Risicomanagement
Met onze dashboardrapportages kunnen we goed volgen of we nog op koers liggen voor het behalen van onze doelstellingen. Maar dat is niet voldoende. Om onze strategische ambities te kunnen verwezenlijken, moeten we ook de risico’s goed in beeld hebben. Daarmee kunnen we op tijd bijsturen en acties ondernemen om de risico’s zoveel mogelijk te verkleinen of te elimineren.
Onze uitgangspunten voor risicomanagement zijn in 2015 vastgelegd in het document ‘Risicostrategie en het risicobeleid’. In datzelfde jaar hebben we een brede risico-inventarisatie gehouden. Top-down hebben we de risico’s ingeschat op basis van professioneel inzicht en op basis van macro-economische factoren en ontwikkelingen. Daarna hebben we bottum-up de risico’s benoemd die we lopen in onze processen. Voor de onderkende risico’s treffen we maatregelen, zodat het risico wordt verkleind. Met deze werkwijze creëren we bewustwording ten aanzien van de risico’s die we lopen en van de in het verleden al getroffen maatregelen. De procesrisico’s worden binnen het project lean: Onze Manier Van Werken in kaart gebracht en vastgelegd (zie lean: Onze Manier Van Werken).
Met deze stappen hebben we de belangrijkste risico’s voor onze bedrijfsvoering in beeld. Verder zijn er vanuit de raad van commissarissen risico’s vastgesteld, waaraan de leden vanuit hun toezichthoudende taak extra aandacht willen besteden. Voor 2018 zijn dat de implementatie van het nieuwe primair systeem en de werkdruk voor de organisatie geweest (zie Governance jaarverslag). De mate waarin in de processen risico’s onderkend zijn, compliance risico’s worden gelopen en er risicobewustzijn is, wordt beoordeeld tijdens de interne audits die gedurende het jaar worden gehouden. De modelmatige risicoanalyse stellen we jaarlijks vast bij de goedkeuring van de meerjarenbegroting.
Risk appetite
De mate waarin we risico’s accepteren (‘risk appetite’) is in onderstaande tabel uiteengezet. Bij het inschatten van kans maal impact houden we rekening met de beheersmaatregelen die op het moment van beoordeling aanwezig zijn om het risico te beperken. Voor de risico’s die in de rode en oranje gebieden vallen, moeten we risicomaatregelen treffen om het risico terug te brengen naar het witte gedeelte van de matrix (de zogenaamde risicotolerantiegrens). In ons risicobeleid zijn de grenzen gedefinieerd voor kans en impact. Ten aanzien van de mate waarin we risico willen lopen, typeren we onszelf als voorzichtig en terughoudend.
Risicomatrix
| 5 |
5 |
5 |
10 |
15 |
20 |
25 |
30 |
| 5 |
4 |
4 |
8 |
12 |
16 |
20 |
24 |
| Kans |
3 |
3 |
6 |
9 |
12 |
15 |
18 |
| 5 |
2 |
2 |
4 |
6 |
8 |
10 |
12 |
| 5 |
1 |
1 |
2 |
3 |
4 |
5 |
6 |
| 5 |
|
1 |
2 |
3 |
4 |
5 |
6 |
Impact
Bij de beoordelen van de risico’s gaan we voor de kans en de impact uit van onderstaande definities:
Kans:
| Klasse |
Kader |
Percentage |
| 1 |
Minder of maximaal 1 keer per 5 jaar |
10% |
| 2 |
1 x per 2-5 jaar |
30% |
| 3 |
1 x per 1-2 jaar |
50% |
| 4 |
1 x per jaar |
70% |
| 5 |
Meerdere keren per jaar |
90% |
Impactscore imago:
| Klasse |
Kader |
Imago gevolg |
| 1 |
Individueel |
Zeer klein |
| 2 |
Persoonlijke kring |
Klein |
| 3 |
Plaatselijke pers |
Midden |
| 4 |
Regionale pers |
Groot |
| 5 |
Externe toezichthouders en stakeholders |
Zeer groot |
| 6 |
Landelijke pers |
Zeer groot |
Impactscore imago:
| Klasse |
Impact |
Financieel gevolg |
| 1 |
< € 100.000,- |
Zeer klein |
| 2 |
> € 100.000,- en < € 250.000,- |
Klein |
| 3 |
> € 250.000,- en < € 400.000,- |
Midden |
| 4 |
> € 400.000,- en < € 650.000,- |
Groot |
| 5 |
> € 650.000,- en < € 800.000,- |
Zeer groot |
| 6 |
> € 800.000,- |
Zeer groot |
De impact van een risico wordt daar waar mogelijk financieel bepaald. Daar waar dat niet lukt, kijken we naar de mogelijke impact op het imago van onze organisatie.
