Verklaring Omtrent Risicobeheersing
De Verklaring Omtrent Risicobeheersing gaat onderdeel uitmaken van de Corporate Governance Code. Maar of de invoerdatum per 1 januari 2025 haalbaar is, valt nog te bezien. Het doel is om met de VOR stappen voorwaarts te zetten in de kwaliteit van bestuur/toezicht wat betreft risicobeheersing. Er is voldoende ruimte voor eigen keuzes en de auditcommissie krijgt een nadrukkelijke rol bij deze verklaring van het bestuur, zo bleek tijdens het Governance Update Webinar over de VOR.
Met de VOR moeten besturen van ondernemingen duidelijk rapporteren over de belangrijkste risico’s die de continuïteit van het bedrijf kunnen bedreigen. En in de VOR moeten besturen onderbouwen hoe ze deze risico's aanpakken. Zowel op het gebied van Finance, Duurzaamheid, Operatie en Compliance. Strategie is buiten de scope van de VOR gebleven. Voor webinar-host en Corporate Governance specialist bij EY, Martijn de Jong, voelt dat onlogisch: ‘Die koppeling tussen VOR en strategie is tijdens het “polderoverleg” erover uit de VOR verdwenen, terwijl het wel raakvlakken heeft met bijvoorbeeld duurzaamheid en finance zeker gezien het overkoepelende thema van de Code: een strategie gebaseerd op duurzame lange termijn waardecreatie.’ Toch, zo blijkt tijdens het webinar, is er voldoende overgebleven om de VOR tot een nuttig instrument te bestempelen. De Jong: ‘Door de VOR worden stappen gezet in de keten. Zowel bestuur, toezicht, audit, accountant en andere stakeholders, gaan erdoor eerder met elkaar in gesprek over risico’s, zodat we met z’n allen stappen voorwaarts maken.’ De VOR is principle (in plaats van rule) based en wordt onderdeel van de wettelijke verankerde Nederlandse Corporate Governance Code.
‘Nederlandse trein net voor eindstation gestopt’
In het webinar was er onder meer aandacht voor de haalbaarheid qua invoering van de VOR. Plan was dat in 2026 over het boekjaar 2025 de eerste VOR opgenomen zou moeten worden in het bestuur/jaarverslag. De Jong: ‘De vraag is of dat haalbaar is. We hebben momenteel geen Monitoring Commissie. Een voorzitter en leden worden gezocht. Feitelijk moet die Commissie het in de Governance Code opnemen. Vaak is het ook gebruikelijk dat er nog een brede consultatie komt. Ook die is nog niet geweest. En de VOR moet uiteindelijk dus ook nog feitelijk in de wet opgenomen worden.’ Maar dat de VOR uiteindelijk onderdeel van de Governance Code wordt, lijkt wel zeker. Alle schragende partijen staan er achter. Als dat gebeurt, is dat alleen voor beurs NV’s (de reikwijdte van de Corporate Governance Code). De Jong vertelde tijdens het webinar dat Nederland ook iets minder ver gaat dan bijvoorbeeld Engeland, Zuid Afrika. Daar is sprake van een In Control Statement, hetgeen betekent dat bestuurders en ook commissarissen verklaren dat risicobeheersing daadwerkelijk effectief is. De Jong: ‘In die buitenlanden gaat de trein echt tot het eindpunt, in Nederland zijn we een station eerder uitgestapt.’ De effectiviteit van risico management en interne controle systemen gaat nu jaarlijks beoordeeld worden. De conclusie van die beoordeling hoeft niet te worden opgenomen in het bestuursverslag. Het aansprakelijkheidsrisico van het bestuur speelt hierin waarschijnlijk een rol.
Maatwerk boven vergelijkbaarheid
De VOR heeft duidelijke raakvlakken met de CSRD duurzaamheidswetgeving. Wat de VOR feitelijk doet, is een verklaring vragen van bestuur in welke mate ze de risico’s beheersen op terrein van Finance, Sustainability, Operations en Compliance. De Jong liet in het webinar zien dat bedrijven voldoende ruimte krijgen om daarbinnen keuzes te maken. Enerzijds is er geen sprake van een maatwerkmodel, maar kan een bedrijf kiezen welk raamwerk ze volgen. Dat kan ISO 31000 zijn maar ook de COSO. Bovendien is er ruimte om te ‘raten’. Bedrijven kunnen in hun VOR-verslag aangeven met welke mate van zekerheid de operationele en compliance risico’s effectief worden gemanaged. De Jong: ‘Qua finance moet je er dan aan denken dat bedrijven dat met een redelijk grote mate van zekerheid moeten kunnen doen, net zoals dat nu al verwacht werd. Qua duurzaamheid is meer sprake van een “beperkte” zekerheid. Wat je vooral nu merkt, is dat bedrijven worstelen met de onderdelen Operational en Compliance. Daar zijn gewoon veel meer risico-variabelen. Wat is dan “zekerheid”. Maar volgens De Jong is het positieve dat organisaties stappen zetten in het bewaken en beheersen van risico’s omdat er meer en eerder over risico’s gesproken wordt. Commissarissen worden ook verplicht om de VOR (middels de audit-commissie) te agenderen op een rvb-meeting. Immers: de VOR zorgt ervoor dat besturen gestructureerd nadenken over risicomanagement en dit transparant maken en biedt het belanghebbenden (investeerders, klanten, medewerkers) meer inzicht in de risicopositie van de onderneming. Bedrijven krijgen door de nu voorgestelde VOR ook de ruimte om binnen de eigen kaders keuzes te maken. De Jong: ‘Je kunt je voorstellen dat een bedrijf dat hier gevestigd is maar Amerikaanse roots heeft, er toch anders in staat omdat het moederbedrijf andere regels hanteert. Die ruimte biedt mogelijkheden en heeft tegelijkertijd ook invloed op de vergelijkbaarheid.’
