Er schort nogal wat aan de bestuursrapportages over interne beheersing en risicomanagement in de jaarverslagen van Nederlandse beursfondsen. Dat blijkt na het bestuderen van 60 beschikbare jaarverslagen over 2004. Hoe kan de rapportage worden verbeterd?

Door Bart van Beurden en Leo van der Tas De code-Tabaksblat schrijft uitdrukkelijk voor dat het bestuur van de onderneming verantwoordelijk is voor het beheersen van de risico's verbonden aan de ondernemingsactiviteiten en de naleving van alle relevante wet- en regelgeving. Het bestuur rapporteert hierover aan en bespreekt de interne risicobeheersings- en controle-systemen met de Raad van Commissarissen en/of zijn auditcommissie. In de vennootschap moeten 'toegesneden' interne risicobeheersings- en controlesystemen aanwezig zijn. Als instrumenten van dergelijke systemen hanteert de vennootschap onder meer risicoanalyses van de operationele en financiële doelstellingen en een systeem van monitoring en rapportering. Deze verantwoordelijkheid dient volgens de code te worden gevolgd door transparantie in het externe jaarverslag. Volgens best-practicebepaling II.1.4 (zie kader) wordt een bestuursverklaring over opzet, bestaan en werking van de interne risicobeheersings- en controlesystemen gevraagd. Een intern risicobeheersings- en controlesysteem kan worden gedefinieerd als het geheel van beleidsmaatregelen, processen, taken, gedragingen en andere aspecten van een onderneming, die tezamen bijdragen aan - een doeltreffende en efficiënte bedrijfsvoering; door de onderneming in staat te stellen gepast te reageren op belangrijke strategische, operationele, financiële en andere risico's - de naleving van de interne procedures met betrekking tot de uitvoering van de operationele bedrijfsactiviteiten - de naleving van relevante wetten en regels - het zeker stellen van de kwaliteit van de interne en externe verslaggeving. Een intern risicobeheersings- en controlesysteem verlaagt de kans op verkeerde beslissingen, menselijke fouten, het doelbewust omzeilen van beheersingsprocessen, fraude en dergelijke, maar kan natuurlijk nooit absolute zekerheid bieden tegen het niet realiseren van ondernemingsdoelstellingen, noch kan het alle onjuistheden van materieel belang, verlies, fraude en overtredingen van wetten of regels voorkomen. Het ontwerpen van deze systemen impliceert het maken van keuzen. ZOEKPLAATJE Volgens de code-Tabaksblat zou deze rapportage de volgende elementen moeten bevatten: een uitspraak dat de interne risicobeheersings- en controlesys-temen adequaat en effectief zijn, een duidelijke onderbouwing hiervan en tenslotte een rapportage over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar. In hoeverre is dat het geval in de jaarverslagen over 2004? Het goede nieuws is dat nagenoeg alle ondernemingen voor 2004 een vorm van bestuursrapportage hebben opgenomen, zo blijkt uit bestudering van 60 jaarverslagen. Het minder goede nieuws is dat het voor de lezer van het jaarverslag vaak een zoekplaatje is, omdat de totale rapportage versnipperd is over Directieverslag, Risicoparagraaf, Jaarrekening, Corporate-Governanceparagraaf, Verslag RvC en de website. Ook de gekozen bewoordingen zijn niet eenduidig en soms moeilijk te interpreteren. Slechts 20 procent van de onderzochte ondernemingen geeft in het verslag aan volledig aan de aanbevelingen van Tabaksblat te voldoen, terwijl 30 procent zegt over 2004 gedeeltelijk te voldoen. De AEX-fondsen presteren op dit front het best. Eenderde zegt in lijn met de aanbevelingen te handelen. Bij de AMX-fondsen durft slechts 8 procent die stelling aan en zegt 38 procent 'ermee bezig te zijn'. Opvallend is dat ruim 30 procent nog geen uitspraak durft te doen. In een aantal gevallen hangt dat samen met de eisen vanuit de strenge beursregels uit de Verenigde Staten. Weliswaar beschrijft ruim driekwart van de ondernemingen in het jaarverslag de organisatie rondom risicobeheersing, maar die beschrijving is soms summier. Een beschrijving van de werking van de systemen voor risicobeheersing wordt amper aangetroffen. Gemiddeld 28 procent behandelt integraal zowel de strategische, operationele en compliance- als de verslaggevingsrisico's. Ook hier doen de AEX-fondsen het beter dan AMX- en overige fondsen. De verslaggevingsrisico's zijn sterk onderbelicht. Als ze vermeld worden, gebeurt dat als gevolg van de Amerikaanse beursregels (Sarbanes-Oxley 404, 302). STAP VOORWAARTS Voor de jaarverslagen over 2005 zijn dus verbeteringen noodzakelijk. De lezer van het jaarverslag is gebaat bij een stap voorwaarts, zodat hij bij zijn besluitvorming niet alleen goed zicht heeft op de resultaten van de onderneming, maar ook op de daarbij aangegane risico's en de mate waarin het bestuur deze 'in control' heeft. Rapportages in de jaarverslagen moeten hiertoe duidelijk maken welke beoordelingscriteria