NBA-voorzitter Kris Douma bespreekt vanaf nu in zijn 'voorzitterscolumn' regelmatig actuele kwesties. Dit keer: het opnemen van een verplichte Verklaring omtrent risicobeheersing in de nieuwe corporate governance code.

Voorzitterscolumn 11 mei 2022

Verplichte Verklaring omtrent risicobeheersing komt kwaliteit accountantscontrole ten goede

Continuïteitsrisico's, al dan niet corona-gerelateerd, fraude, overtreding van wet- en regelgeving, witwassen, terrorismefinanciering, sancties zoals nu tegen Rusland en Russische oligarchen, ESG-risico's en onterechte claims op het gebied van duurzaamheid: een groeiende lijst issues die zorgen oproepen in de samenleving. Keer op keer wordt gekeken naar accountants. Terecht, want zij bekleden een unieke positie in het economische, maatschappelijk verkeer. De (wettelijke) controle als publieke taak, die privaat wordt uitgevoerd. Die hoge verwachtingen kunnen (beter) worden waargemaakt als 'we' dat samen doen. Als ik over ‘we’ spreek, bedoel ik ondernemingen, hun toezichthouders, accountants en relevante overheidsinstanties; oftewel de 'keten'. Die keten begint natuurlijk bij de ondernemingen zelf! Want, zoals voormalig ceo van AkzoNobel Hans Wijers ooit zei: "An unidentified risk is a threat, an identified risk is a management issue."

De Commissie toekomst accountancysector heeft, naast talloze aanbevelingen voor de accountantssector (waarmee we hard aan het werk zijn!), ook de aanbeveling gedaan om voor ondernemingen een 'Verklaring omtrent risicobeheersing' te verplichten. De minister van Financiën heeft die aanbeveling met een positief oordeel aan de Monitoring Commissie voor de Nederlandse Corporate Governance Code meegegeven, mede voorzien van nadere aanbevelingen door de Universiteit Leiden. Tot op heden heeft de Monitoring Commissie die aanbeveling helaas niet overgenomen. Zowel de NBA als de AFM en partijen zoals Eumedion, VEB en de Vereniging van Beleggers voor Duurzame Ontwikkeling (VBDO) hebben er bij de Commissie op aangedrongen dat alsnog te doen.

Als director responsible investment & governance bij vermogensbeheerder MN, director bij de UN Principles for Responsible Investment en als director corporate engagement bij Morningstar heb ik ondernemingen gezien die al werken met zo'n Verklaring omtrent risicobeheersing (in control statement). Maar ik zag ook ondernemingen die hun zaakjes absoluut niet op orde hadden, zoals Carillion (UK), Wirecard (BRD), ondertussen beide failliet, en Credit Suisse (miljardenverliezen in 2021 door onder andere fraude in Mozambique, ineenstorting van Greensill Capital, default van Archegos hedge fund). Omvangrijke materiële risico's, fraude, had de accountant dat kunnen zien? Meestal wel, soms niet en soms was het zoals tijdens de recente Paasdagen: er ligt een zak eitjes in de tuin verstopt, de kinderen vinden er 27 en enkele weken later, bij het planten van verse viooltjes, vind je er toch nog één. Balen!

Transparantie over risicobeheersmaatregelen door een onderneming verkleint het risico aanzienlijk dat er iets 'mis' gaat en dat er iets 'onoorbaars' aan de aandacht van een accountant ontsnapt. Goed risicomanagement begint met een gedegen risico-inventarisatie, gevolgd door een materialiteitsanalyse (kans versus impact), adequate risicobeheersmaatregelen met een effectief monitoringsysteem en reguliere herijking. Heeft een onderneming dat op orde, dan is een Verklaring omtrent risicobeheersing een logische vervolgstap, waarmee de ondernemingsleiding aangeeft dat die in control is. Dat biedt geen garantie dat er nooit iets mis zal gaan, maar geeft wel 'comfort' dat de onderneming alles op alles heeft gezet om 'vermijdbare missers' te voorkomen.

Vanzelfsprekend, en helaas, is zelfs een goed werkend risicobeheerssysteem niet onfeilbaar; zeker niet als de leiding van de onderneming zelf betrokken is bij fraude of anderszins onwettelijke praktijken. Natuurlijk sluit de accountant niet de ogen voor mogelijke fraude en andere risico's die niet door de risicobeheersmaatregelen zijn geïdentificeerd. Sterker nog, de accountant zoekt actief naar mogelijke loopholes en eventuele onregelmatigheden, materiële risico's (of moet dat althans doen!). De Verklaring omtrent risicobeheersing richt de aandacht van de onderneming op effectief risicomanagement en geeft zowel stakeholders als de accountant echter wel een duidelijke tool in handen om te komen tot een gedegen due dilligence c.q. assurance proces.

De afgelopen maanden heb ik kunnen constateren dat de meeste accountants zich zeer bewust zijn van de hoge verwachtingen die de samenleving van de controle heeft. NBA, kantoren en individuele accountants werken permanent aan de kwaliteit van die controle.

Het is om die reden dat de NBA de komende tijd, linksom of rechtsom, blijft hameren op het belang van zo'n Verklaring omtrent risicobeheersing. Samen met de minister van Financiën, AFM, Eumedion, VEB, VBDO en anderen, zo nodig met een zetje in de rug door de Tweede Kamer, hopen we dat de Monitoring Commissie de verplichte Verklaring omtrent risicobeheersing alsnog in de Nederlandse Corporate Governance Code opneemt.