Code corporate governance haalt bezem door risicomanagement

Het jaarverslag moet voortaan een verklaring bevatten dat het risicomanagement adequaat is. Voor veel bestuurders is dit de uitdagendste bepaling van de code-Tabaksblat

De code-Tabaksblat verlangt van bestuurders dat zij jaarlijks verklaren dat de interne risicobeheersing-systemen van hun onderneming adequaat en effectief zijn. Deze verklaring moeten zij tevens voorzien van een duidelijke onderbouwing. Gegeven de huidige inrichting van het risicomanagement binnen veel ondernemingen, is het niet verwonderlijk dat menig bestuurder aarzelt een dergelijke verklaring te ondertekenen. Zelfs de succesvolste ondernemingen neigen er traditioneel toe om hun risicobeheersing sterk gefragmenteerd te organiseren. In een bedrijf van enige omvang zijn er al snel meer dan tien functies of afdelingen te identificeren die zich toeleggen op de beheersing van een deel van het totale risicoprofiel van die onderneming. Risico's op het gebied van bijvoorbeeld technologie, financiële verslaggeving, fraude, automatisering, kwaliteit, milieu en arbeidsomstandigheden worden vrijwel altijd onafhankelijk van elkaar beoordeeld en beheerst vanuit separate, gespecialiseerde functies en afdelingen. In grote, gedecentraliseerde multinationals zijn deze activiteiten vaak ook nog eens verspreid over een reeks van divisies, business units en werkmaatschappijen die in verschillende landen actief zijn. Voor veel van deze activiteiten geldt dat hun oorspronkelijke relatie met de ondernemingsdoelen verloren is gegaan en dat ze een doel op zich zijn geworden. Bovendien blijkt vaak dat de onderlinge coördinatie tussen al die beheersactiviteiten geheel of gedeeltelijk ontbreekt. Zo kan het voorkomen dat verschillende afdelingen of functies zich richten op dezelfde risico's. Dit zonder dat van elkaar te weten, laat staan dat hun inzet onderling is afgestemd. Gegeven het sterk versnipperde karakter van hun risicomanagement is het niet zo verwonderlijk dat mening bestuurder aarzeling voelt bij het afgeven van een verklaring dat alle belangrijke ondernemingsrisico's genoegzaam bekend en onder controle zijn. De code-Tabaksblat geeft derhalve een flinke stimulans om het risicomanagement te professionaliseren. Dit in de eerste plaats door expliciete relaties te leggen tussen de doelstellingen van de onderneming en de risico's die daarmee verbonden zijn. Hiertoe moeten op systematische wijze de antwoorden verzameld worden op de vraag welke omstandigheden of gebeurtenissen zouden kunnen verhinderen dat de onderneming haar doelen realiseert. Bij een dergelijke systematische risicoanalyse worden steevast belangrijke risico's geïdentificeerd, waarvoor niet duidelijk is wie daar binnen de onderneming verantwoordelijk is. Vervolgens dienen er ook duidelijke koppelingen te worden gelegd tussen deze risico's en de beheersmaatregelen om die risico's binnen de beperken te houden. Met het wegnemen van de overlappingen, inconsistenties en lacunes die daar veelal tussen bestaan, kan er - ook letterlijk - al veel winst worden geboekt. Bestuurders zullen vervolgens moeten onderzoeken of de genomen risicobeheersmaatregelen in totaliteit en onderlinge samenhang voor hen voldoende zijn om gefundeerd te kunnen verklaren dat ze inderdaad adequaat en effectief zijn. Hierbij kunnen ze dankbaar gebruik maken van bijvoorbeeld het raamwerk voor interne beheersing zoals dat door de Amerikaanse Committee of Sponsoring Organizations of the Treadway Commission (COSO) ontwikkelde referentieraamwerk voor risicobeheer. Dit raamwerk heeft zich inmiddels tot een wereldstandaard ontwikkeld en ook in de toelichting op de code Tabaksblat wordt er naar verwezen. Het COSO-raamwerk beschrijft de elementen en attributen - alsmede hun onderlinge samenhang - van een volwaardig risicobeheersysteem. Door de binnen de onderneming bestaande risicobeheersmaatregelen te toetsen aan dit referentieraamwerk, kan het bestuur vaststellen welke onderdelen eventueel nog ontbreken. Het pas toe of leg uit-principe indachtig, kan er dan voor worden gekozen om het ontbreken van die elementen te vermelden in het jaarverslag, dan wel om daar alsnog concreet invulling aan te geven. Niet alleen de nieuwe corporate governance-code zal een sterke impuls geven aan de aandacht voor risicomanagement en interne beheersing. Ook de voorgestelde wijziging van Boek 2 van het Burgerlijk Wetboek brengt dit aspect van de bedrijfsvoering bovendien binnen een civielrechtelijk kader. Deze wijziging betreft artikel 141, waarin wordt geregeld dat het bestuur van de vennootschap ten minste een keer per jaar de raad van commissarissen schriftelijk op de hoogte moet stellen van de hoofdlijnen van het strategisch beleid, de algemene en financiële risico's en het beheers- en controlesysteem van de vennootschap. Gegeven deze ontwikkelingen is het niet zo verwonderlijk dat uit recent onderzoek van het tijdschrift chief financial officer (cfo) blijkt dat de overgrote meerderheid (76 procent) van de Nederlandse cfo's verbetering van het risicomanagement momenteel als hun hoogste prioriteit zien. Weinig aspecten van corporate governance zijn vandaag de dag zo cruciaal voor het succes van een onderneming als haar vermogen om bedrijfsrisico's tijdig te onderkennen en adequaat te beheersen. Hier expliciet voor in te staan mag dan voor bestuurders een van de uitdagendste bepalingen van de code- Tabaksblat zijn. Voor hun aandeelhouders is het zeker één van de waardevolste. Drs W.J. Bos RO en drs C.A. Visser zijn beiden partner Business Risk Services bij Ernst & Young Accountants.