Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy...
Transcript of Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy...
Faculteit Rechtsgeleerdheid
Enterprise Risk Management en de raad van bestuur.
Masterproef
van de opleiding ‘Master in de rechten’
Ingediend door
Sonny Saeij
(studentennr.: 20050888)
Promotor: Prof. dr. Christoph Van der Elst
Commissaris: Sien Vermeersch
Academiejaar 2011-2012
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
2
Voorwoord. ............................................................................................................................................. 8
I. Thesis: Enterprise Risk Management en de raad van bestuur. ....................................................... 9
II. Korte duiding met betrekking tot de afbakening van het onderwerp. ......................................... 10
a. Rechtsvergelijkend deel. ........................................................................................................... 10
b. Afbakening van het onderwerp. ................................................................................................ 10
III. Enterprise Risk Management. ................................................................................................... 11
a. Begrippen van het ERM. ............................................................................................................ 11
1. Definitie ................................................................................................................................. 11
b. Geschiedenis van het ERM. ....................................................................................................... 12
c. Noodzaak en belang van ERM ................................................................................................... 14
1. Meerwaarde van ERM. .......................................................................................................... 15
d. Wat is Enterprise Risk Management (nu geworden)? .............................................................. 17
e. Nadere uitwerking van de begrippen van het ERM. ................................................................. 19
1. Identificatie van gebeurtenissen. .......................................................................................... 19
a. Soorten gebeurtenissen. ................................................................................................... 19
2. Dynamisch proces. ................................................................................................................ 19
3. Strategisch. ............................................................................................................................ 21
4. Gehele onderneming. ............................................................................................................ 22
a. Ondernemingscultuur ....................................................................................................... 22
b. Informatie en communicatie. ............................................................................................ 23
5. Risk appetite. ......................................................................................................................... 24
a. Beperkingen aan ERM. ...................................................................................................... 25
b. Risk Management Philosophy. .......................................................................................... 25
6. Beheren en anticiperen. ........................................................................................................ 26
a. Praktijkvoorbeelden .......................................................................................................... 26
b. Anticiperen (Risk response). .............................................................................................. 27
7. Verzekering tot een goede afloop. ........................................................................................ 27
8. Ondernemingsdoelen. ........................................................................................................... 27
a. Strategisch ......................................................................................................................... 28
b. Operationeel ...................................................................................................................... 29
c. Rapportage ........................................................................................................................ 29
d. Toezicht ............................................................................................................................. 30
9. Reputatieschade. ................................................................................................................... 31
10. Standard & Poor’s:............................................................................................................. 31
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
3
11. De OESO ............................................................................................................................. 31
e. De inbedding van ERM in Corporate Governance. .................................................................... 32
1. België ..................................................................................................................................... 32
a. Wetboek van Vennootschappen ....................................................................................... 32
b. Wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en financiële
diensten en zijn uitvoeringsbesluiten. ...................................................................................... 33
c. De Belgische Corporate Governance Code ....................................................................... 33
d. Richtlijnen Corporate Governance Commissie met betrekking tot interne controle. ...... 36
i. Doelstellingen ................................................................................................................ 37
ii. Risico-identificatie. ........................................................................................................ 37
iii. Risico-analyse en -beheersing ....................................................................................... 38
iv. Opvolging/monitoring ................................................................................................... 39
v. Rapportering, openbaarmaking en compliance. ........................................................... 40
e. Beursreglement en toezichthouder. ................................................................................. 41
i. De FSMA ........................................................................................................................ 45
ii. Euronext ........................................................................................................................ 46
iii. Specifieke regels voor de BEL 20 ................................................................................... 46
f. Praktijk in België (BEL 20-ondernemingen). ...................................................................... 47
i. AB Inbev. ........................................................................................................................ 47
a. Auditcomité. .............................................................................................................. 48
b. Periodieke controles van de Raad en de comités op hun werking. .......................... 49
c. Interne controle en risicobeheersystemen ............................................................... 49
d. Compliance en ondernemingscultuur ....................................................................... 50
e. Conclusie. .................................................................................................................. 50
ii. Delhaize. ........................................................................................................................ 51
a. Interne controle. ........................................................................................................ 51
b. Risicobeheer. ............................................................................................................. 51
c. Auditcomité ............................................................................................................... 53
d. Interne audit .............................................................................................................. 53
e. Interne controles en risicobeheer van de Delhaize Groep. ....................................... 53
1. Interne controles. ...................................................................................................... 53
2. Risicobeheer. ............................................................................................................. 53
f. Externe audit. ............................................................................................................ 53
g. Conclusie. .................................................................................................................. 53
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
4
iii. Umicore. ........................................................................................................................ 54
a. Risicobeheerproces. .................................................................................................. 54
b. Intern controlesysteem ............................................................................................. 55
c. Risicobeheer en interne controle .............................................................................. 55
1. Strategische risico’s: .............................................................................................. 55
2. Operationele risico’s: ............................................................................................. 56
3. Financiële risico’s: .................................................................................................. 56
4. Overige risicobeschrijving. ..................................................................................... 56
d. Conclusie. .................................................................................................................. 57
h. In andere landen. .................................................................................................................. 57
a. Verenigde Staten ............................................................................................................... 57
i. De wettelijke verplichtingen van SOX. .......................................................................... 57
ii. De verplichtingen van de Delaware General Corporations Law. .................................. 59
iii. De beurs. ....................................................................................................................... 59
a. NYSE ........................................................................................................................... 60
b. NASDAQ ..................................................................................................................... 61
c. SEC: ............................................................................................................................ 61
iv. Conclusie. ...................................................................................................................... 61
b. Verenigd Koninkrijk ........................................................................................................... 62
i. Corporate Governance Code en de Revised Turnbull Guidance 2005. ......................... 62
a. Speciaal geval: De combinatie van SOX en de Turnbull Guidance uit 2004. ............. 65
ii. Euronext Londen. .......................................................................................................... 66
iii. Financial Service Authority Listing rules. ....................................................................... 66
iv. De Companies Act van 2006 .......................................................................................... 66
v. Conclusie VK .................................................................................................................. 67
c. Nederland .......................................................................................................................... 67
i. Corporate Governance Code. ........................................................................................ 67
ii. Wetgeving ...................................................................................................................... 68
iii. De beurs van Amsterdam (AEX) .................................................................................... 69
iv. Rechtspraak ................................................................................................................... 69
d. Duitsland ............................................................................................................................ 69
i. Wetgeving...................................................................................................................... 69
ii. Deutscher Corporate Governance Kodex. ..................................................................... 70
e. De Europese Unie .............................................................................................................. 71
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
5
f. Conclusie rechtsvergelijking. ..................................................................................................... 72
IV. De raad van bestuur en zijn verantwoordelijkheden met betrekking tot ERM. ....................... 74
a. Wettelijke verantwoordelijkheden ........................................................................................... 75
1. België ..................................................................................................................................... 75
a. Burgerrechtelijke aansprakelijkheid (art. 527 en 528 W. Venn). ...................................... 77
i. Hoofdelijke aansprakelijkheid ....................................................................................... 78
b. Buitencontractuele wanprestatie: Art. 1382 en 1383. ...................................................... 78
i. Uitvoeringsagent en orgaantheorie. ............................................................................. 80
ii. Delegatie dagelijks bestuur. .......................................................................................... 81
c. Vorderingsrecht ................................................................................................................. 81
d. Is de Corporate Governance Code een door bestuurders te respecteren
zorgvuldigheidsnorm? ............................................................................................................... 82
i. Toezicht op interne controle systemen ......................................................................... 83
ii. Toezicht op de wettelijke controle van de jaarrekening en continuïteit ...................... 84
iii. Tussenconclusie. ............................................................................................................ 84
2. Verenigde Staten ................................................................................................................... 84
a. Fiduciary duties. ................................................................................................................ 86
i. Duty of loyalty en duty of care. ..................................................................................... 87
b. Business Judgement Rule .................................................................................................. 88
i. Process due care ............................................................................................................ 89
ii. Praktijkgevallen. ............................................................................................................. 89
a. Smith v. Van Gorkom (1985) ..................................................................................... 90
b. The Walt Disney Corporation derivative litigation (2005)......................................... 90
c. Graham v. Allis-Chambers (1963,) Caremark (1996) & Stone v. Ritter (2006). ......... 91
d. Citigroup Inc. Shareholder Derivative Litigation (2009) & Dow Chemical Company
Derivative Litigation (2010). .............................................................................................. 92
e. Duidelijke overtredingen: De zaken Enron (2003) en Worldcom (2003). ................. 93
c. Conclusie. .......................................................................................................................... 94
3. Verenigd Koninkrijk. .............................................................................................................. 94
a. Art. 172 en 174 2006 Companies Act. ............................................................................... 94
b. Speciale problematiek bij delegatie van bevoegdheden en toezicht daarop. .................. 95
c. Conclusie. .......................................................................................................................... 96
4. Nederland .............................................................................................................................. 97
a. Gedragsnorm – belang van de vennootschap (duty of loyalty en duty of care). .............. 97
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
6
i. Afdwingbaarheid gedragsnorm ..................................................................................... 98
ii. Enquêterecht en toetsingsnorm.................................................................................... 98
a. Toetsingsnorm ........................................................................................................... 99
i. Ernstig verwijt in de zin van art. 2:9 NBW. .................................................................. 100
ii. Verschil en samenhang wanbeleid en ernstig verwijt. ................................................ 101
b. Risicobeheer en aansprakelijkheid. ................................................................................. 101
c. Conclusie. ........................................................................................................................ 102
5. Duitsland .............................................................................................................................. 103
a. De Duitse business judgement rule. ................................................................................ 103
i. Aansprakelijkheid Aufsichtsrat. ................................................................................... 103
a. Voor ondernemingsbeslissingen. ............................................................................ 104
ii. Beoordeling door de rechter van risicovol gedrag. ..................................................... 104
b. Praktijkgevallen. .............................................................................................................. 104
c. Vorstandsrat. ................................................................................................................... 104
d. Conclusie Duitsland. ........................................................................................................ 104
6. De Europese Unie ................................................................................................................ 105
2. Conclusie hoofdstuk rechtsvergelijking. ...................................................................................... 105
V. Conclusie. .................................................................................................................................... 106
VI. Bibliografie............................................................................................................................... 108
Wetgeving ....................................................................................................................................... 108
België ........................................................................................................................................... 108
Verenigde Staten ......................................................................................................................... 108
Engeland ...................................................................................................................................... 108
Nederland .................................................................................................................................... 108
Duitsland ...................................................................................................................................... 109
Europese Unie ............................................................................................................................. 109
Corporate Governance Codes ......................................................................................................... 109
Rechtspraak ..................................................................................................................................... 110
België ........................................................................................................................................... 110
Verenigde staten: ........................................................................................................................ 110
Delaware.................................................................................................................................. 110
Overig. ..................................................................................................................................... 110
Engeland: ..................................................................................................................................... 111
Nederland: ................................................................................................................................... 111
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
7
Duitsland: .................................................................................................................................... 111
Rechtsleer: ....................................................................................................................................... 111
Boeken: ........................................................................................................................................ 111
Tijdschriftartikels: ........................................................................................................................ 113
Beursreglementen: .......................................................................................................................... 117
Euronext. ..................................................................................................................................... 117
London Stock Exchange. .............................................................................................................. 117
NASDAQ. ...................................................................................................................................... 118
NYSE. ............................................................................................................................................ 118
Securities and Exchange Commission. ........................................................................................ 118
Publicaties: ...................................................................................................................................... 118
American Bar Association ............................................................................................................ 118
Corporate Governance Commissie .............................................................................................. 118
Committee of Sponsoring Organizations of the Treadway Commission. ................................... 119
Europese Unie ............................................................................................................................. 119
Financial Reporting Council ......................................................................................................... 119
IPPF-Standards............................................................................................................................. 119
Nederlandse Corporate Governance Comissie ........................................................................... 119
OESO ............................................................................................................................................ 120
FSMA: .......................................................................................................................................... 120
ISO: .............................................................................................................................................. 120
VBO-feb: ...................................................................................................................................... 120
Standard & Poor’s: ...................................................................................................................... 121
Nieuws/kranten/e.d: ....................................................................................................................... 121
Corporate Governance BEL-20 ondernemingen. ............................................................................ 121
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
8
Voorwoord. Ondernemingen kunnen vandaag niet meer zonder een gedegen Risk Management. Een onderneming
van enige grootte heeft met te veel transacties om zomaar alles op zijn beloop te laten. Het is echter
niet altijd duidelijk wie er wanneer in verantwoordelijk is voor welke risicobeheersing en welke
controleactiviteiten binnen een onderneming. Ik zal trachten daar door onderzoek van de huidige stand
van zaken van ERM daar een antwoord op te vinden.
Dit zou echter niet gelukt zijn zonder de hulp van mijn promotor, prof. dr. C. Van der Elst.
Ook de steun van mijn vriendin en spellingcontroleur, Marijke Demaegd, moet hier zeker vermeld
worden.
Verder wilde ik nog mijn vrienden en familie bedanken voor de steun die ik van hen ontvangen heb.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
9
I. Thesis: Enterprise Risk Management en de raad van bestuur.
Deze thesis zal het onderwerp Enterprise Risk Management (hierna verkort: ERM) en de
verantwoordelijkheid van de raad van bestuur daarvoor behandelen.
ERM staat voor het concept dat elke activiteit van een onderneming risico veroorzaakt en dat zo’n
risico ‘beheerst’ en gecontroleerd moet worden. De raad van bestuur van een onderneming moet het
ERM implementeren en op zodanige wijze regelen dat de onderneming zo min mogelijk risico loopt,
binnen het door henzelf bepaalde kader. Dit risico wordt bijgehouden door het opzetten van een intern
controle- en risicobeheermodel, bijvoorbeeld COSO’s Integrated Framework.1
In verschillende landen, voornamelijk de VS en in de Europese Unie (in navolging van een aantal
lidstaten, zoals het Verenigd Koninkrijk, Duitsland en Nederland) zijn er de nodige wetgevende en
aanbevelende initiatieven. Niet alleen staten, ook organisaties zoals de OESO hebben aanbevelingen
gedaan. De OESO heeft dat neergeschreven in haar “Principles of Corporate Governance”,2 die net
als COSO’s Integrated Framework al dateren van 2004. Een andere organisatie die ERM behandelt is
Standard & Poor’s, dat risicobeheer verwerkt in zijn ratingbeoordelingen van ondernemingen.3
Volgens hen is het meer en meer nodig om met ERM rekening te houden, want wanneer een risico
zich voordoet kunnen de doelstellingen van een onderneming minder makkelijk gehaald worden.4 Om
te weten te komen of de materie omtrent het ERM en de aansprakelijkheid van de raad van bestuur in
België optimaal geregeld is, is een rechtsvergelijkend onderzoek nodig (infra).
1 Committee of Sponsoring Organizations of the Treadway Commission (hierna COSO)’s Integrated Framework
2004, 114 p. 2 Organisatie van Economische Samenwerking en Ontwikkeling (hierna OESO of OECD): OECD Principles of
Corporate Governance, 2004, www.oecd.org/dataoecd/32/18/31557724.pdf (20 februari 2012), OESO, The Corporate Governance Lessons from the Financial Crisis, 2009, http://www.oecd.org/dataoecd/32/1/42229620.pdf (20 februari 2012) en OESO, Board Practices: Incentives and Governing Risks, Corporate Governance, 2011 http://dx.doi.org/10.1787/9789264113534-en en http://www.oecd.org/dataoecd/33/21/49081438.pdf (20 feb 2012). 3 Standard & Poor’s (hierna S&P), Enterprise Risk Management: More Important, But Still No Panacea,
http://www.nact.org/sponsorPubs/S&P_ERM_No_Panacea.pdf (16 februari 2012), “enterprise risk management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option.” 4 S. DE GEYTER, “Organisatieaansprakelijkheid. Toepassing op de toerekening van onrechtmatige daden van
vennootschappen en op de aansprakelijkheid van bestuurders”, doctoraatsthesis 2012, Gent (hierna “Organisatieaansprakelijkheid van bestuurders”), p 173, nr 204.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
10
II. Korte duiding met betrekking tot de afbakening van het
onderwerp.
a. Rechtsvergelijkend deel. De rechtsvergelijking zal gaan over soft law en hard law in de VS, het VK, Nederland en er zal een
kleine uitstap gemaakt worden naar Duitsland en de werken van de Europese Commissie.
Laatstgenoemde materie is wel al omgezet in Belgisch recht en zal dus voornamelijk vanuit dat
perspectief behandeld worden. Speciale aandacht zal uitgaan naar de verantwoordelijkheden van de
raad van bestuur met betrekking tot de rol van corporate governance. Daarnaast besteed ik aandacht
aan het belang van risicobeheer in zowel het positief recht, de rechtspraak, de Corporate Governance
Codes en eventuele andere soft law.
b. Afbakening van het onderwerp. Hoewel er veel te doen is geweest de laatste jaren over de crisis in de financiële sector, beperk ik mijn
thesis tot Risk management van “gewone” industriële en handelsondernemingen, en behandel ik de
financiële sector niet. Dit neemt niet weg dat er hier en daar overlappingen zijn, zoals in de ideeën die
achter risicobeheer steken.5
5 Zie bijvoorbeeld C. VAN DER ELST, Belgian Bank Governance before and after the Financial Crisis, 2010,
raadpleegbaar op www.ssrn.com, SSRN-id1551318, p 2 over de falende interne controle in de bankensector.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
11
III. Enterprise Risk Management. Een korte beschrijving van de geschiedenis van het ERM is noodzakelijk om een goed begrip te
hebben van wat ERM is, in samenhang met financiële en interne controle en rapportering. We zullen
zien dat die onderwerpen vele raakvlakken hebben (infra).
a. Begrippen van het ERM. Voor dit onderwerp wordt in de basis uitgegaan van het COSO-famework van 2004.
6 In dit deel zal ik
dieper op de begrippen in gaan. Voordat kan overgaan worden tot de wettelijke regelingen en
voorstellen van toezichthouders, zullen verscheidene begrippen eerst nader belicht worden zodat de
lezer een goed beeld heeft van wat ERM en Corporate Governance nu (geworden) zijn. Hiervoor is
naast COSO’s Framework uitgegaan van o.a. publicaties van Standard & Poor’s, verschillende
publicaties van de OESO en (de Richtlijnen van) de Belgische Corporate Governance Commissie en
van de Britse Financial Reporting Council. Dit alles om niet te slaafs het COSO Framework te volgen.
1. Definitie
ERM is een dynamisch proces, dat nodig is om de strategie te bepalen van een onderneming en dit
doorheen de gehele onderneming.7,8
Het is een proces bedoeld om gebeurtenissen te ontdekken of te
identificeren die de hele onderneming aangaan.9 Het proces is er om ervoor te zorgen dat een bedrijf,
binnen zijn risk appetite, de geïdentificeerde risico’s op een juiste manier beheert en er op anticipeert
(to understand the company’s exposure to risk and how this might change, as a result of changes to
strategy and the operating environment; and to take a view on these changes) (eigen onderlijning).10
6 Onder andere omdat dit door veel Belgische ondernemingen wordt gebruikt. Zie hiervoor Belgische Corporate
Governance Commissie, De Publieke consultatie van de Corporate Governance Commissie mbt interne controle van 2012, http://www.corporategovernancecommittee.be/library/documents/Interne%20controle/2011%2001%2010_Interne%20Controle_%20NLdoc.pdf (22 februari 2012) (hierna: Publieke consultatie richtlijnen interne controle), Belgische Corporate Governance Commissie, Interne controle en risicobeheer –Richtlijnen in het kader van de wet van 6 april 2010 (hierna: Richtlijnen Interne Controle) en de Belgische Corporate Governance Code 2009, 12/01/2012. Veel ondernemingen gebruiken dit raamwerk, zie hiervoor: B.F. ASSINK, D.A.M.H.W STRIK, Ondernemingsbestuur en risicobeheersing op de drempel van een nieuw decennium: een ondernemingsgerechtelijke analyse, Preadvies van de vereeniging Handelrecht, Deventer, Kluwer, 2009 (Hierna: Preadvies van de vereeniging ‘Handelsrecht’ p. 228-229; P.P. GUPTA, Internal control, COSO 1992 Control Framework and Management Reporting on Internal Control: Survey and Analysis of Implementation Practices, 2006, raadpleegbaar op www.ssrn.com, SSRN-id1417604; K.A. DESENDER, The Influence on Board Composition on Enterprise Risk Management Implementation, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1025982; C.K. BRANCATO, E. HEXTER, Emerging Governance Practices In Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id963221 en anderen. 7 Dus los van de verschillende afdelingen in een onderneming (silo’s, infra).
8 D.M. BOWLING, A.R. LAWRENCE, Making Sense of COSO’s New Framework for Enterprise Risk Management,
2005, Bank Accounting & Finance, p 36. 9
C.K. BRANCATO, E. HEXTER, K.R. NEWMAN, M. TONELLO, The Role of U.S. Corporate Boards in Enterprise Risk Management (The Conference Board), 2006, raadpleegbaar op www.ssrn.com, SSRN-id941179, p 10; COSO integrated framework 2004, p 41. 10
Financial Reporting Council (hierna: FRC), Board and Risk. A summary of discussions with companies, investors and advisers, September 2011,
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
12
In de praktijk kan zich dat uiten in comités die regelmatig vergaderen met managers van verscheidene
onderdelen van een onderneming.11
Daarnaast moet er voor gezorgd worden dat het bedrijf zich op de
juiste manier verzekert tegen de risico’s, zodat de ondernemingsdoelen gehaald kunnen worden. ERM
is zeker meer dan enkel financiële verslaggeving.12
Controle is enkel een hulp à posteriori, terwijl
risicobeheer ervan uitgaat dat risico’s juist op voorhand kunnen worden gedetecteerd en worden
voorkomen. Verslaggeving kan cynisch worden uitgelegd als een verhaal achteraf over hoe het
allemaal misging. Een belangrijke opmerking is nog dat ERM breder is dan enkel interne contole (Het
COSO Framework van 2004 vult dat voor Internal control van 1992 aan).13
b. Geschiedenis van het ERM. Vooraleer we dieper ingaan op de begrippen wordt eerst kort de geschiedenis van ERM behandeld.
Vanaf de jaren vijftig is er sprake van een gestage opmars van ERM. Het begrip dekte wel een andere
lading dan tegenwoordig het geval is (of zou moeten zijn).14
ERM gebeurde namelijk via een afweging
van de mogelijke kosten van het voorvallen van een risico en de kosten van een verzekering om die
kosten te dekken, indien de risico’s voorvallen. Dit was het zogenoemde ‘insurance management’,15
of
silo risk management of Traditional Risk Management (hierna verkort: TRM). Het was toen de
gewoonte om tactisch te denken, i.p.v. strategisch.16
Er werd zelfs beargumenteerd dat onder perfecte
marktomstandigheden risk management niet eens nodig was.17
De eerste onderzoeken naar ERM
betroffen voornamelijk financiële risico’s zoals wisselkoersrisico’s, die makkelijk waren in te
dekken.18
Later is geargumenteerd dat zulke studies niet erg overtuigend zijn, omdat de financiële
posities van niet-financiële ondernemingen niet groot genoeg zijn om grote risico’s in te houden. Het
behoeft geen betoog dat men toen een belangrijk element van risicobeheer vergat, namelijk het zich
niet voordoen van risico’s die, zouden ze zich hebben voorgedaan, een positief effect op de
onderneming hebben gehad (de zogenoemde opportuniteiten).19
Er werd enkel uitgegaan van
negatieve risico’s. ERM poogt te werken aan een integratie van alle risico’s die op een onderneming
http://www.frc.org.uk/images/uploaded/documents/Boards%20and%20Risk%20final.pdf (5 maart 2012), p 3 (hierna: Boards and Risk). 11
Ibid, p 11. 12
Publieke consultatie richtlijnen interne controle p 2 en Organisatieaansprakelijkheid, p 218, nr 253. 13
Organisatieaansprakelijkheid, p 177, nr. 210 en COSO’s Integrated Framework 2004, p 109 ev. 14
B.F. ASSINK, D.A.M.H.W STRIK: Preadvies van de vereeniging ‘Handelsrecht’, p. 208 en G. SABATO, Financial crisis: where did Risk Management fail?,…, raadpleegbaar op www.ssrn.com, SSRN-id1460762, p 11. 15
D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, een maatpak voor de board room, Kluwer, Deventer, 2010, (Hierna verkort: D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid) p 222. 16
L.K. MEULBROEK, Integrated Risk Management for the Firm: A Senior Manager’s Guide, 2002, raadpleegbaar op www.ssrn.com, SSRN-id301331, p 3. 17
K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op www.ssrn.com, SSRN-id1829027, p 5. 18
Studies van eind jaren ’90, begin jaren 2000. De studies van de jaren ervoor keken meer naar rechtstreekse risico’s (hazardous risks), in tegenstelling tot “business risks”, die ook een voordeel kunnen opleveren. 19
C.K. BRANCATO, E, HEXTER, Emerging Governance Practices In Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id963221, p 16. De zogenaamde business risks.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
13
kunnen inwerken, en te voorkomen dat risico’s los van elkaar staan.20
Hier komt de term “portfolio
management” om de hoek kijken. Doordat men alle risico’s in een portfolio steekt, en dus kan zien
welke onderdelen van de onderneming eventueel elkaars risico zouden opheffen, moet men enkel het
“overschotrisico” dekken.21
Dit moet wel genuanceerd worden (infra).
Vanaf de jaren zestig werd er meer gedaan aan wat later ‘risk management’ of risicobeheer zou heten.
Men ging kijken naar andere mogelijkheden om risico’s aan te pakken, te beheersen en te voorzien
(identificatie) dan enkel via het verzekeren. Het doel van ERM is niet zozeer risico minimalisatie als
wel het totale risicogehalte aanpassen aan de sterkte van de onderneming.22
Dit wordt geconcretiseerd
via de idee van internal control.23
De term ERM wordt pas vanaf de jaren ’90 gebruikt. Ze kwam goed in zwang vanaf de publicatie van
het Cadbury Report in het VK in 1992.24
Het VK was in Europa het eerste land dat (toen nog)
“Internal Control” onderzocht en aanbeval aan ondernemingen. Hier zijn later veel meer publicaties
over gemaakt.25
Het probleem met het internal control-idee is dat dit slechts een partiële controle
inhoudt (TRM) van een gedeelte van de onderneming.26
Wetgeving na de grote boekhoudschandalen
hielp ERM verder in het zadel. Men moet dan denken aan de SOX-wetgeving (zie infra) en de eerste
generatie Corporate Governance Codes.27
Voor een uitgebreide bespreking van de ontwikkeling van het engere begrip ‘internal control’ tot het
bredere begrip ERM, zie de studie van PAGE, M. en SPIRA, L.F.28
Het belangrijkste probleem van
‘internal control’ was dat het bleef zitten met de vraag wat er belangrijker was, risico of controle. Een
goed voorbeeld van het grote verschil is de IJslandse vulkaancrisis na de uitbarsting van de
Eyjafjallajökull op 20 maart 2010. Die zorgde voor grote verstoringen in de Europese luchtvaartsector
vanaf 15 tot 21 april. Men kan als luchtvaartmaatschappij nog een zodanig goede interne controle
20
K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op www.ssrn.com, SSRN-id1829027, p 9. 21
COSO’s Integrated Framework 2004, p 59. 22
K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op www.ssrn.com, SSRN-id1829027, p 10. 23
P.P. GUPTA, Internal Control, COSO 1992 Control Framework and Management Reporting on Internal Control: Survey and Analysis of Implementation Practices, 2006, raadpleegbaar op www.ssrn.com, SSRN-id1417604, p 58. 24
FRC, The Cadbury Report (The Financial Aspects of Corporate Governance), 1 december 1992 en nu de UK Corporate Governance Code 2010 (http://www.frc.org.uk/documents/pagemanager/corporate_governance/uk%20corp%20gov%20code%20june%202010.pdf)(19 december 2011). 25
Zie http://www.frc.org.uk/corporate/internalcontrol.cfm (5 maart 2012) over interne controle en http://www.frc.org.uk/corporate/auditcommittees.cfm (5 maart 2012) over auditcomités. 26
FRC, Boards and Risk, p 9. 27
D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 222-223. Bijvoorbeeld de Code-Lippens van 2004 in België voor beursgenoteerde ondernemingen, de code-Tabaksblat van 2003 in Nederland (Inwerkingtreding 30 december 2004), of de Turnbull Guidance van 2005 in het VK. 28
M. PAGE, L.F. SPIRA, Risk Management, the reinvention of internal control and the changing role of internal audit, 2002, raadpleegbaar op www.ssrn.com, SSRN-id483743.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
14
hebben29
, als men nergens rekening houdt met “onverwachte” gebeurtenissen zoals vulkanen, orkanen,
e.d. dan zit men toch met een probleem. We zullen later zien dat zulk risicobeheer een afweging blijft
van baten en kosten.30
Een complete definitie van interne controle is gegeven door de SEC: “Het vrijwaren van activa is één
van de belangrijkste doelen van de Amerikaanse interne audit wetgeving. Na enige evolutie focust
deze wetgeving op interne controle structuren. De categorieën interne boekhouding controle en
administratieve controle worden namelijk vervangen door interne controle structuur. De wetgeving
definieert dat aan de hand van drie factoren: controle omgeving, het boekhoudsysteem en
controleprocedures, dus evaluatie van de controlemechanismen en de onderneming.” Dit is in lijn met
COSO.31
c. Noodzaak en belang van ERM Er zijn naast bovenvermelde rechtszaken verschillende andere bewijzen dat ERM weldegelijk
noodzakelijk is, volgens een studie van R.E. HOYT e.a. is de waarde van een onderneming met een
degelijk ERM 16,5% hoger dan die van een onderneming die dat ontbeert.32
Verder bestaat door zulke
schandalen de kans dat de welvaart in het algemeen afneemt, dit door bijvoorbeeld afgenomen
vertrouwen en geschokt aandeelhoudersvertrouwen.33
Één van de belangen van Corporate Governance
is dit vertrouwen te herstellen en te behouden. De rol die ERM daarin speelt is door risico’s, zowel
interne als externe op tijd te detecteren en te corrigeren of te ondergaan met minder grote gevolgen.
ERM gaat er vanuit dat men alle risico’s als een geheel behandelt.34
Het belang van een interne controle - en risicobeheersysteem(dus zowel ERM als TRM) is dat die een
belangrijke rol spelen in de vervulling van de doelstellingen van de onderneming, zijnde de winst
optimaliseren door een goede afweging te maken van mogelijkheden en risico’s.
Het is wel van belang dat de boekhouding van een hoog niveau is en goed wordt gecontroleerd, het is
dan ook een taak van de raad van bestuur om dit goed op te volgen (zie ook infra, het hoofdstuk over
de verantwoordelijkheden van de raad van Bestuur).35
29
Bijvoorbeeld voor onderhoud, of opvang en vervanging van zieke piloten. 30
Infra. 31
Securities and Excange Commission (hierna SEC), Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, http://www.sec.gov/rules/final/33-8238.htm#ia (8 maart 2012). 32
R.E. HOYT, The Value of Enterprise Risk Management, Inleiding, raadpleegbaar op www.ssrn.com, SSRN-id1440947. 33
S. SIMKIN, S.A. RAMIREZ, Enterprise-Wide Risk Management and Corporate Governance, raadpleegbaar op www.ssrn.com, SSRN-id1657036, p 572 en het daar genoemde citaat van George Soros. Zie ook Publicatie Europese Commissie, Delarosière rapport, 2009, p 6. 34
B.W. NOCCO, R.M. STULZ, Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar op www.ssrn.com, SSRN-id921402, p 2.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
15
Er zijn echter stemmen die zeggen dat ERM nog geen bewezen nut heeft.36
Ook zijn er onderzoekers
die ondervonden hebben dat ondernemingen eerder geneigd zijn ERM te implementeren (bijvoorbeeld
door het aanstellen van een Chief Risk Officer (hierna verkort: CRO) nadat negatieve gebeurtenissen
een impact op de onderneming gehad hebben.37
Anderen concluderen dan weer dat ondanks een
gebrek aan empirisch onderzoek risicobeheer weldegelijk nut heeft. Zeker als men de nadruk legt op
de toegenomen transparantie van het reilen en zeilen van ondernemingen ingevolge nieuwe
wetgevende initiatieven.38
Volgens COSO assisteert een CRO een CEO bij het nemen van beslissingen
die risicovol zijn.39
Een CRO moet voldoende ervaring hebben en op gelijke voet met de andere
bestuurders staan. De praktijk, toch tenminste in het VK,40
wijst uit dat ERM niet meer wordt aanzien
als enkel een aangelegenheid van enkel(e) comités, maar ook van de gehele raad van bestuur.
Of een CRO nut heeft is anderzijds nog lang niet bewezen. Na lange discussies is besloten die niet
verplicht te maken in de nieuwe Engelse Corporate Governance Code. Een belangrijk argument is dat
een CRO voor niet-financiële ondernemingen een te zware last zou zijn.41
In Nederland wordt een
CRO wel aanbevolen voor financiële ondernemingen.42
1. Meerwaarde van ERM.
Zowel op macro- als op microniveau biedt ERM een grote meerwaarde voor het welzijn van een
onderneming.43
Op macroniveau doordat ondernemingen zich door het invoeren van ERM in staat stellen om
kwalitatieve en kwantitatieve inschattingen te kunnen maken van toekomstige risico’s en hiervoor
maatregelen te kunnen nemen, waardoor ze later niet meer verrast kunnen worden. Dit vertaalt zich
onder meer in het feit dat de onderneming niet enkel gewaardeerd wordt voor huidige projecten, maar
dat er minder onverwachte risico’s voor de toekomst moeten worden ingecalculeerd, omdat die al
bekend zijn door een doordacht ERM. Dat komt doordat een onverwachte terugval in cashflow die kan
gebeuren doordat een risico zich voordoet waardoor er geen winst maar juist verlies wordt geboekt een
35
Inleiding Turnbull guidance. http://www.frc.org.uk/documents/pagemanager/frc/Revised%20Turnbull%20Guidance%20October%202005.pdf (27 december 2011). 36
L. PAAPE, R.F. SPEKLÉ, The adaption and design of Enterprise Risk Management Practices: An Empirical Study, raadpeegbaar op www.ssrn.com, SSRN-id1658200 en K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op SSRN-id1829027. 37
D. PAGACH, A. WARR, An Emperical Investigation of the Characteristics of Firms Adopting Enterprise Risk Management, raadpleegbaar op SSRN-id1010200. 38
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 193, nr. 227. 39
Ibid., p 186, nr. 222. 40
FRC, Boards and Risk, p 5. 41
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 187, nr. 222. 42
D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid) p 231, en de daar genoemde aanbevelingen van de Commissie-Maas met betrekking tot de hervorming van de banksector. 43
NOCCO, B.W., STULZ, R.M., Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar op www.ssrn.com, SSRN-id921402, p 3.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
16
groter verlies veroorzaakt dan enkel het verlies op dat moment.44
Door de terugval in cashflow kunnen
toekomstige projecten minder makkelijk uitgevoerd worden, of enkel tegen een hogere kost
(bijvoorbeeld doordat de financieringskost hoger wordt, doordat er moet worden geleend). Men moet
er ook rekening mee houden dat investeringsrisico’s niet simpelweg “wegverzekerd” of gehedged
kunnen worden, want er zijn geen partijen die dit risico willen, doordat zij minder informatie hebben
dan de onderneming die wil investeren. Het is bijgevolg van belang dat de onderneming zelf de
mogelijke risico’s goed inschat (en dit meedeelt aan eventuele aandeelhouders, zodat zij zich
heroriënteren op hun keuze om te beleggen in die specifieke onderneming).
Op microniveau ontstaan er voordelen doordat ERM een deel van ondernemingscultuur wordt,
waardoor heel de onderneming als het ware doordrenkt wordt van het belang van een risico afweging
bij het stellen van elke handeling.45
Hiermee wordt bedoeld dat, omdat de onderneming met ERM het totale risiconiveau meet, er bij elke
beslissing die het risiconiveau omhoog brengt, ervoor moet worden gezorgd dat er door het nemen bij
zo’n beslissing ook voldoende maatregelen genomen moeten worden om de mogelijke risico’s op te
vangen, waardoor de onderneming later niet voor onverwachte risico’s komt te staan.46
Ook is het beter dat niet elke “risicodragende beslissing” eerst centraal moet worden goedgekeurd,
want dan wordt de flexibiliteit van een onderneming te zeer in het gedrang gebracht. Elke afdeling van
een onderneming moet zelf in staat geacht en gesteld worden zulke beslissingen te nemen, het liefst
wel afhankelijk van een prestatie evaluatie van de afdeling. Dit om het nemen van risico’s niet de
spuigaten uit te laten lopen.47
In hun studie gaan NOCCO en STULZ nog een stap verder, volgens hen
moet er een “ownership” van ERM ontstaan om de meest optimale beslissingen te kunnen nemen. Dit
ontstaat volgens hen omdat zij die beslissingen nemen en daarbij ERM niet optimaal benutten, en zij
zullen dit voelen in hun evaluatie die namelijk prestatiegebonden is.
Een volgende stap is om te beslissen hoe een onderneming zijn risico’s onderverdeelt en aan welke er
de meeste aandacht worden gegeven. Informatievoorziening is hier van uiterst belang. Op basis
hiervan moet beslist worden aan welke omstandigheden er meer voorrang wordt gegeven, op basis van
waarschijnlijkheid.48
Hierin ligt een deel van de vraag hoever aansprakelijkheid van bestuurders gaat;
44
Ibid., p 4. 45
Ibid., p 3 en DE WULF, H., Taak en loyaliteitsplicht van het bestuur in de naamloze vennootschap onuitg. doctoraatsthesis Rechten U Gent, 2001, nr. 455. 46
NOCCO, B.W., STULZ, R.M., Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar op www.ssrn.com, SSRN-id921402, p 6. 47
Ibid, p 7. 48
Ibid., p. 22. Zij geven als voorbeeld het “defaulten” van Rusland op een deel van zijn staatsschuld. Men kan argumenteren dat het “failliet gaan” van een land nu waarschijnlijker is dan een aantal jaar geleden en dus meer meegerekend moet worden in risicobeheerprogramma’s van ondernemingen, vooral financiële en verzekeringsondernemingen.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
17
“moesten ze alles voorzien?”49
Verder kan het mogelijk zijn dat op basis van het ERM-beleid van een
onderneming de onderneming meer buffer kapitaal nodig heeft dan wettelijk is voorzien.50
Wel is het zo dat in plaats van de oorspronkelijke doelstelling van ERM (de waarschijnlijkheid van
grote hoeveelheden negatieve cashflow doorheen de gehele onderneming) de meeste ondernemingen
op zoek gaan naar het verminderen van “downside risk”(d.w.z. het potentiële verlies op een
investering).51
Toch zijn deze bevindingen niet de hele waarheid. In hun studie hierover komen PAGACH en WARR52
tot de conclusie dat ondernemingen die meer schuldgefinancierd zijn en slechter presteren op de beurs
sneller zullen overgaan tot het opzetten van een ERM-programma. Ze stellen zich terecht de vraag of
ERM-programma’s niet eerder zijn opgesteld om redenen vreemd aan risicobeheer op zich, maar
bijvoorbeeld om aandeelhouders of schuldeiseres e.d. gerust te stellen, of om weer op “het juiste pad”
te geraken, nadat de onderneming in zwaar weer terecht was gekomen. Zij komen tot deze conclusie
doordat ze ontdekt hebben dat ondernemingen die meer risico hebben op slechte resultaten sneller
CRO zullen aanstellen.53
Zulke ondernemingen gaan er vanuit dat een dergelijke aanstelling
toekomstige slechte resultaten zullen voorkomen. M.a.w. deze aanstelling gebeurt à posteriori, pas
nadat er slechte resultaten geboekt zijn. Een andere reden is nog dat raden van bestuur meer geneigd
zijn een CRO aan te stellen als blijkt dat er een meer risiconemende CEO aan het hoofd van de
onderneming staat. Dat d aanstelling van een CRO een goede graadmeter is van het initiëren van een
ERM-programma bewijzen meerdere studies.54
d. Wat is Enterprise Risk Management (nu geworden)? Ondanks de beperking van het onderwerp tot “gewone” ondernemingen is het voor dit onderwerp
nodig om niet alleen naar zulke ondernemingen te kijken, maar ook naar de organisatie van
risicobeheer in andere sectoren, zoals de financiële sector en de autosector.55
De eerste sector heeft nu
veel aandacht in de rechtsleer en de gewone pers en is bezig met het ontwikkelen van (broodnodige)
risicobeheersystemen. De automobielsector heeft het dan weer nodig, omdat die zijn crisissen al gehad
heeft. Het bewijs voor de financiële sector is onder andere de kredietcrisis uit 2007.56
Die begon in de
49
Het antwoord hierop is neen, zie infra. 50
PAGACH, D., WARR, R., An Empirical Investigation of the Characteristics of Firms Adopting Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1010200., p 28. 51
Ibid. 52
Ibid., p 5. 53
Ibid., p 3 en S&P, Enterprise Risk Management: More Important, But Still No Panacea, p 2. 54
Ibid., p 6 en de daar aangehaalde onderzoeken. 55
ISO: ISO/TS 16949, over effectief ‘supply chain management’; i.e zo efficiënt mogelijk werken in de gehele keten met zo min mogelijk fouten (http://www.iso.org/iso/iso_catalogue/management_standards/specific_applications/specific-applications_automotive.htm) (8 april 2010). 56
S&P, Enterprise Risk Management: More Important, But Still No Panacea, http://www.nact.org/sponsorPubs/S&P_ERM_No_Panacea.pdf (16 feburari 2012), en JANSSENS, E., Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4, p 8.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
18
VS en had in 2008 en 2009 grote gevolgen voor de wereldeconomie (zeker na het failliet van Lehman
Brothers in september 2008). 57
Men mag echter ook de impact van bijvoorbeeld het milieuschandaal
van BP in de Golf van Mexico58
of de luchtvaartchaos rond de uitbarsting van de IJslandse vulkaan
Eyjafjallajökull (infra) niet vergeten. Voor de autosector vallen dan de nationalisatie van General
Motors59
in de VS in 2009, of de drastische bezuinigingen bij Ford60
zeker te vermelden.
Toch is het noodzakelijk niet te lang stil te blijven staan bij de werking van het intern toezicht in de
financiële sector (Basel II bijvoorbeeld en de daaruit voortvloeiende regels) en de automobielsector,
aangezien men hierover een aparte thesis zou kunnen schrijven.
Het doel van het kijken naar deze sectoren is enkel om inspiratie op te doen door de globale ideeën die
achter hun ERM steken aan het licht brengen en te zien wat die zouden kunnen betekenen voor
“gewone handelsondernemingen”.61
Volgens de OESO is het alleszins noodzakelijk dat Corporate
Governance meer zal focussen op ERM, en dat die nieuwe aanpak niet enkel zal gelden voor
financiële instellingen maar ook voor gewone ondernemingen.62
Dit om andere stakeholders te kunnen
beschermen, bijvoorbeeld tegen fraude. Men kan denken aan de zaak Enron in de VS (met als één van
de gevolgen de totstandkoming van de Sarbanes-Oxley act van 2002), het Lernhout & Hauspie-
schandaal uit 2001 in België of de Ahold-zaak in 2003 in Nederland (een reactie hierop was de Code-
Tabaksblat van 200363
in Nederland en de Code-Lippens in België in 200464
). Een goede naleving van
die Codes is wel vereist.65
De stakeholders met de grootste belangen zijn de overheid, de
aandeelhouders en de werknemers. Die leden allemaal grote verliezen in voorgenoemde zaken.66
Al deze zaken waren o.a. het gevolg van onvoldoende risicobeheer en intern toezicht in de
ondernemingen zelf. Ook ontbrak de nodige rapportering vanuit het management naar de raad van
bestuur en zeker naar de aandeelhouders (vergelijk ook het recente faillissement van Van der Moolen
57
BBC News: http://news.bbc.co.uk/2/hi/7615931.stm (3 april 2010). 58
FRC, Boards and Risk, p 5. 59
S. MUFSON , GM's New Escape Route: Partial Nationalization, Washington Post, 28 april 2009, http://www.washingtonpost.com/wp-dyn/content/article/2009/04/27/AR2009042700872.html (4 april 2012). 60
Waaronder het afstoten van Volvo Cars aan het Chinese Geely, http://www.volvocars.com/nl-be/top/about/news-events/pages/default.aspx?itemid=68 (4 april 2012). 61
OESO:“Directorate for Financial and Enterprise Affairs OECD Steering Group on Corporate Governance Paper: Corporate Governance and the Financial Crisis, Conclusions and emerging good practices to enhance implementation of the Principles 2010”, 24 februari 2010 (hierna: “Conclusions and emerging good practices”) (www.oecd.org/dataoecd/53/62/44679170.pdf, 21 maart 2010). 62
OESO: The Corporate Governance Lessons from the Financial Crisis, G. KIRKPATRICK, 2009, p 3. 63
Code Tabaksblat 2003 (corporate governance code Nederland), inwerking 30 december 2004. 64
Belgische Corporate Governance Code 2004, 9 december 2004, www.corporategovernancecommittee.be (3 april 2010), inwerking 1 januari 2005. Vervangen door de Belgische Corporate Governance Code 2009. 65
OECD: “Conclusions and emerging good practices”, p 17. 66
Ook het Parmalat-schandaal uit 2003 in Italië of Worldcom (2002) in de Verenigde Staten zijn vergelijkbare schandalen met fraude en “creatief boekhouden”. Het ontbreekt hier aan de ruimte en tijd om op al deze zaken dieper in te gaan; zij kunnen elk het onderwerp van een thesis op zich vormen. Zie hierover ook: W. M. SHANER, Restoring the Balance in Corporate Management: Enforcing an Officer’s Duty of Obedience, The Business Lawyer, Vol 66, November 2010 (hierna te noemen: Restoring the Balance in Corporate Management), p 28 en voetnoten.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
19
in Nederland). 67
Er schortte dus wel één en ander aan interne audit en interne rapportering (infra).68
Hierdoor neemt het topmanagement van een onderneming niet altijd de juiste beslissingen, zowel
gewild (doordat er een gebrek aan controle op hen is) als ongewild (door onwetendheid volgend uit
gebrekkige interne communicatie).
In deze thesis zal dan ook zeker aandacht worden besteed aan de rol van delegatie in het kader van een
goed ERM-beleid.69
Zie als voorbeeld de verplichting van de NYSE waarbij zij ‘assigns to the
company’s audit committee the duty and responsibility to “discuss policies with respect to risk
assessment and risk management”(eigen onderlijning)70
in de VS en vergelijkbare auditregelingen.
e. Nadere uitwerking van de begrippen van het ERM.
1. Identificatie van gebeurtenissen.
Men kan nog zo’n goed systeem hebben voor het opvangen van risico’s, als men niet weet in welke
vorm die zich manifesteren, kan er alsnog van alles fout gaan. Er kan bijvoorbeeld te laat of verkeerd
of niet voldoende worden ingegrepen. Bijvoorbeeld een gebeurtenis die op het eerste gezicht negatief
lijkt, kan met de juiste respons een goede opportuniteit uitmaken.71
Er moeten met andere woorden
verschillende alternatieven worden uitgewerkt met betrekking tot bepaalde gebeurtenissen.
a. Soorten gebeurtenissen.
Dit kan gaan om zowel interne als externe, zoals bijvoorbeeld ongelukken op de werkvloer, niet-
toereikende protocollen voor bepaalde processen (dit kan effectief bestuurdersaansprakelijkheid
opleveren, bijvoorbeeld bij de Ceteco-zaak in Nederland, infra),72
als een onverwachte neergang in de
economie, een storm, etc.
2. Dynamisch proces.
Elk jaar veranderen de inzichten en risico’s.73
Tegenwoordig moet er bijvoorbeeld meer aandacht
besteed worden aan de kwaliteitscontrole van in China geproduceerde goederen dan pakweg zes of
zeven jaar geleden74
al was het maar omdat beleggers daarom vragen (zie hier het verband met
reputatieschade –en risico, infra). Dit is dan ook één van de redenen waarom er minstens één keer per
67
T. TOMIĆ, Alle partijen willen onderzoek VDM, VEB Effect, 3 april 2010, p 8. In casu het niet naar buiten brengen van negatieve interne rapporten. 68
C. VAN DER ELST,M. VAN DAELEN, Risk Management in European and American Corporate Law, ECGI Working Paper Series in Law, Working Paper N°.122/2009, raadpleegbaar op www.ssrn.com, SSRN-id: 1399647, p 28 en 29. 69
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, nr. 167, p 236 en 237. 70
C.K. BRANCATO, E. HEXTER, Emerging Governance Practices In Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id963221, p 24 & Section 303A.07(c)(iii)(D) van de NYSE Listed Company Manual, raadpleegbaar op www.nyse.com (10 april 2010). 71
COSO’s Integrated Framework 2004, p 41 en p 47. 72
LJN: BB9709, Rechtbank Utrecht, 171413/ HA ZA 04-34, raadpleegbaar op www.rechtspraak.nl. 73
Zie hiervoor o.a. FRC, Boards and Risk, p 8. 74
S. SIMKIN, S.A, RAMIREZ, Enterprise-Wide Risk Management and Corporate Governance, raadpleegbaar op http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1657036, p 571.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
20
jaar gerapporteerd moet worden door het management aan de raad van bestuur. We zullen later zien
dat er voorbeelden zijn van ondernemingen waarbij dat zelfs vaker gebeurd, en met goed resultaat.
Wat er ook in de loop der tijd veranderd is, is wat onder de ‘best practices’ van ERM wordt
begrepen.75
Dit wordt bevestigd door hetgeen S&P zegt in hun verklaring van 7 mei 2008, namelijk
dat het een proces is dat voor elke onderneming anders is en dat niet jaar na jaar hetzelfde is. De
Belgische Corporate Governance Commissie is hier ook van doordrongen. Ze zegt in de inleiding van
de “Resultaten van de publieke raadpleging” over de interne controle systemen van de Corporate
Governance Code: “Met de richtlijnen werd in hoofdzaak beoogd een aanpasbaar instrument te bieden
aan de aard en de omvang van de vennootschappen.” (eigen onderlijning).76
Bijvoorbeeld voor de
automobielsector wordt ERM door S&P zwaarder aangerekend dan in andere sectoren. De Belgische
Commissie bepaalt bijvoorbeeld voor KMO’s minder zware verplichtingen in haar richtlijnen omtrent
risicobeheer, bijvoorbeeld door enkel een mondeling meegedeelde strategie en filosofie toe te passen,
bijvoorbeeld omdat alles op schrift stellen te kostbaar is voor een kleine(re) onderneming.77
De FRC
wijst erop dat in de praktijk (in het VK) hetzelfde gemerkt wordt.78
Ondernemingen hebben in die
vragenronde geantwoord op de vaag naar het nut van interne risicocomités dat, wanneer die er zijn,
externe audit niet echt nodig is (infra), maar dat zulke comités voor KMO’s niet altijd haalbaar zijn, en
dat die dan wel weer baat hebben bij externe audit.79
Verder kan men denken aan bijvoorbeeld in de
farmaceutische sector80
het opzetten van specifieke compliance committees, of bij aardoliebedrijven
specifieke comités met betrekking tot het in de gaten houden van milieurisico’s, of in de
transportsector m.b.t. extra aandacht voor spanningen in het Midden-Oosten met het oog op eventueel
stijgende brandstofprijzen. Een ander voorbeeld is nog dat in de praktijk niet alle ondernemingen een
CRO hebben, en dat zoiets meer voorkomt bij financiële ondernemingen dan bij andere.81
S&P geeft
nog het voorbeeld van een onderneming die vooral blootgesteld is aan één specifiek risico,
75
C.K. BRANCATO, E. HEXTER., K.R. NEWMAN, M. TONELLO, The Role of U.S. Corporate Boards in Enterprise Risk Management (The Conference Board), 2006, raadpleegbaar op www.ssrn.com, SSRN-id941179, p 33. 76
Corporate Governance Commissie, Richtlijnen Interne Controle, zie o.a. p 8. Concrete aanwijzingen hiervoor worden (o.a.) gegeven door COSO zelf. “Embracing Risk Management, Practical Approaches for Getting Started, http://www.coso.org/documents/EmbracingERM-GettingStartedforWebPostingDec110_000.pdf (3 april 2012) en Developing Key Risk Indicators to Strengthen Enterprise Risk Management http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110_000.pdf (3 april 2012). Zie ook COSO Releases Two Additional Thought Papers on Enterprise Risk Management http://www.coso.org/documents/ReleaseCOSOJanuary2011ERMThoughtPapersfinal_000.pdf (3 april 2012) en COSO’s Integrated Framework 2004, p 32: “The appropriateness of an entity's organizational structure depends, in part, on its size and the nature of its activities.(…) Whatever the structure, an entity's activities will be organized to carry out the strategies designed to achieve particular objectives.” 77
Corporate Governance Commissie, Richtlijnen Interne Controle, p 10 en DE WULF, H., Taak en loyaliteitsplicht van het bestuur in de naamloze vennootschap onuitg. doctoraatsthesis Rechten U Gent, 2001, nr. 472 (hierna: taak en loyaliteitsplicht van het bestuur). 78
FRC, Boards and Risk, p 6. 79
Ibid., p 11. 80
Ibid., p 6. 81
Ibid., p 7. Bij ondernemingen waar dat niet het geval is, is die rol meestal weggelegd voor de CFO of voor de “compliance officer”.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
21
bijvoorbeeld grondstoffenprijzen. Die ondernemingen zullen ook anders worden behandeld door S&P
en zullen zelf ook hun ERM aan een dergelijk risico moeten aanpassen.82
Andere ondernemingen die
niet blootgesteld zijn aan één risico kunnen het moeilijk hebben om alle risico’s in te schatten, en
kunnen eventueel gedwongen zijn een deel van de activiteiten af te stoten (of enkel in zee te gaan met
leveranciers of aannemers waarvan de onderneming zeker weet dat die op vlak van ERM dezelfde
waarden hebben als zijzelf)83
als wordt gemerkt dat die activiteiten te veel risico’s genereren. Het
probleem voor zulke ondernemingen is dat niet alle risico’s even makkelijk, of op dezelfde manier
gekwantificeerd kunnen worden. Het is wel zo dat ERM geen “voorbijgaande rage” is en blijvend met
behoorlijk ondernemingsbestuur verbonden is.84
Dit geldt zowel voor risicobeheer op zich als voor het
besef dat geïsoleerd risicobeheer (TRM) niet altijd zinvol is.85
Doordat ERM een dynamisch proces is, net als de onderneming en zijn omgeving, is opvolging van
het grootste belang. Veranderingen moeten immers op tijd worden opgemerkt, zodat het risicobeheer-
en controlesysteem kan worden aangepast. Afhankelijk van de onderneming kan dat continu of
steekproefsgewijs. Dit laatste kan vaak of minder vaak gebeuren.86
De doorstroming van informatie is
zeer belangrijk (zie infra).
3. Strategisch.
Zoals reeds vermeld, gaat ERM om zowel de onderneming, als de stakeholders. Het strategisch
denken heeft als doel om na te gaan wat het doel van het specifieke ERM is; bijvoorbeeld verminderen
van fluctuaties in omzet of winst of de waarde van de onderneming. Het strategisch risico is treffend
beschreven door De Standaard87
met betrekking tot de bekendmaking van de jaarcijfers van Bekaert
over 2011 (Een slecht jaar dat zelfs 609 ontslagen in België kostte): “De vraag blijft of Bekaert de
implosie van de markt voor zaagdraad (hun belangrijkste product in de voorgaande jaren) niet had
kunnen voorzien”,waarop Bekaert antwoordde: “China is West-Vlaanderen niet, je kan het niet altijd
zien gebeuren. Het is onmogelijk dat allemaal te overzien.” Maar is dat wel zo? Met een betere interne
communicatie en misschien meer mensen in het veld in China zouden de opkomende concurrentie en
de gevolgen daarvan beter in te schatten geweest zijn en had Bekaert zich eerder op andere producten
kunnen richten of andere afnemers kunnen zoeken.
82
S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, http://www.standardandpoors.com/servlet/BlobServer?blobheadername3=MDT-Type&blobcol=urldata&blobtable=MungoBlobs&blobheadervalue2=inline%3B+filename%3DCorporate_SP_to_Apply_ERM_05_07_2008.pdf&blobheadername2=Content-Disposition&blobheadervalue1=application%2Fpdf&blobkey=id&blobheadername1=content-type&blobwhere=1243723417198&blobheadervalue3=UTF-8 (13 februari 2012), p 5. 83
O.a. FRC, Boards and Risk. Dit is ook met het oog op reputatieschade-risico van belang (infra). 84
S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, p 3, en o.a. Publicatie FRC, Boards and Risk. 85
FRC, Boards and Risk, p 9. 86
COSO’s Integrated Framework 2004, p 75 e.v. (Monitoring). 87
De Standaard 25 febrauri 2012, p 67, dagblad, Bekaert bekomt van zonneslag.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
22
Het is de raad van bestuur die dat het best de strategie bepaalt. Er wordt hierop nog uitgebreid
teruggekomen (infra).88
4. Gehele onderneming.
Samenhangend met wat supra met betrekking tot strategie bepaald is, is het zo dat focussen op één
potentieel risicogebied geen goed risicobeheer uitmaakt.89
Dit komt omdat een verandering of
anticipatie in één gebied hoe dan ook effect heeft op andere terreinen binnen de onderneming,
bijvoorbeeld expansieplannen die in gevaar kunnen komen als men beslist om zo weinig mogelijk
schulden te hebben.90
Het ‘schuldrisico’ is dan wel zo laag mogelijk, maar de mogelijkheid om uit te
breiden, en op die manier ‘positieve risico’s’ te generen (opportuniteiten), is er dan niet meer 91
a. Ondernemingscultuur
ERM is pas effectief als iedereen in de onderneming daaraan bijdraagt. Dit wordt erkend door
verschillende organisaties, zoals de Belgische Corporate Governance Commissie. Zij verwoordt het
als volgt: “De informatie (over het risicobeheerproces) dient te worden verspreid in alle geledingen
van de vennootschap.” 92
Ook ratingbureau S&P is begonnen met het verwerken van een ERM-factor
in zijn beoordelingen van ondernemingen.93
De nadruk zal liggen op de risicobeheer-cultuur van de
hele onderneming. 94
Deze hypothese wordt verantwoord door het uitgangspunt dat doordat de top van een onderneming
ERM in de gehele onderneming stimuleert, de onderneming uiteindelijk minder te maken krijgt met
rechtszaken die zijn aangespannen door aandeelhouders.95
Men kan de top van een onderneming beter
laten presteren door de drijfveren96
die zij ontvangen meer te laten stroken met de risico’s en resultaten
van een onderneming, maar dan moet de informatie intern wel correct worden gerapporteerd doorheen
88
Zie o.a. FRC, Boards and Risk, p 3. 89
DE WULF, H., Taak en loyaliteitsplicht van het bestuur in, nrs. 455 en 466. 90
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 176, nr. 209. 91
L.K. MEULBROEK, Integrated Risk Management for the Firm: A Senior Manager’s Guide, 2002, raadpleegbaar op www.ssrn.com, SSRN-id301331, p 4. Een voorbeeld is dat men te veel uitgaat van de betrouwbaarheid van ratingbureau’s (zoals S&P). Maar een rating is slechts een schatting van de waarschijnlijkheid van het niet kunnen terugbetalen van schulden op basis van verschillende ratio’s en analyses. 92
Corporate Governance Commissie, Richtlijnen Interne Controle, p 15, en p 19, waar er sprake is van een handboek of iets soortgelijks over boekhoud- en rapporteringsprincipes dat het best doorheen de gehele onderneming moet worden verspreid. Zie ook FRC, The Board and Risk, “The Board’s overall responsibilities included determining the company’s approach to risk, setting its culture, risk identification, oversight of risk management, and crisis management,” p 2. 93
K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op SSRN-id1829027, p 4. S&P zegt hier zelf over: we will enhance transparency by providing investors and issuers our views of a management team's ability to understand, articulate, and successfully manage risk. 94
S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, http://www.nact.org/sponsorPubs/S&P_Enterprise_Risk_Management.pdf (8 maart 2012), p 4. 95
S&P: Enterprise Risk Management: More Important, But Still No Panacea, p 4, zie ook S. DE GEYTER, Organisatieaansprakelijkheid, p 227, nr. 259. 96
Bijvoorbeeld door de accrual periode niet te kort te maken. In de financiële sector is dit minimaal 12 maanden.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
23
de hele onderneming. Dit gaat makkelijker als de hele onderneming handelt volgens dezelfde
filosofie.97
b. Informatie en communicatie.
Dit past goed in het verhaal van “de gehele onderneming”, omdat het namelijk noodzaak is dat
informatie het personeel in staat stelt hun taken tijdig en juist uit te voeren, en dus bijgevolg op de
risico’s te reageren.98
Het is noodzakelijk dat de communicatie wordt geïntegreerd met het
operationele deel van de onderneming. Volgens COSO zijn er vijf criteria voor informatie:
- aangepast aan de noden van de ontvanger, waaronder het juiste niveau van detail;
- de informatie is op tijd geleverd;
- het is de meest recente informatie;
- de geleverde informatie is correct; en
- de informatie moet makkelijk toegankelijk zijn voor degene die de informatie ontvangt.99
Het is niet nodig is alle informatie door te spelen aan de raad van bestuur, omdat die uiteindelijk de
wettelijke taak heeft de grote lijnen te bepalen100
en ook omdat een informatie overflow de
beslissingen niet ten goede komen. Het is met andere woorden duidelijk wie welke bevoegdheden en
verantwoordelijkheden heeft.
Het vereist een goede organisatiestructuur 101
(met een duidelijke bepaling van verantwoordelijkheden
en bevoegdheden) 102
en veel vertrouwen en openheid (men kan dit linken aan de opmerking over
rapportage, infra) om de onderliggende lagen te laten beslissen welke informatie relevant is en welke
niet.103
COSO noemt dit Internal Environment (zie ook infra bij risk management philosophy).104
Hiermee wordt bedoeld dat waarschuwingen over de mogelijke negatieve gevolgen van een bepaalde
beslissing open en eerlijk kunnen worden gemeld, zonder dat die als een persoonlijke aanval worden
97
S. DE GEYTER, Organisatieaansprakelijkheid, p 227, nr. 259. Er moet voor worden gewaakt dat men, doordat ERM over de gehele onderneming gaat, uitgaat van een “netto-risico”.
97 Men kan zich de vraag stellen hoe dat
kan, aangezien men de kansen van twee verschillende gebeurtenissen niet kan vergelijken, laat staan optellen of aftrekken. Het is nodig een balans te vinden tussen enkel kijken naar het “netto-risico” en portfoliomanagement. Het belangrijkste aan portfoliomanagement is dat bestuurders kunnen ontdekken dat de individuele risico’s per silo wel in orde zijn, maar dat de totale blootstelling te groot is. Dit is in tegenstelling tot uitgaan van netto-risico, waarbij ben slechts risico’s optelt en aftrekt, omdat men bij portfoliorisico’s de impact van elk risico op de gehele onderneming in acht neemt. 98
COSO’s Integrated Framework 2004, p 67. 99
COSO’s Integrated Framework 2004, p 70. 100
Voor de NV in België: art 529 W. Venn.: “Het dagelijks bestuur van de vennootschap, alsook de vertegenwoordiging van de vennootschap wat dat bestuur aangaat, mogen worden opgedragen aan een of meer personen”, en a contrario 524bis, “zonder dat deze overdracht betrekking kan hebben op het algemeen beleid van de vennootschap of op alle handelingen die op grond van andere bepalingen van de wet aan de raad van bestuur zijn voorbehouden.” 101
Vergelijk ook § 91 AktG. 102
COSO’s Integrated Framework 2004, p 32. 103
FRC; Boards and Risk, p 11 (“…and the need for trust, openness and transparency at all levels of the organisation.). 104
COSO’s Integrated Framework 2004, p 27.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
24
beschouwd.105
Het is belangrijk dat individuele werknemers aangemoedigd worden zelf initiatief te
nemen, en dat er geen sprake kan zijn van “shooting the messenger”-toestanden.106
Er moet in dit
verband wel op gewezen worden dat er uiteraard risico’s kleven aan de bevoegdheidsdelegaties
(infra).107
Dit wordt duidelijk verwoord in de Britse Corporate Governance Code: “The chairman should also
promote a culture of openness and debate by facilitating the effective contribution of nonexecutive
directors in particular and ensuring constructive relations between executive and non-executive
directors.”108
Eventueel kan het nodig zijn, als de mogelijkheden er zijn, om een apart communicatiekanaal te
ontwerpen voor het geval er zich een noodgeval voordoet.109
Ten slotte moet er duidelijk met de buitenwereld worden gecommuniceerd.
Openheid is van belang voor risk appetite, omdat er namelijk moet vastgesteld worden wanneer het
ondernemingsbestuur, een manager, of een ander personeelslid van de onderneming, te ver gaat in het
nemen van risico’s.
5. Risk appetite.
Risk appetite wil zeggen: de hoeveelheid risico die een bedrijf bereid is te nemen.110
De Belgische
Corporate Governance Commissie noemt dit het aanvaarde risiconiveau. Activiteiten die hierbuiten
vallen moeten dan worden stopgezet, of er mag nooit mee worden begonnen.111
Het is de taak en de
verantwoordelijkheid van de raad van bestuur om hierop toe zien en zich niet te laten verblinden door
enkel de voorgespiegelde voordelen van een nieuwe, nog te starten activiteit. Zoals S&P het zegt: “A
set of expectations among management, shareholders, and the board about which risks the firm will
and will not take; A set of methods for avoiding situations that might result in losses that would be
outside the firm's tolerance.” 112
Dit wordt gestaafd door bevindingen van de FRC in het VK: (Het
verbeterde ERM in tegenstelling tot TRM) “meant that they ought to have a better understanding of
105
In de Worldcom case (2003) was dit duidelijk niet het geval: Niet uit –voerende bestuurders hadden onvoldoende contact met de werknemers van het bedrijf, andere dan zij die presentaties over de prestaties kwamen geven; de raad van bestuur was onvoldoende betrokken bij het bedrijf. Ze werd gedomineerd door de CEO. De informatie die werd verstrekt aan de raad van bestuur was zelfs vals (S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 301-302, nr. 334. 106
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 217, nr. 182. COSO’s Integrated Framework 2004, p 72: “A clear-cut willingness to listen.” 107
Zoals het blijven bewaren van het overzicht. De raad van bestuur moet er altijd op letten dat het overzicht bewaard blijft. 108
Principe A.3, UK Corporate Governance Code, p 10. 109
COSO’s Integrated Framework 2004, p 72. 110
Corporate Governance Commissie, Richtlijnen Interne Controle, o.a. p 8, aangepast “aan de kenmerken van de vennootschap.” 111
De FRC heeft een mooie omschrijving die ik de lezer niet wil onthouden: “any risks or practices for which there was zero tolerance”, publicatie FRC, Boards and Risk, p 13. 112
S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 2 (eigen onderlijning).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
25
the nature and extent of the risks involved in pursuing their strategy.”113
Hoe groot de risk appetite
van een onderneming is hangt af van onderneming tot onderneming. Bedrijven die voeding produceren
hebben een lagere risk appetite t.o.v. voedingscontroles dan autofabrikanten, die dan weer meer
aandacht besteden aan de kwaliteit van hun staal.114
a. Beperkingen aan ERM.
Misschien nog wel het belangrijkste punt is om te begrijpen dat men onder ERM niet het voorkomen
van alle risico’s verstaat.115
Maar wel het beheersbaar maken van risico’s.116
Het gaat immers over
onzekere gebeurtenissen die zich wel of niet in de toekomst zullen afspelen.117
Een belangrijk gevolg
hiervan is dat het organiseren van een interne controle en risicobeheersysteem een
inspanningsverbintenis is.118
Verder moet men altijd in gedachten houden dat zonder risico geen onderneming gestart kan worden,
of aan de gang gehouden kan blijven.119
Ook kunnen niet alle risico’s in kaart worden gebracht (COSO
omschrijft dat als: “reasonable assurance”)120
. Tevens kunnen persoonlijke motieven van het bestuur
of management altijd een rol spelen in de overtreding van de eigen risk appetite.
b. Risk Management Philosophy.
Dit bepaalt hoeveel waarde er aan risico’s en risicobeheer er door de onderneming en zijn leden wordt
gehecht. Hierdoor wordt het makkelijker risico’s te beheren en te anticiperen. Er kunnen nochtans
steeds verschillen bestaan tussen de verschillende silo’s van een onderneming (bijv. verkoop t.o.v.
compliance), maar eenzelfde filosofie en cultuur zorgen ervoor dat die dichter bij elkaar komen te
staan.121
113
FRC, Boards and Risk, p 5. 114
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 174, nr. 205. 115
OESO, OECD Guidelines for Multinational Enterprises, 2011, http://dx.doi.org/10.1787/9789264115415-en (27 februari 2012), p 26: “to identify general areas where the risk of adverse impacts is most significant”. Zie ook: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 176, nr. 209. 116
OESO, OECD Guidelines for Multinational Enterprises, p 3. 117
COSO’s Integrated Framework 2004, p 93 en Corporate Governance Commissie, Richtlijnen Interne Controle, zie o.a. p 8: “Het interne controle- en risicobeheerssysteem kan(…) [een]redelijke mate van zekerheid [bieden].” 118
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 175, nr. 205. 119
FRC, Boards and Risk: which [Risk] (…) is essential to entrepreneurial activity, p 3. En B.F. ASSINK, D.A.M.H.W. STRIK, Preadvies van de vereeniging ‘Handelsrecht’, p 92 en 93. Het gevaar bestaat dat door de toegenomen aandacht voor risicobeheer en bestuurdersaansprakelijkheid rechters bestuurders strenger zullen beoordelen, en meer ex post. Dit is echter ook niet de bedoeling. Zie hiervoor S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 194. 120
COSO’s Integrated Framework 2004, p 93. 121
Ibid., p 27 en 28.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
26
6. Beheren en anticiperen.
Men moet dit in twee richtingen begrijpen, zowel de reactie op negatieve risico’s122
als op positieve
opportuniteiten (meer specifiek de structuur die nodig is om deze tijdig op te merken).
Het is hiervoor noodzakelijk dat ondernemingen veranderen van een winst/verlies denken naar een
meer risico/beloning (of kans)-denken.123
Tevens moet men een afweging maken tussen de kosten/baten verhouding van een al te rigoureus
risicobeheersysteem; op een zeker ogenblik zullen de bijkomende kosten voor het detecteren van
minimale, negatieve risico’s niet opwegen tegen de eventuele winsten (of mindere verliezen).124
Ook
de Belgische Corporate Governance Commissie vindt dat.125
De OESO ten slotte verwoordt het
zo:“een zo groot mogelijke inspanning om gevolgen van risico’s te voorkomen.”126
Hierbij aansluitend raadt COSO aan om risico’s te beheersen volgens kwantiteit (hoegrootheid van de
kans) en kwaliteit (de mogelijke impact).127
Kwantiteit kan worden geclassificeerd, bijvoorbeeld groot,
gemiddeld, laag, weinig waarschijnlijk, etc.
a. Praktijkvoorbeelden
Als voorbeeld wil ik hier het geval van de IJslandse Eyjafjallajökull –vulkaan uit 2010 aanhalen.
Luchtvaartmaatschappijen kunnen er inderdaad enigszins rekening mee houden dat door externe
factoren buiten hun macht vluchten niet door kunnen gaan, maar men moet afwegen hoeveel
“reserves” bijvoorbeeld men aan zal leggen om zulke gevallen op te vangen ten opzichte van de kost
van die reserves.128
Men had dit nochtans kunnen inschatten aan de hand van vroegere erupties in Azië
en Noord-en Zuid-Amerika129
en ze wisten dat op grond van Europese regelgeving dergelijke
natuurverschijnselen niet tot overmacht gerekend worden.130
Een ander verhaal wordt het voor
bijvoorbeeld de toeristische sector, de reisverzekeringensector (hoeveel geannuleerde reizen zal men
ingeschat hebben), en zeker voor landbouwproducenten in Afrika die hun goederen vers in Europa
122
ISO: New ISO/IEC standard on risk assessment complements risk management toolbox, 28 januari 2010, http://www.iso.org/iso/pressrelease.htm?refid=Ref1288 (29 februari 2012), “When risks occur, organizations always have to ask the question: "Is the level of risk tolerable or acceptable, and does it require further treatment?”. Als men risico’s sneller kan detecteren valt er ook beter op te anticiperen om erger tijdig voorkomen. Het managen of beheren van de “risk map”, aldus de FRC, en dat moet gebeuren door de raad van bestuur. 123
S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 2 124
Corporate Governance Commissie, Richtlijnen Interne Controle, p 9. 125
Ibid., p 13, “Risicobehandeling”, publicatie FRC, Board and Risk, p 9, sommige ondernemingen noemden dit in het onderzoek “catastrophic risk”, risico’s buiten hun mogelijkheden er iets aan te doen. 126
OESO: OECD Guidelines for Multinational Enterprises, 2011, p 26. 127
COSO’s Integrated Framework 2004, p 50. 128
Bijvoorbeeld misgelopen investeringen, beheerskosten, overtollig cash en dus een lagere beurskoers en minder investeringsmogelijkheden en negatievere aandacht. 129
Men kan het als een nalatigheid van het management beschouwen dat dit niet gebeurd is. 130 Verordening (EG) Nr. 261/2004 van het Europees Parlement en de Raad van 11 februari 2004 tot vaststelling
van gemeenschappelijke regels inzake compensatie en bijstand aan luchtreizigers bij instapweigering en annulering of langdurige vertraging van vluchten en tot intrekking van Verordening (EEG) nr. 295/91, PB 46, p 1, 17 februari 2004.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
27
willen verkopen, of kledingfabrieken in Bangladesh of elektronicafabrikanten in Japan en China.131
Deze laatsten kunnen argumenteren dat het incalculeren van zulke natuurverschijnselen in hun
bedrijfsvoering te veel kost ten opzichte van de waarschijnlijkheid en hoegrootheid van de gevolgen.
ISO geeft nog een voorbeeld van Universal Parcel Services die wel een “noodplan” paraat hadden,
namelijk alle vluchten omleiden naar Istanbul en van daar met vrachtwagen de goederen naar hun
bestemming in Europa brengen.132
Men kan zich ook afvragen of de reacties van luchtvaartautoriteiten
niet wat overdreven waren, maar dat is een andere kwestie.133
In de financiële sector blijkt er uit onderzoek dat het tijdig aanpassen van de risk appetite voor
bepaalde financiële producten vaak schortte bij verschillende ondernemingen; ze zagen de risico’s wel
aankomen (de risico’s in bijvoorbeeld de subprime-markt waren al in 2006 min of meer bekend), maar
dachten dat ze er immuun voor waren, of dat ze er toch niets aan konden veranderen (vergelijk dit met
het geval Bekaert, supra).134
De anticipatie of response was niet in orde.
b. Anticiperen (Risk response).
Naargelang de impact, of de waarschijnlijkheid van het risico kan het bestuur, zoals reeds vermeld,
beslissen een activiteit af te stoten, actie te ondernemen om de gevolgen te beperken, het risico te
verdelen, door bijvoorbeeld outsourcing, of kan ze beslissen geen actie te ondernemen. Naast
bovenvermelde kosten-baten analyse moeten ondernemingen bij de reactie ook rekening houden met
de mogelijke andere gevolgen van verschillende reacties, zoals de overgebleven risico’s (om te zien of
die dan wel in lijn zijn met de risk appetite), en de mogelijk nieuw ontstane risico’s of
opportuniteiten.135
7. Verzekering tot een goede afloop.
Maar slechts tot in zekere mate verzekert een actief risicobeheer een onderneming tegen onverwachte
gebeurtenissen; men mag er nooit van uitgaan dat men door risicobeheer alle onverwachte
gebeurtenissen uitsluit. Wil men dat doen dan moet men niet beginnen te ondernemen.
8. Ondernemingsdoelen.
Het bereiken van de doeleinden in de visie van de onderneming, doorheen de gehele onderneming, per
afdeling specifiek, moet worden vastgesteld, zodat iedereen weet waar hij/zij aan toe is. Deze
doeleinden kunnen worden onderscheiden in vier categorieën.136
Deze onderverdeling kan gevolgen
131
ISO: ISO 31000 and the Icelandic volcano crisis, KNIGHT, K., http://www.iso.org/iso/iso-magazines/iso-focus-plus_index/iso-focusplus_online-bonus-articles/isofocusplus_bonus_iso31000-icelandic-volcano-crisis.htm (20 februari 2012). 132
ISO: ISO 31000 and the Icelandic volcano crisis. 133
“EU disagrees with airlines' criticism over airspace closure”, http://www.eubusiness.com/news-eu/iceland-volcano.478 (20 april 2010). 134
OESO: The Corporate Governance Lessons from the Financial Crisis, KIRKPATRICK, G., 2009, p 8. 135
COSO’s Integrated Framework 2004, p 56. 136
COSO Enterprise Risk Management — Integrated Framework, samenvatting, 2004, p. 9. Dit wordt ook gestaafd door de realiteit, publicatie FRC, Board and Risk, p 9.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
28
hebben met betrekking tot de rol van de raad van bestuur. Zo vindt een deel van de ondernemingen in
Groot-Brittannië dat bij het eerste doel de raad van bestuur meer inspraak en verantwoordelijkheden
moet hebben dan bijvoorbeeld bij operationele risico’s, waar ze enkel de beleidslijnen moet uitzetten
en het management moet aansporen zo efficiënt mogelijk te werken.137
Ook op het vlak van
taakverdeling kunnen er gevolgen zijn, maar de raad van bestuur blijft wel collectief verantwoordelijk.
a. Strategisch
Dit betreft globale doelen en is afgestemd op de missie en strategie van de onderneming; hiervoor
moet het management de risico’s met de grootste gevolgen, zowel positief als negatief, en hun
waarschijnlijk effect op het vermogen in kaart brengen. Verder gaat het er ook om dat dit regelmatig
wordt geüpdatet (bijvoorbeeld om over een reactie te beslissen op grote gebeurtenissen).138
Aanbevelenswaardig is het dat er goed gecommuniceerd wordt wat de rol van (E)RM is op het nemen
van investeringsbeslissingen.139
Bepaalde ondernemingen hebben maar één echt groot risico en moeten
dus vooral daar veel aandacht aan besteden.140
Positieve risico’s moeten zeker benut worden, en
kunnen bijkomende voordelen hebben, hogere beurskoers, winst, credit-rating,… De OESO ziet het
als één van de verantwoordelijkheden van de raad van bestuur om met het oog op de strategie van een
onderneming ERM in ogenschouw te nemen.141
De FRC ziet het als verantwoordelijkheid van de raad
van Bestuur om al dan niet, naar de behoeften van de onderneming (“appropriate to different
industries”), een risicocomité op te richten in de onderneming.142
Britse ondernemingen hebben
gemerkt dat het oprichten van zulke comités leidt tot het minder snel nodig vinden van externe
auditeurs. De vraag is of dat goed is, want externe audit kan extra controle genereren, doordat die met
een “frisse blik” naar ondernemingszaken kijken.143
De FRC signaleert een tendens onder
institutionele beleggers144
in het VK om de raad van bestuur ertoe te bewegen voornamelijk aan
strategische risico’s aandacht te besteden.145
137
FRC, Boards and Risk, p 9. 138
Ibid., p 9. 139
S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 3. 140
Ibid., p 5. 141
OESO, Policy Brief Principles of Corporate Governance, www.oecd.org/dataoecd/41/32/33647763.pdf (27 februari 2012), p 3. 142
FRC, Boards and Risk; “The decision should be left to individual boards, rather than impose a risk committee on all companies.”, p 3 143
Dit kan, maar is niet altijd zo, zie maar de Enron of Ahold-zaken. Daar hadden de externe auditeurs te veel belangen bij het houden van die ondernemingen als klant, en waren ze het te veel en te snel eens met zaken die niet door de beugel konden. FRC, Boards and Risk, p 12. 144
Een institutionele belegger is: Onderneming die zich beroepsmatig bezighoudt met de belegging van middelen die haar door derden om uiteenlopende redenen zijn toevertrouwd. Voorbeelden van institutionele beleggers zijn pensioenfondsen en beleggingsfondsen, www.beursduivel.be/encyclopedie/term/Institutionele+belegger (7 maart 2012). 145
FRC, Boards and Risk, p 14.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
29
b. Operationeel
Men klasseert dit wel eens als een bottom-up risico; het betreft het effectief en efficiënt gebruik van
de middelen, in functie van “haar doelstellingen, de omvang en de complexiteit van de
onderneming.146
Er moet zelfs, in België toch, rekening gehouden worden met de noden en
doelstellingen van dochterondernemingen, die verschillend kunnen zijn van de moederonderneming.
Dit is ook een vennootschapsrechtelijke verplichting.147
Idealiter wordt er voor dit soort risico’s
voornamelijk gewerkt met een kaderreferentie voor het management, dat dan doet wat het moet doen,
en enkel de serieuze zaken onder de aandacht brengt van de raad van bestuur (men denkt hierbij aan
fraude, onverwachte verliezen, etc.).
c. Rapportage
Dit betreft betrouwbaarheid van verslaggeving; “Another issue is disclosure. Although it is critical, it
must be managed, as analysis of ERM can run the risk of exposing too much competitive information.
"You're putting on the table the risks you're willing to take," (…) "You have to be able to explain how
you're creating value and the risks you're taking to do so."148
Ook anderen delen de visie van een
behoorlijke rapportage, zoals SIMKINS en RAMIREZ149
: “If the board cannot understand and manage
the full breadth of risks facing the modern public corporation, then such risks may not be disclosed to
investors and impounded into decisions regarding the allocation of investment capital” (eigen
onderlijning). De OESO deelt die mening.150
O.a. bij de operationele resultaten van de onderneming
moeten ook voorzienbare risicofactoren gepubliceerd worden. Dit dient een dubbel doel: beleggers,
schuldeisers (huidige en potentiële) en investeerders informeren over hun kansen hun geld ooit terug te
zien en om te tonen dat de onderneming zijn werk m.b.t. ERM goed doet.151
De FRC bevestigt dat een
goede rapportering en vlotte communicatielijnen belangrijker zijn dan de specifieke structuur van
bepaalde comités en de al dan niet aanwezigheid van CRO’s e.d.152
Bestuurders kunnen betere
beslissingen nemen, omdat ze beter geïnformeerd zijn.153
Ook rapportage naar de buitenwereld is
zeker van belang. Daarom is door de Europese wetgever (infra) bepaald dat de informatie over
financiële verslaggeving en risicobeheer in het jaarverslag moet worden vermeld. Men moet er wel
voor waken dat er niet alleen ellenlange lijsten van risico’s, die wel of niet kunnen voorkomen of
146
Corporate Governance Commissie, Richtlijnen Interne Controle, p 8. 147
Art. 522 § 1, eerste lid, W. Venn (De raad van bestuur is bevoegd om alle handelingen te verrichten die nodig of dienstig zijn tot verwezenlijking van het doel van de vennootschap, behoudens die waarvoor volgens de wet alleen de algemene vergadering bevoegd is). 148
S&P, Enterprise Risk Management: More Important, But Still No Panacea. 149
S. SIMKIN, S.A.RAMIREZ, Enterprise-Wide Risk Management and Corporate Governance, raadpleegbaar op http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1657036, p 571. 150
OESO: OECD Principles of Corporate Governance, 2004, Disclosure and transparency, A.6, p 24. 151
Ibid., p 53, foreseeable risk factors. 152
FRC, Boards and Risk, p 6. 153 UK Corporate Governance Code, p 10: “The chairman is responsible for ensuring that the directors receive
accurate, timely and clear information.” Voor communicate met de buitenwereld: “The chairman should ensure effective communication with shareholders.”
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
30
opportuniteiten die men al dan niet zou kunnen grijpen, openbaar gemaakt worden. Institutionele
beleggers in het VK hebben al aangegeven daar niet op te vertrouwen en enkel te vertrouwen op de
samenstelling van de raad van bestuur. 154
Een niet in het oog lopend, maar daarom toch belangrijk probleem is dat door de natuur van het actief
beheren van en anticiperen op ERM, rapportage niet altijd makkelijk is. Dit blijkt zeker zo te zijn bij
risk appetite, aangezien dat continu aan verandering onderhevig is.155
Ook kan rapportage
commerciële geheimen publiek bekend maken, of juist de trigger zijn die een bepaald risico
werkelijkheid laat worden.156
d. Toezicht
Toezicht betreft naleving van wet- en regelgeving
(compliance). Hier komt de figuur van ‘comply and
explain’ naar voren.157
Maar ERM is meer dan enkel
“comply en disclose”158
op zich (ook wel box-ticking of
“check-the-box”159
genoemd). Hier kan worden
opgemerkt dat dit bij de ondernemingen genoteerd op de
BEL-20 behoorlijk is.160
COSO heeft de bovenstaande acht componenten
schematisch weergegeven in een schema (figuur
hiernaast),161
waarbij opvalt dat aan de rechterkant ervan wordt weergegeven dat de risicobeheersing
door de gehele onderneming werkt, en dat men zicht niet op één of enkele zaken of afdelingen binnen
de onderneming mag focussen (“silo’s”).162
Classificatie van de risico’s speelt, vanaf het moment dat
154
FRC, Boards and Risk, p 14. 155
Ibid., p 14. 156
Bijvoorbeeld een moedervennootschap die een belang in een dochter langzaam afbouwt, omdat ze niet meer verwacht dat de laatste ooit nog winstgevend zal zijn. Als dit bekend wordt, dan gaat de dochter zeker failliet, en sneller dan verwacht of gehoopt. 157
I. MACNEIL, X. LI, “Comply or explain”: market discipline and non-compliance with the combined code, 2005, raadpleegbaar op www.ssrn.com, SSRN-id726664. 158
S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 3. 159
Ibid., p 5. 160
VBO-feb: Onderzoek naar de naleving van de Belgische Corporate Governance Code 2009 bij de BEL 20 ondernemingen, boekjaar 2010, executive summary, p 2 http://vbo-feb.be/media/uploads/public/_custom/Dossier/CorporateGovernance/GubernaVBOstudie2011_Executivesummary.pdf (20 februari 2012) en FSMA: De eerste verklaringen inzake deugdelijk bestuur: opvolgingsstudie van Studie nr. 38. Studie nummer 40, september 2011. 161
COSO Enterprise Risk Management — Integrated Framework, samenvatting, 2004, p. 10. En COSO, Integrated Framework, p 24. Deze acht componenten zijn min of meer de zelfde als die die Corporate Governance Commissie in zijn Richtlijnen gebruikt. 162
G. SABATO, Financial Crisis, Where did Risk Managemant Fail?,…, raadpleegbaar op www.ssrn.com, SSRN-id1460762, p 11.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
31
er op risico’s serieus moeten worden geanticipeerd, geen rol meer. Dan moet de raad van bestuur altijd
de leiding nemen.163
.
9. Reputatieschade.
Men kan nog een vijfde “categorie” toevoegen aan de vorige vier, namelijk reputatieschade, door het
laten gebeuren van een aantal kleinere risico’s.164
Deze soort van risico wordt belangrijker en
belangrijker, vandaag de dag.165
Dit komt door de toegenomen internationalisering, verbetering van
communicatiemiddelen en de opkomst van sociale media, zoals Facebook. Ook een groeiende afkeer
van globalisering en dus van multinationals ligt hieraan deels ten grondslag.
10. Standard & Poor’s:
Zij gaan uitdrukkelijk kijken naar ERM-structuren in hun kredietwaardigheid beoordelingen vanaf
2009, zoals ook hierboven al is aangehaald. Ze zullen in de ERM cultuur analyse kijken of er al zulke
ERM structuren aanwezig zijn, of de raad van bestuur verantwoordelijk is voor de implementatie van
ERM en van de rapportering en communicatie.166
Uiteraard moet volgens hen een succesvol ERM ook
gevolgen hebben voor de lonen van het management, zowel bij een succesvol als een niet-succesvol
ERM. Hierdoor moet het gehele management doordrongen worden van een ERM-cultuur binnen de
onderneming. Een kans bestaat dat dit nog extra wordt gestimuleerd doordat S&P de vroegere
uitspraken van managers over beleidskeuzes toetst aan hun werkelijke beleid en dit dan toepast op het
aangekondigde ERM-beleid.167
Onder druk van een rating verlaging kunnen managers ERM serieuzer
nemen (vergelijk de studie van PAGACH, D., WARR, R.168
over ondernemingen met slechte resultaten
die voornamelijk een ERM-programma opstellen en de opmerkingen daarover op p. 8).
11. De OESO
In zijn richtlijnen voor multinationale ondernemingen raadt de OESE ondernemingen ten zeerste aan
om op risico gebaseerde onderzoeken en verrichtingen uit te voeren, het liefst geïntegreerd in hun
ERM-programma. 169
Verderop wordt gesteld dat Risicobeheer één van de verantwoordelijkheden is
van de raad van bestuur170
en niet stopt bij herkenbare risico’s van de onderneming zelf, maar wel gaat
over vele mogelijke gevolgen voor de onderneming.171
163
FRC, Boards and Risk, p 9. 164
Ibid., p 10. 165
Al was het maar omdat veel producten inhoudelijk en kwalitatief hetzelfde zijn, bijvoorbeeld BP benzine en Q8 benzine zijn beide hetzelfde, maar BP heeft reputatieschade van de olieramp in de Golf van Mexico (supra). 166
S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 3. 167
Ibid., p 5. 168
D. PAGACH,R. WARR, An Empirical Investigation of the Characteristics of Firms Adopting Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1010200., p 28. 169
OESO, OECD Guidelines for Multinational Enterprises, 2011, http://dx.doi.org/10.1787/9789264115415-en (27 febrauri 2012), p 22. 170
Ibid., p 24. 171
Ibid., p 25.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
32
e. De inbedding van ERM in Corporate Governance. Nadat we hebben vastgesteld wat ERM is, is het tijd om na te gaan wat de rol van ERM in het ruimere
kader van Corporate Governance is. Hiervoor dient men eerste te weten wat Corporate Governance is.
Men omschrijft dit begrip in het Nederlands het beste door de notie ‘deugdelijk ondernemingsbestuur'.
Volgens de Belgische Corporate Governance Code omvat Corporate Governance: “een reeks regels en
gedragingen op basis waarvan vennootschappen worden bestuurd en gecontroleerd”. Hieronder kan
men dan onder andere een goed risicobeheer en interne controle begrijpen.
1. België
De twee belangrijkste bronnen zijn ongetwijfeld het Wetboek van Vennootschappen en de Belgische
Corporate Governance Code. Men zal merken dat er veel aandacht is voor (interne) communicatie.
a. Wetboek van Vennootschappen172
Art. 96, § 1 W. Venn luidt: Het jaarverslag bedoeld in artikel 95 bevat : 1° ten minste een getrouw
overzicht van de ontwikkeling en de resultaten van het bedrijf en van de positie van de vennootschap,
alsmede een beschrijving van de voornaamste risico's en onzekerheden waarmee zij geconfronteerd
wordt. Dit overzicht bevat een evenwichtige en volledige analyse van de ontwikkeling en de resultaten
van het bedrijf en van de positie van de vennootschap die in overeenstemming is met de omvang en de
complexiteit van dit bedrijf(…).(eigen onderlijning).173
Art. 96, § 2, 3° W. Venn. luidt: Voor de vennootschappen waarvan de aandelen zijn toegelaten tot de
verhandeling op een in artikel 4 bedoelde markt, bevat het jaarverslag tevens een verklaring inzake
deugdelijk bestuur, die er een specifiek onderdeel van vormt en die ten minste de volgende informatie
bevat: een beschrijving van de belangrijkste kenmerken van de interne controle- en
risicobeheerssystemen van de vennootschap, in verband met het proces van financiële verslaggeving.
Art. 119, 7° W. Venn. luidt: het jaarverslag bevat: een beschrijving van de belangrijkste kenmerken
van de interne controle- en risicobeheerssystemen van de verbonden vennootschappen met betrekking
tot het proces van de opstelling van de geconsolideerde jaarrekening zodra een vennootschap die op
een in artikel 4 bedoelde markt genoteerd is, in het geconsolideerde geheel voorkomt.
Art. 526bis W. Venn § 1 luidt: De genoteerde vennootschappen (…) richten een auditcomité op
binnen hun raad van bestuur. Dit is een regel ter omkadering van de risico- en controlesystemen.
Art. 526bis W. Venn § 4 luidt: Onverminderd de wettelijke opdrachten van de raad van bestuur heeft
het auditcomité minstens de volgende taken:
a) monitoring van het financiële verslaggevingsproces;
172
Wetboek van vennootschappen van 7 mei 1999 (BS 06.08.1999). 173
Art. 119, tweede lid, 7° W. Venn. herhaalt deze bepaling. Deze voornaamste risico’s hangen af van onderneming tot onderneming. Zie ook: Organisatieaansprakelijkheid, p 229, nr. 261: “Ze moeten in concreto worden beoordeeld”. Dit hangt samen met punt II. 5 Gehele onderneming.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
33
b) monitoring van de doeltreffendheid van de systemen voor interne controle en risicobeheer van de
vennootschap (eigen onderlijning). Beide artikels zijn ingevoegd door de wet van 17 december
2008.174
Art. 527 W. Venn luidt: De bestuurders (, leden van het directiecomité) en dagelijks bestuurders zijn
overeenkomstig het gemeen recht verantwoordelijk voor de vervulling van de hun opgedragen taak en
aansprakelijk voor de tekortkomingen in hun bestuur.
Zoals bepaalde ondernemingen opmerkten is er niet altijd evenveel onderscheid tussen de begrippen
interne controle, interne audit en risicobeheer.175
Deze kritiek klinkt ook bij de richtlijnen van de
Corporate Governance Commissie.
b. Wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en
financiële diensten en zijn uitvoeringsbesluiten.
Deze wetgeving betreft o.a. de verplichtingen van genoteerde ondernemingen met betrekking tot de
gegevens die zij openbaar moeten maken met betrekking tot Corporate Governance en ERM.176
Er zal
verder op worden ingegaan onder het hoofdstuk Richtlijnen Corporate Governance Commissie met
betrekking tot interne controle (infra). Deze wet zal hierna wet financieel toezicht genoemd worden.
