DE KLOOF OVERBRUGGEN BIJ RISICOMANAGEMENT

Transcriptie

1 Het derde rapport van de Monitoringcommissie deed opnieuw veel stof opwaaien in de Nederlandse media. En dan ging het weer vooral om de vaste en variabele beloningen van de leden van de raad van bestuur. Dat is jammer, want een ander onderdeel van de Code Tabaksblat, te weten de risicoparagraaf, is van veel groter belang. Morris Tabaksblat toonde zich daar ook al teleurgesteld in een interview eerder dit jaar 1 : Risico s identificeren en ze onder controle hebben, is veel belangrijker. Toch is de beschrijving van risico s bij de top-50 van beursgenoteerde bedrijven nog tamelijk beperkt. In dit artikel, dat op persoonlijke titel is geschreven, beantwoorden de auteurs de vraag: moet er meer regelgeving komen of zijn daar alternatieven voor? DE KLOOF OVERBRUGGEN BIJ RISICOMANAGEMENT CARROT OF STICK? Albert Weenink, Simone Heidema, Mirjam Bakker 1. Regelgeving versus praktijk De Code Tabaksblat verlangde van ondernemingen in eerste instantie dat zij in control zijn ten aanzien van de doelstellingen van COSO. 2 Die zijn verdeeld in een viertal categorieën: het bereiken van strategische doelstellingen 3, effectiviteit en efficiëntie van bedrijfsprocessen, betrouwbaarheid van de financiële verslaggeving en naleving van relevante wet- en regelgeving 4. De Code Tabaksblat is principles based en niet rules based, zoals de Amerikaanse Sarbanes Oxley-wet (SOX). Deze wet is dwingender en bevat gedetailleerde voorschriften, maar heeft een beperktere scope en richt zich enkel op de in control-verklaring met betrekking tot de interne controle over de financiële verslaggeving. De Monitoringcommissie (de Commissie Frijns) heeft als taak de actualiteit en bruikbaarheid van de Code te bevorderen en de naleving te bewaken. Deze Commissie doet hiervan sinds 2005 jaarlijks verslag. Zoals in haar in december gepubliceerde jaarverslag, waarin zij tevens een nadere toelichting geeft over hoe de Code Tabaksblat moet worden geïnterpreteerd. In figuur 1 vindt u een overzicht van de verschillende aspecten die een rol spelen in de Amerikaanse en Nederlandse wet- en regelgeving. 26 Goed Bestuur

2 Volledige scope van COSO Strategisch Operationeel Financiële verslaggeving Compliance Nederland Tabaksblat In Control* In Control* In Control* In Control* Frijns Beschrijving Beschrijving In Control Beschrijving VS SOX In Control PRINCIPLE BASED RULE In Control (Tabaksblat) Een verklaring dat de interne risicobeheersing- en controlesystemen adequaat en effectief zijn. Opmerking*: door marktpartijen opgevat als een in-control -verklaring. In Control (Frijns) Een verklaring dat de risicobeheersing- en controlesystemen redelijke zekerheid verschaffen dat de jaarrekening geen significante onregelmatigheden bevat en een verklaring dat in het afgelopen boekjaar de risicobeheersing- en controlesystemen adequaat hebben gefunctioneerd. En/of een in control-verklaring volgens SOX. Beschrijving (Frijns) Een beschrijving van de risicobeheersing- en controlesystemen op basis van de vastgestelde risico s. In Control (SOX) Een verklaring van bestuursverantwoordelijkheid voor de vaststelling en handhaving van een adequate interne controle ter zake van financiële verslaggeving. Een verklaring ter vaststelling van het door het bestuur gebruikte kader om de effectiviteit van de interne controle te toetsen. Beoordeling door het bestuur van de effectiviteit van de interne controle aan het eind van het afgelopen boekjaar van de onderneming. Een verklaring dat de externe accountant van de onderneming een vertificatieattest inzake de beoordeling van het bestuur heeft afgegeven. Figuur 1. Overzicht corporate governance; een vegelijking van COSO, tabaksblat, Frijns en SOX Goed Bestuur

