risicomanagement risicomanagement Hoe Sarbanes-Oxley kan leiden tot goed ondernemingsmanagement

Transcriptie

1 Van financial reporting control naar organisatiebrede control en B Van financial reporting control naar organisatiebrede control en Hoe Sarbanes-Oxley kan leiden tot goed ondernemingsmanagement Ing. P. van Herwaarden EMIA RO M. Boer RA Drs. C.A. Visser 1 Voorwoord B Inleiding B Enkele ontwikkelingen op wereldschaal inzake corporate governance B Welke lessen zijn geleerd en wat kan nog worden verwacht? B Benadering en opbouw van deze bijdrage B Sarbanes-Oxley 404, de start van een organisatiebrede control B Sox 404 aanpak de evaluatie van internal controls over financial reporting B Hoe verloopt de Sox 404 risicoanalyse met het oog op het financiële verslag? B Sox 404-projectaanpak inzicht verkrijgen in en beoordelen van de internal controls over financial reporting B Samenvatting B

2 B Van financial reporting control naar organisatiebrede control en 4 Uitbreiding naar andere risicosoorten en internal controls B Van control over financial reporting naar organisatiebrede control B Samenvattende conclusie B Internal control als onderdeel van organisatiebreed (Enterprise Risk Management) B Ondernemingsleiding moet haar risico-inzicht verbeteren B Een wiel van risico s B Wat omvat ondernemingsbreed in hoofdlijnen? B Samenvattende conclusie B Conclusies en aanbevelingen B Literatuur B Bijlagen Bijlage 1 Corporate governance B Bijlage 2 Richtlijnen van The Institute of Internal Auditors (IIA) B

3 Van financial reporting control naar organisatiebrede control en B Imagine a company a market leader, a household name recognized across the globe and considered virtually unassailable. Now imagine a number of risks that might affect the company over the course of a year a large product recall, poor sales performance, problems with regulators and anti-trust investigations... What might happen to the company if these risks occurred? A slump in share price? Loss of market share? Loss of reputation? Actually all might and did happen Voorwoord De Sarbanes-Oxley-wet moet vertrouwen herstellen, maar wat levert het op voor organisatiebrede control en? De jonge Amerikaanse Sarbanes-Oxley-wetgeving 2 beoogt het geschonden vertrouwen in de kapitaalmarkt en het bedrijfsleven te repareren en daarmee de kans op boekhoudschandalen zoals Enron en affaires zoals bij Ahold te verkleinen. Hoewel de wet in eerste instantie van toepassing is op in Amerika genoteerde bedrijven en er volgens schatting van VNO-NCW in Nederland maar zo n veertig ondernemingen mee te maken krijgen, heeft de Sarbanes-Oxley-wet meer betekenis dan menigeen denkt. 3 Dit blijkt uit een aantal andere internationale, Europese en Nederlandse initiatieven die volop in ontwikkeling zijn (zie paragraaf 2 voor een overzicht). Daarnaast krijgen ondernemingen ook te maken met andere dwingende ontwikkelingen, zoals de verslechterende economische situatie, de maatschappelijke vraag om meer sustainability of duurzaam ondernemen en meer milieu- en voedselveiligheid, compliance met nieuwe wet- en regelgeving. Op zeker moment zakken de ontwikkelingen door en hebben dan, in vergaande of minder vergaande mate, hun gevolgen voor alle ondernemingen groot of klein. In dat verband is een goede organisatiebrede beheersing een onmisbare basis voor een goede bedrijfsvoering en draagt deze bij aan een succesvolle realisatie van de ondernemingsdoelstellingen. Tegelijkertijd dwingen de krimpende economie en verslechterende marktomstandigheden ondernemingen om zich terug op kerncompetenties te focussen, om kosten te reduceren en om omzet en marktaandeel vast te houden. Dit betekent echter geenszins dat nu alle risico s 1 Ernst & Young International, Risk Insight Creative Solutions to Manage Risk, Opportunity, and Growth, published in Risk Management Guide in association with the London Stock Exchange, Sarbanes-Oxley wordt afgekort als Sox. 3 Ernst & Young, Eytem, oktober 2002.

