Linkedin

Verklaring omtrent Risicobeheersing (VoR): Update Corporate Governance Code 2025

Contact us

Verklaring omtrent Risicobeheersing: geen papieren tijger

Verklaring omtrent risicobeheersing (vor)

Table of Contents

De Verklaring omtrent Risicobeheersing (VoR) is een belangrijk nieuw onderdeel van de Nederlandse corporate governance. Per 20 maart 2025 heeft de Monitoring Commissie Corporate Governance Code (MCCG) de Corporate Governance Code 2025 geactualiseerd met de introductie van deze verklaring. De VoR verplicht het bestuur van (primair) beursgenoteerde vennootschappen om expliciet verantwoording af te leggen over de opzet en werking van de interne risicobeheersings- en controlesystemen van de onderneming.

 

Deze pagina biedt bestuurders, commissarissen, risk managers en auditors een helder overzicht van wat de VoR inhoudt, waarom deze is ingevoerd, wie verantwoordelijk is en hoe u zich effectief kunt voorbereiden op deze nieuwe verplichting. 

 

Let op: De afkorting VoR wordt in de context van governance gebruikt en dient niet verward te worden met de gelijknamige term uit de luchtvaartnavigatie.

Wat is de VoR onder de Code 2025?

De Verklaring omtrent Risicobeheersing is een principle-based verplichting binnen de Corporate Governance Code 2025. Dit betekent dat de Code het doel beschrijft, maar ondernemingen ruimte laat voor een eigen invulling die past bij hun specifieke situatie.

Kernpunten van de VoR:

  • Bestuursverklaring: Het bestuur legt in het bestuursverslag een verklaring af over de risicobeheersing.
  • Focus op Risico’s: De verklaring adresseert de voornaamste risico’s voor de onderneming, inclusief strategische, operationele, compliance-, verslaggevings- en continuïteitsrisico’s (zoals op het gebied van financiën, duurzaamheid (ESG), operaties).
  • Beschrijving Systemen: Het bestuur beschrijft de opzet van de interne risicobeheersings- en controlesystemen in relatie tot deze risico’s.
  • Effectiviteitsbeoordeling: Het bestuur moet jaarlijks de effectiviteit van deze systemen beoordelen.
  • Werking: De verklaring gaat in op de werking van de systemen gedurende het verslagjaar.
  • Significante Tekortkomingen: Eventuele significante tekortkomingen in de systemen en de genomen of voorgestelde maatregelen moeten worden vermeld.

VoR versus 'In Control Statement'

Hoewel de term ‘In Control Statement’ (ICS) soms wordt gebruikt, verschilt de Nederlandse VoR hiervan. Striktere ICS-varianten (zoals in het VK) vereisen vaak een expliciete publieke uitspraak óver de effectiviteit van de systemen. De Nederlandse Code 2025 vereist weliswaar de beoordeling van de effectiviteit, maar (mede vanwege aansprakelijkheidsoverwegingen) niet noodzakelijkerwijs een harde, publieke conclusie over die effectiviteit in het bestuursverslag zelf. De focus ligt meer op transparantie over het proces, de systemen en de belangrijkste risico’s.

In Control Statement

Waarom is de VoR Ingevoerd? Achtergrond en Belang

De introductie van de VoR is een reactie op de toenemende complexiteit en impact van risico’s in de moderne (VUCA) wereld. Denk aan:

  • Klimaatverandering en duurzaamheidsrisico’s (ESG).
  • Geopolitieke instabiliteit en supply chain-problematiek.
  • Cybersecurity dreigingen.
  • Pandemieën en gezondheidscrises.
  • Toenemende wet- en regelgeving.

De VoR beoogt:

  • De kwaliteit van bestuur en toezicht op het gebied van risicomanagement te verhogen.
  • De verantwoordelijkheid van het bestuur voor risicobeheersing te benadrukken.
  • Transparantie te bieden aan stakeholders (aandeelhouders, financiers, medewerkers, maatschappij) over hoe de onderneming omgaat met haar voornaamste risico’s.
  • Een impuls te geven aan de structurele inbedding van risicomanagement en interne beheersing in de organisatie.

Verantwoordelijkheden: Bestuur, Toezicht en Auditcommissie

De verantwoordelijkheden rond de VoR zijn als volgt verdeeld:

  • Bestuur (Directie): Is primair verantwoordelijk voor het opzetten, implementeren en monitoren van de risicobeheersings- en controlesystemen en voor het afgeven van de VoR in het bestuursverslag.
  • Raad van Commissarissen (RvC) / Raad van Toezicht (RvT): Houdt toezicht op de uitvoering van de strategie, de werking van de interne risicobeheersings- en controlesystemen en beoordeelt de VoR.
  • Auditcommissie: Speelt een expliciete, belangrijke rol. De Code 2025 verwacht dat de auditcommissie de systemen voor interne controle en risicomanagement beoordeelt, inclusief eventuele bevindingen van interne en externe auditors, en adviseert de RvC/RvT hierover in relatie tot de VoR.
  • Interne Audit / Risk Management Functies: Ondersteunen het bestuur en de auditcommissie bij de uitvoering, monitoring en rapportage over risicobeheersing.

Hoe Implementeert je de VoR Effectief? Stappenplan

Een robuuste VoR is geen papieren tijger, maar het resultaat van een gedegen proces. Het COSO framework voor Internal Control en Enterprise Risk Management biedt een goede basis. Overweeg de volgende stappen:

1. Governance & Cultuur:

Een robuuste VoR is geen papieren tijger, maar het resultaat van een gedegen proces. Het COSO framework voor Internal Control en Enterprise Risk Management biedt een goede basis. Overweeg de volgende stappen:

2. Strategie & Risicobereidheid (Risk Appetite)

  • Identificeer de belangrijkste strategische, operationele, compliance en financiële risico’s in relatie tot de ondernemingsdoelstellingen.
  • Bepaal de risicobereidheid (risk appetite) van de organisatie.

