Risico’s zijn een onvermijdelijk gegeven in de bedrijfsvoering van een woningcorporatie. Maar hoe zorg je ervoor dat je zoveel mogelijk grip hebt op – en inzicht in – deze gevaren? CorporatieGids Magazine legde die vraag voor aan Wim Ploum, Controller en Privacy Officer bij HEEMwonen: “Voor het bereiken van je doelstellingen moet je niet alleen de risico’s in kaart hebben, maar ook de kansen.”
Wim is bij HEEMwonen zowel controller als Privacy Officer. Op de vraag of dat een situatie creëert waarbij de slager zijn eigen vlees keurt, zegt hij: “Wij opereren met twee controllers, waarvan er één is gebombardeerd tot PO. We hebben hiervoor gekozen omdat control een goed overzicht heeft over de gehele organisatie en daardoor overziet welke invloed de AVG op de bedrijfsprocessen heeft. Daarnaast is het bij een relatief kleine organisatie handig om alles op basis van functiescheiding in te richten. Tenslotte moeten we de AVG ook niet overwaarderen. Sinds de invoering van de nieuwe privacywetgeving zit de intensiteit vooral in het goed regelen van de uitwisseling van persoonsgegevens met verschillende partners. Met bestaande leveranciers is dit geregeld. De overeenkomsten en convenanten met overheden moeten we nog doen. Dat is een uitdaging, maar daarbij worden we ondersteund door Aedes. Voor onszelf is de grootste uitdaging de bewustwording van de organisatie. Hoe krijg je het ‘tussen de oren’ van de medewerkers. Daar moet continu aandacht aan gegeven worden.”
Risico’s en kansen
De essentie van risicomanagement is het realiseren van een goed en zo compleet mogelijk beeld van de risico’s die je kunnen belemmeren bij het halen van je bedrijfsdoelstellingen, begint Wim. “Het gaat dan ook niet over het elimineren van alle risico’s, maar over kennis hebben van de gevolgen hiervan. In andere woorden: het bewust leven met risico’s. Overigens praten wij liever niet over risicomanagement, maar over waardemanagement. Voor het bereiken van je doelstellingen moet je namelijk niet alleen de risico’s in kaart hebben, maar ook de kansen.”
Beter inzicht
De corporatie uit Kerkrade werkt momenteel hard aan het beter inzicht krijgen in de bruto en netto risico’s met de daarbij horende beheersmaatregelen. “Dit doen wij onder andere door het neerzetten van strategiekaarten,” legt Wim uit. “Hierin maken we in één oogopslag de mate van risico op de afzonderlijke doelstellingen inzichtelijk, waardoor we goede onderleggers creëren om vanuit control de periodieke gesprekken met de risico-eigenaren beter te kunnen voeren. Ook willen we op basis daarvan goede risicorapportages genereren voor bestuur en Raad van Commissarissen. Begin volgend jaar willen we de discussies over risicobewustzijn, -tolerantie en -bereidheid voeren.”
Zachte kant
Op de vraag hoe HEEMwonen meet en weet of het goed gaat met risicomanagement, vertelt Wim: “Het is lastig harde doelen aan risicomanagement te koppelen. Risicobewustzijn, -tolerantie en -bereidheid hebben met de bedrijfscultuur te maken en zitten daarom in de zachte hoek. Via de eerdergenoemde gesprekken met risico-eigenaren en de interne toezichthouders willen we organisatiebreed risicobewustzijn creëren en dit onderdeel laten zijn van de planning en controlcyclus.”
Goede begeleiding
Om meer grip te krijgen op risico’s, heeft HEEMwonen onlangs ook de keuze gemaakt voor de GRC software van Naris. “We hebben ervoor gekozen om samen te werken met Naris bij de implementatie van de software en dit niet zelf op te pakken. Een goede begeleiding is namelijk van cruciaal belang voor de implementatie. Daarnaast werken we ook met hen samen op het gebied van kennislevering en advies omtrent risicomanagement.”
“Op dit moment zijn we bezig met het ophalen en ordenen van de risico’s in de organisatie,” gaat Wim verder. “Dit gebeurt door de controllers en een adviseur van Naris. Vanuit risico-eigenaren krijgen we per discipline inzicht in de mogelijke risico’s met de bijbehorende beheersmaatregelen. Dit moet leiden naar de eerdergenoemde strategiekaarten. Daarnaast willen we kijken naar de mogelijkheden en meerwaarde van een compliance- en auditmodule, waarmee we interne controles risicogericht kunnen uitvoeren.”
