9.5.1 Interne aansprakelijkheid — Art. 2:9 BW

Art. 2:9 BW bepaalt dat elke functionaris tegenover de rechtspersoon gehouden is de hem opgedragen taak behoorlijk te vervullen. Wanneer het een aangelegenheid betreft die tot de werkkring van twee of meer functionarissen behoort, is ieder van hen voor het geheel aansprakelijk ter zake van een tekortkoming, tenzij deze niet aan hem is te wijten en hij niet nalatig is geweest in het treffen van maatregelen om de gevolgen daarvan af te wenden. Volgens vaste jurisprudentie van de Hoge Raad is voor aansprakelijkheid ingevolge art. 2:9 BW vereist dat er sprake is van een ernstig verwijt.1

Ik beperk mij in deze paragraaf gemakshalve tot situaties waarin er een meerhoofdig orgaan is. In deze paragraaf zal ik ingaan op specifieke gedragsnormen voor het bestuur als collectief ten aanzien van risicobeheersing. De mogelijkheid van individuele leden van dit orgaan om zich te disculperen voor een tekortkoming in de collectieve taakvervulling terzake wordt later behandeld, in pat 9.7.

Bij risicobeheersing kan globaal een onderscheid worden gemaakt tussen twee belangrijke componenten. In de eerste plaats de risicobeheersingsprocessen: de modellen, procedures en richtlijnen. In de tweede plaats de "softe component" de menselijke factor. Als het gaat om risicostrategie en toezicht op de risicobeheersing binnen de onderneming, is de human factor een hele belangrijke component. Risicobeheersing is een gebied met veel principes en open normen, die per definitie niet rule based zijn. Ethische principes vormen immers geen gesloten systeem. Anders dan op de financiële administratie van een onderneming, kan er geen afvinkmentaliteit op worden losgelaten. In de praktijk blijkt het wezenlijk verschil uit te maken of er binnen een onderneming een afvinkmentaliteit heerst, of dat er meer sprake is van een transparante cultuur.3 In een dergelijke transparante cultuur wordt geaccepteerd dat er beperkingen zijn aan risicobeheersing4 en bevorderd dat de juiste kritische vragen worden gesteld door "filo soof-koningen"5 en anderen binnen de onderneming in het proces van risico-identificatie, -analyse en het schattingsproces, buiten de gebaande paden van de modellen om. Daarbij kunnen eventueel ook externe deskundigen worden geraadpleegd om de openheid van het proces te vergroten. Cools wees er in dit verband op dat goed ondernemingsbestuur gaat om geïnternaliseerd integer gedrag, over transparant verantwoording afleggen over resultaten en risico's als tweede natuur, en niet over het naleven van regeltjes. 6 De hiervoor in par. 8.3.7 genoemde tone at the top is één van de belangrijkste drijvende factoren op dit gebied.7

Veelgenoemd is in dit verband de negatieve invloed die uitgaat van (over) dominant gedrag van bepaalde CEO 's, die geen tegenspraak dulden — wel getypeerd door Cools als zonnekoningengedrag.8 In de praktijk blijkt dit wel een belangrijke factor te zijn bij debacles.9 Overigens zijn niet alleen CEO's vatbaar voor het zonnekoningensyndroom. De vraag kan gesteld worden in hoeverre de top performers in de machowereld van de investment bankers en handelaren kritische vragen over risico's en de analyse daarvan toelieten.10 Zo concludeerde Aziz consultants: "In the research examining business views on the causes of the financial meltdown, 89 per cent of executives agree that a culture which `encouraged and rewarded the taking of excessive risk' contributed to the current financial crisis, while 83 per cent believe that the failure to understand the risk that many financial institutions were running was fuelled by the "macho" culture of many City farms. According to the research, nearly three-quarters (74 per cent) believe that in the recent boom, any senior executive advocating caution would be regarded as wimpish' or lacking in competitive drive."11 Gecombineerd met de hierna te bespreken in onderzoeken wel gesignaleerde vaktechnische kennisachterstand van sommige bestuurders ten opzichte van deze top performers, is dat een gevaarlijke mix.

Op zichzelf is dergelijk, vanuit governance perspectief onwenselijk, gedrag geen zelfstandige grond voor aansprakelijkheid. In rechtszaken over wanbeleid wordt een dominante positie van een bestuurder soms wel als gesignaleerde omstandigheid benoemd.12 Maar vanuit aansprakelijkheidsperspectief bezien lijkt dit een moeilijk grijpbaar verschijnsel. Een rechter zal derhalve in een zaak waarin mogelijk sprake is van een verkeerde tone at the top zoeken naar duidelijkere aanknopingspunten, die overigens onder omstandigheden wel weer symptomen kunnen zijn van het zonnekoningensyndroom.

In de jurisprudentie zijn verschillende onderdelen van risicobeheersing aan de orde geweest, ook al is die problematiek niet altijd expliciet als zodanig benoemd. In die zaken ging het veeleer om beslissingen in specifieke zaken, zonder dat daar een eenduidige lijn werd uitgezet. Hierna zal worden gefocust op de meest in het oog springende punten voor het bestuur als het gaat om risico's en de beheersing daarvan, die ieder een rol kunnen spelen bij de beoordeling of er sprake is van onbehoorlijke taakvervulling van het bestuur. Ik heb een lijst samengesteld van 13 punten, die nauw aansluiten bij de hiervoor besproken, in de bedrijfskunde ontwikkelde, componenten van risicobeheersing. Aan de hand van de beschikbare Nederlandse jurisprudentie zullen deze onderdelen worden geïllustreerd en bezien wat terzake de gedragsnorm is voor behoorlijk bestuur.15 Het gaat om de volgende 13 punten:

Opgemerkt zij nog dat in de praktijk een risicobeheersingsfout zelden alleen komt. Meestal is er sprake van een verzameling fouten en gebeurtenissen die ertoe leiden dat er een bepaald verlies ontstaat. Uiteindelijk zullen rechters deze fouten en omstandigheden in onderlinge samenhang betrekken in hun beoordeling.

De keuze voor een risicovol beleid op zich — mits goed geïnformeerd en gedocumenteerd — is op zichzelf geen onbehoorlijke taakvervulling. Een dergelijke beleidskeuze is een beoordeling waarbij het bestuur een grote mate van (ondernemers)beleidsvrijheid heeft.

Dat er een bepaalde beleidsvrijheid is, maakt niet dat er volledige vrijheid is voor het bestuur. Ook ten aanzien van de strategiekeuze kan een rechter oordelen dat er sprake is van een ernstig verwijt, zij het dat voor het aansprakelijkheidsoordeel een hoge drempel aangelegd dient te worden.

Naar mijn mening zullen in dit verband onder meer de aard van de onderneming, het doel van de vennootschap, de aard van de activiteiten van de onderneming, statuten en overige interne richtlijnen, en niet in de laatste plaats de (gecommuniceerde) risk appetite van belang zijn.20

Een preliminaire vraag ten aanzien van de risk appetite is of er grenzen zijn aan de keuze voor een risk appetite. Binnen de grenzen van wat geoorloofd is op basis van wet- en regelgeving, statuten en overige interne richtlijnen, is het bestuur in principe vrij om de risk appetite te bepalen. Zo zou een risk appetite geen uitdrukking mogen zijn van strafbare feiten, gedrag dat onrechtmatig is jegens derden of in strijd is met voor dat type onderneming geldende eisen, zoals solvabiliteitseisen die in wet- en regelgeving worden gesteld voor banken. Voor het overige is het bestuur daar vrij in; een bestuur kan dus voor een grote risk appetite kiezen.

