Op weg naar een praktische invulling van het ‘in control statement’

Jos de Groot; Jeroen Bolt; Rob van Hemmen; Martijn de Jong

doi:10.5117/mab.97.100656

Research Article

Op weg naar een praktische invulling van het ‘in control statement’

Jos de Groot^‡, Jeroen Bolt^§, Rob van Hemmen^|, Martijn de Jong^¶

‡ Pricewaterhouse Coopers Netherlands, Bavel, Netherlands

§ KPMG Advisory Netherlands, Teteringen, Netherlands

| Unaffiliated, Den Bosch, Netherlands

¶ EY Netherlands, Oosterhout, Netherlands

Corresponding author: Jos de Groot ( jos.de.groot@pwc.com )

Corresponding author: Jeroen Bolt ( bolt.jeroen@kpmg.nl )

Corresponding author: Rob van Hemmen ( robvanhemmen@gmail.com )

Corresponding author: Martijn de Jong ( martijn.de.jong@nl.ey.com )

Academic editor: Barbara Majoor

This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.

Citation: de Groot J, Bolt J, van Hemmen R, de Jong M (2023) Op weg naar een praktische invulling van het ‘in control statement’. In: Majoor B, Gold A, Oord A (Eds) De controle verklaard: Ontwikkelingen in ESG & Sustainability Assurance. Maandblad voor Accountancy en Bedrijfseconomie 97(3/4): 87-100. https://doi.org/10.5117/mab.97.100656

Samenvatting

Het ‘in control statement’, een expliciete verantwoording in het bestuursverslag door bestuurders over de adequate opzet en effectieve werking van de risicomanagementsystemen, staat momenteel weer volop in de schijnwerpers van de politiek, wetgevers, bestuurders, commissarissen, aandeelhouders, beleggers en accountants. Een ‘in control statement’ is waardevol voor onder andere de kwaliteit van de financiële verantwoordingsinformatie, het waarborgen van de continuïteit van de onderneming en goed ondernemingsbestuur. Volgens onderzoekers van de Universiteit Leiden kan het ‘in control statement’ een rol spelen in het versterken van de verantwoordingsketen in Nederland (rapport ‘Versterking verantwoordingsketen (2021))’. De Monitoring Commissie Corporate Governance Code vond het onderwerp desondanks te controversieel om in de geactualiseerde Code 2022 een ‘in control statement’ op te nemen (ondanks het verzoek van de minister van Financiën hiertoe), zoals de onderzoekers van de universiteit bedoelden. Dit artikel presenteert een praktisch ontwerp van een in control statement, met de intentie de discussie hierover verder te brengen.

Trefwoorden

Risicobeheersing, internal control, interne beheersing, verantwoordingsketen, ‘in control statement’, Verklaring Omtrent Risicobeheersing, risicomanagement, risicoverslaglegging

Relevantie voor de praktijk

In dit artikel wordt een praktisch ontwerp gepresenteerd van een ‘in control statement’ met als doel om aan de hand van dit praktisch ontwerp – met andere woorden: door het ‘in control statement’ handen en voeten te geven – de nu lopende discussie over het ‘in control statement’ in Nederland weer een stap verder te brengen.

1. Inleiding

De roep om via een ‘in control statement’, een expliciete verantwoording in het bestuursverslag door bestuurders over de adequate opzet en effectieve werking van de risicomanagementsystemen, in het bestuursverslag verantwoording af te leggen door bestuurders over het ‘in control’ van de organisatie neemt de laatste tijd toe, zowel in Nederland, als internationaal. Deze verantwoording ziet niet alleen toe op de financiële verslaggevingsrisico’s, maar gaat nadrukkelijk (ook) over de beheersing van de strategische, operationele, compliance-, financiële en niet-financiële (ESG) verslaggevingsrisico’s.

1.1. Ontwikkelingen in EU, UK en Verenigde Staten

In de EU wordt de roep na een aantal corporate schandalen (waaronder WireCard) om ‘in control statements’ groter; de effecten daarvan zijn onder andere terug te vinden in de EU Corporate Reporting consultation, die in 2021 en 2022 plaatsvond. De eind november 2022 gepubliceerde Oxera study (Oxera (2022)) geeft een gedetailleerd overzicht van de huidige structuren van corporate governance voor corporate reporting in de EU. Uit dit overzicht blijkt duidelijk dat de structuren lang niet zo solide zijn als ze zouden kunnen zijn, meestal is het ‘comply or explain’ (‘pas toe of leg uit-principe’, wat wil zeggen dat het bestuur en de raad van commissarissen verantwoording afleggen over de naleving van de code en eventuele afwijkingen voorzien van een inhoudelijke en inzichtelijke uitleg), met een beperkte verantwoordingsplicht over het in control zijn, en met onderlinge verschillen in de EU. Daarnaast blijkt uit Oxera (2022) dat bijvoorbeeld de invoering van Sabanes-Oxley een positief effect had op de waardering van ondernemingen, maar ook dat sterke en gezonde bedrijven besloten om hun beursnotering in de Verenigde Staten te beëindigen. Het zou kunnen dat er – mede gezien de uitkomsten van de Oxera study – op enig moment EU-regelgeving komt, die deze consistentie in de verantwoordelijkheden van bestuurders en commissarissen voor corporate reporting over risicomanagement aanbrengt, mogelijk inclusief een ‘in control statement’. Daarbij is het vooralsnog onduidelijk wat de scope van zo’n EU ‘in control statement’ zou kunnen gaan worden.

In het kader van de hervormingen van corporate governance en accountantscontrole circuleren in de UK de laatste jaren diverse voorstellen voor een ‘in control statement’, waaronder het in mei 2022 gepubliceerde rapport ‘Restoring trust in audit and corporate reporting’ van het Department for Business, Energy and Industrial Strategy (BEIS (2022)).

Op basis van de Sarbanes-Oxley-wetgeving in de Verenigde Staten dienen bestuurders van ondernemingen met een beursnotering in de Verenigde Staten vanaf 2002 een expliciet ‘in control statement’ af te geven met betrekking tot de effectieve werking van de internal controls rondom de financiële verslaggeving, waarbij dit ‘in control statement’ (ook wel ‘SOx 404 statement’ genoemd) object van onderzoek is door de externe accountant.

1.2. Ontwikkelingen in Nederland

In de periode 2009 tot 2016 kende de Nederlandse Code Corporate Governance overigens ook een ‘best practice’ bepaling, die bestuurders van beursgenoteerde ondernemingen voorschreef om in het bestuursverslag een in control-verklaring af te geven over de adequate opzet en effectieve werking van de risicomanagementsystemen met betrekking tot de financiële verslaggeving. De huidige Nederlandse wettelijke regels over risico’s en interne risicobeheersings- en controlesystemen overziend (Koster et al. 2021), is de conclusie dat er in de huidige situatie geen wettelijk vereiste is om een ‘in control statement’ over de beheersing van de financiële verslaggevingsrisico’s af te geven (zoals die in de VS bestaat). De Nederlandse Corporate Governance Code (‘Code’) vereist een dergelijk ‘in control statement’ over de beheersing van de financiële verslaggevingsrisico’s sinds 2016 niet meer; de Code kent weliswaar een bestuursverklaring (best practice 1.4.3), maar die bevat geen bepaling op basis waarvan een expliciete conclusie gegeven moet worden over de effectieve werking van het interne risicobeheersings- en controlesysteem met betrekking tot de financiële verslaggeving (Hijink and De Groot 2020). De begin 2016 door de Commissie Van Manen voorgestelde uitbreiding van het ‘in control statement’ naar een statement waarin het bestuur verklaart dat de interne risicobeheersings- en controlesystemen in het boekjaar naar behoren hebben gewerkt, kon destijds niet op voldoende draagvlak rekenen (MCCG 2016a).

