kan niet bestaan…

‘Not-for-profit’

kan niet bestaan…

Risicobeheersing bij non-profit organisaties

Rijksuniversiteit Groningen

Faculteit der Economische Wetenschappen Opleiding: MSc Accountancy & Controlling

Student: David Assink Studentnummer: S1662643

Titel afstudeeropdracht: ‘Risicobeheersing bij non-profit organisaties’ Maand en jaar: maart 2009

Voorwoord

Deze scriptie is geschreven voor de afronding van de Master van de opleiding Accountancy & Controlling aan de Rijksuniversiteit te Groningen.

Het doel van de scriptie is om in het kader van risicobeheersing bij grote non-profit organisaties een verkennend onderzoek te verrichten naar de mate waarin risicobeheersing een rol speelt bij deze organisatievorm en wat de belangrijkste risico’s zijn. Om dit te kunnen doen, heb ik interviews gehouden met directies van de grotere non-profit organisaties uit Groningen, Friesland en Drenthe.

Het onderzoek heb ik uitgevoerd in overleg met Ernst & Young Accountants te Groningen. Hierbij wil ik dan ook in het bijzonder mijn begeleider daar, de heer E. (Erik) Pot, hartelijk danken voor de tijd en ondersteuning die hij heeft geboden. Hiernaast wil ik graag Truus Bakker hartelijk danken voor alle steun bij het schrijven van deze scriptie.

Tot slot wil ik graag mijn begeleider van de Rijksuniversiteit Groningen, de heer S. (Sikko) Bruinsma, van harte bedanken voor zijn begeleiding en input.

Hopelijk leest u deze scriptie met veel plezier!

David Assink Maart 2009

Samenvatting

Door verzakelijking van de markt en de verantwoording die non-profit organisaties moeten afleggen aan de subsidiegever, is er de afgelopen jaren nogal wat veranderd op het gebied van non-profit. Steeds meer verantwoordelijkheden die in het verleden bij de subsidieverstrekker lagen, worden overgedragen aan de subsidieontvanger (de non-profit organisatie).

Dit deed de vraag rijzen welke risico’s non-profit organisaties eigenlijk lopen en in welke mate zij zich hiervan bewust zijn. En vervolgens natuurlijk hoe deze risico’s beheerst kunnen worden.

Allereerst is er vanuit de theorie gezocht naar verschillende risicobeheersingsmodellen die bruikbaar zijn voor het gestructureerd uitvoeren van het onderzoek en mogelijk geschikt zijn om eventuele risico’s bij de onderzochte organisaties te beheersen. Hieruit is het COSO 2004 model naar voren gekomen.

Binnen dit onderzoek zijn vanuit het COSO-model verschillende doelstellingen, bedreigingen en gebeurtenissen geformuleerd die het behalen van de doelstellingen van non-profit organisaties in de weg kunnen staan. De gebeurtenissen zijn vervolgens vertaald naar verschillende interviewvragen die over een tiental categorieën zijn verdeeld. Per categorie zijn een aantal gesloten vragen gesteld die verband houden met de geformuleerde risico’s. Deze vragen zijn beantwoord via vijf-punts schematische differentiaalschalen. Naast de selectie gesloten vragen is er in het onderzoek via een open vraag expliciet ruimte gelaten voor belangrijke risico’s die door de geïnterviewden kunnen worden benoemd.

Voor het onderzoek zijn een zevental grote non-profit organisaties geïnterviewd uit Groningen, Friesland en Drenthe. Grote non-profit organisaties zijn in het kader van dit onderzoek organisaties met baten groter dan € 5.000.000,-. In de selectie zijn een aantal sectoren uitgesloten, omdat de organisaties in die sector te maken hebben met heel eigen en sturende regelgeving. De uitgesloten sectoren zijn: gezondheidszorg, onderwijs, woningcorporaties. De geïnterviewde organisaties zitten in de sectoren: kinderopvang, kunst & cultuur en welzijn. De interviews zijn gehouden met de directies van de onderzochte organisaties.

Uit het onderzoek is gebleken dat bij geen van de onderzochte non-profit organisaties op gestructureerde wijze interne en externe risico’s worden beheerst. Over het algemeen hebben de meeste geïnterviewde directies wel een aantal belangrijke organisatiespecifieke risico’s in beeld. Echter, de onderzochte non-profit organisaties zijn zich in beperkte mate bewust van alle risico’s.

Door het onderzoek duidelijk te structureren, zijn er een aantal belangrijke risico’s naar voren gekomen die voor elke onderzochte non-profit organisatie in meer of mindere mate gelden. Belangrijke risico’s voor de onderzochte instellingen zijn onder andere:

• Negatieve publiciteit.

• Subsidie komt te vervallen of neemt sterk af. • Toename concurrentie in een aantal sectoren.

• Onvoldoende middelen ter beschikking voor vernieuwing en ontwikkeling.

• Perspectief van managers op risico’s. (Verschuiving van risico’s worden beperkt in kaart gebracht en onderzocht.)

Een ander deel van het onderzoek doet een uitspraak over de bruikbaarheid van het COSO-model bij de onderzochte organisaties. Hieruit is gebleken dat het voor het onderzoek gehanteerde risicomodel (COSO 2004) in afgeslankte vorm toepasbaar is voor de onderzochte organisaties om gevonden risico’s mee te beheersen, maar zeker ook om een organisatiespecifieke risicoanalyse mee uit te voeren.

Inhoudsopgave

1 INLEIDING ... 6

-1.1 AANLEIDING VOOR ONDERZOEK ... -6

-1.2 INDICATIE VAN PROBLEMATIEK ... -7

-1.3 PROBLEEMSTELLING EN DEELVRAGEN ... -9 -1.4 RELEVANTIE ... -9 -2 POSITIONERING RISICOMANAGEMENT ... 11 -2.1 DEFINITIE RISICOMANAGEMENT ... -11 -2.2 RISICOBEHEERSING ... -12 -3 RISICOMODELLEN ... 14

-3.1 AUNZ STANDARD NUMBER 4360(AS/NZS4360:2004) ... -14

-3.2 COSO2004 ... -16

-3.3 BEDREIGING VAN GOED RISICOMANAGEMENT ... -20

-3.4 BESTUUR &RISICOBEHEERSING ... -20

-3.5 IMPLEMENTATIE VAN ERM ... -22

-3.6 SAMENVATTING THEORIE ... -25

-4 ONDERZOEKSMETHODE ... 26

-4.1 STRUCTUUR VAN DE STICHTING ... -26

-4.2 ONDERZOEKSMETHODE ... -28 -4.5 RANDVOORWAARDE ... -31 -4.6 SAMENVATTING ... -32 -5 RISICOBEHEERSING TOEGEPAST ... -33 -5.1 INTERNAL ENVIRONMENT ... -33 -5.2 OBJECTIVE SETTING ... -34 -5.3 RISK ASSESSMENT ... -34 -5.3.1 Bestuur en besturing ... 35 -5.3.2 Normen en waarden ... 37

-5.3.3 Structuur van de organisatie ... 39

-5.3.4 Relatie met betrokkenen ... 40

-5.3.5 Strategische visie ... 42 -5.3.6 Begroting en realisatie ... 44 -5.3.7 Continuïteit ... 45 -5.3.8 Prijsstelling ... 47 -5.3.9 Monitoring ... 48 -5.4 RISK RESPONSE ... -49

-5.4.1 Organisatie van risicomanagement ... 50

-5.4.2 Adequate omgang met belangrijkste risico’s ... 50

-5.5 CONTROL ACTIVITIES ... -54

-5.6 INFORMATION &COMMUNICATION ... -54

-5.7 MONITORING ... -55

-5.8 SAMENVATTING ... -55

-6 COSO BIJ NONPROFIT STICHTINGEN ... 56

-6.1 SAMENVATTING ... -57

CONCLUSIE ... 58

BIJLAGE 1 – RISICOMODEL (RISICOMODEL 070109.DOC) ... 63

-1

Inleiding

Dit eerste hoofdstuk leidt de probleemstelling in die aan het onderzoek ten grondslag ligt. Het onderzoek is gericht op de risico’s die non-profit organisaties kunnen lopen in hun bedrijfsvoering. Ten eerste beschrijf ik de ontwikkelingen in de markt die aanleiding geven tot het onderzoek. Vervolgens ga ik dieper in op de problematiek door twee voorbeelden van risico’s te geven. Daarnaast behandel ik het vraagstuk dat uit de praktijk van Ernst & Young naar voren is gekomen. Dit resulteert in de probleemstelling en deelvragen. Tot slot geef ik de relevantie van het onderzoek weer.

1.1 Aanleiding voor onderzoek

Hier noem ik de belangrijkste ontwikkelingen die aanleiding geven voor een onderzoek naar de risico’s die profit organisaties lopen. De meest voorkomende rechtsvorm van profit organisaties is een stichting, maar er bestaan er ook andere rechtsvormen voor non-profit organisaties. In deze scriptie is als rechtsvorm voor de non-non-profit organisatie gekozen voor de stichting. Dit betekent overigens niet dat deze scriptie niet relevant is voor andere rechtsvormen.. In hoofdstuk 4 zal ik hier verder op ingaan.