De risk appetite kan binnen het geheel van relevante omstandigheden als één van de toetsstenen dienen voor de beoordeling van bestuurlijk gedrag; deze kan immers gezien worden als de grondslag van het risicobeheersingssysteem. In pat 8.3.2 is als voorbeeld aangehaald het verschil in risk appetite van een hedgefonds en een pensioenfonds. In het licht van de toepasselijke risk appetite van die fondsen kan een bepaalde agressieve beleggingsstrategie voor het hedgefonds binnen de risk appetite vallen, terwijl dit voor het pensioenfonds daarbuiten valt. Dat kan aanleiding zijn om te oordelen dat de keuze voor die beleggingsstrategie door het bestuur van het pensioenfonds onbehoorlijke taakvervulling is.

Gezien de gesignaleerde voorkeur van rechters om te toetsen aan concrete bij voorkeur kwantificeerbare — interne richtlijnen, verdient het formuleren van de risk appetite bijzondere aandacht. Nu de risk appetite een rol kan spelen bij de beoordeling van de behoorlijkheid van de taakvervulling van het bestuur, is het van belang dat de risk appetite uiting geeft van een verantwoorde, realistische risicobereidheid, die past bij de feitelijke situatie van en mogelijkheden binnen de onderneming, in plaats van dat deze een puur aspirationeel doel aangeeft. Het gaat om een risk appetite die de onderneming kan waarmaken, niet om het formuleren van ambities van het bestuur. Een belangrijk aandachtspunt zal derhalve zijn of de risk appetite verantwoord is in de zin dat deze daadwerkelijk in overeenstemming is met de mogelijkheden van de onderneming, en niet slechts met de perceptie die het bestuur daarvan heeft.

Wanneer de risk appetite publiekelijk wordt gecommuniceerd kan deze ook een bepaalde mate van derdenwerking hebben. Dit schetst het dilemma dat als een bedrijf een risk appetite formuleert en communiceert, het bedrijf — en zijn bestuurders — daarop afgerekend kan worden. Voorzichtigheid is daarbij derhalve geboden.21 De positieve keerzijde daarvan is dat gezegd kan worden dat er bij derden die handelen met de onderneming of bij toetredende aandeelhouders die bekend zijn met de risk appetite van die onderneming ten aanzien van bepaalde activiteiten, sprake is van risicoaanvaarding terzake. In dat geval zou dat een rechtvaardigingsgrond zijn die de onbehoorlijkheid of onrechtmatigheid van het gedrag van de bestuurders wegneemt.22

Voor zover er geen expliciete risk appetite is geformuleerd, kan het globale risicoprofiel mogelijk ook worden afgeleid van de aard van de onderneming en clientèle. In het Staleman/Van de Ven-arrest werden de aard van de door de vennootschap uitgeoefende activiteiten en de daaruit voortvloeiende risico's genoemd als relevante omstandigheden voor de vaststelling van een ernstig verwijt.23

Het kan echter een lastige taak zijn om op deze manier het risicoprofiel van een onderneming af te leiden. Neem bijvoorbeeld KPN. Bij de privatisering werd KPN gepositioneerd als een solide, stabiel bedrijf — een volksaandeel. Door een reeks overnames wijzigde het risicoprofiel echter. Uiteindelijk ontsnapte het bedrijf ternauwernood aan een faillissement. Of Enron, dat zich van een low profile nutsbedrijf tot het grootste handelshuis in energie(derivaten) op de Amerikaanse markt ontwikkelde.25 Het risicoprofiel van een onderneming kan wijziging ondergaan, zonder dat dit expliciet wordt medegedeeld aan de markt.

Hiervoor is weergegeven dat voor rechters een belangrijke toets is of de besluitvorming rond belangrijke onderwerpen afdoende zorgvuldig is verlopen. Daaronder wordt onder meer begrepen of bestuurders zich afdoende hebben laten informeren en desnoods verder onderzoek hebben ingesteld ter voorbereiding van de besluitvorming. Wanneer de keuze van het bestuur over een strategie of andere materiële kwestie is genomen zonder enig of adequaat onderzoek naar mogelijke risico's en de waarschijnlijkheid en effecten daarvan, kan onder omstandigheden sprake zijn van bewust roekeloos handelen.26 Een en ander zal afhangen van omstandigheden als het belang van de genomen beslissing, of er reeds ervaring of routine was met soortgelijke beslissingen binnen het bestuur, de aard en waarneembaarheid van de gelopen risico's en de tijdspanne waarin de beslissing genomen moest worden. Zie over proceszorgvuldigheid bij besluitvorming ook hiervoor pat 9.2.

De mate van geïnformeerdheid en de in acht genomen afgewogenheid bij het nemen van belangrijke bestuursbeslissingen wordt in de jurisprudentie in allerlei contexten — zoals bij de keuze voor een strategie of het doen van een overname — relevant geacht.27 Illustratief zijn in dit verband ook de voorbeelden van onbehoorlijk bestuur die in de wetsgeschiedenis van de Tweede en Derde Misbruikwetgeving worden aangehaald: het zich niet tevoren vergewissen van de (financiële) betrouwbaarheid van contractspartners,28 het zich in belangrijke transacties niet voorzien van voldoende deskundige voorlichting en bijstand,29 het nemen van beslissingen met vergaande financiële consequenties zonder behoorlijke voorbereiding30 en risico-analyse31 en het onvoldoende verifiëren van voor het welslagen van transacties wezenlijke voorwaarden.32

Bij gebreke van een geïnformeerde voorbereiding kan het zo zijn dat de waarschijnlijk- of mogelijkheid wordt aanvaard dat schade wordt veroorzaakt door het handelen, doordat bepaalde voor de hand liggende risico's zich zullen verwezenlijken en een grote financiële impact kunnen hebben.

Een nader onderzoek is overigens niet altijd vereist. De vereisten die aan het instellen van een onderzoek en de omvang van een eventueel onderzoek mogen worden verlangd zullen ook afhangen van de omstandigheden van het geval.35

Als risicobeheersingssystemen afwezig zijn bij een beursgenoteerde onderneming, dan is een fundamentele best practice bepaling 11.1.3 en — in geval van banken zijn de voorschriften van art. 20 Bpr — geschonden. In het algemeen kan de algehele afwezigheid van — of aanwezigheid van gebrekkige — risico-beheersingssystemen (daaronder begrepen interne controlesystemen) leiden tot de conclusie dat er sprake is van onbehoorlijke taakvervulling.37Uiteraard zal alleen wanneer vervolgens een bepaald niet (effectief) beheerst risico zich realiseert, de aansprakelijkheidsvraag aan de orde komen; alleen dan wordt er schade geleden.38

Als uitgangspunt kan gelden dat ook vennootschappen waarop de Nederlandse Corporate Governance Code 2008 niet van toepassing is, een vorm van risicobeheersing dienen in te stellen.

De afwezigheid van een (adequaat) risicobeheersingssysteem is de meest verstrekkende systeemfout. Bij de beoordeling over verantwoordelijkheid voor een systeemfout dient eerst te worden vastgesteld welke fout er in het systeem zit en op welk niveau binnen de onderneming. Vervolgens dient te worden bezien of de bestuurder bekend was met de systeemfout. Aanwijzingen voor bekendheid daarmee kunnen vormen een management letter van de accountant waarin bepaalde oordelen ter zake van het risicobeheersingssysteem worden vermeld,39 of de door DNB gegeven kwalificatie van "weakness" volgens de door haar gehanteerde risico-analyse methode Financial Institutions Risk analysis Method ("FIRM’’).40’41

Wanneer dat het geval was, dient te worden onderzocht welke beslissing de bestuurder heeft genomen op basis van die kennis, waarbij ook nog sprake kan zijn van een beoordelingsfout.

De vereisten die per onderneming aan een dergelijk systeem mogen worden gesteld zullen afhangen van de aard, omvang, complexiteit en levensfase van de onderneming, gebruiken binnen de branche en de aard van de gelopen risico 'S.42 Kleine ondernemingen hebben veel van de voor grote ondernemingen benodigde onderdelen van controlesystemen niet nodig.43 Bovendien kan het nut van bepaalde controlesystemen afhankelijk zijn van de levensfase van de onderneming 44 Het bestuur van een kleinere start-up onderneming heeft vaak betere en uit eerste hand kennis van wat er op de "werkvloer" gebeurt, zonder dat daarvoor formele rapportagestructuren nodig zijn. Maar zelfs van vrij eenvoudige, kleine ondernemingen kan verwacht worden dat er bijvoorbeeld een beperking aan procuraties wordt gesteld en verkoop-, betalings- en controleactiviteiten gescheiden worden.45 Ook dat is een (simpele) vorm van risicobeheersing.

