Erik van Marle – Blog over risicomanagement

www.naris.com

Categorie archief: Houding en gedrag


door Een reactie plaatsen

De kracht van de 2e lijn!

De verschillende implementatiemodellen op een rij en Best Practice Watermeloen+ model

Naar aanleiding van ons webinar ‘is de 2e lijn wel sterk genoeg?’ https://naris.com/nl/is-de-2e-lijn-wel-sterk-genoeg/

Er zijn ontzettend veel reacties binnengekomen op de verschillende modellen die wij gepresenteerd hebben. Met als eye-catcher het Watermeloen Model. Een nadere toelichting van dit model is gewenst en deze blog is hier een aanzet voor. In een vervolg blog zal ik ingaan op de resultaten die we gezien hebben bij klanten en hoe we het in NARIS GRC standaard beschikbaar maken.

Ons startpunt is altijd: Wat verwacht je? En van Wie? Maar vooral: Wat is het doel?

In onze ervaring cruciale uitgangspunten bij het bepalen van welk model het best past op je organisatie. Besef daarbij dat de 1e lijn geen expert is in het benoemen van risico’s….. en dit ook niet zal worden. Hetzelfde geldt voor het benoemen, monitoren en testen van controls.

De eerste vraag zegt iets over het feitelijke werk dat je verwacht. Hier komen de verschillende implementatiemodellen in beeld. Afhankelijk van het type bedrijf, cultuur, opleidingsniveau, sector, maatschappelijke impact, aantal externe toezichthouders, mate van toezicht, veiligheidsissues en ambitie moet er bepaald worden wat er geregistreerd moet worden en op welke wijze. Onderstaand geven we de mogelijkheden weer zonder daarin uitputtend te willen zijn.

Uit de tweede vraag leiden we af welke functies betrokken zijn bij het invulling geven aan Governance, Risicomanagement en Compliance. Willen we 1e lijn medewerkers echt betrekken en een rol laten spelen, of alleen de manager, of de businessunit manager? Dit kan ook nog verschillen per thema. Voor risicomanagement kan dit anders liggen dan voor compliance, kwaliteit, procesmanagement, etc.

Het antwoord op deze vraag bepaalt in belangrijke mate de reporting. Immers, de betrokken functies gaan alleen iets registreren als ze er ook inzicht en overzicht voor terugkrijgen. Nut en noodzaak moeten duidelijk zijn. Compliance is een driver maar zeker niet de enige.

Workshop Methode

Dit is van origine de meest gekozen methode. Vanuit de optiek dat zoveel mogelijk draagvlak moet worden gecreëerd en dat dit bereikt wordt door met elkaar te brainstormen over risico’s. Dit is een methode waarmee, mits goed uitgevoerd, veel creativiteit wordt bereikt, het risicobewustzijn wordt verhoogd en dus ook draagvlak. Nuttig en noodzakelijk in organisaties die veel en/of grote unieke projecten doen. Voor het reguliere proces is deze methode op het risico-identificatie proces niet echt nodig. Voor het identificeren en bepalen van de nut en noodzaak van controls kan het wel een aanvulling zijn.

VoordelenNadelen
Creatief procesKost veel tijd
Veel interactie met collega’sKost veel onderhoud
Mogelijkheid tot maatwerkOpenheid in de groep vraagt veel aandacht
Interactie tussen disciplinesHeeft een sterk eenmalig karakter
Groepsstandpunt / draagvlakIndividuele expertise kan ondersneeuwen

Wat verwacht je?

Parate kennis en goede verbale eigenschappen in een open cultuur. Je verwacht dat individuele expertise naar voren komt en dat iedereen elkaar aanvult.

Van wie: van alle workshopdeelnemers. Selectie is daarom cruciaal waarbij het voor het draagvlak altijd belangrijk is geen personen over te slaan. Teveel bias, zowel in samenstelling als iqua onderwerpen, moet je voorzichtig mee zijn. Vreemde ogen dwingen!

Risk Self Assessment Methode

In grotere organisaties of organisaties met veel stakeholders (supply chain, verbonden partijen) een veel gebruikt instrument. Sterker nog, veel van onze nationale toezichthouders gebruiken dit instrument vaak. Wij zijn overtuigd dat een regelmatige Self Assessment veel informatie kan opleveren over trends, wijzigingen en blind spots. Het blijft echter vaak wel aan de oppervlakte hangen en de grote vraag is dan ook of het voldoende inzicht geeft om goede conclusies te trekken? Onze ervaring leert dat het inzicht geeft maar dat daarna nog steeds een risico- en control analyse moet plaatsvinden om echt iets over de kwaliteit en volledigheid te kunnen zeggen.

Veel vragenlijsten worden doorgezet naar medewerkers waardoor je nog niet weet wie met welke expertise de vragen heeft beantwoord. Daarnaast kost het invullen toch ook altijd best veel tijd want zaken moeten wel uitgezocht worden.

VoordelenNadelen
SnelVeelal gericht op risico’s en niet op controls
EenvoudigAfstandelijk
Groot bereikExpertise lastig in te schatten
Tooling eenvoudig in te zettenPushen om informatie te verzamelen
Snelle reportingMultiple interpretabel

Wat verwacht je?

Adequate respons op de gestelde vragen en indien mogelijk een goede onderbouwing. Van de opstellers (veelal de 2e lijn) verwacht je een goede interpretatie van de antwoorden.

Van wie: van de geselecteerde respondenten. De kunst is om de uitvraag heel gericht te houden.

Watermeloen Model

Het Watermeloen model is gericht op de kwaliteit en volledigheid van bekende risico’s en controls. Het is dus veel directiever omdat risico’s en controls worden voorgeschreven door de 2e lijn. De 1e lijn zal moeten aangeven welke risico’s al dan niet van toepassing en zijn. En ook welke controls ‘in place’ zijn. Kijk voor meer informatie op: https://naris.com/nl/incontrol/

VoordelenNadelen
Duidelijke structuur en daardoor RCMVeel voorbereidingstijd 2e lijn
Hogere mate van volledigheidMinder inbreng 1e lijn
Hogere kwaliteitMeer compliance driven
Eenvoudig in gebruik 
Herleidbaar Risk Control Framework 

Wat verwacht je en van wie?

Van de 2e lijn voorbereiding en organisatietalent om key risico’s en controls goed te beschrijven. De 1e lijn zal moeten aangeven welke risico’s en controls van toepassing zijn en in welke mate.

Watermeloen+ Model

Een uitbreiding op het Watermeloen model kan door de 1e lijn nog meer informatie te vragen. Dit met name op de assurance van controls. De 1e lijn moet aangeven of ze de controls ook daadwerkelijk getest hebben en of ze evidence kunnen bijvoegen. Hiermee bereiken we een zo goed als volledige In Control Verklaring met benodigd dossier, opgesteld en verantwoord door de 1e lijn. De 2e lijn vervult een duidelijk rol van adviseur en begeleider. De 3e lijn kan een objectief advies geven over opzet, bestaan en werking.

