RISICOMANAGEMENT IN NEDERLAND

RISICOMANAGEMENT IN

NEDERLAND

Hoe accountants, externe toezichthouders, de wetgever en

verschillende eigendomsstructuren het volwassenheidsniveau

van risicomanagement beïnvloeden

Rijksuniversiteit Groningen

Matthijs van de Belt

S 2596628

Inhoudsopgave

1. Inleiding

1

1.1 Inleiding

1

1.2 Relevantie

2

1.3 Probleemstelling

4

1.4 Onderzoeksopzet

5

2.

Theoretisch kader

6

2.1

De invloed van de accountant op de volwassenheid van risicomanagement

6

2.1.1

De invloed van Big4 auditors op de volwassenheid van risicomanagement 6

2.1.2

De verantwoordelijkheid van de accountant met betrekking tot

risicomanagement 7

2.1.3

Kantoorrotatie en audit kwaliteit 9

2.1.4

De veranderde rol van de accountant in relatie tot risicomanagement 10

2.1.5

Hypotheses over de rol van de accountant. 12

2.2

De invloed van corporate governance codes op risicomanagement

12

2.2.1

De wettelijke verankering versus vrijwillige codes 13

2.2.2

Eerdere bewijzen van de invloed van corporate governance op

risicomanagement 15

2.3

De invloed van toezichthouders op risicomanagement

15

2.3.1

De oorsprong van extern toezicht 15

2.3.2

De isomorfistische reactie op toezicht 16

2.3.3

Toezicht op risicomanagement bij financiële instellingen 17

2.4

De invloed van verschillende eigendomsstructuren op de volwassenheid van

18

risicomanagement

2.4.1

Agency Theory 19

2.4.2

Theoretische verbanden tussen eigendomsstructuren en risicomanagement. 19

2.5

Conceptueel model

21

3.

Onderzoekontwerp en methodologie

22

3.1

Onderzoeksmethode

22

3.2

Enquête procedure

22

3.3

Operationalisatie van het conceptueel model

26

3.4

Methodologie

34

4.

Resultaten en analyse

46

4.1

Voorwaarden gebruik uitkomsten regressieanalyse en validatie

46

4.2

Uitkomsten van (regressie)analyse

48

4.3

Verwerpen of aannemen hypotheses

53

4.4

Beantwoording onderzoeksvraag en interpretatie van

54

onderzoeksresultaten naar hoofdvraag

4.5

Beperkingen van onderzoek en suggesties voor vervolgonderzoek

54

5.

Conclusie en discussie

57

Bijlagen

I.

Literatuurlijst (Referenties)

II.

Enquête (Nationaal onderzoek risicomanagement)

III.

Scoreleidraad 2014 Nationaal Onderzoek Risicomanagement

- 1 -

1. Inleiding

1.1 Inleiding

Nu de eerste tekenen zichtbaar worden dat de financiële crisis over zijn hoogtepunt heen is, is het tijd om terug te kijken. Terugkijken om oorzaken te vinden, te begrijpen wat er nu precies gebeurd is en zelfreflectie op ieders eigen rol, maar ook reflectie op de rol van de ander. Wereldwijd zijn er onderzoeken gehouden naar de financiële crisis in de vorm van parlementaire enquêtes door nationale overheden (o.a. commissie De Wit in Nederland, de Financial Crisis Inquiry Committee in Amerika). Maar ook door de Nederlandse toezichthouders op banken en de financiële sector wordt in een formele publicatie teruggeblikt (DNB 2010). Maar ook de banken - al dan niet inmiddels

genationaliseerd -, ratingbureaus en accountants en haar beroepsorganisatie blikken in interne commissies, (in)formele publieke uitingen en georganiseerde seminars terug. De beeldvorming rondom banken heeft door de crisis een serieuze imagodeuk opgelopen, maar ook toezichthouders en accountants worden ter verantwoording geroepen om uit te leggen hoe deze crisis heeft kunnen ontstaan en waarom zij dit niet hebben zien aankomen of zelfs voorkomen.

Het is veel makkelijker om individuen de schuld te geven dan hele ideologieën; bestuurders en toezichthouders kunnen worden gesommeerd publiekelijk hun excuses aan te bieden. Maar de architectuur van concepten en veronderstelling waarbinnen is geopereerd is minder zichtbaar en controleerbaar (Power, 2009). In de laatste 20 jaar oplopend naar de crisis is de interesse in

risicomanagement sterk toegenomen. De ontwikkeling van gestandaardiseerde methodologieën (zoals COSO, COSO ERMF, INK model, ISO 31000) hebben deze trend wereldwijd verspreid en versterkt tot een alomtegenwoordige praktijk. Hoewel de twijfels over of risicomanagement werkelijk relevante risico’s managen en crises voorkomen al eerder zijn geuit, heeft de financiële crisis krachtig de tekortkoming van risicomanagement aangetoond (Huber en Scheytt, 2013).

Is risicomanagement dan wel het juiste gereedschap om risico’s te managen of weten we het

gereedschap gewoon niet op de juiste manier in te zetten? Ondanks de kritiek beargumenteren Power (2009) en Huber en Scheytt (2013) de legitimiteit van risicomanagement. Echter de reconstructie van een meer responsieve omgang met onzekerheden zal verder moeten kijken dan de kortzichtige blik van gestandaardiseerde benaderingen (Power, 2009). De gestandaardiseerde procedures van

risicomanagement zouden moeten worden ondervraagd en aangevuld worden met of vervangen door meer anticiperende, verfijnde activiteiten die zich richten op de ontvangst van ‘zwakke signalen’ (Weick en Sutcliffe, 2007). In haar publieke management letter stelt de NBA (2013) dat

risicomanagement bedoeld is om risico’s beter beheersbaar te maken en dat er verschil bestaat tussen risicomanagement in formele zin en de uitvoering in de praktijk.

Uit het in 2009 (Nivra et al.) gehouden onderzoek: ‘Risicomanagement in tijden van crisis (en voor en na)’ blijkt dat risicomanagement nog in de kinderschoenen staat. Hoewel er enige voortgang te melden was ten opzichte van het onderzoek in 2004 blijft de voortgang traag. Dit beeld blijkt ook uit het in 2010 gehouden survey door COSO. De NBA stelt in haar management letter, vrij vertaald, dat het huidige risicomanagement de taal van de bestuurder onvoldoende spreekt en dat werkzaamheden van de risicomanager onvoldoende aansluiten op de vraag van de bestuurder. Het OECD (2010) schrijft in haar rapport: ‘te vaak lag de nadruk op interne beheersing in het kader van financiële rapportage zodat risicomanagement gescheiden raakte van de ondernemingsstrategie en haar implementatie’.

- 2 -

Maar wat is dan wel goed risicomanagement en welke factoren dragen bij aan de implementatie van een (volwassen) risicomanagementsysteem? Deze vraag houdt wetenschappers al enige jaren bezig. De vraag is niet nieuw, maar wetenschappelijk onderzoek op het gebied van risicomanagement staat nog in de kinderschoenen. Zoals Bernstein zich afvraagt in Against the Gods (Bernstein 2006):

“Why is it that mastery of risk is such a uniquely modern concept? Why did humanity wait the many thousands of years leading up to the Renaissance before breaking down the barriers that stood in the way of measuring and controlling risk?”

Maar zoals hij zelf al aangeeft: “These question defy easy answers”. Waarbij Bernstein in 387 pagina’s antwoord geeft op deze vraag vanuit historisch perspectief. Feit blijft dat wetenschappelijk onderzoek op het gebied van modern risicomanagement stamt uit de laatste 10-20 jaar en slechts door een beperkt aantal gezaghebbende wetenschappers wordt onderzocht. Ook de

risicomanagementtechnieken staan nog in de kinderschoenen. Pas in 2004 introduceerde: ‘The Committee of Sponsoring Organizations of the Treadway Commission’ het COSO Enterprise Risk Management Framework.

Recente ontwikkelingen, zoals de geconstateerde fraude bij Imtech, steekpenningaffaire bij Ballast Nedam, omkoping door SBM Offshore, maar ook de nationalisatie van SNS Reaal in 2013 en discussies rondom KPMG in 2014 maken wel duidelijk dat risicomanagement nog steeds een relevant thema is. Maar het maakt ook duidelijk dat er mogelijk nog lessen te leren zijn en dat het volwassenheidsniveau van risicomanagement nog niet op het gewenste niveau is. Ondanks de voortgang die gemaakt is in risicomanagement, is deze nog steeds niet in staat is om zulke crises te voorspellen en belangrijker, om dit te voorkomen.