Stichtingen en gemeentes

In Nederland hebben gemeentes en stichtingen al jarenlang de rol van subsidiegever en subsidienemer. De subsidiegever is in deze vaak de (lokale) overheid. Een stichting levert diensten die de gemeente kan afnemen. Bijvoorbeeld Maatschappelijk Juridische Dienstverlening (MJD) in Groningen. De stichting MJD voert in opdracht van de gemeente Groningen een project uit om de arbeidsintegratie van vluchtelingen te bevorderen (Jaarverslag MJD 2008, p.19 http://www.mjd.nl/mnh/1_6jaarverslag2008.pdf). De verhouding die gemeentes en stichtingen hebben, staat in toenemende mate onder druk. Dit is het gevolg van ontwikkelingen in de markt.

Verzakelijking

Er is sprake van verzakelijking. Jarenlange ervaring van stichtingen en samenwerking met de gemeente spelen een minder grote rol. De prijs en hoeveelheid van de dienstlevering worden daarentegen steeds belangrijker. Hierdoor geven gemeentes vaste prijzen en vragen stichtingen concurrerende prijzen. Gemeentes hebben een meer budgetgestuurde benadering dan in het verleden. Voor de stichtingen geldt dat er steeds meer concurrentie is, doordat gemeentes steeds prijsbewuster inkopen. Beide partijen maken tegenwoordig duidelijk afspraken over wat stichtingen dienen te leveren in ruil voor subsidie. De gemeente ziet een stichting steeds meer als opdrachtnemer van een te leveren dienst die moet bijdragen aan het realiseren van gemeentelijke doelstellingen.

Meer verantwoording geëist

De veranderingen hebben ook gevolgen voor de verantwoording die stichtingen moeten afleggen. Gemeentes vragen nu vaak een uitgebreide toelichting op de bestede subsidiegelden in de jaarrekening.. Naast meer verslagleggingsregels komt ook steeds meer verantwoordelijkheid te liggen bij de stichtingen zelf. Vroeger was de gemeente eerder bereid bij te springen, door eventuele tekorten in de begroting op te vangen of door grote investeringen voor de stichtingen te verzorgen.

De continuïteit in gevaar

Het kan zijn dat het bedrag dat de gemeente geeft voor de dienstverlening niet voldoende is voor de stichting om alle gewenste activiteiten uit te voeren. In een aantal gevallen is dit zelfs niet voldoende om de maatschappelijke doelstelling in stand te houden. De stichting moet dan zelf activiteiten ontplooien om de subsidie aan te vullen. Een andere mogelijkheid is de reserves te gebruiken indien deze aanwezig is en/of voldoende groot is. Maar een subsidiegever accepteert vaak geen of beperkte reservevorming. Hierdoor is een stichting eveneens niet altijd in staat om een buffer te vormen tegen mogelijke risico’s. Dit bedreigt de continuïteit van een stichting.

Risico’s in beeld

Toenemende concurrentie leidt er voornamelijk toe dat er fusies en overnames plaatsvinden tussen stichtingen, zodat zij hun overhead efficiënter kunnen inrichten en risico’s kunnen spreiden. Door de ontwikkelingen in subsidievorm, verslagleggingsregels, verzakelijking en verantwoordelijkheid bestaat de kans dat relevante risico’s in onvoldoende mate worden herkend en beheerst. Dit vormt de aanleiding tot onderzoek naar dit onderwerp.

1.2 Indicatie van problematiek

In deze paragraaf geef ik twee voorbeelden van risico’s voor stichtingen. Daarna ga ik in op de vraag die speelt bij Ernst & Young. Op basis hiervan is de probleemstelling geformuleerd die in de volgende paragraaf te lezen is.

Subsidiegelden niet opgenomen in jaarrekening

Een eerste risico is bijvoorbeeld dat gebouwen tegen historische kostprijs op de balans staan, waarbij het gesubsidieerde deel niet wordt opgenomen. Een gevolg hiervan is een te lage afschrijving waardoor een stichting feitelijk hogere kosten heeft dan uit het resultaat blijkt. Ofwel, het resultaat te weinig dekking biedt voor vervangingsinvesteringen. Hierdoor is het beeld dat de jaarrekening schetst niet betrouwbaar. Het is immers niet zeker of de gemeente bij onderhoud weer zal bijspringen of dat de stichting dan wel alle kosten moet dragen.

Het risico van wachtgeld

Een ander voorbeeld heeft betrekking op wachtgeld dat een non-profit organisatie bij ontslag moet betalen aan een werknemer in dienst van de non-profit organisatie. Voorheen droeg de gemeente dit risico vaak, maar tegenwoordig moet de stichting zelf de kosten van het wachtgeld dragen. Dit illustreert dat er steeds meer verantwoordelijkheden bij de stichting liggen. Terwijl veel van dit soort risico’s in het verleden door bijvoorbeeld de gemeente werd gedragen.

Financiers staan grote reserves niet toe

Stichtingen hebben te maken met streng beleid van financiers. Zij zijn strikter over het vormen van reserves uit subsidiegelden. Stichtingen mogen bijvoorbeeld maximaal een voorziening vormen die niet meer bedraagt dan vijf tot vijftien procent van de totale subsidie-inkomsten. Deze regels kunnen echter per financier verschillen. Stichtingen willen zelf vaak grotere reserves vormen dan is toegestaan om de risico’s te dekken en de continuïteit te waarborgen.

Zijn stichtingen zich bewust van de risico’s?

In welke mate bieden de gevormde reserves in de balans voldoende dekking tegen de risico’s die stichtingen lopen? Dit is de vraag die vaak ontstaat volgens de professionals bij Ernst & Young. Het gaat niet alleen om auditing risico’s, maar ook om organisatiebrede risico’s. Zijn stichtingen nog steeds een verlengstuk van de gemeente of is het een commerciële instelling? Dus wie is verantwoordelijk? Welke risico’s lopen non-profit organisaties nu precies en hoe groot zijn deze? En van welke risico’s zijn stichtingen zich bewust? Wat doen stichtingen eigenlijk aan risicobeheersing? Om een antwoord te geven op deze vragen, heb ik de probleemstelling geformuleerd zoals in de volgende paragraaf te lezen is.

1.3 Probleemstelling en deelvragen

In de vorige paragraaf stelde ik de vraag bij wie de verantwoordelijkheid ligt. De probleemstelling is erop gebaseerd dat de verantwoordelijkheid bij de stichting ligt. Dit omdat de vragen worden benaderd vanuit het perspectief van de stichting. Dit roept de volgende probleemstelling op:

“In welke mate zijn de onderzochte non-profit stichtingen zich bewust van de risico’s die zij lopen en in hoeverre is het COSO-model geschikt om deze te beheersen?” Deze probleemstelling valt uiteen in een aantal onderzoeksvragen:

1. Wat wordt verstaan onder risicobeheersing? (Hoofdstuk 3)

2. Is theoretisch gezien COSO een geschikt model voor risicobeheersing bij stichtingen? (Hoofdstuk 3)

3. Wat zijn stichtingen? ( Hoofdstuk. 4)

4. Op welke wijze hebben de onderzochte instellingen risicomanagement georganiseerd? (Hoofdstuk 4)

5. Wat zijn de belangrijkste risico’s voor de onderzochte instellingen vanuit het perspectief van de directie en de toezichthouder? (Hoofdstuk 4)

6. Op welke wijze zouden de onderzochte instellingen op adequate wijze aan risicobeheersing kunnen doen? (Hoofdstuk 5)

7. Is COSO (2004) op basis van de uitkomsten van het onderzoek hiervoor geschikt? (Hoofdstuk 6)

1.4 Relevantie

Gebaseerd op de ervaring van Ernst &Young blijkt dat stichtingen niet altijd voldoende in kaart hebben wat voor hen relevante risico’s zijn en welke gevolgen deze risico’s kunnen hebben. Met name door de verschuiving van verantwoordelijkheden en de verzakelijking van de markt waarop stichtingen opereren, zal naar mijn verwachting risicobeheersing een steeds relevanter thema worden. Bij stichtingen zullen onder andere de volgende vragen steeds meer naar voren komen:

• Welke gevolgen hebben de ontwikkelingen op een specifieke stichting? • Hoe groot is de kans dat een financier de subsidie stopzet?

• Dekt de verkoopprijs voldoende alle financiële risico’s? • In hoeverre heeft een stichting kennis van haar markt? • Hoe wordt negatieve publiciteit voorkomen?

• Staan medewerkers wel voldoende achter het doel van de stichting?

• Wat is de financiële ontwikkeling (vermogen, resultaat en kasstromen) in meerjarig perspectief?

