Verschil in risicomanagement rapportage tussen beursgenoteerde ondernemingen die wel en die niet aan de SOX-verplichting hoeven voldoen

Bij hypothese 2 zal evenals bij de eerste hypothese, de toetsing op de 3 verschillende onderdelen worden uitgevoerd. Eerst zal moeten worden gecontroleerd worden welke toets moet worden toegepast. Uit de onderstaande grafieken blijkt dat er geen sprake is van een normale verdeling.

Grafiek 5A Niet SOX-verplicht SOX 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Rapp el ement en 20 10 0 Grafiek 5B Wel SOX-verplicht SOX 2 2 2 2 2 2 2 2 2 2 2 2 R app elementen 20 18 16 14 12 10 8 6 4 2 0

Vanwege het ontbreken van een normale verdeling moet niet-parametrisch getoetst worden, dit betekend dat bij deze hypothese de Mann-Whitney-toets wordt toegepast.

Bij de eerste afhankelijke variabele gerapporteerde elementen geldt:

- H0: SOX-verplichte ondernemingen risicomanagement rapportage = risicomanagement rapportage van niet-SOX-verplichte ondernemingen.

- H1: risicomanagement rapportage SOX-verplichte ondernemingen > risicomanagement rapportage van niet- SOX-verplichte ondernemingen.

Ranks 32 19,86 635,50 12 29,54 354,50 44 SOX Niet Wel Total Voldoen aan SOX

N Mean Rank Sum of Ranks

Test Statistics^b 107,500 635,500 -2,244 ,025 ,025^a Mann-Whitney U Wilcoxon W Z

Asymp. Sig. (2-tailed) Exact Sig. [2*(1-tailed Sig.)]

TOTOND1

Not corrected for ties. a.

Grouping Variable: SOX b.

Met Z-waarde –2,24 en significantie 0,013 (1-zijdig: 0,025 / 2) kan met α=0,05 de nulhypothese worden verworpen en de alternatieve hypothese worden aangenomen.

Bij de tweede afhankelijke variabele categorie in control verklaring geldt:

- H0: SOX verplichte ondernemingen rapportage ic-verklaring = niet SOX-verplichte ondernemingen rapportage ic-verklaring.

- H1: SOX-verplichte ondernemingen rapportage ic-verklaring > niet SOX-verplichte ondernemingen rapportage ic-verklaring.

Ranks 32 20,05 641,50 12 29,04 348,50 44 SOX Niet Wel Total Voldoen aan SOX

N Mean Rank Sum of Ranks

Test Statistics^b 113,500 641,500 -2,216 ,027 ,037^a Mann-Whitney U Wilcoxon W Z

Asymp. Sig. (2-tailed) Exact Sig. [2*(1-tailed Sig.)]

TOTOND2

Not corrected for ties. a.

Grouping Variable: SOX b.

Met een Z-waarde –2,22 en significantie 0,019 (1-zijdig: 0,037 / 2) kan met α=0,05 de nulhypothese worden verworpen en de alternatieve hypothese worden aangenomen.

De laatste afhankelijke variabele is aantal woorden besteed aan risicomanagement. - H0: SOX-verplichte ondernemingen rapportage van het aantal woorden

risicomanagement = rapportage aantal woorden risicomanagement door niet SOX-verplichte ondernemingen.

- H1: rapportage aantal woorden risicomanagement SOX-verplichte ondernemingen > rapportage aantal woorden risicomanagement door niet SOX-verplichte ondernemingen.

Ranks 32 23,00 736,00 12 21,17 254,00 44 SOX Niet Wel Total Voldoen aan SOX

Test Statisticsb 176,000 254,000 -,422 ,673 ,687^a Mann-Whitney U Wilcoxon W Z

Asymp. Sig. (2-tailed) Exact Sig. [2*(1-tailed Sig.)]

TOTOND3

Not corrected for ties. a.

Grouping Variable: SOX b.

Met een Z-waarde van –,42 en een significantie van 0,35 (1-zijdig: 0,687 / 2) kan met een α=0,05 de nulhypothese worden bevestigd. Dit valt ook uit de ranking waarbij ondernemingen die niet aan SOX hoeven voldoen (23) een hogere ranking hebben dan ondernemingen die wel aan SOX moeten voldoen (21,17) af te leiden.

De gevolgen van de uitgevoerde toetsing van de hypotheses zal ik in de conclusie nader behandelen.

