'In control-verklaringen nu vooral gebakken lucht'
Om de in control-verklaring meer inhoud te geven zijn aanvullende eisen nodig. Zo moeten risico's en risicotolerantie concreet worden gekwantificeerd. Toch levert het werk aan die verklaringen nu al een nuttige bijdrage. 'De weg er heen is belangrijker dan de eindbestemming.'
Dit artikel is verschenen in de Accountant nr. 7/8, 2008
Bekijk alle artikelen uit dit nummer
Wie het nieuws volgt, weet dat financiële schandalen elkaar (nog steeds) snel opvolgen. We zitten midden in een forse kredietcrisis, een discussie over topbeloningen, een vermeend gebrek aan vertrouwen en een vermeend overschot - volgens sommigen een tekort - aan regelgeving.
Ondernemingen wordt tegenwoordig gevraagd publiekelijk aan te geven dat ze in control zijn. De vraag is of die in control-verklaringen ergens toe bijdragen of slechts schaamlappen zijn. En indien het nog niet goed genoeg is, in welke richting moet de oplossing dan worden gezocht?
Relatief begrip
Tot op heden ontbreekt een adequate definitie van in control zijn. De algemene verwachting zal zijn dat als we verklaren dat we in control zijn, de bedrijfsvoering op orde is, zodanig dat er geen majeure onverwachte verrassingen zullen optreden. Majeur veronderstelt een zekere bandbreedte. Er zal dus een ondergrens zijn, waarbij we veronderstellen dat ‘kleine’ verrassingen acceptabel zijn.
De term ‘onverwacht’ veronderstelt dat we in staat zijn onze verwachtingen te expliciteren en dat ook hier sprake is van een zekere bandbreedte.
De eerste conclusie is dan ook dat in control een relatief begrip is. Het gaat om het vinden van een aanvaardbare balans tussen risico en beheersing.
Het is niet voor niets dat de Monitoring Commissie Corporate Governance in haar rapport over 2006 ondernemingen vraagt risico's te kwantificeren en hun risicotolerantie te openbaren. Uit onderzoek van Shareholder Support blijkt dat momenteel slechts 33 procent van de AEX-fondsen aan die eis voldoet. Daarnaast is het noodzakelijk dat duidelijk wordt gemaakt hoe vaak binnen de risicotolerantie dient te worden gebleven om toch te kunnen stellen dat de organisatie in control is. Het is immers een illusie om te veronderstellen dat dit in honderd procent van de situaties het geval zou kunnen en moeten zijn.
Definitie in control
Mijn definitie van in control luidt dan ook als volgt:
‘Een organisatie is in control als zij beschikt over een management control systeem (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x procent van de gevallen/tijd binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten die risicotolerantiegrens wordt getreden, stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen.’
Een en ander is schematisch weergegeven in het kader bij dit artikel (‘In control schematisch weergegeven’).
Het bovenstaande vergt kwantificering van risico's. Dit is een complexe zaak en komt nog weinig voor, met uitzondering van banken en verzekeraars. Resultaten van onderzoek in het Verenigd Koninkrijk, Frankrijk en Canada zijn op dat punt bepaald niet hoopgevend. Uit mijn oratie blijkt dat in Nederland slechts de financiële risico's enigszins worden gekwantificeerd. Voor strategische en operationele risico's vindt dat niet plaats. Verder is er nog de vraag of we kunnen spreken over in control zijn op een bepaald moment, over een bepaalde periode, of nog mooier, dat we kunnen spreken over de toekomst. In het fameuze COSO-rapport is die discussie indertijd ook gevoerd. Uit praktische overwegingen werd toen geconcludeerd dat een rapportage inzake internal control op een bepaald moment het meest voor de hand lag. Zo'n point-in-time-verklaring lijkt echter weinig relevant. In mijn ogen is dat uitgangspunt ook conform mijn definitie niet langer houdbaar. Een periodeperspectief is onontbeerlijk.