Zijn stichtingen zich voldoende bewust van risico’s? Hoe gaat een stichting hiermee om en hoe beheerst zij risico’s ? Het onderzoek zal inzicht geven in hoeverre de onderzochte stichtingen bewust bezig zijn met risicobeheersing en welke risico’s het meest relevant zijn voor deze stichtingen. Hoe kunnen stichtingen vervolgens omgaan met deze risico’s. Is het COSO 2004 model in zijn huidige vorm geschikt om hier vorm aan te geven?

De uitkomst van het onderzoek zal dus bijdragen aan een betere methodiek met betrekking tot risicobeheersing bij de stichtingen en meedenken in algemene oplossingsrichtingen. 1.5 Opzet

Het onderzoek start in hoofdstuk 2 door de definitie van risicobeheersing duidelijk neer te zetten. Hoofdstuk 3 geeft het theoretische kader weer waarin onder andere de twee belangrijkste risicomodellen aan bod komen. Hierop volgt in hoofdstuk 4 de onderzoeksmethode. In hoofdstuk 5 zal het COSO-model worden toegepast op de onderzochte organisaties en komen de onderzoeksresultaten uit de interviews aan bod. In hoofdstuk 6 wordt behandeld of COSO geschikt is als risicobeheersingsmodel bij de onderzochte non-profit organisaties. Eventuele beperkingen van het onderzoek komen in de conclusie aan de orde.

2

Positionering Risicomanagement

In dit hoofdstuk wil ik tot een duidelijke definitie van risicobeheersing bij non-profit organisaties komen. Daarnaast wil ik het doel hiervan verduidelijken vanuit de bestuurlijke informatieverzorging. In paragraaf 2.1 zal ik als eerste de definitie bespreken. Paragraaf 2.2 zal de definitie van risicomanagement in dit onderzoek weergeven.

2.1 Definitie risicomanagement

De organisatie kan worden gezien als een uiterst complex, dynamisch en open systeem dat in belangrijke mate wordt beheerst door probabilistische relaties tussen verschillende elementen in de omgeving (Starreveld 2002).

Risicomanagement is een manier waarop organisaties omgaan met onzekerheden in de omgeving. In grote ondernemingen is er zelfs vaak een speciale ‘risk management’ afdeling, waar geavanceerde modellen risico’s en de gevolgen van verschillende scenario’s voorspellen. Het Nederlandse begrip controle en de Engelse term control worden hier vaak door elkaar gebruikt. Controle is niet meer dan het controleren en toetsen van waarden. Het Engelse begrip control is echter veel breder en omvat de gehele beheersing van een organisatie. Emanuels (2005) omschrijft dit als volgt:

“Het systeem dat het management in staat stelt om de risico’s, die het behalen van de doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te

analyseren en te beheersen”

Met onzekerheden in de omgeving kan op verschillende manieren worden omgegaan. Zo wordt er vooral bij financiële en beursgenoteerde instellingen veel governance opgelegd om eventuele risico’s die deze organisaties kunnen lopen te beheersen. Vaak is deze regelgeving tevens bedoeld dat vertrouwen in de verslaggeving blijft bestaan of wordt vergroot. Voorbeelden van wet- en regelgeving zijn Basel 1, Basel 2 en de Sarbanes Oxley Act of 2002. De Code Tabaksblat is het Nederlandse antwoord op de Amerikaanse regelgeving om het vertrouwen in verslaggeving te herstellen. De Nederlandse code regelt niet alleen de verantwoordelijkheid van bestuurders op het gebied van financiële verantwoording, maar gaat ook in op hun verantwoordelijkheid voor interne beheersing. Hierdoor is de code breder dan Sarbanes-Oxly, maar is ook milder in het bewaken van de toepassing ervan (Emanuels 2005). In de Code Tabaksblat worden slechts enkele voorstellen gedaan over hoe je de interne controle zou kunnen regelen. De uitvoering hiervan is echter niet verplicht door het zogenaamde best-practice karakter van de code. De onderneming mag zelf invulling geven aan de bepalingen of moet uitleggen waarom zij een bepaling niet uitvoert. De meerderheid van de corporate governance codes draagt ook niet bij aan de interne beheersing van een organisatie. Een goed geïmplementeerd risicobeheersingsmodel doet dit wel (Redactie Treasury today, October 2008 ).

Topmanagement

De taak van het topmanagement is dat de afstemming van de organisatie zo goed mogelijk plaatsvindt, zodanig dat de continuïteit van de organisatie gewaarborgd is (Starreveld 2002 blz. 77). Dit doet het topmanagement door het bepalen en formuleren van een missie en strategische doelen. Het begrip management control sluit hier goed bij aan. Dit is het interne beheersingssysteem dat gericht is op het behalen van de strategische doelen. Internal control richt zich volgens de definitie van Starreveld et al. (2002) op het behalen van operationele doelstellingen.

2.2 Risicobeheersing

Een manier om met onzekerheden in de omgeving om te gaan, naast de (verplichte) wet- en regelgeving, is door de implementatie van het ERM (Enterprise Risk Management) systeem. Een dergelijk systeem geeft de organisatie verschillende handvatten om op een gestructureerde manier interne of externe risico’s in haar omgeving te benaderen en te beheersen.

De kunst van een goed risicomanagementsysteem is om potentiële risico’s om te zetten in een waardecreërende of vergrotende factor, of het verlies zo klein mogelijk te houden door tijdig op de risico’s in te spelen. De manier waarop dit gebeurt, is afhankelijk van het type organisatie, grootte van de onzekerheden in de omgeving en de acceptatiegraad van risico’s. Hierbij wil ik opmerken dat bij de creatie van waarde voor de aandeelhouders en organisatie altijd een zekere mate van risico moet worden genomen. Bij risicomanagement gaat het er echter om dat er zich geen grote onverwachtse zaken voordoen die de creatie van deze waarde verstoren.

Soorten risico’s

Risico’s die organisaties beheersen, worden door (Roger, 2006) onderverdeeld in drie types, namelijk:

• Risico’s die beheerst moeten worden door bijvoorbeeld de overheid of toezichthoudende organen. Hierbij worden de regels van buitenaf opgelegd. • Risico op interne en externe fraude, bijvoorbeeld diefstal.

• Risico’s waarbij geen externe druk is of geen duidelijke redenen zijn waarom deze risico’s worden beheerst.

Het laatste type is het zogenaamde ‘optional risk’. Bij dit soort risico’s kan een organisatie kiezen om deze wel of niet te beheersen en in welke mate. Dit is tevens het risico waarnaar ik onderzoek zal verrichten. In hoofdstuk 3 zal ook blijken dat deze risicosoorten

Om dit type risico te beheersen zijn verschillende modellen ontwikkeld. In dit onderzoek zal ik slechts twee modellen behandelen. Hiervoor heb ik bewust gekozen, omdat veel risicomodellen in essentie vergelijkbaar zijn. Het zou dus onvoldoende diepgang toevoegen om zeer uitgebreid alle beschikbare modellen te behandelen. Het onderzoek richt zich immers op de mate van risicobeheersing bij non-profit organisaties.

In hoofdstuk 3 worden de twee risicomodellen uitgebreid behandeld. Tevens zullen in dit hoofdstuk eventuele beperkingen van risicomanagement worden besproken en zal er een definitieve keuze worden gemaakt voor een risicomodel dat de basis zal vormen voor mijn onderzoek.

3

Risicomodellen

Binnen bestaande theorie heb ik twee risicomodellen geselecteerd waarmee ik de essentie van de belangrijkste onderdelen van risicobeheersingsmodellen aan bod wil laten komen.

Het eerste model waarvoor ik heb gekozen, kan worden beschouwd als de grondlegger van veel andere risicomodellen (Roger 2006). Dit is het AUNZ (Australian/New Zealand Standard) model. Het andere model dat in dit hoofdstuk zal worden behandeld is het COSO 2004 model. Voor dit model heb ik specifiek gekozen door mijn ervaring met dit model die ik heb mogen opdoen tijdens mijn opleiding Accountancy aan de Rijksuniversiteit van Groningen. Naar verwachting zou dit model ook een goede basis kunnen vormen voor het onderzoek. Deze beslissing zal ik echter pas definitief maken aan het eind van dit hoofdstuk.

3.1 AUNZ standard number 4360 (AS/NZS 4360:2004)

Het Standards Australia and Standards New Zealand (2004a) model suggereert dat er drie stappen nodig zijn om optional risks te kunnen beheersen. Deze stappen zijn: risk recognition, risk priorisation en risk management. Risk recognition bestaat uit het opnemen van de omgeving, bepalen wie of wat bepaalt wat de risico’s kunnen zijn en vervolgens het identificeren van risico’s. Risk priorisation is het toekennen van een prioriteit aan de risico’s door de kans op de risico’s en de gevolgen ervan in kaart te brengen. Vervolgens kunnen de risico’s geclassificeerd worden. Zodra de eerste twee stappen doorlopen zijn, kan het risicoprofiel voor de organisatie worden opgesteld. Van belang hierbij is het aantal middelen waarover de organisatie risico wenst te lopen en de mate waarin de organisatie risico wens te lopen. De risk exposure en de risk appetite.

Via het risk management wordt vervolgens bepaald hoe de risico’s kunnen worden beheerst. Figuur 1. laat alle stappen schematisch zien.

