Bijna ziet de nieuwe Corporate Governance Code het licht!

Op donderdag 8 december 2016 wordt de herziene Corporate Governance Code (de Code) gepubliceerd. Nederlandse beursvennootschappen worden geacht in 2018 te rapporteren over de naleving van de herziene Corporate Governance Code in boekjaar 2017.  Hieronder onze reactie op het voorstel voor herziening van de Code zoals in april 2016 gepubliceerd.

Algemene opmerkingen

  • De risicomanagement-benadering zoals weergegevens in het voorstel voor de nieuwe Code lijkt sterk gebaseerd te zijn op COSO waar inmiddels concretere en veelzijdiger raamwerken zoals ISO31000 beschikbaar zijn. Ondanks dat COSO goed aansluit bij de belevingswereld van de accountant en zeer breed toepasbaar is, zien wij in de praktijk een groot gat tussen de zeer algemene en abstracte benadering van COSO versus de concretere handvatten die geboden worden door het ISO31000 raamwerk.
  • Wij raden aan om een onderverdeling aan te houden van externe, strategische en operationele risico’s. Deze verdeling is zeer helder omschreven in een toonaangevend artikel van Kaplan en Mikes[1]. Deze risico categorieën onderscheiden zich in de verschillende aard, behandeling en identificatie van de risico’s. Door compliance en financiële risico’s te betrekken ontstaat daarnaast verwarring aangezien dit vooral de gevolgen van risico’s betreft.
  • Het valt ons op dat het zwaartepunt van de nieuwe Code ligt bij interne en externe controle, ook wordt compliance veelvuldig genoemd als risicogebied. Gezien de oorzaken van de recente financiële crisis is het benadrukken van de ‘zachte’ kant van risicomanagement meer op zijn plaats: houding en gedrag ondersteund door een gezonde risicocultuur gestimuleerd en uitgedragen door de top van de organisatie in plaats van risicomanagement als het speelterrein van finance & control. De nieuwe  Code bevat weliswaar een hoofdstuk over cultuur, de onderlinge relatie tussen deze onderdelen lijkt echter onderbelicht.
  • De Code legt het zwaartepunt eerder bij verantwoorden dan bij het op een verantwoorde en doordachte wijze –rekening houdend met risico’s- realiseren van de strategie. Risicomanagement en strategie worden weliswaar behandeld, de onderlinge relatie lijkt echter ook hier te ontbreken terwijl wij in de praktijk zien dat juist het aanbrengen van deze koppeling leidt tot een toename van bestuurlijke betrokkenheid en voorbeeldgedrag.
  • Net zomin als het classificeren van organisaties in financiële en niet-financiële instellingen recht doet aan de breedte van de expertise van vennootschappen, doet de classificatie financiële en niet-financiële risico’s recht aan de breedte van het risicoprofiel van die vennootschappen. Wij zijn dan ook van mening dat de kreet ‘niet-financiële’ risico’s achterhaald is. Risicomanagement is niet louter het speelterrein van het financiële/control domein, maar maakt onderdeel uit van de lijnverantwoordelijkheid binnen organisaties. Het aanbrengen van een onderscheid tussen ‘financieel’ en ‘niet-financieel’ helpt daar niet bij. Daar komt bij dat het in de huidige tijd ondenkbaar is dat zaken als imago, duurzaamheid en veiligheid niet expliciet benoemd worden, maar als ‘niet-financieel’ geclassificeerd worden.

Bijlage

Hoewel wij denken dat een meer fundamentele wijziging van de  Code gerechtvaardigd is en wij hier graag een bijdrage aan willen leveren, doen wij tevens een aantal concrete tekstvoorstellen op basis van de huidige concepttekst.

 Principe 1.2 risicomanagement

De vennootschap beschikt over adequaat risicomanagement en controlesystemen. Het bestuur is verantwoordelijk voor het vaststellen van de risk appetite en het beheersen van de risico’s die vanuit de omgeving op de vennootschap af komen en de risico’s verbonden aan de strategie en (kern)activiteiten van de vennootschap.

