Spotlight - PwC · Brouwer sprak met KPN-CFO Jan Kees de Jager over de veranderende rol van...

Spotlight

www.pwc.nl

Vaktechnisch bulletin van PwC Accountants - Jaargang 22 - 2015 uitgave 3

In gesprek met Jan Kees de JagerPagina 7

Boerenverstand

In gesprek met stakeholder Jan Kees de Jager

VerslaggevingInvoering nFTK stelt nieuwe eisen aan gebruik pricinginformatie

AccountancySuccesvolle implementatie van datagedreven controle

Interne beheersing en ITMeldplicht Datalekken: is uw organisatie er klaar voor?

Governance en toezichtEffectief toezicht op cultuur en gedrag

Recht en belastingenWettelijke consumenten-bescherming uitgebreid

Cultuur en gedragCultuur en gedrag inzichtelijk te maken

2

Bij PwC in Nederland werken ruim 4.200 mensen met elkaar samen vanuit 12 vestigingen. PwC Nederland helpt organisaties en personen de waarde te creëren waarnaar zij op zoek zijn. Wij zijn lid van het PwC-netwerk van firma’s in 157 landen met meer dan 195.000 mensen. Wij zien het als onze taak om kwaliteit te leveren op het gebied van assurance-, belastingen adviesdiensten. Vertel ons wat voor u belangrijk is. Meer informatie over ons vindt u op www.pwc.nl.

Spotlight Jaargang 22 - 2015 uitgave 3

Spotlight | Woord vooraf

3Woord vooraf

Woord vooraf

Met beide benen in de samenleving

‘Het is duidelijk dat de maatschappij meer verwacht van de accountant dan op basis van de COS en ISA binnen de reikwijdte van de controle valt, in het bijzonder op het gebied van fraude en continuïteit. Daarnaast geven stakeholders aan dat ze een grotere rol van de accountant verwachten ten aanzien van niet-financiële informatie.’

Deze passage uit het rapport ‘In het publiek belang’ van de werkgroep Toekomst Accountantsberoep illustreert treffend de verwachtingskloof die zich aftekent tussen de maatschappij, de rapporterende organisaties en de accountants. Als een organisatie failliet gaat of te maken krijgt met fraude, wordt de accountant daar publiekelijk op aangekeken, terwijl onze controleverklaring zo relevant is als de informatie waarop zij betrekking heeft. Het is dan ook in het maatschappelijk belang dat bedrijven hun transparantie vergroten.

In haar rapport nam de werkgroep concrete voorstellen op die moeten verduidelijken wat de rol van de controlerend accountant is bij relevante delen van het directieverslag, vooral ten aanzien van risicomanagement, strategie-executie, governance en continuïteit. Deze voorstellen werden onderschreven door belangrijke gesprekspartners van de werkgroep en in een Kamerdebat zelfs door de minister. Des te opvallender is dat hier met geen woord van wordt gerept in het ontwerp van de Wet aanvullende maatregelen accountantsorganisaties (die onder andere ziet op de wettelijke verankering van de raad van commissarissen).

Het blijft natuurlijk een beetje gissen waarom juist een van de meest inhoudelijke adviezen niet is overgenomen in het wetsontwerp. Zo is het in het Verenigd Koninkrijk al jaren verplicht om het resultaat in het directieverslag te normaliseren. Wellicht denkt de wereld dat wij voor eigen parochie preken. Het is dan ook aan ons, als beroepsgroep, om over deze onderwerpen vaker en op transparantere wijze de dialoog te zoeken met onze belanghebbenden. Vandaar ook dit voorwoord.

De verwachtingskloof leidt tot verminderd vertrouwen in het maatschappelijk verkeer en tot verdergaande juridisering. De oplossing ligt niet alleen in een hogere kwaliteit van de accountantscontrole, maar ook in het vergroten van de effectiviteit van de controle. Dat vraagt om een gezamenlijke inspanning en het besef dat maatschappelijke verwachtingen beter kunnen worden waargemaakt als ondernemingen hun transparantie vergroten. Gelukkig proeven we steeds meer steun bij politici,

toezichthouders en belangenbehartigers om het echte probleem te benoemen en na te denken over concrete oplossingen.

PwC implementeert zo snel mogelijk de maatregelen uit het sectorrapport en doet suggesties die de transparantie over fraude en continuïteit vergroten. Suggesties die voortbouwen op mijn bijdrage in 2013 tijdens een hoorzitting over accountancy in de Tweede Kamer. Ik zei destijds dat, zolang een onderneming krachtens de wet nog met louter financiële rapportages kan volstaan, er een kloof gaapt tussen de werkelijke en de door de maatschappij gepercipieerde reikwijdte van de accountantscontrole. Het dichten van die kloof vraagt om vier maatregelen:

• Neem in het jaarverslag of de jaarrekening een rapportage-verplichting op ten aanzien van fraude en continuïteit (artikel 391, lid 1 en 2 van het Burgerlijk Wetboek Boek 2), zoals een beschrijving van frauderisico’s en de wijze waarop deze zijn gemitigeerd en een uitgebreide continuïteitsanalyse.

• Zorg ervoor dat de auditcommittee in haar verslag de voornaamste risico’s en onzekerheden ten aanzien van de jaarrekening die zij heeft onderkend expliciet benoemt en aangeeft dat die factoren zijn besproken met de externe accountant.

• Expliciteer in de wet het optreden van de accountant in de algemene vergadering en breid de scope uit naar het jaarverslag (met daarin een rapportage over governance, beloning en duurzaamheid, en de risicoparagraaf).

• Veranker dat de raad van commissarissen informatie verschaft over de benoeming van en opdracht aan de accountant en over de opvolging van de door de accountant gerapporteerde bevindingen en aanbevelingen.

PwC staat met beide benen in de samenleving. Dat is een samenleving die van ons verwacht dat onze handtekening niet alleen ziet op het verleden, maar ook op de toekomst. Gezien het verschil in belangen hebben we hier nadere afspraken voor nodig. Transparantie en betrokkenheid zijn cruciaal om het vertrouwen te herstellen.

Peter van Mierlo, voorzitter raad van bestuur PwC

4 Spotlight Jaargang 22 - 2015 uitgave 3

Spotlight | Inhoud

Column - Boerenverstand

Alex en Ria hebben een melkveehouderij. Net als elke onderneming hebben ook zij te maken met de vijf megatrends: verschuivende economische macht, technologische ontwikkeling en digitalisering, demografie, schaarse grondstoffen en klimaatverandering, en verstedelijking. Een column van Jan Willem Velthuijsen.

In gesprek met stakeholder Jan Kees de Jager

De wereld is in beweging en daarom zijn allerlei functies en rollen in transitie. PwC-partner Arjan Brouwer sprak met KPN-CFO Jan Kees de Jager over de veranderende rol van CFO’s, accountants en belastingadviseurs.

Verslaggeving - Invoering nFTK stelt nieuwe eisen aan gebruik van pricinginformatie

Met ingang van 1 januari 2015 moeten pensioenfondsen voldoen aan de vereisten van het gewijzigde Financieel Toetsingskader. Een paar wijzigingen hebben gevolgen voor de interne beheersing van pensioenfondsen en hun uitvoerders. Tom Hagenaars en Michiel Kranenborg

Accountancy - Succesvolle implementatie van datagedreven controle in de controlepraktijk

De technologische ontwikkelingen op het gebied van de jaarrekeningcontrole volgen elkaar in rap tempo op. Wat draagt bij aan de succesvolle toepassing van data-analyse in de controle, en welke uitdagingen moeten daarbij overwonnen worden? Een praktijkevaluatie door Janet Stouten

Interne beheersing en IT - Meldplicht datalekken: is uw organisatie er klaar voor?

Privacy is een actueel onderwerp dat steeds meer aandacht krijgt in de samenleving. De Nederlandse privacywet, de Wet bescherming persoonsgegevens, is op 26 mei 2015 gewijzigd. Hierdoor verandert een aantal zaken op privacygebied. Bent u hier klaar voor? Maurice Steffin en Sandra Mochèl

Governance en toezicht - Effectief toezicht op cultuur en gedrag

Effectief toezicht op cultuur en gedrag speelt een belangrijke rol bij het signaleren van integriteitsrisico’s, het voorkomen van reputatieschade en het bewaken van de continuïteit. Het is voor commissarissen vaak een uitdaging om dit toezicht handen en voeten te geven. In dit artikel een praktische handleiding met good practices. Steven van Agt, Laura de Kruijs en Floor Oosterwechel

Recht en belastingen - Wettelijke consumentenbescherming uitgebreid

Ruim een jaar geleden zijn de regels van consumentenbescherming ingrijpend veranderd. Dit heeft een veelvoud aan extra regels voor verkoop binnen en buiten de winkelruimte opgeleverd. Uit recent onderzoek van de Consumentbond blijkt dat de meerderheid van de webwinkels nog altijd niet voldoet aan de nieuwe regels. Eelco Aantjes en Niall Stive

Cultuur en gedrag - Praktische tips en voorbeelden om cultuur en gedrag inzichtelijk te maken

Om cultuur en gedrag inzichtelijk te kunnen maken is het handig om te weten hoe je dit dan precies kunt doen. In dit artikel geven de auteurs een aantal handige tips waarbij voorbeelden en handige vragen kunnen helpen om dit verder toe te passen. Steven van Agt, Joukje Janssen en Aike Hoekstra

PwC-publicaties

Eerder verschenen Spotlight-artikelen

5

13

19

23

31

37

43

47

49

7

5Column

Spotlight | Column

BoerenverstandMijn buren in Friesland, Alex en Ria, hebben een melkveehouderij, samen met de broer van Alex. Zij hebben vorig jaar een enorme stal gebouwd, omdat zij weten dat de wereldvraag naar betrouwbare Friese melk verder gaat stijgen. Nu de melkquotumregeling is opgeheven kunnen zij beginnen aan de uitbreiding van hun veestapel van 200 naar op termijn wellicht 500 koeien, naarmate de markt daartoe aanleiding geeft. De stal is gebouwd naar de laatste inzichten en wordt momenteel opgetuigd met melkrobots en 200 zonnepanelen. Melkrobots en voerdoseringsmachines communiceren via wifi met het administratieprogramma op de Android-tablet thuis; de rekening voor het steeds duurder wordende koeienvoer blijft daardoor beperkt. De tractor heeft sinds kort een gps-geleidingssysteem waardoor heel precies langs de gruttoranden gemaaid kan worden. Ook dat systeem communiceert netjes met de Android-tablet. Dat is handig, want nu hoeft de dosering van de bemesting van de 20 hectare milieugevoelige weides niet meer op de gok te gebeuren. Bijkomstigheid is dat de jongste dochter, Marije, nu opeens ook best wil maaien, want nu kan zij tenminste

tegelijkertijd naar de nieuwste clip van Avicii kijken. De kans dat zij later de boerderij overneemt is een stuk groter geworden. Dat haar vriendje ook boerenzoon is helpt natuurlijk. Alex en Ria gaan tegenwoordig een paar keer per jaar met vakantie. Kortom, Alex en Ria zijn hard bezig hun bedrijf aan de ontwikkelingen aan te passen.

PwC rubriceert de grotere ontwikkelingen in de wereld in vijf megatrends: verschuivende economische macht, technologische ontwikkeling en digitalisering, demografie, schaarse grondstoffen en klimaatverandering, en verstedelijking. En ook al is de melkveehouderij een eeuwenoud bedrijf, net als elke onderneming hebben ook Alex en Ria in wezen te maken met alle vijf megatrends. Mondiale ontwikkelingen zoals verschuivingen in economische macht en een opkomende welvarende middenklasse stuwen de vraag naar betrouwbare voedingsproducten, en de Friese melk behoort tot de wereldtop. In Heerenveen verrijzen niet voor niets melkfabrieken van Chinese en Nieuw-Zeelandse zuivelgiganten. Digitalisering en technologie maken het mogelijk om de melkveehouderij op te schalen,

Soybeans are harvested

Concentrates, protein-rich feeds,wet by-products, fresh grass and roughage are

added to the cow feed

Waste during

transport

Waste at the farm and during transport

Complete diet of the

cow

Cow produces raw milk Fat is extracted

from the raw milk

Waste during distribution

Waste of milk at the farm and processor

35%

50%

12%

Fresh grass

Roughage

Soy meal

Concentrates, protein-rich feeds and wet by-productsSoy beans

Soy oil

Oil is extracted from the beans

3% *

Fat

Value chain steps

Soy farming

Soy processing

Distribution Dairy farming Milk processingAnimal feed

Retail

In the analysed supply chain, soy represents about 3% of the inputs for a pack of semi-skimmed milk in terms of volume, but the value chain of soy production, transport, animal feed production, dairy farming and transport and retail is responsible for 1.5kg of GHG emissions (measured in CO2 equivalents), it takes approx. 250 litres of water consumption, 0.03L of fuel (excl. electricity and gas) and it requires approx. 1m2 of land.

*We have analysed the impact of the use of soy in animal feed. However, soy is only part of the cow’s diet, other inputs are needed to provide the cow with all the necessary nutrients which are all separate value chains and have separate footprints.


en tegelijk efficiënter met schaarse grondstoffen om te gaan. Bovendien stelt de innovatieve technologie melkveehouders zoals Alex en Ria in staat om de milieuvoetafdruk flink te beperken en de kwaliteit van de melk én het welbevinden van het vee te vergroten − en overigens ook dat van henzelf. Nieuwe generaties willen andere dingen dan de vorige generaties, en nieuwe generaties moeten andere dingen kunnen, maar Marije wordt voorbereid op de boerderij van morgen: het nieuwe boerenverstand.

Net als vrijwel elke onderneming wordt de Friese boer onderdeel van de mondiale keten. Vroeger was melkproductie een lokaal gebeuren, maar tegenwoordig worden noodzakelijke ingrediënten 11.000 kilometer verderop geproduceerd. In feite begint de productieketen van de Hollandse melk in Brazilië, waar de soja bestemd voor het veevoer wordt verbouwd. Friese melk wordt vervolgens voor een deel wederom 10.000 kilometer verder in Shanghai geconsumeerd, en zo hebben de proteïnen de halve wereld afgereisd. Het over de wereld slepen van componenten voordat een eindproduct bij u thuis aankomt, is inmiddels heel gebruikelijk. En niet alleen in onze voedselketens leidt dat tot spannende uitdagingen.

In het deze zomer verschenen PwC-onderzoek ‘From Sun to Glass’ hebben we de productieketen binnen de agrifoodsector geanalyseerd, startend bij een sojaplant in Brazilië en uiteindelijk eindigend in een pak melk op een Europese ontbijttafel. Daarbij vroegen we ons vooral af welk deel van de waardeketen het grootste effect heeft op water, energie, land, grondstoffen en het milieu. En als economen natuurlijk ook: hoe efficiënt gaat dat allemaal, wie verdient er geld in de keten, hoe is de macht verdeeld binnen de keten, hoe komen prijzen en kwaliteit tot stand?

Complexere, langere en internationalere voedselproductieketens trekken de aandacht, als was het maar omdat voedsel zo belangrijk is in het leven. Vroeger vertrouwden we ons voedsel wel, omdat de ketens heel lokaal en overzichtelijk waren. Tegenwoordig is het voor consumenten, maar ook voor producenten, vaak onduidelijk wat er in de keten precies gebeurt en wat daarvan de invloed op ons eten en het milieu is. Zodra ergens iets misgaat in die keten maken we ons flink ongerust. Logisch, want dan blijkt vaak ineens hoe complex de ketens eigenlijk in elkaar zijn gaan zitten.

Niet alleen in het rijke Westen willen we meer weten van wat we eten en drinken. In de rest van de wereld ontstaat razendsnel een welvarende middenklasse − 3 miljard mensen meer in 2050 − die ons consumptiepatroon gaat kopiëren, genoeg voor 60 procent meer proteïne-intake dan nu. Met dito extra behoefte aan water, energie en andere grondstoffen, als we alles op dezelfde manier blijven doen als nu. Dit alles tegen een achtergrond van klimaatveranderingen die voorlopig netto negatief zijn voor de opbrengst van de mondiale landbouw, veeteelt

en visserij. Schattingen komen neer op een behoefte aan twee keer zo veel landbouwgrond in 2050, en dat is op deze planeet simpelweg niet aanwezig.

Omdat onze aarde als bron niet onuitputtelijk is en de klimaatverandering een negatief effect heeft, zullen we slimme manieren moeten zoeken om de productie te vergroten terwijl we tegelijk de gevolgen voor het milieu en de betrouwbaarheid van het voedsel beheersen. Een koe als bron van proteïnen, eiwitten, vitamines en mineralen blijven gebruiken zoals we dat nu doen, is niet efficiënt genoeg. Voor elke liter melk consumeert een koe 225 liter water en meer dan een vierkante meter grond. Productie van de melk voor één Nederlandse schoolklas legt beslag op een Olympisch 50 meterbad aan water en twee voetbalvelden aan land. Alternatieven zijn nog niet zo makkelijk: massaal overgaan op proteïnepillen die de NASA aan zijn astronauten meegeeft, is een idee, maar leg dat maar uit aan degenen die eindelijk genoeg hebben verdiend om een goed stuk vlees te kopen.

