'Assurance providing' voor niet-financiële informatie

"Wil je niet-financiële informatie controleren, dan moet je ook naar de processen en systemen die daaraan ten grondslag liggen, kijken. Natuurlijk moet ook de verslaggeving aan allerlei eisen voldoen. Wij weten vanuit de controle van financiële informatie dat dit gewoon voorwaarden zijn om tot een oordeel te kunnen komen."

Trends in verslaggeving

Wallage besprak eerst een aantal trends in verslaggeving. "U staat in deze ontwikkelingen niet alleen," zei hij. "Ook in de private sector en niet alleen in Nederland, maar wereldwijd zijn die trends waarneembaar." Wallage gaf aan dat bedoelde trends zich al langer voordoen, maar in een steeds sneller tempo, omdat IT dat mogelijk maakt én omdat de samenleving daar steeds nadrukkelijker om vraagt. Hij noemde de trends:

· van aandeelhouder naar breed publiek - Wallage: "We zien dat de verslaggeving zich ontwikkelt van in eerste instantie een formeel verslag voor aandeelhouders richting een verantwoording naar een veel breder publiek."

· van papier naar 'web based' - "Zeven dagen in de week, vierentwintig uur per dag, kun je op internet naar informatie zoeken. We zien dat ook toezichthouders gaan vragen om informatie 'web based' ter beschikking te stellen."

· van standaard naar toegesneden - "Toegesneden dus," aldus Wallage, "op de behoeften van belanghebbenden, bijvoorbeeld de Tweede Kamer, maar ook milieuactivisten en allerlei andere groeperingen die specifieke informatie willen hebben."

· van periodiek naar continu - "In de toekomst zullen organisaties waarschijnlijk niet meer periodiek, maar continu met hun verslaggeving naar buiten komen."

· van distributie naar dialoog - "Het is nu nog allemaal 'one way'-communicatie, maar technisch zal het straks mogelijk zijn om echt in dialoog te gaan."

· van financiële informatie naar niet-financiële informatie - "Het onderwerp van vandaag," aldus Wallage. "Naast het aanbod en de vraag naar financiële informatie ontwikkelt zich ook een aanbod en vraag naar niet-financiële informatie."

'Prove me'

Wallage behandelde in het verlengde van deze trends nog een ontwikkeling. Waar vertrouwen afneemt, ook in de politiek, wordt de vraag om transparantie groter én daarmee de roep om audits. "We zien de laatste jaren in een toenemend tempo het vertrouwen van mensen verminderen. Door allerlei ontwikkelingen wordt men juist wantrouwend. We constateren dat dit tot een roep om meer transparantie heeft geleid," aldus Wallage. Hij liet een assenstelsel zien, met vertrouwen en transparantie op de assen, waarin drie continenten waren geprojecteerd. Hij zei: "In de Aziatische landen is het vaak nog een kwestie van 'trust me': veel vertrouwen en weinig transparantie. In Europa zeggen we inmiddels 'tell me' en in Amerika is het, met name ook vanuit juridische hoek, 'show me': weinig vertrouwen en dus een roep om veel transparantie. Naast die toenemende vraag naar transparantie en ook naar wetgeving daaromtrent, is er ook een toenemende vraag naar audits, met andere woorden 'prove me'. Het vertellen alleen is niet meer voldoende en het laten zien ook niet. Er is een toenemende behoefte om daar een verklaring bij te hebben van onafhankelijke deskundigen die bevestigen dat hetgeen wordt 'geshowd', ook werkelijk waar is."

'Assurance engagement'

Vervolgens ging Wallage in op het begrip 'assurance engagement'. Dit is een opdracht waarbij een auditor op basis van toetsing aan bruikbare criteria een conclusie vormt, met het doel om bij potentiële gebruikers de mate van vertrouwen te vergroten in de evaluatie of waarde van een 'subject matter'. Deze 'subject matter' is de verantwoordelijkheid van een andere partij. Philip Wallage: "Ik denk dat dit de opdracht is die je aanvaardt, als je uitspraken gaat doen over niet-financiële informatie en over systemen en processen. Om te beginnen zijn daar dus bruikbare criteria bij nodig, anders kun je niet toetsen en krijg je een 'output' waar je niet veel mee kunt doen. Daarnaast is er een 'subject matter' nodig, een onderwerp dus, waar de auditor een toets op loslaat. De uitkomst daarvan brengt hij naar buiten en die informatie moet het vertrouwen van de gebruiker in dat onderwerp vergroten. Transformeer ik dit naar het vraagstuk dat wij vandaag op de schop hebben, dan kom ik zo te spreken over de bruikbare criteria, maar de potentiële gebruikers, dat kunnen de Tweede Kamer en de kiezers zijn, en degene die verantwoording aflegt, kan heel goed de minister zijn."

