Trapezeartiest vangt vrouwelijke partner

Verklaring Risicobeheersing: Klaar voor de Toekomst


Ontdek hoe de nieuwe Verklaring omtrent Risicobeheersing uw organisatie helpt voldoen aan de Corporate Governance Code.


In het kort:

  • Eind 2023 introduceerde de werkgroep Van Manen de Verklaring omtrent Risicobeheersing (VOR) als onderdeel van de herziening van de Nederlandse Corporate Governance Code.
  • De VOR benadrukt de verantwoordelijkheid van het bestuur en de raad van commissarissen voor het jaarlijks beoordelen en verbeteren van risicobeheersings- en controlesystemen.

Nieuwe Corporate Governance Code

Eind 2023 stelde de werkgroep Van Manen een herziening van de Nederlandse Corporate Governance Code voor, waarbij de Verklaring omtrent Risicobeheersing (VOR) werd geïntroduceerd. Bij goedkeuring door de nog te benoemen Monitoring Commissie, moeten beursgenoteerde bedrijven waarschijnlijk al vanaf 2025 deze verklaring in hun bestuursverslag opnemen of uitleggen waarom deze ontbreekt. Dit betekent dat het bestuur en de raad van commissarissen hun risicomanagement en interne controlesystemen actief moeten evalueren en mogelijk verbeteren om te voldoen aan de voorgestelde eisen.

Het bestuur en de raad van commissarissen zijn nu aan zet. Zij dienen hun risico management en interne controlesystemen actief te evalueren en mogelijk te verbeteren om te voldoen aan de voorgestelde eisen.

De VOR is principle based en laat ruimte om risico management in te richten naar gelang de wensen van de verschillende stakeholders (waaronder bestuur, aandeelhouders, toezichthouders). Het ontwikkelen van eigen normen ten aanzien van risicobereidheid en de gewenste mate van zekerheid, geeft invulling aan deze principle based aanpak en draagt bij aan een solide basis voor effectief en efficiënt risico management. Zowel risicobereidheid als de gewenste mate van zekerheid geven richting aan de gewenste fijnmazigheid van het systeem van risico management en interne beheersing en vormen daarmee een belangrijke basis voor de af te leggen Verklaring Omtrent Risicobeheersing.

De schragende partijen1 en de NBA hebben in de werkgroep Van Manen overeenstemming bereikt over een voorstel om de Verklaring Omtrent Risicobeheersing (hierna: VOR) in de Corporate Governance Code (hierna: Code) op te nemen. De VOR maakt de verantwoordelijkheden van het bestuur, de auditcommissie en de raad van commissarissen omtrent risicobeheersing expliciet. Zij dienen jaarlijks de effectiviteit van de risicobeheersings- en controlesystemen met betrekking tot operationele, compliance en verslaggevingsrisico’s (financiële en duurzaamheidsverslaggeving) te beoordelen. Bestuurders hebben daarbij de vrijheid om hun risico managementprocessen zelf vorm te geven.

Mate van zekerheden ten aanzien van verslaggeving en operatie

Het bepalen van de risicobereidheid en de gewenste mate van zekerheid voor operationele en compliance risico’s vormen een belangrijke basis voor de VOR. Door deze te definiëren, kunnen de interne risicobeheersings- en controlesystemen worden afgestemd op de specifieke behoeften van de onderneming en haar belanghebbenden.

 

De VOR dient te reflecteren in hoeverre de risicobeheersings- en controlesystemen (financiële en duurzaamheidsinformatie) zekerheid geven dat de verslaggeving vrij is van materiële onjuistheden. De mate van zekerheid in de VOR ten aanzien van verslaggeving varieert van redelijk (financieel) tot beperkt (duurzaamheid).

 

Voor de effectiviteit van beheersing van operationele en compliance risico’s bestaat geen vastgesteld kader. De VOR laat ruimte aan het bestuur om, op basis van risicobereidheid, de daarop afgestelde risicobeheersings- en controlesystemen, zelf te definiëren welk niveau van zekerheid deze systemen geven over de effectieve beheersing van operationele en compliance risico’s.

 

Hieronder een geïllustreerd figuur over de verschillende risicodomeinen.

 

Overzicht van de vereiste mate van zekerheid per risicodomein.

Figuur 1: Overzicht van de vereiste mate van zekerheid per risicodomein.

Om een verwachtingskloof bij de gebruiker te voorkomen is het van belang dat de organisatie een duidelijk onderscheid maakt tussen de verstrekte zekerheid omtrent de verslaggeving en de effectiviteit van de beheersing omtrent operationele en compliance risico’s.

De VOR legt grotere nadruk op de verantwoordelijkheid van het bestuur en voorziet in additionele verantwoordelijkheid voor de auditcommissie. De auditcommissie bevraagt het bestuur kritisch én actief over de onderbouwing van de VOR en brengt hierover verslag uit aan de raad van commissarissen. Denk daarbij bijvoorbeeld aan de integrale beheersing van ITrisico’s, of belasting gerelateerde risico’s.

Een actiegerichte benadering voor het opstellen van de VOR

  • Organiseer organisatie brede verantwoordelijkheid voor risicobeheersing

Het bestuur speelt een cruciale rol in het faciliteren van de organisatie brede verantwoordelijkheid voor risicobeheersing door het eigenaarschap voor risico’s te beleggen (in de 1e lijn) en de samenwerking tussen 1e - en 2e lijnfuncties te stimuleren om zo te komen tot een governance die efficiënt en effectief risico management mogelijk maakt. ‘

De interne auditor heeft een belangrijke functie door het bestuur en de auditcommissie op onafhankelijke wijze te voorzien van inzichten over de opzet, bestaan en werking van de risicobeheersing in relatie tot de vastgestelde risicobereidheid.

Voor de interne besluitvorming ten aanzien van de inrichting van de risicobeheersing is het van belang dat het niveau van risicobereidheid en de gewenste mate van zekerheid in balans zijn per risico-categorie. Strategie, doelstellingen, het nemen van risico’s en het doen van investeringen in interne beheersing gaan hand in hand. Zo hoort bij een lage risicobereidheid een hoge mate van zekerheid en andersom. Een Assurance map is, ook in dit digitale tijdperk, een uitstekende methode om rollen en verantwoordelijkheden te koppelen aan risico’s en risicobereidheid. Het vormt daarmee een onderdeel van een solide basis om verantwoording af te leggen over zowel operationele als compliance risico’s. De assurance map maakt inzichtelijke welk onderdeel of functie van de onderneming verantwoordelijk is voor de effectieve beheersing van risico’s maar ook welke risico’s nog aandacht behoeven om te komen tot de gewenste risicobereidheid.

  • Integratie CSRD (duurzaamheidsrisico’s) met risk management en internal control Door middel van de dubbele materialiteitsanalyse brengen organisaties de belangrijkste impacts, risico’s en kansen in kaart in de waardeketen. Veelal betreft dit operationele en compliance risico’s. Ondernemingen leggen over deze risico’s verantwoording af in de duurzaamheidsparagraaf (beperkte mate van zekerheid dat de verstrekte informatie geen materiële onjuistheden bevatten op grond waarvan de gebruiker tot een andere conclusie zou kunnen zijn gekomen).