 1.2.1 risico assessement

Het bestuur inventariseert en analyseert de risico’s die vanuit de omgeving op de vennootschap af komen en de risico’s die verbonden zijn aan de strategie en (kern)activiteiten van de vennootschap. Zij stelt vast wat de risk appetite is waarbinnen de vennootschap risico’s kan accepteren, welke beheersmaatregelen er reeds tegenover de risico’s staan en mogelijk aanvullend kunnen worden ingezet. De context voor deze analyse wordt bepaald door aspecten als de continuïteit, reputatie, financiële verslaglegging, financiering, operationele activiteiten en lange termijn creatie.

 1.2.2 Implementatie

Het bestuur van de organisatie is verantwoordelijk voor goed werkend risicomanagement- en controle systeem. Zij zorgt voor een gedragen risicomanagement beleid, een uniforme risicotaal en het vaststellen en actief gebruiken van de mechanismen voor externe en interne communicatie en rapportage. Het bestuur toont voorbeeldgedrag door heldere taken, bevoegdheden en verantwoordelijkheden op risicomanagement-gebied vast te stellen, benodigde middelen beschikbaar te stellen en positionering van risicomanagement op het hoogste niveau.

De systemen maken, voor zover mogelijk, deel uit van de sturingsfilosofie en werkprocessen binnen de vennootschap, en zijn, voor zover relevant, bekend op alle niveaus binnen de met de vennootschap verbonden onderneming. De interne risico beheersing- en controlesystemen worden tijdig aangepast naar aanleiding van incidenten en ontwikkelingen.

1.2.3 Evaluatie

Het bestuur monitort de werking van de risicomanagement- en controlesystemen en voert ten minste jaarlijks een systematische controle uit op de effectiviteit van de opzet en de werking van de systemen. Deze monitoring ziet op alle materiële controle maatregelen, waaronder de financiële, operationele en compliance aspecten, en houdt rekening met geconstateerde zwaktes en geleerde lessen, signalen van buiten en binnen de organisatie al dan niet middels klokkenluiders en bevindingen van de interne audit functie en de externe accountant. Waar nodig worden verbeteringen in interne risicobeheers- en controlesystemen doorgevoerd.

 Principe 1.4 Verantwoording over risicomanagement

Het bestuur legt verantwoording af over de effectiviteit van de opzet en de werking van het risicomanagement de interne risicobeheersings- en controlesystemen.

 1.4.1 Verantwoording

Het bestuur legt verantwoording af aan de raad van commissarissen en aan de auditcommissie over de effectiviteit van de opzet en de werking van het risicomanagement de interne risicobeheersings- en controlesystemen als bedoeld in best practice bepalingen 1.2.1 tot en met 1.2.3.

Het bestuur legt in het bestuursverslag verantwoording af over:

  1. de uitvoering van het risico-assessment en beschrijft de voornaamste risico’s waarvoor de vennootschap zich geplaatst ziet. Daarnaast geeft het bestuur haar oordeel over de omvang van de risico’s rekening houdend met de risk appetite van de vennootschap. Hierbij kan gedacht worden aan externe, strategische en operationele risico’s;
  2. de opzet van de interne risicobeheersings- en controlesystemen;
  • de werking van de interne risicobeheersings- en controlesystemen over het afgelopen boekjaar en hoe deze systemen hebben bijgedragen aan het mitigeren en beheersen van de risico’s;
  1. eventuele belangrijke tekortkomingen in de interne risicobeheersings- en controlesystemen die in het boekjaar zijn geconstateerd, welke eventuele significante wijzigingen in die systemen zijn aangebracht, welke eventuele belangrijke verbeteringen van die systemen zijn voorzien en de bespreking van deze onderwerpen met de auditcommissie en de raad van commissarissen; en
  2. de gevoeligheid van de resultaten van de vennootschap ten aanzien van materiële wijzigingen in externe omstandigheden.

1.4.2 In control verklaring in het bestuursverslag

Het bestuur verklaart in het bestuursverslag met een duidelijke onderbouwing:

  1. dat de interne risicobeheersings- en controlesystemen in het boekjaar naar behoren hebben gewerkt;
  2. dat voornoemde systemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat; en
  • dat de verwachting is dat de continuïteit van de vennootschap voor de komende twaalf maanden gewaarborgd is.

[1] Kaplan R.S., Mikes A., Managing risks: a new framework. Harvard Business Review, Juni 2012.

Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on facebook
Facebook
Share on email
Email
Share on print
Print

In het kort:

Over de auteur
Over de auteur

Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

Meer artikelen: