Risicomanagement:
Dé oplossing voor betaald voetbal
organisaties?
2
Risicomanagement bij betaald voetbal organisaties
Groningen, juli 2010
MASTER THESIS
Auteur: Stef de Wilde
Studentnummer: 1289608
Begeleider: W.K. Zwaagman
Tweede Begeleider: C.B. Rolf RA
Opleiding: Master Accountancy & Controlling
Faculteit: Faculteit Economie en Bedrijfskunde
Onderwijsinstelling: Rijksuniversiteit Groningen
In samenwerking met: KPMG Groningen
3 Voorwoord
De master thesis is een uitdaging op zich. Daar zullen veel medestudenten het mee eens kunnen zijn. Op een wetenschappelijke manier onderzoek doen is een uitvoerige en zorgvuldige onderneming en enorm leerzaam.
Voor u ligt het resultaat van mijn onderzoek naar risicomanagement bij betaald voetbal organisaties. Het vormt samen met een aantal vakken de afsluiting van mijn Master Accountancy & Controlling aan de Rijksuniversiteit Groningen.
Dit onderzoek is mede gefaciliteerd door KPMG Accountants te Groningen. De scriptie is daar geschreven in de vorm van een afstudeerstage. Ik wil hierbij Wilco van den Hul zeer nadrukkelijk bedanken voor zijn begeleiding. Daarnaast wil ik ook de andere medewerkers van KPMG bedanken voor de gezellige en leerzame tijd.
Naast de begeleiding vanuit KPMG ben ik ook begeleid vanuit de
Rijksuniversiteit Groningen zelf. Ik wil hierbij Klaas Zwaagman en Christiaan Rolf ook zeer nadrukkelijk bedanken voor de energie die zij in mijn begeleiding hebben gestoken.
Tot slot wil ik mijn dank uiten aan familie, vrienden en kennissen die mij hebben gesteund tijdens deze periode.
Overall was het een intensieve, maar zeer leuke en leerzame tijd van afstuderen!
Stef de Wilde
4 Managementsamenvatting
Betaald voetbal organisaties (bvo’s) komen vaak in het nieuws door hun financieel slechte situatie. Het is geen uitzondering meer dat bijvoorbeeld een gemeente de plaatselijke bvo redt van een ondergang. Overheidssteun is niet zondermeer toegestaan. Ondanks dat (lokale) overheden verplicht zijn steunmaatregelen bij de Europese Commissie te melden, is er door de
Commissie nog nooit een onderzoek gestart naar vormen van overheidssteun aan bvo’s. Dit neemt niet weg dat dit niet in de toekomst zal gaan gebeuren. In dat geval kan de Commissie terugvordering gelasten.
Een bvo opereert in een dynamische omgeving en is onderhevig aan
organisatiespecifieke risico’s op verschillende gebieden. Wellicht komen bvo’s daarom in financiële problemen. Maar hoe kan het dat bvo’s keer op keer in het nieuws verschijnen met zware financiële problemen?
In dit onderzoek is onderzocht in welke mate bvo’s zich bewust zijn van risico’s die zij lopen en in hoeverre bvo’s op gestructureerde wijze risicomanagement toepassen.
Voor de beantwoording van deze vragen zijn bvo’s geïnterviewd. Het interviewschema is opgesteld door vanuit de theorie naar verschillende risicomodellen te kijken. Het COSO ERM II raamwerk is beargumenteerd gekozen om als basis te dienen voor het interviewschema. Vanuit de geformuleerde strategische doelstelling zijn een zestal subdoelstellingen
geformuleerd. Per subdoelstelling zijn verschillende interviewvragen opgesteld, ook ten aanzien van de belangrijkste te beheersen risico’s uit het perspectief van de controller / financieel directeur.
Uit het onderzoek komen opvallende resultaten naar voren. Ten aanzien van het bewustzijn van de geïnterviewde bvo’s omtrent risico’s die zij lopen toont het onderzoek dat:
- Functiescheiding vooral bij kleinere bvo’s een probleem blijkt, maar ze achten dat zelf een risico met een lage waarschijnlijkheid en een kleine impact;
- Binnen bvo’s een bepaald opportunisme leeft waarop soms beslissingen worden genomen;
- Er ten aanzien van enkele grote financiële risico’s grote mate van onzekerheid heerst, maar dat er op dit gebied nauwelijks
beheersingsactiviteiten zijn. Zo zijn bvo’s in grote mate afhankelijk van een externe partij, is er onvoldoende kapitaal om financiële tegenvallers op te vangen en vormen de structurele uitgaven een groot gedeelte van de totale uitgaven;
- Het wegvallen of vertrekken van een directielid als een risico met een grote impact wordt aangemerkt en dat men zich beseft dat dit zeer lastig is te beheersen.
5
Ten aanzien van de vraag in hoeverre de geïnterviewde bvo’s op gestructureerde wijze risicomanagement toepassen, blijkt dat:
- Bij bvo’s de ondernemingsdoelstellingen uitgebreid worden geformuleerd;
- Bvo’s risico’s veelal ad hoc identificeren en beoordelen;
- Bvo’s relevante informatie binnen de organisatie communiceren, maar soms niet in een vorm en tijdsbestek dat mensen hun
verantwoordelijkheid kunnen uitvoeren;
- Op het gebied van risicobeoordeling, reactie op risico’s en
beheersingsactiviteiten niet of nauwelijks activiteiten plaatsvinden op het gebied van risicomanagement.
Naar aanleiding van de onderzoeksresultaten luiden de conclusies van het onderzoek, gebaseerd op de antwoorden van de geïnterviewde bvo’s, als volgt:
“Betaald voetbal organisaties zijn zich in overwegende mate bewust van organisatiespecifieke risico’s die zij lopen, maar ten aanzien van enkele belangrijke risico’s is er onvoldoende structurele beheersing”
en
“Betaald voetbal organisaties passen vooral op pragmatische wijze bepaalde onderdelen van risicomanagement toe, er is geen sprake van structurele toepassing van risicomanagement”.
6 Inhoudsopgave
1 Onderzoeksplan 8
§1.1 Inleiding
§1.1.1 Inleiding in de problematiek 8
§1.1.2 Indicatie van de problematiek 8
§1.2 Aanleiding van het onderzoek 10
§1.2.1 Continuïteit bvo’s 10 §1.2.2 Afhankelijkheid en marktontwikkelingen 10 §1.3 Doelstelling 11 §1.3.1 Doelstelling onderzoek 11 §1.3.2 Hoofdvraag en deelvragen 11 §1.4 Onderzoeksrelevantie 11 §1.5 Opbouw scriptie 12 2 Positionering risicomanagement 13 §2.1 Inleiding 13 §2.2 Risicomanagement 13 §2.2.1 Historie risicomanagement 13 §2.2.2 Definiëring risicomanagement 13 §2.2.3 Risicobeheersing 15
§2.2.4 Relevante wetgeving risicomanagement 16
§2.3 Risicomanagement en modellen 17
3 Modellen risicomanagement 18
§3.1 Inleiding 18
§3.2 Het AS/NZS 4360:2004 raamwerk 18
§3.2.1 Ontstaan AS/NZS 4360:2004 raamwerk 18
§3.2.2 Inhoud AS/NZS 4360:2004 raamwerk 18
§3.3 Het COSO ERM II raamwerk 20
§3.3.1 Ontstaan COSO ERM II raamwerk 20
§3.3.2 Inhoud COSO ERM II raamwerk 20
§3.3.3 Discussie COSO ERM II raamwerk 24
§3.4 De ISO 31000-norm 24
§3.4.1 Ontstaan ISO 31000-norm 24
§3.4.2 Inhoud ISO 31000-norm 24
§3.4.3 Discussie ISO 31000-norm 26
§3.5 Overeenkomsten binnen de risicomanagementmodellen 26
§3.6 Gestructureerd risicomanagement 27
7
4 De betaald voetbal organisatie 29
§4.1 Omschrijving betaald voetbal organisatie 29
§4.2 Organisatiestructuur betaald voetbal organisatie 29 §4.3 Huidige wet- en regelgeving rondom risicomanagement 30
5 Onderzoeksmethode 32 §5.1 Inleiding 32 §5.2 Onderzoeksmethodiek 32 §5.3 Dataverzameling 33 §5.4 Interviewopzet 33 §5.4.1 Inleiding 33 §5.4.2 Opzet interviewschema 34 §5.5 Randvoorwaarde 36 6 Onderzoeksresultaten 37 §6.1 Inleiding 37
§6.2 Risicomanagement bij bvo’s 37
§6.2.1 Bvo’s en doelstellingen 37
§6.2.2 Bvo’s en gestructureerd risicomanagement 38
§6.2.3 Verdieping en samenvatting 45
§6.3 Risico’s bij bvo’s 47
§6.3.1 Belangrijkste risico’s vanuit perspectief 47 controller / financieel directeur
§6.3.2 Verdieping en samenvatting 50
§6.4 Opmerkingen ten aanzien van onderzoeksresultaten 52
7 Conclusie 53 §7.1 Inleiding 53 §7.2 Conclusies 53 §7.3 Onderzoeksbeperkingen 54 §7.4 Suggesties vervolgonderzoek 54 §7.5 Persoonlijke visie 55 Referenties 56
8
1
Onderzoeksplan
§1.1 Inleiding
§1.1.1 Inleiding in de problematiek
“Voetbalclub RKC Waalwijk voorlopig gered” meldt het Algemeen Dagblad op 29 oktober 2009. Op dat moment is duidelijk geworden dat doordat de gemeente Waalwijk garant staat voor een lagere stadionhuur en de hoofdsponsor garant staat voor een groot bedrag, de club voorlopig van een faillissement is gered. Het is niet de enige betaald voetbalclub die met problemen kampt.
