Onderwijsrisico's in beeld

Nieuwe verslagleggingregels stellen hieraan sinds 2008 nadere specifieke eisen voor de onderwijssector. Uit recent wetenschappelijk onderzoek blijkt dat risicoverslaglegging door onderwijsinstellingen nog in de kinderschoenen staat. Er moeten op dit terrein door bestuurders en raden van toezicht dus nog de nodige meters gemaakt worden.

Onderwijsinstellingen moeten sinds het boekjaar 2008 in het jaarverslag transparanter rapporteren over de risico’s die ze lopen en de wijze waarop de instelling in-control is. Deze verplichting vloeit voort uit de nieuwe Regeling Jaarverslaggeving Onderwijs (RJO) van 28 december 2007 en de daaraan gekoppelde Titel 9 Boek 2 BW en Richtlijn voor de jaarverslaggeving 660 (RJ 660). Recent onderzoek (Vos e.a., 2010) stelt echter dat meer dan de helft van de onderwijsinstellingen deze informatie nog niet heeft opgenomen in de jaarverslagen 2008. Risicoverslaglegging door onderwijsinstellingen staat nog in de kinderschoenen.

Toezien op, en verantwoording afleggen over risico’s staat niet alleen in de commerciële sector, maar inmiddels ook in de publieke sector en specifiek in onderwijsland steeds meer in de schijnwerpers. Dit komt overigens niet alleen door de nieuwe verslaggevingeisen. Immers, ook de onderwijssector ontkomt niet aan de gevolgen van de kredietcrisis: een maatschappij die steeds meer risico-avers lijkt te worden en vraagtekens die in de publieke opinie en politiek worden gezet bij het functioneren van de governance, inclusief het toezicht daarop. Raden van toezicht en raden van bestuur worden zowel collectief als individueel door de overheid en andere belanghebbenden (stakeholders) sneller aangesproken op hun verantwoordelijkheden. Daarbij komt tevens dat onder andere nieuwe (Europese) subsidievoorwaarden meer en meer eisen stellen aan de kwaliteit van de interne beheersing van de onderwijsinstellingen. De onderwijsgovernancecodes die de afgelopen jaren geïntroduceerd zijn, maken – in uiteenlopende vormen – de verantwoordelijkheden van de raad van bestuur en de raad van toezicht voor risicomanagement veel explicieter dan voorheen. Kortom, risico’s en risicobeheersing en de verslaggeving erover, staan ook in de onderwijssector in de schijnwerpers.

Voor de meeste onderwijsinstellingen is risicoverslaglegging een relatief nieuw fenomeen. Opstellers van jaarverslagen, bestuurders, leden van de raad van toezicht en andere gebruikers staan dan ook voor het zoeken van antwoorden op de volgende vragen:

• Wat houdt risicoverslaglegging in het jaarverslag in?
• Wat zijn de formele, wettelijke eisen die worden gesteld aan de risicoparagraaf in het jaarverslag?
• Welke praktische handvatten zijn er om een risicoparagraaf op te stellen?

Deze vragen en de antwoorden erop staan centraal in dit artikel.

Onderwijsrisico’s onder vergrootglas
De externe verantwoording en verslaggeving over risico’s en risicomanagement, kortweg risicoverslaglegging, staat in zowel de commerciële als de publieke sector in de schijnwerpers door corporate-goverancevoorschriften en door een groeiende vraag van belanghebbenden naar meer transparantie over de strategische doelstellingen, bedrijfsrisico’s, de risicohouding en interne beheersing. Maar wat is nu precies risicoverslaglegging of in-controlverantwoording?

Regelmatig zien wij dat in de praktijk langs elkaar heen wordt gesproken, omdat het onderwerp op verschillende manieren wordt geïnterpreteerd en uitgelegd. In onze benadering bestaat risicoverslaglegging uit drie componenten die met elkaar samenhangen:

1. Risicoprofiel
   Het risicoprofiel van de organisatie is een uiteenzetting van de belangrijkste operationele, strategische, financiële en wet- en regelgevingrisico’s, waaraan een organisatie blootstaat.
2. Beschrijving risicomanagementsysteem
   De beschrijving van het risicomanagementsysteem is de uiteenzetting van de karakteristieken van het organisatiespecifieke systeem van risicomanagement, waarmee de bedrijfsrisico’s worden beheerst.
3. In-controlverklaring
   De in-controlverklaring (ook wel ‘in-control statement’, ICS, genoemd) is een uitspraak van de organisatieleiding over de opzet/ het bestaan en/of de werking van het beschreven (deel)systeem van risicomanagement/interne beheersing en/of de betrouwbaarheid van het risicoprofiel.

