Dit is wat je moet weten over de VOR

Vanaf 2025 krijgt de verklaring omtrent risicobeheersing (VOR) waarschijnlijk een vaste plek in bestuursverslagen van beursgenoteerde bedrijven. Dit biedt kansen: betere risicobeheersing, transparantie en vertrouwen. Hoe spelen internal auditors hierin een sleutelrol? Praktische inzichten en tips, gebaseerd op de Practice Guide van IIA Nederland.

De VOR draait om transparantie. Bestuurders moeten in hun bestuursverslag verantwoorden hoe hun interne risicobeheersings- en controlesystemen (IRCS) zijn opgezet, hoe ze werken en hoe effectief ze zijn. De nadruk ligt op de belangrijkste risico’s: operationele, compliance en verslaggevingsrisico’s voor zowel de financiële als duurzaamheidsverslaglegging. Dit betekent dat risicobeheersing een belangrijk thema wordt in hoe bedrijven communiceren met stakeholders en toezichthouders. Denk hierbij aan een duidelijke verklaring over wat de organisatie wel (en niet) kan beheersen, inclusief de mate van zekerheid die deze systemen bieden.

Waarom is dit belangrijk?

Met de VOR wordt de verklaring over de risicobeheersing uitgebreid. Het bestuur moet nu écht kleur bekennen. Naast de beschrijving welke risico’s relevant zijn, welke maatregelen zijn getroffen en welke tekortkomingen er zijn in de werking, moet nu ook verklaard worden hoe effectief die risicobeheersing nu eigenlijk is. Dit kan niet alleen helpen om vertrouwen te winnen bij stakeholders, maar ook om intern beter inzicht te krijgen in hoe goed het risicobeheer functioneert.

De kern van de VOR? Het bestuur moet verklaren hoe effectief het IRCS functioneert en welke zekerheid het biedt

Wat vereist de VOR?

Voor veel bedrijven zal de VOR een uitdaging zijn. Voor organisaties met een volwassen risicomanagementsysteem zijn de veranderingen beperkt, maar bedrijven die minder ver zijn moeten snel schakelen. De VOR verplicht organisaties niet alleen om risico’s te identificeren, maar ook om aan te tonen hoe goed ze beheerst worden. Dat vraagt om samenwerking, duidelijke afspraken en een scherp oog voor de echt materiële zaken. De VOR zet risicomanagement stevig op de agenda. De kern? Het bestuur moet verklaren hoe effectief het IRCS functioneert en welke zekerheid het biedt.

De VOR vereist maatwerk. De nieuwe norm vraagt niet alleen om inzicht in risico’s, maar ook om heldere keuzen: welke risico’s zijn cruciaal, hoe richten we de systemen in, hoe beoordelen we de opzet, werking én effectiviteit daarvan, welke kwalificatie of verwoording van de (mate van) zekerheid hanteren we en hoe wordt die onderbouwd? Een belangrijk onderdeel is ook het gebruik van een erkend raamwerk, zoals bijvoorbeeld COSO. Dit zorgt voor degelijkheid en waar gewenst consistentie in hoe risico’s worden geëvalueerd en beheerst.

Rollen en verantwoordelijkheden: het three lines model

Een goede VOR opstellen is dus teamwork. Het three lines model, zoals uitgelegd in de Practice Guide van IIA Nederland, biedt helderheid over wie wat doet in het kader van de risicobeheersing en het informeren van raad van bestuur (en auditcommissie) daarover:
­

1. Management (eerste lijn) – Zij managen de risico’s en zorgen voor de dagelijkse uitvoering van beheersmaatregelen. Het management informeert het bestuur over de realisatie van de doelen en de beheersing en legt de basis voor de VOR.

2. Risicomanagement en compliance (tweede lijn) – Deze functies ondersteunen het management, monitoren de effectiviteit van risicobeheersing en geven advies over verbeteringen.

3. Internal Auditfunctie (derde lijn) – De IAF beoordeelt onafhankelijk of de opzet en werking van het risicobeheersingssysteem effectief zijn, en voert verdiepende onderzoeken uit. Daarnaast kan de IAF toetsen of de concept-VOR overeenkomt met de bevindingen vanuit haar andere werkzaamheden.

Naast deze drie interne lijnen is er de externe accountant die als taak heeft de VOR te toetsen op verenigbaarheid met de bevindingen uit haar jaarrekeningcontrole, en op de aanwezigheid en materiële afwijkingen.

