Risicomanagement

Woonzorg Nederland hecht belang aan een goed systeem van risicomanagement. De invulling hiervan binnen de organisatie wordt hierna toegelicht.

Risicobereidheid

Het Bestuur van Woonzorg Nederland onderkent dat actief risicomanagement een integraal onderdeel moet zijn van de operationele bedrijfsvoering, onder eindverantwoordelijkheid van het management op zijn/haar beleidsterrein. Afgelopen jaren zijn de nodige inspanningen verricht om het systeem voor risicomanagement verder te ontwikkelen. Om de doelstellingen te kunnen realiseren, worden activiteiten uitgevoerd die risico’s en onzekerheden met zich meebrengen. Dit laatste is mede afhankelijk van onze risicobereidheid: de aard, omvang en mate waarin we als organisatie bereid zijn om risico’s te lopen bij het realiseren van de doelstellingen. Het volledig uitsluiten van risico’s is niet mogelijk, en ook niet wenselijk.

Bij onze taakopdracht past een behoedzame houding ten aanzien van risico’s. Periodiek staat het bestuur en MT van Woonzorg Nederland stil bij onze risicobereidheid. We zijn bereid een bepaald niveau van risico te lopen om onze maatschappelijke doelstellingen te realiseren. We wegen daarbij kansen en risico’s van besluiten op een gedegen manier af en op basis daarvan maken we keuzes. Op onderdelen waarop we onderscheidend willen zijn hanteert Woonzorg Nederland en meer offensieve risicobereidheid. Dat wil zeggen dat wij kansen zo mogelijk willen benutten en de bijbehorende risico’s proactief bewaken, dan wel beheersen.

Risicoprofiel Woonzorg Nederland

Binnen Woonzorg Nederland wordt tweejaarlijks het (strategisch) risicoprofiel geactualiseerd.

Dit gebeurde het laatst in 2019. In 2020 zijn de vijf grootste strategische risico’s, voor zover ze door Woonzorg Nederland kunnen worden beïnvloed, als volgt opgepakt.

  1. Datakwaliteit- en stuurinformatie: Dit betreft het risico dat fouten in datakwaliteit de interne en externe (financiële) stuur- en verantwoordingsinformatie en -rapportages (negatief) beïnvloeden.
    In 2020 is hier extra op ingezet met capaciteit. Ook voor 2021 zal dit nodig zijn. Komend jaar zetten we hiermee weer een volgende stap. Vooralsnog hebben de vastgoeddata prioriteit gekregen. Dit thema krijgt in 2021 een bredere scope.

  2. Marktontwikkelingen: Dit betreft het risico dat de markten (vraag en aanbod) die van invloed zijn op Woonzorg Nederland zich in ongunstige zin ontwikkelen.
    We volgen deze nauwlettend en bespreken periodiek met Bestuur en MT de impact op de organisatie. We brengen vergezichten in kaart met scenario-analyses, waarna een extern bureau ons met deze beelden uitdaagt om in de toekomst optimaal wendbaar te blijven als dé seniorenhuisvester van Nederland.

  3. Kwetsbare huurders: Dit betreft het risico dat het aandeel van kwetsbare huurders (uit lagere sociale klassen (opleiding, inkomen), zorgbehoevenden, mensen met verward gedrag) in de woningen, wijken en buurten waar Woonzorg Nederland actief is toeneemt.
    Sociale incasso was als speerpunt van beleid in 2020 een belangrijk onderdeel van het jaarplan. Dit heeft geleid tot meer maatwerk en ook een meer continue dialoog met de huurders.

  4. Veiligheid: Dit betreft het risico dat bewoners in de woningen en/of het zorgvastgoed, alsmede medewerkers, geconfronteerd worden met veiligheid gerelateerde incidenten.
    In 2020 is er conform het programma hiervoor gewerkt aan het weer veiliger maken van onze complexen op het gebied van bijvoorbeeld legionella en brandveiligheid. Ook zijn meer panden drempelloos gemaakt en daardoor beter geschikt geworden voor onze doelgroep.

  5. Proces: Dit betreft het risico dat de operationele processen niet effectief en efficiënt verlopen (inrichting en uitvoering) en/of onvoldoende beheerst worden (niet aantoonbaar 'in control').
    In 2020 zijn we verder gegaan met het verbeteren van de interne processen. Hieraan wordt op gestructureerde wijze invulling gegeven met een zogenaamde herijkingskalender. Naast de procesbeschrijvingen zijn ook de hierin opgenomen interne beheersingsmaatregelen concreter en meer zichtbaar gemaakt. De accountant heeft over de ontwikkeling hiervan in 2020 een positieve zienswijze afgegeven.