De bestuursverklaring in het bestuursverslag op basis van best practice 1.4.3 sub i in de Code bepaalt sinds 2016 dat in de bestuursverklaring wordt verklaard dat het verslag in voldoende mate inzicht geeft in tekortkomingen in de werking van de interne risicobeheersings- en controlesystemen met betrekking tot de risico’s als bedoeld in best practice-bepaling 1.2.1. Dit kan overigens worden gezien als een impliciete ‘in control’ verklaring over de beheersing van de strategische, operationele, compliance- en verslaggevingsrisico’s, omdat een lezer dit impliciet kan opvatten als dat – naast de eventuele tekortkomingen in het stelsel van risicobeheersing – het stelsel in het verslagjaar effectief heeft gewerkt, zonder dat dit overigens expliciet is gesteld door de bestuurders.

Het versterken van de verantwoordingsketen is begin 2020 door de Commissie Toekomst Accountancysector (‘CTA’) in haar rapport ‘Vertrouwen op controle’ (CTA 2020) op de agenda gezet. Volgens de CTA dient de verantwoordelijkheid van de gecontroleerde entiteit voor de opzet en werking van risicobeheersings- en controlesystemen meer tot uitdrukking worden gebracht. Naar aanleiding van het CTA-rapport is op verzoek van de minister van Financiën door onderzoekers van de Universiteit Leiden in 2021 een wetenschappelijk onderzoeksrapport uitgebracht over de versterking van de verantwoordingsketen (Universiteit Leiden 2021). De onderzoekers doen daarin hun aanbeveling aan de minister van Financiën voor de invoering van een ‘Verklaring Omtrent Risicobeheersing’ (VOR) voor alle grote Nederlandse ondernemingen en om deze wettelijk te verankeren. Deze VOR, een ‘in control statement’, heeft betrekking op de effectieve en adequate risicobeheersings- en controlesystemen van de operationele, verslaggevings- en compliancerisico’s voor alle grote Nederlandse ondernemingen. Een commissie moet worden aangesteld om een normenkader op te stellen. De accountant kan over de VOR een beoordelingsverklaring afgeven. Volgens de voornoemde onderzoekers moeten daarvoor ook de normen worden ontwikkeld.

De minister van Financiën onderschreef vervolgens in juli 2021 in zijn reactie op het rapport van de Universiteit Leiden het nut van de VOR. Zo stelt hij: ‘Ik onderschrijf het nut dat de onderzoekers toekennen aan een verklaring van het bestuur van een onderneming over de effectieve en adequate risicobeheersings- en controlesystemen. Ten eerste omdat deze verklaring benadrukt dat de primaire verantwoordelijkheid voor de betrouwbaarheid van de financiële informatie bij de gecontroleerde ondernemingen zelf ligt. Nog belangrijker: de verklaring biedt stakeholders meer transparantie over – en inzicht in – de risicobeheersing. Dit draagt uiteindelijk bij aan de kwaliteit van interne controlesystemen en daarmee ook aan de kwaliteit van de wettelijke accountantscontrole’ (Ministerie van Financiën 2021). De minister van Financiën verzocht vervolgens medio 2021 de Monitoring Commissie Corporate Governance om expliciet een ‘in control statement’ (VOR) op te nemen in de actualisatie van de Nederlandse Corporate Governance Code. Ondanks dit ministeriële verzoek koos de Monitoring Commissie Corporate Governance er begin 2022 voor om het in haar ogen controversiële onderwerp ‘in control statement’ niet op te nemen in de voorstellen tot actualisatie van de Code.

Ook in de geactualiseerde Code 2022 (MCCG 2022b), gepubliceerd medio december 2022, komt het ‘in control statement’, zoals voorgesteld door de onderzoekers van de Universiteit Leiden, niet terug. Dit ondanks vragen in de vaste Kamercommissie Financiën van Tweede Kamer in 2022, waarop de minister van Financiën op 30 maart 2022 stelde dat het kabinet voorstander is van het ‘in control statement’. Daarnaast pleitten onder andere de AFM, VEB, Eumedion, de Kwartiermakers Toekomst Accountancysector en de NBA middels een reactie op de consultatieversie van de Code voor een ‘in control statement’. In haar slotdocument stelt de Monitoring Commissie Van der Meer Mohr dat ze een aantal aanbevelingen uit het rapport ‘Versterking Verantwoordingsketen’ niet heeft meegenomen. De commissie adviseert een volgende commissie om deze nader te bespreken met de schragende partijen, waaronder in het bijzonder de aanbeveling inzake het ‘in control statement’ (MCCG (2022c)). De schragende partijen hebben elkaar in 2022 op het vlak van ‘in control statement’ niet weten te vinden.

Het onderwerp blijft de politiek nog steeds bezighouden. Op 20 december 2022 dienden twee D66-Tweede Kamerleden een motie in voor de invoering van de VOR met ingang van 2024, via de Code dan wel via een wettelijke bepaling. Deze motie is vervolgens aangehouden. Op 4 april 2023 is deze gewijzigde motie aangenomen door de Tweede Kamer (zie Kader 1).

Kader 1.

Download as

CSV

XLSX

Motie inzake VOR van Romke de Jong en Van Weyenberg (Tweede Kamer (2023)).

GEWIJZIGDE MOTIE VAN DE LEDEN ROMKE DE JONG EN VAN WEYENBERG
Ter vervanging van die gedrukt onder nr. 520
Voorgesteld
De Kamer,
gehoord de beraadslaging,
constaterende dat een verklaring omtrent risicobeheersing (VOR) ervoor zorgt dat bedrijven risico’s moeten identificeren en beheersmaatregelen moeten bepalen, waarover zij transparant zijn richting betrokkenen;
constaterende dat uit onderzoek en aanbevelingen van verschillende partijen blijkt dat een verplichte VOR wenselijk is en de minister van Financiën heeft gepleit voor een VOR in de Corporate Governance Code;
van mening dat een VOR pas volledig is met een uniform normenkader, een intern evaluatieproces en assurance door de accountant;
verzoekt de regering te bevorderen dat er voor 1 januari 2024 een bepaling klaarligt om een VOR voor iedere accountancycontrole bij grote bedrijven als verplichting op te nemen in de Corporate Governance Code, in het geval dat dit niet op korte termijn haalbaar lijkt wetgeving voor te bereiden, bijvoorbeeld in de Wet toekomst accountancy, en de Kamer hier voor het zomerreces een update over te sturen;
en gaat over tot de orde van de dag.
Romke de Jong
Van Weyenberg

De discussie over het ‘in control statement’-vraagstuk lijkt in een impasse te zitten. Er is evenwel ook momentum om de discussie een stap verder te brengen. Zo is door VNO-NCW op 18 oktober 2022 in een brief aan de schragende partijen aangegeven dat VNO-NCW de ambitie heeft om, als schragende partij, op het gebied van het ‘in control statement’ een extra stap te zetten. Ook geeft VNO-NCW in deze brief aan de komende maanden samen met haar achterban op dit gebied voorstellen te willen ontwikkelen. Eerder besloot de NBA, na een gesprek in het voorjaar 2022 met de Monitoring Commissie Corporate Governance, tot het initiatief om een NBA-VOR-werkgroep op te richten, die gevraagd werd een praktisch ontwerp voor een VOR op te stellen van een verklaring omtrent risicobeheersing, teneinde de lopende discussie over de VOR te faciliteren. De auteurs van dit artikel waren lid van deze NBA-VOR-werkgroep.

Hoe actueel het debat over het ‘in control statement’ ook mag zijn, het debat kan niet los worden gezien van een minstens zo belangrijke ontwikkeling, te weten: ESG reporting. De ontwikkelingen op dit vlak gaan erg snel, niet in de laatste plaats door de maatschappelijk gevoelde urgentie voor ESG als ook nieuwe, impactvolle Europe regelgeving voor ESG-rapportage (ook wel niet-financiële informatie genoemd). Interne beheersings- en risicomanagementsystemen, en de verantwoording daarover, zijn ook relevant voor de betrouwbaarheid van de gerapporteerde niet-financiële (ESG) informatie.

