Risicoverslaggeving in westerse en opkomende economieën

(1)

Risicoverslaggeving in westerse

en opkomende economieën

Een onderzoek naar het verschil in de mate van rapporteren

over risico’s en het interne risicobeheersingssysteem

(2)

Risicoverslaggeving in westerse en opkomende

economieën

Een onderzoek naar het verschil in de mate van rapporteren over risico’s en het

interne risicobeheersingssysteem

Masterscriptie Accountancy

Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde Opleiding: Msc. Accountancy

Auteur: Erik Westra

Studentnummer: 1586556

Eerste begeleider: dr. R.B.H. Hooghiemstra Tweede Begeleider: prof. dr. C.L.M. Hermes

(3)

Voorwoord

Deze scriptie heb ik geschreven in het kader van mijn afstuderen voor de masteropleiding Accountancy aan de Rijksuniversiteit in Groningen.

Naar aanleiding van de kredietcrisis is de aandacht voor het beheersen van risico’s en de rapportage daarover weer toegenomen. In mijn scriptie onderzoek ik de mate waarin ondernemingen in westerse en opkomende economieën informatie publiceren over risico´s en het interne risicobeheersingssysteem. Tevens heb ik onderzocht welke factoren de verschillen in de mate van risicorapportage kunnen verklaren.

Het schrijven van mijn scriptie heb ik als een leuk en leerzaam proces ervaren. Hierbij wil ik dhr. Hooghiemstra bedanken voor zijn goede begeleiding en nuttige feedback. Daarnaast wil ik dhr. Hermes bedanken voor het optreden als tweede begeleider.

(4)

Samenvatting

Aandeelhouders hebben voor hun investeringsbeslissingen behoefte aan informatie over het interne risicobeheersingssysteem, om daarmee vast te stellen of het management in staat is de belangrijkste risico’s, die het behalen van de ondernemingsdoelstellingen bedreigen, te identificeren en beheersen. Uit gerelateerde onderzoeken blijkt dat de risicorapportage in een vrijwillige omgeving ontoereikend is, omdat managers terughoudend zijn met het publiceren van informatie door de kosten die hier aan verbonden zijn. Tevens moet de risicorapportage in een gereguleerde omgeving niet overschat worden, omdat de risicorapportage grotendeels subjectief en niet-verifieerbaar is, waardoor het deels afhankelijk is van de motivatie van de managers om hierover te publiceren. Met behulp van de jaarverslagen uit 2007 van 180 ondernemingen in westerse en opkomende economieën, is geïnventariseerd in welke mate er informatie gepubliceerd wordt over risico’s en het interne risicobeheersingssysteem. Uit het onderzoek blijkt dat de meeste ondernemingen in westerse en opkomende economieën rapporteren over strategische, operationele en financiële risico’s en het interne risicobeheers-ingssysteem beschrijven. Daarnaast is er minder aandacht voor compliance en financiële verslaggevingsrisico’s en de impact en waarschijnlijkheid van risico’s. Ook komt naar voren dat ondernemingen in westerse landen meer over risico’s en het interne risicobeheersings-systeem rapporteren dan ondernemingen uit landen met een opkomende economie. Verder is geconcludeerd dat de spreiding van het aandelenbezit en de leverage geen significante invloed hebben op de mate van risicorapportage. Dit houdt in dat ondernemingen niet meer over risico’s gaan rapporteren om de agency problemen te verminderen. Tevens is er geen significante relatie gevonden tussen het aantal aanbevelingen in de corporate governance code / wetgeving en de mate waarin ondernemingen over risico’s en het interne risicobeheersings-systeem. Wel komt uit het onderzoek naar voren dat de ondernemingsgrootte, de aanwezigheid van een Big Four accountant, het hanteren van een risicomanagement raamwerk en een gereguleerde omgeving een significant positieve invloed hebben op de mate waarin ondernemingen informatie publiceren over risico’s en het interne risicobeheersings-systeem.

(5)

Inhoudsopgave

Hoofdstuk 1: Inleiding ... 5 1.1 Aanleiding ... 5 1.2 Probleemstelling... 7 1.2.1 Doelstelling ... 7 1.2.2 Hoofdvraag... 7 1.2.3 Deelvragen ... 7

1.3 Relevantie en bijdrage onderzoek ... 8

1.4 Afbakening ... 11

1.5 Opbouw ... 12

Hoofdstuk 2: Drijfveer risicorapportage ... 13

2.1 Agency Theory... 13 2.2 Vrijwillige risicorapportage ... 14 2.3 Verplichte risicorapportage ... 16 2.4 Hypotheses ... 18 2.4.1 Eigenaarstructuur ... 18 2.4.2 Wettelijk systeem ... 19 2.5 Conclusie ... 20

Hoofdstuk 3: Wet- en regelgeving... 21

3.1 Wet- en regelgeving in de westerse economieën ... 22

3.1.1 Verenigd Koninkrijk ... 22

3.1.2 Duitsland ... 23

3.1.3 Nederland ... 25

3.2 Wet- en regelgeving in de opkomende economieën ... 26

3.2.1 Brazilië ... 27

3.2.2 Rusland... 28

3.2.3 India... 29

3.3 Overeenkomsten weten regelgeving in westerse- en opkomende economieën ... 31

Hoofdstuk 4: Onderzoeksopzet ... 33 4.1 Gegevensverzameling ... 33 4.2 Afhankelijke variabelen ... 33 4.3 Onafhankelijke variabelen... 34 4.4 Controlevariabelen ... 34 4.5 Regressie analyse ... 37

Hoofdstuk 5: Analyse van de resultaten... 38

5.1 Beschrijvende statistiek... 38

5.1.1 Beschrijving afhankelijke variabele ... 38

5.1.2 Beschrijving onafhankelijke en controlevariabelen ... 40

5.2 Toetsen van hypotheses... 42

5.2.1 Univariate analyse ... 42

5.2.2 Multivariate analyse ... 42

5.2.3 Gevoeligheidsanalyse... 44

5.2.4 Vergelijken westerse en opkomende economieën ... 45

5.3 Discussie... 45

Hoofdstuk 6: Conclusie, beperkingen en aanbevelingen ... 47

6.1 Conclusie ... 47

6.2 Beperkingen en aanbevelingen... 49

(6)

Hoofdstuk 1: Inleiding

Dit eerste hoofdstuk behandelt de aanleiding voor het onderzoek en de daaruit voortvloeiende probleemstelling. De probleemstelling geeft de kern weer van wat er onderzocht is en bestaat uit een doelstelling, een hoofdvraag en een aantal deelvragen. Paragraaf 3 bespreekt de relevantie van de scriptie en de bijdrage ervan aan de al bestaande literatuur over onderzoeken met betrekking tot het rapporteren over risico’s en het risicobeheersingssysteem. De afbakening van het onderzoek is in paragraaf 4 besproken. Als laatste is in paragraaf 5 de opbouw van deze scriptie weergegeven.

1.1 Aanleiding

In 2007 waren de eerste tekenen van de kredietcrisis al zichtbaar. Banken kregen te maken met afschrijvingen op hun portefeuilles met veelal complexe kredietconstructies. In het najaar van 2008 escaleerde de kredietcrisis. Ondernemingen en vooral de financiële instellingen kampten met verliezen en de investeerders verloren het vertrouwen in de kapitaalmarkt. Dit alles leidde tot een enorme daling van de beurskoersen van ondernemingen. Het totale vermogen van Nederlandse huishoudens is sinds januari 2008 door de economische crisis met 325 miljard euro afgenomen. De voornaamste reden hiervoor is de daling van de aandelen-koers met 53%. De waarde uit directe beleggingen is afgenomen met 125 miljard euro en de waarde van de pensioenopbouw is gedaald met circa 200 miljard euro1. Het IMF voorspelt voor 2009 een krimpende economie en een stijgende werkloosheid.

Het ontstaan van de kredietcrisis wordt mede toegeschreven aan de hoge beloningen voor managers met een te grote focus op de korte termijn en aan de tekortkomingen van het interne risicobeheersingssysteem. Veel banken beschouwden het managen van risico’s niet als vitaal onderdeel van de strategie, waardoor het managen van risico’s structureel te weinig aandacht heeft gekregen. Banken hebben grote risico’s genomen. Het niet inzichtelijk hebben van de genomen risico’s is van grote invloed geweest op de wereldwijde kredietcrisis (KPMG 2009). Rond de eeuwwisseling was er met name in het Verenigd Koninkrijk al enige aandacht voor de rapportage over risico’s en het interne risicobeheersingssysteem (Combined Code, 1998; ICAEW 1999b). De boekhoudschandalen van Enron, Worldcom, Parmalat en Ahold aan het begin van de 21e eeuw hebben geleid tot een toegenomen aandacht voor risicomanagement en de interne beheersing. Dit heeft geresulteerd in een toename van de weten regelgeving op het gebied van risicorapportage.

