9 Risico's 2022

Het risicomanagementproces is een manier om risico’s op een gestructureerde wijze in kaart te brengen, te beoordelen en te beheersen. Binnen het risicomanagementproces gaat het om identificatie en beoordeling van risico’s die de realisatie van de doelstellingen bedreigen. Het gaat om identificeren, classificeren, kwantificeren en beheersen van risico’s. 

Prioritering van de risico’s gebeurt op basis van de omvang van de risico’s en is in lijn met de risicobereidheid. Aan de hand van een kans- en impactmatrix wordt aan de voorkant een inschatting gemaakt van de hoogte van de risico’s. Door het koppelen van de schadestatistiek kan achteraf bepaald worden hoe vaak een ingeschat risico zich heeft voorgedaan en wat de impact ervan is geweest. De beheersmaatregelen en het risicomanagementproces worden periodiek gemonitord. 

Woonforte heeft haar raamwerk voor risicomanagement gebaseerd op het COSO-model. Het COSO-model gaat over strategie, effectiviteit en efficiëntie van de bedrijfsprocessen en de naleving van wet- en regelgeving. Daarbij zijn de volgende invalshoeken relevant: 

• governance en cultuur; 
• strategie en doelstellingen; 
• prestatie; 
• review en herziening. 

Woonforte wil ‘in control’ zijn. Dit betekent dat Woonforte: 

• haar doelstellingen uit de MVS realiseert tegen acceptabele risico’s; 
• vaststelt dat de juiste dingen op de juiste manier gedaan worden (o.a. juistheid en betrouwbaarheid van gegevens, naleven procedures); 
• de organisatie monitort en zichzelf continu wil ontwikkelen en verbeteren (o.a. uitvoeren audits, risicoanalyses, rapportages, opstellen procesbeschrijvingen, verbetervoorstellen); 
• voldoet aan wet- en regelgeving. 

Het bepalen van de risicobereidheid maakt deel uit van de strategie. Risicobereidheid is de ruimte die we onszelf als bedrijf geven om te ondernemen. 

In het beleid risicomanagement is de generieke risicobereidheid van Woonforte beschreven met de focus op het bereiken van strategische en maatschappelijke doelen en de organisatiecultuur. Woonforte wil een professionele, integere, wendbare en toekomstbestendige organisatie zijn waarbij de mens (medewerker en huurder) centraal staat. Woonforte is een maatschappelijke organisatie. Gelet op haar maatschappelijke en sociale taak geeft Woonforte er de voorkeur aan om weinig risico’s te lopen. Daarom is de generieke risicobereidheid van Woonforte risicoavers (we vermijden risico’s zoveel mogelijk), risicodefensief (we geven er de voorkeur aan weinig risico’s te lopen) of risiconeutraal (we wegen risico’s en kansen tegen elkaar af, en nemen dan een besluit). 

Naast de generieke risicobereidheid hebben we een specifieke tolerantiegrens gesteld per prestatie-indicator. Prestatie-indicatoren worden jaarlijks (opnieuw) bepaald bij het opstellen van de begroting. Afwijkingen in de realisatie ten opzichte van de tolerantiegrenzen worden tussentijds geanalyseerd in de Balanced Score Card en waar nodig vindt bijsturing plaats. 

Prioritering van de risico’s gaat op basis van de omvang van de risico’s en is in lijn met de risicobereidheid. We werken met (financiële normen) en toetspunten. In het 1e kwartaal 2023 wordt de risicobereidheid opnieuw uitgewerkt en binnen de organisatie gedeeld en besproken.

Risicomanagement maakt deel uit van het interne beheersingssysteem van Woonforte. Het is geen op zichzelf staand vakgebied, maar heeft raakvlakken met control en processen. Interne beheersing is gericht op het verkrijgen van een redelijke mate van zekerheid over het bereiken van doelstellingen. 

Bij Woonforte zijn de risico’s ingedeeld in drie categorieën:

1. Strategische risico’s die bij de kaderbrief en begroting (tweemaal per jaar) besproken worden (bespreken kerncijfers financiële sturing). 
2. Strategische risico’s die per kwartaal in het MT worden besproken.Het gaat hier veelal om de prestatie-indicatoren die niet aan de norm voldoen en de te treffen beheermaatregelen (bespreken sturingsdashboard).
3. Operationele risico’s die continu aandacht vragen.

In de MVS zijn volkshuisvestelijke doelstellingen opgenomen met een beoogde realisatie op de middellange termijn (tot 2030). In 2022 zijn de doelen in de MVS aangepast. Ieder strategisch risico heeft een directe relatie met een strategisch doel uit de MVS. Om die reden zijn na het aanpassen van de doelen ook de strategische risico’s opnieuw inhoudelijk geanalyseerd, besproken en vastgesteld. De oorzaken en gevolgen van de risico’s zijn opnieuw in kaart gebracht om vervolgens beheersmaatregelen te treffen die de kans verkleinen dat de oorzaken zich voordoen.

