INTEGRAAL RISICOMANAGEMENT VOOR WONINGCORPORATIES
Together you make the difference
RISICOMANAGEMENT BIJ WONINGCORPORATIES
Deel 2 van een drieluik over het belang van goed risicomanagement in de corporatie sector
Auteur Drs. Frank van Egeraat RC. Frank is Senior Adviseur bij Accent Organisatie Advies.
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
Effectieve inrichting en sturing van het risicomanagement
De ontwikkelingen in de woningcorporatie sector van de afgelopen jaren hebben ertoe geleid dat woningcorporaties meer en meer aandacht besteden aan de beheersing van de risico’s die ze lopen. “Risicomanagement” is een woord dat corporatiebestuurders en toezichthouders steeds vaker in de mond nemen. Een palet van risicomanagement modellen en technieken die van oudsher in andere sectoren gehanteerd werden, doen
hun intrede in de sector. Inzicht in en begrip van deze modellen en technieken is belangrijk voor een efficiënte en effectieve inrichting van risicomanagement bij een corporatie.
Dit artikel vormt het tweede deel van een drieluik. In het eerste artikel van het drieluik zijn wij ingegaan op de begrippen risico en risicomanagement en presenteerden wij een raamwerk voor risicomanagement. Ook zijn wij ingegaan op de cultuur van de organisatie en het belang daarvan als fundament waarop adequaat risicomanagement rust.
Risicostrategie en risicobereidheid
In dit tweede deel zullen wij dieper ingaan op de donker gekleurde onderdelen van het raamwerk voor risicomanagement: risicostrategie, risicobereidheid en de organisatie van het risicomanagement.
Vanuit de visie en missie van de organisatie formuleert de corporatie haar strategische doelstellingen. Die strategische doelstellingen liggen op het vlak van de maatschappelijke opgave in het werkgebied waarvoor de corporatie zich gesteld ziet, de vastgoedportefeuille van de corporatie en de noodzakelijke ontwikkeling daarin om aan te sluiten bij de maatschappelijke opgave, en de wijze waarop de corporatie zorg draagt voor een financieel duurzaam bedrijfsmodel. Parallel aan deze strategische doelstellingen moet de corporatie ook bepalen wat haar strategie is met betrekking tot de risico’s die ze loopt, en wat de bereidheid is om risico’s te lopen. Ter illustratie, woningcorporaties met een hoge ontwikkelingsopgave worden over het algemeen geconfronteerd met andere, en veelal ook grotere risico’s dan corporaties die zich voornamelijk richten op beherende taken. Aan de ontwikkeling van vastgoed kleven nu eenmaal andere, en veelal meer risico’s dan aan het beheren van bestaand woningbezit.
ACCENT ORGANISATIE ADVIES, OKTOBER 2014
De risicostrategie van een corporatie geeft richting aan de wijze waarop een corporatie omgaat met de risico’s die ze loopt. De risicostrategie moet onder andere inzicht geven in de zogenaamde risicocapaciteit van de organisatie: wat is de aard en omvang van de risico’s die de organisatie kan
2
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
RISICO = NIET BEHALEN VAN DOELSTELLINGEN dragen bij het realiseren van h aar bedrijfsdoelstellingen. De risicocapaciteit wordt veelal omschreven in financiële termen, zoals solvabiliteit, liquiditeit, en leencapaciteit. Er zijn echter ook meer kwalitatieve aspecten die de risicocapaciteit van een organisatie bepalen, zoals beperkingen opgelegd door de toezichthouder, politieke en maatschappelijke ontwikkelingen, de (gewenste) reputatie van de organisatie en de aanwezige kennis, kunde en volwassenheid van het risicomanagement binnen de organisatie. Vanuit de risicocapaciteit definieert de corporatie vervolgens haar risicobereidheid. De risicobereidheid van een organisatie geeft uitdrukking aan de aard en omvang van de risico’s die een organisatie bereid is aan te gaan bij het realiseren van haar bedrijfsdoelstellingen. De risicobereidheid moet logischerwijze vallen binnen de risicocapaciteit van de organisatie. Tot slot kan de corporatie risicolimieten vaststellen. Dit zijn grenswaarden die de corporatie kan hanteren om te bewaken dat de gelopen risico’s binnen de gedefinieerde risico bereidheid blijven. Ter illustratie, een corporatie zou een limiet kunnen stellen aan het aantal woningen dat verkocht is onder een “Verkoop onder Voorwaarden” programma om zo het liquiditeitsrisico uit hoofde van terugkoopverplichting te bewaken. Onderstaande figuur vat de hiervoor genoemde begrippen samen.
