Kernproject risicomanagement
1
Inhoudsopgave 1. Inkadering kernproject .............................................................................................................. 1 2. Probleemstelling en achtergronden ........................................................................................... 2 3. Randvoorwaarden en uitgangspunten ....................................................................................... 3 4. Deelprojecten en op te leveren eindproducten .......................................................................... 3 5. Risico’s en voortgangsbewaking............................................................................................... 6 6. Samenhang met andere kernprojecten ...................................................................................... 6 7. Commitment en communicatie ................................................................................................. 7 8. Planning van capaciteit en middelen......................................................................................... 7
1. Inkadering kernproject 1.1. Bestuurlijk kader NIVRA In de NIVRA bestuursvergadering van 29 maart 2008 zijn acht kernthema’s voor 2008-2009 vastgesteld. Een daarvan is Risicomanagement. In de notitie Prioriteiten 2008 van 10 april 2008 is dit kernthema uitgewerkt als volgt:. De behoefte aan verantwoording op het gebied van bijvoorbeeld ESG (Environment, Social and Governance) geeft voeding aan de discussies rond risicomanagement. Het belang van een adequaat risicomanagement wordt steeds pregnanter onder invloed van de kredietcrisis en de eisen die voortvloeien uit wet- en regelgeving (o.a. Code Tabaksblat en Basel II’). In eerdere projecten (Corporate Governance) is reeds een algemeen kader ontwikkeld met betrekking tot risicomanagement. In dit projectvoorstel wordt het onderwerp verder uitgewerkt in een aantal concrete deelprojecten. De input voor het projectvoorstel is mede afkomstig vanuit discussies in de werkgroep Interne beheersing/ Adviesgroep Corporate Governance en de kick-off sessie met enkele NIVRA medewerkers en - bestuursleden op 23 juni j.l. In de Adviesgroep Corporate Governance hebben de volgende personen zitting: Erik Mouthaan voorzitter (Deloitte), Remko Renes (KPMG), Jos de Groot (PwC), Bart van Beurden (Ernst & Young), Michel Kee (IAD Heineken en lid INTAC), Ellen van Schoten (Algemene Rekenkamer), Petra de Bie (zelfstandig consultant en linking pin IIA Nederland), Peter van der Knaap (KPMG en linking pin NOREA), Wilmar de Munnik (Corporatieholding Friesland en Rijks Universiteit Groningen), Simone Heidema (Corgwell CPI Governance), Arthur Izeboud (Resources Global Professionals), John Bendermacher (Robeco en linking pin SBBB) en Johan Scheffe (NIVRA). 1.2. Relatie met voorafgaand project Het kernproject Risicomanagement staat niet op zichzelf, de basis is gelegd in het kernproject Corporate Governance dat o.a. heeft geleid tot de Discussion paper Risk management and internal control systems die het NIVRA in oktober 2007 heeft gepubliceerd. Daarnaast is in het voorjaar 2008 onderzoek uitgevoerd naar de verslaggeving over risicomanagement. Dit onderzoek heeft geleid in juni 2008 tot de publicatie van het NIVRA onderzoeksrapport Inzicht in Onzekerheid, in het kader van de cyclus Het NIVRA in het maatschappelijk debat. Een debat over de waarde van goed risicomanagement en de bijbehorende verantwoording vond plaats tijdens een goed bezocht seminar op 24 juni 2008. 1.3. Maatschappelijk krachtenveld Vanuit de behoefte aan zekerheid omtrent de winstgevendheid en/of continuïteit van organisaties in de profit en de non-profit sector is de laatste jaren veel aandacht geschonken aan de kwaliteit van de interne risicobeheersings en controle systemen en de wijze waarop organisaties verantwoording af dienen te leggen over de mate waarin zij de risico’s beheersen. De naleving van de Code Tabaksblat op dit terrein blijkt in de praktijk tot veel vragen en onduidelijkheden te leiden. Externe partijen zoals toezichthouders, beleggers, banken en bijvoorbeeld ook de belastingdienst hechten steeds meer waarde aan een goed systeem van risicomanagement. In juli 2008 heeft de Monitoring Commissie Corporate Governance (Frijns) voorstellen gepubliceerd om de Code Tabaksblat op het terrein van o.a. risicomanagement aan te passen. Het NIVRA zal in september 2008 reageren op deze voorstellen.
