In december 2023 werd bekend dat de Verklaring Omtrent Risicobeheersing (VOR) wordt toegevoegd aan de Nederlandse Corporate Governance Code. Hierover zijn accountants, beleggers en bedrijven het eens geworden. De VOR is een verklaring die door het bestuur van een organisatie moet worden afgelegd over de risico’s die de organisatie loopt en hoe deze worden beheerst. De VOR moet voor het eerst worden opgenomen in het bestuursverslag over het boekjaar dat begint op of na 1 januari 2025.

In deze blog beschrijf ik wat de VOR is en voor welke bedrijven dit verplicht is. In een eerdere blog ben ik ingegaan op het onderwerp risicomanagement in het kader van de implementatie van de Europese richtlijn CSRD (Corporate Sustainability Reporting Directive). De Verklaring Omtrent Risicobeheersing (VOR) kan niet geheel los worden gezien van deze richtlijn. Ook daar ga ik in deze blog op in.

Groeiend aantal continuïteitsrisico’s voor bedrijven: effectief risicomanagement noodzaak

De laatste jaren zijn de risico’s voor bedrijven aanzienlijk toegenomen. Risico’s die grote financiële consequenties kunnen hebben voor de levensvatbaarheid van bedrijven ofwel continuïteitsrisico’s. Dit type risico kan zich bijvoorbeeld manifesteren door het niet nakomen of overtreden van wet- en regelgeving met een boete van de toezichthouder als gevolg en mogelijk zelfs reputatieschade waardoor klanten weggaan. Een tweede voorbeeld is het toenemend aantal cyberaanvallen (met behulp van AI) vanuit landen als Rusland, China, Noord-Korea en Iran of organisaties als Hamas en Hezbollah. Dit cyberrisico staat al jaren in de top 3 van grootste risico’s voor de continuïteit van een bedrijf. Een derde voorbeeld is klimaatverandering en de hierop van toepassing zijnde wet- en regelgeving.

Niet voldoen aan de CSRD is een continuïteitsrisico

De CSRD zal vanaf 2024 een grote impact hebben op het risicomanagement van organisaties. De CSRD verplicht organisaties namelijk om uitgebreide informatie te rapporteren over hun duurzaamheidsrisico’s. Dit betekent dat bedrijven hun duurzaamheidsrisico’s moeten identificeren, analyseren en beheersen. De CSRD stelt geen specifieke eisen aan de manier waarop bedrijven dit moeten doen. Wel wordt verwacht dat bedrijven een systematische en transparante aanpak volgen.

De CSRD vereist dat bedrijven zowel negatieve als positieve duurzaamheidsrisico’s beoordelen. Daarbij ligt de focus op het belang van een integere en beheerste bedrijfsvoering en het voldoen aan Environmental, Social, and Governance (ESG) normen. Het niet voldoen aan de CSRD is voor bedrijven in toenemende mate een zogenaamd verslaggevingsrisico wat uiteindelijk kan leiden tot een continuïteitsrisico. Als een bedrijf bijvoorbeeld niet duurzaam genoeg presteert of zelfs doet aan greenwashing (het zich groener of maatschappelijk verantwoordelijker voordoen dan een bedrijf of organisatie daadwerkelijk is), dan kan dat tot rechtszaken en uiteindelijk tot financiële claims leiden. Google maar eens op “greenwashing” + “voorbeelden bedrijven”.

De CSRD is uitgewerkt in de zogenaamde ESRS standaarden (European Sustainability Reporting Standards). Hieronder de norm Governance, risicomanagement en interne beheersing waarin ik vanuit mijn risicomanagement achtergrond vooral in geïnteresseerd ben. Deze norm is bekend als ESRS G1.

De VOR: een belangrijke stap voorwaarts in risicobeheer

De Verklaring Omtrent Risicobeheersing (VOR) is naast de CSRD vanwege het dwingende karakter een aanvullende belangrijke stap voorwaarts in de doorontwikkeling van het risicomanagement in Nederland. De VOR verplicht beursgenoteerde vennootschappen namelijk om zich bewust te zijn van de risico’s die ze lopen, maatregelen te nemen om deze risico’s te beheersen en verantwoording af te leggen over de effectiviteit van deze maatregelen hetgeen nauw aansluit op de Europese richtlijn CSRD.

Belangrijke eisen voor een VOR-verklaring zijn o.a. het inventariseren en analyseren van de risico’s van het bedrijf, de implementatie van mitigerende maatregelen en verantwoording afleggen over de effectiviteit van opzet en werking van de interne risicobeheersingsmaatregelen en systemen ten aanzien van duurzaamheidsverslaggeving. Hiervoor moet aansluiting worden gezocht met de CSRD, in het bijzonder de ESRS G1 standaard.

Martin de Bruin van Credit Risk heeft 17 jaar ervaring als interim risicomanager -en verandermanager en beschikt over een ISO31000 en Agile Coach certificering waarmee hij bedrijven en organisaties helpt om haar risicomanagement in te richten of te verbeteren en helpt om Europese richtlijnen te implementeren.