Risicoprofiel in jaarverslagen Onderzoek naar de beschrijving van het risicoprofiel opgenomen in jaarverslagen van beursgenoteerde ondernemingen

Risicoprofiel in jaarverslagen

Onderzoek naar de beschrijving van het risicoprofiel opgenomen in

jaarverslagen van beursgenoteerde ondernemingen

Master Thesis Accountancy

Leonie Boerkamp

Rijksuniversiteit Groningen

Mei 2010

Risicoprofiel in jaarverslagen

Onderzoek naar de beschrijving van het risicoprofiel opgenomen in

jaarverslagen van beursgenoteerde ondernemingen

Master Thesis Accountancy Rijksuniversiteit Groningen Faculteit Economie en Bedrijfskunde Afstudeerbegeleider RuG: Prof. dr. D.W. Feenstra

Medebeoordelaar RuG: Dr. E.P. Jansen Begeleider KPMG: Drs. J.H.J. Seeleman RA

Leonie Boerkamp Studentnummer: 1682171

Mei 2010 Amstelveen

De auteur is verantwoordelijk voor de inhoud van het rapport. Het auteursrecht van het rapport berust bij de auteur.

Voorwoord

Voor u ligt mijn afstudeerscriptie. Deze afstudeerscriptie vormt de afsluiting van mijn masteropleiding Accountancy aan de Rijksuniversiteit Groningen.

In de periode februari – mei 2010 heb ik mijn scriptie geschreven. Voorafgaand aan deze tijd had ik al nagedacht over een mogelijk onderwerp voor mijn scriptie. Risico’s en risicomanagement is een onderwerp dat mij erg aanspreekt, waar de onderwerpskeuze van mijn scriptie een logisch vervolg op is. Voordat de scriptieperiode begon had ik alle noodzakelijke handelingen met de universiteit rond om te kunnen starten en heb ik een eerste gesprek gehad met mijn scriptiebegeleider vanuit de universiteit. In februari kon ik daardoor gelijk beginnen met het onderzoek. Het onderzoek is snel en goed verlopen en het rapport dat voor u ligt is hiervan het resultaat.

Vanaf deze plaats wil ik graag Prof. dr. D.W. Feenstra bedanken voor zijn goede begeleiding en adviezen. Hij heeft mij begeleid vanuit de universiteit. Verder wil ik Dr. E.P. Jansen bedanken voor het optreden als medebeoordelaar van mijn scriptie. Ik wil tevens graag van deze gelegenheid gebruik maken om Drs. J.H.J. Seeleman RA te bedanken voor zijn commentaar en adviezen. Hij heeft mij begeleid vanuit KPMG. Verder wil ik KPMG Accountants N.V. bedanken dat ze mij de kans heeft gegeven om op het kantoor in Amstelveen mijn scriptie te schrijven. Ook heb ik hierdoor de kans gekregen kennis te maken met de organisatie en haar medewerkers.

Verder wil ik ieder ander bedanken die mij heeft geholpen bij het volbrengen van mijn scriptie.

Leonie Boerkamp Mei 2010

Inhoudsopgave

Voorwoord 3

Samenvatting 6

Hoofdstuk 1 Inleiding 7

1.1 Introductie en aanleiding 7

1.2 Doel van het onderzoek 9

1.3 Centrale vraagstelling 9 1.4 Relevantie 10 1.5 Onderzoeksmethode en populatie 10 1.6 Randvoorwaarden 12 1.7 Verwachting 13 1.8 Opbouw rapport 13 Hoofdstuk 2 Literatuur 15 2.1 Risico’s en risicomanagement 15 2.2 Risicoprofiel 17

2.3 Nederlandse Corporate Governance Code 17

2.4 RJ en Titel 9 boek 2 BW 19

2.5 IFRS 20

2.6 Transparantierichtlijn 20

2.7 Samenvatting paragraaf 2.3 t/m 2.6 22

2.8 Relevante bevindingen eerdere onderzoeken 22

2.9 Nalevingsrapport 2009 Monitoring Commissie Corporate

Governance Code 24 Hoofdstuk 3 Toetsingscriteria 25 3.1 Toetsingsvragen 25 3.2 Verantwoording toetsingsvragen 25 Hoofdstuk 4 Onderzoekspopulatie 28 Hoofdstuk 5 Onderzoeksverantwoording 29 5.1 Verantwoording onderzoekspopulatie 29

5.2 Verantwoording van toepassing zijnde wet- en regelgeving,

richtlijnen en Code 29

5.3 Verantwoording risico’s 30

5.4 Verantwoording beantwoording toetsingsvragen 30

Hoofdstuk 6 Resultaten en bevindingen 32

6.1 Algemeen 32

6.2 Hoeveelheid risico’s 33

6.3 Risicocategorieën 34

6.4 Aantal risicocategorieën 37

6.5 Ondernemingsspecifieke risicobeschrijving 38

6.6 Duidelijke weergave belangrijkste risico’s 39

6.8 Omvang risico’s (kwalitatief) 42

6.9 Omvang risico’s (kwantitatief) 44

6.10 Risk appetite 46

6.11 Afzonderlijke risicoparagraaf/hoofdstuk 47

6.12 Kwantiteit risicoprofiel 48

6.13 Invloed Transparantierichtlijn (en Corporate Governance Code) 50

Hoofdstuk 7 Conclusies, beperkingen en aanbevelingen 52

7.1 Introductie voorafgaand aan conclusies 52

7.2 Conclusies per onderzoekscriterium 53

7.3 Conclusies in vergelijking met de verwachtingen 55

7.4 Algehele conclusie 57

7.5 Beperkingen onderzoek 58

7.6 Aanbevelingen voor vervolgonderzoek 59

Literatuurlijst 60 Bijlagen 1 COSO-framework 63 2 Transparantierichtlijn 65 3 IFRS 67 4 Toetsingscriteria 68 5 Onderzoeksresultaten 69

Samenvatting

Risicomanagement staat meer dan ooit in de belangstelling en er blijkt een groeiende interesse in te zijn. Enkele boekhoudschandalen begin deze eeuw en de ondergang van grote beursgenoteerde bedrijven (te denken valt aan Enron en Parmalat) hebben wereldwijd geleid tot diverse richtlijnen en wet- en regelgeving. Een van de doelen hiervan is om de transparantie in de verslaggeving van bedrijven richting hun aandeelhouders en andere belanghebbenden te vergroten.

Op dit moment is er sprake van een groeiende behoefte aan (meer) transparantie over ondernemingsrisico’s, terwijl ook het rapporteren over risico’s de laatste jaren meer aandacht heeft gekregen. Een uitgebreidere rapportage over risico’s stelt aandeelhouders in staat zich een beter beeld te vormen van de risicopositie van de onderneming. Daarnaast heeft risico-informatie ook voordelen voor de onderneming zelf, zoals het verlagen van de kosten van het aantrekken van kapitaal.

Dit onderzoek richt zich op het risicoprofiel in jaarverslagen van beursgenoteerde ondernemingen. Hier is nog bijna geen onderzoek naar gedaan, waardoor dit onderzoek bijdraagt aan de bestaande kennis en literatuur.

Door de toenemende behoefte uit de markt naar meer transparantie over ondernemingsrisico’s, is de verwachting dat het risicoprofiel in de jaarverslagen door de jaren heen uitgebreider is geworden. De toetsing van deze verwachting staat in mijn onderzoek centraal. Het doel van mijn onderzoek is dan ook te onderzoeken in hoeverre er sprake is van een positieve verandering in de beschrijving van het risicoprofiel, opgenomen in de risicoparagraaf van het jaarverslag en of er sprake is van duidelijke verschillen tussen ondernemingen onderling met betrekking tot de beschrijving van het risicoprofiel.

Dit onderzoek heeft betrekking op ondernemingen die een notering hebben aan de AEX. De jaren die meegenomen zijn in het onderzoek, zijn de jaren 2007, 2008 en 2009. Van deze ondernemingen is het risicoprofiel, opgenomen in het jaarverslag, beoordeeld. De resultaten zijn verwerkt en hieruit zijn de volgende conclusies getrokken.

Uit mijn onderzoek blijkt dat in het algemeen kan worden gesteld dat, gekeken naar de jaren 2007, 2008 en 2009, er weinig tot geen (positieve) verandering heeft plaatsgevonden met betrekking tot het risicoprofiel opgenomen in het jaarverslag. De veranderingen die wel hebben plaatsgevonden zijn beperkt. Ook kan geconcludeerd worden dat ondernemingen onderling, voor het merendeel van de onderdelen van het risicoprofiel waarop getoetst is, niet (veel) verschillen.

De weergave van het risicoprofiel verschilt daarentegen behoorlijk per onderneming en dat geldt voor zowel 2007, 2008 als 2009. Dit is waarschijnlijk het gevolg van het ontbreken van wet- en regelgeving en/of voorschriften betreffende de beschrijving van het risicoprofiel, hetgeen resulteert in een grote vrijheid voor ondernemingen. Ook de verschillen tussen ondernemingen, met betrekking tot de onderdelen waarop getoetst is, kunnen hier een gevolg van zijn.

Hoofdstuk 1 Inleiding

‘Een goed begin is het halve werk’.

