- wet- en regelgeving: interne en externe risico’s die voortvloeien uit de veranderende
wetgeving. Deze wetgeving heeft invloed op de bedrijfsprocessen en de organisatie. Naast de beschrijving dient ook de beheersing van de risico’s te worden toegelicht. Risico’s die vaker voorkomen en grotere financiële gevolgen hebben, dienen uitgebreider te worden beschreven. Dit allen samen komt de informatievoorziening ten goede.
Specifieke richtlijnen RJ voor Toegelaten instellingen volkshuisvesting
Deze richtlijnen richten zich met name op waarderingsgrondslagen die verplicht moeten worden toegepast bij de waardering van onroerende zaken. Ook geven deze richtlijnen o.a. aan wanneer voorzieningen moeten worden opgenomen in de balans. Er staan geen specifieke richtlijnen vermeld die betrekking hebben op de risico’s/ verslaggeving.
2.3.1.3 Conclusie wet- en regelgeving
De belangrijkste risico’s op gebied van strategie, operationele, financieel en wet- en regelgeving moeten worden beschreven in het jaarverslag. Ook moet worden toegelicht in het jaarverslag hoe deze risico’s beheerst worden. Deze wetgeving wordt later meegenomen bij het ontwikkelen van de index.
2.3.2 Risicomanagement en de relatie met corporate governance
De Nederlandse Corporate Governance Code schrijft voor dat er voor interne risico’s een intern risicobeheersings- en controlesysteem aanwezig moet zijn. De Code Tabaksblat schrijft voor dat “het bestuur in het jaarverslag verklaart dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn” (Emanuels et al, 2005). De externe risico’s moeten o.a. door het bestuur worden gerapporteerd in het jaarverslag Er moet toegelicht worden in hoeverre de risico’s van invloed zijn op de resultaten (De Groot, 2006). Principe II.I.4 beschreven in paragraaf 2.1.5.2 en paragraaf 2.1.5.3 geven weer wat de code voorschrijft omtrent risicomanagement en wat de rol is van de RvC.
Op basis van het onderzoek van Asaf (2004) wordt in de Nederlandse Corporate Governance Code onderscheidt gemaakt in de volgende risico’s:
- “operationele risico’s: risico’s die de operationele continuïteit van de ondernemingsactiviteiten kunnen bedreigen;
- financiële risico’s: risico’s die de financiële continuïteit van de vennootschap kunnen bedreigen;
- overige risico’s: bijvoorbeeld het mislukken van een reclamecampagne of veranderingen in de voorkeuren van consumenten of het gedrag van concurrenten” (De Groot, 2006).
De risico’s kunnen zowel door interne als externe factoren ontstaan. Een voorbeeld van een interne factor is het falen van een computersysteem. Een voorbeeld van een externe factor is een schommeling in de wisselkoers. Het bestuur is, zoals eerder is aangegeven in paragraaf 2.1.5.1 verantwoordelijk voor risicomanagement en risicoverslaggeving. Er moet aan de Raad van Commissarissen gerapporteerd worden over de werking van het risicomanagementsysteem en de interne risicobeheersingssystemen.
Het interne risicobeheersingssysteem moet volgens de Nederlandse Corporate Governance Code in ieder geval bestaan uit: “risicoanalyses, een gedragscode op de website van de vennootschap, een handleiding voor de inrichting van de financiële verslaggeving en een systeem van monitoring en rapportering” (De Groot, 2006). In de code staat niet uitgelegd hoe het risicomanagementsysteem precies moet worden ingericht, “het is aan de onderneming zelf om hier een nadere invulling aan te geven” (De Groot, 2006).