Op 8 januari 2010 kopt het Dagblad van het Noorden “Spelers BV Veendam krijgen salaris”. Normaal gesproken is dit geen nieuws. Gezien het feit dat BV Veendam directe financiële steun van diverse sponsoren nodig heeft om de spelerssalarissen te betalen, nadat dit eerst is uitgesteld, is dat het wel. De krant meldt verder dat het bestuur van de club op korte termijn helder wil hebben hoe de club op lange termijn kan worden gered.
“Boete voor noodlijdend HFC Haarlem” kopt Trouw op 16 december 2009. Het artikel gaat over de beslissing van de KNVB om een boete van €10.000 euro uit te delen aan HFC Haarlem. De club staat op dat moment onderaan in de Jupiler League en verkeert in ernstige financiële problemen. De KNVB heeft
beoordeeld dat het ingediende plan van aanpak om uit de problemen te komen niet voldoet aan de gestelde eisen. Op maandag 25 januari 2010 beoordelen de bewindvoerders dat de club niet meer te redden valt en wordt het faillissement van HFC Haarlem door de rechtbank uitgesproken. Daarmee gaat een
voetbalclub met 120 jaar historie verloren.
§1.1.2 Indicatie van de problematiek
De financiële problemen van betaald voetbal organisaties (bvo’s) is niet iets van de laatste tijd, het is een probleem dat al langer aan de orde is. Medio 2002 heeft Ernst & Young Corporate Finance BV (hierna te noemen: Ernst & Young) al een onderzoek ingesteld bij de bvo NAC Breda. Ernst & Young komt in haar onderzoek tot een opsomming van allerlei problemen die ten grondslag lagen aan de financiële moeilijkheden van bvo’s. Een belangrijke oorzaak is de structureel hogere uitgaven dan inkomsten, waarbij de uitgaven voornamelijk een vast karakter dragen (spelerssalarissen), terwijl de inkomsten afhankelijk zijn van sponsorinkomsten en van classificering in de competitie. Verder concludeert Ernst & Young dat als gevolg van de slechte financiële positie van meerdere bvo’s, er een overschot dreigt te ontstaan aan profspelers. De salarissen en transfersommen zijn aanzienlijk, terwijl niet zeker is of de transfersom kan worden goedgemaakt. Ook is onzeker of spelers door het overschot nog te transfereren zijn, waardoor de bvo’s met hoge lasten kunnen blijven zitten.
9
Al jarenlang komen diverse betaald voetbal organisaties in het nieuws door hun financiële problemen. De realiteit leert dat (lokale) overheden veelal ingrijpen om deze ondernemingen de bedreiging rondom het voortbestaan te ontnemen. Het laatst bekende onderzoek hiernaar dateert van maart 2003. Dit betreft een onderzoek van KPMG Bureau voor Economische Argumentatie (KPMG BEA), wat is uitgevoerd in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). In het rapport, met als titel “De gemeente als twaalfde man”, kwam naar voren dat alle 33 gemeenten met bvo’s financiële relaties met hun bvo’s en stadions onderhielden. Zie hiervoor tabel 1, waarbij alleen de voor dit onderzoek van belang zijnde gegevens zijn opgenomen.
Soort transactie Stadion (in mln €) BVO (in mln €)
Gift 79 28,2
Lening 21,9 25,5
Garantiestelling 18,7 8,3
Financiële bijdrage van gemeente met tegenprestatie
77,9 0,9
Totaal 197,5 62,9
Tabel 1: Aard en omvang van de financiële relaties naar begunstigde entiteit in de afgelopen 10 jaar (“De gemeente als twaalfde man”, maart 2003).
De aanleiding van dit onderzoek was een brief van de Europese Commissie over de financiële ondersteuning van bvo’s en hun stadions door gemeenten. In deze brief stelt de Commissie dat dergelijke steunmaatregelen in principe zijn
onderworpen aan de algemeen geldende steunmaatregelen. Op juridisch vlak bestaat er verschil tussen financiële steun aan bvo’s en stadions. De Europese Commissie heeft als standpunt dat bvo’s als zelfstandige ondernemingen zichzelf moeten redden. Financiële steun is hierbij slechts onder zeer strikte voorwaarden toegestaan. Bij stadions is het standpunt van de Commissie coulanter, deze kunnen onder voorwaarden worden gezien als ‘infrastructuur’ die ten goede komt aan de maatschappij (“De gemeente als twaalfde man”, 2003).
Het Europees recht verbiedt overheidssteun aan ondernemingen die de
mededinging door begunstiging van bepaalde producties vervalsen of dreigen te vervalsen, voor zover deze steun het handelsverkeer tussen de lidstaten
ongunstig beïnvloedt (Verdrag tot oprichting van de Europese Gemeenschap, geconsolideerde versie 2002, derde deel, titel VI, hoofdstuk 1, artikel 87). Het Financieel Dagblad publiceert op 9 oktober 2009 middels een artikel, geschreven door advocaten van Brantjes Veerman Advocaten, dat het hierbij gaat om steun door de overheid die ondernemingen niet langs normale commerciële weg kunnen verkrijgen. Het artikel meldt verder dat, aangezien de meeste sportclubs worden gesteund en omvangrijke concurrentievervalsende overheidssteun aan ondernemingen verboden is, overheidssteun bij sportclubs in strijd is met het verbod.
De mogelijke onduidelijkheid rondom overheidssteun aan bvo’s is een relevant risico van behoorlijke omvang. Dit is gebaseerd op het feit dat in het onderzoek van KPMG BEA is aangetoond dat alle gemeenten financiële relaties hebben
10
met hun bvo’s en stadions. Het punt van het ontvangen van overheidssteun is een moment dat een bvo in een dermate slechte financiële positie zit en dat steun de enige oplossing voor het behoud van de continuïteit van de onderneming lijkt te zijn. Voordat dit punt wordt bereikt hebben andere bedrijfsrisico’s er
klaarblijkelijk voor gezorgd dat de desbetreffende bvo überhaupt in de positie is terecht gekomen.
§1.2 Aanleiding van het onderzoek
§1.2.1 Continuïteit bvo’s
Tot op de dag van vandaag heeft de Europese Commissie nog geen
onderzoeksprocedure gestart naar vormen van overheidssteun aan bvo’s. Een onderzoeksprocedure houdt in dat de Commissie onderzoekt of de steun verenigbaar is met de gemeenschappelijke markt.
Het valt zeker niet uit te sluiten dat de Europese Commissie, gezien de eerder genoemde aan BZK verstuurde brief, in de toekomst geen actie onderneemt. De Commissie kan ten aanzien van steunmaatregelen terugvordering gelasten. Dit zou een groot risico voor bvo’s kunnen zijn, vooral doordat deze
steunmaatregelen vaak behoorlijk van omvang en cruciaal voor de continuïteit van de onderneming zijn.
§1.2.2 Afhankelijkheid en marktontwikkelingen
Een onderneming als een betaald voetbal organisatie bevindt zich in een
dynamische omgeving en kent bepaalde bedrijfsrisico’s. Zoals eerder benoemd in de inleiding, blijkt dat diverse bvo’s hulpbehoevend zijn in de vorm van
overheidssteun. In tabel 1 is te zien dat er miljoenen euro’s in bvo’s worden geïnvesteerd, soms zonder er een tegenprestatie tegenover te stellen.
Het onderzoek van Ernst & Young toont aan dat meerdere bvo’s in een slechte financiële positie verkeren, wat invloed heeft op de overige bvo’s en ook op de marktontwikkelingen. Bvo’s kunnen bijvoorbeeld door deze ontwikkeling spelers met een in het verleden hoge marktwaarde niet zonder verlies verkopen. Geen verkoop betekent echter het intact houden van hoge structurele uitgaven op het gebied van spelerssalarissen. Naast de marktontwikkelingen toont hetzelfde onderzoek ook andere oorzaken tot problematiek bij bvo’s.
Financieringsproblemen, het hoge structurele uitgavenpatroon (vooral in de vorm van spelerssalarissen), de afhankelijkheid van een grote sponsor/financier en het starten van activiteiten buiten de ‘core business’ leiden tot problematiek.
De ontwikkeling binnen de markt van het betaald voetbal en de afhankelijkheid van bvo’s ten aanzien van de financiering van de onderneming kan ertoe leiden dat relevante risico’s onvoldoende worden beheerst.
11
Onderwerp van onderzoek is in hoeverre bvo’s zich bewust zijn van risico’s die zij lopen. Tevens is de onderzoeksvraag gericht op de vraag in hoeverre er gestructureerd risicomanagement wordt gevoerd, om te voorkomen dat bvo’s in financiële problemen geraken.
§1.3 Doelstelling
§1.3.1 Doelstelling onderzoek
De doelstelling van het onderzoek kan als volgt worden gedefinieerd:
Het bepalen in hoeverre betaald voetbal organisaties zich bewust zijn van risico’s die zij lopen en bepalen in hoeverre risicomanagement op gestructureerde wijze wordt toegepast.
