Martin de Bruin heeft 17 jaar ervaring als interim risicomanager -en verandermanager en beschikt over een ISO31000 certificering waarmee hij bedrijven en organisaties helpt om een nieuw risicomanagement framework in te richten of een bestaand risicomanagement framework te optimaliseren aan de hand van de ISO31000 Risicomanagement methodiek.
Staat uw bedrijf voor de uitdagende taak om de nieuwe CSRD-richtlijnen te implementeren? U bent niet de enige. Overal in Nederland (ong. 7000 bedrijven) en in de EU (ong. 50.000 bedrijven) worstelen organisaties met de vraag hoe ze deze complexe regelgeving effectief in hun bedrijfsstrategie kunnen integreren. De CSRD (Corporate Sustainability Reporting Directive) is niet zomaar een richtlijn; het is een revolutionaire richtlijn die een nieuwe standaard zet voor risicomanagement en duurzaamheidsrapportage. Maar maak u geen zorgen, ik ga u enkele handvatten geven om te starten met de implementatie van CSRD.
In deze blog zal worden ingegaan op het onderwerp bedrijfsvoering en verdienmodel in het algemeen en risicomanagement in het bijzonder. Dit laatste in de context van de dubbele materialiteitsanalyse welke bedrijven volgens CSRD verplicht moeten uitvoeren. Verder zullen in deze blog enkele handvatten worden gegeven om vanuit duurzaamheidsperspectief hier een start mee te maken om te kunnen voldoen aan de Europese richtlijn CSRD.
Toenemende aandacht voor bedrijfsvoering en duurzaam verdienmodel
Aandacht voor integere en beheerste bedrijfsvoering is noodzakelijk
Toezichthouder Autoriteit Financiële Markten (AFM) publiceerde dinsdag 21 november 2023 een artikel waarin zij aandacht vraagt voor integere en beheerste bedrijfsvoering door middel van onder andere gedegen risicomanagement. Op basis van diverse toezichtonderzoeken en de Marktmonitor adviseurs en bemiddelaars (MMAB) constateert de AFM namelijk dat een deel van de financieel dienstverleners niet voldoet aan de minimale vergunningseisen. Dit gaat volgens de AFM ten koste van integere en beheerste bedrijfsvoering en kan het belang van klanten schaden. Zo ziet zij dat er in de sector nog steeds sprake is van compliance risico’s doordat er onvoldoende aandacht is voor de risico’s die gepaard gaan met de introductie van nieuwe producten en diensten. Ook is er onvoldoende aandacht voor cultuur en gedrag binnen organisaties (integriteitsrisico) en voor de beheersing van risico’s bij uitbesteding van werkzaamheden aan derden (uitbestedingsrisico).
Aandacht voor een toekomstig en wendbaar verdienmodel
De AFM vraagt daarnaast aandacht voor een toekomstig en wendbaar verdienmodel, een onderwerp wat ik de laatste jaren steeds vaker lees in publicaties van de Europese Commissie, de Europese Centrale Bank (ECB), de European Banking Association (EBA), De Nederlandsche Bank (DNB) en de AFM. Ofwel, een duurzaam verdienmodel, met oog voor risicobeheersing, dat tegen een stootje kan op de korte en langere termijn.
Ook de nieuwe Europese richtlijn CSRD (Corporate Sustainability Reporting Directive) heeft als doel om een duurzaam verdienmodel in te richten, maar wel meer vanuit ESG-perspectief (wat staat voor Environmental, Social and Governance). De richtlijn is bedoeld om bedrijven te stimuleren om meer aandacht te besteden aan duurzaamheid en de impact van hun activiteiten op mens, milieu en samenleving of ESG. De Europese richtlijn CSRD heeft daarom strengere eisen opgesteld met betrekking tot duurzaamheidsverslaggeving van bedrijven.
Een randvoorwaarde voor een duurzaam verdienmodel is integere en beheerste bedrijfsvoering. En randvoorwaardelijk voor een goede bedrijfsvoering is effectief risicomanagement met oog voor negatieve risico’s (threats) en positieve risico’s (opportunities). Een mooi bruggetje naar de dubbele materialiteitsanalyse van de CSRD….
De CSRD verplicht namelijk bedrijven om een zogenaamde dubbele materialiteitsanalyse uit te voeren. De dubbele materialiteitsanalyse van CSRD is een methode om te bepalen welke duurzaamheidsonderwerpen het meest relevant zijn voor een organisatie en haar stakeholders. De analyse kijkt naar twee perspectieven: de impact van de organisatie op de omgeving (inside-out) en de impact van de omgeving op de organisatie (outside-in). Dit betekent dat bedrijven zowel negatieve als positieve duurzaamheidsrisico’s voor hun bedrijf in kaart moeten gaan brengen als belangrijke input voor de duurzaamheidsstrategie. De analyse helpt bedrijven om te begrijpen welke duurzaamheidsaspecten belangrijk zijn voor hun bedrijf en welke impact deze aspecten hebben op de financiële prestaties.
