De toepassing van COSO ERM bij Woningcorporatie Dongeradeel

De toepassing van COSO ERM bij

Woningcorporatie Dongeradeel

De toepassing van COSO ERM bij

Woningcorporatie Dongeradeel

Begeleiding vanuit de RuG: W.G. de Munnik

Medebeoordelaar vanuit de RuG: S. Bruinsma

Begeleiding vanuit Woningcorporatie Dongeradeel: J.S. Galema

De auteur is verantwoordelijk voor de inhoud van het afstudeerverslag; het auteursrecht van het afstudeerverslag berust bij de auteur.

VOORWOORD

Deze scriptie vormt de afronding van mijn studie Economie, afstudeerrichting Accountancy, aan de Rijksuniversiteit Groningen. Om deze scriptie te kunnen realiseren heb ik een half jaar lang stage gelopen bij Woningcorporatie Dongeradeel te Dokkum. Ik heb hier een leuke en leerzame tijd gehad. Na vier jaar voornamelijk theoretische studie heb ik hier de mogelijkheid gekregen daadwerkelijk in een bedrijf mee te werken en de theorie in de praktijk te integreren.

Voor mijn tijd bij Woningcorporatie Dongeradeel wil ik graag mijn collega’s en mijn begeleider vanuit WCD, Hans Galema, bedanken. Daarbij wil ik Deloitte graag bedanken voor de mogelijkheid stage te lopen bij WCD.

Mijn begeleider vanuit de RuG, Wilmar de Munnik, wil ik graag bedanken voor zijn hulp en inbreng bij het schrijven van deze scriptie. Zijn adviezen en feedback hebben geleid tot dit eindresultaat.

Anneke Zijlstra Leeuwarden, juli 2007

MANAGEMENT SAMENVATTING

Dit onderzoek is gestart vanuit een praktisch probleem waarmee WCD te maken had. Door veranderende regelgeving vanuit Aedes en aanvullende problemen in de omgeving van de organisatie is er binnen WCD behoefte ontstaan aan een risicomanagement systeem. In de Nederlandse Code Tabaksblat wordt aangegeven dat het COSO model kan worden gebruikt voor de implementatie van een risicomanagement systeem. Ook in de praktijk wordt COSO vaak gebruikt. In dit onderzoek wordt onderzocht in hoeverre COSO ook voor een kleine, maatschappelijke onderneming als WCD bruikbaar is. Hiertoe is de onderstaande onderzoeksvraag opgesteld:

In hoeverre is het mogelijk om aan de hand van COSO ERM een risicomanagement systeem te ontwerpen voor Woningcorporatie Dongeradeel?

Om deze onderzoeksvraag te kunnen beantwoorden is onderzocht wat een COSO ERM systeem precies is. Hierbij is het ERM systeem opgedeeld in een elftal randvoorwaarden en een vijftal processtappen. De randvoorwaarden moeten in een onderneming aanwezig zijn om de processtappen goed te kunnen laten werken. Daarnaast is onderzocht wat een risicomanagement systeem precies is. Nadat deze vragen beantwoord zijn, is er gekeken naar de toepasbaarheid van het ERM systeem binnen WCD. Hiervoor is eerst gekeken naar de aanwezigheid van de randvoorwaarden binnen WCD.

Een drietal randvoorwaarden bleek niet voldoende aanwezig binnen WCD om het ERM systeem te kunnen implementeren. Dit is vooral te wijten aan het feit dat er binnen WCD de laatste tijd een groot aantal veranderingen is doorgevoerd en dus niet aan het ERM systeem. Die veranderingen hebben tot gevolg dat de bestaande beschrijvingen van processen, verantwoordelijkheden en taken niet meer volledig up-to-date zijn. Ook de doelstellingen die nog maar net concreet zijn doorgevoerd binnen WCD voldoen niet volledig aan de gestelde eisen. Gezien de leeftijd van deze verandering zal in de loop van de tijd waarschijnlijk wel aan de randvoorwaarden worden voldaan.

Omdat in de loop van de tijd aan de randvoorwaarden zal worden voldaan is vervolgens gekeken naar de toepassing van de processtappen van COSO. De processtappen van COSO bleken goed te implementeren binnen WCD. De eerste twee processtappen zijn uitgevoerd binnen WCD. Hier zijn geen problemen gebleken. Aan één van de eisen die in COSO wordt gesteld kan door WCD niet worden voldaan, namelijk de eis dat risico’s zowel kwantitatief als kwalitatief moeten worden beoordeeld. Dit is echter geen belemmering om te kunnen spreken van een risicomanagement systeem.