De boekhoudschandalen waren te wijten aan het tekortschieten van de interne beheersing met betrekking tot de financiële verslaggeving. Dit heeft in de in de VS geleid tot de invoering van de Sarbanes-Oxley Act (2002) om het vertrouwen in de kapitaalmarkten herstellen. Deze wet legt de nadruk op het interne beheersingssysteem dat een juiste en tijdige informatie-verschaffing moet waarborgen, voorzover die van invloed is op de betrouwbare inhoud van de financiële rapportage van de onderneming (Emanuels et al, 2004).

Veel andere landen kwamen met corporate governance rapporten waarin verbetervoorstellen waren opgenomen met betrekking tot het rapporteren over risico’s en het interne risicobeheersingssysteem. De aanbevelingen hadden niet alleen betrekking op de financiële verslaggevingsrisico’s zoals in de VS, maar ook op strategische en operationele risico’s die het behalen van de organisatiedoelstellingen kunnen bedreigen. Deze aanbevelingen werden door veel landen opgenomen in hun nationale corporate governance code. In Nederland heeft

1

(7)

dit in 2003 geleid tot de invoering van de Nederlandse code voor corporate governance, de code Tabaksblat. In 2002 introduceerde Duitsland de Deutscher Corporate Governance Kodex (Cromme Code) en Rusland introduceerde in hetzelfde jaar de Russische Code of Corporate Conduct.

Door de kredietcrisis hebben ondernemingen te maken met een sombere economische vooruitzichten. Veel ondernemingen zien hun winst vergeleken met voorgaande jaren afnamen of rapporteren zelfs verliezen. De kredietcrisis heeft geresulteerd in dalende beurskoersen van ondernemingen en banken en beleggers die terughoudend zijn met het verstrekken van kapitaal. De opdrogende kapitaalstroom is nadelig voor ondernemingen in de westerse (ontwikkelde) economieën. Maar ook ondernemingen in landen waarvan de economie zich in een snel tempo ontwikkelt, de zogenoemde opkomende economieën (emerging markets), voelen de gevolgen van de kredietcrisis. Uit een rapport van de IMF (2009) blijkt dat de opkomende economieën hard getroffen zijn door de kredietcrisis, omdat ze erg afhankelijk zijn van externe financiering. Ondernemingen in opkomende economieën zijn afhankelijk van een goed werkende kapitaalmarkt om hun snelle groei te kunnen financieren. Doordat tegenwoordig de banken terughoudend zijn met het verstrekken van kapitaal is de rol van de kapitaalmarkt belangrijker geworden.

Door de kredietcrisis is het vertrouwen van investeerders en andere stakeholders in de ondernemingen en de kapitaalmarkt afgenomen. Aandeelhouders en belangengroepen verwachten van ondernemingen dat ze informatie over verwachtingen en mogelijke risico’s van toekomstige prestaties openbaar maken (Beretta en Bozolan, 2004). Op deze manier kunnen investeerders vaststellen of het management in kaart heeft gebracht welke risico’s het behalen van de organisatiedoelstellingen kunnen bedreigen en of de onderneming deze risico’s beheerst (Michelon et al., 2008). Investeerders hebben hierdoor meer zekerheid dat ondernemingen ook in de toekomst waarde voor aandeelhouders kunnen blijven creëren. Investeerders gebruiken de informatie over risico’s voor hun investeringsbeslissingen. Met informatie over risico’s kunnen investeerders het risicoprofiel van de onderneming vaststellen en op basis daarvan een inschatting maken van de toekomstige prestaties van de onderneming (ICAEW, 1999a; Beretta en Bozzolan, 2004; Linsley en Shrives, 2006). Een bijkomend voordeel voor ondernemingen is dat het rapporteren over risico’s leidt tot lagere vermogenskosten (ICAEW, 1999a; Linsley and Shrives, 2000; Solomon et al., 2000)

Voor ondernemingen in westerse en opkomende economieën is het rapporteren over risico’s en het interne risicobeheersingssysteem een manier om het vertrouwen van de investeerders in de kapitaalmarkt en de onderneming te herwinnen. Dit herstelde vertrouwen stelt de ondernemingen in staat om kapitaal aan te trekken.

(8)

1.2 Probleemstelling 1.2.1 Doelstelling

Inzicht geven in de mate waarin ondernemingen uit westerse economieën en ondernemingen uit opkomende economieën in hun jaarverslag over risico’s en over het interne risicobeheersingssysteem rapporteren.

1.2.2 Hoofdvraag

In hoeverre verschilt de in het jaarverslag gerapporteerde informatie over risico’s en over het interne risicobeheersingssysteem tussen ondernemingen uit westerse economieën en ondernemingen uit opkomende economieën?

1.2.3 Deelvragen

De onderstaande deelvragen zijn opgenomen om tot een gestructureerd antwoord op de hoofdvraag te komen.

• Waarom rapporteren ondernemingen over risico’s en over het interne risicobeheersing systeem?

• Hoe is de weten regelgeving in de westerse en de opkomende economieën omtrent het rapporteren over risico’s en het interne risicobeheersingssysteem in het jaarverslag?

• In welke mate wordt er in de jaarverslagen van ondernemingen in westerse en in opkomende economieën gerapporteerd over risico’s en het interne risicobeheersings-systeem?

• Wat zijn de overeenkomsten en verschillen inzake de rapportage over risico’s en het interne risicobeheersingssysteem tussen ondernemingen uit westerse en opkomende economieën?

• Welke factoren veroorzaken verschillen in de mate van rapporteren over risico’s en het interne risicobeheersingssysteem tussen de westerse en opkomende economieën?

(9)

1.3 Relevantie en bijdrage onderzoek

Nationale codes voor corporate governance besteden aandacht aan de risico’s en het interne risicobeheersingssysteem waarover ondernemingen moeten rapporteren. Commissies die belast zijn met het bevorderen van de actualiteit, de bruikbaarheid en de naleving van de code inventariseren jaarlijks op welke wijze en in welke mate ondernemingen de codevoorschriften naleven. Ook onafhankelijke instanties, zoals het IMF, de Wereldbank, de FEE en de IFAC2 doen onderzoek naar de mate van risicorapportage door ondernemingen wereldwijd. Naar aanleiding van internationale ontwikkeling, onderzoeken van commissies, universiteiten en accountantsorganisaties en door het interviewen van investeerders, managers en overige betrokken instanties worden de nationale corporate governance codes op het gebied van risicorapportage verbeterd en uitgebreid. Na de boekhoudschandalen, aanpassingen van nationale corporate governance codes en de wettelijke verankering hiervan heeft het rapporteren over risico’s een meer verplicht karakter gekregen. Naar aanleiding daarvan is er wetenschappelijk onderzoek gedaan met betrekking tot het vrijwillig en verplicht rapporteren over risico’s en het interne risicobeheersingssysteem.

Solomon et al. (2000) komen tot de conclusie dat institutionele beleggers behoefte hebben aan meer gedetailleerde informatie over risico’s. Deze informatie kan hun ondersteunen bij het samenstellen van de beleggingsportefeuille. Uit onderzoek naar de drijfveer voor ondernemingen om te rapporteren over risico’s en het interne risicobeheersingssysteem, blijkt dat ondernemingen minder over risico’s rapporteren als een groot deel van de aandelen in handen zijn van institutionele (langetermijn) beleggers (Solomon et al., 2000; Abraham en Cox, 2007). Deumes en Knechel (2008) onderzochten de motivatie van managers om vrijwillig te rapporteren over het interne beheersingssysteem. Zij komen tot de conclusie dat een onderneming minder over het interne beheersingssysteem rapporteert als een aantal aandeelhouders een groot deel van de aandelen in bezit hebben. Deumes (2005) en Linsley en Shrives (2006) concluderen dat de grootte van de onderneming een positief effect heeft op de hoeveelheid informatie die over risico’s gepubliceerd wordt.

Het rapporteren over risico’s leidt tot lagere vermogenskosten (ICAEW, 1999a; Linsley and Shrives, 2000; Solomon et al., 2000). Dit zou voor het management een drijfveer kunnen zijn om vrijwillig over risico’s te rapporteren. Uit onderzoeken van Beretta en Bozzolan (2004) onder Italiaanse ondernemingen en van Mohobbot (2005) die Japanse ondernemingen onderzoekt, blijkt dat ondernemingen over het algemeen ontoereikend vrijwillig over risico’s rapporteren. Carlon et al. (2003) onderzochten de jaarverslagen van ondernemingen uit Australië. Zij vinden een grote variatie in de hoeveelheid en de mate van detail van de vrijwillige risicorapportage. Lajili en Zéghal (2005) constateerden dat de rapportage over risico’s door Canadese ondernemingen onduidelijk en niet uniform waren. Risico’s werden voornamelijk kwalitatief beschreven en de rapportage over risicobeheersing was beperkt. Linsley en Shrives (2006) onderzochten de risicorapportage van 79 ondernemingen in het Verenigd Koninkrijk. Zij concludeerden dat risico’s nauwelijks gekwantificeerd worden en dat de risicorapportage niet het complete beeld geeft van alle risico’s waar de ondernemingen mee te maken heeft. Naar aanleiding van een ontoereikende vrijwillige risicorapportage suggereren Carlon et al. (2003) en Lajili en Zéghal (2005) dat managers bepaalde (concurrentiegevoelige) informatie niet vrijwillig rapporteren. Tevens bevelen zij aan om de vereisten ten aanzien van het rapporteren over risico’s uit te breiden.

