Verantwoording en Assurance inzake In Control

Transcriptie

1 Verantwoording en Assurance inzake In Control In het verleden behaalde resultaten bieden geen garantie voor de toekomst Jan G.C.M. Buné RA, Commissaris/Toezichthouder Wim T. Eysink RA CIA, Partner Deloitte Risk Advisory 1. Inleiding Het In Control Statement (ICS) beoogt tegemoet te komen aan de behoefte van enerzijds het management om expliciet aan te geven dat de organisatie in control is op de in het ICS beschreven aspecten, anderzijds is er behoefte bij de stakeholders van een organisatie (variërend van opdrachtgevers, aandeelhouders tot maatschappelijk verkeer) om duidelijk en betrouwbaar geïnformeerd te worden over de mate waarin een organisatie in control is. Nu is het begrip in control niet eenvoudig te definiëren en is de reikwijdte van een ICS veelal ook niet eenduidig gedefinieerd. Hierdoor is het niet altijd helder wat nu concreet de strekking is van een ICS. Het definiëren van de reikwijdte van een ICS is maatwerk. Er is geen standaard template voor de formulering van een op te stellen ICS en dat levert voor de opsteller en de assurance provider een zekere complicatie op. Dit betekent tevens dat belanghebbenden bij een ICS heel goed moeten begrijpen waarop de uitspraak van de organisatie concreet betrekking heeft. Het toevoegen van assurance door een accountant aan de het ICS is evenwel een belangrijke versterking van de betekenis en bruikbaarheid van een afgegeven ICS. In deze bijdrage aan het Handboek Accountancy willen wij ons licht laten schijnen op de ontwikkelingen in de tijd en de maatschappelijke betekenis van een ICS en wat de rol kan zijn van de de internal auditor, de externe accountant en de externe IT auditor. Wij hebben dit artikel als volgt opgebouwd: Paragraaf 2 Van no issues naar knowing your issues Paragraaf 3 Business model versus Governance model. Paragraaf 4 De ontwikkeling van verantwoording en assurance inzake In Control Paragraaf 5 Uiteenlopende verwachtingen van de gebruikers van het ICS Paragraaf 6 De rol van de internal auditor, de externe accountant en de externe IT auditor Paragraaf 7 Resumerend 2. Van No Issues naar Knowing your Issues Historisch gezien was de focus van een in control statement gericht op het proces voor de totstandkoming van de financiële verantwoording. Was dit proces op een zodanige wijze ingericht dat alle feiten tijdig, volledig en juist werden verwerkt in de financiële verantwoording? Dus niet alleen de vraag of de financiële verantwoording correct was (de output), maar was het proces zodanig ingericht dat alle feiten tijdig, juist en volledig werden verwerkt, (de throughput ). Dit vraagt 1

2 om een systeem van checks and balances dat waarborgt dat alle feiten worden verwerkt in de financiële verantwoording. De reikwijdte van het ICS was daarmee relatief beperkt. Het ging hier dus om feiten die een financiële impact hadden. Niet of deze financiële impact had kunnen worden voorkomen. Als voorbeeld: De hoogte van de debiteurenvoorziening is hierbij de doelstelling, niet of de oninbaarheid had kunnen worden voorkomen, maar alleen het correct rapporteren van de voorziening. Of de bedrijfsactiviteiten operationeel goed verlopen is vanuit deze optiek minder relevant, de voorziening was nodig en is geboekt. Een correct proces, met een onwenselijke uitkomst. De vraag is of deze wijze van in control voldoende is voor de stakeholder. De vraag komt hierbij op of we een dusdanig breed en vergaand systeem kunnen ontwikkelen waarmee de operationele risico s tijdig en volledig worden onderkend en schade wordt voorkomen, dan wel, dat eventuele omissies direct worden gedetecteerd en adequaat worden opgepakt. We zijn hiermee in control over onze issues en reageren hier snel en alert op. Let wel, het proces van verwerken van feiten mag dus geen deficiënties kennen. We moeten er op kunnen vertrouwen dat alle feiten worden opgepakt en verwerkt. Maar kunnen we überhaupt alle effecten van de (nieuwe) feiten onderkennen? Er zullen altijd nieuwe issues in een organisatie spelen. Deze benadering van in control vraagt meer transparantie en biedt ruimte om ook in te gaan op risico s en onzekerheden die niet kunnen worden voorkomen of die de organisatie niet wil afdekken. Het oppakken van de echte, relevante risico s en het terugbrengen van de gevolgen tot een acceptabel niveau is de kern. Dit laatste wordt ook wel aangeduid als de risk appetite of risicotolerantie van de organisatie. Dit sluit ook aan met het concept van de reasonable assurance zoals dit door COSO wordt gehanteerd. In het Internal Control Framework van COSO 1 wordt Internal Control als volgt gedefinieerd: Internal control is a process, effected by an entity s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting and compliance. Bij de vraag of een organisatie in control is, is het essentieel om te begrijpen wat de reikwijdte is van een dergelijke uitspraak en of de uitspraak betrekking heeft op een bepaalde periode of een specifiek moment en in welke mate de verklaring ook betrekking heeft op de toekomst. Bovendien is het daarbij van belang dat men begrijpt welke risicotolerantie de organisatie aanvaardbaar acht bij het verstrekken van reasonable assurance over de effectiviteit van de opzet en werking van de interne beheersingsmaatregelen 2. In control issues spelen op verschillende niveaus: strategisch, operationeel, rapportering c.q. financiële verslaggeving en naleving van wet- en regelgeving (compliance). De vraag is of het management volledig in control kan zijn als het gaat om de bovengenoemde risicogebieden. De praktijk leert dat dit in redelijkheid niet het geval kan en zal zijn 3. Wel kan het management zorgdragen voor de implementatie en borging van een adequaat interne controle systeem op basis van een weloverwogen beoordeling van de risk appetite van de organisatie. Voor de inrichting van een intern beheersingssysteem bestaan verschillende standaarden c.q. raamwerken. Wij noemen: COSO/COSO ERM, COBIT (Information and Related Technology) en ISO 1 Updated COSO Internal Control Framework, Paape, Inaugurele Rede, Van Grinsven, Implementatie van een In Control Statement,