INHOUDSOPGAVE

VOORWOORD ...3

MANAGEMENT SAMENVATTING ...4

1.1 INLEIDING...7

1.2 DE GESCHIEDENIS VAN WONINGCORPORATIES...7

1.3 WONINGBOUWCORPORATIES NU...8 1.4 ALGEMENE BESCHRIJVING WCD ...8 1.5 DE ORGANISATIESTRUCTUUR...9 2 ONDERZOEKSOPZET...13 2.1 INLEIDING...13 2.2 AANLEIDING...13 2.3 SYSTEEMKEUZE...15 2.4 DOEL- EN PROBLEEMSTELLING...15 2.5 RANDVOORWAARDEN...15 2.6 UITGANGSPUNTEN...15

2.7 CONCEPTUEEL MODEL EN AANPAK...15

3 WAT IS COSO – ERM?...15

3.1 INLEIDING...15

3.2 ALGEMEEN...15

3.3 COSOERM ...15

3.4 ONDERSCHEID IN RANDVOORWAARDEN EN PROCESSTAPPEN...15

3.5 RANDVOORWAARDE:INTERNE OMGEVING...15

3.6 RANDVOORWAARDE:DOELSTELLINGEN...15

3.7 RANDVOORWAARDE:INFORMATIE EN COMMUNICATIE...15

3.8 PROCESSTAP I:IDENTIFICEREN VAN GEBEURTENISSEN...15

3.9 PROCESSTAP II:RISICOBEOORDELING...15

3.10 PROCESSTAP III:RISICO REACTIE...15

3.11 PROCESSTAP IV:BEHEERSINGSMAATREGELEN...15

3.12 PROCESSTAP V:MONITORING...15

3.13 WAT IS COSOERM?...15

4 WAT IS EEN RISICOMANAGEMENT SYSTEEM? ...15

4.1 INLEIDING...15

4.2 SYSTEEM...15

4.3 RISICOMANAGEMENT...15

4.4 RISICOMANAGEMENT SYSTEEM...15

5 IN HOEVERRE ZIJN DE RANDVOORWAARDEN VAN COSO ERM BINNEN WCD AANWEZIG?...15 5.1 INLEIDING...15 5.2 DE INTERNE OMGEVING...15 5.3 DOELSTELLINGEN...15 5.4 INFORMATIE EN COMMUNICATIE...15 5.5 CONCLUSIE...15

6 IN HOEVERRE SLUITEN DE PROCESSTAPPEN VAN COSO ERM AAN OP DE HUIDIGE ORGANISATIE VAN WCD? ...15

6.1 INLEIDING...15

6.2 HET IDENTIFICEREN VAN GEBEURTENISSEN...15

6.3 HET BEOORDELEN VAN DE RISICO’S...15

6.4 RISICOREACTIE...15

6.5 BEHEERSINGSMAATREGELEN...15

6.6 MONITORING...15

7 CONCLUSIE ONDERZOEK...15

BIJLAGEN...15

BIJLAGE I INTERVIEWVRAGEN...15

BIJLAGE II INTERNEENEXTERNEFACTORENUITCOSOERM ...15

BIJLAGE III GEBEURTENISINVENTARISATIETECHNIEKEN ...15

BIJLAGE IV BEHEERSINGSACTIVITEITEN ...15

VERTROUWELIJKE BIJLAGEN

BIJLAGE V INVENTARISATIE RISICO’S WCD

BIJLAGE VI BEOORDELINGSINSTRUMENT RISICO’S WCD

1 ALGEMENE BESCHRIJVING VAN DE ORGANISATIE

1.1 Inleiding

Het voor u liggend onderzoek is uitgevoerd bij Woningcorporatie Dongeradeel te Dokkum. In dit hoofdstuk zal een algemene beschrijving van Woningcorporatie Dongeradeel en woningcorporaties in het algemeen worden gegeven. Deze beschrijving dient als basis voor de overige hoofdstukken. Hoofdstuk één is als volgt opgebouwd. In paragraaf 1.2 en 1.3 zullen achtereenvolgens de geschiedenis en de huidige situatie bij woningcorporaties in Nederland worden besproken. In paragraaf 1.4 en 1.5 zal achtereenvolgens informatie over Woningcorporatie Dongeradeel en de structuur van de organisatie worden behandeld.