Een toekomstgerichte uitspraak ligt nog minder voor de hand. Het voorzien van de toekomst is uitermate hachelijk. Een dergelijke garantie is mijns inziens niet waar te maken. Zoals hierna zal blijken is zelfs de vraag om een in control-verklaring op zichzelf al dubieus.
Management control systeem
Er bestaat geen normatief model van een MCS. Op grond van de wetenschappelijke literatuur kom ik tot de conclusie dat de volgende elementen van een MCS relevant zijn voor de beoordeling van de vraag of de organisatie in control is:
- De missie/visie/strategie.
- De wijze waarop doelen tot stand komen.
- De structuur van de organisatie.
- De wijze waarop key performance indicators worden bepaald.
- Hoe de performance wordt gemeten.
- De leiderschapsstijl.
- De wijze waarop met beloningen wordt omgegaan.
- De cultuur of tone at the top van de organisatie.
- Hoe het gedrag van mensen wordt beïnvloed en mensen worden gemotiveerd.
- De wijze waarop feedback is georganiseerd.
- Het gebruik van informatie- en communicatiesystemen.
- Hoe monitoring plaatsvindt.
- Wat de onderneming doet om de veranderingen in de omgeving te onderkennen en daarop in te spelen (lerend vermogen).
- Hoe de samenhang tussen de hiervoor genoemde elementen wordt geborgd.
Deze opsomming is wat mij betreft te beschouwen als een best practice en daarmee geen normatief model. Voor geen van de veertien afzonderlijke elementen is een normatief kader beschikbaar op grond waarvan kan worden bepaald wat wel of niet goed is in welke omstandigheden. Een oordeel over zo een complex geheel is dan ook bepaald niet eenvoudig en dat maakt dat een in control-verklaring niet anders dan zwaar geclausuleerd kan zijn.
Onmogelijk
Enige bescheidenheid is sowieso op zijn plaats. Met een in control-verklaring probeert de mens immers een uitspraak te doen over een werkelijkheid op een veel hoger niveau dan hij kan doorgronden en beheersen: dat van een sociaal systeem (de organisatie en haar omgeving). Dat kan gezien de complexiteit en de veelheid aan moeilijk beheersbare factoren zelfs aanmatigend worden genoemd.
Mijn conclusie is dan ook dat een in control-verklaring onmogelijk is. De echte waarde is gelegen in het feit dat continu aandacht wordt gegeven aan de sterkten en zwakten van de risicomanagement- en interne beheersingssystemen. Het proces is belangrijker dan de eindbestemming.
Disfunctioneel gedrag
De beloningssystematiek is één van de meest krachtige maar ook meest gevaarlijke instrumenten voor het beïnvloeden van het gedrag van mensen. De relatie tussen hoge beloningen, excessieve risico's en de huidige kredietcrisis wordt steeds breder erkend. Toezichthouders als de Financial Services Authority in het Verenigd Koninkrijk, de Senior Supervisors Group (de verzamelde centrale banken van Frankrijk, Duitsland, Zwitserland, het Verenigd Koninkrijk, en de Verenigde Staten) constateren dat ten behoeve van kortetermijnwinstbejag disproportionele risico's zijn genomen. Nout Wellink, president van De Nederlandsche Bank, meldde onlangs dat die toezichthouder de beloningssystematiek in zijn hun beoordeling gaan meenemen.
De Amerikaanse onderzoekers Michael Jensen en Kevin Murphy maakten in 2004 een diepgaande analyse van de wijze waarop met beloningen werd en wordt omgegaan en hoe verantwoord dat was. Hun conclusies luidden dat het systeem totaal is gecorrumpeerd en toe is aan een grootschalige hervorming. Hoezeer de theorie ook aanbeveelt om met financiële prikkels topmanagers te prikkelen, de wijze waarop dat werd gerealiseerd leidde tot disfunctioneel gedrag. Eén daarvan was het manipuleren van verantwoordingen. Jensen en Murphy concluderen: ‘… we have no doubt that short-term earnings are being manipulated in many, if not all, companies.’
