In dit hoofdstuk zullen de onderzoeksresultaten gedetailleerd worden weergegeven van het empirisch onderzoek naar de informatieverstrekking van risico’s en risicobeheersing door Nederlandse AMX en AScX ondernemingen. De volgende indeling zal worden gehanteerd: 4.1 Verslaglegging algemeen
4.2 Verslaglegging over risico’s
4.3 Verslaglegging over risicomanagement systemen 4.4 In Control Statement
4.5 Bestuurdersverklaring
De onderzoeksresultaten zullen worden uitgesplitst naar verschillende branches, zoals vermeld in hoofdstuk 3. Op deze wijze wordt inzicht verkregen wat de verschillen zijn tussen branches. Daarnaast wordt ook een gemiddelde score gepresenteerd over de gehele onderzoekspopulatie. Voor de onderbouwing van de gepresenteerde percentages in dit hoofdstuk wordt verwezen naar bijlage 3. In deze bijlage zijn de resultaten uiteengezet op basis van de gehanteerde vragenlijst.
Voor de beantwoording van de toetsingsvragen zijn de best practice bepalingen van de Code van toepassing. De best practice bepalingen II.1.4 en II.1.5 zijn in hoofdstuk 2 weergegeven.
4.1 Verslaglegging algemeen
Het is wenselijk dat de informatie over risico’s en interne risicobeheersings- en controlesystemen op één plaats in het jaarverslag wordt gepresenteerd. Van de onderzochte ondernemingen heeft 85% de informatie over risico’s en interne risicobeheersing op één plaats in het jaarverslag gepresenteerd, namelijk in de risicoparagraaf (risicomanagement hoofdstuk). De overige 15% heeft de informatie op verschillende plaatsen in het jaarverslag gepresenteerd, waaronder in het hoofdstuk Corporate Governance.
Het heeft de voorkeur om de In Control Statement van het bestuur op te nemen in de risicoparagraaf (risicomanagement hoofdstuk). De In Control Statement van het bestuur maakt in 27% van de onderzochte ondernemingen geen onderdeel uit van de risicoparagraaf. In deze gevallen is de In control statement opgenomen onder de Bestuurdersverklaring, uit hoofde van artikel 5:25c Wet op het financieel toezicht (hierna: Wft).
Van de onderzochte ondernemingen heeft 83% een verwijzing naar een referentiemodel opgenomen in de risicoparagraaf en zijn in de meeste gevallen gebaseerd op het COSO raamwerk.
Door 29% van de onderzochte ondernemingen is een expliciete verwijzing naar de best practice bepaling II.1.5 van de code Frijns opgenomen.
In alle jaarverslagen van de onderzochte ondernemingen is een verwijzing naar de Nederlandse Corporate Governance Code gemaakt. In twee gevallen is ook verwezen naar de SOX sectie 404. Deze ondernemingen zijn tevens onderworpen aan de Sarbanes Oxley Act, aangezien ze ook in de VS een beursnotering hebben.
Bouwnijverheid
Informatie over risico’s en interne risicobeheersings- en controlesystemen wordt in alle onderzochte ondernemingen op één plaats in het jaarverslag gepresenteerd.
De In Control Statement van het bestuur maakt in alle gevallen onderdeel uit van de risicoparagraaf.
Alle onderzochte ondernemingen hebben een verwijzing naar een referentiemodel opgenomen in de risicoparagraaf. BAM Groep hanteert een risicomanagementraamwerk, welke gebaseerd is op het COSO raamwerk. Arcadis hanteert haar eigen raamwerk, namelijk het ARCADIS Business Control Framework.
Wat opvalt, is dat BAM Groep de enige onderneming is die een expliciete verwijzing naar best practice bepaling II.1.5 van de code Frijns heeft opgenomen.
In alle jaarverslagen van de onderzochte ondernemingen is een verwijzing naar de Nederlandse Corporate Governance Code gemaakt.
Industrie
Informatie over risico’s en interne risicobeheersings- en controlesystemen wordt in 88% van de onderzochte ondernemingen op één plaats in het jaarverslag gepresenteerd. De overige 12% presenteert het op meerdere plaatsen in het jaarverslag.
De In Control Statement van het bestuur maakt in 76% van de gevallen onderdeel uit van de risicoparagraaf. In 12% van de gevallen is de In Control Statement onderdeel van de Bestuurdersverklaring. De overige 12% heeft geen In Control Statement opgenomen in het jaarverslag.