Hoofdstuk 6 Conclusies

In dit hoofdstuk wordt de centrale onderzoeksvraag beantwoord. Door middel van de antwoorden op de deelvragen en de data-analyse ben ik in staat om een gedegen onderbouwd antwoord op de centrale vraag te geven. Voordat ik de centrale onderzoeksvraag beantwoordt, geef ik in

samengevatte vorm de antwoorden op de deelvragen weer.

De centrale onderzoeksvraag was als volgt geformuleerd:

“Wat wordt in het boekjaar 2005 door Nederlandse beursgenoteerde ondernemingen over risicomanagement in het jaarverslag gerapporteerd?”

De bijbehorende deelvragen en antwoorden waren als volgt geformuleerd:

1. Wat wordt onder risicomanagement verstaan en hoe kunnen bedrijven hier invulling aangeven?

Risicomanagement is een proces van het onderkennen van te lopen risico’s en de bewuste keuze om er al dan niet iets aan te gaan doen. Risicomanagement betekent echter niet dat activiteiten van een onderneming exact zo lopen als gepland, maar wel dat ten aanzien van de ondernemingsdoelstellingen tijdige evaluatie en bijsturing plaatsvindt.

Voor de uitvoering van een geïntegreerd, ondernemingsbreed, alle risico’s omvattend Enterprise risk management moet een team van deskundigen gevormd worden, die ieder voor zich

uitgesproken deskundig zijn op de risicogebieden van hun primaire verantwoordelijkheid. Nadere invulling aan risicomanagement zal ondermeer door middel van het COSO ERM-framework.

2. Welke invulling geeft “COSO Enterprise Riskmangement Framework” aan risicomanagement?

Door COSO is een raamwerk gepresenteerd aan de hand waarvan organisaties hun eigen interne beheersingssysteem kunnen inrichten en beoordelen. Dit ERM-framework biedt een organisatie de mogelijkheid pro-actief te reageren op veranderende omstandigheden. Door het vroegtijdig signaleren van mogelijke gebeurtenissen en daaruit voortvloeiende risico’s is de organisatie in

staat tijdig actie te nemen en het systeem van interne beheersmaatregelen op adequate wijze aan te passen.

3. Over welke onderwerpen in het kader van risicomanagement moeten ondernemingen in hun jaarverslag volgens de Code-Tabaksblat rapporteren?

De Code Tabaksblat schrijft voor dat ondernemingen moeten zorgen voor een goede inrichting en permanente bewaking van de goede werking van de interne risicobeheersings- en controlesystemen. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar en geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken.

Naast de in-control verklaring dienen ondernemingen met betrekking tot risicomanagement in de risicoparagraaf ook bedrijfsrisico’s te omschrijven en per risicosoort aangegeven welke systemen en processen worden gebruikt om die te beheersen.

4. Welke risicomanagement elementen worden door AEX-genoteerde ondernemingen en AscX-genoteerde ondernemingen in het jaarverslag opgenomen?

Gemiddelde genomen kan worden gesteld dat ondernemingen over het algemeen veel elementen van risicomanagement in hun jaarverslag hebben gerapporteerd. Zoals door de bepalingen van de Code Tabaksblat wordt geëist, wordt de in-control verklaring vrijwel altijd volledig

gerapporteerd. Door ondernemingen worden vaak elementen (meestal riskassesment of

monitoring) van COSO genoemd maar wordt geen mededeling gedaan dat de onderneming het gehele framework toepast. De duidelijke invulling van de verschillende elementen die onderdeel van het risicomanagement systeem uit maken worden evenals de concrete werking gedurende het jaar minder vaak worden gerapporteerd. Deze constatering sluit aan bij eerder onderzoek

(Koolstra, Groot, 2006), waarin werd aangegeven dat de verschillende rapportage van bedrijven te wijten is aan het ontbreken van harde normen op het gebied van risicomanagement rapportage.

Het antwoord op deelvraag 4 vormt het eerste gedeelte van het antwoord op de centrale vraag. Daarnaast kan door middel van de gestelde hypotheses het antwoord op de centrale vraag worden gecomplementeerd.

Door paragraaf 4.2.2 “Toetsing hypothesen” ben ik in staat om beter gefundeerde uitspraken over de gehele populatie te doen. De 3 verschillende afhankelijke variabelen waarop ik de hypothesen heb getoetst kunnen in tabelvorm als volgt worden samengevat:

Elementen Categorie Woorden Hypothese 1 H0: Verworpen H0: Verworpen H0: Bevestigd