§1.3.2 Hoofdvraag en deelvragen
Om de doelstelling van het onderzoek te kunnen behalen is de volgende probleemstelling geformuleerd:
“In welke mate zijn betaald voetbal organisaties zich bewust van risico’s die zij lopen en in hoeverre wordt risicomanagement op gestructureerde wijze toegepast?”
De genoemde hoofdvraag zal met behulp van een aantal deelvragen zo volledig mogelijk worden beantwoord. Hiervoor is een viertal deelvragen opgesteld.
1. Wat wordt verstaan onder risicobeheersing?
2. Welke wet- en regelgeving, met betrekking tot risicomanagement, is van toepassing voor betaald voetbal organisaties?
3. Op welke wijze hebben de betaald voetbal organisaties risicomanagement georganiseerd?
4. Wat zijn in het perspectief van de controller/financieel directeur de belangrijkste risico’s die betaald voetbal organisaties dienen te beheersen?
§1.4 Onderzoeksrelevantie
Uit de mediaberichten van de laatste jaren, de constateringen van Ernst & Young en uit het rapport van KPMG BEA blijkt dat veel bvo’s in financiële problemen geraken. Het is daarom van belang onderzoek te doen naar de mogelijke
oorzaken van deze problematiek. Gezien de eerder geschetste dynamische omgeving waarin bvo’s zich begeven, is het relevant te onderzoeken of bvo’s inzicht hebben in de risico’s die zij lopen. Ook is het relevant te onderzoeken of bvo’s gestructureerd risicomanagement toepassen om niet in de situatie terecht te komen dat er financiële nood gaat heersen. Risicomanagement is een systeem dat het management in staat stelt om de relevante risico’s, die het behalen van de doelstellingen van de organisatie bedreigen, te kunnen identificeren, te prioriteren, te analyseren en te beheersen (Emanuels, 2005). Als organisatie bepalen welke positie ten aanzien van risico’s wordt ingenomen is essentieel om op een juiste manier op geïdentificeerde en onverwachte risico’s te kunnen
12
inspelen. Hieruit volgt het belang om de toepassing en omvang van risicomanagement binnen organisaties te onderzoeken die in beginsel niet hoeven te voldoen aan de geldende corporate governance code. Bvo’s behoren daar in beginsel toe en omdat de afgelopen jaren bij verscheidene bvo’s financiële problemen aan het licht zijn gekomen is juist deze sector erg interessant voor verder onderzoek. Zijn bvo’s zich bewust van risico’s die zij lopen?
§1.5 Opbouw scriptie
In het volgende hoofdstuk zullen de begrippen risicomanagement en
risicobeheersing worden gepositioneerd. Hoofdstuk 3 zal binnen het theoretisch kader een aantal bekende risicomanagementmodellen behandelen. Na de
behandeling zal een keuze worden gemaakt ten aanzien van het verwerken van één van de modellen als basis voor de interviewvragen. Hoofdstuk 4 zal ingaan op de vraag wat een betaald voetbal organisatie nu precies is. In hoofdstuk 5 wordt weergegeven welke onderzoeksmethode is gehanteerd. In hoofdstuk 6 zullen de onderzoeksresultaten worden gepresenteerd, om vervolgens in hoofdstuk 7 conclusies, voortvloeiend uit het onderzoek, weer te geven. Het laatste hoofdstuk zal worden aangevuld met een eigen visie op de situatie rondom bvo’s ten aanzien van de invulling van risicomanagement.
13
2
Positionering risicomanagement
§2.1 Inleiding
Dit hoofdstuk heeft als doel het begrip risicomanagement te definiëren en te positioneren. Ook wordt het begrip risicobeheersing gedefinieerd. Allereerst wordt er kort ingegaan op de ontstaansgeschiedenis van het begrip
risicomanagement. Dan volgt de definiëring van het begrip en een korte
weergave van de relevante wetgeving op het gebied van risicomanagement. Tot slot wordt er ingegaan op risicobeheersing. Dit beantwoordt de eerste deelvraag “Wat wordt verstaan onder risicobeheersing?”.
§2.2 Risicomanagement
§2.2.1 Historie risicomanagement
Het vakgebied risicomanagement is in de jaren vijftig van de vorige eeuw ontstaan. Destijds werd risico met elkaar gedeeld, als een soort verzekering (’t Hart en Scholten, 2009). De denkwijze binnen het verzekeringswezen was het begin van risicomanagement, vooral door het aansprakelijkheidsrecht.
Verzekeringsmaatschappijen verwierven veel ‘know how’ op het gebied van het managen van risico’s, omdat zij deze risico’s dienden af te dekken middels de verstrekte verzekeringen.
De eerste toepassingen vonden in de jaren vijftig en zestig plaats door de
faillissementen van enkele banken. De toepassing van het vakgebied nam daarna toe. De term ‘risicomanagement’ dook voor het eerst op in een artikel dat in 1956 werd gepubliceerd in ‘Harvard Business Review’. Dit artikel bepleitte een functionaris binnen de onderneming om de verliezen binnen de bedrijfsvoering te minimaliseren (Claes, 2008). In de jaren zestig waaide de term ‘risk
management’ vanuit Amerika over als de nieuwe aanduiding (Louwman en Steens, 1994).
§2.2.2 Definiëring risicomanagement
Organisaties lijken zich steeds bewuster te worden van het belang van
risicomanagement. Hierdoor ontstaat een toenemende behoefte aan een goed raamwerk dat op effectieve wijze risico’s kan identificeren, beoordelen en beheren.
Het doel van het risicobeheersingssysteem is om met de gewenste mate van zekerheid te kunnen stellen dat de ondernemingsdoelstellingen worden bereikt (Emanuels en De Munnik, 2006). Binnen de bestaande literatuur bestaan
verschillende definities van risicomanagement. De definitie die wordt gehanteerd door Emanuels (2005) luidt:
14
“Risicomanagement is een systeem dat het management in staat stelt om de relevante risico’s, die het behalen van de doelstellingen van de organisatie
bedreigen, te kunnen identificeren, te prioriteren, te analyseren en te beheersen”.
Een andere definitie voor risicomanagement (Boekhout en Swagerman, 2004) is:
“Het actief beheersen van de systematische opeenvolging van gelijkgerichte activiteiten met als doel de gebeurtenissen met een positief gevolg voor het realiseren van de ondernemingsdoelstellingen te stimuleren en gebeurtenissen met een negatief gevolg voor het realiseren van de ondernemingsdoelstellingen te voorkomen”.
Beide definities geven op eigen wijze weer wat risicomanagement is. Beide definities spreken wel over de term ‘risico’. Boekhout en Swagerman (2004) verstaan onder het begrip risico “de kans dat een positieve of negatieve
gebeurtenis zich voordoet waarbij het gevolg van deze gebeurtenis het realiseren van de ondernemingsdoelstelling positief of negatief beïnvloedt”. Hieruit vloeit de taak van het management voort, zoals Boekhout en Swagerman aangeven. De mogelijkheid van het zich voordoen van risico’s dient inzichtelijk en beheersbaar te worden gemaakt. Het lopen van risico op zich behoort bij ondernemen. Hierin zit de risicohouding van het management verscholen: welk risico wil het
management bewust accepteren (Bossert, 1993).
Risicomanagement dient te allen tijde tot als een integraal onderdeel van het managen van organisaties moet worden beschouwd (Boekhout en Swagerman, 2004). Dit vraagt van het management en ook overige onderdelen van de organisatie onophoudelijke aandacht.
Na de beoordeling van risico’s, waarbij de waarschijnlijkheid dat een risico optreedt en de gevolgen wanneer het risico optreedt zijn vastgelegd, worden de te nemen beheersingsmaatregelen gekoppeld aan deze risico’s. Bij het formuleren van beheersingsmaatregelen speelt het kosten-batenaspect een belangrijke rol (Van den Heuvel, Wondergem en Zweverink, 2005). Het is vanzelfsprekend niet zinvol om bepaalde risico’s met een lage waarschijnlijkheid en beperkte gevolgen te beheersen wanneer dit hoge kosten met zich mee zal brengen. Dat
risicobeoordeling en de kosten-batenanalyse hand in hand gaan, wordt getoond in figuur 1 (Van den Heuvel, Wondergem en Zweverink, 2005).
15
Figuur 1: Acties en beoordeling van risico’s (Van den Heuvel, Wondergem en Zweverink, 2005). Zoals is te zien in figuur 1, is er bij geringe gevolgen en lage waarschijnlijkheid geen onmiddellijke actie nodig. Is één van beide echter hoog, dan is een kosten-batenanalyse van belang. Zijn de waarschijnlijkheid en de omvang van de gevolgen (impact) hoog, dan is een actieplan nodig om het desbetreffende risico in te perken.
Door risicomanagement te integreren binnen de bedrijfsprocessen en risico’s in te kaderen, vermindert de onderneming de kans op negatieve effecten op het behalen van de ondernemingsdoelstelling. Door middel van risicomanagement kan het management voortdurend op de hoogte worden gebracht van (de gevolgen van) risico’s die er zijn en worden beheerst. Ook de werking van de beheersmaatregelen kan worden getoetst.
