Interne risicorapportage, een praktische invulling: Rapporteren over risicomanagement bij organisatie X Master Thesis

Master Thesis

Interne risicorapportage, een praktische invulling:

Rapporteren over risicomanagement bij organisatie X

Rijksuniversiteit Groningen

Mei 2011

Student:

Suzan Kenkhuis

Studentnummer:

s1666878

Datum:

13-05-2011

Studie:

Business Administration (MSc), Rijksuniversiteit Groningen

Specialisatie:

Organization & Management Control

Begeleiders:

- Drs. Wilmar de Munnik (Rijksuniversiteit Groningen)

- Drs. Sikko Bruinsma (KPMG)

3

Voorwoord

Voor u ligt mijn masterscriptie welke geschreven is ter afronding van mijn master Business Administration aan de Rijksuniversiteit Groningen. Voor het schrijven van deze scriptie heb ik een onderzoek uitgevoerd bij organisatie X. Het onderwerp van dit onderzoek is de interne rapportage over risicomanagement. Ik hoop dat organisatie X mijn adviezen als nuttig zal ervaren en dat zij deze kunnen gebruiken om het rapporteren over risicomanagement te verbeteren.

Hoewel het onderzoek en het schrijven van de scriptie een individuele opdracht is, heb ik toch veel hulp mogen ervaren van een aantal mensen die ik op deze plek wil bedanken. In de eerste plaats een woord van dank aan mijn begeleiders. Mijn begeleider Wilmar de Munnik, vanuit de Rijksuniversiteit Groningen die mij gedurende het onderzoeksproces voorzag van adviezen en inzichten. Ik heb de gesprekken met hem als leerzaam ervaren. Sikko Bruinsma, mijn begeleider vanuit KPMG, wil ik bedanken voor de geweldige kans die mij geboden is door deze opdracht uit te voeren en tevens voor zijn heldere uitleg en waardevolle commentaar. Mijn begeleider bij organisatie X, die mij met zijn kennis en kunde over organisatie X ontzettend heeft geholpen om mijn onderzoek goed te laten verlopen en mij daarnaast ook erg geholpen heeft om mijn scriptie inhoudelijk te verbeteren. Daarnaast wil ik mijn directe collega’s van organisatie X en KPMG bedanken voor de leuke tijd, voor hun begrip, luisterend oor en tips. Verder wil ik alle medewerkers van organisatie X bedanken die hebben meegewerkt aan het onderzoek.

Tevens wil ik op deze plaats mijn ouders bedanken die mij, gedurende mijn hele studie op zoveel manieren hebben gesteund. Veel dank ben ik ook verschuldigd aan mijn vriend Michel, die altijd voor mij klaar stond en voor het meelezen van mijn scriptie.

Rest mij nog, u veel leesplezier te wensen!

Suzan Kenkhuis

4

Samenvatting

In dit onderzoek is gekeken hoe organisaties intern over risicomanagement zouden moeten rapporteren. Daarvoor is in de eerste plaats een literatuurstudie verricht naar de componenten waaruit risicomanagement bestaat. Door middel van een studie van verschillende modellen is uiteindelijk een normatief model ontwikkelt voor het risicomanagementsysteem. In dit onderzoek is het risicomanagementsysteem geformuleerd als een risicomanagementproces bestaand uit de aspecten; doelstellingen, risico-inventarisatie, risicobeoordeling, beheersmaatregelen en evaluatie en bijsturing. Het risicomanagement-proces vormt samen met de randvoorwaarden; cultuur, structuur, kennis en techniek het risicomanagementsysteem. Per aspect van het risicomanagementproces is aan de hand van de literatuur vastgesteld wat gerapporteerd zou moeten worden. Op basis hiervan is vervolgens een vragenlijst ontwikkeld. Om de geschiktheid en toepasbaarheid van de vragenlijst te beoordelen is de vragenlijst getest in de case organisatie X en gevalideerd door risicomanagementexperts. Op basis van de uitkomsten van het literatuuronderzoek, validatie van de vragenlijst en het testen van de vragenlijst in de case organisatie X kan geconcludeerd worden dat de vragenlijst een geschikt instrument is voor het primaire doel, toetsen en verbeteren van interne risicorapportage. Daarnaast is gebleken dat de vragenlijst een breder beeld geeft over het risicomanagementsysteem dan alleen de staat van interne risicorapportage. Door het afnemen van de vragenlijst kan tevens inzicht verkregen worden in de staat van risicomanagement bij organisaties en de tekortkomingen van het betreffende risicomanagementsysteem.

5

Inhoudsopgave

1. INTRODUCTIE ... 7

2. ONDERZOEKSOPZET EN METHODOLOGIE ... 8

2.1 Aanleiding ... 8

2.2 Doelstelling en vraagstelling ... 9

2.3 Methode ... 9

2.4 Relevantie van het onderzoek ... 12

2.5 Leeswijzer ... 13

3.ORGANISATIEPROFIEL ORGANISATIE X ... 14

3.1 Organisatie beschrijving en kerntaken ... 14

3.2 Structuur ... 14

3.3 Missie, visie en doelstellingen ... 14

3.4 Conclusie... 14

4.THEORIE RISICOMANAGEMENT ... 15

4.1 Introductie ... 15

4.2 Wat is risicomanagement ... 15

4.3 Voordelen en bezwaren risicomanagement ... 16

4.4 Risicomanagement als systeem... 17

4.5 Risicomanagementmodellen ... 19

4.5.1 COSO ERM ... 19

4.5.2 ISO ... 21

4.5.3 Generalisatie van risicomanagementproces ... 23

4.6 Risicomanagement vanuit Corporate Governance ... 24

4.6.1 Risicomanagement volgens Code Tabakblat ... 24

4.7 Afbakening risicomanagement ... 26

4.8 Conclusie... 29

5.RAPPORTAGE ... 31

5.1 Wat is rapporteren? ... 31

5.2 Rapporteren over risicomanagement (interne en externe rapportage) ... 33

5.3 Inhoud van risicorapportages (volgens corporate governance) ... 33

5.4 Koppeling risicomanagement en rapportagevereisten ... 35

5.5 Overige rapportage eisen ... 36

5.6 Conclusie... 38

6.RESULTATEN EN ANALYSE ... 40

6.1 Ontwikkeling vragenlijst en validatie ... 40

6.2 Resultaten casestudy ... 42

6

6.2.2 Risico inventarisatie... 45

6.2.3 Risicobeoordeling ... 48

6.2.4 Beheersmaatregelen ... 50

6.2.5 Evaluatie en bijsturing ... 52

6.2.6 Randvoorwaarden ... 53

6.3 Conclusie... 56

6.4 Reactie op Case Studie... 57

7.CONCLUSIE EN AANBEVELINGEN ... 60

7.1 Vragenlijst ... 61

7.2 Beperkingen en vervolgonderzoek ... 64

8. BRONNENLIJST ... 66

8.1 literatuur ... 66

8.2 Organisatie X Documenten ... 70

9. BIJLAGEN ... 72

Bijlage 1: Organisatie structuur ... 73

Bijlage 2: Planning en control cyclus ... 74

Bijlage 3: Vragenlijst ... 75

Bijlage 4: Antwoordcategorieën ... 77

Bijlage 5: Uitwerkingen Case Study ... 82

Bijlage 6: Totaal score organisatieonderdelen A en organisatieonderdelen B ... 88

7

1. INTRODUCTIE

Organisatie X is al geruime tijd bezig om risicomanagement vorm te geven.

Voor beursgenoteerde ondernemingen is risicomanagement al geruime tijd een bekend principe. Sinds de schandalen zoals die bij Enron, Ahold, Parmalat etc. zijn er in de VS en ook binnen Europa Governance Codes ontwikkeld die eisen stellen aan risicobeheersingsystemen en de rapportage daarvan. Zo schrijft de Nederlandse Code Tabaksblat voor dat het bestuur in het jaarverslag verklaart dat interne risicobeheersings- en controlesystemen adequaat en effectief zijn en dat zij een duidelijke onderbouwing hiervan geven (Commissie Tabaksblat, 2003, II.1.4). Meer recent noemt Droogsma (2009) dat de kredietcrisis door een beter risicomanagement bij banken voorkomen had kunnen worden. Wanneer de risicosystemen goed hadden gefunctioneerd, waren risico’s eerder aan het licht gekomen en had men hierop kunnen inspelen door te besluiten risico’s niet te nemen, maatregelen tegen de risico’s te nemen of de risico’s te accepteren.

8

2. ONDERZOEKSOPZET EN METHODOLOGIE

2.1 Aanleiding

Voor zorginstellingen is de Zorgbrede Governancecode van kracht (Zorgbrede Governancecode, 2010). Deze code ziet toe op de inrichting van het bestuur en toezicht van zorginstellingen. In deze code is een artikel over risicomanagement opgenomen. Hierin staat beschreven dat de Raad van Bestuur verantwoordelijk is voor de aanwezigheid van een intern risicobeheersings- en controlesysteem. Het risicomanagement beperkt zich hierbij niet tot financiële risico’s maar omvat ook risico’s met betrekking tot kwaliteit, patiëntveiligheid, imago enzovoort. De Raad van Bestuur dient hierover te rapporten aan de Raad van Toezicht. Naar aanleiding van incidenten bij Nederlandse zorginstellingen en door de opname van het bovengenoemde artikel betreffende risicomanagement in de Zorgbrede Governancecode, is er bij de Raad van Bestuur van organisatie X toenemende vraag naar een rapportage over het functioneren van systemen om risico’s te identificeren, te beheersen en te evalueren. Daarom is men binnen organisatie X van start gegaan met risicomanagement. Er is een systeem voor risicomanagement opgezet. De output van het systeem zijn geïdentificeerde risico's die wel of niet beheerst worden. Het bestuur van organisatie X is van mening dat op dit moment binnen organisatie X niet op gestructureerde wijze verantwoording wordt afgelegd over de risico's, de maatregelen en de uitkomsten. Er is intern, dus voor de organisatieonderdelen A en organisatieonderdelen B, geen consequente, structurele methode van risicorapportage. Verondersteld wordt dat wanneer een consequente interne rapportage ontbreekt, het onmogelijk is om extern te rapporteren over risicomanagement. Dit onderzoek zal zich richten op de wijze waarop intern over risico’s gerapporteerd moet worden om zo te komen tot een compleet overzicht van risicomanagement activiteiten die organisatie X in staat moeten stellen haar strategische doelstellingen te behalen en hierover extern te kunnen rapporteren.

9

2.2 Doelstelling en vraagstelling

In dit onderzoek staat rapportage over risicomanagement centraal. De doelstelling van dit onderzoek is, door het verkennen van theoretische constructen, bij te dragen aan de ontwikkeling van een normstelling voor interne risico rapportage. Er bestaat op dit moment namelijk nog geen norm over de wijze waarop intern over risicomanagement gerapporteerd zou moeten worden. Met deze normstelling kan ook organisatie X werken aan de verbetering voor haar eigen interne risicorapportages. Dit leidt tot de volgende vraagstelling:

Hoe kan, gegeven het specifieke risicomanagement systeem van organisatie X, invulling worden gegeven aan interne risicorapportage?

De volgende deelvragen komen voort uit deze probleemstelling:

1. Wat zijn de kernactiviteiten van organisatie X en hoe wordt de organisatie bestuurd? 2. Wat is risicomanagement?

3. Wat is rapporteren over risicomanagement?

4. Hoe vindt rapporteren over risicomanagement op dit moment plaats bij organisatie X?

Deze studie kent een theoretisch en een praktisch gedeelte. Vraag één zal worden beantwoordt door een contextstudie. De tweede en derde vraag zullen worden beantwoord door middel van theoretisch onderzoek. De literatuurstudie zal leiden tot een normatief kader waarover gerapporteerd zou moeten worden. Op basis hiervan wordt een vragenlijst ontwikkeld. Deze zal in de praktijk worden getoetst bij organisatie X. Hieruit zal blijken hoe de huidige situatie bij organisatie X is met betrekking tot risicomanagement en de rapportage hierover, waardoor de vierde deelvraag wordt beantwoord. Vervolgens kunnen dan aanbevelingen worden gedaan voor interne rapportage over risicomanagement bij organisatie X.

2.3 Methode

Hieronder zal worden uitgelegd op welke manier een antwoord wordt gezocht op de

deelvragen in dit onderzoek.

10

Door middel van deze deelvraag wordt de context van het onderzoek in kaart gebracht. De vraag zal beantwoord worden door het houden van oriënterende gesprekken en door bestudering van organisatie X-documenten, welke merendeels op het intranet van organisatie X te vinden. De organisatiestructuur en de planning & control cyclus worden bestudeerd.

Deelvraag 2: Wat is risicomanagement?

Een literatuur studie zal worden uitgevoerd voor het beantwoorden van deze tweede deelvraag. Vanuit de literatuur wordt duidelijk wat onder risicomanagement wordt verstaan en hoe dit toegepast dient te worden. Wetenschappelijke artikelen over risicomanagement zullen worden gezocht in databases zoals Ebscohost, Sciencedirect en Picarta. Deze deelvraag zal leiden tot een norm voor het begrip risicomanagement.

Deelvraag 3: Wat is rapporteren over risicomanagement?

Voor het beantwoorden van deze deelvraag zal gezocht worden naar artikelen in bovengenoemde databases en boeken die uitleggen wat onder rapporteren wordt verstaan en die ingaan op de wijze waarop over risico’s gerapporteerd dient te worden.

Op basis van de literatuur over risicomanagement en rapportage kom ik tot een normatief model wat rapporteren over risicomanagement inhoudt. Deze norm wordt vertaald naar een vragenlijst met bijbehorende antwoordcategorieën. Door middel van deze vragenlijst kunnen organisaties toetsen in hoeverre zij voldoen aan de eisen voor interne risicorapportage. De vragenlijst zal worden gevalideerd door deze voor te leggen aan twee experts op het gebied van risicomanagement. Op deze manier wordt de inhoudvaliditeit verhoogd (de Pelsmacker en van Kenhove, 2007).

Deelvraag 4: Hoe vindt rapporteren over risicomanagement op dit moment plaats bij organisatie X?

11

gehele organisatieonderdeel A of B. Daardoor zijn zij ook eindverantwoordelijke voor risicomanagement en worden zij geacht aan het bestuur hierover verantwoording af te leggen. Daarnaast hebben zij een breder beeld over organisatieonderdeel A dan wel organisatieonderdeel B en mag op basis daarvan verwacht worden dat zij op de hoogte zijn van de aanwezigheid dan wel afwezigheid van risicomanagement en activiteiten op dit gebied. Ondersteuning door controllers of managers vindt plaats in de gevallen waarin de hoofden aangeven over te weinig kennis over dit onderwerp te beschikken. De interviews zijn met toestemming van de respondenten opgenomen. De verkregen data wordt verwerkt in een beoordelingsmatrix (bijlage 5).

Hoe kan, gegeven het specifieke risicomanagement systeem van organisatie X, invulling worden gegeven aan interne risicorapportage?

De hoofdvraag wordt beantwoord door middel van de onderzoeksresultaten die voortkomen uit de verschillende deelvragen. Dit leidt tot een norm over hoe intern over risicomanagement gerapporteerd zou moeten worden. Deze norm is vertaald naar een vragenlijst welke tot stand komt door middel van triangulatie (Thomas, 2004). Er wordt namelijk op drie verschillende manieren onderzoek gedaan; resultaten van het literatuuronderzoek, eventueel aangepast na validatie door experts, leidt tot de vragenlijst welke getoetst wordt in de praktijk. Door het testen van de vragenlijst in de case organisatie X leidt dit, naast inzichten voor organisatie X over hun risicomanagementsysteem en risicorapportage, tot inzichten over de werking van de vragenlijst.

12

het geval van een case krijgt men beter begrip en dit leidt tot betere constructie van theorie. Bij meerdere cases is het minder waarschijnlijk dat men tot dezelfde kwaliteit van begrip en theorie zal komen. Case studies worden gebuikt om te verklaren. Hierbij kan onderscheid worden gemaakt tussen theory-testing en theory-building studies (Thomas, 2004). Bij de eerste soort studie zijn er aan het begin van het onderzoek een aantal veronderstellingen welke door middel van het case onderzoek worden getest. In het geval van theory building is er aan het begin van het onderzoek slechts een vraag, waarbij men door middel van intensief bestuderen van een case aan het einde van het onderzoek tot een theorie komt (de Vaus, 2001). Op grond hiervan, valt dit onderzoek in de laatste categorie. Bij case studies wordt gebruik gemaakt van verschillende methoden van informatieverzameling, zoals interviews, vragenlijsten, observatie en de analyse van documentaire verslagen (Thomas, 2004). In dit onderzoek zal informatie worden verzameld door middel van interviews. Wanneer in interviews wordt verwezen naar bestaande documenten zullen deze worden geanalyseerd. De interviews met medewerkers uit verschillende functies en organisatie onderdelen van organisatie X hebben als doel om de huidige manier van rapporteren te toetsen.

