• No results found

Risicomanagement bij niet-beursgenoteerde organisaties

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Risicomanagement bij niet-beursgenoteerde organisaties"

Copied!
115
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 115 pagina )

Hele tekst

(1)

Risicomanagement bij

niet-beursgenoteerde

organisaties

Onderzoek naar de mogelijkheden voor

zinvolle toepassing van risicomanagement bij

niet-beursgenoteerde organisaties vanuit het

perspectief van accountants, adviseurs en

bestuurders en controllers van organisaties

Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde

Auteur

Rick Kroon

Studentnummer

1832301

Studierichting

Accountancy

1

e

begeleider RuG

Drs. D.J.J. Heslinga

2

e

begeleider RuG

Drs. J. Westra - de Jong RA

Bedrijf

KPMG N.V.

Begeleider KPMG

Drs. F.R. van der Meulen RA

(2)
(3)

Voorwoord

Met het schrijven van dit voorwoord sluit ik een leerzame, nuttige en bovenal gezellige periode af. Ondanks de vele uren en moeite die ik in dit onderzoek heb gestoken, houd ik een bijzonder positief gevoel over aan deze tijd. Het heeft zonder twijfel bijgedragen aan mijn ontwikkeling op zowel kennis- als vaardighedengebied. Na ruim vier maanden werken kan ik u het eindresultaat van mijn afstudeerscriptie presenteren. Begin februari ben ik vanuit een globaal idee begonnen wat uiteindelijk heeft geleid tot de lange tekst die nu voor u ligt.

Het afwegen van risico’s heeft mij van jongs af aan altijd al getrokken. Toen ik in het najaar van 2008 in aanraking kwam met het vakgebied van risicomanagement was mijn keuze voor een scriptieonderwerp snel gemaakt. Over de beursgenoteerde organisaties is al heel veel onderzoek gedaan. Dit in tegenstelling tot niet-beursgenoteerde organisaties op de nationale markt. Deze optelsom leidde tot het startpunt van mijn afstudeeronderzoek. Vanaf dat moment begon het onderzoek naar de mogelijkheden voor zinvolle toepassing van risicomanagement voor niet-beursgenoteerde organisaties. Ik heb vervolgens honderden pagina’s literatuur bestudeerd om nader inzicht te krijgen in het onderwerp. Hiermee heb ik de basis gelegd voor de leerzame, informatieve en aangename gesprekken die ik met verschillende interessante gesprekspartners heb mogen voeren. Naast de vele informatie die ik uit deze gesprekken heb gekregen, waren het ook buitengewoon interessante gesprekken. De vele (voornamelijk vertrouwelijke) praktijkvoorbeelden die zij met mij hebben gedeeld, hebben mij een verdiepend inzicht in de praktijk gegeven. Als je aan het einde van de interviews ook nog hoort dat de gesprekspartners door de vraagstelling geprikkeld zijn en daar weer over gaan nadenken, maakt het des te leuker en geslaagder.

Ondanks dat dit voorwoord nadrukkelijk niet het doel heeft een bedankwoord te zijn, kan ik er niet aan voorbij gaan om toch een aantal mensen te bedanken. Ten eerste bedank ik Derk Jan Heslinga, mijn scriptiebegeleider vanuit de universiteit, voor zijn input, feedback en begeleiding. Wij hebben regelmatig contact gehad en na elk gesprek kreeg ik elke keer het gevoel weer een stap dichterbij de eindbestemming te zijn gekomen. Als tweede verdient Freek van der Meulen als begeleider vanuit KPMG een individuele vermelding. Hij heeft geholpen mij wegwijs te maken binnen de organisatie van KPMG en ik kon waar dat nodig was altijd bij hem terecht. Ten derde wil ik alle mensen die de tijd en moeite hebben genomen mij ter woord te staan via deze weg nog een keer hartelijk bedanken. Ook bedank ik mijn collega’s van KPMG Groningen voor de gezelligheid en faciliteiten die zij mij geboden hebben. Tot slot kan ik niet om de gekregen steun van vrienden, familie en niet te vergeten mijn vader en moeder heen.

Rick Kroon

(4)

Samenvatting

Inleiding

In deze scriptie is onderzoek gedaan naar de mogelijkheden voor zinvolle toepassing van risicomanagement bij niet-beursgenoteerde organisaties.

Uitvoering

Om tot goed onderbouwde conclusies te komen, is er een gestructureerd proces van onderzoek gevolgd. Het doel van het onderzoek was “het onderzoeken van de

mogelijkheden voor (verdere) toepassing van risicomanagement voor niet-beursgenoteerde organisaties opererend op de nationale markt”. Eerst is er verdieping

in de bestaande relevante literatuur geweest en is gekeken naar relevante wet- en regelgeving. Met het in ogenschouw nemend van deze kennis zijn er twee accountants, twee adviseurs en vier bestuurders of controllers uit de praktijk geïnterviewd. Op basis van de verkregen informatie zijn de hieronder beschreven belangrijkste conclusies van dit onderzoek tot stand gekomen.

Conclusies

Risicomanagement is een onderwerp dat leeft in de praktijk. Er bestaat voor niet-beursgenoteerde organisaties geen wettelijke verplichting op dit gebied. Dit doet niets af aan de relevantie van risicomanagement voor niet-beursgenoteerde organisaties. Zowel de gesproken accountants, adviseurs als bestuurders van organisaties zijn het hierover eens.

De accountants en adviseurs, die in hoofdlijnen dezelfde visie hebben over risicomanagement, kwamen tot een aantal kernelementen welke de basis vormen voor een effectieve toepassing van risicomanagement. Dit betreffen structuur in risicomanagement aanbrengen, prioriteren van risico’s, risicomanagement is een continu proces, beleving, multidisciplinair kijken naar risico’s, voorbeeldgedrag van de leiding, monitoring, gezond verstand en vanuit de accountant een goede rapportage in het jaarverslag. De bestuurders en controllers zijn het hier in beginsel mee eens behoudens de goede rapportage. Toch wijst de praktijk uit dat niet-beursgenoteerde organisaties nog lang niet de mogelijkheden toepassen die risicomanagement voor hen biedt. De voornaamste redenen hiervoor zijn onwetendheid van de toegevoegde waarde van risicomanagement, de omvang van de organisatie en weinig druk van externe partijen om aan de slag te gaan met risicomanagement.

Niet-beursgenoteerde organisaties kunnen risicomanagement zinvol toepassen als zij risicobewust vanuit hun bedrijfsdoelstellingen multidisciplinair naar hun interne en externe omgeving kijken. Een erkend model zoals COSO kan hierin als kapstok fungeren. Een niet-beursgenoteerde organisatie kan op basis van eigen kennis en steunende op de expertise van hun accountant zelf risicomanagement in haar organisatie implementeren. De verantwoordelijkheid van risicomanagement moet bij de hoogste leiding liggen die het belang van risicobewust handelen naar de rest van de organisatie moet uitdragen zodat het in de hele organisatie verweven zit. Niet-beursgenoteerde organisaties kunnen risicomanagement goed samenvoegen met hun administratieve organisatie en interne controle zolang zij ervoor waken ook naar externe risico’s kijken.

(5)

Inhoudsopgave

VOORWOORD ...3 SAMENVATTING ...4 1. ONDERZOEKSPLAN...7 1.1 INLEIDING... 7 1.2 DOEL... 8

1.3 CENTRALE VRAAG EN DEELVRAGEN... 8

1.4 TOELICHTING VRAAGSTELLING ONDERZOEK... 8

1.5 AFBAKENING EN RANDVOORWAARDEN...10

1.6 ONDERZOEKSMETHODIEK...11

1.7 RELEVANTIE...11

1.8 OPBOUW VAN HET RAPPORT...12

2. LITERATUURBESPREKING... 14

2.1 DEFINIËRING...14

2.2 HISTORIE RISICOMANAGEMENT...15

2.3 COSOERMFRAMEWORK...16

2.3.1 Ontstaan...17

2.3.2 Inhoud van het raamwerk ...17

2.3.3 Beperkingen ERM ...20

2.3.4 Toepassing ERM in de praktijk...21

2.4 ANDERE LITERATUUR OVER ERM...25

2.5 GROEIFASE VAN EEN ORGANISATIE...29

2.6 RELEVANTE WETGEVING RISICOMANAGEMENT...32

2.6.1 Buitenlandse wetgeving over risicomanagement ...32

2.6.2 Nederlandse wetgeving over risicomanagement ...35

2.6.3 Relevantie voor niet-beursgenoteerde organisaties ...37

3. PERSPECTIEF VAN ACCOUNTANTS EN ADVISEURS... 39

3.1 INTERVIEWS MET DE ACCOUNTANT...40

3.1.1 Interview Rudi Kleinhuis ...40

3.1.2 Interview Rutger Dijsselhof ...41

3.1.3 Visie van de accountant ...42

3.2 INTERVIEWS MET DE ADVISEUR...50

3.2.1 Interview Klaas Zwaagman ...50

3.2.2 Interview Peter Kamp ...51

3.2.3 Visie van de adviseur ...52

3.3 TOEPASSING IN DE PRAKTIJK...57

3.4 VERSCHIL IN VISIE...63

3.5 IDEAALSITUATIE...65

4. PERSPECTIEF VAN BESTUURDERS VAN ORGANISATIES ... 67

4.1 INTERVIEWS MET BESTUURDERS VAN ORGANISATIES...67

4.1.1 Interview René van der Linden...67

4.1.2 Interview Rob van Diepen...69

4.1.3 Interview Jan Sikko Klinker ...70

4.1.4 Interview Eppo Wiersema...71

4.2 VISIE VAN BESTUURDERS EN CONTROLLERS...71

4.3 TOEPASSING IN DE PRAKTIJK...77

4.4 LITERATUUR OVER DE MOGELIJKHEDEN...85

4.5 ANALYSE VAN DE MOGELIJKHEDEN...89

5. CONCLUSIES EN DISCUSSIE ... 93

5.1 CONCLUSIES...93

(6)

