‘Rapportages kunnen nog veel beter’
‘Het probleem is dat er steeds meer externe rapportages worden gevraagd. In het verleden ging het alleen over de jaarrekening. Er zijn veel meer verplichtingen richting stakeholders bijgekomen, ook op geheel andere gebieden zoals rapportages over milieu en arbo. Die rapportages moeten goed op elkaar zijn afgestemd.’ Technisch zal het voortschrijden van de XBRL-toepassingen verbetering kunnen brengen, verwacht Swagerman. Dankzij een format kunnen belanghebbenden zelf de inhoud van de gewenste rapportage samenstellen. ‘Zo zal de hele set van rapportageverlichtingen in de nabije toekomst vanuit de beschikbare technologie worden aangestuurd.’ Primair proces Momenteel worden organisaties geconformeerd met de rapportage in het kader van het in control statement, de Sarbanes Oxley 404-verklaring en bij overheidsorganisaties de Mededeling over de bedrijfsvoering. Allemaal lastige en complexe onderwerpen die volop de aandacht van het management vragen. Volgens Swagerman is het nog maar de vraag of organisaties voldoende zijn uitgerust om op relatief korte termijn aan de nieuwe eisen te voldoen. ‘In een wat breder perspectief: functioneren organisaties beter wanneer zij – tegen erg hoge kosten – voldoen aan de nieuwe wettelijke vereisten? Ik waag dat te betwijfelen. Er zou meer oog moet zijn voor de tekortkomingen van de mechanische en normatieve aanpak om organisaties in control te krijgen. Uiteindelijk gaat het om het primaire proces van een organisatie. Dat proces moet alle aandacht krijgen en continu worden verbeterd. Daar wordt het geld verdiend. De rest is slechts overhead.’ Recent is er een onderzoek van een grote accountantsorganisatie geweest met de uitkomst dat er nog wel wat schort aan de rapportages ten aanzien van interne beheersing en risicomanagement. Verbaast u dat? ‘Nee, dat verbaast mij geheel niet. Kijkend naar de in control-passages in de jaarverslagen komt het nog regelmatig voor dat organisaties een voorbehoud maken. Er wordt momenteel hard gewerkt om de organisatie in control te krijgen – als dat in het verleden niet zo was – om te voldoen aan de eisen van de code Tabaksblat ten aanzien van het in control statement. Probleem is dat niet helder is gedefinieerd wat onder in control wordt verstaan.’ ‘Het is slechts een containerbegrip. Per organisatie zijn er verschillen te onderkennen ten aanzien van de invulling van de betekenis van dit begrip. In de VS is dit probleem goed aangepakt. Daar is de Public Company Accounting Oversight Board opgezet. De PCAOB publiceert standaarden over ondermeer de betekenis van de 404-verklaring. Organisaties hebben daarmee handvatten en weten wat er feitelijk onder het in control-begrip moet worden verstaan.’ Een ander punt is het gebrek aan kennis, kunde en capaciteit bij organisaties… ‘De code Tabaksblat wijst naar het COSO-model als middel om tot een goede risicobeheersingssystematiek te komen. COSO verwijst naar de in 1992 door de Amerikaanse Committee of Sponsoring Organizations of the Treadway Commission gepubliceerde referentieraamwerk voor interne beheersing. Maar wat COSO nu precies inhoudt is, is echter nog onvoldoende bij het management bekend. Bovendien is er bij organisaties weinig capaciteit om de systematiek goed in te voeren.’ ‘Accountants en controllers met die kennis zijn schaars. Dit is echter geen reden tot zorg. Veel van de huidige obstakels zijn te wijten aan frictieproblemen en gaan wel weer over. Op de middellange termijn, over een paar jaar, hebben organisaties deze slag wel gemaakt. Dan zijn de systemen op orde en de organisaties in control. Bovendien zullen er dan voldoende deskundigen zijn.’ Is daarmee de kous af of moeten we rekening houden met een nieuwe generatie problemen op het gebied van controlling? Een wezenlijk probleem zou kunnen zijn dat organisaties achterover gaan leunen. Dat men denkt in control te zijn. Misschien wel, maar dan slechts voor de gedefinieerde risico´s. Er zullen steeds andere risico´s opduiken. Recent heeft de Bank of International Settlements bijvoorbeeld nog gewaarschuwd voor systeemrisico’s, een risico dat ook kan voortvloeien uit automatische netting, het aan elkaar koppelen van systemen in het financieel logistieke proces bij en tussen organisaties. De oplossing ligt in de opleiding van controllers. Controllers moeten niet een kunstje beheersen, maar zelfstandig leren denken in concepten die een generieke toepassing hebben. Eén van die concepten is het omgaan met risicotermen.’