Het bestuursverslag geeft een beschrijving van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd (art 2:393 lid 1 BW). Richtlijn 400.110b geeft aan dat in ieder geval aandacht besteed wordt aan risico’s ten aanzien van de operationele activiteiten waarbij kan worden gedacht aan fraudegevoeligheid of corruptie en aan risico’s ten aanzien van wet- en regelgeving. Dat omvat onder andere “risico’s en onzekerheden van het opereren in een omgeving met veel en complexe regelgeving, risicogevoeligheid van het niet naleven van mededingingsregels en milieuwetgeving, risico’s van (financieel) toezicht, onzekerheden met betrekking tot misbruik van voorwetenschap en risico’s als gevolg van veranderende belastingwetgeving”. Zoals hiervoor vermeld geeft richtlijn 400.110a aan dat het niet gaat om het geven van een uitputtende uiteenzetting van alle mogelijke risico’s en onzekerheden, maar om een selectie en weergave van de belangrijkste risico’s en onzekerheden. Richtlijn 400, alinea 110c, geeft daarnaast aan dat ten aanzien van de voornaamste risico’s en onzekerheden informatie opgenomen dient te worden van de maatregelen die zijn getroffen ter beheersing ervan en een beschrijving van de verwachte ‘impact’ op de resultaten en/of financiële positie. Ook dient een beschrijving opgenomen te worden van de risico’s en onzekerheden die in afgelopen boekjaar een belangrijke impact op de rechtspersoon hebben gehad.

Alle onderzochte ondernemingen nemen een risicoparagraaf op in het bestuursverslag. Echter, niet alle onderzochte ondernemingen onderkennen fraude of overtreding van wet- en regelgeving als één van de belangrijkste risico’s en onzekerheden. Zie tabel 1.

Tabel 1.Download as CSV 

Informatie over risico’s ten aanzien van fraude en naleving van wet- en regelgeving in de risicoparagraaf.

	AEX		AMX		AScX		Totaal
	(n = 25)		(n = 25)		(n=25)		(n = 75)
	n	%	n	%	n	%	n	%
Fraude
Frauderisico’s afzonderlijk benoemd in risicoparagraaf	10	40	6	24	12	48	28	37
Maatregelen van interne beheersing specifiek beschreven (1)	7	70	2	33	6	50	15	54
Verwachte impact op financiële positie specifiek beschreven (1)	3	30	0	0	1	8	4	14
Wet- en regelgeving
Naleving wet- en regelgeving afzonderlijk benoemd in risicoparagraaf	24	96	25	100	23	92	72	96
Maatregelen van interne beheersing specifiek beschreven (1)	22	92	10	40	11	48	43	60
Verwachte impact op financiële positie specifiek beschreven (1)	9	38	3	12	2	9	14	19
Informatie over fraude of overtreding van wet- en regelgeving die zich heeft voorgedaan tijdens het boekjaar	13	52	8	32	5	20	26	35

¹ Het gerapporteerde percentage betreft het percentage van de ondernemingen die een risico hebben gerapporteerd.

Uit tabel 1 blijkt dat 28 (37%) ondernemingen frauderisico’s hebben onderkend als belangrijk risico, bij AEX-fondsen 40%, bij AMX-fondsen 24% en bij de smallcaps 48% van de ondernemingen. Voor de andere onderzochte ondernemingen behoren frauderisico’s derhalve niet tot de belangrijkste risico’s of worden niet als zodanig afzonderlijk als risico benoemd. Eerder onderzoek van Van Daelen and De Groot (2014) laat zien dat 62% van de ondernemingen in het jaarverslag over het boekjaar 2013 12 of meer voornaamste risico’s rapporteert in de risicoparagraaf. Uit onderzoek van Brouwer et al. (2016) blijkt dat AEX- en AMX-fondsen in het jaarverslag over het boekjaar 2015 gemiddeld bijna 13 risico’s rapporteren in de risicoparagraaf. Dat betekent dus dat bij veel beursfondsen het frauderisico (ver) buiten de ‘top tien’-risico’s valt en geen hoge plaats inneemt in de prioriteitsstelling van het bestuur.

Overtreding van wet- en regelgeving is door 72 (96%) van de ondernemingen als belangrijk risico onderkend. Het gaat dan om een grote variëteit aan wet- en regelgeving die voor een onderneming relevant kan zijn. Het meest genoemde risico is het risico dat de onderneming wordt geconfronteerd met corruptie en omkoping (36%). Ook het niet voldoen aan privacywetgeving (AVG, 31%), mededingingsregels en belastingwetgeving (beide 20%), en milieuwetgeving (19%) worden regelmatig genoemd. Risico’s ten aanzien van witwassen wordt door slechts twaalf (16%) ondernemingen specifiek genoemd in de risicoparagraaf, met name ondernemingen werkzaam in de financiële sector. Zie voor meer details tabel 2.

Tabel 2.Download as CSV 

Naleving wet- en regelgeving, veel voorkomende onderwerpen.