2. Ontwerpstudie ‘in control statement’

De discussie over het ‘in control statement’ in Nederland, zoals toegelicht in de voorgaande paragraaf, is de afgelopen twee jaar met name op conceptueel niveau gevoerd en bevindt zich in een impasse. Echter, de vraag is onbeantwoord gebleven hoe aan zo’n ‘in control statement’, zoals bedoeld in het Onderzoeksrapport ‘Versterking verantwoordingsketen’ van de Universiteit Leiden, in de praktijk nadere vorm en inhoud kan worden gegeven. Duidelijkheid over de nadere concrete inhoud en vorm van een ‘in control statement’ aan de hand van een ontwerpuitwerking kan helpen om de hiervoor genoemde impasse in de Nederlandse discussie over het ‘in control statement’ te doorbreken.

De centrale probleemstelling die in dit artikel dan ook centraal staat is: stel een ontwerp op als praktische invulling van een ‘in control statement’ in het bestuursverslag door de bestuurders over de effectieve en adequate risicobeheersings- en controlesystemen van de operationele, verslaggevings- en compliancerisico’s, in lijn met de aanbeveling voor de ‘Verklaring Omtrent Risicobeheersing’ in het Onderzoeksrapport ‘Versterking verantwoordingsketen’ opgesteld door onderzoekers van de Universiteit Leiden (zie Figuur 1).

Figuur 1.

Interventie 1: invoering verklaring omtrent risicobeheersing (onderzoeksrapport ‘Versterking verantwoordingsketen’ door Universiteit Leiden (2021).

Het ontwerp voor het ‘in control statement’ is naast de aansluiting op de aanbeveling voor de ‘Verklaring Omtrent Risicobeheersing’ van de Universiteit Leiden, gebaseerd op de volgende uitgangspunten:

de uitwerking moet aansluiten bij bewezen (internationale) concepten en raamwerken voor risicomanagement en risicoverslaggeving;
de uitwerking moet toekomstbestendig zijn, zodanig dat de verslaggevingsrisico’s betrekking (kunnen) hebben op zowel de financiële als de niet-financiële (ESG) verslaggeving; en
de inhoud en de vorm van het ‘in control statement’ staan los van het vraagstuk omtrent de eventuele externe assurance hierbij.

De opbouw van dit artikel is al volgt. Om te komen tot een praktische invulling voor de vorm en inhoud van een ‘in control statement’ is allereerst op basis van een documentenanalyse, met het rapport ‘Versterking verantwoordingsketen’ (Universiteit Leiden 2021) als vertrekpunt in combinatie met het kennisnemen van (bewezen) internationale concepten en raamwerken voor risicobeheersings- en controlesystemen en ‘in control statements’, een conceptueel kader opgesteld voor het ‘in control statement’. Daarbij is het ‘in control statement’ in de context van de verantwoordingsketen geplaatst; naast de rol van de bestuurders van de vennootschap die het ‘in control statement’ afgeven, komt ook de rol van de auditcommissie/RvC, de internal auditor, de externe accountant en de aandeelhouders/stakeholders daarbij aan de orde. Daarna is op basis van een aantal ontwerpprincipes een praktische, concrete invulling gegeven aan een ‘in control statement’, waarbij een aantal randvoorwaarden voor implementatie is geformuleerd. Ten slotte komt de rol van de internal auditor en de externe accountant bij het ‘in control statement’ kort aan de orde, inclusief mogelijke vormen van assurance bij het ‘in control statement’.

Gezien de insteek van dit artikel valt een afzonderlijke bespreking van de pro- en con-argumenten van het ‘in control statement’ buiten de reikwijdte van dit artikel en wordt hiervoor volstaan met een verwijzing naar het onderzoeksrapport van Universiteit Leiden (2021).

3. Aanpak

De aanpak om te komen tot een praktisch ontwerp voor het ‘in control statement’ kende vier fasen: 1) documentenanalyse; 2) ontwikkelen conceptueel model; 3) uitwerking ontwerpvarianten; en 4) keuze voor – en het opstellen van – een ontwerpvariant.

In de eerste fase, een documentenanalyse, lag de nadruk op het bestuderen en analyseren van het uitgebreide onderzoeksrapport van de Universiteit Leiden (2021) over de versterking van de verantwoordingketen en de daarin opgenomen voorgestelde interventie voor de invoering van de verklaring omtrent risicobeheersing. Daarnaast is een analyse gedaan van (inter)nationale ontwikkelingen en toepassingen en kaders rondom de verantwoording over het ‘in control’ zijn. Hierbij is onder andere ingezoomd op de Sarbanes-Oxley-wetgeving in de Verenigde Staten (SEC 2009), Koster et al. (2021), corporate governance codes en gerelateerde discussiedocumenten vanuit de UK (BEIS (2022), FRC (2014), FRC (2022)), het ‘combined assurance’ model uit Zuid-Afrika (IODSA 2017), ontwikkelingen in Duitsland, het zogenoemde J-SOx framework uit Japan en recente ontwikkelingen binnen de EU rondom governance en (ESG) reporting. Het doel van deze analyse was om zoveel als mogelijk in het ontwerp voor een ‘in control statement’ gebruik te kunnen maken van bewezen concepten, invullingen/toepassingen en denkwijzen, alsmede om het ontwerp toekomstbestendig te laten zijn.

De tweede fase (zie paragraaf 4) betrof de ontwikkeling van een conceptueel kader voor de inhoud van het ‘in control statement’-ontwerp. In deze fase zijn de geïdentificeerde relevante elementen uit de documentanalyse bijeengebracht om te komen tot een conceptueel kader voor de Nederlandse toepassing van een ‘in control statement’. Daarbij is het door bestuurders af te geven ‘in control statement’ in de context van de verantwoordingsketen geplaatst.

In de derde fase zijn de diverse ontwerpvarianten (zie paragraaf 5) nader uitgewerkt door drie beeldbepalende elementen van de inhoud van het ‘in control statement’ tegen het licht te houden, te weten: a) de reikwijdte/doelstellingen van de risicobeheersings- en controlesystemen; b) het normenkader voor risicomanagement; en c) het evaluatieproces.

Ten slotte is in de vierde fase een zogenoemde ontwerpvariant uitgewerkt, gegeven de vier uitgangspunten, zoals beschreven in paragraaf 2. Deze ontwerpvariant is uitgewerkt in de vorm van een voorbeeldtekst (zie hierna paragraaf 6). Daarbij is tevens een aantal randvoorwaarden voor implementatie benoemd (paragraaf 7). Ook zijn enkele bespiegelingen opgenomen met betrekking tot de mogelijke rol van de internal auditor en externe accountant bij het ‘in control statement’ (paragraaf 8).

4. Conceptueel kader voor het ‘in control statement’

Verantwoording afleggen over risico’s en risicobeheersing, in zowel de externe als de interne verslaggeving bestaat volgens De Groot (2010) uit drie met elkaar samenhangende elementen, te weten:

Risicoprofiel: de uiteenzetting van de belangrijkste operationele, strategische, financiële en wet- en regelgeving risico’s waaraan een organisatie blootstaat.
Beschrijving risicomanagementsysteem: de beschrijving van het risicomanagementsysteem is de uiteenzetting van de karakteristieken van het organisatiespecifieke systeem van risicomanagement, waarmee de bedrijfsrisico’s worden beheerst.
In control-verklaring: een uitspraak van de organisatieleiding over de opzet/het bestaan en/of de werking van het beschreven (deel)systeem van risicomanagement/interne beheersing en/of de betrouwbaarheid van het risicoprofiel.

De VOR, zoals bedoeld in het rapport van de onderzoekers van Universiteit Leiden, gaat over het bovenstaande derde element, de in control-verklaring. De bespreking van de twee andere elementen van risicoverslaggeving in het bestuursverslag, te weten de beschrijving van het risicoprofiel en de beschrijving van het risicomanagementsysteem, wordt gezien de doelstelling van dit artikel (zie paragraaf 2) verder buiten beschouwing gelaten.

