3LM / 3LoD / Control framework / GRC-software / Verklaring op risicobeheersing / www.naris.com

Nieuwe verklaring op risicobeheersing

robertthart's avatarGeplaatst door

Goed bestuur is goed risicomanagement en dit is breder dan een enkele verklaring op risicobeheersing. Als je je risico’s goed managed dan haal je je doelen, kom je je afspraken naar je stakeholders na en ben je als bestuur betrouwbaar.

Je kunt het ook omdraaien; slecht bestuur is slecht risicomanagement. In de praktijk gebeurt het helaas nog vaak; bestuurders die volhouden dat ze geen risico’s hebben of dat ze 100% in control zijn. Is dit nu een teken van kracht of van zwakte?  Is het niet zo dat alleen sterke mensen zich kwetsbaar durven op te stellen (en risico’s en dilemma’s openlijk durven te bespreken)?  

Gelukkig zijn er door de vele financiële schandalen en boekhoudfraudes wereldwijd governance codes ontstaan waarin risicomanagement een steeds belangrijk onderdeel is geworden. In december 2023 is er een verklaring op risicobeheersing ingevoerd. Gaat dit helpen en is dit nu goed risicomanagement of is het een papieren tijger? In deze blog ga ik op zoek naar een antwoord. Eerst een korte geschiedenis van de relatie governance en risicomanagement.

Geschiedenis governance en risicomanagement

 “De RvB bespreekt één keer per jaar het risicobeheerssysteem met de RvC”. Zo klinkt een van de 40 aanbevelingen van de commissie van Jaap Peters in 1997. Een “risicobeheerssysteem”? Niemand wist destijds wat hiermee werd bedoeld, dat werd aan de markt overgelaten.

Verklaring op risicobeheersing gaat niet over de verklaring zelf maar over goed risicomanagement. Dit betekent dat er aantoonbaar risicodialogen plaatsvinden.

In de opvolgende codes Tabaksblat (2004), Frijns (2008) werd risicomanagement steeds meer geconcretiseerd en werd de scope van financiële verslaggevingsrisico’s verbreedt naar o.a. strategische en operationele risico’s, financiële risico’s, wet- en regelgevingsrisico’s. Ook werd meer concreet aangegeven dat niet alle risico’s gerapporteerd hoeven te worden maar alleen de belangrijkste risico’s waarvoor de vennootschap zich geplaatst ziet. Ook wordt aangegeven dat kwantificering van de beschreven risico’s een positief effect hebben op de informatieve waarde van de beschrijving. Ook veranderde de koers van alleen achteraf controleren naar meer de dagelijkse praktijk en een in de praktijk werkend risicobeheerssysteem. Meer vooraf kijken wat de risico’s zijn en hoe men daar mee omgaat.

De code van Jaap van Maanen (2016) legde de focus op de waardecreatie op de lange termijn en een adequaat systeem voor de beheersing van risico’s. Ook maakte de code duidelijk wat de rol van het bestuur zelf was, omdat niet alles te delegeren is. Dat een risicomanager 5 lagen onder de raad van bestuur niet werkte was inmiddels duidelijk geworden.

Het bestuur heeft de verplichting zelf een risicoanalyse doen en de risk appetite vaststellen. Eigenlijk kun je als bestuur dit risicomanagement niet delegeren.

Ook is een aparte paragraaf over de risicocultuur van de organisatie en is men duidelijk over de verantwoording in het bestuursverslag:

  • de uitvoering van het risicobeoordeling en beschrijft de voornaamste risico’s waarvoor de vennootschap zich geplaatst ziet in relatie tot haar risicobereidheid. Hierbij kan gedacht worden aan strategische, operationele, compliance en verslaggevingsrisico’s;

  • de opzet en werking van de interne risicobeheersings- en controlesystemen over het afgelopen boekjaar.

Verklaring op risicobeheersing

Eind 2023 wordt na de oproep van de NBA de VOR in de governance code opgenomen en wordt risicomanagement nog concreter.

Het bestuur verklaart in het bestuursverslag met een duidelijke onderbouwing:

-dat het verslag in voldoende mate inzicht geeft in tekortkomingen in de werking van de interne risicobeheersings- en controlesystemen;

-redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat;

-beperkte mate van zekerheid geven dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat;

-Aangegeven wordt welk niveau van zekerheid er is dat de operationele en compliance risico’s effectief worden beheerst;dat het naar de huidige stand van zaken gerechtvaardigd is dat de financiële verslaggeving is opgesteld op going concern basis; en

-dat in het verslag de materiële risico’s zijn vermeld die de continuïteit 12 maanden na de opstelling van het jaarverslag kunnen bedreigen. Denk hierbij aan strategische, operationele, compliance en verslaggevingsrisico’s zijn risico’s als klimaatverandering, sociale ongelijkheid, fiscale risico’s, frauderisico’s, witwasrisico’s en risico’s van informatie- en communicatietechnologie (waaronder op het gebied van cybersecurity, leveranciers- en ketenafhankelijkheden, data protectie en risico’s verbonden aan nieuwe technologieën en veranderende businessmodellen, zoals op het gebied van ethisch verantwoorde toepassing van nieuwe technologieën (bijvoorbeeld Responsible AI).

Verklaring op risicobeheersing = risicomanagement = risicodialoog

Het gaat natuurlijk niet om de verklaring zelf maar om wat er achter zit. Door de verklaring op risicobeheersing wordt wel geborgd dat risicomanagement een essentieel onderdeel is van goed bestuur en dat het onderwerp serieus genomen dient te worden. Maar een bestuur kan niet alles alleen en dient ondersteunt te worden om de risicomanagement-informatie op te halen.

Dus om te voorkomen dat de verklaring een lege huls of papieren tijger dient er een gezonde cultuur rondom risicomanagement te worden gecreëerd. ……….

Dit kan door het juiste voorbeeldgedrag en een goede positionering van een risk facilitator welke de organisatie op weg helpt met het voeren en vastleggen van het juiste gesprek (risicodialoog). Daarnaast moet om overzicht in het risicolandschap te behouden en dubbelingen te voorkomen er een risico-identifcatiestructuur worden vastgesteld.

Hoe verbinden we de VOR met echt risicomanagement?

Er zijn grenzen aan transparantie en niet alles kan naar buiten. Hoe laat je dan wel zien dat je risicobeheersing op orde is? Om de verklaring op risicobeheersing te verbinden met “echt”risicomanagement een paar ideeën:

  • Laat zien dat je niet 100% in control wilt en kunt zijn. Maak bijv. een koppeling tussen risk appetite en de VOR. Bij een lage appetite dus extra aandacht voor de controls.
  • Leg het aantal risicodialogen op de verschillende niveau’s vast.
  • Benoem de kennis en kunde rondom risicobeheersing door aantal gevolgde trainingen te vermelden.
  • Benoem de top 10 stijgers en dalers per organisatieonderdeel/ project of proces
  • Laat per proces zien hoe de three lines zijn ingericht en of ze werken.
  • Maak de meldcultuur concreet door in de verklaring het aantal meldingen en signalen van misstanden en onregelmatigheden te rapporteren (inclusief de vervolgacties).
  • ………………………………………………………………………………………………………………………………………………………………………

Welke mis ik?????

Plaats een reactie