RisicoControlFramework

CORA&DVS&RISKID logo.png

Onderwerpen die aan bod komen:


Inleiding

De risicoparagraaf bij het processenboek heeft tot doel praktische handvatten te geven bij de uitwerking en uitvoering van risicomanagement door de eerste lijn. Het stuk is daarom zo kort en praktisch mogelijk gehouden, te gebruiken als basis en gericht op de uitvoering. Corporaties kunnen de onderwerpen uit deze paragraaf natuurlijk altijd verder uitwerken in hun eigen risicomanagementbeleid.

Risicomanagement is een continu proces dat tot doel heeft om inzicht te creëren in de negatieve en positieve afwijkingen bij het realiseren van organisatiedoelen. Hierdoor wordt een redelijke mate van zekerheid verkregen over het behalen van doelstellingen. Met dit inzicht kunnen maatregelen worden genomen om risico’s te beheersen, dan wel kansen te benutten.

Daarmee is risicomanagement integraal onderdeel van de bedrijfsvoering op 3 niveau’s:

  1. Strategisch risicomanagement richt zich op risico’s die invloed hebben op het behalen van strategische (lange termijn)doelstellingen.
  2. Tactisch risicomanagement richt zich op de koppeling tussen strategisch en operationeel risicomanagement en biedt vooral (beleids)kaders voor risicobeheersing.
  3. Operationeel risicomanagement richt zich op de uitvoering van primaire en ondersteunende processen en op het beheersen van de risico's die betrekking hebben op de processen en bedrijfsactiviteiten.


RCF 1.png

Figuur 1: Het begrip risico, Michiel Kerstens (HVC)

Het processenboek richt zich voornamelijk op operationeel risicomanagement. In deze paragraaf over risicomanagement wordt hierna ten behoeve van de leesbaarheid het management van kansen verder buiten beschouwing gelaten.

Risico

RCF 2.png

Een risico is de kans op het optreden van een onzekere gebeurtenis met een negatief gevolg voor de organisatie en heeft invloed op het behalen van de organisatie-, afdelings- of procesdoelstellingen van de woningcorporatie. Zie ook dit filmpje.

  • Een risico beïnvloedt bedrijfsdoelstellingen, wat leidt tot afwijkingen van geplande resultaten.
  • Een risico wordt bepaald door oorza(a)k(en) en resulterend(e) gevolg(en).
  • Een risico heeft een kans van voorkomen en een impact (grootte van effect).


Hierbij wordt gekeken naar de kans en impact van het risico, de reeds genomen beheersmaatregelen en het risico dat overblijft, dit is het netto risico.


Het is belangrijk om duidelijk onderscheid te maken tussen risico (gebeurtenis), oorzaak en gevolg. Wanneer oorzaken scherp in beeld zijn kunnen preventieve maatregelen getroffen worden om de kans op het optreden van een risico te reduceren. Wanneer potentiële gevolgen in beeld zijn kunnen zo nodig correctieve maatregelen getroffen worden om de impact van een risico te reduceren.

Risicomanagement

Risicomanagement is gebaseerd op de volgende cyclus.

RCF 3.png


Figuur 3: Risicomanagement process, Michiel Kerstens (HVC)

Identificeren

Voor wat betreft de referentieprocessen van woningcorporaties is de uitdaging om risico’s te identificeren die een negatieve invloed kunnen hebben op het behalen van procesdoelstellingen die doorgaans worden gemeten middels kritieke prestatie-indicatoren. Voor de referentieprocessen is voorwerk verricht door de belangrijkste risico’s in beeld te brengen. De individuele woningcorporatie hoeft alleen nog eigen corporatiespecifieke risico’s toe te voegen, bij voorkeur zo weinig mogelijk (focus aanbrengen). De verwachting is dat op het niveau van processen en bedrijfsactiviteiten de verschillen tussen woningcorporaties beperkt zullen zijn.

Analyseren

In de praktijk zal er sprake zijn van een aantal grote en minder grote operationele risico’s. Uit het oogpunt van doelmatigheid en efficiency moet prioritering aangebracht worden in deze risico’s. Prioritering vindt plaats op basis van kans en impact. De geprioriteerde risico’s vormen de kernrisico’s (ook wel ‘key risks’ genoemd) en geven een indicatie welke risico’s buiten de grenzen van risicobereidheid liggen en beheerst moeten worden of moeten leiden tot een verbetering van het proces. In de referentieprocessen zijn de verwachte kernrisico’s al benoemd. Geadviseerd wordt om per proces niet meer dan 5-7 kernrisico’s vast te stellen.

De risicobereidheid geeft aan wat de aard en omvang van de risico’s is die een woningcorporatie bereid is aan te gaan bij het bereiken van de bedrijfsdoelstellingen. Deze risicobereidheid is kwantitatief van aard (veelal in financiële termen als solvabiliteit, liquiditeit of maximaal operationeel verlies) en kan ook een kwalitatief aspect hebben als het gaat om bijvoorbeeld reputatie, maatschappelijke prestaties, veiligheid en klanttevredenheid.

Beheersen

Op basis van het eigen risicomanagementbeleid beoordeelt elke woningcorporatie welke risico’s buiten de grenzen van risicobereidheid liggen en beheerst moeten worden. Beheersing krijgt gestalte in het treffen van beheersmaatregelen. Ook daarvoor geldt de kunst van het beperken en is de uitdaging om te kiezen voor de kernmaatregelen (ook wel ‘key controls’ genoemd) die essentieel zijn om de kernrisico’s te beheersen. Beheersmaatregelen kunnen bestaan uit de zogenaamde soft controls (mensgerichte beheersinstrumenten) en de hard controls (instrumentele beheersinstrumenten). Voor een goede beheersing zijn hard controls én soft controls noodzakelijk en moet er een goede balans zijn tussen deze twee.

