Risicomanagement rapportage door Nederlandse beursgenoteerde ondernemingen

Risicomanagement rapportage door

Nederlandse beursgenoteerde ondernemingen

Timon Schrooten

15 januari 2007

Samenvatting

Risicomanagement is een onderwerp dat zich in Nederland zeer recentelijk heeft ontwikkeld tot een essentieel aspect bij het besturen van een organisatie. Ter voorkoming van nieuwe boekhoudaffaires worden met betrekking tot het risicomanagement van ondernemingen strengere eisen gesteld. In navolging van de Amerikaanse Sarbanes-Oxley Act (SOX) en Cadbury uit Engeland, is in Nederland de Code Tabaksblat in het leven geroepen. Dit is te wijten aan de grote belangstelling waarin risicomanagement zich begeeft en de eisen van stakeholders aan het “in control” zijn van de organisatie. Pas wanneer risicomanagement continu in de organisatie plaatsvindt, kan worden gesteld dat een organisatie in totaliteit in voldoende mate gericht is op het “in control” zijn en bereiken van de doelstellingen. Het internal control systeem vormt de schakel tussen het beleid en het feitelijk handelen van een organisatie.

Risicomanagement begeeft zich op management control niveau in de organisatie en is een proces van het onderkennen van de te lopen risico’s inclusief de bewuste keuze om er al dan niet iets aan te doen. Risicomanagement betekent echter niet dat activiteiten van een onderneming exact zo lopen als gepland, maar wel dat ten aanzien van de ondernemingsdoelstellingen tijdige evaluatie en bijsturing plaatsvindt.

Door het Committee of Sponsoring Organizations of the Treadway Commission is met Internal control: Integrated Framework het eerste raamwerk voor de beheersing van het interne

beheersingssysteem ontworpen. De opvolger van COSO Internal control is het ERM-framework, waardoor organisaties in staat worden gesteld pro-actief te reageren op veranderende

omstandigheden. In SOX en in de bepalingen van de Code Tabaksblat wordt COSO als mogelijk te hanteren raamwerk voor interne beheersing genoemd.

De Code Tabaksblat heeft via best practice bepaling II 1.4 vanaf het boekjaar 2004 verplicht gesteld dat beursgenoteerde ondernemingen een in-control verklaring in hun jaarverslagen moeten opnemen. In de in-control verklaring verklaart het bestuur dat de interne

risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft een duidelijke

onderbouwing hiervan. Naast de in-control verklaring bestaat de risicoparagraaf met betrekking tot risicomanagement uit omschrijvingen van bedrijfsrisico’s en wordt aangegeven welke systemen en processen worden gebruikt om die te beheersen.

In mijn onderzoek heb ik me gericht op de risicomanagement rapportage. De onderzoeks-populatie vormen alle Nederlandse beursgenoteerde ondernemingen, ik heb hierbij AEX- en AscX-genoteerde ondernemingen als steekproef gehanteerd. De bijbehorende centrale onderzoeksvraag luidt: Wat wordt in het boekjaar 2005 door Nederlandse beursgenoteerde

ondernemingen over risicomanagement in het jaarverslag gerapporteerd?

Het antwoord op de hoofdvraag heb ik onderzocht aan de hand van drie afhankelijke onderzoeksvariabelen: “rapportage van verschillende risicomanagement elementen” (waarbij ik op basis van het literatuuronderzoek een checklist heb samengesteld), de verschillende “in- control verklaringen” en het “totaal aantal woorden besteed aan risicomanagement” afgezet tegen totaal aantal woorden uit het jaarverslag.

Gemiddelde genomen kan worden gesteld dat ondernemingen over het algemeen veel elementen van risicomanagement in hun jaarverslag hebben gerapporteerd. Conform de bepalingen van de Code Tabaksblat wordt de in-control verklaring vrijwel door elke onderneming volledig

gerapporteerd. Door ondernemingen worden vaak elementen (meestal riskassesment of monitoring) van COSO genoemd, echter de mededeling dat het gehele in-control framework wordt toegepast, ontbreekt vaak. De duidelijke invulling van de verschillende elementen die onderdeel van het risicomanagement systeem uit maken worden evenals de concrete werking van het in control systeem gedurende het jaar minder vaak worden gerapporteerd.

De hypothesen (voortkomend uit het literatuuronderzoek) heb ik de getoetst op de bovenstaande 3 afhankelijkheidsvariabelen. De hypothese “AEX-genoteerde ondernemingen rapporteren meer risicomanagement AscX” kon na toetsing voor “elementen” en “categorie” worden bevestigd. Afhankelijkheidsvariabele “aantal woorden” was net niet significant verschillend. Ten aanzien van de gehele populatie kan worden gesteld dat, naarmate een onderneming van grotere omvang is, meer risicomanagement elementen worden gerapporteerd.

De hypothese dat “ondernemingen die ook aan een Amerikaanse beursgenoteerd zijn meer informatie zullen rapporteren” kon ook op “element” en “categorie” worden bevestigd. Opvallend is echter dat de ranking op het “aantal woorden” voor niet-SOX verplichte ondernemingen hoger is dan voor SOX-verplichte ondernemingen.

Een beperking die voortkomt uit mijn eigen onderzoek betreft het niet kunnen doen van gedetailleerde uitspraken met betrekking tot AMX-genoteerde ondernemingen.

Inhoudsopgave

2.5. COSO II Enterprise Risk Management 20

2.6. Verslaggeving over risicomanagement 25

2.6.1. Tabaksblat 27

2.6.2. Commissie Frijns 29

2.6.3. Verschillen tussen Code Tabaksblat 30 en overige corporate governance codes

2.6.4. Informatiewaarde van risicomanagement 31 in jaarverslagen voor gebruikers

2..7 Hypotheses 33

Hoofdstuk 3: Onderzoeksopzet 35

3.1. Inleiding 35

3.2. Dataselectie 35

3.3. Meet- en waarnemingsmethoden 36

3.4. Checklist voor risicomanagement rapportage 37

Hoofdstuk 4: Analyse van onderzoeksresultaten 41

4.1. Inleiding 41 4.2. Data-analyse 41 4.2.1. Beschrijvende statistiek 42 4.2.2. Toetsing hypothesen 49 Hoofdstuk 5: Conclusie 52 Literatuurlijst 56 Bijlagen: 60

Bijlage 1 Code Tabaksblat

Voorwoord

Voor u ligt de scriptie “Risicomanagement rapportage door Nederlandse beursgenoteerde ondernemingen”. Met het schrijven van mijn scriptie kom ik tot een afsluiting van de master accountancy aan de Rijksuniversiteit Groningen.

Tijdens de module “internal control riskmanagement” ben ik op de hoogte gesteld van het belang dat risicobewustzijn voor ondernemingen vormt. Hierbij geldt dat deze risico’s alleen kunnen worden beheerst als ze door de onderneming worden onderkend. Ik heb deze module zeer boeiend gevonden en mede hierdoor is mijn interesse gewekt voor het uitvoeren van een onderzoek op het gebied van risicomanagement.

Vanwege de actualiteit waarin risicomanagement zich ook in Nederland begeeft, heb ik besloten onderzoek te gaan doen naar de rapportage van risicomanagement in jaarverslagen van

Nederlandse beursgenoteerde ondernemingen.

De afstudeerperiode was voor mij een periode waarin ik voor het eerst in aanraking ben gekomen met het zelfstandig uitvoeren van wetenschappelijk onderzoek. Deze zelfstandigheid was nieuw voor mij, aangezien ik bij mijn vorige afstudeerperiode in het kader van de bachelor accountancy aan Saxion Hogeschool Enschede zowel werd bijgestaan door een afstudeerbegeleider van een bedrijf als een docent. De afwezigheid van een bedrijfsafstudeerbegeleider leverde veel vrijheid op, waardoor ik met name in het begin veel zelfdiscipline moest opbrengen. De afwezigheid van deze bedrijfsinput heb ik als een gemis ervaren, omdat mijns inziens door een bedrijfsafstudeerbegeleider een extra “dimensie” aan de afstudeeropdracht kan worden toegevoegd.

Ondanks de afwezigheid van een bedrijfsafstudeerbegeleider ben ik door de uiterst relevante feedback van Dr. Reggy Hooghiemstra in staat gesteld mijn scriptie op een adequate wijze te voltooien, mijn dank gaat volledig naar hem uit.

Timon Schrooten Groningen, januari 2007

Hoofdstuk 1.

Inleiding

De recente boekhoudaffaires als Enron, Ahold en Worldcom op het gebied van corporate governance hebben bijgedragen aan de groeiende belangstelling voor risicomanagement.

In Nederland heeft de Commissie Tabaksblat op 9 december 2003 de definitieve corporate governance code gepresenteerd. Door de Code Tabaksblat worden beursgenoteerde ondernemingen vanaf boekjaar 2004 wettelijk (verankert in boek 2 van het Burgerlijk Wetboek) verplicht aan te geven in hoeverre de codevoorschriften wel of niet (het “comply or explain”-principe) worden nageleefd. De Nederlandse corporate governance code, is een gedragscode voor beursgenoteerde bedrijven met als doel verbeterde transparantie in de jaarrekening, betere verantwoording van de Raad van Commissarissen en een versterking van de zeggenschap en bescherming van aandeelhouders.