Wat moeten we dan veranderen? Het onderzoek ‘From Sun to Glass’ geeft daar een aantal antwoorden op. Door de fysieke keten langs de economische keten te leggen, zien we allereerst waar de productieketen efficiënter en transparanter kan zijn. Zo weten we dat het meeste water in het begin wordt gebruikt, dat een waterbelasting daar geen effectief rationaliseringsinstrument zal zijn, maar investering in gentechnologische innovatie wel. We weten waar sterke marktmachtsconcentraties bestaan en hoe mededingingstoezicht kan helpen om de volkomen scheve profitpool beter te verdelen ten gunste van prikkels voor innovatie, efficiëntie en welvaart.

Duidelijk blijkt ook dat veel efficiëntie en milieubesparing te winnen is door innovatie en door samenwerking in de keten. En uitgerekend Nederland is daarin belangrijk. In Wagenings onderzoek is berekend dat als we Nederlandse best practices in andere gebieden in de wereld toepassen, we een groot deel van het probleem hebben opgelost. En best practices hebben we, van de zeer hoge productiviteit per hectare of stuk vee, tot technologische vaardigheden van wereldklasse zoals die rond zaadveredeling.

Maar ook als het om het inrichten van de keten gaat, kunnen andere landen veel van Nederland leren. De Chinezen kopen nu onze melkfabrieken, maar zijn wel zo slim om de bestaande infrastructuur Nederlands te laten. Want ze hebben heel goed begrepen dat die typisch Nederlandse cocktail van eeuwenlange ervaring, kennis, rollen van agrariërs, overheden, ondernemers, kennisinstellingen, financiers en vertrouwen in het stelsel niet te kopiëren is.

Als het aan het boerenverstand van Alex, Ria en Marije ligt, komt dat allemaal best in orde.

Jan Willem Velthuijsen, chief economist PwC

From Sun to Glass

In gesprek met stakeholders

In gesprek met stakeholders 7

In gesprek met Jan Kees de JagerDe wereld is in beweging en daarom zijn allerlei functies en rollen in transitie. PwC-partner Arjan Brouwer sprak met KPN-CFO Jan Kees de Jager over de veranderende rol van CFO’s, accountants en belastingadviseurs.

Jan Kees de Jager (r) is CFO in de raad van bestuur van KPN. Arjan Brouwer (l) is partner bij PwC.


Jan Kees de Jager was in de kabinetten Balkende IV en Rutte I respectievelijk staatssecretaris en minister van Financiën en daarmee verantwoordelijk voor achtereenvolgens fiscaliteit en de rijksbegroting. Sinds november 2014 is hij CFO in de raad van bestuur van KPN. ‘Een CFO 2.0’, noemt hij zichzelf. Een beschrijving volgt: ‘Ik ben geen supercontroller of bean counter. Een CFO 2.0 is een lid van de raad van bestuur, die zich ook bezighoudt met de − soms existentiële − vraag of we iets wel of niet moeten doen. Deze is de sparringpartner van de CEO. Finance is en blijft een heel belangrijke hygiënefactor. Cijfers moeten accuraat zijn, dus daar moet je als CFO voor zorgen, maar daarmee maak je als CFO niet meer het verschil.’

Brouwer: ‘De term bean counter wordt ook wel eens gebruikt voor de accountant. Hoe belangrijk is het volgens jou dat ook accountants deze ontwikkeling doormaken?’

De Jager: ‘Ik zie daar ook verschuivingen en ik zie bijvoorbeeld dat zij meer dan vroeger discussies entameren in de boardrooms. Die beweging is echter minder groot. De delta is in die zin minder groot dan bij CFO’s. Bij accountants ligt de absolute focus wél op de cijfers en dat hoort ook bij hun taak.’

Brouwer: ‘Ik kan me voorstellen dat de organisatie van Research & Development binnen KPN een voorbeeld is van zo’n existentiële vraag in de boardroom. Hoe past KPN Ventures binnen jouw visie op dat gebied?’

De Jager: ‘Als grote corporate heb je schaalvoordelen, en executie- en productiekracht. De besluitvorming verloopt echter trager dan bij kleine ondernemingen, terwijl de productcycli en de time-to-market korter worden. Je moet innovatie in de huidige tijd anders

organiseren. Dat maakt outside-in innovatie belangrijk.’

Brouwer: ‘Dat is herkenbaar. Als ik PwC en KPN vergelijk, dan zie ik bij beide ook de impact van de gereguleerde omgeving op de snelheid waarmee wordt geïnnoveerd. Hoe zie jij dat?’

De Jager: ‘Het is evident dat regulering op bepaalde gebieden noodzakelijk is. Dat geldt voor zowel de telecomsector als accountancy. De wetgever zou hierin echter wel terughoudend moeten

Innovatie die voortkomt uit een ecosysteem

KPN heeft onlangs een speciaal investeringsfonds opgericht (KPN Ventures) om outside-in innovatie te bevorderen en de betrokkenheid van KPN bij start-ups te vergroten. De Jager volgt met het investeringsfonds het voorbeeld van andere grote ondernemingen. ‘Als je kijkt naar Google, dan zie je dat die een geweldige zoekmachine en Gmail heeft voortgebracht. De rest van zijn producten en diensten is het resultaat van slimme acquisitie. Google heeft daarmee een ecosysteem gecreëerd dat innovaties levert.’

KPN Ventures is de driver voor het opzetten van een soortgelijk ecosysteem. ‘De eerste functie daarvan is het detecteren van − mogelijk disruptieve − innovatie. Om een voorbeeld te noemen: Whatsapp is achteraf gezien te laat gedetecteerd en het heeft een enorme invloed gehad op het businessmodel van KPN.’

De tweede functie van het ecosysteem is het leggen van een verbinding van de innovatieve start-ups naar KPN. ‘Denk aan het “internet of things” waarbij apparaten en mensen via technologie verbonden zijn met het internet. Er worden bijvoorbeeld sensoren op bruggen of mensen bevestigd die informatie leveren over de toestand van die brug of dat lichaam. Dat is informatie die via onze netwerken wordt verspreid. Wij gaan die toepassingen voor bruggen en mensen niet zelf maken, maar we hebben wel ons netwerk. Bedrijven die zulke toepassingen ontwikkelen, voegen waarde toe aan dat netwerk.’

9

willen zijn, want overregulering werkt marktverstorend. Onder andere kan het remmend werken op het vlak van innovatie. Een markt van twee of vier grote partijen kan soms heel concurrerend zijn, dus dan moet je als overheid niet ingrijpen in die gevallen waar het niet nodig is.’

Te veel in de achteruitkijkspiegelBrouwer: ‘Om nog even terug te komen op de invulling van de CFO-functie. Je bent staatssecretaris en minister geweest. Hoe groot is het verschil tussen een bestuursfunctie in de politiek en een bestuursfunctie in het bedrijfsleven?’

De Jager: ‘Natuurlijk zijn er allerlei verschillen tussen die functies, maar de overeenkomsten zijn groter dan je zou denken. In beide functies heb je een sterke link met de financiële markten bijvoorbeeld. Daarnaast zit er, mede door de invloed van social media, een sterk communicatief aspect aan mijn vroegere, maar ook aan deze functie. Ik sta hier regelmatig op de zeepkist om zaken uit te leggen, ik schrijf blogs en ik geef interviews. Je moet steeds uitleggen wat je doet en vooral waarom je iets doet. Dat moest ik in de politiek en nu nog steeds. Een verschil tussen de politiek en het bedrijfsleven zijn de resultaten uit het verleden.’

Brouwer: ‘Wat bedoel je daarmee?’

De Jager: ‘Politici kijken het liefst vooruit en hebben soms zelfs moeite met een terugblik op gevoerd beleid. In het bedrijfsleven en door de aandeelhouders wordt veel belang gehecht aan de terugblik op de resultaten uit een voorafgaande periode. Dat is natuurlijk belangrijk, want je moet als beursgenoteerd bedrijf goed rapporteren. Tegelijkertijd vind ik dat er bij de sturing van bedrijven soms juist weer te veel in de achteruitkijkspiegel wordt gekeken en te weinig naar voren. Wat dat betreft kan het bedrijfsleven nog wel wat leren van het landsbestuur. De waarde van een bedrijf wordt bepaald door de toekomstige kasstromen. Ik zie een ontwikkeling waarbij het voorspellen van de toekomst belangrijker wordt dan het verklaren van het verleden. Welke ontwikkelingen zijn in de nabije toekomst te verwachten? Hoe raken die de onderneming en hoe pas je je vervolgens aan?’

Brouwer: ‘Ook ten aanzien van de verslaggeving zie je dat wel enigszins veranderen. Integrated reporting heeft als doel om meer inzicht te geven in het proces van waardecreatie en bijbehorende kansen en risico’s. Dat verlegt de blik voor een deel van het verleden naar de toekomst.’

De Jager: ‘Je ziet dat vooruitkijken al in de dataset voor analisten. Daarin zitten veel meer voorspellende KPI’s dan terugblikkende financiële KPI’s. Ook binnen de finance community zullen datamining en data-analyse een deel van het traditionele werk overnemen en zal men zich vooral bezig houden met het interpreteren van die data en het voorspellen van de toekomst. Ik ga ervan uit dat deze ontwikkelingen het format van de rapportage gaan veranderen. Het traditionele jaarverslag is niet meer het meest geschikte middel om een grote

groep mensen te bereiken. Jaarverslagen zijn minder toegankelijk geworden door alle regels die eraan gesteld worden, maar volgens mij is de belangrijkste reden dat mensen geen dik boek willen lezen.’

Brouwer: ‘Ja, als je nadenkt over de toekomst van reporting dan is het niet logisch om dat te doen in de vorm van een traditionele papieren versie of pdf.’

Zelf de afweging makenHet was minister Jan Kees de Jager die in 2011 een wetsvoorstel indiende voor de beperking op het samengaan van de accountantscontrole en adviesdiensten bij dezelfde (OOB-)onderneming. Door een amendement van de Tweede Kamer (amendement Plasterk) werd die scheiding echter strikter dan het kabinet aanvankelijk beoogde. Op nog een punt was de Kamer strenger dan de regering. Terwijl de minister van Financiën



De Jager: ‘Het is goed voor een bedrijf om een keer van accountant te wisselen.’

voorstander was van een verplichte aanbesteding van de controleopdracht na acht jaar, zette de Kamer die (via het amendement Van Vliet) om in een verplichte kantoorroulatie.

Brouwer: ‘Je hebt nu zelf de impact van de gewijzigde wetgeving ervaren in je eerste jaar als CFO bij KPN. Wat is overall je afdronk ervan?’

De Jager: ‘De kantoorwisseling is heel goed verlopen, ook omdat PwC en EY heel goed hebben samengewerkt in de overdracht. Ik had als CFO graag zelf de afweging willen maken om de zittende accountant al dan niet mee te laten doen in een tender. De Kamer was destijds kennelijk bang dat andere kantoren geen kans zouden maken, maar daar zit ik zelf anders in. Maar we kunnen goed werken met de nieuwe regels. En het is goed voor een bedrijf om een keer van accountant te wisselen. Het hele proces heeft bovendien andere zaken hoger op de agenda gezet. Wij hebben tegelijkertijd ook onze financiële kolom gereorganiseerd.’

Niet voor de helft in dienst van de Belastingdienst Het gesprek komt op fiscaliteit. Dat is ook een onderwerp waarover de maatschappelijke opinie verschoven is.

Brouwer: ‘Wat vind jij van die discussie? Moet de belastingadviseur zich meer gaan zien als behartiger van het publieke belang die de onderneming weghoudt van agressieve belastingstructuren of is het juist zijn plicht om de onderneming te wijzen op de mogelijkheden die de wet biedt?’

De Jager: ‘Vroeger zat de belastingadviseur dicht tegen de advocaat aan. Hij of zij werd ingehuurd om ervoor te zorgen dat zijn klant zo weinig mogelijk belasting betaalde. De belastingadviseur moet zich er rekenschap van geven dat de maatschappij en de politiek nu anders aankijken tegen fiscaliteit dan vroeger. Maar ik vind dat de belastingadviseur niet dezelfde rol heeft als de registeraccountant, die een formele en publieke taak heeft. De belastingadviseur mag helpen bij het ontwikkelen van een optimale belastingstrategie. Hij of zij werkt in opdracht voor een bedrijf of organisatie. Hij is niet voor de helft in dienst van de Belastingdienst. Het is het recht van iedereen om de belastingpositie te optimaliseren. Particulieren doen dat ook door de hypotheekrenteaftrek of bijzondere ziektekosten in aftrek te nemen.’

11

Brouwer: ‘Maar van een goed belastingadvies mag je dan wel verwachten dat het naast de fiscaal toelaatbare opties ook de hieraan voor de onderneming verbonden risico’s, inclusief reputatierisico’s, beschrijft.’

De Jager: ‘Ja, inderdaad. Ik verwacht van een adviseur dat hij of zij daarop wijst. En als een bedrijf overduidelijk in een gat springt waarvan je weet dat de wetgever daar vervolgens wel op móet reageren door dat gat te dichten, vind ik dat je als adviseur de vraag moet stellen of het de moeite waard is om zes maanden lang van zo’n gat gebruik te maken. Ik ben als staatssecretaris wel eens gewezen op een gat in de wetgeving door een vertegenwoordiger van een grote corporate. Die zei: “Als je dat lek niet dicht, ben ik het aan mijn aandeelhouders

bijna wel verplicht om daar gebruik van te maken.” Dat vind ik een mooie manier om als Belastingdienst en bedrijfsleven met elkaar om te gaan. Veel mooier dan alleen maar zeggen dat structuren niet kunnen.’

‘KPN kwam onlangs, samen met Unilever, als beste uit de bus in de Tax Transparency Benchmark van de vereniging van duurzame beleggers VBDO. Dat is heel goed. Puur kunstmatige structuren die uitsluitend als doel hebben om de belasting te vermijden, wijzen we af. Maar ook wij hebben inderdaad aandeelhouders die vinden dat we zo weinig mogelijk moeten betalen en we zijn ook verantwoording verschuldigd aan die aandeelhouders. Het gaat om de juiste balans.’


13

Spotlight | Verslaggeving

SamenvattingAls gevolg van de introductie van het nFTK wordt de tussentijdse waardering van beleggingen belangrijker. Voor beursgenoteerde beleggingen geldt dat deze in principe op basis van marktwaarde worden gewaardeerd. Niet alle markten zijn echter voldoende liquide. Daardoor is het gebruik van andere prijsbronnen nodig. Pensioenfondsen hebben deze waardering veelal uitbesteed aan hun vermogensbeheerder. Zij zullen zowel voor de jaareindewaardering als voor de maandelijkse waardering moeten weten hoe hun vermogensbeheerder hun beleggingen waardeert, met inbegrip van de gehanteerde methode voor marktwaardering en de daarbij behorende aandachtspunten. Het gebruik van een goede waarderingshiërarchie is daarom onontbeerlijk om te komen tot een goede waardering en toelichting daarop.

Invoering nFTK stelt nieuwe eisen aan gebruik van pricinginformatie

1. Maandelijkse dekkingsgraden belangrijker geworden onder het nFTKHet Financieel Toetsingskader is aangepast. De belangrijke wijzigingen van dit nieuw Financieel Toetsingskader (nFTK) zijn onder meer de introductie van de beleidsdekkingsgraad. Hierdoor is het voor pensioenfondsbesturen nog belangrijker geworden om te begrijpen hoe de externe vermogensbeheerders de reële waarde van beleggingen bepalen, en moeten besturen nog meer focussen op het monitoren hiervan. Het nFTK is van toepassing vanaf 1 januari 2015.

2. Waarborging betrouwbaarheid maandelijkse dekkingsgraadberekeningenMet de inwerkingtreding van het nFTK moeten pensioenfondsen maandelijks een dekkingsgraad publiceren. Het gemiddelde van die maandelijkse

Met ingang van 1 januari 2015 moeten pensioenfondsen voldoen aan de vereisten van het gewijzigde Financieel Toetsingskader. Een paar wijzigingen hebben gevolgen voor de interne beheersing van pensioenfondsen en hun uitvoerders.

Tom Hagenaars - Capital Markets and Accounting Advisory Services, Assurance Michiel Kranenborg - Financial Services, Assurance

dekkingsgraden bepaalt de beleidsdekkingsgraad. Dit betekent dat de maandeindewaarderingen van de beleggingen net zo belangrijk worden als de jaareindewaarderingen. En daarmee zijn gedegen reëlewaardeberekeningen en de daarmee samenhangende processen en interne beheersing nog relevanter geworden. Hier ligt een uitdaging voor pensioenfondsen en hun vermogensbeheerders, want vaak zijn hun jaareindewaarderingsprocessen robuuster dan de tussentijdse waarderingsprocessen. Daarom is het belangrijk dat pensioenfondsen en vermogensbeheerders beheersingsmaatregelen treffen die waarborgen dat de waardering van de beleggingen die zij voor de maandelijkse dekkingsgraadberekening hanteren, voldoende betrouwbaar zijn.