Monitoren

In de fase van monitoren wordt de ontwikkeling van risico’s gevolgd en de effectiviteit van de getroffen beheersmaatregelen. Er is sprake van een PDCA-cyclus op risicobeheersing om zo nodig bij te kunnen sturen wanneer restrisico’s te hoog worden of juist zodanig laag dat maatregelen niet langer nodig of bedrijfseconomisch verantwoord zijn. Monitoring van het actuele risicoprofiel en hoe de risico’s zich op termijn ontwikkelen kan met behulp van Kritieke Risico Indicatoren (KRI’s). Een KRI is vergelijkbaar met een KPI met dien verstande dat een KPI iets zegt over de mate waarin prestaties gerealiseerd worden terwijl een KRI iets zegt over de mate waarin toekomstige risico’s zich kunnen materialiseren. Een KRI is een kwantitatieve maatstaf (bijvoorbeeld een absoluut getal of een ratio) dat de mate van het risico weergeeft. Het is een indicator van de kans van optreden van een risico, de mogelijke schade bij optreden, of beide.

Three Lines Model

Als het gaat over de organisatie van het realiseren van (ondernemings-)doelstellingen, wordt hiervoor vaak het zgn. ‘three lines model’ als kader gebruikt. Het model schrijft niet voor hoe een organisatie risicomanagement moet organiseren en toepassen, maar gaat uit van verschillende ‘lijnen’ waarlangs rollen en verantwoordelijkheden kunnen worden georganiseerd:

Eerstelijnsrollen

Eerstelijnsrollen zijn doorgaans het meest direct afgestemd op het leveren van producten en/of diensten aan zowel externe als interne klanten van de organisatie, inclusief ondersteunende functies. Voor een woningcorporatie zijn dit bijvoorbeeld: de afdelingen verhuur, onderhoud en projectontwikkeling. Eerstelijnsrollen zijn primair verantwoordelijk voor het realiseren van de (proces)doelstellingen en daarmee dus ook voor het managen van de risico’s.

Tweedelijnsrollen

Tweedelijnsrollen verlenen ondersteuning aan de eerstelijnsrollen bij het risicomanagement. Tweedelijnsrollen kunnen worden gemixt met eerstelijnsrollen of gescheiden blijven. Vaak ook worden tweedelijnsrollen aan specialisten toegewezen. Voor een woningcorporatie zijn dit bijvoorbeeld: de businesscontroller, de juridisch adviseur, de fiscaal adviseur of de risicomanager.

Derdelijnsrollen

Derdelijnsrollen geven onafhankelijk en objectief zekerheid over de toereikendheid en effectiviteit van governance en risicomanagement. Bij grote woningcorporaties is deze rol vaak belegd bij de internal auditor of internal auditafdeling als onafhankelijke organisatie-eenheid. Bij kleine en middelgrote woningcorporaties worden tweede- en derdelijnsrollen veelal gecombineerd.

Meer informatie over het three lines model vind je hier.

Alfabetisch overzicht van risico's in deze CORAwiki

Kopieren 2.jpg

Helaas is downloaden niet mogelijk, maar je kunt door de regels van onderstaande tabel te selecteren ze heel eenvoudig naar excel kopiëren.


Heb jij een (verbeter)suggestie voor een (ontbrekende) beschrijving, mail je suggestie naar info@corponet.nl.

RisicoBeschrijvingHeeft relatie met
3e Partij risico’sHet risico dat de uitbestede activiteiten aan een derde partij niet voldoen aan de kwalitatieve en kwantitatieve eisen van de organisatie. Concreet voorbeeld: het Incassobureau verricht onvoldoende acties om de vordering te innen waardoor het aantal ontruimingsaanzeggingen stijgt.Incasseren vorderingen
Compliance risico’sWerken in overeenstemming met de geldende weten regelgeving. Concreet voorbeeld: werken volgens de AVG en volgens voorgeschreven wettelijke termijnen voor IncassoIncasseren vorderingen
De aannemer voert de werkzaamheden niet conform afspraak uitAls gevolg behaalt het project niet de gewenste kwaliteit. Bij Resultaat Gericht Samenwerken is er een risico dat er helemaal geen zicht is op kwaliteit van de oplevering bij projecten waar geen oplevering plaatsvindt.

Beheersmaatregelen:

Controle kwaliteit door steekproef op het werk; In getekende Procesverbaal van Oplevering zijn alle opleverpunten opgenomen; Meer ogen principe bij oplevering; Opschorten van betaaltermijnen; Prestatieverklaring;

Keuringsrapport.
Regisseren planmatig onderhoud
Foutief facturerenVerwerken factuur
FraudeFraude kan in dit proces bijvoorbeeld zijn dat ongewenste aanpassingen worden doorgevoerd op inschrijfdatum/ urgentietoekenning e.d. of dat doorgevoerde wijzigingen niet door de inschrijver zelf zijn aangevraagd.

Beheersmaatregel: 4-ogen principe toepassen bij aanpassingen inschrijfdatum en urgentietoekenning. Bevestigingsbericht sturen aan ingeschrevene voorafgaand aan het doorvoeren van de wijziging. Automatiseren waarbij je alleen met inloggegevens een wijziging kan doorgeven. Systeemautorisaties Systeem zo inrichten dat het niet mogelijk is om (zonder extra controle) inschrijvingen met terugwerkende kracht te maken. Systeemlogging toepassen zodat aanpassingen te auditeren en traceerbaar zijn.