	AEX		AMX		AScX		Totaal
	(n = 25)		(n = 25)		(n=25)		(n = 75)
	n	%	n	%	n	%	n	%
Naleving wet- en regelgeving
Omkoping en corruptie	9	36	10	40	8	32	27	36
Persoonsgegevens (AVG)	10	40	7	28	6	24	23	31
Mededinging	8	32	5	20	2	8	15	20
Belastingwetgeving	4	16	4	16	7	28	15	20
Milieuwetgeving	2	8	9	36	3	12	14	19
Witwassen	6	24	1	4	5	20	12	16
Sancties/export controls	4	16	4	16	1	4	9	12
Mensenrechten	3	12	3	12	2	4	8	11
Overig	9	36	12	48	17	68	38	51

Ten aanzien van geïdentificeerde frauderisico’s geeft 54% van de ondernemingen die een frauderisico rapporteren een specifieke beschrijving van de maatregelen van interne beheersing waarmee de risico’s worden gemitigeerd. Ten aanzien van de risico’s van niet-naleving van wet- en regelgeving is dat 60%. Andere ondernemingen nemen vaak een meer algemene beschrijving op van maatregelen van interne beheersing die tevens deze risico’s mitigeren, zoals een code of conduct, trainingen of een klokkenluidersregeling zonder dit specifiek te koppelen aan het gerapporteerde risico. Unibail-Rodamco-Westfield geeft in het bestuursverslag specifiek aan welke mitigerende acties worden genomen om het risico op corruptie, witwassen en fraude te mitigeren, zie figuur 1.

Figuur 1.

Good practice: beschrijving specifieke maatregelen van interne beheersing gericht op mitigeren risico op fraude en niet-naleving van wet- en regelgeving. Unibail-Rodamco-Westfield, Registration document 2018, p. 431. https://www.urw.com/registrationdocument.

De beschrijving van de potentiële impact van geïdentificeerde risico’s ten aanzien van fraude of overtreding van wet- en regelgeving is in veel gevallen kwalitatief en algemeen. Zo noemen de onderzochte ondernemingen veelal een negatieve invloed op reputatie of het verlies van vergunningen als mogelijke effecten. Het blijkt in de praktijk echter lastig om concreet aan te geven wat de financiële impact zou kunnen zijn van dergelijke gebeurtenissen. Van de onderzochte ondernemingen heeft 14% dit gedaan voor geïdentificeerde frauderisico’s en 19% voor risico’s van niet-naleving van wet- en regelgeving. Zij doen dit dan door middel van aanduidingen als hoog of laag, concrete bedragen worden niet vermeld. In deze resultaten zijn niet de ondernemingen betrokken die door middel van een afzonderlijke materialiteitsmatrix inzicht geven in de impact van bepaalde risico’s, dit wordt afzonderlijk behandeld in paragraaf 4.2.

In figuur 2 is een voorbeeld opgenomen van IMCD dat in een tabel aangeeft hoe zij de kans en potentiële impact inschat van zowel het risico op niet-naleving van wet- en regelgeving als het risico van omkoping en corruptie.

Figuur 2.

Good practice: informatie over kans en impact bij overtreding van wet- en regelgeving. IMCD annual report 2018, p. 74. https://www.imcdgroup.com/investors

Een aantal ondernemingen hanteert principes van het Global Reporting Initiative (GRI) bij het opstellen van het bestuursverslag. Om het begrip materialiteit voor niet-financiële thema’s invulling te geven wordt binnen GRI een materialiteitsmatrix gehanteerd. In de materialiteitsmatrix worden thema’s geplot op basis van enerzijds de economische, ecologische en sociale impact ervan op de organisatie en anderzijds de impact op de beoordeling en besluitvorming door stakeholders. Twaalf (48%) AEX-fondsen, veertien (56%) AMX-fondsen en vijftien (60%) Smallcap-fondsen hebben een materialiteitsmatrix opgenomen in het bestuursverslag. De meeste ondernemingen hanteren daarbij de impact op de onderneming op de horizontale as en de impact op stakeholders op de verticale as. Andere aanduidingen komen echter ook voor, zoals inherent risico op de ene as en mate van control op de andere as of relevantie van stakeholders op de ene as en impact op de andere as.

Ook tabel 3 laat zien dat frauderisico’s bij veel ondernemingen niet behoren tot de belangrijkste risico’s die het bestuur onderkent. Van de 41 ondernemingen die een materialiteitsmatrix opnemen, hebben er slechts 17 (41%) een fraude-aspect opgenomen in de matrix waarvan 11 (27%) dit hebben opgenomen in het kwadrant rechtsboven met meest significante (materiële) thema’s. In totaal benoemt 51% van de onderzochte ondernemingen het frauderisico in hetzij de risicoparagraaf hetzij de materialiteitsmatrix. Naleving van wet- en regelgeving wordt door 66% van de ondernemingen als thema genoemd in de materialiteitsmatrix, 44% neemt het op in het kwadrant met de meest materiële thema’s. Opvallend is dat het percentage bij de AMX- en Smallcap-fondsen hoger ligt dan bij de AEX-fondsen.

