1
Amsterdam IT-Audit Programme
“De invloed van de Raad van Commissarissen op de mate van
‘voluntary disclosure’ aangaande IT risico’s en controls”
Auteur:
Alexi Michas RA
Studentnummer:
5630304
E-mail:
aleximichas@hotmail.com
Onderwijsinstelling:
Universiteit van Amsterdam
Opleiding:
Amsterdam IT-Audit Programme
Scriptiebegeleider:
Drs. Marcel Fikke RA RE CISA CISSP
2
Voorwoord
Deze scriptie is geschreven ter afsluiting van de Amsterdam IT-Audit Programme aan de Universiteit van Amsterdam. Centraal in dit onderzoek staat de disclosure van IT gerelateerde risico’s en control. Dit onderwerp heeft mijn interesse gewekt aangezien dit type informatie een alsmaar belangrijker onderdeel vormt van de totale informatievoorziening gericht aan de stakeholder. Van belang is om te onderzoeken welke factoren van een organisatie invloed hebben op de mate van disclosure van IT gerelateerde risico’s en controls.
Het schrijven van deze scriptie heb ik ervaren als een zeer uitdagend en een leerrijk proces. Hierbij wil ik mijn scriptiebegeleider, de heer M.T. Fikke RA RE CISA CISSP, bedanken voor zijn inzet en feedback. Dit heeft ertoe geleid dat mijn scriptie een doordacht en afgewogen document is geworden dat voor u ligt.
3
Samenvatting
Informatie omtrent IT risico’s en controls van organisaties wordt alsmaar belangrijker voor de
stakeholder. The World Economic Forum (2015), laat zien dat de kans en impact van IT gerelateerde risico’s hoger is in 2015 in vergelijking met 2014. Van Slingerland (2015) heeft aangetoond dat een hogere mate van disclosure van IT gerelateerde risico’s en controls heeft plaatsgevonden in 2014 in vergelijking met 2009.
De toenemende belangstelling en het daarmee gepaard gaande toenemende aanbod van informatie van IT gerelateerde risico’s en controls, vormt een aanleiding om te onderzoeken welke factoren van een organisatie op dit toenemende aanbod betrekking hebben. In het onderzoek is een relatie gelegd tussen de karakteristieken van de Raad van Commissarissen (onafhankelijkheid, vergaderfrequentie, aantal leden, ‘busyness’ en aanwezigheid van de auditcommissie) en de mate van disclosure van IT gerelateerde risico’s en controls.
Het onderzoek richt zich op Nederlandse beursgenoteerde organisaties, genoteerd aan de AEX, AMX en AScX in 2015. De mate van disclosure van IT gerelateerde risico’s en controls is gemeten vanuit de jaarverslagen 2015 door middel van de ‘Voluntary Disclosure Index’ (zie bijlage 1).
Het onderzoek toont aan dat sprake is van een significante positieve relatie tussen de mate van disclosure van IT risico’s en controls, voor de indexen als geheel (AEX, AMX en AScX), en de volgende karakteristieken van de Raad van Commissarissen: aantal leden, de aanwezigheid van de auditcommissie en ‘busyness’ van de Raad van Commissarissen. Daarnaast is aangetoond dat bij organisaties genoteerd aan de AScX sprake is van een significante positieve relatie tussen de mate van disclosure van IT risico’s en controls en de aanwezigheid van de auditcommissie.
De uitkomsten van het onderzoek laten zien dat de Raad van Commissarissen invloed heeft op de mate van disclosure van IT gerelateerde risico’s en controls. Gezien de invloed die de Raad van Commissarissen hierop heeft, is het te adviseren om één of meerdere commissarissen met een IT-audit achtergrond, onderdeel uit te laten maken van de Raad van Commissarissen. Wegens de kennis en achtergrond van deze commissarissen, kan de disclosure van IT gerelateerde risico’s en controls meer worden afgestemd op de informatiebehoefte van de stakeholders.
4
Inhoudsopgave
1. Inleiding... 5 1.1 Aanleiding ... 5 1.2 Probleemstelling en onderzoeksvragen ... 6 1.3 Werkwijze en onderzoeksmethode ... 6 1.4 Opbouw scriptie ... 7 1.5 Conclusie ... 8 2. Theoretisch kader ... 9 2.1 Inleiding ... 92.2 Vereisten omtrent disclosure van risico’s en controls ... 9
2.3 Raamwerken voor disclosure van risico’s en controls ... 10
2.4 Rapporteren op basis van voluntary disclosure ... 11
2.5 Meten van voluntary disclosure van IT risico’s en controls ... 12
2.6 Karakteristieken van de Raad van Commissarissen ... 13
2.7 Conclusie ... 15 3. Onderzoeksmethodologie ... 16 3.1 Inleiding ... 16 3.2 Hypothesen ... 16 3.3 Controlevariabelen ... 16 3.4 Conclusie ... 20 4. Analyse... 21 4.1 Inleiding ... 21 4.2 Beschrijvende statistiek... 21 4.3 Correlatiematrix ... 25 4.4 Onderzoeksresultaten ... 29 4.5 Conclusie ... 32 5. Conclusie en discussie ... 33 5.1 Inleiding ... 33 5.2 Conclusie ... 33 5.3 Discussie ... 34 Literatuurlijst ... 36
Bijlage 1: Voluntary Disclosure Index ... 39
5
1. Inleiding
1.1 Aanleiding
In dit onderzoek wordt gezocht naar een correlatie tussen de karakteristieken van de Raad van Commissarissen en de mate van het vrijwillig publiceren (hierna te noemen: voluntary disclosure) van IT risico’s en controls door Nederlandse beursgenoteerde ondernemingen.
‘The World Economic Forum’ heeft het rapport ‘Global Risks 2015’ gepubliceerd, waarin bestuurders en academici inzicht geven in de grootste risico’s voor organisaties wereldwijd (World Economic Forum, 2015). In de ‘top 10 Global Risks in terms of likelihood and impact’, zijn drie risico’s IT-gerelateerd. Hiervoor geldt dat de risico’s: ‘cyber attacks’ en ‘critical information infrastructure
breakdown’, in kans en impact zijn toegenomen ten opzicht van 2014. Het risico ten aanzien van ‘data fraud or theft’, is enkel in kans toegenomen. Een verhoging in kans en impact van deze risico’s, leidt tot meer bewustwording van de stakeholders. Van Slingerland (2015) heeft aangetoond dat
Nederlandse beursgenoteerde ondernemingen, over boekjaar 2014 significant meer hebben
gerapporteerd inzake IT gerelateerde risico’s en controls, ten opzicht van boekjaar 2009. Dit laat zien dat het aanbod in informatie omtrent IT risico’s en controls is toegenomen. Het toenemende aanbod is het gevolg van de toename in vraag van informatie omtrent IT risico’s en controls door de
stakeholders.
Volgens Deumes en Knechel (2008) kan een organisatie meer economische voordelen behalen indien informatie op vrijwillige basis wordt gepubliceerd, dan wanneer sprake is van verplichte disclosure. Het onderzoek richt zicht op voluntary disclosure in het algemeen en niet specifiek op IT risico’s en controls. Voluntary disclosure wordt gezien als het type informatie dat een betere
afspiegeling vormt van de organisatie en accurater is dan verplichte disclosure. Mohamad en Ibrahim (2012) tonen aan dat voluntary dosclosure van internal controls (niet specifiek IT controls) een
positieve impact hebben op de performance van de organisatie. Dit toont aan dat voluntary disclosure van toegevoegde waarde is voor de stakeholders.
De waarde van voluntary disclosure in combinatie met de toenemende vraag van stakeholders naar informatie aangaande IT risico’s en controls, vormt een aanleiding om te onderzoeken welke factoren invloed hebben op de mate van voluntary disclosure aangaande IT risico’s en controls. Owusu-Ansah en Ganguli (2010) tonen aan dat er een verband bestaat tussen de karakteristieken van de Raad van Commissarissen en de mate van voluntary disclosure van internal controls (non-IT controls) van organisaties in de Verenigde Staten. Er is geen onderzoek gedaan of een dergelijke relatie bestaat ten aanzien van IT risico’s en controls voor Nederlandse beursgenoteerde organisaties.
De Raad van Commissarissen heeft tot taak toezicht te houden op het beleid van het bestuur en op de algemene gang van zaken in de vennootschap en de met haar verbonden onderneming en staat het bestuur met raad ter zijde (De Nederlandse Corporate Governance Code 2008). Gezien de
6
toenemende vraag van stakeholders naar informatie aangaande IT risico’s en controls, is het relevant om te onderzoeken of de karakteristieken van de Raad van Commissarissen invloed hebben op de mate van voluntary disclosure aangaande IT risico’s en controls. Indien dit verband aangetoond wordt, kan effectief worden gestuurd op de karakteristieken van de Raad van Commissarissen zodat mogelijk meer informatie omtrent IT risico’s en control wordt gepubliceerd. Wanneer de Raad van Commissarissen invloed heeft op de mate van disclosure van IT gerelateerde risico’s en controls, is het te adviseren dat één of meerdere commissarissen met een IT-audit achtergrond, onderdeel uit dienen te maken van de Raad van Commissarissen. Op deze wijze kan de disclosure meer worden aangesloten op de informatiebehoefte van de stakeholders.
Onder de karakteristieken van de Raad van Commissarissen wordt in dit onderzoek het volgende verstaan: onafhankelijkheid, vergaderfrequentie, aantal leden, ‘busyness’ en de aanwezigheid van een auditcommissie. Een nadere toelichting van deze karakteristieken is opgenomen in paragraaf 2.6.