Tweeweg identificatie.
Inschrijven woningzoekenden
FraudeFraude is een vorm van bedrog; de zaken worden anders voorgesteld dan ze zijn, door op papier of digitaal een onjuiste weergave te geven van de werkelijkheid. Concreet voorbeeld: Het risico dat een medewerker een doelbewuste handeling verricht om er zelf beter van te worden, bijvoorbeeld een uitbetaling aan zichzelf verrichten.Pre-notificeren contractant
Fraude of onrechtmatigheden bij inkoop/aanbesteding en opdrachtverstrekkingOorzaken kunnen bijvoorbeeld zijn dat een leverancier niet op basis van objectieve criteria is geselecteerd, dat inkoop niet transparant of conform de juiste specificaties verloopt, dat niet wordt voldaan aan het procuratiereglement of dat door het ontbreken van (juiste) ondertekening een overeenkomst niet geldig is. Met name bij meerwerk zien we dit risico vaker optreden. Andere oorzaken kunnen liggen in het ontbreken van de juiste interne controlemaatregelen (met name controle-technische functiescheiding) in (financiële) processen, van toezicht (door management) of van een gedragscode en/of standaarden voor integer gedrag.

Maatregelen:

De marktuitvraag door inkoop en opdrachtgever samen laten opstellen; De verantwoordelijke voor het inkoopbeleid/control betrekken bij het inkoopproces; Zorgen dat leverancier getekende contract retourneert; Controles inbouwen. Een onafhankelijke medewerker toetst periodiek (bijv. ieder kwartaal) de goedgekeurde opdrachten aan het mandaat en rapporteert hierover aan het MT/directie;

Je kan hier ook gebruik maken van data-analyse.
Coördineren project planmatig onderhoud
Inkopen onderhoud
Geen one time fixReparaties worden bij voorkeur in één keer correct uitgevoerd. Mogelijke oorzaken voor het niet halen van deze one time fix kunnen zijn het incorrect uitvoeren van de werkzaamheden waardoor rework nodig is, het onjuist uitvoeren van de intake of maken van een verkeerde beoordeling of het ontbreken van de juiste (correcte, volledige) gegevens leverancier onderdeel (fabrieksfouten, garanties).

Beheersmaatregelen:

Zorgdragen voor juiste tools en juiste kennisniveau bij medewerkers. Verbeteren intake. Inplannen van inspecties alvorens uitvoering op te pakken. Evalueren met en managen van verwachtingen met uitvoerende partij; Verbeteren intake proces; Vastleggen van alle gegevens en controleren datakwaliteit. Werken met basiskwaliteitseisen die zijn vastgelegd in een (digitaal) kwaliteitshandboek.
'Reparatieonderhoud'
GeweldGeweld kan gedefinieerd worden als een kracht van meer dan geringe betekenis, uitgeoefend op personen of zaken. Het gaat meestal om een doelbewuste actie van één of meer personen. Concreet voorbeeld: geweld/bedreiging tegen (Incasso)medewerkers die huisbezoeken doen. Maar ook verbale bedreigingen aan de telefoon.Uitvoeren Huisbezoek
Huurovereenkomst komt niet rechtsgeldig tot standEen niet rechtsgeldige huurovereenkomst kan het gevolg zijn van het niet op orde hebben van datakwaliteit, menselijke fouten of wanneer niet de juiste gemachtigden het contract ondertekenen.

Beheersmaatregel: Datakwaliteitscontroles inbouwen. Ondertekening standaardiseren en digitaliseren. Vier ogen principe bij het opstellen van huurcontract. Steekproefsgewijze controle van huurcontracten.

Huurderspaspoort inzetten. Vastleggen welke gegevens nodig zijn. Volledigheid van gegevens afdwingen door automatiseren van het proces.
Verhuren eenheid
Imagoschade/ klachtenKlachten van ontevreden bewoners die door ontoereikende of veel te ruime voorschotten te maken krijgen met (hoge) bijbetaling of grote restituties.

Beheersmaatregel:

IC op voorschotten (steekproef); Meten en analyseren van data; Toereikende communicatie;

Analyse en opvolging klachtenrapportage.
Vaststellen servicecomponenten
LaagconjunctuurDe laagconjunctuur is de neergaande fase in de vrijemarkteconomie van de conjunctuurbeweging. Deze kenmerkt zich door een hoge werkloosheid, een geringe economische bedrijvigheid en een voorzichtige bestedingsneiging onder de consumenten. Concreet voorbeeld: bij laagconjunctuur zal de werkeloosheid stijgen waardoor potentieel meer mensen moeite hebben om de huur te betalen.Incasseren vordering, minnelijke fase 1
Lage klanttevredenheidDe bewoner is niet tevreden over afhandeling, kosten of communicatie.

Beheersmaatregelen:

Duidelijke communicatie vooraf; Bewaken opvolging; Inrichten track & trace.
Managen klantwaardering
Niet doelmatige inkoop, aanbesteding of planmatig onderhoudsuitgave (prijs/kwaliteit)Dit kan gebeuren wanneer er niet of onvoldoende bekend of gespecificeerd is wat exact ingekocht moet worden (hoeveelheid, kwaliteit). Ook kan er sprake zijn van niet marktconforme prijzen bij de inkoop. Oorzaak kan zijn dat de warme opname niet goed is uitgevoerd of te lang geleden is uitgevoerd en de plannen dus gebaseerd zijn op verkeerde of onvolledige informatie. Ook kan er sprake zijn van garanties welke niet worden aangesproken of niet bekend zijn. Tevens kan er sprake zijn van onvoldoende inzicht in meer- en minderwerk.

Beheersmaatrelegen:

Steekproef ter controle van werkzaamheden derden; Bij mutaties warme opname opnieuw uitvoeren; Vastleggen garanties;

Check op garanties standaardiseren tijdens planvorming.
Inkopen onderhoud
Niet geautoriseerde leegstandOmklappen van het leegstandslabel (technische leegstand -verhuurleegstand) gebeurt niet waardoor een eenheid niet zichtbaar wordt in het aanbiedproces en onnodig lang leegstaat.

