Risicoprofiel

Het risicoprofiel van de ondernemingen bestaat uit 12 informatie-elementen. Deze 12 elementen zijn in hoofdstuk 7 geïdentificeerd als waardevol binnen het risicoverslag. Opvallend is de hoge variëteit binnen risicoverslaggeving, bijna geen risicoverslag is hetzelfde. De hoge variëteit is in overeenstemming met eerder onderzoek (Linsley en Shrives, 2006; Mertens en Blij, 2010). Sommige ondernemingen geven heel kort informatie over de belangrijkste risico’s, andere beschrijven uitvoerig elke risico, inclusief de algemene risico’s. Jaarverslagen uit de Verenigde Staten zijn anders ingedeeld dan de Nederlandse en Britse jaarverslagen. Ze zijn volgens een vast stramien, het eerder genoemde 10K formulier. Hierdoor zijn de Amerikaanse jaarverslagen onderling goed met elkaar te vergelijken, maar verschillen ze veel van de Europese opzet. Het is daarmee ook niet verwonderlijk dat de kwaliteit van risicoverslaggeving bij Amerikaanse bedrijven dichter bij elkaar ligt (zie hoofdstuk 8.2.5).

In de literatuur en vanuit de gebruikers van het jaarverslag ligt recentelijk veel aandacht bij de risicohouding van de onderneming. Beleggers achten het één van de sleutelelementen in het risicoverslag. In de steekproef is echter maar één keer in een jaarverslag de risicohouding vermeld (Unit 4 Agresso). Dit betekent dat de overige ondernemingen in het risicoverslag hier geen aandacht aan hebben besteed.

Bij 93% van de ondernemingen worden de voornaamste risico’s beschreven. Wel is hierbij opvallend dat 64% van de ondernemingen meer dan 10 risico’s benoemt en beschrijft. Vooral bij de verslaggeving in de Verenigde Staten is het aantal risico’s bijna onuitputtelijk. Er worden daarom ook zeer veel algemene risico’s beschreven (in 100% van de gevallen). Dit aantal is een stuk minder bij Nederlandse (9%) en Britse (17%) ondernemingen. Een overzicht van deze cijfers vindt u in tabel 17. In het risicoverslag worden de risico’s in 30% van de gevallen per categorie ingedeeld en beschreven. Opvallend is dat het gemiddelde bij de Nederlandse ondernemingen veel hoger ligt (91%). Daarnaast worden risico’s zelden schematisch weergegeven, slechts in 13% van de gevallen is er een schematisch overzicht.

Tabel 17: Informatie-elementen risico profiel.

8.2.2.1 Risico’s

Het beschrijven van risico’s is onderdeel van het risicoprofiel van de onderneming. Om van de beschrijving een beter beeld te krijgen, ga ik dieper in op verschillende informatie-elementen die bij het beschrijven van de risico’s hoort. Allereerst is het aantal beschreven risico’s van belang. In de vorige paragraaf zag u al dat veel ondernemingen meer dan 10 risico’s beschrijven. In totaal zijn er in de gehele steekproef 769 risico’s gedefinieerd in het risicoverslag. Het aantal risico’s per risicoverslag varieert tussen de 2 en de 59, met een gemiddelde van 17 risico’s, zoals aangegeven in tabel 19. Van het totaal aantal risico’s is 35% (n=267) een ondernemingsrisico, 41% (n=319) een operationeel risico, 10% (n=76) een wet en regelgeving risico en 14% (n=107) een financieel risico (tabel 18). Eerder onderzoek suggereert dat financiële risico’s de meeste genoemde risico’s zijn (Michiels e.a., 2009). Echter, dat komt in dit onderzoek niet naar voren.

Daarnaast zijn de financiële risico’s in veel gevallen niet al te groot en worden deze risico’s naar aanleiding van IFRS 7 ook al beschreven (en gekwantificeerd) in de toelichting. Dit heeft tot gevolg dat de informatie of letterlijk wordt herhaald of zeer kort wordt aangestipt. Het risicoverslag van Qurius NV is een goed voorbeeld van het letterlijk herhalen van financiële risico’s in het bestuursverslag ten opzichte van de toelichting (p. 23 en p. 64). Daarnaast ziet u hieronder een voorbeeld van een beschrijving van een kredietrisico in het risicoverslag van NedSense Enterprises NV (p. 47).