3 In december 2005 concludeerde de Commissie Frijns (op basis van een evaluatie van jaarverslagen over 2004) 5 dat geen enkele organisatie een onbeperkte in control-verklaring over de adequate en effectieve werking van het interne risicobeheersings- en controlesysteem had afgegeven. Naar onze mening zijn ondernemingen bang om aansprakelijk te worden gesteld; vandaar de vaak tamelijk juridische benadering van de risicoparagraaf. Het verslag van 2005 van de Commissie Frijns gaf bovendien aan dat aanvullende richtlijnen gewenst waren. Er werd onderscheid gemaakt tussen controle over financiële verslaggeving en de beschrijving van het systeem binnen de andere COSO-gebieden. In 2006 concludeerde de Commissie Frijns 6 (betreffende de jaarverslagen van 2005) dat de toepassing door bedrijven van de best practice bepaling uit de Code op het gebied van risicobeheersings- en controlesystemen (II.1.4) aanmerkelijk was verbeterd. De Commissie constateerde echter ook dat veel ondernemingen sinds het eerste verslag van de Commissie Frijns in december 2005 hun interne controlesystemen simpelweg niet op tijd hadden kunnen aanpassen. Op grond van onderzoek van PWC 7 (over 2005) werd geconcludeerd dat 89 procent van de AEX- en AMX-fondsen een in control-verklaring in het jaarverslag heeft opgenomen en elf procent voor toelichting koos (in plaats van naleving); negentig procent van de ondernemingen neemt risico s inzake financiële verslaggeving op, terwijl tien procent ook andere risico s opneemt. Uit hetzelfde onderzoek over bleek dat de nalevingscijfers met betrekking tot de opname van een in control-verklaring nog verder waren gestegen naar 96 procent van de AEX-fondsen en 95 procent van de AMX-fondsen. Alle AEX-fondsen hadden de risico s inzake financiële verslaggeving in de in control-verklaring opgenomen, terwijl slechts vier AMX-fondsen (negentien procent) alle risicogebieden hadden opgenomen. Voor 2006 concludeerde Eumedion weliswaar dat de gehele top-50 van beursgenoteerde ondernemingen een positieve in control-verklaring voor financiële verslaggeving had afgegeven, maar dat de beschrijving van andere risico s net als in voorafgaande jaren tamelijk beperkt was. 2. Schijnzekerheid? In hoeverre bieden deze recentelijk vastgestelde best practices de zekerheid op het gebied van transparantie en risicomanagement waar aandeelhouders van beursgenoteerde ondernemingen om vragen? De in control-verklaring leidt wel tot naleving van de Code Tabaksblat, maar biedt zij ook daadwerkelijk de zekerheid dat risicobeheersings- en controlesystemen effectief functioneren? Vooral omdat ondernemingen deze systemen vaak beperkt omschrijven, zijn wij van mening dat de transparantie en assurance op het gebied van risicomanagement nog veel te wensen overlaat. Ter ondersteuning van ons streven naar verbetering hebben wij onder verschillende stakeholders van AEX-genoteerde ondernemingen een kwalitatief onderzoek uitgevoerd. We hebben diverse toonaangevende institutionele beleggers, analisten, de belangenorganisatie van beleggers Eumedion, 10 uitvoerende en toezichthoudende bestuurders en risicomanagers 11 geïnterviewd. Met dit onderzoek werd in hoofdzaak beoogd vast te stellen of er bij risicobeheersings- en controlesystemen sprake is van een verwachtingskloof tussen aandeelhouders enerzijds en raden van bestuur en raden van commissarissen anderzijds. BEDRIJVEN MET EEN INTEGRAAL SYSTEEM VOOR RISICOMANAGEMENT KUNNEN HUN RISICO S BETER SPREIDEN. DAT DRAAGT BIJ AAN DE VERBETERING VAN HUN TOEZICHT EN BESTUUR EN DE FOCUS OP BEDRIJFSDOELSTELLINGEN 28 Goed Bestuur

