De risicorapportage van Nederlandse beursgenoteerde ondernemingen in 2011 vergeleken met 2007.
Bachelor Scriptie
Student: Hannah van Vorselen Student nummer: 6146783 Faculteit: Economie en Bedrijfskunde Richting: Economie en Financiering Begeleider: dhr. D.H.J. Chen MSc Datum: 04-07-2013 Plaats: Amsterdam
Inhoudsopgave
1. Abstract ............................................................................................................................. 3 2. Inleiding ............................................................................................................................ 3 3. Literatuur onderzoek ................................................................................................... 5
3.1 Risicomanagement............................................................................................................... 5 3.2 Het belang van risicorapportage .................................................................................... 6 3.3 Eerder onderzoek ................................................................................................................. 7 3.4 Begrippen ................................................................................................................................ 9 3.4.1 Risico ................................................................................................................................................ 9 3.4.2 Risicocategorieën ......................................................................................................................10
6. Kwaliteit ......................................................................................................................... 12 4.1 Eisen: Wet-en regelgeving ...............................................................................................13 4.2 Het risicomanagement raamwerk: COSO-ERM ........................................................16 4.3 Eumedion...............................................................................................................................18 4.4 Kwaliteitscriteria ...............................................................................................................19
5. Onderzoek ..................................................................................................................... 20 5.1 Onderzoeksvragen .............................................................................................................20 5.2 Onderzoeksdata ..................................................................................................................21 5.3 Selecte steekproef ..............................................................................................................21 5.4 Onderzoeksmethode .........................................................................................................23 5.4.1 Empirisch onderzoek...............................................................................................................23 5.4.2 Statistisch onderzoek ..............................................................................................................26
6. Resultaten, discussie en beperkingen ................................................................. 28 6.1 Normering .............................................................................................................................28 6.2 Resultaten .............................................................................................................................29
7. Conclusie ........................................................................................................................ 36 8. Bibliografie .................................................................................................................... 38 9. Appendices .................................................................................................................... 42 Appendix A ...................................................................................................................................43 Appendix B ...................................................................................................................................44
2
1. Abstract De desastreuze gevolgen van het negeren van risico’s zijn door de crisis pijnlijk duidelijk geworden. Hoewel de afgelopen jaren door critici voortdurend kritiek is geleverd op de informatieve waarde en het niveau van risicorapportage is inmiddels ook bij beleggers de belangstelling voor risicorapportage in opmars. Dit heeft risicomanagement- en rapportage in het centrum van de belangstelling geplaatst. Of die belangstelling de ondernemingen heeft aangespoord om hun rapportage over risico’s te veranderen staat in dit onderzoek centraal. Bepaalde delen van de jaarverslagen van negentien AEX ondernemingen van 2007 en 2011 zijn met elkaar vergeleken aan de hand van een empirisch onderzoek. Of de kwaliteit van de jaarverslagen is toegenomen is onderbouwd met een afhankelijke t-toets. Uit het onderzoek is gebleken dat in 2011 significant vaker een reactie op het risico en/of controlemaatregel werd beschreven dan in 2007. Daarnaast is in het onderzoek naar voren gekomen dat de meest genoemde risico’s financieel van aard zijn, de risicoparagraaf gemiddeld zo’n zes procent van het jaarverslag besloeg in beide jaren en dat bijna altijd werd verwezen naar een risicomanagement systeem van COSO. Terwijl in 2007 nog maar 11% van de ondernemingen de crisis noemde als risico, was dit in 2011 een gestegen naar percentage van 74%. Geen van de ondernemingen beschreef een maatregel om het risico in te perken.
2. Inleiding Om maar met de deur in huis te vallen, het volgende citaat1: ‘Volgens de bankiers waren de gebruikte risicosystemen verouderd en niet toegerust om nieuwe risico’s en de onderlinge samenhang tussen risico’s te beoordelen. Met andere woorden: het risicomanagement was niet afdoende. Daardoor was men niet op de hoogte van de risico’s die waren verbonden aan de nieuwe financiële producten.’ A.J. Kellerman, directielid van De Nederlandsche Bank (2007-heden) De door mevrouw Kellerman beschreven onwetendheid heeft inmiddels zijn tol geëist. Wat eind 2007 begon als een bankencrisis is inmiddels uitgegroeid tot een wereldwijde recessie. Risico’s zijn inherent aan ondernemen, maar de negatieve gevolgen van onvoldoende (toe)zicht op risico’s, door een niet goed functionerend risicomanagement systeem, kunnen
1
Speech van A.J. Kellerman, 11 december 2008, op het jaarcongres van NCI met als thema 'Ontwikkelingen naar aanleiding van de kredietcrisis'.
3
zeer schadelijk zijn (Taylor, 2009). De huidige turbulentie op de (financiële) markten zorgt voor onzekerheid. Voor een duurzaam herstel van vertrouwen tussen aandeelhouders en beursgenoteerde ondernemingen is het van groot belang is dat er zo transparant mogelijk wordt gecommuniceerd over zowel de strategie als het risicoprofiel (de Groot J. , 2008; Eumedion, 2008; Eumedion, 2010). Dit inzicht kan op verschillende manieren verschaft worden maar gebeurt hoofdzakelijk middels risicorapportage2 in het jaarverslag. Risicorapportage is niet vrijblijvend, maar voor een groot deel op grond van wet- en regelgeving verplicht. Die verplichting houdt in dat een elke onderneming haar belanghebbenden3 dient te informeren over de belangrijkste risico’s die van invloed kunnen zijn op het behalen van de doelstellingen. De eisen die aan de risicoverslaglegging worden gesteld zijn echter vaag gedefinieerd (open normen) en laten daardoor (te) veel ruimte voor een eigen invulling. In 2006 constateerde de Monitoring Commissie Corporate Governance al dat ondernemingen over het algemeen te weinig inzicht geven in de risico’s die zij lopen. Tevens benadrukte de Monitoring Commissie dat er van een onderneming mag worden verwacht dat zij de risico’s niet alleen benoemt, maar ook aangeeft wat ze doet om die risico’s te beheersen (bijvoorbeeld door gebruikmaking van hedging4). Volgens Dobler (2005) geven ondernemingen de voorkeur aan vage risicorapportage uit angst voor een selffulfilling prophecy. Zo zou het expliciet benoemen en uitleggen van risico’s een zwakke indruk achterlaten bij aandeelhouders en werknemers wat de kans zou vergroten dat de risico’s daadwerkelijk uitkomen. PricewaterhouseCoopers en de RuG (2006) daarentegen zijn van mening dat ondernemingen pas echt energie in risicomanagement- en rapportage steken als ze zich hiermee in de ogen van beleggers en analisten kunnen onderscheiden. Pas dan levert het echt wat op. Inmiddels is dat punt bereikt. Beleggingsmaatschappij Eumedion heeft van 2007 tot en met 2010 in haar jaarlijkse speerpuntenbrief gericht aan beursgenoteerde ondernemingen, gewezen op de noodzaak van risicorapportage voor beleggers en benadrukt dat zij het niveau graag omhoog zien gaan (Eumedion, 2007,2008,2009,2010). De desastreuze gevolgen van het negeren van risico’s, de kritiek op de informatieve waarde van risicorapportage en de inmiddels getoonde interesse van beleggers in de risicoparagraaf, hebben risicomanagement- en rapportage in het centrum van de belangstelling geplaatst. Of die belangstelling risicorapportage heeft doen veranderen, zoals in 2006 voorspeld werd door PricewaterhouseCoopers en de RuG, staat in dit onderzoek 2
Risicorapportage, risicoverslaggeving, risicoverslaglegging en risicorapportering zijn synoniemen. De belangrijkste belanghebbenden zijn in deze context de raad van bestuur, de managers en de aandeelhouders. Naast deze ‘belangrijkste’ belanghebbenden kan ook worden gedacht aan: verschaffers van eigen vermogen, analisten, leveranciers, afnemers, toezichthouders, de overheid, regelgevende instanties, brancheverenigingen, het milieu en zelfs omwonenden. 4 Hedging is het verminderen van risico door financiële transacties af te dekken met tegengestelde transacties. 3
4
centraal. Is er in 2011 sprake van een kwaliteitsverbetering ten opzicht van 2007 en worden er in 2011 andere risico’s gerapporteerd dan in 2007? Het onderzoek is als volgt opgebouwd. Risicorapportage staat niet op zichzelf, maar is het resultaat van risicomanagement. Vandaar dat het literatuuronderzoek, hoofdstuk 3, begint met een introduceren van het concept, risicomanagement. Vervolgens zal in worden ingegaan op het belang van risicorapportage en zal een kort overzicht van de conclusies uit eerder onderzoek aangaande risicorapportage worden gegeven. Tot slot zal aandacht worden besteed aan de verschillende visies op het begrip risico, aan de hand waarvan verschillende risicocategorieën zullen worden gedefinieerd. In hoofdstuk 4 zal de totstandkoming van de vijf kwaliteitscriteria, waaraan de kwaliteit van risicorapportage in dit onderzoek getoetst zal worden, onderbouwd worden. Deze criteria vloeien voort uit de weten regelgeving, het risicomanagement raamwerk COSO-ERM en de kritiek van beleggersmaatschappij Eumedion. In hoofdstuk 5 zullen de onderzoeksvragen, data, (aselecte) steekproef en onderzoeksmethode beschreven worden. De resultaten van het onderzoek worden weergegeven en van commentaar voorzien in hoofdstuk 6, gevolgd door de conclusie in hoofdstuk 7. Hoofdstuk 8 en 9 bestaan uit de bibliografie en de appendix.
3. Literatuur onderzoek 3.1 Risicomanagement De risico’s die ondernemingen in hun jaarverslag beschrijven zijn gebaseerd op een risicomanagement systeem. Risicomanagement is een continu proces, waarbij zowel risico’s als kansen achtereenvolgens worden geïdentificeerd, gekwantificeerd en gecontroleerd (Solomon, 2000). Daar hoort ook het nemen van maatregelen bij om zo de kans te verkleinen dat risico’s überhaupt optreden. Evenals het beheersbaar maken van de gevolgen die risico’s eventueel hebben (Deloitte, 2009). Claassen (2010) formuleert de noodzaak van risicomanagement aan de hand van twee motieven: het conformance –en het performance-motief. Met het conformance-motief wordt het voldoen aan wet- en regelgeving bedoeld. Vennootschappen zijn bij wet verplicht om een ‘op de vennootschap toegesneden intern risicobeheersings- en controlesysteem’ te hanteren (zie paragraaf 4.1). Het performance-motief is de breed gedragen opvatting dat risicomanagement noodzakelijk is om de aandeelhouderswaarde te maximaliseren (Claassen U. , 2009). De achterliggende gedachte is dat maximalisatie van de winst voor ogen wordt gehouden, terwijl de kans op falen wordt verkleind (Solomon et al., 2000).
5
Op het niveau van beursgenoteerde ondernemingen wordt risicomanagement altijd uitgevoerd aan de hand van een zogenaamd risicomanagement raamwerk, met als doel dat risico’s en beheersmaatregelen niet op een willekeurige, maar op een gestructureerde wijze geïnventariseerd worden (Deloitte, 2009). Een cruciaal onderdeel van dit raamwerk is het rapporteren van de gevonden risico’s in het jaarverslag. De invulling die bedrijven hieraan geven is onderwerp van deze studie. Wereldwijd zijn verschillende risicomanagement raamwerken ontwikkeld. Zowel (verplichte) branche specifieke standaarden, zoals Basel II voor het bankwezen en Solvency II voor het verzekeringswezen, als standaarden die elke onderneming kan gebruiken zoals COSO, ISO 31000 en INTOSAI. Hoewel ondernemingen vrij zijn om één van de standaarden te kiezen, is uit onderzoek van Blij & Mertens (2008) gebleken dat 91 procent van de ondernemingen die in 2008 deel uitmaakten van de AEXindex in haar jaarverslag verwees naar één van de twee COSO raamwerken. COSO is de afkorting van ‘Committee of Sponsoring Organizations of the Treadway Commission’ , een comité dat bestaat uit een aantal private organisaties. In twee derde van de gevallen werd volgens Blij en Mertens (2008) verwezen naar en gebruik gemaakt van het inmiddels verouderde COSO-IC-Integrated Framework5 (hierna: COSO-IC) uit 1992. In één derde van de gevallen naar het COSO-ERM-Integrated Framework6 uit 2004 (hierna: COSO-ERM). COSO-ERM borduurt voort op het COSO-IC, met als belangrijk verschil dat COSO-ERM risico’s vanuit de tweezijdige in plaats van eenzijdige definitie benadert (Munnik & Emanuels, 2006). Op het verschil tussen beide benaderingen zal in paragraaf 3.4.1 worden ingegaan. De populariteit van de COSO raamwerken is niet verbazingwekkend, aangezien zowel de Nederlandse Code Corporate Governance als de als de Sarbanes-Oxley Act (‘De Code’ van Amerika) verwijzen naar de uitgangspunten en onderdelen ervan (Blij & Mertens, 2008; PricewaterhouseCoopers, 2006). Bij het opstellen van kwaliteitscriteria om de risicorapportage te beoordelen zal dieper op de inhoud van het COSO-ERM raamwerk worden ingegaan.
3.2 Het belang van risicorapportage Er zijn twee belangrijke redenen waarom beursgenoteerde ondernemingen over risico’s en de beheersing van die risico’s rapporteren. Ten eerste omdat zowel de onderneming als haar belanghebbenden baat hebben bij de informatie uit de risicoparagraaf. Ten tweede omdat beursgenoteerde ondernemingen op grond van wet- en regelgeving niet alleen verplicht zijn 5
COSO-IC-Integrated Framework staat voor ‘Internal Control-Integrated Framework’ en betekent ‘intern controle raamwerk’. 6 COSO-ERM-Integrated Framework staat voor ‘Enterprise Risk Management-Integrated Framework’ en betekent integraal risicomanagement raamwerk
6
tot het hanteren van een risicomanagement systeem maar ook verplicht zijn tot risicorapportage. Wat is de toegevoegde waarde van risicorapportage voor de onderneming en haar belanghebbenden? Om te beginnen is het voor beleggers van belang dat ze, aan de hand van een transparante risicoparagraaf, de winstgevendheid die ondernemingen rapporteren ook kunnen afzetten tegen de voornaamste risico’s die de onderneming loopt. Dit draagt bij tot het nemen van de juiste portfolio-investeringsbeslissingen, met als resultaat dat de optimale werking van de kapitaalmarkt wordt bevorderd (Solomon, 2000) (Hoogendoorn & Mertens, 2001). Verder getuigt een kwalitatief goede risicoverslaglegging van zelfbewust handelen, waardoor het vertrouwen van de belegger kan worden gewonnen/behouden. Zo poneerde Trueman al in 1986 dat de marktwaarde van een aandeel onder andere wordt bepaald door de mate waarin investeerders geloven dat een onderneming over de mogelijkheden beschikt om veranderingen te voorspellen en hierop te reageren. Als onderneming kan men via het risicorapport deze bekwaamheid bewijzen door te laten zien hoe men ontvangen informatie over veranderingen op de markt gebruikt en ook of er daadwerkelijk wordt ingespeeld op deze veranderingen. Tenslotte kan risicorapportage een bijdrage leveren aan het verlagen van de kapitaalkosten7 van de onderneming (Linsley & Shrives, 2006; Solomon, 2000). De redenering is als volgt. Beleggers eisen altijd een rendement, ook wel risicopremie, op het geld dat zij beleggen. Hoe hoger het risico dat de belegger naar verwachting met zijn investering loopt, hoe hoger de risicopremie. Als een onderneming door middel van haar risicoparagraaf uitstraalt dat zij de belangrijkste risico’s in kaart heeft gebracht, nauwlettend in de gaten houdt en onder controle heeft, kan dit ervoor zorgen dat het vermeende risico in de ogen van de belegger afneemt. Zo kan door middel van transparantie over risico’s een stukje informatieasymmetrie tussen de onderneming en haar belanghebbenden worden weggenomen, waardoor de belegger een lager rendement eist en de kapitaalkosten van de onderneming afnemen (Ross, Westerfield, & Jaffe, 2008).
3.3 Eerder onderzoek In 2000 adviseerde van Linsley en Shrives om de informatieve waarde van risicorapportage niet te overschatten. ‘Ze zijn niet te verifiëren en laten door te vage richtlijnen veel ruimte voor manipulatie.’ Schijn informatie dus. Als het gaat om de voorspellende waarde van de risicoparagraaf is men ook sceptisch. Er wordt vooral ingegaan op risico’s uit het verleden of heden, maar niet op toekomstige risico’s (Beretta en Bozzolan, 2004). In 2008 maakten Blij 7
Met kapitaalkosten worden de kosten bedoelt die gepaard gaan met het binnenhalen van zowel vreemd als eigen vermogen om bijvoorbeeld een acquisitie te financieren.
7
en Mertens in opdracht van het NIVRA8 en beleggingsmaatschappij Eumedion de balans op. Uit hun grootschalige onderzoek ‘Inzicht in onzekerheid’ bleek dat er nog steeds veel ruimte was voor verbetering. Over de kwaliteit schreven zij: ‘Een luttele 10% verschaft inzicht in de rangschikking van de belangrijkste risico’s. Ondernemingen doen weliswaar vrij uitvoerig verslag van alle risico’s, maar een prioritering ontbreekt in de meeste gevallen. Wij hebben uitvoerige opsommingen van risico’s aangetroffen, zonder dat deze worden gekwantificeerd of dat daarbij een relatie met de ondernemingsstrategie wordt gelegd. In de verslaggeving over risico’s is geen informatie aangetroffen over de samenhang tussen bepaalde risico’s. Driekwart van de ondernemingen die de risico’s kwantificeren, verstrekt informatie over het effect op het resultaat: de helft rapporteert de impact op het eigen vermogen. Geen van de onderzochte ondernemingen heeft bij de gepresenteerde risico’s aangegeven wat de kans is op het zich voordoen van een dergelijk risico. (pp.6-7) Uit onderzoek van Aourz in 2009 blijkt dat ondernemingen op zeer uiteenlopende wijze rapporteren. Dit leidt tot een gebrek aan relevantie, begrijpelijkheid, betrouwbaarheid en een goede onderlinge vergelijkbaarheid van de risico’s die bedrijven lopen of nemen. Met als gevolg dat gebruikers de gerapporteerde cijfers niet goed kunnen interpreteren en waarderen (Aourz, 2009). Om de uiteenlopende kwaliteit van risicorapportage te verklaren is gekeken naar de invloed van bepaalde determinanten, zoals grootte van de onderneming en hoeveelheid regelgeving, op de kwantiteit en de kwaliteit van risicorapportage. Onderzoeken uit verschillende landen hebben een positief verband aangetoond tussen de grootte van de onderneming en het aantal risico’s dat benoemd wordt in de sectie risicoverslaggeving (Abraham & Cox, 2007; Beretta & Bozzolam, 2004 en Linsley & Shrives, 2006). De verklaring hiervoor is dat hoe groter de onderneming, hoe meer middelen (tijd en geld) zij ter beschikking heeft om de risico’s te onderzoeken en er vervolgens over te rapporteren. Daarnaast heeft een grotere onderneming over het algemeen meer geïnteresseerde belanghebbenden, wat het belang van risicorapportage vergroot. Naast de grootte van de onderneming is gebleken dat regelgeving een positieve invloed op de kwaliteit van risicorapportage heeft (Botosan,1997, 2006; Hassan, 2008 en Linsley & Shrives, 2006). De banken sector, die naast De Code zich ook moet houden aan Basel III en aan de Code Banken, doet aanzienlijk beter verslag van risico’s dan de telecommunicatie- of consumentenproducten sector (Aourz, 2009). Toch is men
8
Koninklijk Nederlands Instituut van Registeraccountants
8
terughoudend als het gaat om het uitbreiden van regelgeving, omdat dit het gevaar met zich meebrengt dat ondernemingen het onderwerp gaan benaderen als iets dat nou eenmaal moet om toezichthouders tevreden te stellen. Dit kan een afvinkmentaliteit veroorzaken (PricewaterhouseCoopers & RuG, 2006). In dit onderzoek zullen de banken buiten beschouwing worden gelaten.
3.4 Begrippen 3.4.1 Risico Risico wordt van nature gezien als een negatief fenomeen. Dat is in overeenstemming met de letterlijke betekenis die De Dikke van Dale geeft, namelijk: gevaar van schade of verlies. Een veel voorkomende misvatting is dat risico een synoniem is voor onzekerheid. Al in 1921 maakte Frank Knight het belangrijke verschil tussen deze twee duidelijk. Risico is de veranderlijkheid die gekwantificeerd kan worden in termen van kansen, terwijl bij onmeetbare veranderlijkheid gedacht kan worden aan onzekerheid (Vandemaele, Vergauwen, & Michiels, 2009). Economen kennen aan het begrip risico echter géén eenduidige betekenis toe. Werd risico vroeger uitsluitend beschouwd als ‘de kans op een negatieve uitkomst’, tegenwoordig wordt risico steeds vaker gezien als ‘de kans op zowel een positieve als een negatieve uitkomst’ (Linsley & Shrives, 2006). Onder andere Schrand en Elliot (1998) hangen de moderne, ook wel tweezijdige, visie aan. Zo stellen zij dat risico niet alleen moet worden geassocieerd met de mogelijkheid tot verlies, maar dat er zeker ook sprake kan zijn van een positief risico. Met een ‘positief risico’ bedoelen zij de kansen en mogelijkheden die het gevolg van een bedreiging kunnen zijn. Risicomanagement raamwerken zijn vaak gestoeld op de moderne definitie. Bij risicoverslaggeving kan de neiging bestaan om de buitenwereld een ander, meestal rooskleuriger, beeld van de financiële positie van de onderneming voor te spiegelen dan overeenkomt met de werkelijkheid (Epe & Koetzier, 2011). Het is niet nodig om een bedrijf te verplichten tot het rapporteren van positieve risico’s, of beter gezegd kansen. Hier zullen zij vrijwillig toe over gaan. Dit is minder vanzelfsprekend als het gaat om het rapporteren van bedreigingen. Om die reden bestaan er ook wetten en regels die (beursgenoteerde) bedrijven verplichten om over risico’s in de vorm van bedreigingen te rapporteren. In het jaarverslag worden kansen dan ook, op een enkele uitzondering na, niet onder het kopje risicomanagement beschreven. Daarom zal in dit onderzoek worden uitgegaan van de ouderwetse, ook wel
9
eenzijdige, definitie van risico zijn. Dat betekent dat de rapportage van ‘negatieve’ risico’s bestudeerd zal worden. Crouhy, et al. (2006, p.25) verwoorden deze als: ‘de volatiliteit van opbrengsten die leiden tot onverwachtse verliezen, waarbij een hogere volatiliteit een hoger risico aangeeft’. Met andere woorden ‘de dreiging die de kans vermindert dat een onderneming haar doelen bereikt’ (Knechel, zoals geciteerd in Aourz, 2009).
3.4.2 Risicocategorieën Om de risicoparagraaf zo overzichtelijk mogelijk te maken brengen ondernemingen alle genoemde risico’s meestal onder in één van de volgende vier brede hoofdcategorieën: financiële-, strategische-, operationele- en nalevingsrisico’s. Deze categorieën zijn een uitvloeisel van de risicomanagement raamwerken van COSO en de wet- en regelgeving. Het indelen van de risicoparagraaf in deze categorieën maakt hem ten eerste leesbaarder en ten tweede makkelijker te vergelijken. Daarnaast maakt een indeling het volgens Roth en Espersen (2002) voor de onderneming zelf ook makkelijker om gericht de nodige informatie te verzamelen en op die manier de risico’s beter in te schatten en te beheersen. De betekenis van de meeste risico’s spreekt voor zich. Toch zullen, om verwarring te voorkomen, de hoofdcategorieën hieronder uitgelegd worden.