Vaststellen van de risicobereidheid Een van de belangrijke lessen van een aantal recente debacles in de corporatiesector is dat sommige instellingen meer risico’s namen dan ze, gegeven hun solvabiliteit, liquiditeit en hun kennis en kunde op het gebied van
ACCENT ORGANISATIE ADVIES, OKTOBER 2014
risicomanagement, aan konden. Sommige instellingen namen risico’s die onvoldoende begrepen en beheerst werden door het management en bestuur. Het belang van een weloverwogen, expliciete uitspraak over de risico bereidheid van de organisatie wordt steeds meer gezien als een essentiële basis van een gezond risicomanagement. De vraag is hoe een corporatie een risicobereidheid zou kunnen definiëren. Hieronder lichten wij de stappen toe die een organisatie kan zetten om een praktisch bruikbare risicobereidheid te definiëren. Het is van belang bij al deze stappen het bestuur en het lijnmanagement te betrekken, zodat de risicobereidheid uiteindelijk gedragen wordt en het geen “stokpaardje van de risk manager” blijft.
Strategie
Statements
Maatstaven
Tolerantie niveaus en limieten
Risico inventarisatie
1. Neem de strategie als basis De risicobereidheid van een organisatie is onlosmakelijk verbonden aan de strategie en doelstellingen van de organisatie. Bij een strategie van groei past een heel andere risicobereidheid dan bij een strategie van consolidatie. Het is daarom van belang de strategie van de organisatie als uitgangspunt te nemen bij het definiëren van de risico bereidheid. Zo hebben veel organisaties tegenwoordig “operational excellence” als strategisch uitgangspunt. Dit uitgangspunt is van invloed op de aard en omvang van de risico’s die de organisatie wil lopen: “First time right” betekent dat fouten in de uitvoering van processen voorkomen moeten worden. Een belangrijke bouwsteen voor de strategie van een organisatie zijn de verwachtingen en eisen van belanghebbenden en de maatschappij als geheel. Ook die zijn van invloed op de risicobereidheid. Te denken valt aan de steeds strengere eisen die gesteld worden aan de integriteit van een organisatie. Dit is van invloed op bijvoorbeeld de risicobereidheid ten aanzien van compliance risico’s.
3
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
RISICOBEREIDHEID GEEFT ORGANISATIES RICHTING 2. Inventariseer de risico’s Voordat de organisatie een risicobereidheid kan formuleren, is het uiteraard noodzakelijk om inzicht te hebben in de verschillende risico’s die de corporatie loopt en de potentiële impact die de risico’s hebben op het behalen van de strategie en bedrijfsdoelstellingen. Aan de hand van interne en externe gegevens kan de organisatie een inventarisatie van risico’s maken. Het organiseren van een brainstorm sessie met het management is eveneens een goede techniek om een inventarisatie te maken. Dit heeft als bijkomend voordeel dat het risicobewustzijn bij het management versterkt wordt. 