4 VERREWEG DE MEESTE BELEGGERS ZIJN BEREID EEN PREMIE TE BETALEN VOOR ONDERNEMINGEN DIE ER HOGE CORPORATE GOVERNANCE-NORMEN OP NA HOUDEN Het blijkt dat de meeste institutionele beleggers en analisten ontevreden zijn over het huidige inzichtelijkheids- en transparantieniveau van deze systemen, én de mate van zekerheid die deze bieden. Bovendien lijkt er een brede kloof te bestaan tussen de praktijk van interne risicobeheersings- en controlesystemen en de verwachtingen van aandeelhouders, grotendeels beleggers. Moet de in control-verklaring daarom voortaan ook de andere gebieden omvatten? Die van niet-financiële verslaggeving bijvoorbeeld? En moeten we meer regels ontwikkelen voor een precieze beschrijving van de in controle-vereisten, zoals uiteengezet in de Code? Met andere woorden, moeten we overstappen op een meer rules based systeem? Wij denken van niet. Alvorens na te gaan wat we het best kunnen doen om van de relatieve schijnzekerheid op het gebied van transparantie en controle af te komen, geven we in tabel 1 een korte samenvatting van het onderzoek. 3. Verschillende perspectieven Zoals gesteld hebben we een kwalitatief onderzoek uitgevoerd om na te gaan hoe de algemene praktijk op het gebied van risicobeheersings- en controlesystemen zich verhoudt tot de verwachtingen van toonaangevende institutionele beleggers, analisten en de belangenorganisatie van beleggers Eumedion Hoe de kloof te overbruggen De stick : meer regels Dus hoe overbruggen we de kloof tussen de huidige naleving en het streven naar meer zekerheid op het vlak van transparantie en controle? Meer wet- en regelgeving zou meer inzicht kunnen verschaffen in de specifieke eisen voor interne controle, die nu op tamelijk algemene wijze zijn beschreven in best practicebepaling II.1.4 van de Code Tabaksblat. Zo pleit Eumedion ervoor de nu aanvaardbare, beperkte interpretatie van best practice-bepaling II.1.4 op termijn te vervangen door de verplichting een meer informatieve en transparante beschrijving te geven van de risico s en de risicobeheersing. 13 Een dergelijke verplichting - ook indien deze principles based zou zijn - zou gebruikt kunnen worden als stok achter de deur (stick) om meer inzichtelijkheid, transparantie en zekerheid te verkrijgen. De aandeelhouders daarentegen die we hebben geïnterviewd, delen onze opvatting dat meer regels niet de oplossing zijn. Meer regels leiden niet noodzakelijkerwijs tot effectievere controles. Bovendien zal meer rules based wetgeving afbreuk doen aan het concept van pas toe of leg uit waarop de beginselen van de Code Tabaksblat berusten. Daarbij komt dan nog het negatieve signaal dat uitgaat van de substantiële gevolgen op kostengebied voor de betrokken ondernemingen... Voorts zouden zulke additionele voorschriften afscheid betekenen van de principles based benadering. En die is niet alleen verankerd in de Code Tabaksblat, maar vormt ook de basis van nieuwe EU-regelgeving. Een goed voorbeeld in dit verband is het voorstel van de Europese Commissie betreffende Solvency II, dat zij op 10 juli 2007 heeft ingediend. Solvency II voorziet in de invoering van een pan-europese en alomvattende risicogeoriënteerde benadering voor de vaststelling van solvabiliteitsvereisten voor verzekeringsmaatschappijen. De omarming door de EU van principles based regelgeving juichen wij toe. Het betekent dat ondernemingen de regelgeving moeten interpreteren voor toepassing in hun eigen situatie, in plaats van blind te volgen (box ticking). Dus wat is het alternatief? Goed Bestuur