Beheersmaatregel:

Controlerapport inrichten. Data-analyses.
Coördineren mutatieonderhoud
Niet naleven van de AVGGegevens niet tijdig verwijderd conform AVG-richtlijnen (data minimalisatie), er is onnodige data aanwezig of data wordt voor andere zaken gebruikt (geen grondslag aanwezig).

Beheersmaatregel:

Precieze AVG vereisten en regelgeving toepassen, zoals welke gegevens mag je opvragen, vastleggen en voor hoe lang. Direct bij het verzamelen van de data al oordelen welke informatie verwijderd moet worden. Periodieke steekproef op huurdossiers. Via WRV-systeem van leverancier precieze AVG vereisten en regelgeving configureren voor gevalideerd opvragen, vastleggen en bewaren van gegevens zodat het systeem bewaartermijn monitort en signaleert voor de organisatie wanneer gegevens verwijderd dienen te worden.
Inschrijven woningzoekenden
Niet voldoen aan wet- en regelgevingBij het uitvoeren van planmatig onderhoud zijn er veel wetten en regels die nageleefd dienen te worden, zoals de Wet Ketenaansprakelijkheid, het bouwbesluit, de juiste vergunningen, ARBO-richtlijnen etc. Wanneer deze weten en regels wijzigen, kan het voorkomen dat er niet tijdig wordt bijgestuurd en kunnen geplande onderhoudswerkzaamheden in strijd met wet- en regelgeving. Dit kan ook financiële of fiscale gevolgen hebben.

Beheersmaatregelen:

Een medewerker gaat na, of in de opdrachtverstrekking op de juiste wijze de WKA is toegepast, bewijzen van goed betalingsgedrag periodiek worden ontvangen, of de BTW-verleggingsregeling wordt toegepast en of de te storten bedragen op de G-rekening correct zijn; Eigenaren toewijzen die verantwoordelijk zijn voor het bijhouden van wet- en regelgeving;

Standaardisatie van opnemen richtlijnen in projectaanpak.
Regisseren planmatig onderhoud
Niet voldoen aan wet- en regelgevingOpdrachten of contracten (met leveranciers of huurders) kunnen opgesteld zijn zonder deze te toetsen aan wet- en regelgeving, of zonder de juiste procesgang (exact) te hebben gevolgd. Bijvoorbeeld wanneer een wijziging pas kan worden doorgevoerd bij 70% akkoord van bewoners, maar een wijziging ook wordt doorgevoerd zonder dat akkoord. Het ontbreken van de juiste kennis kan hieraan ten grondslag liggen.

Beheersmaatregel:

Jaarlijkse check op regelgeving; Inbouwen compliance-controles.
Vaststellen servicecomponenten
Verrekenen service-/stookkosten
Werven en selecteren leverancier(s)
Onderhoudsstrategie niet afgestemd op assetmanagement strategieDit kan komen doordat de strategie en de gewenste onderhoud strategie per complex niet of onvoldoende duidelijk is, of doordat de MJOB niet juist, tijdig en volledig is. Bijvoorbeeld wanneer de gegevens welke als basis voor de MJOB worden gebruikt, niet actueel, volledig of juist zijn.

Beheersmaatregelen:

Opstellen Strategisch Voorraadbeleid en/of Complexbeheerplannen; De aanpassingen in de vastgoedadministratie worden op volledigheid, juistheid en tijdigheid periodiek nagezien door degene die verantwoordelijk is voor de datakwaliteit; Rapportages ter controle doorvoering wijzigingen na oplevering projecten; Datakwaliteitscontroles. Rapportages; Automatiseren;

Gebruik Aedes ILS.
Regisseren planmatig onderhoud
Onjuist/onrechtmatig betaalde facturenFacturen worden te vroeg betaald, waardoor er al betaald is voor nog niet opgeleverd werk, veroorzaakt door het ontbreken van de juiste matching tussen facturen en opdrachten.

Beheersmaatregelen:

Voortgangsrapportages, waarmee de opzichter door de stand van het werk bevestigt dat de factuur betaald kan worden;

Meer ogen principe bij accorderen factuur.
Bewaking projectfinanciën
Onjuiste huurprijsEr is een onjuiste huurprijs vastgesteld ten gevolge van onjuiste huurpunten (WWS-puntenwaardering).

Beheersmaatregel

Elke maand wordt de volledigheid van opbrengsten vastgesteld a.d.h.v. controle op huurstandenregister. Onverklaarbare afwijkingen worden direct uitgezocht. 4 ogen principe toepassen. Data-analyse op WWS punten.
Coördineren verhuurklaar maken eenheid
Onjuiste of onvolledige doorbelasting van kostenKosten worden niet of niet volledig doorbelast.

Beheersmaatregelen:

Lijncontrole inrichten. Bijhouden middels rapportages, evalueren en bijsturen wanneer dit vaak voorkomt.
Voeren debiteurenbeheer
Onjuiste of onvolledige doorbelasting van kosten aan vertrekkende huurderKosten worden niet of niet volledig doorbelast aan de vertrekkende huurder. Mutatiekosten voor rekening huurder worden vaak aangegeven middels een vast bedrag, en deze verschilt in sommige gevallen met de werkelijke kosten. Wanneer de kosten hoger zijn dan komen deze voor rekening van de corporatie. Wanneer deze kosten lager zijn, betaalt de huurder in principe te veel, wat ook een juridisch risico met zich mee kan brengen.

Beheersmaatregel:

Richtlijnen formuleren, wanneer wel en niet doorbelasten en tegen welke bedragen. Lijncontrole inrichten. Bijhouden middels rapportages, evalueren en bijsturen wanneer dit vaak voorkomt.
Verhuren eenheden
Onjuiste of onvolledige prolongatie van hurenEen huurovereenkomst wordt niet of niet juist meegenomen bij prolongatie.

Beheersmaatregel De verhuring/ sleuteluitreiking wordt zoveel mogelijk nog dezelfde dag geformaliseerd in het systeem.

