5. Onderzoeksopzet
5.2 Kwaliteitsbepalende factoren
De Corporate Governance Code is een code waarin algemene, maar breed gedragen opvattingen over goede corporate governance worden behandeld. De Nederlandse Corporate Governance Code heeft zich in tien jaar ontwikkeld tot een gezaghebbend en breed gedragen instrument, dat als inspiratiebron fungeert voor goed ondernemingsbestuur in Nederland (Monitoring
Commissie Corporate Governance, 2013). De elementen uit de Corporate Governance Code zijn vaak gehanteerd in het opstellen van een raamwerk dat als toetsingselement voor de kwaliteit van risicoverslaggeving heeft gediend. Onder andere Eumedion (Mertens en Blij, 2008) en het NIVRA (2010) nemen in hun onderzoeken deze aspecten mee.
De Code is van toepassing op alle vennootschappen met statutaire zetel in Nederland waarvan de aandelen of certificaten van aandelen zijn toegelaten tot een effectenbeurs.
Beurs-vennootschappen zijn sinds 1 januari 2004 verplicht in hun jaarverslag mededeling te doen over de naleving van de Code.
De Governance Code wordt vaak als kapstok gebruikt voor branches waar de code is beginsel geen betrekking op heeft. Zo hebben bijvoorbeeld onderwijsinstellingen en woningstichtingen hun eigen code. De SW-branche heeft (nog) geen eigen code. De belangenorganisatie Cedris is in 2013 gestart met het schrijven van de code.
De Code bevat principes en best practice bepalingen die de verhoudingen reguleren tussen het bestuur, de Raad van Commissarissen en de aandeelhouders. De principes zijn uitgewerkt in concrete best practice bepalingen, die als een normstelling fungeren. Voor dit onderzoek naar de kwaliteit van de risicoverslaggeving worden enkele relevante best practices (principes) behandeld.
Principe II.1 gaat in op de verantwoordelijkheden van de Raad van Commissarissen en het bestuur. In het kader van risicoverslaggeving is vooral interessant dat expliciet genoemd wordt dat het bestuur verantwoordelijk is voor de naleving van alle relevante wet- en regelgeving, het beheersen van de risico’s verbonden aan de ondernemingsactiviteiten en voor de financiering van de vennootschap. Het bestuur dient hierover te rapporteren aan de Raad van
Commissarissen en de auditcommissie. Tevens dient het bestuur de interne risicobeheersings- en controlesystemen met de Raad van Commissarissen en de auditcommissie te bespreken (Monitoring Commissie Corporate Governance, 2013).
Principe II.1.3 gaat in op het risicobeheersings- en controlesysteem. Het principe schrijft voor dat de organisatie als instrumenten van het interne risicobeheersings- en controlesysteem in ieder geval risicoanalyses van de operationele en financiële doelstellingen van de
vennootschap, gedragscode, handleidingen voor de inrichting van de financiële verslaggeving, een opstelling van te volgen procedures en een systeem van monitoring en rapportering hanteert (Monitoring Commissie Corporate Governance, 2013). Het intern risicobeheersings- en
controlesysteem dient te zijn toegesneden op de desbetreffende vennootschap. Dit geeft kleinere beursvennootschappen de mogelijkheid om met minder omvangrijke procedures te volstaan.
46 Principe II.1.4 gaat expliciet in op het jaarverslag. Volgens de code (Monitoring Commissie Corporate Governance, 2013) dienen de volgende elementen behandeld te worden.
A. een beschrijving van de voornaamste risico’s gerelateerd aan de strategie van de vennootschap;
B. een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen met betrekking tot de voornaamste risico’s in het boekjaar; C. een beschrijving van eventuele belangrijke tekortkomingen in de interne
risicobeheersings- en controlesystemen die in het boekjaar zijn geconstateerd, welke eventuele significante wijzigingen in die systemen zijn aangebracht, welke eventuele belangrijke verbeteringen van die systemen zijn gepland en dat een en ander met de auditcommissie en de Raad van Commissarissen is besproken.
Op grond van onderdeel A neemt de vennootschap in hun jaarverslag een beschrijving op van de voornaamste risico’s waarmee zij in aanraking komt bij de uitvoering van haar strategie. Het gaat daarbij niet zozeer om een uitputtende uiteenzetting van alle mogelijke risico’s, maar om een weergave van de belangrijkste risico’s waarvoor de vennootschap zich geplaatst ziet: strategische en operationele risico’s, financiële risico’s, wet- en regelgevingsrisico’s en financiële verslaggevingsrisico’s. In de beschrijving besteedt de vennootschap tevens aandacht aan haar risicoprofiel, de houding ten opzichte van de genoemde risico’s (risk appetite) en, voor zover mogelijk, de gevoeligheid van de vennootschap voor verwezenlijking van de risico’s. Een kwantificering van de beschreven risico’s zal een positief effect hebben op de informatieve waarde.