een onderneming heeft gehanteerd (zoals het door Tabaksblat gesuggereerde COSO-raamwerk) en vervolgens een 'gedifferentieerd' oordeel geven over de werking van de interne risicobeheersings- en controlesystemen per 'deelterrein'. Het bestuur moet dus aangeven in hoeverre het op de hoogte is van de mate waarin de strategische en operationele doelstellingen van de onderneming worden bereikt en de gepubliceerde financiële rapportages betrouwbaar zijn opgesteld, en of de organisatie zich houdt aan de van toepassing zijnde wetten en regels. Het bestuur dient ook aan te geven welke eventuele significante wijzigingen er zijn aangebracht, welke eventuele belangrijke verbeteringen er zijn gepland en dat het een en ander met de auditcommissie en de Raad van Commissarissen is besproken. Daarin zijn nog grote stappen te nemen. De doelstellingen van een organisatie, de interne organisatie en de omgeving waarin ze haar activiteiten ontplooit, zijn aan voortdurende verandering onderhevig. Inherent hieraan is dat de risico's waar de organisatie mee geconfronteerd wordt ook voortdurend veranderen. Een adequaat systeem van risicobeheersing en interne controle hangt daarom af van een gedetailleerde en regelmatige evaluatie van de aard en omvang van de risico's die de organisatie loopt. Een tenminste jaarlijkse beoordeling draagt bij aan instandhouding en verbetering van de effectiviteit van de interne risicobeheersings- en controlesystemen. Bij de jaarlijkse beoordeling wordt aanbevolen gebruik te maken van een cascadesysteem waarbij het management van divisies, business units (werkeenheden) en/of deelnemingen schriftelijk verklaart welke bijzonderheden er op het gebied van interne risicobeheersing en controle hebben plaatsgevonden en of de werking van interne risicobeheersings- en controlesystemen adequaat en effectief is geweest: de zogenaamde managementverklaring. Deze bestaat uit een identieke verklaring als die welke het bestuur in het jaarverslag opneemt. Deze verklaring is het sluitstuk van een proces dat het management heeft doorlopen. Drs. B.C.J.M. van Beurden is Director Corporate Governance bij Ernst & Young Accountants. Prof.dr. L.G. van der Tas RA is partner vaktechniek bij Ernst & Young Accountants, hoogleraar externe berichtgeving aan de Faculteit Bedrijfskunde van de Erasmus Universiteit Rotterdam en lid van het International Financial Reporting Interpretations Committee van de IASB Voorbeeld van een goede bestuursrapportage Gedurende het boekjaar hebben wij de interne risicomanagement- en controlesystemen van onze onderneming nauwlettend gevolgd. We hebben daardoor inzicht in de significante en voor onze branche (of liever onderneming) specifieke risico's. Deze risico's en het daarop geformuleerde beleid vindt u op pagina YY tot en met XX van dit jaarverslag beschreven in de risicoparagraaf. Wij voeren eigen beoordelingen uit in samenwerking met het management van divisies, business units en gespecialiseerde afdelingen. Verder ontvangen we interne verklaringen over de interne beheersing van alle operationele eenheden binnen onze onderneming. Bij onze evaluaties hanteren we het COSO-(ERM-)model als normenkader. Onze evaluaties zijn erop gericht de goede werking van de interne beheersing gedurende het boekjaar te kunnen vaststellen. Hoe goed ons interne risicobeheersings- en controlesysteem ook is opgezet, het kan nooit absolute zekerheid bieden dat doelstellingen op het gebied van strategie, operatie, berichtgeving en naleving van wetten en regels altijd zullen worden bereikt. De werkelijkheid leert ons dat er bij het nemen van beslissingen menselijke beoordelingsfouten kunnen optreden, dat er steeds kosten-batenafwegingen worden gemaakt bij het aanvaarden van risico's en het treffen van beheersingsmaatregelen, dat door menselijk falen zelfs simpele fouten of vergissingen grote gevolgen kunnen hebben, dat samenspanning van functionarissen kan leiden tot het omzeilen van interne controlemaatregelen en dat het management met ons gemaakte afspraken kan negeren. Rekening houdend met de bovenstaande beperkingen die noodzakelijkerwijs verbonden zijn aan alle interne risicobeheersings- en controlesystemen en met in achtneming van de geïdentificeerde mogelijkheden tot verbetering daarvan, geven de interne risicobeheersings- en controlesystemen van onze onderneming ons een redelijke mate van zekerheid dat - wij op de hoogte zijn van de mate waarin de strategische en operationele doelstellingen van onze onderneming worden gerealiseerd, - de in- en externe (financiële) rapportages betrouwbaar zijn, en - de organisatie zich houdt aan de van toepassing zijnde wetten en regels. Het geheel van onze werkzaamheden met betrekking tot de interne risicobeheersings- en controlesystemen wordt door ons regelmatig besproken met de auditcommissie en de Raad van Commissarissen.