RisicoControlFramework
Onderwerpen die aan bod komen:
Inleiding
De risicoparagraaf bij het processenboek heeft tot doel praktische handvatten te geven bij de uitwerking en uitvoering van risicomanagement door de eerste lijn. Het stuk is daarom zo kort en praktisch mogelijk gehouden, te gebruiken als basis en gericht op de uitvoering. Corporaties kunnen de onderwerpen uit deze paragraaf natuurlijk altijd verder uitwerken in hun eigen risicomanagementbeleid.
Risicomanagement is een continu proces dat tot doel heeft om inzicht te creëren in de negatieve en positieve afwijkingen bij het realiseren van organisatiedoelen. Hierdoor wordt een redelijke mate van zekerheid verkregen over het behalen van doelstellingen. Met dit inzicht kunnen maatregelen worden genomen om risico’s te beheersen, dan wel kansen te benutten.
Daarmee is risicomanagement integraal onderdeel van de bedrijfsvoering op 3 niveau’s:
- Strategisch risicomanagement richt zich op risico’s die invloed hebben op het behalen van strategische (lange termijn)doelstellingen.
- Tactisch risicomanagement richt zich op de koppeling tussen strategisch en operationeel risicomanagement en biedt vooral (beleids)kaders voor risicobeheersing.
- Operationeel risicomanagement richt zich op de uitvoering van primaire en ondersteunende processen en op het beheersen van de risico's die betrekking hebben op de processen en bedrijfsactiviteiten.
Figuur 1: Het begrip risico, Michiel Kerstens (HVC)
Het processenboek richt zich voornamelijk op operationeel risicomanagement. In deze paragraaf over risicomanagement wordt hierna ten behoeve van de leesbaarheid het management van kansen verder buiten beschouwing gelaten.
Risico
Een risico is de kans op het optreden van een onzekere gebeurtenis met een negatief gevolg voor de organisatie en heeft invloed op het behalen van de organisatie-, afdelings- of procesdoelstellingen van de woningcorporatie. Zie ook dit filmpje.
- Een risico beïnvloedt bedrijfsdoelstellingen, wat leidt tot afwijkingen van geplande resultaten.
- Een risico wordt bepaald door oorza(a)k(en) en resulterend(e) gevolg(en).
- Een risico heeft een kans van voorkomen en een impact (grootte van effect).
Hierbij wordt gekeken naar de kans en impact van het risico, de reeds genomen beheersmaatregelen en het risico dat overblijft, dit is het netto risico.
Het is belangrijk om duidelijk onderscheid te maken tussen risico (gebeurtenis), oorzaak en gevolg. Wanneer oorzaken scherp in beeld zijn kunnen preventieve maatregelen getroffen worden om de kans op het optreden van een risico te reduceren. Wanneer potentiële gevolgen in beeld zijn kunnen zo nodig correctieve maatregelen getroffen worden om de impact van een risico te reduceren.
Risicomanagement
Risicomanagement is gebaseerd op de volgende cyclus.
Figuur 3: Risicomanagement process, Michiel Kerstens (HVC)
Identificeren
Voor wat betreft de referentieprocessen van woningcorporaties is de uitdaging om risico’s te identificeren die een negatieve invloed kunnen hebben op het behalen van procesdoelstellingen die doorgaans worden gemeten middels kritieke prestatie-indicatoren. Voor de referentieprocessen is voorwerk verricht door de belangrijkste risico’s in beeld te brengen. De individuele woningcorporatie hoeft alleen nog eigen corporatiespecifieke risico’s toe te voegen, bij voorkeur zo weinig mogelijk (focus aanbrengen). De verwachting is dat op het niveau van processen en bedrijfsactiviteiten de verschillen tussen woningcorporaties beperkt zullen zijn.
Analyseren
In de praktijk zal er sprake zijn van een aantal grote en minder grote operationele risico’s. Uit het oogpunt van doelmatigheid en efficiency moet prioritering aangebracht worden in deze risico’s. Prioritering vindt plaats op basis van kans en impact. De geprioriteerde risico’s vormen de kernrisico’s (ook wel ‘key risks’ genoemd) en geven een indicatie welke risico’s buiten de grenzen van risicobereidheid liggen en beheerst moeten worden of moeten leiden tot een verbetering van het proces. In de referentieprocessen zijn de verwachte kernrisico’s al benoemd. Geadviseerd wordt om per proces niet meer dan 5-7 kernrisico’s vast te stellen.
De risicobereidheid geeft aan wat de aard en omvang van de risico’s is die een woningcorporatie bereid is aan te gaan bij het bereiken van de bedrijfsdoelstellingen. Deze risicobereidheid is kwantitatief van aard (veelal in financiële termen als solvabiliteit, liquiditeit of maximaal operationeel verlies) en kan ook een kwalitatief aspect hebben als het gaat om bijvoorbeeld reputatie, maatschappelijke prestaties, veiligheid en klanttevredenheid.
