6 Risico’s

Het uitvoeren van activiteiten om onze doelstellingen te realiseren brengt risico’s met zich mee. Met risicomanagement zorgen we ervoor dat we hier bewust en beheerst mee omgaan. Binnen onze risicobereidheid zoeken we naar kansen en nemen we maatregelen om de belangrijkste risico’s te beheersen. We werken met een risicobeheersingskader.

Iedereen heeft een rol bij het realiseren van onze doelstellingen en de daarbij horende risico’s. Het bestuur is verantwoordelijk voor een goede risicobeheersing, terwijl de RvC toezicht houdt. De riskmanager ontwikkelt het raamwerk en zorgt voor de inbedding in de organisatie. Medewerkers krijgen vertrouwen en ruimte om binnen duidelijke kaders beslissingen te nemen. Dit komt ten goede aan het tijdig herkennen en beheersen van risico’s. Zij worden vanuit de 2e lijn ondersteund met expertise. 

Het bestuur bespreekt minimaal 2 keer per jaar de belangrijkste (financiële) risico’s met de auditcommissie. De auditcommissie bespreekt de belangrijkste risico’s (onder andere op het gebied van financiën en compliance) en frauderisico’s ook jaarlijks met de controlerend accountant. De RvC wordt door de compliance officer en de riskmanager 2 keer per jaar geïnformeerd over de belangrijkste governance- en compliance-onderwerpen, fraude, de effectiviteit van de risicobeheersing en de uitkomsten van de interne controle. 

Om te zorgen voor kwalitatieve besluitvorming zijn er 3 objectieve toetsingsmomenten binnen ons risicobeheersingskader:

1. Financiële toetsing. Bij voorgenomen besluiten met (een vermoeden van) verstrekkende financiële gevolgen betrekken we de financiële- en controlefunctie (business control of de riskmanager). 
2. Een investeringscommissie met een onafhankelijke en deskundige voorzitter toetst de projecten die ter besluitvorming liggen en adviseert het bestuur. Een afwijkende beslissing wordt altijd kenbaar gemaakt en/of ter goedkeuring voorgelegd aan de RvC.
3. Een treasury commissie adviseert het bestuur over het treasury beleid. De externe treasury adviseur toetst, als lid van de treasury commissie, de derivaten- en leningentransacties.

Risicomanagement is een continue cyclus: risico’s identificeren, wegen, maatregelen nemen, effectiviteit toetsen en monitoren. Halfjaarlijks actualiseren we onze strategische risico’s en beoordelen we of ze nog binnen onze risicobereidheid passen. De uitkomsten worden gedeeld met management, bestuur en RvC.

Voorafgaand aan elk jaar stelt de afdeling Control samen met de riskmanager een intern controleplan op. Dit wordt vastgesteld door het bestuur en besproken in de auditcommissie. Control toetst 2 keer per jaar het risicobeheersingsraamwerk op effectiviteit. De uitkomsten worden gerapporteerd aan de proceseigenaar en opgenomen in de rapportage aan management, bestuur en RvC. De interne toetsing toont aan of we onze risico’s adequaat beheersen en draagt bij aan procesverbetering en risicobeheersing. 

Naast interne controles en themaonderzoeken nemen we externe aanbevelingen mee, zoals de management letter van de externe accountant. We zoeken voortdurend naar verbeteringen, onder andere door datagedreven risicobeheersing. Een belangrijke stap is de implementatie van ons Information Security Management System (ISMS), waarbij Northwave ons ondersteunt. Dit systeem waarborgt en verbetert de informatiebeveiliging structureel. Een eerste externe audit bevestigde de sterke basis, waarbij verbeterpunten zijn opgenomen in het risicobehandelplan voor 2025.

Onze risicobereidheid bepaalt in welke mate we risico’s accepteren. We hebben dit per hoofddoel uitgewerkt, zodat duidelijk is waar we meer of minder risico durven te nemen. Daarnaast heeft het bestuur richtinggevende uitspraken opgesteld voor onze hoofddoelen en randvoorwaarden: toekomstige organisatie, financieel, compliance, integriteit en fraude en veiligheid.