Besturen van ondernemingen staan in Nederland onder controle en toezicht van commissarissen. Meer in het bijzonder zien Audit Committees toe op een gedegen interne beheersing van bedrijven en bovendien op een deugdelijke interne en externe financiële verantwoording.

Dit stelt eisen aan kennis, deskundigheid en ervaring van commissarissen. In een bredere context worden dergelijke eisen reeds sinds een aantal jaren gesteld, zoals bij pensioenfondsen waar een deskundigheidsverklaring voor bestuursleden van pensioenfondsen sinds 2000 vereist is. In deze tijd passen geen uitspraken over control letters als "dat weet ik niet precies".

In de Code Tabaksblat is het vereiste kennis- en ervaringsniveau voor de toezichthoudende rol van leden van Raden van Commissarissen en Audit Committees momenteel onvoldoende gegarandeerd. De Code geeft namelijk geen richtlijnen voor de kennis- en scholingsnorm van de toezichthouders.

De aanbevelingen van de Code spreken slechts van "financiële expertise". Dit is een ruim interpreteerbaar begrip dat slechts verder wordt omschreven als "relevante kennis en ervaring opgedaan op financieel administratief/accounting terrein bij beursgenoteerde ondernemingen of andere rechtspersonen".

De code Tabaksblat, die volgens de wet moet worden nageleefd, is inmiddels door de Monitoring Commissie (Commissie Frijns) getoetst op naleving. Hieruit is gebleken dat verwarring bestaat over de ('in control') verklaring dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn. Ter verduidelijking maakt de Commissie Tabaksblat, in lijn met COSO en de internationale praktijk, onderscheid tussen enerzijds financiële verslaggevingrisico's en anderzijds operationele en wet- en regelgevingrisico's.

Bij de laatste categorie dient naast de eisen van toezichthouders onder andere te worden gekeken naar begrippen zoals duurzaamheid, ethiek en integriteit en maatschappelijk verantwoord ondernemen. Beheersing van elk van deze risico's vereist adequate en effectieve risicobeheersing- en controlesystemen. Daarnaast dienen (belangrijke) tekortkomingen te worden gemeld en verbeteringen te worden aangegeven.

In deze klassieke Trias Politicas organisatiestructuur, waarbij Bestuur, Beleid en Toezicht van elkaar worden gescheiden, is dan ook een cruciale rol weggelegd voor risicobeheersing. De Internal Audit functie, welke in de Code naar mijn mening wordt onderbelicht, pakt in de managementcyclus met name de toetsende schakel met betrekking tot de interne beheersing op.

In de Raad van Commissarissen dienen ten minste twee leden over voldoende kennis te beschikken van een systeem voor interne beheersing, zoals het wereldwijd toegepaste COSO model en bovendien de (financiële)wetgeving voldoende moeten kennen en beheersen.

In het Audit Committee moeten alle leden over deze kennis beschikken en is naast een afgeronde opleiding RO, RA, RC of RE ook aantoonbare ervaring op het gebied van operationeel management noodzakelijk. De Code moet ook eisen stellen aan de kennis van zogenaamde, zachte controlevaardigheden. Hiermee wordt gedoeld op de kennis van processen die bijvoorbeeld kinderarbeid uitsluiten, duurzaam ondernemerschap bevorderen en hoe met innovatie wordt omgegaan.

Om bovenstaande redenen ben ik van mening dat de kwaliteit van het old boys network niet langer de norm mag zijn voor een toezichthoudende functie. Alle leden moeten certificaten van opgedane kennis kunnen overleggen en moeten bereid zijn een assessment ondergaan.

Uit een korte survey onder 24 AEX fondsen blijkt de 'corporate website' van drie fondsen (12,5%) geen informatie met betrekking tot het (al dan niet geïmplementeerd zijn van een) Audit Committee te bevatten. Van de overige 21 AEX fondsen hebben slechts vijf een lid met (internal) auditing achtergrond in het Audit Committee, hetgeen zou kunnen impliceren dat bij ruim 76% van de Audit Committees van AEX fondsen geen leden met (zichtbare) internal auditing achtergrond geïnstalleerd zijn.

De resterende 16 AEX fondsen hebben ook onder de overige leden van de Raden van Commissarissen (dus degenen die geen deel uitmaken van het Audit Committee) geen (zichtbare) auditing achtergrond.

Diverse instituten bieden intussen opleidingstrajecten aan die specifiek gericht zijn op de adequate invulling van de commissariaatsrol. Deze opleidingen zijn echter nu nog zodanig divers van inhoud, duur en samenstelling, dat van duidelijkheid over de verkregen eindkwalificatie geen sprake kan zijn.

Daarmee zijn onvoldoende waarborgen aanwezig dat de commissarissen daadwerkelijk de nodige expertise opbouwen teneinde over interne risicobeheersing- en controlesystemen te kunnen oordelen.

Eén van de leden van de Commissie Frijns zegt als de dood te zijn dat: "via de weg van de externe accountant wordt bepaald hoe de bestuurdersverantwoordelijkheid moet worden ingevuld, zoals dat bij Sarbanes & Oxley lijkt te gebeuren".

De internal (operational) audit functie kan hiertoe een belangrijk instrument zijn voor de Raad van Bestuur en de Audit Committee. Een vereiste is dat deze partijen onderling adequaat communiceren. Communicatie veronderstelt tweerichtingsverkeer en stelt daarmee eisen aan zowel de internal audit functie, de Raad van Bestuur, alsook aan de Audit Committee als onderdeel van de Raad van Commissarissen.

door Franklin Vrolijk, Director Internal Audit & Controls, Jefferson Wells