Interne controle op volledigheid prolongatie vs. bezitsadministratie.
Verantwoorden verhuring
Onjuiste toerekening van kostenDe kosten van reparatieonderhoud kunnen voor rekening van de corporatie zijn, van de huurder of van een leverancier. Onjuiste kostentoekenning is een risico dat veroorzaakt kan worden doordat als gevolg van het niet kennen van de oorzaak van een defect, kosten niet kunnen worden doorberekend aan huurder of leverancier onderdeel (fabrieksfouten, garanties), doordat medewerkers bestedingen niet, te laat of onjuist registreren, doordat garanties niet onderkend worden, of door het vooraf niet (goed) afspreken en vastleggen van kosten huurder.

Beheersmaatregel:

Meer effort steken in het achterhalen van defect en oorzaak; Inspectie uitvoeren om oorzaak beter te kunnen achterhalen; Verbeteren monitoring op basis van (standaard)rapportages. Automatiseren van registratie van materiaalverbruik en urenbesteding. Vastleggen van garanties; Inbouwen standaard check op garanties. Afspraken over kosten huurder vooraf schriftelijk vastleggen.
Realiseren onderhoudsorder
Regisseren onderhoudsorder
Onjuiste uitkomsten MJOBDe uitkomsten van de MOJB kunnen onjuist zijn bijvoorbeeld doordat de voorcalculatie niet betrouwbaar is als gevolg van slechte data of verouderde normbedragen/parametersettingen, door het niet goed uitsplitsen tussen onderhoud en investeringen. Andere mogelijkheden zijn dat de MJOB niet voldoet aan jaarplan-/kaderbrief of dat er verschillende uitgangsbegrotingen gehanteerd worden.

Beheersmaatregelen:

Vooraf uitgangspunten afstemmen met alle betrokkenen; Afstemmen van MJOB met investeringsplanning; Toetsen of MJOB voldoet aan jaarplan-/kaderbrief; Meer ogen principe toepassen om juistheid te controleren; Training en scholing; Leren van elkaar;

Na vaststelling van een begroting in een proces deze altijd toetsen aan de centrale (jaar)begroting met als doel om zeker te weten dat er geen verschillen zijn.
'Planmatig onderhoud inclusief (M)JOB'
Onjuiste vastleggingOnjuiste vastlegging en hierdoor onjuiste factuur.

Beheersmaatregelen:

Periodieke steekproef c.q. prijs/prestatie controle op juistheid facturen.
Voeren debiteurenbeheer
Onnodige werkzaamhedenAfhandelen huuropzegging
Intake klantvraag
Onrechtmatige/ Onjuiste inschrijvingDe inschrijving is onjuist of onrechtmatig doordat niet aan alle voorwaarden voor inschrijving is voldaan.

Beheersmaatregel: 4-ogen principe op accorderen van (verlenging) inschrijving (al dan niet door middel van steekproef of deelwaarneming.)

Verplichten Huurpaspoort.
Inschrijven woningzoekenden
Ontevreden bewonersBewoners zijn ontevreden over het proces of het resultaat, bijvoorbeeld doordat ze niet of niet tijdig betrokken zijn bij de onderhoudsplannen en -planning.

Beheersmaatregelen:

Vooraf vaststellen bewonersparticipatie en communicatie; Klanttevredenheidsonderzoek.
Regisseren planmatig onderhoud
Onveilige situaties voor klanten en medewerkersDoordat er onvoldoende inzicht is in de aanwezigheid van asbest, kan dit onverwacht bij de uitvoering van werkzaamheden ontdekt worden en leiden tot onveilige situaties. Andere voorbeelden zijn brandveiligheid of werkomstandigheden (ARBO).

Beheersmaatregelen:

Bij verdenking aanwezigheid asbest tijdig een inventarisatie laten uitvoeren, eventueel met destructief onderzoek.
Regisseren planmatig onderhoud
Onveilige werkomstandigheden voor medewerkers/ uitvoerendenOnveilige omstandigheden kunnen ontstaan wanneer een agressieve bewoner niet onderkend wordt of de uitvoerende hier niet op is voorbereid.

Beheersmaatregelen:

Automatische signalering agressiemelding tijdens intake en op opdrachtbon vermelden.

Automatisch 2 personen inplannen wanneer signalering in systeem staat
Regisseren onderhoudsorder
Onvoldoende gespecificeerde facturenFacturen kunnen onvoldoende gespecificeerd zijn, bijvoorbeeld wanneer bij inkoop onvoldoende afspraken gemaakt zijn over het specificeren. Specificaties kunnen ontbreken zoals ordernummer, VHE nummer, type werkzaamheden of de juiste uitsplitsing daarvan, Bij servicekosten kan dit zelfs tot gevolg hebben dat er geen akkoord komt op doorbelasting.

Beheersmaatregelen:

Onvoldoende gespecificeerde facturen niet accepteren en niet betaalbaar stellen.

Vereisten omtrent factuurspecificaties opnemen in contract- en facturatievoorwaarden.
Voeren crediteurenbeheer
Onvolledig of onjuist beeld van de conditie van het bezitEen onvolledig of onjuist beeld van het bezit kan veroorzaakt worden doordat de bezitsregistratie welke als basis voor de MJOB wordt gebruikt, niet actueel, volledig of juist is, doordat het niet duidelijk is welke complexen aan de beurt zijn voor een conditiemeting, conditiemetingen lastig te vergelijken zijn doordat verschillende inspecteurs niet consistent werken of doordat door capaciteitsgebrek het niet haalbaar is bij alle complexen eenmaal in de 3 jaar een (kwalitatief goede) conditiemeting te houden.