In figuur 1 is de samenhang tussen de drie componenten schematisch weergegeven. Deze benadering kunnen organisaties zowel in hun externe, als in hun interne verslaglegging hanteren.

Figuur 1. Componenten van rapporteren over risico's en risicomanagement

Transparant zijn over risico’s en in-control
Met ingang van 1 januari 2008 is RJ 660 ‘Onderwijsinstellingen’ (hierna RJ 660) van kracht. De daarin opgenomen nieuwe jaarverslaggevingregels stellen nieuwe eisen aan de transparantie in het jaarverslag over risico’s en het ‘in-control’ zijn van de onderwijsinstelling. Deze eisen gelden uniform voor alle deelsectoren (zoals wo, hbo, mbo, vo, po) binnen het onderwijs.

Via de RJO dienen onderwijsinstellingen ook te voldoen aan Titel 9 Boek 2 BW. Derhalve is ook artikel 391 lid 1 BW2:9 van toepassing, waarin over risicoverslaglegging het volgende is voorgeschreven: “Het jaarverslag geeft tevens een beschrijving van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd.” RJ 400.109 herhaalt dit nog eens en RJ 660.403, de richtlijn die specifiek betrekking heeft op onderwijsinstellingen, stelt in aanvulling daarop: ”Het jaarverslag geeft een zo volledig mogelijk beeld van alle van invloed zijnde interne en externe ontwikkelingen.” Het is dus wettelijk verplicht om een risicoprofiel met daarin de beschrijving van de voornaamste strategische, financiële, operationele en compliancerisico’s op te nemen in het jaarverslag.

Voor de risico’s die verbonden zijn aan het gebruik van financiële instrumenten, gelden daarnaast specifieke transparantievereisten. Zo stelt RJ 400.111 dat door het hanteren van financiële instrumenten als hulpmiddelen ter afdekking van financiële risico’s, risico’s kunnen ontstaan. De rechtspersoon besteedt in het jaarverslag op grond van artikel 2:391 lid 3 BW aandacht aan de doelstellingen en het beleid op het gebied van risicobeheer, inzake het gebruik van financiële instrumenten en het beheer van deze risico’s. Hij moet onder meer aandacht besteden aan het beleid inzake de afdekking van de risico’s die verbonden zijn aan alle belangrijke soorten voorgenomen transacties. Voorts moet de rechtspersoon aandacht besteden aan de prijs-, krediet-, liquiditeitsen kasstroomrisico’s die hij en zijn groepsmaatschappijen hebben gelopen.
Ook dient de rechtspersoon volgens RJ 660.406 de aanwezige risicobeheersings- en controlesystemen te beschrijven waarmee hij zijn risico’s beheerst.
Immers, RJ 660.406 schrijft voor dat het bestuur in het jaarverslag verslag doet over de aanwezigheid en werking van het interne risicobeheersings- en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en in hoeverre een en ander met het, indien aanwezig, toezicht belaste orgaan is besproken.

Ten aanzien van een eventuele in-controlverklaring door onderwijsinstellingen gelden geen specifieke wettelijke voorschiften of RJ -bepalingen. Voor deze groep is de in-controlverklaring dus niet verplicht, wat ook OCW (2008) heeft onderkend. OCW (2008) stelt het volgende: “Als het bestuur van mening is dat de interne beheersings- en controlesystemen adequaat zijn, kan zij een zogeheten ‘in-control statement’ opstellen en in het jaarverslag opnemen (niet verplicht dus).”

In 2008 is de Nederlandse Code Corporate Governance, zoals die voor beursgenoteerde naamloze vennootschappen geldt, geactualiseerd. Hierin staat dat beursgenoteerde ondernemingen, naast het risicoprofiel en de beschrijving van het risicomanagementsysteem, tevens een in-controlverklaring moeten opnemen over de effectieve werking van de interne beheersingsmaatregelen rondom de financiële verslagleggingrisico’s. Een dergelijke bepaling komt (nog) niet terug in de verschillende onderwijsgovernancecodes zoals die nu van toepassing zijn voor de deelsectoren.

