www.pwc.nl
Woningcorporatierisico’s in beeld In-controlverantwoording door woningcorporaties
18 januari 2011
Bij PwC in Nederland werken ruim 4.500 mensen met elkaar samen vanuit 12 vestigingen en drie verschillende invalshoeken: Assurance, Tax & HRS en Advisory. We leveren sectorspecifieke diensten en zoeken verrassende oplossingen, niet alleen voor nationale en internationale ondernemingen, maar ook voor overheden en maatschappelijke organisaties.
Introductie Woningcorporaties moeten rapporteren over de organisatiebrede risico’s die ze lopen en de wijze waarop ze die risico’s beheersen. De verplichting daartoe bestaat sinds 2007, maar de monitoringcommissie Governancecode Woningcorporaties constateert echter in haar tussenrapportage (februari 2010) dat woningcorporaties moeite hebben met een goede invulling van die verplichting. Dit terwijl de corporatiesector in het algemeen en de risico’s die door corporaties worden gelopen in het bijzonder, in de schijnwerpers staan van de politiek, media en andere belanghebbenden. Uit de, door die monitoringcommissie, gehouden rondetafelconferenties blijkt tevens dat de huidige invulling van de Governancecode Woningcorporaties op het terrein van risicomanagement als een belangrijke lacune wordt ervaren. De code bevat weliswaar passages over interne risicobeheersing, maar dat dit door veel deelnemers van de rondetafels als ‘te summier’ wordt ervaren, aldus het rapport monitoringcommissie. Het in deze publicatie beschreven raamwerk geeft bestuurders en interne toezichthouders praktische handvatten voor het opstellen van een heldere in-controlverantwoording (risicoparagraaf ) in het jaarverslag en voor de interne verslaglegging over risico’s en risicomanagement door de Raad van Bestuur aan de Raad van Commissarissen. Wij hopen dat deze handvatten niet alleen de bestuurders en de commissarissen, maar ook gebruikers, accountants en externe toezichthouders een concreet en praktisch houvast geven om de komende periode de interne en externe verslaglegging over risico’s en risicomanagement in corporaties verder te verbeteren en de dialoog over risicoverslaglegging door woningcorporaties zal stimuleren.
PricewaterhouseCoopers Accountants N.V. Jos de Groot Michel Bakker
PricewaterhouseCoopers Accountants N.V., Thomas R. Malthusstraat 5, 1066 JR Amsterdam, Postbus 90357, 1006 BJ Amsterdam, T. 088 792 00 20, F. 088 792 96 40, www.pwc.nl
PwC is het handelsmerk van onder meer de volgende vennootschappen: PricewaterhouseCoopers Accountants N.V. (KvK 34180285), PricewaterhouseCoopers Belastingadviseurs N.V. (KvK 34180284), PricewaterhouseCoopers Advisory N.V. (KvK 34180287) en PricewaterhouseCoopers B.V. (KvK 34180289). Op diensten verleend door deze vennootschappen zijn algemene voorwaarden van toepassing, waarin onder meer aansprakelijkheidsvoorwaarden zijn opgenomen. Deze algemene voorwaarden zijn gedeponeerd bij de Kamer van Koophandel te Amsterdam en ook in te zien op www.pwc.nl.
Inhoud
2
PwC
1.
Risicoverslaglegging in de schijnwerpers
3
2.
Woningcorporatierisico’s onder een vergrootglas
4
3.
Transparant zijn over risico’s en in-control
5
4.
Praktische handvatten voor de risicoparagraaf
6
5.
Interne risicoverslaglegging minstens zo belangrijk
9
6.
Risicoverslaglegging woningcorporaties in de kinderschoenen
10
7.
Conclusie
13
1. Risicoverslaglegging in de schijnwerpers Woningcorporaties die de Aedescode onderschrijven, moeten sinds 2007 in het jaarverslag rapporteren over de risico’s die ze lopen en de wijze waarop de corporatie in control is. Deze verplichting vloeit voort uit de Aedescode en specifiek de Governancecode Woningcorporaties die vanaf dat moment van kracht zijn. Op grond van de governance code moeten woningcorporaties in hun jaarverslag een hoofdstuk wijden aan de hoofdlijnen van de governance structuur van de woningcorporatie en aan de naleving van de governance code, waarbij eventuele afwijkingen van de bepalingen in de code worden verklaard. Ten aanzien van risicobeheersing is in de code bepaald dat een woningcorporatie een adequaat intern risicobeheersing- en controlesysteem moet hebben ingericht en dat in het jaarverslag inzicht wordt gegeven in deze systemen en de werking ervan.
