Out of control?
Een onderzoek naar de wenselijkheid van een uitgebreide in-controlverklaring
Amsterdam, 29 juli 2016 Master Privaatrecht: Commerciële Rechtspraktijk M.O. Röell | 10003670 Begeleider: prof. dr. H.J. de KluiverINHOUDSINDICATIE
De recentelijk door Commissie van Manen voorgestelde wijziging van de Nederlandse corporate governance code moet de nieuwste bouwsteen binnen de Nederlandse juridische risicobeheersingsconstellatie gaan vormen. Door de in het voorstel opgenomen herziening van de in-controlverklaring zullen omvangrijke nieuwe verantwoordelijkheden voor bestuurders op het van risicomanagement worden geschept. De vraag die in dit onderzoek centraal staat, is of de beoogde uitbreiding van die in-controlverklaring wenselijk is. Na een uiteenzetting over de opkomst van het risicobeheersingsconcept en het juridische risicobeheersingskader in Nederland worden de materiële gedragsnormen en verplichtingen behandeld die op dit moment ter zake van risicomanagement in Nederland gelden. Daarbij wordt eerst de huidige Nederlandse wet- en regelgeving geanalyseerd. Vervolgens komt de voor risicomanagement relevante rechtspraak aan bod. In het laatste hoofdstuk wordt de beoogde in-controlverklaring bestudeerd. Daarbij wordt deze met “corresponderende” bepalingen uit de VS en het VK vergeleken en worden er tevens kanttekeningen bij de beoogde herziening geplaatst.
Het huidige juridische risicobeheersingskader biedt bestuurders en commissarissen de ruimte om risico’s te nemen zonder daarbij continu te moeten vrezen voor de vestiging van vergaande persoonlijke aansprakelijkheid. Het biedt daarnaast voldoende waarborgen om er voor te zorgen dat zij het risicomanagement binnen de vennootschap in het gareel houden. Uit het samenspel van jurisprudentie, wet- en regelgeving vloeien duidelijke en concrete verplichtingen en gedragsnormen voor functionarissen voort. Aansprakelijkheid wordt slechts gevestigd indien bestuurders en commissarissen hun taken op het gebied van risicomanagement onbehoorlijk vervullen door in strijd met die normen en verplichtingen te handelen en hen daar een verwijt van te maken is. De conclusies van het onderzoek luiden als volgt: een brede in-controlverklaring ondermijnt de werking van het huidige Nederlandse juridische risicobeheersingskader. Het verbreedt en versimpelt de manier waarop persoonlijke aansprakelijkheid van bestuurders wegens falend risicomanagement kan worden gevestigd. Invoering van de beoogde in-controlverklaring zal daarom risico-avers gedrag onder bestuurders stimuleren. Bovendien zal de verklaring slechts schijnzekerheid bieden. Daarnaast is de verklaring met het oog op de reeds bestaande regels niet noodzakelijk en ten slotte zullen de mogelijke voordelen van de verklaring niet tegen de kosten opwegen.
'[Regeerders moeten; MR] niet louter en alleen rekening houden met wantoestanden die er op een bepaald moment zijn, maar ook met die welke in de toekomst kunnen ontstaan en daar met alle mogelijke middelen tegenin gaan. Want als je op een afstand iets ziet aankomen, kun je er gemakkelijk iets tegen doen. Maar als je wacht tot het dichtbij is, komt het medicijn te laat, omdat de ziekte ongeneeslijk is geworden.'1 1 N. Machiavelli, De heerser, vert. F. van Dooren (Amsterdam 2011) 70.
INHOUDSOPGAVE 1 INLEIDING ... 6 1.1 DE JURIDISERING VAN RISICOBEHEERSING ... 6 1.2 RECENTE ONTWIKKELINGEN IN NEDERLAND ... 7 1.3 ONDERZOEKSVRAAG ... 8 1.4 OPBOUW EN ONDERZOEKSMETHODE ... 9 2 OPKOMST VAN RISICOBEHEERSING IN NEDERLAND ... 11 2.1 INLEIDING ... 11 2.2 DE OPKOMST VAN HET RISICOBEHEERSINGSCONCEPT ... 11 2.3 OPKOMST JURIDISCH KADER RISICOMANAGEMENT IN NEDERLAND ... 14 2.3.1 Europeesrechtelijke ontwikkelingen ... 15 2.3.2 De Nederlandse Corporate Governance Code ... 17 2.4 TUSSENCONCLUSIE ... 20 3 JURIDISCH KADER RISICOBEHEERSING NEDERLAND ... 22 3.1 INLEIDING ... 22 3.2.1 Wettelijke verplichtingen ... 23 3.2.2 De Nederlandse Corporate Governance Code ... 28 3.3 RAAD VAN COMMISSARISSEN ... 31 3.3.1 Wettelijke verplichtingen ... 31 3.3.2 De Nederlandse Corporate Governance Code ... 32 3.4 TUSSENCONCLUSIE ... 33 4 RISICOMANAGEMENT EN CIVIELE AANSPRAKELIJKHEID ... 35 4.1 INLEIDING ... 35
4.2 ONDERNEMEN, RISICO’S EN AANSPRAKELIJKHEID ... 36
4.3 INTERNE EN EXTERNE AANSPRAKELIJKHEID VAN BESTUURDERS EN COMMISSARISSEN ... 36 4.3.1 Interne aansprakelijkheid ... 37 4.3.2 Externe aansprakelijkheid ... 39 4.4 JURISPRUDENTIE FALEND RISICOMANAGEMENT EN AANSPRAKELIJKHEID ... 41 4.4.1 Bestuurders ... 42 4.4.2 Commissarissen ... 48 4.5 AANSPRAKELIJKHEID RISICORAPPORTAGE ... 49 4.5.1 Artikel 2:139 en 150 BW ... 49
4.5.2 Aansprakelijkheid voor misleidende risicorapportage ... 51 4.6 TUSSENCONCLUSIE ... 53 5 HERZIENING VAN DE IN-CONTROLVERKLARING ... 57 5.1 INLEIDING ... 57 5.2 VOORGESTELDE HERZIENING VAN DE IN-CONTROLVERKLARING ... 58 5.3 DE UITBREIDING VAN DE IN-CONTROLVERKLARING IN RECHTSVERGELIJKEND PERSPECTIEF ... 60 5.3.1 De in-controlverklaring in de Verenigde Staten ... 61 5.3.2 De in-controlverklaring in het Verenigd Koninkrijk ... 63 5.4 KANTTEKENINGEN BIJ DE BEOOGDE IN-CONTROLVERKLARING ... 67 5.4.1 De voorgestelde uitbreiding is maatschappelijk onwenselijk ... 67 5.4.2 De voorgestelde uitbreiding is onredelijk ... 71 5.4.3 De voorgestelde uitbreiding is kostbaar ... 75 5.5 TUSSENCONCLUSIE ... 76 6 CONCLUSIE ... 79 BRONNENLIJST ... 83
1 INLEIDING
1.1 De juridisering van risicobeheersing
In juni 2009 publiceerde de Organisatie voor Economische Samenwerking en Ontwikkeling2 (verder: OESO) haar rapport Corporate governance and the financial crisis:
key findings and main decisions.3 In dit rapport legde de OESO de grootste tekortkomingen met betrekking tot de corporate governance4 binnen bedrijven bloot die in haar ogen aan het ontstaan van de crisis hadden bijgedragen. Falend risicomanagement5 bij zowel beursgenoteerde bedrijven als financiële instellingen beschouwde zij als een van die tekortkomingen:
‘Perhaps one of the greatest shocks from the financial crisis has been the widespread failure of risk management. In many cases risk was not managed on an enterprise basis and not adjusted to corporate strategy. Risk managers were often kept separate from management and not regarded as an essential part of implementing the company’s strategy. Most important of all, boards were in a number of cases ignorant of the risk facing the company.’6
De OESO raadde vervolgens aan nieuwe en duidelijkere regels op het gebied van risicobeheersing te formuleren om een mogelijke volgende crisis te kunnen voorkomen.7 De interesse voor risicobeheersing binnen de beursgenoteerde vennootschap als object voor regulering is in de laatste jaren alleen maar toegenomen. Recente bedrijfsschandalen als de olieramp van BP in de Golf van Mexico in 2010, de omkoopschandalen bij SBM Offshore en de grootschalige emissiefraude bij Volkswagen hebben deze interesse alleen maar versterkt. Risicobeheersing staat sinds het afgelopen decennium steeds hoger op de agenda van wetgevers, beleidsbepalers, toezichthouders, 2 Samenwerkingsverband van 34 landen om sociaal en economisch beleid te bespreken, te bestuderen en te coördineren. De aangesloten landen proberen gezamenlijke problemen op te lossen en trachten internationaal beleid af te stemmen. 3 OESO, Corporate governance and the financial crisis. Key findings and main messages (Parijs 2009). 4 Term die het geheel aan regels en praktijken aanduidt dat binnen een vennootschap de
zeggenschapsverhoudingen regelt tussen het bestuur, aandeelhouders en commissarissen en de wijze waarop over die zeggenschapsverhoudingen verantwoording wordt afgelegd.