5 Perspectieven Aandeelhouders Risicobeheersing in de praktijk* Transparantie Aandeelhouders verwachten meer transparantie ten aanzien van bedrijfsrisico s (strategische, operationele en compliance risico s). Hoe groot is de kans dat de risico s zich voordoen en wat zijn de mogelijke gevolgen voor de aandeelhouderswaarde en het bedrijfsresultaat? Hoe worden de risico s vastgesteld en beheerst? Wat zijn de resterende tekortkomingen in het interne controlesysteem en welke maatregelen (zullen) worden genomen om die tekortkomingen weg te nemen? Aandeelhouders willen heldere antwoorden en geen proza. Leden van de raad van bestuur en de raad van commissarissen vinden het moeilijk om zich in duidelijke taal uit te laten over bedrijfsrisico s. Beduchtheid voor de concurrentie wordt gezien als een van de belangrijkste oorzaken. Risicomanagement proces Aandeelhouders verwachten dat ondernemingen zich bedienen van gedegen kaders voor financiële controle die hun in control-verklaringen ondersteunen. Ze treffen in de jaarverslagen echter nauwelijks informatie aan over het raamwerk van de financiële verslaggeving zelf waarmee de in control-verklaring wordt verantwoord. Verder gaan ze uit van een goed doortimmerd proces van risicobeheersing, gericht op alle ondernemingsrisico s en in overeenstemming met de bedrijfsdoelstellingen van de onderneming. Ticking the box exercities zijn uit den boze. Ondernemingen worstelen met de opzet van een adequaat en effectief risicomanagementmodel. Een formeel proces van risicomanagement rondom met name strategische risico s staat nog in de kinderschoenen bij veel bedrijven. Formele processen om operationele, (financiële) verslaggevings- en compliance risico s te beheersen zijn in veel gevallen verder ontwikkeld maar zitten nog niet een volwassenheidsfase. De meeste bedrijven verwachten dat ze op dit vlak binnen drie tot vijf jaar een volwassen (d.w.z. een integraal en verankerd) risicomanagementmodel hebben. De Sox -bedrijven hebben in het algemeen een voorsprong ten aanzien van de beheersing van financiële verslaggevingrisico s. Toezicht Aandeelhouders verwachten van bestuurders dat zij met hun raad van commissarissen en leden van de auditcommissie een permanente dialoog voeren over bedrijfsrisico s. De praktijk is dat gesprekken tussen leden van de raad van bestuur en de raad van commissarissen vaak vooral gaan over de financiële (verslaggevings)risico s en niet zozeer over strategische, operationele en compliance risico s. Tabel 1. Resultaten van het kwalitatieve onderzoek * omvat transparantie, het risicomanagement en toezicht 30 Goed Bestuur

6 ER LIJKT EEN BREDE KLOOF TE BESTAAN TUSSEN DE PRAKTIJK VAN INTERNE RISICOBEHEERSINGS- EN CONTROLESYSTEMEN EN DE VERWACHTINGEN VAN AANDEELHOUDERS, GROTENDEELS BELEGGERS De carrot : duurzame waardecreatie 14 Er bestaat een andere mogelijkheid om bedrijven meer inzichtelijkheid, transparantie en zekerheid te laten bieden met betrekking tot effectieve risicobeheersings- en controlesystemen. Zo is het mogelijk ondernemingen te wijzen op de financiële voordelen van een breed opgezet integraal systeem voor risicomanagement. Door bijvoorbeeld bewijs aan te dragen dat de inzet van een effectief risicobeheersings- en controlesysteem geen methode is om risico s te mijden; en door uit te leggen dat ondernemingen met behulp van dergelijke systemen hun risico s beter kunnen spreiden. En dat ze hun toezicht en bestuur in het algemeen kunnen verbeteren. Dit levert een betere focus op de bedrijfsdoelstellingen en maakt duurzame waardecreatie mogelijk. Als ondernemingen dit voor elkaar krijgen, zouden ze in staat moeten zijn om zekerheid en transparantie naar een hoger plan te tillen en daarmee de aandeelhouderswaarde te vergroten. 5. De waarde van de carrot ten opzichte van de stick Uit verschillende onderzoeken naar het belang van goede corporate governance en risicobeheersings- en controlesystemen is gebleken dat ondernemingen hier prioriteit aan zouden moeten geven. Dit is in 2002 al geopperd in een studie van McKinsey and Company 15, waarin werd geconcludeerd dat verreweg de meeste beleggers bereid zijn een premie te betalen voor ondernemingen die er hoge corporate governance-normen op na houden. Gemiddeld bedroegen de premies procent in Noord-Amerika en West-Europa; procent in Azië en Latijns-Amerika en meer dan 30 procent in Oost-Europa en Afrika. Bovendien gaven beleggers te kennen dat zij corporate governance op één lijn stellen met financiële indicators bij de evaluatie van beleggingsbesluiten, aldus deze studie. In meer recente onderzoeken van de afgelopen jaren worden dezelfde conclusies getrokken. Volgens een studie van Governance Metrics International (GMI) 16 vormen goede accountingpraktijken en een krachtig intern controlesysteem belangrijke drijvende krachten voor de aandeelhouderswaarde op de lange termijn. Daarnaast laten deze onderzoeken het verband zien tussen governance en kapitaalkosten: De resultaten onderbouwen de algemene hypothese dat bedrijven met een betere governance minder agency risk met zich meebrengen voor aandeelhouders, hetgeen uitmondt in lagere kapitaalkosten. Uit het GMI-onderzoek van vorig jaar 17 bleek dat het verband tussen goede governance en lange termijn rentabiliteit een steun in de rug zou moeten betekenen voor besturen (raden van commissarissen) en management die minder tijd aan compliance kwesties willen besteden en zich meer op strategie willen richten. Onderzoek van Ernst & Young 18 biedt inzicht in de waarde van transparantie voor beleggers: 69 procent van de respondenten noemde transparantie een topprioriteit bij hun keuze voor een eerste belegging. Volgens dit onderzoek zijn de drie grootste voordelen van risicomanagement: minder negatieve verrassingen (29 procent), grotere financiële stabiliteit (23 procent) en meer zekerheid over de winstgevendheid (22 procent). Ook worden bedrijven door beleggers afgestraft als zij van mening zijn dat het risicomanagement onder de maat is: 61 procent van de respondenten verklaarde beleggingen in bedrijven met ondermaats risicomanagement te vermijden en 48 procent gaf aan aandelen in dergelijke bedrijven te hebben afgestoten. Uit een onderzoek van PWC, gehouden in januari 2007 onder leden van de raden van bestuur van internationale beursgenoteerde ondernemingen, 19 bleek dat bedrijven met risicobeheer- Goed Bestuur

7 singsystemen hun risico s beter kunnen spreiden. Bovendien kunnen ze hun toezicht en governance in het algemeen verbeteren. Dat maakt een betere focus op de financiële vooruitzichten en duurzame waardecreatie mogelijk. Hoewel dit onderzoek zich beperkte tot de financiële dienstverlening, hebben ook bedrijven buiten die sector een reden om zich met risicomanagement bezig te houden. Standard & Poor s denkt momenteel na over hoe het de inspanningen van bedrijven op dit terrein kan integreren in de ratings die het toekent. Dit ratingbureau stelt voor om analyse inzake de beheersing van het ondernemingsrisico wereldwijd te integreren in het kredietbeoordelingsproces om zo een toekomstgericht en gestructureerd kader tot stand te brengen voor de beoordeling van het management als hoofdonderdeel bij de vaststelling van het algemene bedrijfsprofiel. (Het bedrijfsprofiel en het financiële profiel zijn de belangrijkste factoren bij een kredietrating van Standard & Poor s). 6. Aanbevelingen Op basis van de voorafgaande paragrafen zijn we gekomen tot een reeks aanbevelingen. Deze moeten enerzijds de kloof slechten tussen de huidige praktijk en het streven naar meer transparantie en zekerheid op het gebied van riskmanagement, en moeten anderzijds de aandeelhouderswaarde voor de lange termijn verhogen: Voor raden van bestuur meer aandacht schenken aan de verdere ontwikkeling van risicomanagement, met name aan het strategisch risicomanagement en het management van operationele en compliance risico s; uitgebreidere rapportage aan de raad van commissarissen en de auditcommissie over aanpak, resultaten en actieplannen ten aanzien van risicobeheersings- en controlesystemen; zorgen voor een robuust kader voor financiële controle dat voorziet in adequate