Filling the Gap

Filling the Gap

Een onderzoek naar risicomanagement en rating agencies

Auteur: Rutger ter Harmsel

Afstudeerbegeleider: Prof. Dr. JA Emanuels Mei 2006

Faculteit Bedrijfskunde afstudeerrichting Accountancy Rijksuniversiteit Groningen

Voorwoord

Voor u ligt de afstudeerscriptie die ik heb geschreven ter afsluiting van de opleiding Bedrijfskunde aan de Rijksuniversiteit te Groningen. Zoals de titel al aangeeft, gaat deze scriptie over risicomanagement en de invloed van “rating agencies” op risicomanagement. Specifieker gaat deze scriptie in op de beursgenoteerde ondernemingen die onder de Code Tabaksblat vallen. Bij het zoeken naar een onderwerp sprak mij de combinatie van risicomanagement en rating agencies meteen aan, vanwege de actualiteit van risicomanagement onder de op 9 december 2003 ingevoerde Code Tabaksblat en de opkomende invloed van rating agencies op ondernemingen. Het leek mij een uitdaging om vooral op dit laatste gebied onderzoek te doen en toegevoegde waarde aan risicomanagement te kunnen leveren.

Met dit onderzoek tracht ik de aspecten die door rating agencies worden beoordeeld op het gebied van risicomanagement in kaart te brengen. Tevens tracht ik de aspecten die naar aanleiding van de Code Tabaksblat bestpracticebepalingen II.1.3 en II.1.4 door gebruikers van jaarverslagen zullen worden beoordeeld in kaart te brengen. Wanneer vastgesteld kan worden dat rating agencies aspecten van risicomanagement in hun rating meenemen, kunnen rating agencies de rol van medium tussen besturen en externe belanghebbenden aannemen.

Tot slot wil ik van de gelegenheid gebruik maken om een aantal mensen die mij hebben bijgestaan tijdens het maken van dit onderzoek te bedanken. Dank gaat uit naar Jim Emanuels die mij namens de faculteit tijdens dit onderzoek heeft begeleid en wiens theoretische kennis op dit gebied en onderzoekstechnische kennis in belangrijke mate heeft bijgedragen aan dit uiteindelijke resultaat. De gesprekken hebben voor mij een verhelderende en vooral stimulerende werking gehad. Tevens wil ik Ron Admiraal en Kosta Weber van PricewaterhouseCoopers Accountants NV. te Amsterdam bedanken die hun tijd beschikbaar hebben gesteld om mij te helpen bij het onderzoek. Ook wil ik mijn ouders en vriendin bedanken voor de steun deze laatste maanden.

Rutger ter Harmsel Augustus – 2006

Samenvatting

Door de invoering van de Code Tabaksblat moeten ondernemingen met betrekking tot risicomanagement aan strenge eisen voldoen op het gebied van operationele activiteiten, financiële verslaggeving en wet en regelgeving. Het door COSO ontwikkelde Enterprise Risk Management raamwerk kan worden gebruikt als leidraad voor de invulling van organisatiebreed risicomanagement. De bestpracticebepalingen II.1.3 en II.1.4 van de Code Tabaksblat stellen eisen op het gebied van de interne risicobeheersing- en controlesystemen. Gebruikers van jaarverslagen zijn ontevreden over de verklaringen die met betrekking tot het risicomanagement worden afgegeven. Rating agencies, zoals Standard & Poors en Moody’s brengen ratings uit op het gebied van corporate governance. Wanneer rating agencies aspecten van het risicomanagement zouden beoordelen dan zouden zij kunnen functioneren als medium tussen besturen en externe gebruikers van jaarverslagen. Door dit onderzoek is vastgesteld dat op basis van informatie over het beoordelingsproces van een toonaangevende rating agency niet specifiek wordt gekeken naar de aspecten van risicomanagement. Eveneens is door dit empirische onderzoek weerlegd dat een meer dan gemiddelde gebruiker ontevreden is over de verklaring betreffende bestpracticebepalingen II.1.3 en II.1.4. Ook is middels dit onderzoek vastgesteld dat de verklaring met betrekking tot deze bestpracticebepalingen als voldoende eenduidig kan worden geïnterpreteerd.

Inhoudsopgave Inleiding 5 Hoofdstuk 1 Probleemstelling 8 1.1 Probleemstelling 8 1.1.1 Doelstelling 8 1.1.2 Centrale vraagstelling 10 1.1.3 Deelvragen 10 1.1.4 Randvoorwaarden 14 1.2 Onderzoeksaanpak 15 1.2.1 Theorie 15 1.2.2 Gegevensbronnen 15 1.2.3 Dataverzamelingsmethoden 16 1.2.4 Onderzoeksobject 16

Hoofdstuk 2 De Code Tabaksblat en risicomanagement 18

2.1 Inleiding 18

2.2 De Nederlandse Code Corporate Governance 18

2.3 Inhoud Code Tabaksblat en risicomanagement 20

2.4 Onderzoek monitoring commissie Frijns 22

2.5 Conclusie 23

Hoofdstuk 3 Enterprise Risk Management 24

3.1 Inleiding 24

3.2 Functie van het raamwerk 25

3.3 Noodzaak van risicomanagement 25

3.4 Voordelen ERM 26

3.5 Definitie risicomanagement 27

3.6 Betekenis voor het management 28

3.7 Verklaringen risicobeheersing 28

3.8 Conclusie 30

Hoofdstuk 4 Rating agencies 32

4.1 Ontwikkelingen laatste jaren 32

4.2 Definitie rating agencies 33

4.3 De beoordeling door rating agencies 33

4.4 Informatieasymmetrie 34

4.5 De rol van rating agencies 34

4.6 Bestaand empirisch onderzoek 35

4.7 De beoordeling door Standard & Poors 36

4.8 Conclusie 37

Hoofdstuk 5 Onderzoeksresultaten bestpracticebepalingen II.1.3 en II.1.4 38

5.1 Jaarverslagen 38

5.2 Populatie 38

5.3 Steekproef 39

5.4 Inhoud enquête 39

5.6 Hypotheses 41

5.6.1 Hypotheses aspecten bestpracticebepalingen II.1.3 42

5.6.2 Hypotheses gehele verklaring 42

5.7 Bevindingen 43

5.7.1 Risicoanalyse operationele doelstellingen 43

5.7.2 Risicoanalyse financiele doelstellingen 43

5.7.3 Gedragscode 44

5.7.4 Handleidingen financiele verslaggeving 44

5.7.5 Procedures financiele verslaggeving 44

5.7.6 Systeem van monitoring en rapportage 45

5.7.7 Tevredenheid en waardering 45

5.8 Conclusie 45

Hoofdstuk 6 Conclusie 47

Bijlage 1 Enquête bestpracticebepalingen II.1.3 en II.1.4 48

Bijlage 2 Onderzoeksresultaten enquête bestpracticebepalingen II.1.3 & II.1.4 53

Bijlage 3 Internationale rating agencies 82

Bijlage 4 ERM model 86

Inleiding

Schrijvers van recente artikelen spreken zich negatief uit over de eenduidigheid van verklaringen in jaarverslagen betreffende het adequaat en effectief zijn van risicobeheersing- en controlesystemen onder de Code Tabaksblat 1. Het zoeken naar eenduidige invulling van bestpracticebepaling II.1.3 en II.1.4 in het jaarverslag an sich schijnt al een ware zoektocht te zijn. Hiernaast zijn artikelen verschenen over de schijnbaar toenemende invloed van de beoordeling van risicomanagement door rating agencies op de beslissingen van het ondernemingsmanagement2.

Onder de gebruikers van jaarverslagen is behoefte aan eenduidigheid over het al dan niet adequaat en effectief zijn van risicobeheersing en controlesystemen, zo blijkt uit de ontevredenheid in verschenen artikelen3en uit recent onderzoek van de commissie Frijns geuit wordt. Aangezien de Code Tabaksblat zelf niet genoeg duidelijkheid over de rapportage van risicobeheersing schept, moet er gekeken worden naar een oplossing voor dit probleem. De commissie Tabaksblat heeft echter wel een raamwerk aangewezen op basis waarvan evaluaties van het adequaat en effectief zijn van systemen kunnen worden uitgevoerd. In de preambule van de code Tabaksblat wordt gerefereerd aan COSO (Committee of Sponsoring Organizations of the Tread way Commission).

Om de gebruikers van jaarverslagen tegemoet te komen in hun ontevredenheid over de verklaringen is het de uitdaging voor het management om tot een eenduidige invulling van de verklaringen te komen. Door het gebruik van al bestaande gegevens over risicobeheersing kan meer vorm en inhoud worden gegeven aan de verklaringen.