De strategische risico’s zijn uitgewerkt in een (geactualiseerde) risicokaart. Dit is een Infographic met de belangrijkste strategische doelen van Woonforte op een rij. Per doel is zichtbaar welke bijbehorende strategische risico’s er zijn, met een toelichting per risico, welke beheersingsstrategie er gekozen is, welke beheers- en verbetermaatregelen er zijn en wie de risico-eigenaar is. 

Daarnaast bespreekt het MT per kwartaal bij de BSC de risico’s.

Woonforte is bezig met het actualiseren en optimaliseren van de processen en het implementeren van een G(overnance) R(isicomanagement) C(ontrol)-platform. Onder procesmanagement verstaan we de interne beheersing en optimalisatie van de bedrijfsvoering van Woonforte.

Processen 
Procesmanagement begint bij het goed beschrijven van de processen. Een proces bestaat uit alle acties die we nemen om een dienst of product te leveren. Als we die acties hebben beschreven (wie doet wat en in welke volgorde) en vastgesteld, dan moeten wij ons allemaal houden aan deze afspraken.  
Per geüpdatet proces worden de belangrijkste risico’s uitgewerkt en vastgelegd in Mavim. De risico-eigenaar is de proceseigenaar en dit is altijd een MT-lid. Het management is verantwoordelijk voor de feitelijke inrichting van processen waarbij de risicoanalyse en risicobereidheid moet worden omgezet in het feitelijk beheersen van de risico’s.

Risicomanagement 
Risicomanagement is ook een belangrijk onderdeel van procesmanagement. Ieder proces start met het bepalen van het doel van het proces. Aan de hand van de doelstelling worden de risico’s van het proces in kaart gebracht en door erop te anticiperen zorgen we ervoor dat de processen soepel en ongestoord verlopen en we voortdurend in control blijven.

In het project 'actualiseren en optimaliseren van processen' leggen de betrokkenen binnen de organisatie met elkaar de manier van werken vast. De betrokkenen worden daarbij ook uitgedaagd om na denken over operationele risico’s die er binnen het proces zijn. De betrokkenheid wordt verder vergroot door gezamenlijk KPI’s af te spreken.

Interne controle 
Procesmanagement kan niet zonder interne controle. We controleren regelmatig of de procesafspraken goed worden nageleefd. De informatie over de interne controle heeft een plek in de Mavim Portal.  

Privacy en informatiebeveiliging 
Informatiebeveiliging en privacy moeten we in alle processen goed borgen. Als we dat niet doen, lopen we grote risico’s op imagoschade. Omdat het zulke belangrijke randvoorwaarden in alle processen zijn, is privacy opgenomen in Mavim en dit gebeurt op een later moment ook voor informatiebeveiliging.

Over de belangrijkste risico’s rapporteren we in de kwartaalrapportages aan het bestuur en de Raad van Commissarissen. Daarbij wordt inzicht gegeven in de genomen maatregelen. Als dat nodig is, wordt tussentijds gerapporteerd. In het jaarverslag legt het bestuur hierover verantwoording af.

De belangrijkste strategische risico’s op dit moment:  

Politieke onvoorspelbaarheid en instabiliteit 

Het risico dat veranderingen in het politieke speelveld onze corporatie raken, is onverminderd groot. Als de politiek de corporatiesector verplichtingen oplegt, kan dat ertoe leiden dat wij onze eigen strategie niet geheel kunnen uitvoeren door gebrek aan tijd en/of geld. Wel zijn er bindende prestatieafspraken op landelijk niveau (Nationale Prestatieafspraken woningcorporaties) gemaakt, waarin volkshuisvestelijke opgaven tot en met 2030 zijn opgenomen. 

De druk op de woningmarkt is onverminderd hoog. Kabinet en gemeente kunnen deze druk verlichten zodat woningcorporaties meer (betaalbare) woningen kunnen bouwen en meer kunnen investeren in verduurzaming. Uiteraard geeft het wegvallen van de verhuurdersheffing een forse verlichting. Hier tegenover staan echter de Nationale Prestatieafspraken, waarin bindende prestatieafspraken zijn benoemd voor een verdubbeling van de bouwproductie van sociale huurwoningen, vergaande verduurzaming, huurmatiging, een verplichte huurverlaging voor de laagste inkomens, investeringen in woningverbetering en het aanpakken van vocht- en schimmelproblemen.  

Door de hoge energieprijzen en hoge inflatie hebben steeds meer mensen moeite om de eindjes aan elkaar te knopen. Daarom zijn in de Nationale Prestatieafspraken maatregelen opgenomen om de betaalbaarheid van het huren te garanderen. Van grote impact op de corporatie is dat huren niet meer de inflatie volgen, maar de cao-loonontwikkeling. Deze maatregel, hoe begrijpelijk ook uit het oogpunt van betaalbaarheid, betekent echter wel dat de ontwikkeling van de inkomsten achter zal blijven bij de kostenontwikkeling. Daarnaast krijgen huurders met een inkomen op of onder 120% van sociaal minimum een huurverlaging naar € 550 per maand (volgens Nationale Prestatieafspraken gebaseerd op prijspeil 2020). Deze maatregelen betekenen een aanscherping van ons beleid.  

Het Rijk wil opnieuw de regie nemen als het gaat om volkshuisvesting. Er wordt een wetsvoorstel voorbereid waarin wordt vastgelegd hoe het Rijk weer de regie kan voeren over het volkshuisvestingsbeleid (Wet versterken regie volkshuisvesting). De afspraken krijgen steeds meer een bindend karakter, met als gevolg minder keuzevrijheid voor corporaties.  

Realisatie nieuwbouwportefeuille 

In 2022 en verder, ligt de focus op het realiseren van de nieuwbouwproductie en het op gang brengen van de doorstroming. 

Dit zijn risico’s en onzekerheden die de effectiviteit en efficiëntie van de operationele activiteiten beïnvloeden en daarmee vooral betrekking hebben op de processen, mensen en systemen en van invloed kunnen zijn op de kortetermijndoelstellingen. 

Informatiebeveiliging en -continuïteit 

Intern is door het Team Informatiebeveiliging een risicoanalyse uitgevoerd ten aanzien van informatiebeveiliging. De belangrijkste risico’s die uit deze risicoanalyse naar voren kwamen zijn: menselijke fouten/handelingen, cybercriminaliteit (ransomware, virussen en cyberattacks), bedrijfsonderbreking, onvoldoende regelen/niet goed regelen van contractvorming en gedeelde verantwoordelijkheid in samenwerkingsverbanden. 

Bij de bepaling van de belangrijkste risico’s is naast de risicoanalyse gebruik gemaakt van de uitgevoerde IT-audit door de accountant, de gehouden pentesten en  en de ransomware-inventarisatie van de verzekeringsmaatschappij. Ook onze technische ondersteuner geeft input ten aanzien van informatiebeveiliging. In 2022 zijn drie beheersmaatregelen genomen om de belangrijkste risico’s uit de risicoanalyse informatiebeveiliging verder te beperken:

• het verder toepassen van MFA (Multi Factor Authenticatie); 
• aanpassen local administrator rechten;  
• inrichting van het Microsoft Compliance Center (vanuit project SharePoint).  

Ook is er in 2022 een cyberverzekering afgesloten. Daarnaast is het informatiebeveiligingsbeleid recentelijk geactualiseerd naar de NEN27001/2013 en NEN27002/2017. In het 1e kwartaal 2023 is gestart met het opstellen van een continuïteitsplan. Het vergroten van het bewustzijn van medewerkers op het gebied van informatiebeveiliging is een doorlopende activiteit. 

Dit zijn de risico’s en onzekerheden met betrekking tot de financiële positie van Woonforte. Woonforte wil de financiële positie nu en in de toekomst in lijn brengen en houden met onze organisatiedoelen, en wel zodanig dat de financiële continuïteit wordt gewaarborgd tegen aanvaardbare risico’s en de beschikbare middelen doelmatig worden ingezet. 

Continuïteitsrisico 

Woonforte past uitgangspunten gericht op een duurzaam bedrijfsmodel toe. De essentie van dit model is dat het kasstromen genererende vermogen van de vastgoedportefeuille op langere termijn op een bepaald minimaal niveau blijft. De in de begroting 2023 opgenomen activiteiten en programma’s leveren een relevante bijdrage aan het bereiken van de doelstellingen uit de MVS. Op basis van de financiële sturingsindicatoren in relatie tot de externe normen en interne streefwaarden, concludeert Woonforte dat er sprake is van een financieel haalbaar en verantwoord beleid. Daarbij is rekening gehouden met relevante risico’s en is ook gekeken naar de financiële effecten op langere termijn. Woonforte is financieel gezond. 

In de begroting 2023 is rekening gehouden met de Nationale Prestatieafspraken Volkshuisvesting. De Nationale Prestatieafspraken Volkshuisvesting zijn in lijn met de MVS van Woonforte waarin bindende (landelijke) prestatieafspraken zijn vastgelegd in ruil voor de afschaffing van de verhuurderheffing vanaf 2023.  

Op dit moment (januari 2023) is de regionale woondeal voor onze regio nog niet ondertekend. Dat wil zeggen dat de prestatieafspraken op gemeentelijk niveau, en daarmee de exacte opgave voor Woonforte, nog niet concreet zijn. Woonforte zal nieuwe doorrekeningen maken bij het concreter worden van de gevolgen van de Nationale Prestatieafspraken en de regionale woondeal. 

(Her)financieringsrisico en onzekerheden in mogelijkheden om financiering aan te trekken 

Gelet op de borgingsmogelijkheden bij het WSW heeft Woonforte geen financieringsrisico. In 2022 is er een extra aflossing gedaan van € 10 miljoen en is € 35 miljoen niet opnieuw aangetrokken door vertraging / uitstel van projecten. 

Renterisico 

Door renterisicomanagement beperkt Woonforte de gevoeligheid voor renteschommelingen in de tijd door een evenwichtige spreiding van de renterisico’s. Het relatief bedrijfseconomische renterisico is in 2022 binnen de intern gestelde norm gebleven. 

Liquiditeitsrisico 

Het waken over de beschikbaarheid van liquiditeit is een belangrijk aandachtsgebied van treasury. De korte en middellange liquiditeitsplanning zijn in het treasury-jaarplan opgenomen. De treasury-commissie bespreekt deze per kwartaal of als dat gewenst is tussentijds. Woonforte heeft in 2022 geen liquiditeitsproblemen gehad. 

Hieronder vallen risico’s en onzekerheden die van invloed kunnen zijn op de interne en externe financiële verslaglegging. 

Onvoldoende kwaliteit en niet tijdige beschikbaarheid verslaggeving 

Er zijn verschillende maatregelen getroffen om deze risico’s tot een acceptabel niveau te verlagen. Denk aan het toepassen van definities en standaarden in de eigen administratie en informatievoorziening en het verbeteren en borgen van de kwaliteit van data. 

Subjectiviteit waarderingsvraagstukken 

Een betrouwbare uitkomst van de waardering van de vastgoedportefeuille op marktwaarde in verhuurde staat is geborgd door verschillende maatregelen. 

1. Organisatie: verschillende rollen (beheer vastgoed, vastgoedsturing, administratie en control) zijn op basis van functiescheiding belegd. 
2. Taxatie: de externe taxateur maakt voor een derde deel jaarlijks een volledige taxatie. Het overige deel van de woningen, BOG/MOG en parkeerplaatsen wordt door de taxateur gewaardeerd met een markttechnische update. 
3. Benchmark: de uitkomsten worden gerelateerd aan marktontwikkelingen en -trends. Daarnaast vindt een analyse plaats met de WOZ-waarden. 
4. Datakwaliteit: Woonforte heeft maatregelen genomen waardoor de datakwaliteit die relevant is voor de marktwaardewaardering op het vereiste niveau is. 
5. Afstemming: aan het einde van het proces vindt afstemming plaats tussen alle betrokkenen in het proces. Het betreft medewerkers, taxateurs en accountant. Besproken worden de kwaliteit van het proces, de datakwaliteit, opvallende trends en afspraken over verbeterpunten. Geconcludeerd is dat de datakwaliteit goed is. 

Dit zijn risico’s en onzekerheden die voortvloeien uit wetten en regels (zowel intern als extern) en die een directe invloed hebben op de organisatie en/of de bedrijfsprocessen. 
Woonforte heeft de verantwoordelijkheid voor compliance belegd per discipline. Primair is de proceseigenaar verantwoordelijk. Er wordt onderscheid gemaakt in externe regels (wet- en regelgeving, richtlijnen) en interne regels(reglementen en procedures, toepassen van beleid).

Veiligheid & gezondheid (asbest, legionella, koolmonoxide en brandveiligheid en bouwkundige gebreken)

Er is een stuurgroep Safety en Security die de risico’s van veiligheid en gezondheid gestructureerd ter hand neemt aan de hand van de risicokaart Safety & Security. Ieder jaar wordt een risicoanalyse uitgevoerd en de risicokaart geactualiseerd. De uit te voeren activiteiten uit de risicoanalyse worden in een jaarplan voor het volgende jaar opgenomen. 

Ieder kwartaal wordt er door Burghgraef van Tiel een risicoanalyse uitgevoerd t.b.v. de brandverzekering. Er wordt een aantal complexen geselecteerd en er vindt een schouw plaats. De resultaten worden vastgelegd in een schouwrapport. De stuurgroep Safety en Security analyseert de zaken uit de schouwrapporten, prioriteert de eventuele vervolgacties, legt de bevindingen vast in een apart document en rapporteert aan de manager Vastgoed.

In 2022 is er een asbestincident geweest. Geconcludeerd is dat het informeren van betrokkenen beter in het proces geborgd moet worden, zeker als de vondst van asbest niet het gevolg is van projectmatige werkzaamheden. Hier wordt opvolging aan gegeven.