De NBA, Nederlandse Beroepsorganisatie van Accountants, pleit voor een verplichte Verklaring omtrent Risicobeheersing (VOR) voor ondernemingen. Dit in een reactie op het voorstel van de Monitoring Commissie Corporate Governance Code waar helaas de verdiepingsslag achterwege blijft.
Governance Codes en risicomanagement kennen een lange geschiedenis. In 1997 verschenen de 40 aanbevelingen van de commissie Peters waarvan één refereert naar risicomanagement “De raad van bestuur bespreekt één keer per jaar het risicobeheerssysteem met de RvC”. Niemand wist destijds wat hiermee werd bedoeld. Maar gelukkig is in elke vernieuwde Governance Code het onderwerp risicobeheersing steeds concreter omschreven en moet de RvB in de nu geldende Governance Code van Jaap van Maanen zelf een risicoanalyse doen en de risk appetite vaststellen. Ook is men duidelijk over de verantwoording in het bestuursverslag;
1.4.2 Verantwoording in het bestuursverslag
Het bestuur legt in het bestuursverslag verantwoording af over:
i. de uitvoering van het risicobeoordeling en beschrijft de voornaamste risico’s waarvoor de vennootschap zich geplaatst ziet in relatie tot haar risicobereidheid. Hierbij kan gedacht worden aan strategische, operationele, compliance en verslaggevingsrisico’s;
ii. de opzet en werking van de interne risicobeheersings- en controlesystemen over het afgelopen boekjaar;
NBA Verklaring omtrent risicobeheersing
In het meest recente voorstel van de Monitoring Commissie zit te weinig vernieuwing op risicomanagement. De reden waarom de NBA hier extra aandacht voor vraagt, zijn de toenemende externe onzekerhedenrisico’s voor veel bedrijven zoals klimaat, pandemie, geografische- en demografische ontwikkelingen, toenemende wet- en regelgeving en supply chain problemen. Hoe bedrijven met deze risico’s omgaan bepaalt het risicoprofiel van de organisatie en dit komt steeds vaker ook op het bord van de accountant om hier een oordeel over te geven. In het schrijven van de NBA wordt verwezen naar een wetenschappelijk onderzoek door de Universiteit van leiden in opdracht van het Ministerie van Financiën.“Versterking verantwoordingsketen” Universiteit van Leiden
De onderzoekers geven aan dat goed functionerende interne risicobeheersings- en controlesystemen cruciaal zijn voor goed ondernemingsbestuur en dat er op dit terrein nog wel wat verbeterd kan worden.
De onderzoekers bevelen daarom aan dat het bestuur dient te verklaren of en in hoeverre de entiteit beschikt over effectieve en adequate risicobeheersings- en controlesystemen van operationele-, compliance- en verslaggevingsrisico’s, weergegeven in een Verklaring omtrent Risicobeheersing.
INTERVENTIE 1: INVOERING VERKLARING OMTRENT RISICOBEHEERSING
Wij bevelen aan dat het bestuur dient te verklaren of en in hoeverre de entiteit beschikt over effectieve en adequate risicobeheersings- en controlesystemen van operationele-, compliance- en verslaggevingsrisico’s, weergegeven in een Verklaring omtrent Risicobeheersing.
Deze dient wettelijk verankerd te worden in Boek 2 BW. Deze verklaring kan
i) als specifiek onderdeel van of als bijlage bij het bestuursverslag, of
ii) ii) langs elektronische weg waardoor de verklaring rechtstreeks en permanent toegankelijk is, mits de gecontroleerde entiteit in het bestuursverslag vermeldt waar de verklaring voor het publiek elektronisch beschikbaar is. De Verklaring omtrent Risicobeheersing zou dienen te gelden voor grote rechtspersonen, dat wil zeggen dat de regeling geldt voor een rechtspersoon die op twee opeenvolgende balansdata, zonder onderbreking nadien op twee opeenvolgende balansdata, niet heeft voldaan aan ten minste twee van de vereisten als bedoeld in art. 2:397 leden 1 en 2 BW. Na enkele jaren kan dit worden geëvalueerd. Wij bevelen voorts aan om een normenkader op te stellen. Er dient een commissie te worden aangesteld om dit normenkader nader in te vullen. Deze commissie zou een vertegenwoordiging kunnen behelzen van de verschillende betrokken stakeholders. De accountant kan over de Verklaring omtrent Risicobeheersing een beoordelingsverklaring (NV COS 3000) afgeven. Er dient voor accountants een normenkader te worden ontwikkeld en te worden vastgelegd.
De gedachte is dat door het voorschrijven van een dergelijke verklaring de kwaliteit van de interne risicobeheersings- en controlesystemen verbetert en daardoor de kwaliteit van de accountantscontrole toeneemt. De gedachte is dat een in control statement verkeerde verwachtingen wekt en dat de verklaring in eerste instantie niet voor strategisch externe risico’s geldt. Dit laatste is wel opmerkelijk aangezien de NBA juist wel een aantal externe risico’s noemt als argument voor het invoeren van de verklaring.
De onderzoekers pleitten ook voor een principle based aanpak; niet zozeer de uitkomsten, maar het proces wordt belangrijker: welke discussiepunten, en kritische aspecten zijn besproken, welke afwegingen zijn gemaakt?”
Stappen op weg naar een verklaring risicobeheersing
Door een verklaring wordt nog duidelijker dat risicomanagement écht op de directietafel hoort. Dit was al zo, maar door een dergelijke verklaring nog scherper. Ook onze mening is dat een verplichte verklaring kan helpen de risicobeheersing te verbeteren. Uit onze ervaring met de verplichte risicoparagraaf voor gemeenten blijkt dit namelijk.
Hoe dan ook. Er zijn vanuit de huidige Goverance Code al genoeg argumenten om risk en control vorm te geven!
Een verklaring kan een lege huls zijn en daarom zal de directie een duidelijk beeld moeten hebben van de aanwezige risicobeheersing in de organisatie. Daarbij zal de focus op de operationele risico’s en controls liggen oftewel breng in ieder geval die risico’s in beeld waar je als organisatie grip op kunt hebben. Daarnaast is ook belangrijk rekening te houden met de impact en dynamiek van externe en strategische risico’s. Vandaag is het een pandemie, morgen een oorlog en overmorgen een instortende economie. Deze risico’s hebben impact op de operationele processen en risico’s en noodzakelijke controls. Dit zorgt ervoor dat het geen eenmalige exercitie mag zijn maar een continu proces. Een control dashboard met daarin overzicht van de controls decentraal, de aanbevelingen, en het feit dat dit expliciet besproken is zou daarbij helpen. Hiervoor is wel een vereiste dat conform het 3 Lines Model de directie het onderwerp delegeert inclusief middelen. Dit betekent dat de risicomanager een helder mandaat heeft, goede positionering, budget voor training advies en tooling.