INTEGRAAL RISICOMANAGEMENT VOOR WONINGCORPORATIES
Together you make the difference
RISICOMANAGEMENT BIJ WONINGCORPORATIES
Deel 3 van een drieluik over het belang van goed risicomanagement in de corporatie sector
Auteur Drs. Frank van Egeraat RC. Frank is Senior Adviseur bij Accent Organisatie Advies.
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
Sturen op risico’s kan niet zonder zicht op risico’s
Eind oktober publiceerde de parlementaire enquêtecommissie woningcorporaties haar eindrapportage. Onder de titel “Ver van Huis” velde de commissie een stevig oordeel over wat er mis ging in de sector, hoe dat kon gebeuren, wie daar verantwoordelijk voor zijn en hoe het beter kan. De commissie benoemde een viertal hoofdoorzaken, samengevat in vier G’s: Gedrag, Grenzen, Governance en Geld. Een terugkerend thema in deze vier hoofdoorzaken is het (onvoldoende) onderkennen van de risico’s die corporaties lopen en
de beheersing daarvan, zowel door het bestuur, de raad van commissarissen als de toezichthouders op de sector.
Dat er werk aan de winkel is voor corporaties bleek ook uit de resultaten van een onlangs verschenen onderzoek door 1 BDO . Daarin geeft één op de vijf corporaties aan onvoldoende inzicht te hebben in operationele risico’s. Te vaak wordt reactief omgegaan met deze risico’s. Een pro-‐ actievere houding is gewenst om de kwaliteit van de interne beheersing te waarborgen. In dit drieluik over integraal risicomanagement bij woningcorporaties geven wij concrete handvatten voor corporaties om risicomanagement pro-‐actief in te vullen. In het eerste artikel van het drieluik zijn wij ingegaan op de begrippen risico en risicomanagement en presenteerden wij een raamwerk voor risicomanagement. Ook zijn wij ingegaan op de cultuur van de organisatie en het belang daarvan als fundament waarop adequaat risicomanagement rust. In het tweede deel hebben we stilgestaan bij de onderwerpen risicostrategie, risicobereidheid en de organisatie van het risicomanagement. In dit laatste deel komen het risicomanagement proces en daarin veel gehanteerde methoden en technieken aan bod.
Het gaat dan om de grijs gekleurde “pijlers” in het door ons gehanteerde model voor integraal risicomanagement.
Prestaties en risico’s in samenhang beheersen Iedere organisatie, of het nu gaat om een commerciële onderneming, een zorginstelling, een woningcorporatie of gemeente, ontleent zijn bestaansrecht aan het realiseren van bepaalde prestaties. Voor een woningcorporatie liggen die prestaties op het vlak van de volkshuisvesting: het verzorgen van huisvesting voor mensen die daar zelfstandig niet toe in staat zijn.
1
Corporaties onvoldoende ‘in control’, BDO, september 2014
ACCENT ORGANISATIE ADVIES, JANUARI 2015
2
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
ZONDER RISICO, GEEN PRESTATIES Het realiseren van prestaties gaat onherroepelijk gepaard met bepaalde risico’s. Het is niet mogelijk om geen enkel risico te lopen, tenzij de corporatie besluit activiteiten in het geheel te staken, maar dan zullen ook de bijbehorende prestaties niet meer gerealiseerd kunnen worden. Risicomanagement gaat niet om het tot nul reduceren van risico’s. De kern van risicomanagement is de organisatie in staat stellen de beoogde prestaties te realiseren en de risico’s die daarmee gepaard gaan op een zo efficiënt en effectief mogelijke wijze te beheersen. Het gaat om het in samenhang realiseren van prestaties en beheersen van risico’s.
in de figuur hieronder in enige vorm voor. Dit generieke procesmodel kan een corporatie in beginsel toepassen op zowel het strategisch, het tactisch als het operationeel niveau. De invulling van de verschillende stappen en de daarbij gehanteerde methoden en technieken zullen per niveau wel verschillen.
