In december 2023 werd bekend dat de zogenaamde Verklaring Omtrent Risicobeheersing (VOR) wordt toegevoegd aan de Nederlandse Corporate Governance Code. Hierover zijn accountants, beleggers en bedrijven het eens geworden. Hieronder de vakbonden CNV en FNV, beleggersorganisaties VEB en Eumedion, beursmaatschappij Euronext, de vereniging van Effecten Uitgevende Ondernemingen (VEUO), de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) en ondernemersbelangenorganisatie VNO-NCW. Een werkgroep onder voorzitterschap van de NBA is met dit voorstel gekomen om meer rekening te kunnen houden met zowel nationale als internationale ontwikkelingen op het gebied van risicobeheersing.

De VOR is een verklaring die door het bestuur van een organisatie moet worden afgelegd over de risico's die de organisatie loopt en hoe deze worden beheerst. De VOR moet voor het eerst worden opgenomen in het bestuursverslag over het boekjaar dat begint op of na 1 januari 2025. 

In deze blog zal worden beschreven wat de VOR is en voor welke bedrijven dit verplicht is. In een eerdere blog ben ik ingegaan op het onderwerp risicomanagement in het kader van de implementatie van de Europese richtlijn CSRD (Corporate Sustainability Reporting Directive). De Verklaring Omtrent Risicobeheersing (VOR) kan niet geheel los worden gezien van deze richtlijn. Ook daar ga ik in deze blog op in.

Groeiend aantal continuïteitsrisico’s voor bedrijven: effectief risicomanagement noodzaak

De laatste jaren zijn de risico’s voor bedrijven aanzienlijk toegenomen. Risico’s die grote financiële consequenties kunnen hebben voor de levensvatbaarheid van bedrijven ofwel continuïteitsrisico’s. Dit type risico kan zich bijvoorbeeld manifesteren door het niet nakomen of overtreden van wet- en regelgeving met een boete van de toezichthouder als gevolg en mogelijk zelfs reputatieschade waardoor klanten weggaan.

Een tweede voorbeeld is het toenemend aantal cyberaanvallen (met behulp van AI) vanuit landen als Rusland, China, Noord-Korea en Iran of organisaties als Hamas en Hezbollah. Dit cyberrisico staat al jaren in de top 3 van grootste risico’s voor de continuïteit van een bedrijf. Door de geopolitieke ontwikkelingen in de wereld zal dit risico de komende jaren mogelijk alleen maar groter worden. Daarnaast zien criminelen online fraude en het stelen van data steeds meer als verdienmodel met een lage “pakkans”.

Een derde voorbeeld is klimaatverandering en de hierop van toepassing zijnde wet- en regelgeving. De risico’s van klimaatverandering zijn evident. Denk bijvoorbeeld aan overstromingen die schade veroorzaken aan bedrijfspanden. Maar ook het niet (kunnen) voldoen aan de wetgeving over klimaatverandering, bijvoorbeeld CSRD, gaat een steeds groter risico voor bedrijven worden. In de volgende paragraaf ga ik hier verder op in.

Door de toename van het aantal onzekerheden, zowel nationaal als internationaal, heeft de NBA (Nederlandse Beroepsorganisatie van Accountants) gepleit voor een verplichte Verklaring Omtrent Risicobeheersing als onderdeel van de Corporate Governance Code. Effectief risicomanagement wordt namelijk steeds belangrijker om de in- en externe risico’s te identificeren en te mitigeren. Risico’s van klimaatverandering of duurzaamheidsrisico’s zullen hierbij een steeds grotere plaats in het risicomanagement framework innemen.

Niet voldoen aan de CSRD is een continuïteitsrisico

De Europese richtlijn CSRD (Corporate Sustainability Reporting Directive) vereist dat bedrijven zowel negatieve als positieve duurzaamheidsrisico's beoordelen. De focus ligt op het belang van integere en beheerste bedrijfsvoering en het voldoen aan Environmental, Social, and Governance (ESG) normen. In mijn eerdere blog Implementatie CSRD: heeft u al een risico assessment gedaan? benadruk ik de noodzaak van een dubbele materialiteitsanalyse en een stappenplan voor de implementatie van CSRD, te starten met een risico assessment.