Beheersmaatregelen:

Cyclus van datakwaliteitscontroles opzetten; Stelpost opnemen in MJOB voor onvoorzien wanneer de werkelijkheid anders is dan de ingeschatte gegevens; Datakwaliteit op orde; Planning voor conditiemeting op complexniveau is gemaakt op basis van vastgesteld beleid; Inrichten van een cyclus van eenmaal per 3 jaar uitvoeren conditiemeting per complex; Training, scholing, certificering van inspecteurs; Leren van elkaar; Steekproeven; Opstellen van interne en externe resourceplanning; Intern of extern alloceren van capaciteit; Prioriteren;

Optimaliseren van de planning.
'Planmatig onderhoud inclusief (M)JOB'
Onvolledige en/of onjuiste doorbelastingOnvolledige doorbelasting kan vele oorzaken hebben, zoals ontbrekende componenten (op contractniveau en/of vastgoedniveau), onjuiste vastgoedgegevens, ontbrekende facturen, ontbreken van (eenduidig) beleid, onvoldoende controles/functiescheidingen in de procesgang, niet facturabel gebruik. Ook kan het zijn dat kosten ten onrechte worden doorbelast, dat er onrechtmatige kosten in rekening worden gebracht, dat er kosten in rekening worden gebracht waarvoor er geen prestatie is geleverd of dat de BTW niet juist wordt meegerekend in de doorbelasting. Ook tijdigheid kan een rol spelen, bijvoorbeeld dat de afrekenperiode niet 12 maanden is of dat de afrekening pas komt als een vertrokken huurder al uit beeld is.

Beheersmaatregel:

Afstemming met verschillende afdelingen; Datakwaliteit op orde; Inbouwen controles; Controle met behulp van rapportages; Vergroten van kennis van beleid bij medewerkers; Facturenproces inregelen, altijd factuur langs prestatiehouder (opdrachtgever) en budgethouder voor akkoord;

Data-analyses inzetten zodat je trends ziet i.p.v. elke losse factuur. Het soort inkopen bepaalt de manier van controleren. bijv. bij termijnen toets je elke termijn i.p.v. elke factuur.
Vaststellen servicecomponenten
Verrekenen service-/stookkosten
Onvolledige of onjuiste conditiemetingDe huidige versus de gewenste conditie is niet goed vertaald naar de MJOB, bijvoorbeeld doordat er onvoldoende inzicht is in de huidige kwaliteit van het bezit.

Beheersmaatregelen

Meer ogen principe toepassen; Het aantal complexen in de MJOB vergelijken met de activastaten;

De MJOB baseren op het Strategisch Voorraad Beleid.
Regisseren planmatig onderhoud
Opdracht voldoet niet aan verwachting klantIntake klantvraag
Operationele risico’sOperationeel risico betreft het risico dat ontstaat als gevolg van het falen of tekortschieten van interne processen, menselijke en technische tekortkomingen, en onverwachte externe gebeurtenissen. Concreet voorbeeld: naar aanleiding van een telefoongesprek met een huurder, kan een medewerker een onvolledige notitie maken of een onjuiste/onvolledige vervolgactie in gang zetten.Incasseren vordering, minnelijke fase 1
Overschrijding van de norm voor passend toewijzenEr wordt toegewezen buiten het toegestane normenkader, waardoor aanzienlijke compliance risico's gelopen worden.

Beheersmaatregel:

Periodiek controleren op passend toewijzen.
Verhuren eenheden
Werven en selecteren kandidaten
PrivacyschendingInbreuk op de persoonlijke levenssfeer, schending van het recht op privacy. Concreet voorbeeld: een verkeerde bijlage naar een huurder sturen.Incasseren vorderingen
Reputatie-/ImagoschadeReputatieschade is schade die is opgelopen in de reputatie, ook wel ‘imagoschade’ genoemd. Reputatie-/imagoschade is een vorm van immateriële schade. Door reputatieschade kan ook aanvullende schade ontstaan, bijvoorbeeld door het mislopen van nieuwe opdrachten. Concreet voorbeeld: in een levendige discussie met een huurder, reageert een medewerker onprofessioneel.Incasseren vordering, minnelijke fase 1
Intake klantvraag
Te hoge kosten/urenbesteding voor verrichte prestatie bij mutatieonderhoudTe hoge kosten kunnen bijvoorbeeld veroorzaakt doordat werkzaamheden gestart worden zonder dat daartoe de formele opdracht aan de aannemer voor verstrekt is, doordat er onjuiste bedragen in rekening gebracht worden door de aannemer of doordat er ten onrechte meerwerk is vastgesteld.

Beheersmaatregel: Accorderen factuur door inhoudelijk betrokkene; Bespreken in periodieke evaluatiegesprekken met partners. Book & Match (boven een bepaald bedrag).

(Steekproefsgewijze) prestatiecontrole op facturen/uren. Opdrachten alleen via systeem kunnen geven en daar de juiste controles inrichten. Facturen zonder ordernummer niet betalen.
Coördineren mutatieonderhoud
Realiseren onderhoudsorder
TijdigheidVoor de MJOB zijn verschillende tijdrovende inventarisaties verplicht conform wet- en regelgeving, zoals rondom asbest en flora en fauna. Wanneer deze te laat starten, kan dat vertragend werken voor de MJOB, evenals het te laat opleveren van de conditiemeting.

Beheersmaatregelen:

Jaarlijkse cycli op elkaar afstemmen en tijdig starten;

Extra stelpost opnemen voor onvoorziene werkzaamheden door wijzigende wet- en regelgeving.
'Planmatig onderhoud inclusief (M)JOB'
VeiligheidsproblematiekVeiligheidsproblematiek kan ontstaan wanneer niet de juiste richtlijnen voor het verwijderen van asbest worden gevolgd, door huurders, medewerkers of externen.

