CorporatieGids Magazine
35 ONAFHANKELIJK MAGAZINE OVER STRATEGIE, BEDRIJFSVOERING & ICT VOOR WONINGCORPORATIES NUMMER 4, 2019 34 WWW.CORPORATIEGIDS.NL Wim Ploum (HEEMwonen): De essentie van risicomanagement is bewust leven met risico’s Foto’s: Bjorn Frins W im is bij HEEMwonen zowel controller als Privacy Officer. Op de vraag of dat een situatie creëert waarbij de slager zijn eigen vlees keurt, zegt hij: “Wij opereren met twee controllers, waarvan er één is gebombardeerd tot PO. We hebben hiervoor gekozen omdat control een goed overzicht heeft over de gehele organisatie en daardoor overziet welke invloed de AVG op de bedrijfsprocessen heeft. Daarnaast is het bij een relatief kleine organisatie handig om alles op basis van functiescheiding in te richten. Tenslotte moeten we de AVG ook niet overwaarderen. Sinds de invoering van de nieuwe privacywetgeving zit de intensiteit vooral in het goed regelen van de uitwisseling van persoonsgegevens met verschillende partners. Met bestaande leveranciers is dit geregeld. De overeenkomsten en convenan- ten met overheden moeten we nog doen. Dat is een uitdaging, maar daarbij worden we ondersteund door Aedes. Voor onszelf is de grootste uitdaging de bewustwording van de organisatie. Hoe krijg je het ‘tussen de oren’ van de medewerkers. Daar moet continu aandacht aan gegeven worden.” Risico’s en kansen De essentie van risicomanagement is het realiseren van een goed en zo compleet mogelijk beeld van de risico’s die je kunnen belemmeren bij het halen van je bedrijfsdoelstellingen, begint Wim. “Het gaat dan ook niet over het elimineren van alle risico’s, maar over kennis hebben van de gevolgen hiervan. In andere woorden: het bewust leven met risico’s. Overigens praten wij liever niet over risicomanagement, maar over waardemanagement. Voor het bereiken van je doelstellingen moet je namelijk niet alleen de risico’s in kaart hebben, maar ook de kansen.” Beter inzicht De corporatie uit Kerkrade werkt momenteel hard aan het beter inzicht krijgen in de bruto en netto risico’s met de daarbij horende beheersmaatregelen. “Dit doen wij onder andere door het neerzetten van strategiekaarten,” legt Wim uit. “Hierin maken we in één oogopslag de mate van risico op de afzonderlijke doelstellingen inzichtelijk, waardoor we goede onderleggers creëren om vanuit control de periodieke gesprekken met de risico-eigenaren beter te kunnen voeren. Ook willen we op basis daarvan goede risicorapportages genereren voor bestuur en Raad van Commissarissen. Begin volgend jaar willen we de discussies over risico- bewustzijn, -tolerantie en -bereidheid voeren.” Zachte kant Op de vraag hoe HEEMwonen meet en weet of het goed gaat met risicomanagement, vertelt Wim: “Het is lastig harde doelen aan risicomanagement te koppelen. Risicobewustzijn, -tole- rantie en -bereidheid hebben met de bedrijfscultuur te maken en zitten daarom in de zachte hoek. Via de eerdergenoemde gesprekken met risico-eigenaren en de interne toezichthouders willen we organisatiebreed risicobewustzijn creëren en dit onderdeel laten zijn van de planning en controlcyclus.” Goede begeleiding Om meer grip te krijgen op risico’s, heeft HEEMwonen onlangs ook de keuze gemaakt voor de GRC software van Naris. “We hebben ervoor gekozen om samen te werken met Naris bij de implementatie van de software en dit niet zelf op te pakken. Een goede begeleiding is namelijk van cruciaal belang voor de implementatie. Daarnaast werken we ook met hen samen op het gebied van kennislevering en advies omtrent risicomanagement.” “Op dit moment zijn we bezig met het ophalen en ordenen van de risico’s in de organisatie,” gaat Wim verder. “Dit gebeurt door de controllers en een adviseur van Naris. Vanuit risico- eigenaren krijgen we per discipline inzicht in de mogelijke risico’s met de bijbehorende beheersmaatregelen. Dit moet leiden naar de eerdergenoemde strategiekaarten. Daarnaast willen we kijken naar de mogelijkheden en meerwaarde van een compliance- en auditmodule, waarmee we interne controles risicogericht kunnen uitvoeren.” Drie dijken Een belangrijke pijler in het risicomanagement van HEEMwonen is het Three Lines of Defence-model. Op de vraag hoe dit de organisatie helpt risico’s te managen, vertelt Wim: “Door dit model realiseer je drie ‘dijken’ in de organisatie die de stortvloed aan risico’s in bedwang houden. De eerste dijk wordt gevormd door het lijnmanagement, zodat je voor het ophalen van risico’s bij hen terecht kunt. Control komt hierdoor als tweede ‘dijk’ in een adviserende lijn terecht, terwijl de derde dijk wordt gevormd door de interne en externe controle.” Ambassadeur “Toen we begonnen met risicomanagement, was dit een ‘feestje van control’,” vertelt Wim op de vraag of risicomanagement inmiddels als een lust of last wordt gezien. “Voor de rest van de organisatie was het een ‘ver van mijn bed’-show. Een voorbeeld hiervan was een manager die vond dat onze Balanced Score Card voldoende was om te zien hoe wij ervoor stonden met betrekking tot onze doelstellingen. Hierdoor was zijn weerstand ten opzichte van risicomanage- ment groot en wilde hij in eerste instantie niet meewerken aan de sessies voor het ophalen van risico’s. Door inschakeling van een adviseur van Naris, is deze manager overtuigd van het feit dat hij de eerste dijk vormt en eigenaar is van een gedeelte van de op ons afkomende risico’s. Dat werkte overtuigend, en sindsdien bekleedt deze manager bijna een ambassadeursrol voor risicomanagement bij HEEMwonen.” Risico’s zijn een onvermijdelijk gegeven in de bedrijfsvoering van een woning- corporatie. Maar hoe zorg je ervoor dat je zoveel mogelijk grip hebt op – en inzicht in – deze gevaren? CorporatieGids Magazine legde die vraag voor aan Wim Ploum , Controller en Privacy Officer bij HEEMwonen : “Voor het bereiken van je doel- stellingen moet je niet alleen de risico’s in kaart hebben, maar ook de kansen.”
RkJQdWJsaXNoZXIy Mzg5Mzg=