5. Onderzoeksopzet
5.3 Evaluatie kwaliteitsbepalende factoren en opstellen index
Bij het doornemen van de diverse onderzoeken valt op dat een groot aantal elementen getoetst kan worden wanneer onderzoek wordt gedaan naar risicoverslaggeving. De toetsingspunten die de onderzoekers hebben gebruikt zijn samengevat in 14 toetsingselementen.
Risk appetite
Organisaties dienen duidelijk te maken wat de risicobereidheid van de onderneming is, omdat dit de toon zet voor de genomen risico’s en de gekozen reactie op elk risico.
Tijdens dit onderzoek zal echter een beperkte nuance worden aangebracht. Vanwege het feit dat gemeenschappelijke regelingen eigendom zijn van gemeenten, komt het in veel gevallen voor dat de organisaties verwijzen naar een beleidsstuk, waarin is vastgelegd hoe de gemeenten hebben afgesproken wat de hoogte van de weerstandscapaciteit van de onderneming dient te zijn.
Gemeenten zijn bij gemeenschappelijke regelingen verantwoordelijk voor de instandhouding c.q. continuïteit van de SW-organisatie. Daarnaast volgt uit de gemeentewet dat het algemeen bestuur dergelijke beleidsstukken dient goed te keuren. In dit onderzoek wordt daarom de nuance aangebracht dat wanneer er verwezen wordt naar een specifiek beleidsstuk waarin is vastgelegd wat de hoogte van de weerstandscapaciteit van de onderneming dient te zijn, en deze hoogte of minimumpositie ook wordt genoemd, dit als score wordt toegekend.
1 Wordt informatie verstrekt over de risicobereidheid (risk appetite) van de onderneming of wordt er verwezen naar een beleidsstuk waarin dit is opgenomen?
53
Presenteren van risico’s
Men dient zich te richten op de voornaamste risico’s voor de onderneming in plaats van alleen een lange lijst van alle mogelijke risico’s te maken (De Groot, 2010). Volgens Eumedion (2009) zouden ondernemingen de voornaamste risico’s gerelateerd aan de strategie van de vennootschap, waaronder ook de milieurisico’s en maatschappelijke risico’s moeten beschrijven (Eumedion, 2009). Deze theorie leidt tot de volgende opname in de index:
2 Geeft de organisatie een overzicht van de in haar ogen belangrijkste risico’s?
Categoriseren van risico’s
Zowel uit de theorie als uit de diverse onderzoeken die in de eerdere paragrafen zijn behandeld, kwam naar voren dat het opdelen van risico’s in diverse categorieën ervoor zorgt dat potentiële risico’s beter kunnen worden geïdentificeerd, begrepen en gemonitord (Roth en Espersen, 2002). Ook De Groot (2010) onderkent het belang van het categoriseren van risico’s. Door het categoriseren van risico’s kan volgens hem een risicoprofiel worden geschetst (De Groot, 2010), waardoor de waarde van de risicoverslaggeving voor stakeholder kan worden vergroot. Ook noemen het NIVRA (2010), Mertens en Blij (2008) en Abma (2007) benadrukken dat risico’s gecategoriseerd dienen te worden.
Bovenstaande theorie leidt tot de volgende opname in de index: 3 Worden deze risico’s nader uitgesplitst in categorieën (bijvoorbeeld
incidenteel/structureel, strategisch/operationeel/disclosure, intern/extern, etc)?