30 2.3.3 Risicomanagement modellen
In paragaaf 2.3.1. en 2.3.2. is beschreven wat de wet- en regelgeving voorschrijft over risicoverslaggeving. De governancecode geeft aan dat de voornaamste risico’s moet worden gerapporteerd en dat de onderneming zelf invulling moet geven aan de rapportage over een risicomanagementsysteem. De meest gebruikte modellen uit eerdere onderzoeken, voor het beheersen en vaststellen van risico’s zijn: het COSO Enterprise Risk Management-Integrated framework en Enterprise Risk Management Systeem van Emanuels (2005). Beasley (2005) gebruikt in zijn onderzoek het COSO model als uitgangspunt, om te onderzoeken welke factoren van invloed zijn op de implementatie van het Enterprise Risk Management. Enterprise Risk Management is volgens Emanuels (2005) het volgende: “Het systeem dat het management in staat stelt om de relevante risico’s, die het behalen van de doelstellingen van de organisatie bedreigen, te kunnen identificeren, te prioriteren, te analyseren en te beheersen” (Emanuels, 2005). Er is gekozen voor het COSO model, omdat dit wereldwijd een veelgebruikt risicomodel is. Een andere reden voor het opnemen van het COSO model in dit onderzoek is het onderzoek van Houwelings & Degens (2005). De Nederlandse corporate governance code schrijft geen specifiek systeem voor, voor interne beheersing. Dit geldt ook voor de Governancecode Woningcorporaties. Houweling en Degens (2005) geven aan dat de Nederlandse Corporate Governance Code het COSO-model aanbeveelt, maar niet verplicht stelt. Het voordeel van het COSO model ten opzichte van traditionele risicomodellen is dat het model zowel rekening houdt met strategie, operations, rapportage en wetgeving. “De risico’s worden vanuit al deze perspectieven samen benaderd en niet in een afzonderlijk perspectief bij traditionele risicomanagement modellen (Paape, 2012).” Het ERM model is meegenomen, omdat dit model de eenvoudigere weergave is van het COSO model. Het ERM model van Emanuels wordt ook vaak toegepast in de gezondheidszorg, zoals blijkt uit het onderzoek van Swagerman & Snapper (2007).
Zowel zorginstellingen als woningcorporaties hebben te maken met een snel veranderende omgeving en daarom verwacht ik dat het ERM model van Emanuels ook goed toepasbaar is binnen de woningbouwsector. De uitgangspunten van deze modellen worden opgenomen in het ontwikkelen van een disclosure index om een oordeel te geven over de kwaliteit van risicoverslaggeving.
2.3.3.1 COSO Enterprise Risk Management-Integrated framework.
Een veel gebruikt model voor het beheersen van risico’s is het COSO Enterprise Risk Management-Integrated framework. COSO staat voor Committee of Sponsoring Organizations of the Treadway. De doelstellingen van de organisatie zijn gericht op de strategie, operations (de bedrijfsprocessen) reporting (rapportage) en compliance (wet- en regelgeving).
31
Figuur 2.4: COSO ERM Model (COSO, 2004)
Het model beschrijft de volgende componenten om de risico’s te beheersen:
- internal environment: wordt beïnvloed door de geschiedenis van een bedrijf en de cultuur. Het betreft de toon van het management (managementfilosofie), de waarden en normen, hoe ze denken over risicomanagement en hoe dit wordt overgedragen aan de medewerkers. Ook de competenties en de ontwikkelingen van het personeel zijn van invloed;
- object setting: betreft het vaststellen van de doelstellingen die betrekking hebben op de missie, visie en doelstellingen van de organisatie. De strategische doelen geven aan hoe de aandeelhouderswaarde wordt gecreëerd;
- event identification: het vaststellen van factoren die het halen van de doelstellingen in de weg kunnen staan. Een gebeurtenis wordt gedefinieerd als “een incident of voorval die uitgaat van interne of externe bronnen die de implementatie van de strategie of het verwezenlijken van de doelen raken” (COSO, 2004). De externe factoren zijn o.a.: de economie, de natuurlijke omgeving, de politiek en de technologische ontwikkelingen om de kosten van bijvoorbeeld de infrastructuur te verlagen. De interne factoren zijn o.a.: de infrastructuur, het personeel, het proces en de technologie gericht op frauduleuze transacties;
- risk assessment: de bepaling van de impact en kans dat een risico zich voordoet;
- risk response: de reactie op de risico’s. Het risico wordt vermeden, geaccepteerd, verminderd of gedeeld.