3 27002 (informatiebeveiliging). 3. Business model versus Governance model De Nederlandse Corporate Governance Code stelt in best practice bepaling II.1.4 dat de vennootschap in haar jaarverslag een beschrijving opneemt van de voornaamste risico s waarmee zij in aanraking komt bij de uitvoering van haar strategie: strategische en operationele risico s, financiële risico s, wet- en regelgevingsrisico s en financiële verslaggevingsrisico s. In de beschrijving van de risico s besteedt de vennootschap tevens aandacht aan haar risicoprofiel: de houding ten opzichte van de genoemde risico s (risk appetite) en, voor zover mogelijk, de gevoeligheid van de vennootschap voor de impact van de risico s. Een kwantificering van de beschreven risico s kan onder omstandigheden een positief effect hebben op de informatieve waarde van de beschrijving. Op grond van best practice bepaling II.1.5 verklaart het bestuur in het jaarverslag ten aanzien van de financiële verslaggevingsrisico s dat de interne risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt. 4 Wij stellen de vraag of de scope van de interne beheersing zou moeten worden verbreed van het bestuur en de operationele organisatie naar het gehele spectrum van de interne organisatie: de interne toezichthouders (RvC/RvT), het bestuur en de operationele organisatie. De stakeholders hechten grote waarde aan de toezichthoudende rol van de interne toezichthouders, hetzij in een two-tier systeem (als commissaris of toezichthouder), hetzij in een one-tier systeem (als nietuitvoerend bestuurder). Onze voorkeur gaat uit naar een meer holistische insteek op het vraagstuk van de interne beheersing. Dat betekent dat de kwaliteit en effectiviteit van de interne governance een wezenlijk onderdeel is van de totale beheersing van risico s en daarmee van de mate van in control. Andere redenen om een meer holistische aanpak te kiezen zijn tweeledig: Op de eerste plaats moet de onderneming risico s nemen om geld te verdienen. Welke strategie wordt daarvoor gevolgd, welk operationeel model is daarvoor gekozen en wat zijn de kenmerken en risico s van het verdienmodel? Dit is in essentie de vraag met betrekking tot de risk appetite. Juist deze risico s kunnen een impact hebben op de continuïteit op langere termijn. Op de tweede plaats geldt dat elke strategie en elk operating model andere eisen stelt aan de inrichting van het interne beheersingskader. Is er sprake van een financiële holding (met de nodige decentrale vrijheid) dan zal er een ander beheersingskader zijn dan bij een strak centraal geleide corporate waarbij decentraal nagenoeg geen vrijheid en beslisruimte aanwezig is. Een strategie met een hoog risicogehalte vereist een sterk intern beheersingskader. Heeft de organisatie een correcte vertaling gemaakt van het operating model, naar een adequaat beheersingskader, het governance model? In het spectrum van enerzijds een financiële holding en anderzijds een global corporate zijn overigens diverse tussenvormen te onderkennen. De keuze voor het operating model is primair voorbehouden aan het top management. Op welke wijze kan het top management, met de meeste kans op succes, het operationele proces invullen? Welke structuur is meest geëigend? Is dit een financiële holding, of, aan de andere kant van het spectrum, een global corporate? 4 Commissie Frijns, geactualiseerde Corporate Governance Code,

4 Voor het in control zijn, is van belang dat bij de inrichting van het bedrijfsmodel en juiste governance model wordt gekozen. Hebben we het juiste interne beheersingsmaatregelen ingezet? Veelal zal dit zich concentreren rondom zogenaamde de entity level controls waarbij te denken valt aan: 1. Hoe is het toezicht georganiseerd op de dochterondernemingen? 2. Hoe zijn de interne rollen en verantwoordelijkheden uitgewerkt, vooral de invulling van functionele (finance & control) rollen en mandaten van de 2 e lijn? 3. Het gebruik maken van kaders in de policies & procedures, 4. Het gebruik maken van minimum control standaarden in de onderliggende systemen 5. Het aanwezig zijn en de rol en betekenis van een internal audit functie. 6. De tone at the top en de cultuur. Het three lines of defence principe wordt daarbij vaak gebruikt als referentiekader: De 1st line of defence wordt gevormd door de lijnorganisatie in de kernprocessen en de door hen te volgen procedures op het vlak van interne controle en risicobeheersing. De 2nd line of defence wordt gevormd door de compliance en risk functies die toezicht houden op de effectiviteit waarmee de 1st line of defence de interne beheersingsmaatregelen toepast. De 3rd line of defence wordt gevormd door een onafhankelijke toetsing door de internal audit functie van de organisatie van de effectiviteit waarmee de 1st en 2nd line of defence functioneren en daarover rapporteren aan het management en de interne toezichthouders. 4. De ontwikkeling van verantwoording en assurance inzake In Control Als we naar de ontwikkeling rondom de codes en de regelgeving kijken, dan zien we een duidelijke trend zoals hieronder beschreven. Enerzijds invulling van het in control zijn rondom de cruciale financiële verantwoordingprocessen en anderzijds een steeds bredere invulling van de cruciale continuïteitsrisico s. Het zijn vooral de strategische en operationele risico s die de continuïteit van de onderneming kunnen bedreigen. Dit is niet nieuw, reeds door de Commissie Peters 5, de eerste commissie corporate governance in Nederland, is gewezen op het belang dat de commissarissen periodiek de strategie en de daaraan verbonden risico s bespreken met de leiding van de organisatie. Het belang van deze risico s werd onderkend. De wijze waarop dit moest gebeuren, en de verantwoording, was wellicht te vrijblijvend. Als we nu de laatste ontwikkelingen in de UK 6 bezien, dan moet er concreter, gedetailleerder, maar ook meer holistisch en explicieter over worden gerapporteerd. Een duidelijk voorbeeld van het feit dat algemeen richtinggevende codes, meer en meer worden toegespitst. In historisch perspectief zien we een duidelijke ontwikkeling van een focus op de financiële verantwoording (SOX) de financiële (en compliance) risico s naar een focus op de operationele processen bij voornamelijk services organisaties (ISAE 3402), met recentelijk de extra aandacht via Eumedion, maar ook vanuit de FRC in de UK voor de fundamentele, langere termijn (strategisch & operationele) risico s waar de organisatie mee wordt geconfronteerd. 5 Commissie Peters, De Veertig Aanbevelingen, FRC, UK Corporate Governance Code,

