Onderzoek naar het verschil in de risicoparagraaf van het jaarverslag 2012 tussen verschillende branches

(1)

RIJKSUNIVERSITEIT GRONINGEN

Onderzoek naar het verschil in de risicoparagraaf van het

jaarverslag 2012 tussen verschillende branches

Grietje Schreiber 29-06-2014

(2)

Onderzoek naar het verschil in de risicoparagraaf van het

jaarverslag 2012 tussen verschillende branches

Auteur: Grietje Schreiber Studentnummer: S2244861

Leeuwarden, 29 juni 2014

Rijksuniversiteit Groningen Faculteit Economie & Bedrijfskunde

Master Thesis Accountancy

(3)

Samenvatting

In dit onderzoek staat de verslaggeving over risico’s en beheersingssystemen door Nederlandse beursfondsen centraal. Risicomanagement is een proces waarbij de te lopen risico’s worden onderkend en de bewuste keuze wordt gemaakt om er al dan niet iets aan te gaan doen (Starreveld e.a., 2002). Dit onderzoek geeft inzicht in de verslaggeving over risico’s en beheersingssystemen van Nederlandse beursfondsen door middel van inventarisatie van jaarverslagen over het boekjaar 2012. Dit onderzoek richt zich enkel op Nederlandse beursfondsen die deel uitmaken van de AMX (Amsterdam Midkap Index) en AScX (Amsterdam Small Cap Index) van Euronext Amsterdam, zodat de resultaten onderling vergelijkbaar zijn.

Het onderwerp risicomanagement staat de afgelopen jaren in een negatief daglicht. Recentelijk zijn er een aantal boekhoudschandalen aan het licht gekomen. Mede hierdoor zijn de weten regelgeving ten opzichte van risicomanagement verscherpt. Nederlandse beursfondsen zijn onderworpen aan de Corporate Governance Code. Deze Code is in 2004 ingevoerd. Het doel van de Code is de transparantie in het jaarverslag vergroten.

Door het analyseren van de jaarverslagen 2012 is er onderzocht of er een significant verschil is in de risicoparagraaf van het jaarverslag 2012 tussen verschillende branches. Hiervoor is gebruik gemaakt van een vragenlijst met specifieke vragen die betrekking hebben op de risicoparagraaf van het jaarverslag. Deze vragenlijst is gebaseerd op de vragenlijst uit het onderzoek van Mertens en Blij (2008).

Aan de hand van het empirisch onderzoek blijkt dat er geen significante verschillen zijn tussen verschillende branches. Verklaringen voor deze uitkomst worden tevens in de wetenschappelijke literatuur beschreven. Het COSO raamwerk is niet effectief genoeg in het ontdekken en voorkomen van fraude (Pruijm, 2007). Het is moeilijk om het topmanagement van een organisatie duurzaam enthousiast te maken om het COSO raamwerk te hanteren (Faber en Visser, 2006). Het raamwerk is te ingewikkeld om in de praktijk toe te kunnen passen (Soeting en Spoor, 2003). De vorm, functie en betekenis van risicomanagement zijn voor het grootste deel ontastbaar en subjectief. Dit maakt de implementatie gecompliceerd (Van Staveren, 2009). Vanuit de wetenschappelijke literatuur blijkt tevens dat de er veel minder aandacht is voor de kwaliteit van verslaglegging over risicomanagement en de juiste invulling van Corporate Governance (Strikwerda, 2010). De invulling die ondernemingen aan Corporate Governance geven verschilt. Dit heeft onder andere te maken met de omvang, cultuur, doelstellingen en de strategie van de onderneming (Schilder et al., 2002).

Dit onderzoek draagt bij aan de bestaande literatuur omtrent risicoverslaggeving in het jaarverslag in Nederland en heeft als primair doel inzicht te verschaffen in de verslaggeving over risicomanagement van AMX en AScX ondernemingen op basis van een inventarisatie van jaarverslagen over het boekjaar 2012.

(4)

Voorwoord

Voor u ligt mijn scriptie: ‘Onderzoek naar het verschil in de risicoparagraaf van het

jaarverslag 2012 tussen verschillende branches’. Deze scriptie heb ik geschreven ter

afsluiting van de Master Accountancy & Controlling aan de Rijksuniversiteit Groningen. Risicomanagement heeft de afgelopen jaren steeds meer de aandacht gekregen. Dit komt voornamelijk door de grote boekhoudschandalen (zoals Ahold en Enron) en de kredietcrisis. Hierdoor is het belang van risicomanagement toegenomen. Stakeholders hebben behoefte aan meer transparantie omtrent risico’s. De risicoparagraaf is het instrument om die transparantie vorm te geven en stakeholders informatie te verschaffen omtrent de voornaamste risico’s die een onderneming loopt. De risicoparagraaf vormt een steeds belangrijker onderdeel in het jaarverslag en dient geen open brainstorm te zijn van allerhande risico’s.

Allereerst gaat mijn dank uit naar prof. dr. D.M. Swagerman, mijn eerste begeleider vanuit de Rijksuniversiteit Groningen, voor de deskundige en sturende opmerkingen. Daarnaast wil ik graag de personen bedanken die veel belangstelling hebben getoond tijdens mijn studie en onderzoek; familie, vrienden en in het bijzonder mijn vriend Pieter de Roos. Bedankt voor jullie hulp, interesse en steun.

Ik wil u als lezer van harte uitnodigen om verder te lezen. Leeuwarden, 29 juni 2014

(5)

Inhoudsopgave

1. Inleiding 6 1.1 Introductie en aanleiding 6 1.2 Wetenschappelijke relevantie 7 1.3 Probleemstelling 10 1.4 Structuur 10 2. Theoretisch kader 11 2.1 Introductie 11 2.2 Risicomanagement 11 2.3 Risicoparagraaf 13

2.4 Wet & regelgeving 15

2.5 Corporate Governance 16 2.6 Conclusie 21 3. Onderzoeksopzet 22 3.1 Onderzoekspopulatie 22 3.2 Onderzoeksaanpak 23 3.3 Risicovolle branches 24

4. Resultaten empirisch onderzoek 27

4.1 Verslaglegging algemeen 27

4.2 Verslaglegging over risico’s 28

4.3 Verslaglegging over risicomanagementsystemen 30

4.4 In Control Statement 31 4.5 Bestuurdersverklaring 32 5. Conclusie 33 5.1 Conclusie hoofdvraag 33 5.2 Beperkingen en aanbevelingen 35 6. Nadere beschouwing 36 Referenties 40 Bijlagen 45 Bijlage 1 – Onderzoekspopulatie 46

Bijlage 2 – Vragenlijst Sijthoffprijs 47

(6)

1. Inleiding

1.1 Introductie en aanleiding

In deze scriptie staat het onderwerp risicomanagement centraal. Het onderwerp risicomanagement heeft de afgelopen jaren steeds meer de aandacht gekregen. Dit komt vooral door de grote boekhoudschandalen (zoals Ahold en Enron) en de kredietcrisis. Hierdoor is het belang van risicomanagement toegenomen (Kevelam en Ter Hoeven, 2008). Stakeholders hebben behoefte aan meer transparantie over risico’s. De risicoparagraaf is het instrument om die transparantie vorm te geven en stakeholders informatie te verschaffen over de voornaamste risico’s die een onderneming loopt (Deloitte, 2012).

De reactie op de grote boekhoudschandalen is dat er een grote druk is ontstaan op ondernemingen om risicomanagement serieus te nemen. Ondernemingen waren genoodzaakt om het vertrouwen terug te winnen door middel van aanpassing en invoering van weten regelgeving. In de Verenigde Staten werd in 2002 de Sarbanes-Oxley wet ingevoerd voor alle ondernemingen met een notering aan de Amerikaanse beurs. In Europa werd in 2003 de Code Tabaksblat ingevoerd als vervanger voor het rapport ‘Corporate Governance in Nederland; De Veertig Aanbevelingen’ uit 1997 van de Commissie Peters (Akkermans et al., 2007). In 2004 is de Nederlandse Corporate Governance Code ingevoerd. Het doel van deze wetgeving is de transparantie in het jaarverslag te vergroten1. In Nederland is er een vernieuwing van de Code geweest. Op 10 december 2009 is de nieuwe Code Corporate Governance, beter bekend als de Code Frijns, wettelijk verankerd. Deze Code is een aanscherping van de in 2004 ingevoerde Code en geldt voor alle Nederlandse beursvennootschappen.

Risicoparagrafen blijken in de afgelopen jaren nauwelijks te zijn aangepast aan de veranderende omstandigheden. De meeste beursgenoteerde bedrijven schrijven een risicoparagraaf die vooral een standaardopsomming geeft van de risico’s van het afgelopen jaar. De risicoparagraaf is bedoeld om stakeholders te informeren over de houdbaarheid van de strategie voor de komende periode. Het is daarbij belangrijk dat de risicoparagraaf informatie verschaft omtrent de betekenis van de gesignaleerde risico’s inzake de continuïteit, de financiële positie en de marktpositie van de onderneming in de toekomst. Uit het onderzoek van Deloitte2 bleek dat risicoparagrafen door de afgelopen jaren weinig zijn veranderd.