“• Currency risk: Currency risk for NedSense concerns mainly US dollar and Euro exchange rate fluctuations. No currency contracts have been closed to cover currency fluctuations.”

En vervolgens in de toelichting (p.83):

primarily the U.S. dollar. In respect of other monetary assets and liabilities held in currencies other than the euro, the Group ensures that the net exposure is kept to an acceptable level, by buying or selling foreign currencies at spot rates where necessary to address short-term imbalances. The Group has not entered into forward exchange contracts hedging forecasted transactions.”

De vraag rest dan waarom een onderneming deze informatie op deze wijze opneemt. Het is in eerste instantie al niet veelzeggend en in tweede instantie al beschreven in de toelichting. Het antwoord ligt naar mijn mening bij twee oorzaken. De eerste oorzaak is de adviesrapporten van beroepsorganisaties en academici (zie H 6.1), die beschrijven dat alle risicocategorieën beschreven moeten worden en dat het niet volstaat om te refereren naar risico’s in andere delen van het verslag. Ten tweede concludeer ik dat de onderneming niet goed raad weet met de regelgeving voor risicoverslaggeving, mede doordat er geen uitgebreide richtlijnen bestaan ter invulling van de regelgeving. De kern in risicoverslaggeving is het rapporteren van de voornaamste risico’s. Ter verduidelijking, in de Nederlandse CG code (BP II 1.4) is aangegeven dat het bestuur de voornaamste risico’s in verband met de strategie van de onderneming rapporteert. Wanneer de strategie voor een onderneming dan geen uitgebreide marktdiversificatie bevat met veel verschillende valuta’s in landen met hoge fluctuaties, lijkt het melden over valuta risico’s redelijk overbodig.

Bij bijna alle 769 risico’s wordt een beschrijving gegeven van het risico (98%). In de beschrijving wordt de kans (0%), impact (20%), kwantificatie van het risico (13%) en beheersingsmaatregel (27%) een stuk minder gecommuniceerd, zoals u in tabel 20 kan zien. Zoals verwacht, wordt deze informatie bij financiële risico’s het meest gerapporteerd. Financiële informatie is makkelijker te berekenen, kwantificeren en te beheersen. Daarnaast moeten veel ondernemingen naar aanleiding van IFRS 7 deze risico’s al in de toelichting beschrijven en wordt dit, zoals eerder beschreven, in het risicoverslag overgenomen.

Het is opvallend, dat veel bedrijven de risico’s in een bepaalde volgorde beschrijven. Ze beginnen veelal met strategische of ondernemingsrisico’s, beschrijven vervolgens operationele risico’s en sluiten af met wet- en regelgeving en financiële risico’s. In de 10K rapportages zijn de economische risico’s niet erg bedrijfsspecifiek en erg eentonig. Daarnaast wordt er bijna nooit aangegeven welke maatregelen worden genomen om in te spelen op de economische conditie (voorbeeld bij Cisco p.16,

Dell p.11). Een veel terugkomend risico in de categorie wet- en regelgeving, is de mogelijke verandering in het belastingtarief. Een verandering in zo’n tarief zal invloed hebben op elke onderneming en zal door investeerders ook zo worden beoordeeld. Het noemen van dit risico geeft naar mijn mening weinig toegevoegde waarde (voorbeeld Cisco p. 26, CSC p.10, EMC corp. p.15, Dell p.16, HP p.26).

Tabel 20: Informatie-elementen van risico’s.

Van de risico’s die geïdentificeerd zijn in hoofdstuk 7.2, worden het aantrekken van goed en gekwalificeerd personeel (HR) en concurrentie het vaakst benoemd. In 70% van de jaarverslagen worden deze risico’s genoemd als een bedreiging voor de doelstellingen. Daarna worden marktontwikkeling en innovatie en ontwikkeling in respectievelijk 59% en 54% van de onderzochte jaarverslagen genoemd en beschreven. Opvallend is dat capaciteitsbeheer, waarvan aangenomen kan worden dat het een zekere relatie heeft met het personeelsbestand, maar in slecht 4% van de risicoverslagen wordt genoemd. Daarnaast wordt in de Britse verslagen het debiteurenrisico geen enkele keer benoemd (0%). Een overzicht vindt u in tabel 21.