Governance, Risk management en Compliance
bij financiële instellingen in Nederland
Een multidisciplinair onderzoek naar het GRC-raamwerk
Master Accountancy & Controlling Rijksuniversiteit Groningen
Rick Hoff
Studentnummer: 2785609
Scriptiebegeleider: drs. K.L. Leijendekker RE RA CISA Zwolle, 20 juni 2016
ABSTRACT
Mede door (recente) schandalen waarmee financiële instellingen zijn geconfronteerd is het maatschappelijk vertrouwen in de financiële sector laag. Door de toezichthouders van de financiële sector, de Autoriteit Financiële Markten en De Nederlandsche Bank, wordt aangegeven dat onder andere transparantie noodzakelijk is om dit maatschappelijk vertrouwen te herstellen. Mogelijk kan de implementatie van het GRC-raamwerk hierbij een belangrijke rol spelen. Binnen het GRC-raamwerk worden de vakgebieden governance, risk management en compliance op een integrale manier benadert. Deze integrale benadering kan volgens de literatuur verschillende voordelen bieden: een verhoging van de effectiviteit en efficiëntie van de onderneming, concurrentievoordelen en een toename van de mate van transparantie. Derhalve is onderzoek gedaan naar de zichtbaarheid van dit GRC-raamwerk binnen het jaarverslag van de financiële instellingen met een Nederlandse achtergrond. Uit de analyse blijkt dat het GRC-raamwerk nog in beperkte mate zichtbaar is binnen het jaarverslag. Slechts één financiële instelling benoemt het raamwerk expliciet. Aanvullend kan worden geconcludeerd dat bij een vijftal andere onderzochte financiële instellingen een integrale benadering in meerdere mate zichtbaar is binnen het jaarverslag, zonder het expliciet te benoemen. Voor de overige onderzochte instelling is deze integrale benadering in mindere mate tot niet zichtbaar. De mate van informatieverstrekking ten aanzien van de drie vakgebieden varieert.
Kernwoorden: vertrouwen, transparantie, GRC-raamwerk, financiële instellingen, integrale
INHOUDSOPGAVE ABSTRACT 1 1. INLEIDING 3 1.1 Achtergrond 3 1.2 Probleemstelling 4 1.3 Centrale begrippen 5 1.4 Wetenschappelijke relevantie 5 1.5 Onderzoeksopzet en structuur 6 2. THEORETISCH KADER 7 2.1 Governance 7 2.2 Risk management 9 2.3 Compliance 10 2.4 GRC-raamwerk 12 2.5 Theoretische inkadering 13 2.6 Hypothesevorming 15 3. METHODOLOGIE 18 3.1 Onderzoekspopulatie 18 3.2 Onderzoeksaanpak 19 3.2.1 Totstandkoming vragenlijst 20 3.2.2 Validiteit en betrouwbaarheid 22 4. ONDERZOEKSRESULTATEN 23 5. DISCUSSIE EN CONCLUSIE 29 5.1 Conclusie 29
5.2 Beperkingen van het onderzoek 33
5.3 Implicaties van het onderzoek 34
5.4 Aanbevelingen voor vervolgonderzoek 35
REFERENTIES 36
APPENDIX A: VRAGENLIJST 44
1. INLEIDING
Aan het begin van deze masterscriptie wordt in de inleiding de achtergrond van het onderzoek uiteengezet, waarbij het gebrek aan maatschappelijk vertrouwen in financiële instellingen aan de basis van deze scriptie ligt. De probleemstelling vloeit hieruit voort en geldt als afbakening van het onderzoeksterrein. Vervolgens worden enkele centrale begrippen gedefinieerd. De wetenschappelijke relevantie vormt samen met de structuur van de scriptie het slot van het eerste hoofdstuk.
1.1 Achtergrond
In de afgelopen jaren is het bedrijfsleven meerdere malen geconfronteerd met incidenten. Aan het begin van de 21ste eeuw is de economische wereld opgeschrikt door een aantal zeer omvangrijke schandalen, waaronder de problemen rondom Enron en Worldcom. Als reactie op de verschillende schandalen is in 2002 de Sarbanes-Oxley wetgeving in de Verenigde Staten ingevoerd. Deze wetgeving is voor alle beursgenoteerde vennootschappen in de Verenigde Staten verplicht gesteld. In Nederland is de Nederlandse Corporate Governance Code ontwikkeld, welke per 1 januari 2004 in werking is getreden. De code is van toepassing voor beursgenoteerde vennootschappen met een statutaire zetel in Nederland.
Ondanks de invoering en inwerkingtreding van wet- en regelgeving zijn de schandalen niet verdwenen. Recentelijk (in 2013) schikte de Rabobank voor EUR 774 miljoen met verschillende landen en toezichthouders, in het kader van betrokkenheid bij de fraude omtrent de LIBOR-rente (NRC, 2015). Ook ABN AMRO heeft recent te maken gehad met een fraudeaffaire, namelijk in verband met betrokkenheid bij ongeoorloofde zakelijke transacties (FD, 2015). Ook internationale banken zijn in de problemen gekomen, zo heeft de Amerikaanse autoriteit voor 5,8 miljard dollar aan boetes uitgedeeld aan vier internationaal georiënteerde banken vanwege bewuste manipulatie van wisselkoersen (NOS, 2015).
Uit diverse studies blijkt dat de gevolgen van fraude verstrekkend zijn. Op basis van het artikel van Zahra, Priem & Rasheed (2005), waarbij de consequenties van fraude worden beschreven vanuit verschillende invalshoeken, kan gesteld worden dat de maatschappelijke gevolgen omvangrijk zijn; namelijk dat het vertrouwen in de integriteit van personen en ondernemingen sterk onder druk staat. Daarnaast geven Johnson, Xie & Yi (2013) aan dat ook de ondernemingsprestaties van ondernemingen die te maken hebben met fraude negatief worden beïnvloed door de opgelopen reputatieschade. Dit blijkt ook uit de praktijk: door de diverse schandalen en de bankencrisis is er maatschappelijke onrust ontstaan hetgeen het maatschappelijk vertrouwen in de financiële sector negatief heeft beïnvloed (CFO, 2015). Voor het goed functioneren van de financiële sector is vertrouwen essentieel (Hoff, 2007). Mede door de diverse schandalen staat het vertrouwensniveau in de financiële sector onder druk. Om het vertrouwen van de stakeholders en de maatschappij in de financiële sector te herstellen, is het voor ondernemingen noodzakelijk om in overeenstemming te handelen met de geldende wet- en regelgeving (PWC, 2012). Dit wordt compliance genoemd. In het
Jaarboek Compliance 2010 schrijven Paape & Hoff (2010) dat compliance nauw samenhangt met governance: “compliance is afhankelijk van goede governance”. Paape & Hoff geven ook aan dat “governance gaat over de aansturing van de organisatie en de beheersing van
risico’s”. De beheersing van risico’s kan ook aangeduid worden als risk management. Op
basis hiervan is duidelijk dat de vakgebieden governance, risk management en compliance met elkaar in verband staan. De verwevenheid tussen deze drie vakgebieden wordt onder andere door OCEG (2009) en DNB (2013) benadrukt.
Voor de financiële sector zijn er binnen Nederland twee toezichthouders, te weten: de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB). De AFM (2015) geeft aan dat transparantie een van de voorwaarden is om het maatschappelijk vertrouwen te herstellen. Hierbij sluit de internationale toezichthouder voor de financiële sector, de Financial Stability Board (FSB), zich aan. Daartoe heeft de FSB in 2012 een werkgroep opgericht, de Enhanced Disclosure Task Force, welke zich onder andere bezighoudt met het verbeteren van de transparantie van banken met betrekking tot de risico’s en de beheersmaatregelen (FSB, 2012). Hiervoor wordt onderzoek gedaan bij systeemrelevante banken in de wereld, waaronder ook ING Bank. De afgelopen jaren heeft de werkgroep positieve ontwikkelingen waargenomen (FSB, 2014).
De andere Nederlandse toezichthouder, DNB, geeft eveneens in haar meest recente visie (voor de periode 2014-2018) aan dat het herstellen van het maatschappelijk vertrouwen in financiële instellingen een belangrijke uitdaging is (DNB, 2014). Hierbij onderkent de toezichthouder dat transparantie over producten en de financiële situatie van de financiële instellingen een noodzakelijke voorwaarde is.
Het belang van transparantie voor de financiële sector wordt in 2005 door Linsley & Shrives al onderkend. De auteurs geven aan dat stakeholders op basis van relevante informatie de betreffende instelling kunnen beoordelen ten aanzien van hun houding en (financiële) prestaties. Bij het realiseren van deze transparantie kan volgens Beugelaar & Van Loon (2010) een integrale benadering van governance, risk management en compliance een sleutel tot succes zijn.
1.2 Probleemstelling
De probleemstelling van dit onderzoek luidt als volgt:
in hoeverre is een integrale benadering van governance, risk management en compliance zichtbaar in het jaarverslag van 2014 van financiële instellingen?