5 Risicobeheersing, risicomanagement, risicobeheer en risk management zijn synoniemen die ik in dit
onderzoek door elkaar heen gebruik en die allen de manier waarop een vennootschap met haar risico’s omgaat aanduiden.
6 OESO, Corporate governance and the financial crisis (2009) 8. 7 Ibidem, 9.
academici, consultants, financiële adviseurs en juristen over de hele wereld. Het is inmiddels een belangrijk onderwerp binnen corporate governance geworden; om het vertrouwen van beleggers te herwinnen wordt een nadere uitwerking van de verantwoordelijkheden van bestuurders en commissarissen op het gebied van risicobeheersing noodzakelijk geacht. Dit proces, waarin regels worden geformuleerd over de manier waarop een vennootschap haar risicobeheer zou moeten inrichten, wordt in de literatuur ook wel de ‘juridisering van risicomanagement’ genoemd en is in het afgelopen decennium in een stroomversnelling geraakt.8
1.2 Recente ontwikkelingen in Nederland
Ook binnen het Nederlandse juridische risicobeheersingslandschap hebben zich in het afgelopen decennium grote ontwikkelingen voltrokken. Het meest recente voorstel tot wijziging van dat landschap dateert van het begin van dit kalenderjaar. Op 11 februari 2016 plaatste de Monitoring Commissie Corporate Governance Code onder leiding van prof. dr. Jaap van Manen haar voorstel tot herziening van de Nederlandse corporate governance code (verder: CGC) ter consultatie op haar website. Het voorstel maakt duidelijk dat de commissie met de nieuwe code wil bewerkstelligen dat (beursgenoteerde) vennootschappen zich in grotere mate gaan richten op “lange termijn waardecreatie”. Zij meent dat een adequaat systeem van beheersing van risico’s daar onmisbaar voor is:
‘[...]Te vaak komt het voor dat eenzijdige aandacht voor de korte termijn resultaten ten koste gaat van de lange termijn resultaten. [...] Naast financieel verlies, kan het leiden tot reputatieschade of de noodzaak het verdienmodel radicaal te wijzigen. Een goed systeem waarin kansen en risico’s worden gewogen moet het mogelijk maken om in het heden resultaten te leveren, zonder dat het ten koste gaat van waardecreatie in de toekomst.'9
8 L. Enriques & D. Zetzsche, ‘The risky business of regulating risk management in listed companies’ in
European Company and Financial Law Review (2013) vol. 10, nr. 3, 271-303.
9 Monitoring Commissie Corporate Governance Code, De Nederlandse Corporate Governance Code.
Commissie van Manen stelt dan ook voor om de principes en best practice-bepalingen ter zake van risicobeheersing uit Code Frijns – de huidige CGC – op een flink aantal punten te wijzigen en uit te breiden.10
Zij beoogt met de herziening onder meer betere voorwaarden te scheppen voor een goed samenspel tussen de raad van commissarissen (verder: RvC), het bestuur, en de auditcommissie. 11 Bovendien wenst de commissie de communicatie van de vennootschap met zowel de interne als externe auditfunctie12 te verbeteren.13 Een van haar meest ingrijpende voorstellen, die in het kader van dit onderzoek van bijzonder belang is, is om de reikwijdte van de zogenaamde “in-controlverklaring” aanzienlijk uit te breiden. Op grond van de huidige CGC zijn bestuurders verplicht om een in-controlverklaring in het bestuursverslag op te nemen, waarin zij verklaren dat de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat en dat de systemen op dat vlak naar behoren hebben gewerkt.14 Deze verklaring zal, indien het voorstel daadwerkelijk wordt doorgevoerd, een stevige transformatie doormaken die mogelijk vergaande gevolgen heeft voor de werking van het juridische risicobeheersingskader zoals wij dat nu kennen.
1.3 Onderzoeksvraag
Het bovenstaande voorstel is goed in de huidige juridiseringstendens op het gebied van risicomanagement in te passen. De geproponeerde wijzigingen van de CGC vormen de nieuwste bouwstenen van het steeds verder uitdijende Nederlandse juridische risicobeheersingskader. Door de in het voorstel opgenomen herziening van de in-controlverklaring worden de omvangrijke verantwoordelijkheden en verplichtingen van
10 De code bevat zowel principes als concrete bepalingen (best practice-bepalingen) die de bij een
vennootschap betrokken personen (onder andere bestuurders en commissarissen) en partijen (onder andere institutionele beleggers) tegenover elkaar in acht zouden moeten nemen. De principes kunnen worden opgevat als de moderne en breed gedragen, algemene opvattingen over goede corporate governance.
11 Auditcommissie: de commissie die zich binnen de vennootschap bezig houdt met onderzoek naar de
organisatie op het gebied van risicobeheer en interne controle. De commissie opereert onder en rapporteert aan de RvC, en is opgemaakt uit een deel daarvan.
12 Interne auditfunctie: het orgaan binnen de vennootschap dat zich bezig houdt met de (controle van)
de financiële verslaggeving. Externe auditfunctie: de externe accountant.
13 Allen & Overy, Voorstel herziening corporate governance (Amsterdam 2016) 3.
14 Commissie Frijns, De Nederlandse corporate governance code. Beginselen van deugdelijk
bestuurders en commissarissen van beursgenoteerde vennootschappen op het gebied van risicorapportage bovendien nog eens uitgebreid. De vraag die daardoor rijst – tevens de hoofdvraag van dit onderzoek - luidt als volgt:
Is de uitbreiding van de reikwijdte van de in-controlverklaring een wenselijke uitbreiding van het Nederlandse juridische risicobeheersingskader? Om mijn hoofdvraag te beantwoorden, heb ik vier deelvragen geformuleerd. Deze luiden als volgt: I. Wat is risicomanagement en hoe is het in Nederland tot stand gekomen? II. Welke verplichtingen doet de Nederlandse wet- en regelgeving voor bestuurders en commissarissen ter zake van risicobeheersing ontstaan? III. Op welke manier kan falend risicomanagement tot aansprakelijkheid leiden? IV. Wat zijn de gevolgen van de beoogde uitbreiding van de in-controlverklaring en is die uitbreiding wenselijk? 1.4 Opbouw en onderzoeksmethode
In dit onderzoek wordt ieder van de hierboven genoemde deelvragen in een apart hoofdstuk behandeld. De eerste deelvraag komt in het volgende hoofdstuk - hoofdstuk twee – aan bod; de laatste deelvraag in hoofdstuk vijf. Na de beantwoording van de vier deelvragen geef ik in de conclusie een antwoord op mijn hoofdvraag. In het tweede hoofdstuk illustreer ik wat risicomanagement precies is en hoe het in Nederland tot stand is gekomen. Daarbij hanteer ik zowel een intern als een extern juridisch perspectief. 15 Eerst wordt namelijk aan de hand van een theoretisch kader onderzocht wat het belang van risicomanagement in het algemeen is. Daarna wordt naar de opkomst van risicomanagement in Nederland gekeken. Omdat de ontwikkeling van het Nederlandse juridische kader grotendeels is ingegeven door ontwikkelingen op Europees niveau, wordt daarbij zowel aandacht aan Europese als Nederlandse rechtsbronnen besteed. Aansluitend beantwoord ik de tweede en derde deelvraag, neergelegd in hoofdstuk drie en vier, vanuit een intern juridisch perspectief. In hoofdstuk drie wordt de huidige Nederlandse wet- en regelgeving op het gebied van
risicomanagement geanalyseerd, waarbij ik mij concentreer op de verplichtingen die daar voor bestuurders en commissarissen uit voortvloeien.
Het vierde hoofdstuk zal de voor risicomanagement relevante Nederlandse rechtspraak behandelen. Daarbij worden zowel reguliere civiele rechtszaken als enquêteprocedures onderzocht omdat in beide typen procedures concrete normen voor een behoorlijke taakvervulling van bestuurders en commissarissen ter zake van risicomanagement zijn ontwikkeld. Ten slotte zullen de gevolgen van de beoogde uitbreiding van de in-controlverklaring in het vijfde hoofdstuk aan een analyse worden onderworpen en wordt bezien of die uitbreiding wenselijk is. Om de vierde deelvraag te kunnen beantwoorden wordt de beoogde herziening niet alleen tegen de achtergrond van de huidige wetssystematiek bezien, maar ook vergeleken met de daarmee corresponderende bepalingen in de Verenigde Staten (verder: VS) en het Verenigd Koninkrijk (verder: VK). Deze rechtsvergelijking is ingegeven door het feit dat het corporate governance debat zich internationaal heeft ontwikkeld en in de twee onderzochte landen onder meer uitgebreide regelingen ter zake van vennootschappelijk risicomanagement bestaan. Een nadere rechtvaardiging van deze rechtsvergelijking komt in dat hoofdstuk zelf aan bod.