Motie Van Walsem

"Nu wordt het interessant," vervolgde Wallage. "Want wat zegt de motie Van Walsem, dus wat is de bedoeling van de wetgever als het om niet-financiële informatie, systemen en processen gaat, en wat zijn de richtlijnen op dat gebied vanuit de 'assurance engagement'? De internationale regels van IFAC zeggen dat een dergelijke opdracht uitvoerbaar is als het onderwerp identificeerbaar is, als het ook aan de hand van bruikbare criteria verifieerbaar is en als er voldoende bewijs voorhanden is. Wordt aan een van deze eisen niet voldaan, dan is de opdracht niet uitvoerbaar. Ik heb in de motie Van Walsem en ook in de Regeling Prestatiegegevens en Evaluatieonderzoek Rijksoverheid nagezocht of daar eisen in zijn geformuleerd, waaraan verantwoording en informatie moeten voldoen om überhaupt tot een oordeel te kunnen komen. Interessant is, dat daarin is vastgesteld dat de niet-financiële informatie die onderwerp van toetsing wordt, geen betrekking op meningen en interpretaties moet hebben. Ik denk dat dit juist is, want het is lastig om een oordeel omtrent subjectieve informatie te geven. Wel zegt Van Walsem dat de accountant-auditor moet vaststellen dat de meningen en interpretaties die er zijn, niet strijdig zijn met het beeld van de financiële en niet-financiële informatie. Dit doet mij denken aan de verantwoordelijkheid van de accountant voor het jaarverslag: hij controleert de jaarrekening en stelt vast dat het jaarverslag niet strijdig met het beeld is. Ik kan me voorstellen dat je bij meningen en interpretaties eenzelfde verantwoordelijkheid hebt, dus dat is te volgen."

Eisen combineren

"Interessant in de RPE is ook," vervolgde Wallage, "en dat is in feite ook een voorwaarde om een audit te kunnen doen, dat het mogelijk moet zijn om de kwaliteit van het informatiesysteem vast te stellen. Dit is belangrijk. Wil je de betrouwbaarheid van 'output' vaststellen, en dat geldt net zo goed voor niet-financiële informatie als financiële informatie, dan moet er, zoals dat in accountantstermen heet, een minimumniveau van AO/IC zijn. Tot slot is een eis interessant die we niet in IFAC en al helemaal niet in accountantsland kennen, namelijk dat wanneer er geen systeem voor toetsing voorhanden is en het opzetten van zo'n systeem kostbaar is, men zich moet realiseren dat de kosten hoger kunnen zijn dan de baten die met een analyse van de informatie zijn te verkrijgen. Daar zit een kostenbatenelement in dat wij als accountants natuurlijk minder kennen als het om financiële informatie gaat. Toch denk ik dat het goed is om de eisen die Van Walsem en de RPE noemen, te combineren met hetgeen IFAC heeft vastgesteld, op het moment dat je een dergelijke opdracht gaat uitvoeren." Wallage had in de motie Van Walsem en de RPE ook nog naar de 'subject matter' gezocht in het geval van niet-financiële informatie. "Ik vind dat moeizaam opgeschreven," zo zei hij. "Ik vind dat lastig. Maar ik denk dat het object, dus datgene wat je beoordeelt, de deugdelijkheid van de niet-financiële informatie zelf is, maar ook het proces, dus de totstandkoming ervan via interne beheersingssystemen."