Dit hoofdstuk draagt zorg voor een goed begrip van het gedane onderzoek en vormt de inleiding van dit rapport. Na het lezen van dit hoofdstuk is de lezer in staat zich een goed beeld te vormen waarom dit onderzoek opgezet is, wat onderzocht is en hoe het onderzoek is gedaan. In de eerste paragraaf van dit hoofdstuk wordt een introductie en de aanleiding voor het onderzoek gegeven. In paragraaf 1.2 wordt het doel van het onderzoek beschreven en paragraaf 1.3 bevat de centrale vraagstelling van het onderzoek. De relevantie van het onderzoek wordt weergegeven in paragraaf 1.4. De onderzoeksmethode en onderzoekspopulatie wordt beschreven in paragraaf 1.5, gevolgd door de randvoorwaarden in paragraaf 1.6. Vervolgens wordt in paragraaf 1.7 de verwachting van het onderzoek gegeven. De laatste paragraaf van dit hoofdstuk (1.8) staat stil bij de opbouw van dit rapport.

1.1 Introductie en aanleiding Risicomanagement…

Risicomanagement staat meer dan ooit in de belangstelling en er blijkt een groeiende interesse in te zijn.

Enkele grote boekhoudschandalen begin deze eeuw (te denken valt aan Ahold, Enron en Parmalat) hebben ervoor gezorgd dat het bewustzijn ten aanzien van het belang van adequaat risicomanagement sterk is toegenomen. De ondergang van dergelijke beursgenoteerde bedrijven heeft wereldwijd geleid tot wet- en regelgeving, waarvan zowel een preventieve als restrictieve werking uitgaat. In de Verenigde Staten heeft dit in 2002 geleid tot de invoering van de Sarbanes-Oxley Act. In Nederland heeft dit kort daarna geleid tot de invoering van de Nederlandse Corporate Governance Code, ook wel de Code Tabaksblat genoemd of de Code, die later is aangepast door de commissie Frijns. Een van de doelen van dergelijke wetgeving respectievelijk richtlijn, is om de transparantie in de verslaggeving van bedrijven richting aandeelhouders en andere belanghebbenden te vergroten.

Als gevolg van de financiële crisis, waarvan sinds enige tijd sprake is, is het belang van risicomanagement en op welke wijze hieraan invulling dient te worden gegeven, opnieuw een actueel onderwerp geworden. ‘Risicomanagement staat of valt bij een helder en gemeenschappelijk beeld van de relevante risico’s voor de organisatie, hun karakteristieken en hun prioriteiten’ (Paape et al., 2009).

Op dit moment is er een trend dat belanghebbenden een groeiende behoefte hebben aan (meer) transparantie over ondernemingsrisico’s en de beheersing daarvan (Linsley en Lawrence, 2007; de Groot, 2008; PwC, 2008; Paape et al., 2009). ‘Rapporteren over risico’s heeft de laatste jaren aandacht gekregen vanuit de financiële verslaggeving, wet- en regelgeving en internationaal onderzoek’ (Dobler, 2008). Het is niet langer uitsluitend voor de bank- en verzekeringssector. ‘Veranderende economische omgevingen en wet- en regelgeving, complexere bedrijfsstructuren en risicomanagement, toegenomen afhankelijkheid van financiële instrumenten en internationale transacties en de huidige economische crisis, hebben bijgedragen aan

een stijging van risicoverslaggeving in niet-financiële sectoren’ (Dobler, 2008). Daarbij komt dat gebruikers van jaarverslagen van mening zijn dat een risicoparagraaf die specifiek, beschrijvend en bij voorkeur kwantitatief is, toegevoegde waarde heeft (KPMG, 2009a).

Stakeholders willen meer transparantie over ondernemingsrisico’s en de beheersing daarvan. Volgens Paape et al. (2009) suggereert transparantie een vollediger inzicht en biedt daarmee de illusie van zekerheid. Daarbij wordt opgemerkt dat de kwaliteit van informatie en de relevantie ervan sterk bepalend is voor de daaraan te ontlenen zekerheid. Volgens Paape et al. is gezien de onzekerheden en de menselijke beperkingen, de waarde van transparantie vaak beperkt en is relevantie van informatie veel belangrijker dan transparantie.

Een uitgebreider risicoprofiel stelt aandeelhouders in staat zich een beter beeld te vormen van de risicopositie van een onderneming en hun eigen risicoprofiel beter te managen (Beretta en Bozzolan, 2004; Linsley en Lawrence, 2007). Wel wordt door Linsley en Lawrence opgemerkt dat extra risico-informatie niet per definitie leidt tot versterkte risicocommunicatie. Dit is alleen het geval als de leesbaarheid van de over risico’s opgenomen informatie ook toeneemt. In een ander onderzoek van Linsley (Linsley en Shrives, 2006) dat betrekking had op bedrijven in Groot-Brittannië, wordt geconcludeerd dat stakeholders niet in staat worden gesteld tot het adequaat kunnen beoordelen van de risicopositie van een onderneming. Op dit terrein is dus verbetering nodig.

Informatie over risico’s kan investeerders helpen bij het schatten van de marktwaarde van de onderneming en de juistheid van voorspellingen (Beretta en Bozzolan, 2004; Abraham en Cox, 2007). Ook kan hiermee de duurzaamheid van de huidige waarde-creërende strategieën worden bepaald (Beretta en Bozzolan, 2004). Risico-informatie wordt gezien als fundamenteel voor het nemen van investeringsbeslissingen (Abraham en Cox, 2007; Paape, 2008).

Ook voor ondernemingen heeft risico-informatie voordelen, zoals het kunnen managen van veranderingen en het verlagen van de kosten van het aantrekken van kapitaal (Abraham en Cox, 2007; Dobler, 2008). Een uitgebreidere rapportage over risico’s en beheersing zorgt ook voor een meer liquide markt, betere prestaties op de beurs en een lagere gevoeligheid van de omzet (Paape, 2008).

Uit bovenstaande blijkt onder andere hoe belangrijk informatie kan zijn. Hierop inspelende is de Europese Transparantierichtlijn (Richtlijn 2004/109/EG) aangenomen. Per 1 januari 2009 is de Transparantierichtlijn in de Nederlandse wet- en regelgeving geïmplementeerd. Het doel van deze richtlijn is het bevorderen van de transparantie en consistentie in de verslaggeving van beursfondsen. Door deze richtlijn is de risicoparagraaf en daarmee het risicoprofiel van ondernemingen nog meer in de schijnwerpers komen te staan.

In hoeverre er sprake is van een positieve verandering in de beschrijving van het risicoprofiel in het jaarverslag, wordt uiteengezet in dit rapport.

1.2 Doel van het onderzoek

In de vorige paragraaf is beschreven dat belanghebbenden veel waarde hechten aan een risicoparagraaf en dat er een groeiende behoefte is aan meer transparantie over ondernemingsrisico’s. Belangenbehartigers van een bepaalde groep stakeholders; de VEB en Eumedion*, hebben transparantie over risico’s zelfs tot speerpunt voor 2009 verheven (VEB Speerpuntenbrief 2009; Eumedion Beleidsplan 2009). Het speerpunt voor 2010 van Eumedion heeft betrekking op de beschrijving van de ondernemingsstrategie en daaraan gerelateerd de ‘risk appetite’ (de risicobereidheid van de ondernemingsleiding; ook wel risicoacceptatiegraad genoemd). Verder wordt gelet op onder andere de beschrijving van het risicoprofiel van de onderneming (Eumedion Speerpuntenbrief 2010). In mijn onderzoek wordt onderzocht of ondernemingen gehoor geven aan de groeiende behoefte aan transparantie over risico’s. Ook wordt onderzocht of er een duidelijk verschil bestaat tussen ondernemingen onderling, met betrekking tot het opgenomen risicoprofiel.

Het doel van het onderzoek:

Het doel van dit onderzoek is om te onderzoeken in hoeverre sprake is van een positieve verandering in de beschrijving van het risicoprofiel, opgenomen in de risicoparagraaf van het jaarverslag en of sprake is van duidelijke verschillen tussen ondernemingen onderling met betrekking tot de beschrijving van het risicoprofiel.

1.3 Centrale vraagstelling

De centrale vraagstelling van het onderzoek is als volgt:

In hoeverre is sprake van een positieve verandering in de beschrijving van het risicoprofiel, opgenomen in de risicoparagraaf van het jaarverslag en in hoeverre is sprake van duidelijke verschillen tussen ondernemingen onderling?

De bijbehorende deelvragen zijn:

1. Wat wordt verstaan onder risico’s en risicomanagement?

2. Wat wordt bedoeld met een risicoprofiel en een risicoparagraaf?

3. Welke wet- en regelgeving is relevant met betrekking tot het risicoprofiel? 4. Wat zijn relevante bevindingen van eerdere onderzoeken met betrekking tot

het risicoprofiel?

5. In hoeverre is er sprake van een positieve verandering in de beschrijving van het risicoprofiel, opgenomen in het jaarverslag, gekeken naar de jaren 2007, 2008 en 2009?

6. In hoeverre is sprake van duidelijke verschillen tussen ondernemingen, betreffende het opgenomen risicoprofiel, in een jaar?