2

IMF: International Monetary Fund, FEE: Fédération des Experts Comptables Européens, IFAC: International Federation of Accountants.

(10)

Kajuter en Winkler (2003) onderzochten de mate van verplichte risicorapportage door ondernemingen uit Duitsland. Zij concludeerden dat de mate van rapportage over risico’s niet voldeed aan de eisen die vanuit de regelgeving gesteld werden. Er was een grote variatie in de mate van risicorapportage, risico’s werden voornamelijk kwalitatief besproken en er werd weinig gerapporteerd over het identificeren en beoordelen van risico’s. Akkermans et al. (2007) hebben onderzoek gedaan naar de naleving van de Nederlandse code voor corporate governance in jaarverslagen uit 2004. Uit dit onderzoek blijkt dat op het gebied van de rapportage over de werking van het interne risicobeheersingssysteem in veel gevallen de corporate governance code niet wordt nageleefd. Dobler (2008) is van mening dat het rapporteren over risico’s grotendeels subjectief en niet-verifieerbaar is, waardoor de hoeveelheid en de mate van detail van de risicorapportage deels afhankelijk is van de motivatie van de managers om hierover te publiceren. Dobler (2008) komt tot de conclusie dat de informatiewaarde van de risicorapportage in een gereguleerde omgeving niet overschat moeten omdat de motivatie van managers om te publiceren over risico’s nog steeds een belangrijke rol speelt.

De conclusies van bovenstaande onderzoeken hebben betrekking op één land. Michelon et al. (2008) onderzoeken de rapportage over het interne beheersingssysteem van 160 ondernemingen uit de U.K., Frankrijk, Duitsland en Italië. Er wordt in overeenstemming met Solomon (2000) en Abraham en Cox (2007) geconcludeerd dat aanwezigheid van institutionele investeerders een negatieve invloed heeft op de publicatie van informatie over het interne beheersingssysteem. Tevens komen Michelon et al. (2008) tot de ontdekking dat er bij de afwezigheid van grote aandeelhouders, het aantal onafhankelijke commissarissen en het aantal personen in de audit commissie met een accountancy achtergrond, een negatieve invloed hebben op de hoeveelheid informatie die over het interne beheersingssysteem gepubliceerd wordt.

In de opkomende economieën is nauwelijks wetenschappelijk onderzoek verricht naar de mate waarin ondernemingen rapporteren over risico’s en het interne risicobeheersings-systeem. Er zijn wel onderzoeken gedaan naar de naleving van goed corporate governance beleid door ondernemingen, maar hierbij is de risicocomponent onderbelicht gebleven. Di Miceli da Silveira en Saito (2009) komen tot de conclusie dat de code voor corporate governance van Brazilië verbeterd kan worden op het gebied van risk management en monitoring daarvan door commissarissen. Ook dient er door Braziliaanse ondernemingen meer gerapporteerd te worden over interne en externe risicofactoren. Kochetygova et al (2004) concluderen dat het merendeel van de Russische ondernemingen te maken hebben met zwakke interne beheersingsmaatregelen- en procedures. Uit een rapport van The Conference Board (2008) blijkt dat ondernemingen in India door hun snelle groei en door de globalisatie meer aandacht moeten besteden aan risicomanagement. Communicatie over risico’s met de aandeelhouders is verbeterd, maar het management van risico’s bevindt zich nog in de beginfase.

De wetenschappelijke onderzoeken die in deze paragraaf besproken zijn geven voornamelijk inzicht in de mate van het rapporteren over risico’s in een vrijwillige en in een meer gereguleerde omgevingen. Ook geven ze inzicht in factoren (o.a. institutionele investeerders) die van invloed zijn op de mate van risicorapportering. Een algemene conclusie die uit de onderzoeken getrokken kan worden is dat de rapportage over risico’s en het interne risicobeheersingssysteem, zowel in een vrijwillige als een meer gereguleerde omgeving, nog op veel punten verbeterd kan worden.

(11)

In de besproken wetenschappelijke onderzoeken is met name de verslaggeving over risico’s en over het interne risicobeheersingssysteem in jaarverslagen tussen 1999 en 2002 geïnventariseerd. Na 2002 hebben veel landen geregeld hun corporate governance codes op het gebied van risicorapportage gewijzigd en uitgebreid. Er is echter weinig onderzoek gedaan naar de risicorapportage van ondernemingen in jaarverslagen na het jaar 2002. Hierdoor is er weinig bekend over hoe ondernemingen tegenwoordig rapporteren over risico´s en het interne risicobeheersingssysteem. Ook is niet inzichtelijk of de risicorapportage na 2002 verbeterd is en de geconstateerde tekortkomingen uit de hierboven besproken onderzoeken verbeterd zijn. Deze scriptie onderzoekt in welke mate ondernemingen uit westerse en opkomende economieën rapporteren over risico’s en het interne risicobeheersingssysteem. Met behulp van jaarverslagen uit 2007 is geïnventariseerd over welke soorten risico’s en welke aspecten van het interne risicobeheersingssysteem ondernemingen in hun jaarverslagen rapporteren. De scriptie is een aanvulling op de huidige literatuur, omdat er na de golf van aanpassingen wordt onderzocht hoe ondernemingen tegenwoordig over risico’s en het interne risicobeheersings-systeem rapporteren. De in deze paragraaf besproken onderzoeken zijn steeds in één land uitgevoerd. In de wetenschappelijke literatuur is er weinig onderzoeken gedaan naar verschillen tussen landen met betrekking tot het rapporteren over risico’s en het interne risicobeheersingssysteem. Ook is er bijna geen onderzoek gedaan naar de risicorapportage van ondernemingen uit opkomende economieën. Dit onderzoek vormt op dit gebied eveneens een aanvulling, omdat er onderzocht is hoe ondernemingen uit westerse en opkomende economieën rapporteren over risico´s en het interne risicobeheersingssysteem. Ook is er onderzocht of bepaalde factoren van invloed zijn op de mate van risicorapportage. Hierdoor is het mogelijk om de risicorapportage in verschillende landen met elkaar te vergelijken en verschillen tussen westerse en opkomende economieën te kunnen verklaren.

(12)

1.4 Afbakening

Het doel van dit onderzoek is om inzicht te verschaffen in de rapportage over risico’s en het interne risicobeheersingssysteem. Deze twee begrippen zijn in deze paragraaf nader uitgelegd. Ook zullen de begrippen risicomanagement, internal control en interne controle nader worden toegelicht.

Het doel van elke onderneming is om waarde te creëren voor zijn aandeelhouders. Iedere organisatie heeft daarbij te maken met onzekerheid. Onzekerheid is de waarschijnlijkheid van het optreden van gebeurtenissen en de impact van deze gebeurtenissen, die zowel een positieve invloed (kansen) als een negatieve invloed (risico’s) kunnen hebben op het behalen van de ondernemingsdoelstellingen. Het is de uitdaging voor het management om vast te stellen hoeveel onzekerheid acceptabel is, terwijl er gestreefd wordt naar groeiende aandeelhouderswaarde. Waarde wordt gemaximaliseerd als het management een optimale balans tussen groei, resultaat en gerelateerde risico’s weet te realiseren (COSO, 2004)

Naar aanleiding van de vergrote aandacht voor risico’s heeft COSO in 2004 het ‘Enterprise Risk Management raamwerk’ geïntroduceerd. Dit raamwerk definieert risicomanagement alsvolgt:

“Enterprise risk management (ERM) is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”.

Het raamwerk richt zich op het behalen van de volgende 4 doelstellingen: - Strategisch: afstemmen van globale doelstellingen op de missie. - Operationeel: efficiënt en effectief gebruik van de middelen. - Rapportage: betrouwbaarheid van verslaggeving.

- Toezicht: naleving van weten regelgeving.

Het ERM raamwerk is een verdere uitwerking van het Internal Control raamwerk van COSO uit 1992. Dit raamwerk3 geeft de volgende definitie van internal control:

“Internal control is a proces, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives”.