Om deze probleemstelling te kunnen beantwoorden is het noodzakelijk om inzicht te verkrijgen in de ontwikkeling van de elementen van het GRC-raamwerk. Hiervoor worden alle elementen afzonderlijk en integraal benaderd. Op basis hiervan kan de uiteindelijke onderzoeksmethode ontwikkeld worden, het betreft een vragenlijst ter bestudering van de risicoparagraaf binnen het jaarverslag.
1.3 Centrale begrippen
In de probleemstelling worden enkele begrippen gebruikt die belangrijk zijn binnen deze scriptie. In hoofdstuk 2, het theoretisch kader, worden deze begrippen nader uiteengezet. Het betreft: (I) governance, (II) risk management en (III) compliance. Wanneer deze drie begrippen integraal worden benaderd, wordt gesproken over het GRC-raamwerk.
Met betrekking tot het begrip financiële instellingen wordt de categorisering van DNB aangehouden. In hoofdstuk 3, de methodologie, wordt de onderzoekspopulatie nader uiteengezet.
1.4 Wetenschappelijke relevantie
In 2004 schreef PricewaterhouseCoopers (PWC) voor het eerst over een geïntegreerde benadering van de vakgebieden governance, risk management en compliance (GRC-raamwerk). Volgens PWC (2004) kan deze integratie van de vakgebieden toegevoegde waarde bieden. Daartoe heeft PWC destijds ook een onderzoek uitgevoerd naar de perceptie van Chief Executive Officers (CEO’s) met betrekking tot GRC (2004a). Voor het onderzoek zijn 1.324 CEO’s wereldwijd geïnterviewd. Uit het onderzoek bleek dat 43% van de CEO’s sterk overtuigd was dat een effectief GRC-raamwerk waardevol is voor de onderneming en daarbij tevens kan dienen als concurrentievoordeel. Daarnaast bleek uit het onderzoek dat 35% het enigszins eens is met deze overtuiging.
Chatterjee & Milam (2008) geven aan dat ondernemingen in een dynamische tijd acteren, wat wordt veroorzaakt door onder andere een toenemende mate van outsourcing, globalisatie en verstrekkende eisen vanuit toezichthoudende instanties. De auteurs benadrukken dat deze ontwikkelingen zich binnen alle sectoren afspelen. Vanuit deze situatie wordt aangegeven wat de behoefte van een integrale benadering van de vakgebieden is. Volgens de auteurs heeft een integratie van de vakgebieden uiteindelijk een positieve invloed op de transparantie van de onderneming en kan zodoende van waarde zijn voor de Raad van Bestuur en de stakeholders van de onderneming.
Naar de afzonderlijke gebieden governance, risk management en compliance is in het verleden veelvuldig onderzoek gedaan. Racz, Weippl & Seufert (2010) bevestigen dit op basis van hun uitgevoerde literatuurstudie. Zo hebben Mertens & Blij (2008) onderzoek gedaan naar de kwaliteit van de risicoparagraaf van Nederlandse beursgenoteerde ondernemingen. Echter, volgens Racz et al. (2010) is weinig wetenschappelijke onderzoeken uitgevoerd naar een mogelijke integratie van de verschillende gebieden. Dit bevestigen Vicente & Da Silva (2011) op basis van hun uitgevoerde literatuurstudie. Daarnaast maken Vicente & Da Silva duidelijk dat de afzonderlijke benadering van governance, risk management en compliance een negatief effect heeft op de transparantie en op de besluitvorming. De verklaring en onderbouwing hiervan ontbreekt. Wel geven Vincente & Da Silva expliciet aan dat de integrale benadering in opkomst is door onder andere de toenemende behoefte aan transparantie.
Mede door de diverse schandalen is het maatschappelijk vertrouwen in de financiële sector aan te duiden als laag. De toezichthouders van de financiële sector hebben aangegeven dat het
herstellen van dit geschade vertrouwen de hoogste prioriteit heeft. De nationale en internationale toezichthouders hebben hierbij tevens aangegeven dat transparantie omtrent de producten en de financiële situatie essentieel is. In het artikel van Beugelaar & Van Loon (2010) wordt aangegeven dat een integrale benadering van governance, risk management en compliance bij kan dragen aan deze transparantie.
Ook Tapscott (2006) geeft aan dat het vertrouwen van stakeholders in ondernemingen als gevolg van diverse schandalen laag is. Volgens Tapscott stimuleert een integrale benadering van governance, risk management en compliance een verbetering in de relatie tussen de stakeholders en de onderneming, wat uiteindelijk het vertrouwen in elkaar faciliteert.
Het wordt duidelijk dat het lage maatschappelijke vertrouwen in ondernemingen, waaronder financiële instelling, problematisch is. Mogelijk kan een integrale benadering van governance, risk management en compliance (het GRC-raamwerk) een rol spelen bij het faciliteren van transparantie, om zodoende het vertrouwen in de sector te herwinnen. Mede daarom is het relevant om te onderzoeken in hoeverre een integrale benadering van de verschillende factoren van het GRC-raamwerk op dit moment waarneembaar is in het jaarverslag van financiële instellingen. Vervolgens wordt duidelijk in hoeverre op dit terrein nog winst is te boeken. Echter, hiervoor is het ontwikkelen en vaststellen van een geschikte onderzoeksmethode noodzakelijk.
1.5 Onderzoeksopzet en structuur
In paragraaf 1.1 is aangegeven dat de betrokkenheid van financiële instellingen bij diverse incidenten/schandalen heeft geleid tot een dieptepunt in het maatschappelijk vertrouwen. Dit is het vertrekpunt van deze scriptie. Gelet op de probleemstelling is de scriptie opgesplitst in twee gedeelten. In het eerste gedeelte zijn de centraal staande begrippen vanuit de theorie onderbouwd. Hierbij worden tevens de ontwikkelingen binnen dit betreffende vakgebied besproken. Dit betreft het theoretisch kader. Het tweede gedeelte van de scriptie is gericht op de zichtbaarheid van het GRC-raamwerk binnen het jaarverslag van financiële instellingen. Dit tweede gedeelte is de kern van de scriptie.
De scriptie is als volgt opgebouwd:
In hoofdstuk 2 wordt op basis van wetenschappelijke literatuur en actuele publicaties aandacht besteed aan governance, risk management, compliance en het overkoepelende GRC-raamwerk. In hoofdstuk 3 wordt de methodologie besproken. Hier wordt onder andere uitgewerkt op welke wijze de onderzoekspopulatie tot stand is gekomen. Daarnaast wordt toegelicht op welke wijze het meetinstrument, een vragenlijst, is ontwikkeld. In hoofdstuk 4 worden de resultaten van het uitgevoerde onderzoek besproken. Deze resultaten worden geanalyseerd op basis van de, in hoofdstuk 3, opgestelde onderzoeksaanpak. Tot slot komt in hoofdstuk 5 de conclusie en discussie aan bod. De beantwoording van de probleemstelling staat centraal, welke terug te vinden is in paragraaf 1.2. Tevens worden de tekortkomingen van de scriptie benoemd, waarbij ook aanbevelingen worden gedaan ten aanzien van vervolgonderzoek.
2. THEORETISCH KADER
In dit hoofdstuk wordt de relevante literatuur besproken. Deze literatuur heeft betrekking op het centraal staande GRC-raamwerk. Allereerst worden de drie begrippen (governance, risk management en compliance) individueel toegelicht en nader gespecificeerd. Vervolgens wordt het GRC-raamwerk verder uitgewerkt, waarin de drie factoren worden geïntegreerd. Tevens worden de centraal staande theorieën uitgewerkt.
2.1 Governance
Allereerst is het belangrijk om het verschil aan te duiden tussen enerzijds governance en anderzijds corporate governance. Binnen de literatuur bestaat geen eenduidige definitie voor deze begrippen. De OCEG (2009) beschrijft governance als: “the culture, values, mission,
structure and layers of policies, processes and measures by which organizations are directed
and controlled”. Corporate governance heeft betrekking op ‘deugdelijk’
ondernemingsbestuur, hetgeen het gevolg is van de scheiding tussen leiding en eigendom. Voor het creëren van duidelijkheid met betrekking tot zeggenschap en controle is het voor ondernemingen noodzakelijk om te beschikken over goede corporate governance (SEO, 2012). De Nederlandse Corporate Governance Code (Monitoring Commissie Corporate Governance Code, 2008) geeft aan dat corporate governance betrekking heeft op “de
verhoudingen tussen het bestuur, de raad van commissarissen en de aandeelhouders”. De
verhouding tussen deze partijen wordt aangeduid als de driehoeksrelatie. De ontwikkeling van corporate governance codes is voor het vakgebied corporate governance van groot belang geweest.
In wetenschappelijke artikelen met betrekking tot het GRC-raamwerk, bijvoorbeeld het onderzoek van Racz et al. (2010), wordt uitgegaan van het begrip corporate governance. Daarom zal de beschrijving van corporate governance het uitgangspunt zijn binnen deze scriptie.