Drie dijken
Een belangrijke pijler in het risicomanagement van HEEMwonen is het Three Lines of Defence-model. Op de vraag hoe dit de organisatie helpt risico’s te managen, vertelt Wim: “Door dit model realiseer je drie ‘dijken’ in de organisatie die de stortvloed aan risico’s in bedwang houden. De eerste dijk wordt gevormd door het lijnmanagement, zodat je voor het ophalen van risico’s bij hen terecht kunt. Control komt hierdoor als tweede ‘dijk’ in een adviserende lijn terecht, terwijl de derde dijk wordt gevormd door de interne en externe controle.”
Ambassadeur
“Toen we begonnen met risicomanagement, was dit een ‘feestje van control’,” vertelt Wim op de vraag of risicomanagement inmiddels als een lust of last wordt gezien. “Voor de rest van de organisatie was het een ‘ver van mijn bed’-show. Een voorbeeld hiervan was een manager die vond dat onze Balanced Score Card voldoende was om te zien hoe wij ervoor stonden met betrekking tot onze doelstellingen. Hierdoor was zijn weerstand ten opzichte van risicomanagement groot en wilde hij in eerste instantie niet meewerken aan de sessies voor het ophalen van risico’s. Door inschakeling van een adviseur van Naris, is deze manager overtuigd van het feit dat hij de eerste dijk vormt en eigenaar is van een gedeelte van de op ons afkomende risico’s. Dat werkte overtuigend, en sindsdien bekleedt deze manager bijna een ambassadeursrol voor risicomanagement bij HEEMwonen.”
Persoonlijke doelstellingen
“Om medewerkers mee te krijgen in deze werkwijze, hebben we dus geprobeerd hen duidelijk te laten voelen dat het ook hun risico’s zijn,” vertelt Wim. “Risico’s hebben namelijk niet alleen invloed op bedrijfsdoelstellingen, maar ook op de persoonlijke doelstellingen van medewerkers. En als die risico’s er toch al zijn, kun je ze maar beter onderkennen en eventuele maatregelen bedenken om ze beheersbaar te maken. Daarnaast is het van belang dat je mensen laat zien dat je niet iets verzint waar iedereen schaarse tijd in moet steken, terwijl het hen weinig tot niets oplevert. Dat heeft tot nu toe goed gewerkt. We verwachten dat risicobeheersing medewerkers in de toekomst maximaal een paar uurtjes per kwartaal gaat kosten.”
Ontwikkelingen
Op de vraag hoe innoveerbaar risicomanagement is, vertelt Wim: “Dit onderdeel van de bedrijfsvoering wordt nu al anders gezien dan bijvoorbeeld tien jaar geleden. Toen zagen we risicomanagement nog als een losstaand item binnen de bedrijfsvoering en was het meer gericht op de algemene risico’s, en niet op het wel of niet behalen van ondernemingsspecifieke doelstellingen. De introductie van bijvoorbeeld het Three Lines of Defence-model is een belangrijke ontwikkeling geweest, en wie weet waar we over nogmaals tien jaar mee bezig zijn.”
“Daarbij zal risicomanagement inhoudelijk continu aan veranderingen onderhevig zijn. Risico’s zullen erbij komen, andere zullen afvallen, sommige risico’s zullen specifieker en anders gewaardeerd worden en beheersmaatregelen zullen wijzigen. Daar moet je in meebewegen.”
Goed en compleet beeld
Voor HEEMwonen ligt de komende periode in ieder geval de focus op de implementatie van Naris GRC. “Deze tool willen we eind dit jaar draaiende hebben, zodat we beter inzicht hebben in onze risico’s en rapportages kunnen opzetten voor het bestuur en interne toezichthouder. Daarnaast willen we aan de slag met het beheer van het model door de eerste lijn. Ook willen we de periodieke gesprekken houden tussen de lijnmanagers en control aan de ene kant, en de Raad van Commissarissen aan de andere kant om zo door de hele organisatie een zo goed en compleet mogelijk beeld van de risico’s te realiseren.”
Bron: CorporatieGids Magazine, Foto: Bjorn Frins
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine September 2024 - Digitale Transformatie Inhoud Madeleine Hamburg (Pré Wonen): De digitale transformatie is bij uitstek…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.