Financiële risico’s Onder een ‘financieel risico’ worden alle risico’s verstaan, die de financiële continuïteit van de vennootschap kunnen bedreigen. Doordat het aantal financiële instrumenten is toegenomen, is het aantal soorten financiële risico’s ook toegenomen (Groot C. d., 2006). Dit maakt onderzoek naar de risicorapportage interessant. Immers, is de toename aan financiële risico’s ook terug te zien in de risicorapportage? Deze categorie is onder te verdelen in drie subcategorieën: prijsrisico, kredietrisico en liquiditeitsrisico. Prijsrisico, ook wel ‘marktrisico’ genoemd, is het risico op hogere kosten of lagere opbrengsten als gevolg van prijsschommelingen. IFRS 7 splitst prijsrisico verder op in munt-, rente- en overig prijsrisico. Met munt- en rente risico worden risico’s bedoeld als gevolg van fluctuerende wisselkoersen en rentetarieven. Ondernemingen kunnen zich op verschillende manieren tegen beschermen. Bijvoorbeeld door gebruik te maken van natuurlijke dekkingen, zoals inkomsten en uitgaven die in dezelfde valuta luiden, alsmede via het op elkaar afstemmen van activa en passiva. Wanneer geen natuurlijke dekking voorhanden is, kan gebruik worden gemaakt van afgeleide financiële instrumenten, derivaten. Onder overig prijsrisico valt bijvoorbeeld de kans dat de prijs van energie, ruwe materialen, grondstoffen of vastgoed ineens nadelig verandert. Een ander voorbeeld is het risico dat de beurskoersen
10
dalen of het risico dat de onderneming noodgedwongen een lagere prijs voor haar producten moet gaan vragen. Kredietrisico. Met kredietrisico wordt bedoeld de mogelijkheid tot het lijden van verliezen doordat verplichte betalingen onverwachts niet vervuld worden door de tegenpartij (Cabedo & Tirado, 2004). Bijvoorbeeld doordat de wederpartij failliet gaat of een lagere kredietbeoordeling krijgt door een kredietbeoordeleraarsbureau. Liquiditeitsrisico, ook wel ‘kasstroomrisico’ genoemd, is het tegenovergestelde van kredietrisico en gaat over het risico dat een bedrijf zélf niet in staat is om aan de financiële verplichtingen te voldoen (Cabedo & Tirado, 2004). Strategische risico’s Met strategisch risico’s worden alle bedreigingen van de strategische ambities van de onderneming bedoeld. Potentieel risicovolle ambities zijn onder meer: het behouden van de concurrentiepositie, het implementeren van de strategie, de flexibiliteit om zich aan te kunnen passen aan de steeds veranderende economische conditie (crisis), marktaandeel winnen en/of behouden, internationale werkzaamheden in goede banen leiden, belanghebbenden tevreden stellen en houden, omgaan met politieke en sociale onrust. Daarnaast vallen het hooghouden van de reputatie en het managen van fusies, desinvesteringen en ondernemingsrisico onder de categorie strategisch risico. Bij ondernemingsrisico kan gedacht worden aan risico’s, in dit geval onzekerheden, verbonden aan de uiteindelijke hoogte van de kosten van produceren, opslaan en bezorgen (Crouhy, et al., 2006). Operationele risico’s Bij onverwachte schadelijk ontwikkelingen die de operationele continuïteit van ondernemingsactiviteiten kunnen bedreigen, wordt gesproken van operationele risico’s (Asaf, 2004, p.172). ’Daarvan is bijvoorbeeld sprake bij: te weinig innovatie, menselijke fouten, fraude, falende (computer) systemen, problemen met industriële relaties (bijv. het niet nakomen van afspraken m.b.t. leveringen), natuurrampen, terrorisme en een aanbodoverschot of vraagtekort. Deze risico’s zijn in het algemeen moeilijk te identificeren. Als het kwaad geschied is wordt vaak pas duidelijk dat het risico aanwezig was. Nalevingsrisico’s Handelt een onderneming niet in overeenstemming met de wet- en regelgeving en wordt zij daarvoor op het matje geroepen dan wordt er gesproken van nalevingsrisico. Het kan gaan om wet- en regelgeving op het gebied van milieu, eerlijke competitie (kartelvorming),
11
belastingen en verslaggevingsintegriteit. Onder nalevingsrisico valt ook de kans om verwikkeld te raken in rechtszaken. Deze rechtszaken gaan vaak over (product) aansprakelijkheidsclaims of schending van intellectuele eigendommen9. Financiële instellingen, zoals verzekeringsmaatschappijen, hebben met meer wet- en regelgeving te maken en daarom naar verwachting meer risico’s in deze categorie dan niet-financiële instellingen (Munnik & Emanuels, 2006). Interessant is of mijn onderzoek hierover iets duidelijk maakt.
4. Kwaliteit Zoals in de inleiding genoemd is het voornaamste doel van dit onderzoek inzichtelijk te maken of er sprake is van een kwaliteitsverbetering van risicorapportage. Om tot een uitspraak over een eventuele kwaliteitsverbetering te komen is het van belang vast te stellen welke concrete kwaliteitscriteria een rol spelen. Volgens Kajüter, zoals geciteerd in Aourz (2009), is de kwaliteit van risicorapportage afhankelijk van twee complementerende factoren. Enerzijds wordt de kwaliteit bepaald door het voldoen aan harde eisen (wet- en regelgeving), anderzijds door het voldoen aan verwachtingen (van de lezers van het jaarverslag). Uitsluitend goede regelgeving staat niet garant voor risicorapportage zoals die gewenst wordt door belanghebbenden (Kevelam & Ter Hoeven, 2008). Allereerst zal om helder te krijgen aan welke objectieve eisen risicorapportage ten minste moet voldoen, een overzicht worden gegeven van de relevante wet- en regelgeving. Daarna zullen de subjectieve verwachtingen die men in de praktijk van risicorapportage heeft expliciet gemaakt worden op basis van het risicomanagement raamwerk COSO-ERM en de kritiek van beleggersmaatschappij Eumedion. Middels het analyseren van het COSOERM raamwerk zullen de bouwstenen die idealiter aanwezig zouden moeten zijn om tot goede risicorapportage te komen uitgelegd worden. Door na te gaan of bepaalde bouwstenen bij de ondernemingen aanwezig zijn en goed functioneren, kan de kwaliteit van risicomanagement worden vastgesteld (COSO, 2004). De verwachtingen van Eumedion komen, zo zal blijken, voor een groot deel overeen met de voorschriften van het risicomanagement raamwerk COSO-ERM. Tezamen zullen de wet- en regelgeving, de kritiek van beleggersmaatschappij Eumedion en het risicomanagement raamwerk COSO-ERM leiden tot vijf concrete kwaliteitscriteria, waaraan de risicorapportage in dit onderzoek getoetst zal worden. 9
Tot intellectuele-eigendomsrechten behoren sterk uiteenlopende rechten als het auteursrecht, octrooirecht, merkenrecht en handelsnaamrecht.
12
4.1 Eisen: Wet- en regelgeving Risicorapportage is niet alleen nuttig, maar ook zoals al eerder aangegeven verplicht op grond van wet- en regelgeving. Zowel in het Burgerlijk Wetboek als in de Code Corporate Governance als in de internationale IFRS standaarden worden eisen geformuleerd waaraan risicorapportage moet voldoen. Deze eisen worden in deze paragraaf samengevat.
Burgerlijk Wetboek: Artikel 2:391 Artikel 2:391 lid 1 geeft in zeer ruime bewoordingen aan dat in het jaarverslag een beschrijving moet worden gegeven van de voornaamste risico’s waarmee de onderneming wordt geconfronteerd. In lid 2 wordt expliciet gezegd dat daar waar het gaat om financiële instrumenten aandacht moet worden besteed aan prijs-, krediet-, liquiditeits- en kasstroomrisico’s. Lid 5 zorgt voor een wettelijke basis voor de in de Code Corporate Governance aangegeven voorschriften omtrent de inhoud van het jaarverslag en de verklaring inzake corporate governance.
De Code Corporate Governance In 2004 werd de Code Tabaksblat geïntroduceerd, die de belangen van aandeelhouders moest beschermen. De Code Tabaksblat werd in 2008 herzien, omdat hij niet specifiek genoeg was (Monitoring Commissie, 2007). De geactualiseerde code die ook vandaag de dag wordt gehandhaafd, heet De Code Corporate Governance (hierna: de Code). In de Code worden breed gedragen opvattingen met betrekking tot corporate governance uitgewerkt in concrete Best Practice (BP) bepalingen. De term corporate governance wordt meestal onvertaald overgenomen in het Nederlands maar betekent letterlijk: deugdelijk bestuur. De Code beschrijft mechanismen om de problematiek die vaak gepaard gaat met een scheiding van eigendom en bestuur te verminderen (Hessels & Hooge, 2006). Die problematiek komt voort uit het feit dat managers geneigd zijn om hun eigenbelang na te streven in plaats van het belang van de aandeelhouders. Aandeelhouders hebben weinig zicht op het gedrag van de managers omdat zij worstelen met informatieasymmetrie. Deze informatieasymmetrie is een negatief extern effect van het uit handen geven van het dagelijks bestuur aan managers (Jong, 2007). Risicorapportage is één van de mechanismen om die informatieasymmetrie te verminderen. De Code Corporate Governance De Code bevat 129 BP bepalingen, waarvan er vier betrekking hebben op risicorapportage. De Code werkt, in tegenstelling tot de wet en IFRS 7, volgens het ‘pas toe of leg uit’beginsel: een bepaling in de Code kan worden nageleefd zonder dat deze wordt toegepast,
13
onder de voorwaarde dat de onderneming uitlegt waarom er van de Code is afgeweken. Het ‘pas toe of leg uit’ beginsel is wettelijke verankerd in artikel 2:391 lid 5 Burgerlijk Wetboek, maar laat veel ruimte voor eigen invulling (Monitoring Commissie, 2008). De Code is van toepassing op alle bedrijven die hun statutaire zetel10 in Nederland hebben, evenals een Nederlandse beursnotering (Dinant, 2010). Best Practice II.1.3 verplicht een onderneming tot het ontwikkelen van een risicomanagement systeem waarin risicoanalyses van operationele en financiële doelstellingen en de daarbij te volgen procedures zijn opgenomen. De bepaling eist dat één en ander wordt bewaakt en duidelijk wordt weergegeven in het jaarverslag. BP II.1.4 spitst zich toe op het bestuur van een onderneming en eist van het bestuur dat in het jaarverslag een beschrijving wordt opgenomen van de voornaamste risico’s gerelateerd aan de strategie van de onderneming. BP II.1.5 vereist van bestuurders van beursgenoteerde ondernemingen dat zij onder andere verklaren dat, voor zover hen bekend, in het jaarverslag de wezenlijke financiële risico’s waarmee de vennootschap wordt geconfronteerd, zijn beschreven en dat de hierbij horende bedragen kloppen. Met deze zogeheten ‘in-control’-verklaring, wordt bereikt dat het bestuur verantwoordelijkheid neemt voor de volledigheid van de beschrijving van de wezenlijke risico’s in de risicoparagraaf (Dinant, 2010). BP II.1.6 eist van het bestuur dat ook gerapporteerd wordt over onzekerheden die invloed kunnen hebben op het resultaat van de onderneming. In de oude Code, die in 2007 nog van kracht was, werd nog geen expliciete ‘in control’-verklaring van het bestuur geëist omtrent de voornaamste financiële en niet-financiële risico’s gerelateerd aan de strategie van de vennootschap. Europese Wetgeving Binnen de Europese Unie wordt er wat betreft de risicorapportage van de verschillende lidstaten gestreefd naar harmonisatie en dus vergelijkbaarheid. Om hieraan te voldoen dienen de lidstaten bovenop de nationale wetgeving rekening te houden met reglementeringen die van toepassing zijn op alle landen die deel uitmaken van de Europese Unie. Deze harmonisatie gebeurt door middel van richtlijnen. Wanneer een richtlijn is goedgekeurd door het parlement dient ze in nationaal recht te worden omgezet. Artikel 5:25c Wft, het Besluit Corporate Governance en de wettelijke verplichting van IFRS 7 komen voort uit Europese richtlijnen.
Wet Financieel Toezicht: Artikel 5:25c De Nederlandse Wet op het financieel toezicht (Wft) regelt het toezicht op financiële 10
geregistreerde vestiging
14
instellingen in Nederland. De wet is op 1 januari 2007 in werking getreden en een omzetting van de Europese Richtlijn (2004/109/EC), de zogenaamde transparantie richtlijn. Artikel 5: 25c van de Wft vereist van bestuurders van beursgenoteerde ondernemingen dat zij onder andere verklaren dat, voor zover hen bekend, in het jaarverslag de wezenlijke risico’s waarmee de vennootschap wordt geconfronteerd zijn beschreven. De inhoud van deze wet is eigenlijk overgenomen in de herziene Code van 2008, maar gold dus al in 2007 voor financiële instellingen. Besluit Corporate Governance
Artikel 3a Besluit schrijft naamloze vennootschappen voor een corporate governance hoofdstuk in het jaarverslag op te nemen. Het Besluit is van toepassing op jaarverslagen die betrekking hebben op een boekjaar dat aanvangt op of na 1 januari 2009. Alle onderzochte AEX-ondernemingen hadden in 2007, twee jaar voor de invoering van dit besluit, ook al een aparte Corporate Governance paragraaf. Dit heeft dus geen invloed op de resultaten van dit onderzoek. International Financial Reporting Standards
Ieder land heeft een eigen Code. Amerika heeft de bekende Sarbanes-Oxley wet, maar ook de verschillende Europese landen hebben allemaal een eigen code. Om de jaarrekeningen (doorgaans opgenomen aan het eind van het jaarverslag) van de Europese landen beter met elkaar te kunnen vergelijken zijn in 2005 de zogenaamde International Financial Reporting Standards, afgekort IFRS in het leven geroepen. IFRS is de opvolger van de Generally Accepted Accounting Principles, afgekort GAAP. IFRS 7, in werking sinds 2007, stelt eisen aan de informatieverschaffing van beursgenoteerde ondernemingen met betrekking tot financiële instrumenten11 en gaat dus alleen over financiële risico’s. Voldoen aan IFRS 7 is verplicht en vastgelegd in artikel 2:362 lid 8 van het Burgerlijk Wetboek. IFRS 7 standaard 7.31 stelt dat een beursgenoteerde onderneming informatie moet rapporteren die de gebruiker van haar financiële instrumenten in staat stelt te beoordelen wat de aard en omvang is van uit financiële instrumenten voortvloeiende risico’s waaraan de onderneming is blootgesteld op de rapporteer datum (International Accounting Standards Board, 2007). IRFS 7 schrijft naast de al door de wet genoemde categorieën (prijs-, krediet-, liquiditeits- en kasstroomrisico’s) voor om prijsrisico verder op te splitsen in: munt-, rente-, en overig prijsrisico. IFRS 7 stelt voor dat er bij het liquiditeitsrisico een 11
Een financieel instrument is een overeenkomst die leidt tot een financieel bezit van de ene partij en een financiële verplichting van de andere. Bijvoorbeeld: schulden en accounts receivables, maar ook derivaten zoals opties, swaps en toekomstige contracten (International Accounting Standards Board, 2010).