Beheersen
Op basis van het eigen risicomanagementbeleid beoordeelt elke woningcorporatie welke risico’s buiten de grenzen van risicobereidheid liggen en beheerst moeten worden. Beheersing krijgt gestalte in het treffen van beheersmaatregelen. Ook daarvoor geldt de kunst van het beperken en is de uitdaging om te kiezen voor de kernmaatregelen (ook wel ‘key controls’ genoemd) die essentieel zijn om de kernrisico’s te beheersen. Beheersmaatregelen kunnen bestaan uit de zogenaamde soft controls (mensgerichte beheersinstrumenten) en de hard controls (instrumentele beheersinstrumenten). Voor een goede beheersing zijn hard controls én soft controls noodzakelijk en moet er een goede balans zijn tussen deze twee.
Monitoren
In de fase van monitoren wordt de ontwikkeling van risico’s gevolgd en de effectiviteit van de getroffen beheersmaatregelen. Er is sprake van een PDCA-cyclus op risicobeheersing om zo nodig bij te kunnen sturen wanneer restrisico’s te hoog worden of juist zodanig laag dat maatregelen niet langer nodig of bedrijfseconomisch verantwoord zijn.
Monitoring van het actuele risicoprofiel en hoe de risico’s zich op termijn ontwikkelen kan met behulp van Kritieke Risico Indicatoren (KRI’s). Een KRI is vergelijkbaar met een KPI met dien verstande dat een KPI iets zegt over de mate waarin prestaties gerealiseerd worden terwijl een KRI iets zegt over de mate waarin toekomstige risico’s zich kunnen materialiseren. Een KRI is een kwantitatieve maatstaf (bijvoorbeeld een absoluut getal of een ratio) dat de mate van het risico weergeeft. Het is een indicator van de kans van optreden van een risico, de mogelijke schade bij optreden, of beide.
Three Lines Model
Als het gaat over de organisatie van het realiseren van (ondernemings-)doelstellingen, wordt hiervoor vaak het zgn. ‘three lines model’ als kader gebruikt. Het model schrijft niet voor hoe een organisatie risicomanagement moet organiseren en toepassen, maar gaat uit van verschillende ‘lijnen’ waarlangs rollen en verantwoordelijkheden kunnen worden georganiseerd:
Eerstelijnsrollen
Eerstelijnsrollen zijn doorgaans het meest direct afgestemd op het leveren van producten en/of diensten aan zowel externe als interne klanten van de organisatie, inclusief ondersteunende functies. Voor een woningcorporatie zijn dit bijvoorbeeld: de afdelingen verhuur, onderhoud en projectontwikkeling. Eerstelijnsrollen zijn primair verantwoordelijk voor het realiseren van de (proces)doelstellingen en daarmee dus ook voor het managen van de risico’s.
Tweedelijnsrollen
Tweedelijnsrollen verlenen ondersteuning aan de eerstelijnsrollen bij het risicomanagement. Tweedelijnsrollen kunnen worden gemixt met eerstelijnsrollen of gescheiden blijven. Vaak ook worden tweedelijnsrollen aan specialisten toegewezen. Voor een woningcorporatie zijn dit bijvoorbeeld: de businesscontroller, de juridisch adviseur, de fiscaal adviseur of de risicomanager.
Derdelijnsrollen
Derdelijnsrollen geven onafhankelijk en objectief zekerheid over de toereikendheid en effectiviteit van governance en risicomanagement. Bij grote woningcorporaties is deze rol vaak belegd bij de internal auditor of internal auditafdeling als onafhankelijke organisatie-eenheid. Bij kleine en middelgrote woningcorporaties worden tweede- en derdelijnsrollen veelal gecombineerd.
Meer informatie over het three lines model vind je hier.
Alfabetisch overzicht van risico's in deze CORAwiki
Helaas is downloaden niet mogelijk, maar je kunt door de regels van onderstaande tabel te selecteren ze heel eenvoudig naar excel kopiëren.
Heb jij een (verbeter)suggestie voor een (ontbrekende) beschrijving, mail je suggestie naar info@corponet.nl.
| Risico | Beschrijving | Heeft relatie met |
|---|---|---|
| 3e Partij risico’s | Het risico dat de uitbestede activiteiten aan een derde partij niet voldoen aan de kwalitatieve en kwantitatieve eisen van de organisatie. Concreet voorbeeld: het Incassobureau verricht onvoldoende acties om de vordering te innen waardoor het aantal ontruimingsaanzeggingen stijgt. | Incasseren vorderingen |
| Compliance risico’s | Werken in overeenstemming met de geldende weten regelgeving. Concreet voorbeeld: werken volgens de AVG en volgens voorgeschreven wettelijke termijnen voor Incasso | Incasseren vorderingen |
| De aannemer voert de werkzaamheden niet conform afspraak uit | Als gevolg behaalt het project niet de gewenste kwaliteit. Bij Resultaat Gericht Samenwerken is er een risico dat er helemaal geen zicht is op kwaliteit van de oplevering bij projecten waar geen oplevering plaatsvindt.
