.png){kind=small}
VOR Verklaring Omtrent Risicobeheersing
Het is een vraag die steeds vaker op tafel komt in de bestuurskamer. Niet alleen bij financiële instellingen, maar ook bij uitvoeringsorganisaties, zorginstellingen en andere (semi)publieke organisaties. Toezichthouders stellen hogere eisen. De maatschappelijke druk neemt toe. Incidenten halen direct het nieuws.
En dan is daar de VOR Verklaring Omtrent Risicobeheersing.
Voor sommige organisaties een logisch vervolg op bestaande verantwoordingsdocumenten. Voor anderen een spannend nieuw instrument dat vragen oproept. Wat verklaar je precies? Waar baseer je dat op? En belangrijker: wat betekent het voor de manier waarop je risico’s beheerst?
In deze blog gaan we in op vier vragen:
Wat is de VOR?
Voor welke organisaties is de VOR van toepassing?
Waarom is de VOR belangrijk?
Wat is de visie van Ferocia op de VOR en hoe kunnen wij ondersteunen?
Wat is de VOR?
De Verklaring Omtrent Risicobeheersing (VOR) is een expliciete bestuurlijke verklaring waarin het bestuur aangeeft in hoeverre de interne risicobeheersing effectief is ingericht en functioneert. Kort gezegd: het bestuur spreekt zich uit over de mate waarin de organisatie haar belangrijkste risico’s beheerst.
Met de VOR verschuift de nadruk van impliciete naar expliciete verantwoordelijkheid. Waar risicobeheersing voorheen vaak besloten lag in rapportages van internal audit, risk of compliance, vraagt de VOR om een duidelijke uitspraak van het bestuur zelf. Het bestuur moet voortaan expliciet rapporteren over:
De opzet en werking van de interne risicobeheersings- en controlesystemen (IRCS);
De beoordeling van de effectiviteit van deze systemen;
De mate van zekerheid die deze systemen bieden ten aanzien van:
operationele risico’s
compliance risico’s
verslaggevingsrisico’s (financieel én duurzaam).
De VOR dwingt organisaties om deze vragen niet alleen intern te bespreken, maar ook formeel vast te leggen richting toezichthouders en stakeholders.
Dat maakt het geen administratieve formaliteit, maar een bestuurlijk instrument.
Wat er nu concreet verandert is dat het bestuur:
jaarlijks de effectiviteit van de IRCS moet beoordelen;
hierover transparant moet rapporteren in het bestuursverslag;
expliciet moet aangeven welk niveau van zekerheid de systemen bieden voor operationele en compliance risico’s;
ook duurzaamheidsinformatie moet betrekken in de risicobeheersing.
Voor welke organisaties is de VOR (Verklaring Omtrent Risicobeheersing) van toepassing?
De VOR is per de Nederlandse Corporate Governance Code 2025 verplicht voor alle beursgenoteerde ondernemingen. Deze bedrijven moeten vanaf het boekjaar dat start op of na 1 januari 2025 in hun bestuursverslag expliciet verantwoording afleggen over de hierboven beschreven elementen.
Hoewel de VOR formeel onderdeel is van de Corporate Governance Code (en dus alleen verplicht is voor beursgenoteerde bedrijven), wordt deze in toenemende mate vrijwillig toegepast door andere typen organisaties, zoals:
maatschappelijke organisaties;
financiële instellingen;
grotere familiebedrijven;
ondernemingen die zich willen voorbereiden op CSRD-rapportage; en
organisaties met complexe governance-, risico- of compliancevraagstukken.
De VOR sluit inhoudelijk aan bij bredere risicobeheer eisen vanuit de CSRD. Organisaties die onder CSRD vallen, zullen merken dat de VOR-methodiek goed aansluit bij de vereiste risicoparagraaf, al is de VOR zelf niet verplicht voor niet-beursgenoteerde CSRD-plichtige ondernemingen.
Niet omdat het moet maar omdat het bijdraagt aan vertrouwen, transparantie en professioneel bestuur.
Kortom: de VOR is vooral relevant voor organisaties waar maatschappelijke impact, toezicht en governance zwaar wegen. Hoe groter de impact van falende beheersing, hoe groter de noodzaak van een expliciete verklaring.
Waarom is de VOR belangrijk?
De introductie van de VOR komt niet uit de lucht vallen. Organisaties opereren in een omgeving waarin onzekerheid structureel is geworden. Waar digitalisering de afhankelijkheid van IT-systemen vergroot, waar maatschappelijke verwachtingen toenemen en waar incidenten rondom datalekken, fraude, integriteitsschendingen of falend toezicht laten zien wat er gebeurt als risicobeheersing tekortschiet.
De VOR speelt in op deze realiteit.
1. Versterking van bestuurlijke verantwoordelijkheid
De VOR maakt risicobeheersing expliciet onderdeel van de bestuurlijke verantwoordelijkheid. Het bestuur kan zich niet verschuilen achter rapportages van stafafdelingen of assurance-functies.
De vraag wordt persoonlijker: Durf ik te verklaren dat wij onze risico’s beheersen? Dat leidt tot scherpere gesprekken binnen het bestuur en met toezichthouders.
2. Stimulans voor integraal risicomanagement
Een VOR kun je niet afgeven op basis van een losse risicoanalyse of een jaarlijkse update van het risicoregister.
De verklaring vraagt om:
Een actueel en integraal risicobeeld
Heldere governance-structuren
Effectieve monitoring
Betrouwbare managementinformatie
De VOR fungeert daarmee als katalysator voor volwassen integraal risicomanagement.