Toezicht beloningen
De vraag is ook wie toezicht uitoefent op de toegekende beloningen. De remuneratiecommissie van de raad van commissarissen is het aangewezen orgaan. Ik heb echter de indruk dat commissarissen in een aantal gevallen niet goed hebben opgelet. Jensen en Murphy bevelen in geval van hoge prestatiebeloningen versterkte dijkbewaking aan. In de jaarverslagen van de AEX- en de AMX-bedrijven is echter niet terug te vinden of en in hoeverre er op dit gebied controle plaatsvindt.
Bij 83 procent van de AEX-fondsen blijkt de variabele beloningscomponent van topmanagers meer dan vijftig procent van het totale pakket uit te maken. Bij AMX- fondsen is dit 68 procent. De koppeling tussen te behalen doelen en de variabele beloning wordt volgens de Monitoring Commissie nog onvoldoende gelegd.
In zijn boek ‘Controle is goed, vertrouwen is beter’ uit 2005 wijst Kees Cools op het gevaar van een verkeerd gebruik van prestatiebeloning. Hij adviseert een bandbreedte van 25 tot vijftig procent. De maximale prestatiebeloning zou niet meer dan de helft van de totale beloning mogen uitmaken. Uit onderzoek van PricewaterhouseCoopers blijkt echter dat bij topbestuurders ongeveer tweederde van de totale beloning wordt gevormd door allerlei bonussen.
Vrijwillig SOx-light
Terug de werkelijke vraag: of een in control-verklaring ergens toe bijdraagt. Enkele onderzoeken concluderen dat ruimere risicorapportages leiden tot lagere vermogenskosten, een meer liquide markt, betere prestaties op de beurs en een lagere gevoeligheid van de omzet. Uit enkele onderzoeken blijkt dat de Amerikaanse Sarbanes-Oxley Act een positief effect heeft op de beurskoers en dat de voordelen de nadelen van hogere kosten van compliance overtroffen. Het blijkt dat ondernemingen die een betere governance kennen, transparanter zijn en geloofwaardiger auditfuncties hebben, een sterker positief effect laten zien dan zwakkere broeders.
In Nederland heeft inmiddels een respectabele rij bedrijven zich teruggetrokken van de Amerikaanse beurs. Het betreft bedrijven zoals Akzo Nobel, Air France-KLM, KPN en Océ. Mogelijk is één van de redenen dat de kosten van naleving van SOx (te) hoog zijn. Bijzonder is echter dat ik van alle genoemde bedrijven persoonlijk heb vernomen dat men door zal gaan met een - weliswaar light - variant van SOx. Die keuze is mede ingegeven door de positieve ervaringen die men heeft opgedaan met het in het kader van deze wet verbeteren van de sterkte van het eigen ‘internal control-systeem’.
Conclusies en suggesties
Resumerend kunnen we stellen dat het rapporteren over in control een positief effect lijkt te hebben. Transparantie over risico's en beheersingssystemen wordt positief gewaardeerd. Verder is er nog behoorlijk wat ruimte voor verbetering als het gaat om het rapporteren inzake risico's. Het ligt niet in de rede te veronderstellen dat daar snel verandering in zal komen, althans niet op basis van vrijwilligheid. De Monitoring Commissie is dan ook aan zet om die nadere duiding te verschaffen.
Verklaren dat een organisatie in control is, is moeilijk zo niet onmogelijk. Momenteel voert gebakken lucht de boventoon. Er wordt veel gerapporteerd, maar weinig begrijpelijk. Het is niet coherent, het ontbreekt aan kwantitatieve gegevens, zeker als het gaat om strategische en operationele risico's. Mijn conclusies en suggesties om tot verdere verbetering te komen:
- Regels zijn noodzakelijk. De disciplinerende werking komt niet van bedrijven zelf. Zij streven eerder naar minder dan naar meer regels. SOx heeft echter geleerd dat er nogal wat achterstallig onderhoud was en veel bedrijven lijken daar uiteindelijk toch van overtuigd te zijn. Zelfs bedrijven die de Amerikaanse beurs verlaten, handhaven een light-versie van SOx.
