De voorstellen die de Monitoring Commissie Corporate Governance Code eerder dit jaar deed om de Code te actualiseren, gaan veel organisaties niet ver genoeg. Onder meer de NBA, Eumedion en BDO hadden dergelijke kritiek. Cm: zet enkele belangrijke punten op een rij.
Tijdens de consultatie op de actualisatievoorstellen is instemmend gereageerd op een aantal voorzetten, maar er is ook duidelijke kritiek. Dat komt er meestal op neer dat de Code wordt bijwerkt naar in de markt heersende ideeën, maar verder niet ambitieus is of achterblijvers stimuleert om zich aan te passen aan best practices. Hier enkele punten van de Code die volgens praktijkdeskundigen voor verbetering vatbaar zijn.
Verklaring omtrent risicobeheersing (VOR)
Accountantsorganisatie BDO noemt het een ‘gemiste kans’ dat de aanbeveling van de Commissie toekomst accountancysector (Cta) om een Verklaring omtrent risicobeheersing (VOR) in te voeren niet is overgenomen in de actualisatievoorstellen van de Corporate Governance Code. De Cta voerde een analyse uit op in control statements in de VS en het VK en concludeerde dat een bestuur er goed aan zou doen een verklaring af te geven over welke risicobeheersingssystemen worden ingezet om operationele-, compliance-, en verslaggevingsrisico’s te beperken.
Dat zijn in de huidige Code vrijblijvende bepalingen die zich beperken tot financiële risico’s. ‘Hier zou ook een meer duidelijke rol voor de accountant passen om zekerheid te verschaffen met betrekking tot deze verklaring van bestuur omtrent risicobeheersing,’ meent BDO.
Ook branchevereniging NBA zegt absoluut een meerwaarde te zien in een VOR voor ondernemingen. ‘In dat licht betreuren wij het dat, ondanks de genoemde positieve aanbeveling door de minister van Financiën, de hierop betrekking hebbende aanbeveling van de Commissie toekomst accountancysector (Cta), verder uitgewerkt door de Universiteit Leiden, niet is overgenomen in de actualisatievoorstellen,’ schrijft het bestuur van de NBA in een reactie.
Risicobeheersing verder actualiseren
Bij dat sentiment sluit Eumedion zich ook aan. De beleggersbelangenorganisatie betreurt het dat risicobeheersing alleen op de interne auditfunctie is geactualiseerd. Minister Hoekstra van Financiën had daar de commissie wel om gevraagd naar aanleiding van de bevindingen omtrent risicobeheersing in een rapport van de universiteit Leiden. ‘De verantwoording over risicobeheersing is een cruciaal onderdeel van de Code,’ schreef toenmalige demissionair minister van Financiën in een Kamerbrief. ‘Ik heb er vertrouwen in de Commissie dat zij ervoor zorg draagt dat de Code op dit punt relevant en actueel blijft.’
De in control statement richt zich op financiële verslaggevingsrisico’s en volgens de organisatie is daarin in de 19 jaar dat de Code bestaat nooit iets verandert. ‘Als de aanbevelingen uit [het Leidense rapport] door de Monitoring Commissie te controversieel worden bevonden om in de Code op te nemen, dan rest de minister waarschijnlijk niet anders dan om die aanbevelingen in wetgeving om te zetten,’ reageert Eumedion.
Duurzaamheid ambitieuzer insteken
Een klacht die veel terugkeert is dat de Code gelijk is getrokken met Europese regelgeving en weinig ambitieus is. De CSRD en CSDD gaan zelfs verder dan wat de actualisatievoorstellen beogen. ‘Eumedion meent dat de desbetreffende voorstellen min of meer de bestaande marktpraktijk (‘common practice’) codificeren in plaats van dat zij de ‘middengroep’ en achterblijvers van beursondernemingen stimuleren om zich op te trekken aan de ‘best practices’ in de markt; het oorspronkelijke doel van de Code.’ De Raad voor de Jaarverslaggeving adviseert juist om op een aantal punten te verwijzen naar de gedetailleerde bepalingen van richtlijnen als de CSRD.
Speciale aandacht IT-beveiliging
BDO vraagt zich af waarom er geen aandacht is besteed aan digitalisering en cybersecurity. Dit zou expliciet moeten worden benoemd in de sectie over risicobeheersing. ‘Uit alle onderzoeken naar impactvolle risico’s bij organisaties staat cybercrime bij de toprisico’s als bedreiging voor continuïteit en reputatieschade. Dit toont aan dat het bestuur van een vennootschap er niet aan ontkomt om cybersecurity te integreren in het bestaande interne beheersings- en risicosysteem van de vennootschap.’
Communicatie RvC
Verder moet de communicatie van de Raad van Commissarissen over de selectie van de accountant worden verbeterd, zo reageert de NBA. Ook dit was een punt van de Cta dat de branchevereniging niet terugziet in de actualisatievoorstellen. ‘De NBA onderschrijft deze aanbevelingen van de Cta en dringt aan op verwerking in de Code. Met name de communicatie over de bevindingen van de accountant komt tegemoet aan de informatiebehoeften van meerdere stakeholders.’
