Risicomanagement en Risicoverslaggeving
bij hogescholen in Nederland
Een explorerend onderzoek naar risicomanagement bij hogescholen en de
transparantie over risico’s in het jaarverslag van hogescholen ten behoeve van
belanghebbenden
Annelies ten Dolle
s1606360
juni 2011
Risicomanagement en Risicoverslaggeving
bij hogescholen in Nederland
Een explorerend onderzoek naar risicomanagement bij hogescholen en de
transparantie over risico’s in het jaarverslag van hogescholen ten behoeve van
belanghebbenden
Rijksuniversiteit Groningen
Faculteit Economie en Bedrijfskunde
Master Accountancy en Controlling
Afstudeerrichting Accountancy
Auteur: A.M. ten Dolle
Studentnummer: s1606360
Datum: juni 2011
Voorwoord
Voor u ligt de masterscriptie die voor mij de afsluiting vormt van de master Accountancy aan de Rijksuniversiteit Groningen. De scriptie gaat over risicomanagement en risicoverslaggeving bij hogescholen. Ik heb gekozen voor de onderwijssector, omdat dit mijns inziens een interessante sector is waar veel ontwikkelingen gaande zijn. Daarnaast is er nog weinig wetenschappelijke literatuur beschikbaar over risicomanagement bij hogescholen, waardoor deze scriptie hopelijk een waardevolle toevoeging vormt op de bestaande literatuur. Ik was erg nieuwsgierig naar de wijze waarop hogescholen omgaan met risicomanagement en heb daar in deze scriptie ook geprobeerd een beeld van te schetsen.
Ik wil graag mijn begeleider vanuit de Rijksuniversiteit Groningen, drs. M.M. Bergervoet bedanken voor zijn hulp tijdens het schrijven van de scriptie. Mede dankzij zijn kritische blik en adviezen is het mij gelukt deze scriptie tot een goed einde te brengen.
Daarnaast wil ik PwC bedanken voor de mogelijkheid die ze mij hebben geboden om de scriptie op kantoor Hengelo te schrijven. In het bijzonder wil ik mijn begeleiders vanuit PwC, drs. M.J.H. Degger RA en M.J. Beijerink MSc EMA, bedanken. Ook wil ik graag M.L. Wigger en drs. R. van Klinken RA bedanken voor hun hulp en de inzichten die ze me hebben gegeven in de onderwijssector.
Mijn dank gaat ook uit naar de hogescholen en specifiek naar de geïnterviewden van de hogescholen, voor hun medewerking aan de interviews.
Tot slot wil ik mijn familie, vriend, vrienden en studiegenoten bedanken voor hun steun en betrokkenheid tijdens mijn studie in Groningen!
Hengelo, juni 2011
Samenvatting
In navolging op onderzoeken met betrekking tot risicomanagement in de private sector, richt dit onderzoek zich op de semi-publieke sector en specifiek op bekostigde hogescholen in Nederland. De volgende centrale vraag vormt de basis voor dit onderzoek:
Hoe gaan hogescholen in Nederland om met risicomanagement, in welke mate rapporteren zij over risico‟s in het jaarverslag en welke waarde heeft deze risicoverslaggeving voor belanghebbenden?
Het onderzoek is opgedeeld in drie onderdelen die achtereenvolgens worden besproken en uiteindelijk moeten leiden tot een antwoord op de centrale vraag. Eerst is er een literatuurstudie uitgevoerd, waaruit onder andere naar voren komt dat risicomanagement integraal kan worden ingebed in de organisatie door middel van een risicomanagementsysteem. Een dergelijk systeem kan eraan bijdragen dat het management risico‟s die van belang zijn voor de organisatie en het behalen van doelstellingen kunnen bedreigen, onderkent, prioriteert en vervolgens analyseert en kan beheersen (Emanuels en de Munnik, 2006). Risicoverslaggeving hangt samen de verantwoording die het management aflegt over risicomanagement. Belanghebbenden eisen tegenwoordig steeds meer informatie omtrent de strategie, risicohouding en de verschillende risico‟s waarmee organisaties te maken hebben, zo geeft de Groot (2010) aan.
In totaal zijn er vijf semigestructureerde interviews afgenomen met een financiële persoon bij verschillende hogescholen. Uit de interviews komt naar voren dat hogescholen druk bezig zijn met de implementatie van risicomanagement. Hogescholen bevinden zich op dit moment nog in de beginfase wat betreft de implementatie van integraal risicomanagement. Alle hogescholen zullen nog verbeteringen moeten doorvoeren om te komen tot effectief risicomanagement. Deze conclusie komt overeen met de conclusie in het onderzoek van Paape et al. (2009). Met betrekking tot de verslaggeving over risico‟s geven de hogescholen aan dat zij er bewust voor kiezen om niet alle risico-informatie op te nemen in het jaarverslag. Gezien het feit dat hogescholen vrijwel alleen rapporteren over verplichte risico-informatie, zou je kunnen stellen dat hogescholen meer doen aan risicomanagement dan waar ze verslag over leggen.
Er zijn jaarverslagen van 38 hogescholen voor het jaar 2008 en 2009 onderzocht op risico-informatie. Dit onderzoek is uitgevoerd met behulp van een opgestelde vragenlijst met risico-elementen. Deze elementen zijn getracht uit de desbetreffende jaarverslagen te verkrijgen. Uit het jaarverslagonderzoek komt naar voren dat hogescholen over het algemeen de meeste risico-elementen in het jaarverslag noemen, maar dat een uitleg over deze elementen vaak ontbreekt. Alle 38 hogescholen rapporteren over de aanwezigheid van een Raad van Toezicht en geven de doelstellingen weer. Verder rapporteren de meeste hogescholen over het kwaliteitszorgsysteem, de belangrijkste risico‟s, de interne beheersmaatregelen en het uitgevoerde toezicht. Slechts enkele hogescholen nemen in hun jaarverslag informatie op over de risicohouding, de functies en verantwoordelijkheden omtrent risicomanagement en het risicomanagementsysteem.
Op basis het uitgevoerde jaarverslagonderzoek kan het volgende worden geconcludeerd. Hogescholen kunnen behoorlijke stappen maken in de verbetering van de risicoverslaggeving, waaronder het beter en vaker toelichten van risico-informatie en het overzichtelijker weergeven van risico-informatie. Ook moeten hogescholen volledig gaan rapporteren over de risico-elementen waarover zij verplicht verantwoordingen dienen af te leggen. Belanghebbenden kunnen op dit moment slechts in beperkte mate waarde ontlenen aan de risico-informatie in het jaarverslag. De risico-informatie die nu in jaarverslagen is opgenomen, vormt slechts een gedeeltelijk beeld van het risicomanagement dat een hogeschool toepast.