Verantwoordelijkheid uitbestedingsrisico bij bestuur pensioenfonds Het is belangrijk dat pensioenfondsbesturen zich bewust zijn van het uitbestedingsrisico van hun beleggingen. De waardering van beursgenoteerde beleggingen wordt nogal eens onderschat. Gebruikers van pricing-informatie gaan er vaak ten onrechte van uit dat de prijzen die worden ontvangen van pricing vendors op basis van liquide beurskoersen tot stand komen. Wanneer aangeleverde prijzen zonder verdere beoordeling in financiële rapportages of beleidsdekkingsgraadberekeningen verwerkt worden, kan dit tot fouten leiden. Omdat het pensioenfondsbestuur verantwoordelijk is voor de waardering van de beleggingen, is het aan het pensioenfondsbestuur om vast te stellen of de vermogensbeheerders voldoende grip hebben op de door hen ingeschakelde pricing vendors.

Verslaggeving


3. Reëlewaardehiërarchie helpt bij beoordelen pricinginformatieEen goede waardering kan alleen tot stand komen als er voldoende gegevens beschikbaar zijn. Idealiter zijn deze gegevens te herleiden naar observeerbare, objectief te bepalen (markt)informatie. Dit soort informatie is voor lang niet alle typen financiële instrumenten beschikbaar. Daardoor is het nodig om met benaderingen te werken, bijvoorbeeld op basis van theoretische waarderingsmodellen, of op basis van gemiddelde prijzen. Pricing vendors kiezen er om die reden steeds vaker voor om met zelfontwikkelde pricingalgoritmen te werken. Deze algoritmen maken de waardering minder transparant en subjectiever doordat zij op een vereenvoudigde weergave van de werkelijkheid gebaseerd zijn.

Gebruik zo veel mogelijk observeerbare inputDe input die gebruikt wordt bij de waardering van financiële instrumenten, wordt onderverdeeld in de categorieën ‘observeerbaar’ en ‘niet-observeerbaar’. Observeerbare input is gebaseerd op transparante, objectief te bepalen (markt)data uit onafhankelijke bronnen. Niet-observeerbare input is subjectiever en bevat impliciet of expliciet een aantal aannames, bijvoorbeeld over risicopremies (opslagen in de verdisconteringsrente voor kredietrisico/liquiditeitsrisico). De verslaggevingsstandaarden vereisen dat zo veel mogelijk observeerbare input gebruikt wordt, zoals beurskoersen en informatie uit de dealermarkt en de brokermarkt.

Periodieke besprekingen met vermogensbeheerder voor inzicht in kwaliteit pricinginformatieHet pensioenfondsbestuur is verantwoordelijk voor een getrouwe weergave van de waardering van de beleggingen. Hiervoor heeft het informatie nodig over

de kwaliteit en de karakteristieken van de pricing-informatie van de vermogensbeheerders. Veelal is dit informatie die vermogensbeheerders niet standaard rapporteren. Daarom is het aan te bevelen om periodiek met de vermogensbeheerder te bespreken hoe de waardering van beursgenoteerde stukken heeft plaatsgevonden, en welke controles daarop hebben plaatsgevonden.

Beoordeel kwaliteit en objectiviteit met de reëlewaardehiërarchie Hoe kun je de kwaliteit en objectiviteit van pricinginformatie beoordelen? De reëlewaardehiërarchie uit IFRS 13 kan hierbij uitkomst bieden. Hierbij worden de volgende levels gehanteerd:• Level 1: observeerbare inputs die een weergave zijn

van onaangepaste, gequote prijzen voor identieke activa en passiva in een actieve markt.

• Level 2: inputs anders dan gequote prijzen uit level 1 die direct of indirect observeerbaar zijn voor het betreffende actief/passief.

• Level 3: niet-observeerbare inputs (bijvoorbeeld op basis van eigen modellen en data).

In tabel 1 lichten wij deze levels in meer detail toe.De genoteerde marktprijs geeft de beste aanwijzing voor de reële waarde van een financieel instrument op een actieve markt. Is er geen genoteerde marktprijs beschikbaar, of is de markt onvoldoende actief, dan kan het pensioenfonds schattingsmethoden hanteren om de reële waarde voldoende betrouwbaar te bepalen. Wel is het belangrijk zeker te stellen dat de ontvangen beurskoersen afgegeven zijn in een liquide, actieve markt. Wanneer er sprake is van onvoldoende liquiditeit, moet de beurskoers (mark-to-marketwaardering) losgelaten worden en moet in de plaats daarvan een mark-to-modelwaardering uitgevoerd worden.

Wat is reële waarde?Voor de waardering van beleggingen gaat de Pensioenwet uit van de marktwaarde. ‘Marktwaarde’ is hier hetzelfde als ‘reële waarde’. De reële waarde geeft informatie over welke waarde een entiteit kan realiseren als zij als een actief verkocht wordt, of als een passief aan een derde getransfereerd wordt. RJ 290 definieert reële waarde als volgt: “Het bedrag waarvoor een actief kan worden verhandeld of een verplichting kan worden afgewikkeld tussen ter zake goed geïnformeerde partijen, die tot een transactie bereid en onafhankelijk van elkaar zijn (in het Besluit actuele waarde ‘marktwaarde’ genoemd)”.

Pensioenfondsen passen RJ 610 en RJ 290 toe. Veel buitenlandse vermogensbeheerders zullen IFRS 13 toepassen. IFRS 13 geeft een meer gedetailleerde en conceptuele invulling aan het begrip ‘reële waarde’. Het sluit daarbij nauw aan bij de manier waarop prijzen in de markt tot stand komen. Deze additionele guidance uit IFRS is ook relevant voor pensioenfondsen. In dit artikel gebruiken we daarom een paar definities en onderbouwingen uit IFRS. De bepaling van reële waarde vereist een verscheidenheid aan aannames en professionele oordeelsvorming. Voordat een reële waarde in een financieel overzicht of een beleidsdekkingsgraadberekening overgenomen wordt, is het belangrijk te onderzoeken hoe deze reële waarden tot stand zijn komen. Doordat pensioenfondsen de waardering van investeringen vaak hebben uitbesteed aan derde partijen, de vermogensbeheerders, is het nog belangrijker te begrijpen welke aannames zijn gemaakt en waar de subjectiviteit in de oordeelsvorming zit.

Merk op: IFRS 13 kent enkele concepten die niet per definitie van toepassing zijn op entiteiten die Dutch GAAP (lees: RJ 610 en RJ 290) toepassen. Voorbeelden hiervan zijn Credit Value Adjustments (CVA) en Debit Value Adjustments (DVA). De in dit artikel besproken guidance uit IFRS 13 betreft niet deze concepten.

De reëlewaardehiërarchie geeft de hoogste prioriteit aan beurskoersen uit actieve markten en de laagste prioriteit aan niet-observeerbare input. Enkele essentiële differentiërende factoren zijn:

Level Karakteristieken Voorbeelden

1 • Waarneembaar

• Beurskoersen voor aandelen

• Koersen van identieke beleggingen in actieve markten (beurskoers)

• Londen Metal Exchange (LME) futurecontractprijzen

2 • Mark-to-model-waarderingen op basis van observeerbare input (afgegeven voor vergelijkbare instrumenten in actieve markten)

• Gequoot: vergelijkbare/identieke voorwaarden, geen actieve markt

• Marktwaarderingen voor OTC-rentederivaten (rentes zijn observeerbaar, maar niet beursgenoteerd)

• Een dealerquote voor een illiquide stuk, als de dealer bereid en in staat is te handelen op de afgegeven prijs

3 • Niet-waarneembare input (bijvoorbeeld bedrijfsdata)

• Marktperspectief is vereist

• Indicatieve brokerquotes (waar niet zomaar een transactie op afgesloten kan worden) die niet aan te sluiten zijn met markttransacties

• Modellen waar managementaannames in verwerkt zijn die niet aan te sluiten zijn op waarneembare marktdata

15Verslaggeving

De liquiditeit van een markt kan bepaald worden aan de hand van het handelsvolume, de frequentie waarmee transacties worden afgesloten en de bid-askspread van de betreffende prijzen. Veel pricing vendors gebruiken een mark-to-modelwaardering als er onvoldoende liquide marktdata beschikbaar is voor een bepaald beursgenoteerd stuk. Dit blijkt niet per definitie uit de pricingoverzichten die pensioenfondsen ontvangen. Het is dus belangrijk om te beseffen dat niet elke markt een actieve markt is en dat niet iedere prijs voor een beursgenoteerd stuk per definitie op basis van een beurskoers tot stand is gekomen.

Beoordeling gehanteerde prijsbronnen belangrijkHet pensioenfonds en de vermogensbeheerder kunnen verschillende bronnen van marktdata gebruiken bij de waardering van financiële instrumenten. De meeste bronnen – zoals Bloomberg en Reuters – kunnen dezelfde financiële instrumenten op meerdere manieren waarderen. De kwaliteit en toepasbaarheid van pricing¬informatie (en de wijze waarop die beoordeeld moeten worden) is per manier anders. Een beursgenoteerd stuk kan gewaardeerd worden op basis van beurskoersen (level 1), maar datzelfde stuk kan ook op basis van bepaalde pricingalgoritmen plaatsvinden. Het is voor beursgenoteerde stukken dus belangrijk om vast te stellen welke wijze van waarderen de vermogensbeheerder heeft toegepast. Dit is immers bepalend voor de toelichting van waarderingsprincipes, maar het is ook belangrijk bij de controle van de reële waarden, bijvoorbeeld bij het opvolgen van waarderingsverschillen.

Een bestuur van een pensioenfonds dat in level 3-beleggingen investeert, moet zich afvragen in hoeverre het over voldoende informatie beschikt om de waardering door de vermogensbeheerder te beoordelen. In de praktijk komt het voor dat pensioenfondsbesturen worden geconfronteerd met scherpe waardedalingen van level 3-beleggingen zonder dat ze dit zagen aankomen of kunnen verklaren.

Tabel 1 Toelichting reëlewaardehiërarchie

Is er twijfel over de liquiditeit van een prijs, dan moet het pensioenfonds verifiëren dat die prijs een goede weergave is van de reële waarde van dat stuk op waarderingsdatum, bijvoorbeeld door de prijs die is opgegeven door de vermogensbeheerder te vergelijken met een theoretische waardering.

Het pensioenfonds licht voor iedere soort belegging de methodiek toe waarop het de marktwaarde bepaald heeft. Voor een level 2- of level 3-waardering is deze toelichting uitgebreider en complexer dan voor een level 1-waardering.

Het pensioenfonds kan figuur 1 gebruiken om de waardering door de externe vermogensbeheerder te beoordelen en vast te stellen in hoeverre de waardering voor het pensioenfondsbestuur te begrijpen en te controleren is. Let wel: een paar controlemechanismen die ingebouwd zijn om de jaareindewaardering te bepalen, worden niet in alle gevallen maandelijks uitgevoerd. Het advies voor pensioenfondsbesturen is om de beleggingen waarvan zij de waardering niet kunnen controleren, af te bouwen.


Voor pensioenfondsen geldt dat de omvang van de toelichtingen toeneemt naarmate de illiquiditeit toeneemt. Voor level 3 betekent dit de maximale toelichting, voor level 1 de minimale toelichting.

Figuur 1 Komt de prijs direct uit transactiedata of consensus/contributies van de brokers/geëvalueerde prijzen

Laag Risico Gemiddeld Risico Hoog Risico

Ja

Ja

Nee

Komt de prijs direct uit transactiedata of consensus/

contributies van de brokers/geëvalueerde prijzen

Zijn de prijzen direct afkomstig van een beurs of afgegeven door een erkende pricingservice

Heeft deze service lang genoeg bestaan dat we in staat zijn om de reputatie van

de deelnemers, methodologie en data-integriteit te evalueren?

Is de methode acceptabel?

Zijn allen, of de meeste contributors betrouwbare marktdeelnemers?

Wanneer is de qoute ontvangen?

Kan er op de quote gehandeld worden, of is deze alleen indicatief?

Zijn de quotes afkomstig van brokers die gespecialiseerd zijn in de producten

(bijv. door een market maker)?

Is er sprake van voldoende diepgang en een beperkte variabiliteit in de verschillende prijzen die zijn

gehanteerd om tot de consensus prijs/matrix prijs te komen?

Zijn de consensusprijzen/matrixprijzen bepaald per rapportagedatum?

Hebben we genoeg informatie van de contributors om betrouwbare prijzen te

genereren?

Zijn er grote verschillen tussen de quotes die zijn uitgegeven?

Zijn er genoeg brokersquotes afgegeven op de waardering?

Is de parameter/product afhankelijk van volatiele of lastig in

te schatten marktcondities?

Is de markt actief? (Genoeg volume en frequencies van

transacties)

Ja

Nee

Nee

Nee

Nee

Nee

Ja

Ja

Ja

Nee

Nee

Indicatief

Ja

Ja

Ja

Ja

Uitvoerbaar

Niet dichtbij de balansdatum

Dichtbijde

balans-datum

Broker quotes Consensus pricing/matrix pricing

Pricingservice Beurs genoteerd

Tegelijkertijd neemt zowel het beleggingsrisico (het risico op een koersdaling) als het waarderingsrisico (het risico op een verkeerde waardering − deel van het uitbestedingsrisico) toe bij meer illiquide beleggingen.

17

4. Conclusie: de beoordeling van de pricinginformatie voor beursgenoteerde beleggingen wordt nog belangrijkerEr ligt een belangrijke taak voor pensioenfondsbesturen om de kwaliteit van de aangeleverde pricinginformatie te beoordelen. Deze aandachtspunten bestonden op basis van het FTK al voor de jaareindewaarderingen conform RJ 290/610 en/of IFRS 13. Aangezien pensioenfondsen hun beleidsbeslissingen als gevolg van het nFTK vanaf 1 januari 2015 dienen te baseren op de beleidsdekkingsgraad, moeten zij voldoende waarborgen treffen om ervoor te zorgen dat de beleidsdekkingsgraad en de onderliggende twaalf tussentijdse dekkingsgraden van voldoende kwaliteit zijn. Deze verantwoordelijkheid blijft bij de pensioenfondsbesturen zelf liggen, ongeacht de mate waarin zij hun vermogensbeheeractiviteiten hebben uitbesteed.

Nu als gevolg van de introductie van het nFTK het belang van de maandeindewaardering sterk is toegenomen en hierop niet altijd een goede controle plaatsvindt, is het nodig om de wijze waarop vermogensbeheerders de reële waarde bepalen te begrijpen en te monitoren. Er zijn enkele aandachtspunten bij het gebruik van prijsbronnen voor het bepalen van de marktwaarde op basis RJ 290/610 en/of IFRS 13.

De bepaling van de reële waarde vereist naast een verscheidenheid aan aannames in veel gevallen ook professionele oordeelsvorming. Om die reden is het voor de gebruiker van de jaarrekening belangrijk dat transparant toegelicht wordt hoe reële waardes tot stand komen.

Verslaggeving

19Accountancy

Spotlight | Accountancy

SamenvattingDe huidige technologische veranderingen zorgen (in een steeds hoger tempo) voor het steeds verder automatiseren van bedrijfsprocessen en interne controlemaatregelen. Het lijkt alsof de intrede van de geautomatiseerde controle in de brede praktijk niet lang meer op zich laat wachten. Wetenschappers buigen zich al jaren over ‘continuous auditing’. Maar de praktijk blijkt weerbarstig. Het bestuderen van diverse praktijksituaties geeft inzicht in de factoren die bijdragen of afbreuk doen aan een succesvolle implementatie van data-analyse in de (jaarrekening)controle. Aan de ene kant leveren de voortgang van technologische ontwikkelingen, en de beschikbaarheid en de betrouwbaarheid van data een bijdrage aan de succesvolle implementatie van data-analyse in de praktijk. Aan de andere kant blijkt uit analyse van de diverse praktijksituaties dat de samenwerking tussen de verschillende expertises en de betrokkenheid van opdrachtleiders en bestuurders belangrijke factoren zijn voor de volgende stappen richting een echte data¬gedreven controle.

Succesvolle implementatie van datagedreven controle in de controlepraktijk

1. Nieuwe inzichten in succesfactoren en valkuilen bij implementatie datagedreven controleDat de wereld om ons heen in hoog tempo aan het veranderen is, is geen nieuws meer. De mogelijkheden om bedrijfsprocessen verder te automatiseren worden steeds groter, waardoor er steeds meer (proces)data beschikbaar zijn. Deze automatisering en beschikbaarheid van data dragen eraan bij dat de accountant zijn controle in een ander licht gaat bezien. De huidige technologie biedt de accountant ook nog eens de mogelijkheid om veel meer data in een kort tijdsbestek aan klantsystemen te onttrekken, te herschikken en te analyseren. Inmiddels is het dan ook niet meer de vraag of, maar wanneer de datagedreven controle zijn intrede doet in de brede controlepraktijk.