De dubbele materialiteitsanalyse kan worden uitgevoerd aan de hand van de volgende stappen:
1. Bepaal de relevante duurzaamheidsaspecten voor uw bedrijf;
2. Bepaal de impact van deze duurzaamheidsaspecten op uw bedrijf en uw omgeving;
3. Identificeer de risico’s, positief en negatief;
4. Bepaal de materialiteit van impact en risico’s.
De resultaten van de dubbele materialiteitsanalyse kunnen worden gebruikt om de duurzaamheidsstrategie van uw bedrijf te ontwikkelen. De strategie moet erop gericht zijn om de negatieve duurzaamheidsrisico’s (threats) te beheersen en de positieve duurzaamheidskansen (opportunities) te benutten.
Wat schrijft CSRD over risicomanagement?
Ondernemingen zijn dus verplicht om naar negatieve en positieve duurzaamheidsrisico’s te kijken en hierover te rapporteren in het jaarverslag. Vanuit mijn vakgebied Risicomanagement was ik dan ook nieuwsgierig wat de Europese richtlijn CSRD over risicomanagement schrijft. Is een specifieke risicomanagement methodiek verplicht en doet zij voorstellen voor de inrichting van een gedegen risico framework om de duurzaamheidsrisico’s te beheersen, te monitoren en over te rapporteren?
Het antwoord is negatief. Er is niets geschreven over een verplichte risicomanagement methodiek behalve dat ondernemingen informatie moeten verschaffen over de voornaamste risico’s met betrekking tot duurzaamheidskwesties, inclusief een beschrijving van de belangrijkste afhankelijkheden van de onderneming van die kwesties en hoe de onderneming deze risico’s beheert.
“Op grond van artikel 19 bis, lid 1, en artikel 29 bis, lid 1, van Richtlijn 2013/34/EU moeten ondernemingen informatie verschaffen over vijf rapporteringsgebieden: bedrijfsmodel; beleid, waaronder de toegepaste passende zorgvuldigheidsprocedures; de resultaten van dat beleid; risico’s en risicobeheer, en essentiële prestatie-indicatoren die relevant zijn voor het bedrijf.”
Ondernemingen moeten naast informatie over hun bedrijfsmodel, beleid, resultaten, risico’s en essentiële prestatie-indicatoren ook informatie verschaffen over hun bedrijfsstrategie en de veerkracht van het bedrijfsmodel en de bedrijfsstrategie ten aanzien van risico’s die verband houden met duurzaamheidskwesties. Ze moeten ook verplicht worden om eventuele plannen bekend te maken die ervoor zorgen dat hun bedrijfsmodel en -strategie verenigbaar zijn met de transitie naar een duurzame economie en met de doelstellingen van het Parijs-akkoord of klimaat akkoord.
Geen specifieke risicomanagement methodiek verplicht
De richtlijn schrijft dus geen specifieke risicomanagementmethode voor. Het vereist echter wel dat ondernemingen de belangrijkste risico’s met betrekking tot duurzaamheidskwesties identificeren en te rapporteren over hoe ze deze risico’s beheren. CSRD legt de nadruk op het verschaffen van relevante, vergelijkbare en betrouwbare duurzaamheidsinformatie. Het is aan de ondernemingen om hun eigen risicomanagementmethoden te bepalen en ervoor te zorgen dat hun bedrijfsmodellen en activiteiten duurzaam zijn.
Internetconsultatie wetsvoorstel
Op het moment van schrijven van deze blog, loopt er een internetconsultatie vanuit de Rijksoverheid terzake het Implementatiebesluit richtlijn duurzaamheidsrapportering voor de implementatie van CSRD in nationale wetgeving. CSRD moet uiterlijk op 6 juli 2024 zijn geïmplementeerd in nationale wetgeving.
CSRD wordt ook geïmplementeerd met een wetsvoorstel van de Minister van Financiën dat onder andere de Wet toezicht accountantsorganisaties, de Wet op het accountantsberoep en het Burgerlijk Wetboek wijzigt. Over dit implementatiewetsvoorstel richtlijn duurzaamheidsrapportering heeft reeds een publieke consultatie plaatsgevonden.
