Overige rapportage eisen

De randvoorwaarden die ook deel uitmaken van de norm voor het risicomanagementsysteem leiden niet tot rapportagevereisten en zijn daarom niet opgenomen in bovenstaande tabel.

Door bovenstaande aspecten te rapporteren worden de organisatieonderdelen verplicht om bovengenoemde stappen na te leven en hier verslag van uit te brengen.

5.5 Overige rapportage eisen

Treasury & Risk & Paisley (2008) hebben onderzoek gedaan naar de frequentie van interne rapportages en de groepen aan wie wordt gerapporteerd. Hieruit is naar voren gekomen dat in de meeste gevallen aan het senior management het vaakst wordt gerapporteerd over het

37

risicomanagement. In de helft van de gevallen wordt de board slechts jaarlijks of zelfs helemaal niet geïnformeerd over het risicomanagement. Het ontbreken en de vaak beperkte omvang van de rapportages leiden ertoe dat de ontwikkeling van de risico’s niet goed gevolgd kunnen worden waardoor risicomanagement onvoldoende vorm kan krijgen (Droogsma, 2009). Als reden voor het ontbreken en de beperkte omvang wordt genoemd dat risicotoleranties en risicobereidheid vaak niet bekend zijn. Voor de implementatie van integraal risicomanagement is het belangrijk om regelmatig te rapporteren over het risicomanagementproces. In de literatuur wordt aanbevolen om de frequentie van rapporteren zoveel mogelijk overeen te laten komen met bestaande rapportagesystemen (van Moorsel & Visser, 2003, Droogsma, 2009).

Om de kwaliteit van risico rapportages te verbeteren wordt in de literatuur verondersteld dat organisaties de gevolgen van risico’s zoveel mogelijk moeten kwantificeren, dit kan bijvoorbeeld door deze uit te drukken in getallen en financiële waarden (Linsley & Shrives, 2000; Beretta & Bozzolan, 2004). Door het kwantificeren van risico’s kunnen gebruikers van de rapporten beter inschatten wat de impact van het risico is voor de organisatie. Linsley & Shrives (2006) constateren overigens dat het niet eenvoudig is om risico’s te kwantificeren en dat er ook nog maar weinig ondernemingen zijn die hier gehoor aan geven. De Monitoring Commissie Corporate Governance (2006, 2007, 2008) spoort ondernemingen ook aan om risico’s zoveel mogelijk te kwantificeren. Dit zou bijdragen aan een juiste prioritering van te treffen beheersmaatregelen door de ondernemingsleiding. Haisma (zonder datum) noemt in zijn artikel aan de hand van faalfactoren van risicomanagement ook handreikingen voor verbetering van risicomanagement. Deze zijn tevens relevant voor de rapportage hieromtrent. Hij suggereert ten eerste dat risico’s beter moeten worden gedefinieerd. In veel rapportages zijn risico’s gebrekkig omschreven waardoor kwantificatie, zoals aanbevolen door de Monitoring Commissie en Linsley en Shrives (2000 en 2006) lastig wordt. Een goede omschrijving moet de volgende elementen bevatten: een kans op het optreden van een gebeurtenis en het gevolg van die gebeurtenis, waarbij het gevolg gekwantificeerd dient te worden. Haisma (zonder datum) bespreekt ten tweede ook de wijze van rapporteren concludeert dat het meest voor de hand liggend is, dat er een risicoparagraaf aan bestaande hiërarchische rapportagestructuur wordt toegevoegd. Hierbij wordt tevens opgemerkt dat afspraken gemaakt moeten worden over vanaf welke mate van risico wordt gerapporteerd. Haisma (zonder datum) noemt als voorbeeld een risicoscore gebaseerd op vermenigvuldiging van kans en gevolg.

38

In dit hoofdstuk is deelvraag drie beantwoord:

Deelvraag 3: Wat is rapporteren over risicomanagement?

Voor de uitleg van de definitie rapporteren wordt de definitie van bestuurlijke informatie verzorging volgens Starreveld (2002) gehanteerd. Deze is als volgt:

“alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen, het doen functioneren en het beheersen van een huishouding, en ten behoeve van de verantwoordingen die daarover moeten worden afgelegd”.

Uit dit hoofdstuk is gebleken dat er met betrekking tot risicomanagement twee soorten rapportages te onderscheiden zijn. In de eerste plaats is dat de externe rapportage over risicomanagement. Door middel van externe rapportage wordt aan stakeholders verantwoording afgelegd. Dit valt niet binnen de scope van dit onderzoek. De tweede vorm is de manier waarop intern over het proces van risicomanagement wordt gerapporteerd om te komen tot de externe rapportage over risicomanagement. In figuur 5 is nogmaals de norm voor risicomanagement schematisch weergegeven. Doelstellingen Risico inventarisatie Risico-beoordeling Beheers-maatregelen Evaluatie en Bijsturing Cultuur Structuur Kennis Technieken Risicomanagement Figuur 5: Risicomanagementsysteem

39

Deze bestaat uit het proces voor risicomanagement en de randvoorwaarden die nodig zijn om risicomanagement te beheersen.

De rapportagevereisten die in dit hoofdstuk naar voren zijn

gekomen, zijn gekoppeld aan de deelaspecten van het risicomanagementproces. Over elk

deelaspect ven het proces moet gerapporteerd worden. In tabel 5.1 in dit hoofdstuk is

weergegeven wat per aspect gerapporteerd dient te worden. Na aanleiding van dit

hoofdstuk is de norm voor risicomanagement verder uitgebreid met een norm voor de

interne rapportagevereisten. De resultaten van dit literatuuronderzoek hebben dus geleid

tot een norm voor risicomanagement en de rapportagevereisten die daaraan gekoppeld

zijn. Op basis van deze norm wordt een vragenlijst ontwikkeld. Deze word in het

volgende hoofdstuk uitgelegd, gevalideerd en in de praktijk wordt getest. Deze

vragenlijst is een instrument voor organisaties om de kwaliteit van hun interne

risicorapportage te beoordelen en zo nodig te verbeteren.

40

6.RESULTATEN EN ANALYSE

In de eerste paragraaf van dit hoofdstuk wordt uitgelegd hoe de vragenlijst, welke een resultaat is van het literatuuronderzoek, tot stand is gekomen. Daarnaast wordt in deze paragraaf de validatie van de vragenlijst besproken. Vervolgens wordt de vragenlijst door middel van een casestudy getest, waardoor de vijfde deelvraag wordt beantwoord:

“Hoe vindt rapportage over risicomanagement op dit moment plaats bij organisatie X?”

Het antwoord op deze vraag, de resultaten en analyse van de case organisatie X, wordt besproken in de tweede paragraaf. De conclusie is weergegeven in paragraaf drie gevolgd door een reactie vanuit organisatie X op de uitkomsten van de case studie in paragraaf vier.