Tabel 3.Download as CSV 

Fraude en naleving van wet- en regelgeving in de materialiteitsmatrix.

	AEX		AMX		AScX		Totaal
	(n = 25)		(n = 25)		(n=25)		(n = 75)
	n	%	n	%	n	%	n	%
Materialiteitsmatrix opgenomen	12	48	14	56	15	60	41	55
Fraude als thema opgenomen in de matrix (1)	1	8	7	50	9	60	17	41
Fraude in kwadrant rechtsboven opgenomen (1)	1	8	5	36	5	33	11	27
Naleving wet-en regelgeving als thema opgenomen in de matrix (1)	4	33	12	86	11	73	27	66
Naleving wet-en regelgeving in kwadrant rechtsboven opgenomen (1)	4	33	7	50	7	47	18	44

¹ NB: Het gerapporteerde percentage betreft het percentage van de ondernemingen die een materialiteitsmatrix hebben opgenomen

Op een aantal specifieke gebieden van mogelijke niet-naleving van wet- en regelgeving moet een deel van de onderzochte ondernemingen informatie verstrekken. Op grond van EU Richtlijn 2014/95/EU moeten grote ondernemingen die OOB zijn en een personeelsbestand van 500 werknemers overschrijden namelijk een niet-financiële verklaring opnemen. Hierin moet de onderneming onder andere ingaan op beleid, risico’s en resultaten ten aanzien van eerbiediging van mensenrechten en bestrijding van corruptie en omkoping. In tabel 4 wordt weergegeven in welke mate de onderzochte ondernemingen die informatie opnemen in het bestuursverslag.

Tabel 4.Download as CSV 

Informatie over eerbiediging van mensenrechten en bestrijding van corruptie en omkoping.

	AEX		AMX		AScX		Totaal
	(n = 25)		(n = 25)		(n=25)		(n = 75)
	n	%	n	%	n	%	n	%
Eerbiediging van mensenrechten
Beleid	22	88	22	88	18	72	62	83
Risico’s	14	56	13	52	12	48	39	52
Resultaten	15	60	9	36	9	3633	33	44
Bestrijding van corruptie en omkoping
Beleid	23	92	23	92	16	64	62	83
Risico’s	10	40	8	32	8	32	26	35
Resultaten	11	44	9	36	7	28	27	36

Nagenoeg alle ondernemingen in de AEX en AMX nemen informatie op over het beleid ten aanzien van deze thema’s (88% respectievelijk 92% van de onderzochte ondernemingen). Bij de fondsen in de Smallcap is dat aandeel lager, respectievelijk 72% en 64%. Zoals hiervoor aangegeven moet hierbij ook in ogenschouw genomen worden dat niet alle onderzochte ondernemingen hoeven te voldoen aan deze rapportagevereisten aangezien ze niet allemaal meer dan 500 werknemers hebben.

Informatie over het beleid ten aanzien van deze thema’s wordt soms afzonderlijk uiteengezet, maar is in veel gevallen verweven in een meer algemene uiteenzetting over good corporate behavior waar human rights en bestrijding van corruptie onderdeel van zijn, en worden benoemd, zonder dat het afzonderlijk als onderwerp veel aandacht krijgt. Ook blijkt het beleid vaak indirect uit de beschreven maatregelen die duiden op een ‘zero tolerance’-beleid. In een aantal gevallen verwijzen ondernemingen ook naar afzonderlijke CSR-verslagen. Deze hebben we niet in het onderzoek betrokken.

Iets meer dan de helft (52%) van de ondernemingen beschrijft de risico’s op overtreding van mensenrechten en 35% doet dat voor de risico’s op corruptie en omkoping. Ondernemingen lijken er moeite mee te hebben om een concrete invulling te geven aan dit aspect. Hierdoor wordt vaak volstaan met een indicatie van omvang van het risico (‘high’ of ‘medium’) of wordt volstaan met de vermelding dat het een risico is. Ondernemingen die wel nader ingaan op het risico wijzen vaak op de landen waarin ze actief zijn en de mate waarin mensenrechten of corruptie daar een verhoogd risico vormen. Deze bevindingen zijn in lijn met de PwC Economic Crime and Fraud Survey (PwC 2018) waarin op basis van een wereldwijde survey onder meer dan 7.200 deelnemers uit 123 landen wordt vastgesteld dat slechts 54% van de ondernemingen in de afgelopen twee jaar een algemene frauderisico risk assessment heeft gedaan en minder dan een derde een risk assessment heeft gedaan op gebieden als corruptie, omkoping en witwassen. Het uitvoeren van een gedegen risicoanalyse is het startpunt van goede rapportage over risico’s. En uiteraard van het adequaat mitigeren ervan.

