auditcommissie ondersteunt de raad van commissarissen bij het toezicht op de effectiviteit van de opzet en werking van de interne
1. Beoordelen van de risico’s
Het bestuur inventariseert en analyseert de risico’s die verbonden zijn aan de strategie en de activiteiten van de organisatie. Het bestuur stelt de risicobereidheid vast en besluit welke maatregelen tegenover de risico’s worden gezet.
Risico- beoordeling
1
Wat is risicobereidheid?
Risicobereidheid is de hoeveelheid risico, op een breed niveau, die een organisatie bereid is te accepteren in het streven naar waarde. Het weerspiegelt de filosofie van de organisatie op het gebied van risicobeheer en beïnvloedt de cultuur van de organisatie.
Zowel risicobereidheid als risicotolerantie stellen grenzen aan hoeveel risico een organisatie bereid is te accepteren.
Risicobereidheid is een uitgangspunt op een hoger niveau en houdt in grote lijnen rekening met de risiconiveaus die het bestuur aanvaardbaar acht. Risicotolerantie vormt een nauwer begrip en bepaalt het aanvaardbare niveau van variatie rond doelstellingen.
Bijvoorbeeld: een bestuur dat zegt dat het geen risico’s accepteert die kunnen leiden tot een aanzienlijk verlies van de inkomstenbasis, toont zijn risicobereidheid.
Wanneer hetzelfde bestuur zegt dat het geen risico’s wil accepteren die ervoor zouden zorgen dat de omzet van de top 10-klanten met meer dan 10% zou dalen, drukt dat de risicotolerantie uit.
Werken binnen risicotoleranties biedt het bestuur meer zekerheid dat de organisatie binnen haar risicobereidheid blijft, wat een groter niveau van comfort biedt dat de organisatie haar doelstellingen zal bereiken.
Vijf manieren voor het aanpakken van risico’s
Accepteren
• Als het risico acceptabel is
• Als het te kostbaar of onmogelijk is om het risico te verkleinen door de risicobeheersings- en controlesystemen
Mitigeren
• Als de organisatie het risico kan verkleinen door processen te veranderen of de interne beheersing te verbeteren
Overdragen
• Als er verzekeringen beschikbaar zijn die financiële verliezen compenseren
• Als samenwerken met een andere onderneming tot de mogelijkheden behoort
Terugtrekken
• Als het risico te groot is en een bedreiging vormt voor de levensvatbaarheid van de organisatie
Najagen
• Als meer risico voor de organisatie wenselijk is in ruil voor een hoger verwacht rendement of groei 1. Commissie
2. Continuïteit
3. Corporate impact 4. Control & Compliance
1. Beoordelen van de risico’s 2. Monitoren van de interne
risicobeheersings- en controlesystemen
3. Afstemmen met Internal Audit 4. Afstemmen met de externe
accountant 5. Interne en externe
verantwoording
6. Enkele risicocategorieën uitgelicht
Bijlagen
5. Cultuur en gedrag 6. Checks & Balances 7. Corporate Reporting 8. Crisis
9. Communicatie
Dynamisch risicoprofiel
Elke organisatie heeft een eigen risicoprofiel, afhankelijk van bijvoorbeeld de sector, de (internationale) markten, de keten waarin wordt geopereerd en de fase van de levenscyclus waarin het bedrijf zich bevindt. Het risicoprofiel verschilt dus per bedrijf. In essentie worden alle organisaties echter geconfronteerd met een aantal universele risico’s, die onvermijdelijk gepaard gaan met ondernemerschap. De mate en de aard van de dreiging zal steeds verschillen. Andere risico’s zijn nieuw en komen voort uit de snel veranderende omgeving, zoals het risico van cybercrime en het toenemende reputatierisico in een onlinewereld en een dynamisch stakeholderveld.
Het risicoprofiel van een organisatie is niet statisch, maar dynamisch: zowel de organisatie als de omgeving kan veranderen.
Dat kan steeds andere en onbekende risico’s meebrengen, of de impact van risico’s op de bedrijfsvoering, de langetermijnwaardecreatie en zelfs de continuïteit beïnvloeden. Het agenderen van de beoordeling en bespreking van risico’s ademt mee met die dynamiek.