5.3 DISCUSSIE...96

5.4 VERVOLGONDERZOEK...97

5.5 PERSOONLIJKE VISIE...98

LITERATUURLIJST ... 99

BIJLAGE 1: INTERVIEWSCHEMA ACCOUNTANT ... 101

BIJLAGE 2: INTERVIEWSCHEMA ADVISEUR... 106

(7)

1. Onderzoeksplan

In dit hoofdstuk bespreek ik de aanpak van mijn onderzoek. Na een introductie van het onderwerp bespreek ik het doel en de vraagstelling van het onderzoek. Vervolgens behandel ik de afbakening en randvoorwaarden, onderzoeksmethodiek en relevantie. Tot slot geef ik kort aan hoe de rest van het rapport is opgebouwd.

1.1 Inleiding

Op het moment van aanvang van dit onderzoek heeft de kredietcrisis de economie in haar greep. Winsten staan onder druk en organisaties proberen te overleven. Wellicht niet het ideale moment voor organisaties om zich bezig te (gaan) houden met risicomanagement zou u denken. Maar is dit wel zo? De kern van het actief werken met risicomanagement is dat een bedrijf de risico’s die zij loopt serieus neemt. Een bedrijf zal te allen tijde de risico’s die haar doelstellingen bedreigen, in voldoende mate moeten beheersen. In tijden van een kredietcrisis is het juist essentieel om deze risico’s te beheersen.

Risicomanagement is binnen de accountantswereld een zeer actueel onderwerp waar de meningen ook nog eens over verschillen. Wat is het nut van risicomanagement, heeft het wel nut of wordt er niet op de juiste wijze mee omgegaan? Kenmerkend hierin was de publicatie van twee artikelen op de site van de Accountant op 3 december jl. In het ene artikel wordt betoogd dat de risk manager te weinig macht en invloed op beslissingen heeft. Het andere artikel betoogt het tegenovergestelde: risicomanagement zou een overbodige discipline zijn. Beide artikelen refereren aan de kredietcrisis. In het voor risicomanagement positieve artikel komen twee deskundigen aan het woord. Hoogleraar Risk Management Jan van der Poel (Universiteit van Maastricht) stelt dat risk managers te weinig macht hadden en onvoldoende serieus zijn genomen. Gerrit Jan van den Brink (directeur ValueData7 en universitair docent Universiteit van Frankfurt) gaat zelfs nog een stap verder en stelt dat het management waarschuwingen van risk managers onvoldoende gebruikt hebben in de genomen beslissingen. Het andere artikel, een opiniestuk geschreven door Bob Hoogenboom (professor NIVRA-Nyenrode), betoogt dat ondanks een explosie aan invoering van risicomanagement de kredietcrisis ook maar bij benadering niet was aangekondigd. De voornaamste kritiek op risicomanagement in zijn tekst betreft het algemene gehalte van risicomanagement. Dit wordt overigens in diverse recent verschenen publicaties weerlegd. Daarin komt duidelijk naar voren dat risicomanagement alleen effectief is als het specifiek op de organisatie wordt gericht. Duidelijke conclusies kun je hier dus nog niet uit trekken, maar feit is dat risicomanagement een thema is dat speelt.

In het verleden negeerden veel organisaties de risico’s die zij liepen of gaven er zonder bij de mogelijke consequenties stil te staan, geen aandacht aan. (McClinton 2008). Hier is de afgelopen jaren verandering in gekomen. Beursgenoteerde organisaties moeten sinds de invoering van de corporate governance code (ook wel bekend als ‘code Tabaksblat’) in het jaarverslag risicomanagement behandelen. Hierbij dienen zij aandacht te besteden aan hun risicoprofiel, een beschrijving van het interne risico- en beheersingssysteem en een in-control statement. Deze wettelijke verplichting geldt niet voor de niet-beursgenoteerde organisaties. De vraag is of en in welke mate toepassing van risicomanagement relevant kan zijn voor deze

(8)

organisaties. Aangezien onderzoeksresultaten hierover beperkt zijn, leek het mij een uitdaging om hiernaar onderzoek te verrichten. In dit onderzoek heb ik mij verdiept in de mogelijkheden voor toepassing van risicomanagement voor niet-beursgenoteerde organisaties die hoofdzakelijk opereren binnen de drie noordelijke provincies. Deze keuze is ingegeven op basis van twee redenen. De eerste reden betreft de kennisleemte die bestaat op het gebied risicomanagement bij niet-beursgenoteerde organisaties. De twee reden ligt binnen mijn persoonlijke voorkeur. Aangezien ik in de toekomst in het noorden van Nederland wil gaan werken, heb ik gekozen om mij te verdiepen in de markt waarop ik werkzaam wil zijn. Van de opgedane kennis hoop ik op korte en lange termijn te kunnen profiteren.

1.2 Doel

Het onderzoek richt zich op risicomanagement bij niet-beursgenoteerde organisaties opererend op de nationale markt in de drie noordelijke provincies van Nederland. De doelstelling van mijn onderzoek is: het onderzoeken van de mogelijkheden voor

(verdere) toepassing van risicomanagement voor niet-beursgenoteerde organisaties opererend op de nationale markt.

1.3 Centrale vraag en deelvragen

Om de doelstelling van het onderzoek te bereiken heb ik de volgende centrale vraag geformuleerd: Hoe kunnen niet-beursgenoteerde organisaties gevestigd op de

nationale markt risicomanagement zinvol toepassen?

Om deze centrale vraag te kunnen beantwoorden, zal ik mij eerst moeten verdiepen in wat risicomanagement precies inhoudt en welke wetgeving relevant is voor niet-beursgenoteerde organisaties. Vervolgens zal ik kijken naar de mogelijkheden die risicomanagement kan bieden. Hierbij kijk ik zowel naar het perspectief van de accountants en adviseurs als van de organisatie. De uitkomst hiervan vergelijk en analyseer ik met elkaar. Dit leidt tot de volgende deelvragen:

1. Wat houdt risicomanagement in?

2. Welke wetgeving met betrekking tot risicomanagement is relevant voor niet-beursgenoteerde organisaties?

3. Welke mogelijkheden biedt toepassing van risicomanagement binnen niet-beursgenoteerde organisaties volgens accountants en adviseurs en in welke mate wordt hieraan in de praktijk invulling gegeven?

4. Welke mogelijkheden zien de niet-beursgenoteerde organisaties in toepassing van risicomanagement en in welke mate komt die overeen met de visie van accountants en adviseurs?

1.4 Toelichting vraagstelling onderzoek

In deze paragraaf zal ik de vraagstelling zoals ik die gebruik voor mijn onderzoek toelichten en onderbouwen. Per deelvraag zal ik toelichten wat ik ga onderzoeken, welke relaties ik wil leggen en waarom ik bepaalde keuzes heb gemaakt. Hoe ik de informatie ga verzamelen zal zijdelings ter sprake komen. Dit behandel ik nog expliciet in paragraaf 1.6.

(9)

In mijn onderzoek kijk ik naar risicomanagement bij niet-beursgenoteerde organisaties op de nationale markt. Om hiernaar goed onderzoek te kunnen uitvoeren, zal ik mij eerst goed moeten verdiepen in de bestaande literatuur over het onderwerp. Daarom zal ik eerst het begrip risicomanagement definiëren en toelichten. Ook zal ik bij deze deelvraag het COSO ERM Framework introduceren en de essentie hiervan toelichten. Dit raamwerk gebruik ik als basis in mijn onderzoek, omdat dit een wereldwijd geaccepteerd concept voor toepassing van risicomanagement is. Daarnaast komen ook diverse andere artikelen en publicaties aan de orde.

Aangezien wetgeving de visie van zowel accountants als organisaties kan beïnvloeden, ga ik mij verdiepen in de relevante wetgeving voor niet-beursgenoteerde organisaties met betrekking tot risicomanagement. In de tweede deelvraag ga ik een beeld schetsen welke wetgeving in Nederland en enkele andere Westerse landen bestaat over risicomanagement en in hoeverre deze relevant is voor niet-beursgenoteerde organisaties. Vanuit dit perspectief kan ik vervolgens kijken hoe niet-beursgenoteerde organisaties hiermee omgaan.