Vanwege de omstandigheid dat het vertrouwensniveau in de financiële sector in de jaren negentig laag was, werd in het Verenigd Koninkrijk de Committee on the Financial Aspects of Corporate Governance ingesteld. Deze commissie publiceerde in 1992 het Cadbury Report (1992). Deze publicatie heeft tot gevolg gehad dat er wereldwijd diverse corporate governance codes zijn ontwikkeld en geïmplementeerd (Akkermans et al., 2007). In het artikel van Akkermans et al. wordt het achterliggende doel van corporate governance codes aangegeven: het streven naar een verbetering op het gebied van kwaliteit en transparantie om zodoende de ondernemingsprestaties en het vertrouwen van de investeerders te herstellen. Aguilera & Cuervo-Cazurra (2009) schatten dat er sinds 1992 ongeveer 200 corporate governance codes zijn ontwikkeld, waarvan de Nederlandse Corporate Governance Code er één is. Mede door de wereldwijde ontwikkeling van corporate governance codes, is er al verscheidene malen wetenschappelijk onderzoek gedaan naar de toepassing van corporate governance (bijvoorbeeld Akkermans et al., 2007), de effecten van de toepassing van
corporate governance codes op de waarde van de onderneming (bijvoorbeeld De Jong et al., 2005) en naar het ‘pas toe of leg uit’-beginsel (bijvoorbeeld Hooghiemstra, 2012).
Onder leiding van de Commissie Tabaksblat is de Nederlandse Corporate Governance Code ontwikkeld, welke vanaf 1 januari 2004 in werking is getreden. De code is opgebouwd uit diverse principes en best practice bepalingen. Per 1 januari 2009 is de corporate governance code onder leiding van de Commissie Frijns geactualiseerd. De Nederlandse corporate governance code is wederom toe aan vernieuwing (FD, 2015a). Zoals te lezen is in het instellingsbesluit van de Minister van Economische Zaken (2013) heeft Commissie Van Manen de taak om de bestaande corporate governance code te actualiseren waarbij de bruikbaarheid een belangrijk aspect is. Op 11 februari 2016 is door Commissie Van Manen een voorstel voor herziening van de Nederlandse Corporate Governance Code gepubliceerd (FD, 2016). Ondernemingen welke genoteerd zijn aan een Nederlandse beurs zijn verplicht de Nederlandse Corporate Governance Code na te leven. Dit geldt niet voor alle financiële instellingen.
Voor financiële instellingen geldt primair de Wet op het financieel toezicht (Wft), welke onder andere in gaat op het gebied van (corporate) governance. Het gedachtegoed van de Wft komt overeen met dat van de Nederlandse Corporate Governance Code. Mede daarom geeft DNB (2007) aan dat de Nederlandse Corporate Governance Code een goede basis vormt voor de beheersing van financiële instellingen.
Zoals in de achtergrond (paragraaf 1.1) is aangegeven, heeft het maatschappelijk vertrouwen in financiële instellingen en in de financiële sector een aanzienlijke deuk opgelopen. Aangezien vertrouwen binnen de financiële sector essentieel is, heeft de Nederlandse Vereniging van Banken (NVB) de Adviescommissie Toekomst Banken (Commissie Maas) ingesteld en verzocht om te onderzoeken op welke wijze het geschade vertrouwen hersteld kan worden. De Commissie Maas heeft een rapport (2009) met adviezen en aanbevelingen gepubliceerd. Dit heeft in 2010 geresulteerd in de invoering van de Code Banken door de NVB. Deze code is een wettelijk verankerde gedragscode die gebruik maakt van het ‘pas toe of leg uit’-beginsel. De code bevat onder andere principes op het gebied van governance en risk management (Monitoring Commissie Code Banken, n.d.). De NVB benadrukt (2014):
“de Code sluit aan op de Code Corporate Governance en bestaande wet- en regelgeving. Daarbij is ook gekeken naar de samenhang met Europese en internationale ontwikkelingen.”.
Om te waarborgen dat de code nageleefd wordt, is de Monitoring Commissie Code Banken in het leven geroepen. In december 2015 is er een onderzoeksrapportage van de Monitoring Commissie Code Banken (2015) gepubliceerd waarin aangegeven wordt dat de naleving van de code van goede kwaliteit is. Uit onderzoek blijkt dat er slechts beperkt van de bepalingen wordt afgeweken. De afwijkingen die gemaakt worden, hebben in de meeste gevallen betrekking op bepalingen met betrekking tot de Raad van Commissarissen en het beloningsbeleid.
Per januari 2015 is de vernieuwde Code Banken ingevoerd, welke van toepassing is op de in Nederland gevestigde leden van de NVB. De wettelijke verankering is verdwenen aangezien de Code Banken wordt gezien als een instrument van zelfregulering (Monitoring Commissie
Code Banken, 2015). In de vernieuwde Code Banken spelen cultuur en gedrag een belangrijke rol. Ook heeft cultuur en gedrag een plaats gekregen in het voorstel voor herziening van de Nederlandse corporate governance code (FD, 2016). Deze ontwikkeling is overigens niet onverwacht, Lückrath-Rovers (2011) onderkende al dat gedrag een belangrijkere rol gaat spelen binnen corporate governance.
2.2 Risk management
Zoals de OCEG (2009) beschrijft, ligt risk management tussen enerzijds de sturende werking van governance en anderzijds de grenzen van compliance. Ze beschrijven het doel van risk management als volgt: “to realize potential opportunities while managing adverse effects of
risk”.
Er bestaan binnen de literatuur diverse definities en aanduidingen voor het begrip risk management. De meest toonaangevende en gehanteerde definitie op het gebied van risk management is afkomstig van de Committee Of Sponsoring Organisations of the Treatway Commission (COSO). Deze organisatie beschrijft enterprise risk management als volgt (2004): “Enterprise risk management is a process, effected by an entity’s board of directors,
management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”.
Tevens heeft COSO een raamwerk ontwikkeld dat betrekking heeft op de interne beheersing van processen om zodoende doelstellingen te behalen. Op basis van het COSO-raamwerk worden de risico’s gecategoriseerd in de volgende groepen: strategische risico’s, operationele risico’s, financiële risico’s, compliance risico’s en financiële verslaggevingsrisico’s (AFM, 2014). Dit COSO-raamwerk wordt samen met de risicoclassificatie door de Monitoring Commissie Corporate Governance Code en de Sarbanes Oxley wetgeving gehanteerd (Mertens & Blij, 2008). Het COSO-raamwerk wordt tevens genoemd in het voorstel voor herziening van de Nederlandse Corporate Governance Code, welke onder leiding van de Commissie Van Manen tot stand is gebracht (Monitoring Commissie Corporate Governance Code, 2016). Het Nyenrode Corporate Governance Instituut (2013) geeft aan dat het COSO-raamwerk een helder communicatiemiddel is met betrekking tot de interne beheersing, ook voor financiële instellingen.
Volgens Power (2004) is risk management meer dan een technische handeling. Hij geeft aan dat waarden en idealen een belangrijke rol spelen. Gordon, Loeb & Tseng (2009) geven aan dat het belangrijk is om risk management op een holistische manier te benaderen; hierbij is het uitgangspunt dat het verweven is in de gehele onderneming. Tevens geven de auteurs aan dat er in het verleden veel onderzoek is gedaan naar de invloed van risk management op de ondernemingsprestaties en op de toegang tot de vermogensmarkt, bijvoorbeeld door Nocco & Stulz (2006). Linsely, Shrives & Crumption (2006) geven aan dat transparantie omtrent risico’s en risicobeheersing van grote waarde is voor stakeholders. Dit wordt door een onderzoek van de Autoriteit Financiële Markten (2014) bevestigd.
Uit het onderzoek van Paape et al. (2009) blijkt dat er sinds de crisis binnen Nederlandse ondernemingen steeds meer aandacht is gekomen voor risico’s en risicomanagement. De wettelijk verankerde Nederlandse Corporate Governance Code (Monitoring Commissie Corporate Governance Code, 2008) geeft aan dat in de risicoparagraaf van het jaarverslag een beschrijving van de belangrijkste risico’s voor de onderneming opgenomen moet worden. Een opvallende conclusie van het onderzoek van Deloitte (2012) is dat er nauwelijks sprake is van een aanpassing van de risicoparagraaf, terwijl dit op basis van het onderzoek van Paape et al. wel verwacht zou worden aangezien het onderzoek ten tijde van de crisis (tussen 2006 en 2010) bij beursgenoteerde ondernemingen is uitgevoerd. Deze conclusie was ook tegen de verwachting van Deloitte zelf in, wat de verklaring hiervan is blijft onduidelijk. Er wordt opgemerkt dat de risicoparagraaf voornamelijk bestaat uit algemene opmerkingen om zodoende te voldoen aan de wettelijke voorschriften.