2.4 Relevantie van het onderzoek

13

beheersingsinformatie welke, bij volledige uitvoering, moet volgen uit de interne risicorapportages zal het bestuur inzicht geven in de staat van risicomanagement binnen organisatie X in het algemeen, maar ook specifiek waar de organisatie grote en minder grote risico’s loopt en hoe hiermee wordt omgegaan. Waar en wanneer nodig kan de Raad van Bestuur ingrijpen om zo schandalen, zoals die zich de afgelopen jaren hebben voorgedaan in ziekenhuizen, te voorkomen of de kans hierop te beperken. Aangezien het bestuur eindverantwoordelijk is voor risicomanagement hebben zij deze relevante beheersingsinformatie nodig om ook daadwerkelijk deze eindverantwoordelijkheid bewust te kunnen nemen. De vragenlijst die in dit onderzoek ontwikkeld wordt, kan ook bij andere organisaties gebruikt worden om hun wijze van rapporteren over risicomanagement te toetsen aan de eisen die tevens uit dit onderzoek zullen voortkomen.

2.5 Leeswijzer

14

3.ORGANISATIEPROFIEL ORGANISATIE X

In dit hoofdstuk wordt de eerste deelvraag behandeld:

“Wat zijn de kernactiviteiten van organisatie X en hoe wordt de organisatie bestuurd?”

In de eerste paragraaf worden de kerntaken van organisatie X beschreven. De structuur van organisatie X wordt beschreven in paragraaf twee gevolgd door de missie, visie en doelstellingen in de derde paragraaf. In paragraaf vier wordt de werking van de planning en control cyclus uitgelegd. Tot slot een beknopte conclusie in paragraaf vijf.

3.1 Organisatie beschrijving en kerntaken

Kan niet worden weergegeven.

3.2 Structuur

Kan niet worden weergegeven.

3.3 Missie, visie en doelstellingen

Kan niet worden weergegeven.

3.4 Conclusie

15

4.THEORIE RISICOMANAGEMENT

In dit hoofdstuk wordt onderzocht wat risicomanagement is en wat het inhoud. Hiermee wordt de tweede deelvraag beantwoord:

“Wat is risicomanagement?”

De eerste paragraaf start met een korte introductie gevolgd door een omschrijving van het begrip risicomanagement in paragraaf twee. In paragraaf drie komen de voordelen en bezwaren van risicomanagement aan de orde. Vervolgens wordt in paragraaf uitleg gegeven over risicomanagement als een systeem gevolgd door de bespreking van twee risicomanagementmodellen in paragraaf vijf. In de volgende paragraaf wordt gekeken wat vanuit corporate governance over risicomanagement wordt gezegd. In paragraaf zeven volgt dan de afbakening van risicomanagement voor dit onderzoek en in de laatste paragraaf volgt een korte conclusie.

4.1 Introductie

Ondernemingen in verschillende bedrijfstakken ontdekken risicomanagement als het middel om verlies van inkomsten tegen te gaan en als manier om competitief voordeel te behouden (O’Donnell, 2005). Daarnaast vereisen governance codes, zoals de Sarbanes-Oxley Act in de verenigde Staten en Code Tabaksblat in Nederland, dat ondernemingen in hun jaarverslag rapport uitbrengen van het interne risicobeheersingsysteem en de werking daarvan. Reden hiervoor zijn de schandalen die wereldwijd zijn ontstaan als gevolg van het tekortschieten van controle op het uitvoerende management van ondernemingen (Emanuels en de Munnik, 2006). Risicomanagement is dus niet voor alle ondernemingen een vrijwillige keuze. In de buitenlandse literatuur wordt in plaats van risicomanagement veelal gesproken over Enterprise Risk Management (ERM). In het vervolg zal verder gesproken worden over risicomanagement. In dit hoofdstuk wordt beschreven wat risicomanagement is.

4.2 Wat is risicomanagement

16

nogal eens verkeerd wordt geïnterpreteerd. Risico wordt in 1921 door Knight gedefinieerd als de onzekerheid over toekomstige resultaten (Dobler, 2008). COSO (2004) ziet een risico als een omstandigheid of een gebeurtenis dat er toe kan leiden dat een doelstelling niet wordt gehaald. Linsley en Shrives (2006) gaan in de definitie van risico’s niet alleen uit van de gebeurtenissen die in de toekomst kunnen plaatsvinden maar zij nemen in de definitie van risico’s ook gebeurtenissen mee die al hebben plaatsgevonden. Uit de definitie van Williams (1996) blijkt dat een risico bestaat uit twee aspecten namelijk, een kans op een gebeurtenis en het gevolg daarvan. Wanneer men over risico’s spreekt zou dit dus in ogenschouw genomen moeten worden. In het onderzoek van PwC en RuG (2006) wordt ook benadrukt dat het essentieel is om risico’s uit te drukken in gebeurtenissen cq omstandigheden die het behalen van doelstellingen bedreigen. Risicomanagement is uitsluitend bedoeld om bewust te worden van en transparant maken van de risico’s die kunnen leiden tot het niet behalen van organisatiedoelstellingen en de beheersingsmaatregelen die daarvoor getroffen worden (Emanuels en de Munnik, 2006). De aanwezigheid van risicomanagement is geen garantie dat doelstellingen worden behaald. Maurer (2009) bespreekt drie vereisten waar risicomanagement aan moet voldoen. Ten eerste moet het geïntegreerd zijn in alle onderdelen van de organisatie. Daarnaast moet het allesomvattend zijn. Dat wil zeggen dat met alle typen risico’s rekening gehouden dient te worden. Verder moet risicomanagement een strategisch karakter hebben, gericht op de algemene bedrijfsstrategie.

4.3 Voordelen en bezwaren risicomanagement

17

risico’s expliciet te benoemen zou naar voren kunnen komen dat dezelfde risico’s op verschillende plaatsen in de onderneming spelen. In plaats van een gefragmenteerde aanpak zou het uniforme risico dan integraal, dus op dezelfde wijze kunnen worden aangepakt. Dit is uiteindelijk efficiënter omdat individuele projecten, die vaak tijdrovend en kostbaar zijn, vermeden kunnen worden. Wanneer de organisatie de belangrijke risico’s in kaart heeft gebracht kan men bewuste en weloverwogen keuzes maken waar schaarse middelen, werknemers en geld, worden ingezet. Bovendien zou de instelling vast kunnen stellen hoeveel kapitaal zij beschikbaar moeten hebben om gevolgen van risico’s op te kunnen vangen voor zover de risico’s onvermijdbaar of onverzekerbaar zijn. Verschillende auteurs (Bowling & Rieger, 2005; Droogsma, 2009) bespreken de moeilijkheid die het implementeren van risicomanagement met zich meebrengt. Volgens Droogsma (2009) zijn de bekende risicomanagementmodellen, die in paragraaf 4.5 worden besproken, te technisch en worden ze door de lijnmanagers teveel als keurslijf beschouwd. Bowling en Rieger (2005) verklaren dat zonder hulp van consultants er een gebrek aan begrip zal zijn over de verschillende componenten van risicomanagement, waardoor het niet eenvoudig is om voordelen te behalen na implementatie van risicomanagement. Farrel (2004) voegt hier nog aan toe dat implementatie significante kosten met zich meebrengt. Ook Chase-Jenkins & Shimpi (2006) geven aan dat het jaren kan duren voordat economische voordelen worden behaald. COSO (2004) noemt eveneens een beperking van risicomanagement: Dit heeft te maken met het feit dat mensen beslissingen maken over de vraag wat risico’s zijn binnen een organisatie, welke de belangrijkste zijn en op welke manier hiermee om gegaan dient te worden. Deze beslissingen zullen naar alle waarschijnlijkheid niet vrij van fouten zijn. Hoewel er naast voordelen ook nadelen van risicomanagement te noemen zijn is het een feit dat risicomanagement voor steeds meer organisaties en instellingen verplicht is. De code Tabaksblat verplicht de in Nederland beursgenoteerde ondernemingen tot het toepassen van risicomanagement.

4.4 Risicomanagement als systeem

18

worden begrepen vanuit individuele componenten maar alleen door deze componenten en hun onderlinge relaties gezamenlijk te beschouwen (

Straussfogel & von Schilling, 2009)

. Het proces van risicomanagement en deze randvoorwaarden vormen samen ook een systeem, het risicomanagementsysteem. In het artikel van Emanuels en de Munnik (2006) worden vier randwoorden genoemd die het risicomanagementproces completeren tot een systeem. Droogsma (2009) noemt in zijn artikel zes factoren die de kwaliteit van het risicomanagementsysteem bepalen, die grote overlap vertonen met de vier zoals besproken door Emanuels en de Munnik (2006) en die hierna kort worden toegelicht.

Cultuur

Met de factor cultuur wordt bedoeld dat mensen in de organisatie zich bewust moeten zijn van risico’s (Emanuels en de Munnik, 2006). Drew, Kelly en Kendrik (2006) voegen hieraan toe dat in cultuur waarin fouten niet worden getolereerd, risicomanagement niet goed mogelijk is. Datzelfde geldt voor culturen waar sprake is van een hoge mate van arrogantie en waar geheimhouding wordt gestimuleerd.