In een op basis van literatuuronderzoek gebaseerd raamwerk voor de in control-verklaring komen volgens De Groot (1996) en De Groot (2010) de volgende inhoudelijke elementen aan de orde:

De doelstellingen/reikwijdte in termen van:
de beheersing van welke soort risico’s waarover een conclusie wordt gegeven: strategische, en/of operationele, en/of financiële, en/of verslaggevings- en/of wet- en regelgevingsrisico’s;
een conclusie over de effectiviteit van de opzet of het bestaan en/of de werking van het (deel)systeem van risicomanagement; en
de tijdsperiode of het tijdstip waarop de conclusie betrekking heeft.
De verantwoordelijkheden voor het systeem van risicomanagement.
Het referentiekader of de referentiecriteria (normenkader).
Organisatiespecifiek business-control raamwerk en eventueel criteria die opgenomen zijn in een algemeen extern referentiemodel, zoals het COSO Integrated Internal Control Framework.
Het evaluatieproces, eventueel met de vermelding dat de evaluatie van de opzet of het bestaan en de werking is uitgevoerd op basis van externe spelregels dan wel interne spelregels.
De eventueel geconstateerde materiële en/of belangrijke tekortkomingen en genomen verbeteracties.
De inherente beperkingen die verbonden zijn aan interne beheersing (zoals samenspanning, fraude, geen garantie over toekomstige werking).
De mate van zekerheid die wordt verschaft, bijvoorbeeld ‘reasonable assurance’ of ‘limited assurance’.
De conclusie over de effectieve opzet of het effectieve bestaan en/of de werking op enig moment dan wel gedurende een bepaalde periode en in relatie tot de gekozen doelstelling(en).
Eventuele disclaimer dat de Nederlandse in control-verklaring geen compliance met de US Sarbanes Oxley sectie 404 inhoudt.
Eventueel een afzonderlijke ondertekening en datering.

Wanneer de organisatie materiële of belangrijke tekortkomingen heeft, dan evalueert het bestuur wat de invloed hiervan is op de overall effectiviteitconclusie en de formulering daarvan. Daarbij kunnen verschillende formuleringen worden gebruikt, bijvoorbeeld: ‘alles is goed, met uitzondering van …’ of ‘het systeem is niet effectief, want er is sprake van …’.

Het ‘in control statement’ wordt afgegeven door de bestuurders van de vennootschap. Andere actoren in de verantwoordingsketen, te weten de auditcommissie/rvc, de internal auditor en de externe accountant, hebben ook een verantwoordelijkheid en rol te spelen met betrekking tot het ‘in control statement’. Daartoe is het ‘in control statement’ in de context van de verantwoordingsketen geplaatst.

Het conceptueel kader voor de inhoud van de ‘in control statement’ in de context van de verantwoordelijkheden bij het ‘in control statement’ van diverse actoren in de verantwoordingsketen, is schematisch weergegeven in figuur 2. Aan de hand van dit conceptuele kader voor de in control-verklaring wordt in het vervolg van dit artikel een praktische invulling uitgewerkt voor een ‘in control statement’ in de Nederlandse externe verslaggeving.

Figuur 2.

Samenvattend conceptueel kader voor de inhoud van een ‘in control statement’ en verantwoordelijkheden van relevante actoren in de verantwoordingsketen hierbij.

5. Ontwerpvarianten

Uit het conceptuele kader voor de inhoud van het ‘in control statement’ (Figuur 2) volgt dat een standaard ‘in control statement’ niet bestaat. Variatie in de inhoud van het ‘in control statement’ vloeit met name voort uit de keuzes die gemaakt worden voor de invulling binnen elk van de volgende drie inhoudelijke elementen: a) de reikwijdte/doelstellingen van de risicobeheersings- en controlesystemen; b) het normenkader voor risicomanagement en interne beheersing; en c) het evaluatieproces. In deze paragraaf worden de ontwerpvarianten uitgewerkt langs de lijnen van deze drie elementen.

Andere relevante inhoudelijke elementen voor een ‘in control statement’-ontwerp zoals benoemd in paragraaf 4, zijn aan veel minder variatie onderhevig en worden in dit artikel dan ook niet nader uitgewerkt. Dit betreft de elementen verantwoordelijkheden, eventuele geconstateerde tekortkomingen en (geplande) verbeteringen, inherente beperkingen verbonden aan interne beheersing, de eindconclusie over het stelsel van risicobeheersing, de ondertekening door de bestuurders en de plaats van het ‘in control statement’ in het bestuursverslag.

5.1. Reikwijdte/doelstellingen risicobeheersings- en controlesysteem

De reikwijdte en doelstelling van het risicobeheersings- en controlesysteem waar het ‘in control statement’ betrekking op heeft, worden bepaald door specifieke keuzes te maken met betrekking tot de onderstaande drie aspecten:

Type risicogebieden

Het type risicogebieden dat door het organisatiespecifieke risicomanagementsysteem wordt afgedekt, kan operations zijn, en/of compliance met wet- en regelgeving, en/of verslaggeving en/of strategie. Daarbij heeft operations betrekking op doelstellingen met betrekking tot efficiënte en effectieve bedrijfsprocessen (inclusief financiële doelstellingen). Het risicogebied verslaggeving kan zowel toezien op financiële verslaggeving in overeenstemming met een voorgeschreven stelsel inzake financiële verslaggeving als op niet-financiële verslaggeving, waaronder Environmental, Social & Governance (ESG)-rapportage. Het risicogebied compliance met wet- en regelgeving ziet toe op het voldoen aan de voor de onderneming van toepassingen zijnde (inter)nationale wet- en regelgeving. Onderzoekers van de Universiteit Leiden bevelen aan dat de reikwijdte van het ‘in control statement’ toeziet op de beheersing van de operationele, compliance- en verslaggevingsrisico’s.

In overeenstemming met de Nederlandse Corporate Governance Code 2016 (principe 1.2 en best practice-bepalingen 1.2.1, 1.2.2 en 1.2.3) worden door de auteurs van dit artikel ook de strategische risico’s in dit kader van het ‘in control statement’ ter afweging van de reikwijdte en doelstelling van het risicobeheersings- en controlesysteem benoemd (zie verder paragraaf 6). Dit in tegenstelling tot het onderzoeksrapport ‘Versterking verantwoordingsketen’ van de Universiteit Leiden, waarin wordt gesteld dat de VOR (nog) niet tot strategische risico’s dient uit te strekken, aangezien strategische risico’s meer extern gericht zijn, terwijl de overige risicogebieden meer betrekking hebben op interne processen. Het onderzoeksrapport van de Universiteit Leiden stelt daarbij dat het niet hoeft te worden uitgesloten dat in de toekomst ook over strategische risico’s een verklaring kan of dient te worden afgelegd (Universiteit Leiden 2021, pagina 86).

Opzet/bestaan en/of werking van de risicobeheersings- en controlesystemen

Opzet en bestaan ziet toe op de beleidslijnen en procedures omtrent het beschreven risicobeheersings- en controlesysteem, dat door de organisatie op een gespecificeerde datum op adequate wijze is opgezet en geïmplementeerd. De werking van het beschreven risicobeheersings- en controlesysteem betreft de beoordeling door de organisatie van de effectieve werking van de beleidslijnen en procedures gedurende een gespecificeerde verslagperiode.

Periode (peildatum versus peilperiode)

De reikwijdte van het ‘in control statement’ kan toezien op de opzet/bestaan en/of de werking van het organisatiespecifieke risicobeheersings- en controlesysteem op een gespecificeerde datum (peildatum), zoals dit bijvoorbeeld wordt toegepast in de US en Japan, of over een gespecificeerde verslagperiode (peilperiode).