De Monitoringcommissie Governancecode Woningcorporaties constateert in haar tussenrapportage Naar verdieping en verbreding van goed bestuur (februari 2010) onder meer dat slechts iets meer dan de helft van de corporaties (61%) een risicobeheersings- en controlesysteem hanteert. Een groot deel van de interne toezichthouders (35%) blijkt geen inzicht te hebben in de wijze waarop de risicobeheersing plaatsvindt. Van de RvC voorzitters geeft 65% aan dat zij het bestuur periodiek vragen naar een inventarisatie van alle actuele risico’s en dat zij inzicht hebben in de wijze waarop de risicobeheersing plaatsvindt. Bij kleine corporaties geldt dat voor de helft. Van die RvC’s geeft bijna 40% aan dat er door hun corporatie geen of nog geen risicobeheersings- en controlesysteem gehanteerd wordt. Risicoverslaglegging door woningcorporaties staat dus nog in de kinderschoenen. Toezien op, en verantwoording afleggen over risico’s staat niet alleen in de commerciële sector maar inmiddels ook in de publieke sector steeds meer in de schijnwerpers, dit komt overigens niet alleen door de nieuwe verslaggevingeisen. Immers, ook de volkshuisvestingsector ontkomt niet aan de gevolgen van de kredietcrisis: een maatschappij die steeds meer risico-avers lijkt te worden en vraagtekens die in de publieke opinie en politiek worden gezet bij het functioneren van de governance, inclusief het toezicht daarop.
Interne toezichthouders en raden van bestuur worden zowel collectief als individueel door de overheid en andere belanghebbenden (stakeholders) sneller aangesproken op hun verantwoordelijkheden. De integriteitvraagstukken rond bijvoorbeeld vastgoedtransacties uit het recente verleden vormen hierin een katalysator. Voor de meeste woningcorporaties is risicoverslaglegging een relatief nieuw fenomeen. Opstellers van jaarverslagen, bestuurders, leden van het intern toezichthoudend orgaan en andere gebruikers staan dan ook voor het zoeken van antwoorden op de volgende vragen: l Wat houdt risicoverslaglegging in het jaarverslag in? l Wat zijn de formele, wettelijke eisen die worden gesteld aan de risicoparagraaf in het jaarverslag? Welke praktische handvatten zijn er om een risicoparagraaf op te stellen? Deze vragen en de antwoorden erop staan centraal in deze publicatie.
Volkshuisvestingrisico's in beeld
3
2. Woningcorporatierisico’s onder een vergrootglas De externe verantwoording en verslaggeving over risico’s en risicomanagement, kortweg risicoverslaglegging, staat in zowel de commerciële als de publieke sector in de schijnwerpers door corporategoverancevoorschriften en door een groeiende vraag van belanghebbenden naar meer transparantie over de strategische doelstellingen, bedrijfsrisico’s, de risicohouding en interne beheersing. Maar wat is nu precies risicoverslaglegging of in-controlverantwoording? Regelmatig zien wij dat in de praktijk langs elkaar heen wordt gesproken, omdat het onderwerp op verschillende manieren wordt geïnterpreteerd en uitgelegd.
In onze benadering bestaat risicoverslaglegging uit drie componenten die met elkaar samenhangen:
1. Risicoprofiel Het risicoprofiel van de organisatie is een uiteenzetting van de belangrijkste operationele, strategische, financiële en wet- en regelgevingrisico’s, waaraan een organisatie blootstaat.
2. Beschrijving risicomanagementsysteem De beschrijving van het risicomanagementsysteem is de uiteenzetting van de karakteristieken van het organisatiespecifieke systeem van risicomanagement, waarmee de bedrijfsrisico’s worden beheerst.
3. In-controlverklaring De in-controlverklaring (ook wel ‘in control statement’, ICS, genoemd) is een uitspraak van de organisatieleiding over de opzet/het bestaan en/of de werking van het beschreven (deel)systeem van risicomanagement/interne beheersing en/of de betrouwbaarheid van het risicoprofiel. In figuur 1 is de samenhang tussen de drie componenten schematisch weergegeven. Deze benadering kunnen organisaties zowel in hun externe, als in hun interne verslaglegging hanteren.
Figuur 1. Componenten van rapporteren over risico’s en risicomanagement
Interne verslaggeving Externe verslaggeving
Risicoprofiel: Beschrijving voornaamste businessrisico’s
Beschrijving risicomanagementsysteem
In-controlverklaring
4
PwC
3. Transparant zijn over risico’s en in-control In het Besluit Beheer Sociale Huursector (BBSH) is bepaald dat corporaties moeten voldoen aan Titel 9 Boek 2 BW (tenzij anders voorgeschreven). Derhalve is ook artikel 391 lid 1 BW2:9 van toepassing, waarin over risicoverslaglegging het volgende is voorgeschreven: “Het jaarverslag geeft tevens een beschrijving van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd.” Het is daarmee wettelijk verplicht om een risicoprofiel met daarin de beschrijving van de voornaamste strategische, financiële, operationele en compliancerisico’s op te nemen in het jaarverslag. Voor de risico’s die verbonden zijn aan het gebruik van financiële instrumenten, gelden daarnaast specifieke transparantievereisten.
Zo stelt de raad voor de jaarverslaggeving in RJ 400 Jaarverslag dat door het hanteren van financiële instrumenten als hulpmiddelen ter afdekking van financiële risico’s, risico’s kunnen ontstaan. De rechtspersoon besteedt in het jaarverslag op grond van artikel 2:391 lid 3 BW aandacht aan de doelstellingen en het beleid op het gebied van risicobeheer, inzake het gebruik van financiële instrumenten en het beheer van deze risico’s. Hij moet onder meer aandacht besteden aan het beleid inzake de afdekking van de risico’s die verbonden zijn aan alle belangrijke soorten voorgenomen transacties.
