Risicobereidheid
Om invulling te geven aan onze risicobereidheid op de verschillende doelstellingen uit ons ondernemingsplan, hebben we richtinggevende uitspraken geformuleerd. Deze richtinggevende uitspraken geven de organisatie een handvat bij besluitvorming en de inrichting van beheersmaatregelen. Hiermee zijn ze een eenvoudig toepasbaar en belangrijk onderdeel van ons integraal risicomanagement. Per doelstelling luiden de uitspraken als volgt, waarbij ‘Kwaliteit’ is uitgewerkt in de drie belangrijkste doelen die wij hiervoor willen bereiken.
Doelstelling |
Richtinggevende uitspraak ten aanzien van risicobereidheid |
Beschikbaarheid |
We zoeken actief naar alle mogelijke kansen om de beschikbaarheid en passendheid van sociale huurwoningen zo groot mogelijk te maken. |
Betaalbaarheid |
Wij vinden het belangrijk dat de woningen die wij verhuren voor onze huurders betaalbaar zijn en blijven. |
Kwaliteit – Woning |
Een comfortabel, goed onderhouden thuis waar het goed toeven is. |
Kwaliteit – Duurzaamheid |
Wij leggen voor duurzaamheid steeds de relatie met ‘betaalbaarheid’ en kiezen voor bewezen technieken in plaats van het mee-ontwikkelen. Innovaties worden toegepast als duidelijk is dat deze bewezen effect hebben. |
Kwaliteit – Leefbaarheid |
Elke investering in leefbaarheid kent draagvlak vanuit bewoners of onze leefbaarheidspartners. |
Dienstverlening |
Dit is een van de fundamenten van onze organisatie. Inzet van mensen en middelen richt zich op een optimum tussen dienstverlening en de inzet van onze schaarse middelen. |
Financiële continuïteit |
Onze opgaven zijn zo groot dat we de beschikbare middelen maximaal inzetten. Hiermee accepteren wij het risico om in een jaar of meerdere jaren op de lange termijn (5 jaar of langer) buiten de extern vereiste ratio’s uit te komen. Een overschrijding is altijd bewust en onderbouwd met beheersmaatregelen om tijdig weer binnen de vereiste ratio’s te opereren. Op de kortere termijn blijven wij altijd binnen de extern vereiste ratio’s. |
In de bepaling van onze risicobereidheid blijven wij bewust weg van termen als hoog, midden of laag, om verkeerde interpretatie van deze termen te voorkomen. De richtinggevende uitspraken zijn daarom zo geformuleerd dat bij besluiten afgewogen kan worden of hiermee invulling wordt gegeven aan de uitspraak.
Strategische risico’s
Strategische risico’s zijn in samenwerking tussen het bestuur, managementteam en Internal Control herijkt op basis van actuele ontwikkelingen. Hieronder zijn de 11 belangrijkste risico’s omschreven. In totaal hebben wij 24 risico’s gedefinieerd:
Ref |
Risicodefinitie |
Maatregelen (niet uitputtend) |
1 |
Besluiten op nationaal politiek niveau leiden tot onverwachte uitgaven en/of opgelegde wijzigingen in allocatie van middelen. |
Extern risico. Maatregelen zijn gericht op snelheid van interne bijsturing, zoals:
|
2 |
De veranderende sociale normen leiden tot meer incidenten. Dit heeft tot gevolg dat een fijn thuis voor andere huurders onder druk staat. |
Voornamelijk extern risico. Maatregelen zijn gericht op factoren binnen onze invloedsfeer, zoals:
|
3 |
Cybercriminaliteit leidt tot een verstoring van de processen of verlies van data met beperkingen in de dienstverlening, imagoschade en overtreding van wet- en regelgeving omtrent privacy tot gevolg. |
Voornamelijk extern risico. Maatregelen gericht op preventie en schadebeperking, zoals:
|
4 |