Na de beantwoording van de eerste twee deelvragen heeft er voldoende verdieping in het onderwerp plaatsgevonden om aan het empirische gedeelte van het onderzoek te beginnen. In de derde deelvraag ga ik onderzoeken hoe accountants en adviseurs kijken naar toepassing van risicomanagement bij niet-beursgenoteerde bedrijven. Hierbij geldt het COSO ERM Framework als uitgangspunt wat betreft de mogelijkheden voor toepassing van risicomanagement. Belangrijk hierbij is wel de nuancering aan te brengen dat risicomanagement en het COSO ERM Framework geen synoniemen zijn. Door in gesprek te gaan met accountants en adviseurs krijg ik een visie hoe accountants aankijken tegen de mogelijkheden die toepassing van risicomanagement biedt voor niet-beursgenoteerde organisaties. Tegelijkertijd ga ik hier de vergelijking maken in welke mate de organisaties deze mogelijkheden in de ogen van de accountant ook daadwerkelijk toepassen. Via deze wijze kom ik tot een soort ideaalsituatie voor toepassing van risicomanagement bij niet-beursgenoteerde organisaties.

Vanuit deze ideaalsituatie ga ik ook in gesprek met functionarissen van niet-beursgenoteerde organisaties die direct betrokken zijn bij de toepassing van risicomanagement in hun organisatie. Ik kies hierbij voor organisaties waarin accountants hebben aangeven dat risicomanagement daar speelt. De organisaties wil ik vragen naar hun visie over de mogelijkheden voor toepassing van risicomanagement. Tevens maak ik een vergelijking tussen de visie van de accountant en van de organisaties. Ook wil ik proberen een verklaring te vinden waarom er een verschil tussen de visie van de accountant en de organisaties is. Mijn verwachting vooraf is dat er een verschil in visie is. Dit heb ik niet onderzocht, maar acht ik aannemelijk aangezien de accountant de focus legt op beheersing van risico’s en een organisatie primair op geld verdienen.

(10)

1.5 Afbakening en randvoorwaarden

Voor het onderzoek is het van belang aan te geven binnen welke grenzen en mogelijkheden ik dit onderzoek uitvoer. Ook is het van belang omschrijvingen zoals gebruikt in de doelstelling en vraagstellingen te operationaliseren zodat hierover geen onduidelijkheid bestaat. Het onderzoek richt zich op niet-beursgenoteerde organisaties gevestigd in de provincies Groningen, Friesland en Drenthe. In de rest van het onderzoek zal ik dit de nationale markt noemen. Ik kies bewust voor de definiëring nationale markt, omdat ik niet de indruk wil wekken dat er een verschil bestaat tussen toepassing van risicomanagement in de noordelijke drie provincies en de rest van Nederland. De keuze om het onderzoek te richten op de noordelijke drie provincies heeft voornamelijk praktische redenen.

Ik hanteer het begrip niet-beursgenoteerde organisaties. Dit is een ruim begrip, dat ik als volgt ga toepassen in mijn onderzoek. Een niet-beursgenoteerde organisatie is een organisatie die geen beursnotering heeft. Om het onderzoek af te bakenen, kijk ik alleen naar middelgrote en grote organisaties zoals het Burgerlijk Wetboek deze begrippen definieert. Het Burgerlijk Wetboek hanteert voor 2008 de volgende criteria voor het vaststellen in welke categorie een organisatie valt:

Een organisatie wordt als klein getypeerd indien deze twee achtereenvolgende jaren aan minimaal twee van de onderstaande criteria voldoet (BW 2:396 lid 1):

a. de waarde van de activa volgens de balans met toelichting bedraagt, op de grondslag van verkrijgings- en vervaardigingsprijs, niet meer dan € 4 400 000; b. de netto-omzet over het boekjaar bedraagt niet meer dan € 8 800 000;

c. het gemiddeld aantal werknemers over het boekjaar bedraagt minder dan 50. Een organisatie wordt als middelgroot getypeerd indien deze twee achtereenvolgende jaren aan minimaal twee van de onderstaande criteria voldoet (BW 2:397 lid 1): a. de waarde van de activa volgens de balans met toelichting, bedraagt, op de

grondslag van verkrijgings- en vervaardigingsprijs, niet meer dan € 17 500 000; b. de netto-omzet over het boekjaar bedraagt niet meer dan € 35 000 000;

c. het gemiddeld aantal werknemers over het boekjaar bedraagt minder dan 250. Een organisatie wordt als groot getypeerd indien deze twee achtereenvolgende jaren aan minimaal twee van de onderstaande criteria voldoet:

d. de waarde van de activa volgens de balans met toelichting, bedraagt, op de grondslag van verkrijgings- en vervaardigingsprijs, meer dan € 17 500 000; e. de netto-omzet over het boekjaar bedraagt meer dan € 35 000 000;

f. het gemiddeld aantal werknemers over het boekjaar bedraagt 250 of meer.

Organisaties die buiten de categorie middelgroot of groot vallen, een beursnotering hebben en/of niet opereren op de nationale markt in Groningen, Friesland of Drenthe zijn niet meegenomen in dit onderzoek. Dit wil niet zeggen dat de onderzoeksresultaten niet relevant voor andere partijen kunnen zijn. Ook niet-beursgenoteerde organisaties gevestigd in andere provincies of organisaties van een andere omvang kunnen mogelijk de onderzoeksresultaten gebruiken. Het is zelfs aannemelijk dat bij een vergelijkbaar onderzoek in alle of andere provincies van Nederland dezelfde onderzoeksresultaten naar voren komen Het onderzoek is alleen niet primair op hen gericht.

(11)

1.6 Onderzoeksmethodiek

Voor het beantwoorden van de centrale vraag en daaruit voortvloeiend het bereiken van de doelstelling van het onderzoek zullen de verschillende deelvragen moeten worden onderzocht. De deelvragen zijn zodanig opgebouwd dat dit uiteindelijk leidt tot het kunnen beantwoorden van de centrale vraag. In deze paragraaf zal ik de onderzoeksmethoden die ik ga gebruiken toelichten.

Voor de beantwoording van de eerste twee deelvragen ga ik een literatuuronderzoek uitvoeren. Door het bestuderen van het COSO ERM Framework en diverse wetenschappelijke artikelen en publicaties kan ik het begrip risicomanagement definiëren. Ook zal ik aan de hand van dit literatuuronderzoek een beschrijving van de inhoud van risicomanagement geven. Dit geldt ook voor de relevante wetgeving. Op basis van wetenschappelijke artikelen en publicaties beschrijf ik de bestaande wetgeving in diverse Westerse landen en Nederland. Daarnaast zal ik ook de gevonden onderzoeksresultaten in de rest van het onderzoek, waar mogelijk, vergelijken met relevante literatuur. Over risicomanagement is veel geschreven en gediscussieerd. Veel van deze publicaties en discussies gaan over grote (beursgenoteerde) organisaties. Echter is een groot gedeelte van deze publicaties ook gedeeltelijk relevant voor minder grote (niet-beursgenoteerde) organisaties. De relevante delen zal ik in het onderzoek dus gebruiken.

Het empirische deel van dit onderzoek bestaat uit twee delen. Het eerste gedeelte bestaat uit interviews en het tweede gedeelte uit het verzamelen en analyseren van jaarverslagen. Voor de beantwoording van de derde en vierde deelvraag ga ik een achttal interviews houden. De keuze voor acht interviews is ingegeven doordat dit enerzijds een goed beeld zal geven van de visie van de betrokken partijen en anderzijds dat er binnen de beschikbare tijd voor dit onderzoek geen ruimte is voor meer interviews. Om tot een ideaalbeeld voor toepassing van risicomanagement bij niet-beursgenoteerde organisaties te komen, ga ik twee accountants en twee adviseurs interviewen. Ik kies voor zowel accountants als adviseurs van accountantsorganisaties, omdat ik hiermee een bredere kijk op de mogelijkheden denk te krijgen. Het is mogelijk dat accountants meer of minder mogelijkheden zien dan adviseurs. In ieder geval moet elke gesprekspartner bekend zijn met risicomanagement binnen organisaties. Op basis van het verkregen beeld hoe de accountant kijkt naar de mogelijkheden van toepassing van risicomanagement bij niet beursgenoteerde organisaties, ga ik ook interviews houden met functionarissen van organisaties. Ik selecteer de organisaties op basis van het criterium dat zij openstaan voor toepassing van risicomanagement en met de invoering hiervan ook daadwerkelijk begonnen zijn. De resultaten uit deze interviews ga ik met elkaar vergelijken en analyseren.

