Categorie: corporate governance
Onderwerp: risicoregisters en bestuursverklaring
Regelgeving: de Nederlandse corporate governance-code

Vraag

Vanuit ons projectadviesbureau werken wij met name voor grote ondernemingen in de bouw, infrastructuur en oil & gas. Op sommige van deze ondernemingen is de Nederlandse corporate governance-code (Tabaksblat/Frijns) van toepassing, en in het bijzonder de best practice-bepalingen II.1.4 en II.1.5 betreffende de risicobeheersings- en controlesystemen. Bij deze ondernemingen komen we tegen dat men binnen de grote (bouw)projecten een uitgebreid risicoregister onderhoudt, gericht op de belangrijkste financiële, tijdgebonden, veiligheids- en kwaliteitsrisico's binnen het project. Er ontbreekt echter een directe relatie tussen het risicomanagement binnen de projecten en de rapportage over strategische risico's en risicobeheersing die men vanuit corporate governance verplicht is.

Op welke wijze dienen de gerapporteerde risico's conform de Nederlandse corporate governance-code bij projectgestuurde ondernemingen voort te vloeien uit de risicoregisters van de projecten uit de projectportpolio? 

Antwoord

Er bestaan voor Nederlandse beursgenoteerde ondernemingen geen harde normen voor de wijze waarop projectrisicoregisters zijn gekoppeld aan de corporate governance-verklaring van het bestuur. De Nederlandse code is principle based. Op basis van best practice-bepaling II.1.4 dient het bestuur in het jaarverslag een beschrijving te geven van de belangrijkste risico's gerelateerd aan de strategie van de vennootschap. Daarnaast dient het bestuur ten aanzien van financiële verslaggevingsrisico's in het jaarverslag te verklaren dat de risicomanagementsystemen een redelijke mate van zekerheid geven dat die systemen naar behoren hebben gewerkt. Deze verklaring dient een onderbouwing te hebben (zie best practice-bepaling II.1.5).

In de toelichting op de Code Tabaksblat/Frijns valt nog het volgende te lezen: "... de vennootschap neemt in haar jaarverslag een beschrijving op van de voornaamste risico's waarmee zij in aanraking komt bij de uitvoering van haar strategie. Het gaat daarbij niet zozeer om een uitputtende uiteenzetting van alle mogelijke risico's, maar om een weergave van de belangrijkste risico's waarvoor de vennootschap zich geplaatst ziet: strategische en operationele risico's, financiële risico's, wet- en regelgevingsrisico's en financiële verslaggevingsrisico's."

Aangenomen mag worden dat de in risicoregister vastgelegde risico's, voor zover die vallen onder de definitie zoals vastgelegd in de Nederlandse corporate governance-code, worden beschreven in het jaarverslag.