CSRD en de verplichte Verklaring Omtrent Risicobeheersing (VOR)
In december 2023 werd bekend dat de zogenaamde Verklaring Omtrent Risicobeheersing (VOR) wordt toegevoegd aan de Nederlandse Corporate Governance Code. Hierover zijn accountants, beleggers en bedrijven het eens geworden. Hieronder de vakbonden CNV en FNV, beleggersorganisaties VEB en Eumedion, beursmaatschappij Euronext, de vereniging van Effecten Uitgevende Ondernemingen (VEUO), de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) en ondernemersbelangenorganisatie VNO-NCW.
Een werkgroep onder voorzitterschap van de NBA is met dit voorstel gekomen om meer rekening te kunnen houden met zowel nationale als internationale ontwikkelingen op het gebied van risicobeheersing.
De VOR is een verklaring die door het bestuur van een organisatie moet worden afgelegd over de risico's die de organisatie loopt en hoe deze worden beheerst. De VOR moet voor het eerst worden opgenomen in het bestuursverslag over het boekjaar dat begint op of na 1 januari 2025.
In deze blog zal worden beschreven wat de VOR is en voor welke bedrijven dit verplicht is. In een eerdere blog ben ik ingegaan op het onderwerp risicomanagement in het kader van de implementatie van de Europese richtlijn CSRD (Corporate Sustainability Reporting Directive). De Verklaring Omtrent Risicobeheersing (VOR) kan niet geheel los worden gezien van deze richtlijn. Ook daar ga ik in deze blog op in.
Groeiend aantal continuïteitsrisico’s voor bedrijven: effectief risicomanagement noodzaak
De laatste jaren zijn de risico’s voor bedrijven aanzienlijk toegenomen. Risico’s die grote financiële consequenties kunnen hebben voor de levensvatbaarheid van bedrijven ofwel continuïteitsrisico’s.
Compliance risico
Dit type risico kan zich bijvoorbeeld manifesteren door het niet nakomen of overtreden van wet- en regelgeving met een boete van de toezichthouder als gevolg en mogelijk zelfs reputatieschade waardoor klanten weggaan.
Cyberrisico
Een tweede voorbeeld is het toenemend aantal cyberaanvallen (met behulp van AI) vanuit landen als Rusland, China, Noord-Korea en Iran of organisaties als Hamas en Hezbollah. Dit cyberrisico staat al jaren in de top 3 van grootste risico’s voor de continuïteit van een bedrijf. Door de geopolitieke ontwikkelingen in de wereld zal dit risico de komende jaren mogelijk alleen maar groter worden. Daarnaast zien criminelen online fraude en het stelen van data steeds meer als verdienmodel met een lage “pakkans”.
Klimaatrisico
Een derde voorbeeld is klimaatverandering en de hierop van toepassing zijnde wet- en regelgeving. De risico’s van klimaatverandering zijn evident. Denk bijvoorbeeld aan overstromingen die schade veroorzaken aan bedrijfspanden. Maar ook het niet (kunnen) voldoen aan de wetgeving over klimaatverandering, bijvoorbeeld CSRD, gaat een steeds groter risico voor bedrijven worden. In de volgende paragraaf ga ik hier verder op in.
Niet voldoen aan de CSRD is een continuïteitsrisico
De Europese richtlijn CSRD (Corporate Sustainability Reporting Directive) vereist dat bedrijven zowel negatieve als positieve duurzaamheidsrisico's beoordelen. De focus ligt op het belang van integere en beheerste bedrijfsvoering en het voldoen aan Environmental, Social, and Governance (ESG) normen. In mijn eerdere blog Implementatie CSRD: heeft u al een risico assessment gedaan? benadruk ik de noodzaak van een dubbele materialiteitsanalyse en een stappenplan voor de implementatie van CSRD, te starten met een risico assessment.
De Europese richtlijn Corporate Sustainability Reporting Directive (CSRD) zal vanaf 2024 een grote impact hebben op het risicomanagement van organisaties. De CSRD verplicht organisaties namelijk om uitgebreide informatie te rapporteren over hun duurzaamheidsrisico's.
Deze informatie moet onder meer betrekking hebben op:
- De aard en omvang van de duurzaamheidsrisico's;
- De impact van de duurzaamheidsrisico's op de organisatie;
- De maatregelen die de organisatie heeft genomen om de duurzaamheidsrisico's te beheersen.
Dit betekent dat bedrijven hun duurzaamheidsrisico's moeten identificeren, analyseren en beheersen. De CSRD stelt geen specifieke eisen aan de manier waarop bedrijven dit moeten doen. Wel wordt verwacht dat bedrijven een systematische en transparante aanpak volgen. De richtlijn schrijft echter geen specifieke risicomanagement methodiek voor. Die keuze is aan de bedrijven zelf.
De CSRD heeft een aantal belangrijke gevolgen voor het risicomanagement van bedrijven. Ten eerste wordt het belang van risicomanagement nog eens benadrukt. Ten tweede worden de eisen aan het risicomanagement steeds hoger. En ten derde worden bedrijven verplicht om hun risicomanagement te integreren met hun duurzaamheidsbeleid.
Het niet voldoen aan de CSRD is voor bedrijven in toenemende mate een zogenaamd verslaggevingsrisico wat uiteindelijk kan leiden tot een continuïteitsrisico. Als een bedrijf bijvoorbeeld niet duurzaam genoeg presteert of zelfs doet aan greenwashing (het zich groener of maatschappelijk verantwoordelijker voordoen dan een bedrijf of organisatie daadwerkelijk is), dan kan dat tot rechtszaken en uiteindelijk tot financiële claims leiden. Google maar eens op “greenwashing” + “voorbeelden bedrijven”.
Let op de ESRS-standaard: governance, risicomanagement en interne beheersing (ESRS G1)
De Europese richtlijn CSRD is in 2022 door de European Financial Reporting Advisory Group (EFRAG) uitgewerkt in de zogenaamde ESRS standaarden (European Sustainability Reporting Standards).
De EFRAG adviseert de Europese Commissie over goedkeuring van internationale verslaggevingsstandaarden (IFRS) voor gebruik binnen Europa. De ESRS-standaarden zijn onder andere bedoeld om de kwaliteit, consistentie en vergelijkbaarheid van de duurzaamheidsrapportage door grote bedrijven in de EU te verbeteren. In juli 2023 is de set aan de ESRS-standaarden door de Europese Commissie formeel aangenomen.
De ESRS standaarden zijn uitgewerkte normen die invulling geven aan de verplichte CSRD-rapportage. Hieronder de norm Governance, risicomanagement en interne beheersing waarin ik vanuit mijn risicomanagement achtergrond vooral in geïnteresseerd ben. Deze norm is bekend als ESRS G1. Enkele aandachtspunten hieronder:
De requirements in deze norm zijn bedoeld om informatie te verschaffen die het inzicht van gebruikers (bijvoorbeeld investeerders of toezichthouders) vergroot in de impact van de onderneming op mens en milieu en de effecten van risico's en kansen, gerelateerd aan de impact en afhankelijkheden van de onderneming op mens en milieu, op de ontwikkeling, prestaties en positie van de onderneming op de korte, middellange en lange termijn en dus op haar vermogen om ondernemingswaarde te creëren.
Deze norm moet o.a. worden toegepast in combinatie met enkele andere standaarden waaronder ESRS E1 (Klimaatverandering), ESRS E4 (Biodiversiteit en ecosystemen), ESRS S1 (Eigen personeel) en ESRS S4 (Betrokken gemeenschappen).
Sectorspecifieke requirements worden afzonderlijk beschreven in ESRS SEC 1.
Belangrijke eisen VOR-verklaring o.a.
- Het bestuur onderneming inventariseert en analyseert de risico’s die verbonden zijn aan de strategie en de activiteiten van de vennootschap en de met haar verbonden onderneming. De inventarisatie en analyse dekt in ieder geval de strategische, operationele, compliance en verslaggevingsrisico’s. Het bestuur stelt de risicobereidheid vast en besluit welke maatregelen tegenover de risico’s worden gezet.
- Op basis van de risicobeoordeling ontwerpt, implementeert en onderhoudt het bestuur adequate interne risicobeheersings- en controlesystemen.
- Het bestuur legt verantwoording af over de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen. Hierin dient o.a. te worden verklaard dat de interne risicobeheersings- en controlesystemen ten minste een beperkte mate van zekerheid geven dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat. Hiervoor moet aansluiting worden gezocht met de CSRD en de bijbehorende ESRS.
Slecht risicomanagement leidt tot crisismanagement
De VOR heeft een aantal voordelen voor organisaties. Ten eerste kan het helpen om de kans op negatieve gevolgen van het toenemend aantal (continuïteits)risico's te verminderen. Ten tweede kan het helpen om de transparantie en accountability te verbeteren richting klanten, investeerders en toezichthouders en daarmee een concurrentievoordeel te behalen. En ten derde kan het helpen om de efficiëntie en effectiviteit van de organisatie te verbeteren. Immers, slechts risicomanagement kan uiteindelijk leiden tot crisismanagement!