De Monitoring Commissie Corporate Governance Code heeft onlangs toelichting gegeven op het 'in control'-statement uit de code-Tabaksblat. Daarmee worden de bestaande bezwaren evenwel niet opgelost. Bovendien dreigt het eigenlijke doel - transparante communicatie over risico's en beheersing - uit het oog te worden verloren.

In december 2005 heeft de Monitoring Commissie Corporate Governance Code haar bevindingen gerapporteerd over de naleving van de code-Tabaksblat. De commissie-Frijns heeft de jaarrekeningen over 2004 van alle AEX- en AMX-fondsen laten onderzoeken om te bepalen in hoeverre de corporate-governancecode wordt nageleefd. De commissie concludeert dat de corporate-governancecode in hoge mate navolging vindt. Hierbij is het van belang op te merken dat de code uitgaat van het zogenaamde 'comply or explain'-principe: aanbevelingen dienen te worden toegepast of de afwijking daarvan dient te worden uitgelegd. In het onderzoek naar navolging van de code geldt dat zowel het voldoen aan de aanbevelingen als het gemotiveerd afwijken daarvan wordt gezien als navolging van de code, ongeacht de reden voor de afwijking. Waar het de aanbevelingen rond risicobeheersings- en controlesystemen betreft, wordt in vergelijking met andere aanbevelingen veel gebruikgemaakt van de 'explain'-optie. Met name de bepaling dat het management dient te verklaren dat de interne risicobeheersings- en controlesystemen adequaat en effectief werken, wordt weinig toegepast. Adequaat en Effectief Er bestaat bij bestuurders een zekere terughoudendheid om een dergelijke verklaring in het jaarverslag op te nemen. Gevolg is dat in de meeste jaarrekeningen de afwijkingen van de aanbevelingen weliswaar worden gemotiveerd, maar het eigenlijke doel - transparante communicatie rond risico's en beheersing - uit het oog verdwijnt. Zowel bestuurders als beleggersorganisaties geven aan behoefte te hebben aan ondersteuning bij hetgeen verklaard dient te worden. Met name de gebruikte begrippen 'adequaat en effectief' blijken onduidelijk. Om aan deze bezwaren en onduidelijkheden tegemoet te komen heeft de commissie gemeend dat nadere toelichting noodzakelijk is rond de 'in control'-verklaring. Tevens heeft de commissie een studie laten verrichten naar internationaal vergelijkbare systemen en aanbevelingen rond interne risicobeheersing, zoals COSO, SOX en Turnbull (UK). In de volgende paragrafen zal achtereenvolgens worden behandeld in hoeverre de toelichting een oplossing biedt voor de genoemde bezwaren, en of de toelichting en de Nederlandse uitgangspunten passen in internationaal verband. Nieuwe vragen Als belangrijk bezwaar rond de aanbeveling van de commissie-Tabaksblat ten aanzien van de 'in control'-verklaring geldt dat onduidelijk is wat er gerapporteerd dient te worden en wat de begrippen adequaat en effectief inhouden. De monitoringcommissie geeft met de toelichting aan dat er vanaf 2005 een onderscheid gemaakt dient te worden tussen financiële verslaggevingsrisico's en operationele en strategische risico's. De 'in control'-verklaring zal alleen nog gelden voor de financiële verslaggevingsrisico's. De monitoringcommissie heeft met de toelichting aangegeven over welke punten in haar ogen gerapporteerd dient te worden. Dit biedt een duidelijk thematische indeling voor de verantwoording van de onderneming. In control In onze optiek roept de toelichting rond de 'in control'-verklaring nieuwe vragen op. De 'norm' die aan risicobeheersings- en controlesystemen van financiële verslaggeving wordt gesteld, is dat er zich geen onjuistheden van materieel belang voordoen. Hiermee zijn de begrippen adequaat en effectief van het toneel verdwenen. Dit lijkt enige mate van houvast te geven, maar het is onduidelijk of de term materialiteit, afkomstig en gedefinieerd binnen de accountancy, gelijkelijk toegepast kan worden en hoe hoog of laag die materialiteit dan is. Bovendien, stel dat een accountant oordeelt dat hij bij zijn controle onjuistheden van materieel belang aantreft, geldt dan dat risicobeheersings- en controlesystemen niet of onvoldoende functioneren? Eenzelfde onduidelijkheid bestaat naar ons oordeel rond het begrip 'met een redelijke mate van zekerheid'. Dit begrip wordt gedefinieerd als 'wat geldt voor een zorgvuldig handelend bestuurder in de gegeven omstandigheden'. Hiermee lijkt de weg vrij voor een subjectieve invulling van het begrip 'een redelijke mate van zekerheid'. Kan immers van een goed bestuurder worden verwacht dat hij het jaar na een grote overname alle financiële controlesystemen zodanig heeft ingericht dat er geen onjuistheden van materieel belang in de cijfers blijven zitten? Ten slotte blijft ook de reikwijdte van de 'in control'-verklaring onduidelijk. Zowel in de best-practicebepaling als in de toelichting wordt de bestuurder gevraagd een uitspraak te doen over de effectiviteit van beheersing in het verslagjaar. Met name in de toelichting impliceert deze uitspraak voorspellende waarde: ook in het komende jaarverslag zullen risicobeheersings- en controle-systemen adequaat en effectief werken. Omissies Opvallend in het monitoringonderzoek is dat een relatief groot deel van de onderzochte ondernemingen de 'in control'-verklaring niet afgeeft. Ondernemingen die deze wel afgeven, doen dit veelal in afgezwakte vorm. Bestuurders zeggen veel aandacht te hebben besteed aan de bewoording van de 'in control'-verklaring en (het voorkomen van) de mogelijke juridische gevolgen. De verklaring dat interne systemen adequaat en effectief zijn, impliceert immers dat het niet zo kan zijn dat er in een later stadium belangrijke risico's of omissies aan het licht komen. De commissie geeft in haar monitoringverslag aan dat een verklaring van adequaatheid en effectiviteit van interne risicobeheersings- en controlesystemen niet als absolute verplichting moet worden gezien. In dezelfde aanbeveling staat namelijk dat dergelijke systemen belangrijk kunnen wijzigen, wat een relativering zou betekenen van een adequaat en effectief risicobeheersings- en intern controlesysteem. Wij vragen ons af of dit een ter zake doende relativering is. Het mag duidelijk zijn dat gedefinieerde lacunes in risicobeheersings- en controlesystemen in volgende jaren kunnen worden ingevuld. Gegeven de vele onduidelijkheden omtrent de verklaring moet de monitoringcommissie wellicht overwegen die af te schaffen, hetgeen inmiddels in het buitenland is gedaan en ook in overeenstemming is met de draft code van de Europese Commissie. Als er dan toch een verklaring moet komen, staat ook nog ter discussie wie die dan zou moeten afgeven. Zoals het nu in de code staat is dit de verantwoordelijkheid van de raad van bestuur. In de code staat echter ook dat de raad van bestuur verantwoordelijk is voor de opzet en de werking van dit systeem en de raad van commissarissen voor de toetsing van de opzet en de werking. Het lijkt ons dan ook logischer dat de raad van commissarissen 'verklaart' dat het systeem naar behoren functioneert. In het kader van onafhankelijkheid kan het toch niet zo zijn dat de raad van bestuur zelf verantwoordelijk is voor de werking en de opzet en voor de verklaring dat die adequaat en effectief zijn. Dan rijst evenwel de vraag of de raad van commissarissen hiertoe wel geëquipeerd is en er de tijd voor heeft. Dit lijkt een onderwerp dat nog nadere aandacht van de monitoringcommissie behoeft. Ongelukkige benadering Rond het onderwerp risicobeheersings- en controlesystemen heeft de commissie aansluiting willen houden met vergelijkbare systemen in andere landen. Hiertoe is internationaal literatuuronderzoek verricht. Het COSO-model wordt algemeen erkend als raamwerk, dat onder andere heeft gediend als basis voor SOX (VS) en Turnbull (UK). De uitwerking in beide corporate-governancecodes verschilt echter aanzienlijk: kort gezegd richt SOX zich uitsluitend op interne beheersingsmaatregelen met betrekking tot financiële informatie. Hierbij dient het management te verklaren dat de interne controlemaatregelen ten aanzien van de financiële functie adequaat en effectief zijn. Turnbull kent een bredere scope, namelijk de beheersing van alle risico's. Het management dient vervolgens in het jaarverslag het interne beheersingssysteem rond financiële rapportage, operationele en compliance-risico's op hoofdlijnen te beschrijven. De commissie-Tabaksblat vindt het voor de Nederlandse situatie van belang dat het management verslag doet van alle risico's, zowel financieel als operationeel en strategisch. Daarnaast dient de ondernemingsleiding echter te verklaren dat risicobeheersings- en interne controlesystemen adequaat en effectief zijn met betrekking tot de financiële risico's. Hiermee combineert de commissie de brede reikwijdte van Turnbull met de diepgang ten aanzien van de financiële risico's zoals bij SOX. Dit leidt tot problemen: zo kennen wij een 'in control'-verklaring à la SOX, die echter niet wordt gecontroleerd door een accountant. De beschrijving van operationele en strategische risico's is overeenkomstig Turnbull. Dit sluit echter weer niet aan bij de 'in control'-verklaring rond financiële risico's. Code-Tabaksblat De code-Tabaksblat heeft een 'principle based' karakter overeenkomstig Turnbull en andere Europese landen. Hierdoor staat in Europa een brede beschrijving van risico's en interne beheersing centraal, waarbij een 'in control'-verklaring (zoals bij SOX) van nature minder goed aansluit. Zowel Engeland als Frankrijk is dan ook teruggekomen van een 'in control'-verklaring. Ook de Europese conceptregelgeving rond corporate governance voorziet niet in een dergelijke verklaring. Ons inziens had het binnen het internationale kader dan ook beter gepast de 'Europese benadering' te volgen