1_{artikel 12 juni 2005 – Rapportages over interne beheersing en risicobeheersing onder de maat. Gepubliceerd via}

de website van Ernst & Young

2

artikel 12 mei 2005 - Weinig verklaringen in jaarverslagen over risicobeheersing - en controlesystemen, Het Financiële Dagblad

Deze bestaande gegevens zouden mogelijk kunnen worden verkregen van rating agencies. Rating agencies beoordelen bedrijven in de kern op hun kredietwaardigheid. Daarnaast is de corporate governancestructuur van een bedrijf de laatste jaren onderdeel van de waardering van rating agencies zoals Standard & Poors en Moody’s. In the Journal of Accountancy van september 2005 wordt tevens gesteld dat investeerders bereid zijn om meer te betalen voor bedrijven met onafhankelijke besturen, transparante processen en duidelijke financiële disclosures. Ook wordt gesteld dat betere corporate governance leidt tot hogere credit ratings en dus lagere interestkosten waardoor hogere winsten

worden behaald (C. Harington, 2005)4.

Middels dit onderzoek zal blijken welke aspecten op het gebied van risicomanagement worden meegenomen in de beoordeling van rating agencies. Tevens wordt gekeken naar de aspecten gebruikers van jaarverslagen waarderen aan risicomanagement. Uit de resultaten zal blijken of er daadwerkelijk een koppeling is te maken tussen de beoordeling van rating agencies en de gebruikers van jaarverslagen. Wanneer dit verband bestaat dan zouden deze rating agencies gezien kunnen worden als vertalers van de informatiebehoefte van het publiek over de performance van het risicomanagement.

Dit onderzoek is gericht op de interpretatie van de verklaringen ten aanzien van bestpracticebepalingen II.1.3 en II.1.4 van de Code Tabaksblat door gebruikers van jaarverslagen. Tevens is het onderzoek gericht op het vaststellen van de overeenkomsten en verschillen tussen de beoordelingsaspecten van rating agencies en de aspecten die gebruikers van jaarverslagen beoordelen op het gebied van risicomanagement. Wanneer er een hoge mate van overeenkomst is tussen de beoordelingsaspecten van rating agencies en de aspecten van de bestpracticebepalingen II.1.3 en II.1.4 kunnen gebruikers van jaarverslagen aan de hand van ratings meer informatiewaarde ontlenen met betrekking tot het risicomanagement van een onderneming.

4

Leeswijzer

Voor de opbouw van dit onderzoek is het conceptuele model zoals beschreven in de inleiding op de probleemstelling het uitgangspunt. Het eerste hoofdstuk van dit onderzoeksverslag bestaat uit de onderzoeksopzet. In hoofdzaak wordt hier ingegaan op de probleemstelling en de aanpak van het onderzoek.

Hoofdstuk 2 gaat in op de Code Tabaksblat en de implicaties voor het risicomanagement. In hoofdstuk 3 wordt het proces van risicomanagement behandeld aan de hand van het door COSO ontwikkelde Enterprise Risk Management Framework. Daarnaast worden de inzichten die jaarverslagen opleveren met betrekking tot risicomanagement aan de kaak gesteld. Hierbij wordt gekeken naar het rapport van de monitoring commissie Frijns dat in maart 2006 is verschenen.

In hoofdstuk 4 wordt de rol en invloed van de rating agencies onder de loep genomen. Aan de hand van rating agency Standard & Poors wordt beoordeeld welke aspecten van risicomanagement in de beoordeling en uiteindelijk in de waardering worden meegenomen.

In hoofdstuk 5 wordt de interpretatie door gebruikers van jaarverslagen over risicomanagement behandeld. De onderzoeksresultaten en belangrijke bevindingen die voortvloeien uit de enquête worden hier behandeld.

Hoofdstuk 6 gaat in op de aanknopingspunten die de evaluatie van risicomanagement door rating agencies bieden voor het risicomanagement van ondernemingen die aan de Code Tabakblat moeten dan wel willen voldoen. In dit hoofdstuk wordt geconcludeerd in hoeverre aan de onderzoeksdoelstelling voldaan is en daarmee samenhangend in hoeverre antwoord is verkregen op de centrale vraagstelling.

Hoofdstuk 1 Probleemstelling

Dit hoofdstuk bestaat uit de onderzoeksopzet en valt in twee delen uiteen. In het eerste deel wordt de probleemstelling van het onderzoek uiteengezet. Na een inleiding van de probleemstelling komen doelstelling, centrale vraagstelling, deelvragen en de randvoorwaarden aan bod.

Het tweede deel van dit hoofdstuk bestaat uit de probleemstelling voortvloeiende onderzoeksaanpak. Na een introductie van de theorieën die gebruikt worden voor dit onderzoek en de toelichting op de wijze waarop de theorieën in relatie staan tot een bepaald deel van de probleemstelling, worden achtereenvolgens de gegevensbronnen, methoden van dataverzameling en het onderzoeksobject belicht.

§

Achtergrond

Sinds de invoering van de Nederlandse Code Corporate Governance, de Code Tabaksblat, zijn Nederlandse beursgenoteerde ondernemingen verplicht de principes en de bestpractices van deze code na te leven en daarover te rapporteren in het jaarverslag. Rapportage geschiedt volgens het “comply or explain” principe. Dit houdt in dat ondernemingen onder de Code Tabaksblat dienen uit te leggen waarom bepaalde bestpractices niet worden nageleefd.5

Er zijn enige vragen rondom de Code Tabaksblat die het management zich kan stellen. Hieronder valt de invulling van de rapportage over de interne risicobeheersing- en controlesystemen conform bestpracticebepaling II.1.3 en II.1.4. Bepaling II.1.3 beschrijft dat een vennootschap een toegesneden intern risicobeheersing- en controlesysteem dient te hebben en geeft aan welke noodzakelijke instrumenten daarbij van toepassing zijn. Bepaling II.1.4 beschrijft de verklaring over het al dan niet adequaat en effectief zijn van interne risicobeheersing- en controlesystemen.

5

.

Toch kunnen de gebruikers van jaarverslagen maar niet een eenduidig antwoord krijgen op het al dan niet adequaat en effectief zijn van de interne risicobeheersing- en controlesystemen. Recente artikelen ondersteunen deze ontevredenheid onder de gebruikers van jaarverslagen.678 _{Zo stelt de commissie} Frijns in hun rapport van 8 maart 2006 voor om de uitleg over het interne risicobeheersing- en controlesystemen te splitsen in een verklaring over de financiële verslaggevingrisico’s en de overige risico’s. “Zo dient een bestuurder met een redelijke mate van zekerheid te verklaren dat de financiële verslaglegging geen onjuistheden bevat en dat het proces hiervan naar behoren functioneert,” zegt Frijns in een interview naar aanleiding van hun rapport. Ondernemingen moeten andere risico’s beschrijven inclusief de belangrijkste tekortkomingen in de risicobeheersing en de geplande verbeteringen.

De behoefte aan zekerheid en daarmee de informatiebehoefte van de gebruikers van jaarverslagen met betrekking tot de risicobeheersing- en controlesystemen van ondernemingen is na de schandalen zoals die plaatsvonden binnen Ahold, Worldcom en Enron, toegenomen. Parallel aan die ontwikkeling nemen rating agencies de laatste jaren de corporate governance van een onderneming mee in hun waardering. Er is een rating agency die zelfs corporate governance ratings uitgeeft. Institutional Shareholder Services brengt bijvoorbeeld ratings uit in de vorm van een Corporate Governance Quotiënt. Deze invloed werkt uiteindelijk door in de toegang tot krediet op de financiële markten voor de geëvalueerde ondernemingen.

Om inzicht te krijgen in hoeverre ondernemingen presteren op corporate governance gebied moeten ondernemingen in hun jaarverslag rapporteren in hoeverre zij voldoen aan de vereisten voor corporate governance. Voor Nederlandse beursgenoteerde ondernemingen staan deze vereisten onder de bestpracticebepalingen in de Code Tabaksblat. Met betrekking tot het risicomanagement zijn er de bestpracticebepalingen II.1.3 en II.1.4. In hoeverre een bevredigend antwoord wordt gegeven op de

6

Rapportages over interne beheersing en risicomanagement onder de maat, website Ernst & Young, juni 2005

7_{Tabaksblat “in control”? de Accountant, maart 2005, W. Rothuizen} 8

vereisten in bestpracticebepalingen II.1.3 en II.1.4 aan de gebruiker van het jaarverslag wordt aan de hand van dit onderzoek vastgesteld.

Rating agencies, zoals Standard & Poors, Moody’s Investor Service en Fitch ratings, zijn commerciële bedrijven die hun bestaansrecht ontlenen aan het publiceren van evaluaties van de waarde van hun klanten. Rating agencies meten in hoeverre ondernemingen op bepaalde gebieden, waaronder de corporate governance, presteren en ondersteunen met name financiële instellingen voor het verlenen van krediet. Ook aandeelhouders kunnen deze informatie verkrijgen. In hoofdstuk 4 wordt dieper ingegaan op rating agencies.9

Binnen dit onderzoek is de focus gericht op het risicomanagement van Nederlandse beursgenoteerde ondernemingen die moeten voldoen aan de Code Tabaksblat bestpracticebepalingen II.1.3 en II.1.4. Aan de hand van jaarverslagen van beursgenoteerde ondernemingen wordt gekeken in hoeverre gebruikers ontevreden zijn met betrekking tot het opgeleverde inzicht in het adequaat en effectief zijn van risicobeheersingsystemen. Tevens wordt gekeken in hoeverre de beoordeling van gebruikers overeenkomt met de evaluatie van het risicomanagement door rating agencies.

De probleemstelling is opgebouwd uit een doelstelling, een centrale vraagstelling die wordt opgedeeld in enkele deelvragen, een conceptueel model en de randvoorwaarden. Per deelvraag wordt aangegeven of deze door literatuur- of empirisch onderzoek beantwoord zal worden met vermelding van de methode van dataverzameling. Tevens wordt per deelvraag een hypothese vastgesteld.

§

Met dit onderzoek wordt de volgende doelstelling nagestreefd:

9

Inzicht geven in de overeenstemming van interpretatie van het gevoerde risicomanagement onder de Code Tabaksblat bestpracticebepalingen II.1.3 en II.1.4 door accountants van de internationale businessunit van PricewaterhouseCoopers Accountants NV. te Amsterdam en de interpretatie van rating agencies betreffende het risicomanagement teneinde de ontevredenheid van meer dan gemiddelde gebruikers van jaarverslagen over het gevoerde risicomanagement te verminderen.

De accountants van de internationale businessunit van PricewaterhouseCoopers NV te Amsterdam zijn voor dit onderzoek gekozen, omdat binnen de unit voldoende kennis is in relatie tot de Code Tabaksblat. De accountant moet allicht kunnen beoordelen of bestpracticebepalingen goed toegelicht zijn.

§

De centrale vraagstelling in het onderzoek is:

In hoeverre is er een verband tussen de beoordeling van het gevoerde risicomanagement onder de Code Tabaksblat bestpracticebepalingen II.1.3 en II.1.4 door accountants van PricewaterhouseCoopers NV. en de beoordeling van het risicomanagement door rating agencies?

De centrale vraagstelling valt in verschillende componenten uiteen die wederom deelvragen oproepen. De deelvragen worden in paragraaf 1.1.3 behandeld. De resultaten op de deelvragen afzonderlijk die door het onderzoek worden verkregen dienen antwoord te geven op de centrale vraagstelling.

§

1) In hoeverre voldoen beursgenoteerde ondernemingen aan de eisen in bestpracticebepalingen II.1.3 en II.1.4 aan de hand van verklaringen in recente jaarverslagen volgens gebruikers? Onderzoek: literatuuronderzoek - onderzoek commissie Frijns

2) In welke mate denken accountants van PricewaterhouseCoopers Accountants NV. dat de aspecten van verklaringen op het gebied van risicomanagement door gebruikers van jaarverslagen worden gewaardeerd? (interpretatie gebruikers)

Empirisch onderzoek aan de hand van model in bijlage 1. Dataverzameling: Enquête onder 20 personen.

3) Hoe interpreteren/beoordelen rating agencies bedrijven? Onderzoek: literatuuronderzoek

4) Welke aspecten van risicomanagement worden door rating agencies beoordeeld? (interpretatie rating agencies/tussenpersoon)

Onderzoek: empirisch onderzoek – informatie wordt bij rating agency opgevraagd Hypothese: Aspecten van risicomanagement worden beoordeeld door rating agencies

5) In hoeverre is de beoordeling van risicomanagement door rating agencies gelijk aan de interpretatie van gebruikers van het jaarverslag?

Onderzoek: vergelijking deelvraag 3 en 4

Hypothese: gebruikers en rating agencies beoordelen risicomanagement op dezelfde aspecten

Hieruit komen overeenkomsten en verschillen tussen beoordelingsaspecten van rating agencies en gebruikers van jaarverslagen die uiteindelijk kunnen bijdragen aan het wegnemen van de dubbelzinnigheid en de transparantie betreffende het gevoerde risicomanagement kunnen verhogen.

Dit model dient als leidraad te worden gezien voor de opbouw van deze scriptie. In het volgende hoofdstuk wordt gekeken naar de inhoud en van risicomanagement volgens de code Tabaksblat. In hoofdstuk 3 wordt het proces van risicomanagement aan de hand van het door COSO ontwikkelde Enterprise Risk Management raamwerk onder de loep genomen. Hoofdstuk 4 belicht de rol en invloed

van rating agencies op de financiële markten. Tussen de gebruikers van jaarverslagen en het desbetreffende bestuur staan de rating agencies die metingen verrichten met betrekking tot de performance van een bedrijf. In hoofdstuk 4 wordt gekeken in hoeverre rating agencies de aspecten gerelateerd aan het risicomanagement worden betrokken in de performance meting. Hoofdstuk 5 behandelt de onderzoeksresultaten met betrekking tot de interpretatie van gebruikers van jaarverslagen. In hoofdstuk 6 wordt nader ingegaan op de overeenkomsten dan wel verschillen in beoordelingsaspecten tussen de gebruikers van jaarverslagen en rating agencies. Hier wordt vastgesteld in hoeverre rating agencies een rol als medium tussen besturen en gebruikers van jaarverslagen kan spelen.

§

Dit onderzoek beperkt zich tot de jaarverslagen van de ondernemingen genoteerd aan de Euronext te Amsterdam. Deze jaarverslagen moeten voldoen aan de vereisten in de Code Tabaksblat. De bekendste index van de Euronext te Amsterdam, de AEX index, wordt samengesteld uit de 25 actiefste effecten in Nederland. De AEX index verstrekt een goede vertegenwoordiging van de ontwikkeling van Nederlandse economie. Voor dit onderzoek zijn de meest recente jaarverslagen van de ondernemingen aan de Euronext geselecteerd om een actueel beeld te krijgen van de tevredenheid, waardering en eenduidigheid van de opname van bestpracticebepaling II.1.3 en II.1.4 in het jaarverslag. Tevens is dit onderzoek beperkt tot de internationale businessunit van PricewaterhouseCoopers Accountants N.V. te Amsterdam. Deze internationale businessunit is gekozen, omdat binnen deze unit met betrekking tot de Code Tabaksblat voldoende kennis aanwezig is om de vragen te kunnen beantwoorden. Met betrekking tot de rating agencies wordt dit onderzoek beperkt tot Standard & Poors. Deze rating agency is gekozen omdat deze behoort tot een van de meest toonaangevende rating agencies.

§

Dit onderzoek is een beschrijvend onderzoek. Aan de hand van bestaande literatuur wordt beschreven welke implicaties de Code Tabaksblat heeft voor het risicomanagement van ondernemingen. Hierbij komt het proces van risicomanagement aan de hand van het ERM raamwerk volgens COSO aan de orde en de bestpracticebepalingen II.1.3 en II.1.4 van de Code Tabaksblat. Ook wordt in dit onderzoek beschreven naar welke aspecten van het risicomanagement rating agencies kijken en hoe dit proces verloopt.

Tevens is dit een toetsend onderzoek. Door middel van dit onderzoek wil ik toetsen in hoeverre meer dan gemiddelde gebruikers van jaarverslagen daadwerkelijk ontevreden zijn over de verklaring die wordt afgegeven met betrekking tot bestpracticebepalingen II.1.3 en II.1.4. De onderzoeksgegevens worden verzameld uit jaarverslagen en uit de literatuur die in het bijzonder recentelijk over het onderwerp is verschenen. Ook worden verschillende websites op relevante informatie onderzocht. Daarnaast wordt door middel van een enquête de tevredenheid met betrekking tot bestpracticebepalingen II.1.3 en II.1.4. onderzocht.

Het onderzoek is er tevens op gericht om de verschillen en overeenkomsten in kaart te brengen tussen de voorschriften van de code Tabaksblat bestpracticebepalingen II.1.3 en II.1.4 en de aspecten die door rating agency Standard & Poors worden beoordeeld.

§

Voor het vaststellen van de stand van zaken rondom het risicomanagement onder de Code Tabaksblat wordt gekeken naar de meest recente jaarverslagen van genoteerde ondernemingen aan de Euronext. Voor de analyse van de resultaten wordt gebruik gemaakt van kennis vanuit de BiO-methoden Statistiek 1 en 2. Vanuit de besturingstheoretische invalshoek wordt met behulp van de

managementcyclus invulling gegeven aan het proces van risicomanagement. Het door COSO ontwikkelde Enterprise Risk Management Framework wordt als uitgangspunt gebruikt voor het analyseren van de jaarverslagen en het verkrijgen van inzicht in de aspecten van risicomanagement die binnen de waardering vallen van rating agencies. Tevens dient dit raamwerk te worden gebruikt als norm voor het proces van risicomanagement onder de Code Tabaksblat.

§

Teneinde de jaarverslagen gericht te onderzoeken omtrent de tevredenheid over verklaringen met betrekking tot bestpracticebepalingen II.1.3 en II.1.4 is een enquête ontwikkeld. Recente jaarverslagen van beursgenoteerde ondernemingen die onder de Code Tabaksblat vallen, worden hierbij onder de loep genomen. Het uitgangspunt van deze enquête is het Enterprise Risk Management Framework en de bestpracticebepalingen II.1.3 en II.1.4 van de Code Tabaksblat.

Om inzicht te krijgen in de aspecten van risicomanagement die door rating agencies worden gewaardeerd (zogenaamde valuedrivers, maar dan alleen betrekking hebbend op risicomanagement) wordt relevante informatie bij betreffende rating agency. Het inzicht dat uit deze informatie voortvloeit kan aanknopingspunten bieden voor het management om hun risicomanagement te verbeteren. Uiteindelijk zal het management hierdoor "shareholder value" kunnen vergroten teneinde de continuïteit veiliger te stellen.

De bestpracticebepalingen II.1.3 en II.1.4 en de theoretische concepten uit het Enterprise Risk Management Framework worden geoperationaliseerd teneinde een enquête voor de jaarverslagen te ontwikkelen.

Object van onderzoek is het risicomanagement van beursgenoteerde ondernemingen dat onder de Code Tabaksblat valt. Dit object wordt onderzocht met gebruikmaking van de verklaringen omtrent het adequaat en effectief zijn van risicobeheersingsystemen.

Hoofdstuk 2 De Code Tabaksblat en Risicomanagement

§ 2.1 Inleiding

Sinds de Amerikaanse schandalen Worldcom en Enron in 2000 heeft het vertrouwen tussen aandeelhouders en de ondernemingen waarin zij deelnamen een flinke deuk opgelopen. De behoefte aan meer betrouwbare en transparante informatie is hierdoor meer dan daarvoor toegenomen. De behoefte om de hiermee gepaard gaande risico’s omtrent financiële verslaggeving in te dammen eveneens.

Gestimuleerd door de schandalen hebben de heren Sarbanes en Oxley in een recordtijd van zes weken de bekende Amerikaanse SOx-wetgeving in 2002 ontwikkeld. Voor het hedendaagse management van grote ondernemingen dat moet voldoen aan de eisen zoals die zijn neergelegd in de SOx-wetgeving zijn in het bijzonder secties 302 en 404 van belang. Deze secties die betrekking hebben op de verantwoordelijkheid (sectie 302) van het management voor de financiële rapportages en de jaarlijkse uitspraak van het management over de opzet en werking van de “internal control over financial reporting” (sectie 404) hebben een hoge impact op het hieromtrent gevoerde risicomanagement. De 404-verklaring die eens in het jaar moet worden gegeven, moet tevens verplicht door een externe accountant gecontroleerd worden.

§ 2.2 De Nederlandse Code Corporate Governance

Kijkend naar de situatie in Nederland na de gebeurtenissen van Ahold en World Online, is de behoefte aan meer betrouwbare en transparante informatie betreffende het “in control” zijn van ondernemingsbesturen net als in Amerika toegenomen. Onder druk van de Nederlandse regering destijds werd de Commissie Tabaksblat in het leven geroepen en uiteindelijk werd de Code Tabaksblat op 9 december 2003 ingevoerd.

Tijdens de toespraak van minister Zalm over het herstel van het vertrouwen in het bedrijfsleven op 31 januari 2004 ter gelegenheid van de NCW Bilderbergconferentie “Werken aan vertrouwen”10 worden een aantal aanwijsbare factoren voor boekhoudschandalen genoemd. Er wordt verwezen naar de scheiding tussen leiding en eigendom (agency-theorie), individualisering van de maatschappij, de vrije markteconomie, aandelenopties die het bestuur stimuleerden een stabiele winstpatroon te laten zien, de schakels tussen aandeelhouders en leidinggevenden (beursanalisten, commissarissen), de combinatie van verschillende diensten en adviezen door accountantskantoren.

In het kader van de typering van de vrije markt is een citaat van Adam Smith in The Wealth of Nations uit 1776 op zijn plaats:

"De mens heeft vrijwel voortdurend behoefte aan hulp van zijn naasten. [Toch] zou hij die vergeefs verwachten als hij slechts van hun welwillendheid uitging. […] Hij heeft een grotere kans van slagen als hij hun zelfzucht prikkelt. We verwachten ons avondmaal niet op grond van de welwillendheid van de slager, de brouwer of de bakker, maar op grond van hun zorg om het eigenbelang. We spreken niet hun menselijkheid aan maar hun zelfzucht."

De Code Tabaksblat beperkt zich in tegenstelling tot de SOx-wetgeving niet alleen tot de financiële rapportage. De reikwijdte van de Code Tabaksblat is breder dan de Amerikaanse variant. In de preambule van de Code wordt verwezen naar het raamwerk van COSO (Committee of Sponsoring Organizations of the Treadway Commission). Naast de internal control van de financiële rapportage zijn beursgenoteerde ondernemingen tevens verplicht te rapporteren over de internal control over de operationele processen en de naleving van wet en regelgeving. De vraag kan gesteld worden of de opstellers van de Code Tabaksblat zich op voorhand hebben gerealiseerd welke gevolgen deze bepaling in de kostensfeer zou meebrengen.11 De Code Tabaksblat geldt alleen voor beursgenoteerde

10_{http://www.minfin.nl/default.asp} 11

bedrijven, maar het is gebleken12 dat de onderliggende principes ook weerklank vinden bij niet-beursgenoteerde bedrijven en organisaties in de non-profit sector.

§ 2.3 Inhoud van de Code Tabaksblat en risicomanagement

In de definitieve Code Tabaksblat worden eisen gesteld waaruit implicaties voor het risicomanagement van ondernemingen voortvloeien. De Code zegt het volgende over de taak en werkwijze van het bestuur:

Principe II.1

… Het bestuur is verantwoordelijk voor de naleving van alle relevante wet- en regelgeving, het beheersen van de risico’s verbonden aan de ondernemingsactiviteiten en voor de financiering van de vennootschap. Het bestuur rapporteert hierover aan en bespreekt de interne risicobeheersing- en controlesystemen met de Raad van Commissarissen en zijn Auditcommissie.

Bestpracticebepaling II.1.3 en II.1.4

II.1.3 In de vennootschap is een op de vennootschap toegesneden intern risicobeheersing- en controlesysteem aanwezig. Als instrumenten van het interne risicobeheersing- en controlesystemen hanteert de vennootschap in ieder geval:

a) risicoanalyses van de operationele en financiële doelstellingen van de vennootschap; b) een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst;

c) handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures;

d) een systeem van monitoring en rapportering

12

II.1.4 In het jaarverslag verklaart het bestuur dat de interne risicobeheersing- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersing- en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat een en ander met de Auditcommissie en de Raad van Commissarissen is besproken.13

Uit bestpracticebepaling II.1.3 vloeien in ieder geval minimumvereisten voor te ontwikkelen activiteiten op het gebied van risicobeheersing voort:

het uitvoeren van risicoanalyses ten aanzien van de operationele en financiële doelstellingen het ontwikkelen en onderhouden van een gedragscode binnen de vennootschap

het ontwikkelen en onderhouden van handleidingen voor de inrichting van de financiële verslaggeving

het ontwikkelen en onderhouden van procedures voor financiële verslaggeving het ontwikkelen en onderhouden van een systeem van monitoring en rapportering

Net als SOx 302 vereist de Code Tabaksblat dat er in de vennootschap een adequaat en effectief risicobeheersing- en controlesysteem aanwezig is en dat het bestuur een onderbouwde verklaring geeft over de werking van de interne risicobeheersing. Het verschil tussen Tabaksblat en SOx is voornamelijk de reikwijdte van de verklaring die uiteindelijk wordt gegeven. Om tot een dergelijke uitspraak te komen zal het management activiteiten moeten ontplooien. Echter de Code Tabaksblat schrijft niet voor hoe het management tot die verklaring moet komen. Ook zijn er geen voorschriften hoe deze verklaring in het jaarverslag moet worden opgenomen. Het resultaat is intussen wel bekend; de gebruiker van het jaarverslag beschouwt het zoeken van deze verklaring als een odyssee die moet

13_{De Nederlandse corporate governance code, beginselen van deugdelijk ondernemingsbestuur en}

worden afgelegd om een eenduidig antwoord op de vraag te krijgen of de onderneming daadwerkelijk “in control” is14.

Tevens is het niet verplicht de verklaring betreffende interne risicobeheersing- en controlesystemen te laten controleren door een externe accountant. Dit laatste is wel verplicht voor ondernemingen die aan de SOx-wetgeving moeten voldoen. Ook de Engelse corporate governance code stelt deze verplichting. De functie van de controle door een externe expert is de extra stok achter de deur voor het afgeven van de verklaring over risicobeheersing- en controlesystemen. Uiteindelijk effect is vermindering van de onduidelijkheid over het al dan niet adequaat en effectief zijn van de risicobeheersing- en controlesystemen en vergroting van de geloofwaardigheid van deze verklaring. Kortom kunnen we stellen dat de waardering van de verklaring door de externe controle hoger is dan wanneer dit niet het geval zou zijn.

§ 2.4 Onderzoek monitoring commissie Frijns

In hun rapport over de naleving van de Nederlandse corporate governance code van december 2005 stelt de commissie Frijns dat de code in de praktijk goed bruikbaar is. Echter blijkt dat de code op 2 terreinen duidelijkheid te wensen over laat. Namelijk op het gebied van het beloningsbeleid en de verklaring betreffende interne risicobeheersing- en controlesystemen. Bestpracticebepaling II.1.4 behoort hierbij tot de categorie veelvuldig uitgelegde en niet nageleefde bestpracticebepalingen. In de regel wordt het toepassen van deze bepaling veel gecompliceerder is dan de andere bestpracticebepalingen. Beursvennootschappen en beleggerorganisaties hebben in dit geval ook aangegeven meer behoefte te hebben aan een leidraad met betrekking tot de verklaring van adequaatheid en effectiviteit.

14

Op beide gebieden worden dan ook aanbevelingen gedaan. Op het gebied van de verklaring betreffende interne risicobeheersing- en controlesystemen worden ten aanzien van financiële verslaggevingrisico’s, andere strategische/operationele risico’s en regel- en wetgevingsrisico’s wordt aangegeven wat van ondernemingen wordt verwacht.

§ 2.5 Conclusie

Met betrekking tot de invulling van de bestpracticebepalingen II.1.3 en II.1.4 wordt geconcludeerd dat er onder ondernemingen behoefte is aan een leidraad. De invulling van de verklaring over het al dan niet adequaat en effectief zijn van interne risicobeheersing- en controlesystemen is vrijblijvend. Het door de Commissie Tabaksblat beoogde doel van de “in control statement” en daarmee de effectiviteit van bestpracticebepaling II.1.3 en II.1.4 mist de kracht van onafhankelijke beoordeling.

Hoofdstuk 3 Enterprise Risk Management

§ 3.1 Inleiding

In het vorige hoofdstuk is ingegaan op de Code Tabaksblat en risicomanagement. Hieruit is naar voren gekomen dat de Code vaag blijft over de invulling van risicomanagement. Toch is er een houvast voor het management om tot een meer eenduidige verklaring te komen. Het door COSO ontwikkelde raamwerk, het Enterprise Risk Management (in het vervolg ERM) Framework, kan worden beschouwd als leidraad voor het risicomanagement van een onderneming om te voldoen aan de minimumvereisten die bestpracticebepaling II.1.3 voorschrijft. Juist dit raamwerk gaat in op de verantwoordelijkheid van het management op de naleving van alle relevante wet- en regelgeving, het beheersen van de risico’s verbonden aan de ondernemingsactiviteiten en de financiële doelstellingen van de vennootschap. Ter bevordering van de eenduidigheid van de verklaring over de werking van het interne risicobeheersing- en controlesysteem in het jaarverslag dient dit raamwerk in zijn geheel te worden toegepast.

In dit hoofdstuk wordt het proces van risicomanagement aan de hand van het ERM raamwerk onder de Code Tabaksblat besproken. Voor een toelichting op dit raamwerk zie bijlage 4. Verder wordt een link gelegd met de verklaring die uiteindelijk uit dit proces voortvloeit. Het proces van risicomanagement wordt aan de hand van het Enterprise Risk Management raamwerk behandeld. Paragraaf 3.1 beschrijft de functie die het ERM raamwerk voor het risicomanagement van ondernemingen kan vervullen. In paragraaf 3.2 wordt ingegaan op de noodzaak van risicomanagement. Paragraaf 3.3 behandelt de voordelen en paragraaf 3.4 de definitie van risicomanagement. Doelen en componenten van het ERM raamwerk worden in combinatie met de managementcyclus in paragraaf 3.5 belicht. Paragraaf 4 geeft een inleiding op de verklaringen over het effectief en adequaat zijn van risicobeheersing- en controlesystemen onder de Code Tabaksblat.

§ 3.2 Functie van het raamwerk

Het ERM raamwerk voorziet in de behoefte van het ondernemingsmanagement aan houvast binnen risicomanagement. Dit raamwerk biedt geïntegreerde principes, een gemeenschappelijke terminologie en vormt een praktische leidraad die organisatie-eenheden ondersteunt bij het implementeren van te ontwikkelen risicomaatregelen of het benchmarken van het huidige risicomanagement proces. Het raamwerk biedt hiernaast een gemeenschappelijke basis voor het management, overheden, academici en anderen om risicomanagement, de voordelen en inherente tekortkomingen, beter te begrijpen. De gemeenschappelijke basis zorgt voor minder ambiguïteit over risicomanagement. Het verhoogde begrip voor risicomanagement ondersteunt het management bij eenduidige communicatie met de buitenwereld.

§ 3.3 Noodzaak van risicomanagement·

Het onderliggende doel van enterprise risk management is dat elke organisatie, of het nu een op winstmaximalisatie gerichte onderneming, not-for-profit organisatie of overheidsinstelling, is dat het gericht is op het creëren van waarde voor zijn belanghebbenden. Waarde creëren slaat dus niet alleen op het maximaliseren van winst voor aandeelhouders. Alle eenheden hebben met onzekerheden te maken. De uitdaging voor het management is het bepalen hoeveel onzekerheid zij wil accepteren bij het nastreven van waardecreatie voor belanghebbenden. Onzekerheden brengen risico´s en kansen met zich mee die waardecreatie kan belemmeren of vergroten. Het ERM raamwerk biedt het management de gelegenheid om onzekerheden en de daarmee samenhangende risico´s en kansen te beheersen teneinde meer waarde te creëren.

Onzekerheden worden veroorzaakt in omgevingen waar factoren als globalisatie, technologische veranderingen, reorganisaties, veranderende markten, concurrentie en in dit geval veranderende wetgeving een rol spelen. Onzekerheden vloeien voort uit de onkundigheid om exact de kans op een potentiële gebeurtenis en de daarmee samenhangende uitkomsten vast te stellen.

Waarde wordt gecreëerd, behouden of vernietigd door management beslissingen op strategisch niveau tot op het operationele niveau. Inherent aan de beslissingen die door het management worden genomen zit een erkenning van risico´s en kansen. Het management houdt hierbij rekening met informatie over de omgeving. Naar gelang de veranderende omstandigheden worden middelen en activiteiten aangewend door het management om aan de eisen van de omgeving te voldoen.

Organisaties creëren waarde doordat belanghebbenden merkbare voordelen genieten van de activiteiten van deze organisaties. Deze voordelen van waardecreatie monden uit in voordelen voor aandeelhouders door een stijging van de waarde van het aandeel, voor overheden door de naleving van wet en regelgeving en sociale plannen. Kortom Enterprise Risk Management ondersteunt het management om waarde te creëren en te communiceren richting de belanghebbenden.

§ 3.4 Voordelen ERM

Niet één organisatie opereert in een risicovrije omgeving. Enterprise risk management dient niet te worden gezien als een middel dat deze risicovrije omgeving verwijdert. Wel zorgt Enterprise risk management voor een meer effectief functioneren van het management in omgevingen met risico´s.

Enterprise Risk Management voorziet in de behoefte om strategie en het risico dat het management wil nemen bij het nastreven van de ondernemingsdoelstellingen op elkaar af te stemmen. Daarnaast legt Enterprise risk management de link tussen groei van de onderneming en de risico´s. Het nemen van risico´s moet gezien worden als waardecreatie en waardebehoud. Door middel van ERM kan het management beter risico´s identificeren en de te accepteren niveaus van risico vaststellen in het nastreven van groei en winstdoelstellingen. Verder zorgt ERM voor een betere `risk response`. Door middel van de methoden en technieken, als risicoanalyses en kosten-batenanalyses kan ervoor worden gekozen om risico´s te ontwijken, te reduceren, te delen of zelfs te accepteren. Hierdoor worden verrassingen op operationeel gebied en de gerelateerde verliezen tot een minimaal niveau gebracht.

Management dient niet alleen de individuele risico´s te identificeren en te managen. Er dient rekening te worden gehouden met de risico´s die onderling met elkaar samenhangen. Op deze manier kan het management zo geïnformeerd mogelijk beslissingen maken over de risk response. Potentiële gebeurtenissen dienen door het management in kaart te worden gebracht. Het in kaart brengen van een reeks potentiële gebeurtenissen ondersteunt het management om kansen te identificeren. Meer informatie over de totale risico´s van een onderneming stelt het management in staat om de kapitaalbehoefte vast te stellen en kapitaal toe te wijzen.

§ 3.5 Definitie risicomanagement

De definitie die COSO geeft aan risicomanagement is de volgende:

Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.15

Een hele mond vol, maar ook met reden. De definitie bestaat uit een aantal fundamentele concepten. Ten eerste is ERM een proces om een doel te bereiken en niet een doel op zich. Ten tweede is ERM niet alleen risicobeleid van het hogere management, maar heeft het betrekking op mensen op alle niveaus binnen de organisatie. Tevens wordt ERM toegepast in de strategievorming. Ten derde is ERM ontworpen om gebeurtenissen te identificeren die mogelijk de organisatie(eenheid) kunnen beïnvloeden. De met de geïdentificeerde gebeurtenissen samenhangende risico´s kunnen binnen de “risk appetite” worden gemanaged. De risk appetite staat voor het risico dat het management wil nemen bij het nastreven van de ondernemingsdoelstellingen. Uitkomst van het raamwerk is dat het

15

management een redelijke mate van zekerheid verschaft over het bereiken van de ondernemingsdoelstellingen. De ondernemingsdoelstellingen worden ingedeeld in vier categorieën welke in paragraaf 3.5 worden behandeld. De fundamentele concepten kunnen in verschillende soorten organisaties worden toegepast voor het managen van risico´s.

§ 3.6 Betekenis voor het bestuur

Het bestuur van een onderneming is eindverantwoordelijke voor het bedrijfsbrede risicomanagement. Meer dan wie dan ook binnen de organisatie wordt de tone at the top gezet door het bestuur16. Deze tone at the top heeft een significante invloed op de integriteit, de ethiek en andere factoren binnen de organisatie die gezamenlijk de interne omgeving vormen. Voor de grote ondernemingen, veelal de beursgenoteerde, houdt dit in dat het topmanagement aan deze taak kan voldoen door leiderschap uit te stralen en richting aan te geven naar de senior managers en vervolgens het topmanagement toeziet op de manier waarop de senior managers hiermee omgaan. Op hun beurt dragen senior managers verantwoordelijkheid over aan het personeel voor het opstellen van meer specifiek risicobeleid en procedures binnen de business units. In kleinere ondernemingen is de invloed van het hoogste management meer direct. Naast het topmanagement zijn ook hoge staffunctionarissen van bijvoorbeeld de human resources afdeling, de financiële afdeling en ICT van wie de monitoring en control activiteiten plaatsvinden in de doorsnede van de organisatie.

§ 3.7 Verklaringen risicobeheersing

In de voorgaande paragrafen is de inhoud van de Code Tabaksblat met betrekking tot risicomanagement beschreven en het proces van risicomanagement aan de hand van het ERM raamwerk. In deze paragraaf wordt ingegaan op de uiteindelijke verklaring die uit dit proces zou moeten komen en de situatie in de praktijk. Aan de hand van een scoremodel (zie bijlage 1) worden scores gegeven aan jaarverslagen.

16

Om te voldoen aan de code Tabaksblat moet het bestuur van beursgenoteerde ondernemingen verklaren dat de interne risicobeheersing- en controlesystemen adequaat en effectief zijn en geeft het bestuur een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersing- en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat een en ander met de Auditcommissie en de Raad van Commissarissen is besproken.

Bestpracticebepaling II.1.3 stelt dat in de vennootschap een op de vennootschap toegesneden intern en controlesysteem aanwezig is. Als instrumenten van het interne risicobeheersing-en controlesystemrisicobeheersing-en hanteert de vrisicobeheersing-ennootschap in ieder geval:

 risicoanalyses van de operationele en financiële doelstellingen van de vennootschap;  een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst;

 handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures;

 een systeem van monitoring en rapportering

In de verklaring dient in ieder geval een uitspraak te zijn opgenomen over de opzet (adequaat) en werking (effectief) van risicobeheersing- en controlesystemen met minimaal deze instrumenten.

Echter geeft de Code Tabaksblat geen antwoord op wat toegesneden interne risicobeheersing- en controlesystemen zijn en wanneer deze systemen adequaat en effectief zijn. Ook de diepgang van de risicoanalyses is onbekend. Het ontwerp van het systeem van monitoring en rapportering en de wijze waarop het bestuur een onderbouwde rapportage kan geven over de werking gedurende het gehele verslagjaar is tevens onbekend.

Daarnaast kunnen er verklaringen in het jaarverslag zijn met betrekking tot andere facetten van risicobeheersing- en controlesystemen. Voor het belichten van andere facetten van deze systemen wordt gebruik gemaakt van het ERM raamwerk.

Aan de hand van het scoremodel worden scores gegeven aan de minimale vereisten die de Code stelt aan risicomanagement waarover uitspraken worden gedaan in jaarverslagen. Uitgangspunt voor dit scoremodel is de Code Tabaksblat. Het ERM raamwerk moet worden gezien als aanvulling op de minimumvereisten. Begrippen met betrekking tot risicomanagement zijn geoperationaliseerd. Dit houdt in dat bijvoorbeeld een begrip als risicobeheersing in een aantal zo concreet mogelijk meetbare termen wordt ter bevordering van de validiteit van het scoremodel. Datgene wat beoogt wordt gemeten te worden, zal dan ook beter gemeten worden. Bedoeling is dat de data die hieruit naar voren komt aan een analyse wordt onderworpen teneinde een oordeel te geven over de huidige stand van zaken omtrent risicomanagement. Kortom er wordt gekeken naar de output van het proces van risicomanagement uitmondend in een oordeel over instrumentele problemen en/of functionele problemen.

Om het adequaat en effectief zijn van risicobeheersing- en controlesystemen te onderzoeken, dient eerst te worden vastgesteld wat nu precies een adequaat en effectief risicobeheersing- en controlesysteem is. Ook dient vastgesteld te worden wat de gebruiker verwacht van een dergelijke verklaring en hoeveel waarde eraan kan worden gehecht. Vanwege de krantenartikelen en het onderzoek van de commissie Frijns over de invulling van de bestpracticebepalingen II.1.3 en II.1.4 is de verwachting dat uitspraken over het adequaat en effectief zijn van risicobeheersing- en controlesystemen uitspraken zijn, die de gebruiker in het ongewisse laten. De bevindingen worden in hoofdstuk 5 besproken.

Ter afsluiting van dit hoofdstuk wordt geconcludeerd dat risicomanagement binnen organisaties een veelomvattend begrip is en moet worden ondersteund door de gehele organisatie om effectief te zijn. Hulpmiddel bij het verkrijgen van redelijke zekerheid omtrent het behalen van de doelstellingen die onderhevig zijn aan risico’s is het door COSO gepubliceerde Enterprise Risk Management Framework. Implicatie voor het management is dat zij voldoende draagvlak dient te creëren voor Enterprise Risk Management. Om te voldoen aan de Code Tabaksblat moet minimaal aan een aantal eisen worden voldaan. De verwachting van gebruikers van jaarverslagen is dat bij de jaarlijkse verklaring over het adequaat en effectief zijn van risicobeheersing- en interne controlesystemen over deze instrumenten gerapporteerd wordt in het jaarverslag.

Hoofdstuk 4 Rating Agencies

Dit hoofdstuk behandelt de rol en invloed van rating agencies op de financiële markten. Tevens wordt er nader ingegaan naar welke aspecten van risicomanagement rating agency Standard & Poors kijkt.