2 OPKOMST VAN RISICOBEHEERSING IN NEDERLAND 2.1 Inleiding
Alvorens op het huidige Nederlandse juridische kader ter zake van risicomanagement in te gaan, zal ik eerst illustreren hoe dat kader is ontstaan. In dit hoofdstuk wordt kort de opkomst van het risicobeheersingsconcept behandeld, waarna de ontwikkeling van regelgeving op het gebied van risicomanagement in Nederland aan bod komt. Hierbij wordt een antwoord geformuleerd op de vraag op welke wijze de juridisering van risicobeheersing in Nederland tot stand is gekomen.
2.2 De opkomst van het risicobeheersingsconcept
Risico: ‘gevaar van schade of verlies’, aldus de letterlijke definitie uit de Dikke van Dale.16 Risico wordt al van oudsher als een negatief fenomeen beschouwd en de strijd om risico’s te beheersen is van alle tijden. Peter L. Bernstein – een financieel historicus uit de VS – beschrijft in zijn boek Against the Gods. The remarkable story of risk de ontwikkeling van de omgang met risico’s vanaf de Klassieke Oudheid tot aan het einde van de twintigste eeuw:
‘The revolutionary idea that defines the boundary between modern times and the past is the mastery of risks: the notion that the future is more than a whim of the gods and that men and women are not passive before nature. Until human beings discovered a way across that boundary, the future was a mirror of the past or the murky domain of oracles and soothsayers who held a monopoly over knowledge and anticipated events.’17
De toekomst werd in de loop van de geschiedenis in dienst van het heden gesteld; risico’s werden mogelijkheden waarvan de kans dat die zich voordeden kon worden ingeschat en berekend.18 Het vermogen risico’s in kaart te brengen, de bereidheid bepaalde risico’s te aanvaarden, en op basis daarvan toekomstgerichte keuzes te maken, beschouwt Bernstein als een van de belangrijkste krachten die ons economische systeem heeft voortgestuwd. Dit heeft uiteindelijk tot (technologische) vooruitgang geleid, maar tegelijkertijd tot een sterke toename in de complexiteit van onze
16 Online Woordenboek Van Dale, “Risico” (2016), gevonden bij <
http://www.vandale.nl/opzoeken?pattern=risico&lang=nn#.Vz2umJN940p> (19 mei 2016).
17 P. Bernstein, Against the Gods. The remarkable story of risk (New York 1996) 1.
18 S. Vandemaele, P. Vergauwen & A. Michiels, Management risk reporting practices. A study of Belgian
samenleving. Het aantal mogelijke risico’s en potentiële bedreigingen is in de loop der tijd immers alleen maar toegenomen.19
De Duitse socioloog Ulrich Beck constateerde deze ontwikkeling eveneens en noemde onze samenleving treffend een “risicomaatschappij”: een maatschappij waarin op systematische wijze met risico’s moet worden omgesprongen die worden veroorzaakt door de voortschrijdende modernisering van die maatschappij zelf. 20 In die risicomaatschappij is iedereen als belanghebbende afhankelijk van de manier waarop anderen, en dan voornamelijk organisaties en ondernemingen, met hun risico’s omgaan.21 De manier waarop zij dat doen, kan per slot van rekening een grote weerslag hebben op (delen van) de samenleving. Ter illustratie: consumenten zijn afhankelijk van de kwaliteit van het eten dat hen door producenten wordt voorgeschoteld, aandeelhouders ter zake van hun investering gebonden aan de manier waarop de vennootschap wordt bestuurd en werknemers zijn voor hun pensioen afhankelijk van het reilen en zeilen van pensioenfondsen.
Daarbij komt dat ondernemingen continu aan risico’s bloot staan. Bij risico’s voor een onderneming kan onder meer worden gedacht aan veiligheids- en gezondheidsrisico’s voor personeel en omgeving, het risico van beschadiging van de activa van de onderneming door natuurrampen of brand, risico’s met betrekking tot corruptie, veiligheid, reputatie, compliance, wisselkoersen, en risico’s inzake het aantrekken van financiering.22 De verwezenlijking van deze risico’s kan het behalen van doelstellingen verhinderen en de vennootschap daarmee schade berokkenen of in sommige gevallen zelfs haar faillissement tot gevolg hebben. Omdat dit grote negatieve maatschappelijke uitwerkingen met zich mee kan brengen is het belangrijk op welke wijze een onderneming haar risico’s identificeert en welke strategieën zij hanteert om die risico’s te beheersen.
Naast onbekwaamheid of onzorgvuldigheid ten aanzien van het inschatten en nemen van risico’s, kan ook slechte corporate governance binnen een onderneming tot de
19 Bernstein, Against the Gods (1996), 1-2.
20 U. Beck, Risk society – towards a new modernity (Londen 1992) 260.
21 M. van Daelen & A. van de Ven, ‘Introducing risk management’, Risk management and corporate
governance. Interconnections in law, accounting and tax (Cheltenham 2010) 1-6.
22 D. Strik, ‘Aansprakelijkheid voor falend risicomanagement’, in B. Assink & D. Strik, Preadvies van de
vereniging handelsrecht. Ondernemingsbestuur en risicobeheersing op de drempel van een nieuw decennium. Een ondernemingsrechtelijke analyse (Deventer 2009) 206-210.
verwezenlijking van bepaalde risico’s en schade leiden. Zo zou het bestuur van een vennootschap er bijvoorbeeld om welke reden dan ook voor kunnen kiezen om in strijd met het vennootschappelijke belang bepaalde informatie over risico’s achter te houden of te verdraaien. Vanwege het maatschappelijke belang van de manier waarop ondernemingen met hun risico’s omspringen, zijn er in de afgelopen decennia over de hele wereld verschillende soorten regels, standaarden en codes omtrent risicomanagement geformuleerd. Dit proces wordt in de literatuur doorgaans de juridisering van het risicomanagement genoemd.23
In die regels wordt beursgenoteerde vennootschappen onder meer opgelegd om systemen voor risicomanagement te implementeren, bepaalde risico’s te beschrijven, te meten en te rapporteren en het gangbare gedrag met betrekking tot de omgang met die risico’s te reguleren.24 De opvatting in Nederland is over het algemeen dat een goed risicobeheersings- en controlesysteem binnen een vennootschap uiteindelijk alle belanghebbenden van de onderneming dient.25 Het systeem moet de vennootschap in staat kunnen stellen om doorlopend en systematisch de ‘juiste verhouding tussen risico en rendement binnen het ondernemingsbeleid te bepalen en bewaken ter bevordering van de continuïteit van de onderneming [...].’26 Een intern risicobeheersings- en controlesysteem helpt het bestuur met andere woorden om het beleid te voeren door goed geïnformeerd te blijven over de mogelijke risico’s van de activiteiten van de vennootschap:
‘Risicomanagement dient onderdeel te zijn van de bedrijfsprocessen en de besluitvorming. Van bestuurders wordt verwacht dat zij anticiperen en tijdig reageren op risico’s die relevant zijn voor de kracht en het voortbestaan van de organisatie.’27
23 Enriques & Zetzsche, ‘The risky business of regulating risk management’ in European Company and
Financial Law Review (2013) vol. 10, nr. 3, 271-303.
24 Van Daelen & Van de Ven, ‘Introducing risk management’, Risk management and corporate
governance. (2010) 1-6.
25 B. Bier,’Het risico van de risicobeheersings- en interne controlesystemen. De ‘in control’ verklaring
van de Code Tabaksblat, Ondernemingsrecht (2005) nr. 188.
26 B. Assink, ‘Facetten van verantwoordelijkheid in hedendaags ondernemingsbestuur’,
Ondernemingsbestuur en risicobeheersing op de drempel van een nieuw decennium. Een ondernemingsrechtelijke analyse (Deventer 2009) 85.
27 M. Stolp & W. de Nijs Bik, ‘De positie van bestuurders en commissarissen ter zake van
risicomanagement’, Be (a)ware: legal risk management & compliance. Nederlands gezelschap van bedrijfsjuristen 1930-2015 (Den Haag 2015), 42.