informatie ter zake van financiële verslaggeving; transparantie verhogen in de risicoparagraaf door meer informatie te verstrekken over strategieën, doelstellingen en belangrijke risico s; voorzien in een pragmatische kwantificering (inschatting van impact en waarschijnlijkheid) van materiële risico s, met dien verstande dat kwantificering geen doel op zichzelf mag zijn. Aan raden van commissarissen risicomanagement als specifiek onderwerp op de agenda zetten bij vergaderingen van de raad van commissarissen en de auditcommissie; een meer proactieve houding innemen met betrekking tot risicobeheersings- en controlesystemen overeenkomstig de aanbeveling van de Commissie Frijns. 7. Conclusie en uitnodiging aan de Commissie Frijns Ons onderzoek over risicomanagement heeft ons duidelijk gemaakt dat de verwachtingen van aandeelhouders en de praktijk sterk uiteenlopen als het gaat om transparantie, risicobeheersings- en controlesystemen en toezicht. Naar ons oordeel is het in het belang van zowel de aandeelhouders als de (beursgenoteerde) ondernemingen om deze kloof te dichten. Het ligt voor de hand om toevlucht te nemen tot de stick: meer regels. Wij spreken ons echter volmondig uit voor het verkennen van VEEL AANDEELHOUDERS ZIEN NIETS IN BOX TICKING, HET BLIND VOLGEN VAN VOORSCHRIFTEN. MEER REGELS LEIDEN NIET NOODZAKELIJKERWIJS TOT EFFECTIEVERE CONTROLES. 32 Goed Bestuur

8 een oplossing waarin de nadruk op de carrot ligt: duurzame waardecreatie. Het resultaat van waardecreatie is dat ondernemingen sterker worden gemotiveerd hun risicomanagementprocessen te verbeteren. Wij vrezen dat zonder die oplossing ondernemingen de aanbevolen gestandaardiseerde beschrijvingen van de Monitoringcommissie domweg overnemen (box ticking) zonder dat ze hun systeem voor risicobeheersings- en controlesystemen in praktische zin verbeteren. Wij zijn zeer ingenomen met de aandacht van de Commissie Frijns voor interne risicobeheersings- en controlesystemen, één van de hoekstenen van hun derde verslag gepubliceerd op 19 december In dit verslag toonde de Commissie zich enthousiast over initiatieven van de markt bedoeld om de kwaliteit van risicomanagement te verbeteren. Wel zijn we enigszins teleurgesteld dat de Commissie het daar (vooralsnog) bij laat en niet hamert op het belang van effectieve risicomanagementsystemen. Vooruitlopend op hun definitieve verslag deze zomer in 2008 willen wij de Commissie verzoeken het volgende in overweging te nemen: het belang onderstrepen van effectief risicomanagement, niet alleen vanuit een compliance perspectief (met de nadruk op transparantie en de beschrijving van risico s en de systemen om deze te beheersen), maar ook vanuit het oogpunt van duurzame waardecreatie; nadere verkenning van onze argumenten om de carrot te gebruiken: duurzame waardecreatie als doeltreffende methode om ondernemingen te stimuleren de afstand naar effectief risicomanagement te overbruggen en ondernemingsgedrag te veranderen; de markt helpen om initiatieven te ontplooien die risicomanagement effectiever maken, bijvoorbeeld door het beleggen van rondetafelgesprekken met toonaangevende beursgenoteerde ondernemingen; onderzoek doen naar de rol die raden van commissarissen spelen bij risicomanagement: op welke punten kan hun bijdrage worden verbeterd en hoe is dit te verwezenlijken; bestuderen van mogelijkheden om risicomanagement verder op één lijn te brengen met de strategie en operaties van de organisatie, mogelijk resulterend in de opname van de risicobeheersingsparagraaf van het jaarverslag in het strategisch onderdeel; nagaan wat kan worden geleerd van nieuwe ontwikkelingen op het gebied van regelgeving en de markt. Hierbij moet gedacht worden aan het voorstel van de Europese Commissie betreffende Solvency II, dat voorziet in een alomvattende risicogeoriënteerde benadering voor de vaststelling van solvabiliteitsvereisten voor verzekeringsmaatschappijen. Een ander voorbeeld is het voorstel van Standard & Poor s om een analyse inzake de beheersing van het ondernemingsrisico te integreren in het kredietbeoordelingsproces. 22 Wij hopen dat ons artikel een bijdrage levert aan de dialoog tussen ondernemingen en hun aandeelhouders om de kloof op het gebied van effectief risicomanagement in kaart te brengen en uiteindelijk te overbruggen. Dat is namelijk in het langetermijnbelang van niet alleen de aandeelhouders en de ondernemingen, maar ook van de andere stakeholders. Over de auteurs: Drs. A.J.M. Weenink RA is Corporate Risk Manager bij Vedior N.V., drs. S.N. Heidema RA is partner bij Corgwell C.P.I. Governance en mr. M.N. Bakker MBA is werkzaam als Group Compliance Officer bij AEGON N.V. Dit artikel is op persoonlijke titel geschreven door de auteurs. Noten 1. Pieter Couwenbergh en Hein Haenen, 'De regels en het spel; Gesprekken met Morris Tabaksblat', Amsterdam 2007, p COSO staat voor 'Committee of Sponsoring Organizations of the Treadway Commission', een commissie die in 1985 is opgericht vanuit een particulier initiatief in de Verenigde Staten. Deze commissie beoogt met name de factoren in kaart te brengen die frauduleuze financiële verslaggeving veroorzaken en aanbevelingen te doen om dit verschijnsel terug te dringen. COSO heeft een algemene definitie geformuleerd van interne controles, normen en criteria waartegen ondernemingen en organisaties hun controlesystemen kunnen afzetten. 3. Hieronder vallen ook het beheersen van financiële risico's (risico's op het gebied van liquiditeit, financiële structuur, financiering etc.). 4. Hieronder valt ook het beheersen van integriteitrisico's. 5. Commissie Frijns (2005), rapport over de naleving van de Code Tabaksblat. Goed Bestuur

9 HET IS GOED DAT DE COMMISSIE FRIJNS VEEL AANDACHT HEEFT VOOR INTERNE RISICOBEHEERSINGS- EN CONTROLESYSTEMEN. HELAAS HAMERT DE COMMISSIE (NOG) NIET OP HET BELANG VAN EFFECTIEVE RISICOMANAGEMENTSYSTEMEN 6. Commissie Frijns (2006), rapport over de naleving van de Code Tabaksblat. 7. Jos de Groot en Bart Koolstra, 'De in-control practice van de Commissie Frijns lost nog niet alle vragen op', PWC Spotlight 2006, uitgave Jos de Groot, 'De risicoparagraaf in de jaarverslagen 2006', PWC Spotlight jaargang 14, Brief van Eumedion aan de Commissie Frijns van 17 juni Voor de uitvoering van het onderzoek is aangenomen dat met deze beleggers, analisten en belangenorganisatie van beleggers de aandeelhouders van Nederlandse beursgenoteerde bedrijven representatief vertegenwoordigd zijn. 11. In ons kwalitatieve onderzoek hebben we in totaal elf stakeholders geïnterviewd. 12. Eumedion, Spearheads 2008, 8 november Brief van Eumedion aan de Monitoringcommissie van 21 juni Dit pleidooi is in iets andere bewoordingen kracht bijgezet in een latere brief van Eumedion van 8 november 2007 aan raden van bestuur en commissarissen. 14. Als we het hebben over 'waardecreatie' of 'aandeelhouderswaarde' bedoelen we lange termijn creatie van aandeelhouderswaarde. 15. McKinsey and Company (2002) Global Investor Opinion Survey: Key Findings 16. Governance Metrics International (2004), GMI Governance and Performance. 17. Governance Metrics International (2006), Governance and Performance: Recent Evidence. 18. Ernst and Young accountants (2005), Investors on risk, the need for transparency. 19. PWC, 'Creating value; effective risk management in the Financial services, enquête van EIU/PWC'. 20. Standards & Poor's (15 november 2007), Request for comment: Enterprise Risk Management Analysis For Credit Ratings of Non financial Companies. 21. Bijvoorbeeld het 'Discussiepaper van het NIVRA', oktober 2007 ( < ). 22. Zie voetnoot Goed Bestuur