In 2008 is door Mertens en Blij (2008) in opdracht van het Koninklijk NIVRA en Eumedion onderzoek verricht naar de risicoparagrafen in de jaarverslagen 2007 van alle Nederlandse beursfondsen. De belangrijkste conclusie uit dit onderzoek is dat de verslaggeving over risico’s en de beheersing daarvan nog sterk kan worden verbeterd. Er zijn een aantal aandachtspunten geïdentificeerd ter verbetering van de verslaggeving omtrent risico’s en beheersingssystemen:

1. De toegankelijkheid van de verschafte informatie

2. De voorzichtigheid bij ondernemingen inzake de In Control Statement 3. De presentatie van de informatie over risicomanagement

4. De informatie over risico’s 5. De informatie over risk appetite

1_{Committee of Sponsoring Organizations of the Treadway Committee, Enterprise Risk Management-Integrated Framework, 2004.} 2_{Deloitte, Risk Reporting Analysis: Risicoparagraaf mist voorspellende waarde, februari 2012.}

(7)

Het Koninklijk NIVRA heeft in 2010 een onderzoek uitgevoerd over de risicoparagrafen van 110 Nederlandse beursgenoteerde ondernemingen in 2009 in vergelijking met de resultaten van de jaarverslagen uit 2007. Uit dit onderzoek blijkt dat er ten opzichte van 2007 een verbetering is opgetreden in de kwaliteit van de risicoparagrafen. Onder kwaliteit wordt verstaan: het voldoen aan weten regelgeving en de mate waarin rekening is gehouden met de informatiebehoeften van belangrijke stakeholders, evenals het gebruikersgemak. Er is ook op het gebied van presentatie en inhoud nog voldoende ruimte voor verbetering (Koninklijk NIVRA, 2010).

Tot op heden heeft het Nederlandse bedrijfsleven nog steeds te kampen met de effecten van de kredietcrisis die heeft aangetoond dat beheersing van risico’s uitermate belangrijk is. In deze tijd van economische onzekerheid en turbulentie, is het voor beleggers van nog groter belang een goed beeld te krijgen van de verwachtingen van ondernemingen ten aanzien van de toekomstige ontwikkelingen en de risico’s die daarmee zijn gepaard (Eumedion, 2011). Eumedion (2011) stelt daarbij inzichtelijke verslaggeving op prijs in haar Speerpuntenbrief 2012. In de risicoparagraaf dient de nadruk te liggen op een beschrijving van de voornaamste strategische risico’s, waaronder ook strategische risico’s op milieu- en sociaal gebied, en van de belangrijkste operationele risico’s die zijn verbonden aan het bedrijfsmodel, de strategie voor de implementatie van het bedrijfsmodel en uitleg op welke wijze de onderneming de betreffende risico’s het hoofd kan bieden, evenals ten aanzien van risico’s die voortvloeien uit veranderingen op de relevante markten. Hierbij kan ook worden gedacht aan milieutechnische- en sociale veranderingen op die markten. Echter, verwerken ondernemingen daadwerkelijk de aanbeveling van Eumedion, zodat beleggers een goed beeld krijgen van de verwachtingen van de ondernemingen ten aanzien van de toekomstige ontwikkelingen en de risico’s die daarmee zijn gepaard?

1.2 Wetenschappelijke relevantie

Er zijn meerdere onderzoeken verricht op het gebied van risicoverslaggeving. Risicoverslaggeving wordt gezien als het rapporteren van risico’s in het jaarverslag. De relevantie van dit onderzoek blijkt uit het feit dat risicoverslaggeving in de afgelopen jaren steeds meer in de belangstelling is komen te staan. Het vergroot de transparantie en het vertrouwen van beleggers (Linsley en Shrives, 2006). De kredietcrisis heeft ertoe geleid dat steeds meer belanghebbenden transparante risico informatie in het jaarverslag verlangen (Kevelam en Ter Hoeven, 2008).

Linsley en Lawrece (2007) hebben onderzoek verricht naar risicoverslaggeving bij de 25 grootste niet-financieel beursgenoteerde bedrijven in Groot-Brittannië. Abraham en Cox (2007) hebben onderzoek verricht naar de kwantificering van risico’s en toelichting op risico’s in het jaarverslag. Deze onderzoekers hebben zich voornamelijk gericht op specifieke risicocategorieën. Risicoverslaggeving betreft niet alleen het rapporteren over risico’s (Beretta en Bozzolan, 2004). Belanghebbenden eisen naast informatie over de verschillende risico’s ook informatie over de strategie en risicohouding van de onderneming (De Groot, 2010).

(8)

Beretta en Bozzolan (2004) gebruiken een inhoudsanalyse waar 85 jaarverslagen over 2001 van Italiaanse beursgenoteerde ondernemingen aan worden getoetst. Beretta en Bozzolan (2004) hebben hun onderzoek op verschillende sectoren gericht. Ze concluderen dat vrijwillige rapportage een hogere mate van risicoverslaggeving geeft. De impact van de risico’s wordt nauwelijks genoemd. Met betrekking tot het kwantitatief onderzoek kan geen verband worden gevonden met de grootte van de organisatie en dat de risico’s voornamelijk financieel zijn gericht (Beretta en Bozzolan, 2004).

Voor het maatschappelijk verkeer is risicoverslaggeving steeds belangrijker geworden. Dit vloeit voort uit de toenemende belangstelling van beleggers voor de belangrijkste bedrijfsrisico’s, de houding van de onderneming ten opzichte van deze risico’s en de mate waarin deze risico’s worden beheerst door de onderneming (Veenis en Dinant, 2011).

De Groot (2008) geeft aan dat risicoverslaggeving in jaarverslagen uit een drietal samenhangende componenten bestaat:

1. Risicoprofiel: een overzicht van de belangrijkste risico’s (volgens COSO) van de organisatie.

2. Risicomanagementsysteem: het systeem beschrijft de organisatie specifieke risico’s en geeft aan op welke wijze deze risico’s worden beheerst.

3. In Control Statement: bevat een uitspraak over de opzet, bestaan en (effectieve) werking van het risicomanagementsysteem door de leiding van de organisatie.

Dobler et al. (2011) hebben een onderzoek uitgevoerd naar risicoverslaggeving in vier landen, namelijk VS, Canada, VK en Duitsland. In dit onderzoek is gekeken naar wat de karakteristieken zijn van risicoverslaggeving. De belangrijkste karakteristieken in deze vier landen zijn dat de risicoverslaggeving hoofdzakelijk is gefocust op financiële risico’s en dat er weinig toekomstgerichte informatie is gepubliceerd. Daarnaast hebben ze aangetoond dat de hoeveelheid risicoverslaggeving samenhangt met de omvang van de onderneming en de mate van risico dat een onderneming loopt.

De Nederlandse Corporate Governance Code is per 1 januari 2004 in werking getreden. Dit houdt in dat alle Nederlandse beursgenoteerde ondernemingen vanaf 2004 verplicht zijn om te voldoen aan deze Code. Met ingang van het boekjaar 2009 is de aangepaste Code in werking getreden en zijn de best practice bepalingen met betrekking tot risicomanagement verder uitgewerkt. De belangrijkste wijziging ten opzichte van de oorspronkelijke code op het terrein van risicoverslaggeving betreft de In Control Statement van het bestuur, die nu alleen nog maar betrekking heeft op de financiële verslaggevingsrisico’s. Voor de overige risico’s kan worden volstaan met een beschrijving. Hiermee is de door de Monitoring Commissie (Frijns) in 2005 uitgebrachte guidance verwerkt in de Code. Daarbij valt het op dat de door de Monitoring Commissie in 2005 geïntroduceerde forward looking statement niet is opgenomen in de aangepaste Code. De commissie Frijns geeft een duidelijke invulling vanuit de Nederlandse Corporate Governance Code. De verslaggeving dient te voorzien in een beschrijving die de voornaamste risico’s omvat, gerelateerd aan de strategie van de organisatie. De organisatie dient tevens een beschrijving te geven van de opzet en werking van het interne risicobeheersings- en controlesysteem met betrekking tot deze risico’s in het betreffende boekjaar. Tot slot gaat de verslaggeving in op eventuele belangrijke tekortkomingen in het interne risicobeheersings- en controlesysteem die in het boekjaar zijn geconstateerd, welke eventuele significante wijzigingen in het systeem zijn aangebracht en welke verbeteringen zijn gepland3.