In paragraaf 2.1 is de Code Banken geïntroduceerd. De principes uit deze code hebben niet alleen betrekking op governance, maar ook op risk management (Monitoring Commissie Code Banken, n.d.). In de onderzoeksrapportage van december 2012 (Monitoring Commissie Code Banken, 2012) wordt de constatering gedaan dat de beoordeling, behandeling en beheersing van risico’s bij de middelgrote en grote banken op een integrale manier plaatsvindt. Tevens geeft de commissie in haar rapportage aan dat, mede door de introductie van de Code Banken, risk management binnen banken hoog op de agenda staat.
2.3 Compliance
Sinds de omvangrijke schandalen, zoals Enron en Worldcom, is onder andere compliance een belangrijk onderwerp van discussie. Zoals in de achtergrond (paragraaf 1.1) is aangegeven, gaat het bij compliance over het handelen in overeenstemming met geldende wet- en regelgeving. Hieronder vallen tevens de verschillende opgestelde gedragscodes. Wanneer er niet aan de wet- en regelgeving wordt voldaan, wordt er gesproken over non-compliance. De consequenties van non-compliance kunnen groot zijn, hierbij kan gedacht worden aan financiële schade en reputatie schade (Allen & Overy, 2015). Door meer en scherpere wet- en regelgeving te introduceren moeten nieuwe schandalen en crises voorkomen worden. Daardoor is de invloed van compliance de afgelopen jaren steeds groter geworden. Compliance dient daarom hoog op de agenda te staan.
Ook bij de toezichthouders voor de financiële sector, de AFM en DNB, staat compliance hoog op de agenda. In DNB’s meest recente visie voor het toezicht op de financiële sector is integriteit en compliance een belangrijke pijler (DNB, 2014). In lijn hiermee heeft DNB kort geleden een meldpunt geopend waar medewerkers van financiële instellingen melding kunnen maken van zaken die niet in overeenstemming zijn met huidige wet- en regelgeving (DNB, 2016).
In het kader van compliance is het van belang om de ontwikkelingen met betrekking tot de Basel richtlijnen te benoemen. De ontwikkeling van de Basel richtlijnen behoort tot het takenpakket van de Basel Committee on Banking Supervision (BCBS). De BCBS houdt zich bezig met het ontwikkelen van wereldwijde standaarden voor prudentieel toezicht/regulering
van banken (BIS, 2015). De BCBS maakt onderdeel uit van de in 1930 opgerichte Bank for International Settlements (BIS). De missie van BIS ludit als volgt (BIS, n.d.): “To serve
central banks in their pursuit of monetary and financial stability, to foster international cooperation in those areas and to act as a bank for central banks.”. Zoals uit deze missie
blijkt, is het streven naar monetaire en financiële stabiliteit een belangrijke bestaansreden van de organisatie. Om dit doel na te streven is in 1974 onder andere de BCBS opgericht.
In de afgelopen jaren heeft de crisis aangetoond dat de richtlijnen van Basel 2 niet toereikend zijn geweest, dit heeft noodzakelijkerwijs geleid tot de ontwikkeling van Basel 3. Het overkoepelende doel van Basel 3 heeft betrekking op de verdere verbetering van de financiële stabiliteit, waarmee aangesloten wordt op de missie van de BIS. Het Basel 3 akkoord moet banken in staat stellen om omvangrijke economische tegenslagen beter op te vangen en te verwerken. Het Basel 3 akkoord is een verdere aanscherping van het Basel 2 akkoord, waarbij de nadruk is verlegd naar solvabiliteit en liquiditeit. De ingrijpende maatregelen van Basel 3 hebben betrekking op een aantal terreinen (DNB, 2011): (I) de aanscherping van kapitaaleisen, (II) de invoering van leverage ratio om ongecontroleerde groei van de balans tegen te gaan en (III) het instellen van liquiditeitseisen om zodoende de zwaarste stesstesten te overleven. Aangezien het Basel 3 akkoord verstrekkende gevolgen heeft, vindt de implementatie stapsgewijs plaats. De implementatie dient in 2019 voltooid te zijn.
Het Basel 3 akkoord wordt binnen de Europese Unie wettelijk verankerd door middel van Capital Requirements Directive (CRD IV) en de Capital Requirements Regulation (CRR). Dit zijn twee nieuwe wetgevingsinstrumenten: een richtlijn (CRD IV) en een verordening (CRR). Volgens Joosen (2014) hangen de richtlijn en de verordening nauw met elkaar samen. Joosen geeft daarbij aan wat het onderscheid is: de verordening is per 1 januari 2014 voor alle EU-lidstaten bindend terwijl de richtlijn door alle EU-lidstate moet worden verwerkt in de nationale wetgeving. De European Banking Authority (EBA, n.d.) speelt bij de implementatie binnen de Europese Unie een belangrijke rol.
Naast de internationale wet- en regelgeving is er in 2010 in Nederland de Code Banken geïntroduceerd. Aangezien deze code wettelijk verankerd is, is naleving voor de financiële instellingen verplicht. De Code Banken heeft onder andere betrekking op governance en risk management. Zoals in paragraaf 2.1 duidelijk is geworden, is de Monitoring Commissie Code Banken in het leven geroepen om te beoordelen in hoeverre de opgestelde code nageleefd wordt. Dit resulteert in jaarlijkse publicaties. In de publicatie van december 2012 geeft de commissie aan dat er een positieve ontwikkeling waarneembaar is met betrekking tot de transparantie van banken over de toepassing van de code (Monitoring Commissie Code Banken, 2012). Hierbij geeft de commissie aan dat de verschillen tussen banken op dit gebied groot zijn, waarbij grotere banken beter presteren in vergelijking tot de kleinere banken. Uit de rapportage van december 2015 (Monitoring Commissie Code Banken, 2015) blijkt een hoog nalevingspercentage van de Code Banken.
De Code Banken is tot stand gekomen nadat de Adviescommissie Toekomst Banken onderzoek heeft gedaan naar het functioneren van de financiële sector. Dit onderzoek
resulteerde in adviezen en aanbevelingen, welke onder andere betrekking hadden op de cultuur binnen de financiële sector. Het is zodoende duidelijk geworden dat in veel gevallen niet het klantbelang maar de financiële doelstellingen centraal stonden (Spoor & Verheij, 2013). Om een cultuuromslag te bewerkstelligen deed de Adviescommissie Toekomst Banken de aanbeveling om een bankierseed in te stellen. Deze bankierseed is vanaf 2015 wettelijk verankerd. Spoor & Verheij beschouwen de bankierseed als het fundament van het beleid omtrent compliance, waarin integriteit een facet is.
De vernieuwde Code Banken maakt samen met de gedragsregels en het maatschappelijk statuut onderdeel uit van het programma Toekomstgericht bankieren. Met de gedragsregels wordt ingegaan op de taken en verantwoordelijkheden van individuele medewerkers van de betreffende instellingen. De taken en verantwoordelijkheden ten aanzien van de sector en de maatschappij worden in het maatschappelijk statuut uitgewerkt. Met dit programma hoopt de NVB het (maatschappelijk) vertrouwen in de banken te herstellen (NVB, 2016).
2.4 GRC-raamwerk
In 2002 is de Open Compliance and Ethics Group (OCEG) in de Verenigde Staten opgericht. Deze organisatie houdt zich voornamelijk bezig met de ontwikkeling van de vakgebieden governance, risk management en compliance. In 2009 gaf de organisatie in een publicatie aan dat er een duidelijke relatie bestaat tussen de verschillende vakgebieden. Door de vakgebieden integraal te benaderen kan de effectiviteit en efficiëntie van de activiteiten die behoren tot deze vakgebieden worden verhoogd. Derhalve blijkt uit het rapport dat de OCEG voorstander is van een integrale benadering.
PWC schreef in 2004 voor het eerst over een geïntegreerde aanpak van de vakgebieden governance, risk management en compliance. In deze publicatie (2004) gaf PWC aan dat de integratie van de vakgebieden toegevoegde waarde kan bieden. Zoals uit paragraaf 1.4 bleek, kan de geïntegreerde benadering leiden tot concurrentievoordeel.
In het onderzoek van Chatterjee & Milam (2008) wordt concreter ingegaan op effecten die gekoppeld zijn aan een geïntegreerde aanpak van de vakgebieden governance, risk management en compliance. Zo geven de auteurs aan dat institutionele beleggers en rating agencies positief reageren op situaties waarin een geïntegreerde benadering van toepassing is. De auteurs merken hierbij op dat deze institutionele beleggers en rating agencies een omvangrijke invloed hebben op de cost of capital en de marktwaarde van de onderneming. Een ander voordeel hangt volgens de auteurs samen met kostenbesparingen, doordat onder andere dubbele werkzaamheden worden voorkomen.
Volgens Chatterjee & Milam (2008) heeft de integratie van de vakgebieden uiteindelijk een positieve invloed op de transparantie van de onderneming en kan zodoende van waarde zijn voor de Raad van Bestuur en de stakeholders van de onderneming.
Volgens Racz et al. (2010) is er veel onderzoek gedaan naar de afzonderlijke vakgebieden governance, risk management en compliance. Volgens de auteurs zijn er weinig wetenschappelijke onderzoeken uitgevoerd naar een mogelijke integratie van de verschillende gebieden. Mede daardoor is het begrip van het GRC-raamwerk divers en wijd verspreid.