15
looptijdanalyse gepubliceerd dient te worden, waarbij niet-verdisconteerde kasstromen in tijdsvakken worden opgedeeld. Op die manier moet voor de lezer van de toelichting bij de jaarrekening achtereenvolgens duidelijk worden: (1) hoe groot de uitgaande kasstromen zijn, (2) in welke periode ze zullen plaatsvinden en (3) hoe de risico’s die aan die kasstromen vastzitten gemanaged worden (International Accounting Standards Board, 2007). Voor munt- en renterisico dient te worden berekend wat de invloed is van een hypothetische stijging/daling van de rente respectievelijk wisselkoers op het eigen vermogen van de onderneming. Eén jaar na de invoering van IFRS 7, in 2008, is door Kevelam & Ter Hoeven onderzocht of door de invoering van deze standaard de kwaliteit van de risicoverslaggeving verbeterd was. Zij constateerden dat er niet per se betere, maar wel méér toelichting op financiële risico’s was in 2008 ten opzichte van 2007
4.2 Het risicomanagement raamwerk: COSO-ERM Het COSO-ERM raamwerk zal worden uitgelegd aan de hand van figuur 1 (Finance Learning Academy, 2012).
Figuur 1. COSO Enterprise Management (ERM) Cube, Copyright 2012 door Finance Learning Academy. Gekopieerd van http://www.financelearningacademy.com/riskmanagement.html .
Het raamwerk bestaat uit acht met elkaar samenhangende bouwstenen (Components of ERM) die gericht zijn op het bereiken van doelstellingen (Objectives) op alle niveaus van de organisatie (Business Structure). De driedimensionale matrix geeft de mogelijkheid weer om in te zoomen op risicomanagement per doelstelling(en), component(en) of organisatieniveau(s). De verschillende doelstellingen zijn de objecten waaraan de risico’s
16
verbonden zijn. Het COSO-ERM raamwerk maakt onderscheid tussen vier soorten risico’s: strategische-, operationele-, rapportage- en nalevingsrisico’s. Bovenal beschrijft het raamwerk zoals gezegd acht bouwstenen die samen de kwaliteit van risicomanagement waarborgen (COSO, 2004). Die bouwstenen zullen hieronder beschreven en uitgelegd worden.
Interne omgeving: de houding en het gewenste gedrag van de interne organisatie moet duidelijk zijn. Het gaat daarbij onder andere om de risicomanagement filosofie, de risicobereidheid, de integriteit en ethische waarden van de organisatie. Bepaling van doelstellingen: de doelstellingen moeten helder zijn. Dit is een voorwaarde om gebeurtenissen die ze beïnvloeden vroegtijdig te kunnen identificeren. Identificeren van de risico’s: interne en externe gebeurtenissen die het behalen van de doelstellingen kunnen beïnvloeden dienen geïdentificeerd te worden, waarbij onderscheid gemaakt dient te worden tussen risico’s en kansen. Het wel of niet benoemen van kansen valt zoals gezegd buiten de scope van dit onderzoek. Risico beoordeling: wat zijn de gevolgen als het risico uitkomt? Elk risico dient geëvalueerd te worden in termen van kans en impact op de waarde van de onderneming. Vaak wordt dit gedaan met behulp van softwaretools. Op basis van zo’n evaluatie kan een passende reactie worden geformuleerd, waarna het risico opnieuw beoordeeld dient te worden. Risico reactie: per risico dient de meest geschikte reactie ten aanzien van het genoemde risico geselecteerd te worden. Dit kan onder meer zijn: vermijden, accepteren, beheersen, beperken of overdragen. Vervolgens moet de gewenste reactie worden uitgewerkt in concrete acties. Risico controle: de vennootschap moet beschikken over mechanismes die waarborgen dat de gekozen reacties op geconstateerde risico’s ook daadwerkelijk worden geïmplementeerd en niet verouderd zijn. Daarvoor is het nodig dat de ontwikkeling van het risico en de reactie op het risico in de gaten wordt gehouden, bijvoorbeeld met behulp van een meetsysteem en vooropgestelde onder- en bovengrenzen. Informatie & communicatie: relevante informatie wordt geïdentificeerd, opgeslagen en gecommuniceerd op een wijze die betrokkenen in staat stellen om hun werkzaamheden uit te voeren. Effectieve communicatie vindt plaats in de gehele organisatie, van boven naar beneden, van beneden naar boven en horizontaal.
17
Monitoren: de effectiviteit van COSO-ERM wordt bewaakt en waar nodig worden wijzigingen aangebracht ter verbetering. Monitoren vindt continue plaats binnen alle bedrijfsprocessen maar ook in de vorm van afzonderlijke evaluaties. De bouwstenen: interne omgeving, bepaling van doelstellingen, informatie & communicatie en monitoren kunnen niet alleen op basis van de risicoparagraaf in het jaarverslag onderzocht worden en zullen daarom buiten beschouwing worden gelaten.
4.3 Eumedion Eumedion, hét corporate governance platform voor institutionele beleggers, verstuurt jaarlijks een zogenoemde speerpuntenbrief voor het volgende jaarverslagen- en aandeelhoudersvergaderingenseizoen naar de 75 grootste Nederlandse beursgenoteerde ondernemingen. De speerpuntenbrief bevat onderwerpen waarvoor de bij Eumedion aangesloten deelnemers aandacht vragen en die zij in de discussies buiten dan wel op de aandeelhoudersvergadering mogelijk aan de orde zullen brengen (Eumedion, 2007). In de eerste plaats spreekt Eumedion zowel in 2007 als in 2008 haar voorkeur uit voor een informatieve en inzichtelijke brede risicoparagraaf, waarin alle gegevens ten aanzien van risico’s en risicobeheer geconcentreerd op die plek in het jaarverslag zijn opgenomen. De deelnemers van Eumedion benadrukken dat ze deze informatie van een groter belang achtten dan de door BP. II.1.4 van de Code verplichte ‘in control’-verklaring die het bestuur braaf opstelt. In de tweede plaats komt uit de speerpuntenbrieven duidelijk naar voren dat beleggers graag gedetailleerdere rapportage zouden zien. Met gedetailleerde informatie wordt een kwantitatieve uitwerking van de voornaamste risico’s bedoeld, in tegenstelling tot slechts een beschrijving van die risico’s (Eumedion, 2008, 2009, 2010). Onder ‘een kwalitatieve uitwerking’ wordt een gevoeligheidsanalyse van de geïdentificeerde risico’s verstaan; wat is de kans dat deze risico’s zich voordoen en wat is de omvang daarvan in termen van impact op het resultaat of eigen vermogen (Eumedion, 2008, 2009, 2010)? In de derde plaats ziet Eumedion in plaats van een vermelding van alle denkbare risico’s liever een overzicht van de, zeg vijf, belangrijkste risico’s’ (Eumedion, 2008). Tot slot zou Eumedion graag een beschrijving van het risicoprofiel van de onderneming, de risicobereidheid zien (Eumedion, 2009, 2010). Met andere woorden de houding van de interne organisatie ten opzichte van risico’s (Blij & Mertens, 2008). Hoewel een goede communicatie van de risicobereidheid en het weergeven van alle gegevens ten aanzien van risico’s en risicobeheer op één plek in het jaarverslag bijdragen aan de kwaliteit van risicorapportage zullen deze factoren geen onderdeel uitmaken van dit onderzoek. Het onderzoek zou anders te breed worden.
18
4.4 Kwaliteitscriteria Het noemen van de voornaamste of wezenlijke risico’s is bij wet verplicht. Het begrip voornaamste laat echter veel ruimte voor eigen invulling. Eumedion geeft in 2008 aan dat zij liever geen opsomming van alle denkbare risico’s ziet, maar een overzicht van de vijf belangrijkste risico’s prefereert. Het rapporteren van minder risico’s zal dus worden gezien als een verbetering van de kwaliteit. Het is belangrijk om op te merken dat hier niet gesteld wordt dat minder risicorapportage beter is. Het rapporteren van minder risico’s, namelijk alleen de vijf belangrijkste, gevolgd door een uitgebreide beschrijving van de beheersing van die risico’s, is wat van ondernemingen verlangd wordt.
Criterium A: Werden er in 2011 gemiddeld minder risico’s gerapporteerd dan in 2007?
Het geven van de kans dat een risico zal uitkomen en de impact van het risico op het eigen vermogen zijn manieren om het risico te kwantificeren. Dat dit van groot belang wordt geacht, blijkt uit het feit zowel Eumedion als het risico raamwerk COSO-ERM als IFRS 7 vraagt om een dergelijke kwantificering. De aanwezigheid van een kwantificering van de kans dat een risico zich voordoet zal afzonderlijk gecontroleerd worden.
Criterium B: Werd in 2011 gemiddeld vaker beschreven hoe groot de kans is dat een risico zich voordoet dan in 2007?
Het kwantificeren van de impact van het risico op het ‘eigen vermogen’ of ‘de resultaten’ of ‘de waarde van de onderneming’, valt allemaal onder criterium 3. Waar het hier om gaat is dat de stakeholder uit de beschrijving een inschatting kan maken van de omvang van het risico. Als de kans klein is dat de resultaten nog behaald zullen worden als de energieprijs verdubbeld, is dit interessant om te weten als aandeelhouder.
Criterium C: Werd in 2011 gemiddeld vaker beschreven wat de impact van het risico op het resultaat is dan in 2007?
Behalve het noemen en kwantificeren van de voornaamste risico’s wordt van een onderneming verwacht dat zij aangeeft wat zij van plan is met het risico te doen. De Code formuleert dit als ‘beheersen’, COSO-ERM als ‘risico reactie’.
Criterium D: Werd in 2011 gemiddeld vaker een reactie op het genoemde risico beschreven dan in 2007?
19
Het benoemen, kwantificeren en specificeren van een reactie is volgens COSO niet genoeg. Er moet nauwlettend gekeken worden hoe het risico zich ontwikkeld en/of er adequaat gereageerd wordt.
Criterium E: Werd in 2011 gemiddeld vaker een controle maatregel met betrekking tot het genoemde risico beschreven dan in 2007?
5. Onderzoek 5.1 Onderzoeksvragen Of de risicorapportage van de beursgenoteerde bedrijven is veranderd in 2011 ten opzichte van 2007 zal onderzocht worden aan de hand van de volgende deelvragen.
Deelvraag I: Is de kwaliteit van de risicorapportage in de jaarverslagen van 2011 significant beter dan die van 2007? Het antwoord op deze vraag zal onderbouwd worden met een afhankelijke t-toets, waarin de vijf zojuist gedefinieerde kwaliteitscriteria achtereenvolgens getoetst zullen worden.
Deelvraag II: Werd er in 2011 over andere risico’s gerapporteerd dan in 2007 in? Deze vraag zal op twee manieren beantwoord worden. Enerzijds door een top tien ‘meest genoemde risico’s 2007’ en een top tien ‘meest genoemde risico’s 2011’ op te stellen en te kijken in hoeverre die van elkaar verschillen. Anderzijds door iets uit te zoomen en niet te kijken naar de individuele risico’s maar naar de som van het aantal genoemde risico’s per categorie.
Deelvraag III: Aan welk risicomanagement systeem refereren de ondernemingen in 2007 en 2011?
Deelvraag IV: Besloeg de risicoparagraaf in 2007 significant meer bladzijden uitgedrukt als percentage van het hele jaarverslag, dan in 2011? Dit zal evenals onderzoeksvraag 1 onderzocht worden met behulp van de gepaarde t-toets.
Deelvraag V: Wat valt op als je uitzoomt op de onderzoeksresultaten per sector?
20
5.2 Onderzoeksdata Het jaarverslag, de belangrijkste en meest invloedrijke informatiebron voor alle belanghebbenden (Beretta & Bozzolam, 2004), is ook de bron voor dit onderzoek. Het is gewenst dat bedrijven over risico’s rapporteren in één hoofdstuk. Dit is in de praktijk echter niet altijd het geval. Uit onderzoek van Blij en Mertens in 2008 is gebleken dat 29% van de ondernemingen de risico’s niet in één hoofdstuk of in een apart onderdeel van het jaarverslag beschrijft. Risicorapportage kan, zo blijkt uit het onderzoek van Blij en Mertens (2008), doorgaans worden teruggevonden onder het kopje corporate governance, bij de ‘in control’-verklaring van de raad van bestuur en in de toelichting op de jaarrekening. In de toelichting op de geconsolideerde financiële jaarrekening wordt, in overeenstemming met de IFRS-eisen, gedetailleerde informatie betreffende financiële risico’s en het financieel beleid gegeven. Meestal is de relevante toelichting makkelijk terug te vinden in een aparte noot. De data voor dit onderzoek zal komen uit het eventueel aanwezige risicomanagement hoofdstuk, het hoofdstuk corporate governance, de ‘in-control’-verklaring en de toelichting op de jaarrekening met betrekking tot risicorapportage. In 2007 waren er ondernemingen (bijvoorbeeld Akzo Nobel) die voor een verdere beschrijving van de risico’s verwezen naar een document op hun website. De website valt niet onder de onderzoeksdata en is dus buiten beschouwing gelaten.
