9.8 Beantwoording van de onderzoeksvraag

Aan het slot van deze paragraaf kom ik terug bij de onderzoeksvraag, zoals geformuleerd in de inleiding van hoofdstuk 8: op welke wijze kan de hoogte van de drempel voor aansprakelijkheid van bestuurders voor falend risicomanagement worden bepaald?

Het zal niet verbazen dat er geen eenduidig antwoord op deze onderzoeksvraag is te geven in termen van een exacte meting. Wel zijn er in hoofdstuk 8 en 9 een aantal contouren van die drempel geschetst. Allereerst is daarbij de risicofilosofie van de Nederlandse rechtsorde voor wat betreft ondernemersrisico's en aansprakelijkheid van belang. Daaruit volgt dat die drempel voor aansprakelijkheid van bestuurders hoog moet zijn, omdat de samenleving niet is gediend met regelgeving die hen stimuleert om steeds de voorkeur te geven aan risicomijdende beslissingen met weinig economisch voordeel. Dat is het algemene uitgangspunt.

Belangrijk tweede gezichtspunt daarbij is dat beslissingen van deze organen niet moeten worden beoordeeld aan de hand van de uitkomst van die beslissingen. Bestuurders hebben de door mij als kritische faalfactoren voor bestuursbeslissingen omschreven omstandigheden (psychologische, externe en interne factoren) immers niet altijd in de hand. Bovendien is het lastig voor rechters om daarover een volstrekt objectief oordeel te vormen, onder meer door de hindsight bias en curse of knowledge, waardoor hun beslissingen kunnen worden beïnvloed door kennis over feiten die zich hebben voorgedaan nadat de bestuurders hun beslissingen namen. De enkele verwezenlijking van een risico die tot een verlies leidt, rechtvaardigt niet noodzakelijkerwijs de conclusie dat er sprake is geweest van falend risicomanagement. Bij rechterlijke toetsing zullen derhalve in principe de gevolgde procedures en logica van de besluitvorming centraal staan.

Vervolgens heb ik in mijn analyse weergegeven dat er in dit verband eigenlijk niet kan worden gesproken over "de" drempel. In de aansprakelijkheidsnorm zit immers een aantal elementen, zoals de gedragsnorm, causaliteit en toerekening. Voor al die elementen kunnen drempels worden geïdentificeerd. Daarnaast kunnen rechters een terughoudende toetsingsnorm toepassen. Ik heb in dit hoofdstuk gesproken over de drempels voor de gedragsnorm en de toerekeningsnorm, en kort over de rechterlijke toetsingsnorm.

Ik heb betoogd dat de drempel van de toerekening hoog opgetrokken kan worden door uitsluitend toerekening krachtens schuld — en dus niet krachtens verkeersopvattingen — toe te staan, en daarbij bovendien een zware schuldgradatie te eisen: opzet of bewuste roekeloosheid. Een argument voor het aansluiten bij verwijtbaarheid is dat er op die manier rekening wordt gehouden met psychologische factoren die een optimale besluitvorming in de weg kunnen staan.

Daarnaast dient de drempel voor de gedragsnorm hoog te zijn in het licht van de beleidsvrijheid van het bestuur en de grote bandbreedte die kan bestaan bij de beoordeling van bestuurlijk handelen: het is moeilijk vast te stellen of een bestuurder een "foute" beslissing heeft genomen. De hoogte van de (gedragsnorm)drempel kan overigens variëren al naar gelang de aard van het gelopen risico. Pleitbaar is dat er een onderscheid gemaakt kan worden tussen compliance en financiële verslaggevingsrisico's enerzijds, en risico's die niet door de overheid zijn opgelegd. Voor die eerste categorie heeft het bestuur weinig beleidsvrijheid. Het heeft niet de keuze om een beleid te ontwikkelen dat gericht is op het niet voldoen aan de wet- en regelgeving op dat gebied. Wel heeft het bestuur een bepaalde beleidsvrijheid ten aanzien van de wijze waarop binnen de onderneming invulling wordt gegeven aan het voldoen aan (open) normen. Beheersing van compliance en financiële verslaggevingsrisico's dient een redelijke mate van zekerheid te geven dat de door de onderneming te stellen doelstelling op dat gebied zal worden gehaald. Voor beheersing van risico's op het gebied van operationele en strategische doelen gaat het erom dat er een redelijke mate van zekerheid wordt gekregen dat de onderneming voortgang boekt bij het bereiken van haar doelen. Het komt er daarbij met name op aan of er procedures zijn ingesteld voor het identificeren van dergelijke risico's, dat deze transparant worden gemaakt binnen de organisatie en gerapporteerd aan het bestuur, terwijl besloten wordt op welke wijze met de geïdentificeerde risico's zal worden omgegaan.

Een ander onderscheid waarop een differentiatie in gedragsnormen kan worden gebaseerd is die op grond van het criterium of een door de onderneming vrijwillig genomen risico wel of geen gevaarzetting voor derden tot gevolg heeft. De gedragsnorm zou strenger kunnen zijn naarmate er sprake is van dergelijke gevaarzetting, in het bijzonder indien het gaat om risico's die catastrofale gevolgen kunnen hebben, bijvoorbeeld als het gaat om gezondheids- , milieu- of systeemrisico's.

Tenslotte zou het vrijwillig accepteren van risico's door bij de vennootschap betrokkenen moeten leiden tot beperking van hun aansprakelijkheidsmogelijkheden. Dit speelt onder meer ten opzichte van aandeelhouders ten aanzien van de gecommuniceerde risk appetite en risico's.

Het concept risicobeheersing is feitelijk een manier van denken en besluiten die in de psychologische literatuur wel wordt aangeduid met system 2 thinking: bewust, inspanningsvol, expliciet en logisch. Het geeft een waarborg dat op bestuursniveau volgens een rationele beslissingsmethode besluiten kunnen worden genomen en externe mededelingen kunnen worden gedaan over risico's en de beheersing daarvan. Ook stelt risicobeheersing het bestuur in staat om toezicht te houden op de onderneming.

Er zijn echter tevens duidelijke beperkingen aan de mogelijkheden om risico's te beheersen. Daarbij komt het vooral aan op de kritische faalfactoren. Externe factoren heeft een onderneming niet (goed) in de hand. Bovendien kunnen mensen in de onderneming ook fouten maken bij de risicobeheersing. Ik maakte een globale indeling van aan risicobeheersing gerelateerde fouten in vijf categorieën: i) de afwezigheid van een risicobeheersingssysteem, ii) systeemfouten, iii) werkingsfouten, iv) beoordelingsfouten, en v) onvoldoende transparantie aan de markt over risico's en risicobeheersing. Het strekt tot aanbeveling dat bij de beoordeling van een feitencomplex waarbij mogelijk sprake is van falend risicomanagement, wordt nagegaan van welke categorie risicobeheersingsfout sprake is. Ook moet worden nagegaan op welk niveau binnen de organisatie de fout is gemaakt en in hoeverre bestuurders kennis droegen of behoorden te dragen van die fout.

Met name bij beoordelingsfouten speelt de vraag naar de toepasselijke rechterlijke toetsingsnorm. Naar mijn mening is de toetsingsnorm die door de Hoge Raad is geformuleerd voor schending van de gedragsnorm in art. 2:138/ 248 BW (kennelijk onbehoorlijk bestuur), te weten of "geen redelijk denkend bestuurder — onder dezelfde omstandigheden — aldus gehandeld zou hebben" adequaat, ook voor aansprakelijkheid uit hoofde van art. 2:9 BW.

Voor wat betreft de grondslagen van aansprakelijkheid van bestuurders ben ik ingegaan op aansprakelijkheid jegens de vennootschap uit hoofde van art. 2:9 BW. Bij de bespreking van de gedragsnormen ter zake van risicobeheersing die voortvloeien uit art. 2:9 BW heb ik gefocust op 13 in het oog springende punten. Daaruit heb ik algemene vereisten afgeleid die aan het bestuur op het gebied van risicobeheersing mogen worden gesteld. In het algemeen zou dat als volgt kunnen worden beschreven. Een zorgvuldig bestuur dient voldoende inspanningen te getroosten om ervoor te zorgen dat er op de aard en omvang van de onderneming en diens activiteiten processen aanwezig zijn die zorgen dat belangrijke risico's binnen de onderneming worden gesignaleerd en begrepen, dat deze transparant worden gemaakt binnen de organisatie en worden gerapporteerd aan het bestuur, waardoor het bestuur in staat wordt gesteld om: i) goed geïnformeerde beslissingen te nemen, ii) zoveel mogelijk verrassingen te voorkomen, opdat verliezen zoveel mogelijk op die plaatsen worden geleden en in een omvang waar het bestuur dat heeft gecalculeerd, iii) tijdig en adequaat in te grijpen als risico's zich verwezenlijken, en iv) juiste informatie publiek te maken over risico's en risicobeheersing binnen de onderneming. Het bestuur dient erop toe te zien dat er een adequate interne controle is die erop toeziet dat de gestelde regels en criteria worden geïmplementeerd, nageleefd en gehandhaafd. Bij serieuze aanwijzingen dat er sprake is van een materiële zwakte in de opzet of werking van die systemen, dient daarnaar een nader onderzoek te worden ingesteld. Bij materiële incidenten dient het bestuur te handelen, hetzij door de regels te handhaven, hetzij door na een afgewogen beslissing te besluiten niet te handelen of procedures aan te passen.

Ik kom tot een afronding. Op bestuurders rust ter zake van risicobeheersing geen resultaatsverplichting, in de zin dat zij de verantwoordelijkheid hebben om te voorkomen dat de risico's waar de vennootschap aan bloot staat zich verwezenlijken of volledig onder controle zijn. Een dergelijke verplichting zou de kern van het ondernemerschap aantasten; ondernemen zonder het nemen van risico is ondenkbaar. Bovendien is het gezien de diversiteit aan risico's, risicopercepties en risicofilosofieën ondoenlijk om voor alle ondernemingen op objectieve wijze eenduidig en concreet vast te stellen wat het minimale niveau van risicobeheersing is, waar bestuurders altijd voor zouden moeten instaan. Ten slotte hebben bestuurders de kritische faalfactoren voor hun beslissingen op dit gebied niet altijd in de hand. Het lijden van een verlies betekent derhalve niet noodzakelijkerwijs dat er sprake is geweest van falend risicomanagement. En zelfs als er sprake is geweest van een risicobeheersingsfout is het de vraag of deze toerekenbaar is. Aansprakelijkheid voor falend risicomanagement zou immers geen risico-aansprakelijkheid moeten zijn!