CorporatieGids Magazine

47 ONAFHANKELIJK MAGAZINE OVER STRATEGIE, BEDRIJFSVOERING & ICT VOOR WONINGCORPORATIES NUMMER 2, 2018 46 WWW.CORPORATIEGIDS.NL T ijdens de implementatie van de Woningwet merkte Gerard dat middelgrote woningcorporaties worstelen met de vraag hoe ze invulling moeten geven aan de onafhankelijke controlfunctie. “De hoge kosten die ermee gepaard gaan zijn onder meer de spelbreker. Ik was nieuwsgierig of en onder welke voorwaarden het mogelijk was om de functies te combineren en heb dat als afstudeeronderzoek voor mijn studie onderzocht.” 3LoD Gerard onderzocht of met behulp van het Three Lines of Defence-model (3LoD) een oplossing gevonden kon worden voor het goed invullen van de onafhankelijke controlfunctie. “Het Three Lines of Defence-model geeft inzicht op welke wijze de uitvoerende en controlerende taken binnen een organisatie zijn ingericht en op welke wijze deze functies al dan niet samenwerken,” legt Gerard uit. Hij licht toe: “De eerste verdedigingslinie – operationeel management – is verantwoordelijk voor de uitvoering van de beheersmaatregelen en de controle op de naleving van deze beheersmaatregelen. De tweede verdedigingslinie onder- steunt de eerste verdedigingslinie bij de bouw en controle van de eerste lijn controles met behulp van verschillende risk- management en compliance functies. De derde verdedigings- linie verstrekt aan het bestuur, directie en het (top)management aanvullende assurance, gebaseerd op het hoogste niveau van onafhankelijkheid en objectiviteit binnen de organisatie.” Algemeen en specifiek Voor het goed functioneren van het 3LoD-model moet onder- scheid worden gemaakt tussen algemene en verdedigings- linie-specifieke randvoorwaarden, zegt Gerard. “De belang- rijkste algemene randvoorwaarden zijn de brede gedragenheid van de bedrijfsdoelen. Maak ook dat de verschillende verde- digingslinies niet star maar juist flexibel ingericht zijn, zoals bij voetbal. Een verdediger ondersteunt soms ook de aanval. Werk samen! Deel op een effectieve wijze kennis en infor- matie waardoor zaken niet dubbel worden uitgevoerd. Houd de spanning tussen waarde creatie en waarde bescherming in de gaten. Ze kunnen conflicterend zijn. En last but not least: doe dingen in één keer goed.” Risicocultuur Een specifieke randvoorwaarde voor de eerste verdedigings- linie is de risicocultuur, licht Gerard toe. “Draag zorg voor actieve risicobeheersing in de gehele organisatie. Voor de tweede verdedigingslinie is de ‘tone at de top’ van groot belang. Om de risicobeheersing juist uit te voeren is het noodzakelijk om je niet meer alleen op interne controle maar op het gehele interne beheersingssysteem te richten – ofwel het doorlopen van het COSO-framework. Tenslotte is voor de derde verdedigingslinie van belang wie de prioritering bepaalt, of de uit te voeren activiteiten gelinkt zijn aan het risicomanagementplan en de door de internal audit opgestel- de eigen risicobeoordeling en de onafhankelijke positionering. Daarnaast moet een goede verstandhouding aanwezig zijn met de eerste en tweede verdedigingslinie.” Combineerbaar Volgens Gerard zijn de rollen van de tweede en derde verdedigingslinie combineerbaar. “Dat kan wanneer er aan een aantal randvoorwaarden is voldaan. De belangrijkste randvoorwaarde is de noodzaak dat expliciete toestemming is afgegeven vanuit het bestuur of directie voor het verrichten van de gecombineerde werkzaamheden, vastgelegd in een reglement.” Conclusies Op de vraag wat de belangrijkste conclusies en aanbevelingen zijn, antwoordt Gerard: “Maak procesbeschrijvingen, inclusief risico’s en beheersmaatregelen en zorg voor de uitvoering van de controls. Daarnaast geven de geïnterviewde corporaties aan dat de kennis in de eerste verdedigingslinie verder verbeterd kan worden. In één keer goed is nog lang niet overal het geval. In de tweede verdedigingslinie ontbreekt bij meerdere corporaties de koppeling tussen de ondernemings- doelen en het risicomanagement.” “Risicomanagement krijgt in de tweede verdedigingslinie meer aandacht dan in de eerste verdedigingslinie,” vervolgt Gerard. “Bij de meeste woningcorporaties is de tone at the top positief, is er een actief managementsysteem en zijn de risk tolerantie, risk appetite en het risicoprofiel vastgesteld.” Derde verdedigingslinie nog niet effectief “Geconstateerd mag worden dat de derde verdedigingslinie nog niet effectief is. Er is geen vraag van bestuurders en raden van commissarissen voor het verlenen van assurance door de derde verdedigingslinie. Ook komt in de interviews naar voren dat de medewerkers die invulling geven aan de onafhankelijke controlfunctie geen gewijzigd functieprofiel hebben, terwijl hun werkzaamheden wel zijn aangepast. Daarnaast beschikt geen van de corporaties over een control of audit charter, waarin onder andere doel, positionering, objectiviteit en verantwoordelijkheden van de gecombineerde functie in de tweede en derde verdedigingslinie is opgenomen. Dat kan en moet dus beter.” Wie geïnteresseerd is in het referaat van Gerard, kan een exemplaar opvragen via www.sor.nl/referaat.

RkJQdWJsaXNoZXIy Mzg5Mzg=