De veranderende sociale normen leiden tot meer incidenten. Dit heeft tot gevolg dat het imago van sociale huur als onderdeel van de samenleving negatiever wordt. |
Extern en intern risico. Maatregelen zoals:
|
5 |
Besluiten op Europees politiek niveau leiden tot onverwachte uitgaven en/of opgelegde wijzigingen in allocatie van middelen. Voorbeelden zijn:
|
Extern risico. Maatregelen gericht op wendbaarheid van de organisatie om snel te kunnen reageren:
|
6 |
Het onderschatten van het belang van rendementseisen ten behoeve van het behalen van de kortetermijnbouw-doelstellingen leidt op lange termijn (> 15 jaar) tot kleinere financiële slagkracht. |
Intern risico. Maatregelen gericht op preventie, zoals:
|
7 |
De stapeling van opgaven leidt tot hogere uitgaven en verdeelde aandacht van het management en hiermee tot het niet behalen van alle beoogde doelstellingen. |
Intern risico. Maatregelen gericht op preventie, zoals:
|
8 |
Onvoldoende regie op innovatieve duurzaamheidsoplossingen, waardoor de duurzaamheidsdoelstelling niet behaald wordt. |
Intern risico. Maatregelen gericht op preventie, zoals duurzaamheidsbeleid, waarin doelstellingen gekoppeld worden aan maatregelen. |
9 |
Door onvoldoende structurele invulling van de beoogde formatie kan Pré Wonen onvoldoende voldoen aan haar toezeggingen richting huurders. |
Extern en intern risico. Maatregelen gericht op preventie en beperking van gevolgen, zoals:
|
10 |
Door toegenomen kosten voor bouwmaterialen blijkt de gestelde (meerjaren)begroting ontoereikend om doelstellingen voor bouw/renovatie, onderhoud en duurzaamheid te realiseren. |
Extern risico. Maatregelen gericht op beperking van gevolgen, zoals:
|
11 |
Door schaarste van bouwmaterialen wordt de realisatie van de bouwopgave (nieuwbouw, onderhoud) vertraagd. |
Extern risico. Maatregelen gericht op preventie, zoals een strategisch inkooptraject. |
Risico’s op tactisch niveau
Op tactisch niveau geven we met statuten en beleid kaders mee aan de organisatie. Deze worden periodiek vastgelegd op strategisch, tactisch en operationeel niveau. Onderstaande tabel geeft de belangrijkste documenten weer die in 2022 per niveau zijn uitgewerkt als onderdeel van een jaarlijkse cyclus.
Integraal |
Ondernemingsplan |
Strategisch |
||||
Dienst- |
Beschik- |
Inclusieve stad |
Financiële continuïteit |
Compliance |
Tactisch |
|
Klantbeloften (in uitwerking) |
Investerings- |
Kwaliteit woningen |
Reglement Financieel Beheer en Beleid |
Privacybeleid |
||
Verkoopbeleid |
Onderhouds- |
Treasury- |
Informatie- |
|||
Investerings- |
Fiscaal statuut |
Integriteits- |
||||
Duurzaamheid |
Calamiteiten- |
Procuratie- |
||||
Duurzaamheids- |
Inkoopbeleid |
|||||
Betaalbaarheid |
||||||
Huurbeleid |
||||||
Personeelsbeleid |
||||||
Operationele beheersmaatregelen |
Operationeel |
Operationele risico’s
Operationele risico’s worden beheerst met een raamwerk van beheersmaatregelen. Onder de noemer ‘Samen in Control’ is per bedrijfsproces in kaart gebracht wat de processpecifieke risico’s zijn en welke operationele beheersmaatregelen er genomen zijn om deze risico’s te beheersen. De risicobereidheid wordt afgestemd op het onderliggende proces. Processen met veel impact op huurders danwel een streng wettelijk kader kennen een lagere tolerantie dan processen zonder deze kenmerken.”
De beheersmaatregelen zijn bijvoorbeeld:
de toepassing van het 4-ogenprincipe bij het toewijzen van woningen;
controle op juistheid en correctie-autorisatie van facturen;
IT-maatregelen omtrent wijzigingsbeheer; en
de beheersing van toegang tot systemen.