In 2021 is de volgende herijking van de (strategische) risicoanalyse gepland. Tegelijkertijd houden we onze ‘ogen en oren’ gespitst op relevante tussentijdse interne en externe ontwikkelingen. Zo kunnen we op de mogelijke effecten daarvan waar nodig tijdig anticiperen.

Interne beheersomgeving en activiteiten

In 2020 heeft Woonzorg Nederland verdere stappen gezet in de financiële en operationele beheersing van de organisatie om daarmee ‘meer zichtbaar In control’ te komen. Vanuit verschillende invalshoeken zijn aandachtspunten opgepakt en optimalisatietrajecten ingezet. Om de onderlinge samenhang van de verschillende ‘puzzelstukjes’ van de interne beheersing inzichtelijk te maken, hebben we het ‘House of Control’ van Woonzorg Nederland opgesteld.

Alle onderdelen van het House of Control hebben in 2020 aandacht gekregen en zijn daarmee verder doorontwikkeld. Zoals reeds eerder beschreven heeft KPMG onderzoek gedaan naar de soft controls binnen Woonzorg Nederland, waarbij elementen van cultuur, integriteit en houding en gedrag nadrukkelijk aandacht krijgen. Een goede werking van soft controls is noodzakelijk voor een bedrijfscultuur waarin medewerkers elkaar (bij)sturen in gewenst gedrag. Ze bepalen daarmee in hoge mate het al dan niet (effectief) behalen van doelstellingen of tot stand brengen van de gewenste organisatieverandering. Uit het onderzoek blijkt dat wij gemiddeld genomen voldoende of goed scoren op de gemeten thema’s en soft controls. De gemiddelde score op de verschillende soft controls van 75% willen we komend jaar met gerichte acties verbeteren tot 80%. De soft controls voorbeeldgedrag, bespreekbaarheid, aanspreekbaarheid en handhaving zijn relatief sterk ontwikkeld in vergelijking met andere corporaties. Bij de soft controls helderheid, transparantie en uitvoerbaarheid zijn verbeteringen nodig.

Als ‘kapstok’ voor de inrichting van het operationele risicomanagement hanteert Woonzorg Nederland het Three Lines model. Uitgangspunt daarin is dat de lijnorganisatie verantwoordelijk is voor haar eigen processen. Daarbij wordt zij ondersteund en geadviseerd door de tweede lijn, die tevens bewaakt dat de lijnorganisatie deze verantwoordelijkheid ook daadwerkelijk neemt. Ook bepaalde beleidsvoorbereidende taken en het organiseren van integrale risk assessments zijn taken van de tweede lijn. Bij Woonzorg stelt Proces Control in de tweede lijn vast dat de meest belangrijke beheersingsmaatregelen op toereikende wijze zijn ingericht en functioneren. Het controleren van het samenspel tussen de eerste en tweede lijn en het daarover concluderen en rapporteren is belegd bij de derde lijn, de concerncontroller. Het Three Lines Model is zodanig ingericht dat dit past bij de kwaliteit en volwassenheid van de organisatie, waarbij de risicobeheersing adequaat functioneert en aansluit op de te realiseren doelstellingen.

Met het herijkte Internal Control Framework (ICF) is meer inzicht gekregen in de kwaliteit en voortgang van interne beheersingsmaatregelen (hard controls) binnen afdelingen, processen en systemen. Om dit verder door te ontwikkelen, wordt het ICF in 2021 geïntegreerd in een volwassenheidsmodel. Dit model ondersteunt het Management Team (MT) bij het komen tot een geïntegreerd Internal Control Statement per afdeling. Zo heeft iedere manager inzicht in de status (kwaliteit en voortgang) van interne beheersing van zijn/haar afdeling ten opzichte van het ambitieniveau. Belangrijk zijn ook de stappen om de bewustwording over risicobeheersing lager in de organisatie te laten landen. Door frequenter met elkaar in gesprek te gaan over dit onderwerp en het belang ervan steeds weer te bespreken, zal de bewustwording daarover binnen de hele organisatie gaandeweg vergroten.

Gedurende het jaar 2020 heeft Proces Control op verzoek van de RvB ook een aantal interne audits uitgevoerd, respectievelijk op de juiste inrichting en werking van de treasurymodule, de procuratie van orders in Tobias AX en de Governance Code. Bij de audits zijn geen relevante non-compliance zaken vastgesteld.