Van de onderzochte ondernemingen heeft 88% een verwijzing naar een referentiemodel opgenomen in de risicoparagraaf. Kendrion hanteert het Kendrion’s Control Framework en is gebaseerd op het COSO raamwerk. Nutreco hanteert een Internal control framework, welke ook gebaseerd is op het COSO raamwerk.
Accell Group, ASM International en TKH Group zijn de enige ondernemingen die een expliciete verwijzing naar best practice bepaling II.1.5 van de code Frijns hebben opgenomen. In alle jaarverslagen van de onderzochte ondernemingen is een verwijzing naar de Nederlandse Corporate Governance Code gemaakt.
4.2 Verslaglegging over risico’s
In deze paragraaf wordt nader ingegaan op de verslaggeving over risico’s in de risicoparagraaf.
Van de onderzochte ondernemingen blijkt dat het jaarverslag van alle ondernemingen een overzicht bevat van de voornaamste risico’s gerelateerd aan de strategie van de onderneming (Bpb II.1.4 a).
Zoals in hoofdstuk 2 is beschreven, onderscheidt COSO een aantal risicocategorieën. De Monitoring Commissie (2005) heeft aanbevolen om een overzicht te verstrekken van de
belangrijkste strategische, operationele, financiële, compliance en financiële
verslaggevingsrisico’s. Uit het onderzoek blijkt dat 80% de risico’s uitsplitsen in deze categorieën. Wat opvalt, is de hoge score voor verslaggeving over operationele en financiële risico’s. Risico’s over wet- en regelgeving en financiële verslaggeving zijn minder vaak gepresenteerd. Een reden hiervoor zou kunnen zijn dat ondernemingen vinden dat wet- en regelgeving en financiële verslaggevingsrisico’s minder relevant zijn.
Vanuit het onderzoek blijkt dat 88% van de ondernemingen meer dan vijf risico’s benoemen in het jaarverslag. Het blijkt dat alle ondernemingen in de branche Groot- en detailhandel, Industrie, Overige dienstverlening en Vervoer en opslag meer dan vijf risico’s benoemt in het jaarverslag, gevolgd door Bouwnijverheid (83%), Informatie en communicatie (78%), Gezondheids- en welzijnszorg (67%) en Logies-, maaltijd- en drankverstrekking (0%). Er wordt echter geen inzicht verschaft in de belangrijkste risico’s van de onderneming. Er wordt enkel een opsomming van de risico’s weergegeven, waarbij de volgorde van de genoemde risico’s niets zegt over de mate van belangrijkheid. Het valt op dat een aantal ondernemingen een grote opsomming van risico’s weergeeft, met meer dan vijftien risico’s. De risico’s worden tevens niet gekwantificeerd.
Bouwnijverheid
Grontmij benoemt in het jaarverslag vijf risico’s en maakt geen onderscheid in de bovengenoemde categorieën. Ballast Nedam benoemt maar liefst twintig risico’s in het jaarverslag en maakt hierbij onderscheid in de volgende categorieën: strategisch, operationeel, financieel en overige/specifieke risico's.
Industrie
De ondernemingen in de branche industrie benoemt gemiddeld tien risico’s in het jaarverslag. Accell Group benoemt acht risico’s in het jaarverslag en maakt hierbij onderscheid in de volgende categorieën: strategisch, operationeel, financieel, compliance en financiële verslaggeving. Wessanen benoemt in totaal negentien risico’s in het jaarverslag en maakt hierbij onderscheid in de categorieën: strategisch, operationeel, financieel en compliance. Risico’s in verband met beloningsstructuur
In de toelichting op best practice bepaling II.1.4 van de Code Frijns wordt vermeld dat de beloningsstructuur van bestuurders en werknemers een operationeel risico kan opleveren. De kredietcrisis heeft aangetoond dat er sprake is van significante risico’s die grotendeels zijn onderbelicht. In het onderzoek van Mertens en Blij (2008) worden ondernemingen daarom opgeroepen om aandacht te besteden aan de risico’s die verbonden zijn aan het beloningsbeleid.
In de risicoparagraaf van de onderzochte Nederlandse beursfondsen is geen enkele onderneming die aandacht schenkt aan de risico’s met betrekking tot de beloningsstructuur. Risk appetite
In de toelichting op best practice bepaling II.1.4 van de Code Frijns wordt aanbevolen dat de vennootschap in de beschrijving aandacht besteedt aan haar risicoprofiel: de houding ten opzichte van de genoemde risico’s (risk appetite) en, voor zover mogelijk, de gevoeligheid van de vennootschap voor verwezenlijking van de risico’s.