Op 12 juni 2009 heeft de minister voor Wonen, Wijken en Integratie per brief aan de Tweede Kamer uiteengezet welke voornemens hij had inzake het woningcorporatiestelsel. Daarin is tevens opgenomen dat het voornemen bestaat om van bestuurders en interne toezichthouders verklaringen te vragen over de mate waarin zij in-control zijn. In die zin lijkt het een kwestie van tijd of dit zal ook daadwerkelijk van bestuurders en interne toezichthouders gevraagd worden.
Voorts moet de rechtspersoon aandacht besteden aan de prijs-, krediet-, liquiditeit- en kasstroomrisico’s die hij en zijn groepsmaatschappijen hebben gelopen. Ook dient de rechtspersoon volgens de governance code de aanwezige risicobeheersings- en controlesystemen te beschrijven waarmee hij zijn risico’s beheerst. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en in hoeverre een en ander met het, indien aanwezig, toezicht belaste orgaan is besproken. In 2008 is de Nederlandse Code Corporate Governance, zoals die voor beursgenoteerde naamloze vennootschappen geldt, geactualiseerd. Hierin staat dat beursgenoteerde ondernemingen, naast het risicoprofiel en de beschrijving van het risicomanagementsysteem, tevens een in-controlverklaring moeten opnemen over de effectieve werking van de interne beheersingsmaatregelen rondom de financiële verslagleggingrisico’s. Een dergelijke bepaling komt (nog) niet terug in de governance code zoals die nu van toepassing is voor de woningcorporaties.
Figuur 2 bevat een samenvatting van de van toepassing zijnde wet- en regelgeving op elk element van de risicoparagraaf en het spectrum van risico’s waarop de verslaglegging betrekking heeft. Er zijn naast bovenstaande wet- en regelgeving geen specifieke voorschriften of richtlijnen over de nadere inhoud en vorm van de risicoparagraaf. Dat stelt opstellers dus voor een uitdaging. Daarom beschrijven we in deze publicatie een aantal praktische handvatten voor het opstellen van de risicoparagraaf.
Figuur 2. Samenvatting van regelgeving en spectrum van risico’s ‘Accounting for risks’ Componenten in het jaarverslag van woningcorporaties
Risicocategorie Financieel
Operationeel
Compliance
Strategisch
Risicoprofiel
BW II Titel 9 [art. 391-1 + 391-3] (via BBSH [art. 26 lid 1] en RJ 645)
Beschrijving risicomanagementsysteem
Governance Code Woningcorporaties Best practise 11. 1.5 (en bp 11.1.4)
NL Code Corporate Governance
In-control verklaring (ICS) Conclusive Design en/of Operating Effectiveness van Internal Controls
PoT
PiT
SOx 404
Volkshuisvestingrisico's in beeld
5
4. Praktische handvatten voor de risicoparagraaf De regels voor woningcorporaties zijn helder, de praktijk staat nog in de kinderschoenen. Om opstellers van jaarverslagen in de volkshuisvestingsector meer houvast te geven, worden hierna in deze publicatie nadere handvatten gegeven over de elementen die de organisatie in de risicoparagraaf kan opnemen. Het zijn attentiepunten die zij kan opnemen; daarbij moet de stijl van de risicoparagraaf vooral passen in de sfeer en stijl van het gehele jaarverslag van de corporatie.
6
Risicoparagraaf deel 1: Het risicoprofiel Het risicoprofiel geeft inzicht in de belangrijkste risico’s waarmee de organisatie geconfronteerd wordt en de wijze waarop de organisatie reageert op die risico’s. Dat hoeft overigens niet per definitie te betekenen dat alle risico’s beheerst worden c.q. kunnen worden. Ondernemen is namelijk risico’s nemen; het gaat erom dat de organisatie transparant is over het risicoprofiel. Aangezien risico’s verschillende betekenissen hebben voor verschillende mensen in verschillende landen op verschillende momenten, is het belangrijk dat ze helder geformuleerd
worden. Het is daarbij de kunst het risicoprofiel te beperken tot de belangrijkste risico’s – daar hebben gebruikers behoefte aan – en niet te laten verworden tot lange opsommingen van alle potentiële risico’s. Hierna is een praktische lijst van mogelijke elementen (richtpunten) opgenomen voor de inhoud van het risicoprofiel in het jaarverslag. De lijst is gebaseerd op een mix van elementen ontleend aan de literatuur en de eigen praktijkervaring in het adviseren van organisaties over risicoverslaggeving.
1
Presenteer een breed, evenwichtig beeld
2
Wees specifiek in plaats van Wees bedrijf- en branchespecifiek en houd rekening met de specifieke regelgeving die van generiek toepassing is.
3
Minder is meer
Richt u op de voornaamste risico’s voor de organisatie in plaats van alleen een lange lijst van alle mogelijke risico’s te maken en probeer een prioriteitenvolgorde aan te geven.
4
‘No risk no fun’ (‘risk appetite’)
Maak duidelijk wat de risicobereidheid van de organisatie is, omdat dit de toon zet voor de genomen risico’s en gekozen reactie op elk risico.
5
Strategie zet de toon voor risico’s
Verbind de risico’s aan de strategische doelstellingen van de organisatie, omdat de strategie beeldbepalend is voor de risico’s die een organisatie tegenkomt en neemt.
6
Oorzaak en gevolg komen altijd samen
Beschrijf voor elk risico welke impact dit kan hebben op de resultaten, reputatie, liquiditeit, strategie en/of andere doelstellingen.
