De instelling van een Chief Risk Officer functie

De instelling van een Chief Risk Officer functie

Auteur: M.C.F. van het Hof

Studentnummer: S1893203

Adres: Woerdakkers 12

9461 EC Gieten

Telefoon (mobiel): 06–34064384

Email: m.c.f.van.het.hof@student.rug.nl

Onderwijsinstelling: Rijksuniversiteit Groningen (RuG)

Faculteit: Economie en Bedrijfskunde (FEB)

Opleiding: MSc Accountancy & Controlling

Afstudeerbegeleider: Prof. dr. D.M. Swagerman

Tweede beoordelaar: Prof. dr. J. van der Meer-Kooistra

Datum: 16 augustus 2016

De instelling van een Chief Risk Officer functie:

Een empirische verkenning onder enige accountants naar de instelling van een Chief

Risk Officer functie bij financiële instellingen.

Samenvatting: In deze scriptie is beschreven wat voor contouren een aantal accountants onderkennen

met betrekking tot het organiseren van de CRO-functie bij financiële instellingen. De aanleiding voor dit onderzoek is de discussie bij De Nederlandsche Bank over de positionering van risicomanagement bij financiële instellingen (banken, verzekeraars, pensioenfondsen en vermogensbeheerders). Een Chief Risk Officer (‘CRO’) is een relatief nieuw fenomeen, zodoende is deze scriptie uitgevoerd door middel van een empirische verkenning. Voor deze empirische verkenning is een literatuurstudie uitgevoerd en zijn interviews afgenomen bij enige partners van een Big-4 accountantskantoor. Er is verder gesproken met een deskundige op het gebied van risicomanagement bij een financiële instelling en is er gesproken met een manager van een complexe organisatie die verantwoordelijk is voor de interne beheersing en controls omtrent risicomanagement. Uit deze empirische verkenning komt naar voren dat de geïnterviewden geen eenduidig beeld schetsen over de organisatie van de CRO-functie bij financiële instellingen. De meerderheid was echter wel positief over de aparte belegging van de CRO-functie bij verzekeraars. De voornaamste argumenten voor de instelling van een CRO-CRO-functie zijn de onafhankelijkheid van risicomanagement ten opzichte van operationele activiteiten en de focus die hierdoor op risicomanagement wordt gelegd. Aan de effectieve werking van de CRO-functie zijn volgens de accountants een aantal voorwaarden verbonden. Hierbij zijn bepaalde persoonlijke eigenschappen van een CRO en de structuur van risicomanagement in de organisatie van groot belang. Alleen het instellen van een CRO is niet voldoende. Wil het slagen, dan moet risicomanagement volledig zijn ingebed in de organisatie. Tevens zal een CRO communicatief sterk moeten zijn en een ‘rechte rug’ moeten hebben. Met de uitkomsten van deze empirische verkenning kunnen geen uitspraken worden gedaan over de meerwaarde van CRO’s in andere sectoren. Dankzij deze empirische verkenning is er echter voor vervolgonderzoekers meer bekend over het fenomeen CRO en kan de ontwikkeling van deze functie worden gevolgd. Vervolgonderzoek per sector zal moeten uitwijzen of een CRO van toegevoegde waarde is buiten de financiële sector.

Kernwoorden: in control, ‘In Control-verklaring’, Chief Risk Officer, risicomanagement, financiële instellingen.

“I can't change the direction of the wind, but I can adjust my sails

to always reach my destination.”

Voorwoord

Voor u ligt een scriptie welke het resultaat is van een empirische verkenning naar het relatief nieuwe fenomeen Chief Risk Officer. Hierin wordt beschreven wat voor contouren een aantal accountants onderkennen met betrekking tot het organiseren van de CRO-functie bij financiële instellingen.

Het onderzoek is uitgevoerd tijdens een stage bij een Big-4 accountantskantoor met begeleiding door Prof. dr. D.M. Swagerman. Op deze manier wil ik mijn begeleider bedanken voor zijn niet-aflatende inzet en vertrouwen, door met kritische en constructieve begeleiding mij te helpen met deze scriptie. Dit was niet altijd een eenvoudige opgave, het vergde af en toe ‘klare taal’ om stappen te kunnen maken.

Daarnaast wil ik dit accountantskantoor van harte bedanken voor alle ruimte, rust en mogelijkheden om tijdens de stage dit onderzoek te doen en de scriptie te schrijven. Mijn interne begeleider wil ik dan ook bedanken voor zijn hulp.

Verder is er een speciale dank naar mijn medestudenten. Hiermee zijn vele besprekingen en reflecties in groepsverband of individueel geweest, waardoor we van elkaar konden leren. Een speciaal woord van dank aan medestudent Jeroen en aan aanstaand collega Rianne, die bereid waren om extra tijd te steken in het perfectioneren van mijn taal en stijl, waardoor het stuk beter werd gepresenteerd en leesbaarder is geworden.

Tot slot wil ik mijn ouders en vriendin bedanken voor de rust, kalmte, begrip en onvoorwaardelijke steun tijdens de periode waarin ik mijn afstudeerscriptie heb gemaakt.

Ik wens u veel leesplezier. Michel van het Hof Gieten, augustus 2016

Inhoudsopgave

Introductie 6 1.1 Onderzoeksopbouw 8 2 Theoretisch kader 9 2.1 Agency theory 9 2.2 Risicomanagement 10 2.3 ‘In Control-verklaring’ 12 2.4 Risicobereidheid 14 2.5 COSO-raamwerk 14

2.6 Plaats van risicomanagement binnen de organisatie 16

2.7 Chief Risk Officer 17

2.8 Eigenschappen van een Chief Risk Officer 17

3 Methode van onderzoek 19

3.1 Onderzoeksmethode 19

3.2 Dataverzameling 20

3.3 Validiteit 21

3.4 Analyse van gegevens 23

4 Resultaten 24

4.1 Object van onderzoek 24

4.2 Beschrijving van de resultaten 25

4.2.1 Chief Risk Officer 25

4.2.2 Financieel directeur 29

4.2.3 Verschil tussen financiële instellingen 30

4.2.4 Structurering van risicomanagement 31

4.2.5 Additionele interviews 32 5 Conclusie 34 5.1 Conclusie 34 5.2 Discussie en interpretatie 35 5.3 Beperkingen 36 5.4 Vervolgonderzoek 37 6 Referenties 38 Bijlagen 41

Bijlage 1: Persbericht NN Group 42

Bijlage 2: Publicatie over interne controle ING 43

Bijlage 3: Mailcontact met De Nederlandsche Bank 44

Bijlage 4: Interviewraamwerk 45

Bijlage 5: Introductie interview 47

Introductie

In dit hoofdstuk komen de introductie en de aanleiding van deze masterscriptie aan de orde, waarbij in wordt gegaan op de actualiteit en recente onderzoeken. Vervolgens vloeit hieruit de centrale onderzoeksvraag voort, waar deductief deelvragen uit zijn afgeleid. Tot slot volgt er een vooruitblik naar de verdere hoofdstukken.

Door de kredietcrisis staat risicomanagement volop in de belangstelling. Er zijn diverse onderzoeken die uitwijzen dat slecht risicomanagement één van de oorzaken was van de financiële crisis. De onderzoekers van het Tweede Nationaal Onderzoek Risicomanagement in Nederland in 2014 concluderen dat er nog weinig door organisaties is geleerd op het gebied van risicomanagement ten opzichte van vijf jaar geleden (Nyenrode Business Universiteit, Rijksuniversiteit Groningen, NBA, & PwC, 2014). Vanaf 2003 is risicomanagement voor het bestuur en toezichthouders van een organisatie belangrijk geworden door de in werking getreden Code-Tabaksblat1_{. Eén van de uitgangspunten is de}

‘In Control-verklaring’ waarbij het bestuur verklaart ‘in control’ te zijn (NBA, 2013). Deze verklaring komt aan bod in paragraaf 2.3. Ook speelt bij De Nederlandsche Bank (‘DNB’) momenteel een discussie over risicomanagement binnen financiële instellingen (banken, verzekeraars, pensioenfondsen en vermogensbeheerders). Voor het verkleinen van risico’s moeten banken bijvoorbeeld de komende tijd door de regelgeving van Basel III grotere kapitaals- en liquiditeitsbuffers opbouwen. Om hieraan te voldoen zullen ze, ofwel meer kapitaal- en liquiditeit moeten aanhouden, of er voor moeten zorgen dat risico’s verminderen door het bedrijfsmodel aan te passen (Stork, 2011). De vereisten van Basel III komen gegrond voort uit empirisch onderzoek. De Jonghe (2010) ondervindt in zijn onderzoek dat hoger gekapitaliseerde banken per saldo veiliger zijn en minder vaak in de problemen komen.

