VTW Publicaties

6

Risico­management

Corporaties moeten expliciet aandacht geven aan risicomanagement. In dit hoofdstuk schetsen we het theoretisch kader van risicomanagement. Wat betekent dit voor de financiën en de organisatie van de corporatie? En waar moet de RvC scherp op zijn?

(Auteur: Gerard Erents, zelfstandig bestuursadviseur en commissaris bij Rijswijk Wonen, Domesta en WSG)

 

Introductie

Na de financiële crisis en incidenten in de sector (die hebben geleid tot de herziening van de Woningwet) zijn corporaties zich meer bewust van de risico’s die zij kunnen lopen. Risicomanagement krijgt - terecht - meer aandacht.

Ook externe toezichthouders onderkennen het belang. In het gezamenlijke beoordelingskader Aw/WSW neemt risicomanagement een centrale plaats in (Zie: https://www.ilent.nl/onderwerpen/publicaties-autoriteit-woningcorporaties/documenten/publicaties/2018/01/31/gezamenlijk-beoordelingskader-aw-wsw  Risicomanagement is daarnaast ook één van de vijf kernprincipes van de nieuwe Governancecode woningcorporaties 2020 (Zie: https://www.vtw.nl/governancecode-woningcorporaties ).

Kortom: corporaties moeten expliciet aandacht aan hun risicomanagement geven. Dat betekent niet dat corporaties alleen maar risico’s moeten mijden (risicoaversie). Juist door goed risicomanagement kunnen corporaties kansen pakken en afgewogen keuzes maken.

In dit hoofdstuk schetsen wij achtereenvolgens een theoretisch kader van risicomanagement (1) en wat dit betekent voor de financiën en organisatie van de corporatie (2). Hierbij maken we onder meer gebruik van het drieluik over risicomanagement van Accent Organisatie Advies (www.accentorganisatieadvies.nl/publicaties).

6.2 Theoretisch kader risicomanagement

6.2.1 Raamwerk voor risicomanagement

Risico is het effect van onzekere gebeurtenissen op het behalen van de doelstellingen. Oftewel risico = het niet behalen van doelstellingen. Bij risicomanagement gaat het om beheersen van die risico’s.

Risicomanagement kunnen we ook omschrijven als: een proces gericht op het identificeren en beoordelen van potentiële gebeurtenissen die invloed kunnen hebben op de corporatie, en deze gebeurtenissen zodanig te beheersen dat deze binnen de risicobereidheid van de corporatie vallen, zodat een redelijke zekerheid bestaat ten aanzien van het behalen van de doelstellingen van de corporatie.

Accent Organisatie Advies heeft een model (raamwerk) van risicomanagement uitgewerkt:

Belangrijk element in dit model is de risicocultuur van de corporatie, deze heeft invloed op de mate waarin de organisatie risico’s neemt. Psycholoog C. Graves heeft over de risicocultuur een model ontwikkeld (Zie: www.managementdrives.com). In het model legt hij een relatie tussen drijfveren van personen en de dynamiek van een organisatie ten opzichte van risicoacceptatie. Daarbij maakt hij gebruik van de zes bekende kleuren: iedere kleur staat voor een stijl van leiderschap of organisatiecultuur.

6.2.2 Risicostrategie en risicobereidheid

Een corporatie formuleert vanuit de missie en visie haar strategische doelstellingen.

Deze doelstellingen gaan onder andere over:

  • maatschappelijke opgave in het werkgebied;
  • vastgoedportefeuille;
  • duurzaam bedrijfsmodel.

Als vervolgstap moet de corporatie haar risicostrategie bepalen. Deze strategie moet inzicht geven in (zie schema met drie cirkels):

  • capaciteit: aard/omvang van de risico’s die de corporatie kan dragen. Hierbij gaat het om zowel kwantitatieve (bijvoorbeeld liquiditeit) als kwalitatieve aspecten (bijvoorbeeld reputatie, kennis en kunde);
  • risicobereidheid: welk deel van de capaciteit kan de corporatie inzetten (financieel en menskracht);
  • limieten: de corporatie moet de grenswaarden (zoals de parameters van het WSW) vaststellen zodat de risico’s binnen de gedefinieerde risicobereidheid blijven.

Bij de invulling van de risicobereidheid moet de corporatie ook aandacht besteden aan de mate waarin de organisatie de risico’s kan opvangen en beheersen. (Zie hoofdstuk 5  Interne Beheersing van deze publicatie voor de drie verdedigingslinies.)

6.2.3 Risicomanagement: het proces

Het is van belang om risicomanagement op drie niveaus in de organisatie te borgen:

  • strategisch;
  • tactisch;
  • operationeel niveau.

(Zie het schema aan het einde van deze paragraaf).

Voor toezichthouders is met name het strategisch en tactisch niveau van belang. Zij richten zich niet op de uitvoering in de organisatie.

Voor het proces in risicomanagement hanteren corporaties vaak het volgende model:

Hieronder nemen we de stappen uit bovenstaand model één voor één door.  

Belangrijk is dat corporaties op een verantwoorde wijze de kans dat risico’s zich voordoen (hoog of laag) en de impact van deze risico’s (weinig of veel schade) in een kader te zetten. Voor deze analyse wordt vaak onderstaand model (risico-impactkader) gebruikt:

Na deze analyse is de volgende stap om de risico’s te evalueren: hierbij is het belangrijk om de focus te leggen op bijvoorbeeld de activiteiten in het vlak hoge kans/veel schade.

De volgende fase is de risico’s te behandelen: welke actie onderneemt de corporatie om de benoemde risico’s te voorkomen? In onderstaand model zijn hiervoor vier opties benoemd:

Risicoactiemodel

Als belangrijke fase hierna volgt de monitoring en beoordeling van de risico’s. De corporatie kiest voor een in control statement (Zie hoofdstuk Interne beheersing van deze handreiking). Ook laten corporaties vaak een audit uitvoeren. Intern, vaak door de controller of auditafdeling, of extern door externe accountant. De accountant beschrijft de uitkomsten op in zijn managementletter en accountantsverslag.

Om de communicatie in de rapportages helder te maken (qua inhoud en omvang) is het verstandig dat de corporatie KRI’s formuleert. KRI is een Kritische Risico Indicator, in feite is het een verbijzonderde KPI (Kritische Proces Indicator). Buiten de sector is de toepassing van de KRI al meer gangbaar. In de corporatiesector is de KRI nog in ontwikkeling. (Zie verder in dit hoofdstuk in 6.3.4 Risicoparagraaf voor voorbeelden van indicatoren).  

Integraal onderdeel

Tot slot: risicomanagement moet een integraal onderdeel van het beleid zijn en geïntegreerd zijn in de cultuur van de organisatie en in de beleidscyclus. Hieronder wordt dat in een schema uitgewerkt op strategisch, tactisch en operationeel niveau.

 

 

6.3 Vertaling naar de corporatie

6.3.1 Risicoprofiel en gevoeligheidsanalyse

Corporaties moeten kansen en risico’s in kaart brengen om op basis daarvan de risicostrategie te bepalen. Een aanbeveling is om in een gezamenlijke brainstormsessie met bestuur, MT, controller en RvC te bespreken welke risico’s voor de corporatie van toepassing zijn.  Welke impact hebben deze risico’s en op welke wijze kan de corporatie deze beheersen c.q. in scenario’s weergeven. Een scenarioanalyse is met name van belang om de gevoeligheid van de corporatie te toetsen. Dat wil zeggen: wat is het effect van bijvoorbeeld de vennootschapsbelasting op de exploitatie?  

Corporaties kunnen gebruik maken van de onderwerpen die in het gezamenlijk beoordelingskader Aw/WSW zijn beschreven. Drie aandachtvelden in het beoordelingskader noemen we hier expliciet: financiële continuïteit, bedrijfsmodel en governance & organisatie.

(Zie: www.ilent.nl/documenten/publicaties/2018/11/12/gezamenlijk-beoordelingskader-aw-wsw).

De Aw en het WSW kijken in hun gezamenlijke risicobeoordeling vooral naar de financiële positie, portefeuille strategie en governance. De belangrijkste onderwerpen zijn hierin:

  • Financiële ratio’s (Zie hoofdstuk 12 Extern toezicht: Aw en WSW van deze handreiking);
  • Waardering vastgoed tegen marktwaarde en beleidswaarde (zie hoofdstuk 9 Jaarrekening van deze handreiking);
  • De Aw en het WSW toetsen de financiële continuïteit op basis van dVi en dPi. Oftewel zij kijken naar het afgesloten jaar en naar het perspectief in de komende vijf jaar;
  • De samenhang tussen financiële continuïteit en bedrijfsmodel: hoe staat het met de continuering van de maatschappelijke opgave?

Voor de RvC is het met name belangrijk om te weten in welke risicoklasse de corporatie wordt ingedeeld (Zie hoofdstuk 12 Extern toezicht: rol Aw en WSW van deze publicatie). De risicoklasse bepaalt de mate van toezicht en de mogelijke borging door de Aw en het WSW. Tevens kunnen de Aw en het WSW aanvullende eisen stellen als een corporatie in een risicovolle klasse wordt ingedeeld.

Externe invloeden

Naast de kaders van de Aw en het WSW is het noodzakelijk dat de corporatie onderzoekt in hoeverre zij gevoelig is voor externe wijzigingen. Deze verschillen per corporatie, maar de sector heeft ook een aantal specifieke gevoeligheden. Als voorbeelden zijn te noemen:

Samenstelling portefeuille

  • bijvoorbeeld mogelijkheid alternatieve bestemming voor bezit (met name bij zorg);
  • soort vastgoed bijvoorbeeld Bedrijfsmatig onroerend goed (BOG) en omvang hiervan in de portefeuille;
  • groeiende of krimpende markt;
  • concurrentie koopmarkt.
Specifieke doelgroepen

Zoals verhuur aan specifieke doelgroepen: zorg- of woongroepen of studenten. In hoeverre zijn en blijven zij in staat de huur te voldoen of treedt er mogelijk leegstand op.

Houding/opstelling gemeente over omvang sociale woningbouw.

Invloed van externe maatregelen

Daarnaast hebben maatregelen van buitenaf invloed op het risicoprofiel en leiden die tot mogelijke effecten op de corporatie. Hieronder voorbeelden die een groot effect hebben op de financiële positie van de sector:

  • Passend toewijzen;
  • Introductie verhuurdersheffing;
  • Introductie vennootschapsbelasting (inclusief ATAD);
  • Laag renteniveau;
  • Splitsing DAEB/niet DAEB;
  • Fors stijgende prijzen nieuwbouw, onderhoud;
  • Vertaling klimaatakkoord voor corporaties;
  • Sociaal akkoord Aedes Woonbond;
  • Lage inflatie.

Het gaat hierbij niet alleen om invloed op de vermogenspositie van de corporatie. Ook moet de corporatie onder ogen zien wat de invloed is op de kasstromen en - in voorkomende gevallen - op de bedrijfsprocessen. (Denk bijvoorbeeld aan de gevolgen van de Covid-19 pandemie).  Op basis hiervan kan de corporatie bepalen welke beheersmaatregelen zij moet nemen. Bijvoorbeeld meer of minder  investeren, verkoop bezit etc.

Onderzoeken naar financiële positie

Naast de Aw en het WSW doen meer instanties in de sector onderzoek naar de financiële positie van corporaties. De accountant schrijft hierover in zijn accountantsverslag van de corporatie maar ook banken en adviesbureaus publiceren over dit thema. Een recent voorbeeld is de publicatie van Finance Ideas: ‘Financiële continuïteit woningcorporaties in gevaar’. (Zie https://finance-ideas.nl/woningcorporaties-kunnen-opgaven-niet-realiseren/ ) Corporaties moeten deze publicaties meenemen in de monitoring en beleidscyclus van de risico’s.

6.3.2 Risicostrategie en risicobereidheid

Doelstelling van de risicostrategie is om te bepalen welke risico’s de corporatie loopt.

Als vervolgstap: welke risicobereidheid neemt de corporatie en wat is de risicocapaciteit? Belangrijk is om de risico’s te bepalen en de impact van deze risico’s te vaststellen.

Limieten: de financiële criteria van de Aw en het WSW

De volgende stap is limieten te stellen om de risico’s in te perken. Een voorbeeld is hoe de corporatie omgaat met de financiële criteria van Aw/WSW. Corporaties moeten voor het DAEB en niet-DAEB gedeelte voldoen aan de financiële criteria zoals ICR, LTV, solvabiliteit en dekkingsratio.

Corporaties kiezen er vaker voor om ruim boven deze criteria te zitten. Bijvoorbeeld: de ICR mag niet lager zijn (voor DAEB) dan 1,6, terwijl het WSW 1,4 hanteert. De corporatie wil hiermee voorkomen dat het WSW de organisatie in het vizier krijgt of – een stap verder – onder bijzonder beheer komt. Deze opstelling kan leiden tot een te passief beleid. De vraag is of de corporatie nog wel aan de maatschappelijke doelstelling voldoet.

Een ander voorbeeld: de terugverdienperiode of een IRR (Internal Rate of Return) bij investeringsprojecten. Wanneer de corporatie bijvoorbeeld een erg hoge IRR hanteert, dan kan dat tot gevolg hebben dat de corporatie vrijwel nooit investeert. Wat betekent dit voor de ambities en maatschappelijke opgaven?

Bij de vaststelling van bijvoorbeeld een investeringsstatuut moet over deze limieten een goede discussie plaatsvinden tussen bestuur en de RvC. Dit mede om te voorkomen dat te snel risico’s worden vermeden en er geen oog meer is voor de kansen (risicoaversie).

Incidenten

Incidenten in de sector of externe omstandigheden kunnen van invloed zijn op het gebruik van risico-instrumenten (zoals verzekeringen) door de corporatie. Een voorbeeld is een rentederivaat. Op zich is dit een verzekeringsproduct dat renterisico’s beperkt. Nadat deze derivaten onjuist gehanteerd zijn in de sector (zie Vestia) waren er veel corporaties, met name ook RvC’s, die deze producten in de ban deden. Dat is niet altijd een terechte keuze. De RvC moet altijd beoordelen welk instrument op welke situatie van toepassing is en hoe de interne beheersing is geregeld (en zich niet op voorhand laten leiden door externe omstandigheden of incidenten).

Cultuur in de organisatie: wat is de risicobereidheid?

Een ander belangrijke factor in de risicobereidheid van de corporatie wordt bepaald door de cultuur van mensen in de organisatie. Persoonlijke drijfveren kunnen het gedrag ten aanzien van risico’s bepalen. Voor de RvC en het bestuur is het van belang dit bij beide gremia te onderkennen. Hoe bestuurders en RvC-leden persoonlijk met risico’s omgaan, is van invloed op aanpak: de interne beheersing en toetsing (Zie hoofdstuk 5 Interne beheersing van deze publicatie).

Bij besluitvorming moeten bestuurders en toezichthouders alert te zijn op vooroordelen, zogenoemde ‘bias’. Twee voorbeelden:

  • Confirmation bias: degene die de beslissing voorlegt, geeft data of meningen van derden aan die de keuze moeten bevestigen (onder het mom: andere corporaties doen dit ook);
  • Sunk costs bias: de corporatie heeft al zoveel kosten gemaakt, dat het beter is deze investering te doen. (onder het mom: anders is alles voor niets geweest). Dit komt vaker voor bij IT-projecten, maar dit speelde indertijd ook bij de SS Rotterdam.

6.3.3 Risicomanagement: het proces

Zoals we in het theoretische kader hebben gezien moet de corporatie een impactanalyse maken: de risico’s worden vervolgens geïnventariseerd en geëvalueerd en de acties bepaald.

Deze acties zijn – zoals we eerder hebben besproken - in vier groepen te verdelen:

  • Vermijden;
  • Reduceren;
  • Delen;
  • Accepteren.
Vermijden

De corporatie gaat een risico uit de weg door een project niet uit te voeren of te beëindigen.  

Reduceren

De corporaties moeten beheersmaatregelen treffen om risico’s te zoveel mogelijk te reduceren. Hierbij gaat het bijvoorbeeld om hard controls, zoals reglementen, functiescheidingen, procedures, mandateringen etc. (Zie hoofdstuk Interne beheersing).  Daarnaast zij soft controls van belang. Daarbij gaat het om de vraag hoe besluiten in het bestuur of in de RvC tot stand komen, of er voldoende tegenkracht is in de organisatie en op welke manier de corporatie met risico’s omgaat. De Aw heeft in dit kader een interessant onderzoek laten doen naar mogelijke risico’s bij langzittende bestuurders (Zie het rapport Kracht en tegenkracht https://www.ilent.nl/documenten/publicaties/2019/09/27/kracht-en-tegenkracht ).

Delen

Voorbeelden van delen van risico’s: verzekeringen afsluiten, uitbesteden van taken aan derden (zoals onderhoud) of samenwerking met andere corporaties.

Accepteren

De corporatie onderkent het risico en kiest bewust voor dit risico.

6.3.4 Monitoring en verslaglegging risico’s

De monitoring en verslaglegging van de risico’s en de genomen maatregelen zijn ook voor corporaties van belang. De risico’s en maatregelen nemen corporaties vaak op in de risicoparagraaf in de periodieke verslaglegging. De strategische risico’s worden vaak in verschillende rubrieken in een zogeheten risk appetite monitor opgenomen. Met bijvoorbeeld kleuren kan de corporatie bij de verschillende onderdelen aangeven of het risico hoog of laag wordt ingeschat (zie afbeelding).

Periodieke rapportages

In de periodieke rapportages komen deze risico’s en eventuele wijzigingen terug. Het bestuur en de RvC bespreken en analyseren deze vervolgens. Het verdient aanbeveling om bij deze verslaglegging een rapportage van de controller te vragen. Hij toetst deze risico’s en maatregelen aan onder meer de reglementen van de corporatie (hard controls), maar geeft ook een oordeel over de verslaglegging en inschatting van de risico’s.

Risicoparagraaf

Ook moet de RvC eisen dat de corporatie een risicoparagraaf bij belangrijke besluiten toevoegt. Bijvoorbeeld bij investeringsbeslissingen, begrotingen, jaarverslag, etc. Het verdient aanbeveling dat de corporatie de risico’s in kaart brengt door kleuren te gebruiken. Deze geven het signaal of risico’s zich voordoen en al of niet afgedekt zijn. Ook in de risicoparagraaf is het van belang de impact van het risico mee te nemen (volgens het risico-impactkader).

Kritische Risico Indicatoren (KRI’s)

Om te voorkomen dat deze aanbevelingen tot zeer omvangrijke rapportages leiden – die door de RvC niet of nauwelijks te behappen zijn – kan de corporatie Kritische Risico Indicatoren (KRI’s) formuleren. En ook hierin met kleuren te werken. De KRI’s zijn in de sector nog in ontwikkeling.

Voorbeelden hiervan kunnen zijn:

  • Leegstandpercentage;
  • Waardeontwikkeling vastgoed;
  • Beschikbaarheid ICT platform;
  • Beschikbaarheid digitale dienstverlening;
  • Percentage voortgang projecten;
  • Energielabelprogressie;
  • Borgbaar, oftewel voldoen aan de criteria van het WSW.

Afsluitend: de corporatie moet het risicomanagementproces bijhouden en actueel houden en in de beleidscyclus integreren. Voor risicomanagement zijn er ook specifieke softwarehulpmiddelen zoals Naris. (Zie: www.nariscom/nl)

6.4 Aandachtspunten voor de interne toezichthouder

  • Hoe zijn met name de strategische en tactische risico’s bepaald. Hoe is de RvC in dit proces betrokken.
  • In welke risicoklasse hebben de Aw en WSW de corporatie ingedeeld. Welke gevolgen heeft dit voor het ondernemingsplan. Welke andere rapportages van deze externe toezichthouders over risico corporatie en sectorrisico heeft de corporatie ontvangen.
  • Sluit de risicobereidheid van de RvC aan bij die van de organisatie.
  • Welke scenario’s zijn er gemaakt om de gevoeligheid van de corporatie te toetsen voor externe veranderingen.
  • Heeft het bestuur/de corporatie actueel inzicht op mogelijke externe veranderingen (zoals de gemeente die terugkomt op afspraken over aantal sociale huurwoningen).
  • Welke ontwikkelingen c.q. gebeurtenissen noodzaken de corporatie om nog eens kritisch naar de risicobereidheid te kijken.
  • Heeft de organisatie voldoende zicht op vertalingen van gebeurtenissen nu naar de toekomst c.q. verwerking in meerjarenbegroting. Voorbeeld: stel dat corporatie besluit tot huurbevriezing, wat betekent dit voor het meerjarenperspectief en investeringskader.
  • Wordt er een risicomanagement-software tool gehanteerd en hoe draagt deze bij aan vorming oordeel van de organisatie.
  • Zijn de belangrijke besluiten en goedkeuringsverzoeken voorzien van een adequate risicoparagraaf, zoals bij:
  • begrotingen;
  • investeringsvoorstellen;
  • portefeuillestrategie;
  • jaarverslag;
  • periodieke verslaglegging (kwartaal- of tertiaalrapportages).
  • Heeft de RvC het goede gevoel bij de tegenkracht in de organisatie. Bijvoorbeeld komen dilemma’s in keuzes of besluitvorming voldoende naar voren.
  • Is de inbreng van andere personen dan de bestuurder c.q. bestuur in de RvC-vergadering louter ceremonieel. Spreekt ‘his master’s voice’ of is er ruimte voor de eigen mening.
  • Welke opmerkingen heeft de accountant in zijn managementletter c.q. accountantsverslag gemaakt. Wat gebeurt hiermee.
  • Wat doet de organisatie met de eventuele opmerkingen van de controller bij rapportages.
  • Kijkt de corporatie voldoende naar wat er zich in de sector afspeelt of opereert zij te veel op eigen houtje.
Arrow-prev Arrow-next