5.3 Selecte steekproef De selecte steekproef bestaat uit zowel financiële als niet-financiële beursgenoteerde ondernemingen die van 2007 tot en met 2011 tot de core van de AEX-index12 behoorden. In dit onderzoek behoort een onderneming tot de zogenaamde core als zij minimaal vier van de vijf jaar (2007-2011) in de index was opgenomen. De AEX-index geeft de koersontwikkeling weer van de 25 ondernemingen met de grootste marktkapitalisatie op de Amsterdamse effectenbeurs. Er is gekozen voor de AEX-index, omdat de daar genoteerde bedrijven een belangrijke voorbeeldfunctie vervullen voor de hele Nederlandse economie (Vriens, 2011). De definitieve onderzoekspopulatie13 bestaat uit negentien ondernemingen, die evenals de sector waartoe ze behoren, zijn weergegeven in appendix A. De vier sectoren die worden onderscheiden zijn de industriële-, technologische -, financiële-, en consumenten sector. Tot de industriële sector behoren bedrijven die met machines producten maken uit grondstoffen. In dit onderzoek zijn dat de chemische industrie (DSM), de verfindustrie (Akzo Nobel), de staalindustrie (Arcelor Mittal), de olie -en 12 13
AEX staat voor Amsterdam Exchange Index, De historische samenstelling van de AEX-index is gebaseerd op de beleggingswebsite: www.berh.nl.
21
gas opslagindustrie (SMB Offshore) en de olie- en gas opsporing-, bewerking- en productieindustrie (Royal Dutch Shell). Ondernemingen die sterk afhankelijk zijn van technologische innovatie behoren tot de sector technologie. Hoewel Elsevier en Wolters Kluwer op het eerste gezicht misschien niet gezien worden als technologie bedrijven maar als uitgeverijen, houden zij zich tegenwoordig voornamelijk bezig met het ontwikkelen van digitale informatiesystemen. Het elektronicaconcern Philips, zegt ook als belangrijkste focus innovatie en design te hebben en valt dus ook in deze sector. Tot de financiële sector behoren twee vastgoedondernemingen en het verzekering- en investeringsbedrijf Aegon. Dit zijn ondernemingen die zich expliciet bezighouden met het beheren en beleggen van geld. Hoewel deze ondernemingen ook een consumenten product leveren, zijn ze niet in de consumenten sector ondergebracht. Dat komt omdat er in dit onderzoek onderscheid is gemaakt tussen cyclisch en non-cyclische consumenten producten. Tot de consumenten sector behoren bedrijven als Ahold en Heineken. Dat zijn ondernemingen die non-cyclische producten maken, zoals eten en drinken. De meeste eerdere onderzoeken naar risicorapportage hebben ervoor gekozen om geen banken en beleggingsmaatschappijen op te nemen in de steekproef, omdat zij onderhevig zijn aan aanvullende wet- regelgeving (Abraham & Cox, 2007), (Deumes & Knechel, 2008) en (Linsley & Shrives, 2006). Bij het inzien van het jaarverslag van ING bleek dat er in plaats van de gebruikelijke tien pagina’s tachtig pagina’s aan risicorapportage werden gewijd. Dit is een te grote uitschieter in de steekproef, waardoor banken ook in dit onderzoek buiten beschouwing zullen worden gelaten. Andere financiële instellingen zoals verzekeringsmaatschappijen en vastgoedondernemingen worden wel meegenomen, omdat die wel in lijn met de andere bedrijven rapporteren. Aan de jaarverslagen van 2012 wordt nu nog gewerkt, waardoor de jaarverslagen van 2011 het meest recent zijn en daarom onderzocht zullen worden. In 2008 concludeerden Blij en Mertens, in hun onderzoeksrapport ‘Inzicht in onzekerheid’ waarin de jaarverslagen van 2007 getoetst werden aan de Code Tabaksblat en de speerpuntenbrief 2007 van Eumedion, dat er nog veel ruimte was voor verbetering. De kritiek op de informatieve waarde van risicorapportage is in de daarop volgende jaren alleen maar toegenomen. Misschien omdat het belang van de risicoparagraaf door de crisis meer naar voren is gekomen. Daarbij is de wet-en regelgeving tussen 2007 en 2011 iets toegenomen (de actualisatie van de Code Tabaksblat en introductie van de Wet Financieel Toezicht). Het is daarom interessant de risicorapportage in 2007 met 2011 te vergelijken om te zien of de
22
kritiek, de crisis en de iets uitgebreidere wet- en regelgeving effect hebben gehad op risicorapportage.
5.4 Onderzoeksmethode 5.4.1 Empirisch onderzoek Eerdere onderzoeken, bijvoorbeeld van Meijer (2011) in samenwerking met Deloitte werkten met een totaalscore, die de kwaliteit moest weerspiegelen, en vergeleken deze score met de totaalscore van andere jaren. In dit onderzoek is gekozen voor een andere, zelf ontwikkelde onderzoeksmethode, die het mogelijk maakt in te zoomen op de verschillende elementen die tot de totaalscore in onderzoek van Meijer leidde. Er zal in dit onderzoek niet worden gekeken naar een totaalscore maar naar de score van bedrijven op verschillende elementen. Hoevaak gingen ondernemingen bijvoorbeeld dieper in op de kans dat een risico zich voor zou doen? Hoevaak noemden ze een controle maatregel? De methode die hieronder uitgebreid beschreven zal worden maakt het mogelijk om te onderzoeken of de kwaliteit van risicorapportage van bedrijven misschien op bepaalde vlakken wel en op bepaalde vlakken (nog) niet vooruit is gegaan. Het is interresant om te onderzoeken of bedrijven bijvoorbeeld ooit de kans specieficeren dat een risico zich voor zal doen of dat ze zich enkel uitlaten over de reactie op het risico. Ook kan door middel van dit onderzoek in detail worden vastgesteld op wat voor soort risico ondernemingen wel of niet dieper ingingen. De onderzoeksvraag zal zoals gezegd beantwoord worden aan de hand vijf deelvragen. Om deelvraag I en II te kunnen beantwoorden is een zogenoemde risicomap opgesteld. In de risicomap zullen alle genoemde risico’s en de mate waarin er dieper op die risico werd ingegaan verzameld worden, per onderneming. De risicomap zal voor zowel 2007 als voor 2011 ingevuld worden met als resultaat twee omvangrijke, ingevulde Excelsheets. Op die verzamelde data worden vervolgens berekeningen uitgevoerd waarvan de resultaten enerzijds direct zullen worden weergegeven in diagrammen en anderzijds gebruikt zullen worden voor de t-toets. Om een beeld te kunnen vormen bij de risicomap in Excel en de uitleg ervan te vergemakkelijken is een deel van een ingevulde risicomap van 2007 weergegeven in figuur 2. Let wel, dit is slechts één negentiende van de complete Excelsheet per jaar. Voor het beantwoorden van vraag III en IV is in Excel een eenvoudige tabel opgesteld die het beschreven risicomanagement raamwerk en het aantal bladzijden als percentage van het totaal aantal bladzijden bijhoudt per onderzochte onderneming per jaar (zie appendix B voor de ingevulde tabel). Of het aantal bladzijden significant is toegenomen zal met behulp van een gepaarde t-toets onderzocht worden (zie paragraaf 5.4.2).
23
5 vragen, te beantwoorden met ja (1)/nee(0):
1. Wordt een risico uit de verticale lijst van de risicomap beschreven?
2. Wordt beschreven hoe groot de kans is dat het risico zal uitkomen?
3. Wordt de impact van het uitkomen van het risico op het eigen vermogen of behalen van de resultaten beschreven?
4. Wordt er naast het noemen en in het algemeen uitleggen van het risico ook een passende reactie op het risico beschreven?
5. Wordt er een controle maatregel beschreven die bewaakt of de reactie op het risico uitgevoerd is en/of aangepast moet worden aan veranderende omstandigheden?
Figuur 2 De risicomap.
24
Uitleg risicomap Zoals te zien is in figuur 2 staan verticaal de potentiële risico’s die de bedrijven zouden kunnen noemen in hun jaarverslag. Deze lijst is voor 90% van te voren opgesteld op basis van risicocategorieën uit het literatuuronderzoek (zie paragraaf 3.4.2). In eerste instantie waren bij elke risicocategorie drie rijen vrijgehouden. Deze rijen waren gereserveerd voor risico’s die door veel ondernemingen genoemd zouden worden, maar niet in het literatuuronderzoek naar voren kwamen. Elke risicocategorie bevat één of meer ‘overige’ categorieën, te weten: overig strategisch-, overig operationeel-, overig rapportage- of overig nalevingsrisico. ‘Overige risico’s’ zijn risico’s die maar door één onderneming genoemd worden. Deze risico’s zullen niet in de top 10 meest genoemde risico’s terecht komen, waardoor het overbodig is om ze uit te schrijven. Wel, worden ze worden opgenomen in de lijst omdat het noemen en beschrijven van deze risico’s wordt meegenomen in de analyses. Horizontaal staan de ondernemingen per sector. Dat vergemakkelijkt het analyseren van de rapportage per sector. Onder ieder bedrijf staan vijf kolommen die in eerste instantie ingevuld waren met nullen. Bovenaan elke kolom staat een getal (1-5). Deze getallen hebben geen wiskundige betekenis maar representeren vijf vragen. Die vijf vragen zijn uitgeschreven naast de risicomap. Elke vraag kan beantwoord worden met ‘ja’ of ‘nee’. Bij het antwoord ‘ja’ wordt de cel achter het risico in de desbetreffende kolom veranderd in de code 1. Bij het antwoord ‘nee’ behoud de cel de code 0. Ook hier hebben het getal 0 en het getal 1 geen wiskundige betekenis. Afhankelijk van het aantal risico’s dat een onderneming in haar jaarverslag noemt en de mate waarin zij dieper op die genoemde risico’s is in gegaan zullen sommige nullen veranderd worden in een 1. Zowel impliciet als expliciet genoemde risico’s worden verwerkt in de risicomap. Dat wil zeggen dat als een bedrijf risico X als gevolg van risico Y noemt, zowel achter risico X als achter risico Y de cel in de eerste kolom veranderd zal worden in een 1. Cellen achter risico’s die niet voorkomen in de risicorapportage van de desbetreffende onderneming behouden de code 0|0|0|0|0. Ter illustratie de verwerking van de beschrijving van kredietrisico door Corio (2007):
‘Het kredietrisico wordt gedefinieerd als de onvoorziene waardedaling van activa als tegenpartijen niet meer aan hun verplichtingen kunnen voldoen. De kredietwaardigheid van huurders wordt nauwlettend gevolgd door huurders te screenen op kredietwaardigheid en actief de debiteurensaldi te bewaken. Daarnaast wordt de ingegane huur in het algemeen bij vooruitbetaling voldaan en is een deel van de huursom afgedekt door middel van een bankgarantie of waarborgsom. Er zijn geen significante concentraties in kredietrisico’s. Financiële transacties worden alleen aangegaan met
25
financiële instellingen welke in het bezit zijn van een credit rating van minimaal ‘A+’ (Standard & Poor’s). Het financiële risico wordt per transactie gevolgd. Op basis van hun hoge credit rating verwacht de Groep niet dat tegenpartijen niet aan hun verplichtingen kunnen voldoen.’
1. Wordt kredietrisico genoemd? Ja code 1 achter kredietrisico. 2. Wordt de kans dat het risico uitkomt beschreven? Nee code 0 3. Wordt de impact van het risico op het resultaat beschreven? Nee code 0 4. Wordt een reactie op het risico beschreven? Ja (bewaken, afdekken) code 1 5. Wordt een controlemaatregel beschreven? Ja (het risico wordt per transactie gevolgd door de credit rating in de gaten te houden) code 1 Beoordeling uitgedrukt in de risicomap van 2007 van Corio: Kredietrisico 1 |0| 0| 1| 1
5.4.2 Statistisch onderzoek Of er sprake is van een significante kwaliteitsverbetering van risicorapportage in 2011 ten opzichte van 2007 zal met een afhankelijk t-toets14 onderzocht worden omdat de variantie van de populatie onbekend is en twee afhankelijk steekproeven met elkaar vergeleken worden. De volgende vijf hypotheses, die volgen uit de kwaliteitscriteria zullen eenzijdig getoetst worden. Er is bewust gekozen om te kijken naar de significantie van de afzonderlijke kwaliteitscriteria en niet naar een totaal score, omdat de variantie in die totaal score groter zou zijn dan wanneer er naar de individuele kwaliteitscriteria wordt gekeken. Dit heeft een negatief effect op de geloofwaardigheid van de toets, want hoe groter de variantie hoe kleiner de t-waarde en hoe groter kans dat H0 ten onrechte -niet- wordt verworpen. Hypothese A: In 2011 werden gemiddeld minder risico’s gerapporteerd dan in 2007. H0: μ2011-μ2007 = 0
H1: μ2011-μ2007 < 0
μ staat voor het gemiddeld aantal genoemde risico’s. (μ2011-μ2007) is het verschil tussen het gemiddeld aantal genoemde risico’s in beide jaren. De nulhypothese stelt dat de gemiddeldes aan elkaar gelijk zijn. De alternatieve hypothese stelt dat het verschil tussen beide gemiddeldes negatief is. Met andere woorden: in 2011 werden gemiddeld minder risico’s gerapporteerd dan in 2007. Hypothese B: In 2011 werd gemiddeld vaker gerapporteerd hoe groot de kans is dat
14
De afhankelijke t-toets is hezelfde als de ‘paired samples t-test’ of de t-toets voor gepaarde waarnemingen.