Het is van belang risicomanagement op drie niveaus in de 2 organisatie te borgen : Op strategisch niveau Op tactisch niveau Op operationeel niveau
Vaak zien wij dat organisaties veel oog hebben voor het beheersen van risico’s op operationeel niveau. Men richt allerlei procedures en controles in om operationele risico’s zoals fouten in de verwerking van transacties of fraude te voorkomen. Tegelijkertijd heeft men onvoldoende oog voor de strategische en tactische risico’s die de corporatie loopt. En dat terwijl dat vaak de risico’s zijn die het lange termijn succes van de organisatie bepalen. Risicomanagement proces De verbinding tussen het realiseren van prestaties en het beheersen van risico’s kan gelegd worden door het inrichten en toepassen van een gestructureerd risicomanagement proces. Het woord “proces” geeft al aan dat risicomanagement niet iets eenmaligs is. Risicomanagement vergt net als ieder ander proces continue aandacht en moet geborgd zijn in de organisatie. In de risicomanagement literatuur worden verschillende procesmodellen voor risicomanagement gepropageerd. Hoewel ieder procesmodel eigen nuanceringen kent, komen in de meeste modellen de stappen zoals afgebeeld
2
Zie ook de publicatie Strategisch Risicomanagement, Accent Organisatie Advies, juni 2014, te vinden op onze website www.accentadvies.nl
ACCENT ORGANISATIE ADVIES, JANUARI 2015
Hieronder zullen wij ieder van de stappen kort toelichten en een aantal gehanteerde methoden en technieken beschrijven. Risico’s identificeren Corporaties staan bloot aan verschillende risico’s. Het risicomanagement proces start met het identificeren van de risico’s die mogelijk relevant zijn voor de corporatie. Daarvoor kan een corporatie gebruik maken van verschillende methoden en technieken, zoals brainstormsessies, raadplegen van externe bronnen en overzichten ), inzetten van kennis van externe experts, etc. Wij hanteren veelal een geüniformeerd raamwerk van de belangrijkste risicocategorieën waar corporaties mee te maken hebben. Op het strategische niveau worden vaak scenario analyse workshops ingezet om de strategische risico’s te identificeren. Kenmerk van dergelijke analyses is een sterke oriëntatie op de ontwikkelingen in de omgeving die van invloed zijn op de strategische richting van de organisatie. Vaak wordt in scenario analyses gewerkt met “wereldbeelden” waarin langs verschillende dimensies (bijvoorbeeld politiek, economie, demografie) de omgeving over vijf tot tien jaar geschetst wordt.
3
RISICOMANAGEMENT VOOR WONINGCORPORATIES
Om deze analyse concreet te maken kunnen de risico’s gekwantificeerd worden aan de hand van gegevens over relevante kasstromen, balans-‐, en winst-‐ en verliesposten die door een risico “geraakt” worden. de gegevens in de balans en resultatenrekening en een, worden gebruikt. Op het operationele niveau kunnen Risk & Control Self Assessment workshops een effectief middel zijn om risico’s te identificeren. Dergelijke sessies zijn veelal gericht op een operationeel proces. Samen met medewerkers die betrokken zijn bij het proces worden de risico’s geïnventariseerd. Een bijkomend voordeel van deze aanpak is dat het risicobewustzijn van medewerkers verhoogd wordt. In Risk & Control Self Assessment workshops hanteren wij vaak een methode om het operationele proces van begin tot einde in kaart te brengen, de zogenaamde waardestroomanalyse of “Makigami” methode. Daarbij worden de functies (rollen), activiteiten, informatiedragers, risico’s, verspillingen, en mogelijke beheersmaatregelen in één overzicht in kaart gebracht. 0
werkdag Activiteit nr / Functie huurder
1
1 2
3
4
5
Ontvangst huuropzegging
Plannen voor & eindinspectie
Bevestigings-brief naar huurder
Start verhuurplanning
plannen voor & eindinspectie uitvoerder (9:30 of 13:00)
woning
Huurder zegt huur op
verhuur mederwerker
planning medewerker
Afhankelijk van de medewerking van de oud-‐huurder voor veel processen!
schaal van 1 (lage kans, geringe schade) tot 10 (hoge kans, veel schade). Dit kan eventueel ondersteund worden met hulpmiddelen zoals elektronische stemkastjes. Ondanks dat de beoordeling kwalitatief van aard is, geeft dit een goed inzicht in de verschillende percepties van mensen bij een bepaald risico. Een gesprek over die verschillende inzichten is vaak zeer waardevol. Kans
INTEGRAAL
Weinig schade, Hoge kans
Veel schade, Hoge kans
Weinig schade, Lage kans
Veel schade, Lage kans
Schade
Een meer kwantitatieve beoordeling kan gebaseerd worden op een scorecard waarbij diverse kwantitatieve indicatoren (bijvoorbeeld gegevens over de omvang van transacties, de frequentie van fouten in het verleden, etc) leiden tot een risicoscore. Hoewel dergelijke “objectieve” maatstaven aantrekkelijk zijn, bestaat het gevaar van schijnnauwkeurigheid en daarmee schijnveiligheid omdat sommige risico aspecten niet eenvoudig in kwantitatieve indicatoren te vatten zijn.
