RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE

Transcriptie

1 MR. B.J. SCHOORDIJK RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE `If things seem under control, you are just not going fast enough.' Mario Andretti Een bestuurder van de onderneming die niet de controle over de onderneming heeft, bestuurt niet. Aldus ook de thans gangbare opvatting van de wet- en regelgevers op het gebied van corporate governance. Ondernemen is tevens risico nemen. Het beheersen van de aan het ondernemen verbonden risico's, het risk management, is daarmee een van de belangrijke hoekstenen van corporate governance geworden. In deze bijdrage wordt onder meer nader ingegaan op de verschillen en vooral de overeenkomsten tussen de eisen die aan risk management worden gesteld onder de Code Tabaksblat in Nederland en de Sarbanes OxleyAct in de Verenigde Staten, en de w~ze waarop aan die eisen kan worden voldaan, zoals met toepassing van het zogeheten COSO Framework. Het aantal juridische publicaties op dit gebied is uiterst beperkt, terwijl het onderwerp van groot belang is voor de praktijk van de hedendaagse beursgenoteerde onderneming (er zijn zo'n 40 Nederlandse ondernemingen die zijn onderwerpen aan zowel de regels van Sarbanes Oxley als de Code en die hebben er uiteraard belang bij dat op een zo efficiënt mogelijke manier aan beide regelingen wordt voldaan). Deze bijdrage poogt dan ook tevens een aanzette geven voor meer juridische publicaties over dit onderwerp. INLEIDING Op 10 februari 2004 verscheen er in Het Financieele Dagblad een artikel onder de kop: Uitleg code-tabaksblat hoognodig.' Het artikel was verschenen naar aanleiding van de perikelen rond Adecco. Het Zwitserse Adecco S.A. heeft een notering aan de New York Stock Exchange (NYSE) en had op 12 januari 2004 een persbericht uitgegeven, waarin de verwachting werd uitgesproken dat de eerder aangekondigde datum waarop de jaarcijfers over 2003 bekend zouden worden gemaakt (4 februari 2004) niet zou worden gehaald. De accountants waren nog niet klaar omdat er material weaknesses waren 1. Geschreven door Philip Wallage, partner bij KPMG en hoogleraar accountantscontrole aan de Universiteit van Amsterdam. De auteur was tevens lid van de commissie Peters. 309

2 B.J. SCHOORDIJK geconstateerd in de interne controlesystemen (internal controls) van haar Noord-Amerikaanse activiteiten, er mogelijk accounting, control and compliance issues waren en het effect van deze tekortkomingen op de geconsolideerde jaarrekening nog moest worden onderzocht. Een flinke koersdaling was het gevolg. Twee weken later, op 30 januari 2004, werd een nader persbericht uitgebracht. Er was weliswaar een aantal lokale tekortkomingen geconstateerd op brancheniveau, maar het was niet te verwachten dat dit financially significant zou zijn voor de onderneming als geheel. Uiteindelijk konden, na een verder uitstel, de cijfers over 2003 op 1 juni 2004 worden gepubliceerd, met een. ongeclausuleerde goedkeuring van de accountants. Op dat moment was echter al ongeveer 100 miljoen euro uitgegeven aan accountants- en andere adviseurskosten. Een rekening die nog wel flink zal oplopen, gezien de reeks onvermijdbare class actions die volgden. Met de koptekst van genoemd artikel, dat uitleg van de Code-Tabaksblat (hierna, de Code) hoognodig is, ben ik het van harte eens, zeker op het punt van de interne risicobeheersings- en controlesystemen. Gezien het belang en de gevolgen van de betreffende bepalingen in de Code mag het verbazing (en zelfs teleurstelling) wekken dat deze handschoen vanuit de juridische gemeenschap niet of laat ik voorzichtig.zijn nauwelijks is opgepakt. Ik kan mij daar overigens wel iets bij voorstellen. Het betreft immers niet een strikt juridisch onderwerp en binnen de ondernemingen wordt het al snel overgelaten aan de professionals die zich met het onderwerp risk managementbezig houden, in het bijzonder risk managers en interne accountants. De oproep van de schrijver van het artikel in Het Financieele Dagblad was niet tot juristen gericht maar tot opstellers en gebruikers van financiële informatie en accountants, die samen invulling zouden moeten gaan geven aan de diverse begrippen. Echter, ik geloof niet dat de interpretatie van de Code op dit punt uitsluitend bij deze beroepsgroepen thuishoort. Hoe je het ook wendt of keert, hoewel bedoeld als een stuk zelfregulering, de Code ís een juridisch document en een niet juiste naleving kan aanzienlijke juridische gevolgen hebben. Door het systeem van `pas toe of leg uit' moet bij elke bepaling van de Code zorgvuldig worden bezien of er daadwerkelijk aan de principes en de best practice bepalingen wordt voldaan en zo niet, wat dan de omschrijving van het `waarom' van de afwijking van de Code zal moeten zijn.z Ik vind. het van groot belang dat juristen bij dit proces, inclusief het beoordelen en aandragen van teksten die in de jaarverslagen moeten worden opgenomen, worden betrokken. Fouten worden steeds meer afgestraft en hebben daardoor de neiging steeds duurder en tijdrovender te worden (zie bijvoorbeeld de 2. Terzijde merk ik op, dat naar mijn mening het systeem van pas toe of leg uit tevens inhoudt, dat het een onderneming vrijstaat weer te geven hoe zij bepalingen van de Code heeft uitgelegd en toegepast, mits dit maar volledig transparant gebeurt. Ik ben het dan ook van harte oneens met de enkelen die van mening zijn dat er slechts sprake zou zijn van een correcte naleving van de Code indien afwijkingen door de aandeelhouders zijn goedgekeurd. 310