1.7 Relevantie

In de inleiding heb ik al beschreven dat risicomanagement een actueel onderwerp binnen de financiële wereld is. De relevantie van het onderwerp risicomanagement spreekt dus voor zich. In eerdere stage- en afstudeeropdrachten heb ik ervaren dat veel organisaties kampen met kennisleemtes betreffende risicomanagement en slechts beperkte beschikbare tijd om hiermee aan de slag te gaan. Toch is er vaak

(12)

wel interesse aangezien een goed geïmplementeerd systeem van risicomanagement het bedrijf kan helpen haar doelstellingen te halen. Zelf heb ik mijn afstudeeropdracht van mijn vorige studie uitgevoerd voor een bedrijf die voor het eerste jaar wettelijk verplicht werd een accountantscontrole uit te laten voeren. Binnen dit bedrijf was bij het management wel het besef dat de interne beheersing nog van onvoldoende niveau was, maar gebrek aan kennis en tijd waren debet aan het ontbreken van diverse beheersmaatregelen. Aangezien het mij aannemelijk lijkt dat dit voor een grote groep organisaties opererend op de nationale markt geldt, lijkt het mij relevant om hiernaar onderzoek te verrichten. Dat het meeste onderzoek op het gebied van risicomanagement gericht is geweest op beursgenoteerde organisaties en niet op niet-beursgenoteerde organisaties is een andere reden waarom dit onderzoek relevant is.

Dit onderzoek kan relevant zijn voor diverse partijen. Ten eerste geldt dit voor organisaties opererend op de nationale markt in Groningen, Drenthe en Friesland. De uitkomsten van het onderzoek kunnen nationale organisaties helpen bij het kiezen voor (verdere) toepassing van risicomanagement binnen hun organisatie. Het onderzoek zal leiden tot een beeld welke mogelijkheden risicomanagement, gericht op de situatie dat er beperktere middelen beschikbaar zijn, biedt.

Ook kan het onderzoek relevant zijn voor niet-beursgenoteerde organisaties die (hoofdzakelijk) opereren in de andere provincies. Ook al richt het onderzoek zich niet op deze organisaties en provincies, de resultaten zullen (gedeeltelijk) ook bruikbaar zijn voor organisaties uit de andere provincies. Niet-beursgenoteerde organisaties in de rest van Nederland moeten aan dezelfde regel- en wetgeving voldoen. Verschillen zijn mogelijk te verwachten in bedrijfscultuur en dergelijke, maar het is niet wetenschappelijk bewezen dat toepassing van risicomanagement per regio in Nederland verschilt. Zodoende is het aannemelijk dat de onderzoeksresultaten voor alle niet-beursgenoteerde organisaties bruikbaar kunnen zijn.

Tot slot zou het onderzoek relevant kunnen zijn voor gebruikers van de jaarrekening van niet-beursgenoteerde organisaties. Als niet-beursgenoteerde organisaties bewust met risicomanagement bezig zijn, is het aannemelijk dat zij hierover ook (meer) gaan toelichten in het jaarverslag. Indien meer organisaties informatie over de invulling van risicomanagement opnemen, gaan concurrenten hier vaak in mee. De gebruikers van de jaarrekening kunnen de rapportage over risicomanagement dan in hun oordeel over de bedrijfsvoering meenemen.

1.8 Opbouw van het rapport

Het rapport is zodanig opgebouwd dat na de onderzoeksopzet de verschillende deelvragen achtereenvolgens in afzonderlijke hoofdstukken worden behandeld. Eerst zal ik het begrip risicomanagement toelichten op basis van diverse wetenschappelijke literatuur. Als tweede komt de relevante wetgeving voor niet-beursgenoteerde organisaties op het gebied van risicomanagement aan de orde. Beide punten zijn terug te vinden in het tweede hoofdstuk over de literatuurbespreking. Daarna zal onderzoek plaatsvinden naar de mogelijkheden die risicomanagement voor niet-beursgenoteerde organisaties in de visie van accountants en adviseurs biedt. Dit zal ook gebeuren voor de visie van

(13)

niet-beursgenoteerde organisaties. Beide visies zal ik vervolgens met elkaar vergelijken en analyseren. Deze onderzoeksresultaten vindt u terug in hoofdstuk drie en vier. Tot slot zal ik in het vijfde hoofdstuk afsluiten met conclusies, aanbevelingen en een evaluatie. Hierin schenk ik aandacht aan de beperkingen van dit onderzoek en de mogelijkheden voor vervolgonderzoek.

(14)

2. Literatuurbespreking

In de literatuurbespreking ga ik de belangrijkste concepten, theorieën en relevante artikelen behandelen. Hierin zal ik een samenvatting van het COSO ERM Framework geven, maar ook ingaan op een aantal relevante artikelen betreffende risicomanagement. Ik begin met een korte beschrijving van de historie van risicomanagement, definieer vervolgens het begrip risicomanagement en ga daarna in op het COSO ERM Framework. Vervolgens zal ik een beschouwing geven van verschillende publicaties en artikelen met betrekking tot Enterprise Risk Management en dit vergelijken met het COSO ERM Framework. Daarna beschrijf ik twee theorieën over groeifases van organisaties. Tot slot schets ik een beeld van de bestaande wetgeving in binnen- en buitenland met betrekking tot risicomanagement en in welke mate deze relevant is voor niet-beursgenoteerde organisaties. Met deze literatuurbespreking behandel ik de eerste twee deelvragen: ‘Wat houdt

risicomanagement in’? en ‘Welke wetgeving met betrekking tot risicomanagement is relevant voor niet-beursgenoteerde organisaties’?

2.1 Definiëring

Voordat ik zal beginnen met het bespreken van belangrijke concepten, theorieën en artikelen die ik ga gebruiken, moet ik eerst een definitie van risicomanagement vaststellen.

Aangezien ik COSO als kernliteratuur voor mijn onderzoek hanteer, heb ik eerst gekeken naar de definitie die COSO geeft voor risicomanagement. COSO hanteert voor risicomanagement de term Enterprise Risk Management (ERM). COSO ERM definieert dit als volgt: “Enterprise Risk Management is a process, effected by an

entity’s board of directors, management, and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”.

Vertaald levert dit de volgende definitie op: “Organisatiemanagement is een proces

dat bewerkstelligd wordt door het bestuur van de organisatie, het management, en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele organisatie, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de organisatie te identificeren en om risico’s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de organisatiedoelstellingen”.

Er zijn echter meer definities van ERM in de literatuur beschreven. Een voorbeeld van een andere definitie van een ERM-systeem is: “Het systeem dat het management

in staat stelt om de risico’s, die het behalen van doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen” (Emanuels

2005).

De laatste definitie van ERM die ik benoem is die van The Conference Board. Dit is een non-profitonderzoeksinstituut in de Verenigde Staten dat wordt gefinancierd

(15)

door het bedrijfsleven en al meer dan 90 jaar bestaat. The Conference Board definieert (Heffes en Marshall 2005) ERM als: “A framework, instituted by a firm’s

board of directors and management, that is applied strategically and across the enterprise. It is designed to identify potential events that may impact the firm, manage risks within defined parameters and provide reasonable assurance regarding the achievement of the firm’s business objectives”.

In onderzoek (Paape en Swagerman 2006, p.14) naar toepassing van risicomanagement in Nederland staat ook een definitie wat ERM de organisatie te bieden heeft: “ERM biedt een organisatie de mogelijkheid om proactief te reageren op

veranderende omstandigheden. Door het vroegtijdig signaleren van mogelijke gebeurtenissen en daaruit voortvloeiende risico’s is de organisatie in staat om tijdig actie te nemen en het systeem van interne beheersmaatregelen op adequate wijze aan te passen”.

Er is dus niet één algemene definitie van ERM die alle instanties en auteurs hanteren. Wel hebben alle definities dezelfde essentie. In alle definities komt terug dat ERM gericht is om een organisatie te helpen met het halen van doelstellingen door de belangrijkste risico’s te identificeren en te beheersen. Je kunt niet stellen dat er één juiste definitie is. De bevinding dat diverse instanties en auteurs in essentie hetzelfde met risicomanagement bedoelen, maar hieraan een eigen invulling geven biedt juist perspectief. Dit geeft aan dat er ruimte is voor organisaties om vanuit de basisdefinitie een eigen invulling die zij het beste achten voor de organisatie toe te passen.

2.2 Historie risicomanagement

Door in deze paragraaf een kort en globaal beeld van de historie van risicomanagement te schetsen, wil ik het begrip risicomanagement in een breder kader plaatsen. In dit onderzoek ga ik uit van het begrip Enterprise Risk Management. Zo is risicomanagement echter niet ontstaan. ERM is een modernisering en volgens diverse auteurs verbeterde versie van traditioneel risicomanagement. De belangrijkste verschillen hiertussen komen in deze paragraaf dus ook aan de orde.