Risico’s analyseren
Risico’s evalueren
Risico analyse is een beoordeling van de oorzaken en bronnen van het risico, de impact van de positieve en negatieve effecten van het risico en de kans dat die effecten optreden. Veelal leidt de risico analyse tot een score van de risico’s in termen van kans en impact. Hiervoor kan een figuur als onderstaande als hulpmiddel dienen.
De risico evaluatie betreft het beoordelen van de geanalyseerde risico’s ten opzichte van vooraf gedefinieerde criteria om te bepalen of het treffen van maatregelen noodzakelijk is. Een corporatie kan bijvoorbeeld kiezen om risico’s in het kwadrant ‘Weinig schade, Lage kans’ (voor nu) te laten en zich te focussen op risico’s in het kwadrant ‘Veel schade, Hoge kans’. Het hebben van een vooraf gedefinieerde en helder uitgewerkte risicobereidheid is van groot belang voor het maken van goede keuzes hierin. In deel twee van dit drieluik hebben wij een aanpak voor het definiëren van een risicobereidheid geschetst.
Er zijn verschillende methoden en technieken die een corporatie kan hanteren om een risico score te bepalen. Deze zijn grofweg in te delen in kwalitatieve en kwantitatieve methoden. Bij een kwalitatieve beoordeling kan de deelnemers aan een workshop of brainstormsessie bijvoorbeeld gevraagd worden een inschatting te geven van de kans van optreden en de schade bij optreden op een
ACCENT ORGANISATIE ADVIES, JANUARI 2015
4
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
COMMUNICATIE EN RAPPORTAGE = KEY Risico’s behandelen
Risico’s monitoren en beoordelen
Bij de stap risicobehandeling bepaalt de corporatie welke acties ze gaat nemen ten aanzien van de gesignaleerde en geselecteerde risico’s. De acties die een corporatie kan nemen, vallen in één van de vier generieke categorieën:
Monitoring en beoordeling omvat het periodiek en ad hoc beoordelen van de risico’s en de effectiviteit van risicobeheersing. De verantwoordelijkheid hiervoor ligt om te beginnen bij het lijnmanagement. Zij dienen zelf met enige regelmaat vast te stellen dat risico’s binnen het eigen verantwoordelijkheidsgebied adequaat beheerst worden. Sommige organisaties kiezen ervoor dit te formaliseren in de vorm van een zelfevaluatie (control self assessment) met bijbehorende “in control statement”.
Vermijden: het volledig vermijden van het risico door de activiteit waarmee het risico verbonden is te beëindigen; Reduceren: het beïnvloeden van kans op optreden. Bij deze behandeling moeten de kosten van de maatregel(en) worden afgewogen tegen het potentiële risico (het verlies); Delen: het beïnvloeden van het effect in het geval van optreden; Accepteren: het accepteren van het risico zonder verdere maatregelen te treffen.
Een andere vorm van periodieke beoordeling is het uit (laten) voeren van audits. Bij corporaties van enige omvang is vaak een eigen interne audit functie ingericht. Bij kleinere corporaties wordt deze functie veelal extern belegd en maakt het onderdeel uit van het takenpakket van de externe accountant. Risico’s communiceren en rapporteren
De risk appetite monitor is een goed hulpmiddel voor de bespreking van strategische risico’s met de RvC. Deze monitor zou er als volgt uit kunnen zien:
Strategische bedrijfsrisico's
Actueel risicoprofiel vs. Risicobereidheid Gemiddeld Laag Hoog 1 2 3 4 5
Risico categorie Risico Portefeuillerisico Projectontwikkelingsrisico Onderhoudsrisico Woningtoewijzingsrisico Kwaliteitsrisico Leefbaarheidsrisico Wonen e n zorgrisico Governance risico Tengenpartij / partner risico Herfinancieringsrisico Deelnemingsrisico Financieel beheerrisico
Marktrisico's
Vastgoedmarktrisico Demografisch risico / woningmarktrisico Risico veranderende marktwensen Regionale e conomische ontwikkeling Beschikbaarheidsrisico grondposities Falende primaire processen Falende ondersteunende processen ICT risico Scade aan woningen Frauderisico's Contractrisico Wet-‐ e n regelgeving risico Personeelsrisico Relaties met medewerkers & veiligheid
Macro-‐ economische risico's
Onder het kwadrant “reduceren” valt een veelheid aan risicobeheersingsmaatregelen zoals het inrichten van procedures en richtlijnen, het treffen van maatregelen op het gebied van informatiebeveiliging, het inrichten van adequate functiescheidingen in de organisatie, etc. Het voert voor dit artikel te ver hier diepgaand op in te gaan, maar belangrijk is te vermelden dat er vaak meerdere wegen zijn die naar Rome leiden. Hetzelfde risico kan met verschillende maatregelen beheerst worden. De keuze tussen maatregelen is afhankelijk van de kosten van de maatregelen, de aard van het risico, de kans en impact van optreden van het risico, maar ook van de “volwassenheid” van de organisatie (bijvoorbeeld wat is het niveau van kennis en kunde op het gebied van informatiebeveiliging in de organisatie?).