Figuur 2 bevat een samenvatting van de van toepassing zijnde wet- en regelgeving op elk element van de risicoparagraaf en het spectrum van risico’s waarop de verslaglegging betrekking heeft.

Figuur 2. Overzicht regelgeving risicoverslaglegging in het jaarverslag onderwijsinstelling

Er zijn naast bovenstaande wet- en regelgeving geen specifieke voorschriften of guidance over de nadere inhoud en vorm van de risicoparagraaf. Ook de nieuwe ontwerprichtlijn voor RJ 400 geeft geen echt vergaande guidance. Dat stelt opstellers dus voor een uitdaging. Daarom beschrijven we in dit artikel een aantal praktische handvatten voor het opstellen van de risicoparagraaf.

Accent op interne toezicht en rapportage
De wijze waarop in de verschillende onderwijsgovernancecodes het rapporteren over risico’s en risicobeheersing in het jaarverslag terugkomt, is niet echt consistent te noemen. In de onderwijsgovernancecode voor het vo is in artikel 21 bepaald dat de instelling, voor wat betreft de risico’s die, gemeten naar waarschijnlijkheid en impact, een wezenlijk effect kunnen hebben op het realiseren van haar doelstellingen, informatie verstrekt aan haar belanghebbenden over de aard van de risico’s en de te nemen beheersmaatregelen. Deze bepaling kan worden gezien als een nadere precisering van de wettelijke eis voor het risicoprofiel. De branchecode governance voor hbo stelt in best pratice II .1.5: “In het jaarverslag geeft het college van bestuur inzicht in de interne risicobeheersing- en controlesystemen”, welke bepaling dus minder specifiek is dan RJ -bepaling 660.406. De andere codes geven (vooralsnog) geen nadere externe transparantievereisten rondom risico’s en risicomanagement.

In de meeste codes komen overigens wel de verantwoordelijkheden voor risicomanagement van het bestuur en het toezicht daarop door de raad van toezicht/ auditcommissie aan de orde. Maar consistent is die uitwerking zeker niet. Het valt echter buiten het bestek van dit artikel om dat nader uit te werken. Wi volstaan hier met de opmerking dat de branchecode voor hbo op dit terrein nog het meeste aansluit met de Nederlandse Code Corporate Governance.
Hoewel het accent in dit artikel ligt op de externe verantwoording, benadrukken we hier nog maar eens, dat het interne toezicht op, en het intern rapporteren over risico’s en de effectieve werking van de aanwezige risicomanagementsystemen minstens net zo belangrijk zijn als de externe rapportage daarover in het jaarverslag. Immers, zonder een degelijke onderbouwing en interne evaluatie wordt risicoverslaglegging een nieuwe risicofactor op zichzelf.

Risicoverslaglegging onderwijsinstellingen in de kinderschoenen
Slechts enkele wo-instellingen nemen in hun jaarverslag 2008 een expliciet risicoprofiel op. Dat toont ons eigen benchmarkonderzoek naar de risicoparagrafen in de jaarverslagen 2008 aan. Voorbeelden van risico’s die wo-instellingen noemen, zijn wet- en regelgeving, politieke, studenteninstroom (kwalitatief en kwantitatief), volumeontwikkeling (studierendement), wetenschappelijke prestaties, ontwikkeling rijksbijdrage, ontwikkeling tweede en derde geldstroom, huisvestingskosten, kostenontwikkeling en liquiditeitsrisico’s. Als voorbeeld verwijzen we hier naar het risicoprofiel in het jaarverslag 2008 van de Universiteit van Amsterdam.

Uit het wetenschappelijk onderzoek naar de jaarverslaggeving 2008 van Vos e.a. (2010) blijkt dat minder dan 40% van de wo-, hbo- en vo-instellingen informatie over de aanwezige risicobeheersings- en controlesystemen is opgenomen. Bij mbo-instellingen ligt dit percentage iets hoger. Bij po-instellingen ligt dit percentage op 72%, waarbij de onderzoekers aantekenen dat dit te verklaren is doordat deze instellingen relatief vaak het jaarverslag door een administratiekantoor, dat een standaardmodel hanteert, laten verzorgen. Voor voorbeelden van risicomanagementbeschrijvingen in de jaarverslagen 2008 verwijzen we naar die van Erasmus Universiteit en de Universiteit van Twente.

De wo-instellingen nemen geen formele in-controlverklaring op, zo stellen Vos e.a. [2010]; het is ook niet verplicht, zoals we al eerder bespraken. 6% van de gevallen geeft overigens wel oordelen over de werking van de risicomanagementsystemen. Een voorbeeld van een brede in-controlverklaring is terug te vinden in het jaarverslag 2008 van Wageningen UR. Deze universiteit stelt: “Alles overziend zijn wij als Raad van Bestuur van mening dat het systeem van interne sturing van Wageningen UR met de interne risicobeheersings- en controlesystemen in 2008 afdoende heeft gewerkt. De werkprocessen worden zodanig beheerst, dat de organisatie in voldoende mate effectief en efficiënt heeft geopereerd. Naar onze mening is de jaarverantwoording betrouwbaar en is de geldende wet- en regelgeving nageleefd.”

Praktische handvatten voor de risicoparagraaf
De regels voor onderwijsinstellingen zijn helder, de praktijk staat nog in de kinderschoenen. Om opstellers van jaarverslagen in de onderwijssector meer houvast te geven, worden hierna in dit artikel nadere handvatten gegeven over de elementen die de organisatie in de risicoparagraaf kan opnemen. Het zijn attentiepunten die zij kan opnemen; daarbij moet de stijl van de risicoparagraaf vooral passen in de sfeer en stijl van het gehele jaarverslag van de instelling.

Risicoparagraaf deel 1: Het risicoprofiel
Het risicoprofiel geeft een inzicht in de belangrijkste risico’s waarmee de organisatie geconfronteerd wordt en de wijze waarop de organisatie reageert op die risico’s. Dat hoeft overigens niet per definitie te betekenen dat alle risico’s beheerst worden c.q. kunnen worden. Ondernemen is namelijk risico’s nemen; het gaat erom dat de organisatie transparant is over het risicoprofiel. Aangezien risico’s verschillende betekenissen hebben voor verschillende mensen in verschillende landen op verschillende momenten, is het belangrijk dat ze helder geformuleerd worden. Het is daarbij de kunst om het risicoprofiel te beperken tot de belangrijkste risico’s – daar hebben gebruikers behoefte aan – en niet te laten verworden tot lange opsommingen van alle potentiële risico’s.

Hierna is een praktische lijst van mogelijke elementen (richtpunten) opgenomen voor de inhoud van het risicoprofiel in het jaarverslag. De lijst is gebaseerd op een mix van elementen ontleend aan de literatuur en de eigen praktijkervaring in het adviseren van organisaties over risicoverslaggeving.

1. Presenteer een breed, evenwichtig beeld
   Bedek het volledige spectrum van strategische, operationele, financiële, compliance- en financiële verslagleggingrisico’s. Zorg voor een evenwichtig inzicht in elke van deze risicocategorieën, en besteed aandacht aan zowel externe als interne risico's.
2. Wees specifiek in plaats van generiek
   Wees bedrijf- en branchespecifiek en houd rekening met de specifieke regelgeving die van toepassing is.
3. Minder is meer
   Richt u op de voornaamste risico’s voor de organisatie in plaats van alleen een lange lijst van alle mogelijke risico’s te maken, en probeer een prioriteitenvolgorde aan te geven.
4. ‘No risk no fun’ (‘risk appetite’)
   Maak duidelijk wat de risicobereidheid van de organisatie is, omdat dit de toon zet voor de genomen risico’s en gekozen reactie op elk risico.
5. Strategie zet de toon voor risico’s
   Verbind de risico’s aan de strategische doelstellingen van de organisatie, omdat de strategie beeldbepalend is voor de risico’s die een organisatie tegenkomt en neemt.
6. Oorzaak en gevolg komen altijd samen
   Beschrijf voor elk risico welke impact dit kan hebben op de resultaten, reputatie, liquiditeit, strategie en/of andere doelstellingen.
7. Getallen doen ertoe (‘numbers count’)
   Kwantificeer, bijvoorbeeld in de vorm van gevoeligheidsanalyses, de gevolgen van bepaalde risico’s indien dat gebruikelijk en/of mogelijk is in uw branche.
8. Benadruk de reactie op het risico
   Beschrijf voor elk risico hoe het wordt beheerst, verminderd, overgedragen of geaccepteerd.
9. Er is meer dan alleen het risicoprofiel
   Probeer het risicoprofiel te integreren met de andere elementen van de risicoverslaggeving, te weten de beschrijving van het risicomanagementsysteem en – indien van toepassing – de in-controlverklaring.
10. Wees up-to-date
    Zorg ervoor dat u een actueel risicoprofiel laat zien. De economische, sociale en politieke omgeving verandert immers nu zo snel. Zorg er ook voor dat het risicoprofiel in het jaarverslag volledig is afgestemd op het meest actuele risicoprofiel dat intern gebruikt wordt.
11. Accepteer dat sommige dingen fout gaan
    Het maakt niet uit hoe goed een intern-beheersingsysteem is ontworpen; er zullen altijd verstoringen optreden. Wees dus transparant over de belangrijke interne beheersingkwesties en de maatregelen die het management genomen heeft om deze kwesties aan te pakken.
12. Gebruik eenvoudige en heldere taal
    Schrijf op een toegankelijke wijze die lezers goed kunnen begrijpen.

