'In Control' Verklaring

Schandalen

De 'In Control Statement' is een reactie op de schandalen die zich eind van de 20ste eeuw hebben voorgedaan. Bedrijven als Enron, Worldcom, Tyco, Parmalat en Ahold waren verwikkeld in schandalen die het vertrouwen van de maatschappij in het bedrijfsleven hebben aangetast. Maar ook in het begin van de 21ste eeuw schakelde de schandalen zich aaneen. Denk daarbij aan gerenommeerde bedrijven als de Rabobank en de Citiegroup (manipulatie van de Libor-rente), Philips Pensioenfonds en Bouwfonds (fraude met Vastgoed) en de SNS-bank en Siemens (corruptie). Met als uitsmijter Volkswagen en andere autobedrijven die op grote schaal sjoemelsoftware gebruiken om uitstoot van uitlaatgassen te manipuleren. 

 

Meer Regelgeving

De primaire reactie van overheden op de maatschappelijke onrust over dit soort schandalen is de introductie van (nog meer) regelgeving. Het Amerikaanse antwoord op de boekhoudschandalen is zoals bekend de Sarbanes-Oxley Act (SOX). Eén van de meest uitdagende eisen die deze wet stelt, is het in control statement. Een verklaring die daarna ook in de Code Tabaksblat is overgenomen. In het 'In control statement' legt het ondernemingsbestuur verantwoording af over de kwaliteit van de interne beheersing.

 
  • Effectiviteit regelgeving; schandalen zijn een verschijning van alle dag. En telkens weer probeert men de schandalen te bestrijden met nog meer regels. Blijkbaar helpen deze regels niet. Want de schandalen blijven zich voordoen. Dat is ook niet verwonderlijk omdat als bestuurders regels of de wet moedwillig overtreden zij er alles aan zullen doen om dit niet naar buiten te laten komen. Regelgeving of een 'In Control Statement' verandert daar niets aan. 
 
  • Kosten regelgeving; hoewel de effectiviteit van nog meer regels laag is, zijn de kosten van de naleving van deze regelgeving daarentegen erg hoog. Om te voldoen (to comply) aan de aangescherpte regelgeving blijkt dat vanaf de introductie van de 'In control statement' de verslaggevingskosten een stijgende trend laat zien. Dat is onder andere ook de reden dat een aantal Nederlandse bedrijven zoals KLM, Akzo Nobel en KPN zich hebben teruggetrokken van de Amerikaanse beurs. 
 
  • COSO-rapport; de 'In Control Statement' is een verdere verfijning van het bekende COSO-rapport uit 1992. Wat ook al een antwoord was op de schandalen die zich in de jaren '80 uit de vorige eeuw hebben voorgedaan. COSO heeft toen al een 'Internal control Integrated Framework' uitgevaardigd om ondernemingen en andere organisaties te helpen met het beoordelen en verbeteren van de interne beheersingssystemen.  
 

In Control Statement (ICS)

De kern van het ‘In Control Statement’ is het afleggen van verantwoording over de werking van de beheersingsmaatregelen die gericht zijn op het wegnemen of reduceren van de gevolgen van risico’s die zich bij de realisatie van de doelstellingen voordoen. De Nederlandse corporate governance code stelt de volgende eisen aan een ICS (best practice bepaling II.1.4). In het jaarverslag geeft het bestuur:

 
  1. een beschrijving van de voornaamste risico's gerelateerd aan de strategie van de vennootschap;
  2. een beschrijving van de opzet en werking van de interne risicobeheersing- en controlesystemen met betrekking tot de voornaamste risico's in het boekjaar; 
  3. een beschrijving van eventuele belangrijke tekortkomingen in de interne risicobeheersing- en controlesystemen die in het boekjaar zijn geconstateerd;
  4. welke eventuele significante wijzigingen in die systemen zijn aangebracht, welke eventuele belangrijke verbeteringen van die systemen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken.
 

De eisen van de code voor goed bestuur richten zich sterk op het beheersen van risico's. Als je deze eisen strikt interpreteert zou je kunnen denken dat het beschikken over een risicomanagementsysteem voldoende is om een 'In Control Statement' af te geven. Niets is minder waar.

 

Certificaat Goed Bestuur

De 'In Control Statement' is eigenlijk een certificaat van 'Goed Bestuur'. Het zou vreemd zijn als de verklaring zich daarom alleen zou richten op het beheersen van risico's. Goed bestuur is veel breder dan dat. Er is sprake van goed bestuur als:

 
  • de bedrijfsprocessen effectief en efficiënt zijn ingericht; we doen de goede dingen en we doen de dingen goed; 
  • er is sprake van een effectief besturingsmodel; er is sprake van relevante, juiste en actuele informatievoorziening zodat de planning- en controlcyclus goede handvatten biedt om te sturen;
  • de relevante wet- en regelgeving wordt nageleefd
 

Als je dit breder perspectief hanteert dat verklaar je met de 'In Control Statement' dat bedrijfsvoering op alle niveaus dusdanig op orde is dat met redelijke mate van zekerheid kan worden gesteld dat de doelstellingen (strategisch, operationeel, rapportage, compliance) worden gerealiseerd. Er is sprake van Goed Bestuur. 

