Einde inhoudsopgave
Grondslagen bestuurdersaansprakelijkheid (IVOR nr. 73) 2010/8.3.1
8.3.1 Het opzetten van het risicobeheersingssysteem
mr. D.A.M.H.W. Strik, datum 20-07-2010
- Datum
20-07-2010
- Auteur
mr. D.A.M.H.W. Strik
- JCDI
JCDI:ADS433416:1
- Vakgebied(en)
Ondernemingsrecht (V)
Voetnoten
Voetnoten
Hetzelfde geldt voor 'COSO Interaal Control — Integrated Framework', zie Ramos 2006, p. 35. NIVRA 2008, p. 7, 44 constateerde dat uit de jaarverslagen over 2007 bleek dat iets minder dan de helft van de Nederlandse beursgenoteerde bedrijven het COSO-raamwerk gebruikte, terwijl dat percentage voor de AEX-fondsen 91% bedroeg.
Turnbull Guidance 2005.
NIVRA 2007, p. 4, heeft een voorkeur voor de Tumbull guidance.
COSO 2004, p. 4, 16.
Zie over dit verschijnsel ook Stulz 2008, p. 12 en Stulz 2009, p. 3.
Zie ook Crouhy/Galai/Mark 2006, p. 15.
Chorafas 2006, p. 443.
Zie Ahold Annual Report 2008, p. 24.
Zie hierover Claassen 2009, p. 283-305.
NIVRA 2007, p. 12, 13 onderscheidt 5 componenten.
Zoals hiervoor in par. 8.3.1 aangegeven kunnen bedrijven ook op andere manieren een risicobeheersingsysteem opzetten.
COSO 2004, p. 5, 6, 22.
Zie over het COSO-raamwerk onder meer Bier 2005, p. 540, 541.
Zie ook Crouhy/Galai/Mark 2006, p. 88 en Claassen 2009, p. 119-120.
COSO 2004, p. 7, 24.
Zie voor de verantwoordelijkheid van de raad van commissarissen voor het opzetten van het risicobeheersingsysteem Strik preadvies 2009, p. 230.
Zie ook Bon 2006, p. 205, 206.
Principe II.1 Nederlandse Corporate Govemance Code 2008.
Best practice bepaling 11.1.3 Nederlandse Corporate Govemance Code 2008.
OECD 2009a, p. 10.
IFF 2008, p. 9 en Principle I.ii, Principe 4.1 Code Banken en Adviescommissie Toekomst Banken 2009 1.18.
Er zijn verschillende manieren waarop een risicobeheersingssysteem kan worden opgezet.
De eerste manier is een integraal risicomanagementsysteem. Voorbeelden zijn het "Enterprise Risk Management — Integrated Framework" van het Committee of Sponsoring Organisations of the Treadway Commission ("COSO"), dat veel wordt toegepast door Amerikaanse en Nederlandse bedrijven1, en de Turnbull guidance2, dat veel wordt toegepast door Engelse bedrijven.3
In het COSO-raamwerk wordt Enterprise Risk Management ("ERM") gedefinieerd als:
"a process, effected by an entity 's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identifi, potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives."4
Kern van ERM is dat het aanwezig is in de hele onderneming. Afhankelijk van de omvang van de met de vennootschap verbonden onderneming, zal ERM zien op groepsniveau, divisies, business units en dochtervennootschappen. Met ERM wordt gebroken met de neiging om risico's in te delen in categorieën ("silo's"), wat het risico met zich bracht dat doordat de verschillende silo's onvoldoende met elkaar communiceerden, bepaalde grote risico's over het hoofd werden gezien.5 Door een ERM wordt gepoogd risico's een geïntegreerd onderdeel te laten uitmaken van managementbeslissingen.6 Op deze manier wordt risico een integraal onderdeel van de bedrijfsvoering, in plaats van een aparte staffunctie die daarbuiten staat.
Interne controle maakt onderdeel uit van ERM. Het doel van interne controle is het bepalen van de integriteit en compliance van alle activiteiten daaronder begrepen zaken die verband houden met ethische grenzen — en risicomanagement.7
Er bestaan ook standaarden die specifiek op bepaalde branches van toepassing zijn, zoals Basel II voor het bankwezen en Solvency II voor het verzekeringswezen.