In een onderzoek naar risicomanagement schetst Flynn (2008, p. 1-2) een beeld over de historie van risicomanagement. De diverse boekhoudschandalen en de invoering van de Sarbanes Oxley wetgeving in de Verenigde Staten zijn aanleidingen waardoor organisaties meer aandacht aan risicomanagement zijn gaan besteden. Risicomanagement is echter niet iets wat pas enkele jaren bestaat. Een exact jaartal van ontstaan valt moeilijk te bepalen zonder hierna specifiek literatuuronderzoek te doen: hiervoor moet je eerst bepalen welke acties je onder risicomanagement verstaat. Daarbij moet je ook een norm vaststellen wanneer er voldoende acties zijn genomen om over risicomanagement te mogen spreken. Dit is ook niet belangrijk voor het onderzoek, maar dit voorbehoud wil ik wel maken. In het onderzoek stelt Flynn dat in 1878 de beheerders van de spoorwegen zich al bezighielden met het risico dat werkzaamheden aan het spoor met zich meebracht en hoe zij hiermee om konden gaan. Volgens Flynn kwam expliciet implementeren van risicomanagement rond 1960 opzetten. Het Canadese bedrijf Massey-Ferguson zou het eerste bedrijf

(16)

zijn geweest die risicomanagement in de organisatie heeft geïmplementeerd. Vele organisaties volgden in de jaren erna. Vanaf ongeveer 1980 kwam de functie risk manager opzetten. Dit was een gevolg van nieuwe wet- en regelgeving. Nieuwe of gewijzigde wet- en regelgeving lijkt dus een belangrijke invloed op de toepassing van risicomanagement te hebben. De bovenstaande beschrijving betrof echter de toepassing van traditioneel risicomanagement en is nog geen toepassing van ERM. In een artikel over risicomanagement stelt Banham (2004) dat ERM verschilt van traditioneel risicomanagement. Traditioneel risicomanagement richt zich op één categorie. ERM centraliseert risicomanagement onder controle van een risk manager. Ook Beasley et al. (2008) stellen dat het grootste verschil tussen traditioneel risicomanagement en ERM in de verantwoordelijkheden ligt. In het verleden lag de nadruk op individuele functies terwijl ERM op een hele business unit of organisatie is gericht. Hierdoor wordt de gehele organisatie beschermd. Het voordeel van ERM is dat risico’s die meer delen van de organisatie bedreigen overal worden beheerst en niet alleen op één plaats in de organisatie.

In het onderzoek naar de toepassing van risicomanagement (Paape en Swagerman 2006, p.15) komt dit onderscheid ook terug. Zij komen zelfs met vier essentiële verschillen tussen Enterprise Risk Management en traditioneel risicomanagement naar voren. Ten eerste brengt ERM de aard en omvang van risico’s expliciet in beeld terwijl traditioneel risicomanagement vaak uitgaat van het impliciet inschatten van risico’s. Het tweede verschil betreft de wijze van totstandkoming. ERM is een weloverwogen en gestructureerd proces in tegenstelling tot traditioneel risicomanagement dat vaak op organische wijze tot stand is gekomen. Ten derde kiest ERM voor een integrale benadering van alle typen risico’s, waar traditioneel risicomanagement de risico’s afzonderlijk beoordeelt. Het laatste genoemde verschil betreft de aanpak van risicomanagement. ERM kiest voor een uniforme benadering voor de gehele organisatie terwijl de aanpak bij traditioneel risicomanagement per organisatieonderdeel verschilt.

2.3 COSO ERM Framework

Het COSO ERM Framework is een wereldwijd geaccepteerd raamwerk voor toepassing van risicomanagement. Daarom neem ik voor de toepassing van risicomanagement dit raamwerk in dit onderzoek als basis. Hierbij wil ik benadrukken dat toepassen van het COSO ERM Framework niet de enige juiste manier van toepassing van risicomanagement is. Zoals ik later verder zal toelichten, zullen organisaties hun eigen invulling aan risicomanagement geven. Het COSO ERM Framework is een handvat hoe organisaties risicomanagement zouden kunnen toepassen. Na een introductie over het ontstaan van COSO, bespreek ik de belangrijkste doelstellingen en onderdelen van het raamwerk. Ik ga verder met een korte beschouwing over de beperkingen. Tot slot kijk ik hoe ERM in de praktijk werkt.

(17)

2.3.1 Ontstaan

In 1992 introduceerde het Committee of Sponsoring Organizations of the Treadway Commission het Integrated Framework. Twaalf jaar later bracht dezelfde commissie een vernieuwd raamwerk uit. Dit raamwerk geldt momenteel als het meest gebruikte concept voor risicomanagement binnen het bedrijfsleven (Fraser et al.2008). Het oorspronkelijke doel van het uitvaardigen van het COSO ERM Framework was om organisaties te helpen met het beoordelen en verbeteren van de interne beheersingssystemen. In het in 2004 uitgebrachte raamwerk geven de ontwerpers ook de voornaamste reden van de aanpassing aan. Dit betreft het toegenomen belang van risicomanagement. De commissie herkende de behoefte voor een raamwerk waarmee organisaties op effectieve wijze risico’s kunnen identificeren, beoordelen en beheersen.

2.3.2 Inhoud van het raamwerk

Het COSO ERM Framework is opgebouwd uit een viertal doelstellingen en een achttal met elkaar verbonden componenten. Deze komen samen in een driedimensionale matrix, in de vorm van een kubus. In deze kubus is de relatie tussen de doelstellingen die een organisatie probeert te halen en de componenten van ERM weergegeven. De vier doelstellingen bovenaan de kubus zijn strategisch, operationeel, rapportage en compliance. De acht componenten aan de voorkant van de kubus betreffen interne omgeving, doelstellingen, identificatie gebeurtenissen, risicobeoordeling, reactie op risico, beheersingsactiviteiten, informatie & communicatie en bewaking. Aan de rechterkant toont de kubus vier mogelijkheden van niveaus om ERM toe te passen in een organisatie. Dit kan op de organisatie als geheel, maar ook per categorie doelstellingen, per component, per bedrijfsonderdeel of een deel hiervan. Ik zal de drie hoofdcategorieën van de kubus nu één voor één nader toelichten.

(18)

Figuur 1: COSO ERM Framework

Doelstellingen

Het COSO ERM Framework beoogt organisaties te helpen om de organisatiedoelstellingen te bereiken. Het raamwerk is ingedeeld in vier categorieën:

Strategisch (Strategic)

Operationeel (Operations)

Rapportage (Reporting)

Compliance (Compliance)

De strategische doelstellingen richten zich op de globale doelen en zijn afgestemd op de missie. Operationele doelstellingen richten zich op het effectief en efficiënt gebruik van de middelen die beschikbaar zijn in de organisatie. De doelstelling met betrekking tot rapportage betreft de betrouwbaarheid van de verslaggeving. Tot slot richt de doelstelling compliance zich op de juiste naleving van relevante wet- en regelgeving.

Componenten

Zoals aangegeven bestaat het COSO ERM Framework uit acht met elkaar verbonden componenten. Dit zijn:

Interne omgeving (Internal Environment)

Doelstellingen (Objective Setting)

Identificatie gebeurtenissen (Event Identification)

Risicobeoordeling (Risk Assessment)

Reactie op risico (Risk Response)

(19)

Informatie & communicatie (Information & Communication)

Bewaking (Monitoring)

Interne omgeving

De interne omgeving is de basis voor hoe een organisatie tegen risico’s aankijkt en hoe zij hiermee omgaat. Hierbij spelen formele beslissingen als risicobeheer en risicoacceptatiegraad een rol. Echter behoren ook informele zaken zoals integriteit, cultuur en ethische normen en waarden tot de interne omgeving.

Doelstellingen

Een organisatie die volgens ERM werkt, zal doelstellingen moeten formuleren. Zonder deze doelstellingen kan het management potentiële gebeurtenissen die het behalen van de doelstellingen kunnen bedreigen niet signaleren. ERM streeft een proces na waarin het management doelstellingen vastlegt en vervolgens afstemt op de missie en risicoacceptatiegraad.

Identificeren gebeurtenissen

Zowel interne als externe gebeurtenissen kunnen invloed hebben op het behalen van de geformuleerde doelstellingen. Deze gebeurtenissen moet de organisatie identificeren om ze vervolgens te onderscheiden in risico’s en kansen. Belangrijk hierbij is dat een organisatie geen invloed heeft op externe gebeurtenissen en hier dus alleen op kan reageren. Interne gebeurtenissen heeft de organisatie wel zelf invloed op.

Risicobeoordeling

Risico’s die door de organisatie zijn geïdentificeerd, moet de organisatie analyseren. Hierin maakt de organisatie per risico een inschatting van de kans dat de gebeurtenis plaatsvindt en de impact die het op de doelstellingen zal hebben. Op basis van deze analyse bepaalt de organisatie hoe zij een risico gaat beheersen. In dit proces schat de organisatie het inherente en restrisico in.

Reactie op risico

De organisatie heeft de keuze uit een viertal reacties op risico’s. Deze vier mogelijkheden zijn vermijden, accepteren, verminderen of delen van het risico. Per risico zal het management moeten afwegen welke reactie zij hanteert. Aan de hand van deze beslissing kiest de organisatie voor een aantal reacties om de risico’s in voldoende mate te beheersen. Wat in voldoende mate is, hangt af van de risicotolerantie en risicoacceptatiegraad van de organisatie.

Beheersingsactiviteiten

Op basis van de keuze voor een reactie stelt de organisatie richtlijnen en procedures op. Deze richtlijnen en procedures zal het management in de organisatie laten implementeren. Deze beheersingsmaatregelen moeten waarborgen dat de uitvoering van de beheersing van de risico’s effectief verloopt.