Het AUNZ-model geeft vervolgens een aantal mogelijkheden hoe er met de risico’s kan worden omgegaan. Een van de mogelijkheden, en volgens Roger (2006) de beste, is via het ‘four Ts’ model, ofwel terminate, treat, tolerate, transfer.

In hetzelfde artikel beschrijft Roger (2006) vervolgens de monitorfunctie. Iets wat niet in alle riskmanagementmodellen is opgenomen. Het EFQM (European Foundation of Quality Management 2005) heeft hiervoor een model ontwikkeld. Risicomanagement zou één grote verbeteringscirkel moeten zijn. Een voorbeeld hiervan laat figuur 2 zien.

Figuur 2. Generic risk assurance management system

Door het cirkelvormige model wordt goed de oneindigheid weergegeven, wat weergeeft dat risicomanagement een doorlopend proces is. Na de implementatie van beheersmaatregelen wordt er controle uitgevoerd op deze maatregelen en worden deze eventueel bijgestuurd als ze niet meer effectief of efficiënt blijken te zijn. Daarnaast is risicomanagement een

3.2 COSO 2004

Een ander zeer bekend risicobeheersingsmodel is het “Enterprise risk management framework” van de Committee of Sponsoring Organisations (2004). Beter bekend als het COSO-model. Het COSO-model gaat niet uit van risico’s, maar van ‘potential events’ welke kansen bieden tot optimalisatie van toekomstige kasstromen.

COSO gaat net een stap gedetailleerder te werk dan het AUNZ-model door voorafgaand aan de ‘risk recognition’ van het AUNZ-model eerst de doelstellingen van de organisatie in vier categorieën op te splitsen, namelijk:

• Strategisch (hogere doelen, overeenkomstig de missie) • Operationeel (efficiënt en effectief gebruik van middelen) • Reporting (betrouwbaarheid van verslaglegging)

• Compliance (voldoen aan de toepasselijke verslagleggingsregels)

Het COSO-model bestaat vervolgens uit acht met elkaar in verband staande componenten. Figuur 3. geeft een overzicht van deze acht componenten en de vier categorieën waarin het model onderscheid maakt. Volgens COSO (2004) zijn de componenten eveneens criteria om de effectiviteit van ERM te meten. Als alle componenten aanwezig zijn en goed functioneren, zou er geen materiële zwakte meer moeten zijn die je doelstellingen negatief kan beïnvloeden.

Interne omgeving

Zoals uit figuur 3 blijkt is de interne omgeving het vertrekpunt voor een goede risicobeheersing. De interne omgeving kan worden beschreven als de manier waarop beslissingen worden genomen, hoe de strategie tot stand komt en processen zijn gestructureerd. Hieronder valt ook de factor ‘menselijk gedrag’. Eigenlijk wordt deze bepaald door de historie en cultuur van de organisatie. Belangrijk hierin is hoe de organisatie met risico’s omgaat in de dagelijks werkzaamheden. Daarbij sluit de risk appetite aan: welk risico wil de organisatie lopen om meer waarde te creëren. Welk risico loopt de organisatie en wat krijg je hiervoor terug. Andere onderdelen die een belangrijke rol spelen, zijn de competenties die aanwezig zijn voor bepaalde taken, organisatiestructuur en bevoegdheden van werknemers. Stellen van doelen

Vervolgens is het belangrijk om doelen te stellen: ‘objective setting’. Vanuit deze doelen kan worden bepaald welke gebeurtenissen deze doelen mogelijk bedreigen. Belangrijk van deze doelen is dat ze aansluiten bij de hogere strategische doelen en dat ze haalbaar, beïnvloedbaar, begrijpelijk en meetbaar zijn. Onderscheid kan worden gemaakt in operating-, reporting- en compliance doelen.

Van de verschillende soorten risico’s is het operationele risico volgens Geiger (2000) het meest voorkomende risico. De oorzaak van dit risico ligt voornamelijk binnen de organisatie en dus ook binnen de organisatie haar eigen macht om deze risico’s te beheersen. Deze risico’s zijn vaak het resultaat van slecht management van sleutelprocessen door de organisatie en haar medewerkers.

Vaststellen van gebeurtenissen

Zodra de doelen zijn gesteld, kunnen interne of externe gebeurtenissen worden benoemd: ‘event identification’, die het behalen van deze doelen in de weg kunnen staan. Hierbij is het belangrijk om in je achterhoofd te houden dat deze gebeurtenissen positief of negatief kunnen uitpakken. De gebeurtenissen kunnen verschillende achtergronden hebben. Bijvoorbeeld extern: economisch, natuurlijke omgeving, politiek, sociaal of technologisch. Intern: beschikbaarheid van kapitaal, toegang tot kapitaal, capaciteiten van werknemers, fraudegevoeligheid, gezondheid, veiligheid en het technische systeem.

Manieren om tot deze gebeurtenissen te komen zijn onder andere: via een vrije brainstorm, interne analyse, interviews en via een checklist. Belangrijk is ook de scope waarmee je kijkt. En hoever kijkt de onderneming vooruit bij het identificeren van risico’s? Een actueel voorbeeld hiervan is de auto-industrie waarbinnen nu een paar vooraanstaande merken dreigen om te vallen, doordat ze de afgelopen jaren onvoldoende vooruit hebben gekeken en zich onvoldoende hebben aangepast aan de klantbehoeften van vandaag de dag1.

1 _{'Grote Drie' uit Detroit vallen om zonder steun; Amerikaanse autofabrikanten willen miljarden van staat. In: NRC Handelsblad (20}

Beoordeling gebeurtenissen

Als mogelijke gebeurtenissen in kaart zijn gebracht die de organisatie kunnen afhouden van het behalen van haar doelen, moet de waarschijnlijkheid van deze gebeurtenissen worden bepaald en de gevolgen hiervan ‘risk assessment’. Een belangrijke factor hierbij is: hoe ver kijk je vooruit als organisatie. Om de waarschijnlijkheid te kunnen bepalen, kan gebruik worden gemaakt van benchmarking: voorspellende modellen of van subjectieve aannames.

De meeste risicobeheersingssystemen richten zich op nauwkeurigheid in het identificeren, periodisering en het managen van risico’s. Echter is in een onzekere omgeving en voor risico’s waarbij geen database met historische gegevens beschikbaar is, de nauwkeurigheid/ voorspelbaarheid van risico’s zeer gering. Risicomanagement zou dus niet een taak moeten zijn van enkel het topmanagement of van een paar specialisten. Het zou eerder een streven moeten zijn om iedere medewerker bewust te maken van risico’s door betrokkenheid van alle medewerkers bij riskmanagement (Roger, 2006).

Reactie op de gebeurtenissen

Als de gebeurtenissen, kansen en gevolgen in kaart zijn gebracht, moet worden bepaald hoe er met het risico wordt omgegaan. Deze risk responses lijken veel op de 4T’s van het AUNZ (2004) model. Binnen het COSO zijn dit: vermijden, verminderen, delen of accepteren. Op veel risico’s zijn meerdere risk responses mogelijk. Er zal dan een afweging moeten worden gemaakt welke het beste effect heeft op de waarschijnlijkheid en de gevolgen van het risico, samen met de kosten en de opbrengsten/voordelen die het beheersen van het risico brengt. Schematisch zou dit als volgt kunnen worden weegegeven in een risicomatrix.

Im

p

ac

t

Hoog Preventieve Controle/ Vermijden

Stoppen/ Delen ‘tight controls’

Laag Accepteren Signaleringsmaatregelen/ Verminderen

Laag Hoog

Kans

Beheersing van gebeurtenissen

Vervolgens is het van belang om goede beheersmaatregelen ‘control activities’ toe te kennen aan de risk response. Deze zorgen ervoor dat de beheersmaatregelen worden uitgevoerd zoals bedoeld en dat deze goed werken. Dit kan bereikt worden via verschillende manieren zoals reviews van top management, direct toezicht, inventarisatie, prestatie-indicatoren of functiescheiding. Daarnaast is het van belang om alle relevante informatie met betrekking tot de beheersing te verzamelen, te structureren en ervoor te zorgen dat deze op de juiste plek terechtkomt.

Informatie en communicatie

Zodra beheersmaatregelen zijn geformuleerd, is het belangrijk om ervoor te zorgen dat je ook de juiste informatie ontvangt om controle uit te kunnen oefenen op deze maatregelen. Communicatie is in het gehele proces eveneens erg belangrijk. Hierin wordt geformuleerd hoe de juiste informatie de betreffende functionaris bereikt. Hiernaast moeten genomen beslissingen ook kenbaar worden gemaakt aan degene die met de verdere uitvoering/ uitwerking is belast (Starreveld 2002, pagina 26).

