structuur om zodoende de integriteit te waarborgen. Naast een formele structuur om over illegaal gedrag te informeren, het op te sporen en te rectificeren, kan een onderneming ook nog een anti-corruptie comité instellen en een compliance officer aanwijzen. Hierdoor kan corruptie en fraude beter worden opgespoord.
(luo,2004)
Om de kans op fraude en ongewenst gedrag nog verder te verkleinen is transparantie van de organisatie structuur noodzakelijk. Archivering en rapportage zijn procedures die daarbij een rol
23
kunnen spelen. Een onderneming kan dit gebruiken om sleutel aspecten van zijn compliance inspanningen te documenteren en om de effectiviteit van het programma te monitoren. De rapportage van zelfs kleine incidenten kan meehelpen in het onderstrepen van een zero-tolerance beleid voor verdacht gedrag. Als een onderneming er niet in slaagt om deze incidenten te rapporteren kan dit de boodschap af geven aan werknemers dat zulke gedragingen worden geaccepteerd binnen de onderneming.
Het hebben van een klokkenluider systeem kan helpen om open communicatie te bevorderen als normale communicatiekanalen falen. Maar bovenal moet een onderneming er voor zorgen dat werknemers begrijpen dat het niet houden aan het anti-corruptie beleid en -procedures zal resulteren in disciplinaire maatregelen. (Luo,2004)
2.4.7 Assignment of Authority and Responsibility:
Toewijzing van autoriteit en verantwoordelijkheid houdt onder andere de mate waarin individuen en teams geautoriseerd en gestimuleerd worden om initiatief te tonen bij het onderkennen en oplossen van problemen in, maar ook de limitaties hierin. Het houdt ook verband met de tot stand koming van rapportage verhoudingen en autorisatie protocollen maar ook met allerlei bedrijfsprotocollen.
Het delegeren van autoriteit, ofwel “empowerment”, betekent het verschuiven van centrale controle van bepaalde bedrijfsbeslissingen naar lagere niveaus, zodat de beslissingen worden genomen door individuen die het dichtst bij de bedrijfstransacties staan. Dit kan een onderneming doen omdat zij meer marktgedreven of kwaliteitgedreven wil worden.
Het is een kritieke uitdaging voor een onderneming om alleen dat gene te delegeren wat noodzakelijk is om de bedrijfsdoelstellingen te bereiken. Een ander uitdaging is om er voor te zorgen dat al het personeel de bedrijfsdoelstellingen begrijpt en hoe zij bijdragen aan het behalen daarvan.
Een toegenomen mate van delegatie wordt vergezeld door, of is het gevolg van, het platter worden van de organisatiestructuur. De toename van het delegeren van taken kan leiden tot de vraag naar hogere werknemercompetenties, maar ook tot grotere verantwoordelijkheid. Het vraagt tevens naar effectieve procedures voor het management, zodat zij resultaten goed kan monitoren en kan ingrijpen indien noodzakelijk.
De Internal Environment wordt sterk beïnvloedt door de mate waarin individuen het gevoel hebben dat zij verantwoordelijk worden gehouden voor hun daden en gedragingen. Dit geldt zowel voor normale werknemers als voor het top management en de CEO. (COSO Enterprise Risk Management Framework, 2004)
24 Assignment of authority en onderzoek:
Volgens onderzoek van Eby et al. speelt de mate van autonomie en verantwoordelijkheid een grote rol bij de commitment van werknemers. Door te werken in een bedrijfsomgeving ontwikkelen werknemers competentie percepties. Een manier om deze percepties te ontwikkelen is door te werken in een functie met ‘motiverende potentie’. Dit zijn functies die worden gekenmerkt door:
grote variatie in vaardigheden, belangrijke taken die ook goed kunne worden gedefinieerd, autonomie en feedback. (Hackman & Oldman, 1975,1976 cited in Eby et al.,1999)
Competentie percepties kunnen verder worden versterkt door werkcondities, zoals de mate van participatie in belangrijke beslissingen, feedback van superieuren en eerlijke beloningen. Dit alles kan zorgen voor een werkomgeving die individuen de ruimte geeft om onder andere een verschil te maken door het werk wat ze doen, nieuwe vaardigheden te ontwikkelen en te werken in een omgeving die wordt gekarakteriseerd door steun, participatie en een juiste behandeling. Dit alles zorgt ervoor dat de intrinsieke motivatie van werknemers stijgt, dat de commitment ten opzichte van de onderneming stijgt en dat de werkvreugde toeneemt. (Eby et al., 1999)
2.4.8 Human Resource Policies and Practices:
HR procedures die verband houden met het aannemen, voorlichten, opleiden, evalueren, promoveren, compenseren en herstellen van acties geven het personeel een idee van de verwachte niveaus van integriteit, ethisch gedrag en competenties die van hen worden verwacht.