Op basis van een uitgebreide risico-inventarisatie heeft het Management Team in 2015 ruim 50 risico’s onderkend. Met de genomen maatregelen voor risicoreductie vallen verreweg de meeste risico’s binnen de risk appetite grenzen. In de kwartaaloverleggen met het management bespreken we de veranderingen die zich voordoen in de gesignaleerde risico’s. Na vaststelling van het nieuwe strategische beleidsplan in 2018 volgt in 2019 een nieuwe top-down risico-inventarisatie.
Onderstaande risico’s vielen in 2018 nog niet binnen de risk appetite grenzen. We schatten in dat ze nog binnen de rode kaders vallen. Dit vraagt om extra maatregelen. Hieronder staat dat uitgewerkt. De classificatie van de risico’s is tussen haakjes aangegeven.
Betaalbaarheid (strategisch en operationeel; kans maal impact 5:5)
Om een aantal redenen kan het gebeuren dat huurders in de toekomst hun huurlasten niet meer kunnen betalen. Bijvoorbeeld als de overheid besluit om te bezuinigen op de huurtoeslag. In geval van financiële tegenslagen, zoals bijvoorbeeld ontslag. Of als een huurder een te dure woning moet huren wanneer er onvoldoende betaalbare woningen beschikbaar zijn voor de primaire doelgroep.
De maatregelen die we de afgelopen periode hebben getroffen ter verbetering van de betaalbaarheid staan beschreven in het hoofdstuk woningverhuur. Verder kunnen we door verbeteringen in ons incassoproces de problemen met betrekking tot betaalbaarheid reduceren. Doordat we sneller in gesprek gaan met klanten kunnen we vaker voorkomen dat huurachterstanden oplopen.
Overheidsmaatregelen (wet- en regelgeving; kans maal impact 4:4)
Als we vanuit de overheid geconfronteerd worden met nieuwe heffingen en complexere regelgeving, lopen we het risico dat we financieel onder druk komen te staan en problemen krijgen in de bedrijfsvoering. Daarom houden we de ontwikkelingen nauwlettend in de gaten. We focussen daarbij op kansen en werken aan bedrijfslastenreductie. Dit doen we onder andere door het verder inzetten op lean werken en het opleiden van medewerkers.
Ons Strategisch Voorraadbeleid willen we kunnen blijven uitvoeren. Ook willen we invloed houden op de ontwikkelingen in onze regio op volkshuisvestelijk gebied. Daarvoor is het belangrijk open in gesprek te gaan en in te zetten op structurele en succesvolle samenwerking met de gemeenten en de huurdersorganisaties.
Automatisering (operationeel; kans maal impact 5:5)
De huurder staat bij ons voorop. Maar de huurder verwacht steeds meer. Als we onze ICT-systemen en procesinrichting niet in orde hebben, bestaat het risico dat onze processen te duur en kwalitatief onvoldoende zijn. Daarom zijn we bezig met procesoptimalisatie en programmamanagement. Hierbij kijken we onder andere ook welke ICT-systemen en applicaties nodig zijn om in de toekomst onze processen optimaal te kunnen blijven ondersteunen. In 2018 zijn we overgestapt naar een nieuw primair systeem en hebben we een nieuw woonruimteverdeelsysteem in gebruik genomen.
Bij de implementatie van nieuwe systemen en applicaties, voorkomen we dataverlies, uitval en hoge kosten. Ook beschermen we onze systemen tegen toenemende internetcriminaliteit. Dit toetsen we jaarlijks door middel van een externe security audit op zowel het interne netwerk, ons huurdersportaal als de deltaWonen website. De laatste security audit, begin 2018 uitgevoerd, heeft geen noemenswaardige risico’s aan het licht gebracht. In 2019 wordt opnieuw een security audit uitgevoerd. In het laatste kwartaal van 2018 zijn we een traject gestart om informatiebeveiligingsbeleid en -normen op te stellen en om informatiebeveiliging nadrukkelijker binnen de organisatie te borgen.
Treasury (financieel kans maal impact 3:4)
Op dit moment is de rente laag. Maar dat zal niet altijd zo blijven. Gezien de relatief grote omvang van onze rentelasten, lopen we het risico dat bij rentestijging onze kasstromen onder druk komen te staan. Om verrassingen te voorkomen volgen we de actuele renteontwikkelingen op de voet en onderzoeken we alternatieve manieren van financiering. In 2018 zijn we in gesprek gegaan met de Europese Investeringsbank om te kijken of we hier een faciliteit kunnen verkrijgen. Daarnaast werken we aan een gespreide leningenportefeuille (looptijden, renteherziening), zodat er bij een snelle rentesprong voldoende tijd is om bij te sturen.
Investeringen in vastgoed vallen binnen onze risk appetite grenzen. Bij besluitvorming toetsen we projecten aan strikte kaders die zijn vastgelegd in ons investeringsstatuut. Daarmee onderkennen we bij besluitvorming de risico’s voor het project en nemen waar nodig maatregelen om de risico’s te reduceren. Hierbij houden we rekening met de regelgeving uit de nieuwe woningwet.
Modelmatige financiële risicoanalyse
De modelmatige financiële risicoanalyse stellen we jaarlijks vast bij de goedkeuring van de meerjarenbegroting. De parameters die we beoordelen komen voort uit risico-inventarisaties. Bij de vaststelling van de meerjarenbegroting 2019-2028 hebben we beoordeeld wat de impact is van een situatie:
- Waarin huurinkomsten worden bevroren gedurende 3 jaar vanaf 2019 met uitzondering van de huurharmonisatie; (operationele kasstroom min € 3,9 miljoen in 2028).
- Waarin de bouw- en onderhoudskosten na 2021 jaarlijks blijven stijgen met 5% (operationele kasstroom min € 5,5 miljoen in 2028).
- Met een hogere reële rente van 1%, 2% of 3% (operationele kasstroom min € 2,4 miljoen bij 1% in 2028).
- Met een stijging van de verhuurderheffing van € 2 miljard naar € 3 miljard voor de sector; (operationele kasstroom min € 7,8 miljoen in 2028).
In de risicoparagraaf in de kwartaalrapportages wordt de actualiteit in de risico-ontwikkeling gevolgd. Met de risico’s en de getroffen maatregelen zijn we goed voorbereid om tegenslagen op tijd te signaleren en te kunnen opvangen. Zo kunnen we naar verwachting onze ambities in de toekomst blijvend realiseren.
Risicomanagement onderdeel van de interne audits
Voor het invullen van de 3e lijn van defensie stellen we jaarlijks een intern controleplan vast. In 2018 zijn er rapportages opgesteld voor: Strategisch Voorraadbeleid, fiscaliteiten, waardebepaling, conversie van First NOA naar Dynamics Empire van cegeka-dsa, Incasso, VvE-beheer, procuraties en autorisaties.
In de audits wordt afhankelijk van de situatie aandacht besteed aan procesbeschrijvingen, procesbeheersing, de AO/IC (functiescheiding, procuratie, autorisatie), governance, compliance, (geautomatiseerde) systemen, de woningwet, frauderisico’s en de integriteitcode. Ook zijn de onderkende risico’s en de daarop getroffen maatregelen in de processen onderwerp van de audits. Bij de audits zijn geen grotere verrassingen naar voren gekomen. Wel komen er verbeterpunten naar voren waarmee we processen kunnen optimaliseren.
Integriteit
Integriteit is belangrijk voor elke organisatie. Onze medewerkers hebben hiervoor tijdens integriteitssessies in het verleden of bij hun aanstelling getekend. Dat is een belangrijke stap in de bewustwording, maar nog niet voldoende. In hoofdstuk Privacywetgeving staat aangegeven wat we in 2018 aanvullend hebben gedaan.
