Mede naar aanleiding van schandalen als Enron en Ahold werd de roep om nadere regulering en maatschappelijk verantwoord ondernemen steeds groter. Er dienden nadere eisen te worden gesteld aan de betrouwbaarheid van financiële verslaglegging. Daarnaast moesten regels worden geformuleerd voor (grotere) beursgenoteerde vennootschappen. Zo ontstond in Amerika de Sarbanes-Oxley wetgeving (2002).
De wet Sarbanes-Oxley verplicht bestuurders (van hoofdzakelijk in Amerika aan de beurs genoteerde vennootschappen) onder andere aan het eind van het boekjaar een verklaring af te geven over de juistheid en getrouwheid van de financiële verslaglegging en de financiële positie van de onderneming. Daar moeten zij persoonlijk garant voor staan. Daarnaast dient de onderneming jaarlijks rapport uit te brengen over de kwaliteit van haar interne controleprocedures.
In Nederland heeft deze ontwikkeling geresulteerd in een Nederlandse gedragscode. Deze code heeft geen kracht van wet, maar heeft wel een wettelijke verankering gekregen, doordat sinds kort in het Burgerlijk Wetboek een bepaling is opgenomen. Deze houdt in dat bij algemene maatregel van bestuur nadere eisen kunnen worden gesteld aan het jaarverslag. In het bijzonder kan daartoe een gedragscode worden aangewezen (artikel 2:391 B.W. lid 4).
Bij besluit van 23 december 2004 is deze Nederlandse corporate governance code aangewezen. Hierdoor wordt bepaald dat een in Nederland gevestigde, aan de beurs genoteerde nv in haar jaarverslag mededeling moet doen of zij de regels van de code heeft nageleefd of niet. De gedragscode stelt onder andere eisen aan deugdelijk bestuur, de bezoldiging, het vermijden van belangenverstrengeling en deugdelijk toezicht door de raad van commissarissen (en een kritische ava) en externe accountants.
Kwaliteit
Een aspect dat zich in het kader van het afgeven van zo’n mededeling ook voordoet, heeft te maken met de voorgeschreven kwaliteit van interne controleprocedures, behorend tot de primaire verantwoordelijkheid van het bestuur. Hieronder valt tevens de kwaliteit van ict, waaronder softwareprogrammatuur en geautomatiseerde systemen die de interne controle mogelijk maken en faciliteren. De gedragscode noemt in een aantal paragrafen dan ook expliciet (de kwaliteit en betrouwbaarheid van) ict-voorzieningen. Zo strekt het toezicht van de raad van commissarissen zich ook uit tot de toepassing van de informatie en communicatietechnologie binnen de onderneming. Ten aanzien van de financiële verslaglegging geldt dat het bestuur zorg dient te dragen voor interne procedures die ervoor zorgen dat alle belangrijke financiële informatie bekend is, zodat deze tijdig, volledig en juist naar buiten kan worden gebracht.
Het bestuur wordt eveneens geacht controlemechanismen in te zetten, zodat de integriteit van die informatie niet wordt aangetast. De gedragscode rekent het tot de taak van de externe accountant eventuele aan- of opmerkingen te ventileren over de werking van de interne risicobeheersing- en controlesystemen, waarbij expliciet wordt gedacht aan de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking en de kwaliteit van de interne informatievoorziening.
Consequenties
De hiervoor geformuleerde open normen ten aanzien van de integriteit van gegevens en de kwaliteit van ict hebben ook consequenties voor de eisen die een beursgenoteerde onderneming aan de beveiliging van haar geautomatiseerde (interne) controlesystemen moet stellen. Deze verplichting lijkt overigens ook te gelden voor de kleinere bv’s, nu de wetgever het bestuur van een kleinere vennootschap verplicht de raad van commissarissen hierover jaarlijks te informeren (art. 2:141 lid 1 B.W.).
Nu vennootschappen nauwkeuriger worden gevolgd in hun financiële verslaglegging, geldt dat ook kritischer wordt gekeken naar de betrouwbaarheid van interne geautomatiseerde controlemechanismen, waaruit de (financiële) gegevens grotendeels ontspruiten. Beveiliging wordt daarbij een grote rol toebedeeld, mede om de integriteit van die gegevens te waarborgen. Niet geheel ten onrechte daar waar onjuiste financiële verslaglegging aanleiding kan geven tot aansprakelijkheden. Of een vennootschap haar interne geautomatiseerde controlesystemen voldoende heeft beveiligd speelt daarbij een rol en of dat naar de gegeven omstandigheden voldoende is of was, is vaak niet duidelijk. Mede om die reden worden standaarden (zoals iso 17799) ontwikkeld en aangepast om die norm nader in te vullen.
Mr. J.M. Schmidt, Van Rossem Advocaten
