Worstelen met transparantie

Heldere risicoverslaglegging creëert waarde

Door Marinus de Pooter en Cees Visser *

Er is een natuurlijke weerstand om aan hen aan wie je verantwoording ‘schuldig’ bent transparant te zijn over de risico’s die voorliggen. Daarnaast blijken bestuurders in de praktijk nog veel vragen te hebben rondom verslaggeving over risico-management.

Hoogwaardige verslaggeving over risicomanagement is goed voor een organisatie. Belanghebbenden stellen informatie over risico’s en de manier waarop een organisatie deze risico’s beheerst zeer op prijs.

Bovendien dwingt heldere rapportage het bestuur om risico’s en beheerssystemen duidelijk op een rijtje te zetten – een goed uitgangspunt voor verbetering van het risicomanagement. Bestuurders kunnen waarde creëren door positief invulling te geven aan nieuwe regels en codes die aanzetten tot goede risicorapportage. Internationaal geharmoniseerde standaarden voor risicorapportage kunnen heldere verslaggeving verder bevorderen.

Verwachtingen managen
Beleggers beseffen dat ondernemin-gen slechts winst kunnen maken, als zij bewust bepaalde risico’s nemen: ‘no risk, no reward’. Omdat rendement en risico onlosmakelijk met elkaar verbonden zijn, verwachten beleggers over beide onderwerpen goede informatie.

Op vergelijkbare wijze staat in de publieke sector de realisatie van geformuleerde doelstellingen bloot aan risico’s. Belanghebbenden hebben geen hekel aan goed omschreven risico’s die ze begrijpen, ook al dragen die risico’s bij tot de volatiliteit van de beoogde uitkomsten.

Ze hebben wel een broertje dood aan onverwacht opduikende risico’s die de organisatie niet of slechts zeer vaag omschreven had. Zeker als die risico’s leiden tot forse financiële tegenvallers die als een donderslag bij heldere hemel komen.

Expliciete aandacht voor risico’s in de externe verslaglegging van een organisatie vormt een zeer efficiënt middel om aan de behoefte van belanghebbenden aan informatie over risicoprofiel en risicomanagement te voldoen. tegelijk stelt deze rapportage de organisatie in staat om de verwachtingen.

Van toezichthouders en andere belanghebbenden over de resultaten en hun volatiliteit te managen. Eventuele fluctuaties in de gewenste realisatie van de doelstellingen komen dan voor hen minder onverwacht.

Risicoverslaggeving werpt vruchten af
Verslaggeving over risico’s hangt samen met de kwaliteit van het risicomanagement bij organisaties en draagt bij aan de verbetering ervan. Hoogwaardige risicoverslaggeving door bestuurders vereist dat zij zich eerst een betrouwbaar beeld vormen van de belangrijkste risico’s en van de effectiviteit van de interne beheersmaatregelen om deze risico’s te verminderen. deze nieuwe inzichten vormen vaak de basis voor verbeteringen in het risicomanagement systeem.

Doorgaans ontdekken organisaties bij een inventarisatie van hun risico’s diverse ‘low hanging fruits’ en kunnen zij met een relatief geringe inspanning de blootstelling aan bepaalde risico’s fors verminderen.

Bedrijven, overheidsinstanties en andere publieke organisaties kunnen niet meer om goede risico-verslaggeving heen. Recent is de Europese transparantierichtlijn van kracht geworden. Deze Richtlijn beoogt een grotere mate van consistentie en transparantie te bereiken in de externe verslaggeving van beursfondsen. Daarmee wil de Richtlijn een dubbel doel bereiken: een betere bescherming van beleggers en een efficiëntere markt. De jaarlijkse financiële verslaggeving dient een risicoparagraaf te bevatten met een beschrijving van de voornaamste risico’s en onzekerheden waarmee de uitgevende instelling te maken heeft. Het bestuur dient door
middel van een bestuursverklaring expliciet te bevestigen, dat in het jaarverslag de wezenlijke risico’s zijn beschreven waarmee de onderneming wordt geconfronteerd. Corporate governance codes verlangen doorgaans dat het bestuur in het jaarverslag niet alleen de belangrijkste risico’s beschrijft, maar ook het functioneren van de systemen om deze risico’s te beheersen.

Positieve benadering
Bestuurders doen er goed aan om op positieve wijze invulling te geven aan de relevante bepalingen in de corporate governance codes.
Goed risicomanagement – inclusief goede verslaggeving – levert immers voor ondernemingen een concurrentievoordeel op en creëert waarde. Ook voor bestuurders van non-profit organisaties zorgt goed risicomanagement voor meer vertrouwen bij toezichthouders en andere belanghebbenden. Niettemin valt er terughoudendheid te bespeuren om in de jaarrekening te rapporteren over risicomanagement. Dit kan bijvoorbeeld liggen aan de onwil van bestuurders om de belanghebbenden een extra referentiekader te geven – te weten ‘risicomanagement’ – op basis waarvan deze dan hun bestuurlijke prestaties kunnen beoordelen.