VoordelenNadelen
Duidelijke structuur en daardoor Risk Control MatrixVeel voorbereidingstijd 2e lijn
Hogere mate van volledigheidMinder inbreng 1e lijn
Hogere kwaliteitMeer compliance driven
Eenvoudig in gebruikBegrip van controltesting nodig in 1e lijn
Herleidbaar Risk Control FrameworkKost tijd om evidence te verzamelen
Volledig dossier voor de accountant 
Duidelijke scheiding van verantwoordelijkheden tussen 1e, 2e en 3e lijn 

Wat verwacht je en van wie?

Van de 2e lijn voorbereiding en organisatietalent om key risico’s en controls goed te beschrijven. De 1e lijn zal moeten aangeven welke risico’s en controls van toepassing zijn en in welke mate. De 1e lijn zal tevens controls moeten testen en evidence kunnen toevoegen. Omdat de 2e lijn de rol van adviseur en begeleider heeft is dit echter geen drempel.

Advertentie


door 1 reactie

Het Coronavirus als Extern Risico beschouwd

Ik hoop dat iedereen beseft hoe moeilijk het is om als overheid een afweging te maken in de huidige situatie rondom het Coronavirus. Het is echt niet het moment om op zoek te gaan naar fouten van de beslissers!

De waarde van Experts

En laten we ons alsjeblieft niet gek laten maken! Tetlock (2005) onderzocht over een periode van twintig jaar tienduizenden voorspellingen van honderden experts. Hij beoordeelde hoe goed ze waren in het schatten van waarschijnlijkheden en of ze in staat waren specifieke uitkomsten te voorspellen. De uitkomsten waren ronduit onthutsend maar bevestigen de conclusies van een groot aantal andere studies: de gemiddelde expert deed het niet veel beter dan een “dart-throwing chimp” die altijd op het statistisch gemiddelde uitkomt. Hoe gespecialiseerder en beroemder experts waren, hoe slechter ze bovendien bleken te presteren.

Specialisatie vernauwt het blikveld en vergroot de kans op het vinden van meer bewijs en gelijkgestemden om bestaande overtuigingen en gedane voorspellingen te bevestigen. Experts vallen niet alleen ten prooi aan dezelfde cognitieve biases als ieder ander, ze blijken door het koesteren van hun bekendheid en reputatie nog gevoeliger voor het maken van verkeerde inschattingen. Als experts eenmaal in boeken, presentaties en interviews een stelling hebben ingenomen, geven ze die niet snel op. Dezelfde media verleiden hen tegelijkertijd om bijzondere, afwijkende posities in te nemen om hun aantrekkingskracht en entertainmentwaarde voor toekomstige optredens te vergroten. (Bron artikel over externe risico’s in het maandblad voor accountancy en bedrijfseconomie, juli 2018, door Bood en Postma).

Risicomanagement

Als we naar de theorie van Risicomanagement kijken geeft dit namelijk al best duidelijke richtlijnen voor de aanpak van Externe risico’s. Als je ziet waar WEF (World Economic Forum) Infectioen diseases plaatst is dit in het quadrant Hoge Impact / Lage Kans.

Global Risk Report World Economic Forum

Beheersing

Kenmerkend voor de risico’s in dit quadrant is dat de beïnvloedbaarheid heel laag is. COSO geeft al aan dat dit soort risico’s allen geaccepteerd kunnen worden als de impact klein is, anders mitigeren of continuïteitsplannen klaar hebben liggen. De voor de hand liggende beheersing is om je te focussen op het inperken van de gevolgen. De oorzaak ligt immers buiten je invloedssfeer. Volledig in lijn met wat er nu met het Coronavirus aan de hand is.

Het ‘normale proces’ in het geval van Externe risico’s:

  • Bepaal in welke mate ze de bedrijfsvoering kunnen beïnvloeden;
  • Doordenk de verschillende scenario’s; worst / normal / best case;
  • Zorg dat er plannen (op hoofdlijnen is voldoende) klaarliggen om een eerste respons te kunnen geven. Over het algemeen bewegen dit soort risico’s zich langzaam en is er dus tijd om je voor te bereiden. Dit was ook zo bij het Coronavirus voor Europa;
  • Zorg dat er een vooraf doordachte lijst met mogelijke gevolgen klaar ligt;
  • Bedenk hoe de verschillende gevolgen beperkt kunnen worden;
  • Realiseer je dat bij dit soort risico’s maatregelen eigenlijk nooit rigide genoeg kunnen zijn. Watkins en Bazerman (2003) en Kaplan en Mikes (20120 gaven al aan dat et belangrijk is om hier het voorstellingsvermogen wat op te rekken.

Een aantal andere voorbeelden waaruit al blijkt dat we niet ver genoeg kunnen gaan in het bedenken / toepassen van maatregelen:

In geval van een brand wordt er meteen worst case gedacht en direct al het personeel geëvacueerd, direct naastgelegen gebouwen natgehouden, etc.

De recente cyber attacks hebben geleerd dat het alleen helpt als je alles platlegt en van daaruit opnieuw begint met opbouwen.

De terroristische aanslagen leren ons dat alleen volledige opschaling resultaat oplevert. Het heeft geen zin om stapsgewijs een gebied af te sluiten of mondjesmaat de hulpdiensten in te schakelen.

Ik ben heel blij dat we nu alles afsluiten en zo de verspreiding hopelijk kunnen tegengaan. Het openbaar vervoer ook nog? We hebben gewoon de kennis nog niet over hoe dit virus zich verspreidt en welke impact het heeft op levens. De enige manier om verspreiding tegen te gaan is het stopzetten van vervoer / contacten tussen personen.

Een mooi voorbeeld vind ik ook de maatregel uit de UK om de meest risicovolle groep van 70+ers echt thuis in quarantaine te zetten de komende 4 weken zodat de ziekenhuizen beschikbaar blijven voor de anderen. Zo zorg je ervoor dat de vitale ziekenhuis infrastructuur voor kan blijven functioneren!

Wens

Ik hoop vurig dat we deze crisis aangrijpen om van te leren zodat wij een volgende keer dit soort risico’s nog sneller onder controle zullen hebben. Zou het ons lukken om niet weer te verzanden in de eeuwige Schuldvraag? Media help eens!


door 1 reactie

Hoe krijg je tijd voor Key Risks?

Kansen

Risicomanagement wordt as we speak echt op de proef gesteld. Alle aandacht gaat, volkomen terecht, uit naar het Coronavirus. De wereld om ons heen verandert heel snel, iedere dag nieuwe regels / omstandigheden waarmee we direct mee moeten kunnen omgaan. Onze flexibiliteit is nog nooit zo op de proef gesteld en ik weet ook heel zeker dat dit de maatschappij nog veel gaat brengen. Iedereen ervaart nu verplicht hoe eenvoudig het toch is om thuis te werken, niet voor iedere afspraak in de auto te stappen, de continuiteit van dienstverlening te flexibiliseren, etc. De bijkomende gevolgen zijn helemaal niet slecht….. minder CO2 uitstoot, minder geluidsoverlast, etc. Zou dit de push zijn die wij als wereldbevolking nodig hadden? Interesting!

Bedreigingen

Spannend is ook om te zien hoe goed bedrijven hun risicomanagement op orde hebben. Het Coronavirus is een Extern risico in de definitie van Kaplan. We ervaren hoe lastig de beheersing is omdat de beïnvloedbaarheid van het risico zeer laag is. Toch hadden we het in Europe op een gegeven moment zeker kunnen zien aankomen en ook al kunnen leren van de maatregelen die China had genomen, ondanks dat dit nog maar enkele weken oud was!

Waarom is dit zo weinig gebeurd?

Tijd?

Hebben we in onze organisaties voldoende tijd ingebouwd om de strategische en externe risico’s te managen? Risicobewuste organisaties, High Reliability Organizations, nemen in gevaarlijke situaties een TimeOut. Hebben we daar de tijd voor?

In Control

Er zit veel semantiek in de woorden ‘In Control’, ‘Alles onder controle’, ‘Controle’, ‘In Control Statement’, ‘In Control Framework’, etc. Wellicht moet de definitie zijn dat je ‘In Control’ bent op het moment dat er voldoende tijd over is om de echte risico’s te managen.

Afwijkingen verdienen aandacht!

Waarschijnlijk heeft > 80% van de risicoprofielen in organisaties een operationeel karakter. Het is heel menselijk / natuurlijk om juist daar te kijken waar het om de grote getallen gaat. Deze risico’s gaan namelijk ook vaak door onze belangrijkste processen en dus is het ook gebruikelijk dat er veel aandacht aan besteed wordt. Door audit, door de accountants, door de controller en daarmee door bestuur, management en RvC.

Toch zou ik willen adviseren om er op te vertrouwen dat deze risico’s en processen over het algemeen heel goed gemanaged worden door de organisatie. Het is hun Core Business. Aan de randen van de ‘normaal verdeling’ vinden de interessante afwijkingen plaats. Deze afwijkingen (incidenten), in positieve of negatieve zin, zijn de eerste signalen of er ergens iets stagneert. Durf het lef te hebben om minder tijd te besteden aan de controle op operationele risico’s.

En hebben we tijd voor een risicobewuste organisatie voor alle continue veranderingen en bijbehorende soorten risico’s. Lees:

  • Klimaatverandering
  • Cybersecurity
  • TCFD
  • Toeleveranciers
  • Economische teruggang
  • Veranderende wet- en regelgeving
  • Datalekken
  • Beschikbaarheid van kapitaal
  • etc.


door 1 reactie

De meeste risico’s deugen!

Een verwijzing naar het zeer interessante boek en aanrader ‘De meeste mensen deugen’ van Rutger Bregman. Zou een aantal van zijn conclusies ook toepasbaar zijn op risico’s? Bij voorbaat geef ik aan dat geen van wat ik beweer op enige wetenschappelijk onderbouwing is gebaseerd 😉. Gewoon een blog om de gedachten weer eens de vrije loop te laten.

Rutger Bregman doet in zijn boek een aantal constateringen die je volgens mij ook op het onderwerp risicomanagement zou kunnen loslaten.

  1. Niemand staat ‘s-ochtends op met het idee een ander pijn te doen of schade te veroorzaken
  2. Slecht nieuws krijgt meer aandacht dan goed nieuws terwijl dit laatste er stiekem meer is
  3. Zodra je ergens regels / omheining omheen zet begint het gevecht, als iets gemeenschappelijks is zorg je er ook met elkaar voor
  4. Wie vriendelijk doet, wie goed ontmoet

Ad 1. Te grote risico’s neemt niemand zomaar.

De mens is van nature heel risicobewust. Iedereen op zijn of haar eigen wijze maar niemand zal risico’s nemen waarbij mensen of zaken die men belangrijk vindt in gevaar komen. Dit geldt mijns inziens voor zowel de privésfeer als in de zakelijke omgeving. Zakelijk liggen de consequenties vaak verder weg waardoor men de directe gevolgen wellicht niet altijd scherp heeft maar dit heeft ook te maken met in welke mate men voldoende is opgeleid voor de functie. Als je weet dat door jouw nalaten klanten niet verzekerd zijn zal iedereen er van nature alles aan doen om dit te voorkomen. Soms heeft men onvoldoende kennis om het geheel te overzien maar dit zie ik meer als een afstemmingsvraagstuk. Weet iedereen van elkaar waar en waarom men de dingen doet zoals ze gedaan worden?

Ad 2. De meeste risico’s nemen we goed.

Ik ben er van overtuigd dat >80% (en dat is de voorzichtige schatting) van de risico’s goed gemanaged worden. We hebben het hier alleen niet over. Organisaties hebben (net als Rutger Bregman vaak aangeeft) meer oog voor wat er mis gaat dan voor wat er allemaal goed gaat. Hoeveel zaken gaan er goed bij het bouwen van een huis? Huizen worden tegenwoordig opgeleverd met minder dan 10 opleverpunten. 10 van de hoeveel?? Heel veel!
Natuurlijk moeten we leren van onze fouten en incidenten. Maar we moeten ook vieren wat er goed gaat! Als Naris hebben wij al 2 keer de lancering van ons nieuwe platform uitgesteld. We gaan voor kwaliteit en voor veilig (lees ook het boek: ‘het is oorlog maar niemand die het ziet’ van Huib Modderkolk dan weet je waarom). Tot 2 keer toe opnieuw begonnen, heel veel leergeld betaald door veel mensen. Nu is het zaak dit ook te gebruiken en iedere keer beter te worden. Ik ben ervan overtuigd dat wij met het mooiste en meest integrale pakket op de markt gaan komen maar ben in dit proces ook al een paar keer in de ‘negatieve spiraal’ terecht gekomen. Het is echt moeilijk om de successen te blijven zien omdat de aandacht blijkbaar heel natuurlijk altijd naar de fouten gaat. Dit vraag continue bewustzijn op dit gebied.

Ad3. Te formele organisaties organiseren grote risico’s!