Beheersmaatregelen: Controle kwaliteit door steekproef op het werk; In getekende Procesverbaal van Oplevering zijn alle opleverpunten opgenomen; Meer ogen principe bij oplevering; Opschorten van betaaltermijnen; Prestatieverklaring; Keuringsrapport. | Regisseren planmatig onderhoud |
| Foutief factureren | Verwerken factuur | |
| Fraude | Fraude kan in dit proces bijvoorbeeld zijn dat ongewenste aanpassingen worden doorgevoerd op inschrijfdatum/ urgentietoekenning e.d. of dat doorgevoerde wijzigingen niet door de inschrijver zelf zijn aangevraagd.
Beheersmaatregel: 4-ogen principe toepassen bij aanpassingen inschrijfdatum en urgentietoekenning. Bevestigingsbericht sturen aan ingeschrevene voorafgaand aan het doorvoeren van de wijziging. Automatiseren waarbij je alleen met inloggegevens een wijziging kan doorgeven. Systeemautorisaties Systeem zo inrichten dat het niet mogelijk is om (zonder extra controle) inschrijvingen met terugwerkende kracht te maken. Systeemlogging toepassen zodat aanpassingen te auditeren en traceerbaar zijn. Tweeweg identificatie. | Inschrijven woningzoekenden |
| Fraude | Fraude is een vorm van bedrog; de zaken worden anders voorgesteld dan ze zijn, door op papier of digitaal een onjuiste weergave te geven van de werkelijkheid. Concreet voorbeeld: Het risico dat een medewerker een doelbewuste handeling verricht om er zelf beter van te worden, bijvoorbeeld een uitbetaling aan zichzelf verrichten. | Pre-notificeren contractant |
| Fraude of onrechtmatigheden bij inkoop/aanbesteding en opdrachtverstrekking | Oorzaken kunnen bijvoorbeeld zijn dat een leverancier niet op basis van objectieve criteria is geselecteerd, dat inkoop niet transparant of conform de juiste specificaties verloopt, dat niet wordt voldaan aan het procuratiereglement of dat door het ontbreken van (juiste) ondertekening een overeenkomst niet geldig is. Met name bij meerwerk zien we dit risico vaker optreden. Andere oorzaken kunnen liggen in het ontbreken van de juiste interne controlemaatregelen (met name controle-technische functiescheiding) in (financiële) processen, van toezicht (door management) of van een gedragscode en/of standaarden voor integer gedrag.
Maatregelen: De marktuitvraag door inkoop en opdrachtgever samen laten opstellen; De verantwoordelijke voor het inkoopbeleid/control betrekken bij het inkoopproces; Zorgen dat leverancier getekende contract retourneert; Controles inbouwen. Een onafhankelijke medewerker toetst periodiek (bijv. ieder kwartaal) de goedgekeurde opdrachten aan het mandaat en rapporteert hierover aan het MT/directie; Je kan hier ook gebruik maken van data-analyse. | Coördineren project planmatig onderhoud Inkopen goederen, diensten en werken Inkopen onderhoud |
| Geen one time fix | Reparaties worden bij voorkeur in één keer correct uitgevoerd. Mogelijke oorzaken voor het niet halen van deze one time fix kunnen zijn het incorrect uitvoeren van de werkzaamheden waardoor rework nodig is, het onjuist uitvoeren van de intake of maken van een verkeerde beoordeling of het ontbreken van de juiste (correcte, volledige) gegevens leverancier onderdeel (fabrieksfouten, garanties).
Beheersmaatregelen: Zorgdragen voor juiste tools en juiste kennisniveau bij medewerkers. Verbeteren intake. Inplannen van inspecties alvorens uitvoering op te pakken. Evalueren met en managen van verwachtingen met uitvoerende partij; Verbeteren intake proces; Vastleggen van alle gegevens en controleren datakwaliteit. Werken met basiskwaliteitseisen die zijn vastgelegd in een (digitaal) kwaliteitshandboek. | Reparatieonderhoud |
| Geweld | Geweld kan gedefinieerd worden als een kracht van meer dan geringe betekenis, uitgeoefend op personen of zaken. Het gaat meestal om een doelbewuste actie van één of meer personen. Concreet voorbeeld: geweld/bedreiging tegen (Incasso)medewerkers die huisbezoeken doen. Maar ook verbale bedreigingen aan de telefoon. | Uitvoeren Huisbezoek |
| Huurovereenkomst komt niet rechtsgeldig tot stand | Een niet rechtsgeldige huurovereenkomst kan het gevolg zijn van het niet op orde hebben van datakwaliteit, menselijke fouten of wanneer niet de juiste gemachtigden het contract ondertekenen.