Goede bestuurders hoeven echter niet bang te zijn voor extra parameters of meetpunten. In tegenstelling tot wat vaak gedacht wordt kan goede, transparante rapportage over risico’s bestuurders beschermen tegen aansprakelijkheid. Door de toenemende juridisering van de samenleving zijn bestuurders beducht te worden aangesproken op door hen gerapporteerde risico’s en beheersmaatregelen. Hier kan echter tegen worden ingebracht dat transparantie vooraf juist een uitstekende verdediging is.

Het (top-)management is hoe dan ook eindverant-woordelijk voor het zorgvuldig beheersen van de organisatierisico’s. Het duidelijk communiceren naar belanghebbenden waar de specifieke risico’s liggen, hoe het management de risico’s probeert te beheersen en welke invloed de risico’s op de resultaten kunnen hebben, vermindert juist het risico van bestuurdersaansprakelijkheid. Belanghebbenden hebben dan namelijk geen goede grond om (achteraf) te claimen dat zij niet adequaat zijn geïnformeerd over de relevante risico’s.

Betere risicoverslaggeving
In de praktijk worstelen organisaties en hun bestuurders met tal van vragen rond de verslag-geving over risico’s en risicomanagement (zie kader ‘Worstelen met transparantie’). Het verdient aanbeveling om bij de opzet van risicoverslaggeving in jaarverslagen (de ‘risicoparagraaf’) duidelijk de elementen uit de managementcyclus te volgen: planning, uitvoering, controle en bijsturing (‘plan, do, check, act’).

Dit resulteert in de volgende opbouw:

  • Een beschrijving van de strategie van de organisatie, de geformuleerde doelstellingen, het daarbij behorende risicoprofiel en informatie over de risicobereidheid van het bestuur.
  • Een beschrijving van de aanwezige risicomanagement- en interne beheerssystemen.
  • De verantwoording over het gevoerde risicobeleid, de werking van de beheersmaatregelen, tekortkomingen in de interne beheersing, incidenten, etc. in de verslagperiode.
  • De eventuele bijstelling van de doelstellingen en geplande acties ter verbetering van de interne beheersing.

Nadere, liefst internationale, richtlijnen op het gebied van risicoverslaggeving zouden zeker bijdragen aan meer helderheid voor zowel de opstellers als de gebruikers van deze informatie. Uiteraard is dit zeker geen eenvoudig noch snel proces. Op Europees niveau zijn met de genoemde Richtlijn weer enkele voorzichtige stappen tot harmonisatie gezet; geen overbodige luxe gezien de belangrijke verschillen in nationale regelgeving binnen de Eu. Ook de Internationale Organisatie voor standaardisatie (IsO), een samenwerkingsverband van 156 nationale standaardisatieorganisaties, werkt momenteel aan richtlijnen op het gebied van risicomanagement. Naar verwachting zal er een proces van harmonisatie van standaarden ontstaan. naar analogie met de ‘International financial Reporting standards’ (IfRs) zouden dat dan de ‘International Risk Reporting standards’ (IRRs) kunnen worden. Deze zullen ook effecten zullen hebben op de verslaggeving voor non-profit organisaties.

De beoogde internationale harmonisatie zal zich waarschijnlijk richten op de kwaliteitseisen die aan risicorapportages worden gesteld en niet op hun woordelijke inhoud. Deze standaarden zouden bijvoorbeeld kunnen aandringen op een duidelijker verband in de verslaggeving tussen uiteenzetting van strategie en risicoprofiel enerzijds en verantwoording over het gevoerde risicomanagement anderzijds.

Samenvatting en conclusies
Bij risicoverslaggeving draait het om het goed managen van verwachtingen. Bij ondernemingen draagt openheid over de volatiliteit van de resultaten en inzicht in de kwaliteit van de interne beheersing bij tot verlagen van de vermogenskosten en daarmee tot het verhogen van de waarde. Het is bovendien aannemelijk dat daardoor ook het risicomanagement op zich verbetert, wat uiteraard eveneens bijdraagt aan de waardecreatie door de onderneming.

Het goed managen van verwachtingen geldt evenzeer in de publieke sector. Vanwege de belangrijke rol van de kaderscheppende begroting ligt daar extra nadruk op het verhelderen van de gemaakte keuzen ten aanzien van de organisatiedoelstellingen. Deze laatste zijn immers gericht op het creëren van waarde voor de verschillende belanghebbenden.

In de praktijk worstelen organisaties en hun bestuurders nog met tal van vragen aangaande rapportage over risico’s en risicomanagement. Wereldwijde standaarden voor risicoverslaggeving zouden hier duidelijkheid kunnen brengen.Vertrouwen van belanghebbenden stoelt op hun geloof in de integriteit van de bestuurders en de bijbehorende eerlijke informatieverschaffing. Regelmatige, goed gestructureerde informatie over risico’s en beheersingsmaatregelen, over verwachtingen en uitkomsten, zal daar zeker aan bijdragen.

* Ernst & Young