Nederlandse wetgeving over risicomanagement

Zoals in de vorige paragraaf beschreven hebben andere landen niet stilgezeten op het gebied van wetgeving voor risicomanagement. Ook in Nederland is sinds 2003 een wettelijke basis voor risicomanagement. Eind 2003 is in Nederland de Nederlandse corporate governance code (ook wel bekend als ‘code Tabaksblat’) ingevoerd.

De code Tabaksblat vervangt het rapport ‘Corporate Governance in Nederland; De Veertig Aanbevelingen’ uit 1997 van de commissie Peters. De aanleiding voor de totstandkoming van de Code zijn een drietal nationale en internationale ontwikkelingen. Ten eerste bleek het rapport van de commissie Peters na evaluatie niet te volstaan. Hier was nog veel verbetering mogelijk en ook wenselijk. Ten tweede speelde het Europese rapport waarin staat dat iedere lidstaat een nationale corporate governance code zou moeten opstellen een belangrijke rol. Nederland volgde dus (net als vele andere Europese landen) dit advies. Als laatste ontwikkeling zijn de verschillende (boekhoud)schandalen in de Verenigde Staten en Europa

relevant geweest. De governance codes kunnen bijdragen aan het herstel van het vertrouwen en toezicht op beursgenoteerde organisaties.

De code Tabaksblat bestaat uit principes en best practices bepalingen. Organisaties gevestigd en beursgenoteerd in Nederland zijn verplicht hieraan te voldoen. Indien ze ervoor kiezen dit niet te doen, moeten zij toelichten waarom en in welke mate zij hiervan afwijken. De bepalingen en de regel ‘pas toe of leg uit’ is opgenomen in boek 2 van het Burgerlijk Wetboek. Een beursgenoteerde organisatie is verplicht in het jaarverslag aandacht te schenken aan haar interne beheersingssysteem. Betreffende het interne beheersings- en controlesysteem moet zij rapporteren over een tweetal onderdelen. Allereerst moet het bestuur een beschrijving van de opzet en werking van het interne risicobeheersings- en controlesysteem met betrekking tot de voornaamste risico’s geven. Ten tweede dient het bestuur een beschrijving van eventuele belangrijke tekortkomingen in de interne risicobeheersings- en controlesystemen aan te geven en in te gaan op eventuele belangrijke (geplande) wijzigingen. Voor de financiële verslaggevingsrisico’s moet het bestuur een drietal zaken in het jaarverslag verklaren. Ten eerste verklaart zij dat het interne beheersings- en controlesysteem adequaat en effectief is en een redelijke mate van zekerheid verschaft. Ten tweede moet het bestuur verklaren dat de werking van het systeem in orde was. Tot slot dient zij ook nog te verklaren dat in het nieuwe lopende jaar geen aanleiding is om aan te nemen dat de werking van het systeem niet op niveau blijft. Al deze elementen moet het bestuur op een duidelijke wijze onderbouwen. Ook de Raad van Commissarissen speelt een rol in de code Tabaksblat. Zij houden toezicht op de werking van het interne beheersings- en controlesysteem en overleggen jaarlijks met de Raad van Bestuur.

In Nederland is een Monitoring Commissie opgericht die als taak heeft de actualiteit en bruikbaarheid van de code Tabaksblat te bevorderen en naleving hiervan te bewaken. Elk jaar zal de Commissie een inventarisatie maken hoe de naleving door beursgenoteerde organisaties verloopt. Ook houdt de Commissie de internationale ontwikkelingen in de gaten. Tevens signaleert zij eventuele leemtes of onduidelijkheden in de Code. Het meest recente evaluatierapport van de Commissie dateert uit juni 2008. In dit rapport heeft de Commissie een balans opgesteld van drie jaar monitoring van de Code. Hierin komt naar voren dat de Commissie heeft vastgesteld dat de interne risicobeheersing de afgelopen drie jaren aan belang heeft gewonnen. Dit komt overeen met andere publicaties over het groeiende belang van risicobeheersing.

De naleving van de Nederlandse corporate governance code toetst de Autoriteit Financiële Markten (AFM). De AFM is wettelijk aangesteld als toezichthouder op het gebied van toetsen of organisaties aan de regels voldoen. Hierbij zijn zij alleen bevoegd te controleren of een organisatie de vereiste informatie heeft opgenomen en of deze consistent is met de rest van het jaarverslag. De AFM is niet bevoegd om te toetsen of de verklaring over corporate governance juist is (Frijns 2008).

Hoe verhoudt de Code Tabaksblat zicht met de wet- en regelgeving in andere landen. Spoel (2006) stelt dat de ‘Sarbanes Oxley Act’ een primair financiële inslag heeft, terwijl ERM een bredere opzet heeft. Bij ERM spelen ook operationele en strategische risico’s een belangrijke rol. De code ‘Tabaksblat’ sluit wat dit punt betreft hier beter

op aan. Ook Paape en Swagerman (2006, p.10) stellen dat de code Tabaksblat wat betreft reikwijdte verder gaat dan de ‘Sarbanes Oxley Act’. De code Tabaksblat geeft aan dat organisaties onder meer risicoanalyses op het gebied van operationele en financiële doelstellingen moeten uitvoeren. Deze code geeft geen verdere richtlijnen over hoe het interne risicobeheersings- en controlesysteem moet zijn ingericht. Ook met betrekking tot de wijze van rapportering laat de code Tabaksblat de organisaties grotendeels vrij. Dit is in tegenstelling met de ‘Sarbanes Oxley Act’ waarin een gedetailleerde uitwerking staat van de wijze waarop organisaties aan de gestelde eisen dienen te voldoen.

2.6.3Relevantie voor niet-beursgenoteerde organisaties

Er is zoals uit de vorige twee paragrafen blijkt veel wet- en regelgeving op het gebied van risicomanagement. Deze wetgeving is echter bedoeld en gericht voor beursgenoteerde organisaties. De vraag is in welke mate dit relevant is voor niet-beursgenoteerde organisaties.

In het rapport van de Monitoring Commissie (2008) stelt zij dat een wettelijke verplichting van naleving van de Code voor organisaties in het MKB nog steeds niet nodig is. Niet-beursgenoteerde organisaties hebben dus geen wettelijke verplichting om te rapporteren over corporate governance. Aangezien risicomanagement in de corporate governance code geregeld is, geldt ook voor risicomanagement geen wettelijke verplichting. Wel roept de Commissie op aan de organisaties die niet onder de governance code vallen om duidelijk te maken dat de verplichte code voor hen niet geldt, maar dat zij aan een ander kader van regels moeten voldoen. De Commissie stelt dus niet dat niet-beursgenoteerde organisaties naar hun visie niet bezig moeten zijn met corporate governance. Ze adviseert alleen het voorlopig niet wettelijk te verplichten.

Voor niet-beursgenoteerde organisaties ontbreekt de wettelijke verplichting om te rapporteren over risicomanagement. Betekent dit ook dat het toepassen van risicomanagement voor hen niet van toegevoegde waarde is? Uit een al eerder aangehaalde passage van het COSO ERM Framework blijkt dat de ontwerpers van ERM wel mogelijkheden voor niet-beursgenoteerde organisaties zien. De toepassing zal alleen minder formeel en gestructureerd plaatsvinden. Ook zullen niet alle acht componenten van het raamwerk altijd toepasbaar zijn. Dit impliceert dat risicomanagement wel degelijk relevant kan zijn voor niet-beursgenoteerde organisaties. Welke mogelijkheden risicomanagement biedt voor niet-beursgenoteerde organisaties behoort tot mijn onderzoek. Hier kom ik in de volgende twee hoofdstukken uitgebreid op terug. Ondanks het ontbreken van een wettelijke verplichting is de wet- en regelgeving toch relevant. Verschillende niet-beursgenoteerde organisaties zullen door uiteenlopende redenen toch risicomanagement toepassen in hun organisatie. De bestaande wet- en regelgeving biedt een stramien hoe zij over risicomanagement kunnen rapporteren. Even als dat het COSO ERM Framework een basis kan vormen om elementen van risicomanagement binnen de organisatie te implementeren. Het is aannemelijk dat er niet-beursgenoteerde organisaties zijn die zich willen onderscheiden en profileren met toepassing en rapportering over risicomanagement. In de toekomst verwacht ik een tendens dat organisaties die actief bezig zijn met risicomanagement dit ook

willen tonen in hun rapportage. Een rationele en kritische belegger of bankier zal zich afvragen waarom een organisatie niet over risicomanagement rapporteert. De vraag of er in de toekomst een wettelijke verankering voor toepassing van risicomanagement voor niet-beursgenoteerde organisaties komt, kan ik zonder hierna uitgebreid onderzoek te doen niet beantwoorden. Ik acht het aannemelijk dat er over vijf tot tien jaar ook bij niet-beursgenoteerde organisaties meer verplichtingen gelden. Mocht de keuze toch vallen om deze organisatie te blijven vrijwaren van verplichtingen dan verwacht ik alsnog een verandering in de maatschappelijke verwachtingen. Naar mijn visie zal het maatschappelijk verkeer ook van grotere niet-beursgenoteerde organisaties gaan verwachten dat zij actief en bewust met risicomanagement omgaan. Belangrijk hierbij is dat ook de organisaties de toegevoegde waarde van risicomanagement inzien. De mogelijkheden van risicomanagement behandel ik in de volgende twee hoofdstukken. Hierbij zal ik niet voorbij gaan aan de mening van organisaties over de toegevoegde waarde van risicomanagement.