1.2 De geschiedenis van woningcorporaties

In de tweede helft van de negentiende eeuw ontstonden de eerste kleinschalige initiatieven die er voor moesten zorgen dat er betere huisvesting voor arbeiders zou ontstaan. Er werden woningen verhuurd tegen een voor arbeiders betaalbare prijs. Arbeiders leefden destijds vaak met veel mensen in kleine ruimten zonder voldoende licht en lucht en zonder de nodige sanitaire voorzieningen.1 Deze eerste initiatieven om deze situatie te verbeteren, kwamen niet vanuit de overheid maar vanuit de rijkere klasse.

Pas in 1901 ging de overheid zich met de huisvesting bemoeien en werd de woningwet ingevoerd. De woningwet moest ervoor zorgen dat de bewoning van slechte woningen onmogelijk werd, daarnaast moest de wet de bouw van goede woningen bevorderen. Door de wet werd het voor woningcorporaties mogelijk overheidssteun te ontvangen. Voor de bouw van de ‘woningwetwoningen’ konden corporaties een rijksvoorschot krijgen. Dit voorschot moest in 50 jaar worden terugbetaald aan de overheid. Deze termijn werd in de crisis jaren verlengd naar 75 jaar. 2

In de tweede wereldoorlog werden veel woningen verwoest of beschadigd. Daarnaast was er na de tweede wereldoorlog sprake van een enorme bevolkingsgroei, terwijl de huishoudens juist kleiner werden. Deze punten zorgden er samen voor dat er een grote woningnood ontstond. De overheid loste dit op door op grote schaal bouwsubsidies te verstrekken. De belangrijkste doelstelling was op dat moment het bouwen van voldoende, goede en betaalbare huisvesting.

In de jaren ‘70 was de grootste woningnood voorbij en ging men zich meer op de kwaliteit van de woningen richten. Er werden objectsubsidies en subjectsubsidies toegekend. Objectsubsidies aan speciale bouwprojecten, subjectsubsidies aan individuele huurders. De uitgaven aan huisvesting bleven stijgen door dit uitgebreide subsidiesysteem.

Hierin vond verandering plaats doordat de woningcorporaties in 1993 zelfstandig werden (Besluit Beheer Sociale Huursector) en door de bruteringsoperatie in 1995. De bruteringsoperatie hield in dat de leningen die de woningcorporaties nog hadden bij de overheid werden verrekend met de openstaande subsidies. Na deze veranderingen zijn de woningcorporaties in feite zelfstandig geworden. 3

1

Bron: www.haagwonen.nl

2 _{Bron: www.wikipedia.nl}

1.3 Woningbouwcorporaties nu

Hoewel de woningcorporaties in 1993 zelfstandig zijn geworden, worden er vanuit de overheid nog wel kaders opgelegd waarbinnen woningcorporaties moeten werken. Zo zijn woningcorporaties gebonden aan maximale huurstijgingen en mogen ze wettelijk gezien uitsluitend op het gebied van volkshuisvesting bezig zijn. Dat houdt in dat woningcorporaties zich bezig houden met het aankopen, bouwen, beheren, verhuren en verkopen van woningen. Daarnaast worden er in het Besluit Beheer Sociale Huursector (hierna BBSH genoemd) zes prestatievelden gegeven waarop woningcorporaties moeten presteren, namelijk:

- Het passend huisvesten van de doelgroep (woningzoekenden met lagere inkomens)

- Het kwalitatief in stand houden van het woningbezit - Het betrekken van bewoners bij beleid en beheer - Het waarborgen van de financiële continuïteit

- Het bevorderen van de leefbaarheid in wijken en buurten

- Het bijdragen aan de combinatie van wonen en zorg

Hoewel woningcorporaties dus zelfstandig zijn kunnen ze niet ‘economisch’ handelen. De huurwoningen worden onder de geldende marktprijzen aangeboden. Er wordt dus verlies geleden op de verhuur van deze woningen, dit worden ‘onrendabele toppen’ genoemd. Hierdoor kunnen mensen die niet op de normale markt terecht kunnen, toch in huisvesting worden voorzien.