3 RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE class actions tegen Adecco en al die andere ondernemingen die een `vuiltje' hebben moeten rapporteren), dus het tijdig inschakelen van competente juristen is op zichzelf al een voorbeeld van goed risk management. Bij het ontbreken van gedegen juridische analyses bestaat de niet als denkbeeldig te verwaarlozen kans dat ondernemingen vroeg of laat in de juridische probleemhoek terecht komen. In deze bijdrage zal ik een poging wagen een aanzet voor een juridische analyse te maken. Onvermijdelijk zal daarbij veelvuldig gebruik van Engelse termen worden gemaakt en ik zal ook meermaals Engelse teksten aanhalen. Ik verwacht dat de meeste lezers hiermee vertrouwd zullen zijn. Excuus aan hen die daar om welke reden dan ook moeite mee hebben. RISK MANAGEMENT HOEKSTEEN VAN CORPORATE GOVERNANCE? Is risk management inderdaad een hoeksteen van corporate governance? Er lijkt op zichzelf geen speld tussen te krijgen. Zoals een bestuurder van een auto zijn auto niet kan besturen als hij niet in controle over het voertuig is, zo kan de bestuurder van een onderneming3 niet zeggen dat hij daadwerkelijk bestuurt als er geen controle over de onderneming is. En zoals het voorkomt dat zelfs de in controle zijnde automobilist malheur overkomt, zo zal de ondernemer met een goed functionerend risicobeheersings- en controlesysteem niet kunnen voorkomen dat bepaalde risico's zich soms manifesteren. Bovendien, ondernemen is risico (durven) nemen en daar de vruchten van plukken, zoet of wrang. Het is interessant om te bezien hoe de diverse regelgevers op het gebied van corporate governance hierover dachten. Voor een kort onderzoek heb ik de niet-wetenschappelijke methode gebruikt van het zoeken op trefwoord in de diverse codes en wetten, in het digitale tijdperk een fluitje van een cent. Laat mij beginnen bij wat velen zien als de moeder aller hedendaagse corporate governance regels, de Sarbanes-Oxley wet van Zoek je in de tekst van 3. Ik gebruik bewust de term `onderneming' en niet de formeel correctere term `vennootschap'. De corporate governance regels zoals ondermeer vastgelegd in de Code zien op beursgenoteerde vennootschappen en de taken en verantwoordelijkheden op het gebied van corporate governance van (leden van) de raad van bestuur en raad van commissarissen van een concern gaan verder dan alleen de vennootschap waar zij bestuurder of commissaris van zijn. Bovendien, daar waar de regels de betrouwbaazheid van de financiële verslaggeving betreffen, strekken de regels zich logischerwijs uit over die vennootschappen die in de geconsolideerde gegevens zijn opgenomen. 4. Bij deze kwalificatie past een kritische kanttekening. Het doel van de Sazbanes-Oxley wet is `[t]o protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes'. De Sarbanes-Oxley wet richt zich primair op de integriteit van de financiële verslaggeving en vormt daarmee vooral financial governance. Desalniettemin, de bepalingen raken ondernemingen op vele plaatsen, inclusief het bestuur en het toezicht daarop, zodat het niet ongepast is de wet toch te zien als een codificatie van corporate governance regels. 311

4 B.J. SCHOORDIJK deze wet naar `risk management' dan trefjein alle 1107 wetsartikelen slechts éénmaal de term aan, en dan ook nog slechts in een artikel waarbij de Securities and Exchange Commission (SEC) een extra budget van 98 miljoen dollar wordt toegewezen voor het versterken van haar risk management programma's. Een niet erg hoopvol begin voor het bewijs van de stelling. Kijkend naar de landen om ons heen ziet het plaatje er wat rooskleuriger uit. De Duitse corporate governance code (Deutscher Corporate Governance Kodex van 2002, herzien in 2003) kent een viertal bepalingen over risk management. In het Verenigd Koninkrijk (de Combined Code on Corporate Governance van juli 2003, kortweg de Combined Code; onderdeel hiervan is een guidance voor bestuurders, geschreven. door de Turnbull Committee, hoe kan worden voldaan aan de betreffende onderdelen van de Combined Code op het gebied van Internal Control heeft men er meer werk van gemaakt, met 22 hits op risk management. Inmiddels is ex in Europa een groot aantal corporate governance regelingen tot stand gekomen en in de meeste daarvan wordt er aandacht aan risk management besteed. Zoals wordt geconstateerd in de OECD Principles of Corporate Governance 2004, `[d]isclosure about the system for monitoring and managing risk is increasingly regarded as good practice'.5 RISK MANAGEMENT ONDER DE SARBANES-OXLEY WET I SOX 404 Het doet op het eerste gezicht wat merkwaardig aan dat de Sarbanes-Oxley wet geen aandacht lijkt te besteden aan risk management, daar waar andere codes dit nu juist als een van de kernpunten van (goede) corporate governance zien. Schijn bedriegt hier echter, het is vooral een kwestie van terminologie. Een van de meest ingrijpende bepalingen, zeker voor wat betreft de uitvoering in de praktijk,. is SOX OECD Principles of Corporate Governance 2004, part two, par. V.6. Opvallend detail, waar de Code de pretentie heeft een weergave te zijn van hest practices, de OECD Principles of Corporate Governance 2004 zijn wat bescheidener, met een beschrijving van good practices. Dit is een bewuste keuze, zoals blijkt uit de Preamble: `They are not intended to substitute for government, semi-government or private sector initiatives to develop more detailed `best practice' in corporate governance.' Toch, de benadering spreekt mij meer aan. 6. In het jargon dat is ontstaan rond de Sarbanes-Oxley Act worden de wetsartikelen doorgaans weergegeven met `SOX', gevolgd door het artikelnummer. De wet zelf hanteert de schrijfwijze SEC. (voor section) gevolgd door het artikelnummer, maar het op die manier citeren van de wetsartikelen zou verwarring kunnen zaaien met de regels van de SEC. Een enkele maal zie je, in het bijzonder in de VS, ook de schrijfwijze SOA Section [volgt artikel nummer]. Deze schrijfwijze lijkt mij voor de Nederlandse situatie minder gepast. 312