In 2020 werden verder een 3-tal (externe) audits uitgevoerd, namelijk op het gebied van soft controls door KPMG, ten aanzien van compliance met de Woningwet door AKD en met betrekking tot de inrichting van de autorisatieprocedure van inkoopfacturen in Tobias AX door KPMG. Rondom soft controls is bovenstaand toegelicht. Uit de audit van de Woningwet kwam dat Woonzorg dit onderdeel relatief goed heeft georganiseerd maar dat onderlinge effectieve samenwerking tussen afdelingen aan kracht kan winnen. Uit de audit van KPMG rondom de inrichting van de autorisatieprocedure van inkoopfacturen kwamen geen belangrijke aandachtspunten. De meest punten hiervan zijn direct na het onderzoek in de systemen aangepast dan wel is er een beheersingsmaatregel op ingericht.

De concerncontroller heeft, bij wijze van experiment, een quick scan uitgevoerd bij de afdeling Financiën op verzoek van de RvB. Deze was enerzijds gericht op het identificeren van de gerealiseerde verbeteringen in het afgelopen jaar en anderzijds op de focuspunten voor de komende periode. De bevindingen zijn gedeeld met de manager en teamleiders Financiën en besproken met het bestuur en MT. De manager Financiën heeft de focuspunten uit de quick scan meegenomen in het jaarplan voor 2021. Het proces en de transparante wijze van communiceren over de quick scan is van beide kanten naar tevredenheid verlopen. De bedoeling is om ook in 2021 één of meerdere quick scans uit te voeren.

In 2020 is gestart met het via een ‘agile methode’ herijken van processen. Medewerkers worden in dit traject meegenomen en raken er zo meer bij betrokken. De processen reparatieonderhoud en zakelijke verhuur worden als eerste aangepakt; zij dienen als ‘vliegwiel’ voor de aanpak van meer processen (zie ook par. 2.4.1 over Woonzorg ’21). Bij de invulling van de IT-systemen heeft Woonzorg, passend bij een meer wendbare organisatie met voldoende veerkracht voor de veranderingen die de externe omgeving van ons vraagt, bewust een hoger inherent risicoprofiel geaccepteerd. Met aanvullende beheersingsmaatregelen zullen we dit verhoogde risico naar wens adequaat beheersen. Dit betreft zowel het proces van migratie naar het flexibele IT-platform (zie ook par. 6.12.5) als het hieraan verbonden risicoprofiel na realisatie. Als onderdeel hiervan is de interne IT-organisatie in 2020 verstrekt en zijn inmiddels voorbereidingen getroffen om het (interne) rekencentrum begin 2021 naar de Cloud te migreren. We hebben in 2020 tevens externe PEN(etratests) uitgevoerd, waarbij ook professionele hackers waren betrokken. Deze gaven aan dat ons IT-systeem adequaat is beveiligd tegen ongeautoriseerde toegang door derden. De geconstateerde leemten in de beveiliging van de IT-systemen bij onze leveranciers worden in overleg met hen nader beperkt. 

De cyclus van Planning & Control is in 2020 verder verbeterd. De afdelingen zijn bewust meer betrokken bij de totstandkoming van het jaarplan voor 2021, zodat dit meer van onderaf is opgebouwd. Dit helpt bij het gezamenlijk werken aan de (strategische) doelen. De hierop aansluitende Kritische Prestatie Indicatoren (KPI’s) zijn scherper geformuleerd en daardoor beter meetbaar. De in 2020 gevormde ‘cascade’ van KPI’s geeft een duidelijker inzicht in de wijze waarop de verschillende activiteiten van medewerkers op afdelingsniveau een bijdrage leveren aan het realiseren van de strategie. Ook de andere interne (sturings)rapportages, waaronder de kwartaalrapportage, zijn tegen het licht gehouden, aangescherpt en daarmee voor de informatievoorziening relevanter geworden.

Ook andere activiteiten hebben in 2020 bijgedragen aan het verder ‘in control’ raken. We hebben een frauderisicoanalyse uitgevoerd en toegevoegd aan ons ICF. Er zijn veertien, specifiek voor Woonzorg maar ook voor de sector, relevante frauderisico’s gedefinieerd en qua risicoprofiel ingeschat. In overleg met de betreffende managers zijn beheersingsmaatregelen voor deze risico’s getoetst en vastgesteld, om zo in het proces toereikende maatregelen op te nemen die de risico’s naar een aanvaardbaar niveau terugbrengen. Verder is de gedrags- en integriteitscode herijkt en voerden wij op het gebied van compliance onder meer quick scans uit naar de eventuele risico’s bij de toepassing van de Woningwet maar ook op het gebied van Fiscaliteit. Door alle bovengenoemde activiteiten is de organisatie van Woonzorg Nederland in 2020 verder in control gekomen.