Inhoudsopgave
Voorwoord ...3 Samenvatting...4 Hoofdstuk 1: Inleiding ...8 1.1 Introductie onderwerp ...8 1.2 Relevantie ...8Hoofdstuk 2: Methodologische opzet ...10
2.1 Introductie ...10
2.2 Probleemstelling ...10
2.3 Theoretische verantwoording ...13
2.4 Methodische verantwoording ...13
2.5 Opbouw ...16
Hoofdstuk 3: Theoretisch Kader ...17
3.1 Corporate Governance ...17
3.1.1 Introductie ...17
3.1.2 Het begrip corporate governance ...17
3.1.3 Stakeholder theory ...17
3.1.4 Corporate governance in de publieke sector ...18
3.1.5 Corporate governance codes ...18
3.2 Risicomanagement ...19
3.2.1 Introductie ...19
3.2.2 Het begrip risicomanagement ...19
3.2.3 Risicomanagementsysteem ...19
3.2.3.1 Randvoorwaarden & doelstellingen ...19
3.2.3.2 Het proces ...20
3.2.3.3 Functies & verantwoordelijkheden ...21
3.2.4 Risicomanagement in de publieke sector ...21
3.3 Risicoverslaggeving ...22
3.3.1 Introductie ...22
3.3.3 Het begrip risicoverslaggeving ...23
3.3.4 Risicoverslaggeving in de private en publieke sector ...23
3.3.5 Wet- en regelgeving ...24
3.3.6 Risicoverslaggeving in het jaarverslag ...26
3.3.7 Elementen in het jaarverslag ...26
3.3.7.1 De aanwezigheid van een risicoparagraaf ...26
3.3.7.2 De risicohouding van de hogeschool ...26
3.3.7.3 Doelstellingen ...27
3.3.7.4 Het risicoprofiel van de hogeschool ...27
3.3.7.5 Kenbaar maken van risico‟s ...27
3.3.7.6 Gebruikmaken van risicocategorieën ...27
3.3.7.7 Interne beheersingsmaatregelen ...27
3.3.7.8 Branchecode governance ...27
3.3.7.9 Interne risicomanagementsysteem ...28
3.3.7.10 Functies en verantwoordelijkheden bij risicomanagement ...28
3.3.7.11 Evaluatie risicomanagementsysteem ...28
3.3.7.12 In-control verklaring ...28
3.4 Belanghebbenden ...29
3.4.1 Introductie ...29
3.4.2 Belanghebbenden van de hogeschool ...29
3.4.3 Informatiebehoefte van belanghebbenden ...29
Hoofdstuk 4: Resultaten ...31
4.1 Introductie ...31
4.2 Belangrijkste resultaten van het jaarverslagonderzoek ...31
4.3 Belangrijkste resultaten van de interviews ...33
4.4 Vergelijking resultaten van het jaarverslagonderzoek met de interviews ...34
Hoofdstuk 5: Conclusies ...36
5.1 Introductie ...36
5.2 Conclusies van het onderzoek ...36
5.2.1 Risicomanagement ...36
5.2.2 Risicoverslaggeving en de waarde hiervan voor belanghebbenden ...37
5.2.3 Eindconclusie ...39
5.3 Conclusies over het onderzoek ...40
Literatuurlijst...43
Bijlage 1: Lijst met hogescholen in Nederland ...48
Bijlage 2: Vragenlijst voor jaarverslagonderzoek ...49
Bijlage 3: Interviewschema ...51
Hoofdstuk 1: Inleiding
1.1 Introductie onderwerp
Door fraudeschandalen en de internationale crisis staat risicomanagement de afgelopen tijd weer volop in de belangstelling. Hoe kan het dat grote banken en andere financiële instellingen failliet zijn gegaan? Daarnaast rijst de vraag hoe het mogelijk was dat bedrijven als Enron en Worldcom op grote schaal fraude pleegden. Bij Enron was door een cultuur die was gefocust op niet ethisch handelen, intolerantie van fouten en een grote geneigdheid tot het nemen van risico‟s, geen adequaat risicomanagement mogelijk (Castelarhorst, 2005). Naar aanleiding van deze schandalen is risicomanagement en het rapporteren hierover door middel van risicoverslaggeving in grotere mate verplicht geworden. Deze verplichting tot verslaggeving kan volgens Deumes (2008) worden gerealiseerd door invoeren van wetgeving of het opstellen van best practice bepalingen. Seeger en Ulmer (2003) stellen in hun onderzoek dat openheid geven over problemen een essentieel punt is bij de communicatieverplichting van ondernemingen. Uit het voorgaande blijkt dat transparante risicoverslaggeving van belang is voor organisaties.
Risicomanagement is van toepassing op alle organisaties, zowel in de private als de (semi-)publieke sector. Zoals aangegeven door COSO (2004), is het doel van het risico raamwerk dat zij hebben opgesteld, het management van ondernemingen en andere entiteiten te helpen beter om te gaan met risico‟s die het behalen van doelstellingen bedreigen.
In de (semi-)publieke sector is risicomanagement nog een relatief nieuw begrip. Het risicomanagement is in deze sectoren daarom ook nog minder ontwikkeld dan in de private sector. Dit betekend echter niet dat risicomanagement voor organisaties die buiten de private sector vallen minder belangrijk is. Sterker nog, omdat vaak wordt omgegaan met overheidsgelden en er sprake is van een ruim maatschappelijk belang, is het juist van belang dat er een adequaat risicomanagement is. In een artikel van het Walters (2010) kwam naar voren dat een Vrije school in Amsterdam niet voldeed aan de eisen die gemeente Amsterdam stelde ten aanzien van de verbetering van de kwaliteit van het onderwijs. Het gedeelte van de subsidie die door de school niet rechtmatig is besteed wordt door de gemeente teruggevorderd, zo meldt Walters (2010).
De laatste jaren is de onderwijssector aan veranderingen onderhevig, onder andere de financiering van het onderwijs zal in de toekomst worden aangepast. Ook heeft deze sector te maken met problemen en imagoschade als gevolg van onder meer fraude in het onderwijs. Het NRC publiceerde op 12 juli 2010 het artikel: „Commissie onderzoekt fraude met diploma‟s InHolland‟. Daarnaast kwamen Accountancynieuws recentelijk met het volgende artikel: „Fraude Hogeschool InHolland met tentamens accountancy‟, waarin naar voren kwam dat er bij deze hogeschool was gefraudeerd met tentamens met betrekking tot het vakgebied accountancy. Bij de hogeschool van Utrecht zou ook tentamenfraude hebben plaatsgevonden zo meldde de Volkrant op 9 februari 2011. Deze krantenartikelen geven aan dat hogescholen te maken hebben met risico‟s, waaronder risico‟s tot fraude. Om in de toekomst dergelijke fraudes te voorkomen, zullen de hogescholen hun risicomanagement mogelijk beter moeten inrichten. De vraag die hierbij gesteld kan worden is: In hoeverre hebben hogescholen tot nu toe risicomanagement ingericht en in welke mate rapporteren ze over het risicomanagement?
1.2 Relevantie
Tot op heden is er in beperkte mate wetenschappelijk onderzoek gepubliceerd dat zich richt op risicomanagement en risicoverslaggeving (Linsley en Shrives, 2006; Deumes, 2008). Dat risicomanagement van belang is blijkt uit onderzoek van Droogsma (2009). Hij concludeert in zijn artikel dat slechts 13 procent van de ruim 100 respondenten aangeven te werken bij een onderneming waar sprake is van een goed werkend risicomanagementsysteem in het jaar 2007. Cotter (2008) geeft aan dat IBM onderzoek heeft verricht naar de relatie tussen de implementatie van risicomanagement en het succes van organisaties. De aanleiding voor dit onderzoek was dat veel, zelfs grote, organisaties te maken hebben met risico‟s, maar hier onvoldoende op inspelen. Paape et al. (2009) onderzochten de mate van risicomanagement bij organisaties in verschillende sectoren waaronder ook de overheidssector. In de publieke sector is minder onderzoek beschikbaar over risicomanagement dan in de private sector. Risicomanagement is ook actueel in deze sector. Door dit
onderzoek uit te voeren probeer ik inzicht te krijgen in de stand van zaken omtrent risicomanagement in de publieke sector, specifiek voor hogescholen.
De meeste onderzoeken omtrent risicoverslaggeving zijn verricht bij beursgenoteerde bedrijven. De oorzaak hiervan ligt in het feit dat code Tabaksblat alleen van toepassing is op beursgenoteerde ondernemingen (Monitoring Commissie Corporate Governance Code, 2008). Zo hebben Linsley en Lawrence (2007) onderzoek verricht naar risicoverslaggeving bij de 25 grootste niet-financieel beursgenoteerde bedrijven in Groot-Brittanië, onderzochten Lajili en Zéghal (2005) risicoverslaggeving in jaarverslagen bij bedrijven uit de Canadese TSE 300. Onder andere Abraham en Cox (2007) en Hill en Short (2009) hebben onderzoek verricht naar de kwantificering van risico‟s en toelichting op risico‟s in het jaarverslag. Deze onderzoekers richtten zich voornamelijk op specifieke risicocategorieën. Andere onderzoekers, waaronder Li (2006) en Deumes (2008) hebben de omschrijvingen van en relaties tussen risico‟s in respectievelijk jaarverslagen en prospectussen onderzocht. Beretta en Bozzolan (2004) concluderen in hun artikel dat de kwaliteit van de toelichting afhangt van de kwantiteit van de informatie en de mate waarin het aspect inhoudelijk wordt toegelicht. Soortgelijk onderzoek is vrijwel niet beschikbaar voor de publieke sector. Daarom zal ik me in dit onderzoek richten op risicoverslaggeving in deze sector.
Steffes (2009) geeft aan dat ook in de publieke sector informatie ontbreekt die stakeholders inzicht geeft in de risicoattitude van een organisatie. Uit onderzoek van Samkin en Schneider (2010) komt naar voren dat het jaarverslag door public benefit entities wordt gebruikt om de rechtmatigheid van hun beleid aan te tonen. Dit geeft aan dat belanghebbenden een belangrijke rol spelen bij publieke organisaties en dat zij ook inzicht willen hebben in de risico‟s van deze organisaties. Gordon et al. (2010) onderzochten de effectiviteit van jaarverslagen van organisaties in de non-profit sector. Bij het onderdeel full disclosure merkten zij op dat er in het jaarverslag voornamelijk sprake was van het afwerken van een checklist. Ik zal onderzoeken of hogescholen werkelijk rapporteren over verbeteringen en aanpassingen in risicomanagement, dat valt onder het brede kader van corporate governance.
Dit onderzoek draagt bij aan de bestaande literatuur over risicomanagement en risicoverslaggeving in de (semi-)publieke sector, door zich specifiek te richten op Nederlandse hogescholen. Deze hogescholen hebben sinds 2006 te maken met de branchecode governance (HBO-raad, 2006). In deze branchecode wordt aangegeven aan welke principes de hogescholen met betrekking tot corporate governance moeten voldoen. Hier valt ook het risicomanagement en de rapportage hierover onder. De vraag is in welke mate hogescholen gebruik maken van risicomanagement en risicomanagementsystemen. Daarnaast rijst de vraag in hoeverre hogescholen rapporteren over risico‟s in het jaarverslag, mede door het grotere belang dat hieraan wordt gehecht door de maatschappij en corporate governance codes. Zijn er verschillen waarneembaar in risicoverslaggeving in het jaarverslag van 2008 ten opzichte van de risicoverslaggeving in 2009?
Hoofdstuk 2: Methodologische opzet
2.1 Introductie
Risicomanagement is een onderwerp dat de afgelopen jaren in de belangstelling staat. Om grote fraudeschandalen te voorkomen zijn verschillende corporate governance codes ontwikkeld. Hierin zijn aanbevelingen opgenomen voor organisaties met betrekking tot bestuur en toezicht. In Nederland werd in navolging op het code Tabaksblat in 2006 de branchecode governance hogescholen ingevoerd.
Deze governance code heeft er mede toe geleid dat hogescholen meer aandacht besteden aan risicomanagement en risicoverslaggeving. Maar in hoeverre hogescholen risico‟s in kaart brengen en hier beheersingsmaatregelen voor implementeren is onduidelijk. Ook over de verslaggeving door hogescholen is weinig bekend. De doelstelling van dit onderzoek, die wordt besproken in de volgende paragraaf, zal proberen dit verder in kaart te brengen.
Nadat de gehele probleemstelling is besproken, volgt de theoretische en methodische verantwoording.
2.2 Probleemstelling
In deze paragraaf worden achtereenvolgens de doelstelling van het onderzoek, centrale vraag, conceptueel model en de deelvragen besproken.
Doelstelling van het onderzoek:
Door middel van het uitvoeren van dit onderzoek wordt geprobeerd inzicht te geven in de wijze waarop hogescholen omgaan met risicomanagement en in welke mate hogescholen rapporteren over risico‟s en risicomanagement in jaarverslagen van 2008 en 2009. Het doel van dit onderzoek is het geven van een eerste inzicht in de kwaliteit van het risicomanagement van en de risicoverslaggeving door hogescholen. Er wordt gekeken in hoeverre hogescholen risicomanagement hebben geïntegreerd in de organisatie en welk beleid met betrekking tot risicomanagement zij hanteren. Daarnaast is het belangrijk om te weten welke richtlijnen hogescholen hanteren bij de risicoverslaglegging en wat hun redenen zijn om bepaalde informatie al dan niet te rapporteren in het jaarverslag. Uit het jaarverslag van de hogeschool wordt geprobeerd de risico-informatie te verkrijgen waarover is gerapporteerd. Aan de hand van het verkregen inzicht over risicomanagement en risicoverslaggeving kunnen ook verschillen tussen risicomanagement en risicoverslaggeving worden aangegeven.
Risico-informatie kan van waarde zijn voor belanghebbenden van een hogeschool, zoals studenten en werknemers. Deze personen zijn betrokken bij de hogeschool en nemen bepaalde beslissingen op basis van informatie in een jaarverslag. Een aankomende student bijvoorbeeld kan mede op basis van informatie in het jaarverslag van een hogeschool besluiten om zich daar al dan niet aan te melden als student. Dit onderzoek heeft ook als doel inzichtelijk te maken welke informatiewaarde de risico-informatie in het jaarverslag voor deze belanghebbenden heeft. Er wordt dus gekeken of belanghebbenden wat aan de risico-informatie kunnen hebben bij het maken van beslissingen en of zij door middel van het jaarverslag informatie verkrijgen over de kwaliteit van het risicomanagementsysteem van de hogeschool.
Uit de doelstelling kan de volgende centrale vraag worden opgesteld:
Hoe gaan hogescholen in Nederland om met risicomanagement, in welke mate rapporteren zij over risico‟s in het jaarverslag en welke waarde heeft deze risicoverslaggeving voor belanghebbenden?
Het conceptueel model op pagina 11 geeft het onderzoeksproces van dit onderzoek weer. In de figuur is te zien dat er in dit onderzoek verschillende relaties te onderkennen zijn. Ten eerste is er een causaal verband (aangegeven door middel van een pijl) tussen corporate governance en wet- en regelgeving, risicomanagement en risicoverslaggeving. Corporate governance heeft ertoe geleid dat er nieuwe wet- en regelgeving is opgesteld voor organisaties. Zo zijn er de afgelopen jaren verschillende corporate governance codes opgesteld waarin wordt aangegeven waar de corporate governance aan dient te voldoen. Verder is risicomanagement een
belangrijk onderdeel van het „brede‟ corporate governance (Lajili en Zéghal, 2005). Risicoverslaggeving is deelproces binnen corporate governance, zo geeft Bossert (2003) aan. Een organisatie dient als onderdeel van corporate governance verantwoording af te leggen over onder andere het gevoerde beleid.
De kennis over corporate governance zal in dit onderzoek gebruikt worden als inleiding op de onderwerpen die behandeld zullen worden, namelijk risicomanagement en risicoverslaggeving. Daarnaast wordt de kennis over corporate governance gebruikt om een zo volledig mogelijk antwoord op de centrale vraag te kunnen geven.
Figuur 1: Conceptueel model onderzoeksproces
In dit onderzoek staan risicomanagement bij hogescholen, net als risicoverslaggeving door hogescholen aan belanghebbenden centraal. In het onderzoek wordt gekeken welke personen en/of groepen, zoals studenten en werknemers, informatie willen verkrijgen over het gevoerde beleid van de hogeschool en welke informatie deze personen van de hogeschool willen ontvangen. Wet- en regelgeving is een andere component die in dit onderzoek wordt belicht, omdat wet- en regelgeving gevolgen kan hebben voor risicomanagement en risicoverslaggeving.
Risicoverslaggeving vloeit voort uit risicomanagement. In het onderzoek zal worden uitgezocht hoe hogescholen omgaan met risicomanagement. Er wordt in dit onderzoek geprobeerd inzicht te geven in het beleid dat hogescholen omtrent risicomanagement toepassen. Daarnaast wordt gekeken in hoeverre hogescholen rapporteren over hun risicomanagement in het jaarverslag. De jaarverslagen van 2008 en 2009 zullen gebruikt worden als basis voor de risicoverslaggeving. Uit deze jaarverslagen wordt informatie over risico‟s gehaald. De redenen van hogescholen voor de verslaggeving over risico‟s, worden ook geprobeerd te achterhalen.
Risicomanagement en verslaggeving daarover worden beïnvloed door wet- en regelgeving. In de branchecode governance zijn aanbevelingen opgenomen met betrekking tot risicomanagement en de rapportage hierover. In het onderzoek zal worden bekeken in welke mate hogescholen gebruik maken van deze aanbevelingen rond hun beleid omtrent risicomanagement en risicoverslaggeving. Mogelijk hebben hogescholen hun risicomanagementbeleid aangescherpt als gevolg van de aanbevelingen in de branchecode governance. Als er hogere eisen worden gesteld aan de risicoverslaggeving dan zullen hogescholen, willen zij hieraan voldoen, mogelijk ook verbeteringen in hun risicomanagement moeten aanbrengen.
Wet- en regelgeving Risicomanagement
Risicoverslaggeving
Belanghebbenden Corporate governance
Het jaarverslag van vrijwel alle scholen is openbaar. Dit geeft aan dat de personen die bij een hogeschool zijn betrokken de mogelijkheid hebben om het jaarverslag in te zien. Deze betrokkenen of belanghebbenden maken beslissingen mede op basis van informatie in het jaarverslag van een hogeschool. In het onderzoek wordt getracht inzichtelijk te maken in welke mate het jaarverslag risico-informatie bevat en in welke mate deze informatie van waarde kan zijn bij beslissingen die belanghebbenden maken.
Verder wordt in het onderzoek bekeken, aan de hand van de jaarverslagen en de interviews, of er verschillen zijn waar te nemen tussen risicoverslaggeving door hogescholen en het werkelijke beleid dat zij hanteren omtrent risicomanagement.
De centrale vraag kan worden beantwoord aan de hand van de volgende deelvragen:
1. Wat houdt corporate governance in?
2. Wat is de relatie tussen corporate governance en risicomanagement? 3. Wat is de relatie tussen corporate governance en risicoverslaggeving? 4. Wat zijn corporate governance codes?
5. Wat houdt risicomanagement in? 6. Wat houdt risicoverslaggeving in?
7. Welke wet- en regelgeving met betrekking tot risicomanagement en risicoverslaggeving is van toepassing op hogescholen? Wat houdt de branchecode governance hogescholen in?
8. Welke eisen stelt de branchecode aan het risicomanagement en de risicoverslaggeving?
9. Op welke wijze wordt door hogescholen gebruik gemaakt van de branchecode governance bij de risicoverslaggeving?
10. Welke belanghebbenden zijn er te onderscheiden bij een hogeschool en welke informatie willen zij verkrijgen uit een jaarverslag?
11. Welk beleid met betrekking tot risicomanagement hanteren hogescholen en in hoeverre maken zij gebruik van een risicomanagementsysteem?
12. In hoeverre geven hogescholen inzicht in hun risicomanagement aan belanghebbenden door middel van rapportage in het jaarverslag?
2.3 Theoretische verantwoording
De literatuur die voor dit onderzoek is gebruikt bestaat in hoofdlijnen uit literatuur met betrekking tot corporate governance, risicomanagement en risicoverslaggeving. In het onderzoek wordt eerst corporate governance besproken, daarna risicomanagement en vervolgens risicoverslaggeving. Op deze wijze wordt eerst een algemeen beeld geschetst en daarna steeds dieper op het onderzoek ingegaan. De paragrafen van het theoretisch kader zijn op dezelfde wijze ingedeeld. Eerst wordt het begrip uitgelegd. Vervolgens komen zowel voorgaand onderzoek als onderzoek dat specifiek is verricht in de publieke sector aan bod.
Corporate governance is een ruim begrip. Een onderwerp dat valt onder corporate governance is risicomanagement. Een theorie binnen corporate governance is de stakeholder theory (Abdullah en Valentine, 2009). Deze theorie wordt besproken, omdat deze duidelijk de relatie tussen het bestuur van een organisatie en zijn belanghebbenden weergeeft. Publieke organisaties, waaronder hogescholen, hebben in belangrijke mate te maken met belanghebbenden. Daarom is het noodzakelijk dat zij weten wie hun belanghebbenden zijn en wat hun behoeften zijn. Nadat deze theorie is behandelt wordt ingegaan op corporate governance in de publieke sector ook wel public governance genoemd (Bossert, 2003). Dit gebeurt omdat corporate governance in de publieke sector kan afwijken van de private sector. In Nederland zijn er verschillende branchespecifieke governance codes ontwikkeld. Voor hogescholen is dit de branchecode governance (HBO-raad, 2006). Deze branchecode geeft ook aanbevelingen voor risicomanagement en verslaggeving over risico‟s en vormt daarmee een koppeling naar de volgende paragraaf over risicomanagement. Naast de branchecode zijn ook de Richtlijnen voor de Jaarverslaggeving, de Wet op het Hoger onderwijs en Wetenschappelijk onderzoek (WHW) en Titel 9 van Burgerlijk Wetboek deel 2, van belang voor hogescholen.
Risicomanagement wordt beschreven aan de hand van artikelen van onder andere Emanuels en de Munnik (2006) en COSO (2004) die aangeven hoe risicomanagement kan worden ingericht. Zij geven aan dat een risicomanagementsysteem bestaat uit verschillende stappen/ elementen die moeten worden doorlopen om zo tot een integraal proces van risicomanagement te komen. Voor de interviews en het jaarverslagonderzoek is het van belang om te begrijpen wat risicomanagement inhoudt en dat het mogelijk is risicomanagement op verschillende manieren in te richten. Pas dan kan een goed inzicht worden gekregen in de toepassing van risicomanagement door hogescholen. Over bepaalde elementen van risicomanagement zal door hogescholen worden gerapporteerd. In dit onderzoek wordt getracht aanwijzingen voor redenen achter het al dan niet rapporteren over risico‟s te verkrijgen. Deze elementen worden hier al enigszins belicht, waarna ze verder worden besproken in de paragraaf over risicoverslaggeving.
Risicoverslaggeving kan vrijwillig of verplicht zijn. Daarnaast zijn er verschillende middelen te gebruiken bij verslaggeving. In dit onderzoek wordt alleen het jaarverslag van een hogeschool onderzocht. Voorgaand onderzoek van onder andere Abraham en Cox (2007), Deumes (2008) naar risicoverslaggeving wordt gebruikt om te bekijken wat de bevindingen zijn en welke implicaties deze bevindingen kunnen hebben voor de verslaggeving door hogescholen. Ook wordt gekeken met welke belanghebbenden een hogeschool te maken heeft en wat de informatiebehoefte van deze belanghebbenden is. Er zal onder andere aandacht worden besteed aan de door de HBO-raad opgestelde handreiking voor een horizontale dialoog. Tot slot wordt literatuur met betrekking tot de risicoparagraaf in het jaarverslag behandeld.
2.4 Methodische verantwoording
Dit onderzoek is een explorerend onderzoek. Dit houdt in dat er over het onderwerp in de literatuur nog niet veel bekend is. Door middel van dit onderzoek wordt geprobeerd inzicht te geven in de mate waarin hogescholen over hun risico‟s rapporteren. Daarnaast wordt getracht een eerste inzicht te geven in de wijze waarop hogescholen omgaan met risicomanagement. Mogelijk bestaan er verschillen tussen het risicomanagement dat een hogeschool toepast en de rapportering hierover in het jaarverslag. Indien dit het geval is zal er in de toekomst aanvullend onderzoek kunnen plaatsvinden om verder uit te zoeken of dit inderdaad het geval is en wat de oorzaak hiervan is. Belanghebbenden bij een hogeschool willen graag informatie over risico‟s die spelen bij de hogeschool. Het is dan ook in hun belang dat hogescholen transparant en helder zijn over risico‟s en risicomanagement. In welke mate dit gebeurd is de vraag en in dit onderzoek wordt hier een eerste beeld van geschetst.
Er kan een indeling voor het onderzoek worden gemaakt in drie delen, namelijk een literatuuronderzoek, jaarverslagonderzoek en kwalitatief onderzoek door het afnemen van interviews. Het verrichten van het voorgaande onderzoek is erop gericht informatie te verzamelen, zodat de deelvragen en uiteindelijk de centrale vraag, kunnen worden beantwoord.
Literatuuronderzoek wordt verricht ten aanzien van de onderwerpen die zijn belicht in de voorgaande paragraaf „theoretische verantwoording‟. Op basis van het literatuuronderzoek wordt getracht informatie te verzamelen voor alle deelvragen. Het literatuuronderzoek vormt voornamelijk de basis voor de deelvragen 1 t/m 8 en deelvraag 10. De theorie zal een eerste inzicht geven in risicomanagement bij en risicoverslaggeving door hogescholen. Eerst wordt in de theorie gekeken wat daar bekend is over het onderwerp en vervolgens wordt de praktijk bestudeerd. Hierdoor wordt het mogelijk om de theorie en praktijk te vergelijken en eventuele verschillen inzichtelijk te maken.
Het tweede deel van het onderzoek bestaat uit onderzoek naar jaarverslagen. In totaal zijn er in Nederland 41 bekostigde hogescholen, zo geeft de HBO-raad aan. Een lijst met alle bekostigde hogescholen in Nederland is te vinden in bijlage 1. Deze hogescholen maken niet allemaal een eigen jaarverslag openbaar. De CAH Dronten en Stoas Hogeschool vormen samen met het Groenhorst College en Groenhorst Praktijkonderwijs, de Aeres Groep. Voor de CAH Dronten en de Stoas Hogeschool houdt dit in dat ze een gezamenlijk jaarverslag publiceren. Deze hogescholen zijn wel elk apart meegenomen in het onderzoek, aangezien enkele onderdelen van het jaarverslag specifiek op één hogeschool van toepassing zijn. Daarnaast bestaat de Hogeschool der Kunsten Den Haag uit twee faculteiten, die ook gezamenlijk een jaarverslag openbaar maken. De Hogeschool Utrecht en Hogeschool Domstad zijn per 1 september 2010 gefuseerd. Omdat hogeschool Domstad per 2010 niet meer als zelfstandige Hogeschool opereert, is besloten de jaarverslagen van 2008 en 2009 van deze hogeschool buiten beschouwing te laten. Er zijn dan 39 jaarverslagen van Nederlandse hogescholen over voor het onderzoek.
De jaarverslagen van de scholen zijn zoveel mogelijk geprobeerd via internet te verkrijgen. Indien ze niet online beschikbaar waren, is het desbetreffende jaarverslag van de hogeschool opgevraagd. Uiteindelijk is het niet gelukt de jaarverslagen van de Katholieke Pabo in Zwolle te bemachtigen. Deze hogeschool is daarom in het onderzoek buiten beschouwing gelaten. Dit draagt eraan bij dat de totale steekproef in dit onderzoek voor zowel 2008 als 2009 bestaat uit jaarverslagen van 38 hogescholen. De steekproef voor beide jaren samen is dan gebaseerd op 76 jaarverslagen.
Uit de jaarverslagen wordt getracht een aantal elementen te verkrijgen. Deze elementen zijn gekozen op basis van de literatuur over risicomanagement en risicoverslaggeving. De geldende wet- en regelgeving en dan voornamelijk de eisen die de branchecode governance stelt, zijn ook bepalend geweest bij het kiezen van de elementen en het opstellen van de vragenlijst voor het jaarverslagonderzoek. De vragenlijst is opgesteld op basis van de elementen die in paragraaf 3.3.7 zijn genoemd. De volledige vragenlijst die is gebruikt voor dit onderzoek is opgenomen in bijlage 2. Per vraag is het voor een hogeschool mogelijk een aantal punten te scoren. Voor een aantal vragen is gebruik gemaakt van de nominale schaal, hier gaat het om vragen waar alleen met „ja‟ of „nee‟ kan worden geantwoord. Voor de andere vragen is gebruik gemaakt van een ordinale schaal. De mogelijke antwoorden op de vragen worden dan ingedeeld in categorieën die op een logische volgorde worden geordend (Smits en Edens, 2006). In dit onderzoek is gekozen voor vier antwoordmogelijkheden, omdat op deze wijze rapportageverschillen met betrekking tot risicomanagement tussen hogescholen eerder naar voren komen. Tabel 1 geeft een voorbeeld van de puntenverdeling per mogelijk antwoord voor een aantal vragen.
Op basis van de verkregen antwoorden op de vragen uit de vragenlijst, wordt geprobeerd inzichtelijk te maken in hoeverre hogescholen rapporteren over risicomanagement in het jaarverslag van 2008 en 2009. Het jaarverslagonderzoek draagt voornamelijk bij aan een antwoord op de deelvragen 6, 11 en 12. Uit het jaarverslag kan informatie over het al dan niet hanteren van een risicomanagementsysteem worden verkregen. Daarnaast kan op basis van dit onderzoek worden gekeken of andere elementen van risicomanagement zijn opgenomen in het jaarverslag van een hogeschool. Hierbij kan aandacht worden geschonken aan de duidelijkheid/helderheid van de verslaglegging. Ook kan worden bekeken of punten van de branchecode
governance worden besproken in het jaarverslag (deelvraag 7 en 8). Tot slot kunnen verschillen in risicoverslaggeving in de jaarverslagen tussen 2008 en 2009 naar voren worden gebracht.
Tabel 1: Puntenverdeling vragen jaarverslagonderzoek
Naast het literatuuronderzoek en het jaarverslagonderzoek, wordt een vijftal interviews afgenomen. Een financieel directeur, controller of andere financieel persoon die zich bezighoudt met risicomanagement binnen de hogeschool, kan informatie verschaffen over hoe de hogeschool risicomanagement heeft opgezet en ingebed in de organisatie. Deze persoon kan meer informatie geven over het gehanteerde beleid met betrekking tot risicomanagement binnen de hogeschool. Daarnaast beschikt deze persoon over informatie met betrekking tot verbeteringen en evaluaties omtrent risicomanagement.
Op basis van de interviews die worden afgenomen, wordt geprobeerd een eerste beeld te schetsen van de manier waarop hogescholen omgaan met risicomanagement. En waarom zij voor een bepaalde manier van handelen met betrekking tot risicomanagement en risicoverslaggeving kiezen. Door in gesprek te gaan met mensen die zelf in de praktijk te maken hebben met risico‟s, het managen hiervan en een veranderende omgeving, kunnen mogelijke verschillen met de theorie worden ontdekt. De interviews geven voornamelijk inzicht in het beleid dat hogescholen omtrent risicomanagement hanteren (deelvraag 11). In de meeste gevallen heeft een financieel directeur of controller een beter inzicht in het risicomanagementsysteem, de aanpassingen die zijn aangebracht in het systeem en tekortkomingen die het systeem heeft gehad, dan het management. Zo blijkt uit navraag bij enkele hogescholen. Dit is de reden voor de keuze van het afnemen van een interview met de controller of andere financieel persoon binnen de hogeschool.
Verder kan uit de interviews informatie worden verkregen over de wijze waarop hogescholen omgaan met risicorapportage en wat de redenen van hogescholen hierachter zijn (deelvraag 12). Ook kan uit interviews naar voren komen in welke mate hogescholen gebruik maken van aanbevelingen uit de branchecode governance (deelvraag 8 en 9). De interviewvragen zijn mede op basis van de vragenlijst voor het jaarverslagonderzoek opgesteld. De informatie uit de interviews kan worden vergeleken met de uitkomsten van het jaarverslagonderzoek, zo wordt het mogelijk verschillen tussen het toepassen van risicomanagement bij de hogeschool en de verslaggeving van de hogeschool over risicomanagement te ontdekken.
In dit onderzoek is gekozen voor het afnemen van vijf mondelinge interviews. De reden hiervoor is dat het binnen de gestelde tijd niet haalbaar is om een interview af te nemen bij alle hogescholen in Nederland. Baarda en de Goede (2001) geven aan dat voordelen van een mondeling interview zijn dat onduidelijke vragen en/of antwoorden direct uitgelegd kunnen worden en dat mensen tijdens een gesprek eerder geneigd zijn om een uitgebreid antwoord te geven dan bij een schriftelijk interview.
Bij het afnemen van de interviews wordt gebruik gemaakt van de interviewvorm semi-vrij gesprek/ halfgestructureerd vraaggesprek. Bij dit soort interview wordt gewerkt met een aantal richtinggevende vragen die aanleiding zijn tot een reactie (Tromp en Rietmeijer, 2001). De interviews zullen dan ook bestaan uit een aantal gesloten vragen en een aantal open vragen. Eerst zal aan de hand van de gesloten vragen, met meerdere antwoordmogelijkheden, worden bekeken in hoeverre hogescholen bepaalde elementen van risicomanagement in de organisatie hebben geïntegreerd. Waarna door middel van open vragen meer duidelijkheid wordt verkregen over de precieze toepassing van risicomanagement en de beweegredenen van de hogeschool achter
Aantal
punten
1
2
3
4
Nee
Ja
Niet
Alleen genoemd
Genoemd en
beknopt toegelicht
Uitgebreid toegelicht
Niet
Verschillende
categorieën
Gedeeltelijk
ingedeeld in categorieën
Verschillende
categorieën
deze keuzes voor het toepassen van risicomanagement. Baarda en de Goede (2001) geven aan dat open vragen geschikt zijn indien je vooraf over weinig kennis met betrekking tot het onderwerp beschikt. Aangezien dit een explorerend onderzoek is, zal er gebruik worden gemaakt van open vragen. Wel zal zoveel geprobeerd worden mogelijk gestructureerde antwoorden te verkrijgen, om de verwerking van de antwoorden te bevorderen. Er is een interviewschema opgesteld, dat een leidraad vormt voor de vragen die tijdens het interview worden gesteld. Dit interviewschema is opgenomen als bijlage 3 van dit onderzoek. Voorafgaand aan het interview wordt het opgestelde interviewschema gemaild naar de persoon die zal worden geïnterviewd.
Bij het opstellen van de interviewvragen is rekening gehouden met het feit dat vragen duidelijk en slechts vatbaar zijn voor één uitleg moeten zijn. Ook worden de vragen zo neutraal mogelijk geformuleerd en wordt er geprobeerd zo min mogelijk gebruik te maken van ingewikkelde taal. Baarda en de Goede (2001) geven aan dat het voorgaande van belang is bij het opstellen van goede en heldere interviewvragen. Om de betrouwbaarheid van de informatie die wordt verkregen uit de interviews verder te vergroten, worden de interviews afgenomen bij de organisatie van de geïnterviewde. De geïnterviewde zal zich op deze, voor hem bekende plaats, eerder op zijn gemak voelen.
Aan de antwoorden op de gesloten interviewvragen zullen zoveel mogelijk punten worden toegekend op basis van een ordinale schaal. De mogelijke antwoorden op de interviewvragen worden dan ingedeeld in categorieën die op een logische volgorde worden geordend op basis van een vierpuntsschaal. Er is in dit onderzoek gekozen voor een vierpuntsschaal, omdat bij een even aantal antwoordmogelijkheden de geïnterviewde wordt gedwongen zijn mening te geven (Baarda en de Goede, 2001). Daarnaast is de reden hiervan dat voor het jaarverslagonderzoek ook van deze schalen gebruik wordt gemaakt en het op deze wijze mogelijk is de uitkomsten van het jaarverslagonderzoek gedeeltelijk te vergelijken met de afgenomen interviews. Bij het opstellen van de antwoordmogelijkheden is er rekening mee gehouden dat de antwoordcategorieën bij elke vraag elkaar uitsluiten en dat het voor de geïnterviewde duidelijk is welke antwoordmogelijkheden er zijn (Baarda en de Goede, 2001).