Structuur

Een tweede randvoorwaarde is de factor structuur. Emanuels en de Munnik (2006) bespreken onder deze factor een aantal zaken. Van belang is bij wie, binnen de organisatie, de verschillende verantwoordelijkheden liggen voor risicomanagement. De raad van bestuur is direct verantwoordelijk voor het gehele proces van risicomanagement maar daarnaast zijn er ook medewerkers die verantwoordelijk zijn voor specifieke onderdelen van het proces, zoals de risico-inventarisatie of de rapportage van genomen maatregelen. Het moet duidelijk zijn wie verantwoordelijk is voor welk deel van het risicomanagementproces.

Competenties

19

Techniek

Technische hulpmiddelen kunnen een organisatie helpen bij het risicomanagementproces. Drew et al (2006) benoemen deze hulpmiddelen onder de noemer ‘systemen’ en geven hierbij aan dat controlesystemen, in de zin van bijvoorbeeld ICT-systemen of internal audits, de board voorzien van de juiste informatie om te bepalen of risico’s voldoende worden beheerst. Tevens worden deze technieken gebruikt bij de ondersteuning van beslissingen (Emanuels en de Munnik, 2006).

4.5 Risicomanagementmodellen

In voorgaande jaren zijn er meerdere modellen voor het risicomanagementproces ontwikkeld. Het COSO ERM, ontwikkeld door Committee on Sponsoring Organizations of the Treadway Commision, en de recent ontwikkelde ISO 31000 zijn hier twee belangrijke van. In de volgende deelparagrafen worden beide modellen besproken om tot een beter begrip van het risicomanagementproces te komen. Het eerste model dat aan de orde komt is het COSO model gevolgd door ISO 31000 voor risicomanagement

4.5.1 COSO ERM

De Committee of Sponsoring Organizations of the Treadway Commission1 (COSO) ontwikkelde haar eerste model, het Interne Beheersing – Geïntegreerd Raamwerk, in 1992. Doel was het verbeteren van het interne beheersingssysteem. In 2004 is een nieuw model ontwikkeld, het Ondernemingsrisicomanagement - Geïntegreerd Raamwerk. Dit tweede model is niet ontwikkeld ter vervanging van het eerste, maar het is een uitbreiding op het eerste model en biedt organisaties de mogelijkheid om naast zorg te dragen voor de interne beheersing ook tot een vollediger risicomanagementproces te komen (COSO, 2004). Gordon et al. (2009) en Bowling en Rieger (2005) spreken ook wel over een holistische benadering vanrisicomanagement in plaats van het vroegere silo based perspective. Dit houdt in dat risicomanagement tegenwoordig gezien wordt als een organisatiebreed model (Emanuels en de Munnik, 2006). Het COSO ERM is wereldwijd de standaard op het gebied van risicomanagement. Deze populariteit is te danken aan het feit dat COSO in de Sarbanes-Oxley Act en in de Code Tabaksblat als enige wordt genoemd als mogelijk te hanteren raamwerk (PricewaterhouseCoopers, 2005).

COSO definieert (ondernemings)risicomanagement als volgt (COSO, 2004):

1

20

Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico’s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen.

Het COSO-raamwerk onderscheidt vier categorieën ondernemingsdoelstellingen te weten; strategische, operationele, rapportage en compliance doelstellingen, waarbinnen zich eventuele risico’s kunnen voordoen. In het eerste COSO raamwerk ontbrak de doelstelling “strategie”, wat nog eens aangeeft dat het vernieuwde raamwerk risicomanagement benadert als een organisatiebreed proces (Bowling & Rieger, 2005; COSO, 1992). Het vernieuwde raamwerk behandelt verder acht componenten die het risicomanagementproces vormgeven (COSO, 2004). Deze zijn in het kort:

• Interne omgeving – Betreft de sfeer in de organisatie en de houding van de leidinggevenden, welke verantwoordelijk is voor risicohouding en acceptatiegraad binnen de organisatie.

• Formuleren van doelstellingen – Dit is noodzakelijk voor het inventariseren van onwenselijke gebeurtenissen. Doelstellingen moeten zijn afgestemd op de missie en visie van de organisatie.

• Identificeren van gebeurtenissen – Dit zijn de interne en externe risico’s die ertoe kunnen leiden dat organisatie doelstellingen niet worden behaald.

• Risicobeoordeling – Risico’s worden ingedeeld naar waarschijnlijk van gebeuren en het effect op het behalen van de doelstellingen.

• Reactie op risico – Niet elk risico hoeft meteen vermeden te worden. Men kan ook kiezen voor het verkleinen, accepteren of delen van een risico. Deze keuze wordt gemaakt op basis van risicobeoordeling en beschikbare middelen.

• Beheersingsactiviteiten – Dit zijn de maatregelen die ervoor zorgen dat reacties op de risico’s doeltreffend worden uitgevoerd.

• Informatie en Communicatie – Het identificeren, verzamelen en verspreiden van informatie over genomen maatregelen.

21

De vier doelstelling en de bovengenoemde acht aspecten zijn samengevat in een kubusmodel zoals weergegeven in figuur 1. Daarbij is één zijde van de kubus nog onbesproken. Deze laatste dimensie geeft aan dat het risicomanagementproces geschikt is voor de verschillende niveaus binnen een organisatie (Hilterman en Verhoeven, 2009; COSO, 2004)

Figuur 1: COSO ERM – Geïntegreed Raamwerk

COSO is in Nederland verreweg het meeste gebruikte systeem voor risicomanagement PricewaterhouseCoopers, 2006).

4.5.2 ISO

The International Organization for Standardization (ISO) heeft in 2009 een norm uitgebracht op het gebied van risicomanagement, de ISO-31000 norm. Deze norm is geschikt voor elke publieke, private of maatschappelijke onderneming. Hoewel de norm algemene richtlijnen biedt (ISO, 2009) is het niet gericht op een one size fits all benadering. Het managen van risico’s moet aangepast worden aan de structuur van de organisatie. ISO 31000 onderscheidt naast het proces, ook principes voor risicomanagement en een kader voor risicomanagement en is daardoor een uitgebreid model voor risicomanagement. De drie onderdelen zullen elk kort worden besproken.

Principes

22

transparant zijn, waarde toevoegen etc. (ISO, 2009). Deze en andere principes staan in figuur 2.

Kader

In het kader worden verschillen de stappen beschreven, bedoeld om de organisatie te helpen risicomanagement te integreren in het algemene managementsysteem. Deze stappen staan weergegeven in figuur 2. Belangrijke punten hierin zijn de organisatie van risicomanagement, zoals rapportagemechanismen en verantwoordelijkheden, en de integratie in bestaande bedrijfsprocessen.

Risicomanagementproces

Het derde onderdeel van de ISO-31000 standaard betreft het risicomanagementproces. In figuur 2 is te zien dat het risicomanagementproces min of meer dezelfde stappen kent zoals ook geformuleerd in het COSO model, waar deze al eens zijn toegelicht.

23

4.5.3 Generalisatie van risicomanagementproces

Wanneer het COSO-raamwerk en de ISO-standaard met elkaar vergeleken worden, kan vooral opgemerkt worden dat de ISO-standaard uitgebreider is en in meer detail beschreven. Door toevoeging van de principes en het raamwerk voor risicomanagement is ISO 31000 in zichzelf al meer een systeem dan het raamwerk van COSO. Hierbij moet wel worden opgemerkt dat het COSO-raamwerk al langer bestaat en door verschillende auteurs (Emanuels en de Munnik, 2006; Droogsma, 2009) is al aandacht geschonken aan het feit dat er randvoorwaarden moeten zijn die het risicomanagementproces moeten aanvullen tot een systeem. Wanneer dit in ogenschouw wordt genomen doet het COSO-raamwerk niet onder voor de ISO-standaard. Verder is naar voren gekomen dat het risicomanagementproces van ISO en COSO uit dezelfde stappen zijn opgebouwd als het gaat om het identificeren, prioriteren, beheersen en monitoren over risico’s. Dit zijn de aspecten die in de meeste literatuur over risicomanagement naar voren komen. In tabel 4.1 staan de stappen in het risicomanagementproces weergegeven die door verschillende auteurs

Tabel 4.1: Risicomanagementprocessen

Bron Stappen in het risicomanagentproces

Moorsel &Visser (2003) Integraal

risicomanagement bij de overheid

Beleid en doelstellingen, risico-inventarisatie,

risicoprioriteitstelling, vaststellen risicotoleranties, risicoallocatie over bedrijfsprocessen, risicobeheersmaatregelen, rapportage risicobeheersmaatregelen, evalueren risicobeheersmaatregelen Whinch (2002)

Project risico management in de bouwsector

Identificeren en classificeren van risico’s, analyseren van risico’s, reageren op risico’s, monitoring

Emanuels & de Munnik (2006)