Naar aanleiding van de reacties op de consultatie heeft de Commissie in principe II.1 en best practice bepaling II.1.4 het belang van de verantwoordelijkheid van het bestuur voor het vaststellen van het met de strategie verbonden risicoprofiel en de daarop afgestemde risicobeheersing nadrukkelijker tot uitdrukking gebracht (Monitoring Commissie Corporate Governance, 2013).
Principe II.1.5 gaat in op de verklaringen die het bestuur volgens de code dient af te leggen. Het benoemt dat ten aanzien van financiële verslaggevingsrisico’s het bestuur in het jaarverslag verklaart dat de interne risicobeheersings- en controlesystemen een redelijke mate van
zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat en dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt. Het bestuur geeft hiervan een duidelijke onderbouwing (Monitoring Commissie Corporate Governance, 2013).
Principe II.2 gaat voornamelijk over de bezoldiging van bestuurders. De Monitoring Commissie Corporate Governance meent dat dit principe leidend is en impliciet de koppeling van de bezoldiging aan de strategie en het belang van de vennootschap reflecteert. De Commissie heeft dit principe uitgebreid met een expliciete verwijzing naar de risicohouding van bestuurders. Principe III.1.6 noemt elementen van het toezicht van de Raad van Commissarissen op het bestuur. Volgens dit principe omvat het toezicht onder andere de strategie en de risico’s verbonden aan de ondernemingsactiviteiten en de opzet en werking van de interne
risicobeheersings- en controlesystemen. Uit principe III.1.8 blijkt dat Raad van Commissarissen in ieder geval eenmaal per jaar de volgende onderwerpen dient te bespreken: de strategie en de voornaamste risico’s verbonden aan de onderneming, de uitkomsten van de beoordeling door het bestuur van de opzet en werking van de interne risicobeheersings- en controlesystemen, alsmede eventuele significante wijzigingen hierin. Van het houden van deze bespreking wordt melding gemaakt in het verslag van de Raad van Commissarissen (Monitoring Commissie Corporate Governance, 2013).
47 De code gaat ook expliciet in op de taken van een auditcommissie. Volgens de code heeft de auditcommissie de volgende taken met betrekking tot risicomanagement en risicoverslaggeving (Monitoring Commissie Corporate Governance, 2013):
A. de werking van de interne risicobeheersings- en controlesystemen, waaronder het toezicht op de naleving van de relevante wet- en regelgeving en het toezicht op de werking van gedragscodes;
B. de financiële informatieverschaffing door de vennootschap (keuze van accounting policies, toepassing en beoordeling van effecten van nieuwe regels, inzicht in de behandeling van “schattingsposten” in de jaarrekening, prognoses, werk van in- en externe accountants terzake, etc.);
C. de naleving van aanbevelingen en de opvolging van opmerkingen van in- en externe accountants;
D. de rol en het functioneren van de interne audit functie.
5.2.2 Abma
Abma (2007) is directeur van Eumedion. Dit is de belangenorganisatie van institutionele beleggers op het terrein van corporate governance. In zijn artikel uit 2007 evalueert hij onderzoek van Eumedion (2006) op het gebied van risicoverslaggeving. Deze elementen zijn vervolgens opgenomen in de Speerpuntenbrief 2008 van Eumedion (2007), welke in november 2007 is verschenen. In zijn artikel stelt Abma (2007) dat veel van de ondernemingen die in de problemen zijn gekomen, overeenkomsten vertonen. De risico’s verbonden aan de strategie werden niet voldoende onderkend en in kaart gebracht. Hierdoor werden deze risico’s ook in onvoldoende mate beheerst. De interne risicobeheersings- en controlesystemen ontbraken of waren niet adequaat en effectief.
Volgens Abma (2007) moeten aandeelhouders ondernemers stimuleren om risico’s te (blijven) nemen. Voorwaarde hierbij is wel dat inzichtelijk is, wat de risico’s zijn waarvoor de
vennootschap zich gesteld ziet, en op welke wijze die risico’s worden beheerst. Aandeelhouders willen volgens Abma dan ook antwoord op de volgende vragen:
1. Wat is de strategie?
2. Welke operationele procedures gelden er? 3. Wat zijn de risico’s?
4. Wat is de omvang van de risico’s?
5. Wat is de kans dat de risico’s zich voordoen?
6. Wat zal daarvan dan de impact zijn op het eigen vermogen en het resultaat? 7. Hoe pakt de vennootschap de risico’s aan (welke risicobeheersings- en
controlemechanismen zijn er)?
