Einde inhoudsopgave
Grondslagen bestuurdersaansprakelijkheid (IVOR nr. 73) 2010/8.3.2
8.3.2 Bepalen van risk appetite en doelstellingen
mr. D.A.M.H.W. Strik, datum 20-07-2010
- Datum
20-07-2010
- Auteur
mr. D.A.M.H.W. Strik
- JCDI
JCDI:ADS430940:1
- Vakgebied(en)
Ondernemingsrecht (V)
Voetnoten
Voetnoten
Zie hierover ook Louwman/Steens 1994, p. 27-30.
COSO 2004, p. 19, 28.
Code Banken, p. 3.
Zie Adviescommissie Toekomst Banken 2009, p. 17 en Recommendation I.10 IFF 2008.
Recommendation I.11 IFF 2008.
Zie hierover Claassen 2009, p. 53, 118.
AON 2009, p. 18, constateerde een toename van de bereidheid van organisaties om risico's te nemen.
Zie IFF 2008, p. 32.
Reputatieverlies kan enorme financiële schade opleveren. Zie o.a. Loader 2002, p. 11.
Anderson 2009, p. 32, 33, Adams/Thompson 2002, p. 29.
Zie ook Loader 2002, p. viii-ix.
Recommendation 1.12 IFF 2008.
COSO 2004, p. 14, 18, 19, 20, Hubbard 2009, p. 243.
COSO 2004, p. 20, 40.
Zie voor de verantwoordelijkheid van de raad van commissarissen voor het bepalen van de risk appetite en doelstellingen Strik preadvies 2009, p. 233, 234.
In dit opzicht is het opmerkelijk dat uit onderzoek is gebleken dat slechts een kleine meerderheid van Amerikaanse ondernemingen goedkeuring van de board vraagt voor de overkoepelende risicotolerantie van de onderneming. Zie GovernanceMetrics 2009, p. 5.
Principe II.1 van de Nederlandse Corporate Govemance Code 2008. Volgens principe 4.1 van de Code Banken is de raad van bestuur, en binnen de raad van bestuur primair de voorzitter van de raad van bestuur, verantwoordelijk voor het vaststellen, uitvoeren, monitoren en waar nodig bijstellen van het algehele risicobeleid van de bank.
De Monitoring Commissie Corporate Governance heeft in het consultatiedocument over de aanpassing van de Nederlandse Corporate Govemance Code 2008 aangegeven het niet nodig te achten die aanbevelingen integraal in de Nederlandse Corporate Govemance Code 2008 op te nemen, maar dat deze niettemin van belang zullen blijven voor de invulling van de Nederlandse Corporate Governance Code 2008. Monitoring Commissie Corporate Governance Code 2008, p. 48.
NIVRA 2008, p. 44 constateerde echter dat het begrip risk appetite wel nog verder ingeburgerd dient te geraken in de Nederlandse verslaggevingspraktijk, nu in 2007 slechts 15% van de onderzochte ondernemingen daarvan een indicatie gaf in haar risicoparagraaf.
Nu aangenomen wordt dat het jaarverslag een bestuursdocument is, is af te leiden dat dit een verantwoordelijkheid van het bestuur is.
Een vraag die eerst moet worden beantwoord indien een risicomanagement-systeem wordt opgetuigd, is wat voor een risk appetite en risicoprofiel wenselijk zijn voor de ondernemingsactiviteiten.1 Het COSO-raamwerk definieert risk appetite als volgt:
"The amount of risk, on a broad level, an entity is willing to accept in pursuit of value. lt reflects the entity risk management philosophy, and, in turn, influences the entitys culture and operating style. [...]"2
In de Code Banken wordt met risk appetite (ofwel risicobereidheid) bedoeld:3
"de mate van redelijkerwijs voorzienbaar risico die de bank gezien haar voorgenomen activiteiten bereid is te accepteren bij het nastreven van haar doelstellingen."
Bij de vaststelling daarvan dient rekening te worden gehouden met de strategie, de doelstellingen, de concurrentiepositie en het karakter van de onderneming, en dienen alle relevante risico's in ogenschouw te worden genomen.4
Het bepalen van de risk appetite van een onderneming is niet eenvoudig. Een duidelijke risk appetite bevat zowel kwantitatieve als kwalitatieve elementen.5 De kwalitatieve elementen kan het bestuur houvast bieden bij het beoordelen van het actuele risiconiveau van de onderneming in vergelijking met de geaccepteerde risk appetite. Manieren om een risk appetite kwalitatief uit te drukken zijn categorieën als hoog, laag, gemiddeld, of meer beschrijvend.6 Een bedrijf dat voedingsmiddelen levert, zal in het algemeen een lage risk appetite hebben op het gebied van voedselveiligheid. Een hedgefonds dat zich alleen richt op professionele beleggers met een agressieve beleggingsstrategie heeft een hogere risk appetite dan een pensioenfonds of een farmaceutisch bedrijf.7 Andere manieren om de risk appetite kwalitatief uit te drukken zijn bijvoorbeeld in wat voor een soort markten of activiteiten een onderneming actief wil zijn, of welke klanten het wil bedienen. Hoewel dergelijke kwalitatieve risk appetites niet kwantitatief meetbaar zijn, kunnen ze wel verifieerbaar zijn.
Specifiekere kwantitatieve manieren om de risk appetite weer te geven is door bijvoorbeeld het risico op verlies dat een onderneming gedurende een bepaalde tijdsperiode bereid is te accepteren of bepaalde ratio's in verhouding tot de beurskoers van het aandeel of de solvabiliteit8 In een onderneming waar veiligheidsrisico's spelen kan de risk appetite ook worden geformuleerd in termen van aantallen ongevallen. Een risk appetite kan ook gericht zijn op externe reputatie.9
Belangrijk is om te onderkennen dat in een onderneming er ten aanzien van verschillende risico's, variërend naar verschillende activiteiten, onderscheidende risk appetites en risicotoleranties kunnen bestaan, waarvoor ook verschillende risicobeheersingsaanpakken aangewezen kunnen zijn.10 Zo zal de buitendienst van een onderneming een hogere risk appetite kunnen hebben dan de compliance afdeling. Zelfs binnen een bepaalde afdeling kunnen verschillende risicoprofielen gelden voor verschillende producten. Dit maakt het lastig om één alomvattende risk appetite voor een onderneming te formuleren.11
De risk appetite speelt een rol bij het evalueren van strategie-alternatieven, het stellen van doelen in overeenstemming met de gekozen strategie12 de verdeling van schaarse middelen binnen de onderneming en in het ontwikkelen van mechanismen om de daarmee gepaard gaande risico's te beheersen.13
Het begrip risicotolerantie heeft betrekking op de doelstellingen van de onderneming, het is: "the acceptable level of variation relative to achievement of a specific objective, and ofien is best measured in the same units as those used to measure the related objective."14
De risk appetite en risicotolerantie zijn de basis voor de wijze waarop risico en de beheersing daarvan binnen de onderneming worden benaderd.
Verantwoordelijkheid keuze risk appetite en risicoprofief15
Algemeen wordt aangenomen dat de keuze voor de risk appetite en het risicoprofiel een strategiekeuze behelst, die onderdeel uitmaakt van het algemene beleid.16' 17 Uit de Nederlandse Corporate Governance Code 2008 is af te leiden dat onder de bestuurstaak valt de realisatie van de doelstellingen van de vennootschap, de strategie en de resultatenontwikkeling.18 Risicobeheersing zou zowel onderdeel van die strategie moeten zijn, als een randvoorwaarde daarvoor.
In de gewijzigde Nederlandse Corporate Governance Code 2008, die van toepassing is vanaf het boekjaar beginnend op of na 1 januari 2009, is daaraan toegevoegd dat daaronder ook valt het risicoprofiel dat bij de strategie hoort. Dat viel overigens reeds af te leiden uit de in het Nalevingsrapport 2007 van de Monitoring Commissie Corporate Governance opgenomen aanbevelingen over deze bepaling, die ingingen op de beschrijving van het risicoprofiel.19 In zoverre kan gezegd worden dat het risicoprofiel reeds voor het van kracht worden van de herziene Nederlandse Corporate Governance Code 2008 als best practice onderdeel van de strategie behoorde uit te maken.20
Een ander punt is de externe communicatie door de vennootschap over risico's en haar risicobeleid. De aanbevelingen in het Nalevingsrapport 2007 van de Monitoring Commissie Corporate Governance vermeldden dat de vennootschap in het jaarverslag dient te vermelden welke risico's zij bereid is te nemen om haar doelstelling te realiseren en deze zo mogelijk te kwantificeren, door middel van een gevoeligheidsanalyse.21 Het doel daarvan is dat de lezer van het jaarverslag vervolgens kan bepalen of de risicohouding van de onderneming aansluit bij de risicohouding van de belanghebbende gebruiker van het jaarverslag. In het nalevingsrapport wordt vermeld dat bij de beschrijving van het risicoprofiel ten minste aandacht wordt besteed aan de volgende punten:
de voornaamste risico's gerelateerd aan de strategische doelstellingen van de onderneming, waarbij tevens wordt ingegaan op de risk appetite;
een beschrijving van de voornaamste strategische, operationele, financiële, wet- en regelgeving en financiële verslaggevingrisico's van de onderneming, waarbij in ieder geval de kwalitatieve impact van deze risico's wordt beschreven, eventueel aangevuld met een beschrijving van de wijze waarop de onderneming met deze risico's omgaat;
een gevoeligheidsanalyse van de geïdentificeerde risico's, indien deze analyse redelijkerwijs verwacht mag worden gelet op de best practices in de sector waarin de desbetreffende onderneming werkzaam is.