CorporatieGids Magazine
47 ONAFHANKELIJK MAGAZINE OVER STRATEGIE, BEDRIJFSVOERING & ICT VOOR WONINGCORPORATIES NUMMER 1, 2019 46 WWW.CORPORATIEGIDS.NL Onterecht negatief Risico’s hebben daarbij volgens Sanne onterecht een negatief imago. “Het wordt vooral gezien als ‘moeilijk doen’, maar juist door je bewust te zijn van de risico’s en de mogelijke impact hiervan, kun je juist je doelstellingen behalen. Ik denk dat met de hoge eisen waaraan we als woningcorporatie moeten voldoen en de spanningsvelden die hierbij ontstaan, risicomanagement een essentieel onderdeel moet zijn van de bedrijfsvoering.” Zoveel mogelijk gescheiden De grootte van Rhiant maakt het inrichten van risicomanage- ment wel lastig, beaamt Sanne. “Wij maken daarom onder andere gebruik van het Three Lines of Defence model, wat erg gericht is op samenwerking. Dit draagt bij aan het risico- bewustzijn binnen de organisatie, maar hier ligt voor ons wel een uitdaging. Door het kleinschalige karakter van Rhiant zijn veel functies vermengd. De eerste lijn proberen we zoveel mogelijk te beleggen bij de proceseigenaren. Op deze manier betrek je de hele organisatie en wordt het risicobewustzijn gestimuleerd. De tweede lijn ligt voornamelijk bij mij: ik bewaak het geheel en zorg voor managementinformatie.” “De derde lijn – een onafhankelijke controlefunctie – is het lastigst te beleggen. Daarvoor zijn we te klein. Dit hebben we opgelost door een deel van de werkzaamheden bij de manager financiën te beleggen die zich zo min mogelijk bemoeit met alle uitvoerende werkzaamheden. Hij is daarmee verantwoordelijk voor alleen de review, waardoor zo objectief mogelijk kan worden beoordeeld wat mijn collega’s en ik hebben uitgevoerd. Natuurlijk is het fijn als functies gescheiden kunnen worden, maar die mogelijkheid is er simpelweg niet altijd. Er moet een afweging gemaakt worden tussen kosten en baten. Met het oog hierop hebben we geprobeerd de taken zoveel mogelijk te scheiden.” Continu proces Met het neerzetten van een Three Lines of Defence model is de organisatie niet ‘klaar’, legt Sanne uit. Volgens haar is risicomanagement een continu proces wat ondersteunend is aan de doelen van de corporatie waar iedereen binnen de organisatie bij betrokken is. “Daarnaast veranderen risico’s regelmatig van impact door interne of externe veranderingen. Ook is het van belang te controleren of de beheersmaatregelen nog steeds afdoende zijn. Dit maakt het een continu proces. Wij willen daarbij de komende periode blijvend aandacht geven aan het verder inbedden van risicomanagement in onze organisatie. Risicobewustzijn en samenwerken zijn hierin de sleutel tot succes.” Sturen op doelen Rhiant werkt daarbij samen met Naris: “Zij leveren de tool waarmee wij risico’s en bijbehorende beheersmaatregelen vastleggen, en hebben ons geholpen bij het zo praktisch mogelijk inrichten van risicomanagement.” Op de vraag wat de rol van ICT is bij risicomanagement, vertelt Sanne: “Een tool als Naris maakt het makkelijker risico’s inzichtelijk te maken. Het is ondersteunend aan risicomanagement, en dat is een onderdeel waar het vaak misgaat. Software wordt aangeschaft, geïmplementeerd en er wordt een vinkje gezet. Maar juist daarna begint het proces binnen de organisatie pas. Het creëren van risicobewustzijn en het bewustzijn van de koppeling tussen processen en risicomanagement, maakt uiteindelijk dat je echt kunt sturen op je doelen.” Beperken tot de essentie Samen met het management stuurt Rhiant op de doelen bij risicomanagement. “Regelmatig nemen we een moment om de risico’s te analyseren. Deze gesprekken proberen we zoveel mogelijk te beperken tot de essentie en de koppeling tussen de doelstellingen van de corporatie en de risico’s. De strategie- kaart is een mooi middel om deze koppeling te maken en geeft direct een visueel beeld hiervan.” Prestatiemanagement Veranderingen in wet- en regelgeving zullen de komende jaren risicomanagement steeds verder vorm geven, sluit Sanne af. “Maar je ziet daarbij steeds meer de ombuiging naar de koppeling met de doelstellingen. Risicomanagement wordt een onderdeel van de rest van de organisatie: prestatie- management. Dit vind ik een heel mooie ontwikkeling; het geeft een andere kijk op risicomanagement wat het voor veel organisaties leuker én nuttiger maakt.” Three Lines of Defence Het Three Lines of Defence model is een methode om aan te tonen dat een organisatie in control is. Hierin is de eerste linie eindverantwoordelijk voor de gemaakte keuzes en risico’s die worden aangegaan, ontwikkelt de tweede linie de systemen en processen voor effectief risicomanagement en beheersing, en voert de derde linie audits uit en rapporteert het terug naar de eerste linie.
RkJQdWJsaXNoZXIy Mzg5Mzg=