Respondenten naar organisatiegrootte
3.3 Operationalisatie van conceptueel model
In het conceptueel model worden zowel de volgende variabelen genoemd: Big4 auditor,
accountantswissel, externe toezichthouder, corporate governance regelgeving en de verschillende eigendomsverhoudingen. De predictor en controlevariabelen zullen hieronder worden beschreven en zijn gecodeerd als bineaire variabele met uitzondering van corporate governance, welke als ordinale variabele is getypeerd.
De afhankelijke te verklaren variabele betreft risicomanagementvolwassenheid, daarnaast wordt specifiek voor de Big4 auditor en accountantswissel ook de afhankelijke variabele ‘eigen perceptie van risicomanagementvolwassenheid’ gehanteerd. De afhankelijke variabele wordt ook wel de
criteriumvariabele genoemd. Beide variabelen worden beschouwd als ordinale variabelen. Hieronder wordt per variabele beschreven hoe deze voor dit onderzoek zijn geoperationaliseerd.
Criteriumvariabelen
Risicomanagement volwassenheid
In het verleden is er veelvuldig onderzoek gedaan naar de determinanten van implementatie van risicomanagement o.a.: Liepenberg en Hoyt (2003); Pegach en Warr (2007,2011); Desender (2007), Lin, Weng en Yu (2012), Pooser (2012). Deze onderzoeken onderzochten voornamelijk wat de drijfveren voor organisaties zijn om Enterprise Risk Management te adopteren om hun risico’s te managen. In deze onderzoeken werden o.a. de Chief Risk Officer als proxy voor adoptie gebruikt (Liepenberg en Hoyt 2003, Pegach en Warr (2007,2011) maar ook het hebben van Standaard en Poor score van risicomanagement (Pooser 2012). Deze variabelen zeggen wel wat over of ERM is
geïmplementeerd maar weinig over de volwassenheid. De eerste auteurs die de volwassenheid van risicomanagement in kaart hebben proberen te brengen zijn: Ward (2003) en Beasly, Clune en Hermanson (2005).
In het model van Ward worden 6 dimensies van risicomanagement onderscheid om het niveau te kunnen meten:
De interpretatie van term ‘risico’ (wat)
De beslissingen waarop risicomanagement wordt toegepast (wanneer)
Het doel van risicomanagement (waarom)
De aard van het toegepaste risicomanagementproces (hoe)
De betrokken partijen en allocatie van verantwoordelijkheden bij risicomanagement (wie)
De investering in risicomanagement (middelen).
Om deze 6 dimensies die samen het volwassenheidsniveau van risicomanagement vormen, te kunnen benchmarken is een volwassenheidsmodel noodzakelijk, feitelijk de scoreleidraad voor onderzoek naar goed risicomanagement. Dit is meer het terrein van professionele adviesorganisaties en de wetenschappelijke spoeling is hierbij dun. Hierbij zijn er historisch twee wetenschappelijke modellen beschikbaar, die al enige tijd bestaan, zijnde de modellen van Hillson (1997) en DeLoach (2000). Het model van DeLoach beschrijft 5 stadia van volwassenheid: Ad hoc / chaotisch, intuïtief, kwalitatief en kwantitatief, kwalitatief en continue feedback. Het model van Hillson beschrijft vier stadia: Naïef, nieuwkomer / nieuweling, genormaliseerd en natuurlijk. Beide modellen vinden hun oorsprong niet in het risicomanagement, maar zijn wel gemodificeerd om enige benchmark van volwassenheid te kunnen uitvoeren.
Het eerste specifiek op risicomanagement gerichte volwassenheidsmodel komt van Beasly, Clune en Hermanson (2005). Beasly et al. onderkennen vijf stadia van risicomanagement adoptie:
Stadium 1: Geen plannen om ERM te implementeren
- 27 - Stadium 3: Plannen om ERM te implementeren
Stadium 4: ERM gedeeltelijk geïmplementeerd
Stadium 5: ERM volledig geïmplementeerd
In het artikel wordt geen nader wetenschappelijk fundament gelegd voor de keuze van de stadia, maar de stadia lijken elkaar logisch op te volgen en zijn ook voldoende gedefinieerd dat dit niet tot
interpretatieproblemen kan leiden. Wat wel opvalt is, dat hoewel het lijkt dat dit antwoord geeft op de volwassenheid van risicomanagement zoals het bedoeld was, dit in haar definitie toch meer maatstaf voor implementatie lijkt.