§2.2.3 Risicobeheersing
Het doel van het risicobeheersingssysteem is met de gewenste mate van zekerheid te kunnen stellen dat de ondernemingsdoelstellingen worden bereikt (Emanuels en De Munnik, 2005). De gegeven doelstelling is een doelstelling van het zogenaamde enterprise risk management systeem (ERM). Het ERM systeem is een systeem dat de mogelijkheden biedt om op een gestructureerde manier risicomanagement toe te passen binnen de organisatie. Het ERM systeem is te onderscheiden in een proces: bepalen van doelstellingen, inschatten van risico’s, treffen beheersmaatregelen, bewaken van de effectiviteit en het bijsturen indien nodig (Emanuels en De Munnik, 2006). De wijze waarop het proces wordt ingevuld en de wijze waarop de organisatie bijgestuurd wordt, is een keuze van het management. De organisatie kan kiezen voor een ‘strakke’ beheersing door middel van strikte 'controls’ of een ‘losse’ beheersing.
W a a rs c h ijn lij k h e id L a a g h o o g
Kosten-batenanalyse voor Actieplan nodig
actie gericht op verminderen kans
Geen onmiddellijke actie, Kosten-batenanalyse
wel monitoring risico voor actie gericht op
verminderen impact
gering groot
16
Het ERM systeem richt zich op doelstellingen in de volgende categorieën: • Strategie: op het allerhoogste niveau en gebaseerd op de missie; • Operationeel: effectieve en efficiënte inzet van middelen; • Rapportage: betrouwbaarheid van de informatievoorziening;
• Compliance: handelend in overeenstemming met wet- en regelgeving.
Deze indeling in risicogebieden draagt bij aan het in kaart brengen van risico’s en aan het gericht verzamelen van informatie die nodig is om de risico’s te kunnen inschatten en te kunnen beheersen (Roth en Espersen, 2002). Ook Boekhout en Swagerman (2004) stellen dat nadat de missie en de strategische doelstellingen zijn geformuleerd, kan worden vervolgd met de andere stappen binnen het risicomanagement. Als andere stappen formuleren zij onder andere de
strategische en operationele risicoanalyse. De eerste kan worden ingevuld met bijvoorbeeld een SWOT-analyse. De operationele risicoanalyse moet periodiek worden uitgevoerd op ieder primair proces. Het is een brainstormsessie met deskundigen over bedreigingen, gevolgen, zwaarte van het risico, maatregelen en kansen. Ook wordt eventueel het restrisico benoemd en wordt, indien nodig, de gewenste actie hierop geformuleerd.
Met de positionering van het begrip risicomanagement enerzijds en de
uiteenzetting van het begrip risicobeheersing anderzijds, is een antwoord gegeven op de eerste deelvraag binnen het onderzoek.
§2.2.4 Relevante wetgeving risicomanagement
Ten aanzien van risicomanagement is er wet- en regelgeving ontstaan om voor bepaalde bedrijven een norm te stellen aan de toepassing ervan.
In Nederland kennen we sinds 2003 de Nederlandse Corporate Governance code. Deze code, ook wel de code Tabaksblat genoemd, kent een wettelijke basis. De wettelijke verankering heeft plaatsgevonden door opname van deze regel van “pas toe of leg uit” in boek 2 van het Burgerlijk Wetboek
(Risicomanagement: De praktijk in Nederland, januari 2006). De code geldt voor in Nederland gezetelde en beursgenoteerde bedrijven. Deze bedrijven zijn verplicht elk jaar in het jaarverslag aan te geven of en in hoeverre ze voldoen aan de ‘best practice’ bepalingen van de code. De code kent principes en bepalingen die betrokkenen bij een organisatie in acht zouden moeten nemen. Het zijn principes en bepalingen met betrekking tot corporate governance die breeduit worden gedragen.
In december 2009 is er een herziening van de code Tabaksblat verschenen, de code Frijns. De herziene code is een aanscherping van haar voorganger en moet voor het eerst verwerkt worden in de jaarverslagen over 2009. Deze code geldt eveneens voor alle beursgenoteerde vennootschappen, met een uitzondering voor beursvennootschappen met een balanstotaal van minder dan 500 miljoen euro (Commissie Corporate Governance, 2003).
17 §2.3 Risicomanagement en modellen
Risicomanagement kent verschillende modellen die de basis kunnen leggen voor een goede beheersing van risico’s. Verder is het van belang om middels het hanteren van een risicomodel risico’s te beheersen die het behalen van de ondernemingsdoelstellingen bedreigen.
Ten aanzien van risicomanagement zijn er diverse modellen beschikbaar. Deze modellen hebben in essentie veel overeenkomsten. Een x-aantal bekende modellen van risicomanagement is uitgewerkt in het volgende hoofdstuk. De toegevoegde waarde voor het bespreken van meer modellen is beperkt.
Na het bespreken van de verschillende modellen worden ze naast elkaar gelegd om ze inhoudelijk te kunnen vergelijken.
18
3
Modellen risicomanagement
§3.1 Inleiding
Dit hoofdstuk omvat de beschrijving van drie bekende risicomodellen die er op dit moment bestaan. Aan het eind van het hoofdstuk wordt aangegeven met welk model er wordt gewerkt als basis voor het interviewschema.
§3.2 Het AS/NZS 4360:2004 raamwerk
§3.2.1 Ontstaan AS/NZS 4360:2004 raamwerk
Het AS/NZS 4360:2004 raamwerk is ontwikkeld door de Joint Standards
Australia/Standards New Zealand Committee OB-007. Het is een herziening van het door hen ontwikkelde raamwerk uit 1999. Dit model is één van de eerste modellen van risicomanagement. Het model is een generiek raamwerk voor het inrichten van de context en het identificeren, analyseren, evalueren, behandelen, monitoren en het communiceren van risico (AS/NZS 4360:2004, 2004). Deze volzin is uit te leggen door te stellen dat het model tracht een compleet
raamwerk ten aanzien van risicomanagement te zijn. Het is hierbij belangrijk de doelen van de organisatie helder te hebben. De risicobeoordeling wordt
uitgevoerd binnen de context van de organisatiedoelen. Deze context is volgens het model belangrijk omdat:
• Risicomanagement plaatsvindt binnen het kader van het nastreven en bereiken van de doelstellingen;
• Het gevaar van het niet behalen van de doelstellingen een set van risico’s is dat moet worden beheerst;
• De doelstellingen en strategieën helpen om te bepalen of risico’s aanvaardbaar zijn.
§3.2.2 Inhoud AS/NZS 4360:2004 raamwerk
Het AS/NZS 4360:2004 raamwerk bestaat uit een drietal te benoemen stappen die nodig zijn om risico’s te kunnen beheersen. Deze zijn hieronder en in de linkerflank van figuur 2 op de volgende pagina weergegeven.
Risicoherkenning
Deze stap omhelst het opnemen van omgevingsfactoren, het als organisatie bepalen hoe risico’s worden bepaald en om de bepaalde risico’s vervolgens te kunnen identificeren.
Risicoprioritering
Doordat de kans op een risico en de gevolgen van een risico in deze stap worden benoemd, kent de organisatie een prioritering toe aan de verschillende risico’s. De risico’s worden binnen deze stap ook geclassificeerd.
19 Risicomanagement
De laatste stap omvat de bepaling hoe risico’s moeten worden beheerst. Dit hangt samen het risicoprofiel van de organisatie, zoals deze na het doorlopen van de eerste twee stappen is opgesteld. Dit risicoprofiel omschrijft het aantal risico’s dat de organisatie wenst te aanvaarden, evenals de mate waarin de organisatie risico wenst te lopen.
In onderstaande figuur is het model geïllustreerd:
Figuur 2: De elementen binnen het AS/NZS 4360:2004 raamwerk (AS/NZS 4360:2004, 2004). De elementen in het weergegeven model worden als volgt omschreven:
• Communicate and consult
Het communiceren en raadplegen met zowel interne als externe belanghebbenden binnen elke stap van het risicomanagementproces.
Daarnaast dienst het proces als geheel goed in de gaten te worden gehouden.
• Establish the context
Het vaststellen van de context waarin het risicomanagementproces plaats moet vinden. Bijvoorbeeld het vaststellen van de criteria waartegen risico’s worden geëvalueerd en de structuur van de risicoanalyses.
R is ic o h er ke n n in g R is ic o p ri o ri te ri n g R is ic o m an ag em en t
20
• Identify risks
Het als organisatie in kaart brengen van waar, wanneer, waarom en hoe bepaalde gebeurtenissen kunnen worden voorkomen, verminderd, vertraagd of geïntensiveerd. Dit in relatie tot het behalen van de doelstellingen.
• Analyse risks
Het identificeren en evalueren van bestaande controlemogelijkheden. Het bepalen van de kans en impact van risico’s. De gemaakte analyse dient rekening te houden met de (mogelijke) consequenties van gebeurtenissen en hoe ze ontstaan.
• Evaluate risks
Het vergelijken van geschat risico met de vooraf vastgestelde criteria en het daarbij overwegen van mogelijke voordelen en nadelen.
• Treat risks
Het ontwikkelen en implementeren van specifieke strategieën en
actieplannen voor een toenemende kans op mogelijke te behalen voordelen en een afnemende kans op mogelijke te incasseren nadelen.
• Monitor and review
Het is noodzakelijk alle stappen binnen het risicomanagementproces te controleren. Dit is van belang voor het continu verbeteren van het proces. Daarnaast is het van belang bij veranderende omstandigheden en de mogelijkheid tot het bijstellen van prioriteiten.