5 Samenvattend kunnen we vanuit dit perspectief de volgende risicogebieden onderkennen, in lijn met COSO: Strategische risico s - doen we als leiding de goede dingen, nemen we de juiste beslissingen en welke risico s zijn hieraan verbonden? Operationele risico s - doen we de dingen goed, van zowel de vertaling van de besluiten naar implementaties, als over de risico s verbonden aan de reguliere bedrijfsvoering Financiële risico s, zowel verbonden financiële impact financiële instrumenten als aan het hebben van de juiste, tijdige en betrouwbare financiële informatie. Compliance risico s, de risico s verbonden aan het potentieel niet voldoen aan wet & regelgeving. De laatste twee elementen, financiële verantwoording en compliance, kunnen worden gezien als basale hygiëne die organisaties op orde moeten hebben. De echte discussie zou moeten gaan over de strategische en operationele risico s. Welke risico s moeten we bewust nemen om profijtelijk te kunnen zijn en hoe gaan we hiermee om als organisatie? Welke processen hebben we hiervoor binnen de organisatie? In de volgende paragrafen willen wij een trend schetsen waarbij we als basis de SOX regelgeving (404 en 302) nemen die rond 2002 een majeure impact had en de nadruk legde op de kwaliteit van betrouwbare verslaglegging en de interne controlemaatregelen rond financiële verantwoording. We zien vervolgens een uitbreiding van de focus naar de operationele processen, vooral bij service organisaties, in de ISAE3402 regelgeving. We willen afsluiten met de recente wisseling in de governance code in de UK waar de meer holistische langere termijn benadering is voorgeschreven. Sarbanes Oxley Act Het ICS heeft een sterke ontwikkeling doorgemaakt ten tijde van de totstandkoming van de Sarbanes Oxley (SOX) Act in 2002, alsmede de opkomst van Corporate Governance Codes, mede in reactie op de financiële debacles in het bedrijfsleven en de publieke sector. De onderliggende problemen vormden (en zijn wellicht nog steeds) in hoge mate de drijfveren voor het aanscherpen van de eisen om meer zekerheid te verkrijgen dat er geen onaangename verrassingen kunnen optreden. Het COSO Internal Control Framework is in 1992 gepubliceerd door de Committee of Sponsoring Organizations of the Treadway Commission (COSO). De SOX Act stelde als eis dat in de US beursgenoteerde ondernemingen moeten aangeven welk raamwerk is gehanteerd voor de inrichting en beoordeling van het interne beheersingssysteem. Het COSO model is daarbij als best practice naar voren gekomen. Dit betekende een enorme versnelling in de het (mondiale) gebruik van het COSO model als referentiekader voor de opzet en werking van interne beheersingssystemen. Twee secties uit de SOX Act zijn het meest ingrijpend: Sectie 302 vereist dat in ieder statutaire rapportage (kwartaal en/of jaar) een statement wordt opgenomen waarin: o de signing officers (CEO en/of CFO) verklaren: dat zij de statutaire rapportage hebben beoordeeld, dat de statutaire rapportage geen onjuiste informatie of omissies van materiële betekenis bevat en daardoor niet misleidend is, dat de statutaire rapportage in materieel opzicht juist en volledig is en een getrouwe weergave vormt van de resultaten en de financiële positie van de onderneming, 5

6 o o o de signing officers verantwoordelijkheid nemen voor: het inrichten en handhaven van een adequaat intern controle systeem; het opzetten van een interne controle systeem waarmee voldoende zekerheid wordt verkregen omtrent de financiële gang van zaken van de onderneming en de met de onderneming verbonden dochtermaatschappijen (disclosure controls & procedures); het evalueren van de effectiviteit van de interne controles gericht op de financiële verslaggeving in een periode van 90 dagen voorafgaande aan de rapporteringsdatum; hun conclusie omtrent de effectiviteit van het interne controle stelsel gericht op de financiële verslaggeving, de signing officers verantwoordelijkheid nemen voor: het rapporteren aan de Audit Commissie en de externe accountant van alle wezenlijke tekortkomingen in de opzet en/of werking van het systeem van interne beheersing gericht op de financiële verslaggeving, inclusief eventuele materieel van belang zijnde zwakke punten (material weaknesses); het rapporteren aan de Audit Commissie en de externe accountant van alle fraudes waarbij managers of werknemers van de onderneming betrokken zijn geweest, die een relevante positie bekleden in het stelsel van interne beheersing, ongeachte de omvang van de fraude, de signing officers aangegeven welke significante wijzigingen zich hebben voorgedaan in de interne controles na de beoordeling van de effectiviteit van het stelsel van interne controles en welke corrigerende maatregelen zijn getroffen ingeval van significante tekortkomingen en materiële zwakheden. Sectie 404 vereist dat jaarlijks in de statutaire rapportage: o door de signing officers een bevestiging wordt opgenomen, inhoudende dat: de signing officers de verantwoordelijkheid nemen voor de opzet en werking van een adequaat intern controle systeem gericht op de externe financiële verslaggeving, zowel v.w.b. de structuur als de processen; dat de signing officers de effectiviteit hebben getoetst van het interne controle systeem gericht op de externe financiële verslaggeving, waarbij melding wordt gemaakt van eventuele tekortkomingen; o door de externe accountant een bevestiging wordt afgegeven (als onderdeel van de reguliere controleverklaring op basis van de PCAOB Auditing Standard No. 5 7 ) omtrent de juistheid van de door het management afgegeven bevestiging ter zake van de opzet en werking van een adequaat intern controle systeem voor de financiële verslaggeving. De Amerikaans SOX wetgeving heeft een grote impact gehad op het bedrijfsleven en het accountantsberoep in de VS. Uiteraard op de eerste plaats voor de in Amerika beursgenoteerde vennootschappen, zowel de in de US gevestigde beursvennootschappen als de buitenlandse ondernemingen met een beursnotering in Amerika. Het heeft enerzijds geleid tot een zeer grote aandacht voor het identificeren en documenteren van de key controls in de kernprocessen en het interne controlesysteem rond de externe financiële verslaggeving, inclusief de toetsing van de werking en de effectiviteit van deze key controls en anderzijds de verantwoordelijkheid c.q. 7 PCAOB, Auditing Standard No. 5, alsmede PCAOB Release No

