Governance, Risk Management en Compliance (GRC) wordt steeds belangrijker voor woningcorporaties. Dat concluderen Alexander van Kleef-van Dijk van Naris en Sonja Janicijevic van AON. De twee bedrijven deden tijdens CorporatiePlein in september een enquête naar de GRC-volwassenheid van woningcorporaties, en delen met ons de belangrijkste resultaten.
Woningcorporaties gaan steeds professioneler om met risicomanagement, vertelt Alexander op de vraag wat voor hem de belangrijkste resultaten zijn uit het onderzoek. “Dat is bijvoorbeeld terug te zien in het feit dat GRC-systemen steeds belangrijker worden gevonden. Die trend zien wij al jaren in de markt, maar het is goed te zien dat corporaties dat nu ook zelf beseffen. Met een goede en juiste manier van verantwoording afleggen kan een corporatie eenvoudig aantonen in control te zijn. Het is alsof de GRC-kinderschoen in de sector is gegroeid naar een volwassen maat 45.”
Expliciet risicomanagement
Van de 46 respondenten van 40 corporaties die aan het onderzoek deelnamen, zegt 26 procent geen expliciet risicomanagement nodig te hebben en haar risico’s te borgen in de primaire processen. “Dat is eigenlijk wel een ideaal beeld waar je naar toe wilt,” vertelt Sonja. “Met het integraal beheersen van risico’s binnen de primaire processen, behaal je het hoogste niveau van volwassenheid. Desondanks leert ervaring dat risicomanagement eigenlijk altijd nodig is en blijft om de hoeveelheid onderwerpen die risico’s kunnen veroorzaken binnen het vizier te houden en prioriteiten op de juiste wijze vast te stellen.”
“Met name de operationele en compliance risico’s zijn in de processen te borgen,” gaat Alexander verder. “Echter houdt het na het operationele deel niet op. Uiteraard wil je als corporatie ook kunnen sturen op de strategische vraagstukken en doelstellingen en de koppeling leggen tussen de risico’s en de strategie. Hiermee kan risico-informatie van operationeel, tactisch en strategisch niveau als input worden gebruikt voor sturingsdoeleinden en het behalen van doelstellingen.”
GRC-systeem
Waar zeven op de tien corporaties zeggen het belang van een GRC-systeem steeds meer in te zien, is dat niet het geval bij de overige 30 procent. Op de vraag wat het belang is van zo’n systeem, vertelt Alexander: “Met een juist ingericht GRC-systeem zijn corporaties eenvoudiger in control. Dit is wat door verschillende toezichthouders en accountants wordt gevraagd. Een sprekend voorbeeld is het passend toewijzen. Het risico dat men niet voldoet aan de eisen van de woningwet, wordt geborgd in het verhuurproces. Omdat corporaties aan deze eis moeten voldoen, wordt dit maandelijks gemonitord. Vaak loopt het proces goed, maar het kan gebeuren dat bijsturen nodig is. Het is echter belangrijk inzicht te krijgen zodat je weet in welke mate je in control bent en risico’s beheerst. Deze informatie over risico’s kan worden gebruikt als sturingsinformatie.”
Ondersteuning van bedrijfsdoelen
Hoewel volgens het duo de volwassenheid van corporaties is toegenomen, zegt 20 procent dat een focus op GRC niet bijdraagt aan het realiseren van haar doelen. Sonja: “Indien corporaties GRC los zien van hun primaire focus en proces en doen omdat het compliance-technisch moet, zou het kunnen dat ze de meerwaarde voor hun strategierealisatie niet realiseren. De kracht van GRC is juist om het in te zetten ter ondersteuning van de bedrijfsdoelen.”
Toegevoegde waarde
Uit de resultaten blijkt dat vier op de vijf corporaties aangeven dat hun GRC-focus zich meer moet richten op de toegevoegde waarde van GRC-activiteiten dan op het proces. “De toegevoegde waarde van GRC-activiteiten is primair het daadwerkelijk realiseren van doelstellingen en beheersen van risico’s.