(9)

Naast de algemene Corporate Governance Codes zijn er binnen specifieke sectoren ook ontwikkelingen die invloed hebben op de ontwikkeling van risicomanagement binnen de betreffende sector. Tussen de branches in Nederland zit een groot verschil. Dit wordt onder andere veroorzaakt door de specifieke regelgeving die van toepassing is (De Groot, 2010c) en de grote diversiteit aan stakeholders van een onderneming.

Grotere ondernemingen zijn complexer dan kleinere ondernemingen. De complexiteit hangt samen met risico’s, managers openbaren meer informatie omtrent deze risico’s (Deumes en Knechel, 2008).

Ondernemingen in een risicovolle branche zijn meer in het nieuws dan ondernemingen in een minder risicovolle branche. Daardoor is er meer informatie over hen bekend. Het vertrouwen van de stakeholders wordt vergroot als ondernemingen meer informatie bekend maken. Via de media wordt diverse (financiële) informatie bekend gemaakt. Linsley & Shirves (2006) hebben aangetoond dat organisaties in een omgeving met veel risico’s en een hoger inherent risicoprofiel, meer risicoverslaggeving opnemen in hun jaarverslagen dan organisaties die in een omgeving opereren met minder risico’s en een lager inherent risicoprofiel hebben. Om het vertrouwen van de stakeholder te vergroten, zullen deze ondernemingen meer informatie over risicomanagement in hun risicoparagraaf opnemen. Op deze manier zal het vertrouwen van stakeholders groeien (Linsley en Shrives, 2006). In hoofdstuk 3 worden de risicovolle branches verder uiteengezet. Het onderzoek van Linsley & Shirves (2006) heeft aangetoond dat organisaties in een omgeving met veel risico’s en een hoger inherent risicoprofiel, meer risicoverslaggeving opnemen in hun jaarverslagen dan organisaties die in een omgeving opereren met minder risico’s en een lager inherent risicoprofiel hebben.

Mertens en Blij (2008) hebben onderzoek verricht naar de risicoparagrafen in de jaarverslagen 2007 van alle Nederlandse beursfondsen. De belangrijkste conclusie uit dit onderzoek is dat de verslaggeving over risico’s en de beheersing daarvan nog sterk kan worden verbeterd. Het onderzoek van Paape et al. (2009) is gericht op risicomanagement bij Nederlandse ondernemingen in tijden van economische crisis. Hierbij hebben de respondenten van de enquête aangegeven dat de economische crisis niet had kunnen worden voorkomen door beter risicomanagement. Door de crisis is er wel meer aandacht besteed aan risicomanagement. In 2010 is er door Scheffe van het Koninklijk NIVRA een onderzoek uitgevoerd over de risicoparagrafen van alle Nederlandse beursgenoteerde fondsen in 2009 in vergelijking met de resultaten van de jaarverslagen uit 2007. Uit dit onderzoek blijkt dat er ten opzichte van 2007 een verbetering is opgetreden in de kwaliteit van de risicoparagrafen, maar ook dat er op het gebied van presentatie en inhoud nog voldoende ruimte voor verbetering is.

Uit het onderzoek van De Groot (2010) blijkt dat er een kritische houding bestaat over de huidige kwaliteit van de risico informatie in het jaarverslag. Op basis van deze onderzoeken en de gewijzigde regelgeving op het gebied van risicoverslaggeving wordt duidelijk dat risicoverslaggeving volop in de belangstelling staat.

Bovenstaande onderzoeken richten zich voornamelijk op de kwaliteit van de risicoparagraaf van het jaarverslag en onderzoeken of er een verbetering heeft plaatsgevonden in de loop van de jaren. Over de verschillen in de risicoparagraaf van het jaarverslag tussen verschillende branches in Nederland, zijn nog weinig wetenschappelijke artikelen geschreven. Derhalve zal dit onderzoek een bijdrage leveren aan de bestaande literatuur.

(10)

1.3 Probleemstelling

Het doel van dit onderzoek is dat er inzicht wordt verkregen of er een significant verschil is in de risicoparagraaf van het jaarverslag 2012 tussen verschillende branches van Nederlandse beursfondsen. Elk land moet aan verschillende weten regelgeving voldoen. Dit onderzoek richt zich enkel op Nederlandse beursfondsen die deel uitmaken van de AMX (Amsterdam Midkap Index) en AScX (Amsterdam Small Cap Index) van Euronext Amsterdam, zodat de resultaten onderling vergelijkbaar met elkaar zijn.

Stakeholders hebben behoefte aan meer transparantie over risico’s. De risicoparagraaf is het instrument om aan die transparantie vorm te geven en stakeholders informatie te verschaffen over de voornaamste risico’s die een onderneming loopt (Deloitte, 2012). De verschillen tussen de branches in Nederland wordt onder andere veroorzaakt door de specifieke regelgeving die van toepassing is (De Groot, 2010c) en de grote diversiteit aan stakeholders van een onderneming.

Voor dit onderzoek is naar aanleiding van de hiervoor kort toegelichte problematiek, de volgende centrale vraag geformuleerd:

In hoeverre is er een significant verschil in de risicoparagraaf van het jaarverslag 2012 tussen verschillende branches?

Om antwoord te geven op de onderzoeksvraag en dit onderzoek verder te structureren, zijn de volgende deelvragen geformuleerd:

1. Wat wordt er verstaan onder risicomanagement? 2. Wat wordt er bedoeld met een risicoparagraaf? 3. Welke weten regelgeving is relevant?

4. Wat wordt er verstaan onder Corporate Governance?

5. Is er een verschil in de risicoparagraaf van het jaarverslag tussen verschillende branches?

De eerste vier deelvragen komen in hoofdstuk 2, het theoretische kader, verder aan bod. De laatste deelvraag wordt in hoofdstuk 4 en 5 behandeld. Hiervoor is een meetinstrument ontwikkeld dat bestaat uit een vragenlijst met specifieke vragen die betrekking hebben op de risicoparagraaf van het jaarverslag.

1.4 Structuur

De structuur van deze scriptie ziet er als volgt uit. In hoofdstuk 2 wordt de theoretische literatuur behandeld. Er zal dieper op het onderwerp risicomanagement en risicoparagraaf worden ingegaan. Vervolgens zal in dit zelfde hoofdstuk worden ingegaan op relevante weten regelgeving en Corporate Governance. In hoofdstuk 3 wordt op basis van de theoretische literatuur de opzet van het onderzoek beschreven. Hierbij wordt ingegaan op de onderzoekpopulatie en de onderzoeksaanpak. In hoofdstuk 4 worden de resultaten van het onderzoek gepresenteerd en nader toegelicht. Vervolgens wordt in hoofdstuk 5 de conclusie gepresenteerd op basis van de onderzoeksresultaten. In hoofdstuk 5 worden tevens de beperkingen van het onderzoek en de mogelijkheden voor vervolgonderzoek behandeld. Hoofdstuk 6 biedt ruimte voor een nadere beschouwing op de onderzoeksresultaten.

(11)

2. Theoretisch kader

2.1 Introductie

In dit hoofdstuk wordt de theoretische literatuur behandeld. Voordat er wordt overgegaan op het uitgevoerde onderzoek, worden er eerst aantal relevante begrippen uitgelegd. Het doel hiervan is inzicht te verkrijgen aan welke weten regelgeving Nederlandse beursfondsen moeten voldoen ten aanzien van de risicoparagraaf in het jaarverslag.

2.2 Risicomanagement

De achterliggende gedachte van risicomanagement is dat elke onderneming bestaat om waarde te creëren voor haar aandeelhouders. Ondernemingen worden geconfronteerd met onzekerheden. Onzekerheid biedt risico’s en kansen. Risicomanagement stelt de onderneming in staat om op een efficiënte wijze met deze onzekerheid en de hieraan verbonden risico’s en kansen, om te gaan. Risicomanagement kan worden gezien als een stuurinstrument dat ondersteuning biedt bij een verstoring van een proces (Emanuels en De Munnik, 2006). Uit het onderzoek van Emanuels en De Munnik (2006) is gebleken dat de Raad van Bestuur verantwoordelijk is voor het voeren van risicomanagement.

De definitie van risicomanagement volgens COSO ERM4 is als volgt:

“Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico’s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen.”

Naar mijn mening is deze definitie het meest volledig en wordt deze definitie in verschillende onderzoeken gehanteerd. De invulling die ondernemingen hieraan geven verschilt. Dit heeft onder andere te maken met de omvang, cultuur, doelstellingen en de strategie van de onderneming. Risicomanagement moet aansluiten bij de werkwijze van de onderneming (NBA, 2013).

Ondernemingen gebruiken een raamwerk om hun risicomanagement systeem in te richten. Hierbij wordt meestal gebruik gemaakt van het Enterprise Risk Management Framework, zie figuur 1. Dit raamwerk is ontwikkeld door COSO (2004) en richt zich op het gehele interne beheersingssysteem. Het raamwerk helpt bij het beoordelen en verbeteren van de interne beheersingssystemen. Dit raamwerk is verwerkt tot beleid, weten regelgeving. Het raamwerk wordt gebruikt om de beheersing te verbeteren met betrekking tot de activiteiten die zich richten op het behalen van de geformuleerde ondernemingsdoelen.