Definiëren doelstellingen, bepalen van risico’s, risicomitigerende maatregelen, bewaking, bijsturing

COSO (2004)

Geïntegreerd raamwerk

Interne omgeving, formuleren van doelstellingen, identificeren gebeurtenissen, risicobeoordeling, reactie op risico’s,

24

worden onderscheiden. Uit deze tabel blijkt dat deze verschillende processen van risicomanagement veel overeenkomsten kennen. Al deze auteurs benadrukken dat het gaat om een cyclisch en continu proces en onderscheiden min of meer dezelfde stappen. In de stappen van Whinch (2002) en ISO (2009) wordt het aspect ‘definiëren van doelstellingen’ niet expliciet genoemd. In het geval van Whinch (2002) komt dat naar mijn mening vanwege het feit dat dit proces specifiek ontworpen is voor bouwprojecten waar strategische doelstellingen niet direct een rol spelen. Bij ISO (2009) hoort het definiëren van doelstellingen bij het vaststellen van de context. Het continue karakter, dat in alle risicomanagementprocessen naar voren komt, is een van de voorwaarden van integraal risicomanagement (van Moorsel & Visser, 2003). De andere voorwaarden zijn dat risicomanagement proactief is, volledig geïntegreerd moet zijn in de organisatie en dat het aandachtsgebied breed moet zijn. Van Korevaar, van den Broeke & Swagerman (2010) benadrukken dat risicomanagement moet worden ingebed in bestaande systemen binnen de organisatie. Het rapport van de Nivra (2009) spreekt nadrukkelijk over inbedding van risico analyse en rapportage in de planning en control cyclus.

4.6 Risicomanagement vanuit Corporate Governance

Corporate governance geeft inzichten waaraan goed bestuur van een onderneming zoal aan moet voldoen (De Groot, 2006). Hoewel de naleving van corporate governance codes zijn opgesteld voor beursgenoteerde ondernemingen, kan er ook voor niet beursgenoteerde ondernemingen uit afgeleid worden hoe het best invulling gegeven kan worden aan de beginselen van corporate governance. In de volgende deelparagrafen worden daarom achtereenvolgens de eisen besproken die de Code Tabaksblat Act stelt aan risicomanagement.

4.6.1 Risicomanagement volgens Code Tabakblat

De Nederlandse Corporate Governance code, de Code Tabaksblat maakt onderscheid tussen principes en best practice bepalingen (Corporate Governance Code, 2003). De best practice bepalingen geven richtlijnen en houvast hoe invulling te geven aan de principes uit de Code. Wanneer de ondernemingen die onder de toeppassing vallen, de principes en bepalingen niet naleven dienen zij hiervoor de redenen aan te geven. In de Code Tabaksblat staan een aantal principes en best practices die gerelateerd zijn aan risicomanagement. Deze staan weergegeven in tabel 4.2 op de volgende pagina.

25

Principes en best-practices

Korte omschrijving Praktische vertaling

Principe II.1 Bestuursverantwoordelijkheid voor onder andere

risicomanagement en rapportering

Het bestuur is verantwoordelijk voor: - Managen van de risico’s verbonden

aan de bedrijfsactiviteiten

- Rapporteren over deze activiteiten aan en bespreken van

risicomanagementsysteem met de Raad van Commissarissen (RvC) Best- practice

II.1.3

In de onderneming is een risicomanagementsysteem aanwezig

Inbedden binnen de organisatie van een risicomanagementsysteem dat al de elementen omvat oa: risicoanalyses, systeem van monitoring en rapportering

Best-practice II.1.4 Het bestuur rapporteert over risico’s en de werking van het risicomanagementsysteem

Ondersteunen van de verklaring van het bestuur door ‘letters of representation’ van afdelingen en divisies

Best-practice II.1.5 Rapportering over gevoeligheid voor externe factoren in jaarverslag

Periodiek inschatten en beoordelen van en rapporteren over externe risico’s

Best-practice III.1.6

Het toezicht van de RvC omvat oa: de realisatie van de

doelstellingen, risico’s verbonden aan de

ondernemingsdoelstellingen, de opzet en werking van het risicomanagementsysteem

Inbedden van een effectieve rapporteringstructuur om de RvC te ondersteunen in haar taken.

Best-practice III.1.8

Jaarlijkse bespreking door RvC over strategie en risico’s, de werking van het

26

risicomanagementsysteem

Tabel 4.2: Best practice bepalingen Code Tabaksblat

Uit deze bepalingen blijkt dat de Raad van Bestuur verantwoordelijk is voor de aanwezigheid van een risicomanagementsysteem en de werking hiervan. Verder zijn er ook bepalingen die eisen stellen aan de rapportage en toezicht. Na de inwerkingtreding van de Code is de Monitoring Commissie Corporate Governance Code, ook wel commissie Frijns genoemd, opgericht om de naleving te toetsen en verdere aanbevelingen te doen. Deze aanbevelingen worden good practices genoemd. Met name de best practice bepalingen II.1.4, inzake rapportage over het risicomanagementsysteem, behoort tot de categorie waar de commissie een aantal good practice bepalingen heeft geformuleerd. Deze zullen in het hoofdstuk over risicorapportage aan de orde komen.

4.7 Afbakening risicomanagement

27

Doelstellingen en risicohouding

Het eerste aspect van dit model zijn de doelstellingen. Risicomanagement is er, zoals uit de definitie van Emanuels (2005) in paragraaf 4.2 blijkt,op gericht om de waarschijnlijkheid van het behalen van de doelstellingen te vergroten. Doelstellingen zijn dus het startpunt van risicomanagent. In bijna alle modellen die zijn weergegeven in tabel 4.1 (Moorsel en Visser, 2003; Emanuels en de Munnik, 2006; COSO, 2004) wordt het formuleren van doelstellingen expliciet genoemd. COSO (2004) geeft daarbij nog de richtlijn, dat er verschillende categorieën doelstellingen benoemd moeten worden. Daarnaast zijn er in de literatuur veel andere praktische methoden voor het vaststellen van doelstellingen, waarvan de Balanced Score Card (Kaplan en Norton, 1996) een bekende is. De aard en het ambitieniveau van de doelstellingen zijn mede bepalend voor de risicohouding van een organisatie. Door Moorsel en Visser (2003) wordt ook wel gesproken over risicotolerantie en in de internationale literatuur gebruikt men de term risk appetite (Buehler, Freeman en Hulme, 2008). Risk appetite wordt door KPMG (2008) gedefinieerd als dehoeveelheid risico die een organisatie bereid is te nemen voor het verkrijgen van waarde of de te totale impact van risico’s die een organisatie accepteert tijdens het behalen van haar strategische doelen.Wanneer het in de internationale literatuur over risk appetite gaat, heeft men het meestal over de risicohouding voor financieel georiënteerde ondernemingen, beleggingsfondsen of projectrisicomanagement (bijvoorbeeld, Buehler, Freeman en Hulme, 2008; KPMG, 2008) Een duidelijke methode om de risicohouding te bepalen wordt echter niet beschreven. KPMG (2008) noemt wel een aantal karakteristieken van risk appetite maar gaat ook niet in op de manier om deze vast te stellen. Het blijkt dat risk appetite statements vaak worden genoemd in termen van earnings volatility, credit ratings en capital requirements, dus ook financieel van aard. Verder wordt gezegd dat de risk appetite afhankelijk is van type organisatie, cultuur, externe omgeving etc.

Risicoinventarisatie

28

geïnventariseerd. Risico’s moeten zoals de definitie van risico volgens onder andere Williams (1996) luidt, bestaan uit kans op een gebeurtenis en het gevolg daarvan. Het COSO ERM (2004) model geeft handvatten op welke gebieden organisaties risico’s kunnen lopen. De risico’s moeten daarom zo specifiek mogelijk worden geformuleerd. Risicoanalyses moeten op vaste tijden worden uitgevoerd maar zeker ook bij belangrijke (strategische) beslissingen of nieuwe projecten.

Risicobeoordeling

Risico’s kunnen op verschillende manier worden beoordeeld. Uit de definitie van (Williams, 1996) blijkt dat risico bestaat uit de kans dat een gebeurtenis zich daadwerkelijk voordoet en de impact daarvan. Op basis hiervan kan een risicoverdeling worden gemaakt, zoals Haisma (2003) weergeeft. Emanuels en de Munnik (2005) noemen de intuïtieve en rationale benaderingen voor het bepalen van de kans en impact van gebeurtenissen. De intuïtieve benadering gaan uit van het gevoel van de beoordelaar of beoordelaars. Deze manier is kwalitatief en ongestructureerd en de uitkomsten zijn niet altijd even betrouwbaar (Emanuels en de Munnik, 2005). Bij de rationele benadering wordt op een meer kwalitatieve manier beoordeeld. Verder worden nog genoemd de retrospectieve en de prospectieve benadering. De Bayesiaanse statistiek (Bolstad, 2004) combineert deze twee benaderingen voor het beoordelen van risico’s (Emanuels en de Munnik, 2005).