Risicoparagraaf deel 2: De beschrijving van het risicomanagementsysteem
Het tweede deel van de risicoparagraaf bestaat uit de beschrijving van het organisatiespecifieke business-controlraamwerk waarmee de organisatie haar belangrijke risico’s beheerst. Het preciseren van dat raamwerk is juist van belang omdat risicomanagement vele verschijningsvormen en stadia van volwassenheid kent. Bovendien wordt het risicomanagement toegesneden op de strategie, structuur en cultuur van een organisatie. De praktische lijst hieronder geeft mogelijke elementen (richtpunten) voor de inhoud en de beschrijving van de risicomanagementsystemen in het jaarverslag.

1. Definieer de doelstellingen van risicomanagement
   Neem een definitie en de doelstellingen (reikwijdte) van het risicomanagementsysteem op. Maak expliciet welke soorten risico’s (strategisch, operationeel, financieel, compliance, verslaglegging) worden beheerst met het risicomanagementsysteem.
2. ‘No risk no fun’ (‘risk appetite’)
   Benoem de risicohouding van de organisatie omdat die de toon zet voor de soort beheersingsmaatregelen die getroffen zijn.
3. Maak verantwoordelijkheden duidelijk
   Zet uiteen wie welke verantwoordelijkheden heeft voor interne beheersing en risicomanagement.
4. Niet alles is zeker
   Maak expliciet dat het systeem een redelijke mate van zekerheid kan geven, en dus niet de ‘absolute assurance’ betekent.
5. Referentiekader mag niet ontbreken
   Benoem het (organisatiespecifieke) referentiekader met criteria, al dan niet ontleend aan of in overeenstemming met een algemeen geaccepteerd kader (zoals COSO Integrated Internal Control Framework of COSO Enterprise Risk Management, maar ook kwaliteitmodellen als ISO, IN K of EFQM).
6. Articuleer de verschillende bouwstenen van het systeem
   Neem een uiteenzetting op van de belangrijkste bouwstenen van het business-controlraamwerk, zoals de planning & controlcyclus, gedragscodes, committee’s, periodieke business risk assessments.
7. Maak aantoonbaar hoe men weet dat het werkt
   Benoem het evaluatieproces (inclusief methoden en technieken) voor de beoordeling van het risicomanagementsysteem, bijvoorbeeld programma’s van risk & control self assessments, operational en compliance audits.
8. Accepteer dat sommige dingen soms fout gaan
   Beschrijf de geconstateerde belangrijke en/of materiële tekortkomingen en de genomen acties ter verbetering.
9. Toezicht kan niet ontbreken
   Vermeld dat de uitkomsten van beoordeling van de effectieve werking van het systeem zijn besproken met de auditcommissie en/of de gehele raad van toezicht.
10. Erken de inherente beperkingen
    Benoem de inherente beperkingen die verbonden zijn aan de systemen van risicomanagement zoals het niet kunnen voorkomen van alle materiële fouten en fraude als gevolg van samenspanning, kosten-batenafwegingen, ‘verleden geen garantie voor de toekomst’.
11. Niets staat stil
    Beschrijf de eventueel belangrijke aangebrachte of geplande verbeteringen of aanpassingen in het systeem van risicomanagement.