Daarnaast leidt een goed ingericht GRC systeem tot het eenvoudig verantwoording kunnen afleggen en het aantoonbaar in control te kunnen zijn. Het probleem van corporaties die deze activiteiten meer als proces zien, is dat zij risicomanagement sneller als iets zien dat ‘moet’. Daardoor krijg je het moeilijk levend binnen de juiste plekken binnen de organisatie. Het blijft dan vaak een ‘one-man-show’.”
Volgens Sonja is de toegevoegde waarde van risicomanagement uiteindelijk de beheersing van risico’s. “In de praktijk zie je veel rapportages over risico-inventarisaties, profielen en voorgenomen acties. Door te focussen op de toegevoegde waarde, namelijk de actuele status van risico’s en beheersmaatregelen, ga je jezelf belangrijke vragen stellen. Zijn zaken als voorgenomen maatregelen echt getroffen, tot welke effecten hebben zij geleid en hebben deze maatregelen het risico afdoende beheerst? Deze aanpak richt zich op war het eigenlijk om gaat: beheersing van risico’s. We verwachten dat deze de toegevoegde waarde van GRC aantoont en men motiveert hiermee aan de slag te gaan.”
Kwaliteit van managementinformatie
Een verbeterpunt voor woningcorporaties is de kwaliteit van managementinformatie uit risicomanagement: ongeveer de helft van de respondenten vindt deze namelijk onvoldoende. Alexander kan zich hierin herkennen: “De kwaliteit laat inderdaad vaak te wensen over. Maar naast de kwaliteit is vaak ook de wijze waarop de managementinformatie tot stand komt van invloed. Hier gaat namelijk dagen werk aan vooraf, en dit is vaak niet het meest leuke werk. Door de invoering van een GRC-systeem kan informatie op een eenvoudige manier van de eerste lijn opgehaald worden.”
“Wanneer je dit vervolgens combineert met Power BI, kun je real life inzichten verkrijgen in de actuele stand van zaken,” legt Sonja uit. “Om passend toewijzen weer als voorbeeld te nemen, kun je via een BI-tool bijvoorbeeld zien dat 96 procent van de woningen passend wordt toegewezen. Men concludeert dat men goed bezig is en alle stoplichten staan op groen. Alleen kan het zijn dat je vanuit de maandelijkse controles tegenkomt dat de data niet goed in het systeem staan, bijvoorbeeld door menselijke fouten. Hierdoor kan BI wel aantonen dat 96 procent passend wordt toegewezen, terwijl je in werkelijkheid niet aan de wetgeving voldoet.”
Efficiency
“Opvallend is dat ongeveer de helft van de respondenten de kwaliteit van de managementinformatie voldoende vindt,” vertelt Alexander. “In de praktijk zien we echter dat de kwaliteit wellicht voldoende is, maar dat het met de juiste inrichting van een GRC-systeem nog een stuk efficiënter kan. Naris kan daarbij helpen door het ophalen van risico’s makkelijker te maken en het rapporteren te vereenvoudigen.”
Volgende stap
De resultaten laten volgens het duo duidelijk zien dat risicomanagement binnen de sector niet meer in de kinderschoenen staat. Sonja: “Door de zekere mate van regulering van de sector is de GRC-gedachte niet meer nieuw. Het gaat nu om het ontwikkelen van risicomanagement tot een niveau dat organisaties er nóg meer waarde uithalen.”
Juiste inrichting
“Start daarvoor met een juiste inrichting van het GRC-systeem,” sluit Alexander af. “Let daarbij op de juiste cultuur, houding en gedrag, en rol deze toepassing gefaseerd uit binnen de corporatie. Begin klein en help medewerkers de risico’s en control mogelijkheden in kaart te brengen. Laat bijvoorbeeld de eerste lijn aangeven vanuit de best practice welke maatregelen uitgevoerd worden binnen de processen en aantonen of men in control is. Voer vervolgens de controles uit om als corporatie te laten zien risico’s goed te beheersen.”
Bron: CorporatieMedia, Foto: Naris en AON