26
een risico zich voor zou doen dan in 2007. H0: 2011-2007 = 0
H1: 2011-2007 > 0
staat voor het gemiddeld aantal keer dat de kans dat het risico zich voor zou doen werd beschreven. (2011-2007) is het verschil tussen het gemiddeld aantal keer dat de kans werd beschreven in beide jaren. De nulhypothese stelt dat de gemiddeldes aan elkaar gelijk zijn. De alternatieve hypothese stelt dat het verschil tussen beide gemiddeldes positief is. Met andere woorden: in 2011 werd gemiddeld vaker de kans beschreven dan in 2007. Hypothese C: In 2011 werd gemiddeld vaker gerapporteerd wat de impact van het risico op het eigen vermogen is dan in 2007. H0: 2011-2007 = 0
H1: 2011-2007 > 0
staat voor het gemiddeld aantal keer dat de impact van het risico op het eigen vermogen werd beschreven. Hypothese D: In 2011 werd de reactie op het genoemde risico gemiddeld vaker gerapporteerd dan in 2007. H0: 2011-2007 = 0
H1: 2011-2007 > 0
staat voor het gemiddeld aantal keer dat een reactie op het risico is beschreven. Hypothese E: In 2011 werd gemiddeld vaker een controle maatregel gerapporteerd dan in 2007. H0: 2011-2007 = 0
H1: 2011-2007 > 0
staat voor het gemiddeld aantal keer dat een controle maatregel werd beschreven. Of er in 2011 significant meer bladzijden aan risicorapportage werden gewijd dan in 2007 zal aan de volgende hypothese getoetst worden: Hypothese F: In 2011 werd gemiddeld meer bladzijden, uitgedrukt als percentage van het hele jaarverslag, aan risicorapportage gewijd dan in 2007. H0: 2011-2007 = 0.
H1: 2011-2007 > 0.
staat voor het gemiddeld aantal bladzijden als percentage van het hele jaarverslag dat aan risicorapportage werd gewijd.
27
De afhankelijke t-toets formule 15
Ē sdE n
= = =
het gemiddelde van de verschilscores de standaarddeviatie van de verschilscores het aantal eenheden
Er zal getoetst worden met een significantieniveau van α= 5%. Dat betekent dat in gemiddeld 1 op de 20 gevallen de nulhypothese onterecht zal worden verworpen. Op een significantieniveau van: α= 5% is de kritieke waarde tkrit = |-1,734|.
6. Resultaten, discussie en beperkingen 6.1 Normering Een beoordeling is subjectief. Daardoor kan de uitkomst van dit onderzoek afhankelijk zijn van de interpretatie van de onderzoeker. Dit zou opgelost kunnen worden met een tweede beoordelaar, maar dat is in dit onderzoek praktisch niet haalbaar. Om een impressie te krijgen van de normering in dit onderzoek, zal inzicht worden gegeven over de manier waarop een aantal veel voorkomende beschrijvingen beoordeeld zijn. De zinsnede ‘de kans dat het risico uitkomt is niet significant’ werd beoordeeld met een 0 in kolom 2. Werd er gesproken ‘het risico zou een substantieel negatief effect op onze financiële positie kunnen hebben’, dan leverde dat een 0 op in kolom 3. Dat het om een negatief effect gaat is logisch, want anders zou men moeten spreken van een kans. Het is nu juist de vraag hoe groot de kans op dat negatieve effect is. Die vraag werd niet beantwoord. Ondernemingen beschreven dikwijls een reactie op het risico. Wanneer zij meerdere reacties op één risico beschreven is dat in dit onderzoek verwerkt als één reactie. Tot slot werd vaak een algemene controlemaatregel genoemd. Veel bedrijven wezen bijvoorbeeld op een speciale Treasury Department die over alle risicocontrole zou moeten gaan of gaven aan dat de Executive Board verantwoordelijk is voor het monitoren van de risico’s en de risico reactie. Zo’n mededeling is in dit onderzoek beoordeeld als te algemeen. Alleen als bedrijven per risico een specifieke controlemaatregel beschreven heeft dit geleid tot de code 1 in de vijfde kolom achter het desbetreffende risico. 15
Voor een uitgebreid voorbeeld van de uitwerking van een t-toets zie http://www.hulpbijonderzoek.nl/t-toetsparen/.
28
6.2 Resultaten De resultaten zullen per deelvraag behandeld worden en van commentaar worden voorzien. Deelvraag I: Is de kwaliteit van de risicorapportage in de jaarverslagen van 2011 significant beter dan die van 2007? 2,5 2 1,5 1 0,5 0
Gemiddelde toe- of afname 2011 ten opzicht van 2007 in absolute aantallen
-0,5
Figuur 3. Gemiddelde toe- of afname 2011 ten opzicht van 2007 in absolute aantallen.
De kwaliteit is, zoals te zien is in figuur 3, op twee punten verslechterd, op één punt nagenoeg hetzelfde gebleven en op twee punten verbeterd. Het slechte nieuws is dat ondernemingen in 2007 gemiddeld 26.1 risico’s rapporteerden en 27.7 risico’s in 2011. Oftewel, in 2011 noemden de ondernemingen gemiddeld 1.6 risico meer dan in 2007. Dit is een slecht teken, want er werd de afgelopen jaren juist aangestuurd op een overzicht van de vijf belangrijkste risico’s in plaats van een opsomming van alle denkbare risico’s (kwaliteitscriterium A). Deze uitkomst geeft aan dat er voor veel ondernemingen nog een lange weg te gaan is. De tweede negatieve ontwikkeling heeft betrekking op het aantal keer dat de kans op het risico werd gegeven. Uit figuur 3 is af te lezen dat in 2011 minder vaak de kans werd beschreven dat het risico zal uitkomen dan in 2007, terwijl dit aantal juist omhoog had moeten gaan tenminste als naar de wens van de beleggers was geluisterd.
29
2007
2011 57,2% 51,6% 19,8% 14,1%
12,1%12,2% 1,0% 0,4%
Figuur 4. In hoeveel procent van de beschreven risico’s werd er ook dieper op het risico ingegaan?
In figuur 4 is weergegeven in hoeveel procent van de gevallen ondernemingen de risico’s niet alleen noemden maar ook dieper op het risico en de beheersing ervan ingingen. Zo is af te lezen dat in 2007 bij 5 van de in totaal 496 (1%) benoemde risico’s de kans werd gegeven dat het risico zou uitkomen. In 2011 was hier maar in 2 van de 526 (0.4%) gevallen sprake van. De impact van het risico op het resultaat werd in 2007 in 12.1% van de gevallen gegeven en in 2011 in 12.2%. Dit percentage is dus nagenoeg hetzelfde gebleven. Er hebben ook positieve ontwikkelingen plaatsgevonden. In 2011 werd vaker een reactie en/of een controlemaatregel op het risico beschreven. Zoals figuur 4 weergeeft werd in 2011 bijna anderhalf keer zo vaak een controlemaatregel beschreven. Hierbij moet wel in ogenschouw worden genomen uit dit onderzoek blijkt dat de benoemde risico’s nog steeds in 80% van de gevallen niet gecontroleerd worden. Niet bepaald een geruststellende gedachte. Of de procentuele stijgingen ook significant waren is berekend met een afhankelijk t-toets.
Hypothese A: In 2011 werden gemiddeld minder risico’s gerapporteerd dan in 2007. De uitkomst van de t-toets is geeft een t-waarde van: t= 0.695. 0.695 is groter dan -1.734, dus met een significantieniveau van α= 5% is er geen aanleiding om de nulhypothese te verwerpen. Dit is logisch, aangezien er zelfs meer risico’s werden genoemd in 2011, hetgeen loodrecht staat op de uitgesproken verwachting dat er minder risico’s genoemd zouden worden.
Hypothese B: In 2011 werd gemiddeld vaker gerapporteerd hoe groot de kans is dat een risico zich voor zou doen dan in 2007. De uitkomst van de t-toets is geeft een t-waarde van: t= -1,372.
30
-1,372 is kleiner dan 1.734, dus met een significantieniveau van α= 5% is er geen aanleiding om de nulhypothese te verwerpen.
Hypothese C: In 2011 werd gemiddeld vaker gerapporteerd wat de impact van het risico op het eigen vermogen is dan in 2007. De uitkomst van de t-toets is geeft een t-waarde van: t= 0.846. 0.846 is kleiner dan 1.734, dus met een significantieniveau van α= 5% is er geen aanleiding om de nulhypothese te verwerpen. Hoewel in figuur 3 te zien is dat het aantal keer dat een reactie op het risico werd beschreven meer is toegenomen dan het geven van de kans dat het risico uit zal komen, is de geobserveerde t-waarde kleiner. Dit is het resultaat van een grotere standaarddeviatie van de verschilscores (zie de afhankelijke t-toets formule in paragraaf 5.4.2)
Hypothese D: In 2011 werd de reactie op het genoemde risico gemiddeld vaker gerapporteerd dan in 2007. De uitkomst van de t-toets is geeft een t-waarde van: t= 1.818. 1.818 is groter dan 1.734, dus de nulhypothese wordt met een significantieniveau van α= 5% verworpen. Met een significantieniveau van α= 2,5% (tkrit = 2.101) niet, want 1.818 is kleiner dan 2.101 (de kritieke waarde met een significantieniveau van α= 2,5%).
Hypothese E: In 2011 werd gemiddeld vaker een controle maatregel gerapporteerd dan in 2007. De uitkomst van de t-toets is geeft een t-waarde van: t= 2.310. 2.310 is groter dan 1.734 en groter dan 2.101, dus de nulhypothese wordt met een significantieniveau van α= 5% en α= 2,5% verworpen. Dit komt onder andere omdat de variantie relatief klein was, waardoor de t waarde groter werd. Twee van de vijf kwaliteitscriteria zijn significant toegenomen. Zo beschreven de ondernemingen in 2011 significant vaker een reactie en/of controle maatregel op het risico. Drie van de vijf alternatieve hypotheses kunnen op grond van dit onderzoek niet worden aangenomen.
31
Deelvraag II: Werd er in 2011 over andere risico’s gerapporteerd dan in 2007 in? 2007
2011 93 90
naleving risico's strategische risico's
118
operationele risico's
119 123
138
166 175
financiele risico's
Figuur 5. Aantal genoemde risico’s per risicocategorie.
Figuur 5 laat zien wat voor soort risico, bekeken per risicocategorie, de ondernemingen in 2007 respectievelijk 2011 het meest en het minst noemden. De getallen staan voor het totaal (alle negentien ondernemingen samen) aantal gerapporteerde risico’s per risicocategorie per jaar. In 2011 werden 5.4% meer financiële, 3.4% meer operationele, 16,9% meer strategische en 3.3% minder nalevingsrisico’s gerapporteerd dan in 2007. Het benoemen van strategische risico’s is flink toegenomen. Interessant is om nu in de risicomap in te zoomen en te achterhalen om welke strategische risico’s het gaat. Het blijkt te gaan om de volgende strategische risico’s : macro economische trends en algemene marktontwikkelingen (bijbenen), de crisis (overleven), sociale verantwoordelijkheid nemen, marktaandeel winnen en behouden, belanghebbenden tevreden stellen/houden en risico’s beheersen die voortkomen uit internationale werkzaamheden. Gezien de huidige economische situatie en de onzekerheden die daarmee gepaard gaan, is een toename in het noemen van deze risico’s niet verbazingwekkend. Zowel in 2007 als in 2011 waren de meest genoemde risico’s in absolute zin financieel van aard. Dit heeft te maken met het feit dat de wet- en regelgeving met betrekking tot financiële risico’s veel uitgebreider is dan de regelgeving rondom andere risico’s (zie paragraaf 4.1). Ondernemingen zijn enkel verplicht om ‘de voornaamste strategische, operationele en nalevingsrisico’s te rapporteren’. Als het gaat om financiële risico’s zijn de voorschriften veel gedetailleerder en dit werpt kennelijk zijn vruchten af. Zo schrijft IFRS 7 een verdere opsplitsing van prijsrisico voor in munt-, rente-, en overig prijsrisico en verplicht zij ondernemingen tot het rapporteren van informatie die de gebruikers van haar financiële instrumenten in staat stelt te beoordelen wat de aard en omvang is van de uit financiële instrumenten voortvloeiende risico’s (International
32
Accounting Standards Board, 2007). Het gros van de bedrijven uit de steekproef gebruikt financiële instrumenten, zoals toekomstige contracten, om zich te beschermen tegen prijsschommelingen (van grondstoffen en energie). Dit verklaart de hoge frequentie van financiële risico’s in de jaarverslagen. Top 10 meest gerapporteerde individuele risico’s Tabel 1 geeft de resultaten weer wanneer er wordt ingezoomd op individuele risico’s in plaats van risicocategorieën. Tabel 1. Top 10 meest genoemde risico’s 2007. 2007
(a)
(b)
(c)
(d)
(e)
(f)
(g)
Top 10
Risico
Categorie
Benoemd
Kans
Impact
Reactie
Controle
1
Liquiditeitsrisico
Financieel
100%
5%
5%
95%
26%
2
Rente schommelingen
Financieel
100%
0%
84%
100%
21%
3
Kredietrisico
Financieel
95%
12%
44%
100%
66%
4
Valuta schommelingen
Financieel
89%
6%
65%
100%
24%
5
Strategisch
79%
0%
0%
47%
14%
6
Verandering in bedrijfsstructuur Reputatierisico
Strategisch
74%
0%
0%
35%
7%
7
Belastingrisico
Naleving
68%
0%
0%
47%
16%
8
Naleving
68%
0%
7%
62%
0%
9
Product aansprakelijkheidsrisico IT/ICT problemen
Operationeel
63%
0%
0%
51%
8%
10
Concurrentierisico
Strategisch
63%
0%
0%
59%
0%
In kolom (a) staan de in 2007 meest genoemde risico’s met in kolom (b) de categorie waartoe zij behoren. Kolom (c) geeft met een percentage weer door hoeveel procent van de negentien ondernemingen het risico gerapporteerd werd. In kolom (d) tot en met (g) staat het percentage van de ondernemingen die het risico niet alleen noemde maar ook dieper op het genoemde risico is ingegaan. Neem bijvoorbeeld de nummer vijf: verandering in de bedrijfsstructuur (een reorganisatie, fusie, acquisitie, desinvestering, outsourcing). Dit risico valt onder de categorie ‘strategische risico’s’. 79% van de negentien ondernemingen noemde dit risico in 2007. Geen van die ondernemingen ging in op de kans dat het risico zich voor zou doen of de impact van het risico op het eigen vermogen. Wel beschreef 47% van de ondernemingen een reactie op het risico en 14% een controlemaatregel. Tabel 2 geeft op
33
dezelfde manier informatie over de tien meest genoemde risico’s in 2011. Tabel 2. Top 10 meest genoemde risico’s 2011. 2 0 11
(a)
(b)
€
(d)
€
(f)
(g)
Top 10
Risico
Categorie
Benoemd
Kans
Impact
Reactie
Controle
1
Liquiditeitsrisico
Financieel
100%
5%
0%
95%
47%
2
Rente schommelingen
Financieel
100%
0%
95%
95%
5%
3
Kredietrisico
Financieel
100%
5%
32%
100%
89%
4
Valuta schommelingen
Financieel
95%
0%
94%
100%
17%
5
Product aansprakelijkheidsrisico Economische conditie
Naleving
79%
0%
6%
47%
6%
Strategisch
74%
0%
0%
0%
15%
Strategisch
74%
0%
0%
57%
22%
8
Verandering in bedrijfsstructuur Reputatierisico
Strategisch
74%
0%
0%
57%
7%
9
Belastingrisico
Naleving
69%
0%
0%
46%
23%
10
IT/ICT- problemen
Operationeel
68%
0%
0%
100%
47%
6 7
De top 10 van 2007 verschilt nauwelijks met van die van 2011. De top 4 van beide jaren, die enkel bestaat uit financiële risico’s, is zelfs identiek. Wat opvalt is dat ondernemingen (bijna) alleen financiële risico’s kwantificeerden met kans en impact. Dit wijst er wederom op dat IFRS 7 zijn vruchten afwerpt. Misschien zit hier ook achter dat het kwantificeren van financiële risico’s makkelijker is dan het kwantificeren van andere risico’s. Wat er gebeurt met de hoogte van de schulden als de rente met 1% omhoog zal gaan is concreter dan in te schatten wat het effect van politieke onrust in het (buiten) land is op de bedrijfsresultaten. De opvallende nieuwkomer met een percentage van 74% in de top 10 van 2011 is ‘economische conditie’ (risico wat voortkomt uit een eventuele verslechtering van de economische conditie). In 2007 rapporteerde nog maar 11% van de ondernemingen dit risico. Hoewel de ondernemingen zich kennelijk bewust zijn van de veranderende alarmerende economische toestand wordt nauwelijks ingegaan op de beheersing van het risico. Het lijkt er op dat ondernemingen de crisis zien als een risico waar ze geen invloed op kunnen uitoefenen. Indirect zouden ze echter wel geruststellende mededelingen kunnen doen. Ondernemingen zouden bijvoorbeeld kunnen mededelen dat ze hogere reserves aanhouden om op die manier minder kwetsbaar te zijn voor tegenvallende resultaten door externe schokken.
34
Deelvraag III: Aan welk risicomanagement systeem refereren de ondernemingen in 2007 en 2011? Uit de data die is bijgehouden in appendix B blijkt dat verreweg het meest naar de COSO raamwerken wordt verwezen. In 2007 refereerde 84.2% van de onderzochte ondernemingen aan één van de twee risicomanagement systemen van COSO, of verwees naar de organisatie COSO in het algemeen. 42.1% van de ondernemingen noemde het verouderde COSO-IC raamwerk uit 1992, 26.3% het COSO-ERM raamwerk uit 2004, 15.8% de organisatie COSO in het algemeen en 15.8% noemde een alternatief raamwerk. Geen enkele onderneming refereerde in 2011 aan een ander raamwerk dan in 2007. Ondernemingen die in 2007 naar het toen al verouderde COSO-IC raamwerk verwezen, deden dat vier jaar later nog steeds. Of de managers van de ondernemingen zijn niet op de hoogte van de laatste ontwikkelingen op het gebied van risicomanagement, of ze prefereren het COSO-IC raamwerk boven COSO-ERM. Hoewel ondernemingen door te verwijzen naar COSO de indruk wekken dat zij hun risicomanagement en risicorapportage op de door COSO voorgeschreven manier inrichten blijkt dit vaak niet zo te zijn. Uit de risicoparagraaf blijkt dat de interpretatie van COSO zeer uiteen loopt.
Deelvraag IV: Besloeg de risicoparagraaf in 2007 significant meer bladzijden, uitgedrukt als percentage van het hele jaarverslag, dan in 2011? Het aantal bladzijden als percentage van het jaarverslag dat ondernemingen aan risicorapportage wijden loopt zeer uiteen. De twee uitersten van de steekproef behoren tot de industriële sector. Zowel in 2007 als in 2011 waren dat SBM Offshore en Shell. In 2007 besteedde SBM Offshore 8,9% van haar jaarverslag aan risicorapportage, Shell maar 2,7%. In 2011 lag dit percentage voor beiden hoger, respectievelijk 9,9% en 3,1%, maar rapporteerde SBM Offshore nog steeds ongeveer drie keer zo veel als Shell. Gemiddeld besloeg de risicorapportage 5,9% van het jaarverslag in 2007. In 2011 lag dit gemiddelde slechts 0,2% hoger, namelijk op 6,1%. 53% van de ondernemingen wijdde in 2011 een groter percentage van het jaarverslag aan risicorapportage, 47% juist een kleiner percentage. Het kan zijn dat ondernemingen meer bladzijden aan risicorapportage wijden ten gevolge van een gedetailleerdere verslaglegging maar dat hoeft niet. Het kan namelijk ook zo zijn dat ondernemingen in plaats van de risico’s alleen te noemen vaker een definitie van het risico zijn gaan geven of dat ze meer risico’s zijn gaan opsommen. Deze resultaten zijn een toegevoegde waarde voor de beeldvorming, maar aan de resultaten kunnen geen conclusies worden verbonden wat betreft de inhoud van risicorapportage.
35
Hypothese F: Besloeg de risicoparagraaf in 2007 significant meer bladzijden, uitgedrukt als percentage van het hele jaarverslag, dan in 2011? De uitkomst van de t-toets is geeft een t-waarde van: t= 0.488. Bij een significantie niveau van α= 5% is de kritieke waarde tkrit = 1,734. 0.448 is kleiner dan 1.734, dus met een significantieniveau van α= 5% is er geen aanleiding om de nulhypothese te verwerpen. Dit heeft enerzijds te maken met de zoals gezegd grote standaarddeviatie van de verschilscores en anderzijds met het feit dat het gemiddeld aantal bladzijden nauwelijks is toegenomen (maar 0,2%).
Deelvraag V: Wat valt op als je uitzoomt op de onderzoeksresultaten per sector? De onderzoeksresultaten bekeken per sector is 2007 nagenoeg hetzelfde als in 2011. Het is niet zo dat één sector ineens veel minder risico’s is gaan noemen en de andere sector veel meer. Wel valt het één en ander op wanneer er wordt ingezoomd op de risicorapportage per sector binnen een bepaald jaar. In het literatuuronderzoek is de verwachting uitgesproken dat financiële ondernemingen waarschijnlijk meer nalevingsrisico’s zullen rapporteren dan andere sectoren, omdat zij moeten voldoen aan extra regelgeving. Wat blijkt, nalevingsrisico behoort, wanneer er wordt gekeken naar de rapportage van alle ondernemingen in 2007 en 2011, tot de minst genoemde risicocategorie. Wanneer er echter wordt ingezoomd op het soort risico dat de vier sectoren rapporteerden blijkt dat de financiële sector inderdaad gemiddeld twee keer zo veel nalevingsrisico’s rapporteerde dan de andere drie sectoren. Dit geldt voor zowel 2007 als voor 2011. Meer dan 50% van de risico’s gerapporteerd door de financiële sector waren nalevingsrisico’s. De consumenten producten en services sector, waaronder bijvoorbeeld Ahold valt, rapporteerde ongeacht het soort risico, gemiddeld meer risico’s dan de andere sectoren. Tot slot is gebleken dat de industriële sector (waaronder bijvoorbeeld Shell valt) en de consumenten sector in verhouding meer financiële risico’s noemde dan de andere twee sectoren. Dit kan verklaard worden middels het feit dat deze sectoren relatief veel te maken hebben met prijsschommelingen van energie en grondstoffen. Dit dekken ze zoals gezegd vaak af met toekomstige contracten, waarover gerapporteerd dient te worden in het jaarverslag
7. Conclusie Of de toegenomen belangstelling van beleggers in risicorapportage de ondernemingen heeft aangespoord om anders en/of beter te gaan rapporteren stond in dit onderzoek centraal. Na
36
de risicorapportage van Nederlandse beursgenoteerde ondernemingen in de jaarverslagen van 2011 vergeleken te hebben met die van 2007 kan resumerend het volgende gezegd worden. In beide jaren besloeg risicorapportage zo’n zes procent van het jaarverslag. De kwaliteit van de risicorapportage is onderzocht aan de hand van vijf kwaliteitscriteria. De uitkomst was niet eenduidig. Twee kwaliteitscriteria bleken verslechterd, twee verbeterd en één criteria bleek nagenoeg onveranderd te zijn. Hoewel beleggers al jaren aansturen op het rapporteren minder risico’s, namelijk alleen de vijf belangrijkste, gevolgd door een uitgebreide beschrijving van de beheersing van die risico’s, rapporteerden de ondernemingen in 2011 gemiddeld meer risico’s dan in 2007 en gaven ze minder vaak de kans dat het risico zou uitkomen. Dit kan gezien worden als een ongewenste ontwikkeling. Ondernemingen gaven in beide jaren ongeveer even vaak een beschrijving van de impact van het risico op het resultaat. Wel bleek, ondersteund door de resultaten van de afhankelijke t-toets, dat in 2011 significant vaker een reactie op het risico en/of een controle maatregel gerapporteerd werd. Dit alles maakt dat over het geheel genomen kan worden gesteld dat er nog veel ruimte is voor verbetering. Er zijn weinig veranderingen op te merken als het gaat om het soort risico dat in beide jaren genoemd werd. Zowel in 2007 als in 2011 was de rapportage van financiële risico’s het meest uitgebreid. Dit is waarschijnlijk het gevolg van de internationale regelgeving IFRS 7, waarin extra regels worden voorgeschreven met betrekking tot financiële risico’s. In 2011 werd door 74% van de ondernemingen het risico van een veranderende economische conditie gemeld. Dit was in 2007 nog maar 11%. Hoewel de meeste ondernemingen zich kennelijk bewust zijn van de alarmerende economische toestand gaan ze nauwelijks in op de beheersing van het risico. Het lijkt erop dat ondernemingen de crisis zien als een risico waar ze geen invloed op kunnen uitoefenen. De COSO raamwerken zijn bij lange na zowel in 2007 als in 2011 het populairst. Vreemd is wel dat ondernemingen die in 2007 naar het toen al verouderde COSO-IC raamwerk verwezen, dat vier jaar later nog steeds deden. Of de managers van de ondernemingen zijn niet op de hoogte van de laatste ontwikkelingen op het gebied van risicomanagement, of ze prefereren het COSO-IC raamwerk boven COSO-ERM. Hoe het ook zij, ondernemingen verwijzen wel naar COSO en wekken daarmee de indruk dat zij hun risicomanagement en risicorapportage op de door COSO voorgeschreven manier inrichten. Uit de heterogene risicorapportage blijkt echter dat de interpretatie van COSO uiteen loopt en dat er dus van een heldere en goed te vergelijken rapportage geen sprake is.