Slechts vier ondernemingen verstrekken informatie over de risicobereidheid (risk appetite), waarvan één onderneming in de branche Informatie en communicatie (Exact Holding), Industrie (Kendrion), Bouwnijverheid (BAM Groep) en Vervoer en opslag (Vopak). Deze ondernemingen hebben een apart kopje in de risicoparagraaf opgenomen met betrekking tot risk appetite.
Kwantificering van risico’s
In de toelichting op best practice bepaling II.1.4 van de Code Frijns wordt aanbevolen dat een kwantificering van de beschreven risico’s onder omstandigheden een positief effect kan hebben op de informatieve waarde van de beschrijving.
De beschrijving van de voornaamste risico’s sluit aan op de in artikel 391 lid 2 van het Burgerlijk Wetboek voorgeschreven ‘risicoparagraaf’ en op de beschrijving van de wezenlijke risico’s in het kader van artikel 5:25c Wft.
Geen enkele onderneming heeft de risico’s gekwantificeerd in de risicoparagraaf. Daarnaast wordt er nauwelijks informatie verstrekt over de omvang van de risico’s in termen van impact op het resultaat en het eigen vermogen. Tevens wordt er bij geen enkele onderneming informatie verstrekt over de kans dat deze risico’s zich voordoen.
4.3 Verslaglegging over risicomanagementsystemen
Van de onderzochte ondernemingen verstrekt 93% informatie in hun risicoparagraaf over de opzet en werking van de interne risicobeheersings- en controlesystemen met betrekking tot de voornaamste risico’s in het verslagjaar. In 80% van de gevallen wordt in de beschrijving van de systemen ook verwezen naar het werk van de interne accountant/internal auditor. Bij 20% van de onderzochte ondernemingen is geen internal auditor aanwezig. In deze gevallen dient de auditcommissie of de Raad van Commissarissen elk jaar te beoordelen of er behoefte is aan een dergelijke internal auditor, dit betreft het comply of explain principe. Kleinere beursfondsen, waaronder vijf AScX ondernemingen, hebben geen internal auditor.
Indien er een internal auditor aanwezig is, wordt er veelvuldig verwezen naar het werk van de externe accountant (85%).
Bij 85% van de onderzochte ondernemingen wordt informatie verstrekt over de resultaten van de periodiek te verrichten evaluatie door de Raad van Bestuur van de opzet en werking van het interne risicobeheersing- en controlesysteem. Bij 90% van de onderzochte ondernemingen zijn de evaluatie uitkomsten besproken met de Raad van Commissarissen of Audit Commissie.
Het meest gehanteerde raamwerk is die van COSO. Van de onderzochte ondernemingen hebben vijftien ondernemingen naar het COSO raamwerk verwezen.
Bouwnijverheid
Alle ondernemingen in deze branche geven in het jaarverslag een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen met betrekking tot de voornaamste risico’s in het verslagjaar (II.1.4 b). Er wordt tevens in de beschrijving van de systemen verwezen naar het werk van de internal auditor. Alleen Heijmans doet dit niet, omdat hier geen internal auditor aanwezig is.
Indien er een internal auditor aanwezig is, wordt er veelvuldig verwezen naar het werk van de externe accountant (80%).
In 83% van de onderzochte ondernemingen wordt informatie verstrekt over de resultaten van de periodiek te verrichten evaluatie door de Raad van Bestuur van de opzet en werking van het interne risicobeheersing- en controlesysteem. De evaluatie uitkomsten worden tevens besproken met de Raad van Commissarissen of Audit Commissie.
Industrie
In 88% van de onderzochte ondernemingen in de branche industrie geven in het jaarverslag een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen met betrekking tot de voornaamste risico’s in het verslagjaar (II.1.4 b).
In 76% van de gevallen wordt in de beschrijving van de systemen verwezen naar het werk van de internal auditor. Bij de overige 24% is geen internal auditor aanwezig.
Bij alle ondernemingen in deze branche wordt in de beschrijving van de systemen ook verwezen naar het werk van de controlerende accountant.
In 88% van de onderzochte ondernemingen wordt informatie verstrekt over de resultaten van de periodiek te verrichten evaluatie door de Raad van Bestuur van de opzet en werking van het interne risicobeheersing- en controlesysteem. Kendrion en Nedap doen dit niet. De evaluatie uitkomsten worden tevens besproken met de Raad van Commissarissen of Audit Commissie.
4.4 In Control Statement
De risicoparagraaf sluit af met een In Control statement van het bestuur. Dit is vanaf het boekjaar 2004 verplicht. In best practice bepaling II.1.4 is bepaald dat het bestuur in het jaarverslag verklaart dat de risicobeheersingssystemen adequaat en effectief zijn. Het bestuur dient te rapporteren over de werking van de systemen. Hierbij wordt het gehanteerde risicomanagementsysteem bedoeld. In de praktijk geeft de toepassing van deze bepaling veel problemen. Veel ondernemingen zijn nog niet zover. Een In control statement moet volgens de Code een duidelijke onderbouwing bevatten. Het beheersen van de ondernemingsrisico’s is de kerntaak van het bestuur van de onderneming. De Corporate Governance discussies gaan tot op heden hoofdzakelijk over de beloningen van bestuurders. Er is veel minder aandacht voor de kwaliteit van verslaglegging over risicomanagement en de juiste invulling van Corporate Governance.
Redelijke mate van zekerheid
Uit het onderzoek blijkt dat 93% van de onderzochte beursfondsen expliciet verklaart dat de risicomanagementsystemen een redelijke mate van zekerheid geven en dat de financiële verslaggeving geen onjuistheden van materieel belang bevatten. In 78% van de onderzochte beursfondsen wordt verklaard dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt.
Bouwnijverheid
Alle ondernemingen in deze branche verklaren dat de risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven en dat de financiële verslaggeving geen onjuistheden van materieel belang bevat. Vervolgens verklaren de ondernemingen, op Ballast Nedam na, dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt.
Industrie
In 88% van de onderzochte ondernemingen in deze branche wordt verklaard dat de risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven en dat de financiële verslaggeving geen onjuistheden van materieel belang bevat. In 76% van de onderzochte ondernemingen wordt verklaard dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt.
Forward looking statement
In Nederland werd in 2005 door de Monitoring Commissie aanbevolen om een forward looking statement af te geven in het jaarverslag. Het bestuur verklaart dat er geen indicaties zijn dat de risicomanagementsystemen in het lopende boekjaar niet naar behoren zullen werken. De verklaring is gericht op de toekomst. In de Code Frijns is dit onderdeel vervallen, toch is het van belang om na te gaan in hoeverre dit nog wordt gedaan.
Uit het onderzoek blijkt dat 41% van de onderzochte beursfondsen een forward looking statement in de risicoparagraaf hebben opgenomen. Hierbij wordt verklaard dat er geen indicaties zijn dat de risicobeheersings- en controlesystemen in het lopende jaar niet naar behoren zullen werken.
Bouwnijverheid
Het blijkt dat BAM Groep als enige een forward looking statement heeft opgenomen. Hierbij verklaart het bestuur dat er geen indicaties zijn dat de risicobeheersings- en controlesystemen in het lopende jaar niet naar behoren zullen werken.
Industrie
Het blijkt dat 53% van de onderzochte ondernemingen verklaart dat er geen indicaties zijn dat de risicobeheersings- en controlesystemen in het lopende jaar niet naar behoren zullen werken.
Best practice bepaling
Van de onderzochte beursfondsen heeft 29% een expliciete verwijzing naar best practice bepaling II.1.5 opgenomen in de risicoparagraaf.
4.5 Bestuurdersverklaring
De bestuurdersverklaring uit hoofde van de Wft wordt door alle onderzochte ondernemingen nageleefd. De bestuurdersverklaring benadrukt de verantwoordelijkheid van het bestuur voor de beschrijving van de wezenlijke risico’s. Deze verklaring heeft een positieve invloed op de kwaliteit van de risicoparagraaf (Koninklijk NIVRA, 2010).
5. Conclusie
In dit hoofdstuk zullen de conclusies van het onderzoek worden besproken. Vervolgens worden beperkingen van het onderzoek toegelicht en suggesties gedaan voor vervolgonderzoek.
5.1 Conclusie hoofdvraag
In de vorige hoofdstukken is antwoord gegeven op de eerste vier deelvragen. In dit hoofdstuk wordt de centrale hoofdvraag van deze scriptie “In hoeverre is er een significant verschil in
de risicoparagraaf van het jaarverslag 2012 tussen verschillende branches?” beantwoord. In
hoofdstuk 4 zijn de resultaten van het empirisch onderzoek gepresenteerd. Op basis van deze resultaten kunnen de volgende conclusies worden gepresenteerd:
Verslaglegging over risico’s
Er kan worden geconcludeerd dat in de risicoparagraaf van alle ondernemingen een overzicht is opgenomen van de voornaamste risico’s gerelateerd aan de strategie van de onderneming (Bpb II.1.4 a). Wat opvalt, is de hoge score voor verslaggeving over operationele en financiële risico’s. Risico’s over wet- en regelgeving en financiële verslaggeving zijn minder vaak gepresenteerd. Een reden hiervoor zou kunnen zijn dat ondernemingen vinden dat wet- en regelgeving en financiële verslaggevingsrisico’s minder relevant zijn.
Er is gebleken dat 88% van de onderzochte ondernemingen meer dan vijf risico’s benoemen in het jaarverslag. Het blijkt dat alle ondernemingen in de branche Groot- en detailhandel, Industrie, Overige dienstverlening en Vervoer en opslag meer dan vijf risico’s benoemt in het jaarverslag, gevolgd door Bouwnijverheid (83%), Informatie en communicatie (78%), Gezondheids- en welzijnszorg (67%) en Logies-, maaltijd- en drankverstrekking (0%). Uit de analyse blijkt dat er geen inzicht wordt verschaft in de belangrijkste risico’s van de onderneming. Er is gebleken dat er een opsomming van de risico’s is weergegeven, waarbij de volgorde van de genoemde risico’s niets zegt over de mate van belangrijkheid. Als gevolg van de toename in de hoeveelheid verstrekte informatie over de verschillende risico’s in de risicoparagraaf, ontstaat het gevaar dat de risicoparagraaf een opsomming van een lange lijst met risico’s wordt. Het wordt voor de gebruiker van het jaarverslag lastiger om een inschatting te maken van de belangrijkste risico’s van de onderneming.
Uit de analyse is gebleken dat geen enkele onderneming aandacht heeft geschonken aan de risico’s met betrekking tot de beloningsstructuur. Slechts vier ondernemingen hebben informatie verstrekt over de risk appetite. De risk appetite dient nog verder te worden ingeburgerd in de Nederlandse verslaggeving. Dit geldt tevens voor de kwantificering van risico’s in de risicoparagraaf. Er wordt nauwelijks informatie verstrekt over de omvang van de risico’s in termen van impact op het resultaat en het eigen vermogen. Tevens wordt er bij geen enkele onderneming informatie verstrekt over de kans dat deze risico’s zich voordoet. Hieruit kan worden geconcludeerd dat er op dit punt nog veel ruimte is voor verbetering.
Op basis van de resultaten kan niet worden geconcludeerd dat bij risicovolle branches, bouwnijverheid en industrie, de verslaggeving over risico’s uitgebreider is dan bij minder risicovolle branches. Er kan worden geconcludeerd dat er sprake is van grote diversiteit in verslaggeving omtrent risico’s. Er is namelijk een groot verschil in de mate van beschrijving van risico’s en het aantal risico’s tussen de ondernemingen. Er zijn geen grote verschillen geconstateerd tussen verschillende branches.
Verslaglegging over risicomanagementsystemen
Uit de analyse is gebleken dat 93% van de onderzochte ondernemingen informatie heeft verstrekt omtrent de opzet en werking van de interne risicobeheersings- en controlesystemen. Van de onderzochte ondernemingen heeft 85% in de beschrijving van de systemen verwezen naar het werk van de externe accountant en 80% heeft verwezen naar het werk van de interne accountant. Hieruit kan worden geconcludeerd dat de kwaliteit van informatie verschilt. Een andere conclusie die kan worden genomen is dat bij 85% van de onderzochte ondernemingen informatie is over een periodieke evaluatie en waarbij de uitkomsten zijn besproken. Er kan worden geconcludeerd dat door de verstrekking van deze uitkomsten de informatieasymmetrie wordt verkleind tussen de aandeelhouders en het bestuur.
Het meest gehanteerde raamwerk is die van COSO. Van de onderzochte ondernemingen hebben vijftien ondernemingen naar het COSO raamwerk verwezen.
Er kan worden geconcludeerd dat er sprake is van grote diversiteit in verslaggeving omtrent risicomanagementsystemen. Er is namelijk een groot verschil in de mate van beschrijving van risicomanagement systemen tussen de ondernemingen. Er zijn geen grote verschillen geconstateerd tussen verschillende branches. Op basis van de resultaten kan niet worden geconcludeerd dat bij risicovolle branches, bouwnijverheid en industrie, de verslaggeving over risicomanagement systemen uitgebreider is dan bij minder risicovolle branches.
In Control Statement
Uit het onderzoek kan worden geconcludeerd dat 93% van de onderzochte beursfondsen expliciet hebben verklaard dat de risicomanagementsystemen een redelijke mate van zekerheid geven en dat de financiële verslaggeving geen onjuistheden van materieel belang bevatten. In 78% van de onderzochte beursfondsen wordt verklaard dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt.
Uit de analyse is gebleken dat 41% van de onderzochte beursfondsen een forward looking statement in de risicoparagraaf hebben opgenomen. Hierbij wordt verklaard dat er geen