Commissarissen Symposium 2023: Risicomanagement verklaard?!
Op 9 oktober 2023 organiseerde IIA Nederland, de beroepsorganisatie van internal auditors en NBA LIO, de ledengroep van intern en overheidsaccountants, het jaarlijkse Commissarissen Symposium. Lees hier het verslag van de bijeenkomst.
Hoeders van transparantie, integriteit en verantwoordingsplicht
Dagvoorzitter Jaap van Manen verwelkomde de zeventig aanwezige commissarissen en hoofden internal audit. Esther Bosch (voorzitter NBA LIO) en Linda Post (voorzitter IIA Nederland) verzorgden de opening. Het thema van het symposium was Risicomanagement Verklaard?!. Een passend onderwerp voor het publiek vanwege de actuele discussie over de Verklaring Omtrent Risico (VOR). Commissarissen en hoofden Internal Audit zijn immers de hoeders van transparantie, integriteit en de verantwoordingsplicht binnen organisaties. Effectieve risicobeheersingsprocessen zijn van groot belang voor het succes en de duurzaamheid van de organisatie. De deelnemers van het symposium werden aangemoedigd om inzichten en best practices uit te wisselen en hierop te reflecteren.
Igor Nikolic over risicodenken
Igor Nikolic, universitair hoofddocent aan de TU Delft, gaf vervolgens invulling aan het uitroepteken in de titel: Risicomanagement verklaard!. Hij nam de zaal mee door de ontwikkelingen in risicodenken. De titel van zijn presentatie was 'Regret minimalisation': We krijgen altijd spijt, maar hoe bepaal je de beslissing waarvan je het minst spijt krijgt? We zijn in transitie van duidelijke en voorspelbare omgevingen naar snellere veranderingen en dat vergt een andere manier van risicodenken en een groot adaptief vermogen van organisaties. We gaan van predict and act naar explore and adapt. Dit vereist ook een andere mindset van management en van bestuurders en toezichthouders. Extrapoleren werkt niet meer. Gelukkig stellen snellere computers organisaties in staat tienduizenden scenario's te ontwikkelen. Tegelijk kan een onwaarschijnlijk scenario toch werkelijkheid worden en vragen benadeelde stakeholders waarom hierop niet is geanticipeerd door de organisatie. Voor internal auditors en commissarissen vraagt dit een focus op het proces van scenario-analyse en de daarbij gehanteerde veronderstellingen.
Cruciale rol voor internal auditafdelingen
Na deze inleiding introduceerde de dagvoorzitter de panelleden: Rients Abma (directeur Eumedion), Harold Koster (Universiteit Leiden), Chris Figee (cfo KPN) en Tjalling Tiemstra (voorzitter RvT Shell Pensioenfonds). Zij gingen diep in op het vraagteken in de titel: Risicomanagement verklaard?, ofwel de voor- en nadelen van een Verklaring Omtrent Risicobeheersing (VOR).
De conclusie was dat het een illusie is dat de VOR een waarborg is dat de organisatie altijd in control is. Er wordt daarom ook niet gesproken over een In Control Statement.
Niet alle risico's zijn te voorzien; niet alle risico's kun en wil je als organisatie afdekken, zoals ook Igor Nikolic in zijn inleiding aangaf. De vraag is om transparantie, ook over tekortkoningen in de risicobeheersing. Dat leidt wel tot het zoeken naar een evenwicht met het delen van (ook mogelijk) strategische informatie en met de mogelijke aansprakelijkheid als zaken niet zijn gemeld. Een focus op de juridische afdekking zou zijn doel voorbijschieten.
Ook kan een risico, dat je had kunnen voorzien, uiteindelijk toch manifest worden en vervolgens tot de verantwoordingsvraag leiden. Het kan resulteren in balanceren tussen transparantie/openheid en juridische afdekking waarbij alle onwaarschijnlijke risico's worden vermeld als disclaimer bij de VOR.
Hoofdpunten van de management letter en key audit matters in de accountantsverklaring kunnen een redelijke insteek zijn.
Jaap van Manen peilde ook wat de panelleden verwachten van de internal auditfunctie in het teken van de VOR. Zij vonden allemaal dat een cruciale rol is weggelegd voor de internal auditafdelingen. De panelleden onderschreven het uitgangspunt dat het VOR-proces auditable moet zijn door interne audit. Zeker omdat de interne auditor de control cultuur van de organisatie kent en een open lijn heeft met het bestuur en de AC. Zij zijn geen voorstander van externe assurance over de VOR door de accountant.
Betrek de jongere generatie erbij
Na een korte break namen de aanwezigen weer plaats aan de ronde tafels om te discussiëren over verschillende stellingen. Na een halfuur werden deze plenair doorgenomen. Jaap van Manen wist de aanwezigen in een vrolijk constructieve sfeer uit te dagen en de antwoorden snel samen te vatten.
De stelling dat traditioneel risicomanagement niet langer effectief is, en juist de adaptiviteit en weerbaarheid van organisaties essentieel werden, leidde tot het advies van de zaal om de jongere generatie erbij te betrekken en meerdere risicoperspectieven inclusief hun onderlinge relaties in kaart te brengen.
Een andere stelling luidde dat technische vooruitgang en digitale transformatie een diepgaande invloed hebben op risicomanagement. AI-ontwikkelingen gaan snel. Een nieuwe tool die je goed moet inzetten en effectief wordt als je de juiste datamodellen gebruikt en kritisch bent over het gebruik van de door AI opgeleverde resultaten.
De stelling 'Een Verklaring Omtrent Risicobeheersing (VOR) zal helpen het risicomanagement binnen de organisatie te verbeteren' werd in beginsel positief ontvangen, maar wel van een kritisch kant bezien door de deelnemers. Er moet worden opgepast voor een verwachtingskloof. De VOR is geen wondermiddel om risico's uit de onderneming te verdrijven. Ook zagen de deelnemers dat de VOR een rem kan zijn op innovatie, doordat dat risico's met zich meebrengt die je vooraf niet volledig kan inschatten.
VOR versus SOx
Afsluitend nam Bart van Loon, KPMG, het woord om terug te blikken en de aanwezigen te bedanken voor de participatie. De komst van de VOR deed hem denken aan een parallel met de SOx-regelgeving. Er ging veel mis in het begin, maar het ‘SOx-regime’ hielp uiteindelijk, wanneer opgepakt door de lijnorganisatie, wel om organisaties naar een hoger niveau te tillen. Laten we de mogelijkheid openhouden dat de VOR eenzelfde ontwikkeling kan initiëren.
Door de invoering van meatless monday is het walking diner vegetarisch en Bart nodigde iedereen uit om hiervan te genieten. Het applaus van de deelnemers voor deze uitnodiging gold als dank voor de gastvrijheid en de goede symposiumfaciliteiten van de ruimte.