37
Tot slot drie aanbevelingen voor toekomstig onderzoek. Ten eerste zou het de betrouwbaarheid van de onderzoeksresultaten, met name die van de t-toets ten goede komen als in volgend onderzoek de steekproef vergroot wordt. In dit onderzoek betrof de steekproef slechts negentien ondernemingen, wat eigenlijk te weinig is om harde uitspraken te kunnen doen. Ten tweede zijn in dit onderzoek sommige kwaliteitscriteria buiten beschouwing gelaten vanwege een vermeend gebrek aan capaciteit. Achteraf gezien was het weinig moeite geweest om sommige aspecten toch bij te houden. De vragenlijst kan in een volgend onderzoek bijvoorbeeld uitgebreid worden met de vraag of ondernemingen hun risicobereidheid aangeven, of ze een apart risicomanagement hoofdstuk hebben en of een beoordeling van de overzichtelijkheid van de risicorapportage kan worden gegeven. Ik ontdekte namelijk grote verschillen tussen de overzichtelijkheid van de rapportage van de bedrijven. Ten derde moet in toekomstig onderzoek goed worden nagedacht over de manier waarop de informatie uit de jaarverslagen wordt bijgehouden. In dit onderzoek is ervoor gekozen om een nominale schaal te gebruiken om zo de objectiviteit van de beoordeling zo hoog mogelijk te houden. Hierdoor is helaas ook veel informatie verloren gegaan. Een zeer gedetailleerde beschrijving van een reactie op een risico is in dit onderzoek namelijk hetzelfde beoordeeld als ‘we proberen het risico in te perken’. Door een ordinale schaal te gebruiken kan per onderdeel worden aangegeven in welke mate de onderneming op dat onderdeel in gaat. Ook een tweede lezer zou de betrouwbaarheid van het onderzoek vergroten.
8. Bibliografie Abraham, S., & Cox, P. (2007). Analysing the determinants of narrative risk information in UK FTSE 100 annual reports. British Accounting Review , 39 (3), 227-248. Aourz, K. (2009). De kwaliteit van risicorapportering in het jaarverslag.Universiteit Hasselt. Asaf, S. (2004). EXECUTIVE CORPORATE FINANCE: the business of enhancing shareholder value. Harlow: Pearson Education Limited. Beretta, S., & Bozzolam, S. (2004). A framework for the analysis of firm risk communication. The international Journal of Accounting , 39, 265- 288. Blij, I., & Mertens, G. (2008). Inzicht in Onzekerheid; Onderzoek naar de risicoparagrafen in de jaarverslagen 2007 van beursfondsen. Eumedion/NIVRA. Heerlen: Shareholder Support. Boot, W., & Wallage, P. (2006, may). Formele versus materiele nalevnig van de code tabaksblat. Maandblad voor Accountancy en Bedrijfseconomie , 206-215.
38
Botosan, C. (2006). Disclosure and the cost of capital: what do we know? Accounting and Business Research , 31-40. Botosan, C. (1997). Disclosure level and the cost of equity capital. 72 (3), 323-349. Bowman, E. (1984). Content analysis of annual reports for corporate strategy and risk. Interfaces , 14 (1), 61-71. Cabedo, J., & Tirado, J. (2004, june). The disclosure of risk in financial statements. 28 (2), pp. 181-200. Claassen, U. (2009). Handboek risicomanagement : ERMplus: een praktische toepassing van COSO ERM. Deventer: Kluwer. Claassen, U. (2009). Handboek risicomanagement : ERMplus: een praktische toepassing van COSO ERM. Deventer: Kluwer. Claassen, U. (2010, maart). Risicomanagement: In 6 stappen naar COSO ‘nieuwe stijl’. ControllersMagazine , 24-25. Commisie Corporate Governance. (2003). De Nederlandse Corporate Governance Code, beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. Den Haag. COSO. (2004). Enterprise Risk Management - Integrated Framework. Jersey City: Committee
of Sponsoring Organizations of the Treadway Commission.
Crouhy, M., Galai, D., & Mark. (2006). The Essentials of Risk Management. NewYork: The McGraw-Hill Companies, Inc. de Groot, C. (2006, jan/feb). Risicomanagement en risicoverslaggeving tegen de achtergrond van corporate governance. pp. 64-71. de Groot, J. (2008, maart/april). ‘Accounting For risks’: de risicoparagraaf in het jaarverslag. pp. 50-53. Deloitte. (2009). Risicomanagement: meer dan de som der delen. Rotterdam: MCBD Deloitte. Deumes, R., & Knechel, W. R. (2008). Economic Incentives for Voluntary. A JOURNAL OF PRACTICE & THEORY , 27 (1), 35-66. Dinant, J. (2010, november 5). De verslaglegging van risico's in het jaarverslag van beursgenoteerde ondernemingen. Tijdschrift voor JAARREKENINGENRECHT ,155 -160. Dobler, M. (2005). How informative is risk reporting?-Areview of disclosure models. Dresden: Munich Business Research Working Paper 1.
39
Epe, P., & Koetzier, W. (2011). Jaarverslaggeving. Groningen/Houten: Noordhoff Uitgevers. Eumedion. (2007). Speerpuntenbrief 2008. Schiphol: EUMEDION corporate governance forum. Eumedion. (2008, oktober 24). Speerpuntenbrief 2009. Opgeroepen op april 6, 2013, van Eumedion corporate governance forum: www.eumedion.nl Eumedion. (2008). Speerpuntenbrief 2009. Schiphol: EUMEDION corporate governance forum. Eumedion. (2009). Speerpuntenbrief 2010. Schiphol: EUMEDION corporate governance forum. Eumedion. (2010). Speerpuntenbrief 2011. Amsterdam: EUMEDION corporate governance forum. Finance Learning Academy. (2012). COSO Enterprice Risk Management (ERM) Cube [plaatje] http://www.financelearningacademy.com/riskmanagement.html. Opgeroepen op april 21, 2013, van Finance Learning Academy: http://www.financelearningacademy.com/riskmanagement.html Groenland, J., Daals, R., & Von Eije, H. (2006). De Tabaksblat risicoprargraaf in Nederlandse jaarverslagen. Maandblad voor Accountancy en Bedrijfseconomie , 80 (2), pp. 93 -99. Groot, C. d. (2006, jan/feb). Risicomanagement en risicoverslaggeving tegen de achtergrond van corporate governance. pp. 64-71. Groot, J. d. (2008, maart/april). ‘Accounting For risks’: de risicoparagraaf in het jaarverslag. pp. 50-53. Hassan, M. (2008). The level of corporate risk disclosure in UAE. Blackpool: British Accounting Association Annual Conference. Healy, P., & Palepu, K. (2001). Information asymmetry, corporate disclosure, and the cost of capital markets: A review of the empirical disclosure literature. Journal of Accounting and Economics , 31, 405-440. Helbok, G., & Wagner, C. (2006). Determinants of operational risk reporting in the banking industry. Journal of Risk , 9 (1), 49-74. Hessels, S., & Hooge, E. (2006). Small Business Governance: Een verkenning naar de betekenis en de praktijk van corporate governance in het MKB. Zoetermeer: http://www.ondernemerschap.nl/pdf-ez/A200516.pdf.
40
Hoogendoorn, M., & Mertens, G. (2001). Kwaliteit van externe financiële verslaggeving in Nederland. Limperg: Kluwer. International Accounting Standards Board. (2010). International Financial Reporting Standard. London: IFRS. International Accounting Standards Board. (2007). International Financial Reporting Standards, IFRS 7 Financial Instruments: Disclosures. Londen: IASB. Jong, A. d. (2007, oktober). Irrationele bestuurders en corporate governance. Maandblad voor Accountancy en Bedrijfseconomie , pp. 497-505. Kajüter, P. (2006, juli). Risk disclosures of listed firms in Germany: a longitudinal study. Tenth Financial Reporting & Business Communication Conference . Kevelam, W., & Ter Hoeven, R. (2008, oktober). Invloed IRS 7 op kwalitatieve risicoverslaggeving; De risico’s van financiële instrumenten. Finance & Conrol , 32. Kim, O., & Verrecchia, R. (1994). Market liquidity and volume around earning announcements. Journal of Accounting and Economics (17), 41-68. Knight, F. H. (1921). Risk, Uncertainty and Profit. Houghton: Boston. Koomen, G. Een brug slaan tussen Enterprise Risk Management (ERM) en gecombineerde risico management systemen - Wat COSO en AHSE voor elkaar kunnen betekenen. Linsley, P., & Shrives, P. (2006). Risk reporting: A study of risk disclosures in the annual reports of UK companies. The British Accounting Review , 38, 387-404. Monitoring Commissie Corporate Governance. (2007). derde rapport over de naleving van de corporate governance code. Den Haag: www.commissiecorporategovernance.nl. Monitoring Commissie. (2008). De Nederlandse corporate governance code Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. Den Haag: www.commissiecorporategovernance.nl. Monitoring Commissie. (2007). Derde rapport over de naleving van de corporate governance code. Den Haag: www.commissiecorporategovernance.nl. Munnik, W. d., & Emanuels, J. (2006, juni). Enterprise Risk Management: een risicobeheersingssyteem voor organisaties. Maandblad voor Accountancy en Bedrijfseconomie , 294-299. Nederlandse Vereniging van Banken. (2009). Code banken. Nederlandse Vereniging van Banken. Peters, J. (2002). Vijf jaar corporate governance in Nederland. Corporate Governance in Nederland 2002: De stand van zaken, 2002.
41
PricewaterhouseCoopers & RuG. (2006). Risicomanagement - De praktijk in Nederland. Groningen: RuG. PricewaterhouseCoopers. (2006). Risicomanagement - De praktijk in Nederland. Groningen: RuG. Ross, S., Westerfield, R., & Jaffe, J. (2008). Corporate Finance: Core principles and applications. Irwin: McGraw-Hill Education. Roth, J., & Espersen, D. (2002). Categorizing Risk,. Internal Auditor , 57-59. Schrand, L., & Elliot, J. (1998). Risk and financial reporting: a summary of the discussion at the 1997 AAA/FASB conference. Accounting Horizons , 12 (3), 271-282. Solomon, J. F. (2000). A conceptual framework for corporate risk disclosure emerging from the agenda for corporate governance reform. 32 (4), 447- 478. Taylor, J. B. (2009). The financial crisis and the policy responses: an empirical analysis of what went wrong. Cambridge: nber working paper series. Cambridge: NBER Working Paper No. 14631. Trueman, B. (1986). Why do managers voluntarily release earnings forecasts? Journal of Accounting and Economics (8), 53-71. Van Houwelingen, C. M., & Degens, R. M. (2005). Corporate Governance in Nederland van Peters tot Tabaksblad. Compact , 5. Vandemaele, S., Vergauwen, P., & Michiels, A. (2009). Management risk reporting practices and their determinants. Universiteit Hasselt. Vriens, Z. (2011). Code Tabaksblat. Tilburg: Universiteit van Tilburg.
42
9. Appendices Appendix A Nr.
Bedrijf
Werkzaamheden
Sector
1.1
Aegon
Financiële dienstverlening
Financieel
(levensverzekeringen, pensioenen en
Cyclisch
investeringsproducten) 1.2
Corio
Vastgoedonderneming
1.3
Unibail-Rodamco
Vastgoedonderneming
2.1
TomTom
Navigatiesystemen
2.2
ASML
Leverancier van gespecialiseerde
Technologie
technologiesystemen voor de halfgeleiderindustrie 2.3
Philips
Elektronica concern
2.4
Reed Elsevier
Uitgeverij en informatiediensten
2.5
Wolters Kluwer
Uitgeverij en informatiediensten
3.1
TNT Express
Logistieke dienstverlener
Consumenten
3.2
KPN
Telecommunicatie- en ICT-diensten
(services &
3.3
Randstad Holding
Uitzendbureau
producten)
3.4
Ahold
Detailhandelsconcern
Non-cyclisch
3.5
Unilever
Voedingsmiddelen en verzorging
3.6
Heineken
Drank productie
4.1
Akzo Nobel
Coatings en verf
4.2
ArcelorMittal
Staalproductie
4.3
DSM
Chemiebedrijf: vitamines en medicijnen
4.4
Royal Dutch Shell
Vinden, bewerken en produceren van olie en
Industrie
gas 4.5
SBM Offshore
Installaties voor de productie en opslag van olie- en gasproducten
43
Appendix B
44