5 RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE SEC MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS. (a) RULES REQUIRED. The Commissions shall prescribe rules requiring each annual report... to contain an internal control report, which shall (1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting. (b) INTERNAL CONTROL EVALUATION AND REPORTING. With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board.$ Any such attestation shall not be the subject of a separate engagement. Het was aan de SEC en PCOAB om hier nadere invulling aan te geven. De SEC is in staat geweest haar nadere regelgeving op SOX 404 inclusief uitgebreide toelichting te beperken tot 95 pagina's.9 De PCAOB heeft een duizelingwekkend document weten te produceren van 1877 (!) pagina's10, samengevat in een release van nog altijd 211 pagina's.11 Ook de Amerikanen dachten ooit werk te maken van deregulering. Zo introduceerden zij de Paperwork Reduction Act of 1995 `to have Federal agencies become more responsible and publicly accountable for reducing the burden of Federal paperwork on the public'. Het blijken mooie woorden uit de vorige eeuw. Deregulering is `uit', niet alleen in Nederland maar ook in andere delen van de wereld. Zoals blijkt uit de tekst vereist SOX 404 dat het bestuur van de onderneming een adequate structuur en adequate procedures voor interne controle op de financiële verslaggeving instelt en in stand houdt. Ieder jaar zal er een beoordeling moeten plaatsvinden, per het einde van het boekjaar, van de effectivi- 7. Lees: Securities and Exchange Commission (SEC). 8. Lees: Public Company Accounting Oversight Board (PCAOB), een lichaam dat door de Sarbanes- Oxley wet (SOX 101) in het leven is geroepen voor het toezicht op de accountantscontrole bij vennootschappen die zijn onderworpen aan de Amerikaanse effectenwetgeving. De door de PCAOB uitgevaardigde regels zijn dus niet van toepassing op de gecontroleerde ondernemingen met een SEC registratie, maar deze laatste hebben er natuurlijk wel direct mee te maken. Immers, de controlerende accountants moeten de PCAOB regels toepassen bij hun controle en de onderworpen ondernemingen dienen, indien zij prijs stellen op een goedkeurende verklazing van hun accountant, zich zo in te richten dat de accountants deze regels kunnen toepassen. 9. SEC Final Rule: Management's Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports; 14 augustus 2003; Release Nos ; ; IC-26068; File Nos. S ; File No. PCAOB Release van 9 maart

6 B.J. SCHOORDIJK teit van de interne controle structuur en procedures voor de financiële verslaggeving. Een en ander zal tot uitdrukking moeten komen in het jaarverslag en de controlerende accountant zal over de effectiviteit van de interne controle structuur en procedures voor de financiële verslaggeving een verklaring moeten afleggen. Deze attestation is het resultaat van de audit ter zake en wordt neergelegd in een attestation report aan de board van de onderneming. Dit report moet door de onderneming bij het annual report worden gevoegd en is dus niet gelijkte stellen aan de goedkeurende verklaring van de accountant bij de jaarrekening. Op het eerste gezicht lijken dit vrij heldere bepalingen. Toch hebben, vooral naar aanleiding de eerdere conceptregelingen van de SEC en PCAOB en de vele commentaren die daarop zijn verschenen, deze bepalingen tal van vragen opgeroepen. De belangrijkste vraag was wel wat te verstaan onder internal control, toch het kernbegrip van SOX 404. Deze term bestond reeds lang voordat de Sarbanes-Oxley wet werd aangenomen. Aanvankelijk was het een begrip dat vrijwel uitsluitend binnen de accountancy werd gebezigd. Als een onderneming een adequaat systeem van interne controle had kon de controlerende accountant de hoeveelheid tijd en testwerk benodigd voor de audit beperken, daarbij vertrouwend op het interne controlesysteem van de te controleren onderneming en de betrouwbaarheid van de door de onderneming (in de boekhouding) gebruikte automatiseringssystemen. Dat hierop niet blindelings mag worden vertrouwd moge duidelijk zijn; een zekere vorm van audit is altijd nodig.'z In de Verenigde Staten speelde daarbij nog mee, dat in 1977 de Foreign Corrupt Practices Act (FCPA) werd aangenomen. Hierin werd ondermeer, kort gezegd, beursgenoteerde ondernemingen de verplichting opgelegd internal accounting controls in te voeren om ervoor te zorgen dat overeenkomsten alleen werden aangegaan binnen de door het bestuur vastgestelde grenzen en autorisaties en dat de boekhouding dusdanig werd ingericht dat de financial statements konden worden opgemaakt in overeenstemming met generally accepted accounting principles. Al snel werd erkend dat internal control meer raakt dan alleen de accounting functies van een onderneming. In 1985 kwam uit de private sector zelf het initiatief tot het oprichten van de National Commission on Fraudulent Financial Reporting, naar de voorzitter ervan ook wel de Treadway Commission genoemd. In 1987 kwam de Treadway Commission met een rapport 12. Wij vinden dit nog terug in art. 2:393 lid 4 BW: De accountant brengt omtrent zijn onderzoek verslag uit aan de raad van commissarissen en aan het bestuur. Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. 314