Een tweede discussie die momenteel bij DNB speelt heeft betrekking op de plaats van risicomanagement binnen financiële instellingen. Sinds de kredietcrisis vindt DNB toezicht op de governance van het risicomanagement van nog groter belang. Op aandringen van DNB heeft bijvoorbeeld de Rabobank de CFO-functie uitgesplitst, in een CFO en een Chief Risk Officer (‘CRO’) met als gevolg het recente opstappen van de heer Brugging, toentertijd CFO en lid van het bestuur van de Rabobank. Uit eerder onderzoek is gebleken dat de aanwezigheid van een ‘risk champion’ bij het senior management een positief effect heeft op implementatie van Enterprise Risk Management (‘ERM’) en de volwassenheid van het risicomanagementsysteem (Beasley et al. 2005), waarbij niet expliciet de functie van een CRO is benoemd. De huidige literatuur onderbouwt het perspectief van DNB om een CRO te beschouwen als losstaande functie niet eenduidig. De taken van een CRO kunnen bijvoorbeeld ook onderdeel zijn van het takenpakket van een CFO, een CEO of een controller. Er zijn tal van onderzoeken geweest op het gebied van ERM en risicomanagement met betrekking tot de implementatie van risicomanagement, echter is er beperkte kennis over de beste organisatorische positie voor risicomanagement.

Risicomanagement is actueel bij alle organisaties, non-profit organisaties, niet-financiële organisaties, maar ook bij financiële instellingen. Bij financiële instellingen is door het nieuwe samenwerkings-akkoord voor banken (Basel III) en de Europese richtlijn voor verzekeraars (Solvency II) een sterk risicomanagement vereist. Bessis (2015) omschrijft financiële instellingen als ‘risk management entities’, waarvan kan worden verwacht dat deze door de Basel III regelgeving, die sinds 31 december 2010 van kracht is, vergevorderde risicomanagement hebben. In het Tweede Nationaal Onderzoek Risicomanagement in Nederland in 2014 blijkt uit het enquête-onderzoek dat 68,4% van de ondernemingen die opereren in de financiële dienstverleningssector, een CRO of vergelijkbare functie hebben ingesteld. Hieruit blijkt dat het instellen van een CRO, of een vergelijkbare functie een positief effect heeft op de werking van het risicomanagementsysteem. Een CRO kan eindverantwoordelijk zijn voor risicomanagement, echter is deze functie slechts bij banken, verzekeringsmaatschappijen, pensioenfondsen en vermogensbeheerders (hierna financiële instellingen) expliciet onder de aandacht gebracht. Hieruit volgt de algemene probleemstelling waarom risicomanagement moet worden

ondergebracht in een nieuwe functie, waarom kan dit niet onderdeel blijven van de portefeuille van de CEO, de CFO of de controller? Tijdens deze empirische verkenning staat de bijdrage van het onderbrengen van risicomanagement bij een CRO bij banken en verzekeringsmaatschappijen volgens een aantal accountants centraal.

Een CRO is – met uitzondering van financiële instellingen - een relatief nieuw fenomeen, waar nog geen standaard patroon in is te ontdekken. Daarnaast zijn CRO’s in Nederland slechts in geringe mate aanwezig. Ook is op basis van de huidige literatuur niet eenduidig te formuleren wat het onderbrengen van risicomanagement bij een CRO bijdraagt aan het ‘in control’ zijn van een organisatie. De verkenning van het fenomeen CRO vindt hierdoor plaats middels een literatuuronderzoek en met name door het afnemen van interviews met controlerende accountants van een Big-4 accountantskantoor, die expertise hebben met risicomanagement bij financiële instellingen en vergaande contacten hebben met CRO’s bij cliënten. Daar waar CRO’s zich richten op bedrijfsrisico’s, richten accountants zich voornamelijk op financiële risico’s en bijbehorende risicoparagraaf die tijdens de controle van de jaarrekening aan de orde komen. Tevens zijn, als gevolg van een scriptiestage, contacten in de bovenste regionen van dit accountantskantoor meer toegankelijk dan benadering van een directielid als een CRO in de praktijk. De volgende vraag staat daarom centraal in dit onderzoek:

“Wat voor contouren onderkennen een aantal accountants met betrekking tot het organiseren van de CRO-functie bij financiële instellingen?”

Om deze centrale onderzoeksvraag te operationaliseren zijn deductief deelvragen afgeleid. Alvorens het mogelijk is om de centrale onderzoeksvraag te beantwoorden dient er antwoord te zijn gegeven op de volgende vraagstukken:

Wat is er tot op heden bekend over het organiseren van de CRO-functie? a. Wat schrijft de literatuur over risicomanagement?

b. Wat houdt de ‘In Control-verklaring’ in? c. Wanneer is een organisatie ‘in control’? d. Wat schrijft de literatuur over de CRO-functie?

Welke contouren schetsen een aantal accountants met betrekking tot het organiseren

van risicomanagement bij financiële instellingen?

a. Hoe omschrijven accountants de functie van een CRO?

b. Welke karakteristieken zijn volgens accountants van belang voor effectief risicomanagement door een CRO?

c. Wat voor meerwaarde heeft een aparte CRO ten opzichte van risicomanagement als onderdeel van een CFO of CEO, volgens de visie van accountants?

Deze scriptie beschrijft een empirische verkenning van het onderbrengen van risicomanagement bij een CRO-functie in de financiële sector. Nu reeds wordt de opmerking gemaakt dat in dit stuk wordt gesproken over ‘empirische verkenning’, dit omdat er sprake is van een beperkt empirisch onderzoek, omdat er maar een beperkt aantal interviews is gehouden. De verkenning leidt niet tot generalisatie, doch geeft het een vingerwijzing naar het gesignaleerde probleem. Het leent zich wel voor een interpretatie over het fenomeen. Daarnaast is het zo dat de gehouden interviews wel voldoende interessant materiaal opleveren, zodoende wordt er gesproken over een ‘verkenning’ van het fenomeen CRO.

De doelstelling van deze verkenning is om het fenomeen CRO nader te verkennen en om eenduidig te kunnen vaststellen wat voor contouren accountants onderkennen met betrekking tot de organisatie van de CRO-functie bij financiële instellingen. Op basis van de empirische resultaten van deze verkenning kan er worden bijgedragen aan de huidige literatuur omtrent de CRO-functie. Door het behalen van deze doelstelling is er voor toekomstige onderzoekers meer bekend over het fenomeen CRO bij financiële instellingen en kan de ontwikkeling van de CRO-functie worden gevolgd. Vervolgonderzoek gericht op de toegevoegde waarde van de CRO-functie binnen andere sectoren kan de volgende stap zijn in de verkenning van de CRO.

1.1

Onderzoeksopbouw

De rest van deze thesis is als volgt opgebouwd. Hoofdstuk 2 zal de theoretische inkadering behelzen in de vorm van een literatuuronderzoek. Tijdens het literatuuronderzoek worden belangrijke aspecten verkend en wordt antwoord gezocht op de eerste deelvraag van dit onderzoek. Op basis van de tegenstrijdigheden en tekortkomingen die hieruit voortkomen zijn vervolgens interviewvragen opgesteld voor het empirisch deel, waarvan de onderzoeksmethode aan bod komt in hoofdstuk 3. Vervolgens geeft hoofdstuk 4 de resultaten weer van de afgenomen interviews bij een aantal partners van het Big-4 accountantskantoor. De resultaten zijn vervolgens gevalideerd door discussies aan te gaan met een deskundige op het gebied van risicomanagement bij financiële instellingen en een manager van een complexe organisatie die verantwoordelijk is voor de interne beheersing en controls omtrent risicomanagement. Tot slot zijn in hoofdstuk 5 de conclusies van dit onderzoek geformuleerd om de centrale onderzoeksvraag te beantwoorden. Tevens vindt er in hoofdstuk 5 een kritische beschouwing plaats, worden tekortkomingen besproken en zijn er implicaties geformuleerd voor vervolgonderzoek.

2

Theoretisch kader

In dit hoofdstuk wordt het theoretisch kader vastgesteld waarbinnen dit onderzoek plaatsvindt. Hierin zijn belangrijke invalshoeken besproken en eerdere studies op het gebied van risicomanagement uiteengezet die van invloed zijn op de centrale onderzoeksvraag en de deductief afgeleide deelvragen. Dit is te beschouwen als het literatuuronderzoek. Hiermee is een referentiekader gevormd waar deze empirische verkenning betrekking op heeft en op basis waarvan het empirisch deel plaatsvindt.

2.1

Agency theory

In deze thesis staat de agency theory met betrekking tot risicomanagement en de CRO centraal. De agency theory is gericht op de informatieasymmetrie tussen de agent (manager) en de principaal (aandeelhouder) (Eisenhardt, 1989; Jensen & Meckling, 1976). Goed risicomanagement kan de informatieasymmetrie verkleinen. Het bestuur is namelijk eindverantwoordelijk voor het risicomanagement binnen een organisatie. Hoe duidelijker en beter het risicomanagement van een organisatie is verantwoord, hoe kleiner de kloof tussen de agent en de principaal. Informatie-asymmetrie is daarom een belangrijk begrip binnen corporate governance. Een sterke interne governance-structuur en adequaat risicomanagement, welke zijn geïntegreerd in de gehele bedrijfsvoering, dragen bij aan het ‘in control’ zijn van een organisatie (NIVRA, 2009). Met betrekking tot corporate governance stellen Fama & Jensen (1983) dat vanuit een agency theory perspectief adequaat toezicht van controlemechanismen moet worden vastgesteld om aandeelhouders te beschermen tegen belangenconflicten van het management. Hierbij is risicomanagement ook te beschouwen als een controlemechanisme tegen belangenconflicten.