1.2 Probleemstelling en onderzoeksvragen
Doordat de mogelijkheid bestaat dat een effectief toezicht van de Raad van Commissarissen kan bijdragen aan een hogere mate van voluntary discosure, is de volgende probleemstelling
gedefinieerd:
Hebben de karakteristieken van de Raad van Commissarissen invloed op de mate van ‘voluntary disclosure’ ten aanzien van IT gerelateerde risico’s en controls van Nederlandse beursgenoteerde organisaties in 2015?
Teneinde antwoord te kunnen geven op de probleemstelling, zijn de volgende onderzoeksvragen geformuleerd:
1. Wat zijn de disclosure-vereisten in Nederland ten aanzien van IT gerelateerde risico’s en controls?
2. Welke raamwerken worden gebruikt voor disclosure van IT gerelateerde risico’s en controls? 3. In welke mate heeft in 2015, disclosure van IT gerelateerde risico’s en controls
plaatsgevonden?
4. Welke karakteristieken van de Raad van Commissarissen hebben invloed op de mate van disclosure van IT gerelateerde risico’s en controls?
1.3 Werkwijze en onderzoeksmethode
Onderzoeksmethode
Voor de beantwoording van de probleemstelling en bijbehorende onderzoeksvragen, wordt data verzameld en geanalyseerd afkomstig uit de jaarverslagen 2015 van Nederlandse beurgenoteerde
7
ondernemingen (AEX, AMX en AScX). Dit betreffen de 75 grootste organisaties van Nederland en deze vormen de totale populatie waarop het onderzoek is gericht. De verwachting is dat grote organisaties meer informatie publiceren dan kleinere organisaties, aangezien zij meer middelen tot hun beschikking hebben om informatie te publiceren (Jensen en Meckling 1976) en (Archambaul, 2003).
De afhankelijke variabele in het onderzoek betreft de mate van disclosure van IT risico’s en controls. Hierbij wordt gebruik gemaakt van de ‘Voluntary Disclosure Index’ (hierna VDI genoemd) (Van Slingerland 2015), waarbij een score wordt berekend over de disclosure van de volgende onderwerpen: IT Strategy, Risk Assessment en Control Activities.
Na het vaststellen van de mate van disclosure van IT risico’s en controls, wordt op basis van een regressieanalyse een relatie gelegd met de karakteristieken van de Raad van Commissarissen. In het theoretisch kader wordt nader toegelicht welke karakteristieken van de Raad van Commissarissen, meegenomen worden in het onderzoek.
Beperkingen van het onderzoek
Er is geen eenduidige manier om vast te stellen wat de mate is van disclosure aangaande IT risico’s en controls. De voluntary disclosure index, die wordt gebruikt in dit onderzoek, geeft een score aan die betrekking heeft op een aantal categorieën. Het is mogelijk om een bepaalde categorie zwaarder mee te wegen in de totale score dan de andere categorie. Hetzelfde geldt voor het meten van de karakteristieken van de Raad van Commissarissen. Ook hier zijn verschillende mogelijkheden om bijvoorbeeld de onafhankelijkheid en de ‘busyness’ te meten (een nadere toelichting van deze karakteristieken is opgenomen in paragraaf 2.6). Het bepalen van de wijze van meten is subjectief van aard. Hierdoor kan een andere manier van meten, mogelijk leiden tot een andere uitkomst van het onderzoek.
1.4 Opbouw scriptie
In het theoretische kader wordt uiteengezet, wat de vereisten zijn ten aanzien van disclosure in Nederland van (IT) risico’s en controls (onderzoeksvraag 1). Vervolgens wordt nader beschreven wat de prikkels zijn van organisaties ten behoeve van voluntary disclosure van IT risico’s en controls. Tevens wordt aandacht besteed aan de wijze waarop organisaties IT risico’s en controls rapporteren en welke normenkaders hiervoor worden gebruikt (onderzoeksvraag 2). Daarnaast wordt op basis van de Nederlandse Corporate Governance Code (2008), beschreven wat de verantwoordelijkheden van de Raad van Commissarissen zijn in het houden van toezicht op de organisatie.
Na het theoretisch kader wordt de onderzoeksmethodologie nader uitgewerkt. Hierin wordt beschreven op welke wijze de data wordt vergaard en hoe de ‘Voluntary Disclosure Index’ is
8
onderzoek. De uitkomsten worden vervolgens geanalyseerd waarna in de conclusie antwoord wordt gegeven op de gestelde hypothesen en de centrale vraag (onderzoeksvragen 3 en 4).
1.5 Conclusie
De aanleiding en probleemstelling van het onderzoek is in dit hoofdstuk beschreven, waarna is ingegaan op de bijbehorende deelvragen. Daarnaast is aangegeven wat de relevantie is voor het onderzoek. In het volgende hoofdstuk wordt hiervoor genoemde onderbouwd met literatuur, waarna op basis van het praktijkonderzoek antwoord wordt gegeven op de probleemstelling.
9
2. Theoretisch kader
2.1 Inleiding
In dit hoofdstuk wordt eerst ingegaan op de vereisten omtrent disclosure van risico’s en controls. Vervolgens worden de verschillende raamwerken beschreven die gebruikt worden voor dit type disclosure. Naast de vereisten kan de organisatie ervoor kiezen om vrijwillig disclosure toe te passen.
Om de mate van disclosure te meten wordt gebruik gemaakt van een Voluntary Disclosure Index, waarna de mate van disclosure van een organisatie gekwantificeerd is. Tot slot wordt bepaald welke karakteristieken van de Raad van Commissarissen meegenomen worden in het onderzoek.
2.2 Vereisten omtrent disclosure van risico’s en controls
Volgens artikel 2:391 lid 1 BW (Burgerlijk Wetboek Boek 2, 2015) dient het jaarverslag een beschrijving te geven van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd. Deze bepaling geldt voor alle rechtspersonen inclusief beursgenoteerde ondernemingen. Betreffende artikel is van toepassing op de populatie van het onderzoek (voor de populatie zie bijlage 2).
Vanuit RJ 400 (Raad van de Jaarverslaggeving, 2015) worden vereisten genoemd ten aanzien van het rapporteren over risico’s. Hierbij dient de rechtspersoon een beschrijving van de voornaamste risico’s en onzekerheden te geven, waarmee de rechtspersoon wordt geconfronteerd. Het gaat om het geven van een uiteenzetting van de belangrijkste risico’s en onzekerheden waar de
rechtspersoon mee te maken heeft. RJ400 geeft aan dat bij de identificatie van selectie van de voornaamste risico’s en onzekerheden in ieder geval de volgende categorieën van belang zijn:
Strategie: hieronder vallen risico’s en onzekerheden, vaak met een externe
oriëntatie/ontstaansgrond, die een belemmering vormen om de strategie van de rechtspersoon te realiseren.
Operationele activiteiten: Dit zijn risico’s en onzekerheden die de effectiviteit en efficiëntie van de operationele activiteiten van de rechtspersoon beïnvloeden.
Financiële positie: Hieronder kunnen koersrisico’s, liquiditeitsrisico’s, valutarisico’s,
renterisico’s en onzekerheden worden verstaan.
Financiële verslaggeving: Hieronder vallen risico’s en onzekerheden die van invloed zijn op
de betrouwbaarheid van de interne en externe financiële verslaggeving.
Wet- en regelgeving: Dit zijn risico’s en onzekerheden die voortvloeien uit wetten en regels.
Daarnaast dient de rechtspersoon een beschrijving op hoofdlijnen te geven van de bereidheid risico’s en onzekerheden al dan niet af te dekken (risk appetite) (Raad van de Jaarverslaggeving, 2015). De mate van risicobereidheid is een leidraad voor het al dan niet nemen van maatregelen ter beheersing
10
van risico’s en onzekerheden. Daarnaast dient de rechtspersoon de volgende informatie te verschaffen:
Een beschrijving van de maatregelen die zijn getroffen ter beheersing van de voornaamste risico’s en onzekerheden, zo mogelijk met een kwalitatieve beschrijving van de verwachte effectiviteit van de genomen maatregelen.
Een beschrijving van de verwachte ‘impact’ op de resultaten en/of financiële positie indien één of meer van de voornaamste risico’s en onzekerheden zich zouden voordoen, zo mogelijk gebaseerd op gevoeligheidsanalyses.
Een beschrijving van de risico’s en onzekerheden die in het afgelopen boekjaar een belangrijke ‘impact’ op de rechtspersoon hebben gehad, en de gevolgen daarvan voor de rechtspersoon; en - of, en zo ja welke, verbeteringen in het systeem van risicomanagement van de rechtspersoon zijn of worden aangebracht.
Naast de Raad voor de Jaarverslaggeving, heeft tevens de Nederlandse Corporate Governance Code (2008), bepalingen opgenomen die toezien op het publiceren van informatie omtrent risico’s en controls. Aangezien dit onderzoek betrekking heeft op jaarverslagen 2015 van Nederlandse
beursgenoteerde organisaties, wordt gebruik gemaakt van de Nederlandse Corporate Governance Code 2008 (en niet de herziene Code 2016). Het bestuur geeft volgens best practice bepaling II.1.4 (De Nederlandse Corporate Governace Code 2008):
Een beschrijving van de voornaamste risico’s gerelateerd aan de strategie van de vennootschap
Een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen met betrekking tot de voornaamste risico’s in het boekjaar.
Een beschrijving van eventuele belangrijke tekortkomingen in de interne risicobeheersings- en controlesystemen die in het boekjaar zijn geconstateerd, welke eventuele significante wijzigingen in die systemen zijn aangebracht, welke eventuele belangrijke verbeteringen van die systemen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken.
