Marcel Beukers (Domesta): Risicomanagement is taak van de hele organisatie

Geplaatst door CorporatieMedia op
 

Drie jaar geleden begon Domesta met het professionaliseren van haar risicomanagement. In andere woorden; ervoor zorgen dat de interne beheersing onderdeel wordt van de dagelijks praktijk. Betekent dit dat je als woningcorporatie een risico van megaproporties als de coronacrisis het hoofd kunt bieden? CorporatieGids Magazine sprak daarover met Marcel Beukers, Controller Governance & Compliance bij Domesta.

Een jaar geleden ging Nederland – met de hoop op een snelle afloop – voor het eerst in lockdown. “Die lockdown deed overal alarmbellen afgaan, ook bij Domesta,” begint Marcel het gesprek. “We zijn op dat moment direct met collega’s gaan werken aan een impact-analyse van de coronacrisis. Want we hadden – net als een groot deel van Nederland – geen rekening gehouden met een crisis van deze omvang.”

Impact-analyse
Met de impact-analyse werd in kaart gebracht wat de mogelijke scenario’s van de coronacrisis zouden zijn. “Duurt deze een paar maanden, een half jaar of zelfs langer dan een jaar? En wat is dan de impact en wat kunnen we nog wel en wat niet meer doen? Op het eerste oog zou je denken dat we veel te maken zouden krijgen met betalingsproblemen bij huurders. Echter bleek uit de eerste analyse al dat het inkomen van een groot deel van onze huurders gegarandeerd is omdat het een uitkering betreft. We hadden als corporatie vooral te maken met het niet kunnen of mogen uitvoeren van onderhoudswerkzaamheden. Nieuwbouwprojecten konden wel vaak doorgang vinden, maar regulier onderhoud is echt op een laag pitje gezet. Uitsluitend spoedreparaties zijn uitgevoerd.”

Essentie
De coronacrisis kwam op het moment dat Domesta net een professionaliseringsslag had gemaakt qua risicomanagement. Op de vraag wat de essentie is van professioneel risicomanagement, vertelt Marcel: “Dat blijft het inzichtelijk maken en structureren van wat wij doen als organisatie, en die essentie is de laatste maanden misschien wel sterker geworden. Neem bijvoorbeeld de stappen die wij nemen rondom het passend toewijzen van onze woningen. Door dit inzichtelijk te maken kunnen wij niet alleen onze toezichthouders, maar ook externe accountants gemakkelijk informeren. En omdat wij gedurende het jaar toetsen, kunnen wij ons werk spreiden. Hierdoor ervaren collega’s een lagere werklast.”

Integraliteit verbeteren
De eerste stap voor Domesta was het verbeteren van de integraliteit van risicomanagement. “Dat hebben we onder andere gedaan met de implementatie van een nieuw risicomanagementsysteem. Zo brengen we het onderwerp dichter bij collega’s en worden risico’s, processen, beheersmaatregelen en audits inzichtelijker. Hierdoor wordt de integraliteit beter zichtbaar waardoor je gemakkelijk verschillende dwarsdoorsnedes van de organisatie kunt maken. En dat helpt collega’s weer voor wie risicomanagement geen dagelijkse kost is.”

Risico’s koppelen aan processen
“Het voordeel daarvan werd onder andere goed zichtbaar toen begin vorig jaar de OOB-status – woningcorporaties met meer dan 5.000 vhe werden vanaf dat moment aangemerkt als organisaties van openbaar belang – van kracht werd,” legt Marcel uit. “De vereisten voor veel corporaties zijn sindsdien nog strenger geworden. Het belang om risicomanagement integraal aan te pakken wordt daardoor nog duidelijker. Zo krijgen de aantoonbaarheid van controles en zichtbaarheid van uitgevoerde controlewerkzaamheden veel meer aandacht. Door de risico’s daarbij te koppelen aan processen, kun je risicomanagement verder de organisatie in brengen. Het kan immers vrij abstract zijn, maar door het te koppelen aan processen maak je het beter toepasbaar in de organisatie.”

Draagvlak
Het inzichtelijk maken van risicomanagement is volgens Marcel enorm belangrijk om draagvlak te creëren. “Door de organisatie de samenhang tussen risico’s en processen te laten zien, breng je risicomanagement dichtbij. Vervolgens ga je samen aan de slag om te kijken wat er fout kan gaan en hoe je dit kunt voorkomen. Doe je dit niet, dan blijven mensen risicomanagement zien als een secundair proces. Wil je echter ruimte én aansluiting houden met de organisatie, dan moet je het zoveel mogelijk inbedden in de dagelijkse praktijk. Dit kost tijd, maar is wel nodig wanneer je die professionaliseringsslag wilt maken.”

Taak van iedereen
Dat vraagt uiteindelijk ook om een verandering in de mentaliteit van de organisatie, gaat Marcel verder. “Soms zie je dat risicomanagement wordt gezien als de taak van een controller of de manager bedrijfsvoering. Maar dan blijft het iets van een select groepje en gaat het niet leven. Voor ons houdt professioneel risicomanagement dan ook in dat alle geledingen van de organisatie hieraan meewerken. Het moet echt een taak worden van iedereen.”

Nieuwe risico’s
Inmiddels heeft Domesta de professionaliseringslag afgerond. Maar dat betekent niet dat de corporatie achterover leunt, vertelt Marcel: “Kijk bijvoorbeeld naar de opkomst van ransomware-aanvallen bij grote organisaties, zoals bij de Universiteit van Maastricht en de gemeente Hof van Twente begin 2020 of collega-corporatie Stadgenoot begin dit jaar. Het is lastig om te zeggen of corporaties net zo vatbaar zijn, maar in zijn algemeenheid zijn organisaties wel vatbaarder geworden. Waar het in het verleden nog te doen was om de waarde van bepaalde informatie, gaat het nu vaker om het gijzelen van systemen en platleggen van de bedrijfsvoering. Dit maakt de groep kwaadwillende organisaties die kunnen aanvallen veel groter. Je zult als organisatie scherp moeten zijn op het voorkomen van het binnendringen van ransomware. Ja, ook voor woningcorporaties is het een reëel risico.”

Geleerde lessen
Daarnaast zijn risico’s als de coronacrisis voedingsbodem voor nieuwe lessen. Op de vraag wat Domesta van de laatste maanden heeft geleerd, sluit Marcel af: “Wat risicomanagement soms lastig maakt, is het abstracte van sommige strategische risico’s. Zeker als je werkt aan scenario’s moet je in extremen denken, en een vaak gehoord argument is ‘maar dit komt toch nooit voor’. Dit geldt natuurlijk ook voor de crisis waar wij nu in zitten. Hoe onwaarschijnlijk ook, risico’s kunnen zich ook in extremen voordoen. Het gaat er vervolgens om hoe snel je hierop kunt inspelen. Risicomanagement helpt dus niet alleen in het beheersen van operationele risico’s, maar helpt juist ook om voor jezelf te bepalen wat je gaat doen als er iets extreems gebeurt. Als het moment dan daar is, weet je precies aan welke knoppen je moet draaien.”

Bron: CorporatieGids Magazine, Foto: Johan Bosma