De VOR vraagt aan bestuurders om in de VOR aan te geven welk niveau van zekerheid de risico managementsystemen geven dat deze operationele en compliance (duurzaamheids) risico’s effectief worden beheerst. Ondernemingen dienen bij het definiëren van het niveau van zekerheid, rekening te houden met de (vooralsnog beperkte) mate van zekerheid omtrent de kwaliteit van de duurzaamheidsrapportage. Integratie van operationele- en compliance risico’s als onderwerp van risico management en interne beheersing om te komen tot aantoonbaar in control zijn, is derhalve raadzaam. Wij zien als EY in de praktijk nog te vaak dat fiscale beheersing los staat van het algemene risicomanagement en de interne beheersing binnen een organisatie. Met de komst van de VOR vraagt dit in onze visie nadrukkelijk om aandacht. Fiscale risico’s maken immers onderdeel uit van de operationele en compliance processen waarover binnen de VOR moet worden gerapporteerd.

  • Aantoonbaar onderbouwen van de VOR Het bestuursverslag en de VOR dienen onder andere als bron voor besluitvorming door gebruikers. Organisaties dienen in hun bestuursverslag aan te geven in welke mate operationele en compliance risico’s effectief worden beheerst. In het bestuursverslag dienen de gekozen normen en raamwerken toegelicht te worden, alsmede belangrijke gebreken en verbeteringen in de risicobeheersing. Hierbij is het van belang dat de informatie in het bestuursverslag en de VOR onderbouwd is met een systeem van risico management en interne beheersing waarmee ondernemingen aantoonbaar In control zijn over de informatie die zij verstrekken aan de gebruikers van het bestuursverslag en de bestuursverklaring. Een geïntegreerde aanpak tussen de 1e lijn, 2e lijn (Legal, Tax, Compliance, Risk) en 3e lijn (Internal Audit) is daarvoor noodzakelijk en het meest efficiënt.

De aantoonbare onderbouwing is ook van belang voor de verantwoordelijkheden van de externe accountant bij de VOR. De rol van de externe accountant verandert formeel niet op basis van de geactualiseerde Code. Echter, doordat de VOR wordt opgenomen in het bestuursverslag is het belangrijk om te beseffen dat de accountant bepaalde werkzaamheden zal uitvoeren:

  • Formele toets — zijn de VOR, de vereisten en de gevraagde duidelijke onderbouwing opgenomen in het verslag?
  • Consistentie check is de verklaring consistent met de jaarrekening?
  • Signalering van materiële onjuistheden — is de verklaring materieel consistent met de kennis en begrip van de onderneming op basis van de rol en verantwoordelijkheden als externe accountant?

Het doel van de VOR is stappen voorwaarts zetten in de kwaliteit van bestuur/toezicht wat betreft risicobeheersing. Tegelijkertijd is de discussie over de toegevoegde waarde van risico management en internal control nooit ver weg. Het aantal onderwerpen waarover ondernemingen verantwoording dienen af te leggen is met de VOR flink verbreed.

Deze verbreding van de scope, creëert ruimte voor dialoog over verwachtingen ten aanzien van risico management en interne controle:

  • dialoog over risicobereidheid en mate van zekerheid;
  • dialoog over rollen en verantwoordelijkheid;
  • dialoog over de rol van IA in het onderbouwen van de VOR.


Samenvatting

De herziening van de Nederlandse Corporate Governance Code introduceert de Verklaring omtrent Risicobeheersing (VOR). Vanaf 2025 moeten beursgenoteerde bedrijven deze verklaring opnemen in hun bestuursverslag. Het bestuur en de raad van commissarissen moeten hun risicomanagementsystemen evalueren en verbeteren om te voldoen aan de nieuwe eisen.


Over dit artikel

Lees ook

Hoe duurzaamheid met harde cijfers meetbaar wordt

Bedrijven moeten vaart maken met de ontwikkeling van hun langetermijnvisie. We weten hoe we moeten meten en sturen en hebben geen excuus meer om de shift naar brede welvaart nog langer uit te stellen.

Waarom de sleutel voor een duurzame doorbraak bij de ‘gewone’ consument ligt

In plaats van een succesvolle benadering van de actieve 20% ligt de grote kans in het beter begrijpen van het gedrag van de 80% passieve consumenten van duurzaamheidsproducten.