De Woningwet verplicht woningcorporaties met meer dan van 2.500 verhuureenheden een onafhankelijke controlfunctie in te richten. Voor middelgrote corporaties is een separate functie vrijwel onbetaalbaar. Ter afronding van zijn tweejarige post-master Internal Auditing & Advisory aan de Erasmus Universiteit te Rotterdam onderzocht Gerard de Heide, controller bij de SOR, betaalbare en organisatorisch uitvoerbare alternatieven.
Tijdens de implementatie van de Woningwet merkte Gerard dat middelgrote woningcorporaties worstelen met de vraag hoe ze invulling moeten geven aan de onafhankelijke controlfunctie. “De hoge kosten die ermee gepaard gaan zijn onder meer de spelbreker. Ik was nieuwsgierig of en onder welke voorwaarden het mogelijk was om de functies te combineren en heb dat als afstudeeronderzoek voor mijn studie onderzocht.”
3LoD
Gerard onderzocht of met behulp van het Three Lines of Defence-model (3LoD) een oplossing gevonden kon worden voor het goed invullen van de onafhankelijke controlfunctie. “Het Three Lines of Defence-model geeft inzicht op welke wijze de uitvoerende en controlerende taken binnen een organisatie zijn ingericht en op welke wijze deze functies al dan niet samenwerken,” legt Gerard uit.
Hij licht toe: “De eerste verdedigingslinie – operationeel management – is verantwoordelijk voor de uitvoering van de beheersmaatregelen en de controle op de naleving van deze beheersmaatregelen. De tweede verdedigingslinie ondersteunt de eerste verdedigingslinie bij de bouw en controle van de eerste lijn controles met behulp van verschillende riskmanagement en compliance functies. De derde verdedigingslinie verstrekt aan het bestuur, directie en het (top)management aanvullende assurance, gebaseerd op het hoogste niveau van onafhankelijkheid en objectiviteit binnen de organisatie.”
Algemeen en specifiek
Voor het goed functioneren van het 3LoD-model moet onderscheid worden gemaakt tussen algemene en verdedigingslinie-specifieke randvoorwaarden, zegt Gerard. “De belangrijkste algemene randvoorwaarden zijn de brede gedragenheid van de bedrijfsdoelen. Maak ook dat de verschillende verdedigingslinies niet star maar juist flexibel ingericht zijn, zoals bij voetbal. Een verdediger ondersteunt soms ook de aanval. Werk samen! Deel op een effectieve wijze kennis en informatie waardoor zaken niet dubbel worden uitgevoerd. Houd de spanning tussen waarde creatie en waarde bescherming in de gaten. Ze kunnen conflicterend zijn. En last but not least: doe dingen in één keer goed.”
Risicocultuur
Een specifieke randvoorwaarde voor de eerste verdedigingslinie is de risicocultuur, licht Gerard toe. “Draag zorg voor actieve risicobeheersing in de gehele organisatie. Voor de tweede verdedigingslinie is de ‘tone at de top’ van groot belang. Om de risicobeheersing juist uit te voeren is het noodzakelijk om je niet meer alleen op interne controle maar op het gehele interne beheersingssysteem te richten – ofwel het doorlopen van het COSO-framework. Tenslotte is voor de derde verdedigingslinie van belang wie de prioritering bepaalt, of de uit te voeren activiteiten gelinkt zijn aan het risicomanagementplan en de door de internal audit opgestelde eigen risicobeoordeling en de onafhankelijke positionering. Daarnaast moet een goede verstandhouding aanwezig zijn met de eerste en tweede verdedigingslinie.”
Combineerbaar
Volgens Gerard zijn de rollen van de tweede en derde verdedigingslinie combineerbaar. “Dat kan wanneer er aan een aantal randvoorwaarden is voldaan. De belangrijkste randvoorwaarde is de noodzaak dat expliciete toestemming is afgegeven vanuit het bestuur of directie voor het verrichten van de gecombineerde werkzaamheden, vastgelegd in een reglement.”
Conclusies
Op de vraag wat de belangrijkste conclusies en aanbevelingen zijn, antwoordt Gerard: “Maak procesbeschrijvingen, inclusief risico’s en beheersmaatregelen en zorg voor de uitvoering van de controls. Daarnaast geven de geïnterviewde corporaties aan dat de kennis in de eerste verdedigingslinie verder verbeterd kan worden. In één keer goed is nog lang niet overal het geval. In de tweede verdedigingslinie ontbreekt bij meerdere corporaties de koppeling tussen de ondernemingsdoelen en het risicomanagement.”
“Risicomanagement krijgt in de tweede verdedigingslinie meer aandacht dan in de eerste verdedigingslinie,” vervolgt Gerard. “Bij de meeste woningcorporaties is de tone at the top positief, is er een actief managementsysteem en zijn de risk tolerantie, risk appetite en het risicoprofiel vastgesteld.”
Derde verdedigingslinie nog niet effectief
“Geconstateerd mag worden dat de derde verdedigingslinie nog niet effectief is. Er is geen vraag van bestuurders en raden van commissarissen voor het verlenen van assurance door de derde verdedigingslinie. Ook komt in de interviews naar voren dat de medewerkers die invulling geven aan de onafhankelijke controlfunctie geen gewijzigd functieprofiel hebben, terwijl hun werkzaamheden wel zijn aangepast. Daarnaast beschikt geen van de corporaties over een control of audit charter, waarin onder andere doel, positionering, objectiviteit en verantwoordelijkheden van de gecombineerde functie in de tweede en derde verdedigingslinie is opgenomen. Dat kan en moet dus beter.”
Wie geïnteresseerd is in het referaat van Gerard, kan een exemplaar opvragen via www.sor.nl/referaat.
Bron: CorporatieGids Magazine | Foto: Gerard de Heide en Shutterstock
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Maart 2024 - Huurderstevredenheid Inhoud Cécile Engelsma (WormerWonen): Huurderstevredenheid draagt bij aan ons bestaansrecht…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
