Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy...

122
Faculteit Rechtsgeleerdheid Enterprise Risk Management en de raad van bestuur. Masterproef van de opleiding ‘Master in de rechten’ Ingediend door Sonny Saeij (studentennr.: 20050888) Promotor: Prof. dr. Christoph Van der Elst Commissaris: Sien Vermeersch Academiejaar 2011-2012

Transcript of Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy...

Page 1: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Faculteit Rechtsgeleerdheid

Enterprise Risk Management en de raad van bestuur.

Masterproef

van de opleiding ‘Master in de rechten’

Ingediend door

Sonny Saeij

(studentennr.: 20050888)

Promotor: Prof. dr. Christoph Van der Elst

Commissaris: Sien Vermeersch

Academiejaar 2011-2012

Page 2: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

2

Voorwoord. ............................................................................................................................................. 8

I. Thesis: Enterprise Risk Management en de raad van bestuur. ....................................................... 9

II. Korte duiding met betrekking tot de afbakening van het onderwerp. ......................................... 10

a. Rechtsvergelijkend deel. ........................................................................................................... 10

b. Afbakening van het onderwerp. ................................................................................................ 10

III. Enterprise Risk Management. ................................................................................................... 11

a. Begrippen van het ERM. ............................................................................................................ 11

1. Definitie ................................................................................................................................. 11

b. Geschiedenis van het ERM. ....................................................................................................... 12

c. Noodzaak en belang van ERM ................................................................................................... 14

1. Meerwaarde van ERM. .......................................................................................................... 15

d. Wat is Enterprise Risk Management (nu geworden)? .............................................................. 17

e. Nadere uitwerking van de begrippen van het ERM. ................................................................. 19

1. Identificatie van gebeurtenissen. .......................................................................................... 19

a. Soorten gebeurtenissen. ................................................................................................... 19

2. Dynamisch proces. ................................................................................................................ 19

3. Strategisch. ............................................................................................................................ 21

4. Gehele onderneming. ............................................................................................................ 22

a. Ondernemingscultuur ....................................................................................................... 22

b. Informatie en communicatie. ............................................................................................ 23

5. Risk appetite. ......................................................................................................................... 24

a. Beperkingen aan ERM. ...................................................................................................... 25

b. Risk Management Philosophy. .......................................................................................... 25

6. Beheren en anticiperen. ........................................................................................................ 26

a. Praktijkvoorbeelden .......................................................................................................... 26

b. Anticiperen (Risk response). .............................................................................................. 27

7. Verzekering tot een goede afloop. ........................................................................................ 27

8. Ondernemingsdoelen. ........................................................................................................... 27

a. Strategisch ......................................................................................................................... 28

b. Operationeel ...................................................................................................................... 29

c. Rapportage ........................................................................................................................ 29

d. Toezicht ............................................................................................................................. 30

9. Reputatieschade. ................................................................................................................... 31

10. Standard & Poor’s:............................................................................................................. 31

Page 3: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

3

11. De OESO ............................................................................................................................. 31

e. De inbedding van ERM in Corporate Governance. .................................................................... 32

1. België ..................................................................................................................................... 32

a. Wetboek van Vennootschappen ....................................................................................... 32

b. Wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en financiële

diensten en zijn uitvoeringsbesluiten. ...................................................................................... 33

c. De Belgische Corporate Governance Code ....................................................................... 33

d. Richtlijnen Corporate Governance Commissie met betrekking tot interne controle. ...... 36

i. Doelstellingen ................................................................................................................ 37

ii. Risico-identificatie. ........................................................................................................ 37

iii. Risico-analyse en -beheersing ....................................................................................... 38

iv. Opvolging/monitoring ................................................................................................... 39

v. Rapportering, openbaarmaking en compliance. ........................................................... 40

e. Beursreglement en toezichthouder. ................................................................................. 41

i. De FSMA ........................................................................................................................ 45

ii. Euronext ........................................................................................................................ 46

iii. Specifieke regels voor de BEL 20 ................................................................................... 46

f. Praktijk in België (BEL 20-ondernemingen). ...................................................................... 47

i. AB Inbev. ........................................................................................................................ 47

a. Auditcomité. .............................................................................................................. 48

b. Periodieke controles van de Raad en de comités op hun werking. .......................... 49

c. Interne controle en risicobeheersystemen ............................................................... 49

d. Compliance en ondernemingscultuur ....................................................................... 50

e. Conclusie. .................................................................................................................. 50

ii. Delhaize. ........................................................................................................................ 51

a. Interne controle. ........................................................................................................ 51

b. Risicobeheer. ............................................................................................................. 51

c. Auditcomité ............................................................................................................... 53

d. Interne audit .............................................................................................................. 53

e. Interne controles en risicobeheer van de Delhaize Groep. ....................................... 53

1. Interne controles. ...................................................................................................... 53

2. Risicobeheer. ............................................................................................................. 53

f. Externe audit. ............................................................................................................ 53

g. Conclusie. .................................................................................................................. 53

Page 4: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

4

iii. Umicore. ........................................................................................................................ 54

a. Risicobeheerproces. .................................................................................................. 54

b. Intern controlesysteem ............................................................................................. 55

c. Risicobeheer en interne controle .............................................................................. 55

1. Strategische risico’s: .............................................................................................. 55

2. Operationele risico’s: ............................................................................................. 56

3. Financiële risico’s: .................................................................................................. 56

4. Overige risicobeschrijving. ..................................................................................... 56

d. Conclusie. .................................................................................................................. 57

h. In andere landen. .................................................................................................................. 57

a. Verenigde Staten ............................................................................................................... 57

i. De wettelijke verplichtingen van SOX. .......................................................................... 57

ii. De verplichtingen van de Delaware General Corporations Law. .................................. 59

iii. De beurs. ....................................................................................................................... 59

a. NYSE ........................................................................................................................... 60

b. NASDAQ ..................................................................................................................... 61

c. SEC: ............................................................................................................................ 61

iv. Conclusie. ...................................................................................................................... 61

b. Verenigd Koninkrijk ........................................................................................................... 62

i. Corporate Governance Code en de Revised Turnbull Guidance 2005. ......................... 62

a. Speciaal geval: De combinatie van SOX en de Turnbull Guidance uit 2004. ............. 65

ii. Euronext Londen. .......................................................................................................... 66

iii. Financial Service Authority Listing rules. ....................................................................... 66

iv. De Companies Act van 2006 .......................................................................................... 66

v. Conclusie VK .................................................................................................................. 67

c. Nederland .......................................................................................................................... 67

i. Corporate Governance Code. ........................................................................................ 67

ii. Wetgeving ...................................................................................................................... 68

iii. De beurs van Amsterdam (AEX) .................................................................................... 69

iv. Rechtspraak ................................................................................................................... 69

d. Duitsland ............................................................................................................................ 69

i. Wetgeving...................................................................................................................... 69

ii. Deutscher Corporate Governance Kodex. ..................................................................... 70

e. De Europese Unie .............................................................................................................. 71

Page 5: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

5

f. Conclusie rechtsvergelijking. ..................................................................................................... 72

IV. De raad van bestuur en zijn verantwoordelijkheden met betrekking tot ERM. ....................... 74

a. Wettelijke verantwoordelijkheden ........................................................................................... 75

1. België ..................................................................................................................................... 75

a. Burgerrechtelijke aansprakelijkheid (art. 527 en 528 W. Venn). ...................................... 77

i. Hoofdelijke aansprakelijkheid ....................................................................................... 78

b. Buitencontractuele wanprestatie: Art. 1382 en 1383. ...................................................... 78

i. Uitvoeringsagent en orgaantheorie. ............................................................................. 80

ii. Delegatie dagelijks bestuur. .......................................................................................... 81

c. Vorderingsrecht ................................................................................................................. 81

d. Is de Corporate Governance Code een door bestuurders te respecteren

zorgvuldigheidsnorm? ............................................................................................................... 82

i. Toezicht op interne controle systemen ......................................................................... 83

ii. Toezicht op de wettelijke controle van de jaarrekening en continuïteit ...................... 84

iii. Tussenconclusie. ............................................................................................................ 84

2. Verenigde Staten ................................................................................................................... 84

a. Fiduciary duties. ................................................................................................................ 86

i. Duty of loyalty en duty of care. ..................................................................................... 87

b. Business Judgement Rule .................................................................................................. 88

i. Process due care ............................................................................................................ 89

ii. Praktijkgevallen. ............................................................................................................. 89

a. Smith v. Van Gorkom (1985) ..................................................................................... 90

b. The Walt Disney Corporation derivative litigation (2005)......................................... 90

c. Graham v. Allis-Chambers (1963,) Caremark (1996) & Stone v. Ritter (2006). ......... 91

d. Citigroup Inc. Shareholder Derivative Litigation (2009) & Dow Chemical Company

Derivative Litigation (2010). .............................................................................................. 92

e. Duidelijke overtredingen: De zaken Enron (2003) en Worldcom (2003). ................. 93

c. Conclusie. .......................................................................................................................... 94

3. Verenigd Koninkrijk. .............................................................................................................. 94

a. Art. 172 en 174 2006 Companies Act. ............................................................................... 94

b. Speciale problematiek bij delegatie van bevoegdheden en toezicht daarop. .................. 95

c. Conclusie. .......................................................................................................................... 96

4. Nederland .............................................................................................................................. 97

a. Gedragsnorm – belang van de vennootschap (duty of loyalty en duty of care). .............. 97

Page 6: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

6

i. Afdwingbaarheid gedragsnorm ..................................................................................... 98

ii. Enquêterecht en toetsingsnorm.................................................................................... 98

a. Toetsingsnorm ........................................................................................................... 99

i. Ernstig verwijt in de zin van art. 2:9 NBW. .................................................................. 100

ii. Verschil en samenhang wanbeleid en ernstig verwijt. ................................................ 101

b. Risicobeheer en aansprakelijkheid. ................................................................................. 101

c. Conclusie. ........................................................................................................................ 102

5. Duitsland .............................................................................................................................. 103

a. De Duitse business judgement rule. ................................................................................ 103

i. Aansprakelijkheid Aufsichtsrat. ................................................................................... 103

a. Voor ondernemingsbeslissingen. ............................................................................ 104

ii. Beoordeling door de rechter van risicovol gedrag. ..................................................... 104

b. Praktijkgevallen. .............................................................................................................. 104

c. Vorstandsrat. ................................................................................................................... 104

d. Conclusie Duitsland. ........................................................................................................ 104

6. De Europese Unie ................................................................................................................ 105

2. Conclusie hoofdstuk rechtsvergelijking. ...................................................................................... 105

V. Conclusie. .................................................................................................................................... 106

VI. Bibliografie............................................................................................................................... 108

Wetgeving ....................................................................................................................................... 108

België ........................................................................................................................................... 108

Verenigde Staten ......................................................................................................................... 108

Engeland ...................................................................................................................................... 108

Nederland .................................................................................................................................... 108

Duitsland ...................................................................................................................................... 109

Europese Unie ............................................................................................................................. 109

Corporate Governance Codes ......................................................................................................... 109

Rechtspraak ..................................................................................................................................... 110

België ........................................................................................................................................... 110

Verenigde staten: ........................................................................................................................ 110

Delaware.................................................................................................................................. 110

Overig. ..................................................................................................................................... 110

Engeland: ..................................................................................................................................... 111

Nederland: ................................................................................................................................... 111

Page 7: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

7

Duitsland: .................................................................................................................................... 111

Rechtsleer: ....................................................................................................................................... 111

Boeken: ........................................................................................................................................ 111

Tijdschriftartikels: ........................................................................................................................ 113

Beursreglementen: .......................................................................................................................... 117

Euronext. ..................................................................................................................................... 117

London Stock Exchange. .............................................................................................................. 117

NASDAQ. ...................................................................................................................................... 118

NYSE. ............................................................................................................................................ 118

Securities and Exchange Commission. ........................................................................................ 118

Publicaties: ...................................................................................................................................... 118

American Bar Association ............................................................................................................ 118

Corporate Governance Commissie .............................................................................................. 118

Committee of Sponsoring Organizations of the Treadway Commission. ................................... 119

Europese Unie ............................................................................................................................. 119

Financial Reporting Council ......................................................................................................... 119

IPPF-Standards............................................................................................................................. 119

Nederlandse Corporate Governance Comissie ........................................................................... 119

OESO ............................................................................................................................................ 120

FSMA: .......................................................................................................................................... 120

ISO: .............................................................................................................................................. 120

VBO-feb: ...................................................................................................................................... 120

Standard & Poor’s: ...................................................................................................................... 121

Nieuws/kranten/e.d: ....................................................................................................................... 121

Corporate Governance BEL-20 ondernemingen. ............................................................................ 121

Page 8: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

8

Voorwoord. Ondernemingen kunnen vandaag niet meer zonder een gedegen Risk Management. Een onderneming

van enige grootte heeft met te veel transacties om zomaar alles op zijn beloop te laten. Het is echter

niet altijd duidelijk wie er wanneer in verantwoordelijk is voor welke risicobeheersing en welke

controleactiviteiten binnen een onderneming. Ik zal trachten daar door onderzoek van de huidige stand

van zaken van ERM daar een antwoord op te vinden.

Dit zou echter niet gelukt zijn zonder de hulp van mijn promotor, prof. dr. C. Van der Elst.

Ook de steun van mijn vriendin en spellingcontroleur, Marijke Demaegd, moet hier zeker vermeld

worden.

Verder wilde ik nog mijn vrienden en familie bedanken voor de steun die ik van hen ontvangen heb.

Page 9: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

9

I. Thesis: Enterprise Risk Management en de raad van bestuur.

Deze thesis zal het onderwerp Enterprise Risk Management (hierna verkort: ERM) en de

verantwoordelijkheid van de raad van bestuur daarvoor behandelen.

ERM staat voor het concept dat elke activiteit van een onderneming risico veroorzaakt en dat zo’n

risico ‘beheerst’ en gecontroleerd moet worden. De raad van bestuur van een onderneming moet het

ERM implementeren en op zodanige wijze regelen dat de onderneming zo min mogelijk risico loopt,

binnen het door henzelf bepaalde kader. Dit risico wordt bijgehouden door het opzetten van een intern

controle- en risicobeheermodel, bijvoorbeeld COSO’s Integrated Framework.1

In verschillende landen, voornamelijk de VS en in de Europese Unie (in navolging van een aantal

lidstaten, zoals het Verenigd Koninkrijk, Duitsland en Nederland) zijn er de nodige wetgevende en

aanbevelende initiatieven. Niet alleen staten, ook organisaties zoals de OESO hebben aanbevelingen

gedaan. De OESO heeft dat neergeschreven in haar “Principles of Corporate Governance”,2 die net

als COSO’s Integrated Framework al dateren van 2004. Een andere organisatie die ERM behandelt is

Standard & Poor’s, dat risicobeheer verwerkt in zijn ratingbeoordelingen van ondernemingen.3

Volgens hen is het meer en meer nodig om met ERM rekening te houden, want wanneer een risico

zich voordoet kunnen de doelstellingen van een onderneming minder makkelijk gehaald worden.4 Om

te weten te komen of de materie omtrent het ERM en de aansprakelijkheid van de raad van bestuur in

België optimaal geregeld is, is een rechtsvergelijkend onderzoek nodig (infra).

1 Committee of Sponsoring Organizations of the Treadway Commission (hierna COSO)’s Integrated Framework

2004, 114 p. 2 Organisatie van Economische Samenwerking en Ontwikkeling (hierna OESO of OECD): OECD Principles of

Corporate Governance, 2004, www.oecd.org/dataoecd/32/18/31557724.pdf (20 februari 2012), OESO, The Corporate Governance Lessons from the Financial Crisis, 2009, http://www.oecd.org/dataoecd/32/1/42229620.pdf (20 februari 2012) en OESO, Board Practices: Incentives and Governing Risks, Corporate Governance, 2011 http://dx.doi.org/10.1787/9789264113534-en en http://www.oecd.org/dataoecd/33/21/49081438.pdf (20 feb 2012). 3 Standard & Poor’s (hierna S&P), Enterprise Risk Management: More Important, But Still No Panacea,

http://www.nact.org/sponsorPubs/S&P_ERM_No_Panacea.pdf (16 februari 2012), “enterprise risk management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option.” 4 S. DE GEYTER, “Organisatieaansprakelijkheid. Toepassing op de toerekening van onrechtmatige daden van

vennootschappen en op de aansprakelijkheid van bestuurders”, doctoraatsthesis 2012, Gent (hierna “Organisatieaansprakelijkheid van bestuurders”), p 173, nr 204.

Page 10: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

10

II. Korte duiding met betrekking tot de afbakening van het

onderwerp.

a. Rechtsvergelijkend deel. De rechtsvergelijking zal gaan over soft law en hard law in de VS, het VK, Nederland en er zal een

kleine uitstap gemaakt worden naar Duitsland en de werken van de Europese Commissie.

Laatstgenoemde materie is wel al omgezet in Belgisch recht en zal dus voornamelijk vanuit dat

perspectief behandeld worden. Speciale aandacht zal uitgaan naar de verantwoordelijkheden van de

raad van bestuur met betrekking tot de rol van corporate governance. Daarnaast besteed ik aandacht

aan het belang van risicobeheer in zowel het positief recht, de rechtspraak, de Corporate Governance

Codes en eventuele andere soft law.

b. Afbakening van het onderwerp. Hoewel er veel te doen is geweest de laatste jaren over de crisis in de financiële sector, beperk ik mijn

thesis tot Risk management van “gewone” industriële en handelsondernemingen, en behandel ik de

financiële sector niet. Dit neemt niet weg dat er hier en daar overlappingen zijn, zoals in de ideeën die

achter risicobeheer steken.5

5 Zie bijvoorbeeld C. VAN DER ELST, Belgian Bank Governance before and after the Financial Crisis, 2010,

raadpleegbaar op www.ssrn.com, SSRN-id1551318, p 2 over de falende interne controle in de bankensector.

Page 11: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

11

III. Enterprise Risk Management. Een korte beschrijving van de geschiedenis van het ERM is noodzakelijk om een goed begrip te

hebben van wat ERM is, in samenhang met financiële en interne controle en rapportering. We zullen

zien dat die onderwerpen vele raakvlakken hebben (infra).

a. Begrippen van het ERM. Voor dit onderwerp wordt in de basis uitgegaan van het COSO-famework van 2004.

6 In dit deel zal ik

dieper op de begrippen in gaan. Voordat kan overgaan worden tot de wettelijke regelingen en

voorstellen van toezichthouders, zullen verscheidene begrippen eerst nader belicht worden zodat de

lezer een goed beeld heeft van wat ERM en Corporate Governance nu (geworden) zijn. Hiervoor is

naast COSO’s Framework uitgegaan van o.a. publicaties van Standard & Poor’s, verschillende

publicaties van de OESO en (de Richtlijnen van) de Belgische Corporate Governance Commissie en

van de Britse Financial Reporting Council. Dit alles om niet te slaafs het COSO Framework te volgen.

1. Definitie

ERM is een dynamisch proces, dat nodig is om de strategie te bepalen van een onderneming en dit

doorheen de gehele onderneming.7,8

Het is een proces bedoeld om gebeurtenissen te ontdekken of te

identificeren die de hele onderneming aangaan.9 Het proces is er om ervoor te zorgen dat een bedrijf,

binnen zijn risk appetite, de geïdentificeerde risico’s op een juiste manier beheert en er op anticipeert

(to understand the company’s exposure to risk and how this might change, as a result of changes to

strategy and the operating environment; and to take a view on these changes) (eigen onderlijning).10

6 Onder andere omdat dit door veel Belgische ondernemingen wordt gebruikt. Zie hiervoor Belgische Corporate

Governance Commissie, De Publieke consultatie van de Corporate Governance Commissie mbt interne controle van 2012, http://www.corporategovernancecommittee.be/library/documents/Interne%20controle/2011%2001%2010_Interne%20Controle_%20NLdoc.pdf (22 februari 2012) (hierna: Publieke consultatie richtlijnen interne controle), Belgische Corporate Governance Commissie, Interne controle en risicobeheer –Richtlijnen in het kader van de wet van 6 april 2010 (hierna: Richtlijnen Interne Controle) en de Belgische Corporate Governance Code 2009, 12/01/2012. Veel ondernemingen gebruiken dit raamwerk, zie hiervoor: B.F. ASSINK, D.A.M.H.W STRIK, Ondernemingsbestuur en risicobeheersing op de drempel van een nieuw decennium: een ondernemingsgerechtelijke analyse, Preadvies van de vereeniging Handelrecht, Deventer, Kluwer, 2009 (Hierna: Preadvies van de vereeniging ‘Handelsrecht’ p. 228-229; P.P. GUPTA, Internal control, COSO 1992 Control Framework and Management Reporting on Internal Control: Survey and Analysis of Implementation Practices, 2006, raadpleegbaar op www.ssrn.com, SSRN-id1417604; K.A. DESENDER, The Influence on Board Composition on Enterprise Risk Management Implementation, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1025982; C.K. BRANCATO, E. HEXTER, Emerging Governance Practices In Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id963221 en anderen. 7 Dus los van de verschillende afdelingen in een onderneming (silo’s, infra).

8 D.M. BOWLING, A.R. LAWRENCE, Making Sense of COSO’s New Framework for Enterprise Risk Management,

2005, Bank Accounting & Finance, p 36. 9

C.K. BRANCATO, E. HEXTER, K.R. NEWMAN, M. TONELLO, The Role of U.S. Corporate Boards in Enterprise Risk Management (The Conference Board), 2006, raadpleegbaar op www.ssrn.com, SSRN-id941179, p 10; COSO integrated framework 2004, p 41. 10

Financial Reporting Council (hierna: FRC), Board and Risk. A summary of discussions with companies, investors and advisers, September 2011,

Page 12: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

12

In de praktijk kan zich dat uiten in comités die regelmatig vergaderen met managers van verscheidene

onderdelen van een onderneming.11

Daarnaast moet er voor gezorgd worden dat het bedrijf zich op de

juiste manier verzekert tegen de risico’s, zodat de ondernemingsdoelen gehaald kunnen worden. ERM

is zeker meer dan enkel financiële verslaggeving.12

Controle is enkel een hulp à posteriori, terwijl

risicobeheer ervan uitgaat dat risico’s juist op voorhand kunnen worden gedetecteerd en worden

voorkomen. Verslaggeving kan cynisch worden uitgelegd als een verhaal achteraf over hoe het

allemaal misging. Een belangrijke opmerking is nog dat ERM breder is dan enkel interne contole (Het

COSO Framework van 2004 vult dat voor Internal control van 1992 aan).13

b. Geschiedenis van het ERM. Vooraleer we dieper ingaan op de begrippen wordt eerst kort de geschiedenis van ERM behandeld.

Vanaf de jaren vijftig is er sprake van een gestage opmars van ERM. Het begrip dekte wel een andere

lading dan tegenwoordig het geval is (of zou moeten zijn).14

ERM gebeurde namelijk via een afweging

van de mogelijke kosten van het voorvallen van een risico en de kosten van een verzekering om die

kosten te dekken, indien de risico’s voorvallen. Dit was het zogenoemde ‘insurance management’,15

of

silo risk management of Traditional Risk Management (hierna verkort: TRM). Het was toen de

gewoonte om tactisch te denken, i.p.v. strategisch.16

Er werd zelfs beargumenteerd dat onder perfecte

marktomstandigheden risk management niet eens nodig was.17

De eerste onderzoeken naar ERM

betroffen voornamelijk financiële risico’s zoals wisselkoersrisico’s, die makkelijk waren in te

dekken.18

Later is geargumenteerd dat zulke studies niet erg overtuigend zijn, omdat de financiële

posities van niet-financiële ondernemingen niet groot genoeg zijn om grote risico’s in te houden. Het

behoeft geen betoog dat men toen een belangrijk element van risicobeheer vergat, namelijk het zich

niet voordoen van risico’s die, zouden ze zich hebben voorgedaan, een positief effect op de

onderneming hebben gehad (de zogenoemde opportuniteiten).19

Er werd enkel uitgegaan van

negatieve risico’s. ERM poogt te werken aan een integratie van alle risico’s die op een onderneming

http://www.frc.org.uk/images/uploaded/documents/Boards%20and%20Risk%20final.pdf (5 maart 2012), p 3 (hierna: Boards and Risk). 11

Ibid, p 11. 12

Publieke consultatie richtlijnen interne controle p 2 en Organisatieaansprakelijkheid, p 218, nr 253. 13

Organisatieaansprakelijkheid, p 177, nr. 210 en COSO’s Integrated Framework 2004, p 109 ev. 14

B.F. ASSINK, D.A.M.H.W STRIK: Preadvies van de vereeniging ‘Handelsrecht’, p. 208 en G. SABATO, Financial crisis: where did Risk Management fail?,…, raadpleegbaar op www.ssrn.com, SSRN-id1460762, p 11. 15

D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, een maatpak voor de board room, Kluwer, Deventer, 2010, (Hierna verkort: D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid) p 222. 16

L.K. MEULBROEK, Integrated Risk Management for the Firm: A Senior Manager’s Guide, 2002, raadpleegbaar op www.ssrn.com, SSRN-id301331, p 3. 17

K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op www.ssrn.com, SSRN-id1829027, p 5. 18

Studies van eind jaren ’90, begin jaren 2000. De studies van de jaren ervoor keken meer naar rechtstreekse risico’s (hazardous risks), in tegenstelling tot “business risks”, die ook een voordeel kunnen opleveren. 19

C.K. BRANCATO, E, HEXTER, Emerging Governance Practices In Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id963221, p 16. De zogenaamde business risks.

Page 13: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

13

kunnen inwerken, en te voorkomen dat risico’s los van elkaar staan.20

Hier komt de term “portfolio

management” om de hoek kijken. Doordat men alle risico’s in een portfolio steekt, en dus kan zien

welke onderdelen van de onderneming eventueel elkaars risico zouden opheffen, moet men enkel het

“overschotrisico” dekken.21

Dit moet wel genuanceerd worden (infra).

Vanaf de jaren zestig werd er meer gedaan aan wat later ‘risk management’ of risicobeheer zou heten.

Men ging kijken naar andere mogelijkheden om risico’s aan te pakken, te beheersen en te voorzien

(identificatie) dan enkel via het verzekeren. Het doel van ERM is niet zozeer risico minimalisatie als

wel het totale risicogehalte aanpassen aan de sterkte van de onderneming.22

Dit wordt geconcretiseerd

via de idee van internal control.23

De term ERM wordt pas vanaf de jaren ’90 gebruikt. Ze kwam goed in zwang vanaf de publicatie van

het Cadbury Report in het VK in 1992.24

Het VK was in Europa het eerste land dat (toen nog)

“Internal Control” onderzocht en aanbeval aan ondernemingen. Hier zijn later veel meer publicaties

over gemaakt.25

Het probleem met het internal control-idee is dat dit slechts een partiële controle

inhoudt (TRM) van een gedeelte van de onderneming.26

Wetgeving na de grote boekhoudschandalen

hielp ERM verder in het zadel. Men moet dan denken aan de SOX-wetgeving (zie infra) en de eerste

generatie Corporate Governance Codes.27

Voor een uitgebreide bespreking van de ontwikkeling van het engere begrip ‘internal control’ tot het

bredere begrip ERM, zie de studie van PAGE, M. en SPIRA, L.F.28

Het belangrijkste probleem van

‘internal control’ was dat het bleef zitten met de vraag wat er belangrijker was, risico of controle. Een

goed voorbeeld van het grote verschil is de IJslandse vulkaancrisis na de uitbarsting van de

Eyjafjallajökull op 20 maart 2010. Die zorgde voor grote verstoringen in de Europese luchtvaartsector

vanaf 15 tot 21 april. Men kan als luchtvaartmaatschappij nog een zodanig goede interne controle

20

K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op www.ssrn.com, SSRN-id1829027, p 9. 21

COSO’s Integrated Framework 2004, p 59. 22

K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op www.ssrn.com, SSRN-id1829027, p 10. 23

P.P. GUPTA, Internal Control, COSO 1992 Control Framework and Management Reporting on Internal Control: Survey and Analysis of Implementation Practices, 2006, raadpleegbaar op www.ssrn.com, SSRN-id1417604, p 58. 24

FRC, The Cadbury Report (The Financial Aspects of Corporate Governance), 1 december 1992 en nu de UK Corporate Governance Code 2010 (http://www.frc.org.uk/documents/pagemanager/corporate_governance/uk%20corp%20gov%20code%20june%202010.pdf)(19 december 2011). 25

Zie http://www.frc.org.uk/corporate/internalcontrol.cfm (5 maart 2012) over interne controle en http://www.frc.org.uk/corporate/auditcommittees.cfm (5 maart 2012) over auditcomités. 26

FRC, Boards and Risk, p 9. 27

D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 222-223. Bijvoorbeeld de Code-Lippens van 2004 in België voor beursgenoteerde ondernemingen, de code-Tabaksblat van 2003 in Nederland (Inwerkingtreding 30 december 2004), of de Turnbull Guidance van 2005 in het VK. 28

M. PAGE, L.F. SPIRA, Risk Management, the reinvention of internal control and the changing role of internal audit, 2002, raadpleegbaar op www.ssrn.com, SSRN-id483743.

Page 14: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

14

hebben29

, als men nergens rekening houdt met “onverwachte” gebeurtenissen zoals vulkanen, orkanen,

e.d. dan zit men toch met een probleem. We zullen later zien dat zulk risicobeheer een afweging blijft

van baten en kosten.30

Een complete definitie van interne controle is gegeven door de SEC: “Het vrijwaren van activa is één

van de belangrijkste doelen van de Amerikaanse interne audit wetgeving. Na enige evolutie focust

deze wetgeving op interne controle structuren. De categorieën interne boekhouding controle en

administratieve controle worden namelijk vervangen door interne controle structuur. De wetgeving

definieert dat aan de hand van drie factoren: controle omgeving, het boekhoudsysteem en

controleprocedures, dus evaluatie van de controlemechanismen en de onderneming.” Dit is in lijn met

COSO.31

c. Noodzaak en belang van ERM Er zijn naast bovenvermelde rechtszaken verschillende andere bewijzen dat ERM weldegelijk

noodzakelijk is, volgens een studie van R.E. HOYT e.a. is de waarde van een onderneming met een

degelijk ERM 16,5% hoger dan die van een onderneming die dat ontbeert.32

Verder bestaat door zulke

schandalen de kans dat de welvaart in het algemeen afneemt, dit door bijvoorbeeld afgenomen

vertrouwen en geschokt aandeelhoudersvertrouwen.33

Één van de belangen van Corporate Governance

is dit vertrouwen te herstellen en te behouden. De rol die ERM daarin speelt is door risico’s, zowel

interne als externe op tijd te detecteren en te corrigeren of te ondergaan met minder grote gevolgen.

ERM gaat er vanuit dat men alle risico’s als een geheel behandelt.34

Het belang van een interne controle - en risicobeheersysteem(dus zowel ERM als TRM) is dat die een

belangrijke rol spelen in de vervulling van de doelstellingen van de onderneming, zijnde de winst

optimaliseren door een goede afweging te maken van mogelijkheden en risico’s.

Het is wel van belang dat de boekhouding van een hoog niveau is en goed wordt gecontroleerd, het is

dan ook een taak van de raad van bestuur om dit goed op te volgen (zie ook infra, het hoofdstuk over

de verantwoordelijkheden van de raad van Bestuur).35

29

Bijvoorbeeld voor onderhoud, of opvang en vervanging van zieke piloten. 30

Infra. 31

Securities and Excange Commission (hierna SEC), Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, http://www.sec.gov/rules/final/33-8238.htm#ia (8 maart 2012). 32

R.E. HOYT, The Value of Enterprise Risk Management, Inleiding, raadpleegbaar op www.ssrn.com, SSRN-id1440947. 33

S. SIMKIN, S.A. RAMIREZ, Enterprise-Wide Risk Management and Corporate Governance, raadpleegbaar op www.ssrn.com, SSRN-id1657036, p 572 en het daar genoemde citaat van George Soros. Zie ook Publicatie Europese Commissie, Delarosière rapport, 2009, p 6. 34

B.W. NOCCO, R.M. STULZ, Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar op www.ssrn.com, SSRN-id921402, p 2.

Page 15: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

15

Er zijn echter stemmen die zeggen dat ERM nog geen bewezen nut heeft.36

Ook zijn er onderzoekers

die ondervonden hebben dat ondernemingen eerder geneigd zijn ERM te implementeren (bijvoorbeeld

door het aanstellen van een Chief Risk Officer (hierna verkort: CRO) nadat negatieve gebeurtenissen

een impact op de onderneming gehad hebben.37

Anderen concluderen dan weer dat ondanks een

gebrek aan empirisch onderzoek risicobeheer weldegelijk nut heeft. Zeker als men de nadruk legt op

de toegenomen transparantie van het reilen en zeilen van ondernemingen ingevolge nieuwe

wetgevende initiatieven.38

Volgens COSO assisteert een CRO een CEO bij het nemen van beslissingen

die risicovol zijn.39

Een CRO moet voldoende ervaring hebben en op gelijke voet met de andere

bestuurders staan. De praktijk, toch tenminste in het VK,40

wijst uit dat ERM niet meer wordt aanzien

als enkel een aangelegenheid van enkel(e) comités, maar ook van de gehele raad van bestuur.

Of een CRO nut heeft is anderzijds nog lang niet bewezen. Na lange discussies is besloten die niet

verplicht te maken in de nieuwe Engelse Corporate Governance Code. Een belangrijk argument is dat

een CRO voor niet-financiële ondernemingen een te zware last zou zijn.41

In Nederland wordt een

CRO wel aanbevolen voor financiële ondernemingen.42

1. Meerwaarde van ERM.

Zowel op macro- als op microniveau biedt ERM een grote meerwaarde voor het welzijn van een

onderneming.43

Op macroniveau doordat ondernemingen zich door het invoeren van ERM in staat stellen om

kwalitatieve en kwantitatieve inschattingen te kunnen maken van toekomstige risico’s en hiervoor

maatregelen te kunnen nemen, waardoor ze later niet meer verrast kunnen worden. Dit vertaalt zich

onder meer in het feit dat de onderneming niet enkel gewaardeerd wordt voor huidige projecten, maar

dat er minder onverwachte risico’s voor de toekomst moeten worden ingecalculeerd, omdat die al

bekend zijn door een doordacht ERM. Dat komt doordat een onverwachte terugval in cashflow die kan

gebeuren doordat een risico zich voordoet waardoor er geen winst maar juist verlies wordt geboekt een

35

Inleiding Turnbull guidance. http://www.frc.org.uk/documents/pagemanager/frc/Revised%20Turnbull%20Guidance%20October%202005.pdf (27 december 2011). 36

L. PAAPE, R.F. SPEKLÉ, The adaption and design of Enterprise Risk Management Practices: An Empirical Study, raadpeegbaar op www.ssrn.com, SSRN-id1658200 en K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op SSRN-id1829027. 37

D. PAGACH, A. WARR, An Emperical Investigation of the Characteristics of Firms Adopting Enterprise Risk Management, raadpleegbaar op SSRN-id1010200. 38

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 193, nr. 227. 39

Ibid., p 186, nr. 222. 40

FRC, Boards and Risk, p 5. 41

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 187, nr. 222. 42

D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid) p 231, en de daar genoemde aanbevelingen van de Commissie-Maas met betrekking tot de hervorming van de banksector. 43

NOCCO, B.W., STULZ, R.M., Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar op www.ssrn.com, SSRN-id921402, p 3.

Page 16: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

16

groter verlies veroorzaakt dan enkel het verlies op dat moment.44

Door de terugval in cashflow kunnen

toekomstige projecten minder makkelijk uitgevoerd worden, of enkel tegen een hogere kost

(bijvoorbeeld doordat de financieringskost hoger wordt, doordat er moet worden geleend). Men moet

er ook rekening mee houden dat investeringsrisico’s niet simpelweg “wegverzekerd” of gehedged

kunnen worden, want er zijn geen partijen die dit risico willen, doordat zij minder informatie hebben

dan de onderneming die wil investeren. Het is bijgevolg van belang dat de onderneming zelf de

mogelijke risico’s goed inschat (en dit meedeelt aan eventuele aandeelhouders, zodat zij zich

heroriënteren op hun keuze om te beleggen in die specifieke onderneming).

Op microniveau ontstaan er voordelen doordat ERM een deel van ondernemingscultuur wordt,

waardoor heel de onderneming als het ware doordrenkt wordt van het belang van een risico afweging

bij het stellen van elke handeling.45

Hiermee wordt bedoeld dat, omdat de onderneming met ERM het totale risiconiveau meet, er bij elke

beslissing die het risiconiveau omhoog brengt, ervoor moet worden gezorgd dat er door het nemen bij

zo’n beslissing ook voldoende maatregelen genomen moeten worden om de mogelijke risico’s op te

vangen, waardoor de onderneming later niet voor onverwachte risico’s komt te staan.46

Ook is het beter dat niet elke “risicodragende beslissing” eerst centraal moet worden goedgekeurd,

want dan wordt de flexibiliteit van een onderneming te zeer in het gedrang gebracht. Elke afdeling van

een onderneming moet zelf in staat geacht en gesteld worden zulke beslissingen te nemen, het liefst

wel afhankelijk van een prestatie evaluatie van de afdeling. Dit om het nemen van risico’s niet de

spuigaten uit te laten lopen.47

In hun studie gaan NOCCO en STULZ nog een stap verder, volgens hen

moet er een “ownership” van ERM ontstaan om de meest optimale beslissingen te kunnen nemen. Dit

ontstaat volgens hen omdat zij die beslissingen nemen en daarbij ERM niet optimaal benutten, en zij

zullen dit voelen in hun evaluatie die namelijk prestatiegebonden is.

Een volgende stap is om te beslissen hoe een onderneming zijn risico’s onderverdeelt en aan welke er

de meeste aandacht worden gegeven. Informatievoorziening is hier van uiterst belang. Op basis

hiervan moet beslist worden aan welke omstandigheden er meer voorrang wordt gegeven, op basis van

waarschijnlijkheid.48

Hierin ligt een deel van de vraag hoever aansprakelijkheid van bestuurders gaat;

44

Ibid., p 4. 45

Ibid., p 3 en DE WULF, H., Taak en loyaliteitsplicht van het bestuur in de naamloze vennootschap onuitg. doctoraatsthesis Rechten U Gent, 2001, nr. 455. 46

NOCCO, B.W., STULZ, R.M., Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar op www.ssrn.com, SSRN-id921402, p 6. 47

Ibid, p 7. 48

Ibid., p. 22. Zij geven als voorbeeld het “defaulten” van Rusland op een deel van zijn staatsschuld. Men kan argumenteren dat het “failliet gaan” van een land nu waarschijnlijker is dan een aantal jaar geleden en dus meer meegerekend moet worden in risicobeheerprogramma’s van ondernemingen, vooral financiële en verzekeringsondernemingen.

Page 17: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

17

“moesten ze alles voorzien?”49

Verder kan het mogelijk zijn dat op basis van het ERM-beleid van een

onderneming de onderneming meer buffer kapitaal nodig heeft dan wettelijk is voorzien.50

Wel is het zo dat in plaats van de oorspronkelijke doelstelling van ERM (de waarschijnlijkheid van

grote hoeveelheden negatieve cashflow doorheen de gehele onderneming) de meeste ondernemingen

op zoek gaan naar het verminderen van “downside risk”(d.w.z. het potentiële verlies op een

investering).51

Toch zijn deze bevindingen niet de hele waarheid. In hun studie hierover komen PAGACH en WARR52

tot de conclusie dat ondernemingen die meer schuldgefinancierd zijn en slechter presteren op de beurs

sneller zullen overgaan tot het opzetten van een ERM-programma. Ze stellen zich terecht de vraag of

ERM-programma’s niet eerder zijn opgesteld om redenen vreemd aan risicobeheer op zich, maar

bijvoorbeeld om aandeelhouders of schuldeiseres e.d. gerust te stellen, of om weer op “het juiste pad”

te geraken, nadat de onderneming in zwaar weer terecht was gekomen. Zij komen tot deze conclusie

doordat ze ontdekt hebben dat ondernemingen die meer risico hebben op slechte resultaten sneller

CRO zullen aanstellen.53

Zulke ondernemingen gaan er vanuit dat een dergelijke aanstelling

toekomstige slechte resultaten zullen voorkomen. M.a.w. deze aanstelling gebeurt à posteriori, pas

nadat er slechte resultaten geboekt zijn. Een andere reden is nog dat raden van bestuur meer geneigd

zijn een CRO aan te stellen als blijkt dat er een meer risiconemende CEO aan het hoofd van de

onderneming staat. Dat d aanstelling van een CRO een goede graadmeter is van het initiëren van een

ERM-programma bewijzen meerdere studies.54

d. Wat is Enterprise Risk Management (nu geworden)? Ondanks de beperking van het onderwerp tot “gewone” ondernemingen is het voor dit onderwerp

nodig om niet alleen naar zulke ondernemingen te kijken, maar ook naar de organisatie van

risicobeheer in andere sectoren, zoals de financiële sector en de autosector.55

De eerste sector heeft nu

veel aandacht in de rechtsleer en de gewone pers en is bezig met het ontwikkelen van (broodnodige)

risicobeheersystemen. De automobielsector heeft het dan weer nodig, omdat die zijn crisissen al gehad

heeft. Het bewijs voor de financiële sector is onder andere de kredietcrisis uit 2007.56

Die begon in de

49

Het antwoord hierop is neen, zie infra. 50

PAGACH, D., WARR, R., An Empirical Investigation of the Characteristics of Firms Adopting Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1010200., p 28. 51

Ibid. 52

Ibid., p 5. 53

Ibid., p 3 en S&P, Enterprise Risk Management: More Important, But Still No Panacea, p 2. 54

Ibid., p 6 en de daar aangehaalde onderzoeken. 55

ISO: ISO/TS 16949, over effectief ‘supply chain management’; i.e zo efficiënt mogelijk werken in de gehele keten met zo min mogelijk fouten (http://www.iso.org/iso/iso_catalogue/management_standards/specific_applications/specific-applications_automotive.htm) (8 april 2010). 56

S&P, Enterprise Risk Management: More Important, But Still No Panacea, http://www.nact.org/sponsorPubs/S&P_ERM_No_Panacea.pdf (16 feburari 2012), en JANSSENS, E., Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4, p 8.

Page 18: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

18

VS en had in 2008 en 2009 grote gevolgen voor de wereldeconomie (zeker na het failliet van Lehman

Brothers in september 2008). 57

Men mag echter ook de impact van bijvoorbeeld het milieuschandaal

van BP in de Golf van Mexico58

of de luchtvaartchaos rond de uitbarsting van de IJslandse vulkaan

Eyjafjallajökull (infra) niet vergeten. Voor de autosector vallen dan de nationalisatie van General

Motors59

in de VS in 2009, of de drastische bezuinigingen bij Ford60

zeker te vermelden.

Toch is het noodzakelijk niet te lang stil te blijven staan bij de werking van het intern toezicht in de

financiële sector (Basel II bijvoorbeeld en de daaruit voortvloeiende regels) en de automobielsector,

aangezien men hierover een aparte thesis zou kunnen schrijven.

Het doel van het kijken naar deze sectoren is enkel om inspiratie op te doen door de globale ideeën die

achter hun ERM steken aan het licht brengen en te zien wat die zouden kunnen betekenen voor

“gewone handelsondernemingen”.61

Volgens de OESO is het alleszins noodzakelijk dat Corporate

Governance meer zal focussen op ERM, en dat die nieuwe aanpak niet enkel zal gelden voor

financiële instellingen maar ook voor gewone ondernemingen.62

Dit om andere stakeholders te kunnen

beschermen, bijvoorbeeld tegen fraude. Men kan denken aan de zaak Enron in de VS (met als één van

de gevolgen de totstandkoming van de Sarbanes-Oxley act van 2002), het Lernhout & Hauspie-

schandaal uit 2001 in België of de Ahold-zaak in 2003 in Nederland (een reactie hierop was de Code-

Tabaksblat van 200363

in Nederland en de Code-Lippens in België in 200464

). Een goede naleving van

die Codes is wel vereist.65

De stakeholders met de grootste belangen zijn de overheid, de

aandeelhouders en de werknemers. Die leden allemaal grote verliezen in voorgenoemde zaken.66

Al deze zaken waren o.a. het gevolg van onvoldoende risicobeheer en intern toezicht in de

ondernemingen zelf. Ook ontbrak de nodige rapportering vanuit het management naar de raad van

bestuur en zeker naar de aandeelhouders (vergelijk ook het recente faillissement van Van der Moolen

57

BBC News: http://news.bbc.co.uk/2/hi/7615931.stm (3 april 2010). 58

FRC, Boards and Risk, p 5. 59

S. MUFSON , GM's New Escape Route: Partial Nationalization, Washington Post, 28 april 2009, http://www.washingtonpost.com/wp-dyn/content/article/2009/04/27/AR2009042700872.html (4 april 2012). 60

Waaronder het afstoten van Volvo Cars aan het Chinese Geely, http://www.volvocars.com/nl-be/top/about/news-events/pages/default.aspx?itemid=68 (4 april 2012). 61

OESO:“Directorate for Financial and Enterprise Affairs OECD Steering Group on Corporate Governance Paper: Corporate Governance and the Financial Crisis, Conclusions and emerging good practices to enhance implementation of the Principles 2010”, 24 februari 2010 (hierna: “Conclusions and emerging good practices”) (www.oecd.org/dataoecd/53/62/44679170.pdf, 21 maart 2010). 62

OESO: The Corporate Governance Lessons from the Financial Crisis, G. KIRKPATRICK, 2009, p 3. 63

Code Tabaksblat 2003 (corporate governance code Nederland), inwerking 30 december 2004. 64

Belgische Corporate Governance Code 2004, 9 december 2004, www.corporategovernancecommittee.be (3 april 2010), inwerking 1 januari 2005. Vervangen door de Belgische Corporate Governance Code 2009. 65

OECD: “Conclusions and emerging good practices”, p 17. 66

Ook het Parmalat-schandaal uit 2003 in Italië of Worldcom (2002) in de Verenigde Staten zijn vergelijkbare schandalen met fraude en “creatief boekhouden”. Het ontbreekt hier aan de ruimte en tijd om op al deze zaken dieper in te gaan; zij kunnen elk het onderwerp van een thesis op zich vormen. Zie hierover ook: W. M. SHANER, Restoring the Balance in Corporate Management: Enforcing an Officer’s Duty of Obedience, The Business Lawyer, Vol 66, November 2010 (hierna te noemen: Restoring the Balance in Corporate Management), p 28 en voetnoten.

Page 19: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

19

in Nederland). 67

Er schortte dus wel één en ander aan interne audit en interne rapportering (infra).68

Hierdoor neemt het topmanagement van een onderneming niet altijd de juiste beslissingen, zowel

gewild (doordat er een gebrek aan controle op hen is) als ongewild (door onwetendheid volgend uit

gebrekkige interne communicatie).

In deze thesis zal dan ook zeker aandacht worden besteed aan de rol van delegatie in het kader van een

goed ERM-beleid.69

Zie als voorbeeld de verplichting van de NYSE waarbij zij ‘assigns to the

company’s audit committee the duty and responsibility to “discuss policies with respect to risk

assessment and risk management”(eigen onderlijning)70

in de VS en vergelijkbare auditregelingen.

e. Nadere uitwerking van de begrippen van het ERM.

1. Identificatie van gebeurtenissen.

Men kan nog zo’n goed systeem hebben voor het opvangen van risico’s, als men niet weet in welke

vorm die zich manifesteren, kan er alsnog van alles fout gaan. Er kan bijvoorbeeld te laat of verkeerd

of niet voldoende worden ingegrepen. Bijvoorbeeld een gebeurtenis die op het eerste gezicht negatief

lijkt, kan met de juiste respons een goede opportuniteit uitmaken.71

Er moeten met andere woorden

verschillende alternatieven worden uitgewerkt met betrekking tot bepaalde gebeurtenissen.

a. Soorten gebeurtenissen.

