6 minute read
9.8 Risicobeheersing
De maatschappij verwacht van bestuurders dat zij tijdig anticiperen en reageren op voor de continuïteit van de onderneming relevante ontwikkelingen en daarmee gepaard gaande risico’s. Tegelijkertijd is sprake van een complexer wordende omgeving en een hoog verwachtingspatroon van alle stakeholders. Dit leidt ertoe dat voor de raad van commissarissen, zowel in zijn toezichthoudende als in zijn adviserende rol, het belang van risicomanagement toeneemt. Wet- en regelgeving
Voor de nv en bv schrijft de wet voor dat het bestuur ten minste één keer per jaar de raad van commissarissen schriftelijk op de hoogte stelt van de hoofdlijnen van het strategisch beleid, van de algemene en financiële risico’s waarmee de onderneming wordt geconfronteerd en van het beheers- en controlesysteem van de vennootschap. Hoewel de wet hier formeel slechts een plicht oplegt aan het bestuur, geeft deze bepaling uiteraard ook een verantwoordelijkheid aan de raad van commissarissen om het bestuur hierop aan te spreken indien het deze plicht niet behoorlijk nakomt. Artikel 2:391 BW bepaalt dat het bestuur in het jaarverslag onder meer een beschrijving geeft van de voornaamste risico’s en onzekerheden.
Advertisement
Nederlandse Corporate Governance Code Een van de ook bij OOB’s en de (grotere) structuurvennootschappen ingeburgerde principes van de NCGC is dat de vennootschap dient te beschikken over adequate interne risicobeheersings- en controlesystemen en dat het bestuur verantwoordelijk is voor het identificeren en beheersen van de risico’s verbonden aan de strategie en de activiteiten van de vennootschap. Tegen deze achtergrond moet het bestuur zorgen voor onder meer
risicoanalyses van de operationele en financiële doelstellingen en een systeem van monitoring en rapporteren. Opvolgend bespreekt het bestuur de effectiviteit van de opzet en de werking van de AO&IC met de auditcommissie en legt het daarover verantwoording af aan de raad. Daarnaast moet het bestuur de opzet en werking van dit systeem in het jaarverslag beschrijven en daarbij ingaan op de voornaamste risico’s, gebleken tekortkomingen en de gevoeligheid van de gesignaleerde risico’s voor materiële wijzigingen in externe omstandigheden. Dit alles mondt uit in de zogenaamde In control statement van het bestuur, haar verklaring: - omtrent de werking van de beheersingssystemen; - dat deze systemen een redelijke mate van zekerheid geven; - dat de financiële verslaglegging is opgesteld op going concern basis; - en dat hierin de materiële risico’s en onzekerheden omtrent de verwachting van continuïteit zijn vermeld.
Volgens de NCGC omvat het toezicht van de raad van commissarissen onder meer de effectiviteit van de AO&IC en de kwaliteit van de financiële verslaggeving. De raad moet zich dus ervan vergewissen dat voormelde verklaring van het bestuur in het jaarverslag is opgenomen. Dit laatste geldt in zoverre ook voor de accountant dat deze op zijn beurt een (goedkeurende) verklaring bij de jaarrekening pas zal afgeven nadat het bestuur dit heeft gedaan. Ook in tal van andere governance codes treft men voorschriften en aanwijzingen voor de risicobeheersing en de In control verklaring van het bestuur. Hier wordt alleen naar de NCGC verwezen omdat haar bepalingen over risicobeheersing model hebben gestaan voor soortgelijke regelingen in andere sectoren en de Ondernemingskamer zoals al eerder opgemerkt de governance van andere rechtspersonen in voorkomende gevallen ook toetst aan de principes en best practices van deze code.
Kortom, de conclusie die uit het vorenstaande kan worden getrokken, is dat risicobeheersing een belangrijk onderdeel van het toezicht is geworden.
Managen van risico’s
Een veel gehanteerde definitie van risicomanagement, ontleend aan de breed geaccepteerde internationale standaard van COSO voor het interne beheersingssysteem (COSO ERM34), luidt: “Risicomanagement is het continue proces waarin getracht wordt de risico’s, die het behalen van de organisatiedoelstellingen kunnen beïnvloeden, te identificeren, prioriteren, analyseren en te beheersen”. Hierbij wordt opgemerkt dat risicomanagement niet is beperkt tot het beheersen van bedreigingen of negatieve gebeurtenissen. Ook het missen van kansen wordt gezien als risico. Goed risicomanagement stelt het bestuur in staat op een efficiënte wijze met onzekerheden en de hieraan verbonden risico’s en kansen om te gaan, teneinde het waarde creërend vermogen van de onderneming te behouden dan wel te versterken. Risicomanagement creëert dus waarde en faciliteert continue verbetering en versterking van de organisatie, want: • het is een integraal onderdeel van de bedrijfsprocessen en de besluitvorming; • het is een systematisch proces dat gestructureerd en op gezette tijden plaatsvindt; • het is transparant, overal aanwezig en houdt rekening met menselijke, maatschappelijke en culturele omstandigheden; • het is dynamisch, interactief en reageert op veranderingen.
De ontwikkelingen op dit terrein worden gekenmerkt door een beweging van reactief naar proactief risicomanagement. Dit laat zich als volgt in beeld brengen (figuur 17):
Figuur 17
Traditioneel risicomanagement
• Primair gebaseerd op beheersingsmaatregelen, geen voorspellende waarde • Risico-informatie is gekoppeld aan frequentietesten beheersingsmaatregelen • Beperkt zicht op de kosten van beheersing in relatie tot risicomanifestatie • Veel handmatige beheersingsmaatregelen • Risicomanagement als ‘feestje’ van stafafdelingen • Geïsoleerde risicomanagementrapportages • Met name aandacht voor ‘harde kant’ van het risicomanagementproces
Risicomanagement als ‘Early Warning Systeem’
• Gericht op voorkomen van risico’s en tijdig bijsturen • Continue risico-informatie gebaseerd op risicosymptomen (risico-indicatoren) • Optimale afstemming tussen kosten van beheersing en risico’s • Maximaal gebruikmaken van systeemcontroles (met name voor
Operationeel Risk Management) • Risicomanagement als onderdeel van integraal management • Rapporten over risico’s als onderdeel van reguliere Planning & Control-cyclus • Soft controls belangrijke basis voor inrichting
Rol van de raad van commissarissen
Op het onderhavige terrein dient de raad van commissarissen zicht te hebben op de risicobereidheid (risk appetite) van de onderneming c.q. haar bestuur in relatie tot haar strategische doelstellingen en zich de vraag te stellen of hij deze aanvaardbaar acht. Daarnaast moet de raad een helder beeld hebben van de belangrijkste risico’s die afbreuk kunnen doen aan het behalen van die strategische doelstellingen. Dat gaat niet alleen over harde aspecten (procedures, richtlijnen financiën, enz.) maar zeker ook over zaken als gedrag en cultuur en risico’s die daaruit voortvloeien. Hiertoe moet de raad het antwoord zoeken op de vraag of er sprake is van een cultuur waar risicobeheersing optimaal tot z’n recht kan komen. Zoals in paragraaf 5.1 is de tone at the top hiervoor het vertrekpunt, gevolgd door de informatie van het bestuur die goed en inzichtelijk moet zijn. Maar zeker is hier ook een zekere haalplicht voor commissarissen die verder gaat dan het opvragen van documenten en neerkomt op het zich actief inleven en het ontwikkelen van gevoel voor de bedrijfscultuur.
Risicobeheersing kan op vele manieren worden vormgegeven en vastgelegd. Het gaat erom dat de gedefinieerde risico’s, gemaakte inschattingen, genomen maatregelen en procedures in één systeem worden opgenomen. Daardoor kunnen witte vlekken of overlappingen worden geconstateerd en verholpen. Moeilijk is concreet aan te geven vanaf welke omvang, complexiteit of geografische spreiding van de onderneming een dergelijk systeem onmisbaar is maar het ligt voor de hand hiervoor aan te knopen bij de criteria voor het instellen van een OR. En verder kunnen gezond verstand en ervaring ook hier de weg wijzen.
Een algemene beschrijving van potentiële risico’s gaat het bestek van deze toolkit verre te buiten. Daarom wordt hier ter afronding van deze paragraaf volstaan met de belangrijkste aandachtspunten:
• Zorg voor voldoende kennis/inzicht in de organisatie, haar activiteiten, haar structuur en haar omgeving. Maak een inschatting van de interne beheersomgeving als fundament voor risicobeheersing inclusief risicohouding en (risico)cultuur. • Bespreek de uitkomsten van het proces van risico-identififi catie en risicoweging, stel vragen hierover en wees bedacht op elkaar versterkende risico’s. • Zorg voor voldoende inzicht in de interne beheersingssystemen via de rapportage van de (interne en externe) accountants. • Bevraag de externe en interne accountants over hun werkzaamheden ter beoordeling van de beheersingssystemen en rapportering ter zake aan het bestuur en de maatregelen die hierop zijn getroffen. • Bespreek met het bestuur eventuele veranderingen in het risicoprofi el of de interne beheersingssystemen, en beoordeel of de reactie van de raad van bestuur op de bevindingen van de externe en interne accountant toereikend is. Bespreek risico’s ook met het bestuur in het kader van de strategiebepaling en uitvoering. Hier zijn de belangrijkste risico’s te ondernemen. • Laat periodiek vaststellen of de onderneming nog steeds adequaat is verzekerd voor bedrijfsschade, wettelijke aansprakelijkheid, brand en ander onheil.