7 RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE waarin de ondersteunende organisaties13 werd geadviseerd om de diverse internal control concepts te integreren en een gemeenschappelijk referentiekader te ontwikkelen. Deze organisaties besloten tot de instelling van een speciaal comité, de Committee of Sponsoring Organizations of the Treadway Commission, kortweg COSO. Doel was het ontwikkelen van een gemeenschappelijke definitie van internal controls en een breed framework te bieden van criteria aan de hand waarvan de effectiviteit van de internal control systems kon worden vastgesteld. In 1992 publiceerde COSO haar Internal Control-Integrated Framework, kortweg het COSO Framework, of het COSO Report. Dit Framework is door talloze bedrijven gebruikt voor het opzetten, beoordelen en verbeteren van hun interne controlesystemen. In het COSO Framework wordt internal control in een matrix weergegeven, waarbij internal control wordt gedefinieerd als `a process, effected by an entity's board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives', opgesplitst in drie categorieën: effectiveness and efficiency of operations, reliability of financial reporting en compliance with applicable laws and regulations. De interne controle bestaat uit de controle omgeving (control environment), risico beoordeling (risk assessment), controle activiteiten (control activities), informatie en communicatie (information and communication) en monitoring. De internal controls strekken zich dus uit over het gehele bedrijfsproces: policies, plannen, procedures, processen, (IT) systemen, activiteiten, functies, projecten, initiatieven en inspanningen op alle niveaus inde onderneming. Gaandeweg is het inzicht ontstaan dat internal control een integraal onderdeel is, of hoort te zijn, van wat inmiddels is gaan heten Enterprise Risk Management (ERM). COSO heeft hierop ingespeeld en in september 2004 haar Enterprise Risk Management-Integrated Framework gepubliceerd.14 Ik zal er later deze bijdrage nog nader op terug komen. Dan terug naar de vraagstelling: wat te verstaan onder internal control als bedoeld in SOX 404? In de wettekst staat de belangrijke toevoeging `for financial reporting'. In de aanloop naar de uiteindelijke regeling heeft de SEC van diverse zijden onder meer de vraag gekregen, of het niet beter zou 13. De sponsors van de Treadway Commission kwamen allemaal uit de accounting hoek: American Insritute of Certified Accountants (AICPA), American Accounting Association, Financial Execurives International (voorheen Financial Executives Institute), Institute of Internal Auditors en Institute of Management Accountants (voorheen National Association of Accountants). 14. De meest gebruikte verkorte schrijfwijze is COSO ERM, ter onderscheid van het COSO Framework. Overigens moet wel worden opgemerkt dat COSO nog geen handleiding (het `how-book') heeft gemaakt hoe COSO ERM toe te passen. 315

8 B.J. SCHOORDIJK zijn om in de regeling aan te haken bij het bredere begrip internal control zoals geformuleerd in het COSO Framework. De SEC heeft echter vast willen houden aan de wettekst en spreekt in haar nadere regeling, in navolging van de in de accountancy gebruikelijke term, over `internal control over financial reporting'15, als volgt gedefinieerd16: A process designed by, or under the supervision of, the registrant's principal executive and principal financial officers, or persons performing similar functions, and effected by the registrant's board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for extérnal purposes in accordance with generally accepted accounting principles and includes those policies and procedures that: (1) Pertain to the maintenance of records that in reasonable detail accurately and fairly reflect the transactions and dispositions of the assets of the registrant; (2) Provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the registrant are being made only in accordance with authorizations of management and directors of the registrant; and (3) Provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use or disposition of the registrant's assets that could have a material effect on the financial statements. De SEC gaf toe dat daarmee slechts een onderdeel van het COSO Framework werd gebruikt. Echter, wet is wet, aldus de SEC, en bovendien wilde de SEC niet dat ondernemingen en accountants verplicht zouden worden het accountantsrapport en de attestation van de accountant zoals vereist in SOX 404(b), de overige onderdelen van het COSO Framework te laten omvaten. Daarnaast heeft de SEC weliswaar aangehaakt bij de terminologie en systematiek van het COSO Framework en expliciet het COSO Framework geschikt geacht als methode voor de inrichting en evaluatie van de internal control over financial reporting, maar men wilde het COSO Framework niet verplicht voorschrijven. Er zijn immers andere mogelijk geschikte frameworks" en de SEC wilde toekomstige ontwikkelingen in de VS en elders niet blokkeren Omdat de gebruikelijke accountancyterm is gebruikt, heeft de SEC de in SOX 404 gebezigde woorden `structure and procedures' laten vallen. 16. De PCAOB hanteert uiteraard dezelfde definitie, met uitzondering van het woord registrant; dit is vervangen door het woord company. 17. De SEC noemt onder meer het Turnbull Report gepubliceerd door The Institute of Chaztered Accountants in England &Wales (1999) overigens sterk geënt op het COSO Framework. Om enig houvast te bieden voor mogelijke alternatieven heeft de SEC aangegeven aan welke eisen een ander framework dan het COSO Framework moet voldoen: `be free from bias; permit reasonably consistent qualitative and quantitative measurements of a company's internal control; be sufficiently complete so that those relevant factors that would alter a conclusion about the effectiveness of a company's internal controls are not omitted; and be relevant to an evaluation of internal control over financial reporting'. ~ 316