Monitoring

Als laatste is het erg belangrijk dat er toezicht wordt gehouden op het risicomanagementsysteem en alle bijhorende maatregelen. Dit kan door voortdurende bewaking en/of door op zichzelf staande evaluaties. Het is voor bestuurders en managers belangrijk om zich te realiseren dat risicomanagement geen snelle eenmalige actie is om tot een betere beheersing van de organisatie te komen (Bowling 2005). Het model zal constant in beweging zijn. Zijn alle gebeurtenissen in kaart? Voldoen de geformuleerde beheersmaatregelen nog steeds?

Hierbij kan het helpen dat risicobeheersing niet alleen in de top van de organisatie leeft, maar ook op de werkvloer. Het zou goed zijn dat alle medewerkers zich elke dag afvragen hoe al hun werkzaamheden kunnen bijdragen aan het behalen van de doelstellingen of deze juist tegenwerken (Bowling 2005). Goede communicatie is hierbij belangrijk.

Waar het bestuur van een organisatie verantwoordelijk is voor een juiste risicobeheersing, is het de verantwoordelijkheid van het management om het bestuur op de hoogte te brengen van significante risico’s waar de organisatie tegenaan loopt en de effectiviteit van beheersingsmaatregelen. Alle tekortkomingen zouden moeten worden gedocumenteerd, evenals de genomen maatregelen die hiertegen worden genomen. Goede communicatie tussen management en bestuur is hierdoor cruciaal bij het onderhouden van een risicobeheersingssysteem (Redactie Treasury today, October 2008).

3.3 Bedreiging van goed risicomanagement

In een aantal gevallen is er niet altijd genoeg informatie beschikbaar over een gebeurtenis. Dit kan bijvoorbeeld komen doordat er te weinig historie bekend is of doordat de gebeurtenis zich nog niet eerder heeft voorgedaan. Door een tekort aan data kunnen statistische modellen niet worden gebruikt om kansen te koppelen aan de gebeurtenissen. Volgens Roger (2006) biedt in deze situaties normaal gesproken enkel de expertise van een expert mogelijkheden om iets te kunnen zeggen over kans en de gevolgen van een gebeurtenis. Deze resultaten blijken echter niet altijd naar tevredenheid te zijn.

Het probleem ligt volgens Bazerman en Watkins (2004) in de bevooroordelende manier waarop mensen denken. Hiernaast zal ook de onbekendheid/onervarenheid met risico’s bijdragen. Dit leidt volgens zijn onderzoek ertoe dat mensen eerder problemen ontkennen, wat leidt tot onderwaardering van risico’s. Daarnaast proberen mensen van nature verandering te voorkomen. Iets wat wel nodig kan zijn om een potentieel risico te ondervangen. Als laatste merken Bazerman en Watkins (2004) op dat velen liever het risico lopen op een groot verlies, maar met kleine waarschijnlijkheid in de toekomst dan direct, echter kleiner verlies nemen. Samengevat zien mensen de wereld zoals ze hem graag zouden willen zien.

Organisaties zijn overigens redelijk goed in het managen van risico’s waarmee ze bekend zijn. De risico’s waarvan de organisatie niet weet dat zij die neemt, vormen het grootste probleem (Roger, 2006).

3.4 Bestuur & Risicobeheersing

In de vorige paragraaf ben ik al kort ingegaan op de bevooroordelende manier waarop mensen denken. Dit wordt ook wel ‘biased’ genoemd. De beslissingsbevoegdheid van mensen en plaats in de organisatie zijn hierbij medebepalend. Daarnaast spelen er nog andere zaken een rol: sociale achtergrond, politieke stroming, geloof, cultuur enz. Verder zijn natuurlijk het type risico en de verantwoordelijkheid bepalend voor hoe mensen omgaan met risico’s binnen organisaties.

Persoonlijk risico

Het bestuur van organisaties zal voornamelijk te maken hebben met strategische risico’s, terwijl managers vaker te maken zullen krijgen met operationele risico’s. Uit beide soorten bedrijfsrisico’s kan een persoonlijk risico voortvloeien (Garratt, 2007). Dit risico wordt volgens Garratt vaak vergeten of uitgesloten. Het persoonlijk risico bestaat onder andere uit de perceptie van de directeur dat deze aan een bepaald ideaal beeld moet voldoen. Hardwerkend aan de strategie, nieuwe ideeën en aansturen van managers. Ze worden liever niet filosoferend op hun kamer gevonden. Dit terwijl de rol van directeur juist zou moeten zijn om de onzekere omgeving te integreren met het beleid op strategisch niveau. Dit vereist de nodige rust en denkwerk.

Onvolledige informatie

Garrett stelt in zijn artikel dat door het persoonlijk risico bijna alle beslissingen worden genomen op basis van onvolledige informatie. Dit komt deels doordat directeuren te weinig mogelijkheden hebben om grip te krijgen op de turbulente externe omgeving en deels door het persoonlijk risico (Garrett 2007). Daarnaast maken managers vaak risicobeheersingsbeslissingen gebaseerd op hun persoonlijke houding en voorkeuren, wat leidt tot irrationele gedragspatronen (Royer 2000).

Het doel aan de andere kant van het nemen van risico wordt beschreven als het vergaren van voordeel. Een belangrijke ontwikkeling in het omgaan met risico is dat de organisatie kan leren van de gevolgen van een beheersmaatregel. Hiermee kunnen vervolgens waardevolle risico-/opbrengsten ratio’s worden bepaald. Belangrijk hierbij is dat het nemen van een risico essentieel is om een organisatie te ontwikkelen tot een ervarener eenheid.

Dit doel kan volgens Garrett (2007) worden bereikt door de externe omgeving te integreren met het beleid van de organisatie en deze via de strategie in overeenstemming te brengen met de operationele risico’s. In figuur 5. wordt het bijhorende figuur van de lerende organisatie weegegeven.

Figuur 5. The learning organisation model (bron: Garrett 2007)

Echter is Jay Keyworth, directeur van Hewlett-Packed, van mening dat het bestuur van ondernemingen het niet altijd als zijn taak ziet om zich te verdiepen in de details van de markt en de vele potentiële risico’s. Jay baseert zijn mening onder andere op gesprekken met bestuursleden van de Fortune 50 organisaties. (Ballou 2005).

Band met de organisatie

Cears (2007) stelt daarnaast in zijn artikel dat het erg belangrijk is dat bestuurders een sterke band hebben met de organisatie en missie en de organisatie moet waken voor te sterke eigen belangen of te grote betrokkenheid met de cliënten van de organisatie.

Rol van bestuurders bij implementatie

Het bestuur speelt echter wel een belangrijke rol bij de implementatie van een risicomodel. Zij zijn uiteindelijk de beslissers of vervullen de adviesrol van de beslisser. Daarnaast zal het bestuur de organisatie moeten aanzetten en aansturen om tot een succesvolle implementatie te komen. Dit wordt bevestigd door onderzoek van Kneffer et al. (2003) en Bowling et al. (2005). Beide auteurs stellen ook dat aanmoediging vanuit het topmanagement de voornaamste reden is waarom ERM wordt geïmplementeerd. Zij zijn dan tevens de drijvende kracht achter de implementatie van een ERM-model en het bijhouden hiervan. Walker et al. (2002) stelt dat de mate van onafhankelijkheid van het bestuur bepalend is voor de mate waarin ERM is doorgevoerd in de organisatie.

Naast bovenstaande motivaties om tot een geslaagde ERM-implementatie te komen, hebben de kwaliteit van de accountant, de grootte van de organisatie, industrie en het land van herkomst invloed op de mate en het succes van implementatie van ERM (Beasley et al. 2005).

3.5 Implementatie van ERM

Als een organisatie besluit een ERM-systeem te implementeren, zal dit ten goede komen aan de beheersing van de organisatie (control). Vaak zullen organisaties voor een dergelijk systeem kiezen ter ondersteuning van de dagelijkse activiteiten (Redactie Treasurytoday, October 2008). Hiernaast geeft een risicomodel het bestuur verschillende handvatten bij het behalen van de doelstellingen. De grootte van de organisatie maakt hierbij niet uit. Immers hebben zowel grote als kleine organisaties, zowel profit als non-profit, doelstellingen welke gerealiseerd dienen te worden. Omgekeerd zou het wel zo kunnen zijn dat de componenten makkelijker zijn te implementeren vanaf een bepaalde organisatiegrootte. De manier waarop zij omgaan met hun interne beheersing kan wel verschillen met de grootte van de organisatie. In een kleine organisatie zullen verantwoordelijkheden anders zijn geregeld. Een voorbeeld hiervan is dat in een kleine organisatie het bestuur zelf contact heeft met de operationele kern, waardoor er minder formele procedures nodig zijn om processen te beheersen, te controleren en te evalueren. Bij een grote stichting zal er bijvoorbeeld ook nog een Raad van Toezicht zijn die mogelijk verschillende verantwoordelijkheden delegeert aan het bestuur dat op zijn beurt weer managers aanstuurt. Hierbij zal vanzelfsprekend meer formeel moeten worden gedocumenteerd, omdat de top te ver van de operationele kern afstaat.

Figuur 6. geeft goed weer waar COSO binnen de organisatie wordt geplaatst.

Figuur 6. COSO als control framework (Starreveld III.9. blz 91)

In de theorie is een breed scala van verschillende beheersingsmodellen (control frameworks). Het meest gebruikte model, voornamelijk in de Verenigde Staten, is het COSO-model. De verschillen tussen de verscheidene modellen blijken echter niet erg groot. Het voornaamste verschil tussen bestaande modellen is de focus op diverse aspecten van risicomanagement, zoals de waarschijnlijkheid en gevolgen (Redactie Treasurytoday, October 2008 ).

De grootte van de organisatie heeft geen invloed op de toepasbaarheid van COSO, zolang elk component aanwezig is en goed functioneert (Ballou 2005). Wel is, zoals al in voorgaande paragrafen is aangegeven, het functioneren van een risicomodel mede afhankelijk van de manier waarop functionarissen in een organisatie hiermee omgaan. Mensen zijn bevooroordeeld in hun denken (Royer 2000) en kunnen gegevens fout interpreteren. De implementatie van een risicomodel biedt dus geen volledige zekerheid.

Daarnaast zal de mate waarin een risicomodel wordt geïmplementeerd samenhangen met de grootte en de activiteiten van de organisatie. Het is weinig zinvol om in een kleine onderneming een volledig risicomodel in te voeren, omdat er dan meer tijd zal worden besteed aan het beheersen van de organisatie dan de core-business. Bij de mate van implementatie is het van belang kosten en baten altijd tegen elkaar af te wegen.

Kenmerken van een kleine organisatie

Zoals al uit voorgaande paragrafen heeft mogen blijken, heeft de grootte van de organisatie bij interne beheersing niets te maken met bijvoorbeeld de omzet of marktwaarde. De Groot (2006) noemt een aantal kenmerken van ‘kleinere ondernemingen’:

• Leiderschap door management met belangrijke mate van eigendomsrechten. • Beperkter aantal managementlagen met grotere reikwijdte van beheer. • Beperkter aantal activiteiten en productlijnen.

• Concentratie van marketing op geografie of distributiekanaal. • Minder complexe processen of systemen.

• Beperkter aantal personeelsleden waarvan de meesten een ruime range aan functies hebben.

• Beperkte mogelijkheden om in zowel lijn- als staffuncties diepe expertise op te bouwen.

Uitgaande van bovenstaande kenmerken, hebben de stichtingen die in het onderzoek worden betrokken veel kenmerken van een ‘kleine’ organisatie in het kader van interne beheersing. Het management van een stichting heeft echter in geen enkel opzicht enige mate van eigendomsrechten. Immers, een stichting heeft geen eigenaar. Daarnaast zijn de stichtingen in het onderzoek wel organisaties van een grote omvang en bestaan deze uit verschillende managementlagen.

Samengevat kan worden geconcludeerd dat bij de implementatie van interne beheersmaatregelen, het met enig begrip van de organisatie en haar specifieke kenmerken moet worden gedaan. Het belangrijkste deel van de implementatie van een ERM-beheersingsmodel is dat er een goed begrip wordt verkregen van de risicofilosofie, cultuur en structuur van de organisatie (Ballou 2005). Het COSO-model zou in essentie dus geschikt zijn als risicomodel bij stichtingen en bruikbaar als uitgangspunt van dit onderzoek. Dit model zal ik dan ook gebruiken om het onderzoek gestructureerd te kunnen uitvoeren en tot een juiste definitie van mogelijke risico’s te komen.

3.6 Samenvatting theorie

In hoofdstuk 2 en 3 heb ik voor mijn onderzoek de meest relevante theorie besproken. Hierin zijn duidelijk de verschillende onderdelen van risicobeheersing aangegeven. Het doel van risicobeheersing kan worden samengevat als het identificeren van situaties en het ontwikkelen van beheersmaatregelen om de waarschijnlijkheid en/of kans op negatieve gebeurtenissen (events) tot een minimum te beperken. Dit kan door preventie of adoptie van het risico. Binnen het COSO-model (2004) vallen hieronder het vermijden, verminderen, delen, accepteren van het risico. Hiermee beantwoord ik deelvraag 1.

Keuze risicomodel

Uit de theorie blijkt dat veel modellen in essentie op elkaar lijken. Als belangrijkste

risicomodel hanteer ik in mijn onderzoek het COSO (2004) model. Ik heb bewust voor COSO (2004) gekozen, omdat ik de meeste ervaring met dit model heb en het model mij het beste werkbaar lijkt voor dit onderzoek. Vanuit de theorie gezien is het COSO-model ook geschikt als risicobeheersingmodel voor stichtingen. Het COSO-model is niet alleen het meest gebruikte risicobeheersingsmodel, maar is ook toepasbaar op elke organisatieomvang en – type. Wel zal de grootte van de organisatie vermoedelijk bijdragen aan de mate waarin COSO succesvol kan worden geïmplementeerd en uitgevoerd. Hiermee wordt antwoord gegeven op deelvraag 2.

Als basis voor het COSO-beheersingsraamwerk is een goed begrip van risicofilosofie van het management, de cultuur en structuur van de organisatie essentieel.

De eerste stap die volgt is om vanuit de strategie doelen te formuleren. Vervolgens kunnen bedreigingen van deze doelen worden benoemd en de gebeurtenissen die tot deze doelen leiden. Als deze gebeurtenissen bekend zijn, kun je bepalen in welke mate de gevolgen impact hebben en de kans dat de gebeurtenis plaatsvindt. Met behulp van de ‘risk appetite’ van de organisatie kun je dan bepalen hoe je met het risico wilt omgaan.

Voor de genoemde gebeurtenissen kun je daarna beheersmaatregelen bedenken om het risico terug te brengen tot een acceptabel niveau. Per beheersmaatregel is onder andere een kosten-/batenanalyse belangrijk. Vervolgens moet de beheersmaatregel op de juiste manier worden geïmplementeerd in de organisatie, zodat deze het gewenste effect heeft. Als laatste is het belangrijk om te bepalen welke informatie je nodig hebt om te blijven controleren of de beheersmaatregel blijft voldoen en hoe deze informatie beschikbaar komt.

4

Onderzoeksmethode

In dit hoofdstuk wordt beschreven hoe het onderzoek tot stand zal komen. In paragraaf 4.1 zal ik als eerste beschrijven wat een stichting is en hoe deze wordt vormgegeven. Hiermee zal tot een antwoord worden gekomen op deelvraag 3. In paragraaf 4.2 worden de beperkingen waarmee het onderzoek te maken heeft genoemd en in paragraaf 4.3 zal ik beschrijven hoe ik de in hoofdstuk 1 geformuleerde probleemstelling en de daaruit voortvloeiende deelvragen ga beantwoorden.

4.1 Structuur van de Stichting

Stichtingen kunnen om verschillende redenen worden opgericht. Maar vaak met één overwegende reden. Namelijk: het behartigen van één gemeenschappelijk doel. Daarnaast worden stichtingen ook gebruikt voor minder gemeenschappelijke doelen, zoals voor het wegzetten van spaartegoeden, zodat inkomstenbelasting kan worden voorkomen2.

Type Stichting

Het type stichting dat in het onderzoek aan bod komt, zal zich richten op de eerstgenoemde vorm. Veelal is dit een ideologisch doel met een maatschappelijk belang. Hierbij valt te denken aan het begeleiden van werklozen op de arbeidsmarkt, onderzoek naar ziekte, goede doelen, kunst- of cultuurinstellingen, landschapsbeheer, opvang van zwerfjongeren, daklozen of andere mensen zonder vaste woon- of verblijfplaats. Een heel breed scala aan activiteiten is dus mogelijk binnen een stichting. De commerciële stichting is in dit onderzoek uitgesloten. Organen

De stichting is zelfstandig drager van rechten en plichten. De bestuurders zijn niet hoofdelijk aansprakelijk voor schulden van de stichting, tenzij er sprake is van onbehoorlijk bestuur. Bestuurders en oprichters van de stichting zijn ook niet in loondienst en vallen niet onder werknemersverzekeringen. De stichting kan wel werknemers in dienst hebben3. Het bestuur is daarnaast ook het enige verplichte orgaan bij een stichting. Echter wordt er wel vaak gekozen voor een Raad van Toezicht boven het bestuur. Primaire taak van dit orgaan is het toezicht op de realisatie van de primaire doelstelling en het functioneren van het bestuur. Daarnaast heeft de Raad van Toezicht een belangrijke adviesfunctie ten aanzien van maatschappelijke functie, beleid en strategie, doelmatigheid en efficiency. Verder heeft de raad de verantwoordelijkheid voor de controle en het toezicht op de interne controle.

2 _{Belasting ontduiken in EU wordt steeds lastiger. In: Volkskrant (16 september 2008, pagina 9); Wachten met Erven. In:}

In het kader van interne beheersing speelt de Raad van Toezicht vooral een adviserende en controlerende rol. Naast bovengenoemde punten is de raad ook verantwoordelijk voor de informatievoorziening, samenstelling en kwaliteit van de informatie. Binnen dit kader past ook een risicomodel als COSO 2004, waardoor interne beheersing toeneemt. Om ERM te implementeren zal het bestuur van de organisatie achter dit besluit moeten staan en moeten zorgen voor voldoende resources. (Kneffer 2003 en Bowling 2005). Werknemers zullen ERM filosofie ook eerder accepteren wanneer zij zien dat het management en het bestuur hier achter staan (Ballou 2005).