4 B Van financial reporting control naar organisatiebrede control en van de baan zijn. Integendeel. Welke waarborgen zijn er dat dit crisismanagement het beoogde resultaat oplevert? Tegen deze achtergrond komt de tijdelijke vertraging van de Amerikaanse, Europese en Nederlandse wetgeving mooi uit. Het geeft alle ondernemingen ook die zonder wettelijke verplichtingen de kans om even pas op de plaats te doen. Uiteraard kunnen bedrijven nu tussentijds evalueren of de gedane inspanningen op koers liggen, of ze voldoende zijn om het einddoel te halen en indien nodig bij te sturen. Maar, nu is hét moment gekomen om te reflecteren of er niet meer achter de horizon is dan een verplichte inspanning met bijbehorende noodzakelijke kosten. Waarom zou het management niet van de gelegenheid gebruik kunnen maken voor het identificeren van quick wins en bijkomende synergievoordelen, of voor het vergroten van de returnon-investment van de kosten van Sox-projecten maar ook van andere inspanningen inzake corporate governance 1, beheersing, of sustainability, milieu- en voedselveiligheid, compliance en dies meer? Als een eerste aanzet tot synergie, wil deze bijdrage enkele handvatten aanreiken om inspanningen zoals een Sarbanes-Oxley-project, in een breder verband te trekken om te komen tot een organisatiebrede control en. 2 Inleiding 2.1 Enkele ontwikkelingen op wereldschaal inzake corporate governance De recente toename in debacles (Enron, AOL Time Warner, Tyco, Merck, Global Crossing en WorldCom) heeft de regering van de VS aangezet om snel te reageren door middel van additionele wetgevende maatregelen. In een poging om een en ander op een gestructureerde manier te remediëren heeft het Amerikaanse Congres in ijltempo (6 weken) de Sarbanes-Oxley Act 2002 ingevoerd. Deze wet verplicht alle ondernemingen met een beursnotering aan de Amerikaanse effectenbeurs om te rapporteren over de effectiviteit van hun internal controls 2 en deze rapportage te laten controleren door hun accountant. Daartoe moeten CEO en CFO aan het einde van het boekjaar een beoordeling doen van de effectiviteit van de internal controls en procedures over de financiële verslaggeving. Bij elk periodiek rapport (bijvoorbeeld kwartaalverslag) moeten zij dit opnieuw certificeren. 1 Corporate governance gaat over het behoorlijk besturen van een onderneming en het afleggen van verantwoording over het gevoerde beleid aan alle belanghebbenden. 2 Internal controls en interne beheersingsmaatregelen zijn synoniem en worden verder door elkaar gebruikt.

5 Van financial reporting control naar organisatiebrede control en B Ook Europa en ons eigen land is niet vrij van de nodige missers en schandalen (Worldonline, Ahold, Qwest, ESF/Arbeidsvoorziening, de bouwfraude, de Hogescholen fraude enzovoort). Mede daarom zijn in Europa en in Nederland diverse wetgevende initiatieven ontplooid zoals: in Europa: het Rapport Winter inzake corporate governance in Europa en modernisering van de Europese vennootschapsrichtlijnen, alsmede het bredere actieplan Reinforcing the statutory audit in the EU ; de International Financial Reporting Standards (IFRS) die vanaf 2005 verplicht moeten worden toegepast in de geconsolideerde jaarrekeningen van beursgenoteerde vennootschappen in Europa; in Nederland: de veertig aanbevelingen van de Commissie- Peters inzake corporate governance, goed ondernemingsbestuur en -toezicht (1997) met het bijbehorende evaluatierapport (2002) over vijf jaar corporate governance in Nederland inzake de status van de aanbevelingen van de Commissie- Peters; en als laatste, maar niet minder belangrijk, de recente concept corporate governance code voor Nederland, opgesteld door de commissie onder leiding van Morris Tabaksblat. De recente corporate governance code schrijft onder meer voor dat het ondernemingsbestuur een verklaring van de werking van het risicobeheersings- en controlesysteem (de In Control Statement ) moet opnemen in het jaarverslag. Het verslag vormt als zodanig onderwerp van onderzoek van de accountantscontrole. De accountant moet zijn oordeel uitspreken over een aantal getrouwheidsaspecten van het verslag in gevolge artikel 2:393 lid 4 BW. Het interne toezicht op de goede werking van het risicobeheersings- en controlesysteem wordt de primaire verantwoordelijkheid van de verplicht in te stellen auditcommissie. 2.2 Welke lessen zijn geleerd en wat kan nog worden verwacht? Alhoewel de nieuwe Amerikaanse wetgeving slechts van toepassing is voor ondernemingen met een beursnotering op de Amerikaanse beurs, is de Europese insteek dat het bij corporate governance gaat om datgene wat goed is voor alle stakeholders (belanghebbenden). Financiële en niet-financiële stakeholders houden nadrukkelijk het bedrijfsleven in het oog en de pers speelt het spel ook mee. Met het oog op deze stakeholders is het voor een onderneming op zijn minst verstandig om een zelfanalyse te doen in hoeverre dit soort missers binnen de eigen organisatie op een structurele en duurzame manier voorkomen kunnen worden. De achterliggende vraag daarbij is wat de diepere oorzaken zijn van dit soort missers en hoe deze opgelost kunnen worden.