7
Getallen doen ertoe (‘numbers count’)
Kwantificeer, bijvoorbeeld in de vorm van gevoeligheidsanalyses, de gevolgen van bepaalde risico’s indien dat gebruikelijk en/of mogelijk is in uw branche.
8
Benadruk de reactie op het risico
Beschrijf voor elk risico hoe het wordt beheerst, verminderd, overgedragen of geaccepteerd.
9
Er is meer dan alleen het risicoprofiel
Probeer het risicoprofiel te integreren met de andere elementen van de risicoverslaggeving, te weten de beschrijving van het risicomanagementsysteem en – indien van toepassing – de in-controlverklaring.
10
Wees up-to-date
Zorg ervoor dat u een actueel risicoprofiel laat zien. De economische, sociale en politieke omgeving verandert immers nu zo snel. Zorg er ook voor dat het risicoprofiel in het jaarverslag volledig is afgestemd op het meest actuele risicoprofiel dat intern gebruikt wordt.
11
Accepteer dat sommige dingen fout gaan
Het maakt niet uit hoe goed een intern beheersingsysteem is ontworpen; er zullen altijd verstoringen optreden. Wees dus transparant over de belangrijke interne beheersingkwesties en de maatregelen die het management genomen heeft om deze kwesties aan te pakken.
12
Gebruik eenvoudige en heldere taal
Schrijf op een toegankelijke wijze die lezers goed kunnen begrijpen.
PwC
Bedek het volledige spectrum van strategische, operationele, financiële, compliance- en financiële verslagleggingrisico’s. Zorg voor een evenwichtig inzicht in elke van deze risicocategorieën en besteed aandacht aan zowel externe als interne risico’s.
Risicoparagraaf deel 2: De beschrijving van het risicomanagementsysteem Het tweede deel van de risicoparagraaf bestaat uit de beschrijving van het organisatiespecifieke business-controlraamwerk waarmee de organisatie haar belangrijke risico’s beheerst. Het preciseren van dat raamwerk is juist van belang omdat risicomanagement vele
verschijningsvormen en stadia van volwassenheid kent. Bovendien wordt het risicomanagement toegesneden op de strategie, structuur en cultuur van een organisatie. De praktische lijst hieronder geeft mogelijke elementen (richtpunten) voor de inhoud en de beschrijving van de risicomanagementsystemen in het jaarverslag.
1
Definieer de doelstellingen Neem een definitie en de doelstellingen (reikwijdte) van het risicomanagementsysteem op. van risicomanagement Maak expliciet welke soorten risico’s (strategisch, operationeel, financieel, compliance, verslaglegging) worden beheerst met het risicomanagementsysteem.
2
‘No risk no fun’ (‘risk appetite’)
Benoem de risicohouding van de organisatie omdat die de toon zet voor de soort beheersingsmaatregelen die getroffen zijn.
3
Maak verantwoordelijkheden duidelijk
Zet uiteen wie welke verantwoordelijkheden heeftvoor interne beheersing en risicomanagement.
4
Niet alles is zeker
Maak expliciet dat het systeem een redelijke mate van zekerheid kan geven en dus niet de ‘absolute assurance’ betekent.
5
Referentiekader mag niet ontbreken
Benoem het (organisatiespecifieke) referentiekader met criteria, al dan niet ontleend aan of in overeenstemming met een algemeen geaccepteerd kader (zoals COSO Integrated Internal Control Framework of COSO Enterprise Risk Management, maar ook kwaliteitmodellen als ISO, IN K of EFQM).
6
Articuleer de verschillende bouwstenen van het systeem
Neem een uiteenzetting op van de belangrijkste bouwstenen van het business-controlraamwerk, zoals de planning & controlcyclus, gedragscodes, committee’s, periodieke business risk assessments.
7
Maak aantoonbaar hoe men weet dat het werkt
Benoem het evaluatieproces (inclusief methoden en technieken) voor de beoordeling van het risicomanagementsysteem, bijvoorbeeld programma’s van risk & control self assessments, operational en compliance audits.
8
Accepteer dat sommige dingen soms fout gaan
Beschrijf de geconstateerde belangrijke en/of materiële tekortkomingen en de genomen acties ter verbetering.
9
Toezicht kan niet ontbreken
Vermeld dat de uitkomsten van beoordeling van de effectieve werking van het systeem zijn besproken met de auditcommissie en/of de gehele Raad van Toezicht.
10
Erken de inherente beperkingen
Benoem de inherente beperkingen die verbonden zijn aan de systemen van risicomanagement zoals het niet kunnen voorkomen van alle materiële fouten en fraude als gevolg van samenspanning, kosten-batenafwegingen, ‘verleden geen garantie voor de toekomst’.
11
Niets staat stil
Beschrijf de eventueel belangrijke aangebrachte of geplande verbeteringen of aanpassingen in het systeem van risicomanagement.
12
Gebruik eenvoudige en heldere taal
Schrijf op een toegankelijke wijze die lezers goed kunnen begrijpen.