(12)

Bovenstaand raamwerk is ingedeeld in vier categorieën:

1. Strategisch: betreft globale doelen en is afgestemd op de missie. 2. Operationeel: betreft effectief en efficiënt gebruik van middelen. 3. Rapportage: betreft betrouwbaarheid van verslaggeving.

4. Toezicht: betreft naleving van weten regelgeving.

Risicomanagement bestaat naast de vier categorieën, uit acht met elkaar verbonden componenten. Deze componenten zijn afgeleid van de wijze waarop het management een onderneming draaiend houdt en zijn verbonden met het managementproces. De componenten zijn: 1. Interne omgeving 2. Doelstellingen 3. Identificatie gebeurtenissen 4. Risicobeoordeling 5. Reactie op risico 6. Beheersingsactiviteiten 7. Informatie en communicatie 8. Bewaking

Risicomanagement is een herhalend proces dat zich in verschillende volgorden kan bewegen en waarbij bijna alle componenten invloed op elkaar kunnen hebben.

Vanuit de wetenschappelijke literatuur blijkt dat er ook kritiek is geleverd op het COSO-raamwerk. Pruijm (2007) heeft in zijn onderzoek aangetoond dat het COSO-raamwerk niet effectief genoeg is in het ontdekken en voorkomen van fraude. Daarnaast heeft hij geconcludeerd dat implementatie en werking hoge kosten met zich meebrengt. Faber en Visser (2006) hebben met hun onderzoek aangetoond dat het moeilijk is om het topmanagement van een organisatie duurzaam enthousiast te maken om het COSO-raamwerk te hanteren. Dit is vooral moeilijk als het interne beheersingssysteem niet goed functioneert. Met dit onderzoek is tevens aangetoond dat er geen duidelijk stappenplan is voor de implementatie van dit raamwerk. Daarnaast is er geen eenduidig normenkader aanwezig voor de integrale beoordeling van de effectiviteit van risicomanagement en interne beheersingssystemen. Soeting en Spoor (2003) vinden het raamwerk te ingewikkeld om in de praktijk toe te kunnen passen.

(13)

COSO beperkt de betrouwbaarheidseis tot de financiële rapportage en geeft geen duidelijk raamwerk voor het waarborgen van die betrouwbaarheid door de integrale en beperkte behandeling van beheersings- en betrouwbaarheidsmaatregelen. Van Leeuwen (2005) heeft in zijn onderzoek als kritieke punt geformuleerd dat het implementeren van het COSO-raamwerk veel tijd kost. De grote hoeveelheid tijd die er moet worden besteed aan de implementatie van de regelgeving gaat te veel uit naar ‘internal control’ en te weinig naar optimalisering van de bedrijfsresultaten. Renes (2003) vindt het COSO raamwerk een generiek raamwerk met generieke aandachtspunten en beoordelingscriteria. Het raamwerk is geen uitgewerkt handboek voor de opzet en het toetsen van de werking van internal controls. Ondanks de genoemde kritieke punten, heeft COSO wereldwijd grenzen verlegd in de maatschappij. Vooral op het gebied van de interne beheersing in het bedrijfsleven. COSO biedt organisaties een kader voor ontwerp, implementatie en beheer. Het biedt een objectieve beoordeling van de effectiviteit van de geldende interne beheersingssystemen (Soeting en Spoor, 2003).

In deze paragraaf is antwoord gegeven op de vraag wat risicomanagement inhoudt. COSO is het meest gehanteerde model voor een risicomanagementsysteem. Door COSO is een raamwerk gepresenteerd aan de hand waarvan ondernemingen hun eigen interne beheersingssystemen kunnen inrichten en beoordelen. Er kan worden geconcludeerd dat dit Enterprise Risk Management Framework een organisatie de mogelijkheid biedt proactief te reageren op veranderende omstandigheden. Door het vroegtijdig signaleren van mogelijke risico’s is een onderneming in staat tijdig actie te ondernemen en het systeem van interne beheersmaatregelen op adequate wijze aan te passen5. Het is de vraag of dit raamwerk daadwerkelijk het interne beheersingssysteem verbetert. COSO is namelijk een handvat en geen uitgewerkt handboek. Het ontslaat het management van een onderneming niet van haar verantwoordelijkheid voor de onderneming. Periodiek dienen ondernemingen het COSO raamwerk te actualiseren zodat doeltreffendheid als handvat wordt gewaarborgd.

2.3 Risicoparagraaf

De risicoparagraaf is het communicatiemiddel over risicomanagement naar de buitenwereld (NBA, 2013). Het doel van de risicoparagraaf in het jaarverslag is om informatieasymmetrie te verkleinen. De risicoparagraaf is onderdeel van het jaarverslag en bestaat uit drie onderdelen: risicoprofiel, risicomanagementsysteem en In Control Statement. Hieronder worden deze onderdelen uitgelegd.

Risicoprofiel

Het risicoprofiel wordt door De Groot (2008) gedefinieerd als volgt: “Het risicoprofiel van de

organisatie is een uiteenzetting van de belangrijkste operationele, strategische, financiële en weten regelgeving risico’s waaraan een organisatie blootstaat.” Aandeelhouders willen

inzicht verkrijgen in de risico’s die een onderneming loopt. De risico’s worden gepresenteerd in het risicoprofiel van de onderneming.

Risicomanagementsysteem

Uit de definitie van COSO (2004) is duidelijk geworden dat risicomanagement een proces betreft waarin het draait om de belangrijkste risico’s waarmee een organisatie te maken heeft. Een manier om risico’s te beheersen is het implementeren van een risicomanagementsysteem. COSO heeft een raamwerk ontworpen voor een intern risicomanagementsysteem. Dit raamwerk wordt door veel ondernemingen gehanteerd.

(14)

In Control Statement

Het begrip ‘in control’ kan worden gedefinieerd als de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische- en operationele doelstellingen evenals het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden (Driessen en Kamstra, 2005).

Zoals eerder aangegeven in dit hoofdstuk eisen aandeelhouders transparantie. Organisaties dienen door middel van een In Control Statement aan te tonen dat zij ‘in control’ zijn. De ‘In Control Statement’ is afgeleid van het in de Verenigde Staten al meer ingeburgerde ‘Statement of Control’, dat vooral ten behoeve van de aandeelhouders wordt opgeleverd. Het betreft een certificaat inzake de kwaliteit van de bedrijfsvoering en geeft daarmee antwoord op de vraag in hoeverre het management voldoende grip heeft op de bedrijfsprocessen (Driessen en Kamstra, 2005).

Paape (2008) definieert ‘in control’ als volgt:

‘Een organisatie is in control als zij beschikt over een Management Control Systeem (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de gevallen/tijd binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten die risicotolerantiegrens wordt getreden, stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen’.

Deze definitie omvat de wijze van sturen, beheersen en toezicht houden. Gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstelling, evenals het hierover op een open wijze te communiceren en verantwoording afleggen ten behoeve van belanghebbenden. De kern van een In Control Statement is het afleggen van verantwoording over de blijvende werking van de beheersingsmaatregelen die gericht zijn op het wegnemen, reduceren of vergroten (in het geval van kansen) van de gevolgen van risico’s die omkleed zijn bij de belangrijkste doelstellingen van de organisatie.

De bestuurder van een onderneming legt middels de In Control Statement verantwoording af aan de stakeholders. Dit betreffen zowel interne als externe stakeholders. De In Control Statement zegt niets over de keuze van de strategie of over de vraag of het management goed is. De aandeelhouder moet niet worden onderschat, hij leest de In Control Statement van het bestuur, maar ziet deze niet als een verklaring van het bestuur dat het ‘in control’ is over de strategie. De aandeelhouder beoordeelt de strategie en ziet de verklaring als een soort garantie dat de cijfers betrouwbaar zijn. Aandeelhouders zijn prima in staat die zaken te scheiden (Heidema, 2006).

Hoe meer informatie een onderneming naar buiten brengt, des te groter het vertrouwen van de investeerders in de onderneming. Grote ondernemingen zijn meer in het nieuws dan kleinere ondernemingen. De marktprijs van grotere ondernemingen heeft daarom een hogere informatiewaarde. De meeste informatie is al bekend door middel van andere bronnen dan het jaarverslag, bijvoorbeeld de media, en is in de marktprijs van de onderneming opgenomen. Aandeelhouders reageren hierbij dan ook minder op de financiële verantwoordingen van grote ondernemingen dan dat dit bij kleine ondernemingen gebeurt (Scott, 2003).