Operationele risico's
Communicatie en rapportage aan interne en externe belanghouders moet gedurende alle stappen van het risicomanagement proces plaats vinden. Interne belanghouders zijn bijvoorbeeld het management op verschillende niveaus in de organisatie, het bestuur van de corporatie en de Raad van Commissarissen (bijvoorbeeld de Audit Committee van de RvC). Externe belanghouders zijn bijvoorbeeld de gemeenten waarin de corporatie actief is, de toezichthouder Centraal Fonds Volkshuisvesting (CFV) en het Waarborgfonds Sociale Woningbouw (WSW).
0 0
(Bouw)kostenrisico Politiek & regelgeving risico Renterisico Derivatenrisico Inflatierisico
Legenda Niveau risicobereidheid Actueel risicoprofiel
ACCENT ORGANISATIE ADVIES, JANUARI 2015
5
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
RISICO’S IN SAMENHANG BEHEERSEN Met behulp van Key Risk Indicators (KRIs) kan een corporatie op een effectieve wijze over risico’s rapporteren.
Conclusie In dit derde deel van het drieluik over integraal risicomanagement bij woningcorporaties hebben wij toegelicht hoe een corporatie een gestructureerd risicomanagement proces kan inrichten en welke methoden en technieken daarin gangbaar zijn. De kern daarbij is dat risicomanagement de organisatie in staat moet stellen om de prestaties die ze beoogt te realiseren en de risico’s die daarbij gelopen worden in samenhang te beheersen. Daarbij is zowel op strategisch, tactisch als operationeel niveau aandacht voor risicomanagement.
Een KRI is een kwantitatieve maatstaf (bijvoorbeeld een absoluut getal of een ratio) dat de mate van risico weergeeft. Het is een indicator van de kans van optreden van een risico, de mogelijke schade bij optreden, of beide. Een KRI is vergelijkbaar met een Key Performance Indicator (KPI) met dien verstande dat een KPI iets zegt over de mate waarin prestaties gerealiseerd worden terwijl een KRI iets zegt over de mate waarin toekomstige risico’s zich kunnen materialiseren. Soms is de scheidslijn tussen KPIs en KRIs dun.
Hoewel de in dit artikel besproken methoden en technieken behulpzaam kunnen zijn bij het beheersen van risico’s, is de toepassing ervan geen garantie op zich dat risico’s ook effectief beheerst worden. Een gezonde risicocultuur (zie deel 1 van het drieluik) en adequate organisatorische inbedding (zie deel 2 van het drieluik) zijn daarbij minstens zo belangrijk. Daarmee is, zoals vaker, de effectiviteit van het risicomanagement zo sterk als de zwakste schakel.
Voorbeelden van mogelijke KRIs voor een woningcorporatie zijn:
Leegstandspercentage Ratio verhuurmutaties per medewerker Ratio klachten per medewerker Herfinancieringsratio Waardeontwikkeling vastgoed Beschikbaarheid van ICT platform
Een risico dashboard is een effectieve en efficiënte manier om een risicorapportage in te richten. In een dergelijke rapportage wordt de informatie over risico’s op een overzichtelijke en gestructureerde wijze gepresenteerd. De lezer kan de informatie in één oogopslag tot zich nemen. Door middel van kleuren en iconen wordt de aandacht van de lezer gericht op die onderdelen van het rapport die zijn aandacht vragen.
ACCENT ORGANISATIE ADVIES, JANUARI 2015
6
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
ACCENT ORGANISATIE ADVIES
Accent Organisatie Advies voert adviesopdrachten uit op het gebied Operational Excellence, Risicomanagement en Financieel Performance Management. Centraal in onze aanpak staat het duurzaam verbeteren van het rendement, door m iddel van efficiency verbetering, kostenreductie en risicobeheersingsprogramma's. De adviseurs van Accent Organisatie Advies zijn ervaren adviseurs uit de praktijk en helpen u het beste uit uw organisatie te halen. Wij doen dat op een praktische, betrokken en interactieve manier. Bij onze aanpak spelen de medewerkers in de organisatie een belangrijke rol en besteden wij ook aandacht aan gedrag en cultuur.
Disclaimer Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand en/of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier zonder voorafgaande schriftelijke toestemming van Accent Organisatie Advies.
ACCENT ORGANISATIE ADVIES, JANUARI 2015
7