6 B Van financial reporting control naar organisatiebrede control en De vraag is hoe dit aan te pakken? Een alom aanvaarde aanpak is een risico-inventarisatie en -analyse te doen van de organisatie in haar geheel en/of van onderliggende entiteiten en van significante transacties en processen. Het is de taak van het topmanagement om dit te initiëren en adequate acties te nemen, eventueel op aandringen van de toezichthouders (Raad van Commissarissen of andere toezichthouders). Inmiddels zijn Sarbanes-Oxley-plichtige ondernemingen deze stappen nu in rap tempo aan het nemen om uiteindelijk te komen tot de verplichte verklaring over de mate van internal control (over Financial Reporting). Zij maken daarbij gebruik van de uitgebreide ondersteuning van de eigen of outsourced Internal Audit afdeling, de externe accountant, risk management adviseurs en dergelijke. Voor grote organisaties met veel entiteiten en een groot aantal (internationale) vestigingen brengt dit aanzienlijke investeringen met zich mee. De vraag is hoe organisaties met een bescheidener omvang tot een vergelijkbare mate van control kunnen komen tegen aanvaardbare kosten. Het probleem daarbij is dat middelgrote en kleinere organisaties enerzijds meestal nog geen expliciete methodologie en/of structureel en duurzaam proces hebben ingevoerd om ondernemingsrisico s te inventariseren, te beoordelen en te managen. Anderzijds beschikken ze vaak niet over een eigen Internal Audit Functie (IAF) die hen daarin kan ondersteunen en dus zal veelal alle controlverantwoordelijkheid op de schouders van andere controlspecialisten, zoals de financieel directeur en de controller, komen te liggen. Het ontbreken van een ingebed risk management proces is op zich niet vreemd omdat vakgebieden zoals Enterprise Risk Management en Business Risk methodologieën zich pas de laatste jaren fors ontwikkeld hebben. Voor het ontbreken van een eigen of outsourced IAF zijn de oorzaken lastiger te achterhalen. Het is een feit dat in de Angelsaksische wereld internal audit functies vaker voorkomen bij relatief kleinere organisaties dan in de rest van Europa en met name in Nederland. Een voor de hand liggende reden is dat corporate governance (namelijk goed ondernemingsbestuur; verantwoording en toezicht op alle niveaus van een onderneming), en het belang dat met name externe stakeholders hieraan hechten, in de Angelsaksische wereld hoog op de agenda staat. Een andere mogelijke reden voor het ontbreken van een IAF bij vergelijkbare organisaties in West-Europa is het kostenaspect. Het opzetten, uitvoeren en onderhouden van een IAF verhoogt op het eerste gezicht enkel de kosten en drukt op het resultaat. Daarbij worden de voordelen die internal audits opleveren echter vaak vergeten.

7 Van financial reporting control naar organisatiebrede control en B Benadering en opbouw van deze bijdrage Op bovenstaande probleemschets tracht dit artikel een praktisch antwoord te geven door het aanreiken van een aanpak in drie fasen. Als startpunt voor een organisatiebrede control wordt in paragraaf 3 een voor dit artikel aangepaste Sarbanes-Oxley-aanpak gepresenteerd van de interne beheersing over de financiële verslaggeving. In paragraaf 4 wordt de eerder geschetste Sarbanes-Oxley-aanpak uitgebreid naar andere risicogebieden dan louter de financiële verslaggeving. Op deze manier wordt de brug gemaakt met organisatiebrede control. In paragraaf 5 wordt vervolgens het verband gelegd tussen de eerder genoemde organisatiebrede control in de ruime zin en organisatiebreed of Enterprise Risk Management. Er wordt afgesloten met enkele praktische conclusies en aanbevelingen in paragraaf 6. 3 Sarbanes-Oxley 404, de start van een organisatiebrede control Eén van de uitdagingen voor (beursgenoteerde) ondernemingen is om extra waarde te halen uit de substantiële extra kosten die gepaard gaan met het voldoen (compliance) aan de nieuwe weten regelgeving. Sectie 404 van Sarbanes-Oxley (Sox 404) inzake control over financial reporting biedt een perfecte aanzet om het risk management systeem van een bedrijf te verbeteren en zo extra waarde te identificeren en te realiseren. Het doel van de Sox 404 aanpak is de getrouwheid van de financiële informatie in de jaarrekening. 1 Het voornaamste eindproduct van een dergelijke exercitie is expliciet inzicht en documentatie over (de effectiviteit van) de interne beheersing van de financiële verslaggeving en met name inzake de significante transactiestromen en processen. Onderdelen van de Sarbanes- Oxley-risicoaanpak kunnen dan ook als startpunt dienen voor de organisatiebrede risicoanalyse en control. Hieronder worden enkele van de relevante onderdelen uit de aanpak beschreven, zodat hierop in paragraaf 4 verder gebouwd kan worden. 1 De termen jaarrekening, financiële verslaggeving en externe financiële rapportage worden in deze bijdrage als synoniem voor elkaar gebruikt.

8 B Van financial reporting control naar organisatiebrede control en 3.1 Sox 404 aanpak de evaluatie van internal controls over financial reporting Sox 404 is gericht op de controls over financial reporting. In figuur 1 is dit gebied weergegeven in de rechterkolom van de kubus, waarbij Sox 404-project alle vijf fundamenten van een goede internal control behandelt met het oog op het aspect financial reporting. De leading practice benadering van een Sox 404-project is breder en behandelt de control environment en de risicoanalyse over de volle breedte (dus ook met het oog op de twee overige aspecten operations en compliance; zie paragraaf 4.2 voor meer toelichting). De overblijvende stukken van de Control Activities, Information and Communications en Monitoring vallen buiten de reikwijdte van Sox Figuur 1. Internal Controls over financial reporting Alhoewel deze aanpak hoofdzakelijk gericht is op de getrouwheid van de financiële verslaggeving, verschaft de gebruikte methode een zeer goed inzicht in de (financieel) significante transactiestromen en processen binnen de verschillende bedrijfsfuncties en -onderdelen. Om de evaluatie van de controls over financial reporting op een doeltreffende en efficiënte manier uit te voeren wordt door middel van een risicoanalyse in feite een selectie gemaakt van de significante onderzoeksonderdelen. Deze risicoanalyse wordt hier als de start gepresenteerd van een aangepaste Sox-aanpak. De hoofdlijnen van de toegepaste risicoanalyse worden in de subparagraaf hieronder kort opgesomd. In subparagraaf wordt vervolgens een aangepaste Sox 404 projectaanpak geschetst. De risicoanalyse is daar een belangrijk onderdeel van en wordt dan ook concreter en gedetailleerder besproken in subparagraaf Een van de belangrijkste pro-