De belangrijke rol van de IAF

Voor de IAF betekent de VOR een kans om meer waarde toe te voegen. Internal auditors zijn bij uitstek geschikt om zowel onafhankelijk assurance te bieden als strategisch mee te denken over de implementatie en onderbouwing van de VOR. Dit kan op drie manieren.
­

1. Assurance over de risicobeheersing – Een kernactiviteit van de IAF is het uitvoeren van audits die inzicht bieden in de effectiviteit van risicobeheersing. Dit gebeurt op basis van een risk-based auditplan waarin de aandacht wordt gericht op de voor de organisatie meest belangrijke risico’s. Door het werk af te stemmen met de eerste en tweede lijn voorkomt de IAF overlap en gaten in de dekking. Daarnaast kan de IAF een onafhankelijke toetsing van de concept-VOR bieden, zodat deze consistent is met andere bevindingen.

2. Advies over de onderbouwing – Bij de onderbouwing van de VOR kan de IAF als coördinator fungeren tussen interne en externe assurance providers. Met behulp van bijvoorbeeld een assurance map bewaakt de IAF de voortgang en toetst ze of de risico’s volledig en adequaat zijn gedocumenteerd. Ook adviseert ze over verbeteringen in risicobeheersing en reflecteert ze op de kwaliteit van de conceptverklaring.

3. Advies over de implementatie – De IAF kan organisaties ondersteunen bij het opzetten of verbeteren van het IRCS. Dit omvat het ontwikkelen van een materialiteitsanalyse, het definiëren van risicobereidheid en het trainen van management in risicobewustzijn. Waar nodig helpt de IAF bij de uitwerking van rollen en verantwoordelijkheden binnen het three lines model.

Assurance mapping: een helder overzicht voor risicobeheersing

We noemden hiervoor al even de assurance map. Wat is het? Een assurance map is een waardevol hulpmiddel om de effectiviteit én efficiency van risicobeheersing binnen een organisatie te waarborgen. Het biedt een overzicht van wie verantwoordelijk is voor welk risicogebied en hoe goed deze taken worden uitgevoerd. Dit overzicht helpt dubbel werk te voorkomen en identificeert eventuele gaps in de aanpak.

De assurance map is gebaseerd op het three lines model, waarin de rollen van de eerste, tweede en derde lijn, evenals externe assurance providers, duidelijk worden gepositioneerd. Dit model maakt inzichtelijk welke lijn verantwoordelijk is voor monitoring, toetsing en verbetering van de specifieke risicogebieden, en kan dus ook voor de vier in de VOR genoemde risicogebieden worden opgesteld. Met een goed uitgewerkte assurance map kunnen organisaties niet alleen hun VOR gericht onderbouwen, maar ook hun algehele risicobeheersingssysteem naar een hoger niveau tillen.

Door kritisch te kijken naar hoe risico’s worden beheerst, kunnen bedrijven hun governance verbeteren en sterker uit de bus komen

Uitdagingen en aandachtspunten

De VOR brengt ook een aantal uitdagingen met zich mee, zoals in de IIA-Practice Guide wordt benadrukt:
­

• Mate van zekerheid – Het bestuur moet zelf bepalen welke mate van zekerheid de IRCS voor de operationele en compliance risico’s bieden. Dit vereist zorgvuldig formuleren om juridische en interpretatieve risico’s te vermijden.

• Complexiteit – Zeker bij operationele en compliance risico’s is het lastig om een passende mate van zekerheid te definiëren. De IAF kan hierbij adviseren.

• Capaciteit van de IAF – Internal auditors moeten hun capaciteit en expertise goed inzetten om aan de nieuwe eisen te voldoen. Dit kan betekenen dat auditplannen worden aangepast.

Waarom de VOR een kans is

Hoewel de VOR voor veel organisaties voelt als een extra verplichting, biedt het ook kansen. Door kritisch te kijken naar hoe risico’s worden beheerst, kunnen bedrijven hun governance verbeteren en sterker uit de bus komen. Een goed opgestelde VOR laat zien dat een organisatie transparant, betrouwbaar en professioneel is. Eigenschappen die steeds belangrijker worden in een wereld waar vertrouwen vaak schaars is. De IAF heeft hierin een unieke positie. Door onafhankelijk assurance te bieden en strategisch mee te denken, kunnen internal auditors niet alleen de organisatie helpen te voldoen aan de eisen van de VOR, maar ook bijdragen aan de groei en het succes van de organisatie.

Conclusie

De VOR is meer dan een nieuwe regel: het is een kans om risicobeheersing naar een hoger niveau te tillen. Voor organisaties betekent dit dat ze hun IRCS en de samenwerking tussen management, risicomanagement en de IAF moeten evalueren en waar nodig verbeteren. Voor de IAF is dit het moment om te laten zien wat ze waard zijn. En om bestuurders te helpen met het volste vertrouwen die handtekening onder haar VOR te zetten. Met de juiste voorbereiding, duidelijke afspraken en een gezamenlijke aanpak kan de VOR niet alleen een succes worden, maar ook een waardevolle toevoeging zijn aan de governance. En daarmee aan het succes van elke organisatie. Aan de slag!