Verklaring omtrent Risicobeheersing – Geen checkbox, maar een kans!

Nieuwe NBA publicatie over de Verklaring omtrent Risicobeheersing VOR

Sinds de aanpassing van de Corporate Governance Code in 2025 is de Verklaring omtrent Risicobeheersing (VOR) een verplichte passage in het bestuursverslag van beursgenoteerde ondernemingen. Maar hoe geef je daar als bestuur invulling aan, zonder te vervallen in holle frasen of juridische containerbegrippen?

De nieuwe NBA-publicatie biedt gelukkig meer dan richtlijnen: het schetst de wereld áchter de verklaring en laat zien hoe je als onderneming een geloofwaardige en transparante verklaring opstelt. Centraal daarin staan de zeven bouwstenen van een robuust Intern Risicobeheersings- en Controlesysteem (IR&CS).

Uitleg over het begrip zekerheid — zonder de illusie van absoluutheid

De Code vraagt van bestuurders om in hun verklaring aan te geven hoe zeker zij zijn over de beheersing van de operationele en compliance risico’s. Die zekerheid kan variëren van minimaal (“we weten het niet zeker”) tot redelijk (“we zijn ervan overtuigd dat…”), maar zelfs in het hoogste niveau van zekerheid blijft er altijd ruimte voor onzekerheid:

“Gelet op de inherente praktische beperkingen […] zal de vaststelling van de effectiviteit van de opzet en werking van deze systemen geen absolute zekerheid bieden…”

Dit onderstreept dat risicobeheersing nooit zwart-wit is. En dat maakt de onderbouwing, het proces erachter – met de juiste bouwstenen – des te belangrijker.

7 bouwstenen van een robuust IR&CS

Een effectieve VOR rust op een gestructureerd fundament: zeven bouwstenen die samen het verhaal vertellen van hoe een onderneming risico’s onderkent, adresseert en monitort.

  1. Omgevingsfactoren
    Geen risicobeheersing zonder inzicht in de externe risico’s. Risico’s als nieuwe technologieën, complexe wetgeving, demografische, geografische, maatschappelijke trends beïnvloeden de waarde van een organisatie. Een goede VOR begint dus met omschrijving van de context waarin de organisatie zich bevindt.
  2. Strategie en businessmodel
    Welke koers vaart de onderneming? Wat is de waardepropositie en hoe wordt deze geleverd? Risico’s zijn alleen relevant in relatie tot strategische doelen. Een organisatie die inzet op technologische innovatie zal andere risico’s moeten beheersen dan een onderneming gericht op maatschappelijke waarde.
  3. Cultuur en gedrag
    80% van de risico’s heeft als oorzaak menselijk handelen. De risicocultuur is daarmee het cement tussen de stenen. Zijn medewerkers zich bewust van risico’s? Is er ruimte om incidenten te melden? De mate van integriteit en transparantie binnen teams is vaak bepalend voor hoe effectief beheersmaatregelen daadwerkelijk zijn.
  4. Bedrijfsprocessen en systemen
    De structuur achter de uitvoering: hoe zijn processen ingericht, geautomatiseerd en bewaakt? Zijn er controles ingebouwd in IT-systemen? Worden processen geëvalueerd en bijgestuurd? Hier komen ‘hard controls’ tot leven: standaarden, 4-ogen, goedkeuringen, rollen en verantwoordelijkheden conform de three lines.
  5. Performance management
    Sturen op cijfers is meer dan alleen KPIs rapporteren. Deze bouwsteen laat zien hoe prestaties worden gemeten, geëvalueerd en gekoppeld aan risico’s. COSO noemde het “linking risk to strategy & performamnce”. Worden afwijkingen voorkomen of onderpresteren gesignaleerd? En is er zelfreinigend vermogen (bijv. feedbackloop) waarmee de organisatie zichzelf corrigeert?
  6. Risicomanagement
    De kern: hoe worden risico’s geïdentificeerd, beoordeeld, gemonitord en gemitigeerd? Denk aan risicoanalyses, heatmaps, risico-eigenaren en mitigerende maatregelen. Een solide en actueel risk & control register is daarbij onmisbaar — vaak ondergebracht in een Governance, Risk & Compliance (GRC) tool. Zo’n tool helpt om de risico’s gestructureerd te registreren, beheersmaatregelen te koppelen en verantwoordelijkheden toe te wijzen. Zonder zo’n systeem wordt het lastig om transparant én traceerbaar verantwoording af te leggen over de effectiviteit van beheersing.
  7. Governance
    Tot slot: wie is waarvoor verantwoordelijk en hoe geef je invulling aan deze verantwoordelijkheid? Hoe is toezicht belegd? Hoe werkt de raad van commissarissen samen met het bestuur, en hoe wordt daarover gerapporteerd? Governance sluit de cirkel door zichtbaar te maken dat de bouwstenen niet los staan, maar integraal worden geëvalueerd en gestuurd.

Conclusie: geen checkbox, maar een kans!

De VOR is géén formaliteit. Mits goed onderbouwd met deze bouwstenen, biedt het bestuur een unieke kans om stakeholders écht mee te nemen in het risicoprofiel en de volwassenheid van de organisatie. Het creëert transparantie, accountability en bovenal: vertrouwen.

Door een wereld achter de verklaring zichtbaar te maken — door de dynamiek in de acties omtrent de beheersing binnen je eigen organisatie te laten zien- voorkom je dat het een papieren tijger wordt. Dit uiteraard ondersteund met een sterk IR&CS en een actueel GRC-register —. En dat maakt deze publicatie tot een krachtig instrument in de handen van elke raad van bestuur die risicobeheersing serieus neemt.

LinkedIn
Twitter
Facebook
Email
Print
Verklaring omtrent Risicobeheersing (VOR)

Meer artikelen:

Bekijk meer artikelen en Webinars in de Naris Academy ->

Nederland

Plantageweg 1C
3833 AZ Leusden

Colosseum 19
7521 PV Enschede

Duitsland

Hohenzollernring 57
50672 Köln

Over NARIS

Partners

GRC tooling

Support