7.1 Risicobeheersing, toetsing en risicoprofiel
Het uitvoeren van activiteiten om onze doelstellingen te realiseren brengt risico’s met zich mee. Risicomanagement helpt ons om op een bewuste en beheerste wijze om te gaan met deze risico’s. Binnen onze risicobereidheid pakken we kansen en treffen we maatregelen om onze belangrijkste risico’s te beheersen. We werken met een risicobeheersingskader.
Risicobeheersingskader
Iedereen heeft een rol bij het realiseren van onze doelstellingen en de daarbij horende risico’s. Het bestuur is verantwoordelijk voor een goede risicobeheersing en de RvC houdt hierop toezicht. De riskmanager ontwikkelt het raamwerk en zorgt voor de inbedding in de organisatie. Onze medewerkers hebben en krijgen het vertrouwen om zelf binnen kaders te beslissen. Dit komt ten goede aan het tijdig herkennen en beheersen van risico’s. Zij worden vanuit de tweede lijn ondersteund met expertise.
Het bestuur bespreekt minimaal 2 keer per jaar de belangrijkste (financiële) risico’s en frauderisico's met de RvC. De RvC bespreekt de belangrijkste financiële risico’s en frauderisico's ook jaarlijks met de controlerend accountant. De RvC wordt ook door de compliance officer en de riskmanager twee keer per jaar geïnformeerd over de belangrijkste governance en compliance onderwerpen, fraude en de effectiviteit van de risicobeheersing.
Objectieve toetsing
Kwaliteit van onze besluitvorming vinden we vanzelfsprekend belangrijk. Daarom hebben we 3 objectieve toetsingen geïntegreerd in ons risicobeheersingskader.
- Bij voorgenomen besluiten met (een vermoeden van) verstrekkende financiële gevolgen betrekken we de financiële- en controlefunctie (business control of de riskmanager).
- Een investeringscommissie met een onafhankelijke en deskundige voorzitter toetst de projecten en adviseert het bestuur. Een afwijkende beslissing wordt altijd kenbaar gemaakt en/of ter goedkeuring voorgelegd aan de RvC.
- De treasury commissie adviseert het bestuur over het treasury beleid. De externe treasury adviseur toetst, als lid van de treasury commissie, de derivaten- en leningentransacties.
Risicomanagementproces en -cyclus
Risicomanagement is een continue cyclus van identificeren en wegen van risico’s, het treffen van maatregelen binnen de risicobereidheid, het toetsen van de effectiviteit van de beheersmaatregelen, rapporteren en monitoren. Halfjaarlijks actualiseren we onze strategische risico’s en stellen we vast of de belangrijkste risico’s nog binnen onze risicobereidheid passen. De uitkomsten hiervan worden gerapporteerd aan management, bestuur en RvC.
Voorafgaande aan het jaar stelt de afdeling Control, in overleg met de riskmanager, een intern controleplan op dat wordt vastgesteld door het bestuur en wordt besproken in de auditcommissie. Control toetst 2 keer per jaar het risicobeheersingsraamwerk op effectieve werking. De uitkomsten van deze werkzaamheden worden gerapporteerd aan de proceseigenaar en opgenomen in de rapportage aan bestuur en RvC. De interne toetsing toont aan of we onze risico’s adequaat beheersen en draagt bij aan procesverbetering en risicobeheersing.
Naast onze eigen interne controles en themaonderzoeken betrekken we ook andere aanbevelingen bij de verbetering van ons risicobeheersingsraamwerk. Denk aan de management letter van onze externe accountant. Daarnaast wordt continu gezocht naar verdere digitalisering van de interne controle, bijvoorbeeld door middel van data-analyses. Op het gebied van informatiebeveiliging zijn in 2023 stappen gezet door het inrichten van een Information Security Management System (ISMS). Een manier van werken waarbij een systematische aanpak wordt gehanteerd, zodat informatiebeveiliging gewaarborgd en verbeterd wordt.
Risicobereidheid en risicoprofiel
De risicobereidheid geeft uitdrukking aan de mate waarin we risico’s willen aangaan en accepteren. Om beter te duiden op welke gebieden het bestuur bereid is meer of minder dan gemiddeld risico te nemen, hebben we de risicobereidheid en de risicofilosofie per hoofddoel uitgewerkt. Daarnaast heeft het bestuur richtinggevende uitspraken op het gebied van risicobereidheid opgesteld voor onze hoofddoelen en randvoorwaarden: toekomstige organisatie, financieel, compliance, integriteit en fraude en veiligheid.