De Raad van Toezicht zal vanuit zijn verantwoordelijkheid naar verwachting het besluit tot implementatie van ERM accepteren. Maar het bestuur en management spelen de belangrijkste rol. Andersom zal ERM het bestuur helpen bij de verantwoording die het moet afleggen aan de Raad van Toezicht om redelijke zekerheid te verschaffen ten aanzien van de realisatie van doelstellingen, effectiviteit en efficiency van processen, betrouwbaarheid van rapportages, voldoen aan relevante wet- en regelgeving.

Governancecode voor stichtingen

Er is geen verplichte governancecode specifiek voor stichtingen. Wel zijn er specifieke modellen geschreven ter ondersteuning van non-profit organisaties die op zoek zijn naar een betere interne beheersing. Een voorbeeld hiervan is BCF (Beleidsgestuurde Contract Financiering). BCF biedt net als verschillende governancecodes hulp bij het inrichten en structureren van de informatievoorziening en zegt bij te dragen aan een betere verhouding tussen overheid en ondernemer. BCF geeft vorm aan een heldere en zakelijke relatie tussen overheid en organisatie.

Verschil tussen RvC & RvT

Ten aanzien van dit onderzoek zal de Raad van Toezicht dus een belangrijke rol spelen in het kader van risicobeheersing. Opmerkelijk is dat de rol van de Raad van Toezicht niet volledig overeenkomt met die van een Raad van Commissarissen. Doordat een stichting eigenlijk van niemand is. In een krantenartikel wordt zelfs gesteld dat de Raad van Toezicht vaak de weg van de minste weerstand kiest, terwijl de Raad van Commissarissen een conflict over het algemeen niet uit de weg gaat4. Dit is overigens niet onderzocht. Als buitenstaander zou je kunnen vermoeden dat de cultuur binnen stichtingen gemoedelijker is, omdat er geen eigenaar is die maximaal resultaat wenst te zien tegen (elke) prijs.

De werkelijkheid is dat in stichtingen en Raad van Toezicht evengoed professionals werken die de organisatiedoelstellingen zo goed mogelijk nastreven. Regelgeving die zij moeten volgen is net zo strikt als die van een Raad van Commissarissen en de verantwoording is minstens zo groot. Naar mijn mening kan het standpunt uit het krantenartikel dan ook niet zomaar worden aangenomen.

Het “cultuur”verschil tussen profit en non-profit waar het krantenartikel op doelt, is ook al naar voren komen in het theoretisch kader van hoofdstuk 2. Hierin werd gesteld dat bestuurders van non-profit organisaties verschillende motieven hebben om in deze sector te werken. Belangrijk is dat de bestuurder zich sterk verbonden voelt met de doelstelling van de onderneming. Met paragraaf 4.1 beantwoord ik deelvraag 3: Wat zijn stichtingen?

Vereniging

Naast de stichting is er nog een andere rechtsvorm mogelijk die eveneens een maatschappelijk doel kan dienen, namelijk de vereniging. Het belangrijkste verschil tussen de (non-profit) stichting en een vereniging is dat er bij een vereniging sprake is van leden. Dit brengt een aantal specifieke risico’s met zich mee voor de besluitvorming op ledenvergaderingen. Hier zal ik in deze scriptie echter niet over uitweiden, gezien het overgrote deel van de geïnterviewden stichtingen betreft.

4.2 Onderzoeksmethode

Om het onderzoek naar risico’s van stichtingen gestructureerd te kunnen uitvoeren, gebruik ik het COSO (2004) model. Om dit goed te kunnen doen, zal er eerst een algemene doelstelling moeten worden geformuleerd (objective setting) en subdoelstellingen, voordat er naar events kan worden gezocht welke de organisatie kunnen weerhouden van het bereiken van deze doelstelling. Voor het benoemen van de events zal ik de methode van “vrije brainstorm” gebruiken. Daarnaast zal ik een generiek risicomodel van Ernst & Young gebruiken ter controle van de volledigheid.

Door middel van diepte-interviews zal ik toetsen in hoeverre de geformuleerde risico’s spelen binnen de stichtingen en hieruit vervolgens 5 belangrijkste risico’s selecteren.

Ik heb voor de onderzoeksmethode van diepte-interviews gekozen, omdat ik één deelvraag heb geformuleerd over het benoemen van de belangrijkste risico’s die bij grote stichtingen spelen uit het perspectief van de directie en de toezichthouder. Vanuit de theorie en methode van vrije brainstorm komen namelijk niet per definitie alle relevante risico’s naar voren. Voornamelijk praktische risico’s kunnen in de aanloop naar het onderzoek over het hoofd worden gezien door onvoldoende praktische kennis van de organisaties. Door te kiezen voor een diepte-interview laat ik ruimte in het onderzoek om eventuele praktische risico’s die in eerste instantie over het hoofd werden gezien toch op te nemen in de onderzoeksuitkomsten.

4.3 Onderzoek

Ten behoeve van het onderzoek heb ik eerst een algemene doelstelling geformuleerd als vertrekpunt van de risico-inventarisatie welke ten grondslag zal liggen aan het interview. De (strategische) doelstelling zoals ik die heb geformuleerd voor stichtingen ten behoeve van de risicoanalyse is: “Het verwezenlijken van een bepaald doel met ideële of sociale strekking”.

Deze hoofddoelstelling zal aansluiten bij de statuten van de stichting. Vervolgens valt deze hoofddoelstelling onder te verdelen in verschillende categorieën binnen COSO (2004), namelijk: strategisch, operationeel, verslaggeving en wet- en regelgeving. In het onderzoek zal ik voornamelijk aandacht besteden aan strategische doelstellingen. Hiervoor kies ik omdat de interviews plaatsvinden met de leiding van de organisatie (bestuur/directie) en de besproken risico’s dus binnen hun directe verantwoordelijkheid en belangstelling moeten liggen. Uiteraard kan het wel zo zijn dat uit de strategische risico’s verschillende operationele risico’s voortvloeien.

Hieronder zal ik tien verschillende strategische subdoelstellingen formuleren die ik naar thema heb gecategoriseerd. Deze zullen in een risicomodel worden weergegeven, waarin bedreigingen en gebeurtenissen aan deze doelstellingen worden gekoppeld.

De volgende doelstellingen zijn geformuleerd: 1. Bestuur en besturing:

Zorgen voor een competent bestuur dat achter de ondernemingsdoelstelling staat. 2. Normen en waarden:

Uitdragen van de normen en waarden in de organisatie. 3. Structuur van de organisatie:

Zorgen voor een goede organisatiestructuur welke past bij de doelstellingen. 4. Relatie met betrokkenen:

Zorgen voor een goede relatie met alle betrokkenen (politiek, gemeentes enz.). 5. Strategische visie:

Zorgen voor een optimaal strategisch plan/visie (vooruitzien, macro-economisch, fusies).

6. Realisatie van visie/strategisch plan:

Zorgen voor een goede uitvoering van de strategie in de organisatie en controle hierop.

7. Begroting en realisatie:

8. Continuïteit:

Zorgen voor continuïteit van de organisatie. 9. Prijsstelling:

Zorgen voor een correcte prijsstelling. 10. Monitoring en control:

Zorgen voor een goede interne beheersing en monitoring van alle activiteiten. Vanuit de verschillende doelen per thema worden door een vrije brainstorm verscheidende bedreigingen en vervolgens events benoemd welke bij stichtingen kunnen spelen. De doelen, bedreigingen en events zijn opgenomen in een risicomodel. Zie bijlage 1 voor een overzicht van deze bedreigingen en events per doelstelling. Ter controle van de volledigheid van deze risico’s heb ik het schema uit bijlage 1 vergeleken met een generiek risicomodel van Ernst & Young. Hieruit bleek dat de meeste risico’s waren benoemd. Belangrijke risico’s die misten, zijn alsnog toegevoegd.

4.4 Interview

Vanuit de geformuleerde bedreigingen en events per doelstelling/thema in bijlage 1, stel ik een interview op. Met dit interview zal ik in staat zijn deelvraag 4 en 5 te beantwoorden.

Van event naar interview

Om vanuit de events een goede koppeling te kunnen maken naar de interviews, worden er per event een aantal gesloten vragen geformuleerd en één algemene open vraag. De vraagnummers die worden gebruikt in het interview (bijlage 2) sluiten volledig aan bij die van bijlage 1. Op deze manier is de output van het interview direct gekoppeld aan het inherente risicomodel van bijlage 1.

Ik heb voor de gesloten vragen gekozen, omdat er na de risico-inventarisatie van de doelstelling veel relevante events konden worden benoemd. Het gebruik van enkel open vragen was hierdoor niet werkbaar.