7 aansprakelijkheid van de bestuurders die een handtekening zetten onder de statutaire verslaggeving en de bestuurdersverklaring op grond van section 302. Daarnaast werd van de externe accountant op grond van section 404 vereist dat deze een formele bevestiging gaf van de juistheid van deze bestuurdersverklaring. In eerste instantie als afzonderlijke verklaring en later als onderdeel van de reguliere controleverklaring. De aandeelhouders en beleggers, en daarmee de beurskoers, reageerden in eerste instantie heftig op mededelingen door het management omtrent de aanwezigheid van significante lacunes en/of materiële zwakheden in het interne controlestelsel. In de jaren daarna namen deze heftige reacties wat af en werd deze openbaarmakingsvereiste meer geaccepteerd als onderdeel van de reguliere externe verslaggeving. Minstens zo belangrijk was de indirecte werking van de SOX wetgeving op de beursgenoteerde ondernemingen in de rest van de wereld. Enerzijds door incorporatie van het gedachtengoed van de SOX wetgeving in de lokale wetgeving en de verschillende corporate governance codes en anderzijds door de normatieve werking van de aandacht voor een adequate intern controlesysteem langs de lijn van de internationaal geaccepteerde COSO standaard. Van goed bestuur en intern toezicht mag worden verwacht dat men de interne beheersing zodanig inricht dan de onderneming in control is. Wanneer anders blijkt, zijn de reacties van aandeelhouders, beleggers en overige stakeholders veelal heftig. Wij merkten in hoofdstuk 3 op dat op grond van de Nederlandse corporate governance code de in Nederland beursgenoteerde ondernemingen een bestuurdersverklaring (Management Control Statement) in het jaarverslag moeten opnemen waarin een bevestiging gegeven van de kwaliteit van het interne controlesysteem gericht op de financiële verslaggeving door de vennootschap. In tegenstelling tot de VS hoeft in Nederland de externe accountant geen bevestiging omtrent de juistheid van deze bestuurdersverklaring af te geven. Dit is een markant verschil met de Amerikaanse situatie en daarmee was de impact minder groot dan in de VS. Interessant is om te zien dat naast deze formele kaders ook een sterke ontwikkeling heeft plaats gevonden van uiteenlopende vormen waarmee inzicht in en zekerheid omtrent de effectiviteit van het stelsel van interne beheersing rondom de operationele processen wordt gegeven. Wij noemen: ISAE 3402 (IFAC) - Service Organization Controls (Internationaal) 8 o Type I opzet van de controls o Type II werking van de controls Service Organization Control (SOC) reporting framework (AICPA) o SOC 1 gericht op de controlemaatregelen rond de financiële rapporteringen (financial reporting controls) door de service organisatie en daarmee vooral relevant voor de externe accountant, belast met de controle van de jaarrekening van de opdrachtgever (in overeenstemming met SSAE 16) o SOC 2 gericht op de niet-financiële controlemaatregelen, zoals gedefinieerd in de Trust Service Principles and Criteria van de AICPA voor service organisaties, zoals beveiliging, beschikbaarheid, integriteit van de gegevensverwerking, vertrouwelijkheid en bescherming persoonsgegevens (in overeenstemming met AT 101) 9. Type I opzet van de controls 8 In Nederland door de NBA opgenomen in de NV COS 3402 en door NOREA als richtlijn AICPA, Attestation Standards, section 101 7

8 Type II werking van de controls o SOC 3 beschikbaar voor algemeen gebruik en vanwege het algemene karakter en de vrije distributie alleen gericht op een beschrijving van de werking van de interne beheersingsmaatregelen op hoofdlijnen (type II), in overeenstemming met AT 101. Control Objectives for Information and related Technology (COBIT), ISACA ISO/IEC 27001:2013, Information Security Management, ISO ISO/IEC 31000:2009, Risk Management, Principles and Guidelines, ISO De ISAE en de SOC rapportages worden vooral gebruikt door service organisaties, belast met het verzorgen van bedrijfsprocessen die aan deze service organisaties zijn uitbesteed. Wij noemen als voorbeelden: facturering, pensioenadministratie, voorbereiden pensioenbetalingen, deelnemersregistratie, vermogensbeheer, beleggingenadministratie en salarisverwerking. Naast een uitbestedingscontract met key performance indicatoren en de reguliere operationele en management rapportering, bestaat er veelal ook behoefte aan een beschrijving van de opzet en werking van het systeem van interne beheersing (inclusief eventuele uitbesteding aan derden van delen van het uitbestedingscontract) en de borging van de betrouwbaarheid en continuïteit van de gegevensverwerking. In de praktijk onderscheiden we drie varianten: SOC 1 financial controls, gericht op de externe accountant van de opdrachtgever SOC 2 non-financial controls, gericht op de opdrachtgever (type I en II) SOC 3 high level beschrijving van de werking van de controls, gericht op potentiële opdrachtgevers en algemeen gebruik Meer recent zien wij dat de scope van de SOC 2 rapporten wordt verbreed naar interne beheersingsmaatregelen bij toepassing van Cloud-oplossingen. De AICPA heeft in april 2014 een praktijkhandleiding gepubliceerd van een Type II SOC 2 rapport op basis van de Cloud Controls Matrix (CCM) van de Cloud Security Alliance (CSA) In 2012 publiceerde de ISACA organisatie het COBIT 5 Framework for the Governance and Management of enterprise IT. Dit framework biedt ondersteuning bij het inrichten van een effectief stelsel van interne beheersing rond IT en de IT organisatie. De International Organization for Standardization (ISO) heeft in de achterliggende jaren een groot aantal standaarden gepubliceerd op uiteenlopend terrein. Bekend zijn de ISO 9000 standaarden op het terrein van Quality Management, maar ISO heeft ook de standaarden en gepubliceerd op vlak van Information Security Management en Risk Management. Deze veelheid van standaarden bieden houvast als het gaat om de systematiek waarmee een stelsel van interne beheersing wordt ontworpen, geïmplementeerd en op een effectieve werking wordt getoetst. Daarmee leent het stelsel zich voor certificering door een externe deskundige, zulks ten behoeve van de eigen organisatie of (potentiële) opdrachtgevers. UK Corporate Governance Code Binnen de corporate governance code van de UK zijn recentelijke nieuwe ontwikkelingen rondom het risico management en internal control te onderkennen welke de ontwikkelingen van het ICS in bredere, meer holistische zin onderschrijven. De ontwikkelingen onderschrijven onze analyse dat ICS breder is dan alleen de financiële verantwoording, en een meer holistische kijk op in control risico s en continuiteit en de expliciete verantwoording hierover relevant is. De directie moet in de jaarrekening bevestigen dat zij een degelijke analyse, assessment, heeft uitgevoerd van de primaire risico s die verbonden zijn aan de organisatie en haar strategie. Meer 8

