Woningcorporatie Lefier wil haar risicomanagement professionaliseren. Waarom is deze professionaliseringsslag zo belangrijk, en wat is ervoor nodig om risico’s professioneel te managen? Een gesprek met Risk- en compliancemanager Susanne Hartlief over de essentie van risicomanagement bij woningcorporaties.
“Het succes van risicomanagement is grotendeels afhankelijk van de cultuur die heerst binnen een organisatie,” begint Susanne het gesprek. “De risicocultuur draagt op positieve wijze bij aan risicomanagement en het behalen van strategische doelen. Een belangrijke rol is daarbij weggelegd voor ondernemerschap, zowel op de lange als korte termijn. Dit verhoogt de drive en motivatie, de verander- en innovatiekracht van medewerkers en zorgt ervoor dat Lefier op lange termijn aan haar maatschappelijke opgave kan blijven voldoen.”
Risicomanagement in de genen
“Een belangrijke doelstelling bij het uitwerken van risicomanagement is de beheersing van strategische, tactische en operationele doelstellingen op de juiste niveaus in de organisatie, en een verdere ontwikkeling van risicobewustzijn in de gehele organisatie,” legt Susanne uit. Door het risicobewustzijn verder te ontwikkelen, ontstaat bij medewerkers en het bestuur een beter beeld van de risico’s en de maatregelen die hierop getroffen dienen te worden. “Risicomanagement moet eigenlijk in de genen van elke manager en directeur zitten. Belangrijk is het dus om de kaders helder te hebben waarbinnen iedereen eigen verantwoordelijkheid heeft en dus risico’s kan en mag nemen om kansen te benutten.”
“Dit kan alleen wanneer de randvoorwaarden duidelijk zijn. Door het duidelijk opstellen van beleid, vanuit de strategie, kan op diverse vlakken een vertaling worden gemaakt naar uitvoerende doelen, zoals kwaliteitsbeleid ten aanzien van woningen, aanbestedingsbeleid en huurbeleid. Bij de implementatie van beleid dient voldoende aandacht te worden besteed aan de praktische uitvoering van het opgestelde beleid. Ook is een atmosfeer van onderling vertrouwen belangrijk, waardoor kennis en informatie gedeeld wordt en mensen open kunnen spreken over de doelstellingen van organisatie en de risico’s die het bereiken daarvan in de weg kunnen staan.”
Three Lines of Defence
Lefier maakt hiervoor onder andere gebruik van het ‘Three Lines of Defence’-model. “Dit model helpt ons bij het duiden van de taken en verantwoordelijkheid ten aanzien van risicomanagement,” vertelt Susanne. “Het model duidt ook de manier van samenwerken en denken, en moet bijdragen aan een versterking van de risicocultuur, het nemen van verantwoordelijkheid voor het managen van risico’s en interne beheersing en optimalisatie van de control-functie.”
Day-to-day
De eerste linie bevat het management van de drie kamers Vastgoed, Maatschappelijk Presteren en Financiën & Ondersteuning en de centrale ondersteunende staforganen samen met de ad hoc-organisaties. Susanne: “Zij zijn integraal verantwoordelijk voor de governance, de beheersing en de kwaliteit van processen, systemen en producten, inclusief de hierin opgenomen of verwerkte informatie. Maatregelen om deze kwaliteit te waarborgen – waaronder het uitvoeren van interne controles – behoren ook tot deze verantwoordelijkheid. De first line of defence is daarmee verantwoordelijk voor het day-to-day risicomanagement. De eerste lijn beoordeelt de werking van de beheersing en uitvoering van de primaire en ondersteunende processen en projecten.”
Ondersteuning en advies
“De Second Line of Defence faciliteert de eerste linie op het gebied van risicobeleid, geeft ondersteuning bij de uitvoering van risicoanalyses en adviseert over de opzet van de bijbehorende beheersingsmaatregelen. De tweede linie faciliteert ook het beleid en de inrichting om aan relevante wet- en regelgeving te voldoen. Tevens bewaakt de second line de follow-up op de aanbevelingen voortvloeiend uit eigen onderzoeken of uit onderzoeken door de externe accountant of externe toezichthouders. Bij dit alles levert de second line de benodigde kennis en ervaring aan de first line en functioneert zij als sparring-partner.”
“Tenslotte beoordeelt de tweede linie de uitkomsten van de werking van de beheersing en uitvoering door de eerste linie van de primaire en ondersteunende processen en projecten. Bij audits – de Third Line of Defence – kan waar mogelijk gebruik worden gemaakt van de uitkomsten van de door de tweede linie gedane onderzoeken en controles. Daarnaast worden door de first line uitgevoerde interne controles gereviewed.”
Verder professionalisering
“Ik denk dat we goed op weg zijn met risicomanagement en een plek hebben gevonden waarbij de belasting voor managers niet te groot is maar waar wel periodiek wordt nagedacht over actuele risico’s,” analyseert Susanne. De keuze voor verdere professionalisering bij Lefier komt voort uit de wens om voor strategische risico’s nog duidelijker te benomen wat de acties moeten zijn om de risico’s te kunnen beheersen zodat het binnen het geaccepteerde risicobereidheidsniveau valt. “Verder kunnen de self risk assessments nog worden verbeterd, zodat management eigen risicoanalyses kan uitvoeren op projecten en operationele processen. Ook de kritische risico-indicatoren hebben we nog niet expliciet benoemd en opgenomen in onze maanddashboards. Wel zijn deze besproken met managers en komen we tot een aantal KRI’s – één of twee per proces – die kunnen helpen risico’s te signaleren.”
“Uiteindelijk willen wij met de professionalisering meer eigen initiatief op het gebied van risicomanagement, compliance en interne controles in de eerste lijn realiseren,” licht Susanne toe. “Daardoor kan onze afdeling Audit & Control meer toe naar ‘continuous monitoring’ en actueel inzicht in het risicoprofiel.”
Complexiteit
Op de vraag of risicomanagement de laatste jaren complexer is geworden bij woningcorporaties, zegt Susanne: “Wet- en regelgeving maakt dat we meer risico lopen niet compliant te zijn of juist ‘vergeten’ de ruimte te gebruiken die er is. Neem bijvoorbeeld passend toewijzen. Kies je ervoor om honderd procent passend toe te wijzen, of benut je de vijf procent ruimte die er is om in bepaalde gevallen af te wijken. Als je kiest voor dat laatste, is het van belang dat de spelregels duidelijk zijn. Wat is de ruimte die je hebt, welke vrijheid en beperkingen heb je in het nemen van beslissingen en aan wie leg je verantwoording af. Als dat helder is, kan het worden toegepast. Als dit onvoldoende duidelijk is, kan aan het eind van het jaar blijken dat je over de toegestane vijf procent gaat en dus niet compliant bent.”
“Door de schandalen van de laatste jaren zijn corporaties meer gebonden aan regels en is het speelveld ingeperkt. Er zijn meer externe factoren waar rekening mee gehouden moet worden, maar de business – het verhuren van woningen – is niet veranderd. Risicomanagement op zich is daarmee ook niet complexer geworden. Het aantal factoren en risico’s dat we moeten beheersen wel.”
Ondersteunende tool
Susanne ziet door de professionalisering onder andere de monitoring op de follow-up van afgesproken acties veranderen. “Het actieregister helpt bij de bewustwording en het monitoren van de lopende acties, maar deze worden nog niet altijd volgens het vooraf opgestelde tijdsplan gerealiseerd. Wij denken dat de monitoring op meer continue basis hier aan kan bijdragen. Betrokkenheid van het management is hierbij van essentieel belang. Een ondersteunende tool is hierbij zeer gewenst en maakt het mogelijk voor het management om op meer continue basis inzicht te verkrijgen in de kwaliteit van processen, met meer efficiency, kostenreductie, verbeterde performance en een toegenomen transparantie over de hele organisatie tot gevolg.”
Lefier werkt daarom samen met Naris. “Om risicomanagement efficiënt en effectief te laten werken, is het zeer wenselijk een geautomatiseerde tool te hebben voor risicomanagement. Deze tool kan door het lijnmanagement worden gebruikt voor risk assessments en het gereed melden van acties en door Audit & Control voor auditbevindingen, oordelen en follow-up acties. Een dergelijke tool zal veel helpen in een meer continue aandacht voor risicobeheersing door het management en een meer continue monitoring door A&C van follow-up acties. Eigenaarschap en integrale verantwoordelijkheid voor risicomanagement door het management wordt zodoende versterkt.”
Continu proces
Op de vraag of door de professionalisering risicomanagement ‘is afgerond’, of dat het een continu veranderend proces is, zegt Susanne: “Het is van belang dat je als corporatie kiest voor een systematiek met eventueel modellen die dat ondersteunen zoals COSO en dat je uitwerkt hoe de risicomanagementcyclus eruit ziet. Het is belangrijk dat dit past bij de omvang van de corporatie en dat je de ambities zo neerzet dat het werkbaar is of wordt. Je risicomanagementbeleid vormt het kader voor de verdere implementatie van risicomanagement. Wij werken zelf met de beleidsachtbaan en hierin is goed te zien dat dit een continu proces is dat je doorloopt en waarin je bijstelt en herijkt.”
Bron: Johan van den Beld | CorporatieMedia – 1 augustus 2018