Aandeelhouders hebben meer behoefte aan een ‘brede risicoparagraaf’, dan aan een
standaardverklaring over de beheersing van de financiële verslaggevingsrisico’s, waarvan de strekking beperkt is (Abma, 2007). Abma stelt dan ook de toevoegde waarde van een ‘in control statement’ ter discussie.
Volgens Amba pleiten institutionele beleggers ervoor om op termijn de huidige, enge
interpretatie van het in control statement te vervangen door een best practice bepaling om een informatieve en inzichtelijke risicoparagraaf in het jaarverslag op te nemen, waarin alle gegevens ten aanzien van risico’s en risicobeheer zijn opgenomen. Volgens Abma dient het risicoverslag de volgende informatie te bevatten:
48 Een kwalitatieve en voor de AEX- en AMX-vennootschappen ook een kwantitatieve
beschrijving van de risico’s, waarbij voor in ieder geval de financiële risico’s het wenselijk zou zijn om gevoeligheids- en scenarioanalyses op te nemen.
Een ‘breed’ bestuursverslag over risicomanagement en interne controle, waarbij aan bod komen:
o Informatie over de risicobeheersings- en controlesystemen (voornamelijk ten aanzien van de strategische, operationele en compliance risico’s) en de
uitgangspunten/kenmerken daarvan.
o Welke aanpassingen en verbeteringen in het afgelopen boekjaar zijn doorgevoerd en nog in het lopende boekjaar zullen worden doorgevoerd.
o Waar zitten nog tekortkomingen? o Wat heeft prioriteit in aanpak?
o Melding van de hoofdlijnen van de bespreking(en) van het bovenstaande met de auditcommissie en de Raad van Commissarissen.
Aandeelhouders willen inzicht in het risicoprofiel van een organisatie, zodat zij het risicoprofiel van hun aandelenportefeuille in kaart kunnen brengen (Abma, 2007). Abma stelt dan ook dat sommige rapportages over de risicofactoren niet alleen meer voor intern gebruik zijn, maar ook extern moeten worden gepubliceerd.
5.2.3 Mertens en Blij
Mertens en Blij (2008) hebben namens Eumedion en het NIVRA onderzoek verricht naar de risicoparagrafen in de jaarverslagen 2007 van beursfondsen. Zij toetsen de risicoparagraaf op een aantal criteria. Deze criteria zijn afkomstig uit de Code Tabaklsblat, de speerpuntenbrief van het Eumedion en de aanbevelingen van de Monitoring Commissie Corporate Governance. Ondanks dat dit een onderzoek betreft naar de kwaliteit van risicoverslaggeving bij
beursfondsen, is de relevantie van het onderzoek groot. In de kern handelt corporate governance over het afleggen van verantwoording en het creëren van transparantie. Onderdeel van een goed functionerende corporate governance binnen een onderneming is het beheersen van risico’s en de verslaggeving hieromtrent. Risico’s zijn inherent aan ondernemerschap: elke onderneming heeft ermee te maken, ongeacht aard en omvang (Mertens en Blij, 2008).
Als gevolg van de toegenomen hoeveelheid informatie over de verschillende risico’s in de verslaggeving van ondernemingen, ontstaat het gevaar dat de risicoparagraaf verwordt tot een opsomming van een lange lijst van risico’s. Daardoor wordt het voor de gebruiker van een jaarverslag lastig om een inschatting te maken van de risico’s die het meest bedreigend of belangrijk zijn voor een specifieke onderneming. Mertens en Blij (2008) stellen dan ook dat organisaties zich beperken tot de belangrijkste risico’s van de onderneming. Deze risico’s dienen gerelateerd te worden aan de strategische doelstellingen van de organisaties. Voor een beter begrip van deze risico’s dienen ze nader te worden gecategoriseerd. De Monitoring Commissie heeft in zijn eerste rapport (december 2005) aanbevolen een overzicht te verstrekken van de belangrijkste strategische, operationele, financiële, wet- en regelgeving en financiële verslaggevingsrisico’s. Een methode om risico’s te categoriseren is het Coso-model. Risico’s dienen tevens zoveel mogelijk te worden gekwantificeerd. Dit geldt vooral voor de belangrijkste risico’s die de organisaties loopt. De kans dat een risico zich voordoet, dient te worden beschreven. Uit het onderzoek van Mertens en Blij (2008) blijkt dat dit aspect weinig terugkomt.