9 RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE Het is opvallend dat de PCAOB een iets andere invalshoek kiest. Ook de PCAOB gaat uiteraard uit van internal control over financial reporting zoals voorgeschreven door de SEC, maar constateert terecht dat naast de categorie reliability of financial reporting de overige twee categorieën van het COSO Framework, te weten effectiveness and efficiency of operations en compliance with applicable laws and regulations, van invloed kunnen zijn op de (betrouwbaarheid van de) financiële rapportage. Voor zover dat het geval is moeten alle controls, inclusief deze twee categorieën, derhalve worden meegenomen. Voorts schrijft de PCAOB voor dat het management van de onderneming zich bij de beoordeling van de effectiviteit van de inteynal control over financial reporting binnen de onderneming dient te baseren op een `suitable, recognized control framework established by a body of experts that followed due-process procedures, including the broad distribution of the framework for public comment' en dat tevens voldoet aan de door de SEC geformuleerde eisen (zie voetnoot 17). Daarmee zijn we op een punt aangeland waar je je kunt afvragen of de toevoeging `over financial reporting' na internal control materieel nog enige betekenis heeft.19 Immers, om te voldoen aan SOX 404 zal een systeem van internal controls moeten worden geïmplementeerd dat ten minste sterke gelijkenis met het COSO Framework heeft. Formeel hoeft implementatie alleen plaats te vinden voor zover het de controle op de (betrouwbaarheid van de) financiële verslaggeving betreft. Ik kan mij echter niet goed voorstellen hoe een dergelijke, gedeeltelijke implementatie dan zou moeten plaatsvinden; COSO heeft het niet voor niets een integrated framework genoemd. De bouwstenen van het COSO Framework kunnen niet los van elkaar worden gezien. De meeste ondernemingen zullen ten minste het COSO Framework hanteren en het is de algemene verwachting dat COSO ERM zal uitgroeien tot de meest gebruikte standaard.20 Opgemerkt zij daarbij dat COSO ERM weer een stuk breder is dan het COSO Framework en het SOX 404 gerela- In januari 2005 heeft COSO, op verzoek van de SEC, een task force opgericht om guidance te geven aan kleinere ondernemingen hoe het COSO Framework moet worden toegepast mede in het licht van SOX 404. Bij het afsluiten van de tekst van deze bijdrage was het de bedoeling dat deze guidance in de zomer van 2005 zou verschijnen. Dit onderstreept nog eens duidelijk het belang dat de SEC aan het COSO Framework hecht en de dominante rol die het COSO Framework nog wel enige tijd zal spelen. 18. Op het moment van verschijnen van de definitieve SEC regeling was COSO ERM al in concept verschenen. 19. Deze vraag is voor de Nederlandse situatie van belang omdat de Code deze toevoeging niet kent. 20. Er zijn ook branchespecieeke initiatieven ontplooid. Voor banken bijvoorbeeld hebben op 26 juni 2004 de centrale banken en de bank toezichthouders van de G10 de `International Convergence of Capital Measurement and Capital Standards: a Revised Framework' vastgesteld, beter bekend als Basel II.Ook hierin staan risk management en internal controls centraal. De implementatieperiode is voorzien van 2006 tot

10 B.J. SCHOORDIJK teerde gedeelte (de internal controls over financial reporting) dus een relatiefkleiner onderdeel uitmaakt van COSO ERM. De betekenis van de toevoeging `over financial reporting' blijft mijns inziens beperkt tot SOX 404 sub (a)(2) en (b): de verklaring van het bestuur ten aanzien van de (beoordeling van de) effectiviteit en de accountantscontrole daarop. Deze kunnen worden beperkt tot de internal control over financial reporting en behoeven dus niet het geheel van de internal controls en risk management te omvatten. Daarnaast moet worden opgemerkt, dat volgens de regels van de SEC het bestuur van de onderneming melding moet maken aan de controlerende accountant en het audit committee van `[a]11 significant deficiencies and material weaknesses21 in the design or operation of internal control over financial reporting which are reasonably likely to adversely affect the registrant's. ability to record, process, summarize and report financial information'. Als er een dergelijke material weakness wordt geconstateerd kan het bestuur niet concluderen dat de internal control over financial reporting effectief is, maar material weaknesses buiten het gebied van de internal control over financial reporting kunnen voor dat oordeel buiten beschouwing blij ven. RISK MANAGEMENT ONDER DE SARBANES-OXLEY WET II SOX 302 Naast SOX 404 is er nog een tweetal artikelen in de Sarbanes-Oxley wet van belang in het kader van risk management: SOX 103(a)(2)(A)(iii) en vooral SOX Volgens SOX 302 moeten de CEO en de CFO elk een verklaring ondertekenen, bij ieder jaar-, halfjaar-23 en kwartaalrappart24, onder meer inhoudende dat: 21. De PCAOB definieert significant deficiency en material weakness als volgt: `A significant deficiency is a control deficiency, or combination of control deficiencies, that adversely affects the company's ability to initiate, authorize, record, process, or report external financial data reliably in accordance with generally accepted accounting principles such that there is more than a remote likelihood that a misstatement of the company's annual or interim financial statements that is more than inconsequential will not be prevented or detected.' `A material weakness is a significant deficiency, or combination of significant deficiencies, that results in more than a remote likelihood that a material misstatement of the annual or interim financial statements will not be prevented or detected.' 22. De koptekst van SOX 302 luidt: Corporate Responsibility for Financial Reports. 23. `Semi annual reports' zijn niet genoemd in SOX 302 maar zijn door de SEC toegevoegd. 24. Zogeheten non-u.s. SEC-reporting companies (zoals Nederlandse ondernemingen met een beursnotering in de VS) kunnen volstaan met jaarlijkse verklaringen. 318