In wetenschappelijke studies worden verschillende factoren genoemd die bijdragen aan succesvolle implementatie- en verandertrajecten op een veelvoud van gebieden, waaronder nieuwe technologische toepassingen. De afgelopen jaren zijn diverse controleteams in de bredere controlepraktijk gestart met het toepassen van data-analyse in de jaarrekeningcontrole. Deze praktijksituaties hebben een aantal initiële nieuwe inzichten opgeleverd in de succesfactoren en valkuilen bij het implementeren van een datagedreven controle. Op basis van deze eerste observaties valt een onderscheid te maken naar

De technologische ontwikkelingen op het gebied van de jaarrekeningcontrole volgen elkaar in rap tempo op. Het in dit kader ontwikkelen van relevante data-analyses en data-analysetooling is één, maar het effectief toepassen daarvan in het kader van de controle is heel een ander verhaal. Wat draagt bij aan de succesvolle toepassing van data-analyse in de controle, en welke uitdagingen moeten daarbij overwonnen worden? Een praktijkevaluatie.

Janet Stouten - Vaktechnisch bureau (National Office), Assurance

factoren die ingedeeld kunnen worden naar gedrag en technologie. Als we kijken naar deze twee elementen, dan zijn er in dit kader meerdere parallellen te trekken tussen de omgeving van de accountantsorganisaties en die van de klant. Zie figuur 1. In de onderstaande paragrafen wordt er nader stilgestaan bij deze factoren.


2. Beschikbaarheid, toegankelijkheid en kwaliteit van data beïnvloeden de mogelijkheden van data-analyse De grootste uitdagingen bij de implementatie van een datagedreven controle zijn onder andere de beschikbaarheid, toegankelijkheid en kwaliteit van data die nodig zijn om de gewenste analyses uit te kunnen voeren. Deze beschikbaarheid, toegankelijkheid en kwaliteit worden gedreven door de volgende factoren:

• Mate van automatisering van bedrijfsprocessen en opslag van datamutatiesEen organisatie of een accountant kan alleen data-analyse toepassen wanneer er voldoende digitale registraties achtergelaten worden in bedrijfsapplicaties. In de praktijk blijkt dat de mate van automatisering vaak overschat wordt en dat daardoor niet alle analyses uitgevoerd kunnen worden.

Naast de mate van automatisering van een proces, is het ook van belang dat de datamutaties worden opgeslagen. De meeste hedendaagse ERP-systemen bewaren het voor data-analyse relevante auditlog, waarin elke datamutatie wordt opgeslagen (bijvoorbeeld wijzigingen in stamgegevens). Zelfontwikkelde en/of oudere applicaties creëren lang niet altijd een auditlog, waardoor alleen de laatst doorgevoerde mutatie beschikbaar is en er niet naar eerdere mutaties gekeken kan worden. Dit is te vergelijken met een proef- en saldibalans waarbij de individuele journaalposten niet bewaard worden, maar bij elke transactie de standen en stromen overschreven worden. Zonder de onderliggende journaalposten is het niet mogelijk om de totstandkoming van de balanspositie te beoordelen of data-analyse in te zetten.

• Aggregatie en bewaartermijn transactiedataEen andere belangrijke factor is de bewaartermijn van de benodigde data. Wanneer het volume van transacties toeneemt, neemt vaak ook de mate van aggregatie van de bewaarde data toe. Neem bijvoorbeeld een retailer in kleding met een groot aantal winkels. Voor de interne beheersing is het vaak voldoende dat de transactiedata enkele dagen tot enkele weken bewaard blijven. Voor de langere termijn is het vaak voldoende om bijvoorbeeld op categorieniveau per winkel inzicht te hebben in de omzetcijfers. Dit beperkt de accountant in de detaillering van zijn data-analyse.

• Kwaliteit van de IT General ControlsHet succes van het in de praktijk implementeren van data-analyse is ook afhankelijk van de kwaliteit van de IT General Controls (ITGC’s). ITGC’s vormen de randvoorwaarden om gebruik te kunnen maken van data uit applicaties. Vooral beheersingsmaatregelen op het gebied van toegang tot applicaties en data hebben impact op de betrouwbaarheid van de data die gebruikt worden voor de datagedreven controle. Stel dat het hoofd van de afdeling Inkoop van een organisatie systeemtechnische rechten heeft waarmee hij/zij de logging kan overschrijven of kan aanpassen zonder digitale voetsporen achter te laten of kan inloggen onder een andere inlognaam. In een dergelijke situatie is het niet mogelijk om vast te stellen dat de functiescheiding in het systeem effectief is geweest en neemt de betrouwbaarheid van de uitkomsten van sommige vormen van data-analyse af.

Afwezigheid van een of meerdere van bovenstaande factoren betekent overigens niet dat data-analyse onmogelijk is. Toepassingen van ‘exploratory data analysis’ is (mits de data aanwezig zijn) is in veel gevallen wel mogelijk. Exploratory data analysis is bedoeld om de belangrijkste kenmerken van een dataset te verkennen. Een voorbeeld is de toepassing van process-miningtechnieken. Hierbij wordt op basis van de data die transacties achterlaten in een systeem (het zogenaamde ‘event log’) een bedrijfsproces inzichtelijk gemaakt. Wanneer dit vergeleken wordt met de door de organisatie ingerichte procesgang, kunnen afwijkingen in kaart worden gebracht.

3. Multidisciplinaire teams met betrokken leiding succesvoller in auditinnovatieWanneer data wel beschikbaar zijn (en de techniek datagedreven controle dus toelaat), is de samenstelling van het team dat zich met datagedreven controle bezighoudt, een belangrijke succesfactor:

Figuur 1 Paralellen tussen de klant en de accountants-organisatie

Cliëntomgeving Accountantsorganisatie

Betrokkenheidbestuurders

Beschikbaarheid,toegankelijkheiden kwaliteit data

Multidisciplinairteam

Gedrag

Technologie

Kennis over dataanaluse in de

controle

Ontwikkeling dataanalysetools

21Accountancy

• Meer vernieuwing door betrokkenheid opdrachtleiders en ervaren medewerkersZoals in veel andere situaties, blijkt in de praktijk dat de betrokkenheid van opdrachtleiders en andere ervaren medewerkers een positieve bijdrage levert aan de innovatie van de controle. Deze bijdrage is zichtbaar op meerdere vlakken, waaronder het aantal processen waar data-analyse op toegepast wordt en de tijd die controleteams vrijmaken voor innovatieve toepassingen van data-analyse. Teams waar een opdrachtleider nauw betrokken is bij de implementatie van data-analyse, lijken verder te gaan qua innovatie. Dit stimuleert de ontwikkeling van nieuwe procesanalyses, maar ook het lef om de controle-aanpak daadwerkelijk te veranderen.

• Snellere resultaten door betrokkenheid (senior) management Niet alleen de betrokkenheid van opdrachtleiders blijkt in de praktijk een belangrijke factor, ook de steun en inzichten van de bestuurders en/of het (senior) management van de klant zijn van belang. Deze personen zorgen binnen de organisatie voor een groter draagvlak, maar helpen ook bij het verkrijgen van meer inzicht in de uitkomsten van de analyses door hun kennis van de organisatie.

• Meer inzichten door samenwerking met expertsNaast de betrokkenheid van opdrachtleiders en bestuurders, vraagt innovatie ook om de inzet van verschillende competenties. Teams waarbij proces-, data- en IT-specialisten nauw samenwerken met de accountant, bereiken het meest. Wanneer deze teams samenwerken met equivalenten binnen de organisatie van de klant, zijn de mogelijkheden voor innovatie binnen de controle (zowel de interne als externe) het grootst.

4. De volgende stappen: investeren in kennis over data-analyse en toolingWanneer data-analyse voor het eerst wordt toegepast, blijken het controleteam en de organisatie vaak in de details van de analyse te verzanden. Wanneer controleteams hierin getraind worden en gebruikmaken van praktijkhandreikingen op het gebied van data-analyses in de (jaarrekening)controle, blijven ze door de bomen het bos zien en kunnen ze de organisatie, waar nodig, op adequate wijze meenemen in de relevante details.

Naast investeringen in kennis over data-analyse bij accountants (en klanten), is ook de verdere ontwikkeling van data-analysetools voor de jaarrekeningcontrole van belang. De huidige praktijktoepassingen van data-analyse richten zich vooral op het standaardiseren en automatiseren van controlewerkzaamheden die weinig oordeelsvorming vereisen, een hoge frequentie hebben en gebaseerd zijn op data die binnen de klantomgeving beschikbaar en eenvoudig toegankelijk zijn. De volgende generatie data-analysetechnieken zal zich meer en meer gaan richten op data buiten de klantomgeving en het ondersteunen van de controle van jaarrekeningposten met een hogere mate van oordeelsvorming (denk aan voorzieningen).

5. En dan nu op weg naar een datagedreven controleDe ervaringen die momenteel worden opgedaan met de toepassing van data-analyse in het kader van de jaarrekeningcontrole, dragen bij aan de uitbreiding van de kennis rondom de effectieve toepassing van data-analyse in voornoemde context en de verdere optimalisatie van de data-analyse. Daarnaast geldt voor data-analyse hetzelfde als voor elke andere verandering: alle begin is moeilijk, maar om te veranderen moet je wel beginnen.

23Interne beheersing en IT

Spotlight | Interne beheersing en IT

SamenvattingSteeds meer organisaties hebben te maken met, soms ernstige, datalekken. Bedrijven, overheidsinstellingen en andere informatieverwerkers die verantwoordelijk zijn in de zin van de Wet bescherming persoonsgegevens, worden verplicht om bij het CBP melding te maken van datalekken. Naast de melding van datalekken verruimt de Wet Meldplicht Datalekken de huidige boetebevoegdheden voor het CBP tot 810.000 euro of 10 procent van de (wereldwijde) jaaromzet. Dit moet ervoor zorgen dat organisaties de naleving van de Wet bescherming persoonsgegevens serieus gaan nemen. Dit artikel gaat in op wat er verplicht wordt, voor wie en wat de consequenties daarvan zijn.

Meldplicht datalekken: is uw organisatie er klaar voor?

1. Melden en beheersen van een datalek drastisch aangescherptCreditcardgegevens buit gemaakt door hackers, nalatige omgang met de beveiliging van wachtwoorden en diefstal van een laptop, het zijn stuk voor stuk voorbeelden van de circa 60.000 datalekken met persoonsgegevens die elk jaar in Nederland plaatsvinden volgens het CBP. Een meerderheid van de organisaties geeft aan in het afgelopen jaar te maken hebben gehad met een datalek of een incident met persoonsgegevens.

Met de aangenomen aanscherping van de Wet bescherming persoonsgegevens (Wbp), ook wel de Wet Meldplicht Datalekken (WMD) genoemd, worden per 1 januari 2016 het melden en beheersen van een datalek en de sancties vanuit de toezichthouder drastisch aangescherpt. Al sinds 2005 wordt er in politiek Nederland gestreden voor het invoeren van

Privacy is een actueel onderwerp dat steeds meer aandacht krijgt in de samenleving. De Nederlandse privacywet, de Wet bescherming persoonsgegevens, is op 26 mei 2015 gewijzigd. Hierdoor verandert een aantal zaken op privacygebied. Bent u hier klaar voor?

Maurice Steffin - Risk Assurance, Assurance Sandra Mochèl - Technology, Advisory

een wettelijke regeling rondom het verplicht melden van datalekken. Een motie uit 2005 haalt het niet met de redenering dat persoonsgegevens al afdoende beschermd worden onder het regime van de Wbp. Het duurt daarna enkele jaren voor het Europees Parlement en de Raad in 2011 de ‘smalle’ meldplicht opnemen in de gewijzigde ePrivacy-richtlijn. Deze ‘smalle’ meldplicht is alleen van toepassing op de aanbieders van openbare telecommunicatiediensten.

Op 17 juni 2013 wordt bij de Tweede Kamer het ‘brede’ wetsvoorstel inzake de meldplicht bij datalekken ingediend. Bedrijven, overheidsinstellingen en andere informatieverwerkers die verantwoordelijk zijn in de zin van de Wbp, worden volgens het wetsvoorstel verplicht om bij het CBP melding te maken van datalekken. Eind november 2014 wordt het wetsvoorstel uitgebreid met verregaande boetebevoegdheden voor het CBP. Op 26 mei 2015 zijn de brede meldplicht én de uitbreiding van de boetebevoegdheden van het CBP een feit. Het wetsvoorstel wordt zonder stemming door de Eerste Kamer aangenomen. Zie ook figuur 1.

Het doel van de meldplicht is om de gevolgen van een datalek voor de betrokkenen zo veel mogelijk te beperken en hiermee een bijdrage te leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens door zowel de overheid als het bedrijfsleven. In dit artikel wordt ingegaan op de belangrijkste veranderingen van de Wbp, de nieuwe rol en bevoegdheden van de Autoriteit Persoonsgegevens (AP) en hoe organisaties het beste om kunnen gaan met het privacyvraagstuk.


Figuur 1 Stand van zaken – Wet Meldplicht Datalekken (aanpassing Wbp)

Diverse wijzigingen enMemorie vanToelichting

Het wetsvoorstelaangenomen door deEerste Kamer (zonderstemming)

1 januari 2016 inwerking

Publicatie wet in deStaatscourant (nr. 230)

Het wetsvoorstelWMD met algemenestemmen aangenomendoor de Tweede Kamer

Aankondiging van dewijziging van de Wbp

17 maart 2013 2014 - 2015 10 februari2015

26 mei 2015 19 juni 2015 Begin 2016

De huidige Wbp is gebaseerd op de Europese richtlijn 95/46/EC. Nederland heeft deze richtlijn geïmplementeerd in de Wbp. De Wbp gaat uit van negen verwerkingseisen bij de verwerking van persoonsgegevens: Voornemen en melden, Transparantie, Doelbinding, Rechtmatige grondslag, Kwaliteit, Rechten van de betrokkenen, Beveiliging, Bewerker en Doorgifte naar derde landen. In het kader van de verwerkingseis Beveiliging stelt de Wbp dat passende technische en organisatorische maatregelen getroffen moeten worden om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Sinds maart 2013 worden voor de praktische invulling hiervan de Richtsnoeren Beveiliging van Persoonsgegevens gehanteerd, die de daarvóór geldende Achtergrondstudies en Verkenningen 23 vervangen.

Figuur 2 Globale tijdslijn privacywetgeving

NL: Wet bescherming persoonsgegevensDe Wbp zal op het moment dat de Europese Privacy Verordening effectief is ingetrokken worden

NL: Wet bescherming persoonsgegevens (Wbp)De Wbp is de implementatie van de Europese Richtlijn 95/46/EG (2001)

EU: Data Protection Directive 95/46/EGEuropese privacy Richtlijn (1995)

EU: General Data Protection RegulationEuropese Verordening die in alle lidstaten als wetgeving geldt. (Implementatie medio 2016)

Wet Meldplicht Datalekken (WMD)Melding van de datalekken bij het Cbp, als deze ‘ernstig’ zijn (1 januari 2016)


2. Belangrijkste wijzigingen WMDDe Wbp kent voor de verantwoordelijke organisatie de plicht om ‘passende technische en organisatorische maatregelen ten uitvoer [te leggen] om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking …’ De WMD omschrijft een ‘inbreuk op de beveiliging’ in de zin van deze verplichting als datalek. Persoonsgegevens zijn dan blootgesteld aan verlies of onrechtmatige verwerking, datgene waartegen de beveiligingsmaatregelen bescherming hadden moeten bieden.

Voorbeelden van een datalek zijn volgens de regering:• diefstal van een laptop of mobiele telefoon uit een

afgesloten locker;• het per ongeluk verkeerd adresseren van een brief of

e-mail;• het als oud papier aanbieden van gevoelige stukken;• verlies van een mobiele telefoon, laptop of het

zoekraken van een USB-stick;• het hacken van een ICT-systeem of gegevensbestand;• slordige of nalatige omgang met wachtwoorden.

Bedrijven en overheden die te maken krijgen met een dergelijk datalek kunnen ingevolge het nieuwe artikel 34a van de Wbp per 1 januari 2016 verplicht zijn datalekken te melden aan de toezichthouder, en in bepaalde gevallen ook aan het getroffen individu (zie kader). Het individu is degene van wie persoonsgegevens zijn gelekt.

De belangrijkste wijzigingen in de Wbp zijn:

• Datalekken melden bij het CBP en (indien noodzakelijk) de betrokkeneZoals gezegd omschrijft de WMD een datalek als een inbreuk op de beveiliging. Dit betekent dat er niet in alle gevallen van onrechtmatige verwerking of verlies van persoonsgegevens, sprake is van een datalek in de zin van de WMD (zie figuur 3). Naast datalekken bestaat er een grotere groep van ‘incidenten’.

Boetebevoegdheid per 1 januari 2016Artikel 34aDe verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13 (passende beveiligingsmaatregelen, rekening houdend met de stand der techniek, risico’s, kosten), die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Figuur 3 Verschillende gradaties van onrechtmatige verwerking of verlies van persoonsgegevens

Figuur 4 Beslismodel voor de bepaling of een melding bij het CBP nodig is

Incidenten

Datalekken

MeldingCBP

Melding aanindividu

De meldplicht is geclausuleerd. Een datalek hoeft alleen bij de toezichthouder gemeld te worden indien er ernstige nadelige gevolgen zijn voor de bescherming van persoonsgegevens of de kans daarop aanzienlijk is (zie kader). Heeft de inbreuk ook waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene, dan moet de organisatie ook de betrokkene informeren. Op deze laatste regel geldt een uitzondering indien de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn, zoals bij versleutelde gegevens. Met het beslismodel in de Memorie van Toelichting kan beoordeeld worden of een melding bij het CBP en de betrokkene nodig is. Zie figuur 4.

Gaat het om een inbreuk op de

beveiliging in de zin van artikel 13

Wpb?

Dit is een datalekU moet het datalek

melden aan het CBP

Zal het datalek waarschijnlijk

ongunstige gevolgen hebben

voor de persoonlijke

levenssfeer van de betrokkenen?

U moet het datalek melden aan de

betrokkene

Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen

voor de bescherming van

persoonsgegevens


De meldplicht laat veel aan de eigen interpretatie over. Wanneer leidt een datalek bijvoorbeeld tot ongunstige gevolgen voor de persoonlijke levenssfeer? De invulling van deze open normen wordt aan bedrijven en overheden zelf overgelaten. Zij moeten per geval een afweging maken. Om de verantwoordelijke niet geheel in onzekerheid te laten verkeren, komt het CBP in het najaar met ‘richtsnoeren’ waarmee de wet nadere invulling krijgt. Toch zal het CBP geen generieke invulling van de normen voorschrijven en zal per geval beoordeeld moeten worden of er sprake is van een meldplicht.

• Administratieplicht datalekken en genomen maatregelenNaast de meldplicht bij het CBP heeft de verantwoordelijke ook een administratieplicht: hij moet bijhouden hoeveel en wanneer datalekken hebben plaatsgevonden. Dit betreft uitsluitend de gegevens over datalekken die onder de meldplicht vallen.

• Afspraken over datalekken in bewerkers-overeenkomstHoewel de meldplicht alleen geldt voor de verantwoordelijke organisatie, heeft de wet ook gevolgen voor de bewerker(s). Wanneer een verantwoordelijke (een deel van) het bewerken van persoonsgegevens uitbesteedt aan een andere partij, bijvoorbeeld een Cloud-provider of callcenter, dan is er sprake van een bewerker. Deze bewerker wordt in de nieuwe wet verplicht de verantwoordelijke organisatie tijdig te informeren over alle datalekken in de zin van de meldplicht. De verantwoordelijke moet immers aan de administratieverplichtingen en aan de meldingsplicht kunnen voldoen. De afspraken hierover moeten ook contractueel, bij voorkeur in bewerkersovereenkomsten, worden vastgelegd en periodiek worden beoordeeld.

• Introductie boetebevoegdheid CBPNaast de meldplicht bij datalekken is de bestuurlijke boetebevoegdheid van de toezichthouder flink verruimd. In de huidige wetgeving heeft het CBP de mogelijkheid om een bestuurlijke boete van maximaal

4.500 euro op te leggen voor een overtreding van een administratief voorschrift (zoals het niet of op onjuiste wijze melden van een verwerking van persoonsgegevens), of een maximale boete van 20.250 euro op basis van het strafrecht.

De WMD verruimt de huidige boetebevoegdheden voor het CBP. Het CBP krijgt de bevoegdheid om op overtredingen van de Wbp een bestuurlijke boete op te leggen tot maximaal 810.000 euro, of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon. Deze bevoegdheid heeft de toezichthouder bij vrijwel iedere overtreding van de Wbp, zoals het niet op een behoorlijke of zorgvuldige manier verwerken van persoonsgegevens of het te lang bewaren van persoonsgegevens. Het gaat hierbij dan ook niet alleen om datalekken. Het CBP heeft de verplichting om voordat het een boete op kan leggen, eerst een bindende aanwijzing te geven. Een dergelijke aanwijzing is een soort ‘gele kaart’. Dus voordat het CBP zijn boetebevoegdheid mag gebruiken, moet het organisaties eerst de mogelijkheid geven om aan de regels te voldoen. Een uitzondering daarop bestaat indien de overtreding ‘opzettelijk’ is gepleegd of indien er sprake is van ernstig verwijtbare nalatigheid; de zogenaamde ‘rode kaart’-situaties. Tabel 1 geeft aan wanneer volgens de regering hiervan sprake is.

• Handhaving privacybepalingen uit de Telecomwet door het CBPIn de huidige Telecomwet is er ook al sprake van privacybescherming en het melden van datalekken, de eerdergenoemde ‘smalle’ meldplicht. De handhaving van deze bepalingen wordt overgedragen van de Autoriteit Consument & Markt (ACM) naar het CBP. Hierdoor ontstaat er duidelijkheid voor organisaties wie waarvoor de verantwoordelijke toezichthouder is.

• Naamswijziging CBP naar Autoriteit PersoonsgegevensHet CBP krijgt, als voorschot op de Europese privacyverordening, een nieuwe naam: de Autoriteit Persoonsgegevens. Deze naamswijziging past beter bij

Scenario Omschrijving

Opzet ‘Willens en wetens’• commerciële handel in persoonsgegevens voor financieel gewin;

• vermarkten van medische gegevens;

• zonder toestemming filmen van patiënten in zwakke positie.

Voorwaardelijke opzet ‘Willens en wetens aanmerkelijke kans op intreden negatieve gevolgen aanvaarden (incl. behoren te weten)’• niet ingrijpen terwijl geavanceerde monitoringsoftware op netwerk waarschuwt voor

incidenten.

Ernstig verwijtbare nalatigheid

‘Het gevolg van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen’• arboarts die, als onderdeel van zijn verdienmodel, systematisch dossiers naar de

werkgever mailt;

• kinderen met spelletje ertoe overhalen om vragen over hun ouders te beantwoorden;

• zonder toestemming filmen van patiënten in zwakke positie (casus VUmc).

Tabel 1 Overzicht ‘rode kaart’-situaties


de namen van andere toezichthouders zoals Autoriteit Financiële Markten (AFM) en Zorgautoriteit. Deze naamswijziging sluit aan op de verruiming van de handhavingsbevoegdheden van de toezichthouder.

4. Sleutel tot succes: een samenspel tussen Legal, Business & IT en Monitoring & ControlDe sleutel tot succes van de getroffen voorbereiding ligt in de inbedding in de processen van de organisatie en het niveau van bewustzijn in de organisatie. Het management heeft een belangrijke rol bij de naleving van de nieuwe privacywetgeving. Het moet voldoende belangstelling hebben voor privacy en beveiliging. De nieuwe privacywetgeving laat duidelijk zien dat privacy niet slechts een juridisch onderwerp is. Het moet een door de organisatie breed gedragen begrip zijn. Naast dat iedere organisatie zich bij het verwerken van persoonsgegevens moet houden aan de Wbp en de naleving van de wet moet kunnen garanderen, is het eveneens van belang privacy in te bedden in de dagelijkse processen en het bestaande controleraamwerk. Hiermee wordt geborgd dat privacy onderdeel wordt van de strategie, organisatie en klantverwachtingen en dat het privacybeleid daadwerkelijk binnen de organisatie wordt gedragen.

Belangrijkste wijzigingen op een rij• Meldplicht van datalekken bij het CBP en (indien

noodzakelijk) bij de betrokkene• Administratieplicht datalekken en genomen

maatregelen• Afspraken over datalekken in bewerkersovereenkomst• Verruiming boetebevoegdheid CBP• Handhaving privacybepalingen uit de Telecomwet

door het CBP• Naamswijziging CBP naar Autoriteit

Persoonsgegevens

3. Voorbereiden op meldplicht datalekkenElke organisatie − of het nu gaat om de overheid of het bedrijfsleven – moet zich bij het verwerken van persoonsgegevens houden aan de Wbp.

Zo kunnen organisaties zich voorbereiden op de meldplicht:

• Informatiestromen in kaart brengenWanneer een organisatie inzicht heeft in de data (welke persoonsgegevens worden er verwerkt) kan zij eenvoudiger bepalen wat er beveiligd moet worden, wanneer er sprake is van een datalek van persoonsgegevens en wat de impact is van het datalek.

• Een assessment uitvoeren op de bestaande beveiligingDatalekken kunnen overal in de organisatie ontstaan wanneer niet duidelijk is wat er beveiligd moet worden en hoe er beveiligd moet worden. Met het uitvoeren van een assessment op de huidige beveiliging in combinatie met de eerder in kaart gebrachte informatiestromen kan worden bepaald wat er beveiligd moet worden en hoe deze beveiliging moet worden ingericht. Bij beveiliging komt immers meer kijken dan alleen de technische inrichting.

• Een Incident & Response-plan opstellenDit plan beschrijft de inrichting van de processen en richtlijnen over hoe men moet handelen als zich een datalek voordoet. Het omvat in ieder geval het constateren van een datalek, het centrale punt in de organisatie waar een datalek moet worden gemeld, en de samenwerking met de relevante stakeholders, zoals de Privacy Officer en Security Officer. De organisatie moet informatie verzamelen over de impact en aanleiding, en vervolgens een set aan maatregelen opstellen en uitvoeren. Onderdeel daarvan is de besluitvorming rondom de meldingsplicht. Duidelijk moet zijn wie beoordeelt of er sprake is van een meldingsplicht en wie het datalek bij het CBP of de betrokkene gaat melden.

Figuur 5 Privacygovernance is een samenspel tussen Legal, Business & IT en Monitoring & Control

.

Monitoring &Control

.

Business & IT

Ensure Data Privacycompliance

Integrate Data Privacy incontrol framework

Embed Data Privacy inboth processes and IT

Legal

DataPrivacy

Governance

Door er als organisatie voor te zorgen dat privacy niet alleen is verankerd in beleidsstukken en juridische documenten, maar ook is ingebed in de dagelijkse processen, zorgt men ervoor dat de organisatie zich houdt aan de belangrijkste twee principes van privacywetgeving: ‘Privacy by Design’ en ‘Privacy by Default’. Privacy by Design gaat uit van het principe dat er in een vroeg stadium nagedacht wordt over het goede gebruik en de bescherming van persoonsgegevens binnen een organisatie. Privacy by Default heeft juist betrekking op het toepassen van defaultsettings op een zodanige wijze dat de privacy zo optimaal mogelijk wordt gewaarborgd. Als een organisatie kan aantonen dat ze aan de hand van deze twee principes het beleid heeft opgezet en uitgewerkt, is de kans op een maximale boete zoals eerder beschreven onwaarschijnlijk.


5. Conclusie: goede voorbereiding en samenwerking van groot belangMet de aanpassing van de Wbp heeft de overheid een belangrijke stap vooruit gezet in het beschermen van persoonsgegevens van haar burgers. Centraal hierbij staan de meldplicht bij datalekken en de verruiming van de boetebevoegdheid van het CBP.

Voor de meldplicht gelden belangrijke eisen niet alleen rondom de tijdigheid en de inhoud van de melding, maar ook rondom afspraken met bewerkers. Bedrijven zullen alerter reageren indien er een inbreuk heeft plaatsgevonden en ook zullen zij meer toezien op het voorkomen van dergelijke lekken. De meldplicht zou dus een preventieve werking kunnen hebben. Daar staat tegenover dat een meldplicht dan ook daadwerkelijk opgemerkt moet kunnen worden. De praktische uitvoerbaarheid zal vermoedelijk enige stof tot nadenken opleveren. Veel hangt af van een goede voorbereiding op de meldplicht. Van het in kaart brengen van de data tot het hebben van een Incident & Response-plan. De sleutel tot succes van de getroffen voorbereiding ligt uiteindelijk in de inbedding in de processen van de organisatie en het niveau van bewustzijn in de organisatie.

De angst voor meer en vooral hogere boetes en de publieke schandpaal zorgt ervoor dat privacy hoog binnen de organisatie op de agenda komt te staan. Organisaties worden zich, wellicht om de verkeerde redenen, meer bewust van het belang en de kansen van het goed omgaan met persoonsgegevens. Het is voordeliger te zorgen voor een goede omgang met persoonsgegevens dan achteraf de schade te moeten herstellen. Door een samenspel tussen Legal, Business & IT en Monitoring & Control in een vroegtijdig stadium en het inbedden van de twee basisprincipes van privacywetgeving (Privacy by Design en Privacy by Default) in de organisatie kan schade zo veel mogelijk worden voorkomen.

31Governance en toezicht

Spotlight | Governance en toezicht

SamenvattingEffectief toezicht op cultuur en gedrag speelt een belangrijke rol bij het signaleren van integriteitsrisico’s, het voorkomen van reputatieschade en het bewaken van de continuïteit. Commissarissen vinden het echter vaak moeilijk om toezicht op cultuur en gedrag concreet handen en voeten te geven. Het PwC-integratiemodel voor cultuur en gedrag biedt een praktische leidraad voor de dialoog met het bestuur over de vertaling van cultuur en gedrag naar alle aspecten van de bedrijfsvoering. Integraal toezicht op cultuur en gedrag vraagt daarnaast om verandering en verankering op drie niveaus, namelijk dat van de raad van bestuur, de raad van commissarissen en de individuele commissaris. Ook de compliance officer, internal auditor en externe accountant kunnen daarbij een rol spelen.

Effectief toezicht op cultuur en gedrag

1. Cultuur en gedrag bespreekbaar makenPapier is geduldig. Een mooie verwoording van de strategie garandeert nog niet dat die strategie in lijn is met de normen en waarden van de organisatie, laat staan met het dagelijks in praktijk brengen daarvan. Hoe gaan organisaties bijvoorbeeld om met tegenstrijdige belangen van belanghebbenden? Zijn de beleden normen en waarden herkenbaar in ‘the tone at the top’? Worden ze niet alleen gedragen op het hoofdkantoor, maar ook in alle werkmaatschappijen en subculturen van de (internationale) organisatie? Weten alle mensen in de organisatie welke cultuur en welk gedrag als constructief worden gezien en gewaardeerd? En andersom: welke cultuur is ongewenst en welk gedrag wordt niet getolereerd? Zijn de risico’s als gevolg van ongewenst gedrag in kaart gebracht, bijvoorbeeld op het gebied van integriteit en reputatie? Worden die risico’s

Effectief toezicht op cultuur en gedrag speelt een belangrijke rol bij het signaleren van integriteitsrisico’s, het voorkomen van reputatieschade en het bewaken van de continuïteit. Het is voor commissarissen vaak een uitdaging om dit toezicht handen en voeten te geven. In dit artikel geven we een praktische handleiding met alle kernvragen en good practices voor integraal toezicht op cultuur en gedrag.

Steven van Agt - Risk & Compliance, AdvisoryJoukje Janssen - Sustainability & Responsible Governance, Assurance Laura de Kruijs - Risk & Compliance, Advisory Floor Oosterwechel - Risk & Compliance, Advisory

gemonitord? En tot slot: hoe adequaat rapporteert de organisatie aan de verschillende belanghebbenden over de manier waarop zij omgaat met ethische dilemma’s en toekomstige uitdagingen? Dit soort fundamentele vragen behoren tot de kern van effectief toezicht op cultuur en gedrag. Het zijn voorbeelden van de vragen die commissarissen kunnen stellen om cultuur en gedrag bespreekbaar te maken en de consistentie ervan met de bedrijfsvoering te toetsen.

Toezicht concretiseren Effectief toezicht op cultuur en gedrag is essentieel om integriteitsrisico’s vroegtijdig te signaleren, reputatieschade te voorkomen en de continuïteit te bewaken. Veel commissarissen hebben echter moeite om het toezicht op cultuur en gedrag concreet handen en voeten te geven, blijkt uit onderzoek voor de PwC-publicatie ‘Herwaardering’ (2012), waarvoor 55 commissarissen geïnterviewd werden. Uit die interviews blijkt dat commissarissen cultuur als een ongrijpbaar thema zien, niet weten hoe ze aan relevante informatie kunnen komen en het moeilijk vinden om ongewenst gedrag bespreekbaar te maken, mede omdat het beeld bestaat dat cultuur het domein is van de bestuurder. In het artikel ‘Praktische tips en voorbeelden omcultuur en gedrag inzichtelijk te maken’ (pag. 43) geven we praktische tips hiervoor.

2. Cultuur: doen wat je zegt Cultuur draait om vragen als: wie zijn we als organisatie, of: waartoe zijn we op aarde? Dat noemen we ‘purpose’: een aansprekende visie op het bestaansrecht van de


organisatie. Twee andere kernvragen zijn: waar staan we voor, en hoe doen we de dingen? Daarbij gaat het niet alleen om mooie woorden, maar vooral om daden: doen wat je zegt, ‘walk the talk’. Toezicht op cultuur begint dan ook met de vraag naar de gewenste cultuur en het bijbehorende gedrag. Het antwoord kan worden vergeleken met de werkelijke situatie: hoe diep is de kloof tussen de gedefinieerde normen en waarden en het in praktijk brengen daarvan? Geven de leiders het goede voorbeeld? Zijn de centrale waarden leidend in de besluitvorming en bevorderen de processen, structuren en systemen het gewenste gedrag?