9 Van financial reporting control naar organisatiebrede control en B jectstappen met het oog op de toepassing inzake een organisatiebrede risicoanalyse en control wordt vervolgens in behandeld. Er wordt afgesloten met een conclusie in Hoe verloopt de Sox 404 risicoanalyse met het oog op het financiële verslag? Voorafgaand aan de daadwerkelijke evaluatie van de internal controls over financial reporting wordt een risicoanalyse uitgevoerd (zie figuur 2). Deze heeft tot doel om de bedrijfsonderdelen, processen en transactiestromen te identificeren die een significante invloed hebben op de materiële onderdelen van het financiële verslag Financial Statement & Individual Accountsdetermine Materiality Identify Significant Accounts Associate Financial Statement Assertions to Each significant Account Identify Major Classes of Transactions & Related Processes Identify Material Reporting Units & Locations Mapping of Processes and Locations to Significant Accounts Determine if Remaining Locations Can Result in a Material Reporting Unit or Produce Errors of Importance Determine the Overall Scope Designation for Material Reporting Units/Locations Determine Control Assessment Criteria Documentation Criteria and Client Sign-off Figuur 2. Sox 404 risicoanalysemethode, overgenomen uit een Engelstalige werkaanpak De risicoanalyse die hierboven gevisualiseerd is, verloopt bij een Sox 404-project meestal als volgt: a. bepaal de materialiteitscriteria voor de jaarrekening en voor de individuele posten in de jaarrekening (het criterium van de accountant zou daarbij een uitgangspunt kunnen zijn); b. identificeer de significante financiële posten en rapportageelementen in de jaarrekening en de onderliggende bedrijfsactiviteiten en categoriseer deze in risicoprofielen; c. associeer vervolgens de getrouwheidsaspecten en beweringen inzake de jaarrekening met elke significante post (de zogenaamde Financial Statement Assertions, zoals Completeness, Existence/Occurrence en Rights and Obligations );

10 B Van financial reporting control naar organisatiebrede control en d. identificeer de belangrijke transactiesoorten en bijbehorende processen die de significante posten voeden; e. identificeer de zelfstandig rapporterende bedrijfsonderdelen die materieel zijn evenals de locaties binnen elke rapportageeenheid; f. associeer de processen of transactiestromen en locaties met de significante financiële posten die zij voeden ( account mapping ); g. bepaal ten slotte of de resterende locaties materieel kunnen worden of kunnen leiden tot significante fouten; h. bepaal de reikwijdte van het project voor de materiële rapportage-eenheden; i. stel criteria vast voor de beoordeling van de internal controls; j. bepaal documentatievereisten en aftekening door (proces)- verantwoordelijken. Bij het doorlopen van dergelijke stappen zullen veelal de volgende vragen beantwoord moeten worden: Hoe kunnen we de significante financiële posten, transacties en processen bepalen? Hoe bepalen we het materialiteitscriterium? Hoe passen we het materialiteitscriterium toe op de verschillende locaties/eenheden? Wat is een voldoende reikwijdte en diepgang van de werkzaamheden per locatie? Hoe afhankelijk zijn de processen van informatietechologie? Hoe bepalen we de vereiste projectmiddelen voor elke locatie? Welke externe expertise, ondersteuning en advies is eventueel vereist? De reeds bestaande eigen risicoanalyse (bijvoorbeeld uitgevoerd door een internal audit afdeling) kan een nuttige basis vormen bij een dergelijk proces en zal bovendien tijd besparen. Ten slotte is het van belang om niet alleen kwantitatieve factoren te gebruiken bij de risicoanalyse, maar ook kwalitatieve risicofactoren. De Kas-post zou bijvoorbeeld niet materieel kunnen zijn, maar kastransacties zijn qua fraudegevoeligheid van dergelijke aard dat de Kas-post toch als significant beschouwd moet worden. Hetzelfde kan het geval zijn voor salarissen en/of onkosten van de directie. Missers in dat verband kunnen een negatieve impact hebben op de voorbeeldfunctie van de directie en bij het bekend worden van eventueel misbruik zelfs op het bedrijfsimago Sox 404- projectaanpak inzicht verkrijgen in en beoordelen van de internal controls over financial reporting Om tot de vereiste Sox 404 verklaring te komen moeten de internal controls over financial reporting binnen de onderneming inzichtelijk gemaakt worden en beoordeeld worden. Dit vereist een projectaanpak die minimaal acht activiteiten zal omvatten (zie figuur 3).

11 Van financial reporting control naar organisatiebrede control en B I. Algehele strategie en aanpak. II. Omschrijven van Internal Control binnen de onderneming ten behoeve van de afbakening en begripsvorming voor alle betrokkenen. III. Samenstellen van een projectteam voor de beoordeling van de Internal Controls. IV. Risicoanalyse c.q. selectie en planning voor de evaluatie van Internal Controls over Financial Reporting (de hoofdlijnen hiervan zijn reeds beschreven in subparagraaf 3.1.1). V. Beoordelen van de internal controls voor de entiteit in zijn geheel, waaronder de algehele, bedrijfsoverspannende beheersingskaders en processen. VI. Evalueren van de internal controls op proces-, transactieof applicatieniveau. VII. Evalueer de algehele control effectiviteit voor de onderneming, identificeer verbeterpunten en breng een monitoringsysteem tot stand. Figuur 3. Sox 404 projectaanpak De meeste van deze activiteiten spreken voor zich en behoeven geen verdere toelichting, maar de activiteiten I, IV en V zijn van belang voor de verdere uitwerking van deze bijdrage. Daarom worden deze hieronder meer in detail toegelicht. Detailuitwerking activiteit I Algehele strategie en aanpak Al vanaf de aanvang is het van groot belang om de reikwijdte van het project zorgvuldig af te wegen en af te bakenen om tot een goede projectopzet te komen. Tijdens dit beslissingsproces kunnen de volgende vragen behulpzaam zijn voor het bepalen van de reikwijdte en projectomvang en -aanpak: Hoe staat het met de risico- en control bewustheid binnen de organisatie? Vinden de significante bedrijfsactiviteiten centraal of decentraal plaats? Hoeveel en welke business units, industrie- of marktsegmenten zijn er? Zijn er internationale activiteiten? Hoe vergelijkbaar zijn de onderkende bedrijfsonderdelen? Bijvoorbeeld welke verschillende procedures en processen inzake financiële administratie en verslaggeving worden gebruikt bij die onderdelen? Wat is de mate van handmatige of geautomatiseerde verwerking in de administratie en financiële processen? Welke legacy IT-systemen en andere systemen zijn er? Is recent een ERP-systeem geïmplementeerd?

12 B Van financial reporting control naar organisatiebrede control en Welke definitie en welk niveau van materialiteit hanteert de externe accountant? Wordt reeds gebruik gemaakt van Control Self Assessment (d.i. een frequent gebruikte methode voor zelfevaluatie van de internal controls)? Het beantwoorden van voorgaande vragen moet leiden tot een algehele aanpak waar ook de resultaten van de vervolgactiviteiten II tot en met IV een integraal onderdeel van zullen uitmaken. Ten slotte blijkt in praktijk dat een keuze gemaakt zal moeten worden voor een (1) centrale of (2) decentrale aanpak: (1) Centrale projectaanpak Hierbij wordt de evaluatie door het centrale projectteam uitgevoerd. Lokaal management en proceseigenaars geven input aan dit team. Het centrale projectteam is verantwoordelijk voor het beoordelen en remediëren van zwakke plekken in de controls. Het projectteam is verantwoordelijk voor de algehele projectvoortgang. (2) Decentrale projectaanpak Deze aanpak omvat een zelfevaluatie door proceseigenaren, met input en begeleiding van het centrale projectteam. Lokaal management en proceseigenaars spelen een actieve rol in het voltooien van de zelfevaluatie. Het lokale management en de proceseigenaars zijn verantwoordelijk voor het beoordelen en remediëren van zwakke plekken in de controls, evenals voor de algehele projectvoortgang. De zelfevaluatie van alle entiteiten wordt ten slotte geaggregeerd tot op het hoogste niveau van de onderneming. Detailuitwerking activiteit IV Risicoanalyse c.q. planning voor de evaluatie van internal controls over financial reporting Bepaal de materialiteit op niveau van de jaarrekening en individuele jaarrekeningpost niveau Materialiteit geeft de omvang van een fout of onnauwkeurigheid in de jaarrekening aan waardoor, als die zich voordoet, een redelijke persoon waarschijnlijk tot andere beslissingen zou komen. Het bepalen van de materialiteit is belangrijk om vast te kunnen stellen wanneer sprake is van een materiële zwakke plek in de internal controls. Een materiële zwakke plek in de internal controls is een significante tekortkoming in het ontwerp of de werking van een of meer controls die kan leiden tot materiële onnauwkeurigheden in de cijfers van het financieel verslag (veroorzaakt door fouten of door fraude), én die daardoor bovendien niet voorkomen of ontdekt worden.