in plaats van te kiezen voor een symbiose van SOX en Turnbull. Conclusie: de monitoringcommissie heeft geconstateerd dat de aanbeveling rond de 'in control'-verklaring lastig bruikbaar is. Het blijft onduidelijk welke waarde er aan de 'in control'-verklaring mag worden gehecht. Gegeven deze onduidelijkheid is het dan ook logisch dat bestuurders terughoudend zijn met een verklaring dat hun risicobeheersings- en controlesystemen adequaat en effectief zijn. Aanvullende toelichting van de commissie lost de bezwaren in onze optiek niet op: er ontbreekt een norm waaraan de effectiviteit van interne systemen getoetst kan worden. Daarnaast is de toetsing omgeven met onduidelijkheden en verklaart de raad van bestuur nu zelf dat het eigen systeem adequaat en effectief is, terwijl dit eigenlijk de verantwoordelijkheid is van de raad van commissarissen. Bestuurders worden wederom opgezadeld met een lastig te hanteren 'in control'-verklaring waarvan de reikwijdte onduidelijk is. Andere Europese landen hebben reeds besloten af te stappen van het gebruik van de 'in control'-verklaring en in plaats daarvan een uitgebreidere beschrijving van de risico's en de getroffen maatregelen te stimuleren. Dit past in onze optiek ook beter bij het eigenlijke doel van de code: transparante rapportage op het gebied van risico's en getroffen maatregelen. De richting waarin dit zich zou kunnen ontwikkelen is dan wellicht ook deze: de raad van bestuur beschrijft in het jaarverslag uitgebreid het systeem voor interne risicobeheersing en controle. De raad van bestuur geeft in het jaarverslag aan wat de grootste risico's zijn en hoe men deze denkt te beheersen. De raad van commissarissen neemt in het jaarverslag op welke mening de commissarissen hebben over de opzet en werking van het systeem voor interne risicobeheersing en controle en geeft aan hoe ze tot die mening zijn gekomen. Op deze wijze zijn de verantwoordelijkheid voor de opzet en werking van het systeem en de toetsing hiervan gescheiden en hebben alle stakeholders/beleggers inzicht in de risico's van het bedrijf en hoe het bedrijf deze denkt te gaan beheersen. In een notendop: Interne risicobeheersings- en controlesystemen volgens Tabaksblat Taak en werkwijze van het bestuur: Principe Het bestuur is verantwoordelijk voor de naleving van alle relevante wet- en regelgeving, het beheersen van de risico's verbonden aan de ondernemingsactiviteiten en voor de financiering van de vennootschap. Het bestuur rapporteert hierover aan en bespreekt de interne risicobeheersings- en controlesystemen met de raad van commissarissen en zijn auditcommissie. Best-practicebepaling II 1.4 In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controle-systemen adequaat en effectief zijn en geeft het een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat een en ander met de auditcommissie en de raad van commissarissen is besproken. Toelichting code-Tabaksblat Het ligt in de rede dat het bestuur in de verklaring over de interne risicobeheersings- en controlesystemen aangeeft welk raamwerk of normenkader (zoals bijvoorbeeld het COSO-raamwerk voor interne beheersing) het heeft gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem. Toelichting Monitoringrapport: De Commissie is van oordeel dat aan best-practicebepaling II.1.4 wordt voldaan indien: 1. Ten aanzien van financiële verslaggevingrisico's

  • wordt verklaard dat de risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat;
  • wordt verklaard dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt;
  • wordt verklaard dat er geen indicaties zijn dat de risicobeheersings- en controlesystemen in het lopende jaar niet naar behoren zullen werken;
  • eventuele tekortkomingen die mogelijkerwijs materiële gevolgen kunnen hebben en in het verslagjaar respectievelijk het lopende jaar zijn geconstateerd worden gemeld, waarbij tevens aangebrachte of geplande verbeteringen worden aangegeven.
  • 2. Ten aanzien van andere risico's (operationele/strategische risico's en wet- en regelgevingrisico's)
  • een beschrijving van de risicobeheersings- en controlesystemen op basis van de geïdentificeerde belangrijke risico's wordt gegeven;
  • indien van toepassing, belangrijke tekortkomingen die in het verslagjaar zijn geconstateerd worden gemeld, waarbij tevens aangebrachte of geplande verbeteringen worden aangegeven.
  • Voor wat betreft de inhoud van een 'redelijke mate van zekerheid' dient uitgegaan te worden van wat als zodanig geldt voor een zorgvuldig handelend bestuurder in de gegeven omstandigheden. Carl Messemaeckers en Carolina Wielinga zijn beiden director bij Protiviti Nederland. Protiviti is een onafhankelijk advieskantoor op het gebied van business risk, technology risk en internal audit, en telt wereldwijd inmiddels meer dan 1800 medewerkers. Louis de Vlugt is senior consultant bij Protiviti Nederland