11 RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE (4) the signing officers (A) are responsible for establishing and maintaining internal controls; (B) have designed such internal controls to ensure that material information relating to the issuer and its consolidated subsidiaries is made known to such officers by others within those entities, particularly during the period in which the periodic reports are being prepared; (C) have evaluated the effectiveness of the issuer's internal controls as of a date within 90 days prior to the report; and (D) have presented in the report their conclusions about the effectiveness of their internal controls based on their evaluation. as of that date; (5) the signing officers have disclosed to the issuer's auditors and the audit committee of the board of directors (or persons fulfilling the equivalent function} (A) all significant deficiencies in the design or operation of internal controls which could adversely affect the issuer's ability to record, process, summarize, and report financial data and have identified for the issuer's auditors any material weaknesses in internal controls; and (B) any fraud, whether or not material, that involves management or other employees who have a significant role in the issuer's internal controls; and (6) the signing officers have indicated in the report whether or not there were significant changes in internal controls or in other factors that could significantly affect internal controls subsequent to the date of their evaluation, including any corrective actions with regard to significant deficiencies and material weaknesses. Wat opvalt is dat er in SOX 404 wordt gesproken over `internal control structure and procedures for financial reporting', terwijl SOX 302 alleen de term `internal controls' gebruikt. In de eerste Final Rule25 op SOX 302 had de SEC, ter invulling van de term internal controls, de term disclosure controls and procedures26 geïntroduceerd. Dit is bij de hiervoor genoemde regeling van de SEC op SOX 404 herzien. Naast de term disclosure controls and procedures (die is dus gehandhaafd) is ook bij SOX 302 de term internal control over fnancial reporting geïntroduceerd. De CEO en CFO moeten nu in verband met SOX 302 onder meer verklaren, dat zij: 25. Final Rule: Certification of Disclosure in Companies' Quarterly and Annual Reports; 29 augustus 2002; Release Nos , , IC-25722; File No. S Disclosure controls and procedures is als volgt gedefinieerd: Controls and other procedures of an issuer that aze designed to enswe that information required to be disclosed by the issuer in the reports that it files or submits... is recorded, processed, summarized and reported, within the time periods specified in the Commission's rules and forms. Disclosure controls and procedures include, without limitation, controls and procedures designed to ensure that information required to be disclosed by an issuer in the reports that it files or submits under the Act is accumulated and communicated to the issuer's management, including its principal executive officer or officers and principal financial officer or officers, or persons performing similar functions, as appropriate to allow timely decisions regazding required disclosure. 319

12 i B.J. SCHOORDIJK (a) Designed such disclosure controls and procedures, or caused such disclosure controls and procedures to be designed under our supervision, to ensure that material information relating to the registrant, including.its consolidated subsidiaries, is made known to us by others within those entities, particularly during the period in which this report is being prepared; (b) Designed such internal control over financial reporting, or caused such internal control over financial reporting to be designed under our supervision, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles; (c) Evaluated the effectiveness of the registrant's disclosure controls and procedures and presented in this report our conclusions about the effectiveness of the disclosure controls and procedures, as of the end of the period covered by this report based on such evaluation; and (d) Disclosed in this report any change in the registrant's internal control over ~ financial reporting that occurred during the registrant's most recent fiscal quarter (the registrant's fourth fiscal quarter in the case of an annual report) that has materially affected, or is reasonably likely to materially affect, the registrant's internal control over financial reporting; and The registrant's other certifying officers) and I have disclosed, based on our most recent evaluation of internal control over financial reporting, to the registrant's auditors and the audit committee of the registrant's board of directors (or persons performing the equivalent functions): (a) All significant deficiencies and material weaknesses in the design or operation of internal control over financial reporting which are reasonably likely to adversely affect the registrant's ability to record, process, summarize and report financial information; and. (b) Any fraud, whether or not material, that involves management or other employees who have a significant role in the registrant's internal control over financial reporting. i De SEC heeft hiermee weliswaar tot op zekere hoogte SOX 404 en SOX 302 parallel laten lopen, maar anderzijds toch ook de nodige verwarring gezaaid ~ omdat disclosure controls and procedures en internal control over financial reporting een grote mate van overlap vertonen terwijl het verschil tussen de twee nauwelijks wordt verhelderd. Dit verschil is naar mijn mening niet zo relevant, omdat het uiteindelijk gaat om het resultaat: datgene wat er in het jaarverslag moet worden opgenomen aan zowel financiële als niet-financiële informatie is daadwerkelijk opgenomen en is betrouwbaar en waarheidsgetrouw. Anders dan onder SOX 404 hoeft er onder SOX 302 geen attestation van een accountant plaats te vinden. CEO en CFO zullen zich moeten baseren op hun eigen waarneming en moeten kunnen afgaan op de gegevens zoals die uit het binnen de betreffende onderneming. gehanteerde systeem van checks and balances naar voren komen. Ook op dit punt noemt de SEC het COSO Framework als een geschikt instrument. 320

13 RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE RISK MANAGEMENT ONDER DE CODE TABAKSBEAT Als ik wederom de niet-wetenschappelijke methode gebruik van het zoeken op trefwoord, blijkt dat het woord `risico', gerelateerd aan risk management, eenentwintig maal voorkomt in de Code, verdeeld over acht principes en best practice bepalingen (inclusief de toelichting op twee best practice bepalingen).z~ Wordt bij SOX 404 en SOX 302 de kreet `internal control over financial reporting' gebruikt, de Code heeft het over de `interne risicobeersingsen controlesystemen'.28 Ik constateerde al eerder dat de Code zich niet beperkt tot de interne risicobeersings- en controlesystemen ten aanzien van de financiële verslaggeving.29 Daarmee lijkt op het eerste gezicht een belangrijk verschil met SOX 404 gegeven. Een ander verschil is het ontbreken van een verplichte accountantscontrole op de effectiviteit van de interne risicobeheersings- en controlesystemen. Alvorens hier dieper op in te gaan zal ik eerst een schets geven van principe II.1 en best practice bepalingen II.1.3 en II.1.4 van de Code. Volgens principe II.1 is het bestuur verantwoordelijk voor onder meer de naleving van alle relevante wet- en regelgeving en het beheersen van de risico's verbonden aan de ondernemingsactiviteiten. Het bestuur rapporteert hierover aan en bespreekt de interne risicobeheersings- en controlesystemen met de raad van commissarissen en zijn auditcommissie. Dit is nader uitgewerkt in (onder meer) best practice bepalingen II.1.3 en II.1.4 (voor het gemak hieronder weergegeven): II.1.3 In de vennootschap is een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig. Als instrumenten van het interne risicobeheersings- en controlesysteem hanteert de vennootschap in ieder geval: a. risicoanalyses van de operationele en financiële doelstellingen van de vennootschap; b, een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst; c. handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures; d. een systeem van monitoring en rapportering. II.1.4 In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de 27. Zie II.I, II.1.3, II.1.4, III.1.6, III.1.8, III.5.4, V.3, V.4.3 en de toelichting op II.1.3 en II In de officiële Engelse vertaling van de Code: the internal risk management and control systems. 29. De code hanteert het begrip `financiële berichten', waaronder gezien best practice bepaling V.1.1 kennelijk moet worden verstaan het jaarverslag, de jaarrekening, de kwartaal- en/of halfjaarcijfers en ad hoc (ik neem aan, gepubliceerde) financiële informatie. 321