* Eumedion behartigt de belangen van de bij haar aangesloten institutionele beleggers op het terrein van corporate governance.

De eerste deelvraag wordt beantwoord in paragraaf 2.1, de tweede deelvraag in paragraaf 2.2, de derde deelvraag in de paragrafen 2.3 tot en met 2.7 en de vierde deelvraag in de paragrafen 2.8 en 2.9. In hoofdstuk 6 worden de onderzoeksresultaten uitgebreid behandeld, die een basis vormen voor de beantwoording van deelvraag 5 en 6. In paragraaf 7.4 worden de deelvragen 5 en 6 beantwoord (als zijnde een samenvatting van paragraaf 6.2 tot en met 6.12) en wordt een antwoord gegeven op de centrale vraagstelling (voor het beantwoorden hiervan worden ook de resultaten en bevindingen uit hoofdstuk 6 gebruikt).

1.4 Relevantie

Zoals eerder is vermeld, wordt transparantie over ondernemingsrisico’s als belangrijk ervaren. Daardoor is het voor ondernemingen erg belangrijk hieraan te voldoen. Blijft de onderneming achter in het beschrijven van een dergelijk risicoprofiel, dan zal dit waarschijnlijk haar concurrentiepositie, vooral in de huidige economische tijd, verslechteren. Stakeholders hebben belang bij deze informatie en rekenen een onderneming hier hoogstwaarschijnlijk op af als zij hier niets mee doet. Daarbij komt dat risico-informatie voor ondernemingen zelf ook voordelen heeft (enkele voorbeelden hiervan zijn genoemd in paragraaf 1.1).

Omdat een goede risicoparagraaf (en daarmee een goed risicoprofiel) erg belangrijk wordt gevonden door stakeholders en er een nieuwe richtlijn (Transparantierichtlijn) is gekomen die dit nog eens benadrukt, is onderzoek op dit gebied zeker relevant. Uit de speerpunten van de VEB en Eumedion voor 2009 (en 2010 van Eumedion) blijkt dat aandeelhouders nog lang niet tevreden zijn met het resultaat tot nu toe. Uit dit onderzoek zal blijken of ondernemingen inderdaad wat doen met de toenemende behoefte aan transparantie over ondernemingsrisico’s, of ze gehoor geven aan de oproep van belanghebbenden. Mocht blijken dat ondernemingen hier geen of weinig gehoor aan geven, dan kunnen belanghebbenden overwegen verdere stappen te ondernemen.

Dit onderzoek heeft ook zeker waarde voor de ondernemingen zelf. Het is belangrijk voor het management van ondernemingen om te weten hoe transparant andere ondernemingen zijn in de verslaggeving over hun ondernemingsrisico’s. In negatieve zin afwijken van de anderen kan de concurrentiepositie verslechteren.

Naar risicomanagement en risicoparagrafen in jaarverslagen is al vaak onderzoek gedaan. Echter, onderzoeken naar specifiek het risicoprofiel in jaarverslagen zijn bijna niet verricht. Daardoor zal dit onderzoek een relevante wetenschappelijke bijdrage leveren. Omdat het jaar 2009 wordt meegenomen, wordt ook gewerkt met zeer recent beschikbare data, waarmee de relevantie wordt vergroot.

1.5 Onderzoeksmethode en populatie

In de eerste twee onderstaande alinea’s wordt een verklaring gegeven voor de gekozen ondernemingen en gekozen jaren in dit onderzoek. Daarna volgt de methode van onderzoek.

Om antwoord te kunnen geven op de centrale vraagstelling is gekozen voor ondernemingen die behoren tot de AEX in de jaren 2007, 2008 en 2009. Voor AEX-ondernemingen is gekozen, omdat hiervan de jaarverslagen publiekelijk beschikbaar zijn. Ook zijn deze relatief snel na het einde van het boekjaar beschikbaar. Omdat dit grote ondernemingen zijn waarin veel geïnvesteerd wordt door beleggers, mag verwacht worden dat ze rekening houden met de wensen van aandeelhouders en daarmee het opnemen van een risicoprofiel. Voor de jaren 2007, 2008 en 2009 is gekozen, omdat dit de meest recente boekjaren zijn waar op het moment van onderzoek jaarverslagen van beschikbaar zijn. Voor meerdere jaren is gekozen om een goede vergelijking door de tijd te kunnen maken. Verder is het belangrijk op te merken dat met betrekking tot het boekjaar 2007 de Transparantierichtlijn nog niet van toepassing was en met betrekking tot de boekjaren 2008 en 2009 wel. Ook hierom is boekjaar 2007 meegenomen.

AEX-ondernemingen worden, naast dat jaren met elkaar vergeleken worden, ook onderling met elkaar vergeleken. Er is bewust voor gekozen geen groepen ondernemingen, bijvoorbeeld naar sector, met elkaar te vergelijken. Dit omdat het aantal ondernemingen in de AEX te klein is en daardoor de groepen te klein worden om zinvolle conclusies te kunnen trekken.

Het onderzoek start met de bestudering van literatuur. Dit om helder te krijgen welke kennis al aanwezig is en wat relevante bevindingen zijn van eerdere onderzoeken. Deze informatie wordt gebruikt voor het opstellen van de criteria waarop het risicoprofiel getoetst wordt (zie hieronder). Na dit literatuuronderzoek wordt gestart met het ‘praktijkgerichte’ onderzoek.

Voor het ‘praktijkgerichte’ onderzoek wordt als eerste bepaald wat de AEX samenstelling was per 31 december in de jaren 2007, 2008 en 2009. Daarna wordt voor elke onderneming bepaald of de Transparantierichtlijn betrekking heeft op haar (voor de voorwaarden hiervoor wordt verwezen naar paragraaf 2.6). Dezelfde voorwaarden om dit te bepalen worden gebruikt voor het jaar 2007 (toen was deze richtlijn nog niet van toepassing). Alle ondernemingen uit de AEX worden meegenomen in het onderzoek, ongeacht of de Transparantierichtlijn betrekking heeft op deze of niet. De volgende stap is om te bekijken welke verslaggevingstandaarden gehanteerd zijn. Alleen ondernemingen die hun jaarrekening opmaken onder toepassing van International Financial Reporting Standards (IFRS) worden meegenomen in het onderzoek (zie voor meer informatie onderstaande paragraaf). Op basis hiervan is het mogelijk dat sommige ondernemingen weggelaten worden uit het onderzoek. Van de onderzoekspopulatie worden vervolgens de risicoprofielen

geanalyseerd. De te analyseren risicoprofielen worden uit de

risicoparagrafen/risicohoofdstukken van de jaarverslagen van de ondernemingen gehaald. Als geen sprake is van een risicoprofiel in een jaarverslag, wordt hiervan melding gemaakt. Met betrekking tot de opgenomen risico’s, wordt alleen gekeken naar het jaarverslag en niet naar eventuele vermeldingen hierover op de website van de onderneming. Ook risico’s genoemd in de jaarrekening worden niet meegenomen. Voor het beoordelen van het risicoprofiel wordt gekeken naar het volgende:

- hoeveelheid risicocategorieën; - de opgenomen risicocategorieën; - hoeveelheid opgenomen risico’s;

- aanwezigheid ondernemingsspecifieke risicobeschrijving; - aanwezigheid duidelijk overzicht van de belangrijkste risico’s; - opname van de kans dat risico’s zich voordoen;

- vermelding van de omvang van de risico’s: in termen van impact op resultaat en in termen van impact op eigen vermogen, zowel kwalitatief als kwantitatief;

- vermelding risk appetite, zowel kwalitatief als kwantitatief;

- waar bovenstaande informatie zich bevindt in het jaarverslag (in (sub)risicoparagraaf/risicohoofdstuk of niet);

- de kwantiteit van het totale risicoprofiel (aantal woorden).

Bijlage 4 Toetsingscriteria bevat de vragen waarop getoetst is en vormt de gedetailleerde uitwerking van het bovenstaande. Bovenstaande criteria vloeien voort uit de literatuur, voor meer informatie hieromtrent wordt verwezen naar paragraaf 3.2. De beoordeling vindt plaats voor elke onderneming in het jaar 2007, 2008 en 2009 en wordt gedocumenteerd. Voor bovenstaande punten wordt een toetsingsmodel ontwikkeld waarmee de bevindingen geregistreerd kunnen worden. Hierop worden aantallen, namen, ja/nee/gedeeltelijk (met betrekking tot aanwezigheid), locatie in jaarverslag en aantal woorden geregistreerd. Op basis van dit toetsingsmodel worden de resultaten verder uitgewerkt en weergegeven in tabellen en staafdiagrammen (zie hoofdstuk 6). Met de resultaten van het onderzoek wordt getracht een antwoord te geven op de deelvragen en de centrale vraagstelling van dit onderzoek. Ten slotte volgt de conclusie van het onderzoek, worden de beperkingen van het onderzoek gegeven en worden aanbevelingen gedaan voor mogelijk vervolgonderzoek.