- De regels dienen niet te gedetailleerd te zijn, maar principle based. Iedere onderneming is uniek en moet zijn eigen management controlt systeem ontwikkelen.
- Kwantificering van alle belangrijke risico's en een risicotolerantie moeten als eisen in de regelgeving worden opgenomen. Er worden nu te veel beloftes gedaan en mooie voornemens en formuleringen uitgesproken.
- De volle breedte - strategisch, operationeel en financieel - van het in control-vraagstuk zou in ere moeten worden hersteld. Momenteel geven bedrijven slechts een mening over de financiële rapporteringsrisico's. Uiteindelijk komt aandacht voor alle risico's de beheersing ten goede.
- Prestatieafhankelijke beloningen dienen aan banden te worden gelegd, omdat ze aanzetten tot disfunctioneel gedrag en excessen, die leiden tot ondermijning van het vertrouwen in bedrijven, waardoor zelfs de maatschappij dreigt te worden ontwricht. Als remuneratiecommissies hun verantwoordelijkheid niet nemen, is regelgeving ook op dit punt onvermijdelijk.
De door de Monitoring Commissie gevraagde transparantie over de relatie tussen prestatie-indicatoren en variabele beloning, zowel vooraf als achteraf, is hard nodig.
Een in control-verklaring is geclausuleerd en moet duidelijk maken hoe vaak de grenzen werden overschreden. Het betreft een verklaring over de werking van systemen in de verslagperiode. Echter, het proces is belangrijker dan de in control- verklaring zelf. In die zin is er dus sprake van een te koesteren fenomeen, waarbij het voor iedereen wel duidelijk moet zijn dat er nog ongelooflijk veel ontbreekt aan onze kennis om erg veel zekerheid te mogen verwachten. Dat is niet erg. Al struikelend gaan we voorwaarts.
Noot
Dit artikel is gebaseerd op de oratie die Leen Paape, directeur NIVRA-Nyenrode School of Accountancy & Controlling, op 25 juni 2008 als hoogleraar bestuurlijke informatievoorziening aan NIVRA-Nyenrode hield.
In control schematisch weergegeven
In deze figuur zijn de gearceerde momenten de momenten waarop de organisatie buiten de gedefinieerde risicotolerantie is. Als de totale duur van deze over- en onderschrijdingen binnen het boekjaar binnen het vooraf gedefinieerde percentage blijft, is de organisatie in control.
Gerelateerd
Laten we internal controls niet vergeten
Accountants hebben de verantwoordelijkheid om ondernemingen te wijzen op tekortkomingen in de interne beheersing en aan te sturen op verbetering hiervan. Volgens...
Interne beheersing in de mkb-praktijk
Wat is het toch dat accountants zichzelf keer op keer op het verkeerde been zetten door controlebewijskracht toe te kennen aan 'interne beheersingsmaatregelen' die...
Corporate governance
Nieuws, achtergrond en debat over corporate governance, risicomanagement, bestuurdersbeloningen en internal audit.
Eumedion Speerpuntenbrief: aandacht voor interne controle en geïntegreerde verslaggeving
Nederlandse beursgenoteerde ondernemingen zouden ten minste jaarlijks de effectiviteit van hun interne risicobeheersing- en controlesystemen moeten beoordelen.
Gebruik COSO-rapport voor verantwoording ethisch handelen
Soms lijkt het of er weinig vooruitgang wordt geboekt in de internationale strijd tegen corruptie en fraude. Maar dan is er, sinds mei 2013, het nieuwe COSO-rapport.