Er zijn geen specifieke vereisten genoemd in de wet-en regelgeving die toezien op IT risico’s en controls. Bovengenoemde bepalingen hebben betrekking op risico’s en controls in het algemeen, waar IT risico’s en controls onderdeel van uitmaken.
2.3 Raamwerken voor disclosure van risico’s en controls
Volgens best practice bepaling II.1.4 lid b (De Nederlandse Corporate Governace Code 2008) dient het bestuur in de beschrijving van de opzet en werking van de interne risicobeheersings- en
controlesystemen aan te geven welk raamwerk of normenkader (bijvoorbeeld het COSO raamwerk voor interne beheersing) is gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem. Hierbij benoemt de Nederlandse Corporate Governace Code (2008) specifiek het
11
“Committee of Sponsering Organizations” raamwerk (hierna COSO genoemd) als voorbeeld.
Veel Nederlandse beursgenoteerde ondernemingen gebruiken het COSO raamwerk. In het referaat van Paape (2008) wordt een beschouwing gegeven over de waarde van het begrip ‘in control’, waarbij hij aangeeft dat het door COSO ontwikkelde model tot de norm is verklaard. Om een oordeel te vormen omtrent de effectieve werking van de interne beheersingsmaatregelen van een organisatie, is het COSO model de standaard geworden. Er zijn nauwelijks Corporate Governance rapporten te vinden die er niet naar verwijzen. Tevens bestaat er een raamwerk gericht op meer specifieke doeleinden: Control Objectives for Information and Related Technology (hierna COBIT genoemd). Dit betreft een raamwerk, ontwikkeld door ISACA, voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving.
Financiële ondernemingen waarop artikel 3:17 van de ‘Wet Financieel Toezicht en de Pensioenwet’ van toepassing is, dienen op basis van lid 1, hun bedrijfsvoering zodanig in te richten dat deze een beheerste en integere bedrijfsuitoefening waarborgt. Voor het waarborgen van de beveiliging van informatie heeft DNB een raamwerk opgesteld die uit een selectie van 54 COBIT controls bestaat. Hierbij dient een organisatie voor alle maatregelen te voldoen aan een volwassenheidsniveau van minimaal 3. In 2014 is het toetsingskader geactualiseerd en geldt voor drie maatregelen uit de categorie "Assess and manage (IT) risks" per 1 juni 2015 een minimaal volwassenheidsniveau van 4 (De Nederlandse Bank, 2015).
Gezien de uitkomsten van deze paragraaf is de verwachting dat de organisaties die betrekking hebben op dit onderzoek, hun IT gerelateerde risico’s en controls rapporteren volgens COSO en of COBIT.
2.4 Rapporteren op basis van voluntary disclosure
De agency theorie beschrijft de effecten van de scheiding tussen de leiding (agent) en het eigendom (principaal) binnen de organisatie. Hierbij betreft de leiding van de organisatie het management en het eigendom de aandeelhouders. De aandeelhouders (principaal) delegeren het werk aan het management (agent). De scheiding tussen leiding en eigendom, zorgt voor een tegengesteld belang (Berle & Means, 1932). De aandeelhouder is gebaat bij maximalisatie van de ondernemingswaarde, in de vorm van aandeelprijs en/of winst. De agent is gedreven door variabele beloningen waarvan de omvang afhankelijk is van de ondernemingsprestatie. Zimmerman (2006) veronderstelt dat
werknemers, managers en aandeelhouders rationeel handelen om hun eigen voordeel te maximaliseren. Het gevolg hiervan is dat de agent niet altijd handelt vanuit het belang van de principaal. Dit wordt het agency probleem genoemd.
Door een juiste set van mechanismen te hanteren, die de gedragingen van de agent kunnen beïnvloeden, waarbij hij handelt uit zowel zijn eigen belang alsook in het belang van de principaal,
12
kan het agencyprobleem worden verkleind. Echter kan het agencyprobleem niet geheel opgelost worden, aangezien sprake is van informatie-asymmetrie. De agent heeft een informatievoorsprong ten opzichte van de principaal, waardoor hij de ruimte krijgt om in strijd met het belang van de principaal te handelen.
Akerlof (1970) noemt het probleem van informatie-asymmetrie ook wel het “lemon problem”. Wanneer een klant de kwaliteit van bijvoorbeeld een auto niet kan inschatten, dan is hij bereid om een
gemiddelde prijs te betalen voor de auto. Deze prijs is aantrekkelijker voor de autoverkoper wanneer hij weet dat deze auto mankementen vertoont, dan wanneer de auto in goede conditie is (Akerlof, 1970). Een soortgelijke situatie kan optreden tussen de agent en de principaal. Wanneer de principaal niet kan bepalen of de organisatie een ‘goede’ of ‘slechte’ investering is, dan waardeert hij de
organisatie op basis van een gemiddelde waarde.
Het verstrekken van voluntary disclosure, kan de principaal (of andere stakeholders) meer inzicht geven in de waarde van de organisatie. Vanuit het oogpunt van de stakeholder kan de waarde van de organisatie hierdoor stijgen. Voluntary dosclosure zorgt voor efficiëntere allocatie van kapitaal en reduceert de gemiddelde kapitaalkosten voor de organisatie (Financial Accounting Standards Board, 2011). Volgens Deumes en Knechel (2008) kan een organisatie meer economische voordelen behalen indien informatie op vrijwillige basis wordt gepubliceerd, dan wanneer sprake is van verplichte disclosure. Voluntary disclosure wordt gezien als het type informatie dat een betere afspiegeling vormt van de organisatie en accurater is dan verplichte disclosure.
2.5 Meten van voluntary disclosure van IT risico’s en controls
Om de mate van voluntary disclosure aangaande IT gerelateerde risico’s en controls vast te stellen, wordt gebruikt gemaakt van het “Voluntary Disclosure Index” (Slingerland 2015) (hierna genoemd: VDI). Deze checklist is opgesteld op basis van de risico management principles van COSO en COBIT. Tevens is gebruik gemaakt de vereisten ten aanzien van de Nederlandse wetgeving. De checklist is opgenomen in bijlage 1 en is onderverdeeld naar de volgende elementen: IT Strategy, Risk Assessment en Control Activity.
De mate van voluntary disclosure kan worden weergegeven als: ongewogen gemiddelde en gewogen gemiddelde (Cooke, 1989). Bij het toepassen van een ongewogen gemiddelde is een bepaalde mate van subjectiviteit vereist. Dit impliceert dat de uitkomst onderhevig is aan de oordeelsvorming van de onderzoeker. Voor dit onderzoek wordt het gewogen gemiddelde gehanteerd waardoor iedere item van de checklist, gelijkwaardig wordt beoordeeld en niet onderhevig is aan subjectiviteit (Cooke, 1989), (Omar, 2011). Hierbij wordt een score van 1 toegekend wanneer het betreffende item is gerapporteerd in het jaarverslag en een score van 0 indien er geen sprake van rapportering. De checklist bestaat uit 20 items, waarbij een maximale score van 20 en een minimale score van 0 van toepassing is. Hoe hoger de uitkomst, des te hoger is de mate van voluntary disclosure aangaande IT
13
gerelateerde risico’s en controls.
2.6 Karakteristieken van de Raad van Commissarissen
Volgens de Nederlandse Corporate Governance Code (Commissie Corporate Governance, 2008) principe III.1, heeft de raad van commissarissen als taak om toezicht te houden op het beleid van het bestuur en op de algemene gang van zaken in de vennootschap en de met haar verbonden
ondernemingen en het bestuur met raad ter zijde te staan.
De Nederlandse Corporate Governance Code is ingevoerd op 1 januari 2004. Deze code vormt een gedagscode voor Nederlandse beursgenoteerde ondernemingen met als doel: een verbeterde transparantie in de jaarrekening, een versterking van bescherming en zeggenschap van de aandeelhouders en betere verantwoording van het bestuur en de raad van commissarissen.
Gelet op de Nederlandse Corporate Governance Code en de toenemende vraag naar informatie omtrent IT risico’s en controls door de stakeholders (zie hiervoor paragraaf 1.1), is de verwachting dat de Raad van Commissarissen effectief toezicht houdt op de mate van disclosure van IT gerelateerde risico’s en controls. Teneinde dit meetbaar te maken worden de relevante karakteristieken van de Raad van Commissarissen meegenomen in dit onderzoek.
Er zijn diverse studies uitgevoerd naar de relatie van de karakteristieken van de Raad van
Commissarissen en de mate van disclosure van risico’s en controls (niet IT gerelateerd). Teneinde een goed beeld te krijgen van de karakteristieken die mogelijk invloed hebben op de mate van disclosure van IT risico’s en controls, heeft de literatuurstudie zich uitgebreid naar tevens andere onderwerpen (bijvoorbeeld resultaatsturing) in relatie tot de karakteristieken. Daarnaast geeft ook de Nederlandse Corporate Governance Code, richting aan mogelijke relevante karakteristieken. Het resultaat van deze literatuurstudie, is om een overzicht te hebben van karakteristieken van de Raad van Commissarissen, die mogelijk invloed hebben op de mate van disclosure van IT risico’s en controls. De artikelen opgenomen in de volgende paragrafen, laten zien dat een verband mogelijk is tussen de karakteristieken van de Raad van Commissarissen en de mate van disclosure van IT gerelateerde risico’s en controls.