De agency theory is nog steeds erg actueel. De Autoriteit Financiële Markten (‘AFM’), de Nederlandse gedragstoezichthouder op de financiële markten, heeft recentelijk boetes uitgedeeld aan accountantsorganisaties. De AFM tikte hierbij de accountantskantoren op de vingers, doordat deze niet aan hun zorgplicht zouden hebben voldaan. Uit eerder onderzoek door de AFM is gebleken dat de organisaties tekort zijn geschoten in de controles van jaarrekeningen over het boekjaar 2012, en in enkele gevallen over het boekjaar 2011. In meerdere door de AFM onderzochte controles was namelijk sprake van zodanige tekortkomingen dat de accountant bij afgifte van de controleverklaring onvoldoende dan wel ongeschikte controle-informatie had verkregen. Daarmee heeft volgens de AFM ieder van de Big 4-accountantsorganisaties in strijd met de wet gehandeld (AFM, 2016). De accountant is in deze context de vertrouwenspersoon van het maatschappelijk verkeer. Deze zou moeten waarborgen dat de jaarverslagen een getrouw beeld van de werkelijkheid weergeven om informatieasymmetrie tegen te gaan.

Een ander belangenconflict dat zich binnen de agency theory afspeelt betreft het beloningsbeleid en de hoogte van bonussen (NIVRA, 2009). Het beloningsbeleid kan zowel positieve als negatieve impact hebben op het functioneren van risicomanagement. Het beloningsbeleid kan directieleden en senior managers prikkelen om bepaalde (risicovolle) beslissingen te nemen met zelfverrijking als gevolg. Dit heeft een negatieve impact op het functioneren van risicomanagement. Aan de andere kant kunnen beloningen en bonussen dienen als beheersingsmaatregel om risico’s te beheersen. Als bonussen worden gekoppeld aan de effectiviteit van het risicomanagement dan kan het ervoor zorgen dat de organisatie ‘in control’ is, om binnen de grenzen van haar risicobereidheid te blijven en daarmee de langetermijnresultaten te borgen (NIVRA, 2009). De beloningsproblematiek en de verklarende kracht hierop vanuit de agency theorie vallen buiten de scope van deze verkenning.

Een andere invalshoek van de agency theory heeft betrekking op de CRO. Aanstelling van een CRO kan resulteren in verlaging van agency costs. Een CRO is verantwoordelijk voor het risicomanagement binnen een organisatie. Als gevolg van adequaat risicomanagement zijn risico’s beter te identificeren, waardoor een CEO minder risicovolle en beter geïnformeerde beslissingen kan nemen. Dit is te verklaren doordat risicomanagement volledig de verantwoordelijkheid van de CRO is. Als gevolg hiervan is er meer toezicht aanwezig op de risico’s en op de impact van beslissingen. Aanstelling van een CRO kan de informatieasymmetrie tussen de agent en de principaal verlagen met als gevolg dat de

CEO geen beslissingen kan nemen die nadelig uitpakken voor aandeelhouders. Een verklaring hiervoor is de focus die risicomanagement krijgt door een CRO met betere rapportage naar het bestuur en/of de belanghebbenden als resultaat. Naast het gegeven dat risicomanagement de informatie-asymmetrie tussen de agent en de principaal verlaagt, vinden Hoyt & Liebenberg (2003) dat de aanstelling van een CRO in verbinding staat met implementatie van ERM. In ander onderzoek is gebleken dat implementatie van ERM resulteert in een lagere vermogenskostenvoet (Beasley et al. 2008) en hogere aandeelhouderswaarde (Daud, Yazid & Hussin, 2010). Onderzoekers stellen dus vast dat aanstelling van een CRO en ERM-implementatie de kloof tussen de agent en de principaal verkleinen.

2.2

Risicomanagement

Risicomanagement is een continue proces dat start bij de bepaling van strategie en risicobereidheid en wordt concreet gemaakt voor en door alle medewerkers in de organisatie (NBA, 2013). Volgens de Committee of Sponsoring Organizations of the Treadway Commission, hierna COSO genoemd (http://www.coso.org/) is risicomanagement een continu beheersproces in de organisatie, waarbij COSO vier soorten reacties op een risico onderscheidt: reduceren, accepteren, vermijden en overdragen (COSO, 2004). De Nederlandsche Beroepsorganisatie van Accountants (‘NBA’) (2013) heeft risicomanagement vertaald als: “Risicomanagement inventariseert mogelijke gebeurtenissen die van invloed kunnen zijn op de onderneming en probeert de nadelige effecten ervan te beheersen”. Op deze wijze draagt het bij aan het behalen van de ondernemingsdoelen. Deze mogelijke gebeurtenissen kunnen zowel positieve als negatieve effecten met zich meebrengen. Positieve effecten vertegenwoordigen kansen, waar negatieve effecten daarentegen risico’s vertegenwoordigen (COSO, 2004).

Risicomanagement is van maatschappelijk belang. Adequaat en effectief risicomanagement zou uiteindelijk moeten zorgen voor het beter functioneren van de kapitaalmarkt als gevolg van betere risico-inschatting en het beter mitigeren van risico’s. Naast het maatschappelijke belang van risicomanagement is dit begrip ook actueel binnen de corporate governance. De eerste aangestelde Nederlandse corporate governance commissie is Commissie Peters. In 1996 speelde het vraagstuk al omtrent transparantie van het gevoerde ondernemingsbeleid en de verantwoording daarover. Bij de veertig aanbevelingen die Commissie Peters in 1997 had opgesteld werd er al ingegaan op risicobeheersing van een organisatie. Hierin schreef de Commissie dat de Raad van Bestuur primair verantwoordelijk is voor effectieve beheersingssystemen (zie hiervoor: Monitoring Commissie Corporate Governance Code, 1997). Deze effectieve beheersingssystemen waren toentertijd enkel gericht op het verschaffen van redelijke zekerheid omtrent de betrouwbaarheid van financiële informatie. Na Commissie Peters werd in 2003 Commissie Tabaksblat ingesteld die uiteindelijk de Nederlandse Corporate Governance Code (hierna de Code) van 2003 heeft opgesteld. In de Corporate Governance Code van 2003, ook wel de Code-Tabaksblat genoemd, is vastgelegd dat het bestuur verantwoordelijk is voor de naleving van alle relevante wet- en regelgeving, het beheersen van de risico’s verbonden aan de ondernemingsactiviteiten en de financiering van de vennootschap. Het bestuur dient hierover te rapporteren aan de Raad van Commissarissen en de auditcommissie en bespreekt ook de interne risicobeheersings- en controlesystemen met de Raad van Commissarissen en de auditcommissie (Monitoring Commissie Corporate Governance Code, 2008). Het gevolg van de Code-Tabaksblat is dat het bestuur in het jaarverslag verklaart dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn met een duidelijke onderbouwing hiervan. Een andere benaming hiervoor is de ‘In Control-verklaring’, deze verklaring komt in de volgende paragraaf aan bod.

In navolging van Commissie Peters en Commissie Tabaksblat is vanaf eind 2013 de Monitoring Commissie Corporate Governance Code (Commissie Van Manen) ingesteld waarvan prof. dr. J.A. van Manen voorzitter is. Deze heeft de taak om de actualiteit en bruikbaarheid van de Code te bevorderen en de naleving ervan door de Nederlandse beursgenoteerde vennootschappen te bewaken (http://www.commissiecorporategovernance.nl/). Tijdens een recente bijeenkomst op 3 september 2015 met bestuursleden van de Big-4 accountantskantoren, zijn een aantal aandachtspunten naar voren gebracht, waarbij het volgende punt van belang is voor deze verkenning: “Het is van belang dat vennootschappen gebruikmaken van een helder raamwerk voor de interne risicobeheersing en risicomanagement. Dit kan een positieve uitwerking hebben op de kwaliteit van de verantwoording over risicobeheersing. Een zelfevaluatie van de interne controlesystemen kan hieraan bijdragen” In dit punt komt de actualiteit van interne risicobeheersing en risicomanagement naar voren. Na de bijeenkomst waarbij aandachtspunten naar voren werden gebracht heeft de Commissie Van Manen een voorstel voor herziening van de Code opgesteld (Monitoring Commissie Corporate Governance Code, 2016). In dit voorstel is opnieuw vastgesteld dat het bestuur verantwoordelijk is voor de risico-beheersing binnen een organisatie. Daarnaast is bij het voorstel voor herziening het COSO-raamwerk benoemd, dat in paragraaf 2.5 aan bod komt, als standaard om de interne beheersing van organisaties mee te beoordelen. Bij het voorstel voor herziening kwam een CRO echter niet expliciet naar voren. De interviews zijn om deze reden onder andere gericht op de vraagstelling of ‘in control’-activiteiten onderdeel uitmaken van de verantwoordelijkheid van een CRO.

