Jaap van Manen en Marlies de Vries over de Verklaring Omtrent Risicobeheersing
27-08-2024 | Interviewer: Vincent Moolenaar | Auteur: Ellis Bloembergen | Beeld: Roderik van Nispen, Maartje Geels
Op de valreep van 2023 zag de Verklaring Omtrent Risicobeheersing (VOR) het levenslicht. Dat was een klein wonder. Bij de laatste herziening van de corporate governance code, in 2022, was het onderwerp nog te controversieel voor de zogenaamde schragende partijen – ofwel vakbonden CNV en FNV, beleggersorganisaties VEB en Eumedion, Euronext, de Vereniging van Effecten Uitgevende Ondernemingen (VEUO) en werkgeversorganisatie VNO-NCW.
Het tij keerde toen de Tweede Kamer in april 2023 een motie aannam die de regering opriep haast te maken met de VOR. In de politiek leeft al langer de wens om bedrijven tot meer transparantie te dwingen. Nog te vaak wordt de markt verrast door misstanden. Partijen kozen eieren voor hun geld: liever zelfregulering dan een politiek opgelegde richtlijn, zo was de gedachte. Nadat ook de Nederlandse Beroepsvereniging van Accountants (NBA) was aangeschoven, lag er binnen enkele maanden wél een breed gedragen advies. Dat was mede te danken aan bruggenbouwer en voorzitter van de VOR-werkgroep, Jaap van Manen. Van 2013 tot 2018 was hij voorzitter van de Monitoring Commissie Corporate Governance Code – en introduceerde hij ‘langetermijnwaardecreatie’ als bedrijfsopdracht. Van Manen is oud-partner van PwC, voormalig registeraccountant, hoogleraar accountancy, boardroomconsultant én commissaris.
‘Met de VOR zadelen we bedrijven niet op met strakke voorschriften’, zegt Van Manen. ‘Hoe ze het doen, maakt niet uit – als bestuurders en commissarissen maar transparant communiceren over hoe hun bedrijf ervoor staat met de beheersing van risico’s.’ En het liefst een beetje snel. ‘Breng slecht nieuws meteen naar buiten, bijvoorbeeld in je kwartaalbericht.’
De VOR beoogt vooral gedrags- en cultuurverandering teweeg te brengen binnen het bedrijfsleven. En dat is precies de missie van Marlies de Vries. Zij is per 1 september 2024 benoemd tot hoogleraar behavioural audit, assurance & control aan Nyenrode Business Universiteit. Met de nieuw ingestelde leerstoel wil Nyenrode het bewustzijn in het bedrijfsleven vergroten dat gedrag en cultuur binnen organisaties essentieel zijn voor effectieve risicobeheersing en goed bestuur. Namens het ministerie van Financiën was De Vries eerder kwartiermaker toekomst accountancysector. Net als Van Manen werkte ze jarenlang als registeraccountant en is ze actief als boardroomconsultant. In een gesprek met Vincent Moolenaar, business director board & governance programs van Nyenrode Business Universiteit, delen Van Manen en De Vries hun visie op de VOR. Beiden zijn behoorlijk kritisch over de rol van de accountant. De Vries: ‘Accountants lijken nog te vaak mee te veren met de rvb en de rvc. Ze zouden vaker hun rug recht moeten houden en zeggen: deze feiten moeten naar buiten.’
In de huidige corporate governance code staan al best practice-bepalingen over hoe bestuurders inzicht moeten geven over tekortkomingen in de risicobeheersing en de controlesystemen. Ook zegt de code dat die systemen een redelijke mate van zekerheid moeten bieden over de juistheid van de financiële verslaglegging. Waarom werd de code toch ontoereikend gevonden?
Van Manen: ‘Er zijn twee redenen. Bedrijven zijn nog altijd terughoudend in hun informatie over risicomanagement. Men hangt de vuile was niet graag buiten, terwijl beleggers terecht zeggen: wij willen weten hoe het risicomanagement in elkaar steekt en of er wellicht verbeterpunten zijn. Daarnaast is de accountantscontrole niet zinvol als de interne risicobeheersing zwaktes kent. De accountant verricht nu vaak werkzaamheden die het bedrijf had moeten doen. Daarmee wordt de accountant onderdeel van het systeem, terwijl die het systeem juist moet controleren. Dit gaat ten koste van de kwaliteit van de controle. Overigens is het de vraag of we deze problemen kunnen oplossen met de nieuwe risicoverklaring. Accountants moeten vooral het lef hebben om bedrijven erop te wijzen als de interne risicobeheersing onder de maat is.’