Internal Control heeft de werking van deze beheersmaatregelen ook in 2022 getoetst door procescontroles uit te voeren. Daarbij zijn in het geval van bevindingen direct verbeteracties afgesproken met de procesverantwoordelijke. Deze verbeteracties worden minimaal elk half jaar gemonitord in de rapportage van Internal Control.
Organisatie risicomanagement
Pré Wonen past het zogenoemde three-lines-of-defense-model toe, de drie verdedigingslinies:
De managers, de proceseigenaren en de medewerkers van Pré Wonen vormen de eerste verdedigingslinie. Zij zijn verantwoordelijk voor tijdige signalering en beheersing van risico’s.
De tweede verdedigingslinie wordt gevormd door de functies die gericht zijn op het coördineren, monitoren en ondersteunen bij de risicobeheersing door de eerste verdedigingslinie. Dit is primair belegd bij Business Control. De strategen en de bestuursadviseur hebben een rol bij de identificatie van risico’s die volgen uit in- en externe ontwikkelingen.
Het team van Internal Control geeft samen met de concerncontroller invulling aan de derde verdedigingslinie. Aan de hand van een IC-jaarplan vinden controles plaats, waarbij de werking van de beheersmaatregelen wordt getoetst. Het gaat daarbij om hard controls en soft controls. De bevindingen worden besproken met de betrokkenen en gerapporteerd aan het directieteam en de Auditcommissie/Raad van Commissarissen.
In 2022 zijn stappen gemaakt om de verdeling van verantwoordelijkheden te verduidelijken. Zo is projectcontrol naar de tweede lijn gebracht en zijn controlestappen die initieel bij Internal Control waren belegd, nu in de eerste lijn teruggebracht.
Bestuur en directie zijn verantwoordelijk voor de tijdige bijsturing van de organisatie. Dit gebeurt op basis van de resultaten van de werkzaamheden van de drie linies. De informatievoorziening van bestuur en directie vindt plaats via een combinatie van 1-op-1-contact met de operatie, periodieke deelname aan overleg met de managementcommissie en deelname aan de commissie Financiën en Risico (elke 2 maanden). Daarin worden ook de bevindingen uit de Fiscale (elke 6 weken) en Treasury (elke 2 maanden)-commissies behandeld.
Cultuur en gedrag
Risicomanagement betreft niet alleen de opzet van een structuur of systeem. Het systeem werkt het beste bij de juiste houding en gedrag van medewerkers (op alle niveaus) in de organisatie.
Bestuur, directeuren en management geven het goede voorbeeld als het gaat om risicobewustzijn en risicomanagement. Vertrouwen en openheid tussen management en medewerkers en vice versa zijn de juiste ingrediënten voor betrokkenheid bij risicomanagement. Er is sprake van een dialoog tussen management en medewerkers en er geldt het adagium ‘van fouten leren we’ (in tegenstelling tot ‘ik mag geen fouten maken’).
Het cultuurtraject binnen Pré Wonen (‘werken vanuit de bedoeling’) draagt daaraan bij. Iedere medewerker volgt de meerdaagse training ‘Mijn expeditie’. Tijdens dit traject komt onder meer aan de orde: eigen verantwoordelijkheid, houding en gedrag, zowel individueel als binnen de context van een team en de gehele organisatie. Een volwassen communicatiestijl is onderdeel van de training. Deze individuele training wordt aangevuld met de teamtraining ‘Winnende teams’, waarbij zowel binnen het team als tussen teams het belang van verbinding benadrukt wordt.
Beheersing van frauderisico’s
Een aantal fraudegerelateerde risico’s zijn voor onze sector inherent hoog. Dit betreft bijvoorbeeld de gevoeligheid bij niet-transparante aanbesteding van bouw- en onderhoudsprojecten, de mogelijkheid dat facturen onterecht worden uitbetaald door beperkt zicht op de geleverde tegenprestatie en niet-marktconforme aan- en verkooptransacties.
