Belangrijkste aspecten en impact op aansprakelijkheid bestuurders toegelicht

Gevolgen opname VOR in corporate governance code 2025

Publicatie
19 aug 2025

Met de opname van de verklaring omtrent risicobeheersing (VOR) in de corporate governance code 2025 zijn de verantwoordelijkheden van bestuurders en commissarissen voor risicobeheersing duidelijker vastgelegd. Bestuurders moeten voortaan een expliciete, publiek toetsbare verklaring over de werking van hun risicobeheersings- en controlesystemen opnemen in het bestuursverslag. Die verklaring maakt hun verantwoordelijkheid concreter en vergroot het risico op aansprakelijkheid bij ontoereikend risicomanagement of onvolledige en/of onjuiste rapportage. In dit artikel staan we stil bij de belangrijkste aspecten van de VOR en de gevolgen voor bestuurdersaansprakelijkheid. Daarnaast bespreken we de vrijheid in de inrichting van de VOR.

Op 20 maart 2025 is de VOR opgenomen in de Nederlandse corporate governance code 2025 (Code 2025). Waar de eerdere corporate governance code (Code 2022) vooral de nadruk legde op duurzame langetermijnwaardecreatie, introduceert de Code 2025 een verplichting voor bestuurders van beursgenoteerde vennootschappen om de werking van interne risicobeheersings- en controlesystemen expliciet te kwalificeren over het afgelopen boekjaar. Hiermee wordt zowel de verantwoordelijkheid voor risicobeheersing (operationele, compliance- en verslaggevingsrisico's) van bestuurders en commissarissen als de potentiële bestuurdersaansprakelijkheid explicieter gemaakt.

Tegelijkertijd staat het vennootschappen vrij om - binnen het kader van de Code 2025 - de VOR naar eigen inzicht vorm te geven. Vennootschappen hebben de verantwoordelijkheid om zelf de juiste balans te vinden tussen ambitie, zekerheid en proportionaliteit. Ze zijn autonoom in het uitstippelen van hun eigen ‘route’ met betrekking tot de VOR.

Tijd dringt voor onderbouwing VOR

In de Code 2025 is opgenomen dat deze (en dus ook de VOR) geldt vanaf het boekjaar dat begint op of na 1 januari 2025 (boekjaar 2025). Vanwege de late publicatie van de Code 2025 (maart 2025), zijn voor vennootschappen de tijdlijnen voor implementatie kort. Op basis van de interne rapportageplanning zouden veel bedrijven voor boekjaar 2025 (als dat een kalenderjaar is) al in november interne consensus moeten hebben over de VOR. Voordat je de VOR kunt opstellen, moet de status quo van de betreffende risicobeheersings- en controlesystemen inzichtelijk zijn. De tijd dringt dan ook als je nog niet bent begonnen met de voorbereidende werkzaamheden voor de VOR en de onderbouwing daarvan.

Hoewel de corporate governance code in principe alleen op Nederlandse beursgenoteerde vennootschappen van toepassing is, heeft de Hoge Raad ondertussen bevestigd dat deze ook breder fungeert als spiegel van de ‘heersende algemene rechtsovertuiging’ en relfexwerking heeft voor niet-beursgenoteerde vennootschappen. Dit bevestigt het belang van de corporate governance code voor alle vennootschappen, bestuurders en commissarissen.

Belangrijkste aspecten van de VOR in de Code 2025

Hieronder lichten we de belangrijkste aspecten in de Code 2025 met betrekking tot de VOR toe en de veranderingen ten opzichte van de Code 2022. De VOR moet gelezen worden in bestpracticebepaling 1.4.3 in samenhang met bestpracticebepalingen 1.2.1, 1.4.1 en 1.4.2.