Onafhankelijkheid
Over de karakteristieken van de Raad van Commissarissen zijn in de Nederlandse Corporate Governance Code, verschillende ‘principes’ en ‘best practice’ bepalingen opgenomen. Best practice bepaling III.2.2. stelt dat een commissaris als onafhankelijk wordt beschouwd indien aan een aantal onafhankelijkheidscriteria is voldaan. Xu-dong Ji et al. (2015) toont aan dat een positieve relatie bestaat tussen het rapporteren van tekortkomingen in de interne beheersing en de onafhankelijkheid van de Raad van Commissarissen.
14
Vergaderfrequentie
Vervolgens kan ook de vergaderfrequentie van de Raad van Commissarissen impact hebben op de effectiviteit van het toezicht. Onderzoek van Yang en Krishnan (2005) en Xie et al. (2003) tonen aan dat wanneer de vergaderfrequentie toeneemt, de Raad van Commissarissen effectiever zijn in het opsporen van resultaatsturing. Eenzelfde correlatie kan bestaan ten aanzien van de mate van disclosure aangaande IT gerelateerde risico’s en controls. Hua-Ying, (2010) laat zien dat een
positieve relatie bestaat tussen de vergaderfrequentie van de Raad van Commissarissen en de mate van disclosure ten aanzien van de interne beheersing.
Aantal leden
Uit onderzoeken van Xie et al. (2003) en Rahman & Ali (2006) blijkt dat een negatieve relatie bestaat tussen de omvang van de Raad van Commissarissen en de mate van resultaatsturing. Een grotere omvang van het aantal commissarissen leidt tot mogelijk meer commissarissen met de benodigde expertise, waardoor effectiever toezicht wordt gehouden op de organisatie.
Busyness
De ‘busyness’ van de Raad van Commissarissen kan tevens invloed hebben op het effectieve toezicht. ‘Busyness’ geeft aan hoe druk een commissaris het heeft. Dit wordt uitgedrukt in het aantal commissariaten, waarin de commissaris deelneemt. Beasly (1996) toon aan dat de kans op
jaarrekeningfraude kleiner wordt indien de leden van de Raad van Commissarissen aan minder commissariaten deelnemen. Sun et al. (2014) laat zien dat een commissaris minder effectief toezicht houdt, wanneer hij deelneemt aan meer commissariaten. De ‘busyness’ van commissarissen kan hierdoor invloed hebben op de mate van disclosure van IT-gerelateerde risico’s en controls. Aanwezigheid auditcommittee
Teneinde goed toezicht te kunnen houden is het van belang dat een commissaris beschikt over een bepaalde specifieke deskundigheid die noodzakelijk is voor het vervullen van zijn taak. De
samenstelling van de Raad van Commissarissen vormt hierdoor een belangrijk onderdeel van het toezicht. Volgens principe III.5 (Commissie Corporate Governance, 2008) worden de drie
kerncommissies opgesteld indien de Raad van Commissarissen meer dan vier leden omvat. Dit betreffen de volgende kerncommissies: auditcommissie, remuneratiecommissie en de selectie- en benoemingscommissie. De auditcommissie wordt meegenomen in dit onderzoek. Reden hiervoor is dat de overige twee kerncommissies zich niet specifiek richten op het toezicht aangaande het
rapporteren van risico’s en controls. Echter is de Raad van Commissarissen nog steeds in zijn geheel verantwoordelijk voor het toezicht op de organisatie. Onderzoek van Yuan (2013) toont aan dat de aanwezigheid van de auditcommissie, leidt tot het eerder publiceren van de informatie ten aanzien van internal controls.
15
Conclusie
Uit het literatuuronderzoek is gebleken dat de hiervoor genoemde karakteristieken veelvuldig zijn toegepast in onderzoeken die toezien op het meten van de effectiviteit van de Raad van
Commissarissen. Ook is gebleken dat in deze onderzoeken geen andere karakteristieken zijn
meegenomen. De volgende karakteristieken van de Raad van Commissarissen worden meegenomen in het onderzoek:
1. Onafhankelijkheid 2. Vergaderfrequentie 3. Aantal leden 4. Busyness
5. Aanwezigheid van de auditcommissie
In hoofdstuk 3 wordt aangegeven hoe deze karakteristieken meetbaar zijn gemaakt voor het onderzoek.
2.7 Conclusie
In dit hoofdstuk is nader ingegaan op de wet- en regelgeving in Nederland ten aanzien van disclosure van (IT) risico’s en controls en de raamwerken op basis waarvan deze informatie gepubliceerd kan worden. Hierbij geldt dat er wettelijke vereisten zijn die toezien op het publiceren van risico’s en controls in het algemeen. Er zijn geen specifieke vereisten genoemd in de wet-en regelgeving die toezien op IT risico’s en controls. Vanuit de agency theorie is beschreven dat sprake is van
informatie-asymmetrie tussen de agent en principaal waardoor overwegingen kunnen optreden om bepaalde informatie wel of niet te publiceren.
Vanuit de literatuur is aangegeven dat het COSO raamwerk een veelvuldig toegepast model betreft voor disclosure van IT risico’s en controls. Tevens bestaat er een raamwerk gericht op meer specifieke doeleinden: COBIT. Dit betreft een raamwerk voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving.
Het meten van disclosure van IT risico’s en controls, wordt in dit onderzoek uitgevoerd op basis van de VDI. In paragraaf 2.6 zijn de karakteristieken van de Raad van Commissarissen genoemd die nodig zijn voor onderzoeksvraag 4. Betreffende onderzoeksvraag zal beantwoord worden in hoofdstuk 4. Er zal aangetoond worden of de karakteristieken van de Raad van Commissarissen invloed hebben op de mate van disclosure van IT risico’s en controls.
16
3. Onderzoeksmethodologie
3.1 Inleiding
Teneinde de probleemstelling en de bijbehorende onderzoeksvragen te beantwoorden, wordt een analyse uitgevoerd op de verzamelde data afkomstig uit de jaarverslagen 2015 van Nederlandse beurgenoteerde ondernemingen (AEX, AMX en AScX). De totale populatie van het onderzoek betreft 75 organisaties (zie bijlage 2).
Op basis van de VDI (zie bijlage 1) wordt de mate van voluntary disclosure gemeten, ten aanzien van IT gerelateerde risico’s en controls. De uitkomst hiervan betreft de afhankelijke variabele. Door middel van een regressieanalyse wordt vastgesteld of een relatie bestaat tussen de mate van disclosure van IT risico’s en controls en de karakteristieken van de Raad van Commissarissen.
3.2 Hypothesen
In paragraaf 2.6 zijn de karakteristieken van de Raad van Commissarissen beschreven, die meegenomen worden in dit onderzoek. De betreffende karakteristieken worden door middel van hypothesen in verband gebracht met de mate van disclosure van IT gerelateerde risico’s en controls. De mate van onafhankelijkheid van de Raad van Commissarissen is van belang teneinde effectief toezicht te houden. Xu-dong Ji et al. (2015) toont aan dat een positieve relatie bestaat tussen het rapporteren van tekortkomingen in de interne beheersing en de onafhankelijkheid van de Raad van Commissarissen. Daarnaast laten de onderzoeken van Klein (2002) en Kao & Chen (2004) zien dat er een negatief verband bestaat tussen de onafhankelijkheid van de Raad van Commissarissen en de mate van resultaatsturing. Op basis van de genoemde onderzoeken is aangetoond dat de mate van onafhankelijkheid, invloed heeft op de effectiviteit van het toezicht door de Raad van
Commissarissen.
Best practice bepaling III.2.2. geeft aan dat een commissaris als onafhankelijk kan worden aangemerkt indien aan een aantal onafhankelijkheidscriteria is voldaan. De Raad van Commissarissen wordt als onafhankelijk gezien indien maximaal één commissaris niet als onafhankelijk wordt bestempeld. De volgende hypothese is opgesteld:
Hypothese 1: De mate van disclosure aangaande IT risico’s en controls, correleert positief met de
onafhankelijkheid van de Raad van Commissarissen.
Naast de onafhankelijkheid, kan tevens de vergaderfrequentie impact hebben op de mate van disclosure van IT risico’s en controls. Onderzocht is dat organisaties waar de Raad van
Commissarissen frequenter vergadert, zij eerder geneigd zijn om vrijwillig informatie over internal controls te rapporteren (Kalbers & Fogarty, 1993). Vafeas (1999) geeft aan dat vergaderingen van de
17
Raad van Commissarissen, een belangrijk element vormt ten aanzien van het monitoren van financial reporting. Onderzoek van Krishnan & Visvanathan (2007) laten zien, dat een positief verband bestaat tussen het rapporteren van tekortkomingen in de interne beheersing en de vergaderfrequentie van de Raad van Commissarissen. De verwachting is dat de vergaderfrequentie positief correleert met de mate van disclosure van IT risico’s en controls.
Hypothese 2: De mate van disclosure aangaande IT risico’s en controls, correleert positief met de
vergaderfrequentie van de Raad van Commissarissen.
Onderzoeken door Chtourou et al. (2001) en Rahman & Ali (2006) tonen aan dat een negatieve relatie bestaat tussen het aantal leden van de Raad van Commissarissen en de mate van
resultaatsturing. Als verklaring hiervoor kan worden gegeven dat een grotere omvang van de Raad van Commissarissen leidt tot meer commissarissen met de benodigde ervaring. Hierdoor kan effectiever toezicht gehouden worden op de organisatie. Een effectief toezicht kan resulteren in meer disclosure van IT risico’s en controls.
Hypothese 3: De mate van disclosure aangaande IT risico’s en controls, correleert positief met het
aantal leden van de Raad van Commissarissen.
