7. Risicomanagement

In 2024 is de risicodialoog binnen Dudok Wonen breder toegepast: we voerden intern gesprekken over onzekerheden (risico’s en kansen) en de wijze waarop we met de onzekerheden omgaan (risicobereidheid). Met deze dialoog wordt het ontbrekende ‘puzzelstuk’ in het risicomanagement, namelijk de risicobereidheid van de organisatie, ingevuld. Want risicomanagement wordt vaak nog te veel gezien als beheersing, terwijl het ook gaat over kansen zien.

In november 2024 hebben de RvC, de directeur-bestuurder en het MT een gesprek gevoerd over het risicobereidheidsprofiel van Dudok Wonen en over enkele stellingen geformuleerd vanuit actuele strategische dilemma’s. Op dit moment zit de risicobereidheid van Dudok Wonen op het scheidsvlak van ‘gematigd defensief/neutraal’.

Risicomanagement en -beheersing bestaan niet alleen uit processen en procedures. Het heeft ook te maken met cultuur en gedrag van medewerkers binnen Dudok Wonen. Ieder levert een bijdrage vanuit de eigen rol. Het bestuur en het management dragen daaraan bij door voorbeeldgedrag en eigenaarschap voor het beoordelen van risico’s en het nemen van adequate maatregelen.

Het bestuur van Dudok Wonen is verantwoordelijk voor een goede risicobeheersing. De raad van commissarissen houdt hier toezicht op.
Dudok Wonen werkt met het ‘three lines’-model dat zorgt voor een juiste inrichting van het risicomanagement en is ingebed in de (primaire) processen.

• De ‘first line’ bestaat uit de risico-eigenaren. Het lijnmanagement heeft de rol van risico-eigenaar. De risico-eigenaren zijn verantwoordelijk voor hun eigen processen, het identificeren van de risico’s en het definiëren van de maatregelen die getroffen moeten worden. De risico-eigenaren zetten maatregelen in als dat kan en/of nodig is. Ook doen ze zelftoetsen om te controleren of de beheersmaatregelen effectief zijn.
• De ‘second line’ is de functie die de eerste lijn ondersteunt, adviseert, coördineert en bewaakt of de eerste lijn zijn/haar verantwoordelijkheid neemt. De controllers en de business analist hebben de rol van tweede lijn. De tweede lijn identificeert, analyseert en bewaakt ook de risico’s die voortkomen uit de bedrijfsvoering en investeringsprojecten. Ook beoordeelt de tweede lijn de kwaliteit van de zelftoetsing van de beheersmaatregelen door de eerste lijn. Doel daarvan is te borgen dat het proces van zelftoetsing naar behoren werkt.
• De ‘third line’ is verantwoordelijk voor het opzetten en bewaken van de integrale risicomanagement-aanpak. De organisatiecontroller heeft de rol van derde lijn. Deze lijn controleert of het samenspel tussen de eerste en tweede lijn soepel functioneert. Daarnaast coördineert de derde lijn de jaarlijkse risicosessie en de overall-analyse tot het bewaken van de beheersing van de belangrijkste risico’s. Ook de onafhankelijke audit op de werking van het risicomanagementsysteem en processen valt onder de verantwoordelijkheid van de derde lijn.

Omstandigheden in de buitenwereld zijn dynamisch en kunnen effect hebben op het realiseren van onze strategische doelstellingen. Het is daarom belangrijk om de externe en interne ontwikkelingen voortdurend in beeld te brengen. We kunnen dan als dat nodig is beheersmaatregelen te treffen om de risico’s in lijn te brengen met onze risicobereidheid.

Hieronder noemen we 3 strategische risico’s.

In de politiek is veel aandacht voor de situatie op de woningmarkt. Voor meer nieuwbouw en het betaalbaar houden van woningen voor jong en oud wil de overheid steviger sturen met nieuwe wet- en regelgeving en extra subsidies.

Aan de ene kant biedt dit kansen. Aan de andere kant is het risico dat ingrepen plaatsvinden met onvoldoende oog voor de (financiële) impact voor corporaties op korte en langere termijn. De nationale prestatieafspraken zijn meer dan alleen afspraken. Het laat zien dat volkshuisvesting terug van weggeweest is op de politieke agenda. Enkele voorbeelden van politieke besluitvorming:

• de Wet betaalbare huur: in juli 2024 is deze wet in werking getreden. De wet zorgt dat mensen een betaalbare huurwoning kunnen krijgen met een huurprijs die past bij de kwaliteit van de woning.
• de Wet versterking regie volkshuisvesting. Deze wet is momenteel nog in behandeling.

Als organisatie hebben we vrij weinig invloed op dit risico. Wel hebben we geprobeerd invloed uit te oefenen op de politieke afwegingen, met respect voor de lokale dynamiek van de volkshuisvesting. Dit deden we via Aedes en door stakeholdermanagement. Daarnaast volgen we de politieke ontwikkelingen op de voet, zodat we snel in actie kunnen komen als dat nodig is.

In onze nieuwe strategie heeft de digitale transformatie een belangrijke rol. Op deze manier kunnen we processen meer standaardiseren en onze bewoners beter bedienen. Het risico dat we daarbij lopen, is dat de kennis en kunde van de medewerker nog niet aansluit bij de digitale transformatie van de organisatie. En daardoor lopen we het risico, dat we onze doelstellingen voor de omgang met digitalisering onvoldoende behalen. Daarnaast zijn we door de toegenomen digitalisering van onze diensten kwetsbaar voor cyber- en andere vormen van aanvallen. Dit zijn inbreuken op de beschikbaarheid, integriteit en vertrouwelijkheid van ICT-systemen en daarin opgeslagen data. Deze aanvallen verstoren onze dienstverlening en brengen de veiligheid van de systemen in gevaar.

Om dit risico te beheersen, namen we in 2024 deze maatregelen:

• We maakten onze medewerkers bewust van cybersecurity- en privacy-gerelateerde zaken. Dat deden we door onlinetrainingen, het versturen van ‘nep’(phishing)-mailtjes en informatieve artikelen op het intranet.
• We maken gebruik van een firewall, netwerksegmentatie en virusscanners.

Ook in 2024 zijn de bouwkosten voor nieuwbouwwoningen gestegen. Dat komt door onzekerheden in de wereld en de pfas- en stikstofdiscussie. Daarnaast blijft het een uitdaging om voldoende bouwlocaties en materialen beschikbaar te krijgen en te houden. Dit alles vormt een risico voor onze doelstelling om nieuw te bouwen en zo onze woningvoorraad op peil te houden en te vergroten. Hierdoor komt het bedrijfsmodel onder druk te staan.

In 2024 kwamen we op deze manieren in actie om deze effecten te beperken:

• We blijven scherp kijken naar de bouwkosten van nieuwbouw en ons Programma van Eisen.
• We investeren in de relaties met gemeenten en omwonenden van (toekomstige) bouwlocaties. Door op een goede en constructieve manier met ze in contact te blijven, nemen we eventuele weerstand weg en kunnen we medewerking versnellen.
• Door de inzet van onze vastgoedacquisiteur hebben we een ‘pijplijn’ van 2000 mogelijke woningen in allerlei stadia.

Financieel risicomanagement bestaat uit de activiteiten en beslissingen rond de effectieve beheersing van de financiën van de organisatie en de (mogelijke) effecten van externe factoren. Denk hierbij aan de beschikbaarheid van krediet- en/of de rentestandbewegingen.

Ook voor 2024 hielden we een aparte sessie over Treasury- en financieel managementbeleidsrisico’s.

De voornaamste financiële en compliancerisico’s in 2024 waren:

• De inkomsten en uitgaven zijn minder zeker. Dit komt door wisselend en moeilijk voorspelbaar overheidsbeleid over fiscale regelgeving en huurprijsregulering. Hierdoor is de voorspelbaarheid van het DAEB-exploitatieresultaat onzeker en wordt de Interest Coverage Ratio (ICR) aangetast. Ook de LTCF (Loan to Cashflow) komt hierdoor in gevaar.
• Niet voldoen aan de externe ICR-norm van het Waarborgfonds Sociale Woningbouw (WSW), waardoor het WSW kan ingrijpen.
• Gebrek aan keuze in geschikte investeringsprojecten bij een goede financiële positie. Dit kan leiden tot goedkeuring van te onrendabele investeringen.
• Niet meer voldoen meer aan de (eigen) streefwaarde voor de Interest Coverage Ratio.
• De Interest Coverage Ratio(ICR) komt onder druk te staan. Dat komt omdat de kosten van vreemd vermogen (= geleend geld) stijgen bij (her)financiering ten opzichte van ingerekende leidraad economische parameters. Deze stijging is het gevolg van forse en langdurige stijging van de rente.

Deze maatregelen namen we in 2024 om deze risico’s te voorkomen of beperken:

• We creëren we een buffer om tegenvallende resultaten op te vangen. Dat doen via een ‘remweg’ voor onze Interest Coverage Ratio (ICR): we werken in de begroting met een hogere ICR-streefwaarde dan die van de externe toezichthouders. Daarnaast monitoren we de ontwikkeling van onze inkomsten en uitgaven om zonodig tijdig te kunnen bijsturen.
• Jaarlijks wordt het Investeringskader geactualiseerd. Bij investeringsbeslissingen wordt het investeringsvoorstel zichtbaar getoetst aan het investeringsstatuut en het afwegingskader. Daarbij komen risico’s expliciet naar boven. Deze risico’s bespreken we.

Het Waarborgfonds Sociale Woningbouw heeft ons risicoprofiel beoordeeld en ongewijzigd vastgesteld. De kwalificatie is ‘laag tot middenrisico’.

Integriteit en het tegengaan van fraude en corruptie zijn zeer belangrijk voor ons. Medewerkers stimuleren we om met elkaar in gesprek te gaan over integriteitskwesties. Integriteit staat ook regelmatig op de agenda tijdens afdelingsoverleggen.

Enkele van onze activiteiten hebben een verhoogd fraude- en/of corruptierisico. Welke risico’s dat zijn, leest u hieronder.
We doen er dan ook alles aan om fraude, corruptie en (een schijn van) belangenverstrengeling te voorkomen. Bijvoorbeeld als gevolg van nevenactiviteiten. Ook krijgen nieuwe medewerkers onze gedrags- en integriteitscode. Hierin vinden zij alle afspraken die gelden voor onze organisatie, en dus ook voor hen.

Om fraude- en/of corruptierisico’s te beheersen, maakten we in 2024 een inventarisatie en actualisatie van deze risico’s:

• Op oneigenlijke gronden verplichtingen aangaan en partijen selecteren bij ontwikkeling van vastgoed of voor onderhoud. Om deze fraude te voorkomen hebben we een zorgvuldig aanbestedingsproces ingericht. Hierin passen we bij elke stap het vier-ogenprincipe toe. Periodiek toetsen we de naleving van dit proces. Daarnaast beschrijft het aanbestedingsbeleid de wijze van aanbesteding. Voorafgaand aan leveranciersselectie stellen we een Programma van Eisen op. En beoordeling van leveranciersbiedingen gebeurt altijd in teamverband. Bij 1-op-1 aanbestedingen vragen we altijd advies aan een externe kostendeskundige.
• Fraude bij toewijzen van woningen bij huur en koop. We hebben een zorgvuldig proces ingericht, waarbij functiescheiding en controlemaatregelen de kans op fraude of corruptie verkleinen. Zo verhuren we sociale huur- en middenhuurwoningen altijd via DAK (voorheen Woningnet). Gaat het om sociale koop? Dan loten we uit de pool van geschikte belangstellenden. De loting vindt geautomatiseerd plaats. En voor het bepalen van verkoopprijzen schakelen we een onafhankelijk taxateur in.
• Onjuiste betalingen in het betalingsproces bij uitgaande geldstroom. Facturen betalen we alleen na goedkeuring door een bevoegd persoon in overeenstemming met de bevoegdhedenregeling. De feitelijke betalingen vinden plaats nadat 3 personen ernaar gekeken hebben (het ‘6 ogen-principe’). Het opvoeren van nieuwe of wijzigen van bestaande crediteurengegevens kent strikte functiescheiding en controles.
• Fraude bij financiering. Om dit te voorkomen, hebben we een proces ingericht dat uitgaat van functiescheidingen. Ook is altijd een externe adviseur betrokken bij het aangaan van leningen.
• Onjuiste autorisaties en fraude als gevolg van snelle ICT-ontwikkelingen. De ICT-omgeving is uitbesteed aan een externe professionele partij. Periodiek vinden back-up- en recoverytesten plaats. Daarnaast wijzen we medewerkers regelmatig op de gevaren van internetfraude.

Bij de risico’s in de opsomming hierboven noemden we al enkele beheersmaatregelen per risico. Veel van de maatregelen om fraude en corruptie zijn ‘hard controls’: maatregelen die wij als organisatie nemen. Hierdoor ervaren onze medewerkers geen grote fraude- en corruptierisico’s.

Maar dit betekent niet dat er geen fraude of corruptie kan optreden. Naast duidelijke regels en handhaving speelt ook de bedrijfscultuur een rol. In onze bedrijfscultuur is handelen op basis van deze regels vanzelfsprekend. De raad van commissarissen, het bestuur en de leidinggevenden hebben een voorbeeldrol op het gebied van integriteit. Voor medewerkers geldt dat zij hun dilemma’s, twijfels en vragen over integriteit bespreekbaar moeten kunnen maken. In eerste instantie bij hun leidinggevende en zo nodig via alle andere beschikbare kanalen. Daarom zijn ook ‘soft controls’ belangrijk. Daarbij ligt de nadruk op het creëren van een motiverende en stimulerende omgeving. Ons integriteitsbeleid is hierbij een van de pijlers. Mocht er toch gefraudeerd worden, dan hebben we een zero-tolerance-beleid.