Risicoverslaggeving in het licht van corporate governance

Risicoverslaggeving in het licht van corporate governance

De praktijk in Nederland, Duitsland en de Verenigde Staten

Masterafstudeerscriptie Accountancy Rijksuniversiteit Groningen

Auteur: Reinier Veldhuis Studentnummer: 1414054

Datum: 20-06-2008

Begeleider: W.G. de Munnik Mede-beoordelaar: S. Bruinsma

VOORWOORD

Deze afstudeerscriptie is geschreven in het kader van de master Accountancy aan de Rijksuniversiteit Groningen. Het is het resultaat van een onderzoek dat ik heb uitgevoerd van september 2007 tot en met februari 2008. Het thema van het onderzoek is risicoverslaggeving in het perspectief van corporate governance, waarbij een vergelijking wordt gemaakt tussen de situatie in Nederland, Duitsland en de Verenigde Staten.

Ik zou graag Ernst & Young willen bedanken voor de geboden faciliteiten bij het schrijven van deze scriptie. Voor de begeleiding bij Ernst & Young wil ik Jaap de Jong en Stef Kanen hartelijk danken. Ook wil ik mijn afstudeerbegeleider bij de universiteit, Wilmar de Munnik, bedanken voor zijn feedback en ondersteuning gedurende het traject dat heeft geleid tot dit resultaat. Tot slot bedank ik mijn ouders voor hun steun tijdens mijn gehele studieperiode.

Utrecht, juni 2008.

Reinier Veldhuis

SAMENVATTING

Het aandachtsgebied risicomanagement heeft nog nooit zo nadrukkelijk in de schijnwerpers gestaan als op dit moment. Bovendien maken bij bedrijven meer dan ooit risico’s en risicomanagement onderdeel uit van de verslaggeving. Dit vindt niet alleen plaats om de omgeving te informeren over de manier waarop een onderneming met risicomanagement bezig is, maar ook om te voldoen aan bepalingen ten aanzien van corporate governance. Door de toegenomen aandacht voor corporate governance in de laatste jaren hebben er interessante ontwikkelingen plaatsgevonden op dit gebied. Deze ontwikkelingen zijn echter niet voor elk land gelijk. Zo bestaat er een belangrijk onderscheid tussen expliciete wetten en codes voor corporate governance. Voornoemd onderscheid gaat gepaard met verschillende bepalingen met betrekking tot risicoverslaggeving. Dit onderzoek gaat in op deze verschillen en het verband hiervan met de mate en inhoud van rapportage over risicomanagement.

Met dit onderzoek wordt dus beoogd risicoverslaggeving van landen met een verschillende grondslag voor corporate governance te vergelijken. Dit heeft geleid tot het formuleren van de volgende probleemstelling:

Wat is het verband tussen de mate en de inhoud van rapportage over risicomanagement door een onderneming en de desbetreffende regelgeving van het land waarin de onderneming gevestigd is?

Bij de behandeling van deze probleemstelling wordt de risicoparagraaf in jaarverslagen van bedrijven uit landen waar een code voor corporate governance van kracht is, namelijk Nederland en Duitsland vergeleken met de risicoparagraaf in jaarverslagen van ondernemingen uit een land waar een wet voor corporate governance geldt, de VS. Hierbij wordt zowel gekeken naar de totale risicoparagraaf als naar afzonderlijke onderdelen ervan.

Deze onderdelen zijn benoemd aan de hand van de manier waarop de risicoparagrafen in jaarverslagen van bedrijven uit de verschillende landen in de praktijk zijn opgebouwd.

Voor het onderzoek is een selectie gemaakt van 45 jaarverslagen, uitgegeven door 15 Nederlandse, 15 Duitse en 15 Amerikaanse ondernemingen. De vergelijking bestaat uit een analyse van zowel de omvang als de inhoud van de risicoparagraaf. Een onderdeel van de analyse zal het testen van een aantal vooraf opgestelde hypothesen zijn. Naast deze afzonderlijke vergelijkingen wordt gekeken naar mogelijke verbanden tussen de uitkomsten van beide analyses. Het gedeelte dat aandacht besteedt aan de hoeveelheid informatie bestaat uit het tellen van het aantal woorden betreffende risicomanagement. Het onderdeel dat de inhoud van informatie beschouwt, wordt vormgegeven door het toetsen van de risicoparagraaf aan de hand van vooraf opgestelde criteria.

De bevindingen die uit deze vergelijking volgen hebben geleid tot de conclusie dat onderscheid in corporate governance niet vanzelfsprekend leidt tot verschillen in de omvang van de totale risicoparagraaf. Met betrekking tot de inhoud zijn op dit gebied wel verschillen

waar te nemen. Onderzochte bedrijven uit landen met een code voor corporate governance verstrekken namelijk in de risicoparagraaf inhoudelijk uitgebreidere informatie dan onderzochte ondernemingen uit een land met een wet voor corporate governance.

De beschouwing van de afzonderlijke onderdelen van de risicoparagraaf leidt tot de volgende conclusies. Ten aanzien van de inhoud van informatie over het risicobeleid, het organisatiespecifieke systeem voor risicomanagement en de geïdentificeerde risico’s kan geconcludeerd worden dat onderzochte ondernemingen uit landen met een code voor corporate governance hier uitgebreider aandacht aan besteden dan ondernemingen uit een land met een wet voor corporate governance. Met betrekking tot de hoeveelheid informatie kan alleen over het risicobeleid en het organisatiespecifieke systeem voor risicomanagement dezelfde conclusie worden getrokken.

De bevindingen met betrekking tot de overige onderdelen, namelijk de beheersing van risico’s en de werking van het systeem ten aanzien van risicomanagement zijn enigszins afwijkend. Met betrekking tot de beheersing van risico’s is namelijk geen verband waar te nemen tussen de mate en inhoud van deze rapportage en de desbetreffende regelgeving van het land waarin de onderneming gevestigd is. Bij de werking van het systeem ten aanzien van risicomanagement hangt onderscheid in mate en inhoud van rapportage samen met verschillen in specifieke bepalingen in de regelgeving en niet met een onderscheid in de grondslag van deze regelgeving.

INHOUDSOPGAVE

Hoofdstuk 1: Inleiding 8

1.1 Introductie 8

1.2 Probleemstelling 9

1.3 Relevantie/motivatie 10

1.4 Conceptueel model 13

1.5 Methode van onderzoek 13

1.6 Onderzoeksontwerp 14

1.6.1 Afbakening 14

1.6.2 Geselecteerde ondernemingen 15

1.6.3 Dataverzameling 16

1.6.4 Analyse 17

1.7 Opbouw 18

Hoofdstuk 2: Integraal risicomanagement 19

2.1 Introductie 19

2.2 Enterprise Risk Management 19

2.3 COSO’s ERM Framework 20

2.4 Conclusie 22

Hoofdstuk 3: Risicoverslaggeving en corporate governance 23

3.1 Introductie 23

3.2 Corporate governance structuren 23

3.3 De Code Tabaksblat 24

3.4 De Cromme Code 26

3.5 De Sarbanes-Oxley Act 28

3.6 Overzicht specifieke bepalingen 30

3.7 Conclusie 30

Hoofdstuk 4: De risicoparagraaf in het jaarverslag 32

4.1 Introductie 32

4.2 Risicoverslaggeving in Nederland 32

4.3 Risicoverslaggeving in Duitsland 35

4.4 Risicoverslaggeving in de VS 36

4.5 Overeenkomsten en verschillen 37

4.6 Criteria voor inhoudelijke toetsing 39

4.7 Hypothesen 39

4.8 Conclusie 41

Hoofdstuk 5: Verschillen in mate en inhoud 42

5.1 Introductie 42

5.2 Algemene verschillen 42

5.3 Verschillen totaal 43

5.4 Verschillen per categorie 44

5.4.1 Categorie 1 – Het risicobeleid 44

5.4.2 Categorie 2 – Het organisatiespecifieke systeem

voor risicobeheersing 44

5.4.3 Categorie 3 – De geïdentificeerde risico’s 45 5.4.4 Categorie 4 – De beheersing van risico’s 46 5.4.5 Categorie 5 – De werking van het systeem

ten aanzien van risicomanagement 46

5.5 Conclusie 47

Hoofdstuk 6: Overeenkomsten in mate en inhoud 48

6.1 Introductie 48

6.2 Overeenkomsten totaal 48

6.3 Overeenkomsten per categorie 49

6.3.1 Categorie 1 – Het risicobeleid 49

6.3.2 Categorie 2 - Het organisatiespecifieke systeem

voor risicobeheersing 49

6.3.3 Categorie 3 - De geïdentificeerde risico’s 50 6.3.4 Categorie 4 - De beheersing van risico’s 50 6.3.5 Categorie 5 - De werking van het systeem

ten aanzien van risicomanagement 51

6.4 Conclusie 51

Hoofdstuk 7: Conclusie en discussie 53

7.1 Samenvatting en conclusies 53

7.2 Beperkingen van het onderzoek 55

7.3 Suggesties voor vervolgstudie 56

Hoofdstuk 8: Literatuurlijst 58

Hoofdstuk 9: Bijlagen 61

9.1 Relevante BP-bepalingen code Tabaksblat 61 9.2 Aanbevelingen van de commissie

ten aanzien van BP-bepaling II.1.4 61

9.3 Derde rapport: aanbevelingen van de commissie 62

9.4 De Sarbanes-Oxley Act 63

9.5 Scoringsformulier inhoud risicoverslaggeving 64

9.6 Hypothesen 67

9.7 Totaal aantal woorden mbt risicoverslaggeving /

scoringsuitslagen inhoud risicoverslaggeving totaal 70 9.8 Scoringsuitslagen per criterium, per land 72 9.9 Aantal woorden / scoringsuitslagen per categorie 73