Breed spectrum aan risico’s overzien Gedegen risicobeheersing en interne controle richt zich op een breed spectrum aan risico’s:
• intern en extern
• kwantitatief en kwalitatief
• financieel en niet-financieel
• in verschillende risicocategorieën:
- strategie;
- bedrijfsvoering/operatie (inclusief de beloningsstructuur van bestuurders en werknemers);
- financieel;
- compliance (naleven van wet- en regelgeving en het voldoen aan normen
van stakeholders/de maatschappij);
- verslaggeving.
De rol van de auditcommissie De auditcommissie voert een dialoog met het bestuur over de manier waarop wordt
omgegaan met strategische, operationele, compliance- en verslaggevingsrisico’s. Naast deze hoofdcategorieën is het van belang dat de auditcommissie zicht heeft op een aantal specifieke risico’s, die onderdeel kunnen zijn van verschillende categorieën.
Waarop let een effectieve auditcommissie op bij het risicoprofiel en de risicobereidheid? Verantwoordelijkheden en de bijbehorende vragen De verantwoordelijkheden van de auditcommissie en hoe hieraan te voldoen
Verantwoordelijkheden van de auditcommissie
Aandachtspunten
Geïnformeerd worden over het risicoprofiel van de onderneming
• Beschikt het management over een gestructureerd proces om het risicoprofiel en de bijbehorende managementactiviteiten periodiek in kaart te brengen, te evalueren en hierover te rapporteren aan de auditcommissie?
• Als dat het geval is, is de auditcommissie ervan overtuigd dat dit proces een compleet overzicht geeft van het risicoprofiel van de onderneming?
• Worden de soorten risico›s die moeten worden gemonitord en waarover het management moet rapporteren, omschreven in het reglement van de auditcommissie? Doorgaans zullen in deze lijst de volgende risico››s zijn opgenomen:
- Risico›s die gepaard gaan met het opdelen in belangrijke bedrijfsprocessen (met name de financiële verslaglegging en de financiële managementprocessen)
- Aan fraude gerelateerde risico’s
- Risico’s ten aanzien van het niet voldoen aan belangrijke wet- en regelgeving - De bedrijfscontinuïteit en de mate waarin men is voorbereid op rampen - IT-risico’s (zoals cybersecurity)
• Volgt het programma van de bijeenkomsten van de auditcommissie de ontwikkeling van significante risico’s en de actieplannen van het management?
Het overzicht hebben dat de mate waarin risico wordt genomen, in lijn is met de risicobereidheid van de onderneming
• Begrijpt de auditcommissie de belangrijkste componenten van het risicomanagementraamwerk van de onderneming?
• Welke processen, verantwoordelijkheden en invloeden of gedragingen binnen de organisatie zijn met name van belang voor de manier waarop het risico van de onderneming wordt beheerd?
• Hoe verkrijgt de auditcommissie zekerheid dat deze componenten naar behoren functioneren? Wordt de uitvoering van het raamwerk geborgd door middel van kpi’s?
• Welke processen zijn er om te borgen dat er in de besluitvorming door het management voldoende rekening wordt gehouden met risico’s en onzekerheden, en hoe verkrijgt de auditcommissie zekerheid dat het management effectief opereert?
• Hoe verkrijgt de auditcommissie zekerheid dat de informatie die zij krijgt, compleet, betrouwbaar en accuraat is?
• Hoe vormt de auditcommissie zich een beeld over de wijze waarop de cultuur binnen de organisatie van invloed is op het beheersen van risico’s en onzekerheden?
• Welke informatie heeft de auditcommissie tot haar beschikking over risicovolle gebeurtenissen die hebben plaatsgevonden en die binnen haar autoriteit vallen?
1. Commissie 2. Continuïteit
3. Corporate impact 4. Control & Compliance
1. Beoordelen van de risico’s 2. Monitoren van de interne
risicobeheersings- en controlesystemen
3. Afstemmen met Internal Audit 4. Afstemmen met de externe
accountant 5. Interne en externe
verantwoording
6. Enkele risicocategorieën uitgelicht
Bijlagen
5. Cultuur en gedrag 6. Checks & Balances 7. Corporate Reporting 8. Crisis
9. Communicatie
Alert zijn op risico’s: van cybercrime tot beloningsstructuur
De auditcommissie moet volgens de Code alert zijn op risico’s op het gebied van cybersecurity.
De auditcommissie ziet onder meer ook toe op de financiering en het belastingbeleid van de organisatie: daaruit kunnen financiële en fiscale risico’s voortvloeien die om beheersing vragen.