Risicomanagement vrij in te vullen
Ook in het wetsvoorstel Implementatiebesluit richtlijn duurzaamheidsrapportering worden geen specifieke eisen gesteld aan de risicomanagement methodiek en zijn ondernemingen daarin vrij om keuzes te maken. Wel wordt de belangrijke rol van een interne auditcommissie benadrukt die als derdelijns partij de belangrijke taak heeft om intern toezicht te houden op de opzet en werking van het interne risicomanagementsysteem, het interne beheersingssysteem, de jaarverslaggeving en de externe accountantscontrole.
Op basis van diverse bronnen, artikelen en rapporten van toezichthouders, heb ik hieronder een stappenplan opgeschreven voor de aanpak van een risico assessment in het kader van de dubbele materialiteitsanalyse.
1. Identificeer duurzaamheidsrisico’s, zowel negatief als positief, die relevant zijn voor uw organisatie. Deze risico’s kunnen worden geïdentificeerd door middel van een systematische aanpak, waarbij rekening wordt gehouden met de volgende factoren:
– De aard van uw onderneming en haar activiteiten;
– De omgeving waarin uw onderneming opereert (in- en externe context);
– De strategie en het beleid van uw onderneming;
– De doelstellingen van uw onderneming op het gebied van duurzaamheid.
2. Analyseer de duurzaamheidsrisico’s om kans en impact te bepalen. Houd hierbij rekening met de volgende factoren:
– De kans dat een duurzaamheidsrisico zich zal voordoen;
– De impact die een duurzaamheidsrisico zal hebben als het zich voordoet;
– Wanneer een duurzaamheidsrisico zich kan voordoen.
3. Beheers duurzaamheidsrisico’s door maatregelen te nemen om de risico’s te verminderen of de impact ervan te beperken. Deze maatregelen kunnen onder meer zijn:
– Het aanpassen van de strategie en het beleid van de onderneming;
– Het nemen van technische of operationele maatregelen;
– Het afsluiten van verzekeringen.
4. Rapporteer over het risicomanagementsysteem van uw organisatie. Deze rapportage moet bijvoorbeeld informatie bevatten over de volgende onderwerpen:
– De aanpak van het risicomanagementsysteem;
– De duurzaamheidsrisico’s die zijn geïdentificeerd;
– De analyse van de duurzaamheidsrisico’s;
– De maatregelen die zijn genomen om de duurzaamheidsrisico’s te beheersen.
Bedrijven moeten dus een systematische aanpak ontwikkelen voor het identificeren, analyseren en beheersen van duurzaamheidsrisico’s. Deze risico’s kunnen zowel negatief als positief zijn. Negatieve duurzaamheidsrisico’s kunnen bijvoorbeeld leiden tot reputatieschade, boetes van toezichthouders of schadeclaims van particulieren of bedrijven. Positieve duurzaamheidsrisico’s kunnen bijvoorbeeld leiden tot nieuwe kansen voor groei of innovatie. Denk bijvoorbeeld aan energiebespaarhypotheken.
Bedrijven die zich goed willen voorbereiden op de richtlijn, moeten daarom nu al aan de slag gaan met een risico assessment.
1. Een risico assessment is een systematische analyse van de risico’s die een bedrijf loopt. Het doel van een risico assessment is om de risico’s te identificeren, te analyseren en te prioriteren. Op basis van de resultaten van het risico assessment kan een bedrijf vervolgens maatregelen nemen om de risico’s te beheersen.
2. Een risico assessment is een belangrijk hulpmiddel voor bedrijven om hun duurzaamheidsstrategie te ontwikkelen. De strategie moet erop gericht zijn om de duurzaamheidsrisico’s te beheersen en de positieve duurzaamheidskansen te benutten.
Als de risico’s zijn geïdentificeerd, geanalyseerd en geprioriteerd kan vervolgens worden nagedacht over de te nemen beheersmaatregelen, de inrichting van een risicomanagement framework en kansen voor de ontwikkeling van nieuwe, innovatieve, producten en diensten.
Deze blog richt zich op de implementatie van de Corporate Sustainability Reporting Directive (CSRD) in bedrijven. Deze EU-richtlijn vereist dat bedrijven zowel negatieve als positieve duurzaamheidsrisico’s beoordelen. De focus ligt op het belang van integere en beheerste bedrijfsvoering en het voldoen aan Environmental, Social, and Governance (ESG) normen. De blog benadrukt de noodzaak van een dubbele materialiteitsanalyse en biedt een stappenplan voor de implementatie van CSRD, te starten met een risico assessment.
Tot slot nog 3 tips….
1. Begin vroeg met de implementatie van het risicomanagementsysteem (bijvoorbeeld ISO31000);
2. Zorg voor een duidelijke toewijzing van taken en verantwoordelijkheden (RACI-matrix);
3. Vraag hulp van experts.
Martin is een ervaren interim risico- en verandermanager en expert in de financiële sector. Als...
Offerte opvragen Bekijk het profiel