Beheersmaatregel: Datakwaliteitscontroles inbouwen. Ondertekening standaardiseren en digitaliseren. Vier ogen principe bij het opstellen van huurcontract. Steekproefsgewijze controle van huurcontracten. Huurderspaspoort inzetten. Vastleggen welke gegevens nodig zijn. Volledigheid van gegevens afdwingen door automatiseren van het proces. | Verhuren eenheid |
| Imagoschade/ klachten | Klachten van ontevreden bewoners die door ontoereikende of veel te ruime voorschotten te maken krijgen met (hoge) bijbetaling of grote restituties.
Beheersmaatregel: IC op voorschotten (steekproef); Meten en analyseren van data; Toereikende communicatie; Analyse en opvolging klachtenrapportage. | Vaststellen servicecomponenten |
| Laagconjunctuur | De laagconjunctuur is de neergaande fase in de vrijemarkteconomie van de conjunctuurbeweging. Deze kenmerkt zich door een hoge werkloosheid, een geringe economische bedrijvigheid en een voorzichtige bestedingsneiging onder de consumenten. Concreet voorbeeld: bij laagconjunctuur zal de werkeloosheid stijgen waardoor potentieel meer mensen moeite hebben om de huur te betalen. | Incasseren vordering, minnelijke fase 1 |
| Lage klanttevredenheid | De bewoner is niet tevreden over afhandeling, kosten of communicatie.
Beheersmaatregelen: Duidelijke communicatie vooraf; Bewaken opvolging; Inrichten track & trace. | Uitvoeren klanttevredenheidsonderzoek |
| Niet doelmatige inkoop, aanbesteding of planmatig onderhoudsuitgave (prijs/kwaliteit) | Dit kan gebeuren wanneer er niet of onvoldoende bekend of gespecificeerd is wat exact ingekocht moet worden (hoeveelheid, kwaliteit). Ook kan er sprake zijn van niet marktconforme prijzen bij de inkoop. Oorzaak kan zijn dat de warme opname niet goed is uitgevoerd of te lang geleden is uitgevoerd en de plannen dus gebaseerd zijn op verkeerde of onvolledige informatie. Ook kan er sprake zijn van garanties welke niet worden aangesproken of niet bekend zijn. Tevens kan er sprake zijn van onvoldoende inzicht in meer- en minderwerk.
Beheersmaatregelen: Steekproef ter controle van werkzaamheden derden; Bij mutaties warme opname opnieuw uitvoeren; Vastleggen garanties; Check op garanties standaardiseren tijdens planvorming. | Inkopen onderhoud |
| Niet geautoriseerde leegstand | Omklappen van het leegstandslabel (technische leegstand -verhuurleegstand) gebeurt niet waardoor een eenheid niet zichtbaar wordt in het aanbiedproces en onnodig lang leegstaat.
Beheersmaatregel: Controlerapport inrichten. Data-analyses. | Coördineren mutatieonderhoud |
| Niet naleven van de AVG | Gegevens niet tijdig verwijderd conform AVG-richtlijnen (data minimalisatie), er is onnodige data aanwezig of data wordt voor andere zaken gebruikt (geen grondslag aanwezig).
Beheersmaatregel: Precieze AVG vereisten en regelgeving toepassen, zoals welke gegevens mag je opvragen, vastleggen en voor hoe lang. Direct bij het verzamelen van de data al oordelen welke informatie verwijderd moet worden. Periodieke steekproef op huurdossiers. Via WRV-systeem van leverancier precieze AVG vereisten en regelgeving configureren voor gevalideerd opvragen, vastleggen en bewaren van gegevens zodat het systeem bewaartermijn monitort en signaleert voor de organisatie wanneer gegevens verwijderd dienen te worden. | Inschrijven woningzoekenden |
| Niet voldoen aan wet- en regelgeving | Opdrachten of contracten (met leveranciers of huurders) kunnen opgesteld zijn zonder deze te toetsen aan wet- en regelgeving, of zonder de juiste procesgang (exact) te hebben gevolgd. Bijvoorbeeld wanneer een wijziging pas kan worden doorgevoerd bij 70% akkoord van bewoners, maar een wijziging ook wordt doorgevoerd zonder dat akkoord. Het ontbreken van de juiste kennis kan hieraan ten grondslag liggen.