'Level of assurance'

Wallage: "Interessant is vervolgens, als de accountant dan een uitspraak doet, wat de 'level of assurance' is. Bij de vaststelling van de laatste versie van het 'assurance framework' is er ook een enorme discussie geweest over de 'level of assurance'. Is die hoog of beperkt? 'Audit level' of 'review level'? Van Walsem heeft aangegeven dat de objecten van controles te divers zijn om classificaties voor betrouwbaarheid te geven. Er wordt gesproken over 'een adequate mate van betrouwbaarheid'? Ook daarbij wens ik u alvast veel succes. Want hoe moet je als controleur vaststellen wat een adequate mate van betrouwbaarheid is? Ga je de gebruikers van de informatie vragen met welke mate van betrouwbaarheid je moet controleren, dan zullen zij je wat glazig aankijken en zeggen dat die informatie betrouwbaar genoeg voor hun besluitvorming moet zijn. Daar kom je dus echt niet verder mee. Toch is zo'n classificatie mijns inziens noodzakelijk om achteraf als controleur verantwoording af te kunnen leggen. We zullen daar nog iets voor moeten verzinnen - ik zeg u dat hier nog een discussie is te gaan."

Bruikbare criteria

Eerder had Wallage al aangegeven dat bruikbare criteria onmisbaar zijn om met succes een 'assurance engagement' aan te gaan. Hij hechte eraan dit nog eens te benadrukken. "Wil je kunnen toetsen," zei hij, "dan heb je hanteerbare normen nodig. Die zijn er voor niet-financiële informatie misschien wel op onderdelen, bijvoorbeeld in de milieusfeer, maar niet voor het hele pallet. IFAC heeft aan de normen waaraan we toetsen, een aantal eisen gesteld. Die normen moeten betrouwbaar, volledig, relevant, neutraal en begrijpelijk zijn. Bij Van Walsen wordt wel over betrouwbaarheid, validiteit, nauwkeurigheid en bruikbaarheid gesproken, maar dat zijn geen eisen die aan normen worden gesteld, maar aan systemen, processen, onderzoeken en uitkomsten. Dat is natuurlijk een heel ander concept van criteria dan in IFAC wordt gebruikt. Het is goed om ons dat te realiseren. Er zijn geen eisen gesteld aan de normen waaraan wordt getoetst. Toch denk ik dat dit noodzakelijk is, omdat je anders normen gaat gebruiken die niet passend zijn, waardoor je oordeel niet bruikbaar en niet relevant is."

'Assurance report'

"Hoe rapporteer je nu," vervolgde Wallage, "over het onderzoek naar niet-financiële informatie en de systemen daaraan ten grondslag? Internationaal wordt daar in het 'assurance framework' ook aandacht aan besteed. In ieder geval moet er een scoop zijn, je moet dus aangeven wat de reikwijdte en wat het object is, je moet vervolgens iets over de werkzaamheden zeggen en tot slot kom je met een oordeel. Het enige wat ik in de stukken uit de Van Walsem-omgeving lees, is dat er een rapportage komt. Die rapportage zal in eerste instantie de bevindingen betreffen en mogelijk, maar dat is facultatief, een oordeel over de kwaliteit van de niet-financiële informatie. Als accountant vind ik het natuurlijk heel enerverend om te lezen dat met de gecontroleerde zal worden overlegd of er al of niet een oordeel wordt gevormd en of dat al of niet naar buiten wordt gebracht. In mijn sector kan ik mij daar helemaal niets bij voorstellen. Nu lijkt het erop dat als de uitkomst de opdrachtgever niet bevalt, deze kan beslissen om het dan maar niet te doen. Ik neem aan dat dit niet de bedoeling van de wetgever is geweest. Het is in ieder geval zeker niet in het belang van de gebruikers van deze rapportage."

Niet geëigend?

Wallage: "Wat mij als accountant in de Van Walsem-stukken bijzonder aanspreekt, is het volgende. Er staat dat de accountantsverklaring niet het geëigende medium is om een oordeel over de kwaliteit van de niet-financiële informatie te geven. De motivatie hiervan luidt, dat tekst en inhoud door de beroepsorganisatie zijn voorgeschreven - en inderdaad, om duidelijk te zijn hebben we vanzelfsprekend voorbeeldteksten en uitgangspunten geformuleerd waaraan de accountantsverklaring moet voldoen - en dat de verslaggeving vooral op financiële informatie is gericht. Ook dit laatste kan ik niet ontkennen. Echter, kijkend naar het 'assurance framework', zien we juist dat de accountantswereld druk aan een rapportage werkt die dat hele brede veld van de 'assurance'-omgeving kan omvatten. Diverse vraagstukken komen daarbij aan de orde. Centraal staat onder meer dat de rapportage duidelijk is voor de gebruiker. Hij moet goed kunnen zien wat er wel en niet is gedaan, de scoop moet duidelijk zijn en de gebruiker moet ook begrijpen wat de verificatie inhoudt. Ook komen er vraagstukken aan de orde ten aanzien van wat wij noemen, de communicatie met het maatschappelijk verkeer. We gaan toe naar toelichtingen per sectie, naar het gebruik van symbolen bij geverifieerde gegevens die bijvoorbeeld iets zeggen over de mate van zekerheid en naar expliciete bepalingen ten aanzien van grondslagen en beperkingen. Dit gezegd hebbend, wil ik dan ook ontkennen dat hetgeen accountants hebben geproduceerd, alleen maar op financiële informatie is gericht."

Evaluatie van de totstandkoming

De controle van niet-financiële informatie houdt in dat ook de totstandkoming van die informatie zal moeten worden geëvalueerd. Wallage: "De ministers gaan dus ook over dat proces van de totstandkoming verantwoording afleggen. Vertaal ik dat even naar interne beheersingssystemen, dan moeten wij als auditors realiseren dat in de eerste plaats het management verantwoordelijk is en een evaluatiesysteem moet hebben. Te vaak komen wij ergens binnen om een oordeel over de werking van systemen te vellen en krijgen dan te horen: gaat u gang. Nou, nee. Het management zelf moet zich over die opzet en werking verantwoorden en moet daarvoor geëvalueerd hebben. Ook Tabaksblat geeft aan dat van de leiding van een grote onderneming wordt vereist dat zij een deugdelijk evaluatieproces ingaat. In Amerika moet de manager zelfs in het verslag verklaren dat hij 'in control' is, dus dat de AO/IC goed is opgezet en goed werkt. Blijkt dit achteraf niet zo te zijn, dan wacht hem een boete van miljoenen dollars of een gevangenisstraf van tien tot twintig jaar." Wallage besprak zes stappen bij de evaluatie van het totstandkomingsproces: 1) het plannen van de evaluatie, 2) het documenteren van de AO/IC, 3) het evalueren van de opzet en de werking ervan, 4) het identificeren en corrigeren van leemten, 5) het formuleren van een oordeel en 6) de audit van het interne beheersingssysteem. "De eerste vijf stappen zijn stappen van het management," aldus Wallage, "en alleen de zesde stap luidt dat de accountant of auditor moet nagaan of de uitspraken van het management juist zijn. Dit betekent dat auditors veel duidelijker met hun omgeving moeten communiceren dat de verantwoordelijkheid voor die evaluatie niet op hun bordje, maar bij het management en de wet- en regelgevers ligt. Ik kan me zo voorstellen dat met name beleidsafdelingen en de verantwoordelijken binnen departementen hierover eerst nog een nachtje willen en moeten slapen."

Gecombineerde audit

"Tot slot wil ik u nog het volgende meegeven," besloot Wallage. "U zult wellicht vragen: we hebben nu de audit van de financiële informatie, daar komt de niet-financiële informatie bij en de systemen en processen maken daar onlosmakelijk deel van uit, moeten we nu drie keer auditen? Mijn antwoord is: nee. U audit één keer. Er zijn verschillende modellen denkbaar, die er op neerkomen dat je naar de doelstellingen van de organisatie kijkt, naar de risico's dat die doelen niet worden bereikt, naar de succesfactoren en de externe bedreigingen en naar de risico's en controls. Belangrijk is dat wij verder gaan dan het testen of de controls goed werken: we zullen aanvullend 'gegevensgericht' moeten controleren, zowel de financiële als de niet-financiële informatie. Die methodologie is te ontwikkelen en wordt ook al ontwikkeld. Dus wanneer u zegt dat het u allemaal meer werk zal kosten, dan ben ik dat met u eens, maar er is efficiency te bereiken door dat alles in één proces te auditen."

Verschenen in: Congresverslag Rijksacademie voor Financiën en Economie (2004)

Peter van Steen, tekstschrijver, info@petervansteen.nl