Raad van commissarissen 1 Wettelijke verplichtingen

Nu het een van de kerntaken van het bestuur is om de risico’s van de vennootschap te beheersen die uit haar activiteiten en de uitvoering daarvan voortvloeien, valt het toezicht op de manier waarop het bestuur dit doet onder “toezicht houden” ex art. 2:140

118 _{Bier, ‘Het risico van de risicobeheersings- en interne controlesystemen’, Ondernemingsrecht (2005)}

nr. 188.

119 _Ibidem.

120 _{Commissie Frijns, De Nederlandse corporate governance code (2009) Verantwoording overweging}

26, 52.

BW.122 _{Bij het houden van toezicht op het beleid van het bestuur en de algemene gang} van zaken volstaat de RvC niet slechts met “toezicht achteraf”. Dat wil zeggen: de RvC moet zich niet alleen bezig houden met toezicht op het gevoerde beleid, maar dient zich ook te verdiepen in het te voeren beleid op langere termijn.123 _{De toezichtstaak ter zake} van risicomanagement wordt nergens in het BW expliciet ingekleurd. Uit art. 2:141 lid 2 BW volgt slechts impliciet de plicht van de RvC om ten minste een keer per jaar de hoofdlijnen van het strategische beleid, de algemene en financiële risico’s en het risicobeheersings- en controlesysteem van de vennootschap met het bestuur te bespreken.124 _{De RvC mag hierbij op de betrouwbaarheid van de door het bestuur} verstrekte informatie af gaan.125 3.3.2 De Nederlandse Corporate Governance Code In de CGC wordt meer inhoud gegeven aan de toezichtstaak van de RvC dan in de wet. In een aantal principes en best practice-bepalingen wordt een concrete invulling gegeven aan de taken van de RvC ten aanzien van risicomanagement. Best practice III.1.6 bepaalt allereerst dat het toezicht van de RvC ziet op de strategie en de risico’s verbonden aan de ondernemingsactiviteiten, de opzet en werking van interne risicobeheersings- en controlesystemen en de naleving van relevante wet- en regelgeving. Ingevolge best practice III.1.8 moet de RvC deze onderwerpen minstens een keer per jaar bespreken en daar verslag van doen.

Uit principe III.5 volgt dat - indien de RvC meer dan vier leden omvat – zij uit haar midden een auditcommissie instelt.126 _{Voor de auditcommissie dient zij vervolgens een} reglement op te stellen dat aangeeft wat de rol en de verantwoordelijkheid van de desbetreffende commissie is. Bovendien mag er maximaal één lid van de auditcommissie niet onafhankelijk zijn.127 _{De auditcommissie rapporteert ingevolge best practice III.5.2} aan de RvC.128 _{De auditcommissie richt zich op toezicht van het bestuur ten aanzien van} 122 _{Stolp & De Nijs Bik, ‘De positie van bestuurders en commissarissen ter zake van risicomanagement’,} Be (a)ware: legal risk management & compliance (2015), 51.

123 _{C. Asser, S. Maeijer, G. van Solinge & M. Nieuwe Weme, Asser-Serie 2-II*. De naamloze en besloten}

vennootschap (Deventer 2009) nr. 487. 124 _{Schilfgaarde, Van de BV en de NV (2013) 249.} 125 _{Asser, Maeijer, Van Solinge & Nieuwe Weme, Asser 2-II* (2009) nr. 487.} 126 _{Commissie Frijns, De Nederlandse corporate governance code (2008), principe III.5.} 127 _{Ibidem, best practice III.5.1} 128 _{Ibidem, best practice III.5.3.}

de werking van de interne risicobeheersings- en controlesystemen, waaronder het toezicht op de naleving van de relevante wet- en regelgeving en het toezicht op de werking van gedragscodes.129 _{In het kort komt het er dus op neer dat de RvC en de} auditcommissie – die verslag doet aan de RvC - toezicht houden op de taken die het bestuur ten aanzien van risicobeheersing uit moet voeren.130

3.4 Tussenconclusie

Het juridische risicobeheersingskader in Nederland is fragmentarisch en biedt slechts een algemeen raamwerk dat in grote lijnen de verplichtingen van bestuurders en commissarissen ter zake van de risicobeheersing en risicorapportage uiteenzet. Over de manier waarop bestuurders en commissarissen in de dagelijkse praktijk met risico’s moeten omgaan en hun taken op dat gebied behoorlijk vervullen, zijn er op het eerste gezicht geen duidelijke en concrete richtlijnen uit de wet- en regelgeving te destilleren. Uit de wet volgen voor bestuurders slechts een aantal rapportageverplichtingen ten aanzien van financiële en niet-financiële risico’s waar de vennootschap mee kampt. Naast de rapportageverplichtingen die uit het BW en de Wft volgen, wordt in art. 2:141 lid 2 impliciet de verplichting voor het bestuur geschept om een risicobeheersings- en controlesysteem binnen de onderneming te implementeren en te onderhouden. Voor de RvC vloeien er uit de wet geen expliciete verplichtingen voort. Uit art. 2:141 lid 2 kan slechts worden afgeleid dat deze de risicobeheersings- en controlesystemen minstens een keer per jaar met het bestuur dient te bespreken.

In de CGC worden de begrippen “besturen” (art. 2:129 BW) en “toezicht houden” (art. 2:140 BW) met betrekking tot risicobeheersing nader ingekleurd. Het bestuur is verantwoordelijk voor de naleving van de relevante wet- en regelgeving en de beheersing van de risico’s die aan de activiteiten van de onderneming verbonden zijn. De RvC houdt daar toezicht op. In samenspraak met de RvC moet het bestuur dan ook een risicobeheerings- en controlesysteem opzetten. Daarbij wordt kleine beursvennootschappen de kans geboden om met minder omvangrijke systemen te volstaan; het systeem moet immers op de vennootschap zijn toegesneden. Verder moet het bestuur over dat systeem verantwoording afleggen aan de RvC en de

129 _{Commissie Frijns, De Nederlandse corporate governance code (2008) best practice III.5.4 sub a.} 130 _{Van Bekkum, Hijink, Schouten & Winter, ‘Corporate governance in the Netherlands’, Electric Journal}

auditcommissie. Over de werking en inrichting van die auditcommissie bevat de CGC ook nog enkele bepalingen.

Voor het bestuur vloeien daarnaast uit de CGC uitgebreide

risicorapportageverplichtingen voort. Zo moet het bestuur beschrijvingen van de drie onderscheiden fases van risicobeheersing - risico assessment, implementatie en evaluatie - in het bestuursverslag opnemen. Daarbij wordt onder meer verwacht dat het een beschrijving geeft de manier waarop het interne risicobeheersings- en controlesysteem werkt ter zake van de vennootschappelijke risico’s. Die beschrijving moet worden opgesteld aan de hand van een risicobeheersingsraamwerk, waarbij de commissie zelf naar het COSO raamwerk voor internal control verwijst. Aan de hand van dat raamwerk kan immers goed worden onderzocht in hoeverre het interne risicobeheersings- en controlesysteem effectief is en een redelijke mate van zekerheid geeft dat de doelstellingen van de vennootschap op het gebied van compliance, financiële verslaggeving, bedrijfsprocessen en strategie zullen worden behaald. Geconstateerde tekortkomingen in de systemen moeten ten slotte in het bestuursverslag worden opgenomen.

Naast deze rapportageverplichtingen moet het bestuur ook nog een in-controlverklaring afleggen ter zake van de financiële verslaggevingsrisico’s. Deze verplichting vereist in feite dat het bestuur de effectiviteit van de risicobeheersings- en controlesystemen ter zake van de financiële verslaggevingsrisico’s garandeert. Van deze risico’s mag namelijk worden verwacht dat de vennootschap ze onder controle heeft. In die verklaring moet het bestuur dan duidelijk onderbouwen dat er een redelijke mate van zekerheid is dat de financiële verslaggeving geen onjuistheden van materieel belang bevat, en dat de systemen in het verslagjaar naar behoren hebben gewerkt. Een dergelijke formele verklaring brengt mede met het oog op de in het volgende hoofdstuk te behandelen vestiging van aansprakelijkheid een zekere voorzichtigheid van bestuurders met zich mee. Zij zullen geneigd zijn om zorgvuldig te controleren dat de financiële verslaggeving juist is alvorens een dergelijke verklaring af te geven, wat leidt tot een verhoging van de compliance-kosten van de vennootschap.

4 RISICOMANAGEMENT EN CIVIELE AANSPRAKELIJKHEID