Risicobereidheid
Onze risicobereidheid op een onderwerp geeft aan hoeveel risico wij bereid zijn te lopen in het behalen van een doelstelling. Deze bereidheid hebben wij verwoord in richtinggevende uitspraken. Deze richtinggevende uitspraken geven de organisatie een handvat bij besluitvorming en de inrichting van beheersmaatregelen. Hiermee zijn ze een eenvoudig toepasbaar en belangrijk onderdeel van ons integraal risicomanagement. Per doelstelling luiden de uitspraken als volgt, waarbij ‘Kwaliteit’ is uitgewerkt in de 3 belangrijkste doelen die wij hiervoor willen bereiken.
|
Doelstelling |
Richtinggevende uitspraak ten aanzien van risicobereidheid |
|
Beschikbaarheid |
We zoeken actief naar alle mogelijke kansen om de beschikbaarheid en passendheid van sociale huurwoningen zo groot mogelijk te maken. |
|
Betaalbaarheid |
Wij vinden het belangrijk dat de woningen die wij verhuren voor onze huurders betaalbaar zijn en blijven. |
|
Kwaliteit – Woning |
Een comfortabel, goed onderhouden thuis waar het goed toeven is. |
|
Kwaliteit – Duurzaamheid |
Wij leggen voor duurzaamheid steeds de relatie met ‘betaalbaarheid’ en kiezen voor bewezen technieken in plaats van het mee-ontwikkelen. Innovaties worden toegepast als duidelijk is dat deze bewezen effect hebben. |
|
Kwaliteit – Leefbaarheid |
Elke investering in leefbaarheid kent draagvlak vanuit bewoners of onze leefbaarheidspartners. |
|
Dienstverlening |
Dit is een van de fundamenten van onze organisatie. Inzet van mensen en middelen richt zich op een optimum tussen dienstverlening en de inzet van onze schaarse middelen. |
|
Financiële continuïteit |
Onze opgaven zijn zo groot dat we de beschikbare middelen maximaal inzetten. Hiermee accepteren wij het risico om in een jaar of meerdere jaren op de lange termijn (5 jaar of langer) buiten de extern vereiste ratio’s uit te komen. Een overschrijding is altijd bewust en onderbouwd met beheersmaatregelen om tijdig weer binnen de vereiste ratio’s te opereren. Op de kortere termijn blijven wij altijd binnen de extern vereiste ratio’s. |
Strategische risico’s
Strategische risico’s worden in samenwerking tussen het bestuur, managementteam en Internal Control jaarlijks herijkt op basis van actuele ontwikkelingen. Er zijn ten opzichte van onze vorige evaluatie 2 risico’s afgevoerd en 3 nieuwe geïdentificeerd.
Afgevoerde risico’s betreffen:
Het risico dat sectoralternatieven de woningcorporatie onnodig maken. Dit was al een risico met een kleine kans en impact. De kans hierop lijkt erg klein en het ontstaan van alternatieven is eerder een kans voor de doelgroep dan een risico voor Pré Wonen.
Het risico dat vervuiling door industrieën rondom ons bezit leidt tot een beperking in de mogelijkheden tot bouw. Hoewel de gezondheidsrisico’s blijven bestaan is het risico voor ontwikkeling van woningen beperkt gebleken. Wij houden ontwikkelingen in de gaten, maar hebben het risico ten opzichte van onze doelstelling voor toevoeging van woningen aan de portefeuille laten vervallen.
Nieuw geïdentificeerde risico’s zijn:
Impact klimaatverandering. Het risico dat volgt uit klimaatverandering is breed. Voor Pré Wonen worden de eerste risico’s gezien in de grondwaterstanden en de invloed hiervan op de funderingen van ons bezit. Dit heeft mogelijk invloed op onze doelstellingen voor beschikbaarheid en de kwaliteit van woningen. Op langere termijn wordt ook gekeken naar de risico’s volgend uit stijgende temperaturen en de stijgende zeewaterspiegel. De kans is vanwege de lange termijn op gemiddeld (3 van 5) ingeschat, met een hoge impact (4 van 5).
Overbelasting elektriciteitsnetwerk. De beperkingen in het elektriciteitsnetwerk leiden mogelijk tot vertraging of uitblijven van aansluiting van nieuwe woningen en tot beperkingen in de toevoeging van zonnepanelen voor de verduurzaming van het bezit. Dit heeft mogelijk gevolgen voor enerzijds onze doelstellingen voor de toevoeging van woningen, en anderzijds onze doelstelling op duurzaamheid. De kans is hoog ingeschat (4 van 5), met een gemiddelde impact (3 van 5).
Effectieve besluitvorming. In de bestaande risico’s was de stapeling van opgaven bij woningcorporaties al geïdentificeerd als risico. Bij besluitvorming moet het zicht op de impact van gemaakte keuzes op onze financiële situatie scherp zijn, zonder de benodigde snelheid te verliezen. Zonder dit inzicht kan een besluit onverwacht negatief uitpakken. Hoewel dit risico altijd heeft bestaan en al is beperkt door verschillende maatregelen, is er vanwege de marktomstandigheden waarin Pré Wonen zich momenteel bevindt extra aandacht voor gevraagd. De kans is gemiddeld (3 van 5), omdat het gaat om het reguliere besluitvormingsproces, waarbij de impact groot is ingeschat (4 van 5), vanwege de mogelijk grote gevolgen voor beschikbaarheid van middelen of inzet van schaarse capaciteit.
De top 3 strategische risico’s, met de hoogst mogelijke kans en impact, zijn niet gewijzigd:
|
Ref |
Risicodefinitie |
Kans |
Impact |
Maatregelen (niet uitputtend) |
|
|
1 |
Besluiten op nationaal politiek niveau leiden tot onverwachte uitgaven en/of opgelegde wijzigingen in allocatie van middelen. |
5 |
5 |
Extern risico. Maatregelen zijn gericht op snelheid van interne bijsturing, zoals: Jaarlijks begrotingsproces. Elke 4 maanden financiële rapportage. Ad-hoc scenarioanalyses bij grote ontwikkelingen. Jaarlijkse herijking reglementen en statuten. |
|
|
2 |
De veranderende sociale normen leiden tot meer incidenten. Dit heeft tot gevolg dat een fijn thuis voor andere huurders onder druk staat. |
5 |
5 |
Voornamelijk extern risico. Maatregelen zijn gericht op factoren binnen onze invloedsfeer, zoals: Preventief: waar mogelijk toepassen van een mix aan doelgroepen in wijken, ook bij samenstelling nieuwbouw. Reactief: gedragsafspraken met overlastgevers. Reactief: huisuitzettingsbeleid overlastgevers. |
|
|
3 |
Cybercriminaliteit leidt tot een verstoring van de processen of verlies van data met beperkingen in de dienstverlening, imagoschade en overtreding van wet- en regelgeving omtrent privacy tot gevolg. |
5 |
5 |
Voornamelijk extern risico. Maatregelen gericht op preventie en schadebeperking, zoals: Preventief: doorlopende aandacht bewustzijn. Preventief: technische maatregelen. Detectief: maatregelen ter detectie oneigenlijke toegang systemen. Beperking gevolgen: protocol cyberaanvallen. |
Weging: Kans 1 = Onwaarschijnlijk tot 5 = Zeer waarschijnlijk | Impact 1 = Zeer klein tot 5 = Zeer groot
Risico’s op tactisch niveau
Op tactisch niveau geven we met statuten en beleid kaders mee aan de organisatie. Deze leggen we periodiek vast op strategisch, tactisch en operationeel niveau. Onderstaande tabel geeft de belangrijkste documenten weer die in 2023 per niveau zijn uitgewerkt als onderdeel van een jaarlijkse cyclus.
Operationele risico’s
Operationele risico’s worden beheerst met een raamwerk van beheersmaatregelen. Onder de noemer ‘Samen in Control’ is per bedrijfsproces in kaart gebracht wat de proces specifieke risico’s zijn en welke operationele beheersmaatregelen er genomen zijn om deze risico’s te beheersen. De beheersmaatregelen zijn bijvoorbeeld:
De toepassing van het 4-ogenprincipe bij het toewijzen van woningen.
Controle op juistheid en correcte-autorisatie van facturen.
IT- maatregelen omtrent wijzigingsbeheer.
De beheersing van toegang tot systemen.
Internal Control toetste ook in 2023 de werking van deze beheersmaatregelen door procescontroles uit te voeren. Daarbij zijn in het geval van bevindingen direct verbeteracties afgesproken met de procesverantwoordelijke. Deze verbeteracties worden minimaal elk half jaar gemonitord in de rapportage van Internal Control.
Organisatie risicomanagement
Pré Wonen past het zogenoemde three lines of defense-model toe, de drie verdedigingslinies:
De managers, de proceseigenaren en de medewerkers van Pré Wonen vormen de eerste verdedigingslinie. Zij zijn verantwoordelijk voor tijdige signalering en beheersing van risico’s.
De tweede verdedigingslinie wordt gevormd door de functies die gericht zijn op het coördineren, monitoren en ondersteunen bij de risicobeheersing door de eerste verdedigingslinie. Dit is primair belegd bij Business Control. De strategen en de bestuursadviseur hebben een rol bij de identificatie van risico’s die volgen uit in- en externe ontwikkelingen.
Het team van Internal Control geeft samen met de concerncontroller invulling aan de derde verdedigingslinie. Aan de hand van een IC-jaarplan vinden controles plaats, waarbij de werking van de beheersmaatregelen wordt getoetst. Het gaat daarbij om hard controls en soft controls. De bevindingen worden besproken met de betrokkenen en gerapporteerd aan het directieteam en de Auditcommissie/Raad van Commissarissen.
In 2023 is de afdeling Internal Control geconfronteerd met een moeilijk in te vullen vacature. Hoewel door de inzet van tijdelijke inhuur de kerntaken zijn behouden, was er onvoldoende capaciteit om groei in gang te zetten. Hierdoor zijn beoogde verbeteringen en aanvullende controlewerkzaamheden gericht op procesverbetering achterwege gebleven. In 2024 beogen we deze werkzaamheden wel uit te voeren als de capaciteit op peil komt en blijft.
Bestuur en directie zijn verantwoordelijk voor de tijdige bijsturing van de organisatie. Dit gebeurt op basis van de resultaten van de werkzaamheden van de drie linies. De informatievoorziening van bestuur en directie vindt plaats via een combinatie van een-op-een contact met de operatie en periodieke deelname aan overleg met het managementteam. In 2023 was sprake van een tijdelijke invulling van het bestuur door de directeuren. In deze periode overlegde het managementteam wekelijks gezamenlijk met de bestuurders over de besluitvorming. Met het aantreden van de nieuwe bestuurder stapten we vanaf 1 juni 2023 over op een 2-wekelijks directieteamoverleg voor besluitvorming.
Cultuur en gedrag
Risicomanagement betreft niet alleen de opzet van een structuur of systeem. Het systeem werkt het beste bij de juiste houding en gedrag van medewerkers (op alle niveau’s) in de organisatie. Bestuur, directeuren en management geven het goede voorbeeld als het gaat om risicobewustzijn en risicomanagement. Vertrouwen en openheid tussen management en medewerkers en vice versa zijn de juiste ingrediënten voor betrokkenheid bij risicomanagement. Er is sprake van een dialoog tussen management en medewerkers en er geldt het adagium ‘van fouten leren we’ (in tegenstelling tot ‘ik mag geen fouten maken’).
Beheersing van frauderisico’s
Een aantal fraudegerelateerde risico’s zijn voor onze sector inherent hoog. Dit betreft bijvoorbeeld de gevoeligheid bij niet-transparante aanbesteding van bouw- en onderhoudsprojecten, de mogelijkheid dat facturen onterecht worden uitbetaald door beperkt zicht op de geleverde tegenprestatie en niet-marktconforme aan- en verkooptransacties.
Op basis van bestaande beheersmaatregelen worden deze risico’s als beheersbaar beoordeeld. Zo dwingen we transparantie af bij inkoop door middel van een inkoopbeleid, stelden we een schema van mandaten en bevoegdheden in dat wordt afgedwongen middels factuurcontrole en passen wij externe taxaties toe bij verkooptransacties.
We toetsen de frauderisico’s aan de hand van de weging van de 3 belangrijkste factoren:
Motivatie: wat kan voor een medewerker, manager of bestuurder een reden zijn om over te gaan tot frauduleus handelen?
Rationalisatie: hoe kan een fraudegeval beredeneerd worden? Welke redenen kan iemand voor zichzelf aandragen om frauduleus handelen voor zichzelf goed te praten?
Mogelijkheid: hoe makkelijk is het om fraude te plegen?
Ten aanzien van motivatie en rationalisatie is een integriteitsbeleid aanwezig dat wordt uitgedragen. In 2023 startte de herijking van het integriteitsbeleid met een discussie over het onderwerp tussen bestuur, directie en het managementteam. In 2024 krijgt de herijking verder vorm. Deze rollen we dan uit over de rest van de organisatie.
Ook streven we een cultuur na waarin medewerkers elkaar kunnen en mogen aanspreken bij mogelijke misstanden. Wat betreft mogelijkheden tot frauduleus handelen implementeerden we ‘harde’ beheersmaatregelen, zoals hierboven omschreven. Internal Control toetste deze maatregelen in het boekjaar als onderdeel van het controleplan. De resultaten worden gedeeld met de organisatie, het bestuur en de auditcommissie.
AVG
Het voldoen aan Algemene Verordening Gegevensbescherming (‘AVG’)-wetgeving heeft doorlopende aandacht. Om onze dienstverlening naar klanten en huurders te faciliteren hebben we gegevens nodig van en over personen. We willen dat onze klanten en huurders erop kunnen vertrouwen dat we zorgvuldig omgaan met hun (persoons)gegevens. We houden ons aan alle relevante privacywetgeving.
We hebben hier onze organisatie, processen en systemen op ingericht. Op allerlei manieren blijven we werken aan de bewustwording van onze medewerkers over het zorgvuldig omgaan met (persoons)gegevens, waaronder gegevens van klanten. De interne Privacy Officer bewaakt vanuit de afdeling Internal Control objectief de naleving van de privacywetgeving. Ook meldt hij zo nodig datalekken aan de Autoriteit Persoonsgegevens en monitort hij de mogelijke informatievoorziening hierover richting de betrokkenen. In 2023 zijn intern in totaal 9 (2022: 8) datalekken gemeld, waarvan 1 melding een hoog risico had. Dit betrof een ransomware aanval bij een leverancier. De incidentanalyse toonde aan dat deze aanval de systemen van Pré Wonen niet direct geraakt heeft en er dus geen aanwijzingen zijn dat er data van Pré Wonen buitgemaakt zijn.
Van de datalekken moesten we er 2 melden bij de Autoriteit Persoonsgegevens. Al deze meldingen zijn volledig en tijdig gedaan en afgehandeld.
Beheersing risico’s cybersecurity
De beheersing van risico’s op het gebied van cybersecurity is gericht op preventie en snel handelen bij incidenten. Nauw verwant met de bescherming van persoonsgegevens is de bescherming van onze systemen en applicaties als geheel tegen digitale dreigingen. Het risico dat onze systemen voor langere tijd niet beschikbaar zijn of dat cybercriminelen gevoelige gegevens buitmaken, is onderkend als een belangrijk strategisch risico, mede ingegeven door de ervaringen binnen de sector. In 2024 zijn verschillende maatregelen genomen ter voorkoming van een succesvolle hack. Zo organiseerden we trainingen en is er een doorlopende phishingcampagne ingesteld die het bewustzijn van de risico’s bij medewerkers vergroot. Voor de beperking van de gevolgen van een hack kreeg de continue monitoring van systemen voor eventuele oneigenlijke toegang verder vorm. Het reageren op cyberrisico’s is een doorlopende cyclus, want waar een oplossing is bedacht, vinden kwaadwillenden vaak weer een nieuwe weg om beveiliging te omzeilen. Het borgen van deze cyclus is een belangrijk onderdeel van onze risicobeheersing.