7. Risicomanagement

In 2023 is geconstateerd dat er nog een ‘puzzelstuk’ in het risicomanagement ontbrak, namelijk de risicobereidheid van de organisatie. Want risicomanagement wordt vaak nog te veel gezien als beheersing, terwijl de medaille ook een andere kant heeft: kansen zien– vergeten lijkt te worden. Bij het bepalen van je risicobereidheid kijk je welke risico’s (naar aard en omvang) de organisatie bereid is aan te gaan of te tolereren bij het realiseren van haar doelstellingen.

Wij bepalen onze risicobereidheid met behulp van de risicodialoog: een gesprek over onzekerheden (risico’s en kansen) en de wijze waarop we met de onzekerheden omgaan (risicobereidheid). Deze risicodialoog komt in de plaats van de ‘klassieke’ wijze van risico’s bespreken, namelijk het scoren van kansen en impact.

Dudok Wonen werkt met het ‘three lines’-model dat zorgt voor een juiste inrichting van het risicomanagement en daarbij is ingebed in de (primaire) processen. Dit zijn de ‘lines’:

• De ‘first line’ bestaat uit de risico-eigenaren. Het lijnmanagement heeft de rol van risico-eigenaar. De risico-eigenaren zijn verantwoordelijk voor hun eigen processen, het identificeren van de risico’s en het definiëren van de maatregelen die getroffen moeten worden. De risico-eigenaren zetten maatregelen in als dat kan en/of nodig is. Ook doen ze zelftoetsen om te controleren of de beheersmaatregelen effectief zijn. En natuurlijk laten ze voorbeeldgedrag zien aan de medewerkers.
• De ‘second line’ is de functie die de eerste lijn ondersteunt, adviseert, coördineert en bewaakt of de eerste lijn zijn/haar verantwoordelijkheid neemt. De controllers en de business analist hebben de rol van tweede lijn. De tweede lijn identificeert, analyseert en bewaakt ook de risico’s die uit de bedrijfsvoering en investeringsprojecten voortkomen. Ook beoordeelt de tweede lijn de kwaliteit van de zelftoetsing van de beheersmaatregelen door de eerste lijn. Doel daarvan is te borgen dat het proces van zelftoetsing naar behoren werkt.
• De ‘third line’ is verantwoordelijk voor het opzetten en bewaken van de integrale risicomanagement-aanpak. De organisatiecontroller en de externe accountant hebben de rol van derde lijn. Deze lijn controleert of het samenspel tussen de eerste en tweede lijn soepel functioneert. Daarnaast coördineert de derde lijn de jaarlijkse risicosessie en de overall-analyse tot het bewaken van de beheersing van de belangrijkste risico’s. Ook de onafhankelijke audit op de werking van het risicomanagementsysteem en processen valt onder de verantwoordelijkheid van de derde lijn.

We hebben een lage risicobereidheid als het gaat om onze financiële continuïteit en de daarbij horende normen, de wettelijke normen voor de toegelaten instelling en de governance. Governance is het besturen en beheersen van een organisatie en verantwoordelijkheid en zeggenschap binnen een organisatie.

We zijn bereid meer risico te nemen bij de strategische doelen als er een hoog maatschappelijk rendement te realiseren is.

Omstandigheden in de buitenwereld kunnen effect hebben op de relaties met onze stakeholders of op ons handelen. Daarom zien we ze als onze strategische risico’s.

Om onze strategische doelen te bereiken, werken we samen met stakeholders: (gemeentelijke) overheid, bewoners of toekomstige bewoners (koop en huur), belangenverenigingen en vele andere instanties. Deze samenwerking is voor ons een zeer belangrijke voorwaarde om te slagen in het realiseren van onze strategie.

Hieronder noemen we 3 strategische risico’s.

In de politiek is veel aandacht voor de situatie op de woningmarkt. Hierdoor lopen we het risico dat de politiek de sector meer gaat aansturen. Aan de ene kant biedt dit kansen. Aan de andere kant is het risico dat ingrepen plaatsvinden met onvoldoende oog voor de (financiële) impact voor corporaties op korte en langere termijn.

De nationale prestatieafspraken zijn meer dan alleen afspraken. Het laat zien dat volkshuisvesting terug van weggeweest is op de politieke agenda. Enkele voorbeelden van politieke besluitvorming:

• de afschaffing van de verhuurderheffing per 1 januari 2023 in combinatie met gemaakte afspraken met de corporaties over woningbouw en verduurzaming
• de ingrepen op de huurverhoging: in 2023 eenmalige huurverlaging voor huurders met een inkomen tot maximaal 120% van het minimum inkomen
• de wet versterking regie volkshuisvesting die in behandeling is

Als organisatie hebben we vrij weinig invloed op dit risico. Wel hebben we geprobeerd invloed uit te oefenen op de politieke afwegingen, met respect voor de lokale dynamiek van de volkshuisvesting. Dit deden we via Aedes en door stakeholdermanagement. Daarnaast volgen we de politieke ontwikkelingen op de voet, zodat we snel in actie kunnen komen als dat nodig is.

Bij gemeenten is een gebrek aan ambtelijke capaciteit. Het risico rondom het gebrek aan ambtelijke capaciteit is vorig jaar verminderd, maar het blijft een belangrijk risico voor ons. Het gebrek aan kwaliteit en gebrek aan capaciteit kan leiden tot vertraging in de afstemming met en besluitvorming van gemeentes. Het gevolg is dat de doelen uit de prestatieafspraken met gemeentes niet of gedeeltelijk worden behaald.

Met deze acties beheersten we deze effecten in 2023:

• We bieden kennis en kunde aan namens Platform Woningcorporaties Gooi & Vechtstreek om gemeenten te ondersteunen.
• We managen de verwachtingen en communiceren daar regelmatig over. 

Dit jaar zijn de bouwkosten voor nieuwbouwwoningen fors gestegen. Oorzaken zijn onzekerheden in de wereld en het rentebeleid van de centrale banken. Ook de pfas- en stikstofdiscussie spelen een rol daarbij. Daarnaast blijft het een uitdaging om voldoende bouwlocaties beschikbaar te krijgen en te houden. Dit alles vormt een risico voor onze doelstelling om nieuw te bouwen en zo toevoegingen aan de woningvoorraad te doen om onze woningvoorraad op peil te houden. Hierdoor komt het bedrijfsmodel onder druk te staan.

In 2023 kwamen we op deze manieren in actie om deze effecten te beperken:

• We blijven scherp kijken naar de bouwkosten van nieuwbouw en ons Programma van Eisen. We zoeken de ‘randen’ op van het bouwbesluit om toch woningen te kunnen bouwen voor een goede prijs.
• We investeren in de relaties met gemeenten en omwonenden van (toekomstige) bouwlocaties. Door op een goede en constructieve manier met ze in contact te blijven, nemen we eventuele weerstand weg en kunnen we medewerking versnellen.
• Door de inzet van onze vastgoedacquisiteur hebben we een ‘pijplijn’ van 2000 mogelijke woningen in allerlei stadia.

Onze duurzaamheidsambitie is: CO2-neutraal in 2050. Als er geen substantiële publieke warmtebron is waar we gebruik van kunnen maken, moeten we deze duurzaamheidsambitie op een andere manier realiseren. Dit kan betekenen dat we uitkomen in het duurste scenario.

Hier willen we zo goed mogelijk invloed op uitoefenen. Daarom nemen we deel aan het overleg over de regionale energietransitie (RET). De gemeente Hilversum heeft inmiddels het initiatief genomen om op gemeentelijk niveau gericht overleg te voeren met de corporaties om te komen tot oplossingen voor de energietransitie en duurzaamheid.

Naast strategische risico’s zijn er ook operationele risico’s bij de realisatie van onze strategische doelstellingen. Dit zijn overwegend interne risico’s, waarvoor vaak goede beheersmaatregelen beschikbaar zijn. Drie van de belangrijkste risico’s worden onderstaand genoemd. Deze risico’s zijn ongewijzigd ten opzichte van vorig jaar. Onderstaand een update van de getroffen maatregelen. Hieronder noemen we er 3.

Aannemers hebben steeds meer van ons klantcontact overgenomen bij het dagelijkse en mutatie-onderhoud. Hierdoor zijn we minder goed op de hoogte van wat er technisch speelt in de complexen en bij bewoners. Wij lopen het risico op imagoschade als de communicatie door aannemers te wensen over laat. Een ander risico is, dat we onvoldoende snel kunnen inspelen op leefbaarheidskwesties en sociaal welbevinden van onze huurders.