Op te merken valt dat dit niet het hoofddoel van deze wet is. Dat zijn namelijk de verplichtingen
omtrent de verhandeling van aandelen.
c. De Belgische Corporate Governance Code
De Belgische Code177
is opgebouwd volgens negen principes:
1. De vennootschap past een duidelijke governance structuur toe;
Dit houdt in dat de raad van bestuur de belangrijkste bevoegdheden en verantwoordelijkheden
bepaalt. Zij is verantwoordelijk voor de keuze van het raamwerk inzake risicobeheer. Zoals
eerder vermeld kunnen, en moeten, zulke structuren van vennootschap tot vennootschap
verschillen. Dit principe moet samen gelezen worden met art. 96, § 2, 3° W. Venn. met
174
Wet inzonderheid tot oprichting van een auditcomité in de genoteerde vennootschappen en de financiële ondernemingen. Inwerkintreding 8 januari 2009. B.S. 29 december 2008. 175
Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle. 176
Wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en financiële diensten (B.S. 04-09-2002). Vooral van belang zijn: “§ 1. Op advies van de CBFA bepaalt de Koning: 1° de verplichtingen van emittenten van financiële instrumenten die, op hun verzoek, zijn toegelaten tot de verhandeling op een Belgische gereglementeerde markt, op het gebied van informatieverstrekking aan het publiek: a) periodiek over hun activiteiten en resultaten” en “3° de nadere regels en termijnen voor de bekendmaking van de in 1° bedoelde informatie, alsmede de voorwaarden tegen welke de emittenten bedoeld in hetzelfde punt deze bekendmaking kunnen doen door aankondiging op hun website of deze van de marktonderneming die de betrokken markt organiseert;”. Het gaat tevens om het K.B. van 14 november 2007 betreffende de verplichtingen van emittenten van financiële producten die zijn toegelaten tot de verhandeling op een gereglementeerde markt (B.S. 3 december 2007) (Hierna: uitvoeringsbesluit wet 2 augustus 2002). 177
Belgische Corporate Governance Code 2009, ingevoegd bij K.B. 6 Juni 2010 houdende aanduiding van de na te leven Code inzake deugdelijk bestuur door genoteerde vennootschappen, raadpleegbaar op http://www.corporategovernancecommittee.be/nl/code_2009/recentste_uitgave/default.aspx (14 december 2011).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
34
betrekking tot de verantwoordelijkheid van de raad van bestuur voor het instellen van een
behoorlijk risicobeheersysteem.178
2. De vennootschap heeft een doeltreffende en efficiënte raad van bestuur die beslissingen neemt in
het vennootschapsbelang;
3. Alle bestuurders dienen blijk te geven van integriteit en toewijding;
4. De vennootschap heeft een rigoureuze en transparante procedure voor de benoeming en de
beoordeling van haar raad en zijn leden;
5. De raad van bestuur richt gespecialiseerde comités op;179
Dit is opdat een onderneming een duidelijk en goed functionerend risicobeheerproces zou
hebben. Men moet deze bepaling samen lezen met art. 526bis W. Venn § 4, b) over de taken
van het auditcomité. De comités hebben geen beslissingsbevoegdheid, maar hebben enkel een
raadgevende stem.180
6. De vennootschap werkt een duidelijke structuur uit voor het uitvoerend management;181
7. De vennootschap vergoedt de bestuurders en de leden van het uitvoerend management op een
billijke en verantwoorde wijze;
8. De vennootschap gaat met de aandeelhouders en potentiële aandeelhouders een dialoog aan,
gebaseerd op een wederzijds begrip voor elkaars doelstellingen en belangen;
9. De vennootschap waarborgt een passende openbaarmaking van haar corporate governance.
Volgens de Belgische Code dient Corporate Governance prestatiegericht bestuur te bevorderen.182
Het vennootschapsbelang moet te allen tijde worden gevrijwaard van belangenconflicten en,
belangrijker, van risicobedreigingen, door het instellen van een “afdoend beheer van potentiële
risico's”.183
In bepaling 1.1 van de Belgische Corporate Governance Code is er sprake van “de rol van de raad van
bestuur bestaat erin het lange termijn succes van de vennootschap na te streven door ondernemend
leiderschap te garanderen en ervoor te zorgen dat risico's kunnen worden ingeschat en beheerd.”184
In bepaling 1.2 wordt de Risk Appetite van een onderneming onder de aandacht gebracht, als een
verantwoordelijkheid van de raad van bestuur, en dit in het kader van de strategie van de onderneming.
178
Principe 1.3 Belgische Corporate Governance Code. 179
Zoals audit- en directiecomités. De mogelijkheid tot het instellen van comités is bepaald in art. 522, § 1, derde lid W. Venn. 180
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 214. 181
Het management moet door de raad van bestuur in staat worden gesteld zijn taken naar behoren uit te voeren, minstens het identificeren risico’s door middel van het in werking stellen van interne controlesystemen. 182
Belgische Corporate Governance Code 2009, préambule, punt 1. 183
Ibid. punt 1. 184
Ibid., p 11.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
35
In bepaling 1.3 van de Code wordt gerept van “de plicht van de raad van bestuur om te zorgen voor
[het goedkeuren van] een kader (…) van interne controle en risicobeheer, opgesteld door het
uitvoerend management, en de implementatie van het kader te beoordelen.185
Deze stelling wordt
herhaald in principe 6.5: Het uitvoerend management moet minstens”: (…)zorgen voor de
totstandkoming van interne controles (dit zijn systemen voor het identificeren, evalueren, beheren en
opvolgen van financiële en andere risico's).186
Dit gaat verder dan de wettelijke bepalingen in het
Wetboek van Vennootschappen. Deze bepaling wordt door de geviseerde ondernemingen in het
algemeen als behoorlijk beschouwd.187
Ze zijn bijvoorbeeld flexibel genoeg. Daarin gaat het, in
navolging van het Europees recht, enkel over financiële verslaggeving.188
Echter, risicobeheer is
ruimer, en gaat ook over een globale aanpak van risico’s, inclusief het formuleren van
doelstellingen.189
De Belgische Corporate Governance Code gaat uit van “comply or explain”, zoals aanbevolen door de
OESO en de Europese Commissie.190
Ingevolge de wet deugdelijk ondernemingsbestuur zijn
beursgenoteerde ondernemingen verplicht te voldoen aan de Corporate Governance Code.
Bijlage C handelt over de samenstelling en de plichten van het auditcomité (aantal leden,
onafhankelijkheid, etc.), en herhaalt artikel 526bis W. Venn § 4. Tevens is er aandacht voor de plicht
van het uitvoerend management over het speciaal inlichten van het auditcomité over Special Purpose
Vehicles (SPV’s) die voor specifieke transacties werden opgericht en voor de procedure
daaromtrent.191
Ook in de Corporate Governance Code voor KMO’s, de code Buysse, die in het kader van deze thesis
helaas niet kan worden besproken, is er meer nadruk gelegd op een actieve, betrokken raad van
bestuur (bijvoorbeeld meer samenkomen, en de onderneming meer opvolgen) en op een beter
risicobeheer. Bij dit laatste is het de bedoeling dat de raad van bestuur meer controle zou uitoefenen,
maar ook dat er voor gezorgd wordt dat die laatste op tijd de juiste informatie krijgt.192
185
Dergelijk kader moet duidelijk zijn, de betekenis definiëren van ‘interne controle’ en ‘risicobeheer’ en het uitvoerend management helpen bij de invoering van interne controle- en risicobeheerssystemen, 1.3 Belgische Corporate Governance Code 2009. 186
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 218, nr 253. 187
Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle, p 2. 188
Art. 1, 7c, Richtlijn 2006/46/EG en art. 526bis W. Venn. 189
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 218, nr 253. 190
Belgische Corporate Governance Code 2009, préambule, punt 4 en Richtlijn 2006/46/EG 14 juni 2006 van het Europees parlement en de Raad, tot wijziging van de Richtlijnen 78/660/EEG van de Raad betreffende de jaarrekening van bepaalde vennootschapsvormen, 83/349/EEG van de Raad betreffende de geconsolideerde jaarrekening, 86/635/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van banken en andere financiële instellingen en 91/674/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van verzekeringsondernemingen (hierna verkort: Richtlijn 2006/46/EG). 191
Belgische Corporate Governance Code 2009, bijlage C, 5.2/12, p 31. 192
E. JANSSENS, Corporate Governance bij KMO”s, nieuwe versie van de Code Buysse, Balans 612, 2009, p 3.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
36
d. Richtlijnen Corporate Governance Commissie met betrekking tot interne controle.193
In het kader van een door de markt gewenste nadere uitleg omtrent de taken van de raad van bestuur
en van de wens om ervoor te zorgen194
dat die beter zou weten wat er in de onderneming speelt (en dus
kan controleren of er geen verkeerde zaken spelen, i.e. interne controle) heeft de Corporate
Governance Commissie niet-bindende richtlijnen opgesteld om ondernemingen te helpen een interne
controle en risicobeheer systeem op te zetten of te verbeteren (of in het beste geval hun praktijk
bevestigd te zien). Er ligt in ieder geval meer nadruk op interne controle bij de nieuwe Corporate
Governance Code.195
Dit document kwam tot stand na een publieke raadpleging.196
Deze richtlijnen en
de regel 1.3 uit de Belgische Corporate Governance Code beogen ook nog een minder strikt ERM-
doel, namelijk “een getrouwe openbaarmaking van de financiële informatie.”197
Dit sluit weer meer
aan bij de wettelijke doelstelling van getrouwen financiële verslaggeving zoals vermeld is in art. 96, §
2, 3° W. Venn (supra). Deze richtlijnen zullen aangepast zijn aan de noden van elke onderneming;
geen twee ondernemingen zijn dezelfde. De richtlijnen leggen de uiteindelijke verantwoordelijkheid
van het invoeren van een systeem van interne controle en risicobeheer bij de raad van bestuur.198
Het is
wel zo dat de richtlijnen meer gaan over rapportage en compliance, dan enkel ERM in de strikte zin
van het begrip. Toch is er ook een nauwe aansluiting te vinden bij ERM, omdat er tevens sprake is van
de “prestaties en rendabiliteit” van de gehele onderneming, dus van een risicobeleid dat niet van
toepassing is per apart onderdeel van de onderneming.199
Dit wordt verderop in de richtlijnen nog beter
verwoord:200
“Het bestuursorgaan bepaalt de filosofie, managementstijl, waarden en strategie (…).
Deze zullen worden beïnvloed door het aanvaarde risiconiveau (…).”201
Dit betekent dat de raad van
bestuur verantwoordelijk is voor het door de gehele onderneming invoeren van een bewustzijn van
ERM en van de risk appetite. Dit wordt expliciet herhaald in “2.3.2 Tweede component: het
193
Corporate Governance Commissie, Richtlijnen Interne Controle. 194
E. JANSSENS, Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4, II.B, verduidelijking betreffende de taken en verantwoordelijkheden van de raad van bestuur, p 17. Een voorbeeld van een verbetering ten opzichte van de eerste Corporate Governance Code was dat bestuurders werden aangeraden meer te vergaderen. 195
E. JANSSENS, Nieuwe Corporate Governance wet eindelijk gepubliceerd, Balans 629, 2010, p 3 en VAN DER ELST, C., VAN DAELEN, M., Risk Management in European and American Corporate Law, ECGI Working Paper Series in Law, Working Paper N°.122/2009, raadpleegbaar op www.ssrn.com, SSRN-id: 1399647, p 4 voor een internationaal perspectief op de verschuiving van de focus van corporate governance naar interne controle en risicobeheersing. 196
Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle. 197
Corporate Governance Commissie, Richtlijnen Interne Controle, p 4. 198
Ibid., p 8: Interne controle kan worden omschreven als een door het bestuursorgaan uitgewerkt systeem, dat onder zijn verantwoordelijkheid werd ingevoerd door het uitvoerend management (…). 199
Ibid., p 8. En op p 24 en 25 worden ondernemingen gevraagd in een vragenlijst of het personeel en het management duidelijk geïnformeerd zijn over de bevoegdheden en verantwoordelijkheden in het kader van risicobeheer. 200
Ibid., p 9, 2.3.1. 201
Zie hiervoor in een heel andere context, maar wel als bevestiging: J.DELVOIE, Orgaantheorie in rechtspersonen van privaatrecht, 2010, Intersentia, Antwerpen, p 432 (hierna te noemen: Orgaantheorie in rechtspersonen).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
37
risicobeheerproces van de richtlijnen.” Tevens is zij verantwoordelijk voor de structuur van het
uitvoerend management, voor de doorstroom van informatie en voor de praktijken die al dan niet in de
vennootschap toegelaten zijn.202
Ze bepaalt ook de beleidslijnen voor ethiek en bekwaamheid203
van
het personeel, zodat de hele onderneming doordrongen raakt van de risicobeheerstrategie. Ook voor de
rest van de controle-omgeving is zij verantwoordelijk.204
De wettelijke basis hiervoor is art. 526bis, §
1 W. Venn, voor het opzetten van een auditcomité en bepalingen 1.1, 1.2, 1.4, 4.5 en 5.2 van de
Belgische Corporate Governance Code. Het uitvoerend management moet de risicobeheersystemen
verder uitwerken en dit in het kader van een geheel van middelen, gedragingen, procedures en
maatregelen aangepast aan de kenmerken van elke vennootschap waardoor de bestuurders het risico op
een voor de vennootschap aanvaardbaar niveau kunnen houden.205
M.a.w. de middelen, gedragingen,
procedures en maatregelen zijn per onderneming anders en zijn o.a. aangepast aan de “risk appetite”
van elke onderneming.
Nadat volgens de Commissie en zijn Richtlijnen de controle-omgeving op punt staat, moet er uiteraard
ook sprake zijn van een behoorlijk risicobeheerproces.206
De Commissie volgt vrij getrouw het
raamwerk van COSO en van de OESO (de onderlijning in voorgaande alinea is door mijzelf
toegevoegd).207
i. Doelstellingen
Allereerst moeten de doelstellingen worden vastgelegd. Dit zijn dezelfde als de Ondernemingsdoelen
in het COSO-raamwerk (supra), namelijk strategische (waar de onderneming heen wil), operationele
(betreft het (effectief en efficiënt) gebruik van de middelen van de onderneming), betrouwbare
rapportering van de interne en externe audit, van de controle systemen en compliance, zowel van
externe, zoals wetgeving, als van interne instructies (als de interne instructies niet gevolgd zouden
worden zou het vorige punt met betrekking tot getrouwe rapportering weinig zin hebben).
ii. Risico-identificatie.
Als de ondernemingsdoelen zijn vastgelegd en men weet welke richting men met de onderneming uit
wil, moet het natuurlijk mogelijk zijn om tijdig risico’s te kunnen identificeren om er nadien gepaste
202
Zie als voorbeeld: Antwerpen (5e k.) 2 maart 2006 JDSC 2008 (samenvatting), 189, noot ERNOTTE, M; JDSC 2009, 78; TRV 2007, afl. 3, 192, noot CLOTTENS, C, waarbij het Hof stelt dat: “De onterechte bevoegdheidsoverschrijding van de algemene vergadering bevrijdt de bestuurders niet van hun eigen aansprakelijkheid de wet en de statuten na te leven en hun functie uit te oefenen in het belang van de vennootschap” en “. De beslissing van de algemene vergadering belet immers niet dat de bestuurders zelf ook een beslissing moeten nemen om hetzij de beslissing van de algemene vergadering te bekrachtigen door eraan uitvoering te geven (hetgeen de bekrachtiging zou inhouden door het ter zake bevoegde orgaan van de vennootschap),…” (eigen onderlijning). 203
Bekwaamheden kunnen worden gecontroleerd door goede testen in te voeren alvorens mensen aan te nemen, zie p 19. 204
Corporate Governance Commissie, Richtlijnen Interne Controle, p 9 en 10. De controle-omgeving omvat ook nog de volgende twee elementen: integriteit & ethiek en bekwaamheden. 205
Ibid., p 11. 206
Ibid., p 12. 207
OESO: The Corporate Governance Lessons from the Financial Crisis, KIRKPATRICK, G., 2009, p 7.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
38
maatregelen voor te kunnen nemen. En ook of men ze wil nemen, dat wordt bepaald aan de hand van
de risk appetite of volgens de Richtlijnen: het aanvaard risiconiveau (infra). Er moet met andere
woorden een systeem van risico-identificatie zijn. Dit is een identificatie van welke factoren mogelijks
invloed kunnen hebben op het beleid en op de toekomst van de onderneming, zowel negatief als
positief (opportuniteiten die zich kunnen voordoen en tijdig herkend moeten worden). Er wordt best
ook rekening gehouden met de mogelijke impact van bepaalde factoren op de onderneming en met het
feit dat sommige risico’s, zelfs al worden ze tijdig herkend, niet te voorkomen vallen (zoals daar zijn
natuurrampen of een economische crisis). Men kan dan enkel nadenken over hoe men daar best op
reageert en anticipeert in het geval iets dergelijks voor zou komen. Vergelijk het geval Bekaert, haar
bestuurders hadden misschien wel kans om de gevolgen van een invallende vraag, o.m. door
wegvallende subsidies in Europa,208
op te vangen. Ook moet men geen tijd steken in het voorkomen
van kleine risico’s en moet men er voor waken dat men niet enkel “herkenbare” risico’s gaat
beheersen en proberen voorkomen, maar alle significante.209
Dit hangt ook samen met het volgende
punt, namelijk de risicoanalyse.
Voorbeelden van externe factoren ten slotte zijn: technologische evoluties; product-ontwikkeling;
concurrentie; een nieuwe regelgeving, etc.210
Interne factoren kunnen onder meer zijn: een informaticaprobleem; human ressources; een wijziging
van de verantwoordelijkheden van het management; de aard van de activiteiten (maar net hiervoor
bepaalt men de risk appetite); of een probleem met betrekking tot de werking van één van de interne
organen of comités.
iii. Risico-analyse en -beheersing
Dit is het onderzoeken van de kenmerken van elk in de vorige stap geïdentificeerd risico en dat klaar
en helder in kaart brengen. Voor de duidelijkheid heeft de Commissie in zijn Richtlijnen het proces
van risicoanalyse fase voor fase weergegeven. De fases zijn: evaluatie van het potentieel belang van
het risico; evaluatie van de waarschijnlijkheid (of frequentie) waarmee het risico kan voorkomen;
evaluatie van de maatregelen die dienen te worden getroffen om het risico te verminderen in functie
van het belang ervan (groot, gemiddeld, zwak of eender welke indeling men hanteert, zolang die maar
goed is gekend doorheen de hele onderneming en consistent wordt nageleefd). Het goede verloop van
de risicobeheersing valt onder de verantwoordelijkheid van de interne audit. Zij moet erop toezien dat
het jaarverslag wel de “volledige beschrijving van de de voornaamste risico’s en onzekerheden”
bevat.211
Vergelijk dit met de alinea over beheren en anticiperen bij het COSO-raamwerk. Het is van
belang dat deze analyses en de voorgeschreven reacties erop door personeel of management goed
208
De Standaard zat 25 februari 2012, p 67, dagblad, Bekaert bekomt van zonneslag. 209
S. HEXTER, G. VAINBERG, Publicatie Director Notes: Risk Oversight Practices: Two Succes Stories, januari 2011, raadpleegbaar op www.ssrn.com, SSRN-id: 1840883, p 3, ”analysis paralysis”. 210
Corporate Governance Commissie, Richtlijnen Interne Controle, p 12. 211
Art. 144, 6° W. Venn. en art. 148, 5° W. Venn. Deze artikelen verwijzen naar de verplichting van het uitvoerend management uit art. 96 omtrent het jaarverslag.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
39
beschreven zijn en voor iedereen in de onderneming goed toegankelijk zijn.212
Het is uiteraard van
belang dat de verantwoordelijke voor het ERM-beleid een geschikte persoon is.213
Dat dit een grote
invloed kan hebben bewijst het verhaal in de studie van HEXTER en VAINBERG over “Papa
John’International Inc.”214
Er is sprake van een CEO, CFO en een raad van bestuur die elk overtuigd
zijn van de meerwaarde van een goed ERM-programma. Er is pas overgegaan tot het instellen daarvan
nadat iedereen in het management overtuigd was van het nut ervan. Pas daarna konden moeite en
kosten worden gestoken in het onder henzelf of extern zoeken van een geschikte persoon om het
ERM-programma op te volgen. Ook PAGACH en WARR215
gaan uit van de meerwaarde van zo een
speciale persoon, die zij in hun studie CRO noemen, maar ook onder een andere naam gekend kan zijn
in de door hen onderzochte ondernemingen. Er is al eerder gemeld dat de persoon die een dergelijke
functie zal vervullen, een sterke persoonlijkheid moet hebben. Een voorbeeld uit de financiële wereld
waar dat niet zo was, is dat van de zakenbank Bear Stearns, die in 2008 in zware problemen kwam.216
Zij zat ver boven de intern gestelde limiet met betrekking tot hypotheekverstrekkingen, maar er werd
niks aan gedaan (Net als bij bijvoorbeeld Van der Moolen in Nederland). Ofwel wilde de voorzitter de
problemen niet weten, ofwel wist hij ze niet. In beide gevallen is er een fout van de raad van bestuur,
wegens in het eerste geval een voorzitter die ontslagen had moeten worden, in het tweede geval
wegens een slecht opvolgingssysteem.
iv. Opvolging/monitoring
Er dient uiteraard ook regelmatig te worden gecontroleerd of het bestaande risicobeheer model nog
wel voldoet.217
Als er een belangrijke wijziging is in externe factoren moet er zo snel mogelijk worden
gekeken of het bestaande model nog voldoet en niet enkel een “check-the-box” oefening wordt.218
In
het voorbeeld dat HEXTER en VAINBERG geven rapporteert het auditcomité per kwartaal aan het
bestuur hun analyse van het bestaande risicobeheer model en de adequaatheid ervan in het kader van
de risk appetite en ook de respons snelheid van de onderneming. De hele raad van bestuur doet mee
met de discussie over kwartaalupdate,219
waardoor er adequaat gehandeld kan worden en de rest van
212
Corporate Governance Commissie, Richtlijnen Interne Controle, p 25. 213
Ibid., p 25. 214
S. HEXTER, G. VAINBERG, Publicatie Director Notes: Risk Oversight Practices: Two Succes Stories, raadpleegbaar op www.ssrn.com, SSRN-id: 1840883, p 2, ”risk heats”. 215
D. PAGACH,A. WARR, An Emperical Investigation of the Characteristics of Firms Adopting Enterprise Risk Management, raadpleegbaar op SSRN-id1010200, p 8. 216
OESO: The Corporate Governance Lessons from the Financial Crisis, KIRKPATRICK, G., 2009, p 8. 217
Ibid., p 13 (Het in aanmerking nemen van wijzigingen) en ook: HEXTER, S., VAINBERG, G., Publicatie Director Notes: Risk Oversight Practices: Two Succes Stories, raadpleegbaar op www.ssrn.com, SSRN-id: 1840883, p 2, ”risk heats”. 218
De OESO raadt dit ook aan in haar OECD Principles of Corporate Governance, 2004, p 26. Volgens de publicatie van de OESO zijn de tekenen licht hoopgevend. Zie ook FRC, Boards and Risk, p 9. 219
In theorie bestaat die mogelijkheid in België ook, zie art. 5.2/30 van de Belgische Corporate Governance Code, waarin wordt bepaald dat “auditcomité beslist of, en zo ja wanneer, de (…) hogere kaderleden die verantwoordelijk zijn voor financiën, boekhouding en thesaurie, de interne auditor en de externe auditor haar
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
40
de onderneming snel volgt in het inzien van het belang van ERM. Hierna kan de hele onderneming
doordrongen raken van een wijziging en verbetering van de ERM-structuur van de onderneming. Men
kan dit een voorbeeld noemen van een top-down approach van ERM in die specifieke onderneming.
Dit houdt trouwens verband met het laatste punt omtrent risicobeheerproces van de Commissie over de
Corporate Governance Code, het bijsturingsysteem220
en met de premisse dat een goed ERM-systeem
valt of staat met een transparant rapporteringsysteem. Als men dit vergelijkt met de richtlijn van de
Commissie die een minimum van één keer per jaar evaluatie van de doeltreffendheid van het
risicobeheerssysteem221
voorschrijft kan men misschien concluderen dat het minstens bij Papa John’s
profijt geeft van vaker dan één keer per jaar samen te komen. Mij lijkt één keer per jaar de resultaten
controleren inderdaad te weinig in bepaalde omstandigheden,222
door bijvoorbeeld de snelle
wisselingen van sentiment op de huidige (financiële) markten, maar ook door veranderende
regelgeving in België door een plots nieuwe federale regering. Een jaarlijkse evaluatie van het systeem
is wel aangeraden.
Het is de taak van de raad van bestuur om ervoor te zorgen dat het “uitvoerend management”
voldoende vrijheid krijgt om zijn taken naar behoren uit te voeren223
en dat het management daar op
wordt gecontroleerd. M.a.w. dat de interne controleprocedures die zijn uitgewerkt door het
management ook effectief worden nageleefd.224
Het is de taak van de commissaris (bedrijfsrevisor) om
ernstige tekortkomingen in de interne controle met betrekking tot de financiële verslaggeving aan het
interne auditcomité te melden.225
De richtlijnen spreken ook van fysieke controle. Hierbij is het ook
van belang dat er passende disciplinaire maatregelen zijn.226
v. Rapportering, openbaarmaking en compliance.
De Commissie raadt in de Richtlijnen ook aan om voor de verzameling van gegevens over interne
controle en risicobeheer gebruik te maken van de manier en inhoud waarop verplichte informatie voor
beleggers moet worden openbaargemaakt.227
Dit moet gebeuren volgens de regels van de wet
financieel toezicht en het K.B. van 14 november 2007 betreffende de verplichtingen van emittenten
van financiële producten die zijn toegelaten tot de verhandeling op een gereglementeerde markt (B.S.
vergaderingen bijwonen, maar dit is nog iets anders dan een vrijwillig inzien van de noodzaak van goed risicobeheer. 220
Corporate Governance Commissie, Richtlijnen Interne Controle, p 13. 221
Ibid., p 14. 222
Zoals ook voorgeschreven in de Belgische Corporate Governance Code 2009, Bijlage C, systemen voor interne controle en risicobeheer, 5.2/14. 223
Principe 6.4 Belgische Corporate Governance Code 2009. 224
Corporate Governance Commissie, Richtlijnen Interne Controle, p 14. 225
Art. 526bis W. Venn § 5. 226
Corporate Governance Commissie, Richtlijnen Interne Controle, p 24. 227
Ibid., p 15. Zie ook art.92 W. Venn over de openbaarmaking van de jaarrekening en art. 94,95 en 96 over het jaarverslag waarin de bestuurders van een vennootschap (met uitzondering van de vennootschappen genoemd in art. 94, zoals de kleine vennootschappen, landbouwvennootschappen e.d.) worden verplicht “ten minste een getrouw overzicht en (…) een beschrijving van de voornaamste risico’s en onzekerheden [moeten geven].”
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
41
3 december 2007). Deze bepalingen gaan over de informatie die minstens in het jaarverslag moet staan
en dat die informatie correct moet zijn. O.a. de jaarrekening en het financieel verslag moeten erin
voorkomen. De Commissie raadt nog aan dat het auditcomité ervoor zorgt dat personeel met zorgen
omtrent het bestaande risicobeheersysteem of eventuele fouten in de financiële verslaggeving daar
ergens mee terecht kunnen. Tevens brengt ze nog enige praktische, maar niet minder onbelangrijke
zaken aan, zoals een up to date beveilingssysteem met wachtwoorden e.d. van het intern
informatiesysteem.228
Als meest geschikte comité voor de sturing van de interne controlebeheerssystemen ziet de Commissie
het auditcomité, zolang het alleszins permanent wordt bijgestuurd, wegens de mogelijkheid van
veranderde omstandigheden (zie ook infra).229
Zo kunnen controles ook worden uitgevoerd door het
uitvoerend management zelf. Uiteindelijk is het van groot belang dat aanpassingen ook effectief
ergens gemeld kunnen worden en ook doorgevoerd worden.230
Het gevaar bestaat steeds dat kritiek als
een persoonlijke aanval op de verantwoordelijke (zij het een personeelslid, zij het een
verantwoordelijk lid van de raad van bestuur) wordt opgevat, iets dat een objectieve opvolging en
controle onmogelijk maakt. Wat betreft de bevoegdheden van het uitvoerend management en de raad
van bestuur, en zeker de overgedragen bevoegdheden, raadt de Commissie aan om daar duidelijke
afspraken en procedures voor op papier te zetten.231
De Commissie raadt ook aan om meer dan enkel
de wettelijk voorziene informatie, maar alle voor stakeholders en in het bijzonder aandeelhouders
interessante informatie beschikbaar te maken.232
Dit kadert in het ERM-principe van rapportage
(infra).
e. Beursreglement en toezichthouder.
Volgens de OESO is het belang van noteringvoorwaarden voor het afdwingen van Corporate
Governance de laatste jaren alleen maar toegenomen.233
De toezichthouders in zowel de EU als in de
VS krijgen meer en meer macht over de beursondernemingen, waardoor die meer en meer hun leden
en de op hun beurs genoteerde ondernemingen wettelijke eisen moeten opleggen omtrent o.a.
Corporate Governance. In de VS bijvoorbeeld moeten beursgenoteerde ondernemingen voldoen aan
vereisten van de SEC (infra).234
Daarnaast is het genoteerd zijn aan een bekende beurs, zoals de BEL
228
Ibid., p 19. 229
Ibid., p 17. 230
Belgische Corporate Governance Code 2009, bijlage C, 5.2/16, p 31. Het is aan het auditcomité om die bestaande regeling te controleren. 231
Corporate Governance Commissie, Richtlijnen Interne Controle, p 24, vragenlijst B. 232
E. JANNSENS, Corporate Governance gelooft nog steeds in zelfregulering, Balans, afl. 609, 5 en E. JANSSENS, Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4, 28, p 17. 233
OECD, The Role of the Stock Exchanges in Corporate Governance, 2009, http://www.oecd.org/document/49/0,3746,en_2649_34813_31530865_1_1_1_1,00.html (21 februari 2012).. Een voorbeeld is: Bekendmaking in overeenstemming met de noteringsvoorwaarden van de New York Stock Exchange (NYSE) van Delhaize, http://www.delhaizegroup.com/LinkClick.aspx?fileticket=ozSUJITULYs%3D&tabid=221 (30 april 2012). 234
Ibid., p 5.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
42
20 of NASDAQ een kwaliteitslabel en moet de beurs voor het in stand houden van zijn reputatie er
uiteraard voor zorgen dat ondernemingen die bij haar genoteerd zijn floreren, of toch niet ten onder
gaan aan oorzaken die te voorkomen waren. Beleggers zouden zo minder vertrouwen in
ondernemingen die op die beurs genoteerd zijn.235
De invloed van Corporate Governance is begonnen
met de niet-bindende Cadbury Code in het VK in 1992, die enkel richtlijnen bevatte, maar door de
Londense beurs als noteringvoorwaarde werd gesteld, en dus de facto geldende regels werden.236
Denemarken en Australië volgden en in 2009 speelden de meeste belangrijke beurzen een rol in het
afdwingen van voldoen aan Corporate Governance Codes.237
Zo schrijft de Zweedse beurs voor dat de
raad van bestuur van een onderneming een goed idee moet hebben van hoe de onderneming intern
functioneert, met een extra nadruk op de interne rapportering en financiële verslaggeving.238
Maar ze
gaat verder en raadt extra aandacht aan, aan het juiste personeelsbeleid om de informatie te filteren en
door te geven. Dit gaat verder dan de nationale Corporate Governance Code.239
Ook zij heeft de macht
een onderneming van de beurs te halen als ze vindt dat die niet meer voldoet aan de
noteringvoorwaarden.240
De OESO heeft echter wel een grote bedenking bij de toenemende invloed van beursondernemingen
op het vlak van Corporate Governance: namelijk het feit dat ze meer onderling concurreren. Ze vraagt
zich af of de onderliggende belangen van een strengere controle wel enkel ingevoerd zijn in het belang
van de belegger241
en ook of dat er wel degelijk een streng toezicht zal zijn. Deze laatste zorg komt
voort uit de bedenking dat een te strenge beurs misschien ondernemingen, die willen noteren, weg zal
houden van die markt. Zeker met de huidige technologie is het voor beleggers niet zo moeilijk om in
een ander land te beleggen.242
Zo is het nog steeds mogelijk om volgens de reglementen van
NASDAQ OMX Nordic Exchanges (Scandinavië), ondanks het feit dat een onderneming niet voldeed
aan wettelijke vereisten inzake financiële verslaggeving, toch op een beurs genoteerd te raken.243
Aan de andere kant zijn er specifieke markten waar er juist minder strenge eisen zijn, zoals Alternext
voor de small-en midcap indexen. Men moet hier rekening mee houden, maar het is wel in lijn met de
235
Een ander voorbeeld is de Zwitserse beurs: “All rules laid down by the Regulatory Board must be submitted to the Swiss Financial Market Supervisory Authority (FINMA) for approval”, Ibid., eindnoot 11. 236
Publicatie OECD: The Role of the Stock Exchanges in Corporate Governance, p 6. 237
Ibid., p 8, tabel 2. 238
Regelverk för emittenter NASDAQ OMX Stockholm, 1 februari 2012, 2.4.3, http://nasdaqomx.com/digitalAssets/77/77308_nasdaq_omx_stockholms_regelverk_for_emittenter_2012_02_01.pdf (1 maart 2012), p 13, Engelse versie te vinden op: http://nasdaqomx.com/listingcenter/europe/rulesandregulations/ (1 maart 2012). 239
OECD: The Role of the Stock Exchanges in Corporate Governance, p 10. 240
Regelverk för emittenter NASDAQ OMX Stockholm , p 17, 2.8 ”Avnotering”. 241
OECD: The Role of the Stock Exchanges in Corporate Governance, p 14. 242
Of bij een andere beursonderneming, bijvoorbeeld een Belg in een onderneming genoteerd op Deutsche Börse, in plaats van Euronext. 243
"(…) as long as it is satisfied that the objectives behind the listing requirements are not compromised or that they can be achieved by other means.", Publicatie OECD: The Role of the Stock Exchanges in Corporate Governance, p 10, Regelverk för emittenter NASDAQ OMX Stockholm , p 14, 2.5, “Undantag”.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
43
Richtlijnen van de Corporate Governance Commissie (supra) die KMO’s aanraden om risicobeheer-
en andere systemen aan te passen aan hun noden en behoeften (vergelijk ook COSO: Dynamisch,
aangepast aan de onderneming, supra). In de jaren ’90 bleek dat NYSE Amex met minder strenge
regels ondernemingen aantrok die de NYSE NASDAQ te streng vonden, hierdoor moest NASDAQ
dus toegeven aan versoepeling van de regels.244
De invoering van SOX heeft, zo wordt gepleit, voor
een achterstand van 13% marktkapitalisatie per jaar gezorgd van Amerikaanse beurzen ten opzichte
van Europese. De vraag is echter of dat ook niet te maken heeft met bedrijfsschandalen of de
financiële crisis, 245
iets dat de OESO in dezelfde alinea ook erkent.
Aan de andere kant kan men argumenteren dat meer concurrentie tussen beurzen betekent dat het juist
kan zijn dat beleggers meer vertrouwen hebben in een beurs met sterke toezichtregels, en dat meer
regels juist een concurrentievoordeel kunnen geven.246
Zo is Euronext (de overkoepelende organisatie van de BEL 20 en andere markten voor effecten in
België) een belangrijke speler op het vlak van Corporate Governance. Zij heeft bijvoorbeeld een
informatievademecum uitgevaardigd met daarin een speciaal hoofdstuk over de Belgische Corporate
Governance.247
Eerst worden de negen principes van de Belgische Corporate Governance Code nog
eens herhaald, waarna er geconcludeerd wordt dat de openbaarmaking op twee manieren moet
geschieden, namelijk via een “Corporate Governance Charter” en een Corporate Governance
Verklaring in het jaarverslag. In het charter moet o.a. worden bepaald hoe de onderneming transacties
behandelt. De verklaring behandelt de “comply or explain”-gedachte van de Belgische Corporate en
tevens de systemen voor interne controle en risicobeheer. Het belang zit er echter in dat Euronext of de
FSMA de ondernemingen die het slecht doen kunnen sanctioneren, bijvoorbeeld door het schrappen
van een notering of door publicaties waardoor een onderneming publiekelijk gestraft wordt. Dit laatste
kan men marktwerking noemen.248
Het is wel zo dat buitenlandse ondernemingen die genoteerd zijn
aan een Euronext-beurs niet aan bijvoorbeeld de Belgische wetgeving moeten voldoen. Dit is op veel
beurzen het geval, met uitzondering van de Scandinavische NASDAQ OMX Nordic Exchanges.249
Een ander belangrijk punt van stimulatie van naleving van de Corporate Governance Code is de
toegenomen betrokkenheid van nationale financiële toezichthouders250
zoals de FSMA (Financial
Services and Market Authority) en de Nationale Bank van België. De FSMA heeft in september 2011
een studie openbaargemaakt over de naleving van beursgenoteerde ondernemingen over de naleving
244
OECD: The Role of the Stock Exchanges in Corporate Governance, p 14. 245
Ibid., p 15. 246
Ibid.,Governance, p 15. 247
Euronext N.V., Informatievademcum, april 2009. Hoofdstuk VIII. De Belgische Corporate Governance Code en de daaruit voortvloeiende informatieverplichtingen, p 89 e.v. 248
Het is nog maar de vraag of dit zo is, zie OECD: The Role of the Stock Exchanges in Corporate Governance, p 16. 249
OECD: The Role of the Stock Exchanges in Corporate Governance, p 16. 250
Ibid., p 4.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
44
van de Corporate Governance Code van in België genoteerde bedrijven.251
Ze komt onder meer tot de
belangrijkste vaststelling dat 92% van de desbetreffende ondernemingen de bepalingen over interne
controle naleeft.252
Dit is een significante verbetering van de 45% waarvan in 2009 nog sprake was.
Van de BEL-20 ondernemingen is er zelfs geen onderneming meer die nog geen beschrijving heeft
van de interne risico-en controlesystemen.253
Er blijkt dus dat het onderzoek van de toenmalige CBFA
en de publicatie ervan effect hebben gehad. Een ander voorbeeld van (zachte) dwang is dat de FSMA
vraagt aan de 31% van de ondernemingen die dat nog niet doen om het Corporate Governance verslag
op te nemen in het verslag van de raad van bestuur, zodat het er een onderdeel van vormt.254
Ook
herhaalt ze de aanbeveling dat minstens de essentie van de informatie met betrekking tot interne
controlesystemen opgenomen dient te worden in de verklaring inzake deugdelijk bestuur.255
Ondernemingen die dit nog steeds niet doen kunnen (toch minstens in theorie) door beleggers meer
gewantrouwd worden. De FSMA merkt op dat er een verbetering was in 2010 ten opzichte van 2009
met betrekking tot de kwaliteit van de rapportage van de interne controlesystemen en verwijst daarbij
naar eerdergenoemde richtlijnen van de Corporate Governance Commissie (supra).256
Er moet ten
slotte worden opgemerkt dat een groot deel van de macht van nationale toezichthouders wordt beperkt
door Europees recht, zoals een aantal richtlijnen (zie ook infra bij het EU-gedeelte). Zo is
bovengenoemde wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de
financiële diensten een omzetting van de transparantierichtlijn. 257
Deze wet geeft de FSMA in art. 10,
§ 2, 6° en in art. 33 van de wet financieel toezicht, de macht om toe te zien op de openbaarmaking en
enigszins correct zijn van die informatie en eventueel sancties op te leggen. Art. 43 van het
uitvoeringsbesluit258
machtigt de FSMA om bij incorrecte informatie correcte te vragen en eventueel
sancties op te leggen. Dit is ook een groot verschil tussen de EU en Noord-Amerika, namelijk dat in de
251
FSMA: De eerste verklaringen inzake deugdelijk bestuur: opvolgingsstudie van Studie nr. 38. Studie nummer 40, september 2011. www.fsma.be. Hierin zijn 117 op een gereglementeerde markt in België genoteerde vennootschappen opgenomen. Colruyt is de belangrijkste onderneming die niet in dit onderzoek is opgenomen. Het gaat om de BEL 20, de Continumarkt en Fixingmarkt. 252
Ibid., p 1. Er moet wel worden opgemerkt dat ingevolge het “comply or explain”-karakter van de Code niet-naleven met uitleg ook naleving van de Code betekent (Artikel 96, § 2, eerste lid, 2° W. Venn.). Nu zijn die wettelijk verplicht Artikel 96, § 2, eerste lid, 3° W. Venn. 253
OECD: The Role of the Stock Exchanges in Corporate Governance, p 12. 254
Ibid., p 9. 255
Ibid., p 12. 256
Corporate Governance Commissie, Richtlijnen Interne controle. 257
Richtlijn 2004/109/EG van het Europees Parlement en de Raad van 15 december 2004 betreffende de transparantievereisten die gelden voor informatie over uitgevende instellingen waarvan effecten tot de handel op een gereglementeerde markt zijn toegelaten en tot wijziging van Richtlijn 2001/34/EG (hierna te noemen: transparantierichtlijn). 258
K.B. van 14 november 2007 betreffende de verplichtingen van emittenten van financiële instrumenten die zijn toegelaten tot de verhandeling op een gereglementeerde markt (B.S. 3 december 2007), hierna te noemen: uitvoeringsbesluit financieel toezicht. Zie ook het Informatievademcum van Euronext N.V.,, april 2011. Hoofdstuk I.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
45
EU de toezichthouder meer macht hebben om naleving van Corporate Governance af te dwingen en in
Noord-Amerika heeft de beurs die macht zelf.259
Dit zal later meer uitgelegd worden.
i. De FSMA
De FSMA260
heeft in een rondzendbrief van 11 januari 2012261
haar rol verduidelijkt wat betreft de
naleving van de wetgeving van toepassing op de openbaarmakingverplichtingen van beursgenoteerde
bedrijven. Ook zij vereist nog eens, analoog aan de bepalingen in de wet en het K.B. “een beschrijving
van de belangrijkste kenmerken van de interne controle- en risicobeheerssystemen van de
vennootschap, in verband met het proces van financiële verslaggeving;”262
Er moet tevens, wanneer
mogelijk, een zo waarheidsgetrouwe beschrijving van de verwachtingen van de toekomst zijn,
waaronder veranderende omstandigheden, zoals veranderende risico’s.263
Op basis van art. 34 van de
wet toezicht financiële markten kan de FSMA alle informatie die zij wenst opvragen, en eventueel ter
plaatse onderzoeken en expertises verrichten.264
Zij kan zelfs, volgens Art. 34 § 1, 3° Wet financieel
toezicht en art. 43 § 2 van het uitvoeringsbesluit een beursgenoteerde onderneming bevelen informatie
aan het publiek openbaar te maken of – als die weigert – die informatie op zijn kosten openbaar
maken. Ze kan verder nog een publieke waarschuwing geven als ze vindt dat een beursgenoteerde
onderneming niet aan zijn verplichtingen voldoet (op kosten van die onderneming) en zelfs, in
extremis, de marktonderneming (Euronext België) verzoeken de verhandeling van een financieel
instrument te schorsen265
of zelfs verbieden.266
De verplichtingen zijn dus o.a. de beschrijving van de
belangrijkste risico- en controlesystemen, zoals hoger vermeld, in het kader van Corporate
Governance. De Belgische Corporate Governance Code wordt als enige wettelijke gezien door de
FSMA, en er geldt voor de wettelijke bepalingen geen “comply or explain”-principe meer. Verder
heeft de FSMA onder bepaalde voorwaarden het recht een dwangsom267
of, na een bepaalde procedure
omschreven in de artikelen 70 tot 72 van de wet de mogelijkheid om een administratieve geldboete op
te leggen.268
259
OECD: The Role of the Stock Exchanges in Corporate Governance, 2009, p 5. 260
Dit is de toezichthouder op de beurzen en de daar genoteerde ondernemingen in België, samen met de Nationale Bank van België (NBB). De FSMA heette tot 1 april 2011 CBFA. P 7 brochure FSMA, te raadplegen op http://www.fsma.be/~/media/Files/fsmafiles/pub/nl/FSMA_brochure_201201.ashx (1 maart 2012). 261
Circulaire FSMA/2012_01, Verplichtingen van op een gereglementeerde markt genoteerde emittenten, http://www.fsma.be/~/media/Files/circinfo/NL/gv/info/fsma_2012_01.ashx, (29 februari 2012). 262
Circulaire FSMA/2012_01, 5.2.1.3.1, p 19, de verplichte vermeldingen in het jaarverslag. 263
Ibid., p 26. 264
Ibid., p 50. 265
Art. 7, § 3 wet toezicht financiële markten. 266
Art. 34, § 2, eerste en tweede lid, wet toezicht financiële markten. 267
Deze dwangsom mag per kalenderdag niet minder bedragen dan € 250, noch meer bedragen dan € 50.000, noch in het totaal € 2.500.000 overschrijden (art.36 wet financieel toezicht). 268
Dergelijke boete mag tussen € 2.500 en € 2.500.000 bedragen (art.36, § 1, eerste lid, 2°, wet financieel toezicht).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
46
ii. Euronext
De Euronext-reglementen269
vereisen dat genoteerde ondernemingen voldoen aan de nationale
omzetting van de verplichtingen van de transparantierichtlijn. Deze vereisten zijn met betrekking tot
risicobeheer opgesomd in artikel 4 en zijn in België omgezet als art. 96, § 1 W. Venn en art.12 § 2
uitvoeringsbesluit financieel toezicht betreffende de verplichtingen van emittenten van financiële
instrumenten die zijn toegelaten tot de verhandeling op een gereglementeerde markt, betreffende het
jaar-en halfjaarverslag. Dit zijn dus de regelen waarover de FSMA de macht heeft om naleving ervan
te eisen. In het Rulebook I van Euronext wordt nog bepaald dat “wanneer de genoteerde onderneming
niet voldoet aan de regelen om een eerlijke, ordelijke en efficiënte markt te handhaven, Euronext kan
beslissen de notering te beëindigen of te schorsen.”270
Verder, op pagina 65, wordt de genoteerde
onderneming verplicht relevante informatie, zoals jaarverslagen, aan beleggers bekend te maken.271
In
hoofdstuk 8, over de gedragsregels waaraan de leden moeten voldoen worden ondernemingen
verplicht gesteld om een interne controlesysteem op te zetten en bij te houden, te voldoen aan de
wettelijke vereisten daaromtrent en om een ERM-systeem op poten te zetten.272
iii. Specifieke regels voor de BEL 20
Naast de bovengenoemde Euronext regels die ook van toepassing zijn op de beurzen van Amsterdam,
Parijs, Lissabon en deels die van Londen273
, en naast de toepassing van de regels uit Rulebook I
(supra) kan Euronext Brussel ook zelf beslissen om maatregelen te nemen met het oog op de
bescherming van de belangen van de beleggers, zijnde bijvoorbeeld openbaarmakingverplichtingen
opleggen in het licht van de toepasselijke Belgische wetgeving.274
Euronext Brussels verplicht
ondernemingen in hoofdstuk 3 ertoe te voldoen aan de wet financieel toezicht en tevens ervoor te
zorgen dat elke aanvraag tot notering (IPO of initial public offering) door te geven aan de CBFA (sic).
Ook behoudt ze zichzelf een recht tot schrapping van de notering voor als ze van oordeel is dat
noteringsvoorwaarden worden overtreden en wordt ook de CBFA (sic) ingelicht.275
Ze behoudt zich
tevens het recht om die beslissing openbaar te maken.