De Nederlandse corporate governance code schrijft onder andere voor dat beursgenoteerde vennootschappen moeten zorgen voor een goede inrichting en permanente bewaking van de goede werking van de interne risicobeheersings- en controlesystemen. Zonder een effectief interne beheersingssysteem is er onvoldoende waarborg dat het beleid, als uitkomst van de bestuurs- en besluitvormingsprocessen geëffectueerd wordt. Risicomanagement is hierbij het proces van het onderkennen van de te lopen risico’s en de bewuste keuze om er al dan niet iets aan te gaan doen en vormt dus een essentieel onderdeel van interne beheersing.

Beursgenoteerde ondernemingen moeten in hun jaarverslagen rapporteren over de effectieve werking van de interne risicobeheersings- en controlesystemen.

De Code Tabaksblat heeft via best practice bepaling II 1.4 vanaf het boekjaar 2004 verplicht gesteld dat beursgenoteerde ondernemingen een in-control verklaring in hun jaarverslagen moeten opnemen. In de in-control verklaring verklaart het bestuur dat de interne

risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft een duidelijke onderbouwing hiervan. De in-control verklaring vormt een belangrijk onderdeel van de risicoparagraaf in het jaarverslag van beursgenoteerde ondernemingen. Naast de in-control verklaring bestaat de risicoparagraaf met betrekking tot risicomanagement uit omschrijvingen

van bedrijfsrisico’s en wordt aangegeven welke systemen en processen worden gebruikt om die te beheersen.

De commissie Frijns is belast met het monitoren van de naleving van de vereisten van de Code Tabaksblat door beursgenoteerde ondernemingen. De Commissie Frijns heeft de mate van naleving van de code gevolgd en is ten aanzien van best practice bepaling II 1.4 met specifieke guidance gekomen. Hierbij is het van belang dat er een scheiding gemaakt wordt ten aanzien van financiële verslaggeving risico’s en strategische, operationele en complaince risico’s. Met betrekking tot de laatste drie risico’s is een beschrijving voldoende en ten aanzien van de financiële verslaggeving risico’s moet verklaard worden dat de risicobeheersings- en

controlesystemen een redelijke mate van zekerheid geven en geen onjuistheden van materieel belang bevat.

Met de invoering van de Code Tabaksblat, is de in-control verklaring ook een actueel issue binnen de accountancybranche vanwege de inmiddels ontstane kritiek op de code-Tabaksblat. Zoals in het artikel uit het financiële dagblad van woensdag 5 juli 2006: “Risicoparagraaf

jaarverslag is verwarrend”. Hierin wordt door Bart Koolstra en Jos de Groot van PwC

aangegeven dat de huidige Nederlandse in-control verklaring in jaarverslagen internationaal verwarring uitlokt. De verwarring ontstaat doordat de in-control statement zoals die onder Sarbanes-Oxley wordt geëist niet dezelfde betekenis heeft als de in-control verklaring zoals die conform best practice bepaling II 1.4 van de Code Tabaksblat.

De Code Tabaksblat gaat op het terrein van interne beheersing verder dan vergelijkbare codes als de Turnbull guidance in het Verenigd Koninkrijk en de Sarbanes-Oxley Act in de Verenigde Staten. Ten eerste gaat de code Tabaksblat niet alleen over interne beheersing van de financiële verslaggeving, maar ook over de interne beheersing van strategische en operationele risico’s en de naleving van relevante wet- en regelgeving. Ten tweede vereist de Code niet alleen verantwoording over de adequate inrichting van de systemen voor interne risicobeheersing en controle, maar ook over de effectieve werking. En ten derde moeten ondernemingen rapporteren over de effectieve werking van de interne risicobeheersings- en controlesystemen gedurende het gehele verslagjaar, en niet alleen op een bepaald moment in de tijd.

Het ontbreken van eenduidige risicomanagement rapportage normen maakt, zoals ook uit eerder onderzoek (Paape, Swagerman, 2006) is gebleken, dat risicomanagement verschillend wordt gerapporteerd. Mijn onderzoek ga ik richten op het verschil in omvang en rapportage van elementen van risicomanagement, waarbij ik in het onderzoek specifiek aandacht besteed aan het verschil in risicomanagement rapportage tussen AEX- genoteerde ondernemingen en AscX-genoteerde ondernemingen.

Eerder soortgelijk uitgevoerd onderzoek in de VS naar internal control rapportage door (Ashbaugh-Skaife e.a., 2006) was gericht op de rapportage van internal control “falen”. De relevantie van mijn onderzoek kan worden afgeleid uit de breedte van mijn onderzoek. Het onderzoek is namelijk gericht is op de gehele rapportage over internal control en niet uitsluitend op de rapportage van problemen met internal control. Tevens is in het VK onderzoek uitgevoerd (Linsley, Shrives, 2006) naar de risicorapportage waarbij in de analyse rekening is gehouden met de omvang en het risiconiveau van de onderneming.

De relevantie van mijn onderzoek komt ook voort uit het relatieve nieuwe concept dat risicomanagement voor ondernemingen in Nederland vormt. Aangezien ondernemingen geen exacte formulering hoeven toe te passen in de risicoparagraaf, zullen ondernemingen naar eigen inzicht de risicoparagraaf opstellen.

Rekeninghoudend met de bovenstaande elementen, lijkt het me interessant om onderzoek te doen naar internal control rapportage in het boekjaar 2005 door Nederlandse beursgenoteerde

ondernemingen.

Centrale vraagstelling:

Wat wordt in het boekjaar 2005 door Nederlandse beursgenoteerde ondernemingen over risicomanagement in het jaarverslag gerapporteerd?

Deze vraagstelling is op te delen in de volgende deelvragen, die achtereenvolgens gekoppeld kunnen worden aan de hoofdstukindeling:

1. Wat wordt onder risicomanagement verstaan en hoe kunnen bedrijven hier invulling aangeven?

2. Welke invulling geeft “COSO Enterprise Riskmangement Framework” aan risicomanagement?

3. Over welke onderwerpen moeten ondernemingen in hun jaarverslag volgens de Code-Tabaksblat rapporteren?

4. Welke risicomanagement elementen worden door AEX-genoteerde ondernemingen en AscX-genoteerde ondernemingen in het jaarverslag opgenomen?

Randvoorwaarden

Het onderzoek zal worden toegepast op ondernemingen die aan de AEX- of aan de AscX- genoteerd zijn. Behalve vanwege de beschikbare tijd die voor het onderzoek beschikbaar is, heb ik vanwege een beter totaal beeld voor de twee uitersten binnen de populatie gekozen, meer hierover in paragraaf 4.2 “Dataselectie”. Daarnaast heb ik om de vergelijkbaarheid van ondernemingen te vergroten besloten banken en financiële instellingen waarbij BASEL II van invloed is, uit te sluiten van de selectie ondernemingen voor het onderzoek. In de onderzoeksopzet zal ik hier nader op ingaan.

Structuur van de scriptie

In hoofdstuk 2 “Literatuuronderzoek” volgt een overzicht van de relevante literatuur, waardoor de lezer bekend wordt met de verschillende concepten die tot het probleem behoren. De

onderlinge relaties tussen de concepten worden in kaart gebracht waardoor het mogelijk wordt de problematiek goed te bevatten. Deelvraag 1 tot en met 3 worden in de paragrafen van hoofdstuk 2 “Literatuuronderzoek” beantwoordt.

Op basis van het literatuuronderzoek worden in hoofdstuk 3 hypotheses gesteld. Hierna volgt in hoofdstuk 4 de bepaling van de onderzoeksopzet. De uitkomsten van het onderzoek worden in hoofdstuk 5 “Resultaten” behandeld, tevens wordt de laatste deelvraag beantwoord. In het laatste hoofdstuk worden de conclusies getrokken, de hypotheses bevestigd of weerlegd en wordt antwoord op de centrale vraagstelling gegeven.

Hoofdstuk 2.

Literatuuronderzoek

2.1. Inleiding

In het literatuuronderzoek zet ik de belangrijkste conceptuele definities en onderlinge relaties tussen de concepten uiteen. Met behulp van de conceptuele definities kan de werkelijkheid worden begrepen en inzicht worden verkregen in de gehele problematiek.

Het literatuuronderzoek begint met het algemene begrip “internal control”, in deze paragraaf wordt duidelijk aangegeven in welke omgeving risicomanagement zich voordoet en hoe risicomanagement zich verhoudt ten opzichte van de andere processen.

In de derde paragraaf wordt kort op wat in het kader van risicomanagement exact onder risico’s wordt verstaan ingegaan. Voordat ik risicomanagement nader ga behandelen, is het van belang een goed inzicht te hebben in wat onder risico’s verstaan wordt.