9 specifiek richt zich dat op de risico s die een bedreiging vormen voor het business model, de toekomstige performance, solvabiliteit en liquiditeit. Met betrekking tot deze risico s moet de directie vermelden hoe zij worden beheerst, of, als zij zich voordoen, worden gemitigeerd 10. Een duidelijk expliciete verbreding in het licht van de continuïteit, maar anderzijds ook realistisch dat sommige risico s niet kunnen worden voorkomen, maar moeten worden gemitigeerd op impact. De tweede belangrijke bepaling is dat de directie, gegeven de huidige positie deze risico s in het jaarverslag moeten duiden hoe zij dit invulling hebben gegeven, en waarom zij van oordeel is dat dit afdoende is, dus niet alleen wat, maar ook hoe en rondom de besluitvorming wordt expliciete verantwoording gevraagd op dit bredere risico gebied. Daarnaast moet zij ook aangeven, dat indien zij niet in staat zijn de risico s te beheersen, of de organisatie kan overleven. Dit met specifieke aandacht voor die elementen die deze discontinuïteit veroorzaken. De periode gaat beduidend verder dan de 12 maanden die men normaliter veronderstelt. Deze forward looking elementen komen naast de bestaande verantwoording van de directie over het continue monitoren van het interne systeem van checks and balances. Een duidelijk verdergaande ontwikkeling rondom het ICS waarbij het statement meer inhoud wordt gegeven, niet alleen qua scope, maar ook qua expliciete onderbouwing/verantwoording over de overwegingen en besluitvorming door de leiding van de organisatie. 5. Uiteenlopende verwachtingen van de gebruikers van het ICS In de analyse van de stakeholders komen we tot een aantal partijen. Wij noemen er enkele: aandeelhouders, opdrachtgevers, externe toezichthouders en het maatschappelijk verkeer. De behoeften van de gebruikers van een ICS lopen daarbij sterk uiteen. Enerzijds is er de behoefte om van de bestaande situatie te weten of de organisatie in control is en dat er geen risico s bestaan die een materiële impact zouden kunnen hebben op de financiële positie van de organisatie of de betrouwbaarheid van de door haar uitgevoerde uitbestedingsactiviteiten (backward looking). Anderzijds is er de behoefte om zekerheid te verkrijgen dat ook in de toekomst geen majeure risico s kunnen ontstaan (waar de organisatie niet adequaat op zou kunnen reageren) die een bedreiging kunnen vormen voor de financiële positie van de organisatie of de betrouwbaarheid van de aan de organisatie toevertrouwde activiteiten (forward looking). Hieronder enkele voorbeelden van de (toegenomen) verwachtingen ten aanzien van het gebruik van een ICS. Eumedion Eumedion 11 stelt in haar Speerpuntenbrief 2015 dat de reikwijdte van het ICS, zoals de Nederlandse Corporate Governance Code die in best practice bepaling II.1.5 aanbeveelt, te beperkt is. Eumedion pleit voor verbreding van de scope naar de operationele, governance en compliance risico s. Daarenboven concludeert Eumedion dat de Governance Code geen verplichting voor het bestuur bevat om de effectiviteit te toetsen van het interne controle systeem, zoals dat momenteel wel het 10 UK code, C.2. Risk Management and Internal Control, code provision C C Eumedion, Speerpuntenbrief

10 geval is in de UK, alwaar in de Governance Code is bepaald dat de Board jaarlijks een beoordeling moet uitvoeren van de effectiviteit van het risk management en het internal control system van de onderneming en daarover moeten rapporteren aan de aandeelhouders van de vennootschap. Het board review moet betrekking hebben op alle relevante controlemaatregelen, waaronder begrepen financial, operational en compliance controls 12. Eumedion geeft een vijftal aanbevelingen voor verbetering van het ICS: Het bestuur is verantwoordelijk voor het bewaken van governance, risk management en interne controle systemen, inclusief een jaarlijkse toetsing van de opzet en werking van deze systemen en een verantwoording daarover in het jaarverslag. De bewaking en toetsing hebben betrekking op de control environment, alle relevante controleprocedures op het vlak van financieel, operationeel, IT en compliance, alsmede de interne controle bewustwording (de soft controls). Het bestuur geeft een uiteenzetting van het proces waarmee de hiervoor genoemde bewaking en toetsing is uitgevoerd. Daarnaast beschrijft het bestuur de geïdentificeerde significante tekortkomingen en zwakheden en welke verbetermaatregelen zijn of worden getroffen. Alle beursgenoteerde ondernemingen richten een internal audit functie in en verbreden de scope van de externe accountantscontrole naar kwaliteit en effectiviteit van het interne controle en risk management systeem van de onderneming. Beursgenoteerde ondernemingen die geen internal audit functie hebben overwegen jaarlijks of er behoefte bestaat aan een internal audit functie en doen daarover een aanbeveling naar de Raad van Commissarissen. De motivering voor een eventueel niet instellen van een internal audit functie wordt opgenomen in het jaarverslag. De internal audit functie voert een risico-gebaseerd audit plan uit, gericht op het toetsen van de governance, risk management en de interne controle (inclusief de strategische risico s). De internal audit functie beoordeelt minimaal jaarlijks de kwaliteit en effectiviteit van de governance, risk management interne controle systeem van de onderneming en rapporteert daarover jaarlijks aan het bestuur en de Raad van Commissarissen. De internal audit functie onderzoekt de impact van belangrijke wijzigingen in het risicoprofiel van de onderneming, in het bijzonder als deze het gevolg zijn van majeure acquisities, fusies en joint ventures. De internal audit functie rapporteert haar bevindingen aan de Raad van Commissarissen voordat de Raad van Commissarissen een besluit neemt over het gewijzigde risicoprofiel. Deze aanbevelingen ondersteunen onze holistische insteek op het in control thema. AFM De AFM heeft in maart 2015 een onderzoeksrapport 13 gepubliceerd naar het kritisch vermogen van Auditcommissies bij de verslaggeving en accountantscontrole. Wij refereren aan dit rapport met name voor wat betreft de opmerkingen over de rol en het kennisniveau van de Auditcommissie ter zake van de interne beheersing. De interne beheersing wordt bij uitstek een taak gevonden voor de Auditcommissie. Centraal staat het kritisch beoordelingsvermogen en het kennisniveau van de Auditcommissie bij uitoefening van haar kerntaken. 12 FRC, The UK Corporate Governance Code, AFM, Rapport Auditcommissies,