1.2 Relevantie

In de beperkte voortgang die de afgelopen jaren is gemaakt en het nog lage volwassenheidsniveau van risicomanagement, evenals de recente nationale schandalen, wordt duidelijk dat organisaties zelf blijkbaar niet in staat zijn om risicomanagement naar het gewenste niveau te brengen. Dit is de reden dat in dit onderzoek wordt onderzocht welke externe factoren het volwassenheidsniveau van

risicomanagement (kunnen) beïnvloeden. Hierbij wordt een viertal factoren onderzocht: de rol van de accountant, de rol die corporate governance codes, toezichthouders daarnaast de invloed van

eigendomsverhoudingen (aandeelhouders, institutionele aandeelhouders, privaat vs. publiek). Deze factoren zijn ontleend aan het conceptueel model zoals deze is vastgesteld in het in 2009 gehouden onderzoek door de Nivra et al. en welke door Paape en Speklé (2012) empirisch zijn getoetst. Dit onderzoek is complementair aan het onderzoek van Paape en Speklé (2012). Ten eerste is dit onderzoek zeer vergelijkbaar qua onderzoekspopulatie (Nederlandse bedrijven met meer dan € 10 miljoen omzet) en methodologie (enquête en hypothesetoetsend onderzoek). Door dit onderzoek op uitkomsten te vergelijken met het in 2012 gepubliceerde onderzoek van Paape en Speklé (2012) geeft dit onderzoek een goed beeld van de huidige status van risicomanagement. Het kan de beelden in onderzoek van Paape en Speklé, die op deze factoren (deels) tegenstrijdig waren aan eerdere onderzoeken, mogelijk herbevestigen en daarmee aantonen dat Nederland in dit opzicht afwijkt van andere landen waar de bewijzen voor invloed van deze factoren wel zijn gevonden.

Ten tweede laat het de ontwikkeling van risicomanagement zien in Nederland ten opzichte van vijf jaar geleden. Toen bevond Nederland zich midden in de financiële crisis, in het oog van de storm. De uitkomsten van dit onderzoek kunnen bevestigen of de brokstukken van de crisis zijn opgeruimd en er lessen zijn geleerd die het risicomanagement in Nederland naar een hoger niveau brengen.

- 3 -

Ten derde: eerder wetenschappelijk onderzoek dat een directe relatie legt tussen de rol van de externe accountant en het risicomanagement door de onderneming is zeer beperkt. Deze onderzoeken zijn al helemaal niet gedetailleerd in de motivatie waarom de accountant de

volwassenheid van risicomanagement zou kunnen beïnvloeden. Ditzelfde geldt met betrekking tot de rol van governance regelgeving en de functie van toezichthouders. In het onderzoek van Paape en Speklé (2012) wordt geen bewijs gevonden dat deze externe factoren (BIG4 auditor, governance regelgeving, eigendomsverhouding) enig significant effect hebben op het volwassenheidsniveau van risicomanagement. Je zou echter verwachten dat de publieke belangstelling en de effecten van de crisis zullen leiden tot een groeiende vraag naar zekerheid. De publieke verontwaardiging na de crisis zal leiden tot externe druk op de bedrijven. Vanuit de legitimatietheorie gedacht zullen

ondernemingen opnieuw op zoek gaan naar legitimatie voor het door hun gevoerde beleid en de maatregelen die zijn genomen om herhaling te voorkomen of om aan te tonen dat zij wel ‘in control’ zijn in het beheersen van risico’s.

Accountants zijn ook niet ongeschonden door de crisis gekomen in hun rol als controlerend accountant, zoals pijnlijk wordt aangetoond in het artikel: ‘Financial Crisis and the silence of the auditor’ (Sikka, 2009). Dit heeft onder andere geleid tot nieuwe wetgeving op het gebied van verplichte roulatie van accountants bij beursfondsen, nieuwe onafhankelijkheidseisen (ViO) en herziene gedrags- en beroepsregels (VGbA). Maar ook de rol van toezichthouders en overheden voorafgaand en tijdens de crisis staat ter discussie. En zoals bij elke goede crisis, elk schandaal, leidt dit in veel gevallen tot verscherpt toezicht en meer regelgeving (o.a. Basel III/Solvency II) die risico’s moeten reduceren en beheersbaar moeten maken. De verantwoordelijkheid voor goed

risicomanagement ligt in eerste instantie bij het management zelf, maar het management zelf lijkt het risicomanagement maar moeilijk naar een hoger plan te tillen. Van de regelgevers, accountants en toezichthouders mag worden verwacht dat ze de handschoen oppakken en de discussie rondom de volwassenheid en toepassing van risicomanagement steviger voeren met de onderneming die zij controleren of waar ze toezicht op houden.

Vanuit de agencytheorie gedacht is de verwachting dat eigendomsverhouding invloed heeft op de manier waarop risicomanagement ingericht is binnen een organisatie. Vooral de institutionele beleggers zullen na de crisis beter risicomanagement eisen van het management. Institutionele beleggers zijn goed gepositioneerd om managers te monitoren en hebben meer toegang tot

vertrouwelijke informatie (Vander Blauwhede en Willekens, 2008). Ook leidt institutioneel eigendom tot betere kwaliteit van financiële verslaggeving (Garcia-Meca et al. 2005). De Nederlandse

aandeelhouder blijkt echter passief (Cools en Van Praag, 2007, De Jong et al. 2005). Dit kan mogelijk verklarend werken in waarom Paape en Speklé (2012) geen bewijs vinden voor een positieve relatie tussen institutioneel eigendom en de mate van ERM implementatie. Echter omdat aandeelhouders financieel als eerste getroffen zijn door de crisis en Nederland verhoudingsgewijs relatief slechte aandeelhoudersbescherming geniet (Francis et al. 2003, De Jong et al. 2005) zullen institutionele aandeelhouders als principaal hun passiviteit mogelijk omzetten naar een actievere rol in het monitoren van het management (agent).

Eumedion vertegenwoordigt de institutionele beleggers in Nederland en ziet ook dit belang en stelt in haar reactie op de NBA publieke management letter: ‘net als dat beleggers de resultaten van een onderneming willen snappen, willen zij ook de risico’s snappen’. (NBA 2013). En zoals zij schrijft in reactie op een voorstel tot aanpassing van aandeelhoudersrechten: ‘het op verantwoorde en efficiënte wijze uitoefenen van de aan de aandelen verbonden zeggenschapsrechten versterkt de

- 4 -

langetermijnwaarde voor de vennootschap en al haar stakeholders’ (Eumedion, 2014). De

ontwikkeling van een informatievere accountantsverklaring nodigt aandeelhouders uit actiever de discussie te zoeken met het management, de Raad van Commissarissen en de accountant over relevantere informatie en risico’s (PwC, 2014). In het geval van publiek eigendom is deze rol van de aandeelhouder er niet en zal dit mogelijk via de rol van de toezichthouder / governance regelgeving geregeld moeten worden. Bij volledige eigendom (bijv. directeur grootaandeelhouder) is deze belangentegenstelling tussen leiding en eigendom er niet en zal het belang van (expliciet)

risicomanagement mogelijk minder aanwezig zijn. Dus de eigendomsvorm van een onderneming is relevant voor risicomanagement.

Dit onderzoek zal empirisch aantonen of accountants, regelgevers en toezichthouders in staat zijn geweest om ondernemingen in beweging te krijgen en anderzijds of aandeelhouders haar rechten gebruiken om ondernemingen te bewegen om risicomanagement serieus te nemen. Mogelijk dat het nu nog te vroeg is om deze conclusie te trekken, want verandering kost tijd. Maar ook dát kan een boodschap zijn die voortvloeit uit dit onderzoek. De boodschap dat deze partijen de discussie met de onderneming over het belang van risicomanagement steviger moeten voeren. Hoewel zij in hun rol niet in de lead zijn in relatie tot risicomanagement, zijn zij wel de belangrijkste influencers van het management en daarom van belang. Bevindingen in dit onderzoek kunnen daarmee implicaties hebben voor de praktijk.

1.3 Probleemstelling

Dit onderzoek richt zich op het volwassenheidsniveau van risicomanagement in Nederland en de rol die de externe partijen hierbij spelen. Uit eerder gehouden onderzoeken blijken wisselende

uitkomsten omtrent de effecten die accountant, corporate governance regelgeving / toezichthouders en de verschillende eigendomsverhoudingen hebben op de implementatie en volwassenheid van risicomanagement. Dit onderzoek gaat over de rol van deze partijen. Dit leidt tot de volgende onderzoeksvraag:

Op welke wijze beïnvloeden accountants, toezichthouders, wetgevers en eigenaren het volwassenheidsniveau van risicomanagement in Nederland?

Om antwoord te kunnen geven op de hoofdvraag zijn de volgende deelvragen geformuleerd:

1. Welk wetenschappelijk bewijs is er voor de invloed van een Big4 auditor op het volwassenheidsniveau van risicomanagement van de onderneming?

2. In welke fases van de controle besteedt de accountant aandacht aan risicomanagement?

3. Hoe beïnvloedt de nieuwe accountantswetgeving en veranderde regelgeving de rol van de accountant in relatie tot risicomanagement en de (gepercipieerde)

risicomanagementvolwassenheid?

4. Welke eisen stelt de wetgever / corporate governance regelgeving aan risicomanagement?

5. Hoe is risicomanagement verankerd in de verschillende Nederlandse corporate governance codes?

6. Welk wetenschappelijk bewijs is er voor de invloed van corporate governance op risicomanagement?

7. Op welke wijze heeft toezicht door externe toezichthouders invloed op het risicomanagement van de onderneming?

8. Hoe beïnvloedt de eigendomsstructuren van een onderneming de mate van risicomanagementvolwassenheid?

- 5 -

De begrippen worden in hoofdstuk 2 wetenschappelijk gefundeerd en in hoofdstuk 3 nader

geoperationaliseerd tot meetbare variabelen. Om een goed antwoord te geven op de hoofdvraag is ook een andere vraag van belang: ‘hoe meet je het volwassenheidsniveau van risicomanagement?’. Het antwoord op deze vraag is noodzakelijk voor het kunnen beantwoorden van de hoofdvraag. Het concept ‘volwassenheid’ wordt geoperationaliseerd in hoofdstuk 3 en verder bediscussieerd in hoofdstuk 4.