Het bestuur kan ter zake van de opzet en de mate van gedetailleerdheid van het systeem een belangenafweging maken. Een belangrijke afweging zal daarbij de kosten/baten-analyse zijn en het effect van het instellen van een systeem op de innovatieve kracht binnen de onderneming doordat het de flexibiliteit van werknemers beperkt.46 Nu het hier gaat om een beslissing in de categorie beoordelingen, heeft het bestuur terzake een zekere beleidsvrijheid. Van belang is dat ook deze beslissing zorgvuldig wordt voorbereid.

Wanneer de bestuurder geen specifieke kennis had van de systeemfout, dient te worden beoordeeld of de bestuurder bekend behoorde te zijn met de systeemfout; of de systeemfout aan hem kan worden toegerekend, ondanks de afwezigheid van kennis daarvan. Waren er waarschuwingssignalen bekend aan de bestuurder dat het systeem niet effectief was? Te denken valt aan incidenten die zich hebben voorgedaan binnen de onderneming waarbij het bestuur voor verrassingen kwam te staan omdat de waarschijnlijkheid en effecten van bepaalde risico's onvoldoende waren onderkend, waaruit was af te leiden dat de gehanteerde risico-analyse-modellen niet adequaat waren.

Indien de bestuurder noch beschikte, noch behoorde te beschikken over kennis over de systeemfout, is er geen sprake van een toerekenbare onbehoorlijke taakvervulling.

Er zijn talrijke uitspraken die handelen over de afwezigheid van boekhouding of de aanwezigheid van materiële tekortkomingen daarin. Dat is een onderdeel van het financiële risicobeheersingsproces.

Ten aanzien van de kwaliteit en werking van die systemen past een actieve en alerte opstelling van het bestuur, waarbij die systemen dienen te worden aangepast als de organisatie groeit of anderszins wijzigingen ondergaat.50 In dit verband strekt het tot aanbeveling om periodiek de werking en de opzet van systemen van risicobeheersing en interne controle te onderzoeken en externe deskundigen, zoals accountants of risicobeheersingsconsultants, dit te laten beoordelen. In een situatie van groei van de organisatie past extra alertheid: organische groei van een organisatie kan ertoe leiden dat de aanwezige systemen niet meer voldoen gezien de vergrote of meer gediversifiseerde schaal van de activiteiten.

Daarnaast vergt de situatie waarin de vennootschap op overnamepad is bijzondere aandacht. Allereerst gaat het dan om de kwaliteit van de eigen systemen van de vennootschap — heeft het bestuur onderzocht of die systemen wel een acquisitie aankunnen?

In de tweede plaats gaat het om de kwaliteit van de systemen bij de targetvennootschap. Wat is de kwaliteit van de systemen, in hoeverre kan de in het kader van het due diligence onderzoek over de targetvennootschap verkregen informatie als betrouwbaar worden beschouwd in het licht van die kwaliteit?

Ten slotte is ook een belangrijk aandachtspunt de wijze waarop de systemen van de targetvennootschap en de overnemende vennootschap na de overname mogelijk geïntegreerd en op elkaar afgestemd kunnen worden.53 Hoewel in zo'n situatie niet meteen wordt verwacht dat de onderneming direct na de verwerving in full control is, is er wel een bepaalde ondergrens.

Relevant is nog de vraag in hoeverre bestuurders zich voor de werking van risicobeheersings- en interne controle-systemen mogen verlaten op werknemers en adviseurs.56

In deze categorie valt een aantal verschillende fouten. Het kan allereerst gaan om een gebeurtenis waarvan op basis van historische informatie niemand het voor mogelijk had gehouden dat deze zich zou voordoen; onbekende risico's, ook wel black swans genoemd. Deze term vindt zijn herkomst in het verschijnsel dat in het 17' eeuwse Europa algemeen werd aangenomen dat alle zwanen wit waren. Totdat in de 18e eeuw een zwarte zwaan werd ontdekt in Australië....59 In zijn bestseller "The Black Swan" omschrijft Taleb een black swan als een moeilijk te voorspellen, zeldzame gebeurtenis met extreem grote effecten, die buiten het normale verwachtingskader valt.60 Voorbeelden van black swans zijn de aanslagen van 11 september en de uitvinding van internet.61 Taleb betoogt dat het in de aard van de mens ligt om nadat dit soort gebeurtenissen hebben plaatsgevonden deze te verklaren, opdat ze begrijpelijk en voorspelbaar worden.

Naar mijn mening zouden er bij pure gevallen van black swans — realisatie van risico's in de categorie "unknown unknowns"62— in principe geen sprake moeten zijn van onbehoorlijke taakvervulling met betrekking tot de omstandigheid dat deze risico's niet zijn geïdentificeerd. Waar het wel om zal gaan is de reactie van de onderneming op het zich voordoen van een dergelijke black swan. In algemene zin zou goed bestuurderschap vergen dat er algemene noodscenario's worden ontwikkeld binnen de onderneming voor low probability, high impact events en dat daarvoor een bepaalde veiligheidskapitaalbuffer wordt aangehouden.63

Een andere categorie vormen de "unknown knowns" — risico's die wel bekend zijn, maar niet bekend bij diegenen die de risico-analyse uitvoeren of naar aanleiding daarvan daarover besluiten.64 Daarbij kan het overigens zo zijn dat die risico's wel ergens binnen de organisatie bekend zijn, maar niet bij het bestuur.65 In de onderneming bekende risico's kunnen worden uitgesloten van de risicoanalyse door een fout in de organisatie.66Risico-identificatie vindt met name plaats op basis van input van personeel. Veelal geschiedt dat doordat risicogegevens "bottum up" worden verzameld, vanuit de business units, naar het hogere management totdat de geaggregeerde informatie uiteindelijk het bestuur bereikt.67 Deze informatie is niet alleen geaggregeerd, maar ook gefilterd, waardoor zgn. inventarisatiefouten kunnen optreden.68 Dat filteren kan op verschillende manieren plaatsvinden. Allereerst kan het zo zijn dat de personen werkzaam in de verschillende business units zelf een filter toepassen, door bepaalde hen bekende risico's niet te melden. Achterliggende redenen kunnen zijn een verkeerde schatting van waarschijnlijkheid en verwachte gevolgen van het risico, maar ook meer opportunistische redenen. Denkbaar is dat het identificeren van een bepaald risico allerlei werk met zich zal brengen in het kader van de kwantificering of beheersing daarvan; werk waarop het lagere personeel mogelijk niet zit te wachten. Of dat managers slecht nieuws achterhouden in de hoop dat het nog wel goed komt.69 Opgetekend uit de mond van Leeson, de rogue trader bij Barings: "But when things start to go wrong, you hide your losses and blithely try to carry on in the hope that you can recoup them. You can 't tell your colleagues that you 've lost money - the macho ethics of the trading desk do not tolerate admissions of failure. You certainly can 't tell your wife that your high-end life is at an end."70

Daarnaast zou het identificeren van een risico met een grote impact wel eens kunnen leiden tot de beslissing van hoger management om een activiteit te beëindigen. Binnen het risicobeheersingsvakgebied wordt daarvoor wel het voorbeeld gebruikt van iemand die met een gebogen hoofd op de rails loopt en centen opraapt die op de rails liggen, zonder dat hij oog heeft voor de sneltrein die in volle vaart op hem afkomt. Op de korte termijn levert zijn activiteit een bescheiden winst op, maar die weegt evident niet op tegen het hem tegemoet komende risico met grote schadelijke gevolgen. Dit soort situaties zijn bijvoorbeeld denkbaar bij hedgefondsen die zeer kleine marges maken op arbitragehandel, maar daarbij ook zeer grote risico's lopen.71 Het informeren omtrent geïdentificeerde risico's zou er wel eens toe kunnen leiden dat hoger management kleine koninkrijkjes binnen de onderneming afbreekt. Om die reden kunnen dergelijke risico's door het lagere niveau wel worden verzwegen. Dit soort informatiefiltering kan ook op hoger niveau binnen de organisatie plaatsvinden, zelfs op het niveau van het bestuur. Dan is de raad van commissarissen de laatste controlepost, waarbij deze zich voldoende gewapend dient te hebben met kennis en gezag om de bestuurders — die veelal terzake over meer kennis beschikken — adequaat tegenspel te bieden.

Andere risico's die gewoonweg over het hoofd worden gezien zijn bijvoorbeeld risico's die van andere aard zijn dan de risico's die normaliter samenhangen met een bepaalde activiteit, risico's die verband houden met hedge strategieën ter beheersing van bepaalde andere reeds geïdentificeerde risico's en het effect op de marktwaarde van goederen indien de markt wordt gedomineerd door een aantal grote spelers.72 Een ander bekend verschijnsel is dat bepaalde risico's die een waarschijnlijkheid hebben van één maal in de 100 of 500 jaar, niet mee worden meegenomen in bepaalde risicoanalyse modellen, omdat deze als te onwaarschijnlijk worden geacht om deze mee te nemen in een betrouwbare risico-analyse. Op zich werken de modellen wel goed, alleen dat soort extreme scenario's worden niet meegenomen. Op een lager niveau binnen de organisatie vindt dan reeds een risicoselectie plaats, zonder dat dergelijke keuzes expliciet aan hoger management worden medegedeeld. Toepassingen van gehanteerde modellen door bepaalde banken mankeerden een dergelijk euvel, terwijl deze modellen als best practice werden beschouwd. Daarop zal hierna in par. 9.6.2 worden ingegaan. In onderzoeken naar de oorzaken van de financiële crisis werd gesignaleerd dat er onvoldoende aandacht werd besteed aan de ontwikkeling van stress-testen en de resultaten daarvan. Het OECDrapport zegt hierover: "This is a clear corporate governance weakness since the board is responsible for reviewing and guiding corporate strategy and risk policy, and for ensuring that appropriate systems for risk management are in place. [...] Stress testing must form an integral part of the management culture so that results have a meaningful impact on business decisions."73

Bij banken werden wel wiskundige modellen ontwikkeld en toegepast door 20-ers en 30-ers — veelverdienende quants74— die zich bedienden van Greeks75,zich helemaal hadden gespecialiseerd in specifieke modellen soms zelfs ontwikkeld door Nobelprijswinnaars zoals het optie-model van Merton en Scholes76 — en die beschikten over de laatste state-of-the art techniek en inzichten. Door het gebruik van computers konden ook steeds ingewikkeldere modellen worden ontwikkeld.77 Onderzoek signaleerde dat bestuurders (en commissarissen) dergelijke modellen en de aannames die daaraan ten grondslag lagen regelmatig niet doorgrondden. In de praktijk is wel gebleken dat op sommige punten de kennisvoorsprong van de "mannen op de vloer" ten opzichte van de board room onoverbrugbaar was.

Dit roept overigens vrij fundamentele vragen op over waar de grens ligt voor de complexiteit en omvang van de activiteiten van de onderneming en wanneer bestuurders die grens moeten trekken. Mogen zij afgaan op de deskundigheid van deze quants en anderen, of dienen zij de activiteiten meer terug te brengen naar de basis, opdat bestuurders de risico's beter kunnen overzien en beheersen? Wat zijn de grenzen aan de wenselijkheid van het verspreiden van risico's over een veelvoud van partijen ter mitigering van risico's, terwijl daarmee de intransparantie van concentratie en effecten van risico's wordt vergroot?78 Dergelijke fundamentele keuzes vallen binnen de risicostrategie van de onderneming. Het is aan het bestuur om deze grenzen te trekken en te zorgen dat er overzicht blijft over de ondernemingsactiviteiten en de daarmee gepaard gaande strategische risico's en dat deze beheersbaar blijven. Omdat er menselijkerwijs grenzen zitten aan de span of control van het bestuur, zitten er ook grenzen aan een verantwoorde omvang van een onderneming. In dit kader past het verschijnsel dat banken hun producten-pakket gaan aanpassen. Zo signaleerde kredietbeoordelaar Fitch in een recent onderzoek dat grote banken de verwachting hadden uitgesproken dat complexe derivaten op gestructureerde financiële producten gaan verdwijnen.79

Anderzijds wordt in het proces van risicobeheersing ook juist bewust een filter ingebouwd. Een voorbeeld van een dergelijk systeem is dat de business units al hun risicogegevens verzamelen — wat wel kan gaan om 100 verschillende risico's —, deze vervolgens naar de risicofunctie of -commissie sturen, die deze informatie vervolgens versmalt naar zeg de 10 belangrijkste risico's naar mate van waarschijnlijkheid en impact.80 Op basis daarvan kan een "risk heat map" of kans/schadeomvangmatrix81 worden gemaakt, waarin deze belangrijkste risico's worden vermeld naar gelang van waarschijnlijkheid en impact. De aandacht van het bestuur zal dan gefocust zijn op het beheersen van deze en niet andere — risico's. Belangrijk is dat het helder is voor het bestuur op basis van welke (materialiteits)criteria de selectie wordt gemaakt van de risico's die aan het bestuur worden voorgelegd en dat zij zonodig deze criteria laat bijstellen.

Bij de beoordeling van de behoorlijkheid van het gevoerde bestuur zal het er in dergelijke situaties op aankomen in hoeverre het een verzaking van de taak oplevert dat het onbekend was met bepaalde risico's. Kennis van ondergeschikte werknemers kan niet zonder meer worden toegerekend aan de bestuurders. Dit is een belangrijke constatering, gezien de bevindigen van de Senior Supervisors Group: "In some cases, hierarchical structures tended to serve as filters when information was sent up the management chain, leading to delays or distortions in sharing important data with senior management. In contrast, some farms effectively removed organization layers as events unfolded to provide senior managers with more direct channels of communication."82

Bestuurders mogen in belangrijke mate afgaan op de werknemers in de organisatie en de informatie die zij verstrekken.83 Bestuurders kunnen echter in de gevarenzone komen indien zij waarschuwingssignalen vanuit de organisatie hebben genegeerd.

Bovendien is bij deze beoordeling volgens jurisprudentie van de Hoge Raad over art. 2:9 BW relevant "het inzicht en de zorgvuldigheid die mogen worden verwacht van een bestuurder die voor zijn taak berekend is en deze nauwgezet vervult"84 en wat betreft de taakvervulling: "[...] de wijze waarop een redelijk bekwame en redelijk handelende functionaris die taak in de gegeven omstandigheden had behoren te vervullen."85 In het kader van de beoordeling of er sprake was van kennelijk onbehoorlijk bestuur in de zin van art. 2:248 BW heeft de Hoge Raad als toets aangelegd "als geen redelijk denkend bestuurder — onder dezelfde omstandigheden — aldus gehandeld zou hebben."86 Bij de beantwoording van de aansprakelijkheidsvraag wordt derhalve niet alleen gekeken naar de daadwerkelijke kennis en vaardigheden waarover een bestuurder in het concrete geval beschikte, maar vindt een zekere objectivering plaats. In dat verband zal dus aan de orde moeten komen wat van een redelijk bekwame bestuurder aan vaardigheden en inzicht verwacht mocht worden op het gebied van risico-identificatie en -analyse. Daarbij spelen allerlei omstandigheden een rol, zoals de aard van de onderneming, de in het geding zijnde producten en risico's, de beschikbare informatie e.d.