Informatie & Communicatie

In deze component vindt identificatie, verzameling en communicatie van relevante informatie plaats. Dit moet in een vorm zijn zodat de mensen binnen de organisatie hun verantwoordelijkheden kunnen uitvoeren.

(20)

Bewaking

Het geheel van ERM wordt bewaakt om niet effectieve maatregelen tijdig te signaleren. Waar nodig kan het management dan tijdig wijzigingen aanbrengen zodat het ERM-proces wel (weer) effectief werkt. Bewaking vindt plaats door continue managementactiviteiten, evaluaties of een combinatie van beide.

Mogelijkheden voor toepassing

Een organisatie kan het COSO ERM Framework op verschillende manier toepassen. Een optie is om ERM toe te passen voor de organisatie als geheel. Andere opties zijn te focussen per component, categorie doelstellingen, bedrijfsonderdeel of een deel hiervan. Concreet betekent dit dat toepassing van ERM binnen een organisatie op verschillende manier kan plaatsvinden. In paragraaf 2.3.4 ga ik hier dieper op in. Daar kom ik ook met enkele concrete voorbeelden hoe organisatie risicomanagement kunnen toepassen.

Er is een duidelijk theoretisch verhaal over de opzet van het COSO ERM Framework ontstaan. COSO geeft ook een handreiking hoe je kunt vaststellen of een ERM-systeem effectief is. “Dit is een oordeel dat resulteert uit een inschatting of de acht

componenten aanwezig zijn en effectief functioneren”. De behandelde acht

componenten dienen volgens COSO dus ook als criteria of een ERM-syteem effectief is. Als het ERM-systeem als effectief wordt beschouwd, heeft het bestuur en management van een organisatie in de ogen van COSO redelijke zekerheid dat zij inzicht hebben in de vier besproken doelstellingen.

In dit onderzoek richt ik mij specifiek op niet-beursgenoteerde organisaties. Ook hier zegt het COSO ERM Framework wat over: “De acht componenten zullen niet op

identieke wijze functioneren binnen elke organisatie. Toepassing in kleine en niet-beursgenoteerde organisaties, bijvoorbeeld, zal minder formeel en gestructureerd plaatsvinden. Kleine organisaties kunnen nochtans beschikken over effectief organisatierisicomanagement, zolang de acht componenten aanwezig zijn en adequaat functioneren”. Dit is de eerste aanwijzing dat het raamwerk ook geschikt

zou (kunnen) zijn voor toepassing bij niet-beursgenoteerde organisaties. Dit is slechts de visie van COSO en zal nog niet als aanname gebruikt kunnen worden. Het is wel een interessante bevinding dat COSO zelf refereert naar kleinere organisaties.

2.3.3 Beperkingen ERM

In het COSO ERM Framework is een apart hoofdstuk waarin de auteurs zelf de beperkingen aan hun raamwerk aan de orde stellen. Het is van belang om te begrijpen waar de ontwerpers van het raamwerk hun concept voor bedoeld hebben en waar het raamwerk niet in opzet voor bedoeld is of niet in voorziet. Daarom behandel ik in deze paragraaf de door de auteurs zelf genoemde beperkingen van hun ERM Framework.

In het kijken naar de beperkingen van ERM moeten drie duidelijke concepten worden herkend. Ten eerste zijn risico’s gerelateerd aan de toekomst. Een kenmerk van de toekomst is dat het onzeker is wat er gaat gebeuren. Ten tweede helpt ERM

(21)

met het behalen van de doelstellingen en geeft een handreiking hoe een organisatie kan omgaan met risico’s die het halen hiervan bedreigen. Het (effectief) toepassen van ERM geeft echter geen zekerheid over het behalen van de doelstellingen. Sommige gebeurtenissen liggen buiten de beïnvloedingssfeer van het management. Het derde punt gaat hier op door. ERM kan geen absolute zekerheid verschaffen over het behalen van organisatiedoelen. Het kan altijd voorkomen dat een proces niet exact doet wat de intentie ervan is. Dit wil niet zeggen dat deze redelijke mate van zekerheid ervoor zorgt dat ERM frequent faalt. Het geeft alleen aan dat het geen absolute zekerheid verschaft dat alles zo verloopt als gehoopt en bedoeld.

Ook geven de auteurs aan dat de effectiviteit van ERM afhankelijk is van de mensen die de beslissingen hierover nemen. Gebrek aan beschikbare tijd, goede informatie of andere botsende omstandigheden kunnen een negatieve invloed hebben op de effectiviteit van het ERM-systeem. Een andere beperking is dat ook goed ontworpen ERM-systemen op termijn tekort kunnen schieten. Dit kan bijvoorbeeld gebeuren als personeel instructies verkeerd begrijpt en/of toepast. Signalen dat het systeem niet optimaal werkt, moet het personeel herkennen en tot een reactie leiden. Daarnaast bestaat altijd de mogelijkheid dat mensen in de organisatie samenspannen. Tegen samenspanning kan het ERM Framework niet op. Dit is begrijpelijk, maar tegelijkertijd belangrijk dat het management dit ook beseft. Tevens zal een ERM-systeem slechts in zodanige mate ingericht zijn dat de voordelen die het oplevert opwegen tegen de kosten. Beheersmaatregelen die wel nuttig zijn, maar dusdanig veel financiële middelen kosten, zal een organisatie vaak niet implementeren. Het is de kunst om de goede balans hierin te vinden. De laatste aangedragen beperking heeft betrekking op de steun die invoering van ERM nodig heeft. ERM kan alleen effectief zijn als het management achter de invoering staat en de personen die verantwoordelijk zijn meewerken. Het management heeft vaak de macht opgestelde regels en richtlijnen negeren om bijvoorbeeld de jaarcijfers te verbeteren.

Het is dus volgens de ontwerpers van het raamwerk niet zo dat ERM allerlei leemtes in de beheersing laat. Wel kunnen diverse omstandigheden ervoor zorgen dat het ERM-systeem niet zo optimaal functioneert als bij het ontwerp bedoeld is. Het is daarom belangrijk bij invoering van een ERM-systeem deze beperkingen goed in ogenschouw te nemen.

2.3.4 Toepassing ERM in de praktijk

Het COSO ERM Framework biedt organisaties mogelijkheden voor toepassing van ERM binnen hun organisatie. Het is een raamwerk dat organisaties kunnen gebruiken om ERM te implementeren. Het kenmerk van een raamwerk is dat het een algemene beschrijving van elementen betreft. Elke organisatie is uniek en daar moet een organisatie bij het ontwerpen van hun interne beheersingssysteem rekening mee houden. In deze paragraaf ga ik in op aandachtspunten voor organisaties bij het implementeren van ERM. Hiervoor maak ik onder meer gebruik van het onderzoek van Paape en Swagerman (2006, p. 41-49) waarin zij een viertal interviews hebben afgenomen met bestuurders van Nederlandse beursgenoteerde organisaties.

Voordat ik concrete voorbeelden van toepassing van risicomanagement in de praktijk geef, zal ik eerst de gesprekspartners uit het onderzoek kort introduceren.

(22)

De eerste gesprekspartner was Robert-Jan van de Kraats (Chief Financial Officer, Randstad Holding). De tweede geïnterviewde betrof Chris Spanjaard (Hoofddirecteur, Informatie Beheer Groep). Ten derde kwam Frank Sonnemans (Chief Financial Officer, Provimi) aan het woord. Als vierde en laatste gesprekspartner is Hans Leenaars (lid Raad van Bestuur, Bank Nederlandse Gemeenten) geïnterviewd. Het valt op dat de interviews met bestuurders van verschillende soorten organisaties zijn gehouden. Per organisatie zal ik globaal beschrijven hoe zij ERM binnen hun organisatie hebben geïmplementeerd en hoe zij tegen risicomanagement aankijken. Bij Randstad Holding is het risicomanagement onder de leiding van Robert-Jan van de Kraats vormgegeven. Hij is een voorstander van vrijheid op het gebied van risicomanagement om dit op eigen wijze in te vullen. Zo kan een organisatie goed rekening houden met factoren als cultuur en leiderschap. Dit zijn zogeheten soft controls die ik in de beschouwing over andere literatuur met betrekking tot ERM verder toelicht. Organisaties kunnen in de ogen van Van de Kraats zich onderscheiden van de concurrentie door middel van hun toepassing van risicomanagement. Binnen Randstad Holding is gekozen voor een pragmatische aanpak. Hiermee wilde de organisatie voorkomen dat er een theoretisch verhaal in de organisatie werd geduwd. Risicomanagement maakt zelfs deel uit van de basisstrategie. Randstad Holding heeft een eigen raamwerk voor risicomanagement ontwikkeld. Dit raamwerk is gebaseerd op vier hoofdcomponenten. De eerste betreft de ‘operating companies’. Alle afzonderlijke bedrijven van Randstad moeten zelf hun risico’s in kaart brengen en vaststellen dat de belangrijkste controlemaatregelen werken. Hierover dienen zij naar de holding te rapporteren. In het raamwerk bestaan vijf risicogebieden: business, wettelijke, organisatorische, financiële en reputatierisico’s. De tweede hoofdcomponent betreft duidelijkheid over de verantwoordelijkheid van de verschillende directies. Hiervoor moeten zij elk kwartaal een overzicht invullen. Over de kernverantwoordelijkheden van de lokale managers mogen geen onduidelijkheden bestaan. Als derde zijn er algemene bepalingen hoe beheersmaatregelen aanwezig moeten zijn in alle bedrijven van Randstad. De vierde hoofdcomponent is een periodieke analyse van de verzekerbare risico’s. Hierbij draait het om de kernvraag of risico’s te tolereren zijn of dat verzekeren verstandiger is. Voor alle vier de hoofdcomponenten vindt actieve bewaking plaats. Binnen dit raamwerk is goede communicatie essentieel en moeten belangrijke begrippen in de organisatie bij iedereen bekend zijn. Van de Kraats sluit af met de opmerking dat risicomanagement pas echt van toegevoegde waarde is als de belegger goed risicomanagement ook gaat waarderen.