3. Doe uitspraken over de risico’s Na de analyse van de strategie en de inventarisatie van de soorten risico’s waaraan de organisatie blootgesteld staat, kunnen uitspraken gedaan worden over het gewenste niveau van de risico’s. Deze uitspraken zijn in eerste instantie kwalitatief van aard. Ze geven richting aan de aard en omvang van de risico’s die de organisatie aan wil gaan c.q. wil tolereren. Een corporatie kan bijvoorbeeld bij de inventarisatie van risico’s vastgesteld hebben dat ontwikkelingen op de geld-‐ en kapitaalmarkt een negatief effect kunnen hebben op het vermogen, resultaat en de kasstromen van de organisatie. Een kwalitatieve uitspraak die de risico bereidheid van een corporatie op dit vlak uit zou kunnen drukken is: “De financiële continuïteit van de corporatie mag niet in gevaar komen als gevolg van negatieve ontwikkelingen op de geld-‐ en kapitaalmarkt”. De kwalitatieve uitspraken met betrekking tot de risicobereidheid geven richting aan de organisatie, helpen bij het nemen van beslissingen over risico’s en het treffen van maatregelen en stimuleren risico bewustzijn en risicobewust gedrag. Ze vormen een belangrijke input voor de verdere beleidsontwikkeling op het terrein van risicomanagement. 4. Definieer maatstaven De volgende stap is om de uitspraken met betrekking tot de risicobereidheid te operationaliseren. Hiertoe moet de organisatie maatstaven definiëren die gekoppeld kunnen worden aan de risico’s waarop de uitspraken betrekking hebben. Die maatstaven kunnen financieel van aard zijn,
ACCENT ORGANISATIE ADVIES, OKTOBER 2014
maar ook operationele maatstaven, zoals prestatie-‐ indicatoren gerelateerd aan de operationele processen van de corporatie, kunnen dienen als maatstaf om de uitspraken met betrekking tot de risicobereidheid handen en voeten geven. Voorbeelden van veel gebruikte financiële maatstaven zijn financiële ratio’s als de Interest Coverage Ratio en de Debt Service Capacity Ratio. Voorbeelden van operationele maatstaven die dienst kunnen doen in het kader van de risicobereidheid zijn het percentages leegstand, de mutatiegraad, het aantal klachten van huurders, etc. 5. Stel tolerantieniveaus en limieten vast De laatste stap is om voor ieder van de gedefinieerde maatstaven limieten vast te stellen aan de hand waarvan het feitelijke risiconiveau getoetst kan worden aan de risicobereidheid. Het bepalen van de limieten kan op verschillende manieren: Analyse van historische interne data (operationele verliezen, historische gegevens over risico indicatoren, etc) Gebruik maken van historische externe data (bijvoorbeeld onderzoeksrapporten van research bureaus) Benchmarking met vergelijkbare organisaties Limieten moeten bij voorkeur zo concreet mogelijk gemaakt worden. De ervaring leert echter dat het expliciet maken van limieten niet eenvoudig is en tot eindeloos veel interne discussie kan leiden. Het is daarbij van belang te onderkennen dat het definiëren van een risicobereidheid niet een eenmalige activiteit is, maar een leerproces waarbij continue gewerkt wordt aan verdere verbetering. Het devies is dan ook: “Start simple, grow to sophistication”. Organisatie-‐inrichting: Three Lines of Defence Bij de invulling van de risicobereidheid dient tevens aandacht geschonken te worden aan de mate waarin risico’s opgevangen en beheerst kunnen worden door de organisatie: de organisatie inrichting. Een woningcorporatie kan een hoge risicobereidheid accepteren, maar moet dit niet alleen financieel maar ook organisatorisch kunnen dragen.
4
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
Een veelvuldig gebruikt inrichtingsprincipe voor risicomanagement is het zogenaamde “Three Lines of Defence” model. In dit model worden de risico’s binnen de organisatie beheerst vanuit drie verdedigingslinies: De eerste verdedigingslinie wordt gevormd door het mana-‐ gement en de medewerkers van de organisatie. Zij zijn integraal verantwoordelijk voor de beheersing van de risico’s binnen hun verantwoordelijk-‐ heidsgebied. De tweede verdedigingslinie wordt gevormd door functies die zich richten op de ondersteuning van de eerste lijn bij het geven van invulling aan de beheersing van risico’s. Te denken valt aan een specialistische risico management functie, maar ook functies als Juridische Zaken & Compliance vallen hieronder. Deze functies kunnen bij een aparte afdeling belegd zijn (veelal bij grotere organisaties), maar kunnen ook een onderdeel vormen van het takenpakket van een functionaris (bijvoorbeeld de Manager Finance & Control). Deze functies zijn verantwoordelijk voor de kaderstelling, facilitering, monitoring en rapportage op het gebied van risicomanagement. De derde verdedigingslinie wordt gevormd door de audit functie. De audit functie voert onafhankelijk van de eerste twee verdedigingslinies een beoordeling uit van de risico’s en de risicobeheersing binnen de organisatie. De audit functie kan intern gepositioneerd zijn of kan door externe partijen (bijvoorbeeld een extern accountant) ingevuld worden. Voor alle duidelijkheid, de inrichtingsprincipes van het “three Lines of Defence” model houden niet in dat voor iedere “Line of Defence” een aparte afdeling ingericht wordt. Het gaat erom dat de betreffende functies c.q. rollen onafhankelijk van elkaar zijn belegd binnen de organisatie (bijvoorbeeld bij een afdeling Finance & Control), of daarbuiten (bijvoorbeeld de audit functie).
cultuur heerst om risico’s bespreekbaar te maken. Niets is dodelijker voor goed risicomanagement dan een cultuur waarin het benoemen van risico’s en fouten in de organisatie afgestraft wordt. Het is daarom bijvoorbeeld van belang dat in de eerste verdedigingslinie, bij het lijnmanagement en medewerkers, ruimte is om risico’s te signaleren en daarop actie te ondernemen. Het zijn juist de medewerkers die inhoudelijk het dichtst bij het werk betrokken zijn, waardoor zij beter dan wie dan ook in staat zijn om risico’s in de operationele processen te onderkennen. Conclusie In dit tweede deel van het drieluik over risicomanagement bij woningcorporaties hebben wij het belang van een goed uitgewerkte risicostrategie en risicobereidheid toegelicht. De risicostrategie van een organisatie gaat hand in hand met de algemene bedrijfsstrategie en moet die bedrijfsstrategie ondersteunen. De risicobereidheid geeft vervolgens invulling aan de aard en omvang van de risico’s die de corporatie bereid is aan te gaan om haar doelstellingen te bereiken. De organisatie van de corporatie moet erop ingericht zijn om de risicostrategie tot uitvoering te brengen. We zijn in dit artikel ingegaan op een veelgebruikt inrichtingsprincipe voor risicomanagement: het “three lines of defence” model. Vervolg In het laatste artikel van dit drieluik komen het risicomanagement proces en daarin veel gehanteerde methoden en technieken aan bod. Het laatste deel zal tezamen met dit en het vorige deel een compleet beeld geven van het model voor de inrichting van risicomanagement dat wij veelvuldig gebruiken in de advisering naar onze klanten.
Op ieder van de drie verdedigingslinies moet voldoende kennis en kunde aanwezig zijn om de verantwoordelijkheid op het gebied van risicomanagement goed in te vullen. Maar misschien nog wel belangrijker is dat er een open
ACCENT ORGANISATIE ADVIES, OKTOBER 2014
5
INTEGRAAL
RISICOMANAGEMENT VOOR WONINGCORPORATIES
ACCENT ORGANISATIE ADVIES
Accent Organisatie Advies voert adviesopdrachten uit op het gebied Operational Excellence, Risicomanagement en Financieel Performance Management. Centraal in onze aanpak staat het duurzaam verbeteren van het rendement, door m iddel van efficiency verbetering, kostenreductie en risicobeheersingsprogramma's. De adviseurs van Accent Organisatie Advies zijn ervaren adviseurs uit de praktijk en helpen u het beste uit uw organisatie te halen. Wij doen dat op een praktische, betrokken en interactieve manier. Bij onze aanpak spelen de medewerkers in de organisatie een belangrijke rol en besteden wij ook aandacht aan gedrag en cultuur.
Disclaimer Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand en/of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier zonder voorafgaande schriftelijke toestemming van Accent Organisatie Advies.
ACCENT ORGANISATIE ADVIES, OKTOBER 2014
6
