Onder ondernemers bestaat veel onduidelijkheid en onzekerheid over SOX en Tabaksblat, in het bijzonder over de veelbesproken 'in control'-verklaring, ondanks de verhelderende adviezen van de commissie- Frijns. Governance specialist Simone Heidema van Corgwell ziet nog veel 'huiswerk' voor de commissie-Frijns.

Q: Wat roept de meeste vragen op in de governancecodes?
A: Kort gezegd: de reikwijdte van de 'in control'-verklaring. Interne risicobeheersing en controle heeft betrekking op strategische, operationele en compliancerisico's en op financiële verslaggevingsrisico's. Telkens wordt de vraag opgeworpen hoeveel de verklaring nu eigenlijk zegt over deze vier gebieden.

Q: SOX of Tabaksblat, dat maakt een heel verschil?
A: Zeker. Sarbanes-Oxley, de Amerikaanse governancecode, stelt de financiële beheersing centraal: organisaties dienen daarover 'in control' te zijn. Daarvoor bestaat een sterke 'rule based' wetgeving met veel regels. Er staat precies in wat wel en wat niet kan en mag. Als een norm wordt omschreven als 'materieel', dan is daarvoor precies vastgelegd wat dat betekent. Sinds 2003 hebben we in Nederland de code-Tabaksblat. Die zegt dat bestuurders 'in control' moeten zijn over alle vier gebieden. Niet 'rule based', maar 'principle based'.

Q: Tabaksblat gaat minder ver dan de 'rule based' benadering in SOX voor het financiële gedeelte?
A: Tabaksblat is 'principle based'. Ook het gebruik van het principe 'pas toe of leg uit' wijkt af van wat SOX bepaalt. Dat gaat dus minder ver. Aan de andere kant: de scope van Tabaksblat is wat breder. Een bestuurder dient zich wel uit te spreken over alle vier de aspecten van risicobeheersing en controle, waar SOX zich slechts op de financiële verslaggeving richt. Tabaksblat geeft meer dan honderd best practices. De commissie-Frijns heeft eind 2005 een toelichting gegeven en aanbevelingen gedaan voor de toepasbaarheid. Daarbij heeft Frijns gesteld dat voor de strategische, operationele, en wet- en regelgevingsaspecten een beschrijving van de risicobeheersingsen controlesystemen voldoende is. Dat laat de bestuurder ruimte om aan de aandeelhouders te melden in hoeverre er risico's zijn genomen. Daarentegen moet de bestuurder echt 'in control' zijn over de financiële verslaggevingsrisico's. Dat moet een harde verklaring zijn. Het principe 'pas toe of leg uit' is in 2004 door veel bedrijven toegepast. Het is bij deze benadering verder aan de aandeelhouders om deze beslissing en de uitleg erover al dan niet te accepteren.

Q: Hoe komt het dan dat er ondanks de duiding door de commissie-Frijns onder ondernemers, in de pers én onder deskundigen nog steeds veel onduidelijkheid bestaat?
A: Sommige consultants maken er een groot punt van dat in Nederland de norm ontbreekt. Volgens hen kan een 'in control'-statement op basis van een code zonder uitgebreide set van regels en normen in de praktijk niet effectief zijn. Ik vind dat de definities van Frijns voldoende zekerheid van effectiviteit bieden. En wellicht kan het geen kwaad als er op sommige punten nog wat aanscherping komt.
Maar een bestuurder moet bij de rapportage aan de aandeelhouder toch kunnen stellen - en misschien zelfs beschrijven - hoe hij tot de conclusie is gekomen dat er geen materiële issues zijn in het systeem? In elk geval zonder er allerlei gedetailleerde regeltjes en checklists bij te hoeven halen. Ik ben het pertinent niet eens met de critici die vinden dat die regels en checklists er moeten komen.

Q: Waar bent u bang voor?
A: Doordat deze aanpak zeer gedetailleerd is, kost het veel tijd en mankracht om precies aan alle regels te voldoen. Hierdoor rijzen de kosten in de VS de pan uit. Onder ondernemers klinkt al de roep om de regels te versoepelen. Het grootste probleem zie ik in het feit dat het ondernemerschap in organisaties wordt lamgelegd door de vorm, terwijl in de exercitie 'substance' centraal zou moeten staan.

Q: Zegt u daarmee ook dat een bestuurder die een 'in control'- verklaring in de brede zin van het woord nastreeft, zijn onderneming blootstelt aan een verlammend proces?
A: De uitleg van Frijns gaat uit van 'goed ondernemerschap', wat elke bestuurder toch al nastreeft. Dat is: weten dat je sturingsinformatie klopt en snappen welke risico's invloed kunnen hebben op de strategische doelstellingen. En vervolgens: bepalen wat je met die risico's doet. Neem je die risico's of niet? Dat is de praktische weg, die bovendien transparantie biedt aan de aandeelhouders.

Q: Wat moet de commissie- Frijns volgens u doen zodat de mist optrekt?
A: De commissie doet er goed aan om over het onderwerp te blijven communiceren. Mijn pleidooi: zorg dat klip en klaar is dat de 'in control'-verklaring van Tabaksblat over financiële verslaggevingsrisico's moet gaan. Hierbij moet een redelijke mate van zekerheid gegeven worden dat de verslaggeving geen onjuistheden van materieel belang bevat. Over de andere aspecten moet een beschrijving van de risicobeheersings- en controlesystemen worden gegeven, op basis van de geïdentificeerde risico's. We moeten ervoor waken dat ondernemers hun eigen ruiten ingooien door te veel te benadrukken dat opheldering nodig is over de normen. Dat zou kunnen leiden tot een 'rule based' aanpak, waarvan we de nadelen uit de VS kennen.

De risicoafweging ten aanzien van strategische en operationele doelstellingen mag niet worden gezien als een separaat traject binnen een organisatie. Helaas is dat nu wel vaak het geval, terwijl deze risicoafweging onderdeel is van management en besturing. Ik vind dat Frijns duidelijk moet maken dat deze activiteiten per definitie onderdeel uitmaken van het normale besturingsmodel.