Succesfactoren
Een van de vragen tijdens het webinar was (ook voor commissarissen) wat succesfactoren zijn voor een succesvolle voorbereiding op een af te geven VOR. De Jong zei daarop: ‘Begin tijdig. Dat is de beste voorbereiding. Zorg daarbij voor een goede afstemming tussen bestuur en toezicht. Of die VOR er al in 2025 komt of niet, maakt niet uit. Doe gewoon alsof 2025 doorgaat, dan ben je op tijd.’ Ook is de vraag relevant voor raden van toezicht of ze de VOR momenteel al wel voldoende scherp op de agenda hebben. De Jong: ‘Zijn ze bewust van wat gaat komen? Commissarissen moeten het bestuur bevragen over de keuzes die zij maken, bijvoorbeeld wat betreft “mate van zekerheid” van voorspellingen. Ik zie dat risk en internal audit-afdelingen de VOR omarmen omdat ze daarmee zelf ook weer stappen kunnen zetten in risicobeleid en monitoring. Het helpt hen echt.’
Mooie basis voor gesprek
‘Aangever’ tijdens het webinar, NR Governance directeur Olaf Smits van Waesberghe, wilde nog van De Jong weten of met de VOR niet de audit commissie te veel tijd opsnoept in de rvc/rvb vergadering. ‘Die nemen nu al 80 procent van de agenda…’ De Jong: ‘Risico moet niet alleen over Finance gaan, het gaat de gehele onderneming aan. De VOR is een mooie basis voor een goed en breed gesprek.’ En zou de VOR schandalen als Imtech en Parmalat hebben kunnen voorkomen? De Jong: ‘Dat is heel lastig te zeggen. Er spelen daarbij zoveel factoren. Wat was destijds de tone at the top bijvoorbeeld? Overall denk ik wel dat, hoe beter de input (beter zicht op risico’s) ook hoe beter de output is. Ik ga er nog steeds van uit dat de meeste mensen deugen en beter zicht op risico’s alleen maar omarmd wordt.’ Op de slotvraag of risico nog te vaak de ‘olifant’ in de bestuurskamer is (commissarissen die weinig weten van risicobeheersing en er daarom niet naar durven te vragen), zei De Jong: ‘Ik denk dat de VOR en een vorm van in control zijn de commissaris helpt bij het verhogen van het kennisniveau over risico. Zeker ook omdat de Code gaat vragen om een duidelijke onderbouwing van de VOR door het bestuur. De onderbouwing moet zodanig zijn dat de commissaris er comfortabel mee is. Daardoor worden stappen gezet in de hele keten, bestuur, commissaris (audit commissie), accountant en aandeelhouder. Dat is precies het doel van de VOR.
====
In de corporate governance code stond al wel wat over risico’s. De belangrijkste aanpassingen van de Code zien toe op:
- Beursgenoteerde ondernemingen nemen dan vanaf boekjaar 2025 de VOR nieuwe stijl in het bestuursverslag op. Dit stelt beursgenoteerde ondernemingen in staat hun risicobeheersing in 2024 zodanig aan te passen dat zij aan de VOR kunnen voldoen.
- Het verduidelijken van de verantwoordelijkheid van het bestuur om jaarlijks de effectiviteit van de risicobeheersings- en controlesystemen m.b.t. de operationele, compliance, en verslaggeving (financiële en duurzaamheidsverslaggeving) te beoordelen aan de hand van door de vennootschap zelf gekozen raamwerk (bijvoorbeeld COSO).
- Het inperken van reikwijdte van best practice 1.4.2 - strategische risico’s buiten scope.
- Het expliciteren dat risicobeheersing en interne controle ook toeziet op duurzaamheidsinformatie.
- Het uitbreiden van de reeds bestaande bestuursverklaring (1.4.3) – niet zijnde een In-control verklaring (in de betekenis van een effectiviteitsconclusie) – met een uitspraak over de mate van zekerheid die de systemen geven over het bereiken van de doelstellingen ten aanzien van duurzaamheidsverslaggeving, compliance en operations, naast financiële verslaggeving.
- Het verduidelijken / expliciteren van de verantwoordelijkheid van de audit commissie / raad van commissarissen voor het toezicht op het risicomanagement en de verantwoording daarover in het bestuursverslag.
====
Webinar terugkijken? Kijk hier. En voor direct contact met Martijn de Jong, kijk hier.