269
Reporting obligations Euronext: https://europeanequities.nyx.com/nl/listings/reporting-obligations (29 februari 2012). 270
Euronext Rule Book Book I: Geharmoniseerde regels, 6.9. Noteringsmaatregelen, 6905/1, ii, d), 13 mei 2011, p 62
en Informatievademecum Euronext, april 2009. Hoofdstuk VIII, “De Belgische Corporate Governance Code
en de daaruit voortvloeiende informatieverplichtingen,” p 20. 271
Ibid., 6103/2 Informatie, p 64. 272
Ibid., 8106/2, p 96. 273
Resp. de AEX, de CAC 40, de PSI-20 en de LES (niet de FTSE, die onderdeel is van de London Stock Exchange Group). 274
Euronext Rule Book Book II: Specifieke regels voor Euronext Brussels (23 augustus 2010), inwerkingtredingdatum: 13 september 2010 https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/Specifieke_regels_voor_Euronext_Brussels_datum_van_inwerkingtreding_-_13_september_2008.pdf (1 maart 2012), p 8, B-2.6. Maatregelen van toepassing op de verhandeling. 275
Ibid., p 11.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
47
f. Praktijk in België (BEL 20-ondernemingen).
Volgens een onderzoek van de FSMA uit september 2011 over de naleving van de Corporate
Governance Code in België blijkt dat alle ondernemingen uit de BEL-20 in hun Corporate Governance
Verklaring een hoofdstuk opnemen inzake interne controle en risicobeheer. Dit is een verbetering ten
opzichte van voorgaande jaren. Maar dat wil niet zeggen dat ze ook allen hun interne controle
systemen correct omschrijven. Sommige ondernemingen “beperken zich vooral tot het financiële
verslaggevingproces (zoals de wet vereist) terwijl anderen de focus leggen op een meer algemene
beschrijving van hun interne controle276
”
Alle achttien (door de VBO-feb onderzochte) BEL 20 ondernemingen hebben een auditcomité
opgericht. Slecht twaalf van de achttien voldoen aan de hogere samenstellingsvereisten van de
Corporate Governance Code 2009.277
Wat betreft het bewust maken van de hele onderneming, o.a. dus om het denken in silo’s te
voorkomen, kan men stellen dat dat in België toch minstens in naam wel wordt bedreven, gezien het
feit dat de BEL-20 ondernemingen verschillende departementen inzetten om ERM te monitoren.278
Kanttekening is wel dat er niet altijd duidelijk onderscheid is tussen risicobeheer, interne audit en
interne controle in de verschillende ondernemingen en in het onderzoek.
i. AB Inbev.279
In het Corporate Governance Charter stelt AB Inbev met betrekking tot risicobeheer en in interne
controle het volgende: “With respect to the risk management and internal controls within the
company. To analyze business risks; To review with the company’s CEO and CFO as to the existence
of any significant deficiencies or material weaknesses in the design or operation of internal control
over financial reporting which are reasonably likely to adversely affect the company’s ability to
record, process, summarize and report financial information, and as to the existence of any fraud,
whether or not material, that involves management or other employees who have a significant role in
the company’s internal control over financial reporting; and
To discuss guidelines and policies governing the process by which senior management of the
company and the relevant departments of the company assess and manage the company’s exposure to
risk, and to discuss the company’s major financial risk exposures and the steps management has taken
to monitor and control such exposures.”280
(eigen onderlijning).
276
VBO-feb: Onderzoek naar de naleving van de Belgische Corporate Governance Code 2009 bij de BEL 20 ondernemingen, Jaarverslagen 2011, boekjaar 2010, http://vbo-feb.be/media/uploads/public/_custom/Dossier/CorporateGovernance/GubernaVBOstudie2011_Fullstudy.pdf (21 februari 2012). Hierin zijn 18 van de 20 BEL-20 ondernemingen onderzocht, GDF Suez en NPM niet. De eerste omdat het een Franse onderneming is, en de tweede omdat die onderneming niet meer beursgenoteerd is sinds mei 2011 (Hierna verkort:
276 VBO-feb: Onderzoek naar de naleving van de Belgische Corporate
Governance Code 2009). 277
VBO-feb: Onderzoek naar de naleving van de Belgische Corporate Governance Code 2009, p 21. 278
Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle, p7 en 8. 279
Corporate Governance verklaring AB-Inbev, bijgevoegd bij het jaarverslag over 2011, raadpleegbaar op http://www.ab-inbev.com/go/investors/reports_and_publications/annual_and_hy_reports.cfm (15 april 2012).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
48
De verklaring van deugdelijk bestuur van AB Inbev bevestigt de wettelijke plicht om te voldoen aan
de Belgische Corporate Governance Code 2009.281
Er is een benoemingscomité opgericht en er zijn
bepalingen aangaande de remuneratie van niet-uitvoerende bestuurders. Het lange termijn “incentive
warrant”- plan van de vennootschap wijkt af van de Belgische Corporate Governance Code aangezien
het voorziet in betalingen gebaseerd op aandelen aan niet-uitvoerende bestuurders. Dit komt doordat
de Raad van Bestuur van mening is dat de op aandelen gebaseerde incentive vergoeding in
overeenstemming is met de vergoedingspraktijk van bestuurders bij vennootschappen in dezelfde
sector. AB Inbev vindt dat dit voldoende gestaafd wordt door de prestaties van de laatste jaren. Verder
besluit ze hierover: “In het bijzonder zou de driejarige verwervingsperiode van de warrants moeten
zorgen voor een duurzaam en langetermijn-engagement voor het nastreven van de beste belangen van
de vennootschap.”
Omdat Ab Inbev ook genoteerd is op de NYSE “zijn de Corporate Governance-regels van de New
York Stock Exchange voor buitenlandse privé-emittenten van toepassing op de onderneming. AB
InBev heeft zich tevens geregistreerd onder de US Securities and Exchange Act van 1934.” Bijgevolg
is de onderneming ook onderworpen aan de US Sarbanes-Oxley-wet van 2002 en aan andere
Amerikaanse wetten en regelgeving met betrekking tot corporate governance.282
De onderneming promoot een verantwoordelijke cultuur onder alle werknemers. Tevens benadrukt ze
dat de naleving van anti-corruptie bepalingen uit de VS tevens het naleven van de Belgische Corporate
Governance Code is.
Extra nadruk wordt er gelegd op externe communicatie, voornamelijk met aandeelhouders.283
a. Auditcomité.
Het auditcomité is zoals supra vermeld een belangrijk element in de interne controle van een
onderneming. AB Inbev heeft dan ook “conform de vereisten van het W. Venn (een) Audit Committee
[sic] uitsluitend bestaande uit niet-uitvoerende leden van de Raad en (…) één van zijn leden is een
onafhankelijk bestuurder in de zin van artikel 526ter van het W. Venn. Het Audit Comité kwam acht
keer bijeen in 2011, dat is meer dan de aangeraden vier keer. Er werden kwesties van interne audit
voortvloeiend uit SOX onderzocht.284
O.a. betekent dit dat de vennootschap verplicht is om jaarlijks
een managementrapport uit te geven over de doeltreffendheid van de interne controle van de
vennootschap over haar financiële rapportage, zoals beschreven in die sectie en haar
uitvoeringsbepalingen.
280
Coporate Governance Charter AB Inbev 2011, H 5.4.2., Powers and responsibilities of the Audit Comittee, p 30. 281
Verklaring deugdelijk bestuur AB Inbev 2011, Inleiding, p 152. 282
Ibid., p 152. 283
Ibid., 1.3.2 speciale vereisten, p 153. 284
Ibid., p 156.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
49
Gebreken in de interne controle die werden vastgesteld door de interne audit worden tijdig meegedeeld
aan het management en er wordt periodiek opgevolgd om te verzekeren dat de nodige remediërende
actie wordt genomen.
b. Periodieke controles van de Raad en de comités op hun werking.
Hier wordt er voornamelijk gekeken naar de doeltreffendheid en kwaliteit van het toezicht, de
kwalificaties en verantwoordelijkheden van individuele bestuursleden en de interactie tussen de Raad
van Bestuur en het management. Tevens wordt er aandacht besteed aan eventuele belangenconflicten.
Bijvoorbeeld de werking van het compliance committee (infra) wordt beoordeeld door het
auditcomité. Ook de resultaten van de compliance beoordelingen of de rapporten die worden
ingediend in het kader van het wereldwijde klokkenluiderplatform van de vennootschap worden
nagezien door het auditcomité.
c. Interne controle en risicobeheersystemen
In hoofdstuk 4 wordt hierop door AB Inbev dieper ingegaan.285
De Raad van Bestuur en de Executive
Board of Management zijn bij AB Inbev verantwoordelijk voor het vaststellen en het handhaven van
passende interne controles en risicobeheersystemen. Zelf definiëren zij interne controle als “het
proces dat is ontwikkeld om redelijke zekerheid te verschaffen inzake het behalen van de
doelstellingen met betrekking tot de effectiviteit en de efficiëntie van de activiteiten, de
betrouwbaarheid van de financiële rapportage en het naleven van de toepasselijke wetten en regels.”
Risicobeheer wordt als volgt gedefinieerd: “het (is een) proces dat is ontwikkeld om potentiële
gebeurtenissen op te sporen die een impact zouden kunnen hebben op de vennootschap en om ervoor
te zorgen dat de risico’s die worden genomen passen binnen het gekozen risicoprofiel.”286
Dit is in lijn
met de verklaring in het Engels supra.
Het is het auditcomité dat, “zonder afbreuk te doen aan de verantwoordelijkheden van de Raad in zijn
geheel,” toezicht uitoefent over het financieel en commercieel risicobeheer en ook over de opvolging
ervan door het management. De belangrijkste risicofactoren en onzekerheden van de vennootschap
worden beschreven in de sectie ‘Risico’s en Onzekerheden’ van het Jaarverslag van de Raad van
Bestuur dat deel uitmaakt van het jaarverslag van AB InBev.
Zowel het interne controle- als het risicobeheer systeem is gebaseerd op COSO’s framework.
Het uitvoerend bestuur is verantwoordelijk voor het verwezenlijken en onderhouden van een passende
interne controle over de financiële rapportering. Er wordt nogmaals herhaald dat interne controle van
de vennootschap over financiële rapportering een proces is dat ontworpen is om redelijke zekerheid te
verschaffen over de betrouwbaarheid van de financiële rapportering en de opmaak van jaarrekeningen
voor externe doeleinden, en dit overeenkomstig de International Financial Reporting Standards
285
Ibid., p 159. 286
Ibid., p 159.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
50
(IFRS). AB Inbev benadrukt enkele keren dat het slechts om een redelijke zekerheid gaat.287
Dit wordt
ook nog eens gemeld bij de passage over interne controle, namelijk als volgt: “Interne controle (…)
omvat de evaluatie van de relevante risico’s, de identificatie en de monitoring van belangrijke
controles en acties die worden ondernomen om geïdentificeerde gebreken te corrigeren. Wegens haar
inherente beperkingen is het mogelijk dat interne controle over financiële rapportering onjuistheden
niet kan voorkomen of ontdekken.” (eigen onderlijning).
d. Compliance en ondernemingscultuur
AB InBev heeft een wereldwijd Compliance Programma dat is gebaseerd op haar
“bedrijfsgedragscode.” Het doel van dit Compliance Programma is om een ondernemingscultuur
binnen de vennootschap te helpen bewerkstelligen (dit is: “een cultuur van ethiek, integriteit en wettig
handelen”), hieronder valt ook naleving van de toepasselijke wetten en regelgeving.288
Hierna volgt in
de verklaring deugdelijk bestuur een omschrijving van de werking van het Compliance Committee dat
wordt voorgezeten door de Chief Legal & Corporate Affairs Officer. Het Compliance Committee
analyseert en beoordeelt wereldwijd de compliance risico’s voor de vennootschap wat regulering en
ethiek betreft en geeft strategische aanwijzingen voor de compliance activiteiten.
Het Comité beoordeelt ook op kwartaalbasis de significante juridische, compliance- of
reguleringsgerelateerde aangelegenheden die een wezenlijk effect op de jaarrekeningen of op de
vennootschap zouden kunnen hebben, met inbegrip van belangrijke kennisgevingen aan
overheidsinstellingen of verzoeken die werden ontvangen van zulke instellingen.
e. Conclusie.
Op het eerste gezicht voldoen al deze bepalingen aan de Corporate Governance Code en aan de
richtlijnen van de Corporate Governance Commissie (supra). In hoeverre de top van AB Inbev zich
uiteindelijk houdt aan de resultaten en aanbevelingen van de interne rapportage zal blijken zodra de
zaken slecht gaan en er onderzoeken door deze of gene overheid uitgevoerd zullen worden. Voorlopig
echter boekt AB Inbev goede resultaten en zal zoiets nog niet onmiddellijk het geval zijn.289
287 De tekst luidt: “Interne controle over financiële rapportering omvat de schriftelijke beleidslijnen en
procedures die: • betrekking hebben op het bijhouden van stukken die, in een redelijke mate van detail, accuraat en getrouw de transacties en de aard van de activa van de vennootschap weergeven; • redelijke zekerheid verschaffen dat de transacties worden geboekt zoals dat nodig is om de opmaak van jaarrekeningen overeenkomstig International Financial Reporting Standards toe te laten; • redelijke zekerheid verschaffen dat ontvangsten en uitgaven van de vennootschap enkel worden verricht overeenkomstig de toelating van het management en de bestuursleden van de vennootschap; en • redelijke zekerheid verschaffen met betrekking tot de preventie of tijdige ontdekking van niet-toegelaten verwerving, gebruik of beschikking van activa dat een belangrijke impact zou kunnen hebben op de geconsolideerde jaarrekening.” 288
Verklaring deugdelijk bestuur AB Inbev 2011, auditcomité, p 160. 289
“AB InBev boekt ijzersterke jaarresultaten”, http://www.oblis.be/nl/ab-inbev-boekt-ijzersterke-jaarresultaten-14805 (8 maart 2012).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
51
ii. Delhaize.290
Pagina veertien van de Corporate Governance verklaring van de Delhaize Groep houdt het
management verantwoordelijk voor risicobeheer en interne controle.
a. Interne controle.
Dit wordt gedefinieerd door Delhaize, en er wordt rekening gehouden met de identificatie van
gebeurtenissen, maar wel in een beperkte mate, namelijk enkel van de activiteiten van Delhaize Groep
zelf. Verder bevat de definitie ook een verwijzing naar de interne rapportage en de compliance. Met
enige goede wil kan men zeggen dat het “het verkrijgen van redelijke zekerheid inzake het bereiken
van doelstellingen” het anticiperen en beheren van tegenslagen (risico’s) is 291
(eigen onderlijning).
Het is de taak van de interne audit de financiële en bedrijfsrisico’s te analyseren en met het
management te bespreken wat de blootstelling van de Delhaize aan zulke risico’s betekent en de
stappen dienen te worden ondernomen om deze blootstelling op te volgen en onder controle te houden
(Risk Appetite). De Risicobeheer- en interne controle systemen van Delhaize zijn net als die van AB
Inbev gebaseerd op die van COSO’s Framework.292
Er wordt ook verklaard dat die systemen voldoen aan sectie 404 SOX.293
Er is centrale ondersteuning voor o.a. Interne en Externe Communicatie, Corporate Responsibility,
Accounting en Financiën, Human Resources en Organizational Development, Interne Audit,
Informatica, Legal en Compliance, en Strategie voor alle zeven landen waar Delhaize Groep actief is.
Wat betreft ondernemingscultuur is er ook bij Delhaize Groep een Gids voor Ethische Bedrijfsvoering
beschikbaar.294
De Groep verwacht van haar personeel, maar ook van haar franchisenemers dat die
zich daaraan houden.
b. Risicobeheer.
“Delhaize Groep definieert risicobeheer als het proces van het identificeren, evalueren en beheren van
de risico’s die verbonden zijn aan de bedrijfsactiviteiten met als doel de effecten van deze risico’s in
de mate waarin de organisatie haar doelstellingen behaalt en waarde creëert voor haar
belanghebbenden, tot een minimum te beperken.” Dit handelt voornamelijk over het bepalen van de
Risk Appetite. Iets later handelt de Corporate Governance Verklaring over het volgende feit:
290
Corporate Governance verklaring Delhaize NV, bijgevoegd bij het jaarverslag over 2011, raadpleegbaar op http://www.delhaizegroup.com/nl/BeleggersCenter.aspx (15 april 2012). 291
Interne controle is, ruim gedefinieerd, een proces dat uitgevoerd wordt door de Raad van Bestuur en het management gericht op het verkrijgen van redelijke zekerheid inzake het bereiken van doelstellingen aangaande
(i) de effectiviteit en efficiëntie van de activiteiten, (ii) de betrouwbaarheid van de financiële rapportering, en (iii) de naleving van de toepasselijke wet- en regelgeving.
292 Corporate Governance verklaring Delhaize NV, p 14.
293 Ibid., p 14. 294
http://www.delhaizegroup.com/portals/0/Documents/Ethical%20Guide/nl/index.htm.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
52
“Leidinggevenden doorheen de hele onderneming en van alle niveaus van de organisatie zijn
verantwoordelijk voor risicobeheer. Van deze personen wordt verwacht dat ze zich bewust zijn van
risico’s en deze begrijpen wanneer ze strategieën ontwikkelen, doelstellingen bepalen en beslissingen
nemen. Activiteiten inzake risicobeheer worden uitgevoerd in veel departementen binnen de
onderneming,(…)”295
Hier wordt aandacht besteed aan het begrip “gehele onderneming”. Het is de
taak van het auditcomité en het Executief Comité, die (…) het ERM programma van Delhaize Groep
hebben goedgekeurd, om een proces voor de hele onderneming te ontwikkelen zodat haar managers
goede, bruikbare informatie met betrekking tot ERM voor handen hebben als ondersteuning bij het
nemen van beslissingen. Het is uiteraard een gestandaardiseerd programma en het stelt de
onderneming in staat om een totaalbeeld te scheppen van risico, haar risicorespons te versterken en het
verschaft een werkmiddel om ons toekomstige succes te verzekeren. Het zorgt voor zichtbaarheid
inzake risico-informatie voor leidinggevenden en voor het Executief Comité, het Auditcomité en de
Raad van Bestuur.
Ook wordt er veel aandacht besteed aan risico-identificatie en rapportage296
(“De informatiesystemen
van de onderneming brengen rapporten voort die operationele, financiële en compliancegerelateerde
informatie bevatten, die het mogelijk maken om alle bedrijfsaspecten uit te voeren en te controleren.
De communicatie binnen de onderneming verloopt in ruimere zin, neerwaarts, doorheen en opwaarts
in de organisatie.”). De structuur wordt ieder jaar geëvalueerd, dit door controleactiviteiten die plaats
vinden in de hele onderneming en door periodieke opvolging van de verschillende processen binnen
Delhaize.297
“Problemen met interne controle die worden vastgesteld door Interne Audit, worden tijdig gemeld aan
het management en regelmatig opgevolgd om te garanderen dat er corrigerende acties ondernomen
zijn. De Raad van Bestuur heeft de eindverantwoordelijkheid voor de opvolging van de prestaties van
de onderneming en haar interne controle. Zodoende zijn de afzonderlijke comités, zoals hierin
beschreven, gevormd om verscheidene aspecten van de prestaties van de onderneming op te volgen; en
de opdracht voor ieder Comité is beschikbaar op de website van de onderneming.”(eigen
onderlijning).
In het Delhaize Corporate Governance Charter stelt Delhaize (terecht) dat: “interne controle een
integraal deel moet zijn van het dagelijks beheer.” Volgens het Charter zijn het Auditcomité, de
interne audit en interne controles en de externe audit belangrijke functies op het gebied van controle.
295
Corporate Governance verklaring Delhaize NV, kolom 3, p 14. 296
Ibid., kolom 3, p 15. 297
“De onderneming heeft haar opvolgingsprocedures zodanig ontworpen dat: Gebreken van de interne controle regelmatig worden geïdentificeerd en gecorrigeerd, Informatie die wordt gebruikt voor het nemen van beslissingen, betrouwbaar en accuraat is, Financiële staten accuraat en tijdig worden voorbereid, en Periodieke certificeringen of verklaringen over de efficiëntie van de interne controle kunnen worden gedaan. De opvolgingsprocedures van de onderneming bestaan uit een combinatie van toezicht op het management en onafhankelijke objectieve beoordelingen van deze activiteiten door Interne Audit of andere derde partijen.”
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
53
c. Auditcomité
Het Auditcomité staat de Raad van Bestuur bij bij de controle van de financiële staten van Delhaize en
ook bij de compliance, de geschiktheid en onafhankelijkheid van de commissaris, de werking van het
departement Interne Audit en van de commissaris, en interne controles en risicobeheer.
d. Interne audit
De Delhaize Groep heeft een eigen team voor interne audit,298
geleid door de Chief Audit Officer die
rapport uitbrengt aan het Auditcomité.
e. Interne controles en risicobeheer van de Delhaize Groep.
1. Interne controles.
Zoals reeds vermeld is dit de verantwoordelijk van het management van Delhaize. Er wordt nogmaals
benadrukt dat deze controles “erop gericht zijn redelijke zekerheid te verkrijgen inzake de
betrouwbaarheid van de financiële rapportering en de voorbereiding van de financiële staten in
overeenstemming met de Belgische wet, de Belgische Boekhoudnormen en IFRS.
De interne controles waar sprake van is zijn de controles op het voldoen aan SOX en andere wetgeving
en regulering door middel van COSO’s Framework, aangevuld met specifieke bevindingen van het
interne auditsysteem (dat in feite ook volgens COSO is, het is eigen aan de onderneming).
2. Risicobeheer.299
Er is door Delhaize een adviesgroep voor Risicobeer van de onderneming opgericht, waarin
vertegenwoordigers van Finance, Legal, Internal Audit, Compliance en Risk Management zetelen, om
een structuur te ontwikkelen en te onderhouden en om het management te adviseren en te informeren
over risico‘s die de hele onderneming aanbelangen en hoe hierop te anticiperen.
f. Externe audit.
Door de externe audit300
moet bevestigd worden of de financiële staten van de Onderneming een
correct beeld geven van haar activa, de financiële situatie en de operationele resultaten, krachtens de
normen van het Belgisch Instituut der Bedrijfsrevisoren. Hierna volgt nog een opsomming van de
wettelijke taken van een commissaris.
g. Conclusie.
Het risicobeheermodel van Delhaize ziet er voldoende uit, met een duidelijke omschrijving van
functies en aandacht voor centrale en gedecentraliseerde taken van de lokale managementteams.
298
Dit is een onafhankelijke instelling binnen de Delhaize Groep. 299 De Definitie van Delhaize hiervan is: Het Risicobeheer van de Onderneming is het proces van het
identificeren, evalueren en beheren van de risico‘s die samenhangen met de activiteiten van de Onderneming teneinde de impact van deze risico‘s op het vermogen van de Onderneming tot een minimum te beperken om haar doelstellingen te behalen en waarde te creëren voor haar aandeelhouders. 300
Delhaize spreekt van statutaire audit.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
54
Helaas draait Delhaize nu wat minder, maar aan het ERM model zal het niet gelegen hebben, hoewel
men kan argumenteren dat de opvolging van de strategie niet helemaal goed zit door de recente
mindere resultaten.301
iii. Umicore.302
Het relevante deel over risicobeheer en interne controle is te vinden op p.154 van het jaarverslag over
2011, in het deel verklaring deugdelijk bestuur.303
Umicore geeft een erg uitgebreide classificatie van
risico’s in het jaarverslag. Maar eerst verklaren ook zij het volgende: “De Raad van Bestuur van
Umicore heeft de eindverantwoordelijkheid voor het beoordelen van het risicoprofiel van de
onderneming in de context van de bedrijfsstrategie en externe factoren, zoals marktomstandigheden,
de positionering van de concurrentie, technologische ontwikkelingen, enz., en om ervoor te zorgen dat
de onderneming over de juiste processen beschikt om deze risico’s te beheren (dus zowel voor het
bepalen van de Risk Appetite, als het beheren en anticiperen van en op de risico’s). Ook zij stellen als
volgt: “Berekende risico’s nemen maakt integraal deel uit van de ontwikkeling van elke onderneming.
De directie van Umicore heeft tot taak de economische opportuniteiten maximaal te benutten en
tegelijk mogelijke verliezen te beperken. Om dat te bereiken maakt Umicore gebruik van een
uitgebreid risicobeheerssysteem. Dit systeem moet het bedrijf in staat stellen risico’s op een proactieve
en dynamische manier te identificeren en deze geïdentificeerde risico’s waar mogelijk tot een
aanvaardbaar niveau te beperken (Risk appetite). In alle departementen van de onderneming zijn
interne controlemechanismen aanwezig om de directie een aanzienlijke garantie te bieden dat de
onderneming in staat is om haar doelstellingen te bereiken. Deze mechanismen controleren de
effectiviteit en efficiëntie van de operaties, de betrouwbaarheid van financiële processen en
rapportering, de naleving van wetten en regelgeving en beperken fouten en frauderisico’s
(ondernemingscultuur).” Ook Umicore maakt gebruik van COSO’s Framework.
a. Risicobeheerproces.
Volgens Umicore is de belangrijkste bron van risico-identificatie de verschillende business units zelf.
In het jaarverslag is een heel proces beschreven over identificatie en afbakening van de risico’s per
unit en departement. Dit staat wel wat haaks op de ERM gedachte van gehele onderneming.
Na die omschrijving worden de impact en de mogelijke anticipatie en verantwoordelijkheid bepaald,
via een nauwkeurig risicofiche. Dit alles wordt door het directiecomité overgemaakt aan het
auditcomité en de Raad van Bestuur. In opdracht van de Raad van Bestuur stelt het Auditcomité
301 Publicatie De Standaard: “Delhaize in crisis”,
http://www.standaard.be/artikel/detail.aspx?artikelid=K83PK30E (8 mei 2012). 302
Corporate Governance verklaring Umicore NV, bijgevoegd bij het jaarverslag over 2011, raadpleegbaar op http://www.umicore.com/investorrelations/en/ (15 april 2012). 303
Jaarverslag 2011 Umicore, http://www.umicore.com/reporting/Home/FullPDF/show_AR2011_NL.pdf (15 april 2011).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
55
een jaarlijkse evaluatie op van de interne controle- en risicobeheerssystemen van de onderneming en
houdt het permanent toezicht op specifieke aspecten van de interne controle en het risicobeheer.
Wat wel in lijn is met ERM is het volgende: “De business units en business groups zijn
verantwoordelijk voor het beperken van hun risico’s. Het directiecomité zal echter tussenkomen in
gevallen waarin het beheer van een bepaald risico de capaciteiten van een bepaalde business unit
overstijgt. Het directiecomité en de CEO zijn in een bredere context ook verantwoordelijk voor de
identificatie en het beheer van de risico’s die de hele Groep betreffen, zoals strategische positionering,
financiering of macro-economische risico’s.” Het departement Audit controleert dit alles en bewaart
het overzicht.
b. Intern controlesysteem
Umicore heeft het COSO-framework aangepast aan haar organisatie en processen. Ze noemt dit de
“Umicore Way” en het is samen met de Gedragscode van Umicore de hoeksteen van de interne
controleomgeving. Anders gezegd, zoals COSO en de richtlijnen van de Corporate Governance
Commissie voorschrijven is het ERM model aangepast aan de noden van de onderneming. Er wordt
gezorgd voor een duidelijke afbakening van rollen en verantwoordelijkheden.
In 2008 introduceerde Umicore een systeem van minimale interne controlevereisten (Ze noemt dit
MICR - Minimum Internal Control Requirements), specifiek voor de beperking van de financiële
risico’s en om de betrouwbaarheid van de financiële rapportering te verhogen.304
c. Risicobeheer en interne controle
Hierop wordt nog eens specifiek ingegaan op p.155 van het jaarverslag. Er wordt een opdeling
gemaakt van bepaalde risico’s waar Umicore mee te maken heeft.
1. Strategische risico’s:
zoals macro-economische en financiële omstandigheden, technologische veranderingen, reputatie van
het bedrijf, politieke en wetgevende ontwikkelingen.
304 Het MICR-framework van Umicore vereist dat alle entiteiten van de Groep aan een uniform geheel van
interne controles voldoen die 164 controleactiviteiten omvatten in 12 ‘cycli’ en 134 entiteiten van de Groep. Binnen het MICR-framework wordt speciale aandacht besteed aan de scheiding van verplichtingen en de definitie van duidelijke rollen en verantwoordelijkheden. Er werd een nalevingsdrempel ingesteld voor elke controleactiviteit, maar het uiteindelijke doel is het maximale nalevingsniveau te bereiken in alle entiteiten van Umicore. Het proces is nu geïntegreerd en de meeste entiteiten zijn in 2011 van de implementatiefase naar de duurzaamheidsfase overgegaan. Er wordt prioriteit gegeven aan het bereiken van de beoogde controlematuriteit in de processen die voor Umicore uitermate belangrijk zijn, zoals afdekking van de metaalrisico’s en voorraadbeheer. De naleving van het MICR wordt opgevolgd door middel van jaarlijkse zelfevaluaties die door het senior management moeten worden goedgekeurd en waarvan het resultaat aan Group Financial Compliance wordt gerapporteerd. Zij leggen jaarlijks een geconsolideerd rapport voor aan het directiecomité en het auditcomité van de Raad van Bestuur. Het departement Interne Audit controleert de nalevingsevaluaties bij de uitvoering van zijn opdrachten, aldus Umicore.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
56
2. Operationele risico’s:
zoals wijzigingen in de vraag van de klanten, aanvoer van grondstoffen, verzending van producten,
kredieten, productie, arbeidsrelaties,
human resources, IT-infrastructuur, gezondheid en veiligheid op het werk, emissiecontrole, impact van
de huidige of vroegere activiteiten op het milieu,
productveiligheid, veiligheid van activa en gegevens, herstel na rampen.
3. Financiële risico’s:
Dit gaat over o.a. thesaurie, belastingen, prognoses en budgettering, accurate en tijdige rapportering,
naleven van de boekhoudnormen, schommelingen in de metaalprijs en de valuta, indekking.
4. Overige risicobeschrijving.
Daarna volgt een uitgebreide bespreking van de mogelijke (combinaties van) risico’s waar Umicore of
andere ondernemingen uit die sector onder kunnen lijden. Ik heb hieronder een deel daarvan in het
klein weergegeven, omdat ze wel nuttig is als duidelijk voorbeeld van risico-indentificatie. Tevens
vind ik dat het weergeven van de veranderingen in 2011 per risico voor een belegger toegevoegde
waarde levert. De FRC zou hier zeer blij mee zijn (infra).
“18.1 Strategische en operationele risico’s
18.1.1 Marktrisico
Umicore beschikt over een gediversifieerde portefeuille van activiteiten die een aantal
verschillende marktsegmenten bedienen en is voor de meeste van haar activiteiten wereldwijd
aanwezig. Geen enkel marktsegment is goed voor meer dan 50% van de verkoop van Umicore.
In termen van algemene blootstelling zijn de belangrijkste eindgebruikersmarkten die door
Umicore worden bediend de autosector, consumentenelektronica en de bouw. Het
bedrijfsmodel van Umicore focust tevens op de sourcing van secundaire materialen en
materialen op het einde van hun levensduur voor recyclage. In vele gevallen is de
beschikbaarheid van deze materialen afhankelijk van het activiteitsniveau in specifieke
sectoren of bij specifieke klanten waar Umicore kringlooprecyclagediensten levert. Een
gediversifieerde portefeuille en een brede geografische aanwezigheid helpen het risico van een
te grote blootstelling aan één markt verminderen.
Opmerkingen over 2011: Als gevolg van de staatsschuldencrisis vertoonde de economie
tekenen van vertraging in het laatste deel van 2011 in Europa en de VS. Ondanks deze
vertraging hielden de markten waarin Umicore actief is gedurende het hele jaar globaal goed
stand.”305
Het Corporate Governance Charter voegt niks toe en herhaalt enkel de bevoegdheden van de organen.
305
Jaarverslag 2011 Umicore, p 155.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
57
d. Conclusie.
Het risicobeheermodel van Umicore focust mijns inziens te veel op de aparte silo’s, in plaats van op de
hele onderneming, maar er wordt wel aandacht besteed aan alles doorheen de hele onderneming. Ook
de communicatie met de buitenwereld strekt tot aanbeveling.
h. In andere landen.
Om te zien of er in België een goede werking is van ERM is het noodzakelijk om te kijken naar andere
rechtsgebieden. Hiervoor kijk ik eerst naar de VS, dan het VK, Nederland en ten slotte Duitsland.
a. Verenigde Staten
In de VS is er geen Corporate Governance Code, maar er is wel een verplichting van de SEC die de
raden van bestuur van Amerikaanse ondernemingen verplicht en verantwoordelijk stelt voor een
adequaat intern controlesysteem en een degelijke rapportage. Deze verplichting is te vinden in art. 404
van de Sarbanes-Oxley-wet (Hierna te noemen: SOX).306
Verder zijn de verplichtingen van de Model
Business Corporation Act en Delaware General Corporation Law, en de rechtspraak van Delaware,
van belang.307
i. De wettelijke verplichtingen van SOX.
Omdat deze van toepassing zijn op beursgenoteerde vennootschappen, 308
zijn ze door de SEC
uitgewerkt. 309
Elke onderneming moet verklaren dat er een raamwerk is dat interne controle op
effectiviteit evalueert door het mogelijk maken van kwalitatieve en kwantitatieve metingen.310
Een auditeur moet hier een beoordeling van maken en elk zwak punt van dat raamwerk meteen bekend
maken aan de onderneming.311
Verder zorgt de SEC er nog voor dat er een definitie komt van “interne controle en financiële
rapportage”. Het gaat kort gezegd om goede registratie van gegevens volgens een gestandaardiseerde
manier (GAAP), en die eenvoudig aan de buitenwereld gepresenteerd kunnen worden en fraude
306
Sarbanes–Oxley Act of 2002 (Pub.L. 107-204, 30 July 2002 U.S.C.C.A.N. (116 Stat.) 745, http://www.gpo.gov/fdsys/pkg/PLAW-107publ204/content-detail.html (31 december 2011). 307
Restoring the Balance in Corporate Management p 29 over het belang van de rechtspraak van Delaware. 308
“An act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes.” Er is wel kritiek op deze wet, omdat het een reactie is op de Enron en Worldcom-schandalen en daarom niet altijd even goed doordacht is, aldus sommigen. Er zijn auteurs die spreken van “Quack Corporate Governance”. S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 260, voetnoot 899. 309
Securities and Exchange Commission (SEC), 27 mei 2003, SEC Implements Internal Control Provisions of Sarbanes-Oxley Act; Adopts Investment Company R&D Safe Harbor. (http://www.sec.gov/news/press/2003-66.htm) (30 december 2011), uitgewerkt in SEC Rule 33-8238 en amendementen. 310
Voor de concrete voorwaarden, zie SEC Rule 33-8238. (http://www.sec.gov/rules/final/33-8238.htm#ia) 30 december 2011, punt 69. 311
§ 205 (a) SOX. Als er geen auditcomité wordt aangeduid, wordt de hele raad van bestuur als auditcomité beschouwd.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
58
tegengaan. 312
Het vrijwaren en beschermen van activa is één van de hoofddoelen van de SOX, aldus
de SEC.313
De onderneming moet beoordelen of de interne controle en rapportage effectief geweest
zijn.314
Ondanks hun controletaak is niet toegestaan om de volledige interne controle te delegeren naar de
auditeurs,315
want de taak van de auditeurs moet worden gepresteerd “ongeacht de
verantwoordelijkheden van de Raad van Besuur”.316
Zij draagt dus de eindverantwoordelijkheid voor
het interne controle- en rapporteringsysteem.317
Ook de manier van rapportering zal van onderneming
tot onderneming verschillen, dit naargelang de aard en de grootte van de onderneming.318
Een
procedure van enkel navragen is niet voldoende, er moet actief onderzocht worden of alle aspecten van
de onderneming werken zoals ze behoren te doen. Van het feit of deze tests en controles effectief
waren moet voldoende bewijs geleverd worden, zowel over de opzet van de controles als het test
proces op zich. Artikel 409 SOX vereist een directe bekendmaking van serieuze veranderingen in de
financiële toestand van een onderneming aan de buitenwereld.
Na de rapportage van de auditeur aan de raad van bestuur is het aan de laatste om er voor te zorgen dat
er voldoende maatregelen worden genomen.319
Volgens de SEC is er sprake van een tekort in de
interne controle wanneer “the design or operation of a control does not allow management or
employees, in the normal course of performing their assigned functions, to prevent or detect
misstatements on a timely basis.”320
312
Dit is: a process designed by(…) the registrant's principal executive and principal financial officers (…) and effected by the registrant's board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles and includes those policies and procedures that pertain to the maintenance of records that in reasonable detail accurately and fairly reflect the transactions and dispositions of the assets of the registrant; provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and receipts and expenditures of the registrant are being made only in accordance with authorizations of management and directors of the registrant; and provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use or disposition of the registrant's assets that could have a material effect on the financial statements. (http://www.sec.gov/news/press/2003-66.htm) (30 december 2011). 313
SEC (http://www.sec.gov/rules/final/33-8238.htm#ia) (30 december 2011). 314
SEC: Final Rule: Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, I, Background, A, Management's Report on Internal Control over Financial Reporting (http://www.sec.gov/rules/final/33-8238.htm#ia) (30 december 2011). 315
Ibid., punt 70. 316
Vergelijk dit met Art. 526bis W. Venn § 4: “Onverminderd de wettelijke opdrachten van de raad van bestuur heeft het auditcomité minstens de volgende taken: (...).” 317
Zie ook: Publicatie FRC, The Turnbull guidance as an evaluation framework for the purposes of Section 404(a) of the Sarbanes-Oxley Act, 16 December 2004, H 3.1 (Responsibility for compliance with S404(a) lies with the management of the company”). 318
SEC (http://www.sec.gov/rules/final/33-8238.htm#ia) 30 december 2011, punt 75. 319
§ 302 SOX. 320
SEC 17 CFR PART 241 en Securities Exchange Act Rules 13a-15(f) and 15d-15(f), 17 C.F.R. § § 240.13a-15(f) and 240.15d-15(f).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
59
Ze maakt daarna nog onderscheid tussen een ontwerpfout en een materiële zwakheid. Het eerste komt
voor wanneer er wel controle is, maar dat de risico’s die voor ogen waren niet ontdekt worden, en het
tweede wanneer het aannemelijk is dat er veel schade kan ontstaan. Verder wordt er nog gerept van
een “tekort in operationele activiteiten” (A deficiency in operation), namelijk wanneer een op zich
goede interne controle structuur niet werkt zoals beoogd, of dat de mensen die er mee moeten werken
niet gekwalificeerd genoeg zijn.321
ii. De verplichtingen van de Delaware General Corporations Law.322
Vooral subhoofdstuk IV, van Hoofdstuk 1 van titel 8 is van belang.323
§ 141 (a) bepaalt dat de
onderneming beheerd wordt of onder leiding staat van de raad van bestuur, tenzij anders bepaald is in
de oprichtingsakte. Zolang een bestuurder te goede trouw (als zorgvuldig persoon) kon vertrouwen op
de rapportage van een extern persoon is hij beschermd tegen aansprakelijkheidsvorderingen. De
externe persoon moet wel redelijkerwijze geacht worden zorgvuldig geselecteerd te zijn en over de
nodige professionele en deskundige kennis te beschikken.324
iii. De beurs.
Men kan de regeling en voorwaarden van interne controle en ERM in de VS niet volledig beschrijven
zonder de noteringvoorschriften van de beurzen aldaar te behandelen,325
zijnde de New York Stock
Exchange (vanaf hier:NYSE)326
en NASDAQ327
. Als de genoteerde ondernemingen niet voldoen aan
de vereisten kunnen zij hun notering kwijtraken. Dit is een goede stok achter de deur om zeker te
voldoen aan de noteringvoorschriften en de daarin vervatte Corporate Governance verplichtingen. Na
de supra genoemde schandalen zijn deze regels het laatste decennium aangepast om er voor te zorgen
dat het management beter gecontroleerd werd door er voor dat bij delegatie bestuurders sneller
aansprakelijk gesteld kunnen worden.328
321
Ibid., § § 228.308(a)(3) and 229.308(a)(3). 322
Delaware General Corporation Law, Titel 8, Hoofdstuk 1 van het wetboek van Delaware, http://delcode.delaware.gov/title8/c001/sc04/index.shtml (5 april 2012). 323
Title 8 Corporations, Chapter 1. General Corporation Law, Subchapter IV. Directors and Officers. 324
§ 141 (e) Delaware General Corporations Law en Organisatieaansprakelijkheid van bestuurders, p 259, nr. 294. 325
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 259, nr. 293. 326
Voor de NYSE: “de NYSE Listed Company Manual Section 303A Corporate Governance Standards en Financial Compliance”(juli 2010) op http://usequities.nyx.com/regulation/listed-companies-compliance/financial-compliance en de “NYSE Listed Company Manual” op http://nysemanual.nyse.com/LCMTools/PlatformViewer.asp?searched=1&selectednode=chp%5F1%5F4%5F3%5F1&CiRestriction=303A&manual=%2Flcm%2Fsections%2Flcm%2Dsections%2F en de “Listing Standards – U.S. Standards” op http://usequities.nyx.com/regulation/listed-companies-compliance/listings-standards/us en http://nysemanual.nyse.com/LCMTools/PlatformViewer.asp?searched=1&selectednode=chp_1_2_2&CiRestriction=102&manual=/lcm/sections/lcm-sections/ (links van 9 januari 2012). 327
Regulatory Requirements (juli 2010) en de NASDAQ listing rules op http://nasdaq.cchwallstreet.com/NASDAQTools/PlatformViewer.asp?selectednode=chp%5F1%5F1%5F4%5F2&manual=%2Fnasdaq%2Fmain%2Fnasdaq%2Dequityrules%2F (9 januari 2012). 328
328
Restoring the Balance in Corporate Management. http://www.usa-recht.de/wp-content/uploads/2011/02/TBL-Corporate-Management.pdf, voetnoten p 52 en 53 (3 april 2012).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
60
a. NYSE
Artikel 303A.06 over het auditcomité van de “handleiding voor genoteerde bedrijven” bepaalt dat
genoteerde bedrijven een auditcomité moeten hebben dat voldoet aan artikel 10A-3 van de “exchange
act”.329
Hierin staan de basisvoorwaarden voor het auditcomité, zoals het detecteren van fouten en
fraude en rapporteren aan het management. Ook de aansprakelijkheid en strafbepalingen worden hierin
bepaald. In artikel 10A-3 wordt bepaald dat wanneer de raad van bestuur een rapport krijgt over een
aantasting van de onafhankelijkheid van het auditcomité, de raad van bestuur dit binnen 24 uur moet
melden aan de SEC. Verder staan er in het NYSE voorschrift artikel 303A.07 nog bepaalde
voorwaarden voor het auditcomité, zoals het minimum aantal leden (drie).
Artikel 303A.09 bepaalt aan welke Corporate Governance voorwaarden genoteerde ondernemingen
moeten voldoen.330
Hun (interne) Corporate Governance richtlijnen moeten openbaar gemaakt worden.
Het gaat om bepaalde thema’s van “universele waarde”, zoals de kwalificaties en
verantwoordelijkheden van bestuurders,331
van de raad van bestuur en van de vergoedingen van
bestuurders.332
Onder verantwoordelijkheden333
wordt verstaan wat er verwacht wordt van
Bestuurders, bijvoorbeeld hoe vaak ze aanwezig zullen zijn. De raad van bestuur moet ook zorgen
voor jaarlijkse zelf-evaluatie om te zien of ze juist functioneert.
In de “Final NYSE Corporate Governance Rules”334
wordt gesteld dat het ook de taak van het
auditcomité is om de risicobeheerprocessen op te volgen. Er wordt wel expliciet gesteld dat het
auditcomité niet het enige orgaan is dat verantwoordelijk is voor ERM. Impliciet wordt dus ook
verantwoordelijkheid gelegd bij de CEO en de raad van bestuur. Dit wordt ook bevestigd in de studie
van SIMKINS en RAMIREZ.335
In het Belgische Wetboek van Vennootschapsrecht vindt men in art.
526bis § 4 eenzelfde verklaring terug.336
Een andere taak van het auditcomité is om regelmatig overleg
te plegen met interne auditeurs teneinde tot een beter begrip te komen van wat er aan de gang is in de
329
US Securities exchange act van 1934 (off. Journal: Pub.L. 73-291, 48 Stat. 881). 330
NYSE Listed Company Manual. 331
Zoals bepaald door artikels 303A.01 en .02 van de NYSE Corporate Governance Guidelines. 332
Ook moet er aandacht zijn voor vergoedingen betaald door de onderneming aan organisaties verbonden aan een bestuurder. 333
Art. 303A.09 NYSE Corporate Governance Guidelines. 334
Ibid., p 11 en 12. 335
S. SIMKIN,S.A. RAMIREZ, Enterprise-Wide Risk Management and Corporate Governance, raadpleegbaar op http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1657036, p 572 en p 584 met het citaat van Moody’s in voetnoot 86. Zij moedigen een actief intern auditcomité en Raad van Besuur aan. 336
Deze paragraaf luidt: “Onverminderd de wettelijke opdrachten van de raad van bestuur heeft het auditcomité minstens de volgende taken: a) monitoring van het financiële verslaggevingsproces; b) monitoring van de doeltreffendheid van de systemen voor interne controle en risicobeheer van de vennootschap. Vergelijk ook principe 6.5 van de Belgische Corporate Governance Code: Het uitvoerend management moet minstens: (...) zorgen voor de totstandkoming van interne controles (dit zijn systemen voor het identificeren, evalueren, beheren en opvolgen van financiële en andere risico's), onverminderd de toezichthoudende rol van de raad van bestuur, gebaseerd op het kader dat goedgekeurd werd door de raad van bestuur.” (eigen onderlijning).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
61
onderneming. De bevindingen van het auditcomité moeten regelmatig worden meegedeeld aan de raad
van bestuur.337
b. NASDAQ
De NASDAQ listing rules338
bepalen dat er een auditcomité moet zijn net zoals een overzicht van de
remuneratie opgesteld onafhankelijke bestuurders.. Wat betreft de onafhankelijke bestuurders kan
worden opgemerkt dat er een uitgebreide beschrijving is van wat een onafhankelijke bestuurder is.339
Een belangrijk deel van de Listing rules gaat over de voorschriften voor de auditcomités.
Er moet een geschreven en door het auditcomité goedgekeurd charter zijn in elke genoteerde
onderneming. Er moet instaan wat de verantwoordelijkheden zijn van het auditcomité en hoe die
verantwoordelijkheden worden opgenomen. Tevens moet dat charter bepalen wie erin zetelt. Tevens
moeten eventuele relaties of diensten tussen de onderneming en de externe auditeurs openbaar worden
gemaakt. Wat er zeker duidelijk in beschreven moet worden is hoe het auditcomité het financieel en
boekhoudkundig proces van de onderneming denk te monitoren. Verder wordt er net als door de
NYSE aandacht besteed aan de exchange act, en natuurlijk aan over het minimumaantal leden van het
auditcomité (drie).
Een laatste opmerking is dat elke bestuurder, manager en werknemer zich ethisch behoort te gedragen.
Dit moet spontaan gebeuren los van het bestaan van een interne (geschreven) gedragscode,
zoalsbeschreven in art. 406(c) van de Sarbanes-Oxley Act. 340
c. SEC:
De SEC heeft, als toezichthouder, zijn voornaamste eisen uitgewerkt in de SOX-wet. Ze komen erop
neer dat de onderneming naar de aard van onderneming een raamwerk moet kiezen, waaronder
rapportage en interne controle en risicobeheersystemen vallen. Dit moet worden meegedeeld in een
verklaring van de onderneming.341
iv. Conclusie.
De regels in de VS leggen een sterke nadruk op interne communicatie, dit in verband met de
uiteindelijke verantwoordelijkheid van de raad van bestuur. Waarom dit belangrijk is wordt infra
uitgelegd met betrekking tot de business judgement rule en de verplichting van bestuurders om zich
voldoende te informeren.
337
NYSE Corporate Governance Guidelines, p 13. 338
Art. 5600 NASDAQ Listing rules: Corporate Governance Requirements. 339
Art. 5605 NASDAQ Listing Rules: Board of Directors and Committees. 340
Art. 5610 NASDAQ Listing Rules: Code of Conduct. Vergelijk dit ook met de studie van B.W. NOCCO, R.M. STULZ, Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar op www.ssrn.com, SSRN-id921402, p 3. 341
SEC-Rule 33-8238, Final Rule: Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, http://www.sec.gov/rules/final/33-8238.htm (hierna SEC Rule 33-8238), (5 april 2012) Zie ook §404 SOX.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
62
b. Verenigd Koninkrijk
De wettelijke regeling omtrent ondernemingsbestuur in de Companies Act van 2006342
is vrij summier.
Er staan opsommingen in van verplichtingen voor bestuurders, maar de regels omtrent de
organisatiestructuur en toezicht zijn te vinden in de Corporate Governance Code en andere werken van
de Financial Reporting Council (FRC).
i. Corporate Governance Code en de Revised Turnbull Guidance 2005.
In het kader van het Corporate Governance (“een leiderschap van een onderneming dat lange termijn
successen creëert”) is het in het Verenigd Koninkrijk de bedoeling dat de raad van bestuur een
behoorlijk risicobeheer- en controlesysteem opbouwt en dat ze op een duidelijke manier de positie van
de onderneming kan meedelen aan de belanghebbenden.343
Dit wordt verderop in het kader van Risk Management and Internal Control verduidelijkt.344
De raad
van bestuur is verantwoordelijk voor de aard van de risico’s en moet de bereidheid bepalen over
hoeveel risico’s men wil nemen met de onderneming. Hiervoor moet ze een behoorlijk risicobeheer-
en controlesysteem invoeren. Teneinde zich ervan te vergewissen of het controlesysteem naar behoren
werkt moet de Raad minstens één keer per jaar de effectiviteit ervan nagaan en de resultaten aan de
aandeelhouders meedelen. Ook moet de Raad ervoor zorgen dat de auditeur van de onderneming de
gegevens op een eenvoudige manier kan nagaan.345
Volgens praktijkmensen is het de
verantwoordelijkheid van de raad van bestuur om ervoor te zorgen dat het ERM-bewustzijn door de
gehele onderneming geldt.346
Er wordt in het VK onder professionele spelers algemeen aanvaard dat de verantwoordelijkheden van
de raad van bestuur de volgende zijn: De houding van de onderneming ten aanzien van risico bepalen
(risk appetite); de cultuur347
en “mindset” van de onderneming bepalen; de juiste (interne en externe)
risico’s bepalen waarop gereageerd moet worden (“the risks inherent in the company’s business
model”), dit moet het liefst in het kader van lange termijn denken; controle van de wil en kunde van
het management inzake het implementeren van interne controle procedures en zich verzekeren van het
feit dat de onderneming effectieve crisisbeheer systemen heeft. Bij de laatste kan men vragen stellen,
want dat betekent een falen van een à priori toezicht.348
Deze principes komen goed overeen met wat
het Belgische Corporate Governance Committee heeft bepaald in zijn richtlijnen omtrent risicobeheer
(supra).
342
http://www.legislation.gov.uk/ukpga/2006/46/contents. 343
Inleiding UK Corporate Governance Code, p 1 en p 7. 344
Ibid., Risk Management and Internal Control, C.2, p 14. 345
Ibid., C.2.1 en C.3. 346
FRC, Boards and Risk, p 5. De Turnbull guidance is niet zaligmakend, in 2012 wordt een update verwacht, dit is een samenvatting van een vragenronde “in de sector.” 347
Dit speelt eigenlijk met betrekking tot de gehele corporate governance; als een onderneming of zijn bestuur niet willen meewerken aan goede corporate governance praktijken, dan zullen codes en wetgeving daar weinig aan kunnen veranderen, zie ook E. JANNSENS, Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4, p 28, conclusie. 348
FRC, Boards and Risk, p 5.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
63
In de Revised Turnbull guidance (2005) worden deze principes nader uitgelegd. Het gaat o.a. over
“comply or explain”, de verplichting van de raad van bestuur een degelijk ERM in te stellen, een
onderzoek over de effectiviteit ervan (minstens één keer per jaar) en dit over de materiële controle. Dat
wil zeggen, zowel de financiële, operationele als de compliance kant moeten worden belicht.349
Op pagina 6 van de herziene Turnbull guidance wordt verder ingegaan op de plichten van de raad van
bestuur met betrekking tot het onderhouden van een behoorlijk systeem van interne controle350
.
Er wordt hier letterlijk gesteld dat de raad van bestuur aansprakelijk is voor de interne controle van de
onderneming. Ze moet zich er regelmatig van verzekeren dat de interne controle nog volstaat en werkt
zoals de raad het oorspronkelijk heeft bedoeld.351
Dit moet worden getoetst aan de hand van
verschillende parameters.352
De effectiviteit ervan moet ook worden beoordeeld door de raad van
bestuur, en dit via rapportage van de verschillende delen van de onderneming. De raad is ook
verantwoordelijk voor de manier waarop moet worden gerapporteerd, en dat moet zo eerlijk mogelijk
zijn.353
Ook is het de raad die lange termijn doelen moet uitstippelen voor de onderneming.354
Volgens de Financial Reporting Council bestaat een interne controlesysteem uit o.a. de volgende
elementen:
- de onderneming moet adequaat kunnen reageren op verschillende risico’s;
- de kwaliteit van de rapportering moet speciale aandacht krijgen, waaronder ook het risico op
fraude en misbruik van de ondernemingseigendommen;
-compliance en “conduct of business” moeten worden gerespecteerd;
-effectiviteit en continuïteit van het systeem moeten zeker opgevolgd worden;
Er moet zeker voor gewaakt worden dat de informatiestroom niet te gedetailleerd is, en/of te weinig
feitelijke informatie zou bevatten, en dus te veel op voorhand vastgestelde aannames inhoudt.355
Hierna moet de raad van bestuur beslissen welke zaken meteen aandacht moeten krijgen en bij welke
niet meteen moet worden ingegrepen.356
Nog een belangrijk aspect van ERM dat hier wordt belicht, namelijk hoe behoorlijk een intern
controlesysteem ook is, slechte beoordelingen door beleidsmakers, opzettelijk of niet (vergissen is
menselijk) nooit volledig voorkomen kunnen worden. Kort gezegd: men handelt hier over het begrip
349
FRC, Internal control requirements of the Combined Code, Turnbull Guidance, p 4. 350
Revised Turnbull guidance 2005. Hoofstuk 2. Maintaining a sound system of internal control, p 6. 351
Ibid., punt 15. 352
Revised Turnbull guidance 2005, punt 16: the board's deliberations should include consideration of the following factors: the nature and extent of the risks facing the company; the extent and categories of risk which it regards as acceptable for the company to bear; the likelihood of the risks concerned materialising; the company's ability to reduce the incidence and impact on the business of risks that do materialise; and the costs of operating particular controls relative to the benefit thereby obtained in managing the related risks. 353
Revised Turnbull guidance 2005, hoofdstuk 3, p 9. 354
FRC, Boards and Risk, p 3. 355
Ibid., p 11. 356
Revised Turnbull guidance 2005, punt 29, p 10.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
64
van redelijk zorgvuldig bestuurder.357
Enkel redelijke, maar geen absolute bescherming moet worden
geboden (zoals tegen onvoorzienbare omstandigheden en bijvoorbeeld fraude).358
Het is de opdracht
van het management om de beleidslijnen zoals bepaald door de raad van bestuur uit te voeren.
Hiervoor is het noodzakelijk dat die kennis neemt van de ERM-plannen en hiertoe ook tot in staat
worden gesteld en dat de communicatie vlot verloopt.359
De uiteindelijke verantwoordelijkheid van het
uitvoeren van interne controle is een individuele verantwoordelijkheid van het uitvoerend
management, maar er moet door de raad van bestuur wel voor gezorgd worden dat die
verantwoordelijkheden welomlijnd zijn, per individuele manager. Ook zijn zij ervoor verantwoordelijk
dat de informatie de raad van bestuur op tijd en duidelijk bereikt, maar dit is afhankelijk van de
kwaliteit van de aanwezige interne controlestructuur.360
Er wordt tevens nog benadrukt (en bevestigd)
dat het oprichten van eventuele risico- en auditcomités de uiteindelijke verantwoordelijkheid van de
raad van bestuur voor een degelijk risicobeheer en degelijke interne controle niet teniet doet. De risk
appetite wordt onder verantwoordelijkheid van de raad van bestuur bepaald.361
Het is ook de
verantwoordelijkheid van de raad van bestuur om de huidige en nieuw ontstane risico’s te toetsen aan
de gekozen Risk appetite, het zogenaamde beheren van de risk map.362
Al de informatie over interne controle moet jaarlijks aan de aandeelhouders bekend worden gemaakt
zodat zij begrijpen welke risico’s de onderneming wenst te lopen (cfr. risk appetite).363
De FRC heeft in een onderzoek ontdekt dat de regels en aanbevelingen omtrent de aandacht van de
raden van bestuur voor risicobeheer in toenemende mate worden nageleefd.
Er wordt door partijen uit de praktijk gesteld, net als in België (infra, de richtlijnen van de Corporate
Governance Commissie) dat het onderscheid tussen interne controle, financiële verslaggeving en
risicobeheer (ERM) niet helemaal duidelijk is.364
Een overeenkomst met de aangeraden praktijk in de richtlijnen van de Belgische Corporate
Governance Commissie (supra) is dat in het VK sommige bedrijfsleiders het zelf, fysiek controleren
van de situatie op de werkvloer niet erg vinden.365
Hiervoor is het wel belangrijk dat die bestuurders
weten waar het in de onderneming om draait, en er wordt opgemerkt dat dit niet altijd het geval is.366
357
Revised Turnbull guidance 2005, punt 22, p 7 en punt 23, p 8. De OESO erkent dit ook in haar richtlijnen voor multinationale ondernemingen, p 26, A.16. Vergelijk ook met de business judgement rule in de VS, en het verbod voor rechters van ex ante beslissingen. 358
Dit is vergelijkbaar met de in België bestaande zorgvuldigheidsnorm (infra). 359
FRC, Boards and Risk, p 6. 360
Ibid., p 6. 361
Revised Turnbull guidance 2005, p 3. 362
FRC, Boards and Risk, p 11. 363
Revised Turnbull guidance 2005, punt 33, p 12. 364
FRC, Boards and Risk, p 12. 365
Ibid., p 13. 366
Men kan zich afvragen wat de rol is van zulke bestuurders in bepaalde ondernemingen.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
65
Er is ook, op papier toch, een grote eensgezindheid over de aandacht die het stroomlijnen van
salarissen in lijn met de risicoverwachting moet krijgen.367
De salarissen, of beter, de drijfveren,
moeten niet enkel snelle winst belonen, want dit betekent meestal ongewenst veel risico’s voor de
onderneming. Aan de andere kant moet men ervoor waken dat een niet te grote risicoaversie wordt
gecreëerd, want zoals supra al opgemerkt is, zonder risico geen onderneming. Het aandacht geven aan
deze remuneratieproblematiek is een goed voorbeeld van het feit dat ERM in het optimale geval moet
spelen doorheen de hele onderneming, dus ook bij de top. Ook risk appetite speelt hier een rol in.
Idealiter zou de beloning van bestuurders het hoogst liggen als de risico’s niet overschreden worden en
er toch een mooi resultaat behaald wordt (dit laatste impliceert het nemen van precies genoeg positieve
risico’s, of opportuniteiten en/of de juiste trade-off van voorkomen of ondergaan van negatieve
risico’s).
Voorstellen voor de rapportage waren er ook nog te vinden in het veld: het integreren van commentaar
over risicobeheer doorheen het gehele jaarverslag, in plaats van dit in een apart hoofdstuk te plaatsen
en meer aandacht geven in verslagen over de strategie en de link daarvan met ERM. Tevens moeten de
veranderingen in het blootstaan van de onderneming aan nieuwe en oude risico’s worden uitgelegd.368
Aan de andere kant was er weinig enthousiasme om externe auditeurs te verplichten risicobeheer van
een onderneming door te nemen (vergelijk ook supra, de eigenheid van elke onderneming)..369
a. Speciaal geval: De combinatie van SOX en de Turnbull Guidance uit 2004.
In 2004 heeft de FRC, naar aanleiding van de invoering van de SOX in de VS, een veertien pagina’s
tellende handleiding370
over de verschillen tussen met name paragraaf 404 SOX en de Turnbull
Guidance uitgebracht. Deze handleiding is voornamelijk van belang voor ondernemingen die niet
Amerikaans zijn, maar die toch willen voldoen aan de SOX-verplichtingen. Met name voor Britse
ondernemingen zal dit handig zijn. Zoals hoger (p …) al gemeld zijn deze regels omgezet in SEC Rule
33-8238.371
In tegenstelling tot de SOX en de SEC Rule 33-8238, die de verantwoordelijkheid bij het
Bestuur alleen leggen, is het in het VK de verantwoordelijkheid van de raad van bestuur en van de
managers om de interne controle in goede banen te leiden.372
Ze moet er voornamelijk voor waken dat
de interne controlestructuur zoals opgezet volgens de Britse Corporate Governance Codes wel voldoet
aan de structuureisen van SOX en de SEC.373
Het is de taak van het Bestuur daar voor te zorgen.374
367
FRC, Boards and Risk. 368
Ibid., p 14. Men kan hier een voorbeeld nemen aan het Umicore jaarverslag. 369
FRC, Boards and Risk, p 16. 370
FRC, The Turnbull guidance as an evaluation framework for the purposes of Section 404(a) of the Sarbanes-Oxley Act, 16 December 2004. 371
SEC Rule 33-8238 (amendment to 17 CFR 240.13a-15 and 240.15d-15), http://www.sec.gov/rules/final/33-8238.htm (12 maart 2012). 372
Publicatie FRC, The Turnbull guidance as an evaluation framework for the purposes of Section 404(a) of the Sarbanes-Oxley Act, H 3.1. 373
Ibid., H 3.3.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
66
De SEC aanvaardt dat de richtlijnen van de FRC over interne controle375
volstaan als raamwerk voor
interne controle.376
Speciale aandacht gaat nog uit naar classificatie van tekorten in de controle mechanismen.377
Deze
moeten namelijk aan gestandaardiseerde classificatie voldoen, zijnde die van: PCAOB Auditing
Standard No. 2 (voornamelijk art. 8 –10).378
De PCAOB is een instelling gecreëerd om de auditing van
genoteerde vennootschappen na te kijken, dit in het kader van SOX.379
Concluderend kan men stellen dat dit document van de FRC weinig toevoegt, het is voornamelijk een
herhaling van de SOX, zonder veel verdere informatie.
ii. Euronext Londen.
Euronext Londen is verplicht de bepalingen van de Financial Services and Markets Act van 2000380
te
volgen en er aldus voor te zorgen dat die verplichtingen door zijn leden en door de genoteerde
ondernemingen worden nageleefd.381
iii. Financial Service Authority Listing rules.382
Deze regels bepalen de verplichtingen van emittenten op de FTSE en op Euronext Londen. Zij kan
aandelen van een onderneming die niet aan de listing rules voldoet schorsen van de markt.383
Dit kan
op grond van o.a. het niet voldoen aan het publiceren van voldoende financiële informatie. Behalve
schorsing kan het aandeel ook van de markt verwijderd worden.384
iv. De Companies Act van 2006
Artikel 417 (3) legt bestuurders op om in het jaarverslag een billijke evaluatie (a fair review of the
company’s business) op te nemen, evenals een beschrijving van de belangrijkste risico’s. Dit is zeker
al een deel van ERM. Deze verplichting moet samen gelezen worden met sectie C van de Corporate
374
Whilst management is solely responsible for compliance with S404(a)(…), Ibid., H 3.3. 375
Revised Turnbull guidance 2005. Hoofstuk 2. Maintaining a sound system of internal control. 376
Voetnoot 68 SEC-Rule 33-8238. Dit zijn: the company’s internal control over financial reporting: control environment; risk assessment; control activities; information and communication; and monitoring. 377 FRC, The Turnbull guidance as an evaluation framework for the purposes of Section 404(a)
of the Sarbanes-Oxley Act, p 7. 378
PCAOB: http://pcaobus.org/Standards/Auditing/Pages/Auditing_Standard_2.aspx#definitions (5 april 2012). Het gaat om de volgende: -Probable. The future event or events are likely to occur. -Reasonably possible. The chance of the future event or events occurring is more than remote but less than likely. -Remote. The chance of the future events or events occurring is slight. 379
http://pcaobus.org/Pages/default.aspx (5 april 2012). 380
“An Act to make provision about the regulation of financial services and markets; to provide for the transfer of certain statutory functions relating to building societies, friendly societies, industrial and provident societies and certain other mutual societies; and for connected purposes”, Official Journal:15 juni 2000, http://www.legislation.gov.uk/ukpga/2000/8/contents (4 maart 2012). 381
Euronext Rule Book II: Specifieke regels voor Euronext London, datum van inwerkingtreding: 1 juni 2010, p 5. 382
FSA Handbook, http://fsahandbook.info/FSA/html/handbook/LR (8 mei 2012). 383
Ibid., H 5.1.1, http://media.fsahandbook.info/pdf/LR/5.pdf. 384
FSA Handbook, H 5.2.1.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
67
Governance Code 2010 waarin bepaald wordt dat de raad van bestuur een behoorlijk
risicobeheersysteem moet opbouwen (zie infra).
v. Conclusie VK
We kunnen zeggen dat in het VK een grote nadruk ligt op communicatie, zowel intern als extern. Dit
komt goed naar voren in het feit dat managers individueel verantwoordelijk zijn voor bepaalde taken,
maar dat het de verantwoordelijkheid van de raad van bestuur blijft om dit goed mee te delen. Ook de
zorg voor goede communicatie bij crisissituaties getuigt hiervan.
c. Nederland
In Nederland ziet men corporate governance als een middel om de lange termijn doelstelling die een
vennootschap is tot een goed einde te brengen, doordat de belangen van de vennoten, aandeelhouders,
toeleveranciers en dergelijke door de vennootschap worden beïnvloed.385
Maar men ziet het nemen
van risico’s ook als belangrijk voor het toenemen van de welvaart.386
i. Corporate Governance Code.
Met betrekking tot het risicobeheer formuleert de code voorgaand principe in punt 13 van de
préambule. In genoteerde ondernemingen in Nederland dienen de belangrijkste kenmerken van de
interne risicobeheersings- en controlesystemen in verband met het proces van financiële verslaggeving
van de vennootschap, in de verklaring te worden opgenomen en dient de verklaring door de accountant
te worden gecontroleerd. De Code verwoordt de verantwoordelijkheden van het bestuur als volgt: “Het
bestuur is belast met het besturen van de vennootschap, hetgeen onder meer inhoudt dat het
verantwoordelijk is voor (…) de strategie met het bijbehorende risicoprofiel (…).” Ook verwoordt de
Code het nog verder in hetzelfde principe als volgt: “Het bestuur is verantwoordelijk voor de naleving
van alle relevante wet- en regelgeving, het beheersen van de risico’s verbonden aan de
ondernemingsactiviteiten en (…).”387
(eigen onderlijning).
In de Nederlandse Code wordt expliciet gesteld dat een “op de vennootschap toegesneden intern
risicobeheersings- en controlesysteem aanwezig (is).” Daarna wordt omschreven welke instrumenten
het best van toepassing zijn om risicobeheer in goede banen te leiden.388
Zo’n systeem kan dus per
vennootschap anders zijn, want elke vennootschap heeft een eigen “risk appetite”. Een kleinere
onderneming kan dus genoegen nemen met een minder zware interne procedure.389
De instrumenten
behelzen o.a. analyses van zowel financiële en operationele risico’s, monitoring, interne gedragscodes
etc. Hiervan moet in het jaarverslag melding worden gemaakt. Er moet geen melding gemaakt worden
385
Nederlandse Corporate Governance Code 2008, http://www.commissiecorporategovernance.nl/Corporate_Governance_Code (19 december 2011), punt 7 préambule, p 7. 386
HR 20 juni 2008 (Willemsen/NOM), r.o. 53. 387
Nederlandse Corporate Governance Code 2008. p 11 en 12 II Bestuur, principe 1. 388
Ibid.,,p 12, II.1.3 en D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid) p 230. 389
Nederlandse Corporate Governance Code 2008, Verklaring van en toelichting op enkele begrippen die in de code zijn gebruikt, II.1.3, p 39.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
68
van alle mogelijke risico’s, wel van de belangrijkste in het kader van de “risk appetite”van de
betreffende onderneming.390
Over dit alles moet het bestuur verklaren dat de “interne risicobeheersings- en controlesystemen een
redelijke mate van zekerheid geven (…) en dat de risicobeheersings- en controlesystemen in het
verslagjaar naar behoren hebben gewerkt.” Dit moet in het jaarverslag duidelijk onderbouwd
worden.391
Dit wordt ook wel de in control-verklaring genoemd. Gevoeligheid aan externe factoren en
eventuele invloed van het beloningsbeleid moeten duidelijk in het jaarverslag vermeld worden:392
“In het jaarverslag geeft het bestuur:
a) een beschrijving van de voornaamste risico’s gerelateerd aan de strategie van de vennootschap;
b) een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen
met betrekking tot de voornaamste risico’s in het boekjaar; en
c) een beschrijving van eventuele belangrijke tekortkomingen in de interne risicobeheersings- en
controlesystemen die in het boekjaar zijn geconstateerd, welke eventuele significante wijzigingen in
die systemen zijn aangebracht, welke eventuele belangrijke verbeteringen van die systemen zijn
gepland en dat één en ander met de auditcommissie en de raad van commissarissen is,
besproken.”
In navolging van de Britse toezichthouder FSA wil de Nederlandse Coporate Governance Commissie
“dat bedrijven hun beloningsbeleid in overeenstemming brengen met een deugdelijk
risicobeheersings- en controlesysteem en met het vastgestelde risicoprofiel van het bedrijf”.
Bijvoorbeeld in het kader van het remuneratie - en bonussenbeleid.393
Een laatste woord nog over de zowel in Nederland als in Amerika genoteerde ondernemingen:
Ondernemingen die voldoen aan de Amerikaanse SOX-vereisten voldoen aan de Nederlandse.394
ii. Wetgeving
In de meeste gevallen hebben grote Nederlandse ondernemingen een dualistische structuur. De Raad
van Commissarissen houdt toezicht op de raad van bestuur. De basisregels voor de raad van bestuur
zijn te vinden in de artikelen 2:129 eerste lid en 2:130 eerste lid NBW.395
Het nemen van beslissingen
behoort tot één van de taken van de bestuurders, die een ruime autonomie hebben. De leiding ligt bij
het bestuur, ze omvat meer dan de dagelijkse leiding, en ze bevat ook het beheer van de vennootschap.
390
Nederlandse Corporate Governance Code 2008. II.1.4, p 40. 391
Ibid., II.5, p 12. Het lijkt eerder te gaan om een inspanningsverbintenis dan om een resultaatsverbintenis uit de oude Corporate Governance Code uit 2003, de code Tabaksblat. Zie C. VAN DER ELST, The Risks of Corporate Legal Principles of Risk Management, 2010, raadpleegbaar op www.ssrn.com, SSRN-id:1623526, p 17. 392
Nederlandse Corporate Governance Code 2008. II.1.6, p 12. 393
Verantwoording van het werk van de Commissie Ontwikkelingen sinds de totstandkoming van de Code in 2003, Punt 13, p. 47. 394
Monitoring Commission Corporate Governance, Rapport over de evaluatie en actualisering van de Nederlandse corporate governance code, June 2008, p 43-46. 395
C. ASSER (ed.) Handleiding tot de beoefening van het Nederlands burgerlijk recht: de naamloze en besloten vennootschap, rechtspersonenrecht, de naamloze en besloten vennootschap, 2009, Kluwer, Utrecht, p 473, nr. 389-390.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
69
iii. De beurs van Amsterdam (AEX)
De noteringvoorwaarden van de AEX396
verklaren de regels van hoofdstuk 6 van het Euronext Rule
Book I (infra) van toepassing, samen met hoofdstuk 2.7 van hun eigen Rulebook, maar ze laten de
eigen regels prevaleren ingeval van conflict. Echter, doordat veel regels voortspruiten uit een Europese
richtlijn, zal een conflict zelden het geval zijn. Ook wat betreft de doorlopende verplichtingen (dus de
jaarverslagen, Corporate Governance Charters, e.d.) wordt enkel het Rule Book I toegepast.397
Ook
sanctiemaatregelen zijn een onveranderde toepassing van hoofdstuk 6 van Rule Book I.
iv. Rechtspraak
Het toenemend belang van Corporate Governance bepalingen in gerechtelijke beslissingen betekent
dat risicobeheer meer en meer aan belang wint in Nederland.398
d. Duitsland
i. Wetgeving.
In Duitsland is het de taak van de raad van bestuur (Vorstandsrat, uitvoerende bestuurders) om de
Raad van Toezicht (Aufsichtsrat) periodiek en zonder oponthoud te informeren over planning, risico-
ontwikkeling, risicobeheer en compliance.399
Eventuele afwijkingen moeten onmiddellijk worden
gemeld. De Raad van Toezicht moet toezicht houden op de raad van bestuur (vergelijkbaar zoals het
dualistisch systeem in Nederland). Dit systeem wordt geregeld door het Aktiengesetz van 1965.400
§
76, Abs. 1 daarvan bepaalt dat de raad van bestuur de onderneming op eigen verantwoordelijkheid
moet leiden. Het dualistisch systeem is verplicht voor beursgenoteerde ondernemingen,401
het
onderwerp van deze thesis. De Vorstand is een collegiaal orgaan en net als in België is ze
396
Euronext Rule Book II: Specifieke regels voor Euronext Amsterdam, datum van inwerkingtreding: 1 juli 2009, p 10 en 11. 397
Ibid., A – 2705 Doorlopende verplichtingen, p 12. 398
HR 13 juli 2007 (ABN Amro), NJ 2007, nr 434, raadpleegbaar op www.rechtspraak.nl: “Voor een oordeel in andere zin is onvoldoende steun te vinden in de wet en in de in Nederland heersende algemene rechtsovertuiging zoals deze onder meer tot uiting komt in de Nederlandse corporate governance code (Stcrt. 27 december 2004, nr. 250, p. 35, verder: de code-Tabaksblat), in het bijzonder de principes II en IV, welke rechtsovertuiging mede inhoud geeft aan (i) de eisen van redelijkheid en billijkheid naar welke volgens art. 2:8 BW degenen die krachtens de wet of de statuten bij de vennootschap zijn betrokken zich jegens elkaar moeten gedragen, en aan (ii) de eisen die voortvloeien uit een behoorlijke taakvervulling waartoe elke bestuurder ingevolge art. 2:9 BW gehouden is.” Zie ook: HR 9 juli 2010 (ASM International):” Best Practice bepaling III.1.6(f) Code Tabaksblat 2008 die inhoudt dat het toezicht van de RvC op het bestuur onder meer de verhouding tussen bestuur en aandeelhouders omvat, en de uit art. 2:8 lid 1 BW voortvloeiende, door de vennootschap met betrekking tot de belangen van al haar aandeelhouders te betrachten zorgvuldigheid, geven geen aanleiding tot een ander oordeel.” 399
Duitse Corporate Governance Code, 3.4, p 5. 400
"Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch Artikel 2 Absatz 49 des Gesetzes vom 22. Dezember 2011 (BGBl. I S. 3044) geändert worden ist" http://www.aktiengesetz.de/ en http://www.gesetze-im-internet.de/aktg/index.html. 401
A. LOOS (ed.), Director’s liability, a worldwide review, 2006, Kluwer law international, Alphen aan de Rijn, p 284.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
70
verantwoordelijk voor het algemeen beleid.402
Op gedelegeerde bevoegdheden behoort te worden
toegezien en eventueel moet er worden ingegrepen.
De Aufsichtsrat controleert zowel op voorhand als achteraf de beslissingen van de Vorstandsrat. Ze
heeft hier veel wettelijke macht voor (§ 111 AktG.: 1) (…)
(2) Der Aufsichtsrat kann die Bücher und Schriften der Gesellschaft sowie die
Vermögensgegenstände, namentlich die Gesellschaftskasse und die Bestände an Wertpapieren und
Waren, einsehen und prüfen. (eigen onderlijning). Ze heeft als doel o.a. de rendabiliteit en de
rechtmatigheid van de onderneming in de gaten te houden. Als ze onregelmatigheden ontdekt dan
moet ze maatregelen nemen om schade voor de vennootschap te voorkomen. Ze is ook
verantwoordelijk voor een goede organisatiestructuur,403
waaronder het belangrijke ERM-principe van
informatiedoorstroming. Hieronder valt onder andere het Früherkennungssystem.404
Dit is een soort
wettelijk risicobeheerssysteem, ingevoerd in 1998. Het is een bijzondere plicht in het kader van de
organisatiestructuur waar de Aufsichtsrat voor verantwoordelijk is.405
De bedoeling is dat potentieel
gevaarlijk risico’s worden geïdentificeerd en beheerd. Ook deze bevoegdheid mag gedelegeerd
worden, maar net als alle bevoegdheden blijft de Raad verantwoordelijk.406
Het gaat enkel om de
risico’s die het voortbestaan van de onderneming in gevaar brengen.407
Het Früherkennungssystem
moet voorkomen dat het insolventie risico op onzorgvuldige wijze wordt vergroot (hier speelt een
marge tussen gewone en onverantwoorde ondernemingsrisico’s). Onder zulke risico’s vallen ook
nalatige of bewust negatieve beslissingen.
Ze heeft de taak zwakheden in het risicobeheersysteem op te sporen door mededeling van een externe
auditor.408
Deze controleert of het Früherkennungssystem voldoet.
ii. Deutscher Corporate Governance Kodex.
In de Corporate Governance Code wordt expliciet vermeld dat de raad van Bestuur een behoorlijk
risicobeheer- en controlemechanisme voorziet in de onderneming.409
De voorzitter van de raad van bestuur is verplicht om regelmatig de voorzitter van de Raad van
Toezicht te informeren over o.a. het aanwezige risicobeheer in de onderneming.410
Er wordt herhaald dat de Vorstand verantwoordelijk is voor het algemeen beleid en op regelmatige
tijdstippen hierover overlegt met de Aufsichtsrat.411
Dit is wettelijk geregeld in § 90 Aktiengesetz
402
Ibid., en S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 353, nr.390. 403
§ 91 AktG. 404
De Aufsichtsrat kan in zijn midden ook een auditcomité oprichten (§ 107, Abs. 3 AktG.). Het Früherkennungssystem is ruimer dan enkel interne controle. 405
§ 91, Abs. 2 AktG. 406
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 358, nr.396. 407
Ibid., p 359, nr.397. De rechtsleer bedoelt daarmee de duurzame rendabiliteit van de onderneming. 408
§ 171, Abs. 1 AktG. 409
Duitse Corporate Governance Code, 3.4, p 7. 410
Ibid., 5.2, p 10. 411
Ibid., 3.4, p 7.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
71
(Berichte an den Aufsichtsrat). Hoofdstuk 4 bepaalt nogmaals dat de onderneming geleid wordt onder
verantwoordelijkheid van de Vorstandsrat, dat ze overlegt met de Aufsichtsrat, en dat er een
risicobeheerssysteem bestaat dat niet enkel risico’s opspoort die de onderneming direct in gevaar
brengen, maar ook risico’s die de onderneming eventueel in gevaar kunnen brengen. De Vorstandsrat
moet dan, aan de hand van hoe groot de kans is op het voordoen van het risico, maatregelen nemen.
Het risicobeheerssysteem moet dit allemaal mogelijk maken.412
Tevens moet er voor goede interne
communicatie gezorgd worden.413
De Aufsichtsrat moet zich in het bijzonder o.a. bezighouden met
risk management en compliance.414
e. De Europese Unie
Al in 2003 werkte de Europese Commissie een plan uit om Corporate Governance in de EU te
verbeteren,415
met de nadruk op het auditcomité als controlerend orgaan van risicobeheer.416
In Richtlijn 2006/46/EG417
wordt in artikel 1, punt 7 het volgende bepaald: Een genoteerde
vennootschap “neemt in haar jaarverslag een verklaring inzake corporate governance op.” Hierin moet
verwezen worden naar de corporate-governancecode waaraan de vennootschap is onderworpen en alle
relevante informatie over de corporate governance praktijken die de onderneming verder toepast.
Hieronder valt ook de beschrijving van de belangrijkste kenmerken van de interne controle- en
risicobeheersystemen van de vennootschap. Deze wetteksten moeten ook aan het publiek bekend
worden gemaakt. Al deze informatie wordt gelijktijdig met het jaarverslag bekend gemaakt.
412
De risico’s de beheersen, te identificeren en te sturen. 413
Duitse Corporate Governance Code, 4.1, p. 7 en S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 354, nr.391. 414
Ibid., 5.3, p 10. 415
Publicatie Europese Commissie, Mededeling van de Commissie aan de Raad en het Europees Parlement - Modernisering van het vennootschapsrecht en verbetering van de corporate governance in de Europese Unie - Een actieplan /* COM/2003/0284 def. */ (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52003DC0284:NL:HTML) (3 april 2012). Zie 3.1.1. Betere informatieverstrekking over corporate governance. Beursgenoteerde ondernemingen moeten worden verplicht bij hun jaarverslagen en jaarrekeningen een coherente en beschrijvende verklaring te voegen die betrekking heeft op de belangrijkste aspecten van hun corporate governance-structuur en hun corporate governance-praktijken en die ten minste de volgende gegevens bevat: b) de samenstelling en werking van de raad van bestuur en zijn comités (Om het vertrouwen van het publiek te herstellen is het in dit kader essentieel dat adequate informatie wordt verstrekt over de wijze waarop de onderneming zich op het hoogste niveau heeft georganiseerd om een efficiënt intern controlesysteem in te voeren en te handhaven) (…) f. het bestaan en de aard van een risicobeheersysteem; (…) (eigen onderlijning). 416
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 189, nr. 224 en C. VAN DER ELST en M. VAN
DAELEN, Risk Management in European and American Corporate Law, ECGI - Law Working Paper No. 122/2009, p 27-37, raadpleegbaar op www.ssrn.com, SSRN ID399647. 417
Richtlijn 2006/46/EG, Van het Europees Parlement en de Raad, 14 juni 2006 tot wijziging van de Richtlijnen 78/660/EEG van de Raad betreffende de jaarrekening van bepaalde vennootschapsvormen, 83/349/EEG van de Raad betreffende de geconsolideerde jaarrekening, 86/635/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van banken en andere financiële instellingen en 91/674/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van verzekeringsondernemingen (hierna verkort: Richtlijn 2006/46/EG).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
72
Art. 2, punt 2 verplicht ondernemingen een beschrijving bij te voegen bij de jaarverslagen van de
“belangrijkste kenmerken van de interne controle- en risicobeheersystemen van de groep met
betrekking tot het proces van de opstelling van de geconsolideerde jaarrekening, (…).”
In art 2, punt 3 wordt bepaald dat “leden van de bestuurs-, leidinggevende en toezichthoudende
organen van ondernemingen” collectief verplicht zijn om de geconsolideerde jaarrekening en de
corporate governance-verklaring op te stellen. Op dit alles zijn de normale nationale
aansprakelijkheidsregels van toepassing. Art. 6 van de richtlijn schrijft voor dat financiële risico’s die
niet in de boekhouding zijn opgenomen toch meegedeeld moeten worden, dit om de communicatie en
transparantie te bevorderen (men kan bijvoorbeeld denken aan garantstellingen). Met deze richtlijn
werd m.a.w. de aanbeveling uit 2003 om een corporate governance verklaring openbaar te maken
ingevoerd. Verder bepaalt de Auditrichtlijn418
nog dat het auditcomité, in ondernemingen waar een
dergelijk comité verplicht is, de interne risicosystemen moet monitoren.419
De belangrijkste
bevindingen moeten openbaar worden gemaakt.420
f. Conclusie rechtsvergelijking. In alle hierboven vergeleken rechtsstelsels is er sprake van een gemeenschappelijk doel, namelijk het
op maat invoeren van een risicobeheersings –en controle systeem voor elke onderneming. Een goed
punt van het Engelse model is dat het commentaar betreffende risicobeheer doorheen het gehele
jaarverslag geïntegreerd moet worden. In België is dit een apart hoofdstuk in het Corporate
Governance gedeelte van het jaarverslag. Waar meerdere ondernemingen nog een voorbeeld aan
kunnen nemen, is de risicoverwachting voor het komende jaar zoals in het geval van Umicore. In
Duitsland en de VS zijn de risicobeheersystemen in een wet op zich ingevoerd, net als in het VK, maar
ook de Belgische en Nederlandse Corporate Governance Codes hebben nu wettelijke kracht. In
hoeverre het op schrift stellen van een ERM-model ook daadwerkelijk de invoering en naleving ervan
garandeert, zal slechts de toekomst uitwijzen. Het Amerikaanse systeem is gericht op disclosure van
interne controle informatie aan de buitenwereld, waaruit het opzetten door het management van een
goed ERM-systeem moet volgen, doordat enkel zo’n systeem een goed beeld van de onderneming kan
geven. In Europa wordt deze verplichting meer opgelegd aan het auditcomité,421
terwijl zowel in
418
Richtlijn 2006/43/EG van het Europees Parlement de Raad van 17 mei 2006 betreffende de wettelijke controles van jaarrekeningen en geconsolideerde jaarrekeningen, tot wijziging van de Richtlijnen 78/660/EEG en 83/349/EEG van de Raad en houdende intrekking van Richtlijn 84/253/EEG van de Raad. 419
Zie ook aanbeveling van de commissie van 15 februari 2005 betreffende de taak van niet bij het dagelijks bestuur betrokken bestuurders of commissarissen van beursgenoteerde ondernemingen en betreffende de comités van de raad van bestuur of van de raad van commissarissen, die bepaalt dat het auditcomité minstens één keer per jaar de interne controle- en risicobeheersystemen moet beoordelen. PB L 25 februari 2005, afl 25, Bijlage 1, (51) 61, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:052:0051:0063:NL:PDF (3 april 2012). 420
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 190. 421
Het auditcomité kan echter niet alles controleren. I. DE POORTER en C. VAN DER ELST, Upgrading Corporate Governance: auditcomités in het wetboek van vennootschappen, T.R.V. 2009, 409.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
73
Europa als in de VS de raad van bestuur de uiteindelijke bevoegdheid behoudt. In Europa wordt meer
nadruk gelegd op ERM in het geheel, meer dan enkel op de interne controle.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
74
IV. De raad van bestuur en zijn verantwoordelijkheden met
betrekking tot ERM. Dit hoofdstuk heeft als doel te onderzoeken hoe men in België het risicobeheer en intern (en extern?)
toezicht zou kunnen versterken en hoe men daarin de rol van de raad van bestuur het best zou kunnen
zien, aangevuld door het auditcomité door vergelijking met andere rechtsstelsels. Eveneens worden de
verantwoordelijkheden van de raad van bestuur besproken. Na de drie crisisjaren 2007 (hypotheek
bubbel), 2008 (eerste kredietcrisis) en de turbulente financiële markten van 2009 beginnen steeds meer
beleggers, groot en klein, zich af te vragen wie er nu eigenlijk de leiding had toen alles zo mis ging.422
Enkele initiatieven voor de verbetering ervan zal ik in de tussenconclusie van dit hoofdstuk bespreken.
Naar de verschillen tussen one-tier en two-tier modellen zal ik niet kijken, hierover kan men een aparte
thesis schrijven.
Zoals we al gezien hebben zijn de verplichtingen van de raad van bestuur m.b.t. ERM als volgt te
omschrijven:423
Het bepalen van een op maat gemaakte risico strategie en adequate maatregelen om de naleving van die
strategie te kunnen afdwingen;
ERM paramaters, zoals het genoemde ‘risk appetite’ ontwikkelen;
De procedures en de uitvoering ervan degelijk controleren.
Dit werk kan het best gedaan worden door een ‘Chief Risk Officer’, en dit zo onafhankelijk
mogelijk.424
Deze commissaris, aangesteld voor het risicobeheer moet ook tijd en middelen genoeg
hebben voor een degelijke uitvoering van het risicobeheer. Zijn resultaten moeten ook te allen tijde
transparant zijn, net als de methodes om de risico’s te beheren. Hij kan geholpen worden door een
uitvoerend risicocomité en door de managers van de verschillende ‘silo’s’ in een onderneming. Hoe
één en ander in België geregeld is, wordt hieronder behandeld.
Rechtsvergelijking met Europese landen zal met name gebaseerd zijn op het VK en Nederland en met
een kleine uitstap naar Duitsland. In deze thesis wordt onderzocht of er in die landen ook een
verplichting op grond van een algemene zorgvuldigheidsplicht is, wettelijk, dan wel jurisprudentieel.
Europese voorstellen die zeker te bestuderen zijn, zijn bijvoorbeeld richtlijn 2006/43/EG425
(auditrichtlijn) waarin de Commissie in haar mededeling van 1998 betreffende “de wettelijke controle
in de Europese Unie: verdere maatregelen” (heeft) voorgesteld een ‘comité wettelijke controle van
422
A.M. TUCKER, Who’s the Boss?, Delaware Journal of Corporate Law, Volume 35, 25 februari 2010, p 201 (hierna verkort: Who’s the Boss? DJCL). 423
C.K. BRANCATO, E. HEXTER, E, Emerging Governance Practices In Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id963221, p 8 en 31. 424
Het nadeel van een CRO is dat zo iemand veel geld kost en dus niet voor alle ondernemingen even realistisch is. 425
Richtlijn 2006/43/EG van het Europees Parlement de Raad van 17 mei 2006 betreffende de wettelijke controles van jaarrekeningen en geconsolideerde jaarrekeningen, tot wijziging van de Richtlijnen 78/660/EEG en 83/349/EEG van de Raad en houdende intrekking van Richtlijn 84/253/EEG van de Raad.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
75
jaarrekeningen in het leven te roepen, dat in nauw overleg met het auditberoep en de lidstaten verdere
maatregelen op dit terrein zou uitwerken.’426
De OESO427
ziet het ook als een toenemende verantwoordelijkheid van de raad van bestuur om ervoor
te zorgen dat er een ondernemingsstrategie is (vergelijk supra COSO-strategie), dat er een
risicobeheerstrategie is, en dat de prestaties daarvan worden gecontroleerd. Dit zijn dezelfde
verantwoordelijkheden als diegene die men kan vinden in de Richtlijnen van de Belgische Corporate
Governance Commissie en het Wetboek van Vennootschappen.428
De FRC ziet enerzijds een mogelijk
gevaar in het opzetten van nog meer comités, namelijk in het alsnog niet duidelijk zijn van de
respectievelijke verantwoordelijkheden. Anderzijds is het nog meer belasten van auditcomités niet
ideaal.429
Het verdelen en afbakenen van verantwoordelijkheden past mijns inziens wel in het
verantwoordelijk zijn voor een duidelijk risicobeheerstructuur van een onderneming. Een mogelijke
oplossing is dat er aparte comités zijn, maar met een paar gezamenlijke vergaderingen.430
Die moet
men dan idealiter organiseren tijdens of net voor de vergaderingen van de raad van bestuur.
a. Wettelijke verantwoordelijkheden Zonder aansprakelijk gesteld te kunnen worden zijn de regels omtrent Corporate Governance, interne
controle, risicobeheer e.d. zoals hierboven beschreven natuurlijk zinloos. Het is dan ook nuttig om te
kijken naar de aansprakelijkheden van de raad van bestuur in dezelfde landen als supra genoemd. Ik
zal zowel de wettelijke als de jurisprudentiële behandelen. Meestal is een rechter soepeler in de
toetsing van bestuurdersaansprakelijkheid dan de voor iedereen geldende gedragsnorm. Een vraag die
meer en meer aan belang wint is in hoeverre de opvolging door de raad van bestuur bestuurders voor
aansprakelijkheidsproblemen kan stellen (namelijk in hoeverre zij uitvoerende bestuurders of
managers moesten vertrouwen of juist controleren).431
1. België
Bestuurdersaansprakelijkheid in België is de bestuurdersaansprakelijkheid voornamelijk georganiseerd
rond drie artikelen in het wetboek van vennootschappen, te weten art. 61, § 1., art. 527 en art. 528.432
426
Richtlijn 2006/43/EG, overweging 3. 427
OESO: OECD Principles of Corporate Governance, 2004, p 26 en p 60, annotations to the OECD Principles of Corporate Governance. 428
Art. 96, § 2, 3° W. Venn. 429
FRC, Boards and Risk, p 6. 430
Ibid., p 6. 431
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 196. 432
Hun teksten luiden resp.: 61, § 1 W. Venn.: De vennootschappen handelen door hun organen waarvan de bevoegdheden worden vastgesteld door dit wetboek, het doel en de statuten. De leden van deze organen zijn niet persoonlijk verbonden voor de verbintenissen van de vennootschap (zolang ze binnen hun mandaat handelen). Art 527 W. Venn.: De bestuurders (, leden van het directiecomité) en dagelijkse bestuurders zijn overeenkomstig het gemeen recht verantwoordelijk voor de vervulling van de hun opgedragen taak en aansprakelijk voor de tekortkomingen in hun bestuur. Art. 528 W. Venn.: De bestuurders zijn, hetzij jegens de vennootschap, hetzij jegens derden, hoofdelijk aansprakelijk voor alle schade die het gevolg is van overtreding van de bepalingen van dit wetboek of van de statuten van de vennootschap.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
76
Deze drie artikelen zijn sinds hun invoering in 1873 inhoudelijk ongewijzigd gebleven.433
Er zijn ook
nog twee specifieke artikelen, namelijk een artikel over aansprakelijk van bestuurders ingeval van
belangenverstrengeling (art. 529 W. Venn) en één over aansprakelijk van de bestuurders bij grove fout
met faillissement tot gevolg (art. 530 W. Venn).
