Third-partymededeling en goed bestuur: wat hebben die twee met elkaar te maken?
Om te beginnen staan beide sterk in de belangstelling. Met de toenemende tendens om bedrijfsprocessen uit te besteden die niet tot de kernactiviteiten worden gerekend, groeit ook de belangstelling voor geruststelling door een onafhankelijke en deskundige derde partij dat die uitbestede bedrijfsprocessen goed worden beheerd door de ‘serviceprovider’ die deze processen voor zijn rekening neemt. Die geruststelling door een derde partij, ofwel ‘third party assurance’, wordt gegeven in de vorm van wat wij in Nederland veelal een third-partymededeling zijn gaan noemen.
De aandacht voor corporate governance is natuurlijk vooral ingegeven door alle ‘corporate scandals’ die we de afgelopen paar jaar hebben gezien. Deze verhoogde aandacht leidt ook weer tot meer vraag naar ‘third party assurance’.
Volgens veel regelgeving die in het kader van corporate governance is uitgevaardigd, dient het bestuur zich op de een of andere manier te verantwoorden voor de opzet en de effectieve uitvoering van de beheersingsmaatregelen rondom de financiële-verslaggevingsprocessen. Die processen zijn natuurlijk geautomatiseerd en die automatisering wordt steeds vaker uitbesteed. Verantwoording door het bestuur is alleen mogelijk als de serviceprovider zich op zijn beurt verantwoordt over de beheersing van deze uitbestede processen. En mede onder invloed van veranderende mores in de maatschappij – ‘vertrouwen is goed maar controleren is beter’ – verlangt het bestuur daarbij een TPM.
Niet alleen onder invloed van veranderende maatschappelijke opvattingen neemt de behoefte aan TPM’s toe. Volgens de Amerikaanse corporate-governanceregels moet de verantwoording van het bestuur voor de opzet en effectieve uitvoering van de beheersingsmaatregelen worden geattesteerd door de externe accountant die belast is met de controle van de jaarrekening. Attesteren betekent zoiets als het geven van een formele verklaring ter bekrachtiging van iets, in dit geval de verantwoording van het bestuur. De attestatie van de externe accountant is op zichzelf ook weer een TPM.
Het moge duidelijk zijn dat indien de verantwoording van het bestuur moet worden geattesteerd, en het bestuur bij zijn verantwoording weer steunt op een verantwoording van een serviceprovider, de druk om aan die laatste verantwoording een TPM toe te voegen, nog toeneemt. Als er geen TPM is, zal de accountant volgens de geldende beroepsregels zelf een onderzoek moeten instellen om de vereiste zekerheid te krijgen. Dit is overigens ook al zo indien de accountant in het kader van de jaarrekeningcontrole controlebewijs wil ontlenen aan de werking van de beheersingsmaatregelen rondom uitbestede bedrijfsprocessen, maar vaak kan de accountant dan nog ‘om de IT heen’ controleren.
Er is dus niet alleen sprake van een autonome groei in de vraag naar TPM’s, maar ook van een versterking van deze groei onder invloed van corporate-governanceregelgeving. Deze groeiversterking leidt tot een soort vliegwieleffect. De serviceprovider heeft meestal ook weer delen uitbesteed en vraagt dus ook om TPM’s. Daarnaast zie je dat ook ‘in-company’ met TPM’s gewerkt gaat worden, vooral waar bedrijfsonderdelen een eigen resultaatverantwoordelijkheid hebben en afhankelijk zijn van een interne serviceprovider. Want waarom zou je in deze situatie een interne (IT-)serviceprovider meer vertrouwen dan een externe?
Deze uitgave van Compact biedt een overzicht van de huidige stand van zaken rond TPM’s en gaat daarnaast in op enkele recente ontwikkelingen rond corporate governance, in het bijzonder Sarbanes-Oxley.
Het openingsartikel behandelt de vaktechnische haken en ogen van een TPM-onderzoek en geeft aan hoe de auditor verwachtingskloven en misverstanden bij de gebruiker van de TPM kan voorkomen.
Een systematische behandeling van een aantal verschijningsvormen van TPM-diensten geeft het volgende artikel. Verschillende auteurs behandelen elk een TPM-dienst waarmee zij de nodige ervaring hebben opgedaan.
Naast artikelen die ingaan op de rol van de auditor bij de serviceprovider, bevat deze Compact ook artikelen die de rol belichten van de serviceprovider, de klanten van de serviceprovider en de auditor van de klant.
Tot besluit biedt deze uitgave van Compact een tweeluik over Sarbanes-Oxley. Het eerste artikel gaat in op de verantwoording die het bestuur dient af te leggen in het kader van de Sarbanes-Oxley Act en het tweede beschrijft een praktische aanpak voor het treffen van zodanige maatregelen dat het bestuur de bijbehorende verantwoordelijkheid ook kan dragen.