Als organisaties nog klein zijn, zeg start-ups, is alles heel overzichtelijk. Er zijn nog geen formele rollen en verantwoordelijkheden. We kijken met elkaar naar het totaal en iedereen pakt op waar men goed in is. En als iemand anders iets laat vallen staat een ander klaar om het over te nemen of te helpen. Het doel is duidelijk en gemeenschappelijk en er is geen wij tegen zij. Rutger Bregman geeft mooie voorbeelden van organisaties als Buurtzorg, Agora en burgerbegrotingen als in de stad Torres. Allemaal voorbeelden waarbij de verantwoordelijkheid voor de doelen van de organisatie breed worden gevoeld en dus ook gedragen. De risico’s die hierbij horen worden ook breed gezien en gemanaged, met elkaar. Rutger Bregman geeft in zijn boek tal van voorbeelden dat waar meer regels geïntroduceerd worden de schijnveiligheid toeneemt maar de praktijk het tegenovergestelde laat zien. Op de kostscholen worden de meeste gevechten gevoerd, in strenge gevangenissen zijn de meeste geweldsincidenten, in de strengste politiestaten zien we de meeste misdadigers, juist omdat we ertoe gedwongen worden om daar naar te kijken! Hier gaat het alleen nog maar om incidenten te zien en op iedere afwijking van de regel te handhaven

In organisaties die sterk rule driven zijn zullen we dus ook meer overtredingen / incidenten vinden. Als we van elkaar weten dat we worden aangesproken (laat ik het woord afrekenen niet gebruiken) op de hoeveelheid incidenten die we veroorzaken zullen we er alles aan doen om dit te voorkomen. In lijn met wat Rutger Bregman heeft geconstateerd in de politiestaat New York gaan we dus incidenten niet melden, onder het tapijt vegen, anderen de schuld geven, etc.

Hiermee organiseren we dus onze eigen risico’s!

Ad 4. Open en transparant leidt tot meer begrip

Voor zover ik het kan beoordelen (alleen op basis van de meer dan 200 gesprekken die ik jaarlijks heb met klanten en potentiële opdrachtgevers) worden we steeds transparanter in het delen van risicoprofielen. Door schade en schande wellicht (zeesluis IJmuiden bijvoorbeeld) komen we er achter dat hele risicovolle projecten nu eenmaal niet bij 1 partij kunnen liggen. Aan de andere kant ontstaan er uit risicovolle projecten ook weer vaak nieuwe innovaties. Als we aan de risicokant delen, dan ook aan de opbrengsten kant toch? Wellicht dat we hier nog wat stappen in moeten zetten om ook dit soort winsten nu en in de toekomst met elkaar te delen. De beste samenwerkingen zijn toch die waar je samen wint maar ook samen verliest. Een bedrijfsmodel dat alleen op risicovolle projecten is gestoeld is in mijn ogen gedoemd te mislukken. Er moet ook altijd een basis in de bedrijfsvoering zijn waar je altijd op terug kunt vallen omdat je er gewoon goed in bent en dus geld kunt verdienen. Door je kennis en expertise zijn de risico’s overzichtelijk.

Volledig in Control?

Op basis van bovenstaande moet je dat misschien meer voelen en ervaren dan afdwingen. De meeste Strategische risicoprofielen die ik ken gaan maximaal 20% over nieuwe keuzes en de overige 80% over de zaken beter doen of met een andere focus dan we al deden. Des te belangrijker om ervoor te zorgen dat de aansluiting tussen de operationele risico’s en de strategische keuzes zichtbaar is. Sturen op de belangrijkste risico’s is in 80% van de gevallen sturen op heel veel zaken die al goed gaan en waarvan we ons willen verzekeren dat dit goed blijft gaan 😉

We zouden ook de discussie aan kunnen gaan of het 3-lines of defence model nog wel zoveel toekomst heeft. Of zouden we gewoon de toon kunnen veranderen? Wij zijn laatst geaudit voor ISO27002. Als relatief kleine organisatie is dit een mooie uitdaging waarbij we erg afhankelijk zijn van onze mensen. Verloop heeft direct impact. We hadden 2 hele scherpe maar ook vriendelijke auditors die je af en toe ook gewoon op de goede weg zetten. Vriendelijkheid en hulpvaardigheid zijn de belangrijkste motivators om met veel enthousiasme de laatste puntjes op de bekende i te zetten.

Vriendelijkheid kan ook zijn om het de mensen op de werkvloer, aan het bed, achter het bureau zo makkelijk mogelijk te maken. Wie heeft er geleerd om in risico’s te denken? Niemand dus en daar staan zij ook echt niet mee op….. Toch willen we wel een uitspraak van ze. Standaardiseren en simpel houden zijn cruciaal om toch informatie te krijgen zodat je hen door middel van nieuwe inzichten en kennisdeling verder kunt helpen.

Vriendelijkheid is de taal die iedereen ziet en kan horen!


door Een reactie plaatsen

Risicomanagement bij onderhoudsstops

Op het ambassadeursnetwerk voor woningcorporaties is als ‘peer review’ een presentatie geweest van Adriaan Lefeber van HVC. Het duurzame energie- en afvalbedrijf van 44 gemeenten en 6 waterschappen.

De opgave waar HVC voor staat is complex. ‘Van Gas Los’, verduurzaming van het afvalbeheer, de afvalstroom circulair maken, rest energie terugleveren en alles wat daarbij komt kijken.

1 grote Machine

1 grote Machine

De productielocaties kunnen bijna als 1 grote machine worden gekenmerkt. De afvalstroom wordt verbrand waarbij er zo weinig mogelijk uitstoot mag plaatsvinden. Een leuk weetje; de hoeveelheid rook die je ziet zegt niets over de hoeveelheid uitstoot. Sterker, vaak is het zo dat hoe minder je ziet hoe meer uitstoot!

Groot Onderhoud

De afvalcentrales hebben meerdere lijnen die regelmatig onderhoud nodig hebben. Dit onderhoud is enerzijds om de beschikbaarheid op de lange termijn te waarborgen maar ook om continue het energierendement te verbeteren. Elke lijn heeft iedere 2 jaar groot onderhoud. De turbines in de lijn iedere 6 jaar.

Even voor de verbeelding. De ketels zijn tientallen meters hoog en er worden metershoge stellingen in aangebracht om de wanden te controleren en te repareren. Werkzaamheden dien in de juiste volgorde op elkaar te worden afgestemd om te voorkomen dat men boven elkaar werkt en er gevaarlijke situaties ontstaan.

Risico’s

Bij HVC is risicomanagement onderdeel van het kernproces. Zonder gedegen risicomanagement kunnen deze industriele processen niet veilig worden uitgevoerd. Belangrijke risico’s die continue op de agenda staan zijn:

  • Lekkage van de ketel eerder dan gepland onderhoud
  • Energiederving waardoor opbrengsten uit elektriciteit en warmte lager zijn
  • Onderdelen die niet op tijd beschikbaar zijn (sommige moeten 2 jaar voor het onderhoud worden besteld)
  • Uitloop in tijd
  • Onvoldoende personeel bij aannemers
  • Vakbekwaamheid personeel inclusief de verplichte papieren
  • Hoeveelheid mensen. Tijdens een onderhoudsstop kan de hoeveelheid extra mensen op het terrein van HVC oplopen naar 300.
  • Veiligheidsprestaties van aannemers en HVC mensen. Ongevallen liggen snel op de loer.

Beheersing

De beheersing van deze risico’s gaat niet alleen op individueel risiconiveau. Veel beheersing vindt plaats door zorgvuldige lange termijn planning. Zo worden een aantal risico’s beheerst door goed Assetmanagement. Het op orde hebben van het voorraadbeheer, continue monitoren van de kwaliteit van gebruikte materialen, het doen van metingen, etc.

Er is ook een rechtstreek verband met de strategische plannen van HVC. Marktontwikkelingen rondom afval (denk aan de recente publicaties over AEB / Afval EnergieBedrijf Amsterdam) en de daaruit verwachte vraag aan verbrandingscapaciteit. Ook de kwaliteit van het ingekochte afval is zeer bepalend voor resultaten die behaald kunnen worden.

Tenslotte gaat het om hele grote investeringen rondom een onderhoudsstop. Een zorgvuldige planning en begroting van budgetten is noodzakelijk om de noodzakelijke financiële stromen te kunnen borgen.

Veiligheid

Veiligheid is continue cruciaal. Adriaan heeft 2 keer een dodelijk ongeval meegemaakt in zijn carrière en dat blijft je altijd bij. Afspraken rondom Veiligheid en Gedrag zijn leidend. Een gedegen voorbereiding en continue monitoring zijn essentieel. Hieronder een kort overzicht van hoe dit eruit kan zien:

  • Voor de Werkvoorbereiding
    • Onderhoudsplanning in preventieve en correctieve werkorders
    • Bevroren scope
    • Selectie van aannemers obv hoge kwaliteitseisen
    • HVC veiligheids&gedragsregels zijn leidend
    • V&G plan
    • Werkvergunningenlijst en veiligstellijst
    • Stopplanning
  • Tijdens de onderhoudsstop
    • Stopplanning
    • Daily standup met aannemers
    • Dagelijks veiligheidstoezicht door HVC
    • Gasmeetrondes in besloten ruimten
    • Check op werkvergunningen
    • Mangatwachten
    • Veiligheidsapp om incidenten te melden
    • Bedrijfsnoodplan en Crisismanagementplan
  • Evaluatie
    • Inspectieverslagen
    • Evaluatieoverleg met alle betrokkenen en vaststellen van de verbetermogelijkheden

Conclusie

Voor HVC geldt dat het uitvoeren van hun core-business alleen kan in een integrale aanpak. Van het registreren van incidenten, het doen van veiligheidscontroles, het afwikkelen van schades, etc. Het is een integraal proces waarbij continue verbeteren het uitgangspunt is. Een bedrijf midden in de samenleving hoort dit gewoon zo te doen. Ze doen het gewoon!

Het ambassadeursnetwerk voor woningcorporaties is een initiatief van Aedes Vereniging van Woningcorporaties en Naris, Het Governance, Risico en Compliance Platform. Het netwerk van >100 corporaties komt 2 keer per jaar bijeen om te leren van elkaar maar ook van andere sectoren. Er worden updates gedeeld en natuurlijk het netwerk verbreed.

Kennis wordt iets waard als je het deelt!


door 1 reactie

ING’s mislukte 3-line of Defence model in Witwas schandaal!

Financieel Dagblad Zaterdag 8 september

IMG_20CD16F24B89-1

De 3 afdelingen ‘business’, ‘compliance’ en ‘internal audit’ binnen ING hebben langs elkaar heen gewerkt. Niemand voelt zich verantwoordelijk voor het geheel. ‘Velen waren gezamenlijk verantwoordelijk voor een deel van het verwijtbare gedrag’ geeft het OM aan.

Laat dit nu net het probleem zijn waar de Monitoring Commissie Corporate Governance Code in de laatste update heel veel aandacht aan heeft besteed. De code is tegenwoordig zelfs wettelijk verankerd.

Corporate Governance Code

De Code besteed veel aandacht aan Risicomanagement. Ze geeft daarbij zelfs aan dat ondernemerschap het realiseren van kansen is door op een bewuste wijze risico’s te nemen. Hiervoor is essentieel een adequaat risicobeheersingssysteem. Dit moet onder andere een vooruitblik geven op die risico’s die het voortbestaan van de organisatie in de weg kunnen staan. Expliciet wordt hierbij aangeven dat de auditfunctie hier een steeds belangrijkere rol in gaat spelen. Immers, het bestuur en de raad van commissarissen krijgen door deze functie echt inzicht in de werking van het risicobeheersingssysteem van de organisatie.

3-Lines of Defence

De uitgangspunten van het 3-lines of defence model zijn volgens mij al heel lang erg duidelijk. De ‘business’ (1st line) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze businesswise aangaan. Hier zou bij een organisatie als ING toch geen onduidelijkheid over moeten bestaan?

‘Compliance'(2de line) ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.

‘Internal Audit’ (3de line) voorziet de hoogste leiding van zekerheid over de kwaliteit van sturing en beheersing. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.

De praktijk is altijd weerbarstig maar heeft vaak wel te maken met ego’s/cultuur. De praktijk leert dat iedere lijn z’n eigen systemen wil en het liefst de Rolls-Royce. Het kost organisaties ontzettend veel tijd om hier keuzes in te maken. Hierdoor verschuift uiteindelijk de aandacht en de urgentie. ‘Business’ voelt zich altijd superieur en dus volgt Compliance en Audit. Het gevolg hiervan is dat de systemen om het risicomanagement en beheerssysteem niet gaan functioneren. Bestuur en management missen het zicht op de kansen en bijbehorende beheersing.

4 Aanbevelingen:

  1. Alle afdelingen zullen moeten werken in hetzelfde systeem!
  2. Het bijhouden van kansen die genomen worden en de beheersing die hierbij past is een verantwoordelijkheid van de ‘business’;
  3. ‘Audit’ en ‘Compliance’ zijn leading in de keuze van de systematiek en het systeem;
  4. ‘Audit’ legt rechtstreeks uit het systeem verantwoording af over de bevindingen en aanbevelingen aan bestuur en raad van commissarissen.