Het is uiteindelijk de bedoeling dat het systeem de vennootschap in staat stelt om een redelijke mate van zekerheid te verschaffen over het al dan niet behalen van de ondernemingsdoelstellingen.28
Bovendien wordt openheid over de risicosituatie van de onderneming om meerdere redenen wenselijk geacht. In de literatuur wordt gesteld dat het vrijgeven van informatie over risico’s beleggers kan helpen om het risicoprofiel van de vennootschap vast te stellen en de marktwaarde daarvan beter in te schatten.29 Bovendien kan het de informatieasymmetrie tussen het bestuur en de aandeelhouders mitigeren. Dat zal dan een positieve uitwerking hebben op het vertrouwen in het bestuur onder de belanghebbenden van de onderneming.30 Ten slotte is in de literatuur geopperd dat goede en regelmatige risicorapportage tot een betere beoordeling van toekomstige prestaties van de vennootschap kan leiden. Dit resulteert in een reductie van het gepercipieerde risico waar de vennootschap mee kampt, waardoor het uiteindelijk goedkoper voor de vennootschap kan worden om financiering aan te trekken.31 Kort gezegd wordt minder (waargenomen) risico namelijk enerzijds uitgedrukt in een lagere rente die over het vreemd vermogen dat wordt aangetrokken moet worden betaald en anderzijds in een toename van de vraag naar het aandeel van de vennootschap. Hierdoor wordt het makkelijker voor de onderneming om eigen vermogen aan te trekken. Wanneer alle beursgenoteerde vennootschappen bovendien regelmatig informatie over hun risicobeheersing vrijgeven, kan dit resulteren in een groter vertrouwen in de markt als geheel. 32
2.3 Opkomst juridisch kader risicomanagement in Nederland
Het Nederlandse vennootschapsrecht is lang stil geweest op het gebied van risicomanagement. Uit art. 2:129 en 239 BW volgde slechts dat het bestuur belast is met het besturen van de vennootschap en dat het zich bij de vervulling van zijn taken moet richten ‘naar het belang van de vennootschap en de met haar verbonden
28 COSO, Enterprise Risk Management – Integrated Framework. Executive Summary (2004); Zie verder
hoofdstuk 3, paragraaf 3.2.2.
29 S. Abraham & P. Cox ‘Analysing the determinants of narrative risk information in UK FTSE 100
annual reports’, The British Accounting Review (2007) afl. 39, nr. 3, 227-248.
30 Vandemaele, Vergauwen & Michiels, Management risk reporting practices (2008) 1-24. 31 Ibidem.
onderneming.’33 De invulling van deze bestuursbevoegdheid werd verder uitgewerkt in art. 2:9 BW: elke bestuurder is tot een behoorlijke taakvervulling tegenover de rechtspersoon gehouden en draagt verantwoordelijkheid voor de algemene gang van zaken binnen die vennootschap.34 Voor de RvC gold slechts krachtens art. 2:140 en 250 BW dat deze toezicht moest houden op het bestuur en de algemene gang van zaken in de vennootschap en de aan haar verbonden onderneming.35
Er werd lange tijd geen onderscheid gemaakt tussen management (“het besturen van de vennootschap”) en risicomanagement. De taken van het bestuur en de RvC met betrekking tot risicomanagement waren dan ook niet in nadere wet- of regelgeving gespecifieerd.36 Pas wanneer er iets fout was gegaan kon de rechter ex post oordelen of het bestuur of een specifieke bestuurder bij het inschatten en afwegen van risico’s onzorgvuldig had gehandeld. De ontwikkeling van specifieke regelgeving op het gebied van risicobeheer in Nederland is voornamelijk te danken aan de opkomst van risicobeheersing binnen het denken over corporate governance op zowel internationaal als nationaal niveau.37 Hieronder volgt een beknopt overzicht van die ontwikkelingen. 2.3.1 Europeesrechtelijke ontwikkelingen
De bestaande Europese regelgeving had de bedrijfsschandalen bij onder meer het Italiaanse Parmalat en het Nederlandse Ahold aan het begin van het millennium niet kunnen voorkomen. Risico’s werden in die gevallen niet opgemerkt of bewust niet opgenomen in de externe rapportage. Als politiek antwoord38 op de gebeurtenissen begon de Europese wetgever nieuwe en stringentere regels te formuleren over corporate governance, waar risicobeheersing tevens toe behoort. 39 In 2004 verscheen Transparantierichtlijn 2004/109/EG waarin werd vereist dat bedrijven een
33 Art. 2:129 BW. 34 Art. 2:9 BW. 35 Art. 2:140 BW.
36 C. van der Elst, ‘The risk management duties of the board of directors’, in H. Birkmose, M. Neville &
K. Sørensen (red.), Boards of directors in European companies. Reshaping and harmonising their organisation and duties (Deventer 2013) 129-152.
37 De boekhoudschandalen bij Enron en Worldcom in de VS, en bij Ahold en Parmalat in Europa en het
barsten van de internetbubbel, wat een korte recessie tot gevolg had.
38 Dit kondigde de Commissie in 2003 aan in haar ‘Communication to the Council and the European
Parliament, Modernising company law and enhancing corporate governance in the European Union – A plan to move forward’ (2003).
39 Enriques & Zetzsche, ‘The risky business of regulating risk management’ in European Company and
beschrijving van de voornaamste risico’s en onzekerheden waarmee zij werden geconfronteerd in hun financiële verslag zouden opnemen.40 Bovendien moest het tussentijdse bestuursverslag ten minste een opsomming van de belangrijkste risico’s en onzekerheden voor de volgende zes maanden van het boekjaar bevatten.41 Door deze openbaarmakingvereisten voor risico’s in de richtlijn op te nemen, wilde de Commissie vennootschappen er toe dwingen om op zijn minst een identificatiesysteem voor risico’s en andere onzekerheden te implementeren.42
Ingevolge Richtlijn 2006/46/EG rustte er een verplichting op het bestuur om in het bestuursverslag een beschrijving van de belangrijkste kenmerken van de interne controle- en risicobeheersingssystemen van de vennootschap of de groep op te nemen als deel van de corporate governance verklaring.43 Uit Richtlijn 2006/43/EG volgde de verantwoordelijkheid van het bestuur om een onafhankelijke auditcommissie of vergelijkbaar lichaam in te stellen om onder andere de effectiviteit van de interne beheersingssystemen en het risicomanagementsysteem van de vennootschap te monitoren.44
De financiële crisis zette risicobeheersing in 2008 wederom bovenaan de agenda van de Europese wetgever. Waar de nadruk voorheen op financiële risico’s lag, maakte de crisis duidelijk dat ook niet-financiële risico’s ondernemingen grote schade konden berokkenen.45 Ingevolge Richtlijn 2014/95/EU moeten grote vennootschappen46 met
40 Richtlijn 2004/109/EG van het Europees Parlement en De Raad van 15 december 2004 betreffende de
transparantievereisten die gelden voor informatie over uitgevende instellingen waarvan effecten tot de handel op een gereglementeerde markt zijn toegelaten en tot wijziging van Richtlijn 2001/34/EG, PbEU L 390/38, art. 4 lid 2 sub c. 41 Ibidem, art. 5 lid 4. 42 Van der Elst, ‘The risk management duties of the board of directors’, Boards of directors in European companies (2013) 134-137. 43 Richtlijn 2006/46/EG van het Europees Parlement en de Raad van 14 juni 2006 tot wijziging van de
Richtlijnen 78/660/EEG van de Raad betreffende de jaarrekening van bepaalde vennootschapsvormen, 83/349/EEG van de Raad betreffende de geconsolideerde jaarrekening, 86/635/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van banken en andere financiële instellingen en 91/674/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van verzekeringsondernemingen, Pb EU L 224/1, art. 36 lid 2.
44 Richtlijn 2006/43/EG van het Europees Parlement en de Raad van 17 mei 2006 betreffende de
wettelijke controles van jaarrekeningen en geconsolideerde jaarrekeningen, tot wijziging van de Richtlijnen 78/660/EEG en 83/349/EEG van de Raad en houdende intrekking van Richtlijn 84/253/EEG van de Raad, Pb EU L 157/87, art. 41 lid 2 sub b.
45 European Commission, Reflection Group on the Future of EU Company Law (Brussel 2011) 39.
46 In Nederland moet de onderneming moet (1) van maatschappelijk belang zijn (“organisatie van
betrekking tot de bekendmaking van niet-financiële informatie transparanter zijn over niet-financiële prestaties en risico’s.47 Om dat te bewerkstelligen verplicht de richtlijn deze bedrijven in hun bestuursverslag een niet-financiële verklaring op te nemen waarin zij ten minste informatie verstrekken over de voornaamste risico’s voor de vennootschap met betrekking tot milieu-, sociale en personeelsaangelegenheden, eerbiediging van de mensenrechten en de bestrijding van corruptie en omkoping.48 Op deze manier wil de Commissie de aandacht voor de niet-financiële aspecten van ondernemen aanscherpen. Aan de verwezenlijking van niet-financiële risico’s kunnen namelijk enorme financiële consequenties verbonden zijn. De Deepwater Horizon olieramp van BP in 2010 in de Golf van Mexico is daar een mooi voorbeeld van. Door de schade die daar aan het milieu was berokkend heeft het bedrijf miljarden aan boetes en schadevergoedingen moeten betalen.