11 Uit het onderzoek is gebleken dat IT-deskundigheid een belangrijk aandachtspunt is in het toezicht op de interne risicobeheersings- en controlesystemen. Volgens de Nederlandse Corporate Governance Code is IT een separaat taakgebied van de Auditcommissie. Beschikt de commissie wel over voldoende deskundigheid? Zeker nu steeds meer bedrijfsprocessen worden gedigitaliseerd. Commissarissen hechten veel waarde aan de rol van de internal auditor, omdat de werkzaamheden van de internal auditor een bredere reikwijdte hebben dan de werkzaamheden van de externe accountant. Ten aanzien van de externe accountant verwachten commissarissen dat de accountant hen inzicht verschaft in de kwaliteit van de interne beheersing van het verslaggevingsproces. Tot zover het AFM onderzoek. Het onderzoek geeft geen expliciete conclusie of uitspraak over de wenselijkheid van een ICS, wel een aangescherpte nadruk op het bewaken van de interne beheersing. Een interessant spanningsveld rond het ICS betreft de toekomstgerichtheid van een ICS. Welke verwachtingen mag de lezer hebben als het gaat om de betekenis van een ICS voor de mate van interne beheersing in de toekomst? Nadere analyse leert dat de verwachtingskloof van de aandeelhouders c.q. stakeholders richting het bestuur, de RvC/RvT en de externe accountant het grootst is rond compliance, interne beheersing, fraude en continuïteit. Dientengevolge is er veel behoefte aan inzicht en een vorm van zekerheid dat er op deze vier gebieden geen ingrijpende problemen zullen optreden. Het is daarbij een interessante vraag of een ICS in voldoende mate kan voorzien in deze behoefte. Voor de externe accountant speelt hierbij het spanningsveld van de deugdelijke grondslag bij het afgeven van een opinie, de professional opinion. Voor toekomstgerichte uitspraken zou echter ook gedacht kunnen worden aan het gebruik van een opinion of a professional. Ook accountants kunnen niet in de toekomst kijken, maar dat neemt niet weg dat een externe accountant wel een waardevolle analyse zou kunnen uitvoeren van het systeem van interne governance en interne beheersing en daarover de stakeholders zou kunnen informeren zonder het gewicht te hebben van een professional opinion. De categorie stakeholders is evenwel breder. Niet alleen de aandeelhouders, maar ook het publiek en de politiek spreken de externe accountant aan op zijn rol rond de vraag of organisatie in control was op, bijvoorbeeld, de continuïteitsrisico s. Ook hier de duiding dat de verwachtingen rond de reikwijdte van het ICS breder zijn dan de financiële en de operationele processen, en steeds meer zou moet afdekken: tot en met de langere termijn (strategische ) continuïteitsrisico s van de organisatie. Het NBA heeft onderzocht hoe een antwoord kan worden gegeven op deze verwachtingen, onder andere via publieke Management Letters. Deze Management Letters proberen enerzijds kaders te geven voor het publiek en anderzijds handvatten voor de externe accountant om invulling te geven aan deze verwachtingen. Interessant is dat de kaders die worden gegeven, niet alleen duiden op een verbreding en verdieping van de risico s (signaal 2 rondom risico bereidheid en signaal 3 ten aanzien van verankering in de onderneming), maar ook de dimensie van de soft controls toevoegen (signaal 1, risico s managen is mensenwerk). Het laatste signaal gaat ook in op de rol van de externe accountant. De verwachtingen rondom het in control zijn heeft dus niet alleen scope vragen (wat is het object van onderzoek) maar ook hoe gaat de organisatie hiermee om. Dit naast de verschillende rollen (3 lines of defence) in het interne beheersingskader, de interne toezichthouders (RvC) en externe accountant. 11

12 De vraag komt op of de ICS discussie en de discussie over risico management meer als één geheel gezien zou moeten worden. De UK code lijkt dit wel te doen. Dit lijkt ons ook een logische gedachte om deze thema s aan elkaar te verbinden. Recent onderzoek van CEB Global 14 over de aard van de risico s die ten grondslag liggen aan majeure dalingen in de markwaarde van ondernemingen levert een interessant dilemma op: - 86% van de significante waardedalingen is het gevolg van strategische risico s - 9% van operationele risico s - 3% van legal and compliance risico s - 2% van financial reporting risico s Een analyse van de tijdsbesteding van risk managers en auditors levert volgens CEB het volgende beeld op: - 6% van de tijd wordt besteed aan strategische risico s - 42% aan operationele risico s - 12% aan legal and compliance risico s - 39% aan financial reporting risico s Deze analyse levert interessante vraagpunten op: Wordt er wel voldoende aandacht besteed aan de strategische risico s? Is hier sprake van een verwachtingskloof met de aandeelhouders en de overige stakeholders? Ook opmerkelijk is de lage impact van financiële rapportage risico s. Mag hieruit worden geconcludeerd dat de effecten van een focus op de interne controle op financiële risico s haar vruchten afwerpt? 6. De rol van de internal auditor, de externe accountant en de externe IT auditor Uit onze schets van de ontwikkeling van het ICS mag blijken dat er een veelheid aan standaarden voor de inrichting van de interne beheersing is ontwikkeld en dat het testen en het verstrekken van assurance omtrent de opzet (design and implementation) en de werking (operational effectiveness) van het stelsel van interne beheersing een breed werkveld biedt voor internal auditors, IT auditors, externe accountants en ISO certificeerders. Hieronder willen wij de rol van respectievelijk de internal auditor en de externe accountant c.q. externe IT auditor bespreken, te beginnen bij de ISAE 3402 rapportages. Belangrijk is om vast te stellen dat een ISAE 3402 rapport geen eenduidige product is. Het toetsingskader is beschreven in de ISAE 3402 standaard, maar in principe is een ISAE 3402 vormvrij. Het is maatwerk, vanwege een aantal factoren: iedere organisatie is verschillend, de opdrachtgever bepaalt: o de keuze en de reikwijdte van de kernprocessen waarover een ISAE 3402 rapportage wordt opgesteld, o de keuze van de peildatum voor het toetsen van de opzet c.q. de keuze van de periode voor het toetsten van de werking van de interne controlemaatregelen. 14 CEB Global, How to live with Risks, gepubliceerd in de Harvard Business Review, juli-augustus

13 In de pers en de literatuur is meerdere malen kritiek uitgeoefend op het feit dat een ISAE 3402 rapport maatwerk is en de opdrachtgever invloed heeft op de selectie en de reikwijdte van de processen als object van onderzoek. De realiteit is evenwel dat dit inherent is aan de aard van de standaard. De praktijk toont aan dat een ISAE 3402 rapportage een belangrijke functie vervult voor zowel de service organisatie als de opdrachtgever, die onderdelen van de bedrijfsvoering heeft uitbesteed aan een service organisatie (de gebruiker). ISA 402 (NV COS ) bepaalt dat de accountant van de gebruikersorganisatie inzicht dient te verkrijgen in de aard en de relevantie van de uitbestede processen, de materialiteit van de financiële transacties in deze processen in het kader van de te controleren jaarrekening, alsmede de aard van de contractuele relatie en de mate van interactie tussen activiteiten van de service organisatie en de gebruikersorganisatie. Kortom, hoe groot is de impact van het uitbestedingsrelatie op het geheel van de gebruikersorganisatie en de te controleren jaarrekening en welke risicobeheersingsmaatregelen zijn er binnen de service organisatie getroffen ten behoeve van het beheersen van deze risico s 16 / 17. Uiteraard is het belangrijk dat de accountant van de gebruikersorganisatie vaststelt wat de aard van verkregen ISAE 3402 rapport is (type I of type II) en in hoeverre het rapport duidelijkheid en zekerheid verschaft over de opzet en effectiviteit van de relevante interne beheersingsmaatregelen. ISAE 3000 is de relevante standaard voor de externe accountant (service auditor) van een service organisatie voor het verstrekken van een assurance rapport (in de vorm van een redelijke mate van zekerheid) inzake de opzet en/of werking van het stelsel van controlemaatregelen van een service organisatie in de vorm van een ISAE 3402 rapportage. Opgemerkt wordt dat in Nederland de opdracht tot het verstrekken van assurance in de vorm van een ISAE 3402 rapportage ook kan worden uitgevoerd door IT auditors, die aangesloten zijn bij de Nederlandse Orde van Register EDP Auditors (NOREA). Zoals aangegeven geeft ISAE 3402 geen specifieke vormvoorschriften, maar in de praktijk wordt veelal de volgende indeling voor een ISAE 3402 rapport gehanteerd: A. Bevestiging door het bestuur van de service organisatie inzake de opzet en/of de effectieve werking van de interne controlemaatregelen. B. Sectie 1 - Assurance mededeling van de externe accountant of de externe IT auditor. Sectie 2 - Beschrijving van de organisatie en de beheersingsmaatregelen op organisatieniveau (control environment, risk assessment, information and communication, monitoring). Sectie 3 - Beschrijving van de (geselecteerde) processen in de service organisatie, de beheersingsdoelstellingen (control objectives) en de beheersingsmaatregelen (controls). Sectie 4 - Beschrijving van de beheersingsmaatregelen die zijn gerelateerd aan de uitbestede processen, maar onder de verantwoordelijkheid vallen van de gebruikersorganisatie (user control considerations) C. Beschrijving van de door de externe accountant of de externe IT auditor uitgevoerde testwerkzaamheden en de uitkomsten van deze testwerkzaamheden (bij een type 2 rapport) 15 COS 402, Overwegingen bij gebruikmaken van serviceorganisatie 16 COS 315, Risico s identificeren en inschatten 17 COS 330, Inspelen door de accountant op ingeschatte risico s 13

14 D. Overige Informatie (valt buiten de scope van de assurance mededeling) Internal auditor De rol van de internal auditor wordt steeds nadrukkelijker geduid, zoals in de Eumedion Speerpuntenbrief en in de Nederlandse Corporate Governance Code. De internal auditor van de service organisatie kan een belangrijke rol vervullen voor het bestuur en de interne toezichthouders van de service organisatie ten aanzien van: het verkrijgen van een goed beeld van de relevante risico s rond de kernprocessen in de organisatie, het definiëren van de risk appetite van de service organisatie als waarborg voor de continuïteit van de bedrijfsvoering, het toetsen van de effectiviteit van het ontwerp van het stelsel van interne beheersing en de kwaliteit van de implementatie van het stelsel van interne controlemaatregelen voor het beheersen van de relevante risico s, het toetsen van de effectiviteit van de werking van het stelsel van interne controlemaatregelen voor het beheersen van de geïdentificeerde risico s, het voorbereiden van de ISAE 3402 rapportage met betrekking tot de geselecteerde kernprocessen het toetsen van de beschrijving, opzet en werking van de key controls in de geselecteerde kernprocessen in nauwe samenwerking met de externe accountant c.q. externe IT auditor van de service organisatie, belast met het verschaffen van assurance bij de ISAE 3402 rapportage. De internal auditor van de gebruikersorganisatie heeft de mogelijkheid om een belangrijke rol te vervullen voor het bestuur en de interne toezichthouders van de gebruikersorganisatie ten aanzien van: het onderkennen van de impact van eventueel van toepassing zijnde wet- en regelgeving rond het uitbesteden van activiteiten c.q. administratieve processen, het toetsen van de betrouwbaarheid van de te selecteren service organisatie, het onderkennen van de vereiste interne beheersingsmaatregelen binnen de gebruikersorganisatie als wordt besloten om over te gaan tot uitbesteding, zowel de vereiste monitoring controls als de vereiste user controls, het onderkennen van de vereiste interne beheersingsmaatregelen binnen de service organisatie, alsmede de vereiste rapporteringen die daarover moeten worden opgeleverd aan de gebruikersorganisatie, inclusief de vereiste assurance bij die rapportages, advisering over het type, de diepgang en reikwijdte van de door de service organisatie op te leveren ISAE 3402 rapportage, inclusief de assurance mededeling door de externe accountant c.q. externe IT auditor van de service organisatie, samenwerking met de externe accountant van de gebruikersorganisatie bij het identificeren en evalueren van de relevante risico s rond het proces van de totstandkoming van de externe financiële verslaggeving en het formuleren van de eisen rond de beschrijving en toetsing van de opzet en werking van de relevante interne controlemaatregelen, inclusief de uitbesteding. Externe accountant/externe IT auditor 14