Het AS/NZS 4360:2004 raamwerk is toepasbaar op allerlei niveaus in de
organisatie. Ook is het toepasbaar op specifieke projecten, om zo te assisteren bij specifieke beslissingen.
§3.3 Het COSO ERM II raamwerk §3.3.1 Ontstaan COSO ERM II raamwerk
COSO is een managementmodel dat is ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). De toevoeging ERM staat voor ‘enterprise risk management’, wat vrij vertaald ondernemingsrisicomanagement betekent. Na verschillende
boekhoudschandalen en fraudegevallen besloot het comité van verschillende private organisaties verschillende aanbevelingen te doen en richtlijnen op te stellen. Deze aanbevelingen en richtlijnen hebben betrekking op de interne controle en interne beheersing bij organisaties (Wikipedia, n.d.). COSO hoopt te voorzien in de algehele behoefte aan verhoogde corporate governance en risicomanagement, met nieuwe wetgeving, voorschriften en geregistreerde normen. Deze behoefte voor een ondernemingsgerichte
risicomanagementstructuur werd nog urgenter dan voorheen (COSO, 2004). In de komende paragraaf wordt COSO ERM II besproken, uitgelicht en toegelicht.
21 §3.3.2 Inhoud COSO ERM II raamwerk
Ondernemingsrisicomanagement behandelt risico’s en kansen die waardecreatie of behoud van waarde beïnvloeden. De definitie van
ondernemingsrisicomanagement is als volgt gedefinieerd:
“Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico’s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen” (COSO, 2004).
De hierboven geciteerde definitie is volgens het model de basis voor een aantal bepaalde fundamentele concepten. Ondernemingsrisicomanagement, aldus de commissie, is:
• Een proces, voortdurend en stromend door de gehele onderneming; • Bewerkstelligd door mensen van elk niveau in de organisatie;
• Toegepast bij de formulering van strategische doelstellingen;
• Toegepast in de hele onderneming, op elk niveau en onderdeel en omvat een portfoliovisie op risico op het niveau van de onderneming;
• Ontworpen om potentiële gebeurtenissen te herkennen die, als ze
voorkomen, van invloed zijn op de onderneming en het risico te beheersen binnen de risicoacceptatiegraad;
• In staat zijn om een redelijke zekerheid aan het management van een onderneming en de raad van bestuur te bieden;
• Ingericht zijn om de doelstelling te behalen in één of meer afzonderlijke maar wel overlappende categorieën (COSO, 2004).
Het COSO ERM II raamwerk definieert en beschrijft de verschillende elementen van een intern beheersingssysteem. Het raamwerk hanteert een illustratie, een kubus om de verschillende elementen en relaties daartussen weer te geven. Zie hiervoor figuur 3.
22
Figuur 3: De kubus van COSO ERM II (COSO, 2004).
In bovenstaande kubus (bovenaanzicht) wordt de directe relatie tussen de doelstellingen van de organisatie, de activiteiten waarvoor interne controle nodig is en de controlecomponenten weergegeven.
De doelstellingen worden onderscheiden en daardoor ingedeeld in vier categorieën:
• Strategisch: betreft globale doelen en is afgestemd op de missie van de organisatie;
• Operationeel: betreft effectief en efficiënt gebruik van de middelen; • Rapportage: betreft betrouwbaarheid van verslaggeving;
• Toezicht: betreft de naleving van wet- en regelgeving (COSO, 2004).
Ondernemingsrisicomanagement bestaat volgens COSO ERM II uit een achttal met elkaar verbonden componenten (vooraanzicht kubus). De acht
onderscheiden componenten, zie ook in de kubus, zijn: • Interne omgeving van de organisatie
De interne omgeving van een organisatie gaat in op de manier waarop de organisatie met risico’s omgaat, inclusief risicobeheer en
risicoacceptatiegraad. Het gaat ook in op strategie en op normen en waarden, integriteit en de omgeving waarin men opereert.
• Doelstellingen formuleren
Om bepaalde gebeurtenissen die van invloed kunnen zijn op het behalen van de ondernemingsdoelstellingen te kunnen herkennen, moeten deze
doelstellingen eerst zijn geformuleerd. Het systeem van risicomanagement zorgt ervoor dat er een proces is waarin de doelstellingen zijn vastgelegd en deze zijn afgestemd op de missie en op één lijn liggen met de
risicoacceptatiegraad. • Identificeren van gebeurtenissen
Alle gebeurtenissen die van invloed kunnen zijn op de geformuleerde doelstellingen moeten worden geïdentificeerd. Als het kansen betreffen, dan dient dit volgens het model te worden teruggekoppeld naar de processen rondom de formulering van strategie en doelstellingen.
• Risicobeoordeling
23
moet eerst de basis voor de analyse worden gelegd. Dit gebeurt door de risico’s te beoordelen op hun waarschijnlijkheid en impact. Risico’s worden beoordeeld als inherente of restrisico’s.
• Reactie op risico
Het management bepaalt de gewenste actie bij bepaalde risico’s. Hierbij vallen vier soorten reacties te onderscheiden ten aanzien van de omgang met een risico: vermijden, accepteren, verminderen of delen van risico. Bij elke soort reactie dient de aansluiting te worden gezocht met de risicotolerantie en de risicoacceptatiegraad.
• Beheersingsactiviteiten
Ten aanzien van de hierboven beschreven reactie op risico dienen richtlijnen en procedures te worden geformuleerd en geïmplementeerd. Dit om te kunnen waarborgen dat de gewenste actie op het risico effectief ten uitvoering wordt gebracht.
• Informatie en communicatie
Wanneer de juiste beheersingsactiviteiten zijn ingevuld is het van belang om relevante informatie te identificeren, te verzamelen en te communiceren. Het is van belang dit zodanig in te vullen dat mensen in staat worden gesteld hun verantwoordelijkheden uit te voeren. Effectieve communicatie moet ook plaatsvinden in ruimere zin, door de gehele organisatie.
• Bewaking
Het gehele proces van ondernemingsrisicomanagement wordt bewaakt en wijzigingen zullen worden aangebracht indien dat noodzakelijk wordt geacht. Deze bewaking kan bijvoorbeeld worden ingevuld door doorlopende
managementactiviteiten, door afzonderlijke (management)evaluaties of een combinatie hiervan.
De kubus in figuur 2 weerspiegelt (zijaanzicht) de mogelijkheid om te focussen op het risicomanagement van de onderneming in totaliteit of per categorie doelstellingen, per component, per bedrijfsonderdeel of een deel hiervan. Opgemerkt dient te worden dat ondernemingsrisicomanagement niet alleen een chronologisch proces is, waarbij de ene component invloed heeft op de
volgende. Het is een continu en herhalend proces dat zich in verschillende volgorden kan bewegen en waarbij alle componenten invloed op elkaar kunnen hebben (COSO, 2004).
Emanuels en De Munnik (2006) beweren dat het systeem rond
ondernemingsrisicomanagement niet bedoeld is om uitspraken te doen over de inhoudelijke wenselijkheid, aanvaardbaarheid of haalbaarheid van doelstellingen. Het is in die zin waardevrij. De processen die de doelstellingen genereren zijn wel onderdeel van het systeem, omdat ze van voldoende kwaliteit moeten zijn om te waarborgen dat er relevante doelen worden nagestreefd met voldoende samenhang tussen en binnen categorieën. Onder relevantie verstaan Emanuels en De Munnik de feitelijke bijdrage aan de hoogste doelstellingen van de organisatie. Het inrichten van een permanent proces hieromtrent is de grote uitdaging (Paape, 2003). Paape noemt dit de overgang van een statische naar een dynamische risicomanagementexcercitie. Het geheel van het
risicomanagementproces, tezamen met het meta-beheersingsproces en alle functies, taken en middelen die daarbij een rol spelen vormen het ERM systeem.
24 §3.3.3 Discussie COSO ERM II raamwerk
Het COSO ERM II raamwerk heeft, zoals de Romeinse 2 al suggereert, een voorloper gehad. Het tweede COSO raamwerk is echter meer gericht op het organisatiebreed beheersen van risico’s (Emanuels en De Munnik, 2006). John Flaherty, de voorzitter van COSO brengt het als volgt onder woorden: “As events have transpired in recent years, we’ve come to realize that we can’t consider risk in a silo anymore.” (Chapman, 2003). Ook Paape (2003) erkent dat dit tweede model beter geschikt is om duidelijke afwegingen te maken welke risico’s van belang zijn en wat daartoe nodig is om die te managen en hoeveel dat dan mag kosten.
Het COSO ERM II raamwerk brengt enkele specifieke aspecten met zich mee (Ballou en Heitger, 2005). Elke onderneming kan COSO ERM II toepassen, de grootte is hierbij niet van belang. De benodigde verandering van de
bedrijfscultuur ten aanzien van de implementatie van het raamwerk neemt enige tijd in beslag. Gedurende die tijd zullen alle lagen van de organisatie het
raamwerk verder moeten adopteren en accepteren. De implementatie van het raamwerk brengt als voordeel met zich mee dat in te zetten middelen beter toegewezen kunnen worden. Bij het ontwikkelen van de risicopositie kan bijvoorbeeld duidelijk worden dat bepaalde bedrijfsonderdelen of bepaalde bedrijfsprocessen meer risico met zich mee brengen dan andere.