De Vries: ‘Het is voor de schragende partijen belangrijk dat bedrijven vertellen waar de pijn zit in hun organisatie, of waar ze in de nabije toekomst pijn verwachten. Vooral institutionele en reguliere beleggers willen met bedrijven in gesprek kunnen gaan over de interne risicobeheersing. Hopelijk draagt de VOR hier aan bij. Voor wat betreft de accountantscontrole: als bedrijven hun eigen interne beheersingssysteem op orde hebben, kan de accountant beter zijn werk doen. Met de VOR komt de verantwoordelijkheid voor die interne beheersing heel duidelijk bij de organisatie te liggen. Schiet het bedrijf tekort, dan moet de accountant het bestuur daarop aanspreken.’
Hoe zou de accountant dat moeten aangeven?
Van Manen: ‘Dat is niet al te ingewikkeld. De accountant moet het gesprek aangaan met de bestuurders en in zijn verslag aan het bestuur en de commissarissen de tekortkomingen in het risicomanagement aangeven. De accountantsverklaring is ook een plek waarin tekortkomingen en verbeterpunten kunnen worden belicht.’
Volgens eerdere voorstellen voor de VOR zouden bestuurders moeten tekenen voor de juistheid van hun jaarverslag, naar het voorbeeld van de Amerikaanse Sarbanes- Oxley-wet (SOX). Vooral het bedrijfsleven verzette zich hiertegen, uit angst vaker aansprakelijk te worden gesteld. Wat is het grootste verschil met de SOX-gerelateerde In Control-verklaring?
Van Manen: ‘De Sarbanes-Oxley-wet kwam er als gevolg van grote boekhoudschandalen, zoals bij het Amerikaanse energiebedrijf Enron. Er werden vergaande interne en externe controles verlangd. Ook niet-Amerikaanse bedrijven die een notering hebben aan de Amerikaanse beurs, moeten aan de SOX-wetgeving voldoen. Toen de wet werd ingevoerd, was dat voor veel bedrijven schrikken, toch waren er ook bedrijven juist blij mee; de wet bood hun een welkome, bruikbare tool voor interne risicobeheersing. Verschillende bedrijven zijn intern doorgegaan met SOX toen ze stopten met hun Amerikaanse beursnotering. De vastomlijnde regels gaven houvast. De VOR zoals die naar de minister is gestuurd, lijkt meer op de aanpak van de Britten.’
De Vries (vult aan): ‘Recentelijk, na de King’s Speech, heeft de nieuwe regering in het Verenigd Koninkrijk aangekondigd de hervorming van corporate governance en audit bovenaan de agenda voor de economische groei van het Verenigd Koninkrijk te plaatsen. Dit maakt de ontwikkeling ook in relatie tot de VOR des te interessanter om te volgen omdat Sir Brydon, die de hervorming eind 2019 heeft uitgewerkt, zich ook expliciet over dit onderwerp heeft uitgesproken en een oproep heeft gedaan voor meer transparantie vanuit organisaties.’
Van Manen: ‘Er zijn wel procedures en voor de juistheid hiervan moet worden getekend, maar tegelijkertijd kunnen bestuurders hun eigen keuzes maken. Het gaat er vooral om dat zij risico’s en eventuele zwakheden binnen de organisatie beschrijven.’
Welke veranderingen zal de VOR teweegbrengen binnen bedrijven?
De Vries: ‘De VOR moet vooral leiden tot gedrags- en cultuurverandering. Bestuurders moeten beter uitleggen wat ze precies doen aan risicomanagement. Veel organisaties blijven hangen in algemeenheden. In jaarverslagen zie ik te vaak boilerplate- teksten staan.’
Van Manen: ‘Bedrijven die overschrijven wat anderen hebben bedacht – dat noem ik plagiaat. Als bestuurders en commissarissen dergelijke jaarverslagen accepteren, ook als de VOR er straks is, schieten we niets op. Daarom ben ik blij dat Nyenrode een leerstoel heeft ingesteld die zich richt op gedrag en cultuurverandering binnen organisaties. Bestuurders moeten puntig en helder formuleren hoe ze ervoor staan en welke issues er spelen.’
Wat is ervoor nodig om die gedragsverandering tot stand te brengen?
De Vries: ‘Binnen de organisatie moet vooral een goed gesprek over risicomanagement gevoerd worden. Welke uitdagingen zijn er? Hebben we die goed geformuleerd? Check bij twijfel hoe het in de code staat. Het gaat er nadrukkelijk niet om dat uitgebreide procedures correct moeten worden uitgevoerd. De VOR moet geen feestje voor accountants worden. Zij zijn geneigd om goeddoortimmerde processen te bedenken die vervolgens moeten worden afgevinkt. Dat is niet wat de VOR beoogt. Een goed proces is nog geen garantie voor een goede uitkomst. Het gaat om inzicht in gedrag van mensen in organisaties; hoe wordt omgegaan met processen? We moeten de komende tijd onderzoeken wat best practices zijn, hoe we de VOR het best kunnen invullen. Nederland kan hierbij de rol van gidsland pakken.'