Dit kan gaan om zowel interne als externe, zoals bijvoorbeeld ongelukken op de werkvloer, niet-

toereikende protocollen voor bepaalde processen (dit kan effectief bestuurdersaansprakelijkheid

opleveren, bijvoorbeeld bij de Ceteco-zaak in Nederland, infra),72

als een onverwachte neergang in de

economie, een storm, etc.

2. Dynamisch proces.

Elk jaar veranderen de inzichten en risico’s.73

Tegenwoordig moet er bijvoorbeeld meer aandacht

besteed worden aan de kwaliteitscontrole van in China geproduceerde goederen dan pakweg zes of

zeven jaar geleden74

al was het maar omdat beleggers daarom vragen (zie hier het verband met

reputatieschade –en risico, infra). Dit is dan ook één van de redenen waarom er minstens één keer per

67

T. TOMIĆ, Alle partijen willen onderzoek VDM, VEB Effect, 3 april 2010, p 8. In casu het niet naar buiten brengen van negatieve interne rapporten. 68

C. VAN DER ELST,M. VAN DAELEN, Risk Management in European and American Corporate Law, ECGI Working Paper Series in Law, Working Paper N°.122/2009, raadpleegbaar op www.ssrn.com, SSRN-id: 1399647, p 28 en 29. 69

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, nr. 167, p 236 en 237. 70

C.K. BRANCATO, E. HEXTER, Emerging Governance Practices In Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id963221, p 24 & Section 303A.07(c)(iii)(D) van de NYSE Listed Company Manual, raadpleegbaar op www.nyse.com (10 april 2010). 71

COSO’s Integrated Framework 2004, p 41 en p 47. 72

LJN: BB9709, Rechtbank Utrecht, 171413/ HA ZA 04-34, raadpleegbaar op www.rechtspraak.nl. 73

Zie hiervoor o.a. FRC, Boards and Risk, p 8. 74

S. SIMKIN, S.A, RAMIREZ, Enterprise-Wide Risk Management and Corporate Governance, raadpleegbaar op http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1657036, p 571.

Page 20: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

20

jaar gerapporteerd moet worden door het management aan de raad van bestuur. We zullen later zien

dat er voorbeelden zijn van ondernemingen waarbij dat zelfs vaker gebeurd, en met goed resultaat.

Wat er ook in de loop der tijd veranderd is, is wat onder de ‘best practices’ van ERM wordt

begrepen.75

Dit wordt bevestigd door hetgeen S&P zegt in hun verklaring van 7 mei 2008, namelijk

dat het een proces is dat voor elke onderneming anders is en dat niet jaar na jaar hetzelfde is. De

Belgische Corporate Governance Commissie is hier ook van doordrongen. Ze zegt in de inleiding van

de “Resultaten van de publieke raadpleging” over de interne controle systemen van de Corporate

Governance Code: “Met de richtlijnen werd in hoofdzaak beoogd een aanpasbaar instrument te bieden

aan de aard en de omvang van de vennootschappen.” (eigen onderlijning).76

Bijvoorbeeld voor de

automobielsector wordt ERM door S&P zwaarder aangerekend dan in andere sectoren. De Belgische

Commissie bepaalt bijvoorbeeld voor KMO’s minder zware verplichtingen in haar richtlijnen omtrent

risicobeheer, bijvoorbeeld door enkel een mondeling meegedeelde strategie en filosofie toe te passen,

bijvoorbeeld omdat alles op schrift stellen te kostbaar is voor een kleine(re) onderneming.77

De FRC

wijst erop dat in de praktijk (in het VK) hetzelfde gemerkt wordt.78

Ondernemingen hebben in die

vragenronde geantwoord op de vaag naar het nut van interne risicocomités dat, wanneer die er zijn,

externe audit niet echt nodig is (infra), maar dat zulke comités voor KMO’s niet altijd haalbaar zijn, en

dat die dan wel weer baat hebben bij externe audit.79

Verder kan men denken aan bijvoorbeeld in de

farmaceutische sector80

het opzetten van specifieke compliance committees, of bij aardoliebedrijven

specifieke comités met betrekking tot het in de gaten houden van milieurisico’s, of in de

transportsector m.b.t. extra aandacht voor spanningen in het Midden-Oosten met het oog op eventueel

stijgende brandstofprijzen. Een ander voorbeeld is nog dat in de praktijk niet alle ondernemingen een

CRO hebben, en dat zoiets meer voorkomt bij financiële ondernemingen dan bij andere.81

S&P geeft

nog het voorbeeld van een onderneming die vooral blootgesteld is aan één specifiek risico,

75

C.K. BRANCATO, E. HEXTER., K.R. NEWMAN, M. TONELLO, The Role of U.S. Corporate Boards in Enterprise Risk Management (The Conference Board), 2006, raadpleegbaar op www.ssrn.com, SSRN-id941179, p 33. 76

Corporate Governance Commissie, Richtlijnen Interne Controle, zie o.a. p 8. Concrete aanwijzingen hiervoor worden (o.a.) gegeven door COSO zelf. “Embracing Risk Management, Practical Approaches for Getting Started, http://www.coso.org/documents/EmbracingERM-GettingStartedforWebPostingDec110_000.pdf (3 april 2012) en Developing Key Risk Indicators to Strengthen Enterprise Risk Management http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110_000.pdf (3 april 2012). Zie ook COSO Releases Two Additional Thought Papers on Enterprise Risk Management http://www.coso.org/documents/ReleaseCOSOJanuary2011ERMThoughtPapersfinal_000.pdf (3 april 2012) en COSO’s Integrated Framework 2004, p 32: “The appropriateness of an entity's organizational structure depends, in part, on its size and the nature of its activities.(…) Whatever the structure, an entity's activities will be organized to carry out the strategies designed to achieve particular objectives.” 77

Corporate Governance Commissie, Richtlijnen Interne Controle, p 10 en DE WULF, H., Taak en loyaliteitsplicht van het bestuur in de naamloze vennootschap onuitg. doctoraatsthesis Rechten U Gent, 2001, nr. 472 (hierna: taak en loyaliteitsplicht van het bestuur). 78

FRC, Boards and Risk, p 6. 79

Ibid., p 11. 80

Ibid., p 6. 81

Ibid., p 7. Bij ondernemingen waar dat niet het geval is, is die rol meestal weggelegd voor de CFO of voor de “compliance officer”.

Page 21: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

21

bijvoorbeeld grondstoffenprijzen. Die ondernemingen zullen ook anders worden behandeld door S&P

en zullen zelf ook hun ERM aan een dergelijk risico moeten aanpassen.82

Andere ondernemingen die

niet blootgesteld zijn aan één risico kunnen het moeilijk hebben om alle risico’s in te schatten, en

kunnen eventueel gedwongen zijn een deel van de activiteiten af te stoten (of enkel in zee te gaan met

leveranciers of aannemers waarvan de onderneming zeker weet dat die op vlak van ERM dezelfde

waarden hebben als zijzelf)83

als wordt gemerkt dat die activiteiten te veel risico’s genereren. Het

probleem voor zulke ondernemingen is dat niet alle risico’s even makkelijk, of op dezelfde manier

gekwantificeerd kunnen worden. Het is wel zo dat ERM geen “voorbijgaande rage” is en blijvend met

behoorlijk ondernemingsbestuur verbonden is.84

Dit geldt zowel voor risicobeheer op zich als voor het

besef dat geïsoleerd risicobeheer (TRM) niet altijd zinvol is.85

Doordat ERM een dynamisch proces is, net als de onderneming en zijn omgeving, is opvolging van

het grootste belang. Veranderingen moeten immers op tijd worden opgemerkt, zodat het risicobeheer-

en controlesysteem kan worden aangepast. Afhankelijk van de onderneming kan dat continu of

steekproefsgewijs. Dit laatste kan vaak of minder vaak gebeuren.86

De doorstroming van informatie is

zeer belangrijk (zie infra).

3. Strategisch.

Zoals reeds vermeld, gaat ERM om zowel de onderneming, als de stakeholders. Het strategisch

denken heeft als doel om na te gaan wat het doel van het specifieke ERM is; bijvoorbeeld verminderen

van fluctuaties in omzet of winst of de waarde van de onderneming. Het strategisch risico is treffend

beschreven door De Standaard87

met betrekking tot de bekendmaking van de jaarcijfers van Bekaert

over 2011 (Een slecht jaar dat zelfs 609 ontslagen in België kostte): “De vraag blijft of Bekaert de

implosie van de markt voor zaagdraad (hun belangrijkste product in de voorgaande jaren) niet had

kunnen voorzien”,waarop Bekaert antwoordde: “China is West-Vlaanderen niet, je kan het niet altijd

zien gebeuren. Het is onmogelijk dat allemaal te overzien.” Maar is dat wel zo? Met een betere interne

communicatie en misschien meer mensen in het veld in China zouden de opkomende concurrentie en

de gevolgen daarvan beter in te schatten geweest zijn en had Bekaert zich eerder op andere producten

kunnen richten of andere afnemers kunnen zoeken.

82

S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, http://www.standardandpoors.com/servlet/BlobServer?blobheadername3=MDT-Type&blobcol=urldata&blobtable=MungoBlobs&blobheadervalue2=inline%3B+filename%3DCorporate_SP_to_Apply_ERM_05_07_2008.pdf&blobheadername2=Content-Disposition&blobheadervalue1=application%2Fpdf&blobkey=id&blobheadername1=content-type&blobwhere=1243723417198&blobheadervalue3=UTF-8 (13 februari 2012), p 5. 83

O.a. FRC, Boards and Risk. Dit is ook met het oog op reputatieschade-risico van belang (infra). 84

S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, p 3, en o.a. Publicatie FRC, Boards and Risk. 85

FRC, Boards and Risk, p 9. 86

COSO’s Integrated Framework 2004, p 75 e.v. (Monitoring). 87

De Standaard 25 febrauri 2012, p 67, dagblad, Bekaert bekomt van zonneslag.

Page 22: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

22

Het is de raad van bestuur die dat het best de strategie bepaalt. Er wordt hierop nog uitgebreid

teruggekomen (infra).88

4. Gehele onderneming.

Samenhangend met wat supra met betrekking tot strategie bepaald is, is het zo dat focussen op één

potentieel risicogebied geen goed risicobeheer uitmaakt.89

Dit komt omdat een verandering of

anticipatie in één gebied hoe dan ook effect heeft op andere terreinen binnen de onderneming,

bijvoorbeeld expansieplannen die in gevaar kunnen komen als men beslist om zo weinig mogelijk

schulden te hebben.90

Het ‘schuldrisico’ is dan wel zo laag mogelijk, maar de mogelijkheid om uit te

breiden, en op die manier ‘positieve risico’s’ te generen (opportuniteiten), is er dan niet meer 91

a. Ondernemingscultuur

ERM is pas effectief als iedereen in de onderneming daaraan bijdraagt. Dit wordt erkend door

verschillende organisaties, zoals de Belgische Corporate Governance Commissie. Zij verwoordt het

als volgt: “De informatie (over het risicobeheerproces) dient te worden verspreid in alle geledingen

van de vennootschap.” 92

Ook ratingbureau S&P is begonnen met het verwerken van een ERM-factor

in zijn beoordelingen van ondernemingen.93

De nadruk zal liggen op de risicobeheer-cultuur van de

hele onderneming. 94

Deze hypothese wordt verantwoord door het uitgangspunt dat doordat de top van een onderneming

ERM in de gehele onderneming stimuleert, de onderneming uiteindelijk minder te maken krijgt met

rechtszaken die zijn aangespannen door aandeelhouders.95

Men kan de top van een onderneming beter

laten presteren door de drijfveren96

die zij ontvangen meer te laten stroken met de risico’s en resultaten

van een onderneming, maar dan moet de informatie intern wel correct worden gerapporteerd doorheen

88

Zie o.a. FRC, Boards and Risk, p 3. 89

DE WULF, H., Taak en loyaliteitsplicht van het bestuur in, nrs. 455 en 466. 90

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 176, nr. 209. 91

L.K. MEULBROEK, Integrated Risk Management for the Firm: A Senior Manager’s Guide, 2002, raadpleegbaar op www.ssrn.com, SSRN-id301331, p 4. Een voorbeeld is dat men te veel uitgaat van de betrouwbaarheid van ratingbureau’s (zoals S&P). Maar een rating is slechts een schatting van de waarschijnlijkheid van het niet kunnen terugbetalen van schulden op basis van verschillende ratio’s en analyses. 92

Corporate Governance Commissie, Richtlijnen Interne Controle, p 15, en p 19, waar er sprake is van een handboek of iets soortgelijks over boekhoud- en rapporteringsprincipes dat het best doorheen de gehele onderneming moet worden verspreid. Zie ook FRC, The Board and Risk, “The Board’s overall responsibilities included determining the company’s approach to risk, setting its culture, risk identification, oversight of risk management, and crisis management,” p 2. 93

K.M. MCSHANE, A. NAIR, A. RUSTAMBEKOV, Does Enterprise Risk Management Increase Firm Value?, raadpleegbaar op SSRN-id1829027, p 4. S&P zegt hier zelf over: we will enhance transparency by providing investors and issuers our views of a management team's ability to understand, articulate, and successfully manage risk. 94

S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, http://www.nact.org/sponsorPubs/S&P_Enterprise_Risk_Management.pdf (8 maart 2012), p 4. 95

S&P: Enterprise Risk Management: More Important, But Still No Panacea, p 4, zie ook S. DE GEYTER, Organisatieaansprakelijkheid, p 227, nr. 259. 96

Bijvoorbeeld door de accrual periode niet te kort te maken. In de financiële sector is dit minimaal 12 maanden.

Page 23: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

23

de hele onderneming. Dit gaat makkelijker als de hele onderneming handelt volgens dezelfde

filosofie.97

b. Informatie en communicatie.

Dit past goed in het verhaal van “de gehele onderneming”, omdat het namelijk noodzaak is dat

informatie het personeel in staat stelt hun taken tijdig en juist uit te voeren, en dus bijgevolg op de

risico’s te reageren.98

Het is noodzakelijk dat de communicatie wordt geïntegreerd met het

operationele deel van de onderneming. Volgens COSO zijn er vijf criteria voor informatie:

- aangepast aan de noden van de ontvanger, waaronder het juiste niveau van detail;

- de informatie is op tijd geleverd;

- het is de meest recente informatie;

- de geleverde informatie is correct; en

- de informatie moet makkelijk toegankelijk zijn voor degene die de informatie ontvangt.99

Het is niet nodig is alle informatie door te spelen aan de raad van bestuur, omdat die uiteindelijk de

wettelijke taak heeft de grote lijnen te bepalen100

en ook omdat een informatie overflow de

beslissingen niet ten goede komen. Het is met andere woorden duidelijk wie welke bevoegdheden en

verantwoordelijkheden heeft.

Het vereist een goede organisatiestructuur 101

(met een duidelijke bepaling van verantwoordelijkheden

en bevoegdheden) 102

en veel vertrouwen en openheid (men kan dit linken aan de opmerking over

rapportage, infra) om de onderliggende lagen te laten beslissen welke informatie relevant is en welke

niet.103

COSO noemt dit Internal Environment (zie ook infra bij risk management philosophy).104

Hiermee wordt bedoeld dat waarschuwingen over de mogelijke negatieve gevolgen van een bepaalde

beslissing open en eerlijk kunnen worden gemeld, zonder dat die als een persoonlijke aanval worden

97

S. DE GEYTER, Organisatieaansprakelijkheid, p 227, nr. 259. Er moet voor worden gewaakt dat men, doordat ERM over de gehele onderneming gaat, uitgaat van een “netto-risico”.

97 Men kan zich de vraag stellen hoe dat

kan, aangezien men de kansen van twee verschillende gebeurtenissen niet kan vergelijken, laat staan optellen of aftrekken. Het is nodig een balans te vinden tussen enkel kijken naar het “netto-risico” en portfoliomanagement. Het belangrijkste aan portfoliomanagement is dat bestuurders kunnen ontdekken dat de individuele risico’s per silo wel in orde zijn, maar dat de totale blootstelling te groot is. Dit is in tegenstelling tot uitgaan van netto-risico, waarbij ben slechts risico’s optelt en aftrekt, omdat men bij portfoliorisico’s de impact van elk risico op de gehele onderneming in acht neemt. 98

COSO’s Integrated Framework 2004, p 67. 99

COSO’s Integrated Framework 2004, p 70. 100

Voor de NV in België: art 529 W. Venn.: “Het dagelijks bestuur van de vennootschap, alsook de vertegenwoordiging van de vennootschap wat dat bestuur aangaat, mogen worden opgedragen aan een of meer personen”, en a contrario 524bis, “zonder dat deze overdracht betrekking kan hebben op het algemeen beleid van de vennootschap of op alle handelingen die op grond van andere bepalingen van de wet aan de raad van bestuur zijn voorbehouden.” 101

Vergelijk ook § 91 AktG. 102

COSO’s Integrated Framework 2004, p 32. 103

FRC; Boards and Risk, p 11 (“…and the need for trust, openness and transparency at all levels of the organisation.). 104

COSO’s Integrated Framework 2004, p 27.

Page 24: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

24

beschouwd.105

Het is belangrijk dat individuele werknemers aangemoedigd worden zelf initiatief te

nemen, en dat er geen sprake kan zijn van “shooting the messenger”-toestanden.106

Er moet in dit

verband wel op gewezen worden dat er uiteraard risico’s kleven aan de bevoegdheidsdelegaties

(infra).107

Dit wordt duidelijk verwoord in de Britse Corporate Governance Code: “The chairman should also

promote a culture of openness and debate by facilitating the effective contribution of nonexecutive

directors in particular and ensuring constructive relations between executive and non-executive

directors.”108

Eventueel kan het nodig zijn, als de mogelijkheden er zijn, om een apart communicatiekanaal te

ontwerpen voor het geval er zich een noodgeval voordoet.109

Ten slotte moet er duidelijk met de buitenwereld worden gecommuniceerd.

Openheid is van belang voor risk appetite, omdat er namelijk moet vastgesteld worden wanneer het

ondernemingsbestuur, een manager, of een ander personeelslid van de onderneming, te ver gaat in het

nemen van risico’s.

5. Risk appetite.

Risk appetite wil zeggen: de hoeveelheid risico die een bedrijf bereid is te nemen.110

De Belgische

Corporate Governance Commissie noemt dit het aanvaarde risiconiveau. Activiteiten die hierbuiten

vallen moeten dan worden stopgezet, of er mag nooit mee worden begonnen.111

Het is de taak en de

verantwoordelijkheid van de raad van bestuur om hierop toe zien en zich niet te laten verblinden door

enkel de voorgespiegelde voordelen van een nieuwe, nog te starten activiteit. Zoals S&P het zegt: “A

set of expectations among management, shareholders, and the board about which risks the firm will

and will not take; A set of methods for avoiding situations that might result in losses that would be

outside the firm's tolerance.” 112

Dit wordt gestaafd door bevindingen van de FRC in het VK: (Het

verbeterde ERM in tegenstelling tot TRM) “meant that they ought to have a better understanding of

105

In de Worldcom case (2003) was dit duidelijk niet het geval: Niet uit –voerende bestuurders hadden onvoldoende contact met de werknemers van het bedrijf, andere dan zij die presentaties over de prestaties kwamen geven; de raad van bestuur was onvoldoende betrokken bij het bedrijf. Ze werd gedomineerd door de CEO. De informatie die werd verstrekt aan de raad van bestuur was zelfs vals (S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 301-302, nr. 334. 106

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 217, nr. 182. COSO’s Integrated Framework 2004, p 72: “A clear-cut willingness to listen.” 107

Zoals het blijven bewaren van het overzicht. De raad van bestuur moet er altijd op letten dat het overzicht bewaard blijft. 108

Principe A.3, UK Corporate Governance Code, p 10. 109

COSO’s Integrated Framework 2004, p 72. 110

Corporate Governance Commissie, Richtlijnen Interne Controle, o.a. p 8, aangepast “aan de kenmerken van de vennootschap.” 111

De FRC heeft een mooie omschrijving die ik de lezer niet wil onthouden: “any risks or practices for which there was zero tolerance”, publicatie FRC, Boards and Risk, p 13. 112

S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 2 (eigen onderlijning).

Page 25: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

25

the nature and extent of the risks involved in pursuing their strategy.”113

Hoe groot de risk appetite

van een onderneming is hangt af van onderneming tot onderneming. Bedrijven die voeding produceren

hebben een lagere risk appetite t.o.v. voedingscontroles dan autofabrikanten, die dan weer meer

aandacht besteden aan de kwaliteit van hun staal.114

a. Beperkingen aan ERM.

Misschien nog wel het belangrijkste punt is om te begrijpen dat men onder ERM niet het voorkomen

van alle risico’s verstaat.115

Maar wel het beheersbaar maken van risico’s.116

Het gaat immers over

onzekere gebeurtenissen die zich wel of niet in de toekomst zullen afspelen.117

Een belangrijk gevolg

hiervan is dat het organiseren van een interne controle en risicobeheersysteem een

inspanningsverbintenis is.118

Verder moet men altijd in gedachten houden dat zonder risico geen onderneming gestart kan worden,

of aan de gang gehouden kan blijven.119

Ook kunnen niet alle risico’s in kaart worden gebracht (COSO

omschrijft dat als: “reasonable assurance”)120

. Tevens kunnen persoonlijke motieven van het bestuur

of management altijd een rol spelen in de overtreding van de eigen risk appetite.

b. Risk Management Philosophy.

Dit bepaalt hoeveel waarde er aan risico’s en risicobeheer er door de onderneming en zijn leden wordt

gehecht. Hierdoor wordt het makkelijker risico’s te beheren en te anticiperen. Er kunnen nochtans

steeds verschillen bestaan tussen de verschillende silo’s van een onderneming (bijv. verkoop t.o.v.

compliance), maar eenzelfde filosofie en cultuur zorgen ervoor dat die dichter bij elkaar komen te

staan.121

113

FRC, Boards and Risk, p 5. 114

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 174, nr. 205. 115

OESO, OECD Guidelines for Multinational Enterprises, 2011, http://dx.doi.org/10.1787/9789264115415-en (27 februari 2012), p 26: “to identify general areas where the risk of adverse impacts is most significant”. Zie ook: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 176, nr. 209. 116

OESO, OECD Guidelines for Multinational Enterprises, p 3. 117

COSO’s Integrated Framework 2004, p 93 en Corporate Governance Commissie, Richtlijnen Interne Controle, zie o.a. p 8: “Het interne controle- en risicobeheerssysteem kan(…) [een]redelijke mate van zekerheid [bieden].” 118

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 175, nr. 205. 119

FRC, Boards and Risk: which [Risk] (…) is essential to entrepreneurial activity, p 3. En B.F. ASSINK, D.A.M.H.W. STRIK, Preadvies van de vereeniging ‘Handelsrecht’, p 92 en 93. Het gevaar bestaat dat door de toegenomen aandacht voor risicobeheer en bestuurdersaansprakelijkheid rechters bestuurders strenger zullen beoordelen, en meer ex post. Dit is echter ook niet de bedoeling. Zie hiervoor S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 194. 120

COSO’s Integrated Framework 2004, p 93. 121

Ibid., p 27 en 28.

Page 26: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

26

6. Beheren en anticiperen.

Men moet dit in twee richtingen begrijpen, zowel de reactie op negatieve risico’s122

als op positieve

opportuniteiten (meer specifiek de structuur die nodig is om deze tijdig op te merken).

Het is hiervoor noodzakelijk dat ondernemingen veranderen van een winst/verlies denken naar een

meer risico/beloning (of kans)-denken.123

Tevens moet men een afweging maken tussen de kosten/baten verhouding van een al te rigoureus

risicobeheersysteem; op een zeker ogenblik zullen de bijkomende kosten voor het detecteren van

minimale, negatieve risico’s niet opwegen tegen de eventuele winsten (of mindere verliezen).124

Ook

de Belgische Corporate Governance Commissie vindt dat.125

De OESO ten slotte verwoordt het

zo:“een zo groot mogelijke inspanning om gevolgen van risico’s te voorkomen.”126

Hierbij aansluitend raadt COSO aan om risico’s te beheersen volgens kwantiteit (hoegrootheid van de

kans) en kwaliteit (de mogelijke impact).127

Kwantiteit kan worden geclassificeerd, bijvoorbeeld groot,

gemiddeld, laag, weinig waarschijnlijk, etc.

a. Praktijkvoorbeelden

Als voorbeeld wil ik hier het geval van de IJslandse Eyjafjallajökull –vulkaan uit 2010 aanhalen.

Luchtvaartmaatschappijen kunnen er inderdaad enigszins rekening mee houden dat door externe

factoren buiten hun macht vluchten niet door kunnen gaan, maar men moet afwegen hoeveel

“reserves” bijvoorbeeld men aan zal leggen om zulke gevallen op te vangen ten opzichte van de kost

van die reserves.128

Men had dit nochtans kunnen inschatten aan de hand van vroegere erupties in Azië

en Noord-en Zuid-Amerika129

en ze wisten dat op grond van Europese regelgeving dergelijke

natuurverschijnselen niet tot overmacht gerekend worden.130

Een ander verhaal wordt het voor

bijvoorbeeld de toeristische sector, de reisverzekeringensector (hoeveel geannuleerde reizen zal men

ingeschat hebben), en zeker voor landbouwproducenten in Afrika die hun goederen vers in Europa

122

ISO: New ISO/IEC standard on risk assessment complements risk management toolbox, 28 januari 2010, http://www.iso.org/iso/pressrelease.htm?refid=Ref1288 (29 februari 2012), “When risks occur, organizations always have to ask the question: "Is the level of risk tolerable or acceptable, and does it require further treatment?”. Als men risico’s sneller kan detecteren valt er ook beter op te anticiperen om erger tijdig voorkomen. Het managen of beheren van de “risk map”, aldus de FRC, en dat moet gebeuren door de raad van bestuur. 123

S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 2 124

Corporate Governance Commissie, Richtlijnen Interne Controle, p 9. 125

Ibid., p 13, “Risicobehandeling”, publicatie FRC, Board and Risk, p 9, sommige ondernemingen noemden dit in het onderzoek “catastrophic risk”, risico’s buiten hun mogelijkheden er iets aan te doen. 126

OESO: OECD Guidelines for Multinational Enterprises, 2011, p 26. 127

COSO’s Integrated Framework 2004, p 50. 128

Bijvoorbeeld misgelopen investeringen, beheerskosten, overtollig cash en dus een lagere beurskoers en minder investeringsmogelijkheden en negatievere aandacht. 129

Men kan het als een nalatigheid van het management beschouwen dat dit niet gebeurd is. 130 Verordening (EG) Nr. 261/2004 van het Europees Parlement en de Raad van 11 februari 2004 tot vaststelling

van gemeenschappelijke regels inzake compensatie en bijstand aan luchtreizigers bij instapweigering en annulering of langdurige vertraging van vluchten en tot intrekking van Verordening (EEG) nr. 295/91, PB 46, p 1, 17 februari 2004.

Page 27: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

27

willen verkopen, of kledingfabrieken in Bangladesh of elektronicafabrikanten in Japan en China.131

Deze laatsten kunnen argumenteren dat het incalculeren van zulke natuurverschijnselen in hun

bedrijfsvoering te veel kost ten opzichte van de waarschijnlijkheid en hoegrootheid van de gevolgen.

ISO geeft nog een voorbeeld van Universal Parcel Services die wel een “noodplan” paraat hadden,

namelijk alle vluchten omleiden naar Istanbul en van daar met vrachtwagen de goederen naar hun

bestemming in Europa brengen.132

Men kan zich ook afvragen of de reacties van luchtvaartautoriteiten

niet wat overdreven waren, maar dat is een andere kwestie.133

In de financiële sector blijkt er uit onderzoek dat het tijdig aanpassen van de risk appetite voor

bepaalde financiële producten vaak schortte bij verschillende ondernemingen; ze zagen de risico’s wel

aankomen (de risico’s in bijvoorbeeld de subprime-markt waren al in 2006 min of meer bekend), maar

dachten dat ze er immuun voor waren, of dat ze er toch niets aan konden veranderen (vergelijk dit met

het geval Bekaert, supra).134

De anticipatie of response was niet in orde.

b. Anticiperen (Risk response).

Naargelang de impact, of de waarschijnlijkheid van het risico kan het bestuur, zoals reeds vermeld,

beslissen een activiteit af te stoten, actie te ondernemen om de gevolgen te beperken, het risico te

verdelen, door bijvoorbeeld outsourcing, of kan ze beslissen geen actie te ondernemen. Naast

bovenvermelde kosten-baten analyse moeten ondernemingen bij de reactie ook rekening houden met

de mogelijke andere gevolgen van verschillende reacties, zoals de overgebleven risico’s (om te zien of

die dan wel in lijn zijn met de risk appetite), en de mogelijk nieuw ontstane risico’s of

opportuniteiten.135

7. Verzekering tot een goede afloop.

Maar slechts tot in zekere mate verzekert een actief risicobeheer een onderneming tegen onverwachte

gebeurtenissen; men mag er nooit van uitgaan dat men door risicobeheer alle onverwachte

gebeurtenissen uitsluit. Wil men dat doen dan moet men niet beginnen te ondernemen.

8. Ondernemingsdoelen.

Het bereiken van de doeleinden in de visie van de onderneming, doorheen de gehele onderneming, per

afdeling specifiek, moet worden vastgesteld, zodat iedereen weet waar hij/zij aan toe is. Deze

doeleinden kunnen worden onderscheiden in vier categorieën.136

Deze onderverdeling kan gevolgen

131

ISO: ISO 31000 and the Icelandic volcano crisis, KNIGHT, K., http://www.iso.org/iso/iso-magazines/iso-focus-plus_index/iso-focusplus_online-bonus-articles/isofocusplus_bonus_iso31000-icelandic-volcano-crisis.htm (20 februari 2012). 132

ISO: ISO 31000 and the Icelandic volcano crisis. 133

“EU disagrees with airlines' criticism over airspace closure”, http://www.eubusiness.com/news-eu/iceland-volcano.478 (20 april 2010). 134

OESO: The Corporate Governance Lessons from the Financial Crisis, KIRKPATRICK, G., 2009, p 8. 135

COSO’s Integrated Framework 2004, p 56. 136

COSO Enterprise Risk Management — Integrated Framework, samenvatting, 2004, p. 9. Dit wordt ook gestaafd door de realiteit, publicatie FRC, Board and Risk, p 9.

Page 28: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

28

hebben met betrekking tot de rol van de raad van bestuur. Zo vindt een deel van de ondernemingen in

Groot-Brittannië dat bij het eerste doel de raad van bestuur meer inspraak en verantwoordelijkheden

moet hebben dan bijvoorbeeld bij operationele risico’s, waar ze enkel de beleidslijnen moet uitzetten

en het management moet aansporen zo efficiënt mogelijk te werken.137

Ook op het vlak van

taakverdeling kunnen er gevolgen zijn, maar de raad van bestuur blijft wel collectief verantwoordelijk.

a. Strategisch

Dit betreft globale doelen en is afgestemd op de missie en strategie van de onderneming; hiervoor

moet het management de risico’s met de grootste gevolgen, zowel positief als negatief, en hun

waarschijnlijk effect op het vermogen in kaart brengen. Verder gaat het er ook om dat dit regelmatig

wordt geüpdatet (bijvoorbeeld om over een reactie te beslissen op grote gebeurtenissen).138

Aanbevelenswaardig is het dat er goed gecommuniceerd wordt wat de rol van (E)RM is op het nemen

van investeringsbeslissingen.139

Bepaalde ondernemingen hebben maar één echt groot risico en moeten

dus vooral daar veel aandacht aan besteden.140

Positieve risico’s moeten zeker benut worden, en

kunnen bijkomende voordelen hebben, hogere beurskoers, winst, credit-rating,… De OESO ziet het

als één van de verantwoordelijkheden van de raad van bestuur om met het oog op de strategie van een

onderneming ERM in ogenschouw te nemen.141

De FRC ziet het als verantwoordelijkheid van de raad

van Bestuur om al dan niet, naar de behoeften van de onderneming (“appropriate to different

industries”), een risicocomité op te richten in de onderneming.142

Britse ondernemingen hebben

gemerkt dat het oprichten van zulke comités leidt tot het minder snel nodig vinden van externe

auditeurs. De vraag is of dat goed is, want externe audit kan extra controle genereren, doordat die met

een “frisse blik” naar ondernemingszaken kijken.143

De FRC signaleert een tendens onder

institutionele beleggers144

in het VK om de raad van bestuur ertoe te bewegen voornamelijk aan

strategische risico’s aandacht te besteden.145

137

FRC, Boards and Risk, p 9. 138

Ibid., p 9. 139

S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 3. 140

Ibid., p 5. 141

OESO, Policy Brief Principles of Corporate Governance, www.oecd.org/dataoecd/41/32/33647763.pdf (27 februari 2012), p 3. 142

FRC, Boards and Risk; “The decision should be left to individual boards, rather than impose a risk committee on all companies.”, p 3 143

Dit kan, maar is niet altijd zo, zie maar de Enron of Ahold-zaken. Daar hadden de externe auditeurs te veel belangen bij het houden van die ondernemingen als klant, en waren ze het te veel en te snel eens met zaken die niet door de beugel konden. FRC, Boards and Risk, p 12. 144

Een institutionele belegger is: Onderneming die zich beroepsmatig bezighoudt met de belegging van middelen die haar door derden om uiteenlopende redenen zijn toevertrouwd. Voorbeelden van institutionele beleggers zijn pensioenfondsen en beleggingsfondsen, www.beursduivel.be/encyclopedie/term/Institutionele+belegger (7 maart 2012). 145

FRC, Boards and Risk, p 14.

Page 29: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

29

b. Operationeel

Men klasseert dit wel eens als een bottom-up risico; het betreft het effectief en efficiënt gebruik van

de middelen, in functie van “haar doelstellingen, de omvang en de complexiteit van de

onderneming.146

Er moet zelfs, in België toch, rekening gehouden worden met de noden en

doelstellingen van dochterondernemingen, die verschillend kunnen zijn van de moederonderneming.

Dit is ook een vennootschapsrechtelijke verplichting.147

Idealiter wordt er voor dit soort risico’s

voornamelijk gewerkt met een kaderreferentie voor het management, dat dan doet wat het moet doen,

en enkel de serieuze zaken onder de aandacht brengt van de raad van bestuur (men denkt hierbij aan

fraude, onverwachte verliezen, etc.).

c. Rapportage

Dit betreft betrouwbaarheid van verslaggeving; “Another issue is disclosure. Although it is critical, it

must be managed, as analysis of ERM can run the risk of exposing too much competitive information.

"You're putting on the table the risks you're willing to take," (…) "You have to be able to explain how

you're creating value and the risks you're taking to do so."148

Ook anderen delen de visie van een

behoorlijke rapportage, zoals SIMKINS en RAMIREZ149

: “If the board cannot understand and manage

the full breadth of risks facing the modern public corporation, then such risks may not be disclosed to

investors and impounded into decisions regarding the allocation of investment capital” (eigen

onderlijning). De OESO deelt die mening.150

O.a. bij de operationele resultaten van de onderneming

moeten ook voorzienbare risicofactoren gepubliceerd worden. Dit dient een dubbel doel: beleggers,

schuldeisers (huidige en potentiële) en investeerders informeren over hun kansen hun geld ooit terug te

zien en om te tonen dat de onderneming zijn werk m.b.t. ERM goed doet.151

De FRC bevestigt dat een

goede rapportering en vlotte communicatielijnen belangrijker zijn dan de specifieke structuur van

bepaalde comités en de al dan niet aanwezigheid van CRO’s e.d.152

Bestuurders kunnen betere

beslissingen nemen, omdat ze beter geïnformeerd zijn.153

Ook rapportage naar de buitenwereld is

zeker van belang. Daarom is door de Europese wetgever (infra) bepaald dat de informatie over

financiële verslaggeving en risicobeheer in het jaarverslag moet worden vermeld. Men moet er wel

voor waken dat er niet alleen ellenlange lijsten van risico’s, die wel of niet kunnen voorkomen of

146

Corporate Governance Commissie, Richtlijnen Interne Controle, p 8. 147

Art. 522 § 1, eerste lid, W. Venn (De raad van bestuur is bevoegd om alle handelingen te verrichten die nodig of dienstig zijn tot verwezenlijking van het doel van de vennootschap, behoudens die waarvoor volgens de wet alleen de algemene vergadering bevoegd is). 148

S&P, Enterprise Risk Management: More Important, But Still No Panacea. 149

S. SIMKIN, S.A.RAMIREZ, Enterprise-Wide Risk Management and Corporate Governance, raadpleegbaar op http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1657036, p 571. 150

OESO: OECD Principles of Corporate Governance, 2004, Disclosure and transparency, A.6, p 24. 151

Ibid., p 53, foreseeable risk factors. 152

FRC, Boards and Risk, p 6. 153 UK Corporate Governance Code, p 10: “The chairman is responsible for ensuring that the directors receive

accurate, timely and clear information.” Voor communicate met de buitenwereld: “The chairman should ensure effective communication with shareholders.”

Page 30: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

30

opportuniteiten die men al dan niet zou kunnen grijpen, openbaar gemaakt worden. Institutionele

beleggers in het VK hebben al aangegeven daar niet op te vertrouwen en enkel te vertrouwen op de

samenstelling van de raad van bestuur. 154

Een niet in het oog lopend, maar daarom toch belangrijk probleem is dat door de natuur van het actief

beheren van en anticiperen op ERM, rapportage niet altijd makkelijk is. Dit blijkt zeker zo te zijn bij

risk appetite, aangezien dat continu aan verandering onderhevig is.155

Ook kan rapportage

commerciële geheimen publiek bekend maken, of juist de trigger zijn die een bepaald risico

werkelijkheid laat worden.156

d. Toezicht

Toezicht betreft naleving van wet- en regelgeving

(compliance). Hier komt de figuur van ‘comply and

explain’ naar voren.157

Maar ERM is meer dan enkel

“comply en disclose”158

op zich (ook wel box-ticking of

“check-the-box”159

genoemd). Hier kan worden

opgemerkt dat dit bij de ondernemingen genoteerd op de

BEL-20 behoorlijk is.160

COSO heeft de bovenstaande acht componenten

schematisch weergegeven in een schema (figuur

hiernaast),161

waarbij opvalt dat aan de rechterkant ervan wordt weergegeven dat de risicobeheersing

door de gehele onderneming werkt, en dat men zicht niet op één of enkele zaken of afdelingen binnen

de onderneming mag focussen (“silo’s”).162

Classificatie van de risico’s speelt, vanaf het moment dat

154

FRC, Boards and Risk, p 14. 155

Ibid., p 14. 156

Bijvoorbeeld een moedervennootschap die een belang in een dochter langzaam afbouwt, omdat ze niet meer verwacht dat de laatste ooit nog winstgevend zal zijn. Als dit bekend wordt, dan gaat de dochter zeker failliet, en sneller dan verwacht of gehoopt. 157

I. MACNEIL, X. LI, “Comply or explain”: market discipline and non-compliance with the combined code, 2005, raadpleegbaar op www.ssrn.com, SSRN-id726664. 158

S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 3. 159

Ibid., p 5. 160

VBO-feb: Onderzoek naar de naleving van de Belgische Corporate Governance Code 2009 bij de BEL 20 ondernemingen, boekjaar 2010, executive summary, p 2 http://vbo-feb.be/media/uploads/public/_custom/Dossier/CorporateGovernance/GubernaVBOstudie2011_Executivesummary.pdf (20 februari 2012) en FSMA: De eerste verklaringen inzake deugdelijk bestuur: opvolgingsstudie van Studie nr. 38. Studie nummer 40, september 2011. 161

COSO Enterprise Risk Management — Integrated Framework, samenvatting, 2004, p. 10. En COSO, Integrated Framework, p 24. Deze acht componenten zijn min of meer de zelfde als die die Corporate Governance Commissie in zijn Richtlijnen gebruikt. 162

G. SABATO, Financial Crisis, Where did Risk Managemant Fail?,…, raadpleegbaar op www.ssrn.com, SSRN-id1460762, p 11.

Page 31: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

31

er op risico’s serieus moeten worden geanticipeerd, geen rol meer. Dan moet de raad van bestuur altijd

de leiding nemen.163

.

9. Reputatieschade.

Men kan nog een vijfde “categorie” toevoegen aan de vorige vier, namelijk reputatieschade, door het

laten gebeuren van een aantal kleinere risico’s.164

Deze soort van risico wordt belangrijker en

belangrijker, vandaag de dag.165

Dit komt door de toegenomen internationalisering, verbetering van

communicatiemiddelen en de opkomst van sociale media, zoals Facebook. Ook een groeiende afkeer

van globalisering en dus van multinationals ligt hieraan deels ten grondslag.

10. Standard & Poor’s:

Zij gaan uitdrukkelijk kijken naar ERM-structuren in hun kredietwaardigheid beoordelingen vanaf

2009, zoals ook hierboven al is aangehaald. Ze zullen in de ERM cultuur analyse kijken of er al zulke

ERM structuren aanwezig zijn, of de raad van bestuur verantwoordelijk is voor de implementatie van

ERM en van de rapportering en communicatie.166

Uiteraard moet volgens hen een succesvol ERM ook

gevolgen hebben voor de lonen van het management, zowel bij een succesvol als een niet-succesvol

ERM. Hierdoor moet het gehele management doordrongen worden van een ERM-cultuur binnen de

onderneming. Een kans bestaat dat dit nog extra wordt gestimuleerd doordat S&P de vroegere

uitspraken van managers over beleidskeuzes toetst aan hun werkelijke beleid en dit dan toepast op het

aangekondigde ERM-beleid.167

Onder druk van een rating verlaging kunnen managers ERM serieuzer

nemen (vergelijk de studie van PAGACH, D., WARR, R.168

over ondernemingen met slechte resultaten

die voornamelijk een ERM-programma opstellen en de opmerkingen daarover op p. 8).

11. De OESO

In zijn richtlijnen voor multinationale ondernemingen raadt de OESE ondernemingen ten zeerste aan

om op risico gebaseerde onderzoeken en verrichtingen uit te voeren, het liefst geïntegreerd in hun

ERM-programma. 169

Verderop wordt gesteld dat Risicobeheer één van de verantwoordelijkheden is

van de raad van bestuur170

en niet stopt bij herkenbare risico’s van de onderneming zelf, maar wel gaat

over vele mogelijke gevolgen voor de onderneming.171

163

FRC, Boards and Risk, p 9. 164

Ibid., p 10. 165

Al was het maar omdat veel producten inhoudelijk en kwalitatief hetzelfde zijn, bijvoorbeeld BP benzine en Q8 benzine zijn beide hetzelfde, maar BP heeft reputatieschade van de olieramp in de Golf van Mexico (supra). 166

S&P: Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008, p 3. 167

Ibid., p 5. 168

D. PAGACH,R. WARR, An Empirical Investigation of the Characteristics of Firms Adopting Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1010200., p 28. 169

OESO, OECD Guidelines for Multinational Enterprises, 2011, http://dx.doi.org/10.1787/9789264115415-en (27 febrauri 2012), p 22. 170

Ibid., p 24. 171

Ibid., p 25.

Page 32: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

32

e. De inbedding van ERM in Corporate Governance. Nadat we hebben vastgesteld wat ERM is, is het tijd om na te gaan wat de rol van ERM in het ruimere

kader van Corporate Governance is. Hiervoor dient men eerste te weten wat Corporate Governance is.

Men omschrijft dit begrip in het Nederlands het beste door de notie ‘deugdelijk ondernemingsbestuur'.

Volgens de Belgische Corporate Governance Code omvat Corporate Governance: “een reeks regels en

gedragingen op basis waarvan vennootschappen worden bestuurd en gecontroleerd”. Hieronder kan

men dan onder andere een goed risicobeheer en interne controle begrijpen.

1. België

De twee belangrijkste bronnen zijn ongetwijfeld het Wetboek van Vennootschappen en de Belgische

Corporate Governance Code. Men zal merken dat er veel aandacht is voor (interne) communicatie.

a. Wetboek van Vennootschappen172

Art. 96, § 1 W. Venn luidt: Het jaarverslag bedoeld in artikel 95 bevat : 1° ten minste een getrouw

overzicht van de ontwikkeling en de resultaten van het bedrijf en van de positie van de vennootschap,

alsmede een beschrijving van de voornaamste risico's en onzekerheden waarmee zij geconfronteerd

wordt. Dit overzicht bevat een evenwichtige en volledige analyse van de ontwikkeling en de resultaten

van het bedrijf en van de positie van de vennootschap die in overeenstemming is met de omvang en de

complexiteit van dit bedrijf(…).(eigen onderlijning).173

Art. 96, § 2, 3° W. Venn. luidt: Voor de vennootschappen waarvan de aandelen zijn toegelaten tot de

verhandeling op een in artikel 4 bedoelde markt, bevat het jaarverslag tevens een verklaring inzake

deugdelijk bestuur, die er een specifiek onderdeel van vormt en die ten minste de volgende informatie

bevat: een beschrijving van de belangrijkste kenmerken van de interne controle- en

risicobeheerssystemen van de vennootschap, in verband met het proces van financiële verslaggeving.

Art. 119, 7° W. Venn. luidt: het jaarverslag bevat: een beschrijving van de belangrijkste kenmerken

van de interne controle- en risicobeheerssystemen van de verbonden vennootschappen met betrekking

tot het proces van de opstelling van de geconsolideerde jaarrekening zodra een vennootschap die op

een in artikel 4 bedoelde markt genoteerd is, in het geconsolideerde geheel voorkomt.

Art. 526bis W. Venn § 1 luidt: De genoteerde vennootschappen (…) richten een auditcomité op

binnen hun raad van bestuur. Dit is een regel ter omkadering van de risico- en controlesystemen.

Art. 526bis W. Venn § 4 luidt: Onverminderd de wettelijke opdrachten van de raad van bestuur heeft

het auditcomité minstens de volgende taken:

a) monitoring van het financiële verslaggevingsproces;

172

Wetboek van vennootschappen van 7 mei 1999 (BS 06.08.1999). 173

Art. 119, tweede lid, 7° W. Venn. herhaalt deze bepaling. Deze voornaamste risico’s hangen af van onderneming tot onderneming. Zie ook: Organisatieaansprakelijkheid, p 229, nr. 261: “Ze moeten in concreto worden beoordeeld”. Dit hangt samen met punt II. 5 Gehele onderneming.

Page 33: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

33

b) monitoring van de doeltreffendheid van de systemen voor interne controle en risicobeheer van de

vennootschap (eigen onderlijning). Beide artikels zijn ingevoegd door de wet van 17 december

2008.174

Art. 527 W. Venn luidt: De bestuurders (, leden van het directiecomité) en dagelijks bestuurders zijn

overeenkomstig het gemeen recht verantwoordelijk voor de vervulling van de hun opgedragen taak en

aansprakelijk voor de tekortkomingen in hun bestuur.

Zoals bepaalde ondernemingen opmerkten is er niet altijd evenveel onderscheid tussen de begrippen

interne controle, interne audit en risicobeheer.175

Deze kritiek klinkt ook bij de richtlijnen van de

Corporate Governance Commissie.

b. Wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en

financiële diensten en zijn uitvoeringsbesluiten.

Deze wetgeving betreft o.a. de verplichtingen van genoteerde ondernemingen met betrekking tot de

gegevens die zij openbaar moeten maken met betrekking tot Corporate Governance en ERM.176

Er zal

verder op worden ingegaan onder het hoofdstuk Richtlijnen Corporate Governance Commissie met

betrekking tot interne controle (infra). Deze wet zal hierna wet financieel toezicht genoemd worden.