Risicoparagraaf deel 3: De in-controlverklaring
In de regelgeving in de onderwijssector is, zoals eerder aangegeven, in tegenstelling tot de Code Corporate Govenance zoals die voor beursgenoteerde ondernemingen geldt, niet voorzien in de verplichting tot het opnemen van een in-controlverklaring. Indien een instelling toch kiest om een in-controlverklaring op te nemen (een conclusie over de opzet, het bestaan en eventueel de werking van een (deel) systeem van risicomanagement), is de afbakening van de reikwijdte van die verklaring, naast de juiste bewoordingen, een van de meest fundamentele keuzes.
De reikwijdte kan worden getypeerd langs drie dimensies:

1. de soort risico’s: strategische, operationele, financiële, verslaggeving- en/of wet- en regelgevingrisico’s;
2. een conclusie over de effectiviteit van de opzet of het bestaan en/of de werking van het (deel)systeem van risicomanagement;
3. de tijdsperiode of het tijdstip waarop de conclusie betrekking heeft.

In een in-controlverklaring komen de volgende elementen aan de orde:

• het object: het systeem van risicomanagement of interne beheersing in zijn geheel of binnen specifieke bedrijfsprocessen;
• de doelstellingen/reikwijdte in termen van:
  • risicomanagement waarover een effectiviteitconclusie wordt gegeven, bijvoorbeeld een betrouwbare financiële verslaggeving, compliance met wet- en regelgeving;
  • opzet of bestaan en/of werking van het systeem van risicomanagement;
• de verantwoordelijkheden voor het systeem van risicomanagement;
• het referentiekader of de referentiecriteria: een referentie aan het beschreven organisatiespecifieke business-controlraamwerk en eventueel criteria die opgenomen zijn in een algemeen extern referentiemodel zoals COSO Integrated Internal Control Framework;
• het evaluatieproces, eventueel met de vermelding dat de evaluatie van de opzet of het bestaan en de werking uitgevoerd is op basis van externe spelregels dan wel interne spelregels;
• de eventueel geconstateerde materiële en/of belangrijke tekortkomingen en genomen verbeteracties;
• de inherente beperkingen die verbonden zijn aan interne beheersing (zoals samenspanning, fraude, geen garantie over toekomstige werking);
• de mate van zekerheid die wordt verschaft, bijvoorbeeld ‘reasonable assurance’;
• de conclusie over de effectieve opzet of het effectieve bestaan en/ of de werking op enig moment dan wel gedurende een bepaalde periode en in relatie tot de gekozen doelstelling;
• de inherente beperkingen verbonden aan interne beheersing; en
• eventueel een afzonderlijke ondertekening en datering.

Wanneer de instelling materiële of belangrijke tekortkomingen heeft, dan evalueert zij tevens wat de invloed hiervan is op de overall effectiviteitconclusie en de formulering daarvan. Zij kan verschillende formuleringen gebruiken, bijvoorbeeld: ‘alles is goed, met uitzondering van …’ of ‘het systeem is niet effectief want er is sprake van …’.

Gezien de potentiële juridische consequenties (inclusief bestuurdersaansprakelijkheid) van de risicoparagraaf en de in-controlverklaring in het bijzonder, is betrokkenheid van de jurist bij de totstandkoming van de tekst voor het jaarverslag essentieel.

Interne risicoverslaglegging minstens net zo belangrijk
Het hiervoor besproken stramien is zoals eerder gesteld ook bruikbaar voor de interne verslaggeving over risico’s en risicomanagement. In de praktijk verwachten commissarissen/raden van toezicht en de leden van een auditcommissie in het bijzonder, in toenemende mate een duidelijke, compacte, concrete rapportage en verantwoording van de raad van bestuur over de risico’s en de beheersing daarvan.
Visuele rapportageformats in de vorm van ‘risicoprofielen’, inclusief de ontwikkeling daarvan in de tijd, aangevuld met een in-controlverklaring over de uitkomsten van de uitgevoerde beoordeling van de effectieve werking, maken de vorm van risicoverslaglegging tastbaarder en beter bruikbaar. Daarbij is het tevens van belang dat compact kan worden toegelicht op basis van welke bronnen het bestuur voldoende comfort (zekerheid) heeft verkregen om het juiste risicoprofiel te presenteren en te onderbouwen waarom in haar optiek de organisatie in-control is.

Rapporteren over risico’s is een van de instrumenten om risicomanagement blijvend te verankeren op diverse niveaus in de organisatie, bij voorkeur als onderdeel van de reguliere planning & controlcyclus.