Beasly (1996) toont aan dat de kans op jaarrekeningfraude kleiner wordt indien de leden van de Raad van Commissarissen aan minder commissariaten deelnemen. Reden hiervoor kan zijn dat een commissaris die meerdere commissariaten heeft, drukker is en daardoor minder effectief toezicht houdt op de organisatie. Een minder effectief toezicht kan leiden tot een lagere mate van disclosure van IT risico’s en controls. In dit onderzoek wordt de term ‘busyness’ gehanteerd om de mate van drukte aan te geven van de Raad van Commissarissen.
Hypothese 4: De mate van disclosure aangaande IT risico’s en controls, correleert negatief met de
‘busyness’ van de Raad van Commissarissen.
Beasly (1996) beargumenteert dat het bestaan van een auditcommissie in een organisatie, resulteert in een kwalitatief hogere monitoringsfunctie van de Raad van Commissarissen. Onderzoek van Yuan (2013) toont aan dat de aanwezigheid van de auditcommissie, leidt tot het eerder publiceren van de informatie ten aanzien van internal controls. De volgende hypothese is opgesteld:
Hypothese 5: De mate van disclosure aangaande IT risico’s en controls, correleert positief met de
aanwezigheid van de auditcommissie.
In het onderzoek zal een vergelijking worden gemaakt van de mate van disclosure van IT risico’s en controls tussen de diverse indexen van Euronext. Hierbij wordt een vergelijking gemaakt tussen: Amsterdam Exchange Index (AEX), Amsterdam Midcap Index (AMX) en Amsterdam Small cap Index
18
(AScX). Botosan (1997) en Meek (1995) hebben onderzocht dat organisaties die sterk internationaal zijn georiënteerd, meer informatie vrijwillig publiceren. Grote organisaties zijn sterker internationaal georiënteerd, waardoor de verwachting is dat organisaties genoteerd aan de AEX, een hogere mate van disclosure van IT risico’s en controls hebben.
Hypothese 6: De mate van disclosure aangaande IT risico’s en controls, is hoger voor organisaties
genoteerd aan de AEX, in vergelijking met organisaties genoteerd aan de AMX en AScX.
3.3 Controlevariabelen
Teneinde een relatie te leggen met de mate van disclosure en de karakteristieken van de Raad van Commissarissen, wordt een regressieanalyse uitgevoerd. Hierbij vormt de mate van disclosure aangaande IT risico’s en controls, de afhankelijke variabele. De karakteristieken van de Raad van Commissarissen betreffen de onafhankelijke variabelen.
De onafhankelijkheid (BOARD_INDEP) wordt vastgesteld op basis van de Code Tabaksblad, best practice bepaling III 2.2. In dit onderzoek wordt gebruik gemaakt van een dummyvariabele, waarbij 1 staat voor ‘onafhankelijk conform best practice bepaling III 2.2’ en 0 staat voor ‘niet onafhankelijk conform best practice bepaling III 2.2’. De vergaderfrequentie (BOARD_MEET), betreft het totaal aantal vergaderingen van de Raad van Commissarissen tijdens het boekjaar. De omvang van de Raad van Commissarissen (BOARD_SIZE), wordt bepaald door vast te stellen wat het gemiddelde aantal leden in het boekjaar is geweest, die onderdeel uitmaakten van de Raad van Commissarissen. De ‘busyness’ (BUSY_BOARD) van de Raad van Commissarissen wordt gemeten, door vast te stellen wat de omvang is van het aantal commissariaten waarin iedere commissaris deelneemt. Hierbij wordt gebruik gemaakt van een dummyvariabele, waarbij 1 staat voor ‘busy’ en 0 staat voor ‘niet busy’. Perry & Peyer (2005) hanteren een ondergrens voor het bepalen of wel/geen sprake is van ‘busy’. Hierbij is de Raad van Commissarissen als ‘busy’ aangemerkt, indien minimaal de helft van de commissarissen, deelneemt in drie of meer commissariaten. Dit criterium zal aangehouden worden in het onderzoek. Vervolgens wordt de aanwezigheid van de auditcommissie (AC_EXIST) weergegeven door middel van een dummyvariabele. Hierbij staat 1 voor de aanwezigheid van de auditcommissie en 0 betreft het niet aanwezig zijn van de auditcommissie. Volgens de Nederlandse Corporate Governance Code (2008) best practice bepaling III.5 dienen kerncommissies (bijvoorbeeld de auditcommissie) opgesteld te worden indien de Raad van Commissarissen uit meer dan vier leden bestaat.
Zoals in hypothese 6 is weergegeven, wordt een verschil verwacht in de mate van disclosure tussen de diverse indexen (AEX, AMX en AScX). De relatie tussen de mate van disclosure en de
karakteristieken van de Raad van Commissarissen, kunnen hierdoor mogelijk variëren tussen de diverse indexen. In de uitvoering van het onderzoek zullen hypothese 1 tot en met 5 worden getoetst voor zowel de totale populatie alsook voor iedere index afzonderlijk.
19
De hypothesen 1 tot en met 5 worden getoetst op basis van de volgende regressieanalyses:
(3.1) VDI_TOTAAL = b0 + b1 BOARD_INDEP + b2 BOARD_MEET + b3 BOARD_SIZE + b4 BUSY_BOARD + b5 AC_EXIST + ε
(3.2) VDI_AEX = b0 + b1 BOARD_INDEP + b2 BOARD_MEET + b3 BOARD_SIZE + b4 BUSY_BOARD + b5 AC_EXIST + ε
(3.3) VDI_AMX = b0 + b1 BOARD_INDEP + b2 BOARD_MEET + b3 BOARD_SIZE + b4 BUSY_BOARD + b5 AC_EXIST + ε
(3.4) VDI_AScX = b0 + b1 BOARD_INDEP + b2 BOARD_MEET + b3 BOARD_SIZE + b4 BUSY_BOARD + b5 AC_EXIST + ε
Hiervoor geldt:
VDI_TOTAAL = mate van disclosure van IT risico’s en controls voor de AEX, AMX en AScX. VDI_AEX = mate van disclosure van IT risico’s en controls voor de AEX.
VDI_AMX = mate van disclosure van IT risico’s en controls voor de AMX. VDI_AScX = mate van disclosure van IT risico’s en controls voor de AScX. BOARD_INDEP = dummyvariabele, waarbij 1 staat voor onafhankelijk en 0 voor niet
onafhankelijk.
BOARD_MEET = aantal vergaderingen van de Raad van Commissarissen. BOARD_SIZE = aantal leden van de Raad van Commissarissen.
BUSY_BOARD = dummyvariabele, waarbij 1 staat voor busy board en 0 voor niet busy board.
AC_EXIST = dummyvariabele, waarbij 1 staat aanwezigheid van de auditcommissie en 0 voor het niet aanwezig zijn van de auditcommissie.
Hypothese 6 wordt getoetst door middel van een drietal t-toetsen waarbij het volgende wordt vastgesteld:
(3.5) VDI AEX > VDI AMX (3.6) VDI AEX > VDI AScX (3.7) VDI AEX > VDI AMX / AScX
Vergelijkingen 3.5 en 3.6 toetsen of de gemiddelde VDI van de AEX significant hoger is ten opzichte van de afzonderlijke indexen AMX en AScX. Vervolgens wordt door middel van vergelijking 3.7 vastgesteld of het gemiddelde van de AEX significant hoger is dan het gezamenlijke gemiddelde VDI
20
van de AMX en AScX.
3.4 Conclusie
In dit hoofdstuk is de onderzoeksmethodologie uiteengezet. Hierbij wordt gebruik gemaakt van de statistische testen: regressieanalyse en t-toets, ter beantwoording van de onderzoeksvragen 3 en 4. De formules voor het toetsen van de hypothesen zijn opgenomen in paragraaf 3.3. De uitkomsten hiervan zijn opgenomen in hoofdstuk 4, waarna in hoofdstuk 5 de centrale vraag wordt beantwoord.
21
4. Analyse
4.1 Inleiding
In dit hoofdstuk wordt ingegaan op de resultaten van de verzamelde data afkomstig uit de jaarverslagen 2015 van Nederlandse beurgenoteerde ondernemingen (AEX, AMX en AScX), die antwoord geven op de hypothesen in hoofdstuk 3. De resultaten worden geanalyseerd door eerst de beschrijvende statistiek te interpreteren. Teneinde vast te stellen of en zo ja in welke mate er een relatie bestaat tussen de omvang van disclosure van IT gerelateerde risico’s en controls en de karakteristieken van de Raad van Commissarissen, worden de uitkomsten van de regressieanalyses en de uitkomsten van de t-toetsen geanalyseerd.
4.2 Beschrijvende statistiek
In Tabel 1 is de beschrijvende statistiek weergegeven van de afhankelijke variabelen: VDI TOTAAL, VDI AEX, VDI AMX en VDI AScX. Per afhankelijke variabele is de VDI onderverdeeld in de diverse categorieën zoals opgenomen in de VDI (bijlage 1): IT Strategy, Risk Assessment en Control Activity. De totale VDI score ligt tussen de 0 en 10, waarbij een organisatie een maximale score kan krijgen van 20. De som van de VDI van alle indexen in totaal betreft 226. Slingerland (2015) heeft middels dezelfde VDI aangetoond dat de som voor alle indexen in 2009: 134 en voor 2014: 207. De uitkomst in 2015 (226) past in de lijn van de uitkomsten van Slingerland (2015).