De Informatie Beheer Groep heeft gekozen voor een andere aanpak van toepassing van risicomanagement. Zij zagen een kans om de kwaliteit van hun bedrijfsvoering te verbeteren. Risicomanagement is bij de organisatie begonnen met een risicoanalyse op strategisch gebied. Hierbij heeft de Informatie Beheer Groep ondersteuning gekregen van externen. Op basis van de analyse is een risicoprofiel opgesteld. De volgende stap betrof dat de verschillende directies ook een risicoanalyse gingen uitvoeren. In dit proces was de concerncontroller een belangrijke pion. Rapporteren over risico’s is ondertussen een vast onderdeel van de planning- en controlecyclus van de organisatie. Er is gekozen voor een soort ‘bottom-up benadering’ om inzicht te krijgen in de verschillende risico’s en vervolgens prioriteiten te bepalen. Spanjaard geeft aan dat zij het COSO ERM

(23)

Framework als referentie gebruiken. Er is een groeimodel ontwikkeld om de gehaalde verbeteringen in beeld te krijgen. De Informatie Beheer Groep streeft ernaar om op het gebied van risicomanagement voorop te lopen. Op deze manier wil de organisatie voorkomen dat zij achter de feiten aan gaat lopen. Door goede risicoanalyses kan de organisatie ontwikkelingen eerder signaleren. Daarnaast zijn risicoanalyses op lager niveau in de organisatie ook van toegevoegde waarde. De betrokken managers leren kijken vanuit het perspectief van bijvoorbeeld de klant. Managers moeten maandelijks in hun rapportage verklaren dat zij verantwoordelijkheid nemen voor de kwaliteit van de door hen gevoerde bedrijfsvoering. Organisaties die willen starten met invoering van risicomanagement kunnen in de ogen van Spanjaard veel voordeel hebben van andere mensen met ervaring op dit gebied. Dit hoeven niet persé externe adviseurs te zijn, maar kunnen ook collega’s van andere organisaties betreffen.

Voor Provimi geldt andere wet- en regelgeving dan de andere organisaties, omdat zij aan de Franse beurs genoteerd is. Hierdoor moet zij voldoen aan de ‘Loi sur la Sécurité Financière’. Het gevolg hiervan is dat Provimi verplicht is aan te tonen dat zij in-control is. De wijze waarop Provimi dit heeft aangepakt, is ten opzichte van andere in Frankrijke genoteerde organisaties als erg goed beoordeeld. Provimi is begonnen met het uitvoeren van een risicobeoordeling om de belangrijkste bedrijfsrisico’s te identificeren. Hierbij heeft zij gebruik gemaakt van de begrippen kans en impact. Deze risicobeoordeling leidde tot een beschrijving van de acht belangrijkste risico’s voor Provimi. Vervolgens is de afweging gemaakt welke risico’s intern beheersbaar zijn. Voor de externe risico’s is een inschatting van de mogelijke negatieve gevolgen gemaakt. Voor de risico’s die de organisatie intern ging beheersen, is een ‘test template’ geschreven waaruit een actieplan volgde. De belangrijkste risico’s zijn geïdentificeerd en op basis hiervan zijn de belangrijke beheersmaatregelen verder gedefinieerd. Het valt op dat de gekozen aanpak veel overeenkomsten heeft met het COSO ERM Framework. De invoering van risicomanagement heeft binnen Provimi bijgedragen aan een verhoogd risicobewustzijn. Een groot verschil met de eerdere situatie is dat alles nu schriftelijk is vastgelegd en hierdoor de beheersing aantoonbaar gemaakt is. De Franse toezichthouder streeft naar uitspraak over de werking van het risicobeheersings- en controlesysteem. De voorkeur van Provimi gaat uit naar enige vrijheid in het ontwikkelen van risicomanagement binnen de organisatie.

De Bank Nederlandse Gemeenten (BNG) heeft te maken met veel nieuwe wet- en regelgeving op het gebied van risicobeheersings- en controlesystemen. Hans Leenaars was actief betrokken bij de ontwikkelingen van risicomanagement in de organisatie. Naar zijn visie is de toename van het risicodenken binnen organisaties een goede ontwikkeling. Hij maakt hierbij wel het voorbehoud dat wet- en regelgeving ook te ver kan gaan waardoor organisaties het als last gaan ervaren. De toegevoegde waarde van risicomanagement is voor Leenaars geen discussiepunt. “Goed risicomanagement stelt je in staat om risico’s en rendementen beter op elkaar af

te stemmen”. Voor banken speelt meer wet- en regelgeving dan voor andere

organisaties, omdat zij ook moeten voldoen aan Bazel II. De beheersing van risico’s richt zich ook op bijvoorbeeld markt- en renterisico’s. De toepassing van risicomanagement is gericht op Bazel II en niet duidelijk beschreven.

(24)

Uit de verschillende gesprekken van Paape en Swagerman is dus gebleken dat iedere organisatie op een eigen wijze invulling geeft aan risicomanagement. Het is een belangrijk en tegelijkertijd lastig proces om te bepalen wat goed is voor de organisatie. De relevante wet- en regelgeving speelt hier zeker een rol in, maar bepaalt alleen de minimumeisen waar een organisatie aan moet voldoen. Uit de interviews komt naar voren dat organisaties graag bepalen hoe zij risicomanagement invullen zodat het van toegevoegde waarde voor de bedrijfsprocessen is. Door niet te veel vast te zitten aan eisen uit de wet- en regelgeving kunnen organisaties toepassing van risicomanagement specifiek maken. Hierbij kan de organisatie rekening houden met de omgeving waarin zij opereert. Bij verschillende organisaties zie je elementen uit het COSO ERM Framework terugkomen. Dit ondersteunt de veronderstelling dat het COSO ERM Framework een basis is vanuit waar organisaties op eigen wijze invulling aan risicomanagement kunnen geven.

Implementeren van ERM is zoals uit de woorden van de bestuurders blijkt een lastig proces. Er is meer literatuur over hoe organisatie kunnen omgaan met ERM in de praktijk. Om organisaties hierbij te helpen, hebben Shenkir en Walker (2008) een checklist ontwikkeld. Hierbij hebben zij ook gebruik gemaakt van het COSO ERM Framework. Zij formuleren de volgende actiepunten bij het implementeren van ERM:

Implementatie vereist volledige steun en instemming van het management en herkenning met betrekking tot hun verantwoordelijkheden.

Er moet een duidelijke risicofilosofie zijn waarin beschikbaarheid van mensen en middelen bepaald is.

Ontwikkelen van een strategie.

De organisatie moet ruim denken en de gebeurtenissen zorgvuldig toetsen die het behalen van de doelstellingen kunnen bedreigen.

Bepaal de kans en impact van mogelijke gebeurtenissen.

Ontwikkelen van actieplannen en verdeel verantwoordelijkheden zodat elk risico door iemand beheerst wordt.

Zorgen voor flexibiliteit voor het inspelen op nieuwe of onverwachte risico’s.

Meten van effectiviteit door middel van monitoren.

Communiceren van de als kritiek geïdentificeerde risico’s door de organisatie.

Zorgdragen voor integratie ERM in de cultuur van de organisatie.

Er zijn meer publicaties over kritieke punten bij het implementeren van een nieuw systeem. Dit geldt ook voor de implementatie van een risicomanagement systeem. In onderzoek naar ERM behandelt Gould (2008) een aantal kritieke punten. Deze zijn ontleend aan Kaufman (2004). De kritieke punten zijn:

1

Een bedreiging voor de organisatie is wel als risico gesignaleerd, maar is vervolgens niet voldoende beheerst.

2

Bedrijven openbaren informatie bij voorkeur zo beperkt mogelijk.

3

Voor een effectieve implementatie van een ERM-systeem is steun van het senior management nodig.

4

De kosten van het invoeren van een ERM-systeem.

5

Het ontbreken van de kennis en mogelijkheden om een ERM-systeem te implementeren.