(15)

In de literatuur worden twee nadelen genoemd van transparant risicoverslaggeving. Het eerste mogelijk nadeel is dat de angst bestaat bij bestuurders dat risicoverslaglegging zal leiden tot informatie die stakeholders verkeerd zouden kunnen beoordelen waardoor het aantal rechtszaken zou kunnen gaan stijgen. Een tweede mogelijk nadeel bij de publicatie van risico’s is het bekend maken van concurrentiegevoelige informatie (Meijer, 2003).

In deze paragraaf is antwoord gegeven op de vraag wat er met een risicoparagraaf wordt bedoeld. De risicoparagraaf ondersteunt de stakeholders bij het nemen van investeringsbeslissingen (De Groot, 2008). Informatie over de relevante risico’s kunnen bijdragen aan een effectieve allocatie van het vermogen. Door het verkleinen van de informatieasymmetrie kan het vertrouwen van investeerders worden vergroot. Dit leidt tot lagere kapitaalkosten (Linsley en Shirves, 2000).

2.4 Wet & regelgeving

Nederlandse beursfondsen moeten sinds 2004 in het jaarverslag transparanter rapporteren over risicoverslaggeving. De weten regelgeving zijn ten opzichte van risicomanagement verscherpt. Nederlandse beursfondsen zijn onderworpen aan de Corporate Governance Code. Deze Code is in 2004 ingevoerd, met als doel de transparantie in het jaarverslag te vergroten6. In het Burgerlijk Wetboek wordt risicoverslaggeving genoemd in artikel 391 lid 1:

“Het jaarverslag geeft tevens een beschrijving van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd.”

In het Burgerlijk Wetboek7 wordt gesteld dat een onderneming de voornaamste risico’s en onzekerheden beschrijft, waarmee de rechtspersoon wordt geconfronteerd. Echter wordt er niets over de inhoud van de risicoparagraaf vermeld. De Raad voor de Jaarverslaggeving (RJ)8 geeft een aantal vereisten voor de risicoparagraaf met betrekking tot valutarisico’s, renterisico’s en de effecten die dergelijke risico’s hebben op de financiële positie van de onderneming. De focus ligt hierop de financiële risico’s. Er wordt geen kader geboden voor integraal risicomanagement (Duffhues, 2002). Om invulling te geven aan de wettelijke vereisten, is sinds 2004 de Nederlandse Corporate Governance Code ingevoerd. Deze Code is beschreven in paragraaf 2.5.

Het bestuur is verantwoordelijk voor de naleving van alle relevante weten regelgeving, het beheersen van de risico’s welke verbonden zijn aan de ondernemingsactiviteiten en voor de financiering van de vennootschap. Het bestuur rapporteert hierover en bespreekt de interne risicobeheersings- en controlesystemen met de Raad van Commissarissen en de Auditcommissie9.

6_{Monitoring Commissie Corporate Governance Code - De Nederlandse corporate governance code, 2004.} 7_{Burgerlijk Wetboek, Boek 2, artikel 391 lid 1.}

8_{Raad voor de Jaarverslaggeving, artikel 290.}

(16)

2.5 Corporate Governance

De letterlijke vertaling van Corporate Governance is ‘behoorlijk ondernemingsbestuur’. Kortom het bestuur van een onderneming. Eumedion is het forum en de bron voor Corporate Governance en duurzaamheid. Eumedion definieert op haar website de term Corporate Governance als volgt10:

“Corporate Governance is een term voor de wijze waarop ondernemingen worden bestuurd en de wijze waarop toezicht wordt gehouden op dat bestuur. Verschillende partijen vervullen daarbij ieder hun eigen rol. Die rollen zijn deels bij wet geregeld, echter slechts voor een klein deel, en deels via de Nederlandse Corporate Governance Code. In Nederland heeft de wetgever de vennootschap ruime vrijheid gelaten bij de precieze invulling van de bestuursstructuur.”

De kern van Corporate Governance is dat een beursgenoteerde vennootschap streeft naar het creëren van lange termijn aandeelhouderswaarde. Daar hoort bij dat de vennootschap beschikt over een op haar situatie toegesneden, intern risicobeheersings- en controlesysteem en rekenschap geeft van de noodzaak van risicoverslaggeving. Het bestuur van de vennootschap is voor beide verantwoordelijk. Uit de Corporate Governance discussie vloeien belangrijke inzichten voort over wat goed risicomanagement en goede risicoverslaggeving inhouden. Die inzichten komen deels tot uiting in de Nederlandse Corporate Governance Code. De Code zou dan ook op enkele punten moeten worden aangepast (De Groot, 2006b).

Iedere onderneming heeft een sociale missie. Het krijgt van de maatschappij een ‘licence to operate’ maar dient in ruil daarvoor duurzame meerwaarde te creëren voor alle betrokken partijen en voor de maatschappij als geheel (Deegan, 2002).

De Corporate Governance discussies gaan tot op heden hoofdzakelijk over de beloningen van bestuurders (Strikwerda, 2010). Er is veel minder aandacht voor de kwaliteit van verslaglegging over risicomanagement en de juiste invulling van de Corporate Governance. Dit is onderhevig aan het maatschappelijk verkeer.

Nederlandse Corporate Governance Code

In 2003 is de Nederlandse Corporate Governance Code (hierna: Code) ontwikkeld door een commissie onder leiding van Morris Tabaksblat. Daarom wordt deze Code ook wel de Code Tabaksblat genoemd. Vanaf 1 januari 2004 is de Code in werking getreden. Alle Nederlandse beursgenoteerde ondernemingen zijn vanaf 2004 verplicht om te voldoen aan deze Code. De Code bevat principes en concrete bepalingen waaraan een onderneming moet voldoen of uitleggen waarom er wordt afgeweken van de regel, de zogenoemde ‘pas toe of leg uit’ regel. De principes kunnen worden opgevat als moderne algemene opvattingen over goede Corporate Governance. De vennootschap vermeldt elk jaar in haar jaarverslag op welke wijze zij de principes van de Code in het afgelopen boekjaar heeft toegepast.

De vraag is of deze ‘pas toe of leg uit’ regel genoeg is verankerd in de wet. Er is weinig jurisprudentie beschikbaar over mogelijke afwijkingen van deze regel. Het risico bestaat dat een onderneming onvoldoende uitlegt. Een maatregel die zou kunnen worden getroffen is dat deze informatie bij de AFM (Autoriteit Financiële markten) terecht komt. De AFM zou hiervoor spelregels moeten opstellen, die kunnen worden getoetst. Dit wordt tot op heden niet gedaan.

10

(17)

De Code is onderverdeeld in vijf hoofdstukken:

I) naleving en handhaving van de code;

II) het bestuur;

III) de raad van commissarissen;

IV) de (algemene vergadering van) aandeelhouders;

V) de audit van de financiële verslaggeving en de positie van de interne audit functie en

van de externe accountant.

Wanneer de Code in een onderneming op de juiste manier wordt geïmplementeerd, dan is het jaarverslag van de onderneming transparanter en informatiever voor de belanghebbenden (Renes, 2004). De Code is ontwikkeld om de onderneming en de stakeholders te beschermen. Met ingang van het boekjaar 2009 is de aangepaste Code (Code Frijns) in werking getreden en heeft de best practice bepalingen met betrekking tot risicomanagement verder uitgewerkt. Het doel hiervan is ervoor te zorgen dat er meer transparantie in het jaarverslag komt, betere verantwoording aan de Raad van Commissarissen en een versterking van de zeggenschap en bescherming van aandeelhouders. Het bestuur en de Raad van Commissarissen zijn verantwoordelijk voor de Corporate Governance structuur van de onderneming en voor de naleving van de Code. De Code bevat principes en best practice bepalingen die de verhoudingen reguleren tussen het bestuur, de Raad van Commissarissen en de Algemene vergadering van aandeelhouders. Voor dit onderzoek zijn best practice bepaling II.1.4 en II.1.5 van toepassing. Deze bepalingen zijn hieronder weergegeven.

Best practice bepaling II.1.4 In het jaarverslag geeft het bestuur:

a. Een beschrijving van de voornaamste risico’s gerelateerd aan de strategie van de vennootschap;

b. Een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen met betrekking tot de voornaamste risico’s in het boekjaar; en c. Een beschrijving van eventuele belangrijke tekortkomingen in de interne risicobeheersings- en controle systemen die in het boekjaar zijn geconstateerd, welke eventuele significante wijzigingen in die systemen zijn aangebracht, welke eventuele belangrijke verbeteringen van die systemen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken.

Best practice bepaling II.1.4. is de belangrijkste bepaling omtrent interne beheersing. Deze bepaling schrijft voor dat het bestuur een bestuurdersverklaring opneemt in het jaarverslag waarin de interne beheersing wordt besproken. De verklaring dient een beschrijving van de voornaamste risico’s, gerelateerd aan de strategie van de onderneming, te bevatten. Er is geen normering vastgelegd waar deze beschrijving aan moet voldoen. Best practice bepaling II.1.4 vraagt onder meer om een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen met betrekking tot de voornaamste risico’s zoals die zich in het boekjaar konden voordoen.