Zien bestuurders de VOR als een last of een zegen?
De Vries: ‘Dat hangt af van de bestuurder, maar het hangt ook af van de context waarin de onderneming opereert. Beursgenoteerde ondernemingen die zowel in Nederland als in het buitenland een notering hebben, zullen de VOR als een last zien. Ze moeten al volgens zoveel andere richtlijnen rapporteren. Voor ondernemingen die enkel in Nederland actief zijn, denk ik dat de VOR een zegen is.’
Er is de laatste jaren veel zorg over de toegenomen bestuursaansprakelijkheid. Hoe verhoudt de VOR zich tot dit issue?
Van Manen: ‘De vrees voor bestuursaansprakelijkheid is groot en dat is problematisch. Veel commissarissen en bestuurders zijn na hun aftreden nog jaren bezig met aansprakelijkheidsissues. Ik ben geen jurist, maar ik ben ervan overtuigd dat wanneer bestuurders de VOR goed naleven, zij een betere rechtspositie hebben, mochten ze in een aansprakelijkheidsprocedure terechtkomen. Als bestuurders stakeholders goed geïnformeerd hebben, zijn Nederlandse rechters daar gevoelig voor.’
Het voorstel richt zich niet op strategische risico’s, enkel op operationele risico’s en compliance-verplichtingen. Waarom is daarvoor gekozen?
Van Manen: ‘Na lange discussies hebben we deze risico’s terzijde gelegd. De conclusie was dat strategische risico’s heel anders zijn dan operationele risico's. Voor de laatste categorie kunnen procedures ontwikkeld worden om die te beheersen. Je kunt vervolgens controleren of deze procedures worden nageleefd. Bij strategie gaat het om andere zaken. Bestuurders moeten anticiperen op geopolitieke ontwikkelingen, op uiteenlopende transities. Die uitdagingen kun je niet beheersen met procedures.’
Zijn de eisen die de VOR stelt aan de mate van zekerheid omtrent duurzaamheidsinformatie, heel anders dan de verplichtingen die voortvloeien uit CSRD-wetgeving?
Van Manen: ‘Nee, die liggen in het verlengde van de CSRD-richtlijnen.’
De operationele risico’s verschillen sterk per bedrijf en per sector. Hoever moet een bedrijf gaan om die risico’s te identificeren?
Van Manen: ‘We hebben het bedrijfsleven niet willen opzadelen met gedetailleerde voorschriften. We verwachten dat bedrijven aansluiten bij communicatiemiddelen die ze intern gebruiken. Als een bedrijf de raad van bestuur en de raad van commissarissen informeert met dashboards, dan is het logisch om dat ook als uitgangspunt te nemen voor de externe informatie. Ik denk ook dat de accountant daarvoor zal kiezen. Die zal bij zijn beoordeling kritisch kijken naar wat de top van de organisatie weet. Vervolgens is de vraag wat daarvan met de buitenwereld wordt gedeeld. De VOR heeft één grote valkuil. Bedrijven moeten niet alle denkbare risico’s opsommen, zodat ze met het oog op de aansprakelijkheid zijn genoemd. Als we die weg inslaan, mogen wij verwachten dat accountants en auditcommittee leden zullen ingrijpen. Het moet wel serieus ergens over gaan.’
Welke rol zou de auditcommissie moeten spelen?
De Vries: ‘Het takenpakket van die auditcommissie is de afgelopen jaren flink uitgebreid. De focus lag aanvankelijk op de financiële verslaglegging en het bestuursverslag. Daar is het financieringsbeleid bijgekomen, maar ook ICT, digitalisering en artificial intelligence. Nu zou daar naleving van de VOR bijkomen.’
Zou het verstandig zijn om – net als bij financiële instellingen – een aparte risk-committee in het leven te roepen en daarmee de financiële rapportages los te koppelen van het operationele risicomanagement?
De Vries: ‘Als bedrijven een chief risk officer in de raad van bestuur hebben, is het geen gek idee om een risk-committee te vormen. Als dit niet het geval is, dan lijkt het me logisch dat de risico-issues door de hele raad van commissarissen worden beoordeeld en niet door de auditcommittee. Ik zou de verslaggeving over de risico’s en de CSRD, en de mate van zekerheid bij die verslaggeving, bij de auditcommittee neerleggen.’