Naast bovengenoemde onderdelen van het House of Control blijven, als basis voor de beheersing van de risico’s, de diverse statuten, reglementen en vastgelegde procedures en processen een belangrijke kapstok. Hierin zijn de belangrijkste risico’s van Woonzorg Nederland ingekaderd. Het Investeringsstatuut, met de uitwerking in vaste besluitvormingsformats, geeft de kaders voor (des)investeringen. Investerings-, aankoop- en verkooptransacties worden besproken in de investeringscommissie, waarna het bestuur een afgewogen besluit neemt. Transacties groter dan € 3 miljoen (excl. btw) worden tevens voorgelegd aan de Raad van Commissarissen. Daarnaast heeft Woonzorg Nederland een tenderboard. Dit is een besluitvormend orgaan bij inkopen en contracten dat de verdere professionalisering hiervan aanjaagt en de transparantie en kwaliteit van de opdrachtverstrekkingen bevordert. Het Treasury-statuut geeft kaders voor het aantrekken van financiering, het doen van beleggingen en de omgang met derivaten. Ook heeft Woonzorg Nederland een Verbindingenstatuut dat regels bevat over het aangaan en beheren van verbindingen. In 2020 is ook een Fiscaal statuut opgesteld met kaders, doelstellingen en taken, vertaald naar operationele activiteiten. Dit statuut geeft richting aan de fiscale strategie van Woonzorg en is een instrument voor interne beheersing. Het legt onder meer vast dat we de relatief hoge inherente risico’s van de verschillende belastingvormen (met name vennootschapsbelasting, loonbelasting en BTW) binnen Woonzorg periodiek bespreken en beheersen. Daarnaast bestaan voor de vennootschapsbelasting en BTW met de Belastingdienst contractueel vastgelegde afspraken (Vaststellingsovereenkomsten) over de fiscale winstbepaling en het afdragen van belastingmiddelen.

Woonzorg Nederland heeft een formele organisatiestructuur met op operationeel niveau functiebeschrijvingen waarin de taken en bevoegdheden van medewerkers zijn beschreven. Deze zijn in 2020 herzien, in lijn met hetgeen wordt toegepast in de sector. We hebben verder een integriteitscode (incl. klokkenluidersregeling) waaraan elke medewerker zich dient te conformeren. Tot slot is de procuratieregeling, waarin bevoegdheden rond het aangaan van verplichtingen is geregeld, in 2020 geactualiseerd.

Organisatie

De afgelopen twee jaar is het team Control binnen Woonzorg Nederland versterkt. Dit team concentreert zich op Business control, Financial control en Proces control. Het jaarplan van team Control geeft richting aan de scope en diepgang van de werkzaamheden. Team Control stemt functioneel af met de Concerncontroller. Hiërarchisch valt team Control rechtstreeks onder het Bestuur van Woonzorg Nederland. De Concerncontroller bewaakt het financieel beleid en de (beheersing van) strategische en operationele risico’s, en informeert waar nodig het Bestuur over aandachtspunten. Het risicoraamwerk wordt periodiek geactualiseerd. De Audit Commissie en Raad van Commissarissen worden hier systematisch bij betrokken. De Concerncontroller opereert als onafhankelijke controller, zoals bedoelt in de Woningwet, en is aanwezig bij de bijeenkomsten van de Audit Commissie.

Rapportering en communicatie

De Planning & Control cyclus is een belangrijk onderdeel van het interne management control systeem. Deze cyclus omvat onder meer het opstellen van een jaarplan, begroting, maand- en kwartaalrapportages en de jaarrekening. Afdelings- en kwartaalrapportages zijn aangescherpt en ingekort om de stakeholders meer to the point te kunnen informeren over relevante ontwikkelingen. Zo komen de bestuurlijke visie en reflectie meer tot uiting en wordt concreter beschreven met welke stappen benoemde aandachtspunten in volgende perioden worden opgepakt.

Omgang met financiële ratio’s

Woonzorg Nederland stuurt in haar financieel beleid primair op kasstromen, waarbij steeds wordt bewaakt of de uitkomsten blijven voldoen aan de voor de verschillende balansratio’s geldende normen. Het Treasury-statuut bevat hiertoe kaders voor het aantrekken van financiering, het doen van beleggingen en de omgang met derivaten. Actuele kasstroomprognoses worden gehanteerd in het kader van (des)investeringsbeslissingen, onderhoudsprognoses en middelen in het kader van de bedrijfsvoering. In 2020 hebben we door het aanscherpen van het intern proces de interne overzichten hiervan verbeterd. Met deze verbeterde basis zitten we bij de kasstromen nu ‘dichter op de bal’.