14 i B.J. SCHOORDIJK werking van het interne risicobeheersings- en controlesysteem in het verslagjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken. Best practice bepaling II.1.3 vertoont vooral kenmerken van SOX 302, terwijl (het tweede deel van) principe II.I en best practice bepaling II.1.4 vooral elementen kennen die ook in SOX 404 terugkomen. Toch zijn, zoals hiervóór al aangeduid, er belangrijke verschillen aan te wijzen. In de eerste plaats zijn SOX 302 en SOX 404 primair gericht op de betrouwbaarheid van de kwartaalberichten en het jaarverslag, met een sterke nadruk op de financiële kant daarvan.30 De Code gaat breder en bepaalt dat ook risicoanalyses moeten worden gemaakt van de operationele doelstellingen van de vennootschap. Een onderzoek naar en aansluitende verklaring van de accountant omtrent de effectiviteit van het interne risicobeheersings- en controlesysteem is niet nodig. Evenmin is onder de Code een persoonlijke verklaring van bepaalde bestuurders vereist zoals onder SOX 302 en, voeg ik eraan toe, ook geen separate verklaring van het bestuur. De verklaring van het bestuur `dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn' als bedoeld in best practice bepaling II.1.4 is naar mijn mening niet meer dan een onderdeel (eventueel in soortgelijke bewoording) van het gehele jaarverslag. Ik kom daar aanstonds op terug. De belangrijkste overeenkomst tussen SOX 302 en 404 enerzijds en de Code anderzijds ligt enigszins onder de oppervlakte verscholen. Zoals hiervóór geconstateerd eisen de regels van de SEC en de PCAOB dat in de financiële rapportage uitdrukkelijk wordt weergegeven volgens welk framework men heeft gewerkt bij de internal controls over financial reporting. Daarbij is door SEC en PCAOB aangegeven dat dit het COSO Framework kan zijn, of een ander framework dat sterke gelijkenis met het COSO Framework heeft en aan de door de SEC gestelde eisen voldoet. De Code kent een dergelijk voorschrift niet. Echter, in de toelichting31 op best practice bepaling II.1.4 staat wel: `Het ligt in de rede dat het bestuur in de verklaring over de interne risicobeheersings- en controlesystemen aangeeft welk raamwerk of normenkader (zoals bijvoorbeeld het COSO raamwerk voor interne beheersing) hij heeft gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem'. Hiermee is het COSO Framework een rode draad geworden die door zowel de Code als SOX 302 en 404 loopt. En daarmee zij tevens gezegd dat naar mijn mening de verschillen tussen `Sarbanes-Oxley' en 30. Dit verklaart de attestation van de controlerende accountant zoals vereist onder SOX Onderdeel: `Verklaring van en toelichting op enkele begrippen die in de code zijn gebruikt. 322

15 RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE `Tabaksblat' op het punt van de interne risicobeheersings- en controlesystemenniet zo groot zijn als wel eens wordt aangenomen, zeker in de praktische uitvoering. SOX zou meer de diepte in gaan (focus op financial reporting, maar wel zeer gedetailleerd, met uitgebreide controls op dat punt) en de Code meer de breedte (risicoanalyses ook van de operationele doelstellingen van de vennootschap, maar minder gedetailleerd). Echter, dit blijkt in het geheel niet uit het COSO Framework. Hoewel het COSO Framework slechts een methode aangeeft die op het niveau van de onderneming nader moet worden ingevuld is in de loop der tijd behoorlijk uitgekristalliseerd hoe dit Framework moet worden toegepast. De onderneming die aan de tucht van de Sarbanes- Oxley wet is onderworpen en het COSO Framework toepast zal dat in beginsel niet anders doen dan in het geval de onderneming alleen met de Code te maken heeft. Daarbij past natuurlijk wel uitdrukkelijk een `maar'. Voor zover het de controlemechanismen op de financial reporting betreft zal de aan SOX onderworpen onderneming die instrumenten moeten inbouwen die de attestation van de externe accountant op dat punt mogelijk maken. Dit betekent een wat andere aanpak dan bij de Code waar wordt uitgegaan van een selfassessment door de onderneming, waarbij een belangrijke rol kan zijn weggelegd voor de interne audit functie. 3Z Overigens zij nog wel opgemerkt dat volgens de Code ook de externe accountant een rol heeft bij de beoordeling van de interne risicobeheersingsen controlesystemen. Zie best practice bepaling V.4.3 sub C: V.4.3 Het verslag van de externe accountant ingevolge artikel 2:393 lid 4 BW bevat datgene wat de externe accountant met betrekking tot de [sic] zijn controle van de jaarrekening en de daaraan gerelateerde controles onder de aandacht van het bestuur en de raad van commissarissen wil brengen. Daarbij kan aan de volgende onderwerpen worden gedacht: A. [etc.] B. (etc.] C. Met betrekking tot de werking van de interne risicobeheersings- en controlesystemen (inclusief de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking) en de kwaliteit van de interne informatievoorziening: verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen; opmerkingen over bedreigingen en risico's voor de vennootschap en de wijze waarop daarover in de te publiceren gegevens gerapporteerd dient te worden; naleving van statuten, instructies, regelgeving, leningsconvenanten, vereisten van externe toezichthouders, etc. 32. Zie principe V.3. De Code drukt het voorzichtig uit, maaz ik neem aan dat in de regel er een belangrijke rol voor de interne audit functie za! zijn weggelegd. 323

16 B.J. SCHOORDIJK Volgens de PCAOB is het doel van de audit of internal control over financial reporting `to obtain reasonable assurance that no material weaknesses exist as of the date specified in management's assessment'. Het is dus aan de accountant om te verklaren dat er inderdaad een redelijke mate van zekerheid bestaat dax er geen material weaknesses in de internal control over financial reporting zijn. De door de Code aan de externe accountant toebedeelde rol bij de beoordeling van de interne risicobeheersings- en controlesystemen gaat minder ver. Is de attestation van de accountant onder SOX 404 het resultaat van een doelgerichte audit, bij de Code gaat het meer om het vastleggen in het verslag van de accountant aan raad van bestuur en raad van commissarissen van de bevindingen die met betrekking tot de werking van de interne risicobeheersings- en controlesystemen en de kwaliteit van de interne informatievoorziening aan het licht zijn gekomen. BEST PRACTICE BEPALING II.1.4 NADER BESCHOUWD Een van de plaatsen in de Code waar het gebrek aan gepubliceerde juridische analyses zich heeft doen gelden is de `vertaling' van best practice bepaling II.1.4 naar het jaarverslag. Daarom is het naar mijn mening goed om nog wat dieper in te gaan op hetgeen de Code bepaalt en te bezien hoe er vanuit gaande dat de onderneming voornemens is de Code op dit punt (zoveel mogelijk) toe te passen een redelijke vertaling naar de praktijk zou kunnen plaatsvinden. Ik begin met de constatering, dat er een merkwaardige tegenstrijdigheid zit in deze Codebepaling. De bepaling vangt aan met de mededeling, dat het bestuur in het jaarverslag moet verklaren dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn. Het woord `zijn' leest als een absolute verplichting ten aanzien van de effectiviteit en adequaatheid. Echter, het bestuur dient tevens aan te geven welke eventuele belangrijke verbeteringen zijn gepland. Bij een adequaat en effectief intern risicobeheersings- en controlesysteem zou er geen ruimte behoren te zijn voor belangrijke verbeteringen. Ik meen dan ook, dat dit een relativering is van de op het oog absolute eis van een adequaat en effectief intern risicobeheersings- en controlesysteem. In het geval er bijvoorbeeld een significant deficiency wordt geconstateerd moet het natuurlijk mogelijk zijn daarvan melding te maken, zonder dat dit als een afwijking van de Code moet worden gezien. Uit de aard van het risk management moet er ten aanzien van de adequaatheid en effectiviteit nóg een relativering worden gemaakt. Het proces van risk management houdt in dat de belangrijkste risico's in de bedrijfsvoering (inclusief de financiële rapportage) worden geïdentificeerd en dat er bij elk van die risico's een besluit wordt genomen hoe ermee om te gaan. Het beste 324

17 RISK MANAGEMENT ALS HOEKSTEEN VAN CORPORATE GOVERNANCE interne risicobeheersings- en controlesysteem zal echter niet kunnen voorkomen dat bepaalde risico's zich manifesteren of dat er niet adequaat op een zich manifesterend risico zal worden gereageerd. Verder zal een risk management systeem nooit kunnen voorkomen dat er verkeerde beslissingen worden genomen. Kortom, het systeem van interne risicobeheersing en controle zal nimmer kunnen garanderen dat de onderneming haar doelstellingen zal verwezenlijken. Niet iedere lezer van een jaarverslag zal zich deze relativeringen realiseren. Het kan dan ook geen kwaad deze expliciet tot uitdrukking te brengen in de betreffende tekst in het jaarverslag. De relativering zit al impliciet in deze best practice bepaling, dus met een explicitering ervan wordt nog steeds aan de Code voldaan. 33 Indachtig deze relativeringen en gezien ook de toelichting in de Code bij deze bepaling, moet het begrip `adequaat' naar mijn mening zo worden gelezen, dat de onderneming een systeem van interne risicobeheersings- en controlesystemenmoet hebben ingericht volgens het COSO Framework, COSO ERM of een andere vergelijkbare methode. Wanneer kan van een systeem van interne risicobeheersing en controle worden gezegd dat het effectief is? Het begrip effectiveness kwamen wij hiervóór al tegen bij de bespreking van SOX 302 en 404. Volgens de SEC bevindt de conclusie omtrent effectiveness zich op het niveau van reasonable assurance. Het zal niet verbazen dat de PCAOB in de release van 9 maart 2004 (zie voernoot 11) eveneens de nodige aandacht schenkt aan de effectivenes van de internal controls over financial reporting (in totaal zo'n 2700 maal). Ook de PCAOB gaat uit van een niveau van reasonable assurance.34 Dit sluit aan bij hetgeen in het COSO Framework over effectiviteit wordt gezegd: Internal control can be judged effective in each of the three categories, respectively, if the board of directors and management have reasonable assurance that: They understand the extent to which the entity's operations objectives are being achieved. 33. In de Combined Code in het Verenigd Koninkrijk (paragraaf 37, The Boazd's statement on internal control) is dit zelfs met zoveel woorden `voorgeschreven': The disclosures relating to the applicarion of principle D.2 [deze nummering stamt uit de oude code van 1998; de juiste referentie in de Combined Code is principle C.2; BS] should include an aclmowledgement by the board that it is responsible for the company's system of internal control and for reviewing its effectiveness. It should also explain that such a system is designed to manage rather than eliminate the risk of failure to achieve business objectives, and can only provide reasonable and not absolute assurance against material misstatement or loss. 34. Citaat: Managements assessment of the effectiveness of internal control over financial reporting is expressed at the level of reasonable assurance. The concept of reasonable assurance is built into the definition of internal control over financial reporting and also is integral to the auditor's opinion. Reasonable assurance includes the understanding that there is a remote likelihood that material misstatements will not be prevented or detected on a timely basis. 325