Zoals hierboven is te lezen wordt mijn onderzoek uitgevoerd met behulp van jaarrapporten. Omdat het risicoprofiel (over het algemeen) wordt opgenomen in het jaarverslag (onderdeel van het jaarrapport), zijn jaarrapporten de informatiebronnen voor dit onderzoek. Omdat het onderzoek betrekking heeft op risicoprofielen in jaarverslagen, is onderzoek aan de hand van jaarrapporten de enige optie.

1.6 Randvoorwaarden

Mijn onderzoek is gericht op het risicoprofiel opgenomen in jaarverslagen van ondernemingen. Het richt zich daardoor niet op de beheersing van risico’s. Interne risicobeheersings- en controlesystemen worden geheel uit het onderzoek gelaten. Voor dit onderzoek worden jaarrapporten gebruikt die zijn opgesteld volgens International Financial Reporting Standards (IFRS). Jaarrapporten die zijn opgesteld volgens Amerikaanse wet- en regelgeving (US Gaap) worden niet meegenomen, omdat de Amerikaanse wet- en regelgeving duidelijk verdergaande eisen stelt met betrekking tot het jaarverslag dan IFRS. Voor deze weglating is gekozen om zo een betere vergelijking te kunnen maken.

Voor alle ondernemingen en alle jaren wordt het Engelstalige jaarrapport gebruikt, omdat sommige ondernemingen alleen in het Engels jaarrapporten uitbrengen. Gezien het feit dat in de Nederlandse taal, voor eenzelfde uitleg, meestal meer woorden worden gebruikt dan in het Engels, is het voor een eerlijke vergelijking noodzakelijk jaarrapporten in dezelfde taal te gebruiken.

Omdat dit onderzoek gericht is op het risicoprofiel in jaarverslagen wordt niets gedaan met IFRS 7. IFRS 7 concentreert zich op financiële instrumenten en gaat over de financiële risico’s met betrekking tot de jaarrekening. Hieronder vallen het kredietrisico, marktrisico (waaronder het valutarisico, interestrisico en overige prijsrisico’s), liquiditeitsrisico’s en overige risico’s (Kevelam en ter Hoeven, 2008). Omdat IFRS 7 betrekking heeft op de financiële risico’s met betrekking tot de jaarrekening en niet met betrekking tot het jaarverslag, worden deze risico’s niet meegenomen. Voor meer algemene informatie over IFRS wordt verwezen naar paragraaf 2.5.

Bovenstaande voorwaarden zijn noodzakelijk om het onderzoek helder en haalbaar te houden. Dit onderzoek moet in een bepaald aantal uren worden gedaan en kan daardoor niet groter van opzet zijn, om de kwaliteit te kunnen blijven waarborgen.

1.7 Verwachting

Omdat er een groeiende behoefte is aan meer transparantie over ondernemingsrisico’s en dit onderwerp actueel is, is mijn verwachting dat het risicoprofiel in de jaarverslagen door de jaren heen uitgebreider is geworden. Als de jaren 2007, 2008 en 2009 worden vergeleken, wordt een positieve verandering verwacht in de beschrijving van het risicoprofiel opgenomen in het jaarverslag.

De informatie over risico’s in de jaarverslagen is sinds 2004 duidelijk in omvang en kwaliteit toegenomen (Mertens en Blij, 2008). Deze onderzoekers hebben een onderzoek gedaan naar de risicoparagrafen in de jaarverslagen 2007 van beursfondsen. Ook geven zij aan dat er nog veel ruimte is voor verbetering. Bovenstaande verwachting strookt met het geconcludeerde van Mertens en Blij, ervan uitgaande dat de genoemde trend zich voortzet. Ook verwacht KPMG (2009a), gekeken naar de huidige economische ontwikkelingen, een ‘update’ van de beschreven risico’s en onzekerheden in het jaarrapport. Verderop in dit rapport wordt uitgebreid stilgestaan bij onderzoek op het gebied van het risicoprofiel in jaarverslagen (paragraaf 2.8 en 2.9).

Verder wordt verwacht dat er duidelijke verschillen zijn betreffende het opgenomen risicoprofiel in jaarverslagen tussen AEX-ondernemingen onderling. Dit wordt verwacht, omdat er geen duidelijke voorschriften bestaan waaraan een risicoprofiel moet voldoen. Tevens komt uit onderzoek van Mertens en Blij (2008) naar voren dat er in de verslaggeving omtrent risicomanagement sprake is van grote diversiteit in de beschrijving van risico’s. Ook komt uit onderzoek van Groot (2008) naar voren dat de kwaliteit van het risicoprofiel heel verschillend is en dat er geen uniformiteit is te onderkennen. Dit versterkt mijn verwachting.

1.8 Opbouw rapport

In het volgende hoofdstuk worden diverse begrippen uitgelegd, richtlijnen en wet- en regelgeving behandeld en wordt ingegaan op de Code. Ook wordt stil gestaan bij relevante bevindingen uit eerdere onderzoeken, inclusief het Nalavingsrapport 2009 van de Monitoring Commissie Corporate Governance Code. Hoofdstuk 3 gaat over de

toetsingscriteria en behandelt de toetsingsvragen en de verantwoording daarover. Hoofdstuk 4 behandelt de onderzoekspopulatie. De onderzoeksverantwoording wordt gegeven in hoofdstuk 5 en heeft betrekking op de onderzoekspopulatie, de van toepassing zijnde wet- en regelgeving, richtlijnen en de Code, de verantwoording van risico’s en de verantwoording met betrekking tot de beantwoording van de toetsingsvragen. In hoofdstuk 6 worden de resultaten en bevindingen van het onderzoek weergegeven en dit gebeurt per onderdeel. De laatste paragraaf van hoofdstuk 6 gaat in op de invloed van de Transparantierichtlijn en de Code met betrekking tot de onderzoeksresultaten. De conclusies worden gegeven in het laatste hoofdstuk (hoofdstuk 7). Tevens worden in dit hoofdstuk de beperkingen van het onderzoek gegeven en aanbevelingen gedaan voor vervolgonderzoek. Na hoofdstuk 7 volgen de literatuurlijst en de bijlagen.

Hoofdstuk 2 Literatuur

Dit onderzoek gaat over het risicoprofiel in jaarverslagen. Alvorens wordt overgegaan op het uitgevoerde onderzoek, is er eerst een aantal begrippen dat uitleg behoeft. Ook wordt in dit hoofdstuk onder andere stilgestaan bij relevante wet- en regelgeving met betrekking tot het onderzoeksonderwerp en relevante bevindingen van eerdere onderzoeken. Paragraaf 2.1 gaat over risico’s en risicomanagement en geeft een antwoord op de eerste deelvraag (Wat wordt verstaan onder risico’s en risicomanagement?). Paragraaf 2.2 behandelt het risicoprofiel en geeft een antwoord op deelvraag 2 (Wat wordt bedoeld met een risicoprofiel en een risicoparagraaf?). De Nederlandse Corporate Governance Code wordt behandeld in paragraaf 2.3, de RJ en Titel 9 boek 2 BW worden behandeld in paragraaf 2.4, paragraaf 2.5 gaat over IFRS en de Transparantierichtlijn wordt toegelicht in paragraaf 2.6. Laatstgenoemde vier paragrafen beantwoorden de derde deelvraag (Welke wet- en regelgeving is relevant met betrekking tot het risicoprofiel?). Paragraaf 2.7 geeft een samenvattende tabel met betrekking tot het behandelde in paragraaf 2.3 tot en met 2.6. Relevante bevindingen van eerdere onderzoeken worden weergegeven in paragraaf 2.8 en de laatste paragraaf van dit hoofdstuk (2.9) gaat over het Nalevingsrapport 2009 van de Monitoring Commissie Corporate Governance Code. Deze laatste twee paragrafen geven een antwoord op deelvraag 4 (Wat zijn relevante bevindingen van eerdere onderzoeken met betrekking tot het risicoprofiel?).

2.1 Risico’s en risicomanagement

Wat zijn risico’s? Het Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2004) geeft als definitie van een risico; de kans op het optreden van een gebeurtenis of omstandigheid die er toe kan leiden dat een doelstelling niet gehaald wordt.

Risicomanagement is een veel gehoord begrip, het lijkt wel een modewoord. Maar wat is nou precies risicomanagement? Hieronder volgt een uitleg.

In het Enterprise Risk Management – Integrated Framework (COSO, 2004) staat het volgende:

‘De achterliggende gedachte bij risicomanagement is dat iedere onderneming bestaat om waarde te creëren voor haar aandeelhouders. Alle ondernemingen worden geconfronteerd met onzekerheden, en de uitdaging voor het management is om vast te stellen hoeveel onzekerheid acceptabel is, terwijl er gestreefd wordt naar groeiende aandeelhouderswaarde. Onzekerheid biedt zowel risico’s als kansen, met de potentie om zowel waarde te verhogen als uit te hollen. Risicomanagement stelt het management in staat om op een efficiënte wijze met deze onzekerheid en de hieraan verbonden risico’s en kansen om te gaan, en daarbij de capaciteit om waarde te creëren te versterken.’

‘Waarde wordt gemaximaliseerd als het management een strategie formuleert en doelen stelt om een optimale balans tussen groei, resultaat en gerelateerde risico’s te realiseren en daarbij op effectieve en efficiënte wijze middelen in te zetten om de ondernemingsdoelstellingen te realiseren.’

