Buitenlandse wetgeving over risicomanagement

In deze paragraaf behandel ik het ontstaan van wetgeving op het gebied van risicomanagement. Ik ga eerst in op de regelgeving in de Verenigde Staten en daarna komen een aantal Europese landen aan bod. Ik wil benadrukken dat elk land tot op

heden eigen wetgeving heeft op het gebied van risicomanagement. Het is de beurs waaraan een organisatie genoteerd staat die bepaalt aan welke wetgeving een organisatie moet voldoen en dus niet het land waar de organisatie oorspronkelijk vandaan komt of gevestigd is. In alle landen is de wet- en regelgeving voor risicomanagement geregeld in een governance code. In deze codes komen veel meer onderwerpen ter sprake dan alleen risicomanagement. Veel codes zijn gericht op het zogenoemde ‘goede organisatiebestuur’. Risicomanagement is één van de elementen die hier deel van uit maakt. Het is dus niet zo dat de verschillende governance codes en/of wetten alleen gericht zijn op risicomanagement.

Na de beruchte boekhoudschandalen in 2002 kwamen de senatoren Paul Sarbanes en Michael Oxley met een wet met als doel goed organisatiebestuur af te dwingen. Dit is de naar de opstellers vernoemde ‘Sarbanes Oxley Act’. Deze wet had grote gevolgen voor organisaties die genoteerd staan aan de Amerikaanse beurs. Het belangrijkste doel van de wet is het expliciet maken van de verantwoordelijkheid van het management van beursgenoteerde organisaties voor de financiële rapportage van hun organisatie (Emanuels 2005). Voor risicomanagement was dit een belangrijke ontwikkeling. In de wet stond namelijk vermeld dat een, aan de Amerikaanse beurs genoteerde, organisatie verplicht werd gesteld om in het jaarverslag aandacht te schenken aan de interne controle binnen de organisatie. De wet geldt overigens ook voor buitenlandse organisaties die ook aan de Amerikaanse beurs genoteerd staan. De belangrijkste secties op het gebied van risicomanagement zijn de artikelen 302 en 404. Artikel 302 verplicht het management om de interne beheersing met betrekking tot financiële rapportages regelmatige te evalueren en eventuele tekortkomingen zelf te melden aan toezichthouders en publiek (Emanuels 2005). In artikel 404 staat dat het management over twee onderdelen met betrekking tot de interne controle moet rapporteren. Als eerste moet het management de verantwoordelijkheid voor het opzetten en in stand houden van een adequaat intern controlesysteem op zich nemen. Ten tweede dient het management te beoordelen over de effectiviteit van het interne controlesysteem. Omdat dit deel uit maakt van het jaarverslag moet de accountant hierover ook een uitspraak doen.

Het is interessant welke gevolgen de invoering van de ‘Sarbanes Oxley Act’ met zich mee heeft gebracht. Wielinga en Gerkes (2007) hebben hier een artikel over gepubliceerd. Er is de laatste jaren een trend zichtbaar dat Europese bedrijven hun notering aan de Amerikaanse beurs intrekken. Voorbeelden hiervan zijn TNT en Ahold. Een genoemde reden hiervoor betreft de regelgeving in de Verenigde Staten. In het betoog van Wielenga en Gerkes (2007) voor het nut van invoering van de ‘Sarbanes Oxley’ wetgeving stellen zij dat er een gevaar kan ontstaan dat een organisatie de wetgeving als een lastige verplichting ziet. Er ontstaat dan een ‘check the box mentaliteit’. Organisaties zullen moeten inzien dat als zij de processen goed op orde hebben en beschikken over goede risicoanalyses en controlepunten, zij hier hun voordeel mee kunnen doen. De organisatie voldoet dan niet alleen aan de eisen, maar kan ook winst in kwaliteit van de interne processen boeken. Dit kan leiden tot het besparen van tijd en kosten. De invoering van ‘Sarbanes Oxley Act’ heeft ook geleid tot positieve ontwikkelingen. Wielinga en Gerkes stellen dat dankzij ‘Sarbanes Oxley Act’ de kwaliteit van de financiële rapportage is toegenomen. Organisaties zijn bewuster van het belang van een effectief raamwerk voor interne beheersing. Dit geldt volgens het artikel niet alleen voor organisaties die genoteerd staan aan de

Amerikaanse beurs, maar ook voor organisaties die daar vertrokken zijn. De invloed van ‘Sarbanes Oxley Act’ is ook daar merkbaar en het management kijkt kritischer naar de interne beheersing dan vroeger. Uit onderzoek van het Amerikaanse onderzoeksbureau Glass, Lewis & Co (2006) blijkt dat overal in het bedrijfsleven een omslag plaatsvindt. Organisaties zijn bezig met het opzetten van een efficiënt en effectief continu proces rondom controles en processen.

