Afgelopen december 2023 werd besloten een wettelijk verplichte Verklaring Omtrent Risicobeheersing (VOR) voor ondernemingen aan de corporate governance code toe te voegen.
Het is de bedoeling dat met het ondertekenen van deze extra verklaring in het jaarverslag, bestuurders en hun onderneming gedwongen worden meer verantwoordelijkheid te nemen voor de financiële en maatschappelijke risico’s.
Geschiedenis Verklaring Omtrent Risicobeheersing vanuit de governance
Risicomanagement is al sinds de governance code van Peters in 1997 een onderwerp. “De RvB bespreekt één keer per jaar het risicobeheerssysteem met de RvC”. Niemand wist destijds wat hiermee werd bedoeld, dat werd aan de markt overgelaten. In tegenstelling tot het Engelse Turnbull rapport welke heel concreet maakte wat er onder goed risicomanagement moest worden verstaan, bleef de Nederlandse governance code vaag.
In de opvolgende codes werd risicomanagement steeds meer geconcretiseerd en werd de scope verbreedt naar o.a. operationele-, duurzaamheids-, IT- en privacy risico’s. Ook veranderde de koers van alleen achteraf controleren naar meer de dagelijkse praktijk en een in de praktijk werkend risicobeheerssysteem.
De code van Jaap van Maanen maakte duidelijk wat de rol van het bestuur zelf was, omdat niet alles te delegeren is. Zij moeten een risicoanalyse doen en de risk appetite vaststellen. Ook is men duidelijk over de verantwoording in het bestuursverslag.
1.4.2 Verantwoording in het bestuursverslag
Het bestuur legt in het bestuursverslag verantwoording af over:
i. de uitvoering van het risicobeoordeling en beschrijft de voornaamste risico’s waarvoor de vennootschap zich geplaatst ziet in relatie tot haar risicobereidheid. Hierbij kan gedacht worden aan strategische, operationele, compliance en verslaggevingsrisico’s;
ii. de opzet en werking van de interne risicobeheersings- en controlesystemen over het afgelopen boekjaar.
Hoe organisaties met deze risico’s omgaan bepaalt het risicoprofiel. Dit risicoprofiel komt ook steeds vaker op het bord van de accountant om hier een oordeel over te geven.
Na de oproep van de NBA om de VOR in de governance code op te nemen wordt verwezen naar een zeer lezenswaardig wetenschappelijk onderzoek van de Universiteit van Leiden in opdracht van het Ministerie van Financiën.
“Versterking verantwoordingsketen” De onderzoekers geven aan dat goed functionerende interne risicobeheersings- en controlesystemen cruciaal zijn voor goed ondernemingsbestuur en dat er op dit terrein nog wel wat verbeterd kan worden.
Hoe kunnen bestuurders verklaren dat hun risicobeheersing op orde is? Hoe voorkom je dat dit weer een papieren tijger wordt?
Nieuwe verklaring op risicobeheersing
De nieuwe verklaring is noodzakelijk doordat de laatste jaren de risico’s voor organisaties aanzienlijk zijn toegenomen. Denk hierbij aan risico’s rondom klimaat, pandemie, geografische- en demografische ontwikkelingen, toenemende wet- en regelgeving en supply chain problemen. Dit soort risico’s heeft op de korte en lange termijn financiële consequenties. De wereld is VUCA (Volatility, Uncertainty, Complexity en Ambiguity) geworden en minder voorspelbaar.
Aandeelhouders, toezichthouders en personeel hebben een groot belang om te weten of de risico’s beheerst en voorkomen worden, de continuïteit van de onderneming beschermd is en op welke manier dit gebeurt. Door het verplichten van de VOR neemt de kwaliteit van de interne risicobeheersings- en controlesystemen toe, is de verwachting.
Inhoud verklaring op risicobeheersing
Het bestuur verklaart in het bestuursverslag met een duidelijke onderbouwing:
• i. dat het verslag in voldoende mate inzicht geeft in tekortkomingen in de werking van de interne risicobeheersings- en controlesystemen;
• ii. dat deze systemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat;
• iii. dat deze systemen ten minste een beperkte mate van zekerheid geven dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat;
• iv. welk niveau van zekerheid deze systemen geven dat de operationele en compliance risico’s effectief worden beheerst;
• v. dat het naar de huidige stand van zaken gerechtvaardigd is dat de financiële verslaggeving is opgesteld op going concern basis; en
• vi. dat in het verslag de materiële risico’s als bedoeld in best practice bepaling 1.2.1 en de onzekerheden zijn vermeld, voor zover die relevant zijn ter zake van de verwachting van de continuïteit van de vennootschap voor een periode van twaalf maanden na opstelling van het verslag.
Papieren tijger
Door een verklaring wordt nog duidelijker dat risicomanagement écht op de directietafel hoort. Dit was al zo, maar door een dergelijke verklaring nog scherper. Een verklaring alleen kan een lege huls zijn en daarom zal de directie een duidelijk beeld moeten hebben van de aanwezige risicobeheersing in de organisatie.
Daarbij zal de focus op de operationele en compliance risico’s en controls liggen. Oftewel breng in ieder geval die risico’s in beeld waar je als organisatie grip op kunt hebben. Daarnaast is het ook belangrijk om rekening te houden met de impact en dynamiek van externe- en strategische risico’s. Vandaag is het een pandemie, morgen een oorlog en overmorgen een instortende economie. Deze risico’s hebben impact op de operationele processen en risico’s en noodzakelijke controls.
Dit zorgt ervoor dat het geen eenmalige exercitie mag zijn maar een continu proces wat goed verankerd en gepositioneerd is.
5 Stappen op weg naar een verklaring risicobeheersing conform COSO
1. Governance en cultuur
Heldere taken en verantwoordelijkheden volgens het 3 Lines Model en aandacht voor cultuur, integriteit en risicobewustzijn. De directie delegeert het onderwerp conform het 3LM inclusief de middelen. Dit betekent dat de risicomanager een helder mandaat heeft, goede positionering en budget heeft voor training, advies en tooling.
2. Strategie en doelstelling
Maak een strategische risicoanalyse en stel de risk appetite vast. De doelstellingen dienen als basis voor het identificeren, beoordelen en reageren op risico’s.
3. Uitvoering risicomanagement
- Maak een datamodel (risicoregister) vanuit strategie, doelen, processen, organogram, control frameworks en risk appetite.
- Identificeer financiële-, strategische-, IT-, operationele-, compliance en duurzaamheidsrisico’s vanuit de organisatie(-onderdelen).
- Stel key risks vast door kans en impact vast te stellen (kwalitatief of kwantitatief).
- Bepaal key controls vanuit de risicoanalyse en normenkaders en bepaal het ritme dat deze gevalideerd moeten worden (2e- en 3e lijns activiteit).
- Asses de key controls vanuit de organisatie.
- Maak een portfolio-overzicht van de werking van de key controls.
4. Review en herziening
Goed kijken en herzien of de controls ook daadwerkelijke effectief zijn. Daarnaast kunnen andere strategieën en controls overbodig worden of juist weer nieuwe controls noodzakelijk worden.
5. Informatie, communicatie en rapportage
Het delen van kennis intern en extern vanuit de organisatie. Dit geldt zowel top down als bottom up. Een control dashboard met daarin overzicht van de controls decentraal, de aanbevelingen, en het feit dat dit expliciet besproken is, is de basis voor de decentrale en centrale VOR.
