Risicomanagement en corporate governance (deel I)

Evert J. Oosterhuis
Het proces van risicomanagement bestaat in veel modellen uit zes stappen: doelstelling vaststellen, risico’s identificeren, gevolgen inschatten, risico’s beoordelen, risico’s beheersen en monitoring. Deze stappen zijn gericht op de doelstelling van de organisatie. De doelstelling is datgene wat een organisatie wil bereiken, bijvoorbeeld het realiseren van omzetgroei, continuïteit, of het afronden van een project binnen een bepaalde begroting of termijn. In dit artikel worden de zeven voorstellen van de Commissie Van Manen onder de loep genomen. In dit deel bespreken we lange termijn waardecreatie en risicomanagement. De overig vijf genoemde aspecten komen in deel II van dit artikel aan bod.

Sinds enkele jaren is er forse aandacht voor de “Risk Appetite” van de onderneming. Dit is de mate waarin organisaties risico’s willen nemen om hun doelstellingen te bereiken. Om risicobeheer te integreren in de bedrijfsvoering- en uitoefening zullen deze organisaties hun “Risk Appetite” in samenhang met hun doelstellingen moeten bepalen, communiceren en volgen. Een onderdeel dat samenhang met risico management is de corporate governance. Dit betreft de inrichting van het bestuur van de onderneming. Soms op basis van gezond verstand, soms op basis van aanwezige beste practises. Voor beursgenoteerde ondernemingen zijn wijzigingen in de Corporate Governance voorgesteld die, naar mijn verwachting, ook door zullen sijpelen naar andere sectoren. Sectoren waar u mogelijk werkzaam bent. Dus voor u waarschijnlijk interessant. Wat zijn de voorstellen?
Commissie Van Manen
De Commissie Van Manen heeft zich bij de herziening van de Code ten doel gesteld ontwikkelingen rondom de actuele corporate governance vraagstukken een plaats te geven in de principes en best practices van de Code. In dit artikel treft u een samenvatting aan. Het is raadzaam – als u een volledig inzicht wilt hebben in de code, die ter consultatie aan de doelgroep is voorgelegd- deze voorstellen volledig door te nemen of te wachten tot 2017 totdat de Code wordt gefinaliseerd. Goede corporate governance verlangt dat thema’s als lange termijn waardecreatie, risico-beheersing, cultuur, effectief bestuur en toezicht, beloningen en de relatie met aandeelhouders geen mooie woorden op papier zijn, maar dat deze thema’s daadwerkelijk leven in raden van bestuur en commissarissen. Daarbij gaat het om verantwoordelijkheid en verantwoording en voor u om risicobeheersing. De blik van de Commissie is bij deze herziening gericht op de toekomst. Het ‘pas toe of leg uit’- principe biedt vennootschappen, net als voorheen, de ruimte om de Code na te leven door de principes en best practice bepalingen toe te passen dan wel kwalitatief goede uitleg te geven waarom van een bepaling wordt afgeweken.
De voorstellen voor herziening kunnen worden samengevat in zeven thema’s:
1. meer focus op lange termijn waardecreatie;
2. verstevigen van risicomanagement;
3. nieuwe accenten in effectief bestuur en toezicht;
4. introductie van cultuur als expliciet onderdeel van corporate governance;
5. beloningen: opgeschoond en vereenvoudigd;
6. relatie met aandeelhouders;
7. verduidelijking van eisen aan de kwaliteit van de uitleg.
Aan de hand van deze thema’s wordt in de navolgende hoofdstukken kort de voorstellen voor herziening toegelicht.
1. Lange termijn waardecreatie
Het bestuur is verantwoordelijk voor de continuïteit van de vennootschap en de met haar verbonden onderneming en richt zich op de lange termijn waardecreatie van de vennootschap en de met haar verbonden onderneming alsmede de rapportage hierover. Het bestuur formuleert en implementeert een strategie gericht op lange termijn waardecreatie, die afhankelijk van de marktdynamiek voortdurend om korte termijn aanpassing kan vragen. De raad van commissarissen houdt hier toezicht op.
2. Risicobeheersing
De vennootschap beschikt over adequate, inventariseert en analyseert haar interne risicobeheersings- en controlesystemen. Het bestuur is verantwoordelijk voor het vaststellen van de risk appetite en het beheersen van de risico’s verbonden aan de strategie en de activiteiten van de vennootschap. De context voor deze analyse wordt bepaald door aspecten als de continuïteit, reputatie, financiële verslaggeving, financiering, operationele activiteiten en lange termijn waardecreatie.
Op basis van het risico assessment ontwerpt, implementeert, onderhoudt en rapporteert het bestuur over haar adequate interne risicobeheersings- en controlesystemen. Deze systemen maken, voor zover mogelijk, deel uit van de werkprocessen binnen de organisatie. De interne risico beheersings- en controlesystemen worden tijdig aangepast naar aanleiding van incidenten. Het bestuur monitort de werking van de interne risicobeheersings- en controlesystemen en voert ten minste jaarlijks een systematische controle uit op de effectiviteit van de opzet en de werking van de systemen. Deze monitoring ziet op alle materiële controlemaatregelen, waaronder de financiële, operationele en compliance aspecten, en houdt rekening met geconstateerde zwaktes en geleerde lessen, signalen van klokkenluiders en bevindingen van de interne audit functie en de externe accountant. Waar nodig worden verbeteringen in interne risicobe- heersings- en controlesystemen doorgevoerd.
De interne audit functie heeft als taak de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen te beoordelen. Het bestuur is verantwoordelijk voor het functioneren van de interne audit functie. De raad van commissarissen houdt toezicht op het functioneren van en heeft regelmatig contact met de interne audit functie.
Het bestuur benoemt en ontslaat de leidinggevende interne auditor en beoordeelt jaarlijks het functioneren van de interne audit functie en betrekt hierbij het oordeel van de auditcommissie. Tevens stelt de interne audit functie een intern werkplan op en legt het werkplan, na afstemming met de externe accountant, ter goedkeuring voor aan het bestuur en vervolgens aan de auditcommissie. In dit werkplan wordt tevens aandacht besteed aan de interactie met de externe accountant.
De interne audit functie rapporteert onderzoeksresultaten aan het bestuur, rapporteert de kern van de resultaten aan de auditcommissie en informeert de externe accountant. De interne audit functie informeert het bestuur, de auditcommissie en de externe accountant over:
• gebreken in de effectiviteit van de interne risicobeheersings- en controlesystemen;
• bevindingen en observaties die van wezenlijke invloed zijn op het risicoprofiel van de
• vennootschap en de met haar verbonden onderneming; en
• tekortkomingen in de opvolging van aanbevelingen van de interne audit functie en externe
accountant.
• In het overleg tussen het bestuur en de auditcommissie met de interne audit functie worden tevens onderwerpen geadresseerd die zien op de cultuur en het gedrag binnen de met de vennootschap verbonden onderneming.
Indien een interne audit functie ontbreekt, beziet de auditcommissie jaarlijks of behoefte bestaat aan een interne audit functie en beoordeelt of adequate alternatieve maatregelen zijn getroffen. De raad van commissarissen neemt, op voorstel van de auditcommissie, de conclusies alsmede eventuele aanbevelingen die daaruit voortkomen, op in het verslag van de raad van commissarissen.
De raad van commissarissen wordt onverwijld geïnformeerd door het bestuur en de externe accountant over materiële onregelmatigheden binnen de vennootschap, waaronder begrepen onregelmatigheden met betrekking tot de integriteit van de financiële verslaggeving. De raad van commissarissen houdt toezicht op proportioneel en onafhankelijk onderzoek naar de geconstateerde onregelmatigheden en een adequate opvolging van eventuele aanbevelingen tot herstelacties. Om de onafhankelijkheid van het onderzoek te borgen heeft de raad van commissarissen de mogelijkheid om zelf een onderzoek te initiëren naar geconstateerde onregelmatigheden en dit onderzoek aan te sturen. De raad van commissarissen doet de voordracht tot benoeming van de externe accountant aan de algemene vergadering van aandeelhouders en houdt toezicht op het functioneren van de externe accountant. De auditcommissie vervult een leidende rol in de voorbereiding van de besluitvorming van de raad van commissarissen. Rondom deze externe accountant worden in de code nog een aantal spelregels vastgesteld. Deze zullen in dit document niet worden behandeld.
In het volgende deel II worden de aspecten genoemd onder de punten 3 tot en met 7 nader toegelicht.
De auteur, Evert J. Oosterhuis is een ervaren CFO en toezichthouder en heeft sterke professionele interesse in risico management en corporate governance vraagstukken.