Een opleidingsbeleid kan de verwachte prestatieniveaus en gedragingen versterken, door middel van het communiceren van verwachte rollen en verantwoordelijkheden en door ook deze procedures mee te nemen bij opleidingen, cursussen en in rollen spel oefeningen.
Educatie en opleiding, door middel van klassikale instructies, zelf studie of on-the-job training, moet er voor zorgen dat het personeel bij kan blijven en kan omgaan met een veranderende omgeving.
(COSO Enterprise Risk Management Framework, 2004)
Human resource Policies and practices en onderzoek:
Bij de selectie van werknemers wordt integriteit vaak gezien als een voorspeller voor werkprestaties en averechts gedrag (Becker, 1998), zoals bijvoorbeeld fraude of manipulatie. Integriteit wordt ook gezien als een centrale eigenschap van effectieve ondernemingsleiders. Als laatste wordt integriteit ook gezien als een centrale determinant van vertrouwen in ondernemingen. Integriteit kan dus worden gezien als een belangrijk aspect van werkgedrag (Becker,1998) Werknemers met een hoge mate van integriteit zijn rationeler, eerlijker, onafhankelijker en rechtvaardiger dan werknemers met een mindere mate van integriteit. Een werknemer met een
25
hoge mate van integriteit begrijpt dat zijn integere handelen leidt tot meer trots en eigenwaarde en daardoor ook leidt tot zijn lange termijn overleving binnen de onderneming en zijn welzijn. (Rand, 1957,1964 cited in Becker,1998) Deze werknemers zullen geen ondernemingsmiddelen ontvreemden, anderen niet onrechtvaardig behandelen (met betrekking tot personele beslissingen) of zichzelf of anderen misleiden (met betrekking tot organisatie doelen). (Becker, 1998) Deze werknemers zijn verder zeer betrouwbaar en zijn goede kandidaten voor leiderschap posities.
(kirkpatrick & Locke, 1991 cited in Becker,1998)
2.5 Samenvattend:
Dit hoofdstuk zal ben ik eerst inleidend ingegaan op wat internal control is en uit welke onderdelen zij bestaat uitgaande van de COSO modellen. Daarna ben ik dieper ingaan op de internal environment, welke een onderdeel is van het COSO-ERM framework. Nu zal ik aan de hand van de in dit hoofdstuk besproken onderzoeken de volgende vraag beantwoorden: welke onderzoeksresultaten zijn er gevonden die samenhangen met de verschillende onderdelen van de internal environment?
De bedrijfscultuur zet de morele toon voor een organisatie. Belangrijk bij het tegen gaan van fraude is een gedetailleerde anti-corruptie verklaring / code of ethics. Compliance programma’s kunnen er verder voor zorgen dat het gedrag van mensen binnen de onderneming op één lijn komt met de gewenste ethische standaard. De visies en toewijding van het leiderschap van een onderneming spelen tevens een grote rol in het bestrijden van corruptie en fraude.
De raad van bestuur is een kritiek onderdeel van de Internal Environment. Om de kans op fraude en winstmanipulatie te verkleinen is het belangrijk dat een meerderheid van de Raad van Bestuur bestaat uit externe bestuurders. De invloed van een CEO op de effectiviteit van de monitorende activiteiten van het bestuur moet niet worden onderschat. Een onafhankelijkere Raad van Bestuur of Audit Commitee kan deze invloed verkleinen.
De groei van een onderneming hangt in een competitieve omgeving af van de dynamische capaciteiten van de onderneming. Deze dynamische capaciteitsmechanismen kunnen niet worden gevoed en onderhouden in een bedrijfscultuur waar wordt omgekocht en waar een corrupte sfeer hangt. Dit geldt helemaal als het top management van een onderneming is betrokken bij de fraude.
De eigendomsstructuur van een organisatie heeft invloed op het voorkomen van boekhoudfraude en winstmanipulatie. De kans op boekhoudfraude en winstmanipulatie is groter als de CEO behoord tot de familie van de oprichters van de onderneming. Tevens hebben grotere ondernemingen een
26
statistisch grotere kans om hun resultaten te herformuleren dan kleinere ondernemingen. Daarnaast hebben ondernemingen die opereren in opkomende groeimarkten een grotere kans op fraude. De organisatiestructuur is een middel om wangedrag op te sporen en te corrigeren, terwijl de bedrijfsintegriteit belangrijk is om fraude tegen te gaan. Om de kans op fraude nog verder te verkleinen is transparantie van de organisatiestructuur noodzakelijk. Zo kan rapportage van zelfs kleine incidenten meehelpen in het onderstrepen van een zero-tolerance beleid. Tevens kan het hebben van een klokkenluider systeem helpen om open communicatie te bevorderen als normale communicatiekanalen falen.
De mate van autonomie en verantwoordelijkheid speelt een grote rol bij de toewijding van werknemers. Goede werkcondities zorgen ervoor dat de intrinsieke motivatie van werknemers stijgt en dat de toewijding ten opzichte van de onderneming zal toenemen.