Racz et al. besteedt in zijn onderzoek ook aandacht aan het ontwikkelen van een definitie met betrekking tot het GRC-raamwerk, wat geresulteerd heeft in: “GRC is an integrated, holistic
approach to organisation-wide governance, risk and compliance ensuring that an organisation acts ethically correct and in accordance with its risk appetite, internal policies and external regulations through the alignment of strategy, processes, technology and people, thereby improving efficiency and effectiveness.”.
In het onderzoek van Vicente & Da Silva (2011) wordt bevestigd dat er op dit moment beperkt wetenschappelijk onderzoek is uitgevoerd met betrekking tot het GRC-raamwerk. Tevens geven Vicente & Da Silva aan dat een integrale benadering van governance, risk management en compliance steeds belangrijker wordt voor ondernemingen. Dit wordt voornamelijk veroorzaakt door de toename van wet- en regelgeving, globalisering en een toenemende behoefte aan transparantie.
2.5 Theoretische inkadering
Binnen deze paragraaf worden de centraal staande theorieën benoemd en besproken. Op grond van deze theorieën worden de uitkomsten van de scriptie geïnterpreteerd. Allereerst wordt de agency theorie uitgewerkt, welke nauw verbonden is met de stakeholders theorie en de legitimiteitstheorie. Tevens wordt de gelieerde voluntary disclosure theorie nader uitgewerkt.
Agency theory
Zoals Hill & Jones (1992) aangeven heeft de agency theorie betrekking op de relatie tussen enerzijds managers (oftewel de agent) en anderzijds aandeelhouders (oftewel de principaal). Wanneer de belangen van de agent en de principaal tegenstrijdig zijn, kan de agent suboptimaal gedrag vertonen (Eisenhardt, 1989). Jensen & Meckling (1976) geven aan dat de agent eerder over zal overgaan tot het nastreven van het eigen belang in de situatie dat de principaal de gevolgen van het handelen van de agent niet kan verifiëren.
In zekere zin speelt het agency probleem ook binnen de financiële sector. Dit wordt bevestigd door onder andere Liao, Chen & Lu (2009). Binnen financiële instellingen is er zowel sprake van een scheiding tussen leiding en eigendom als sprake van informatie asymmetrie, waardoor suboptimaal gedrag op de loer ligt. De gevolgen van suboptimaal gedrag kunnen voor financiële instellingen omvangrijk zijn. Wanneer het voortbestaan van de onderneming onder druk staat, zullen de consequenties niet alleen voor de aandeelhouders van de betreffende instelling zijn, maar in veel gevallen voor de gehele maatschappij. Doordat de instellingen een omvangrijke invloed hebben op de economie en maatschappij zal de overheid in deze situatie ondersteunend optreden. Mede om deze reden is het voor de toezichthouder cruciaal om op een effectieve wijze haar toezichtsrol uit te voeren.
Healy & Palepu (2001) hebben een onderzoek gedaan naar onder andere informatie asymmetrie. De auteurs geven aan dat een situatie van informatie asymmetrie de vraag naar (financiële) rapportages en publicaties stimuleert. Doordat er op deze wijze meer informatie beschikbaar komt voor de stakeholders, neemt de mate van informatie asymmetrie tussen
agent en principaal af. Zo geven Dobler, Lajili & Zéghal (2011) aan dat de informatie asymmetrie tussen de manager en de stakeholder afneemt naarmate de onderneming beter rapporteert over haar risico’s en de genomen beheersmaatregelen (kortom, risk management).
Stakeholders theorie
De context van de stakeholders theorie is in vergelijking met de agency theorie breder. Zo heeft de agency theorie betrekking op de relatie tussen de agent (het management/directie) en de principaal (één stakeholder: de aandeelhouder), terwijl bij de stakeholders theorie het belang van alle stakeholders centraal staat. Zoals Boot & Soeting (2004) bevestigen gaat het bij de stakeholders theorie niet primair om de waardecreatie voor de aandeelhouder, maar om de waardecreatie voor de stakeholder (de auteurs geven het personeel als voorbeeld van een belangrijk stakeholder).
Met het boek Strategic Management: a stakeholder approach (1984) heeft Edward Freeman de basis voor de stakeholders theorie gelegd. Freeman & Reed (1983) definiëren het begrip stakeholders als: “any identifiable group or individual who can affect the achievement of an
organizations objectives or who is affected by the achievement of an organization’s objective”. Vervolgens geven Freeman & Reed ook aan welke partijen oorspronkelijk tot de
stakeholders gerekend werden: “shareowners, employees, customers, suppliers, lenders, and
society”. Aangezien de stakeholder zich in afhankelijkheid bevindt van de onderneming, moet
volgens Boot & Soeting (2004) transparantie het uitgangspunt zijn voor de informatieverschaffing van ondernemingen. Hill & Jones (1992) geven aan dat stakeholders belang hechten aan een zorgvuldige governance structuur.
De NVB (2014a) geeft in haar visie op duurzaam en verantwoord ondernemen aan dat een bank diverse stakeholders heeft, te weten: “klanten, medewerkers, aandeelhouders, andere
kapitaalverschaffers en de samenleving als geheel”. Dit komt in hoge mate overeen met de
door Freeman & Reed onderkende stakeholders. Sinds de recente bankencrisis is pijnlijk duidelijk geworden op welke wijze de verschillende stakeholders financieel getroffen kunnen worden.
Legitimiteitstheorie
De context van de legitimiteitstheorie is in vergelijking met de stakeholders theorie een stap breder. Zoals eerder is aangegeven heeft de stakeholders theorie betrekking op de belangen van de stakeholder, terwijl de legitimiteitstheorie betrekking heeft op de belangen van de gehele maatschappij. Boot & Soeting (2004) geven aan de betrokken partijen binnen de legitimiteitstheorie als: “de stakeholders van de samenleving”.
Suchman (1995) beschrijft legitimiteit als: “a generalized perception or assumption that the
actions of an entity are desirable, proper, or appropriate within some socially constructed system of norms, values, beliefs and definitions”. Legitimiteit is een belangrijke
bestaansvoorwaarde voor de onderneming. Boot & Soeting (2004) geven aan dat de legitimiteitstheorie betrekking heeft op de relatie tussen de onderneming en de maatschappij, om zodoende de continuïteit van de onderneming te waarborgen. Het managen van deze
relatie vindt plaats met behulp van een social contract, waarin de verwachtingen vanuit de maatschappij worden gedefinieerd (Archel et al., 2009). De onderneming dient zich te gedragen op een wijze die door de maatschappij als rechtvaardig, redelijk en integer wordt gekwalificeerd (Boot & Soeting, 2004).
Door het publiceren van diverse rapportages, waaronder het jaarverslag, is het voor ondernemingen mogelijk om legitimiteit aan te tonen. Volgens de NVB hebben financiële instellingen een maatschappelijke kernfunctie, welke voor banken sterk samenhangt met het aantrekken en uitzetten van geld. Wanneer de sector deze kerntaak uit het oog verliest, wordt het risico op maatschappelijke onvrede en daarmee verlies aan legitimiteit groot.
De maatschappelijke kernfunctie heeft de NVB opgenomen in het recent geïntroduceerde programma ‘Toekomstgericht bankieren’. Onderdeel van dit programma is het maatschappelijk statuut. Dit statuut gaat expliciet in op de (maatschappelijke) taken en verantwoordelijkheden van de financiële instellingen. Zodoende wordt duidelijk dat het maatschappelijk statuut van de NVB aansluit op het social contract van de legitimiteitstheorie.
Voluntary disclosure theorie
Zoals bij de legitimiteitstheorie is aangegeven, is het voor ondernemingen noodzakelijk om rapportages te publiceren. Met behulp van wet- en regelgeving is het publiceren van bepaalde informatie verplicht gesteld. Daarnaast hebben ondernemingen de vrijheid om aanvullende informatie te publiceren om zodoende aan de gebruiker meer duidelijkheid te verstrekken. De verklaring voor het vrijwillig publiceren van aanvullende informatie is onderdeel van de voluntary disclosure theorie.
Brammer & Pavelin (2006) geven aan dat de agency theorie aan de basis ligt van de voluntary disclosure theorie, mede omdat het vrijwillig verstrekken van relevante informatie bijdraagt aan een verlaging van de informatie asymmetrie. Daarnaast beargumenteren Watson, Shrives & Marston (2002) dat managers met behulp van het vrijwillig verstrekken van informatie de aandeelhouders willen overtuigen dat zij in het belang van de onderneming handelen. Ook bestaat er een relatie tussen de voluntary disclosure theorie en de legitimiteitstheorie. Zoals eerder is aangegeven is het voor het verkrijgen van legitimiteit noodzakelijk dat de onderneming de maatschappij informeert, dit kan zowel met behulp van verplicht te verstrekken informatie als met vrijwillig te verstrekken informatie.