Volkshuisvestingrisico's in beeld
7
Risicoparagraaf deel 3: De in-controlverklaring In de regelgeving in de volkshuisvestingsector is, zoals eerder aangegeven, in tegenstelling tot de Code Corporate Governance zoals die voor beursgenoteerde ondernemingen geldt, niet voorzien in de verplichting tot het opnemen van een in-controlverklaring. Indien een corporatie toch kiest om een in-controlverklaring op te nemen (een conclusie over de opzet, het bestaan en eventueel de werking van een (deel) systeem van risicomanagement), is de afbakening van de reikwijdte van die verklaring, naast de juiste bewoordingen, een van de meest fundamentele keuzes. De reikwijdte kan worden getypeerd langs drie dimensies: 1. de soort risico’s: strategische, operationele, financiële, verslaggeving en/of wet- en regelgevingrisico’s; 2. een conclusie over de effectiviteit van de opzet of het bestaan en/of de werking van het (deel)systeem van risicomanagement; 3. de tijdsperiode of het tijdstip waarop de conclusie betrekking heeft. In een in-controlverklaring komen de volgende elementen aan de orde: l het object: het systeem van risicomanagement of interne beheersing in zijn geheel of binnen specifieke bedrijfsprocessen; l de doelstellingen/reikwijdte in termen van: l risicomanagement waarover een effectiviteitconclusie wordt gegeven, bijvoorbeeld een betrouwbare financiële verslaggeving, compliance met wet- en regelgeving; l opzet of bestaan en/of werking van het systeem van risicomanagement; l de verantwoordelijkheden voor het systeem van risicomanagement; l het referentiekader of de referentiecriteria: een referentie aan het beschreven organisatiespecifieke business-controlraamwerk en eventueel criteria die opgenomen zijn in een algemeen extern referentiemodel zoals COSO Integrated Internal Control Framework; 8
PwC
l
l
l
l
l
l
l
het evaluatieproces, eventueel met de vermelding dat de evaluatie van de opzet of het bestaan en de werking uitgevoerd is op basis van externe spelregels dan wel interne spelregels; de eventueel geconstateerde materiële en/of belangrijke tekortkomingen en genomen verbeteracties; de inherente beperkingen die verbonden zijn aan interne beheersing (zoals samenspanning, fraude, geen garantie over toekomstige werking); de mate van zekerheid die wordt verschaft, bijvoorbeeld ‘reasonable assurance’; de conclusie over de effectieve opzet of het effectieve bestaan en/of de werking op enig moment dan wel gedurende een bepaalde periode en in relatie tot de gekozen doelstelling; de inherente beperkingen verbonden aan interne beheersing; en eventueel een afzonderlijke ondertekening en datering.
Wanneer de corporatie materiële of belangrijke tekortkomingen heeft, dan evalueert zij tevens wat de invloed hiervan is op de overall effectiviteitconclusie en de formulering daarvan. Zij kan verschillende formuleringen gebruiken, bijvoorbeeld: ‘alles is goed, met uitzondering van …’ of ‘het systeem is niet effectief want er is sprake van …’. Gezien de potentiële juridische consequenties (inclusief bestuurdersaansprakelijkheid) van de risicoparagraaf en de in-controlverklaring in het bijzonder, is betrokkenheid van de jurist bij de totstandkoming van de tekst voor het jaarverslag essentieel.
5. Interne risicoverslaglegging minstens zo belangrijk Het hiervoor besproken stramien is zoals eerder gesteld ook bruikbaar voor de interne verslaggeving over risico’s en risicomanagement. Die interne risicoverslaglegging is minstens zo belangrijk als de externe risico verslaglegging. Dit vloeit mede voort uit best practice bepaling III.1.7 in de Governancecode Woningcorporaties. Die best practice bepaling stelt dat het toezicht van de Raad van Commissarissen op het bestuur omvat in ieder geval (a) de realisatie van de doelstellingen van de woningcorporatie, (b) de strategie en de risico’s verbonden aan de activiteiten van de woningcorporatie en (c) de opzet en de werking van de interne risicobeheersing- en controlesystemen.
10 kernvragen voor commissarissen
Hiernaast zijn 10 vragen opgenomen die leden van de Raad van Commissarissen kunnen stellen over het risicoprofiel in het jaarverslag in het kader van de zojuist omschreven toezichthoudende taak.
1
Is het opgenomen risicoprofiel in het jaarverslag in overeenstemming met de informatie die eerder door de Raad van Bestuur is gepresenteerd en met ons is besproken in het kader van onze reguliere taakuitoefening als commissarissen?
2
Voldoet het risicoprofiel aan de van toepassing zijnde wettelijke informatieverplichtingen?
3
Zijn er toereikende informatiesystemen en interne beheersingmaatregelen die een betrouwbare risicoverslaglegging waarborgen?
4
Zijn we tevreden met de uitleg van de Raad van Bestuur over de criteria om bepaalde risico-informatie wel en niet te verstrekken in het jaarverslag, en stelt het jaarverslag de voornaamste bedrijfsrisico’s aan de orde, evenals de mogelijke gevolgen en de wijze hoe met deze risico’s wordt omgegaan?
5
Heeft de Raad van Bestuur in het jaarverslag risico-informatie uit het risicoprofiel weggelaten met het oog op de concurrentie of andere bedreigingen, en zo ja, kunnen wij ons als commissarissen vinden in het niet opnemen van die specifieke informatie?
6
Welke feedback is ontvangen van belangrijke stakeholders over de toereikendheid van de risicoverslaggeving van de onderneming?