De interviews worden vastgelegd met behulp van een voicerecorder, om tijdens het interview zo goed mogelijk te kunnen communiceren met de geïnterviewde. Binnen twee dagen na het afnemen van een interview wordt deze uitgewerkt. De namen van de hogescholen waar een interview is afgenomen zijn de Design Academy te Eindhoven, de Noordelijke Hogeschool Leeuwarden (NHL), Saxion hogeschool te Enschede, Hogeschool Utrecht en de Hanzehogeschool in Groningen. In overleg met de geïnterviewden is besloten de geïnterviewde personen in dit onderzoek anoniem te laten. Er wordt in hoofdstuk 4.2 niet aangegeven welke persoon van welke hogeschool een desbetreffende uitspraak heeft gedaan. De geïnterviewden krijgen na afloop van het interview de resultaten van de interviews opgestuurd. Zij kunnen voorafgaande aan publicatie nog aangeven of ze er bezwaar tegen hebben dat het in deze vorm wordt gepubliceerd.
2.5 Opbouw
De opbouw van het onderzoek is als volgt. Het theoretisch kader wordt besproken in hoofdstuk 3. Hier wordt het begrip corporate governance besproken, waarna specifiek wordt ingegaan op corporate governance in de publieke sector en corporate governance codes. Aansluitend wordt in de tweede paragraaf van hoofdstuk 3 uitgelegd wat risicomanagement inhoudt en wat de implicaties van risicomanagement zijn voor de publieke sector. Vervolgens wordt het begrip risicoverslaggeving behandeld. De inhoud van de branchecode governance zal ook worden besproken. In deze paragraaf zal ook aan bod komen welke informatie belanghebbenden uit een jaarverslag willen verkrijgen. Aan het einde van paragraaf 3.3 wordt weergegeven welke elementen met betrekking tot risico worden onderzocht in het jaarverslag. Hoofdstuk 4 bevat de belangrijkste resultaten van het jaarverslagonderzoek en de interviews. Nadat deze resultaten zijn besproken worden er in hoofdstuk 5 conclusies getrokken. Tot slot worden de beperkingen van het onderzoek besproken en worden aanbevelingen gedaan voor vervolg onderzoek.
Hoofdstuk 3: Theoretisch Kader
3.1 Corporate Governance
3.1.1 Introductie
In deze paragraaf wordt het begrip corporate governance besproken. Vervolgens wordt de stakeholder theory behandeld. Ook zal specifiek worden ingegaan op corporate governance in de publieke sector en corporate governance codes.
3.1.2 Het begrip corporate governance
Toenemende risico‟s, waaronder de concurrentie als gevolg van globalisatie, complexiteit van transacties en de verwachtingen van stakeholders, hebben ertoe bijgedragen dat (goede) corporate governance een belangrijkere plaats inneemt bij het managen van organisaties (Ballou en Heitger, 2008; Abdullah en Valentine, 2009). In de literatuur worden verschillende definities van corporate governance gegeven. Shleifer en Vishny (1997) geven aan dat corporate governance betrekking heeft op de mogelijkheden waarmee kapitaalverschaffers zichzelf ervan verzekeren dat zij een rendement op hun investering behalen. Cools hanteert in zijn boek de onderstaande definitie.
Corporate Governance gaat in essentie over de vraag aan wie en op welke wijze een integer ondernemingsbestuur transparant verantwoording moet afleggen over strategie, resultaten en risico‟s (Cools,
2005, p.6).
3.1.3 Stakeholder theory
Smith (2003) geeft aan dat er twee verschillende soorten theorieën zijn, de shareholder theory en de stakeholder theory. In de shareholder theory gaat het om de relatie tussen de manager en de aandeelhouders. De belangen van andere belanghebbenden worden in deze theorie niet direct meegenomen, in tegenstelling tot de stakeholder theory waar alle belanghebbenden centraal staan.
Freeman (1984) geeft aan dat een onderneming wordt gekarakteriseerd door haar relaties met verschillende groepen en individuen. Deze groepen en individuen hebben de mogelijkheid om de prestaties van de onderneming te beïnvloeden en/of belang bij de prestaties die de onderneming levert. De stakeholder theory gaat er volgens Smith (2003) vanuit dat managers de financiële belangen van aandeelhouders moeten afwegen tegen de belangen van andere stakeholders. De belangen van andere belanghebbenden dan aandeelhouders worden ook in ogenschouw genomen als dit betekent dat de aandeelhouders daardoor een lager rendement op hun investering behalen. Donald en Preston (1995) claimden dat alle belanghebbenden bij een organisatie een relatie hebben met deze organisatie met als doel er voordelen uit te verkrijgen. In figuur 2 wordt het stakeholdermodel weergegeven. Stakeholder concepten bij organisaties in de publieke sector zijn volgens Donald en Preston (1995) niet vergelijkbaar met organisaties in de private sector. Organisaties in de publieke sector hebben meestal niet te maken met aandeelhouders die eigendomsrechten hebben. Daardoor is er in deze sector een fundamenteel andere relatie tussen belanghebbenden en de organisatie en kunnen zich andere problemen voordoen. Hier zal rekening mee moeten worden gehouden als er wordt gekeken naar de stakeholder theory voor de publieke sector.
Figuur 2: Stakeholdermodel (Donald en Preston, 1995)
3.1.4 Corporate governance in de publieke sector
Corporate governance is van toepassing op alle organisaties, zowel in de private als in de publieke sector (Abdullah en Valentine, 2009). Hoewel corporate governance in het begin voornamelijk was gericht op ondernemingen in de private sector, is er in de publieke sector ook steeds meer belangstelling voor (Farrell, 2005). Corporate governance wordt in de publieke sector ook wel aangeduid als public governance.
De vier deelprocessen van public governance die uit de definitie van Bossert (2003) naar voren komen zijn: Sturen van de organisatie zodat doelstellingen worden bereikt, door het inrichten van de organisatie en
het vormgeven van processen,
Toezicht houden ten behoeve van de belanghebbenden, zodat zij kunnen vaststellen welke doelstellingen zijn behaald,
Verantwoording afleggen over het gevoerde beleid en over het sturen, beheersen en toezicht,
Beheersen van de organisatie door middel van het invoeren en handhaven van beheersingsmaatregelen en procedures.
3.1.5 Corporate governance codes
Corporate governance codes zijn best practice aanbevelingen voor het bestuur en de Raad van Commissarissen die tekortkomingen in governance systemen kenbaar moeten maken (Shleifer en Vishny, 1997). De Nederlandse corporate governance code, het code Tabaksblat, werd in 2003 ingesteld. Doel van deze code is het doen van aanbevelingen die de governance bij ondernemingen kunnen verbeteren. Het „pas toe of leg uit‟ principe dat in Nederland geldt, houdt in dat bedrijven in principe moeten voldoen aan de gestelde best practice bepalingen in de code. Indien ze afwijken van een bepaald principe, dan zijn ze verplicht dit gemotiveerd toe te lichten (Monitoring Commissie Corporate Governance, 2008).
Onderzoek van Fernandez-Rodriguez et al. (2004) heeft aangetoond dat er vanuit de markt positief wordt gereageerd op de aandeelprijs van bedrijven als ze bekend maken dat ze voldoen aan de geldende governance code. Deze positieve reactie vanuit de markt is in de publieke sector ook te verwachten, voornamelijk omdat hier wordt omgegaan met overheidsgeld dat goed besteed dient te worden. De positieve reactie van belanghebbenden op het voldoen aan de governance code zal voor organisaties in de publieke sector een stimulans kunnen zijn om de governance binnen de organisatie te verbeteren en dit transparant te maken.
De publieke sector kent verschillende corporate governance codes, onder meer de zorgbrede governancecode, code goed bestuur universiteiten en de code goed bestuur voor goede doelen. Voor Nederlandse hogescholen is in 2006 de branchecode governance ingevoerd (HBO-raad, 2006). Deze corporate governance code is bedoeld om een leidraad te bieden voor het College van Bestuur (CvB) en de Raad van Toezicht bij hogescholen bij de uitvoering van hun taken en de rapportering hierover. De aanbevelingen in de code kunnen net als de aanbevelingen in het Code Tabaksblat worden gezien als: “algemeen gangbare, breed gedragen opvattingen over goed bestuur en toezicht” (HBO-raad, 2006).