Deze 5 stadia indeling is vervolgens in het in 2009 gehouden onderzoek van Koninklijke Nivra et al. ook toegepast maar dan in ligt gemodificeerde variant:
Stadium 1: Risico’s worden op basis van incidenten vooral reactief gemanaged en er is nog geen enkele aanzet om te komen tot een integraal risicomanagementsysteem
Stadium 2: Risico’s worden op deelgebieden (veiligheid, financieel etc.) preventief beheerst en we denken na over een organisatiebreed risicomanagementsysteem
Stadium 3: Risico’s worden op deelgebieden proactief geïnventariseerd, in kaart gebracht en beheerst. Wij zijn van plan een organisatiebreed risicomanagementsysteem in te voeren
Stadium 4: Alle risico’s (strategisch, financieel, operationeel, compliance) worden proactief
geïnventariseerd, in kaart gebracht en beheerst. Wij zijn bezig een organisatiebreed risicomanagementsysteem in te voeren
Stadium 5: Alle risico’s (strategisch, financieel, operationeel, compliance) worden proactief geïnventariseerd, in kaart gebracht en beheerst. Doelen worden aan risico’s gekoppeld en risicomanagement is integraal onderdeel van de (strategische) planning en control cyclus. Omdat dit onderzoek in 2009 gehouden is, in een tijd waarin risicomanagement al veel meer gemeengoed is, zijn de stadia van Beasly et al. aan het eind van elk stadium gedefinieerd. Het eerste deel van de formulering van de stadia geeft echter een ruimere invulling aan de stadia en dus aan het begrip volwassenheid. In deze opstelling wordt al significant meer ruimte gelaten voor interpretabele vraagstelling waarbij het onderscheid tussen de stadia iets diffuser is dan de stadia-indeling van Beasly et al. Een beperking die ook door Paape en Speklé (2012) wordt onderkent:
“(..) waar de originele schaal van Beasly et al. gebaseerd was op een brede (generieke) uitspraken over (intentionele) ERM implementatie is in de enquêtevraag waarop wij ons onderzoek baseren additionele beschrijvende detaillering opgenomen omtrent de manifestatie van ERM praktijken. Vanuit het
perspectief van de huidige studie zijn deze aanpassingen potentieel problematisch omdat de toegevoegde beschrijving van werkelijke praktijk in een bepaalde categorie niet noodzakelijkerwijs hoeft samen te vallen met de intenties tot ERM implementatie. Zo is het bijvoorbeeld mogelijk dat een organisatie actief risico’s beheerst in een bepaald gebied (wat tot een score 2 of 3 zou leiden), terwijl zij geen plannen hebben om een volledig ERM programma te implementeren (wat zou leiden tot een score van 1). Hoewel dit probleem als principe zeer serieus is lijkt het in werkelijkheid niet zo te zijn. Geen van de respondenten heeft meer dan één categorie aangevinkt (wat ze gezien het ontwerp van de enquête wel hadden kunnen doen). Respondenten hadden blijkbaar geen moeite om hun eigen organisatie te scoren. Dit suggereert dat in de echte wereld als waargenomen door de respondenten de antwoord categorieën beschrijvend toch accuraat zijn.”
In de in 2014 gehouden enquête zijn de genoemde categorieën echter opnieuw geherformuleerd om weer dichter bij de oorspronkelijke indeling van Beasly et al. te komen:
Stadium 1: Er bestaan op dit moment geen plannen om een risicomanagementsysteem te
- 28 - Stadium 2: Wij onderzoeken de mogelijkheid om een risicomanagementsysteem te
implementeren, maar hebben nog geen definitieve beslissing genomen.
Stadium 3: Wij plannen op dit moment de implementatie van een risicomanagementsysteem.
Stadium 4: Op dit moment is een risicomanagementsysteem gedeeltelijk aanwezig en geïmplementeerd.
Stadium 5: Een volledig risicomanagementsysteem voor Enterprise Risk Management is aanwezig en geïmplementeerd.
Hoewel de kritiek van Paape en Speklé gegrond lijkt, blijken er uit de uitkomst van deze vraag toch andere uitkomsten te leiden zoals hieronder samengevat:
Figuur 3.2 : Vergelijking Beasly score ten opzichte van 2009 Bron 2009: Nivra et al.