De Europese richtlijn Corporate Sustainability Reporting Directive (CSRD) zal vanaf 2024 een grote impact hebben op het risicomanagement van organisaties. De CSRD verplicht organisaties namelijk om uitgebreide informatie te rapporteren over hun duurzaamheidsrisico's.

Deze informatie moet onder meer betrekking hebben op:

• De aard en omvang van de duurzaamheidsrisico's;
• De impact van de duurzaamheidsrisico's op de organisatie;
• De maatregelen die de organisatie heeft genomen om de duurzaamheidsrisico's te beheersen.

Dit betekent dat bedrijven hun duurzaamheidsrisico's moeten identificeren, analyseren en beheersen. De CSRD stelt geen specifieke eisen aan de manier waarop bedrijven dit moeten doen. Wel wordt verwacht dat bedrijven een systematische en transparante aanpak volgen. De richtlijn schrijft echter geen specifieke risicomanagement methodiek voor. Die keuze is aan de bedrijven zelf.

De CSRD heeft een aantal belangrijke gevolgen voor het risicomanagement van bedrijven. Ten eerste wordt het belang van risicomanagement nog eens benadrukt. Ten tweede worden de eisen aan het risicomanagement steeds hoger. En ten derde worden bedrijven verplicht om hun risicomanagement te integreren met hun duurzaamheidsbeleid.

Het niet voldoen aan de CSRD is voor bedrijven in toenemende mate een zogenaamd verslaggevingsrisico wat uiteindelijk kan leiden tot een continuïteitsrisico. Als een bedrijf bijvoorbeeld niet duurzaam genoeg presteert of zelfs doet aan greenwashing (het zich groener of maatschappelijk verantwoordelijker voordoen dan een bedrijf of organisatie daadwerkelijk is), dan kan dat tot rechtszaken en uiteindelijk tot financiële claims leiden. Google maar eens op “greenwashing” + “voorbeelden bedrijven”.

Let op de ESRS-standaard: governance, risicomanagement en interne beheersing (ESRS G1)

De Europese richtlijn CSRD is in 2022 door de European Financial Reporting Advisory Group (EFRAG) uitgewerkt in de zogenaamde ESRS standaarden (European Sustainability Reporting Standards). De EFRAG adviseert de Europese Commissie over goedkeuring van internationale verslaggevingsstandaarden (IFRS) voor gebruik binnen Europa. De ESRS-standaarden zijn onder andere bedoeld om de kwaliteit, consistentie en vergelijkbaarheid van de duurzaamheidsrapportage door grote bedrijven in de EU te verbeteren. In juli 2023 is de set aan de ESRS-standaarden door de Europese Commissie formeel aangenomen.

De ESRS standaarden zijn uitgewerkte normen die invulling geven aan de verplichte CSRD-rapportage, zie de tabel hieronder. Hieronder de norm Governance, risicomanagement en interne beheersing waarin ik vanuit mijn risicomanagement achtergrond vooral in geïnteresseerd ben. Deze norm is bekend als ESRS G1.

Milieu                                                 Sociaal                                                    Governance
Klimaatverandering                      Eigen werknemers                              Governance, 
                                                                                                                                    risicomanagement 
                                                                                                                                    en interne 
                                                                                                                                    beheersing

Vervulling                                           Arbeiders in de keten                         Business conduct / 
                                                                                                                                    zakelijk gedrag

Water en mariene bronnen         Invloed op gemeenschappen

Biodiversiteit                                     Klanten en eindgebruikers

Materiaal gebruik en
circulaire economie

Bron: NBA (Koninklijke Nederlandse Beroepsorganisatie van Accountants)

In de ESRS G1 wordt uiteengezet hoe de governance, risicomanagement en interne beheersing in het verslag van de ondernemingen moeten worden beschreven. Enkele aandachtspunten:

• De requirements in deze norm zijn bedoeld om informatie te verschaffen die het inzicht van gebruikers (bijvoorbeeld investeerders of toezichthouders) vergroot in de impact van de onderneming op mens en milieu en de effecten van risico's en kansen, gerelateerd aan de impact en afhankelijkheden van de onderneming op mens en milieu, op de ontwikkeling, prestaties en positie van de onderneming op de korte, middellange en lange termijn en dus op haar vermogen om ondernemingswaarde te creëren.
• Deze norm moet o.a. worden toegepast in combinatie met enkele andere standaarden waaronder ESRS E1 (Klimaatverandering), ESRS E4 (Biodiversiteit en ecosystemen), ESRS S1 (Eigen personeel) en ESRS S4 (Betrokken gemeenschappen).
• Sectorspecifieke requirements worden afzonderlijk beschreven in ESRS SEC 1.

De VOR: een belangrijke stap voorwaarts in risicobeheer

De VOR is naast de CSRD en de ESRS G1 vanwege het dwingende karakter een aanvullende belangrijke stap voorwaarts in de ontwikkeling van het risicomanagement in Nederland. De VOR verplicht organisaties namelijk om zich bewust te zijn van de risico's die ze lopen, maatregelen te nemen om deze risico's te beheersen en verantwoording af te leggen over de effectiviteit van deze maatregelen hetgeen nauw aansluit op de Europese richtlijn CSRD en de uitwerking daarvan via de ESRS G1 standaard. De VOR is onderdeel van een gereviseerde Nederlandse Corporate Governance Code en daardoor verplicht voor beursgenoteerde vennootschappen.

Belangrijke eisen voor een VOR-verklaring zijn o.a.:

• Het bestuur onderneming inventariseert en analyseert de risico’s die verbonden zijn aan de strategie en de activiteiten van de vennootschap en de met haar verbonden onderneming. De inventarisatie en analyse dekt in ieder geval de strategische, operationele, compliance en verslaggevingsrisico’s. Het bestuur stelt de risicobereidheid vast en besluit welke maatregelen tegenover de risico’s worden gezet.
• Op basis van de risicobeoordeling ontwerpt, implementeert en onderhoudt het bestuur adequate interne risicobeheersings- en controlesystemen.
• Het bestuur legt verantwoording af over de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen. Hierin dient o.a. te worden verklaard dat de interne risicobeheersings- en controlesystemen ten minste een beperkte mate van zekerheid geven dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat. Hiervoor moet aansluiting worden gezocht met de CSRD en de bijbehorende ESRS.

De VOR heeft een aantal voordelen voor organisaties. Ten eerste kan het helpen om de kans op negatieve gevolgen van het toenemend aantal (continuïteits)risico's te verminderen. Ten tweede kan het helpen om de transparantie en accountability te verbeteren richting klanten, investeerders en toezichthouders en daarmee een concurrentievoordeel te behalen. En ten derde kan het helpen om de efficiëntie en effectiviteit van de organisatie te verbeteren. Immers, slechts risicomanagement kan uiteindelijk leiden tot crisismanagement!

_________________________________________________________________________________________________________

Martin de Bruin heeft 17 jaar ervaring als interim risicomanager -en verandermanager en beschikt over een ISO31000 certificering waarmee hij bedrijven en organisaties helpt om een nieuw risicomanagement framework in te richten of een bestaand risicomanagement framework te optimaliseren aan de hand van de ISO31000 Risicomanagement methodiek. Martin is verder gespecialiseerd in de implementatie van Europese richtlijnen. Voor de implementatie van CSRD  is Martin als Impactmaker aangesloten bij het CSRD Collectief, een samenwerkingsverband van zelfstandig professionals die organisaties helpen bij de implementatie van de Corporate Sustainability Reporting Directive (CSRD).

Wilt u weten hoe Martin of het CSRD Collectief u kan helpen om te voldoen aan de CSRD-wetgeving in het algemeen en risicobeheer in het bijzonder? Neem dan contact met hem op voor een vrijblijvend adviesgesprek via het contactformulier op de website www.creditrisk.nl. In dit gesprek kunt u samen met Martin uw specifieke situatie bespreken en een plan van aanpak opstellen voor het implementeren van een effectief risicomanagement framework of implementatie van CSRD via het CSDR Collectief.

• Uitvoeren risico assessment
• Schrijven Plan van aanpak
• Uitvoeren Dubbele materialiteitsanalyse
• Schrijven Duurzaamheidsbeleid
• Inrichten of Optimaliseren Risicomanagement (framework)