Voor de eisen die mogen worden gesteld aan het handelen van bestuurders op het gebied van risicobeheersing zou een vergelijking kunnen worden gemaakt met een bestuurder van een auto. Als een bestuurder van een auto op een snelweg rijdt en er springt opeens een hert voor zijn auto dat hij niet meer kan ontwijken, dan is dat in principe niet verwijtbaar. Indien er borden langs de weg stonden die waarschuwden voor overstekend wild, en de bestuurder zijn snelheid en zijn alertheid op overstekend wild niet heeft aangepast, kan de bestuurder in de gevarenzone komen. Als de bestuurder met een blinddoek achter het stuur zat, is er sprake van bewuste roekeloosheid, of zelfs voorwaardelijk opzet.

Als in een concreet geval zou blijken dat het bestuur bij materiële kwesties de onderneming feitelijk met een blinddoek heeft bestuurd, omdat er onvoldoende kennis en vaardigheden waren om de daarmee gepaard gaande risico's te begrijpen en te identificeren,87 kan wel gezegd worden dat geen redelijk denkend bestuurder aldus zou hebben gehandeld.

Wat moet een bestuurder van een onderneming begrijpen van de producten die worden gevoerd? Laten we om te beginnen eens kijken naar een bestuurder van een onderneming die auto's fabriceert. Van een redelijk bekwaam bestuurder in die functie mag worden verwacht dat hij begrijpt hoe een automatische versnellingsbak werkt en wat de materiële risico's zijn die verbonden zijn aan de productie en werking van dat onderdeel. Hij hoeft niet zelf in staat te zijn om die automatische versnellingsbak eigenhandig te kunnen monteren, of te weten hoeveel radertjes dat product bevat. Wel moet hij zich kunnen laten uitleggen wat de geschatte waarschijnlijkheid is van de realisatie van die risico's en de geschatte impact daarvan.

Dat geldt ook bij financiële producten. Een bestuurder hoeft niet zonder meer alles te weten van alle onderdelen van een bepaald financieel product. Dat hoeft hij niet zelf uit te kunnen rekenen — en hij mag daarbij in principe afgaan op informatie die derden hem daarbij aanreiken. Een bestuurder moet de uitleg die de deskundigen hem terzake geven begrijpen en de juiste kritische vragen kunnen stellen. Principe 3.1.2 van de Code Banken bepaalt in dit verband dat iedere bestuurder dient te beschikken over gedegen kennis van de financiële sector in het algemeen en het bankwezen in het bijzonder, en over grondige kennis om de hoofdlijnen van het totale beleid van de bank te kunnen beoordelen en bepalen en zich een afgewogen en zelfstandig oordeel te kunnen vormen over risico's die daarbij worden gelopen. Risico's die het bestuur (na nadere uitleg) niet begrijpt, zouden niet genomen moeten worden.

Indien een risico wel is geïdentificeerd, is een andere valkuil het te laag schatten van de waarschijnlijkheid of gevolgen van een mogelijk risico.88 Een dergelijke risico-schatting — mits gebaseerd op goed geïnformeerde en weloverwogen gronden — zal al gauw binnen de beleidsvrijheid van het bestuur vallen. Uit jurisprudentie valt af te leiden dat er een ruime marge aan bestuurders wordt gegund bij het maken van dergelijke schattingen.

Bij het schatten van risico's kan ook een rol spelen dat risico's indien zij zich concentreren of verband met elkaar houden een groter effect kunnen hebben dan de optelsom van de individuele risico's.95 Risico's kunnen ook worden gemaskeerd door vormen van creatief boekhouden. Het buiten de balans brengen van activa of passiva kan het overzicht op de financiële positie van een onderneming en de daarmee verbonden risico's vertroebelen. Dat geldt niet alleen voor het inzicht van derden — dan is immers de vraag naar misleidendheid van financiële verslaggeving aan de orde — maar kan zelfs gelden voor het bestuur (en de raad van commissarissen).

Zoals hiervoor in pat 8.3.1 uiteengezet, zijn er vier vormen van risicoreacties te onderscheiden: het vermijden van risico, het reduceren van de waarschijnlijkheid en/of effecten van het risico, het delen van risico's met anderen (door bijvoorbeeld verzekeren of hedgen) en het accepteren van het risico door terzake geen actie te nemen die de waarschijnlijkheid of effecten van het risico verminderen. Juridisch bezien is een interessante vraag of er beperkingen zijn aan de vrijheid van het bestuur om een bepaald type risicoreactie te kiezen, met name waar het gaat om de keuze tussen de twee risicoreacties verzekeren of accepteren van het risico door geen actie te ondernemen.96

In de Henkel-zaak (zie hierboven onder sub 4) oordeelde het Hof dat er geen onaanvaardbaar risico was genomen door het redemptierisico niet af te dekken door een verzekering.97 Dat laatste oordeel — waarvan de motivering niet is af te leiden uit het arrest van de Hoge Raad — is niet in cassatie getoetst.

Een belangwekkende vraag is of een bestuurder onder bepaalde omstandigheden is gehouden te kiezen voor een bepaalde risico-reactie, in dit geval het beheersen van risico's middels verzekering.101 Voorop staat dat er geen algemene gehoudenheid bestaat voor een bestuur om alle mogelijke risico's te verzekeren. Wel is van belang dat er voor dat bedrijf ten aanzien van voor de hand liggende risico's een goed geïnformeerde en wel overwogen beslissing aan vooraf is gegaan. Daarbij spelen een aantal omstandigheden een rol, zoals de risk appetite en het risicoprofiel van de onderneming, de waarschijnlijkheid van het risico — zo ligt het verzekeren tegen schade tengevolge van een aardbeving meer voor de hand in Californië dan in Nederland — , de verwachte schade bij realisatie, de financiële draagkracht van de onderneming om een eventuele schade zelf te dragen en verwachte premieuitgaven.102 In het afwegingsproces dient ook de kredietwaardigheid van de verzekeraar en de voorwaarden van de verzekering te worden betrokken.103 Bij het maken van die afweging heeft het bestuur een bepaalde mate van beleidsvrijheid.

Als na de risicoanalyse wordt gekozen voor de risicoreactie verzekering, vergt een behoorlijke taakvervulling mijns inziens in een specifiek geval dat het bestuur er op toeziet dat: i) er een verzekering wordt afgesloten; ii) de premie tijdig wordt betaald en aan de overige polisvoorwaarden wordt voldaan; en iii) de afgesloten verzekering tijdig wordt verlengd.104 Voor persoonlijke aansprakelijkheid van de bestuurder is dan wel vereist dat er een bewustzijn (wat mij betreft in de zin van opzet of bewuste roekeloosheid) was bij de bestuurder dat hieraan niet was voldaan.

Ik realiseer mij dat het bij verwezenlijking van dergelijke catastrofes om hele zure gevallen kan gaan: schade door brand, terrorisme, verkeersongelukken, aardbevingen, ontvoeringen, arbeidsongeschiktheid van werknemers, het overlijden van een artiest vlak voor een wereldtournee e.d., vallen in deze categorie. Het is evident dat het zich voordoen van dergelijke gebeurtenissen persoonlijke drama's kunnen veroorzaken bij alle bij de onderneming betrokkenen, ook de bestuurders. Het is vanuit aansprakelijkheidsperspectief echter van belang in het oog te blijven houden of, en zo ja welk risicobeheersingsproces en risicoreactiekeuze er binnen de onderneming ten aanzien van het verwezenlijkte risico vooraf zijn gegaan.