Sterke cultuur = samenhangEen sterke cultuur creëert samenhang in de organisatie. Alle medewerkers weten hoe zij bijdragen aan de purpose, de verwachtingen van de belangrijkste belanghebbenden en het resultaat. Er is duidelijkheid over structuur, rollen en verantwoordelijkheden en er zijn heldere afspraken over wat constructief gedrag is en wat niet.

3. Praktische leidraad voor de dialoog met het bestuur Een consistente cultuur is volledig geïntegreerd in de bedrijfsvoering: in elke strategische keuze, investeringsbeslissing, overname of productinnovatie. Effectief toezicht op cultuur en gedrag beperkt zich dan ook niet tot een aparte commissarissenvergadering of agendapunt, maar vormt een integraal onderdeel van het bestaande toezicht. Commissarissen vragen niet alleen naar de behaalde resultaten (het wat), maar ook naar de manier waarop deze zijn bereikt (het hoe): past deze manier bij de purpose en waarden van de organisatie? Wat is de impact daarvan op de belangrijkste belanghebbenden en de maatschappelijke omgeving?

Zes stappen voor integraal toezicht op cultuur en gedrag Een praktische leidraad voor het voeren van een robuuste dialoog met het bestuur over dit actuele toezichtthema, is te vinden in het integratiemodel voor cultuur en gedrag, ontwikkeld door PwC. Dit model benoemt zes dimensies voor de integratie van cultuur en gedrag in alle facetten van de bedrijfsvoering, plus de bijbehorende kernvragen. Zie figuur 1.

Van binnen naar buitenHet integratiemodel werkt van binnen naar buiten. Organisaties staan voor de opdracht om eerst verantwoording te nemen voor hun cultuur en gedrag, voor ze daarover verantwoording kunnen afleggen. Bestuurders moeten zorgen dat de organisatie een verbinding legt met de maatschappelijke omgeving en de behoeften van de belanghebbenden, en deze vervolgens vertalen naar de aansturing, inrichting en verslaglegging. Commissarissen hebben hierbij een belangrijke rol te spelen als sparringpartner en kritisch toezichthouder.

Samenhang en consistentie toetsenDaarnaast mag worden verwacht dat commissarissen effectief toezicht houden op de internalisering van de externe gerichtheid in purpose en waarden, de integratie daarvan in de bedrijfsvoering en het afleggen van verantwoording daarover. Oftewel: hoe soepel schakelt de organisatie van buiten naar binnen en van binnen naar buiten en hoe samenhangend en consistent is de vertaling in cultuur en gedrag? Figuur 2 helpt bij die toetsing door alle dimensies uit het integratiemodel met elkaar in verband te brengen en voor elke combinatie de kernvraag te benoemen die commissarissen aan het bestuur kunnen stellen.

Figuur 1 Het integratiemodel voor cultuur en gedrag

Accountability

Stakeholders

Leiderschap

Executie

Control

Purpose&

Waarden

Waarover, aan wie en op welke manier leggen we verantwoording af? Welke informatiebehoefte en –eisen hebben onze stakeholders?

Leg verantwoording af over het resultaat en de manier waarop dit is bereikt

Toets op alle relevante aspecten

Breng het evenwichtig sturen in praktijk

Zet de toon voor een evenwichtige sturing op belangen

Verkrijg inzicht in je stakeholders en hun behoeften

Wees duidelijk over je bestaansrecht en waar je voor staat

Wat verwachten we van de leiders in onze organisatie en welk leiderschap verwachten we van individuele medewerkers?

Voor wie werken we en met wie werken we samen? Wat zijn de behoeften en eisen van onze stakeholders?

Waar sta ik voor, waar staan wij voor als organisatie en waar kunnen we trots op zijn?

Hoe weten wij of wij doen wat wij beloven en of wij doen wat stakeholders verwachten?

Hoe moet mijn organisatie eruit zien om in lijn met onze waarden te functioneren? Waarop sturen we en hoe komen onze keuzes en beslissingen tot stand?

33

De vertaling van stakeholdergerichtheid in leiderschap leidt bijvoorbeeld tot de vraag: zijn de leiders betrouwbaar in de ogen van belanghebbenden?

Gericht toezicht houden op de voortgang van de integratie van cultuur en gedragCommissarissen kunnen de integratie van cultuur en gedrag in de bedrijfsvoering actief bewaken door gerichte vragen te stellen over de consistentie en de onderlinge samenhang tussen de dimensies. Commissarissen die menen dat de organisatie nog helemaal aan het begin van het integratieproces staat, kunnen het model van linksboven naar rechtsonder doorlopen. Het is ook mogelijk in te zoomen op een van de zes dimensies en van daaruit de consistentie met de andere dimensies aan de orde te stellen, bijvoorbeeld het integreren van cultuur en gedrag in de executie, of nog specifieker: het integreren van purpose en waarden in de executie. De vraag die daarbij hoort, is: worden purpose en waarden tastbaar in het waardecreatieproces? Afhankelijk van de organisatie zal de uitdaging om consistent te zijn in de gemaakte keuzes meer in de interne organisatie (binnen), of in de externe verantwoording (buiten) liggen.

Purpose en waarden

Belanghebbenden Leiderschap Executie Control Accountability

Purpose en waarden

Zijn we duidelijk over ons bestaansrecht en waar we voor staan?

Hebben we al onze belanghebbenden in kaart gebracht?

Maken we duidelijk wat we van onze leiders verwachten?

Functioneert onze organisatie in lijn met onze purpose en waarden?

Vertalen we onze purpose en waarden naar controls?

Leggen we verantwoording af over het realiseren van purpose en waarden?

Belanghebbenden Hebben we inzicht in de behoeften van onze belanghebbenden?

Weten we wat onze belanghebbenden van ons leiderschap verwachten?

Ontwikkelen we de relatie met al onze stakeholders?

Maken we onze belofte aan onze belanghebbenden waar?

Hoe en waarover leggen we verantwoording af aan belanghebbenden?

Leiderschap Zetten onze leiders de toon voor evenwichtige sturing op belangen?

Welke incentives geven we onze leiders om evenwichtig te sturen op belangen?

Hoe stellen we vast of leiders aan de verwachtingen hebben voldaan?

Hoe houden we onze leiders verantwoordelijk voor evenwichtige sturing?

Executie Brengen we de evenwichtige sturing in praktijk?

Hoe maken we onze cultuur en ons gedrag bespreekbaar in reviews?

Hoe houden we elkaar verantwoordelijk voor ons gedrag?

Control Toetsen we op alle relevante aspecten?

Maken we duidelijk hoe toetsing plaatsvindt en op welke factoren?

Accountability Leggen we verantwoording af over het resultaat en de manier waarop dit is verkregen?

Figuur 2 Toetsing van samenhangende en consistente verankering van cultuur en gedrag

4. Verandering en verankering cultuur en gedrag Toezicht houden op cultuur en gedrag gaat verder dan alleen het voeren van een dialoog met het bestuur over de congruentie tussen de positionering van de organisatie en de manier waarop zij haar resultaten behaalt en daar verantwoording over aflegt. Essentieel is dat commissarissen vóór en na de dialoog gericht blijven op cultuur en gedrag en deze zaken als een regulier thema in hun toezicht integreren. Commissarissen kunnen cultuur en gedrag bijvoorbeeld expliciet betrekken bij de selectie van nieuwe bestuurders en commissarissen, hun informatievergaring, het beloningsbeleid en de zelfevaluatie. Dat vraagt om het veranderen en verankeren van cultuur en gedrag op drie niveaus: de raad van bestuur, de raad van commissarissen (‘rvc’) en de individuele commissaris. Hieronder benoemen we de good practices daarvoor.

Verandering en verankering cultuur in de raad van bestuurDe cultuur in het bestuur is bepalend voor het gedrag van de medewerkers op de andere niveaus in de organisatie. Bestuurders dragen de primaire verantwoordelijkheid voor het benoemen en belichamen van de normen en waarden, het tonen van voorbeeldgedrag in hun beslissingen en het stellen van grenzen door middel van systemen, processen en structuren. Commissarissen moeten hen daarop aanspreken.

Governance en toezicht


• Vraag naar de follow-upWat is er afgesproken over cultuur en gedrag, worden de afspraken nagekomen en hoe is de voortgang van eventuele (cultuur)veranderingsprojecten?

• Wees alert op (non-verbale) signalen over de cultuur in het bestuurHoe is ‘the tone at the top’, is het gewenste moreel leiderschap aanwezig en authentiek, delen de bestuurders dezelfde normen en waarden, gedragen zij zich in lijn met deze normen en waarden, zijn er aanwijzingen of prikkels voor ongewenst gedrag? Stuur eventueel bij via het benoemings- en beloningsbeleid.

Verandering en verankering cultuur in de rvcToezicht op cultuur en gedrag wordt vanzelfsprekend en geaccepteerd als het wordt geïnstitutionaliseerd en geïntegreerd in de normale toezichtstructuur: de procedurele afspraken, werkwijze, vergaderroutine en informatievergaring van de rvc.

• Leg purpose en waarden vastLeg de purpose en waarden vast in statuten, commissarisprofielen, aanstellingsdocumenten en procedurele afspraken: hoe geeft de rvc daar invulling aan?

• Integreer cultuur en gedrag in de rvc-agendaHet gaat hier om de onderwerpen die op elke vergadering of door het jaar heen standaard aan de orde komen, zoals strategie, risicobeleid, HR-beleid, overleg met de ondernemingsraad, jaarplan en begroting, jaarverslag en jaarrekening en het verslag van de rvc.

• Praat vrijuit Praat vrijuit over cultuur en gedrag zonder het bestuur erbij, bijvoorbeeld in de ‘executive sessies’ voorafgaand aan en na afloop van de vergadering.

• Maak cultuur en gedrag onderdeel van de reguliere formele informatievoorzieningDoe dit met behulp van bronnen als klanttevredenheidsonderzoeken, ‘net promotor scores’, de klachtenlijn, meldingen van klokkenluiders, gegevens over medewerkersbetrokkenheid, ziekteverzuim en personeelsverloop.

• Laat een cultuurmeting uitvoeren Weet wat het verschil is tussen de werkelijke en de gewenste cultuur.

• Vergaar ook informele informatie Contacten met het tweede echelon, de OR en de klachtencommissie kunnen ook relevante informatie over cultuur en gedrag opleveren, evenals werkbezoeken en bijeenkomsten met medewerkers, klanten en aandeelhouders.

• Stel de rvc divers samenDoor de verschillende invalshoeken ontstaat een gevarieerder zicht op de verwachtingen van belanghebbenden en wat er leeft in de maatschappij.

• Benoem een HR-specialist Benoem een commissaris met HR-expertise en/of stel (tijdelijk) een HR- of culture committee in, bijvoorbeeld bij een ingrijpende cultuurverandering.

• Leg uw oor regelmatig te luisterenWelke informatie leveren gesprekken met de compliance officer, internal auditor en externe accountant op? Zie ook het kader.

• Betrek cultuur en gedrag binnen de rvc bij de (zelf)evaluatieVraag naar werkwijze en besluitvorming, maar ook de ongeschreven regels voor cultuur en gedrag en de groepsdynamiek binnen de rvc.

• Rapporteer in het rvc-verslag over het gehouden toezichtHoe is dit aangepakt, welke bevindingen zijn er?

Tien concrete vragen over cultuur en gedrag aan de externe accountant Commissarissen kunnen ook de externe accountant betrekken bij het toezicht op cultuur en gedrag. Ze kunnen de accountant vragen zijn observaties op het gebied van cultuur en gedrag te delen tijdens de commissarissenvergadering, in de auditcommitteevergadering of in een executive sessie. Welke indruk heeft de accountant van de integratie van cultuur en gedrag in de bedrijfsvoering en de consistentie en samenhang daarvan? • Wat is uw indruk van het controlbewustzijn in deze

organisatie?• Is er een juiste balans tussen de hard en soft

controls?• Wat vindt u van de mate van risicobereidheid bij het

leiderschap? Varen we scherp aan de wind of zijn we juist conservatief?

• Is er voldoende ruimte om fouten te maken en daarvan te leren?

• Hoe gaat de organisatie om met incidenten? • Hebben wij als commissarissen de juiste prikkels in

het belonings- en beoordelingssysteem aangebracht om het gewenste gedrag te stimuleren?

• Wordt er voldoende en op de juiste wijze gekeken naar aspecten van cultuur en gedrag, in het kader van de jaarrekeningcontrole?

• In welke mate zijn kernwaarden en gedragscode verankerd in het dagelijks doen en laten?

• Besteedt de internal-auditafdeling in het controleplan voldoende aandacht aan cultuur en gedrag?

• Hoe worden cultuur en gedrag in de jaarverslaglegging weergegeven?

Als afsluitende vraag kan daar nog aan toegevoegd worden: • Hoe beoordeelt u de organisatie op cultuur en gedrag

in vergelijking met andere organisaties?

35Governance en toezicht

Verandering cultuur en gedrag bij de individuele commissarisOok elke individuele commissaris kan een bijdrage leveren aan effectief toezicht op cultuur en gedrag:

• Besteed aandacht aan cultuur en gedrag bij de afwegingen voor het al of niet aanvaarden van een commissariaatProbeer voor de ‘due diligence’ van de commissaris vooraf een beeld te krijgen van de cultuur en het gedrag van de organisatie waarop u toezicht gaat houden. Vraag uzelf bijvoorbeeld af: voel ik me aangesproken door de purpose en waarden van de organisatie? Kan ik uit publieke uitingen of informele bronnen afleiden hoe het bestuur inhoud geeft aan deze purpose en waarden? Blijkt dit voldoende duidelijk uit de keuzes die worden gemaakt?

Als de commissaris eenmaal benoemd is:

• Verzamel actief informele informatiePraat met in- en externe belanghebbenden (in overleg met het bestuur).

• Wees alert op non-verbaal gedrag en verborgen signalen Deze kunnen duiden op integriteitsrisico’s, gedragsproblemen of een zwak ontwikkeld normbesef.

• Weet wat er in de samenleving speelt Breng de buitenwereld naar binnen.

5. Conclusie: verankering van cultuur en gedrag is basis voor integraal toezichtHet verankeren en het veranderen van cultuur en gedrag in de raad van bestuur, de raad van commissarissen en op het niveau van de individuele commissaris vormen de basis voor integraal toezicht op de manier waarop organisaties omgaan met normen, waarden en de belangen van belanghebbenden. Dit artikel heeft de kernvragen benoemd waarmee elke raad van commissarissen een robuuste dialoog over cultuur en gedrag kan voeren met het bestuur, zonder de noodzaak van specifieke expertise op dit terrein. Daarnaast kunnen raden van commissarissen met de in dit artikel aangegeven good practices cultuur en gedrag een regulier onderdeel maken van het toezicht. Op die manier kunnen ze de consistentie en samenhang van cultuur en gedrag in alle aspecten van de bedrijfsvoering permanent toetsen.

37

SamenvattingDe Nederlandse wet kent uitgebreide regels ter bescherming van consumenten. Zo moet de consument erop kunnen vertrouwen dat deze alle informatie heeft verkregen om een afgewogen beslissing over een aankoop te kunnen maken. Daarnaast heeft de consument een bedenktijd van veertien dagen om van de aankoop af te kunnen. De regelgeving waar verkopers van producten en diensten aan consumenten mee te maken krijgen, is vaak ingewikkeld en lastig te doorgronden. Dit artikel biedt inzicht in een aantal van deze ingewikkeldheden en bevat praktische tips om hiermee om te gaan.

Wat geldt nog meer naast het informeren van de consument:• verbod om, bovenop de daadwerkelijk gemaakte

kosten, extra bedragen te rekenen voor het gebruik van een betaalmiddel of telefonisch contact met de verkoper;

• verplichting om de consument een bevestiging van de overeenkomst te verstrekken op een duurzame gegevensdrager (bijvoorbeeld e-mail);

• specifieke regels omtrent telemarketing (bijvoorbeeld schriftelijkheidsvereiste bij het leveren van diensten en verplichting om het Bel-me-niet Register na te leven).

Recht en belastingen

Spotlight | Recht en belastingen

Wettelijke consumentenbescherming uitgebreid

1. Wijziging van de regelgeving per 13 juni 2014: Europees gedrevenNagenoeg alle bepalingen in Nederland die specifiek op consumenten gericht zijn, komen voort uit Europese regelgeving. Dit is ook het geval bij de bepalingen die zijn voortgekomen uit de Europese richtlijn consumentenrechten (2011/83/EU), en op 13 juni 2014 in werking zijn getreden. Deze regelgeving waarborgt het vrije verkeer tussen lidstaten door het creëren van een ‘level playing field’. Dit wordt bereikt door de volledige harmonisatie van consumentenrechten in alle landen binnen de EU; de richtlijn laat de lidstaten niet tot nauwelijks ruimte om hiervan af te wijken. Hierdoor kan een bedrijf dat in verschillende lidstaten consumentenproducten aanbiedt, erop vertrouwen dat overal dezelfde regelgeving van toepassing is.

