RisicoControlFramework
Onderwerpen die aan bod komen:
Inleiding
De risicoparagraaf bij het processenboek heeft tot doel praktische handvatten te geven bij de uitwerking en uitvoering van risicomanagement door de eerste lijn. Het stuk is daarom zo kort en praktisch mogelijk gehouden, te gebruiken als basis en gericht op de uitvoering. Corporaties kunnen de onderwerpen uit deze paragraaf natuurlijk altijd verder uitwerken in hun eigen risicomanagementbeleid.
Risicomanagement is een continu proces dat tot doel heeft om inzicht te creëren in de negatieve en positieve afwijkingen bij het realiseren van organisatiedoelen. Hierdoor wordt een redelijke mate van zekerheid verkregen over het behalen van doelstellingen. Met dit inzicht kunnen maatregelen worden genomen om risico’s te beheersen, dan wel kansen te benutten.
Daarmee is risicomanagement integraal onderdeel van de bedrijfsvoering op 3 niveau’s:
- Strategisch risicomanagement richt zich op risico’s die invloed hebben op het behalen van strategische (lange termijn)doelstellingen.
- Tactisch risicomanagement richt zich op de koppeling tussen strategisch en operationeel risicomanagement en biedt vooral (beleids)kaders voor risicobeheersing.
- Operationeel risicomanagement richt zich op de uitvoering van primaire en ondersteunende processen en op het beheersen van de risico's die betrekking hebben op de processen en bedrijfsactiviteiten.
Figuur 1: Het begrip risico, Michiel Kerstens (HVC)
Het processenboek richt zich voornamelijk op operationeel risicomanagement. In deze paragraaf over risicomanagement wordt hierna ten behoeve van de leesbaarheid het management van kansen verder buiten beschouwing gelaten.
Risico
Een risico is de kans op het optreden van een onzekere gebeurtenis met een negatief gevolg voor de organisatie en heeft invloed op het behalen van de organisatie-, afdelings- of procesdoelstellingen van de woningcorporatie. Zie ook dit filmpje.
- Een risico beïnvloedt bedrijfsdoelstellingen, wat leidt tot afwijkingen van geplande resultaten.
- Een risico wordt bepaald door oorza(a)k(en) en resulterend(e) gevolg(en).
- Een risico heeft een kans van voorkomen en een impact (grootte van effect).
Hierbij wordt gekeken naar de kans en impact van het risico, de reeds genomen beheersmaatregelen en het risico dat overblijft, dit is het netto risico.
Het is belangrijk om duidelijk onderscheid te maken tussen risico (gebeurtenis), oorzaak en gevolg. Wanneer oorzaken scherp in beeld zijn kunnen preventieve maatregelen getroffen worden om de kans op het optreden van een risico te reduceren. Wanneer potentiële gevolgen in beeld zijn kunnen zo nodig correctieve maatregelen getroffen worden om de impact van een risico te reduceren.
Risicomanagement
Risicomanagement is gebaseerd op de volgende cyclus.
Figuur 3: Risicomanagement process, Michiel Kerstens (HVC)
Identificeren
Voor wat betreft de referentieprocessen van woningcorporaties is de uitdaging om risico’s te identificeren die een negatieve invloed kunnen hebben op het behalen van procesdoelstellingen die doorgaans worden gemeten middels kritieke prestatie-indicatoren. Voor de referentieprocessen is voorwerk verricht door de belangrijkste risico’s in beeld te brengen. De individuele woningcorporatie hoeft alleen nog eigen corporatiespecifieke risico’s toe te voegen, bij voorkeur zo weinig mogelijk (focus aanbrengen). De verwachting is dat op het niveau van processen en bedrijfsactiviteiten de verschillen tussen woningcorporaties beperkt zullen zijn.
Analyseren
In de praktijk zal er sprake zijn van een aantal grote en minder grote operationele risico’s. Uit het oogpunt van doelmatigheid en efficiency moet prioritering aangebracht worden in deze risico’s. Prioritering vindt plaats op basis van kans en impact. De geprioriteerde risico’s vormen de kernrisico’s (ook wel ‘key risks’ genoemd) en geven een indicatie welke risico’s buiten de grenzen van risicobereidheid liggen en beheerst moeten worden of moeten leiden tot een verbetering van het proces. In de referentieprocessen zijn de verwachte kernrisico’s al benoemd. Geadviseerd wordt om per proces niet meer dan 5-7 kernrisico’s vast te stellen.