Op te merken valt dat dit niet het hoofddoel van deze wet is. Dat zijn namelijk de verplichtingen

omtrent de verhandeling van aandelen.

c. De Belgische Corporate Governance Code

De Belgische Code177

is opgebouwd volgens negen principes:

1. De vennootschap past een duidelijke governance structuur toe;

Dit houdt in dat de raad van bestuur de belangrijkste bevoegdheden en verantwoordelijkheden

bepaalt. Zij is verantwoordelijk voor de keuze van het raamwerk inzake risicobeheer. Zoals

eerder vermeld kunnen, en moeten, zulke structuren van vennootschap tot vennootschap

verschillen. Dit principe moet samen gelezen worden met art. 96, § 2, 3° W. Venn. met

174

Wet inzonderheid tot oprichting van een auditcomité in de genoteerde vennootschappen en de financiële ondernemingen. Inwerkintreding 8 januari 2009. B.S. 29 december 2008. 175

Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle. 176

Wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en financiële diensten (B.S. 04-09-2002). Vooral van belang zijn: “§ 1. Op advies van de CBFA bepaalt de Koning: 1° de verplichtingen van emittenten van financiële instrumenten die, op hun verzoek, zijn toegelaten tot de verhandeling op een Belgische gereglementeerde markt, op het gebied van informatieverstrekking aan het publiek: a) periodiek over hun activiteiten en resultaten” en “3° de nadere regels en termijnen voor de bekendmaking van de in 1° bedoelde informatie, alsmede de voorwaarden tegen welke de emittenten bedoeld in hetzelfde punt deze bekendmaking kunnen doen door aankondiging op hun website of deze van de marktonderneming die de betrokken markt organiseert;”. Het gaat tevens om het K.B. van 14 november 2007 betreffende de verplichtingen van emittenten van financiële producten die zijn toegelaten tot de verhandeling op een gereglementeerde markt (B.S. 3 december 2007) (Hierna: uitvoeringsbesluit wet 2 augustus 2002). 177

Belgische Corporate Governance Code 2009, ingevoegd bij K.B. 6 Juni 2010 houdende aanduiding van de na te leven Code inzake deugdelijk bestuur door genoteerde vennootschappen, raadpleegbaar op http://www.corporategovernancecommittee.be/nl/code_2009/recentste_uitgave/default.aspx (14 december 2011).

Page 34: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

34

betrekking tot de verantwoordelijkheid van de raad van bestuur voor het instellen van een

behoorlijk risicobeheersysteem.178

2. De vennootschap heeft een doeltreffende en efficiënte raad van bestuur die beslissingen neemt in

het vennootschapsbelang;

3. Alle bestuurders dienen blijk te geven van integriteit en toewijding;

4. De vennootschap heeft een rigoureuze en transparante procedure voor de benoeming en de

beoordeling van haar raad en zijn leden;

5. De raad van bestuur richt gespecialiseerde comités op;179

Dit is opdat een onderneming een duidelijk en goed functionerend risicobeheerproces zou

hebben. Men moet deze bepaling samen lezen met art. 526bis W. Venn § 4, b) over de taken

van het auditcomité. De comités hebben geen beslissingsbevoegdheid, maar hebben enkel een

raadgevende stem.180

6. De vennootschap werkt een duidelijke structuur uit voor het uitvoerend management;181

7. De vennootschap vergoedt de bestuurders en de leden van het uitvoerend management op een

billijke en verantwoorde wijze;

8. De vennootschap gaat met de aandeelhouders en potentiële aandeelhouders een dialoog aan,

gebaseerd op een wederzijds begrip voor elkaars doelstellingen en belangen;

9. De vennootschap waarborgt een passende openbaarmaking van haar corporate governance.

Volgens de Belgische Code dient Corporate Governance prestatiegericht bestuur te bevorderen.182

Het vennootschapsbelang moet te allen tijde worden gevrijwaard van belangenconflicten en,

belangrijker, van risicobedreigingen, door het instellen van een “afdoend beheer van potentiële

risico's”.183

In bepaling 1.1 van de Belgische Corporate Governance Code is er sprake van “de rol van de raad van

bestuur bestaat erin het lange termijn succes van de vennootschap na te streven door ondernemend

leiderschap te garanderen en ervoor te zorgen dat risico's kunnen worden ingeschat en beheerd.”184

In bepaling 1.2 wordt de Risk Appetite van een onderneming onder de aandacht gebracht, als een

verantwoordelijkheid van de raad van bestuur, en dit in het kader van de strategie van de onderneming.

178

Principe 1.3 Belgische Corporate Governance Code. 179

Zoals audit- en directiecomités. De mogelijkheid tot het instellen van comités is bepaald in art. 522, § 1, derde lid W. Venn. 180

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 214. 181

Het management moet door de raad van bestuur in staat worden gesteld zijn taken naar behoren uit te voeren, minstens het identificeren risico’s door middel van het in werking stellen van interne controlesystemen. 182

Belgische Corporate Governance Code 2009, préambule, punt 1. 183

Ibid. punt 1. 184

Ibid., p 11.

Page 35: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

35

In bepaling 1.3 van de Code wordt gerept van “de plicht van de raad van bestuur om te zorgen voor

[het goedkeuren van] een kader (…) van interne controle en risicobeheer, opgesteld door het

uitvoerend management, en de implementatie van het kader te beoordelen.185

Deze stelling wordt

herhaald in principe 6.5: Het uitvoerend management moet minstens”: (…)zorgen voor de

totstandkoming van interne controles (dit zijn systemen voor het identificeren, evalueren, beheren en

opvolgen van financiële en andere risico's).186

Dit gaat verder dan de wettelijke bepalingen in het

Wetboek van Vennootschappen. Deze bepaling wordt door de geviseerde ondernemingen in het

algemeen als behoorlijk beschouwd.187

Ze zijn bijvoorbeeld flexibel genoeg. Daarin gaat het, in

navolging van het Europees recht, enkel over financiële verslaggeving.188

Echter, risicobeheer is

ruimer, en gaat ook over een globale aanpak van risico’s, inclusief het formuleren van

doelstellingen.189

De Belgische Corporate Governance Code gaat uit van “comply or explain”, zoals aanbevolen door de

OESO en de Europese Commissie.190

Ingevolge de wet deugdelijk ondernemingsbestuur zijn

beursgenoteerde ondernemingen verplicht te voldoen aan de Corporate Governance Code.

Bijlage C handelt over de samenstelling en de plichten van het auditcomité (aantal leden,

onafhankelijkheid, etc.), en herhaalt artikel 526bis W. Venn § 4. Tevens is er aandacht voor de plicht

van het uitvoerend management over het speciaal inlichten van het auditcomité over Special Purpose

Vehicles (SPV’s) die voor specifieke transacties werden opgericht en voor de procedure

daaromtrent.191

Ook in de Corporate Governance Code voor KMO’s, de code Buysse, die in het kader van deze thesis

helaas niet kan worden besproken, is er meer nadruk gelegd op een actieve, betrokken raad van

bestuur (bijvoorbeeld meer samenkomen, en de onderneming meer opvolgen) en op een beter

risicobeheer. Bij dit laatste is het de bedoeling dat de raad van bestuur meer controle zou uitoefenen,

maar ook dat er voor gezorgd wordt dat die laatste op tijd de juiste informatie krijgt.192

185

Dergelijk kader moet duidelijk zijn, de betekenis definiëren van ‘interne controle’ en ‘risicobeheer’ en het uitvoerend management helpen bij de invoering van interne controle- en risicobeheerssystemen, 1.3 Belgische Corporate Governance Code 2009. 186

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 218, nr 253. 187

Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle, p 2. 188

Art. 1, 7c, Richtlijn 2006/46/EG en art. 526bis W. Venn. 189

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 218, nr 253. 190

Belgische Corporate Governance Code 2009, préambule, punt 4 en Richtlijn 2006/46/EG 14 juni 2006 van het Europees parlement en de Raad, tot wijziging van de Richtlijnen 78/660/EEG van de Raad betreffende de jaarrekening van bepaalde vennootschapsvormen, 83/349/EEG van de Raad betreffende de geconsolideerde jaarrekening, 86/635/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van banken en andere financiële instellingen en 91/674/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van verzekeringsondernemingen (hierna verkort: Richtlijn 2006/46/EG). 191

Belgische Corporate Governance Code 2009, bijlage C, 5.2/12, p 31. 192

E. JANSSENS, Corporate Governance bij KMO”s, nieuwe versie van de Code Buysse, Balans 612, 2009, p 3.

Page 36: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

36

d. Richtlijnen Corporate Governance Commissie met betrekking tot interne controle.193

In het kader van een door de markt gewenste nadere uitleg omtrent de taken van de raad van bestuur

en van de wens om ervoor te zorgen194

dat die beter zou weten wat er in de onderneming speelt (en dus

kan controleren of er geen verkeerde zaken spelen, i.e. interne controle) heeft de Corporate

Governance Commissie niet-bindende richtlijnen opgesteld om ondernemingen te helpen een interne

controle en risicobeheer systeem op te zetten of te verbeteren (of in het beste geval hun praktijk

bevestigd te zien). Er ligt in ieder geval meer nadruk op interne controle bij de nieuwe Corporate

Governance Code.195

Dit document kwam tot stand na een publieke raadpleging.196

Deze richtlijnen en

de regel 1.3 uit de Belgische Corporate Governance Code beogen ook nog een minder strikt ERM-

doel, namelijk “een getrouwe openbaarmaking van de financiële informatie.”197

Dit sluit weer meer

aan bij de wettelijke doelstelling van getrouwen financiële verslaggeving zoals vermeld is in art. 96, §

2, 3° W. Venn (supra). Deze richtlijnen zullen aangepast zijn aan de noden van elke onderneming;

geen twee ondernemingen zijn dezelfde. De richtlijnen leggen de uiteindelijke verantwoordelijkheid

van het invoeren van een systeem van interne controle en risicobeheer bij de raad van bestuur.198

Het is

wel zo dat de richtlijnen meer gaan over rapportage en compliance, dan enkel ERM in de strikte zin

van het begrip. Toch is er ook een nauwe aansluiting te vinden bij ERM, omdat er tevens sprake is van

de “prestaties en rendabiliteit” van de gehele onderneming, dus van een risicobeleid dat niet van

toepassing is per apart onderdeel van de onderneming.199

Dit wordt verderop in de richtlijnen nog beter

verwoord:200

“Het bestuursorgaan bepaalt de filosofie, managementstijl, waarden en strategie (…).

Deze zullen worden beïnvloed door het aanvaarde risiconiveau (…).”201

Dit betekent dat de raad van

bestuur verantwoordelijk is voor het door de gehele onderneming invoeren van een bewustzijn van

ERM en van de risk appetite. Dit wordt expliciet herhaald in “2.3.2 Tweede component: het

193

Corporate Governance Commissie, Richtlijnen Interne Controle. 194

E. JANSSENS, Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4, II.B, verduidelijking betreffende de taken en verantwoordelijkheden van de raad van bestuur, p 17. Een voorbeeld van een verbetering ten opzichte van de eerste Corporate Governance Code was dat bestuurders werden aangeraden meer te vergaderen. 195

E. JANSSENS, Nieuwe Corporate Governance wet eindelijk gepubliceerd, Balans 629, 2010, p 3 en VAN DER ELST, C., VAN DAELEN, M., Risk Management in European and American Corporate Law, ECGI Working Paper Series in Law, Working Paper N°.122/2009, raadpleegbaar op www.ssrn.com, SSRN-id: 1399647, p 4 voor een internationaal perspectief op de verschuiving van de focus van corporate governance naar interne controle en risicobeheersing. 196

Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle. 197

Corporate Governance Commissie, Richtlijnen Interne Controle, p 4. 198

Ibid., p 8: Interne controle kan worden omschreven als een door het bestuursorgaan uitgewerkt systeem, dat onder zijn verantwoordelijkheid werd ingevoerd door het uitvoerend management (…). 199

Ibid., p 8. En op p 24 en 25 worden ondernemingen gevraagd in een vragenlijst of het personeel en het management duidelijk geïnformeerd zijn over de bevoegdheden en verantwoordelijkheden in het kader van risicobeheer. 200

Ibid., p 9, 2.3.1. 201

Zie hiervoor in een heel andere context, maar wel als bevestiging: J.DELVOIE, Orgaantheorie in rechtspersonen van privaatrecht, 2010, Intersentia, Antwerpen, p 432 (hierna te noemen: Orgaantheorie in rechtspersonen).

Page 37: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

37

risicobeheerproces van de richtlijnen.” Tevens is zij verantwoordelijk voor de structuur van het

uitvoerend management, voor de doorstroom van informatie en voor de praktijken die al dan niet in de

vennootschap toegelaten zijn.202

Ze bepaalt ook de beleidslijnen voor ethiek en bekwaamheid203

van

het personeel, zodat de hele onderneming doordrongen raakt van de risicobeheerstrategie. Ook voor de

rest van de controle-omgeving is zij verantwoordelijk.204

De wettelijke basis hiervoor is art. 526bis, §

1 W. Venn, voor het opzetten van een auditcomité en bepalingen 1.1, 1.2, 1.4, 4.5 en 5.2 van de

Belgische Corporate Governance Code. Het uitvoerend management moet de risicobeheersystemen

verder uitwerken en dit in het kader van een geheel van middelen, gedragingen, procedures en

maatregelen aangepast aan de kenmerken van elke vennootschap waardoor de bestuurders het risico op

een voor de vennootschap aanvaardbaar niveau kunnen houden.205

M.a.w. de middelen, gedragingen,

procedures en maatregelen zijn per onderneming anders en zijn o.a. aangepast aan de “risk appetite”

van elke onderneming.

Nadat volgens de Commissie en zijn Richtlijnen de controle-omgeving op punt staat, moet er uiteraard

ook sprake zijn van een behoorlijk risicobeheerproces.206

De Commissie volgt vrij getrouw het

raamwerk van COSO en van de OESO (de onderlijning in voorgaande alinea is door mijzelf

toegevoegd).207

i. Doelstellingen

Allereerst moeten de doelstellingen worden vastgelegd. Dit zijn dezelfde als de Ondernemingsdoelen

in het COSO-raamwerk (supra), namelijk strategische (waar de onderneming heen wil), operationele

(betreft het (effectief en efficiënt) gebruik van de middelen van de onderneming), betrouwbare

rapportering van de interne en externe audit, van de controle systemen en compliance, zowel van

externe, zoals wetgeving, als van interne instructies (als de interne instructies niet gevolgd zouden

worden zou het vorige punt met betrekking tot getrouwe rapportering weinig zin hebben).

ii. Risico-identificatie.

Als de ondernemingsdoelen zijn vastgelegd en men weet welke richting men met de onderneming uit

wil, moet het natuurlijk mogelijk zijn om tijdig risico’s te kunnen identificeren om er nadien gepaste

202

Zie als voorbeeld: Antwerpen (5e k.) 2 maart 2006 JDSC 2008 (samenvatting), 189, noot ERNOTTE, M; JDSC 2009, 78; TRV 2007, afl. 3, 192, noot CLOTTENS, C, waarbij het Hof stelt dat: “De onterechte bevoegdheidsoverschrijding van de algemene vergadering bevrijdt de bestuurders niet van hun eigen aansprakelijkheid de wet en de statuten na te leven en hun functie uit te oefenen in het belang van de vennootschap” en “. De beslissing van de algemene vergadering belet immers niet dat de bestuurders zelf ook een beslissing moeten nemen om hetzij de beslissing van de algemene vergadering te bekrachtigen door eraan uitvoering te geven (hetgeen de bekrachtiging zou inhouden door het ter zake bevoegde orgaan van de vennootschap),…” (eigen onderlijning). 203

Bekwaamheden kunnen worden gecontroleerd door goede testen in te voeren alvorens mensen aan te nemen, zie p 19. 204

Corporate Governance Commissie, Richtlijnen Interne Controle, p 9 en 10. De controle-omgeving omvat ook nog de volgende twee elementen: integriteit & ethiek en bekwaamheden. 205

Ibid., p 11. 206

Ibid., p 12. 207

OESO: The Corporate Governance Lessons from the Financial Crisis, KIRKPATRICK, G., 2009, p 7.

Page 38: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

38

maatregelen voor te kunnen nemen. En ook of men ze wil nemen, dat wordt bepaald aan de hand van

de risk appetite of volgens de Richtlijnen: het aanvaard risiconiveau (infra). Er moet met andere

woorden een systeem van risico-identificatie zijn. Dit is een identificatie van welke factoren mogelijks

invloed kunnen hebben op het beleid en op de toekomst van de onderneming, zowel negatief als

positief (opportuniteiten die zich kunnen voordoen en tijdig herkend moeten worden). Er wordt best

ook rekening gehouden met de mogelijke impact van bepaalde factoren op de onderneming en met het

feit dat sommige risico’s, zelfs al worden ze tijdig herkend, niet te voorkomen vallen (zoals daar zijn

natuurrampen of een economische crisis). Men kan dan enkel nadenken over hoe men daar best op

reageert en anticipeert in het geval iets dergelijks voor zou komen. Vergelijk het geval Bekaert, haar

bestuurders hadden misschien wel kans om de gevolgen van een invallende vraag, o.m. door

wegvallende subsidies in Europa,208

op te vangen. Ook moet men geen tijd steken in het voorkomen

van kleine risico’s en moet men er voor waken dat men niet enkel “herkenbare” risico’s gaat

beheersen en proberen voorkomen, maar alle significante.209

Dit hangt ook samen met het volgende

punt, namelijk de risicoanalyse.

Voorbeelden van externe factoren ten slotte zijn: technologische evoluties; product-ontwikkeling;

concurrentie; een nieuwe regelgeving, etc.210

Interne factoren kunnen onder meer zijn: een informaticaprobleem; human ressources; een wijziging

van de verantwoordelijkheden van het management; de aard van de activiteiten (maar net hiervoor

bepaalt men de risk appetite); of een probleem met betrekking tot de werking van één van de interne

organen of comités.

iii. Risico-analyse en -beheersing

Dit is het onderzoeken van de kenmerken van elk in de vorige stap geïdentificeerd risico en dat klaar

en helder in kaart brengen. Voor de duidelijkheid heeft de Commissie in zijn Richtlijnen het proces

van risicoanalyse fase voor fase weergegeven. De fases zijn: evaluatie van het potentieel belang van

het risico; evaluatie van de waarschijnlijkheid (of frequentie) waarmee het risico kan voorkomen;

evaluatie van de maatregelen die dienen te worden getroffen om het risico te verminderen in functie

van het belang ervan (groot, gemiddeld, zwak of eender welke indeling men hanteert, zolang die maar

goed is gekend doorheen de hele onderneming en consistent wordt nageleefd). Het goede verloop van

de risicobeheersing valt onder de verantwoordelijkheid van de interne audit. Zij moet erop toezien dat

het jaarverslag wel de “volledige beschrijving van de de voornaamste risico’s en onzekerheden”

bevat.211

Vergelijk dit met de alinea over beheren en anticiperen bij het COSO-raamwerk. Het is van

belang dat deze analyses en de voorgeschreven reacties erop door personeel of management goed

208

De Standaard zat 25 februari 2012, p 67, dagblad, Bekaert bekomt van zonneslag. 209

S. HEXTER, G. VAINBERG, Publicatie Director Notes: Risk Oversight Practices: Two Succes Stories, januari 2011, raadpleegbaar op www.ssrn.com, SSRN-id: 1840883, p 3, ”analysis paralysis”. 210

Corporate Governance Commissie, Richtlijnen Interne Controle, p 12. 211

Art. 144, 6° W. Venn. en art. 148, 5° W. Venn. Deze artikelen verwijzen naar de verplichting van het uitvoerend management uit art. 96 omtrent het jaarverslag.

Page 39: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

39

beschreven zijn en voor iedereen in de onderneming goed toegankelijk zijn.212

Het is uiteraard van

belang dat de verantwoordelijke voor het ERM-beleid een geschikte persoon is.213

Dat dit een grote

invloed kan hebben bewijst het verhaal in de studie van HEXTER en VAINBERG over “Papa

John’International Inc.”214

Er is sprake van een CEO, CFO en een raad van bestuur die elk overtuigd

zijn van de meerwaarde van een goed ERM-programma. Er is pas overgegaan tot het instellen daarvan

nadat iedereen in het management overtuigd was van het nut ervan. Pas daarna konden moeite en

kosten worden gestoken in het onder henzelf of extern zoeken van een geschikte persoon om het

ERM-programma op te volgen. Ook PAGACH en WARR215

gaan uit van de meerwaarde van zo een

speciale persoon, die zij in hun studie CRO noemen, maar ook onder een andere naam gekend kan zijn

in de door hen onderzochte ondernemingen. Er is al eerder gemeld dat de persoon die een dergelijke

functie zal vervullen, een sterke persoonlijkheid moet hebben. Een voorbeeld uit de financiële wereld

waar dat niet zo was, is dat van de zakenbank Bear Stearns, die in 2008 in zware problemen kwam.216

Zij zat ver boven de intern gestelde limiet met betrekking tot hypotheekverstrekkingen, maar er werd

niks aan gedaan (Net als bij bijvoorbeeld Van der Moolen in Nederland). Ofwel wilde de voorzitter de

problemen niet weten, ofwel wist hij ze niet. In beide gevallen is er een fout van de raad van bestuur,

wegens in het eerste geval een voorzitter die ontslagen had moeten worden, in het tweede geval

wegens een slecht opvolgingssysteem.

iv. Opvolging/monitoring

Er dient uiteraard ook regelmatig te worden gecontroleerd of het bestaande risicobeheer model nog

wel voldoet.217

Als er een belangrijke wijziging is in externe factoren moet er zo snel mogelijk worden

gekeken of het bestaande model nog voldoet en niet enkel een “check-the-box” oefening wordt.218

In

het voorbeeld dat HEXTER en VAINBERG geven rapporteert het auditcomité per kwartaal aan het

bestuur hun analyse van het bestaande risicobeheer model en de adequaatheid ervan in het kader van

de risk appetite en ook de respons snelheid van de onderneming. De hele raad van bestuur doet mee

met de discussie over kwartaalupdate,219

waardoor er adequaat gehandeld kan worden en de rest van

212

Corporate Governance Commissie, Richtlijnen Interne Controle, p 25. 213

Ibid., p 25. 214

S. HEXTER, G. VAINBERG, Publicatie Director Notes: Risk Oversight Practices: Two Succes Stories, raadpleegbaar op www.ssrn.com, SSRN-id: 1840883, p 2, ”risk heats”. 215

D. PAGACH,A. WARR, An Emperical Investigation of the Characteristics of Firms Adopting Enterprise Risk Management, raadpleegbaar op SSRN-id1010200, p 8. 216

OESO: The Corporate Governance Lessons from the Financial Crisis, KIRKPATRICK, G., 2009, p 8. 217

Ibid., p 13 (Het in aanmerking nemen van wijzigingen) en ook: HEXTER, S., VAINBERG, G., Publicatie Director Notes: Risk Oversight Practices: Two Succes Stories, raadpleegbaar op www.ssrn.com, SSRN-id: 1840883, p 2, ”risk heats”. 218

De OESO raadt dit ook aan in haar OECD Principles of Corporate Governance, 2004, p 26. Volgens de publicatie van de OESO zijn de tekenen licht hoopgevend. Zie ook FRC, Boards and Risk, p 9. 219

In theorie bestaat die mogelijkheid in België ook, zie art. 5.2/30 van de Belgische Corporate Governance Code, waarin wordt bepaald dat “auditcomité beslist of, en zo ja wanneer, de (…) hogere kaderleden die verantwoordelijk zijn voor financiën, boekhouding en thesaurie, de interne auditor en de externe auditor haar

Page 40: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

40

de onderneming snel volgt in het inzien van het belang van ERM. Hierna kan de hele onderneming

doordrongen raken van een wijziging en verbetering van de ERM-structuur van de onderneming. Men

kan dit een voorbeeld noemen van een top-down approach van ERM in die specifieke onderneming.

Dit houdt trouwens verband met het laatste punt omtrent risicobeheerproces van de Commissie over de

Corporate Governance Code, het bijsturingsysteem220

en met de premisse dat een goed ERM-systeem

valt of staat met een transparant rapporteringsysteem. Als men dit vergelijkt met de richtlijn van de

Commissie die een minimum van één keer per jaar evaluatie van de doeltreffendheid van het

risicobeheerssysteem221

voorschrijft kan men misschien concluderen dat het minstens bij Papa John’s

profijt geeft van vaker dan één keer per jaar samen te komen. Mij lijkt één keer per jaar de resultaten

controleren inderdaad te weinig in bepaalde omstandigheden,222

door bijvoorbeeld de snelle

wisselingen van sentiment op de huidige (financiële) markten, maar ook door veranderende

regelgeving in België door een plots nieuwe federale regering. Een jaarlijkse evaluatie van het systeem

is wel aangeraden.

Het is de taak van de raad van bestuur om ervoor te zorgen dat het “uitvoerend management”

voldoende vrijheid krijgt om zijn taken naar behoren uit te voeren223

en dat het management daar op

wordt gecontroleerd. M.a.w. dat de interne controleprocedures die zijn uitgewerkt door het

management ook effectief worden nageleefd.224

Het is de taak van de commissaris (bedrijfsrevisor) om

ernstige tekortkomingen in de interne controle met betrekking tot de financiële verslaggeving aan het

interne auditcomité te melden.225

De richtlijnen spreken ook van fysieke controle. Hierbij is het ook

van belang dat er passende disciplinaire maatregelen zijn.226

v. Rapportering, openbaarmaking en compliance.

De Commissie raadt in de Richtlijnen ook aan om voor de verzameling van gegevens over interne

controle en risicobeheer gebruik te maken van de manier en inhoud waarop verplichte informatie voor

beleggers moet worden openbaargemaakt.227

Dit moet gebeuren volgens de regels van de wet

financieel toezicht en het K.B. van 14 november 2007 betreffende de verplichtingen van emittenten

van financiële producten die zijn toegelaten tot de verhandeling op een gereglementeerde markt (B.S.

vergaderingen bijwonen, maar dit is nog iets anders dan een vrijwillig inzien van de noodzaak van goed risicobeheer. 220

Corporate Governance Commissie, Richtlijnen Interne Controle, p 13. 221

Ibid., p 14. 222

Zoals ook voorgeschreven in de Belgische Corporate Governance Code 2009, Bijlage C, systemen voor interne controle en risicobeheer, 5.2/14. 223

Principe 6.4 Belgische Corporate Governance Code 2009. 224

Corporate Governance Commissie, Richtlijnen Interne Controle, p 14. 225

Art. 526bis W. Venn § 5. 226

Corporate Governance Commissie, Richtlijnen Interne Controle, p 24. 227

Ibid., p 15. Zie ook art.92 W. Venn over de openbaarmaking van de jaarrekening en art. 94,95 en 96 over het jaarverslag waarin de bestuurders van een vennootschap (met uitzondering van de vennootschappen genoemd in art. 94, zoals de kleine vennootschappen, landbouwvennootschappen e.d.) worden verplicht “ten minste een getrouw overzicht en (…) een beschrijving van de voornaamste risico’s en onzekerheden [moeten geven].”

Page 41: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

41

3 december 2007). Deze bepalingen gaan over de informatie die minstens in het jaarverslag moet staan

en dat die informatie correct moet zijn. O.a. de jaarrekening en het financieel verslag moeten erin

voorkomen. De Commissie raadt nog aan dat het auditcomité ervoor zorgt dat personeel met zorgen

omtrent het bestaande risicobeheersysteem of eventuele fouten in de financiële verslaggeving daar

ergens mee terecht kunnen. Tevens brengt ze nog enige praktische, maar niet minder onbelangrijke

zaken aan, zoals een up to date beveilingssysteem met wachtwoorden e.d. van het intern

informatiesysteem.228

Als meest geschikte comité voor de sturing van de interne controlebeheerssystemen ziet de Commissie

het auditcomité, zolang het alleszins permanent wordt bijgestuurd, wegens de mogelijkheid van

veranderde omstandigheden (zie ook infra).229

Zo kunnen controles ook worden uitgevoerd door het

uitvoerend management zelf. Uiteindelijk is het van groot belang dat aanpassingen ook effectief

ergens gemeld kunnen worden en ook doorgevoerd worden.230

Het gevaar bestaat steeds dat kritiek als

een persoonlijke aanval op de verantwoordelijke (zij het een personeelslid, zij het een

verantwoordelijk lid van de raad van bestuur) wordt opgevat, iets dat een objectieve opvolging en

controle onmogelijk maakt. Wat betreft de bevoegdheden van het uitvoerend management en de raad

van bestuur, en zeker de overgedragen bevoegdheden, raadt de Commissie aan om daar duidelijke

afspraken en procedures voor op papier te zetten.231

De Commissie raadt ook aan om meer dan enkel

de wettelijk voorziene informatie, maar alle voor stakeholders en in het bijzonder aandeelhouders

interessante informatie beschikbaar te maken.232

Dit kadert in het ERM-principe van rapportage

(infra).

e. Beursreglement en toezichthouder.

Volgens de OESO is het belang van noteringvoorwaarden voor het afdwingen van Corporate

Governance de laatste jaren alleen maar toegenomen.233

De toezichthouders in zowel de EU als in de

VS krijgen meer en meer macht over de beursondernemingen, waardoor die meer en meer hun leden

en de op hun beurs genoteerde ondernemingen wettelijke eisen moeten opleggen omtrent o.a.

Corporate Governance. In de VS bijvoorbeeld moeten beursgenoteerde ondernemingen voldoen aan

vereisten van de SEC (infra).234

Daarnaast is het genoteerd zijn aan een bekende beurs, zoals de BEL

228

Ibid., p 19. 229

Ibid., p 17. 230

Belgische Corporate Governance Code 2009, bijlage C, 5.2/16, p 31. Het is aan het auditcomité om die bestaande regeling te controleren. 231

Corporate Governance Commissie, Richtlijnen Interne Controle, p 24, vragenlijst B. 232

E. JANNSENS, Corporate Governance gelooft nog steeds in zelfregulering, Balans, afl. 609, 5 en E. JANSSENS, Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4, 28, p 17. 233

OECD, The Role of the Stock Exchanges in Corporate Governance, 2009, http://www.oecd.org/document/49/0,3746,en_2649_34813_31530865_1_1_1_1,00.html (21 februari 2012).. Een voorbeeld is: Bekendmaking in overeenstemming met de noteringsvoorwaarden van de New York Stock Exchange (NYSE) van Delhaize, http://www.delhaizegroup.com/LinkClick.aspx?fileticket=ozSUJITULYs%3D&tabid=221 (30 april 2012). 234

Ibid., p 5.

Page 42: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

42

20 of NASDAQ een kwaliteitslabel en moet de beurs voor het in stand houden van zijn reputatie er

uiteraard voor zorgen dat ondernemingen die bij haar genoteerd zijn floreren, of toch niet ten onder

gaan aan oorzaken die te voorkomen waren. Beleggers zouden zo minder vertrouwen in

ondernemingen die op die beurs genoteerd zijn.235

De invloed van Corporate Governance is begonnen

met de niet-bindende Cadbury Code in het VK in 1992, die enkel richtlijnen bevatte, maar door de

Londense beurs als noteringvoorwaarde werd gesteld, en dus de facto geldende regels werden.236

Denemarken en Australië volgden en in 2009 speelden de meeste belangrijke beurzen een rol in het

afdwingen van voldoen aan Corporate Governance Codes.237

Zo schrijft de Zweedse beurs voor dat de

raad van bestuur van een onderneming een goed idee moet hebben van hoe de onderneming intern

functioneert, met een extra nadruk op de interne rapportering en financiële verslaggeving.238

Maar ze

gaat verder en raadt extra aandacht aan, aan het juiste personeelsbeleid om de informatie te filteren en

door te geven. Dit gaat verder dan de nationale Corporate Governance Code.239

Ook zij heeft de macht

een onderneming van de beurs te halen als ze vindt dat die niet meer voldoet aan de

noteringvoorwaarden.240

De OESO heeft echter wel een grote bedenking bij de toenemende invloed van beursondernemingen

op het vlak van Corporate Governance: namelijk het feit dat ze meer onderling concurreren. Ze vraagt

zich af of de onderliggende belangen van een strengere controle wel enkel ingevoerd zijn in het belang

van de belegger241

en ook of dat er wel degelijk een streng toezicht zal zijn. Deze laatste zorg komt

voort uit de bedenking dat een te strenge beurs misschien ondernemingen, die willen noteren, weg zal

houden van die markt. Zeker met de huidige technologie is het voor beleggers niet zo moeilijk om in

een ander land te beleggen.242

Zo is het nog steeds mogelijk om volgens de reglementen van

NASDAQ OMX Nordic Exchanges (Scandinavië), ondanks het feit dat een onderneming niet voldeed

aan wettelijke vereisten inzake financiële verslaggeving, toch op een beurs genoteerd te raken.243

Aan de andere kant zijn er specifieke markten waar er juist minder strenge eisen zijn, zoals Alternext

voor de small-en midcap indexen. Men moet hier rekening mee houden, maar het is wel in lijn met de

235

Een ander voorbeeld is de Zwitserse beurs: “All rules laid down by the Regulatory Board must be submitted to the Swiss Financial Market Supervisory Authority (FINMA) for approval”, Ibid., eindnoot 11. 236

Publicatie OECD: The Role of the Stock Exchanges in Corporate Governance, p 6. 237

Ibid., p 8, tabel 2. 238

Regelverk för emittenter NASDAQ OMX Stockholm, 1 februari 2012, 2.4.3, http://nasdaqomx.com/digitalAssets/77/77308_nasdaq_omx_stockholms_regelverk_for_emittenter_2012_02_01.pdf (1 maart 2012), p 13, Engelse versie te vinden op: http://nasdaqomx.com/listingcenter/europe/rulesandregulations/ (1 maart 2012). 239

OECD: The Role of the Stock Exchanges in Corporate Governance, p 10. 240

Regelverk för emittenter NASDAQ OMX Stockholm , p 17, 2.8 ”Avnotering”. 241

OECD: The Role of the Stock Exchanges in Corporate Governance, p 14. 242

Of bij een andere beursonderneming, bijvoorbeeld een Belg in een onderneming genoteerd op Deutsche Börse, in plaats van Euronext. 243

"(…) as long as it is satisfied that the objectives behind the listing requirements are not compromised or that they can be achieved by other means.", Publicatie OECD: The Role of the Stock Exchanges in Corporate Governance, p 10, Regelverk för emittenter NASDAQ OMX Stockholm , p 14, 2.5, “Undantag”.

Page 43: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

43

Richtlijnen van de Corporate Governance Commissie (supra) die KMO’s aanraden om risicobeheer-

en andere systemen aan te passen aan hun noden en behoeften (vergelijk ook COSO: Dynamisch,

aangepast aan de onderneming, supra). In de jaren ’90 bleek dat NYSE Amex met minder strenge

regels ondernemingen aantrok die de NYSE NASDAQ te streng vonden, hierdoor moest NASDAQ

dus toegeven aan versoepeling van de regels.244

De invoering van SOX heeft, zo wordt gepleit, voor

een achterstand van 13% marktkapitalisatie per jaar gezorgd van Amerikaanse beurzen ten opzichte

van Europese. De vraag is echter of dat ook niet te maken heeft met bedrijfsschandalen of de

financiële crisis, 245

iets dat de OESO in dezelfde alinea ook erkent.

Aan de andere kant kan men argumenteren dat meer concurrentie tussen beurzen betekent dat het juist

kan zijn dat beleggers meer vertrouwen hebben in een beurs met sterke toezichtregels, en dat meer

regels juist een concurrentievoordeel kunnen geven.246

Zo is Euronext (de overkoepelende organisatie van de BEL 20 en andere markten voor effecten in

België) een belangrijke speler op het vlak van Corporate Governance. Zij heeft bijvoorbeeld een

informatievademecum uitgevaardigd met daarin een speciaal hoofdstuk over de Belgische Corporate

Governance.247

Eerst worden de negen principes van de Belgische Corporate Governance Code nog

eens herhaald, waarna er geconcludeerd wordt dat de openbaarmaking op twee manieren moet

geschieden, namelijk via een “Corporate Governance Charter” en een Corporate Governance

Verklaring in het jaarverslag. In het charter moet o.a. worden bepaald hoe de onderneming transacties

behandelt. De verklaring behandelt de “comply or explain”-gedachte van de Belgische Corporate en

tevens de systemen voor interne controle en risicobeheer. Het belang zit er echter in dat Euronext of de

FSMA de ondernemingen die het slecht doen kunnen sanctioneren, bijvoorbeeld door het schrappen

van een notering of door publicaties waardoor een onderneming publiekelijk gestraft wordt. Dit laatste

kan men marktwerking noemen.248

Het is wel zo dat buitenlandse ondernemingen die genoteerd zijn

aan een Euronext-beurs niet aan bijvoorbeeld de Belgische wetgeving moeten voldoen. Dit is op veel

beurzen het geval, met uitzondering van de Scandinavische NASDAQ OMX Nordic Exchanges.249

Een ander belangrijk punt van stimulatie van naleving van de Corporate Governance Code is de

toegenomen betrokkenheid van nationale financiële toezichthouders250

zoals de FSMA (Financial

Services and Market Authority) en de Nationale Bank van België. De FSMA heeft in september 2011

een studie openbaargemaakt over de naleving van beursgenoteerde ondernemingen over de naleving

244

OECD: The Role of the Stock Exchanges in Corporate Governance, p 14. 245

Ibid., p 15. 246

Ibid.,Governance, p 15. 247

Euronext N.V., Informatievademcum, april 2009. Hoofdstuk VIII. De Belgische Corporate Governance Code en de daaruit voortvloeiende informatieverplichtingen, p 89 e.v. 248

Het is nog maar de vraag of dit zo is, zie OECD: The Role of the Stock Exchanges in Corporate Governance, p 16. 249

OECD: The Role of the Stock Exchanges in Corporate Governance, p 16. 250

Ibid., p 4.

Page 44: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

44

van de Corporate Governance Code van in België genoteerde bedrijven.251

Ze komt onder meer tot de

belangrijkste vaststelling dat 92% van de desbetreffende ondernemingen de bepalingen over interne

controle naleeft.252

Dit is een significante verbetering van de 45% waarvan in 2009 nog sprake was.

Van de BEL-20 ondernemingen is er zelfs geen onderneming meer die nog geen beschrijving heeft

van de interne risico-en controlesystemen.253

Er blijkt dus dat het onderzoek van de toenmalige CBFA

en de publicatie ervan effect hebben gehad. Een ander voorbeeld van (zachte) dwang is dat de FSMA

vraagt aan de 31% van de ondernemingen die dat nog niet doen om het Corporate Governance verslag

op te nemen in het verslag van de raad van bestuur, zodat het er een onderdeel van vormt.254

Ook

herhaalt ze de aanbeveling dat minstens de essentie van de informatie met betrekking tot interne

controlesystemen opgenomen dient te worden in de verklaring inzake deugdelijk bestuur.255

Ondernemingen die dit nog steeds niet doen kunnen (toch minstens in theorie) door beleggers meer

gewantrouwd worden. De FSMA merkt op dat er een verbetering was in 2010 ten opzichte van 2009

met betrekking tot de kwaliteit van de rapportage van de interne controlesystemen en verwijst daarbij

naar eerdergenoemde richtlijnen van de Corporate Governance Commissie (supra).256

Er moet ten

slotte worden opgemerkt dat een groot deel van de macht van nationale toezichthouders wordt beperkt

door Europees recht, zoals een aantal richtlijnen (zie ook infra bij het EU-gedeelte). Zo is

bovengenoemde wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de

financiële diensten een omzetting van de transparantierichtlijn. 257

Deze wet geeft de FSMA in art. 10,

§ 2, 6° en in art. 33 van de wet financieel toezicht, de macht om toe te zien op de openbaarmaking en

enigszins correct zijn van die informatie en eventueel sancties op te leggen. Art. 43 van het

uitvoeringsbesluit258

machtigt de FSMA om bij incorrecte informatie correcte te vragen en eventueel

sancties op te leggen. Dit is ook een groot verschil tussen de EU en Noord-Amerika, namelijk dat in de

251

FSMA: De eerste verklaringen inzake deugdelijk bestuur: opvolgingsstudie van Studie nr. 38. Studie nummer 40, september 2011. www.fsma.be. Hierin zijn 117 op een gereglementeerde markt in België genoteerde vennootschappen opgenomen. Colruyt is de belangrijkste onderneming die niet in dit onderzoek is opgenomen. Het gaat om de BEL 20, de Continumarkt en Fixingmarkt. 252

Ibid., p 1. Er moet wel worden opgemerkt dat ingevolge het “comply or explain”-karakter van de Code niet-naleven met uitleg ook naleving van de Code betekent (Artikel 96, § 2, eerste lid, 2° W. Venn.). Nu zijn die wettelijk verplicht Artikel 96, § 2, eerste lid, 3° W. Venn. 253

OECD: The Role of the Stock Exchanges in Corporate Governance, p 12. 254

Ibid., p 9. 255

Ibid., p 12. 256

Corporate Governance Commissie, Richtlijnen Interne controle. 257

Richtlijn 2004/109/EG van het Europees Parlement en de Raad van 15 december 2004 betreffende de transparantievereisten die gelden voor informatie over uitgevende instellingen waarvan effecten tot de handel op een gereglementeerde markt zijn toegelaten en tot wijziging van Richtlijn 2001/34/EG (hierna te noemen: transparantierichtlijn). 258

K.B. van 14 november 2007 betreffende de verplichtingen van emittenten van financiële instrumenten die zijn toegelaten tot de verhandeling op een gereglementeerde markt (B.S. 3 december 2007), hierna te noemen: uitvoeringsbesluit financieel toezicht. Zie ook het Informatievademcum van Euronext N.V.,, april 2011. Hoofdstuk I.

Page 45: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

45

EU de toezichthouder meer macht hebben om naleving van Corporate Governance af te dwingen en in

Noord-Amerika heeft de beurs die macht zelf.259

Dit zal later meer uitgelegd worden.

i. De FSMA

De FSMA260

heeft in een rondzendbrief van 11 januari 2012261

haar rol verduidelijkt wat betreft de

naleving van de wetgeving van toepassing op de openbaarmakingverplichtingen van beursgenoteerde

bedrijven. Ook zij vereist nog eens, analoog aan de bepalingen in de wet en het K.B. “een beschrijving

van de belangrijkste kenmerken van de interne controle- en risicobeheerssystemen van de

vennootschap, in verband met het proces van financiële verslaggeving;”262

Er moet tevens, wanneer

mogelijk, een zo waarheidsgetrouwe beschrijving van de verwachtingen van de toekomst zijn,

waaronder veranderende omstandigheden, zoals veranderende risico’s.263

Op basis van art. 34 van de

wet toezicht financiële markten kan de FSMA alle informatie die zij wenst opvragen, en eventueel ter

plaatse onderzoeken en expertises verrichten.264

Zij kan zelfs, volgens Art. 34 § 1, 3° Wet financieel

toezicht en art. 43 § 2 van het uitvoeringsbesluit een beursgenoteerde onderneming bevelen informatie

aan het publiek openbaar te maken of – als die weigert – die informatie op zijn kosten openbaar

maken. Ze kan verder nog een publieke waarschuwing geven als ze vindt dat een beursgenoteerde

onderneming niet aan zijn verplichtingen voldoet (op kosten van die onderneming) en zelfs, in

extremis, de marktonderneming (Euronext België) verzoeken de verhandeling van een financieel

instrument te schorsen265

of zelfs verbieden.266

De verplichtingen zijn dus o.a. de beschrijving van de

belangrijkste risico- en controlesystemen, zoals hoger vermeld, in het kader van Corporate

Governance. De Belgische Corporate Governance Code wordt als enige wettelijke gezien door de

FSMA, en er geldt voor de wettelijke bepalingen geen “comply or explain”-principe meer. Verder

heeft de FSMA onder bepaalde voorwaarden het recht een dwangsom267

of, na een bepaalde procedure

omschreven in de artikelen 70 tot 72 van de wet de mogelijkheid om een administratieve geldboete op

te leggen.268

259

OECD: The Role of the Stock Exchanges in Corporate Governance, 2009, p 5. 260

Dit is de toezichthouder op de beurzen en de daar genoteerde ondernemingen in België, samen met de Nationale Bank van België (NBB). De FSMA heette tot 1 april 2011 CBFA. P 7 brochure FSMA, te raadplegen op http://www.fsma.be/~/media/Files/fsmafiles/pub/nl/FSMA_brochure_201201.ashx (1 maart 2012). 261

Circulaire FSMA/2012_01, Verplichtingen van op een gereglementeerde markt genoteerde emittenten, http://www.fsma.be/~/media/Files/circinfo/NL/gv/info/fsma_2012_01.ashx, (29 februari 2012). 262

Circulaire FSMA/2012_01, 5.2.1.3.1, p 19, de verplichte vermeldingen in het jaarverslag. 263

Ibid., p 26. 264

Ibid., p 50. 265

Art. 7, § 3 wet toezicht financiële markten. 266

Art. 34, § 2, eerste en tweede lid, wet toezicht financiële markten. 267

Deze dwangsom mag per kalenderdag niet minder bedragen dan € 250, noch meer bedragen dan € 50.000, noch in het totaal € 2.500.000 overschrijden (art.36 wet financieel toezicht). 268

Dergelijke boete mag tussen € 2.500 en € 2.500.000 bedragen (art.36, § 1, eerste lid, 2°, wet financieel toezicht).

Page 46: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

46

ii. Euronext

De Euronext-reglementen269

vereisen dat genoteerde ondernemingen voldoen aan de nationale

omzetting van de verplichtingen van de transparantierichtlijn. Deze vereisten zijn met betrekking tot

risicobeheer opgesomd in artikel 4 en zijn in België omgezet als art. 96, § 1 W. Venn en art.12 § 2

uitvoeringsbesluit financieel toezicht betreffende de verplichtingen van emittenten van financiële

instrumenten die zijn toegelaten tot de verhandeling op een gereglementeerde markt, betreffende het

jaar-en halfjaarverslag. Dit zijn dus de regelen waarover de FSMA de macht heeft om naleving ervan

te eisen. In het Rulebook I van Euronext wordt nog bepaald dat “wanneer de genoteerde onderneming

niet voldoet aan de regelen om een eerlijke, ordelijke en efficiënte markt te handhaven, Euronext kan

beslissen de notering te beëindigen of te schorsen.”270

Verder, op pagina 65, wordt de genoteerde

onderneming verplicht relevante informatie, zoals jaarverslagen, aan beleggers bekend te maken.271

In

hoofdstuk 8, over de gedragsregels waaraan de leden moeten voldoen worden ondernemingen

verplicht gesteld om een interne controlesysteem op te zetten en bij te houden, te voldoen aan de

wettelijke vereisten daaromtrent en om een ERM-systeem op poten te zetten.272

iii. Specifieke regels voor de BEL 20

Naast de bovengenoemde Euronext regels die ook van toepassing zijn op de beurzen van Amsterdam,

Parijs, Lissabon en deels die van Londen273

, en naast de toepassing van de regels uit Rulebook I

(supra) kan Euronext Brussel ook zelf beslissen om maatregelen te nemen met het oog op de

bescherming van de belangen van de beleggers, zijnde bijvoorbeeld openbaarmakingverplichtingen

opleggen in het licht van de toepasselijke Belgische wetgeving.274

Euronext Brussels verplicht

ondernemingen in hoofdstuk 3 ertoe te voldoen aan de wet financieel toezicht en tevens ervoor te

zorgen dat elke aanvraag tot notering (IPO of initial public offering) door te geven aan de CBFA (sic).

Ook behoudt ze zichzelf een recht tot schrapping van de notering voor als ze van oordeel is dat

noteringsvoorwaarden worden overtreden en wordt ook de CBFA (sic) ingelicht.275

Ze behoudt zich

tevens het recht om die beslissing openbaar te maken.