Beheersmaatregel: Jaarlijkse check op regelgeving; Inbouwen compliance-controles. | Bepalen en inkopen nieuw ingekochte servicecomponenten Vaststellen servicecomponenten Verrekenen service-/stookkosten |
| Niet voldoen aan wet- en regelgeving | Bij het uitvoeren van planmatig onderhoud zijn er veel wetten en regels die nageleefd dienen te worden, zoals de Wet Ketenaansprakelijkheid, het bouwbesluit, de juiste vergunningen, ARBO-richtlijnen etc. Wanneer deze weten en regels wijzigen, kan het voorkomen dat er niet tijdig wordt bijgestuurd en kunnen geplande onderhoudswerkzaamheden in strijd met wet- en regelgeving. Dit kan ook financiële of fiscale gevolgen hebben.
Beheersmaatregelen: Een medewerker gaat na, of in de opdrachtverstrekking op de juiste wijze de WKA is toegepast, bewijzen van goed betalingsgedrag periodiek worden ontvangen, of de BTW-verleggingsregeling wordt toegepast en of de te storten bedragen op de G-rekening correct zijn; Eigenaren toewijzen die verantwoordelijk zijn voor het bijhouden van wet- en regelgeving; Standaardisatie van opnemen richtlijnen in projectaanpak. | Regisseren planmatig onderhoud |
| Onderhoudsstrategie niet afgestemd op assetmanagement strategie | Dit kan komen doordat de strategie en de gewenste onderhoud strategie per complex niet of onvoldoende duidelijk is, of doordat de MJOB niet juist, tijdig en volledig is. Bijvoorbeeld wanneer de gegevens welke als basis voor de MJOB worden gebruikt, niet actueel, volledig of juist zijn.
Beheersmaatregelen: Opstellen Strategisch Voorraadbeleid en/of Complexbeheerplannen; De aanpassingen in de vastgoedadministratie worden op volledigheid, juistheid en tijdigheid periodiek nagezien door degene die verantwoordelijk is voor de datakwaliteit; Rapportages ter controle doorvoering wijzigingen na oplevering projecten; Datakwaliteitscontroles. Rapportages; Automatiseren; Gebruik Aedes ILS. | Regisseren planmatig onderhoud |
| Onjuist/onrechtmatig betaalde facturen | Facturen worden te vroeg betaald, waardoor er al betaald is voor nog niet opgeleverd werk, veroorzaakt door het ontbreken van de juiste matching tussen facturen en opdrachten.
Beheersmaatregelen: Voortgangsrapportages, waarmee de opzichter door de stand van het werk bevestigt dat de factuur betaald kan worden; Meer ogen principe bij accorderen factuur. | Bewaking projectfinanciën |
| Onjuiste huurprijs | Er is een onjuiste huurprijs vastgesteld ten gevolge van onjuiste huurpunten (WWS-puntenwaardering).
Beheersmaatregel Elke maand wordt de volledigheid van opbrengsten vastgesteld a.d.h.v. controle op huurstandenregister. Onverklaarbare afwijkingen worden direct uitgezocht. 4 ogen principe toepassen. Data-analyse op WWS punten. | Bepalen aanbiedhuur |
| Onjuiste of onvolledige doorbelasting van kosten | Kosten worden niet of niet volledig doorbelast.
Beheersmaatregelen: Lijncontrole inrichten. Bijhouden middels rapportages, evalueren en bijsturen wanneer dit vaak voorkomt. | Voeren debiteurenbeheer |
| Onjuiste of onvolledige doorbelasting van kosten aan vertrekkende huurder | Kosten worden niet of niet volledig doorbelast aan de vertrekkende huurder. Mutatiekosten voor rekening huurder worden vaak aangegeven middels een vast bedrag, en deze verschilt in sommige gevallen met de werkelijke kosten. Wanneer de kosten hoger zijn dan komen deze voor rekening van de corporatie. Wanneer deze kosten lager zijn, betaalt de huurder in principe te veel, wat ook een juridisch risico met zich mee kan brengen.
Beheersmaatregel: Richtlijnen formuleren, wanneer wel en niet doorbelasten en tegen welke bedragen. Lijncontrole inrichten. Bijhouden middels rapportages, evalueren en bijsturen wanneer dit vaak voorkomt. | Verhuren eenheden |
| Onjuiste of onvolledige prolongatie van huren | Een huurovereenkomst wordt niet of niet juist meegenomen bij prolongatie.