(18)

Best practice bepaling II.1.5

Ten aanzien van financiële verslaggevingsrisico’s verklaart het bestuur in het jaarverslag dat de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat en dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt. Het bestuur geeft hiervan een duidelijke onderbouwing.

Bovenstaande best practice bepalingen zijn een minimaal vereiste voor goed risicomanagement. Door de juiste toepassing van de best practice bepalingen kan een beter risicomanagement worden gevoerd door het bestuur van de onderneming. Wanneer de voornaamste risico’s in beeld zijn gebracht, kunnen deze beter worden gemonitord en getoetst.

De Nederlandse Corporate Governance Code is in de Nederlandse wetgeving opgenomen. Toch zijn er nog wel onduidelijkheden aan deze Code verbonden (Sampers, 2005). Er is geen vast beschreven wijze van rapporteren. Uit het onderzoek van Ernst en Young bij 56 ondernemingen is gebleken dat de rapportage zelfs onder de maat is.

Agency theory

Scott (2003) definieert de agency theory als volgt:

“Agency theory is a branch of game theory that studies the design of contracts to motivate a rational agent to act on behalf of a principal when the agent’s interests would otherwise conflict with those of the principal.”

De agency theory heeft een link met risicoverslaggeving. In de agency theory staat de relatie tussen de agent en de principaal centraal. De agent dient transparant te handelen ten opzichte van de principaal. De agency theory heeft veel invloed gehad op de Corporate Governance. Corporate Governance komt voort uit het zogenoemde agency conflict. De agency theory geeft de informatieasymmetrie weer tussen de stakeholders en het bestuur van de onderneming. De stakeholders zijn niet betrokken bij de dagelijkse gang van zaken.

In het licht van risicoverslaggeving geeft de agency theory een informatieasymmetrie weer tussen de stakeholders en het bestuur van de onderneming. Deze informatieasymmetrie moet kleiner worden gemaakt door middel van de risicoparagraaf binnen het jaarverslag, waarin het bestuur van de onderneming verantwoording aflegt ten behoeve van stakeholders.

De veronderstelling die centraal staat bij de agency theory is dat er belangtegenstelling bestaat tussen twee partijen. De twee partijen zijn enerzijds de principaal (de opdrachtgever) en de agent (de opdrachtnemer). De principaal heeft andere belangen dan dat de agent nastreeft in zijn werkzaamheden (Jensen en Meckling, 1976). De principaal heeft niet de mogelijkheid om altijd na te gaan of de agent wel de gezamenlijke doelen nastreeft. De agent heeft meer informatie dan de principaal. Hierdoor ontstaat informatieasymmetrie. Healy en Palepu (2001) geven een aantal oplossingen om het probleem van informatieasymmetrie op te lossen, namelijk het afsluiten van effectieve contracten tussen agent en principaal, Corporate Governance en extra toelichtingen in jaarverslagen. Door meer toe te lichten op het gebied van risicomanagement, verkleint de agent de informatieasymmetrie ten opzichte van de principaal.

(19)

Volgens Saam (2007) zijn er drie soorten tegenstrijdigheden in de relatie tussen de agent en de principaal, namelijk:

1. Informatieasymmetrie: de agent heeft meer informatie tot zijn beschikking aangezien hij in de onderneming zit en de principaal niet.

2. Verschil in risicovoorkeur: de agent is risico-avers en de principaal risiconeutraal. Dit komt doordat de agent afhankelijk is van één inkomen.

3. Tegenstrijdige doelstellingen: de agent en de principaal hebben verschillende belangen en willen allebei het maximale uit de onderneming behalen.

Volgens Scott (2003) kan informatieasymmetrie worden opgelost door volledige en tijdige verslaggeving. De informatieasymmetrie kan worden verkleind door middel van een betrouwbare omzetting van inside informatie in outside informatie en door deze infomatie op te nemen in het jaarverslag. Volledige openbaarmaking van informatie stelt beleggers in staat om betere voorspellingen te maken. Dobler et al. (2011) stellen dat in een ideale situatie, risicoverslaggeving de informatieasymmetrie tussen directie en investeerder zal verkleinen wanneer ondernemingen de risico’s benoemen en aangeven hoe ze deze risico’s managen. Op het gebied van risico’s is de risicoparagraaf binnen het jaarverslag er om informatieasymmetrie te verkleinen. In dit onderzoek wordt de risicoparagraaf van Nederlandse beursfondsen onderzocht.

Legitimatietheorie

De legitimatietheorie heeft ook een link met risicoverslaggeving. De legitimatietheorie stelt dat ondernemingen hun doelen en werking aanpassen om meer legitimiteit te krijgen van de samenleving (Deegan, 2006). In deze theorie staat de relatie van de onderneming met de (maatschappelijke) omgeving centraal (Boot en Soeting, 2004). Legitimiteit is de basis waarop ondernemingen hun bestaansrecht aan ontlenen.

Lindblom (1994) stelt dat er sprake van legitimatie is, als er sprake is van overeenstemming tussen de ‘sociale waarden’ die worden uitgedragen door de activiteiten van de onderneming en de ‘sociale waarden’ van de gehele maatschappij, waar de onderneming deel van uit maakt. Daarnaast stelt hij dat ondernemingen de activiteiten die zij ontplooien maatschappelijk uit zullen leggen, de aandacht van het maatschappelijk verkeer op andere zaken proberen te vestigen of het verwachtingspatroon ten aanzien van de onderneming zal proberen te beïnvloeden.

De legitimatie theorie is gebaseerd op de gedachte van een ‘maatschappelijk contract’ die de activiteiten van een organisatie beperkt tot grenzen die de maatschappij heeft bepaald (Gray et al., 1996). Een inbreuk op dit maatschappelijk contract door de organisatie leidt er toe dat de maatschappij de organisatie niet als legitiem ervaart. Dit kan leiden tot een vermindering van de consumentenvraag naar de producten van de onderneming, kapitaalverstrekkers die geen kapitaal meer verstrekken aan de onderneming of belangengroepen die lobbyen in de politiek voor toenemende belastingen, boetes en wetten (Deegan, 2002). Volgens Deegan (2002) bekijkt de legitimatietheorie de onderneming vanuit de positie die de onderneming inneemt in de maatschappij en vervolgens de acceptatie van de maatschappij van de onderneming. In deze theorie is er de veronderstelling dat de onderneming ‘contracten’ sluit met haar omgeving waardoor de onderneming haar bestaansrecht ontleent.

(20)

Risicoverslaggeving vergroot in theorie de legitimiteit en het vertrouwen dat stakeholders in de onderneming hebben11. Het verstrekken van informatie over de prestaties van een onderneming middels de risicoparagraaf in het jaarverslag wordt gezien als een middel om de legitimiteit van een onderneming te behouden. De risicoparagraaf kan in deze context worden gezien als een middel waarmee ondernemingen kunnen communiceren met hun stakeholders over hun prestaties.

Stakeholdertheorie

De stakeholder heeft net als de agency theory en de legitimatietheorie, ook een link met risicoverslaggeving. De stakeholderstheorie is een theorie die dicht bij de legitimatietheorie ligt en daarom ook veel raakvlakken heeft met deze theorie. De stakeholderstheorie richt zich specifiek op de stakeholders van de onderneming. Individuen zijn in verschillende hoedanigheden betrokken bij een onderneming, bijvoorbeeld als kapitaalverschaffer, werknemer of consument (Wallage, 2011). De stakeholdersbenadering is een benadering die aangrijpt bij alle groeperingen die een belang bij een onderneming hebben. De benadering gaat nadrukkelijk in op de plaats die de onderneming inneemt in de maatschappij (Boot en Soeting, 2004).

Vanuit de stakeholderbenadering doet het management van een onderneming er goed aan zich mede verantwoordelijk te voelen voor hen die financieel en maatschappelijk met de onderneming zijn verbonden. Dit vormt een goed uitgangspunt voor het informatiebeleid van de onderneming: transparantie ten behoeve van stakeholders (Boot en Soeting, 2004).

De essentie van de stakeholdertheorie is (Deegan, 2002):

 Een onderneming wordt opgebouwd door de risicovolle inzet van diverse betrokken partijen die een of andere vorm van kapitaal inbrengen (financieel, menselijk, sociaal of ecologisch kapitaal).

 Een onderneming heeft een sociale missie, het krijgt van de maatschappij een ‘licence

to operate’ maar dient in ruil daarvoor duurzame meerwaarde te creëren voor alle betrokken partijen en voor de maatschappij als geheel.