5.2. Normenkader voor risicomanagement

De keuze voor welk normenkader/referentiekade voor risicomanagement wordt gehanteerd, is een tweede, beeldbepalend element voor de inhoud van een ‘in control statement’. Nederland kent geen wettelijk of anderszins voorgeschreven normenkader voor het opstellen en evalueren van een risicobeheersings- en controlesysteem. Wel wordt in de Corporate Governance Code vanuit een best practice-gedachte benoemd dat het bestuur in de beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen aangeeft welk raamwerk of normenkader is gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem. (Daarbij wordt in de toelichting op de Code opgemerkt dat verwezen kan worden naar bijvoorbeeld het COSO-raamwerk voor interne beheersing).

De Universiteit Leiden beveelt aan om een normenkader op te stellen op basis waarvan het bestuur een ‘In Control Statement’ (Verklaring Omtrent Risicomanagement) kan afgeven. Daartoe pleiten de Leidse onderzoekers voor het aanstellen van een commissie om dit normenkader verder te vullen, waarbij de commissie een vertegenwoordiging zou kunnen behelzen van bij het onderwerp betrokken stakeholders.

Hierna volgt een korte uiteenzetting van een aantal generieke en algemeen geaccepteerde normenkaders die internationaal worden toegepast om een risicobeheersings- en controlesysteem te ontwerpen en te evalueren. Tevens wordt daarna stilgestaan bij de vraag hoe normenkaders worden toegepast in onder meer de Verenigde Staten, Japan en de UK.

5.2.1. COSO Internal Control - Integrated Framework (2013) en COSO ERM (2017)

De Committee of Sponsoring Organizations of the Treadway Commission (hierna COSO) heeft zichzelf tot doel gesteld om organisaties te helpen bij het verbeteren van resultaten door thought leadership te ontwikkelen, onder meer op het gebied van internal control en (fraude) risicomanagement. De twee meest bekende en toegepaste door COSO ontwikkelde normenkaders zijn het Internal Control - Integrated Framework (COSO ICIF) 2013-normenkader en het Enterprise Risk Management (ERM) 2017-normenkader. Het ICIF 2013-normenkader bestaat uit 5 componenten waarlangs een goed risicobeheersings- en controlesysteem kan worden ontworpen ten behoeve van operationele, compliance- en (financiële) rapportagedoeleinden. Hierbij wordt elk van de componenten ondersteund door meerdere principes.

In totaal kent COSO ICIF 17 principes met in totaal 77 onderliggende ‘points of focus’. Het COSO ICIF 2013-normenkader kan worden gezien als het internationaal meest geaccepteerde generieke normenkader voor interne beheersing.

Het COSO-ERM-normenkader is er vooral op gericht om het belang van risicomanagement bij de strategische planning te benadrukken en risicomanagement te verankeren in de organisatie, omdat risico’s de strategie en prestaties van de onderneming beïnvloeden. Het ERM-normenkader wordt ondersteund door 20 principes.

Het COSO ERM-nomenkader heeft een link met een aantal elementen van het COSO ICIF. Het implementeren van interne beheersmaatregels is immers de meest voorkomende manier om risico’s te beheersen als organisatie. Echter, het COSO ERM-normenkader kan breder worden toegepast. Elementen als risicobereidheid, tolerantie, strategie en afgeleide organisatiedoelstellingen worden expliciet benoemd als onderdeel van het COSO ERM, maar worden als randvoorwaardelijk beschouwd binnen COSO ICIF-kader. Het COSO ERM-kader is daarom meer afgestemd op de strategie dan op interne beheersing.

Figuur 3.

COSO Integrated internal control framework (2013).

5.2.2. ISO 31000 – Risk Management

Net als het COSO ERM-normenkader biedt het risicomanagementnormenkader van de International Organization for Standardization (ISO) 31000 richtlijnen voor organisaties om risicobewuste beslissingsvoering te integreren in het bestuur, de planning, rapportering, het beleid, waarden en cultuur. ISO 31000 biedt hierbij richtlijnen voor het risicomanagementkader, het risicomanagementproces en 8 principes.

Figuur 4.

COSO ERM Framework (2017).

Figuur 5.

ISO 31000 Risk Management.

5.2.3. Landspecifieke invulling

In Nederland wordt het hanteren van een generiek raamwerk of normenkader bij de evaluatie van het interne risicobeheersings- en controlesysteem volgens de Code als best practice gezien. Daarentegen zijn er ook andere landen, waar het hanteren van een generiek raamwerk een verplicht karakter heeft.

In 2002 werd in de Verenigde Staten de Sarbanes-Oxley (SOx)-wet bekrachtigd, om misstanden op het vlak van financiële verslaglegging door ondernemingen tegen te gaan. De wetgeving vraagt onder meer dat in de jaarverslaggeving het management verantwoording aflegt over de opzet, het bestaan en de werking van internal controls ten behoeve van de financiële verslaggeving (het zogenoemde SOx 404 ‘in control statement’). Hierbij dient tevens de externe accountant een opinie te geven over de effectiviteit. De SEC geeft hierbij in haar interpretive guidance aan dat: ‘Under the Commission’s rules, management’s annual assessment of the effectiveness of ICFR must be made in accordance with a suitable control framework’s definition of effective internal control.’ (SEC 2003). In de praktijk wordt in de Verenigde Staten het COSO ICIF 2013-normenkader toegepast door ondernemingen die onder de betreffende SOx sectie 404-regelgeving vallen. Tevens dienen bestuurders in het kader van de SOx-wetgeving een verklaring af te geven over de effectieve werking van de disclosure controls & procedures (de zogenoemde SOx 302 statement).

In Japan werd in 2006 de ’Financial Instruments and Exchange Act’ aangenomen met eenzelfde soort doelstelling als de Sarbanes-Oxley Act in de Verenigde Staten. Deze wet staat dan ook wel bekend als J-SOx. Hierbij is het management ook verplicht om verantwoording af te leggen over de effectiviteit van de interne beheersing ten aanzien van de financiële verslaggeving en is het toepassen van het COSO ICIF normenkader verplicht. Anders dan in de Verenigde Staten geeft de externe accountant geen opinie af ten aanzien van de effectiviteit van internal controls rondom de financiële verslaggeving, maar doet onderzoek naar de wijze waarop het management de verklaring aflegt.

Een andere vorm van een algemeen normenkader voor risicomanagement en internal control is te vinden in de UK. In 2014 heeft de FRC haar geüpdatete guidance document ‘Guidance on Risk Management, Internal Control and Related Financial and Business Reporting’ (FRC 2014) uitgebracht voor ondernemingen die vallen onder de UK corporate governance code. Dit document geeft nadere invulling aan a) de verantwoordelijkheden van riskmanagement en internal control; b) de uitvoering van die verantwoordelijkheden; c) de inrichting van risk management en control systems; d) monitoring en review van de risk management en internal control systems; en e) samenhangende financial en business reporting.

5.3. Evaluatieproces

Een derde beeldbepalend element in het ‘in control statement’ is de keuze voor de wijze waarop het evaluatieproces van de adequate opzet/het adequate bestaan en de effectieve werking van het risicomanagementsysteem wordt voorgeschreven en ondernemingsspecifiek wordt ingevuld, inclusief hoe de uitkomsten worden gewogen in relatie tot de conclusie van het bestuur of de risicomanagementsystemen al dan niet adequaat zijn opgezet en effectief hebben gewerkt.

In normenkaders en guidance documenten uit bijvoorbeeld de UK, de Verenigde Staten en Japan, zoals hiervoor in paragraaf 5.2 genoemd, zijn soms handvatten te vinden voor de wijze waarop het evaluatieproces ingericht kan worden. De aard (bijvoorbeeld documentinspectie, interviews, inspectie ter plaatse of re-performance), timing en diepgang van de evaluatie (monitoringactiviteiten) kunnen variëren door bijvoorbeeld de zwaarte van een onderkend risico, de risicohouding en de mate van zekerheid die het bestuur wil verkrijgen.

