Wat betekent de VOR voor uw organisatie?

De VOR legt de nadruk op de verantwoordelijkheid van het bestuur voor de beoordeling en verbetering van risicobeheer- en controlesystemen, wat mogelijk wijst op verbeteringsmogelijkheden. De VOR moet vooral leiden tot gedrags- en cultuurverandering.

Vanaf 2025 moet een brede interne controleverklaring worden opgenomen in het jaarverslag. Dit geldt voor organisaties die onderworpen zijn aan de Nederlandse Corporate Governance Code. De VOR moet de mate weerspiegelen waarin de risicobeheer- en controlesystemen zekerheid bieden dat de operaties, naleving en rapportage (financiële en duurzaamheidsrapporten) effectief zijn. Daarmee is de reikwijdte van de 'in control statement' veel breder dan de huidige reikwijdte op financiële rapportagecontroles.

De mate van zekerheid in de VOR met betrekking tot rapportage varieert van 'redelijk' voor financiële rapportage tot 'beperkt' voor duurzaamheidsrapportage. Voor operaties en naleving is de mate van zekerheid niet gedefinieerd, maar wordt verwacht dat deze in lijn is met de risicobereidheid.

De VOR is een op principes gebaseerde verklaring die beursgenoteerde bedrijven verplicht om regelmatig de effectiviteit van hun risicobeheer- en controlesystemen te beoordelen en hierover jaarlijks te rapporteren. Dit omvat het evalueren van operationele, nalevings- en (financiële en duurzaamheids)rapportagerisico's.

De VOR verplicht bedrijven om een gekozen raamwerk te gebruiken, zoals het COSO Internal Control Integrated Framework, om deze beoordelingen uit te voeren. De resultaten, inclusief het niveau van zekerheid dat door deze systemen wordt geboden, moeten transparant worden vermeld in het bestuursverslag, waardoor de kwaliteit en transparantie van risicobeheerpraktijken binnen de organisatie worden verbeterd.

Wat betekent de VOR voor uw organisatie?

De verantwoordelijkheid van het bestuur voor het identificeren en beheren van risico's blijft onveranderd en het blijft ook een belangrijk onderwerp op de agenda van de raad van toezicht. De belangrijkste verandering heeft betrekking tot de openbaarmaking en wordt hierna uitgelegd.

Verduidelijking van verantwoordelijkheden: Het bestuur moet jaarlijks de effectiviteit van risicobeheer- en controlesystemen met betrekking tot operationele, nalevings- en rapportagerisico's (financiële en duurzaamheidsrapportage) beoordelen en openbaar maken, met gebruik van een door het bedrijf gekozen raamwerk.

Duurzaamheidsrapportage: Risicobeheer moet nu ook duurzaamheidsrapportage omvatten. De openbaarmaking van de 'in control statement' moet nu ook operaties, naleving en duurzaamheidsrapportage omvatten. De vorige 'in control statement' had alleen betrekking op financiële rapportage.

Bredere reikwijdte van de managementverklaring: de bestaande managementverklaring over financiële rapportage moet worden uitgebreid om ook een verklaring over het niveau van zekerheid met betrekking tot operaties, naleving en duurzaamheidsrapportage te omvatten.

Uitbreiding van het verslag van de auditcommissie: met de uitbreiding van de VOR-reikwijdte in het bestuursverslag wordt ook de reikwijdte van de beoordeling door de auditcommissie van de raad van toezicht en de bijbehorende rapportage verbreed.

Tijd voor actie

Vanaf 2025 moet het jaarverslag van organisaties die onderworpen zijn aan de Nederlandse Corporate Governance Code de VOR bevatten of uitleggen waarom deze ontbreekt.

Begin met het begrijpen van de nieuwe VOR-vereisten en beoordeel de verschillen met uw huidige raamwerk en aanpak. Identificeer gebieden die verbetering behoeven en verbeter uw risicobeheerpraktijken dienovereenkomstig. Integreer duurzaamheidsrisico's in uw controleraamwerk en voer regelmatige beoordelingen uit, terwijl u de resultaten openbaar maakt in uw jaarlijkse bestuursverslag. Door deze stappen te nemen, bent u goed voorbereid om aan de VOR-vereisten te voldoen.

Begin op tijd en zorg voor goede coördinatie tussen het bestuur, de zekerheidsverleners (rollen van de 2de en 3de lijn) en het toezicht (bijv. auditcommissie).

Hoe kan Forvis Mazars helpen

Bij Forvis Mazars begrijpen we de complexiteit en uitdagingen die gepaard gaan met de implementatie van de VOR.

• Ons ervaren team is toegewijd aan het bieden van uitgebreide ondersteuning om ervoor te zorgen dat uw organisatie effectief en efficiënt aan de nieuwe vereisten voldoet.
• Met onze expertise in governance, risicobeheer, interne controles, CSRD en naleving helpen we u van de eerste beoordeling tot volledige implementatie.
• Door deskundige begeleiding te bieden bij het selecteren en toepassen van de juiste risicobeheerraamwerken en door grondige gap-analyses uit te voeren om gebieden te identificeren die verbetering behoeven.  We betrekken vakinhoudelijke experts, bijvoorbeeld op het gebied van cyber, CSRD, belasting, privacy en financiële criminaliteit.
• Aangezien het een relatief nieuw domein  is, helpt ons team bij het integreren van duurzaamheidsrapportagerisico's in uw algehele risicobeheerbenadering en zorgt ervoor dat risicobeheerpraktijken robuust en compliant zijn.
• We bieden Internal Audit-services om aanvullende zekerheid te geven over de adequaatheid van het Internal Risk & Control System (IRCS). Afhankelijk van de rol van de Internal Auditfunctie in relatie tot de VOR bieden we ook bredere ondersteuning. Er wordt verwezen naar een praktijkgids (in het Nederlands) uitgegeven door het Instituut van Internal Auditors.