Minder dan de helft van de ondernemingen rapporteert resultaten, of niet-financiële prestatie-indicatoren (44% voor mensenrechten, 36% voor bestrijding van corruptie en omkoping). Veel ondernemingen leggen daarbij de nadruk op inputmaatstaven, zoals het aantal mensen dat een specifieke training heeft gevolgd, het aantal leveranciers dat een gehanteerde code heeft onderschreven of het aantal audits op een specifiek thema dat is uitgevoerd bij deelnemingen of leveranciers. Ook rapporteert een aantal ondernemingen over outputmaatstaven, zoals het aantal overtredingen van interne policies, het aantal geconstateerde gevallen van omkoping (vaak de mededeling dat het zich niet heeft voorgedaan) of ten aanzien van deelaspecten van mensenrechten zoals de mate waarin mensen gelijke kansen krijgen (diversiteitskengetallen) of een eerlijke beloning ontvangen.

In figuur 3 en 4 zijn voorbeelden opgenomen van ASML en Aegon die inzicht geven in hun beleid en tevens indicatoren rapporteren waarmee ze de resultaten daarvan inzichtelijk maken.

Figuur 3.Download as CSV 

Good practice: beschrijving beleid en rapportage van resultaten ten aanzien van mensenrechten. ASML integrated report 2018, p. 27 en p. 184. https://www.asml.com/en/investors/financial-results/annual-reports.

Pagina 27: Human rights and labor relations We believe that human rights, as defined by the United Nations in its Universal Declaration of Human Rights, are a common standard that all employers should uphold. We support the principles laid down in the OECD Guidelines for Multinational Enterprises and those in the International Labor Organization’s Tripartite Declaration of Principles concerning Multinational Enterprises and Social Policy. In the spirit of these principles, we support our employees’ right to organize in labor unions and to collectively negotiate fair wages and working conditions. We believe these rights must be respected for all ASML employees at our locations worldwide. We want to provide fair labor conditions and social protection for all our employees, regardless of whether they are on a fixed contract or a flex one. In the Netherlands, we negotiate with and consult labor unions and our company’s Works Council, our employees’ representative body. As required by Dutch law, our BoM must seek the non-binding advice of the Works Council before taking certain decisions, such as those related to a major restructuring or a change of control. Some decisions directly involving employment matters that apply either to all employees or certain groups of employees may only be taken with the Works Council’s approval. In the event the Works Council does not agree with a particular decision, and the BoM still wishes to proceed, the BoM must suspend any further action while the Works Council determines whether to appeal to the Enterprise Chamber of the Amsterdam Court of Appeal. We strive to comply with the relevant legislation in every country we operate in. In the US, for instance, we aim to comply with all state and federal laws and regulations regarding labor practices and employees’ rights to organize. This means we do not interfere with, restrain, or influence employees who want to organize themselves in a labor organization for collective bargaining purposes. In Taiwan, where we have several business operations, all employees, except those working in government administrative organizations, can form unions. ASML seeks to comply with all relevant legislation, such as the Taiwanese Union Act and the Law Governing Collective Bargaining Agreements. In Korea, the Labor-Management Council (LMC) is a consultative body that aims to promote welfare and cooperation between employers and employees under the Promotion of Worker Participation and Cooperation Act. The LMC discusses ways to enhance productivity, improve working environments, address employee grievances, promote workers’ welfare, and other matters. LMC representation for ASML consists of 20 members (10 members each for employer and employees), and holds council meetings at least every three months. At ASML, the principle of free choice of employment is respected. It applies to every employee in every country we operate in. We adhere to the Responsible Business Alliance Code of Conduct and expect our suppliers to adhere to this code, as well as other human rights principles. See Management Board Report - Partners - Sustainable relationships with suppliers. Our policy stipulates that compliance with human rights standards and other Responsible Business Alliance standards should be included in our supplier agreements.

Pagina 184:

Figuur 4.

Good practice: rapportage over indicatoren en (niet-)financiële prestaties bij bestrijding van fraude en overtreding van wet- en regelgeving. Aegon, Integrated annual report 2018, p. 66. https://www.aegon.com/investors/annual-reports/

De raad van commissarissen, en meer specifiek daarbinnen de auditcommissie hebben een belangrijke rol in het toezicht op de risicobeheersing binnen de onderneming. In de Nederlandse Corporate Governance Code (‘Code’; Monitoring Commissie Corporate Governance Code 2016) wordt in principe 1.5 aangegeven dat de raad van commissarissen toezicht houdt op het beleid van het bestuur en de algemene gang van zaken waarbij ze zich tevens richt op de effectiviteit van de interne risicobeheersings- en controlesystemen van de vennootschap en de integriteit en kwaliteit van de financiële verslaggeving.