Nadat het begrip risico duidelijk is ben ik in staat nader in te gaan op hoe risicomanagement door ondernemingen kan worden toegepast. Paragraaf vier geeft antwoordt op deelvraag 1: “Wat wordt onder risicomanagement verstaan en hoe kunnen bedrijven hier invulling aangeven?”.

In paragraaf vijf wordt nader invulling gegeven aan risicomanagement door het behandelen van het framework voor risicomanagement, dat door COSO is ontwikkeld.

Hierbij wordt antwoord op deelvraag 2: “Welke invulling geeft “COSO Enterprise Riskmangement Framework” aan risicomanagement?” gegeven.

Vervolgens zal ik in paragraaf zes van het literatuuronderzoek nader op de vereisten voor risicomanagement rapportage in jaarverslagen ingegaan. In dit hoofdstuk wordt antwoord op deelvraag 3: “Over welke onderwerpen moeten ondernemingen in hun jaarverslag volgens de Code-Tabaksblat rapporteren?” gegeven en zal essentieel zijn om tot een uitvoerbaar onderzoek te komen.

In mijn onderzoek gebruik ik het begrip risicomanagement, dat zoals later in dit hoofdstuk zal blijken overeen komt met Enterprise Risk Management. Om de leesbaarheid te vergroten hanteer ik in mijn onderzoek het begrip risicomanagement.

Daarnaast wil ik hier ook aantekening maken van het feit dat binnen de literatuur de definities internal control en interne beheersing door elkaar worden gebruikt en het niet eenduidig is vastgesteld waar het precies het onderscheid tussen beide gemaakt dient te worden. Omdat dit verschil niet duidelijk wordt aangegeven zie ik beide begrippen als synoniem en gebruik ik ze ook als zodanig. Ook uit de analyse van de jaarverslagen is gebleken dat beide begrippen door elkaar worden gebruikt, terwijl de daarbij ondersteunende formuleringen exact dezelfde betekenis hebben.

2.2. Internal control

Bestuurlijke processen kunnen zowel op strategisch, tactisch als operationeel niveau worden uitgevoerd. De uitkomst van het strategiebepalingproces is een set van lange termijn doelstellingen en een strategie die richting geeft aan de wijze waarop die doelen bereikt moeten worden. Management control (interne beheersingssysteem) is gericht op het implementeren en realiseren van strategische doelen van de organisatie (op tactisch en operationeel niveau), terwijl internal control meer het accent legt op de operationele processen. (Starreveld e.a., 2002)

In het onderstaande figuur 1 (Starreveld e.a., 2002) zijn de verschillende besturingsniveaus opgenomen:

• Strategische besturing is in het bijzonder gericht op de positionering van de organisatie in haar omgeving. Het bepalen van de missie, algemene organisatiedoelstellingen en het organisatiebeleid vindt op dit niveau plaats.

De uit de te volgen strategie afgeleide bedrijfsactiviteiten behoeven leiding, managers moeten sturing geven aan de richting en uitvoering van deze activiteiten. Het geven van sturing wordt ook wel aangeduid als management control of het interne beheersingsystemen vindt zowel op tactisch als operationeel niveau plaats.

• Tactische besturing betreft de vertaalslag van algemene doelen naar specifieke organisatiedoelstellingen die op de middellange termijn gerealiseerd moeten worden. Deze doelstellingen dienen op een efficiënte en effectieve wijze bereikt worden.

• Operationele besturing is gericht op een efficiënte en effectieve uitvoering van specifieke taken.

Nadat besloten en geformuleerd is wat de strategische doelen zijn en op welke wijze deze bereikt kunnen worden is een beheerste uitvoering van de strategie vereist. Internal control is gericht op het toetsen van het feitelijke verloop aan het gewenste verloop en het bijsturen als geconstateerde afwijkingen daartoe aanleiding geven. (Starreveld e.a., 2002)

Het internal control systeem vormt dus de schakel tussen het beleid en het feitelijk handelen van een organisatie. Zonder een effectief internal control systeem is er onvoldoende waarborg dat het beleid, als uitkomst van de bestuurs- en besluitvormingsprocessen geëffectueerd wordt.(Mouthaan, 2000)

In feite houdt control in: het onder controle houden / het beheersen door managers van activiteiten die in de organisatie onder ieders verantwoordelijkheid plaatsvinden. Dit geldt zowel voor het topmanagement als voor de procesmanagers en dan niet alleen voor wat betreft de primaire processen maar ook voor de ondersteunende, de secundaire processen. (Jans, Oever, 2001)

Het controlproces omvat controle-, analyse-, correctie- en evaluatieactiviteiten. Deze managementcycle wordt als volgt weergegeven (Jans, Oever, 2001):

Plannen

Control Organiseren

• Coördineren • Dirigeren Uitvoeren

Control van de bedrijfsprocessen is van het grootste belang voor het functioneren van organisaties. Het is namelijk pas mogelijk met de organisatie in te spelen op de (te verwachten) ontwikkelingen in de samenleving wanneer de interne processen worden beheerst. (Jans, Oever, 2001)

Mensen zijn uiteindelijk bepalend voor de kwaliteit van het internal control systeem. Het gaat niet uitsluitend om zaken als beleid, instructies en handboeken. Falen van het interne control systeem door menselijke fouten of vergissingen is nooit geheel uit te sluiten. Zo is bijvoorbeeld het toezicht op bij verkoop te hanteren minimale winstmarges niet langer effectief als verkoper en controlefunctionaris samenwerken. (Mouthaan, 2000)

Essentieel is het vinden van de juiste balans tussen kosten en baten van internal control maatregelen. Daarbij kan een teveel aan maatregelen even schadelijk zijn als een tekort aan maatregelen. Naast menselijke fouten en vergissingen, en economische afwegingen vormt tenslotte nog het management een belangrijke beperkende factor van het internal control systeem. Door ingrijpen van het management in het internal control systeem kan de effectiviteit van het systeem volledig teniet gedaan worden. Het management kan bijvoorbeeld bepaalde richtlijnen of procedures terzijde leggen met de doelstelling om daarvan zelf te profiteren dan wel derden te misleiden. (Mouthaan, 2000)

Bij internal control gaat het om het verkrijgen van de redelijke zekerheid dat processen effectief en efficiënt verlopen, dat wetten en regels gevold worden, dat er geen waarden van de organisatie ongeautoriseerd verloren gaan en dat rapportages betrouwbaar zijn.

2.3. Risico’s

Het is onmogelijk een eenduidige definitie van het begrip risico te geven. Economen,

gedragsspecialisten, risicoanalisten, statistici en verzekeraars hebben elk hun eigen gedachtegoed over risico. Risico wordt traditioneel gedefinieerd als in termen van onzekerheid. Gebaseerd op deze termen kan risico worden aangemerkt als de onzekerheid die samenhangt met het ontstaan van een verlies. (Claes, 2001)

Het gaat bij risico’s om het oordelen met betrekking tot in de toekomst plaatsvindende gebeurtenissen of dan ontstane toestanden. Bij het doen van oordelen houden deze vaak onzekerheden in. Risico’s kunnen zeer divers van aard zijn. Niet alle risico’s kunnen door een onderneming worden beheerst. Diverse risico’s liggen buiten de beïnvloedingssfeer van de organisatie, wat overigens niet wil zeggen dat ze niet relevant zijn voor een ondernemer. Het betekent alleen dat de ondernemer deze risico’s (de gebeurtenis) niet actief kan beheersen, terwijl het risico wel van invloed op de onderneming kan zijn. (Starreveld e.a., 2002)

Het begrip risico, waarvan onder risicomanagement sprake is, dient ruimer gezien te worden dan dat risico altijd verliesgevend zou zijn. Teuten (Teuten, 2005) geeft aan dat er enkele belangrijke misvattingen over het begrip risico zijn:

• Risico heeft alleen een negatieve zijde. Dit is onjuist, aangezien het nog te ontstane risico gelijke kansen op zowel positieve als negatieve effecten bevat.

• De definitie van risico is afhankelijk van het voordoen van een enkele gebeurtenis. Dit klopt ook niet omdat één enkele gebeurtenis heeft geen gevolgen voor een verhoging van de risicofactor.

• Risico is een item dat alleen invloed heeft op de bedrijfsvoering met betrekking tot

verzekeringen. Dit is onjuist omdat risico zich op veel verschillende aspecten binnen een

organisatie voordoet waarbij een verzekering geen onderdeel vormt. Speculatieve risico’s zoals die hierna behandeld worden, zijn hier een goed voorbeeld van.

Het nemen van risico’s kan dus evenwel positief uitwerken. Het nemen van een beslissing zoals het afsluiten van een termijncontract (voor kopen van vreemde valuta op termijn) kan bij een voordelige koers, ook juist lucratief kunnen zijn.

De gevolgen van een risicofactor dienen te worden onderscheiden in (Claes, 2001)

• Zuivere risico’s met alleen negatieve gevolgen zijn in principe verzekerbaar, enkele uitzonderingen welke van dien aard en omvang zijn dat het onmogelijk zal blijken een verzekeraar te vinden die deze risico’s tegen een aanvaardbare premie wil overnemen. Enkele voorbeelden van zuivere risico’s zijn: brand, inbraak en aansprakelijkheid bij schade.

• Speculatieve risico’s met zowel positieve als negatieve gevolgen. Speculatieve risico’s worden ook ondernemersrisico of dynamisch risico genoemd en zijn over het algemeen niet verzekerbaar. Wanneer ze wel verzekerbaar zijn, zou tegelijkertijd de winstmogelijkheid worden gereduceerd, aangezien bij het nemen van speculatief risico de winst de beloning voor het nemen van deze onzekerheid vormt. Enkele voorbeelden van speculatieve risico’s zijn: investeringsrisico, marktrisico en beleggingsrisico.

2.4. Risicomanagement

De levensbehoeften van mensen en organisaties brengen risico’s met zich mee, waardoor mensen genoodzaakt zijn om met risico’s bezig te zijn. Dit besef heeft geleid tot een managementconcept dat bekend staat als risicomanagement. (Claes, 2001)

De ontwikkeling waarbij het terrein van risicomanagement zich uitbereidt van in hoofdzaak zuivere risico´s in de richting van speculatieve risico´s wordt getypeerd als Enterprise risk

management. Risicomanagement zoals door beursgenoteerde ondernemingen wordt toegepast heeft betrekking op zowel de zuivere risico´s als op speculatieve risico´s. (Claes, 2001)

Ondernemingen en hun aandeelhouders genereren winst door risico’s aan te gaan. Wil het ondernemingsbestuur de winst maximaliseren en de uiteindelijke uitkomsten minder variabel maken, dan moet het de risico’s waarmee het bedrijf te maken heeft in kaart brengen, evalueren en beoordelen of deze op een aanvaardbaar niveau liggen. Risicomanagement werkt het best als iedereen in een organisatie er bewust werk van maakt en dit in de organisatiecultuur en dagelijkse gang van zaken verankerd is. (Visser, 2006)

Risicomanagement waarbij de nadruk op alleen de financiële gevolgen van risico’s wordt gelegd zijn te beperkt aangezien Enterprise risk management (Committee of Sponsoring Organizations of the Treadway Committee, Enterprise Risk Management-Integrated Framework, 2004) verder gaat dan alleen het financieel-economische aspect. Naast economische doelstellingen, zoals winst, marktaandeel, vermogensverhoudingen en kostenniveaus kunnen bedrijven ook doelstellingen hebben die van niet-economische aard zijn. Veel bedrijven zien bijvoorbeeld het verschaffen van werkgelegenheid of het welzijn en de ontplooiingsmogelijkheden van de medewerkers als een belangrijke doelstelling. (Doherty, 2000)

Door Van Blitterswijk wordt risicomanagement gedefinieerd als “een systematisch proces” van: • het identificeren en analyseren van risico’s die de ondernemingsdoelstellingen bedreigen • het inventariseren en selecteren van risicobeheersingstechnieken

• het implementeren van de gekozen risicobeheersingsinstrumenten en • de continue evaluatie van dit proces

Risicomanagement is dus een proces van het onderkennen van te lopen risico’s en de bewuste keuze om er al dan niet iets aan te gaan doen. (Starreveld e.a., 2002) Risicomanagement betekent niet dat altijd alles loopt zoals gepland, maar wel dat tijdig wordt geëvalueerd en bijgestuurd. (Emanuels, 2005)

Risicomanagement draagt bij tot een beter ondernemingresultaat doordat onzekerheden worden gereduceerd en daarmee samenhangende kosten optimaal worden ingezet.

Het doel van risicomanagement is een gewenst niveau van ondernemingsspecifieke risico te bereiken. Dit betekent niet noodzakelijkerwijs dat risico’s gereduceerd naar nul hoeven te worden. Sterker nog een nul-risico is waarschijnlijk te kostbaar, of zelfs niet mogelijk. (Scott, 2003)

Als onderdeel van risicomanagement worden risico’s systematisch in kaart gebracht en geëvalueerd. Het bestuur draagt de verantwoordelijkheid om als onderdeel van zijn

risicomanagement een raamwerk te scheppen voor interne beheersing en dit te actualiseren naarmate de risico’s in de tijd veranderen. Het systeem van interne beheersing maakt deel uit van de aanpak van risico’s en dient alle aspecten van de onderneming te omvatten – operationeel, technisch, commercieel, financieel, juridisch, veiligheid, milieu enzovoort. (Visser, 2006)

Het doel van interne beheersingsmaatregelen is mensen te helpen bij het beheersen van risico’s en daardoor de doelen van de onderneming te bereiken. Interne beheersingsmaatregelen moeten ervoor zorgen dat (Visser, 2006):

• bedrijfsactiviteiten zo doelmatig en efficiënt mogelijk worden uitgevoerd;

• financiële en operationele informatie, voor zowel interne en externe gebruikers, volledig en betrouwbaar is;

• handelingen en beslissingen in overeenstemming zijn met voor onderneming geldende wet- en regelgeving en contracten.

De capaciteit van een organisatie om risico’s vroegtijdig te signaleren en om te buigen in kansen is sterk afhankelijk van de individuele kwaliteiten van de ondernemer, bestuurder of manager. Dit geldt zeker voor kleinere organisaties. In grotere organisaties is dit echter nog niet genoeg. De omvang van de organisatie, complexiteit, regionale spreiding en diversiteit in producten en markten vragen om systematisch, organisatie breed proces van identificeren en managen van risico’s. Tevens bestaat de noodzaak om richting de “stakeholders” verantwoording af te leggen over de omvang van de risico’s die de organisatie neemt en de wijze waarop deze gemanaged worden. (Paape, Swagerman, 2006)

Pas wanneer risicomanagement continu in de organisatie plaatsvindt, kan gesteld worden dat een organisatie in totaliteit in voldoende mate gericht is op het “in control” zijn en bereiken van de doelstellingen. (Starreveld e.a., 2002)

Bij het bereiken van het gewenste niveau van ondernemingsspecifieke risico speelt de risicohouding, de bereidheid om risico’s te aanvaarden, van de onderneming een grote rol. Bij het bepalen van deze risicohouding dient onderscheid gemaakt te worden tussen een risiconeutrale instelling, een risiconemende instelling en een risico-averse instelling. De onderneming met de neutrale risico-instelling zal zijn keuze uitsluitend baseren op verwachte waarde van de uitkomst. Door ondernemingen met een risiconemende instelling zullen uitsluitend de hoogst noodzakelijke maatregelen worden genomen voor schadepreventie en risicofinanciering. Doordat hierdoor “verzekeringskosten” worden uitgespaard, kan een onderneming meer schade voor eigen rekening nemen. Deze strategie past bij ondernemingen die bij een goede vermogenspositie maximalisering van de winst op korte termijn nastreven. (Claes, 2001)

Voor de uitvoering van een geïntegreerd, ondernemingsbreed, alle risico’s omvattend Enterprise risk management moet een team van deskundigen gevormd worden, die ieder voor zich uitgesproken deskundig zijn op de risicogebieden van hun primaire verantwoordelijkheid. Hier moet in ieder geval ondervallen de traditionele risicomanager, de treasurer, een belastingdeskundige, deskundigen op het gebied van marketing en strategische beleidsvoering. (Claes, 2001)

Hiermee is antwoord gegeven op de 1e deelvraag er is namelijk aangegeven wat onder risicomanagement wordt verstaan en hoe kunnen bedrijven door middel van interne beheersing hier invulling aan kunnen geven. Deze invulling zal door middel van COSO in de volgende paragraaf nog concreter worden behandeld.

Door COSO is een raamwerk gepresenteerd aan de hand waarvan organisaties hun eigen interne beheersingssysteem kunnen inrichten en beoordelen. Dit ERM-framework biedt een organisatie de mogelijkheid proactief te reageren op veranderende omstandigheden. Door het vroegtijdig

signaleren van mogelijke gebeurtenissen en daaruit voortvloeiende risico’s is de organisatie in staat tijdig actie te nemen en het systeem van interne beheersmaatregelen op adequate wijze aan te passen. (Committee of Sponsoring Organizations of the Treadway Committee, Enterprise Risk Management-Integrated Framework, 2004) Het COSO-rapport is uitgegroeid tot wereldwijd standaardwerk op het gebied van interne beheersing. In de Sarbanes-Oxley Act en ook in de code Tabaksblat wordt COSO als enige genoemd als mogelijk te hanteren raamwerk bij het uitwerken van de bepalingen in de code ten aanzien van interne beheersing en risicomanagement, vandaar dat ik dit raamwerk in de volgende paragraaf verder ga behandelen.

2.5. COSO II Enterprise Risk Management- Integrated framework

Al meer dan tien jaar geleden heeft het Committee of Sponsoring Organizations of the Treadway Commission, het Interne Beheersing – Geïntegreerd Raamwerk (Internal control – Integrated Framework) uitgevaardigd om ondernemingen en andere organisaties te helpen met het beoordelen en verbeteren van de interne beheersingssystemen. Dit raamwerk is sindsdien verwerkt tot beleid, wet- en regelgeving.

Op 29 september 2004 lanceerde The Committee of Sponsoring Organizations of the Treadway Commission de opvolger van Internal control – Integrated Framework namelijk “Enterprise Risk Management - integrated framework”. (Committee of Sponsoring Organizations of the Treadway Committee, Enterprise Risk Management-Integrated Framework, 2004)

In het COSO-rapport opgenomen “evaluation tool” geldt als een algemeen aanvaarde methode om de effectiviteit van het internal control system te evalueren en de internal control verklaring te onderbouwen. De COSO-methode is echter niet dwingend voorgeschreven. (Mouthaan, 2000)

Het ERM-framework bouwt voort op het Internal Control Framework uit 1992 en is een reactie van COSO op de waargenomen trend binnen organisaties van het in toenemende mate uitvoeren van risicoanalyses als basis voor de inrichting van de organisatie en het systeem van interne beheersmaatregelen. In het ERM-framework wordt nu nog meer duidelijk dat risicomanagement niet iets is dat je alleen maar doet om risico’s te beperken, maar dat risicomanagement een “tool

of management”is waarmee ook daadwerkelijk resultaten kunnen worden geboekt. (Paape, Swagerman, 2006)

Het nieuwe van Enterprise Risk Management ten opzichte van traditioneel risicomanagement is dat overal in de organisatie een expliciete risicoanalyse de basis vormt voor de

managementagenda en voor het inrichten van het interne beheersingssysteem. Door bovendien veranderingen in het risicoprofiel van de organisatie te monitoren kan het interne

beheersingssysteem in continuïteit worden aangepast aan veranderende omstandigheden. De organisatie is nu blijvend “in control”. (Paape, Swagerman, 2006)

Binnen het COSO ERM-framework worden vier categorieën doelstellingen, acht componenten van risicomanagement en vier verschillende niveaus binnen de organisatie onderkend. Deze elementen zijn in het onderstaande figuur 2 (Committee of Sponsoring Organizations of the Treadway Committee, Enterprise Risk Management-Integrated Framework, 2004) afgebeeld.

De afbeelding weerspiegelt de mogelijkheid om te focussen op ondernemingsrisico-management in totaliteit of per categorie doelstellingen, per component, per bedrijfsonderdeel of een deel hiervan. Binnen de context van de door de onderneming geformuleerde missie of visie, formuleert het management strategische doelstellingen, selecteert een strategie en stelt men afgeleide doelstellingen voor de gehele onderneming.

Dit ERM framework is ingericht om de ondernemingsdoelstellingen te behalen, en is opgedeeld in vier categorieën doelstellingen:

• Strategic– globale doelen, afgestemd op en ondersteunt de missie • Operations – effectief en efficiënt gebruik van de middelen • Reporting – betrouwbaarheid van verslaglegging

• Complaince – naleving van wet- en regelgeving

Ondernemingsrisicomanagement bestaat uit acht met elkaar verband houdende componenten. Deze componenten zijn afgeleidt van de wijze waarop het management een onderneming bestuurt en zijn verbonden met het managementproces.

De componenten zijn: (Committee of Sponsoring Organizations of the Treadway Committee, Enterprise Risk Management-Integrated Framework, 2004)

• Internal environment – De interne omgeving omvat de toon van een organisatie en stelt de basis voor hoe risico’s worden beschouwd en geadresseerd door de mensen van een

onderneming, inclusief risicomanagementbeleid en risico-acceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren.

• Objective setting– Doelstellingen moeten bestaan voordat het management potentiële gebeurtenissen die invloed hebben op het behalen van deze doelen kan erkennen.

Ondernemingsrisicomanagement bewerkstelligt dat het management een proces heeft dat doelstellingen vastlegt, dat gekozen doelstellingen afstemt op de organisatie en het proces de missie ondersteunt en consistent zijn met de risico-acceptatiegraad.

• Event indentification– Interne en externe gebeurtenissen die invloed hebben op het behalen van de doelstellingen van de ondernemingen moeten worden geïdentificeerd, daarbij

onderscheid makend tussen risico’s en kansen. Kansen worden terugkoppelt naar het strategie- en/of doelstelling en formuleringsproces.

• Risk assessment– Risico’s worden geanalyseerd, in overweging nemend de

waarschijnlijkheid en de impact, als basis voor het vaststellen hoe deze zouden moeten worden gemanaged. De inherente en restrisico’s worden ingeschat.

• Risk response – Management selecteert de reacties op risico’s – vermijden, accepteren, verminderen of delen van risico – waarbij een set acties wordt ontwikkelt om risico’s af te stemmen op de risicotolerantie en risico-acceptatiegraad .

• Control Activities– Richtlijnen en procedures worden geformuleerd en geïmplementeerd om te waarborgen dat de reacties op risico effectief worden uitgevoerd.

• Information and communication – Relevante informatie wordt geïdentificeerd, verzameld en gecommuniceerd in een vorm en tijdsbestek dat mensen mogelijk maakt zijn of haar

verantwoordelijkheden te kunnen uitvoeren. Effectieve communicatie vindt ook in ruimere zin, horizontaal, verticaal en bilateraal, plaats binnen een onderneming,.

• Monitoring– De totaliteit van ondernemingsrisicomanagement wordt bewaakt en wijzigingen worden waar nodig aangebracht. Bewaking wordt mogelijk gemaakt door voortdurende managementactiviteiten, afzonderlijke evaluaties of beide.

Ondernemingsrisicomanagement is niet alleen een chronologisch proces, waar het ene component invloed heeft op het volgende, het is ook een iteratief proces dat zich in verschillende volgorden kan bewegen en waarbij bijna alle componenten invloed op elkaar kunnen en zullen hebben. (Committee of Sponsoring Organizations of the Treadway Committee, Enterprise Risk Management-Integrated Framework, 2004)

Door middel van de evaluaties, zoals die bij de fase monitoring aan de orde komen, krijgt de ondernemingsleiding een beeld van in hoeverre de voor de onderneming relevante risico’s adequaat worden beheerst. Daarbij moet besloten worden in hoeverre risicomanagement elementen nog nader uitgebreid moeten worden. (Ballou, Heitger, 2005) Deze evaluatie is een centrale verantwoordelijkheid, omdat alleen op centraal niveau de impact van eventuele tekortkomingen goed kan worden afgewogen. De evaluatieresultaten vormen de basis voor de rapportage over risicomanagement en maken tevens duidelijk op welke punten verbeteringen of herstelacties nodig zijn.

In zijn algemeenheid kan gesteld worden dat organisaties die ERM goed hebben geborgd in de gehele organisatie beter dan andere organisaties in staat zijn om: (Paape, Swagerman, 2006)

• Opbrengsten te verhogen - indien risico’s goed beheerst worden, kan de organisatie meer risico’s nemen, hetgeen doorgaans ook hogere opbrengsten met zich meebrengt.

• Kansen benutten - toekomstige ontwikkelingen worden eerder gesignaleerd, er wordt eerder op gereageerd en zo worden concurrentievoordelen behaald

• De inzet van middelen te rationaliseren - er ontstaat een beter inzicht in wat de belangrijkste risico’s zijn en waar dus de beschikbare middelen het beste aan kunnen worden besteed.

• Operationele verliezen en verrassingen voorkomen – knelpunten en zwakke plekken in de operationele processen worden eerder gedetecteerd.

• Aan eisen van wet- en regelgeving te voldoen – de organisatie voldoet aan de eisen inzake risicomanagement als onderdeel van corporate governance wet- en regelgeving.

Enterprise Risk Management gaat uit van een volledige opname van het proces in de managementcyclus, inclusief het met regelmaat rapporteren over de kwaliteit van

risicobeheersing in periodieke managementreviews. In de praktijk blijkt dat falen van ERM ontstaat wanneer het niet volledig in het proces is opgenomen. (Bowling, Rieger, 2005)

Daarnaast veronderstelt ERM een bouwwerk dat volledig is gedocumenteerd en regelmatig wordt getest. Op basis hiervan kan de manager–door middel van Letter of Representation verklaren “in control” te zijn.

Volgens COSO is het risicobeheersingsysteem effectief als met een redelijke mate van zekerheid kan worden verklaard (Beurden, Bos 2006):

• dat betrokkenen op de hoogte zijn van de mate waarin de strategische en operationele doelstellingen worden bereikt;

• dat de financiële rapportages betrouwbaar zijn;

• en dat de organisatie zich houdt aan de van toepassing zijnde wetten en regels.

Met de bovenstaande aspecten van de concretere invulling van risicomanagement is deelvraag 2, de invulling van “COSO Enterprise Riskmangement Framework” aan risicomanagement beantwoord.

2.6. Verslaggeving over risicomanagement

Als gevolg van de in afgelopen jaren gepubliceerde ondernemingsdebacles, ondernemingsschandalen en fraudes moeten zowel Europese als Amerikaanse beursgenoteerde ondernemingen momenteel voldoen aan verstrengde codes en regelgevingen. Deze codes en regelgevingen moeten bijdragen aan het creëren van een hernieuwd vertrouwen van het maatschappelijke financiële verkeer en financiële integriteit. (Tabaksblat, 2003)

In Nederland heeft de commissie Tabaksblat op 9 december 2003 de definitieve Code Tabaksblat (hierna volsta ik met het woord Code) gepresenteerd. De code vervangt het rapport “Corporate Governance in Nederland; De Veertig Aanbevelingen uit 1997 van de commissie Peters. De code is van toepassing op alle vennootschappen met statutaire zetel in Nederland en waarvan aandelen of certificaten van aandelen zijn toegelaten tot de officiële notering van een van overheidswege erkende effectenbeurs. De Code bevat zowel principes als concrete bepalingen die de bij een vennootschap betrokken personen en partijen tegen over elkaar in acht zouden moeten nemen. De principes kunnen worden opgevat als de moderne, en inmiddels breed gedragen, algemene opvattingen over goede corporate governance. De vennootschap vermeldt elk jaar in haar jaarverslag op welke wijze zij de principes van de code heeft toegepast, de commissie schrijft niet voor hoe een hoofdstuk in het jaarverslag er uit moet zien. De principes zijn uitgewerkt in concrete best practice bepalingen. Deze bepalingen creëren een zekere normstelling voor het gedrag van bestuurders en commissarissen. In het jaarverslag moeten vennootschappen aangeven in hoeverre de codevoorschriften wel of niet worden nageleefd. Afwijkingen zijn op zich niet verwerpelijk; zij kunnen onder omstandigheden juist gerechtvaardigd zijn. Door de Code Tabaksblat worden beursgenoteerde ondernemingen vanaf boekjaar 2004 wettelijk (verankert in boek 2 van het Burgerlijk Wetboek) verplicht aan te geven in hoeverre de codevoorschriften wel of niet (het “comply or explain”-principe) worden nageleefd.

Al voor het invoeren van de Code waren in het buitenland codes en regelgevingen van kracht. In Amerika moeten alle vennootschappen met een beursnotering aan de NYSE of NASDAQ,

inclusief zo’n 1300 niet- Amerikaanse ondernemingen (waarvan ongeveer 45 in Nederland) vanaf 2002 voldoen aan de Sarbanes-Oxley Act. Deze wet schrijft gedetailleerd voor aan welke eisen

de opzet van de interne controle van financiële processen moet voldoen en hoe deze

controlemaatregelen moeten worden gedocumenteerd en getoetst. Daarvoor bestaat een sterke “rule based” wetgeving, met veel regels. In deze regels staat precies wat wel en niet kan en mag. Als een norm wordt omschreven als “materieel”, dan is daarvoor precies vastgesteld wat dat betekent.(Heidema, 2006)

SOX stelt de financiële beheersing centraal, het bestuur dient in het jaarverslag aan te geven dat deze activiteiten van de onderneming “in control” zijn en tevens dient hierbij een oordeel van de accountant te worden opgenomen.

Deze bestuurdersaansprakelijkheid bestond vóór invoering van Sarbanes-Oxley ook al, maar nieuw is dat bestuurders elk jaar een verklaring moeten tekenen dat de jaarrekening

waarheidsgetrouw is en dat de interne risicocontrole op orde is. Hiervoor moeten 'in control' statements worden afgegeven. Als achteraf blijkt dat cijfers onjuist zijn of dat de interne controle niet op orde is, kan een bestuurder direct aansprakelijk worden gesteld. Bestuurders kunnen in de Verenigde Staten ook strafrechtelijk worden vervolgd. (Vries, 2005)

In het Verenigd Koninkrijk is in navolging van SOX de Turnbull guidance in het leven geroepen, in Duitsland geldt de KonTraG en voor banken is Basel II ingevoerd om regels voor het

risicomanagement in deze sector voor te schrijven. Veelal zijn deze regels niet alleen gericht op het afdwingen van betrouwbare en tijdige informatie aan toezichthouders en aandeelhouders, maar ook op het terugdringen van de kans om “lijken in de kast” te laten liggen als gevolg van onvoldoende interne beheersing. (Emanuels, 2005)

Doordat deze regelingen bedrijven verplichten informatie omtrent risicomanagement openbaar te maken, wordt de voorspelbaarheid van resultaten vergroot en daarmee draagt het bij aan de afname van onzekerheden bij toezichthouders en beleggers.

Om een externe verklaring over de kwaliteit van het risicomanagement af te kunnen geven kiezen veel organisaties ervoor om binnen de organisatie van verantwoordelijk management op lagere niveaus ook een dergelijke verklaring te verlangen. Op deze wijze wordt van onderuit de organisatie de basis gecreëerd waarop extern over het onderwerp risicomanagement kan worden gerapporteerd. (Paape, Swagerman, 2006)

2.6.1. Tabaksblat

De Code Tabaksblat schrijft voor dat ondernemingen moeten zorgen voor een goede inrichting en permanente bewaking van de goede werking van de interne risicobeheersings- en

controlesystemen. (Tabaksblat, 2003):

De principes zijn uitgewerkt in concrete best practice bepalingen. De bepalingen creëren een zekere normstelling voor het gedrag van bestuurders en commissarissen – ook in relatie tot de externe accountant- en aandeelhouders die tegenover elkaar in acht zou moeten worden genomen.

De vennootschap vermeldt elk jaar in haar jaarverslag op welke wijze zij de principes van de code in het afgelopen boekjaar heeft toegepast.

De code is onderverdeeld in vijf hoofdstukken: I) naleving en handhaving van de code; II) het bestuur;

III) de raad van commissarissen;

IV) de (algemene vergadering van) aandeelhouders;

V) de audit van de financiële verslaggeving en de positie van de interne audit functie en van de externe accountant.

Risicomanagement is een onderdeel van het besturen van een onderneming. Het is een taak van het bestuur om hierover een verklaring afleggen. De overige hoofdstukken bevatten dan ook geen elementen van risicomanagement. De best-practice bepalingen van het bestuur zijn in zijn geheel opgenomen in bijlage 1 van de scriptie, ik zal hieronder in het kort de belangrijkste elementen over risicomanagement die in de code zijn opgenomen citeren (Commissie corporate

governance):

• Principe II: “Het bestuur rapporteert hierover aan en bespreekt de interne risicobeheersing- en controlesystemen met de raad van commissarissen en zijn auditcommissie.”

• Best-practice II 1.3: In de vennootschap is een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig. Als instrumenten van het interne risicobeheersings- en controlesysteem hanteert de vennootschap in ieder geval: a) risicoanalyses van de operationele en financiële doelstellingen van de vennootschap;

b) een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst;

c) handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures;

d) een systeem van monitoring en rapportering.

• Best-practice II 1.4: In het jaarverslag verklaart het bestuur dat de interne

risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar en geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken.

Vervolgens staat er onder “Verklaring van en toelichting op enkele begrippen die in de code zijn

gebruikt”:

Best-practice II 1.4: Het ligt in de rede dat het bestuur in de verklaring over de interne risicobeheersings- en controlesystemen aangeeft welk raamwerk of normenkader (zoals het COSO raamwerk voor interne beheersing) hij heeft gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem. (Tabaksblat, 2003)

Deelvraag 3: “Over welke onderwerpen moeten ondernemingen in hun jaarverslag volgens de Code-Tabaksblat rapporteren?” kan worden beantwoordt met de bovenstaande elementen van best practice II 1.4., die ook wel de in-control verklaring vormen.

Naast de in-control verklaring dienen ondernemingen met betrekking tot risicomanagement in de risicoparagraaf ook bedrijfsrisico’s te omschrijven en per risicosoort aangegeven welke systemen en processen worden gebruikt om die te beheersen. (Koolstra, Groot, 2006)

2.6.2. Commissie Frijns

De Minister van Financiën, mede namens de Minister van Justitie en de Staatssecretaris van Economische Zaken, heeft besloten om een Monitoring Commissie Corporate Governance Code in te stellen die tot taak heeft de actualiteit en bruikbaarheid van de Code Tabaksblat te

bevorderen. Deze Commissie-Frijns zou de mate van naleving van de code moeten volgen en eventuele onduidelijkheden moeten signaleren. De Commissie heeft geen bevoegdheid om de code zelfstandig te wijzigen (Paape, Swagerman, 2006)

De Commissie Frijns heeft in 2005 geconstateerd dat best practice bepaling II.1.4 behoort tot de categorie veelvuldig uitgelegde en niet-nageleefde best practice bepalingen. Beursgenoteerde vennootschappen en beleggersorganisaties hebben bij de Commissie aangegeven behoefte te hebben aan meer guidance ten aanzien van de verklaring van adequaatheid en effectiviteit. (Code corporategovernance, 2006)

De Commissie is met een aanbeveling aangaande best practice bepaling II.1.4 gekomen: • Ten aanzien van financiële verslaggevingsrisico’s:

De risicobeheersings- en controlesystemen moeten een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat. De risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt. In het lopende jaar zijn er geen indicaties dat de risicobeheersings- en controlesystemen niet naar behoren zullen werken.

De eventuele tekortkomingen die mogelijkerwijs materiële gevolgen kunnen hebben en in het verslagjaar respectievelijk het lopende jaar zijn geconstateerd moeten worden gemeld, waarbij tevens aangebrachte of geplande verbeteringen worden aangegeven.

• Ten aanzien van strategische-, operationele- en wet- en regelgevingsrisico’s:

Moet een beschrijving van de risicobeheersings- en controlesystemen op basis van de geïdentificeerde belangrijke risico’s wordt gegeven. Belangrijke tekortkomingen (indien

van toepassing) die in het verslagjaar zijn geconstateerd moeten worden gemeld, waarbij tevens aangebrachte of geplande verbeteringen worden aangegeven.

Aangezien een beschrijving van de risicobeheersings- en controlesystemen op basis van geïdentificeerde belangrijkste risico’s voldoende is, laat dit de bestuurder ruimte om naar de aandeelhouders te communiceren in hoeverre risico’s zijn genomen. (Heidema, 2006)

Door Commissie Frijns is ook gekeken naar de vereisten uit de SOX en de Britse Turnbull guidance. De commissie tekent hierbij aan dat het model voor interne beheersing van COSO de internationaal geaccepteerde standaard op dit gebied is. Dit raamwerk heeft zich inmiddels tot een wereldstandaard ontwikkeld. Ook de SEC verwijst ernaar in recente regelgeving. (Pooter, Visser, 2005)

2.6.3. Verschillen tussen Code Tabaksblat en overige corporate governance codes

Nederland blijft met best practice bepaling II 1.4 voor de internationale muziek uitlopen. Zo vragen de vierde en zevende EU-richtlijn van ondernemingen alleen een beschrijving van het risicomanagement systeem voor de financiële verslaglegging en vereist hier dus geen in-control verklaring over. (Groot, 2006)

Waar de Code in Nederland wordt bevorderd door zelfregulering, valt op dat in de Verenigde Staten de oplossing wordt gezocht in strenge wetgeving vanuit de overheid inclusief strenge straffen voor overtreders van de wet. Zoals zoveel Amerikaanse wetten is ook SOX “rule based” wat wil zeggen dat zeer veel aspecten tot in de kleinste details zijn beschreven. (NIVRA, 2006)

Sarbanes-Oxley sectie 404 “Management assessment of internal controls” beperkt zich tot een in-control verklaring per ultimo boekjaar voor alleen de betrouwbaarheid van financiële

verslaggeving (met een auditorrapport daarover). Frijns gaat verder aangezien het een uitspraak verwacht over het gehele jaar en over de toekomstige werking.

Bovendien is in de aanbeveling van Frijns de Britse leidraad; Cadbury (Turnbull FRC, 2005) terug te zien, en wel in de aanbeveling over de beschrijving van ondernemingsrisico’s, het systeem van risicomanagement en de tekortkomingen. (Groot, 2006)

Bestuurders met een Britse beursnotering moeten nu in hun jaarverslagen bevestigen dat tekortkomingen in hun interne risicosystemen zijn verholpen. (Vergoossen, Visser, 2005)

2.6.4. Informatiewaarde van risicomanagement in jaarverslagen voor gebruikers Interne partijen hebben intern meer informatie tot hun beschikking dan externe partijen aangezien niet alle informatie openbaar bekend wordt gemaakt. Het soort informatie is voor de investeerders van ondergeschikt belang, elke vorm van informatie die door ondernemingen bekend wordt gemaakt heeft waarde voor investeerders. (Scott, 2003)

Aandeelhouders eisen transparantie. Gezien de toenemende eisen van niet alleen aandeelhouders maar ook toezichthoudende organen en andere belanghebbenden ten aanzien van het afleggen van verantwoording zal het fenomeen ‘In Control Statements’ in de nabije toekomst steeds belangrijker worden. (Driessen, Kamstra, 2005)

Hoe meer informatie een onderneming naar buiten brengt, des te groter het vertrouwen van de investeerders in de onderneming. Omdat grote ondernemingen meer in het nieuws zijn dan kleinere ondernemingen, heeft de marktprijs van grotere deze ondernemingen ook een hogere informatiewaarde. De meeste informatie is hierbij namelijk al bekend (door middel van andere bronnen dan het jaarverslag, bijvoorbeeld de media) en in de marktprijs van de onderneming opgenomen, aandeelhouders reageren hierbij dan ook minder op de financiële verantwoordingen van grote ondernemingen dan dat dit bij kleine ondernemingen gebeurt. (Scott, 2003)

Daarnaast is uit onderzoek is gebleken dat grotere ondernemingen meer “politieke kosten” hebben dan kleinere ondernemingen (Shell is hier een voorbeeld van, de overheid zal geneigd zijn Shell meer te gaan belasten bij hogere winsten en slechte ontwikkelingen ten aanzien van het milieu) deze kosten kunnen worden verlaagd door meer informatie bekend te maken. (Jensen, Meckling, 1976)

De in-control verklaring kan niets zeggen over de keuze van de strategie of over de vraag of het management goed is. De aandeelhouder moet niet onderschat worden, hij leest de in-control verklaring van het bestuur, maar ziet deze echt niet als een verklaring van het bestuur dat het

“in-control” is over de strategie. De aandeelhouder beoordeelt de strategie en ziet de verklaring als een soort garantie dat de cijfers betrouwbaar zijn. Aandeelhouders zijn prima in staat die zaken te scheiden. (Heidema, 2006)

Door De Franco, Guan en Lu (De Franco ea, 2005) is in Amerika onderzoek gedaan naar de waarde die door investeerders aan internal control informatie wordt toegekend. Uit het onderzoek naar 102 ondernemingen die inefficiënties rapporteren bleek, dat na het bekend maken van inefficiënties in internal control functioneren de aandelenkoers als gevolg hiervan met 1.8% daalde. Deze economische verandering is significant en ondersteund het idee dat investeerders waarde aan internal control informatie toekennen. De koersdaling was hierbij specifiek het gevolg van het handel in aandelen door kleine investeerders, welke als gevolg van de mededeling voordeel konden trekken door hier snel op in te spelen.

Ook in Nederland zijn positieve geluiden te horen, zoals bij Eumedion, de voormalige Stichting Corporate Governance Onderzoek voor Pensioenfondsen, die zichzelf beschouwt als hét

corporate governance-forum voor Nederlandse institutionele beleggers. Eumedion motiveert per brief aan de commissie-Frijns waarom zij een “in-control” verklaring wel wenselijk acht. Stakeholders zijn vooral in de mate van beheersing van de overige risico's geïnteresseerd. Uit twee recente Ernst & Young-studies dienaangaande blijkt dat aandeelhouders en beleggers veel waarde hechten aan informatie over de wijze waarop risico's worden beheerst. Het onderzoek van Ernst & Young onder 137 institutionele beleggers, inclusief negen Nederlandse, die samen een vermogen van ruim een biljoen dollar beheren, blijkt hun behoefte aan meer informatie over de risico's van de ondernemingen waarin zij investeren en de wijze waarop deze worden beheerd. Een recent online onderzoek door The Financial Times en Ernst & Young onder 718

respondenten, waaronder 206 commissarissen en bestuurders, toont dat liefst 58 procent vindt dat het bestuur zich publiek moet uitspreken over de toereikendheid van hun risicobeheersings- en controlesystemen (Vergoossen, Visser, 2005)

2.7. Hypotheses

Naar aanleiding van mijn literatuuronderzoek kom ik tot de volgende 2 hypotheses:

1. De rapportage over risicomanagement is uitgebreider bij AEX-genoteerde ondernemingen dan bij AScX-genoteerde ondernemingen.

Omdat grote ondernemingen meer in het nieuws zijn dan kleinere ondernemingen, is er ook meer informatie over hen bekend. Het vertrouwen van aandeelhouders (nog meer) wordt vergroot als ondernemingen meer informatie (ongeacht in welke vorm dit gebeurt) bekend maken. Omdat via de media al diverse overige financiële informatie bekend gemaakt wordt, verwacht ik dat

aanvullende informatie over bijvoorbeeld het functioneren van het internal control systeem in jaarverslagen wordt gerapporteerd. Grote ondernemingen zullen om het vertrouwen bij hun aandeelhouders te vergroten nog meer informatie over risicomanagement in hun jaarverslag opnemen dan kleinere ondernemingen, want op deze manier zal extra vertrouwen bij aandeelhouders van grotere ondernemingen groeien. Deze extra informatie is voor

aandeelhouders van toegevoegde waarde omdat de meeste (financiële) informatie al bekend is en daardoor momenteel al in de marktprijs van de onderneming verwerkt is. Daarnaast is uit eerder onderzoek is gebleken dat grotere ondernemingen meer “politieke kosten” hebben dan kleinere ondernemingen. (Shell is hier een voorbeeld van, de overheid zal geneigd zijn Shell meer te gaan belasten bij hogere winsten en slechte ontwikkelingen ten aanzien van het milieu) Doordat “politieke kosten” kunnen worden verlaagd door meer informatie bekend te maken, zullen grote ondernemingen gedwongen worden meer informatie over risicomanagement openbaar maken. In mijn onderzoek speelt tevens mee dat Nederlandse beursgenoteerde ondernemingen (metname AEX-genoteerde ondernemingen) ook aan andere buitenlandse beursen genoteerd kunnen zijn. Deze buitenlandse beursen hebben eigen codes voor internal control. Vandaar dat ik een volgende 2e hypothese wil gaan onderzoeken:

2. Ondernemingen met tevens een notering aan de NYSE of NASDAQ hebben meer informatie over risicomanagement in hun jaarverslag opgenomen dan ondernemingen met alleen een Nederlandse beursnotering.