Bij de inrichting van het evaluatieproces kan rekening worden gehouden met de verschillende activiteiten die ten aanzien van de evaluatie worden uitgevoerd door verschillende functies binnen de organisatie (mede op basis van het 3-lines model). Hierbij kan worden gedacht aan:

1 ^e lijn: control self-assessment al dan niet met interne certificering vanuit het management;
2 ^e lijn: toezicht en evaluatie vanuit ondersteunende functies, zoals risicomanagement, internal control, juridische zaken en compliance;
3 ^e lijn: internal audits, uitgevoerd door de internal auditor;
de werkzaamheden en bevindingen van de externe accountant en eventuele andere externe assurance providers (soms ook wel 4 ^e lijn genoemd).

Het ‘combined assurance model’ vanuit de King IV Code voor corporate governance in Zuid-Afrika geeft aan deze benadering nader inhoud. Dit model gaat uit van een gecoördineerde wijze om vanuit het 3-lines model (inclusief de externe accountant) de effectiviteit van internal control op verschillende, voor de onderneming relevante voornaamste risico’s (strategisch, operationeel, compliance en verslaggeving) te beoordelen. Het is een verantwoordelijkheid van de auditcommissie om te beoordelen of er voldoende assurance wordt gegeven vanuit de verschillende ‘lines of defense’ om comfort te verkrijgen over de mate van beheersing van het risico door de organisatie. King IV schrijft niet nader voor aan welke voorwaarden het risicomanagement- en controlsysteem moet voldoen. Zie figuur 6 voor een voorbeeld van een assurance mapping model, dat gebruikt kan worden als een invulling van het combined assurance model.

6. Ontwerp voor een ‘in control statement’

Gegeven de uitgangspunten zoals geformuleerd in paragraaf 2, te weten 1) de invulling die de onderzoekers van de Universiteit Leiden hebben gegeven aan het ‘in control statement’; 2) dat het ‘in control statement’ ontwerp toekomstbestendig moet zijn; en 3) zoveel mogelijk dient aan te sluiten op internationale geaccepteerde normenkaders en guidance, verdient het in de optiek van de auteurs van dit artikel de voorkeur om in de Nederlandse context het ‘in control statement’ in het bestuursverslag inhoud te geven door te kiezen voor een ‘in control statement’:

dat qua reikwijdte betrekking heeft op:
strategische, operationele, compliance, financiële en niet-financiële (ESG)) verslaggevingsrisico’s;
zowel de adequate opzet/bestaan als de effectieve werking van het risicobeheersings- en controlesysteem; en
de situatie ultimo boekjaar (peildatum);
waarbij het COSO Internal Control Integrated Framework (2013) als best practice normenkader wordt gehanteerd; en
waarbij het evaluatieproces mede gebaseerd is op de combined assurance-benadering (die aansluit op het 3-lines model), met toezicht daarop door de auditcommissie/rvc.

Figuur 6.

Voorbeeld assurance mapping (combined assurance model).

In figuur 7 is een voorbeeld ontwerpuitwerking opgenomen van het ‘in control statement’ dat op basis van de bovenstaande uitgangspunten en keuzes is uitgewerkt. Deze generieke voorbeeldtekst dient vervolgens organisatiespecifiek gemaakt te worden. Bij dit ontwerp wordt het volgende opgemerkt:

Ten eerste: op basis van het uitgangspunt toekomstbestendigheid is, gezien alle ontwikkelingen rondom ESG en de komende wettelijke verplichte externe verantwoordingsinformatie daarover in het bestuursverslag, in het ‘in control statement’-ontwerp expliciet gemaakt dat het ‘in control statement’ zowel betrekking heeft op de beheersing van de financiële verslaggeving als de niet-financiële (ESG) verslaggevingsrisico’s.

Figuur 7.

Voorbeeld ‘in control statement’ (verklaring omtrent risicobeheersing).

Ten tweede, in afwijking van het voorstel van de onderzoekers van de Universiteit Leiden (om strategische risico’s (vooralsnog) niet op te nemen in het ‘in control statement’) is in dit ontwerp ook de strategie opgenomen in de reikwijdte van het ‘in control statement’. Dit om aansluiting te houden bij de huidige Corporate Governance Code 2016 en omdat strategische risico’s een integraal onderdeel zijn van risicomanagement. Om dit praktisch mogelijk te maken, is er in het voorliggende ontwerp voor gekozen om in het ‘in control statement’ niet te stellen dat de risicomanagementsystemen met een redelijke mate van zekerheid borgen dat de strategische doelen en de operationele doelen (in termen van efficiënte en effectieve bedrijfsprocessen) worden gerealiseerd, maar door te stellen dat de risicobeheersings- en controlesystemen een redelijke mate van zekerheid verschaffen dat de organisatie ‘steeds tijdig op de hoogte is geweest van de mate waarin de organisatie haar strategische en operationele doelstellingen heeft bereikt’. Deze invulling is in lijn met het COSO Enterprise Risk Management - Integrated Framework: Executive summary (COSO (2004) pagina 3), waarin wordt gesteld: ‘Because objectives relating to reliability of reporting and compliance with laws and regulations are within the entity’s control, enterprise risk management can be expected to provide reasonable assurance of achieving those objectives. Achievement of strategic objectives and operations objectives, however, is subject to external events not always within the entity’s control; accordingly, for these objectives, enterprise risk management can provide reasonable assurance that management, and the board in its oversight role, are made aware, in a timely manner, of the extent to which the entity is moving toward achievement of the objectives.’

Ten derde, er is in dit ontwerp gekozen voor een ‘in control statement’ dat betrekking heeft op de stand van zaken per ultimo boekjaar (peildatum) en niet over een heel boekjaar (peilperiode). Deze keuze vloeit voort uit een weging van aansprakelijkheidsrisico’s, verbonden aan deze twee peilvarianten, en om op dit punt aan te sluiten bij de ‘in control statements’ uit de Verenigde Staten en Japan.

7. Randvoorwaarden

Randvoorwaarde voor eventuele implementatie van deze ‘in control statement’-ontwerpvariant in de Nederlandse omgeving is het opstellen van een nadere uitwerking waarin de keuze van het normenkader en guidance voor bestuurders en commissarissen is opgenomen. De keuze voor een algemeen geaccepteerd normenkader, zoals COSO, is in de optiek van de auteurs van dit artikel niet voldoende. Ook in Nederland is daarvoor specifieke nadere guidance nodig, net als onder andere in de Verenigde Staten en Japan het geval is (zie paragraaf 5.2). Hierdoor wordt meer duidelijkheid en houvast verschaft voor bestuurders en commissarissen die een ‘in control statement’ afgeven en krijgen aandeelhouders en andere stakeholders duidelijkheid over wat ze op dit vlak mogen verwachten van bestuurders en commissarissen. Van belang hierbij is zoveel mogelijk gebruik te maken van bestaande internationale normenkaders en concrete guidance, zoals bijvoorbeeld uitgewerkt in de Verenigde Staten, Japan, de UK en Zuid-Afrika. Daarin kan ook worden uitgewerkt in hoeverre een eventueel gefaseerde invoering van het ‘in control statement’ wenselijk en uitvoerbaar is. Nadere uitwerking van deze randvoorwaarde vereist betrokkenheid van alle relevante stakeholders bij de verslaggeving door ondernemingen.

Daarnaast verdient het in de optiek van de auteurs van dit artikel aanbeveling om – indien de politiek ervoor kiest om het ‘in control statement’ via de wet en niet via de Code (zoals de minister van Financiën dat wenst) te implementeren – te onderzoeken of bij de introductie van het in control statement voor wat betreft reikwijdte van type ondernemingen waarop het in control statement van toepassing wordt, eventueel kan worden aangesloten bij de reikwijdte van de Corporate Sustainability Reporting Directive (CSRD) in termen van zowel type onderneming als timing van invoering. Dit in plaats van het voorstel van de Universiteit Leiden om het in control statement wettelijk verplicht te maken voor alle grote ondernemingen. Het in dit artikel voorgestelde ‘in control statement’ ziet namelijk ook toe op de niet-financiële (ESG) verslaggeving, waardoor aansluiting op wetgeving rondom ESG reporting voor de hand ligt. En om de regeldruk op ondernemingen te temporiseren en eenduidig te houden in plaats van deze complexer te maken door voor verschillende soorten (maar toch met elkaar samenhangende) verslaggevingsvoorschriften, verschillende implementatiepaden te bewandelen.