15 De externe accountant c.q. de externe IT auditor van de service organisatie dient bij de uitvoering van de opdracht tot het verstrekken van een assurance mededeling bij de ISAE 3402 rapportage te voldoen aan de vaktechnische vereisten in ISAE 3000/COS 3000 standaard c.q. Richtlijn Een interessant aspect hierbij is het onderscheid in de mate van zekerheid die op basis van COS 3000 kan worden verstrekt: beperkte mate van zekerheid redelijke mate van zekerheid De redelijke mate van zekerheid is daarbij de hoogst haalbare mate van zekerheid en aansluit bij de vaktechnische eisen van de externe accountant van de gebruikersorganisatie, belast met de controle van de jaarrekening. Het verstrekken van een beperkte mate van zekerheid past wellicht in een groeimodel om te komen tot een redelijke mate van zekerheid, maar is onvoldoende als het gaat om de eisen van de controlerend accountant van de gebruikersorganisatie conform COS 402, wanneer het gaat om processen en transacties die van significante betekenis zijn voor de controle van de jaarrekening. Een belangrijk uitgangspunt bij de aanvaarding en uitvoering van een ISAE 3402 opdracht is de naleving van de geldende onafhankelijkheidseisen voor het uitvoerend kantoor en de uitvoerende professionals. Dit betekent o.i. dat de certificerend auditor een terughoudende positie moet innemen als het gaat om het verstrekken van advies rond het implementeren van verbetermaatregelen rond het opzet en werking van key controls. De externe accountant van de gebruikersorganisatie zal in het kader van het opstellen van het audit plan voor de controle van de jaarrekening moeten vaststellen wat de aard en significantie is van de uitbestede processen, alsmede het effect op de voor de controle relevante interne beheersing van de gebruikersorganisatie, dat hem in staat stelt de risico s op een afwijking van materieel belang in de jaarrekening te identificeren en in te schatten. Wanneer de accountant dit inzicht niet via de gebruikersorganisatie kan verwerven, dient hij dit inzicht te verwerven via een van de volgende werkzaamheden: het verkrijgen van een type I of II rapport het opnemen van contact met de service organisatie, om specifieke informatie in te winnen, het uitvoeren van werkzaamheden binnen de service organisatie om zelfstandig inzicht te verwerven in de opzet en werking van relevante interne beheersingsmaatregelen, het gebruik maken van een andere accountant of IT auditor om werkzaamheden bij de service organisatie uit te voeren teneinde inzicht te verkrijgen in de opzet en werking van de relevante interne beheersingsmaatregelen. Wanneer de accountant gebruik wil maken van een type I of II rapport als controle-informatie voor het verwerven van inzicht in de opzet c.q. werking van de relevante interne beheersingsmaatregelen in de service organisatie (in en rond de uitbestede processen), dient de accountant te evalueren: of de externe accountant c.q. externe IT auditor van de service organisatie vakbekwaam en onafhankelijk is, of de standaarden, waarop het type I of II rapport is gebaseerd, adequaat zijn, of de opzet c.q. werking van de interne controlemaatregelen van een datum of periode is die passend is voor de controle van de jaarrekening, of de informatie die door het rapport wordt verschaft voldoende en geschikt is voor het verwerven van het inzicht in de voor de controle van de jaarrekening relevante interne 15

16 beheersingsmaatregelen bij de service organisatie in samenhang de interne beheersingsmaatregelen in de gebruikersorganisatie, of de door de externe accountant c.q. externe IT auditor uitgevoerde testwerkzaamheden relevant en toereikend zijn voor het inschatten van de risico s in de gebruikersorganisatie met betrekking tot de totstandkoming en controle van de financiële verslaggeving. 7. Resumerend Het ICS voorziet in een behoefte Het is duidelijk geworden dat een ex-post verantwoording alleen in de vorm van een jaarrekening / jaarverslag niet meer voldoende is om verantwoording af te leggen aan de stakeholders. De stakeholders verwachten meer van de leiding van de organisatie dan alleen een verantwoording over het afgelopen boekjaar. Het ICS kan hierin, mits goed toegepast qua scope en inhoud, een belangrijke rol spelen. Minimaal Het ICS zou minimaal moeten omvatten een degelijk interne controle systeem voor (financiële) verslaglegging, zowel intern als extern. De SOX regelgeving geeft hiervoor duidelijk kaders voor zowel de organisatie als de externe accountant. Dit deel van het ICS zou kunnen worden voorzien van een assurance mededeling van de externe accountant. Hierbij kan worden gesteund op de kwaliteit van de interne organisatie, in het bijzonder de invulling van de financial control functie en de internal audit functie. De operationele risico s De risico s die zijn verbonden aan de operationele processen hebben wellicht niet direct impact op de kwaliteit van de financiële verantwoording als zodanig maar wel op de kwaliteit van de behaalde (operationele en financiële) resultaten. We zien bij service organisaties dat er een behoefte bij de gebruikers ontstaat om ook over de operationele processen zekerheid te verkrijgen, zowel qua inrichting als qua werking. Dit geldt uiteraard ook voor de externe accountant van de service organisatie om hierover assurance te kunnen verstrekken. De risico s op het vlak van strategie en continuïteit Of een organisatie in control is over het toekomst moet blijken uit het beheersen van de continuïteit (veelal de strategische risico s). Een goede duiding wat zou kunnen worden verwacht is door de FRC in de UK in de code verwerkt. De toelichting door het management is vooral een inhoudelijke duiding van hoe men invulling heeft gegeven aan de analyse en het assessment. Dus, niet de helderheid van een eenduidige verklaring, maar een inhoudelijke verantwoording. De rol van de externe accountant richt zich hier met name op het onderliggende proces. Hoe is het management tot deze conclusie gekomen? Het onderzoek van CEB Global 18 naar de relevante oorzaken van significante dalingen in de marktwaarde van ondernemingen in de afgelopen 10 jaren geeft aan dat strategische risico s de grootste impact hebben gehad. Vervolgens zijn deze bevindingen geplaatst tegenover een analyse van de tijdsbesteding van risk management en audit teams. 18 CEB Global, How to live with Risks, Harvard Business Review juli-augustus