 

Goed Bestuur veder uitgewerkt

Hoe bepaal je nu of er sprake is van goed bestuur (dat je 'In Control' bent)? Hoe bepaal je of de processen effectief en efficiënt zijn ingericht? Of dat de organisatie zich houdt aan de wet- en regelgeving? Hiervoor bestaat geen normenkader. Dit omdat de inrichting van een managementcontrolsysteem afhankelijk is van verschillende organisatievariabelen. Wel kun je stellen dat er voor Goed Bestuur sprake moet zijn van check and balances in de instrumenten die het bestuur inzet om haar doelstellingen te realiseren. Een beoordeling van de belangrijkste instrumenten geeft dan een goed beeld of er sprake is van goed bestuur. Denk hierbij aan:

 
  1. Missie/visie/strategie; om te bepalen of je als organisatie 'In Control' bent toets je of de verschillende elementen van het managementcontrolsysteem de missie, visie en strategie ondersteunen. Of juist niet. Een eerste vereiste is dan natuurlijk wel dat de organisatie beschikt over een goede strategie! De eerste stap die je neemt in het beoorden of je 'In Control' bent is het proces van totstandkoming van de strategie te beoordelen. Hoe vaak wordt de strategie aangepast? Welke partijen zijn daarbij betrokken. In welke mate zijn de klanten en de medewerkers betrokken bij de strategievorming?
 
  1. Organisatiestructuur; de organisatiestructuur is ook een belangrijke succesbepalende factor. Deze moet namelijk aansluiten bij de strategie van de organisatie. Een strategie die is gericht op productdifferentiatie past niet bij een organisatie met een functionele organisatiestructuur. Toets dus of de organisatiestructuur bijdraagt aan de realisatie van de strategie van de organisatie. Of dat deze de realisatie juist belemmerd.  
 
  1. Governancestructuur; verder is een evenwichtige relatie met toezichthouders, aandeelhouders, de OR, leveranciers, branchgenoten en (lokale) overheden van groot belang voor het bestuur om effectief te kunnen zijn. Begrippen als taken en bevoegdheden, Code Tabaksblat, gedragscodes en verwachtingenmanagement staan hierbij centraal. 
 
  1. Besturingsmodel en - filosofie; de wijze van aansturen van de organisatie bepaald in grote mate het succes van de organisatie. Is er veel vertrouwen in de medewerkers? Hebben de medewerkers vertrouwen in het management? Krijgen de medewerkers ruimte voor eigen initiatief en verantwoordelijkheid? En hoe gaan de medewerkers hier dan mee om? Maar ook vragen over het aantal managers, de span of control en het aantal managementlagen komen hier aan bod.
 
  1. Organisatiecultuur; ook de bedrijfscultuur is een cruciale factor om te bepalen of je als organisatie 'In Control' bent. De cultuur van een organisatie kan een organisatie grote successen brengen. Of juist verlammen. Als managers en medewerkers elkaar niet durven aan te spreken of als afspraken niet worden nagekomen dan wordt het realiseren van de strategie lastig. Bepaal dus of de kernwaarden van de organisatiecultuur bijdragen aan de organisatiedoelstellingen.
 
  1. Planning & Controlcyclus; je kunt alleen 'In Control' zijn als organisatie als je over een goede Plan-Do-Check-Act cirkel beschikt. Dat wil zeggen dat de strategie is vertaald in jaarplannen met concrete doelen (Plan). Zodat gedurende het jaar de uitvoering (Do) gemonitord (Check) kan worden zodat indien nodig bijgestuurd kan worden (Act). Zonder PDCA-cirkel is control niet mogelijk.
 
  1. Automatisering; zeker in de huidige informatiemaatschappij kan de automatiseringsfunctie de organisatie maken of breken. Toets de automatiseringsfunctie aan de strategie van de organisatie. Zo is bij een organisatie in een dynamische markt de vraag of de automatisering flexibel genoeg is. Terwijl bij een verzekeringsorganisatie de nadruk ligt op de juistheid van de rekenregels. 
 
  1. Risicomanagement; managers en medewerkers hebben dagelijks te maken met risico's en issues. Maar worden interne en externe risico's met enige regelmaat op een gestructureerde wijze geïdentificeerd en gewaardeerd? Een organisatie 'In Control' heeft de grootste risico's binnen en buiten de organisatie in kaart gebracht. Zodat indien nodig maatregelen kunnen worden getroffen. En de organisatie niet voor vervelende verrassingen komt te staan.  De organisatie wordt hierdoor meer voorspelbaar.
 
  1. Lerend Vermogen; “Verandering is de enige constante binnen organisaties". Het verandervermogen van de organisatie moet aansluiten bij de dynamiek van de omgeving en de ontwikkelingen in de markt. Hoe groot is het verandervermogen van de organisatie? En sluit dat aan bij de veranderingen die op til zijn (portfoliomanagement). En beschikt de organisatie over kennis van veranderaanpakken en het omgaan met weerstand?
 