13 Van financial reporting control naar organisatiebrede control en B De materialiteit op het niveau van de jaarrekeningpost moet voldoende laag zijn om ervoor te zorgen dat significante tekortkomingen van de interne beheersing geïdentificeerd worden. Een significante tekortkoming kan afbreuk doen aan het initiëren, vastleggen, verwerken en rapporteren van financiële gegevens conform de veronderstellingen van de bedrijfsleiding ten aanzien van de jaarrekening. Externe accountants beschouwen materialiteit op twee niveaus: op een hoger niveau de planningsmaterialiteit, voor de jaarrekening in zijn geheel (bijvoorbeeld 5% van het nettoresultaat voor belastingen of 5% van het eigen vermogen); en op een lager niveau de toelaatbare fout, voor de individuele post of groep van jaarrekeningposten. Zo is bijvoorbeeld de post Voorraden en dus de bijbehorende transacties en processen meestal significant voor een productiebedrijf omdat Voorraden een groot percentage omvat van de totale activa. Identificeer de belangrijkste financiële en operationele risicogebieden Een onderneming doet er verstandig aan om niet alleen kwantitatieve, maar ook kwalitatieve normen vast te stellen op het niveau van de individuele post of rapporteringseenheid. Bepaalde transacties kunnen bijvoorbeeld niet financieel materieel zijn, maar toch een significante impact hebben op bijvoorbeeld het bedrijfsimago. Na het bepalen van de materialiteit op de jaarrekening en op post niveau, zou de onderneming dan ook een analyse moeten maken van alle andere bekende risicogebieden die kunnen leiden tot significante fouten. Daarbij zou gebruik gemaakt kunnen worden van de volgende informatiebronnen voor het identificeren van bijvoorbeeld financiële en operationele risico s: internal audit rapportages; aanbevelingen van de externe accountant uit het verleden; knelpunten die besproken zijn tijdens bestuursvergaderingen of andere interne overlegplatformen die van belang kunnen zijn. De posten in het financieel verslag die worden beïnvloed door dergelijke financiële en/of operationele risicogebieden, worden toegevoegd aan de lijst met significante posten. Identificeer significante jaarrekeningposten (accounts) of rapportage-elementen Om de processen die significant zijn voor de jaarrekening te bepalen, dienen eerst de significante jaarrekeningposten bepaald te worden. Een post of een groep posten is als significant aan te merken als zich fouten kunnen voordoen die van materieel belang zijn of als er een belangrijke samenhang is met bepaalde ondernemings- en/of jaarrekeningrisico s.

14 B Van financial reporting control naar organisatiebrede control en Daarbij zal op de eerste plaats de materialiteit worden toegepast op de posten van de jaarrekening. Posten en/of groepen van jaarrekeningposten met totaalsaldi die ongeveer gelijk of groter zijn dan de toelaatbare fout, zijn waarschijnlijk significant. De materialiteit van het totaalsaldo van een post is echter niet de enige factor die van belang is bij het bepalen van de significante posten. Andere belangrijke risicofactoren bij het bepalen van een significante post of groep van posten zijn: omvang en samenstelling van de financiële post en de individuele transacties die verwerkt worden voor die post, waaronder ook de gevoeligheid voor diefstal of fraude; de mate van subjectiviteit bij het bepalen van het saldo (dat wil zeggen de mate waarin dit afhankelijk is van menselijk oordeel of inschatting); de aard van de post (bijvoorbeeld tussenrekeningen vereisen over het algemeen meer aandacht); bijzondere boekhoud- en rapportageprincipes voor de betreffende post (account); het bestaan van transacties met verbonden partijen. Onderverdelen van significante posten in verschillende risicoprofielen Na het identificeren van de significante posten op het niveau van het geconsolideerde financiële rapport, is het raadzaam om de verschillende onderdelen van een post of groep van posten onder te verdelen naargelang hun verschillende risico s (en dus verschillende controls). Zo houdt de voorziening dubieuze debiteuren bijvoorbeeld een andere mate van risico in dan de post debiteuren. Associeer getrouwheidsaspecten van de jaarrekening (financial statement assertions) met elke significante post Vervolgens worden aan elke post of groep posten, getrouwheidskenmerken inzake de jaarrekening toegekend. Deze getrouwheidskenmerken vergemakkelijken het identificeren van Wat kan er fout gaan? of specifieke risico s bij de verschillende soorten transacties en aanverwante processen die de financiële posten voeden. Getrouwheidskenmerken omvatten impliciete of expliciete veronderstellingen van het management over de kwaliteit van het financiële verslag (bestaan, tijdigheid, waardering, juistheid, volledigheid, rechten en verplichtingen, presentatie en toelichting). Bijvoorbeeld of alle verkopen daadwerkelijk echt zijn (bestaan), of alle kosten terecht en correct zijn (juistheid), en dergelijke. Identificeer de belangrijkste soorten transacties en aanverwante processen die de significante posten beïnvloeden Het is nu noodzakelijk om de belangrijkste gelijksoortige transacties en aanverwante processen die de significante jaarreke-