1.4 Onderzoeksopzet

Het onderzoek is hierna als volgt ingedeeld: het tweede hoofdstuk vormt de theoretische basis van dit onderzoek. Dat hoofdstuk bestaat uit een overzicht van relevante literatuur, een uitleg van de

theorieën en uitkomsten van eerdere onderzoeken om te komen tot hypothesestelling. In hoofdstuk drie wordt het onderzoeksmodel bepaald en wordt het onderzoeksmodel verder geoperationaliseerd tot meetbare variabelen. Daarnaast wordt in hoofdstuk drie het enquête proces beschreven. In hoofdstuk drie wordt de specifieke onderzoeksmethode beschreven om de individuele hypotheses te toetsen en eventuele aanvullende dataverzameling beschreven. Het vierde hoofdstuk bevat de beschrijving van de uitgevoerde statische analyses en de interpretatie van de uitkomsten. Eveneens worden er aanbevelingen gedaan voor toekomstig onderzoek. In het laatste hoofdstuk worden de uitkomsten samengevat, hieruit conclusies getrokken en de uitkomsten te bediscussieerd.

- 6 -

2. Theoretisch kader

In het theoretisch kader worden wetenschappelijke literatuur en publicaties uit de praktijk gebruikt om tot hypothesevorming te komen. In dit hoofdstuk wordt theorie geformuleerd waaruit hypotheses worden afgeleid. Aan het einde van dit hoofdstuk wordt dit samengevat in een onderzoeksmodel. Achtereenvolgend worden de volgende externe partijen uitgewerkt: de rol van de accountant, de rol van corporate governance en regelgeving van toezichthouders en als laatste de impact van

eigendomsstructuren.

2.1 De invloed van de accountant op de volwassenheid van

risicomanagement

De rol van de accountant is als eerste wetenschappelijk gedefinieerd door prof. Th. Limperg, algemeen beschouwd als de grondlegger van het accountantsberoep. Hij benoemt voor de accountant twee functies: ‘controlerend (en adviserend) orgaan van de bedrijfsleiding’ en ‘controlerend (en adviserend) orgaan van het maatschappelijk verkeer’ (Limperg, 1932). Limperg definieert de rol van de accountant in brede zin als ‘vertrouwensman van het maatschappelijk verkeer’. De accountant voegt zekerheid toe aan de financiële verantwoording en de processen die hieraan ten grondslag liggen. Het AICPA definieert de controlerende rol als volgt: ‘assurance services zijn onafhankelijke professionele diensten die de kwaliteit van informatie, of haar context verbeteren voor decision makers’. Vanuit deze rol zou een visie van de accountant op het risicomanagement op natuurlijke wijze voortvloeien. Paape (2002) signaleert mogelijke assurance services die de accountant zou kunnen leveren op het gebied van enterprise risicomanagement: door te adviseren bij implementatie van risicomanagementsystemen en zekerheid toe te voegen aan specifieke risicorapportages. Ook EY (2013) geeft in haar white paper ‘Wie had dit kunnen zien aankomen’ een heldere uiteenzetting van de rol die de accountant nu speelt bij risicomanagement en de rol die hij zou kunnen en moeten spelen.

2.1.1 De invloed van een Big4 auditor op de volwassenheid van

risicomanagement

Er is in voorgaand wetenschappelijk onderzoek slechts zeer beperkt gekeken naar het effect van Big4-auditors op het volwassenheidsniveau van risicomanagement. In 2005 heeft Beasly et al. in een exploratief onderzoek een onderzoeksvraag gedefinieerd waarin hij onderzoekt of Big4 auditors een significant effect hebben op het volwassenheidsniveau van risicomanagement, gedefinieerd naar vijf volwassenheidsniveaus. In dit onderzoek vindt hij in een Amerikaanse setting significant bewijs dat ondernemingen gecontroleerd door Big4 auditors een hoger Enterprise Risk Management

volwassenheidsniveau hebben dan ondernemingen zonder Big4 auditors. Desender (2007), eveneens in Amerikaanse setting, bouwt bij zijn hypothesevorming voort op de uitkomsten van Beasly et al. en stelt eveneens met statistische significantie vast dat een Big4-auditor positief geassocieerd is met de mate van ERM implementatie. Desender vindt bewijs dat ondernemingen met een Big4 auditor hoger scores op ERM implementatie scoren, waarbij deze wordt gemeten aan de hand van de componenten van het COSO ERM Framework uit 2004.

In het onderzoek in de Nederlandse setting vinden Paape en Speklé (2012) echter geen bewijs voor een significant Big4 effect. Het ontbreken van dit effect wordt toegeschreven aan de kwaliteit van de Nederlandse auditprofessie, zelfs bij kleinere kantoren, die van wereldklasse is. Dit beeld lijkt echter niet bevestigd te worden door recente onderzoeken van de toezichthouder Autoriteit Financiële Markten, die in een vijftal rapporten (2009-2013) enerzijds ernstige tekortkomingen vindt bij de Big4

- 7 -

kantoren, maar nog meer tekortkomingen bij de overige OOB-kantoren en de kleinere NBA- en SRA-kantoren. Het zou natuurlijk kunnen dat ook onze toezichthouder van wereldklasse is. Echter gegeven het feit dat Beasly et al. (2005) en Desender (2007) hun onderzoek in de Amerikaanse setting

uitvoeren is dit niet waarschijnlijk, aangezien Amerika ook een strenge toezichthouder kent en de eisen aan een audit nog strenger zijn onder UWS GAAS.

Daarnaast blijkt o.a. uit Francis (2004) en DeAngelo (1981) dat Big4 auditors worden gepercipieerd door de markt als het leveren van hogere auditkwaliteit. Het aanstellen van een Big4 auditor wordt gebruikt als wijze van signaleren van goed bestuur naar de principaal. Enerzijds wordt

beargumenteerd dat Big4 auditors betere kwaliteit leveren, maar anderzijds ook de perceptie van kwaliteit hebben die in ‘quasi-rents’ door de accountant gefactureerd kunnen worden (Francis, 2004). Dit kan naar mijn mening in relatie tot risicomanagement twee effecten hebben: de Big4 auditor en/of industriespecialist is beter geëquipeerd om een onderneming verder te helpen met hun

risicomanagement en de Big4 auditor kan ondernemingen motiveren om hun

risicomanagementsystemen (indien nog niet volwassen) naar een hoger volwassenheidsniveau te brengen. Dit verondersteld effect is consistent met Goslan en Rasid (2012). Bij ondernemingen gecontroleerd door een Big4 auditor zou de perceptie van de ondernemingen ten aanzien van het eigen risicomanagement negatiever kunnen zijn, omdat de Big4 auditor hier vanuit haar adviesfunctie mogelijk meer aandacht aan besteedt. Anderzijds zou een onderneming het goedkeurend oordeel van de accountant kunnen percipiëren als een bevestiging van goed bestuur en daarmee haar eigen risicomanagementsysteem hoger waarderen. Deze veronderstelling wordt getoetst door middel van hypothese 1a.

2.1.2

De verantwoordelijkheid van de accountant met betrekking tot

risicomanagement

De externe accountant bevindt zich buiten de onderneming in een assurance functie. Vanuit zijn functie heeft de accountant aandacht voor het effectief functioneren van (onderdelen van) het risicomanagementsysteem, aangezien dit systeem een belangrijke randvoorwaarde is voor de totstandkoming van betrouwbare managementinformatie en rapportages. De accountant voert als onderdeel van haar controle een marginale toetsing van het jaarverslag van het bestuur, waartoe ook de risicoparagraaf behoort. De accountant, die een natuurlijke adviesfunctie heeft, zal eventuele bevindingen met betrekking tot het risicomanagementsysteem rapporteren aan de bestuurders en commissarissen (Nivra, 2009).

De aandacht van de accountant voor risicomanagement is indirect. In Nederland beperkt de formele rol van de accountant ten aanzien van risicomanagement zich tot een beoordeling van de

mechanismen die risico’s op onjuiste verslaggeving moeten reduceren (EY 2013). Er zijn een aantal fasen waarin van de accountant verwacht mag worden dat hij aandacht heeft voor de

risicomanagementsystemen van de onderneming.