Beheersmaatregel De verhuring/ sleuteluitreiking wordt zoveel mogelijk nog dezelfde dag geformaliseerd in het systeem. Interne controle op volledigheid prolongatie vs. bezitsadministratie. | Verantwoorden verhuring |
| Onjuiste toerekening van kosten | De kosten van reparatieonderhoud kunnen voor rekening van de corporatie zijn, van de huurder of van een leverancier. Onjuiste kostentoekenning is een risico dat veroorzaakt kan worden doordat als gevolg van het niet kennen van de oorzaak van een defect, kosten niet kunnen worden doorberekend aan huurder of leverancier onderdeel (fabrieksfouten, garanties), doordat medewerkers bestedingen niet, te laat of onjuist registreren, doordat garanties niet onderkend worden, of door het vooraf niet (goed) afspreken en vastleggen van kosten huurder.
Beheersmaatregel: Meer effort steken in het achterhalen van defect en oorzaak; Inspectie uitvoeren om oorzaak beter te kunnen achterhalen; Verbeteren monitoring op basis van (standaard)rapportages. Automatiseren van registratie van materiaalverbruik en urenbesteding. Vastleggen van garanties; Inbouwen standaard check op garanties. Afspraken over kosten huurder vooraf schriftelijk vastleggen. | Realiseren onderhoudsorder Regisseren reparatieonderhoud |
| Onjuiste uitkomsten MJOB | De uitkomsten van de MOJB kunnen onjuist zijn bijvoorbeeld doordat de voorcalculatie niet betrouwbaar is als gevolg van slechte data of verouderde normbedragen/parametersettingen, door het niet goed uitsplitsen tussen onderhoud en investeringen. Andere mogelijkheden zijn dat de MJOB niet voldoet aan jaarplan-/kaderbrief of dat er verschillende uitgangsbegrotingen gehanteerd worden.
Beheersmaatregelen: Vooraf uitgangspunten afstemmen met alle betrokkenen; Afstemmen van MJOB met investeringsplanning; Toetsen of MJOB voldoet aan jaarplan-/kaderbrief; Meer ogen principe toepassen om juistheid te controleren; Training en scholing; Leren van elkaar; Na vaststelling van een begroting in een proces deze altijd toetsen aan de centrale (jaar)begroting met als doel om zeker te weten dat er geen verschillen zijn. | Meerjaren onderhoudsbegroting en conditiemeting |
| Onjuiste vastlegging | Onjuiste vastlegging en hierdoor onjuiste factuur.
Beheersmaatregelen: Periodieke steekproef c.q. prijs/prestatie controle op juistheid facturen. | Voeren debiteurenbeheer |
| Onnodige werkzaamheden | Afhandelen huuropzegging Intake klantvraag | |
| Onrechtmatige/ Onjuiste inschrijving | De inschrijving is onjuist of onrechtmatig doordat niet aan alle voorwaarden voor inschrijving is voldaan.
Beheersmaatregel: 4-ogen principe op accorderen van (verlenging) inschrijving (al dan niet door middel van steekproef of deelwaarneming.) Verplichten Huurpaspoort. | Inschrijven woningzoekenden |
| Ontevreden bewoners | Bewoners zijn ontevreden over het proces of het resultaat, bijvoorbeeld doordat ze niet of niet tijdig betrokken zijn bij de onderhoudsplannen en -planning.
Beheersmaatregelen: Vooraf vaststellen bewonersparticipatie en communicatie; Klanttevredenheidsonderzoek. | Regisseren planmatig onderhoud |
| Onveilige situaties voor klanten en medewerkers | Doordat er onvoldoende inzicht is in de aanwezigheid van asbest, kan dit onverwacht bij de uitvoering van werkzaamheden ontdekt worden en leiden tot onveilige situaties. Andere voorbeelden zijn brandveiligheid of werkomstandigheden (ARBO).
Beheersmaatregelen: Bij verdenking aanwezigheid asbest tijdig een inventarisatie laten uitvoeren, eventueel met destructief onderzoek. | Regisseren planmatig onderhoud |
| Onveilige werkomstandigheden voor medewerkers/ uitvoerenden | Onveilige omstandigheden kunnen ontstaan wanneer een agressieve bewoner niet onderkend wordt of de uitvoerende hier niet op is voorbereid.
Beheersmaatregelen: Automatische signalering agressiemelding tijdens intake en op opdrachtbon vermelden. Automatisch 2 personen inplannen wanneer signalering in systeem staat | Regisseren reparatieonderhoud |
| Onvoldoende gespecificeerde facturen | Facturen kunnen onvoldoende gespecificeerd zijn, bijvoorbeeld wanneer bij inkoop onvoldoende afspraken gemaakt zijn over het specificeren. Specificaties kunnen ontbreken zoals ordernummer, VHE nummer, type werkzaamheden of de juiste uitsplitsing daarvan, Bij servicekosten kan dit zelfs tot gevolg hebben dat er geen akkoord komt op doorbelasting.
Beheersmaatregelen: Onvoldoende gespecificeerde facturen niet accepteren en niet betaalbaar stellen. Vereisten omtrent factuurspecificaties opnemen in contract- en facturatievoorwaarden. | Voeren crediteurenbeheer |
| Onvolledig of onjuist beeld van de conditie van het bezit | Een onvolledig of onjuist beeld van het bezit kan veroorzaakt worden doordat de bezitsregistratie welke als basis voor de MJOB wordt gebruikt, niet actueel, volledig of juist is, doordat het niet duidelijk is welke complexen aan de beurt zijn voor een conditiemeting, conditiemetingen lastig te vergelijken zijn doordat verschillende inspecteurs niet consistent werken of doordat door capaciteitsgebrek het niet haalbaar is bij alle complexen eenmaal in de 3 jaar een (kwalitatief goede) conditiemeting te houden.
Beheersmaatregelen: Cyclus van datakwaliteitscontroles opzetten; Stelpost opnemen in MJOB voor onvoorzien wanneer de werkelijkheid anders is dan de ingeschatte gegevens; Datakwaliteit op orde; Planning voor conditiemeting op complexniveau is gemaakt op basis van vastgesteld beleid; Inrichten van een cyclus van eenmaal per 3 jaar uitvoeren conditiemeting per complex; Training, scholing, certificering van inspecteurs; Leren van elkaar; Steekproeven; Opstellen van interne en externe resourceplanning; Intern of extern alloceren van capaciteit; Prioriteren; Optimaliseren van de planning. | Meerjaren onderhoudsbegroting en conditiemeting |
| Onvolledige en/of onjuiste doorbelasting | Onvolledige doorbelasting kan vele oorzaken hebben, zoals ontbrekende componenten (op contractniveau en/of vastgoedniveau), onjuiste vastgoedgegevens, ontbrekende facturen, ontbreken van (eenduidig) beleid, onvoldoende controles/functiescheidingen in de procesgang, niet facturabel gebruik. Ook kan het zijn dat kosten ten onrechte worden doorbelast, dat er onrechtmatige kosten in rekening worden gebracht, dat er kosten in rekening worden gebracht waarvoor er geen prestatie is geleverd of dat de BTW niet juist wordt meegerekend in de doorbelasting. Ook tijdigheid kan een rol spelen, bijvoorbeeld dat de afrekenperiode niet 12 maanden is of dat de afrekening pas komt als een vertrokken huurder al uit beeld is.
Beheersmaatregel: Afstemming met verschillende afdelingen; Datakwaliteit op orde; Inbouwen controles; Controle met behulp van rapportages; Vergroten van kennis van beleid bij medewerkers; Facturenproces inregelen, altijd factuur langs prestatiehouder (opdrachtgever) en budgethouder voor akkoord; Data-analyses inzetten zodat je trends ziet i.p.v. elke losse factuur. Het soort inkopen bepaalt de manier van controleren. bijv. bij termijnen toets je elke termijn i.p.v. elke factuur. | Vaststellen servicecomponenten Verrekenen service-/stookkosten |
| Onvolledige of onjuiste conditiemeting | De huidige versus de gewenste conditie is niet goed vertaald naar de MJOB, bijvoorbeeld doordat er onvoldoende inzicht is in de huidige kwaliteit van het bezit.
Beheersmaatregelen Meer ogen principe toepassen; Het aantal complexen in de MJOB vergelijken met de activastaten; De MJOB baseren op het Strategisch Voorraad Beleid. | Regisseren planmatig onderhoud |
| Opdracht voldoet niet aan verwachting klant | Intake klantvraag | |
| Operationele risico’s | Operationeel risico betreft het risico dat ontstaat als gevolg van het falen of tekortschieten van interne processen, menselijke en technische tekortkomingen, en onverwachte externe gebeurtenissen. Concreet voorbeeld: naar aanleiding van een telefoongesprek met een huurder, kan een medewerker een onvolledige notitie maken of een onjuiste/onvolledige vervolgactie in gang zetten. | Incasseren vordering, minnelijke fase 1 |
| Overschrijding van de norm voor passend toewijzen | Er wordt toegewezen buiten het toegestane normenkader, waardoor aanzienlijke compliance risico's gelopen worden.