Een ander orgaan dat risicomanagement hoog in het vaandel heeft staan en dat van belang is voor deze thesis is DNB. De kerntaak van DNB is het faciliteren van financiële stabiliteit om de welvaart in Nederland te bevorderen. Daarnaast is DNB onder andere toezichthouder van financiële instellingen door erop toe te zien dat deze organisaties voldoende vermogen hebben om aan hun verplichtingen te kunnen voldoen en een beheerste en integere bedrijfsvoering te kunnen voeren. DNB schrijft dat de governance van het risicomanagement een belangrijk element is in de beoordeling van deze integere en beheerste bedrijfsvoering op grond van de Wet op het financieel toezicht (Wft) ( DNB, 2013). DNB verdeelt toezicht op de governance van het risicomanagement in vier hoofdonderwerpen:

 Risicocultuur binnen een organisatie, waarbij de ‘tone at the top’ een belangrijke bepalende factor is;

 Risicostrategie en risicobeleid;

 De inrichting van de risicomanagementfunctie;  Opzet van risicoprocessen.

Deze vier hoofdonderwerpen zijn allen van belang voor effectief risicomanagement. Vanwege de ruime omvang van dit onderwerp richt deze scriptie zich echter alleen op het derde punt, de inrichting van de risicomanagementfunctie, waarbij de organisatorische plaats van de CRO of centrale risicomanager2 _{centraal staat. DNB heeft in 2011 een themaonderzoek gehouden naar de kwaliteit en}

governance van risicomanagement, specifiek bij verzekeraars, doch zijn de punten van belang voor alle financiële instellingen. Aandachtspunten waar DNB op lette waren onder andere:

 Het expliciet toewijzen van risicogebieden aan verantwoordelijken;

 Aansturing van risicomanagementactiviteiten door één persoon hoog in de organisatie;

 Status en invloed van de CRO of de centrale risicomanager door zijn of haar formele positie in de organisatie;

 De onafhankelijkheid bij commerciële en operationele activiteiten van de CRO of de centrale risicomanager;

 Het beschikken over voldoende deskundigheid van de CRO of centrale risicomanager;  Voldoende beschikbaarheid van capaciteit voor de risicomanagementfunctie;

 De aantrekkelijkheid van de risicomanagementfunctie binnen een organisatie.

Een belangrijke uitkomst van het onderzoek was dat inbedding van het risicomanagement in de organisatie in veel gevallen tekort schiet. Ook komt in het onderzoek naar voren dat het soms onduidelijk is wie in het bestuur de verantwoordelijkheid heeft voor het risicomanagement. DNB schrijft daarbij dat financiële risico’s vaak onder de CFO vallen, maar dat de verantwoordelijkheid voor de overige risico’s niet altijd is vastgesteld (DNB, 2012). DNB geeft aan dat het niet verplicht is voor organisaties om een CRO aan te stellen. DNB benoemt echter wel de wenselijkheid van een CRO, of centrale risicomanager en benadrukt dat deze persoon zo hoog mogelijk in de organisatie moet zijn gepositioneerd. Naast de gebeurtenis bij de Rabobank om de CFO-functie te splitsen in een CFO en CRO heeft bijvoorbeeld de Raad van Commissarissen van Delta Lloyd, na intern onderzoek een CRO aangesteld om verbeteringen op het gebied van risicobewustzijn, compliance en interne governance door te voeren (DNB, 2015). Daarnaast blijkt uit een recent persbericht dat NN Group ook een CRO heeft aangesteld. Dit persbericht is opgenomen in bijlage 1. Deze recente berichten zijn in lijn met hetgeen Commissie Van Manen schrijft over risicobewustzijn en interne risicobeheersing. De empirische verkenning richt zich dan ook op de vraagstelling of een CRO de juiste belichaming is van de ‘in control’-activiteiten.

2.3

‘In Control-verklaring’

De ‘In Control-verklaring’ komt voort uit de Code-Tabaksblat. De ‘In Control-verklaring’ houdt in dat het bestuur verklaart dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn met duidelijke onderbouwing hiervan. Voor een ‘In Control-verklaring’ is het voor organisaties belangrijk dat er een goede interne controle aanwezig is om risico’s te identificeren en hierop te anticiperen. De definitie die COSO (1992) geeft voor interne controle is: “Interne controle is breed gedefinieerd als een proces, opgesteld door de Raad van Bestuur van een onderneming, het management en ander personeel, ontworpen om een redelijke mate van zekerheid te geven aan het behalen van de doelstellingen in de volgende categorieën: (1) effectiviteit en efficiency van de activiteiten, (2) betrouwbaarheid van financiële verslaggeving en (3) naleving van toegepaste wet- en regelgeving”. Deze door COSO opgestelde definitie is door veel onderzoekers als norm verklaard (Paape, 2008). Het is van belang om te noemen dat de begrippen ‘interne controle’ en ‘in control’ niet hetzelfde zijn. Interne controle moet echter wel zijn gewaarborgd, wil een onderneming ‘in control’ zijn. Paape (2008) heeft in zijn inaugurele rede de definitie van ‘in control’ weergegeven als: “Een organisatie is in control als zij beschikt over een Management Control Systeem (internal control systeem) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de gevallen/tijd binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten die risicotolerantiegrens wordt getreden, stelt het Management Control Systeem de organisatie in staat dat tijdig te constateren en te herstellen.” Op het moment dat een organisatie een maximum aan de tolerantie geeft, wat in principe onontkoombaar is, ziet dat er schematisch uit zoals weergegeven in figuur 1.

Figuur 1: ‘In control’ schematisch weergegeven (Paape, 2008)

Als de totale duur van de overschrijding van de risicotolerantie van het boekjaar binnen het vooraf vastgestelde percentage risicotolerantie blijft is Paape (2008) van mening dat de onderneming nog steeds ‘in control’ is, ondanks dat het bedrijfsresultaat fluctueert als gevolg van risico’s. Simons (1995) omschrijft een Management Control Systeem als de formele, op informatie gebaseerde routines en procedures welke door managers wordt gebruikt om patronen in de activiteiten van de organisatie te handhaven of te wijzigen. Risicomanagement is hierbij één van de onderdelen van een Management Control Systeem.

Ondanks het ‘in control’ zijn van een organisatie is het complex om te bepalen of een ‘In Control-verklaring’ meer zekerheid biedt voor belanghebbenden. Goede implementatie van interne risicobeheersings- en controlesystemen kan leiden tot verlaging van operationele kosten, verbeterde resultaten en meer transparantie (zekerheid) naar toezichthouders en belanghebbenden van een organisatie (Van Grinsven & Toet, 2010). Er is echter bekend dat het om diverse redenen niet eenvoudig is om het intern beheersen van processen te implementeren. Het opstellen van een procesmatige weergave van alle processen blijkt in de praktijk lastig. Ook moet er een geschikt Management Control Systeem worden gekozen bij een softwareleverancier die affiniteit met en kennis heeft van de branche waarin de organisatie opereert (Van Grinsven & Toet, 2010). Hoewel een ‘In Control-verklaring’ impliceert dat het bestuur ‘in control’ is over haar processen, kan het nooit alle risico’s voor de continuïteit en mogelijk te nemen beheersmaatregelen tijdig overzien en inregelen (Van Grinsven, 2010).

Een kanttekening bij de ‘In Control-verklaring’ is dat de reikwijdte van de Code-Tabaksblat niet voorbij financiële rapporteringsrisico’s en beheersingssystemen gaat (Van Leeuwen & Wallage, 2007). Commissie Van Manen haakt hierop in bij de herziening van de Code en stelt voor om de ‘In Control’-verklaring te verruimen. Niet alleen moet de continuïteit voor de eerstvolgende 12 maanden worden gewaarborgd, ook moeten niet-financiële risico’s ingebed zijn in de nieuwe ‘In Control-verklaring’ (Monitoring Commissie Corporate Governance Code, 2016). Dit is niet meer dan logisch aangezien niet-financiële risico’s als milieurisico’s grote financiële gevolgen voor een organisatie kunnen hebben. Een goed voorbeeld hiervan is de olieramp op olieplatform Deepwater Horizon van BP, waarbij de schade tot nu toe (dit loopt dagelijks nog op) is vastgesteld op 53 miljard dollar. In hoeverre niet-financiële risico’s zijn ingebed in het risicomanagement van bedrijven valt buiten de scope van deze scriptie. Deze scriptie is gericht op risico’s in het algemeen.