Kernproject risicomanagement
1
1.4. Belanghebbende partijen De stakeholders bij risicomanagement zijn divers, waarbij de informatiebehoefte kan verschillen. Om te kunnen inspelen op de behoefte van stakeholders, is het nodig om vast te stellen wie ze zijn en wat hun informatiebehoefte precies inhoudt. Wat verwacht de gebruiker van de accountant als deze bij een verantwoording over risicomanagement is betrokken en wat ziet hij bij voorkeur als eindproduct ? De accountant kan in diverse rollen betrokken zijn bij risicomanagement. 1. Als openbaar accountant in het kader van de jaarrekeningcontrole, als assuranceprovidor en/of als adviseur bij de implementatie van risicomanagement. 2. Als intern accountant zowel bij de implementatie van risicomanagement als het geven van assurance bij de uitkomsten en/of het proces van risicomanagement. 3. Als accountant in de publieke sector in de hierboven beschreven rollen. 4. Als accountant in business als adviseur, risicomanager en andere functies binnen organisaties. De dialoog met de stakeholders is belangrijk. Een (nieuwe) verwachtingskloof op het gebied van risicomanagement valt te voorkomen door participatie van en communicatie met alle betrokken partijen. Het betekent ook, dat het kernproject Risicomanagement alleen kan slagen als de stakeholders bij dit onderwerp voldoende zijn betrokken. Het maatschappelijk verkeer als stakeholder is een onwerkbaar begrip. Het is beter om de belanghebbende partijen in een aantal groepen in te delen: • Intern: alle partijen die binnen de organisatie betrokken zijn bij Risicomanagement. Dit betreft bestuur en management, toezichthouders (raad van toezicht of raad van commissarissen), risicomanagers, controllers, internal auditors en externe accountants; • Extern: alle partijen buiten de organisatie. Dit betreft aandeelhouders en verschaffers van eigen vermogen, analisten, kredietverschaffers, leveranciers en afnemers, toezichthouders, overheid en regelgevende instanties en brancheverenigingen. Het commitment bij het kernproject Risicomanagement valt met name te bereiken via de pluriforme Adviesgroep Corporate Governance waarin ook gelieerde organisaties zoals NOREA, IIA en CI zijn vertegenwoordigd.
2. Probleemstelling en achtergronden Probleemstelling Bij stakeholders bestaat behoefte aan duidelijkheid omtrent risicomanagement en de diverse rollen die accountants kunnen spelen bij dit onderwerp. Dit leidt tot de volgende probleemstelling: In hoeverre kan de accountant bijdragen aan de actuele discussie over risicomanagement vanuit het perspectief van de verschillende rollen die accountants in kunnen nemen. Hierbij spelen de volgende achtergronden: • Er is geen uniform referentiekader beschikbaar. Er bestaan nog geen algemeen aanvaarde grondslagen voor risicomanagement. • De functie van risicomanager is nog onvoldoende uitgewerkt. Er is momenteel wel sprake van een verdere professionalisering van het beroep door middel van opleidingen , certificering en een beroepsorganisatie. 2
Koninklijk NIVRA
• De diversiteit van risico’s en risicomanagement systemen is groot. Naarmate de informatie over risico´s en beheersingssystemen meer kwalitatief van aard is en verder afstaat van financiële systemen zijn deze moeilijker te meten; De kwaliteitseisen voor risicomanagement, de wijze waarop dit wordt ingevuld, de wijze waarop hierover verantwoording wordt afgelegd en de beroepsregels voor accountants in dit kader zijn nog onvoldoende uitgewerkt. Indien assurance van accountants wordt gevraagd is er behoefte aan een algemeen conceptueel kader, dat voor de accountant een basis biedt om in de concrete situatie te voldoen aan de behoefte van stakeholders aan zekerheid over de betrouwbaarheid van de risicomanagement verantwoording. Het bestaande Stramien voor assurance-opdrachten (NV COS) geeft wel voorbeelden van niet-financiële informatie, maar gaat niet in op de specifieke kenmerken. Opgemerkt wordt dat zo veel mogelijk aansluiting zal worden gezocht bij het NIVRA kernproject NFI (Niet Financiële Informatie). Daarnaast . dienen de internationale ontwikkelingen op het terrein van risicomanagement goed te worden gevolgd. Via participatie in diverse FEE werkgroepen en deelname aan het ISO proces dat leidt tot een internationale norm voor risicomanagement wordt hier verder invulling aan gegeven.