49 Zij geven als mogelijke verklaring hiervoor dat het voor ondernemingen lastig is om een
concrete inschatting te maken van de kans dat een bepaalde situatie zich daadwerkelijk zal voordoen. Volgens Mertens en Blij (2008) is dit echter een wezenlijk element, omdat zonder een kansverdeling er geen mogelijkheid is om een impactanalyse op te stellen.
Risico’s dienen ook beschreven te worden in termen van impact op het resultaat of het eigen vermogen. Mertens en Blij (2008) constateren hierbij dat de informatieverstrekking hierover afneemt, naarmate ondernemingen kleiner zijn. Tevens constateren Mertens en Blij (2008) dat het begrip ‘risk appetite’ slechts beperkt wordt genoemd in de verslaggeving.
Na de risico-inventarisaties dienen organisaties de volgende elementen te behandelen (Mertens en Blij, 2008):
Wordt informatie verstrekt over de risicobeheersings- en controlesystemen (inclusief een beschrijving van de procedures)?
Wordt in de beschrijving verwezen naar het werk c.q. de rapportages van de
controlerende accountant, dan wel de interne accountant/internal auditor of stafdiensten met een controlerende taak?
Wordt de informatie over risico’s en risicobeheersings- en controlesystemen op één plaats in het jaarverslag gepresenteerd?
Wordt informatie verstrekt over de resultaten van de periodieke evaluatie van de opzet en werking van de interne risicobeheersings- en controlesystemen inclusief getroffen maatregelen?
Zijn de evaluatie-uitkomsten besproken met de Raad van Commissarissen/Audit Commissie en zo ja, vinden de uitkomsten daarvan hun weerslag in de verslaggeving over de risicobeheersings- en controlesystemen?
Mertens en Blij (2008) vervolgen met de in control verklaring. Zij behandelen de in control verklaring op basis van best practice bepaling II.1.4 van de Code, aangevuld met de
aanbevelingen van de Monitoring Commissie. De volgende elementen worden getoetst:
Rapporteert het bestuur over de werking van de risicobeheersings- en controlesystemen in het boekjaar?
Wordt verklaard dat de interne risicobeheersings- en controlesystemen effectief en/of adequaat zijn?
Wordt deze verklaring duidelijk onderbouwd?
Wordt door het bestuur verklaard dat de risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat?
Wordt verklaard dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gefunctioneerd?
Worden eventuele tekortkomingen vermeld die materiële gevolgen kunnen hebben en in het verslagjaar respectievelijk het lopende jaar zijn geconstateerd en worden daarbij tevens aangebrachte of geplande verbeteringen aangegeven?
5.2.4 NIVRA
Het NIVRA (2010) heeft in 2010 onderzoek verricht naar de kwaliteit van de risicoparagraaf. In dit onderzoek wordt de kwaliteit van de risicoparagraaf over 2009 vergeleken met die van 2007. In deze vergelijking concludeert het NIVRA dat de kwaliteit van de risicoparagraaf ten opzichte van 2007 is gestegen, maar dat er op het gebied van zowel presentatie als inhoud nog de nodige ruimte is voor verbetering.
50 Veel ondernemingen hebben voornamelijk moeite om zich in de risico-paragraaf te beperken tot de meest belangrijke risico’s en de informatie over de risicobereidheid is beperkt. Ook wordt er weinig inzicht gegeven in de uitkomsten van de jaarlijkse beoordeling van het
risicomanagementsysteem.
In het onderzoek van het NIVRA naar de risicoparagraaf van Beursfondsen worden veelal dezelfde informatie elementen behandeld als Mertens en Blij (2008). Dit is niet verassend, aangezien het onderzoek van Mertens en Blij (2008) voor zowel Eumedion als het NIVRA is uitgevoerd. Ook de vragenlijst die gehanteerd wordt bij de Henri Sijthofprijs, bevat deze elementen. De informatie-elementen die het NIVRA en de Henri Sijthofprijs noemen, zullen om doublures te voorkomen niet nogmaals worden behandeld.
5.2.5 Jenkins Committee
Jenkins (1994) heeft enkele kwaliteitscriteria opgesteld waaraan volgens de commissie vindt een risicorapport zou moeten voldoen. Deze criteria zijn onder meer in het onderzoek van Abraham en Cox (2007) als houvast gehanteerd voor het opstellen van een raamwerk voor kwaliteitstoetsing
Het Jenkins Committee (1994) heeft haar rapport geschreven uit een gebruikersperspectief. Hierdoor is de relevantie van de kwaliteitscriteria voor dit onderzoek groot. Om te voorzien in de behoefte van de gebruikers heeft deze commissie een model ontwikkeld waaraan verslagen zouden moeten voldoen. Zij hanteren met betrekking tot verslaggeving de volgende criteria voor de informatie:
Current exposure. Dit houdt in dat een organisatie geen uitweidingen zou moeten opnemen in het jaarverslag over risico’s in de verre toekomst, maar concreet zou moeten aangeven welke actuele risico de onderneming loopt.
Important concern. Het belang van een risico moet in kaart worden gebracht. De commissie geeft aan dat het belang kan worden bepaald door de waarschijnlijkheid van het risico, de impact van het risico en de mate van dreiging van het risico. Er wordt hier dus een prioritering aangebracht in de risico’s.
Specific or unusual exposure. De risico’s moeten specifiek zijn voor het bedrijf. Algemene risico’s zouden moeten worden vermeden.
Helps estimate cash flows or earnings. Dit betreft het kwantificeren van het risico’s. Jenkins (1994) hecht veel belang aan deze informatie en vermeldt dan ook dat het belangrijk is deze als een aparte sectie in het jaarverslag op te nemen.
5.2.6 De Groot
De Groot (2010) geeft in een artikel een aantal aanbevelingen voor een transparante verslaggeving over risico’s. De Groot (2010) heeft hiervoor een checklist opgesteld die kan bijdragen aan een betere en transparantere risicoverslaggeving en aan het opstellen van een risicoprofiel. De voor dit onderzoek relevante punten van deze checklist zullen kort worden behandeld.
Categorieën
Bedek het volledige spectrum van strategische, operationele, financiële, compliance- en financiële verslagleggingsrisico’s, zorg voor een evenwichtig inzicht in elke van deze risicocategorieën en besteedt aandacht aan zowel externe als interne risico’s.
51 Specifiek
Organisatie dienen risico’s zoveel mogelijk bedrijfs- en branche specifiek te houden. Daarnaast dienen organisaties rekening te houden met de specifieke regelgeving die van toepassing is. Prioritering van risico’s
Men dient zich te richten op de voornaamste risico’s voor de onderneming in plaats van alleen een lange lijst van alle mogelijke risico’s te maken. Daarnaast dient men een prioritering aan te geven in de risico’s.
Risk appetite en reactie op risico’s
Organisaties dienen duidelijk te maken wat de risicobereidheid van de onderneming is, omdat dit de toon zet voor de genomen risico’s en de gekozen reactie op elk risico.
Risico’s en doelstellingen
Risico’s dienen gekoppeld te worden aan de strategische doelstellingen omdat de strategie beeldbepalend is voor de risico’s die een organisatie tegenkomt en neemt.
Benadruk de reactie op het risico
Voor elk risico dient beschreven te worden hoe het wordt beheerst, verminderd, overgedragen of geaccepteerd.
Er is meer dan alleen het risicoprofiel
Probeer het risicoprofiel te integreren met de andere elementen van de risicoverslaggeving, te weten de beschrijving van het risicomanagementsysteem en – indien van toepassing – de in-control verklaring.
Wees up-to-date
Organisaties dienen een actueel risicoprofiel te laten zien gezien. Impact
Van elk risico dient beschreven te worden welke impact dit kan hebben op de resultaten, reputatie, liquiditeit, strategie en/of andere doelstellingen.
Kwantificeer
Kwantificeer, bijvoorbeeld in de vorm van gevoeligheidsanalyses, de gevolgen van bepaalde risico’s indien dat gebruikelijk en/of mogelijk is in uw branche.
Evalueer het intern beheersing systeem
Organisaties dienen transparant te zijn over de belangrijke interne beheersingskwesties en de maatregelen die het management genomen heeft om deze kwesties aan te pakken.
5.2.7 Meijer
Meijer (2003) heeft onderzoek verricht naar het effect van meer verslaggeving over risico’s op de vermogenskosten. In het onderzoek van Meijer (2003) worden de volgende elementen behandeld, die volgens hem opgenomen dienen te worden in een risicoverslag:
Beschrijving van het risico, omvang en kans
Risico’s dienen zo nauwkeurig mogelijk te worden beschreven. Hierbij kan aandacht worden besteed aan de omvang van het risico en de kans dat het risico zich zal voordoen. Het systeem van risicoverslaggeving dient de aard van de kansverdeling te bespreken.