ING

Dit is het ultieme moment voor ING om het juiste risicobewuste gedrag in de organisatie te stimuleren en de cultuur te veranderen. Maak de ‘business’ expliciet verantwoordelijk voor het benoemen en beheersen en dus vastleggen van dit soort risico’s. Bepaald dat ‘Compliance’ en ‘Audit’ bepalen via welk proces en systeem er gewerkt dient te worden. Het heeft geen zin nog meer afvink gedrag te stimuleren door meer compliance officers aan te stellen. Zorg dat de ‘business’ begrijpt wat ze aan het doen zijn en dat het hun verantwoordelijkheid is.

‘Never let a good crisis go to waste’ Winston Churchill


door 5 reacties

Corporate Governance en veilig incidenten melden

Corporate Governance en veilig incidenten melden

Natuurlijk wordt de wereld transparanter en willen we ook ook steeds meer weten van bedrijven. En zolang bedrijven en dus personen INTEGER handelen heeft dit een zeer positieve uitwerking op de uitstraling van de organisatie.

Incident melden

Er is tegenwoordig echter ook een andere vorm van transparantie. De transparantie die de media, de externe toezichthouder, parlementaire enquete, branchvereniging, etc zoekt nadat zich incidenten hebben voorgedaan. Het resultaat van deze laatste vorm van transparantie is een bijna niet te stoppen vallend imago van de betrokken organisaties in het bijzonder en de branche in het algemeen. Denk hierbij aan de bankensector, de woningcorporaties, de tussenpersonen en financiële adviseurs, de bouwsector, etc. De voorbeelden staan iedere week in de krant. Naam en toenaam worden niet geschuwd.

Het grote risico van ‘Naming and Shaming”

Het effect van deze ‘naming and shaming’ heeft een veel grotere impact dan de veroorzakers hiervan zich volgens mij realiseren. Een paar effecten voor de vuist weg:

  • Het imago van het bedrijf is voor vele jaren besmeurd;
  • Huidige stakeholders verliezen vertrouwen;
  • Klanten vertrekken;
  • Enorme juridische kosten;
  • Reorganisatie voor medewerkers;
  • etc.

Maar het grootste risico is dat voor de komende jaren niemand meer iets durft te melden binnen zo’n organisatie!

Alle ervaringen leren ons immers dat mensen dit soort ervaringen nooit meer willen meemaken. Iedere kans om zo’n mediacircus te voorkomen wordt dan toch aangegrepen? En we weten hoe het met de klokkenluiders afloopt…..

Waar is de Raad van Toezicht?

Naar mijn mening is een van de belangrijkste taken van de Raad van Toezicht / Raad van Commissarissen bereikbaar te zijn voor meldingen van incidenten. Zelfs pro-actief hier naar op zoek te gaan. Het is een van de belangrijkste indicatoren om te zien en te voelen of een organisatie zich veilig voelt en continue wil verbeteren.

Aan iedere materiële claim gaan 100 incidenten vooraf!

Ziet u als toezichthouder de belangrijkste 5 oorzaken van de meest voorkomende incidenten in uw organisatie?

De organisatie uit de wind houden!

Door het inzicht te hebben in deze incidenten bent u als toezichthouder in staat om de organisatie op de belangrijke momenten uit de wind te houden. In geval van incidenten staat u voor de bestuurder. Indien het voor de wind gaat staat u achter de bestuurder. Op dit soort moment is de RvC de enige die voor continuïteit van de organisatie kan zorgen. Een van de belangrijkste doelstellingen die een RvC moet hebben?

Governance Code Van Manen

Gelukkig is er in de nieuwe code ingegaan op deze elementen. De RvC is verantwoordelijk voor de goede werking van het Risicomanagement en Beheerssysteem. Daar hoort bij het toetsen van de juiste cultuur die past bij de desbetreffende organisatie. Een onderdeel hiervan is vanzelfsprekend het monitoren van onregelmatigheden / incidenten.

Good Governance, niet in het bijzonder voor je medebestuurders maar voor de belangrijkste stakeholders (medewerkers) van je organisatie!

ps. Incidenten betreffen dus de onregelmatigheden in de breedste zin van het woord. Veiligheid, Arbo, Financiele missers, HR, etc. zijn in deze zin uitwisselbaar.

 


door 2 reacties

3 stappen om eenvoudig uw Risk Appetite vast te stellen

3 stappen om eenvoudig uw Risk Appetite vast te stellen

Veel organisaties vinden het moeilijk om concreet te worden inzake Risk Appetite; uw bereidheid om risico’s te nemen. En dat is een gebrek want het is cruciaal voor echt een integrale werking van Risk Based Management.

Het ontbreken van een eenduidig door de board vastgesteld kader maakt dat de organisatie geen richtlijn heeft over wat wel en niet acceptabel is. En dus niet weet wanneer er gezocht moet worden naar aanvullende beheersing alvorens een risicovol traject doorgang kan vinden. Als de board al niet weet wat wel en niet acceptabel is……

Stap 1: bepaal de kernwaarden van de organisatie

Er kunnen maar een bepaald aantal waarden zijn die uw organisatie echt belangrijk vindt. Deze kunnen veranderen indien het businessmodel verandert maar dit kan niet regelmatig zijn. In deze context bedoel ik met kernwaarden zaken als klanttevredenheid, financiële continuïteit, voldoen aan wet- en regelgeving, veiligheid van medewerkers en klanten, reputatie, enz. 

Kernwaarden zijn iets anders dan doelstellingen en kunnen ook niet door elkaar gebruikt worden. Kernwaarden zijn de randvoorwaarden die goed moet zijn om de doelstellingen te bereiken.

Stap 2: laat de Board individueel stemmen

Een eenvoudige stap is om alle boardleden individueel aan te laten geven (op een schaal van 1-5  bijvoorbeeld) hoeveel risico acceptabel is voor de organisatie in hun ogen. Op dit moment komen de verschillen boven water. De recente ervaringen zullen in hoge mate invloed hebben op de score. Indien men net uit een financieel roerige periode komt zal de appetite lager liggen. Vervolgens is het zaak om op basis van een zorgvuldige onderbouwing gezamenlijk de appetite vast te stellen. Zorg er wel voor dat de schaalverdeling duidelijk is omschreven.

Schermafbeelding 2017-03-07 om 22.04.19

Stap 3: Eenvoudige toelichting per kernwaarde

Beschrijf in eenvoudige woorden per kernwaarde wat de organisatie wil wat er niet mag gebeuren. De volgende vragen kunnen hierbij helpen (indien mogelijk zo concreet mogelijk met cijfers onderbouwen):

  1. Wat mag er nog wel gebeuren?
  2. Wat mag er niet gebeuren?
  3. Wat moet er minstens tegenover staan?
  4. Welke actie verwacht je bij het nemen van een risico?
  5. Welke escalatie is gewenst?

Let op!

Het kan dus heel goed gebeuren dat er in een noodzakelijk project risico’s worden geïdentificeerd die de Risk Appetite te boven gaan. Dit betekent niet dat het project stopgezet moet worden. Er moet wel een alternatief bedacht worden om toch het doel te bereiken zonder At Risk te zijn op de belangrijke kernwaarden. Deze kunnen immers de organisatie omver trekken.


door 2 reacties

Hoe Risicomanagement bij Van Oord bijdraagt aan betere prestaties

Cyrille Wismans, Risicomanager bij Van Oord, legt uit hoe risicomanagement is opgezet bij Van Oord Hier zijn ze twee jaar geleden structureel mee begonnen. Vijf jaar geleden begon hij als Risk Engineer bij Van Oord, waar hij nu teamleider is bij de Project Planning & Riskafdeling. 

Complexere Projecten vragen om beter Risicomanagement

Risicomanagement is op dit moment binnen Van Oord gepositioneerd in de afdeling Engineering & Estimating.  Vanuit deze afdelingworden alle area’s en business units bediend. De aanleiding om risicomanagement prioriteit te geven komt doordat het bedrijf steeds meer complexe, innovatieve projecten aanneemt van grote omvang en met een lange doorlooptijd. Complexe projecten vormen een substantieel deel van de business van Van Oord, risicomanagement is dus van groot belang.

Belang van Risicomanagement

Van Oord heeft haar werkgebied (de gehele wereld) ingedeeld in 5 area’s  en een drietal business units. Bij de business unit Offshore gaat het vooral om grote projecten in de offshore olie- en gasindustrie. Onder andere de aanleg, het vervangen van en het onderhoud aan onderwaterpijpleidingen. In deze industrie staan vanwege de lage olieprijs de prijzen momenteel enorm onder druk. Hierdoor is het belang van risicomanagement flink toegenomen. Ook  in de offshore windindustrie is Van Oord actief. Een industrie waar risicomanagement een grote rol speelt. Van Oord voert hier grote projecten uit, waar veel verantwoordelijkheid mee gemoeid is. Ze staat garant voor het hele ontwerp, de levering, de inkoop en bouw van windmolenparken. Hierdoor trekt het bedrijf veel risico’s naar zich toe.

Lange adem

Zoals eerder genoemd is structureel risicomanagement relatief nieuw bij Van Oord. Om een succesvolle implementatie te bewerkstelligen is het volgens Wismans essentieel om verder te bouwen op de al bestaande werkwijzen in het bedrijf. Daarnaast dient men zich te realiseren dat de implementatie van risicomanagement  een proces is van de lange adem.

Betrokkenheid van de Board cruciaal

Wanneer er gekeken wordt naar het proces zoals dat door Van Oord wordt gehanteerd in relatie tot risicomanagement, dan legt Wismans uit dat de Board acht key focus areas in Van Oord heeft aangewezen. Hiervan is risicomanagement er één. In het proces van het binnenhalen van een project tot aan de uitvoering, heeft Van Oord een aantal quality gates (stage gates)  ingebouwd. Het risicomanagement proces sluit hierop aan en vormt een belangrijk onderdeel van het besluitvormingstraject. Bij iedere stage gate wordt gebruik gemaakt van risicoinformatie die uit de risicomanagement cyclus komt. Bij stage gate 1 wordt bijvoorbeeld besloten of Van Oord wel of niet zal  tenderen. Hier ligt een commerciële en strategische afweging aan ten grondslag, maar ook het risicoprofiel van een werk wordt in deze afweging meegenomen.

Risk en Opportunity Database

Van Oord heeft een risk and opportunity identification list ontwikkeld. Hierin zitten ongeveer 150 risico’s verdeeld over twaalf risicogebieden waar het bedrijf in veel van haar projecten mee te maken heeft. Voorbeelden zijn: Political and Economical, Physical Conditions, Environmental Impact, Procurement and Subcontracting, Safety & Health and Security, Contractual and Legal. Het proces begint bij de risico identificatie. In een omgeving waar veel technische mensen werken, die de neiging hebben snel van probleem naar oplossing te gaan, is de toegevoegde waarde van risicomanagement het verzamelen van alle input en het daarin aanbrengen van de noodzakelijke structuur.

Lessons learnt

Om meer inzicht te krijgen in de aard en omvang van risico’s is niet alleen de lijst met de twaalf risicogebieden  belangrijk, maar ook de lessons learnt. In de eindewerkrapporten ligt een enorme schat aan informatie, ook over de opgetreden risico’s. Daarnaast zijn er gesprekken met projectleiders die kennis hebben van een bepaald gebied essentieel.

Iedereen aan tafel!

Wismans legt uit hoe hij de analyses begeleidt: “We zitten met begroters en werkvoorbereiders om tafel, analyseren de risico’s en zoeken voortdurend naar optimalisatie. Als je scherp gaat wil je uiteraard ook weten waar je aan toe bent. Tenders met een waarde van meer dan vijftig miljoen euro moeten sowieso langs onze Board. Een van de elementen die daar op tafel komt te liggen is risicomanagement en de noodzakelijke reserveringen. Als de Board kritische vragen stelt, zit de Risico Engineer veelal aan tafel om toelichting te geven”. Volgens Wismans is Van Oord met het risicomanagement op de goede weg, maar er valt nog meer winst te behalen. Deze zit met name in de betrokkenheid tijdens de uitvoering van projecten. Een stijgende lijn is al wel te zien.

Automatisering voor borging en eenvoud

schermafbeelding-2017-01-12-om-23-13-29

Daarnaast wordt er  gewerkt aan automatisering. Wismans vertelt dat Van Oord momenteel samenwerkt met Naris. Het bedrijf heeft een eigen kennisdatabase ontwikkeld, gebaseerd op NARIS GRC, maar met een Van Oord look and feel. Voor elk project worden daar de risico’s in gehangen en de projecten worden weer onverdeeld in area’s of typen projecten. Wanneer er een redelijk aantal projecten in is opgeslagen, kun je binnen area’s of op typen projecten een statistische analyse doen.

Een systeem zoals Van Oord nu heeft, een soort op maat gemaakte NARIS GRC, zorgt ervoor dat mensen meer gestimuleerd en gedwongen worden om over risico’s na te denken, deze systematisch te identificeren en te structureren.  Middelen als de risk and opportunity identification list, geven structuur en houvast. En bovendien een beter begrip van de risico’s. 

Gouden tips:

  • Mensen/managers moeten risicomanagement echt willen adopteren, wil het werken
  • Een risicomanager moet pro-actief zijn, hij moet veel uitleggen en sturen, meer brengen dan halen en zichzelf kunnen verkopen
  • Zorg voor realistische doelstellingen en verwachtingen
  • De risicomanager moet een duidelijk zichtbare plaats in de organisatie hebben

 


door 1 reactie

Voorkom het einde van de Corporatie

“Momenteel concurreert een koopwoning van € 250.000 rechtstreeks met een sociale huurwoning” hoor ik Ger Hukker deze week op BNR zeggen. Dat klinkt absurd maar na een paar minuten hoofdrekenen moet ik hem bijna gelijk geven. Tenminste als het op maandlasten aankomt. Als dit het nieuwe normaal is geworden, dan kan dit het einde betekenen van de woningcorporatie zoals wij die nu kennen. En, vanuit risicomanagement bezien leidt dat natuurlijk tot de vraag hoe je hier als beslisser op kunt reageren?

Eerst maar even rekenen

De actuele hypotheekrente voor een lening met NHG en een 10 jaar rentevastperiode bedraagt momenteel ca. 2,25%. Voor de eenvoud stellen we de lening gelijk aan de koopsom uit het voorbeeld van Hukker: € 250.000. De maandelijkse annuïteit (rente + aflossing) bedraagt dan bruto € 960. Houden we vervolgens rekening met het eigen-woningforfait van 0,75% (€ 1.875 per jaar) en renteaftrek tegen 40%, dan leidt dit tot een netto maandlast van € 835. De redenering van Hukker blijkt dus toch iets te kort door de bocht. De maximale huurprijs van een sociale huurwoning is immers € 700.

Maar voor een volledige vergelijking moeten we ook rekening houden met de onderhoudskosten en eigenaarslasten en dan blijkt de koopwoning in dit voorbeeld zelfs nog iets meer te kosten. Laten we voor het gemak zeggen: netto € 1.000 per maand. Hier tegenover staat dat in de maandelijkse annuïteit ook een bedrag van € 495 aan aflossing is begrepen. Zo bouwt de eigenaar bewoner in het eerste jaar al direct ruim € 5.900 vermogen op door de (verplichte) aflossing. De moraal van dit verhaal: de feitelijke maandelijkse kosten voor een woning van € 250.000 bedragen €1.000 -/- € 495 (aflossing) = € 505. En dat concurreert wel rechtstreeks met een sociale huurwoning.

De corporatie dicht de fiscale kloof

Voor de corporatiepraktijk is het beter om bovenstaande rekensom te maken voor een woning van € 150.000. Dat is namelijk bij benadering de landelijk gemiddelde WOZ-waarde van een corporatiewoning. We komen dan uit op een netto maandlast incl. onderhoud en eigenaarslasten van iets meer zo’n € 700, waarin begrepen een aflossing van € 300 per maand. Per saldo kost deze woning dus maar € 400 per maand.

Bij een gelijke woningwaarde (=wooncomfort) is een huurwoning dus peperduur. Veel consumenten hebben dat inmiddels ook door. De vraag naar betaalbare koopwoningen is dan ook sterk gestegen: mensen die kunnen kopen doen dat weer massaal. Kun je niet kopen, en dat geldt voor de meeste corporatiehuurders, dan moet je sociaal (?) blijven huren.

Het einde van de woningcorporatie?

Het wrange van deze situatie is dat de hoge -sociale- huren niet zo zeer het gevolg zijn van het tekortschieten van de corporaties maar vooral van bizar overheidsbeleid. Op elke huurwoning van € 150.000 drukt namelijk een jaarlijkse fiscale last (verhuurderheffing) van € 740. Als dezelfde woning door een koper wordt bewoond, slaat deze last abrupt om in een fiscale “subsidie”. De koper heeft dan als gevolg van de hypotheekrenteaftrek namelijk een voordeel van € 900 per jaar. Per woning dicht de corporatie dus een fiscale kloof van € 1.640 per jaar (zie afbeelding)

Schermafbeelding 2016-03-24 om 17.37.54

Zo bezien werkt het huidige fiscale beleid als een sluipmoordenaar voor de woningcorporatie. Zeker nu corporaties, sinds de invoering van de nieuwe Woningwet, in toenemende mate zijn gedwongen tot ‘monocultuur’: Ze moeten zich beperken tot 100% sociale verhuur en zijn terughoudend (geworden) met het toepassen van alternatieve vormen van vastgoedexploitatie. Ook kwetsbare “net-niet-doelgroepen” vinden bij veel corporaties geen gehoor meer. Het mag geen verrassing zijn dat deze monocultuur de kwetsbaarheid van de corporatie flink vergroot. Een risicovol toekomstperspectief met hoge impact en nauwelijks direct te beïnvloeden kan op termijn einde betekenen van de woningcorporatie zoals wij die nu kennen.

Wat te doen?

Laten we ervan uit gaan dat elke beslisser of toezichthouder in de corporatiesector niet lijdzaam wil wachten tot de laatste huurder zijn sleutels komt inleveren. Want natuurlijk zijn er natuurlijk er alternatieve strategische beleidskeuzes mogelijk.

Dergelijke beleidskeuzes kunnen worden gezocht met behulp van scenarioplanning. De corporatie verzamelt zo veel mogelijk van de belangrijkste relevante informatie over de verwachte ontwikkeling van de bevolking, de economie, de sociale structuren etc. Een bekende methode is de DESTEP-methode en het is van groot belang dat deze externe factoren zo veel mogelijk worden vertaald naar het eigen lokale niveau. De verwachte bevolkingsontwikkeling in Parkstad Limburg zal immers sterk afwijken van de Metropoolregio Amsterdam.

Scenario’s, en dan?

De externe ontwikkelingen worden vervolgens geconfronteerd worden met het producten en dienstenaanbod van de corporatie. Verwachten we blijvend lage rente en blijven koopwoningen relatief goedkoop ten opzichte van huur met als resultaat dat huurwoningen zichzelf uit de markt prijzen? De legitimatie van de sociale huurwoning komt dan in het geding. Als reactie hier op kan er voor gekozen worden om een deel van de woningen te verkopen. Of is een andere aanpak mogelijk, bijvoorbeeld het verlagen van de huren in grote delen van de woningvoorraad. Een langdurig lage rente levert de corporatie immers veel ruimte in de exploitatie op.

Schermafbeelding 2016-03-24 om 17.39.40

 Scenarioplanning als onderdeel van risicomanagement

De corporatie die van mening is dat zowel haar legitimatie als haar toekomst in gevaar is wacht niet lijdzaam af. Nietsdoen kan immers op termijn grote risico’s met zich meebrengen. Door weloverwogen en met respect voor de eigen (on)mogelijkheden de verschillende externe risico’s te vertalen naar concrete beleidskeuzes kan ook op langere termijn ‘het verschil worden gemaakt’. Scenarioplanning is daarbij niet ‘een kunstje’  van de beleidsafdeling maar maakt een wezenlijk onderdeel uit van het van het (strategisch) risicomanagement van de corporatie.

Erik van Marle en Rein Bakker, Nederlands Adviesbureau Risicomanagement