Om de continuïteit van de onderneming te waarborgen moeten de onrendabele toppen gecompenseerd worden. Dit doen woningcorporaties door koopwoningen en woningen in duurdere huursegmenten te ontwikkelen. Met de winst die op deze activiteiten wordt gemaakt, worden de onrendabele toppen gecompenseerd.

Een ander punt waar woningcorporaties afwijken van de gewone markt zijn de voorwaarden voor geldleningen. Woningcorporaties voor lagere rente percentages geld lenen bij het Waarborgfonds Sociale Woningbouw. Hierdoor kunnen woningcorporaties goedkoper bouwen, wat hoeveelheid bouw bevorderd en de onrendabele toppen kleiner maakt.

1.4 Algemene beschrijving WCD

Stichting Woningcorporatie Dongeradeel (hierna WCD genoemd) is een woningcorporatie in het noorden van Friesland. WCD bezit en beheert in de gemeente Dongeradeel ruim 3.000 woningen. Dit is ongeveer een derde deel van de totale woningvoorraad in de gemeente.4 WCD is de enige woningcorporatie in de gemeente Dongeradeel en heeft daardoor geen directe concurrentie van andere corporaties. 5 Concurrentie bestaat wel vanuit projectontwikkelaars die vooral in Dokkum veel koopwoningen aanbieden.

WCD is ontstaan uit een fusie tussen vier woningbouwverenigingen, te weten de Bouwvereniging, de Christelijke Woningbouwvereniging Patrimonium, de Woningstichting Oost-Dongeradeel en de Woningbouwvereniging West-Dongeradeel. Deze vier verenigingen werkten eerst samen onder de naam ‘Stichting Samenwerkende Woningcorporaties Friesland N.O.- Hoek (SSWC). In 1992 is de naam van dit samenwerkingsverband gewijzigd in Woningcorporatie Dongeradeel.

4

Bron: www.wcd.nl

5 _{Corporatieholding Friesland bezit ook een aantal huurwoning in Dokkum. Dit aantal is echter verwaarloosbaar in}

Sinds begin 2005 is er sprake van samenwerking tussen vier woningcorporaties in Noordoost-Friesland (zie figuur 1.1). Het betreft een samenwerking tussen de woningcorporaties in de gemeenten Dongeradeel (WCD), Dantumadeel

(Woningstichting Dantumadeel en Christelijke

Woonmaatschappij Patrimonium) en Kollumerland (Woningstichting Kollumerland). De samenwerking heeft een eigen werknaam aangenomen, namelijk Saillant. Het doel van Saillant is in eerste instantie

het gezamenlijk optrekken als individuele

zelfstandige corporaties om op die manier de

taakstelling vanuit de overheid beter te kunnen vervullen. In het kader van de samenwerking worden verschillende zaken ondernomen. Zo wordt er gesproken over een mogelijke samenvoeging van de onderhoudsdiensten van de verschillende corporaties. Ook zijn er verschillende projectgroepen opgericht die moeten kijken of samenwerking op andere punten mogelijke voordelen voor de betrokken organisaties op kan leveren. Een steeds verdergaande samenwerking en eventuele samenvoeging van de organisaties wordt niet uitgesloten.

1.5 De organisatiestructuur

De organisatie structuur wordt in figuur 1.2 weergegeven. Bij WCD zijn momenteel 38 werknemers in dienst.

De taken en activiteiten van de verschillende afdelingen en organisatie onderdelen zullen hierna worden beschreven.

Figuur 1.2 Organogram Woningcorporatie Dongeradeel

1.5.1 Het Management Team

Op elke afdeling is een afdelingshoofd aanwezig. De afdelingshoofden van de afdelingen vastgoedbeheer, klantenservice en controlling vormen samen met de directeur-bestuurder van de organisatie het management team (hierna MT genoemd). Het hoofd van de afdeling projecten wordt uitgenodigd voor de MT vergaderingen als belangrijke projecten ter sprake komen. De directeur neemt zijn plaats in deze vergaderingen soms ook in. Het MT bestuurt de organisatie en bepaald het beleid van de organisatie. In 2006 heeft het MT een ondernemingsplan opgesteld en gepresenteerd. Het is nu van belang dat het MT de realisatie van dit ondernemingsplan en het behalen van de doelstellingen van de organisatie in de gaten houdt en stuurt. Hiervoor vergadert het MT eens in de vier weken. Verder functioneert het MT als een overkoepelend geheel voor de organisatie. De verschillende afdelingen in de organisatie zijn in het MT vertegenwoordigd.