Wat is de impact van de VOR op bestuurders?
Van Manen: ‘Voor bestuurders is het een prikkel om problemen tijdig aan de markt te melden. Ze hoeven niet te wachten tot het jaarverslag, ze kunnen slecht nieuws ook in het kwartaalbericht naar buiten brengen. Binnen veel ondernemingen worden medewerkers aangemoedigd open te zijn over de fouten die zij maken. Dat zou voor bestuurders ook de norm moeten zijn. Stel dat je weet dat je hartstikke nat gaat op een groot project, meld dat gewoon aan de markt. Dan drukt het niet meer op het bestuur en is er geen risico van handel met voorkennis. Ik begrijp dat het niet makkelijk is; we zijn van oudsher gewend om tegenvallende resultaten te verdoezelen. Ik weet nog hoe er, toen ik als registeraccountant werkte, met het grootste gemak gerommeld werd met voorzieningen en schattingen. Weliswaar is die situatie verbeterd – bedrijven zijn transparanter gaan rapporteren over fluctuaties in de resultaten. Maar nu wordt het tijd dat bestuurder vertellen wat er speelt op het gebied van risicomanagement. Eigenlijk zou de VOR niet nodig moeten zijn. Het zou getuigen van gezonde koopmansgeest, als bestuurders klip en klaar vertellen hoe de tent draait.’
De Vries: ‘Er moet wel wat veranderen in de markt. Als bedrijven eerlijk zijn over hun verwachtingen, dan hoop ik dat de onzekerheidstolerantie omhoog gaat. Stakeholders moeten niet direct negatief reageren op slecht nieuws. Ze zullen samen moeten zoeken naar een nieuw evenwicht.’
Hoe realiseren we die ideale situatie?
Van Manen: ‘De markt is gebaat bij een ander type accountant. De focus van de beroepsgroep lag de laatste jaren sterk op het begrijpen van de regels rondom de IFRS, en nu de CSRD. De audit-professionals zaten vooral achter hun computer. We hebben de komende tijd behoefte aan accountants met gezag die bestuurders en commissarissen houden aan hun verplichting om de markt transparant te informeren. Ik vind niet dat accountants daartoe geëquipeerd zijn. Er is een lange weg te gaan.’
De Vries: ‘Accountants lijken nog te vaak mee te veren met de rvb en de rvc. Ze zouden vaker hun rug recht moeten houden en zeggen: deze feiten moeten naar buiten. Om dat te veranderen, moet er tijdens de opleiding meer aandacht komen voor het ontwikkelen van gedragsmatige competenties. Natuurlijk moeten accountants nog steeds alles weten over verslaggeving. Maar accountants zouden daarnaast het grotere geheel beter moeten begrijpen. Hoe steekt de interne risicobeheersing en het risicomanagement in elkaar, wat speelt er echt? Hoe voer ik goede interviews en adviesgesprekken? Dat zie ik accountants te weinig doen.'
Wat betekent de VOR voor het interne audit-team?
De Vries: ‘Ik denk dat interne auditors zich nog beter kunnen positioneren binnen de organisatie. Uiteindelijk onderzoeken en toetsen deze mensen meer zaken dan accountants. Ze kunnen goed inzichtelijk maken hoe de organisatie omgaat met risico’s.’
Van Manen: ‘Ik verwacht dat bestuurders en commissarissen vaker zullen steunen op interne auditors. Zij zullen van de auditors willen weten of ze met voldoende zekerheid hun handtekening kunnen zetten onder de jaarrekening of het kwartaalbericht. Interne auditors zijn beter in staat om dat te beoordelen dan externe accountants. Interne auditors kijken immers naar veel meer verschillende risicocategorieën.’
Er is momenteel geen Monitoring Commissie Corporate Governance Code. Kunnen bestuurders wachten met implementatie van de VOR?
Van Manen: ‘Het zou niet moeten uitmaken dat we nu even geen commissie hebben. Het advies aan de minister is openbaar. Het is goedgekeurd door de schragende partijen, inclusief vertegenwoordigers van werkgevers en beursgenoteerde bedrijven. De intrinsiek gemotiveerde bestuurder zal er dus mee aan de slag gaan. En waarom ook niet? We zijn het er met elkaar over eens dat interne beheersing belangrijk is, waarom zou je wachten? Naleving is niet heel ingewikkeld en vergt ook geen ingewikkelde implementatie. Dus maak een plan en ga er mee aan de slag.’
Dit artikel is gepubliceerd in Management Scope 07 2024.
Dit artikel is voor het laatst aangepast op 27-08-2024