COSO is een Amerikaanse organisatie en daarom lijken bovenstaande citaten in eerste instantie wat tegenstrijdig met het gestelde in paragraaf 1.6 (dat jaarrapporten opgesteld volgens Amerikaanse wet- en regelgeving niet worden meegnomen in het onderzoek, alleen jaarrapporten waarbij de jaarrekening is opgemaakt onder toepassing van IFRS). Echter, het COSO-framework (zie hieronder voor meer informatie) is algemeen aanvaard en wordt veel toegepast (ook door ondernemingen die niet vallen onder Amerikaanse wet- en/of regelgeving) en dat is de reden van het aanhalen van dit raamwerk in dit rapport.

In de literatuur worden verschillende definities gegeven van risicomanagement, hieronder wordt een tweetal besproken:

‘Risicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico’s te beheren, zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen’ (COSO ERM – Integrated Framework, 2004, p. 4). ‘Risicomanagement is het geheel van activiteiten en maatregelen dat gericht is op het beheersen van risico’s’ (Mertens en Blij, 2008, p. 6).

Veel ondernemingen maken gebruik van een raamwerk om hun

risicomanagementproces in te richten. Het meest gebruikte raamwerk hiervoor is het Enterprise Risk Management Framework dat is ontwikkeld door COSO, ook wel het COSO-framework genoemd. Dit raamwerk richt zich op interne controle en op het gehele interne beheersingssysteem en helpt ondernemingen bij het implementeren en onderhouden hiervan.

Figuur 1: COSO-framework

2.2 Risicoprofiel

Risicoverslaggeving bestaat uit drie componenten die met elkaar samenhangen: het risicoprofiel, een beschrijving van het risicomanagementsysteem en de ‘in control statement’. Deze componenten samen vormen de risicoparagraaf in het jaarverslag. Gezien het onderzoeksonderwerp gaat dit rapport niet op alle componenten in, maar wordt hieronder uitsluitend het risicoprofiel behandeld.

Volgens de directeur van Eumedion, Rients Abma, willen aandeelhouders vooral van jaar op jaar weten wat de ontwikkelingen in het risicoprofiel van de onderneming zijn (Abma, 2007). Maar wat wordt bedoeld met het risicoprofiel?

‘Het risicoprofiel van de organisatie is een uiteenzetting van de belangrijkste operationele, strategische, financiële en wet- en regelgevingrisico’s waaraan een organisatie blootstaat’ (De Groot, 2008).

Volgens De Groot (2008) willen aandeelhouders de volgende vragen graag beantwoord zien met betrekking tot het risicoprofiel:

- Wat zijn de risico’s?

- Wat is de omvang van de risico’s?

- Wat is de kans dat de risico’s zich voordoen?

- Wat zal daarvan dan de impact zijn op het eigen vermogen en het resultaat?

Institutionele beleggers willen daarnaast (betreffende het risicoprofiel) een kwalitatieve en voor de AEX- en AMX-vennootschappen ook een kwantitatieve beschrijving van de risico’s. Voor in ieder geval de financiële risico’s achten ze het wenselijk gevoeligheids- en scenarioanalyses op te nemen. Eumedion (Beleidsplan 2009) geeft aan dat institutionele beleggers behoefte hebben aan een overzicht van de, zeg vijf, belangrijkste risico’s in plaats van een vermelding van alle denkbare risico’s.

2.3 Nederlandse Corporate Governance Code

Informatie opnemen in het jaarverslag over risicomanagement is geregeld in de Nederlandse Corporate Governance Code. De Nederlandse Corporate Governance Code, ook wel de Code Tabaksblat of de Code genoemd, is in 2003 door de toenmalige Commissie Tabaksblat vastgesteld. In december 2008 is de Code geactualiseerd door de Commissie Frijns. De geactualiseerde Code is op 1 januari 2009 in werking getreden.

‘De Code is van toepassing op alle vennootschappen met statutaire zetel in Nederland waarvan de aandelen of certificaten van aandelen zijn toegelaten tot een effectenbeurs, of meer specifiek tot de handel van een gereglementeerde markt of een daarmee vergelijkbaar systeem en op alle grote vennootschappen met statutaire zetel in Nederland (> € 500 miljoen balanswaarde) waarvan de aandelen of certificaten zijn toegelaten tot de handel op een multilaterale handelsfaciliteit of een daarmee vergelijkbaar systeem. De Code is niet van toepassing op een beleggingsmaatschappij die geen beheerder is in de zin van artikel 1:1 Wet op het financieel toezicht’ (Code 2008).

‘De Code bevat principes en “best practice”-bepalingen die de verhoudingen reguleren tussen het bestuur, de raad van commissarissen en de (algemene vergadering van) aandeelhouders’ (Code 2008).

‘De principes kunnen worden opgevat als breed gedragen algemene opvattingen over goede corporate governance. De principes zijn uitgewerkt in concrete “best practice”-bepalingen. Deze bepalingen creëren een zekere normstelling voor het gedrag van bestuurders, commissarissen en aandeelhouders. Zij geven de nationale en internationale ‘best practice’ weer en kunnen worden opgevat als een nadere invulling van de algemene beginselen van goede corporate governance. Beursvennootschappen

kunnen hiervan afwijken. Afwijkingen kunnen onder omstandigheden

gerechtvaardigd zijn’(Code 2008). Hiermee wordt gedoeld op het ‘comply or explain’ principe (‘pas toe of leg uit’); bij het niet toepassen van deze principes moet uitgelegd worden waarom.

‘Het bestuur en de raad van commissarissen zijn verantwoordelijk voor de corporate governance structuur van de vennootschap en voor de naleving van deze code. Zij leggen hierover verantwoording af aan de algemene vergadering en voorzien eventuele afwijkingen van de bepalingen van een deugdelijke motivering. Aandeelhouders nemen zorgvuldig kennis en maken een grondige beoordeling van de door de vennootschap gegeven motivering van eventuele afwijkingen van de “best practice”-bepalingen van deze code’ (Code 2008).

‘Zowel aandeelhouders als het bestuur en de raad van commissarissen dienen open te staan voor een dialoog over de redengeving voor de afwijkingen. De vennootschap vermeldt elk jaar in haar jaarverslag op welke wijze zij de principes en best practice bepalingen van de Code in het afgelopen jaar heeft toegepast en zet, indien van toepassing, zorgvuldig gemotiveerd uiteen waarom een bepaling niet is toegepast’ (Code 2008) (‘comply or explain’). ‘Het is aan de aandeelhouders om het bestuur en de raad van commissarissen over de naleving van de Code ter verantwoording te roepen’ (Code 2008). In het hoofdstuk in het jaarverslag van beursvennootschappen waar dit wordt vermeld, worden tevens de hoofdlijnen van de corporate governance

structuur besproken. De Code (2008) is onderverdeeld in vijf hoofdstukken:

I Naleving en handhaving van de Code; II Het bestuur;

III De raad van commissarissen;

IV De (algemene vergadering van) aandeelhouders;

V De audit van de financiële verslaggeving en de positie van de interne audit functie en van de externe accountant.

In alle hoofdstukken zijn principes en “best practice”-bepalingen gericht tot beursvennootschappen.

De “best practice”-bepalingen die van toepassing zijn op risicomanagement zijn II.1.3, II.1.4 en II.1.5. De bepaling die voor mijn onderzoek relevant is, is de volgende:

II.1.4 In het jaarverslag geeft het bestuur:

a) een beschrijving van de voornaamste risico’s gerelateerd aan de strategie van de vennootschap

In de Code 2003 is niets genoemd over het opnemen van een beschrijving van risico’s. Het principe in de Code 2008 bepaalt nu expliciet dat het bestuur verantwoordelijk is voor de beschrijving van de strategie en het bijbehorende risicoprofiel.

De Commissie Frijns geeft in haar Nalevingsrapport 2007 wel een aantal handvaten voor het risicoprofiel. In het risicoprofiel dient volgens haar aandacht te worden besteed aan ten minste de volgende punten:

- De voornaamste risico’s gerelateerd aan de strategische doelstellingen van de onderneming, waarbij tevens wordt ingegaan op de houding die de onderneming heeft ten opzichte van deze risico’s (‘risk appetite’). - Een beschrijving van de voornaamste strategische, operationele,

financiële, wet- en regelgeving en financiële verslaggevingrisico’s van de onderneming, waarbij in ieder geval de kwalitatieve impact van deze risico’s wordt beschreven, eventueel aangevuld met een beschrijving van de wijze waarop de onderneming met deze risico’s omgaat.

- Een gevoeligheidsanalyse van de geïdentificeerde risico’s, indien deze analyse redelijkerwijs verwacht mag worden gelet op de ‘best practices’ in de sector waarin de desbetreffende onderneming werkzaam is. (In mijn onderzoek wordt niet gekeken naar een eventueel aanwezige gevoeligheidsanalyse, omdat dit sectorspecifiek is; bij sommige sectoren mag een gevoeligheidsanalyse redelijkerwijs wel verwacht worden en bij andere niet).

