Door prof. dr. F.B.M. Kunneman
Corporate governance, je wordt er doodziek van. Te pas en te onpas wordt in de overheid en in het bedrijfsleven verwezen naar beginselen van good corporate governance. Meestal is dat om aan te tonen dat de manier waarop een ander met bedrijfsvoering omgaat, niet deugt. Zelf past men die beginselen natuurlijk wél goed toe. Maar waar het bij good corporate governance uiteindelijk echt om draait, dat blijft vaak onduidelijk. Corporate governance is een containerbegrip, dat op veel verschillende situaties wordt toegepast en op veel manieren wordt uitgelegd.
Hetzelfde geldt voor de term ‘risicomanagement’. Ook een containerbegrip. En je komt het tegenwoordig net zo vaak tegen als corporate governance. Op donderdag 8 december 2016 (precies een week na de Dag van het Commissariaat - met als onderwerp ‘risicomanagement’ - op Curaçao!) wordt in Nederland de nieuwe Code Corporate Governance gepubliceerd. In deze vernieuwde code is expliciet meer aandacht voor risicomanagement en voor de verantwoordelijkheden van het bestuur en de Raad van Commissarissen op dit gebied. Ook in de financiële sector, bij banken, verzekeringsmaatschappijen en pensioenfondsen wordt door de toezichthouders, de centrale banken, heel goed gekeken naar de manier waarop het risicomanagement wordt ingevuld. Dat is wel koddig, als je bedenkt dat het helemaal niet zo duidelijk is wat risicomanagement inhoudt. Je wordt dus beoordeeld en afgerekend op iets waarvan de meeste bestuurders en toezichthouders niet zo heel erg veel benul hebben. Dat is pas risicomanagement maar niet heus!
Ik zal u niet vermoeien met allerlei definities van risicomanagement. Ik noem wel een paar opmerkelijke aspecten. Ten eerste: elke vorm van management, goed of slecht, autoritair of juist uit de losse pols, is een vorm van risicomanagement. Alle management is risicomanagement. Zonder risico’s te nemen kun je niet managen. Ten tweede: risicomanagement is iets volledig anders dan risicovermijding. Daarover bestaan met name bij Raden van Commissarissen vaak ernstige misverstanden. Goed management en goed toezicht houdt beslist niet in dat je directierisico’s moet vermijden. Je ziet regelmatig dat commissarissen uit (een veelal ongefundeerde) angst voor aansprakelijkheden het bestuur krampachtig controleren. Niet doen! Ten derde: risicomanagement is iets anders dan als een pietje-precies alle risico’s in kaart brengen en dan de illusie hebben dat je niet voor verrassingen komt te staan.
Risicomanagement gaat vooral om bewustzijn van risico’s en kansen bij het nemen van beslissingen. Soms zijn die risico’s en kansen goed in kaart te brengen, soms niet. Dat je daar oog voor hebt, staat op de eerste plaats. Dát is risicomanagement. En daarmee is meteen de rol voor de Raad van Commissarissen duidelijk: die moet verifiëren of het bestuur zich bewust is van de risico’s en de kansen die bepaalde beleidsvoornemens in zich hebben. Dat doe je niet door instructies te geven of door belemmeringen op te werpen. Dat doe je door vragen te stellen. Wat zijn de prioriteiten? Welke impact op de bedrijfsvoering hebben bepaalde beleidsvoornemens? Hoeveel risico wilt u dragen (‘risk appetite’)? Welke kansen worden gecreëerd? Als het bestuur redelijke antwoorden heeft op dit soort vragen, dan moet het vervolgens ongestoord zijn werk kunnen doen. De risico’s kun je dan op de koop toe nemen.
Prof. dr. F.B.M. Kunneman is senior partner bij advocatenkantoor VanEps Kunneman VanDoorne en hoogleraar Corporate Governance aan de UoC. Hij leidt het team dat adviseert over corporate governance. Hij schrijft en doceert al decennia over dit onderwerp.