§3.4 De ISO 31000-norm
§3.4.1 Ontstaan ISO 31000-norm
In 2005 werd door ISO het initiatief genomen om een algemene richtlijn voor risicomanagement te ontwikkelen. De bedoeling daarvan was tweeledig: enerzijds een praktische richtlijn voor organisaties die invulling willen geven aan
risicomanagement, anderzijds een basis voor (harmonisatie) van al die specifieke ISO-normen en richtlijnen. Australië en Japan werden gevraagd de leiding van dit project op zich te nemen. De reden hiervan was dat Australië al ruime ervaring had met het AS/NZS 4360:2004 raamwerk en Japan het destijds het secretariaat heeft gevoerd van de ISO-werkgroep die de eerste editie ISO/IEC Guide 73 had voorbereid. De ISO 31000-norm biedt een hulpmiddel om risicomanagement onderdeel te laten uitmaken van de algehele besturings- en
besluitvormingsprocessen van een organisatie (Hortensius, 2009).
§3.4.2 Inhoud ISO 31000-norm
Dit raamwerk voor risicomanagement is een vervolg op het eerder besproken AS/NZS 4360:2004 raamwerk. De ISO 31000-norm is een norm die integraal risicomanagement stimuleert. De ISO-norm onderscheidt drie onderdelen: principes voor risicomanagement, raamwerk voor risicomanagement en het risicomanagementproces.
25
Kenmerkend aan de ISO 31000-norm is dat zij:
• Een impuls geeft aan het denken vanuit integraal risicomanagement; • Een onderscheid biedt tussen de principes voor risicomanagement, het
raamwerk voor risicomanagement en het risicomanagementproces; • Een duidelijke risicodefinitie heeft (“Effect of uncertainty on objectives”)
(Van Marle en Haisma, 2009).
In onderstaande figuur wordt weergegeven hoe de ISO 31000-norm eruit ziet.
Figuur 4: Een weergave van de ISO 31000-norm (www.enhancesolutions.com (n.d.)).
In de figuur valt op dat het rechterdeel identiek is aan de figuur die eerder onder het AS/NZS 4360:2004 raamwerk is getoond. Verder is te zien dat de eerder genoemde drie onderdelen van de norm in de figuur van links naar rechts zijn te zien.
De principes van het risicomanagement (linksboven in figuur 4) vormen het fundament voor het kunnen functioneren van risicomanagement. Enerzijds hebben principes betrekking op het risicobewustzijn en de overtuiging van de toegevoegde waarde van risicomanagement door betrokkenen. Anderzijds hebben de principes betrekking op de ‘zachte kant’ van interne beheersing, zoals cultuur en menselijk gedrag. Deze ‘zachte kant’ wordt ook wel ‘soft control’ genoemd (Claassen, 2009).
De ISO 31000-norm stelt dat voor succesvolle implementatie een raamwerk noodzakelijk is (linksmidden in figuur 4). Het raamwerk is de basis voor het inbedden van risicomanagement in de organisatie, op alle niveaus. Dit raamwerk vormt het beleidskader en daarmee het mandaat voor de aansturing van alle risicomanagementprocessen in de organisatie. Nauwe aansluiting met de bestaande processen is noodzakelijk. Mede hierdoor wordt risicomanagement onderdeel van integraal management en draagt het direct bij aan de
besluitvorming in de organisatie, zowel strategisch als operationeel (Van Marle en Haisma, 2009).
26
Het derde en laatste onderdeel van de ISO 31000-standaard betreft het inhoudelijke risicomanagementproces (rechts in figuur 4). Dit proces omvat ondermeer het bepalen van de risicocontext, het identificeren, analyseren, evalueren en communiceren van risico’s als het beoordelen (van de beheersing) van het risico (Claassen, 2009).
§3.4.3 Discussie ISO 31000-norm
Binnen de literatuur bestaan verschillende opiniestromen met betrekking tot ISO 31000. Sommigen beweren dat de ISO 31000-norm een bepaalde invulling geeft aan risicomanagement dat meer als het COSO ERM II-model de handvaten biedt om risicomanagement echt te verankeren binnen de organisatie (Marle en Haisma, 2009). Ze vinden dat er bij een raamwerk als het COSO ERM II raamwerk teveel nadruk ligt op het verantwoorden en rapporteren, terwijl aan aspecten als cultuur, omgeving en randvoorwaarden wordt voorbijgegaan. Anderen beweren dat het ISO 31000-model niets nieuw onder de zon is en dat de essentie overeenkomt met het COSO ERM II raamwerk (Claassen, 2009). Claasen beweert dat ISO 31000 te weinig nieuwe inzichten heeft voor het daadwerkelijk verbeteren van risicomanagement en het ‘in-control’-vraagstuk in het algemeen.
§3.5 Overeenkomsten binnen de risicomanagementmodellen
Risicomanagement kent diverse raamwerken voor de invulling en uitwerking ervan. De besproken modellen in dit hoofdstuk vertonen overlap en er wordt bijvoorbeeld soms net een iets andere terminologie gebruikt.
Allereerst valt op dat de weergave van de elementen van het AS/NZS 4360:2004 raamwerk, zie figuur 2, bijna identiek is aan de weergave van het inhoudelijke risicomanagementproces volgens de ISO 31000-norm (zie rechterdeel figuur 4). Wanneer deze weergave wordt vergeleken met de kubusweergave zoals deze in het COSO ERM II raamwerk wordt gepresenteerd, dan zijn ook daar
vergelijkingen mogelijk. Zie hiervoor onderstaande figuur 5.
Figuur 5: Vergelijking van het risicomanagementproces volgens ISO 31000 en COSO ERM II (Claassen, 2009).
27
Claassen benadrukt dat, ondanks dat de benaming van de acht componenten binnen COSO ERM net iets anders is dan bij ISO 31000, de essentie daarvan op hetzelfde neerkomt. In beide modellen is aandacht voor het identificeren van risico’s, de bepaling van de reactie op risico’s en het kiezen van een passende risicobeheersing. Het belang van communiceren en monitoren wordt eveneens in beide modellen onderkend. Naast de invulling van de modellen vertoont ook het uitgangspunt van beide modellen grote gelijkenissen. De eerder genoemde principes van het risicomanagementproces die in de ISO 31000-norm het
fundament vormen is vergelijkbaar met de eerste component in het COSO ERM II raamwerk.
In de kern benoemen alle drie de modellen het herkennen van risico’s, het prioriteren van risico’s en het beheersen van risico’s. Ook hebben alle besproken modellen principes van risicomanagement, die ingaan op risicobewustzijn, de toegevoegde waarde van risicomanagement en de interne beheersing.
Wanneer we kijken naar het gebruik van modellen voor risicomanagement kan zonder enige twijfel worden geconcludeerd dat het COSO ERM II raamwerk wereldwijd verreweg het meest gebruikte en door toezichthouders geaccepteerde raamwerk is voor integraal risicomanagement. In de Nederlandse Code voor Corporate Governance, ook wel de code Tabaksblat, wordt het COSO ERM II raamwerk als enige genoemd als mogelijk te hanteren raamwerk voor het inrichten van interne beheersing en risicomanagement. Mede door deze ontwikkelingen is dit raamwerk uitgegroeid tot het wereldwijde
standaardraamwerk op het gebied van interne beheersing (Claassen, 2009).
Ten aanzien van de bruikbaarheid van het COSO ERM II raamwerk ten opzichte van het onderzoek valt te concluderen dat het toepasbaar is bij het uitwerkingsproces. In paragraaf 3.3.3 is al genoemd dat COSO ERM II binnen elke organisatie toepasbaar is. Omdat er binnen dit raamwerk heldere normen en doelstellingen staan vermeld, is toetsing mogelijk.
§3.6 Gestructureerd risicomanagement
In de vorige paragraaf is uiteengezet dat het COSO ERM II raamwerk als theoretische grondslag kan dienen bij de onderzoeksopzet en als hulpmiddel bij de uitvoering van het onderzoek en de uiteindelijke beantwoording van de onderzoeksvragen. Andere besproken raamwerken vertonen grote overlap met dit raamwerk. COSO ERM II is tevens de internationale standaard.
In dit onderzoek is gekozen om het COSO ERM II raamwerk te hanteren binnen de opstelling van de interviewvragen, het verwerken van de
onderzoeksresultaten en het trekken van conclusies.
Het begrip ‘structuur’ dient nader te worden toegelicht om helder te kunnen formuleren wat gestructureerd risicomanagement precies inhoudt. Het begrip gestructureerd betekent letterlijk iets een logische opbouw geven (Wolters’ Woordenboek, 1986). Een onderneming past gestructureerd risicomanagement toe wanneer er op een stelselmatige wijze een model of raamwerk van
28
ondernemingsrisicomanagement wordt toegepast, waarbij alle beschreven en benodigde onderdelen van dat model of raamwerk worden uitgevoerd.
§3.7 Bedreigingen van risicomanagement
Risicomanagement kent bedreigingen. Uit een rapport van de Economist Intelligence Unit genaamd ‘Beyond Box-ticking: A new era for risk governance’ (2009) blijkt dat inspanningen op het gebied van risicomanagement ondermijnd en uitgesteld worden wanneer bedrijven bezuinigingsmaatregelen treffen. Hierbij valt te denken aan het snijden in kosten, het uitstellen van investeringen en het ontslaan van personeel.
Het onderzoek toont verder dat slecht gegevensbeheer, slechte technologie en gebrek aan expertise de grootste obstakels vormen voor effectief
risicomanagement. Ondanks de wetenschap binnen bedrijven dat er meer tijd en middelen aan risicomanagement moet worden besteed om huidige
tekortkomingen aan te pakken, staat men tegelijkertijd onder grote druk om kosten te beperken.
Een andere bedreiging is het gebrek aan ervaring met risicobeheersing binnen de directie van bedrijven, terwijl een goede risicocultuur sterk afhankelijk is van de betrokkenheid binnen de bedrijfstop.
Ten derde concludeert het onderzoek dat er vooral veel geld en tijd verloren gaat met het beheersen van bestaande risico’s en dat er weinig aandacht is voor nieuwe risico’s. Daarnaast bereikt belangrijke informatie met betrekking tot risico’s soms niet de juiste personen.
Tot slot een opmerking omtrent een risico dat geldt ten aanzien van
risicomanagement. Het inschatten van risico’s die de ondernemingsdoelstellingen kunnen beïnvloeden blijft altijd mensenwerk. Hierbij kunnen verkeerde
29
4
De betaald voetbal organisatie
§4.1 Omschrijving betaald voetbal organisatie
Een betaald voetbal organisatie biedt betaald voetbal als haar product. Het product betaald voetbal is als volgt te definiëren: “Een moment van ontspanning c.q. entertainment met voetbal als middel- en hoogtepunt. Het product wordt verder uitgebreid met elementen als sfeer, stadionfaciliteiten, veiligheid en
horecagelegenheden. Ook spanning, het wedstrijdelement en de voetbalprestaties dragen bij aan het product” (Corstiaans, 1999). Aanvullend op deze definitie gaat het om voetbal in de twee hoogste klassen van Nederland (Jaarverslag AFC Ajax NV 2002 – 2003).
De missie van het betaald voetbal wordt door de Koninklijke Nederlandse Voetbal Bond (KNVB) als volgt omschreven: door het bieden van voetbal als topsport in Nederland levert het betaald voetbal recreatie voor een zo groot en breed mogelijk publiek (Beleidsplan betaald voetbal 2005-2009, KNVB).
Het betaald voetbal bestaat in Nederland uit achtendertig betaald voetbalondernemingen¹. Deze zijn actief in de twee hoogste klassen in
Nederland, de Eredivisie (achttien clubs) en de Jupiler League (twintig clubs). In onderstaande tabel zijn de clubs weergegeven.
Eredivisie Jupiler League
ADO Den Haag PSV Eindhoven AGOVV HFC Haarlem¹
AFC Ajax RKC Waalwijk Cambuur Leeuwarden Helmond Sport
AZ Alkmaar Roda JC FC Den Bosch MVV
Feyenoord Sparta Rotterdam FC Dordrecht FC Omniworld
FC Groningen FC Twente FC Eindhoven RBC Roosendaal
SC Heerenveen FC Utrecht FC Emmen Telstar
Heracles Almelo Vitesse Excelsior TOP Oss
NAC Breda VVV Venlo Fortuna Sittard BV Veendam
NEC Willem II Go Ahead Eagles FC Volendam
De Graafschap FC Zwolle
Tabel 2: De betaald voetbal organisaties in Nederland
¹Op het moment van de uitvoering van het onderzoek is HFC Haarlem nog niet officieel door de KNVB uit de competitie genomen. Tijdens de verwerking van de onderzoeksresultaten is de club failliet verklaard en daarop uit de competitie genomen.
§4.2 Organisatiestructuur betaald voetbal organisatie
In deze paragraaf wordt ingegaan op de organisatiestructuur van bvo’s. Deze paragraaf heeft niet als doel om exact per bvo de precieze structuur weer te geven, maar wel om aan te duiden welke organisatiestructuren er bestaan.
De gehanteerde organisatiestructuur bij bvo’s is verschillend. Enkele bvo’s functioneren in de vorm van een stichting of vereniging, terwijl anderen als
30
besloten of naamloze vennootschap bestaan. Een voorkomende organisatiestructuur is dat de bvo is ondergebracht in een besloten
vennootschap, met een andere besloten vennootschap als enig aandeelhouder. De dagelijkse leiding is in handen van een directie met een Raad van
Commissarissen als toezichtsorgaan. Daarnaast zijn andere besloten vennootschappen als dochtermaatschappij ondergebracht bij de besloten vennootschap van de bvo, waaronder bijvoorbeeld media-activiteiten, horeca-activiteiten en/of horeca-activiteiten op het gebied van beveiliging.
Een andere voorkomende organisatiestructuur is een naamloze vennootschap met een directie en een Raad van Commissarissen, waarbij een daarnaast opererende vereniging optreedt als (groot)aandeelhouder.
Er zijn ook bvo’s met een meer uitgebreide organisatiestructuur. De
stadionactiviteiten en de voetbalactiviteiten zijn dan bijvoorbeeld ondergebracht in aparte besloten vennootschappen, met beide een apart stichtingsbestuur, een raad van commissarissen en een directie. Daaronder komt dan de
voetbalorganisatie en de stadionorganisatie. In een dergelijke situatie kan de doelmatigheid van risicomanagement in het geding komen, bijvoorbeeld door het hebben van prioriteitsaandelen van de vennootschappen van zowel de stadion- als de voetbalactiviteiten (“Samen Scoren”, Een onderzoek naar de financiële relatie tussen de BVO en de gemeente Emmen, 2008). Het rapport stelt dat steun om een stadion in stand te houden als thuishaven voor een bvo later kan uitmonden in steun om de bvo in stand te houden als primaire gebruiker van het stadion en vice versa.
In de volgende paragraaf wordt ingegaan op voor bvo’s geldende wet- en regelgeving rondom risicomanagement.
§4.3 Huidige wet- en regelgeving rondom risicomanagement
In hoofdstuk 2 is reeds ingegaan op relevante wetgeving rondom
risicomanagement. In deze paragraaf wordt ingegaan op de huidige wet- en regelgeving dat, ten aanzien van bvo’s, op het gebied van risicomanagement aanwezig is.
In deze paragraaf wordt het antwoord geformuleerd op de tweede deelvraag:
“Welke wet- en regelgeving, met betrekking tot risicomanagement, is van toepassing voor betaald voetbal organisaties?”
De in Nederland actief zijnde bvo’s hebben in beginsel geen verplichtingen rond de Nederlandse Corporate Governance Code. Deze code is namelijk van
toepassing op alle vennootschappen met statutaire zetel in Nederland en waarvan aandelen of certificaten van aandelen zijn toegelaten tot de handel op een
gereglementeerde markt of multilaterale handelsfaciliteit binnen de Europese Unie. Nederlandse beursvennootschappen waarvan effecten worden verhandeld op een multilaterale handelsfaciliteit en waarvan het balanstotaal kleiner is dan 500 miljoen euro, zijn uitgezonderd van de werking van de Code (Commissie Corporate Governance, 2003). In Nederland is slechts één bvo aan de beurs
31
genoteerd, AFC AJAX NV. Deze onderneming heeft echter een balanstotaal dat kleiner is dan 500 miljoen euro. Er is ten aanzien van bvo’s geen specifieke gedragscode ten aanzien van corporate governance, zoals bij zorginstellingen bijvoorbeeld wel het geval is.
De Koninklijke Nederlandse Voetbal Bond (KNVB) heeft ten aanzien van bvo’s een licentiesysteem. Dit houdt in dat elke bvo die in Nederland betaald voetbal wil spelen een licentie nodig heeft. De licentiecommissie van de KNVB verstrekt deze licentie. De regels ten aanzien van de licentie zijn verankerd in licentie-eisen, als onderdeel van de Reglementen Betaald Voetbal. Sinds 2004 hebben bvo’s een licentie voor onbepaalde tijd, maar er dient wel tussentijds te worden gerapporteerd. Het rapporteren gebeurt in een frequentie die past binnen de financiële situatie waarin de desbetreffende club zich op dat moment bevindt (www.knvb.nl, n.d.). Het licentiesysteem is gericht op juridische aspecten, aspecten op het gebied van veiligheid en infrastructuur, op sportieve en
organisatorische randvoorwaarden en de financiële vereisten. Ten aanzien van de laatstgenoemde geldt dat het licentiesysteem dient ter verkleining van het risico dat een bvo failliet gaat. De KNVB heeft hiervoor met betrekking tot de financiën van bvo’s een systeem met tien kernvariabelen (financiële ratio’s) opgezet. Met behulp van dit systeem kunnen clubs aan de hand van een hieraan gekoppelde puntensystematiek worden beoordeeld. Op basis van deze
beoordeling worden de bvo’s ingedeeld in drie categorieën. Als een bvo is ingedeeld in categorie één, betekent dit dat er vaker gerapporteerd dient te worden. Tevens krijgen zij een gedwongen plan van aanpak opgelegd. In de meeste gevallen houdt dit in dat de desbetreffende bvo moet saneren. Een club die is ingedeeld in de laagste categorie, categorie één, dient binnen maximaal drie jaren weer te zijn ingedeeld in categorie twee.
In de interviews met de verschillende bvo’s is duidelijk geworden dat er in ieder geval een viertal rapportagemomenten zijn. Elke bvo dient een begroting, de halfjaarcijfers en de jaarcijfers te rapporteren. Verder is er nog een
rapportagemoment na het sluiten van de transferperiode die vooral is gericht op de personeelskosten. De bvo’s geven aan dat door het licentiesysteem van de KNVB ook tegelijkertijd wordt voldaan aan de regels van de Union of European Football Associations (UEFA), de Europese voetbalbond. Deze regels
overlappen elkaar, waarbij de KNVB een strenger beleid voert dan de UEFA.
Naast de regelgeving vanuit de KNVB dienen bvo’s net zoals andere organisaties te voldoen aan alle bestaande huidige wet- en regelgeving, op alle mogelijke deelgebieden. Op het gebied van risicomanagement zijn de bvo’s geheel zelfstandig verantwoordelijk. De KNVB heeft naast het hierboven genoemde geen nadere eisen op dit specifieke gebied. Hiermee is een antwoord gegeven op de tweede deelvraag binnen het onderzoek.
32
5
Onderzoeksmethode
§5.1 Inleiding
Dit hoofdstuk staat in het teken van de gebruikte onderzoeksmethode. Er wordt beschreven wat de onderzoeksmethodiek is en hoe de benodigde informatie ter beantwoording van de onderzoeksvraag is verzameld. In paragraaf 5.4 wordt beschreven hoe de interviews zijn opgezet, met als doel de beantwoording van de deelvragen en uiteindelijk de hoofdvraag. Tot slot wordt beschreven wat de randvoorwaarden zijn ten aanzien van de gebruikte onderzoeksmethode.
§5.2 Onderzoeksmethodiek
Wanneer de vraagstelling van een onderzoek een of meer open
onderzoeksvragen bevat, dan ligt een beschrijvend onderzoek voor de hand (Baarda en De Goede, 2001). In dit onderzoek gaat het om een registratie en systematische ordening van wat zich voordoet op een bepaald gebied, volgens een bepaalde, vooraf gegeven systematiek. We spreken dan van een beschrijvend onderzoek (Baarda en De Goede, 2001). Het onderzoek, zoals deze is
uitgevoerd, is een verkennend onderzoek op een hoog niveau. Vanuit dat oogpunt is naar de risico’s van bvo’s gekeken.
Op dit moment zijn er achtendertig bvo’s actief in Nederland. Deze achtendertig bvo’s zijn benaderd voor een diepte-interview. Er hebben zeven bvo’s ingestemd met het afnemen van een diepte-interview. Het onderzoek is gebaseerd op de respons van deze bvo’s. Het betreft vier Eredivisieclubs en drie Eerste divisieclubs. In het kader van anonimiteit binnen dit onderzoek worden de namen van de bvo’s niet genoemd. Verderop in het hoofdstuk wordt nader ingegaan op de anonieme verwerking van de onderzoeksresultaten.
De diepte-interviews zijn bij alle bvo’s afgenomen bij de financieel directeur of de controller. Niet alle bvo’s kenden de functie van controller in de organisatie, daarom is in sommige gevallen de verantwoordelijke over het vakgebied van een controller geïnterviewd. Hieruit volgt dat de beantwoording van de
interviewvragen vanuit het perspectief van deze functies heeft plaatsgevonden.
De reden om voor deze functies te kiezen ligt in het feit dat deze verantwoordelijk zijn voor het invoeren, toepassen en handhaven van risicomanagement. Hij of zij is de persoon die in staat moet zijn om er mede voor te zorgen dat kennis over risicomanagement gedeeld en bewaard blijft, waardoor een lerende organisatie ontstaat. Hij of zij kan met een helikoptervisie zien waar risico’s vergelijkbaar zijn of waar een vergelijkbare aanpak succesvol kan zijn en kan door pro-actief optreden faciliteren dat risicomanagement in de genen van de organisatie komt te zitten (’t Hart, 2008).
33 §5.3 Dataverzameling
De reden dat voor diepte-interviews is gekozen ligt in het feit dat twee
deelvragen van het onderzoek een grondige analyse vergen. Om te onderzoeken hoe en op welke wijze bvo’s risicomanagement hebben georganiseerd (derde deelvraag), is een diepte-interview een goede methode. Met een diepte-interview is er ruim de mogelijkheid door te vragen wanneer de geïnterviewde in eerste instantie niet volledige duidelijkheid verstrekt. Ook de geschiktheid voor open en ingewikkelde vragen is een voordeel van deze methode.
Bij de vierde deelvraag wordt gevraagd naar de belangrijkste risico’s in de ogen van de controller / financieel directeur. In het interviewschema (zie bijlage 1) wordt hier onderscheid gemaakt in verschillende delen of organisatiedoelen van de bvo. De methode van diepte-interviews kent ook hier het voordeel van het kunnen doorvragen. Genoemde risico’s kunnen door de geïnterviewde nader worden toegelicht. Verder kent het diepte-interview voordelen als het kunnen uitleggen van onduidelijkheden, al dan niet binnen de vraagstelling, een goede controle op het invullen van de antwoorden en een relatief lage non-respons (Baarda en De Goede, 2001).
§5.4 Interviewopzet
Deze paragraaf heeft als doel toe te lichten hoe het interviewschema is opgezet. Het interviewschema is als bijlage toegevoegd aan het onderzoeksverslag, zie hiervoor bijlage 1.
§5.4.1 Inleiding
Ter verduidelijking wordt hier nogmaals de doelstelling van het onderzoek gegeven:
“Het bepalen in hoeverre betaald voetbal organisaties zich bewust zijn van risico’s die zij lopen en bepalen in hoeverre risicomanagement op gestructureerde wijze wordt toegepast”.
Het eerste deel van het interviewschema bestaat uit een introductiesectie (sectie 1). De sectie heeft, naast de kennismaking, als doel om afspraken te maken ten aanzien van de verwerking van de antwoorden op de interviewvragen. Zo wordt bijvoorbeeld aan de geïnterviewde gevraagd of er een voorkeur bestaat voor een anonieme verwerking van de onderzoeksresultaten. Op dit specifieke punt wordt in de volgende paragraaf nader ingegaan.
Na de introductie start het inhoudelijke interviewgedeelte (sectie 2). In deze sectie wordt in de vorm van een groot aantal open vragen antwoord verkregen op de vraag in hoeverre bvo’s risicomanagement hebben georganiseerd. Tevens worden een aantal vragen gesteld ten aanzien van de vraag in hoeverre bvo’s zich bewust zijn van risico’s die zij lopen. Ondanks dat dit de indruk wekt dat deze sectie ook beantwoord in welke mate bvo’s zich bewust zijn van risico’s die zij lopen, is dit maar ten dele het geval. Voordat wordt toegelicht hoe de
34
beantwoording verder wordt ingevuld, zal in de volgende subparagraaf eerst de opzet van het interview inhoudelijk worden besproken.
De laatste sectie van het interview (sectie 3) is de afsluiting van het interview. Hier krijgt de controller / financieel directeur onder andere de gelegenheid tot het stellen van vragen.
§5.4.2 Opzet interviewschema
Zoals in hoofdstuk 3 is aangegeven, is er voor gekozen om het COSO ERM II raamwerk te gebruiken bij de opstelling van het interviewschema.
Binnen de context van de onderneming formuleert het management een strategische doelstelling en stelt het afgeleide doelstellingen voor de gehele onderneming (COSO, 2004). De algemene strategische doelstelling, zoals deze door bvo’s wordt weergegeven, luidt:
“De vereniging stelt zich ten doel het doen beoefenen en bevorderen van de voetbalsport in al zijn verschijningsvormen”.
Binnen COSO ERM II is ten aanzien van het behalen van de
ondernemingsdoelstellingen een onderscheid gemaakt in doelstellingen op vier gebieden: strategisch, operationeel, rapportage en toezicht. Deze begrippen zijn in paragraaf 3.3.2 reeds toegelicht. Deze indeling van de
ondernemingsdoelstellingen maakt een focus op individuele aspecten van ondernemingsrisicomanagement mogelijk (COSO, 2004). Daarom is binnen het interviewschema een basis gelegd met deze doelstellingen. Daaraan gekoppeld is een zestal strategische subdoelstellingen geformuleerd. Elk van deze is als een aparte deelsectie opgenomen in het interviewschema. Aan de hand van deze specifieke subdoelstellingen zijn een aantal inhoudelijke interviewvragen opgesteld. Deze interviewvragen zijn in sommige gevallen open vragen, in de meeste gevallen zijn het scoringsvragen. Hierbij dient de geïnterviewde een score toe te kennen aan de gestelde vraag. Er is steeds dezelfde scoringsmethode gebruikt, waarbij het antwoord in een score van één tot en met vijf kan worden gegeven. Score één geeft aan dat het antwoord ‘helemaal niet’ is, terwijl een score van vijf aangeeft dat het antwoord ‘helemaal wel’ is. Er is voor deze methodiek gekozen, omdat op deze manier de antwoorden van de verschillende bvo’s gemakkelijker met elkaar kunnen worden vergeleken.
Aan het einde van elke deelsectie is gevraagd welke twee belangrijkste risico’s er in de ogen van de geïnterviewde er op dat specifieke gebied spelen. Deze risico’s zijn vervolgens beoordeeld op waarschijnlijkheid van het risico en de omvang van de gevolgen van het risico (impact). Het beoordelen van risico’s in waarschijnlijkheid en impact is eveneens een gehanteerde methode binnen COSO ERM II.
Naast de genoemde basis, is ervoor gekozen om het interview aan te laten vangen met een reeks open vragen op het gebied van risicomanagement. Deze vragen hebben als doel een goed beeld te krijgen van de bekendheid omtrent