Hoewel dit natuurlijk een indicatie zou kunnen zijn dat er sinds 2009 voortgang is gemaakt met de implementatie van risicomanagement, kan het ook een interpretatiekwestie zijn. Respondenten worden zelf gevraagd hun risicomanagement te schalen, hierbij kan er enige interpretatieruimte in de stadia zijn (dat lijkt in de formulering mee te vallen), maar kan ook leiden tot sociaal wenselijke antwoorden. Het lijkt er op dat de populatie van respondenten nu meer uit elkaar valt in 2 groepen: wel risicomanagement versus geen risicomanagement in plaats van de nuance in stadia. Zowel Beasly et al. (2005) als Paape en Speklé (2012) zien deze stadia als ordinale schaal en beoordelen vervolgens de determinanten van implementatie / volwassenheid aan de hand van ordinale regressie (waarbij de 5 stadia ordinaal geschaald zijn). Daarnaast valt op dat het aantal respondenten in stadium 1 is toegenomen ten opzichte van categorie 2 en 3. Dit zou kunnen betekenen dat, hoewel een
risicomanagementsysteem overwogen is of reeds gepland stond, deze plannen tot dan wel gedachtes over een risicomanagementsysteem tot conclusie heeft gehad dat er uiteindelijk toch geen behoefte bestaat voor een risicomanagementsysteem of de kosten hiervan als te hoog worden ervaren. Ook valt de teruggang van categorie 5 naar 4 op. Dit zou kunnen betekenen dat bedrijven door de crisis genoodzaakt zijn realistischer te kijken naar hun eigen risicomanagementsysteem en mogelijk de blinde vlekken in dit systeem hebben ontdekt, waardoor zij hun oordeel heroverwegen.
Voor dit onderzoek wordt de score in de schaal van Beasly et al (hierna: ‘Beasly score’) zoals
uitgevraagd in de enquête gehanteerd als operationele definitie van risicomanagementvolwassenheid. Hoewel er op deze indeling in relatie tot de term volwassenheid nog wel enkele kritische noten te kraken zijn (zie paragraaf 4.7), is dit in het kader van vergelijking met andere wetenschappelijke publicaties het meest wenselijk.
Eigen perceptie van risicomanagementvolwassenheid
Specifiek voor de variabele met betrekking tot de effecten van accountantswissel en Big4 auditor wordt in dit onderzoek ook aandacht besteed aan in welke mate dit de perceptie van een
ondernemingen ten aanzien van haar risicomanagement raakt. Dit mede in verband met discussies over auditkwaliteit in relatie tot de discussies met betrekking tot Verordening inzake onafhankelijkheid van accountants bij assurance-opdrachten. De geënquêteerden wordt in de enquête gevraagd hun eigen perceptie op hun risicomanagementsysteem te becijferen op een schaal van 1 (laagste) tot 10
- 29 -
(hoogste). Hoewel het rapportcijfer een continue intervalvariabele lijkt omdat er sprake is van een schaling met gelijke grootte, weegt het bezwaar dat het verschil tussen de waarde geen inhoud anders dan een rangorde heeft hier zwaarder. Als het om perceptie gaat kun je duidelijk stellen dat de zeven van de ene geënquêteerde niet de zeven van een andere onderneming is. Deze variabele wordt daarom beschouwd als een ordinale variabele (vergelijkbaar met de Beasly et al. schaal voor ERM-implementatie). Het feit dat definitie als intervalvariabele niet geschikt is blijkt ook uit het feit er geen sprake is van een normale verdeling in de waardering van risicomanagement zoals blijkt:
Figuur 3.3: Histogram eigen perceptie risicomanagement
Visueel valt al op dat deze niet normaal verdeeld lijkt, wat wordt bevestigd door de Kolmogorov-Smirnov toets die geen significante uitkomst geeft. Dit betekent dat de populatie niet normaal verdeeld is en daarom terecht niet als continue variabele wordt beschouwd.
Figuur 3.4: Uitkomsten Kolmogorov-Smirnov eigen perceptie risciomanagement Predictorvariabelen
De onafhankelijke variabelen van interesse, de predictorvariabelen, zijn in het conceptueel model gevisualiseerd en zullen hieronder worden geopertionaliseerd. Alle variabelen zijn opgenomen als ‘algemene vragen’ in de enquête. De volgende variabelen worden uitgevraagd als ja/nee vragen:
Extern toezicht: Zijn de activiteiten van uw organisatie onderhevig aan toezicht door een externe
toezichthouder, zoals bijv. AFM/DNB/ACM (Opta)? J/N
Beursnotering: Is uw organisatie beursgenoteerd? J/N
Accountantswissel: Heeft uw organisatie in de afgelopen 3 jaar een nieuwe externe
accountantsorganisatie aangesteld? J/N
Deze variabelen worden gecodeerd als dichotome (binaire) dummy variabelen waarbij nee wordt gecodeerd als 1 en 0 bij ja.
- 30 -
De volgende variabelen worden minder expliciet uitgevraagd en hebben een bewerkingsslag ondergaan:
Big 4 auditor
In de enquête wordt open uitgevraagd door welke accountantsorganisatie het jaarverslag wordt gecontroleerd. Omdat, zoals reeds genoemd in paragraaf 2.1.5, het niet mogelijk is een
onderzoeksgroep te definiëren zonder accountant is de tegenstelling accountant / geen accountant niet empirisch te onderzoeken. Het meest logische onderscheid is daarom Big4 auditor versus niet Big4 auditor, mede ook in verlengde van de onderzoeken van Beasly et al. (2005) en Paape en Speklé (2012). Dus hoewel deze uitgevraagd wordt als open vraag is deze in dataset eveneens gecodeerd als dichotome dummy variabele (1 = Geen big4 auditor en 0 = wel Big4 auditor).