§ 4.1 Ontwikkelingen de laatste jaren

In de wereld bevinden zich 3 internationaal erkende credit rating agencies: Standard & Poors, Moody’s Investor Service en in mindere mate Fitch ratings (voor meer achtergrondinformatie zie bijlage 2). Op aanvraag van ondernemingen, solicited rating, voorzien deze rating agencies ratings op verschillende gebieden bij het aangaan van leningen zowel in binnen- als buitenland. Tevens kan er sprake zijn van unsolicited ratings. De laatste jaren zijn in het bijzonder de ratings met betrekking tot bestuurskwaliteit toegenomen, de zogenaamde corporate governance ratings (in het kort CGR). Ter illustratie het volgende artikel17:

De Code Tabaksblat geldt alleen voor beursgenoteerde bedrijven, maar het is nu al duidelijk dat de onderliggende principes ook weerklank vinden bij niet-beursgenoteerde bedrijven en organisaties in de non-profit sector. De maatschappij vraagt om steeds meer transparantie en bescherming van haar belangen. Rating agencies zoals Standard & Poor’s ontwikkelen en publiceren inmiddels zelfs governanceratings met rapportcijfers voor de bestuurskwaliteit van ondernemingen.

Uit dit artikel komt naar voren dat er steeds meer draagvlak is voor transparantie met betrekking tot het voldoen aan de Code Tabaksblat. Het is niet ondenkbaar dat het voldoen aan de Code Tabaksblat wordt gebruikt als marketinginstrument voor ondernemingen om potentiële belanghebbenden aan te trekken. De cijfers voor het voldoen aan corporate governance worden uitgedeeld door de rating agencies. Wanneer het bestuur van een onderneming zich bewust is van de invloed van deze ratings, zal het alle moeite getroosten om deze ratings zo hoog mogelijk te laten zijn.

17

Hierin schuilt het gevaar van manipulatie van deze ratings. Aan de andere kant zijn deze ratings er juist om de discussie tussen belanghebbenden en het bestuur van ondernemingen te stimuleren18.

§ 4.2 Definitie rating agencies

Rating agencies zijn voor het eerst opgericht in Amerika. Later werden rating agencies ook opgericht in Europa. De diensten van deze rating agencies bestaan uit het analyseren van de kredietwaardigheid van bedrijven. De rating agencies onderzoeken belangrijke bedrijfskundige data en andere informatie over bedrijven om uiteindelijk de bedrijven te classificeren van AAA (de beste rating) tot D (de slechtste rating). Bedrijven als de Rabobank gebruiken de AAA status in reclamecampagnes ter versterking van het imago. Uiteindelijk voorzien rating agencies meningen over hoe effectief en winstgevend een bepaald bedrijf is en aan zijn verplichtingen kan voldoen. Factoren die in het algemeen bepalend zijn voor de rating zijn: winstgevendheid, liquiditeit, solvabiliteit, investeringsstrategie, bekwaam management etc. Bedrijven betalen deze rating agencies om een rating te verkrijgen.

§ 4.3 De invloed van rating agencies

Op financiële markten spelen credit ratings een belangrijke rol. Door ondernemingen en de financiële markten wordt de credit rating van groot belang geacht voor de financieringskosten. Zo blijkt uit een recente survey van Graham en Harvey (2001) dat onder Chief Financial Officers de credit rating van doorslaggevende betekenis te worden gevonden voor de bepaling van de financieringsstructuur door 57% van de CFO’s.

18

augustus 2004, Financieel Dagblad, Governance ratings zijn slechts een begin van goede informatie, B. van Beurden C. Visser

Deze credit ratings worden bepaald door de credit rating agencies, zoals de eerder genoemde Standard & Poors en Moody’s. Daarnaast bestaan een aantal niet veelzeggende kleinere agencies. De markt waarin de credit rating agencies zich begeven is dus een sterk geconcentreerde.

Credit ratings worden gebruikt door verschillende partijen in de financiële markten. Tevens zijn credit ratings geïntegreerd in de wet en regelgeving. Institutionele beleggers mogen vaak niet beleggen in bedrijven met een te lage credit rating. Basel II verplicht banken om een bepaalde hoeveelheid eigen vermogen aan te houden voor elke lening die wordt verstrekt. Deze aan te houden hoeveelheid eigen vermogen kan mede afhankelijk worden gemaakt van de credit rating. De Europese Centrale Bank maakt voor het bepalen van onderpand voor monetaire transacties gebruik van credit ratings. Kortom, de rol van rating agencies in financiële markten is er een van belang. De fundamentele vraag die A. W.A. Boot in zijn artikel van 13 december 2005 stelt is of credit ratings echte toegevoegde waarde hebben voor onderneming en/of beleggers.

§ 4.4 Informatieasymmetrie

Credit rating agencies zien zichzelf als verzamelaars van informatie. Het management van een onderneming heeft veelal betere informatie over de waarde van de onderneming dan de beleggers. Twijfels kunnen worden getrokken bij de geloofwaardigheid van de informatie die via het management wordt overgebracht naar de markt. Deze informatie is vaak moeilijk te verifiëren. Hierdoor onderscheiden bedrijven met goede informatie zich moeilijker van bedrijven met slechte informatie. De informatie tussen de markt en de onderneming is asymmetrisch. De functie die een rating agency zou kunnen vervullen is dat zij een onderneming screent en deze informatie wel geloofwaardig aan de markt brengt.

In het algemeen kunnen credit ratings het gedrag van marktpartijen beïnvloeden. In de theorie van Boot, Milbourn en Schmeits (2006) staat de coördinerende rol van rating agencies centraal. In hun theorie stellen zij dat rating agencies de gedragingen van beleggers kunnen coördineren en mobiliseren aan de hand van hun credit ratings. Mobiliseren kunnen credit rating agencies bijvoorbeeld door het afgeven van een niet-investment-grade. Vaak mogen bepaalde institutionele beleggers dan niet beleggen in dergelijke zaken door hun beleggingsrestricties of beperkingen door specifieke wet- en regelgeving.

Tussen credit rating agency en onderneming bestaat veelvuldig contact. Bij grote veranderingen in de onderneming kan het contact tussen de credit rating agency en onderneming worden geïntensiveerd door een credit watch procedure. De credit rating agency kan door middel van een credit watch procedure druk uitoefenen op de onderneming om corrigerende maatregelen te nemen om de rating te behouden. Doordat marktpartijen hun gedrag baseren op de credit rating wordt er een belang bij de onderneming gecreëerd om de eisen van de credit rating agency serieus te nemen.

§ 4.6 Bestaand empirisch onderzoek

Uit empirisch onderzoek Ederington, Yawitz en Roberts (1987) blijkt dat lagere ratings ook daadwerkelijk hand in hand gaan met hogere risicopremies. Daarnaast bestaat onderzoek naar de aankondigingeffecten van veranderingen in ratings. Conclusie van de onderzoeken van Holthausen en Leftwich (1986), Hand et al (1992), Goh en Ederington (1993), Ederington en Goh (1998) en Kliger en Sarig (2000) is dat downgrades een statistisch significant negatief effect hebben op de aandelenkoers.

Daarentegen wordt een significant positief effect van een verhoging van de credit rating niet gevonden. De Regultation Fair Disclosure, waarbij marktpartijen worden verplicht informatie publiek te maken, heeft er overigens wel voor gezorgd dat de informatieve waarde van credit ratings is

toegenomen. Uiteindelijk blijft het effect van een downgrade hoger dan dat van een upgrade volgens Jorion, Lui en Shi (2005).

Een downgrade kan verschillende oorzaken hebben. Ten eerste kan een downgrade veroorzaakt worden door een verandering in financiële vooruitzichten van een onderneming. Ten tweede kan deze downgrade veroorzaakt worden door een verandering in de financiële structuur van een onderneming. Er vindt dan een verschuiving van risico plaats van aandeelhouders naar verschaffers van vreemd vermogen. Een downgrade brengt in dit laatste geval geen koersreactie met zich mee, zoals blijkt uit onderzoek van Goh en Ederington.(1993).

§ 4.7 De beoordeling door Standard & Poors

Omdat Standard & Poors tot een van de meest voorname credit rating agencies is, wordt deze binnen dit onderzoek als maatgevend gezien. Standard & Poors legt de link tussen “credit quality” en corporate governance. Binnen de credit analyse richt Standard & Poors zich op elementen van corporate governance. Aldus Standard & Poors is het duidelijk dat zwakke corporate governance de kredietwaardigheid kan ondermijnen en als rode vlag of waarschuwingsindicator kan worden gezien voor credit analisten. Als recente voorbeelden van geïmpairde kredietwaardigheid geven zij:

Uncontrolled dominant ownership influence that applied company resources to personal or unrelated use.

Uncontrolled executive compensation programs.

Management incentives that compromised long-term stability for short-term gain.

Inadequate oversight of the integrity of financial disclosure, which resulted in heightened funding and liquidity risk.

Gebieden van corporate governance die worden beoordeeld door Standard & Poors zijn: ownership, control, management and organization, policies and strategies, information disclosure and financial transparency, intercompany and affiliated party transactions.

§ 4.8 Conclusie

In dit hoofdstuk is vastgesteld dat rating agencies een belangrijke invloed hebben op de financiële markten waarin ondernemingen zich bevinden. Tevens is vastgesteld dat aspecten van corporate governance door rating agency Standard & Poors worden beoordeeld. Het is niet ondenkbaar dat deze aspecten uiteindelijk invloed hebben op de waardering van ondernemingen. Echter op basis van informatie van het beoordelingsproces van rating agency Standard & Poors kan niet worden vastgesteld dat deze aspecten van risicomanagement beoordeeld.

Hoofdstuk 5 Onderzoeksresultaten Bestpracticebepalingen II.1.3 en II.1.4

Inleiding

In de komende paragrafen worden de onderzoeksresultaten die voorvloeien uit de enquête over bestpracticebepalingen II.1.3 en II.1.4 behandeld. Deze enquête beoogt op empirische wijze de eenduidigheid, tevredenheid en waarde van de verklaring betreffende de naleving van deze bestpracticebepalingen in jaarverslagen in kaart te brengen.

§ 5.1 Jaarverslagen

Met betrekking tot de verklaringen over bestpracticebepalingen II.1.3 en II.1.4 zijn verschillende jaarverslagen van beursgenoteerde ondernemingen geselecteerd. Dit onderzoek beperkt zich tot de ondernemingen genoteerd aan de Euronext te Amsterdam. De AEX index bestaat uit de 25 actiefste effecten en is de meest bekende. Van deze 25 actiefste effecten hebben we het jaarverslag van 10 verschillende ondernemingen gekozen. Om bias te voorkomen zijn jaarverslagen geselecteerd die niet tot de controleklanten van PricewaterhouseCoopers Accountants NV. behoren.

§ 5.2 Populatie

De populatie waar ik een uitspraak over wil doen zijn de meer dan gemiddelde gebruikers van jaarverslagen. Een meer dan gemiddelde gebruiker kan worden gezien als een persoon die kennis heeft van de Code Tabaksblat, de implicaties daarvan kent en kennis heeft van de klant. De omvang van deze populatie is eenvoudig genoeg niet in te schatten. Accountants kunnen op basis van hun kennis met betrekking tot de Code Tabaksblat beoordelen in hoeverre de verklaring omtrent de bestpracticebepalingen II.1.3 en II.1.4 een duidelijke dan wel onduidelijke weergave is van hetgeen vereist is volgens de Code Tabaksblat.

In de enquête wordt dus van de accountant, in dit geval de accountant van de internationale businessunit van PricewaterhouseCoopers Accountants NV. te Amsterdam, gevraagd in hoeverre de meer dan gemiddelde gebruiker de verschillende aspecten van de bestpracticebepalingen eenduidig kan interpreteren. Tevens wordt gevraagd in hoeverre de verklaring in zijn geheel naar tevredenheid is en welke waarde deze verklaring heeft.

§ 5.3 Steekproef

De omvang van de steekproef bestaat uit 20 enquêtes afgenomen bij verschillende personen binnen de internationale businessunit van PricewaterhouseCoopers Accountants NV. te Amsterdam. Van de 25 genoteerde ondernemingen aan de Euronext zijn er 10 verschillende jaarverslagen geselecteerd om een uitspraak te kunnen doen over de interpretatie van de verschillende aspecten betreffende de bestpracticebepalingen II.1.3 en II.1.4 en de tevredenheid en waardering van de verklaring als geheel. Omdat er meerdere van elkaar afwijkende steekproeven kunnen worden getrokken kunnen we ook andere steekproefgemiddelden verkrijgen. Er bestaat dus een kans dat we een hypothese ten onrechte accepteren en een kans dat we de hypothese ten onrechte verwerpen. Een uitspraak kan niet bestaan uit een conclusie dat een bewering c.q. hypothese absoluut juist dan wel onjuist is maar dat deze waarschijnlijk juist dan wel onjuist is.

§ 5.4 Inhoud enquête

Om te voldoen aan de code Tabaksblat moet het bestuur van beursgenoteerde ondernemingen verklaren dat de interne risicobeheersing- en controlesystemen adequaat en effectief zijn en geeft het bestuur een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersing- en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat een en ander met de Auditcommissie en de Raad van Commissarissen is besproken.

Bestpracticebepaling II.1.3 stelt dat in de vennootschap een op de vennootschap toegesneden intern en controlesysteem aanwezig is. Als instrumenten van het interne risicobeheersing-en controlesystemrisicobeheersing-en hanteert de vrisicobeheersing-ennootschap in ieder geval:

 risicoanalyses van de operationele en financiële doelstellingen van de vennootschap;  een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst;

 handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures;

 een systeem van monitoring en rapportering

In de verklaring dient in ieder geval een uitspraak te zijn opgenomen over de opzet (adequaat) en werking (effectief) van risicobeheersing- en controlesystemen met minimaal deze instrumenten. Echter geeft de code Tabaksblat geen antwoord op wat toegesneden interne risicobeheersing- en controlesystemen zijn en wanneer deze systemen adequaat en effectief zijn. Ook de diepgang van de risicoanalyses is onbekend. Het ontwerp van het systeem van monitoring en rapportering en de wijze waarop het bestuur een onderbouwde rapportage kan geven over de werking gedurende het gehele verslagjaar is tevens onbekend.

Daarnaast kunnen er verklaringen in het jaarverslag zijn met betrekking tot andere facetten van risicobeheersing- en controlesystemen. Voor het belichten van andere facetten van deze systemen wordt gebruik gemaakt van het Enterprise Risk Management raamwerk.

Aan de hand van deze enquête worden scores gegeven aan de minimale vereisten die de code stelt aan risicomanagement waarover uitspraken worden gedaan in jaarverslagen. Om het adequaat en effectief zijn van risicobeheersing- en controlesystemen te onderzoeken, dient eerst te worden vastgesteld wat nu precies een adequaat en effectief risicobeheersing en controlesysteem is. Ook dient vastgesteld te worden wat de gebruiker verwacht van een dergelijke verklaring en hoeveel waarde eraan kan worden

gehecht. De verwachting is dat uitspraken over het adequaat en effectief zijn van risicobeheersing- en controlesystemen de gebruiker in het ongewisse laten.

Wanneer er in een woordenboek wordt gekeken, staat adequaat veelal in beknopte zin omschreven als passend of overeenkomstig het doel. Een risicoanalyse binnen een onderneming moet dus daadwerkelijk passend zijn overeenkomstig de doelen van de organisatie. Effectief houdt in dat risicomanagement effect heeft en doeltreffend is. De verankering houdt in dat risicomanagement niet moet worden gezien als eenmalig project, maar continu wordt toegepast binnen de organisatie. Binnen de verklaringen die worden gegeven door het bestuur wordt aandacht besteed aan deze facetten die de kwaliteit van de verklaring vergroten.

§ 5.5 Aspecten bestpracticebepalingen

Op basis van de voorgaande paragraaf is de verwachting dat de aspecten van de bestpracticebepalingen onduidelijk zijn beschreven en onderbouwd in de jaarverslagen. Welke aspecten worden behandeld wordt geoperationaliseerd in subparagraaf 5.6.1. Tevens is de verwachting dat de geënquêteerden ontevreden zullen zijn over de verklaring in zijn geheel en deze laag waarderen.

§ 5.6 Hypotheses

In de volgende subparagrafen worden de beweringen met betrekking tot de verschillende aspecten, de tevredenheid en waardering van de verklaring in zijn geheel gemaakt op basis van de kennis van voorgaande hoofdstukken. De bewering die ik wil onderzoeken is de alternatieve hypothese, uitgedrukt als Ha. De ontkenning van deze bewering is de nulhypothese, uitgedrukt als H0. Concreet betekent dit dat wanneer het omschreven aspect een steekproefgemiddelde heeft van onduidelijk (waarde 5), in meerdere mate onduidelijk (waarde 4) of onduidelijk noch eenduidig (waarde 3) de onderzochte bewering dat de aspecten niet eenduidig worden beschreven en onderbouwd wordt geaccepteerd. Wordt H0 geaccepteerd dan wordt ervan uitgegaan dat het betreffende aspect duidelijk