risicomanagement bij woningcorporaties
TRANSCRIPT
INTEGRAAL RISICOMANAGEMENT VOOR WONINGCORPORATIES
Together you make the difference
Auteur Drs. Frank van Egeraat RC. Frank is Senior Adviseur bij Accent Organisatie Advies.
RISICOMANAGEMENT BIJ WONINGCORPORATIES
Deel 3 van een drieluik over het belang van goed risicomanagement in de corporatie sector
ACCENT ORGANISATIE ADVIES, JANUARI 2015 2
INTEGRAAL RISICOMANAGEMENT VOOR WONINGCORPORATIES
Dat er werk aan de winkel is voor corporaties bleek ook uit de resultaten van een onlangs verschenen onderzoek door BDO1 . Daarin geeft één op de vijf corporaties aan onvoldoende inzicht te hebben in operationele risico’s. Te vaak wordt reactief omgegaan met deze risico’s. Een pro-‐actievere houding is gewenst om de kwaliteit van de interne beheersing te waarborgen.
In dit drieluik over integraal risicomanagement bij woningcorporaties geven wij concrete handvatten voor corporaties om risicomanagement pro-‐actief in te vullen. In het eerste artikel van het drieluik zijn wij ingegaan op de begrippen risico en risicomanagement en presenteerden wij een raamwerk voor risicomanagement. Ook zijn wij ingegaan op de cultuur van de organisatie en het belang daarvan als fundament waarop adequaat risicomanagement rust. In het tweede deel hebben we stilgestaan bij de onderwerpen risicostrategie, risicobereidheid en de organisatie van het risicomanagement.
In dit laatste deel komen het risicomanagement proces en daarin veel gehanteerde methoden en technieken aan bod.
1 Corporaties onvoldoende ‘in control’, BDO, september 2014
Het gaat dan om de grijs gekleurde “pijlers” in het door ons gehanteerde model voor integraal risicomanagement.
Prestaties en risico’s in samenhang beheersen
Iedere organisatie, of het nu gaat om een commerciële onderneming, een zorginstelling, een woningcorporatie of gemeente, ontleent zijn bestaansrecht aan het realiseren van bepaalde prestaties. Voor een woningcorporatie liggen die prestaties op het vlak van de volkshuisvesting: het verzorgen van huisvesting voor mensen die daar zelfstandig niet toe in staat zijn.
Sturen op risico’s kan niet zonder zicht op risico’s
Eind oktober publiceerde de parlementaire enquêtecommissie woningcorporaties haar eindrapportage. Onder de titel “Ver van Huis” velde de commissie een stevig oordeel over wat er mis ging in de sector, hoe dat kon gebeuren, wie daar verantwoordelijk voor zijn en hoe het beter kan. De commissie benoemde een viertal hoofdoorzaken, samengevat in vier G’s: Gedrag, Grenzen, Governance en Geld. Een terugkerend thema in deze vier hoofdoorzaken is het (onvoldoende) onderkennen van de risico’s die corporaties lopen en de beheersing daarvan, zowel door het bestuur, de raad van commissarissen als de toezichthouders op de sector.
ACCENT ORGANISATIE ADVIES, JANUARI 2015 3
INTEGRAAL RISICOMANAGEMENT VOOR WONINGCORPORATIES
Het realiseren van prestaties gaat onherroepelijk gepaard met bepaalde risico’s. Het is niet mogelijk om geen enkel risico te lopen, tenzij de corporatie besluit activiteiten in het geheel te staken, maar dan zullen ook de bijbehorende prestaties niet meer gerealiseerd kunnen worden.
Risicomanagement gaat niet om het tot nul reduceren van risico’s. De kern van risicomanagement is de organisatie in staat stellen de beoogde prestaties te realiseren en de risico’s die daarmee gepaard gaan op een zo efficiënt en effectief mogelijke wijze te beheersen. Het gaat om het in samenhang realiseren van prestaties en beheersen van risico’s.
Het is van belang risicomanagement op drie niveaus in de organisatie te borgen2:
� Op strategisch niveau � Op tactisch niveau � Op operationeel niveau
Vaak zien wij dat organisaties veel oog hebben voor het beheersen van risico’s op operationeel niveau. Men richt allerlei procedures en controles in om operationele risico’s zoals fouten in de verwerking van transacties of fraude te voorkomen. Tegelijkertijd heeft men onvoldoende oog voor de strategische en tactische risico’s die de corporatie loopt. En dat terwijl dat vaak de risico’s zijn die het lange termijn succes van de organisatie bepalen.
Risicomanagement proces
De verbinding tussen het realiseren van prestaties en het beheersen van risico’s kan gelegd worden door het inrichten en toepassen van een gestructureerd risicomanagement proces. Het woord “proces” geeft al aan dat risicomanagement niet iets eenmaligs is. Risicomanagement vergt net als ieder ander proces continue aandacht en moet geborgd zijn in de organisatie.
In de risicomanagement literatuur worden verschillende procesmodellen voor risicomanagement gepropageerd. Hoewel ieder procesmodel eigen nuanceringen kent, komen in de meeste modellen de stappen zoals afgebeeld
2 Zie ook de publicatie Strategisch Risicomanagement, Accent Organisatie Advies, juni 2014, te vinden op onze website www.accentadvies.nl
in de figuur hieronder in enige vorm voor. Dit generieke procesmodel kan een corporatie in beginsel toepassen op zowel het strategisch, het tactisch als het operationeel niveau. De invulling van de verschillende stappen en de daarbij gehanteerde methoden en technieken zullen per niveau wel verschillen.
Hieronder zullen wij ieder van de stappen kort toelichten en een aantal gehanteerde methoden en technieken beschrijven.
Risico’s identificeren
Corporaties staan bloot aan verschillende risico’s. Het risicomanagement proces start met het identificeren van de risico’s die mogelijk relevant zijn voor de corporatie. Daarvoor kan een corporatie gebruik maken van verschillende methoden en technieken, zoals brainstormsessies, raadplegen van externe bronnen en overzichten ), inzetten van kennis van externe experts, etc. Wij hanteren veelal een geüniformeerd raamwerk van de belangrijkste risicocategorieën waar corporaties mee te maken hebben.
Op het strategische niveau worden vaak scenario analyse workshops ingezet om de strategische risico’s te identificeren. Kenmerk van dergelijke analyses is een sterke oriëntatie op de ontwikkelingen in de omgeving die van invloed zijn op de strategische richting van de organisatie. Vaak wordt in scenario analyses gewerkt met “wereldbeelden” waarin langs verschillende dimensies (bijvoorbeeld politiek, economie, demografie) de omgeving over vijf tot tien jaar geschetst wordt.
ZONDER RISICO, GEEN PRESTATIES
ACCENT ORGANISATIE ADVIES, JANUARI 2015 4
INTEGRAAL RISICOMANAGEMENT VOOR WONINGCORPORATIES
Om deze analyse concreet te maken kunnen de risico’s gekwantificeerd worden aan de hand van gegevens over relevante kasstromen, balans-‐, en winst-‐ en verliesposten die door een risico “geraakt” worden. de gegevens in de balans en resultatenrekening en een, worden gebruikt.
Op het operationele niveau kunnen Risk & Control Self Assessment workshops een effectief middel zijn om risico’s te identificeren. Dergelijke sessies zijn veelal gericht op een operationeel proces. Samen met medewerkers die betrokken zijn bij het proces worden de risico’s geïnventariseerd. Een bijkomend voordeel van deze aanpak is dat het risicobewustzijn van medewerkers verhoogd wordt.
In Risk & Control Self Assessment workshops hanteren wij vaak een methode om het operationele proces van begin tot einde in kaart te brengen, de zogenaamde waardestroomanalyse of “Makigami” methode. Daarbij worden de functies (rollen), activiteiten, informatiedragers, risico’s, verspillingen, en mogelijke beheersmaatregelen in één overzicht in kaart gebracht.
Risico’s analyseren
Risico analyse is een beoordeling van de oorzaken en bronnen van het risico, de impact van de positieve en negatieve effecten van het risico en de kans dat die effecten optreden. Veelal leidt de risico analyse tot een score van de risico’s in termen van kans en impact. Hiervoor kan een figuur als onderstaande als hulpmiddel dienen.
Er zijn verschillende methoden en technieken die een corporatie kan hanteren om een risico score te bepalen. Deze zijn grofweg in te delen in kwalitatieve en kwantitatieve methoden. Bij een kwalitatieve beoordeling kan de deelnemers aan een workshop of brainstormsessie bijvoorbeeld gevraagd worden een inschatting te geven van de kans van optreden en de schade bij optreden op een
schaal van 1 (lage kans, geringe schade) tot 10 (hoge kans, veel schade). Dit kan eventueel ondersteund worden met hulpmiddelen zoals elektronische stemkastjes. Ondanks dat de beoordeling kwalitatief van aard is, geeft dit een goed inzicht in de verschillende percepties van mensen bij een bepaald risico. Een gesprek over die verschillende inzichten is vaak zeer waardevol.
Een meer kwantitatieve beoordeling kan gebaseerd worden op een scorecard waarbij diverse kwantitatieve indicatoren (bijvoorbeeld gegevens over de omvang van transacties, de frequentie van fouten in het verleden, etc) leiden tot een risicoscore. Hoewel dergelijke “objectieve” maatstaven aantrekkelijk zijn, bestaat het gevaar van schijnnauwkeurigheid en daarmee schijnveiligheid omdat sommige risico aspecten niet eenvoudig in kwantitatieve indicatoren te vatten zijn.