Op basis van bestaande beheersmaatregelen worden deze risico’s als beheersbaar beoordeeld. Zo dwingen we transparantie af bij inkoop door middel van een inkoopbeleid, is een schema van mandaten en bevoegdheden ingesteld dat wordt afgedwongen middels factuurcontrole en passen wij externe taxaties toe bij verkooptransacties.
De toetsing van frauderisico’s wordt gedaan aan de hand van de weging van de drie belangrijkste factoren:
Motivatie: wat kan voor een medewerker, manager of bestuurder een reden zijn om over te gaan tot frauduleus handelen?
Rationalisatie: hoe kan een fraudegeval beredeneerd worden? Welke redenen kan iemand voor zichzelf aandragen om frauduleus handelen voor zichzelf goed te praten?
Mogelijkheid: hoe makkelijk is het om fraude te plegen?
Ten aanzien van motivatie en rationalisatie is een integriteitsbeleid aanwezig dat wordt uitgedragen. Ook streven we een cultuur na waarin medewerkers elkaar kunnen en mogen aanspreken bij mogelijke misstanden. Wat betreft mogelijkheden tot frauduleus handelen heeft Pré Wonen ‘harde’ beheersmaatregelen geïmplementeerd, zoals hierboven omschreven. Internal Control heeft deze maatregelen in het boekjaar getoetst als onderdeel van het controleplan. De resultaten worden gedeeld met de organisatie, het bestuur en de auditcommissie.
AVG
Het voldoen aan de Algemene Verordening Gegevensbescherming (‘AVG’)-wetgeving heeft doorlopende aandacht. Om onze dienstverlening naar klanten en huurders te faciliteren hebben we gegevens nodig van en over personen. We willen dat onze klanten en huurders erop kunnen vertrouwen dat we zorgvuldig omgaan met hun (persoons)gegevens. We houden ons aan alle relevante privacywetgeving.
We hebben hier onze organisatie, processen en systemen op ingericht. Op allerlei manieren blijven we werken aan de bewustwording van onze medewerkers over het zorgvuldig omgaan met (persoons)gegevens, waaronder gegevens van klanten. De functionaris Gegevensbescherming bewaakt vanuit de afdeling Internal Control objectief de naleving van de privacywetgeving. Ook meldt hij zo nodig datalekken aan de Autoriteit Persoonsgegevens en monitort hij de mogelijke informatievoorziening hierover richting de betrokkenen. In 2022 zijn intern in totaal 8 datalekken gemeld, waarvan er geen enkele een hoog risico had. Van deze datalekken moesten er 2 gemeld worden bij de Autoriteit Persoonsgegevens. Al deze meldingen zijn volledig en tijdig gedaan en afgehandeld.
De Privacy Officer ondersteunt en adviseert daarnaast de organisatie bij de toepassing van de AVG, inclusief afgeleide processen en procedures. Zo is in 2022 met behulp van robotische software een database geschoond van persoonsgegevens die zijn meegekomen uit historische vastlegging.
Beheersing risico’s cybersecurity
De beheersing van risico’s op het gebied van cybersecurity is gericht op preventie en snel handelen bij incidenten.
Nauw verwant met de bescherming van persoonsgegevens is de bescherming van onze systemen en applicaties als geheel tegen digitale dreigingen. Het risico dat onze systemen voor langere tijd niet beschikbaar zijn of dat gevoelige gegevens worden buitgemaakt door cybercriminelen is onderkend als een strategisch risico, mede ingegeven door de ervaringen binnen de sector. Naar aanleiding van een onderzoek naar de staat van onze beveiliging zijn verschillende maatregelen genomen om onze bescherming verder te versterken. Voorbeelden zijn de continue monitoring van systemen voor eventuele oneigenlijke toegang en de implementatie van een cybersecurityprotocol. Het reageren op cyberrisico’s is een doorlopende cyclus, want waar een oplossing bedacht wordt, vinden kwaadwillenden vaak weer een nieuwe weg om beveiliging te omzeilen. Het borgen van deze cyclus is een belangrijk onderdeel van onze risicobeheersing.