Op grond van best practice bepaling 1.1.3 van de Code houdt de raad van commissarissen toezicht op de wijze waarop het bestuur de strategie voor langetermijnwaardecreatie uitvoert, bespreekt ze regelmatig de strategie, de uitvoering van de strategie en de daarmee samenhangende voornaamste risico’s. Op grond van artikel 2:141 BW stelt het bestuur ten minste een keer per jaar de raad van commissarissen schriftelijk op de hoogte van de hoofdlijnen van het strategisch beleid, de algemene en financiële risico’s en het beheers- en controlesysteem van de vennootschap. De auditcommissie bereidt de besluitvorming van de raad van commissarissen voor over het toezicht op de integriteit en kwaliteit van de financiële verslaggeving en op de effectiviteit van de interne risicobeheersings- en controlesystemen van de vennootschap (Code, best practice bepaling 1.5.1). De auditcommissie brengt verslag uit aan de raad van commissarissen over de beraadslaging en bevindingen waarbij in ieder geval wordt vermeld (Code, best practice bepaling 1.5.3):

• ”de wijze waarop de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen is beoordeeld;

• de wijze waarop de effectiviteit van het interne en externe audit proces is beoordeeld;

• materiële overwegingen inzake de financiële verslaggeving; en

• de wijze waarop de materiële risico’s en onzekerheden (…) zijn geanalyseerd en besproken en wat de belangrijkste bevindingen van de auditcommissie zijn.”

In het verslag van de raad van commissarissen legt de raad vervolgens verantwoording af over het door haar uitgeoefende toezicht.

De rol van de raad van commissarissen is een brede rol en richt zich niet specifiek op risico’s ten aanzien van fraude en overtreding van wet- en regelgeving. Deze aspecten zullen onderdeel zijn van haar totale toezicht op het beleid en de effectiviteit van de interne risicobeheersings- en controlesystemen. Voor ondernemingen waar fraude of wet- en regelgeving een specifiek verhoogd risico is mag wel verwacht worden dat de raad van commissarissen ook specifiek aandacht besteedt aan de risicobeoordeling en beheersing ten aanzien daarvan. Denk bijvoorbeeld aan de wijze waarop wordt omgegaan met anti-witwasregelgeving bij banken. Gegeven het belang dat stakeholders aan de onderwerpen fraude en naleving van wet- en regelgeving hechten en de informatie die ze erover verlangen (zie ook de inleiding van dit artikel) zou ook verwacht mogen worden dat de raad van commissarissen in die gevallen ook in het verslag van de raad van commissarissen specifiek aandacht besteedt aan de wijze waarop zij de risicobeoordeling en risicobeheersing van het bestuur beoordeelt en op welke wijze zij daar toezicht op heeft gehouden. Uit tabel 5 blijkt echter dat het zelden voorkomt dat een raad van commissarissen in haar verslag specifiek ingaat op fraude of naleving van wet- en regelgeving. Slechts bij drie AEX-fondsen en vier Smallcap-fondsen is de raad van commissarissen inhoudelijk ingegaan op haar toezicht ten aanzien van risico’s en risicobeheersing op het gebied van fraude en naleving van wet- en regelgeving. Deze bevinding sluit aan bij een breder beeld dat het verslag van de raad van commissarissen bij veel ondernemingen meer gericht is op procedures en formele aspecten (onafhankelijkheid, aantal vergaderingen en aanwezigheid etc.) dan een inhoudelijke bespreking van de thema’s die de raad hebben beziggehouden.

Tabel 5.Download as CSV 

Informatie over fraude en naleving van wet- en regelgeving in het verslag van de rvc.

	AEX		AMX		AScX		Totaal
	(n = 25)		(n = 25)		(n = 25)		(n = 75)
	n	%	n	%	n	%	n	%
Beschrijving van visie en rol rvc ten aanzien van beoordeling risico’s op fraude en/of overtreding van wet- en regelgeving en mitigerende maatregelen	3	12	0	0	4	16	7	9

Bij Aalberts en NN Group heeft de raad van commissarissen wel wat meer specifieke informatie gegeven over haar toezicht op de beheersing van risico’s ten aanzien van de genoemde thema’s. Zie figuur 5 en 6.

Figuur 5.Download as CSV 

Good practice: verslag raad van commissarissen over toezicht op risico’s en risicobeheersing ten aanzien van fraude en naleving van wet- en regelgeving. Aalberts, Annual report 2018, pp. 51–52. http://www.jaarverslag.com/ar/aalberts-industries.html

The Supervisory Board and the Management Board have specifically discussed the further implementation of the Code of Conduct, monitoring of the effectiveness and compliance with the Code of Conduct and violations of the Code of Conduct reported via the Speak up! procedure. In addition, the e-learning programme, governance regulations and processes of Aalberts within the entire organisation, including the training and monitoring thereof have been discussed. Furthermore, there was specific attention for the culture and values of Aalberts and ‘the Aalberts way’, the implementation thereof throughout the entire organisation and how these values can contribute to the long-term value creation of Aalberts. The Management Board reported to the Supervisory Board on the updated sustainability approach of Aalberts, including the connection to the Sustainable Development Goals and the more structured and stringent approach towards health and safety in the operational excellence network. The Supervisory Board supports the more stringent approach to possible governance risks at group companies combined with a further strengthening of governance at group level and throughout the business. The general legal counsel discussed governance risk management and the work schedule of the legal and governance department with the Supervisory Board. The work schedule of the internal audit function has been approved by the Supervisory Board.