Risico’s evalueren
De risico evaluatie betreft het beoordelen van de geanalyseerde risico’s ten opzichte van vooraf gedefinieerde criteria om te bepalen of het treffen van maatregelen noodzakelijk is. Een corporatie kan bijvoorbeeld kiezen om risico’s in het kwadrant ‘Weinig schade, Lage kans’ (voor nu) te laten en zich te focussen op risico’s in het kwadrant ‘Veel schade, Hoge kans’. Het hebben van een vooraf gedefinieerde en helder uitgewerkte risicobereidheid is van groot belang voor het maken van goede keuzes hierin. In deel twee van dit drieluik hebben wij een aanpak voor het definiëren van een risicobereidheid geschetst.
werkdag 0 1
Activiteit nr / Functie 1 2 3 4 5
huurder
Huurder zegt huur op
verhuur mederwerker
Ontvangst huuropzegging
Plannen voor & eindinspectie
Bevestigings-brief naar huurder
Start verhuurplanning
planning medewerker plannen voor &
eindinspectie uitvoerder (9:30 of
13:00)
woningAfhankelijk van de medewerking van de oud-‐huurder voor veel processen!
Kans
Schade
Veel schade, Hoge kans
Veel schade, Lage kans
Weinig schade, Hoge kans
Weinig schade, Lage kans
ACCENT ORGANISATIE ADVIES, JANUARI 2015 5
INTEGRAAL RISICOMANAGEMENT VOOR WONINGCORPORATIES
Risico’s behandelen
Bij de stap risicobehandeling bepaalt de corporatie welke acties ze gaat nemen ten aanzien van de gesignaleerde en geselecteerde risico’s. De acties die een corporatie kan nemen, vallen in één van de vier generieke categorieën:
� Vermijden: het volledig vermijden van het risico door de activiteit waarmee het risico verbonden is te beëindigen;
� Reduceren: het beïnvloeden van kans op optreden. Bij deze behandeling moeten de kosten van de maatregel(en) worden afgewogen tegen het potentiële risico (het verlies);
� Delen: het beïnvloeden van het effect in het geval van optreden;
� Accepteren: het accepteren van het risico zonder verdere maatregelen te treffen.
Onder het kwadrant “reduceren” valt een veelheid aan risicobeheersingsmaatregelen zoals het inrichten van procedures en richtlijnen, het treffen van maatregelen op het gebied van informatiebeveiliging, het inrichten van adequate functiescheidingen in de organisatie, etc. Het voert voor dit artikel te ver hier diepgaand op in te gaan, maar belangrijk is te vermelden dat er vaak meerdere wegen zijn die naar Rome leiden. Hetzelfde risico kan met verschillende maatregelen beheerst worden. De keuze tussen maatregelen is afhankelijk van de kosten van de maatregelen, de aard van het risico, de kans en impact van optreden van het risico, maar ook van de “volwassenheid” van de organisatie (bijvoorbeeld wat is het niveau van kennis en kunde op het gebied van informatiebeveiliging in de organisatie?).
Risico’s monitoren en beoordelen
Monitoring en beoordeling omvat het periodiek en ad hoc beoordelen van de risico’s en de effectiviteit van risicobeheersing. De verantwoordelijkheid hiervoor ligt om te beginnen bij het lijnmanagement. Zij dienen zelf met enige regelmaat vast te stellen dat risico’s binnen het eigen verantwoordelijkheidsgebied adequaat beheerst worden. Sommige organisaties kiezen ervoor dit te formaliseren in de vorm van een zelfevaluatie (control self assessment) met bijbehorende “in control statement”.
Een andere vorm van periodieke beoordeling is het uit (laten) voeren van audits. Bij corporaties van enige omvang is vaak een eigen interne audit functie ingericht. Bij kleinere corporaties wordt deze functie veelal extern belegd en maakt het onderdeel uit van het takenpakket van de externe accountant.
Risico’s communiceren en rapporteren
Communicatie en rapportage aan interne en externe belanghouders moet gedurende alle stappen van het risicomanagement proces plaats vinden. Interne belanghouders zijn bijvoorbeeld het management op verschillende niveaus in de organisatie, het bestuur van de corporatie en de Raad van Commissarissen (bijvoorbeeld de Audit Committee van de RvC). Externe belanghouders zijn bijvoorbeeld de gemeenten waarin de corporatie actief is, de toezichthouder Centraal Fonds Volkshuisvesting (CFV) en het Waarborgfonds Sociale Woningbouw (WSW).
De risk appetite monitor is een goed hulpmiddel voor de bespreking van strategische risico’s met de RvC. Deze monitor zou er als volgt uit kunnen zien:
COMMUNICATIE EN RAPPORTAGE = KEY
Laag HoogRisico categorie Risico 1 2 3 4 5
PortefeuillerisicoProjectontwikkelingsrisicoOnderhoudsrisicoWoningtoewijzingsrisicoKwaliteitsrisicoLeefbaarheidsrisicoWonen en zorgrisicoGovernance risicoTengenpartij / partner risicoHerfinancieringsrisicoDeelnemingsrisicoFinancieel beheerrisico
VastgoedmarktrisicoDemografisch risico / woningmarktrisicoRisico veranderende marktwensenRegionale economische ontwikkelingBeschikbaarheidsrisico grondposities
Falende primaire processen Falende ondersteunende processenICT risicoScade aan woningenFrauderisico'sContractrisicoWet-‐ en regelgeving risicoPersoneelsrisicoRelaties met medewerkers & veiligheid
(Bouw)kostenrisicoPolitiek & regelgeving risicoRenterisicoDerivatenrisicoInflatierisico
LegendaNiveau risicobereidheidActueel risicoprofiel
GemiddeldActueel risicoprofiel vs. Risicobereidheid
Strate
gische b
edrijf
srisico's
Mark
trisico's
Opera
tionele risico
'sMacro-‐
econ
omische
risico
's
0
0
ACCENT ORGANISATIE ADVIES, JANUARI 2015 6
INTEGRAAL RISICOMANAGEMENT VOOR WONINGCORPORATIES
Met behulp van Key Risk Indicators (KRIs) kan een corporatie op een effectieve wijze over risico’s rapporteren.
Een KRI is een kwantitatieve maatstaf (bijvoorbeeld een absoluut getal of een ratio) dat de mate van risico weergeeft. Het is een indicator van de kans van optreden van een risico, de mogelijke schade bij optreden, of beide. Een KRI is vergelijkbaar met een Key Performance Indicator (KPI) met dien verstande dat een KPI iets zegt over de mate waarin prestaties gerealiseerd worden terwijl een KRI iets zegt over de mate waarin toekomstige risico’s zich kunnen materialiseren. Soms is de scheidslijn tussen KPIs en KRIs dun.
Voorbeelden van mogelijke KRIs voor een woningcorporatie zijn:
� Leegstandspercentage � Ratio verhuurmutaties per medewerker � Ratio klachten per medewerker � Herfinancieringsratio � Waardeontwikkeling vastgoed � Beschikbaarheid van ICT platform
Een risico dashboard is een effectieve en efficiënte manier om een risicorapportage in te richten. In een dergelijke rapportage wordt de informatie over risico’s op een overzichtelijke en gestructureerde wijze gepresenteerd. De lezer kan de informatie in één oogopslag tot zich nemen. Door middel van kleuren en iconen wordt de aandacht van de lezer gericht op die onderdelen van het rapport die zijn aandacht vragen.
Conclusie
In dit derde deel van het drieluik over integraal risicomanagement bij woningcorporaties hebben wij toegelicht hoe een corporatie een gestructureerd risicomanagement proces kan inrichten en welke methoden en technieken daarin gangbaar zijn. De kern daarbij is dat risicomanagement de organisatie in staat moet stellen om de prestaties die ze beoogt te realiseren en de risico’s die daarbij gelopen worden in samenhang te beheersen. Daarbij is zowel op strategisch, tactisch als operationeel niveau aandacht voor risicomanagement.
Hoewel de in dit artikel besproken methoden en technieken behulpzaam kunnen zijn bij het beheersen van risico’s, is de toepassing ervan geen garantie op zich dat risico’s ook effectief beheerst worden. Een gezonde risicocultuur (zie deel 1 van het drieluik) en adequate organisatorische inbedding (zie deel 2 van het drieluik) zijn daarbij minstens zo belangrijk. Daarmee is, zoals vaker, de effectiviteit van het risicomanagement zo sterk als de zwakste schakel.
RISICO’S IN SAMENHANG BEHEERSEN
ACCENT ORGANISATIE ADVIES, JANUARI 2015 7
INTEGRAAL RISICOMANAGEMENT VOOR WONINGCORPORATIES
Disclaimer Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand en/of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier zonder voorafgaande schriftelijke toestemming van Accent Organisatie Advies.
Accent Organisatie Advies voert adviesopdrachten uit op het gebied Operational Excellence, Risicomanagement en Financieel Performance Management. Centraal in onze aanpak staat het duurzaam verbeteren van het rendement, door middel van efficiency verbetering, kostenreductie en risicobeheersingsprogramma's.
De adviseurs van Accent Organisatie Advies zijn ervaren adviseurs uit de praktijk en helpen u het beste uit uw organisatie te halen. Wij doen dat op een praktische, betrokken en interactieve manier. Bij onze aanpak spelen de medewerkers in de organisatie een belangrijke rol en besteden wij ook aandacht aan gedrag en cultuur.
ACCENT ORGANISATIE ADVIES