Vragen per thema

Per thema zijn er een aantal gesloten vragen opgenomen die de inhoud van het thema voldoende dekken. Aan het einde van elke thema/subdoelstelling wordt er met betrekking tot het thema één open vraag gesteld, waarin ruimte wordt gelaten om voor de directie belangrijke zaken te noemen. Een andere reden waarom ik ook voor de open vraag heb gekozen, is dat ik per thema inzicht wil krijgen in de mate waarin risico’s m.b.t. het thema worden beheerst en de manier waarop.

In totaal bestaat het interview uit ongeveer 70 gesloten vragen en 10 open vragen. De gesloten vragen moeten worden beantwoord via vijfpunts semantische differentiaalschalen (hoog - laag en positief - negatief). De verwachte tijd die ik nodig heb voor het interview bedraagt ongeveer 1,5 uur. Het interview is opgenomen onder bijlage 2.

Resultaten van het interview

De uitkomst van het onderzoek moet inzicht geven in de onderste vijf categorieën van het COSO-model (figuur 3). Ofwel, in welke mate is er van de geformuleerde events sprake, in hoeverre worden deze risico’s beheerst en gemonitord. Binnen het interview wil ik naast de gestructureerde gebeurtenissen/risico’s nadrukkelijk ruimte laten waarbinnen de directeur van de stichting zelf relevante risico’s kan benoemen.

Na afloop van de interviews heb ik data over welke uit het interview behandelde risico’s relevant zijn, of deze worden beheerst en hoe dit gebeurt. Hierbij moet rekening worden gehouden met gedocumenteerde risicobeheersing en niet-gedocumenteerde risicobeheersing. Het kan namelijk zo zijn dat de geïnterviewde bestuurder/directeur wel een beheersmaatregel in zijn hoofd heeft zitten of bezig is met risicobeheersing zonder dit te documenteren. In mijn onderzoek ben ik op zoek naar gedocumenteerde en gestructureerde risicobeheersing. Hiermee houd ik tijdens het interview rekening.

4.5 Randvoorwaarde

Het onderzoek wordt uitgevoerd in opdracht van Ernst & Young Accountants. In overleg zijn we tot een selectie van stichtingen gekomen, voor zover deze binnen het kader van het onderzoek passen.

Bij het uitvoeren van het onderzoek wordt er onderzoek gedaan naar de mate waarin de geformuleerde risico’s worden beheerst.

Deze risico’s komen tot stand door een vrije brainstorm. Het gevolg hiervan is dat de geformuleerde events limitatief zullen zijn. Niet alle risico’s kunnen worden betrokken in het onderzoek. De reden hiervoor is dat een complete risicoanalyse bij meerdere stichtingen te arbeidsintensief is en buiten het beschikbare tijdskader van deze afstudeeropdracht valt. De nadruk in het onderzoek zal liggen op de risico’s die de continuïteit of reguliere bedrijfsvoering kunnen beïnvloeden.

Het onderzoek richt zich op een aantal grote stichtingen die zijn geselecteerd in overleg met Ernst & Young Accountants. Het onderzoek heeft betrekking op ongeveer vijf stichtingen waarvan met zekerheid kan worden gezegd dat de baten groter zijn dan € 5.000.000,--.

Doordat dit onderzoek te maken heeft met een beperkte hoeveelheid betrokken stichtingen, is het van belang dat de te onderzoeken stichtingen qua grootte overeenkomen en zich in vergelijkbare sectoren bevinden.

Binnen de selectie zijn om deze reden scholen, woningcorporaties en ziekenhuizen uitgesloten, omdat deze te maken hebben met een heel eigen wet- en regelgeving.

4.6 Overzicht

In dit hoofdstuk is antwoord gegeven op deelvraag: 3. Wat zijn stichtingen?

5

Risicobeheersing toegepast

In dit hoofdstuk zal het COSO-model worden uitgewerkt en toegepast op stichtingen in het algemeen. De toepassing zal dus nadrukkelijk geen volledig uitgewerkt risicomodel van een stichting zijn. Het zal enkel het model invullen op algemene punten die toepasbaar zijn op de gehele sector en hiermee een aanzet geven tot toepassing. Veel gegevens die van belang kunnen zijn om een juiste invulling te geven aan de acht componenten van het COSO ERM 2004 zijn immers erg bedrijfsspecifiek.

Het uitgevoerde onderzoek in de vorm van interviews met bestuurders zal als basis dienen voor de relevantie van risico’s die later in dit hoofdstuk aan bod komen.

Een belangrijk onderdeel van de toepassing van een ERM-beheersingsmodel is dat er een goed begrip wordt verkregen van de risicofilosofie, cultuur en structuur van de organisatie (Ballou 2005). Hiermee zal worden begonnen in paragraaf 5.1. In paragraaf 5.2 worden vervolgens de doelstellingen behandeld en in paragraaf 5.3 worden de uitkomsten van het onderzoek weergegeven. Paragraaf 5.4 zal een samenvatting geven van de belangrijkste risico’s die uit het onderzoek naar voren zijn gekomen en tevens zullen deelvraag 4 en 5 worden behandeld. Paragrafen 5.5, 5.6 en 5.7 behandelen de laatste 3 componenten uit het COSO-model, toegepast op het onderzoek.

5.1 Internal environment

In deze paragraaf geef ik een algemene beschrijving van de interne omgeving waarin stichtingen zich bevinden. Factoren die volgens het COSO (2004) van belang zijn binnen de beheersomgeving, betreffen de integriteit, ethische normen en waarden en vaardigheden van medewerkers, de managementfilosofie en stijl van leidinggeven, het personeelsbeleid, evenals de wijze waarop het bestuur van een huishouding richting geeft aan de organisatie. Ofwel, de beheersomgeving draait om het beïnvloeden van het menselijk handelen, zodat dit bijdraagt aan het behalen van de organisatiedoelstellingen.

Risicofilosofie

De risicofilosofie in een stichting zou ik kenmerken als zeer matig tot terughoudend. Het doel van een stichting is niet het realiseren van zoveel mogelijk winst, maar het dienen van een maatschappelijke doel. De aanname is dat de organisatie vooral zal zijn ingesteld op behoud of continuïteit. De organisatie zal naar mijn verwachting niet snel grote risico’s accepteren. De organisatie zou risico’s moeten beperken tot een minimum.

Cultuur

De cultuur zou ik beschrijven als enigszins bureaucratisch waar weinig vernieuwing of verandering plaatsvindt. Werknemers zullen over het algemeen achter de organisatiedoelstelling staan en hier ook naar handelen. De structuur van de organisatie telt niet erg veel hiërarchische lagen en de sfeer zou ik als informeel kenmerken. Dit komt overeen met de beschrijving van Starreveld et al. (1997) op bladzijde 334. Deze kenmerken werden tevens bevestigd in verschillende interviews.

5.2 Objective Setting

Het doel van stichtingen verschilt per stichting, maar alle stichtingen zullen via hun doelstellingen een maatschappelijk doel steunen. Vanuit dit strategische doel worden verschillende subdoelstellingen geformuleerd door het bestuur. Ook deze subdoelstellingen zullen per stichting verschillen. Voor dit onderzoek heb ik een hoofddoelstelling en enkele subdoelstellingen geformuleerd welke als basis dienen voor het onderzoek en interview. Voor deze doelstellingen wil ik verwijzen naar paragraaf 4.3.

5.3 Risk Assessment

Bij de implementatie van een risicobeheersingsmodel dient de organisatie te bepalen welke mate van risico zij wenst te lopen. Voor stichtingen zal het gepast zijn een lage risicotolerantie te hebben, gezien het maatschappelijke doel en de vorm van financiering, namelijk via subsidies. Subsidieverleners zullen het eveneens niet toestaan dat er grote risico’s worden gelopen ten aanzien van het vermogen van de stichting, gezien de subsidie die wordt gegeven ten behoeve van een maatschappelijk doel. Dit wordt tevens bevestigd door directieleden tijdens het interview. Vaak werd als antwoord gegeven: “Het is allemaal gemeenschapsgeld en daar moet je zo mee omgaan”. Het lijkt er dus op dat alle directeuren die tijdens het onderzoek aan bod kwamen hier zorgvuldig mee omgaan.

Inherent en restrisico

Het inherente risico en restrisico komen hier ook aan te pas. Hoe groot zijn de risico’s voordat er beheersmaatregelen worden toegepast en hoe groot na toepassing van de juiste beheersmaatregel. Wat zijn vervolgens de kosten van de beheersmaatregel en weegt dit op tegen het risicovoordeel dat er wordt behaald. Dit is ook afhankelijk van de waarschijnlijkheid dat het risico zich voordoet en de gevolgen hiervan voor de organisatie. Het bovenstaande betreft allemaal zaken die per organisatie afgewogen dienen te worden en waar dus geen eenduidig antwoord op gegeven kan worden.

In de hieronder volgende subparagrafen worden per categorie de meest relevante bevindingen uit het onderzoek gerapporteerd. De vragen per categorie zijn terug te vinden in bijlage 2.