Cliëntacceptatie

Johnstone (2000) vindt bewijs dat accountants in hun cliëntacceptatieprocedures de business risk analyse van de cliënt gebruiken in hun oordeelsvorming over de acceptatie van auditcliënten. Deze oordeelsvorming is positief gecorreleerd aan de oordeelsvorming van de accountant over het accountantscontrolerisico (audit risk analyse). Bovendien is de business risk analyse van de cliënt ook positief gecorreleerd aan de analyse door de accountant van de businessrisico’s van de klant. Deze interactie is onder andere verklaarbaar doordat de ondernemingsrisico’ een onaanvaardbaar acceptatierisico kunnen vormen in de acceptatie van klanten. Ook gebruikt de accountant dit in de

- 8 -

oordeelsvorming over de hoogte van de fee in termen van urenbegroting van de controle (Bell et al, 2000, Simunic and Stein 1990). Hierbij is er een Big4 effect waarneembaar, namelijk dat de

acceptatieprocedures bij Big4 kantoren betere acceptatiehulpmiddelen en procedures kennen (Bell et al 2002) en dat klanten waarvan een Big4 kantoor afscheid neemt ten gevolge van tekortkomingen in interne beheersing minder waarschijnlijk door een ander Big4 kantoor geaccepteerd worden (Ettredge et al, 2006). Risicomanagement en in het bijzonder de visie van management daarop, alsmede

risicomanagementrapportages, vormen een goede basis om deze initiële beoordeling uit te voeren. Deze geven namelijk behalve zicht op de business risk analyse van de klant zoals bedoeld door Johnstone, ook inzicht in hoe deze risico’s worden gewogen en/of gemitigeerd door de onderneming.

Planningsfase

Ook in de planningsfase is het logisch dat de accountant aandacht besteed aan het risicomanagement van de onderneming. De accountant dient in de planningsfase namelijk de risicoanalyse die

acceptatiefase is gedaan te vertalen naar een controleaanpak. De controle aanpak begint met het maken van een inschatting door de accountant wat de belangrijkste controlerisico’s zijn bij de te controleren onderneming om het accountantscontrolerisico in te kunnen schatten. Daarin is een goed begrip van de interne en externe omgeving van de onderneming noodzakelijk op grond van NV COS 315. NV COS standaard 315: ‘Risico’s op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving’ kent de volgende doelstelling:

De doelstelling van de accountant is het identificeren en inschatten van de risico's op een afwijking van materieel belang op het niveau van de financiële overzichten en beweringen als gevolg van fraude of van fouten, door inzicht te verwerven in de entiteit en haar omgeving, met inbegrip van haar interne beheersing, zodat een basis wordt verkregen voor het opzetten en implementeren van manieren om op de ingeschatte risico's op een afwijking van materieel belang in te spelen.

Daartoe dient de accountant volgens de standaard artikel 11 inzicht te verwerven in o.a.:

 de relevante sectorspecifieke factoren, regelgeving en andere factoren;

 de doelstellingen en strategieën van de entiteit alsmede de daarmee verband houdende bedrijfsrisico’s die tot een risico op een afwijking van materieel belang kunnen leiden;

 de wijze waarop de entiteit haar financiële prestaties meet en beoordeelt. In dit kader zou het logisch zijn dat de accountant hierbij aansluiting zoekt op het

risicomanagementsysteem als startpunt van deze analyse. Echter wordt uit de definitie wel duidelijk dat de accountant zich primair beperkt tot fouten in de financiële verslaggeving en dus een beperkte scope kent in relatie tot risicomanagement. Wel mag vanuit de eerder genoemde natuurlijke

adviesfunctie verwacht worden dat de accountant bij de uitvoering van haar werkzaamheden met het management reflecteert op tekortkomingen die hierin worden geconstateerd.

Jaarverslag / risicoparagraaf

De meest zichtbare plek waar de accountant geacht wordt kennis te nemen van het

risicomanagementsysteem van de onderneming die zij controleert is de risicoparagraaf in de jaarrekening. Op grond van de wet is de accountant verplicht vast te stellen dat deze verenigbaar is met de jaarrekening. De accountant brengt de beoordeling van het jaarverslag in haar oordeel tot uitdrukking in de volgende tekst in de controleverklaring:

Ingevolge artikel 2:393 lid 5 onder e en f BW vermelden wij dat ons geen tekortkomingen zijn gebleken naar aanleiding van het onderzoek of het jaarverslag , voor zover wij dat kunnen beoordelen,

- 9 -

vereiste gegevens zijn toegevoegd. Tevens vermelden wij dat het jaarverslag , voor zover wij dat kunnen beoordelen, verenigbaar is met de jaarrekening zoals vereist in artikel 2:391 lid 4 BW.

Om tot dit oordeel te komen omschrijven de Richtlijnen voor de Jaarverslaggeving aan welke eisen een jaarverslag dient te voldoen en waar de accountant dus aan moet toetsen. Dit omvat onder andere een verplichte beschrijving van de risico’s en onzekerheden waaraan de onderneming

blootstaat. De Richtlijnen voor de Jaarverslaggeving geeft in paragraaf 400 lid 10a een nadere duiding over de invulling van een beschrijving van de voornaamste risico’s en onzekerheden waarmee de onderneming wordt geconfronteerd en definieert daarbij de volgende risicocategorieën: strategisch, operationeel, financieel, financiële verslaggeving en wet- en regelgeving. Op basis van aanvullende governance eisen van een beursgenoteerde onderneming adviseert de Governance Code op grond van artikel II.1.5 een ‘in control statement’ op te nemen in het jaarverslag:

Ten aanzien van financiële verslaggevingsrisico’s verklaart het bestuur in het

jaarverslag dat de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat en dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt.

Dit is een best practice bepaling maar geen wettelijke eis. De wet eist echter wel dat een onderneming een gemotiveerde toelichting geeft indien afgeweken wordt van de principes van de code. In Amerika geldt dat het verplicht is een ‘in control statement’ op te nemen over hun processen ten aanzien van financiële verslaggeving, een eis die ook geldt voor ondernemingen met Amerikaanse beursnotering, waarbij de accountant hierover een oordeel geeft. In dit kader is het logisch dat de accountant aandacht besteedt aan de risicomanagementsystemen van de onderneming. Hierbij wordt een Big4 effect verwacht omdat de Big4 een monopolie heeft op beursfondsen in Nederland en het grootste deel van de grootste private ondernemingen (vaak in handen van private equity partijen).

Hoewel uit diverse onderzoeken blijkt dat vooral het comply- or explain principe en de risicoparagraaf veel boilerplate teksten bevat (weinig zeggende, one-size-fits-all teksten – (MacNeil en Li, 2006, Hooghiemstra en Van Ees, 2012) is de verwachting dat ondernemingen met een beursnotering een hoger risicomanagementvolwassenheidsniveau kennen. Hoewel dit enerzijds de oorzaak kan zijn van het verwachte Big4 effect, geldt andersom ook dat verwacht mag worden dat Big4 auditors bij beursfondsen en andere OOB’s hogere eisen stellen aan de risicomanagementsystemen, dan wel hier meer aandacht voor hebben en significante tekortkomingen hierin eerder zullen rapporteren (Francis, 2004). Bij significante tekortkomingen zal de accountant eerder eisen dat deze tekortkomingen worden hersteld. De verwachting is daarom dat de risicomanagementsystemen een hoger

risicomanagementvolwassenheidsniveau kennen bij ondernemingen die gecontroleerd worden door Big4 auditors dan ondernemingen die niet gecontroleerd worden door Big4 auditors. Dit komt tot uitdrukking in hypothese 1b.

2.1.3 Kantoorrotatie en auditkwaliteit

In 2013 is na de serie van schandalen en als reactie op de financiële crisis verscherpte regelgeving voor accountants van toepassing. Primair geïnitieerd vanuit de hervormingsvoorstellen (EC 2010) van Michel Barnier om de Europese accountantsmarkt te hervormen is in Nederland in 2013 wetgeving aangenomen die kantoorrotatie regelt. Beursgenoteerde ondernemingen en andere OOB (organisatie van openbaar belang) ondernemingen zijn verplicht één keer in 10 jaar van accountantskantoor te wisselen in combinatie met een termijn van partnerroulatie van 5 jaar en afkoelingsperiode van vier

- 10 -

jaar (motie van het lid Aukje de Vries c.s. – 27 mei 2014). Tevens heeft de beroepsorganisatie haar eigen onafhankelijkheidsrichtlijnen aangescherpt door het aannemen van de ViO (verordening inzake de onafhankelijkheid bij assurance-opdrachten), waardoor ook voor seniore teamleden een

verplichting tot roulatie geldt.

Er is echter geen wetenschappelijk bewijs dat de auditkwaliteit beter wordt door verplichte

kantoorrotatie. Zo vinden Jackson et al. (2008) geen bewijs dat wisseling van accountantskantoor een positief effect heeft op auditkwaliteit. Dit is consistent met eerdere onderzoeken van o.a. Johnson et al. (2002), Francis (2004) en DeAngelo (1981). Ook partnerrotatie lijkt geen significant effect te hebben (Chi et al, 2009). Uit onderzoek van Johnson et al. blijkt zelfs dat de auditkwaliteit in de eerste drie jaar lager ligt wanneer er van accountantskantoor gewisseld wordt, consistent met bevindingen hierover door DeAngelo (1981).

Wat heeft dit met risicomanagement te maken? Uit de voorgaande onderzoeken blijkt dat een nieuwe controlekant een negatief effect heeft op de klantkennis van de accountant. Tevens is er sprake van trade-off tussen de wens om een winstgevende relatie te onderhouden (Citron en Taffler, 1992) en anderzijds het bewaken van de reputatie en reduceren van het risico op rechtszaken (Melumad en Thoman 1990, Narayanan 1994, Nelson et al. 1998). Dit zou kunnen betekenen dat accountants in deze trade-off zich in de eerste jaren beperken tot de minimaal noodzakelijke werkzaamheden om tot een goedkeurende verklaring te komen. Hierdoor zou de aandacht voor risicomanagement en de risicoparagraaf (die slechts marginaal getoetst hoeft te worden) laag kunnen zijn in de eerste jaren na een accountantswissel.