9.9.1 Categorie 1 – Het risicobeleid – Aantal woorden /

scoringsuitslagen 73

9.9.2 Categorie 2 – Het organisatiespecifieke systeem voor risicobeheersing – Aantal woorden /

scoringsuitslagen 75

9.9.3 Categorie 3 – De geïdentificeerde risico’s –

Aantal woorden / scoringsuitslagen 77 9.9.4 Categorie 4 – De beheersing van risico’s –

Aantal woorden / scoringsuitslagen 79 9.9.5 Categorie 5 – De werking van het systeem

ten aanzien van risicomanagement – Aantal woorden /

scoringsuitslagen 81

HOOFDSTUK 1: INLEIDING

1.1 Introductie

De Nederlandse Corporate Governance Code, de ‘Deutscher Corporate Governance Kodex’

en de ‘Sarbanes-Oxley Act’ zijn voorbeelden van nieuwe of aangepaste wet- en regelgeving op het gebied van corporate governance. Ze zijn in het leven geroepen om het geschonden vertrouwen van de maatschappij en met name de financiële wereld in het ondernemingsbestuur te herstellen. Dit vertrouwen liep enkele jaren geleden ernstige deuken op door een aantal internationale en nationale boekhoudschandalen (PricewaterhouseCoopers, 2006).

Een onderdeel van de wet- en regelgeving vormt het risicomanagement door ondernemingen en de verslaggeving hierover. Risicomanagement heeft de afgelopen jaren een sterke ontwikkeling doorgemaakt. Een belangrijk resultaat hiervan is de toegenomen integrale toepassing ervan. Integraal risicomanagement is dan ook een vrij nieuw vakgebied en wordt door Chapman (2003) omschreven als het proces waarbij risico’s geïdentificeerd en geanalyseerd worden vanuit een geïntegreerd perspectief, over de gehele organisatie gezien.

Het doel van integraal risicomanagement is het verkrijgen van informatie om te zorgen voor een gewenste mate van zekerheid over bereiken van de doelstellingen van de onderneming.

Het in kaart brengen van risico’s stelt ondernemingen bovendien beter in staat belanghebbenden te informeren over het interne risicomanagement. In de verslaggeving van ondernemingen heeft de berichtgeving over interne risicobeheersings- en controlesystemen de laatste jaren een steeds prominentere plaats ingenomen. Doel hiervan is investeerders te informeren over de wijze waarop bedrijven waarde creëren en om aan te geven hoe wordt omgegaan met onzekerheid. Daarnaast hebben corporate governance voorschiften er toe geleid dat externe verantwoording en verslaggeving over risico’s en risicomanagement tegenwoordig steeds meer in de schijnwerpers staat (De Groot, 2006b).

Wat houdt goede risicoverslaggeving eigenlijk in? Antwoord op deze vraag wordt voor de Nederlandse praktijk deels gegeven door de Nederlandse Corporate Governance Code, ook wel code Tabaksblat genoemd (De Groot, 2006a). Bovendien geeft De Groot (2007b) aan dat er in Nederland geen specifieke voorschriften zijn over de nadere inhoud en vorm van de risicoparagraaf. Een gevolg hiervan is dat de kwaliteit van de verslaggeving over risico’s uiteenloopt. Ook staat de risicoparagraaf nog steeds op het radarscherm van de Monitoring Commissie Corporate Governance. Deze commissie is ingesteld om aanbevelingen te doen voor een betere toepassing van de code Tabaksblat. Het is kortom niet duidelijk wat goede risicoverslaggeving is, in elk geval niet in Nederland.

De code Tabaksblat geeft ondernemingen dus veel vrijheid bij de rapportage over het interne risicobeheersings- en controlesysteem. Dit is de zogenaamde in-controlverklaring, waarin het ondernemingsbestuur een uitspraak doet over de opzet, het bestaan en/of de werking van het

beschreven (deel)systeem van het risicomanagement (De Groot, 2006b; De Groot, 2007b). De in-controlverklaring is echter niet het enige onderdeel van risicoverslaggeving. In de Nederlandse praktijk zijn het risicoprofiel en een beschrijving van het risicomanagement systeem andere componenten. Over deze twee componenten geeft de code Tabaksblat minder duidelijkheid. Hierover meer in hoofdstuk 3.

De vorige paragrafen gaven een korte inleiding over Nederlandse corporate governance bepalingen ten aanzien van verslaggeving over risicomanagement. Deze bepalingen zijn alleen van toepassing op Nederlandse beursgenoteerde vennootschappen. Andere landen zoals Duitsland en de Verenigde Staten (VS) kennen hun eigen bepalingen voor corporate governance. Zo kent Duitsland de ‘Deutscher Corporate Governance Kodex’ (Cromme Code) uit 2002, die is ontwikkeld door de Commissie Cromme. In de VS is de ‘Sarbanes-Oxley Act’

(SOX) van kracht, ontwikkeld door Paul Sarbanes en Michael Oxley, ook uit 2002.

In de wet- en regelgeving over corporate governance van verschillende landen is een onderscheid te maken in expliciete wetten en in codes die via het principe van ‘pas toe of leg uit’ in de wet zijn verankerd. Een voorbeeld van een expliciete wet is SOX (Hayes et al., 2005), voorbeelden van het ‘pas toe of leg uit’ principe zijn de code Tabaksblat (Commissie Corporate Governance, 2003) en de Cromme Code (PwC, 2006).

1.2 Probleemstelling

Risicoverslaggeving is in het verleden niet vaak object van onderzoek geweest. Een oorzaak hiervan is dat tot voor kort weinig data beschikbaar waren over bedrijven die ervaringen opdoen met integraal risicomanagement of het betrekken in hun verslaggeving. Steeds meer bedrijven doen dit tegenwoordig wel (Beasley, Clune en Hermanson, 2005). Met behulp van deze nieuwe gegevens is het mogelijk en vooral ook erg interessant om te bekijken in welke mate bedrijven hier over rapporteren en op welke wijze ze dat doen. Bovendien kan bekeken worden of rapportage afhankelijk is van de desbetreffende regelgeving van het land waarin het bedrijf gevestigd is.

In de bestaande literatuur is informatie terug te vinden over onderzoek naar risicoverslaggeving in Nederland, een voorbeeld hiervan is PwC (2006). Hierbij wordt geen vergelijking gemaakt met de situatie in andere landen. Het is daarom interessant te onderzoeken of er verschillen zijn tussen risicoverslaggeving van bedrijven in Nederland, Duitsland en de VS.

De reden voor het selecteren van Nederland, Duitsland en de VS is als volgt. Het doel van het onderzoek is een vergelijking maken tussen risicoverslaggeving van landen die een verschillende grondslag hebben voor corporate governance. Zoals hierboven reeds aangegeven valt daarin onderscheid te maken in expliciete wetten en in codes die volgens het

‘pas toe of leg uit’ principe in de wet zijn verankerd. Door naast Nederland de VS te selecteren wordt bovenstaand doel bereikt. Daarbij valt echter de aanmerking te maken dat

Nederland geen echte wereldeconomie is. Duitsland is dat wel. Het lidmaatschap van de G8, het overleg tussen de acht meest vooraanstaande industrielanden ter wereld, is hiervoor een goede aanwijzing. Duitsland heeft bovendien een vergelijkbare code voor corporate governance als Nederland. Door naast Nederland ook Duitsland te selecteren blijft de Nederlandse praktijk onderdeel van het onderzoek. Bovendien wordt op deze manier de vergelijking tussen landen met verschillende grondslagen voor corporate governance meer kracht bijgezet, omdat de Duitse economie, qua omvang, beter te vergelijken is met die van de VS.

Het doel van het onderzoek is dus mogelijke verschillen in kaart brengen op het gebied van risicoverslaggeving tussen Nederland, Duitsland en de VS. Hierbij wordt gekeken naar zowel verschillen in de mate als naar mogelijk inhoudelijk onderscheid.

Hieruit is de probleemstelling van dit onderzoek af te leiden:

Wat is het verband tussen de mate en de inhoud van rapportage over risicomanagement door een onderneming en de desbetreffende regelgeving van het land waarin de onderneming gevestigd is?

Aan de hand van de volgende deelvragen wordt de probleemstelling behandeld:

· Wat is integraal risicomanagement?