Met ons ondernemingsplan schuiven we van het huidige meer neutrale risicobereidheidsprofiel naar een offensief profiel. Dit komt voort uit de grote maatschappelijke opgave waarbij een neutraal profiel onvoldoende antwoord biedt. We steken onze nek uit en zoeken de randen op. Op onderdelen van de strategie waarop we onderscheidend willen zijn, zoals inclusieve buurten en passend wonen, hanteren we een offensieve risicofilosofie. We zijn bereid om onzekerheden te accepteren om kansen te benutten en zo ook risico’s aan te gaan, ook als voordelen nog onzeker zijn. Ons beleid van risicobeheersing is meer gericht op proactief bewaken van risico’s dan op beheersing vooraf.
In het ondernemingsplan zijn drie hoofddoelen geformuleerd: passend wonen (inclusief beschikbaarheid en betaalbaarheid) is het fundament van ons bestaan, onze legitimatie. Inclusieve buurten is qua impact en opgave gelijk, maar kent de grootste veranderopgave. Financieel gezien zijn de hoofddoelen drie verschillende grootheden. Voor deze twee doelstellingen is de risicobereidheid gemiddeld. Duurzaamheid is geen doel op zich, maar wordt in samenhang met de andere doelstellingen gerealiseerd en is afhankelijk van (technologische) ontwikkelingen in de markt en beschikbaarheid van financiële middelen. We accepteren dat dit kan betekenen dat het doel zo op langere termijn niet tijdig kan worden gerealiseerd.
7.2 Strategische risico’s
De onderstaande tien strategische risico’s zijn de risico’s die het grootste effect kunnen hebben op realisatie van ons ondernemingsplan en op onze reputatie. De risico’s zijn opgenomen bij de doelstelling of de randvoorwaarde waar deze betrekking op heeft of de impact het grootste is.
7.3. Fraude en integriteit
Binnen ons risicobeheersingsraamwerk kennen we verschillende categorieën risico’s: financieel, verslaggeving, compliance, reputatie en fraude. Beheersing van deze risico’s is geborgd in ons risicobeheersingsraamwerk en onderdeel van periodieke toetsing. Hieronder een overzicht van belangrijke frauderisico’s:
| Risico beschrijving | Beheersmaatregel |
|---|---|
| Niet economisch inkopen | Controle op naleving van het inkoop- en aanbestedingsbeleid |
| Aan- en verkoop vastgoed tegen onjuiste prijs | Controle door projectcontroller op naleving kaders (4-ogen) |
| Ontvreemden materiaal of middelen | Functiescheiding in voorraadproces, fysieke maatregelen en partiële voorraadinventarisaties. |
| Verhuur vastgoed tegen te lage huurprijs of onrechtmatige toewijzing | Diverse controles waaronder onafhankelijke controle inkomensdossier, collegiale toetsing huurprijs, functiescheiding directe bemiddelen. |
| Treasury transacties tegen niet economische voorwaarden | Externe adviseur (riskmanager) toetst en voorziet elke transactie van een advies. |
| Onrechtmatige betaling | Functiescheiding verwerking en controle betalingen. |
| Onrechtmatige afboeking vorderingen | Controle achteraf op rechtmatigheid afboeking conform beleid |
| Onjuiste en/of onvolledige informatievoorziening | Functiescheiding opstellen en beoordelen kwaliteit informatieverstrekking. |
| Onterechte betaling salaris of declaraties | Controle op declaraties en salaris voor betaling |
We verwachten van al onze interne en externe medewerkers dat zij handelen vanuit de geest van onze kernwaarden. Daarbij tolereren we geen ongewenst gedrag. Onze gedragsregels (bijvoorbeeld omgangsvormen, privé en zakelijk gescheiden houden en geheimhoudingsplicht) zijn vastgelegd in onze integriteitscode. Bij een vermoeden van een misstand of integriteitsschending is het belangrijk dat deze op een veilige manier gemeld kan worden. In onze klokkenluidersregeling is dit proces beschreven. Daarnaast kunnen medewerkers die ongewenst gedrag ervaren dit in vertrouwen bespreken met een vertrouwenspersoon.