De vraag is wel of vanuit bestuurdersaansprakelijkheidsperspectief een onderscheid gemaakt zou moeten worden tussen enerzijds bedrijfseconomische risico's die betrekking hebben op het primaire bedrijfsproces en anderzijds externe risico's die niet voortvloeien uit dat proces. Voor beide soorten risicofactoren zijn wel — maar overigens niet altijd — verzekeringen af te sluiten, ook voor risico's die samenhangen met onderdelen van het bedrijfsproces. Te denken valt aan kredietverzekeringen en succes-verzekeringen, waarmee bepaalde sportclubs zich verzekeren tegen het risico dat ze kampioen worden of dat er tijdens een evenement een record wordt gebroken, zodat ze dan een uitkering ontvangen ter hoogte van de bonussen die zij volgens contractuele afspraak aan de sporters moeten betalen.106

Mits de betreffende risico's verzekerbaar zijn, zie ik eigenlijk geen aanleiding voor het maken van een dergelijk principieel onderscheid. Het zijn alle risico's waarmee de onderneming wordt geconfronteerd en ten aanzien waarvan de onderneming een keuze dient te maken uit de verschillende mogelijke risico-reacties. Aan die keuze dient een zorgvuldige risicoanalyse en geïnformeerde beslissing ten grondslag te liggen waarbij de hiervoor genoemde aandachtspunten relevant kunnen zijn. Indien dat ontbreekt, kan er op dezelfde manier sprake zijn van onbehoorlijke taakvervulling als het geval is bij beslissingen die betrekking hebben op het primaire bedrijfsproces.

Ik zou menen dat zonder contractuele grondslag, het nalaten door een bestuurder om een verzekering af te sluiten ten opzichte van crediteuren in principe niet onrechtmatig is. Indien er wel een contractuele verzekeringsplicht bestond jegens een derde, dient het gedrag van de bestuurder te worden getoetst aan — afhankelijk van de casus-positie — de in de arresten Beklamel107 resp. Holland New Belgium108 ontwikkelde normen.

Overigens bevatten sommige bestuurdersaansprakelijkheidsverzekeringen een uitsluiting voor claims die verband houden met het verwijt dat is nagelaten om verzekeringen af te sluiten. Deze ontwikkeling is voortgekomen uit de Amerikaanse markt. De achtergrond van die uitsluiting is het voorkomen dat via deze weg de bestuurdersaansprakelijkheidsverzekering een soort paraplu-verzekering wordt voor andersoortige risico's, waarvoor het bedrijf heeft verzuimd een specifieke verzekering af te sluiten.109 Bij sommige verzekeraars kan wel aanvullende dekking voor dergelijke claims worden bijgekocht.

Voor onverzekerbare risico's geldt ook dat het bestuur een keuze kan maken uit de overige risicoreacties: het vermijden van het risico, het reduceren van de waarschijnlijkheid en/of gevolgen van het risico dan wel het accepteren van het risico zonder verdere actie te nemen. Onder omstandigheden kan het accepteren van risico's een bewust roekeloze onbehoorlijke taakvervulling zijn. Denkbaar is bijvoorbeeld dat het bestuur besluit om een fabriek te bouwen in een uiterwaarde bij een rivier waar jaarlijks overstromingen zijn, zonder verdere maatregelen te nemen ter voorkoming van waterschade.

Gezien de specifieke aard van risico's die voortvloeien uit door de overheid opgelegde regels, zal een houding waarbij het risico van het zich voordoen van overtredingen van wet- en regelgeving door belangrijke werknemers van de onderneming bij de uitoefening van hun dienstverband zonder beheersing daarvan wordt geaccepteerd, ook eerder als onbehoorlijk kunnen worden beschouwd.110

Daar waar de risk appetite de grondslag (beeldend gezegd de "grondwet") vormt van het risicobeheersingssysteem, vormen interne richtlijnen en procedures de interne wetgeving van de onderneming. Deze omschrijven wat geoorloofd gedrag is binnen de onderneming. Dergelijke interne richtlijnen en procedures zijn een belangrijke (rand)voorwaarde voor de naleving van het door het bestuur geformuleerde beleid en de risk appetite.

Als voorbeeld kan worden aangehaald dat bij een materiële (investerings) beslissing randvoorwaarden dienen te worden gesteld; criteria die kunnen dienen ter toetsing en die bijvoorbeeld een maximale exposure of vertegenwoordigingsbevoegdheid bepalen.111 Deze criteria moeten vallen binnen de risk appetite.

Niet voor alle risico's zullen criteria en richtlijnen hoeven te worden opgesteld. Ik zou menen dat het in ieder geval moet gaan om belangrijke risico's, met een wezenlijke impact dan wel een hoge waarschijnlijkheid. Bijzondere aandacht verdienen daarbij risico's die verband houden met door de overheid opgelegde wet- en regelgeving en door de onderneming genomen risico's die gevaarzetting voor derden tot gevolg hebben.

Belangrijk is dat bij het opstellen van deze interne regels de implementatie-en nalevingsmogelijkheden goed onder ogen worden gezien. Indien opgestelde regels niet kunnen worden geïmplementeerd of nageleefd zijn deze regels om te beginnen niet effectief, maar kunnen deze ook een aansprakelijkheidsrisico opleveren voor bestuurders. De regels dienen goede ingang te moeten kunnen vinden bij het operationele management en vertaald te worden naar concrete managementacties. Ook moet er kritisch worden gekeken naar de materialiteit van zaken die geregeld worden; hoofd- en bijzaken moeten goed worden onderscheiden.

Het bestuur kan terzake een belangenafweging maken, waarbij het weer beleidsvrijheid heeft — dat is een beoordeling. Belangrijk daarbij is onder meer de kosten/baten-analyse in verband met het opstellen, invoeren en handhaven van regels. Ook hier is van belang dat deze beslissing zorgvuldig wordt voorbereid.

Zoals hiervoor besproken, vormen interne richtlijnen en procedures — gebaseerd op de risk appetite — de interne regelgeving van de onderneming. Goed risicomanagement vergt dat onderzocht wordt of de opgestelde interne regelgeving van de onderneming wordt nageleefd, opdat vervolgens kan worden bijgestuurd of ingegrepen.

In de wetsgeschiedenis van de Derde Misbruikwetgeving werd wel als voorbeeld van onbehoorlijk bestuur gegeven het verwaarlozen van de kredietbewaking.118

Het komt voor dat na het zich voordoen van bepaalde incidenten — waarschuwingssignalen — een nader onderzoek geboden is.121 Daarvan kan sprake zijn indien:122

Deze vermoedens kunnen zich op verschillende manieren openbaren aan bestuurders. Te denken valt aan een melding van de accountant, een klokkenluider, ontvangen informatie van toezichthouders en berichten in de media. Het gaat er dan om dat de bestuurder niet alleen een bepaalde (geobjectiveerde) wetenschap had van de handelingen van ondergeschikten, maar ook dat die handelingen onderdeel uitmaakten van een onrechtmatige daad.127 Voorts is vereist dat de bestuurder de mogelijkheid en de bevoegdheid had zodanige maatregelen te treffen, dat het onrechtmatige handelen zou kunnen worden voorkomen of in elk geval beëindigd.128 Ik meen dat als de (geobjectiveerde) wetenschap ter zake van het onrechtmatige handelen van ondergeschikten aanwezig is bij een bestuurder, dat laatste criterium is vervuld. Er moet wel sprake zijn van een (persoonlijk) ernstig verwijt. Indien (geobjectiveerde) wetenschap ontbreekt, is daar geen sprake van. Ik kan mij voorstellen dat de aard van de gewraakte handeling en de kenbaarheid daarvan mee kan spelen bij de beoordeling van de vraag of er sprake is van (geobjectiveerde) wetenschap. Het maakt nogal wat uit of de gewraakte handeling en het gelopen risico betrekking heeft op bijvoorbeeld een zichtbare lekkage in een opslagtank van een gevaarlijke stof, of dat het gaat om een ingewikkelde, moeilijk te doorgronden boekhoudkundige constructie die niet door de beugel kan.

Indien bestuurders statutaire bepalingen of interne richtlijnen die de vennootschap of een andere partij trachten te beschermen overtreden, is er in principe sprake van een ernstig verwijt dat tot aansprakelijkheid leidt.130 Maar ook voor organen geldende richtlijnen die geen statutaire basis hebben, vormen blijkens het Staleman/Van der Ven-arrest een relevante omstandigheid bij de beoordeling of er sprake is van behoorlijke taakvervulling in de zin van art. 2:9 BW.131 Ook als het gaat om de vaststelling van wanbeleid in het kader van een enquêteprocedure speelt dat een rol. Verwezen zij naar de Batco-beschikking, waarin relevant werd geoordeeld dat de onderneming in strijd handelde met de OECD-Guidelines waarvan haar moedermaatschappij extern had gecommuniceerd deze als richtlijn voor haar beleid te hebben aanvaard.132

In het jaarverslag dient volgens best practice bepaling 11.1.4 sub b van de Nederlandse Corporate Governance Code 2008 ook een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen met betrekking tot de voornaamste risico's in het boekjaar te worden opgenomen. In de toelichting bij de Nederlandse Corporate Governance Code 2008 wordt vermeld dat het bestuur in de verklaring dient te vermelden welk raamwerk of normenkader het heeft gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem.133 Aan de keuze voor de toepassing van een dergelijk raamwerk of normenkader ligt een bestuursbeslissing ten grondslag. Indien het bestuur daarvoor heeft gekozen, zou een dergelijk raamwerk kunnen worden beschouwd als een interne richtlijn, waaraan gedrag van bestuurders getoetst kan worden. Een belangrijke vraag is uiteraard wat de inhoud en reikwijdte van een dergelijke interne richtlijn zou zijn. Daarbij doet zich het probleem voor dat wel wordt gezegd dat het COSO-raamwerk (evenals de Turnbull guidance) geen effectieve richting geeft aan de manier waarop dat high level concept moet worden geïntegreerd in de realiteit van een ingewikkelde onderneming)134, laat staan een eenduidig normenkader.135 Het is een raamwerk, dat voornamelijk hoofdbeginselen en concepten bevat en voorziet in een gemeenschappelijke taal op het gebied van risicomanagement.

In het kader van risicobeheersing is het ook interessant om te bezien in hoeverre er aansprakelijkheid ontstaat voor bestuurders indien zij niet zelf dergelijke regels overtreden, maar mede-bestuurders of ondergeschikten in strijd handelen met interne regels.

In deze situatie gaat het erom dat er bijvoorbeeld interne criteria zijn voor risk exposure, die niet worden nageleefd, maar welke overtreding eenvoudigweg wordt gedoogd.136) Dit is een werkingsfout. In het strafrecht geldt dat wetenschap van strafbare feiten de verplichting schept om maatregelen te treffen.137 Ook in het vennootschapsrecht geldt dat "kennis over misstanden verplicht tot ingrijpen", zoals tijdens de behandeling van het Wetsvoorstel Bestuur en Toezicht is bevestigd.138 Ook in enquête- en bestuurdersaansprakelijkheidsprocedures speelt dit beginsel een rol. Dat ging zelfs niet over misstanden die betrekking hadden op strafbaar of onrechtmatig gedrag, maar om intern gestelde criteria en richtlijnen. Een afwijking daarvan is niet zonder meer ongeoorloofd.

Ingeval bekend is dat er sprake is van afwijkingen van interne criteria en richtlijnen waartegen niet wordt opgetreden, kan de vraag worden gesteld of er eenvoudigweg sprake is van een gebrek in de handhaving, of dat dit het gevolg is van een afgewogen, verantwoorde (nieuwe) beleidskeuze. Laatstgenoemd aspect heeft betrekking op de zorgvuldigheid van besluitvorming. In het eerste geval is er sprake van een werkingsfout.

Art. 2:391 leden 1 en 4 BW en de Nederlandse Corporate Governance Code 2008 bevatten een aantal voorschriften over de informatie die het bestuur in het jaarverslag moet geven over risico's en risicobeheersing, aan te duiden als risk disclosures.

Volgens art. 2:391 lid 1 BW dient het jaarverslag een beschrijving te geven van de voornaamste risico's en onzekerheden waarmee de rechtspersoon wordt geconfronteerd.148 Ingevolge art. 2:391 lid 2 BW dient onder meer in het jaarverslag mededelingen te worden gedaan omtrent de verwachte gang van zaken; daarbij wordt, voor zover gewichtige belangen zich hiertegen niet verzetten, in het bijzonder aandacht besteed aan onder meer de omstandigheden waarvan de ontwikkeling van de omzet en de rentabiliteit afhankelijk is. Ten aanzien van het gebruik van financiële instrumenten dienen bovendien uit hoofde van art. 2:391 lid 3 BW — voor zover zulks van betekenis is voor de beoordeling van de activa, passiva, financiële toestand en resultaat van de rechtspersoon — de doelstellingen en het beleid van de rechtspersoon inzake risicobeheer te worden vermeld. Daarbij dient aandacht besteed te worden aan het beleid inzake de afdekking van risico's verbonden aan alle belangrijke soorten voorgenomen transacties en door de rechtspersoon gelopen prijs-, krediet-, liquiditeits- en kasstroomrisico's.

Zo schrijft de Nederlandse Corporate Governance Code 2008 in best practice bepaling 11.1.3 voor dat er een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig is. Als instrumenten van dat systeem dient de vennootschap in ieder geval te hanteren: risicoanalyses van de operationele en financiële doelstellingen van de vennootschap, handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures en een systeem van monitoring en rapportering.

Volgens de Nederlandse Corporate Governance Code 2008 dienen volgens best practice bepaling 11.1.4 de werking van het interne risicobeheersings- en controlesysteem in het verslagjaar, de eventuele significante wijzigingen die in die systemen zijn aangebracht, welke eventuele belangrijke verbeteringen van die systemen zijn gepland, een beschrijving van de voornaamste risico's gerelateerd aan de strategie van de vennootschap, een beschrijving van de opzet van de risicobeheersings- en controlesystemen met betrekking tot de voornaamste risico's in het boekjaar149 en een beschrijving van eventuele belangrijke tekortkomingen in de interne risicobeheersings- en controlesystemen die in het boekjaar zijn geconstateerd.

Best practice bepaling 11.1.5 bevat de verplichting voor het bestuur om in het jaarverslag een "in control"-verklaring af te geven. Voor jaarverslagen vanaf het boekjaar beginnend op of na 1 januari 2009 dient deze in te houden dat "de interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat en dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt", met een duidelijke onderbouwing daarvan.150

Voor voornoemde best practice bepalingen geldt het comply or explain principe. Indien het bestuur niet de voorgeschreven verklaring kan afgeven, dient dit te worden vermeld en daarvoor een motivering te worden opgenomen in het jaarverslag.

Behoudens deze regels zijn er weinig praktische handvaten voor het opstellen daarvan.151

De vraag is nu wat de verantwoordelijkheid is van bestuurders bij het doen van risk disclosures. Mededelingen over risico's en risicobeheersing kunnen op basis van wet- en regelgeving zijn opgenomen in financiële verslaggeving. Daarnaast kan het zo zijn dat bestuurders in het jaarverslag of daarbuiten (tijdens aandeelhoudersvergaderingen, persconferenties, roadshows, interviews of analisten conference calls) daar vrijwillig mededelingen over hebben gedaan.

Bestuurders hebben al een verantwoordelijkheid ten aanzien van risicobeheersing die losstaat van het doen van externe mededelingen. Daar komt nog bij dat zij tijdig de volgens wet- en regelgeving voorgeschreven risk disclosures moeten doen, en dat deze niet misleidend mogen zijn. Een behoorlijke taakvervulling houdt in dat bestuurders goed voor ogen hebben wat de publicatievereisten zijn en ervoor zorgen dat c.q. toezicht houden of daaraan wordt voldaan. Dit vergt bijvoorbeeld ook dat als er zich er een nieuwe belangrijk risico voordoet die niet in het jaarverslag is vermeld, dat aanleiding kan zijn om dat kenbaar te maken in een separate externe mededeling. Denkbaar is ook dat de risk disclosures op de website van de vennootschap worden bijgehouden en geactualiseerd.