3. Uitvoering Risicomanagement:

  • Implementeer processen voor risico-identificatie, -analyse (kans en impact) en -respons (accepteren, vermijden, verminderen, delen).
  • Identificeer en documenteer key controls om de belangrijkste risico’s te beheersen.
  • Zorg voor adequate vastlegging in bijvoorbeeld een risicoregister en control frameworks.

4. Monitoring & Herziening:

  • Implementeer doorlopende monitoring van risico’s en de effectiviteit van controls.
  • Voer periodieke evaluaties en tests uit (bijv. door internal audit of proceseigenaren).
  • Pas systemen en controls aan op basis van bevindingen en veranderende omstandigheden.

5. Informatie, Communicatie & Rapportage:

  • Zorg voor tijdige en relevante informatievoorziening over risico’s en controls binnen de organisatie.
  • Documenteer het proces van risicobeoordeling en de evaluatie van de systeemeffectiviteit zorgvuldig als basis voor de VoR.
  • Stel de VoR op, in lijn met de vereisten van de Code 2025.
Tip: Raadpleeg eventueel beschikbare guidance, zoals de Practice Guide van het IIA (Institute of Internal Auditors).

Voor Wie Geldt de VoR? Scope en Sectoren

De Verklaring omtrent Risicobeheersing zoals opgenomen in de Corporate Governance Code 2025 is primair van toepassing op alle Nederlandse vennootschappen waarvan aandelen of certificaten van aandelen zijn toegelaten tot de handel op een gereglementeerde markt 1 (beursgenoteerde NVs). Zoals hier te vinden. 

 

Hoewel de formele VoR uit de Code hierop gericht is, zien we vergelijkbare principes en toenemende verwachtingen ten aanzien van risicoverantwoording ook in andere sectoren, zoals de financiële sector, pensioenfondsen en (semi-)publieke organisaties zoals woningcorporaties. Deze sectoren hebben vaak eigen specifieke wet- en regelgeving of codes die eisen stellen aan risicobeheersing en interne controle.

Veelgestelde Vragen (FAQ) over de VoR

Wanneer treedt de VoR-verplichting in werking?

De VoR is onderdeel van de Code 2025. De intentie is dat vennootschappen voor het eerst rapporteren conform de geactualiseerde code over het boekjaar dat start op of na 1 januari 2025 (dus in het jaarverslag dat in 2026 wordt gepubliceerd). Houd eventuele nadere communicatie van de MCCG hierover in de gaten.

Is de VoR hetzelfde als een 'In Control Statement'?

Niet volledig. De Nederlandse VoR vereist een jaarlijkse beoordeling van de effectiviteit van risicobeheersingssystemen, maar niet per se een expliciete publieke conclusie hierover in het verslag, zoals bij sommige striktere ICS-varianten wel het geval is. De focus ligt op transparantie over risico's, systemen en de uitgevoerde beoordeling.

Wat zijn de belangrijkste risicogebieden voor de VoR?

De Code noemt expliciet strategische, operationele, compliance en verslaggevingsrisico's. De verklaring moet ingaan op de voornaamste risico's voor de continuïteit, wat vaak financiële, duurzaamheids- (ESG), operationele en compliance-risico's omvat.

Welke rol speelt de externe accountant bij de VoR?

De externe accountant controleert de jaarrekening. De VoR is onderdeel van het bestuursverslag. De accountant zal nagaan of het bestuursverslag, inclusief de VoR, verenigbaar is met de jaarrekening en geen materiële onjuistheden bevat op basis van de kennis verkregen tijdens de controle. Specifieke assurance-opdrachten gericht op (delen van) de VoR zijn mogelijk, maar zijn geen standaard onderdeel van de jaarrekeningcontrole.

Waar vind ik de officiële tekst van de VoR in de Code 2025?

De geactualiseerde Corporate Governance Code 2025 is te vinden op de website van de Monitoring Commissie Corporate Governance Code

Ondersteuning Nodig bij de Implementatie van de VoR?

De invoering van de Verklaring omtrent Risicobeheersing vraagt om een gedegen aanpak. Heeft u hulp nodig bij het interpreteren van de vereisten, het inrichten of beoordelen van uw risicomanagementprocessen, of het opstellen van de VoR? PORTEG biedt expertise op het gebied van governance, risk en compliance. Wij kunnen u ondersteunen met: 1) Readiness assessments en gap analyses. 2) Advies over de inrichting van uw risicomanagement en interne controlesystemen (conform industriestandaarden zoals COSO). 3) Workshops en trainingen voor bestuur, toezicht en management. 4) Ondersteuning bij het documenteren en formuleren van de VoR. Neem vandaag nog contact met ons op voor een vrijblijvend gesprek.
Contact us

Value Chain Analysis &

Business Analysis

Perform as-is and to-be Business Analysis on processes or entire value chains. Get insights in for instance your customer-, contract- or Trading Lifecycle (from pre- to post trade) and ensure the right use of technology.

Read More

Performance, Governance

Risk & Compliance

Navigate the risk landscape of your company, from Strategic to Operational and Financial to Non-Financial risks.

Read More

Business & Digital

Transformation

Realize and operationalise your business strategies by managing transformation programs.

 

 

Read More

Program & Project 

Delivery

Define, manage and deliver Programs or Projects on time and within budget. We compliment this with advisory services to define, review and assess business and technology strategies and opportunities. Get ready for implementation and delivery with result!

Read More