2.4

Risicobereidheid

Voor risicomanagement is risicobereidheid (risk appetite) erg belangrijk binnen een organisatie. Zoals in de vorige paragraaf werd omschreven bepaalt de hoogte van de risicobereidheid het wel of niet ‘in control’ zijn van een organisatie. Paape (2008) benoemt risicobereidheid als de risicotolerantie die bij voorkeur in een geldbedrag is uit te drukken en geeft een kwantificering van fluctuaties van resultaten die acceptabel worden geacht. Er is in de literatuur geen eenduidige definitie van risicobereidheid (RIMS, 2012), de termen risicobereidheid en risicotolerantie worden door elkaar gebruikt. Deze scriptie hanteert daarom de definitie die COSO hieraan geeft. COSO (2004) definieert risicobereidheid als: “De hoeveelheid risico, op een breed niveau, die een onderneming bereid is te accepteren in het streven naar waarde. Het weerspiegelt de risicomanagementfilosofie van de onderneming en heeft op zijn beurt invloed op de ondernemingscultuur en de stijl van functioneren. Risicobereidheid begeleidt de toewijzing van middelen. Risicobereidheid ondersteunt de organisatie in het ontwerpen van de organisatie, personeel en de processen in het ontwerpen van de infrastructuur die nodig is om effectief te reageren op risico’s en het monitoren hiervan.” Risicotolerantie daarentegen is de toepassing van risicobereidheid op specifieke doelstellingen uitgedrukt in geld. Het bestuur van een onderneming stelt in samenspraak met de Raad van Commissarissen de risicotolerantie op.

De NBA schrijft over risicobereidheid dat heldere communicatie over risico’s die een organisatie bereid is te nemen van groot belang is, echter blijft de praktijk hierin achter. De praktijk wijst uit dat de risicobereidheid onduidelijk is of niet in lijn ligt met de ondernemingsstrategie. Dit heeft een negatief effect op de aansturing en daarmee op het ‘in control’ zijn van de onderneming (NBA, 2013). Wanneer het ontwikkelproces van risicobereidheid en risicotolerantie een organisatie leidt, dan bereidt dit het management voor op het nemen van geïnformeerde risicobeslissingen die waarde genereren en verliezen met een grote impact vermijden (RIMS, 2012). Uiteindelijk vloeit deze waardecreatie terug naar de aandeelhouders, waardoor risicobereidheid een belangrijk onderdeel is van de corporate governance.

2.5

COSO-raamwerk

Een belangrijk begrip op het gebied van risicomanagement is COSO. Veel onderzoeken verwijzen naar COSO, omdat deze organisatie één van de meest gebruikte internationale standaarden voor risicomanagement heeft opgesteld. De benaming die COSO geeft aan risicomanagement is Enterprise Risk Management (ERM). Naast COSO zijn er nog meer bekende internationale standaarden voor risicomanagement, denk hierbij aan bijvoorbeeld ISO, INK-model, CobiT en Six Sigma. De onderzoeker beperkt zich echter tot de internationale standaarden van COSO, aangezien uit een onderzoek uitgevoerd door PricewaterhouseCoopers (PwC) en Rijksuniversiteit Groningen (2006) onder CEO’s bleek dat 75% van de respondenten gebruik maakten van COSO. Verder benoemt de Code het COSO-raamwerk als normenkader om de interne beheersing mee te beoordelen (Monitoring Commissie Corporate Governance Code, 2016).

Voorbeeld: Eén van de organisaties die elk jaar dient te voldoen aan de standaarden van COSO is ING. Begin maart 2016 kwam in het nieuws dat de jaarrekening van ING door de controlerende accountant EY een goedkeurende verklaring kreeg ondanks dat het niet aan de internationale standaarden van COSO voldeed. ING heeft volgens accountantsorganisatie EY ‘geen effectieve interne controle gehandhaafd over de financiële rapportage’ volgens de internationale standaarden van COSO. De halfjaarcijfers van ING in 2015 hadden één miljard euro lager moeten uitvallen door de geleidelijke verkoop van hun dochteronderneming Nationale Nederlanden. Het management van ING constateerde hiervoor een ‘materiële tekortkoming’ bij de boekhoudkundige behandeling van ‘grote transacties, waaronder desinvesteringen’ (De Horde, 2016). De enige consequentie voor ING is het opstellen van een plan om herhaling te voorkomen. Deze recente publicatie van het Financieel Dagblad is opgenomen in bijlage 2 en laat zien dat COSO nog steeds erg actueel is.

COSO heeft in 2004 een raamwerk ontwikkeld voor ERM waarbij de COSO-kubus tot stand is gekomen. Deze kubus is weergegeven in figuur 2. De doelstelling van dit raamwerk is om het management in staat te stellen om op een efficiënte wijze met onzekerheden en hieraan verbonden risico’s en kansen om te gaan op vier gebieden (COSO, 2004). Deze vier gebieden zijn achtereenvolgend strategisch, operationeel, rapportage en toezicht. Het proces van ERM bestaat volgens dit raamwerk uit acht componenten: (1) interne omgeving, (2) formuleren van doelstellingen, (3) identificeren van gebeurtenissen, (4) risicobeoordeling, (5) reactie op risico, (6) beheersings-activiteiten, (7) informatie en communicatie en (8) monitoring. ERM is effectief als alle acht componenten aanwezig zijn en goed functioneren (COSO, 2004). COSO schrijft verder dat medewerkers uit iedere laag in de organisatie invloed hebben op ERM, hierdoor is er sprake van integraal risicomanagement en behandelt het management strategische-, operationele-, rapportage- en compliance risico’s gelijktijdig.

Naast integraal risicomanagement waar COSO zich op richt bestaat er ook traditioneel risicomanagement. Bij traditioneel risicomanagement worden risico’s vanuit diverse organisatie-onderdelen of perspectieven bezien. Mikes (2009) identificeert deze vorm van risicomanagement als silo-risicomanagement. Literatuur wijst uit dat de voor- en nadelen van het implementeren van integraal risicomanagement niet eenduidig kunnen worden geschetst (Nyenrode Business Universiteit, Rijksuniversiteit Groningen, NBA, & PwC, 2014). COSO benoemt zelf in het COSO ERM Integrated Framework een aantal beperkingen (COSO, 2004):

 Menselijk oordeel in besluitvorming kan verkeerd/foutief zijn;

 Keuzes op het reageren van risico’s en het opzetten van controls moeten de relatieve kosten en baten afwegen;

 Storingen kunnen optreden door menselijk falen, zoals simpele fouten of vergissingen;

 Controls kunnen worden ontweken door samenzwering van twee of meerdere personen. Hierdoor kunnen bepaalde controls gevoelig worden voor fraude;

 Het management heeft de mogelijkheid om invloed uit te oefenen op ERM beslissingen.

Figuur 2: COSO ERM Integrated Framework (COSO, 2004)

Uit de benoemde beperkingen komt naar voren dat integriteit en competenties van risicomanagers en de ‘tone at the top’ van groot belang zijn. Dit zijn ook aandachtspunten waar DNB zich op richt (DNB, 2013). Naast de beperkingen die COSO zelf over het raamwerk benoemt zijn er ook diverse onderzoekers die uiteenzetten waarom het COSO-raamwerk niet zaligmakend is. Samad-Khan (2005) geeft in zijn artikel ‘Why COSO is flawed’ aan dat het COSO model ongeschikt is. De auteur is van mening dat COSO de risicobeoordeling op een zeer subjectieve wijze weergeeft, waarbij hij schrijft dat het te oppervlakkig en te gebrekkig is. Dit leidt ertoe dat een organisatie nog meer

controle-middelen inzet in gebieden waar al voldoende controle aanwezig is en dat een organisatie bepaalde gebieden volledig negeert (Samad-Khan, 2005). Daarnaast schrijft de auteur dat risico’s met een grote kans en een lage impact (false-positive risks) te veel aandacht krijgen en dat risico’s met een kleine kans en een grote impact (false-negative risks) daarentegen te weinig aandacht krijgen. Naar alle waarschijnlijkheid is dit het geval geweest bij ING, waardoor de organisatie niet ‘in control’ was. Ondanks de beperkingen die er aan het COSO-model zitten levert het gebruik van het COSO-model voordelen op voor de accountant. Het is bij de controle van de jaarrekening namelijk makkelijker om het interne beheersingssysteem te beoordelen wanneer deze volgens een vast raamwerk is ingericht. Het gevaar dat hierdoor kan ontstaan is het ‘box-ticking’ effect, waarbij makkelijk inefficiënties onontdekt blijven.

Grotere bedrijven passen voornamelijk het COSO-model toe, het is minder gebruikelijk dat het midden- en kleinbedrijf dit model toepast. Het midden- en kleinbedrijf maakt daarentegen vaak gebruik van COSO-light. Hierbij worden slechts de belangrijkste risico’s herkend en beheerst. Deze scriptie is gericht op de verkenning van het organiseren van de CRO-functie bij financiële instellingen. Hierdoor is de herkenning en beheersing van alle risico’s van belang en richt deze scriptie zich op de grotere financiële instellingen.

