‘Gaat u maar rustig slapen’
De actualisering van de Nederlandse Corporate Governance met de verklaring omtrent risicobeheer (VOR) biedt commissarissen een nuttig instrument voor een dialoog over risico’s in de board. Maar wees alert op schijnzekerheid en houd een open oog voor zwarte zwanen.
De nieuwe Monitoring Commissie was nog maar net geïnstalleerd, of er volgde al een actualisering van de Corporate Governance Code. De belangrijkste wijziging is het opnemen van de verklaring omtrent risicobeheersing (VOR) in het Handboek Soldaat voor goed bestuur. De nieuwe bepalingen met betrekking tot de VOR zijn van toepassing vanaf het boekjaar beginnend op of na 1 januari 2025. De VOR moet stakeholders meer transparantie bieden over de beheersing van operationele, compliance- en verslagleggingsrisico’s bij beursgenoteerde bedrijven.
Zonder consultatie
De actualisering van de Code met de VOR is op ‘expliciet verzoek van de schragende partijen’ (CNV, Eumedion, Euronext, VEB, VEUO en VNO-NCW – vakbond FNV stapte tussentijds op) en er was haast bij, volgens het begeleidende nieuwsbericht: ‘In de periode voorafgaand aan de benoeming hebben schragende partijen de Commissie meermaals verzocht om bij uitzondering zo snel mogelijk na benoeming het VOR-voorstel zonder nadere consultatie te integreren in de Code.’ Getuigt dat wel van goed bestuur?
Scherpe randjes bijvijlen
Aan eerdere aanpassingen van de Code ging altijd wél een consultatieperiode vooraf, waarin de betrokken governancepartijen zich konden uitspreken over de voorgestelde wijzigingen en hun wensenlijstje of veto bij de commissie konden neerleggen. Vervolgens werden de scherpe randjes bijgevijld, waardoor de herziene of geactualiseerde code vaak een (sterk) afgezwakte versie vormde van de oorspronkelijke ambitie om de governance naar een hoger plan te trekken en te laten mee-ademen met ontwikkelingen in de maatschappij.
Trumpiaanse snelheid
De VOR is echter met Trumpiaanse snelheid ingevoerd. In gedachten zien we Rob van Wingerden, de voorzitter van de Monitoring Commissie achter een figuurlijke Resolute Desk in het Governance House zitten om het ‘decreet’ te ondertekenen. En dat terwijl er eerder heel wat gemor was over de VOR. De vorige Monitoring Commissie, onder voorzitterschap van Pauline van der Meer Mohr, sprak in 2022 met alle schragende partijen (toen nog mét FNV) over opname van de VOR in de code, maar wist geen overeenstemming te bereiken. In april 2023 werd de motie De Jong/Van Weyenberg over de VOR door de Tweede Kamer aangenomen.
Alle kikkers in de kruiwagen
In het interbellum tussen twee Monitoring Commissies is een werkgroep onder voorzitterschap van Jaap van Manen (zelf oud-commissievoorzitter) aan de slag gegaan met het VOR-voorstel. Ook accountantskoepel NBA maakte deel uit van de werkgroep. Van Manen wist alle kikkers in de kruiwagen te houden: in december 2023 kon een voorstel voor opname van een VOR in de Code aan de minister van Financiën worden gestuurd, ondertekend door de vertegenwoordigers van alle schragende partijen en de NBA.
‘Moet beschikken over hoge frustratietolerantie’
Vervolgens was het wachten op de benoeming van een nieuwe Monitoring Commissie. Dat duurde lang. Allereerst werd er een evaluatie uitgevoerd naar de toekomstbestendigheid van het corporate governance stelsel: had de code als instrument van zelfregulering nog wel bestaansrecht? Hieruit kwam uiteindelijk naar voren ‘dat de Code breed gedragen wordt en bijdraagt aan de kwaliteit van ondernemingsbestuur en duurzame lange termijn waardecreatie’. Vervolgens moest er een nieuwe commissievoorzitter gevonden worden. Dat bleek een moeizaam en tijdrovend proces. Geen wonder, want die rol vraagt om een zeer hoge frustratietolerantie, zoals Van der Meer Mohr kan getuigen. De schragende partijen – vertegenwoordigd in de commissie – stelden zich in het verleden regelmatig op als ‘zagende partijen’. De uiteindelijke eendracht voor de VOR is een uitzondering, net als dus het ontbreken van die consultatie.
‘Geen onjuistheden van materieel belang’
Met de aanpassingen in de Code moet het bestuur van de onderneming in het bestuursverslag verklaren dat interne risicobeheersings- en controlesystemen ten minste een beperkte mate van zekerheid geven dat de duurzaamheidsverslaglegging geen onjuistheden van materieel belang bevat en welk niveau van zekerheid deze systemen geven dat de operationele en compliancerisico’s effectief worden beheerst. In het verslag van de auditcommissie aan de raad van commissarissen moet onder meer in ieder geval worden vermeld hoe de verklaring van het bestuur omtrent het risicobeheer is onderbouwd (1.5.3/iv).