Nederland volgde in 2003 met de invoering van de Nederlandse corporate governance code. Hier ga ik in de volgende paragraaf verder op in. Nederland staat in Europa niet alleen met de invoering van een corporate governance code. Een aantal andere Europese landen zijn al eerder begonnen met invoeren van een corporate governance code met een wettelijke basis. Paape en Swagerman (2006, p.11-12) beschrijven in hun onderzoek naar risicomanagement in Nederland kort de belangrijkste ontwikkelingen in een aantal andere Europese landen. Al in 1998 bestaat in Duitsland een wettelijke verplichting om een systeem voor risicomanagement op te zetten en hierover te rapporteren. Dit betreft de ‘Gesetz zur Kontrolle und Transparanz im Unternehmens-Bereich’ (KonTraG). In 2002 is hierop een toevoeging gekomen met de ‘Deutsche Corporate Governance Kodex’. In de jaren hierna zijn nog diverse aanpassingen in de governance code geweest, maar deze hadden geen betrekking op risicomanagement.

Het Verenigd Koninkrijk heeft sinds 1998 de ‘Combined Code of the Committee on Corporate Governance’. In 1999 kwam het ‘Turnbull-report’, een uitwerking van de bepalingen over interne beheersing uit de code. In de Britse code staat dat een organisatie dient te beschikken over een adequaat interne beheersingssysteem. Dit systeem dienen zij te onderhouden en jaarlijks te evalueren. In 2003 verscheen de vernieuwde ‘Combined Code’. Hierin zijn de relevante nieuwe ontwikkelingen verwerkt. In zowel 2005, 2006 als 2007 heeft de Financial Reporting Council wijzigingen voorgesteld voor de ‘Combined Code’. Deze voorgestelde wijzigingen zijn ook daadwerkelijk in de code aangepast. De belangrijkste wijzigingen betreffen versterkingen en verduidelijking van eerdere formuleringen. De verschillende ontwikkelingen en jarenlange voorbereiding hebben geleid tot een in 2006 aangenomen ‘Companies Act’. In Engeland en Duitsland is na de invoering codes de toepassing van risicomanagement binnen organisaties fors toegenomen.

Ook in Frankrijk is sinds 2003 een wettelijke basis voor risicomanagement. Hiervoor is de ‘Loi sur la Sécurité Financière’ (LFS) uitgebracht. Hierin is bepaald dat organisaties aan de Franse beurs genoteerd in hun jaarverslag een verklaring moeten opnemen over hun systeem van risicobeheersing. Deze verklaring moet samen gaan met een accountantsverklaring.

In het evaluatierapport van de Monitoring Commissie Corporate Governance Code (Frijns 2008) komen naast Duitsland en het Verenigd Koninkrijk ook nog enkele andere Europese landen kort ter sprake. In België geldt sinds 2005 de ‘Belgische Corporate Governance Code’ die eind 2004 gepubliceerd is. De commissie is in 2008 gekomen met een concept om de Belgische code te moderniseren en verbeteren. Ook in de Belgische code komt risicobeheer veelvuldig ter sprake. Italië is een uitzondering op veel Europese landen. Er is wel een code gepubliceerd, maar toepassing hiervan is niet wettelijk verplicht. De toepassing van de ‘Codice di

Autodisciplina di Societá Quotate’ is voor Italiaanse organisaties dus op vrijwillige basis. Wel is er ook in Italië een instantie (Borsa Italiana) die de naleving van de code volgt. Het laatste Europese land dat ik kort wel behandelen is Spanje. In 2006 is hier de nieuwe ‘Código Unificado de Buen Gobierno’ gepubliceerd. Deze code is gebaseerd op het ‘pas toe of leg uit’ beginsel. Ook deze code regelt vele onderwerpen op het gebied van organisatiebestuur.

Ik heb nu een beeld geschetst van de omgang met risicomanagement in diverse landen. Nederland staat duidelijk niet alleen in het ontwerpen van regels en richtlijnen op het gebied van risicomanagement. Vrijwel alle Westerse landen hebben ondertussen een wettelijke verplichting voor beursgenoteerde organisaties. Opmerkelijk is dat de in verschillende landen deeluitmakend van de Europese Unie een eigen wet- en regelgeving op het gebied van risicomanagement geldt. Op allerlei economische gebieden vindt al verregaande samenwerking plaats, maar voor risicomanagement (of in een breder kader bekeken: organisatiebestuur) nog niet. Wel zou ieder lidstaat een eigen nationale corporate governance code moeten opstellen met als basis het ‘pas toe of leg uit’ principe. Op 24 juli 2006 heeft het ‘European Corporate Governance Forum’ een verklaring uitgebracht over interne risicobeheersing. De belangrijkste conclusie was dat er op dat moment geen Europese verplichting zou komen voor een verklaring van het bestuur over de effectiviteit van de interne beheersings- en controlesystemen (Frijns 2008). De lidstaten houden dus voorlopig de vrijheid hoe zij de governance code inrichten. Overigens toont dit wel aan dat er al gesproken wordt op Europees niveau over regels en/of richtlijnen op het gebied van risicomanagement. Het is niet ondenkbaar dat over enkele jaren alsnog een Europees besluit komt waarin wel een commissie wel gaat streven naar een Europese verplichting. Al in 2003 is de Europese Commissie met een actie gekomen waarin zij streefde naar versterking van corporate governance in de Europese Unie (Lippens 2004). Dit heeft dus echter nog niet geleid tot een Europese richtlijn (of wet) waarin de toepassing van risicomanagement geregeld is.