7
Heeft de onderneming opmerkingen ontvangen van toezichthouders over de toereikendheid van de risicoverslaggeving?
8
Welke opmerkingen heeft de eigen juridisch adviseur (‘legal counsel’) gemaakt over de risicoverslaggeving en wat heeft de onderneming met deze opmerkingen gedaan?
9
Welke eventuele opmerkingen hebben de externe accountants over de risicoverslaggeving?
10 Is het risicoprofiel in duidelijke, eenvoudige taal geschreven?
In de praktijk verwachten interne toezichthouders en de leden van een auditcommissie in het bijzonder, in toenemende mate een duidelijke, compacte, concrete rapportage en verantwoording van de Raad van Bestuur over de risico’s en de beheersing daarvan. Visuele rapportageformats in de vorm van ‘risicoprofielen’, inclusief de ontwikkeling daarvan in de tijd, aangevuld met een in-controlverklaring over de uitkomsten van de uitgevoerde beoordeling van de effectieve werking, maken de vorm van risicoverslaglegging tastbaarder en beter bruikbaar. Daarbij is het tevens van belang dat compact kan worden toegelicht op basis van welke bronnen het bestuur voldoende comfort (zekerheid) heeft verkregen om het juiste risicoprofiel te presenteren en te onderbouwen waarom in haar optiek de organisatie in-control is. Rapporteren over risico’s is een van de
instrumenten om risicomanagement blijvend te verankeren op diverse niveaus in de organisatie, bij voorkeur als onderdeel van de reguliere planning & controlcyclus. De juridische en bestuurdersaansprakelijkheidsrisico’s en de concurrentiegevoeligheid van informatie is in de interne verslaggeving beperkter dan in de externe verslaggeving. Ook is de interne verslaggeving er vooral op gericht verbeteracties te identificeren en te bewaken. De reikwijdte (breedte en diepgang) van de interne risicoverslaggeving is breder of minimaal gelijk aan de risicoparagraaf in het jaarverslag. Ook op lagere organisatieniveaus is het besproken stramien toepasbaar. Voor risicoverslaggeving geldt ‘different accounting for different purposes’.
Volkshuisvestingrisico's in beeld
9
6. Risicoverslaglegging woningcorporaties in de kinderschoenen Voor het boekjaar 2009 hebben wij van de top 25 woningcorporaties (met ieder meer dan 18.500 verhuureenheden) de jaarverslagen beoordeeld op bovenstaande componenten. Daarmee is bijna 1 miljoen van de 2,4 miljoen verhuureenheden in de sector betrokken in het onderzoek.
De overall conclusie is dat woningcorporaties onvoldoende aandacht besteden aan een beschrijving van het risicoprofiel en aan de beschrijving van hun risicomanagement systeem. De verschillen zijn erg groot; er zijn corporaties die het op specifieke elementen uitstekend doen maar er zijn ook corporaties die geen aandacht besteden aan risico’s en risicomanagement. Er zijn zes corporaties van de 25 die een in-controlverklaring hebben opgenomen. De risicoparagraaf in de jaarverslagen zijn kwalitatief beoordeeld per relevant element en geclassificeerd in een vijftal categorieën. Indien een organisatie
volledige invulling geeft aan het informatie element, scoort die organisatie een 5, indien de organisatie het betreffende element niet benoemd in de risicoparagraaf, dan levert dat een score van 1 op. In de onderstaande tabellen zijn de gemiddelde scores weergegeven per informatie-element van het risicoprofiel en van de beschrijving van het risicomanagement.
Risicoprofiel In onderstaande tabellen zijn de gemiddelde scores van de 25 corporaties op het gebied van de beschrijving van het risicoprofiel opgenomen.
Risicoprofiel
Waarde uit onderzoek jaarverslag 2009
1
Presenteer een breed, evenwichtig beeld
«««
2
Wees specifiek in plaats van generiek
«««
3
Minder is meer
4
‘No risk no fun’ (‘risk appetite’)
«
5
Strategie zet de toon voor risico’s
«
6
Oorzaak en gevolg komen altijd samen
««
7
Getallen doen ertoe (‘numbers count’)
«
8
Benadruk de reactie op het risico
««
9
Er is meer nodig dan alleen het risicoprofiel
««
10 Wees up-to-date 11 Accepteer dat sommige dingen fout gaan 12 Gebruik eenvoudige en heldere taal
««
««« «« «««
Kijkend naar de beschrijving van het risicoprofiel valt op dat de corporaties nog het beste scoren op het element van het geven van een gebalanceerd beeld van de risico’s waarmee de corporatie wordt geconfronteerd. Daarbij wordt (voor zover mogelijk) redelijk helder geformuleerd. Elementen die laag scoren zijn de beschrijving van de risk appetite van de organisatie en de relatie van de risico’s met strategische doelstellingen. De kwantificering van risico’s blijkt in de praktijk erg lastig en het gebeurt dan ook zelden. En de specifieke beheersing per geïdentificeerde risico wordt eveneens beperkt toegelicht.