15 Van financial reporting control naar organisatiebrede control en B ningposten beïnvloeden, te identificeren. Gelijksoortige transacties zijn gelijksoortige gegevens, informatie of details van posten binnen de gegevensverwerkende of andere processen van een onderneming. Transacties kunnen worden onderverdeeld in routinematige en niet-routinematige transacties en schattingsactiviteiten. Bijvoorbeeld, bij de inkoopcyclus wordt gekeken tot op transactieniveau en onderzocht hoe een inkooporder geïnitieerd, goedgekeurd, verwerkt en vastgelegd wordt om zo de potentiële risico s te identificeren. Een aparte plaats neemt het proces van totstandkoming van de jaarrekening in. Dit is het proces waarin de resultaten van diverse transacties worden samengevat, beoordeeld, geconsolideerd, bewerkt en samengevoegd tot bijvoorbeeld een jaarrekening. Het proces omvat het afsluiten van het grootboek en het opstellen van de proef- en saldibalans en eventuele consolidatiecorrecties, het cumuleren en verwerken van journaalposten, en het opstellen van de (concept)jaarrekening, de toelichtingen en het directieverslag. Bepaal het verband tussen de processen/transactiestromen en de significante posten Vervolgens worden de verbanden tussen de significante jaarrekeningposten en de belangrijkste transactiestromen en aanverwante processen vastgesteld. De resultaten hiervan zijn eenvoudig weer te geven in een zogenaamde account mapping (figuur 4). Aan de bovenkant worden alle significante jaarrekeningposten opgesomd. Aan de linkerkant worden de significante processen evenals het type transactie (routine, niet-routine, schatting) onder elkaar gezet. Elk kruisje geeft aan dat de betreffende post bovenaan gevoed wordt door (een transactie vanuit) het betreffende proces aan de linkerkant. Bepalen van eventuele materiële rapportage-eenheden of locaties en de globale diepgang per onderdeel Voor ondernemingen met meerdere vestigingen en/of rapporteringseenheden dient een werkwijze ontwikkeld te worden om de significante tekortkomingen door alle locaties heen te kunnen identificeren. Daarbij dient de diepgang voor de significante onderdelen bepaald te worden. Enkele belangrijke factoren bij het bepalen van de diepgang per locatie zijn: de vergelijkbaarheid van de operationele bedrijfsactiviteiten en de internal controls op de diverse locaties en rapportageeenheden; de mate van centralisatie van gegevens; de effectiviteit van de controlomgeving, vooral de directe controls die het management uitoefent over gedelegeerde bevoegdheden;

16 B Van financial reporting control naar organisatiebrede control en Figuur 4. Account mapping tussen de significante posten uit de jaarrekening en significante processen, overgenomen uit een Engelstalige werkaanpak

17 Van financial reporting control naar organisatiebrede control en B de aard en de omvang van de uitgevoerde transacties en de bijbehorende bedrijfsmiddelen (c.q. bedrijfsactiva) in de diverse locaties en rapportage-eenheden; de aard en reikwijdte van de monitoring over de verschillende locaties. Daarbij wordt voor de geselecteerde bedrijfsonderdelen de aanpak, diepgang en algehele inspanning bepaald. Aan de hand van onderdelen met uitgebreide diepgang kan een internal control vragenlijst opgesteld worden met de cruciale controls die daar vastgesteld werden. De onderdelen met beperkte diepgang kunnen deze vragenlijst dan beantwoorden en op die manier tot een soort van benchmark komen. Detailuitwerking activiteit V - Beoordelen van de internal controls op het transactie-, proces- en/of applicatieniveau Deze activiteit kost de meeste tijd, maar levert ook het meeste inzicht op in de transactiestromen en processen die een significante impact hebben op het financiële verslag. De basis is de account mapping die eerder tot stand is gekomen. Het doel is om inzicht te verkrijgen in de transactiestromen en/of processen die de eerder vastgestelde significante posten beïnvloeden. De daarin inherent aanwezige risico s en de internal controls voor het mitigeren ervan worden geïnventariseerd en beoordeeld. Dit alles wordt expliciet gemaakt door een en ander te documenteren. Voor elk significant proces worden daartoe in de transactiestroom punten geïdentificeerd waarbij informatie wordt geïnitieerd, overgedragen of veranderd. Op deze punten worden de onjuistheden oftewel de onopzettelijke fouten ten aanzien van de eerder genoemde managementbeweringen geïdentificeerd. Dit wordt gedaan met behulp van de vraag Wat kan er fout gaan? met het oog op de significante posten in het financiële verslag. Vervolgens wordt vastgesteld welke controls dit voorkomen of detecteren. Ter illustratie zijn in figuur 5 voorbeeldvragen en controls opgenomen voor het subproces Beheersen van dubieuze debiteuren. Dergelijke basisvragen kunnen geformuleerd worden voor de risico s en controls voor elk belangrijk hoofdproces om inzicht te verkrijgen in relatie tot de financiële verslaggeving. Aan de linkerkant van de figuur worden de vragen weergegeven, bovenaan de internal controls; door middel van een D (detectief) of P (preventief) wordt aangegeven of de control resulteert in het ontdekken (D) of het voorkomen (P) van het risico.