2.6 Hypothesevorming
Binnen deze paragraaf worden de hypothesen besproken. Deze hypothesen zijn opgesteld op basis van de verwachtingen die zijn gevormd door de genoemde literatuur en de beschreven theorieën.
Verslaglegging algemeen
Zoals in de theoretische inkadering (paragraaf 2.5) is aangegeven, kan worden vastgesteld dat informatie asymmetrie een stimulerende werking heeft op de vraag naar rapportages en publicaties. Vanuit de stakeholders theorie wordt duidelijk dat deze vraag wordt uitgeoefend door de stakeholders van de betreffende onderneming/instelling. De informatiebehoefte heeft,
onder andere, betrekking op informatie ten aanzien van de drie vakgebieden van het GRC-raamwerk. Zo geven Archambeault, DeZoort en Holt (2008) aan dat er vanuit de stakeholders de behoefte is aan informatie ten aanzien van governance binnen de onderneming. Deze behoefte bestaat volgens Linsley & Shrives (2005) en Fasterling (2012) ook ten aanzien van, respectievelijk, risk management en compliance informatie.
Dit leidt tot de eerste hypothese: financiële instellingen verschaffen veel informatie ten aanzien van de vakgebieden van het GRC-raamwerk.
Verslaglegging governance, risk management en compliance
In aanvulling op de eerste hypothese moet opgemerkt worden dat er aan de integrale benadering van governance, risk management en compliance voordelen zijn verbonden. Deze voordelen zijn onder andere besproken in de paragraaf met betrekking tot de wetenschappelijke relevantie (paragraaf 1.4) en het GRC-raamwerk (paragraaf 2.4). Aangezien het GRC-raamwerk in 2004 is geïntroduceerd zouden de financiële instellingen zich bewust kunnen/moeten zijn van de genoemde voordelen. Het is daarom de verwachting dat een integrale benadering door de financiële instellingen wordt toegepast.
Als randvoorwaarde voor de integrale benadering van de drie vakgebieden moet worden vastgesteld of de aandacht naar de individuele vakgebieden van gelijk niveau is. Wanneer sprake is van een integrale benadering zal derhalve verwacht worden dat de betreffende instelling op een gelijkwaardige manier aandacht besteed aan de vakgebieden van het GRC-raamwerk. Het is waarschijnlijk dat een aantal financiële instellingen in beperktere mate rapporteren ten aanzien van één of meerder vakgebieden van het GRC-raamwerk. Om te voorkomen dat deze instellingen te hoog worden geclassificeerd is het noodzakelijk om een aanvullende voorwaarde op te nemen ten aanzien van de onderzoeksresultaten: de mate van informatieverschaffing (hypothese 1). De mate van informatieverschaffing moet minimaal gelijk zijn aan 60% om zodoende te realiseren dat de betreffende instellingen ruimschoots informatie verschaffen ten aanzien van de vakgebieden van het GRC-raamwerk.
Dit leidt tot de tweede hypothese: financiële instellingen maken een integrale benadering van governance, risk management en compliance in het jaarverslag zichtbaar.
Verslaglegging algemene en specifieke financiële instellingen
Financiële instellingen houden zich bezig met diverse activiteiten, waar onder bancaire activiteiten. Wanneer de hoofdactiviteit van de financiële instelling gerelateerd is aan bancaire activiteiten moet er gesproken worden van algemene financiële instellingen. Wanneer de hoofdactiviteit van de financiële instelling geen betrekking heeft op bancaire activiteiten moet er gesproken worden van specifieke financiële instellingen. Bij specifieke financiële instellingen kan gedacht worden aan verzekeringsmaatschappijen welke als aanvullende activiteit bancaire werkzaamheden verrichten.
Vanuit de theorie blijkt dat het belangrijk is om onderscheid te maken tussen enerzijds algemene en anderzijds specifieke financiële instellingen. Zo wordt op basis van de literatuur
duidelijk dat de ontwikkelingssnelheid van de verschillende typen instellingen verschillend is. Met betrekking tot de verzekeringssector (aangeduid als de specifieke financiële instellingen) is sinds januari 2016 de Solvency 2 richtlijn in werking getreden. Door onder andere Vagadia (2014) wordt aangegeven dat de Solvency 2 richtlijn te vergelijken is met de regelgeving van Basel 2. Zoals in paragraaf 2.3 duidelijk is geworden, is inmiddels voor de bancaire sector (aangeduid als algemene financiële instellingen) gestart met de implementatie van Basel 3. Zodoende kan geconcludeerd worden dat de ontwikkelingen binnen de bancaire sector sneller verlopen. Aangezien de ontwikkelingssnelheid voor algemene financiële instellingen hoger ligt is het de verwachting dat dit type instellingen in vergelijking met de specifieke financiële instellingen eerder over zullen gaan op een integrale benadering van de vakgebieden van het GRC-raamwerk.
Dit leidt tot de derde hypothese: algemene financiële instellingen rapporteren in vergelijking met specifieke financiële instellingen beter ten aanzien van de integrale benadering van governance, risk management en compliance.
Verslaglegging GRC-raamwerk
Op basis van de eerder besproken theorieën is het de verwachting dat de financiële instellingen de toepassing van het GRC-raamwerk specifiek benoemen. Door kenbaar te maken dat de integrale benadering van toepassing is, worden de benoemde voordelen mogelijk eerder gerealiseerd.
Dit leidt tot de vierde hypothese: financiële instelling benoemen het GRC-raamwerk in het jaarverslag.
3. METHODOLOGIE
In dit hoofdstuk wordt ingegaan op de verantwoording ten aanzien van uitganspunten welke aan de basis liggen van de scriptie. Allereerst wordt ingegaan op de onderzoekspopulatie, gevolgd door de onderzoeksaanpak waar onder andere de opgestelde vragenlijst aan bod komt. Tevens wordt uitgewerkt op welke wijze de validiteit en betrouwbaarheid gewaarborgd zijn.
3.1 Onderzoekspopulatie
In paragraaf 1.1 is aangegeven dat de betrokkenheid van financiële instellingen bij diverse incidenten/schandalen hebben geleid tot een dieptepunt in het maatschappelijk vertrouwen in de financiële sector. Door de verschillende nationale en internationale toezichthouders voor de financiële sector is duidelijk gemaakt dat transparantie noodzakelijk is voor het herstel van het maatschappelijk vertrouwen. Mogelijk kan het GRC-raamwerk hierbij een belangrijke rol spelen.
Met behulp van deze scriptie wordt vastgesteld in hoeverre het GRC-raamwerk op dit moment zichtbaar is in het jaarverslag van financiële instellingen met een Nederlandse achtergrond. Zoals in paragraaf 1.3 is aangegeven, wordt voor de afbakening van het begrip financiële instellingen uitgegaan van de categorisering van DNB. Volgens DNB zijn de volgende ondernemingen aan te merken als een financiële instelling (DNB, n.d.): banken, beleggingsinstellingen, verzekeringsmaatschappijen, pensioenfondsen, overige financiële instellingen en premiepensioeninstellingen.
Gezien de omvangrijke maatschappelijke belangstelling voor banken wordt binnen dit onderzoek de zichtbaarheid van het GRC-raamwerk alleen onderzocht voor financiële instellingen met een zetel in Nederland, die beschikken over een bankvergunning op grond van de Wet op het financieel toezicht (Wft). Hierbij is als aanvullende voorwaarde opgenomen dat de financiële instelling aan een Nederlandse beurs genoteerd moet zijn, dan wel volledig in eigendom moet zijn van een in Nederland gevestigde moedermaatschappij. Tevens is het noodzakelijk dat het jaarverslag over 2014 (en indien aanwezig de rapportage in het kader van Pillar 3/CRD IV) op de website van de financiële instelling te vinden is. Dit heeft geresulteerd in een onderzoekspopulatie van 18 financiële instellingen. In tabel 1 zijn de onderzochte financiële instellingen opgenomen.
In tabel 1 zijn de 18 financiële instellingen ingedeeld in drie categorieën: systeemrelevante financiële instellingen, niet-systeemrelevante financiële instellingen en overige financiële instellingen.
DNB beoordeelt periodiek welke financiële instellingen aangemerkt worden als systeemrelevant. Deze systeemrelevante financiële instellingen zijn cruciaal voor het functioneren van de Nederlandse economie en maatschappij. Wanneer deze instellingen in moeilijkheden komen zal de Nederlandse overheid ondersteunend optreden, om zodoende een dreigend faillissement te voorkomen. Uit een publicatie in het DNBulletin (DNB, 2014a) wordt duidelijk dat er in 2014 vier instellingen als systeemrelevant zijn gekenmerkt. In 2015 is hieraan één instelling toegevoegd, het betreft BNG Bank. Doordat op het jaarverslag van 2014 wordt gefocust, wordt de indeling van 2014 aangehouden worden.
