Om een verwachtingskloof bij de gebruiker te voorkomen is het van belang dat de organisatie een duidelijk onderscheid maakt tussen de verstrekte zekerheid omtrent de verslaggeving en de effectiviteit van de beheersing omtrent operationele en compliance risico’s.
De VOR legt grotere nadruk op de verantwoordelijkheid van het bestuur en voorziet in additionele verantwoordelijkheid voor de auditcommissie. De auditcommissie bevraagt het bestuur kritisch én actief over de onderbouwing van de VOR en brengt hierover verslag uit aan de raad van commissarissen. Denk daarbij bijvoorbeeld aan de integrale beheersing van ITrisico’s, of belasting gerelateerde risico’s.
Een actiegerichte benadering voor het opstellen van de VOR
- Organiseer organisatie brede verantwoordelijkheid voor risicobeheersing
Het bestuur speelt een cruciale rol in het faciliteren van de organisatie brede verantwoordelijkheid voor risicobeheersing door het eigenaarschap voor risico’s te beleggen (in de 1e lijn) en de samenwerking tussen 1e - en 2e lijnfuncties te stimuleren om zo te komen tot een governance die efficiënt en effectief risico management mogelijk maakt. ‘
De interne auditor heeft een belangrijke functie door het bestuur en de auditcommissie op onafhankelijke wijze te voorzien van inzichten over de opzet, bestaan en werking van de risicobeheersing in relatie tot de vastgestelde risicobereidheid.
Voor de interne besluitvorming ten aanzien van de inrichting van de risicobeheersing is het van belang dat het niveau van risicobereidheid en de gewenste mate van zekerheid in balans zijn per risico-categorie. Strategie, doelstellingen, het nemen van risico’s en het doen van investeringen in interne beheersing gaan hand in hand. Zo hoort bij een lage risicobereidheid een hoge mate van zekerheid en andersom. Een Assurance map is, ook in dit digitale tijdperk, een uitstekende methode om rollen en verantwoordelijkheden te koppelen aan risico’s en risicobereidheid. Het vormt daarmee een onderdeel van een solide basis om verantwoording af te leggen over zowel operationele als compliance risico’s. De assurance map maakt inzichtelijke welk onderdeel of functie van de onderneming verantwoordelijk is voor de effectieve beheersing van risico’s maar ook welke risico’s nog aandacht behoeven om te komen tot de gewenste risicobereidheid.
- Integratie CSRD (duurzaamheidsrisico’s) met risk management en internal control Door middel van de dubbele materialiteitsanalyse brengen organisaties de belangrijkste impacts, risico’s en kansen in kaart in de waardeketen. Veelal betreft dit operationele en compliance risico’s. Ondernemingen leggen over deze risico’s verantwoording af in de duurzaamheidsparagraaf (beperkte mate van zekerheid dat de verstrekte informatie geen materiële onjuistheden bevatten op grond waarvan de gebruiker tot een andere conclusie zou kunnen zijn gekomen).
De VOR vraagt aan bestuurders om in de VOR aan te geven welk niveau van zekerheid de risico managementsystemen geven dat deze operationele en compliance (duurzaamheids) risico’s effectief worden beheerst. Ondernemingen dienen bij het definiëren van het niveau van zekerheid, rekening te houden met de (vooralsnog beperkte) mate van zekerheid omtrent de kwaliteit van de duurzaamheidsrapportage. Integratie van operationele- en compliance risico’s als onderwerp van risico management en interne beheersing om te komen tot aantoonbaar in control zijn, is derhalve raadzaam. Wij zien als EY in de praktijk nog te vaak dat fiscale beheersing los staat van het algemene risicomanagement en de interne beheersing binnen een organisatie. Met de komst van de VOR vraagt dit in onze visie nadrukkelijk om aandacht. Fiscale risico’s maken immers onderdeel uit van de operationele en compliance processen waarover binnen de VOR moet worden gerapporteerd.
- Aantoonbaar onderbouwen van de VOR Het bestuursverslag en de VOR dienen onder andere als bron voor besluitvorming door gebruikers. Organisaties dienen in hun bestuursverslag aan te geven in welke mate operationele en compliance risico’s effectief worden beheerst. In het bestuursverslag dienen de gekozen normen en raamwerken toegelicht te worden, alsmede belangrijke gebreken en verbeteringen in de risicobeheersing. Hierbij is het van belang dat de informatie in het bestuursverslag en de VOR onderbouwd is met een systeem van risico management en interne beheersing waarmee ondernemingen aantoonbaar In control zijn over de informatie die zij verstrekken aan de gebruikers van het bestuursverslag en de bestuursverklaring. Een geïntegreerde aanpak tussen de 1e lijn, 2e lijn (Legal, Tax, Compliance, Risk) en 3e lijn (Internal Audit) is daarvoor noodzakelijk en het meest efficiënt.
De aantoonbare onderbouwing is ook van belang voor de verantwoordelijkheden van de externe accountant bij de VOR. De rol van de externe accountant verandert formeel niet op basis van de geactualiseerde Code. Echter, doordat de VOR wordt opgenomen in het bestuursverslag is het belangrijk om te beseffen dat de accountant bepaalde werkzaamheden zal uitvoeren:
- Formele toets — zijn de VOR, de vereisten en de gevraagde duidelijke onderbouwing opgenomen in het verslag?
- Consistentie check is de verklaring consistent met de jaarrekening?
- Signalering van materiële onjuistheden — is de verklaring materieel consistent met de kennis en begrip van de onderneming op basis van de rol en verantwoordelijkheden als externe accountant?
Het doel van de VOR is stappen voorwaarts zetten in de kwaliteit van bestuur/toezicht wat betreft risicobeheersing. Tegelijkertijd is de discussie over de toegevoegde waarde van risico management en internal control nooit ver weg. Het aantal onderwerpen waarover ondernemingen verantwoording dienen af te leggen is met de VOR flink verbreed.
Deze verbreding van de scope, creëert ruimte voor dialoog over verwachtingen ten aanzien van risico management en interne controle:
- dialoog over risicobereidheid en mate van zekerheid;
- dialoog over rollen en verantwoordelijkheid;
- dialoog over de rol van IA in het onderbouwen van de VOR.