Naast de vereisten conform de bepalingen van de Code Tabaksblat, zijn de ondernemingen die tevens aan de NYSE of NASDAQ genoteerd zijn onderworpen aan de Sarbanes-Oxley Act. SOX stelt de financiële beheersing centraal, het bestuur dient in het jaarverslag aan te geven dat deze activiteiten van de onderneming “in control” zijn en dient hierover een oordeel door de

accountant te worden opgenomen. Wanneer “falen” van het internal control systemen zich voordoen, dan dient dit in het jaarverslag gerapporteerd te worden. SOX schrijft gedetailleerd voor aan welke eisen de opzet van de interne controle van financiële processen moet voldoen en hoe deze controlemaatregelen moeten worden gedocumenteerd en getoetst. Vanwege deze gedetailleerde beschrijving verwacht ik dat deze bedrijven meer informatie over

Hoofdstuk 3.

Onderzoeksopzet

3.1. Inleiding

In dit hoofdstuk zet ik de onderzoeksopzet uiteen. Allereerst ga ik in op welke jaarverslagen onderdeel van de dataselectie uitmaken, daarna welke onderzoeksmethode ik heb toegepast om de hypotheses te kunnen bevestigen of weerleggen en vervolgens geef ik aan hoe de data-analyse is uitgevoerd.

3.2. Dataselectie

Door de Code Tabaksblat worden, zoals uit het literatuuronderzoek naar voren gekomen is, eisen aan risicomanagement(rapportage) aan Nederlandse beursgenoteerde ondernemingen gesteld. De populatie bestaat uit alle Nederlandse beursgenoteerde ondernemingen. Deze ondernemingen moeten voldoen aan de bepalingen betreffende de beheersing van risico´s en de rapportage vereisten, zoals die door de Code zijn bepaald.

In het literatuuronderzoek is gebleken dat grotere ondernemingen meer informatie bekend zullen maken dan de relatief kleinere ondernemingen. Om een volledig beeld van de gehele populatie en te verkrijgen, heb ik de selectie gericht op de AEX- en AscX-genoteerde ondernemingen.

Met de opname van AEX- en AscX-genoteerde ondernemingen in mijn steekproef, heb ik bewust voor de uitersten twee variabelen binnen de populatie gekozen.

Vanwege de mogelijke onvergelijkbaarheid van ondernemingen heb ik besloten banken en financiële instellingen waarbij BASEL II van invloed is niet in de selectie van ondernemingen op te nemen. Ondernemingen die moeten voldoen aan BASEL II zullen naast de bepalingen van Tabaksblat nog meer informatie over de beheersing van (bancaire) risico´s moeten vermelden. Om de vergelijkbaarheid niet in geding te laten komen heb ik er voor deze ondernemingen uit te sluiten. In bijlage 2 “Geselecteerde ondernemingen” staat achter deze ondernemingen in de tweede kolom “BASEL II” vermeldt, waarna deze ondernemingen niet in de derde kolom “populatie” zijn opgenomen.

3.3. Meet- en waarnemingsmethoden

Voor de uitvoering van mijn onderzoek is het opstellen van een checklist de basis. De volledige checklist manier waarop de checklist tot stand is gekomen komen in de volgende paragraaf aan de orde. Door middel van de checklist ben ik in staat om de jaarverslagen te analysen en vervolgens te vergelijken. In de analyse wordt duidelijk welke elementen van risicomanagement door beursgenoteerde ondernemingen worden gerapporteerd.

Het gehele onderzoek omvat zowel een kwalitatief (wat vooral betrekking op de opname van de verschillende elementen in het jaarverslag en het soort categorie dat aan de in-control verklaring kan worden toegekend) als een kwantitatief onderzoek (dat aan de hand van het aantal woorden besteed aan risicomanagement ten opzichte van het totale jaarverslag). Echter is een strikte scheiding tussen kwantitatief en kwalitatief onderzoek niet noodzakelijk omdat de beperkingen van kwantitatief onderzoek en de mogelijkheden van het kwalitatieve onderzoek zichtbaar bespreekbaar zijn geworden, los van allerlei ideologische overwegingen. (Baarda, Goede de, 2006)

Bij een inhoudsanalyse wordt een gestructureerd onderzoek uitgevoerd en worden de resultaten vergeleken aan de hand van scoring. (Van Engeldorp Gastelaars, 2000) Door het toekennen van scores aan de operationele definities kan ik de begrippen zoals deze zijn opgenomen in de risicoparagrafen van de verschillende jaarverslagen analyseren.

Operationele definitie Maat voor het begrip

Concept Theoretisch begrip

Operationaliseren Operationaliseren

Elementen van risico-management conform

rapportage Risicomanagement

De kwaliteit van metingen vereist allereerst herhaalbaarheid. De overige vereisten zijn: betrouwbaarheid, validiteit, nauwkeurigheid en doelmatigheid. In het kader van betrouwbaarheid dient een herhaalde meting dezelfde uitkomst op te leveren, zonder dat er daadwerkelijk veranderingen hebben plaatsgevonden. Het validiteitcriterium houdt in dat wat wordt gemeten ook daadwerkelijk het juiste is. (Leeuw de, 2003)

De verschillende operationele begrippen die in de risicoparagraaf aan de orde kunnen komen zijn in het literatuuronderzoek onder “verslaggeving over risicomanagement” nader behandeld. De essentiële elementen van interne beheersing uit het literatuuronderzoek zijn in de checklist voor risicomanagement rapportage opgenomen.

3.4. Checklist voor risicomanagement rapportage

Het antwoord op deelvraag 3: “Over welke onderwerpen met betrekking tot risicomanagement

moeten ondernemingen rapporteren in hun jaarverslag volgens de Code-Tabaksblat?” vormt de

basis voor de checklist. Achtereenvolgens komt dit op de volgende essentiële elementen neer:

• Het bestuur verklaart in het jaarverslag dat de interne risicobeheersings- en controle-systemen adequaat en effectief zijn en geeft hier een duidelijke onderbouwing van. • De werking van het interne risicobeheersings- en controlesysteem in het boekjaar moeten

evenals de eventuele significante wijzigingen in het systeem van internal control in het jaarverslag worden gerapporteerd.

• Daarnaast moet worden gerapporteerd of / en welke belangrijke verbeteringen zijn gepland en tevens dat de bespreking hiervan met de auditcommissie of de raad van commissarissen heeft plaatsgevonden.

• Als onderdeel van risicomanagement zijn de bedrijfsrisico’s in de risicoparagraaf omschreven en wordt aangeven welke systemen en processen gebruikt zijn om bedrijfsrisico´s te beheersen.

Interne beheersing is niet statisch maar vraagt om voortdurende evaluatie en eventueel verbeteringen van onderliggende systemen. Dit continue proces is nodig om tot een goed onderbouwde rapportage over interne beheersing te komen. De evaluatieresultaten vormen voor de ondernemingsleiding de basis voor de rapportage over risicomanagement.

In aanvulling op de bovenstaande essentiële eisen zoals die door de bepalingen van de Code Tabaksblat worden geëist zijn de volgende tien essentiële elementen door KPMG (Wallage, 2005) voor de rapportage over risicomanagement aanbevolen:

Risicomanagement:

1. Is de verantwoordelijkheid van de raad van bestuur

2. Gaat zowel in op de opzet als op de werking van het interne beheer 3. Komt tot stand vanuit een deugdelijke grondslag

4. Komt voort uit systemen voor interne beheersing die zijn toegesneden op de onderneming 5. Is gebaseerd op het beheersen van significante risico’s, zodat de kosten opwegen tegen de

baten.

6. Gaat in op operationele en financiële risico’s en het naleven van wet- en regelgeving. 7. Komt tot stand op basis van een beoordeling middels algemeen aanvaarde raamwerken of

normenkaders, zoals het COSO-framework.

8. Gaat in op de werking gedurende het gehele verslagjaar 9. Geeft een beschrijving van:

• de uitgevoerde beoordelings-/ toetswerkzaamheden • de belangrijkste componenten van risicomanagement • de wijzigingen en verbeteringen in de interne beheersing • de bespreking van deze activiteiten met auditcommissie en of

raad van commissarissen.

10. Geeft aan dat risicomanagement alleen een redelijke, maar geen absolute zekerheid kan bieden.