2.3.2 De Nederlandse Corporate Governance Code
Aan het einde van de twintigste eeuw barstte het corporate governance debat los en verscheen het onderwerp op het wereldtoneel. Er vond door de steeds belangrijkere rol van de effectenmarkten een verbrokkeling van het aandelenkapitaal van beursgenoteerde vennootschappen plaats waardoor aandeelhouders minder controle op het bestuur konden uitoefenen. Omdat het risico dat het bestuur zijn eigen belangen in plaats van het belang van de vennootschap en haar aandeelhouders na zou streven gestaag toenam, werd onder meer om het afleggen van verantwoording over beleid en toezicht en een herdefiniëring van de rechten van aandeelhouders binnen de beursgenoteerde vennootschap gevraagd.49 Er ontstond over de hele wereld het gebruik om aanbevelingen inzake goede corporate governance te doen; wat kan voor beursvennootschappen als gedegen bestuur worden beschouwd?50 Deze aanbevelingen beoogden – en beogen nog steeds – aan te geven wat binnen de wettelijke kaders de best
(beursgenoteerde vennootschappen vallen hier in ieder geval onder)) en (2) de onderneming moet meer dan 500 werknemers hebben (dat geldt ook als het gaat om een moederbedrijf van een groep waarbinnen 500 werknemers werkzaam zijn).
47 Richtlijn 2014/95/EU van het Europees Parlement en de Raad van 22 oktober 2014 tot wijziging van
Richtlijn 2013/34/EU met betrekking tot de bekendmaking van niet-financiële informatie en informatie inzake diversiteit door bepaalde grote ondernemingen en groepen, Pb EU L 330/1.
48 Richtlijn 2014/95/EU, art. 1 tot wijziging art. 19bis lid 1 sub d. 49 P. Schilfgaarde, Van de BV en de NV (Deventer 2013) 40-42.
50 H. de Kluiver & J. Barneveld, ‘Kroniek van het ondernemingsrecht. Over ondernemen,
maatschappelijk onbehagen en de ‘stakeholder’ als oriëntatiepunt’, Nederlands Juristenblad (2016) afl. 15, 1014.
practice.51 Ook op het gebied van risicobeheersing werden dergelijke bepalingen geformuleerd.
In de voorlopers van de huidige Europese codes en de Amerikaanse regelgeving op het gebied van corporate governance52 werd de verantwoordelijkheid van het bestuur ten aanzien van de interne controle en de risicobeheersing al beschreven.53 In Nederland verscheen in 1997 het Rapport Commissie Peters met veertig aanbevelingen voor goede corporate governance binnen beursgenoteerde vennootschappen.54 De aanbevelingen uit het rapport gaven voor beursgenoteerde vennootschappen een nadere invulling aan het brede bestuursbegrip als gedefinieerd in art. 2:129 BW. Daarbij werd ook een aantal aanbevelingen gedaan omtrent de verantwoordelijkheid van het bestuur op het gebied van risicomanagement. De commissie benadrukte bijvoorbeeld dat het bestuur de ‘risico’s verbonden aan het gekozen beleid onderscheidenlijk de strategie schriftelijk aan de Raad van Commissarissen [zou] rapporteren.’55 Over het algemeen stelden de vereisten die destijds aan de risicobeheersing werden gesteld weinig voor. Bovendien werden de aanbevelingen van de Commissie Peters slecht ontvangen en nauwelijks toegepast door het Nederlandse bedrijfsleven.56
Als gevolg van de eerder genoemde gebeurtenissen die zich na de millenniumwisseling voordeden57, wilden de verschillende wetgevers in Europa (net als de Europese wetgever) het vertrouwen in beursgenoteerde bedrijven herstellen. Zij wilden verzekeren dat bedrijven adequate risicomanagementsystemen zouden implementeren opdat zij hun risico’s beter zouden beheersen en daarover transparant verantwoording
51 P. Schilfgaarde, Van de BV en de NV (Deventer 2013) 40-42.
52 In de Verenigde Staten kent men geen corporate governance code en volgen de bepalingen
daaromtrent onder meer uit de New York Stock Exchange Listing Requirements, de Security and Exchange Commission Regulations en de Sarbanes-Oxley Act.
53 Cadbury Committee, Report on the financial aspect of corporate governance (Londen 1992); Conseil
National du Patronat Francais (CNPF)-Association Francaise des Enterprises Privees (AFEP), The boards of directors of listed companies in France (Vienot I Report) (Parijs 1995); Belgian Commission on Corporate Governance, Reccomendations of the market authority of the Brussels Stock Exchange (1998) & The Business Round Table, Statement on corporate governance (New York 1997).
54 Commissie Peters, Rapport Commissie Peters 1997. Corporate Governance in Nederland - de veertig
aanbevelingen (Amsterdam 1997).
55 Ibidem, § 4.3.
56 M. van Daelen, ‘Risk management from a business law perspective’, Risk management and corporate
governance. Interconnections in law, accounting and tax (Cheltenham 2010) 57.
zouden afleggen aan de aandeelhouders.58 Zodoende werd in Nederland door de Commissie Corporate Governance in 2003 de Code Tabaksblat gepubliceerd, waarin veel aandacht aan risicobeheersing werd besteed.59 De code werd deze keer tegen de achtergrond van de bedrijfsschandalen wel goed ontvangen door het Nederlandse bedrijfsleven en kreeg in 2004 middels algemene maatregel van bestuur60 (verder: AMvB) een wettelijke basis. Code Tabaksblat werd daarmee als de Nederlandse CGC aangewezen.61
Deze regels waren en zijn op zichzelf nog steeds niet verbindend, maar worden door rechters wel als leidraad genomen bij de toetsing van het handelen van bestuurders en commissarissen. Middels de “pas toe of leg uit”-regel werd Nederlandse naamloze vennootschappen met een beursnotering opgelegd om de principes en best practices uit de code na te leven dan wel gemotiveerd uiteen te zetten waarom van naleving werd afgezien.62 Onder omstandigheden kan het niet-naleven van codebepalingen overigens een gegronde reden om aan een juist beleid te twijfelen opleveren, waardoor de mogelijkheid ontstaat dat door bepaalde belanghebbenden van de vennootschap een enquêteprocedure wordt geëntameerd en een onderzoek naar de gang van zaken binnen de vennootschap wordt ingesteld door de Ondernemingskamer (verder: Ok).63 Uit de Versatel-beschikking van de Hoge Raad bleek bovendien dat de Ok principes uit de CGC als noodzakelijke ordemaatregel bindend mag opleggen.64 Dat komt er in feite op neer dat de pas toe of leg uit-regel onder bepaalde omstandigheden buiten werking kan worden geplaatst.65 Later werd in de Cryo-Save-beschikking geoordeeld dat een best practice-bepaling uit de CGC in beginsel moet worden nageleefd.66 Afwijking is in
58 B. van Beurden & P. van der Zanden, ‘Perikelen in de financiële verslaggeving’, Tijdschrift voor
ondernemingsbestuur (2011) nr. 1, 1.
59 Commissie Tabaksblat, De Nederlandse Corporate Governance Code. Beginselen van deugdelijk
endernemingsbestuur en best practice bepalingen (2003) principe II.1, best practice II.1.2-II.1.4.
60 Besluit genomen op grond van delegatiebevoegdheid ex art. 2:391 lid 4 (oud – nu lid 5) BW; zie
hoofdstuk 2 voor een nadere toelichting.
61 Besluit tot vaststelling van nadere voorschriften omtrent de inhoud van het jaarverslag, Stb. 2004,
747.
62 J. van Bekkum, J. Hijink, M. Schouten & J. Winter, ‘Corporate governance in the Netherlands’, Electric
Journal of Comparative Law (2010) vol. 14, nr. 3.
63 Art. 2:8 BW; Ok 14 december 2005, ECLI:NL:GHAMS:2005:AU8151 (Versatel); zie over de
enquêteprocedure par. 4.3.1.
64 HR 14 september 2007, ECLI:NL:HR:2007:BA4888 (Versatel).
65 R. Abma, ‘De Nederlandse Corporate Governance Code. Quo vadis?’, Tijdschrift voor Financieel Recht
(2014) nr. 6, 260-265.
sommige gevallen alleen dan toegestaan indien er daarvoor voldoende zwaarwegende redenen voor zijn. Voor bestuurders van beursgenoteerde vennootschappen vormt dit uiteraard een prikkel om de bepalingen van de CGC toe te passen. Bovendien wordt door de Monitoring Commissie Corporate Governance Code (verder: Monitoring Commissie) jaarlijks onderzocht in hoeverre de codebepalingen door de beursgenoteerde vennootschappen worden nageleefd. Het rapport van dat onderzoek wordt ieder jaar op hun website gepubliceerd.67 De huidige Nederlandse CGC – Code Frijns – volgde Code Tabaksblat in 2009 op als gezaghebbende code.68 In Code Frijns is het aantal bepalingen omtrent risicomanagement opnieuw uitgebreid. De huidige code wordt in hoofdstuk 3 verder behandeld.
2.4 Tussenconclusie
De manier waarop er binnen beursgenoteerde vennootschappen met risico’s wordt omgegaan raakt de samenleving als geheel. Toch was er voor bestuurders en commissarissen ter zake van risicomanagement lange tijd niets geregeld in het Nederlandse en Amerikaanse vennootschapsrecht. Als reactie op de grote bedrijfsschandalen in Europa en de Verenigde Staten aan het begin van deze eeuw werden er wereldwijd talloze wetten en regels op het gebied van corporate governance en risicobeheersing geformuleerd. Door de financiële crisis van 2008 kwam dit proces in een stroomversnelling terecht. In de destijds verschenen wetten en regels werden de bestuurs- en toezichtstaken ex art. 2:129 en 140 BW van het bestuur en de RvC ter zake van risicomanagement stapsgewijs nader uitgewerkt.
Van beursgenoteerde vennootschappen werd na verloop van tijd steeds meer verwacht en vereist dat zij systemen implementeerden die hen in staat zouden stellen de risico’s verbonden aan haar onderneming in kaart te brengen, te beheersen en bovendien te rapporteren. Tot op heden is de heersende leer binnen de corporate governance dat dergelijke systemen en risicorapportageverplichtingen de continuïteit van de vennootschap kunnen waarborgen, waardoor uiteindelijk alle belanghebbenden van de onderneming worden gediend. Als dat systeem daarentegen niet of gebrekkig is
67 Abma, ‘De Nederlandse Corporate Governance Code’, Tijdschrift voor Financieel Recht (2014) nr. 6,
260-265.
68 Commissie Frijns, De Nederlandse corporate governance code (2008) & Besluit tot wijziging van het
Besluit van 23 december 2004 tot vaststelling van nadere voorschriften omtrent de inhoud van het jaarverslag (10 december 2009) Stb. 2009, 545.
geïmplementeerd, of niet goed werkt, kan dat schade bij de vennootschap en al haar belanghebbenden tot gevolg hebben. Bovendien kan een gebrekkig (geïmplementeerd) systeem tot onbetrouwbare informatievoorziening leiden, wat leidt tot een verkeerde en misleidende risicorapportage.
Aan die risicorapportage wordt veel belang gehecht omdat de informatieasymmetrie tussen het bestuur en de belanghebbenden van de vennootschap daarmee kan worden gemitigeerd. Regelmatige informatievoorziening door de vennootschap over haar risicosituatie en de werking van haar systemen kan beleggers immers in staat stellen om het risicoprofiel van de onderneming beter vast te stellen. Op die manier wordt het hen makkelijker gemaakt om de marktwaarde van de vennootschap in te schatten. Dit zou verschillende positieve uitwerkingen op het vertrouwen in de onderneming en uiteindelijk zelfs in de gehele markt kunnen hebben.
3 JURIDISCH KADER RISICOBEHEERSING NEDERLAND 3.1 Inleiding
Het huidige juridische kader omtrent risicomanagement in Nederland bestaat uit een samenspel van wettelijke verplichtingen en bepalingen uit de Nederlandse CGC. Met deze bepalingen wordt beoogd een nadere invulling te geven aan de begrippen “besturen” en “toezicht houden” als opgenomen in het BW.69 In dit hoofdstuk wordt dat kader uiteengezet om de vraag te beantwoorden welke taken en verantwoordelijkheden van bestuurders en commissarissen ter zake van risicomanagement uit dat kader voortvloeien. Allereerst komen de verplichtingen voor het bestuur daarbij aan bod die uit de wet en de CGC voortvloeien. Daarna zullen op vergelijkbare wijze de verantwoordelijkheden van de RvC worden behandeld.
Het volgende verdient nog kort de aandacht; op 13 juni 2016 heeft de Minister van Veiligheid en Justitie het Wetsvoorstel “bestuur en toezicht rechtspersonen” bij de Tweede Kamer ingediend. 70 Met dat voorstel wordt beoogd de taken en verantwoordelijkheden van bestuurders en commissarissen van verenigingen, stichtingen, coöperaties en onderlinge waarborgmaatschappijen duidelijker aan te geven in de wet. Bovendien betracht de Minister een aantal bepalingen ten aanzien van het bestuur en de RvC van de verschillende soorten rechtspersonen te uniformeren.71 Om dat vorm te geven zullen een aantal bepalingen, die op dit moment verspreid in Boek 2 van het BW te vinden zijn, in Titel 1 worden ondergebracht. Het is de bedoeling dat deze vervolgens van toepassing worden verklaard op de verschillende typen rechtspersonen. In die trant zullen de in het vorige hoofdstuk behandelde bepalingen ter zake van de bestuurs- en toezichtstaken van het bestuur en de RvC dan ook worden ondergebracht in Titel 1 van Boek 2 BW. Art. 2:139 en art. 2:140 BW worden daarom geschrapt. Daar zullen – indien het voorstel wordt aangenomen - onderscheidenlijk art. 2:9 en art. 2:11 BW voor in de plaats komen.72 Ondanks de ingrijpende wijziging van de structuur van Boek 2 BW zal de bepalingen slechts een nieuwe plaats in dat boek worden toegekend. Inhoudelijk worden de bepalingen niet of nauwelijks gewijzigd. 69 Art. 2:129 & art. 2:140 BW. 70 Wetsvoorstel 34 491, Kamerstukken II 2015/16, nr. 2. 71 MvT Wetsvoorstel 34 491, Kamerstukken II 2015/16, nr. 3. 72 Wetsvoorstel 34 491, Kamerstukken II 2015/16, nr. 2.
3.2 Bestuur
3.2.1 Wettelijke verplichtingen
Tegenwoordig wordt in de Nederlandse literatuur aangenomen dat het een kerntaak van het bestuur is om toezicht te houden op de gang van zaken binnen de vennootschap en de daaraan verbonden onderneming. Daarbij moet het bestuur zich in het bijzonder richten op de naleving van relevante wet- en regelgeving door de vennootschap en op de beheersing van risico’s die voortvloeien uit haar activiteiten en de uitvoering daarvan.73 Uit de wet volgen nog enkele andere verplichtingen van het bestuur ter zake van risicomanagement.
I. Artikel 2:141 lid 2 BW
In Nederland bestaat geen expliciete wettelijke verplichting die het bestuur van een vennootschap opdraagt om een risicobeheersings- en controlesysteem in te stellen.74 Desalniettemin volgt uit art. 2:141 lid 2 BW een impliciete verplichting om een dergelijk systeem te hanteren:
‘Het bestuur stelt ten minste een keer per jaar de raad van commissarissen schriftelijk op de hoogte van de hoofdlijnen van het strategisch beleid, de algemene en financiële risico’s en het beheers- en controlesysteem van de vennootschap.’ 75
Bovenstaand lid is bij de herziening van de structuurregeling in 2004 ingevoerd.76 Het artikel is van toepassing op zowel beursgenoteerde, als niet-beursgenoteerde vennootschappen die een RvC hebben ingesteld. In de literatuur wordt aangenomen dat de wetgever heeft beoogd vennootschappen op basis van dit artikel impliciet te verplichten om een risicobeheersings- en controlesysteem te implementeren.77 Deze is
73 Stolp & De Nijs Bik, ‘De positie van bestuurders en commissarissen ter zake van risicomanagement’,
Be (a)ware: legal risk management & compliance (2015) 43; Assink, ‘Facetten van verantwoordelijkheid in hedendaags ondernemingsbestuur’, Ondernemingsbestuur en risicobeheersing op de drempel van een nieuw decennium (2009) 82; D. Strik, Grondslagen bestuurdersaansprakelijkheid. Een maatpak voor de boardroom (Deventer 2010) 275. 74 In tegenstelling tot in Duitsland en in het Verenigd Koninkrijk, waar dergelijke wetten wel degelijk van kracht zijn. Duitsland: § 91 lid 2 Aktiengesetz (KonTraG), Verenigd Koninkrijk: Section 172 (a) & (d) UK Companies Act 2006. 75 Art. 2:141 lid 2 BW. 76 Wet van 9 juli 2004 tot wijziging van boek 2 van het Burgerlijk Wetboek in verband met aanpassing van de structuurregeling, Stb. 2004, 370. 77 J. Huizink, Groene Serie Rechtspersonen, art. 141, Boek 2 BW (2013) aantekening 3.
op de tekst van de memorie van toelichting (verder: MvT) gestoeld. Daarin wordt namelijk naar paragraaf 4.3 uit het eerder behandelde rapport met veertig aanbevelingen omtrent corporate governance van Commissie Peters verwezen. In die paragraaf werden zowel de rapportageplicht jegens de RvC als de verantwoordelijkheid voor een effectief risicobeheersingssysteem van het bestuur – zoals die nu ook in art. 2:141 lid 2 BW zijn opgenomen - reeds voorgeschreven.78 De wetgever vond deze aanbeveling dus dermate belangrijk dat het de daarin voorgeschreven norm wettelijk heeft verankerd.