2.6

Plaats van risicomanagement binnen de organisatie

Sinds het arrest van de Hoge Raad tegen de cassatie van ABN Amro bij de Ondernemingskamer, betreffende de verkoop van LaSalle aan de Bank of America in 2007, is jurisprudentie aanwezig waarin de Hoge Raad aangeeft dat het aan het bestuur is om te beoordelen op welke wijze het belang van de onderneming zo goed mogelijk wordt gediend3_{. Hieruit blijkt dat de Raad van Bestuur de}

strategische doelstellingen van een onderneming opstelt. Risicomanagement en risicobereidheid zijn onderdeel van de strategische doelstellingen van een onderneming en vallen onder de portefeuille van de Raad van Bestuur in samenspraak met de Raad van Commissarissen. Voorgaand onderzoek heeft uitgewezen dat de aanwezigheid van een CRO een positief effect heeft op de toepassing van ERM en de volwassenheid van het risicomanagementsysteem (Beasley et al. 2005). Daarnaast komt er een opvallend resultaat uit het Tweede Nationaal Onderzoek Risicomanagement in Nederland in 2014, namelijk dat de risicomanager aanzienlijk beter scoort op het gebied van risicomanagement als die niet op directieniveau functioneert, maar onder de CFO valt. DNB (2013) geeft daarentegen aan dat in sommige gevallen binnen de financiële dienstverleningssector een CRO op directieniveau wel wenselijk is. Een CRO heeft dus toegevoegde waarde voor het risicomanagement binnen een organisatie, echter blijft er onduidelijkheid over de beste organisatorische plaats van risicomanage-ment binnen een organisatie. Deze anomalie wordt verder verkend tijdens het empirisch deel.

Een tweede onduidelijkheid is hierbij de meerwaarde van een aparte CRO ten opzichte van risicomanagement in de portefeuille van een CEO, of de CFO. Wanneer een risicomanager onder een CFO valt, blijft de CFO eindverantwoordelijk voor risicomanagement en kan worden verondersteld dat risicomanagement in dat geval een onderdeel van de portefeuille van de CFO is. Hierbij ontstaat het vraagstuk in hoeverre de CFO onafhankelijk is van het risicomanagement binnen de organisatie. DNB stelt dat het belangrijk is dat bij financiële instellingen de centrale risicomanager of de CRO onafhankelijk is van commerciële en operationele activiteiten (DNB, 2013). Daarnaast geeft DNB aan dat het per casus verschilt of aanstelling van een centrale risicomanager of een CRO is gewenst. Dit gegeven is terug te vinden in bijlage 3. Dit vraagstuk sluit aan bij de actualiteit omtrent de splitsing van de functie van CFO in een CFO en CRO bij de Rabobank. Deze anomalie wordt nader geduid tijdens de empirische verkenning.

3 _{HR 13 juli 2007, ECLI:NL:HR:2007:BA7972}

Zoals in paragraaf 2.2 is aangegeven richt de empirische verkenning zich op de vraagstelling of een CRO de ideale belichaming is van ‘in control’-activiteiten. Daarnaast is het op basis van de huidige literatuur onduidelijk wat de beste positie is voor risicomanagement binnen een organisatie. Om hier duidelijkheid over te verschaffen is het van belang om nader in te gaan op de functie CRO.

2.7

Chief Risk Officer

Voorstanders van de internationale standaarden van COSO zijn het met de stelling eens dat organisaties die kiezen voor een ERM-strategie, één of meerdere personen nodig hebben die verantwoordelijk zijn voor het ERM-programma en de communicatie van de doelstellingen en resultaten aan het bestuur. Echter, overeenstemming ontbreekt over wat de beste structuur is om het ERM-programma te implementeren en te beheersen. Sommigen zijn voorstander van het gebruik van committees die de verantwoordelijkheid hebben voor het ERM-programma in plaats van een enkel persoon. Anderen beargumenteren dat deze verantwoordelijkheid het beste door een enkele afdeling kan worden gedragen (Haubenstock, 1999 ; Liebenberg & Hoyt, 2003).

Anders dan bij traditionele risicomanagers zijn CRO’s aangesteld op directieniveau en rapporteren rechtstreeks aan de CEO of CFO (Liebenberg & Hoyt, 2003). Dit benadrukt ook het verschil tussen een centrale risicomanager en een CRO. Liebenberg & Hoyt (2003) ondervinden dat in het takenpakket van een CRO onder andere de volgende taken voorkomen:

 De CRO is verantwoordelijk voor het identificeren, beoordelen, rapporteren en het ondersteunen van het management bij risicovraagstukken en mogelijkheden;

 De CRO is verantwoordelijk voor het herkennen en evalueren van het totale ondernemings-risico;

 De CRO legt verantwoording af waar het hoort, bij het bestuur. De kansen en risico’s zijn de basis van hoe er zaken worden gedaan.

Liebenberg & Hoyt (2003) hebben, gezien het takenpakket van de CRO, de functie van de CRO gekoppeld aan de internationale standaarden van COSO. Deze verkenning ziet een CRO daarom als de risicomanager op directieniveau die de interne beheersing van een organisatie integraal dient te waarborgen. Opvattingen over een risicomanagementcommittee zijn buiten beschouwing gelaten. Er wordt in dit kader van uitgegaan dat risicomanagement een functie is voor één persoon, of onderdeel is van de functie van CEO of CFO.

2.8

Eigenschappen van een Chief Risk Officer

Er zijn verscheidene onderzoeken bekend over de implementatie en het gebruik van ERM. In het algemeen veronderstellen onderzoekers dat ERM-implementatie in vergelijking met traditioneel risicomanagement bijdraagt aan het verlagen van winstvolatiliteit (Liebenberg & Hoyt, 2003). Daarnaast heeft het gebruik van risicomanagement een positieve invloed op aandeelhouderswaarde en ondernemingsprestaties (Daud, Yazid & Hussin, 2010). Veel onderzoeken bespreken en benoemen de CRO-functie. Zo onderzocht Mikes (2009) twee banken die ERM op verschillende wijzen interpre-teren en toepassen. Uit dat onderzoek komt naar voren dat het toepassen van ERM op strategisch niveau erg lastig is en extra vaardigheden verlangt van de CRO, namelijk politieke bekwaamheid (‘political’) en leiderschap. Dit duidt erop dat niet iedereen ‘geschikt’ is om CRO te zijn, diegene zal over bepaalde competenties moeten beschikken. Arena et al. (2010) hebben onderzoek uitgevoerd naar de organisatorische dynamiek van ERM bij drie Italiaanse organisaties. Refererend naar het onderzoek van Mikes (2009) bestempelen Arena et al. (2010) risicomanagers als ‘onzekerheidsexperts’, onderverdeeld in vier functies, namelijk (1) risicomanagementspecialisten, (2) CRO’s, (3) interne auditors en (4) management accountants. Daarnaast beweren deze auteurs dat een CRO verschilt van een specialistische risicomanager in het feit dat de CRO niet zozeer een expert is in het berekenen van risico’s, maar dat deze juist optreedt als adviseur voor het management in het nemen van verantwoordelijkheid voor risico’s. De interne auditors en de management accountants zijn meestal belast met de toezichthoudende taken binnen een organisatie.

COSO (2004) beschrijft dat medewerkers en managers een belangrijke rol spelen in het effectief implementeren van ERM. Hierbij zal een risicomanager, in dit geval een CRO, over bepaalde eigenschappen moeten beschikken om succesvol te zijn. Daud, Yazid & Hussin (2010) hebben onderzoek uitgevoerd naar de kwaliteit van CRO’s. Ze onderzochten wat het effect van de kwaliteit van CRO’s is op het niveau van ERM-implementatie van beursgenoteerde Maleisische organisaties. Uit de resultaten blijkt dat de kwaliteit van CRO’s een grote invloed heeft op het niveau van ERM-implementatie. Voor het meten van de kwaliteit zijn zeven ‘even’ belangrijke componenten onderzocht. Volgens de onderzoeker zijn hierbij persoonlijke kwaliteiten en taken van de CRO binnen een organisatie onder één noemer geplaatst. COSO (2004) betoogt daarentegen dat een CRO twee kernkwaliteiten moet bezitten, namelijk dat een CRO een groot voorstander is van samenwerken en van communicatie. Daarnaast stelt COSO voor dat een CRO over een aantal extra eigenschappen moet beschikken wil deze effectief zijn en benoemt De la Rosa (2006) ook een aantal kwaliteiten waar een CRO volgens de auteur over moet beschikken. Veel van de benoemde kwaliteiten neigen meer naar ervaringen of bepaalde werkzaamheden dan naar persoonlijke eigenschappen. Om hier meer duidelijkheid over te verschaffen zijn de eigenschappen waar een effectieve CRO over dient te beschikken samengevoegd. Een effectieve CRO beschikt volgens de huidige literatuur over de volgende eigenschappen:

 Leiderschap en uitstekende managementvaardigheden;  Goede communicatievaardigheden;

 Goede onderhandelingsvaardigheden;  Snel en strategisch kunnen denken;  Goed kunnen samenwerken;

 Diepgaande kennis en ervaring van de industrie en bedrijfsprocessen;  Gericht zijn op een kosten-baten focus;

 Uitgebreide risicomanagement expertise en ervaring;  Een goed ontwikkeld risicobewustzijn;

 Kunnen optreden als adviseur.

