18 juni 2013: Regelmatig financiële misstanden bij grotere professionele organisaties

Door: Guillaume Naipal.
De afgelopen jaren kwamen meerdere grotere professionele organisaties in financieel zwaar weer terecht. Soms leidde dat zelfs tot een faillissement. Je vraagt je iedere keer weer af hoe dat mogelijk is.

Regelmatig financiële misstanden bij grotere professionele organisaties.

Bij beursgenoteerde organisaties zoals bij Ahold zagen aandeelhouders hun belegde vermogen in rook opgaan. Bij de maatschappelijke organisaties zoals woningcorporatie Vestia worden cliënten geconfronteerd met hogere kosten of versobering van de dienstverlening. Ook banken kwamen negatief in het nieuws zoals recent de SNS Bank. De overheid moest ingrijpen omdat anders het hele Nederlandse financiële systeem in elkaar zou storten. Met zo’n ingreep is de belastingbetaler degene die de “pijn” van zo’n misstand moet dragen.

Helpen de control-instrumenten niet?

Je zou verwachten dat grotere professionele organisaties in staat zijn om voldoende control- instrumenten in te voeren met als doel de organisatie op koers te houden en in ieder geval voor de afgrond te behoeden. De afgelopen decennia zijn vele instrumenten voor sturing en beheersing ontwikkeld die hun waarde voor de interne beheersing hebben bewezen. Althans, dat zou je verwachten. Een paar voorbeelden zijn: de planning-en-controlcyclus, business continuity planning, business balanced scorecard en scenarioplanning. De financiële misstanden geven het idee dat de control-instrumenten onvoldoende garanties bieden om organisaties ‘in control’ te houden.

Ook gedragsregels ingevoerd om schandalen te voorkomen

Naar aanleiding van de boekhoudschandalen zijn bij beursgenoteerde organisaties aan het begin van deze eeuw zelfs gedragsregels geïntroduceerd, soms verankerd in wetten (SOX in de USA) en soms vertaald in een “Code”, zoals in Nederland. In deze code wordt een appel gedaan op bestuurders om vanuit een verantwoordelijke houding organisaties te besturen, en toezichthouders en accountants worden verzocht een meer kritische en integere rolopvatting aan te nemen.

Enterprise Risk Management (ERM)

Bijzonder is dat genoemde gedragsregels en wetten verwijzen naar het raamwerk voor Enterprise Risk Management van “The Committee of Sponsoring Organizations of the Treadway Commission (COSO)” waarin richtlijnen voor een uniform en gemeenschappelijk referentiekader voor risicobeheersing en internal control zijn geïntegreerd. Het raamwerk van deze wereldstandaard is in een kubus gegoten en ziet er als volgt uit:

ERM bevat acht met elkaar samenhangende componenten (voorgrond van de kubus), die organisatiebreed (zijkant van de kubus) ingevoerd moeten worden en die zekerheid moeten bieden voor het behalen van de doelstellingen van de organisatie (bovenkant van de kubus). De eerste component “internal environment” gaat over houding en gedrag van mensen in een organisatie omtrent risico’s en de cultuur van een organisatie om deze te beheersen. Aspecten als integriteit, ethische normen en waarden zijn hierbij fundamenten. De “Objective Identification”” van een organisatie moeten aansluiten bij de missie en visie van de organisatie. Met “Event Identification" worden beïnvloedende risicofactoren jegens organisatiedoelen in beeld gebracht. Door “Risk Assessment” wordt de kans op het voordoen van een risico bepaald alsmede de gevolgen ervan. Een “Risk Response” is een beslissing of een risico zal worden vermeden, gedeeld, geaccepteerd of verminderd. “Control Activities" behelzen de invoering van beheersingsmaatregelen om te waarborgen dat reacties op risico’s effectief worden uitgevoerd. “Information & Communication" is gericht op het verzamelen van relevante informatie die wordt gecommuniceerd zodat mensen hun verantwoordelijkheden kunnen waar maken. “Monitoring” moet ervoor zorgen dat sprake is een duurzame werking van ERM.

ERM is vrijblijvend

Wat ik frappant vind, is dat genoemde gedragsregels en wetten verwijzen naar het ERM-raamwerk zonder strikte voorschriften over de toepassing en naleving ervan. Het lijkt erop dat er ruimte is voor willekeur en vrijblijvendheid. Positief vind ik dat accountantskantoren het raamwerk hebben geïntegreerd in hun controleprogramma. Ook in accountantsverslagen en management letters zie je ERM-aspecten terug.

Had verplichtstelling van ERM de debacles kunnen voorkomen?

In management letters en accountantsverslagen signaleren accountants over de kwaliteit van beheersing van inherente risico’s door hun klanten. Ik vraag me af waar deze signaleringen toe leiden. Dit is een onderzoek waard! Vragen die ik me daarbij stel zijn: “Had een verplichte toepassing van ERM de financiële misstanden kunnen voorkomen?” en “Moet ERM verplicht worden gesteld?”
 
Beide vragen beantwoord ik zonder aarzeling met “JA”. De gevolgen van de debacles van zowel SNS Bank als Vestia zijn fors. Deze ongewenste uitkomsten waren bij een strikte toepassing van ERM door SNS en Vestia al in een vroeg stadium als risico geïdentificeerd (ERM-componenten: “Identificatie gebeurtenissen” en “Risicobeoordeling”). De leiding had dus ook tijdig maatregelen kunnen treffen (ERM-component: “Reactie op risico”). Dat dit niet gebeurd is, heeft naar mijn opvatting te maken met de “Interne omgeving; de eerste component en de belangrijkste component van ERM. De risico’s die werden gelopen zijn onvoldoende beschouwd en geadresseerd door deze organisaties.

Contact met MVP

Heb je vragen?

Onze opleidingsadviseurs zijn nu telefonisch bereikbaar

035 - 5 280 811
06 - 82346819

Ma t/m Vr: 08.00 - 18.00 uur