Beheersmaatregelen

De volgende stap in het proces is het nemen van maatregelen, om de kans op het optreden van risico’s te verkleinen. Ook deze stap komt voor in de modellen die in tabel 4.1 zijn weergegeven. Wanneer de kans op een negatieve afwijking van de doelstelling groter is dan gewenst, moeten maatregelen genomen worden om deze kans te verkleinen. In de verschillende modellen worden hier voorbeelden van genoemd. Van Moorsel en Visser (2003) spreken bespreken bijvoorbeeld de volgende soorten strategieën om risico’s te beheersen: accepteren; reduceren; elimineren; mitigeren, overdragen en verhogen. Voor elk van deze strategieën worden enkele voorbeelden genoemd.

Evaluatie en bijsturing

29

risico’s te moeilijk beheersbaar zijn. Daarnaast houdt evaluatie van het systeem in dat gevolgd wordt of het systeem wordt nageleefd. Naar aanleiding van de evaluatie kan blijken dat het systeem niet meer up to date is of dat maatregelen niet effectief blijken waardoor bijsturing noodzakelijk is. Hoewel evaluatie als onderdeel van risicomanagement wordt genoemd in alle modellen uit tabel 4.1, wordt geen beschrijving gegeven van de manier hoe dit het best kan worden uitgevoerd.

Over al deze processtappen van het risicomanagementsysteem dient uiteindelijk gerapporteerd te worden aan het hogere management, raad van bestuur en raad van toezicht om hen te informeren over de stand van zaken betreffende het risicomanagement in de organisatie. Dit gebeurt door middel van interne rapportages. Door de interne rapportage worden de organisatieonderdelen verplicht om bovengenoemde stappen na te leven en hier verslag van uit te brengen. De interne rapportages zijn op hun beurt weer de basis voor de externe rapportage.

4.8 Conclusie

Dit hoofdstuk geeft een antwoord op de tweede deelvraag.

Deelvraag 2: Wat is risicomanagement?

30

risicomanagementsysteem dat in dit onderzoek als norm wordt hanteert is schematisch weergegeven in figuur 3 op de volgende pagina.

31

5.RAPPORTAGE

In dit hoofdstuk wordt de derde deelvraag beantwoord:

“Wat is rapporteren over risicomanagement?”

Paragraaf één gaat over rapporteren in het algemeen. In paragraaf twee worden de verschillen tussen interne en externe rapportage besproken. Vervolgens wordt in paragraaf drie dieper ingegaan op de vereisten voor externe rapportage zoals die in Governance Codes genoemd worden. In paragraaf vier worden interne rapportagevereisten gekoppeld aan de norm voor risicomanagement. Paragraaf vijf bespreekt nadere eisen aan risicorapportage gevolgd door de conclusie in paragraaf zes.

5.1 Wat is rapporteren?

De definitie van rapporteren luidt volgens Van Dale, ‘verslag uitbrengen’. In organisaties vinden voortdurend gebeurtenissen plaats waar verslag over uitgebracht dient te worden. Denk aan, financiële en niet-financiële resultaten, incidenten, risico’s etc. Het begrip ‘bestuurlijke informatieverzorging’ van Starreveld (2002) gaat specifiek over het rapporteren binnen organisaties en dekt in de context van dit onderzoek dan ook beter de lading. De definitie van bestuurlijke informatieverzorging volgens Starreveld (2002) luidt als volgt:

“alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen, het doen functioneren en het beheersen van een huishouding, en ten behoeve van de verantwoordingen die daarover moeten worden afgelegd”.

32

‘kwaliteitsprofiel van het product informatie’. De eisen worden hierna kort omschreven. De voorafgaande eisen ‘begrijpelijkheid’ en ‘passend in het informatiebeleid’ spreken voor zich.

Starreveld (2002) onderscheidt vervolgens twee primaire hoofdeisen namelijk ‘doelgerichtheid’ en ‘betrouwbaarheid’. Informatie wordt als betrouwbaar betiteld wanneer deze juist en volledig is. De vereiste ‘doelgerichtheid’ is onderverdeeld in drietal secundaire hoofdeisen, te weten tijdigheid, presentatievorm en inhoudelijke doelgerichtheid. De factor tijdigheid heeft betrekking op het moment waarop de informatie beschikbaar wordt gesteld. Dit kan in de eerste plaats gaan om vaste momenten in het jaar waarop de informatie aan geleverd moet worden. In de tweede plaats gaat het erom dat op basis van de informatie nog tijdig actie ondernomen kan worden wanneer de informatie daartoe aanleiding geeft. De tweede factor binnen doelgerichtheid is de presentatievorm. Het gaat hier om de vraag hoe de informatie gepresenteerd wordt aan de gebruiker, in de vorm van teksten, grafieken of een combinatie van beide, en de gegevensdrager, bijvoorbeeld een schriftelijke of digitale verschijningsvorm. De laatste factor inhoudelijke doelgerichtheid kent opnieuw een vijftal onderverdelingen. Relevantie, toereikendheid, beschikbaarheid, consistentie en kwantificeerbaarheid. Kortom, doet de informatie er toe, is alle benodigde informatie verstrekt, zijn de gegevens op elk gewenst moment benaderbaar, gelijkheid van informatie maar ook continuïteit, zijn gegevens voor zover mogelijk in getallen uitgedrukt. Figuur 4 geeft ter verduidelijking een schematische weergave van genoemde eisen weer.

Figuur 4: Kwaliteitprofiel Starreveld

Informatie

Doelgerichtheid Betrouwbaarheid

Begrijpelijkheid Passend in informatiebeleid

33

Nadat in paragraaf 3.2 aan de orde is gekomen wat gerapporteerd dient te worden met betrekking tot risicomanagement en andere aanbevelingen hieromtrent, worden deze in paragraaf 3.3 gekoppeld aan de eisen zoals gedefinieerd door Starreveld (2002). Daar zal dan ook dieper worden ingegaan wat deze eisen specifiek voor risicorapportage inhouden.

5.2 Rapporteren over risicomanagement (interne en externe rapportage)

Er kan met betrekking tot risicomanagement onderscheid worden gemaakt tussen twee soorten vormen van rapportage, namelijk interne en externe rapportage. Interne rapporten zijn bedoeld voor de Raad van bestuur om inzicht te krijgen in de relevante risico’s binnen een organisatie (Nivra, 2009). Volgens Droogsma (2009) is de interne rapportage een wezenlijk onderdeel van een risicomanagementsysteem. Hij noemt ‘risicobrede en frequente risicorapportage’ als één van de drie voorwaarden voor een optimaal risicomanagementsysteem. Risicorapportage draagt verder bij aan risicobewustzijn; zorgt voor periodieke heroverweging van de risico’s en dwingt tot eenduidige vastlegging van risico’s en acties (KPMG). PWC en RuG (2006) noemen interne rapportage een belangrijk onderdeel van risicomanagement. De code Tabaksblat en de Sarbanes-Oxley Act (SOx) voor respectievelijk beursgenoteerde ondernemingen in Nederland en de Verenigde Staten verplichten tot externe rapportage als onderdeel van het risicomanagementsysteem. Hoewel organisatie X niet onder de toepassing van beide valt en binnen dit onderzoek interne rapportage centraal staat, kunnen de bepalingen uit de Tabaksblat dienen als leidraad voor interne rapportage en om die reden worden de bepalingen met betrekking tot risicomanagement hierna besproken.

5.3 Inhoud van risicorapportages (volgens corporate governance)

34

“In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesystemen in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke wijzigingen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is bespoken.”

Bovengenoemde bepaling werd al snel de in control statement genoemd (Visée, 2008). Gezien het feit dat de bepaling weinig werd nageleefd doordat er veel onduidelijkheid was over de manier hoe hieraan invulling te geven heeft de Monitoring Commissie Corporate Governance Code2

2

De monitoring commissie heeft tot officiële taak de actualiteit en bruikbaarheid van de Code te bevorderen en de naleving ervan door de Nederlandse beursvennootschappen en institutionele beleggers te monitoren. Met het oog hierop is afgesproken dat de Monitoring Commissie jaarlijks een rapport over de naleving uitbrengt. (www.commissiecorporategovernance.nl)

35

zover mogelijk ook gekwantificeerd worden (Monitoring Commissie Corporate Governance Code, 2007). In de beschrijving van het interne risicobeheersings- en controlesysteem dient aangegeven te worden hoe het systeem is ingericht. Dit vereist volgens de good practice een uiteenzetting van de acties die de onderneming heeft genomen om de geïdentificeerde risico’s te beheersen. Naast de beheersmaatregelen zelf, gaat het hier ook om de inbedding van het risicomanagementsysteem in de organisatie. Onder dit laatste valt onder andere, de verdeling van verantwoordelijkheden, planning en monitoring, het systeem dat gebruikt is als referentiemodel (Monitoring Commissie Corporate Governance Code, 2007).

Samenvattend blijkt hieruit dat in de verslaggeving de volgende aspecten opgenomen dienen te worden:

- Beschrijving van de geïdentificeerde risico’s op basis van gedefinieerde doelstellingen - Risicohouding

- Beheersmaatregelen voor de geïdentificeerde risico’s; - Verantwoordelijkheid voor de risico’s

- Planning en monitoring

- Beschrijving van tekortkomingen en geplande wijzigingen in de systemen

Deze aspecten komen volledig overeen met de stappen en aspecten waaruit risicomanagement moet bestaan en die in paragraaf 4.7 zijn beschreven. In de volgende paragraaf worden de stappen uit genoemde paragraaf nogmaals onder elkaar gezet en gekoppeld aan de rapportageverplichtingen die deze met zich meebrengen.

5.4 Koppeling risicomanagement en rapportagevereisten

36

Risicomanagement aspect Rapportage

Doelstellingen Beschrijving van de doelstellingen en de daarbij horende risicoacceptatiegraad

Risico inventarisatie Beschrijving van de risico’s en de beoordeling van deze risico’s in termen van kans en gevolg.

Risicobeoordeling Beschrijving van de gekozen methode voor risicobeoordeling en de uitkomsten daarvan.

Beheersmaatregelen Beschrijving van de maatregelen voor zover die getroffen zijn.

Evaluatie & bijsturing - Evaluatie van het systeem (proces):

Beschrijving van de manier waarop het proces is verlopen. Wanneer bovengenoemde punten ontbreken worden hier de redenen voor ontbreken genoemd.

- Evaluatie van deelaspecten (inhoud):

Hieronder valt het rapporteren over de effectiviteit van de genomen maatregelen.

Eventuele wijzigingen in deelaspecten of het systeem moeten vervolgens ook worden gerapporteerd.

Tabel 5.1: Rapportage eisen risicomanagement

De randvoorwaarden die ook deel uitmaken van de norm voor het risicomanagementsysteem leiden niet tot rapportagevereisten en zijn daarom niet opgenomen in bovenstaande tabel.

Door bovenstaande aspecten te rapporteren worden de organisatieonderdelen verplicht om bovengenoemde stappen na te leven en hier verslag van uit te brengen.

5.5 Overige rapportage eisen

37

risicomanagement. In de helft van de gevallen wordt de board slechts jaarlijks of zelfs helemaal niet geïnformeerd over het risicomanagement. Het ontbreken en de vaak beperkte omvang van de rapportages leiden ertoe dat de ontwikkeling van de risico’s niet goed gevolgd kunnen worden waardoor risicomanagement onvoldoende vorm kan krijgen (Droogsma, 2009). Als reden voor het ontbreken en de beperkte omvang wordt genoemd dat risicotoleranties en risicobereidheid vaak niet bekend zijn. Voor de implementatie van integraal risicomanagement is het belangrijk om regelmatig te rapporteren over het risicomanagementproces. In de literatuur wordt aanbevolen om de frequentie van rapporteren zoveel mogelijk overeen te laten komen met bestaande rapportagesystemen (van Moorsel & Visser, 2003, Droogsma, 2009).

38

5.6 Conclusie

In dit hoofdstuk is deelvraag drie beantwoord:

Deelvraag 3: Wat is rapporteren over risicomanagement?

Voor de uitleg van de definitie rapporteren wordt de definitie van bestuurlijke informatie verzorging volgens Starreveld (2002) gehanteerd. Deze is als volgt:

“alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen, het doen functioneren en het beheersen van een huishouding, en ten behoeve van de verantwoordingen die daarover moeten worden afgelegd”.

39

40

6.RESULTATEN EN ANALYSE

In de eerste paragraaf van dit hoofdstuk wordt uitgelegd hoe de vragenlijst, welke een resultaat is van het literatuuronderzoek, tot stand is gekomen. Daarnaast wordt in deze paragraaf de validatie van de vragenlijst besproken. Vervolgens wordt de vragenlijst door middel van een casestudy getest, waardoor de vijfde deelvraag wordt beantwoord:

“Hoe vindt rapportage over risicomanagement op dit moment plaats bij organisatie X?”

Het antwoord op deze vraag, de resultaten en analyse van de case organisatie X, wordt besproken in de tweede paragraaf. De conclusie is weergegeven in paragraaf drie gevolgd door een reactie vanuit organisatie X op de uitkomsten van de case studie in paragraaf vier.

6.1 Ontwikkeling vragenlijst en validatie

41

42

6.2 Resultaten casestudy

In deze paragraaf worden de resultaten van de case study, die bij organisatie X is uitgevoerd, weergegeven. De subparagraven 6.2.1 tot en met 6.2.5 behandelen de afzonderlijke risicomanagementaspecten. Paragraaf 6.2.6 behandeld de randvoorwaarden van het risicomanagementsysteem. De volledige antwoorden, die zijn geconstrueerd naar aanleiding van interviews en een documentenstudie, zijn opgenomen in bijlage 5.

6.2.1 Doelstellingen

Gezien het feit dat op de vraag of doelstellingen zijn geformuleerd, geregistreerd en gerapporteerd, redelijk diverse antwoorden zijn gegeven is de weergave van de resultaten weergegeven in tabel 6.1. In de tweede tabel in deze paragraaf, tabel 6.2, zijn deze resultaten vervolgens samengevat. Deze tweede tabel maakt het analyseren van de antwoorden mogelijk.

Resp. 1.Doelstellingen 1a. Registratie 1b. Rapportage

1 Ja Ja, begroting en BSC Ja, in jaarplan 2 Ja Ja, begroting en BSC Ja, in jaarplan

3 Deels Ja, begroting Ja, in jaarplan

4 Deels Ja, begroting Ja, in jaarplan

5 Deels Ja, begroting Ja, in jaarplan

6 Ja Deels, begroting geen

registratie voor niet-financiële doelstellingen

Ja, begroting in jaarplan, ontwikkelingsplan voor overige Doelstellingen

7 Ja Deels, begroting geen

registratie voor niet-financiële doelstellingen

Ja, begroting en overige doelstellingen in Jaarplan

8 Deels Ja, begroting Ja, in jaarplan

9 Ja Ja, begroting en

kwaliteitshandboek voor niet financiële doelstellingen

Ja, in jaarevaluatieplan

10 Ja Deels, begroting geen

registratie voor niet-financiële doelstellingen

Ja, begroting en overige doelstellingen in Jaarplan

11 Ja Ja, begroting en INK Ja, in jaarplan

12 Ja Ja, begroting en

kwaliteitshandboek

Ja, in jaarplan

43

44

Formulering

van

doelstellingen

Registratie van

doelstellingen

Rapportage van

doelstellingen

Totaal

Ja

Ja

Ja

5

Ja

Deels

Ja

3

Deels

Ja

Ja

4

Tabel 6.2: Samenvatting doelstellingen

In tabel 6.2 zijn de gegevens uit tabel 6.1 nog eens samengevat. Hieruit blijkt dat vijf respondenten doelstellingen breed formuleren, alle doelstellingen registreren en ook rapporteren. Bij de overige zeven respondenten gebeurt dit niet volledig. Drie respondenten formuleren en rapporteren in jaarplannen over financiële en overige doelstellingen, maar registreren alleen de financiële doelstellingen. De overige doelstellingen rapporteren zij wel, maar hieraan ligt geen feitelijke registratie ten grondslag. Over de expliciete voortgang van deze overige doelstellingen wordt niet gerapporteerd. Dit komt omdat deze doelstellingen veelal niet meetbaar zijn gemaakt door middel van prestatie indicatoren. De overige vier respondenten hebben alleen financiële doelstellingen die zij registreren door middel van de begroting en rapporteren via het jaarplan. Acht van de twaalf respondenten zouden nu nog in staat moeten zijn om integraal, dus voor meerdere categorieën doelstellingen, risico’s te benoemen. Voor vier van de twaalf zou dit feitelijk gezien niet meer kunnen omdat zij alleen risico’s zouden kunnen formuleren die hun financiële doelstellingen bedreigen. Verder valt op dat de doelstellingen van organisatieonderdelen A en organisatieonderdelen B niet altijd een duidelijk verband hebben met de doelstellingen op het hoogste organisatie X-niveau.

45

Risico-acceptatiegraad

Tijdens de gesprekken wordt de vraag of een risicoacceptatiegraad is vastgesteld door alle respondenten ontkennend beantwoord. In enkele gesprekken wordt gezegd dat men risico averse is, maar dat is niet gekoppeld aan specifieke doelstellingen en daarom niet geformaliseerd. Omdat geen van de respondenten een risicoacceptatiegraad heeft vastgesteld is er ook geen verband te zien met het de manier waarop doelstellingen zijn geformuleerd. Een oorzaak voor het ontbreken van een risicoacceptatiegraad is dat respondenten niet over voldoende kennis beschikken om deze stap te nemen. Dit is verklaarbaar omdat deze kennis in het algemeen nog weinig bekend of beschikbaar is. Er is geen literatuur beschikbaar die ingaat op verschillende methoden voor risicohouding of risico-acceptatiegraad.

6.2.2 Risico inventarisatie

Uit tabel 6.3 blijkt dat negen respondenten risico’s hebben geïnventariseerd. De andere drie respondenten noemen in de interviews ook wel risico’s, maar dit is niet geformaliseerd. Twee noemen enkel risico’s omdat dat op dat moment gevraagd wordt. Een derde geeft een typisch voorbeeld van ‘incident management’, op het moment dat een bepaald probleem zich voordeed heeft men hiervoor een maatregel getroffen. Uit de codering volgt, dat deze drie gevallen niet als risico-inventarisaties beschouwd kunnen worden. De risico’s worden door drie van de negen respondenten geregistreerd. Zes andere respondenten rapporteren de risico’s.

Drie organisatie onderdelen registreren de risico’s. Uit tabel 6.4 op de volgende pagina blijkt dat dit alle drie organisatieonderdelen B zijn. De zes organisatieonderdelen die risico’s rapporteren zijn organisatieonderdelen A.

Tabel 6.3: Risico inventarisatie

Risico inventarisatie

Ja

Nee

9

3

Registratie

Ja

Nee

Nee

3

6

3

Rapportage

Ja

Nee

Ja

Nee

Nee

46

De risico’s die door organisatieonderdelen B genoemd worden, zijn vrij operationeel van aard en missen een directe link met de doelstellingen. De organisatieonderdelen B registreren de risico’s in een spreadsheet met kolommen voor verschillende onderdelen waaruit risicomanagementproces bestaat. Opvallend is dat geen enkel organisatieonderdeel B die risico’s inventariseert en registreert, deze vervolgens rapporteert. De organisatieonderdelen A die de risico’s wel inventariseren maar niet registreren, rapporteren de risico’s wel. Dit is opmerkelijk omdat volgens de definitie van Starreveld (2002) voorafgaand aan rapportage, registratie plaats vindt. Hieruit afleidend zou het logisch zijn dat de organisatieonderdelen A, omdat zij risico’s niet registreren, ook niet rapporteren. Toch is het verklaarbaar dat organisatieonderdelen A, ondanks dat zij risico’s niet registreren, risico’s wel rapporteren, omdat zij hiertoe volgens het format van de kwartaalrapportage (kwartaalrapportage, 2010) verplicht zijn. Vijf van deze respondenten rapporteren door de risico’s te vermelden in de specifieke risicoparagraaf in de kwartaalrapportage. De andere respondent rapporteert wel door middel van de kwartaalrapportage, maar heeft hierin geen risicoparagraaf opgenomen. Risico’s worden in dit geval vermeld bij aansluitende onderwerpen in de rapportage. Uit de resultaten blijkt dat het mogelijk is om risico’s te registreren en risico’s te rapporteren, maar dit gebeurt in geen enkel geval allebei.

Uitgaande van bovengenoemde definitie van Starreveld zou het aannemelijk zijn dat organisatieonderdelen B na het registreren van risico’s deze ook rapporteren. De reden waarom zij risico’s niet rapporteren is omdat zij risico-inventarisaties uitvoeren voor andere doeleinden en dus ook voor andere belanghebbenden aan wie zij rapporteren. Organisatieonderdelen B gebruiken de risico inventarisaties ten behoeve van hun kwaliteitszorg systeem. Er ontbreken duidelijke afspraken over hetgeen wat ook intern hierover gerapporteerd moet worden. De geïnventariseerde risico’s zijn verder ook vooral operationeel van aard. Organisatieonderdelen B zouden ook risico’s kunnen noemen die meer tactisch en strategisch van aard zijn. Een andere reden voor het niet registreren en of rapporteren van dit risicomanagementaspect door

Tabel 6.4: Risico inventarisatie, registratie en rapportage door organisatieonderdelen A en B

Organisatieonderdeel A Organisatieonderdeel B Totaal

Risico inventarisatie 6 3 9

Registratie van risico’s 0 3 3

47

organisatieonderdelen B en ook voor de overige aspecten is dat de medewerkers de registratie en rapportagedruk als erg hoog ervaren.

In tabel 6.5 zijn de resultaten met betrekking tot doelstellingen uit tabel 6.1 en de resultaten over risico’s uit tabel 6.4 samengevoegd. In de vorige paragraaf kon men zien dat alle organisatieonderdelen doelstellingen hebben geformuleerd, zij het de één uitgebreider dan de andere. Gezien dit feit zouden zij ook allemaal risico’s geformuleerd kunnen hebben. Uit tabel 6.5 blijkt dat de één van de zeven onderdelen die doelstellingen breed heeft geformuleerd geen risico’s heeft benoemd. Van de onderdelen die doelstellingen ‘deels’ had geformuleerd, heeft de helft geen risico’s geformuleerd. In de praktijk blijkt logischerwijs dus dat wanneer doelstellingen breed zijn geformuleerd, de kans groter is dat risico’s worden geformuleerd. Oorzaken voor het ontbreken van risico’s kunnen onder andere zijn dat er daadwerkelijk geen risico’s zijn of dat onderdelen niet weten hoe zij risico’s moeten inventariseren.

Tabel 6.6 geeft weer of organisatieonderdelen risico’s op een systematische, deels systematische of niet systematische wijze inventariseren.

Organisatieonderdeel A Organisatieonderdeel B Totaal

Systematisch 0 0 0

Deels systematisch 6 3 9

Niet systematisch 0 0 0

Tabel 6.6: Wijze waarop risico’s worden geïnventariseerd door organisatieonderdelen A en B

Bij de organisatieonderdelen A zijn de genoemde risico’s ontleend aan ervaringen en meldingen uit de dagelijkse bedrijfsvoering. Vier keer per jaar vindt een inventarisatie plaats. organisatieonderdelen B inventariseren risico’s niet op vaste tijden maar hebben wel een gestructureerde aanpak. Door deze gestructureerde aanpak komen zij waarschijnlijk tot een groter aantal risico’s die zij ook nauwkeurig vastleggen. Het feit dat organisatieonderdelen B risico’s

Tabel 6.5: formuleren van doelstellingen en inventariseren van risico’s

Doelstellingen

Ja

Deels

Nee

Totaal

Risico’s

Ja

7

2

-

9

Nee

1

2

-

3

48

niet op vaste tijden inventariseren, kan een verklaring zijn voor het feit dat zij deze niet structureel rapporteren. In de interviews komt bijvoorbeeld naar voren dat één maal per twee jaar een inventarisatie plaats vindt. De risico’s worden in deze twee jaren niet herzien en daarom worden de geïnventariseerde risico’s gedurende deze twee jaren niet herhaaldelijk vermeld in een rapportage. Organisatieonderdelen A rapporteren hun risico’s wel, omdat zij hierop bevraagd worden door middel van het format van de kwartaalrapportage. Omdat organisatieonderdelen A voor de inventarisatie gebruik maken van eenvoudige brainstorms, bijvoorbeeld ‘een rondje bellen’, inventariseren zij niet zoveel risico’s als organisatieonderdelen B. De niet volledig systematische wijze waardoor organisatieonderdelen A tot hun risico’s komen is ook een verklaring voor het feit dat registratie niet plaatsvindt. De risico-inventarisaties vinden ad hoc plaats op het moment dat de rapportage wordt opgesteld. De risico’s worden dan direct vermeld in de rapportage. Dit weerhoudt men ervan om risico’s ook te registreren in een separaat systeem of ander document.

6.2.3 Risicobeoordeling

Uit de vorige vraag is gebleken dat negen respondenten, waaronder drie organisatieonderdelen B en zes organisatieonderdelen A risico’s inventariseren. De vraag of risico’s worden beoordeeld is dus nog maar door negen respondenten van de oorspronkelijke groep van twaalf respondenten te beantwoorden. Tabel 6.7 geeft een schematische weergave van de respondenten die risico’s beoordelen, registreren en rapporteren.

Zes van de negen respondenten die risico’s hebben geïnventariseerd, prioriteren de genoemde risico’s niet. Slechts drie brengen wel een weging aan in de door hen genoemde risico’s.

Beoordeling van risico’s Ja Nee

3 6

Registratie van Beoordeling Ja Nee Nee

3 0 6

Rapportage van beoordeling Ja Nee Ja Nee Nee

0 3 0 0 6