1.5.2 Directeur-Bestuurder

De directeur-bestuurder is de voorzitter van het MT en neemt formeel de uiteindelijke besluiten, nadat hij deze met het MT besproken heeft. Indien dat nodig is legt de directeur besluiten en documenten voor aan de Raad van Toezicht. De directeur onderhoud de relatie met de Raad van Toezicht.

1.5.3 De Raad van Toezicht

De Raad van Toezicht (hierna RvT genoemd) heeft tot taak toezicht te houden op het beleid van het bestuur van WCD en de algemene gang van zaken binnen WCD. Hierbij hoort bijvoorbeeld goedkeuring van (grote) besluiten, de jaarrekening, het jaarverslag en de begroting. Daarnaast denkt de RvT mee bij belangrijke onderwerpen. Er zijn binnen WCD verschillende kennisgebieden geformuleerd die binnen de RvT aanwezig moeten zijn, de gezamenlijke leden moeten deze kennisgebieden bezitten. Om lid te kunnen worden van de RvT moeten de leden binding voelen met de lokale en regionale samenleving en specifiek met de volkshuisvesting in dat gebied.

1.5.4 Projecten

De afdeling projecten draagt zorg voor de verwerving en realisatie van nieuwbouw- en herstructureringsprojecten. De afdeling is onderverdeeld in twee subafdelingen. De subafdeling ‘Herstructurering en Ontwikkeling’ houdt zich bezig met het plannen van herstructurerings- en nieuwbouwprojecten. De subafdeling ‘Toezicht’ zorgt voor het toezicht op de uitvoering van de projecten.

1.5.5 Afdeling Vastgoedbeheer

De afdeling vastgoed bestaat uit twee subafdelingen, namelijk de afdelingen ‘Planning en Planmatig Onderhoud’ (hierna PPO genoemd) en ‘Onderhoudsdienst’.

PPO moet zorg dragen voor de jaarlijkse en de meerjaren onderhoudsplanning en -begroting. Hiervoor moeten er inspecties worden uitgevoerd op de kwaliteit en voortgang van de planmatige onderhoudswerkzaamheden en moet het woningbezit worden geïnspecteerd. Daarnaast draagt de afdeling zorg voor het voorbereiden van werkzaamheden in het kader van planmatig onderhoud.

De onderhoudsdienst is een zelfstandig gestuurd onderdeel van de organisatie. De verdeling van de werkzaamheden naar de eigen onderhoudsdienst wordt gedaan door het hoofd van de onderhoudsdienst. Als de onderhoudsdienst het werk niet aankan wegens gebrek aan capaciteit of specifieke deskundigheid, wordt het werk uitbesteed aan externe bedrijven.

De basistaken van de onderhoudsdienst zijn het aannemen en verhelpen van storingen en onderhoudsverzoeken, het verrichten van planmatig, preventief en groot onderhoud en het verrichten van onderhoudswerkzaamheden aan het kantoor en de werkplaats van WCD. Ook de inkoop van materialen en materieel voor de eigen onderhoudsdienst en het beheren van de werkplaats behoren tot de taken van de onderhoudsdienst.

1.5.6 Afdeling Klantenservice

De werkzaamheden op de klantenservice kunnen worden onderscheiden in front- en midoffice activiteiten. Frontoffice onderhoud het directe contact met de klant. Belangrijke werkzaamheden zijn het verhuren en toewijzen van woningen en het optimaal communiceren met bewoners en klanten. Klanten kunnen bij het frontoffice ook terecht voor hulp bij huursubsidie aanvragen.

De receptie behoort ook tot de diensten van het frontoffice. De receptie is de eerste opvang voor mensen die contact zoeken met WCD en is daarmee het gezicht van de organisatie. De receptie heeft vooral een representatieve taak.

Midoffice richt zich vooral op ondersteunende trajecten en activiteiten. Daarnaast is er een woonconsulent aanwezig die zich bezighoudt met het voorlichten, adviseren en begeleiden van bewoners. Hij zorgt dat problemen structureel worden aangepakt en hij verricht werkzaamheden die gericht zijn op het woongenot, de tevredenheid van bewoners en het optimaliseren van de leefbaarheid in wijken en dorpen. Het hoofd van de afdeling klantenservice houdt zich naast het sturen van de afdeling bezig met marktvraagstukken. Hij houdt de ontwikkeling van de markt en de ontwikkelingen in de vraag van de klanten in de gaten. Hiermee ondersteunt hij de afdeling projectontwikkeling.