Bij het weergeven van de eigenschappen die in de literatuur zijn beschreven is er sprake van een anomalie. Er is hierbij geen onderscheid gemaakt tussen algemene- en specifieke management-eigenschappen. De eerste vijf punten worden voor deze empirische verkenning aangemerkt als algemene managementvaardigheden. De overige eigenschappen zijn te classificeren als specifieke eigenschappen waar een effectieve CRO over dient te beschikken. Deze punten komen overeen met hetgeen DNB verlangt van een CRO of centrale risicomanager bij financiële instellingen (DNB, 2013). Uitgerust met deze specifieke kenmerken is een CRO capabel om het COSO-raamwerk toe te passen op organisaties om hiermee bij te dragen aan het ‘in control’ zijn. Indien een organisatie een CRO aanstelt die beschikt over bovengenoemde eigenschappen, dan kan de CRO de structuur van een organisatie dusdanig aanpassen om adequaat en effectief risicomanagement te waarborgen. De praktijk wijst dit ook uit. Een aangestelde CRO herziet de interne risicomanagementstructuur volledig. Dit is in lijn met de uitkomst van het onderzoek van Beasley et al. (2005) waarbij bleek dat aanstelling van een CRO een positief effect had op ERM-implementatie. Het empirisch deel dat verderop in deze scriptie aan de orde komt vergelijkt de kwaliteiten die uit de literatuur naar voren zijn gekomen met de verwachtingen en behoeften vanuit de praktijk. De verkenning van de kwaliteiten die de praktijk verlangt van een CRO kunnen de huidige literatuur versterken of aanvullen.

In dit hoofdstuk zijn belangrijke passages die betrekking hebben op risicomanagement, het ‘in control’ zijn en de CRO in het literatuuronderzoek behandeld. Hiermee is er voldoende informatie om antwoord te geven op de eerste deelvraag. Voor de tweede deelvraag en de bijbehorende sub-deelvragen is in dit hoofdstuk een theoretische benadering gegeven. Deze aspecten zijn nog niet volledig beantwoord en worden verder verkend tijdens het empirisch deel. Het volgende hoofdstuk bespreekt de vormgeving van het empirisch deel om het fenomeen CRO verder te verkennen en om de tweede deelvraag te kunnen beantwoorden.

3

Methode van onderzoek

Dit hoofdstuk behandelt de methode van onderzoek die betrekking heeft op het empirisch deel van deze verkenning. De eerste paragraaf behelst de onderzoeksmethode. De tweede paragraaf beschrijft hoe de keuze voor dataverzameling tot stand is gekomen. Vervolgens komt in de derde paragraaf aan de orde hoe de validiteit van deze verkenning om betrouwbare resultaten te genereren is gewaarborgd. Tot slot behandelt de laatste paragraaf van dit hoofdstuk hoe de analyse van de empirische resultaten gaat plaatsvinden.

3.1

Onderzoeksmethode

Blumberg et al. (2005) maken onderscheid tussen kwantitatieve en kwalitatieve onderzoeksmethoden. Zij benoemen kwantitatieve informatie als nummers en figuren en kwalitatieve informatie als woorden, zinnen en teksten (Blumberg et al., 2005). De onderzoeksmethode voor deze thesis is te kwalificeren als een kwalitatieve methode. Een kwalitatief empirische verkenning bestaat uit een literatuuronderzoek, discussies aangaan met deskundigen op het desbetreffende gebied en het houden van interviews(Lewis & Thornhill, 2011). Het bestuderen van secundaire literatuur is de eerste stap in dit verkennende onderzoek. Middels dit literatuuronderzoek heeft de beschouwing plaatsgevonden over wat er tot op heden over de begrippen in de centrale onderzoeksvraag en deelvragen is geschreven. Waar in het tweede hoofdstuk een literatuurstudie is uitgevoerd, gaat dit hoofdstuk in op de onderzoeksmethode voor het empirisch deel alsmede de wijze waarop deze is uitgevoerd.

Uit de centrale onderzoeksvraag is te constateren dat er interpretaties en reflecties dienen plaats te vinden om contouren vast te stellen die accountants onderkennen. Het houden van interviews is hiervoor een uitermate geschikte methode aangezien er gericht kan worden doorgevraagd indien er onduidelijkheden zijn of als anomalieën niet goed zijn verklaard. Het is gebruikelijk bij interviews dat er een afspraak wordt gemaakt met de geïnterviewde, zodat deze gedurende een vaste tijd zijn volledige aandacht op het onderwerp kan richten. Hierdoor kan volledige en nauwkeurige informatie per aspect worden gegenereerd. Reeds in de inleiding is de opmerking gemaakt waarom hier sprake is van een ‘verkenning’ in plaats van een ‘onderzoek’. Voor deze empirische verkenning zijn interviews dan ook uitermate geschikt om een compleet beeld te krijgen van het organiseren van de CRO-functie en om de contouren te kunnen schetsen die geïnterviewde partners hiervan onderkennen bij financiële instellingen.

Uit de literatuur blijkt dat er meerdere methoden worden aangedragen om kwalitatief onderzoek mee uit te voeren. Onderzoekers geven aan dat de keuze voor het uitvoeren van een kwalitatieve verkenning onder meer bestaat tussen het houden van enquêtes en het houden van interviews (Smith, 2015; Blumberg et al., 2005; Yin, 1994). Blumberg et al. (2005) schrijven dat het houden van interviews meer gebruikelijk is als er meer variabelen zijn om te onderzoeken. Dit is het geval bij de verkenning van het fenomeen CRO, er worden tijdens het empirisch deel meerdere variabelen verkend. Hiernaast is het empirisch deel gericht op de eigenschappen die controlerende accountants in de praktijk van een CRO verlangen. Aan de hand van het literatuuronderzoek zijn de eigenschappen afkomstig van eerdere onderzoeken over dit onderwerp beschouwd. Middels interviews met een open karakter kan worden onderzocht of controlerende accountants een corresponderende mening hierover delen om de bevindingen uit de literatuurstudie mee te valideren en aan te vullen. Het houden van interviews is hiervoor een geschiktere methode ten opzichte van enquêtes door het open karakter en de mogelijkheid om door te vragen.

Een andere reden om het houden van interviews te verkiezen boven het afnemen van enquêtes is de ontoereikendheid van het aantal mogelijke waarnemingen. Blumberg et al. (2005) geven aan dat enquêtes alleen gerechtvaardigd zijn als er sprake is van een groot aantal waarnemingen. Via de zoeksite van de Nederlandse Kamer van Koophandel (www.company.info) komen relatief weinig personen naar voren wanneer er wordt gezocht op ‘risk’ in de titel (76 personen). Hiervan worden slechts vijf personen aangemerkt als Chief Risk Officer, waarvan er slechts drie in het bestuur van een organisatie zitten. Dit gegeven impliceert dat de CRO-functie bij Nederlandse organisaties nog niet gebruikelijk is. Een mogelijke verklaring hiervoor is dat het merendeel van de financiële instellingen in de zoekmachine van de Nederlandse Kamer van Koophandel niet naar voren komt, doordat deze beursgenoteerd of internationaal zijn.

De interviews voor de empirische verkenning hebben twee hoofddoelstellingen. Enerzijds om het perspectief van de informant te leren kennen en anderzijds om de informant de inzichten en informatie uit het literatuuronderzoek te laten valideren (Blumberg et al., 2005). Voor het bereiken van deze hoofddoelstellingen kunnen interviews worden afgenomen volgens gestructureerde-, semi-gestructureerde- en ongestructureerde methoden (Smith, 2015). Om een vormvrijer karakter te creëren en om een dialoog met de geïnterviewde mogelijk te maken is er gekozen voor semigestructureerde interviews. Door structurering van de open vragen blijft er een zekere structuur aanwezig, zodat het empirisch deel gericht blijft op de kern van de anomalieën en tekortkomingen die voortvloeiden uit het literatuuronderzoek. Het houden van volledig ongestructureerde interviews was voor de probleemstelling een geschiktere methode geweest, echter moet de interviewer hiervoor veel ervaring hebben met interviewen en kost deze vorm van interviewen veel tijd (Smith, 2015). Daarnaast mag er bij semigestructureerde interviews worden afgeweken van de volgorde of kan er worden doorgevraagd om achterliggende beweegredenen of de totstandkoming van meningen te specificeren (Smith, 2015). Het achterhalen van de gedachte achter de informatie sluit aan bij de centrale doelstelling van dit onderzoek om het fenomeen CRO verder te verkennen en om uiteindelijk vast te stellen welke contouren accountants onderkennen met betrekking tot het organiseren van de CRO-functie bij financiële instellingen.