Internal control (interne beheersing) richt zich op de beheersing van de organisatie-doelstellingen door de leiding van de organisatie. Internal control dient niet verward te worden met de term interne controle. Interne controle heeft een minder brede oriëntatie en heeft als enige doelstelling de betrouwbaarheid van financiële informatie (Starreveld, 2002). De smalle variant van control heeft betrekking op de betrouwbaarheid van informatie. Door de introductie van de Sarbanes-Oxley Act (2002) richt de risicorapportage in de VS zich voornamelijk op deze smalle variant. De brede variant van control heeft betrekking op het beheersen van een breder scala aan risico’s die het behalen van de organisatiedoelstellingen kunnen bedreigen (Emanuels, 2005; van der Ven, 2008). Deze brede variant is toegepast in de code Tabaksblat (2003). Het ICAEW (1999b) en IFAC (2006) onderkennen het belang van deze bredere variant.

3_{COSO is een wereldwijd aanvaard referentiemodel. Om deze reden wordt de definitie van COSO voor internal control en} risicomanagement gehanteerd.

(13)

Het ERM raamwerk richt zich net zoals het Internal Control raamwerk op de beheersing van de organisatiedoelstellingen door de leiding van de organisatie. Het ERM raamwerk is daarbij vooral gericht op het vaststellen van risico’s en het koppelen van deze risico’s aan beheersingsmaatregelen. Het ERM raamwerk stelt het management in staat om op een efficiënte wijze met onzekerheid en de hieraan verbonden risico’s om te gaan, en daarbij de capaciteit om waarde te creëren te versterken (COSO, 2004)

Het ERM raamwerk kan door het management gebruikt worden voor het inrichten van het interne risicobeheersingssysteem. Het doel van het risicobeheersingssysteem is om met de gewenste mate van zekerheid te kunnen stellen dat de organisatiedoelstellingen worden bereikt. Het feit dat een organisatie beschikt over een risicobeheersingssysteem betekent niet dat de organisatiedoelstellingen daadwerkelijk worden gerealiseerd, maar dat transparant wordt gemaakt welke risico’s met de doelstellingen samenhangen en welke beheersings-maatregelen getroffen worden (Emanuels en de Munnik, 2006)

Het interne risicobeheersingssysteem is “het systeem dat het management in staat stelt om de risico’s, die het behalen van doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen” (Emanuels, 2005).

Het onderzoek richt zich op de rapportage door ondernemingen in het jaarverslag over de risico’s en het interne risicobeheersingssysteem met betrekking tot de brede variant van control. Zowel de rapportage over de financiële verslaggevingsrisico’s (betrouwbaarheid van financiële informatie) als de rapportage over de strategische, operationele en financiële risico’s zijn belangrijk. Tevens is de rapportage over de genomen beheersingsmaatregelen en de beoordeling van de effectiviteit van het interne risicobeheersingssysteem van belang.

1.5 Opbouw

Deze paragraaf bespreekt de opbouw van de rest van het onderzoek. In de volgende 2 hoofdstukken komt de literatuursectie aan bod. In hoofdstuk 2 is vanuit de bestaande literatuur een antwoord gegeven op de eerste deelvraag betreffende de drijfveer van ondernemingen om te rapporteren over risico’s en het interne risicobeheersingssysteem. Hoofdstuk 3 geeft antwoord op de tweede deelvraag. In dit hoofdstuk komt de weten regelgeving in de westerse en de opkomende economieën inzake het rapporteren over risico’s en het interne risicobeheersingssysteem in het jaarverslag aan bod. Hoofdstuk 4 behandelt de onderzoeksopzet van het empirische gedeelte van het onderzoek. Hoofdstuk 5 bevat een analyse van de resultaten en geeft inzicht in de mate waarin ondernemingen rapporteren over risico’s en het interne risicobeheersingssysteem. Ook komen de overeenkomsten en verschillen tussen de risicorapportage in westerse en opkomende economieën in deze paragraaf aan bod. Verder is er een antwoord gegeven op de laatste deelvraag die betrekking heeft op factoren die verschillen in de mate van risicorapportage tussen de westerse en opkomende economieën veroorzaken. Als laatste is de conclusie verwoord in hoofdstuk 6.

(14)

Hoofdstuk 2: Drijfveer risicorapportage

In dit hoofdstuk wordt met behulp van de wetenschappelijke literatuur een antwoord gegeven op de onderliggende motivatie van ondernemingen om te rapporteren over risico’s en het interne risicobeheersingssysteem. Paragraaf 2.1 behandelt de agency theory. In paragraaf 2.2 is de motivatie van een onderneming om vrijwillig over risico’s te rapporteren besproken. Paragraaf 2.3 bespreekt de mate van het rapporteren over risico’s en het interne risicobeheersingssysteem van ondernemingen in een gereguleerde omgeving. De hypotheses komen in paragraaf 2.4 aan bod. Als laatste is in paragraaf 2.5 de inhoud van dit hoofdstuk samengevat en een antwoord gegeven op de eerste deelvraag.

2.1 Agency Theory

Het agency probleem wordt veroorzaakt door de scheiding van eigendom en bestuur van een onderneming. Hierdoor ontstaan er tegengestelde belangen tussen de eigenaren (de aandeel-houders) en de bestuurders (het management) van een onderneming. Deze tegengestelde belangen kunnen ertoe leiden dat de bestuurders niet optimaal in het belang van de eigenaren handelen (Fama and Jensen, 1983; Shleifer and Vishny, 1997). De aandeelhouders willen een maximaal rendement op hun geïnvesteerde vermogen behalen, bij voorkeur op een zo’n kort mogelijke termijn. De managers hebben echter tegengestelde belangen, zoals de continuïteit van de onderneming op langere termijn. De tegengestelde belangen worden onder andere veroorzaakt door de manier waarop de winst kan worden verdeeld. Aandeelhouders willen dat de winst in de vorm van dividend aan hen wordt uitgekeerd. De manager kan er echter ook voor kiezen om de winst te herinvesteren in de onderneming of om te beleggen op de aandelenmarkt (Denis, 2001). Managers zijn gevoeliger voor risico’s. De aandeelhouders geven de voorkeur aan het investeren in projecten die winst op gaan leveren, terwijl managers ook kijken naar de slagingskans van projecten. Daarbij letten managers eveneens op de toegevoegde waarde van projecten voor de onderneming op langere termijn. Ook het gebruik van charter vliegtuigen, luxe auto’s, dure maaltijden en hotels door de managers gaat ten koste van het rendement van de aandeelhouders (Denis, 2001).

Door het scheiden van eigendom en bestuur van de onderneming ontstaat er informatie-asymmetrie tussen de eigenaren en bestuurders van de ondernemingen. Eigenaren en bestuurders hebben niet de beschikking over dezelfde informatie. Er zijn 2 typen van informatie asymmetrie, namelijk adverse selection en moral hazard. Adverse selection houdt in dat het management de beschikking heeft over alle informatie, waardoor zij meer weten over de ondernemingen en de vooruitzichten dan de eigenaren.Daarbij heeft het management de mogelijkheid informatie te manipuleren voordat het de aandeelhouders bereikt. De manager kan bijvoorbeeld besluiten om informatie over slechte resultaten achter te houden. Moral hazard houdt in dat het voor de eigenaren van de onderneming lastig is vast te stellen in welke mate de bestuurders hun belangen behartigen. Dit kan er toe leiden dat de manager zich niet optimaal zal inzetten in het belang van de aandeelhouders. De samenstelling van de beloning van managers kan ervoor zorgen dat zij zich meer in lijn met de wensen van de aandeelhouders gedragen (Scott, 2009).

Het interne risicobeheersingssysteem is voor aandeelhouders van belang, omdat het systeem zorg draagt voor een betrouwbare rapportage van financiële informatie en voor het tijdig identificeren, beoordelen en managen van relevante risico’s die het behalen van de doelstellingen van de onderneming bedreigen (Michelon et al., 2008). De aanwezigheid van

(15)

een intern risicobeheersingssysteem en de effectieve werking ervan is voor aandeelhouders lastig vast te stellen, omdat hier sprake is van interne processen en procedures (Deumes en Knechel, 2008). Een manager heeft de beschikking over meer informatie m.b.t. risicofactoren, het managen van deze risico´s en de potentiële impact van de risico´s op de toekomstige resultaten van de onderneming dan de aandeelhouders. Het tijdig publiceren van betrouwbare informatie over risico’s en het interne risicobeheersingssysteem kan de informatie asymmetrie tussen eigenaren en bestuurders van de onderneming verminderen. (Linsley en Shrives, 2000; Lajili en Zéghal, 2005, Michelon et al., 2008).

Solomon et al. (2000) komen tot de conclusie dat institutionele beleggers behoefte hebben aan meer gedetailleerde informatie over risico’s. Deze informatie kan hun ondersteunen bij het samenstellen van de beleggingsportefeuille. Informatie over risico’s en het interne risicobeheersingssysteem helpt aandeelhouders bij het maken van investeringsbeslissingen. Deze informatie stelt aandeelhouders in staat om de risico’s met betrekking tot de toekomstige resultaten van de onderneming vast te stellen (Linsley en Shrives, 2006). Aandeelhouders kunnen dan zelf beoordelen of het management voldoende in staat is geweest de risico’s te identificeren en te beheersen (Deumes en Knechel, 2008). Als laatste kunnen aandeelhouders beoordelen of hun risicoprofiel overeenkomt met die van de onderneming en of ze bereid zijn om in een onderneming te investeren (Markowitz, 1991). Een bijkomend voordeel voor ondernemingen is dat het rapporteren over risico’s leidt tot lagere vermogenskosten. Dit komt omdat, als er over risico’s gerapporteerd wordt, aandeelhouders een deel van de toeslag met betrekking tot de onzekerheid van de risicopositie van de onderneming, dat onderdeel is van de vermogenskosten, zouden kunnen wegnemen, omdat ze nu beter in staat zijn te beoordelen hoe risicovol een onderneming is. (ICAEW, 1999a; Linsley and Shrives, 2000; Solomon et al., 2000). Het verminderen van het agency probleem en informatie asymmetrie en lagere vermogenskosten zouden voor ondernemingen een drijfveer moeten zijn om vrijwillig over risico’s en het interne risicobeheersingssysteem te rapporteren.

2.2 Vrijwillige risicorapportage

Deumes en Knechel (2008) onderzochten de motivatie van managers om vrijwillig te rapporteren over de interne beheersing. Zij onderzochten de jaarverslagen van Nederlandse ondernemingen in de periode van 1997 – 1999, omdat in deze periode het rapporteren over het interne risicobeheersingssysteem nog geheel vrijwillig was4. Ze ontdekken dat managers vrijwillig meer (minder) rapporteren over de interne beheersing als informatie problemen en agency conflicten hoger (lager) zijn. Op basis van deze uitkomst concluderen ze dat managers bewust een trade-off maken tussen de kosten en de voordelen van het rapporteren over de interne beheersing. Uit onderzoek van Beretta en Bozzolan (2004) onder 85 Italiaanse beursgenoteerde ondernemingen en Mohobbot (2005) die Japanse beursgenoteerde ondernemingen onderzoekt, blijkt dat ondernemingen over het algemeen ontoereikend vrijwillig over risico’s rapporteren en dat de informatie over risico’s meer betrekking heeft op het verleden en het heden in plaats van op de toekomst. Carlon et al. (2003) onderzochten de jaarverslagen van 54 ondernemingen uit Australië die werkzaam waren in de mijnbouw. Zij vinden een grote variatie in de hoeveelheid en de mate van detail van de vrijwillige risicorapportage. Lajili en Zéghal (2005) constateerden dat de rapportage over risico’s door Canadese ondernemingen onduidelijk en niet uniform waren. Risico’s werden voornamelijk kwalitatief beschreven en de rapportage over risicobeheersing was beperkt.

4

(16)

Om de informatie asymmetrie die uit het agency probleem voortvloeit te verminderen zouden managers alle beschikbare informatie5 aan de aandeelhouders vrijwillig moeten rapporteren. Ondanks deze drijfveer en de behoefte van aandeelhouders aan informatie blijkt uit bovenstaande onderzoeken dat er geen volledige vrijwillige publicatie plaatsvindt van alle beschikbare informatie over risico’s en het interne risicobeheersingssysteem. Managers zijn terughoudend met het vrijwillig publiceren van alle informatie die ze beschikbaar hebben, omdat daar kosten aan verbonden zijn (Scott, 2009). Ook zijn managers terughoudend met het rapporteren van concurrentiegevoelige informatie en toekomstgerichte informatie.

Het ‘disclosure principle’ suggereert dat een manager vrijwillig alle beschikbare informatie (zowel goed nieuws als slecht nieuws) rapporteert. De belangrijkste aanname daarbij is dat aandeelhouders weten dat de manager informatie beschikbaar heeft en daarom verwachten dat managers alle beschikbare informatie publiceren. Wanneer dat niet gebeurd kunnen ze dit beschouwen als slecht nieuws en een hogere risicotoeslag (in de vermogenskosten) eisen (Scott, 2009). Verrecchia (1983) concludeerde dat het disclosure principe niet altijd opgaat, wanneer er (proprietary6) kosten verbonden zijn aan het publiceren van informatie. In deze situatie maakt een manager een afweging tussen de voordelen en nadelen van het publiceren van concurrentiegevoelige informatie. Abraham en Cox (2007) komen in overeenstemming met Marshall en Weetman (2002) tot de conclusie dat ondernemingen uit het Verenigd Koninkrijk, die ook een beursnotering in de Verenigde Staten hebben, meer rapporteren over financiële risico’s dan ondernemingen zonder een notering in de Verenigde Staten. Zij verklaren het verschil doordat de Verenigde Staten hogere eisen heeft ten aanzien van het rapporteren over financiële risico’s. De markt verwacht dat informatie die in de Verenigde Staten gepubliceerd moet worden ook in het Verenigd Koninkrijk gepubliceerd wordt. De onderneming heeft de extra informatie over financiële risico’s al in de Verenigde Staten gepubliceerd, waardoor er geen extra kosten voor het verzamelen en rapporteren van deze informatie zijn en er geen sprake meer is van concurrentiegevoelige informatie. De uitkomst ondersteunt het transactiekosten argument dat ondernemingen weinig redenen hebben om informatie niet te publiceren als de publicatie van deze informatie geen extra kosten met zich mee brengt. Pae (2005) concludeerde dat het disclosure principe eveneens niet stand houdt, als aandeelhouders niet weten of de manager informatie beschikbaar heeft en als de manager bij het publiceren van informatie rekening houdt met het maximaliseren van de ondernemingswaarde. De manager maakt dan een afweging tussen de voordelen en nadelen met betrekking tot het publiceren van slecht nieuws (bijvoorbeeld tekortkomingen van het interne risicobeheersingssysteem). Daarnaast is het publiceren van informatie eveneens afhankelijk van andere motieven van de manager. De manager kan bijvoorbeeld ook de motivatie hebben om de waarde van de onderneming te minimaliseren7, waarbij hij eerder in staat is om nadelige informatie te publiceren (Scott, 2009).

5

In deze paragraaf wordt gesproken over informatie, hiermee wordt gedoeld op informatie over risico’s en het interne risicobeheersingssysteem.

6

Proprietary kosten ontstaan als concurrentiegevoelige informatie wordt gepubliceerd, waar concurrenten van kunnen profiteren. Dit kan bijvoorbeeld gedetailleerde informatie zijn over de manier waarop de belangrijkste strategische en operationele risico’s worden gemanaged. (Lajili en Zéghal, 2005; Linsley en Shrives, 2005). Het publiceren van concurrentiegevoelige informatie is van invloed op de toekomstige kasstromen (Scott, 2009).

7

Een manager kan ook het motief hebben om de waarde van de onderneming te minimaliseren wanneer hij zijn aandelen(call)opties wil uitoefenen. Ook de political cost theory suggereert dat een manager de waarde van de onderneming wil minimaliseren (Scott, 2009 pagina 454).

(17)

Sommige ondernemingen presteren beter dan hun concurrenten, omdat ze bijvoorbeeld beschikken over waardevolle patenten. Deze ondernemingen zijn vaak terughoudend met het publiceren van concurrentiegevoelige informatie over de patenten (Linsley en Shrives, 2005). De ‘signalling theory’ suggereert dat ondernemingen desondanks aan een efficiënte markt een signaal kunnen afgeven dat ze een voordeel hebben ten opzichte van de concurrent, zonder dat ze de concurrentiegevoelige informatie hoeven te publiceren. De signalling theorie maakt daarbij onderscheid in type ondernemingen van hoge en lage kwaliteit De theorie definieert het signaal als een actie ondernomen door een kwalitatief hoge onderneming die niet rationeel zou zijn als een kwalitatief lage onderneming dit zou doen, omdat dit voor de kwalitatief lage onderneming hogere kosten met zich mee brengt8. Op deze manier kunnen de aandeelhouders indirect profiteren van de aanwezige maar niet gepubliceerde informatie (Scott, 2009).

Naast de proprietary kosten brengt het evalueren van het interne risicobeheersingssysteem en de processen en het verkrijgen, vastleggen, verwerken en verstrekken van informatie eveneens kosten met zich mee (Solomon en Cooper, 1990). Deze kosten kunnen onevenredig hoger zijn voor kleinere ondernemingen (McMullen et al, 1996). Bij het rapporteren van informatie over de interne beheersing, die achteraf onjuist blijkt te zijn, kan de onderneming te maken krijgen met kosten van een rechtszaak en een eventuele schadeclaim. Ook kan de reputatie van de manager/onderneming hierdoor geschaad worden (Raghunandan and Rama 1994; McMullen et al. 1996; Linsley en Shrives, 2000). Doordat de toekomst onzeker is bestaat er de kans dat toekomstgerichte informatie onbetrouwbaar is, wat kan leiden tot claims. Daarom zijn managers terughoudend met het publiceren van toekomstgerichte informatie (zonder een ‘safe harbour’ bescherming) (Linsley en Shrives, 2005). Hoewel de ondernemingen drijfveren hebben voor het vrijwillig publiceren van informatie blijkt in de praktijk dat bovenstaande factoren er toe leiden dat niet alle beschikbare informatie gepubliceerd wordt. De voordelen van het niet rapporteren wegen zwaarder dan de extra kosten die dat met zich mee brengt.

2.3 Verplichte risicorapportage

Naar aanleiding van een ontoereikende vrijwillige risicorapportage doen Carlon et al. (2003) en Lajili en Zéghal (2005) de aanbeveling om de vereisten ten aanzien van het rapporteren over risico’s uit te breiden. Dobler (2008) heeft onderzoek gedaan naar de (endogene) motivatie van managers om te rapporteren over risico’s en het interne risicobeheersings-systeem in een gereguleerde omgeving. Hij komt tot de conclusie dat de informatiewaarde van de risicorapportage in een gereguleerde omgeving niet overschat moet worden, omdat de drijfveer van managers om te publiceren over risico’s ook in een gereguleerde omgeving nog steeds een belangrijke rol speelt.

Dobler (2008) veronderstelt dat het publiceren van informatie9 geen kosten met zich mee brengt en focust zich op de onzekerheid van investeerders met betrekking tot de beschikbare informatie en de geloofwaardigheid van gepubliceerde informatie. Hij onderkent drie redenen waarom managers niet alle beschikbare informatie publiceren:

8

Als een kwalitatief lage onderneming dezelfde toekomstverwachtingen als een kwalitatief hoge onderneming zou publiceren, worden ze er op afgerekend als ze de prognose niet kunnen waarmaken.

9

Met informatie wordt in deze paragraaf informatie over risico’s en het interne risicobeheersingssysteem bedoeld.

Dobler onderscheid verifieerbare informatie (risicofactoren en risicomanagement) en niet-verifieerbare informatie (voorspelling van de manager over de distributie van toekomstige kasstromen). Niet-verifieerbare informatie is in veel gevallen minder geloofwaardig.

(18)

1. De manager heeft de informatie niet of hij doet alsof hij deze niet heeft (onzekerheid bij investeerders inzake de beschikbare informatie van de manager);

2. Een manager publiceert de beschikbare informatie bewust niet of omdat hij de informatie niet geloofwaardig kan communiceren10;

3. Het publiceren van (concurrentiegevoelige) informatie heeft nadelen (brengt extra kosten met zich mee) voor de onderneming.

Voor regelgevers is voor elke bovenstaande beperking een maatregel om de impact op de mate van het publiceren van informatie te mitigeren:

1. Het vereisen van het invoeren en onderhouden van een adequaat interne risicobeheersings-systeem. Dit moet leiden tot meer informatie over risico’s en het managen ervan;

2. Invoeren versterkingsmechanismen voor de geloofwaardigheid van informatie; 3. Het verplicht stellen van het rapporteren over risico’s.

Dobler (2008) heeft de invloed van de drie maatregelen onderzocht op de mate van het publiceren van informatie. Hij komt het inzicht dat meer beschikbare informatie naar aanleiding van een beter werkend intern risicobeheersingssysteem niet automatisch hoeft te leiden tot een hogere mate van het rapporteren over risico’s. Dit komt onder andere doordat het rapporteren over risico’s grotendeels subjectief en niet-verifieerbaar is, waardoor de hoeveelheid en de mate van detail van de risicorapportage nog steeds gedeeltelijk afhankelijk is van de motivatie van de managers om hierover te publiceren. Naar aanleiding van de tweede maatregel concludeert Dobler (2008) dat een audit alleen effect heeft bij verifieerbare informatie. Bij niet verifieerbare informatie zou de manager met behulp van signalen de geloofwaardigheid kunnen laten doorschemeren. De betrouwbaarheid van niet-verifieerbare informatie kan achteraf vastgesteld worden door de prognose te vergelijken met de werkelijke uitkomst. Als de prognoses achteraf vrij nauwkeurig blijken te zijn kan de manager een reputatie opbouwen die de geloofwaardigheid van de toekomstverwachtingen versterkt. Voorwaarde is dan wel dat de manager een lange termijn focus heeft. Een nadeel van dit mechanisme, waardoor het minder effectief is, is dat de manager de ruimte heeft om de werkelijk behaalde resultaten af te stemmen op de voorspelling (door middel van earnings management). Met betrekking tot de derde en laatste maatregel constateert Dobler (2008) dat het introduceren van regelgeving alleen leidt tot een hogere mate van publicatie als de kosten hoog genoeg zijn. Het introduceren van regelgeving heeft alleen nut als er onvoldoende motieven zijn om vrijwillig informatie te publiceren.

Onderzoeken naar de mate van het rapporteren van informatie in een gereguleerde omgeving bevestigen de conclusie van Dobler (2008). Kajuter en Winkler (2003) onderzochten de mate van verplichte risicorapportage door ondernemingen uit Duitsland. Zij concludeerden dat de mate van rapportage over risico’s niet voldeed aan de eisen die vanuit de regelgeving werden gesteld. Er was een grote variatie in de mate van risicorapportage, risico’s werden voornamelijk kwalitatief besproken en er werd weinig gerapporteerd over het identificeren en beoordelen van risico’s. Akkermans et al. (2007) hebben onderzoek gedaan naar de naleving van de Nederlandse code voor corporate governance in jaarverslagen uit 2004. Uit dit onderzoek blijkt dat op het gebied van de rapportage over de werking van het interne risicobeheersingssysteem in veel gevallen de corporate governance code niet wordt nageleefd.

10

Dit heeft betrekking op niet-verifieerbare informatie, zoals informatie over de distributie van toekomstige kasstromen. Ook kan het zo zijn dat een manager gunstige toekomstverwachtingen niet wil publiceren om er voor te zorgen dat potentiële toetreders niet de markt betreden.

(19)

Linsley en Shrives (2006) onderzochten de risicorapportage van 79 onderneming in het Verenigd Koninkrijk in het jaarverslag van 2000. Ze onderzochten onder andere of onderneming rapporteerden over het type risico, de tijdoriëntatie van risico’s (verleden en/of toekomstgericht), de kwantificering van risico’s (financiële en/of niet-financiële maatstaf) en goed en/of slecht nieuws met betrekking tot risico’s. Ze concluderen dat risico’s nauwelijks gekwantificeerd worden en dat de risicorapportage niet het complete beeld geeft van alle risico’s waar de ondernemingen mee te maken heeft. Daarentegen vinden ze wel een significante publicatie van toekomstgerichte informatie (in tegenstelling tot Beretta and Bozzolan, 2004). Linsley en Shrives (2006) concluderen dat door teveel algemene informatie over risico’s en een gebrek aan samenhang, stakeholders niet in staat zijn het risicoprofiel van de onderneming te beoordelen.

Uit gerelateerde wetenschappelijke onderzoeken blijkt dat er zowel in een vrijwillige als gereguleerde omgeving niet alle beschikbare informatie over risico’s en het interne risicobeheersingssysteem gepubliceerd wordt. Een oplossing zou kunnen zijn om de weten regelgeving uit te breiden. Dit brengt echter ook nadelen met zich mee. Meer regelgeving leidt ook weer tot meer kosten voor ondernemingen om te voldoen aan de regelgeving. Dit is duidelijk geworden bij de introductie van de Sarbanes Oxley Act en de naleving ervan (Paape, 2006). Ook hebben de verschillende stakeholders tegenstrijdige informatiebehoeften die niet allemaal in regels zijn vast te leggen. Tevens vermindert regelgeving voor de onderneming de kans om signalen af te geven, omdat het publiceren van concurrentiegevoelige informatie afgedwongen kan worden en managers geen keuze meer met betrekking tot de informatie die ze willen publiceren. Als laatste hebben ondernemingen ruimte nodig om onderneming-specifieke informatie over risico’s en het interne risicobeheersingssysteem te kunnen communiceren. Een te strikte regelgeving kan ondernemingen hierin beperken. Om enige flexibiliteit te behouden dient er dus een afweging gemaakt te worden tussen voordelen en nadelen van weten regelgeving (Scott, 2009).

2.4 Hypotheses

De behoefte aan beter corporate governance beleid wordt onder andere in gang gezet door de globalisering (internationalisering van de economie), de veranderende eigenaarstructuur van de onderneming, het wettelijke systeem en de cultuur van een land (Aguilera en Cuervo-Cazurra, 2004; OECD, 2004).