18 B Van financial reporting control naar organisatiebrede control en Voorbeeld V-1 Subproces Beheersen van dubieuze debiteuren Consider "What Can Go Wrong" Questions and Identify Controls Example Controls (P-Prevent; D-Detect) Assertion What ensures that bad debt provisions and allowances Completeness are correctly calculated and recorded? Measurement/Valuation D D P What ensures that assumptions for bad debts are correct? Measurement/Valuation D P P What ensures that bad debt calculations are based on accurate aging/underlying data? Measurement/Valuation P D P What ensures that key factors affecting the bad debts estimate are identified? Measurement/Valuation D P P Accounts receivable aging programs are tested and benchmarked. Accounts receivable allowance is retrospectively reviewed. Accounts receivable aging/subledger is reconciled to the general ledger. Assumptions for bad debt calculations are reviewed. Bad debt calculation is reviewed and compared to prior year / budget. Management monitors problem payors. Support for nonstandard journal entries is reviewed. System ages accounts receivable invoices correctly. Figuur 5. Voorbeelden van Wat kan er fout gaan? -vragen en internal controls, overgenomen uit een Engelstalige werkaanpak De beoordeling wordt vervolgens vervolledigd door: het beoordelen van de opzet van de eerder vastgestelde internal controls (het ontwerp); het testen of de controls daadwerkelijk bestaan (door bijvoorbeeld één transactie te volgen, dit wordt ook wel een lijncontrole of walkthrough van het proces genoemd); het uitgebreid testen van de werking van alle belangrijkste controls; het implementeren van verbeterplannen voor significante zwakke plekken in de controls; follow-up tests uitvoeren van de doorgevoerde verbeteringen; concluderen over de algehele effectiviteit van alle internal controls. 3.2 Samenvatting Voorgaande paragrafen beschrijven een selectie van enkele relevante onderdelen uit de Sarbanes-Oxley 404-methode. De beschreven methode is grotendeels gebaseerd op risico s en de aanwezige interne beheersingsmaatregelen om die risico s te mitigeren.

19 Van financial reporting control naar organisatiebrede control en B De kernpunten van deze methode zijn: 1. Doel: de jaarlijkse beoordeling door het management (de CEO en CFO) van de internal controls over de financiële verslaggeving binnen de onderneming; 2. Object van onderzoek: alle significante posten en de transactiestromen en significante processen die tot cijfermatige wijzigingen leiden die invloed hebben op deze posten of groepen van posten; 3. Inhoudelijke reikwijdte: de risico s inzake de getrouwheid van de (externe) financiële verslaggeving en de internal controls om dit te beheersen; 4. Methode: een risicoanalyse van de significante financiële posten, het documenteren van de belangrijkste transactiestromen en significante processen, en het beoordelen van de internal controls van de daarin aanwezige risico s; 5. Resultaat: het voornaamste eindproduct van deze exercitie is expliciet inzicht in de effectiviteit van de internal controls en in de mogelijkheden voor het remediëren van zwakke plekken, die kunnen leiden tot materiële fouten in de financiële verslaggeving. Uit voorgaande mag duidelijk zijn dat Sectie 404 van Sarbanes- Oxley inzake control over financial reporting een perfecte hefboom biedt om het risk management systeem van een bedrijf te verbeteren. Aangepaste onderdelen van de Sarbanes-Oxley 404-risicoaanpak kunnen als startpunt dienen voor de organisatiebrede risicoanalyse en control. In het volgende onderdeel wordt deze aanpak dan ook uitgebreid naar meer risico s dan alleen die met betrekking tot de financiële verslaggeving. 4 Uitbreiding naar andere risicosoorten en internal controls Praktijkervaringen met de Sox-aanpak zoals hiervoor beschreven, leren dat tijdens het doorlopen van dit proces ook andere risico s en controls inzichtelijk worden die buiten de eigenlijke reikwijdte van financial reporting risico s vallen. Met andere woorden: in een Sox 404-traject ligt een aantal voordeelpunten binnen handbereik om de brug te slaan naar uitgebreidere ondernemingsrisico s en bijbehorende internal controls. Dit kunnen bijvoorbeeld financiële risico s in brede zin zijn, maar ook opera-

20 B Van financial reporting control naar organisatiebrede control en tionele risico s, nalevingsrisico s en dergelijke. Hieronder worden in het kort enkele handvatten aangegeven om deze brug te slaan. 4.1 Van control over financial reporting naar organisatiebrede control De financiële verslaggeving geeft een beeld van de gerealiseerde performance van de onderneming. De inspanningen van Sarbanes-Oxley 404 richten zich met name op de getrouwheid van deze financiële verslaggeving, maar een onderneming wil voornamelijk deze performance herhalen en zelfs verbeteren. Succesvolle ondernemingen hebben dus vooral baat bij een evenwichtige aanpak van zowel financiële risico s in bredere zin, nietfinanciële risico s, en operationele risico s, als in financiële rapportagerisico s. Voorbeeld Tijdens het documenteren van risico s en controls in het verkoopproces in een Sox 404 traject zijn vooral risico s relevant met het oog op de getrouwheid van de financiële verslaggeving: Figuur 6. Voorbeelden van Wat kan er fout gaan? -vragen en internal controls inzake de financiële verslaggeving, overgenomen uit een Engelstalige werkaanpak In de praktijk blijkt het dan lastig om voor de beheersing van een proces alleen deze financiële risico s voor de financiële verslaggeving te documenteren. Als antwoord op de vraag Wat kan er fout gaan? tijdens zo n traject, zullen veel lijnverantwoordelijken bijvoorbeeld vaak operationele risico s of financiële risico s in brede