10
PwC
Onderstaand overzicht ziet op de risicosoorten die door de onderzochte woningcorporaties in 2009 zijn gerapporteerd. Risicoclassificatie
Voornaamste risicogebieden
Financieel
Renterisico Financiering Verkoop vastgoed
Operationeel
Huurderving Projectkosten risico ICT risico Beschikbaarheid kwalitatief personeel
Strategisch
Kwaliteit management Reputatieschade Deelnemingen en samenwerkingen Maatschappelijk
Compliance
Veranderende regelgeving Fiscaliteit
Beschrijving risicomanagementsysteem De beschrijving van het risicomanagementsysteem blijkt in 2009 voor de meeste corporaties nog ‘een brug te ver’ te zijn. De doelstellingen en verantwoordelijkheden worden deels nog wel benoemd. Maar elementen als een referentiekader, de bouwstenen van het systeem, benoeming van onzekerheden, de beoordeling van de effectieve werking ervan, en een erkenning van inherente beperkingen komen meestal niet aan bod, goede uitzonderingen daargelaten. Beschrijving risicomanagementsysteem
Waarde uit onderzoek jaarverslag 2009 «««
1
Definieer de doelstellingen van risicomanagement
2
‘No risk no fun’ (‘risk appetite’)
3
Maak verantwoordelijkheden duidelijk
4
Niet alles is zeker
5
Referentiekader mag niet ontbreken
6
Articuleer de verschillende bouwstenen van het systeem
««
7
Maak aantoonbaar hoe men weet dat het werkt
««
8
Accepteer dat sommige dingen soms fout gaan
«
9
Toezicht kan niet ontbreken
«
10
Erken de inherente beperkingen
«
11
Niets staat stil
12
Gebruik eenvoudige en heldere taal
« ««« «« «
«« «««
Volkshuisvestingrisico's in beeld
11
In-controlverklaring Opvallend is dat zes organisaties vrijwillig een in-controlverklaring afgeven; de code schrijft dit namelijk niet voor. Deze zes in-controlverklaringen kennen allemaal een brede reikwijdte doordat ze impliciet (1 geval) dan wel expliciet (5 gevallen) betrekking hebben op zowel de beheersing van de operationele risico’s, financiële risico’s, compliance risico’s als de financiële verslagleggingsrisico’s. Hiermee gaan de corporaties die een in-controlverklaring toepassen verder dan hetgeen gebruikelijk is bij Nederlandse beursgenoteerde ondernemingen. Die verstrekken conform de Nederlandse Code Corporate Governance - doorgaans uitsluitend een in-controlverklaring over de beheersing van de financiële verslagleggingsrisico’s.
In deze zogenaamde brede in-controlverklaring wordt door het bestuur van de betreffende woningcorporatie verklaard dat de interne beheersingssystemen adequaat zijn opgezet en effectief gedurende het verslagjaar hebben gewerkt en derhalve een redelijke mate van zekerheid geven dat (a) de financiële verslaglegging betrouwbaar is, (b) de organisatie heeft gehandeld in overeenstemming met de van toepassing zijnde wet- en regelgeving en (c) dat de organisatie voldoende inzicht heeft in de mate waarin de operationele, volkshuisvestelijke en financiële doelstellingen zijn gerealiseerd. Een aantal woningcorporaties voegt daar tevens aan toe dat er geen risico’s zijn gelopen die in tegenspraak zijn met het vooraf gedefinieerde en goedgekeurde beleid.
Figuur 3. De in-controlverklaring van De Alliantie zoals opgenomen in het jaarverslag 2009
In 2009 hebben wij uit hoofde van onze verantwoordelijkheid voortdurend de prestaties, de beheersomgeving en de risico’s van de Alliantie geanalyseerd en beoordeeld. De aanwezigheid en effectiviteit van de geïmplementeerde systemen en interne beheersingsmaatregelen kunnen echter geen garantie bieden dat de doelstellingen van de Alliantie worden gehaald. Evenmin kunnen de geïmplementeerde systemen en interne beheersingsmaatregelen de garantie bieden dat menselijke fouten, onvoorziene omstandigheden, materieel onjuiste verklaringen, verlies, fraude en schending van wetten en voorschriften volledig worden voorkomen. De genoemde systemen voor interne risicobeheersing en controle hierop zijn naar opzet en werking geëvalueerd. Uitgaande van het hierboven geschetste risicoprofiel en de opzet en werking van de hierop afgestemde interne beheersingsmaatregelen, en rekening houdend met de genoemde beperkingen, die inherent zijn aan het systeem van interne beheersing, zijn wij van oordeel dat de interne risicobeheersings- en controlemaatregelen een basis vormen om met een redelijke mate van zekerheid te kunnen verklaren dat: l wij voldoende inzicht hebben in de mate waarin de operationele volkshuisvestelijke en financiële doelstellingen van de Alliantie zijn gerealiseerd; l de Alliantie zich houdt aan de geldende wet- en r egelgeving; l de interne- en externe financiële rapportages van de Alliantie betrouwbaar zijn; l geen risico’s zijn gelopen die in tegenspraak waren met het vooraf gedefinieerde en goedgekeurde beleid.
12
PwC
7. Conclusie Risicoverslaglegging (ook wel in-controlverantwoording genoemd) staat bij woningcorporaties door veranderingen in risicobeleving in de maatschappij, door de discussie over toezicht en door de gewijzigde wetgeving steeds meer in de schijnwerpers. Bij risicoverslaggeving gaat het om de samenhang van (a) het risicoprofiel, (b) de beschrijving van het risicomanagementsysteem en (c) de eventuele in-controlverklaring. Zowel de wet (Titel 9 Boek 2 BW) als de Governancecode Woningcorporaties hebben vereisten over risicoverslaglegging opgenomen.
In haar tussenrapportage stelt de monitoringcommissie Governancecode Woningcorporaties (februari 2010) dat woningcorporaties moeite hebben met de rapportage over de organisatiebrede risico’s en de wijze waarop ze die risico’s beheersen. Dit beeld wordt bevestigd in het in deze publicatie besproken PwC benchmark onderzoek naar de risicoparaaf in de jaarverslagen 2009 van 25 woningcorporaties. Weliswaar benoemt een redelijk aantal corporaties in hun risicoprofiel zowel strategische, operationele, financiële als compliance risico’s, maar vervolgens wordt slechts in een beperkt aantal geval per risico expliciet gemaakt hoe dat betreffende risico wordt beheerst. Ook blijven de relatie tussen de risico’s en de strategische doelstellingen en de ‘risk appetite’ sterk onderbelicht. In meeste gevallen is het in de beschrijving van het risicomanagementsysteem zoeken naar de belangrijkste kenmerken van dat systeem, het gehanteerde referentiekader ervoor en de wijze waarop de effectieve werking van die systemen wordt beoordeeld. Opvallend is wel dat, hoewel de Governancecode Woningcorporaties dit niet voorschrijft, zes woningcorporaties een zogenaamde In-controlverklaring afgeven.
Omdat risicoverslaglegging door woningcorporaties dus nog in de kinderschoenen staat, worden in deze publicatie praktische handvatten aangedragen die gebruikt kunnen worden bij het opstellen en beoordelen van de risicoparagraaf in zowel de interne als externe verslaglegging. De beschreven handvatten voor de risicoparagraaf in het jaarverslag – bestaande uit het risicoprofiel, de beschrijving van het risicomanagementsysteem en de eventuele in-controlverklaring – helpen opstellers in het aanscherpen van de risicoparagraaf in het jaarverslag. Dit alles met als doel de belanghebbenden transparant en concreet te informeren over de ondernemingsrisico’s, de risicohouding en de wijze waarop de organisatie met die risico’s omgaat. Het is daarbij wel de kunst om in een tijd waarin we de lengte van jaarverslagen en jaarrekeningen alleen maar zien toenemen, niet te vervallen in pagina’s met lange beschouwingen en beschrijvingen. Woningcorporaties moeten de risicoparagraaf concreet, duidelijk en compact houden. De aandacht voor risicoverslaglegging door woningcorporaties zal de komende periode naar onze overtuiging alleen maar toenemen. Het is een onderwerp dat de komende tijd veel vaker op de agenda zal staan van onder meer het intern toezichthoudend orgaan, de Raad van Bestuur, financieel directeur, controller en bedrijfsjurist.
Volkshuisvestingrisico's in beeld
13
Auteurs l drs. Jos de Groot RA CIA is werkzaam als director in de Assurance-praktijk van PwC l drs. Michel Bakker RA is werkzaam als senior manager in de Assurance-praktijk van PwC Onderzoekassistenten l Vincent Fackeldey l Anjani Rasoelbaks-Sampat Literatuur l De Groot, J.I.(2010), Op weg naar een raamwerk voor risicoverslaglegging, In: Tijdschrift voor jaarrekeningrecht, april. l De Groot, J.I. (2010), Helder verslagleggen bedrijfsrisico’s, In: ControllersMagazine, januari/februari l De Groot, J.I., Van Manen, J., (2009), ‘Business Risk Reporting’, In: Handbook of international corporate governance, UK Institute of Directors. l De Groot, ,J.I., (2006), ‘Accounting for risks in het jaarverslag’, In: ControllersMagazine, december. l De Groot, J.I. , Koolstra, B. (2006), ‘De In-control good practice lost slechts een deel van de puzzel op’, In: Maandblad voor Accountancy en Bedrijfseconomie (MAB), juli/augustus. l Monitoringcommissie Governancecode Woningcorporaties (2010), ‘Naar verdieping en verbreding van goed bestuur’, in: Tussenrapportage – februari 2010.
14
PwC
Contact Neem voor meer informatie over risicoverslaglegging contact op met: Risicoverslaglegging door woningcorporaties Michel Bakker
[email protected] T 088 792 54 47 Risicoverslaglegging in het algemeen en corporate governance Jos de Groot
[email protected] T 088 792 52 38 PwC dienstverlening aan woningcorporaties Gijsbert Turkenburg
[email protected] T 088 792 54 43
‘PwC’ is het merk waaronder member firms van PricewaterhouseCoopers International Limited (PwCIL) handelen en diensten verlenen. Samen vormen deze firms het wereldwijde PwC-netwerk. Elke firm in het netwerk is een afzonderlijke juridische entiteit en handelt voor eigen rekening en verantwoording en niet als vertegenwoordiger van PwCIL of enige andere member firm. PwCIL verricht zelf geen diensten voor klanten. PwCIL is niet verantwoordelijk of aansprakelijk voor het handelen of nalaten van welke van haar member firms dan ook, kan geen zeggenschap uitoefenen over hun professioneel oordeel en kan hen op geen enkele manier binden.
© 2011 PricewaterhouseCoopers Accountants N.V. (KvK 34180285). Alle rechten voorbehouden.