2.4.1 Eigenaarstructuur

De aandelen van een onderneming kunnen in het bezit zijn van een aantal grootaandeel-houders of de aandelen kunnen verspreid zijn onder meerdere kleine aandeelgrootaandeel-houders, die elk minder dan 5% van de aandelen in handen hebben. In de situatie dat de aandelen in handen zijn van een aantal grote aandeelhouders leidt dit tot lagere informatie en agency problemen, omdat grootaandeelhouders een groter motivatie hebben en beter in staat zijn om de manager te monitoren (Milgrom en Roberts, 1992) Wanneer er minder grote aandeelhouders zijn en de aandelen verspreid zijn over meerdere kleine aandeelhouders, is het voor elke aandeelhouder duurder en lastiger om de manager actief te monitoren en is er sprake van hoger agency probleem en meer informatie asymmetrie (Shleifer en Vishny, 1986). Michelon et al (2008) concluderen op basis van hun onderzoeksresultaten dat wanneer er de aandelen in handen zijn van een groep grootaandeelhouders, de grotere mogelijkheid om de manager te monitoren de motivatie van de manager om vrijwillig over risico’s en het interne risicobeheersingssysteem te rapporteren verlaagt. Deumes en Knechel (2008) komen tot dezelfde conclusie dat een

(20)

onderneming minder over het interne beheersingssysteem rapporteert als een aantal aandeelhouders een groot deel van de aandelen in bezit hebben. Op basis van deze informatie is de volgende hypothese opgesteld:

Hypothese 1: Er is een negatieve relatie tussen de mate van aandelenbezit door grote aandeelhouders en de mate waarin de manager rapporteert over risico’s en het interne risicobeheersingssysteem.

Leverage is gerelateerd aan het agency probleem tussen aandeelhouders en overige schuldeisers. Een verschil tussen beide is dat aandeelhouders bereid zijn om grotere risico’s te nemen. Onder andere Jensen and Meckling (1976) suggereren dat een hogere leverage de agency conflicten vergroot naar aanleiding van de mogelijkheid om kapitaal over te dragen van schuldeisers naar aandeelhouders. Bewijs voor de relatie tussen de mate van leverage en de mate van publiceren over risico’s is niet eenduidig. Deumes en Knechel (2008) vinden een positieve relatie tussen de mate van publicatie over de interne beheersing en leverage. Hieruit voortkomend is de tweede hypothese opgesteld:

Hypothese 2: Er is een positieve relatie tussen de mate van leverage en de mate waarin een onderneming rapporteert over risico’s en het interne risicobeheersingssysteem.

2.4.2 Wettelijk systeem

Uit onderzoeken naar de bescherming van aandeelhouders in common law- en civil law landen is naar voren gekomen dat de aandeelhouders in de common law (Angelsaksische) landen beter beschermd zijn dan in de (Europese Continentale) civil law landen. Tevens ontwikkelen corporate governance mechanismen zich beter in common law landen. Het common law principe stimuleert een betere aandeelhoudersbescherming en de ontwikkeling van een kapitaalmarkt (La Porta et al, 1999). Van der Bouwhede en Willekens (2008) ontdekken dat de mate van openbaarmaking van corporate governance informatie hoger is bij ondernemingen uit common law landen. Zattoni en Cuomo (2008) concluderen uit hun onderzoek vanuit het legitieme perspectief dat civil law landen corporate governance codes later opnemen, de code minder vaak herzien, en meer dubbelzinnige en tolerantere aanbevelingen geven. Ze concluderen dat het opstellen van corporate governance codes in civil law landen eerder wordt ondernomen op basis van legitieme redenen dan op basis van efficiency redenen (het innoveren en verbeteren van het nationale corporate governance systeem) De legitieme reden van het invoeren van corporate governance codes, ontstaat als naar aanleiding van de globalisering de internationalisering van de kapitaalmarkt ontstaat. Hierdoor ontstaat de druk van investeerders voor het opnemen van een corporate governance code omdat zij gewend zijn en verwachten dat deze aanwezig is. Op basis van deze informatie is de volgende hypothese opgesteld:

Hypothese 3: Common law landen hebben een hogere mate van rapporteren over risico’s en het interne risicobeheersingssysteem dan civil law landen

(21)

2.5 Conclusie

Met de informatie in dit hoofdstuk is een antwoord gegeven op de eerste deelvraag: waarom rapporteren ondernemingen over risico’s en over het interne risicobeheersing systeem? Het scheiden van leiding en eigendom van ondernemingen, leidt ertoe dat de bestuurders van de onderneming meer informatie over risico’s hebben dan de aandeelhouders. Aandeelhouders hebben behoefte aan deze informatie omdat ze hiermee vast kunnen stellen welke risico’s de toekomstige resultaten van de onderneming bedreigen en of het management voldoende in staat is geweest deze risico’s te identificeren en beheersen. Om deze reden publiceren ondernemingen vrijwillig informatie over risico’s en het interne risicobeheersingssysteem. Een bijkomend voordeel is dat dit leidt tot lagere vermogenskosten. In de praktijk blijkt dat in een vrijwillige omgeving niet alle beschikbare informatie over risico’s en het interne risico-beheersingssysteem gepubliceerd wordt. Dit wordt veroorzaakt door dat er kosten verbonden zijn aan het publiceren van informatie en managers terughoudend zijn met het publiceren van concurrentiegevoelige informatie en toekomstgerichte informatie. Ook zijn managers bang voor reputatieschade en schadeclaims als gevolg van onjuiste informatie die ze hebben verstrekt. Ondanks het invoeren van weten regelgeving, met betrekking tot het rapporteren over risico’s en het interne risicobeheersingssysteem, leidt dit niet tot een volledige publicatie van alle beschikbare informatie. Dit wordt veroorzaakt doordat het rapporteren over risico’s grotendeels subjectief en niet-verifieerbaar is, waardoor de hoeveelheid en de mate van detail van de risicorapportage nog steeds deels afhankelijk is van de motivatie van de managers om hierover te publiceren. Het introduceren van regelgeving heeft alleen nut als er onvoldoende motieven zijn om informatie vrijwillig te publiceren. Het invoeren van meer weten regelgeving brengt kosten met zich mee en vermindert de flexibiliteit van ondernemingen om over risico’s en het interne risicobeheersingssysteem te rapporteren. Bij het opstellen van weten regelgeving zal een afweging gemaakt moeten worden tussen de voordelen en nadelen van meer weten regelgeving.

(22)

Hoofdstuk 3: Wet- en regelgeving

In dit hoofdstuk wordt een antwoord gegeven op de tweede deelvraag. Het hoofdstuk bespreekt de weten regelgeving in de westerse en de opkomende economieën met betrekking tot het rapporteren over risico’s en het interne risicobeheersingssysteem door ondernemingen in hun jaarverslagen. Er is weergegeven welke principes inzake het rapporteren over risico’s en het interne risicobeheersingssysteem door de wetgeving en door de nationale corporate governance codes worden voorgeschreven. In de laatste paragraaf is een tabel opgenomen die de overeenkomsten en verschillen tussen westerse en opkomende economieën weergeeft. In de afgelopen twee decennia is er toenemende aandacht geweest voor risico’s en het interne risicobeheersingssysteem. In 1987 constateerde het AICPA (American Institute of Certified Public Accountants) dat aandeelhouders behoefte hadden aan informatie over risico’s en onzekerheden waar een onderneming mee te maken heeft. (Schrand and Elliott, 1998). In 1992 publiceerde de Cadbury commissie, in het Verenigd Koninkrijk, een rapport waarin ze aanbevelen dat het bestuur moet rapporteren over de effectiviteit van het interne beheersings-systeem (m.b.t. de financiële verslaggeving). In datzelfde jaar kwam COSO (1992) met een ‘Internal control - Integrated Framework’. Dit raamwerk kunnen ondernemingen gebruiken bij het beoordelen en verbeteren van het interne beheersingssysteem. Het raamwerk heeft naast financiële verslaggevingsrisico’s ook aandacht voor operationele risico’s en complaincerisico’s11. In 1997 publiceerde het ICAEW (Institute of Chartered Accountants in England and Wales) een discussieartikel waarin ze van mening was dat er door het bestuur meer informatie over risico’s en risicomanagement in het jaarverslag gepubliceerd moest worden. In 1999 en 2002 publiceerde het ICAEW wederom 2 discussie artikelen met als doel een betere rapportage over risico´s en het interne risicobeheersingssysteem te stimuleren12. Naar aanleiding van de boekhoudschandalen van Enron en Ahold is in 2002 in de Verenigde Staten de Sarbanes Oxley Act (SOX) ingevoerd13. SOX richt zich op het waarborgen van de betrouwbaarheid van financiële informatie. Sectie 302 (disclosure controls en procedures) verplicht dat het management vaststelt dat de interne beheersingsmaatregelen rond de informatieverstrekking in openbaar gemaakte financiële rapportages toereikend zijn. Sectie 404 (internal control over financial reporting) richt zich op het jaarlijks doen van een uitspraak van het management over de opzet en werking van de interne beheersings-maatregelen ten aanzien van de financiële verslaggeving. De accountant geeft daarbij een verklaring af bij het evaluatieproces van het management en een zelfstandige verklaring over de effectiviteit van internal control over financial reporting (Emanuels, 2004). In 2006 is de Europese richtlijn 2006/46/EG aangenomen (ter aanpassing van de Vierde en Zevende richtlijn vennootschapsrecht over de jaarrekening). Deze richtlijn verplicht beursgenoteerde vennootschappen om informatie te verschaffen over de feitelijk toegepaste corporate governance praktijken, met inbegrip van een beschrijving van de belangrijkste kenmerken van interne risicobeheersingssystemen en interne controles met betrekking tot het proces van financiële verslaggeving.