Ten aanzien van de inhoud van de risk disclosures dienen de leden van het daarvoor verantwoordelijke orgaan zich ervan te vergewissen dat deze juist en niet misleidend is; zij dienen zich daartoe voldoende inspanningen te getroosten.152 Indien dat aangewezen is dienen zij daartoe ook informatie in te winnen bij de voor de relevante materie binnen de organisatie verantwoordelijke personen. Tot op bepaalde hoogte mag worden afgegaan op informatie van ondergeschikten. Dat mag echter geen "blind" vertrouwen zijn.

In de praktijk worden door sommige ondernemingen wel "Disclosure Committees" ingesteld, waarin ook commissarissen of non-executives zitting hebben.

Er zou een onderscheid gemaakt kunnen worden tussen risico's die het bestuur vrijwillig heeft aanvaard enerzijds en anderzijds: a) risico's die voortvloeien uit door de overheid opgelegde regels; en b) risico's die gevaar zetten voor derden. Voor de beheersing van de onder a) en b) weergegeven risico's zouden in het algemeen zwaardere eisen mogen worden gesteld aan de behoorlijkheid van de taakvervulling dan voor de vrijwillig aanvaarde risico's. Als het gaat om vrijwillig aanvaarde bedrijfseconomische risico's moet er sprake zijn van ernstig falen. Niet ieder project dat onjuist uitpakt moet tot aansprakelijkheid kunnen leiden. Het gevaar voor aansprakelijkheid ontstaat met name als door inadequate beheersing van dergelijke risico's het voortbestaan van de onderneming op het spel wordt gezet, terwijl dat niet in overeenstemming was met de risk appetite. Indien het voortbestaan van de onderneming op deze wijze op het spel wordt gezet, kan een situatie ontstaan waarin de onderneming niet meer kan herstellen van de verliezen, dat de schade voor de vennootschap en haar aandeelhouders definitief is geworden — hetzij door het faillissement van de vennootschap, hetzij een gedwongen overname en uitkoop van de aandeelhouders.

De Nederlandse wet- en regelgeving bevat een algemeen raamwerk, dat in grote lijnen de verplichtingen uiteenzet ten aanzien van risicobeheersing en externe mededelingen over risico's en risicobeheersing. Het bevat geen concrete richtlijnen voor bestuurders hoe zij hun risicobeheersingstaken behoorlijk dienen te vervullen153 en welke normen, stramienen en methoden hierbij gehanteerd moeten worden.154 Voor rechters volgen daar evenmin duidelijke richtlijnen uit waaraan zij veel houvast zullen hebben indien zij over die taakvervulling moeten oordelen.

In de praktijk zijn de meest concrete regels op het gebied van risicobeheersing de interne regels en criteria die binnen individuele ondernemingen worden opgesteld. Interne regels vastgelegd in statuten of anderszins, die zich richten tot bestuurders, vormen een relevante omstandigheid bij de beoordeling of er sprake is van behoorlijke taakvervulling of wanbeleid.

Het valt uit de geanalyseerde jurisprudentie inderdaad op dat rechters met name aanknopingspunten lijken te zoeken bij intern geldende regels en besluiten en de opvolging die daaraan wordt gegeven — of juist het gebrek daaraan; in het bijzonder worden meetbare criteria getoetst. Vanuit juridisch perspectief zijn dergelijke interne richtlijnen en criteria dus belangwekkend. De inhoud daarvan bepaalt in belangrijke mate de normen waaraan bestuurders zich moeten houden. Dat geldt ook op het gebied van risicomanagement. Een ander gezichtspunt betreft het belang van de beoordeling van de proceszorgvuldigheid; of belangwekkende besluiten zorgvuldig tot stand zijn gekomen.155 Zo bezien hebben bestuurders bij hun beleidsvorming het normenkader waaraan hun handelen zal worden getoetst dus in belangrijke mate zelf in de hand. Uiteindelijk hebben zij het in hun macht om de inhoud van de interne richtlijnen en procedures tot naleving daarvan te bepalen. Hetzelfde geldt voor de manier waarop zij de besluitvorming voorbereiden.

Hierbij lijkt zich een paradox voor te doen: zowel "onderregulering" als regulering bergen aansprakelijkheidsrisico's in zich. Indien er geen risicobeheersingssystemen zijn, vervult het bestuur zijn taak niet behoorlijk. Maar als er eenmaal richtlijnen en protocollen zijn opgesteld, ontstaat wel een bepaalde verwachting dat deze regels worden gevolgd en gehandhaafd. Bij het opstellen daarvan is het derhalve van belang dat vooraf moet worden vastgesteld of de gestelde criteria en regels wel realistisch en te handhaven zijn. Dit vergt een goede kosten/baten-analyse. Daarbij heeft het bestuur, afhankelijk van de aard van de risico's, een bepaalde beleidsvrijheid.

Voor het maken van keuzes ten aanzien van de inrichting van de risicobeheersing binnen de onderneming, de schatting van risico's en de keuze van de risicoreactie geniet de bestuurder een aanzienlijke mate van beleidsvrijheid. Van praktisch belang is dat de besluitvorming terzake is gebaseerd op adequate informatie, een gebalanceerde afweging en ten slotte goed wordt vastgelegd.

Ook ten aanzien van het extern communiceren van de intern geldende normen en procedures zal een dergelijke afweging moeten worden gemaakt. Publieke mededelingen kunnen immers bepaalde gerechtvaardigde verwachtingen wekken.

Daarnaast tekent zich in de jurisprudentie een ontwikkeling af dat het handelen van bestuurders getoetst wordt aan een "standaard bestuurder".156 Die toets neemt de vorm aan van hetzij een integrale toets — waarbij de bestuurder moet voldoen aan de vereisten van een standaard bestuurder — hetzij een marginale toets — waarbij een bestuurder eerst in de gevarenzone komt indien hij handelt zoals geen enkele "standaard bestuurder" zou handelen.

Globaal zouden de vereisten aan een "standaard"-bestuurder op het gebied van risicobeheersing als volgt kunnen worden samengevat. Een zorgvuldig bestuurder dient zich voldoende inspanningen te getroosten om ervoor te zorgen dat er op de aard en omvang van de onderneming en haar activiteiten processen aanwezig zijn die zorgen dat belangrijke risico's binnen de onderneming worden gesignaleerd, dat deze transparant worden gemaakt binnen de organisatie en worden gerapporteerd aan het bestuur, waardoor het bestuur in staat wordt gesteld om: i) goed geïnformeerde beslissingen te nemen, ii) zoveel mogelijk verrassingen te voorkomen, opdat verliezen zoveel mogelijk op die plaatsen worden geleden en in een omvang waar het bestuur dat heeft ingecalculeerd157, iii) tijdig in te grijpen als risico's zich verwezenlijken, en iv) juiste informatie publiek te maken over risico's en risicobeheersing binnen de onderneming. Het bestuur dient erop toe te zien dat er een interne controle is die erop toeziet dat deze processen worden geïmplementeerd, nageleefd en gehandhaafd. Als er serieuze aanwijzingen zijn dat er sprake is van een materiële zwakte in de systemen of de werking van die systemen, dan dient daarnaar een nader onderzoek te worden ingesteld. Bij materiële incidenten dient het bestuur te handelen, hetzij door de regels te handhaven, hetzij door na een afgewogen beslissing te besluiten niet te handelen of procedures aan te passen.

Uiteindelijk moet het in dit soort zaken niet gaan om het enkele feit dat er een groot verlies is geleden, maar wel of het risico voorzienbaar was, en zo ja of er een bewuste, goed geïnformeerde en gedocumenteerde keuze was gemaakt om een bepaald risico te nemen, die keuze is bekend gemaakt, maatregelen zijn genomen ter beheersing van dat risico of vervolgens het risico adequaat is gemonitord en of er voldoende schadebeperkende maatregelen zijn genomen toen het risico zich verwezenlijkte.