Anderzijds hebben we reeds geconstateerd dat het risicomanagement bij accountants in de

planningsfase (klantacceptatie en risico-analyse) aandacht geniet van de accountant. De accountant maakt een risico-analyse van de klant. Het interne risicomanagement systeem van de onderneming en de discussie als accountant hierover met de klant zou ondernemingen kunnen uitdagen te reflecteren op hun risicomanagementsysteem en de nieuwe accountant zou een frisse blik hierop kunnen geven. De verwachting is daarom dat ondernemingen die van accountants zijn gewisseld in de afgelopen drie jaar het volwassenheidsniveau anders waarderen / percipiëren dan ondernemingen die niet van accountant zijn gewisseld. Waarbij de periode van drie jaar in lijn is met transitieperiode die ook DeAngelo beschrijft. In dit onderzoek wordt zowel de werkelijke effecten op

risicomanagementvolwassenheid als de effecten van een accountantswissel op perceptie van het risicomanagementsysteem door de onderneming gemeten in hypothese 2a en 2b.

2.1.4 De veranderende rol van de accountant in relatie tot risicomanagement

In Nederland is er geen wettelijke rol van de accountant specifiek ten aanzien van risicomanagement. Dit in tegenstelling tot bijvoorbeeld Duitsland, die via wetgeving (KonTraG) in ieder geval

beursfondsen verplicht tot het opzetten van een risicomanagementsysteem. De accountant is daar verplicht het bestaan en de effectieve werking van het risicomanagement te toetsen en eventuele tekortkomingen te melden (Paape 2002). In het Verenigd Koninkrijk liggen er nieuwe voorstellen ter aanvulling van de accountability sectie van UK Governance Code. Hierin worden accountants verplicht te melden of ze iets toe te voegen hebben aan de evaluatie van de directie van haar voornaamste risico’s. Deze opdracht heeft waarschijnlijk tot gevolg heeft dat de accountant hier meer aandacht zal besteden aan en nauwkeurig onderzoek doet naar de risicomanagementprocessen (PwC 2013). Belangrijk onderscheid met Duitsland is dat de UK code net als in Nederland op indirecte wijze in de wet is verankerd.

- 11 -

Ook in Nederland zijn er ontwikkelingen die waarschijnlijk maken dat de accountant in de toekomst meer aandacht zal moeten besteden aan het risicomanagement van de onderneming. De eerste voorzet is gedaan door de NBA (2013) in haar publieke management letter over risicomanagement. De in de management letter worden aanbevelingen gedaan over de rol die de accountant zou moeten innemen, samengevat in de titel van aanbeveling nummer 5: ‘accountant doe uw mond open’.

Een andere belangrijke ontwikkeling die zal bijdragen aan meer aandacht voor risicomanagement is de klantspecifieke controleverklaring van de accountant. In 2013 heeft de IAASB een exposure draft gepubliceerd: ‘Reporting on audited financial statements: proposed new and revised international standards’. In de exposure draft, die nog openstaat voor commentaar, worden de nieuwe elementen beschreven van de controleverklaring van de accountant. Met de klantspecifieke verklaring krijgt de accountant meer de mogelijkheid inzicht te geven in de door haar uitgevoerde

controlewerkzaamheden. In het Verenigd Koninkrijk is deze klantspecifieke controleverklaring reeds verplicht gesteld. Maar ook in Nederland is er in 2013 bij ca. de helft (45%) van de beursfondsen voor het eerst een klantspecifieke verklaring verstrekt (PwC 2014). In deze verklaring geeft de accountant uitleg over de belangrijkste door haar geïdentificeerde controlerisico’s, gehanteerde toleranties, de continuïteitsveronderstelling en eventueel de reikwijdte van de groepscontrole. Het doel van deze nieuwe verklaring is om de gebruiker van de jaarrekening beter te informeren over wat de accountant nu precies heeft gedaan. De gebruiker wil immers weten welke (risico)gebieden de accountant heeft gesignaleerd en wat hij hieraan heeft gedaan. (PwC 2014). Hoewel de accountant zich in zijn oordeel specifiek richt op het object van controle, zijnde de jaarrekening, is wel de samenhang met de door de onderneming gerapporteerde risico’s en schattingen relevant.

In de risicoparagraaf in het jaarverslag dient de onderneming een beschrijving te geven van de belangrijkste risico’s waar de organisatie mee wordt geconfronteerd in de uitvoering van haar strategie en bedrijfsactiviteiten. De key audit matters in de nieuwe controleverklaring hebben betrekking op de specifieke risico’s die een verhoogd risico vormen voor de juistheid en volledigheid van de verantwoording. Het raakt daarmee per definitie niet het gehele spectrum van alle

strategische, operationele, financiële, compliance en financiële verslaggevingsrisico’s die de onderneming raken. (PwC 2014).

Maar zoals PwC in haar rapport: ‘Klare taal!’ terecht opmerkt ligt hier een potentiële

verwachtingskloof op de loer. Deze verwachtingskloof ontstaat doordat gebruikers van het jaarverslag en de jaarrekening zich afvragen waarom accountants risicogebieden opnemen die niet als zodanig zijn geïdentificeerd door de directie in haar risicoprofiel / de risicoparagraaf. Het zijn echter primair de Raad van Commissarissen en de directie die in het jaarverslag verantwoording afleggen. De

informatievoorziening door de externe accountant mag in de basis nooit een vervanging zijn van informatie die de RvC en/of directie zou moeten verschaffen in haar jaarverslag. Ook EY geeft terecht aan dat het nooit wenselijk is dat de accountant zelf publiekelijk uitspraken doet over de kwaliteit van het risicomanagement door een onderneming (EY 2013).

De ontwikkeling van deze verklaring ‘nieuwe stijl’ heeft, ongeacht of de beursfondsen wel of niet vrijwillig gebruik gemaakt hebben van deze controleverklaring, geleid tot discussie met de accountant. Discussies over waarom de onderneming de specifiekere verklaring wel of niet zullen toepassen. Maar ook discussie over wat qua risico’s wel en niet in de verklaring gemeld zou moeten en hoe de

risicoanalyse van de accountant relateert aan de risicoanalyse van de RvC en de directie. Basis voor deze discussie vormt onder andere de risicoparagraaf en de analyse uit

risicomanagementrapportages. Deze bevatten feitelijk de perceptie van onderneming van haar interne en externe risico’s en zijn daarom een geschikt startpunt om de visie van de onderneming te

- 12 -

vergelijken met de eigen risicoanalyse door de accountant. Eventuele verschillen in weging van materiële risico’s vormen daarmee het startpunt van deze discussie.

Daarom is de verwachting dat deze ontwikkeling positief bijdraagt aan de discussie tussen de

accountant en de onderneming en daarmee de onderneming triggert om zelf ook beter na te denken over haar risicoanalyse en risicomanagementsystemen. Ook van deze ontwikkeling gaat in eerste een Big4 effect uit, omdat deze verklaring ‘nieuwe stijl’ alleen geldt voor beursfondsen, een markt die zoals reeds aangegeven gedomineerd wordt door de Big4.

2.1.5 Hypotheses over de rol van de accountant

In het theoretisch kader van dit onderzoek is wel de rol van de accountant beschreven. Duidelijk is geworden waar de verantwoordelijkheid van de accountant ligt bij risicomanagement. Niet alle aspecten van risicomanagement vallen onder de controleverantwoordelijkheid van de accountant, noch mag verwacht dat alle aspecten van risicomanagement passen binnen de bredere adviesrol van de accountant.

In het empirische deel van dit onderzoek wordt geprobeerd het Big4-auditor effect nader te duiden. Het is niet mogelijk om de rol van de accountant (als gehele groep) empirisch te meten omdat alle B.V. ’s en N.V’s die volgens het wettelijke grote criterium minimaal getypeerd worden als ‘middelgroot’ op grond van de wet verplicht zijn tot een accountantscontrole. Ook de meeste gereguleerde non-profit sectoren zoals zorg, woningbouwcorporaties en lagere overheden kennen een plicht tot

accountantscontrole. Daarom is het niet mogelijk om een onderzoeksgroep zonder accountant te definiëren. Het onderscheid tussen accountantskantoren valt wel te meten en valt logischerwijs in lijn met eerdere onderzoeken uiteen in Big4 accountants en niet-Big4 accountants.

In tegenstelling tot eerdere onderzoeken wordt enerzijds onderzocht of de gepercipieerde kwaliteit bij Big4 auditors hoger ligt door deze af te zetten tegen het rapportcijfer dat de respondenten hun risicomanagement zelf geven in de enquête. Anderzijds wordt onderzocht of de volwassenheid van het risicomanagement hoger ligt bij ondernemingen gecontroleerd door Big4-auditors dan bij ondernemingen gecontroleerd door andere accountantskantoren. Dit leidt tot de volgende hypotheses:

H1a: De betrokkenheid van een Big4 auditor is positief geassocieerd met de eigen perceptie van het risicomanagement.