Waar te nemen is dat de totale VDI score voor de AEX aanzienlijk hoger is in vergelijking met de AMX en AScX. Reden hiervoor is dat de relatief grotere organisaties een meer uitgebreide jaarverslag hebben waarin meer informatie is opgenomen met betrekking tot IT risico’s en controls. Tevens is waar te nemen dat de categorie ‘Risk assessment’ het hoogst scoort bij alle indexen. Organisaties in scope van het onderzoek zijn verplicht om een beschrijving te geven van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd (artikel 2:391 lid 1 BW). De
aanwezigheid van een dergelijke beschrijving geeft de organisatie aanleiding om informatie op te nemen aangaande IT gerelateerde risico’s en controls.
22
Tabel 1: Beschrijvende statistiek van de afhankelijke variabele
Omschrijving Minimum Maximum Som Gemiddelde Std. Deviatie
Totaal VDI alle Indexen (20) 0 10 226 3,01 2,47
IT Strategy (8) 0 6 73 0,97 1,37
Risk assessment (7) 0 5 119 1,59 1,15
Control activities (5) 0 2 34 0,45 0,58
Totaal VDI AEX (20) 0 10 112 4,48 2,38
IT Strategy (8) 0 6 45 1,80 1,58
Risk assessment (7) 0 3 47 1,88 0,78
Control activities (5) 0 2 20 0,80 0,58
Totaal VDI AMX (20) 0 7 57 2,28 1,97
IT Strategy (8) 0 2 10 0,40 0,71
Risk assessment (7) 0 5 38 1,52 1,36
Control activities (5) 0 1 9 0,36 0,49
Totaal VDI AScX (20) 0 8 57 2,28 2,42
IT Strategy (8) 0 4 18 0,72 1,28
Risk assessment (7) 0 4 34 1,36 1,22
Control activities (5) 0 2 5 0,20 0,50
De beschrijvende statistiek van de onafhankelijke variabelen is opgenomen in tabel 2. Hierin is het minimum, maximum, som, gemiddelde en standaard deviatie vermeld van de karakteristieken van de Raad van Commissarissen. De uitkomsten zijn zowel per afzonderlijke index opgenomen evenals voor het totaal van de indexen. Waar te nemen is dat de uitkomsten van onafhankelijke variabelen verschillen per index. Het gemiddelde van de BOARD_SIZE neemt sterk af wanneer een vergelijking wordt gemaakt tussen de AEX, AMX en AScX. Hetzelfde geldt voor de onafhankelijke variabele BUSY_BOARD. Tevens is het gemiddelde van de AC_EXIST aanzienlijk lager voor de index AScX in vergelijking met de AEX en AMX. Verklaring hiervoor kan zijn dat de relatief grotere organisaties een meer ontwikkelde Raad van Commissarissen orgaan hebben dan kleinere organisaties. Gezien de verdeling van scores per onafhankelijke variabelen is geen sprake van ‘outliers’ (uitschieters). Hierdoor zijn geen items verwijderd uit de dataset ten behoeve van het uitvoeren van de regressieanalyses en de t-toetsen.
23
Tabel 2: Beschrijvende statistiek van de onafhankelijke variabele
Omschrijving Minimum Maximum Som Gemiddelde Std. Deviatie
Totaal Indexen BOARD_INDEP 0 1 64 0,85 0,36 BOARD_MEET 3 23 720 9,60 3,95 BOARD_SIZE 2 11 436 5,81 2,22 BUSY_BOARD 0 2 50 0,67 0,50 AC_EXIST 0 1 63 0,84 0,37 AEX BOARD_INDEP 0 1 21 0,84 0,37 BOARD_MEET 5 19 249 9,96 3,68 BOARD_SIZE 3 11 193 7,72 2,19 BUSY_BOARD 0 1 20 0,80 0,41 AC_EXIST 0 1 24 0,96 0,20 AMX BOARD_INDEP 0 1 20 0,80 0,41 BOARD_MEET 3 19 236 9,44 3,79 BOARD_SIZE 3 9 141 5,64 1,11 BUSY_BOARD 0 2 18 0,72 0,54 AC_EXIST 0 1 24 0,96 0,20 AScX BOARD_INDEP 0 1 23 0,92 0,28 BOARD_MEET 3 23 235 9,40 4,48 BOARD_SIZE 2 8 102 4,08 1,47 BUSY_BOARD 0 1 12 0,48 0,51 AC_EXIST 0 1 15 0,60 0,50
De beschrijvende statistieken (tabel 1 en tabel 2) geven de kwantitatieve resultaten weer van zowel de afhankelijke- alsmede de onafhankelijke variabelen. De VDI score is gebaseerd op basis van de VDI opgenomen in bijlage 1. De VDI bestaat uit 20 onderdelen. Hieronder is aangegeven welke elementen, voor de gehele populatie, relatief laag en hoog scoorden. De volgende elementen laten een hoge1 score zien:
A statement of corporate IT goals or objectives.
A general statement of corporate IT strategy is provided.
Actions taken to achieve the corporate IT goal are discussed.
Overall IT trends that management has identified and that they assume will influence the business.
Risks identified to achieve IT related objectives.
IT related risks are categorized by management.
24
Information disclosed regarding the standards used to evaluate the design and operationaleffectiveness of the internal risk management and controls system.
De elementen waarop relatief hoog is gescoord maken hoofdzakelijk onderdeel uit van de categorie ‘Risk assessment’ van de VDI. In tabel 1 is waar te nemen dat deze categorie de hoogste score vertegenwoordigt.
De informatie voor het toetsen van de elementen opgenomen in de VDI, zijn afkomstig uit het
directieverslag en de risicomanagementparagraaf van de jaarverslagen 2015. Vanuit het oogpunt van IT risico en controls, richt het directieverslag zich voornamelijk op de IT strategie en IT doelstellingen. Daarnaast worden IT trends benoemd die invloed kunnen hebben op de activiteiten van de
organisatie. De meest voorkomende IT trend betreft cyber security. In de risicomanagementparagraaf worden IT gerelateerde risico’s en controls benoemd en gecategoriseerd. De meest voorkomende categorisering betreft de indeling gebaseerd op het COSO raamwerk. Hierbij zijn risico’s
onderverdeeld in: strategic-, operational-, reporting en compliance risks.
De volgende elementen van de VDI laten een lage2 score zien:
Follow up on previous reported main IT goals.
A time frame for achieving corporate IT goals is provided.
The IT risks are quantified (sensitivity analysis).
Information disclosed regarding the likelihood that these IT risks occur.
Information disclosed regarding the impact on equity of the firm.
Information disclosed regarding the risk appetite relative to the IT risks described.
Information disclosed regarding the design and operational effectiveness of the internal risk management and controls system by Management.
Information disclosed regarding the design and operational effectiveness of the internal risk management and controls system by External Auditor.
Information disclosed regarding significant deficiencies in the internal risk management and controls system.
Information disclosed regarding significant changes / improvements in the internal risk management and controls system.
De elementen waarop relatief laag is gescoord maken hoofdzakelijk onderdeel uit van de categorie ‘Control activities’ van de VDI. In tabel 1 is waar te nemen dat deze categorie de laagste score vertegenwoordigt.
Het onderzoek heeft betrekking op disclosure van IT gerelateerde risico’s en controls. Zoals in hoofdstuk 2 opgenomen zijn er geen vereisten die specifiek toezien op dit type disclosure. Vanuit de theorie wordt verondersteld dat een organisatie meer economische voordelen kan behalen indien
2
25
informatie op vrijwillige basis wordt gepubliceerd, dan wanneer sprake is van verplichte disclosure (Deumes en Knechel, 2008). Organisaties kunnen voluntary disclosure toepassen door middel van het jaarverslag. Aangezien er sprake is van informatie-asymmetrie, heeft de agent een
informatievoorsprong ten opzichte van de principaal, waardoor de agent de ruimte krijgt om in strijd met het belang van de principaal te handelen. Het verkrijgen van economische voordelen voor een organisatie, naar aanleiding van het toepassen van voluntary disclosure, kan hierdoor gepaard gaan met het verlagen van de informatie asymmetrie door de agent. Het management (agent) komt hier voor het dilemma te staan, voor het al dan niet verlagen van de informatie-asymmetrie, in relatie tot het verkrijgen van economische voordelen door het toepassen van voluntary disclosure. Verklaring voor de lage score van de hiervoor opgenomende elementen uit de VDI kan zijn dat het verlagen van de informatie-asymetrie niet opweegt tegen het verkrijgen van economische voordelen.
In totaal zijn 3 elementen van de VDI die niet zijn geclassificeerd als hoge of lage score. Deze 3 elementen (middensegment) maken onderdeel uit van de categorie ‘IT Strategy’ van de VDI. In tabel 1 is waar te nemen dat de de categorie ‘IT Strategy’ hoger scoort dan de categorie ‘Control activities’ en lager scoort dan de categorie ‘Risk assessment’.
4.3 Correlatiematrix
In tabellen 3 tot en met 6 zijn de uitkomsten van de correlatiematrixen opgenomen van de
afhankelijke variabelen voor het totaal van de indexen en per index afzonderlijk. Met het analyseren van de uitkomsten van de correlatiematrix kan vastgesteld worden of sprake is van multicollineariteit. Wanneer de afhankelijke variabelen onderling sterk correleren, kan dit verstorend werken op de uitkomsten van de regressieanalyse waardoor deze niet meer betrouwbaar zijn. Om multicollineariteit te vermijden kan ervoor gekozen worden om voor iedere onafhankelijke variabelen een separate regressieanalyse uit te voeren. In tabel 3 is waar te nemen dat een significante positieve correlatie bestaat voor de indexen in totaal tussen de volgende afhankelijke variabelen:
BOARD_MEET en AC_EXIST;
BOARD_SIZE en BUSY_BOARD;
BOARD_SIZE en AC_EXIST;
BUSY_BOARD en AC_EXIST.