Voor de resterende instellingen is er onderscheid gemaakt tussen enerzijds systeemrelevante financiële instellingen en overige financiële instellingen. De niet-systeemrelevante financiële instellingen betreffen instellingen waarvan de hoofdactiviteit betrekking heeft op bancaire activiteiten, maar niet zijn aangemerkt als systeemrelevante financiële instelling. Deze instellingen kunnen, samen met de systeemrelevante financiële instellingen, aangemerkt worden als algemene financiële instellingen. De overige financiële instellingen zijn instellingen waarvan de hoofdactiviteit geen directe betrekking heeft op bancaire activiteiten, hierbij moet gedacht worden aan verzekerings- en leasemaatschappijen. Een onderdeel van deze verzekerings- en leasemaatschappijen verricht bancaire activiteiten. Deze instelling kunnen daardoor aangemerkt worden als specifieke financiële instellingen.
3.2 Onderzoeksaanpak
Het onderzoek heeft tot doel om vast te stellen in hoeverre een integrale benadering van de vakgebieden governance, risk management en compliance zichtbaar is in het jaarverslag van de geselecteerde financiële instellingen. Een integrale benadering van de drie genoemde vakgebieden komt overeen met het GRC-raamwerk.
Aangezien het GRC-raamwerk een jonge en daarmee nieuwe ontwikkeling is, bestaat er geen eenduidig meetinstrument. Zodoende is het noodzakelijk om een meetinstrument te ontwikkelen, waarbij de integratie van de drie vakgebieden centraal staat. Het meetinstrument betreft een vragenlijst waarin specifieke vragen zijn opgenomen ten aanzien van de drie vakgebieden van het GRC-raamwerk. Voor ieder afzonderlijk vakgebied zijn 10 tot 15 vragen opgenomen, welke samen één vragenlijst vormen. Zodoende blijft het een handzame en overzichtelijke vragenlijst waarin alle relevante onderwerpen zijn opgenomen. De gehele vragenlijst is opgenomen in appendix A. Met behulp van deze vragenlijst is het mogelijk om het jaarverslag van de financiële instellingen eenduidig te bestuderen en op consistente wijze de relevante informatie vast te leggen.
De ontwikkelde vragenlijst bestaat uit gesloten vragen met een nominale schaal. De nominale schaal heeft een binair karakter, waarbij de antwoordmogelijkheden beperkt zijn tot ‘ja / nee’. De analyse van de uitkomsten vindt plaats door percentages te berekenen. Deze berekeningen worden enerzijds uitgevoerd voor de opgestelde vragen met betrekking tot het specifieke vakgebied (governance, risk management en compliance) en anderzijds uitgevoerd voor de gehele vragenlijst. Bij de analyse van de onderzoeksresultaten worden de financiële instellingen gecategoriseerd conform tabel 1. In hoofdstuk 4 wordt dit nader uitgewerkt. 3.2.1 Totstandkoming vragenlijst
De opgestelde vragenlijst is tot stand gekomen door bestaande onderzoeken te raadplegen waarbij het jaarverslag met behulp van een vragenlijst is bestudeerd. Deze geselecteerde onderzoeken moeten daarbij specifiek ingaan op één van de drie vakgebied van het GRC-raamwerk.
De binnen de onderzoeken gehanteerde vragenlijsten zijn bestudeerd. Vanuit deze vragenlijsten zijn alleen de vragen geselecteerd waarbij een raakvlak is geïdentificeerd met minimaal één ander vakgebied van het GRC-raamwerk. Op deze wijze is gewaarborgd dat de opgestelde vragen een integrale benadering van de drie vakgebieden benadrukt. Waarbij de vragenlijst handzaam en overzichtelijk blijft en ingaat op de relevante onderwerpen. De geselecteerde onderzoeken zullen kort toegelicht worden.
Governance
De opgestelde vragenlijst met betrekking tot het vakgebied governance is gebaseerd op het onderzoek van Ernst & Young (2011). Ernst & Young heeft onderzoek gedaan naar transparante verantwoording van zorginstellingen in het jaarverslag 2010. Binnen dit onderzoek heeft governance een prominente rol gekregen. Zodoende wordt duidelijk welke governance aspecten/onderwerpen, op basis van de corporate governance code, belangrijk zijn met betrekking tot transparante verantwoording binnen het jaarverslag. Derhalve worden er in het onderzoek van Ernst & Young verwijzingen gemaakt naar de corporate governance code, welke gerelateerd zijn aan de Nederlandse Corporate Governance Code en de Code Banken. In paragraaf 2.1 wordt duidelijk dat de Nederlandse Corporate Governance Code en de Code Banken voor financiële instellingen relevant zijn. De besproken onderwerpen binnen de vragenlijst van Ernst & Young zijn getoetst aan de twee voor financiële instellingen relevante governance codes. Waar nodig zijn aanvullingen gemaakt op de geselecteerde vragen. In
appendix A wordt duidelijk dat de voornaamste principes van de Code Banken zijn betrokken in de vragenlijst.
Risk management
De opgestelde vragenlijst met betrekking tot het vakgebied risk management is primair gebaseerd op het onderzoek van Mertens & Blij (2008). In dit onderzoek is ingegaan op de risico’s en beheersmaatregelen binnen het jaarverslag van Nederlandse beursgenoteerde ondernemingen. Dit onderzoek heeft een vragenlijst gehanteerd welke voornamelijk is gebaseerd op de Nederlandse Corporate Governance Code. Per 1 januari 2009 is er in Nederland een vernieuwde corporate governance code in werking getreden. Daardoor verdiende de door Mertens & Blij opgestelde vragenlijst een actualisering. Deze actualisering is in 2010 door het NIVRA uitgevoerd. Op basis van deze geactualiseerde vragenlijst heeft het NIVRA (2010) een vergelijkbaar onderzoek uitgevoerd. De geactualiseerde vragenlijst is binnen dit onderzoek als uitgangspunt gehanteerd.
Aangezien de Nederlandse Corporate Governance Code relevant is voor financiële instellingen is deze vragenlijst een goed uitgangspunt. Daarnaast zijn de vragen getoetst aan de Code Banken, welke in het verlengde ligt van de Nederlandse Corporate Governance Code.
Compliance
Met betrekking tot het vakgebied compliance bleek het vinden van bestaand onderzoek gecompliceerder te liggen. Daartoe is besloten om de vragenlijst met betrekking tot compliance te baseren op het onderzoek van IIA-werkgroep (2006). In aanvulling daarop is gebruik gemaakt van het onderzoek van VROM-Inspectie (2009).
De IIA-werkgroep (2006) heeft voor haar onderzoek verschillende case studies uitgevoerd, waarbij ondernemingen uit vier verschillende sectoren zijn bestudeerd. De sector financiële dienstverlening behoorde tot het onderzoeksgebied. Voor de case studies hebben diverse interviews plaatsgevonden met bij compliance betrokken functionarissen. Met behulp van een vooraf opgestelde vragenlijst hebben de interviews plaatsgevonden. Deze vragenlijst is opgenomen in de bijlage van het betreffende onderzoek, waarbij tevens per vraag een nadere toelichting is gegeven. Naast de interviews is relevante documentatie bestudeerd, welke betrekking heeft op compliance vraagstukken. Aangezien het onderzoek van de IIA-werkgroep voornamelijk gebruik heeft gemaakt van interviews, is ter ondersteuning aanvullend gebruik gemaakt van het onderzoek van VROM-inspectie (2009). Dit onderzoek gaat in op het toezicht op de naleving van wet- en regelgeving bij grote ondernemingen in Nederland. Om de naleving te verifiëren is een checklist opgesteld, bestaande uit diverse vragen op het gebied van compliance. In het onderzoek wordt aangegeven dat de checklist onder andere gebruikt kan worden bij het bestuderen van relevante documentatie.
De vragen vanuit het onderzoek van de IIA-werkgroep (2006) hebben als belangrijkste input gediend voor de opgestelde vragenlijst ten aanzien van compliance, aangezien de financiële sector onderdeel was van het onderzoeksgebied. Aanvullend is het onderzoek van
VROM-
inspectie (2009) gehanteerd om te verifiëren of de compliance gerelateerde elementen uit het jaarverslag zijn betrokken in het onderzoek.
De opgestelde vragenlijst is samengesteld op basis van bovenstaande drie componenten. Voor de volledigheid is de opgestelde vragenlijst opgenomen in appendix A. Aanvullend is de opgestelde vragenlijst vergeleken met de besproken elementen binnen het onderzoek van Shahim & Batenburg (2013). Deze auteurs hebben onderzoek gedaan naar de toepassing van het GRC-raamwerk, waarbij voor de drie vakgebieden is aangegeven welke elementen relevant zijn. Deze elementen komen terug in de opgestelde vragenlijst.
De werkzaamheden rondom het samenstellen van de vragenlijst zijn zelfstandig uitgevoerd. Nadien is er afstemming gezocht met een mede-scriptant, namelijk met Jelle Hulsebosch. Hij doet onderzoek naar de zichtbaarheid van het GRC-raamwerk in het jaarverslag van Nederlandse beursgenoteerde ondernemingen. Voor zijn onderzoek heeft hij op vergelijkbare wijze een vragenlijst opgesteld en heeft derhalve relevante inzichten. De opgestelde vragenlijsten zijn uitgewisseld en besproken. In hoge mate worden vergelijkbare thema’s besproken. Na deze afstemming is een beperkt aantal aanpassingen/aanvullingen doorgevoerd in de vragenlijst.