Aansluitend op het bovenstaande nog een korte opmerking ter zake van het in dit hoofdstuk genoemde wetsvoorstel van de Minister van Veiligheid en Justitie van 13 juni 2016. Daaruit blijkt dat de Minister van plan is om de inhoud van art. 2:141 ook in Titel 1 in te passen door het onder te brengen in het beoogde art. 2:11a BW. Op die manier is de bepaling van toepassing op iedere rechtspersoon die een RvC heeft ingesteld.79 De inhoud van het artikel blijft verder echter ongewijzigd.
II. Artikel 5:25c en 5:25d Wft
Art. 5:25c en 5:25d Wft zijn beide van toepassing op beursgenoteerde vennootschappen waarvan de statutaire zetel in Nederland is gelegen.80 De artikelen zijn het resultaat van de implementatie van de eerder besproken Transparantierichtlijn (2004/109/EG).81 Art. 5:25c lid 2 Wft bepaalt dat de jaarlijkse financiële verslaggeving tevens een verklaring van het bestuur moet bevatten waarin het verzekert dat de wezenlijke risico’s waarmee de “uitgevende instelling” (lees: de vennootschap) wordt geconfronteerd in het bestuursverslag zijn beschreven.82Dit wordt ook wel de “getrouw beeld”-verklaring genoemd. Daarnaast draagt artikel 5:25d lid 8 Wft bestuurders op om een beschrijving van de voornaamste risico’s en onzekerheden voor de resterende zes 78 Kamerstukken II 2001/02, 28 179, nr. 3, 27 & Commissie Peters, Rapport Commissie Peters ( 1997), § 4.3. 79 Wetsvoorstel 34 491, Kamerstukken II 2015/16, nr. 2, 5-6. 80 Art. 5:25c lid 1 juncto art. b lid 1 juncto art. 1:1 Wft.
81 Wet van 25 september 2008 tot wijziging van de Wet op het financieel toezicht en enige andere
wetten ter implementatie van richtlijn nr. 2004/109/EG van het Europees Parlement en de Raad van de Europese Unie van 15 december 2004 betreffende de transparantievereisten die gelden voor informatie over uitgevende instellingen waarvan effecten tot de handel op een gereglementeerde markt zijn toegelaten en tot wijziging van Richtlijn 2001/34/EG (PbEUL 390), Stb 2008, 467.
82 Art. 5:25c lid 2 sub c paragraaf 2 Wft; hier kan in sommige gevallen sprake zijn van samenloop met
de in-de controlverklaring uit de CGC. Deze in-controlverklaring mag dan als onderdeel van de getrouw beeldverklaring worden bijgevoegd. Zie Toelichting best practice-bepaling II.1.5 Code Frijns.
maanden van het desbetreffende boekjaar in het halfjaarlijks bestuursverslag op te nemen.83 Beide verklaringen worden afgegeven bij de deponering van de jaarstukken bij de AFM en hebben een wezenlijk ander karakter dan de verderop te bespreken in-controlverklaring.84
III. Artikel 2:391 BW
Het belangrijkste artikel binnen de Nederlandse juridische risicobeheersingsconstellatie is artikel 2:391 BW. Daar vloeien onder meer een aantal verplichtingen omtrent de vormgeving van de inhoud van het bestuursverslag uit voort. Het is bovendien de schakelbepaling tussen het BW en de Nederlandse CGC. Allereerst is in lid 1 van het artikel opgenomen dat het bestuursverslag een beschrijving moet geven van de ‘voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd.’85 Ook niet-beursgenoteerde vennootschappen moeten aan deze verplichting voldoen.86 Uit de memorie van toelichting blijkt dat er in die beschrijving een evenwichtige en volledige analyse moet worden gegeven, waarbij niet alleen aandacht besteed moet worden aan de resultaten en de positie van de vennootschap, maar ook aan essentiële niet-financiële “prestatie-indicatoren”87 als milieu- en personeelsaangelegenheden.88 Nota bene: uit de nota van toelichting bij de voorgestelde implementatie van de Richtlijn openbaarmaking niet-financiële informatie (2014/95/EU) blijkt dat aan het laatste (niet-financiële) vereiste zal worden voldaan indien bestuurders aan hun verplichtingen omtrent de openbaarmaking van niet-financiële informatie uit de geïmplementeerde wetgeving voldoen.89
Op basis van 2:391 lid 2 BW moet het bestuur in het bestuursverslag mededeling doen over de verwachte gang van zaken.90 Daarbij moet het in het bijzonder aandacht besteden aan ‘de investeringen, de financiering en de personeelsbezetting en aan de
83 Art. 5:25d lid 8 Wft.
84 Van Beurden & Van der Zanden, ‘Perikelen in de financiële verslaggeving’, Tijdschrift voor
ondernemingsbestuur (2011) nr. 1, 2.
85 Art. 2:391 lid 1 BW.
86 Nota bene: er is een vrijstellingsregeling voor deze verplichtingen opgenomen voor kleine
vennootschappen in art. 2:396 BW en voor middelgrote vennootschappen ex art. 2:397 BW.
87 Prestatie indicatoren meten de prestaties van de organisatie. Ze geven inzicht in de resultaten op
deelgebieden en laten zien in hoeverre bepaalde doelstellingen worden bereikt.
88 Kamerstukken II 2003/04, 29 737, nr. 3, 24.
89 Ministerie van Veiligheid en Justitie, Nota van toelichting Ontwerpbesluit niet-financiële informatie
(2015) 1.
omstandigheden waarvan de ontwikkeling van de omzet en van de rentabiliteit afhankelijk is.’91 Ook dient te worden vermeld op welke manier bijzondere gebeurtenissen waarmee in de jaarrekening geen rekening hoeft te worden gehouden de verwachtingen van de onderneming hebben beïnvloed.92 Ingevolge lid 3 moeten in het bestuursverslag de doelstellingen en het beleid van de vennootschap inzake risicobeheersing worden vermeld waar het om haar gebruik van financiële instrumenten gaat en voor zover ‘zulks van betekenis is voor de beoordeling van zijn activa, passiva, financiële toestand en resultaat.’93
In 2004 is lid 4 (tegenwoordig lid 5) aan art. 2:391 BW toegevoegd, waarin werd opgenomen dat bij AMvB nadere voorschriften konden worden gesteld over de inhoud van het bestuursverslag.94 Deze voorschriften zouden dan in het bijzonder betrekking kunnen hebben op de naleving van een in een AMvB aan te wijzen gedragscode (lees: de Nederlandse CGC). Op basis van het toenmalige lid 4 is bij AMvB van 23 december 2004 (“Besluit corporate governance”) de Code Tabaksblat als geldige Nederlandse CGC ingesteld.95 In het besluit werd tevens opgenomen dat in het bestuursverslag een mededeling moest worden gedaan over de naleving van de principes en best practice-bepalingen die tot het bestuur of de RvC van de vennootschap waren gericht. Indien het bestuur er voor had gekozen bepaalde principes niet na te leven en/of niet voornemens was dat in het volgende boekjaar wel te doen, dan moest zij daarvan in het bestuursverslag gemotiveerd opgave doen.96 Aan de hand van deze AMvB werd de Nederlandse CGC wettelijk verankerd. Bij wet van 16 juli 2005 is het hierboven besproken lid 4 overigens veranderd in lid 5 – verder zal in dit onderzoek dus over art. 2:391 lid 5 BW worden gesproken.97 91 Art. 2:391 lid 2 BW. 92 Ibidem. 93 Ibidem, lid 3 BW. 94 Wet van 9 juli 2004 tot wijziging van boek 2 van het Burgerlijk Wetboek in verband met aanpassing van de structuurregeling, Stb. 2004, 370. 95 Besluit van 23 december 2004 tot vaststelling van nadere voorschriften omtrent de inhoud van het jaarverslag, Stb. 2004, 747, art. 2. 96 Het “pas toe of leg uit” (EN: comply or explain) principe.