De Nederlandse Corporate Governance Code (2008) best practice bepaling III.5 geeft aan dat, wanneer de Raad van Commissarissen meer dan vier leden omvat een auditcommissie opgesteld dient te worden. Hierdoor is het plausibel dat een positieve correlatie bestaat tussen BOARD_SIZE en AC_EXIST. In tabel 2 is waar te nemen dat bij de grotere organisaties (AEX organisaties) de Raad van Commissarissen vaker overleg hebben. Bij deze grotere organisaties is de kans groter op de aanwezigheid van de auditcommissie dan bij de kleinere organisaties. Dezelfde tendens is waar te nemen (tabel 2) voor de afhankelijke variabele BUSY_BOARD. De uitkomsten van de correlatiematrix voor het totaal van de indexen zijn derhalve te verklaren.
26
In tabellen 4, 5 en 6 zijn de correlatiematrixen opgenomen van de AEX organisaties respectievelijk AMX en AScX organisaties. Tussen de onafhankelijke variabelen van de AMX organisaties zijn geen correlaties waar te nemen. Dit geldt wel voor de AEX en AScX. De volgende positieve correlatie is geconstateerd voor de onafhankelijke variabelen van de AEX organisaties:
BOARD_SIZE en AC_EXIST.
Voor de onafhankelijke variabelen van de AScX organisaties zijn onderstaande positieve correlaties geconstateerd:
BOARD_MEET en AC_EXIST;
BOARD_SIZE en BUSY_BOARD;
BOARD_SIZE en AC_EXIST;
BUSY_BOARD en AC_EXIST.
Voor de betreffende correlaties gelden dezelfde verklaringen zoals reeds beschreven voor
onafhankelijke variabelen van het totaal van de indexen. Voor het uitvoeren van de regressieanalyses zullen de onafhankelijke variabelen afzonderlijk per index vergeleken worden met de afhankelijke variabele. Hierdoor treedt het probleem van multicollineariteit niet op.
27
Tabel 3: Correlatiematrix Totaal indexen
VARIABELEN BOARD_INDEP BOARD_MEET BOARD_SIZE BUSY_BOARD AC_EXIST
BOARD_INDEP Pearson Correlation 1 0,179 -0,121 -0,050 0,025
Sig. (2-tailed) 0,125 0,302 0,668 0,834
BOARD_MEET Pearson Correlation 0,179 1 0,092 0,211 ,289*
Sig. (2-tailed) 0,125 0,434 0,069 0,012
BOARD_SIZE Pearson Correlation -0,121 0,092 1 ,295* ,475**
Sig. (2-tailed) 0,302 0,434 0,010 0,000
BUSY_BOARD Pearson Correlation -0,050 0,211 ,295* 1 ,365**
Sig. (2-tailed) 0,668 0,069 0,010 0,001
AC_EXIST Pearson Correlation 0,025 ,289* ,475** ,365** 1 Sig. (2-tailed) 0,834 0,012 0,000 0,001
* Correlatie is significant met een niveau van 5% (2-tailed). ** Correlatie is significant met een niveau van 1% (2-tailed).
Tabel 4: Correlatiematrix AEX
VARIABELEN BOARD_INDEP BOARD_MEET BOARD_SIZE BUSY_BOARD AC_EXIST
BOARD_INDEP Pearson Correlation 1 -0,096 -0,210 0,055 -0,089
Sig. (2-tailed) 0,649 0,315 0,796 0,672
BOARD_MEET Pearson Correlation -0,096 1 -0,193 0,216 0,224
Sig. (2-tailed) 0,649 0,356 0,299 0,281
BOARD_SIZE Pearson Correlation -0,210 -0,193 1 -0,019 ,449*
Sig. (2-tailed) 0,315 0,356 0,930 0,024
BUSY_BOARD Pearson Correlation 0,055 0,216 -0,019 1 -0,102
Sig. (2-tailed) 0,796 0,299 0,930 0,627
AC_EXIST Pearson Correlation -0,089 0,224 ,449* -0,102 1 Sig. (2-tailed) 0,672 0,281 0,024 0,627
28
Tabel 5: Correlatiematrix AMX
VARIABELEN BOARD_INDEP BOARD_MEET BOARD_SIZE BUSY_BOARD AC_EXIST
BOARD_INDEP Pearson Correlation 1 0,329 -0,073 -0,264 -0,102
Sig. (2-tailed) 0,109 0,728 0,203 0,627
BOARD_MEET Pearson Correlation 0,329 1 0,138 0,124 0,024
Sig. (2-tailed) 0,109 0,511 0,556 0,909
BOARD_SIZE Pearson Correlation -0,073 0,138 1 0,102 -0,067
Sig. (2-tailed) 0,728 0,511 0,627 0,749
BUSY_BOARD Pearson Correlation -0,264 0,124 0,102 1 0,277
Sig. (2-tailed) 0,203 0,556 0,627 0,180
AC_EXIST Pearson Correlation -0,102 0,024 -0,067 0,277 1 Sig. (2-tailed) 0,627 0,909 0,749 0,180
Tabel 6: Correlatiematrix AScX
VARIABELEN BOARD_INDEP BOARD_MEET BOARD_SIZE BUSY_BOARD AC_EXIST
BOARD_INDEP Pearson Correlation 1 0,329 0,119 0,283 0,361
Sig. (2-tailed) 0,108 0,572 0,170 0,076
BOARD_MEET Pearson Correlation 0,329 1 0,356 0,277 ,465*
Sig. (2-tailed) 0,108 0,081 0,180 0,019
BOARD_SIZE Pearson Correlation 0,119 0,356 1 ,503* ,499*
Sig. (2-tailed) 0,572 0,081 0,010 0,011
BUSY_BOARD Pearson Correlation 0,283 0,277 ,503* 1 ,458*
Sig. (2-tailed) 0,170 0,180 0,010 0,021
AC_EXIST Pearson Correlation 0,361 ,465* ,499* ,458* 1
Sig. (2-tailed) 0,076 0,019 0,011 0,021 * Correlatie is significant met een niveau van 5% (2-tailed).
29
4.4 Onderzoeksresultaten
In deze paragraaf wordt ingegaan op de resultaten van de uitgevoerde statistische toetsen teneinde de hypothesen in hoofdstuk 3, aan te nemen of te verwerpen. De resultaten worden geanalyseerd voor het totaal van de indexen en voor iedere index afzonderlijk. De hypothesen worden aangenomen indien een significantieniveau is geconstateerd van ten minste 95%. Indien een correlatie significant bevonden is, wordt aangegeven of sprake is van een significantieniveau van 95% respectievelijk 99%.
Regressieanalyse VDI_TOTAAL
In tabel 7 zijn de resultaten weergegeven van de regressie analyse waarbij onderzocht is of een relatie bestaat tussen de karakteristieken van de Raad van Commissarissen en de mate van
disclosure van IT gerelateerde risico’s en controls voor de totale populatie. Waar te nemen is dat een positieve significante relatie bestaat tussen VDI_TOTAAL en BOARD_SIZE, met een niveau van 0,005. Eenzelfde relatie is waar te nemen tussen VDI_TOTAAL en BUSY_BOARD en VDI_TOTAAL en AC_EXIST met een significantie niveau van 0,045 respectievelijk 0,004. Er is geen significante relatie gevonden tussen VDI_TOTAAL en BOARD_INDEP en VDI_TOTAAL en BOARD_MEET.
De positieve relatie tussen VDI_TOTAAL en BUSY_BOARD is opvallend te noemen. In hypothese 4 is namelijk uitgegaan van een negatieve relatie. Een drukke Raad van Commissarissen leidt tot een minder effectief toezicht op de organisatie, waardoor een lagere mate van disclosure van IT risico’s en controls het gevolg kan zijn. De uitkomsten van het onderzoek laten een tegenovergesteld effect zien. Een mogelijke verklaring hiervoor zou kunnen zijn dat de commissarissen die als ‘busy’ worden aangemerkt, dusdanige capaciteiten bezitten, waardoor zij effectiever toezicht kunnen houden op de organisatie en dus ook op de mate van disclosure van IT risico’s en controls.
Tabel 7: Regressie analyse VDI_TOTAAL
VDI_TOTAAL Coëfficient T-waarde Sig. (2-tailed)
BOARD_INDEP 0,761 0,944 0,348 BOARD_MEET 0,084 1,163 0,249 BOARD_SIZE 0,361 2,927 0,005 ** BUSY_BOARD 1,143 2,043 0,045 * AC_EXIST 2,198 2,973 0,004 ** * Correlatie is significant met een niveau van 5% (2-tailed). ** Correlatie is significant met een niveau van 1% (2-tailed).
Conclusie
De karakteristieken: aantal leden, busyness en aanwezigheid van een auditcommissie correleren positief met de mate van disclosure aangaande IT risico’s en controls voor de indexen in het geheel. Hypothesen 3 en 5 zijn aangenomen voor de indexen in het geheel.
30
Regressie analyse VDI_AEX
De uitkomsten van de regressie analyse (tabel 8) tonen aan dat er geen relatie bestaat tussen VDI_AEX en de karakteristieken van de Raad van Commissarissen. Het significantieniveau van: BOARD_INDEP, BOARD_MEET, BOARD_SIZE, BUSY_BOARD en AC_EXIST, is hierbij > 0,05 en derhalve niet significant. De resultaten laten een andere uitkomst zien in vergelijking van de regressie van VDI_TOTAAL. Mogelijk heeft het verschil in samenstelling van de populatie tussen beide
afhankelijke variabelen, invloed gehad op de verschillende uitkomsten.