· Hoe ziet risicoverslaggeving volgens de Code Tabaksblat, de Cromme Code en SOX er uit en wat zijn de verschillen in mate en in inhoud?

· Hoe wordt risicoverslaggeving in Nederland, Duitsland en de VS vormgegeven?

· Wat zijn de verschillen in mate en inhoud ten aanzien van risicoverslaggeving tussen Nederland, Duitsland en de VS?

· Wat zijn de overeenkomsten in mate en inhoud op het gebied van risicoverslaggeving tussen Nederland, Duitsland en de VS?

Het doel van deze deelvragen is een goed onderbouwd antwoord te kunnen geven op de vraag van de probleemstelling. Hierbij dienen de antwoorden op de eerste drie deelvragen als achtergrond informatie en literaire onderbouwing. De antwoorden op de laatste twee deelvragen komen tot stand op grond van de analyse van de onderzoeksbevindingen. Hiermee wordt de basis gelegd voor het beantwoorden van de vraag van de probleemstelling.

1.3 Relevantie/motivatie

Het nemen van risico brengt een bepaalde onzekerheid met zich mee en is inherent aan ondernemen (Vaassen, 2004). De manier waarop het management omgaat met deze onzekerheid is een onderdeel van de waardecreatie voor belanghebbenden van een onderneming. Als onderdeel van het jaarverslag, waarin wordt verklaard op welke manier deze waarde wordt gecreëerd, wil het management dan ook verslag uitbrengen over de manier

waarop wordt omgegaan met onzekerheid. Deze informatie komt tot uitdrukking in de risicoparagraaf van het jaarverslag. Een andere motivatie voor het inrichten van een dergelijke paragraaf zijn bepalingen op het gebied van corporate governance.

In Nederland bestaat er volgens De Groot (2007b) nog steeds redelijk veel discussie over de risicoparagraaf in het jaarverslag. Onderzoek naar de mate waarin in jaarverslagen aandacht wordt besteed aan risicomanagement en op welke manier dit gebeurt kan bijdragen aan deze discussie. Het schept namelijk een beeld van de huidige praktijk. Daarnaast geeft de vergelijking met de situatie in Duitsland en de VS een verdieping aan deze discussie, omdat andere invalshoeken belicht worden. Bovendien is onderzoek naar risicoverslaggeving relevant voor een aantal belangengroepen in het algemeen. Voorbeelden hiervan zijn het bedrijfsleven en aandeelhouders en andere belanghebbenden.

Het bedrijfsleven heeft profijt van dit onderzoek, omdat het interessant is om te weten in welke mate en op welke manier concurrentie, klanten of leveranciers, uit binnen- of buitenland, verslag uitbrengen over risico’s en risicobeheersing. Op basis van deze informatie kunnen ze namelijk vaststellen in welke mate deze bedrijven hier mee bezig zijn en hoe ze dit doen. Bovendien kan hierbij de relatie gelegd worden met bepalingen op het gebied van corporate governance. De landen die betrokken worden in het onderzoek hebben namelijk verschillende wet- en regelgeving of codes hiervoor. Ook voor bedrijven die een notering aan een buitenlandse beurs in de nabije toekomst willen realiseren is kennis over deze bepalingen en toepassing ervan in de praktijk erg relevant. Tot slot kunnen banken als belanghebbenden worden aangemerkt. Bij de rol die banken spelen bij de financiering van bedrijven of bedrijfsactiviteiten kan informatie over risicomanagement van belang zijn.

De uitkomsten van dit onderzoek kunnen door aandeelhouders gebruikt worden bij investeringsbeslissingen. Bovendien draagt het bij aan de algemene beeldvorming en het verwachtingspatroon van aandeelhouders over risicoverantwoording. Ook voor hen is het relevant om te weten of er verschil bestaat in verslaggeving over risico’s en risicomanagement tussen bedrijven uit verschillende landen. De hoeveelheid en soort informatie uit de risicoparagraaf van een onderneming kan een rol spelen bij de inschatting van het risico van een bepaalde investering. Door als bedrijf bewust bezig te zijn met inventarisatie en beheersing van risico’s en hierover ook verslag uit te brengen wordt een signaal afgegeven in de richting van de aandeelhouders. Zij hebben in dat geval meer informatie tot hun beschikking voor het inschatten van het risico van deze investering. Verder kunnen ze bij hun investeringsoverweging dan onderscheid maken tussen bedrijven uit verschillende landen.

In de huidige literatuur komen onderzoeken naar risicomanagement en risicoverslaggeving niet veel voor. Toch heeft er de afgelopen jaren wel het een en ander aan onderzoek plaatsgevonden. Bovendien zijn er in beperkte mate artikelen verschenen. In de beschikbare literatuur is een onderscheid te maken tussen Nederlandse en internationale publicaties.

Een voorbeeld van onderzoek naar risicomanagement bij ondernemingen uit verschillende landen is Beasley, Clune en Hermanson (2005) en Gates (2006) waarin onderzocht werd hoe ver bedrijven op dat moment waren met ontwikkeling en implementatie van risicomanagement. Hetzelfde deed PwC (2006) als onderdeel van een uitgebreider onderzoek voor Nederlandse ondernemingen. In deze onderzoeken werden bedrijven direct benaderd. Er werden vragen gesteld over het al dan niet aanwezig zijn van een intern systeem voor risicobeheersing en controle, en de manier waarop het systeem is ingericht. Dit onderzoek heeft een ander doel. Het richt zich namelijk op de verslaggeving over risicomanagement en niet op de voortgang van implementatie van systemen hiervoor. Daarmee vormt het echter wel een waardevolle aanvulling op voornoemde onderzoeken, omdat het in kaart brengt op welke manier bedrijven risicomanagement onderdeel maken van hun verslaggeving. PwC (2006) en Monitoring Commissie Corporate Governance (2007) hebben een soortgelijke aanvulling gemaakt.

Het onderzoek door PwC (2006) neemt onder andere de risicoparagraaf van Nederlandse bedrijven onder de loep en kijkt daarbij met name naar de inhoud ervan. Hiertoe werden de gegevens van 283 bedrijven gebruikt. Er werd gekeken naar de in-control verklaring en de manier waarop risicomanagement in het jaarverslag terugkwam. Het onderzoek van de Monitoring Commissie Corporate Governance (2007) is onderdeel van het derde rapport over de naleving van de Nederlandse corporate governance code. Het geeft een overzicht van de mate van naleving van een belangrijke bepaling ten aanzien van het interne risicobeheersings- en controlesysteem van de code Tabaksblat. Dit overzicht wordt gegeven aan de hand van verschillende onderdelen ten aanzien van de naleving. Het vormt daarmee dus een onderzoek naar de inhoud van verslaggeving met betrekking tot risicomanagement. Beide onderzoeken vertonen enige gelijkenis met dit onderzoek. Er wordt echter een aanvulling geven door uitgebreider of breder de inhoud te onderzoeken en daarnaast ook de mate van risicoverslaggeving in kaart te brengen. Verder zal onderzoek naar de risicoparagrafen van Duitse en Amerikaanse bedrijven, plus een vergelijking hiermee, voor uitbreiding zorgen.

Op internationaal niveau heeft ook onderzoek plaats gevonden naar risicoverslaggeving. Het onderzoek van Linsley en Shrives (2006) is hiervan een goed voorbeeld. Hierbij zijn de jaarverslagen van 79 niet-financiële Britse bedrijven door middel van inhoudsanalyse bestudeerd. De hoeveelheid risico-openbaringen is gemeten door het aantal zinnen hier over te tellen. De keuze voor enkel niet-financiële bedrijven is ontstaan doordat aangenomen wordt dat in jaarverslagen van financiële bedrijven op een andere manier wordt gesproken over risicomanagement (Bessis, 2002). Met het onderzoek zijn een aantal significante verbanden aangetoond. Het eerste verband is dat tussen het aantal risico-openbaringen en de grootte van de onderneming. Het tweede aangetoonde verband is dat tussen het aantal risico- openbaringen en de hoeveelheid omgevingsrisico’s waar een onderneming mee te maken heeft. Het onderzoek legt hiermee de verbinding tussen de mate van risicoverslaggeving en bepaalde kenmerken van een onderneming.

Dit onderzoek heeft als doel een soortgelijk verband aan te tonen, alleen wordt hier de verbinding gelegd tussen de mate van verslaggeving en de desbetreffende regelgeving van het land waarin de onderneming gevestigd is. Bovendien zorgt onderzoek naar inhoud van de

risicoparagraaf voor uitbreiding. Zowel in de breedte, als in de diepte vormt dit onderzoek dus een aanvulling op het onderzoek van Linsley and Shrives (2006).

1.4 Conceptueel model

In paragraaf 1.1 wordt het onderscheid tussen een expliciete wet voor corporate governance (SOX) en codes die via het principe van ‘pas toe of leg uit’ in de wet zijn verankerd (Code Tabaksblat, Cromme Code) beschreven. Om dit onderscheid te begrijpen dient inzicht te worden gegeven in verschillen tussen nationale corporate governance structuren (Hayes et al.

