Accountant
NBA-platform voor accountants en financials
Overig
Magazine Podcast Dossiers Nieuwsbrief Contact
Home >Discussie> Columns > 2024 > 2 > Handreiking?
Arjan Brouwer

Gaat de invoering van een verklaring omtrent risicobeheersing verschil maken? De accountant heeft een belangrijke rol naar het ondernemingsbestuur dat die verklaring verstrekt, aldus Arjan Brouwer.

Discussie Column

Handreiking?

Leestijd van ongeveer 5 minuten 6 reacties

In mijn vorige column heb ik de invoering van de verklaring omtrent risicobeheersing (VOR) besproken. Hoewel ik nog steeds niet begrijp wanneer en hoe deze van toepassing wordt op alle grote rechtspersonen, is het in ieder geval duidelijk dat bepaalde ondernemingen een verklaring over hun interne beheersing zullen gaan opnemen in het bestuursverslag.

Gegeven de beperkte wijzigingen in de Corporate Governance Code ten opzichte van de huidige situatie, is het de vraag of deze verklaring voor grote veranderingen gaat zorgen. Beursgenoteerde ondernemingen moeten al jarenlang informatie verschaffen over hun interne beheersing, tekortkomingen daarin en moeten in het bestuursverslag verklaren dat de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat.

Waarop deze conclusie en verklaring gebaseerd zijn, is echter niet altijd duidelijk. De code schrijft niet voor welk raamwerk of criteria hiervoor dienen te worden gehanteerd en welke werkzaamheden en bewijsvoering van het bestuur worden verwacht voordat de verklaring wordt afgegeven. Dat brengt het risico met zich mee dat ondernemingen de verklaring soms wat lichtvaardig verstrekken. Accountants die te maken hebben met controles in een SOx-omgeving zullen herkennen dat er een wereld van verschil zit tussen de wijze waarmee ondernemingen omgaan met het stelsel van interne beheersing en het aantonen van de werking ervan in een SOx-omgeving, ten opzichte van ondernemingen die een verklaring afgeven op basis van de Corporate Governance Code. Dat heeft in mijn optiek minder te maken met de verklaring zelf en meer met houding en gedrag in de praktijk, als het gaat om procedures en interne beheersing.

Als het doel is om ondernemingen beter te maken en de keten te versterken, dan moet er dus iets gebeuren. En om terug te gaan naar het voetbalthema van mijn vorige column, Johan Cruijff zei ooit: "Vaak moet er iets gebeuren voordat er iets gebeurt." De vereiste dat het bestuur een verklaring omtrent risicobeheersing opneemt in het bestuursverslag en de auditcommissie daarop toeziet, is een leuke start, maar er is meer nodig dan dat. En accountants kunnen daaraan vanuit hun rol inhoud geven.

De accountant verstrekt geen afzonderlijke assurance bij de verklaring omtrent risicobeheersing en wat mij betreft is dat terecht. Als dat wel zo zou zijn, kijkt al snel iedereen weer naar de accountant en dat komt de verantwoordelijkheid van de onderneming zelf niet ten goede. De accountant heeft echter wel een belangrijke rol bij het scherp houden van het bestuur dat de verklaring verstrekt. Het startpunt en de verankering daarvan in de wet- en regelgeving zijn wat mij betreft artikel 2:393 en NV COS 720. Hierin staat onder andere dat de accountant moet toetsen of de informatie in het bestuursverslag in overeenstemming is met de informatie en kennis die de accountant tijdens de jaarrekeningcontrole heeft verkregen.

Accountants verkrijgen tijdens een jaarrekeningcontrole veel informatie over de interne beheersing bij een onderneming. Op basis van die informatie kan de accountant een kritische toets uitvoeren op de verklaring via de COS 720-werkzaamheden. Het zou goed zijn als accountants richting ondernemingen en hun stakeholders meer duidelijkheid verschaffen over de inhoud van die toets. Dat kan via een handreiking, die bijvoorbeeld ingaat op de volgende vragen:

  • Aangezien de Corporate Governance Code regelgeving is die de onderneming dient na te leven: Wat moet de accountant op grond van COS 250, paragraaf 13, doen om inzicht te verkrijgen in het proces op basis waarvan het bestuur de effectiviteit van de interne risicobeheersings- en controlesystemen heeft beoordeeld en heeft vastgesteld dat deze systemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat? Zou niet minimaal moeten worden verwacht dat de procedures en interne controles gedocumenteerd zijn en de werking ervan wordt getest? Als geen documentatie hiervan en geen rapportages over de intern uitgevoerde tests van de maatregelen van interne beheering kunnen worden getoond, kan de accountant dan instemmen met een bestuursverslag waarin het bestuur positief verklaart dat zij heeft vastgesteld dat de interne risicobeheersings- en controlesystemen adequaat functioneren?
  • Onderdeel van een gedegen raamwerk voor interne beheersing is een goede risicoanalyse. Het ligt voor de hand dat de accountant, als onderdeel van de frauderisicoanalyse in het kader van COS 240 en de risicoanalyse op grond van COS 315, kennis neemt van de risicoanalyse die door de onderneming is uitgevoerd. Maar wat nu als de onderneming geen eigen risicoanalyse kan delen met de accountant (omdat die niet aanwezig is)?
  • Als de accountant conform COS 315 inzicht heeft verkregen in de processen, interne beheersing en het proces van de entiteit om het interne beheersingssysteem te monitoren, en voor belangrijke processen concludeert dat er onvoldoende basis is om te steunen op de interne beheersing en daarom kiest voor een gegevensgerichte aanpak, wat betekent dit dan als het bestuur verklaart dat de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat?
  • Als de accountant bij het uitvoeren van de controle tekortkomingen in de interne beheersing heeft geconstateerd en gerapporteerd aan de met governance belaste personen, wat zou dat moeten betekenen voor de verklaring van het bestuur, voordat de accountant kan concluderen dat deze in overeenstemming is met zijn of haar kennis van de rechtspersoon?
  • En als de accountant bij de uitvoering van de jaarrekeningcontrole fouten heeft geconstateerd die materieel zijn (of hadden kunnen zijn): Welke evaluatie dient plaats te vinden van de maatregelen van interne beheersing die deze fouten hadden moeten voorkomen, voordat de accountant kan instemmen met een bestuursverslag waarin het bestuur positief verklaart over de werking van de interne risicobeheersings- en controlesystemen?

Door hier duidelijkheid over te verschaffen en consistent op te acteren, zouden accountants weleens meer beweging kunnen creëren dan wat verwacht mag worden van de aanpassingen die zijn gedaan in de Corporate Governance Code. Bij de beursgenoteerde ondernemingen, nu de rest nog.

Wat vindt u van deze column?

Reageer

Arjan Brouwer is partner bij PwC en hoogleraar externe verslaggeving aan de VU Amsterdam.

Gerelateerd

6 reacties

René J.A.M. Vromans

Nee natuurlijk gaat de invoering van een verklaring omtrent risicobeheersing (VOR) niet het verschil maken!

De Big Four gaven altijd al goedkeurende controleverklaringen af bij jaarrekeningen en gaan dat in de nieuwe situatie ook doen. Ongeacht of er een VOR over de business risks staat in het bestuursverslag.

Continuïteit en going concern zijn namelijk ook niet nieuw.

Het verleden in de jaarrekening is controleerbaar maar de toekomst in het bestuursverslag is meer glazenbol kijken waar accountants bij weg moeten blijven tenzij ze Jomanda heten!

Het gaat pas echt een verschil maken als de Big Four eens iets anders dan nagenoeg uitsluitend goedkeurende controleverklaringen bij jaarrekeningen gaan afgeven daar waar dat noodzakelijk is.

Nu eerst ook nog eens gaan kijken naar wat het bestuur allemaal al had moeten doen en vinden terwijl er vroeger niet eens naar gekeken werd. Maar wat blijkbaar wel zonder meer kon leiden tot goedkeurende controleverklaringen bij jaarrekeningen, ik word er een beetje stil van.

Alexander Vissers

Dit is al weer mijn laatste beurt. Dus verdere discussie op linkedin.
@ Jan Bouwens: spijker op de kop, het is ongelooflijk waar de monitoring commissie zich mee bemoeit! De rol van de accountant met betrekking tot de Verklaring inzake corporate governance is glashelder in de Richtlijn 2013/34/EU art. 20 lid 3 geregeld, daar heeft de Monitoring commissie zich niet mee te bemoeien.
@ Hans Gortemaker: De rapporten die in dit brede kader zijn verschenen (ook Leiden) mogen allemaal in de papiervernietiger. zeker onder een d'66 minister is het toch onbegrijpelijk dat de Nederlandse wetgever zich van het EU recht en het streven naar een geïntegreerde kapitaalmarkt verder vervreemdt. Lobbyisten hebben veel te veel grip gekregen en het gezonde mensenverstand is op de achtergrond geraakt. Geen van de rapporten respecteert de normenhiërarchie. De door de NBA gewenste "in control" verklaring inzake corporate governance, die er niet gekomen is ,valt, en daar hebben de Kwartiermakers een keer gelijk, onder het primaat van de wetgever en dus taboe voor de monitoringcommissie. Het heeft er alle schijn van dat omdat de gewenste "in control" verklaring er niet zou komen er dan maar een willekeurige andere verklaring in de code is opgenomen die helaas op geen enkel manier met het begrip "corporate governance" in verband te brengen is. Het is gewoon een heel slecht document: redundant en buiten de bevoegdheid.