Deze code is verder ontwikkeld op basis van de aanbevelingen die de Commissie Glasz in 2000 heeft gedaan. Met deze branchecode wordt beoogd dat hogescholen meer aandacht besteden aan risicomanagement en de relatie met stakeholders. De branchecode voor hogescholen maakt net als code Tabaksblat gebruik van het „pas toe of leg uit‟ principe. Later in dit hoofdstuk zal de inhoud van de branchecode worden besproken.
3.2 Risicomanagement
3.2.1 Introductie
Deze paragraaf behandelt het onderwerp risicomanagement. Risicomanagement is een onderdeel van good governance. Belanghebbenden en informatiegebruikers hebben over het algemeen steeds vaker behoefte aan informatie over het risicomanagement van een organisatie (Lajili en Zéghal, 2005). Eerst zal worden besproken wat risicomanagement inhoud, waarna onderzoek op het gebied van risicomanagement en de stand van zaken met betrekking tot risicomanagement aan bod komen.
3.2.2 Het begrip risicomanagement
Om te komen tot een goede uitleg van het begrip risicomanagement, is het van belang om eerst te identificeren wat risico inhoudt. COSO (2004, p.16) geeft de volgende definitie van risico: “Risk is the possibility that an
event will occur and adversely affect the achievement of objectives.” Een risico is dus de kans dat een
gebeurtenis plaatsvindt die negatieve gevolgen heeft voor de organisatie. Het is zaak dat organisaties rekening houden met het feit dat ze met risico‟s te maken hebben en hier ook adequaat op inspelen door deze risico‟s te beheersen. Droogsma (2009) geeft aan dat risicomanagement een iteratief proces is waarin het management de beslissing neemt of en zo ja, welke beheersingsmaatregelen worden getroffen tegen ingeschatte risico‟s. Het management is dus verantwoordelijk voor het opstellen van het beleid voor risicomanagement en de uitvoering hiervan. Lajili en Zéghal (2005) geven aan dat risicomanagement een integraal onderdeel is van interne beheersing en governance. Risicomanagement kan volgens hen worden gebruikt als controle op het management. Er kan worden nagegaan in hoeverre het management de doelstellingen heeft behaald, gegeven de onzekerheden en risico‟s van de desbetreffende organisatie en haar omgeving.
In het begin werd risicomanagement alleen bekeken vanuit het bedrijf zelf. Onder andere door toenemende complexiteit van de economie internationaal gezien, is het van belang om risicomanagement ook vanuit een extern perspectief te bekijken en de belangen van stakeholders met betrekking tot risicomanagement in ogenschouw te nemen (Lajili en Zéghal, 2005).
3.2.3 Risicomanagementsysteem
Risicomanagement kan integraal in een organisatie worden ingebed door middel van een risicomanagementsysteem. De afgelopen jaren zijn verschillende risicomanagementsystemen ontwikkeld, waarvan het Enterprise Risk Management - Integrated Framework (ERM) van COSO (2004) het meest gebruikte raamwerk is (Droogsma, 2009).
Emanuels en de Munnik (2006) geven aan dat een risicomanagementsysteem ertoe bijdraagt dat het management risico‟s onderkent, prioriteert en vervolgens analyseert en beheerst. Het gaat hierbij om risico‟s die van belang zijn voor de organisatie en die het behalen van doelstellingen kunnen bedreigen. Het risicomanagementsysteem zoals beschreven door Emanuels en de Munnik (2006) is weergegeven in figuur 3. Het ERM systeem bestaat uit verschillende componenten of stappen, die als ze gezamenlijk worden toegepast uitmonden in een proces dat kan leiden tot effectief risicomanagement (COSO, 2004; Emanuels en de Munnik, 2006).
3.2.3.1 Randvoorwaarden & doelstellingen
In figuur 3 is te zien dat het ERM systeem bestaat uit vier randvoorwaarden waar aan moet worden voldaan. Er kan onderscheid worden gemaakt tussen harde en zachte randvoorwaarden. Een „harde‟ randvoorwaarde is onder andere de organisatiestructuur (Emanuels, 2005). Het is van belang dat een organisatiestructuur passend is voor de organisatie, zodat taken en verantwoordelijkheden van de werknemers helder zijn en niet door elkaar
lopen. Emanuels (2005) geeft aan dat de randvoorwaarde cultuur als „zacht‟ kan worden getypeerd, dit betekent dat cultuur niet objectief te bepalen is. Het is zaak om een voor de organisatie juiste cultuur te creëren, zodat de gestelde doelstellingen eerder kunnen worden bereikt en werknemers in grotere mate verantwoording afleggen over uitgevoerde werkzaamheden.
Binnen de randvoorwaarden vindt het proces van risicomanagement plaats en worden de doelstellingen in de vier categorieën, te weten strategisch, operationeel, voldoen aan wet- en regelgeving (compliance) en verantwoording eerst vastgesteld en vervolgens geprobeerd te bereiken. Strategische doelstellingen spelen zich af op hoog niveau in de organisatie en hangen samen met de missie en visie (Emanuels en de Munnik, 2006). Operationele doelstellingen hebben betrekking op het effectief en efficiënt omgaan met middelen zodat processen goed verlopen. Verantwoording heeft betrekking op de rapportage over het gevoerde beleid aan degenen die daar recht op hebben. En voldoen aan wet- en regelgeving spreekt voor zich.
Figuur 3: ERM systeem (Emanuels en de Munnik, 2006)
3.2.3.2 Het proces
De eerste component van ERM is volgens COSO (2004) de internal environment. Hier wordt onder andere risicohouding bepaald. De risicohouding is de mate waarin een entiteit risico accepteert (COSO, 2004). De risicohouding van een organisatie vormt de basis voor het risicobeleid en geeft daarnaast aan hoe werknemers binnen de organisatie moeten omgaan met risico‟s bij het nemen van strategische beslissingen (Steffes, 2009). De strategie van een organisatie wordt mede bepaald aan de hand van de risicohouding.
De tweede component van het raamwerk beslaat het bepalen van doelstellingen. Doelstellingen van een organisatie worden mede bepaald op basis van de gekozen strategie en risicohouding. In eerste instantie worden de strategische doelstellingen bepaald (Emanuels en de Munnik, 2006). Op basis van de strategische doelstellingen wordt de strategie van de organisatie vastgesteld. Het volgen van de strategie moet uiteindelijk leiden tot het behalen van de strategische doelstellingen. Doelstellingen in de overige categorieën worden bepaald aan de hand van de vastgestelde strategie. Het is van belang dat een organisatie die adequaat risicomanagement wil toepassen, zorg draagt voor het opstellen van concrete doelstellingen aldus Droogsma (2009). Emanuels en de Munnik (2006) geven aan dat de eerste stap van het risicomanagementproces het bepalen van doelstellingen is, dit is dus als het ware gelijk aan de eerste twee componenten genoemd door COSO (2004).
Als doelstellingen zijn vastgelegd is het zorg te bepalen welke bedreigingen ertoe kunnen leiden dat de doelstellingen niet worden bereikt (Emanuels en de Munnik, 2005). Als de organisatie de bedreigingen in kaart heeft gebracht, is het zaak om te bekijken welke interne en externe gebeurtenissen of omstandigheden deze bedreigingen beïnvloeden aldus Emanuels en de Munnik (2005). Dit gebeurt tijdens de event identification en risk assessment ofwel de stap van het inschatten van risico‟s. Als risico‟s zijn geïdentificeerd wordt per risico de kans bekeken op het plaatsvinden van het risico en de impact die het risico heeft op het bereiken van een doelstelling (COSO, 2004; Emuanels en de Munnik, 2005). Het bestuur moet er rekening mee houden dat het mogelijk is dat verschillende risico‟s tegelijk plaatsvinden of elkaar versterken.
Nadat de relevante risico‟s die het behalen van doelstellingen in gevaar kunnen brengen zijn bepaald, wordt gekeken welke maatregelen er moeten worden getroffen. Risk responses of maatregelen die kunnen worden genomen bestaan uit risico vermijden, risico accepteren, risico delen en risico verminderen (COSO, 2004). Interne beheersingsmaatregelen moeten ervoor zorgen dat het inherente risico wordt verkleind zodat een aanvaardbaar risico overblijft (Emanuels en de Munnik, 2006).
Het is van belang dat informatiesystemen eraan bijdragen dat relevante informatie verkregen uit interne en externe bronnen tijdig aan de juiste personen wordt verstrekt (COSO, 2004). Goede communicatie binnen de organisatie is belangrijk bij adequaat risicomanagement.