3.2

Dataverzameling

Voor de empirische verkenning van het fenomeen CRO is gekozen om interviews te houden met enige partners van een Big-4 accountantskantoor die verantwoordelijk zijn voor de controle van jaarrekeningen van financiële instellingen. Dit heeft te maken met het feit dat CRO’s tot op heden in geringe mate in de praktijk voorkomen en lastig te bereiken zijn voor onderzoekers die geen netwerk hebben in de financiële sector. Daarnaast is ten tijde van deze empirische verkenning een scriptiestage uitgevoerd bij dit Big-4 accountantskantoor, waardoor contact met partners die expertise hebben op het gebied van risicomanagement bij financiële instellingen mogelijk was. De geïnterviewde partners komen in de praktijk in aanraking met meerdere cliënten waarvan de jaarrekening wordt gecontroleerd. Hierdoor beschikken ze over risico-informatie en risico-expertise van meerdere cliënten. Tot slot komen deze partners veelvuldig in aanraking met gecompliceerde vaktechnische vraagstukken op het gebied van risicomanagement en hebben zij contact met de eindverantwoordelijken van cliënten en de daar werkzame CRO’s. Zodoende is, gegeven de huidige situatie, afgezien van CRO’s de partner van een Big-4 accountantskantoor de meest geschikte en toegankelijke bron voor het verzamelen van data voor deze empirische verkenning.

Voor het afnemen van interviews is het belangrijk om een eenduidig interviewraamwerk te creëren met inhoudelijk goede vragen die consistent in alle interviews terugkomen. Dit interviewraamwerk vormt een leidraad tijdens de interviews met partners. Daarnaast moeten deze interviewvragen alle te onderzoeken aspecten omvatten om te leiden tot voldoende empirisch resultaat. Het opstellen van goede interviewvragen voor dit raamwerk vereist veel aandacht en is een complexe taak voor onervaren onderzoekers (Blumberg et al., 2005). Om te waarborgen dat de interviews alle te onderzoe-ken aspecten omvatten is gekozen om de interviewvragen in twee fasen op te stellen, een reviewfase en een pilot interview. Yin (1994) schrijft dat een pilot interview belangrijk is en dat het helpt om het verzamelen van gegevens te verfijnen. Dit geldt voor zowel de inhoud van de gegevens als voor het gebruik van de interviewvragen.

Het interviewraamwerk is opgesteld aan de hand van een beoordelingsvragenlijst van DNB. Organisaties kunnen door middel van deze beoordelingsvragenlijst aandachtspunten identificeren inzake de governance van risicomanagement (DNB, 2013). Daarnaast is veel input voor de vragen om tekortkomingen of tegenstrijdigheden te verklaren afkomstig van de literatuurstudie van hoofdstuk 2. Tezamen met een manager van het Big-4 accountantskantoor heeft er een review plaatsgevonden ten aanzien van de opgestelde interviewvragen. Deze manager heeft kleinere verzekeraars in zijn klantenportefeuille en komt zodoende in aanraking met centrale risicomanagers en het te onderzoeken onderwerp. Tevens is met deze manager een pilot interview afgenomen om te beoordelen of de vragen de juiste informatie verschaffen voor dit onderzoek. Door het pilot interview werd duidelijk dat een CRO van toegevoegde waarde is voor financiële instellingen, waardoor er tijdens de empirische verkenning is ingespeeld op deze tendens. Aan de hand van de review en het pilot interview is het raamwerk meer gericht op de kern van de probleemstelling met meer valide uitkomsten als gevolg. Het definitief gehanteerde interviewraamwerk is terug te vinden in bijlage 4.

Tot slot zijn voorafgaand aan de gesprekken de partners op de hoogte gesteld van het onderwerp en van de reikwijdte van het af te nemen interview. Hiervoor is een dag van te voren een begeleidende mail met een bijgevoegde introductie aan de partners toegestuurd. Deze introductie is mede tot stand gekomen door een review van de manager die in de vorige alinea is genoemd en de scriptiebegeleider van de Rijksuniversiteit Groningen. De toegestuurde introductie is terug te vinden in bijlage 5.

3.3

Validiteit

Blumberg et al. (2005) stellen dat de kwaliteit van een kwalitatief empirische verkenning gecompliceerd is te waarborgen waardoor dit een lastige vorm van onderzoek is. Om de validiteit van een empirische verkenning te verhogen schrijft Smith (2015) dat er moet worden ingespeeld op vier kwesties: (1) construct validiteit, (2) interne validiteit, (3) externe validiteit en (4) betrouwbaarheid.

Om de construct validiteit te verhogen wordt er gebruik gemaakt van meerdere bronnen, namelijk literatuur, interviews en discussies met een deskundige op het gebied van risicomanagement bij financiële instellingen en een manager van een complexe organisatie die verantwoordelijk is voor de interne beheersing en controls omtrent risicomanagement. Hierbij compenseren de sterktes van de ene bron de zwaktes van de andere bron (Blumberg et al., 2005). Hiernaast geven deze auteurs aan dat het belangrijk is om een bewijsketen op te stellen. Dit kan in de vorm van een database. Yin (1994) benoemt het aanleggen van een database als belangrijk voor data collectie. Een database verhoogt de betrouwbaarheid van een empirische verkenning, doordat alle informatie bij elkaar wordt bewaard en eenvoudig is na te zien. Voor de vastlegging van informatie zijn de interviews daarom met toestem-ming van de geïnterviewden opgenomen, waarna deze gedetailleerd zijn getranscribeerd. Naast de getranscribeerde interviews is eveneens de geraadpleegde literatuur aan de database toegevoegd. Dit is op aanvraag ter inzage beschikbaar.

De tweede kwestie die moet zijn gewaarborgd betreft de interne validiteit. Interne validiteit waarborgen is doorgaans problematisch bij interviews, vanwege de mogelijkheid om tot vertekende conclusies over de aard van de relaties tussen variabelen te komen (Smith, 2015). Om de interne validiteit te verhogen is voor deze empirische verkenning gebruik gemaakt van cross-reference bij het beschrijven van de resultaten. Dit wil zeggen dat de uitkomsten van de interviews met elkaar zijn vergeleken om de informatie te verifiëren. Daarnaast vinden er twee additionele discussies plaats om de validiteit te verhogen en de methodologische onzekerheid te verlagen, die na de gehouden interviews nog bestond over de juiste organisatorische plaats voor de invulling van de CRO-functie. Met behulp van interne contacten bij het accountantskantoor en externe relaties van de begeleider van de Rijksuniversiteit Groningen zijn twee personen benaderd om mee te converseren over de uitkomsten van de interviews. De interne deskundige bij het Big-4 accountantskantoor op het gebied van risicomanagement bij financiële instellingen heeft de empirische resultaten gevalideerd, waarbij de externe relatie bij een complexe organisatie de uitkomsten van deze empirische verkenning in een breder perspectief heeft geplaatst. Het gesprek met de externe relatie heeft mede geleid tot aanbevelingen voor vervolgonderzoek.

Blumberg et al. (2005) beschrijven dat bij het uitvoeren van exploratief onderzoek, zoals deze verkenning, interne validiteit aanzienlijk belangrijker is dan externe validiteit. De externe validiteit beroept zich bij verkennende onderzoeken op analytische generalisatie (Yin, 1994). Hierbij is het nadrukkelijk te doen om theorievorming en replicatielogica (Van Riemsdijk, 1999). Zoals reeds eerder vermeld, is deze scriptie gericht op de verkenning van een fenomeen. Vandaar dat er geen sprake is van analytische generalisatie (Yin, 1994). De uitkomst van deze verkenning geeft een beeld van de CRO-functie in de praktijk.

Om tot slot de betrouwbaarheid van deze verkenning te verhogen is het voor de uitvoering van het empirisch deel essentieel om de onderzoeksmethode gedetailleerd te bespreken (Smith, 2015). De auteur schrijft dat het hiervoor van belang is om de lezer tot in detail te informeren over de fases van het onderzoek. Yin (1994) benadrukt een gedetailleerde bespreking in lijn met Smith (2015) en duidt dit als protocol. Onderdeel van dit protocol is een gedetailleerde beschrijving van het verkennings-proces. Hiervoor is voor het empirisch deel duidelijk omschreven hoe de informatie is verkregen en uit welke fases deze verkenning bestaat. Het gehanteerde protocol voor deze verkenning bestaat uit zeven stappen:

1. Het opstellen van interviewvragen; 2. Het laten reviewen van interviewvragen; 3. Het afnemen van een pilot interview;

4. Het opstellen en verzenden van een introductie naar de gesprekspartners; 5. Het afnemen van de interviews;

6. De data afkomstig van interviews uitwerken en analyseren;

7. Het reflecteren op de empirische resultaten en op basis hiervan conclusies formuleren.

Gedurende dit hoofdstuk zijn de fases één tot en met vier beschreven. De volgende paragraaf is gericht op de overige fases, waarbij de resultaten van deze stappen in de volgende hoofdstukken aan bod komen.