Om dit risico te beheersen, namen we in 2023 deze maatregelen:

• Het Kwaliteitscentrum Woningcorporaties Huursector (KWH) doet namens ons onderzoek naar de tevredenheid van onze huurders. Zo weten we wat er speelt en kunnen we in actie komen als dat nodig is.
• Op 1 januari 2022 startte de samenwerkingsovereenkomst met onze 3 gebiedsaannemers. Periodiek beoordelen we de samenwerking met deze aannemers. Klanttevredenheid is hierbij één van de onderwerpen. In 2023 is mede daarom de samenwerking met 1 van onze gebiedsaannemers beëindigd.
• In 2022 startten we met het klantenregistratiesysteem Embrace Customer. Medewerkers zijn getraind om eenduidig op één punt klantcontactmomenten vast te leggen en interne mededelingen aan te maken. Hiermee verbeterden we de dienstverlening aan de bewoners.

Steeds meer van onze huurders een ‘rugzakje’. Dat komt onder meer door woningtoewijzingsregels. Hierdoor lopen medewerkers die veel klantcontact hebben meer risico. Ze kunnen eerder te maken krijgen met incidenten (zie ook onder paragraaf 4.1 Sociaal beheer en leefbaarheid).

Het risico van woonfraude is groter in de krappe woningmarkt waar we op dit moment mee te maken hebben. Er zijn weinig betaalbare woningen. Woonfraude zorgt voor minder doorstroming in de huursector en leidt tot voordringen bij het vinden van een woning.

Om te zorgen we voor een solide aanpak van woonfraude voor de komende jaren namen we in 2023 deze maatregelen:

• We hebben veel medewerkers bij Woonzaken ingezet om de werkdruk te beheersen, meer veiligheid te creëren en uitval te voorkomen.
• We gaven meer aandacht aan woonfraude. Dat deden we door het creëren van een tijdelijke functie medewerker Woonfraude en Leefbaarheid. Zo zorgen we voor een solide aanpak van woonfraude voor de komende jaren.

In onze nieuwe strategie krijgt de digitale transformatie een belangrijke rol. Op deze manier kunnen we processen meer standaardiseren en onze bewoners beter bedienen. Het risico dat we daarbij lopen, is dat de kennis en kunde van de medewerker nog niet aansluit bij de digitale transformatie van de organisatie. En daardoor lopen we het risico, dat we onze doelstellingen voor de omgang met digitalisering onvoldoende behalen. Daarnaast zijn we door de toegenomen digitalisering van onze diensten kwetsbaar voor cyber- en andere vormen van aanvallen. Deze aanvallen verstoren onze dienstverlening en raken aan onze veiligheid van de systemen.

Om dit risico te beheersen, namen we in 2023 deze maatregelen:

• We maakten onze medewerkers bewust van cybersecurity en privacy gerelateerde zaken. Dat deden we door online trainingen, het versturen van ‘nep’(phishing)-mailtjes en informatieve artikelen op het intranet.
• Begin 2023 simuleerden we samen met een externe partner een cyberaanval om het opgestelde calamiteitenplan te testen.

Financieel risicomanagement bestaat uit de activiteiten en beslissingen rond de effectieve beheersing van de financiën van de organisatie en de (mogelijke) effecten van externe factoren. Denk hierbij aan de beschikbaarheid van krediet- en/of de rentestandbewegingen.

Ook voor 2023 hielden we een aparte sessie over Treasury- en financieel managementbeleidsrisico’s.

De voornaamste financiële en compliancerisico’s in 2023 waren:

• De inkomsten en uitgaven zijn minder zeker. Dit komt door wisselend en moeilijk voorspelbaar overheidsbeleid over fiscale regelgeving en huurprijsregulering. Hierdoor is de voorspelbaarheid van het DAEB-exploitatieresultaat onzeker en wordt de Interest Coverage Ratio (ICR) aangetast. Ook de LTCF (Loan to Cashflow) komt hierdoor in gevaar.
• Niet voldoen aan de externe ICR-norm van het Waarborgfonds Sociale Woningbouw (WSW), waardoor het WSW kan ingrijpen.
• Gebrek aan keuze in geschikte investeringsprojecten bij een goede financiële positie. Dit kan leiden tot goedkeuring van te onrendabele investeringen.
• Niet meer voldoen meer aan de (eigen) streefwaarde voor de Interest Coverage Ratio.
• Kosten vreemd vermogen stijgen bij (her)financiering t.o.v. ingerekende leidraad economische parameters als gevolg van forse en langdurige stijging van de rente waardoor de ICR onder druk komt te staan.

Deze maatregelen namen we in 2023 om deze risico’s te voorkomen of beperken:

• Voor onze Interest Coverage Ratio (ICR) hebben een ‘remweg’ door met een hogere ICR-streefwaarde in de begroting te werken dan die van de toezichthouders. Daarmee creëren we een buffer om tegenvallende resultaten op te vangen. Daarnaast stelden we in 2023 een plan op met acties die we kunnen ondernemen als de ICR in de gevarenzone komt.
• Jaarlijks wordt het Investeringskader geactualiseerd. Bij investeringsbeslissingen wordt het investeringsvoorstel zichtbaar getoetst aan het investeringsstatuut en het afwegingskader. Daarbij komen risico’s expliciet naar boven. Deze risico’s bespreken we.

Het Waarborgfonds Sociale Woningbouw heeft ons risicoprofiel beoordeeld en ongewijzigd vastgesteld. De kwalificatie is ‘laag tot midden risico’.

Integriteit en het tegengaan van fraude en corruptie zijn zeer belangrijk voor ons. Eind 2022 actualiseerden we ons integriteitsbeleid en de meldregeling. Dat deden we onder meer op basis van nieuwe wetgeving. Daarnaast blijven we medewerkers stimuleren om met elkaar in gesprek te gaan over integriteitskwesties. Integriteit staat ook regelmatig op de agenda tijdens afdeling overleggen.

Enkele van onze activiteiten hebben een verhoogd fraude- en/of corruptierisico. En dus doen we er alles aan om fraude, corruptie en (een schijn van) belangenverstrengeling, bijvoorbeeld als gevolg van nevenactiviteiten, te voorkomen. Ook krijgen alle medewerkers die nieuw bij ons in dienst komen, onze gedrags- en integriteitscode. Hierin vinden zij alle afspraken die gelden voor onze organisatie, en dus ook voor hen.

Om fraude- en/of corruptierisico’s te beheersen, maakten we in 2023 een inventarisatie en actualisatie van deze risico’s:

• Bij ontwikkeling van vastgoed of voor onderhoudop oneigenlijke gronden verplichtingen aangaan en partijen selecteren. Om deze fraude te voorkomen, is een zorgvuldig aanbestedingsproces ingericht, waarbij we bij elke stap minimaal het vier-ogenprincipe toepassen. Periodiek toetsen we de naleving van dit proces. Daarnaast beschrijft het aanbestedingsbeleid de wijze van aanbesteding. Voorafgaand aan leveranciersselectie stellen we een Programma van Eisen op. En beoordeling van leveranciersbiedingen gebeurt altijd in teamverband. Bij 1-op-1 aanbestedingen vragen we altijd advies aan een extern kostendeskundige.
• Fraude bij toewijzen van woningen bij huur en koop. We hebben een zorgvuldig proces ingericht, waarbij functiescheiding en controlemaatregelen de kans op fraude of corruptie verkleinen. Zo verhuren we sociale huur- en middenhuur woningen altijd via DAK (voorheen Woningnet). Gaat het om sociale koop? Dan loten we uit de pool van geschikte belangstellenden. De loting vindt geautomatiseerd plaats. En voor het bepalen van verkoopprijzen schakelen we een onafhankelijk taxateur in.
• Onjuiste betalingen in het betalingsproces bij uitgaande geldstroom. Facturen betalen we alleen na goedkeuring door een bevoegd persoon in overeenstemming met de bevoegdhedenregeling. De feitelijke betalingen vinden plaats nadat ‘6 ogen’ ernaar gekeken hebben. Het opvoeren van nieuwe of wijzigen van bestaande crediteurengegevens kent strikte functiescheiding en controles.
• Fraude bij financiering. Om dit te voorkomen, richtten we een proces in dat uitgaat van functiescheidingen. Ook is altijd een externe adviseur betrokken bij het aangaan van leningen.
• Onjuiste autorisaties en fraude als gevolg van snelle ICT-ontwikkelingen. De ICT-omgeving is uitbesteed aan een externe professionele partij. Periodiek vinden back-up- en recoverytesten plaats. Daarnaast wijzen we medewerkers regelmatig op de gevaren van internetfraude.

Bij de risico’s in de opsomming hierboven noemden we al enkele beheersmaatregelen per risico.
Veel van de maatregelen om fraude en corruptie zijn ‘hard controls’: maatregelen die wij als organisatie nemen. Hierdoor ervaren onze medewerkers geen grote fraude- en corruptierisico’s. Dit is bevestigd in de recente risico-inventarisatie.
Maar dit betekent niet dat er geen fraude of corruptie kan optreden. Daarom zijn ook ‘soft controls’ belangrijk. Daarbij ligt de nadruk op het creëren van een motiverende en stimulerende omgeving. Ons integriteitsbeleid dat vorig jaar is geactualiseerd, is hierbij een van de pijlers. Mocht er toch iets gebeuren op het gebied van fraude, dan hebben we een zero-tolerance-beleid.