In de Nederlandse Corporate Governance Code wordt in de Best practice bepaling II.1.4 verlangd dat het bestuur een beschrijving geeft van de opzet en werking van de interne risicobeheersings- en controle systemen. In de toelichting valt te lezen dat het bestuur aangeeft welk raamwerk of normenkader (bijvoorbeeld het COSO raamwerk voor interne beheersing) hij heeft gehanteerd. Ook in de Sarbanes-Oxley wet is al eerder een dergelijke bepaling opgenomen. Sinds die tijd is dan ook over de hele wereld COSO als referentie gehanteerd als het gaat om een maatstaf voor goede interne beheersing.
Na ruim twintig jaar heeft COSO een nieuwe stap
gezet op de weg van de inrichting en beoordeling van de beheersing van organisaties. Het concept raamwerk en ondersteunende documenten dateren van september 2012 zijn te verkrijgen op de website www.coso.org.
Het definitieve raamwerk wordt het eerste kwartaal van 2013 verwacht.
Het definitieve raamwerk wordt het eerste kwartaal van 2013 verwacht.
Het nieuwe raamwerk bouwt voort op het interne
beheersingsraamwerk uit 1994 en dat is ook te zien in de nieuwe kubus.
Belangrijke Veranderingen
De belangrijkste veranderingen zijn dat
men allereerst heeft geprobeerd het raamwerk de verhelderen en te verbeteren
zodat het makkelijker kan worden toegepast.
Zo zijn voor de vijf componenten
van het internal control-systeem de
fundamentele internal control concepten van het oude raamwerk vertaald naar zeventien
onderliggende principes. Dit geeft meer duidelijkheid en richting bij
het ontwerpen en invoeren van systemen voor interne beheersing.
Daarbij heeft men de principes verder vorm gegeven
door het beschrijven van bijna 90 “Points of Focus’ waarin typisch belangrijke
karakteristieken van de principes verder worden uitgewerkt.
Het doel ervan is om het management van een
onderneming te helpen bij het ontwerpen, invoeren en operationeel maken van een
goed systeem van interne beheersing en bij het vaststellen of de relevante
principes feitelijk aanwezig zijn en goed functioneren.
Alhoewel het raamwerk verwacht dat de 5 componenten
en onderliggende principes bij een onderneming aanwezig zijn en functioneren,
geldt dat niet voor alle “Points of Focus.’
Het is uiteindelijk aan het management zelf om
geschikte en relevante Points of Focus voor een specifieke onderneming vast te
stellen
Daarbij is er ook nog een apart Compendium uitgebracht waar “Approaches” (benaderingen) en “Examples” (voorbeelden) te
vinden zijn hoe men de verschillende aspecten van de principes verder vorm kan
geven.
·
Approaches: beschrijven in kort
bestek de activiteiten die organisaties kunnen uitvoeren om de principes vorm
te geven
·
Examples: geven specifieke
praktijkvoorbeelden van de toepassing van principes.
Een tweede verandering is dat het raamwerk nu
erkend dat verslaggeving op veel manieren plaatsvindt en niet alleen beperkt
blijft tot de jaarrekening. Ondernemingen dienen er zorg voor te dragen dat er
in de gestegen informatiebehoefte van allerlei stakeholders tijdig en effectief
wordt voorzien, los van het feit of het gaat om operationele, financiële, grafisch
i.p.v. cijfermatig of prospectief is. Principes 13, 14 en 15 geven deze
gewijzigde doelstellingen duidelijk aan.
IT-ontwikkelingen
In het rapport komen ook de ingrijpende
veranderingen op IT-gebied in beeld. Bij alle control-componenten wordt
technologie als belangrijk aspect gezien. Een van de zeventien principes
(principle 11 onder control activities) gaat specifiek over technologie en
behandelt de keuze en ontwikkeling van technology general controls in samenhang
met transaction controls. Dit zijn aangepaste termen voor het oudere
begrippenpaar general controls en application controls.
Beleggers en andere stakeholders verwachten dat
ondernemingen meer aandacht besteden aan fraude. Daarvoor is een nieuw principe
(Principle 8 “Fraud Risk Assessment”) toegevoegd. In combinatie met de
bijbehorende Points of Focus dient er stelselmatig aandacht te worden besteed
aan het risico van fraude en het voorkomen daarvan.
Alhoewel de principes en onderliggende Points of
Focus niet zijn bedoeld als een checklist, verwacht COSO zelf dat zij zullen
helpen bij het begrijpen van welke controles noodzakelijk zijn om tot een
effectief systeem van interne beheersing te kunnen komen.
Een apart rapport “Illustrative Tools for Assessing
Effectiveness of a System for Internal Control” is bedoeld om daarbij te
helpen. Illustrative Tools bevat “Templates’ en “Scenarios.’
De Templates zijn in feite controlelijsten waarmee top-down
een analyse kan worden gedaan van de aanwezigheid en het functioneren van de principes
en points of focus in de verschillende componenten van interne beheersing.