2005). Twee van deze structuren zijn de marktstructuur en de netwerkstructuur. Verschillen hiertussen vinden hun oorsprong in cultuur, geschiedenis en rechtssystemen. Hierover meer in Hoofdstuk 3.

Aan de hand van paragraaf 1.1 en 1.2 en de korte toelichting hierboven kan het conceptueel model worden gemaakt dat hieronder is weergegeven in figuur 1.1. Het model geeft een schematische weergave van het totale onderzoek.

Figuur 1.1: Conceptueel model

1.5 Methode van onderzoek

Dit onderzoek bestaat naast een verkenning van wetenschappelijke literatuur uit een toepassing in de praktijk in de vorm van analyse van risicoverslaggeving door ondernemingen.

De literatuur die wordt besproken behandelt allereerst het concept integraal risicomanagement. Dit vormt namelijk de basis voor verslaggeving hierover. Naast de beschrijving van risicomanagement wordt in de literatuursectie aandacht besteed aan recente corporate governance ontwikkelingen in Nederland, Duitsland en de VS. Er wordt bovendien een overzicht gegeven van de huidige stand van zaken en de belangrijkste verschillen. Tot slot besteedt het theoriegedeelte aandacht aan de toepassing van risicoverslaggeving in de praktijk, waarbij het onderscheid wordt gemaakt tussen de situatie in Nederland, Duitsland en de VS. De resultaten van de literatuurstudie zullen de basis vormen voor het praktijkonderzoek.

Het praktijkgedeelte zal bestaan uit onderzoek naar hoeveelheid en inhoud van risicoverslaggeving in jaarverslagen van Nederlandse, Duitse en Amerikaanse beursgenoteerde ondernemingen. In de volgende paragraaf worden meer details gegeven over het onderzoeksontwerp. Aan de hand van de resultaten van het praktijkonderzoek zullen conclusies getrokken worden ten aanzien van aanwezige verschillen en overeenkomsten in hoeveelheid en inhoud van risicoverslaggeving van bedrijven afkomstig uit bovengenoemde landen.

1.6 Onderzoeksontwerp

In het nu volgende gedeelte wordt de manier beschreven waarop het onderzoek is uitgevoerd.

Eerst wordt aangeven hoe het onderzoeksgebied is afgebakend. Vervolgens wordt gepresenteerd van welke ondernemingen de jaarverslagen afkomstig zijn, die in de selectie zijn betrokken. Verder wordt aangegeven uit welk jaar de data afkomstig zijn. Daarna wordt uiteen gezet welke bronnen zijn aangesproken om de gewenste data in handen te krijgen.

Bovendien wordt hierbij beschreven op welke wijze de jaarverslagen op hoeveelheid en inhoud zijn onderzocht. Tot slot wordt een beschrijving gegeven van de gebruikte analysetechnieken om eventuele verbanden aan te tonen.

1.6.1 Afbakening

Om de doelstellingen van het onderzoek helder te specificeren is het noodzakelijk het onderzoeksgebied duidelijk af te bakenen. Hierbij is om te beginnen een duidelijk onderscheid gemaakt tussen de manier waarop risicomanagement is vormgegeven bij een onderneming en de manier waarop de onderneming risicomanagement onderdeel maakt van de verslaggeving. Dit onderzoek richt zich uitsluitend op het laatste punt, namelijk risicoverslaggeving.

Bij risicoverslaggeving bestaat er een verschil tussen externe- en interne verslaglegging.

Externe verslaggeving wordt opgesteld ten behoeve van aandeelhouders en andere belanghebbenden. Interne verslaggeving daarentegen wordt opgesteld voor de raad van

bestuur (RvB) of de raad van commissarissen (RvC). Dit onderzoek richt zich alleen op externe verslaggeving, omdat deze informatie eenvoudig toegankelijk is en het meest relevant is voor aandeelhouders en beleggers. Van de externe verslaggeving is alleen informatie uit het jaarverslag onderzocht. Elke beursgenoteerde onderneming is namelijk verplicht dit uit te geven. Het is daarom zeker dat het van elke onderneming beschikbaar is. Voor ondernemingen uit de VS levert dit echter een bijzondere situatie op, omdat deze verplicht zijn aparte verslagen uit te geven voor aandeelhouders en voor de U.S. Securities and Exchange Commission (SEC). Deze verslagen worden regelmatig in combinatie gepresenteerd en vormen vaak een aanvulling op elkaar. Om die reden zijn in het geval van Amerikaanse bedrijven zowel het jaarverslag voor aandeelhouders als het zogenaamde “Form 10-K” in de selectie betrokken.

In het jaarverslag wordt door middel van een zogenaamde risicoparagraaf informatie verstrekt over risico’s en risicomanagement. Er bestaat hierbij onderscheid in de inrichting van deze paragraaf voor bedrijven afkomstig uit verschillende landen. Kenmerkend voor onderdelen van de risicoparagraaf is echter wel dat ze informatie verschaffen over het risicobeleid, het risicomanagementproces, de geïdentificeerde risico’s, de beheersing van risico’s en de werking van het risicomanagementsysteem. Van het jaarverslag zijn dan ook alleen deze laatstgenoemde componenten in het onderzoek betrokken.

1.6.2 Geselecteerde ondernemingen

Om een goede vergelijking te kunnen maken tussen risicoverslaggeving van ondernemingen uit verschillende landen, waarbij bepalingen op het gebied van corporate governance de belangrijkste onderbouwing vormen, zijn alleen beursgenoteerde ondernemingen geselecteerd. Belangrijkste reden hiervoor is dat de code Tabaksblat en de Cromme Code alleen van toepassing zijn op beursgenoteerde ondernemingen. Bovendien zijn de jaarverslagen van deze ondernemingen altijd beschikbaar.

Aan de hand van het genoemde onderscheid in de probleemstelling is de volgende verdeling gemaakt tussen beursgenoteerde ondernemingen. Er zijn drie verschillende groepen gemaakt.

De eerste groep bestaat uit 15 ondernemingen genoteerd aan de Nederlandse AEX index, voor deze ondernemingen geldt de code Tabaksblat. De tweede groep bestaat uit 15 ondernemingen genoteerd aan de Deutsche Börse, voor deze ondernemingen geldt de Cromme Code. De derde en laatste groep bestaat uit 15 ondernemingen genoteerd aan de Amerikaanse Dow Jones, deze ondernemingen dienen te voldoen aan SOX. De totale selectie bestaat dus uit 45 ondernemingen. Voor het onderzoek is gekozen voor bedrijven die een notering hebben aan de diverse nationale beurzen, omdat het allemaal bedrijven zijn die geacht worden vertegenwoordigers te zijn van de verschillende nationale vermogensmarkten.

Om de selectie zo homogeen mogelijk te houden is ervoor gekozen om enkel niet-financiële bedrijven te selecteren. Financiële bedrijven worden namelijk als risicomanagement entiteiten gezien. Hierbij kan verwacht worden dat ze op een significant verschillende manier risico in

hun verslaggeving betrekken (Bessis, 2002). Voor dit onderzoek zijn ondernemingen, niet zijnde bank of verzekeraar als niet-financieel beschouwd.

Van de ondernemingen die genoteerd staan aan de verschillende hiervoor genoemde beurzen zijn de 15 grootste ondernemingen geselecteerd. Met grootte wordt hierbij het totaalvermogen van de onderneming bedoeld. Alleen de grootste ondernemingen zijn geselecteerd, omdat het aantal risico-openbaringen voor grotere ondernemingen hoger is (Linsley en Shrives, 2006).

Om een goede vergelijking te kunnen maken tussen risicoverslaggeving van ondernemingen uit verschillende landen, met name op het gebied van inhoud, wordt een zo uitgebreid mogelijke risicoparagraaf het meest bruikbaar geacht.

De selectie zal bestaan uit Engelstalige jaarverslagen over het boekjaar 2006. Om een goede vergelijking te maken tussen de jaarverslagen van bedrijven uit verschillende landen is het van belang dat deze verslagen in dezelfde taal zijn opgesteld. Daarnaast is 2006 het meest recente jaar waarvan complete jaarverslagen beschikbaar zijn. Recente data zijn van belang voor het onderzoek, omdat elk jaar meer bedrijven ervaring opdoen met integraal risicomanagement en dit ook vastleggen in hun verslagen (Beasley, Clune en Hermanson, 2005).

1.6.3 Dataverzameling

Het onderzoek bestaat uit een analyse van zowel de omvang als de inhoud van de risicoparagraaf in de jaarverslagen uit de selectie. Verder wordt gekeken naar mogelijke verbanden tussen de uitkomsten van beide analyses. Het gedeelte dat de hoeveelheid informatie beschouwt wordt vormgegeven door het tellen van het aantal woorden betreffende risicomanagement. In het gedeelte dat aandacht besteedt aan de inhoud van informatie zal de risicoparagraaf getoetst worden aan de hand van vooraf bepaalde criteria. Het ontwerp van deze criteria wordt besproken in hoofdstuk 4.