- control activities: “beleid en procedures die het management verzekeren dat de risk response zorgvuldig wordt uitgevoerd” (COSO, 2004)
Enkele voorbeelden zijn: autorisaties, prestaties beoordelingen, beveiligen van bezittingen en het scheiden van taken, verantwoordelijkheden en bevoegdheden;
- information & communication: informatie is van cruciaal belang. Er dient duidelijk gecommuniceerd te worden over de risico’s en procedures. Medewerkers moeten weten wat hun rol is binnen het ERM systeem en hoe hun werk verbonden is met het werk van collega’s. Ook gaat het hierbij om de communicatie met externe partijen, zoals de leveranciers en de overheid;
- monitoring: het monitoren van het gehele proces en het wijzigen indien dit nodig is. Een ERM systeem is erop gericht om zelf continue te monitoren, daarnaast zijn er nog afzonderlijke evaluaties nodig om een goede werking te waarborgen.
32 Het COSO model kan ten slotte per dochteronderneming, business unit, divisie en per afdeling en worden toegepast. Op deze manier wordt het beheersen van de risico’s voor de verschillende managementlagen in de organisatie specifiek uitgewerkt.
2.3.3.2 Enterprise Risk Management systeem
Het Enterprise Risk Management systeem is “het systeem dat het management in staat stelt om de relevante risico’s, die het behalen van de doelstellingen van de organisatie bedreigen, te kunnen identificeren, te prioriteren, te analyseren en te beheersen” (Emanuels, 2005)
Figuur 2.5: Het ERM systeem (Emanuels & Munnik, 2006)
Het bovenstaande figuur geeft aan dat het ERM systeem zich richt op de volgende doelstellingen:
- “strategisch: gericht op de missie;
- operationeel: de effectieve en efficiënte inzet van middelen; - rapportage: de betrouwbaarheid van de informatievoorziening;
- compliance: in overeenstemming met de wet- en regelgeving.” (Emanuels, 2006). Dit komt overeen met het COSO model wat hiervoor is beschreven.
De eerste stap in het ERM proces is het formuleren van de te beheersen doelstellingen.
Vanuit de visie en missie worden de operationele, rapportage en compliance doelstellingen bepaald (tweede stap). Ook wel de key performance indicators genoemd. Vervolgens worden de risico’s vastgesteld. Een risico is “de kans op het optreden van een gebeurtenis of omstandigheid die ertoe kan leiden dat een doelstelling niet gehaald wordt (Committee of Sponsoring Organizations of the Treadway Commission, 2004), (Emanuels, 2006). Er wordt een inschatting gemaakt van de kans dat een gebeurtenis zich voordat en de impact van de gebeurtenis op het behalen van de doelstelling.(Emanuels, 2006).
De derde stap is het nemen van maatregelen. Een maatregel vermindert de kans op het voordoen van een bepaald risico. Een voorbeeld van een dergelijk besluit is het afstoten van een deelneming (Emanuels, 2006).
De laatste stap bestaat uit het bewaken en bijsturen. Het is van belang dat het ERM proces continue opnieuw wordt doorlopen, omdat de risico’s waaraan een onderneming wordt blootgesteld, continue kunnen veranderen (Emanuels, 2006). Emanuels heeft het COSO model als uitgangspunt gebruikt voor zijn ERM systeem.
33 2.3.3.3 Conclusie ERM model en COSO model
Beide modellen maken een onderscheid tussen strategische, operationele, rapportage en compliance doelstellingen binnen de organisatie. Het ERM systeem is wat compacter opgezet dan het COSO model en bestaat uit het formuleren van de te beheersen doelstellingen.
ERM model Soortgelijke stappen in het COSO model Het formuleren van de doelstellingen Objective setting
Vaststellen risico’s Event identification Inschatting kans x impact Risk assessment Het nemen van maatregelen Risk response
Bewaken en bijsturen Monitoring
Tabel 2.2: ERM model versus COSO model
Het verschil tussen het ERM en COSO model is dat het COSO model nog uitgebreider is. Vooraf aan het formuleren van de doelstellingen vindt het vaststellen van de internal environment plaats. Daarnaast volgen na de maatregelen de control activities en information & communication. In dit onderzoek is gekozen het COSO, als het ERM model mee genomen bij het ontwikkelen van de index, omdat het COSO model aanbevolen wordt door de Nederlandse Corporate Governancecode.