{"id":24442,"date":"2024-02-22T12:07:56","date_gmt":"2024-02-22T10:07:56","guid":{"rendered":"https:\/\/www.naris.com\/jaarrekening-rechtmatigheid-gemeenten-copy\/"},"modified":"2024-11-20T12:49:54","modified_gmt":"2024-11-20T10:49:54","slug":"verklaring-omtrent-risicobeheersing-vor","status":"publish","type":"post","link":"https:\/\/www.naris.com\/nl\/verklaring-omtrent-risicobeheersing-vor\/","title":{"rendered":"5 stappen op weg naar een Verklaring Omtrent Risicobeheersing"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Afgelopen december 2023 werd besloten een wettelijk verplichte Verklaring Omtrent Risicobeheersing (VOR) voor ondernemingen aan de corporate governance code toe te voegen. <\/em><\/h2>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

UPDATE 20 november 2024:<\/strong>
\nHet IIA heeft de VOR nog concreter gemaakt met: PRACTICE GUIDE VOR EN DE INTERNAL AUDITFUNCTIE<\/a>.<\/p>

Het is de bedoeling dat met het ondertekenen van deze extra verklaring in het jaarverslag, bestuurders en hun onderneming gedwongen worden meer verantwoordelijkheid te nemen voor de financi\u00eble en maatschappelijke risico\u2019s.<\/span><\/p>

\n
\nGeschiedenis Verklaring Omtrent Risicobeheersing vanuit de governance<\/span><\/span><\/span><\/p>\n

Risicomanagement is al sinds de governance code van Peters in 1997 een onderwerp. \u201cDe RvB bespreekt \u00e9\u00e9n keer per jaar het risicobeheerssysteem met de RvC\u201d. Niemand wist destijds wat hiermee werd bedoeld, dat werd aan de markt overgelaten. In tegenstelling tot het Engelse Turnbull rapport welke heel concreet maakte wat er onder goed risicomanagement moest worden verstaan, bleef de Nederlandse governance code vaag.<\/p>\n

\"verklaring<\/p>\n

In de opvolgende codes werd risicomanagement steeds meer geconcretiseerd en werd de scope verbreedt naar o.a. operationele-, duurzaamheids-, IT- en privacy risico\u2019s. Ook veranderde de koers van alleen achteraf controleren naar meer de dagelijkse praktijk en een in de praktijk werkend risicobeheerssysteem.<\/p>\n

De code van Jaap van Maanen maakte duidelijk wat de rol van het bestuur zelf was, omdat niet alles te delegeren is. Zij moeten een risicoanalyse doen en de risk appetite vaststellen. Ook is men duidelijk over de verantwoording in het bestuursverslag.<\/p>\n

1.4.2 Verantwoording in het bestuursverslag<\/em>
\nHet bestuur legt in het bestuursverslag verantwoording af over:<\/em>
\ni. de uitvoering van het risicobeoordeling en beschrijft de voornaamste risico\u2019s waarvoor de vennootschap zich geplaatst ziet in relatie tot haar risicobereidheid. Hierbij kan gedacht worden aan strategische, operationele, compliance en verslaggevingsrisico\u2019s;<\/em>
\nii. de opzet en werking van de interne risicobeheersings- en controlesystemen over het afgelopen boekjaar.<\/em><\/p>\n

Hoe organisaties met deze risico\u2019s omgaan bepaalt het risicoprofiel. Dit risicoprofiel komt ook steeds vaker op het bord van de accountant om hier een oordeel over te geven.<\/p>\n

Na de oproep van de NBA om de VOR<\/a> in de governance code<\/a> op te nemen wordt verwezen naar een zeer lezenswaardig wetenschappelijk onderzoek van de Universiteit van Leiden in opdracht van het Ministerie van Financi\u00ebn.
\n\u201cVersterking verantwoordingsketen\u201d De onderzoekers geven aan dat goed functionerende interne risicobeheersings- en controlesystemen cruciaal zijn voor goed ondernemingsbestuur en dat er op dit terrein nog wel wat verbeterd kan worden.<\/p>\n

Hoe kunnen bestuurders verklaren dat hun risicobeheersing op orde is? Hoe voorkom je dat dit weer een papieren tijger wordt?<\/h3>\n