Bij het vaststellen van de hoeveelheid informatie met betrekking tot risicomanagement is niet alleen de risicoparagraaf als geheel beschouwd. Er is ook gekeken naar afzonderlijke categorieën. Deze categorieën vloeien voort uit een globale analyse van in totaal 15 jaarverslagen van 5 Nederlandse, 5 Duitse en 5 Amerikaanse ondernemingen, die allen onderdeel uitmaken van de in de vorige paragraaf beschreven selectie. Er is hierbij gekeken naar overeenkomstige onderwerpen waaraan in de risicoparagrafen van voornoemde jaarverslagen aandacht wordt besteed. De reden dat bij het opstellen van de categorieën voor deze aanpak is gekozen, is het feit dat de oorspronkelijk beoogde methode, op basis van overeenkomstige onderdelen in bepalingen ten aanzien van corporate governance in de praktijk niet haalbaar is. In de bepalingen voor corporate governance in Duitsland en de VS wordt namelijk te beperkt expliciet aandacht besteed aan risicoverslaggeving. Hierover meer in hoofdstuk 3.

Het in dit onderzoek gebruikte instrument bij hoeveelheidanalyse is het tellen van woorden.

Hiermee wordt beoogd een zo nauwkeurig mogelijke maat te gegeven aan een bepaalde

hoeveelheid tekst. Bij een dergelijke telling is het van belang van te voren een bepaalde maatstaf vast te stellen om informatie wel of niet mee te tellen. Deze maatstaf is als volgt. In de jaarverslagen is gezocht naar de termen risk management, risk en internal control. Waar deze woorden zijn aangetroffen, is gekeken of de zinnen, waar deze woorden onderdeel van uitmaken, te maken hebben met integraal risicomanagement. Vervolgens is het aantal woorden van deze zinnen geteld.

Hierbij zijn woorden geteld van stukken tekst die informatie geven over:

· het risicomanagementproces;

· geïdentificeerde risico’s. Als onderdeel van het risicoverslag, alsmede de toekomstgerichte verklaringen;

· financiële risico’s als onderdeel van de risicomanagement paragraaf;

· kwalitatieve en kwantitatieve informatie over marktrisico als onderdeel van de managementbeschouwing;

· compliance aan corporate governance ten aanzien van risicomanagement of effectiviteit van interne beheersing met betrekking tot financiële verslaggeving;

· verklaring over de inherente beperkingen ten aanzien van de interne beheersing van financiële verslaggeving.

en zijn geen woorden geteld van stukken tekst uit:

· figuren of tabellen die het gebruik van risicomanagement illustreren.

Door geen losse woorden te tellen, maar altijd de gehele zin waarvan deze woorden onderdeel uitmaken, kan het voorkomen dat het totale aantal getelde woorden afwijkt van de som van de totalen per categorie. Het kan namelijk voorkomen dat een zin informatie bevat die voor meerdere categorieën relevant zijn.

Voor de inhoudsanalyse zijn de geselecteerde jaarverslagen beoordeeld aan de hand van een aantal van te voren opgestelde toetsingscriteria die zijn onderverdeeld in categorieën. Deze categorieën zijn dezelfde als beschreven bij de hoeveelheidanalyse. Met behulp van de criteria zijn vervolgens bepaalde scores toegekend. De uiteindelijke score per categorie en de totaalscore vormen de basis voor het oordeel over de inhoud. De voor het onderzoek ontwikkelde toetsingscriteria zijn weergegeven in de bijlagen, paragraaf 9.5.

1.6.4 Analyse

Met behulp van de analyse van de hierboven beschreven data is geprobeerd antwoord te geven op de vraag van de probleemstelling. Deze analyse bestaat uit een beschouwing van mogelijke verschillen en overeenkomsten tussen data van verschillende landen. Als onderdeel van de onderbouwing hiervan zijn een aantal hypothesen getest, die worden geformuleerd in paragraaf 4.7 en in de bijlagen, paragraaf 9.6. Bij deze tests zijn de gemiddelden van verschillende selecties vergeleken. Hiermee kan worden aangetoond of de stelling, dat bepaalde hoeveelheden informatie in een jaarverslag of bepaalde scores ten aanzien van de

inhoud van een jaarverslag gelijk is voor verschillende landen, verworpen mag worden. Het nu volgende gedeelte geeft een beschrijving van deze tests.

Voor een vergelijking van de gemiddelden is gebruik gemaakt van de ‘One-Way ANOVA Test’. Hiermee kan worden aangetoond of de stelling, dat de gemiddelden van verschillende selecties gelijk zijn, verworpen mag worden. Alvorens hiertoe over te gaan, dient te worden nagegaan of de data normaal verdeeld zijn. Dit kan met behulp van de ‘Two-Independent- Samples Test’, waarbij gekeken wordt of de stelling verworpen mag worden dat de informatie niet normaal verdeeld is. Bovendien wordt met behulp van de ‘One-Way ANOVA Test’, waarbij ook de homogeniteit van de varianties getest wordt, bepaald of de stelling verworpen mag worden dat de varianties van beide gemiddelden gelijk zijn. Is dit het geval dan dient nog een extra test uitgevoerd te worden om de gemiddelden te vergelijken, namelijk de

‘Independent Samples T Test’. Hiermee kan ook worden aangetoond of de stelling, dat de gemiddelden van verschillende selecties gelijk zijn, verworpen mag worden. Alleen wordt hier onderscheid gemaakt tussen het geval dat er sprake is van gelijke varianties en het geval dat er sprake is van ongelijke varianties.

Bij de verschillende hierboven beschreven tests is gebruik gemaakt van een significantieniveau van 5 procent. De uiteindelijke analyse beperkt zich tot een uitspraak over het al dan niet verwerpen van de stelling dat de gemiddelden van verschillende selecties gelijk zijn. Bij een dergelijke uitspraak dient er vanuit te worden gegaan dat de informatie normaal verdeeld is en dat er een test heeft plaatsgevonden op de varianties van beide gemiddelden.

1.7 Opbouw

Aansluitend op de hier beschreven inleiding, worden in de hoofdstukken 2 tot en met 4 de antwoorden op de eerste drie deelvragen uitgewerkt. Hoofdstuk 2 bestaat uit een beschrijving van wat risicomanagement daadwerkelijk inhoudt. Hoofdstuk 3 geeft vervolgens aan hoe risicoverslaggeving volgens de corporate governance in de geselecteerde landen er uit ziet.

Bovendien worden hier de belangrijkste verschillen gepresenteerd. De manier waarop risicomanagement wordt toegepast in de verschillende landen wordt vervolgens uiteengezet in hoofdstuk 4. Hierin worden bovendien de criteria gepresenteerd waaraan de jaarverslagen getoetst zullen worden. In hoofdstuk 5, de resultaten, zullen de uitkomsten van de data- analyse worden gegeven. Hoofdstuk 6 presenteert vervolgens de verschillen in risicoverslaggeving in mate en inhoud. Hoofdstuk 7 geeft daarna de overeenkomsten in mate en inhoud weer. Tot slot geeft hoofdstuk 8 een samenvatting, de conclusies, de beperkingen van het onderzoek en de suggesties voor vervolgonderzoek.

HOOFDSTUK 2: INTEGRAAL RISICOMANAGEMENT

2.1 Introductie

Ten einde de mate en inhoud van verslaggeving over risico’s en risicomanagement te analyseren is het van belang te presenteren wat deze concepten daadwerkelijk inhouden. Deze beschrijving wordt gegeven aan de hand van het beantwoorden van de volgende deelvraag:

Wat is risicomanagement?

Bij het concept risicomanagement is voornamelijk de integrale toepassing ervan van belang voor dit onderzoek. Integraal risicomanagement, of Enterprise Risk Management (ERM), wordt door Chapman (2003) omschreven als een proces dat over de gehele onderneming wordt toegepast en als doel heeft een redelijke mate van zekerheid te verschaffen over het behalen van de doelstellingen van de onderneming. Hierbij wordt het concept risico door Knechel (2001) omschreven als een bedreiging voor een organisatie die de kans, dat de organisatie één of meer van zijn doelstellingen bereikt, verkleint.

‘The Committee of Sponsoring Organizations of the Treadway Commission (COSO)’ heeft een raamwerk ontwikkeld om organisaties te helpen bij het ontwikkelen van effectieve programma’s om risico’s vast te stellen, in te schatten, te rangschikken en om de juiste maatregelen te treffen om met deze risico’s om te gaan. Dit is het ‘Enterprise Risk Management - Integrated Framework’. De nu volgende paragraaf gaat allereerst dieper in op het concept ERM. Vervolgens wordt beschreven uit welke componenten het bestaat volgens COSO. Tot slot geeft de conclusie antwoord op de hierboven geformuleerde deelvraag.

2.2 Enterprise Risk Management

Geïntegreerd risicomanagement is een relatief nieuw vakgebied. Het wordt door COSO (2004) omschreven als een continu proces dat beïnvloed wordt door het bestuur, het management en ander personeel. Het wordt over de gehele organisatie toegepast en beïnvloed door mensen vanuit elke laag van de onderneming. Van groot belang hierbij is het opstellen van een organisatiebreed risicoprofiel. Het proces is ontworpen om gebeurtenissen te identificeren die een bedreiging kunnen vormen voor de onderneming. Daarnaast heeft het als doel risico’s binnen het risicoprofiel te beheersen. Dit alles ten einde een redelijke mate van zekerheid te verschaffen aan het bestuur ten aanzien van het bereiken van de doelstellingen van de onderneming. Deze doelstellingen kunnen verschillend zijn, maar van belang hierbij is dat ze met elkaar verband houden.

Uitgangspunt van ERM is volgens COSO (2004) dat elke onderneming bestaat om waarde te creëren voor de belanghebbenden. Hierbij heeft elke onderneming te maken met onzekerheid.

De taak van het management is om te bepalen hoeveel onzekerheid geaccepteerd wordt om zo

maximale waarde te creëren voor de belanghebbenden. Deze onzekerheid komt hierbij tot uiting in zowel risico’s als mogelijkheden. De mogelijkheid bestaat dus dat waarde ongedaan wordt gemaakt of waarde wordt gecreëerd. ERM stelt het management in staat om bij het creëren van waarde niet alleen effectief om te gaan met onzekerheid, maar ook met de bijbehorende risico’s en mogelijkheden.

Alvorens over te gaan tot de beschrijving van COSO’s raamwerk voor ERM, dient aangegeven te worden dat het van groot belang is dat een dergelijk systeem op het hoogste niveau binnen de organisatie verankerd wordt. De juiste opzet en werking ervan behoren namelijk tot de directe verantwoordelijkheid van de Directie of Raad van Bestuur (Emanuels en de Munnik, 2006). Met het oog op het integrale karakter van ERM is bovendien de betrokkenheid van verantwoordelijken voor de strategische, commerciële en operationele processen van belang. Als gevolg hiervan zou het logisch zijn dat de Chief Executive Officer (CEO) of de voorzitter van de raad van bestuur met de portefeuille voor risicomanagement belast wordt. In de praktijk komt het echter regelmatig voor dat de Chief Financial Officer (CFO) met deze portefeuille belast is.

2.3 COSO’s ERM Framework

COSO’s Enterprise Risk Management – Integrated Framework stamt uit 2004. Volgens Chapman (2003) is een belangrijke kracht van het raamwerk dat het samengaat met COSO’s raamwerk voor interne beheersing uit 1992. Dit zogenaamde ‘Internal Control Integrated Framework’ wordt toegepast door veel organisaties en verschillende accountantstandaarden steunen hierop. Bovendien is verslaggeving over internal control volgens Sarbanes-Oxley zwaar gebaseerd op COSO’s internal control raamwerk.

Volgens COSO (2004) bestaat ERM uit acht gerelateerde onderdelen. Deze onderdelen zijn afgeleid van de manier waarop het management een bedrijf leidt en zijn geïntegreerd in het managementproces. Deze onderdelen zijn:

internal environment, objective setting, event identification, risk assesment, risk response, control activities, information and communication en monitoring. In figuur 2.1 zijn deze onderdelen weergegeven in relatie tot categorieën van doelstellingen en onderdelen van de onderneming. Hierbij worden doelstellingen onderverdeeld in strategische, operationele, verslaggeving en regelgevingdoelstellingen.

Figuur 2.1: de componenten van het COSO ERM raamwerk

Op basis van COSO (2004) worden de afzonderlijke onderdelen in het nu volgende gedeelte uiteengezet.

Internal environment (interne omgeving)

Het management stelt een bepaalde filosofie vast ten aanzien van risico en bepaalt de

risicobehoefte. De interne omgeving vormt de basis voor de manier waarop mensen binnen een onderneming tegen risico en risicobeheersing aankijken. Deze mensen en hun bijdragen vormen namelijk de kern van een onderneming. Hierbij spelen integriteit, ethische waarden en de omgeving waarin ze werken een belangrijke rol.

Objective setting (bepalen van doelstellingen)

Voordat eventuele bedreigingen voor doelstellingen kunnen worden vastgesteld is het van belang dat de doelstellingen zelf worden bepaald. ERM zorgt ervoor dat het management een proces voorhanden heeft om doelstellingen vast te stellen, die overeenkomen met de missie en de risicobehoefte van de onderneming.

Event identification (identificeren van gebeurtenissen)

Mogelijke gebeurtenissen die invloed kunnen uitoefenen op de onderneming en het behalen van haar doelstellingen dienen geïdentificeerd te worden. Bronnen hiervoor kunnen zowel intern als extern zijn. Onderdeel van dit proces is het onderscheiden van gebeurtenissen in risico’s, in mogelijkheden of in beide tegelijk. Geïdentificeerde mogelijkheden worden vervolgens teruggekoppeld naar het bepalen van strategie of doelstellingen.

Risk assessment (risico analyse)

Risico’s worden geanalyseerd ten einde een basis te vormen voor de manier waarop deze worden beheerst. Hierbij worden risico’s gekoppeld aan doelstellingen die erdoor kunnen worden beïnvloed. Verder worden ze ontleed in een inherent- en restrisico, waarbij rekening wordt gehouden met zowel kans als impact.

Risk response (risicomitigerende maatregelen)

Het personeel identificeert en evalueert mogelijke maatregelen om risico’s te mitigeren. Deze maatregelen kunnen tot doel hebben risico’s te vermijden, te accepteren, te verminderen of te delen. Het management van de onderneming selecteert vervolgens de maatregelen die passen binnen de risicotolerantie en risicobehoefte van de onderneming.

Control activities (beheersmaatregelen)

Om te zorgen dat risicomitigerende maatregelen effectief worden uitgevoerd worden bepaalde beleidsmaatregelen en procedures ingesteld.

Information and communication (informatie en communicatie)

In alle lagen van de onderneming is behoefte aan goede informatie om risico’s te identificeren, te analyseren en te mitigeren. Om dit te bereiken wordt relevante informatie geïdentificeerd en gecommuniceerd op een dusdanige manier dat mensen hun verantwoordelijkheden kunnen dragen. Effectieve communicatie vindt bovendien plaats in

een breder perspectief, namelijk tussen alle lagen van de onderneming. Daarbij ontvangt het personeel duidelijke informatie over hun rol en verantwoordelijkheden.

Monitoring (monitoren)

Op het gehele integrale risicomanagementsysteem wordt toezicht gehouden en waar nodig worden aanpassingen gedaan. Op deze manier kan het zich aanpassen aan veranderende omstandigheden. Dit toezicht wordt vormgegeven door continue managementactiviteiten, afzonderlijke evaluaties of een combinatie van deze twee.

De hiervoor beschreven onderdelen dienen niet als losse componenten gezien te worden.

ERM is namelijk een dynamisch proces. Zo heeft de analyse van risico’s tot gevolg dat risicomitigerende maatregelen worden ingesteld. Bovendien kan het de beheersmaatregelen beïnvloeden of gevolgen hebben voor de informatie- en communicatievoorziening of het toezicht.

Verder is het van belang op te merken dat de toepassing van ERM per onderneming verschilt.

Verschillen kunnen ontstaan in de mogelijkheden of de mate waarin een dergelijk systeem nodig is. Bij de toepassing van ERM kan de managementfilosofie of cultuur een rol spelen.

Bovendien kan de grootte of industrie waarin een onderneming werkzaam is bepalend zijn.

Zo geeft Chapman (2003) aan dat, gegeven de grootte en aard, niet iedere onderneming tot doel heeft ERM te implementeren. Het is namelijk mogelijk dat een ERM proces vanuit een kostenperspectief niet gunstig is. De raad van commissarissen en andere belanghebbenden kunnen namelijk ook op andere manieren worden overtuigd van de effectiviteit van de interne beheersingsomgeving. COSO (2004) verklaart echter dat elke onderneming alle hiervoor beschreven componenten dient te hebben geïmplementeerd en dat ze bovendien effectief dienen te functioneren.

2.4 Conclusie

Integraal risicomanagement is een proces dat over de gehele onderneming wordt toegepast en dat is ontworpen om een gewenste mate van zekerheid te verkrijgen over het bereiken van de doelstellingen van de onderneming aan de hand van informatie die uit het proces voortkomt.

ERM stelt het management in staat om te gaan met zowel de risico’s als de mogelijkheden die voortkomen uit onzekerheid waar elke onderneming mee te maken heeft. De taak van het management is te bepalen hoeveel onzekerheid geaccepteerd wordt om zo maximale waarde te creëren voor de belanghebbenden.

COSO heeft een raamwerk ontwikkeld aan de hand waarvan ondernemingen het ERM proces kunnen vormgeven. Het raamwerk bestaat uit acht samenhangende componenten die als geheel moeten zorgen voor een redelijke mate van zekerheid voor het bestuur. Bovendien gaat het goed samen met het eerder door COSO gepresenteerde raamwerk voor interne beheersing. Dit raamwerk wordt door veel ondernemingen toegepast bij verslaggeving over internal control volgens SOX.