Ten slotte wordt in dit kader opgemerkt dat een mogelijke integratie van het ‘in control statement’ met het ‘resilience/viability statement’ (ook wel Verklaring omtrent Leefbaarheid genoemd) gezien de doelstelling van dit artikel, hier buiten beschouwing wordt gelaten.

8. Rol internal auditor en externe accountant

Het is in de optiek van de auteurs van dit artikel aan de raad van bestuur en raad van commissarissen (al dan niet op verzoek van de aandeelhouders) van de vennootschap om te bepalen welke rol de internal auditor (indien aanwezig) kan spelen met betrekking tot het verlenen van assurance bij het ‘in control statement’ (zie ook paragraaf 5.3). In de Nederlandse Code Corporate Governance 2016 is al opgenomen (principe 1.3) dat de internal auditfunctie als taak heeft de opzet en de werking van de interne risicobeheersings- en controlesystemen te beoordelen.

De auditcommissie/rvc kan (al dan niet op verzoek van de aandeelhouders) de externe accountant vragen om aan hen te rapporteren over specifiek overeengekomen werkzaamheden met betrekking tot (onderdelen van) de VOR, of de externe accountant vragen assurance te verlenen bij het ‘in control statement’, en zo ja, met welke scope, in welke vorm (waaronder de mate van zekerheid) en of de rapportage van de externe accountant uitsluitend voor interne doeleinden is of tevens extern gepubliceerd wordt. Dit in aanvulling op de huidige rol van de externe accountant op basis van NV COS Standaard 720. Die NV COS-standaard schrijft voor dat de externe accountant nagaat of informatie in het bestuursverslag (waaronder dus ook het ‘in control statement’) geen inconsistentie(s) van materieel belang heeft ten opzichte van de jaarrekening en verkregen kennis tijdens zijn controle van de jaarrekening.

Internationaal is de assurancerol van de externe accountant bij het ‘in control statement’ op verschillende wijze ingevuld. Zo is in de Verenigde Staten wettelijk bepaald dat de externe accountant een controleverklaring moet afgeven bij de uit hoofde van SOx 404 uitgevoerde evaluatie van internal control door het management. In Japan is wettelijk bepaald dat de externe accountant zich een oordeel dient te vormen over de wijze waarop het management over de effectiviteit van internal control rapporteert.

De onderzoekers van de Universiteit Leiden stellen in hun interventie (Figuur 1) voor dat de accountant over het ‘in control statement’ een beoordelingsverklaring kan afgeven en dat daarvoor een normenkader ontwikkeld dient te worden. De vraag of dat inderdaad wenselijk is en daadwerkelijk bijdraagt aan het versterken van de verantwoordingsketen? Dit is een vraag, die in de optiek van de auteurs van dit artikel om nader (wetenschappelijk) onderzoek en debat vraagt. Gezien de insteek van dit artikel valt het vraagstuk of er een eventuele rol voor de externe accountant bij het ‘in control statement’ kan zijn (zie ook paragraaf 5.3) – en zo ja, of die rol daadwerkelijk bijdraagt aan het versterken van de verantwoordingsketen, wat die rol dan zou kunnen zijn en op welke wijze die rol vervolgens ingevuld kan worden – buiten de scope van dit artikel.

9. Conclusie en slotbeschouwing

In dit artikel is een praktisch ontwerp gepresenteerd van een ‘in control statement’ (een expliciete verantwoording in het bestuursverslag door bestuurders over de adequate opzet en effectieve werking van de risicomanagementsystemen), met als doel om aan de hand van een dergelijk praktisch voorbeeld - met andere woorden door het ‘in control statement’ handen en voeten te geven – de thans lopende discussie over het ‘in control statement’ in Nederland een stap verder te brengen.

Gegeven de invulling die de onderzoekers van de Universiteit Leiden hebben gegeven aan het ‘in control statement’, de uitgangspunten dat een ‘in control statement’-ontwerp toekomstbestendig moet zijn en zoveel mogelijk dient aan te sluiten op internationale geaccepteerde normenkaders en guidance, verdient het in de optiek van de auteurs van dit artikel de voorkeur om in de Nederlandse context het ‘in control statement’ in het bestuursverslag praktische inhoud te geven door te kiezen voor een ‘in control statement’ dat:

betrekking heeft op strategische, operationele, compliance-, financiële en niet-financiële (ESG) verslaggevingsrisico’s;
betrekking heeft op zowel de adequate opzet/bestaan als de effectieve werking van het risicobeheersings- en controlesysteem;
een uitspraak verlangt over de situatie ultimo boekjaar (peildatum);
het COSO Internal Control Integrated Framework (2013) als normenkader hanteert; en waarbij het evaluatieproces mede gebaseerd is op de combined assurance benadering (die aansluit op het 3- lines model), met toezicht daarop door de auditcommissie/RvC.

Het op basis van deze uitgangspunten uitgewerkte voorbeeld voor een ‘in control statement’ is opgenomen in figuur 7. Daarbij wordt opgemerkt dat ten aanzien van de beheersing van strategische en operationele risico’s overigens niet verklaard hoeft te worden dat de systemen op dat vlak effectief hebben gewerkt, in de betekenis dat de strategische en operationele doelstellingen zijn behaald. Er dient in lijn met COSO ERM (2004) met betrekking tot deze twee risicogebieden te worden verklaard dat de effectieve werking van die systemen een redelijke mate van zekerheid verschaft dat de raad van bestuur in het verslagjaar steeds tijdig op de hoogte is geweest van de mate waarin de organisatie haar strategische en operationele doelstellingen heeft bereikt.

Een essentiële voorwaarde voor een eventuele implementatie van deze ‘in control statement’-ontwerpvariant (of andere varianten) in de Nederlandse omgeving is het opstellen van een nadere uitwerking waarin: a) een keuze van het normenkader (waarvoor diverse internationale kaders reeds beschikbaar zijn, zoals uiteengezet in dit artikel) wordt gemaakt; en b) specifieke guidance met nadere handvatten voor bestuurders, commissarissen en gebruikers is opgenomen. Het ligt voor de hand dat – zoals ook voorgesteld door de onderzoekers van Leiden – daarvoor een specifieke commissie wordt samengesteld met een vertegenwoordiging van relevante belanghebbenden bij de externe verslaggeving door ondernemingen.