3. Randvoorwaarden en uitgangspunten Om het project te laten slagen moet rekening worden gehouden met een aantal randvoorwaarden en uitgangspunten. Ze vormen in feite de kritische succesfactoren: 1. Commitment bij de stakeholders. Het kernproject moet vooral extern zijn gericht, dit zorgt ervoor dat de uitkomsten maximaal aansluiten op de wensen van de stakeholders. Het valt in dit kader te overwegen om ook een marktonderzoek uit te voeren. Het project moet uitdrukkelijk niet alleen vanuit accountantsperspectief worden ingestoken; 2. Commitment betekent naast participatie in het project vooral veel communicatie over de rol van de accountant en de (assurance)producten die hij kan opleveren; 3. Het gaat om het volledige proces van risicomanagement. De accountant kan in de verschillende fasen van dit proces een rol spelen, hetgeen een nauwe afstemming impliceert met andere (controle)organen binnen de organisatie. De NIVRA Discussion paper Risk management and internal control systems en het NIVRA onderzoeksrapport Inzicht in Onzekerheid vormen een belangrijke basis voor het kernproject Risicomanagement. In enkele deelprojecten zal ook aandacht worden geschonken aan internationale initiatieven en best practices.
4. Deelprojecten en op te leveren eindproducten Het kernproject Risicomanagement bestaat uit een aantal deelprojecten die ieder worden afgesloten met één of meerdere deliverables. 4.1 Deelproject: Conceptueel kader Het is van belang dat het accountantsberoep over referentiekader beschikt dat dient als kapstok om de discussie over risicomanagement te voeren en als basis voor het geven van nadere ‘guidance’. De afgelopen twee jaar zijn hiervoor al de nodige aanzetten gegeven, die het komend jaar leiden tot de volgende ‘deliverables’.
Kernproject risicomanagement
3
1a De definitieve Discussion paper Risk management and internal control systems. De concept Discussion Paper is in oktober 2007 aangeboden aan de voorzitter. van de Monitoring Cie. (Frijns) en is o.a. met een persoonlijk schrijven van Gert Smit toegestuurd naar de CFO' s van alle Nederlandse beursgenoteerde ondernemingen. Het stuk is tevens op de NIVRA website geplaatst en is al meer dan 1000 maal gedownload. De uiterste reactiedatum is vastgesteld op 1 februari 2008. In het stuk worden voorstellen gedaan voor de nadere invulling van risicomanagement inclusief de bijbehorende verantwoordelijkheden en de wijze waarop verantwoording wordt afgelegd door de organisatie. Er zijn 4 reacties ontvangen die momenteel worden beoordeeld door de Adviesgroep Corporate Governance. Daarna wordt een definitieve versie uitgebracht. Tevens komt er een Nederlandstalige versie. Deze stukken zullen in het najaar 2008 beschikbaar komen. 1b Reactie NIVRA op voorstellen Monitoring Commissie Uit het derde rapport van de Monitoring Cie. (Frijns) blijkt overigens dat de visie van het NIVRA weliswaar wordt genoemd maar dat een aantal punten uit de Discussion Paper niet zijn overgenomen in de aanbevelingen van de MC. In juni 2008 heeft de Monitoring Commissie voorstellen gepubliceerd met betrekking tot aanpassing van de Code Tabaksblat. Een van deze voorstellen heeft betrekking op de In control verklaring van het management. Het NIVRA zal mede op basis van de uitgangspunten in de Discussion paper reageren op deze voorstellen. Deze reactie wordt in september 2008 verstuurd. 4.2 Deelproject: Verantwoording en Assurance Rond verantwoording van en assurance bij risicomanagement spelen zich enkele concrete en actuele discussies af. Dit leidt tot de volgende ‘deliverables’: 2a Nalevingsonderzoek Audit Alert 18 Naar aanleiding van een verzoek vanuit de Monitoring Cie. CG wordt onderzoek gedaan naar de naleving van Audit Alert nr. 18 door accountants bij de kleinere beursgenoteerde ondernemingen. De uitkomsten worden in oktober 2008 verwacht. Deze audit alert heeft het NIVRA in januari 2005 gepubliceerd (als Audit Alert nr. 14) naar aanleiding van de Code Tabaksblat. 2b Aanpassing Audit Alert 18 Audit Alert 18 dient aangepast te worden op basis van de guidance en voorstellen (juni 2008) van de Monitoring Commissie en wijzigingen in de regelgeving voor accountants. In de CCR vergadering van 14 februari 2008 is besloten om tevens de komende aanpassingen in BW 2 titel 9 te verwerken. Deze aanpassingen betreffen de verplichte corporate governance verklaring (op basis van EG Richtlijn 2006/46 van 14 juni 2006) in de jaarverslagen van beursgenoteerde ondernemingen. De aangepaste Audit Alert dient uiterlijk december 2008 gepubliceerd te worden.