Uit het onderzoek van Beretta en Bozzolan (2004) blijkt dat stakeholders van de onderneming verlangen dat relevante informatie over toekomstige gebeurtenissen, of verwachtingen door de organisatie worden gecommuniceerd. Door de toegenomen complexiteit van de bedrijfsstrategieën, interne procedures en wetgeving wordt het voor de lezer van het jaarverslag steeds moeilijker om de verkregen informatie op de juiste manier te interpreteren. Hierbij is geconcludeerd dat risicoverslaggeving over de duurzaamheid van toekomstige kasstromen als meest waardevol wordt beoordeeld door aandeelhouders.

Stakeholders willen weten welke risico’s een onderneming loopt (De Groot, 2010b). De stakeholder theorie is gebaseerd op de agency theorie. Het management moet rekening houden met de belangen van stakeholders en zoveel mogelijk waarde creëren. Stakeholders kunnen de onderneming beïnvloeden. Bouwondernemingen hebben te maken met veel stakeholders, zoals klanten/opdrachtgevers, leveranciers/onderaannemers, medewerkers,

omwonenden, aandeelhouders, overheden, kennis- en onderwijsinstellingen en

brancheverenigingen en maatschappelijke organisaties12.

11_{Monitoring Commissie Corporate Governance Code - De Nederlandse corporate governance code, 2004.} 12

(21)

Voluntary disclosure theorie

Voluntary disclosure is de informatie in het jaarverslag die niet verplicht moet worden gegeven, maar die de onderneming vrijwillig geeft om de informatieasymmetrie te verkleinen. Beursgenoteerde ondernemingen zijn verplicht te rapporteren over risico’s door de weten regelgeving. De Corporate Governance Code is de basis voor risicoverslaggeving. Ondernemingen kunnen ook vrijwillige informatie verstrekken. Ondernemingen verstrekken informatie ten behoeve van gebruikers van jaarverslagen en beleidsbepalende organen, belast met verslaggeving (Meek et al., 1995).

De motieven voor vrijwillige informatie zijn onder andere: het verminderen van de kapitaalkosten, de kans op onderwaardering te verminderen en het weg redeneren van slechte winstontwikkeling door managers om hun baan niet te verliezen en aandeel gerelateerde beloningen voor managers. Vrijwillige informatie hoeft niet aan verslaggevingseisen te voldoen. Deze informatie kan betrouwbaarder worden gemaakt door assurance en vergelijking met soortgelijke informatie die eerder heeft plaatsgevonden (Healy en Palepu, 2001). Deumes en Knechel (2008) onderzochten de motivatie van managers om vrijwillig te rapporteren over het interne beheersingssysteem. Zij komen tot de conclusie dat een onderneming minder over het interne beheersingssysteem rapporteert als een aantal aandeelhouders een groot deel van de aandelen in bezit hebben

Meek et al. (1995) hebben voluntary disclosure onderzocht bij multinationals in de Verenigde Staten, het Verenigd Koninkrijk en Continentaal Europa (waaronder Frankrijk, Duitsland en Nederland) op basis van ondernemingsgrootte, land/regio, sector, financiële hefboomwerking, multinationaliteit, winstgevendheid en het al dan niet internationaal beursgenoteerd zijn. Uit dit onderzoek is gebleken dat Europese ondernemingen meer informatie vrijwillig rapporteren. Vrijwillige informatie verschaffen draagt bij aan het verkleinen van informatieasymmetrie. Het onderzoek van Deumes en Knechel (2008) heeft aangetoond dat er een positieve relatie bestaat tussen de omvang van risicoverslaggeving en de financiële hefboomwerking.

Centraal staat dat risico een distributie is van een toekomstige uitkomst (zowel positief als negatief). Het risico voor zowel de manager als de investeerder wordt verkleind wanneer de manager overgaat tot het bekendmaken van risico’s om zo de informatie-asymmetrie te verkleinen. Hierdoor zijn toekomstige prestaties beter te schatten (Dobler, 2008).

Corporate Governance verplicht het bestuur van een onderneming tot transparantie en het afleggen van verantwoording naar aandeelhouders. Goede Corporate Governance zorgt ervoor dat onderneming zich bewust is van de risico’s die ze loopt en daarover moet rapporteren (De Groot, 2006b).

2.6 Conclusie

In hoofdstuk 2 is op basis van wetenschappelijke literatuur antwoord gegeven op de eerste vier deelvragen. Uit de definitie van COSO is gebleken dat risicomanagement een continu proces betreft. Het COSO raamwerk is het belangrijkste raamwerk voor interne beheersing en risicobeheersing en wordt in veel onderzoeken gehanteerd. Risicoverslaggeving vloeit voort uit risicomanagement en bestaat uit drie onderdelen: het risicoprofiel, een beschrijving van het risicomanagementsysteem en de In Control verklaring. De risicoparagraaf is als het ware een

communicatiemiddel en ondersteunt de stakeholders bij het nemen van

(22)

3. Onderzoeksopzet

In dit hoofdstuk wordt ingegaan op de verantwoording van de genomen beslissingen met betrekking tot dit onderzoek. In paragraaf 3.1 wordt ingegaan op de verantwoording van de onderzoekspopulatie. In paragraaf 3.2 wordt de aanpak van het onderzoek beschreven. Vervolgens wordt in paragraaf 3.3 de risicovolle branches beschreven.

3.1 Onderzoekspopulatie

Door middel van dit onderzoek wordt geprobeerd inzicht te verkrijgen of er een significant verschil is in de risicoparagraaf van het jaarverslag 2012 tussen verschillende branches. De basis voor dit onderzoek is het onderzoek van het Koninklijk NIVRA (2010) “Onderzoek naar de risicoparagraaf in jaarverslagen 2009 van Nederlandse Beursfondsen”. Het onderzoek van het Koninklijk NIVRA omvat de jaarverslagen 2009 van 63 ondernemingen die deel uit maken van de AEX (Amsterdam Euronext Exchange), AMX (Amsterdam Midkap Index) en AScX (Amsterdam Small Cap Index).

Dit onderzoek richt zich op Nederlandse beursfondsen met een statutaire zetel in Nederland. Deze ondernemingen zijn namelijk onderworpen aan de Code Corporate Governance13. Ten behoeve van dit onderzoek zijn de jaarverslagen 2012 onderzocht, van Nederlandse beursfondsen die deel uitmaken van de AMX (Amsterdam Midkap Index) en AScX (Amsterdam Small Cap Index) van Euronext Amsterdam (peildatum 1 december 2013). Vanwege de mogelijke onvergelijkbaarheid zijn financiële instellingen, waarbij BASEL II van invloed is, niet meegenomen in de selectie ondernemingen voor dit onderzoek. Financiële instellingen moeten naast de best practice bepalingen nog meer informatie over de beheersing van (bancaire) risico´s vermelden (Schrooten, 2007).

Ondernemingen die deel uitmaken van de AEX (Amsterdam Euronext Exchange) zijn tevens uitgesloten voor dit onderzoek. De reden hiervoor is dat de AEX in het boekjaar 2012 uit 25 ondernemingen bestond, waaronder financiële instellingen en internationale ondernemingen. In het literatuuronderzoek is gebleken dat grotere ondernemingen meer informatie bekend maken dan relatief kleinere ondernemingen (Scott, 2003). De rapportage over risico’s in de risicoparagraaf van de AEX ondernemingen is zeer uitgebreid. Hierdoor is de kans op een significant verschil zeer beperkt. De selectie van dit onderzoek is daarom gericht op AMX en AScX ondernemingen. In totaal zijn er 41 Nederlandse beursfondsen meegenomen in het onderzoek. Voor een specificatie van de definitieve onderzoekspopulatie wordt verwezen naar bijlage 1.

Het Nederlandse CBS (Centraal Bureau voor de Statistiek) hanteert de Standaard Bedrijfsindeling voor het verwerken van statistische gegevens. De onderzoekspopulatie is gesegmenteerd en onderverdeeld naar de betreffende branche. Deze onderverdeling is

gebaseerd op de Standaard Bedrijfsindeling14 van het CBS. Voor het onderzoek zijn niet alle

branches van toepassing.