HOOFDSTUK 3: RISICOVERSLAGGEVING EN CORPORATE GOVERNANCE

3.1 Introductie

Goede corporate governance brengt met zich mee dat een onderneming zich bewust moet zijn van de risico’s waaraan zij onderhevig is en daarover moet rapporteren (de Groot, 2006a). De Code Tabaksblat, de Cromme Code en SOX besteden allemaal op hun eigen manier aandacht aan risicoverslaggeving. In het nu volgende hoofdstuk worden deze afzonderlijke bepalingen besproken. In de eerste plaats om nadere informatie hierover te verschaffen. In de tweede plaats om het praktijkonderzoek van een nadere onderbouwing te voorzien. Dit wordt gedaan aan de hand van het beantwoorden van de volgende deelvraag:

Hoe ziet risicoverslaggeving volgens de Code Tabaksblat, de Cromme Code en SOX er uit en wat zijn de verschillen in mate en in inhoud?

Het onderscheid waarnaar de deelvraag op zoek gaat wordt allereerst beschreven aan de hand van verschillen in corporate governance structuren. Deze verschillen worden besproken in de nu volgende paragraaf. Daarna worden de Code Tabaksblat, de Cromme Code en SOX in het licht van risicoverslaggeving afzonderlijk besproken. Het hoofdstuk sluit af met een conclusie, waarin een overzicht wordt gegeven van de belangrijkste verschillen op het gebied van mate en inhoud tussen de corporate governance van de verschillende landen.

3.2 Corporate governance structuren

Alvorens de huidige situatie op het gebied van corporate governance per land te bespreken is het van belang het onderlinge elementaire verschil in structuur te bespreken aan de hand van Hayes (2005). Dit onderscheid wordt veroorzaakt door factoren als cultuur, geschiedenis, rechtssystemen, enzovoort. Het uit zich in zogenoemde marktgeoriënteerde en netwerkgeoriënteerde structuren. Voorbeelden van landen met een marktgerichte structuur zijn de VS en het Verenigd Koninkrijk (VK). Voorbeelden van landen met een netwerkgerichte structuur zijn Europese en Aziatische landen. Beide structuren worden gekenmerkt door een aantal eigenschappen, die in het nu volgende gedeelte worden besproken.

In de eerste plaats zijn marktgeoriënteerde landen ‘agressiever’ en meer op zoek naar de confrontatie, terwijl netwerkgeoriënteerde landen meer op zoek zijn naar overeenkomst in plaats van conflict. In de tweede plaats zijn aandelen in de marktoriëntatie verspreid over veel afzonderlijke aandeelhouders, vaak particuliere investeerders. In de netwerkoriëntatie houden banken, verzekeringsmaatschappijen en andere instituten het grootste gedeelte van de aandelen. In de derde plaats bestaat er verschil tussen de benadering van aandeelhouders. Bij de marktoriëntatie wordt vaak een korte termijn strategie gehanteerd, om de individuele aandeelhouder tevreden te houden. De netwerkoriëntatie gaat daarentegen meer uit van een

langdurige samenwerking tussen aandeelhouders en de onderneming, waarbij ook nog regelmatig sprake is van familierelaties. In de laatste plaats is er een verschil in bestuursstructuren. In marktgeoriënteerde landen bestaat er naast het bestuur geen afzonderlijke RvC zoals in netwerkgeoriënteerde landen. Het gehele bestuur bestaat dan namelijk uit uitvoerende en niet-uitvoerende leden, die samen verantwoordelijk zijn voor het dagelijkse bestuur.

Recente ontwikkelingen op het gebied van corporate governance, als gevolg van eerder genoemde boekhoudschandalen, verschillen dan ook tussen landen met een marktoriëntatie of netwerkoriëntatie. Zo ontstond in marktgeoriënteerde landen vraag naar strakker toezicht en controle. SOX is daarvan een goed voorbeeld. Dit is namelijk een wet, waarin via regels wordt gesteld hoe bedrijven hun corporate governance dienen vorm te geven. Deze verschijning wordt ook wel ‘rule based’ genoemd (Monitoring Commissie Corporate Governance, 2005). In netwerkgeoriënteerde landen daarentegen ontstond vraag naar een actievere rol voor de RvC en meer rechten voor aandeelhouders, als gevolg van meer internationaal gerichte kapitaalmarkten. De code Tabaksblat en de Cromme Code zijn daarvan goede voorbeelden. De code Tabaksblat en de Cromme Code zijn namelijk via het principe van ‘pas toe of leg uit’ in de wet verankerd. Daarmee worden via bepalingen richtlijnen gegeven voor corporate governance en heeft daarmee een zogenoemd ‘principle based’ karakter (Monitoring Commissie Corporate Governance, 2005).

Als onderdeel van de afzonderlijke ontwikkeling van regels of bepalingen voor corporate governance per land, zijn ook afzonderlijk regels of bepalingen met betrekking tot het interne risicobeheersings- en controlesysteem en verslaggeving hierover ontstaan. Aan de hand daarvan wordt aangegeven op welke wijze in de verslaggeving aandacht dient te worden besteed aan risicomanagement. De volgende paragrafen bieden inzicht in deze verschillende manieren.

3.3 De Code Tabaksblat

De Nederlandse Corporate Governance Code schrijft met ingang van het jaarverslag over 2004 een rapportage over risico’s bij beursgenoteerde ondernemingen voor (Groenland, Daals en Von Eije, 2006). De code is in 2003 gepresenteerd door de Commissie Corporate Governance en is van toepassing op alle vennootschappen met statutaire zetel in Nederland, waarvan aandelen of certificaten van aandelen zijn toegelaten tot de officiële notering van een van overheidswege erkende effectenbeurs (Commissie Corporate Governance, 2003).

De code Tabaksblat bevat principes en concrete bepalingen die de bij een vennootschap betrokken personen (onder andere bestuurders en commissarissen) en partijen (onder andere institutionele beleggers) tegenover elkaar in acht zouden moeten nemen. De principes kunnen worden gezien als moderne en inmiddels breed gedragen, algemene opvattingen over goede corporate governance. Ze zijn uitgewerkt in concrete best practice bepalingen (BP- bepalingen). Dit zijn suggesties of aanbevelingen, die uit de principes voortvloeien.

Beursgenoteerde vennootschappen hebben de vrijheid hiervan af te wijken. Van een onvoorwaardelijke vrijheid om de code wel of niet op te volgen is echter geen sprake. Deze vrijheid wordt namelijk in zoverre beperkt dat elk jaar in het jaarverslag gemotiveerd moet worden uitgelegd of en zo ja waarom en in hoeverre wordt afgeweken van de BP-bepalingen (de regel van “pas toe of leg uit”) (Commissie Corporate Governance, 2003; Boot en Wallage, 2006). Het naleven van de Code is vanaf boekjaar 2004 (bij wet) verplicht voor beursgenoteerde vennootschappen (Monitoring Commissie Corporate Governance Code, 2005).

Om een zo compleet mogelijk beeld te geven van de manier waarop risicoverslaggeving terugkomt in de code Tabaksblat wordt eerst een overzicht gegeven van de oorspronkelijke bepalingen van de code, ingesteld in 2003. Vervolgens worden de aanbevelingen uit een drietal rapporten van de Monitoring Commissie Corporate Governance beschouwd, die zijn verschenen in 2005, 2006 en 2007. Deze commissie heeft de volgende taken: het bevorderen van de actualiteit en bruikbaarheid van de code Tabaksblat en toezicht houden op de toepassing en de naleving ervan (Monitoring Commissie Corporate Governance Code, 2005;

Monitoring Commissie Corporate Governance Code, 2006).

Relevante BP-bepalingen uit de code Tabaksblat die betrekking hebben op risicomanagement en het rapporteren van risico’s zijn II.1.3, II.1.4 en II.1.5. Dit zijn concrete bepalingen die voortkomen uit principe II.1, dat ingaat op de taak en werkwijze van het bestuur.

Allereerst BP-bepaling II.1.4:

“In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het verslagjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken.”

(Commissie Corporate Governance, 2003)

Hierbij zijn volgens Groenland, Daals en Von Eije (2006) vier onderdelen van belang. In de eerste plaats is dat de aanwezigheid van een adequaat intern risicobeheersings- en controlesysteem (BP-bepaling II.1.3). In de tweede plaats is dat het uitvoeren van een regelmatige risicoanalyse (BP-bepaling II.1.3a). In de derde plaats is dat de aanwezigheid van een systeem van monitoring en rapportage (BP-bepaling II.1.3d). Tot slot is dat een rapportage, inclusief duidelijke onderbouwing, in het jaarverslag van het bestuur over de werking van het interne risicobeheersings- en controlesysteem gedurende het boekjaar (BP- bepaling II.1.4).

Naast de bepalingen II.1.3 en II.1.4 verlangt BP-bepaling II.1.5 een rapportage over de gevoeligheid van de resultaten ten aanzien van externe omstandigheden en variabelen. BP- bepalingen II.1.3 en II.1.5 staan uitgewerkt in de bijlagen, paragraaf 9.1.

Het eerste jaar na het verschijnen van de code Tabaksblat behoorde BP-bepaling II.1.4 tot de categorie veelvuldig uitgelegde en niet nageleefde BP-bepalingen. Bovendien gaven beursgenoteerde bedrijven en beleggersorganisaties in die tijd bij de Monitoring Commissie Corporate Governance Code aan behoefte te hebben aan meer guidance ten aanzien van de verklaring van adequaatheid en effectiviteit van het interne risicobeheersings- en controlesysteem (Frijns en Poesiat, 2006). De commissie kwam hierop met aanbevelingen aangaande BP-bepaling II.1.4 in haar eerste rapport uit 2005.

Voornoemde aanbevelingen hielden in dat alleen ten aanzien van financiële verslaggevingsrisico’s een verklaring met betrekking tot de adequaatheid en naar behoren werking afgelegd diende te worden. Ten aanzien van andere risico’s diende een beschrijving gegeven te worden van het risicobeheersings- en controlesysteem. Bovendien moesten belangrijke tekortkomingen en geplande verbeteringen worden vermeld. Voor een compleet overzicht van de aanbevelingen ten aanzien van BP-bepaling II.1.4 wordt verwezen naar de bijlagen, paragraaf 9.2.

In vergelijking met het eerste jaar na verschijning van de code Tabaksblat verbeterde de toepassing van BP-bepaling II.1.4 aanzienlijk in het tweede jaar (Monitoring Commissie Corporate Governance, 2006). In deze wetenschap achtte de commissie het niet gewenst in het tweede rapport met nadere aanbevelingen te komen.

Ook in het derde rapport uit 2007 constateerde de Monitoring Commissie dat de naleving en toepassing op het gebeid van interne risicobeheersing licht was verbeterd. De commissie plaatste echter wel een aantal kanttekeningen bij de risicoverslaggeving in het jaarverslag. Er werden namelijk verbeteringen mogelijk geacht in de beschrijving van de strategische, operationele en financiële risico’s en de wet- en regelgevingsrisico’s. Als gevolg hiervan kwam de commissie met een aantal aanbevelingen voor de beschrijving van het risicoprofiel en het interne risicobeheersings- en controlesysteem (Monitoring Commissie Corporate Governance, 2007). Deze aanbevelingen staan deels beschreven in paragraaf 4.2 en volledig uitgewerkt in paragraaf 9.3 van de bijlagen.

3.4 De Cromme Code

In 2002 presenteerde de ‘Regierungskommission Deutscher Corporate Governance Kodex’ de

‘Deutscher Corporate Governance Kodex’. Deze zogenoemde Cromme Code is, evenals de code Tabaksblat, via een regel van ‘pas toe of leg uit’ in de wet verankerd (PwC, 2007). Het is een aanvulling op de in 1998 verschenen wet, namelijk de ‘Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)’. Om een zo compleet mogelijk beeld te schetsen van de corporate governance bepalingen die in Duitsland gelden ten aanzien van

risicoverslaggeving wordt eerst de KonTraG besproken. Vervolgens wordt een overzicht gegeven van bepalingen in de Cromme Code.

Op 1 mei 1998 is KonTraG in werking getreden met als doelstelling de controlesystemen van naamloze vennootschappen (NV’s) te verbeteren (www.agens.com). Dit diende bereikt te worden door verhoging van de transparantie en de efficiëntie van de controle. Hiermee werd tegemoetgekomen aan de wensen geformuleerd door ondernemingen, accountants en investeerders. Bovendien werd aansluiting gezocht bij recente internationale ontwikkelingen.

KonTraG bevat een aparte paragraaf ten aanzien van het inrichten van een systeem voor risicomanagement. Deze paragraaf stelt dat het bestuur van de onderneming een risicomanagementsysteem dient op te zetten waarmee risico’s, die het voortbestaan van de onderneming kunnen bedreigen, vroegtijdig kunnen worden gesignaleerd (KonTraG, 1998).

Een dergelijk systeem dient over de gehele organisatie toegepast te worden. Hierbij wordt echter wel gesteld dat de inrichting afhankelijk is van factoren als grootte, type en structuur van de onderneming. Als een van de doelen van risicomanagement wordt hierbij het vergroten van de transparantie genoemd, waarbij de kans op het zich voordoen van bepaalde risico’s centraal staat.

Als uitbreiding op KonTraG werd in 2002 de Cromme Code gepresenteerd. Het doel van deze code was het Duitse systeem voor corporate governance transparant en begrijpelijk te maken.

Bovendien was het erop gericht het vertrouwen van internationale en nationale investeerders, klanten, werknemers en andere belanghebbenden in het management en het toezicht daarop te verbeteren. De Cromme Code is in de eerste plaats gericht op beursgenoteerde ondernemingen, maar ook niet-beursgenoteerde bedrijven wordt aangeraden zich er aan te houden. Voor de naleving van de code is het ‘pas toe of leg uit’ principe van toepassing. Het doel hiervan is voor meer flexibiliteit en zelfregulatie te zorgen bij Duitse ondernemingen.

De Cromme Code besteedt niet expliciet aandacht aan verslaggeving met betrekking tot risicomanagement. Wel wordt in een aparte bepaling de rol van het bestuur ten opzichte van risicomanagement aangegeven. Het bestuur dient te zorgen voor adequaat risicomanagement:

“4.1.4 Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.”

(Regierungskommission Deutscher Corporate Governance Kodex, 2007)

Over verslaggeving ten aanzien van corporate governance in het algemeen wordt wel in een bepaling aandacht besteed. Het bestuur en de RvC moeten jaarlijks verslag uitbrengen over de corporate governance van de onderneming in het jaarverslag. Hierbij dient ook uitleg te worden gegeven bij mogelijke afwijkingen van aanbevelingen in de code:

“3.10 Vorstand und Aufsichtsrat sollen jährlich im Geschäftsbericht über die Corporate Governance des Unternehmens berichten (Corporate Governance Bericht). Hierzu gehört auch die Erläuterung eventueller Abweichungen von den Empfehlungen dieses Kodex.”

(Regierungskommission Deutscher Corporate Governance Kodex, 2007)

Als onderdeel van de verslaglegging over corporate governance dient het bestuur dus ook aandacht te besteden aan de bepaling ten aanzien van adequaat risicomanagement. Of in het geval van deze bepaling wordt afgeweken, een uitleg waarom dit gebeurt.

Sinds het verschijnen van de Cromme Code in 2002 is deze vier keer aangepast. De laatste wijziging dateert van 14 juni 2007. Geen van deze wijzigingen hebben echter substantiële gevolgen gehad voor de inhoud van de verschillende bepalingen die te maken hebben met de verantwoordelijkheid van het bestuur met betrekking tot risicomanagement of verslaggeving met betrekking tot corporate governance.

Uit het voorgaande blijkt dat de Cromme Code en de toelichting hierbij weinig aandacht besteedt aan risicomanagement en expliciet helemaal geen aandacht besteed aan verslaggeving hierover. Bovendien is er in Duitsland geen vergelijkbare commissie als in Nederland actief geweest om de werking van de code te toetsen of aanbevelingen te doen voor een betere naleving.

3.5 De Sarbanes-Oxley Act

De Securities and Exchange Commission (SEC) en professionele accounting organisaties, waaronder COSO, hebben ERM nauwelijks betrokken in de regelgeving van SOX.

Internationaal bestond er echter wel behoefte aan een “top-down”, risicogebaseerde benadering voor het vaststellen van de vereiste beheersmaatregelen om de betrouwbaarheid van financiële informatie vast te stellen. Uit onderzoek blijkt dan ook dat naleving van SOX bij veel ondernemingen niet plaats vindt op basis van risico’s (Thomson, 2007).

De Sarbanes-Oxley Act van 2002 is op 30 juli 2002 tot wet verheven. Het wordt ook wel de

‘Public Company Accounting Reform and Corporate Responsibility Act of 2002’ genoemd.

Een doelstelling is dan ook het beschermen van investeerders door het verbeteren van de nauwkeurigheid en betrouwbaarheid van verslaggeving door ondernemingen (SOX, 2002).

De richtlijnen van SOX zijn van toepassing op ondernemingen die toestemming hebben hun aandelen openbaar te verkopen, management en accountants. De wet bevat 11 titels, of onderdelen, die variëren van aanvullende verantwoordelijkheden voor het bestuur tot mogelijke straffen. Bovendien geeft het aan wat verwacht wordt van de SEC ten aanzien van de invoering van richtlijnen voor het voldoen aan de wet.

Het onderdeel van SOX dat richtlijnen geeft met betrekking tot het interne beheersingssysteem en de effectiviteit ervan is sectie 404 (SOX 404). Het bestuur moet onder andere de effectieve werking van het interne beheersingssysteem op basis van risico’s evalueren (Thomson, 2007). Hiervan dient het management een schriftelijke verklaring te geven in het jaarverslag. Deze zogenoemde ‘in-control’ verklaring heeft betrekking op één tijdstip, namelijk ultimo boekjaar. Voor deze schriftelijke verklaring moet voldoende bewijs worden overlegd. Verder verlangt deze sectie dat externe accountants hun eigen mening