Daarnaast is de auditcommissie alert op misstanden en onregelmatigheden, waaronder fraude- en corruptierisico’s. De Code wijst ook op de beloningsstructuur van bestuurders en werknemers als een te beheersen risico. Als deze verkeerde prikkels bevat, kan dat leiden tot ongewenst gedrag van bestuurders en medewerkers en het nemen van ongewenste en onverantwoorde risico’s en tot integriteitrisico’s.
Reputatie: risico in het kwadraat Het reputatierisico loopt dwars door alle risicocategorieën en specifieke risico’s heen en kent geen materialiteit. In feite gaat het om een risico in het kwadraat: elk strategisch, operationeel, compliance- en verslaggevingsrisico kan ook de reputatie van de organisatie negatief beïnvloeden en de schade daarvan kan een grotere impact hebben dan het initiële risico. De auditcommissie kan nagaan of het bestuur zich bewust is van het reputatierisico, dit voldoende laat meewegen in de risicoafweging en heeft geïntegreerd in de hard en de soft controls.
worden ze bijgesteld om verschuivingen in het risicoprofiel het hoofd te bieden?
Hieronder een voorbeeld van een heat map (zie bestuursverslag Alliander 2018, winnaar FD Henri Sijthoff-prijs 2019 in de categorie niet-beurgenoteerde bedrijven):
Hoe vaak risico’s beoordelen?
• voornaamste risico’s die ‘statisch’ van aard zijn: één keer per jaar;
• voornaamste risico’s die meer dynamisch van aard zijn: twee tot drie keer jaar of zelfs vaker.
Vragen om ‘heat map’
Hoe kan de auditcommissie zorgen voor goed zicht op de voornaamste risico’s en hoe deze zich in de loop van de tijd ontwikkelen? Hoe kan voorkomen worden dat bepaalde risico’s (die later cruciaal kunnen blijken te zijn) zich aan de radar van het toezicht onttrekken? In de praktijk is het gebruikelijk dat het bestuur jaarlijks de voornaamste risico’s bespreekt en vaststelt. De auditcommissie kan het bestuur vragen naar het opstellen van een heat map waarop de voornaamste risico’s zijn aangegeven. De auditcommissie (en de raad van commissarissen) kan aan de hand van een heat map niet alleen gemakkelijker beoordelen of alle risico’s voldoende beheerst en gemonitord worden, maar deze disciplineert ook het bestuur. Ook kan een heat map als basis dienen voor of worden opgenomen in het bestuursverslag.
‘Heat map’: kans versus impactrisico’s Een heat map geeft alle geïdentificeerde risico’s weer en zet de kans dat deze risico’s zich voordoen af tegen de mogelijke impact ervan. Het bestuur geeft door het periodiek
opstellen van heat maps blijk van alertheid op (nieuwe) risico’s en de monitoring daarvan. De auditcommissie kan heat maps gebruiken voor gericht toezicht op de effectiviteit van de interne risicobeheersings- en controlesystemen: zijn ze (in)gericht op de voornaamste risico’s en 1. Commissie
2. Continuïteit
3. Corporate impact 4. Control & Compliance
1. Beoordelen van de risico’s 2. Monitoren van de interne
risicobeheersings- en controlesystemen
3. Afstemmen met Internal Audit 4. Afstemmen met de externe
accountant 5. Interne en externe
verantwoording
6. Enkele risicocategorieën uitgelicht
Bijlagen
5. Cultuur en gedrag 6. Checks & Balances 7. Corporate Reporting 8. Crisis
9. Communicatie
controlesystemen. De auditcommissie ziet toe op de opzet en de werking van de systemen voor het eerder genoemde brede spectrum aan risico’s (zowel strategisch, operationeel en financieel als op het gebied van compliance en verslaggeving) en op de jaarlijkse beoordeling daarvan door het bestuur. De auditcommissie brengt daarover verslag uit aan de raad van commissarissen.
Aansluiten bij COSO-raamwerk?
De Code geeft geen nadere richtlijnen voor de interne risicobeheersings- en controlesystemen.
Het bestuur ontwerpt, implementeert en onderhoudt adequate interne risicobeheersings- en controlesystemen en monitort de werking ervan. Het bestuur bespreekt de effectiviteit van de systemen met de auditcommissie en legt daarover verantwoording af aan de raad van commissarissen.
De rol van de auditcommissie
Het is de taak en de verantwoordelijkheid van de auditcommissie om de raad van commissarissen te ondersteunen bij de beoordeling van de effectiviteit van de interne risicobeheersings- en