13_{Monitoring Commissie Corporate Governance Code - De Nederlandse corporate governance code, 2004.} 14_{CBS - Standaard Bedrijfsindeling 2008, versie 2013.}

(23)

De volgende branches zijn betrokken in dit onderzoek: 1. Industrie

a. Vervaardiging van voedingsmiddelen en dranken b. Vervaardiging van textiel

c. Vervaardiging van papier, karton en papier- en kartonwaren d. Vervaardiging van chemische producten

e. Vervaardiging van producten van metaal (geen machines en apparaten) f. Vervaardiging van (overige) machines en apparaten

2. Bouwnijverheid 3. Groot- en detailhandel

a. Groothandel en handelsbemiddeling (niet in auto's en motorfietsen) b. Detailhandel (niet in auto’s)

4. Vervoer en opslag

5. Logies-, maaltijd- en drankverstrekking 6. Informatie en communicatie

a. Uitgeverijen

b. Dienstverlenende activiteiten op het gebied van informatietechnologie 7. Gezondheids- en welzijnszorg

8. Overige dienstverlening

3.2 Onderzoeksaanpak

Dit onderzoek kan worden getypeerd als een kwantitatief onderzoek. Het primaire doel van dit onderzoek is te inventariseren of er een significant verschil is in de risicoparagraaf van het jaarverslag 2012 tussen verschillende branches, zoals hierboven weergegeven. Hiervoor is een meetinstrument ontwikkeld dat bestaat uit een vragenlijst met specifieke vragen die betrekking hebben op de risicoparagraaf van het jaarverslag. Deze vragenlijst heeft als doel op een objectieve manier informatie uit jaarverslagen van ondernemingen te analyseren en vast te leggen. Deze vragenlijst is gebaseerd op de vragenlijst die eerder is gebruikt bij het onderzoek van Mertens en Blij (2008) en bestaat uit gesloten en open vragen. De vragenlijst is hoofdzakelijk gebaseerd op de best practice bepalingen van de Code Tabaksblat15, de aanbevelingen van de Monitoring Commissie en de speerpuntenbrief 2008 van Eumedion. Voor een specificatie van de gehanteerde vragenlijst wordt verwezen naar bijlage 2.

De meeste vragen in de vragenlijst betreffen gesloten vragen met een binair karakter. De vragen worden beantwoord met ja/nee of wel/niet. Op basis hiervan zijn gemiddelde percentages berekend voor de gehele onderzoekspopulatie. Daarnaast bestaat de vragenlijst uit open vragen. Deze zijn beschreven in het empirische deel van hoofdstuk 4 Resultaten. Mocht er bij de beantwoording van een toetsingsvraag sprake zijn van enige twijfel, dan wordt er gekozen voor het meest objectieve antwoord. De subjectieve mening van de onderzoeker blijft hierdoor achterwege bij de beantwoording van de toetsingsvragen.

Binnen de jaarverslagen is enkel gekeken naar informatie over risico’s en risicomanagement in de risicoparagraaf van het jaarverslag. Voor een aantal vragen is ook gekeken naar het verslag van de Raad van Commissarissen. Er is geen aandacht geschonken aan informatie op de website van de betreffende onderneming.

(24)

3.3 Risicovolle branches

In deze paragraaf zullen risicovolle branches worden beschreven op basis van de aanwezige literatuur en publicaties in de media. De verwachting is dat de rapportage over risicomanagement uitgebreider is bij risicovolle branches dan bij minder risicovolle branches. Uit het literatuuronderzoek is gebleken dat ondernemingen in een risicovolle branche meer in het nieuws zijn dan ondernemingen in een minder risicovolle branche. Daardoor is er meer informatie over hen bekend. Het vertrouwen van de stakeholders wordt vergroot als ondernemingen meer informatie bekend maken. Via de media wordt diverse (financiële) informatie bekend gemaakt. De verwachting is dat aanvullende informatie, over bijvoorbeeld het functioneren van het interne beheersingssysteem, in de risicoparagraaf van het jaarverslag wordt gerapporteerd. Om het vertrouwen van de stakeholder te vergroten, zullen deze ondernemingen meer informatie over risicomanagement in hun risicoparagraaf opnemen. Op deze manier zal het vertrouwen van stakeholders groeien (Linsley en Shrives, 2006).

De grootte van de onderneming heeft een positieve invloed op de mate van het rapporteren over risico’s (Linsley en Shrives, 2006). Beretta en Bozzolan (2004) en Abraham en Cox (2007) gebruiken in hun onderzoek ook de ondernemingsgrootte als controlevariabele in hun onderzoek naar de mate van het rapporteren over risico’s. Grotere ondernemingen zijn complexer en hebben gevarieerdere ondernemingsactiviteiten. Door de inherente risico´s en het feit dat grote ondernemingen nauwlettender worden gevolgd door analisten en aandeelhouders, is het bestuur eerder geneigd om te rapporteren over risico´s. Een grotere onderneming heeft ook meer kans op zwakheden in het interne risicobeheersingssysteem, waardoor ze geneigd zijn hierover minder te gaan rapporteren. Grotere ondernemingen zijn beter in staat de zwakheden te voorkomen, omdat ze meer middelen en mensen ter beschikking hebben en schaalvoordelen kunnen hebben bij het ontwikkelen, implementeren en rapporteren over het interne risicobeheersingssysteem (Deumes en Knechel, 2008).

Verschillende sectoren hebben een verschillende mate van publicatie van informatie (Botosan, 1997). In bepaalde sectoren is er meer sprake van concurrentiegevoelige informatie dan in andere. Knechel en Willekens (2005) hebben aangetoond dat inherente risico’s en de kwaliteit van het interne risicobeheersingssysteem gerelateerd kan zijn aan een industriesector. Beretta en Bozzolan (2004) en Abraham en Cox (2007) hebben ook de sector van een onderneming als controlevariabele gebruikt in hun onderzoek. Er zijn 3 mogelijke sectoren waartoe de onderneming kan behoren, namelijk de productiesector (bijvoorbeeld de productie van auto’s,

elektronische apparatuur, de metaalindustrie, de (petro)chemische industrie,

voedingsmiddelenindustrie), de handelssector (retail- en groothandelsbedrijven) en overige sectoren.

Imtech is zwaar getroffen door fraude en mismanagement, Brunel door een boekhoudschandaal in de VS, Ballast Nedam heeft problemen bij een groot wegenproject, Accell geeft een winstwaarschuwing door tegenvallende fietsenverkopen en Univé kampt met groeivertraging en valutaproblemen in opkomende markten. Dit is een greep van onverwachte risico’s die recent opdoken bij Nederlandse ondernemingen (Van Kalles en Piersma, 2013). Hieruit kan worden opgemaakt dat de literatuur van een aantal jaren geleden, nog steeds van toepassing is.

(25)

Bouwnijverheid

De branche bouwnijverheid is vanaf de jaren ’90 meerdere malen negatief in het nieuws gekomen door fraudezaken. Eén van de bekendste fraudezaken is de bouwfraude. Deze fraude heeft een grote impact gehad op het belang van risicomanagement en de rol van de accountant. In november 2001 onthulde het televisieprogramma Zembla illegale prijsafspraken in de bouwnijverheid in Nederland bij opdrachten van de overheid.

De voormalige directeur van het bouwbedrijf Koop Tjuchem, Ad Bos, toonde een schaduwboekhouding over de periode 1988-1998 waaruit deze frauduleuze praktijken zouden blijken. Naar aanleiding hiervan is een parlementaire enquête naar de bouwfraude geweest. Uit deze enquête blijkt dat accountants te passief en niet geheel volgens regelgeving hebben gehandeld. De accountants zijn hier niet voor gestraft16.

Om fraude te voorkomen moeten ondernemingen een cultuur nastreven waarin fraude en misbruik wordt gemeld en ‘klokkenluiders’ worden beschermd. Het nastreven van deze cultuur maakt deel uit van risicomanagement (Zahra et al., 2005).

In 2007 is de kredietcrisis ontstaan op de financiële markten. De aanleiding hiervoor waren onder andere de bouwfraude, boekhoudschandalen en de invoering van de verscherpte regelgeving. Deze crisis heeft een grote invloed op de branche bouwnijverheid. De afgelopen jaren zijn er veel ondernemingen failliet gegaan en de werkgelegenheid is gedaald (EIB, 2012).

Er kan worden geconcludeerd dat de branche bouwnijverheid te maken heeft met veel risico’s die moeten worden beheerst. Om de risico’s zoveel mogelijk te beheersen is

risicomanagement en risicoverslaggeving van groot belang. Onderzoek naar

risicoverslaggeving wordt daarmee steeds belangrijker door het invoeren van weten regelgeving en best practice bepalingen (Deumes, 2008).

Een recent voorbeeld van de branche bouwnijverheid is de affaire Ballast Nedam en KPMG. Het Openbaar Ministerie vermoedt dat KPMG betrokken was bij het versluieren van honderden miljoenen euro's aan steekpenningen waarmee grote bouwprojecten in het

Midden-Oosten werden binnengehaald17. De affaire is zeer schadelijk voor de goede naam van Ballast

Nedam en het accountantskantoor.

De bouwfraude en de onverwachte risico’s die recent opdoken achtervolgt de branche bouwnijverheid tegenwoordig nog steeds. Op basis hiervan kan worden gesteld dat de branche bouwnijverheid een risicovolle branche is in Nederland en relatief veel rapporteert op het gebied van risicoverslaggeving.

16_{http://nl.wikipedia.org/wiki/Parlementaire_enqu%C3%AAte_naar_de_bouwfraude} 17_{http://fd.nl/ondernemen/292444-1311/kpmg-betrokken-bij-omkoping}