Een onderneming kan tevens een eigen — al dan niet op COSO of Turnbull gebaseerd — risicobeheersingsraamwerk opzetten, zoals het Ahold Business Control Framework.8
In de praktijk worden ook wel op kleinere schaal richtlijnen en criteria opgesteld ten behoeve van risicobeheersing, te weten voor specifieke projecten, zoals de implementatie van een nieuwe strategie, de introductie van een nieuw product of een overname.9
Om een idee te geven uit welke onderdelen zo'n systeem kan bestaan, zullen hierna de acht10 onderdelen worden beschreven waaruit een Enterprise Risk Management systeem volgens het COSO-raamwerk dient te bestaan.11 Volgens het COSO-raamwerk vormen die onderdelen tevens criteria voor een effectief Enterprise Risk Management systeem.12 Deze onderdelen zijn:13
Interne omgeving ("Internal Environment") — het bepalen van een risicofilosofie en de risk appetite als basis voor de wijze waarop risico en controle worden bezien en geadresseerd door de in de onderneming werkzame personen;
Het stellen van doelen ("Objective Setting") — het opstellen van een geschikte procedure tot het stellen van doelen die de missie van de onderneming ondersteunen, daarmee in lijn zijn en consistent zijn met de bepaalde risk appetite;
Het identificeren van risicogebeurtenissen ("Event Identification") — het identificeren van potentiële gebeurtenissen afkomstig van binnen of buiten de onderneming die het bereiken van de gestelde doelen kunnen beïnvloeden;
Risico analyse ("Risk Assessment") — het analyseren van de waarschijnlijkheid en gevolgen van geïdentificeerde risico's om een basis te vormen voor de wijze waarop deze zullen worden beheerst;
5) Risico reacties ("Risk Response") — het identificeren en evalueren van mogelijke reacties op zich voordoende risico's, waarbij een keuze wordt gemaakt — in lijn met de risicotolerantie en risk appetite van de onderneming — tussen: het vermijden van het risico, het reduceren van de waarschijnlijkheid en/of effecten van het risico, het delen van risico's met anderen (door bijvoorbeeld verzekeren of hedgen) en het accepteren van het risico door terzake geen actie te nemen die de waarschijnlijkheid of effecten van het risico verminderen;14
Controle activiteiten ("Control Activities") — richtlijnen en procedures worden opgesteld en uitgevoerd om te verzekeren dat de gekozen reactie op risico's effectief worden uitgevoerd;
Informatie en Communicatie ("Information and Communication") — het identificeren, vastleggen en communiceren van relevante informatie op een manier en snelheid die mensen in staat stelt hun taken uit te voeren;
Monitoren ("Monitoring") — het monitoren en desgewenst aanpassen van het gehele Enterprise Risk Management systeem.
Bij een effectief Enterprise Risk Management is er geen sprake van een material weakness en risico moet zijn gebracht binnen de risk appetite van de onderneming.15
Verantwoordelijkheid opzetten risicobeheersingssysteem16
Uit art. 2:141 lid 2 BW is af te leiden dat het bestuur verantwoordelijk is voor het risicobeheersings- en controlesysteem van de vennootschap. Uit de wet volgt niet hoe deze systemen moeten worden ingericht en welke concrete taken terzake voor het bestuur daaruit voortvloeien.17
De Nederlandse Corporate Governance Code 2008 omschrijft de verantwoordelijkheden van het bestuur ter zake van het opzetten van risicobeheersingssystemen als volgt. Het bestuur is verantwoordelijk voor onder meer de naleving van alle relevante wet- en regelgeving en het beheersen van de risico's verbonden aan de ondememingsactiviteiten.18 Er dient een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig te zijn.19Nu dit voorschrift is opgenomen in het hoofdstuk over "Bestuur" onder "taak en werkwijze", valt af te leiden dat het bestuur primair verantwoordelijk is om ervoor te zorgen dat er adequate risicobeheersingssystemen aanwezig zijn binnen de onderneming.20
In de markt gaan stemmen op dat de CEO een bijzondere verantwoordelijkheid heeft als het om risicobeheersing gaat.21 Voor compliance risico's is dat in de praktijk vaak al het geval, voor zover compliance ziet op kwalitatieve risico's en integriteitsbewaking.