3. Verbinding tussen strategie en beheersing
Risicobeheersing draait om het realiseren van organisatiedoelen binnen aanvaardbare risicogrenzen.
Als je verklaart dat je “in control” bent, zeg je in feite:
Wij achten het aannemelijk dat wij onze strategische doelstellingen realiseren binnen de gestelde kaders.
Dat maakt de VOR strategisch relevant. Het gesprek verschuift van compliance naar doelrealisatie.
4. Transparantie en vertrouwen
Stakeholders verwachten inzicht in hoe organisaties omgaan met onzekerheden en risico’s.
De VOR draagt bij aan transparantie. Niet door elk detail openbaar te maken, maar door helder te communiceren over de mate van beheersing en eventuele verbetermaatregelen.
Transparantie versterkt vertrouwen. En vertrouwen is in veel sectoren cruciaal.
De visie van Ferocia ten aanzien van de VOR
Bij Ferocia zien wij de VOR niet als een verplicht nummer, maar als een strategisch instrument. Een kans om risicobeheersing te versterken, om het gesprek in de bestuurskamer te verdiepen en een kans om audit, risk en compliance steviger te positioneren.
Onze visie rust op drie pijlers.
1. Inhoud vóór formulering
De verklaring volgt uit de kwaliteit van de beheersing. Niet andersom.
Dat betekent investeren in:
Een scherp en actueel risicoprofiel
Een duidelijke risk appetite
Effectieve beheersmaatregelen
Aantoonbare werking van controls
De VOR is het sluitstuk van een goed ingericht systeem van governance, risk en control.
2. Aandacht voor gedrag en cultuur
Risicobeheersing is meer dan processen en systemen. Gedrag, voorbeeldrol en aanspreekcultuur bepalen of controls werken.
Wij pleiten ervoor om bij de onderbouwing van de VOR expliciet aandacht te besteden aan gedrag en cultuur:
Hoe ziet de beheerscultuur eruit en in welke mate is de consistent met de interne risicobeheersing?
Is er ruimte voor tegenspraak?
Durven medewerkers dilemma’s te delen?
Zonder deze dimensie blijft “in control” kwetsbaar.
3. De VOR als continu proces
De VOR mag geen jaarlijkse momentopname zijn. Het moet het resultaat zijn van een doorlopend proces van identificeren, beheersen, monitoren en bijstellen.
Dat vraagt om volwassen professionals en een lerende organisatie.
Hoe kan Ferocia je ondersteunen bij de VOR?
De implementatie en borging van de VOR vraagt om kennis, ervaring en capaciteit. Ferocia ondersteunt organisaties via opleidingen, interim en consultancy en werving en selectie.
Opleidingen en trainingen
Internal auditors, risk managers en compliance officers spelen een sleutelrol bij het onderbouwen van de VOR.
Onze opleidingen versterken:
Analytische vaardigheden
Oordeelsvorming
Inzicht in integraal risicomanagement
Kennis van soft controls en governance
Professionals leren niet alleen toetsen, maar ook adviseren op strategisch niveau.
Interim en consultancy
Staat jouw organisatie aan het begin van de invoering van de VOR? Of wil je het bestaande risicomanagement naar een hoger niveau tillen? Onze interim-professionals en consultants ondersteunen bij:
Het
Het inrichten of herijken van het risicomanagementframework
Het uitvoeren van maturity-assessments
Het verbeteren van control effectiveness
Het voorbereiden en onderbouwen van de VOR
Altijd met focus op inhoud en duurzame verankering.
Werving en selectie
Een stevige VOR vraagt om stevige professionals.
Wij ondersteunen bij het vinden van auditors, risk managers en controllers die bestuurlijk sensitief zijn, analytisch sterk en in staat om het gesprek op niveau te voeren. Want uiteindelijk staat de kwaliteit van de VOR of valt zij met de kwaliteit van de mensen die haar dragen.
Tot slot: durf je te verklaren dat je in control bent?
De VOR stelt een eenvoudige, maar confronterende vraag: Zijn wij écht in control? Niet alleen op papier, maar in gedrag, in besluitvorming en in uitvoering.
Voor organisaties met een publiek belang is die vraag urgenter dan ooit.
Bij Ferocia geloven wij dat de VOR geen bedreiging is, maar een kans. Mits je bereid bent het eerlijke gesprek te voeren en te investeren in volwassen risicobeheersing.
Wil je weten waar jouw organisatie staat?Of wil je sparren over de impact van de VOR op jouw governance en control?
Wij gaan graag met je in gesprek.
Blogs
Waarom blijven dezelfde fouten terugkomen in organisaties? In deze blog lees je hoe internal auditing kan uitgroeien van controleur tot aanjager van leren en verbeteren. Ontdek hoe je met focus op gedrag, patronen en dialoog het lerend vermogen écht versterkt. Klik door voor meer informatie.
Internal auditing en het lerend vermogen
De VOR vergroot de verantwoordelijkheid van het bestuur en dat vraagt om een stevige onderbouwing van de interne risicobeheersing. Internal audit blijft onafhankelijk en moet samenwerken met de 1ste en 2de lijn en de effectiviteit van de beheersing duiden. De VOR biedt zo een kans om strategisch waarde toe te voegen.
VOR en de impact op de internal auditor
Veel risicoanalyses blijven hangen in lijstjes en matrixen waar niemand iets mee doet. In deze blog lees je wat een écht goede risicoanalyse is, welke valkuilen je moet vermijden en hoe je risico’s verbindt met gedrag, besluitvorming en resultaat. Maak van risicoanalyse een krachtig stuurinstrument.
Risicoanalyse