COSO en ERM
Door het uitbrengen van dit nieuwe rapport ontstaat
er bijzondere situatie ten aanzien van het in 2004 gepubliceerde rapport
Enterprise Risk Management (ERM). Risk Assessment is een van de vijf
componenten van het COSO-Framework, maar in het COSO-ERM rapport wordt gesteld
dat enterprise risk management veel breder en uitgebreider is en dat internal
control een onderdeel is van COSO-ERM. Hoe dat precies moet worden geduid wordt
echter niet uitgelegd.
Het nieuwe COSO-rapport bevat een bijlage G waarin
op de relatie met ERM wordt ingegaan. COSO is van mening dat beide raamwerken
apart van elkaar dienen te blijven en dat zij elkaar complementeren. Enterprise
risk management is breder dan interne beheersing en bouwt in feite daarop voort
door zich vooral op strategievorming en bijbehorende risico’s te richten.
Strategievorming hoort volgens COSO niet thuis in een systeem van internal
control.
Alles afwegend is het echter nogal merkwaardig om
het proces om tot formulering van en keuze van strategische doelstellingen te
komen, niet te beschouwen als onderdeel van het beheersingssysteem van de organisatie.
Dit te meer omdat de leiding van een organisatie dient te waarborgen dat het
proces van strategievorming wordt beheerst.
Het had dan ook voor de hand gelegen om elementen
van ERM op te nemen en te integreren in het nieuwe raamwerk voor interne beheersing.
Relatie met Corporate Governance
Het nieuwe Raamwerk besteedt op meerdere plekken
aandacht aan de relatie met corporate governance. In de Control Environment is
dat terug te zien als er expliciet aandacht wordt gegeven aan de toezichthoudende
rol van de board en de verschillende commissies er van (zie bijvoorbeeld
pag. 40 tot en met 43 en pag. 145 tot en
met 147.
COSO ziet een goed governance proces als een apart vereiste
voor goede interne beheersing. Zo kan bijvoorbeeld een slechte
benoemingsprocedure voor nieuwe uitvoerende boardleden er toe leiden dat er onvoldoende goed toezicht
wordt gehouden.
Kritiek
In een artikel in de Accountant geven den Boer, Renes en Van Zutphen hun commentaar op de nieuwe versie van COSO.
Zij vinden dat de relatie tussen corporate governance en internal control onvoldoende wordt belicht. Ook wordt er volgens hen onvoldoende aandacht besteed aan "soft controls' en de effecten van IT op het control framework.
Ik deel deze kritiek, met name als het gaat om de beperkte aandacht aan de beheersing van de IT-infrastructuur. Mogelijk denkt men dat dit aan de orde moet komen in het IT-raamwerk van COBIT ( Control Objectives for Information and Related Technologies) dat recent is verschenen, maar het is wel opvallend dat in geen van de documenten een verwijzing naar dit raamwerk is te vinden.
Een veel belangrijker punt van kritiek is dat ook deze nieuwe versie onherroepelijk zal leiden tot het gevreesde afvinkgedrag. De zeventien Principes en de bijbehorende bijna negentig Points of Focus geven een uitgebreid en stringent normenkader dat ongetwijfeld snel zijn weg zal vinden in allerlei checklists. Ook de meegeleverde gereedschapskist "Illustrative Tools' wijst daar op, want het is in feite niets anders dan een verzameling checklists om vast te stellen of Principes en Points of focus aanwezig zijn.
Wil men kunnen spreken van een goede interne beheersing dan dient er volgens COSO in hoofdstuk 3 van het Framework sprake te zijn van een situatie waarbij de vijf componenten van interne beheersing en de relevante bijbehorende principes aanwezig zijn en goed functioneren. Alleen in zeldzame gevallen kan het management daarvan afwijken, maar dan is wel uitleg nodig.
Dat geldt ook voor het ontbreken van de eerder genoemde Points of Focus. Voor het begrip kan men beter spreken van Best Practices want dat zijn het in feite. COSO geeft op pagina 23 van het Framework aan dat deze Points of Focus een belangrijk hulpmiddel zijn voor het management om vast te kunnen stellen dat de principes aanwezig zijn en goed functioneren.
Daarmee wordt volledig voorbij gegaan aan de belangrijke rol van het professioneel oordeel over wat in een specifieke situatie een goed systeem van interne beheersing is.
COSO streeft naar een benadering waarbij een uniform en eenduidig normenkader wordt neergelegd. Dat lijkt logisch, want anders voldoet men niet aan een belangrijke voorwaarde dat het niveau van interne beheersing meetbaar moet zijn en dat men moet kunnen aangeven op welke punten verbetering nodig is. Zo logisch is het echter niet, want er zijn vele factoren die de inrichting van een goed systeem van interne beheersing beïnvloeden, waardoor het feitelijk puur maatwerk wordt.
Als ik aan mijn oude leermeester Erik Jans vroeg wat nu een goed systeem van interne controle was, dan riep hij altijd: dat hangt af van het type onderneming (voor accountants de plaats in de typologie van waarde-activiteiten), de organisatiestructuur en de omvang van de onderneming.
Je kunt die werkelijkheid niet vangen met een rigide sjabloon dat voor iedereen geldt.
Geen opmerkingen:
Een reactie posten