Beheersmaatregel:

Werken conform verplichte werkwijze asbestinventarisatie. Informeren huurders over risico’s bij eenheden van vóór een bepaald bouwjaar.
Realiseren onderhoudsorder
Uitvoeren eindinspectie
Uitvoeren voorinspectie
Verbale agressieUitvoeren intake klantvraag en stellen diagnose
VertragingVertraging in mutatieonderhoud kan ontstaan door het niet tijdig herkennen of bespreken van meerwerk of wanneer de huurder afgesproken herstelpunten niet of niet correct heeft uitgevoerd. Vertraging kan (langere) mutatieleegstand opleveren.

Beheersmaatregel:

Zorgen voor voldoende c.q. de juiste expertise bij de voorinspectie of tussentijdse controle van de uitvoering. Tijdens de voorinspectie aanbieden om werkzaamheden tegen een laag tarief te doen voor de huurder.

Heldere afspraken maken en verwachtingen communiceren.
Coördineren mutatieonderhoud
Realiseren onderhoudsorder
Vertraging in de uitvoeringEr is onvoldoende capaciteit of materiaal om de benodigde werkzaamheden op tijd uit te voeren. Dit kan veroorzaakt worden door niet tijdig contracteren of niet correct plannen.

Beheersmaatregelen:

Tijdig plannen; Bij opstellen planning de juiste afdelingen betrekken; Voortgang van uitvoerende monitoren; Aansturen uitvoerende;

Periodiek voortgangsoverleg, analyseren oorzaak vertraging en bijsturing organiseren.
Regisseren planmatig onderhoud
WanbetalingEen wanbetaler is een persoon of rechtspersoon dat gebruik maakt van een dienst of product zonder daarvoor (tijdig) te betalen. Concreet voorbeeld: een huurder die zijn huur niet betaalt.Pre-notificeren contractant
Werkzaamheden vielen onder garantieAfhandelen huuropzegging
Intake klantvraag
Verwerken terugkoop
Wijziging in het bezit niet bekendRegistreren vastgoed
WoonfraudeWoonfraude kan veroorzaakt worden wanneer een eenheid wordt verhuurd aan een huurder die niet voldoet aan de criteria.

Beheersmaatregel: Actief monitoren van percentage NOGO wegens gegevens/documenten niet in orde en naar bevinden handelen. Inzet huurderspaspoort.

Gegevens digitaal aanleveren geeft controlemogelijkheden op volledigheid.
Werven en selecteren kandidaten


In Kennismodel

Het thema RisicoControlFramework past binnen de metastructuur van de CORA als weergegeven in onderstaande figuur, waarbij in het kennismodel alleen de concepten zijn ingekleurd die relevant zijn voor het thema RisicoControlFramework:

Een procesketen is een samenwerking van meerdere organisaties/organisatieonderdelen met elk een eigen verantwoordelijkheid die de levering van een of meer samenhangende diensten aan een klant realiseert. (BusinessInteraction) Procesketen Een dienst is een afgebakende prestatie die voorziet in een specifieke behoefte van een klant behorende bij het af te nemen/afgenomen product. (BusinessService) Dienst Een applicatieservice is de zichtbare functionaliteit die een applicatie biedt ter ondersteuning van een stap in een werkproces. (ApplicationService) Applicatieservice Een bedrijfsobjecten-domein is een logisch samenhangende groepering van bedrijfsobjecten. (Grouping) Bedrijfsobjecten-domein Een bedrijfsobject is een al dan niet tastbaar concept waarvan informatie wordt vastgelegd en verwerkt. (BusinessObject) Bedrijfsobject Een doelgroep is een verzameling van bij elkaar horende afnemende rollen. (Grouping) Doelgroep Een afnemende rol is de hoedanigheid waarin c.q. verantwoordelijkheid waarmee een persoon of organisatie een product afneemt. (BusinessRole) Afnemende rol Een bedrijfsfunctie is een coherente verzameling competenties gericht op het leveren van een of meerdere bedrijfsservices. (BusinessFunction) Bedrijfsfunctie Een begrip is een binnen de reikwijdte van de architectuur relevante term met een definitie of omschrijving. (BusinessObject) Begrip Een werkproces is een geordende reeks processtappen die onder verantwoordelijkheid van een enkele bedrijfsfunctie uitgevoerd wordt en die als afgebakend onderdeel van een bedrijfsproces de levering van een bedrijfsservice realiseert. (BusinessProcess) Werkproces Een processtap is een geordende reeks handelingen die onder verantwoordelijkheid van een enkele uitvoerende rol aaneengesloten uitgevoerd wordt en die een afgebakende bijdrage levert aan de uitvoering van een werkproces. (BusinessProcess) Processtap Een handeling is een enkelvoudige toewijsbare activiteit die bijdraagt aan de uitvoering van een processtap. (BusinessProcess) Handeling Een uitvoerende rol is de hoedanigheid waarin c.q. verantwoordelijkheid waarmee een persoon, afdeling of organisatie een toegewezen taak uitvoert. (BusinessRole) Uitvoerende rol Een kanaal is de wijze waarop een bedrijfsservice beschikbaar is voor afnemers. (BusinessInterface) Kanaal Een actor is een persoon of organisatie die in een of meerdere rollen kan acteren. (BusinessActor) Actor Een gebeurtenis is een toestandsverandering binnen de organisatie of in de buitenwereld die een bedrijfsproces doet starten of die uit een bedrijfsproces voortkomt. (BusinessEvent) Gebeurtenis Een koppelvlak (VERA) is een aansluiting met een exacte specificatie via welke applicaties gegevens met elkaar kunnen uitwisselen. (ApplicationInterface) Koppelvlak (VERA) Een prestatie-indicator is een meetbare vertaling van een veelal niet direct meetbare businessdoelstelling. (Value) Prestatie-indicator Een kengetal is een getal dat is uitgedrukt in geld- of in fysieke eenheden en dat de toestand van of de ontwikkeling op een bepaald beleidsterrein weergeeft. (Value) Kengetal Een principe is een richtinggevende uitspraak waar een organisatie zich aan kan verbinden, gericht op het bereiken van een doel op langere termijn. (Principle) Principe Een doelstelling is een richtinggevende uitspraak in termen van een gewenste situatie voor de organisatie en/of voor haar klanten. (Goal) Doelstelling Een sectordoelstelling is een doelstelling die breed voor de gehele sector geldt. (Driver) Sectordoelstelling Een kritieke succesfactor is datgene dat bepalend is voor het welslagen van een bepaalde ambitie. (Requirement) Kritieke succesfactor Een procesindicator is een prestatie-indicator die gekoppeld is aan een bedrijfsproces. (Value) Proces-indicator Een resultaatindicator is een prestatie-indicator die gekoppeld is aan een dienst. (Value) Resultaat-indicator Een bedrijfsservice is een afgebakende prestatie die geleverd wordt als onderdeel van een dienst aan een klant. (BusinessService) Bedrijfsservice Een product is een verzameling van diensten die onder bepaalde leveringsvoorwaarden in zijn geheel wordt aangeboden aan klanten. (Product) Product Een bedrijfsproces is een geordende reeks werkprocessen die onder verantwoordelijkheid van één organisatie wordt uitgevoerd met als doel één dienst te leveren aan een afnemer en die wordt gestart door een specifieke gebeurtenis. (BusinessProcess) Bedrijfsproces Een hoofdbedrijfsfunctie is een coherente verzameling competenties gericht op het leveren van een of meerdere diensten. (BusinessFunction) Hoofdbedrijfsfunctie Een risico is de kans op het optreden van een onzekere gebeurtenis met een negatief gevolg voor de organisatie en heeft invloed op het behalen van de organisatie-, afdelings- of procesdoelstellingen van de woningcorporatie. - Een risico beïnvloedt bedrijfsdoelstellingen, wat leidt tot afwijkingen van geplande resultaten. - Een risico wordt bepaald door oorza(a)k(en) en resulterend(e) gevolg(en). - Een risico heeft een kans van voorkomen en een impact (grootte van effect). (Assessment) Risico BusinessService Deelbedrijfsservice Een gegevensobjecten-domein is een logisch samenhangende groepering van gegevensobjecten. (Grouping) Gegevensobjecten-domein Een gegevensobject is een logische verzameling van gegevens die van vitaal belang zijn voor een bedrijf. (DataObject) Gegevensobject (VERA) Een leverende rol is de hoedanigheid waarin c.q. verantwoordelijkheid waarmee een externe organisatie een door de interne organisatie af te nemen dienst levert. (BusinessRole) Leverende rol Een kritische risico-indicator is een indicator van de kans van optreden van een risico, de mogelijke schade bij optreden, of beide. (Value) Kritische risico- indicator Een samenhangende groep interne gedragingen van een applicatiecomponent. Via applicatiefuncties realiseert een applicatiecomponent applicatieservices. Applicatiefunctie wordt altijd omschreven met een naamwoord van handeling. Een voorbeeld van een applicatiefunctie is de Raadplegen zaakdocumenten functie. Bijvoorbeeld: onderhouden is dus onderhoud of verwerven is verwerving (ApplicationFunction) Applicatiefunctie Een stuurscenario is een keten van processen waar de woningcorporatie integraal op stuurt. (BusinessInteraction) Stuurscenario Een informatieobject is een verzameling aan elkaar gerelateerde gegevens die als eenheid wordt behandeld. (Representation) Informatieobject AggregationRelationship bestaat uit AggregationRelationship groepeert ServingRelationship bedient AccessRelationship RW ServingRelationship bedient TriggeringRelationship veroorzaakt AggregationRelationship Clustert Kan verantwoordelijk zijn voor een verzameling van bedrijfsservices (RealizationRelationship) Verantwoordelijk voor AccessRelationship RW RealizationRelationship realiseert AggregationRelationship bestaat uit AccessRelationship RW AggregationRelationship bestaat uit RealizationRelationship realiseert ServingRelationship bedient ServingRelationship bedient AssignmentRelationship voert uit AssignmentRelationship ondersteunt TriggeringRelationship bedient AssignmentRelationship vervult AssignmentRelationship vervult TriggeringRelationship initieert AssociationRelationship gekoppeld aan AccessRelationship W AggregationRelationship is opgebouwd uit AssociationRelationship heeft betrekking op InfluenceRelationship draagt bij aan RealizationRelationship realiseert SpecializationRelationship is een AssociationRelationship gekoppeld aan SpecializationRelationship is een AssociationRelationship gekoppeld aan AggregationRelationship groepeert AggregationRelationship groepeert ServingRelationship bedient TriggeringRelationship veroorzaakt AggregationRelationship bestaat uit RealizationRelationship realiseert RealizationRelationship verantwoordelijk voor AggregationRelationship clustert AggregationRelationship groepeert AssociationRelationship gekoppeld aan RealizationRelationship realiseert AssociationRelationship gekoppeld aan AssociationRelationship gekoppeld aan AssociationRelationship AssociationRelationship gekoppeld aan AssociationRelationship ServingRelationship bedient RealizationRelationship Realiseert AggregationRelationship bestaat uit RealizationRelationship realiseert AggregationRelationship RealizationRelationship Deze svg is op 21-09-2021 16:57:54 CEST gegenereerd door ArchiMedes™ © 2016-2021 ArchiXL. ArchiMedes 21-09-2021 16:57:54 CEST




   
   
   

   
   

   
   

   
   

   
   

   
   
   
   
   
   
   
   
   
   
   
   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   
ArchiMate basiskleuren
   
   
   
   



Logo CORA.png

Deze pagina kwam mede tot stand dankzij een bijdrage van: RiskID