De juridische en bestuurdersaansprakelijkheidsrisico’s en de concurrentiegevoeligheid van informatie is in de interne verslaggeving beperkter dan in de externe verslaggeving. Ook is de interne verslaggeving er vooral op gericht verbeteracties te identificeren en te bewaken. De reikwijdte (breedte en diepgang) van de interne risicoverslaggeving is breder of minimaal gelijk aan de risicoparagraaf in het jaarverslag. Ook op lagere organisatieniveaus is het besproken stramien toepasbaar. Voor risicoverslaggeving geldt ‘different accounting for different purposes’.

Conclusie
Risicoverslaglegging (ook wel in-controlverantwoording genoemd) staat ook bij onderwijsinstellingen door veranderingen in risicobeleving in de maatschappij, door de discussie over toezicht en door de gewijzigde wetgeving steeds meer in de schijnwerpers. Bij risicoverslaggeving gaat het om de samenhang van (a) het risicoprofiel, (b) de beschrijving van het risicomanagementsysteem en (c) de eventuele in-controlverklaring.

Zowel de wet als de Richtlijnen voor de jaarverslaggeving en de per 1 januari 2008 van kracht geworden RJ 660 in het bijzonder, hebben vereisten over risicoverslaglegging opgenomen. Uit recent wetenschappelijk onderzoek naar de jaarverslagen 2008 blijkt echter dat risicoverslaglegging door onderwijsinstellingen nog in de kinderschoenen staat.

In dit artikel hebben we praktische handvatten aangedragen die gebruikt kunnen worden bij het opstellen en beoordelen van de risicoparagraaf in zowel de interne als externe verslaglegging. De beschreven handvatten voor de risicoparagraaf in het jaarverslag – bestaande uit het risicoprofiel, de beschrijving van het risicomanagementsysteem en de eventuele in-controlverklaring – helpen opstellers in het aanscherpen van de risicoparagraaf in het jaarverslag. Dit alles met als doel de belanghebbenden transparant en concreet te informeren over de ondernemingsrisico’s, de risicohouding en de wijze waarop de organisatie met die risico’s omgaat. Het is daarbij wel de kunst om in een tijd waarin we de lengte van jaarverslagen en jaarrekeningen alleen maar zien toenemen, niet te vervallen in pagina’s met lange beschouwingen en beschrijvingen. Onderwijsorganisaties moeten de risicoparagraaf concreet, duidelijk en compact houden.

De aandacht voor risicoverslaglegging door onderwijsinstellingen zal de komende periode naar onze overtuiging alleen maar toenemen. Het is een onderwerp dat de komende tijd veel vaker op de agenda zal staan van onder meer de raad van toezicht, de raad van bestuur, financieel directeur, controller, en bedrijfsjurist.

Ten slotte: het raamwerk en de praktische handvatten voor risicoverslaglegging zoals beschreven in dit artikel, kunnen vanzelfsprekend ook door andere organisaties en sectoren in de publieke sector worden toegepast, zoals woningbouwcorporaties en zorginstellingen.

Drs. Jos de Groot RA CIA is werkzaam als director in de Assurance-praktijk van PricewaterhouseCoopers.
Drs. Dorus van Boxtel RA is werkzaam als senior manager in de Assurance-praktijk van PricewaterhouseCoopers.

Literatuur

• De Groot, J.I., Van Manen, J., (2009), ‘Business Risk Reporting’, In: Handbook of international corporate governance, UK Institute of Directors.
• De Groot, J.I., (2008), ‘Accounting for risks: De risicoparagraaf in het jaarverslag’, In: Management Executive, maart/april.
• De Groot, ,J.I., (2006), ‘Accounting for risks in het jaarverslag’, In: ControllersMagazine, december.
• De Groot, J.I. , Koolstra, B. (2006), ‘De In-control good practice lost slechts een deel van de puzzel op’, In: Maandblad voor Accountancy en Bedrijfseconomie (MAB), juli/augustus.
• OCW (2008), Richtlijn Jaarverslag Onderwijs; toelichtende brochure.
• Raad voor de jaarverslaggeving (2007), ‘Richtlijn 660 Onderwijsinstellingen’, In: Richtlijnen voor de jaarverslaggeving voor grote en middelgrote rechtspersonen.
• Vos, Blommaert, Berkhouwer (2010), ‘Jaarverslaggeving door onderwijsinstellingen: effect eerste RJ660’, In: Het jaar 2008 verslagen: onderzoek jaarverslaggeving, MAB, NIVRA.