Beheersmaatregel: Periodiek controleren op passend toewijzen. | Verhuren eenheden Werven en selecteren kandidaten |
| Privacyschending | Inbreuk op de persoonlijke levenssfeer, schending van het recht op privacy. Concreet voorbeeld: een verkeerde bijlage naar een huurder sturen. | Incasseren vorderingen |
| Reputatie-/Imagoschade | Reputatieschade is schade die is opgelopen in de reputatie, ook wel ‘imagoschade’ genoemd. Reputatie-/imagoschade is een vorm van immateriële schade. Door reputatieschade kan ook aanvullende schade ontstaan, bijvoorbeeld door het mislopen van nieuwe opdrachten. Concreet voorbeeld: in een levendige discussie met een huurder, reageert een medewerker onprofessioneel. | Incasseren vordering, minnelijke fase 1 Intake klantvraag |
| Te hoge kosten/urenbesteding voor verrichte prestatie bij mutatieonderhoud | Te hoge kosten kunnen bijvoorbeeld veroorzaakt doordat werkzaamheden gestart worden zonder dat daartoe de formele opdracht aan de aannemer voor verstrekt is, doordat er onjuiste bedragen in rekening gebracht worden door de aannemer of doordat er ten onrechte meerwerk is vastgesteld.
Beheersmaatregel: Accorderen factuur door inhoudelijk betrokkene; Bespreken in periodieke evaluatiegesprekken met partners. Book & Match (boven een bepaald bedrag). (Steekproefsgewijze) prestatiecontrole op facturen/uren. Opdrachten alleen via systeem kunnen geven en daar de juiste controles inrichten. Facturen zonder ordernummer niet betalen. | Realiseren onderhoudsorder |
| Tijdigheid | Voor de MJOB zijn verschillende tijdrovende inventarisaties verplicht conform wet- en regelgeving, zoals rondom asbest en flora en fauna. Wanneer deze te laat starten, kan dat vertragend werken voor de MJOB, evenals het te laat opleveren van de conditiemeting.
Beheersmaatregelen: Jaarlijkse cycli op elkaar afstemmen en tijdig starten; Extra stelpost opnemen voor onvoorziene werkzaamheden door wijzigende wet- en regelgeving. | Meerjaren onderhoudsbegroting en conditiemeting |
| Veiligheidsproblematiek | Veiligheidsproblematiek kan ontstaan wanneer niet de juiste richtlijnen voor het verwijderen van asbest worden gevolgd, door huurders, medewerkers of externen.
Beheersmaatregel: Werken conform verplichte werkwijze asbestinventarisatie. Informeren huurders over risico’s bij eenheden van vóór een bepaald bouwjaar. | Realiseren onderhoudsorder Uitvoeren eindinspectie Uitvoeren voorinspectie |
| Verbale agressie | Uitvoeren intake klantvraag en stellen diagnose | |
| Vertraging | Vertraging in mutatieonderhoud kan ontstaan door het niet tijdig herkennen of bespreken van meerwerk of wanneer de huurder afgesproken herstelpunten niet of niet correct heeft uitgevoerd. Vertraging kan (langere) mutatieleegstand opleveren.
Beheersmaatregel: Zorgen voor voldoende c.q. de juiste expertise bij de voorinspectie of tussentijdse controle van de uitvoering. Tijdens de voorinspectie aanbieden om werkzaamheden tegen een laag tarief te doen voor de huurder. Heldere afspraken maken en verwachtingen communiceren. | Realiseren onderhoudsorder |
| Vertraging in de uitvoering | Er is onvoldoende capaciteit of materiaal om de benodigde werkzaamheden op tijd uit te voeren. Dit kan veroorzaakt worden door niet tijdig contracteren of niet correct plannen.
Beheersmaatregelen: Tijdig plannen; Bij opstellen planning de juiste afdelingen betrekken; Voortgang van uitvoerende monitoren; Aansturen uitvoerende; Periodiek voortgangsoverleg, analyseren oorzaak vertraging en bijsturing organiseren. | Regisseren planmatig onderhoud |
| Wanbetaling | Een wanbetaler is een persoon of rechtspersoon dat gebruik maakt van een dienst of product zonder daarvoor (tijdig) te betalen. Concreet voorbeeld: een huurder die zijn huur niet betaalt. | Pre-notificeren contractant |
| Werkzaamheden vielen onder garantie | Afhandelen huuropzegging Intake klantvraag Verwerken terugkoop | |
| Wijziging in het bezit niet bekend | Registreren vastgoed | |
| Woonfraude | Woonfraude kan veroorzaakt worden wanneer een eenheid wordt verhuurd aan een huurder die niet voldoet aan de criteria.
Beheersmaatregel: Actief monitoren van percentage NOGO wegens gegevens/documenten niet in orde en naar bevinden handelen. Inzet huurderspaspoort. Gegevens digitaal aanleveren geeft controlemogelijkheden op volledigheid. | Werven en selecteren kandidaten |
In Kennismodel
Het thema RisicoControlFramework past binnen de metastructuur van de CORA als weergegeven in onderstaande figuur, waarbij in het kennismodel alleen de concepten zijn ingekleurd die relevant zijn voor het thema RisicoControlFramework:
