VTW Publicaties

5

Interne ­beheersing

Corporaties zijn kapitaalintensieve bedrijven met een miljoenenomzet. De kwaliteit van de interne beheersing vraagt meer aandacht dan ooit tevoren. Waar moet de RvC scherp op zijn?

(Auteur: Johan Schudde, directeur Financiën bij Stichting Staedion en commissaris bij Woonpartners Midden Holland en De Goede Woning) 

 

Introductie

Het krachtenveld waar de woningcorporatie in opereert, is complex en de (maatschappelijke) opgave is groot. De inrichting van de interne beheersing en externe controle in de sector is in de afgelopen jaren aanzienlijk aangescherpt. Het gezamenlijk beoordelingskader van de Aw en het WSW, in 2019 geïntroduceerd, speelt hierin een belangrijke rol. Goed bestuur en toezicht, werken volgens de wet- en regelgeving, risicomanagement en de interne beheersing van de organisatie, alles moet op orde zijn.  

In dit hoofdstuk staan we stil bij de interne beheersing (‘het control raamwerk’) van de corporatie: is de organisatie goed ingericht om de strategische doelen van de corporatie te kunnen realiseren? Voldoet de organisatie daarbij aan alle wet- en regelgeving en wordt fraude voorkomen?

5.2 Rollen en verantwoordelijkheden RvB en RvC

De raad van commissarissen (RvC) is verantwoordelijk voor het toezicht op de raad van bestuur (RvB), inclusief het toezicht op de interne beheersing. De RvB is verantwoordelijk voor het voorkomen en ontdekken van fraude én het naleven van de wet- en regelgeving. De RvC houdt daar toezicht op. De organisatie moet de interne beheersing op orde hebben, ook dat is de verantwoordelijkheid van het bestuur.

De RvC houdt niet alleen toezicht op de corporatie, maar heeft ook een klankbordrol. De RvC adviseert en reflecteert met het bestuur en schetst aanvullende perspectieven. Wat speelt er buiten de organisatie en welke risico’s hebben mogelijk impact op de organisatie?

Kleinere woningcorporaties doen vaker een groter beroep op de specifieke deskundigheid van de RvC leden, als sparringpartner. Met name de leden van de auditcommissie (AC) sparren vaker met de RvB en management over de kwaliteit van de inrichting van de interne beheersing bij de corporatie.

5.3 Het control raamwerk

Elke corporatie heeft een control raamwerk om de interne beheersing op orde te hebben. Het control raamwerk is gericht op:

  • het realiseren van de ondernemingsstrategie en afgeleide (jaarplan)doelen tegen een aanvaardbaar risicoprofiel;
  • het mogelijk maken van betrouwbare (management)informatie en periodieke rapportages;
  • het tijdig identificeren en beheersen van de risico’s die de corporatie zelf neemt en waaraan de corporatie is blootgesteld;
  • het borgen van compliance met toepasselijke wet- en regelgeving.

Voor de inrichting van het control raamwerk hanteren corporaties vaak het COSO model. Dit model onderscheidt vier risicocategorieën:

  • Strategisch (doen we de goede dingen);
  • Operationeel (doen we de dingen goed);
  • Compliance (houden we ons aan wet- en regelgeving);
  • Verslaglegging (beschikken we over de juiste stuur- en verantwoordingsinformatie).

Het model volgt per categorie de volgende stappen:

  1. Bepalen algemene risicohouding/-bereidheid;
  2. Bepalen doelen (per doel met specifieke risicobereidheid);
  3. Inventariseren gebeurtenissen die doelrealisatie kunnen verhinderen;
  4. Risicoanalyse: het bepalen van de kans en impact van de gebeurtenissen;
  5. Bepalen (risico) reactie (vermijden, accepteren, overdragen of beheersen);
  6. Nemen beheersmaatregelen;
  7. Rapporteren en informatie delen ((bij)sturen en verantwoorden);
  8. Monitoring (door uitvoeren interne controles en audits).

Andere belangrijke pijlers van het control raamwerk zijn onder meer: strategievorming, organisatie inrichting/besturingsmodel, cultuur, risicomanagement, compliance, processen en systemen. Dit geheel vormt de interne beheersing in de corporatie.

5.3.2 Drie verdedigingslinies

Corporaties werken met de zogenaamde ‘drie verdedigingslinies’ om risico’s zoveel mogelijk uit te sluiten. Dit principe houdt in dat de interne beheersmaatregelen zoveel mogelijk ‘in de lijn’ worden geborgd:

De eerste verdedigingslinie bestaat uit het management, onder leiding van een afdelingsdirecteur/-manager. Het management is primair verantwoordelijk voor de uitvoering van de activiteiten, resultaten en effectiviteit van de control in relatie tot de geïdentificeerde risico’s. Het management legt hier jaarlijks verantwoording over af aan de RvB. Op haar beurt legt de RvB verantwoording af aan de RvC over de werking van het control raamwerk.

De tweede verdedigingslinie bestaat uit risicomanagement en diverse staf (control) functies. Deze functies hebben een adviserende en ondersteunende taak bij de interne beheersing. Het gaat hierbij onder andere om het regisseren en borgen (van de implementatie) van risicomanagement (waaronder compliance) in de organisatie.

De derde verdedigingslinie bestaat uit onafhankelijk onderzoek, uitgevoerd door de Interne Audit Dienst (IAD) of onafhankelijk controller en fungeert als ‘extra slot op de deur’. De IAD of de onafhankelijke controller geeft een onafhankelijk oordeel over de opzet en werking van het control raamwerk. Hij beoordeelt de betrouwbaarheid en effectiviteit van de beheersing van risico’s die van invloed zijn op de realisatie van de doelstellingen van de corporatie. De controle door de externe accountant maakt ook deel uit van de derde verdedigingslinie.

De RvC maakt geen onderdeel uit van de derde verdedigingslinie, maar maakt gebruik van de verstrekte informatie uit de derde verdedigingslinie om goed toezicht te kunnen houden.

5.3.3 Processen bij een woningcorporatie: check risico’s

Processen bij een woningcorporatie zijn vaak hetzelfde. Om risico’s zoveel mogelijk te voorkomen, vragen sommige processen in het control raamwerk om meer aandacht. Het gaat om maatwerk per corporatie, maar de IAD en de accountant bestempelen enkele processen als meer risicovol en kernpunten van controle. In het onderstaande schema zijn deze aangegeven:  

Nr.

Proces

Extra aandacht vanuit toezichtsperpectief

1

Risicomanagement

+

2

Automatisering

+

3

Fiscaliteiten

+

4

Verbindingen & deelnemingen

+

5

Fraude risicoanalyse

+

6

Administratie & verslaglegging

 

7

Waardering vastgoed

+

8

Vermogens & liquiditeitenbeheer (treasury)

+

9

Kosten & betalingen (incl. inkoop)

+

10

Huurincasso & overige debiteuren

 

11

Personeel

 

12

Kas

 

13

Investeringen (niet zijnde vastgoedprojecten)

 

14

Investeringen (zijnde vastgoedprojecten)

+

15

Huren & vergoedingen

 

16

Overige opbrengsten

 

17

Verkopen

 

18

Onderhoud

 

19

VvE’s

 

 

Met name het fiscaal beleid en waardering van het vastgoed (marktwaarde en beleidswaarde) vragen om een gedegen analyse en een zorgvuldige beoordeling door de RvC.

De RvC moet extra aandacht hebben voor alle bovengenoemde risicovolle processen. Wie zijn er betrokken bij het proces? Is een extern deskundige ingeschakeld, zo nee, waarom niet? Is er sprake van (wijzigingen in) schattingen/aannames en/of wet- en regelgeving? De informatievoorziening vanuit de organisatie is voor de RvC cruciaal om de interne beheersing van belangrijke processen zoals fiscaliteit en marktwaardering te kunnen beoordelen. Aarzel niet om waar nodig te vragen om nadere onderbouwing en (scenario-)analyses.

5.4 Reglement Financieel Beleid en Beheer

Volgens de Woningwet moeten de corporaties sinds 1 januari 2019 een Reglement Financieel Beleid en Beheer (Reglement) hebben dat de Aw heeft goedgekeurd. In dit Reglement staat hoe de corporatie de interne beheersing heeft vormgegeven. Ook staat onder meer beschreven hoe de corporatie de betrokkenheid van intern toezicht heeft georganiseerd.  

In het Besluit Toegelaten instellingen Volkshuisvesting (BTiV) en de Regeling Toegelaten instellingen Volkshuisvesting 2015 zijn nadere eisen gesteld aan dit Reglement. Volgens BTiV artikel 105 moet de control-functie in een afzonderlijke organisatie-eenheid opgenomen worden (bij corporaties met meer dan 2500 vhe). BTiV artikel 105 stelt ook eisen aan de RvC over financieel beleid en beheer. De RvC moet voldoende kennis hebben.

Aedes heeft destijds in samenwerking met de VTW een model-reglement Financieel Beleid en Beheer opgesteld dat nagenoeg alle woningcorporaties hebben overgenomen.

Meer informatie:

https://www.aedes.nl/artikelen/financi-n/financi-n-n/instrumenten/handreikingen-reglement-financieel-beleid-en-beheer-gepubliceerd.html

5.5 Interne beheersing in de praktijk

Het management is verantwoordelijk voor de kwaliteit (lees: betrouwbaarheid) van de processen binnen de corporatie en zijn de zogenaamde ‘proceseigenaren’. Elke proceseigenaar voert diverse beheersmaatregelen uit om de betrouwbaarheid van zijn proces te bewaken. Het management krijgt van de tweede verdedigingslinie (advies over de te hanteren) kaders en richtlijnen en kan deze linie gebruiken voor sparring en advies. De IAD  stelt vast of het systeem van interne controle in voldoende mate heeft gefunctioneerd. De IAD stemt de bevindingen af met het betrokken management en rapporteert aan de RvB / de RvC.

De IAD stemt vooraf (de planning van) en achteraf (de resultaten van) zijn werkzaamheden af met de RvC. In de vergaderingen van de auditcommissie zijn het intern controleplan en de controlerapporten van de IAD nadrukkelijk onderwerp van gesprek. De uitgevoerde controlewerkzaamheden van de IAD zijn ook input voor de externe accountant bij het bepalen van de controle aanpak van zijn jaarrekeningcontrole.  Dit auditplan stemt de accountant vervolgens - voordat de controle start - ook weer af met de RvC (zie hoofdstuk 11 in deze handreiking over De accountant).

Het goede voorbeeld

De RvB is verantwoordelijk voor zowel de resultaten van de organisatie als de risico’s die voortvloeien uit de organisatieactiviteiten, de interne beheersing. De RvC houdt hier toezicht op. Deze verantwoordelijkheid kan de RvC alleen dragen als iedereen in de organisatie zich hiervoor inzet. Managementstijl en het goede voorbeeld van leidinggevenden en RvB /RvC (“tone at the top”) is essentieel. De visie van de RvB / de RvC op de rol van interne beheersing, risicomanagement en de organisatiecultuur beïnvloedt het gedrag van medewerkers.

De RvC moet hier aandacht voor vragen. Worden medewerkers gestimuleerd om kansen voor verbetering van processen en potentiële risico’s voor de interne beheersing te signaleren? Welke verbale en non-verbale signalen geven bestuurder, controller en de externe toezichthouders af?

Ga als AC/RvC minimaal 1 x per jaar, zoals de Woningwet verplicht, hierover in gesprek met de controller en de manager/directeur financiën. Zet alle in- en uitgaande correspondentie met de externe toezichthouders ter bespreking op de RvC-agenda.

De praktijk bij kleinere corporaties

Bij kleinere woningcorporaties is toepassing van een zuivere vorm van de drie verdedigingslinies niet mogelijk, omdat een officiële IAD (3e lijn) ontbreekt. Dit leidt vaak tot overlap tussen de diverse rollen. Op het gebied van interne controle spelen dan zowel de 1e als 2e lijn een actieve rol. Uitvoering van de interne controle vindt plaats door management én de controller.  De controller fungeert in de 2e lijn en zal op onderdelen ook onafhankelijke controles uitvoeren die raakvlak hebben met de 3e lijn. Uiteindelijk geeft ook hier de externe accountant als onafhankelijke externe partij zijn totaal oordeel over het functioneren van de organisatie door middel van de interim- en jaarrekeningcontrole.

Het geheel moet kloppen

Voor de RvC is het van belang om te beoordelen of ‘het geheel’ van de maatregelen van interne beheersing klopt bij de corporatie. Klopt de samenhang tussen de drie verschillende verdedigingslinies op papier én in de praktijk: in het bijzonder de samenhang tussen de 2e en de 3e linie. De positionering, focus en taakafbakening moet op elkaar afgestemd zijn (wie is verantwoordelijk voor procesverbetering, informatievoorziening en compliance?).

Ga als RvC ook in gesprek met de accountant. De accountant rapporteert jaarlijkse over de kwaliteit van de interne beheersing in zijn managementletter. Niet alle commissarissen kunnen volgen wat de accountant meldt in zijn rapportages vol vakjargon. Door de omvang van de rapportage gaat de kern van de boodschap soms verloren. Vraag uitleg waar nodig. Alleen dan krijg je als RvC voldoende inzicht om de juiste afwegingen te kunnen maken.

5.6 Documentatie voor oordeel kwaliteit interne beheersing

Voor het oordeel over de kwaliteit van de interne beheersing kan de RvC gebruik maken van diverse interne en externe documenten:

  • De externe accountant rapporteert jaarlijkse over de kwaliteit van de interne beheersing in zijn managementletter. De opvolging van de aanbevelingen in de managementletter is vaak onderdeel van het rapport van bevindingen bij de jaarrekeningcontrole;
  • De Aw beoordeelt vanaf 1 januari 2019 corporaties op basis van het gezamenlijk beoordelingskader Aw-WSW. De Aw beoordeelt de corporaties integraal, de interne beheersing maakt daar deel vanuit. Dat betekent dat verschillende risicogebieden in onderlinge samenhang worden beoordeeld. Jaarlijks rapporteert de Aw hierover in zijn ‘oordeelsbrief’;
  • De interne reglementen en statuten: met name het Reglement Financieel Beleid & Beheer, investeringsstatuut, verbindingenstatuut, fiscaal statuut en treasury statuut;
  • Het auditplan en rapportages van de IAD / onafhankelijk controller;
  • Door de RvB vastgestelde strategische en frauderisicoanalyse;
  • Periodieke rapportages in het kader van de Planning & control cyclus (maand-, kwartaalrapportage, jaarplan en jaarverslag);
  • Rapportage van de Visitatiecommissie.

5.7 Interne beheersing op orde, minder controle

De enorme toename van wet- en regelgeving die in afgelopen jaren op de sector is afgekomen, inclusief de toenemende kosten, is velen een doorn in het oog.  Verschillende onderzoeken, zoals die van de VTW en Aedes, bevestigen dat de accountantskosten fors zijn toegenomen. (Zie nieuws: https://www.vtw.nl/nieuwsbrief/92/artikel/6330 ) Ook de kosten voor specialisten als taxateurs en fiscalisten zijn significant hoger dan in de periode vóór de Woningwet. Minder controle van de extern toezichthouder, zoals de sector wil, vraagt echter van corporaties dat zij de interne beheersing op orde hebben.

5.8 Aandachtspunten voor de interne toezichthouder

  • Vraag de bestuurder alle in- en uitgaande communicatie met de externe toezichthouders ‘ter bespreking’ op de RvC agenda te zetten. Vraag door op alle punten die de Aw en het WSW over (toezichts)afspraken en interventies hebben genoemd. Vraag of het bestuur de monitoring van die afspraken opneemt in de periodieke rapportages aan de RvC.
  • Agendeer het controleplan van de IAD ter bespreking op de agenda van de AC en de RvC en bepaal samen of de agendeerde onderwerpen aanvulling behoeven en/of er onderwerpen op verzoek van de RvC toegevoegd moeten worden. Beoordeel in hoeverre de IAD ontwikkelingen vanuit de interne en externe omgeving zijn vertaald naar (aanpassingen in) zijn controleplan.
  • Vraag de bestuurder jaarlijks het fiscaal beleid en de bepaling van de markt- en beleidswaarde toe te laten lichten door de verantwoordelijk manager.
  • Agendeer periodiek (eens in de 3 jaar of vaker wanneer daar aanleiding voor is) het Reglement Financieel Beleid & Beheer in de RvC vergadering en beoordeel tijdens de periodieke gesprekken met de onafhankelijk controller en de manager/directeur financiën of het ‘control raamwerk’ bij de corporatie in de praktijk ook zo wordt toegepast.
  • Meer uren van een accountant duidt vaak op lacunes in de interne beheersing. Ga met de bestuurder het gesprek aan over het meerwerk van de accountant en wat daarvan de oorzaak is.
  • Vraag de IAD naar het overzicht van de afwikkeling van de actiepuntenlijst op basis van de uitgevoerde audits en vraag door op actiepunten die > 1 jaar open staan.
Arrow-prev Arrow-next