Accountantsorganisatie BDO sluit zich aan bij de feedback van branchevereniging NBA dat de Corporate Governance Code een verplichte Verklaring omtrent risicobeheersing (VOR) op moet nemen. Ook wil BDO meer aandacht voor IT-beveiliging en maakt de organisatie zich zorgen dat er geen maatregelen zijn genomen om lastenverzwaring in het mkb door ESG-eisen te beperken.
De organisatie noemt het een ‘gemiste kans’ dat de aanbeveling van de Commissie toekomst accountancysector (Cta) om een VOR in te voeren niet is overgenomen in de actualisatievoorstellen van de Corporate Governance Code. De Cta voerde een analyse uit op in control statements in de VS en het VK en concludeerde dat een bestuur er goed aan zou doen een verklaring af te geven over welke risicobeheersingssystemen worden ingezet om operationele-, compliance-, en verslaggevingsrisico’s te beperken. Ook NBA pleitte onlangs voor het verplicht stellen van een VOR.
Verklaring omtrent risicobeheersing
Dat zijn in de huidige Code vrijblijvende bepalingen die zich beperken tot financiële risico’s. ‘Hier zou ook een meer duidelijke rol voor de accountant passen om zekerheid te verschaffen met betrekking tot deze verklaring van bestuur omtrent risicobeheersing,’ schrijft BDO in een reactie op de openbare consultatie voor de eerder dit jaar gepubliceerde actualisatievoorstellen.
Aandacht IT-beveiliging
Ook vraagt de organisatie zich af waarom er geen aandacht is besteed aan digitalisering en cybersecurity. Dit zou expliciet moeten worden benoemd in de sectie over risicobeheersing. ‘Uit alle onderzoeken naar impactvolle risico’s bij organisaties staat cybercrime bij de toprisico’s als bedreiging voor continuïteit en reputatieschade. Dit toont aan dat het bestuur van een vennootschap er niet aan ontkomt om cybersecurity te integreren in het bestaande interne beheersings- en risicosysteem van de vennootschap.’
Lees ook: Trends 2022: ‘Speel een cybercrimineel niet in de kaart’
Technische kennis
BDO adviseert om specifieke deskundigheidsvereisten op het gebied van technologische kennis op te nemen in de geactualiseerde Code. ‘Ook kan gedacht worden aan de mogelijkheid tot het aanstellen van een risicocommissie of technologiecommissie waar de IT-governance rondom cybersecurity wordt ondergebracht’.
Invulling aan ESG
De actualisatievoorstellen richten zich specifiek op klimaateisen en andere ESG-factoren waar bedrijven mee te maken krijgen. De voorstellen zijn in lijn met Europese regelgeving als de CSRD en weinig vernieuwend. BDO roept de Monitoring Commissie Corporate Governance Code op om verdere invulling te geven aan de verantwoording van de ESG-strategie.
Lees ook: ‘Het is klaar met babbelboxen over duurzaamheid en circulariteit’
Lastenverzwaring mkb
Vanwege het doorwerkeffect van ESG-eisen bij beursgenoteerde bedrijven in de hele keten – toeleveranciers moeten hun ESG-data ook inzichtelijk hebben – vraagt BDO om aandacht voor mkb-ondernemingen. In de Europese CSRD worden maatregelen genomen om onevenredige lastenverzwaring voor mkb’s in deze keten te voorkomen. Een dergelijk richtsnoer ontbreekt in de actualisatievoorstellen en er zou moeten worden opgenomen hoe ESG-verplichtingen mogen worden in de keten zonder lastenverzwaring voor het mkb.