\nNieuwe verklaring op risicobeheersing<\/strong>
\nDe nieuwe verklaring is noodzakelijk doordat de laatste jaren de risico\u2019s voor organisaties aanzienlijk zijn toegenomen. Denk hierbij aan risico\u2019s rondom klimaat, pandemie, geografische- en demografische ontwikkelingen, toenemende wet- en regelgeving en supply chain problemen. Dit soort risico\u2019s heeft op de korte en lange termijn financi\u00eble consequenties. De wereld is VUCA (Volatility, Uncertainty, Complexity en Ambiguity) geworden en minder voorspelbaar.<\/p>\n

Aandeelhouders, toezichthouders en personeel hebben een groot belang om te weten of de risico\u2019s beheerst en voorkomen worden, de continu\u00efteit van de onderneming beschermd is en op welke manier dit gebeurt. Door het verplichten van de VOR neemt de kwaliteit van de interne risicobeheersings- en controlesystemen toe, is de verwachting.<\/p>\n

Inhoud verklaring op risicobeheersing<\/em><\/span>
\nHet bestuur verklaart in het bestuursverslag met een duidelijke onderbouwing:<\/em>
\n\u2022 i. dat het verslag in voldoende mate inzicht geeft in tekortkomingen in de werking van de interne risicobeheersings- en controlesystemen;<\/em>
\n\u2022 ii. dat deze systemen een redelijke mate van zekerheid geven dat de financi\u00eble verslaggeving geen onjuistheden van materieel belang bevat;<\/em>
\n\u2022 iii. dat deze systemen ten minste een beperkte mate van zekerheid geven dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat;<\/em>
\n\u2022 iv. welk niveau van zekerheid deze systemen geven dat de operationele en compliance risico\u2019s effectief worden beheerst;<\/em>
\n\u2022 v. dat het naar de huidige stand van zaken gerechtvaardigd is dat de financi\u00eble verslaggeving is opgesteld op going concern basis; en<\/em>
\n\u2022 vi. dat in het verslag de materi\u00eble risico\u2019s als bedoeld in best practice bepaling 1.2.1 en de onzekerheden zijn vermeld, voor zover die relevant zijn ter zake van de verwachting van de continu\u00efteit van de vennootschap voor een periode van twaalf maanden na opstelling van het verslag.<\/em><\/p>\n

Papieren tijger<\/h3>\n

Door een verklaring wordt nog duidelijker dat risicomanagement \u00e9cht op de directietafel hoort. Dit was al zo, maar door een dergelijke verklaring nog scherper. Een verklaring alleen kan een lege huls zijn en daarom zal de directie een duidelijk beeld moeten hebben van de aanwezige risicobeheersing in de organisatie.
\nDaarbij zal de focus op de operationele en compliance risico\u2019s en controls liggen. Oftewel breng in ieder geval die risico\u2019s in beeld waar je als organisatie grip op kunt hebben. Daarnaast is het ook belangrijk om rekening te houden met de impact en dynamiek van externe- en strategische risico\u2019s. Vandaag is het een pandemie, morgen een oorlog en overmorgen een instortende economie. Deze risico\u2019s hebben impact op de operationele processen en risico\u2019s en noodzakelijke controls.
\nDit zorgt ervoor dat het geen eenmalige exercitie mag zijn maar een continu proces wat goed verankerd en gepositioneerd is.<\/p>\n

5 Stappen op weg naar een verklaring risicobeheersing conform COSO<\/h3>\n

1. Governance en cultuur
\n<\/strong>Heldere taken en verantwoordelijkheden volgens het 3 Lines Model en aandacht voor cultuur, integriteit en risicobewustzijn. De directie delegeert het onderwerp conform het 3LM inclusief de middelen. Dit betekent dat de risicomanager een helder mandaat heeft, goede positionering en budget heeft voor training, advies en tooling<\/a>.
\n
\n2. Strategie en doelstelling<\/strong>
\nMaak een strategische risicoanalyse en stel de risk appetite vast. De doelstellingen dienen als basis voor het identificeren, beoordelen en reageren op risico\u2019s.
\n
\n3. Uitvoering risicomanagement<\/strong><\/p>\n