(25)

Ook Fraser et al. (2008) geven een drietal kerngebieden waar de uitdaging bij de implementatie van een ERM-systeem ligt:

1 De unieke factoren van een organisatie zijn van cruciaal belang. Hierbij doelen zij op culturele, logistieke en historische factoren. Wanneer organisaties hier niet op een goede wijze mee omgaan, kan dit leiden tot barrières binnen de organisatie. 2 Beschrijvingen van risicomanagement zijn vaak beschrijvingen van losse

componenten. De sleutel tot succes ligt bij de vraag hoe je de losse elementen samen tot één passend geheel smelt.

3 De impact op de cultuur van de organisatie bij de ERM-implementatie en uitvoering is niet goed in literatuur beschreven. Hierdoor is het lastig de impact te voorspellen.

De verschillende auteurs leggen de nadruk op verschillende punten bij het implementeren van ERM binnen een organisatie. Toch kun je wel een aantal algemene punten herkennen die steeds terugkomen. In ieder geval komt naar voren dat toepassing van risicomanagement voor elke organisatie verschillend is en de unieke kenmerken van een organisatie een belangrijke rol spelen.

2.4 Andere literatuur over ERM

In deze paragraaf ga ik in op andere literatuur met betrekking tot ERM. Het COSO ERM Framework is een breed geaccepteerd raamwerk voor toepassing van risicomanagement, maar is niet de enige manier om ERM toe te passen. Veel publicaties en artikelen refereren wel naar het COSO ERM Framework maar geven alternatieven of verdieping ten opzichte van het raamwerk aan.

Emanuels en de Munnik (2006) vatten het ERM-systeem in vier stappen samen: 1 Het definiëren van de te beheersen doelstellingen.

2 Het bepalen van risico’s.

3 Het nemen van risicomitigerende maatregelen. 4 Bewaking en bijsturing.

Dit ERM-proces heeft een duidelijke link met het COSO ERM Framework. Zij vatten de essentie van het raamwerk in vier duidelijke stappen samen. In de eerste stap concretiseert het management de doelstellingen vanuit het strategische niveau. Om deze te behalen vertaalt de organisatie dit verder naar doelstellingen op operationeel, rapportage- en compliancegebied. Bij de tweede stap moet de organisatie de risico’s die het halen van de opgestelde doelstellingen bedreigen identificeren. Vervolgens bepaalt het management de kans op de gebeurtenis. Ook bepaalt zij de impact mocht de gebeurtenis plaatsvinden. De derde stap betreft het ondernemen van actie. Als de risico’s en de kans en impact daarop in kaart gebracht zijn, zal een organisatie een keuze moeten maken hoe zij hiermee omgaat. Afhankelijk van de risicohouding van de organisatie kiest de organisatie ervoor om risico’s te accepteren, vermijden, verminderen of delen. De vierde en laatste stap betreft het controleren of de ingevoerde beheersingsmaatregelen effectief zijn. Waar dit niet het geval is, dient bijsturing plaats te vinden. Essentieel is dat het proces continu doorlopen wordt zodat de interne beheersing up-to-date blijft.

(26)

Strategievormingsproces waarin de organisatie vaststelt op welke manier zij het meest effectief haar doelstellingen kan halen (strategische beheersing).

De uitvoering in relatie brengen met de strategische doelen door deze te vertalen in concrete plannen en te koppelen aan afdelingen en functionarissen (operationele beheersing).

Bewaken dat iedereen conform de normen handelt (normbeheersing).

Bewaken betrouwbaarheid van informatie (verantwoordingsbeheersing).

Deze doelstellingen matchen met de vier primaire doelstellingen van het COSO ERM Framework.

Ook Beasley et al. (2008) maken een verwijzing naar het COSO ERM Framework. Zij constateren dat managers steeds meer beginnen te beseffen dat het periodiek beheersen van risico’s niet langer volstaat. Beheersing van risico’s moet een continu proces zijn, wat betekent dat de voormalige beheersingsmaatregelen niet langer volstaan. ERM helpt managers risico-intelligente beslissingen te nemen en risicomanagement via een top-down benadering toe te passen. Ook in dit artikel komt naar voren dat de manager het personeel risicobewust moet maken. In de bedrijfscultuur moet groeien dat risicomanagement belangrijk is. Dit is een proces dat tijd vergt en gericht is op de lange termijn. Het is van belang realistische verwachtingen op te stellen voor de implementatie.

Een intern beheersingssysteem omvat allerlei formele richtlijnen en voorschriften. Theoretisch kan de opzet van het systeem dan effectief zijn. In de praktijk spelen ook interne informele beheersmaatregelen een rol. Kaptein en Vink (2008) formuleren dit als soft controls. In het artikel halen zij diverse begripsomschrijvingen aan waarin zij onderscheid maken tussen hard en soft controls. Kaptein en Vink stellen dat soft controls informele beheersmaatregelen zijn, terwijl hard controls de formele maatregelen zijn. “Soft controls zijn de gedeelde perceptie en ervaringen inzake de

cultuur en het klimaat binnen de organisatie”. Deze hebben dus invloed op het gedrag

van betrokkenen. Kaptein en Vink (2008) hebben onderzoek gedaan naar de oorzaken van rechtmatigheidsfouten binnen de rijksoverheid. Ondanks dat het onderzoek op een specifieke branche gericht is, komt er een algemene conclusie naar voren die ook van toepassing kan zijn op andersoortige organisaties. De kern van de conclusies uit het onderzoek is dat het falen van hard controls vaak het gevolg is van de afwezigheid of het niet functioneren van soft controls. Dit is een interessante bevinding aangezien het onderzoek aantoont dat het implementeren van beheersingsmaatregelen binnen een organisatie meer is dan regels en voorschriften opstellen.

Deze visie wordt ondersteund door een publicatie van Emanuels (2005). Ook hij maakt onderscheid tussen harde en zachte randvoorwaarden. Emanuels concludeert dat er dat organisaties aan de zachte randvoorwaarden te weinig aandacht schenken, terwijl deze wel van groot belang zijn voor een succesvolle interne beheersing. Hij vat het samen als de houding die het management en werknemers hebben met betrekking tot interne beheersing. Deze hangt af van het belang dat de leden van de organisatie hebben bij het bereiken van de organisatiedoelen en de mate waarin zij zich willen en moeten verantwoorden over de uitoefening van hun taken. In de publicatie stelt hij dat een organisatie de beste voorwaarden creëert om in-control te blijven als er een goede balans is tussen een

Referenties

Download het nu ( PDF - 115 pagina - 838.30 KB )

Outline

Buitenlandse wetgeving over risicomanagement Nederlandse wetgeving over risicomanagement Visie van de accountant Visie van de adviseur Toepassing in de praktijk Verschil in visie Interviews met bestuurders van organisaties Visie van bestuurders en controllers Literatuur over de mogelijkheden Analyse van de mogelijkheden

GERELATEERDE DOCUMENTEN

Risicomanagement: Dé oplossing voor betaald voetbal organisaties?

Het bepalen in hoeverre betaald voetbal organisaties zich bewust zijn van risico’s die zij lopen en bepalen in hoeverre risicomanagement op gestructureerde wijze wordt

Risicomanagement rapportage door Nederlandse beursgenoteerde ondernemingen

Een mogelijke reden voor het niet significant zou kunnen zijn, dat verhoudingsgewijs (AEX- genoteerde ondernemingen rapporteren meer woorden in hun jaarverslag dan AscX-genoteerde

Probleem is echter dat zij – als private organisaties – geen toegang heb- ben tot het Rijksregister

Geboorteouders en adoptiekinderen – Zoektochten Zowel bij afstandsmoeders als bij kinderen die voor adoptie werden afgestaan, ontstaat na verloop van jaren vaak de behoefte

Hormoonverstoring in vis: impact op het behalen van de doelstellingen van de habitatrichtlijn en de kaderrichtlijn water

Gelet op de impact van hormoonverstorende stoffen (EDC’s, endocrine disrupting compounds) op vissen, zowel op individueel als op populatieniveau, valt te

Hoe helpt risicomanagement woningcorporaties om doelstellingen te realiseren?

Daarnaast is risicomanagement bij woning- corporaties meer prominent in beeld gekomen door enke- le landelijk bekende incidenten en door de parlementaire enquête

Ook buiten preventieakkoord is veel gezondheidswinst te behalen tegen beperkte kosten

Niet alleen op de drie thema’s – roken, overgewicht en alcoholgebruik – in het Preventieakkoord, maar ook daarbuiten zijn er nog talloze preventieve inter- venties mogelijk die

■ Albrandswaard zich gecommitteerd heeft aan het behalen van de VANG doelstellingen;

■ Variant 2 op papier de VANG doelstelling voor 2021 nog niet haalt, maar dat er met deze variant wel een flinke sprong in de juiste richting wordt gemaakt, waarbij de service aan

Albrandswaard zich gecommitteerd heeft aan het behalen van de VANG doelstellingen

 Variant 2 gemakkelijker in te voeren is en zowel gemeente als inwoners tijd geeft samen verdere stappen te zetten in de strijd tegen afval;.  Eind 2021 de eerste balans