Uiteraard bestaat een managementcontrolsysteem uit nog meer onderdelen. Wilt u op een eenvoudige en gestructureerde wijze vaststellen of uw organisatie 'In Control' is dan verwijzen u naar het HOUSE OF CONTROL. Dit organisatiemodel geeft u concrete handvatten om de sterkte en zwakte van uw organisatie in kaart te brengen. Om zo gericht met uw organisatie aan de slag te gaan en de prestaties te verbeteren.

 

Kanttekeningen 'In Control Statement'

Een duidelijk normenkader voor het opstellen van de 'In Control Statement' ontbreekt. Maar wat voor zekerheid verschaft de 'In Control Statement' dan nog? Hieronder zijn de belangrijkste kanttekeningen die door bestuurders, accountants en toezichthouders ten berde zijn gebracht:

  
  • Slager die zijn eigen vlees keurt; omdat een duidelijk normenkader ontbreekt stellen de bestuurders en managers de 'In Control Statement' naar eigen inzicht op. Die niet, zoals bij de accountantsverklaring het geval, een zware toets van de accountant ondergaat. Daarmee verliest de verklaring een gedeelte van haar waarde. De slager die zijn eigen vlees keurt!
 
  • Tight versus loose control; beauty is in the eye of the beholder. Dat geldt ook voor control. Daar waar de ene bestuurder voor het realiseren van de doelstellingen meer leunt op tight controls (regels) stuurt de andere bestuurder meer op loose controls (motivatie, inspiratie). Maar welke vorm van control is beter? En hoe verhoudt zich dit tot de 'In Control Statement'? 
 
  • ISO-cultuur; het risico bestaat dat de 'In Control Statement' een 'moetje' gaat worden waardoor de intrinsieke waarde van de verklaring verloren gaat. Je kunt het vergelijken met de ISO-certificering. Enkele organisaties gebruiken de ISO-certificering om continu te leren en zo de processen steeds verder te verbeteren. Maar vaak is ISO-certificering een 'moetje' omdat klanten, toezichthouders of andere partijen dan van hen verwachten. In dat geval is een verklaring een 'dode letter'.
 
  • Reikwijdte; een ander kanttekening is de reikwijdte van de ‘in control’ verklaring. De 'In Control Statement' wekt de suggestie dat het gaat om een certificaat van goed bestuur. En dat daarmee bedrijfsvoering op alle niveaus (strategisch, operationeel, rapportage, compliance) op orde is. In de praktijk richt de verklaring zich toch op de financiële processen en de informatievoorziening daarover. 
 
  • Opzet of werking?; wat zegt een 'In Control Statement'? Is er dan sprake dat het beheersingssysteem goed werkt of heeft de verklaring alleen betrekking op de opzet van het beheerssysteem? Indien de verklaring alleen gaat over de opzet van het beheerssysteem dan weet je dus nog steeds niet of je 'in control' bent. Als de 'In Control Statement' zich naast de opzet ook richt op de werking doet de onmogelijkheid zich voor om aan te tonen dat de afzonderlijke beheersinstrumenten in samenhang leiden tot een effectieve en efficiënte realisatie van de doelstellingen. 
 
  • Momentopname; is de 'In Control Statement' een verklaring over het afgelopen boekjaar? Of is de verklaring van toepassing op het moment van opstellen? Of zegt de 'In Control Statement' iets over de toekomst? Dat laatste lijkt onwaarschijnlijk omdat het managementcontrolsysteem continu aan verandering onderhevig is om in te kunnen spelen op veranderingen in de omgeving of om nieuwe (toekomstige) risico's af te dekken. Dus blijft de vraag op welke periode de verklaring van toepassing is en wat is de toegevoegde waarde er dan van? 
 

Toegevoegde waarde 'In Control Verklaring'?

Het moge duidelijk zijn dat wij van het House of Control sterke twijfels hebben of de 'In Control Statement' een bewijs is van Goed Bestuur. Laat staan dat de verklaring bijdraagt aan het voorkomen dan wel verminderen van schandalen zoals deze zich in de afgelopen decennia hebben voorgedaan. Fraude, corruptie en vriendjespolitiek los je er zeker niet mee op! De 'In Control Statement' heeft als verklaring van Goed Bestuur weinig toegevoegde waarde.

 

De meerwaarde van de 'In Control Statement' is dat de verklaring de bestuurders, toezichthouders, managers en accountants dwingt om na te denken over de inrichting en kwaliteit van het interne beheerssysteem. De 'In Control Statement' heeft goed bestuur hoog op de agenda gezet. Daarmee draagt de verklaring zeker bij aan 'goed bestuur' binnen organisaties. De conclusie is dan ook de 'In Control Statement' bijdraagt aan goed bestuur binnen organisaties. Maar dat de verklaring op zichzelf geen bewijs is van goed bestuur.

Deel House of Control via Social Media