De risicobereidheid geeft aan wat de aard en omvang van de risico’s is die een woningcorporatie bereid is aan te gaan bij het bereiken van de bedrijfsdoelstellingen. Deze risicobereidheid is kwantitatief van aard (veelal in financiële termen als solvabiliteit, liquiditeit of maximaal operationeel verlies) en kan ook een kwalitatief aspect hebben als het gaat om bijvoorbeeld reputatie, maatschappelijke prestaties, veiligheid en klanttevredenheid.
Beheersen
Op basis van het eigen risicomanagementbeleid beoordeelt elke woningcorporatie welke risico’s buiten de grenzen van risicobereidheid liggen en beheerst moeten worden. Beheersing krijgt gestalte in het treffen van beheersmaatregelen. Ook daarvoor geldt de kunst van het beperken en is de uitdaging om te kiezen voor de kernmaatregelen (ook wel ‘key controls’ genoemd) die essentieel zijn om de kernrisico’s te beheersen. Beheersmaatregelen kunnen bestaan uit de zogenaamde soft controls (mensgerichte beheersinstrumenten) en de hard controls (instrumentele beheersinstrumenten). Voor een goede beheersing zijn hard controls én soft controls noodzakelijk en moet er een goede balans zijn tussen deze twee.
Monitoren
In de fase van monitoren wordt de ontwikkeling van risico’s gevolgd en de effectiviteit van de getroffen beheersmaatregelen. Er is sprake van een PDCA-cyclus op risicobeheersing om zo nodig bij te kunnen sturen wanneer restrisico’s te hoog worden of juist zodanig laag dat maatregelen niet langer nodig of bedrijfseconomisch verantwoord zijn.
Monitoring van het actuele risicoprofiel en hoe de risico’s zich op termijn ontwikkelen kan met behulp van Kritieke Risico Indicatoren (KRI’s). Een KRI is vergelijkbaar met een KPI met dien verstande dat een KPI iets zegt over de mate waarin prestaties gerealiseerd worden terwijl een KRI iets zegt over de mate waarin toekomstige risico’s zich kunnen materialiseren. Een KRI is een kwantitatieve maatstaf (bijvoorbeeld een absoluut getal of een ratio) dat de mate van het risico weergeeft. Het is een indicator van de kans van optreden van een risico, de mogelijke schade bij optreden, of beide.
Three Lines Model
Als het gaat over de organisatie van het realiseren van (ondernemings-)doelstellingen, wordt hiervoor vaak het zgn. ‘three lines model’ als kader gebruikt. Het model schrijft niet voor hoe een organisatie risicomanagement moet organiseren en toepassen, maar gaat uit van verschillende ‘lijnen’ waarlangs rollen en verantwoordelijkheden kunnen worden georganiseerd:
Eerstelijnsrollen Eerstelijnsrollen zijn doorgaans het meest direct afgestemd op het leveren van producten en/of diensten aan zowel externe als interne klanten van de organisatie, inclusief ondersteunende functies. Voor een woningcorporatie zijn dit bijvoorbeeld: de afdelingen verhuur, onderhoud en projectontwikkeling. Eerstelijnsrollen zijn primair verantwoordelijk voor het realiseren van de (proces)doelstellingen en daarmee dus ook voor het managen van de risico’s.
Tweedelijnsrollen
Tweedelijnsrollen verlenen ondersteuning aan de eerstelijnsrollen bij het risicomanagement. Tweedelijnsrollen kunnen worden gemixt met eerstelijnsrollen of gescheiden blijven. Vaak ook worden tweedelijnsrollen aan specialisten toegewezen. Voor een woningcorporatie zijn dit bijvoorbeeld: de businesscontroller, de juridisch adviseur, de fiscaal adviseur of de risicomanager.
Derdelijnsrollen
Derdelijnsrollen geven onafhankelijk en objectief zekerheid over de toereikendheid en effectiviteit van governance en risicomanagement. Bij grote woningcorporaties is deze rol vaak belegd bij de internal auditor of internal auditafdeling als onafhankelijke organisatie-eenheid. Bij kleine en middelgrote woningcorporaties worden tweede- en derdelijnsrollen veelal gecombineerd.
Meer informatie over het three lines model vind je hier.
In Kennismodel
Het thema RisicoControlFramework past binnen de metastructuur van de CORA als weergegeven in onderstaande figuur, waarbij in het kennismodel alleen de concepten zijn ingekleurd die relevant zijn voor het thema RisicoControlFramework: