
6.1 Wat zijn de risico’s?

Risicobeheersing, toetsing en risicoprofiel
Het realiseren van onze doelstellingen brengt onzekerheden met zich mee. Met risicomanagement gaan we hier bewust en beheerst mee om. Binnen onze vastgestelde risicobereidheid benutten we kansen en nemen we maatregelen om de belangrijkste risico’s te beheersen. Hiervoor werken we met een risicobeheersingskader.
Risicobeheersingskader
Iedereen binnen Portaal draagt bij aan het realiseren van onze doelstellingen en aan het omgaan met de bijbehorende risico’s. Het bestuur is verantwoordelijk voor een goede risicobeheersing en de Raad van Commissarissen (RvC) houdt hier toezicht op. De riskmanager ontwikkelt het risicobeheersingskader en zorgt voor een goede inbedding in de organisatie. Medewerkers krijgen vertrouwen en ruimte om binnen duidelijke kaders beslissingen te nemen. Dit helpt bij het tijdig herkennen en beheersen van risico’s. Waar nodig worden zij ondersteund vanuit de tweede lijn met specialistische expertise.
Het bestuur bespreekt minimaal twee keer per jaar de belangrijkste (financiële) risico’s met de auditcommissie. De auditcommissie bespreekt daarnaast jaarlijks de belangrijkste risico’s – waaronder financiële-, compliance- en frauderisico’s - met de controlerend accountant. De RvC wordt drie keer per jaar door de compliance officer en de riskmanager geïnformeerd over de belangrijkste governance- en complianceonderwerpen, fraude, de effectiviteit van de risicobeheersing en de uitkomsten van de interne controles.
Objectieve toetsing
Voor kwalitatieve besluitvorming zijn er binnen ons risicobeheersingskader drie objectieve toetsingsmomenten:
- Financiële toetsing: bij voorgenomen besluiten met (een vermoeden van) verstrekkende financiële gevolgen betrekken we de financiële- en controlefunctie (business control of de riskmanager).
- VoorPortaal: de commissie met een onafhankelijke en deskundige voorzitter toetst de projecten die ter besluitvorming liggen en adviseert het bestuur. Een afwijkende beslissing wordt altijd kenbaar gemaakt en/of ter goedkeuring voorgelegd aan de RvC.
- Treasurycommissie: adviseert het bestuur over het treasurybeleid. De externe treasury adviseur toetst als lid van de treasury commissie de derivaten- en leningentransacties en adviseert hierover het bestuur.
- Tenderboard: toetst de inkopen aan ons inkoop- en aanbestedingsbeleid en aan hoe deze bijdragen aan onze strategie.
Risicomanagementproces en -cyclus
Risicomanagement is een continu proces van identificeren, wegen, maatregelen nemen, toetsen en monitoren. Iedere tertiaal beoordelen we interne en externe ontwikkelingen en de impact daarvan op onze strategische risico’s en doelstellingen. Waar nodig sturen we bij. Het management rapporteert de uitkomsten aan het bestuur en de RvC.
Elke drie jaar stellen de afdeling Control en de riskmanager een intern controleplan op. Dit plan richt zich op de doorontwikkeling van interne controle en de verdere inbedding van risicomanagement in de organisatie. Het bestuur stelt het plan vast en bespreekt het in de auditcommissie. De voortgang wordt jaarlijkse geëvalueerd.
Jaarlijkse bepaalt Control, in afstemming met de riskmanager, de controleaanpak. Twee keer per jaar toetst Control het risicobeheersingsraamwerk op effectiviteit. De uitkomsten worden gedeeld met de proceseigenaar en opgenomen in de rapportages aan management, bestuur en RvC. De interne toetsing laat zien of we onze risico’s adequaat beheersen en draagt bij aan procesverbetering.
Naast interne controles en themaonderzoeken nemen we ook externe aanbevelingen mee, zoals de managementletter van de externe accountant. We blijven ons risicomanagement continu verbeteren, onder andere door data steeds beter te integreren in onze risicobeheersing.
Risicobereidheid en risicoprofiel
Onze risicobereidheid geeft aan in welke mate we risico’s accepteren. Deze hebben we per hoofddoel uitgewerkt, zodat duidelijk is waar we meer of minder risico nemen. Daarnaast heeft het bestuur richtinggevende uitspraken vastgesteld voor onze hoofddoelen en randvoorwaarden: toekomstige organisatie, financiën, compliance, integriteit en fraude en veiligheid.
6.2 Strategische risico's
In 2025 zijn de strategische risico’s geactualiseerd. Dit heeft geleid tot dertien strategische risico’s. Deze risico’s zijn gekoppeld aan de strategische prioriteiten waar het risico het grootst is. Hieronder zijn per prioriteit de risico’s opgenomen, met daarbij de belangrijkste ontwikkelingen en risicofactoren en de wijze waarop we deze risico’s beheersen.





6.3 Fraude en integriteit
Binnen ons risicobeheersingsraamwerk onderscheiden we verschillende categorieën risico’s, waaronder financiële risico’s, verslaggevingsrisico’s, compliance-, reputatie- en frauderisico’s. De beheersing van deze risico’s hebben we structureel geborgd en toetsen we periodiek. Hieronder een overzicht van belangrijke frauderisico’s en de bijbehorende beheersmaatregelen:
| Risicobeschrijving | Beheersmaatregel |
|---|---|
| Niet economisch inkopen | Controle op naleving van het inkoop- en aanbestedingsbeleid. |
| Aan- en verkoop vastgoed tegen onjuiste prijs | Controle door de projectcontroller op naleving van de kaders (vier-ogenprincipe). |
| Ontvreemden materiaal of middelen | Functiescheiding in voorraadproces, fysieke maatregelen en partiële voorraadinventarisaties. |
| Verhuur van vastgoed tegen te lage huurprijs of onrechtmatige toewijzing | Diverse controles, waaronder onafhankelijke controle van het inkomensdossier, collegiale toetsing van de huurprijs en functiescheiding bij directe bemiddeling. |
| Treasurytransacties tegen niet-economische voorwaarden | Een externe adviseur (riskmanager) toetst elke transactie en voorziet deze van een advies. |
| Onrechtmatige betaling | Functiescheiding tussen verwerking en controle van betalingen. |
| Onrechtmatig afboeken van vorderingen | Controle achteraf op rechtmatigheid van de afboeking volgens het beleid. |
| Onjuiste en/of onvolledige informatieverstrekking | Functiescheiding tussen het opstellen en het beoordelen van de kwaliteit van informatieverstrekking. |
| Onterechte betaling salaris of declaraties | Controle van declaraties en salarisbetalingen voorafgaand aan uitbetaling. |
| Verslaggeving: beïnvloeding berekeningswijze beleidswaarde vastgoedbeleggingen in exploitatie uit hoofde van het management | Opstellen van de berekening gebeurt door meerdere medewerkers waardoor functiescheiding ontstaat. Medewerkers zijn scherp op elkaar en het geheel. De gehanteerde afslagen zijn of wel harde aanpassingen of o.b.v. goedgekeurde stukken (bijv. MJB, dVi, dPi en MJOP). Afslagen zijn achteraf eenvoudig te toetsen op juistheid en consistentie. |
We verwachten van al onze interne en externe medewerkers dat zij handelen vanuit onze kernwaarden. Ongewenst gedrag tolereren we niet. Onze gedragsregels, zoals omgangsvormen, het gescheiden houden van privé en zakelijk en geheimhoudingsplicht, zijn vastgelegd in onze integriteitscode.
Bij vermoedens van misstanden of integriteitsschendingen kunnen medewerkers veilig melding maken. Dit proces is vastgelegd in onze klokkenluidersregeling. Daarnaast kunnen medewerkers die ongewenst gedrag ervaren altijd terecht bij een vertrouwenspersoon voor een vertrouwelijk gesprek.