De nieuwe bestpracticebepaling 1.4.3 schrijft voor dat het bestuur in het bestuursverslag met een duidelijke onderbouwing in zes verklaringen (in de Code 2022 waren dit er nog vier) het volgende verklaart:
- dat het verslag een ‘voldoende mate van inzicht’ geeft in tekortkomingen in de werking van de interne risicobeheersings- en controlesystemen (bestpracticebepaling 1.4.3 (i) – gewijzigd);
- voor de financiële verslaggeving: dat deze systemen een ‘redelijke mate van zekerheid’ geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat (bestpracticebepaling 1.4.3 (ii) - ongewijzigd);
- voor de duurzaamheidsverslaggeving: dat deze systemen ‘tenminste een beperkte mate van zekerheid’ geven dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat (bestpracticebepaling 1.4.3 iii – nieuw);
- voor de operationele risico’s en compliancerisico’s: ‘welk niveau van zekerheid’ deze systemen geven dat deze risico’s effectief worden beheerst (bestpracticebepaling 1.4.3 (iv) – nieuw);
- dat het naar de huidige stand van zaken gerechtvaardigd is dat de financiële verslaggeving is opgesteld op ‘going concern basis’ (bestpracticebepaling 1.4.3 (v) – ongewijzigd); en
- dat in het verslag de materiële risico’s als bedoeld in bestpracticebepaling 1.2.1 en de onzekerheden zijn vermeld, voor zover die relevant zijn ter zake van de verwachting van de continuïteit van de vennootschap voor een periode van twaalf maanden na opstelling van het verslag (bestpracticebepaling 1.4.3 (vi) – ongewijzigd).
In de Code 2022 schreef bestpracticebepaling 1.4.3 (i) nog ‘voordat het verslag in voldoende mate inzicht geeft in tekortkomingen in de werking van de interne risicobeheersings- en controlesystemen met betrekking tot de risico’s als bedoeld in bestpracticebepaling 1.2.1’ (dit zijn de strategische, operationele, compliance- en verslaggevingsrisico’s). In de Code 2025 is de verduidelijking van de specifieke risico’s waarop deze bepaling van toepassing is vervallen. Als je deze bepaling leest in samenhang met de nieuwe toelichting op bestpracticebepaling 1.2.1, kun je daaruit opmaken dat risicobeheersings- en controlesystemen niet expliciet zien op strategische risico’s. Dit zou betekenen dat de verklaring van bestpracticebepaling 1.4.3. (i) zich richt op operationele, compliance- en verslaggevingsrisico's. Hierover is echter geen expliciete opmerking of verwijzing opgenomen.
De verklaring dat de verslaggeving geen materiële onjuistheden bevat, is uitgebreid van de financiële verslaggeving naar financiële verslaggeving én duurzaamheidsverslaggeving met bestpracticebepaling 1.4.3 (iii). De interne risicobeheersings- en controlesystemen moeten met betrekking tot duurzaamheidsinformatie ‘tenminste een beperkte mate van zekerheid’ geven. Als bestuur mag je echter aangeven dat deze systemen een redelijke mate van zekerheid geven. De toelichting bij bestpracticebepaling 1.4.3 geeft aan dat de ‘beperkte mate van zekerheid’ die is vereist voor de duurzaamheidsverslaggeving, in lijn is met de corporate sustainability reporting directive (CSRD). In de European sustainability reporting standards (ESRS) zijn ook enkele rapportageverplichtingen opgenomen over risicobeheersing en interne controles voor de duurzaamheidsverslaggeving op basis van de CSRD.

Het ligt voor de hand dat vennootschappen bij het implementeren en toepassen van de VOR de bestaande complianceraamwerken voor duurzaamheidsverslaggeving (voor zover aanwezig en relevant in verband met de CSRD) aanvullen.
Opvallend is dat er verschillende maten van zekerheid worden gebruikt in bestpracticebepaling 1.4.3 van de Code 2025: ‘redelijke mate van zekerheid’, ‘beperkte mate van zekerheid’ en ‘welke mate van zekerheid’. Bij de laatste kies je als bestuur zelf welke mate van zekerheid de systemen geven. Daarnaast wordt het definiëren van de term ‘zekerheid’ overgelaten aan de vennootschap. Volgens ons zorgt dit voor onduidelijkheid aangezien er interpretatieverschillen kunnen ontstaan tussen vennootschappen.

Bestpracticebepaling 1.4.2 gaat over de verantwoording die het bestuur aflegt over de risicobeoordeling en -beheersing in het bestuursverslag. De Code 2022 schreef in bestpracticebepaling 1.4.2.(ii) nog voor dat het bestuur verantwoording aflegt over de ‘opzet en de werking van de interne risicobeheersings- en -controlesystemen over het afgelopen boekjaar’. De nieuwe bestpracticebepaling 1.4.2.(ii) schrijft voor dat het bestuur in het bestuursverslag verantwoording aflegt over de ‘opzet en werking van de interne risicobeheersings- en controlesystemen op het gebied van operationele, compliance- en verslaggevingsrisico’s over het afgelopen boekjaar en welke raamwerken daarbij zijn gehanteerd’. Nieuw is dat deze verantwoording ook specifiek geldt voor de operationele en compliancerisico’s. Daarnaast schrijft de geheel nieuwe bestpracticebepaling 1.4.2 (iii) voor dat je als bestuur verantwoording aflegt over de beoordeling van de effectiviteit van de interne risicobeheersings- en controlesystemen voor deze operationele, compliance- en verslaggevingsrisico’s. Deze toevoegingen betekenen voor veel vennootschappen dat - naast de verantwoordingswerkzaamheden voor de verslaggevingsrisico’s - de verantwoordingswerkzaamheden betreffende de operationele en compliancerisico's uitgebreid moeten worden. Wij zien hierbij een rol voor afdelingen risicomanagement, compliance, interne controle en interne audit in de ondersteuning van het bestuur bij de invulling van deze verantwoordelijkheid.

Door het opnemen van de VOR in de Code 2025 zijn de verantwoordelijkheden van commissarissen en de auditcommissie (of een afzonderlijke commissie van de raad van commissarissen die zich bezighoudt met duurzaamheidsvraagstukken) voor het toezicht op risicomanagement en de verantwoording daarover in het bestuursverslag uitgebreid en verduidelijkt. Op grond van bestpracticebepaling 1.5.3 (iv) heeft de auditcommissie nu de expliciete taak om verslag uit te brengen aan de raad van commissarissen over hoe de VOR is onderbouwd.
Onveranderd is bestpracticebepaling 1.4.1 waarin staat dat het bestuur de effectiviteit van de opzet en de werking van de systemen voor interne risicobeheersings en -controle met de auditcommissie bespreekt en daarover verantwoording aflegt aan de raad van commissarissen. De inhoud van deze bespreking en verantwoording is met de introductie van de VOR wel verruimd.

Gevolgen Code 2025 voor bestuurdersaansprakelijkheid

Het opnemen van een toetsbare norm in de Code 2025 voor operationele, compliance en verslaggevingsrisico's heeft als belangrijk gevolg dat het bestuur zich publiekelijk committeert aan een kwaliteitsoordeel (‘redelijke’, ‘beperkte’ of een zelfgekozen mate van zekerheid) over de werking van de interne risicobeheersings- en controlesystemen. Bestuurders kunnen zich niet langer beroepen op inspanningsverplichtingen; je moet een meer resultaatgerichte uitspraak over de betrouwbaarheid van de risicobeheersings- en controlesystemen doen. In het geval van ontoereikend risicomanagement en gebrekkige verklaringen, kan sneller dan eerder geoordeeld worden dat er sprake is van kennelijk onbehoorlijk bestuur of toezicht waarvoor de bestuurder of commissaris een ‘persoonlijk ernstig verwijt’ kan worden gemaakt. Dat legt de basis voor civielrechtelijke aansprakelijkheid. Als de VOR misleidende verklaringen bevat, is ook hoofdelijke aansprakelijkheid van bestuurders mogelijk vanwege een misleidende voorstelling van de toestand van de vennootschap in het bestuursverslag in de zin van artikel 2:249 van het Burgerlijk Wetboek (BW). In het geval van valsheid in geschrifte kan dit zelfs leiden tot strafrechtelijke aansprakelijkheid; hoewel daarvoor een hoge bewijslast geldt.

Code 2025 geeft veel vrijheid in inrichting: ruimte én risico

De Code 2025 laat veel ruimte voor maatwerk, zoals bijvoorbeeld bij het te hanteren normenkader voor risicobeheersing, de wijze van beoordeling van effectiviteit, de invulling van het begrip zekerheid en de onderbouwing van de VOR. Die vrijheid past bij het karakter van de Code en biedt vennootschappen ook een mooie kans om zich te onderscheiden door publiekelijk verantwoordelijkheid te nemen voor een beheerste bedrijfsvoering op onder meer het gebied van duurzaamheid, (specifieke) operationele elementen en compliance. Tegelijkertijd brengt deze vrijheid ook onduidelijkheid met zich mee voor vennootschappen, zoals eerder opgemerkt.

Naar aanleiding van de opname van de VOR in de Code 2025 nemen vennootschappen in verschillende mate actie voor implementatie van de VOR, variërend van proactief tot meer afwachtend hoe één en ander zich in de markt zal uitkristalliseren. Een gemene deler is het initiatief dat je moet nemen om inzicht te genereren in hoe je de VOR kunt onderbouwen. Dit doen vennootschappen door:

in kaart te brengen wat alle huidige externe uitingen van de vennootschap in het kader van risico's en risicobeheersing zijn;
het analyseren van de kwaliteit en volledigheid van de huidige systemen van risicobeheersing en interne controle van de vennootschap; en

de evaluatie van de huidige reikwijdte van rapportages over interne assurance.

Tijdlijn voor implementatie Code 2025

De Code 2025 moet nog wettelijk worden verankerd als gedragscode in de zin van artikel 2:391a, lid 2, sub e BW, waarvoor het 'Besluit inhoud bestuursverslag' gewijzigd moet worden. We verwachten dat dit op korte termijn gebeurt.

Als door de gewijzigde principes en best practices in de Code 2025 aanpassingen nodig zijn in regelingen, reglementen, procedures of andere schriftelijke vastleggingen van de vennootschap, moeten die uiterlijk op de laatste dag van het boekjaar 2025 zijn doorgevoerd. Van een vennootschap die uiterlijk op de laatste dag van het boekjaar 2025 voldoet aan de Code 2025, wordt aangenomen dat ze gedurende het gehele boekjaar 2025 aan de Code 2025 heeft voldaan. Belangrijk is om zo snel mogelijk (gedurende boekjaar 2025) de regelingen, reglementen, procedures, enzovoorts aan te passen aan de Code 2025.

Wil je weten wat de Code 2025 voor jouw vennootschap betekent en wat voor jou de juiste route is? Neem contact met ons op.

Contact us

Coen Ruisendaal

Director, PwC Netherlands

Tel: +31 (0)65 372 98 59

Annelies van Tongeren

Senior Manager, PwC Netherlands

Tel: +31 (0)65 107 69 38

Volg ons