Naast weten regelgeving staan in corporate governance codes principes die onder andere betrekking hebben op het rapporteren over risico’s en het interne risicobeheersingssysteem. De principes zorgen voor een beter toezicht en controle op het management en voor tijdige en

11

Het raamwerk werd in 2004 opgevolgd door het COSO ‘ERM integrated framework’. Zie ook paragraaf 1.4 in de inleiding.

12

1997: "Financial Reporting of Risk - Proposals for a Statement of Business Risk", 1999: "No Surprises: The Case for Better Risk Reporting", 2002: "No Surprises: Working for Better Risk Reporting"

13

De Sarbanes Oxley Act geldt niet alleen voor Amerikaanse beursgenoteerde fondsen en hun wereldwijde dochters geldt, maar ook voor buitenlandse ondernemingen die aan de Amerikaanse beurs genoteerd staan.

(23)

C.2 Internal Control Main Principle

The board should maintain a sound system of internal control to safeguard shareholders’ investment and the company’s assets.

Code Provision

C.2.1 The board should, at least annually, conduct a review of the effectiveness of the group’s system of internal controls and should report to shareholders that they have done so. The review should cover all material controls, including financial, operational and compliance controls and risk management systems*.

C.3 Audit Committee and Auditors

C.3.2 The main role and responsibilities of the audit committee should be set out in written terms of reference and should include:

• To review the company’s internal financial controls and, unless expressly addressed by a separate board risk committee composed of independent directors, or by the board itself, to review the company’s internal control and risk management systems.

* The Turnbull guidance suggests means of applying this part of the Code. Copies are available at www.frc.org.uk/corporate/internal control.cfm

Combined Code 2006 betrouwbare informatie voor de aandeelhouders. Corporate governance codes benadrukken het belang van transparantie, controleerbaarheid, interne beheersing, remuneratiebeleid, onafhankelijke toezichthouders en de samenstelling en structuur van de raad van bestuur en raad van commissarissen (Mallin, 2007). Naar aanleiding van de boekhoudschandalen is er binnen corporate governance extra aandacht geweest voor het opstellen van principes en best-practices op het gebied van risicomanagement en interne beheersing. Ook na het ontstaan van de kredietcrisis is de aandacht voor het rapporteren over risico’s en het interne risicobeheersingssysteem weer toegenomen. Op basis van onduidelijkheden in de code en internationale ontwikkelingen worden nationale corporate governance codes regelmatig herzien. In sommige landen mogen ondernemingen de nationale corporate governance code vrijwillig naleven. In andere landen vereist de wetgeving of het beursnoteringreglement dat ondernemingen beschrijven welke principes zijn nageleefd en welke principes niet zijn nageleefd en wat de reden daarvoor is geweest (comply or explain).

3.1 Wet- en regelgeving in de westerse economieën

Tot de westerse economieën behoren in deze studie het Verenigd Koninkrijk, Duitsland en Nederland. Voor het inventariseren van de mate van het rapporteren over risico’s en het interne risicobeheersingssysteem zijn de jaarverslagen van ondernemingen uit deze 3 landen gebruikt. Om die reden wordt in deze paragraaf de weten regelgeving met betrekking tot het rapporteren over risico’s in deze landen besproken.

3.1.1 Verenigd Koninkrijk

In het Verenigd Koninkrijk hebben de Cadbury commissie (1992) en de Hampel commissie (1998) aandacht besteed aan risico´s en het interne risicobeheersingssysteem. In 1998 is de ‘the combined code on corporate governance’ ingevoerd. In 2003 en 2006 is de combined code herzien14. Het beursnoteringreglement schrijft voor dat ondernemingen moeten voldoen aan het comply or explain principe. In de Combined Code (2006) zijn inzake het rapporteren over risico´s en het interne risicobeheersingssysteem de volgende bepalingen opgenomen:

14

De combined Code is wederom in 2008 herzien, alleen zijn deze wijzigingen niet relevant voor het onderzoek, omdat de jaarverslagen over het jaar 2007 zijn onderzocht.

(24)

The board’s statement on internal control

33 The annual report and accounts should include such meaningful, high-level information as the board considers necessary to assist shareholders' understanding of the main features of the company's risk management processes and system of internal control, and should not give a misleading impression. 34 In its narrative statement of how the company has applied Code Principle C.2, the board should, as a

minimum, disclose that there is an ongoing process for identifying, evaluating and managing the significant risks faced by the company, that it has been in place for the year under review and up to the date of approval of the annual report and accounts, that it is regularly reviewed by the board and accords with the guidance in this document.

35 The disclosures relating to the application of Principle C.2 should include an acknowledgement by the board that it is responsible for the company's system of internal control and for reviewing its effectiveness. It should also explain that such a system is designed to manage rather than eliminate the risk of failure to achieve business objectives, and can only provide reasonable and not absolute assurance against material misstatement or loss.

36 In relation to Code Provision C.2.1, the board should summarise the process it (where applicable, through its committees) has applied in reviewing the effectiveness of the system of internal control and confirm that necessary actions have been or are being taken to remedy any significant failings or weaknesses identified from that review. It should also disclose the process it has applied to deal with material internal control aspects of any significant problems disclosed in the annual report and accounts.

37 Where a board cannot make one or more of the disclosures in paragraphs 34 and 36, it should state this fact and provide an explanation. The Listing Rules require the board to disclose if it has failed to conduct a review of the effectiveness of the company's system of internal control.

Turnbull Report 2005 In 1999 werd het ‘Turnbull Report on Internal Control’ van het ICAEW gepubliceerd. Dit rapport is een uitwerking van de bepaling over ‘internal control’ uit de Combined Code van 1998. Het rapport bevat best-practices die ondernemingen ondersteunen bij het rapporteren over risico’s en het interne risicobeheersingssysteem. In 2005 is het Turnbull Report herzien en aangepast op basis van nieuwe ontwikkelingen en ervaringen. Het Turnbull Report bevat onderwerpen als het belang van interne beheersing en risicomanagement en het instandhouden van een goed werkend intern beheersingssysteem. Ook worden elementen van een intern beheersingssysteem (zoals interne beheersingsmaatregelen en continue monitoring) en het reviewen en beoordelen van de effectiviteit van het interne beheersingssysteem behandeld.

In het Turnbull Report (2005) staan ook aanbevelingen voor het beoordelen van risico’s. Zo moet er aandacht besteedt worden aan het periodiek identificeren en beoordelen van significante interne en externe operationele, financiële, compliance en andere risico’s. Er wordt hierbij verwezen naar de vrijwillig op te volgen best-practices voor het opstellen van de ‘Operating and Financial Review’ (OFR)15.

3.1.2 Duitsland

Het rapporteren over risico’s werd in 1998 in Duitsland wettelijk afgedwongen door de invoering van de Kontrag (Gesetz zur Kontrolle und Transparenz im Unternehmens-bereich). Het doel van deze wet is om de effectiviteit van interne beheersingsmaatregelen te versterken en de kwaliteit en transparantie van de informatieverschaffing aan stakeholders te verbeteren. De Kontrag is een amendement van de HGB (Handelsgesetzbuch) en de AktG (Aktiengesetz)16. De Kontrag wetgeving vereist de publicatie van risico’s, met betrekking tot de toekomstige ontwikkeling van de onderneming, in het directieverslag.

15

The Accounting Standard Board heeft het ‘Reporting Statement: Operating and Financial Review’ in 1993 voor het eerst opgesteld. In 2003 en 2006 is de OFR herzien.

16

Het Handelsgesetzbuch is het handelswetboek en bestaat onder andere uit de regelgeving voor het opstellen van het jaarverslag . Het Aktiengesetz is het ondernemingsrecht voor de Aktiengesellschaft (AG). De AG is de tegenhanger van de Nederlandse naamloze vennootschap (NV).