Aangezien de raad van bestuur het algemeen beleid bepaalt van een vennootschap,434
is zij
aansprakelijk voor het toezicht op de organen van de vennootschap. Het algemeen beleid en toezicht
zijn niet duidelijk bepaald.435
In landen met een dualistisch systeem is er een duidelijkere omschrijving
van de twee verschillende taken. Het bepalen van de financiële doelstellingen, de kernpunten van het
beleid, waaronder de strategie, het opvolgen van de belangrijkste risico’s en beslissen over belangrijke
(des)investeringen vallen onder het algemeen beleid en dus onder de verantwoordelijkheid van de raad
van bestuur. Ook beslissingen inzake risicobeheer en risk appetite vallen hieronder. 436
Helaas blijft het
concept vrij vaag en hangt het af van de feitelijkheden van elk geval afzonderlijk. Minder vaag zijn de
specifieke wettelijke bevoegdheden, zoals het in bepaalde gevallen mogen bijeenroepen van de
algemene vergadering, opstellen van de inventaris, etc.437
Een ander belangrijk principe is dat de raad van bestuur een collegiaal orgaan is.438
Voor de interne
beslissingen is dit een principe van dwingend recht. Individuele bestuurders mogen geen afzonderlijke
beslissingen nemen.439
Voor elke beslissing van de raad van bestuur moet elke bestuurder de
mogelijkheid gehad hebben kennis te nemen van de beslissing en erover te debatteren. Voor externe
beslissingen heeft het geen belang of de beslissing collegiaal genomen is of niet.440
Interne verdeling
van bevoegdheden en gewone beraadslagende regels met betrekking tot meerderheden is wel
toegestaan.
433
P. BEVERNAGE, in X, Tendensen in het bedrijfsleven, sancties in het bedrijfsrecht – Le droit des affaires en évolution, la sanction dans la vie des affaires, Anwerpen, Kluwer, 2007, p 120 (hierna te noemen: Tendensen) 434
Art. 522 W. Venn bepaalt dat de raad van bestuur bevoegd (is) om alle handelingen te verrichten die nodig of dienstig zijn tot verwezenlijking van het doel van de vennootschap, behoudens die die nadrukkelijk zijn toegewezen aan de algemene vergadering. Er is sprake van een residuaire bevoegdheid. Zie voor een illustratie in de VS de zaak Caremark: Legally, the board itself will be required only to authorize the most significant corporate acts or transactions: mergers, changes in capital structure, fundamental changes in business, appointment and compensation of the CEO, etc. (eigen onderlijning).(Caremark International Inc. Derivative Litigation, 698 A.2d (959) 968 (Del. Ch. 1996)) 435
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 200, nr 236. 436
Ibid., p 200, nr 236 en principe 1.2 van de Belgische Corporate Governance Code. Zie ook richtlijn 2.3.2 van Corporate Governance Commissie, Richtlijnen interne controle. 437
Zie voor een volledigere lijst: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 201 en 202, nr. 239. 438
Art. 521 W. Venn. Principe 3.3 Belgische Corporate Governance Code. 439
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 202, nr. 239. 440
Ibid., p 202, nr. 239 en art 522, § 2, W. Venn.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
77
a. Burgerrechtelijke aansprakelijkheid (art. 527 en 528 W. Venn).
Volgens deze artikels zijn bestuurders aansprakelijk voor gewone bestuursfouten (art. 527), voor
overtredingen van het wetboek of van de statuten,441
of voor onrechtmatige daad (maar dat is vrij
zeldzaam442
). Aansprakelijkheid voor bestuursfouten is een gevolg van de hoedanigheid van lasthebber
die een bestuurder is van de vennootschap (hier komt het agency-probleem naar voren, waar Corporate
Governance een antwoord op tracht te vinden).
Art. 527 veronderstelt, net als het gemeen recht, fout, schade en oorzakelijk verband. Een fout is een
bestuursfout die voorkomt wanneer een bestuurder in de uitoefening van zijn mandaat tekort komt aan
zijn inspanningsverbintenis zoals die van een redelijk normaal zorgvuldig bestuurder (culpa levis in
abstracto) in dezelfde plaats verwacht mag worden.443
Een verschil tussen een bestuurder als
lasthebber en een “gewone” lasthebber, is dat die laatste in principe onbezoldigd is. Zo’n
onbezoldidgde lastgeving is minder streng qua aansprakelijkheid. Voor bestuurders wordt er in de
rechtspraak aangenomen dit onderscheid niet gemaakt. Zij worden benoemd omwille van hun
deskundigheid. De te vorderen schade is te berekenen aan de hand van art. 1149, 1150 en 1151 B.W.,
namelijk de voorzienbare schade bij het sluiten van de overeenkomst en die het noodzakelijk gevolg is
van de wanprestatie.444
Het artikel 527 W. Venn veronderstelt een tekortkoming van contractuele aard
en die vordering is dientengevolge enkel in te stellen door de vennootschap.
Artikel 528 bepaalt dat de bestuurders tevens door derden wegens overtreding van het Wetboek van
Vennootschappen en/of de statuten aansprakelijk gesteld kunnen worden. 445
Doordat in 1999 het jaarrekeningenrecht van de Europese Unie in het wetboek van vennootschappen
werd geïntegreerd, kunnen de bestuurders, op voorwaarde dat er schade en causaal verband is,446
daar
ook voor aansprakelijk gesteld worden. Het vaststellen van een fout daaromtrent zal in het algemeen
weinig moeilijkheden met zicht meebrengen, omdat vennootschapswetgeving voor het grootste deel
uit resultaatsverbintenissen ten aanzien van de bestuurders bestaat. Een overtreding van de wet is in
441
Dit is een hoofdelijke aansprakelijkheid. Ook de samenlopende fout, waarbij zonder de fouten van één van hen de andere fouten niet hadden kunnen ontstaan houdt geen individuele aansprakelijkheid in, maar één in solidum, zoals bepaald in art 1202 B.W. 442
P. BEVERNAGE, Tendensen, II.2.1, p 124. 443
Ibid., II.2.1.1, p 125. Voorbeelden zoals daar zijn: Bijna altijd afwezig zijn op vergaderingen van de raad van bestuur, leningen toekennen zonder goede voorwaarden of nalaten van controle van de schuldenaar, te weinig toezicht op uitvoerend management, ongunstige overeenkomsten afsluiten. De meeste van deze voorbeelden, hebben we gezien, kunnen worden geëlimineerd door een goed risicobeheer. Zie ook F. PINTE, Art. 528 C.soc, www.jura.be (17 maart 2012), ook het miskennen van aandeelhoudersrechten wordt genoemd. 444
Met uitzondering van bedrog – fraus omnia corrumpit. Tendensen, p 126. 445
Hieronder wordt ook de boekhoudwetgeving inclusief uitvoeringsbesluiten begrepen. 446
Zie als voorbeeld: Antwerpen (5e k.) 2 maart 2006 JDSC 2008 (samenvatting), 189, noot M. ERNOTTE; JDSC 2009, 78; TRV 2007, afl. 3, 192, noot C. CLOTTENS, waarbij het Hof letterlijk stelt dat: “Wanneer het aangevochten besluit van de raad van bestuur is uitgevoerd en op zich geen schade heeft veroorzaakt, is de vordering tot nietigverklaring ongegrond.”
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
78
dat geval voldoende.447
Tegenbewijs blijft uiteraard altijd mogelijk, maar moet worden geleverd door
de bestuurder.
i. Hoofdelijke aansprakelijkheid
Eens fout, schade en causaal verband vaststaan zijn de bestuurders dus hoofdelijk aansprakelijk448
voor
alle (dus ook niet-voorzienbare) schade, tenzij hij/zij kan bewijzen dat hij geen deel had aan de
overtreding, geen schuld kan worden verweten en het gebrek bij de eerst volgende Algemene
Vergadering heeft aangeklaagd.449
Men mag niet te snel concluderen dat men ergens geen weet van
had, want voor foutieve nalatigheid is men evengoed aansprakelijk.450
Deze hoofdelijke
aansprakelijkheid volgt ook uit het collegialiteitprincipe, waar slechts zeer moeilijk onder uit te komen
is.451
b. Buitencontractuele wanprestatie: Art. 1382 en 1383.
Men mag echter niet zomaar elke bestuursfout gelijk stellen aan een onrechtmatige daad in het kader
van art. 1382-83 B.W., omdat niet elke bestuursfout een inbreuk is van de aan ons allen opgelegde
zorgvuldigheidsnorm. Het algemeen criterium is dat van bonus pater familias, en die is nu eenmaal
niet perfect.452
Kleine fouten leiden niet tot aansprakelijkheid; zonder risico’s kan men geen
onderneming leiden. Een bestuurder wordt geacht over een bepaalde bekwaamheid te beschikken,
iemand die niet over de vereiste bekwaamheden beschikt mag een bestuursmandaat dan ook niet
vervullen.453
Ook moet men er rekening mee houden dat het bijzonder moeilijk is om een onderscheid
te maken tussen de schade voortvloeiend uit een bestuursfout in het kader van art. 527 W. Venn en van
art. 1382 B.W.454
Of andersom: om een onderneming perfect te leiden kan het zijn dat een derde
geschaad wordt (maar dit is helemaal theoretisch, en in het kader van ERM eerder een geval van niet
447
P. BEVERNAGE, Tendensen, p 128. Maar sommige regels, zoals waarderingsregels, houden ruimte voor enige marge. Dit is meestal het geval wanneer de rechter rekening houdt met de feitelijke omstandigheden (S. DE
GEYTER, Organisatieaansprakelijkheid van bestuurders, p 244 en de daar aangehaalde rechtsleer). 448
F. PINTE, F., Art. 528 C.soc, www.jura.be (17 maart 2012) 449
Art. 528, eerste en derde lid W. Venn. 450
Brussel, 28 september 1966, J.T., 1967, 91 en F. PINTE, Art. 528 C.soc, www.jura.be (17 maart 2012) en M.-A DELVAUX, Les responsabilités des fondateurs administrateurs et gérants des SA, SPRL et SCRL, Droit des sociétés commerciales, Kluwer, Antwerpen, 2002, n° 330, p. 684. 451
Art. 528 derde lid: (Wat overtredingen betreft waaraan zij geen deel hebben gehad, worden de bestuurders en de leden van het directiecomité slechts ontheven van de aansprakelijkheid bepaald in het eerste en het tweede lid indien hun geen schuld kan worden verweten en zij die overtredingen, naargelang van het geval, hebben aangeklaagd op de eerste algemene vergadering of op de eerstkomende zitting van de raad van bestuur nadat zij er kennis van hebben gekregen. Zie verder nog: Organisatieaansprakelijkheid van bestuurders, p 254, nr. 287 en verder: H. DE WULF, C. VAN DER ELST, S VERMEESCH,: Radicalisering van corporate governance-regelgeving: remuneratie en transparantie na de wet van 6 april 2010, http://www.law.ugent.be/fli/wps/pdf/WP2010-14.pdf (4 april 2012), p 33, over aansprakelijkheid met betrekking tot financiële verslaggeving. 452
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 244 en de daar aangehaalde rechtsleer. 453
Ibid., p 244 en de daar aangehaalde rechtspraak in voetnoot 847. 454
P. BEVERNAGE, Tendensen, p 127.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
79
alle risico’s kunnen vermijden, maar de gevolgen zo klein mogelijk houden).455
Een andere
moeilijkheid is dat er enkel een fout kan worden aangetoond indien de fout een schending betreft van
een persoonlijk op de bestuurder rustende verplichting. Dus niet elke onrechtmatige daad van de
vennootschap impliceert aansprakelijkheid van de bestuurders.456
Het is ook dikwijls een
feitenkwestie457
of een bestuurder zich al dan niet heeft gedragen als een normaal zorgvuldig
bestuurder. Hier heeft de rechter de mogelijkheid tot marginale toetsing, of, om verwarring te
voorkomen, enige terughoudendheid tot de normale “volledige toetsing”.458
Dit houdt in dat lichte
fouten niet worden bestraft, en dat er rekening moet worden gehouden met beleidsruimte van
bestuurders. Dit komt overeen met de algemene zorgvuldigheidsnorm voor bestuurders (supra.)459
Als
dat het geval is dan kan de bestuurder geen fout verweten worden. Het komt er meer op neer dat er
voor sommige beleidshandelingen van een bestuurder beslissingsvrijheid is, en voor andere niet
(bijvoorbeeld een brandverzekering afsluiten).460
Nog andere voorbeelden van persoonlijke
verplichtingen van bestuurders zijn: diefstal van vennootschapsgoederen, tegen beter weten in een
virtueel failliete onderneming voortzetten,461
aangaan van verbintenissen die duidelijk boven de macht
van de onderneming zijn. Het eerste en laatste voorbeeld passen uitstekend in het kader van ERM.
Een buitencontractuele fout houdt in dat ook onvoorziene schade moet worden vergoed (i.t.t
contractuele aansprakelijkheid).462
De rechter stelt zich in de plaats van de bestuurder die de schade
455
In Duitsland leidt dit onherroepelijk tot aansprakelijkheid. 456
P. BEVERNAGE, Tendensen, p 130. 457
Zie ter illustratie: Antwerpen 8 april 2008 RABG 2009, afl. 9, 590, noot N. COUDER, waarbij het Hof tot beslissing kwam dat het in casu niet doorstorten van bedrijfsvoorheffing geen fout in het kader van art. 1382 t.ov. de Staat was, omdat het om kleine verantwoorde bedragen ging van een onderneming die toch verloren was en als tegenovergesteld geval Cass. (1e k.) AR C.03.0425.N, 17 november 2006 (S.C. / Belgische Staat en B.M.) http://www.cass.be (16 april 2007); JDSC 2008, 147; TRV 2007, afl. 2, 138, waarbij door het Hof van Cassatie beslist werd dat de feitenrechter die stelt dat bestuurders een fout begaan door wetens en willens de dwingende wettelijke verplichting om de bedrijfsvoorheffing door te storten miskennen, moet deze bestuurders (…) aansprakelijk [stellen] op grond van een schending van de algemene zorgvuldigheidsplicht (zoals vervat in art. 1382 B.W.). Zie verder ter illustratie: Antwerpen (6e k.) 19 april 2005 NJW 2005, afl. 121, 954, noot DE RAEDT, S.; JDSC 2007, 90, noot M. DELVAUX; TRV 2005, afl. 5, 338, noot D. DESCHRIJVER, waarbij het niet-doorstorten van bedrijfsvoorheffing en dit verborgen houden voor de boekhouding fouten vormen in het kader van art. 1382 B.W. In een andere context, namelijk het bewust niet bekend maken van het ontslag van een bestuurder in het Belgisch Staatsblad: Door wetens en willens bij het bestuur van de vennootschap een dwingende wettelijke verplichting te miskennen, terwijl niet vaststaat dat de vennootschap onoverkomelijke liquiditeitsproblemen zou hebben gekend, wat de overmacht uitsluit, begaan de bestuurders een fout waardoor zij aan de benadeelde persoon een schadevergoeding verschuldigd zijn overeenkomstig artikel 1382 B.W. (Antwerpen (5e k.) nr. 1998/AR/1811, 30 januari 2003 JDSC 2005, 180, noot M. DELVAUX), (eigen onderlijning). 458
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 245, nr 279. 459
Brussel (9e k.) nr. 2000/AR/1227, 11 december 2003 DAOR 2004, afl. 70, 65: “De rol van de rechter bestaat er niet in de eigen appreciatie in de plaats te stellen van deze van het bestuur aangezien hij geen beroepsinstantie is van de raad van bestuur. De rechter zal slechts manifest ongerechtvaardigde gedragingen sanctioneren. Er zal dus slechts een fout zijn wanneer een getolereerde vergissingsmarge wordt overschreden.” 460
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 246, nr 279. 461
Behalve als dit in het kader van het voorkomen van een overhaaste verkoop van activa is om zo een hogere prijs voor de verkoop te bekomen. 462
P. BEVERNAGE, Tendensen, p 130.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
80
heeft veroorzaakt en beoordeelt dan hoe de bestuurder de schade had kunnen voorkomen. Hij moet er
voor waken geen ex post wetenschap in zijn beoordeling te betrekken.463
i. Uitvoeringsagent en orgaantheorie.
Zoals al eerder vermeld is de bestuurder de agent, de uitvoeringsagent van de vennootschap. In België
wordt dit traditioneel gekaderd als de orgaantheorie, door sommigen wordt dit gezien als een variant
op lastgeving.464
De bestuurders verbinden de vennootschap zonder zichzelf te verbinden.465
De kwalificatie van uitvoeringsagent houdt in dat de bestuurder kan genieten van de quasi-immuniteit
van de uitvoeringsagent, zoals bepaald is in het stuwadoorsarrest van het Hof van Cassatie uit 1973.466
Ik zal hier de voorwaarden nog even kort herhalen. Een uitvoeringsagent kan slechts
buitencontractueel aansprakelijk worden gesteld door zijn tegenpartij voor fouten die een schending
van de algemene zorgvuldigheidsplicht inhouden en als deze fout een andere schade veroorzaakt heeft
dan de schade die aan de slechte uitvoering van het contract te wijten is. Dit geldt ook voor dagelijks
bestuurders die lid zijn van de raad van bestuur467
, maar niet in de hoedanigheid van dagelijks
bestuurder.468
Een fout van de bestuurder-lasthebber zorgt ervoor dat de vennootschap aansprakelijk is, maar sluit de
foutaansprakelijkheid van de bestuurder niet uit.469
De vennootschap is als principaal verantwoordelijk
ingevolge art. 1384, derde lid, B.W.470
dat de aansprakelijkheid voor aangestelden regelt. Een
bestuurder is een aangestelde van een vennootschap.471
Een discussie los van deze thesis, maar toch vermeldenswaard is die over de geldigheid van de
orgaantheorie ten opzichte van de theorie van de lastgeving als fundament van de
vertegenwoordigingsbevoegdheid van bestuurders. Hier van belang is wanneer bestuurders
463
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 246, nr 280. 464
J. DELVOIE, Orgaantheorie in rechtspersonen. 465
Ibid., p 225. 466
Cass 7 december 1973, Arr. Cass., 1974, p 395. Bevestigd in o.a. 2005, Cass., 20 juni 2005, T.B.H., 2006, 418, met noot A. COIBOIN, Merk op dat in veel andere landen er wel nog steeds gekozen kan worden tussen schadevergoeding uit contractuele of extra-contractuele regels, los van de oorzaak. Bijvoorbeeld in Nederland, o.b.v. afd. 6.1.10 NBW, waarbij een algemene schadevergoedingsregel bestaat, geldend voor alle oorzaken van schade, zelfs buiten het NBW. Zie ook: J. SPIER, T. HARTLIEF, G.E. VAN MAANEN, R.D.V RIESENDORP, Verbintenissen uit de wet en Schadevergoeding, nr. 198, Wolters Kluwer, 2009, Deventer. 467
Art 527 W. Venn. 468
P. BEVERNAGE, Tendensen, p 131. 469
Cass., 20 juni 2005, T.B.H., 2006, 418, met noot COIBOIN, A, en J. DELVOIE, Orgaantheorie in rechtspersonen. 470
J. DELVOIE, Orgaantheorie in rechtspersonen, p 101. Art. 1384, derde lid, B.W. luidt: lid één: Men is aansprakelijk niet alleen voor de schade welke men veroorzaakt door zijn eigen daad maar ook voor die welke veroorzaakt wordt door de daad van personen voor wie men moet instaan; De meesters en zij die anderen aanstellen, voor de schade door hun dienstboden en aangestelden veroorzaakt in de bediening waartoe zij hen gebezigd hebben. 471
J. DELVOIE, Orgaantheorie in rechtspersonen, p 189 en de daar aangehaalde rechtsleer. Ook het Hof van Cassatie denkt soms in die richting. Zie hiervoor Cass. 19 april 2003, Arr.Cass. 2003, 1055: “de omstandigheid dat iemand gelast is met de dagelijkse leiding van de rechtspersoon, sluit niet uit dat hij ter zake optreedt als aangestelde…”.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
81
aansprakelijk zijn, en dat hoort zowel bij de orgaantheorie als bij de lastgeving.472
De vennootschap is
aansprakelijk (onder artikel 1382-1383 B.W.) wanneer het orgaan een onrechtmatige daad begaat in
het kader van zijn mandaat.473
Volgens het cassatiearrest van 20 juni 2005 blijven aansprakelijkheid
van orgaan en vennootschap bij buitencontractuele aansprakelijkheid naast elkaar bestaan. Het Hof
drukt het als volgt uit: “Attendu que, pour le surplus, si la faute commise par l'organe d'une société au
cours de négociations préalables à la conclusion d'un contrat engage la responsabilité directe de cette
personne morale, cette responsabilité n'exclut pas, en règle, la responsabilité personnelle de l'organe
mais coexiste avec celle-ci.”(eigen onderlijning). Er is dan een regresvordering mogelijk van de
vennootschap op de bestuurder (zie ook punt b, vorderingsrecht, infra).474
ii. Delegatie dagelijks bestuur.
De raad van bestuur kan veel bevoegdheden delegeren aan bepaalde comités, bijvoorbeeld aan het
auditcomité, het remuneratiecomité of het directiecomité.475
Als de raad van bestuur zijn dagelijks bestuur delegeert aan een orgaan van dagelijks bestuur, dan is
dat orgaan extracontractueel aansprakelijk tegenover de vennootschap op grond van art. 1382 B.W.476
Art. 522 W. Venn. laat toe deze taken te delegeren. De taken die worden gedelegeerd aan het
directiecomité worden gesanctioneerd door de uitgebreide regeling in art. 524bis W. Venn. De
artikelen 527, 528 en 529 W. Venn zijn namelijk op dat comité van toepassing verklaard (zie volgend
hoofdstuk, iii, vorderingsrecht).477
Een aansprakelijkheidsvordering tegen het orgaan van dagelijks
bestuur of het directiecomité is slechts in te stellen door de raad van bestuur.
c. Vorderingsrecht
De vennootschap is altijd belanghebbende schadeleider bij bestuursfouten overeenkomstig de artikelen
527, 528 en 529 W. Venn. De vennootschap kan de vordering instellen indien een gewone
meerderheid van de Algemene Vergadering het daarmee eens is.478
De raad van bestuur, of vaker nog
een lasthebber (dit is logisch, een vordering tegen jezelf stel je niet in) stelt de vordering in.479
Minderheidsaandeelhouders hebben ook een vorderingsrecht, voor rekening van de vennootschap.
Deze vordering, de minderheidsvordering, wordt echter zelden ingesteld. De aandeelhouders die hem
willen instellen moeten op de dag van de Algemene Vergadering 1% van het kapitaal of € 1.250.000
472
J. DELVOIE, Orgaantheorie in rechtspersonen, p 319. Het lijkt er sterk op dat het meer gaat om een lasthebberconstructie, p 407. 473
Ibid., p 363 en art. 1384, derde lid B.W. 474
J. DELVOIE, Orgaantheorie in rechtspersonen, p 370 en de daar aangehaalde rechtspraak. 475
De wettelijke basis voor een directiecomité is art 524bis W. Venn. Voor het remuneratiecomité is dit 526quater W. Venn. 476
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 247, nr. 281. 477
Over de discussie of art. 18 Wet Arbeidsovereenkomsten met betrekking tot werknemersaansprakelijkheid, dan wel art 530 W. Venn. over bestuurdersaansprakelijkheid van toepassing is, zie Organisatieaansprakelijk-heid van bestuurders, p 248, nr. 282. 478
F. PINTE, Art. 528 C.soc, www.jura.be (17 maart 2012). 479
Art. 561 W. Venn.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
82
aan aandelen hebben. Ook mogen ze de bestuurders geen kwijting hebben verleend,480
of de kwijting
zou achteraf blijken ongeldig te zijn.481
Individuele aandeelhouders kunnen enkel een vordering
instellen als ze schade hebben geleden die te onderscheiden is van de geleden schade van
vennootschap . Dit komt zeer zelden voor.482
Derden, zoals schuldeisers of andere belanghebbenden kunnen op grond van art. 530 W. Venn, tweede
lid een vordering instellen tegen een of meerdere bestuurders o.g.v. van het Wetboek van
Vennootschappen en/of de statuten, een onrechtmatige daad of een kennelijk grove fout die heeft
bijgedragen tot het faillissement.483
Op grond van art. 561 W. Venn. mag de algemene vergadering een aansprakelijkheidsvordering tegen
de raad van bestuur instellen. Als blijkt dat de keuze van personen die in de het orgaan van dagelijks
bestuur of het directiecomité zetelden zorgvuldig was, dan is de raad van bestuur niet aansprakelijk
voor fouten van het directiecomité of het orgaan van dagelijks bestuur.484
Als blijkt dat er bij het
toezicht fouten zijn gemaakt is een vordering op grond van art. 561 W. Venn. wel gegrond en kan een
bestuurder aansprakelijk gesteld worden. Deze aansprakelijkheid steunt op art. 1994 B.W. inzake
plaatsvervanging door lasthebber. Het is geen lastgeving in strikte zin van het woord, maar vertoont
wel sterke gelijkenissen. Art 524bis W. Venn. bevestigt trouwens de toezichts- en selectieplicht.485
Delegatie is overigens één van de door COSO uitdrukkelijk geviseerde risico’s in hun
risicobeheermodel.486
Voor zover de gedelegeerde werkelijk over de bekwaamheid beschikte die past bij de door hem
aanvaarde functie, is slechts hij aansprakelijk ten opzichte van de vennootschap.487
d. Is de Corporate Governance Code een door bestuurders te respecteren
zorgvuldigheidsnorm?
Volgens BEVERNAGE zijn bepaalde onderdelen van de Corporate Governance Code zeker een door
bestuurders te respecteren zorgvuldigheidsnorm.488
Hij komt tot deze conclusie omdat overtreding van
480
Cass. (1e k.) AR C.01.0536.F, 23 januari 2003. 481
Art. 562 W. Venn en art. 554, tweede lid W. Venn, over een geldige kwijting. Bijvoorbeeld een onjuiste jaarrekening of breder, een onjuiste weergave van de financiële toestand, zowel door bedrog als door gewone nalatigheden. 482
Brussel (9e k.) nr. 2000/AR/1227, 11 december 2003 DAOR 2004, afl. 70, 65. Een schuldeiser kan slechts individueel optreden indien hij een eigen schade aantoont, die niet afhangt van het verlies van zijn schuldvordering op de vennootschap. Enkel de curatoren kunnen de rechten uitoefenen die gemeenschappelijk zijn aan het geheel der schuldeisers en de wet kent hen het monopolie toe van de vordering tot herstel van de schade veroorzaakt door een fout van gelijk welke persoon en die als gevolg heeft gehad het verzwaren van het passief van het faillissement. 483
Brussel (9e k.) nr. 2000/AR/1227, 11 december 2003 DAOR 2004, afl. 70, 65. 484
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 249, nr. 284 en p 251, nr 285. 485
Art 524bis eerste lid, laatste zin W. Venn luidt: Wanneer een directiecomité wordt ingesteld is de raad van bestuur belast met het toezicht op dat comité. 486
COSO raamwerk, p 32-33 en Organisatieaansprakelijkheid van bestuurders, p 183, nr 217 en p 255, nr 285. 487
Cass. 11 januari 1965, Pas. 1965, I, (438) 439. Zie ook de voorbeelden aangehaald op p 250-251 in S. DE
GEYTER, Organisatieaansprakelijkheid van bestuurders, waarbij vooral opvalt dat boekhoudkundige taken opgedragen aan gespecialiseerde boekhouders bestuurders vrijstellen van hun aansprakelijkheid.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
83
die normen sowieso een wettelijke overtreding inhouden. Hij had het wel over de Code van 2004, die
nog een comply or explain methode bevatte en nog geen wettelijke referentie was. De huidige code
van 2009 is wel een wettelijk referentiekader, ingevolge de wet deugdelijk bestuur. Een overtreding
van een bepaling van de Corporate Governance Code, in ons geval met betrekking tot risicobeheer,
houdt dus automatisch een schending in van de wet. Wel zal er rekening moeten worden gehouden
met enige vorm van marginale toetsing, omdat sommige bepalingen bepaalde beleidsruimte laten voor
bestuurders.489
Er dient nog te worden opgemerkt dat de meeste bepalingen, zoals het opstellen van
een juist systeem van risicobeheer, reeds een wettelijke basis hadden. De beoordeling door de rechter
van beleidsbeslissingen kan strenger worden, doordat de corporate governance vereisten mee in de
algemene zorgvuldigheidsnorm kunnen worden opgenomen.490
Vergelijk dit ook met de Nederlandse
rechtspraak over ABN Amro en ASMI (supra).
i. Toezicht op interne controle systemen
Het is de taak van het auditcomité om toezicht te houden op de interne controle.491
Zoals reeds gezien,
moet het auditcomité minstens één keer per jaar zijn bevindingen bekend maken.492
Het is de taak van
het auditcomité om te zien of het management rekening houdt met de aanbevelingen van het
auditcomité.493
De taak van de raad van bestuur om te zien of het gekozen raamwerk en interne
controle systeem het juiste is, is een voordurende.494
Het is echter het topmanagement dat binnen dat
raamwerk het systeem van interne controle en risicobeheer moet opbouwen.495
Het is de raad van
bestuur zelf die de verantwoordelijkheid heeft een deugdelijk informatie – en verslaggevingssysteem
op te bouwen.496
Hierdoor moet zij in de mogelijkheid zijn het topmanagement en de rest van de
onderneming te monitoren. Het hof van beroep te Bergen verklaarde dat drie bestuurders een kennelijk
grove fout hadden begaan door een niet-toereikend systeem van risicobeheer op te zetten dat in
verhouding was met de grootte en complexiteit van hun vennootschap.497
488
P. BEVERNAGE, Tendensen, p 152. 489
Ibid., p 154. 490
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 247, nr 280. 491
Ibid., p 236. De wettelijke grondslag is te vinden in: Art. 96. § 1. 8° en art 96 § 2, eerste lid, 3° W. Venn, de principes 1.3 en 6.5 van de Belgische Corporate Governance Code en Richtlijn 2.3.2 uit de richtlijnen van de Corporate Governance Commissie. 492
Appendix C, 5.2/14-16 Belgische Corporate Governance Code. 493
Appendix C, 5.2/19 Belgische Corporate Governance Code en Organisatieaansprakelijkheid van bestuurders, p 237. 494
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 219, nr. 254 en p 220, nr. 255. 495
Principe 6.5 Belgische Corporate Governance Code. 496
Principe 2.8 Belgische Corporate Governance Code. Dit is ook zo in het Nederlandse, Amerikaanse, Duitse en Engelse recht. Zie ook het eerder vermelde arrest over Van der Moolen. 497
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 221, nr. 255.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
84
ii. Toezicht op de wettelijke controle van de jaarrekening en continuïteit
Het is de taak van het auditcomité om toezicht te houden op de commissaris die de jaarrekening
controleert.498
De commissaris moet bij ontdekking van belangrijke risico’s die kunnen leiden tot het
faillissement het bestuursorgaan op de hoogte stellen. Dit kunnen zowel interne (financiële toestand,
fiscaal, milieu, …) als externe zijn (bijvoorbeeld de algehele economische situatie499
).500
Ondanks deze
“alarmfunctie” blijft het steeds de verantwoordelijkheid van de raad van bestuur om een behoorlijk
systeem van interne controle en risicobeheer op te stellen, ze mag de verantwoordelijkheid niet
afschuiven op de commissaris die de mededelingen deed. Zelfs een goedgekeurde jaarrekening neemt
de verantwoordelijkheid van de raad van bestuur om zelf de jaarrekening te onderzoeken niet weg.501
iii. Tussenconclusie.
Corporate Governance verplichtingen worden in België voornamelijk opgelegd door de algemene
zorgvuldigheidsplicht van de raad van bestuur.502
Dit wordt ook bevestigd door het supra aangehaalde
principe dat bepaalde onderdelen van de Corporate Governance Code zeker een door bestuurders te
respecteren zorgvuldigheidsnorm vormen.503
Men kan dit nog versterken door het feit dat sinds de wet
deugdelijk ondernemingsbestuur, er geen comply or explain principe meer is, maar een wettelijke
plicht om aan de Corporate Governance Code te voldoen. Als men er niet aan voldoet als bestuur is
men aansprakelijk op grond van art. 528 W. Venn.
2. Verenigde Staten
De belangrijkste principes die hier van toepassing zijn, zijn die van de fiduciary duties, die hieronder
verder uitgelegd worden. De belangrijkste wetgeving die ik in deze thesis hiervoor gebruik is de
Delaware Code, titel 8, het wetboek van vennootschappen van Delaware. Tevens wordt er melding
gemaakt van het wetsontwerp Model Business Corporation Act504
Section 8.01, dat vooral in de
rechtspraak belangrijk is.
De Delaware Code, title 8, hoofdstuk 1, § 141 (a)505
bepaalt dat: “The business and affairs of every
corporation organized under this chapter shall be managed by or under the direction of a board of
498
Art. 142 W. Venn. volgens art 526bis W. Venn § 5, dat de commissaris verplicht het auditcomité belangrijke zaken die aan het licht zijn gekomen mede te delen. Bijvoorbeeld een interne controle regel die absoluut niet opgezet is om doeltreffend te zijn (Organisatieaansprakelijkheid van bestuurders, p 238, voetnoot 817). 499
De vraag die hier dan rijst is of de bestuurders dit dan echt niet konden zien aankomen. Vergelijk dit met Bekaert. 500
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 240. 501
Ibid., p 241 en Brussel 21 november 2002, JLMB 2003, 1279. 502
H. DE WULF, Taak en loyaliteitsplicht van het bestuur in de naamloze vennootschap onuitg. doctoraatsthesis Rechten U Gent, 2001, nrs. 454-455. 503
P. BEVERNAGE, Tendensen, p 152. 504
American Bar Association, Model Business Corporation Act, 3e editie, http://law.jnu.edu.cn/blaw/kyyd/UploadFiles_3666/200705/20070518014549792.pdf. 505
Delaware General Corporation Law, http://delcode.delaware.gov/title8/c001/sc04/ (3 april 2012) en Who’s the Boss?, DJCL, p 202, voetnoot 4.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
85
directors…”. Het is duidelijk dat de Raad van bestuur verantwoordelijk is voor het algemeen beleid
van de onderneming en dat er speciale aandacht moet worden gevestigd op het risicobeleid.506
Het
Delaware Court of Chancery heeft in 1995 al benadrukt dat “It is a fundamental precept of Delaware
corporation law (…) that it [is] the board of directors…that has ultimate responsibility for the
management of the enterprise”.507
Model Business Corporation Act Section 8.01(c)(2) 508
stipuleert dat “In the case of a public
corporation, the board’s oversight responsibilities include attention to … major risks to which the
corporation is or may be exposed.” Dit is een ontwerp van vennootschapswet ontwikkeld door de
American bar Association, vol met aanbevelingen. In Delaware is hij niet aangenomen, maar de
rechtspraak verwijst er wel vaak naar.509
Paragrafen 8.30 (c) t.e.m. (e) regelen de delegatie van
bevoegdheden510
en § 8.30 (a) en (b) herhalen de good faith en de duty of care (infra) nog eens.
§ 8.31 regelt de aansprakelijkheidsgronden van een bestuurder ten opzichte van aandeelhouders of de
vennootschap. Dit gaat om zowel het niet met goede trouw jegens de vennootschap handelen,
delegatie aan een niet competente persoon, een belangenconflict of onrechtmatig financieel voordeel
hebben, of met betrekking tot toezicht in gebreke gebleven te zijn. Verder is er nog de algemene
tekortkoming van te weinig aandachtsbesteding aan vennootschapsaangelegenheden.
506
Restoring the Balance in Corporate Management. Zie ook: http://www.usa-recht.de/wp-content/uploads/2011/02/TBL-Corporate-Management.pdf (3 april 2012). 507
Restoring the Balance in Corporate Management, p 26 en Del. Ch 11 januari 1995, Grimes v. Donald, Nr. 13358, 1995 WL 54441, *8. Zie verder: In Zirn v. VLI Corp., the chancery court stated, “Delaware law is clear that a fiduciary duty is owed to the shareholders of a corporation by the officers and directors of the corporation.” 1989 WL 79963, at *4, in the Balance in Corporate Management, p 32. 508
Model Business Corporation Act Subchapter A. Board of Directors § 8.01. Requirement for and Duties of Board of Directors in Who’s the Boss?, DJCL, p 202, voetnoot 4 en http://michie.lexisnexis.com/wyoming/lpext.dll/wycode/b46c/bceb/bfb2/bfbc/bfca?f=templates&fn=document-frame.htm&2.0#JD_17-16-801 (3 april 2012). 509
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 265, nr. 302. 510
§ 8.30. General Standards For Directors: (a) A director shall discharge his duties as a director, including his duties as a member of a committee: (1) in good faith; (2) with the care an ordinarily prudent person in a like position would exercise under similar circumstances; and (Goede huisvader vereiste). (3) in a manner he reasonably believes to be in the best interests of the corporation. (b) In discharging his duties a director is entitled to rely on information, opinions, reports, or statements, including financial statements and other financial data, if prepared or presented by: (1) one or more officers or employees of the corporation whom the director reasonably believes to be reliable and competent in the matters presented; (2) legal counsel, public accountants, or other persons as to matters the director reasonably believes are within the person’s professional or expert competence; or (3) a committee of the board of directors of which he is not a member if the director reasonably believes the committee merits confidence. (c) A director is not acting in good faith if he has knowledge concerning the matter in question that makes reliance otherwise permitted by subsection (b) unwarranted. (d) A director is not liable for any action taken as a director, or any failure to take any action, if he performed the duties of his office in compliance with this section.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
86
a. Fiduciary duties.
Deze verplichtingen zijn voortgekomen als idee van Corporate Governance om de aansprakelijkheid
van Bestuurders te vergroten. Bestuurders zijn onderworpen aan de autoriteit van de raad van
bestuur.511
De raad is dan ook verantwoordelijk voor de daden van zijn leden. De idee hierachter is dat
de raad van bestuur voorzichtiger zal zijn met delegatie van bevoegdheden en dus pas beslissingen
maakt na goed geïnformeerd te zijn (zie hier het belang van rapportage). In de VS woedt een discussie
of de aansprakelijkheden van bestuurders en managers nu dezelfde zijn, of niet.512
Hier is dat slechts
gedeeltelijk van belang, want deze thesis gaat enkel over de aansprakelijkheid van de raad van bestuur
inzake risicobeheer.
Verder volgt er uit de “fiduciary duties” van de bestuurders nog de verplichting van loyaliteitsplicht
(jegens de onderneming) (duty of loyalty) en zorgvuldigheid (duty of care).513
De fiduciary duties zijn
voortgekomen uit de nieuwe golf van Corporate Governance regels die ontstonden na de schandalen
van 2001-2002 (supra).514
Het Delaware Supreme Court verklaarde in 1981 in Lynch v. Vickers dat er
een vertrouwensrelatie bestaat (niet alleen in Delaware, maar in de hele VS) tussen de bestuurders en
managers aan de ene kant en de aandeelhouders aan de andere kant.515
Deze opmerking raakt de kern
van het Corporate Governance debat (principal agent problematiek) en dus ook van wie er
verantwoordelijkheid moet nemen voor risicobeheerprocessen. Het probleem was toen, en is nu nog,
dat het niet precies duidelijk is wat die relatie en de verantwoordelijkheden (de fiduciary duties) die
daar uit volgen nu juist inhouden. Dit is lichtelijk verbazingwekkend gezien de leidende rol van het
Hooggerechtshof Delaware in het internationale vennootschapsrecht.516
In 2004 werd de rechtsmacht
hiervan uitgebreid tot niet-residentiële, niet-bestuurders van ondernemingen die geregistreerd zijn in
Delaware.517
Pas in 2009 werd een deel van de twijfel weggenomen in Gantler v. Stephens.518
In het
kort kwam het erop neer dat de verweerders (de raad van bestuur van First Niles Financial Inc.) tekort
had geschoten bij het voorzien van de nodige informatie om een due diligence van verschillende
overnamepartijen te helpen. Hierdoor liepen de eisers (aandeelhouders) een overnamepremie mis. Dit
is na de andere mogelijkheid die het Hof al had gehad, namelijk de geruchtmakende Disney-case
(infra). Maar toen was het niet nodig de verantwoordelijkheden verder te specificeren, want de
511
W.M. SHANER, Restoring the Balance in Corporate Management. 512
W.M. SHANER, Restoring the Balance in Corporate Management, p 27 – 59 en Organisatieaansprakelijkheid van bestuurders, p 263, voetnoot 932. 513
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 264, nr. 299. 514
Restoring the Balance in Corporate Management, p 28. 515
Ibid., p 31, II, A, The History of Fiduciary Duties in Delaware. 516
Ibid., p 33 en p 34 (“The uncertainty surrounding open issues such as the exact scope of an officer’s fiduciary duties and, perhaps more important, whether the protections of the business judgement rule apply to officers, has led to much debate among scholars and practitioners alike”, Restoring the Balance in Corporate Management, p 34). 517
In 2004 werd 10 Del. C . § 3114 geamendeerd om dit mogelijk te maken. Restoring the Balance in Corporate Management, p 33. 518
965 A.2d 695, 699 (Del. 2009). Voor de feiten zie: Restoring the Balance in Corporate Management, p 35.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
87
verweerders werden aangesproken als bestuurder en manager.519
In Gantler werd er in tweede aanleg
door het Hooggerechtshof geoordeeld dat de bestuurders aansprakelijk waren in hoedanigheid als
bestuurder (officer), en niet als manager (director).520
“Scholars and lawyers vehemently disagree as
to whether officers should be held to duties that are the same as, or stricter than, those of directors,
and as to whether the business judgment rule should apply to officers with the same full force with
which it applies to directors.”521
De vraag is nu welke soort aansprakelijkheden van toepassing zijn op bestuurders: “common law
directorial fiduciary duties” of “agency law fiduciary duties.”522
Er gaan stemmen op om de
“gewone” common law aansprakelijkheden van toepassing te verklaren, omdat het Hof de
verantwoordelijkheden van bestuurders en managers gelijkgesteld heeft, maar hier komt wel veel
kritiek op.523
i. Duty of loyalty en duty of care.
De eerste verplichting wil zeggen dat alles wat een belangenconflict inhoudt strafbaar is (bijvoorbeeld
het privégebruik van eigendommen van de vennootschap).524
Redelijk recentelijk, sinds Stone v. Ritter
in 2007, heeft het Hooggerechtshof van Delaware aangenomen dat, in tegenstelling tot vroeger, de
verplichting om toezicht uit te oefenen een deel van de duty of loyalty uitmaakt.525
ASSINK spreekt van
een negatieve (je mag de vennootschap niet achter je eigen belangen zetten) en een positieve
component (je moet je te goeder trouw gedragen).526
De duty of care houdt in dat een bestuurder zijn beslissingen zorgvuldig moet nemen.527
Deze
beslissingen worden marginaal getoetst door de business judgement rule (infra). De duty of loyalty
wordt enkel aan bovenvermeld art. 144 van de Delaware General Corporation Law getoetst.
519
Restoring the Balance in Corporate Management, p 33 en voetnoot 49 op p 36: “Corporate officers and directors . . . stand in a fiduciary relation to the corporation and its stockholders. The fiduciary duties an officer owes to the corporation have been assumed to be identical to those of directors”. 520
Del. Ch. Sept. 21, 2009 : “As a general matter, our Supreme Court has found that the duties of corporate officers are similar to those of corporate directors.” (Gantler, 965 A.2d at 709)); ZRII, LLC v. Wellness Acquisition Grp., Inc., No. 4374-VCP, 2009 WL 2998169, alinea *11 Del. Ch. Sept. 21, 2009). 521
Restoring the Balance in Corporate Management, p 37. 522
Ibid., p 37. 523
Ibid., p 37 en D. GARVIS, L. JOHNSON, Are Corporate Officers Advised About Fiduciary Duties?, raadpleegbaar op www.ssrn.com, SSRN-id1421410, p 5. Ook raadpleegbaar in The Business Lawyer; Vol. 64, August 2009, p 1108. 524
Dit wordt bestraft door art. § 144 van de Delaware General Corporation Law. In dat artikel staan ook de voorwaarden om aan een uitzondering te voldoen. Ze vertonen enige gelijkenissen met art. 523 W. Venn. 525
Stone v. Ritter, 911 A. 2d (362) 370 (Del. 2006) (The failure to act in good faith may result in liability because the requirement to act in good faith “is a subsidiary element[,]” i.e., a condition, “of the fundamental duty of loyalty). En iets verderop: “It follows that because a showing of bad faith conduct (…)is essential to establish director oversight liability, the fiduciary duty violated by that conduct is the duty of loyalty.” (eigen onderlijning). Zie ook: B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 149. 526
B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 152. 527
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 267, nr. 304.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
88
Handelen met goede trouw wordt geacht op beide verplichtingen te slaan.528
b. Business Judgement Rule
Inbreuken op de duty of care worden pas bestraft na toepassing van de “business judgement rule”.529
De business judgement rule beschermt bestuurders tegen aansprakelijkheid voortvloeiend uit sommige
beleidsbeslissingen die aan bepaalde voorwaarden voldoen.530
In essentie regelt de business judgement
rule de bewijslast, omdat een bestuurder geacht wordt te goeder trouw (dit is de link met de duty of
loyalty), geïnformeerd en in het belang van de vennootschap te hebben gehandeld (cfr. Duty of care).
Zij die eisen dat dat niet zo is moeten zulks bewijzen. En pas als blijkt dat de bestuurder niet zo heeft
gehandeld, moet de rechter de aansprakelijkheid onderzoeken. 531
Zie terzake ook het arrest Aronson v.
Lewis van het Delaware Supreme Court:532
“It is a presumption that in making a business decision the
directors of a corporation acted on an informed basis, in good faith and in the honest belief that the
action taken was in the best interests of the company. Absent an abuse of discretion, that judgment will
be respected by the courts. The burden is on the party challenging the decision to establish facts
rebutting the presumption.”(eigen onderlijning).
Dit wordt beschouwd als de standaardformulering van de business judgement rule.533
Het betekent ook
dat het niet goed geïnformeerd zijn een inbreuk is op de duty of care.
Indien er geen beslissing was, en er dus sprake is van een passieve bestuurder, is er geen sprake van
dat de business judgement rule kan worden toegepast.534
In dit geval gaat men uit van een overtreding
van de duty of loyalty en van good faith. Maar ook in dit geval wordt er slechts in uitzonderlijke
gevallen gestraft, namelijk als blijkt dat bestuurders opzettelijk geen interne controle systemen hebben
ontwikkeld of er opzettelijk geen rekening mee hebben gehouden.535
( "A director's obligation includes
a duty to attempt in good faith to assure that a corporate information and reporting system, which the
528
Good faith, S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 264, nr. 299. Zie ook Brehm v. Eisner, 906 A.2d, (27) 65 (Del. 2006): "issues of good faith are (to a certain degree) inseparably and necessarily intertwined with the duties of care and loyalty." (http://ustlawreview.com/pdf/vol.LII/The_Business_Judgment_Rule.pdf, p 32)( 6 april 2012). 529
Who’s the Boss?, DJCL, p 202. 530
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 264, nr. 299. 531
Ibid., p 268, nr. 304 en de daar aangehaalde rechtsleer. 532
Aronson v. Lewis, 473 A.2d (805) 812 (Del 1984). Zie ook Smith v. Van Gorkom, 488 A.2d (858) 872 (Del. 1985) en Who’s the Boss?, p 229. 533
B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 246. 534
Aronson v. Lewis, 473 A.2d (805) 813(Del 1984): “However, it should be noted that the business judgment rule operates only in the context of director action. Technically speaking, it has no role whether directors have either abdicated their functions or, absent a conscious decision, failed to act. But it also follows that under applicable principles, a conscious decision to refrain from acting may nonetheless be a valid exercise of business judgement and enjoy the protections of the rule“ (eigen onderlijning) en B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 178. 535
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 272, nr 307.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
89
board concludes is adequate, exists, and that failure to do so under some circumstances may, in theory
at least, render a director liable for losses.")536
(eigen onderlijning).
Er moet goed voor ogen worden gehouden dat het gaat om een toetsing van de besluitvorming vooraf
(process due care) en dat de rechter zich niet mag uitspreken over de inhoud van een beslissing
(substantive due care).537
Zie voor een illustratie zaak Caremark: Een ondernemingsbeslissing valt
onder de bescherming van de business judgement rule als die beslissing en het beslissingsproces op
dat moment rationeel, overtuigend en te goeder trouw was. Het doet er dan later niet toe dat bleek dat
de beslissing inhoudelijk (flagrant) verkeerd was.538
Dit wordt later nog bevestigd in Brehm v.
Eisner,539
één van de procedures in de Disney-case.
i. Process due care
De rechter moet bij het beslissingsproces nagaan of de besluitvorming juist is geweest, namelijk of de
raad van Bestuur niet zonder nadenken aanbevelingen van het management heeft gevolgd, maar wel
degelijk of er tegenargumenten zijn gegeven door de Raad. Er moet worden nagegaan of de niet-
uitvoerende bestuurders de uitvoerenden (managers of bijvoorbeeld de CEO)540
wel juist hebben
“ondervraagd”. Er moet met andere woorden een debat gevoerd zijn. Het is hier dat het (ERM-) belang
van interne rapportering en communicatie naar voren komt. Er kan slechts een zinnig debat (en dus
juiste beslissingen) ontstaan als iedereen juist en volledig geïnformeerd is.541
ii. Praktijkgevallen.
De toetsing van een ondernemingsbeslissing aan de business judgement rule leidt in de meeste
gevallen542
dus minder snel tot een overtreding, aangezien de algemeen verplichtende
zorgvuldigheidsnorm wel elke fout strafbaar stelt. Enkel de irrationele,543
de slecht geïnformeerde of
gevallen van grove nalatigheid of kwade trouw worden gesanctioneerd.544
536
Caremark International Inc. Derivative Litigation, 698 A.2d (959) 970 (Del. Ch. 1996). 537
Dus ook geen ex post beslissingen. S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 269, nr 305. 538
Caremark International Inc. Derivative Litigation, 698 A.2d (959) 967-968 (Del. Ch. 1996). 539
Courts do not measure, weigh or quantify directors’ judgments. We Courts do not measure, weigh or quantify directors’ judgments. We do not even decide if they are reasonable in this context.64 Due care in the decisionmaking context is process due care only. Irrationality is the outer limit of the business judgment rule. Irrationality may be the functional equivalent of the waste test or it may tend to show that the decision is not made in good faith, which is a key ingredient of the business judgment rule. (eigen onderlijning). Brehm v. Eisner, 746 A.2d 244 (Del. Ch. 2000). 540
Dit onderscheid is in de VS duidelijker wegens het aanwezig zijn van een dualistisch systeem. 541
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 270, nr. 305. 542
Uitzonderingen zijn maatregelen tegen overnames/fusies en beslissingen over het verkopen van de vennootschap. 543
Bijvoorbeeld corporate waste, verkwisting van het vennootschapsvermogen. S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 271, nr 306. 544
Gewone nalatigheid is onder de business judgement rule niet strafbaar. Infra Walt Disney Case, en S. DE
GEYTER, Organisatieaansprakelijkheid van bestuurders, p 277, nr 310.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
90
a. Smith v. Van Gorkom (1985)545
Dit betrof een aansprakelijkheidsvordering van aandeelhouder Smith tegen Van Gorkom, bestuurder
van Trans Union Corporation. De bestuurders hadden een fusie beslissing goedgekeurd zonder
voldoende geïnformeerd te zijn. Om twee redenen geldt dan de business judgement rule niet.
1. Er is de verplichting om voldoende geïnformeerd te zijn, zodat het beslissingsproces rationeel
kan verlopen (“Under the business judgment rule there is no protection for directors who
have made an unintelligent or unadvised judgment.”);546
2. In het geval van fusies is er een specifieke wettelijke plicht tot het inwinnen van informatie,
namelijk § 251 (b) Deleware General Corporation Law.
Als bijkomendheid bleek dat Van Gorkom een dominant figuur was die geen tegenspraak of overleg
duldde, niet in de vennootschap geïnteresseerd was, en dat de raad van bestuur zonder de informatie te
lezen alles goedkeurde. 547
Het Hof verklaarde de bestuurders schuldig aan grove nalatigheid.548
Het
belangrijkste gevolg van deze uitspraak was het wetgevende initiatief art. 102 (b) 7 van de Delaware
General Corporation Act, met betrekking tot een exoneratiebeding voor bestuurders en uitzonderingen
op het vlak van inbreuken op goede trouw, dut of loyalty, fraude en belangenconflicten. Nu is zulke
wetgeving gemeengoed in de meeste staten van de VS.549,550
b. The Walt Disney Corporation derivative litigation (2005).
De Walt Disney case is een langlopende zaak geweest.551
De eisers konden niet bewijzen dat de
voorwaarden van de business judgement rule geschonden waren. Dit omdat er geen irrationele, kwade
trouw of slecht geïnformeerde beslissingen waren genomen, ondanks het feit dat de beslissingen
inzake niet geheel volgens aanbevolen Corporate Governance bepalingen waren genomen. De
bestuurders waren op tijd geïnformeerd, en de ontslagvergoeding van $38 miljoen plus drie miljoen
545
Smith v. Van Gorkom 488 A.2d 858 (Del. 1985) of Trans Union Case. 546
B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 188 en Smith v. Van Gorkom 488 A.2d (858) 872 (Del. 1985), 547
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 273-274, nr 308. 548
Smith v. Van Gorkom 488 A.2d (858) 874 (Del. 1985).(“the directors did not adequately inform themselves as to Van Gorkom’s role in forcing the “sale” of the Company and in establishing the per share purchase price, were uninformed as to the intrinsic value of the Company, and were grossly negligent in approving the “sale” upon two hours’ consideration, without prior notice, and in the absence of a crisis or emergency”). 549
Dit artikel luidt: A provision eliminating or limiting the personal liability of a director to the corporation or its stockholders for monetary damages for breach of fiduciary duty as a director, provided that such provision shall not eliminate or limit the liability of a director: (i) For any breach of the director's duty of loyalty to the corporation or its stockholders; (ii) for acts or omissions not in good faith or which involve intentional misconduct or a knowing violation of law; (iii) under § 174 of this title; or (iv) for any transaction from which the director derived an improper personal benefit. No such provision shall eliminate or limit the liability of a director for any act or omission occurring prior to the date when such provision becomes effective. All references in this paragraph to a director shall also be deemed to refer to such other person or persons, if any, who, pursuant to a provision of the certificate of incorporation in accordance with § 141(a) of this title, exercise or perform any of the powers or duties otherwise conferred or imposed upon the board of directors by this title. 550
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 275, nr 309. 551
Voor een compleet overzicht zie: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 275, nr 310
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
91
dollar in stock opties waren het beste voor het vennootschapsbelang.552
Een verschil met Van Gorkom
is dat in de Walt Disney Case elke bestuurder afzonderlijk werd beoordeeld.553
Een belangrijke vaststelling is dat de business judgement rule niet dezelfde hoge standaard heeft als
Corporate Governance bepalingen. De rechter verwoordt het zo: Again, plaintiffs have failed to meet
their burden to demonstrate that the directors acted in a grossly negligent manner or that they failed
to inform themselves of all material information reasonably available when making a decision. (…)
As I stated earlier, however, the standards used to measure the conduct of fiduciaries under Delaware
law are not the same standards used in determining good corporate governance. For all the foregoing
reasons, I conclude that none of the defendants breached their fiduciary duties or acted in anything
other than good faith (…). (eigen onderlijning).554
c. Graham v. Allis-Chambers (1963,) Caremark (1996) & Stone v. Ritter (2006).
Deze zaak is slechts van belang in zoverre dat de raad van bestuur een controlesysteem had opgezet
dat volgens de rechter voldoende was.555
Een onderneming moet kunnen vertrouwen op de integriteit
van het personeel. Ze moet geen “spionagesysteem” inbouwen. De raad van bestuur kwam één keer
per maand samen om de resultaten en het algemeen beleid te bespreken. De specifieke eigenschappen
van specifieke producten bijvoorbeeld liet ze over aan een deskundig geachte productmanager, die hen
de nodige gegevens achteraf bezorgde.556
De rechter verwoordde dit zo: “Directors are entitled to rely
on the honesty and integrity of their subordinates until something occurs to put them on suspicion that
something is wrong. If such occurs and goes unheeded, then liability of the directors might well
follow, but absent cause for suspicion there is no duty upon the directors to install and operate a
corporate system of espionage to ferret out wrongdoing which they have no reason to suspect
exists..”557
Deze uitspraak, waaruit blijkt dat de plicht van de raad van bestuur slechts een passieve is,
is niet zonder kritiek gebleven, en is gedeeltelijk onderuit gehaald in de Caremark-case.558
Deze zaak is al gedeeltelijk besproken bij de begrippen duty of loyalty en duty of care. De concrete
vraag in deze zaak was in hoeverre bestuurders verplicht zijn een intern informatie – en
rapporteringsysteem op te zetten. Er waren fouten gemaakt die burgerrechtelijk en strafrechtelijk tot
boetes hadden geleid van bijna $ 250 miljoen.559
Het Hof gaf aan dat de soepele regels van Graham v.
Allis-Chambers niet meer toepasselijk waren in deze tijden en dat de Raad verantwoordelijk is voor
een adequaat informatie – en rapporteringsysteem. Dat systeem moet zeker ook compliance van
552
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 276 en 277, nr 310. Walt Disney Co. Derivative Litigation 825 A.2d (275) 289 (Del. Ch. 2005). 553
Walt Disney Co. Derivative Litigation 907 A.2d (693) 748 (Del. Ch. 2005) 554
Walt Disney Co. Derivative Litigation 907 A.2d (693) 772 (Del. Ch. 2005) 555
Allis-Chalmers Mfg. Co. 188 A.2d 125 (Del. 1963). Zie voor een samenvatting van alle feitelijkheden: S. DE
GEYTER, Organisatieaansprakelijkheid van bestuurders, p 278, nr 311. 556
Allis-Chalmers Mfg. Co. 188 A.2d (125) 128 (Del. 1963). 557
Allis-Chalmers Mfg. Co. 188 A.2d (125) 130 (Del. 1963). 558
Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996). 559
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 280, nr 313.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
92
medewerkers mogelijk maken. Als dit systeem in een onderneming bestaat, dan is het zeer moeilijk
om aansprakelijkheid te bewijzen. Er moet aan vier voorwaarden voldaan worden: 560
- Kwade trouw vanwege de de bestuurders, als zij op de hoogte waren van de wetschending;
- Of ze moesten dit zijn;
- Zij geen stappen ondernomen hebben om deze situatie te voorkomen of recht te zetten;
- Deze nalatigheid heeft tot verliezen geleden.561
In casu was er geen sprake van reden tot aansprakelijkheid, want er was geen bewijs tot volgehouden
ononderbroken gebrekkig toezicht.
In Stone v. Ritter562
werd nog eens scherp gesteld dat wie bestuurders aansprakelijk wil stellen moet
bewijzen dat zij te kwader trouw waren doordat een intern informatie – en rapporteringsysteem er niet
was, of moedwillig werd genegeerd. Door nalatig te blijven zijn zij te kwader trouw en schenden zij de
duty of loyalty. Deze nalatigheid moet wel bewezen worden (zie de voorwaarden van Allis-
Chambers).563
Door niet enkel hun eigen belangen na te streven boven die van de vennootschap, maar
die van de vennootschap gewoon te negeren, zijn de bestuurders te kwader trouw.564
Kritiek hierop blijft dat de bewijslast vrij streng is voor de eisers, behalve ingeval van manifeste
overtreding van de wet.565
d. Citigroup Inc. Shareholder Derivative Litigation (2009) & Dow Chemical Company
Derivative Litigation (2010).
De Citigroup566
zaak draaide om de vraag of ondernemingsbeslissingen die belangrijke risico’s met
zich meedragen ook beschermd worden door de business judgement rule567
als er daaruit zware
verliezen voortkomen. In casu ging het om de befaamde subprime hypotheekleningen aan minder
gegoede mensen waarvan de terugbetaling niet zo zeker was als bij “gewone” hypotheken. Citigroup
had $ 2,7 miljard in zulke leningen geïnvesteerd, door deze over te nemen van andere partijen (door
toepassing van een zg. cessie van schuldvordering). Maar hiernaast had de vennootschap geen plannen
bestaande schulden af te betalen, en wel plannen om nog meer te investeren en was er een royale
vergoeding voorzien voor de CEO, die grotendeels verantwoordelijk was voor de problemen van de
560
Caremark International Inc. Derivative Litigation, 698 A.2d (959) 971 (Del. Ch. 1996). 561
Dus dan geldt de business judgement rule-bescherming niet. Dit maakt in de praktijk weinig uit, want de bewijsvoorwaarden zijn alsnog streng. Zie ook Stone v. Ritter, 911 A. 2d 362 (Del. 2006). 562
Stone v. Ritter, 911 A. 2d 362 (Del. 2006). 563
Stone v. Ritter, 911 A. 2d (362) 372-373 (Del. 2006). 564
Stone v. Ritter, 911 A. 2d (362) 370 (Del. 2006) en D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 269. Zie ook het Enron schandaal van 2003: “het subcomité dat het onderzoek naar het Enron-schandaal leidde, stelde vast dat de raad van bestuur van die onderneming “er niet in slaagde om misbruik na te gaan, te verzekeren van een goede afloop of te stoppen. Soms werd er voor gekozen om ‘de problemen te negeren’, soms werden er bewust activiteiten gestart en verbintenissen aangaan met een hoog risicogehalte.”( ROSEN, R.E., Risk Management and Corporate Governance: The Case of Enron, 2003, raadpleegbaar op www.ssrn.com, SSRN-id468168. 565
A.M. TUCKER, Who’s the Boss?, P 226-228. 566
Citigroup Inc. Shareholder Derivative Litigation, 964 A.2d 106 (Del. Ch. 2009). 567
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 287, nr. 318.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
93
bank.568
Zoals altijd moest de rechter zich hoeden voor een ex post-beoordeling (cfr. P … bij de 1382-
83 BW in België).569
De eisers kregen niet bewezen dat de Bestuurders volgens de voorwaarden van
Allis-Chambers te kwader trouw waren; er waren procedures voorzien, er was een Audit en Risk
Management Comité en een verlies op zich is geen bewijs van kwade trouw, risico’s kunnen nu
eenmaal kosten met zich meebrengen.570
In de Dow Chemical zaak571
herhaalde de rechter nog eens dat de kwade trouw uitdrukkelijk moet
worden bewezen, en dat een enkele fout geen flagrant gebrek aan toezicht is en al zeker geen kwade
trouw. Ook is er voor een foute beslissing in een groter geheel geen andere maatstaf, want dan zou de
rechter weer op basis van ex ante feiten oordelen, wat hij niet mag.572
e. Duidelijke overtredingen: De zaken Enron (2003) en Worldcom (2003).
Twee rechtszaken die duidelijk de test van de goede trouw niet doorstonden waren die van Enron573
en
Worldcom.574
Op papier voldeden beide ondernemingen aan de voorwaarde van het organiseren van
een degelijke interne controle.575
Maar het bestuur en toezicht faalde volkomen. Bij Enron werden
signalen genegeerd (red flags)576
en bij Worldcom was de raad van bestuur te passief bij een
dominante CEO.577
Zij voldeden dus aan de voorwaarde van bad faith. Zij hebben bewust nagelaten
controle of toezicht uit te oefenen.578
568
Ibid., p 287, nr. 318. 569
To impose oversight liability on directors for failure to monitor “excessive” risk would involve courts in conducting hindsight evaluations of decisions at the heart of the business judgment of directors. Oversight duties under Delaware law are not designed to subject directors, even expert directors, to personal liability for failure to predict the future and to properly evaluate business risk (Citigroup Inc. Shareholder Derivative Litigation, 964 A.2d (106) 130 (Del. Ch. 2009). 570
It is well established that the mere fact that a company takes on business risk and suffers losses—even catastrophic losses—does not evidence misconduct, and without more, is not a basis for personal director liability. That there were signs in the market that reflected worsening conditions and suggested that conditions may deteriorate even further is not an invitation for this Court to disregard the presumptions of the business judgment rule and conclude that the directors are liable because they did not properly evaluate business risk. What plaintiffs are asking the Court to conclude from the presence of these “red flags” is that the directors failed to see the extent of Citigroup’s business risk and therefore made a “wrong” business decision by allowing Citigroup to be exposed to the subprime mortgage market. Citigroup Inc. Shareholder Derivative Litigation, 964 A.2d (106) 131 (Del. Ch. 2009). Ook de rechtbank van het District Court van New York kwam tot die conclusie (Citigroup Inc. Shareholder Derivative Litigation WL 2610746, 6, (S.D.N.Y. 2009)). 571
Dow Chemical Company Derivative Litigation, C.A. No. 4349-CC (Del. Ch. Jan. 11, 2010). 572
Voor een compleet feitenrelaas, zie: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 290-293, nrs. 322-324. 573
Enron Corporation Securities, Derivative & ERISA Litigation, 235 F. Supp. 2d 511 (S.D. Tex. 2003). 574
WorldCom Inc. ERISA Litig., 263. F. Supp. 2d 745, 765 (S.D.N.Y. 2003). 575
De bestuurders bij Enron hadden allen meer dan twintig jaar ervaring. 576
De bestuurders werden in 1999, 2000 en 2001 op de hoogte gebracht van risicovolle transacties en gebeurtenissen, maar deden er niks aan. Tevens was er sprake van belangenconflicten. De fiduciary duties werden m.a.w. duidelijk miskend. 577
Het auditcomité en de bestuurders waren niet betrokken genoeg bij de onderneming. Dit lag deels aan de niet door hen geschapen bedrijfscultuur. 578
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 294-295, nr. 326.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
94
c. Conclusie.
Bestuurders van Amerikaanse ondernemingen moeten ingevolge de business judgement rule aan twee
testen voldoen: is er een degelijk controle systeem? En is dat niet bewust genegeerd?579
In beide
gevallen moet de duty of loyalty worden nagegaan. Als die niet geschonden is dan vallen de
beslissingen in een “aansprakelijkheidsvrije ruimte”.
Tegenwoordig zijn er veel strengere wettelijke vereisten aan een intern controle systeem dan door de
rechtspraak was uitgewerkt voor de Enron en Worldcom zaken. De SOX wetgeving bevat strenge
vereisten.580
3. Verenigd Koninkrijk.
Een belangrijk Corporate Governance principe dat van toepassing is op alle vennootschappen in het
VK is principe 1 van de UK Corporate Governance Code: “Every company should be headed by an
effective board which is collectively responsible for the long-term success of the company.” (eigen
onderlijning). Wettelijk gezien wordt dit principe vertaald in hoofdstuk 2 van 2006 Companies Act581
,
art. 170 tot en met 181, en dan vooral art. 171-177. Ze moeten handelen binnen de perken van hun
bevoegdheden, het succes van de vennootschap nastreven (art. 172 (1): A director of a company must
act (…) in good faith, vergelijk dit met de Amerikaanse duty of loyalty), een onafhankelijk oordeel
uitoefenen, redelijke zorg en deskundigheid aan de dag leggen (art 174 (1): A director of a company
must exercise reasonable care, skill and diligence, vergelijk dit met de Amerikaanse duty of care) en
belangenconflicten vermijden (eigen onderlijning).
a. Art. 172 en 174 2006 Companies Act.
Zoals hierboven vermeld vertonen deze artikels enige gelijkenis met de Amerikaanse fiduciary
duties.582
Dit wordt in de Corporate Governance Code, in sectie B verder toegelicht. Er moet een
balans worden gevonden tussen vaardigheden, ervaring, onafhankelijkheid en kennis van de
onderneming om de taken effectief uit te kunnen voeren.583
Dit houdt onder andere in dat de Raad
voldoende groot moet zijn, maar niet te groot, en dat er een goede balans moet zijn tussen uitvoerende
en niet-uitvoerende (onafhankelijke) bestuurders.584
De duties impliceren dat de bestuurders voldoende
tijd steken in de onderneming en van tijd tot tijd hun kennis bijspijkeren.585
579
M.a.w., de red flags zijn niet genegeerd. A.M. TUCKER, Who’s the Boss?, P 258. 580
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 304, nr. 336. 581
UK Company Act 2006, Royal Assent 8 November 2006, http://www.legislation.gov.uk/ukpga/2006/46/pdfs/ukpga_20060046_en.pdf. 582
Zie in die zin ook: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 337, nr. 373. 583
B.1 The Composition of the Board, UK Corporate Governance Code 2010, p 12. 584
Zie voor een discussie over de vraag hoe groot groot genoeg is en wanneer een Raad te groot is: K. J. HOPT, Comparative Corporate Governance: The State of the Art and International Regulation, p 25, raadpleegbaar op www.ssrn.com, SSRN-id: 1713750. Zie voor een discussie over het nut van onafhankelijke bestuurders: K. J. HOPT, Comparative Corporate Governance: The State of the Art and International Regulation, p 26-29 en S. BHAGAT, en B. BLACK, The Non-Correlation Between Board Independence and Long Term Firm Performance, raadpleegbaar op www.ssrn.com, SSRN-id: 133808. 585
Principles B.3 en B.4 UK Corporate Governance Code, p 14 en 15.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
95
Ondanks een afwezigheid van een business judgement rule in het VK zorgt Art 174 (2) UK
Companies Code dat er wel een “objectief/subjectieve test”586
is van de bestuurder. Dat artikel bepaalt
namelijk dat het gedrag van de bestuurders wordt getoetst aan dat van een redelijk zorgvuldig persoon
met “de algemene kennis, deskundigheid en ervaring die redelijkerwijze mogen verwacht worden van
een gewone bestuurder”587
(dit is de minimumstandaard waaraan het gedrag van een bestuurder moet
worden getoetst).588
Het subjectieve gedeelte van de test houdt rekening met de algemene kennis,
deskundigheid en ervaring van de bestuurder zelf, en verhoogt de minimumstandaard van geval tot
geval. Dit is omdat in de vroegere rechtspraak er vanuit werd gegaan dat het leiden van een kleine
KMO andere beoordelingen vergt dan het leiden van een multinational.589
Latere rechtspraak heeft
deze test wel deels geobjectiveerd tot de redelijk zorgvuldige persoon in een gelijkwaardige situatie.590
(“In my view, the duty of care owed by a director at common law (…) the conduct of: “… a
reasonably diligent person having both:
(a) the general knowledge, skill and experience that may reasonably be expected of a person carrying
out the same functions as are carried out by that director in relation to the company, and
(b) the general knowledge, skill and experience that that director has.”
Both on the objective test and, having seen Mr D'Jan, on the subjective test, I think that he did not
show reasonable diligence when he signed the form. He was therefore in breach of his duty to the
company.”). 591
De duty of care waarvan sprake is in bovenstaande uitspraak is nu ingeschreven in art.
174 van de 2006 Companies Act.
b. Speciale problematiek bij delegatie van bevoegdheden en toezicht daarop.
De zaak City Equitable Fire Insurance co ltd bevatte (net als Graham v. Allis-Chambers in de VS) de
stelling dat in geval van delegatie van bevoegdheden bestuurders niet voortdurend toezicht moeten
uitoefenen op hun ondergeschikten en dat ze mogen uitgaan van hun deskundigheid voor zover er geen
reden tot wantrouwen bestond.592
Latere rechtspraak in het VK heeft wel bijkomende voorwaarden geschept met betrekking tot deze
verantwoordelijkheden. Een belangrijke zaak hiervoor was Westmid Packing Services Ltd.593
Ondanks
het feit dat de raad van bestuur door één CEO wordt gedomineerd en dat bevoegdheden waren
gedelegeerd, zijn de andere bestuurders er als college nog steeds voor verantwoordelijk om de andere
586
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 340, nr. 377. 587
Vergelijk met de pater familias vereiste in België. 588
Lexi Holdings Plc (in administration) v Luqman BCLC, 2008/2 (725) 738. 589
Justice Romer in City Equitable Fire Insurance co ltd, Ch 1925, 407: "In order, therefore, to ascertain the duties that a person appointed to the board of an established company undertakes to perform, it is necessary to consider not only the nature of the company's business,(…)”. 590
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 341, nr. 379. 591
D’Jan of London Ltd, BBC, 1994 (646) 648. De bestuurder had zonder te lezen een verzekeringsvoorstel getekend waarvan hij niet aan de voorwaarden voldeed, waardoor de verzekering de onderneming niet moest uitbetalen. 592
Justice Romer in City Equitable Fire Insurance co ltd, Ch 1925, 428. 593
Westmid Packing Services Ltd (no 3), BBC 1998, 836.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
96
bestuurders te controleren. Dit komt voort uit de verplichtingen van de bestuurders tegen de
vennootschap. De plicht om enkel in te grijpen bij grond voor wantrouwen werd dus uitgebreid tot een
voordurende plicht. Ook in de geruchtmakende Barings-zaak594
werden bestuurders veel strenger
beoordeeld. Het is niet omdat, binnen de statutaire bepalingen bevoegdheden zijn gedelegeerd dat
bestuurders niet de algemene verantwoordelijkheid blijven hebben; tevens moeten zij voldoende
bekwaam zijn om te begrijpen wat zich in de vennootschap afspeelt.595
In casu werden drie
bestuurders “incompetence of a high degree” verweten.
In de Equitable Life Assurance Society v Bowley596
herhaalde de rechter nog eens de verplichtingen
van de raad van bestuur en van de bestuurders: ze hebben de voortdurende plicht voldoende kennis en
begrip over de onderneming te verwerven en ze mogen als ze bevoegdheden delegeren deels
vertrouwen op de kunde en integriteit van de gedelegeerde, maar moeten te allen tijde toezicht
uitoefenen. De rechter merkte nog op dat er geen algemene regel met betrekking tot die
toezichtverplichting geformuleerd kan worden. Ten slotte verklaarde de rechter nog dat de regel van
de zaak City Equitable Fire Insurance co ltd niet meer geldig was (net als in de Barings-zaak).
De taken van de niet-uitvoerende bestuurders werden uitgebreid omschreven597
in de Continental
Assurance Co of London plc. zaak.598
Zij mogen niet blindelings vertrouwen op wat externe
specialisten hen meedelen. Het komt er ook op neer dat zij een voortdurende toezichtplicht hebben. De
delegatievereisten gelden ook bij delegatie aan medebestuurders.599
De voortdurende toezichtplicht ten slotte houdt ook in dat wanneer er externe adviseurs zijn, de
bestuurder zich weldegelijk zelf ook moet informeren.600
Dit volgt mijns inziens logischerwijze uit de
premisse van de duty of care uit art 174 Companies Act.
c. Conclusie.
Doordat ook subjectieve elementen, die variëren van bestuurder tot bestuurder, in aanmerking kunnen
worden genomen, is er meer dan in de VS een mogelijkheid voor de rechter om tot een inhoudelijke
beoordeling te komen. Hij kan dus strenger zijn. Maar dat is de rechter in de terughoudende Engelse
rechtspraak niet.601
Er wordt voornamelijk nagegaan of de bestuurder zich zorgvuldig geïnformeerd
heeft. De raad van bestuur moet dit dan ook mogelijk maken (cfr. Het collegialiteitprincipe in België).
594
Barings plc (No 5), BCLC 1999/1, 286. 595
Voor een bespreking van de feiten, zie (o.a.): S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 343-346, nrs. 381-382. 596
Equitable Life Assurance Society v Bowley & Ors, Court of Appeal - Commercial Court, October 17, 2003, [2007] Lloyd 597
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 347, nr. 385. 598
Re Continental Assurance Co of London plc 2 BCLC 2007/ 2 287. 599
Lexi Holdings Plc (in administration) v Luqman BCLC, 2008/2 (725) 736. 600
Re Bradcrown Ltd, Official Receiver v Ireland BCLC 2001/1 547. 601
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 351-352, nr. 388.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
97
4. Nederland
Ingevolge het dualistische systeem wordt het toezicht in Nederland voornamelijk uitgeoefend door de
Raad van Commissarissen. Dit is haar belangrijkste taak, na o.a. het bijeenroepen van de jaarlijkse
vergadering, ondertekening van de jaarrekening en benoeming en ontslag van bestuurders.602
Het toezicht wordt in art 2:140, lid 2 NBW als volgt omschreven:
De raad van commissarissen heeft tot taak toezicht te houden op het beleid van het bestuur en op de
algemene gang van zaken in de vennootschap en de met haar verbonden onderneming. Hij staat het
bestuur met raad ter zijde. Bij de vervulling van hun taak richten de commissarissen zich naar het
belang van de vennootschap en de met haar verbonden onderneming.
De bestuurders zijn verplicht om aan de commissarissen voldoende informatie te geven om er voor te
zorgen dat de commissarissen hun taak naar behoren uit kunnen voeren.603
a. Gedragsnorm – belang van de vennootschap (duty of loyalty en duty of care).
De duty of loyalty wordt bepaald in art 2:8 NBW. Zij luidt:
1. Een rechtspersoon en degenen die krachtens de wet en de statuten bij zijn organisatie zijn
betrokken, moeten zich als zodanig jegens elkander gedragen naar hetgeen door redelijkheid
en billijkheid wordt gevorderd.
2. Een tussen hen krachtens wet, gewoonte, statuten, reglementen of besluit geldende regel is
niet van toepassing voor zover dit in de gegeven omstandigheden naar maatstaven van
redelijkheid en billijkheid onaanvaardbaar zou zijn.
De algemene zorgvuldigheidsnorm (duty of care) wordt bepaald in art 2:9 NBW. Ze luidt als volgt:
Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke vervulling van de hem
opgedragen taak. Indien het een aangelegenheid betreft die tot de werkkring van twee of meer
bestuurders behoort, is ieder van hen voor het geheel aansprakelijk ter zake van een tekortkoming,
tenzij deze niet aan hem is te wijten en hij niet nalatig is geweest in het treffen van maatregelen om de
gevolgen daarvan af te wenden. Dit is een objectieve gedragsnorm die sterk afhangt van de
feitelijkheden. Daarenboven is er bij een slechte uitkomst niet altijd sprake van een slechte
ondernemingsbeslissing en is er sprake van een inspanningsverbintenis, waardoor er niet bij een slecht
resultaat automatisch sprake is van een schending van de duty of care. Een zeker risico moet kunnen
en wordt door de rechter getoetst aan die van de redelijk handelende bestuurder of commissaris.604
Art. 2:140 tweede lid NBW bepaalt de good faith:
602
Zie hierover uitgebreid: H. BECKMAN, J. A. M. BOS, J. R. GLASZ, Bestuur en toezicht: taken, verantwoordelijkheden, aansprakelijkheden van bestuurders en commissarissen, 1994, Kluwer, Deventer. 603
Art 2:141 NBW. Met name financiële informatie: Het bestuur stelt ten minste een keer per jaar de raad van commissarissen schriftelijk op de hoogte van de hoofdlijnen van het strategisch beleid, de algemene en financiële risico's en het beheers- en controlesysteem van de vennootschap (art. 2:141 lid 2 NBW). 604
Rb. Utrecht 12 december 2007 (Ceteco NV), raadpleegbaar op www.rechtspraak.nl. In casu werd er geen aandacht besteed aan verontrustende signalen binnen de eigen organisatie en werd er te veel vertrouwd op verklaringen van het bestuur.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
98
De raad van commissarissen heeft tot taak toezicht te houden op het beleid van het bestuur en op de
algemene gang van zaken in de vennootschap en de met haar verbonden onderneming. Hij staat het
bestuur met raad ter zijde. Bij de vervulling van hun taak richten de commissarissen zich naar het
belang van de vennootschap en de met haar verbonden onderneming. (eigen onderlijning).
Aangenomen wordt dat deze verplichting van goede trouw ook geldt voor bestuurders.605
i. Afdwingbaarheid gedragsnorm
De gedragsnorm is slechts intern afdwingbaar, dus tussen bestuurder en vennootschap. Een derde moet
de bestuurders aansprakelijk stellen op het gewone burgerrechtelijke art. 6:162 NBW606
of specifieke
wetsbepalingen, zoals de antimisbruikwetgeving of verplichtingen in de jaarrekening.607
Er moet
sprake zijn van een ernstig verwijt (wegens de billijkheidsregel van art 2:9 NBW) in de zin van de
zaak NOM t. Willemsen608
: “Dat de omstandigheid dat is gehandeld in strijd met statutaire bepalingen
die een individuele aandeelhouder beogen te beschermen, in beginsel aansprakelijkheid van de
bestuurder tegenover die individuele aandeelhouder meebrengt op grond van onrechtmatige daad maar
eveneens (b) dat in dat geval de persoonlijke aansprakelijkheid van een bestuurder jegens een
individuele aandeelhouder evenwel moet worden beoordeeld aan de hand van het criterium van
“ernstige verwijtbaarheid” van artikel 2:9 NBW en niet op basis van de meer algemene en ruimere
norm van de onrechtmatige daad (artikel 6:162 NBW).” Hiermee legt de Hoge Raad een strengere
maatstaf dan algemene zorgvuldigheidsnorm uit artikel 6:162 NBW.
ii. Enquêterecht en toetsingsnorm
Het enquêterecht van art. 2:344- 2:359 NBW heeft een andere toetsingsnorm voor het gedrag van een
bestuurder dan de algemene zorgvuldigheidsnorm in art 6:162 NBW art 2:9 NBW. Deze procedure
staat onder leiding van de Ondernemingskamer van het Amsterdams Gerechtshof en kan men
enigszins vergelijken met het deskundigenonderzoek uit art. 168-169 W. Venn. in België, maar dan
ruimer, en ze moet de rechter in staat stellen wanbeleid vast te stellen.609
De ondernemingskamer wijst
het verzoek slechts toe, wanneer er blijk is van gegronde redenen om aan een juist beleid te
twijfelen,610
zoals daar zijn: een impasse in de besluitvorming van de raad van bestuur of de Algemene
vergadering of het niet voeren van een juiste administratie of het niet-vaststellen van de
jaarrekening.611
605
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 390, nr. 438. 606
Het Nederlandse artikel 1382 B.W. 607
Art 2:139 NBW. 608
HR 20 juni 2008 (Willemsen/NOM). 609
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 393, nr. 444. 610
Art. 2:350 NBW. 611
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 393, nr. 444.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
99
a. Toetsingsnorm
Het doel van de enquête procedure is het vaststellen van wanbeleid, en daarna kan er aansprakelijkheid
worden vastgesteld.
Art. 2:355: “Indien uit het verslag wanbeleid is gebleken, kan de ondernemingskamer op verzoek van
de oorspronkelijke verzoekers en, indien het verslag voor hen ter inzage ligt, op verzoek van anderen
die aan de in artikel 346 of 347 van dit Boek gestelde vereisten voldoen, of op verzoek van de
advocaat-generaal, ingesteld om redenen van openbaar belang, een of meer van de in het volgende
artikel genoemde voorzieningen treffen, welke zij op grond van de uitkomst van het onderzoek
geboden acht.” De verantwoordelijke persoon moet dan de kosten dragen, want art. 2:354 NBW luidt:
“De ondernemingskamer kan na kennisneming van het verslag op verzoek van de rechtspersoon
beslissen, dat deze de kosten (…) een commissaris of een ander die in dienst van de rechtspersoon is,
indien uit het verslag blijkt dat deze verantwoordelijk is voor een onjuist beleid of een onbevredigende
gang van zaken van de rechtspersoon.” Wat echter wanbeleid, een onjuist beleid of een
onbevredigende gang van zaken is, wordt door de rechter per geval vastgesteld. Wanbeleid wordt
meestal omschreven als handelen in strijd met de meest elementaire beginselen van verantwoord
ondernemerschap.612
Dit blijft echter vaag. Corporate Governance beginselen winnen naast de wet en
de statuten meer en meer aan belang in de rechtspraak (infra de ASMI613
en ABN Amro zaken).
Redelijkheid, billijkheid en behoorlijke taakvervulling maken er zeker deel van uit. Ook een
zorgvuldige voorbereiding komt vaak terug.614
Wanbeleid moet “flagrant ondermaats” zijn, een eenmalige verkeerde beslissing valt er in beginsel niet
onder, maar kan dat wel, als zij schokkende gevolgen heeft.615
In de zaak KPNQwest was er sprake van wanbeleid, omdat de raad van commissarissen enkel
vertrouwde op de door het management aangeleverde informatie, terwijl zij zich actiever had moeten
opstellen toen de onderneming in moeilijkheden verkeerde. De Ondernemingskamer verwoordde het
zo: “Het behoort (...) immers bij uitstek tot de taak van de raad van commissarissen om juist in
(financieel) moeilijke tijden het management van de vennootschap met raad en daad bij te staan en ter
zake eigen initiatieven te ontwikkelen.”616
In de Laurus zaak wordt dat nog eens herhaald.617
612
Ibid., p 395, nr. 447. Zie ook de zaak Batco Nederland (Ok. 21 juni 1979). 613
Volgens de Hoge Raad moet de raad van bestuur verklaring afleggen aan de Algemene Vergadering, maar moet er geen voorafgaande goedkeuring plaatsvinden (H.R. 9 juli 2010, ASMI, r.o. 441, raadpleegbaar op www.rechtspraak.nl. uiteindelijk heeft de Hoge Raad beslist dat er geen onderzoek naar wanbeleid moet worden gevoerd (http://www.telegraaf.nl/dft/bedrijven/asm_int/11818481/__Hoge_Raad_sluit_zaak_ASMI__.html, 13 april 2012). 614
Zie TIMMERMAN in verschillende bijdragen en B.H.A VAN LEEUWEN. Beginselen van behoorlijk ondernemingsbestuur, een onderzoek naar de juridische normering van het besturen van een onderneming, 1990, Kluwer, Deventer, 229 p. 615
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 398, nr. 449 en de zaak Ogem Holding N.V. HR 10 januari 1990 en B.F. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 64 en p 597-599. 616
OK 2 januari 2007 (KPNQwest N.V.), r.o. 3.47, raadpleegbaar op www.rechtspraak.nl.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
100
In de Ahold zaak618
werd het de bestuurders aangewreven dat ze, hoewel ze op de hoogte waren van
de tekortkomingen in de interne controle van hun overnamedoelwit US Foodservice, hier na de
overname niks aan gedaan hadden. Ook de onjuiste consolidatie van jaarrekeningen van
dochterondernemingen en joint ventures was een overtreding van de zorgvuldigheidsnorm.619
i. Ernstig verwijt in de zin van art. 2:9 NBW.
Dit artikel luidt: “Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke
vervulling van de hem opgedragen taak.” Als er meer dan één bestuurder aansprakelijk is dan geldt
een vermoeden van hoofdelijkheid, tenzij bewijs van onschuld van de niet-aansprakelijke
bestuurder.620
Om aansprakelijk te zijn dient de bestuurder zijn taak niet behoorlijk te hebben vervuld.
Dit is gebeurd wanneer de algemene zorgvuldigheidsnorm is geschonden, en wanneer de bestuurder
wist of behoorde te weten dat hij anders had kunnen handelen.621
Dit is door de Hoge raad bevestigd in
Staleman t. Van de Ven622
waarbij de Raad stelde dat een ernstig verwijt nodig is vooraleer een
bestuurder aansprakelijk is. De rechter zal van geval tot geval moeten oordelen of er sprake is van een
ernstig verwijt.623
De Hoge Raad stelde het als volgt: “Tot de in aanmerking te nemen omstandigheden
behoren onder meer de aard van de door de rechtspersoon uitgeoefende activiteiten, de in het
algemeen daaruit voortvloeiende risico's, de taakverdeling binnen het bestuur, de eventueel voor het
bestuur geldende richtlijnen, de gegevens waarover de bestuurder beschikte of behoorde te beschikken
ten tijde van de aan hem verweten beslissingen of gedragingen, alsmede het inzicht en de
zorgvuldigheid die mogen worden verwacht van een bestuurder die voor zijn taak berekend is en deze
nauwgezet vervult.” (eigen onderlijning). Zie hier ook weer het belang van een adequate taakverdeling
in verband met risicobeheer. Tevens valt de vergelijking met een normaal zorgvuldige bestuurder op.
Deze toetsing is vergelijkbaar met die van het Belgisch recht.624
Een verschil met bijvoorbeeld de VS
is dat deze voorwaarden de rechter veel meer dan de business judgement rule de ruimte laten
inhoudelijk te toetsen. Er moet wel met alle omstandigheden rekening worden gehouden. In de Ceteco
zaak ging dit zelfs zeer ver.625
De rechter oordeelde hier dat: “voor aansprakelijkheid van een
bestuurder of commissaris op de voet van artikel 2:9 BW is vereist dat aan de bestuurder of
commissaris een ernstig verwijt kan worden gemaakt. Of in een bepaald geval plaats is voor een
617
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 468, nr. 416. In casu werd er niet ingegrepen toen bleek dat bepaalde voorwaarden voor een ambitieus groeiplan (waaronder de financiering) niet werden ingevuld. Ook waren er geen controle momenten vooraf vastgesteld. 618
OK 6 januari 2005 (Koninklijke Ahold N.V.), raadpleegbaar op www.rechtspraak.nl. 619
Voor een uitgebreid verslag van de Ahold zaak, raad ik het boek Het drama Ahold van Jeroen Smit aan. Een zeer vlot geschreven boek. 620
D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 18. 621
Ibid., p 16. 622
HR 10 januari 1997, Staleman/Van de Ven, NJ 1997, 360. 623
D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 19. 624
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 400, nr. 450. 625
S.N. DE VALK, Aansprakelijkheid van leidinggevenden, Kluwer, Deventer, 2009, (hierna: Aansprakelijkheid van leidinggevenden) p 228, voetnoot 135.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
101
ernstig verwijt als hier bedoeld, dient te worden beoordeeld aan de hand van alle omstandigheden van
het geval. Daarbij mag van een bestuurder of commissaris het inzicht en de zorgvuldigheid worden
verwacht van een bestuurder of commissaris die voor zijn taak berekend is en deze nauwgezet vervult.
Van aansprakelijkheid is pas sprake bij een onmiskenbare tekortkoming, een tekortkoming waarover
geen redelijk oordelend en verstandig bestuurder of toezichthouder twijfelt.”626
Ook hier wordt weer
de vergelijking gemaakt met de normaal zorgvuldige bestuurder. In casu werd deze redelijkheidstoets
niet doorstaan. Een van de kwalijkste punten was volgens de rechtbank dat de eigen regels inzake Risk
Management niet werden gevolgd.627
Opnieuw is dit strenger dan in Amerika, omdat daar nog moet
worden aangetoond dat er opzet was van de bestuurders. Hier zou vrijspraak mogelijk geweest zijn.628
Met de invoering van de mogelijkheid van een monistisch stelsel in Nederland wordt het art. 2:9 NBW
aangepast, maar of de nieuwe tekst veranderingen teweeg zal brengen is nog niet duidelijk.629
ii. Verschil en samenhang wanbeleid en ernstig verwijt.
Zoals hoger reeds vermeld betekent aansprakelijkheid in het kader van wanbeleid niet dat de organen
van een rechtspersoon rechtstreeks aansprakelijk gesteld worden, maar het valt hier wel uit af te
leiden. In eerste instantie is de rechtspersoon zelf aansprakelijk. Wanneer hieruit blijkt dat de
bestuurder niet heeft gehandeld zoals een normaal zorgvuldige bestuurder dan kan die wel
aansprakelijk worden gesteld.630
b. Risicobeheer en aansprakelijkheid.
Een belangrijke grond voor aansprakelijkheid is de Nederlandse Corporate Governance Code.631
In het
Nederlandse recht kan een bestuurder op twee manieren aansprakelijk gesteld worden (zie infra,
conclusie). Er wordt uitgegaan van de noodzaak van ondernemingsrisico, dit is ook wat de rechtspraak
626
Rb. Utrecht 12 december 2007 (Ceteco NV) en S.N DE VALK, Aansprakelijkheid van leidinggevenden, p 5. 627
“Bij een ambitieus groeiprogramma waarvan de risico’s voor de organisatie werden onderkend, had het op de weg van de bestuurders gelegen om ten aanzien van de schending van bovengenoemde eigen normen in te grijpen. De rechtbank overweegt daarbij dat bovengenoemde beleidsregels, afspraken en uitgangspunten ten doel hebben de processen en de beslissingen binnen de organisatie inzichtelijk te houden, alsmede de risico’s, die onvermijdelijk samenhangen met het ondernemersschap, zichtbaar te maken en binnen beheersbare grenzen te houden.” 5.153, , Rb. Utrecht 12 december 2007 (Ceteco NV). 628
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 421, nr. 476. 629
Zie hierover meer in o.a.: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 402, nr. 452 en D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 25 en verder. De tekst van het voorstel luidt: 1. Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke vervulling van zijn taak. Tot de taak van de bestuurder behoren alle bestuurstaken die niet bij of krachtens de wet of de statuten aan een of meer andere bestuurders zijn toebedeeld. 2. Elke bestuurder draagt verantwoordelijkheid voor de algemene gang van zaken. Hij is voor het geheel aansprakelijk terzake van onbehoorlijk bestuur, tenzij hem mede gelet op de aan anderen toebedeelde taken geen ernstig verwijt kan worden gemaakt en hij niet nalatig is geweest in het treffen van maatregelen om de gevolgen van onbehoorlijk bestuur af te wenden. (kamerstukken II, 2008/09, 31 763, nr. 3, p. 8), https://zoek.officielebekendmakingen.nl/stb-2011-275., staatsblad der Nederland, 14 juni 2011, nr 275. 630
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 402, nr. 453. 631
D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 224.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
102
beoogt met een normaal en zorgvuldig bestuurder, en daarom is een foute beslissing nog niet meteen
slecht ondernemingsbestuur.632
Inzake risicobeheer zijn de volgende punten gronden voor
aansprakelijkheid inzake risicobeheer. O.a. te risicovol beleid buiten de gekozen risk appetite,
onvoldoende onderzoek naar mogelijke risico’s van een beslissing,633
tekortschietende interne controle
structuren,634
onderschatting van de kans op een risico635
(dit kan aansprakelijkheid op grond van art.
2:9 NBW teweegbrengen, namelijk als een normaal zorgvuldig bestuurder het risico niet zou
onderschat hebben), verkeerde anticipatie (idem), afwezigheid van richtlijnen voor het personeel over
hoe te reageren636
en geen opvolging van het interne controle systeem.637,638
Ook het nalaten van
mededelingen, of het doen van misleidende mededelingen, zowel intern als extern,639
ondermijnen een
behoorlijk ERM. Bestuurders zijn aansprakelijk als deze mededelingen misleidend zijn.640
Men kan eventueel een onderscheid maken tussen compliance-risico’s, waar een strengere toets voor
kan volstaan dan voor operationele risico’s, omdat die normen makkelijk in een wet zijn terug te
vinden.641
c. Conclusie.
Er zijn twee wegen om in Nederland vast te stellen of een bestuurder aansprakelijk is, via de enquête
procedure en via de persoonlijke aansprakelijkheid in samenhang met het ernstig verwijt, dat toetst aan
de ook in België bekende norm van normaal zorgvuldig bestuurder. Wel is het zo dat de rechter zich in
het algemeen terughoudend opstelt, zowat vergelijkbaar met het VK, maar toch, zeker inzake ERM,
sneller inhoudelijke beslissingen zal nemen. Als blijkt dat het niet voldoen aan de voorwaarden van ii.