Met deze voorbeelduitwerking is nadrukkelijk niet beoogd om de nieuwe norm neer te zetten voor een ‘in control statement’. De praktische uitwerking is bedoeld om de verdere discussie over de inhoud en vorm van het ‘in control statement’, alsmede over de pro’s en con’s van zo’n statement, te faciliteren. Voor die verdere discussie inclusief de afwegingen om al dan niet te komen tot de invoering van een ‘in control statement’ in Nederland, geven de auteurs, in aanvulling op hetgeen in dit artikel is besproken, de volgende overwegingen mee:

Verken de voor- en nadelen van een eventuele gefaseerde invoering in termen van:
op welke risicogebieden (strategisch en/of operationeel en/of compliance en/of financiële c.q. niet-financiële (ESG) verslaggeving) het ‘in control statement’ betrekking heeft; en
welke groep van ondernemingen (bijvoorbeeld beursgenoteerd, ondernemingen vallend onder de CSRD, of grootte) onder de reikwijdte van het ‘in control statement’ valt.
Bezie bij de discussie rondom het al dan niet invoeren van het ‘in control statement’, alsmede de eventuele timing ervan in samenhang met de implementatie van de CSRD, welke wettelijke EU-vereisten voor niet-financiële (ESG) verantwoordingsinformatie een grote inspanning vragen van de onder deze regelgeving vallende organisatie. Heb daarbij ook oog voor het feit dat de interne beheersing rondom ESG-verantwoordingsinformatie in het bestuursverslag momenteel doorgaans nog veel minder volwassen is dan de interne beheersing rondom de financiële verantwoordingsinformatie in de jaarrekening.
Volg de internationale ontwikkelingen op het gebied van corporate governance en verslaggeving op de voet en leer hiervan, in bijzonder op het niveau van de EU, aangezien het debat over accountability voor risicomanagement daar nu ook actueel is.
Onderzoek het nut, de kosten/baten en invulling en de haalbaarheid van de mogelijk assurancerol van de internal auditor bij het ‘in control statement’. Hetzelfde geldt voor de eventuele aanvullende assurancerol van de externe accountant (in aanvulling op zijn reeds bestaande toets op de informatie in het bestuursverslag (te weten een toets op verenigbaarheid van informatie in het bestuursverslag met de jaarrekening en zijn verkregen kennis over de organisatie bij de uitvoering van zijn controlewerkzaamheden).

Het ‘in control statement’ staat naar verwachting ook de komende tijd nog in de schijnwerpers van de politiek, wetgever, bestuurders, commissarissen, internal auditors, aandeelhouders, beleggers en accountants. Er is momentum. Het is interessant om te zien welke partijen in de Nederlandse polder gezamenlijk de handschoen verder oppakken om de ‘in control statement’-discussie een stap verder te brengen. Ook voor toekomstig wetenschappelijk onderzoek op het gebied van corporate governance, verslaggeving en auditing blijft het verantwoorden over het in control zijn een interessant onderzoeksgebied.

J. Bolt – Jeroen is werkzaam binnen KPMG Advisory Nederland met als aandachtgebied risicomanagement en interne beheersing.

J. de Groot – Jos is werkzaam als plv. compliance officer binnen PricewaterhouseCoopers Nederland, lid van de werkgroep bestuursverslag/corporate governance van de Raad voor de Jaarverslaggeving en commissaris bij een aantal organisaties in de publieke sector.

R. van Hemmen – Rob is als zelfstandig adviseur werkzaam.

M. de Jong – Martijn is werkzaam als corporate governance specialist bij EY Nederland en op Europees niveau, lid van de werkgroep bestuursverslag/corporate governance van de Raad voor de Jaarverslaggeving en lid van de NBA-werkgroep Corporate Governance.

Literatuur

BEIS [Department for Business, Energy and Industrial Strategy] (2022) Restoring trust in audit and corporate reporting - Government response to the consultation on strengthening the UK’s audit, corporate reporting and corporate governance systems. https://www.gov.uk/government/consultations/restoring-trust-in-audit-and-corporate-governance-proposals-on-reforms

CTA (2020) Vertrouwen op controle. Rapport van de Commissie toekomst accountancysector. https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2020/01/30/vertrouwen-op-controle-eindrapport-van-de-commissie-toekomst-accountancysector

COSO (2004) COSO Enterprise Risk Management – Integrated Framework. https://www.coso.org

COSO (2013) COSO Internal Control – Integrated Framework (2013). https://www.coso.org

COSO (2017) COSO Enterprise Risk Management – Integrating with strategy and performance. https://www.coso.org

De Groot JI (1996) De Management Internal Control Rapportering – Een nieuw fenomeen voor de Nederlandse externe verslaglegging? De Accountant Nr 2/oktober 1996.

De Groot JI (2010) Op weg naar een raamwerk voor risicoverslaggeving. Tijdschrift voor Jaarrekeningenrecht 2010(1/2): 38–47.

FRC [Financial Reporting Council] (2014) Guidance on Risk Management, Internal Control and Related Financial and Business Reporting. https://www.frc.org.uk/directors/corporate-governance-and-stewardship/uk-corporate-governance-code/frc-guidance-for-boards-and-board-committees

FRC [Financial Reporting Council] (2022) Position Paper - Restoring Trust in Audit and Corporate Governance. July 2022. https://www.frc.org.uk/about-the-frc/restoring-trust-in-audit-and-corporate-governance

Hijink S, De Groot JI (2020) Verslaggeving over ‘in-control’ door Nederlandse beursvennootschappen. Maandblad Voor Accountancy en Bedrijfseconomie 94(11/12): 477–493. https://doi.org/10.5117/mab.94.59763

IODSA [Institute of Directors South Africa] (2017) King IV Report. https://www.iodsa.co.za/page/king-iv

Koster H, Lycklama à Nijeholt MP, Verdoes TLM (2021) Incontrol-regelingen in Nederland en de Verenigde Staten: een vergelijkende analyse. Onderneming En Financiering 29(2): 20–30. https://doi.org/10.5553/OenF/157012472021029002003

MCCG [Monitoring Commissie Corporate Governance Code] (2016a) Reacties op het voorstel voor herziening van de Nederlandse Corporate Governance Code – Verantwoording van het werk van de Commissie. https://www.mccg.nl/publicaties/publicaties/2016/12/8/reacties-op-voorstel-voor-herziening-van-de-corporate-governance-code

MCCG [Monitoring Commissie Corporate Governance Code] (2016b) Corporate Governance Code 2016. https://www.mccg.nl/de-code/publicaties/codes/2016/12/8/corporate-governance-code-2016

MCCG [Monitoring Commissie Corporate Governance Code] (2022a) De Nederlande Corporate Governance Code – Voorstel voor actualisatie: consultatiedocument. https://www.mccg.nl/publicaties/codes/2022/2/21/voorstel-voor-actualisering

MCCG [Monitoring Commissie Corporate Governance Code] (2022b) Corporate Governance Code 2022. https://www.mccg.nl/publicaties/codes/2022/12/20/corporate-governance-code-2022

MCCG [Monitoring Commissie Corporate Governance Code] (2022c) Slotdocument. https://www.mccg.nl/publicaties/publicaties/2022/12/20/slotdocument-commissie-van-der-meer-mohr-2022

Ministerie van Financiën (2021) Aanbieding rapport ‘Versterking verantwoordingsketen’ en tweede voortgangsrapportage Kwartiermakers toekomst accountancysector. 2021-0000123466. https://www.rijksoverheid.nl/documenten/kamerstukken/2021/07/09/kamerbrief-over-aanbieding-rapport-versterking-verantwoordingsketen-en-tweede-voortgangsrapportage-kwartiermakers-toekomst-accountancysector

Oxera (2022) An analysis of the EU governance framework for corporate reporting. European Contact Group. https://www.europeancontactgroup.eu/news/new-oxera-report-predicts-benefits-of-a-unified-corporate-governance-framework-for-corporate-reporting-in-the-eu/

SEC [Security and Exchange Commission] (2003) Final rule: Management’s Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports. https://www.sec.gov/rules/final/33-8238.htm

SEC [Security and Exchange Commission] (2009) Study of the Sarbanes-Oxley Act of 2002 Section 404 Internal Control over Financial Reporting Requirements. https://www.sec.gov/news/studies/2009/sox-404_study.pdf

Tweede Kamer der Staten-Generaal (2023) Gewijzigde motie van de leden Romke de Jong en Van Weyenberg ter vervanging van die gebruikt onder nr. 520, vergaderjaar 2022–2023, 32 637, nr. 558. https://zoek.officielebekendmakingen.nl/kst-32637-558.html

Universiteit Leiden (2021) Versterking verantwoordingsketen - Een wetenschappelijk onderzoek naar de versterking van de verantwoordelijkheid van gecontroleerde entiteiten zelf rondom de accountantscontrole en de jaarverslaggeving. https://www.rijksoverheid.nl/documenten/rapporten/2021/04/06/versterking-verantwoordingsketen