De meeste Nederlandse beursgenoteerde ondernemingen hebben het risico van een pandemie onderschat of zelfs genegeerd. Dat concludeert KPMG uit een analyse van jaarverslagen. ‘Niet-financiële aspecten worden te weinig gekoppeld aan financiële risico’s.’
Wim Bartels spitte namens KPMG de risicoparagrafen in jaarverslagen door van alle AEX-fondsen. Een pandemie wordt door maar 7 van de 25 fondsen daadwerkelijk als risico benoemd.
Vooral traditionele risico’s
In de risicoparagraaf van het jaarverslag beschrijven de bedrijven met name de traditionele risico’s die zij lopen, zoals de financiële, de juridische en de marktrisico’s. ‘Niet-financiële factoren zijn echter in toenemende mate bepalend voor de waardecreatie van ondernemingen’, zegt Wim Bartels, partner bij KPMG Corporate Value in Control. ‘Het zijn in toenemende mate externe, immateriële factoren die het succes van een onderneming kunnen raken, zoals de klimaatverandering of uitbreken van een pandemie. Omdat we wereldwijd op een aantal terreinen grenzen bereiken, zoals de uitstoot van stikstof, de beschikbaarheid van water en de sociale ongelijkheid, komen er steeds meer van deze externe factoren bij. Factoren die vaak op de langere termijn spelen, maar op korte termijn een financieel risico kunnen betekenen. Langetermijnrisico’s die buiten de onderneming ontstaan, kunnen een belangrijke bedreiging vormen als een onderneming niet tijdig of snel genoeg schakelt.’
Cyberrisico niet zelfstandig als risico benoemd
Maar 40% van de bedrijven die aan de Amsterdamse AEX genoteerd zijn, rapporteert expliciet over de klimaatverandering als individueel risico in de risicoparagraaf van het jaarverslag. Cybersecurity wordt door alle ondernemingen een risico genoemd. ‘Maar bij bijna de helft vormt het risico van cybersecurity onderdeel van een ander risico, zoals het IT-risico.’ De risico’s die een pandemie met zich meebrengt, wordt door niet meer dan zeven van de 25 fondsen benoemd in het jaarverslag.
Ondernemingen rapporteren bijna 450 risico’s, blijkt uit het onderzoek. ‘We hebben gekeken naar de mate waarin de bedrijven inzicht geven in de risico’s op de korte en de lange termijn, de prioriteitstelling van de risico’s en de mate waarin het risico specifiek is beschreven. Dit levert inzicht in de kwaliteit van het proces en de rapportage. Veel risico’s die in de risicoparagraaf worden benoemd, gaan over de drie traditionele onderwerpen. De financiële, de juridische en de marktrisico’s zijn goed voor bijna 40% van alle risico’s die wij hebben geïdentificeerd.’
Horizon maar drie jaar
De beschrijving van een risico bevat in essentie een specifieke gebeurtenis, de mogelijke impact daarvan op de organisatie en het financiële resultaat daarvan. ‘Veel van de gerapporteerde risico’s gaan echter niet over bedreigingen die specifiek zijn voor de organisatie. Bij ongeveer de helft van de ondernemingen zagen we in ieder geval voor een deel generieke risico’s terug, zoals het risico dat wet- en regelgeving niet wordt nageleefd. Ondanks dat die risico’s waar en relevant voor de organisatie kunnen zijn, zijn ze op zo’n manier geschreven dat ze op elke mondiale organisatie van toepassing kunnen zijn.’ En dat biedt weinig inzicht aan stakeholders. ‘Bovendien worden vooral kortetermijnrisico’s gerapporteerd. Traditioneel kijken ondernemingen voor hun risicomanagement niet verder dan een horizon van één tot drie jaar. Van de bijna 450 geïdentificeerde risico’s is slechts 4% expliciet gekoppeld aan de lange termijn. Bijna 80% geeft geen inzicht in de termijn waarop ze de risico’s hebben beschouwd. Dat maakt het voor stakeholders heel lastig om zich een gedegen indruk te vormen. Voor bedrijven is vooral de vraag of ze voorbereid zijn op de gebeurtenissen met een kleine kans maar een grote impact.’
Specifieker rapporteren
Bedrijven moeten volgens Bartels veel specifieker gaan rapporteren, verder vooruit kijken en duidelijker prioriteiten aanbrengen. ‘Het is niet nu niet altijd duidelijk hoe belangrijk een bepaald risico is ten opzichte van de anderen. Met gemiddeld 18 risico’s per bedrijf is het dan moeilijk te beoordelen waar beleggers en andere stakeholders het meest op moeten letten. En door de beperkte tijdshorizon blijven sommige belangrijke risico’s nu onderbelicht. Bovendien zijn de bepaling van materiële onderwerpen voor MVO-rapportage en het risicoproces nu veelal gescheiden, waardoor niet-financiële effecten die een financieel risico kunnen vormen niet in de risicoparagraaf terechtkomen.’
Scenario’s schetsen
Bartels vindt niet dat accountants een grote rol moeten hebben in de risico-inschattingen, stelt hij in het FD. ‘Het is aan de onderneming zelf om te voldoen aan de eisen die gesteld worden. Zij moeten zelf intern de risico’s op orde hebben, en daarover op de juiste manier rapporteren. De accountant kan alleen bekijken of dat overeenkomt.’ Hij dekt dat er meer scenario’s moeten worden geschetst: ‘Dus letterlijk beschrijven welke oplossing je ziet als X of Y gebeurt. Zit je in een gebied waar steeds vaker overstromingen voorkomen? Beschrijf maar welke oplossingen je kiest en waarom.’
Beleggers willen meer samenhang
Beleggersorganisatie Eumedion laat aan het FD weten dat het voor beleggers onvoldoende duidelijk is welke risico’s het meest materieel voor een onderneming zijn. ‘Voor een belegger is het echter minstens zo belangrijk dat ondernemingen ook goed uitleggen op welke wijze zij denken op lange termijn waarde te kunnen blijven creëren.’ Eumedion zou wel meer samenhang willen zien in jaarverslagen: ‘Het ontbreekt in de verslaggeving nog te vaak aan de koppeling tussen wat de belangrijkste stakeholders als belangrijkste onderwerpen zien en de strategische prioriteiten van een onderneming, de bijbehorende risico’s, de doelstellingen en de uiteindelijke resultaten.’
Geef een reactie