Risicomanagement is een continu proces dat regelmatig aan veranderingen onderhevig is. Daarom is het van belang dat de effectiviteit van het huidige risicobeheersingsysteem wordt gewaarborgd. Dit kan worden bereikt door monitoring (COSO, 2004). Als blijkt dat door omstandigheden risicomaatregelen niet afdoende zijn, dient de organisatie op dit punt aanpassingen te doen.
3.2.3.3 Functies & verantwoordelijkheden
Iedereen in een organisatie heeft een bepaalde taak of rol bij het beheersen van risico‟s binnen de organisatie. De hoofdverantwoordelijkheid voor het risicomanagement binnen de organisatie ligt bij de directeur of Raad van Bestuur. De directeur of de Raad van Bestuur geeft de „tone at the top‟ aan. De „tone at the top‟ maakt duidelijk hoe zij aankijken tegen risico‟s en de beheersing daarvan en is bepalend voor hoe andere werknemers in de organisatie tegen risico‟s aankijken (COSO, 2004). De Raad van Bestuur is verantwoordelijk voor het beleid dat wordt gehanteerd met betrekking tot risicomanagement. Daarnaast draagt de Raad van Bestuur verantwoordelijkheid over het vaststellen van verantwoordelijkheden en taken voor werknemers en het omzetten van het beleid in specifieke richtlijnen die worden gehanteerd (Droogsma, 2009). De Raad van Commissarissen (RvC) functioneert als toezichthoudend orgaan bij de organisatie. De RvC wordt bij hogescholen ook wel de Raad van Toezicht (RvT) genoemd. De Raad van Commissarissen gaat in gesprek met de Raad van Bestuur over onder meer risico‟s die niet binnen de risicohouding passen, de mate waarin risico‟s worden gemanaged en of hier nog verandering in gewenst is (COSO, 2004). Uit het midden van de Raad van Commissarissen kunnen verschillende subcommissies worden samengesteld, zoals de remuneratie commissie en de audit commissie. Een audit commissie of andere toezichthoudende commissie kan zich specifiek bezighouden met toezicht op risicomanagement en de toereikendheid van risicomanagement (Droogsma, 2009). Sommige organisaties hebben een specifieke functie, riskmanager of Chief Risk Officer (CRO), ingesteld die zich richt op risico‟s en de beheersing daarvan (COSO, 2004). Indien een organisatie niet over deze functie beschikt, is het mogelijk dat de financieel directeur of controller binnen de organisatie min of meer dezelfde taken uitvoert als een CRO. De financieel directeur en controller spelen volgens COSO (2004) een belangrijke rol bij het voorkomen en ontdekken van onjuistheden of fraude. Deze personen kunnen hebben de verantwoordelijkheid voor het opstellen van de financiële documenten. Daarnaast kunnen zij vaak ook het ontwerp en de implementatie van de rapportagesystemen van de organisatie beïnvloeden (COSO, 2004). Verder kunnen zij evalueren of deze systemen op de juiste manier hebben gewerkt en bekijken welke eventuele tekortkomingen er zijn geweest.
De invulling van de functie voor CRO of controller is volgens COSO (2004) het meest succesvol wanneer het een staffunctie is die lijnmanagers en andere medewerkers bijstaat als zij vragen of problemen hebben met betrekking tot risicomanagement. Liebenberg en Hoyt (2003) geven aan dat een CRO vaak direct rapporteert aan de CEO of CFO. Een CRO beschikt volgens deze onderzoekers over de capaciteiten om het belang van ERM binnen de organisatie duidelijk te maken aan de Raad van Bestuur.
3.2.4 Risicomanagement in de publieke sector
Droogsma (2009) geeft aan dat er tot op heden weinig wetenschappelijke literatuur beschikbaar is op het gebied van risicomanagement in de publieke sector. Vooral door de versterkte aandacht voor risicomanagement in de private sector en de verschillende corporate governance codes die de afgelopen jaren zijn ontwikkeld, heeft risicomanagement in de publieke sector meer aandacht gekregen. De maatschappij stelt in organisaties in de publieke sector meer eisen aan de verantwoording en transparantie over het gevoerde beleid en ook over het managen van risico‟s dan in de private sector (Standard Australia/ Standards New Zealand, 1999).
Paape et al. (2009) hebben onderzoek naar toepassing van risicomanagement bij organisaties in verschillende branches gedaan, waaronder financiële dienstverlening, handel, productie, gezondheidszorg en non-profit/overheid. De gezondheidszorg scoort in dit onderzoek het laagst op risicomanagement met betrekking tot het risicomanagementsysteem, gevolgd door de non profit-/overheidssector. Bij de vraag hoe vaak er een integrale en bedrijfsbrede risico-inventarisatie en risicoanalyse wordt uitgevoerd, kwamen er tussen de private en publieke sectoren geen belangrijke verschillen naar voren. Organisaties in de publieke sector brengen in het algemeen minder risico‟s in kaart dan organisaties uit de private sector. Ook rapporteren organisaties in de publieke sector maar in acht procent van de gevallen over alle vijf risicocategorieën. Risicocategorieën die Paape et al. (2009) onderscheiden zijn, strategisch, financieel, operationeel, financiële rapportage, wet- en regelgeving. Van standaarden voor de inrichting van risicomanagement en interne beheersing wordt door organisaties in de private sector meer gebruik gemaakt dan in de publieke sector. Het INK/EFQM model is de enige uitzondering, hiervan wordt vaker gebruik gemaakt in de publieke sector. Paape et al. (2009) concluderen dat er bij organisaties in alle branches die zijn onderzocht nog veel ruimte is voor verbetering van het risicomanagement.
Uit het onderzoek van Crawford en Stein (2004) bij locale overheden in Groot-Brittannië bleek dat locale overheden wel bezig zijn om risicomanagement te implementeren in hun organisatie, maar dat ze zich vaak nog in de eerste fase van implementatie bevinden. Dit geeft aan dat er nog verbeteringen mogelijk zijn die kunnen leiden tot effectief risicomanagement.
3.3 Risicoverslaggeving
3.3.1 Introductie
In de voorgaande paragrafen van dit hoofdstuk zijn de onderwerpen corporate governance en risicomanagement besproken. Risicoverslaggeving hangt samen met deze onderwerpen en zal in deze paragraaf aan bod komen. Allereerst wordt ingegaan op vrijwillige en verplichte toelichting. Vervolgens wordt het begrip risicoverslaggeving toegelicht en zal worden ingegaan risicoverslaggeving in de publieke sector. Tot slot zal verder worden ingaan op risicoverslaggeving in het jaarverslag.
3.3.2 Vrijwillige en verplichte toelichting
Er kan onderscheid worden gemaakt in drie soorten toelichting namelijk, vrijwillige toelichting, verplichte toelichting en toelichting die wordt gegeven door intermediairs (Healy en Palepu, 2001). In dit onderzoek draait het voornamelijk om vrijwillige en verplichte toelichting. Vrijwillige toelichting ontstaat doordat managers informatie waarover zij beschikken openbaar maken terwijl dit niet verplicht is door regelgeving. Healy en Palepu (2001) geven in hun artikel zes verschillende hypotheses omtrent vrijwillige toelichting. Zo kan een organisatie vrijwillig informatie verstrekken aan aandeelhouders, zodat hun informatieachterstand kleiner wordt. De organisatie krijgt dan te maken met lagere financieringskosten. Dit wordt de capital markets transation hypothesis genoemd. De litigation cost hypothesis geeft aan dat managers slechte informatie zo snel mogelijk bekend zullen maken, omdat ze anders kans hebben dat er een proces tegen hen zal worden aangespannen. Aan de andere kant bestaat de kans dat managers minder toekomstgerichte informatie beschikbaar maken door de kans op een rechtszaak.
Uit onderzoek van Deumes en Knechel (2007) komt naar voren dat ondernemingen die te maken hebben met informatieasymmetrie vaker vrijwillig rapporteren over interne beheersing. Dit komt overeen met de verklaring die wordt gegeven voor vrijwillige toelichting om informatieasymmetrie en bijkomende problemen op te lossen. Lizzeri en Gavazza (2007) hebben de consequenties van regelgeving omtrent transparantie van het gevoerde beleid bij locale overheidsinstellingen onderzocht. De onderzoekers geven aan dat het in de publieke sector minder gebruikelijk is om vrijwillige toelichting in het jaarverslag op te nemen dan in de private sector.
Organisaties hebben te maken met verplichte toelichting door wet- en regelgeving en corporate governance codes. Voor beursgenoteerde ondernemingen is het verplicht om toelichting te geven in het jaarverslag en dit openbaar te maken aan de aandeelhouders (2:101 BW). Daarnaast hebben zij de verplichting om bepaalde informatie publiekelijk te maken als gevolg van code Tabaksblat. Voor de publieke sector geldt ook in zekere
