Het antwoord op deelvraag 3: “Over welke onderwerpen met betrekking tot risicomanagement
moeten ondernemingen rapporteren in hun jaarverslag volgens de Code-Tabaksblat?” vormt de
basis voor de checklist. Achtereenvolgens komt dit op de volgende essentiële elementen neer:
• Het bestuur verklaart in het jaarverslag dat de interne risicobeheersings- en controle-systemen adequaat en effectief zijn en geeft hier een duidelijke onderbouwing van. • De werking van het interne risicobeheersings- en controlesysteem in het boekjaar moeten
evenals de eventuele significante wijzigingen in het systeem van internal control in het jaarverslag worden gerapporteerd.
• Daarnaast moet worden gerapporteerd of / en welke belangrijke verbeteringen zijn gepland en tevens dat de bespreking hiervan met de auditcommissie of de raad van commissarissen heeft plaatsgevonden.
• Als onderdeel van risicomanagement zijn de bedrijfsrisico’s in de risicoparagraaf omschreven en wordt aangeven welke systemen en processen gebruikt zijn om bedrijfsrisico´s te beheersen.
Interne beheersing is niet statisch maar vraagt om voortdurende evaluatie en eventueel verbeteringen van onderliggende systemen. Dit continue proces is nodig om tot een goed onderbouwde rapportage over interne beheersing te komen. De evaluatieresultaten vormen voor de ondernemingsleiding de basis voor de rapportage over risicomanagement.
In aanvulling op de bovenstaande essentiële eisen zoals die door de bepalingen van de Code Tabaksblat worden geëist zijn de volgende tien essentiële elementen door KPMG (Wallage, 2005) voor de rapportage over risicomanagement aanbevolen:
Risicomanagement:
1. Is de verantwoordelijkheid van de raad van bestuur
2. Gaat zowel in op de opzet als op de werking van het interne beheer 3. Komt tot stand vanuit een deugdelijke grondslag
4. Komt voort uit systemen voor interne beheersing die zijn toegesneden op de onderneming 5. Is gebaseerd op het beheersen van significante risico’s, zodat de kosten opwegen tegen de
baten.
6. Gaat in op operationele en financiële risico’s en het naleven van wet- en regelgeving. 7. Komt tot stand op basis van een beoordeling middels algemeen aanvaarde raamwerken of
normenkaders, zoals het COSO-framework.
8. Gaat in op de werking gedurende het gehele verslagjaar 9. Geeft een beschrijving van:
• de uitgevoerde beoordelings-/ toetswerkzaamheden • de belangrijkste componenten van risicomanagement • de wijzigingen en verbeteringen in de interne beheersing • de bespreking van deze activiteiten met auditcommissie en of
raad van commissarissen.
10. Geeft aan dat risicomanagement alleen een redelijke, maar geen absolute zekerheid kan bieden.
Aangetekend moet worden dat het rapporteren over risicomanagement maatwerk is. Door de bepalingen van de Code Tabaksblat wordt niet exact aangegeven hoe de bestuursverklaring over de interne risicobeheersing eruit moeten zien. (Visser, 2006)
Voor de concrete toepassing van Enterprise Risk management in de praktijk zijn er meerdere instanties die standaarden hebben ontwikkeld ten aanzien van de wijze waarop risicomanagement vorm zou kunnen worden gegeven. Momenteel is er echter nog geen één algemeen geaccepteerd normenkader beschikbaar is voor ondernemingen om te weten of hun systeem van interne beheersing aan de Code Tabaksblat voldoet. De Code legt deze verantwoordelijkheid bij de bestuurders en commissarissen, wel refereert de Code als voorbeeld normenkader aan het COSO– framework. (Paape, Swagerman, 2006)
De aspecten van risicomanagement rapportage samengevat kom ik tot de volgende checklist:
Zijn er mededelingen omtrent de volgende elementen in de risicoparagraaf van
ondernemingen opgenomen?
Ja/ nee
Risico's:
1 De bedrijfsrisico’s zijn omschreven en aangeven is welke systemen en processen worden gebruikt om die te beheersen.
Gaat in en maakt onderscheid op de volgende risico’s: 2 • Strategische
3 • Operationele 4 • Financiële
5 • Risico’s met betrekking op het naleven van wet- en regelgeving. Elementen van Risicomanagement:
6 Aangeven dat het de verantwoordelijkheid van de raad van bestuur is.
7 Komt tot stand vanuit een deugdelijke grondslag (Door bijvoorbeeld "letter of representation” toe te passen)
8 Komt voort uit systemen voor interne beheersing die zijn toegesneden op de onderneming.
9 Komt tot stand op basis van een beoordeling middels algemeen aanvaarde raamwerken of normenkaders, zoals het COSO-framework.
10 Geeft duidelijke invulling aan de elementen van het gehanteerde raamwerk voor interne beheersing
11 Gaat concreet in op de werking gedurende het gehele verslagjaar Geeft een beschrijving van:
12 • de uitgevoerde beoordelings-/ toetswerkzaamheden 13 • de belangrijkste componenten van risicomanagement 14 • de wijzigingen en verbeteringen in de interne beheersing
15 • de bespreking van deze activiteiten met auditcommissie en of rvc. 16 Rapportage van aangebrachte wijzigingen in het risicomanagementsysteem. 17 Rapportage van geplande "werkzaamheden"/ wijzigingen in het
risicomanagementsysteem.
In-control verklaring:
18 De interne risicobeheersings- en controlesystemen zijn adequaat en effectief, er is een “in-control” verklaring opgenomen
19 Informatie over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar.
20 Geeft aan dat risicomanagement alleen een redelijke, maar geen absolute zekerheid kan bieden.
De meetschaal van de mededelingen vindt op nominaal niveau plaatsvinden, aangezien de vragen van de checklist alleen beantwoord kunnen worden met een ja of nee. In de analyse geldt dat aan
nee de score 0 wordt toegekend en aan ja de score 1.
Categorieën 0,1,2,3
Kwantiteit van de risicomanagement paragraaf 22 Omvang van de risicoparagraaf (in woorden). 23 Omvang totale verslag
24 Omvang risicoparagraaf in % van het gehele jaarverslag.
Bij de in-control verklaring wordt de scoring categorisch oftewel op ordinaal meetniveau gemeten. In-control verklaringen die als geheel aparte paragraaf worden vermeldt, krijgen de score van 3 toegekend. Wanneer de in-control verklaring als aparte alinea is opgenomen de score van 2 en een score van 1 als de in-control verklaring niet in het bijzonder wordt opgenomen. Mocht er geen volledige in-control verklaring (dus de elementen 18 t/m 20 worden niet allemaal gerapporteerd) aanwezig zijn, dan wordt hier de 0-score aan toegekend.
In het kwantitatieve onderzoek zal het aantal woorden worden geanalyseerd, dit betreft een interval meetschaal. Het totaal aantal woorden betreffende risico´s / risicomanagement wordt afgezet tegen het totale aantal woorden van het jaarverslag. Het aantal woorden betreffende risico´s / risicomanagement zal in de meeste jaarverslagen afkomstig zijn uit de paragrafen “corporate governance” en “risicoparagraaf”.