Eigendomsverhouding
De eigendomsverhoudingen zijn als open vraag uitgevraagd: ‘Uw aandelen zijn vooral in het bezit van:
Niet van toepassing
Anonieme aandeelhouders
Een aantal institutionele beleggers
Eén of meerdere families
Administratiekantoor (certificaten van aandelen)
Banken
(Directeur) Grootaandeelhouder
Anders, namelijk ……….
In de praktijk bleek er als frequent antwoord in de categorie ‘ander namelijk….’ veelvuldig geantwoord te worden ‘dochter van een groepsmaatschappij’. Hoewel geprobeerd is deze aan één van de
bovenstaande categorieën toe te voegen bleek juist in deze categorie veel anonieme invullers te zitten. Van de respondenten die niet anoniem hebben ingevuld bleek geen van de respondenten in een categorie van interesse te vallen. Uit deze vraag zijn volgende eigendomsverhouding
gedestilleerd:
Institutioneel eigendom
Owner-managed firms.
Als institutioneel eigendom is naast het antwoord ‘een aantal institutionele beleggers’ ook ‘banken’ als institutioneel eigendom geclassificeerd. Dit in lijn met de gedachte dat banken deelnemers zijn van Eumedion, die de institutionele belegger vertegenwoordigt. Waarbij banken deze taak overigens vaak beleggen bij de Asset Management afdeling van hun organisatie.
Als owner-managed is gerekend: de (Directeur) Grootaandeelhouder en tevens het administratiekantoor (certificaten van aandelen) voor zover de onderneming niet tevens
beursgenoteerd is. Van een beursgenoteerde onderneming als Heineken is bijvoorbeeld bekend dat deze als beschermingsconstructie gebruik maakt van deze vorm van eigendomsbescherming. Voor niet-beursgenoteerde ondernemingen wordt deze structuur vooral door eigenaar-directeuren gebruikt omdat ze op deze manier winsten goedkoop kunnen uitkeren naar bijv. familieleden. Daarnaast werkt het bij dit type eigendomsverhouding ook vaak als beschermingsconstructie. Hoewel de eigendomsverhouding als categorieën (nominale variabele) zou kunnen worden beschouwd zijn deze voor het doel van onze analyse als dichotome dummyvariabelen behandeld. Hierbij wordt de eigendomsverhouding ‘institutioneel eigendom’ gecodeerd met 1 als er geen sprake is van institutioneel eigendom en een 0 als er wel sprake is van institutioneel eigendom. Voor owner-managed firms vindt de codering op dezelfde manier plaats.
- 31 -
De beursnotering als eigendomsverhouding is, reeds als hierboven benoemd, rechtstreeks uitgevraagd. Deze wordt echter niet apart gecodeerd maar meegenomen in de codering van de corporate governance codes. Dit wijkt daarmee af van het onderzoek van Paape en Speklé (2012), maar past wel in de lijn van de uitkomsten van datzelfde onderzoek. Zij vinden namelijk bewijs dat beursnotering significant bijdraagt aan een hogere risicomanagementvolwassenheid, terwijl het hebben van een governance code geen invloed heeft op de volwassenheid van risicomanagement. Zij stellen dat dit mogelijk gelegen is in het feit dat de sterke wettelijke verankering noodzakelijk is om het risicomanagementgedrag van organisaties te beïnvloeden. Een alternatieve verklaring zou kunnen zijn dat er in grote mate sprake is van vrijwillige adoptie. Door beursfondsen en wettelijke verankering gelijk te stellen aan elkaar is het mogelijk deze verklaring af te zetten tegen de alternatieve verklaring van de vrijwillige adoptie.
Corporate Governance codes
De corporate governance code wordt in tegenstelling tot alle andere variabelen niet expliciet
uitgevraagd. In het onderzoek van Paape en Speklé (2012) wordt geen significant verband aangetoond tussen de aanwezigheid van een governance code en de implementatie van ERM. Dit wordt verklaard vanuit enerzijds de mogelijk vrijwillige adoptie van governance codes door niet-beursfondsen alsmede het feit dat beursfondsen op zichzelf beter ontwikkelde risicomanagementsystemen hebben. Om dit effect beter te duiden is in dit onderzoek de toepassing van de governance code verdeeld in vier categorieën:
1. verplichte toepassing van de governance code (inclusief financiële instellingen), dit geldt