H1b: De betrokkenheid van een Big4 auditor is positief geassocieerd met het volwassenheidsniveau van risicomanagement.

H2a: Een onderneming die van accountant is gewisseld in de afgelopen 3 jaar percipieert zijn eigen risicomanagement anders dan ondernemingen die niet van accountant zijn gewisseld.

H2b: Een wisseling van accountants in de afgelopen 3 jaar heeft een effect op de mate van risicovolwassenheid van risicomanagement (geen richting).

2.2 De invloed van corporate governance codes op risicomanagement

Het OECD (2004) definieert corporate governance als een set van relaties tussen management, raad van commissarissen, aandeelhouders en belanghebbenden van een onderneming met een structuur als medium om de doelstellingen van de onderneming te vast te stellen en de manier om

- 13 -

Corporate governance gaat over ‘deugdelijk ondernemingsbestuur’ (Steins Bisschop en Schwarz, 2004). Het gaat in essentie over de vraag aan wie en op welke wijze een integer ondernemingsbestuur verantwoording moet afleggen over strategie, resultaten en risico’s (Cools, 2005). Goede corporate governance brengt met zich mee dat een vennootschap zich bewust is van de risico’s waaraan zij onderhevig is en daarover moet rapporteren (De Groot 2006). De belangrijkste functie van zowel corporate governance als enterprise risicomanagement is om de aandeelhouderswaarde te vergroten (Sobel en Reding, 2004. Busco et al. 2005). Bovendien geven risicomanagement en duurzame groei een signaalfunctie richting huidige aandeelhouders en toekomstige investeerders (Kanani et al. 2013). Risicomanagement en verantwoording daarover afleggen is één van de uiting om invulling te geven aan deugdelijk ondernemingsbestuur, en daarmee de governance code. Hoe is corporate governance verankerd in de wet en welke eisen stellen zij aan risicomanagement en hoe verhoudt dit tot zich tot vrijwillige governance codes?

2.2.1 De wettelijke verankering versus vrijwillige sectorcodes

De Nederlandse corporate governance code kent haar oorsprong vanuit de commissie Peters (officieel bekend als: de commissie corporate governance). De installatie van de commissie was een uitvloeisel van een compromis over een wetsvoorstel betreffende de doorbreking van beschermingsconstructies. De commissie kreeg tot taak te onderzoeken of het toenmalige evenwicht tussen toezicht, bestuur en aandeelhouders binnen de beursgenoteerde vennootschappen houdbaar was tegen de achtergrond van de internationalisering van de Nederlandse economie. De commissie gaf haar rapport als ondertitel mee: ‘Een eerste aanzet tot verandering en een uitnodiging tot discussie’ (commissie corporate governance, 2007). Het rapport bestond uit 40 best practice aanbevelingen. Een belangrijk element van het Peters rapport was dat het steunde op zelfregulering om de bepaling te

implementeren en te bewaken (De Jong et al. 2005, Groenewald 2005). Uit een aantal studies is echter gebleken dat zelfregulering niet effectief bleek (De Jong en Rooseboom, 2002, De Jong et al 2005). Het gebrek aan succes was voor het Ministerie van Financiën en het ministerie van

Economische Zaken aanleiding een nieuwe commissie in te stellen: de Nederlandse Corporate Governance Commissie – beter bekend als de commissie Tabaksblat. Dit keer besloot de overheid om toepassing af te dwingen door het comply-or-explain principe op te laten nemen in de wetgeving. In Burgerlijk Wetboek, boek 2, titel 9 is opgenomen dat onderneming een compliance statement moet opnemen in hun jaarverslag over compliance met de principes van de governance code (Groenewald, 2005). In de Nederlandse Governance code zijn de volgende bepalingen opgenomen die het belang van risicomanagement onderstrepen uit principe II.1:

Het bestuur is verantwoordelijk voor de naleving van alle relevante wet- en regelgeving, het beheersen van de risico’s verbonden aan de ondernemingsactiviteiten en voor de financiering van de

vennootschap. Het bestuur rapporteert hierover aan en bespreekt de interne risicobeheersings- en controlesystemen met de raad van commissarissen en de auditcommissie.

Wat nader uitgewerkt wordt in onder andere best practice bepaling II.1.3:

In de vennootschap is een op de vennootschap toegesneden intern risicobeheersing en controlesysteem aanwezig. Als instrumenten van het interne risicobeheersings- en controlesysteem hanteert de

vennootschap in ieder geval:

a) risicoanalyses van de operationele en financiële doelstellingen van de vennootschap;

b) een gedragscode, die op de website van de vennootschap wordt geplaatst; c) handleidingen voor de inrichting van de financiële verslaggeving en de voor de

- 14 -

opstelling daarvan te volgen procedures; en d) een systeem van monitoring en rapportering.

Op basis van deze bepalingen van de governance code wordt duidelijk dat van Nederlandse beursfondsen wordt verwacht dat ze een risicomanagementsysteem hebben, en hier op grond van best practice bepaling II.4 verantwoording over afleggen.

Governance codes zijn ontstaan om het vertrouwen terug te winnen van het maatschappelijk verkeer. Het herstellen van vertrouwen gaat hand in hand met het onderwerp risicomanagement. De hieraan gerelateerde best practice bepalingen van de code Tabaksblat vormen als het ware het fundament voor het bereiken van deze doelstelling (Kooijmans 2005). Door toepassing van corporate governance proberen organisaties een goed evenwicht te vinden tussen ondernemerschap en beheersing

(Huybrechts, 2007).

Ook sectoren die door de overheid gereguleerd worden zijn simultaan aan of soms later begonnen met definiëren van codes van goed bestuur. Zo was er in 1999 de commissie Meurs reeds actief, die aanbevelingen schreef voor goed bestuur, goed toezicht en adequate verantwoording voor

zorgorganisaties. Deze is in 2005 als de Zorgbrede Governance code actief geworden als één van de eerste sectorale governance codes. Ook zijn er vergelijkbare governance codes voor o.a.: onderwijs, cultuur, woningbouwcorporaties en zelfs de overheidsorganen kennen een code van goed bestuur. Risicobeheersing en risicomanagement krijgen in de vrijwillige codes op dezelfde wijze aandacht als in principe II.1, maar wordt niet verder vertaald naar best practice bepalingen en vereisen niet specifiek een risicomanagement systeem.

Financiële instelling hebben ook governance codes en/of principe. Binnen de codes van financiële instelling is echter juist veel aandacht voor risicomanagement. Verzekeraars kennen de Code

Verzekeraars (Governance principles) die een hele paragraaf besteedt aan risicomanagement. Banken kennen in de Code Banken een vergelijkbare paragraaf, evenals Pensioenfondsen. Deze laatste heeft een hele treffende paragraaf:

23 Het bestuur bevordert en borgt een cultuur waarin risicobewustzijn vanzelfsprekend is. Ook zorgt het ervoor dat het integrale risicomanagement adequaat georganiseerd is.

Toelichting

Het bestuur definieert een passende risicostrategie en een passend risicobeleid, inclusief de risicobereidheid. Het bestuur actualiseert deze strategie en dit beleid periodiek. Het communiceert hierover met alle belanghebbenden.

24 Het bestuur houdt expliciet rekening met risico’s en risicobeheersing bij het bepalen van het beleid en het nemen van besluiten. Deze risicoafweging legt het bestuur vast.

Het principiële verschil tussen de codes voor beursfondsen tegenover de codes van financiële

instellingen en andere vrijwillige codes is dat deze geen wettelijke verankering kennen en daarmee in essentie zelfregulerend zijn, zoals ooit ook de Code Peters is begonnen. De zelfregulerende codes worden veelal geëvalueerd door zelf ingestelde monitoringcommissies.

Opvallend is dat geen van de codes (ook de code Tabaksblat niet) enige guidance geeft over hoe risicomanagement vorm gegeven zou moeten worden, dan wel aan welke minimale voorwaarden deze moeten voldoen. Dit is overigens consistent met de meeste buitenlandse codes en wordt gevoed vanuit de gedachte dat de code principle based zou moeten zijn in tegenstelling tot de meer

- 15 -

2.2.2 Eerdere bewijzen van de invloed van corporate governance op

risicomanagement

Uit eerder onderzoek van Kleffner et al. (2003) blijkt dat in Canada de TSE richtlijnen (governance principes) aanleiding geven voor implementatie van een Enterprise Risicomanagement systeem, dan wel aanleiding geven tot het voornemen tot het implementeren van een ERM systeem. De TSE (Toronto Stock Exchange) guidelines gelden alleen voor beursfondsen. Opvallend aan dit onderzoek is dat het onderzoek daarentegen niet alleen onder beursfondsen is gehouden maar ook onder andere private en publieke instellingen. In de survey gaven ondernemingen die niet aan de beurs genoteerd zijn aan dat het uitvaardigen van de TSE richtlijnen aanleiding hiertoe was. Dit maakt duidelijk dat het hebben van een governance code specifiek voor beursfondsen ook aanleiding geeft tot vrijwillige adoptie van een risicomanagementsysteem. Corporate governance is een belangrijke motivator voor risicomanagement en interne beheersmaatregelen (Spira en Page, 2003).

Collier et al. (2007) doen een uitgebreid onderzoek in het Verenigd Koninkrijk naar risicomanagement als uiting van een isomorfistische reactie op de vraag naar verbeterde corporate governance. Uit het onderzoek blijkt dat als uiting van dit isomorfisme risicomanagement als publiekelijk zichtbare uiting wordt gebruikt voor het voldoen aan governance vereisten. Risicomanagement kan hierdoor door ondernemingen echter in belangrijke mate als compliance exercitie kan worden gezien.

In de Nederlandse setting blijkt echter geen bewijs voor corporate governance als drijvende factor achter risicomanagementvolwassenheid (Paape en Speklé, 2012). Dit verklaren zij enerzijds doordat er sprake zou kunnen zijn van een wijdverspreide vrijwillige adoptie van de code (cf Kleffner et al.) Om het effect van vrijwillige code adoptie op risicomanagement nader te kunnen duiden worden de drie hypotheses geformuleerd:

H3: Corporate Governance is positief geassocieerd met de mate van ERM volwassenheid

H4: Er zit een verschil in het volwassenheidsniveau van risicomanagement tussen ondernemingen die geen governance code hoeven toe te passen, ondernemingen die een sectorspecifieke vrijwillige code toepassen en de beursfondsen die een wettelijk verplichte toepassing kennen.

H5: Financiële instellingen kennen vanuit de governance code specifieke bepalingen ten aanzien van risicomanagement en zullen daarom hogere risicomanagementvolwassenheidsniveaus kennen dan andere sectoren.

Hypothese H3 is bedoeld om het beeld uit Paape en Speklé (2012) te herbevestigen. Hypothese H4 geeft nadere duiding aan dit effect, door te onderzoeken of er verschil zit tussen de wettelijk

verankerde code, vrijwillige sectorale codes en ondernemingen die geen code verplichtingen kennen. Hierdoor kan beter geduid word of er naast vrijwillige adoptie door middel van sectorale codes door onderneming inderdaad sprake is van vrijwillige code adoptie van codes door andere onderneming, geuit in de vorm van risicomanagement. Hypothese H5 geeft uiting aan enerzijds de specifieke aandacht voor risicomanagement in de code, alsmede het effect van toezicht dat in de volgende paragraaf wordt beschreven.

2.3 De invloed van toezichthouders op risicomanagement

Hoewel de rol van governance regelgeving in goed bestuur en specifiek risicomanagement eerder is onderzocht, is er nog niet eerder onderzoek gedaan naar de rol die sectorspecifieke toezichthouders spelen in relatie tot risicomanagement. Derhalve is het ook niet mogelijk om op basis van eerdere bewijzen uit wetenschappelijk onderzoek theoretisch te funderen wat de effecten van toezicht op de toepassing van risicomanagement zijn. In dit onderzoek zit echter een dataset die dergelijk onderzoek

- 16 -

mogelijk maakt en daarmee unieke resultaten kan produceren. Aan de hand van oorsprong van toezicht, specifiek toezicht op financiële instellingen en de institutionele theorie wordt

beargumenteerd waarom toezicht door toezichthouders een positief effect heeft op de volwassenheid van risicomanagement.

2.3.1 De oorsprong van extern toezicht

Begin jaren negentig van de vorige eeuw deed marktregulering zijn intreden, waarbij de overheid zich terug trekt als directe bewaker van naleving van regelgeving. De zogenoemde ‘regulatory state’ doet zijn intreden (Majone, 1997). Hierbij zorgt de wetgever er voor dat bepaalde taken worden

uitgevoerd, waarbij de uitvoering echter bij de markt gelaten wordt. Met het delegeren van

verantwoordelijk naar de markt is er ook meer aandacht vanuit de staat voor een goede werking van de markt, een voorwaarde voor effectieve marktwerking. De optimalisatie van marktwerking werd een beleidsdoel van overheid. Dit heeft geleid tot nieuwe en meer intensieve vormen van toezicht. Nieuwe toezichthoudende organen worden opgericht of in een nieuw jasje gestoken en worden aangeduid als ‘autoriteit’ (Mertens 2009). De Nederlandse autoriteiten en inspecties, met uitzondering van de Nederlandse Bank (zie financiële instellingen), propaganderen niet openlijk voor risicomanagement als noodzakelijk beheersinstrument. Wel eisen zij veelal op een meer silomatige wijze toch

risicobeheersingsinstrumenten van de ondernemingen op het domein van hun toezicht.

Onder druk van de deregulering die vanaf kabinet Balkende II in gang is gezet, is het toezichtdomein zelf ook van een meer integrale vorm van toezicht naar risicogericht en thematisch toezicht gegaan (Mertens, 2009), waardoor impliciet de aandacht voor risicomanagement toeneemt als

beheerinstrument door toezichthouders enerzijds. Anderzijds leidt risicogericht en thematisch onderzoek ook tot een duidelijke set regels die minimaal beheerst dienen te worden om te voldoen aan de eisen van de toezichthouder.

De eisen van toezichthouders worden door onderneming gepercipieerd als de minimale eisen waaraan de onderneming moet voldoen als een vorm van compliance, maar ook een vorm van bestaansrecht. Risicomanagement is één van de instrumenten die gebruikt wordt (bijv. in de vorm van incidentmanagement) en die steeds meer, in lijn met ook het eigen risicogerichte toezicht, moet gaan gelden als best practice binnen de sector. De WRR stelt in een beschouwing dat inspecties (en

autoriteiten) stimulerend kunnen werken door het ‘goede’ te verspreiden onder andere door

beredeneerd inzicht te geven in de verschillende werkwijzen die instelling en onderneming ontwikkeld hebben (Mertens 2009). Of toezicht per definitie tot een vorm van integraal of geformaliseerd

risicomanagement zal leiden is de vraag. Maar zelfs al worden risico’s beheerst in een silomatige benadering zal dit leiden tot een hogere mate van risicomanagementvolwassenheid, als is het op deelaspecten. Risicomanagement als instrument kan fungeren als een vorm van legitimatie richting toezichthouders dat de aspecten van toezicht in voldoende mate beheerst worden. Institutionele theorie verklaart aan de hand van isomorfismen waarom best practices (zoals risicomanagement) zullen leiden tot een geaccepteerde standaard binnen een sector.

2.3.2 De isomorfistiche reactie op toezicht

In 1983 introduceerde DiMaggio en Powell de basis van de institutionele theorie. DiMaggio en Powell beschrijven het proces waarbinnen organisaties homogeniseren, dit proces noemen zij isomorfisme. Isomorfisme is een proces waarbij binnen eenheden binnen een populatie ondernemingen worden geconfronteerd met een zelfde set aan omgevingsfactoren en daardoor gelijke gedragingen gaan vertonen. Zij onderkennen drie typen isomorfismen: normatieve isomorfisme, dwang isomorfisme en mimetisch isomorfisme. Alle drie de aspecten zijn in het kader risicomanagement als een reactie op

- 17 -

toezicht relevant en zouden een reden kunnen zijn voor implementatie van (of impuls tot

volwassenwording van) risicomanagement. Het dwang isomorfisme is de meest voor de hand liggende reactie op toezicht. Indien een toezichthouder risicomanagement als instrument hanteert (al dan niet als silo benadering of een meer holistische integrale benadering) zullen de specifieke regels gevolgd dienen te worden. Vooral als het gaat om inspecties (dan vaak vanuit een silobenadering) zal de toezichthouder handhavingsmaatregelen opleggen om naleving van de regels af te dwingen. Om handhavingsmaatregelen te voorkomen zal de onderneming zich proberen te houden aan de door de toezichthouder gestelde regels (coërsief dwang isomorfisme).

Deephouse (1996) vindt in een onderzoek naar strategisch isomorfisme onder banken als methode voor verkrijgen van regelgevende en publieke goedkeuring, dat mimetisch (strategisch) isomorfistisch gedrag leidt tot meer goedkeuring door beide partijen. Deze goedkeuring uit zich voor het aspect regelgevende goedkeuring tot minder handhavingsacties. Dit is een bewijs dat goedkeuring door toezichthouders kan en/of zal leiden tot mimetisch isomorfisme door onderneming. Daarnaast stellen Frumkin en Galaskiewicz (2004) twee relevante aspecten met betrekking tot toezicht en regelgeving vast. Zodra toezicht en regels toenemen, reageren organisaties met meer geïnstitutionaliseerde regels en procedures (normatief isomorfisme). Organisaties zijn onderworpen aan toezicht en daarom omarmen vergelijkbare organisaties institutionele mythes (gezamenlijk geaccepteerde normen in een sector) en door dit te accepteren ontstaat weer eenheidsworst onder organisaties. Eén van de uiting van normatief isomofirsme is het omarmen van risicomanagement als standaard binnen een bepaalde sector.

2.3.3 Toezicht op risicomanagement bij financiële instellingen

Op financiële instellingen wordt toezicht gehouden door de Nederlandse Bank. Financiële instellingen kennen ten opzichte van andere onderneming specifieke vereisten ten aanzien van risicomanagement en het hanteren van het ‘three lines of defence’ principe. Maar ook in de sectorspecifieke afspraken als Basel II en Solvency II neemt risicomanagement een prominente rol in, waarbij de regeling vereist dat organisaties een ORSA (Own risk selfassesment) opstellen, welke de basis vormt voor het aan te houden risicokapitaal. De instellingen dienen richting de toezichthouder aan te tonen dat zij ook actief sturen op de ORSA als stuurinstrument voor besluitvorming.

De toezichthouder (website DNB) hanteert in het toezicht op de governance van het risicomanagement een indeling in vier hoofdonderwerpen:

1. de risicocultuur binnen een onderneming, waarbij de ‘tone at the top’ een belangrijke bepalende factor is;

2. de risicostrategie en -beleid, waaronder de risicobereidheid/-tolerantie van een onderneming;

3. de inrichting van de risicomanagementfunctie, waarbij de operationele onafhankelijkheid van de risicomanagementfunctie en de toegang tot RvB en RvC belangrijke elementen zijn; en

4. of sprake is van een holistische benadering en integrale beheersing van alle relevante risico’s door kwalitatief hoogwaardige risicomanagementprocessen.

Op grond van de Wet op het financieel toezicht (Wft) is de governance van het risicomanagement een belangrijk element in de beoordeling van de integere en beheerste bedrijfsvoering (Wft 3:17). Het Besluit prudentiële regels Wft (Bpr) werkt dit in artikel 17, 23 en 24 verder uit.

 Artikel 17 Bpr gaat ervan uit dat, onder andere, banken en verzekeraars een adequate interne organisatiestructuur afgestemd op aard, omvang, risico’s en complexiteit van de werkzaamheden van de onderneming. Daarin zijn taken, bevoegdheden en verantwoordelijkheden helder belegd

- 18 -

met duidelijke rapportagelijnen en is er een adequaat systeem van informatievoorziening en communicatie.

 Artikel 23 Bpr stelt in het kort dat banken en verzekeraars beleid voeren dat is gericht op het beheersen van relevante risico’s en dat dit beleid wordt vastgelegd in procedures en maatregelen ter beheersing van relevante risico’s en geïntegreerd in de bedrijfsprocessen. De bedoelde procedures en maatregelen bestaan onder meer uit autorisatieprocedures, limietstellingen, limietbewaking en procedures en maatregelen voor noodsituaties en zijn afgestemd op de aard, de omvang, het risicoprofiel en de complexiteit van de werkzaamheden van de bank en/of verzekeraar. De bedoelde procedures en maatregelen worden vastgelegd en ter kennis gebracht van alle relevante bedrijfsonderdelen.

 Bovendien beschikt de bank of verzekeraar over een onafhankelijke risicobeheerfunctie (RM-functie) die op systematische wijze een onafhankelijk risicobeheer uitvoert dat gericht is op het identificeren, meten en evalueren van de risico’s waaraan de onderneming is of kan worden blootgesteld. Het risicobeheer wordt zowel uitgevoerd ten aanzien van de onderneming als geheel als ten aanzien van de onderscheiden bedrijfsonderdelen. De risicobeheerfunctie beschikt over de nodige autoriteit en toegang tot alle noodzakelijke informatie om haar taken te kunnen uitoefenen.

 Artikel 24 Bpr voegt hieraan toe dat een onderneming er op systematische wijze op toe moet zien dat de procedures en maatregelen, bedoeld in artikel 23, worden nageleefd en ervoor zorgt dat gesignaleerde tekortkomingen of gebreken worden opgeheven.

De specifieke aandacht voor risicomanagement door de toezichthouder vindt daarom ook logischerwijs haar uiting in de governance codes van financiële instelling. Dit ondersteund ook de theorie van het normatief isomorfisme. Het specifieke toezicht hierop door de toezichthouder houdt vormt bovendien een vorm van toezicht die daarmee de governance codetoepassing apart zet van de andere vrijwillige sectorale codes en bevestigen daarmee de fundering voor hypothese 5. Door bovengenoemd toezicht wordt het financiële sector aspect niet alleen gekoppeld aan de governance code alleen, maar wordt voor toezicht en de codetoepassing één hypothese gehanteerd.

Collier et al. (2007) stellen dat risicomanagement een isomorfistische reactie is, waarbij

risicomanagement als zichtbare uiting van compliance aan de governance code kan worden gezien. In lijn met de institutionele theorie zal ditzelfde kunnen gelden voor risicomanagement als vorm van compliance richting de toezichthouder. Op grond van bovenstaande argumentatie wordt de volgende hypothese getoetst:

H6: Extern toezicht door een toezichthouder is positief geassocieerd aan de mate van ERM volwassenheid.

2.4 De invloed van verschillende eigendomsstructuren op de

volwassenheid van risicomanagement

In voorgaande paragrafen is gekeken naar de rol die accountants, wetgevers en toezichthouders kunnen en moeten vervullen met betrekking tot risicomanagement. In deze paragraaf wordt gekeken naar de rol van de eigenaren van de ondernemingen. Verschillende eigendomsstructuren hebben echter verschillende consequenties omdat de belangverhoudingen anders liggen, onder andere geredeneerd vanuit de agency theory. Hieronder wordt per eigendomsvorm de belangrijkste impact op de volwassenheid van risicomanagement uitgewerkt.

- 19 -

2.4.1 Agency theorie

De agency theorie is gericht op de relatie waarbij de ene partij (principaal) werk delegeert aan de andere partij (agent) die dat werk uitvoert. De agent is manager / bestuurder en de principaal is de eigenaar, dus scheiding van leiding en eigendom. Agency theorie probeert deze relatie te beschrijven met het gebruik van de metafoor van een contract. Hierbij is de theorie gericht op het oplossen van twee problemen die kunnen ontstaan in de agency relatie. Het eerste probleem ontstaat wanneer de doelstelling tussen agent en principaal uiteenlopen en het moeilijk of duur is voor de principaal om de acties van de agent te monitoren. Het probleem hier is dat principaal de acties van de agent niet direct kan waarnemen en dus niet kan vaststellen dat de agent in het belang van de principaal heeft

gehandeld. Dit leidt tot informatieasymmetrie, bestaand uit twee problemen: moral hazard en adverse selection. Het tweede probleem is het probleem van het delen van risico’s. Hierbij kan de agent een andere risicopreferentie hebben dan de principaal en kan hierdoor mogelijk voorkeur geven aan andere acties dan de principaal. (Jensen en Meckling 1976). Een eerste oplossing is een contract tussen agent en principaal die agent verplicht om tegen een beloning te handelen ten behoeve van de principaal (optimal contracting). Een tweede oplossing kunnen verplichtingen met betrekking tot informatieverstrekking zijn (Healy et al. 2001). Een andere oplossing voor het agency probleem is bewaking van financiële verslaggeving door toezichthouders en accountantscontrole, beide

beschreven in voorgaande paragrafen (Scott 2009, Healy et al. 2001). Transparante risicoverslaggeving is van belang bij het reduceren van informatieasymmetrie tussen onderneming en (potentiële)

investeerders omdat het toekomstgericht is (Bushman et al 2004, Beratta en Bozzolan 2004, Linsley en Shrives 2006). Solomon et al. (2000) stellen dat risicoverslaggeving is toegenomen door potentiële investeerders ten behoeve van portfolio investment management.

De agency theorie maakt duidelijk dat zodra er scheiding van leiding en eigendom ontstaat er dus informatieasymmetrie kan optreden, waarmee ook duidelijk wordt dat risicomanagement in dat geval relevant is. Dit is relevant voor de principaal ten bate van het kunnen vaststellen of er sprake is van risk alignment (gelijke risicopreferentie) tussen beide om een goede keuze tussen risks en rewards te kunnen maken. Is deze scheiding van leiding en eigendom er niet, dan is er geen sprake van

belangentegenstelling omdat de rol van agent en principaal in één hand zijn. Eigendomsstructuren hebben daarmee dus invloed op hoe een onderneming met risicomanagement omgaat. De aandeelhouders (principaal) zitten naast de accountant, regelgever of toezichthouder in een nog directe positie om management te beïnvloeden om risicomanagement serieus te nemen en invloed uit te oefenen op de implementatie en doorontwikkeling van risicomanagement conform Liepenberg en Hoyt (2003) en Mikes (2009).

2.4.2 Theoretische verbanden tussen eigendomsstructuren en risicomanagement

In diverse onderzoeken naar drijfveren achter enerzijds implementatie van risicomanagement en anderzijds de volwassenheid van risicomanagement is aandacht besteed aan de effecten van eigendomsstructuren op risicomanagement, welke hieronder beschreven worden.

Geredeneerd vanuit regelgeving en verplichte toepassing van governance regelgeving verwachten Paape en Speklé dat beursnotering positief geassocieerd is met de mate van ERM-volwassenheid. Het niet voldoen aan deze regelgeving wordt niet als een optie gezien. Een optie die voor ondernemingen met governance codes zonder verplichte toepassing of bij privaat eigendom makkelijker is.

Paape en Speklé vinden in een Nederlandse setting dat de mate van ERM-volwassenheid positief gerelateerd is aan een beursnotering. Een relatie die overigens los gezien moet worden van de governance regelgeving, aangezien zij hier geen bewijs voor vinden en dus niet endogeen verklaard wordt door corporate governance. Pooser (2012) gebruikt het hebben van een Standard en Poor