Figuur 6.Download as CSV 

Good practice: verslag raad van commissarissen over toezicht op risico’s en risicobeheersing ten aanzien van fraude en naleving van wet- en regelgeving. NN Group, Financial report 2018, p. 15. https://www.nn-group.com/Media/Reports.htm

Financial and economic crime Financial and economic crime (FEC) such as money laundering, terrorist financing and non-compliance with sanctions regulations can harm confidence in the financial sector. Combating FEC is therefore high on the agenda of regulators and supervisory authorities in the Netherlands and elsewhere. In light of this and recent developments within the financial sector, the Supervisory Board was periodically informed on the design, operation and effectiveness of the risk framework aimed at managing and controlling FEC-related risks. FEC-related risks are an integral part of NN Group’s Risk Control Framework. Amongst other things, the framework includes quarterly reporting by the businesses affiliated to NN Group on inherent FECrelated risks, measures adopted to mitigate these risks and how any managed FEC-related risks relate to the risk appetite of the group. These reports are incorporated in the risk management report, which is discussed with the (Risk Committee of the) Supervisory Board on a quarterly basis.

De accountantscontrole van de jaarrekening is op grond van art. 2:391 lid 3 een onderzoek of de jaarrekening het vereiste inzicht geeft en aan de krachtens de wet gestelde voorschriften voldoet. Op grond van controlestandaarden 240 en 250 moet de accountant daarbij ook een redelijke mate van zekerheid verkrijgen dat de jaarrekening geen afwijking van materieel belang bevat als gevolg van fraude of niet-naleving van wet- en regelgeving.

Download as CSV 

COS 240: “5. Een accountant die een controle overeenkomstig de Standaarden uitvoert, is verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of fouten. (….) 10. De doelstellingen van de accountant zijn: a. het identificeren en inschatten van de risico’s op een afwijking van materieel belang die het gevolg is van fraude; het verkrijgen van voldoende en geschikte controle-informatie over de ingeschatte risico’s op een afwijking van materieel belang die het gevolg is van fraude door middel van het opzetten en implementeren van geschikte manieren om op die risico’s in te spelen; en het op passende wijze inspelen op fraude of vermoede fraude die tijdens de controle is geïdentificeerd.” COS 250: “4. De vereisten van deze Standaard zijn erop gericht de accountant te helpen afwijkingen van materieel belang in de financiële overzichten als gevolg van niet-naleving van wet- en regelgeving te identificeren. (…..) 10. De doelstellingen van de accountant zijn: a. het verkrijgen van voldoende en geschikte controle-informatie omtrent het naleven van de bepalingen van die wet- en regelgeving die gewoonlijk wordt geacht van directe invloed te zijn op de vaststelling van bedragen en in de financiële overzichten opgenomen toelichtingen die van materieel belang zijn; b. het uitvoeren van gespecificeerde controlewerkzaamheden teneinde bij te dragen tot het identificeren van gevallen van niet-naleving van overige wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten; en c. het op passende wijze inspelen op tijdens de controle geïdentificeerde niet-naleving of vermoedens van niet-naleving van wet- en regelgeving.”

De controle van de accountant richt zich derhalve op een deelpopulatie van de risico’s op fraude en overtreding van wet- en regelgeving die relevant zijn voor het bestuur en de raad van commissarissen, namelijk de fraudes en overtreding van wet- en regelgeving die leiden tot een afwijking van materieel belang in de jaarrekening. De aandacht voor frauderisico’s en naleving van wet- en regelgeving door gecontroleerde organisaties is ook bij accountants de afgelopen jaren toegenomen, zowel binnen de accountantsorganisaties als op sectorniveau.¹

Sinds een aantal jaren geeft de accountant via de uitgebreide controleverklaring meer inzicht in zijn controle. Dat doet hij onder andere door het vermelden van de kernpunten van de controle, de zaken die in de professionele oordeelsvorming van de accountant het meest significant waren in de controle (controlestandaard 701, par. 7 en 8). Zie ook Brouwer et al. (2016). Als de accountant van mening is dat fraude of naleving van wet- en regelgeving tot de meest significante aandachtspunten van de controle behoren dan zou hij hierover rapporteren in een kernpunt in de controleverklaring. Uit onderzoek van Brouwer et al. (2016) en Eimers et al. (2019) blijkt dat accountants van AEX- en AMX-fondsen gemiddeld ongeveer vier kernpunten rapporteren in de controleverklaring. Zij stellen vast dat bij 88% van de onderzochte ondernemingen vijf of minder kernpunten worden gerapporteerd. In tabel 6 wordt weergegeven op welke wijze de accountant in de controleverklaring aandacht besteedt aan zijn werkzaamheden ten aanzien van fraude en naleving van wet- en regelgeving.

Tabel 6.Download as CSV 

Informatie fraude en naleving van wet- en regelgeving in de controleverklaring.

	AEX		AMX		AScX		Totaal
	(n = 25)		(n = 25)		(n=25)		(n = 75)
	n	%	n	%	n	%	n	%
Aandacht voor frauderisico’s/werkzaamheden in controleverklaring	16	64	13	52	19	76	48	64
Afzonderlijke paragraaf in controleverklaring met uitgebreide uitleg over werkzaamheden ten aanzien van het risico op fraude en/of overtreding van wet- en regelgeving	9	36	8	32	6	24	23	31
Afzonderlijke paragraaf in controleverklaring met high level uitleg over werkzaamheden ten aanzien van het risico op fraude en/of overtreding van wet- en regelgeving	5	20	2	8	6	24	13	17
Specifiek kernpunt ten aanzien van fraude	0	0	0	0	0	0	0	0
Frauderisico benoemd als onderdeel van een ander kernpunt	7	28	6	24	11	44	24	32
Specifiek kernpunt ten aanzien van naleving van wet- en regelgeving	1	4	1	4	3	12	5	7
Specifiek kernpunt naar aanleiding van een overtreding van wet- en regelgeving	3	12	5	20	0	0	8	11

Uit tabel 6 blijkt dat het frauderisico als zodanig bij geen van de onderzochte ondernemingen is vermeld als specifiek kernpunt. Dat is niet verwonderlijk aangezien het dan over het algemeen zou moeten gaan om één van de vier of vijf belangrijkste punten van de controle. Uit tabel 1 blijkt dat het bestuur van de onderzochte ondernemingen in 63% van de gevallen het frauderisico niet als één van de belangrijkste risico’s van de onderneming beschouwt terwijl op basis van eerder onderzoek is vastgesteld dat zij gemiddeld twaalf tot dertien risico’s rapporteren. Overtreding van wet- en regelgeving heeft in 18% van de gevallen wel een specifiek kernpunt opgeleverd. Daarnaast wordt het frauderisico in 32% van de controleverklaringen wel genoemd als één van de redenen voor een ander kernpunt. Vaak betreft dit het kernpunt over de controle van de omzet waar het risico van fraude bij de omzetverantwoording wordt genoemd en mede wordt geadresseerd in de controle.

Dat fraude en naleving van wet- en regelgeving slechts in een beperkt aantal gevallen behoort tot de meest significante aangelegenheden van de controle betekent niet dat de accountant hier in de controleverklaring geen aandacht aan besteedt. In reactie op de maatschappelijke roep om meer aandacht voor en transparantie over de wijze waarop frauderisico’s en naleving van wet- en regelgeving worden geadresseerd in de controle hebben diverse accountants in 2018 een aparte paragraaf opgenomen in de controleverklaring waarin ze daar in meer detail informatie over verschaffen. In 31% van de controleverklaringen is gedetailleerde nadere uitleg hierover opgenomen en in 17% van de controleverklaringen een kortere, meer high level, uitleg. In totaal wordt in 64% van de controleverklaringen op enige wijze aandacht besteed aan werkzaamheden gericht op frauderisico’s.

Hiermee lijken accountants nadrukkelijker te reageren op de maatschappelijke behoefte aan meer informatie en transparantie over dit thema dan de besturen en commissarissen van de onderzochte ondernemingen die minder vaak aandacht besteden aan het thema in hun verantwoording naar aandeelhouders en andere stakeholders. In figuur 7 is een voorbeeld opgenomen van een controleverklaring waarin uitgebreid wordt beschreven hoe de accountant tijdens de controle heeft ingespeeld op het frauderisico.

Figuur 7.Download as CSV 

Good practice: beschrijving controle-aanpak ten aanzien van frauderisico’s in de uitgebreide controleverklaring. Arcadis, Annual integrated report 2018, pp. 253–254. https://www.arcadis.com/en/global/investors/

Our focus on fraud

Our objectives

We assess and respond to the risk of fraud in the context of our audit of the financial statements. In this context and with reference to the sections on responsibilities in this report, our objectives in relation to fraud are:

to identify and assess the risks of material misstatement of the financial statements due to fraud;

to obtain sufficient appropriate audit evidence regarding the assessed risks of material misstatement due to fraud, through designing and implementing appropriate audit responses; and

to respond appropriately to fraud or suspected fraud identified during the audit.

However, because of the characteristics of fraud, particularly those involving sophisticated and carefully organised schemes to conceal it, such as forgery, deliberate failure to record transactions and collusion, our audit might not detect instances of material fraud.

Our risk assessment

We obtained an understanding of the entity and its environment, including the entity’s internal control. We made enquiries of relevant executives, directors (including internal audit, legal, compliance, human resources and regional directors) and the Supervisory Board. In addition, we considered other external and internal information. As part of our process of identifying fraud risks, we evaluated fraud risk factors with respect to financial reporting fraud, misappropriation of assets and bribery and corruption. Fraud risk factors are events or conditions, which indicate an incentive or pressure, an opportunity, or an attitude or rationalisation to commit fraud. We, together with our forensic specialists, evaluated the fraud risk factors to consider whether those factors indicated a risk of material misstatement due to fraud.

As in all of our audits, we addressed the risk of management override of internal controls, including evaluating whether there was evidence of bias by the Executive Board, executive leadership team and other members of management that may represent a risk of material misstatement due to fraud. In our risk assessment we also considered the potential impact of performance based bonus schemes which the company has in place at certain components.

Furthermore, Arcadis NV is a global company, operating in multiple jurisdictions. Therefore, we considered the risk of bribery and corruption as a result of operations in countries with an above average risk profile according to the Transparency International corruption perception index. We updated our understanding of the internal controls that Arcadis has in place to address and manage the risk of bribery and corruption when doing business in higher risk territories. These procedures included assessing the design and existence of the Arcadis General Business Principles, template agent contracts and vendor due diligence procedures. As part of our risk assessment we gained an understanding of the comprehensive governance structure as detailed in section ‘Governance & Compliance’ of the Annual Report. As part of this understanding, we also reviewed internal audit reports and followed up on the outcome of compliance reports (including complaints and whistleblowers).

Our response to the risk of fraud

We evaluated the design and the implementation and, where considered appropriate, tested the operating effectiveness of internal controls that mitigate fraud risks. In addition, we performed procedures, which include journal entry testing and evaluating accounting estimates for bias (including retrospective reviews of prior year’s estimates). In particular, our procedures consisted of evaluating key estimates and judgements as well as data analysis to identify high-risk journal entries. Where we identified instances of unexpected journal entries or other risks through our data analytics, we performed additional audit procedures to address each identified risk. These procedures also included testing of transactions back to source information.

We considered the possibility of fraudulent or corrupt payments made through third parties and conducted detailed procedures on third party vendors in high-risk jurisdictions.

Our procedures included verifying whether commission payments were at arm’s length.

We also incorporated elements of unpredictability in our audit in all regions.

We considered the outcome of our other audit procedures and evaluated whether any findings were indicative of fraud. If so, we reevaluate our assessment of fraud risk and its resulting impact on our audit procedures.

We refer to the three key audit matters in the next paragraph of this report, which are all examples of our approach related to areas of higher risk due to accounting estimates where management makes significant judgements.

Om meer inzicht te krijgen in de verhouding tussen de rapportage van de accountant en de rapportage door de onderneming over frauderisico’s hebben we die twee met elkaar geconfronteerd, zie hiervoor tabel 7. Hierbij hebben we op de ene as opgenomen het aantal en percentage ondernemingen dat aandacht besteedt aan frauderisico’s in de risicoparagraaf of materialiteitsmatrix en op de andere as opgenomen het aantal en percentage ondernemingen waarvan de accountant het frauderisico benoemt in een kernpunt of beschrijft in een afzonderlijke paragraaf.

Tabel 7.Download as CSV 

Relatie tussen fraude informatie in de risicoparagraaf en in de controleverklaring.

	Aandacht in risicoparagraaf/materialiteits-matrix	Geen aandacht in risicoparagraaf/materialiteits-matrix	Totaal
Aandacht voor frauderisico in controleverklaring	25 (33%)	23 (31%)	48 (64%)
Geen aandacht voor frauderisico in controleverklaring	13 (17%)	14 (19%)	27 (36%)
Totaal	38 (51%)	37 (49%)	75 (100%)

Tabel 7 laat geen duidelijk verband zien tussen de rapportage over fraude door de onderneming en door de accountant. Zowel bij de groep ondernemingen die wel aandacht besteedt aan frauderisico’s in de risicoparagraaf of materialiteitsmatrix als de groep ondernemingen die dat niet doet is het percentage waarbij de accountant specifiek aandacht besteedt aan fraudewerkzaamheden veel hoger dan het percentage dat dat niet doet. Ongeacht de vraag of de accountant specifiek aandacht besteedt aan fraudewerkzaamheden is het aantal en percentage ondernemingen dat er specifieke aandacht aan besteedt in de risicoparagraaf of materialiteitsmatrix ongeveer gelijk aan het aantal en percentage dat dat niet doet.

Naar de reden van deze verschillen hebben we geen onderzoek gedaan. Een mogelijke verklaring kan zijn dat de aandacht voor de rol van de accountant, de maatschappelijke druk op de accountant en de vraag om informatie van de accountant ten aanzien van fraude en voldoen aan wet- en regelgeving in recente jaren sterk is toegenomen terwijl dat voor de rol van bestuurders en commissarissen in mindere mate geldt. Het feit dat de VEB eerder dit jaar haar in de inleiding genoemde brief heeft gericht aan de accountantsorganisaties en niet (tevens) aan de bestuurders en commissarissen van de beursfondsen is daar mogelijk een uiting van.