Risicobeheer en aansprakelijkheid (infra) dan kan de rechter oordelen dat er sprake is van een ernstig
verwijt en eventueel oordelen tot aansprakelijkheid van de raad van bestuur als collegiaal orgaan (mits
bovenvermeld weerlegbaar principe) in het geval van onbehoorlijke taakvervulling. STRIK raadt nog
aan om toch in subsidiaire orde de gewone aansprakelijkheidsregel, geldend voor iedereen, en dus
tegen individuele bestuurders (dus minder interessant) van art. 6:162 NBW te vorderen.642
632
Ibid., p 241-242 en de daar aangehaalde wetsvoorstellen en handelingen van de Tweede Kamer. 633
Hiervan was sprake bij de Ceteco-zaak. 634
Dit feit volstaat op zich als onbehoorlijke taakvervulling, en wordt getoetst aan de hand van de Nederlandse Corporate Governance Code. Zie ook de ATR-zaak en de Ceteco-zaak (OK 10 juni 2008, JOR 2008/229 (ATR Leasing) r.o. 3.16: “(…) ook al bevinden de geconstateerde tekortkomingen zich uitsluitend (…) op het organisatorisch formele vlak.” 635
De zogenoemde “Black swans”. Zie hierover het uitstekende werk van N.N. TALEB, The Black Swan: The Impact of the Highly Improbable, Random House, New York. 978-1400063512, 2007. 636
Zie voetnoot 627 ATR-zaak. 637
Zie supra, de Laurus zaak, er was geen analyse van de situatie genomen door de Raad van Toezicht. 638
D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 278. 639
Zie hiervoor art. 2:391 lid 1 NBW en Best practice II.1.3 en II.1.4 van de Nederlandse Corporate Governance Code als wettelijke basis. 640
D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 309. 641
Ibid., p 244. 642
D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 312.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
103
5. Duitsland
§ 93, Abs. 1, Satz 1 AktG. bepaalt de algemene zorgvuldigheidsnorm. Die luidt: “Die
Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und
gewissenhaften Geschäftsleiters anzuwenden.”643
Het is een strenge norm, van toepassing op
deskundige bestuurders die een ander zijn vermogen beheren. Maar het is wel een relatieve norm,
afhankelijk van geval tot geval, omdat men gezonde risico’s, en daarmee ondernemingszin, niet wil
afremmen. In het VK (de subjectieve/objectieve test), in Nederland en in België wordt deze algemene
zorgvuldigheidsnorm van de normaal zorgvuldige bestuurder ook gebruikt.
a. De Duitse business judgement rule.
§ 93, Abs. 1, Satz 2 AktG. voert een Duitse variant van de business judgement rule in. Als een
bestuurder redelijk geïnformeerd een ondernemingsbeslissing neemt, dan verzaakt hij niet aan zijn
plichten.644
Zelfs al zijn er mogelijk catastrofale gevolgen, als de beslissing op basis van gepaste
informatie is genomen, is de bestuurder niet aansprakelijk.645
Wel is het zo dat de bewijslast bij de
bestuurder ligt, i.t.t. in de VS.646
De bestuurder moet de documenten vijf jaar bewaren ingevolge de
verjaringstermijn van aansprakelijkheidsvorderingen.647
Inhoudelijk, dus over de vraag of er van
opzettelijk dan wel nalatig handelen sprake is, lijkt de Duitse regeling veel op de Amerikaanse.648
De
rechtsleer lijkt tot de overeenstemming te zijn gekomen dat een goed beargumenteerde beslissing
(zowel pro als contra) acceptabel is.
i. Aansprakelijkheid Aufsichtsrat.
Dat is ofwel onder de Duitse business judgement rule,649
ofwel op basis van §§. 116 jo art 93 AktG.
Dit is een objectieve zorgvuldigheidsnorm, geldend voor alle leden, ongeacht hun kennis, ervaring e.d.
Het is een collegiale verantwoordelijkheid en externe delegatie doet daar niks aan af. 650
Voor een bestuurder is dit anders, als hij zich laat bijstaan door externe experts voor zaken waar hij
zelf weinig kennis van heeft. Hij is dan niet aansprakelijk.651
643
De leden van de raad van bestuur hebben bij hun bedrijfsvoering de plicht om er voor te zorgen dat ze de onderneming zorgvuldig en doordacht leiden. 644
“Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.” Zie voor een illustratie de zaak Mannesmann, waarbij de bestuurders strafrechtelijk aansprakelijk werden gesteld voor het toekennen van volgens de rechter niet-toelaatbare extra vergoedingen. Op basis van de hen bekende informatie hadden de commissarissen die nooit mogen toekennen. De rechter oordeelt in deze zaak zeer inhoudelijk, veel inhoudelijker dan in de VS. 645
Voor de beweegredenen van de wetgever, zie: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 361, nr. 400. 646
§ 93, Abs. 2, Satz 2 AktG: “(…)so trifft sie die Beweislast.” 647
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 362, nr. 401. 648
O.a. adequate informatie, belang van de vennootschap e.d. 649
OLG Oldenburg 22 juni 2006, BB 2007, NJW 2003, 358. In casu hadden de commissarissen niet voldoende zelf onderzocht. 650
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 364-365, nr. 405 en de IKB-zaak. 651
BGH 14 mei 2007, raadpleegbaar op www.bundesgerichtshof.de.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
104
a. Voor ondernemingsbeslissingen.
Deze aansprakelijkheid wordt door de Duitse rechter inhoudelijker getoetst dan door de Engelse of
Amerikaanse. Dit komt omdat het op grond van art. 111, Abs. 4 AktG. een wettelijke toezichtsnorm is.
Hierdoor moeten de toezichthoudende commissarissen vrij actief zijn. Leden van de Aufsichtsrat
brengen hun aansprakelijkheid in het gedrang indien zij zaken goedkeuren die zij bij plichtsbewust
handelen niet goedgekeurd zouden hebben.652
ii. Beoordeling door de rechter van risicovol gedrag.
Voor zover de organisatieplicht van de Aufsichtsrat niet geschonden is en zij zich houdt aan haar
interne controle taak, en Vorstandsrat op voldoende interne en externe informatie vertrouwt, dan zijn
zij beiden niet aansprakelijk voor verkeerd gelopen beslissingen. Zijn er echter signalen die zware
verliezen impliceren, dan moet de Aufsichtsrat ingrijpen. Zodra een beslissing niet past in het
risicoprofiel van de onderneming (niet voldoen aan de risk apetite) moet zij ingrijpen.
b. Praktijkgevallen.
In de zaak ARAG/Garmenbeck van 1997 werd voor het eerst een business judgement rule in het leven
geroepen in Duitsland. Leden van de Aufsichtsrat zijn verplicht op de leden van Vorstandsrat een
aansprakelijkheidsvordering in te stellen, zodra bepaalde grenzen overschreden zijn. Deze grenzen zijn
bijvoorbeeld het te kwader trouw nemen van een ondernemingsbeslissing.653
Inbreuken op de wet,
zelfs al zijn ze in het vennootschapsbelang, zijn altijd een reden voor aansprakelijkheid. Ook het
nemen van onverantwoorde risico’s is een grond tot aansprakelijkheid.654
In deze zaak werd nog
bevestigd dat de Vorstandsrat wel de nodige vrijheid moet krijgen voor het nemen van beslissingen en
het leiden van een onderneming.
c. Vorstandsrat.
De Vorstandsrat is aansprakelijk als zij ondernemingsbeslissingen neemt die een onverantwoord risico
inhouden (supra). Dit is in bijvoorbeeld de MPS-zaak herhaald.655
d. Conclusie Duitsland.
Op grond van de in Duitsland vrij strenge business judgement rule is het voor bestuurders verboden
ondernemingsbeslissingen te nemen die onverantwoorde risico’s met zich meebrengen of die bij
kredietinstellingen een te grote concentratie van risico’s inhouden.656
Een rechter zal in Duitsland bij
een slechte uitkomst van een onderneming sneller geneigd zijn om inhoudelijk na te gaan of er
onverantwoorde risico’s zijn genomen. Het gevaar bestaat evenwel dat hij zich hiermee met à
posteriori informatie in de plaats van de bestuurders stelt.
652
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 372, nr. 417. 653
Ibid., p 365, nr. 406. 654
Dit is een vrij vaag concept. Vallen hieronder bijvoorbeeld het niet nemen van evidente ondernemingskansen of een grote kans op vermindering van het kapitaal vallen hieronder. 655
BGH 1 december 2008, AG 2009, 81, www.bundesgerichtshof.de. 656
Zie bijvoorbeeld de IKB-zaak.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
105
6. De Europese Unie
Uit een publieke consultatie met betrekking tot Corporate Governance en
bestuurdersaansprakelijkheid657
(weliswaar in de financiële sector, maar die sector staat momenteel
meer in de belangstelling) bleek dat het volgens praktijkmensen niet nodig is de strafrechtelijke en
burgerrechtelijke aansprakelijkheid van bestuurders zwaarder te maken. Wel is men van mening dat
het wenselijk is de bestaande regels strenger toe te passen en beter afdwingbaar te maken.658
Voor het
overige verwijs ik hier naar het hoofdstuk aangaande België, aangezien de desbetreffende Europese
richtlijnen al in Belgisch recht zijn omgezet.
2. Conclusie hoofdstuk rechtsvergelijking. Wat er aan de hierboven besproken rechtstelsels opvalt is dat er, in lijn met o.a. COSO, er enige
beleidsvrijheid voor bestuurders is, een marge waarbinnen bestuurders fouten mogen maken bij het
nemen van ondernemingsbeslissingen.659
Pas bij flagrante overtredingen van de business judgement
rule of bij wetsovertredingen grijpt de rechter in. Hierbij is wel op te merken dat dit in Duitsland en in
België eerder gebeurt dan in de VS. Ook is de bewijslast in de VS beter voor de bestuurder; hij die de
bestuurder van enige fouten beticht moet ernstig opzet kunnen bewijzen.660
In Duitsland en in
Nederland is dat omgekeerd. Verder zijn er met betrekking tot de beoordeling van onverantwoorde
risico’s in Duitsland en Nederland strengere criteria, maar in de VS zijn er geen strengere criteria.
In Nederland, het VK en België spreekt men echter niet van een business judgement rule, maar
hanteert men zoals gezegd de zorgvuldigheidsnorm. Deze norm ligt in Nederland en België qua
invulling dicht bij elkaar. Er zijn in Nederland wel twee verschillende procedures met twee
verschillende standaarden. Aan de ene kant is er de notie “wanbeleid” door het niet voldoen aan de
elementaire vereisten van ondernemerschap, en aan de andere kant het “ernstig verwijt” uit de enquête
procedure dat dicht bij het zorgvuldigheidscriterium in België ligt.
In het VK maakt men gebruik van de objectief/subjectieve test die een minimumstandaard van de
redelijk zorgvuldige bestuurder invoert. Ook dit is een zorgvuldigheidsnorm vergelijkbaar met die in
het Belgische recht. Maar de rechter is hier terughoudender in zijn inhoudelijke beoordeling dan in
België of Nederland.661
Bovendien kan de rechter in Nederland, op basis van art. 2:9 NBW rekening
houden met de individuele taakverdeling binnen de Raad van Bestuur. In België kan dit als men
voldoet aan de voorwaarden uit artikel 528, lid 3 W.Venn.
657
Publicatie Europese Commissie, COM(2010) 284, 2 juni 2010, Groenboek Corporate governance in financiële instellingen en het beloningsbeleid, p 19. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0284:FIN:NL:PDF (4 april 2012). 658
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 195. 659
Who’s the Boss?, DJCL, p 245. 660
Zie o.a. de zaak Stone v. Ritter. 661
S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 425, nr. 481.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
106
V. Conclusie. Een actief en goed ERM-beleid bezorgt ondernemingen een voorsprong op de concurrentie. Eén van
de belangrijkste elementen van een goed ERM-programma is een behoorlijke informatiedoorstroming.
Daarnaast zijn ook de volgende elementen van groot belang:
- een risicobewustzijn doorheen de gehele onderneming;
- duidelijke richtlijnen en grenzen zijn aan de risicobereidheid van de onderneming;
- een periodieke evaluatie van het systeem.
In alle onderzochte landen vereist men een dergelijk systeem, zij het op basis van wetgeving, zij het
op basis van rechtspraak of op basis van Corporate Governance Codes. Een groot verschil is echter de
mate van waarin bestuurders aansprakelijk gesteld kunnen worden. Dit geldt zeker voor de Verenigde
Staten, waar men vrij bestuursvriendelijk is, en Duitsland, waar er een sterke inhoudelijke beoordeling
is. In België zorgt het begrip van de algemeen zorgvuldig bestuurder niet direct voor duidelijkheid;
met betrekking tot de delegatiebevoegdheid, het opzetten van een interne controlestructuur en het
nemen van beslissingen over risicovolle activiteiten, is de kans reëel dat een rechter zich te veel op à
posteriori informatie steunt, of vrij inhoudelijk oordeelt. Het gevaar bestaat namelijk dat, hoewel een
bestuurder op het moment van het nemen van een beslissing mocht vertrouwen op de hem beschikbare
informatie, de rechter vindt dat er toch te veel risico is genomen. Een gedeeltelijke concretisering van
de algemene zorgvuldigheidsnorm is gebeurd door de invoering en verplichting van de Corporate
Governance Code en zijn richtlijnen. Ook de her en der verspreide verplichtingen in het Wetboek van
Vennootschappen scheppen een plicht in hoofde van de raad van bestuur om een ERM-systeem op te
bouwen in de onderneming, minstens om op het topmanagement toezicht te houden dat dit gebeurt.
Om meer rechtszekerheid te verkrijgen kan men in België een variant van de business judgement rule
invoeren. Die zou wel strenger moeten zijn dan in de VS met betrekking tot de bewijslast, maar men
moet er wel voor waken dat er minder inhoudelijk wordt getoetst dan in Duitsland. Strenger oordelen
over risicovollere activiteiten is namelijk niet aangewezen. Een bestuurder is niet aansprakelijk als hij:
- op het moment van de beslissing rationeel handelde;
- zich behoorlijk geïnformeerd;
- de beslissing met de wetenschap van dat moment binnen de risk appetite nam en;
- te goeder trouw was.
In het geval van delegatie van de instelling van een ERM-systeem of toezicht daarop, is een bestuurder
slechts aansprakelijk indien de selectie onzorgvuldig is gebeurd, of wanneer er onvoldoende toezicht is
uitgeoefend of bijstand is verleend.662
Dit is ook zo volgens het COSO Framework.
Strenger oordelen zal het ondernemingsklimaat in België ongunstig beïnvloeden.
662
Art. 524bis, lid 1 W. Venn.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
107
De verduidelijking van Corporate Governance Code door middel van richtlijnen663
is zeker een
positief feit door de duidelijkheid en de verwachtingen die er gesteld worden. Maar uit de praktijk
blijkt dat ondernemingen graag zouden zien dat deze richtlijnen duidelijker worden omtrent
praktijkvoorbeelden en best practices voor de ondernemingen. Ook een duidelijker onderscheid tussen
de verschillende interne controle onderdelen zou wenselijk zijn.664
Deze richtlijnen kunnen wel als (minimum) standaard gebruikt worden bij het oordelen over de
aansprakelijkheid van bestuurders, voornamelijk over de vraag of ze juist geïnformeerd waren over de
mogelijke gevolgen van bepaalde beslissingen en of ze al dan niet te goeder trouw handelden. Op
basis van deze richtlijnen kan de wetgever een aantal criteria invoeren over wat een behoorlijk ERM-
beleid moet zijn.
663
Corporate Governance Commissie, Richtlijnen Interne controle. 664
Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle, p 11.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
108
VI. Bibliografie
Wetgeving
België
Wetboek van vennootschappen van 7 mei 1999 (BS 06.08.1999).
Wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en financiële diensten (B.S.
04-09-2002).
Wet van 6 april 2010 tot versterking van het deugdelijk bestuur bij de genoteerde vennootschappen en
de autonome overheidsbedrijven en tot wijziging van de regeling inzake het beroepsverbod in de bank-
en financiële sector (B.S. 23-04-2010).
K.B. van 14 november 2007 betreffende de verplichtingen van emittenten van financiële producten die
zijn toegelaten tot de verhandeling op een gereglementeerde markt (B.S. 3 dec 2007).
Wetsontwerp tot versterking van het deugdelijk bestuur bij de genoteerde vennootschappen en de
autonome overheidsbedrijven en tot wijziging van de regeling inzake het beroepsverbod in de bank- en
financiële sector, Parl.St, Kamer, 2009-2010, nr 52K2336/001.
Verenigde Staten
US Securities exchange act van 1934 (off. Journal: Pub.L. 73-291, 48 Stat. 881).
US Sarbanes–Oxley Act of 2002 (Pub.L. 107-204, 116 Stat. 745, inwerking getreden July 30, 2002)
(SOX).
Delaware General Corporation Law, Titel 8, Hoofdstuk 1 van het wetboek van Delaware,
http://delcode.delaware.gov/title8/c001/sc04/index.shtml.
Engeland
UK Company Act 2006, Royal Assent 8 November 2006,
http://www.legislation.gov.uk/ukpga/2006/46/pdfs/ukpga_20060046_en.pdf.
Nederland
Boek 2 NBW, met name art. 2:8, 2:9, 2:140 lid 2 en 2:344- 2:359 Nederlands Burgerlijk Wetboek.
Boek 6 NBW, met name art 6:162 NBW.
Kamerstukken II, 2008/09, 31 763, https://zoek.officielebekendmakingen.nl/stb-2011-275., staatsblad
der Nederland, 14 juni 2011, nr 275.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
109
Duitsland
Duits Wetboek van Vennootschappen, Deutsches Aktiengesetz van 6 september 1965,
(Bundesgesetzblatt I S. 1089), http://www.aktiengesetz.de.
Europese Unie
Richtlijn 2004/109/EG van het Europees Parlement en de Raad van 15 december 2004 betreffende de
transparantievereisten die gelden voor informatie over uitgevende instellingen waarvan effecten tot de
handel op een gereglementeerde markt zijn toegelaten en tot wijziging van Richtlijn 2001/34/EG.
Richtlijn 2006/43/EG van het Europees Parlement de Raad van 17 mei 2006 betreffende de wettelijke
controles van jaarrekeningen en geconsolideerde jaarrekeningen, tot wijziging van de Richtlijnen
78/660/EEG en 83/349/EEG van de Raad en houdende intrekking van Richtlijn 84/253/EEG van de
Raad.
Richtlijn 2006/46/ EG van het Europees Parlement de Raad van 14 juni 2006
tot wijziging van de Richtlijnen 78/660/EEG van de Raad betreffende de jaarrekening van bepaalde
vennootschapsvormen, 83/349/EEG van de Raad betreffende de geconsolideerde jaarrekening,
86/635/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van banken
en andere financiële instellingen en 91/674/EEG van de Raad betreffende de jaarrekening en de
geconsolideerde jaarrekening van verzekeringsondernemingen.
Corporate Governance Codes Belgische Corporate Governance Code voor beursgenoteerde ondernemingen van 2009, (Nederlandse
versie) raadpleegbaar op www.corporategovernancecommittee.be .
Belgische Corporate Governance Aanbevelingen voor niet-beursgenoteerde ondernemingen (Code
Buysse II)(Nederlandse versie), raadpleegbaar op www.codebuysse.be.
Duitse Corporate Governance Code (Engelse versie), raadpleegbaar op http://www.corporate-
governance-code.de/eng/kodex/index.html.
Engelse Corporate Governance Code 2010 en de Revised Turnbull Guidance (2005). Beiden te vinden
op http://www.frc.org.uk/corporate/.
Eerste Nederlandse Corporate Governance Code (Code-Tabaksblat 2003), inwerking 2004.
Nederlandse Corporate Governance Code (Code-Frijns 2008),
http://www.commissiecorporategovernance.nl/Corporate_Governance_Code), inwerking getreden 1
januari 2009.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
110
.
Rechtspraak
België
Cass. 7 december 1973, Arr. Cass., 1974, p 395.
Cass. (1e k.) 23 januari 2003 AR C.01.0536.F.
Cass. 19 april 2003, Arr.Cass. 2003, 1055.
Cass. 20 juni 2005, T.B.H., 2006, 418, met noot COIBOIN, A.
Cass. (1e k.) 17 november 2006 AR C.03.0425.N, (S.C. / Belgische Staat en B.M.), JDSC 2008, 147.
TRV 2007, afl. 2, 138 en http://www.cass.be.
Antwerpen (5e k.) 30 januari 2003 nr. 1998/AR/1811, 30 januari 2003 JDSC 2005, 180, noot
DELVAUX, M.
Antwerpen (6e k.) 19 april 2005 NJW 2005, afl. 121, 954, noot DE RAEDT, S.; JDSC 2007, 90, noot
DELVAUX, M; TRV 2005, afl. 5, 338, noot DESCHRIJVER, D.
Antwerpen (5e k.) 2 maart 2006 JDSC 2008 (samenvatting), 189, noot ERNOTTE, M; JDSC 2009, 78;
TRV 2007, afl. 3, 192, noot CLOTTENS, C.
Antwerpen 8 april 2008 RABG 2009, afl. 9, 590, noot COUDER, N.
Brussel, 28 september 1966, J.T., 1967, 91.
Brussel (9e k.) 11 december 2003 nr. 2000/AR/1227, DAOR 2004, afl. 70, 65.
Verenigde staten:
Delaware.
Allis-Chalmers Mfg. Co. 188 A.2d 125 (Del. 1963).
Aronson v. Lewis, 473 A.2d (805) 812 (Del 1984).
Smith v. Van Gorkom, 488 A.2d (858) 872 (Del. 1985).
Grimes v. Donald, Nr. 13358, 1995 WL 54441 (Del 1995).
Caremark International Inc. Derivative Litigation, 698 A.2d (959) 968 (Del. Ch. 1996).
Walt Disney Co. Derivative Litigation 907 A.2d (693) 748 (Del. Ch. 2005).
Stone v. Ritter, 911 A. 2d (362) 370 (Del. 2006).
Brehm v. Eisner, 906 A.2d, (27) 65 (Del. 2006).
Gantler v. Stephens. 965 A.2d 695, 699 (Del. Ch. Sept. 21, 2009).
Citigroup Inc. Shareholder Derivative Litigation, 964 A.2d 106 (Del. Ch. 2009).
Dow Chemical Company Derivative Litigation, C.A. No. 4349-CC (Del. Ch. Jan. 11, 2010).
Overig.
Enron Corporation Securities, Derivative & ERISA Litigation, 235 F. Supp. 2d 511 (S.D. Tex. 2003).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
111
WorldCom Inc. ERISA Litig., 263. F. Supp. 2d 745, 765 (S.D.N.Y. 2003).
Citigroup Inc. Shareholder Derivative Litigation WL 2610746, 6, (S.D.N.Y. 2009).
Engeland:
City Equitable Fire Insurance co ltd, Ch 1925, 428.
Westmid Packing Services Ltd (no 3), BBC 1998, 836.
Barings plc (No 5), BCLC 1999/1, 286.
Bradcrown Ltd, Official Receiver v Ireland BCLC 2001/1 547.
Continental Assurance Co of London plc 2 BCLC 2007/ 2 287.
Lexi Holdings Plc (in administration) v Luqman BCLC, 2008/2, 725.
Nederland:
HR 10 januari 1990 (Ogem Holding N.V.).
HR 10 januari 1997 (Staleman/Van de Ven) NJ 1997, 360.
HR 13 juli 2007 (ABN Amro), NJ 2007, nr 434, raadpleegbaar op www.rechtspraak.nl.
HR 9 juli 2010 (ASM International), raadpleegbaar op www.rechtspraak.nl.
HR 20 juni 2008 (Willemsen/NOM), raadpleegbaar op www.rechtspraak.nl.
OK 21 juni 1979. (Batco Nederland).
OK 6 januari 2005 (Koninklijke Ahold N.V.), raadpleegbaar op www.rechtspraak.nl.
OK 2 januari 2007 (KPNQwest N.V.), r.o. 3.47, raadpleegbaar op www.rechtspraak.nl.
OK 10 juni 2008 (ATR Leasing), JOR 2008/229.
Rechtbank Utrecht, (Ceteco), 171413/ HA ZA 04-34, LJN: BB9709, raadpleegbaar op
www.rechtspraak.nl.
Duitsland:
BGH 14 mei 2007, raadpleegbaar op www.bundesgerichtshof.de.
BGH 1 december 2008, AG 2009, 81, www.bundesgerichtshof.de.
OLG Oldenburg 22 juni 2006, BB 2007, NJW 2003, 358
Rechtsleer:
Boeken:
ASSER, C., (ed.) Handleiding tot de beoefening van het Nederlands burgerlijk recht: de naamloze en
besloten vennootschap, rechtspersonenrecht, de naamloze en besloten vennootschap, 2009, Kluwer,
Utrecht, 1159 p.
ASSINK, B.F., Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van
Nederland en Delaware, Kluwer, 2007, Utrecht, 723 p.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
112
ASSINK, B.F., STRIK, D.A.M.H.W., Ondernemingsbestuur en risicobeheersing op de drempel van een
nieuw decennium : een ondernemingsgerechtelijke analyse, Preadvies van de vereeniging
Handelrecht, Deventer, Kluwer, 2009, 397 p.
BAGARIC, M., DU PLESSIS , J-J., MCCONVILL, J., Principles of contemporary corporate governance
Cambridge : Cambridge university press, 2005, 395 p.
BECKMAN, H., BOS, J.A.M., GLASZ, J.R., Bestuur en toezicht: taken, verantwoordelijkheden,
aansprakelijkheden van bestuurders en commissarissen, 1994, Kluwer, Deventer, 426 p.
BENOIT-MOURY, A., TILLEMAN, B. (red), Wetboek vennootschapsrecht: geannoteerd wetboek van
vennootschappen met bijzondere wetgeving, Die Keure, 2003, 1189 p.
BOULANGER, J. -P. , SMETS, D., Publieke en non-profitsector, interne controle en deugdelijk
bestuur: een efficiënter bestuur en meer betrouwbare financiële stromen, (Informatiecentrum voor het
bedrijfsrevisoraat), Brugge, die Keure, 2008, 238 p.
COOLS, K., Controle is goed, vertrouwen is nog beter: over bestuurders en corporate governance,
Assen, Van Gorcum, 2005, 151 p.
DE GEYTER, S., “Organisatieaansprakelijkheid. Toepassing op de toerekening van onrechtmatige
daden van vennootschappen en op de aansprakelijkheid van bestuurders”, onuitg. doctoraatsthesis
2012, Gent, 450 p.
DELVOIE, J., Orgaantheorie in rechtspersonen van privaatrecht, 2010, Intersentia, Antwerpen, 590 p.
DE VALK, S.N., Aansprakelijkheid van leidinggevenden, Kluwer, Deventer, 2009, 654 p.
DE WULF, H., Taak en loyaliteitsplicht van het bestuur in de naamloze vennootschap onuitg.
doctoraatsthesis Rechten U Gent, 2001, Gent, 910 p.
FARRAR, J., Corporate governance : theories, principles, and practice, Melbourne, Oxford university
press, 2005, 549 p.
GREGORY, H, MILLSTEIN, I.(ed), Corporate governance 2008 : board structures and directors’ duties
in 40 jurisdictions worldwide, Londen, Law business research, 2008, 264 p.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
113
HARTLIEF, T., SPIER, J., VAN MAANEN, G.E., VRIESENDORP, R.D., Verbintenissen uit de wet en
Schadevergoeding, Deventer, Wolters Kluwer, 2009, 395 p.
JANSSEN, S., Samenwerking tussen de externe auditor en het auditcomité (eindverhandeling),
Universiteit Hasselt, 2007, 233 p.
LOOS, A.(ed.), Director’s liability, a worldwide review, 2006, Kluwer law international, Alphen aan de
Rijn, 427 p.
MALLIN, C.A.(ed), International corporate governance: a case study approach, Northampton, MA
(VS), Edward Elgar Pub., 2006, 319 p.
SMIT, J., Het drama Ahold, Balans, 2004, Libris Sint Niklaas, 336 p.
STRIK, D.A.M.H.W., Grondslagen bestuurdersaansprakelijkheid, een maatpak voor de board room,
Kluwer, Deventer, 2010, 438 p.
TALEB, N.N., The Black Swan: The Impact of the Highly Improbable, Random House, New York,
2007, 366 p.
VAN LEEUWEN, B.H.A., Beginselen van behoorlijk ondernemingsbestuur, een onderzoek naar de
juridische normering van het besturen van een onderneming, 1990, Kluwer, Deventer, 229 p.
X, Tendensen in het bedrijfsleven, sancties in het bedrijfsrecht – Le droit des affaires en évolution, la
sanction dans la vie de affaires, Anwerpen, Kluwer, 2007, 307 p.
Tijdschriftartikels:
BASSEN, A., PRIGGE, S., ZÖLLNER, C., Behind Broad Corporate Governance Aggregates: A First Look
at Single Provisions of the German Corporate Governance Code, 2008, raadpleegbaar op
www.ssrn.com, SSRN-id965355.
BHAGAT, S EN BLACK, B, The Non-Correlation Between Board Independence and Long Term Firm
Performance, raadpleegbaar op www.ssrn.com, SSRN-id: 133808.
BOWLING, D.M., LAWRENCE A.R., Making Sense of COSO’s New Framework for Enterprise Risk
Management, Bank Accounting & Finance, 2005.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
114
BRANCATO, C.K, HEXTER, E., NEWMAN, K.R., TONELLO, M., The Role of U.S. Corporate Boards in
Enterprise Risk Management (The Conference Board), 2006, raadpleegbaar op www.ssrn.com, SSRN-
id941179.
BRANCATO, C.K, HEXTER, E, Emerging Governance Practices In Enterprise Risk Management, 2007,
raadpleegbaar op www.ssrn.com, SSRN-id963221.
DANET, D., Misère de la corporate governance, Revue international de droit économique, afl. 4, 2008,
407-433.
DE POORTER, I en VAN DER ELST, C., Upgrading Corporate Governance: auditcomités in het wetboek
van vennootschappen, T.R.V. 2009, 397.
DESENDER, K.A., The Influence on Board Composition on Enterprise Risk Management
Implementation, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1025982.
DESENDER, K.A, LAFUENTE, E. (ed.), The influence of board composition, audit fees and ownership
concentration on enterprise risk management,…, raadpleegbaar op www.ssrn.com, SSRN-id1495856.
DE WULF, H., VAN DER ELST, C., VERMEESCH, S.,: Radicalisering van corporate
governanceregelgeving: remuneratie en transparantie na de wet van 6 april 2010,
http://www.law.ugent.be/fli/wps/pdf/WP2010-14.pdf (4 april 2012).
DIAMOND, J., The Role of Internal Audit in Government Financial Management: An International
Perspective, 2002, raadpleegbaar op www.ssrn.com, SSRN-id879645.
EBERLE , D., LÜTZ, S., On the road to Anglo-Saxon Capitalism? German Corporate Governance
regulation between market and multilevel governance, 2007, raadpleegbaar op www.ssrn.com, SSRN-
id988696.
EDWARDS, D.O., An unfortunate "tail": Reconsidering Risk Management Incentives after the financial
crisis of 2007-2009, 2010, University of Colorado Law Review, p 247-307.
GARVIS, D.,JOHNSON, L., Are Corporate Officers Advised About Fiduciary Duties?, raadpleegbaar op
www.ssrn.com, SSRN-id1421410.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
115
GUPTA, P. P. EN LEECH, T, Making Sarbanes–Oxley 404 work: Reducing cost, increasing
effectiveness, 2005, raadpleegbaar op www.ssrn.com, SSRN-id961834.
GUPTA, P. P., Internal Control, COSO 1992 Control Framework and Management Reporting on
Internal Control: Survey and Analysis of Implementation Practices, 2006, raadpleegbaar op
www.ssrn.com, SSRN-id1417604.
HEXTER, S., VAINBERG, G., Publicatie Director Notes: Risk Oversight Practices: Two Succes Stories,
raadpleegbaar op www.ssrn.com, SSRN-id: 1840883.
HOPT, K.J., Comparative Corporate Governance: The State of the Art and International Regulation,
raadpleegbaar op www.ssrn.com, SSRN-id: 1713750.
HOYT, R.E., The Value of Enterprise Risk Management,…, raadpleegbaar op www.ssrn.com, SSRN-
id1440947.
JANNSENS, E., Corporate Governance gelooft nog steeds in zelfregulering, Balans 609, 2009, 5.
JANSSENS, E., Corporate Governance bij KMO”s, nieuwe versie van de Code Buysse, Balans 612,
2009, 3.
JANSSENS, E., Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4.
JANSSENS, E., Nieuwe Corporate Governance wet eindelijk gepubliceerd, Balans 629, 2010, 3.
MACNEIL, I., LI, X., “Comply or explain”: market discipline and non-compliance with the combined
code, 2005, raadpleegbaar op www.ssrn.com, SSRN-id726664.
MCSHANE, K.M., NAIR.A., RUSTAMBEKOV, A., Does Enterprise Risk Management Increase Firm
Value?, raadpleegbaar op www.ssrn.com, SSRN-id1829027.
MEULBROEK, L.K., Integrated Risk Management for the Firm: A Senior Manager’s Guide, 2002,
raadpleegbaar op www.ssrn.com, SSRN-id301331.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
116
NOCCO, B.W., STULZ, R.M., Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar
op www.ssrn.com, SSRN-id921402.
PAAPE, L., SPEKLÉ, R.F., The adaption and design of Enterprise Risk Management Practices: An
Empirical Study, raadpeegbaar op www.ssrn.com, SSRN-id1658200.
PAGACH, D., WARR, R., An Empirical Investigation of the Characteristics of Firms Adopting
Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1010200.
PAGACH, D., WARR, R., The Effects of Enterprise Risk Management on Firm Performance, 2008,
raadpleegbaar op www.ssrn.com, SSRN-id1155218.
PAGE, M., SPIRA, L.F., Risk Management, the reinvention of internal control and the changing role of
internal audit, 2002, raadpleegbaar op www.ssrn.com, SSRN-id483743.
PINTE, F., Art. 528 C.soc, www.jura.be.
ROSEN, R.E., Risk Management and Corporate Governance: The Case of Enron, 2003, raadpleegbaar
op www.ssrn.com, SSRN-id468168.
SABATO, G., Financial crisis, where did risk management fail?,…, raadpleegbaar op www.ssrn.com,
SSRN-id1460762.
SHANER, W.M., Restoring the Balance in Corporate Management: Enforcing an Officer’s Duty of
Obedience, The Business Lawyer, Vol 66, November 2010.
TUCKER,A.M., Who’s the Boss?, Delaware Journal of Corporate Law, Volume 35, 25 februari 2010.
VAN DAELEN, M., VAN DER ELST, C., Risk Management in European and American Corporate Law,
2009, raadpleegbaar op www.ssrn.com, SSRN-id1399647.
VAN DER ELST, C., Economic View on Corporate Law in Europe, 2006, raadpleegbaar op
www.ssrn.com, SSRN-id935013.
VAN DER ELST, C., The Belgian struggle for corporate governance improvements, 2008,
raadpleegbaar op www.ssrn.com, SSRN-id1261448.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
117
VAN DER ELST, C., Belgian Bank Governance before and after the Financial Crisis, 2010,
raadpleegbaar op www.ssrn.com, SSRN-id 1551318.
WINTER, P., Managerial Risk Accounting and Control – A German perspective, raadpleegbaar op
www.ssrn.com, SSRN-id1117205.
SIMKIN, S., RAMIREZ, S.A., Enterprise-Wide Risk Management and Corporate Governance,
raadpleegbaar op www.ssrn.com, SSRN-id1657036 en
http://www1.luc.edu/law/activities/publications/lljdocs/vol39_no3/simkins_ramirez.pdf .
Beursreglementen:
Euronext.
-Euronext N.V., Informatievademcum, april 2009,
https://europeanequities.nyx.com/en/regulation/brussels.
-Euronext Rule Book II: Specifieke regels voor Euronext Amsterdam, datum van inwerkingtreding: 1
juli 2009, https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/Rule_Book_II_-
_General_Rules_for_the_Euronext_Amsterdam_Stock_Market.pdf.
-Euronext Londen: Euronext Rule Book II: Specifieke regels voor Euronext London, datum van
inwerkingtreding: 1 juni 2010,
https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/Rule_Book_II_-
_General_Rules_for_the_Euronext_Amsterdam_Stock_Market.pdf.
-Euronext Rule Book Book II: Specifieke regels voor Euronext Brussels (23 augustus 2010),
inwerkingtredingdatum: 13 september 2010
https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/Specifieke_regels_voor_Eurone
xt_Brussels_datum_van_inwerkingtreding_-_13_september_2008.pdf.
-Euronext Rule Book Book I: Geharmoniseerde regels, 16 mei 2011,
https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/643005.pdf.
-Reporting obligations Euronext: https://europeanequities.nyx.com/nl/listings/reporting-obligations.
London Stock Exchange.
-London Stock Exchange: http://www.londonstockexchangegroup.com/corporate-
responsibility/corporate-governance/corporate-governance.htm.
- Rules of the London Stock Exchange, http://www.londonstockexchange.com/traders-and-
brokers/rules-regulations/rules-lse.pdf. datum van inwerkingtreding 1 februari 2012;
- FSA Handbook, http://fsahandbook.info/FSA/html/handbook/LR.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
118
NASDAQ.
-NASDAQ: Regulatory Requirements (juli 2010) en de NASDAQ listing rules op
http://nasdaq.cchwallstreet.com/NASDAQTools/PlatformViewer.asp?selectednode=chp%5F1%5F1%
5F4%5F2&manual=%2Fnasdaq%2Fmain%2Fnasdaq%2Dequityrules%2F.
-Regelverk för emittenter NASDAQ OMX Stockholm, 1 februari 2012, 2.4.3,
http://nasdaqomx.com/digitalAssets/77/77308_nasdaq_omx_stockholms_regelverk_for_emittenter_20
12_02_01.pdf, Engelse versie te vinden op:
http://nasdaqomx.com/listingcenter/europe/rulesandregulations/.
NYSE.
NYSE Listed Company Manual, http://nysemanual.nyse.com/LCM/Sections/.
-Listing Standards – U.S. Standards” op http://usequities.nyx.com/regulation/listed-companies-
compliance/listings-standards/us en
http://nysemanual.nyse.com/LCMTools/PlatformViewer.asp?searched=1&selectednode=chp_1_2_2&
CiRestriction=102&manual=/lcm/sections/lcm-sections/.
-NYSE Corporate Governance Guidelines, http://usequities.nyx.com/regulation/listed-companies-
compliance/financial-compliance.
Securities and Exchange Commission.
-SEC Implements Internal Control Provisions of Sarbanes-Oxley Act; Adopts Investment Company
R&D Safe Harbor, 27 mei 2003
(http://www.sec.gov/news/press/2003-66.htm) (30 december 2011).
- Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure
in Exchange Act Periodic Reports, http://www.sec.gov/rules/final/33-8238.htm#ia (8 maart 2012).
- SEC-Rule 33-8238, Final Rule: Management's Report on Internal Control Over Financial Reporting
and Certification of Disclosure in Exchange Act Periodic Reports, http://www.sec.gov/rules/final/33-
8238.htm
Publicaties:
American Bar Association
Model Business Corporation Act, 3e editie,
http://law.jnu.edu.cn/blaw/kyyd/UploadFiles_3666/200705/20070518014549792.pdf.
Corporate Governance Commissie
- Publieke consultatie van de Corporate Governance Commissie mbt interne controle van 2012,
http://www.corporategovernancecommittee.be/library/documents/Interne%20controle/2011%2001%2
010_Interne%20Controle_%20NLdoc.pdf .
-Interne controle en risicobeheer –Richtlijnen in het kader van de wet van 6 april 2010 ,
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
119
http://www.corporategovernancecommittee.be/library/documents/Interne%20controle/2012.01.13_res
ultaten%20publieke%20raadpleging%20(clean%20version).pdf.
Committee of Sponsoring Organizations of the Treadway Commission.
-COSO’s Integrated Framework 2004, 114 p.
-COSO: Risico management van de onderneming, Geïntegreerd raamwerk (Enterprise Risk
Management Integrated Framework (ERM), Management samenvatting, 2004, raadpleegbaar op
www.COSO.org;
-Strengthening Enterprise Risk Management for Strategic Advantage, 2009, raadpleegbaar op
www.COSO.org.
-Embracing Risk Management, Practical Approaches for Getting Started,
http://www.coso.org/documents/EmbracingERM-GettingStartedforWebPostingDec110_000.pdf (3
april 2012) -Developing Key Risk Indicators to Strengthen Enterprise Risk Management
http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110_000.pdf (3 april
2012).
Europese Unie
- Europese Commissie, Mededeling van de Commissie van 21 mei 2003 aan de Raad en het Europees
Parlement - Modernisering van het vennootschapsrecht en verbetering van de corporate governance in
de Europese Unie - Een actieplan / COM/2003/0284 def./, http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52003DC0284:NL:HTML
-Europese Commissie, COM(2010) 284, 2 juni 2010, Groenboek Corporate governance in financiële
instellingen en het beloningsbeleid, http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0284:FIN:NL:PDF
Financial Reporting Council
- The Cadbury Report (The Financial Aspects of Corporate Governance), 1 december 1992.
- Boards and Risk, A summary of discussions with companies, investors and advisers, September
2011, http://www.frc.org.uk/images/uploaded/documents/Boards%20and%20Risk%20final.pdf (5
maart 2012).
IPPF-Standards
International Standards for the Professional Practice of Internal Auditing, www.theiia.org.
Nederlandse Corporate Governance Comissie
Monitoring Commission Corporate Governance, Rapport over de evaluatie en actualisering van de
Nederlandse corporate governance code, June 2008
(http://www.commissiecorporategovernance.nl/page/downloads/review_rapport_0107.pdf).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
120
OESO
-“Directorate for Financial and Enterprise Affairs OECD Steering Group on Corporate Governance
Paper: Corporate Governance and the Financial Crisis, Conclusions and emerging good practices to
enhance implementation of the Principles 2010”, 24 feb 2010,
(www.oecd.org/dataoecd/53/62/44679170.pdf).
- The Role of the Stock Exchanges in Corporate Governance 2009:
http://www.oecd.org/document/49/0,3746,en_2649_34813_31530865_1_1_1_1,00.html.
-OECD Principles of Corporate Governance, 2004, www.oecd.org/dataoecd/32/18/31557724.pdf .
-The Corporate Governance Lessons from the Financial Crisis, 2009, KIRKPATRICK G.
http://www.oecd.org/dataoecd/32/1/42229620.pdf.
-Board Practices: Incentives and Governing Risks, Corporate Governance, 2011
http://dx.doi.org/10.1787/9789264113534-en en http://www.oecd.org/dataoecd/33/21/49081438.pdf.
- OECD Guidelines for Multinational Enterprises, 2011, http://dx.doi.org/10.1787/9789264115415-
en.
- Policy Brief Principles of Corporate Governance, www.oecd.org/dataoecd/41/32/33647763.pdf (27
febrauri 2012), p 3, Box 1.
FSMA:
De eerste verklaringen inzake deugdelijk bestuur: opvolgingsstudie van Studie nr. 38. Studie nummer
40, september 2011.
- Circulaire FSMA/2012_01, Verplichtingen van op een gereglementeerde markt genoteerde
emittenten, http://www.fsma.be/~/media/Files/circinfo/NL/gv/info/fsma_2012_01.ashx.
ISO:
-Over Automotive Supply Chain management :
http://www.iso.org/iso/iso_catalogue/management_standards/specific_applications/specific-
applications_automotive.htm.
-New ISO/IEC standard on risk assessment complements risk management toolbox, 28 jan 2010,
http://www.iso.org/iso/pressrelease.htm?refid=Ref1288 (29 feb 2012).
-ISO 31000 and the Icelandic volcano crisis, Knight, K., http://www.iso.org/iso/iso-magazines/iso-
focus-plus_index/iso-focusplus_online-bonus-articles/isofocusplus_bonus_iso31000-icelandic-
volcano-crisis.htm (20 feb 2012).
VBO-feb:
Publicatie VBO-feb: Onderzoek naar de naleving van de Belgische Corporate Governance Code
2009 bij de BEL 20 ondernemingen, boekjaar 2010, http://vbo-
feb.be/media/uploads/public/_custom/Dossier/CorporateGovernance/GubernaVBOstudie2011_Execut
ivesummary.pdf (20 feb 2012).
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
121
Standard & Poor’s:
http://www.standardandpoors.com/ratings/erm/en/us;
-Enterprise Risk Management: More Important, But Still No Panacea,
http://www.nact.org/sponsorPubs/S&P_ERM_No_Panacea.pdf (16 feb 2012).
- Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008,
http://www.standardandpoors.com/servlet/BlobServer?blobheadername3=MDT-
Type&blobcol=urldata&blobtable=MungoBlobs&blobheadervalue2=inline%3B+filename%3DCorpor
ate_SP_to_Apply_ERM_05_07_2008.pdf&blobheadername2=Content-
Disposition&blobheadervalue1=application%2Fpdf&blobkey=id&blobheadername1=content-
type&blobwhere=1243723417198&blobheadervalue3=UTF-8.
-Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008,
http://www.nact.org/sponsorPubs/S&P_Enterprise_Risk_Management.pdf.
Nieuws/kranten/e.d: -BBC: http://news.bbc.co.uk/2/hi/7615931.stm (3 april 2010).
-De Standaard zat 25 feb 2012, p 67, dagblad, Bekaert bekomt van zonneslag.
-EU Business, “EU disagrees with airlines' criticism over airspace closure”,
http://www.eubusiness.com/news-eu/iceland-volcano.478.
-Beursduivel, www.beursduivel.be/encyclopedie/term/Institutionele+belegger.
-MUFSON , S., GM's New Escape Route: Partial Nationalization, Washington Post, 28 April 2009,
http://www.washingtonpost.com/wp-dyn/content/article/2009/04/27/AR2009042700872.html (4 april
2012).
-SCHÄFER, D., The champion of a new culture of control, Financial Times, 1 October 2008,
http://www.ft.com/cms/s/0/b9fc29e6-8e80-11dd-9b46-0000779fd18c.html#axzz1qzm9WGOZ (3 april
2012).
-TOMIĆ, T., Alle partijen willen onderzoek VDM, VEB Effect, 3 april 2010, p 7-8.
-Volvo Cars Official,
http://www.volvocars.com/nl-be/top/about/news-events/pages/default.aspx?itemid=68 (4 april 2012).
Corporate Governance BEL-20 ondernemingen. Corporate Governance verklaring AB-Inbev, bijgevoegd bij het jaarverslag over 2011, raadpleegbaar
op http://www.ab-inbev.com/go/investors/reports_and_publications/annual_and_hy_reports.cfm.
Corporate Governance verklaring Delhaize NV, bijgevoegd bij het jaarverslag over 2011,
raadpleegbaar op http://www.delhaizegroup.com/nl/BeleggersCenter.aspx.
Corporate Governance verklaring Umicore NV, bijgevoegd bij het jaarverslag over 2011,
raadpleegbaar op http://www.umicore.com/investorrelations/en/.
Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur
122
Jaarverslag 2011 Umicore,
http://www.umicore.com/reporting/Home/FullPDF/show_AR2011_NL.pdf.