2. Regeling van toepassing op verkoop in én buiten de winkelruimteDe Nederlandse wetgever heeft de implementatie van de richtlijn aangegrepen om alle wetgeving met betrekking tot verkoop aan consumenten op één plek in het Burgerlijk Wetboek te bundelen. Deze regeling ziet niet alleen op verkoop aan consumenten buiten de winkelruimte (de oude Colportagewet, die is komen te vervallen), maar ook op verkoop aan consumenten in een winkelruimte en verkoop op afstand (bijvoorbeeld via internet en telefoon). De verkoop van financiële diensten valt niet onder deze regeling.

Centraal staat het informeren van de consument zodat deze afgewogen beslissing kan makenVoor al de genoemde categorieën van verkoop zijn uitgebreide lijsten met informatie in de wet opgenomen die aan de consument moet worden verstrekt voordat een

Ruim een jaar geleden zijn de regels van consumentenbescherming ingrijpend veranderd. Dit heeft een veelvoud aan extra regels voor verkoop binnen en buiten de winkelruimte opgeleverd. Uit recent onderzoek van de Consumentbond blijkt dat de meerderheid van de webwinkels nog altijd niet voldoet aan de nieuwe regels.

Eelco Aantjes - M&A Legal & Contracting, Tax & Human Resource Services Niall Stive - M&A Legal & Contracting, Tax & Human Resource Services

koop tot stand komt. Extra ingewikkeld is dat deze lijsten ook nog eens van elkaar verschillen. Voorbeelden van informatie die verstrekt moet worden zijn: de identiteit van de verkoper, de voornaamste kenmerken van het product of de diensten en de totale prijs inclusief alle toeslagen. Vooral bij de verkoop in winkelruimtes is in de praktijk nog weinig te zien van deze wijzigingen. Bij een willekeurige steekproef onder webshops blijken de nieuwe regels beter, maar in veel gevallen niet volledig, te worden nageleefd.

39

3. Waar het allemaal echt om draait: de wettelijke bedenktijd voor consumentenOndanks de enorme hoeveelheid aan nieuwe regels is er één bepaling die het meest in het oog springt en algemeen bekend is. Dit betreft de bedenktijd die aan consumenten wordt gegund bij aankopen buiten een winkel of via een webshop. Deze bedenktijd bedraagt veertien dagen en start op de dag van aankoop (bij diensten) of de dag waarop het product geleverd wordt aan de consument. Binnen deze termijn van veertien dagen kan de consument de overeenkomst ontbinden zonder opgave van redenen. Zijn de veertien dagen voorbij in het weekend of een feestdag, dan verschuift de bedenktijd naar het einde van de eerstvolgende werkdag.

Verlenging bedenktijd bij gebreken in informatie aan consumentWat de regeling over de bedenktijd vooral zo belangrijk maakt, is dat de bedenktijd tot maximaal een jaar verlengd kan worden als er niet aan bepaalde voorschriften is voldaan. Indien de verkoper de consument vooraf niet uitdrukkelijk op de hoogte heeft gebracht van de bedenktijd en geen modelformulier voor ontbinding heeft verstrekt, dan gaat de termijn van veertien dagen niet lopen (zie voor het modelformulier de website van de Autoriteit Consument en Markt, www.acm.nl, zoekterm: modelformulier). De bedenktermijn begint in dat geval pas te lopen als de consument hier uitdrukkelijk van op de hoogte wordt gebracht en het modelformulier heeft gekregen. Hierdoor kan een verkoper ermee te maken krijgen dat een consument tot twaalf maanden plus veertien dagen na ontvangst van een product de overeenkomst kan ontbinden en terugdraaien, met alle negatieve gevolgen van dien voor de aanbieder.

Gevolgen inroepen ontbindingsrecht consument: retourneren en vergoedenIndien de consument de overeenkomst binnen de wettelijke bedenktermijn ontbindt (al dan niet via het modelformulier of op een andere ondubbelzinnige wijze) dan is de verkoper verplicht de ontvangst daarvan direct te bevestigen. In dat geval heeft de consument het recht het product terug te sturen of te verlangen dat de dienst, voor zover mogelijk, ongedaan wordt gemaakt.

De verkoper moet het volledige aankoopbedrag inclusief alle in rekening gebrachte bezorg-, administratie- of andere kosten binnen veertien dagen na inroeping door de consument terugbetalen zonder inhouding van (extra) kosten of boetes. De kosten voor het terugsturen zijn, zolang de verkoper dit vooraf uitdrukkelijk vermeldt, voor de consument, tenzij de verkoper anders bepaalt.

4. Wat het lastig maakt: uitzonderingen en voetangelsOndanks dat de regeling duidelijk lijkt, roept deze in de praktijk bij aanbieders van producten en/of diensten aan consumenten vaak de nodige vragen op. Het blijkt niet makkelijk om geheel in lijn met de regeling te handelen. Dit wordt veroorzaakt door de verschillende aspecten van de regeling, waaronder het feit dat deze nogal wat uitzonderingen kent en dat niet alle producten en diensten hieronder hoeven te vallen.

Uitzonderingen op de toepasselijkheid van de regelingZo kan een verkoper te maken krijgen met de situatie dat bepaalde door hem verkochte producten of diensten wel onder de regeling voor consumentenbescherming vallen en andere niet. De wet kent dertien uitzonderingen voor producten en diensten, waar vaak al andere gedetailleerde regelgeving voor geldt of waar de regeling praktisch gezien niet toepasbaar is. Een voorbeeld is de reisbranche. Zo vallen losse overnachtingen wel binnen de regeling, waardoor verkopers consumenten op de aangegeven manier moeten informeren en slechts bepaalde kosten kunnen doorberekenen, terwijl dit weer niet geldt voor pakketreizen die als reisovereenkomst in de zin van artikel 7:500 van het Burgerlijk Wetboek kwalificeren. Voor zover er sprake is van personenvervoer is de regeling slechts beperkt van toepassing. De regel om geen extra kosten door te berekenen voor het gebruikte betaalmiddel geldt bijvoorbeeld wel, de regeling over telefonisch contact weer niet. Het zal voor veel aanbieders van verschillende van deze producten nagenoeg ondoenlijk zijn om consequent per product de juiste regeling toe te passen. Als de verkoper besluit om dan maar op alle producten de regels toe te passen, kan dit een concurrentienadeel opleveren ten opzichte van aanbieders van enkel uitgezonderde producten.

Figuur 1 Tijdbalk bedenktermijn

Moment van informeren

Aankoop product of dienst

Levering product of start dienst

Juist geïnformeerd: 14 dagen bedenktijd

Niet of onjuist geïnformeerd: 14 dagen bedenktijd + maximaal een jaar verlenging

Recht en belastingen


Uitzonderingen op de toepasselijkheid van het ontbindingsrecht binnen de bedenktijdNaast algehele uitzonderingen op de toepasselijkheid van de regeling gelden er ook specifieke uitzonderingen voor de bedenktijd. Daarbij gelden de eerdergenoemde informatieverplichtingen en andere regels wel, maar kan de consument geen beroep doen op het recht tot ontbinding binnen veertien dagen. Dit is vooral het geval bij diensten die dringend geleverd moeten worden (denk aan het verhelpen van een verstopping of slotenherstel). Daarnaast is dit het geval bij diensten waarvoor de consument uitdrukkelijk heeft verzocht dat direct met de uitvoering wordt begonnen en afstand heeft gedaan van zijn ontbindingsrecht, en voor specifiek voor de klant vervaardigde producten (zoals fotoalbums), bederfelijke goederen en dvd’s en cd’s waarvan de verzegeling is verbroken na levering. Het lastige is dat de verkoper in die gevallen verplicht is om de consument er uitdrukkelijk op te wijzen dat zijn recht van ontbinding niet van toepassing is of, indien daar sprake van is, de consument hier afstand van doet. Wijst de verkoper de consument daar niet op, dan is de overeenkomst in beginsel vernietigbaar. Het is maar de vraag of de verkoper in dat geval door het alsnog honoreren van een verzoek tot ontbinding een vernietiging kan voorkomen.

Gemengde overeenkomsten en hoe hiermee om te gaanGemengde overeenkomsten zijn overeenkomsten waarbij zowel een product als dienst wordt geleverd. Denk bijvoorbeeld aan de aanschaf van een mobiele telefoon in combinatie met een telefoonabonnement. De bedenktijd bij dit soort gemengde overeenkomsten is dezelfde als wanneer alleen een product zou worden aangeschaft, namelijk veertien dagen nadat de consument het product heeft ontvangen.

5. Hoe het zit met overtredingen: handhaving en gevolgenHandhaving van de regels vindt plaats door de Autoriteit Consument en Markt (ACM). De ACM heeft verschillende bevoegdheden die zij kan inzetten om de naleving van de regels af te dwingen. Zo kan de ACM overtredende ondernemers een bestuurlijke boete of een last onder dwangsom opleggen. Hoewel onderzoek van de Consumentbond laat zien dat ruim een jaar na invoering de meerderheid van de Nederlandse webwinkels zich niet houdt aan de regels die geleden voor het retour sturen van een aankoop, is nog geen voorbeeld bekend van opgelegde boetes. Wel heeft de ACM het afgelopen jaar tientallen modewebwinkels

aangesproken op het verstrekken van onjuiste informatie over terugbetaling bij retourzending en heeft zij gewaarschuwd binnenkort over te gaan tot handhaving. Dat de ACM niet terugdeinst voor het opleggen van boetes blijkt uit haar beboeting de afgelopen jaren van verschillende spelers in de reisbranche voor onjuiste vermelding van prijzen van tickets en reizen in strijd met specifieke luchtvaartregelgeving. Naast het opleggen van boetes kan overtreding van de regels, zoals hiervoor aangegeven, ook leiden tot vernietiging van de overeenkomst door de consument, waardoor de transactie moet worden teruggedraaid.

Ruimte die de regelgeving biedt om de rechten van de consument iets in te perken: vijf praktische tips

• Stel de consument vóór het sluiten van de overeenkomst expliciet op de hoogte van het wel of niet van toepassing zijn van de bedenktermijn, en stel het modelformulier voor ontbinding ter beschikking. Zo voorkom je een substantiële verlenging van de bedenktermijn.

• Wijs de consument op de pagina van het online bestelproces er expliciet op wanneer hij een bindende betaalverplichting aangaat, om te voorkomen dat onduidelijkheid hieromtrent een reden vormt voor vernietiging van de overeenkomst achteraf (bijvoorbeeld door op de digitale knop tot het doen van de aankoop ‘Bestelling met betalingsverplichting’ te vermelden).

• Indien je als verkoper beperkingen wilt stellen aan de levering van producten in bepaalde gebieden of buiten Nederland, dan moet je dit vooraf ondubbelzinnig melden. Hiermee voorkom je dat je toch verplicht bent deze producten naar het aangegeven adres te bezorgen zonder mogelijkheid tot doorberekening van de extra kosten.

• Begint de dienstverlening aan de consument direct bij het afsluiten van de overeenkomst (en dus tijdens de bedenktijd), laat de consument daar dan uitdrukkelijk mee instemmen en uitdrukkelijk afstand doen van zijn recht op ontbinding binnen de bedenktermijn. Hiermee voorkom je dat − nadat de dienst al is geleverd − de consument alsnog binnen de bedenktermijn het ontbindingsrecht kan uitoefenen.

• Wil je als verkoper niet opdraaien voor verzendkosten bij terugzending door de klant op het moment dat deze de overeenkomst ontbindt, dan moet je de consument hier vooraf expliciet op wijzen.

41Recht en belastingen

6. Conclusie: wees als verkoper richting consumenten op je hoedeDe regels van consumentenbescherming zijn een jaar geleden ingrijpend veranderd. Hierboven hebben we de belangrijkste wijzigingen uiteengezet. Centraal staat dat de consument zodanig wordt geïnformeerd dat deze een afgewogen beslissing over een aankoop kan maken. Indien de consument niet op de juiste manier wordt

geïnformeerd, kan de bedenktijd tot wel een jaar worden verlengd. Door de vele uitzonderingen en voetangels kan het lastig voor de verkoper zijn de regels op de juiste wijze toe te passen. De ACM heeft (nog) geen boetes opgelegd, maar wel aangekondigd binnenkort de regels te gaan handhaven. In het verleden heeft de ACM al laten zien niet terug te deinzen voor het opleggen van boetes. Wees als verkoper richting consumenten dus op je hoede.

43Cultuur en gedrag

Spotlight | Cultuur en gedrag

SamenvattingVeel organisaties worstelen met de vraag hoe je cultuur daadwerkelijk inzichtelijk kunt maken. Op welke manier kun je naar cultuur en het gedrag in je eigen organisatie kijken en welke vragen moet je stellen om dit op een juiste manier boven tafel te krijgen zodat inzicht ontstaat in de cultuur en het gedrag binnen je organisatie? Met de checklist in dit artikel kunnen organisaties hierbij helpen.

Praktische tips en voorbeelden om cultuur en gedrag inzichtelijk te maken

1. Risicoprofiel organisatie deels bepaald door cultuur en gedrag in organisatieHet risicoprofiel van een organisatie wordt bepaald door verschillende factoren, zoals de sector waarin de organisatie acteert, de strategie en bijbehorende doelstellingen, de risk appetite van de raad van bestuur, de invloed van de belanghebbenden, de rol van de commissarissen (zoals beschreven in het artikel ‘Effectief toezicht op cultuur en gedrag’ op pag. 31) enzovoorts. Deze aspecten neemt de (interne) accountant mee om te bepalen wat hij precies beoordeelt en met welke diepgang hij naar bepaalde deelgebieden gaat kijken. Dat daarbij cultuur een zeer belangrijke en nadrukkelijke rol speelt hebben we in ‘Cultuur en gedrag in je controleaanpak’ (Spotlight 2015-2) weergegeven. Uiteraard is het voor een organisatie zelf ook erg belangrijk inzicht te hebben in haar cultuur en gedrag. Dit artikel beschrijft de praktische handvatten waarmee de organisatie zelf aan de slag kan om dit inzicht te vergroten.

Om cultuur en gedrag inzichtelijk te kunnen maken is het handig om te weten hoe je dit dan precies kunt doen. In dit artikel geven we je een aantal handige tips waarbij voorbeelden en handige vragen je kunnen helpen om dit verder toe te passen.

Steven van Agt - Risk & Compliance, Advisory Joukje Janssen - Sustainability & Responsible Governance, Assurance Aike Hoekstra - Sustainability & Responsible Governance, Assurance

2. Gewenste organisatiecultuur identificeren; verschil met daadwerkelijke cultuur metenCultuur is onder te verdelen in een gewenste en een werkelijke cultuur. Wat een organisatie wenst is vaak op hoofdlijnen vastgelegd in de missie, visie en strategie, maar dit is vaak niet concreet gemaakt en verder vertaald binnen de organisatie. Door het concreet te maken (e.g. vertalen naar (gewenst) gedrag) kan de organisatie het meetbaar maken en vervolgens het verschil tussen werkelijk en gewenst zichtbaar krijgen. Het gat tussen werkelijk en gewenst is vervolgens een indicatie voor risico’s. Dit omdat een verschil tussen gewenste en werkelijke cultuur betekent dat de organisatie niet handelt in lijn met de zichzelf gestelde doelen, waarden en daarmee direct de strategie. Zie figuur 1.

Gedrag vormt de basis van het uitvoeren van verschillende ‘hard controls’. Het gedrag van medewerkers wordt bepaald door de context waarin zij opereren en de manier waarop de organisatie deze context vormgeeft en invult.

Cultuur en gedrag in je controleaanpak


Figuur 1 Gewenste cultuur versus werkelijke cultuur

Gedrag

Gewensteconcretecultuur

Systemen enstructuren

Walk the talk?Valt het samen?Wat gaat goed?Wat kan beter?

Symbolen enbeslissingen

Gedrag

Werkelijkecultuur

Alignment Systemen enstructuren

Symbolen enbeslissingen

Identiteit,merkbelofte,

strategie

Gewenstecultuur

Governance,risk en control

Stakeholdersen omgeving

1

3

2

Hierbij zijn drie elementen belangrijk die in figuur 1 worden weergegeven:

• ‘(Voorbeeld)gedrag’Dit is wat je laat zien en waarop door de omgeving wordt gereageerd en geacteerd.

• Symbolen Dit zijn de keuzes die worden gemaakt wanneer het gaat om schaarste in tijd en/of geld, die een uitstraling hebben op de medewerkers.

• Systemen Dit zijn de processen en procedures die binnen de organisatie zijn ingericht en ondersteunend of belemmerend werken om als medewerker het ‘juiste’ gedrag te kunnen laten zien.

Succesfactoren cultuur en gedragCultuur en gedrag worden gezien als strategisch belangrijk op het niveau van de raad van bestuur.• Er is een centraal waardensysteem, dat is vertaald

in voorbeeldgedrag, symbolen en besluitvorming en processen, systemen en procedures.

• Mensen op alle niveaus binnen de organisatie weten hoe ze moeten handelen en voelen zich verantwoordelijk voor hun gedrag.

• Essentieel gedrag op ‘momenten van de waarheid’ (kritische beslissingen en interactie met stakeholders, die bepalend zijn voor de externe perceptie en reputatie) is duidelijk omschreven en afgestemd op doel, visie en waardensysteem.

• Succesvolle organisaties beseffen dat waardegedreven leiderschap op alle niveaus doorwerkt: ‘tone at the top, in the middle and from the bottom’.

• Alle medewerkers zitten op één lijn en er is geen verschil tussen het gewenste en werkelijke gedrag. Het gedrag is meetbaar en bespreekbaar.

3. Checklist inzicht in mate van waarborg cultuurMet deze checklist kunnen organisaties een beter beeld krijgen van de mate waarin hun cultuur gewaarborgd is. Basis voor de checklist is het schillenmodel, zoals behandeld in Spotlight 2015-1.

‘Evenwichtig sturen vanuit stakeholdersperspectief’

Voorbeeldgedrag• Zijn de leiders levende voorbeelden van purpose en

waarden van de organisatie? • Worden genomen besluiten ook uitgevoerd? Is

afspraak ook afspraak?• Gelden er voor leiders en hun inner circles afwijkende

spelregels of bijzondere privileges: hebben ze het gevoel ‘onder en boven de wet’ te staan?

• Staan de leiders open voor kritiek en het beantwoorden van vragen?

• Wat gebeurt er als er fouten gemaakt worden? Hoe leert de organisatie?

Symbolen• Hoe zorgt de organisatie dat leiders in overeen-

stemming handelen met purpose en waarden?• Wordt diversiteit bewaakt (m/v en multiculturele

aspecten)?

45Cultuur en gedrag

• Hoe werken performancereviews? Hoe worden mensen beoordeeld? Hoe worden mensen beloond of gestraft voor het al dan niet bijdragen aan purpose en waarden? Hoe ver gaat de organisatie daarin?

• Hoe nemen we moeilijke besluiten? Hoe gaan we om met dilemma’s? Zijn we hier transparant over naar alle belanghebbenden?

Systemen• Waar liggen verantwoordelijkheden? Welke

autorisaties liggen waar en zijn de limieten duidelijk?• Hoe ziet riskmanagement eruit? Is er een compliance-

functie? Hoe werkt de interne controle?• Wat staat er in de regels en codes? Is er een

klokkenluidersregeling?• Zijn de ondersteunende functies een volwaardig

gesprekspartner voor de business?

4. Gedrag geeft goed beeld van cultuurZoals uit de checklist blijkt, zijn veel cultuurelementen af te leiden uit het gedrag tijdens werkzaamheden. We sluiten dit artikel af met een paar voorbeelden hiervan. Een organisatie die continu oplettend haar organisatie bekijkt, ‘leert’ de signalen te herkennen. Zo vergroot zij het inzicht in haar cultuur, de voordelen daarvan en de risico’s. • Medewerkers in de organisatie doen alles vanuit een

intrinsieke motivatie om de klant te helpen. Dit blijkt uit de manier waarop ze met vragen van de klant omgaan en ook met vragen van jou als controller of (internal) auditor. Klantbelang voorop of een tevreden klant als belangrijkste kernwaarde zal in deze organisatie waarschijnlijk zeer belangrijk worden gevonden en gewaardeerd.

Positief: de klant wordt als zeer belangrijk neergezet en de medewerkers zullen veel in staat stellen om de klant tevreden te houden. Risico: de aandacht voor het interne proces (compliant zijn of de interne regels volgen)krijgt minder aandacht. Er wordt minder scherp gelet op en gehandeld naar de interne procedures omdat men zo bezig is de klant tevreden te houden waardoor mogelijk verkeerde keuzes worden gemaakt.

• Medewerkers hebben moeite om fouten toe te geven. Dit hoor je terug in gesprekken, waarbij fouten niet worden toegegeven, volgens de personen nooit worden gemaakt of consequent ergens anders worden neergelegd. Het management geeft aan dat fouten niet kunnen of mogen of anders geformuleerd: ‘alles moet in één keer goed’. Als dit niet gebeurt, word je hierop afgerekend of word je minder gewaardeerd.

Positief: vanwege het motto ‘in één keer goed’ zullen de medewerkers hun best doen om kwaliteit te leveren en te zorgen dat ze handelen naar hun beste kunnen.

Risico: er ontstaat een angstcultuur: men durft niet meer te innoveren of dingen bespreekbaar te maken die niet door de beugel kunnen omdat het ‘in één keer goed moet’.

• Men wordt afgerekend of beloond op basis van de kwaliteit van werk. De kosten die dit met zich meebrengt is van ondergeschikt belang. Dit zie je terug in de kwaliteit van het aangeleverde werk en het feit dat het soms erg lang duurt, met als reden dat ze het nog een keer willen nakijken en zeker willen zijn van hetgeen ze aanleveren.

Positief: de kwaliteit van de geleverde producten en diensten is waarschijnlijk hoog en daarmee zijn klanten tevreden waardoor ze zullen terugkomen.

Risico: medewerkers zullen alles doen om kwaliteit te leveren, ongeacht alle andere zaken die ook een belangrijke rol spelen in het productieproces of bij het leveren van de dienst, zoals kosten, efficiënt en effectief werken en pragmatiek.

5. ConclusieDe voorbeelden en vragen die we in dit artikel hebben gegeven kunnen je helpen om zelf een beter beeld te krijgen bij de cultuur en het gedrag in je organisatie of je audit klant. De inzichten en observaties die je krijgt aan de hand van deze voorbeelden en vragen zijn een interessant aanknopingspunt binnen je eigen organisatie of in gesprek met de klant. Het levert een aanvullend gesprek op, dus gebruik de tips en tricks die we hier gegeven hebben!

47PwC-publicaties

Spotlight | PwC-publicaties

Op www.pwc.nl, onder ‘Actueel & publicaties’ zijn alle PwC-publicaties verzameld, gerubriceerd naar diensten, thema’s en marktsectoren. Hier een greep uit de publicaties.

Organisatiecultuur en economische criminaliteit

Deze publicatie maakt onderdeel uit van de drieluik Economic Crime Survey 2014/2015, en gaat dieper in op:• een criminogene

organisatiecultuur; • toon aan de top; • target- en bonuscultuur;• eventuele verbanden

tussen deze onderwerpen en economische crimina-liteit binnen Nederlandse organisaties.

Insurance Banana Skins 2015

Dit onderzoek – tweejaarlijks uitgevoerd in samenwerking met Centre for the Study of Financial Innovation (CSFI) - richt zich op senior executives in de verzekeringsbranche met als centrale vraag: Met welke risico’s zien verzekeraars zich geconfronteerd en hoe prioriteren zij deze risico’s? In Nederland vormen de lage rente, reputatie en gegarandeerde producten de top 3. Wereldwijd ervaart men de invoering van nieuwe regelgeving als grootste risico.

InsuranceBanana Skins2015

CSFICentre for the Study ofFinancial Innovation

InsuranceBanana Skins2015 The CSFI survey of the

risks facing insurersThe CSFI survey of the risks facing insurers

www.pwc.nl/forensicservices

Economic Crime Survey Nederland 2014/2015 - deel 3In samenwerking met de VU Amsterdam

Organisatiecultuur en economische criminaliteit

July 2015

www.pwc.nl

Wearables: Driving user outcomes in the Digital Age - the next leap

Service & Engagement:How to step up and stand out in this era of social and technical change

Wearables: Driving user outcomes in the Digital Age

PwC heeft 900 Nederlandse consumenten, tussen de 20 en 60 jaar, gevraagd wat zij van smartwatches vinden, vooral als het gaat om lifestyle, mode, gezondheid en social media. Ongeveer de helft van de ondervraagden denkt erover om in de nabije toekomst een smartwatch aan te schaffen. Om in 2020 de groei van wearables tot ongeveer 9 miljoen Nederlandse consumenten in de komende vijf tot acht jaar te laten stijgen, moeten de belangrijkste drivers in acht genomen worden.

How to step up and stand out in this era of social and technical change

In deze publicatie worden de belangrijkste factoren besproken die de verwachtingen van de consument veranderen en welke kansen deze veranderingen bieden. Voor veel organisaties liggen er kansen op het gebied van klantenservice. Bedrijven zetten klantcontact op dit moment nog te weinig in om bedrijfsdoelstellingen te realiseren. In een tijd van commodity waarin veel organisaties succesproducten van elkaar kopiëren, is intensief contact met klanten de sleutel tot succes.

49Eerder verschenen

Spotlight | Eerder verschenen

Spotlight

www.pwc.nl

Vaktechnisch bulletin van PwC Accountants - Jaargang 22 - 2015 uitgave 2

In gesprek met belanghebbendenArjan Brouwer in gesprek met Rients Abma

De steden zijn terug

In gesprek met Rients Abma Pagina 7

VerslaggevingVrijstelling van tussenconsolidatie: een paar praktische issues

Governance en toezichtInternal audit draagt bij aan comfort van commissarissen

AccountancyAccountant zet de luiken open met de informatievere controleverklaring

Cultuur en gedrag Cultuur en gedrag vormen basis risicoprofiel

Recht en belastingen Bedrijfsopvolgingsregelingen voor het familiebedrijf onder druk

Interne beheersing en ITAgile Scrum vraagt om een vernieuwing van de controleaanpak

Op zoek naar een eerder verschenen artikel?Hieronder vindt u een overzicht van de artikelen van de laatste vier uitgaven van Spotlight. Op www.pwc.nl vindt u onder ‘Publicaties’ de laatste jaargangen. Uiteraard kunt u ook contact met ons opnemen.

Spotlight 2014 Uitgave 4

5 Viviana Kooistra - Woord vooraf 6 Willem Geijtenbeek - SBR Assurance: zekerheid geven over digitale rapportages 12 Maarten Hartman - Transacties onder gemeenschappelijke leiding: veel keuzes, maar niet allemaal beschikbaar 18 Sander Frissen - Nieuwe Richtlijn vastgoedwaardering is complex 24 Joop Kluft, Carl Dijkstra en Marije Kruisman-Otten - Vennootschapsbelasting voor overheidsondernemingen:

geen weg meer terug 28 Jessica Litjens en Mitra Tydeman - Een goed begin van 2015 30 Diana Paans en Karolina Pill - De nieuwe Europese aanbestedingsrichtlijnen 36 Angel Fernández Causi, Martijn van Zomeren en Tom Wondergem - Succesfactoren van transformatieprogramma’s


4 Jan Backhuijs en Arjan Brouwer - Woord achter- en vooraf 6 Peter Veerman - Nieuwe Europese wetgeving voor wettelijke controles 14 Abdellah M’barki - Europees bankentoezicht: succes is niet vanzelfsprekend 20 Gert-Jan Brouwer - Toepassen nieuwe IFRS-consolidatieregels vraagt om gestructureerde aanpak 26 Jay Tahtah en Renee Verhoeff - Aanbevolen: tijdige inventarisatie van impact IFRS 15 30 Stéfan Huyveneers, Wouter Otterspeer en Saïed Mohamed Hoesein - Technologische innovatie van mobile devices

zorgt voor continue uitdagingen 36 Maurice Steffin, Erica Zaaiman en Adri de Bruijn - Bescherming van persoonsgegevens: een kwestie van vertrouwen


3 Michel Adriaansens - Woord vooraf - Transitie naar het beroep van de toekomst 5 Jan Willem Velthuijsen - Column - De steden zijn terug 7 Arjan Brouwer - In gesprek met stakeholders - In gesprek met Rients Abma 13 Hugo van den Ende, Jaap Husson en Herbert Reimers - Verslaggeving - Vrijstelling van tussenconsolidatie: een

paar praktische issues 19 Peter Eimers - Accountancy - Accountant zet de luiken open met de informatievere controleverklaring 23 Martijn van Zomeren - Interne beheersing en IT - Agile Scrum vraagt om een vernieuwing van de controleaanpak 31 Jan Driessen en Bas Wakkerman - Governance en toezicht - Internal audit draagt bij aan comfort van

commissarissen 37 Renate de Lange en Jan Nieuwenhuizen - Recht en belastingen - Bedrijfsopvolgingsregelingen voor het

familiebedrijf onder druk 43 Joukje Janssen en Aike Hoekstra - Cultuur en gedrag - Cultuur en gedrag vormen basis risicoprofiel


2 Ruud Kok - Woord vooraf - Rvc accountant en maatschappelijk belang 5 Jan Willem Velthuijsen - Column - Ik heb misschien wel de leukste baan van de wereld 7 Arjan Brouwer - In gesprek met stakeholders - Arjan Brouwer in gesprek met Jaap van Manen 12 Hugo van den Ende en Inge Oudhuis - Verslaggeving - De gevolgen van certificering van aandelen van een bv voor

de verslaggeving 17 Robert van der Glas - Accountancy - Meer duidelijkheid over samenstellingsopdrachten met komst

Standaard 4410 23 Jan Willem Velthuijsen en Brecht Gijsbertsen - Interne beheersing en IT - Corruptie steeds risicovoller voor bedrijf

én accountant 29 Jos de Groot - Governance en toezicht - Risicoparagraaf biedt kansen 35 Yvette van Gemerden en Sander Geurts - Recht en belastingen - Wet werk en zekerheid: minder flexibiliteit,

meer rechtsbescherming en lagere ontslagvergoedingen 41 Joukje Janssen, Olivier Sueur en Wendy van Tol - Cultuur en gedrag - Evenwichtig sturen vanuit

stakeholdersperspectief

Colofon

51Colofon

Deze publicatie is uitsluitend opgesteld als algemene leidraad voor relevante kwesties en dient niet te worden geïnterpreteerd als professioneel advies. U dient niet te handelen op basis van de in deze publicatie vervatte informatie zonder nader professioneel advies te hebben ingewonnen. Er wordt geen enkele expliciete of impliciete verklaring verstrekt of garantie geboden ten aanzien van de juistheid of volledigheid van de in deze publicatie vervatte informatie, en voor zover toegestaan krachtens de wet, aanvaarden de bij deze publicatie betrokken PwC firms, medewerkers en vertegenwoordigers geen enkele aansprakelijkheid, voor de gevolgen van enige handeling dan wel omissie door hetzij uzelf hetzij enige andere persoon op basis van de in deze publicatie vervatte informatie of voor enig besluit waaraan die informatie ten grondslag ligt.

Hoofdredacteurdr. A.J. Brouwer RA

Eindredactiedrs. A.J. Schager RA

Redactiemr. E.A. Aantjesdrs. M.J. Brouwer RAprof. dr. P.W.A. Eimers RAdrs. J.I. de Groot RAprof. dr. W.G.M. Holterman RAJ. Janssen MScprof. dr. mr. G.W.J.M. Kampschöer RAI.G.C. Oudhuis RAmr. drs. H.K.O. Reimers AAdrs. E.M. van der Weijden RA

Editordrs. C. Rompas

RedactiecoördinatieK. Bernadina

SecretariaatD. van der KlisT. van Veen

VormgevingECO Digital Publishing

Fotografie Jean-Pierre Jans/Photography

ProductieBoom+Verweij

Nadere informatieVoor nadere informatie kunt u zich wenden tot Assurance National Office of de personen die in de bijdragen genoemd zijn. Wanneer u een artikel of passage uit Spotlight wilt overnemen is bronvermelding verplicht en verzoeken wij u een exemplaar van uw publicatie te zenden aan het redactieadres.

RedactieadresPricewaterhouseCoopers AccountantsAssurance National OfficePostbus 903571006 BJ AmsterdamTelefoon: 088 792 5253Fax: 088 792 9632

AbonnementenserviceGelieve wijzigingen, inclusief adreslabel, te sturen naar:

PwCAntwoordnummer 464401060 WD Amsterdam

Spotlight is het vaktechnisch bulletin van PricewaterhouseCoopers Accountants. Dit bulletin mag ter beschikking worden gesteld aan klanten en derden, evenwel met inachtneming van het volgende. Bij het redigeren van de teksten wordt de uiterste zorgvuldigheid betracht. De behandeling van de onderwerpen is evenwel niet altijd uitputtend, terwijl tevens na verloop van tijd informatie verouderd of niet meer (volledig) juist kan zijn. De mening van de auteur(s) is niet noodzakelijkerwijs de mening van PwC. Wij aanvaarden daarom geen verantwoordelijkheid voor hetgeen eventueel wordt ondernomen op basis van de inhoud van deze publicatie. Waar in de tekst naar een niet-specifiek persoon verwezen wordt (bijvoorbeeld ‘de accountant’) wordt de m/v-vorm bedoeld; lees ‘hij /zij ’. Alle rechten voorbehouden.

© 2015 PricewaterhouseCoopers B.V. (KvK 34180289). Alle rechten voorbehouden. 2015.09.01.21.1 PwC verwijst naar de Nederlandse firma en kan soms naar het PwC-netwerk verwijzen. Elke aangesloten firma is een afzonderlijke juridische entiteit. Kijk op www.pwc.com/structure voor meer informatie.

www.pwc.nl

Spotlight - PwC · Brouwer sprak met KPN-CFO Jan Kees de Jager over de veranderende rol van...

Documents

Transcript of Spotlight - PwC · Brouwer sprak met KPN-CFO Jan Kees de Jager over de veranderende rol van...