Conclusie
Er is geen relatie aangetroffen tussen de karakteristieken van de Raad van Commissarissen en de mate van disclosure van IT gerelateerde risico’s en controls voor de AEX organisaties. Hypothesen 1 tot en met 5 worden niet aangenomen voor de AEX index afzonderlijk.
Tabel 8: Regressie analyse VDI_AEX
VDI_AEX Coëfficient T-waarde Sig. (2-tailed)
BOARD_INDEP 0,274 0,206 0,838 BOARD_MEET 0,078 0,585 0,564 BOARD_SIZE 0,047 0,206 0,839 BUSY_BOARD 0,100 0,082 0,935 AC_EXIST 0,500 0,201 0,842
Regressie analyse VDI_AMX
Net als bij de VDI_AEX laat regressie analyse van de VDI_AMX (tabel 9) zien dat geen relatie bestaat met de karakteristieken van de Raad van Commissarissen. De significantie niveaus van de
onafhankelijke variabelen zijn > 0,05.
Conclusie
Er is geen relatie aangetroffen tussen de karakteristieken van de Raad van Commissarissen en de mate van disclosure van IT gerelateerde risico’s en controls voor de AMX organisaties. Hypothesen 1 tot en met 5 worden niet aangenomen voor de AMX index afzonderlijk.
Tabel 9: Regressie analyse VDI_AMX
VDI_AMX Coëfficient T-waarde Sig. (2-tailed)
BOARD_INDEP 0,600 0,601 0,554 BOARD_MEET 0,035 0,320 0,752 BOARD_SIZE 0,185 0,506 0,618 BUSY_BOARD 0,989 1,355 0,188 AC_EXIST 2,375 1,192 0,245
31
Regressie analyse VDI_AScX
In tabel 10 laten de resultaten van de regressie analyse zien dat een positieve correlatie bestaat tussen de afhankelijke variabele VDI_AScX en de onafhankelijke variabele AC_EXIST, met een significantie van < 0,05. De onafhankelijke variabelen: BOARD_INDEP, BOARD_MEET, BOARD_SIZE en BUSY_BOARD, tonen geen significant verband aan met de VDI_AScX.
Conclusie
De aanwezigheid van een auditcommissie correleert positief met de mate van disclosure aangaande IT risico’s en controls voor de AScX index afzonderlijk. Hypothese 5 is aangenomen voor de
afzonderlijke AScX index.
Tabel 10: Regressie analyse VDI_AScX
VDI_AScX Coëfficient T-waarde Sig. (2-tailed)
BOARD_INDEP 2,478 1,415 0,170 BOARD_MEET 0,083 0,748 0,462 BOARD_SIZE 0,298 0,880 0,388 BUSY_BOARD 1,064 1,101 0,282 AC_EXIST 2,133 2,350 0,028 * * Correlatie is significant met een niveau van 5% (2-tailed).
Resultaten T-toetsen
In tabel 11 zijn de resultaten weergegeven van de drie uitgevoerde T-toetsen. Waar te nemen is dat het gemiddelde van VDI_AEX significant hoger is dan het gemiddelde van VDI_AMX en VDI_AScX gezamenlijk. Eenzelfde verband is aangetoond wanneer het gemiddelde van VDI_AEX afzonderlijk is vergeleken met VDI_AMX en VDI_AScX. Het niveau van significantie is voor al de drie uitgevoerde T-toetsen < 0,01.
Conclusie
De mate van disclosure aangaande IT risico’s en controls, is hoger voor organisaties genoteerd aan de AEX, in vergelijking met organisaties genoteerd aan de AMX en AScX. Hypothese 6 is
aangenomen.
Tabel 11: T-toets VDI_AEX vs VDI_AMX en VDI_AScX
Omschrijving T-waarde Gemiddelde 1 Gemiddelde 2 Significantie
AEX > AMX/AScX 3,873 4,48 2,28 0,000 ** AEX > AMX 3,559 4,48 2,28 0,001 ** AEX > AScX 3,236 4,48 2,28 0,002 ** *. T-toets is significant met een niveau van 5% (2-tailed).
32
4.5 Conclusie
In dit hoofdstuk zijn antwoorden gegeven op de gestelde hypothesen in hoofdstuk 3. Er is aangetoond dat bepaalde karakteristieken van de Raad van Commissarissen positief correleren met de mate van disclosure aangaande IT gerelateerde risico’s en controls. Voor AEX organisaties geldt dat sprake is van een hogere mate van disclosure van IT gerelateerde risico’s en controls, ten opzichte van AMX en AScX organisaties. De resultaten van het onderzoek zijn samengevat in onderstaand overzicht.
Opvallend te noemen is dat er meer significante relaties bestaan tussen het totaal van de VDI (alle indexen) en de karakteristieken van de Raad van Commissarissen, in vergelijking met de VDI van de afzonderlijke indexen. Dit verschil heeft betrekking op de samenstelling van de populaties. Een meer gespreide populatie (VDI_TOTAAL) laat eerder significante correlaties zien dan een populatie die meer gelijkgestemde organisaties bevat (zoals de VDI_AEX, VDI_AMX en VDI_AScX).
Tabel 12: Overzicht van aangenomen en verworpen hypothesen
# Hypothese Type test Conclusie Index
1 De mate van disclosure aangaande IT risico’s en controls,
correleert positief met de onafhankelijkheid van de Raad van Commissarissen.
Regressie Verworpen
p-waarde > 0,05 Nvt 2 De mate van disclosure aangaande IT risico’s en controls,
correleert positief met de vergaderfrequentie van de Raad van Commissarissen.
Regressie Verworpen
p-waarde > 0,05 Nvt 3 De mate van disclosure aangaande IT risico’s en controls,
correleert positief met het aantal leden van de Raad van Commissarissen.
Regressie Aangenomen
p-waarde < 0,01 Totaal indexen 4 De mate van disclosure aangaande IT risico’s en controls,
correleert negatief met de ‘busyness’ van de Raad van Commissarissen.
Regressie Verworpen
p-waarde > 0,05 Nvt 5 De mate van disclosure aangaande IT risico’s en controls,
correleert positief met de aanwezigheid van de auditcommissie.
Regressie Aangenomen p-waarde < 0,01 p-waarde < 0,05
- Totaal indexen - AScX
6 De mate van disclosure aangaande IT risico’s en controls, is
hoger voor organisaties genoteerd aan de AEX, in vergelijking met organisaties genoteerd aan de AMX en AScX.
T-toets Aangenomen
33
5. Conclusie en discussie
5.1 Inleiding
In dit hoofdstuk wordt antwoord gegeven op de probleemstelling van het onderzoek. Teneinde hierop antwoord te kunnen geven wordt eerst ingegaan op de deelvragen die zijn behandeld. Vervolgens wordt in de discussie aangegeven wat de beperkingen van het onderzoek zijn en worden
aanbevelingen gedaan voor vervolgonderzoek.
5.2 Conclusie
Het doel van het onderzoek is om vast te stellen of de karakteristieken van de Raad van
Commissarissen invloed hebben op de mate van disclosure aangaande IT gerelateerde risico’s en controls, bij organisaties genoteerd aan de AEX, AMX en AScX in 2015. Betreffende relatie is onderzocht voor zowel de indexen in het geheel alsook voor de indexen afzonderlijk. De volgende probleemstelling staat centraal in het onderzoek:
Hebben de karakteristieken van de Raad van Commissarissen invloed op de mate van ‘voluntary disclosure’ ten aanzien van IT gerelateerde risico’s en controls van Nederlandse beursgenoteerde organisaties in 2015?
De eerste deelvraag heeft betrekking op de disclosure-vereisten in Nederland ten aanzien IT risico’s en controls. Het Burgerlijk Wetboek Boek 2 (2015), Raad voor de Jaarverslaggeving (2015) en de Nederlandse Corporate Governance Code (2008), geven hier nadere toelichting op. De organisatie dient informatie over de belangrijkste risico’s te publiceren in het jaarverslag. Hierbij gaat het om risico’s en controls in het algemeen. Er zijn geen specifieke vereisten genoemd in de wet-en
regelgeving die toezien op IT risico’s en controls. Een organisatie kan meer economische voordelen behalen indien informatie op vrijwillige basis wordt gepubliceerd, dan wanneer sprake is van
verplichte disclosure (Deumes en Knechel, 2008). Dit vormt een rationale voor een organisatie om informatie te publiceren aangaande IT risico’s en controls.
De tweede deelvraag richt zich op de raamwerken die gebruikt worden voor disclosure van IT risico’s en controls. Vanuit de literatuur is aangegeven dat het COSO raamwerk een veelvuldig toegepast model betreft. Vanuit het praktijkonderzoek is gebleken dat het COSO raamwerk het meest wordt gebruikt onder de Nederlandse beursgenoteerde organisaties 2015. Tevens bestaat er een raamwerk gericht op meer specifieke doeleinden: COBIT. Dit betreft een raamwerk voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving. Dit raamwerk wordt beperkt toegepast door Nederlandse beursfondsen 2015. Uit het onderzoek is gebleken dat 31 van de 75 ondernemingen het raamwerk van COSO of COBIT hebben toegepast. De gemiddelde VDI van de organisaties die een dergelijk raamwerk hebben toegepast betreft 4,7 in vergelijking met een gemiddelde VDI van 1,8 voor de organisaties die deze raamwerken niet hebben toegepast.
