Dialoogpaper over de verklaring omtrent risicobeheersing (VOR) vanuit de NBA
UPDATE 20 november 2024:
Het IIA heeft de VOR nog concreter gemaakt met: PRACTICE GUIDE VOR EN DE INTERNAL AUDITFUNCTIE.
Verklaring Omtrent Risicobeheersing
Door de verplichte Verklaring Omtrent Risicobeheersing (VOR) mag worden verwacht dat bestuurders en commissarissen meer eigenaarschap nemen voor risicobeheersing en de externe verantwoording daarover.
Deze verklaring dient dan naar alle waarschijnlijkheid over verantwoordingsjaar 2025 afgelegd te worden. Mits de nieuwe Monitoring Commissie Corporate Governance Code het VOR-voorstel onderdeel laat worden van de Code (en die aangepaste Code vervolgens nog in 2024 wettelijk wordt verankerd).
Dialoogpaper
Het recent verschenen NBA-dialoogpaper van 29 juli 2024 geeft een aantal mogelijke denkrichtingen rondom de impact van de VOR vanuit het perspectief van de externe accountant. Dit omdat de verklaring omtrent risicobeheersing vooralsnog behoorlijk veel vrijheid aan bestuurders en commissarissen geeft omtrent de invulling hiervan. Het lijkt daarmee aan de markt overgelaten om hier een concrete invulling aan te geven. Open normen zijn natuurlijk fijn maar het zal toch helpen concreet aan te geven wat er nu verwacht wordt rondom risicobeheersing.
Gelukkig geldt dit ook voor de externe accountant aangezien zij de corporate governance informatie in het bestuursverslag en RVC-verslag – waaronder de VOR – moet toetsen (NV COS 720). Daarom zijn uit deze dialoogpaper waardevolle inzichten te halen die de verwachtingen rondom de VOR wellicht wat concreter maken.
De verwachte vragen
Hieronder een aantal vragen gedestilleerd uit het dialoogpaper die de bestuurders en commissarissen voor het verantwoordingsjaar 2025 kunnen verwachten:
- Hoe ziet de organisatie en haar stakeholders de Verklaring omtrent risicobeheersing;
- (a) geen in control statement
- (b) een impliciet in control statement
- (c) een expliciet control statement (de effectieve werking van controls)
- Hoe onderbouw je als bestuur de VOR?
- Wat is de wijze van evaluatie van effectiviteit van de risicobeheersing (inclusief omgaan met tekortkomingen)?
- Hoe is de onderbouwing van de periodieke evaluatie van de effectiviteit van risicobeheersings en controlesystemen vormgegeven?
- Welk specifiek raamwerk (bijvoorbeeld COSO, ISO31000) voor risicobeheersing is toegepast;
- Welke definities voor redelijke en beperkte mate van zekerheid & belangrijke tekortkomingen worden gehanteerd.
- Hoe zie je als auditcommissie toe op de VOR, de onderbouwing daarvan, de rapportage daarover aan de RvC en de verantwoording daarover in het rvc-verslag?
- Hoe gaat de organisatie om met vragen van aandeelhouders over de VOR in de Algemene Vergadering van Aandeelhouders (AvA)?
Kenmerken
Tot slot wordt gedacht dat de accountants aantal typerende kenmerken zullen benoemen rondom de wijze waarop de organisatie omgaat met risicobeheersing.
Denk hierbij zeker aan; aantal wisselingen op control, positionering risicomanagement, kennis en kunde personeel, incident management op orde, om maar wat te noemen.