Tevens pleit de commissie voor integratie van informatie over risico’s en risicobeheersing in een geïntegreerde paragraaf, de risicoparagraaf.

2.4 RJ en Titel 9 boek 2 BW

Ter waarborging van de kwaliteit van de externe verslaggeving van niet-beursgenoteerde ondernemingen in Nederland, is in september 1981 de Stichting voor de Jaarverslaggeving opgericht. Het uitvoerend orgaan van deze stichting is de Raad voor de Jaarverslaggeving (RJ). ‘De RJ is statutair belast met het autonoom opstellen en publiceren van stellige uitspraken en aanbevelingen (de Richtlijnen), alsmede het geven van adviezen’ (www.rjnet.nl). Het betreft adviezen en heeft daardoor geen kracht van wet. De RJ verwijst naar titel 9 boek 2 BW.

Titel 9 boek 2 BW is het onderdeel van het Burgerlijk Wetboek dat (gedeeltelijk) betrekking heeft op het onderwerp van mijn onderzoek en is van toepassing op ondernemingen die naar Nederlands recht zijn opgericht (art. 2:360 BW).

In paragraaf 1.5 en 1.6 is gesproken over IFRS met betrekking tot de relatie tussen IFRS en het onderzoek. Met betrekking tot IFRS zegt het Burgerlijk Wetboek het volgende (zie de volgende paragraaf voor meer informatie over IFRS):

Art. 2: 362 lid 8 BW: ‘Een rechtspersoon kan de jaarrekening opstellen volgens de door de International Accounting Standards Board vastgestelde en door de Europese Commissie goedgekeurde standaarden, mits de rechtspersoon daarbij alle voor hem van toepassing zijnde vastgestelde en goedgekeurde standaarden toepast. Een rechtspersoon die de geconsolideerde jaarrekening opstelt volgens deze titel, kan niet de enkelvoudige jaarrekening opstellen volgens de vastgestelde en goedgekeurde standaarden. Een rechtspersoon die de geconsolideerde jaarrekening opstelt volgens de in de eerste zin van dit lid genoemde standaarden, kan in de enkelvoudige jaarrekening de waarderingsgrondslagen toepassen die hij ook in de geconsolideerde jaarrekening heeft toegepast’.

Art. 2: 362 lid 9 BW: ‘De rechtspersoon die de jaarrekening opstelt volgens de in lid 8 bedoelde standaarden, past van deze titel slechts de afdelingen 7 tot en met 10 en de artikelen 365 lid 2, 373, 383, 383b tot en met 383e, 389 leden 8 en 10, en 390 toe. Banken passen tevens artikel 421 lid 5 toe’.

Art. 2: 362 lid 10 BW: ‘De rechtspersoon vermeldt in de toelichting volgens welke standaarden de jaarrekening is opgesteld’.

Bovenstaande heeft betrekking op de jaarrekening, maar in titel 9 BW wordt ook het jaarverslag genoemd. In titel 9 BW staat met betrekking tot het jaarverslag onder andere het volgende (artikel 391 lid 1):

‘Het jaarverslag geeft tevens een beschrijving van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd’.

2.5 IFRS

International Financial Reporting Standards (IFRS) is een standaard voor financiële verslaggeving. Sinds 1 januari 2005 zijn alle beursgenoteerde ondernemingen in de Europese Unie verplicht op deze wijze te rapporteren. IFRS is daardoor van toepassing op de gehele onderzoekspopulatie.

IFRS staat boven Nederlandse wet- en regelgeving met betrekking tot financiële verslaggeving. Dit betekent, dat als het voor komt dat Nederlandse wet- en regelgeving en IFRS elkaar tegenspreken, IFRS leidend is.

IFRS zegt niets over het risicoprofiel in jaarverslagen. Alleen IFRS 7 gaat over het opnemen van risico’s, maar dit heeft betrekking op financiële risico’s behorende bij de jaarrekening.

IFRS is van toepassing op de jaarrekening en voor de onderzoekspopulatie is Titel 9 boek 2 BW ‘aanvullend’ voor het jaarverslag (laatstgenoemde onder de voorwaarde dat de ondernemingen naar Nederlands recht zijn opgericht).

2.6 Transparantierichtlijn

In september 2008 heeft de Eerste Kamer het wetsvoorstel aangenomen waarmee de Europese Transparantierichtlijn (Richtlijn 2004/109/EG) wordt verwerkt in de Nederlandse wet- en regelgeving. Per 1 januari 2009 is deze Transparantierichtlijn in

de Nederlandse wet- en regelgeving geïmplementeerd en is vastgelegd in hoofdstuk 5.1a van de Wet financieel toezicht (Wft).

Artikel 5:25c lid 2c zegt onder andere het volgende:

‘… in het jaarverslag de wezenlijke risico’s waarmee de uitgevende instelling wordt geconfronteerd, zijn beschreven.’

Voor de duidelijkheid wordt opgemerkt dat een Nederlandse Transparantierichtlijn niet bestaat. Het is de Europese Transparantierichtlijn die verwerkt is in Nederlandse wet- en regelgeving (Wft). Als in dit rapport gesproken wordt over de Transparantierichtlijn, wordt gedoeld op bovenstaande wet.

Nederlandse beursfondsen moeten aan deze wetgeving voldoen en deze wetgeving is van toepassing op jaarrapporten met betrekking tot verslagjaren die op of na 1 januari 2008 zijn aangevangen.

‘Met de Transparantierichtlijn wordt beoogd dat de beursfondsen in de Europese lidstaten meer uniforme informatie verschaffen aan hun belanghebbenden, zodat de investeerders beter beschermd worden en de marktefficiëntie toeneemt’ (PwC, 2008). Vandaar de nieuwe periodieke verplichtingen ten aanzien van financiële verslaggeving. De Transparantierichtlijn maakt onderscheid in jaarlijkse financiële verslaggeving, halfjaarlijkse financiële verslaggeving en tussentijdse verslaggeving gedurende het jaar.

‘De reikwijdte van de Transparantierichtlijn is beperkt tot ondernemingen waarvan effecten binnen de EU op een gereglementeerde markt zijn toegelaten en waarvan Nederland als ‘lidstaat van herkomst’ is aangemerkt’ (KPMG, 2009b). In de bijlage Transparantierichtlijn wordt uitgelegd wat ‘lidstaat van herkomst’ inhoudt en wordt per onderneming aangegeven of de Transparantierichtlijn op haar van toepassing is. ‘De jaarlijkse financiële verslaggeving dient binnen vier maanden na het einde van het boekjaar te worden gepubliceerd. Het moet bestaan uit de jaarrekening, het jaarverslag, een verantwoordelijkheidsverklaring en een beschrijving van de voornaamste risico’s en onzekerheden waarmee het beursfonds geconfronteerd wordt’ (KPMG, 2009b).

Voor de jaarrekening en het jaarverslag verandert er niet zo veel, behalve dat er nu een verantwoordingsverklaring (ook wel bestuursverklaring genoemd) moet komen over het getrouwe beeld van de jaarrekening en het jaarverslag en de beschrijving van de risico’s. De verantwoordingsverklaring heeft dus mede betrekking op het risicoprofiel. Met deze verantwoordingsverklaring wordt expliciet gemaakt wat

impliciet al verwacht werd van de bestuurders. Door de nieuwe

verantwoordingsverklaring komt de risicoparagraaf in het jaarverslag nog meer in de schijnwerpers te staan.

Zoals hierboven gemeld heeft de Transparantierichtlijn met betrekking tot het jaarverslag voor weinig verandering gezorgd. Er wordt alleen weer even nadruk gelegd op het belang van een risicoparagraaf. Voor de halfjaarlijkse en tussentijdse verslaggeving brengt de Transparantierichtlijn wel (grote) veranderingen met zich mee. Het valt buiten het bestek van dit rapport om dit verder te bespreken.

2.7 Samenvatting paragraaf 2.3 t/m 2.6

Onderstaand een samenvattende tabel betreffende paragraaf 2.3 tot en met 2.6. Boekjaar Corporate Governance Code Transparantierichtlijn van toepassing? Art. 5:25c lid 2c Wft RJ BW Art. 2: 391 lid 1 Art. 2: 362 lid 8, 9 en 10 IFRS 2007 2003 Nee Ja Ja Ja 2008 2003 Ja Ja Ja Ja 2009 2008 Ja Ja Ja Ja

Tabel 1: Samenvattende tabel inzake geldende wet- en regelgeving 2007-2009

2.8 Relevante bevindingen eerdere onderzoeken

In deze paragraaf worden relevante bevindingen van eerder gedane onderzoeken behandeld met betrekking tot het onderwerp van dit onderzoek, omdat deze bevindingen een rol spelen in mijn eigen empirisch onderzoek (vraagstelling en vergelijking van uitkomsten).

Paape et al. (2009) stellen dat risicomanagement staat of valt bij een helder en gemeenschappelijk beeld van de relevante risico’s voor de organisatie, hun karakteristieken en hun prioriteiten en dat een risicoanalyse hierbij instrumenteel is. Volgens hen spreekt het voor zich dat in een snel veranderende omgeving het regelmatig bijstellen van het risicoprofiel een vereiste is om tijdig en effectief hierop te kunnen inspelen. Het is daarom des te opvallender dat uit hun onderzoek blijkt dat 52,8 procent van de respondenten (ongeveer duizend organisaties in Nederland met een omzet of budget van meer dan tien miljoen euro; boekjaar 2008) niet meer dan éénmaal per jaar een dergelijke analyse uitvoert en dat zelfs 27,8 procent in zijn geheel geen inventarisatie en analyse uitvoert. Desgevraagd hebben managers vaak aangegeven dat het managen van risico’s hun dagelijkse werk is. Dit gebeurt dan vaak expliciet, maar of dat toereikend is, is de vraag. Uit hun onderzoek blijkt verder dat in 49,4 procent van de gevallen de strategische risico’s in kaart worden gebracht, in 69,1 procent van de gevallen de financiële risico’s, in 59,9 procent van de gevallen de operationele risico’s, in 23,2 procent van de gevallen de (financiële) rapportage risico’s en in 26,8 procent van de gevallen de compliance risico’s. Alle vijf typen risico’s worden in profitorganisaties maar in 16,5 procent van de gevallen bekeken. Drie risicocategorieën is het meest gebruikelijk. Ruim een kwart van de ondervraagden neemt geen enkele risicocategorie in overweging.

Linsley en Shrives (2006) hebben onderzoek gedaan naar beursgenoteerde ondernemingen in het Verenigd Koninkrijk en hebben geconstateerd dat slechts ongeveer vijf procent van de risico’s die gerapporteerd worden gekwantificeerd zijn. In Canada (2005) en Frankrijk (2006) blijkt het niet veel anders te zijn (Paape, 2008). Er is nog weinig vergelijkbaar onderzoek in Nederland gedaan. Uit onderzoek van Paape (2008) over het boekjaar 2007 blijkt dat van de AEX fondsen, 4 procent strategische risico’s kwantificeert, geen enkele operationele risico’s kwantificeert en 92 procent financiële risico’s kwantificeert.

Uit een onderzoek van Groot (2008) naar de structuur van het risicoprofiel in de jaarverslaggeving van beursgenoteerde ondernemingen in Nederland en het Verenigd Koninkrijk over het boekjaar 2006, blijkt dat de kwaliteit van het risicoprofiel heel verschillend is en er geen uniformiteit tussen de risicoprofielen is te onderkennen. Volgens Mertens en Blij (2008) is de informatie over risico’s in de jaarverslagen sinds 2004 duidelijk in omvang en kwaliteit toegenomen, maar er is nog veel ruimte voor verdere verbetering. Zij hebben onderzoek gedaan naar onder andere verslaggeving omtrent risico’s in jaarverslagen van beursgenoteerde ondernemingen voor het boekjaar 2007. Uit dit onderzoek komt naar voren dat er in de verslaggeving omtrent risicomanagement, onder andere sprake is van een grote diversiteit in de beschrijving van risico’s. ’62% verstrekt informatie over de belangrijkste risico’s die zijn verbonden aan de strategie. De meest genoemde categorieën risico’s zijn operationele en financiële risico’s. Risico’s omtrent wet- en regelgeving en financiële verslaggevingrisico’s worden minder vaak vermeld’ (Mertens en Blij, 2008). Deze constateringen komen grotendeels overeen met het onderzoek van Paape et al. (2009) over het boekjaar 2008, zoals hierboven beschreven. ‘Een luttele 10% verschaft inzicht in de belangrijkste risico’s. Ondernemingen doen weliswaar vrij uitvoerig verslag van alle risico’s, maar een prioritering ontbreekt in de meeste gevallen. Wij (Mertens en Blij) hebben uitvoerige opsommingen van risico’s aangetroffen, zonder dat deze worden gekwantificeerd of dat daarbij een relatie met de ondernemingsstrategie wordt gelegd. Bij de kwantificering van risico’s is sprake van aanzienlijke verschillen tussen de categorieën ondernemingen. De AEX-ondernemingen rapporteren frequenter en het aantal onderscheiden risico’s is meer divers van aard. Gekwantificeerde risico’s zijn meestal ‘hard’ en financieel van aard. Driekwart van de ondernemingen die de risico’s kwantificeren, verstrekt informatie over het effect op het resultaat: de helft rapporteert de impact op het eigen vermogen. De informatie neemt af naarmate ondernemingen kleiner zijn. Geen van de onderzochte ondernemingen heeft bij de gepresenteerde risico’s aangegeven wat de kans is op het zich voordoen van een dergelijk risico’ (Mertens en Blij, 2008). Verder wordt melding gemaakt dat slechts 15% van de onderzochte ondernemingen een indicatie van haar risicobereidheid geeft; de ‘risk appetite’ wordt nog te weinig concreet beschreven. Ook is geconstateerd dat 71% van de ondernemingen de risico’s en de systemen beschrijven in één hoofdstuk of apart onderdeel van het jaarverslag. Voor zover het onderzoek betrekking heeft op de AEX-ondernemingen stellen Mertens en Blij (2008):

- 71% verstrekt informatie die is gerelateerd aan de door de onderneming gedefinieerde strategische doelstellingen;

- Uitsplitsing voornaamste risico’s: 57,1% strategisch, 76,2% operationeel, 71,4% financieel, 57,1% compliance en 38,1% financiële verslaggeving;

- 19% verschaft inzicht in de belangrijkste risico’s (prioriteren);

- 67% geeft een ondernemingsspecifieke risicobeschrijving die grotendeels kwalitatief is;

- Alle ondernemingen kwantificeren de (potentiële) effecten van één of meerdere risico’s;

- De twee grootste risico’s waarvan kwantificering plaats vindt zijn valutarisico en renterisico;

- 86% verstrekt informatie over het effect op het resultaat en 76% verstrekt informatie over het effect op het eigen vermogen;

- Geen enkele onderneming heeft bij de gepresenteerde risico’s aangegeven wat de kans is op een dergelijk risico;

- 33% vermeldt haar ‘risk appetite’;

- 62% presenteert informatie over risico’s en risicobeheersings- en controlesystemen op één plaats in het jaarverslag.

2.9 Nalevingsrapport 2009 Monitoring Commissie Corporate Governance Code De Monitoring Commissie Corporate Governance Code heeft in haar Nalevingsrapport 2009 gerapporteerd over de naleving van de Code in boekjaar 2008. De code die op dat boekjaar van toepassing was, is de Code 2003. Onderstaande conclusies uit dat rapport zijn gebaseerd op onderzoek naar de eenentwintig Nederlandse vennootschappen die per 31 december 2008 deel uitmaakten van de AEX.

De Commissie heeft vastgesteld dat een groot aantal AEX-vennootschappen reeds vooruitloopt op de Code 2008 met een beschrijving van de voornaamste risico’s. Met betrekking tot de operationele en strategische risico’s is er één AEX-vennootschap die de aanbeveling over de beschrijving van de risico’s niet naleeft. In boekjaar 2007 werden de good practices door alle AEX-vennootschappen toegepast. De toepassing van de beschrijving van de risico’s bij wet- en regelgeving is gedaald. In boekjaar 2007 gaven achttien AEX-vennootschappen een beschrijving, in boekjaar 2008 zijn dat er dertien. Acht AEX-vennootschappen geven geen beschrijving, tegen twee over het boekjaar 2007.

Verder blijkt dat alle AEX-vennootschappen uitdrukkelijk informatie verstrekken over de risico’s die de bedrijfsvoering loopt met betrekking tot processen en ontwikkelingen die de vennootschap zelf niet in de hand heeft.

Ook is onderzocht in hoeverre AEX-vennootschappen in hun jaarverslag op vrijwillige basis informatie verschaffen over verschillende risicocategorieën. (In de Code 2003 is niets genoemd over het beschrijven van risico’s, echter worden wel handvaten gegeven in het Nalevingsrapport 2007). Met betrekking tot de financiële, strategische en operationele risico’s wordt door vrijwel alle vennootschappen

informatie verstrekt. Het gaat om risico’s als marktontwikkeling,

productontwikkeling, prijs- en concurrentiebeleid, wisselkoerseffecten, leencapaciteit en renteontwikkeling. Daarmee lopen de AEX vennootschappen vooruit op de Code 2008. Operationele risico’s kunnen nader worden gecategoriseerd in risico’s betreffende de informatietechnologie, betreffende de integriteit van de onderneming (zoals fraude en illegale praktijken) en ‘empowerment’ risico’s (risico’s gekoppeld aan het delegeren van besluitvorming, zoals outsourcing). Een meerderheid van de AEX-vennootschappen verschaft specifieke informatie over risico’s betreffende de integriteit van de onderneming en de zogenaamde ‘empowerment’ risico’s. Een minderheid van de AEX-vennootschappen verschaft specifiek informatie over risico’s gerelateerd aan informatietechnologie en risico’s betreffende de financiële rapportage. In paragraaf 6.3 wordt een vergelijking gemaakt tussen een bepaald onderzoeksresultaat en het Nalevingsrapport 2009.

Hoofdstuk 3 Toetsingscriteria

In dit hoofdstuk worden de vragen weergegeven die per jaar voor elke onderneming beantwoord worden. Dit om uiteindelijk een antwoord te kunnen geven op de centrale vraagstelling van dit onderzoek. Ook wordt een verantwoording gegeven over de vragen. De toetsingsvragen worden behandeld in paragraaf 3.1 en de verantwoording hiervan komt in paragraaf 3.2 ter sprake.

3.1 Toetsingsvragen

Hieronder volgen de vragen die voor elke onderneming per jaar worden beantwoord: 1. Wat zijn de opgenomen risicocategorieën?

2. Wat is het aantal opgenomen risicocategorieën? 3. Wat is de hoeveelheid opgenomen risico’s in totaal?

4. Is er sprake van een ondernemingsspecifieke risicobeschrijving?

5. Is een duidelijk overzicht/duidelijke weergave van de belangrijkste risico’s aanwezig?

6. Is de kans opgenomen dat risico’s zich voordoen (per risico)?

7. Wordt de omvang van de risico’s vermeld; in termen van impact op resultaat en eigen vermogen? (kwalitatief)

8. Wordt de omvang van de risico’s vermeld; in termen van impact op resultaat en eigen vermogen? (kwantitatief)

9. Wordt de risk appetite van de onderneming weergegeven (kwalitatief)? 10. Wordt de risk appetite van de onderneming weergegeven (kwantitatief)?

11. Bevindt bovenstaande informatie (informatie met betrekking tot het risicoprofiel) zich in een afzonderlijke (sub)paragraaf (de risicoparagraaf)/hoofdstuk?

12. Wat is de kwantiteit van het totale risicoprofiel (aantal woorden)?

Voor meer details en de antwoordmogelijkheden wordt verwezen naar de bijlage Toetsingscriteria.

3.2 Verantwoording toetsingsvragen

In deze paragraaf wordt een verantwoording gegeven van de toetsingsvragen. De vragen zijn opgesteld op basis van literatuur, relevante wet- en regelgeving, richtlijnen en de Code.

Het COSO-framework is ingedeeld in de categorieën: strategisch, operationeel, rapportage en toezicht. Dit komt grotendeels overeen met de risicocategorieën die de Commissie Frijns aanbeveelt in haar Nalevingsrapport 2007. In het risicoprofiel dient volgens haar aandacht te worden besteed aan de strategische, operationele, financiële, wet- en regelgeving en financiële verslaggevingrisico’s. Laatstgenoemde categorieën vormen de grondslag voor vraag 1. Hiervoor is gekozen, omdat dit een Nederlandse invalshoek heeft. Daar waar de Corporate Governance Code en het Burgerlijk Wetboek spreken over ‘voornaamste risico’s’, spreekt de Wet financieel toezicht over ‘wezenlijke risico’s’. In dit onderzoek wordt ervan uitgegaan dat deze risico’s op

dezelfde manier geïnterpreteerd mogen worden en dat ze kunnen worden ingedeeld in de, in dit onderzoek, opgenomen risicocategorieën.

Omdat belanghebbenden behoefte hebben aan (meer) transparantie over ondernemingsrisico’s en een uitgebreider risicoprofiel aandeelhouders in staat stelt zich een beter beeld te kunnen vormen van de risicopositie van de onderneming (Beretta en Bozzolan, 2004; Linsley en Lawrence, 2007), heeft het aantal opgenomen risicocategorieën ook betekenis. Dit is verwerkt in vraag 2. Uiteraard wil bovenstaande natuurlijk niet zeggen dat er meer risico’s zijn opgenomen, naarmate het aantal opgenomen risicocategorieën stijgt.

De hoeveelheid opgenomen risico’s (vraag 3) kan wat zeggen over de uitgebreidheid van het risicoprofiel, echter dit is geen garantie.

Vraag 4 is opgenomen, omdat belanghebbenden over het algemeen meer hebben aan ondernemingsspecifieke risico-informatie, dan aan risico-informatie in het algemeen. De VEB geeft in haar Speerpuntenbrief 2009 aan dat ze een voorkeur heeft voor het opnemen van de belangrijkste risico’s in plaats van een opsomming van een lange lijst risico’s. Ook Eumedion geeft dit aan in haar Speerpuntenbrief 2008 en haar Beleidsplan 2009. Hieruit volgt dat het belangrijk wordt gevonden dat uit het jaarverslag duidelijk blijkt wat de belangrijkste risico’s van de onderneming zijn. Vandaar de opgenomen vraag 5. In dit onderzoek wordt met ‘de belangrijkste risico’s’ gedoeld op een aantal van ongeveer vijf. In dit onderzoek wordt bijvoorbeeld geen overzicht van de belangrijkste risico’s verondersteld als een onderneming meldt dat ze vele risico’s kent en bijvoorbeeld de twaalf belangrijkste weergeeft. Dit aantal is te groot.

In de Speerpuntenbrief van Eumedion van 2008 wordt aangegeven dat de kans dat risico’s zich voordoen, belangrijk wordt gevonden om op te nemen in het jaarverslag. Deze kans is in vraag 6 verwerkt.

Wat de omvang is van de risico’s in termen van impact op resultaat en eigen vermogen, wordt aangehaald in de Speerpuntenbrief 2008 van Eumedion en de Speerpuntenbrief 2009 van de VEB. Ook wordt deze impact genoemd in het Nalevingsrapport 2007 van de Monitoring Commissie. Aan de hand hiervan zijn de vragen 7 en 8 opgesteld.

Over de risk appetite van een onderneming wordt ook veelvuldig gesproken. De Monitoring Commissie geeft in haar Nalevingsrapport 2007 aan dat de risk appetite belangrijk wordt gevonden. De VEB geeft in haar Speerpuntenbrief 2009 hetzelfde aan. Ook Eumedion geeft dit aan, zowel in haar Beleidsplan 2009 als in haar Speerpuntenbrief 2010. Uit het onderzoek van Paape et al. (2009) komt naar voren, dat een klein deel van de door hen onderzochte ondernemingen de risicotolerantie heeft bepaald en dat het slechts zelden gekwantificeerd is. Vandaar de vragen 9 en 10. Vraag 9 heeft betrekking op de kwalitatieve beschrijving van de risk appetite en vraag 10 op de kwantitatieve beschrijving van de risk appetite.

In het Nalevingsrapport 2007 staat verder te lezen dat de commissie pleit voor integratie van risico’s en risicobeheersing in een geïntegreerde paragraaf. Om het voor

de lezer van het jaarverslag zo overzichtelijk en duidelijk mogelijk te maken, is dit een logisch verzoek. Vraag 11 heeft hierop betrekking.

Hoewel kwantiteit in beginsel niets zegt over de kwaliteit, is de kwantiteit van het risicoprofiel toch opgenomen in de toetsingsvragen (vraag 12). Bij de resultaten voortvloeiende uit deze vraag wordt dan ook gekeken naar duidelijke verschillen. Er wordt getracht zoveel mogelijk, alleen het aantal woorden met betrekking tot het risicoprofiel mee te nemen, dus niet stukken tekst die slaan op risicomanagement. Bovenstaande aanbevelingen van de VEB, Eumedion en de Monitoring Commissie worden door onderzoekers veelvuldig genoemd in de literatuur.

Hoofdstuk 4 Onderzoekspopulatie

In dit hoofdstuk worden de ondernemingen weergegeven die per 31 december 2007, 2008 en 2009 opgenomen waren in de AEX*. Zie onderstaande tabel.

Per 31 december:

2007 2008 2009

AEGON AEGON AEGON

Ahold Kon Ahold Kon Ahold Kon

Air France-KLM

Akzo Nobel Akzo Nobel Akzo Nobel

Arcelor Mittal Arcelor Mittal Arcelor Mittal

ASML Holding ASML Holding ASML Holding

BAM Groep Kon BAM Groep Kon

Boskalis-Westminster

Corio Corio

Corporate Express

DSM Kon DSM Kon DSM Kon

Fortis Fortis

Fugro Fugro

Hagemeyer

Heineken Heineken Heineken

ING Groep ING Groep ING Groep

KPN Kon KPN Kon KPN Kon

Philips Kon Philips Kon Philips Kon

Randstad Randstad Randstad

Reed Elsevier Reed Elsevier Reed Elsevier

Royal Dutch Shell A Royal Dutch Shell A Royal Dutch Shell A

SBM Offshore SBM Offshore SBM Offshore

TNT TNT TNT

TomTom TomTom TomTom

Unibail-Rodamco Unibail-Rodamco Unibail-Rodamco

Unilever Unilever Unilever

USG People Vedior

Wereldhave Wereldhave

Wolters Kluwer Wolters Kluwer Wolters Kluwer

Tabel 2: Samenstelling AEX per 31 december 2007, 2008 en 2009

* De ondernemingen die genoteerd stonden aan de AEX per 31 december in een bepaald jaar waren, tegen verwachting, moeizaam uit betrouwbare bronnen te verkrijgen. Met dank aan de heer R. Vogelaar, werkzaam bij NYSE Euronext, is bovenstaande informatie toch verkregen.

De ondernemingen die cursief zijn gedrukt, zijn weggelaten uit het onderzoek (zie paragraaf 5.1 voor de motivatie). De overige ondernemingen uit bovenstaande tabel vormen de onderzoekspopulatie.