Bij de financiële sturing hanteren wij signaalwaarden die strenger zijn dan de normen die de toezichthouders Aw en WSW hanteren voor het beoordelen van de financiële positie van corporaties. Wij doen dat bewust. Zo kunnen we de financiële impact van risico’s waarop we slechts beperkt invloed hebben, opvangen zonder dat we direct moeten bijsturen en het realiseren van onze doelstellingen in gevaar komt. Woonzorg Nederland streeft ernaar te blijven voldoen aan deze signaalwaarden. Overschrijding van de normen van Aw of WSW willen we voorkomen. Daar waar dit niet realiseerbaar is, gaan we daarover proactief in gesprek met de toezichthouders.

Informatisering en dataopslag

Wij zetten in op digitalisering van onze interne organisatie en dienstverlening. Het IT-landschap willen we daarbij wijzigen van één dominant ERP-systeem met ondersteunende applicaties, naar een meer flexibele IT-architectuur, waarbij deze systemen expliciet gescheiden worden van de dataopslag. De betreffende applicaties worden naar de interne en externe eindgebruikers ontsloten door een schil van diverse app-toepassingen. Op deze wijze borgen wij in de nabije toekomst met een moderne infrastructuur, en hierop gebaseerde ontsluiting van data, een optimale flexibele ondersteuning van onze medewerkers en onze processen, alsook samenwerking met onze externe leveranciers.

Stand van zaken risicoprofiel

In 2017 is een nieuw ondernemingsplan vastgesteld, waarin een duidelijke koers is bepaald. Dit plan is de afgelopen jaren onder meer geconcretiseerd in een actualisatie van het strategisch voorraadbeleid en de wensportefeuille. In de midterm review van het ondernemingsplan is in 2020 vastgesteld dat de ‘strategische route’, de zogenaamde routekaart, nog steeds passend is, inclusief het bijbehorende risicoprofiel.

Door de versterking van Team Control is een belangrijke basis gelegd voor interne beheersing. Control kan zich zichtbaar meer met haar kerntaken bezig houden waaronder het ‘zichtbaar’ inbedden en doorontwikkelen van risicomanagement in de organisatie, alsmede een meer systematische bewaking van en rapportering over de effectieve werking van de interne controlemaatregelen. Volgende stappen hierin zijn het verbreden van de rapportering over risicomanagement door middel van een dashboard waarmee we de stakeholders adequaat kunnen informeren. Daarin komt bijvoorbeeld naast financial controls ook meer aandacht voor operational controls. We kunnen hierbij onder meer denken aan de manier waarop Woonzorg Nederland omgaat met cyberrisico’s.

Het debiteurenrisico zorginstellingen is als (zeer) laag geclassificeerd. Dit stemt ook overeen met de beperkte afboekingen.

In 2020 heeft Covid-19 een belangrijke impact gehad op Woonzorg Nederland. De financiële impact hiervan, maar met name ook de impact op huurders, medewerkers en de bedrijfsvoering is elders in dit verslag toegelicht.

Woonzorg Nederland wil graag dat medewerkers trots zijn, initiatief nemen en de verantwoordelijkheid pakken om het goede te doen. De Woonzorg-medewerkers zijn heel betrokken. Dat komt niet alleen uit het soft controls onderzoek; we merken dit ook aan het enthousiasme op de werkvloer en bij de gehouden bedrijfsbrede (digitale) bijeenkomsten en trainingen om het samenwerken verder te stimuleren. In de Zomeracademie heeft dit ook extra aandacht gekregen.

Al met al zijn in 2020 belangrijke stappen gezet in het risicobewustzijn binnen de organisatie, het meer ‘zichtbaar in control’ komen en het rapporteren hierover. Dit heeft geleid tot een beperking van de intensiteit van het extern Toezicht van de Aw, in lijn met de versteviging van de interne beheersing van het financieel en strategisch risicoprofiel van Woonzorg Nederland in de afgelopen vier jaar. We zijn hier trots op en willen deze basis de komende jaren verder uitbouwen door de verdere ontwikkeling van integraal risicomanagement in 2021 en volgende jaren. Hierbij komt nog meer de nadruk te leggen op de verhoging van de volwassenheidsniveaus per proces en afdeling, meer integrale risicorapportages en meer operationalisering van de strategische risico’s.