In de internationale ‘corporate governance’-regelgeving wordt dikwijls een rapportage over de ‘internal control’ van een organisatie gevraagd. In dit artikel gaan wij in op de vraag wat van een dergelijke ‘in control’-verklaring mag worden verwacht. Wij concluderen als volgt: 1. Naar onze mening is het vanuit een theoretisch perspectief mogelijk om over ‘internal control’ te rapporteren. Het management beschrijft welke problemen op het gebied van ‘internal control’ in de organisatie spelen. Gebruikers van de jaarrekening krijgen hiermee inzicht in de specifieke vraagstukken die op het gebied van ‘internal control’ spelen en kunnen zelf het belang hiervan beoordelen. Een verklaring dat de organisatie op alle risicogebieden ‘in control’ is zoals de Commissie Tabaksblat die voorschrijft leidt echter tot verkeerde verwachtingen en kan daarom beter niet vereist worden. 2. ‘In control’-verklaringen die zich alleen richten op betrouwbaarheid van financiële rapportages (Frijns, SOX) zijn in de meeste gevallen mogelijk. Er zijn echter uitzonderingssituaties. Het besturingstype ‘routine control’ is namelijk niet altijd van toepassing. In situaties waarbij onzekerheid bestaat over de toekomst en ‘routine controls’ noodzakelijkerwijs moeten worden vervangen door ‘judgemental controls’ (zoals bij ‘impairment’ en het bepalen van de ‘weighted average cost of capital’) is het resultaat van het proces niet goed meetbaar in termen van de doelstellingen. Wij zijn dan ook van mening dat in het jaarverslag in plaats van een ‘in control’-verklaring een beschrijving dient te worden opgenomen van de (brede) risico’s en de daarop gerichte ‘controls’ inclusief geconstateerde leemten hierin.