Bevraag bestuur over ‘mate van zekerheid’
Moeten commissarissen blij zijn met de VOR? Martijn de Jong, Corporate Governance specialist bij EY, en host van een eerder GU-webinar over de VOR typeerde het tijdens die kennissessie als een nuttig instrument: ‘Zowel bestuur, toezicht, audit, accountant en andere stakeholders, gaan erdoor eerder met elkaar in gesprek over risico’s, zodat we met z’n allen stappen voorwaarts maken.’ Daarbij ligt er een belangrijke rol voor commissarissen, gaf De Jong aan: ‘Commissarissen moeten het bestuur bevragen over de keuzes die zij maken, bijvoorbeeld wat betreft de “mate van zekerheid” van voorspellingen. Ik zie dat risk en internal audit-afdelingen de VOR omarmen omdat ze daarmee zelf ook weer stappen kunnen zetten in risicobeleid en monitoring. Het helpt hen echt.’
Is VOR onderbouwd?
Dat geldt ook voor de toezichthouders zelf, stelde De Jong tijdens het VOR-webinar: ‘Ik denk dat de VOR en een vorm van in control zijn de commissaris helpt bij het verhogen van het kennisniveau over risico. Zeker ook omdat de Code vraagt om een duidelijke onderbouwing van de VOR door het bestuur. De onderbouwing moet zodanig zijn dat de commissaris er comfortabel mee is. Daardoor worden stappen gezet in de hele keten, bestuur, commissaris (audit commissie), accountant en aandeelhouder. Dat is precies het doel van de VOR.’
Strategische risico’s buiten scope
Maar tijdens het VOR-webinar plaatste De Jong ook een kanttekening. De VOR beperkt zich tot de beheersing van operationele, compliance- en verslagleggingsrisico’s: strategische risico’s zijn buiten beeld gelaten. ‘Die koppeling tussen VOR en strategie is tijdens het “polderoverleg” erover uit de VOR verdwenen, terwijl het wel raakvlakken heeft met bijvoorbeeld duurzaamheid en finance, zeker gezien het overkoepelende thema van de Code: een strategie gebaseerd op duurzame lange termijn waardecreatie.’ Kijk, daarover hadden tijdens een reguliere consultatieperiode nog wel wat harde noten kunnen worden gekraakt, als daarvoor gelegenheid was geweest.
Fall-out van importheffingen
Je kunt dus ook nog een andere vraag stellen bij de VOR: hoe nuttig en waardevol is zo’n verklaring eigenlijk als de wereld overnight kan veranderen en externe factoren de continuïteit plotseling onder druk zetten of zelfs ernstig bedreigen. Kijk naar de maatregelen waarmee VS-president Trump de mondiale handelscontext op zijn kop heeft gezet en de fall-out daarvan voor het bedrijfsleven. Oké, de soep lijkt uiteindelijk niet zo heet te worden gegeten als deze werd opgediend: de aangekondigde Amerikaanse importheffingen – 20% voor de EU – zijn nu voor een onderhandelpauze van negentig dagen teruggebracht naar 10%.
Rvc-commissie voor geopolitiek?
Geopolitiek staat inmiddels hoog op elke boardagenda, zo kwam ook naar voren uit rondetafeldiscussies van EY met circa zeventig commissarissen van grote organisaties (zie ook het artikel elders in deze GU). Sommige raden van commissarissen bleken de vorming van een speciale commissie voor geopolitiek te overwegen, de meerderheid van de aanwezige commissarissen oordeelde echter dat het strategische belang van het thema vraagt om een plenaire discussie in de voltallige rvc.
De genoemde best practices voor rvc’s: agendeer scenarioplanning, bespreek met het bestuur de impact op de onderneming van geopolitieke ontwikkelingen, zoals de Amerikaanse importheffingen en zakendoen met China, maar stel óók de vraag: welke nieuwe kansen ontstaan er in de Europese markt? De commissarissen drongen tijdens de rondetafeldiscussies aan op flexibilisering van de bedrijfsvoering: de strategie opnieuw tegen het licht houden, activiteiten diversifiëren en supplychains herzien langs de geopolitieke as, zowel qua afzetmarkt, als qua productielocaties, toeleveranciers en onderzoek & ontwikkeling.
Schijnzekerheid
Terug naar de VOR: strategische risico’s vallen dus buiten de scope. Bestuurders en toezichthouders lopen het risico door de nieuwe risicobepalingen in de code vooral gericht te zijn op het voeren van stukjes brood aan de gedomesticeerde witte zwanen in de vijver. Dat kan een schijnzekerheid bieden aan zowel boards zelf als de externe stakeholders aan wie ze verantwoording moeten afleggen: ‘Gaat u maar rustig slapen.’
Zwarte zwaan
Erger nog: het kan leiden tot te weinig oog hebben voor en compleet verrast worden door het plotseling neerstrijken van een roofzuchtige zwarte zwaan. Zoals die ene druk snaterende zwaan met dat kenmerkende kuifje, die de hele corporate vijver in beroering brengt met één streek van zijn vlerk. Hoe relevant is dan nog de verklaring van het bestuur – onder toezicht van de rvc – dat de interne risicobeheersings- en controlesystemen een redelijke, cq beperkte mate van zekerheid bieden dat de verslaggeving geen onjuistheden van materieel belang bevat? Verslaglegging is altijd achteraf: de focus ligt op terugkijken, in plaats van vooruitkijken. Juist met dat laatste kan een goede raad van commissarissen verschil maken in de huidige mondiale instabiliteit.