Hans Gortemaker

Een korte reactie op de handreiking. Zoals altijd lees ik de bijdragen van Arjen met genoegen. Ook deze bijdrage bevat goede elementen, maar gaat aan twee punten voorbij. Arjen richt zich met name op de interne beheersings- en controlesystemen gericht op de financiële verslaggeving. De voorstellen die nu (december 2023) voorliggen betreffen het brede gebied van de business risks. Als de accountant hier verplicht assurance op gaat toepassen, conform het onderzoek van de Leiden universiteit en de met ruime meerderheid aangenomen motie van D66, past geen referentie aan NV COS 720; maar is sprake van een zelfstandige assurance opdracht conform het assurance framework. Dan is inderdaad een handreiking nodig waarin onder andere aangegeven zal moeten worden welk niveau van zekerheid bereikt kan worden. Zonder op dat debat vooruit te lopen wijs ik op de voorgestelde passage in de verklaring van het bestuur:"welk niveau van zekerheid deze systemen geven dat de operationele en compliance risico's effectief worden beheerst".In de toelichting hierbij wordt vermeld dat het bestuur m.b.t. de zekerheid mag kiezen , waarbij opgemerkt wordt dat het woord zekerheid niet hetzelfde is als het in de accountancy gehanteerde begrip "assurance". Een handreiking lijkt van belang; maar vooral goede assurance kennis en kunde

Jan Bouwens

De RvC kan besluiten de rol van de accountant in het kader van de VOR uit te sluiten, Ik snap niet waarom die bepaling is opgenomen.

Alexander Vissers

Verdere bezwaren volgen uit art. 25 bis Richtlijn 2006/43/EG zoals ingevoerd door Richtlijn 2014/56/EU, een artikel dat Nederland verzuimd heeft in de wet op te nemen: De reikwijdte van wettelijke controle van de jaarrekening strekt niet tot het beoordelen van de effectiviteit of efficiëntie waarmee het bestuur de onderneming bestuurt, dus ook de effectiviteit waarmee het bestuur risico's beheerst. Er liggen nu eenmaal juridische werelden tussen de Europese wettelijke verplichte controle van de jaarrekening en de voorwaardelijke en dus vrijwillige controle van SEC-registrants in de VS. Een groot bezwaar tegen de SOX benadering is onder meer dat het de verantwoordelijkheid bij een buiten juridisch begrip "management" legt, bij ons is alleen het bestuur verantwoordelijk.
Een verder bezwaar is dat de meeste ondernemingsrisico's helemaal niet relevant zijn voor de jaarrekening. Of ze hebben zich gemanifesteerd of niet. In ndit verband is er nogmaals op de wijzen dat Nederland ook de bepaling uit art. 25 bis Richtlijn 2006/43/EG ingevoerd door Richtlijn 2014/56/EU, dat de wettelijke controle van de jaarrekening zich niet uitstrekt tot het vormen een oordeel over de continuïteit van de onderneming tenzij tijdens de controle van ernstige twijfel daaraan is gebleken. En om nog maar eens in herhaling te vervallen, hoe kan de regering een AMVB vaststellen waarin een Corporate Governance Code wordt goedgekeurd na deze eerst als redundant te hebben gediskwalificeerd?

Alexander Vissers

Beste Arjan, ik had gedacht dat je mijn hint naar aanleiding van je vorige column wel had opgepakt. Kijk altijd eerst naar het Unierecht, dat overschrijft (derogeert van) alle andere lagere regels, inclusief de wet. En het Unierecht laat over de verklaring inzake corporate governance die in het bestuursverslag wordt opgenomen of als apart document wordt opgesteld geen twijfel bestaan: volgens art. 20 lid lid 3 Richtlijn 2013/34/EU controleert de accountant uitsluitend de beschrijving van het interne controlesysteem met betrekking tot de financiële verslaggeving (en e.v.t. een openbaar bod) en is zijn taak met betrekking tot de rest van de Verklaring inzake corporate governance beperkt tot het vaststellen dat de vereiste informatie is verstrekt, de accountant beoordeelt nadrukkelijk niet of deze juist is.
Verder vereist Richtlijn 2013/34/EU art. 19 lid 1 al een beschrijving van de belangrijkste risico's en onzekerheden. De verklaring omtrent risicobeheersing doorkruist het doel van de richtlijn in zoverre. De toelichting op de risicobeheersing is beperkt tot financiële instrumenten (art. 19 lid 2) want daarvoor is het concreet en betekenisvol.
Het is verwarrend en onzinnig daarnaast in het bestuursverslag als aparte sectie (en dat moet volgens art. 20 lid 1 tweed zin) een verklaring inzake Corporate governance op te nemen waarin deze informatie uit het overige deel van het bestuursverslag nog maar eens herkauwd wordt en daarnaast ook nog eens gerelativeerd wordt. De VAR gaat dwars tegen de bedoelingen van het Unierecht in en mag dus niet in de code worden opgenomen. Het is ook onbegrijpelijk dat de minister harde kritiek uit tegen de code (, met name betreffende de redundantie en tegelijkertijd overweegt die wel in het Besluit inhoud bestuursverslag op te nemen.

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.

Relevantie Datum