CSRD en de verplichte Verklaring Omtrent Risicobeheersing (VOR)

In december 2023 werd bekend dat de zogenaamde Verklaring Omtrent Risicobeheersing (VOR) wordt toegevoegd aan de Nederlandse Corporate Governance Code. Hierover zijn accountants, beleggers en bedrijven het eens geworden. Hieronder de vakbonden CNV en FNV, beleggersorganisaties VEB en Eumedion, beursmaatschappij Euronext, de vereniging van Effecten Uitgevende Ondernemingen (VEUO), de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) en ondernemersbelangenorganisatie VNO-NCW. 

Een werkgroep onder voorzitterschap van de NBA is met dit voorstel gekomen om meer rekening te kunnen houden met zowel nationale als internationale ontwikkelingen op het gebied van risicobeheersing.

De VOR is een verklaring die door het bestuur van een organisatie moet worden afgelegd over de risico's die de organisatie loopt en hoe deze worden beheerst. De VOR moet voor het eerst worden opgenomen in het bestuursverslag over het boekjaar dat begint op of na 1 januari 2025. 

In deze blog zal worden beschreven wat de VOR is en voor welke bedrijven dit verplicht is. In een eerdere blog ben ik ingegaan op het onderwerp risicomanagement in het kader van de implementatie van de Europese richtlijn CSRD (Corporate Sustainability Reporting Directive). De Verklaring Omtrent Risicobeheersing (VOR) kan niet geheel los worden gezien van deze richtlijn. Ook daar ga ik in deze blog op in.

Groeiend aantal continuïteitsrisico’s voor bedrijven: effectief risicomanagement noodzaak

De laatste jaren zijn de risico’s voor bedrijven aanzienlijk toegenomen. Risico’s die grote financiële consequenties kunnen hebben voor de levensvatbaarheid van bedrijven ofwel continuïteitsrisico’s. 

Compliance risico

Dit type risico kan zich bijvoorbeeld manifesteren door het niet nakomen of overtreden van wet- en regelgeving met een boete van de toezichthouder als gevolg en mogelijk zelfs reputatieschade waardoor klanten weggaan. 

Cyberrisico

Een tweede voorbeeld is het toenemend aantal cyberaanvallen (met behulp van AI) vanuit landen als Rusland, China, Noord-Korea en Iran of organisaties als Hamas en Hezbollah. Dit cyberrisico staat al jaren in de top 3 van grootste risico’s voor de continuïteit van een bedrijf. Door de geopolitieke ontwikkelingen in de wereld zal dit risico de komende jaren mogelijk alleen maar groter worden. Daarnaast zien criminelen online fraude en het stelen van data steeds meer als verdienmodel met een lage “pakkans”. 

Klimaatrisico

Een derde voorbeeld is klimaatverandering en de hierop van toepassing zijnde wet- en regelgeving. De risico’s van klimaatverandering zijn evident. Denk bijvoorbeeld aan overstromingen die schade veroorzaken aan bedrijfspanden. Maar ook het niet (kunnen) voldoen aan de wetgeving over klimaatverandering, bijvoorbeeld CSRD, gaat een steeds groter risico voor bedrijven worden. In de volgende paragraaf ga ik hier verder op in.

Niet voldoen aan de CSRD is een continuïteitsrisico

De Europese richtlijn CSRD (Corporate Sustainability Reporting Directive) vereist dat bedrijven zowel negatieve als positieve duurzaamheidsrisico's beoordelen. De focus ligt op het belang van integere en beheerste bedrijfsvoering en het voldoen aan Environmental, Social, and Governance (ESG) normen. In mijn eerdere blog Implementatie CSRD: heeft u al een risico assessment gedaan? benadruk ik de noodzaak van een dubbele materialiteitsanalyse en een stappenplan voor de implementatie van CSRD, te starten met een risico assessment. 

De Europese richtlijn Corporate Sustainability Reporting Directive (CSRD) zal vanaf 2024 een grote impact hebben op het risicomanagement van organisaties. De CSRD verplicht organisaties namelijk om uitgebreide informatie te rapporteren over hun duurzaamheidsrisico's.