97 Wet van 16 juli 2005 tot wijziging van boek 2 van het Burgerlijk Wetboek ter uitvoering van
Verordening (EG) Nr. 1606/2002 van het Europees Parlement en de Raad van 19 juli 2002 betreffende de toepassing van internationale standaarden voor jaarrekeningen (PbEG L 243), van Richtlijn nr. 2001/65/EG van het Europees Parlement en de Raad van 27 september 2001 tot wijziging van de Richtlijnen 78/660/EEG, 83/349/EEG en 86/635/EEG met betrekking tot de waarderingsregels voor
Ter implementatie van Richtlijn 2006/46/EG werd art. 2:391 lid 5 uiteindelijk getransformeerd tot de bepaling in haar huidige vorm. Aan het slot van het lid werd een zinsnede toegevoegd om aan de vereisten die de richtlijn aan de in hoofdstuk twee behandelde “corporate governance”-verklaring stelde te voldoen:
‘Deze voorschriften kunnen in het bijzonder betrekking hebben op naleving van een in de algemene maatregel van bestuur aan te wijzen gedragscode en op de inhoud, de openbaarmaking en het accountantsonderzoek van een verklaring inzake corporate governance.’98
In dezelfde geest werd het Besluit corporate governance in 2009 bij AMvB gewijzigd en is er een bepaling ingevoegd waarin de verplichting voor beursgenoteerde vennootschappen is opgenomen om een in het bestuursverslag een “corporate governance”-verklaring te maken.99
In die verklaring doet het bestuur mededeling omtrent ‘de belangrijkste kenmerken van het beheers- en controlesysteem van de vennootschap in verband met het proces van financiële verslaggeving van de vennootschap en van de groep waarvan de financiële gegevens in de jaarrekening zijn opgenomen.’100 Het bestuur moet de verklaring in het bestuursverslag opnemen dan wel op een publiek toegankelijke website te plaatsen.101 Met de wijziging van lid 5 en het daarmee samenhangende besluit hebben een aantal rapportageverplichtingen die aanvankelijk in de code werden geregeld een wettelijke grondslag gekregen. Daardoor wordt het bestuur ter zake van die
de jaarrekening en de geconsolideerde jaarrekening van bepaalde vennootschapsvormen evenals van banken en andere financiële instellingen (Pb EG L 283), en van Richtlijn 2003/51/EG van het Europees Parlement en de Raad van 18 juni 2003 tot wijziging van de Richtlijnen 78/660/EEG, 83/349/EEG, 86/635/EEG en 91/674/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van bepaalde vennootschapsvormen, banken en andere financiële instellingen, en verzekeringsondernemingen (Pb EG L 178), Stb. 2005, 377. 98 Wet van 11 december 2008 tot wijziging van boek 2 van het Burgerlijk Wetboek ter uitvoering van Richtlijn 2006/46/EG van het Europees Parlement en de Raad van 14 juni 2006, tot wijziging van de Richtlijnen 78/660/EEG, 83/349/EEG, 86/635/EEG en 91/674/EEG betreffende de jaarrekening en de geconsolideerde jaarrekening (PbEU L 224), Stb. 2008, 550. 99 Besluit van 20 maart 2009 tot wijziging van het Besluit van 23 december 2004 tot vaststelling van nadere voorschriften omtrent de inhoud van het jaarverslag, ter uitvoering van Richtlijn 2006/46/EG van het Europees Parlement en de Raad van 14 juni 2006, tot wijziging van de Richtlijnen 78/660/EEG, 83/349/EEG, 86/635/EEG en 91/674/EEG betreffende de jaarrekening en de geconsolideerde jaarrekening (PbEU L 224) Stb. 2009, 154, art. 2a.
100 Ibidem, art. 3a. 101 Ibidem, 154, art. 2a.
rapportageverplichtingen geen ruimte meer geboden om daar gemotiveerd van af te wijken.
3.2.2 De Nederlandse Corporate Governance Code
Op 10 december 2009 verving Ernst Hirsch Ballin, onze toenmalige Minister van Justitie, per AMvB Code Tabaksblat met de huidige CGC: Code Frijns.102 De Nederlandse CGC kleurt het begrip “besturen” uit het BW met behulp van principes en best practice-bepalingen verder in. Uit principe II.1 van de huidige code volgt dat het bestuur verantwoordelijk is voor naleving van de relevante wet- en regelgeving en de beheersing van risico’s die verbonden zijn aan de strategie van de onderneming. Het bestuur moet daarover rapporteren en bespreekt de interne risicobeheersings- en controlesystemen met de RvC en de auditcommissie – die overeenkomstig principe III.5 door de RvC wordt ingesteld.103
Dit principe wordt nader uitgewerkt in best practice-bepalingen II.1.3 – II.1.5. Uit bepaling II.1.3 volgt dat het bestuur verantwoordelijkheid draagt voor de aanwezigheid van een op de vennootschap toegesneden risicobeheersings- en controlesysteem. Dat systeem moet ten minste de volgende instrumenten hanteren: risicoanalyses van de operationele en financiële doelstellingen van de vennootschap, een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst, handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures en een systeem van monitoring en rapportering.104 De tekst van bepaling II.1.3 Code Frijns geeft kleine(re) beursvennootschappen dus de ruimte om met minder omvangrijke - op de vennootschap toegesneden - procedures ten aanzien van risicobeheersing te volstaan.105
Daarnaast moet het bestuur ingevolge best practice-bepaling II.1.4 een aantal beschrijvingen in het bestuursverslag opnemen. Allereerst moet het een beschrijving bevatten van de voornaamste risico’s die aan de strategie van de onderneming zijn verbonden.106 Uit de toelichting op de code blijkt dat het hier niet om een uitputtende 102 Besluit wijziging Besluit van 23 december 2004 tot vaststelling van nadere voorschriften omtrent de inhoud van het jaarverslag, Stb. 2009, 545. 103 Commissie Frijns, De Nederlandse corporate governance code (2008) principe II.1 & III.5. 104 Ibidem, best practice II.1.3. 105 Ibidem, Toelichting II.1.3, 39. 106 Ibidem, II.1.4.
uiteenzetting van alle mogelijke risico’s gaat, maar om een ‘weergave van de belangrijkste risico’s waarvoor de vennootschap zich geplaatst ziet.’107 Bovendien moet het bestuur tevens een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen met betrekking tot de belangrijkste risico’s in het afgelopen boekjaar opnemen.108 Het bestuur dient daarbij tevens het gehanteerde normenkader of raamwerk waarmee het de opzet en werking van het systeem heeft doorgelicht te beschrijven. In de toelichting wordt als voorbeeld van een geschikt raamwerk expliciet naar het COSO raamwerk voor Internal Control109 verwezen.110 In een notendop wordt risicomanagement door COSO gedefinieerd als een continu proces binnen de vennootschap waarmee wordt getracht risico’s - die het behalen van de ondernemingsdoelstellingen op het gebied van haar bedrijfsprocessen111, de financiële verslaggeving, compliance en haar strategie kunnen beïnvloeden - te categoriseren, rangschikken, analyseren en ten slotte te beheersen.112 Uiteindelijk moet het door de vennootschap gehanteerde risicobeheersingssysteem de vennootschap een redelijke mate van zekerheid geven dat de doelstellingen op de hierboven genoemde gebieden behaald zullen worden.113 Is dat het geval, dan kan het systeem als effectief of adequaat worden beschouwd. Het COSO raamwerk helpt het bestuur dus om te controleren of het gehanteerde interne systeem adequaat is. Ten slotte moeten eventuele belangrijke tekortkomingen in de systemen die in het boekjaar zijn geconstateerd aan het bestuursverslag worden toegevoegd. Uit de toelichting van best practice-bepaling II.1.4 komt dus duidelijk naar voren dat het systeem de onderneming in staat moet stellen om haar risico’s systematisch te beheersen en om haar
107 Commissie Frijns, De Nederlandse corporate governance code (2008) Toelichting II.1.4, 39. 108 Ibidem, best practice & Toelichting II.1.4.
109 COSO heeft twee raamwerken aan de hand waarvan de vennootschap een systeem kan
implementeren of evalueren waarmee op een systematische wijze risico’s die de doelstellingen van de vennootschap kunnen aantasten binnen alle lagen van de onderneming in kaart te kunnen worden gebracht en beheerst kunnen worden. Het raamwerk voor interne controle wordt wel COSO I (1992) genoemd, terwijl het bredere raamwerk voor risk management (dat tevens op interne controle ziet) COSO II (2004) wordt genoemd. Uit een in opdracht van Eumedion uitgevoerd onderzoek uit 2008 bleek dat 91% van de bedrijven die destijds deel van de AEX-index uitmaakten in hun jaarverslagen verwezen naar het COSO raamwerk als gehanteerd interne controle- en risicobeheersingssysteem; G. Mertens, & I. Blij, Inzicht in onzekerheid. Onderzoek naar de risicoparagrafen in de jaarverslagen 2007 van beursfondsen (Amsterdam 2008) 7.
110 Commissie Frijns, De Nederlandse corporate governance code, best practice & Toelichting II.1.4. 111 Ook wel: operationele risico’s.
112 COSO, Enterprise Risk Management – Integrated Framework. Executive Summary (2004) 1-7. 113 Ibidem.