269

Reporting obligations Euronext: https://europeanequities.nyx.com/nl/listings/reporting-obligations (29 februari 2012). 270

Euronext Rule Book Book I: Geharmoniseerde regels, 6.9. Noteringsmaatregelen, 6905/1, ii, d), 13 mei 2011, p 62

en Informatievademecum Euronext, april 2009. Hoofdstuk VIII, “De Belgische Corporate Governance Code

en de daaruit voortvloeiende informatieverplichtingen,” p 20. 271

Ibid., 6103/2 Informatie, p 64. 272

Ibid., 8106/2, p 96. 273

Resp. de AEX, de CAC 40, de PSI-20 en de LES (niet de FTSE, die onderdeel is van de London Stock Exchange Group). 274

Euronext Rule Book Book II: Specifieke regels voor Euronext Brussels (23 augustus 2010), inwerkingtredingdatum: 13 september 2010 https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/Specifieke_regels_voor_Euronext_Brussels_datum_van_inwerkingtreding_-_13_september_2008.pdf (1 maart 2012), p 8, B-2.6. Maatregelen van toepassing op de verhandeling. 275

Ibid., p 11.

Page 47: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

47

f. Praktijk in België (BEL 20-ondernemingen).

Volgens een onderzoek van de FSMA uit september 2011 over de naleving van de Corporate

Governance Code in België blijkt dat alle ondernemingen uit de BEL-20 in hun Corporate Governance

Verklaring een hoofdstuk opnemen inzake interne controle en risicobeheer. Dit is een verbetering ten

opzichte van voorgaande jaren. Maar dat wil niet zeggen dat ze ook allen hun interne controle

systemen correct omschrijven. Sommige ondernemingen “beperken zich vooral tot het financiële

verslaggevingproces (zoals de wet vereist) terwijl anderen de focus leggen op een meer algemene

beschrijving van hun interne controle276

Alle achttien (door de VBO-feb onderzochte) BEL 20 ondernemingen hebben een auditcomité

opgericht. Slecht twaalf van de achttien voldoen aan de hogere samenstellingsvereisten van de

Corporate Governance Code 2009.277

Wat betreft het bewust maken van de hele onderneming, o.a. dus om het denken in silo’s te

voorkomen, kan men stellen dat dat in België toch minstens in naam wel wordt bedreven, gezien het

feit dat de BEL-20 ondernemingen verschillende departementen inzetten om ERM te monitoren.278

Kanttekening is wel dat er niet altijd duidelijk onderscheid is tussen risicobeheer, interne audit en

interne controle in de verschillende ondernemingen en in het onderzoek.

i. AB Inbev.279

In het Corporate Governance Charter stelt AB Inbev met betrekking tot risicobeheer en in interne

controle het volgende: “With respect to the risk management and internal controls within the

company. To analyze business risks; To review with the company’s CEO and CFO as to the existence

of any significant deficiencies or material weaknesses in the design or operation of internal control

over financial reporting which are reasonably likely to adversely affect the company’s ability to

record, process, summarize and report financial information, and as to the existence of any fraud,

whether or not material, that involves management or other employees who have a significant role in

the company’s internal control over financial reporting; and

To discuss guidelines and policies governing the process by which senior management of the

company and the relevant departments of the company assess and manage the company’s exposure to

risk, and to discuss the company’s major financial risk exposures and the steps management has taken

to monitor and control such exposures.”280

(eigen onderlijning).

276

VBO-feb: Onderzoek naar de naleving van de Belgische Corporate Governance Code 2009 bij de BEL 20 ondernemingen, Jaarverslagen 2011, boekjaar 2010, http://vbo-feb.be/media/uploads/public/_custom/Dossier/CorporateGovernance/GubernaVBOstudie2011_Fullstudy.pdf (21 februari 2012). Hierin zijn 18 van de 20 BEL-20 ondernemingen onderzocht, GDF Suez en NPM niet. De eerste omdat het een Franse onderneming is, en de tweede omdat die onderneming niet meer beursgenoteerd is sinds mei 2011 (Hierna verkort:

276 VBO-feb: Onderzoek naar de naleving van de Belgische Corporate

Governance Code 2009). 277

VBO-feb: Onderzoek naar de naleving van de Belgische Corporate Governance Code 2009, p 21. 278

Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle, p7 en 8. 279

Corporate Governance verklaring AB-Inbev, bijgevoegd bij het jaarverslag over 2011, raadpleegbaar op http://www.ab-inbev.com/go/investors/reports_and_publications/annual_and_hy_reports.cfm (15 april 2012).

Page 48: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

48

De verklaring van deugdelijk bestuur van AB Inbev bevestigt de wettelijke plicht om te voldoen aan

de Belgische Corporate Governance Code 2009.281

Er is een benoemingscomité opgericht en er zijn

bepalingen aangaande de remuneratie van niet-uitvoerende bestuurders. Het lange termijn “incentive

warrant”- plan van de vennootschap wijkt af van de Belgische Corporate Governance Code aangezien

het voorziet in betalingen gebaseerd op aandelen aan niet-uitvoerende bestuurders. Dit komt doordat

de Raad van Bestuur van mening is dat de op aandelen gebaseerde incentive vergoeding in

overeenstemming is met de vergoedingspraktijk van bestuurders bij vennootschappen in dezelfde

sector. AB Inbev vindt dat dit voldoende gestaafd wordt door de prestaties van de laatste jaren. Verder

besluit ze hierover: “In het bijzonder zou de driejarige verwervingsperiode van de warrants moeten

zorgen voor een duurzaam en langetermijn-engagement voor het nastreven van de beste belangen van

de vennootschap.”

Omdat Ab Inbev ook genoteerd is op de NYSE “zijn de Corporate Governance-regels van de New

York Stock Exchange voor buitenlandse privé-emittenten van toepassing op de onderneming. AB

InBev heeft zich tevens geregistreerd onder de US Securities and Exchange Act van 1934.” Bijgevolg

is de onderneming ook onderworpen aan de US Sarbanes-Oxley-wet van 2002 en aan andere

Amerikaanse wetten en regelgeving met betrekking tot corporate governance.282

De onderneming promoot een verantwoordelijke cultuur onder alle werknemers. Tevens benadrukt ze

dat de naleving van anti-corruptie bepalingen uit de VS tevens het naleven van de Belgische Corporate

Governance Code is.

Extra nadruk wordt er gelegd op externe communicatie, voornamelijk met aandeelhouders.283

a. Auditcomité.

Het auditcomité is zoals supra vermeld een belangrijk element in de interne controle van een

onderneming. AB Inbev heeft dan ook “conform de vereisten van het W. Venn (een) Audit Committee

[sic] uitsluitend bestaande uit niet-uitvoerende leden van de Raad en (…) één van zijn leden is een

onafhankelijk bestuurder in de zin van artikel 526ter van het W. Venn. Het Audit Comité kwam acht

keer bijeen in 2011, dat is meer dan de aangeraden vier keer. Er werden kwesties van interne audit

voortvloeiend uit SOX onderzocht.284

O.a. betekent dit dat de vennootschap verplicht is om jaarlijks

een managementrapport uit te geven over de doeltreffendheid van de interne controle van de

vennootschap over haar financiële rapportage, zoals beschreven in die sectie en haar

uitvoeringsbepalingen.

280

Coporate Governance Charter AB Inbev 2011, H 5.4.2., Powers and responsibilities of the Audit Comittee, p 30. 281

Verklaring deugdelijk bestuur AB Inbev 2011, Inleiding, p 152. 282

Ibid., p 152. 283

Ibid., 1.3.2 speciale vereisten, p 153. 284

Ibid., p 156.

Page 49: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

49

Gebreken in de interne controle die werden vastgesteld door de interne audit worden tijdig meegedeeld

aan het management en er wordt periodiek opgevolgd om te verzekeren dat de nodige remediërende

actie wordt genomen.

b. Periodieke controles van de Raad en de comités op hun werking.

Hier wordt er voornamelijk gekeken naar de doeltreffendheid en kwaliteit van het toezicht, de

kwalificaties en verantwoordelijkheden van individuele bestuursleden en de interactie tussen de Raad

van Bestuur en het management. Tevens wordt er aandacht besteed aan eventuele belangenconflicten.

Bijvoorbeeld de werking van het compliance committee (infra) wordt beoordeeld door het

auditcomité. Ook de resultaten van de compliance beoordelingen of de rapporten die worden

ingediend in het kader van het wereldwijde klokkenluiderplatform van de vennootschap worden

nagezien door het auditcomité.

c. Interne controle en risicobeheersystemen

In hoofdstuk 4 wordt hierop door AB Inbev dieper ingegaan.285

De Raad van Bestuur en de Executive

Board of Management zijn bij AB Inbev verantwoordelijk voor het vaststellen en het handhaven van

passende interne controles en risicobeheersystemen. Zelf definiëren zij interne controle als “het

proces dat is ontwikkeld om redelijke zekerheid te verschaffen inzake het behalen van de

doelstellingen met betrekking tot de effectiviteit en de efficiëntie van de activiteiten, de

betrouwbaarheid van de financiële rapportage en het naleven van de toepasselijke wetten en regels.”

Risicobeheer wordt als volgt gedefinieerd: “het (is een) proces dat is ontwikkeld om potentiële

gebeurtenissen op te sporen die een impact zouden kunnen hebben op de vennootschap en om ervoor

te zorgen dat de risico’s die worden genomen passen binnen het gekozen risicoprofiel.”286

Dit is in lijn

met de verklaring in het Engels supra.

Het is het auditcomité dat, “zonder afbreuk te doen aan de verantwoordelijkheden van de Raad in zijn

geheel,” toezicht uitoefent over het financieel en commercieel risicobeheer en ook over de opvolging

ervan door het management. De belangrijkste risicofactoren en onzekerheden van de vennootschap

worden beschreven in de sectie ‘Risico’s en Onzekerheden’ van het Jaarverslag van de Raad van

Bestuur dat deel uitmaakt van het jaarverslag van AB InBev.

Zowel het interne controle- als het risicobeheer systeem is gebaseerd op COSO’s framework.

Het uitvoerend bestuur is verantwoordelijk voor het verwezenlijken en onderhouden van een passende

interne controle over de financiële rapportering. Er wordt nogmaals herhaald dat interne controle van

de vennootschap over financiële rapportering een proces is dat ontworpen is om redelijke zekerheid te

verschaffen over de betrouwbaarheid van de financiële rapportering en de opmaak van jaarrekeningen

voor externe doeleinden, en dit overeenkomstig de International Financial Reporting Standards

285

Ibid., p 159. 286

Ibid., p 159.

Page 50: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

50

(IFRS). AB Inbev benadrukt enkele keren dat het slechts om een redelijke zekerheid gaat.287

Dit wordt

ook nog eens gemeld bij de passage over interne controle, namelijk als volgt: “Interne controle (…)

omvat de evaluatie van de relevante risico’s, de identificatie en de monitoring van belangrijke

controles en acties die worden ondernomen om geïdentificeerde gebreken te corrigeren. Wegens haar

inherente beperkingen is het mogelijk dat interne controle over financiële rapportering onjuistheden

niet kan voorkomen of ontdekken.” (eigen onderlijning).

d. Compliance en ondernemingscultuur

AB InBev heeft een wereldwijd Compliance Programma dat is gebaseerd op haar

“bedrijfsgedragscode.” Het doel van dit Compliance Programma is om een ondernemingscultuur

binnen de vennootschap te helpen bewerkstelligen (dit is: “een cultuur van ethiek, integriteit en wettig

handelen”), hieronder valt ook naleving van de toepasselijke wetten en regelgeving.288

Hierna volgt in

de verklaring deugdelijk bestuur een omschrijving van de werking van het Compliance Committee dat

wordt voorgezeten door de Chief Legal & Corporate Affairs Officer. Het Compliance Committee

analyseert en beoordeelt wereldwijd de compliance risico’s voor de vennootschap wat regulering en

ethiek betreft en geeft strategische aanwijzingen voor de compliance activiteiten.

Het Comité beoordeelt ook op kwartaalbasis de significante juridische, compliance- of

reguleringsgerelateerde aangelegenheden die een wezenlijk effect op de jaarrekeningen of op de

vennootschap zouden kunnen hebben, met inbegrip van belangrijke kennisgevingen aan

overheidsinstellingen of verzoeken die werden ontvangen van zulke instellingen.

e. Conclusie.

Op het eerste gezicht voldoen al deze bepalingen aan de Corporate Governance Code en aan de

richtlijnen van de Corporate Governance Commissie (supra). In hoeverre de top van AB Inbev zich

uiteindelijk houdt aan de resultaten en aanbevelingen van de interne rapportage zal blijken zodra de

zaken slecht gaan en er onderzoeken door deze of gene overheid uitgevoerd zullen worden. Voorlopig

echter boekt AB Inbev goede resultaten en zal zoiets nog niet onmiddellijk het geval zijn.289

287 De tekst luidt: “Interne controle over financiële rapportering omvat de schriftelijke beleidslijnen en

procedures die: • betrekking hebben op het bijhouden van stukken die, in een redelijke mate van detail, accuraat en getrouw de transacties en de aard van de activa van de vennootschap weergeven; • redelijke zekerheid verschaffen dat de transacties worden geboekt zoals dat nodig is om de opmaak van jaarrekeningen overeenkomstig International Financial Reporting Standards toe te laten; • redelijke zekerheid verschaffen dat ontvangsten en uitgaven van de vennootschap enkel worden verricht overeenkomstig de toelating van het management en de bestuursleden van de vennootschap; en • redelijke zekerheid verschaffen met betrekking tot de preventie of tijdige ontdekking van niet-toegelaten verwerving, gebruik of beschikking van activa dat een belangrijke impact zou kunnen hebben op de geconsolideerde jaarrekening.” 288

Verklaring deugdelijk bestuur AB Inbev 2011, auditcomité, p 160. 289

“AB InBev boekt ijzersterke jaarresultaten”, http://www.oblis.be/nl/ab-inbev-boekt-ijzersterke-jaarresultaten-14805 (8 maart 2012).

Page 51: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

51

ii. Delhaize.290

Pagina veertien van de Corporate Governance verklaring van de Delhaize Groep houdt het

management verantwoordelijk voor risicobeheer en interne controle.

a. Interne controle.

Dit wordt gedefinieerd door Delhaize, en er wordt rekening gehouden met de identificatie van

gebeurtenissen, maar wel in een beperkte mate, namelijk enkel van de activiteiten van Delhaize Groep

zelf. Verder bevat de definitie ook een verwijzing naar de interne rapportage en de compliance. Met

enige goede wil kan men zeggen dat het “het verkrijgen van redelijke zekerheid inzake het bereiken

van doelstellingen” het anticiperen en beheren van tegenslagen (risico’s) is 291

(eigen onderlijning).

Het is de taak van de interne audit de financiële en bedrijfsrisico’s te analyseren en met het

management te bespreken wat de blootstelling van de Delhaize aan zulke risico’s betekent en de

stappen dienen te worden ondernomen om deze blootstelling op te volgen en onder controle te houden

(Risk Appetite). De Risicobeheer- en interne controle systemen van Delhaize zijn net als die van AB

Inbev gebaseerd op die van COSO’s Framework.292

Er wordt ook verklaard dat die systemen voldoen aan sectie 404 SOX.293

Er is centrale ondersteuning voor o.a. Interne en Externe Communicatie, Corporate Responsibility,

Accounting en Financiën, Human Resources en Organizational Development, Interne Audit,

Informatica, Legal en Compliance, en Strategie voor alle zeven landen waar Delhaize Groep actief is.

Wat betreft ondernemingscultuur is er ook bij Delhaize Groep een Gids voor Ethische Bedrijfsvoering

beschikbaar.294

De Groep verwacht van haar personeel, maar ook van haar franchisenemers dat die

zich daaraan houden.

b. Risicobeheer.

“Delhaize Groep definieert risicobeheer als het proces van het identificeren, evalueren en beheren van

de risico’s die verbonden zijn aan de bedrijfsactiviteiten met als doel de effecten van deze risico’s in

de mate waarin de organisatie haar doelstellingen behaalt en waarde creëert voor haar

belanghebbenden, tot een minimum te beperken.” Dit handelt voornamelijk over het bepalen van de

Risk Appetite. Iets later handelt de Corporate Governance Verklaring over het volgende feit:

290

Corporate Governance verklaring Delhaize NV, bijgevoegd bij het jaarverslag over 2011, raadpleegbaar op http://www.delhaizegroup.com/nl/BeleggersCenter.aspx (15 april 2012). 291

Interne controle is, ruim gedefinieerd, een proces dat uitgevoerd wordt door de Raad van Bestuur en het management gericht op het verkrijgen van redelijke zekerheid inzake het bereiken van doelstellingen aangaande

(i) de effectiviteit en efficiëntie van de activiteiten, (ii) de betrouwbaarheid van de financiële rapportering, en (iii) de naleving van de toepasselijke wet- en regelgeving.

292 Corporate Governance verklaring Delhaize NV, p 14.

293 Ibid., p 14. 294

http://www.delhaizegroup.com/portals/0/Documents/Ethical%20Guide/nl/index.htm.

Page 52: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

52

“Leidinggevenden doorheen de hele onderneming en van alle niveaus van de organisatie zijn

verantwoordelijk voor risicobeheer. Van deze personen wordt verwacht dat ze zich bewust zijn van

risico’s en deze begrijpen wanneer ze strategieën ontwikkelen, doelstellingen bepalen en beslissingen

nemen. Activiteiten inzake risicobeheer worden uitgevoerd in veel departementen binnen de

onderneming,(…)”295

Hier wordt aandacht besteed aan het begrip “gehele onderneming”. Het is de

taak van het auditcomité en het Executief Comité, die (…) het ERM programma van Delhaize Groep

hebben goedgekeurd, om een proces voor de hele onderneming te ontwikkelen zodat haar managers

goede, bruikbare informatie met betrekking tot ERM voor handen hebben als ondersteuning bij het

nemen van beslissingen. Het is uiteraard een gestandaardiseerd programma en het stelt de

onderneming in staat om een totaalbeeld te scheppen van risico, haar risicorespons te versterken en het

verschaft een werkmiddel om ons toekomstige succes te verzekeren. Het zorgt voor zichtbaarheid

inzake risico-informatie voor leidinggevenden en voor het Executief Comité, het Auditcomité en de

Raad van Bestuur.

Ook wordt er veel aandacht besteed aan risico-identificatie en rapportage296

(“De informatiesystemen

van de onderneming brengen rapporten voort die operationele, financiële en compliancegerelateerde

informatie bevatten, die het mogelijk maken om alle bedrijfsaspecten uit te voeren en te controleren.

De communicatie binnen de onderneming verloopt in ruimere zin, neerwaarts, doorheen en opwaarts

in de organisatie.”). De structuur wordt ieder jaar geëvalueerd, dit door controleactiviteiten die plaats

vinden in de hele onderneming en door periodieke opvolging van de verschillende processen binnen

Delhaize.297

“Problemen met interne controle die worden vastgesteld door Interne Audit, worden tijdig gemeld aan

het management en regelmatig opgevolgd om te garanderen dat er corrigerende acties ondernomen

zijn. De Raad van Bestuur heeft de eindverantwoordelijkheid voor de opvolging van de prestaties van

de onderneming en haar interne controle. Zodoende zijn de afzonderlijke comités, zoals hierin

beschreven, gevormd om verscheidene aspecten van de prestaties van de onderneming op te volgen; en

de opdracht voor ieder Comité is beschikbaar op de website van de onderneming.”(eigen

onderlijning).

In het Delhaize Corporate Governance Charter stelt Delhaize (terecht) dat: “interne controle een

integraal deel moet zijn van het dagelijks beheer.” Volgens het Charter zijn het Auditcomité, de

interne audit en interne controles en de externe audit belangrijke functies op het gebied van controle.

295

Corporate Governance verklaring Delhaize NV, kolom 3, p 14. 296

Ibid., kolom 3, p 15. 297

“De onderneming heeft haar opvolgingsprocedures zodanig ontworpen dat: Gebreken van de interne controle regelmatig worden geïdentificeerd en gecorrigeerd, Informatie die wordt gebruikt voor het nemen van beslissingen, betrouwbaar en accuraat is, Financiële staten accuraat en tijdig worden voorbereid, en Periodieke certificeringen of verklaringen over de efficiëntie van de interne controle kunnen worden gedaan. De opvolgingsprocedures van de onderneming bestaan uit een combinatie van toezicht op het management en onafhankelijke objectieve beoordelingen van deze activiteiten door Interne Audit of andere derde partijen.”

Page 53: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

53

c. Auditcomité

Het Auditcomité staat de Raad van Bestuur bij bij de controle van de financiële staten van Delhaize en

ook bij de compliance, de geschiktheid en onafhankelijkheid van de commissaris, de werking van het

departement Interne Audit en van de commissaris, en interne controles en risicobeheer.

d. Interne audit

De Delhaize Groep heeft een eigen team voor interne audit,298

geleid door de Chief Audit Officer die

rapport uitbrengt aan het Auditcomité.

e. Interne controles en risicobeheer van de Delhaize Groep.

1. Interne controles.

Zoals reeds vermeld is dit de verantwoordelijk van het management van Delhaize. Er wordt nogmaals

benadrukt dat deze controles “erop gericht zijn redelijke zekerheid te verkrijgen inzake de

betrouwbaarheid van de financiële rapportering en de voorbereiding van de financiële staten in

overeenstemming met de Belgische wet, de Belgische Boekhoudnormen en IFRS.

De interne controles waar sprake van is zijn de controles op het voldoen aan SOX en andere wetgeving

en regulering door middel van COSO’s Framework, aangevuld met specifieke bevindingen van het

interne auditsysteem (dat in feite ook volgens COSO is, het is eigen aan de onderneming).

2. Risicobeheer.299

Er is door Delhaize een adviesgroep voor Risicobeer van de onderneming opgericht, waarin

vertegenwoordigers van Finance, Legal, Internal Audit, Compliance en Risk Management zetelen, om

een structuur te ontwikkelen en te onderhouden en om het management te adviseren en te informeren

over risico‘s die de hele onderneming aanbelangen en hoe hierop te anticiperen.

f. Externe audit.

Door de externe audit300

moet bevestigd worden of de financiële staten van de Onderneming een

correct beeld geven van haar activa, de financiële situatie en de operationele resultaten, krachtens de

normen van het Belgisch Instituut der Bedrijfsrevisoren. Hierna volgt nog een opsomming van de

wettelijke taken van een commissaris.

g. Conclusie.

Het risicobeheermodel van Delhaize ziet er voldoende uit, met een duidelijke omschrijving van

functies en aandacht voor centrale en gedecentraliseerde taken van de lokale managementteams.

298

Dit is een onafhankelijke instelling binnen de Delhaize Groep. 299 De Definitie van Delhaize hiervan is: Het Risicobeheer van de Onderneming is het proces van het

identificeren, evalueren en beheren van de risico‘s die samenhangen met de activiteiten van de Onderneming teneinde de impact van deze risico‘s op het vermogen van de Onderneming tot een minimum te beperken om haar doelstellingen te behalen en waarde te creëren voor haar aandeelhouders. 300

Delhaize spreekt van statutaire audit.

Page 54: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

54

Helaas draait Delhaize nu wat minder, maar aan het ERM model zal het niet gelegen hebben, hoewel

men kan argumenteren dat de opvolging van de strategie niet helemaal goed zit door de recente

mindere resultaten.301

iii. Umicore.302

Het relevante deel over risicobeheer en interne controle is te vinden op p.154 van het jaarverslag over

2011, in het deel verklaring deugdelijk bestuur.303

Umicore geeft een erg uitgebreide classificatie van

risico’s in het jaarverslag. Maar eerst verklaren ook zij het volgende: “De Raad van Bestuur van

Umicore heeft de eindverantwoordelijkheid voor het beoordelen van het risicoprofiel van de

onderneming in de context van de bedrijfsstrategie en externe factoren, zoals marktomstandigheden,

de positionering van de concurrentie, technologische ontwikkelingen, enz., en om ervoor te zorgen dat

de onderneming over de juiste processen beschikt om deze risico’s te beheren (dus zowel voor het

bepalen van de Risk Appetite, als het beheren en anticiperen van en op de risico’s). Ook zij stellen als

volgt: “Berekende risico’s nemen maakt integraal deel uit van de ontwikkeling van elke onderneming.

De directie van Umicore heeft tot taak de economische opportuniteiten maximaal te benutten en

tegelijk mogelijke verliezen te beperken. Om dat te bereiken maakt Umicore gebruik van een

uitgebreid risicobeheerssysteem. Dit systeem moet het bedrijf in staat stellen risico’s op een proactieve

en dynamische manier te identificeren en deze geïdentificeerde risico’s waar mogelijk tot een

aanvaardbaar niveau te beperken (Risk appetite). In alle departementen van de onderneming zijn

interne controlemechanismen aanwezig om de directie een aanzienlijke garantie te bieden dat de

onderneming in staat is om haar doelstellingen te bereiken. Deze mechanismen controleren de

effectiviteit en efficiëntie van de operaties, de betrouwbaarheid van financiële processen en

rapportering, de naleving van wetten en regelgeving en beperken fouten en frauderisico’s

(ondernemingscultuur).” Ook Umicore maakt gebruik van COSO’s Framework.

a. Risicobeheerproces.

Volgens Umicore is de belangrijkste bron van risico-identificatie de verschillende business units zelf.

In het jaarverslag is een heel proces beschreven over identificatie en afbakening van de risico’s per

unit en departement. Dit staat wel wat haaks op de ERM gedachte van gehele onderneming.

Na die omschrijving worden de impact en de mogelijke anticipatie en verantwoordelijkheid bepaald,

via een nauwkeurig risicofiche. Dit alles wordt door het directiecomité overgemaakt aan het

auditcomité en de Raad van Bestuur. In opdracht van de Raad van Bestuur stelt het Auditcomité

301 Publicatie De Standaard: “Delhaize in crisis”,

http://www.standaard.be/artikel/detail.aspx?artikelid=K83PK30E (8 mei 2012). 302

Corporate Governance verklaring Umicore NV, bijgevoegd bij het jaarverslag over 2011, raadpleegbaar op http://www.umicore.com/investorrelations/en/ (15 april 2012). 303

Jaarverslag 2011 Umicore, http://www.umicore.com/reporting/Home/FullPDF/show_AR2011_NL.pdf (15 april 2011).

Page 55: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

55

een jaarlijkse evaluatie op van de interne controle- en risicobeheerssystemen van de onderneming en

houdt het permanent toezicht op specifieke aspecten van de interne controle en het risicobeheer.

Wat wel in lijn is met ERM is het volgende: “De business units en business groups zijn

verantwoordelijk voor het beperken van hun risico’s. Het directiecomité zal echter tussenkomen in

gevallen waarin het beheer van een bepaald risico de capaciteiten van een bepaalde business unit

overstijgt. Het directiecomité en de CEO zijn in een bredere context ook verantwoordelijk voor de

identificatie en het beheer van de risico’s die de hele Groep betreffen, zoals strategische positionering,

financiering of macro-economische risico’s.” Het departement Audit controleert dit alles en bewaart

het overzicht.

b. Intern controlesysteem

Umicore heeft het COSO-framework aangepast aan haar organisatie en processen. Ze noemt dit de

“Umicore Way” en het is samen met de Gedragscode van Umicore de hoeksteen van de interne

controleomgeving. Anders gezegd, zoals COSO en de richtlijnen van de Corporate Governance

Commissie voorschrijven is het ERM model aangepast aan de noden van de onderneming. Er wordt

gezorgd voor een duidelijke afbakening van rollen en verantwoordelijkheden.

In 2008 introduceerde Umicore een systeem van minimale interne controlevereisten (Ze noemt dit

MICR - Minimum Internal Control Requirements), specifiek voor de beperking van de financiële

risico’s en om de betrouwbaarheid van de financiële rapportering te verhogen.304

c. Risicobeheer en interne controle

Hierop wordt nog eens specifiek ingegaan op p.155 van het jaarverslag. Er wordt een opdeling

gemaakt van bepaalde risico’s waar Umicore mee te maken heeft.

1. Strategische risico’s:

zoals macro-economische en financiële omstandigheden, technologische veranderingen, reputatie van

het bedrijf, politieke en wetgevende ontwikkelingen.

304 Het MICR-framework van Umicore vereist dat alle entiteiten van de Groep aan een uniform geheel van

interne controles voldoen die 164 controleactiviteiten omvatten in 12 ‘cycli’ en 134 entiteiten van de Groep. Binnen het MICR-framework wordt speciale aandacht besteed aan de scheiding van verplichtingen en de definitie van duidelijke rollen en verantwoordelijkheden. Er werd een nalevingsdrempel ingesteld voor elke controleactiviteit, maar het uiteindelijke doel is het maximale nalevingsniveau te bereiken in alle entiteiten van Umicore. Het proces is nu geïntegreerd en de meeste entiteiten zijn in 2011 van de implementatiefase naar de duurzaamheidsfase overgegaan. Er wordt prioriteit gegeven aan het bereiken van de beoogde controlematuriteit in de processen die voor Umicore uitermate belangrijk zijn, zoals afdekking van de metaalrisico’s en voorraadbeheer. De naleving van het MICR wordt opgevolgd door middel van jaarlijkse zelfevaluaties die door het senior management moeten worden goedgekeurd en waarvan het resultaat aan Group Financial Compliance wordt gerapporteerd. Zij leggen jaarlijks een geconsolideerd rapport voor aan het directiecomité en het auditcomité van de Raad van Bestuur. Het departement Interne Audit controleert de nalevingsevaluaties bij de uitvoering van zijn opdrachten, aldus Umicore.

Page 56: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

56

2. Operationele risico’s:

zoals wijzigingen in de vraag van de klanten, aanvoer van grondstoffen, verzending van producten,

kredieten, productie, arbeidsrelaties,

human resources, IT-infrastructuur, gezondheid en veiligheid op het werk, emissiecontrole, impact van

de huidige of vroegere activiteiten op het milieu,

productveiligheid, veiligheid van activa en gegevens, herstel na rampen.

3. Financiële risico’s:

Dit gaat over o.a. thesaurie, belastingen, prognoses en budgettering, accurate en tijdige rapportering,

naleven van de boekhoudnormen, schommelingen in de metaalprijs en de valuta, indekking.

4. Overige risicobeschrijving.

Daarna volgt een uitgebreide bespreking van de mogelijke (combinaties van) risico’s waar Umicore of

andere ondernemingen uit die sector onder kunnen lijden. Ik heb hieronder een deel daarvan in het

klein weergegeven, omdat ze wel nuttig is als duidelijk voorbeeld van risico-indentificatie. Tevens

vind ik dat het weergeven van de veranderingen in 2011 per risico voor een belegger toegevoegde

waarde levert. De FRC zou hier zeer blij mee zijn (infra).

“18.1 Strategische en operationele risico’s

18.1.1 Marktrisico

Umicore beschikt over een gediversifieerde portefeuille van activiteiten die een aantal

verschillende marktsegmenten bedienen en is voor de meeste van haar activiteiten wereldwijd

aanwezig. Geen enkel marktsegment is goed voor meer dan 50% van de verkoop van Umicore.

In termen van algemene blootstelling zijn de belangrijkste eindgebruikersmarkten die door

Umicore worden bediend de autosector, consumentenelektronica en de bouw. Het

bedrijfsmodel van Umicore focust tevens op de sourcing van secundaire materialen en

materialen op het einde van hun levensduur voor recyclage. In vele gevallen is de

beschikbaarheid van deze materialen afhankelijk van het activiteitsniveau in specifieke

sectoren of bij specifieke klanten waar Umicore kringlooprecyclagediensten levert. Een

gediversifieerde portefeuille en een brede geografische aanwezigheid helpen het risico van een

te grote blootstelling aan één markt verminderen.

Opmerkingen over 2011: Als gevolg van de staatsschuldencrisis vertoonde de economie

tekenen van vertraging in het laatste deel van 2011 in Europa en de VS. Ondanks deze

vertraging hielden de markten waarin Umicore actief is gedurende het hele jaar globaal goed

stand.”305

Het Corporate Governance Charter voegt niks toe en herhaalt enkel de bevoegdheden van de organen.

305

Jaarverslag 2011 Umicore, p 155.

Page 57: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

57

d. Conclusie.

Het risicobeheermodel van Umicore focust mijns inziens te veel op de aparte silo’s, in plaats van op de

hele onderneming, maar er wordt wel aandacht besteed aan alles doorheen de hele onderneming. Ook

de communicatie met de buitenwereld strekt tot aanbeveling.

h. In andere landen.

Om te zien of er in België een goede werking is van ERM is het noodzakelijk om te kijken naar andere

rechtsgebieden. Hiervoor kijk ik eerst naar de VS, dan het VK, Nederland en ten slotte Duitsland.

a. Verenigde Staten

In de VS is er geen Corporate Governance Code, maar er is wel een verplichting van de SEC die de

raden van bestuur van Amerikaanse ondernemingen verplicht en verantwoordelijk stelt voor een

adequaat intern controlesysteem en een degelijke rapportage. Deze verplichting is te vinden in art. 404

van de Sarbanes-Oxley-wet (Hierna te noemen: SOX).306

Verder zijn de verplichtingen van de Model

Business Corporation Act en Delaware General Corporation Law, en de rechtspraak van Delaware,

van belang.307

i. De wettelijke verplichtingen van SOX.

Omdat deze van toepassing zijn op beursgenoteerde vennootschappen, 308

zijn ze door de SEC

uitgewerkt. 309

Elke onderneming moet verklaren dat er een raamwerk is dat interne controle op

effectiviteit evalueert door het mogelijk maken van kwalitatieve en kwantitatieve metingen.310

Een auditeur moet hier een beoordeling van maken en elk zwak punt van dat raamwerk meteen bekend

maken aan de onderneming.311

Verder zorgt de SEC er nog voor dat er een definitie komt van “interne controle en financiële

rapportage”. Het gaat kort gezegd om goede registratie van gegevens volgens een gestandaardiseerde

manier (GAAP), en die eenvoudig aan de buitenwereld gepresenteerd kunnen worden en fraude

306

Sarbanes–Oxley Act of 2002 (Pub.L. 107-204, 30 July 2002 U.S.C.C.A.N. (116 Stat.) 745, http://www.gpo.gov/fdsys/pkg/PLAW-107publ204/content-detail.html (31 december 2011). 307

Restoring the Balance in Corporate Management p 29 over het belang van de rechtspraak van Delaware. 308

“An act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes.” Er is wel kritiek op deze wet, omdat het een reactie is op de Enron en Worldcom-schandalen en daarom niet altijd even goed doordacht is, aldus sommigen. Er zijn auteurs die spreken van “Quack Corporate Governance”. S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 260, voetnoot 899. 309

Securities and Exchange Commission (SEC), 27 mei 2003, SEC Implements Internal Control Provisions of Sarbanes-Oxley Act; Adopts Investment Company R&D Safe Harbor. (http://www.sec.gov/news/press/2003-66.htm) (30 december 2011), uitgewerkt in SEC Rule 33-8238 en amendementen. 310

Voor de concrete voorwaarden, zie SEC Rule 33-8238. (http://www.sec.gov/rules/final/33-8238.htm#ia) 30 december 2011, punt 69. 311

§ 205 (a) SOX. Als er geen auditcomité wordt aangeduid, wordt de hele raad van bestuur als auditcomité beschouwd.

Page 58: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

58

tegengaan. 312

Het vrijwaren en beschermen van activa is één van de hoofddoelen van de SOX, aldus

de SEC.313

De onderneming moet beoordelen of de interne controle en rapportage effectief geweest

zijn.314

Ondanks hun controletaak is niet toegestaan om de volledige interne controle te delegeren naar de

auditeurs,315

want de taak van de auditeurs moet worden gepresteerd “ongeacht de

verantwoordelijkheden van de Raad van Besuur”.316

Zij draagt dus de eindverantwoordelijkheid voor

het interne controle- en rapporteringsysteem.317

Ook de manier van rapportering zal van onderneming

tot onderneming verschillen, dit naargelang de aard en de grootte van de onderneming.318

Een

procedure van enkel navragen is niet voldoende, er moet actief onderzocht worden of alle aspecten van

de onderneming werken zoals ze behoren te doen. Van het feit of deze tests en controles effectief

waren moet voldoende bewijs geleverd worden, zowel over de opzet van de controles als het test

proces op zich. Artikel 409 SOX vereist een directe bekendmaking van serieuze veranderingen in de

financiële toestand van een onderneming aan de buitenwereld.

Na de rapportage van de auditeur aan de raad van bestuur is het aan de laatste om er voor te zorgen dat

er voldoende maatregelen worden genomen.319

Volgens de SEC is er sprake van een tekort in de

interne controle wanneer “the design or operation of a control does not allow management or

employees, in the normal course of performing their assigned functions, to prevent or detect

misstatements on a timely basis.”320

312

Dit is: a process designed by(…) the registrant's principal executive and principal financial officers (…) and effected by the registrant's board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles and includes those policies and procedures that pertain to the maintenance of records that in reasonable detail accurately and fairly reflect the transactions and dispositions of the assets of the registrant; provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and receipts and expenditures of the registrant are being made only in accordance with authorizations of management and directors of the registrant; and provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use or disposition of the registrant's assets that could have a material effect on the financial statements. (http://www.sec.gov/news/press/2003-66.htm) (30 december 2011). 313

SEC (http://www.sec.gov/rules/final/33-8238.htm#ia) (30 december 2011). 314

SEC: Final Rule: Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, I, Background, A, Management's Report on Internal Control over Financial Reporting (http://www.sec.gov/rules/final/33-8238.htm#ia) (30 december 2011). 315

Ibid., punt 70. 316

Vergelijk dit met Art. 526bis W. Venn § 4: “Onverminderd de wettelijke opdrachten van de raad van bestuur heeft het auditcomité minstens de volgende taken: (...).” 317

Zie ook: Publicatie FRC, The Turnbull guidance as an evaluation framework for the purposes of Section 404(a) of the Sarbanes-Oxley Act, 16 December 2004, H 3.1 (Responsibility for compliance with S404(a) lies with the management of the company”). 318

SEC (http://www.sec.gov/rules/final/33-8238.htm#ia) 30 december 2011, punt 75. 319

§ 302 SOX. 320

SEC 17 CFR PART 241 en Securities Exchange Act Rules 13a-15(f) and 15d-15(f), 17 C.F.R. § § 240.13a-15(f) and 240.15d-15(f).

Page 59: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

59

Ze maakt daarna nog onderscheid tussen een ontwerpfout en een materiële zwakheid. Het eerste komt

voor wanneer er wel controle is, maar dat de risico’s die voor ogen waren niet ontdekt worden, en het

tweede wanneer het aannemelijk is dat er veel schade kan ontstaan. Verder wordt er nog gerept van

een “tekort in operationele activiteiten” (A deficiency in operation), namelijk wanneer een op zich

goede interne controle structuur niet werkt zoals beoogd, of dat de mensen die er mee moeten werken

niet gekwalificeerd genoeg zijn.321

ii. De verplichtingen van de Delaware General Corporations Law.322

Vooral subhoofdstuk IV, van Hoofdstuk 1 van titel 8 is van belang.323

§ 141 (a) bepaalt dat de

onderneming beheerd wordt of onder leiding staat van de raad van bestuur, tenzij anders bepaald is in

de oprichtingsakte. Zolang een bestuurder te goede trouw (als zorgvuldig persoon) kon vertrouwen op

de rapportage van een extern persoon is hij beschermd tegen aansprakelijkheidsvorderingen. De

externe persoon moet wel redelijkerwijze geacht worden zorgvuldig geselecteerd te zijn en over de

nodige professionele en deskundige kennis te beschikken.324

iii. De beurs.

Men kan de regeling en voorwaarden van interne controle en ERM in de VS niet volledig beschrijven

zonder de noteringvoorschriften van de beurzen aldaar te behandelen,325

zijnde de New York Stock

Exchange (vanaf hier:NYSE)326

en NASDAQ327

. Als de genoteerde ondernemingen niet voldoen aan

de vereisten kunnen zij hun notering kwijtraken. Dit is een goede stok achter de deur om zeker te

voldoen aan de noteringvoorschriften en de daarin vervatte Corporate Governance verplichtingen. Na

de supra genoemde schandalen zijn deze regels het laatste decennium aangepast om er voor te zorgen

dat het management beter gecontroleerd werd door er voor dat bij delegatie bestuurders sneller

aansprakelijk gesteld kunnen worden.328

321

Ibid., § § 228.308(a)(3) and 229.308(a)(3). 322

Delaware General Corporation Law, Titel 8, Hoofdstuk 1 van het wetboek van Delaware, http://delcode.delaware.gov/title8/c001/sc04/index.shtml (5 april 2012). 323

Title 8 Corporations, Chapter 1. General Corporation Law, Subchapter IV. Directors and Officers. 324

§ 141 (e) Delaware General Corporations Law en Organisatieaansprakelijkheid van bestuurders, p 259, nr. 294. 325

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 259, nr. 293. 326

Voor de NYSE: “de NYSE Listed Company Manual Section 303A Corporate Governance Standards en Financial Compliance”(juli 2010) op http://usequities.nyx.com/regulation/listed-companies-compliance/financial-compliance en de “NYSE Listed Company Manual” op http://nysemanual.nyse.com/LCMTools/PlatformViewer.asp?searched=1&selectednode=chp%5F1%5F4%5F3%5F1&CiRestriction=303A&manual=%2Flcm%2Fsections%2Flcm%2Dsections%2F en de “Listing Standards – U.S. Standards” op http://usequities.nyx.com/regulation/listed-companies-compliance/listings-standards/us en http://nysemanual.nyse.com/LCMTools/PlatformViewer.asp?searched=1&selectednode=chp_1_2_2&CiRestriction=102&manual=/lcm/sections/lcm-sections/ (links van 9 januari 2012). 327

Regulatory Requirements (juli 2010) en de NASDAQ listing rules op http://nasdaq.cchwallstreet.com/NASDAQTools/PlatformViewer.asp?selectednode=chp%5F1%5F1%5F4%5F2&manual=%2Fnasdaq%2Fmain%2Fnasdaq%2Dequityrules%2F (9 januari 2012). 328

328

Restoring the Balance in Corporate Management. http://www.usa-recht.de/wp-content/uploads/2011/02/TBL-Corporate-Management.pdf, voetnoten p 52 en 53 (3 april 2012).

Page 60: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

60

a. NYSE

Artikel 303A.06 over het auditcomité van de “handleiding voor genoteerde bedrijven” bepaalt dat

genoteerde bedrijven een auditcomité moeten hebben dat voldoet aan artikel 10A-3 van de “exchange

act”.329

Hierin staan de basisvoorwaarden voor het auditcomité, zoals het detecteren van fouten en

fraude en rapporteren aan het management. Ook de aansprakelijkheid en strafbepalingen worden hierin

bepaald. In artikel 10A-3 wordt bepaald dat wanneer de raad van bestuur een rapport krijgt over een

aantasting van de onafhankelijkheid van het auditcomité, de raad van bestuur dit binnen 24 uur moet

melden aan de SEC. Verder staan er in het NYSE voorschrift artikel 303A.07 nog bepaalde

voorwaarden voor het auditcomité, zoals het minimum aantal leden (drie).

Artikel 303A.09 bepaalt aan welke Corporate Governance voorwaarden genoteerde ondernemingen

moeten voldoen.330

Hun (interne) Corporate Governance richtlijnen moeten openbaar gemaakt worden.

Het gaat om bepaalde thema’s van “universele waarde”, zoals de kwalificaties en

verantwoordelijkheden van bestuurders,331

van de raad van bestuur en van de vergoedingen van

bestuurders.332

Onder verantwoordelijkheden333

wordt verstaan wat er verwacht wordt van

Bestuurders, bijvoorbeeld hoe vaak ze aanwezig zullen zijn. De raad van bestuur moet ook zorgen

voor jaarlijkse zelf-evaluatie om te zien of ze juist functioneert.

In de “Final NYSE Corporate Governance Rules”334

wordt gesteld dat het ook de taak van het

auditcomité is om de risicobeheerprocessen op te volgen. Er wordt wel expliciet gesteld dat het

auditcomité niet het enige orgaan is dat verantwoordelijk is voor ERM. Impliciet wordt dus ook

verantwoordelijkheid gelegd bij de CEO en de raad van bestuur. Dit wordt ook bevestigd in de studie

van SIMKINS en RAMIREZ.335

In het Belgische Wetboek van Vennootschapsrecht vindt men in art.

526bis § 4 eenzelfde verklaring terug.336

Een andere taak van het auditcomité is om regelmatig overleg

te plegen met interne auditeurs teneinde tot een beter begrip te komen van wat er aan de gang is in de

329

US Securities exchange act van 1934 (off. Journal: Pub.L. 73-291, 48 Stat. 881). 330

NYSE Listed Company Manual. 331

Zoals bepaald door artikels 303A.01 en .02 van de NYSE Corporate Governance Guidelines. 332

Ook moet er aandacht zijn voor vergoedingen betaald door de onderneming aan organisaties verbonden aan een bestuurder. 333

Art. 303A.09 NYSE Corporate Governance Guidelines. 334

Ibid., p 11 en 12. 335

S. SIMKIN,S.A. RAMIREZ, Enterprise-Wide Risk Management and Corporate Governance, raadpleegbaar op http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1657036, p 572 en p 584 met het citaat van Moody’s in voetnoot 86. Zij moedigen een actief intern auditcomité en Raad van Besuur aan. 336

Deze paragraaf luidt: “Onverminderd de wettelijke opdrachten van de raad van bestuur heeft het auditcomité minstens de volgende taken: a) monitoring van het financiële verslaggevingsproces; b) monitoring van de doeltreffendheid van de systemen voor interne controle en risicobeheer van de vennootschap. Vergelijk ook principe 6.5 van de Belgische Corporate Governance Code: Het uitvoerend management moet minstens: (...) zorgen voor de totstandkoming van interne controles (dit zijn systemen voor het identificeren, evalueren, beheren en opvolgen van financiële en andere risico's), onverminderd de toezichthoudende rol van de raad van bestuur, gebaseerd op het kader dat goedgekeurd werd door de raad van bestuur.” (eigen onderlijning).

Page 61: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

61

onderneming. De bevindingen van het auditcomité moeten regelmatig worden meegedeeld aan de raad

van bestuur.337

b. NASDAQ

De NASDAQ listing rules338

bepalen dat er een auditcomité moet zijn net zoals een overzicht van de

remuneratie opgesteld onafhankelijke bestuurders.. Wat betreft de onafhankelijke bestuurders kan

worden opgemerkt dat er een uitgebreide beschrijving is van wat een onafhankelijke bestuurder is.339

Een belangrijk deel van de Listing rules gaat over de voorschriften voor de auditcomités.

Er moet een geschreven en door het auditcomité goedgekeurd charter zijn in elke genoteerde

onderneming. Er moet instaan wat de verantwoordelijkheden zijn van het auditcomité en hoe die

verantwoordelijkheden worden opgenomen. Tevens moet dat charter bepalen wie erin zetelt. Tevens

moeten eventuele relaties of diensten tussen de onderneming en de externe auditeurs openbaar worden

gemaakt. Wat er zeker duidelijk in beschreven moet worden is hoe het auditcomité het financieel en

boekhoudkundig proces van de onderneming denk te monitoren. Verder wordt er net als door de

NYSE aandacht besteed aan de exchange act, en natuurlijk aan over het minimumaantal leden van het

auditcomité (drie).

Een laatste opmerking is dat elke bestuurder, manager en werknemer zich ethisch behoort te gedragen.

Dit moet spontaan gebeuren los van het bestaan van een interne (geschreven) gedragscode,

zoalsbeschreven in art. 406(c) van de Sarbanes-Oxley Act. 340

c. SEC:

De SEC heeft, als toezichthouder, zijn voornaamste eisen uitgewerkt in de SOX-wet. Ze komen erop

neer dat de onderneming naar de aard van onderneming een raamwerk moet kiezen, waaronder

rapportage en interne controle en risicobeheersystemen vallen. Dit moet worden meegedeeld in een

verklaring van de onderneming.341

iv. Conclusie.

De regels in de VS leggen een sterke nadruk op interne communicatie, dit in verband met de

uiteindelijke verantwoordelijkheid van de raad van bestuur. Waarom dit belangrijk is wordt infra

uitgelegd met betrekking tot de business judgement rule en de verplichting van bestuurders om zich

voldoende te informeren.

337

NYSE Corporate Governance Guidelines, p 13. 338

Art. 5600 NASDAQ Listing rules: Corporate Governance Requirements. 339

Art. 5605 NASDAQ Listing Rules: Board of Directors and Committees. 340

Art. 5610 NASDAQ Listing Rules: Code of Conduct. Vergelijk dit ook met de studie van B.W. NOCCO, R.M. STULZ, Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar op www.ssrn.com, SSRN-id921402, p 3. 341

SEC-Rule 33-8238, Final Rule: Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, http://www.sec.gov/rules/final/33-8238.htm (hierna SEC Rule 33-8238), (5 april 2012) Zie ook §404 SOX.

Page 62: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

62

b. Verenigd Koninkrijk

De wettelijke regeling omtrent ondernemingsbestuur in de Companies Act van 2006342

is vrij summier.

Er staan opsommingen in van verplichtingen voor bestuurders, maar de regels omtrent de

organisatiestructuur en toezicht zijn te vinden in de Corporate Governance Code en andere werken van

de Financial Reporting Council (FRC).

i. Corporate Governance Code en de Revised Turnbull Guidance 2005.

In het kader van het Corporate Governance (“een leiderschap van een onderneming dat lange termijn

successen creëert”) is het in het Verenigd Koninkrijk de bedoeling dat de raad van bestuur een

behoorlijk risicobeheer- en controlesysteem opbouwt en dat ze op een duidelijke manier de positie van

de onderneming kan meedelen aan de belanghebbenden.343

Dit wordt verderop in het kader van Risk Management and Internal Control verduidelijkt.344

De raad

van bestuur is verantwoordelijk voor de aard van de risico’s en moet de bereidheid bepalen over

hoeveel risico’s men wil nemen met de onderneming. Hiervoor moet ze een behoorlijk risicobeheer-

en controlesysteem invoeren. Teneinde zich ervan te vergewissen of het controlesysteem naar behoren

werkt moet de Raad minstens één keer per jaar de effectiviteit ervan nagaan en de resultaten aan de

aandeelhouders meedelen. Ook moet de Raad ervoor zorgen dat de auditeur van de onderneming de

gegevens op een eenvoudige manier kan nagaan.345

Volgens praktijkmensen is het de

verantwoordelijkheid van de raad van bestuur om ervoor te zorgen dat het ERM-bewustzijn door de

gehele onderneming geldt.346

Er wordt in het VK onder professionele spelers algemeen aanvaard dat de verantwoordelijkheden van

de raad van bestuur de volgende zijn: De houding van de onderneming ten aanzien van risico bepalen

(risk appetite); de cultuur347

en “mindset” van de onderneming bepalen; de juiste (interne en externe)

risico’s bepalen waarop gereageerd moet worden (“the risks inherent in the company’s business

model”), dit moet het liefst in het kader van lange termijn denken; controle van de wil en kunde van

het management inzake het implementeren van interne controle procedures en zich verzekeren van het

feit dat de onderneming effectieve crisisbeheer systemen heeft. Bij de laatste kan men vragen stellen,

want dat betekent een falen van een à priori toezicht.348

Deze principes komen goed overeen met wat

het Belgische Corporate Governance Committee heeft bepaald in zijn richtlijnen omtrent risicobeheer

(supra).

342

http://www.legislation.gov.uk/ukpga/2006/46/contents. 343

Inleiding UK Corporate Governance Code, p 1 en p 7. 344

Ibid., Risk Management and Internal Control, C.2, p 14. 345

Ibid., C.2.1 en C.3. 346

FRC, Boards and Risk, p 5. De Turnbull guidance is niet zaligmakend, in 2012 wordt een update verwacht, dit is een samenvatting van een vragenronde “in de sector.” 347

Dit speelt eigenlijk met betrekking tot de gehele corporate governance; als een onderneming of zijn bestuur niet willen meewerken aan goede corporate governance praktijken, dan zullen codes en wetgeving daar weinig aan kunnen veranderen, zie ook E. JANNSENS, Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4, p 28, conclusie. 348

FRC, Boards and Risk, p 5.

Page 63: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

63

In de Revised Turnbull guidance (2005) worden deze principes nader uitgelegd. Het gaat o.a. over

“comply or explain”, de verplichting van de raad van bestuur een degelijk ERM in te stellen, een

onderzoek over de effectiviteit ervan (minstens één keer per jaar) en dit over de materiële controle. Dat

wil zeggen, zowel de financiële, operationele als de compliance kant moeten worden belicht.349

Op pagina 6 van de herziene Turnbull guidance wordt verder ingegaan op de plichten van de raad van

bestuur met betrekking tot het onderhouden van een behoorlijk systeem van interne controle350

.

Er wordt hier letterlijk gesteld dat de raad van bestuur aansprakelijk is voor de interne controle van de

onderneming. Ze moet zich er regelmatig van verzekeren dat de interne controle nog volstaat en werkt

zoals de raad het oorspronkelijk heeft bedoeld.351

Dit moet worden getoetst aan de hand van

verschillende parameters.352

De effectiviteit ervan moet ook worden beoordeeld door de raad van

bestuur, en dit via rapportage van de verschillende delen van de onderneming. De raad is ook

verantwoordelijk voor de manier waarop moet worden gerapporteerd, en dat moet zo eerlijk mogelijk

zijn.353

Ook is het de raad die lange termijn doelen moet uitstippelen voor de onderneming.354

Volgens de Financial Reporting Council bestaat een interne controlesysteem uit o.a. de volgende

elementen:

- de onderneming moet adequaat kunnen reageren op verschillende risico’s;

- de kwaliteit van de rapportering moet speciale aandacht krijgen, waaronder ook het risico op

fraude en misbruik van de ondernemingseigendommen;

-compliance en “conduct of business” moeten worden gerespecteerd;

-effectiviteit en continuïteit van het systeem moeten zeker opgevolgd worden;

Er moet zeker voor gewaakt worden dat de informatiestroom niet te gedetailleerd is, en/of te weinig

feitelijke informatie zou bevatten, en dus te veel op voorhand vastgestelde aannames inhoudt.355

Hierna moet de raad van bestuur beslissen welke zaken meteen aandacht moeten krijgen en bij welke

niet meteen moet worden ingegrepen.356

Nog een belangrijk aspect van ERM dat hier wordt belicht, namelijk hoe behoorlijk een intern

controlesysteem ook is, slechte beoordelingen door beleidsmakers, opzettelijk of niet (vergissen is

menselijk) nooit volledig voorkomen kunnen worden. Kort gezegd: men handelt hier over het begrip

349

FRC, Internal control requirements of the Combined Code, Turnbull Guidance, p 4. 350

Revised Turnbull guidance 2005. Hoofstuk 2. Maintaining a sound system of internal control, p 6. 351

Ibid., punt 15. 352

Revised Turnbull guidance 2005, punt 16: the board's deliberations should include consideration of the following factors: the nature and extent of the risks facing the company; the extent and categories of risk which it regards as acceptable for the company to bear; the likelihood of the risks concerned materialising; the company's ability to reduce the incidence and impact on the business of risks that do materialise; and the costs of operating particular controls relative to the benefit thereby obtained in managing the related risks. 353

Revised Turnbull guidance 2005, hoofdstuk 3, p 9. 354

FRC, Boards and Risk, p 3. 355

Ibid., p 11. 356

Revised Turnbull guidance 2005, punt 29, p 10.

Page 64: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

64

van redelijk zorgvuldig bestuurder.357

Enkel redelijke, maar geen absolute bescherming moet worden

geboden (zoals tegen onvoorzienbare omstandigheden en bijvoorbeeld fraude).358

Het is de opdracht

van het management om de beleidslijnen zoals bepaald door de raad van bestuur uit te voeren.

Hiervoor is het noodzakelijk dat die kennis neemt van de ERM-plannen en hiertoe ook tot in staat

worden gesteld en dat de communicatie vlot verloopt.359

De uiteindelijke verantwoordelijkheid van het

uitvoeren van interne controle is een individuele verantwoordelijkheid van het uitvoerend

management, maar er moet door de raad van bestuur wel voor gezorgd worden dat die

verantwoordelijkheden welomlijnd zijn, per individuele manager. Ook zijn zij ervoor verantwoordelijk

dat de informatie de raad van bestuur op tijd en duidelijk bereikt, maar dit is afhankelijk van de

kwaliteit van de aanwezige interne controlestructuur.360

Er wordt tevens nog benadrukt (en bevestigd)

dat het oprichten van eventuele risico- en auditcomités de uiteindelijke verantwoordelijkheid van de

raad van bestuur voor een degelijk risicobeheer en degelijke interne controle niet teniet doet. De risk

appetite wordt onder verantwoordelijkheid van de raad van bestuur bepaald.361

Het is ook de

verantwoordelijkheid van de raad van bestuur om de huidige en nieuw ontstane risico’s te toetsen aan

de gekozen Risk appetite, het zogenaamde beheren van de risk map.362

Al de informatie over interne controle moet jaarlijks aan de aandeelhouders bekend worden gemaakt

zodat zij begrijpen welke risico’s de onderneming wenst te lopen (cfr. risk appetite).363

De FRC heeft in een onderzoek ontdekt dat de regels en aanbevelingen omtrent de aandacht van de

raden van bestuur voor risicobeheer in toenemende mate worden nageleefd.

Er wordt door partijen uit de praktijk gesteld, net als in België (infra, de richtlijnen van de Corporate

Governance Commissie) dat het onderscheid tussen interne controle, financiële verslaggeving en

risicobeheer (ERM) niet helemaal duidelijk is.364

Een overeenkomst met de aangeraden praktijk in de richtlijnen van de Belgische Corporate

Governance Commissie (supra) is dat in het VK sommige bedrijfsleiders het zelf, fysiek controleren

van de situatie op de werkvloer niet erg vinden.365

Hiervoor is het wel belangrijk dat die bestuurders

weten waar het in de onderneming om draait, en er wordt opgemerkt dat dit niet altijd het geval is.366

357

Revised Turnbull guidance 2005, punt 22, p 7 en punt 23, p 8. De OESO erkent dit ook in haar richtlijnen voor multinationale ondernemingen, p 26, A.16. Vergelijk ook met de business judgement rule in de VS, en het verbod voor rechters van ex ante beslissingen. 358

Dit is vergelijkbaar met de in België bestaande zorgvuldigheidsnorm (infra). 359

FRC, Boards and Risk, p 6. 360

Ibid., p 6. 361

Revised Turnbull guidance 2005, p 3. 362

FRC, Boards and Risk, p 11. 363

Revised Turnbull guidance 2005, punt 33, p 12. 364

FRC, Boards and Risk, p 12. 365

Ibid., p 13. 366

Men kan zich afvragen wat de rol is van zulke bestuurders in bepaalde ondernemingen.

Page 65: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

65

Er is ook, op papier toch, een grote eensgezindheid over de aandacht die het stroomlijnen van

salarissen in lijn met de risicoverwachting moet krijgen.367

De salarissen, of beter, de drijfveren,

moeten niet enkel snelle winst belonen, want dit betekent meestal ongewenst veel risico’s voor de

onderneming. Aan de andere kant moet men ervoor waken dat een niet te grote risicoaversie wordt

gecreëerd, want zoals supra al opgemerkt is, zonder risico geen onderneming. Het aandacht geven aan

deze remuneratieproblematiek is een goed voorbeeld van het feit dat ERM in het optimale geval moet

spelen doorheen de hele onderneming, dus ook bij de top. Ook risk appetite speelt hier een rol in.

Idealiter zou de beloning van bestuurders het hoogst liggen als de risico’s niet overschreden worden en

er toch een mooi resultaat behaald wordt (dit laatste impliceert het nemen van precies genoeg positieve

risico’s, of opportuniteiten en/of de juiste trade-off van voorkomen of ondergaan van negatieve

risico’s).

Voorstellen voor de rapportage waren er ook nog te vinden in het veld: het integreren van commentaar

over risicobeheer doorheen het gehele jaarverslag, in plaats van dit in een apart hoofdstuk te plaatsen

en meer aandacht geven in verslagen over de strategie en de link daarvan met ERM. Tevens moeten de

veranderingen in het blootstaan van de onderneming aan nieuwe en oude risico’s worden uitgelegd.368

Aan de andere kant was er weinig enthousiasme om externe auditeurs te verplichten risicobeheer van

een onderneming door te nemen (vergelijk ook supra, de eigenheid van elke onderneming)..369

a. Speciaal geval: De combinatie van SOX en de Turnbull Guidance uit 2004.

In 2004 heeft de FRC, naar aanleiding van de invoering van de SOX in de VS, een veertien pagina’s

tellende handleiding370

over de verschillen tussen met name paragraaf 404 SOX en de Turnbull

Guidance uitgebracht. Deze handleiding is voornamelijk van belang voor ondernemingen die niet

Amerikaans zijn, maar die toch willen voldoen aan de SOX-verplichtingen. Met name voor Britse

ondernemingen zal dit handig zijn. Zoals hoger (p …) al gemeld zijn deze regels omgezet in SEC Rule

33-8238.371

In tegenstelling tot de SOX en de SEC Rule 33-8238, die de verantwoordelijkheid bij het

Bestuur alleen leggen, is het in het VK de verantwoordelijkheid van de raad van bestuur en van de

managers om de interne controle in goede banen te leiden.372

Ze moet er voornamelijk voor waken dat

de interne controlestructuur zoals opgezet volgens de Britse Corporate Governance Codes wel voldoet

aan de structuureisen van SOX en de SEC.373

Het is de taak van het Bestuur daar voor te zorgen.374

367

FRC, Boards and Risk. 368

Ibid., p 14. Men kan hier een voorbeeld nemen aan het Umicore jaarverslag. 369

FRC, Boards and Risk, p 16. 370

FRC, The Turnbull guidance as an evaluation framework for the purposes of Section 404(a) of the Sarbanes-Oxley Act, 16 December 2004. 371

SEC Rule 33-8238 (amendment to 17 CFR 240.13a-15 and 240.15d-15), http://www.sec.gov/rules/final/33-8238.htm (12 maart 2012). 372

Publicatie FRC, The Turnbull guidance as an evaluation framework for the purposes of Section 404(a) of the Sarbanes-Oxley Act, H 3.1. 373

Ibid., H 3.3.

Page 66: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

66

De SEC aanvaardt dat de richtlijnen van de FRC over interne controle375

volstaan als raamwerk voor

interne controle.376

Speciale aandacht gaat nog uit naar classificatie van tekorten in de controle mechanismen.377

Deze

moeten namelijk aan gestandaardiseerde classificatie voldoen, zijnde die van: PCAOB Auditing

Standard No. 2 (voornamelijk art. 8 –10).378

De PCAOB is een instelling gecreëerd om de auditing van

genoteerde vennootschappen na te kijken, dit in het kader van SOX.379

Concluderend kan men stellen dat dit document van de FRC weinig toevoegt, het is voornamelijk een

herhaling van de SOX, zonder veel verdere informatie.

ii. Euronext Londen.

Euronext Londen is verplicht de bepalingen van de Financial Services and Markets Act van 2000380

te

volgen en er aldus voor te zorgen dat die verplichtingen door zijn leden en door de genoteerde

ondernemingen worden nageleefd.381

iii. Financial Service Authority Listing rules.382

Deze regels bepalen de verplichtingen van emittenten op de FTSE en op Euronext Londen. Zij kan

aandelen van een onderneming die niet aan de listing rules voldoet schorsen van de markt.383

Dit kan

op grond van o.a. het niet voldoen aan het publiceren van voldoende financiële informatie. Behalve

schorsing kan het aandeel ook van de markt verwijderd worden.384

iv. De Companies Act van 2006

Artikel 417 (3) legt bestuurders op om in het jaarverslag een billijke evaluatie (a fair review of the

company’s business) op te nemen, evenals een beschrijving van de belangrijkste risico’s. Dit is zeker

al een deel van ERM. Deze verplichting moet samen gelezen worden met sectie C van de Corporate

374

Whilst management is solely responsible for compliance with S404(a)(…), Ibid., H 3.3. 375

Revised Turnbull guidance 2005. Hoofstuk 2. Maintaining a sound system of internal control. 376

Voetnoot 68 SEC-Rule 33-8238. Dit zijn: the company’s internal control over financial reporting: control environment; risk assessment; control activities; information and communication; and monitoring. 377 FRC, The Turnbull guidance as an evaluation framework for the purposes of Section 404(a)

of the Sarbanes-Oxley Act, p 7. 378

PCAOB: http://pcaobus.org/Standards/Auditing/Pages/Auditing_Standard_2.aspx#definitions (5 april 2012). Het gaat om de volgende: -Probable. The future event or events are likely to occur. -Reasonably possible. The chance of the future event or events occurring is more than remote but less than likely. -Remote. The chance of the future events or events occurring is slight. 379

http://pcaobus.org/Pages/default.aspx (5 april 2012). 380

“An Act to make provision about the regulation of financial services and markets; to provide for the transfer of certain statutory functions relating to building societies, friendly societies, industrial and provident societies and certain other mutual societies; and for connected purposes”, Official Journal:15 juni 2000, http://www.legislation.gov.uk/ukpga/2000/8/contents (4 maart 2012). 381

Euronext Rule Book II: Specifieke regels voor Euronext London, datum van inwerkingtreding: 1 juni 2010, p 5. 382

FSA Handbook, http://fsahandbook.info/FSA/html/handbook/LR (8 mei 2012). 383

Ibid., H 5.1.1, http://media.fsahandbook.info/pdf/LR/5.pdf. 384

FSA Handbook, H 5.2.1.

Page 67: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

67

Governance Code 2010 waarin bepaald wordt dat de raad van bestuur een behoorlijk

risicobeheersysteem moet opbouwen (zie infra).

v. Conclusie VK

We kunnen zeggen dat in het VK een grote nadruk ligt op communicatie, zowel intern als extern. Dit

komt goed naar voren in het feit dat managers individueel verantwoordelijk zijn voor bepaalde taken,

maar dat het de verantwoordelijkheid van de raad van bestuur blijft om dit goed mee te delen. Ook de

zorg voor goede communicatie bij crisissituaties getuigt hiervan.

c. Nederland

In Nederland ziet men corporate governance als een middel om de lange termijn doelstelling die een

vennootschap is tot een goed einde te brengen, doordat de belangen van de vennoten, aandeelhouders,

toeleveranciers en dergelijke door de vennootschap worden beïnvloed.385

Maar men ziet het nemen

van risico’s ook als belangrijk voor het toenemen van de welvaart.386

i. Corporate Governance Code.

Met betrekking tot het risicobeheer formuleert de code voorgaand principe in punt 13 van de

préambule. In genoteerde ondernemingen in Nederland dienen de belangrijkste kenmerken van de

interne risicobeheersings- en controlesystemen in verband met het proces van financiële verslaggeving

van de vennootschap, in de verklaring te worden opgenomen en dient de verklaring door de accountant

te worden gecontroleerd. De Code verwoordt de verantwoordelijkheden van het bestuur als volgt: “Het

bestuur is belast met het besturen van de vennootschap, hetgeen onder meer inhoudt dat het

verantwoordelijk is voor (…) de strategie met het bijbehorende risicoprofiel (…).” Ook verwoordt de

Code het nog verder in hetzelfde principe als volgt: “Het bestuur is verantwoordelijk voor de naleving

van alle relevante wet- en regelgeving, het beheersen van de risico’s verbonden aan de

ondernemingsactiviteiten en (…).”387

(eigen onderlijning).

In de Nederlandse Code wordt expliciet gesteld dat een “op de vennootschap toegesneden intern

risicobeheersings- en controlesysteem aanwezig (is).” Daarna wordt omschreven welke instrumenten

het best van toepassing zijn om risicobeheer in goede banen te leiden.388

Zo’n systeem kan dus per

vennootschap anders zijn, want elke vennootschap heeft een eigen “risk appetite”. Een kleinere

onderneming kan dus genoegen nemen met een minder zware interne procedure.389

De instrumenten

behelzen o.a. analyses van zowel financiële en operationele risico’s, monitoring, interne gedragscodes

etc. Hiervan moet in het jaarverslag melding worden gemaakt. Er moet geen melding gemaakt worden

385

Nederlandse Corporate Governance Code 2008, http://www.commissiecorporategovernance.nl/Corporate_Governance_Code (19 december 2011), punt 7 préambule, p 7. 386

HR 20 juni 2008 (Willemsen/NOM), r.o. 53. 387

Nederlandse Corporate Governance Code 2008. p 11 en 12 II Bestuur, principe 1. 388

Ibid.,,p 12, II.1.3 en D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid) p 230. 389

Nederlandse Corporate Governance Code 2008, Verklaring van en toelichting op enkele begrippen die in de code zijn gebruikt, II.1.3, p 39.

Page 68: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

68

van alle mogelijke risico’s, wel van de belangrijkste in het kader van de “risk appetite”van de

betreffende onderneming.390

Over dit alles moet het bestuur verklaren dat de “interne risicobeheersings- en controlesystemen een

redelijke mate van zekerheid geven (…) en dat de risicobeheersings- en controlesystemen in het

verslagjaar naar behoren hebben gewerkt.” Dit moet in het jaarverslag duidelijk onderbouwd

worden.391

Dit wordt ook wel de in control-verklaring genoemd. Gevoeligheid aan externe factoren en

eventuele invloed van het beloningsbeleid moeten duidelijk in het jaarverslag vermeld worden:392

“In het jaarverslag geeft het bestuur:

a) een beschrijving van de voornaamste risico’s gerelateerd aan de strategie van de vennootschap;

b) een beschrijving van de opzet en werking van de interne risicobeheersings- en controlesystemen

met betrekking tot de voornaamste risico’s in het boekjaar; en

c) een beschrijving van eventuele belangrijke tekortkomingen in de interne risicobeheersings- en

controlesystemen die in het boekjaar zijn geconstateerd, welke eventuele significante wijzigingen in

die systemen zijn aangebracht, welke eventuele belangrijke verbeteringen van die systemen zijn

gepland en dat één en ander met de auditcommissie en de raad van commissarissen is,

besproken.”

In navolging van de Britse toezichthouder FSA wil de Nederlandse Coporate Governance Commissie

“dat bedrijven hun beloningsbeleid in overeenstemming brengen met een deugdelijk

risicobeheersings- en controlesysteem en met het vastgestelde risicoprofiel van het bedrijf”.

Bijvoorbeeld in het kader van het remuneratie - en bonussenbeleid.393

Een laatste woord nog over de zowel in Nederland als in Amerika genoteerde ondernemingen:

Ondernemingen die voldoen aan de Amerikaanse SOX-vereisten voldoen aan de Nederlandse.394

ii. Wetgeving

In de meeste gevallen hebben grote Nederlandse ondernemingen een dualistische structuur. De Raad

van Commissarissen houdt toezicht op de raad van bestuur. De basisregels voor de raad van bestuur

zijn te vinden in de artikelen 2:129 eerste lid en 2:130 eerste lid NBW.395

Het nemen van beslissingen

behoort tot één van de taken van de bestuurders, die een ruime autonomie hebben. De leiding ligt bij

het bestuur, ze omvat meer dan de dagelijkse leiding, en ze bevat ook het beheer van de vennootschap.

390

Nederlandse Corporate Governance Code 2008. II.1.4, p 40. 391

Ibid., II.5, p 12. Het lijkt eerder te gaan om een inspanningsverbintenis dan om een resultaatsverbintenis uit de oude Corporate Governance Code uit 2003, de code Tabaksblat. Zie C. VAN DER ELST, The Risks of Corporate Legal Principles of Risk Management, 2010, raadpleegbaar op www.ssrn.com, SSRN-id:1623526, p 17. 392

Nederlandse Corporate Governance Code 2008. II.1.6, p 12. 393

Verantwoording van het werk van de Commissie Ontwikkelingen sinds de totstandkoming van de Code in 2003, Punt 13, p. 47. 394

Monitoring Commission Corporate Governance, Rapport over de evaluatie en actualisering van de Nederlandse corporate governance code, June 2008, p 43-46. 395

C. ASSER (ed.) Handleiding tot de beoefening van het Nederlands burgerlijk recht: de naamloze en besloten vennootschap, rechtspersonenrecht, de naamloze en besloten vennootschap, 2009, Kluwer, Utrecht, p 473, nr. 389-390.

Page 69: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

69

iii. De beurs van Amsterdam (AEX)

De noteringvoorwaarden van de AEX396

verklaren de regels van hoofdstuk 6 van het Euronext Rule

Book I (infra) van toepassing, samen met hoofdstuk 2.7 van hun eigen Rulebook, maar ze laten de

eigen regels prevaleren ingeval van conflict. Echter, doordat veel regels voortspruiten uit een Europese

richtlijn, zal een conflict zelden het geval zijn. Ook wat betreft de doorlopende verplichtingen (dus de

jaarverslagen, Corporate Governance Charters, e.d.) wordt enkel het Rule Book I toegepast.397

Ook

sanctiemaatregelen zijn een onveranderde toepassing van hoofdstuk 6 van Rule Book I.

iv. Rechtspraak

Het toenemend belang van Corporate Governance bepalingen in gerechtelijke beslissingen betekent

dat risicobeheer meer en meer aan belang wint in Nederland.398

d. Duitsland

i. Wetgeving.

In Duitsland is het de taak van de raad van bestuur (Vorstandsrat, uitvoerende bestuurders) om de

Raad van Toezicht (Aufsichtsrat) periodiek en zonder oponthoud te informeren over planning, risico-

ontwikkeling, risicobeheer en compliance.399

Eventuele afwijkingen moeten onmiddellijk worden

gemeld. De Raad van Toezicht moet toezicht houden op de raad van bestuur (vergelijkbaar zoals het

dualistisch systeem in Nederland). Dit systeem wordt geregeld door het Aktiengesetz van 1965.400

§

76, Abs. 1 daarvan bepaalt dat de raad van bestuur de onderneming op eigen verantwoordelijkheid

moet leiden. Het dualistisch systeem is verplicht voor beursgenoteerde ondernemingen,401

het

onderwerp van deze thesis. De Vorstand is een collegiaal orgaan en net als in België is ze

396

Euronext Rule Book II: Specifieke regels voor Euronext Amsterdam, datum van inwerkingtreding: 1 juli 2009, p 10 en 11. 397

Ibid., A – 2705 Doorlopende verplichtingen, p 12. 398

HR 13 juli 2007 (ABN Amro), NJ 2007, nr 434, raadpleegbaar op www.rechtspraak.nl: “Voor een oordeel in andere zin is onvoldoende steun te vinden in de wet en in de in Nederland heersende algemene rechtsovertuiging zoals deze onder meer tot uiting komt in de Nederlandse corporate governance code (Stcrt. 27 december 2004, nr. 250, p. 35, verder: de code-Tabaksblat), in het bijzonder de principes II en IV, welke rechtsovertuiging mede inhoud geeft aan (i) de eisen van redelijkheid en billijkheid naar welke volgens art. 2:8 BW degenen die krachtens de wet of de statuten bij de vennootschap zijn betrokken zich jegens elkaar moeten gedragen, en aan (ii) de eisen die voortvloeien uit een behoorlijke taakvervulling waartoe elke bestuurder ingevolge art. 2:9 BW gehouden is.” Zie ook: HR 9 juli 2010 (ASM International):” Best Practice bepaling III.1.6(f) Code Tabaksblat 2008 die inhoudt dat het toezicht van de RvC op het bestuur onder meer de verhouding tussen bestuur en aandeelhouders omvat, en de uit art. 2:8 lid 1 BW voortvloeiende, door de vennootschap met betrekking tot de belangen van al haar aandeelhouders te betrachten zorgvuldigheid, geven geen aanleiding tot een ander oordeel.” 399

Duitse Corporate Governance Code, 3.4, p 5. 400

"Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch Artikel 2 Absatz 49 des Gesetzes vom 22. Dezember 2011 (BGBl. I S. 3044) geändert worden ist" http://www.aktiengesetz.de/ en http://www.gesetze-im-internet.de/aktg/index.html. 401

A. LOOS (ed.), Director’s liability, a worldwide review, 2006, Kluwer law international, Alphen aan de Rijn, p 284.

Page 70: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

70

verantwoordelijk voor het algemeen beleid.402

Op gedelegeerde bevoegdheden behoort te worden

toegezien en eventueel moet er worden ingegrepen.

De Aufsichtsrat controleert zowel op voorhand als achteraf de beslissingen van de Vorstandsrat. Ze

heeft hier veel wettelijke macht voor (§ 111 AktG.: 1) (…)

(2) Der Aufsichtsrat kann die Bücher und Schriften der Gesellschaft sowie die

Vermögensgegenstände, namentlich die Gesellschaftskasse und die Bestände an Wertpapieren und

Waren, einsehen und prüfen. (eigen onderlijning). Ze heeft als doel o.a. de rendabiliteit en de

rechtmatigheid van de onderneming in de gaten te houden. Als ze onregelmatigheden ontdekt dan

moet ze maatregelen nemen om schade voor de vennootschap te voorkomen. Ze is ook

verantwoordelijk voor een goede organisatiestructuur,403

waaronder het belangrijke ERM-principe van

informatiedoorstroming. Hieronder valt onder andere het Früherkennungssystem.404

Dit is een soort

wettelijk risicobeheerssysteem, ingevoerd in 1998. Het is een bijzondere plicht in het kader van de

organisatiestructuur waar de Aufsichtsrat voor verantwoordelijk is.405

De bedoeling is dat potentieel

gevaarlijk risico’s worden geïdentificeerd en beheerd. Ook deze bevoegdheid mag gedelegeerd

worden, maar net als alle bevoegdheden blijft de Raad verantwoordelijk.406

Het gaat enkel om de

risico’s die het voortbestaan van de onderneming in gevaar brengen.407

Het Früherkennungssystem

moet voorkomen dat het insolventie risico op onzorgvuldige wijze wordt vergroot (hier speelt een

marge tussen gewone en onverantwoorde ondernemingsrisico’s). Onder zulke risico’s vallen ook

nalatige of bewust negatieve beslissingen.

Ze heeft de taak zwakheden in het risicobeheersysteem op te sporen door mededeling van een externe

auditor.408

Deze controleert of het Früherkennungssystem voldoet.

ii. Deutscher Corporate Governance Kodex.

In de Corporate Governance Code wordt expliciet vermeld dat de raad van Bestuur een behoorlijk

risicobeheer- en controlemechanisme voorziet in de onderneming.409

De voorzitter van de raad van bestuur is verplicht om regelmatig de voorzitter van de Raad van

Toezicht te informeren over o.a. het aanwezige risicobeheer in de onderneming.410

Er wordt herhaald dat de Vorstand verantwoordelijk is voor het algemeen beleid en op regelmatige

tijdstippen hierover overlegt met de Aufsichtsrat.411

Dit is wettelijk geregeld in § 90 Aktiengesetz

402

Ibid., en S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 353, nr.390. 403

§ 91 AktG. 404

De Aufsichtsrat kan in zijn midden ook een auditcomité oprichten (§ 107, Abs. 3 AktG.). Het Früherkennungssystem is ruimer dan enkel interne controle. 405

§ 91, Abs. 2 AktG. 406

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 358, nr.396. 407

Ibid., p 359, nr.397. De rechtsleer bedoelt daarmee de duurzame rendabiliteit van de onderneming. 408

§ 171, Abs. 1 AktG. 409

Duitse Corporate Governance Code, 3.4, p 7. 410

Ibid., 5.2, p 10. 411

Ibid., 3.4, p 7.

Page 71: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

71

(Berichte an den Aufsichtsrat). Hoofdstuk 4 bepaalt nogmaals dat de onderneming geleid wordt onder

verantwoordelijkheid van de Vorstandsrat, dat ze overlegt met de Aufsichtsrat, en dat er een

risicobeheerssysteem bestaat dat niet enkel risico’s opspoort die de onderneming direct in gevaar

brengen, maar ook risico’s die de onderneming eventueel in gevaar kunnen brengen. De Vorstandsrat

moet dan, aan de hand van hoe groot de kans is op het voordoen van het risico, maatregelen nemen.

Het risicobeheerssysteem moet dit allemaal mogelijk maken.412

Tevens moet er voor goede interne

communicatie gezorgd worden.413

De Aufsichtsrat moet zich in het bijzonder o.a. bezighouden met

risk management en compliance.414

e. De Europese Unie

Al in 2003 werkte de Europese Commissie een plan uit om Corporate Governance in de EU te

verbeteren,415

met de nadruk op het auditcomité als controlerend orgaan van risicobeheer.416

In Richtlijn 2006/46/EG417

wordt in artikel 1, punt 7 het volgende bepaald: Een genoteerde

vennootschap “neemt in haar jaarverslag een verklaring inzake corporate governance op.” Hierin moet

verwezen worden naar de corporate-governancecode waaraan de vennootschap is onderworpen en alle

relevante informatie over de corporate governance praktijken die de onderneming verder toepast.

Hieronder valt ook de beschrijving van de belangrijkste kenmerken van de interne controle- en

risicobeheersystemen van de vennootschap. Deze wetteksten moeten ook aan het publiek bekend

worden gemaakt. Al deze informatie wordt gelijktijdig met het jaarverslag bekend gemaakt.

412

De risico’s de beheersen, te identificeren en te sturen. 413

Duitse Corporate Governance Code, 4.1, p. 7 en S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 354, nr.391. 414

Ibid., 5.3, p 10. 415

Publicatie Europese Commissie, Mededeling van de Commissie aan de Raad en het Europees Parlement - Modernisering van het vennootschapsrecht en verbetering van de corporate governance in de Europese Unie - Een actieplan /* COM/2003/0284 def. */ (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52003DC0284:NL:HTML) (3 april 2012). Zie 3.1.1. Betere informatieverstrekking over corporate governance. Beursgenoteerde ondernemingen moeten worden verplicht bij hun jaarverslagen en jaarrekeningen een coherente en beschrijvende verklaring te voegen die betrekking heeft op de belangrijkste aspecten van hun corporate governance-structuur en hun corporate governance-praktijken en die ten minste de volgende gegevens bevat: b) de samenstelling en werking van de raad van bestuur en zijn comités (Om het vertrouwen van het publiek te herstellen is het in dit kader essentieel dat adequate informatie wordt verstrekt over de wijze waarop de onderneming zich op het hoogste niveau heeft georganiseerd om een efficiënt intern controlesysteem in te voeren en te handhaven) (…) f. het bestaan en de aard van een risicobeheersysteem; (…) (eigen onderlijning). 416

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 189, nr. 224 en C. VAN DER ELST en M. VAN

DAELEN, Risk Management in European and American Corporate Law, ECGI - Law Working Paper No. 122/2009, p 27-37, raadpleegbaar op www.ssrn.com, SSRN ID399647. 417

Richtlijn 2006/46/EG, Van het Europees Parlement en de Raad, 14 juni 2006 tot wijziging van de Richtlijnen 78/660/EEG van de Raad betreffende de jaarrekening van bepaalde vennootschapsvormen, 83/349/EEG van de Raad betreffende de geconsolideerde jaarrekening, 86/635/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van banken en andere financiële instellingen en 91/674/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van verzekeringsondernemingen (hierna verkort: Richtlijn 2006/46/EG).

Page 72: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

72

Art. 2, punt 2 verplicht ondernemingen een beschrijving bij te voegen bij de jaarverslagen van de

“belangrijkste kenmerken van de interne controle- en risicobeheersystemen van de groep met

betrekking tot het proces van de opstelling van de geconsolideerde jaarrekening, (…).”

In art 2, punt 3 wordt bepaald dat “leden van de bestuurs-, leidinggevende en toezichthoudende

organen van ondernemingen” collectief verplicht zijn om de geconsolideerde jaarrekening en de

corporate governance-verklaring op te stellen. Op dit alles zijn de normale nationale

aansprakelijkheidsregels van toepassing. Art. 6 van de richtlijn schrijft voor dat financiële risico’s die

niet in de boekhouding zijn opgenomen toch meegedeeld moeten worden, dit om de communicatie en

transparantie te bevorderen (men kan bijvoorbeeld denken aan garantstellingen). Met deze richtlijn

werd m.a.w. de aanbeveling uit 2003 om een corporate governance verklaring openbaar te maken

ingevoerd. Verder bepaalt de Auditrichtlijn418

nog dat het auditcomité, in ondernemingen waar een

dergelijk comité verplicht is, de interne risicosystemen moet monitoren.419

De belangrijkste

bevindingen moeten openbaar worden gemaakt.420

f. Conclusie rechtsvergelijking. In alle hierboven vergeleken rechtsstelsels is er sprake van een gemeenschappelijk doel, namelijk het

op maat invoeren van een risicobeheersings –en controle systeem voor elke onderneming. Een goed

punt van het Engelse model is dat het commentaar betreffende risicobeheer doorheen het gehele

jaarverslag geïntegreerd moet worden. In België is dit een apart hoofdstuk in het Corporate

Governance gedeelte van het jaarverslag. Waar meerdere ondernemingen nog een voorbeeld aan

kunnen nemen, is de risicoverwachting voor het komende jaar zoals in het geval van Umicore. In

Duitsland en de VS zijn de risicobeheersystemen in een wet op zich ingevoerd, net als in het VK, maar

ook de Belgische en Nederlandse Corporate Governance Codes hebben nu wettelijke kracht. In

hoeverre het op schrift stellen van een ERM-model ook daadwerkelijk de invoering en naleving ervan

garandeert, zal slechts de toekomst uitwijzen. Het Amerikaanse systeem is gericht op disclosure van

interne controle informatie aan de buitenwereld, waaruit het opzetten door het management van een

goed ERM-systeem moet volgen, doordat enkel zo’n systeem een goed beeld van de onderneming kan

geven. In Europa wordt deze verplichting meer opgelegd aan het auditcomité,421

terwijl zowel in

418

Richtlijn 2006/43/EG van het Europees Parlement de Raad van 17 mei 2006 betreffende de wettelijke controles van jaarrekeningen en geconsolideerde jaarrekeningen, tot wijziging van de Richtlijnen 78/660/EEG en 83/349/EEG van de Raad en houdende intrekking van Richtlijn 84/253/EEG van de Raad. 419

Zie ook aanbeveling van de commissie van 15 februari 2005 betreffende de taak van niet bij het dagelijks bestuur betrokken bestuurders of commissarissen van beursgenoteerde ondernemingen en betreffende de comités van de raad van bestuur of van de raad van commissarissen, die bepaalt dat het auditcomité minstens één keer per jaar de interne controle- en risicobeheersystemen moet beoordelen. PB L 25 februari 2005, afl 25, Bijlage 1, (51) 61, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:052:0051:0063:NL:PDF (3 april 2012). 420

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 190. 421

Het auditcomité kan echter niet alles controleren. I. DE POORTER en C. VAN DER ELST, Upgrading Corporate Governance: auditcomités in het wetboek van vennootschappen, T.R.V. 2009, 409.

Page 73: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

73

Europa als in de VS de raad van bestuur de uiteindelijke bevoegdheid behoudt. In Europa wordt meer

nadruk gelegd op ERM in het geheel, meer dan enkel op de interne controle.

Page 74: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

74

IV. De raad van bestuur en zijn verantwoordelijkheden met

betrekking tot ERM. Dit hoofdstuk heeft als doel te onderzoeken hoe men in België het risicobeheer en intern (en extern?)

toezicht zou kunnen versterken en hoe men daarin de rol van de raad van bestuur het best zou kunnen

zien, aangevuld door het auditcomité door vergelijking met andere rechtsstelsels. Eveneens worden de

verantwoordelijkheden van de raad van bestuur besproken. Na de drie crisisjaren 2007 (hypotheek

bubbel), 2008 (eerste kredietcrisis) en de turbulente financiële markten van 2009 beginnen steeds meer

beleggers, groot en klein, zich af te vragen wie er nu eigenlijk de leiding had toen alles zo mis ging.422

Enkele initiatieven voor de verbetering ervan zal ik in de tussenconclusie van dit hoofdstuk bespreken.

Naar de verschillen tussen one-tier en two-tier modellen zal ik niet kijken, hierover kan men een aparte

thesis schrijven.

Zoals we al gezien hebben zijn de verplichtingen van de raad van bestuur m.b.t. ERM als volgt te

omschrijven:423

Het bepalen van een op maat gemaakte risico strategie en adequate maatregelen om de naleving van die

strategie te kunnen afdwingen;

ERM paramaters, zoals het genoemde ‘risk appetite’ ontwikkelen;

De procedures en de uitvoering ervan degelijk controleren.

Dit werk kan het best gedaan worden door een ‘Chief Risk Officer’, en dit zo onafhankelijk

mogelijk.424

Deze commissaris, aangesteld voor het risicobeheer moet ook tijd en middelen genoeg

hebben voor een degelijke uitvoering van het risicobeheer. Zijn resultaten moeten ook te allen tijde

transparant zijn, net als de methodes om de risico’s te beheren. Hij kan geholpen worden door een

uitvoerend risicocomité en door de managers van de verschillende ‘silo’s’ in een onderneming. Hoe

één en ander in België geregeld is, wordt hieronder behandeld.

Rechtsvergelijking met Europese landen zal met name gebaseerd zijn op het VK en Nederland en met

een kleine uitstap naar Duitsland. In deze thesis wordt onderzocht of er in die landen ook een

verplichting op grond van een algemene zorgvuldigheidsplicht is, wettelijk, dan wel jurisprudentieel.

Europese voorstellen die zeker te bestuderen zijn, zijn bijvoorbeeld richtlijn 2006/43/EG425

(auditrichtlijn) waarin de Commissie in haar mededeling van 1998 betreffende “de wettelijke controle

in de Europese Unie: verdere maatregelen” (heeft) voorgesteld een ‘comité wettelijke controle van

422

A.M. TUCKER, Who’s the Boss?, Delaware Journal of Corporate Law, Volume 35, 25 februari 2010, p 201 (hierna verkort: Who’s the Boss? DJCL). 423

C.K. BRANCATO, E. HEXTER, E, Emerging Governance Practices In Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id963221, p 8 en 31. 424

Het nadeel van een CRO is dat zo iemand veel geld kost en dus niet voor alle ondernemingen even realistisch is. 425

Richtlijn 2006/43/EG van het Europees Parlement de Raad van 17 mei 2006 betreffende de wettelijke controles van jaarrekeningen en geconsolideerde jaarrekeningen, tot wijziging van de Richtlijnen 78/660/EEG en 83/349/EEG van de Raad en houdende intrekking van Richtlijn 84/253/EEG van de Raad.

Page 75: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

75

jaarrekeningen in het leven te roepen, dat in nauw overleg met het auditberoep en de lidstaten verdere

maatregelen op dit terrein zou uitwerken.’426

De OESO427

ziet het ook als een toenemende verantwoordelijkheid van de raad van bestuur om ervoor

te zorgen dat er een ondernemingsstrategie is (vergelijk supra COSO-strategie), dat er een

risicobeheerstrategie is, en dat de prestaties daarvan worden gecontroleerd. Dit zijn dezelfde

verantwoordelijkheden als diegene die men kan vinden in de Richtlijnen van de Belgische Corporate

Governance Commissie en het Wetboek van Vennootschappen.428

De FRC ziet enerzijds een mogelijk

gevaar in het opzetten van nog meer comités, namelijk in het alsnog niet duidelijk zijn van de

respectievelijke verantwoordelijkheden. Anderzijds is het nog meer belasten van auditcomités niet

ideaal.429

Het verdelen en afbakenen van verantwoordelijkheden past mijns inziens wel in het

verantwoordelijk zijn voor een duidelijk risicobeheerstructuur van een onderneming. Een mogelijke

oplossing is dat er aparte comités zijn, maar met een paar gezamenlijke vergaderingen.430

Die moet

men dan idealiter organiseren tijdens of net voor de vergaderingen van de raad van bestuur.

a. Wettelijke verantwoordelijkheden Zonder aansprakelijk gesteld te kunnen worden zijn de regels omtrent Corporate Governance, interne

controle, risicobeheer e.d. zoals hierboven beschreven natuurlijk zinloos. Het is dan ook nuttig om te

kijken naar de aansprakelijkheden van de raad van bestuur in dezelfde landen als supra genoemd. Ik

zal zowel de wettelijke als de jurisprudentiële behandelen. Meestal is een rechter soepeler in de

toetsing van bestuurdersaansprakelijkheid dan de voor iedereen geldende gedragsnorm. Een vraag die

meer en meer aan belang wint is in hoeverre de opvolging door de raad van bestuur bestuurders voor

aansprakelijkheidsproblemen kan stellen (namelijk in hoeverre zij uitvoerende bestuurders of

managers moesten vertrouwen of juist controleren).431

1. België

Bestuurdersaansprakelijkheid in België is de bestuurdersaansprakelijkheid voornamelijk georganiseerd

rond drie artikelen in het wetboek van vennootschappen, te weten art. 61, § 1., art. 527 en art. 528.432

426

Richtlijn 2006/43/EG, overweging 3. 427

OESO: OECD Principles of Corporate Governance, 2004, p 26 en p 60, annotations to the OECD Principles of Corporate Governance. 428

Art. 96, § 2, 3° W. Venn. 429

FRC, Boards and Risk, p 6. 430

Ibid., p 6. 431

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 196. 432

Hun teksten luiden resp.: 61, § 1 W. Venn.: De vennootschappen handelen door hun organen waarvan de bevoegdheden worden vastgesteld door dit wetboek, het doel en de statuten. De leden van deze organen zijn niet persoonlijk verbonden voor de verbintenissen van de vennootschap (zolang ze binnen hun mandaat handelen). Art 527 W. Venn.: De bestuurders (, leden van het directiecomité) en dagelijkse bestuurders zijn overeenkomstig het gemeen recht verantwoordelijk voor de vervulling van de hun opgedragen taak en aansprakelijk voor de tekortkomingen in hun bestuur. Art. 528 W. Venn.: De bestuurders zijn, hetzij jegens de vennootschap, hetzij jegens derden, hoofdelijk aansprakelijk voor alle schade die het gevolg is van overtreding van de bepalingen van dit wetboek of van de statuten van de vennootschap.

Page 76: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

76

Deze drie artikelen zijn sinds hun invoering in 1873 inhoudelijk ongewijzigd gebleven.433

Er zijn ook

nog twee specifieke artikelen, namelijk een artikel over aansprakelijk van bestuurders ingeval van

belangenverstrengeling (art. 529 W. Venn) en één over aansprakelijk van de bestuurders bij grove fout

met faillissement tot gevolg (art. 530 W. Venn).

Aangezien de raad van bestuur het algemeen beleid bepaalt van een vennootschap,434

is zij

aansprakelijk voor het toezicht op de organen van de vennootschap. Het algemeen beleid en toezicht

zijn niet duidelijk bepaald.435

In landen met een dualistisch systeem is er een duidelijkere omschrijving

van de twee verschillende taken. Het bepalen van de financiële doelstellingen, de kernpunten van het

beleid, waaronder de strategie, het opvolgen van de belangrijkste risico’s en beslissen over belangrijke

(des)investeringen vallen onder het algemeen beleid en dus onder de verantwoordelijkheid van de raad

van bestuur. Ook beslissingen inzake risicobeheer en risk appetite vallen hieronder. 436

Helaas blijft het

concept vrij vaag en hangt het af van de feitelijkheden van elk geval afzonderlijk. Minder vaag zijn de

specifieke wettelijke bevoegdheden, zoals het in bepaalde gevallen mogen bijeenroepen van de

algemene vergadering, opstellen van de inventaris, etc.437

Een ander belangrijk principe is dat de raad van bestuur een collegiaal orgaan is.438

Voor de interne

beslissingen is dit een principe van dwingend recht. Individuele bestuurders mogen geen afzonderlijke

beslissingen nemen.439

Voor elke beslissing van de raad van bestuur moet elke bestuurder de

mogelijkheid gehad hebben kennis te nemen van de beslissing en erover te debatteren. Voor externe

beslissingen heeft het geen belang of de beslissing collegiaal genomen is of niet.440

Interne verdeling

van bevoegdheden en gewone beraadslagende regels met betrekking tot meerderheden is wel

toegestaan.

433

P. BEVERNAGE, in X, Tendensen in het bedrijfsleven, sancties in het bedrijfsrecht – Le droit des affaires en évolution, la sanction dans la vie des affaires, Anwerpen, Kluwer, 2007, p 120 (hierna te noemen: Tendensen) 434

Art. 522 W. Venn bepaalt dat de raad van bestuur bevoegd (is) om alle handelingen te verrichten die nodig of dienstig zijn tot verwezenlijking van het doel van de vennootschap, behoudens die die nadrukkelijk zijn toegewezen aan de algemene vergadering. Er is sprake van een residuaire bevoegdheid. Zie voor een illustratie in de VS de zaak Caremark: Legally, the board itself will be required only to authorize the most significant corporate acts or transactions: mergers, changes in capital structure, fundamental changes in business, appointment and compensation of the CEO, etc. (eigen onderlijning).(Caremark International Inc. Derivative Litigation, 698 A.2d (959) 968 (Del. Ch. 1996)) 435

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 200, nr 236. 436

Ibid., p 200, nr 236 en principe 1.2 van de Belgische Corporate Governance Code. Zie ook richtlijn 2.3.2 van Corporate Governance Commissie, Richtlijnen interne controle. 437

Zie voor een volledigere lijst: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 201 en 202, nr. 239. 438

Art. 521 W. Venn. Principe 3.3 Belgische Corporate Governance Code. 439

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 202, nr. 239. 440

Ibid., p 202, nr. 239 en art 522, § 2, W. Venn.

Page 77: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

77

a. Burgerrechtelijke aansprakelijkheid (art. 527 en 528 W. Venn).

Volgens deze artikels zijn bestuurders aansprakelijk voor gewone bestuursfouten (art. 527), voor

overtredingen van het wetboek of van de statuten,441

of voor onrechtmatige daad (maar dat is vrij

zeldzaam442

). Aansprakelijkheid voor bestuursfouten is een gevolg van de hoedanigheid van lasthebber

die een bestuurder is van de vennootschap (hier komt het agency-probleem naar voren, waar Corporate

Governance een antwoord op tracht te vinden).

Art. 527 veronderstelt, net als het gemeen recht, fout, schade en oorzakelijk verband. Een fout is een

bestuursfout die voorkomt wanneer een bestuurder in de uitoefening van zijn mandaat tekort komt aan

zijn inspanningsverbintenis zoals die van een redelijk normaal zorgvuldig bestuurder (culpa levis in

abstracto) in dezelfde plaats verwacht mag worden.443

Een verschil tussen een bestuurder als

lasthebber en een “gewone” lasthebber, is dat die laatste in principe onbezoldigd is. Zo’n

onbezoldidgde lastgeving is minder streng qua aansprakelijkheid. Voor bestuurders wordt er in de

rechtspraak aangenomen dit onderscheid niet gemaakt. Zij worden benoemd omwille van hun

deskundigheid. De te vorderen schade is te berekenen aan de hand van art. 1149, 1150 en 1151 B.W.,

namelijk de voorzienbare schade bij het sluiten van de overeenkomst en die het noodzakelijk gevolg is

van de wanprestatie.444

Het artikel 527 W. Venn veronderstelt een tekortkoming van contractuele aard

en die vordering is dientengevolge enkel in te stellen door de vennootschap.

Artikel 528 bepaalt dat de bestuurders tevens door derden wegens overtreding van het Wetboek van

Vennootschappen en/of de statuten aansprakelijk gesteld kunnen worden. 445

Doordat in 1999 het jaarrekeningenrecht van de Europese Unie in het wetboek van vennootschappen

werd geïntegreerd, kunnen de bestuurders, op voorwaarde dat er schade en causaal verband is,446

daar

ook voor aansprakelijk gesteld worden. Het vaststellen van een fout daaromtrent zal in het algemeen

weinig moeilijkheden met zicht meebrengen, omdat vennootschapswetgeving voor het grootste deel

uit resultaatsverbintenissen ten aanzien van de bestuurders bestaat. Een overtreding van de wet is in

441

Dit is een hoofdelijke aansprakelijkheid. Ook de samenlopende fout, waarbij zonder de fouten van één van hen de andere fouten niet hadden kunnen ontstaan houdt geen individuele aansprakelijkheid in, maar één in solidum, zoals bepaald in art 1202 B.W. 442

P. BEVERNAGE, Tendensen, II.2.1, p 124. 443

Ibid., II.2.1.1, p 125. Voorbeelden zoals daar zijn: Bijna altijd afwezig zijn op vergaderingen van de raad van bestuur, leningen toekennen zonder goede voorwaarden of nalaten van controle van de schuldenaar, te weinig toezicht op uitvoerend management, ongunstige overeenkomsten afsluiten. De meeste van deze voorbeelden, hebben we gezien, kunnen worden geëlimineerd door een goed risicobeheer. Zie ook F. PINTE, Art. 528 C.soc, www.jura.be (17 maart 2012), ook het miskennen van aandeelhoudersrechten wordt genoemd. 444

Met uitzondering van bedrog – fraus omnia corrumpit. Tendensen, p 126. 445

Hieronder wordt ook de boekhoudwetgeving inclusief uitvoeringsbesluiten begrepen. 446

Zie als voorbeeld: Antwerpen (5e k.) 2 maart 2006 JDSC 2008 (samenvatting), 189, noot M. ERNOTTE; JDSC 2009, 78; TRV 2007, afl. 3, 192, noot C. CLOTTENS, waarbij het Hof letterlijk stelt dat: “Wanneer het aangevochten besluit van de raad van bestuur is uitgevoerd en op zich geen schade heeft veroorzaakt, is de vordering tot nietigverklaring ongegrond.”

Page 78: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

78

dat geval voldoende.447

Tegenbewijs blijft uiteraard altijd mogelijk, maar moet worden geleverd door

de bestuurder.

i. Hoofdelijke aansprakelijkheid

Eens fout, schade en causaal verband vaststaan zijn de bestuurders dus hoofdelijk aansprakelijk448

voor

alle (dus ook niet-voorzienbare) schade, tenzij hij/zij kan bewijzen dat hij geen deel had aan de

overtreding, geen schuld kan worden verweten en het gebrek bij de eerst volgende Algemene

Vergadering heeft aangeklaagd.449

Men mag niet te snel concluderen dat men ergens geen weet van

had, want voor foutieve nalatigheid is men evengoed aansprakelijk.450

Deze hoofdelijke

aansprakelijkheid volgt ook uit het collegialiteitprincipe, waar slechts zeer moeilijk onder uit te komen

is.451

b. Buitencontractuele wanprestatie: Art. 1382 en 1383.

Men mag echter niet zomaar elke bestuursfout gelijk stellen aan een onrechtmatige daad in het kader

van art. 1382-83 B.W., omdat niet elke bestuursfout een inbreuk is van de aan ons allen opgelegde

zorgvuldigheidsnorm. Het algemeen criterium is dat van bonus pater familias, en die is nu eenmaal

niet perfect.452

Kleine fouten leiden niet tot aansprakelijkheid; zonder risico’s kan men geen

onderneming leiden. Een bestuurder wordt geacht over een bepaalde bekwaamheid te beschikken,

iemand die niet over de vereiste bekwaamheden beschikt mag een bestuursmandaat dan ook niet

vervullen.453

Ook moet men er rekening mee houden dat het bijzonder moeilijk is om een onderscheid

te maken tussen de schade voortvloeiend uit een bestuursfout in het kader van art. 527 W. Venn en van

art. 1382 B.W.454

Of andersom: om een onderneming perfect te leiden kan het zijn dat een derde

geschaad wordt (maar dit is helemaal theoretisch, en in het kader van ERM eerder een geval van niet

447

P. BEVERNAGE, Tendensen, p 128. Maar sommige regels, zoals waarderingsregels, houden ruimte voor enige marge. Dit is meestal het geval wanneer de rechter rekening houdt met de feitelijke omstandigheden (S. DE

GEYTER, Organisatieaansprakelijkheid van bestuurders, p 244 en de daar aangehaalde rechtsleer). 448

F. PINTE, F., Art. 528 C.soc, www.jura.be (17 maart 2012) 449

Art. 528, eerste en derde lid W. Venn. 450

Brussel, 28 september 1966, J.T., 1967, 91 en F. PINTE, Art. 528 C.soc, www.jura.be (17 maart 2012) en M.-A DELVAUX, Les responsabilités des fondateurs administrateurs et gérants des SA, SPRL et SCRL, Droit des sociétés commerciales, Kluwer, Antwerpen, 2002, n° 330, p. 684. 451

Art. 528 derde lid: (Wat overtredingen betreft waaraan zij geen deel hebben gehad, worden de bestuurders en de leden van het directiecomité slechts ontheven van de aansprakelijkheid bepaald in het eerste en het tweede lid indien hun geen schuld kan worden verweten en zij die overtredingen, naargelang van het geval, hebben aangeklaagd op de eerste algemene vergadering of op de eerstkomende zitting van de raad van bestuur nadat zij er kennis van hebben gekregen. Zie verder nog: Organisatieaansprakelijkheid van bestuurders, p 254, nr. 287 en verder: H. DE WULF, C. VAN DER ELST, S VERMEESCH,: Radicalisering van corporate governance-regelgeving: remuneratie en transparantie na de wet van 6 april 2010, http://www.law.ugent.be/fli/wps/pdf/WP2010-14.pdf (4 april 2012), p 33, over aansprakelijkheid met betrekking tot financiële verslaggeving. 452

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 244 en de daar aangehaalde rechtsleer. 453

Ibid., p 244 en de daar aangehaalde rechtspraak in voetnoot 847. 454

P. BEVERNAGE, Tendensen, p 127.

Page 79: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

79

alle risico’s kunnen vermijden, maar de gevolgen zo klein mogelijk houden).455

Een andere

moeilijkheid is dat er enkel een fout kan worden aangetoond indien de fout een schending betreft van

een persoonlijk op de bestuurder rustende verplichting. Dus niet elke onrechtmatige daad van de

vennootschap impliceert aansprakelijkheid van de bestuurders.456

Het is ook dikwijls een

feitenkwestie457

of een bestuurder zich al dan niet heeft gedragen als een normaal zorgvuldig

bestuurder. Hier heeft de rechter de mogelijkheid tot marginale toetsing, of, om verwarring te

voorkomen, enige terughoudendheid tot de normale “volledige toetsing”.458

Dit houdt in dat lichte

fouten niet worden bestraft, en dat er rekening moet worden gehouden met beleidsruimte van

bestuurders. Dit komt overeen met de algemene zorgvuldigheidsnorm voor bestuurders (supra.)459

Als

dat het geval is dan kan de bestuurder geen fout verweten worden. Het komt er meer op neer dat er

voor sommige beleidshandelingen van een bestuurder beslissingsvrijheid is, en voor andere niet

(bijvoorbeeld een brandverzekering afsluiten).460

Nog andere voorbeelden van persoonlijke

verplichtingen van bestuurders zijn: diefstal van vennootschapsgoederen, tegen beter weten in een

virtueel failliete onderneming voortzetten,461

aangaan van verbintenissen die duidelijk boven de macht

van de onderneming zijn. Het eerste en laatste voorbeeld passen uitstekend in het kader van ERM.

Een buitencontractuele fout houdt in dat ook onvoorziene schade moet worden vergoed (i.t.t

contractuele aansprakelijkheid).462

De rechter stelt zich in de plaats van de bestuurder die de schade

455

In Duitsland leidt dit onherroepelijk tot aansprakelijkheid. 456

P. BEVERNAGE, Tendensen, p 130. 457

Zie ter illustratie: Antwerpen 8 april 2008 RABG 2009, afl. 9, 590, noot N. COUDER, waarbij het Hof tot beslissing kwam dat het in casu niet doorstorten van bedrijfsvoorheffing geen fout in het kader van art. 1382 t.ov. de Staat was, omdat het om kleine verantwoorde bedragen ging van een onderneming die toch verloren was en als tegenovergesteld geval Cass. (1e k.) AR C.03.0425.N, 17 november 2006 (S.C. / Belgische Staat en B.M.) http://www.cass.be (16 april 2007); JDSC 2008, 147; TRV 2007, afl. 2, 138, waarbij door het Hof van Cassatie beslist werd dat de feitenrechter die stelt dat bestuurders een fout begaan door wetens en willens de dwingende wettelijke verplichting om de bedrijfsvoorheffing door te storten miskennen, moet deze bestuurders (…) aansprakelijk [stellen] op grond van een schending van de algemene zorgvuldigheidsplicht (zoals vervat in art. 1382 B.W.). Zie verder ter illustratie: Antwerpen (6e k.) 19 april 2005 NJW 2005, afl. 121, 954, noot DE RAEDT, S.; JDSC 2007, 90, noot M. DELVAUX; TRV 2005, afl. 5, 338, noot D. DESCHRIJVER, waarbij het niet-doorstorten van bedrijfsvoorheffing en dit verborgen houden voor de boekhouding fouten vormen in het kader van art. 1382 B.W. In een andere context, namelijk het bewust niet bekend maken van het ontslag van een bestuurder in het Belgisch Staatsblad: Door wetens en willens bij het bestuur van de vennootschap een dwingende wettelijke verplichting te miskennen, terwijl niet vaststaat dat de vennootschap onoverkomelijke liquiditeitsproblemen zou hebben gekend, wat de overmacht uitsluit, begaan de bestuurders een fout waardoor zij aan de benadeelde persoon een schadevergoeding verschuldigd zijn overeenkomstig artikel 1382 B.W. (Antwerpen (5e k.) nr. 1998/AR/1811, 30 januari 2003 JDSC 2005, 180, noot M. DELVAUX), (eigen onderlijning). 458

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 245, nr 279. 459

Brussel (9e k.) nr. 2000/AR/1227, 11 december 2003 DAOR 2004, afl. 70, 65: “De rol van de rechter bestaat er niet in de eigen appreciatie in de plaats te stellen van deze van het bestuur aangezien hij geen beroepsinstantie is van de raad van bestuur. De rechter zal slechts manifest ongerechtvaardigde gedragingen sanctioneren. Er zal dus slechts een fout zijn wanneer een getolereerde vergissingsmarge wordt overschreden.” 460

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 246, nr 279. 461

Behalve als dit in het kader van het voorkomen van een overhaaste verkoop van activa is om zo een hogere prijs voor de verkoop te bekomen. 462

P. BEVERNAGE, Tendensen, p 130.

Page 80: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

80

heeft veroorzaakt en beoordeelt dan hoe de bestuurder de schade had kunnen voorkomen. Hij moet er

voor waken geen ex post wetenschap in zijn beoordeling te betrekken.463

i. Uitvoeringsagent en orgaantheorie.

Zoals al eerder vermeld is de bestuurder de agent, de uitvoeringsagent van de vennootschap. In België

wordt dit traditioneel gekaderd als de orgaantheorie, door sommigen wordt dit gezien als een variant

op lastgeving.464

De bestuurders verbinden de vennootschap zonder zichzelf te verbinden.465

De kwalificatie van uitvoeringsagent houdt in dat de bestuurder kan genieten van de quasi-immuniteit

van de uitvoeringsagent, zoals bepaald is in het stuwadoorsarrest van het Hof van Cassatie uit 1973.466

Ik zal hier de voorwaarden nog even kort herhalen. Een uitvoeringsagent kan slechts

buitencontractueel aansprakelijk worden gesteld door zijn tegenpartij voor fouten die een schending

van de algemene zorgvuldigheidsplicht inhouden en als deze fout een andere schade veroorzaakt heeft

dan de schade die aan de slechte uitvoering van het contract te wijten is. Dit geldt ook voor dagelijks

bestuurders die lid zijn van de raad van bestuur467

, maar niet in de hoedanigheid van dagelijks

bestuurder.468

Een fout van de bestuurder-lasthebber zorgt ervoor dat de vennootschap aansprakelijk is, maar sluit de

foutaansprakelijkheid van de bestuurder niet uit.469

De vennootschap is als principaal verantwoordelijk

ingevolge art. 1384, derde lid, B.W.470

dat de aansprakelijkheid voor aangestelden regelt. Een

bestuurder is een aangestelde van een vennootschap.471

Een discussie los van deze thesis, maar toch vermeldenswaard is die over de geldigheid van de

orgaantheorie ten opzichte van de theorie van de lastgeving als fundament van de

vertegenwoordigingsbevoegdheid van bestuurders. Hier van belang is wanneer bestuurders

463

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 246, nr 280. 464

J. DELVOIE, Orgaantheorie in rechtspersonen. 465

Ibid., p 225. 466

Cass 7 december 1973, Arr. Cass., 1974, p 395. Bevestigd in o.a. 2005, Cass., 20 juni 2005, T.B.H., 2006, 418, met noot A. COIBOIN, Merk op dat in veel andere landen er wel nog steeds gekozen kan worden tussen schadevergoeding uit contractuele of extra-contractuele regels, los van de oorzaak. Bijvoorbeeld in Nederland, o.b.v. afd. 6.1.10 NBW, waarbij een algemene schadevergoedingsregel bestaat, geldend voor alle oorzaken van schade, zelfs buiten het NBW. Zie ook: J. SPIER, T. HARTLIEF, G.E. VAN MAANEN, R.D.V RIESENDORP, Verbintenissen uit de wet en Schadevergoeding, nr. 198, Wolters Kluwer, 2009, Deventer. 467

Art 527 W. Venn. 468

P. BEVERNAGE, Tendensen, p 131. 469

Cass., 20 juni 2005, T.B.H., 2006, 418, met noot COIBOIN, A, en J. DELVOIE, Orgaantheorie in rechtspersonen. 470

J. DELVOIE, Orgaantheorie in rechtspersonen, p 101. Art. 1384, derde lid, B.W. luidt: lid één: Men is aansprakelijk niet alleen voor de schade welke men veroorzaakt door zijn eigen daad maar ook voor die welke veroorzaakt wordt door de daad van personen voor wie men moet instaan; De meesters en zij die anderen aanstellen, voor de schade door hun dienstboden en aangestelden veroorzaakt in de bediening waartoe zij hen gebezigd hebben. 471

J. DELVOIE, Orgaantheorie in rechtspersonen, p 189 en de daar aangehaalde rechtsleer. Ook het Hof van Cassatie denkt soms in die richting. Zie hiervoor Cass. 19 april 2003, Arr.Cass. 2003, 1055: “de omstandigheid dat iemand gelast is met de dagelijkse leiding van de rechtspersoon, sluit niet uit dat hij ter zake optreedt als aangestelde…”.

Page 81: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

81

aansprakelijk zijn, en dat hoort zowel bij de orgaantheorie als bij de lastgeving.472

De vennootschap is

aansprakelijk (onder artikel 1382-1383 B.W.) wanneer het orgaan een onrechtmatige daad begaat in

het kader van zijn mandaat.473

Volgens het cassatiearrest van 20 juni 2005 blijven aansprakelijkheid

van orgaan en vennootschap bij buitencontractuele aansprakelijkheid naast elkaar bestaan. Het Hof

drukt het als volgt uit: “Attendu que, pour le surplus, si la faute commise par l'organe d'une société au

cours de négociations préalables à la conclusion d'un contrat engage la responsabilité directe de cette

personne morale, cette responsabilité n'exclut pas, en règle, la responsabilité personnelle de l'organe

mais coexiste avec celle-ci.”(eigen onderlijning). Er is dan een regresvordering mogelijk van de

vennootschap op de bestuurder (zie ook punt b, vorderingsrecht, infra).474

ii. Delegatie dagelijks bestuur.

De raad van bestuur kan veel bevoegdheden delegeren aan bepaalde comités, bijvoorbeeld aan het

auditcomité, het remuneratiecomité of het directiecomité.475

Als de raad van bestuur zijn dagelijks bestuur delegeert aan een orgaan van dagelijks bestuur, dan is

dat orgaan extracontractueel aansprakelijk tegenover de vennootschap op grond van art. 1382 B.W.476

Art. 522 W. Venn. laat toe deze taken te delegeren. De taken die worden gedelegeerd aan het

directiecomité worden gesanctioneerd door de uitgebreide regeling in art. 524bis W. Venn. De

artikelen 527, 528 en 529 W. Venn zijn namelijk op dat comité van toepassing verklaard (zie volgend

hoofdstuk, iii, vorderingsrecht).477

Een aansprakelijkheidsvordering tegen het orgaan van dagelijks

bestuur of het directiecomité is slechts in te stellen door de raad van bestuur.

c. Vorderingsrecht

De vennootschap is altijd belanghebbende schadeleider bij bestuursfouten overeenkomstig de artikelen

527, 528 en 529 W. Venn. De vennootschap kan de vordering instellen indien een gewone

meerderheid van de Algemene Vergadering het daarmee eens is.478

De raad van bestuur, of vaker nog

een lasthebber (dit is logisch, een vordering tegen jezelf stel je niet in) stelt de vordering in.479

Minderheidsaandeelhouders hebben ook een vorderingsrecht, voor rekening van de vennootschap.

Deze vordering, de minderheidsvordering, wordt echter zelden ingesteld. De aandeelhouders die hem

willen instellen moeten op de dag van de Algemene Vergadering 1% van het kapitaal of € 1.250.000

472

J. DELVOIE, Orgaantheorie in rechtspersonen, p 319. Het lijkt er sterk op dat het meer gaat om een lasthebberconstructie, p 407. 473

Ibid., p 363 en art. 1384, derde lid B.W. 474

J. DELVOIE, Orgaantheorie in rechtspersonen, p 370 en de daar aangehaalde rechtspraak. 475

De wettelijke basis voor een directiecomité is art 524bis W. Venn. Voor het remuneratiecomité is dit 526quater W. Venn. 476

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 247, nr. 281. 477

Over de discussie of art. 18 Wet Arbeidsovereenkomsten met betrekking tot werknemersaansprakelijkheid, dan wel art 530 W. Venn. over bestuurdersaansprakelijkheid van toepassing is, zie Organisatieaansprakelijk-heid van bestuurders, p 248, nr. 282. 478

F. PINTE, Art. 528 C.soc, www.jura.be (17 maart 2012). 479

Art. 561 W. Venn.

Page 82: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

82

aan aandelen hebben. Ook mogen ze de bestuurders geen kwijting hebben verleend,480

of de kwijting

zou achteraf blijken ongeldig te zijn.481

Individuele aandeelhouders kunnen enkel een vordering

instellen als ze schade hebben geleden die te onderscheiden is van de geleden schade van

vennootschap . Dit komt zeer zelden voor.482

Derden, zoals schuldeisers of andere belanghebbenden kunnen op grond van art. 530 W. Venn, tweede

lid een vordering instellen tegen een of meerdere bestuurders o.g.v. van het Wetboek van

Vennootschappen en/of de statuten, een onrechtmatige daad of een kennelijk grove fout die heeft

bijgedragen tot het faillissement.483

Op grond van art. 561 W. Venn. mag de algemene vergadering een aansprakelijkheidsvordering tegen

de raad van bestuur instellen. Als blijkt dat de keuze van personen die in de het orgaan van dagelijks

bestuur of het directiecomité zetelden zorgvuldig was, dan is de raad van bestuur niet aansprakelijk

voor fouten van het directiecomité of het orgaan van dagelijks bestuur.484

Als blijkt dat er bij het

toezicht fouten zijn gemaakt is een vordering op grond van art. 561 W. Venn. wel gegrond en kan een

bestuurder aansprakelijk gesteld worden. Deze aansprakelijkheid steunt op art. 1994 B.W. inzake

plaatsvervanging door lasthebber. Het is geen lastgeving in strikte zin van het woord, maar vertoont

wel sterke gelijkenissen. Art 524bis W. Venn. bevestigt trouwens de toezichts- en selectieplicht.485

Delegatie is overigens één van de door COSO uitdrukkelijk geviseerde risico’s in hun

risicobeheermodel.486

Voor zover de gedelegeerde werkelijk over de bekwaamheid beschikte die past bij de door hem

aanvaarde functie, is slechts hij aansprakelijk ten opzichte van de vennootschap.487

d. Is de Corporate Governance Code een door bestuurders te respecteren

zorgvuldigheidsnorm?

Volgens BEVERNAGE zijn bepaalde onderdelen van de Corporate Governance Code zeker een door

bestuurders te respecteren zorgvuldigheidsnorm.488

Hij komt tot deze conclusie omdat overtreding van

480

Cass. (1e k.) AR C.01.0536.F, 23 januari 2003. 481

Art. 562 W. Venn en art. 554, tweede lid W. Venn, over een geldige kwijting. Bijvoorbeeld een onjuiste jaarrekening of breder, een onjuiste weergave van de financiële toestand, zowel door bedrog als door gewone nalatigheden. 482

Brussel (9e k.) nr. 2000/AR/1227, 11 december 2003 DAOR 2004, afl. 70, 65. Een schuldeiser kan slechts individueel optreden indien hij een eigen schade aantoont, die niet afhangt van het verlies van zijn schuldvordering op de vennootschap. Enkel de curatoren kunnen de rechten uitoefenen die gemeenschappelijk zijn aan het geheel der schuldeisers en de wet kent hen het monopolie toe van de vordering tot herstel van de schade veroorzaakt door een fout van gelijk welke persoon en die als gevolg heeft gehad het verzwaren van het passief van het faillissement. 483

Brussel (9e k.) nr. 2000/AR/1227, 11 december 2003 DAOR 2004, afl. 70, 65. 484

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 249, nr. 284 en p 251, nr 285. 485

Art 524bis eerste lid, laatste zin W. Venn luidt: Wanneer een directiecomité wordt ingesteld is de raad van bestuur belast met het toezicht op dat comité. 486

COSO raamwerk, p 32-33 en Organisatieaansprakelijkheid van bestuurders, p 183, nr 217 en p 255, nr 285. 487

Cass. 11 januari 1965, Pas. 1965, I, (438) 439. Zie ook de voorbeelden aangehaald op p 250-251 in S. DE

GEYTER, Organisatieaansprakelijkheid van bestuurders, waarbij vooral opvalt dat boekhoudkundige taken opgedragen aan gespecialiseerde boekhouders bestuurders vrijstellen van hun aansprakelijkheid.

Page 83: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

83

die normen sowieso een wettelijke overtreding inhouden. Hij had het wel over de Code van 2004, die

nog een comply or explain methode bevatte en nog geen wettelijke referentie was. De huidige code

van 2009 is wel een wettelijk referentiekader, ingevolge de wet deugdelijk bestuur. Een overtreding

van een bepaling van de Corporate Governance Code, in ons geval met betrekking tot risicobeheer,

houdt dus automatisch een schending in van de wet. Wel zal er rekening moeten worden gehouden

met enige vorm van marginale toetsing, omdat sommige bepalingen bepaalde beleidsruimte laten voor

bestuurders.489

Er dient nog te worden opgemerkt dat de meeste bepalingen, zoals het opstellen van

een juist systeem van risicobeheer, reeds een wettelijke basis hadden. De beoordeling door de rechter

van beleidsbeslissingen kan strenger worden, doordat de corporate governance vereisten mee in de

algemene zorgvuldigheidsnorm kunnen worden opgenomen.490

Vergelijk dit ook met de Nederlandse

rechtspraak over ABN Amro en ASMI (supra).

i. Toezicht op interne controle systemen

Het is de taak van het auditcomité om toezicht te houden op de interne controle.491

Zoals reeds gezien,

moet het auditcomité minstens één keer per jaar zijn bevindingen bekend maken.492

Het is de taak van

het auditcomité om te zien of het management rekening houdt met de aanbevelingen van het

auditcomité.493

De taak van de raad van bestuur om te zien of het gekozen raamwerk en interne

controle systeem het juiste is, is een voordurende.494

Het is echter het topmanagement dat binnen dat

raamwerk het systeem van interne controle en risicobeheer moet opbouwen.495

Het is de raad van

bestuur zelf die de verantwoordelijkheid heeft een deugdelijk informatie – en verslaggevingssysteem

op te bouwen.496

Hierdoor moet zij in de mogelijkheid zijn het topmanagement en de rest van de

onderneming te monitoren. Het hof van beroep te Bergen verklaarde dat drie bestuurders een kennelijk

grove fout hadden begaan door een niet-toereikend systeem van risicobeheer op te zetten dat in

verhouding was met de grootte en complexiteit van hun vennootschap.497

488

P. BEVERNAGE, Tendensen, p 152. 489

Ibid., p 154. 490

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 247, nr 280. 491

Ibid., p 236. De wettelijke grondslag is te vinden in: Art. 96. § 1. 8° en art 96 § 2, eerste lid, 3° W. Venn, de principes 1.3 en 6.5 van de Belgische Corporate Governance Code en Richtlijn 2.3.2 uit de richtlijnen van de Corporate Governance Commissie. 492

Appendix C, 5.2/14-16 Belgische Corporate Governance Code. 493

Appendix C, 5.2/19 Belgische Corporate Governance Code en Organisatieaansprakelijkheid van bestuurders, p 237. 494

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 219, nr. 254 en p 220, nr. 255. 495

Principe 6.5 Belgische Corporate Governance Code. 496

Principe 2.8 Belgische Corporate Governance Code. Dit is ook zo in het Nederlandse, Amerikaanse, Duitse en Engelse recht. Zie ook het eerder vermelde arrest over Van der Moolen. 497

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 221, nr. 255.

Page 84: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

84

ii. Toezicht op de wettelijke controle van de jaarrekening en continuïteit

Het is de taak van het auditcomité om toezicht te houden op de commissaris die de jaarrekening

controleert.498

De commissaris moet bij ontdekking van belangrijke risico’s die kunnen leiden tot het

faillissement het bestuursorgaan op de hoogte stellen. Dit kunnen zowel interne (financiële toestand,

fiscaal, milieu, …) als externe zijn (bijvoorbeeld de algehele economische situatie499

).500

Ondanks deze

“alarmfunctie” blijft het steeds de verantwoordelijkheid van de raad van bestuur om een behoorlijk

systeem van interne controle en risicobeheer op te stellen, ze mag de verantwoordelijkheid niet

afschuiven op de commissaris die de mededelingen deed. Zelfs een goedgekeurde jaarrekening neemt

de verantwoordelijkheid van de raad van bestuur om zelf de jaarrekening te onderzoeken niet weg.501

iii. Tussenconclusie.

Corporate Governance verplichtingen worden in België voornamelijk opgelegd door de algemene

zorgvuldigheidsplicht van de raad van bestuur.502

Dit wordt ook bevestigd door het supra aangehaalde

principe dat bepaalde onderdelen van de Corporate Governance Code zeker een door bestuurders te

respecteren zorgvuldigheidsnorm vormen.503

Men kan dit nog versterken door het feit dat sinds de wet

deugdelijk ondernemingsbestuur, er geen comply or explain principe meer is, maar een wettelijke

plicht om aan de Corporate Governance Code te voldoen. Als men er niet aan voldoet als bestuur is

men aansprakelijk op grond van art. 528 W. Venn.

2. Verenigde Staten

De belangrijkste principes die hier van toepassing zijn, zijn die van de fiduciary duties, die hieronder

verder uitgelegd worden. De belangrijkste wetgeving die ik in deze thesis hiervoor gebruik is de

Delaware Code, titel 8, het wetboek van vennootschappen van Delaware. Tevens wordt er melding

gemaakt van het wetsontwerp Model Business Corporation Act504

Section 8.01, dat vooral in de

rechtspraak belangrijk is.

De Delaware Code, title 8, hoofdstuk 1, § 141 (a)505

bepaalt dat: “The business and affairs of every

corporation organized under this chapter shall be managed by or under the direction of a board of

498

Art. 142 W. Venn. volgens art 526bis W. Venn § 5, dat de commissaris verplicht het auditcomité belangrijke zaken die aan het licht zijn gekomen mede te delen. Bijvoorbeeld een interne controle regel die absoluut niet opgezet is om doeltreffend te zijn (Organisatieaansprakelijkheid van bestuurders, p 238, voetnoot 817). 499

De vraag die hier dan rijst is of de bestuurders dit dan echt niet konden zien aankomen. Vergelijk dit met Bekaert. 500

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 240. 501

Ibid., p 241 en Brussel 21 november 2002, JLMB 2003, 1279. 502

H. DE WULF, Taak en loyaliteitsplicht van het bestuur in de naamloze vennootschap onuitg. doctoraatsthesis Rechten U Gent, 2001, nrs. 454-455. 503

P. BEVERNAGE, Tendensen, p 152. 504

American Bar Association, Model Business Corporation Act, 3e editie, http://law.jnu.edu.cn/blaw/kyyd/UploadFiles_3666/200705/20070518014549792.pdf. 505

Delaware General Corporation Law, http://delcode.delaware.gov/title8/c001/sc04/ (3 april 2012) en Who’s the Boss?, DJCL, p 202, voetnoot 4.

Page 85: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

85

directors…”. Het is duidelijk dat de Raad van bestuur verantwoordelijk is voor het algemeen beleid

van de onderneming en dat er speciale aandacht moet worden gevestigd op het risicobeleid.506

Het

Delaware Court of Chancery heeft in 1995 al benadrukt dat “It is a fundamental precept of Delaware

corporation law (…) that it [is] the board of directors…that has ultimate responsibility for the

management of the enterprise”.507

Model Business Corporation Act Section 8.01(c)(2) 508

stipuleert dat “In the case of a public

corporation, the board’s oversight responsibilities include attention to … major risks to which the

corporation is or may be exposed.” Dit is een ontwerp van vennootschapswet ontwikkeld door de

American bar Association, vol met aanbevelingen. In Delaware is hij niet aangenomen, maar de

rechtspraak verwijst er wel vaak naar.509

Paragrafen 8.30 (c) t.e.m. (e) regelen de delegatie van

bevoegdheden510

en § 8.30 (a) en (b) herhalen de good faith en de duty of care (infra) nog eens.

§ 8.31 regelt de aansprakelijkheidsgronden van een bestuurder ten opzichte van aandeelhouders of de

vennootschap. Dit gaat om zowel het niet met goede trouw jegens de vennootschap handelen,

delegatie aan een niet competente persoon, een belangenconflict of onrechtmatig financieel voordeel

hebben, of met betrekking tot toezicht in gebreke gebleven te zijn. Verder is er nog de algemene

tekortkoming van te weinig aandachtsbesteding aan vennootschapsaangelegenheden.

506

Restoring the Balance in Corporate Management. Zie ook: http://www.usa-recht.de/wp-content/uploads/2011/02/TBL-Corporate-Management.pdf (3 april 2012). 507

Restoring the Balance in Corporate Management, p 26 en Del. Ch 11 januari 1995, Grimes v. Donald, Nr. 13358, 1995 WL 54441, *8. Zie verder: In Zirn v. VLI Corp., the chancery court stated, “Delaware law is clear that a fiduciary duty is owed to the shareholders of a corporation by the officers and directors of the corporation.” 1989 WL 79963, at *4, in the Balance in Corporate Management, p 32. 508

Model Business Corporation Act Subchapter A. Board of Directors § 8.01. Requirement for and Duties of Board of Directors in Who’s the Boss?, DJCL, p 202, voetnoot 4 en http://michie.lexisnexis.com/wyoming/lpext.dll/wycode/b46c/bceb/bfb2/bfbc/bfca?f=templates&fn=document-frame.htm&2.0#JD_17-16-801 (3 april 2012). 509

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 265, nr. 302. 510

§ 8.30. General Standards For Directors: (a) A director shall discharge his duties as a director, including his duties as a member of a committee: (1) in good faith; (2) with the care an ordinarily prudent person in a like position would exercise under similar circumstances; and (Goede huisvader vereiste). (3) in a manner he reasonably believes to be in the best interests of the corporation. (b) In discharging his duties a director is entitled to rely on information, opinions, reports, or statements, including financial statements and other financial data, if prepared or presented by: (1) one or more officers or employees of the corporation whom the director reasonably believes to be reliable and competent in the matters presented; (2) legal counsel, public accountants, or other persons as to matters the director reasonably believes are within the person’s professional or expert competence; or (3) a committee of the board of directors of which he is not a member if the director reasonably believes the committee merits confidence. (c) A director is not acting in good faith if he has knowledge concerning the matter in question that makes reliance otherwise permitted by subsection (b) unwarranted. (d) A director is not liable for any action taken as a director, or any failure to take any action, if he performed the duties of his office in compliance with this section.

Page 86: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

86

a. Fiduciary duties.

Deze verplichtingen zijn voortgekomen als idee van Corporate Governance om de aansprakelijkheid

van Bestuurders te vergroten. Bestuurders zijn onderworpen aan de autoriteit van de raad van

bestuur.511

De raad is dan ook verantwoordelijk voor de daden van zijn leden. De idee hierachter is dat

de raad van bestuur voorzichtiger zal zijn met delegatie van bevoegdheden en dus pas beslissingen

maakt na goed geïnformeerd te zijn (zie hier het belang van rapportage). In de VS woedt een discussie

of de aansprakelijkheden van bestuurders en managers nu dezelfde zijn, of niet.512

Hier is dat slechts

gedeeltelijk van belang, want deze thesis gaat enkel over de aansprakelijkheid van de raad van bestuur

inzake risicobeheer.

Verder volgt er uit de “fiduciary duties” van de bestuurders nog de verplichting van loyaliteitsplicht

(jegens de onderneming) (duty of loyalty) en zorgvuldigheid (duty of care).513

De fiduciary duties zijn

voortgekomen uit de nieuwe golf van Corporate Governance regels die ontstonden na de schandalen

van 2001-2002 (supra).514

Het Delaware Supreme Court verklaarde in 1981 in Lynch v. Vickers dat er

een vertrouwensrelatie bestaat (niet alleen in Delaware, maar in de hele VS) tussen de bestuurders en

managers aan de ene kant en de aandeelhouders aan de andere kant.515

Deze opmerking raakt de kern

van het Corporate Governance debat (principal agent problematiek) en dus ook van wie er

verantwoordelijkheid moet nemen voor risicobeheerprocessen. Het probleem was toen, en is nu nog,

dat het niet precies duidelijk is wat die relatie en de verantwoordelijkheden (de fiduciary duties) die

daar uit volgen nu juist inhouden. Dit is lichtelijk verbazingwekkend gezien de leidende rol van het

Hooggerechtshof Delaware in het internationale vennootschapsrecht.516

In 2004 werd de rechtsmacht

hiervan uitgebreid tot niet-residentiële, niet-bestuurders van ondernemingen die geregistreerd zijn in

Delaware.517

Pas in 2009 werd een deel van de twijfel weggenomen in Gantler v. Stephens.518

In het

kort kwam het erop neer dat de verweerders (de raad van bestuur van First Niles Financial Inc.) tekort

had geschoten bij het voorzien van de nodige informatie om een due diligence van verschillende

overnamepartijen te helpen. Hierdoor liepen de eisers (aandeelhouders) een overnamepremie mis. Dit

is na de andere mogelijkheid die het Hof al had gehad, namelijk de geruchtmakende Disney-case

(infra). Maar toen was het niet nodig de verantwoordelijkheden verder te specificeren, want de

511

W.M. SHANER, Restoring the Balance in Corporate Management. 512

W.M. SHANER, Restoring the Balance in Corporate Management, p 27 – 59 en Organisatieaansprakelijkheid van bestuurders, p 263, voetnoot 932. 513

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 264, nr. 299. 514

Restoring the Balance in Corporate Management, p 28. 515

Ibid., p 31, II, A, The History of Fiduciary Duties in Delaware. 516

Ibid., p 33 en p 34 (“The uncertainty surrounding open issues such as the exact scope of an officer’s fiduciary duties and, perhaps more important, whether the protections of the business judgement rule apply to officers, has led to much debate among scholars and practitioners alike”, Restoring the Balance in Corporate Management, p 34). 517

In 2004 werd 10 Del. C . § 3114 geamendeerd om dit mogelijk te maken. Restoring the Balance in Corporate Management, p 33. 518

965 A.2d 695, 699 (Del. 2009). Voor de feiten zie: Restoring the Balance in Corporate Management, p 35.

Page 87: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

87

verweerders werden aangesproken als bestuurder en manager.519

In Gantler werd er in tweede aanleg

door het Hooggerechtshof geoordeeld dat de bestuurders aansprakelijk waren in hoedanigheid als

bestuurder (officer), en niet als manager (director).520

“Scholars and lawyers vehemently disagree as

to whether officers should be held to duties that are the same as, or stricter than, those of directors,

and as to whether the business judgment rule should apply to officers with the same full force with

which it applies to directors.”521

De vraag is nu welke soort aansprakelijkheden van toepassing zijn op bestuurders: “common law

directorial fiduciary duties” of “agency law fiduciary duties.”522

Er gaan stemmen op om de

“gewone” common law aansprakelijkheden van toepassing te verklaren, omdat het Hof de

verantwoordelijkheden van bestuurders en managers gelijkgesteld heeft, maar hier komt wel veel

kritiek op.523

i. Duty of loyalty en duty of care.

De eerste verplichting wil zeggen dat alles wat een belangenconflict inhoudt strafbaar is (bijvoorbeeld

het privégebruik van eigendommen van de vennootschap).524

Redelijk recentelijk, sinds Stone v. Ritter

in 2007, heeft het Hooggerechtshof van Delaware aangenomen dat, in tegenstelling tot vroeger, de

verplichting om toezicht uit te oefenen een deel van de duty of loyalty uitmaakt.525

ASSINK spreekt van

een negatieve (je mag de vennootschap niet achter je eigen belangen zetten) en een positieve

component (je moet je te goeder trouw gedragen).526

De duty of care houdt in dat een bestuurder zijn beslissingen zorgvuldig moet nemen.527

Deze

beslissingen worden marginaal getoetst door de business judgement rule (infra). De duty of loyalty

wordt enkel aan bovenvermeld art. 144 van de Delaware General Corporation Law getoetst.

519

Restoring the Balance in Corporate Management, p 33 en voetnoot 49 op p 36: “Corporate officers and directors . . . stand in a fiduciary relation to the corporation and its stockholders. The fiduciary duties an officer owes to the corporation have been assumed to be identical to those of directors”. 520

Del. Ch. Sept. 21, 2009 : “As a general matter, our Supreme Court has found that the duties of corporate officers are similar to those of corporate directors.” (Gantler, 965 A.2d at 709)); ZRII, LLC v. Wellness Acquisition Grp., Inc., No. 4374-VCP, 2009 WL 2998169, alinea *11 Del. Ch. Sept. 21, 2009). 521

Restoring the Balance in Corporate Management, p 37. 522

Ibid., p 37. 523

Ibid., p 37 en D. GARVIS, L. JOHNSON, Are Corporate Officers Advised About Fiduciary Duties?, raadpleegbaar op www.ssrn.com, SSRN-id1421410, p 5. Ook raadpleegbaar in The Business Lawyer; Vol. 64, August 2009, p 1108. 524

Dit wordt bestraft door art. § 144 van de Delaware General Corporation Law. In dat artikel staan ook de voorwaarden om aan een uitzondering te voldoen. Ze vertonen enige gelijkenissen met art. 523 W. Venn. 525

Stone v. Ritter, 911 A. 2d (362) 370 (Del. 2006) (The failure to act in good faith may result in liability because the requirement to act in good faith “is a subsidiary element[,]” i.e., a condition, “of the fundamental duty of loyalty). En iets verderop: “It follows that because a showing of bad faith conduct (…)is essential to establish director oversight liability, the fiduciary duty violated by that conduct is the duty of loyalty.” (eigen onderlijning). Zie ook: B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 149. 526

B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 152. 527

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 267, nr. 304.

Page 88: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

88

Handelen met goede trouw wordt geacht op beide verplichtingen te slaan.528

b. Business Judgement Rule

Inbreuken op de duty of care worden pas bestraft na toepassing van de “business judgement rule”.529

De business judgement rule beschermt bestuurders tegen aansprakelijkheid voortvloeiend uit sommige

beleidsbeslissingen die aan bepaalde voorwaarden voldoen.530

In essentie regelt de business judgement

rule de bewijslast, omdat een bestuurder geacht wordt te goeder trouw (dit is de link met de duty of

loyalty), geïnformeerd en in het belang van de vennootschap te hebben gehandeld (cfr. Duty of care).

Zij die eisen dat dat niet zo is moeten zulks bewijzen. En pas als blijkt dat de bestuurder niet zo heeft

gehandeld, moet de rechter de aansprakelijkheid onderzoeken. 531

Zie terzake ook het arrest Aronson v.

Lewis van het Delaware Supreme Court:532

“It is a presumption that in making a business decision the

directors of a corporation acted on an informed basis, in good faith and in the honest belief that the

action taken was in the best interests of the company. Absent an abuse of discretion, that judgment will

be respected by the courts. The burden is on the party challenging the decision to establish facts

rebutting the presumption.”(eigen onderlijning).

Dit wordt beschouwd als de standaardformulering van de business judgement rule.533

Het betekent ook

dat het niet goed geïnformeerd zijn een inbreuk is op de duty of care.

Indien er geen beslissing was, en er dus sprake is van een passieve bestuurder, is er geen sprake van

dat de business judgement rule kan worden toegepast.534

In dit geval gaat men uit van een overtreding

van de duty of loyalty en van good faith. Maar ook in dit geval wordt er slechts in uitzonderlijke

gevallen gestraft, namelijk als blijkt dat bestuurders opzettelijk geen interne controle systemen hebben

ontwikkeld of er opzettelijk geen rekening mee hebben gehouden.535

( "A director's obligation includes

a duty to attempt in good faith to assure that a corporate information and reporting system, which the

528

Good faith, S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 264, nr. 299. Zie ook Brehm v. Eisner, 906 A.2d, (27) 65 (Del. 2006): "issues of good faith are (to a certain degree) inseparably and necessarily intertwined with the duties of care and loyalty." (http://ustlawreview.com/pdf/vol.LII/The_Business_Judgment_Rule.pdf, p 32)( 6 april 2012). 529

Who’s the Boss?, DJCL, p 202. 530

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 264, nr. 299. 531

Ibid., p 268, nr. 304 en de daar aangehaalde rechtsleer. 532

Aronson v. Lewis, 473 A.2d (805) 812 (Del 1984). Zie ook Smith v. Van Gorkom, 488 A.2d (858) 872 (Del. 1985) en Who’s the Boss?, p 229. 533

B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 246. 534

Aronson v. Lewis, 473 A.2d (805) 813(Del 1984): “However, it should be noted that the business judgment rule operates only in the context of director action. Technically speaking, it has no role whether directors have either abdicated their functions or, absent a conscious decision, failed to act. But it also follows that under applicable principles, a conscious decision to refrain from acting may nonetheless be a valid exercise of business judgement and enjoy the protections of the rule“ (eigen onderlijning) en B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 178. 535

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 272, nr 307.

Page 89: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

89

board concludes is adequate, exists, and that failure to do so under some circumstances may, in theory

at least, render a director liable for losses.")536

(eigen onderlijning).

Er moet goed voor ogen worden gehouden dat het gaat om een toetsing van de besluitvorming vooraf

(process due care) en dat de rechter zich niet mag uitspreken over de inhoud van een beslissing

(substantive due care).537

Zie voor een illustratie zaak Caremark: Een ondernemingsbeslissing valt

onder de bescherming van de business judgement rule als die beslissing en het beslissingsproces op

dat moment rationeel, overtuigend en te goeder trouw was. Het doet er dan later niet toe dat bleek dat

de beslissing inhoudelijk (flagrant) verkeerd was.538

Dit wordt later nog bevestigd in Brehm v.

Eisner,539

één van de procedures in de Disney-case.

i. Process due care

De rechter moet bij het beslissingsproces nagaan of de besluitvorming juist is geweest, namelijk of de

raad van Bestuur niet zonder nadenken aanbevelingen van het management heeft gevolgd, maar wel

degelijk of er tegenargumenten zijn gegeven door de Raad. Er moet worden nagegaan of de niet-

uitvoerende bestuurders de uitvoerenden (managers of bijvoorbeeld de CEO)540

wel juist hebben

“ondervraagd”. Er moet met andere woorden een debat gevoerd zijn. Het is hier dat het (ERM-) belang

van interne rapportering en communicatie naar voren komt. Er kan slechts een zinnig debat (en dus

juiste beslissingen) ontstaan als iedereen juist en volledig geïnformeerd is.541

ii. Praktijkgevallen.

De toetsing van een ondernemingsbeslissing aan de business judgement rule leidt in de meeste

gevallen542

dus minder snel tot een overtreding, aangezien de algemeen verplichtende

zorgvuldigheidsnorm wel elke fout strafbaar stelt. Enkel de irrationele,543

de slecht geïnformeerde of

gevallen van grove nalatigheid of kwade trouw worden gesanctioneerd.544

536

Caremark International Inc. Derivative Litigation, 698 A.2d (959) 970 (Del. Ch. 1996). 537

Dus ook geen ex post beslissingen. S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 269, nr 305. 538

Caremark International Inc. Derivative Litigation, 698 A.2d (959) 967-968 (Del. Ch. 1996). 539

Courts do not measure, weigh or quantify directors’ judgments. We Courts do not measure, weigh or quantify directors’ judgments. We do not even decide if they are reasonable in this context.64 Due care in the decisionmaking context is process due care only. Irrationality is the outer limit of the business judgment rule. Irrationality may be the functional equivalent of the waste test or it may tend to show that the decision is not made in good faith, which is a key ingredient of the business judgment rule. (eigen onderlijning). Brehm v. Eisner, 746 A.2d 244 (Del. Ch. 2000). 540

Dit onderscheid is in de VS duidelijker wegens het aanwezig zijn van een dualistisch systeem. 541

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 270, nr. 305. 542

Uitzonderingen zijn maatregelen tegen overnames/fusies en beslissingen over het verkopen van de vennootschap. 543

Bijvoorbeeld corporate waste, verkwisting van het vennootschapsvermogen. S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 271, nr 306. 544

Gewone nalatigheid is onder de business judgement rule niet strafbaar. Infra Walt Disney Case, en S. DE

GEYTER, Organisatieaansprakelijkheid van bestuurders, p 277, nr 310.

Page 90: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

90

a. Smith v. Van Gorkom (1985)545

Dit betrof een aansprakelijkheidsvordering van aandeelhouder Smith tegen Van Gorkom, bestuurder

van Trans Union Corporation. De bestuurders hadden een fusie beslissing goedgekeurd zonder

voldoende geïnformeerd te zijn. Om twee redenen geldt dan de business judgement rule niet.

1. Er is de verplichting om voldoende geïnformeerd te zijn, zodat het beslissingsproces rationeel

kan verlopen (“Under the business judgment rule there is no protection for directors who

have made an unintelligent or unadvised judgment.”);546

2. In het geval van fusies is er een specifieke wettelijke plicht tot het inwinnen van informatie,

namelijk § 251 (b) Deleware General Corporation Law.

Als bijkomendheid bleek dat Van Gorkom een dominant figuur was die geen tegenspraak of overleg

duldde, niet in de vennootschap geïnteresseerd was, en dat de raad van bestuur zonder de informatie te

lezen alles goedkeurde. 547

Het Hof verklaarde de bestuurders schuldig aan grove nalatigheid.548

Het

belangrijkste gevolg van deze uitspraak was het wetgevende initiatief art. 102 (b) 7 van de Delaware

General Corporation Act, met betrekking tot een exoneratiebeding voor bestuurders en uitzonderingen

op het vlak van inbreuken op goede trouw, dut of loyalty, fraude en belangenconflicten. Nu is zulke

wetgeving gemeengoed in de meeste staten van de VS.549,550

b. The Walt Disney Corporation derivative litigation (2005).

De Walt Disney case is een langlopende zaak geweest.551

De eisers konden niet bewijzen dat de

voorwaarden van de business judgement rule geschonden waren. Dit omdat er geen irrationele, kwade

trouw of slecht geïnformeerde beslissingen waren genomen, ondanks het feit dat de beslissingen

inzake niet geheel volgens aanbevolen Corporate Governance bepalingen waren genomen. De

bestuurders waren op tijd geïnformeerd, en de ontslagvergoeding van $38 miljoen plus drie miljoen

545

Smith v. Van Gorkom 488 A.2d 858 (Del. 1985) of Trans Union Case. 546

B.F.J. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 188 en Smith v. Van Gorkom 488 A.2d (858) 872 (Del. 1985), 547

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 273-274, nr 308. 548

Smith v. Van Gorkom 488 A.2d (858) 874 (Del. 1985).(“the directors did not adequately inform themselves as to Van Gorkom’s role in forcing the “sale” of the Company and in establishing the per share purchase price, were uninformed as to the intrinsic value of the Company, and were grossly negligent in approving the “sale” upon two hours’ consideration, without prior notice, and in the absence of a crisis or emergency”). 549

Dit artikel luidt: A provision eliminating or limiting the personal liability of a director to the corporation or its stockholders for monetary damages for breach of fiduciary duty as a director, provided that such provision shall not eliminate or limit the liability of a director: (i) For any breach of the director's duty of loyalty to the corporation or its stockholders; (ii) for acts or omissions not in good faith or which involve intentional misconduct or a knowing violation of law; (iii) under § 174 of this title; or (iv) for any transaction from which the director derived an improper personal benefit. No such provision shall eliminate or limit the liability of a director for any act or omission occurring prior to the date when such provision becomes effective. All references in this paragraph to a director shall also be deemed to refer to such other person or persons, if any, who, pursuant to a provision of the certificate of incorporation in accordance with § 141(a) of this title, exercise or perform any of the powers or duties otherwise conferred or imposed upon the board of directors by this title. 550

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 275, nr 309. 551

Voor een compleet overzicht zie: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 275, nr 310

Page 91: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

91

dollar in stock opties waren het beste voor het vennootschapsbelang.552

Een verschil met Van Gorkom

is dat in de Walt Disney Case elke bestuurder afzonderlijk werd beoordeeld.553

Een belangrijke vaststelling is dat de business judgement rule niet dezelfde hoge standaard heeft als

Corporate Governance bepalingen. De rechter verwoordt het zo: Again, plaintiffs have failed to meet

their burden to demonstrate that the directors acted in a grossly negligent manner or that they failed

to inform themselves of all material information reasonably available when making a decision. (…)

As I stated earlier, however, the standards used to measure the conduct of fiduciaries under Delaware

law are not the same standards used in determining good corporate governance. For all the foregoing

reasons, I conclude that none of the defendants breached their fiduciary duties or acted in anything

other than good faith (…). (eigen onderlijning).554

c. Graham v. Allis-Chambers (1963,) Caremark (1996) & Stone v. Ritter (2006).

Deze zaak is slechts van belang in zoverre dat de raad van bestuur een controlesysteem had opgezet

dat volgens de rechter voldoende was.555

Een onderneming moet kunnen vertrouwen op de integriteit

van het personeel. Ze moet geen “spionagesysteem” inbouwen. De raad van bestuur kwam één keer

per maand samen om de resultaten en het algemeen beleid te bespreken. De specifieke eigenschappen

van specifieke producten bijvoorbeeld liet ze over aan een deskundig geachte productmanager, die hen

de nodige gegevens achteraf bezorgde.556

De rechter verwoordde dit zo: “Directors are entitled to rely

on the honesty and integrity of their subordinates until something occurs to put them on suspicion that

something is wrong. If such occurs and goes unheeded, then liability of the directors might well

follow, but absent cause for suspicion there is no duty upon the directors to install and operate a

corporate system of espionage to ferret out wrongdoing which they have no reason to suspect

exists..”557

Deze uitspraak, waaruit blijkt dat de plicht van de raad van bestuur slechts een passieve is,

is niet zonder kritiek gebleven, en is gedeeltelijk onderuit gehaald in de Caremark-case.558

Deze zaak is al gedeeltelijk besproken bij de begrippen duty of loyalty en duty of care. De concrete

vraag in deze zaak was in hoeverre bestuurders verplicht zijn een intern informatie – en

rapporteringsysteem op te zetten. Er waren fouten gemaakt die burgerrechtelijk en strafrechtelijk tot

boetes hadden geleid van bijna $ 250 miljoen.559

Het Hof gaf aan dat de soepele regels van Graham v.

Allis-Chambers niet meer toepasselijk waren in deze tijden en dat de Raad verantwoordelijk is voor

een adequaat informatie – en rapporteringsysteem. Dat systeem moet zeker ook compliance van

552

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 276 en 277, nr 310. Walt Disney Co. Derivative Litigation 825 A.2d (275) 289 (Del. Ch. 2005). 553

Walt Disney Co. Derivative Litigation 907 A.2d (693) 748 (Del. Ch. 2005) 554

Walt Disney Co. Derivative Litigation 907 A.2d (693) 772 (Del. Ch. 2005) 555

Allis-Chalmers Mfg. Co. 188 A.2d 125 (Del. 1963). Zie voor een samenvatting van alle feitelijkheden: S. DE

GEYTER, Organisatieaansprakelijkheid van bestuurders, p 278, nr 311. 556

Allis-Chalmers Mfg. Co. 188 A.2d (125) 128 (Del. 1963). 557

Allis-Chalmers Mfg. Co. 188 A.2d (125) 130 (Del. 1963). 558

Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996). 559

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 280, nr 313.

Page 92: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

92

medewerkers mogelijk maken. Als dit systeem in een onderneming bestaat, dan is het zeer moeilijk

om aansprakelijkheid te bewijzen. Er moet aan vier voorwaarden voldaan worden: 560

- Kwade trouw vanwege de de bestuurders, als zij op de hoogte waren van de wetschending;

- Of ze moesten dit zijn;

- Zij geen stappen ondernomen hebben om deze situatie te voorkomen of recht te zetten;

- Deze nalatigheid heeft tot verliezen geleden.561

In casu was er geen sprake van reden tot aansprakelijkheid, want er was geen bewijs tot volgehouden

ononderbroken gebrekkig toezicht.

In Stone v. Ritter562

werd nog eens scherp gesteld dat wie bestuurders aansprakelijk wil stellen moet

bewijzen dat zij te kwader trouw waren doordat een intern informatie – en rapporteringsysteem er niet

was, of moedwillig werd genegeerd. Door nalatig te blijven zijn zij te kwader trouw en schenden zij de

duty of loyalty. Deze nalatigheid moet wel bewezen worden (zie de voorwaarden van Allis-

Chambers).563

Door niet enkel hun eigen belangen na te streven boven die van de vennootschap, maar

die van de vennootschap gewoon te negeren, zijn de bestuurders te kwader trouw.564

Kritiek hierop blijft dat de bewijslast vrij streng is voor de eisers, behalve ingeval van manifeste

overtreding van de wet.565

d. Citigroup Inc. Shareholder Derivative Litigation (2009) & Dow Chemical Company

Derivative Litigation (2010).

De Citigroup566

zaak draaide om de vraag of ondernemingsbeslissingen die belangrijke risico’s met

zich meedragen ook beschermd worden door de business judgement rule567

als er daaruit zware

verliezen voortkomen. In casu ging het om de befaamde subprime hypotheekleningen aan minder

gegoede mensen waarvan de terugbetaling niet zo zeker was als bij “gewone” hypotheken. Citigroup

had $ 2,7 miljard in zulke leningen geïnvesteerd, door deze over te nemen van andere partijen (door

toepassing van een zg. cessie van schuldvordering). Maar hiernaast had de vennootschap geen plannen

bestaande schulden af te betalen, en wel plannen om nog meer te investeren en was er een royale

vergoeding voorzien voor de CEO, die grotendeels verantwoordelijk was voor de problemen van de

560

Caremark International Inc. Derivative Litigation, 698 A.2d (959) 971 (Del. Ch. 1996). 561

Dus dan geldt de business judgement rule-bescherming niet. Dit maakt in de praktijk weinig uit, want de bewijsvoorwaarden zijn alsnog streng. Zie ook Stone v. Ritter, 911 A. 2d 362 (Del. 2006). 562

Stone v. Ritter, 911 A. 2d 362 (Del. 2006). 563

Stone v. Ritter, 911 A. 2d (362) 372-373 (Del. 2006). 564

Stone v. Ritter, 911 A. 2d (362) 370 (Del. 2006) en D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 269. Zie ook het Enron schandaal van 2003: “het subcomité dat het onderzoek naar het Enron-schandaal leidde, stelde vast dat de raad van bestuur van die onderneming “er niet in slaagde om misbruik na te gaan, te verzekeren van een goede afloop of te stoppen. Soms werd er voor gekozen om ‘de problemen te negeren’, soms werden er bewust activiteiten gestart en verbintenissen aangaan met een hoog risicogehalte.”( ROSEN, R.E., Risk Management and Corporate Governance: The Case of Enron, 2003, raadpleegbaar op www.ssrn.com, SSRN-id468168. 565

A.M. TUCKER, Who’s the Boss?, P 226-228. 566

Citigroup Inc. Shareholder Derivative Litigation, 964 A.2d 106 (Del. Ch. 2009). 567

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 287, nr. 318.

Page 93: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

93

bank.568

Zoals altijd moest de rechter zich hoeden voor een ex post-beoordeling (cfr. P … bij de 1382-

83 BW in België).569

De eisers kregen niet bewezen dat de Bestuurders volgens de voorwaarden van

Allis-Chambers te kwader trouw waren; er waren procedures voorzien, er was een Audit en Risk

Management Comité en een verlies op zich is geen bewijs van kwade trouw, risico’s kunnen nu

eenmaal kosten met zich meebrengen.570

In de Dow Chemical zaak571

herhaalde de rechter nog eens dat de kwade trouw uitdrukkelijk moet

worden bewezen, en dat een enkele fout geen flagrant gebrek aan toezicht is en al zeker geen kwade

trouw. Ook is er voor een foute beslissing in een groter geheel geen andere maatstaf, want dan zou de

rechter weer op basis van ex ante feiten oordelen, wat hij niet mag.572

e. Duidelijke overtredingen: De zaken Enron (2003) en Worldcom (2003).

Twee rechtszaken die duidelijk de test van de goede trouw niet doorstonden waren die van Enron573

en

Worldcom.574

Op papier voldeden beide ondernemingen aan de voorwaarde van het organiseren van

een degelijke interne controle.575

Maar het bestuur en toezicht faalde volkomen. Bij Enron werden

signalen genegeerd (red flags)576

en bij Worldcom was de raad van bestuur te passief bij een

dominante CEO.577

Zij voldeden dus aan de voorwaarde van bad faith. Zij hebben bewust nagelaten

controle of toezicht uit te oefenen.578

568

Ibid., p 287, nr. 318. 569

To impose oversight liability on directors for failure to monitor “excessive” risk would involve courts in conducting hindsight evaluations of decisions at the heart of the business judgment of directors. Oversight duties under Delaware law are not designed to subject directors, even expert directors, to personal liability for failure to predict the future and to properly evaluate business risk (Citigroup Inc. Shareholder Derivative Litigation, 964 A.2d (106) 130 (Del. Ch. 2009). 570

It is well established that the mere fact that a company takes on business risk and suffers losses—even catastrophic losses—does not evidence misconduct, and without more, is not a basis for personal director liability. That there were signs in the market that reflected worsening conditions and suggested that conditions may deteriorate even further is not an invitation for this Court to disregard the presumptions of the business judgment rule and conclude that the directors are liable because they did not properly evaluate business risk. What plaintiffs are asking the Court to conclude from the presence of these “red flags” is that the directors failed to see the extent of Citigroup’s business risk and therefore made a “wrong” business decision by allowing Citigroup to be exposed to the subprime mortgage market. Citigroup Inc. Shareholder Derivative Litigation, 964 A.2d (106) 131 (Del. Ch. 2009). Ook de rechtbank van het District Court van New York kwam tot die conclusie (Citigroup Inc. Shareholder Derivative Litigation WL 2610746, 6, (S.D.N.Y. 2009)). 571

Dow Chemical Company Derivative Litigation, C.A. No. 4349-CC (Del. Ch. Jan. 11, 2010). 572

Voor een compleet feitenrelaas, zie: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 290-293, nrs. 322-324. 573

Enron Corporation Securities, Derivative & ERISA Litigation, 235 F. Supp. 2d 511 (S.D. Tex. 2003). 574

WorldCom Inc. ERISA Litig., 263. F. Supp. 2d 745, 765 (S.D.N.Y. 2003). 575

De bestuurders bij Enron hadden allen meer dan twintig jaar ervaring. 576

De bestuurders werden in 1999, 2000 en 2001 op de hoogte gebracht van risicovolle transacties en gebeurtenissen, maar deden er niks aan. Tevens was er sprake van belangenconflicten. De fiduciary duties werden m.a.w. duidelijk miskend. 577

Het auditcomité en de bestuurders waren niet betrokken genoeg bij de onderneming. Dit lag deels aan de niet door hen geschapen bedrijfscultuur. 578

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 294-295, nr. 326.

Page 94: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

94

c. Conclusie.

Bestuurders van Amerikaanse ondernemingen moeten ingevolge de business judgement rule aan twee

testen voldoen: is er een degelijk controle systeem? En is dat niet bewust genegeerd?579

In beide

gevallen moet de duty of loyalty worden nagegaan. Als die niet geschonden is dan vallen de

beslissingen in een “aansprakelijkheidsvrije ruimte”.

Tegenwoordig zijn er veel strengere wettelijke vereisten aan een intern controle systeem dan door de

rechtspraak was uitgewerkt voor de Enron en Worldcom zaken. De SOX wetgeving bevat strenge

vereisten.580

3. Verenigd Koninkrijk.

Een belangrijk Corporate Governance principe dat van toepassing is op alle vennootschappen in het

VK is principe 1 van de UK Corporate Governance Code: “Every company should be headed by an

effective board which is collectively responsible for the long-term success of the company.” (eigen

onderlijning). Wettelijk gezien wordt dit principe vertaald in hoofdstuk 2 van 2006 Companies Act581

,

art. 170 tot en met 181, en dan vooral art. 171-177. Ze moeten handelen binnen de perken van hun

bevoegdheden, het succes van de vennootschap nastreven (art. 172 (1): A director of a company must

act (…) in good faith, vergelijk dit met de Amerikaanse duty of loyalty), een onafhankelijk oordeel

uitoefenen, redelijke zorg en deskundigheid aan de dag leggen (art 174 (1): A director of a company

must exercise reasonable care, skill and diligence, vergelijk dit met de Amerikaanse duty of care) en

belangenconflicten vermijden (eigen onderlijning).

a. Art. 172 en 174 2006 Companies Act.

Zoals hierboven vermeld vertonen deze artikels enige gelijkenis met de Amerikaanse fiduciary

duties.582

Dit wordt in de Corporate Governance Code, in sectie B verder toegelicht. Er moet een

balans worden gevonden tussen vaardigheden, ervaring, onafhankelijkheid en kennis van de

onderneming om de taken effectief uit te kunnen voeren.583

Dit houdt onder andere in dat de Raad

voldoende groot moet zijn, maar niet te groot, en dat er een goede balans moet zijn tussen uitvoerende

en niet-uitvoerende (onafhankelijke) bestuurders.584

De duties impliceren dat de bestuurders voldoende

tijd steken in de onderneming en van tijd tot tijd hun kennis bijspijkeren.585

579

M.a.w., de red flags zijn niet genegeerd. A.M. TUCKER, Who’s the Boss?, P 258. 580

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 304, nr. 336. 581

UK Company Act 2006, Royal Assent 8 November 2006, http://www.legislation.gov.uk/ukpga/2006/46/pdfs/ukpga_20060046_en.pdf. 582

Zie in die zin ook: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 337, nr. 373. 583

B.1 The Composition of the Board, UK Corporate Governance Code 2010, p 12. 584

Zie voor een discussie over de vraag hoe groot groot genoeg is en wanneer een Raad te groot is: K. J. HOPT, Comparative Corporate Governance: The State of the Art and International Regulation, p 25, raadpleegbaar op www.ssrn.com, SSRN-id: 1713750. Zie voor een discussie over het nut van onafhankelijke bestuurders: K. J. HOPT, Comparative Corporate Governance: The State of the Art and International Regulation, p 26-29 en S. BHAGAT, en B. BLACK, The Non-Correlation Between Board Independence and Long Term Firm Performance, raadpleegbaar op www.ssrn.com, SSRN-id: 133808. 585

Principles B.3 en B.4 UK Corporate Governance Code, p 14 en 15.

Page 95: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

95

Ondanks een afwezigheid van een business judgement rule in het VK zorgt Art 174 (2) UK

Companies Code dat er wel een “objectief/subjectieve test”586

is van de bestuurder. Dat artikel bepaalt

namelijk dat het gedrag van de bestuurders wordt getoetst aan dat van een redelijk zorgvuldig persoon

met “de algemene kennis, deskundigheid en ervaring die redelijkerwijze mogen verwacht worden van

een gewone bestuurder”587

(dit is de minimumstandaard waaraan het gedrag van een bestuurder moet

worden getoetst).588

Het subjectieve gedeelte van de test houdt rekening met de algemene kennis,

deskundigheid en ervaring van de bestuurder zelf, en verhoogt de minimumstandaard van geval tot

geval. Dit is omdat in de vroegere rechtspraak er vanuit werd gegaan dat het leiden van een kleine

KMO andere beoordelingen vergt dan het leiden van een multinational.589

Latere rechtspraak heeft

deze test wel deels geobjectiveerd tot de redelijk zorgvuldige persoon in een gelijkwaardige situatie.590

(“In my view, the duty of care owed by a director at common law (…) the conduct of: “… a

reasonably diligent person having both:

(a) the general knowledge, skill and experience that may reasonably be expected of a person carrying

out the same functions as are carried out by that director in relation to the company, and

(b) the general knowledge, skill and experience that that director has.”

Both on the objective test and, having seen Mr D'Jan, on the subjective test, I think that he did not

show reasonable diligence when he signed the form. He was therefore in breach of his duty to the

company.”). 591

De duty of care waarvan sprake is in bovenstaande uitspraak is nu ingeschreven in art.

174 van de 2006 Companies Act.

b. Speciale problematiek bij delegatie van bevoegdheden en toezicht daarop.

De zaak City Equitable Fire Insurance co ltd bevatte (net als Graham v. Allis-Chambers in de VS) de

stelling dat in geval van delegatie van bevoegdheden bestuurders niet voortdurend toezicht moeten

uitoefenen op hun ondergeschikten en dat ze mogen uitgaan van hun deskundigheid voor zover er geen

reden tot wantrouwen bestond.592

Latere rechtspraak in het VK heeft wel bijkomende voorwaarden geschept met betrekking tot deze

verantwoordelijkheden. Een belangrijke zaak hiervoor was Westmid Packing Services Ltd.593

Ondanks

het feit dat de raad van bestuur door één CEO wordt gedomineerd en dat bevoegdheden waren

gedelegeerd, zijn de andere bestuurders er als college nog steeds voor verantwoordelijk om de andere

586

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 340, nr. 377. 587

Vergelijk met de pater familias vereiste in België. 588

Lexi Holdings Plc (in administration) v Luqman BCLC, 2008/2 (725) 738. 589

Justice Romer in City Equitable Fire Insurance co ltd, Ch 1925, 407: "In order, therefore, to ascertain the duties that a person appointed to the board of an established company undertakes to perform, it is necessary to consider not only the nature of the company's business,(…)”. 590

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 341, nr. 379. 591

D’Jan of London Ltd, BBC, 1994 (646) 648. De bestuurder had zonder te lezen een verzekeringsvoorstel getekend waarvan hij niet aan de voorwaarden voldeed, waardoor de verzekering de onderneming niet moest uitbetalen. 592

Justice Romer in City Equitable Fire Insurance co ltd, Ch 1925, 428. 593

Westmid Packing Services Ltd (no 3), BBC 1998, 836.

Page 96: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

96

bestuurders te controleren. Dit komt voort uit de verplichtingen van de bestuurders tegen de

vennootschap. De plicht om enkel in te grijpen bij grond voor wantrouwen werd dus uitgebreid tot een

voordurende plicht. Ook in de geruchtmakende Barings-zaak594

werden bestuurders veel strenger

beoordeeld. Het is niet omdat, binnen de statutaire bepalingen bevoegdheden zijn gedelegeerd dat

bestuurders niet de algemene verantwoordelijkheid blijven hebben; tevens moeten zij voldoende

bekwaam zijn om te begrijpen wat zich in de vennootschap afspeelt.595

In casu werden drie

bestuurders “incompetence of a high degree” verweten.

In de Equitable Life Assurance Society v Bowley596

herhaalde de rechter nog eens de verplichtingen

van de raad van bestuur en van de bestuurders: ze hebben de voortdurende plicht voldoende kennis en

begrip over de onderneming te verwerven en ze mogen als ze bevoegdheden delegeren deels

vertrouwen op de kunde en integriteit van de gedelegeerde, maar moeten te allen tijde toezicht

uitoefenen. De rechter merkte nog op dat er geen algemene regel met betrekking tot die

toezichtverplichting geformuleerd kan worden. Ten slotte verklaarde de rechter nog dat de regel van

de zaak City Equitable Fire Insurance co ltd niet meer geldig was (net als in de Barings-zaak).

De taken van de niet-uitvoerende bestuurders werden uitgebreid omschreven597

in de Continental

Assurance Co of London plc. zaak.598

Zij mogen niet blindelings vertrouwen op wat externe

specialisten hen meedelen. Het komt er ook op neer dat zij een voortdurende toezichtplicht hebben. De

delegatievereisten gelden ook bij delegatie aan medebestuurders.599

De voortdurende toezichtplicht ten slotte houdt ook in dat wanneer er externe adviseurs zijn, de

bestuurder zich weldegelijk zelf ook moet informeren.600

Dit volgt mijns inziens logischerwijze uit de

premisse van de duty of care uit art 174 Companies Act.

c. Conclusie.

Doordat ook subjectieve elementen, die variëren van bestuurder tot bestuurder, in aanmerking kunnen

worden genomen, is er meer dan in de VS een mogelijkheid voor de rechter om tot een inhoudelijke

beoordeling te komen. Hij kan dus strenger zijn. Maar dat is de rechter in de terughoudende Engelse

rechtspraak niet.601

Er wordt voornamelijk nagegaan of de bestuurder zich zorgvuldig geïnformeerd

heeft. De raad van bestuur moet dit dan ook mogelijk maken (cfr. Het collegialiteitprincipe in België).

594

Barings plc (No 5), BCLC 1999/1, 286. 595

Voor een bespreking van de feiten, zie (o.a.): S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 343-346, nrs. 381-382. 596

Equitable Life Assurance Society v Bowley & Ors, Court of Appeal - Commercial Court, October 17, 2003, [2007] Lloyd 597

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 347, nr. 385. 598

Re Continental Assurance Co of London plc 2 BCLC 2007/ 2 287. 599

Lexi Holdings Plc (in administration) v Luqman BCLC, 2008/2 (725) 736. 600

Re Bradcrown Ltd, Official Receiver v Ireland BCLC 2001/1 547. 601

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 351-352, nr. 388.

Page 97: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

97

4. Nederland

Ingevolge het dualistische systeem wordt het toezicht in Nederland voornamelijk uitgeoefend door de

Raad van Commissarissen. Dit is haar belangrijkste taak, na o.a. het bijeenroepen van de jaarlijkse

vergadering, ondertekening van de jaarrekening en benoeming en ontslag van bestuurders.602

Het toezicht wordt in art 2:140, lid 2 NBW als volgt omschreven:

De raad van commissarissen heeft tot taak toezicht te houden op het beleid van het bestuur en op de

algemene gang van zaken in de vennootschap en de met haar verbonden onderneming. Hij staat het

bestuur met raad ter zijde. Bij de vervulling van hun taak richten de commissarissen zich naar het

belang van de vennootschap en de met haar verbonden onderneming.

De bestuurders zijn verplicht om aan de commissarissen voldoende informatie te geven om er voor te

zorgen dat de commissarissen hun taak naar behoren uit kunnen voeren.603

a. Gedragsnorm – belang van de vennootschap (duty of loyalty en duty of care).

De duty of loyalty wordt bepaald in art 2:8 NBW. Zij luidt:

1. Een rechtspersoon en degenen die krachtens de wet en de statuten bij zijn organisatie zijn

betrokken, moeten zich als zodanig jegens elkander gedragen naar hetgeen door redelijkheid

en billijkheid wordt gevorderd.

2. Een tussen hen krachtens wet, gewoonte, statuten, reglementen of besluit geldende regel is

niet van toepassing voor zover dit in de gegeven omstandigheden naar maatstaven van

redelijkheid en billijkheid onaanvaardbaar zou zijn.

De algemene zorgvuldigheidsnorm (duty of care) wordt bepaald in art 2:9 NBW. Ze luidt als volgt:

Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke vervulling van de hem

opgedragen taak. Indien het een aangelegenheid betreft die tot de werkkring van twee of meer

bestuurders behoort, is ieder van hen voor het geheel aansprakelijk ter zake van een tekortkoming,

tenzij deze niet aan hem is te wijten en hij niet nalatig is geweest in het treffen van maatregelen om de

gevolgen daarvan af te wenden. Dit is een objectieve gedragsnorm die sterk afhangt van de

feitelijkheden. Daarenboven is er bij een slechte uitkomst niet altijd sprake van een slechte

ondernemingsbeslissing en is er sprake van een inspanningsverbintenis, waardoor er niet bij een slecht

resultaat automatisch sprake is van een schending van de duty of care. Een zeker risico moet kunnen

en wordt door de rechter getoetst aan die van de redelijk handelende bestuurder of commissaris.604

Art. 2:140 tweede lid NBW bepaalt de good faith:

602

Zie hierover uitgebreid: H. BECKMAN, J. A. M. BOS, J. R. GLASZ, Bestuur en toezicht: taken, verantwoordelijkheden, aansprakelijkheden van bestuurders en commissarissen, 1994, Kluwer, Deventer. 603

Art 2:141 NBW. Met name financiële informatie: Het bestuur stelt ten minste een keer per jaar de raad van commissarissen schriftelijk op de hoogte van de hoofdlijnen van het strategisch beleid, de algemene en financiële risico's en het beheers- en controlesysteem van de vennootschap (art. 2:141 lid 2 NBW). 604

Rb. Utrecht 12 december 2007 (Ceteco NV), raadpleegbaar op www.rechtspraak.nl. In casu werd er geen aandacht besteed aan verontrustende signalen binnen de eigen organisatie en werd er te veel vertrouwd op verklaringen van het bestuur.

Page 98: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

98

De raad van commissarissen heeft tot taak toezicht te houden op het beleid van het bestuur en op de

algemene gang van zaken in de vennootschap en de met haar verbonden onderneming. Hij staat het

bestuur met raad ter zijde. Bij de vervulling van hun taak richten de commissarissen zich naar het

belang van de vennootschap en de met haar verbonden onderneming. (eigen onderlijning).

Aangenomen wordt dat deze verplichting van goede trouw ook geldt voor bestuurders.605

i. Afdwingbaarheid gedragsnorm

De gedragsnorm is slechts intern afdwingbaar, dus tussen bestuurder en vennootschap. Een derde moet

de bestuurders aansprakelijk stellen op het gewone burgerrechtelijke art. 6:162 NBW606

of specifieke

wetsbepalingen, zoals de antimisbruikwetgeving of verplichtingen in de jaarrekening.607

Er moet

sprake zijn van een ernstig verwijt (wegens de billijkheidsregel van art 2:9 NBW) in de zin van de

zaak NOM t. Willemsen608

: “Dat de omstandigheid dat is gehandeld in strijd met statutaire bepalingen

die een individuele aandeelhouder beogen te beschermen, in beginsel aansprakelijkheid van de

bestuurder tegenover die individuele aandeelhouder meebrengt op grond van onrechtmatige daad maar

eveneens (b) dat in dat geval de persoonlijke aansprakelijkheid van een bestuurder jegens een

individuele aandeelhouder evenwel moet worden beoordeeld aan de hand van het criterium van

“ernstige verwijtbaarheid” van artikel 2:9 NBW en niet op basis van de meer algemene en ruimere

norm van de onrechtmatige daad (artikel 6:162 NBW).” Hiermee legt de Hoge Raad een strengere

maatstaf dan algemene zorgvuldigheidsnorm uit artikel 6:162 NBW.

ii. Enquêterecht en toetsingsnorm

Het enquêterecht van art. 2:344- 2:359 NBW heeft een andere toetsingsnorm voor het gedrag van een

bestuurder dan de algemene zorgvuldigheidsnorm in art 6:162 NBW art 2:9 NBW. Deze procedure

staat onder leiding van de Ondernemingskamer van het Amsterdams Gerechtshof en kan men

enigszins vergelijken met het deskundigenonderzoek uit art. 168-169 W. Venn. in België, maar dan

ruimer, en ze moet de rechter in staat stellen wanbeleid vast te stellen.609

De ondernemingskamer wijst

het verzoek slechts toe, wanneer er blijk is van gegronde redenen om aan een juist beleid te

twijfelen,610

zoals daar zijn: een impasse in de besluitvorming van de raad van bestuur of de Algemene

vergadering of het niet voeren van een juiste administratie of het niet-vaststellen van de

jaarrekening.611

605

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 390, nr. 438. 606

Het Nederlandse artikel 1382 B.W. 607

Art 2:139 NBW. 608

HR 20 juni 2008 (Willemsen/NOM). 609

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 393, nr. 444. 610

Art. 2:350 NBW. 611

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 393, nr. 444.

Page 99: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

99

a. Toetsingsnorm

Het doel van de enquête procedure is het vaststellen van wanbeleid, en daarna kan er aansprakelijkheid

worden vastgesteld.

Art. 2:355: “Indien uit het verslag wanbeleid is gebleken, kan de ondernemingskamer op verzoek van

de oorspronkelijke verzoekers en, indien het verslag voor hen ter inzage ligt, op verzoek van anderen

die aan de in artikel 346 of 347 van dit Boek gestelde vereisten voldoen, of op verzoek van de

advocaat-generaal, ingesteld om redenen van openbaar belang, een of meer van de in het volgende

artikel genoemde voorzieningen treffen, welke zij op grond van de uitkomst van het onderzoek

geboden acht.” De verantwoordelijke persoon moet dan de kosten dragen, want art. 2:354 NBW luidt:

“De ondernemingskamer kan na kennisneming van het verslag op verzoek van de rechtspersoon

beslissen, dat deze de kosten (…) een commissaris of een ander die in dienst van de rechtspersoon is,

indien uit het verslag blijkt dat deze verantwoordelijk is voor een onjuist beleid of een onbevredigende

gang van zaken van de rechtspersoon.” Wat echter wanbeleid, een onjuist beleid of een

onbevredigende gang van zaken is, wordt door de rechter per geval vastgesteld. Wanbeleid wordt

meestal omschreven als handelen in strijd met de meest elementaire beginselen van verantwoord

ondernemerschap.612

Dit blijft echter vaag. Corporate Governance beginselen winnen naast de wet en

de statuten meer en meer aan belang in de rechtspraak (infra de ASMI613

en ABN Amro zaken).

Redelijkheid, billijkheid en behoorlijke taakvervulling maken er zeker deel van uit. Ook een

zorgvuldige voorbereiding komt vaak terug.614

Wanbeleid moet “flagrant ondermaats” zijn, een eenmalige verkeerde beslissing valt er in beginsel niet

onder, maar kan dat wel, als zij schokkende gevolgen heeft.615

In de zaak KPNQwest was er sprake van wanbeleid, omdat de raad van commissarissen enkel

vertrouwde op de door het management aangeleverde informatie, terwijl zij zich actiever had moeten

opstellen toen de onderneming in moeilijkheden verkeerde. De Ondernemingskamer verwoordde het

zo: “Het behoort (...) immers bij uitstek tot de taak van de raad van commissarissen om juist in

(financieel) moeilijke tijden het management van de vennootschap met raad en daad bij te staan en ter

zake eigen initiatieven te ontwikkelen.”616

In de Laurus zaak wordt dat nog eens herhaald.617

612

Ibid., p 395, nr. 447. Zie ook de zaak Batco Nederland (Ok. 21 juni 1979). 613

Volgens de Hoge Raad moet de raad van bestuur verklaring afleggen aan de Algemene Vergadering, maar moet er geen voorafgaande goedkeuring plaatsvinden (H.R. 9 juli 2010, ASMI, r.o. 441, raadpleegbaar op www.rechtspraak.nl. uiteindelijk heeft de Hoge Raad beslist dat er geen onderzoek naar wanbeleid moet worden gevoerd (http://www.telegraaf.nl/dft/bedrijven/asm_int/11818481/__Hoge_Raad_sluit_zaak_ASMI__.html, 13 april 2012). 614

Zie TIMMERMAN in verschillende bijdragen en B.H.A VAN LEEUWEN. Beginselen van behoorlijk ondernemingsbestuur, een onderzoek naar de juridische normering van het besturen van een onderneming, 1990, Kluwer, Deventer, 229 p. 615

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 398, nr. 449 en de zaak Ogem Holding N.V. HR 10 januari 1990 en B.F. ASSINK, Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van Nederland en Delaware, Kluwer, 2007, Utrecht, p 64 en p 597-599. 616

OK 2 januari 2007 (KPNQwest N.V.), r.o. 3.47, raadpleegbaar op www.rechtspraak.nl.

Page 100: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

100

In de Ahold zaak618

werd het de bestuurders aangewreven dat ze, hoewel ze op de hoogte waren van

de tekortkomingen in de interne controle van hun overnamedoelwit US Foodservice, hier na de

overname niks aan gedaan hadden. Ook de onjuiste consolidatie van jaarrekeningen van

dochterondernemingen en joint ventures was een overtreding van de zorgvuldigheidsnorm.619

i. Ernstig verwijt in de zin van art. 2:9 NBW.

Dit artikel luidt: “Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke

vervulling van de hem opgedragen taak.” Als er meer dan één bestuurder aansprakelijk is dan geldt

een vermoeden van hoofdelijkheid, tenzij bewijs van onschuld van de niet-aansprakelijke

bestuurder.620

Om aansprakelijk te zijn dient de bestuurder zijn taak niet behoorlijk te hebben vervuld.

Dit is gebeurd wanneer de algemene zorgvuldigheidsnorm is geschonden, en wanneer de bestuurder

wist of behoorde te weten dat hij anders had kunnen handelen.621

Dit is door de Hoge raad bevestigd in

Staleman t. Van de Ven622

waarbij de Raad stelde dat een ernstig verwijt nodig is vooraleer een

bestuurder aansprakelijk is. De rechter zal van geval tot geval moeten oordelen of er sprake is van een

ernstig verwijt.623

De Hoge Raad stelde het als volgt: “Tot de in aanmerking te nemen omstandigheden

behoren onder meer de aard van de door de rechtspersoon uitgeoefende activiteiten, de in het

algemeen daaruit voortvloeiende risico's, de taakverdeling binnen het bestuur, de eventueel voor het

bestuur geldende richtlijnen, de gegevens waarover de bestuurder beschikte of behoorde te beschikken

ten tijde van de aan hem verweten beslissingen of gedragingen, alsmede het inzicht en de

zorgvuldigheid die mogen worden verwacht van een bestuurder die voor zijn taak berekend is en deze

nauwgezet vervult.” (eigen onderlijning). Zie hier ook weer het belang van een adequate taakverdeling

in verband met risicobeheer. Tevens valt de vergelijking met een normaal zorgvuldige bestuurder op.

Deze toetsing is vergelijkbaar met die van het Belgisch recht.624

Een verschil met bijvoorbeeld de VS

is dat deze voorwaarden de rechter veel meer dan de business judgement rule de ruimte laten

inhoudelijk te toetsen. Er moet wel met alle omstandigheden rekening worden gehouden. In de Ceteco

zaak ging dit zelfs zeer ver.625

De rechter oordeelde hier dat: “voor aansprakelijkheid van een

bestuurder of commissaris op de voet van artikel 2:9 BW is vereist dat aan de bestuurder of

commissaris een ernstig verwijt kan worden gemaakt. Of in een bepaald geval plaats is voor een

617

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 468, nr. 416. In casu werd er niet ingegrepen toen bleek dat bepaalde voorwaarden voor een ambitieus groeiplan (waaronder de financiering) niet werden ingevuld. Ook waren er geen controle momenten vooraf vastgesteld. 618

OK 6 januari 2005 (Koninklijke Ahold N.V.), raadpleegbaar op www.rechtspraak.nl. 619

Voor een uitgebreid verslag van de Ahold zaak, raad ik het boek Het drama Ahold van Jeroen Smit aan. Een zeer vlot geschreven boek. 620

D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 18. 621

Ibid., p 16. 622

HR 10 januari 1997, Staleman/Van de Ven, NJ 1997, 360. 623

D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 19. 624

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 400, nr. 450. 625

S.N. DE VALK, Aansprakelijkheid van leidinggevenden, Kluwer, Deventer, 2009, (hierna: Aansprakelijkheid van leidinggevenden) p 228, voetnoot 135.

Page 101: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

101

ernstig verwijt als hier bedoeld, dient te worden beoordeeld aan de hand van alle omstandigheden van

het geval. Daarbij mag van een bestuurder of commissaris het inzicht en de zorgvuldigheid worden

verwacht van een bestuurder of commissaris die voor zijn taak berekend is en deze nauwgezet vervult.

Van aansprakelijkheid is pas sprake bij een onmiskenbare tekortkoming, een tekortkoming waarover

geen redelijk oordelend en verstandig bestuurder of toezichthouder twijfelt.”626

Ook hier wordt weer

de vergelijking gemaakt met de normaal zorgvuldige bestuurder. In casu werd deze redelijkheidstoets

niet doorstaan. Een van de kwalijkste punten was volgens de rechtbank dat de eigen regels inzake Risk

Management niet werden gevolgd.627

Opnieuw is dit strenger dan in Amerika, omdat daar nog moet

worden aangetoond dat er opzet was van de bestuurders. Hier zou vrijspraak mogelijk geweest zijn.628

Met de invoering van de mogelijkheid van een monistisch stelsel in Nederland wordt het art. 2:9 NBW

aangepast, maar of de nieuwe tekst veranderingen teweeg zal brengen is nog niet duidelijk.629

ii. Verschil en samenhang wanbeleid en ernstig verwijt.

Zoals hoger reeds vermeld betekent aansprakelijkheid in het kader van wanbeleid niet dat de organen

van een rechtspersoon rechtstreeks aansprakelijk gesteld worden, maar het valt hier wel uit af te

leiden. In eerste instantie is de rechtspersoon zelf aansprakelijk. Wanneer hieruit blijkt dat de

bestuurder niet heeft gehandeld zoals een normaal zorgvuldige bestuurder dan kan die wel

aansprakelijk worden gesteld.630

b. Risicobeheer en aansprakelijkheid.

Een belangrijke grond voor aansprakelijkheid is de Nederlandse Corporate Governance Code.631

In het

Nederlandse recht kan een bestuurder op twee manieren aansprakelijk gesteld worden (zie infra,

conclusie). Er wordt uitgegaan van de noodzaak van ondernemingsrisico, dit is ook wat de rechtspraak

626

Rb. Utrecht 12 december 2007 (Ceteco NV) en S.N DE VALK, Aansprakelijkheid van leidinggevenden, p 5. 627

“Bij een ambitieus groeiprogramma waarvan de risico’s voor de organisatie werden onderkend, had het op de weg van de bestuurders gelegen om ten aanzien van de schending van bovengenoemde eigen normen in te grijpen. De rechtbank overweegt daarbij dat bovengenoemde beleidsregels, afspraken en uitgangspunten ten doel hebben de processen en de beslissingen binnen de organisatie inzichtelijk te houden, alsmede de risico’s, die onvermijdelijk samenhangen met het ondernemersschap, zichtbaar te maken en binnen beheersbare grenzen te houden.” 5.153, , Rb. Utrecht 12 december 2007 (Ceteco NV). 628

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 421, nr. 476. 629

Zie hierover meer in o.a.: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 402, nr. 452 en D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 25 en verder. De tekst van het voorstel luidt: 1. Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke vervulling van zijn taak. Tot de taak van de bestuurder behoren alle bestuurstaken die niet bij of krachtens de wet of de statuten aan een of meer andere bestuurders zijn toebedeeld. 2. Elke bestuurder draagt verantwoordelijkheid voor de algemene gang van zaken. Hij is voor het geheel aansprakelijk terzake van onbehoorlijk bestuur, tenzij hem mede gelet op de aan anderen toebedeelde taken geen ernstig verwijt kan worden gemaakt en hij niet nalatig is geweest in het treffen van maatregelen om de gevolgen van onbehoorlijk bestuur af te wenden. (kamerstukken II, 2008/09, 31 763, nr. 3, p. 8), https://zoek.officielebekendmakingen.nl/stb-2011-275., staatsblad der Nederland, 14 juni 2011, nr 275. 630

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 402, nr. 453. 631

D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 224.

Page 102: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

102

beoogt met een normaal en zorgvuldig bestuurder, en daarom is een foute beslissing nog niet meteen

slecht ondernemingsbestuur.632

Inzake risicobeheer zijn de volgende punten gronden voor

aansprakelijkheid inzake risicobeheer. O.a. te risicovol beleid buiten de gekozen risk appetite,

onvoldoende onderzoek naar mogelijke risico’s van een beslissing,633

tekortschietende interne controle

structuren,634

onderschatting van de kans op een risico635

(dit kan aansprakelijkheid op grond van art.

2:9 NBW teweegbrengen, namelijk als een normaal zorgvuldig bestuurder het risico niet zou

onderschat hebben), verkeerde anticipatie (idem), afwezigheid van richtlijnen voor het personeel over

hoe te reageren636

en geen opvolging van het interne controle systeem.637,638

Ook het nalaten van

mededelingen, of het doen van misleidende mededelingen, zowel intern als extern,639

ondermijnen een

behoorlijk ERM. Bestuurders zijn aansprakelijk als deze mededelingen misleidend zijn.640

Men kan eventueel een onderscheid maken tussen compliance-risico’s, waar een strengere toets voor

kan volstaan dan voor operationele risico’s, omdat die normen makkelijk in een wet zijn terug te

vinden.641

c. Conclusie.

Er zijn twee wegen om in Nederland vast te stellen of een bestuurder aansprakelijk is, via de enquête

procedure en via de persoonlijke aansprakelijkheid in samenhang met het ernstig verwijt, dat toetst aan

de ook in België bekende norm van normaal zorgvuldig bestuurder. Wel is het zo dat de rechter zich in

het algemeen terughoudend opstelt, zowat vergelijkbaar met het VK, maar toch, zeker inzake ERM,

sneller inhoudelijke beslissingen zal nemen. Als blijkt dat het niet voldoen aan de voorwaarden van ii.

Risicobeheer en aansprakelijkheid (infra) dan kan de rechter oordelen dat er sprake is van een ernstig

verwijt en eventueel oordelen tot aansprakelijkheid van de raad van bestuur als collegiaal orgaan (mits

bovenvermeld weerlegbaar principe) in het geval van onbehoorlijke taakvervulling. STRIK raadt nog

aan om toch in subsidiaire orde de gewone aansprakelijkheidsregel, geldend voor iedereen, en dus

tegen individuele bestuurders (dus minder interessant) van art. 6:162 NBW te vorderen.642

632

Ibid., p 241-242 en de daar aangehaalde wetsvoorstellen en handelingen van de Tweede Kamer. 633

Hiervan was sprake bij de Ceteco-zaak. 634

Dit feit volstaat op zich als onbehoorlijke taakvervulling, en wordt getoetst aan de hand van de Nederlandse Corporate Governance Code. Zie ook de ATR-zaak en de Ceteco-zaak (OK 10 juni 2008, JOR 2008/229 (ATR Leasing) r.o. 3.16: “(…) ook al bevinden de geconstateerde tekortkomingen zich uitsluitend (…) op het organisatorisch formele vlak.” 635

De zogenoemde “Black swans”. Zie hierover het uitstekende werk van N.N. TALEB, The Black Swan: The Impact of the Highly Improbable, Random House, New York. 978-1400063512, 2007. 636

Zie voetnoot 627 ATR-zaak. 637

Zie supra, de Laurus zaak, er was geen analyse van de situatie genomen door de Raad van Toezicht. 638

D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 278. 639

Zie hiervoor art. 2:391 lid 1 NBW en Best practice II.1.3 en II.1.4 van de Nederlandse Corporate Governance Code als wettelijke basis. 640

D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 309. 641

Ibid., p 244. 642

D.A.M.H.W. STRIK, Grondslagen bestuurdersaansprakelijkheid, p 312.

Page 103: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

103

5. Duitsland

§ 93, Abs. 1, Satz 1 AktG. bepaalt de algemene zorgvuldigheidsnorm. Die luidt: “Die

Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und

gewissenhaften Geschäftsleiters anzuwenden.”643

Het is een strenge norm, van toepassing op

deskundige bestuurders die een ander zijn vermogen beheren. Maar het is wel een relatieve norm,

afhankelijk van geval tot geval, omdat men gezonde risico’s, en daarmee ondernemingszin, niet wil

afremmen. In het VK (de subjectieve/objectieve test), in Nederland en in België wordt deze algemene

zorgvuldigheidsnorm van de normaal zorgvuldige bestuurder ook gebruikt.

a. De Duitse business judgement rule.

§ 93, Abs. 1, Satz 2 AktG. voert een Duitse variant van de business judgement rule in. Als een

bestuurder redelijk geïnformeerd een ondernemingsbeslissing neemt, dan verzaakt hij niet aan zijn

plichten.644

Zelfs al zijn er mogelijk catastrofale gevolgen, als de beslissing op basis van gepaste

informatie is genomen, is de bestuurder niet aansprakelijk.645

Wel is het zo dat de bewijslast bij de

bestuurder ligt, i.t.t. in de VS.646

De bestuurder moet de documenten vijf jaar bewaren ingevolge de

verjaringstermijn van aansprakelijkheidsvorderingen.647

Inhoudelijk, dus over de vraag of er van

opzettelijk dan wel nalatig handelen sprake is, lijkt de Duitse regeling veel op de Amerikaanse.648

De

rechtsleer lijkt tot de overeenstemming te zijn gekomen dat een goed beargumenteerde beslissing

(zowel pro als contra) acceptabel is.

i. Aansprakelijkheid Aufsichtsrat.

Dat is ofwel onder de Duitse business judgement rule,649

ofwel op basis van §§. 116 jo art 93 AktG.

Dit is een objectieve zorgvuldigheidsnorm, geldend voor alle leden, ongeacht hun kennis, ervaring e.d.

Het is een collegiale verantwoordelijkheid en externe delegatie doet daar niks aan af. 650

Voor een bestuurder is dit anders, als hij zich laat bijstaan door externe experts voor zaken waar hij

zelf weinig kennis van heeft. Hij is dan niet aansprakelijk.651

643

De leden van de raad van bestuur hebben bij hun bedrijfsvoering de plicht om er voor te zorgen dat ze de onderneming zorgvuldig en doordacht leiden. 644

“Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.” Zie voor een illustratie de zaak Mannesmann, waarbij de bestuurders strafrechtelijk aansprakelijk werden gesteld voor het toekennen van volgens de rechter niet-toelaatbare extra vergoedingen. Op basis van de hen bekende informatie hadden de commissarissen die nooit mogen toekennen. De rechter oordeelt in deze zaak zeer inhoudelijk, veel inhoudelijker dan in de VS. 645

Voor de beweegredenen van de wetgever, zie: S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 361, nr. 400. 646

§ 93, Abs. 2, Satz 2 AktG: “(…)so trifft sie die Beweislast.” 647

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 362, nr. 401. 648

O.a. adequate informatie, belang van de vennootschap e.d. 649

OLG Oldenburg 22 juni 2006, BB 2007, NJW 2003, 358. In casu hadden de commissarissen niet voldoende zelf onderzocht. 650

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 364-365, nr. 405 en de IKB-zaak. 651

BGH 14 mei 2007, raadpleegbaar op www.bundesgerichtshof.de.

Page 104: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

104

a. Voor ondernemingsbeslissingen.

Deze aansprakelijkheid wordt door de Duitse rechter inhoudelijker getoetst dan door de Engelse of

Amerikaanse. Dit komt omdat het op grond van art. 111, Abs. 4 AktG. een wettelijke toezichtsnorm is.

Hierdoor moeten de toezichthoudende commissarissen vrij actief zijn. Leden van de Aufsichtsrat

brengen hun aansprakelijkheid in het gedrang indien zij zaken goedkeuren die zij bij plichtsbewust

handelen niet goedgekeurd zouden hebben.652

ii. Beoordeling door de rechter van risicovol gedrag.

Voor zover de organisatieplicht van de Aufsichtsrat niet geschonden is en zij zich houdt aan haar

interne controle taak, en Vorstandsrat op voldoende interne en externe informatie vertrouwt, dan zijn

zij beiden niet aansprakelijk voor verkeerd gelopen beslissingen. Zijn er echter signalen die zware

verliezen impliceren, dan moet de Aufsichtsrat ingrijpen. Zodra een beslissing niet past in het

risicoprofiel van de onderneming (niet voldoen aan de risk apetite) moet zij ingrijpen.

b. Praktijkgevallen.

In de zaak ARAG/Garmenbeck van 1997 werd voor het eerst een business judgement rule in het leven

geroepen in Duitsland. Leden van de Aufsichtsrat zijn verplicht op de leden van Vorstandsrat een

aansprakelijkheidsvordering in te stellen, zodra bepaalde grenzen overschreden zijn. Deze grenzen zijn

bijvoorbeeld het te kwader trouw nemen van een ondernemingsbeslissing.653

Inbreuken op de wet,

zelfs al zijn ze in het vennootschapsbelang, zijn altijd een reden voor aansprakelijkheid. Ook het

nemen van onverantwoorde risico’s is een grond tot aansprakelijkheid.654

In deze zaak werd nog

bevestigd dat de Vorstandsrat wel de nodige vrijheid moet krijgen voor het nemen van beslissingen en

het leiden van een onderneming.

c. Vorstandsrat.

De Vorstandsrat is aansprakelijk als zij ondernemingsbeslissingen neemt die een onverantwoord risico

inhouden (supra). Dit is in bijvoorbeeld de MPS-zaak herhaald.655

d. Conclusie Duitsland.

Op grond van de in Duitsland vrij strenge business judgement rule is het voor bestuurders verboden

ondernemingsbeslissingen te nemen die onverantwoorde risico’s met zich meebrengen of die bij

kredietinstellingen een te grote concentratie van risico’s inhouden.656

Een rechter zal in Duitsland bij

een slechte uitkomst van een onderneming sneller geneigd zijn om inhoudelijk na te gaan of er

onverantwoorde risico’s zijn genomen. Het gevaar bestaat evenwel dat hij zich hiermee met à

posteriori informatie in de plaats van de bestuurders stelt.

652

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 372, nr. 417. 653

Ibid., p 365, nr. 406. 654

Dit is een vrij vaag concept. Vallen hieronder bijvoorbeeld het niet nemen van evidente ondernemingskansen of een grote kans op vermindering van het kapitaal vallen hieronder. 655

BGH 1 december 2008, AG 2009, 81, www.bundesgerichtshof.de. 656

Zie bijvoorbeeld de IKB-zaak.

Page 105: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

105

6. De Europese Unie

Uit een publieke consultatie met betrekking tot Corporate Governance en

bestuurdersaansprakelijkheid657

(weliswaar in de financiële sector, maar die sector staat momenteel

meer in de belangstelling) bleek dat het volgens praktijkmensen niet nodig is de strafrechtelijke en

burgerrechtelijke aansprakelijkheid van bestuurders zwaarder te maken. Wel is men van mening dat

het wenselijk is de bestaande regels strenger toe te passen en beter afdwingbaar te maken.658

Voor het

overige verwijs ik hier naar het hoofdstuk aangaande België, aangezien de desbetreffende Europese

richtlijnen al in Belgisch recht zijn omgezet.

2. Conclusie hoofdstuk rechtsvergelijking. Wat er aan de hierboven besproken rechtstelsels opvalt is dat er, in lijn met o.a. COSO, er enige

beleidsvrijheid voor bestuurders is, een marge waarbinnen bestuurders fouten mogen maken bij het

nemen van ondernemingsbeslissingen.659

Pas bij flagrante overtredingen van de business judgement

rule of bij wetsovertredingen grijpt de rechter in. Hierbij is wel op te merken dat dit in Duitsland en in

België eerder gebeurt dan in de VS. Ook is de bewijslast in de VS beter voor de bestuurder; hij die de

bestuurder van enige fouten beticht moet ernstig opzet kunnen bewijzen.660

In Duitsland en in

Nederland is dat omgekeerd. Verder zijn er met betrekking tot de beoordeling van onverantwoorde

risico’s in Duitsland en Nederland strengere criteria, maar in de VS zijn er geen strengere criteria.

In Nederland, het VK en België spreekt men echter niet van een business judgement rule, maar

hanteert men zoals gezegd de zorgvuldigheidsnorm. Deze norm ligt in Nederland en België qua

invulling dicht bij elkaar. Er zijn in Nederland wel twee verschillende procedures met twee

verschillende standaarden. Aan de ene kant is er de notie “wanbeleid” door het niet voldoen aan de

elementaire vereisten van ondernemerschap, en aan de andere kant het “ernstig verwijt” uit de enquête

procedure dat dicht bij het zorgvuldigheidscriterium in België ligt.

In het VK maakt men gebruik van de objectief/subjectieve test die een minimumstandaard van de

redelijk zorgvuldige bestuurder invoert. Ook dit is een zorgvuldigheidsnorm vergelijkbaar met die in

het Belgische recht. Maar de rechter is hier terughoudender in zijn inhoudelijke beoordeling dan in

België of Nederland.661

Bovendien kan de rechter in Nederland, op basis van art. 2:9 NBW rekening

houden met de individuele taakverdeling binnen de Raad van Bestuur. In België kan dit als men

voldoet aan de voorwaarden uit artikel 528, lid 3 W.Venn.

657

Publicatie Europese Commissie, COM(2010) 284, 2 juni 2010, Groenboek Corporate governance in financiële instellingen en het beloningsbeleid, p 19. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0284:FIN:NL:PDF (4 april 2012). 658

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 195. 659

Who’s the Boss?, DJCL, p 245. 660

Zie o.a. de zaak Stone v. Ritter. 661

S. DE GEYTER, Organisatieaansprakelijkheid van bestuurders, p 425, nr. 481.

Page 106: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

106

V. Conclusie. Een actief en goed ERM-beleid bezorgt ondernemingen een voorsprong op de concurrentie. Eén van

de belangrijkste elementen van een goed ERM-programma is een behoorlijke informatiedoorstroming.

Daarnaast zijn ook de volgende elementen van groot belang:

- een risicobewustzijn doorheen de gehele onderneming;

- duidelijke richtlijnen en grenzen zijn aan de risicobereidheid van de onderneming;

- een periodieke evaluatie van het systeem.

In alle onderzochte landen vereist men een dergelijk systeem, zij het op basis van wetgeving, zij het

op basis van rechtspraak of op basis van Corporate Governance Codes. Een groot verschil is echter de

mate van waarin bestuurders aansprakelijk gesteld kunnen worden. Dit geldt zeker voor de Verenigde

Staten, waar men vrij bestuursvriendelijk is, en Duitsland, waar er een sterke inhoudelijke beoordeling

is. In België zorgt het begrip van de algemeen zorgvuldig bestuurder niet direct voor duidelijkheid;

met betrekking tot de delegatiebevoegdheid, het opzetten van een interne controlestructuur en het

nemen van beslissingen over risicovolle activiteiten, is de kans reëel dat een rechter zich te veel op à

posteriori informatie steunt, of vrij inhoudelijk oordeelt. Het gevaar bestaat namelijk dat, hoewel een

bestuurder op het moment van het nemen van een beslissing mocht vertrouwen op de hem beschikbare

informatie, de rechter vindt dat er toch te veel risico is genomen. Een gedeeltelijke concretisering van

de algemene zorgvuldigheidsnorm is gebeurd door de invoering en verplichting van de Corporate

Governance Code en zijn richtlijnen. Ook de her en der verspreide verplichtingen in het Wetboek van

Vennootschappen scheppen een plicht in hoofde van de raad van bestuur om een ERM-systeem op te

bouwen in de onderneming, minstens om op het topmanagement toezicht te houden dat dit gebeurt.

Om meer rechtszekerheid te verkrijgen kan men in België een variant van de business judgement rule

invoeren. Die zou wel strenger moeten zijn dan in de VS met betrekking tot de bewijslast, maar men

moet er wel voor waken dat er minder inhoudelijk wordt getoetst dan in Duitsland. Strenger oordelen

over risicovollere activiteiten is namelijk niet aangewezen. Een bestuurder is niet aansprakelijk als hij:

- op het moment van de beslissing rationeel handelde;

- zich behoorlijk geïnformeerd;

- de beslissing met de wetenschap van dat moment binnen de risk appetite nam en;

- te goeder trouw was.

In het geval van delegatie van de instelling van een ERM-systeem of toezicht daarop, is een bestuurder

slechts aansprakelijk indien de selectie onzorgvuldig is gebeurd, of wanneer er onvoldoende toezicht is

uitgeoefend of bijstand is verleend.662

Dit is ook zo volgens het COSO Framework.

Strenger oordelen zal het ondernemingsklimaat in België ongunstig beïnvloeden.

662

Art. 524bis, lid 1 W. Venn.

Page 107: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

107

De verduidelijking van Corporate Governance Code door middel van richtlijnen663

is zeker een

positief feit door de duidelijkheid en de verwachtingen die er gesteld worden. Maar uit de praktijk

blijkt dat ondernemingen graag zouden zien dat deze richtlijnen duidelijker worden omtrent

praktijkvoorbeelden en best practices voor de ondernemingen. Ook een duidelijker onderscheid tussen

de verschillende interne controle onderdelen zou wenselijk zijn.664

Deze richtlijnen kunnen wel als (minimum) standaard gebruikt worden bij het oordelen over de

aansprakelijkheid van bestuurders, voornamelijk over de vraag of ze juist geïnformeerd waren over de

mogelijke gevolgen van bepaalde beslissingen en of ze al dan niet te goeder trouw handelden. Op

basis van deze richtlijnen kan de wetgever een aantal criteria invoeren over wat een behoorlijk ERM-

beleid moet zijn.

663

Corporate Governance Commissie, Richtlijnen Interne controle. 664

Corporate Governance Commissie, Publieke consultatie richtlijnen interne controle, p 11.

Page 108: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

108

VI. Bibliografie

Wetgeving

België

Wetboek van vennootschappen van 7 mei 1999 (BS 06.08.1999).

Wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en financiële diensten (B.S.

04-09-2002).

Wet van 6 april 2010 tot versterking van het deugdelijk bestuur bij de genoteerde vennootschappen en

de autonome overheidsbedrijven en tot wijziging van de regeling inzake het beroepsverbod in de bank-

en financiële sector (B.S. 23-04-2010).

K.B. van 14 november 2007 betreffende de verplichtingen van emittenten van financiële producten die

zijn toegelaten tot de verhandeling op een gereglementeerde markt (B.S. 3 dec 2007).

Wetsontwerp tot versterking van het deugdelijk bestuur bij de genoteerde vennootschappen en de

autonome overheidsbedrijven en tot wijziging van de regeling inzake het beroepsverbod in de bank- en

financiële sector, Parl.St, Kamer, 2009-2010, nr 52K2336/001.

Verenigde Staten

US Securities exchange act van 1934 (off. Journal: Pub.L. 73-291, 48 Stat. 881).

US Sarbanes–Oxley Act of 2002 (Pub.L. 107-204, 116 Stat. 745, inwerking getreden July 30, 2002)

(SOX).

Delaware General Corporation Law, Titel 8, Hoofdstuk 1 van het wetboek van Delaware,

http://delcode.delaware.gov/title8/c001/sc04/index.shtml.

Engeland

UK Company Act 2006, Royal Assent 8 November 2006,

http://www.legislation.gov.uk/ukpga/2006/46/pdfs/ukpga_20060046_en.pdf.

Nederland

Boek 2 NBW, met name art. 2:8, 2:9, 2:140 lid 2 en 2:344- 2:359 Nederlands Burgerlijk Wetboek.

Boek 6 NBW, met name art 6:162 NBW.

Kamerstukken II, 2008/09, 31 763, https://zoek.officielebekendmakingen.nl/stb-2011-275., staatsblad

der Nederland, 14 juni 2011, nr 275.

Page 109: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

109

Duitsland

Duits Wetboek van Vennootschappen, Deutsches Aktiengesetz van 6 september 1965,

(Bundesgesetzblatt I S. 1089), http://www.aktiengesetz.de.

Europese Unie

Richtlijn 2004/109/EG van het Europees Parlement en de Raad van 15 december 2004 betreffende de

transparantievereisten die gelden voor informatie over uitgevende instellingen waarvan effecten tot de

handel op een gereglementeerde markt zijn toegelaten en tot wijziging van Richtlijn 2001/34/EG.

Richtlijn 2006/43/EG van het Europees Parlement de Raad van 17 mei 2006 betreffende de wettelijke

controles van jaarrekeningen en geconsolideerde jaarrekeningen, tot wijziging van de Richtlijnen

78/660/EEG en 83/349/EEG van de Raad en houdende intrekking van Richtlijn 84/253/EEG van de

Raad.

Richtlijn 2006/46/ EG van het Europees Parlement de Raad van 14 juni 2006

tot wijziging van de Richtlijnen 78/660/EEG van de Raad betreffende de jaarrekening van bepaalde

vennootschapsvormen, 83/349/EEG van de Raad betreffende de geconsolideerde jaarrekening,

86/635/EEG van de Raad betreffende de jaarrekening en de geconsolideerde jaarrekening van banken

en andere financiële instellingen en 91/674/EEG van de Raad betreffende de jaarrekening en de

geconsolideerde jaarrekening van verzekeringsondernemingen.

Corporate Governance Codes Belgische Corporate Governance Code voor beursgenoteerde ondernemingen van 2009, (Nederlandse

versie) raadpleegbaar op www.corporategovernancecommittee.be .

Belgische Corporate Governance Aanbevelingen voor niet-beursgenoteerde ondernemingen (Code

Buysse II)(Nederlandse versie), raadpleegbaar op www.codebuysse.be.

Duitse Corporate Governance Code (Engelse versie), raadpleegbaar op http://www.corporate-

governance-code.de/eng/kodex/index.html.

Engelse Corporate Governance Code 2010 en de Revised Turnbull Guidance (2005). Beiden te vinden

op http://www.frc.org.uk/corporate/.

Eerste Nederlandse Corporate Governance Code (Code-Tabaksblat 2003), inwerking 2004.

Nederlandse Corporate Governance Code (Code-Frijns 2008),

http://www.commissiecorporategovernance.nl/Corporate_Governance_Code), inwerking getreden 1

januari 2009.

Page 110: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

110

.

Rechtspraak

België

Cass. 7 december 1973, Arr. Cass., 1974, p 395.

Cass. (1e k.) 23 januari 2003 AR C.01.0536.F.

Cass. 19 april 2003, Arr.Cass. 2003, 1055.

Cass. 20 juni 2005, T.B.H., 2006, 418, met noot COIBOIN, A.

Cass. (1e k.) 17 november 2006 AR C.03.0425.N, (S.C. / Belgische Staat en B.M.), JDSC 2008, 147.

TRV 2007, afl. 2, 138 en http://www.cass.be.

Antwerpen (5e k.) 30 januari 2003 nr. 1998/AR/1811, 30 januari 2003 JDSC 2005, 180, noot

DELVAUX, M.

Antwerpen (6e k.) 19 april 2005 NJW 2005, afl. 121, 954, noot DE RAEDT, S.; JDSC 2007, 90, noot

DELVAUX, M; TRV 2005, afl. 5, 338, noot DESCHRIJVER, D.

Antwerpen (5e k.) 2 maart 2006 JDSC 2008 (samenvatting), 189, noot ERNOTTE, M; JDSC 2009, 78;

TRV 2007, afl. 3, 192, noot CLOTTENS, C.

Antwerpen 8 april 2008 RABG 2009, afl. 9, 590, noot COUDER, N.

Brussel, 28 september 1966, J.T., 1967, 91.

Brussel (9e k.) 11 december 2003 nr. 2000/AR/1227, DAOR 2004, afl. 70, 65.

Verenigde staten:

Delaware.

Allis-Chalmers Mfg. Co. 188 A.2d 125 (Del. 1963).

Aronson v. Lewis, 473 A.2d (805) 812 (Del 1984).

Smith v. Van Gorkom, 488 A.2d (858) 872 (Del. 1985).

Grimes v. Donald, Nr. 13358, 1995 WL 54441 (Del 1995).

Caremark International Inc. Derivative Litigation, 698 A.2d (959) 968 (Del. Ch. 1996).

Walt Disney Co. Derivative Litigation 907 A.2d (693) 748 (Del. Ch. 2005).

Stone v. Ritter, 911 A. 2d (362) 370 (Del. 2006).

Brehm v. Eisner, 906 A.2d, (27) 65 (Del. 2006).

Gantler v. Stephens. 965 A.2d 695, 699 (Del. Ch. Sept. 21, 2009).

Citigroup Inc. Shareholder Derivative Litigation, 964 A.2d 106 (Del. Ch. 2009).

Dow Chemical Company Derivative Litigation, C.A. No. 4349-CC (Del. Ch. Jan. 11, 2010).

Overig.

Enron Corporation Securities, Derivative & ERISA Litigation, 235 F. Supp. 2d 511 (S.D. Tex. 2003).

Page 111: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

111

WorldCom Inc. ERISA Litig., 263. F. Supp. 2d 745, 765 (S.D.N.Y. 2003).

Citigroup Inc. Shareholder Derivative Litigation WL 2610746, 6, (S.D.N.Y. 2009).

Engeland:

City Equitable Fire Insurance co ltd, Ch 1925, 428.

Westmid Packing Services Ltd (no 3), BBC 1998, 836.

Barings plc (No 5), BCLC 1999/1, 286.

Bradcrown Ltd, Official Receiver v Ireland BCLC 2001/1 547.

Continental Assurance Co of London plc 2 BCLC 2007/ 2 287.

Lexi Holdings Plc (in administration) v Luqman BCLC, 2008/2, 725.

Nederland:

HR 10 januari 1990 (Ogem Holding N.V.).

HR 10 januari 1997 (Staleman/Van de Ven) NJ 1997, 360.

HR 13 juli 2007 (ABN Amro), NJ 2007, nr 434, raadpleegbaar op www.rechtspraak.nl.

HR 9 juli 2010 (ASM International), raadpleegbaar op www.rechtspraak.nl.

HR 20 juni 2008 (Willemsen/NOM), raadpleegbaar op www.rechtspraak.nl.

OK 21 juni 1979. (Batco Nederland).

OK 6 januari 2005 (Koninklijke Ahold N.V.), raadpleegbaar op www.rechtspraak.nl.

OK 2 januari 2007 (KPNQwest N.V.), r.o. 3.47, raadpleegbaar op www.rechtspraak.nl.

OK 10 juni 2008 (ATR Leasing), JOR 2008/229.

Rechtbank Utrecht, (Ceteco), 171413/ HA ZA 04-34, LJN: BB9709, raadpleegbaar op

www.rechtspraak.nl.

Duitsland:

BGH 14 mei 2007, raadpleegbaar op www.bundesgerichtshof.de.

BGH 1 december 2008, AG 2009, 81, www.bundesgerichtshof.de.

OLG Oldenburg 22 juni 2006, BB 2007, NJW 2003, 358

Rechtsleer:

Boeken:

ASSER, C., (ed.) Handleiding tot de beoefening van het Nederlands burgerlijk recht: de naamloze en

besloten vennootschap, rechtspersonenrecht, de naamloze en besloten vennootschap, 2009, Kluwer,

Utrecht, 1159 p.

ASSINK, B.F., Rechterlijke toetsing van bestuurlijk gedrag: binnen het vennootschapsrecht van

Nederland en Delaware, Kluwer, 2007, Utrecht, 723 p.

Page 112: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

112

ASSINK, B.F., STRIK, D.A.M.H.W., Ondernemingsbestuur en risicobeheersing op de drempel van een

nieuw decennium : een ondernemingsgerechtelijke analyse, Preadvies van de vereeniging

Handelrecht, Deventer, Kluwer, 2009, 397 p.

BAGARIC, M., DU PLESSIS , J-J., MCCONVILL, J., Principles of contemporary corporate governance

Cambridge : Cambridge university press, 2005, 395 p.

BECKMAN, H., BOS, J.A.M., GLASZ, J.R., Bestuur en toezicht: taken, verantwoordelijkheden,

aansprakelijkheden van bestuurders en commissarissen, 1994, Kluwer, Deventer, 426 p.

BENOIT-MOURY, A., TILLEMAN, B. (red), Wetboek vennootschapsrecht: geannoteerd wetboek van

vennootschappen met bijzondere wetgeving, Die Keure, 2003, 1189 p.

BOULANGER, J. -P. , SMETS, D., Publieke en non-profitsector, interne controle en deugdelijk

bestuur: een efficiënter bestuur en meer betrouwbare financiële stromen, (Informatiecentrum voor het

bedrijfsrevisoraat), Brugge, die Keure, 2008, 238 p.

COOLS, K., Controle is goed, vertrouwen is nog beter: over bestuurders en corporate governance,

Assen, Van Gorcum, 2005, 151 p.

DE GEYTER, S., “Organisatieaansprakelijkheid. Toepassing op de toerekening van onrechtmatige

daden van vennootschappen en op de aansprakelijkheid van bestuurders”, onuitg. doctoraatsthesis

2012, Gent, 450 p.

DELVOIE, J., Orgaantheorie in rechtspersonen van privaatrecht, 2010, Intersentia, Antwerpen, 590 p.

DE VALK, S.N., Aansprakelijkheid van leidinggevenden, Kluwer, Deventer, 2009, 654 p.

DE WULF, H., Taak en loyaliteitsplicht van het bestuur in de naamloze vennootschap onuitg.

doctoraatsthesis Rechten U Gent, 2001, Gent, 910 p.

FARRAR, J., Corporate governance : theories, principles, and practice, Melbourne, Oxford university

press, 2005, 549 p.

GREGORY, H, MILLSTEIN, I.(ed), Corporate governance 2008 : board structures and directors’ duties

in 40 jurisdictions worldwide, Londen, Law business research, 2008, 264 p.

Page 113: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

113

HARTLIEF, T., SPIER, J., VAN MAANEN, G.E., VRIESENDORP, R.D., Verbintenissen uit de wet en

Schadevergoeding, Deventer, Wolters Kluwer, 2009, 395 p.

JANSSEN, S., Samenwerking tussen de externe auditor en het auditcomité (eindverhandeling),

Universiteit Hasselt, 2007, 233 p.

LOOS, A.(ed.), Director’s liability, a worldwide review, 2006, Kluwer law international, Alphen aan de

Rijn, 427 p.

MALLIN, C.A.(ed), International corporate governance: a case study approach, Northampton, MA

(VS), Edward Elgar Pub., 2006, 319 p.

SMIT, J., Het drama Ahold, Balans, 2004, Libris Sint Niklaas, 336 p.

STRIK, D.A.M.H.W., Grondslagen bestuurdersaansprakelijkheid, een maatpak voor de board room,

Kluwer, Deventer, 2010, 438 p.

TALEB, N.N., The Black Swan: The Impact of the Highly Improbable, Random House, New York,

2007, 366 p.

VAN LEEUWEN, B.H.A., Beginselen van behoorlijk ondernemingsbestuur, een onderzoek naar de

juridische normering van het besturen van een onderneming, 1990, Kluwer, Deventer, 229 p.

X, Tendensen in het bedrijfsleven, sancties in het bedrijfsrecht – Le droit des affaires en évolution, la

sanction dans la vie de affaires, Anwerpen, Kluwer, 2007, 307 p.

Tijdschriftartikels:

BASSEN, A., PRIGGE, S., ZÖLLNER, C., Behind Broad Corporate Governance Aggregates: A First Look

at Single Provisions of the German Corporate Governance Code, 2008, raadpleegbaar op

www.ssrn.com, SSRN-id965355.

BHAGAT, S EN BLACK, B, The Non-Correlation Between Board Independence and Long Term Firm

Performance, raadpleegbaar op www.ssrn.com, SSRN-id: 133808.

BOWLING, D.M., LAWRENCE A.R., Making Sense of COSO’s New Framework for Enterprise Risk

Management, Bank Accounting & Finance, 2005.

Page 114: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

114

BRANCATO, C.K, HEXTER, E., NEWMAN, K.R., TONELLO, M., The Role of U.S. Corporate Boards in

Enterprise Risk Management (The Conference Board), 2006, raadpleegbaar op www.ssrn.com, SSRN-

id941179.

BRANCATO, C.K, HEXTER, E, Emerging Governance Practices In Enterprise Risk Management, 2007,

raadpleegbaar op www.ssrn.com, SSRN-id963221.

DANET, D., Misère de la corporate governance, Revue international de droit économique, afl. 4, 2008,

407-433.

DE POORTER, I en VAN DER ELST, C., Upgrading Corporate Governance: auditcomités in het wetboek

van vennootschappen, T.R.V. 2009, 397.

DESENDER, K.A., The Influence on Board Composition on Enterprise Risk Management

Implementation, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1025982.

DESENDER, K.A, LAFUENTE, E. (ed.), The influence of board composition, audit fees and ownership

concentration on enterprise risk management,…, raadpleegbaar op www.ssrn.com, SSRN-id1495856.

DE WULF, H., VAN DER ELST, C., VERMEESCH, S.,: Radicalisering van corporate

governanceregelgeving: remuneratie en transparantie na de wet van 6 april 2010,

http://www.law.ugent.be/fli/wps/pdf/WP2010-14.pdf (4 april 2012).

DIAMOND, J., The Role of Internal Audit in Government Financial Management: An International

Perspective, 2002, raadpleegbaar op www.ssrn.com, SSRN-id879645.

EBERLE , D., LÜTZ, S., On the road to Anglo-Saxon Capitalism? German Corporate Governance

regulation between market and multilevel governance, 2007, raadpleegbaar op www.ssrn.com, SSRN-

id988696.

EDWARDS, D.O., An unfortunate "tail": Reconsidering Risk Management Incentives after the financial

crisis of 2007-2009, 2010, University of Colorado Law Review, p 247-307.

GARVIS, D.,JOHNSON, L., Are Corporate Officers Advised About Fiduciary Duties?, raadpleegbaar op

www.ssrn.com, SSRN-id1421410.

Page 115: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

115

GUPTA, P. P. EN LEECH, T, Making Sarbanes–Oxley 404 work: Reducing cost, increasing

effectiveness, 2005, raadpleegbaar op www.ssrn.com, SSRN-id961834.

GUPTA, P. P., Internal Control, COSO 1992 Control Framework and Management Reporting on

Internal Control: Survey and Analysis of Implementation Practices, 2006, raadpleegbaar op

www.ssrn.com, SSRN-id1417604.

HEXTER, S., VAINBERG, G., Publicatie Director Notes: Risk Oversight Practices: Two Succes Stories,

raadpleegbaar op www.ssrn.com, SSRN-id: 1840883.

HOPT, K.J., Comparative Corporate Governance: The State of the Art and International Regulation,

raadpleegbaar op www.ssrn.com, SSRN-id: 1713750.

HOYT, R.E., The Value of Enterprise Risk Management,…, raadpleegbaar op www.ssrn.com, SSRN-

id1440947.

JANNSENS, E., Corporate Governance gelooft nog steeds in zelfregulering, Balans 609, 2009, 5.

JANSSENS, E., Corporate Governance bij KMO”s, nieuwe versie van de Code Buysse, Balans 612,

2009, 3.

JANSSENS, E., Corporate governance: volgt u nog? T.Fin.R. 2009, afl. 4.

JANSSENS, E., Nieuwe Corporate Governance wet eindelijk gepubliceerd, Balans 629, 2010, 3.

MACNEIL, I., LI, X., “Comply or explain”: market discipline and non-compliance with the combined

code, 2005, raadpleegbaar op www.ssrn.com, SSRN-id726664.

MCSHANE, K.M., NAIR.A., RUSTAMBEKOV, A., Does Enterprise Risk Management Increase Firm

Value?, raadpleegbaar op www.ssrn.com, SSRN-id1829027.

MEULBROEK, L.K., Integrated Risk Management for the Firm: A Senior Manager’s Guide, 2002,

raadpleegbaar op www.ssrn.com, SSRN-id301331.

Page 116: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

116

NOCCO, B.W., STULZ, R.M., Enterprise Risk Management: Theory and Practice, 2006, raadpleegbaar

op www.ssrn.com, SSRN-id921402.

PAAPE, L., SPEKLÉ, R.F., The adaption and design of Enterprise Risk Management Practices: An

Empirical Study, raadpeegbaar op www.ssrn.com, SSRN-id1658200.

PAGACH, D., WARR, R., An Empirical Investigation of the Characteristics of Firms Adopting

Enterprise Risk Management, 2007, raadpleegbaar op www.ssrn.com, SSRN-id1010200.

PAGACH, D., WARR, R., The Effects of Enterprise Risk Management on Firm Performance, 2008,

raadpleegbaar op www.ssrn.com, SSRN-id1155218.

PAGE, M., SPIRA, L.F., Risk Management, the reinvention of internal control and the changing role of

internal audit, 2002, raadpleegbaar op www.ssrn.com, SSRN-id483743.

PINTE, F., Art. 528 C.soc, www.jura.be.

ROSEN, R.E., Risk Management and Corporate Governance: The Case of Enron, 2003, raadpleegbaar

op www.ssrn.com, SSRN-id468168.

SABATO, G., Financial crisis, where did risk management fail?,…, raadpleegbaar op www.ssrn.com,

SSRN-id1460762.

SHANER, W.M., Restoring the Balance in Corporate Management: Enforcing an Officer’s Duty of

Obedience, The Business Lawyer, Vol 66, November 2010.

TUCKER,A.M., Who’s the Boss?, Delaware Journal of Corporate Law, Volume 35, 25 februari 2010.

VAN DAELEN, M., VAN DER ELST, C., Risk Management in European and American Corporate Law,

2009, raadpleegbaar op www.ssrn.com, SSRN-id1399647.

VAN DER ELST, C., Economic View on Corporate Law in Europe, 2006, raadpleegbaar op

www.ssrn.com, SSRN-id935013.

VAN DER ELST, C., The Belgian struggle for corporate governance improvements, 2008,

raadpleegbaar op www.ssrn.com, SSRN-id1261448.

Page 117: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

117

VAN DER ELST, C., Belgian Bank Governance before and after the Financial Crisis, 2010,

raadpleegbaar op www.ssrn.com, SSRN-id 1551318.

WINTER, P., Managerial Risk Accounting and Control – A German perspective, raadpleegbaar op

www.ssrn.com, SSRN-id1117205.

SIMKIN, S., RAMIREZ, S.A., Enterprise-Wide Risk Management and Corporate Governance,

raadpleegbaar op www.ssrn.com, SSRN-id1657036 en

http://www1.luc.edu/law/activities/publications/lljdocs/vol39_no3/simkins_ramirez.pdf .

Beursreglementen:

Euronext.

-Euronext N.V., Informatievademcum, april 2009,

https://europeanequities.nyx.com/en/regulation/brussels.

-Euronext Rule Book II: Specifieke regels voor Euronext Amsterdam, datum van inwerkingtreding: 1

juli 2009, https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/Rule_Book_II_-

_General_Rules_for_the_Euronext_Amsterdam_Stock_Market.pdf.

-Euronext Londen: Euronext Rule Book II: Specifieke regels voor Euronext London, datum van

inwerkingtreding: 1 juni 2010,

https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/Rule_Book_II_-

_General_Rules_for_the_Euronext_Amsterdam_Stock_Market.pdf.

-Euronext Rule Book Book II: Specifieke regels voor Euronext Brussels (23 augustus 2010),

inwerkingtredingdatum: 13 september 2010

https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/Specifieke_regels_voor_Eurone

xt_Brussels_datum_van_inwerkingtreding_-_13_september_2008.pdf.

-Euronext Rule Book Book I: Geharmoniseerde regels, 16 mei 2011,

https://europeanequities.nyx.com/sites/europeanequities.nyx.com/files/643005.pdf.

-Reporting obligations Euronext: https://europeanequities.nyx.com/nl/listings/reporting-obligations.

London Stock Exchange.

-London Stock Exchange: http://www.londonstockexchangegroup.com/corporate-

responsibility/corporate-governance/corporate-governance.htm.

- Rules of the London Stock Exchange, http://www.londonstockexchange.com/traders-and-

brokers/rules-regulations/rules-lse.pdf. datum van inwerkingtreding 1 februari 2012;

- FSA Handbook, http://fsahandbook.info/FSA/html/handbook/LR.

Page 118: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

118

NASDAQ.

-NASDAQ: Regulatory Requirements (juli 2010) en de NASDAQ listing rules op

http://nasdaq.cchwallstreet.com/NASDAQTools/PlatformViewer.asp?selectednode=chp%5F1%5F1%

5F4%5F2&manual=%2Fnasdaq%2Fmain%2Fnasdaq%2Dequityrules%2F.

-Regelverk för emittenter NASDAQ OMX Stockholm, 1 februari 2012, 2.4.3,

http://nasdaqomx.com/digitalAssets/77/77308_nasdaq_omx_stockholms_regelverk_for_emittenter_20

12_02_01.pdf, Engelse versie te vinden op:

http://nasdaqomx.com/listingcenter/europe/rulesandregulations/.

NYSE.

NYSE Listed Company Manual, http://nysemanual.nyse.com/LCM/Sections/.

-Listing Standards – U.S. Standards” op http://usequities.nyx.com/regulation/listed-companies-

compliance/listings-standards/us en

http://nysemanual.nyse.com/LCMTools/PlatformViewer.asp?searched=1&selectednode=chp_1_2_2&

CiRestriction=102&manual=/lcm/sections/lcm-sections/.

-NYSE Corporate Governance Guidelines, http://usequities.nyx.com/regulation/listed-companies-

compliance/financial-compliance.

Securities and Exchange Commission.

-SEC Implements Internal Control Provisions of Sarbanes-Oxley Act; Adopts Investment Company

R&D Safe Harbor, 27 mei 2003

(http://www.sec.gov/news/press/2003-66.htm) (30 december 2011).

- Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure

in Exchange Act Periodic Reports, http://www.sec.gov/rules/final/33-8238.htm#ia (8 maart 2012).

- SEC-Rule 33-8238, Final Rule: Management's Report on Internal Control Over Financial Reporting

and Certification of Disclosure in Exchange Act Periodic Reports, http://www.sec.gov/rules/final/33-

8238.htm

Publicaties:

American Bar Association

Model Business Corporation Act, 3e editie,

http://law.jnu.edu.cn/blaw/kyyd/UploadFiles_3666/200705/20070518014549792.pdf.

Corporate Governance Commissie

- Publieke consultatie van de Corporate Governance Commissie mbt interne controle van 2012,

http://www.corporategovernancecommittee.be/library/documents/Interne%20controle/2011%2001%2

010_Interne%20Controle_%20NLdoc.pdf .

-Interne controle en risicobeheer –Richtlijnen in het kader van de wet van 6 april 2010 ,

Page 119: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

119

http://www.corporategovernancecommittee.be/library/documents/Interne%20controle/2012.01.13_res

ultaten%20publieke%20raadpleging%20(clean%20version).pdf.

Committee of Sponsoring Organizations of the Treadway Commission.

-COSO’s Integrated Framework 2004, 114 p.

-COSO: Risico management van de onderneming, Geïntegreerd raamwerk (Enterprise Risk

Management Integrated Framework (ERM), Management samenvatting, 2004, raadpleegbaar op

www.COSO.org;

-Strengthening Enterprise Risk Management for Strategic Advantage, 2009, raadpleegbaar op

www.COSO.org.

-Embracing Risk Management, Practical Approaches for Getting Started,

http://www.coso.org/documents/EmbracingERM-GettingStartedforWebPostingDec110_000.pdf (3

april 2012) -Developing Key Risk Indicators to Strengthen Enterprise Risk Management

http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110_000.pdf (3 april

2012).

Europese Unie

- Europese Commissie, Mededeling van de Commissie van 21 mei 2003 aan de Raad en het Europees

Parlement - Modernisering van het vennootschapsrecht en verbetering van de corporate governance in

de Europese Unie - Een actieplan / COM/2003/0284 def./, http://eur-

lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52003DC0284:NL:HTML

-Europese Commissie, COM(2010) 284, 2 juni 2010, Groenboek Corporate governance in financiële

instellingen en het beloningsbeleid, http://eur-

lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0284:FIN:NL:PDF

Financial Reporting Council

- The Cadbury Report (The Financial Aspects of Corporate Governance), 1 december 1992.

- Boards and Risk, A summary of discussions with companies, investors and advisers, September

2011, http://www.frc.org.uk/images/uploaded/documents/Boards%20and%20Risk%20final.pdf (5

maart 2012).

IPPF-Standards

International Standards for the Professional Practice of Internal Auditing, www.theiia.org.

Nederlandse Corporate Governance Comissie

Monitoring Commission Corporate Governance, Rapport over de evaluatie en actualisering van de

Nederlandse corporate governance code, June 2008

(http://www.commissiecorporategovernance.nl/page/downloads/review_rapport_0107.pdf).

Page 120: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

120

OESO

-“Directorate for Financial and Enterprise Affairs OECD Steering Group on Corporate Governance

Paper: Corporate Governance and the Financial Crisis, Conclusions and emerging good practices to

enhance implementation of the Principles 2010”, 24 feb 2010,

(www.oecd.org/dataoecd/53/62/44679170.pdf).

- The Role of the Stock Exchanges in Corporate Governance 2009:

http://www.oecd.org/document/49/0,3746,en_2649_34813_31530865_1_1_1_1,00.html.

-OECD Principles of Corporate Governance, 2004, www.oecd.org/dataoecd/32/18/31557724.pdf .

-The Corporate Governance Lessons from the Financial Crisis, 2009, KIRKPATRICK G.

http://www.oecd.org/dataoecd/32/1/42229620.pdf.

-Board Practices: Incentives and Governing Risks, Corporate Governance, 2011

http://dx.doi.org/10.1787/9789264113534-en en http://www.oecd.org/dataoecd/33/21/49081438.pdf.

- OECD Guidelines for Multinational Enterprises, 2011, http://dx.doi.org/10.1787/9789264115415-

en.

- Policy Brief Principles of Corporate Governance, www.oecd.org/dataoecd/41/32/33647763.pdf (27

febrauri 2012), p 3, Box 1.

FSMA:

De eerste verklaringen inzake deugdelijk bestuur: opvolgingsstudie van Studie nr. 38. Studie nummer

40, september 2011.

- Circulaire FSMA/2012_01, Verplichtingen van op een gereglementeerde markt genoteerde

emittenten, http://www.fsma.be/~/media/Files/circinfo/NL/gv/info/fsma_2012_01.ashx.

ISO:

-Over Automotive Supply Chain management :

http://www.iso.org/iso/iso_catalogue/management_standards/specific_applications/specific-

applications_automotive.htm.

-New ISO/IEC standard on risk assessment complements risk management toolbox, 28 jan 2010,

http://www.iso.org/iso/pressrelease.htm?refid=Ref1288 (29 feb 2012).

-ISO 31000 and the Icelandic volcano crisis, Knight, K., http://www.iso.org/iso/iso-magazines/iso-

focus-plus_index/iso-focusplus_online-bonus-articles/isofocusplus_bonus_iso31000-icelandic-

volcano-crisis.htm (20 feb 2012).

VBO-feb:

Publicatie VBO-feb: Onderzoek naar de naleving van de Belgische Corporate Governance Code

2009 bij de BEL 20 ondernemingen, boekjaar 2010, http://vbo-

feb.be/media/uploads/public/_custom/Dossier/CorporateGovernance/GubernaVBOstudie2011_Execut

ivesummary.pdf (20 feb 2012).

Page 121: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

121

Standard & Poor’s:

http://www.standardandpoors.com/ratings/erm/en/us;

-Enterprise Risk Management: More Important, But Still No Panacea,

http://www.nact.org/sponsorPubs/S&P_ERM_No_Panacea.pdf (16 feb 2012).

- Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008,

http://www.standardandpoors.com/servlet/BlobServer?blobheadername3=MDT-

Type&blobcol=urldata&blobtable=MungoBlobs&blobheadervalue2=inline%3B+filename%3DCorpor

ate_SP_to_Apply_ERM_05_07_2008.pdf&blobheadername2=Content-

Disposition&blobheadervalue1=application%2Fpdf&blobkey=id&blobheadername1=content-

type&blobwhere=1243723417198&blobheadervalue3=UTF-8.

-Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings, 7 mei 2008,

http://www.nact.org/sponsorPubs/S&P_Enterprise_Risk_Management.pdf.

Nieuws/kranten/e.d: -BBC: http://news.bbc.co.uk/2/hi/7615931.stm (3 april 2010).

-De Standaard zat 25 feb 2012, p 67, dagblad, Bekaert bekomt van zonneslag.

-EU Business, “EU disagrees with airlines' criticism over airspace closure”,

http://www.eubusiness.com/news-eu/iceland-volcano.478.

-Beursduivel, www.beursduivel.be/encyclopedie/term/Institutionele+belegger.

-MUFSON , S., GM's New Escape Route: Partial Nationalization, Washington Post, 28 April 2009,

http://www.washingtonpost.com/wp-dyn/content/article/2009/04/27/AR2009042700872.html (4 april

2012).

-SCHÄFER, D., The champion of a new culture of control, Financial Times, 1 October 2008,

http://www.ft.com/cms/s/0/b9fc29e6-8e80-11dd-9b46-0000779fd18c.html#axzz1qzm9WGOZ (3 april

2012).

-TOMIĆ, T., Alle partijen willen onderzoek VDM, VEB Effect, 3 april 2010, p 7-8.

-Volvo Cars Official,

http://www.volvocars.com/nl-be/top/about/news-events/pages/default.aspx?itemid=68 (4 april 2012).

Corporate Governance BEL-20 ondernemingen. Corporate Governance verklaring AB-Inbev, bijgevoegd bij het jaarverslag over 2011, raadpleegbaar

op http://www.ab-inbev.com/go/investors/reports_and_publications/annual_and_hy_reports.cfm.

Corporate Governance verklaring Delhaize NV, bijgevoegd bij het jaarverslag over 2011,

raadpleegbaar op http://www.delhaizegroup.com/nl/BeleggersCenter.aspx.

Corporate Governance verklaring Umicore NV, bijgevoegd bij het jaarverslag over 2011,

raadpleegbaar op http://www.umicore.com/investorrelations/en/.

Page 122: Masterproef van de opleiding ‘Master in de rechten’...management (ERM)—both as a philosophy and a discipline—is becoming a necessity, not an option. 4 S. D E G EYTER , ^Organisatieaansprakelijkheid.

Sonny Saeij, 20050888, Thesis: Enterprise Risk Management en de raad van bestuur

122

Jaarverslag 2011 Umicore,

http://www.umicore.com/reporting/Home/FullPDF/show_AR2011_NL.pdf.