Specifiek
Organisaties dienen risico’s zoveel mogelijk bedrijfs- en branchespecifiek te houden of bedrijfsspecifiek te maken. Daarnaast dienen ze rekening te houden met de specifieke
regelgeving die van toepassing is (De Groot 2010). Het Jenkins Committee sluit hierop aan en geeft het criteria “specific or unusual exposure”. Met dit begrip wordt bedoeld dat risico’s specifiek moeten zijn voor het bedrijf. Een beschrijving van algemene risico’s zou moeten worden vermeden. Wanneer de specifieke mogelijke impact van een algemeen risico op het bedrijf uiteen wordt gezet, wordt dit wel gezien als een specifiek bedrijfsrisico. Deze risico’s zijn wel waarde toevoegend. In de index wordt het volgende punt opgenomen:
4 Zijn de genoemde risico’s specifiek (gemaakt) voor het bedrijf?
Risk response
Wanneer de belangrijkste risico’s zijn benoemd, wordt vervolgens getoetst op welke wijze de onderneming op deze risico’s heeft gereageerd. Volgens Meijer (2003) dienen organisaties inzicht te geven in de wijze waarop omgegaan wordt met risico. Hij onderkent de volgende mogelijkheden acceptatie, overdracht, vermijding en vermindering.
5 Wordt voor elk risico beschreven hoe het wordt beheerst, verminderd, overgedragen of geaccepteerd?
Impact en kans
Volgens de Groot (2010) dienen risico’s zoveel mogelijk te worden gekwantificeerd. Daarnaast zal er voldoende uitleg moeten zijn over de aard, omvang, impact en kans (ICAEW, 1997; Emanuels & de Munnik 2006).
54 Het Jenkins Committee noemt het criteria “important concern”: het belang van een risico moet in kaart worden gebracht. Het Jenkins Committee geeft aan dat het belang kan worden bepaald door de kans en de impact van het risico in kaart te brengen.
6 Vindt er een kwantificering van risico’s plaats?
7 Wordt informatie verstrekt over de kans dat deze risico’s zich voordoen of worden risico’s door middel van scenario -analyses gekwantificeerd?
Risicobeleid
In dit onderdeel wordt uiteengezet hoe de organisatie haar risico’s inventariseert en of de organisatie inzicht geeft in het beleid omtrent risico’s.
8 Geeft de organisatie inzicht in hoe zij in algemene zin omgaat met risico’s,
risico-inventarisatie en risicomanagement of wordt er verwezen naar een beleidsstuk waarin dit is vastgelegd?
Evaluatie van het interne risicobeheersings- en controlesysteem
Volgens het Financial Report Council (2005) hechten aandeelhouders veel waarde aan een beschrijving en evaluatie van het risicomanagementsysteem (FRC, 2005). Dit sluit aan bij het onderzoek van Mertens en Blij (2008), Abma en de Corporate Governance Code. Deze theorie leidt tot de volgende opname in de index:
9 Werking: wordt informatie verstrekt over de resultaten van de periodieke evaluatie van de opzet en werking van de inrichting van interne risicobeheersings- en controlesystemen?
10 Inrichting: wordt informatie verstrekt over de inrichting van de risicobeheersings- en controlesystemen?
11 Verklaring: wordt verklaard dat de interne risicobeheersings- en controlesystemen effectief en/of adequaat zijn?
12 Wordt in de beschrijving verwezen naar het werk c.q. de rapportages van de
controlerende accountant dan wel de interne accountant/internal auditor of stafdiensten met een controlerende taak?
Presentatie
Om de informatie overzichtelijk te houden kan risicoverslaggeving het beste als een apart hoofdstuk of aparte paragraaf worden opgenomen (Mertens en Blij, 2008). Dit leidt tot de volgende opname in de index:
13 Beschikt het jaarverslag over een aparte paragraaf over risicoverslaggeving (risicoparagraaf, overzicht financiële risico’s of paragraaf weerstandsvermogen)?
55
Communicatie
De Corporate Governance Code schrijft in bpb III.1.8 voor dat de Raad van Commissarissen de uitkomst van beoordeling van de opzet en werking van de risicomanagementsystemen alsmede significante wijzigingen hierin bespreekt.
.
14 Wordt inzicht gegeven in de wijze van communiceren met de Raad van Commissarissen/Audit Commissie/ het AB, inzake risicomanagement?