3.2.2 Validiteit en betrouwbaarheid
Om de validiteit en betrouwbaarheid van deze scriptie te waarborgen zijn verschillende controles/maatregelen ingebouwd. Allereerst wordt duidelijk dat de opgestelde vragenlijst volledig is gebaseerd op reeds bestaande onderzoeken. In de voorgaande paragraaf is voor de drie vakgebieden van het GRC-raamwerk aangegeven welke bestaande onderzoeken zijn gehanteerd. In de opgestelde vragenlijst zijn specifieke verwijzingen gemaakt naar de gehanteerde vragen vanuit de bestaande onderzoeken, zie hiervoor appendix A.
Daarnaast volgt uit appendix A dat de vragen in de opgestelde vragenlijst zijn toegelicht. In de toelichting is aangegeven op welke wijze deze vragen een raakvlak hebben met een ander vakgebied van het GRC-raamwerk. Op deze manier wordt duidelijk waarom de geselecteerde vragen binnen dit onderzoek relevant zijn.
Ten derde wordt duidelijk dat voor iedere vraag in de opgestelde vragenlijst een maatstaf is opgenomen. Met behulp van deze maatstaven is het inzichtelijk in welke gevallen voor antwoordmogelijkheid ‘ja’ is gekozen. Bij de beantwoording van de vragen is een toelichting opgenomen zodat verduidelijkt wordt welke relevante informatie in het jaarverslag is opgenomen. Op basis van deze informatie is het uiteindelijke antwoord tot stand gekomen. De voor elke financiële instelling ingevulde vragenlijst is op aanvraag beschikbaar.
Ten slotte is tijdens het bestuderen van de jaarverslagen, op regelmatige basis, de consistentie van de antwoorden en geschreven toelichten gecontroleerd. Zodoende is tijdens het onderzoek in een aantal gevallen het betreffende jaarverslag opnieuw bestudeerd om zodoende de toelichting te herschrijven.
4. ONDERZOEKSRESULTATEN
In dit hoofdstuk worden de onderzoeksresultaten weergegeven en besproken. De onderzochte financiële instellingen worden geclassificeerd volgens de indeling in hoofdstuk 3. Zodoende worden de onderzoeksresultaten uitgesplitst naar systeemrelevante, niet-systeemrelevante en overige financiële instellingen. Voor deze drie typen financiële instellingen is ter indicatie het gemiddelde onderzoeksresultaat weergegeven. Aangezien het aantal financiële instellingen per categorie verschillend is kan een vertekend beeld ontstaan.
Zoals in hoofdstuk 3 duidelijk is geworden kan de opgestelde vragenlijst worden opgesplitst naar de drie vakgebieden van het GRC-raamwerk. Allereerst worden de onderzoeksresultaten voor de gehele vragenlijst besproken. Vervolgens worden de onderzoeksresultaten uitgesplitst voor de drie vakgebieden. Hierbij zullen opvallende onderzoeksresultaten worden benoemd/besproken. In hoofdstuk 5 worden de onderzoeksresultaten geïnterpreteerd om zodoende in te gaan op de opgestelde hypothesen en de onderzoeksvraag.
Een overzicht van de totale onderzoeksresultaten is opgenomen in appendix B. In dit overzicht is per vraag en per financiële instelling opgenomen hoe gescoord is op de verschillende onderdelen van de vragenlijst. Tevens zijn de procentuele onderzoeksresultaten zichtbaar. De in dit hoofdstuk genoemde percentages zijn vermeld in appendix B.
Totale vragenlijst
Uit de onderzoeksresultaten blijkt dat in 62% van de gevallen antwoordmogelijkheid ‘ja’ is ingevuld. Dit is het gemiddelde resultaat over de drie categorieën (governance, risk management en compliance) waarbij alle 18 financiële instellingen zijn betrokken. In tabel 2 zijn de onderzoeksresultaten nader uitgesplitst naar de drie onderkende categorieën financiële instellingen. In de tabel is opgenomen in hoeveel procent van de gevallen het antwoord ‘ja’ van toepassing was.
Op basis van deze tabel wordt duidelijk in welke mate er informatie is verstrekt ten aanzien de vakgebieden governance, risk management en compliance. Wat opvalt is dat de systeemrelevante en niet-systeem relevante financiële instellingen (ook wel aangeduid als de algemene financiële instellingen) gemiddeld gezien beter/informatiever rapporteren in vergelijking met de overige financiële instellingen (ook wel aangeduid als de specifieke financiële instellingen). Opvallend is het lage onderzoeksresultaat van de Rabobank. Er is niet eenduidig aan te wijzen waar dit tegenvallende resultaat door veroorzaakt wordt. In de tabel in appendix B wordt duidelijk dat de betreffende financiële instelling op alle drie de vakgebieden ruimschoots onder het gemiddelde resultaat presteert.
Bij het bestuderen van de jaarverslagen is gebleken dat één financiële instelling het GRC-raamwerk in 2008 heeft geïmplementeerd. Het betreft BinckBank. Mede daardoor neemt deze instelling een bijzondere plaats in binnen het onderzoek.
Governance
Uit de onderzoeksresultaten blijkt dat in 69% van de gevallen antwoordmogelijkheid ‘ja’ is ingevuld. Dit is het gemiddelde resultaat waarbij alle 18 financiële instellingen zijn betrokken. In tabel 3 zijn de onderzoeksresultaten uitgesplitst naar de drie onderkende categorieën financiële instellingen. In de tabel is opgenomen in hoeveel procent van de gevallen het antwoord ‘ja’ van toepassing was.
Uit de onderzoeksresultaten blijkt dat financiële instellingen behoorlijk uitvoerig rapporteren met betrekking tot governance. Toch blijkt uit tabel 3 dat de gemiddelde onderzoeksresultaten van de systeemrelevante financiële instellingen aanzienlijke verschillen van de onderzoeksresultaten van de niet-systeemrelevante en overige financiële instellingen. Dit omvangrijke verschil wordt veroorzaakt doordat bij de systeemrelevante financiële instellingen een beperkt aantal vragen aanzienlijk vaker met ‘nee’ is beantwoord. Dit is voornamelijk van toepassing voor vraag 1.2. De betreffende vraag gaat in op het ‘pas toe of leg uit’-beginsel met betrekking tot de relevante governance codes. Uit de onderzoeksresultaten wordt duidelijk dat geen enkele systeemrelevante financiële instelling
hierover voldoende informatie verschaft. Echter, in alle gevallen wordt verwezen naar een document op de website van de instelling waarin de betreffende uitleg uitvoerig is opgenomen. Ter vergelijking: de onderzoeksresultaten voor niet-systeemrelevante en overige financiële instellingen ten aanzien van vraag 1.2 zijn beduidend hoger. Het blijkt dat respectievelijk 63% en 67% van de instellingen hier voldoende over rapporteert. Indien voor dit aanzienlijke verschil wordt gecorrigeerd blijven de prestaties van de systeemrelevante financiële instelling lichtelijk achter in vergelijking met de andere twee typen instellingen.
Risk management
Uit de onderzoeksresultaten blijkt dat in 61% van de gevallen antwoordmogelijkheid ‘ja’ is ingevuld. Dit is het gemiddelde resultaat waarbij alle 18 financiële instellingen zijn betrokken. In tabel 4 zijn de onderzoeksresultaten uitgesplitst naar de drie onderkende categorieën financiële instellingen. In de tabel is opgenomen in hoeveel procent van de gevallen het antwoord ‘ja’ van toepassing is.
Uit de onderzoeksresultaten blijkt dat financiële instellingen in de meeste gevallen (89%) gebruikmaken van een in-control statement, of een soortgelijke verklaring, om te rapporteren ten aanzien van de verantwoording over de interne beheersing. Echter hierin wordt in beperkte mate (28%) melding gemaakt van het gebruik van een referentiemodel. Dit is voornamelijk van toepassing voor de niet-systeemrelevante financiële instellingen, waar zelfs in geen enkel geval wordt verwezen naar een referentiemodel.
Bij een referentiemodel kan gedacht worden aan het COSO-model, welke de risico’s uitsplitst in vijf categorieën. Deze risico indeling komt terug in vraag 6.2. Ook hier ontstaat een wisselend beeld, waarbij het financiële en operationele risico goed worden weergegeven (respectievelijk 100% en 94%). Daarnaast blijkt dat het risico ten aanzien van de financiële verslaggeving het minst vaak expliciet benoemt wordt (17%).
Een ander risico binnen de risico indeling van het COSO-model heeft betrekking op het compliance risico. Praktisch alle financiële instellingen onderkennen dat compliance als risico moet worden gezien. Hierbij moet worden opgemerkt dat de instellingen het risico ten aanzien