4
Koninklijk NIVRA
2c Onderzoek naar RvC verslagen in jaarverslagen 2007 Onderzoek naar de jaarverslagen 2007 van de 75 AEX, AMX en ASCX beursfondsen. De verslagen van de Raden van Commissarissen worden onderzocht en beoordeeld op informatieve waarde. De Code Tabaksblat speelt hierin een belangrijke rol;. Dit onderzoek wordt tezamen met Prof. Dr. Auke de Bos RA uitgevoerd mede ten behoeve van de NIVRA publicatie Het Jaar Verslagen 2007 die in januari 2009 uit zal komen. Waarschijnlijk zullen ook andere publicaties op basis van dit onderzoek verschijnen. 2d Assurance bij In Control statements Op basis van een praktijkvoorbeeld wordt onderzoek gedaan naar een mogelijke Nederlandse standaard en/of praktijkhandreiking voor het geven van Assurance over een In Control statement van het management, waarbij eerst wordt nagegaan in hoeverre Assurance is gewenst. Dit deelproject zal met name in het eerste halfjaar 2009 tot concrete deliverables leiden. 4.3 Deelproject: Verdeling van rollen en verantwoordelijkheden Om een goed functioneren van de Financial Reporting Supply Chain te waarborgen is het van belang dat de diverse schakels in de keten hecht met elkaar samenwerken. Rollen en taken dienen helder te zijn en nauw op elkaar afgestemd. Dit leidt tot de volgende ‘deliverables’. 3a NIVRA- onderzoek en seminar Bondgenoten op afstand (over de relatie tussen audit commissies en interne accountants) Via deskresearch en interviews met hoofden van Audit Commissies en Internal Audit afdelingen worden best practices geïdentificeerd. Dit deelproject wordt in samenwerking met IIA Nederland uitgevoerd. De uitkomsten van het onderzoek worden gepresenteerd tijdens een seminar (30 september 2008) in het kader van de NIVRA debatcyclus. 3b Onderzoek: samenwerking interne en externe accountants Dit onderzoek dient inzicht te geven in de wijze waarop interne en externe accountants samenwerken. Naar verwachting zullen hieruit ook nieuwe inzichten voortkomen als het gaat om Assurance rondom In Control statements (zie 2d)en het proces van risicomanagement. Dit deelproject wordt eveneens in samenwerking met IIA Nederland uitgevoerd. De resultaten zullen in het najaar 2008 gepubliceerd worden. 4.4 Deelproject: Gedrag en cultuur Een adequate risicobeheersing kan alleen gedijen op een goede voedingsbodem. Cultuur en gedrag vormen essentiële voorwaarden voor een juiste toepassing van regels en procedures. 4 Onderzoek naar soft controls aan de top (waaronder integriteit) Er is een startnotitie opgesteld naar aanleiding van een brainstormsessie. Deze notitie zal verder worden uitgewerkt in concrete vervolgstappen. Een van deze stappen betreft een VERA cursus Auditen van soft controls ontwikkeld die zeer goed wordt bezocht
Kernproject risicomanagement
5
en die in 2008 verder wordt geoptimaliseerd mede n.a.v. laatste inzichten en evaluaties deelnemers. Tevens participeert het NIVRA in een promotie onderzoek van de Rijks Universiteit Groningen waarin o.a. instrumenten worden ontwikkeld ten behoeve van de evaluatie van Raden van Commissarissen en Bestuur. Naar verwachting zullen in de tweede helft van 2009 de eerste resultaten bekend zijn. In het najaar 2008 wordt een ronde tafelbijeenkomst georganiseerd over de gedragsmatige aspecten van interne beheersing. 4.5 Deelname in externe organen/projecten Het NIVRA participeert o.a. in 2 FEE-projecten: • Assurance on Corporate Governance • Audit Committees and the relation with the auditor. Tevens neemt NIVRA neemt deel aan de Nederlandse normcommissie die een belangrijke rol speelt in de totstandkoming van de internationale norm voor risicomanagement: ISO 31000.
5. Risico’s en voortgangsbewaking In elk project zijn risico’s te onderkennen. Ze hangen samen met de kritische succesfactoren. Om de risico’s te beheersen is een goede voortgangsbewaking nodig. Hieronder worden de belangrijkste risico’s genoemd en de bijpassende beheersingsmaatregelen: 1. Het onderzoeksterrein van het project wordt te breed, en/of te versnipperd waardoor binnen de projectperiode geen concrete eindproducten opgeleverd worden. Tijdens het project overlegt de projectleider periodiek met het verantwoordelijke MT-lid. Ook de Adviesgroep Corporate Governance speelt hierin een belangrijke rol. 2. Het kernproject levert onvoldoende toegevoegde waarde op, waardoor de beoogde discussie niet van de grond komt. Er worden een producten opgeleverd waarop niemand zit te wachten. Om dit te voorkomen is een goede communicatie met de stakeholders nodig. Hierdoor wordt commitment bereikt en zijn zij bereid om actief aan het kernproject deel te nemen. Zoals hierboven vermeld speelt de Adviesgroep Corporate Governance hierin een belangrijke rol. 3. Het project loopt vertraging op door capaciteitsgebrek. Dit is vooral afhankelijk van de beschikbare bureaucapaciteit. Het is belangrijk om te werken met een relatief kleine projectgroep.
6. Samenhang met andere kernprojecten Voor 2008-2009 zijn acht kernprojecten benoemd binnen twee hoofdthema’s. Het Kernproject Risicomanagement valt binnen het hoofdthema Het maatschappelijk debat (activiteiten ten behoeve van de samenleving en het beroep). Er bestaan raakvlakken met de volgende thema’s/projecten:
6
Koninklijk NIVRA
• Verantwoording en Assurance van niet-financiële informatie. In het maatschappelijk verkeer bestaat een toenemende behoefte aan verantwoording en assurance van niet financiële informatie. In dit project wordt onderzocht op welke wijze accountants invulling kunnen geven aan deze behoefte. • Innovatie en ontwikkeling. Het opstellen van een conceptueel kader voor de verantwoording en assurance van niet-financiële informatie zoals bijvoorbeeld een In Control Statement is een voorbeeld van innovatie. Voorkomen moet worden dat dubbeling optreedt en dat visies of standpunten van elkaar gaan afwijken. Hier ligt een rol voor het MT. De verantwoordelijke MT-leden kunnen erop toezien, dat de onder hun verantwoordelijkheid vallende kernprojecten met elkaar in de pas lopen. De betreffende projectleiders zullen periodiek of ad-hoc overleg met elkaar moeten hebben.Dit betreft minimaal het kennisnemen van elkaars projectplannen en concept publicaties.
7. Commitment en communicatie Het belang van commitment en communicatie is op diverse plaatsen in dit projectvoorstel aan de orde geweest. Ook zijn al een aantal acties benoemd. Dit hoofdstuk geeft een kort overzicht van de belangrijkste maatregelen: 1. Vanaf de start moet het kernproject (doel en eindproducten) naar buiten gecommuniceerd worden. Dit betreft zowel algemene bekendheid in het kader van de NIVRA kernthema’s 2008-2009, als gerichte communicatie naar de stakeholders/doelgroepen van dit kernproject. Te denken valt aan: • Het inrichten van een speciale, direct toegankelijke webpagina over het project; • Nieuwsberichten in De Accountant en nog te selecteren (vak)bladen; • Vermelding in het digitale NIVRA Nieuws en op Accountant.nl; 2. Het instellen van een klankbordgroep. Deze groep treedt niet sturend op, maar dient vooral als sparring-partner tijdens het project. De aansturing van het project blijft in handen van het NIVRA bestuur (op hoofdlijnen) en het verantwoordelijke MT-lid (directe aansturing). De reeds eerder genoemde Adviesgroep Corporate Governance zal deze rol vervullen.
8. Planning van capaciteit en middelen Projectplanning De diverse deelprojecten worden via het NIVRA Project Management Systeem bewaakt en gevolgd. Per deelproject is een globale planning bepaald. Capaciteit en middelen De benodigde capaciteit en middelen bestaan uit twee onderdelen: de benodigde capaciteit in manuren en het beschikbare financiële budget. Aan bureaucapaciteit is ongeveer 1 FTE nodig (0,6 FTE projectleider, Johan Scheffe, en 0,4 FTE voor ondersteuning/begeleiding). Het financiële budget betreft de kosten voor: promotie onderzoek RUG, eventueel marktonderzoek, uitgeven en vertalen Discussion paper, communicatie en het organiseren
Kernproject risicomanagement
7
van de ronde tafel bijeenkomsten. De kosten hiervan volgens een eerste indicatieve schatting bedragen ca. € 70.000.
8
Koninklijk NIVRA