1.5.7 Afdeling Controlling

Op de afdeling controlling is een onderscheid te maken tussen financieel, facilitair en systeembeheer. Het onderscheid tussen de laatste twee wordt door WCD niet expliciet gemaakt, beide vallen onder het kopje ‘facilitair beheer’. De afdeling controlling draagt zorg voor de financiële administratie van de woningcorporatie. Hieronder vallen bijvoorbeeld de salarisadministratie, het opstellen van het concept jaarverslag en het opstellen van de begroting. Ook het tijdig uitvoeren van externe verantwoordingen valt onder de verantwoordelijkheden van de afdeling.

Het systeembeheer en het facilitair beheer wordt ook door de afdeling controlling gedaan. Onder het

systeembeheer vallen onder andere het zorgen voor het optimaal functioneren van de

computer(rand)apparatuur. Onder facilitair beheer valt het beheren van het kantoorgebouw, de inventaris, het archief, de telefooncentrale en het wagenpark.

1.5.7 Secretariaat

Het secretariaat is een ondersteunende dienst voor de organisatie. Op het secretariaat wordt onder andere in- en uitgaande post verwerkt, er wordt correspondentie opgesteld en gecontroleerd en het agendabeheer wordt verzorgd. Ook de notulering bij vergaderingen behoord tot de taken van het secretariaat. Verder worden er veel organisatorische zaken door het secretariaat geregeld en georganiseerd.

1.5.8 Ondernemingsraad

De ondernemingsraad (hierna OR genoemd) is een orgaan dat is samengesteld uit werknemers van WCD die hiertoe door de overige werknemers benoemd zijn. Wettelijk gezien is WCD niet verplicht om een OR in te stellen, omdat WCD minder dan 50 werknemers heeft.6 Een personeelsvertegenwoordiging is in dat geval voldoende. In onderling overleg tussen het personeel en de leiding van WCD is echter besloten een OR in stand te houden.

Het is de taak van de OR om op te komen voor de belangen van de werknemers van WCD en daarvoor overleg te voeren met de ondernemingsleiding over het beleid en het functioneren van de onderneming. De OR heeft wettelijk een aantal rechten, namelijk het initiatief-, informatie-, advies- en instemmingsrecht. Het gaat te ver om deze hier verder te behandelen.

1.5.9 Klachtencommissie en geschillencommissie

De klachten en geschillencommissie hebben beide dezelfde samenstelling. De commissies bestaan uit drie externe personen, waarvan één op voordracht van de huurdersvereniging, één op voordracht van de gemeente en één op voordracht van WCD wordt aangesteld.

De klachtencommissie heeft tot doel de klanten de gelegenheid te geven klachten in te dienen en moet daarbij waarborgen dat de klachten goed worden afgehandeld. De commissie geeft advies aan WCD over de afhandeling van de klachten.

De geschillencommissie doet uitspraak bij geschillen tussen de WCD en haar huurders of de huurdersvereniging.

6 _{Wet op Ondernemingsraden: als er in een onderneming 50 werknemers of meer werkzaam zijn is de instelling van}

2 ONDERZOEKSOPZET

2.1 Inleiding

In dit hoofdstuk zal de onderzoeksopzet worden besproken. Hiertoe zullen de aanleiding van het onderzoek (paragraaf 2.2), de systeemkeuze (paragraaf 2.3), het doel en de probleemstelling (paragraaf 2.4) uiteen worden gezet. In paragraaf 2.5 en 2.6 volgen respectievelijk de randvoorwaarden en de uitgangspunten van het onderzoek. Ten slotte volgen in paragraaf 2.7 het conceptuele model en de aanpak van het onderzoek.

2.2 Aanleiding

2.2.1 Wijziging Aedescode

Aedes is de branche organisatie voor woningcorporaties in Nederland. Aedes staat voor de collectieve belangenbehartiging van woningcorporaties. Hieronder valt bijvoorbeeld het opvangen van signalen uit de samenleving en deze vertalen in concrete acties voor woningcorporaties. Om lid te kunnen zijn van Aedes moet de Aedescode onderschreven worden. De code moet waarborgen dat de leden van Aedes zich maatschappelijk verantwoorden.7

Per 1 januari 2007 is er een nieuwe Aedescode van kracht. Hierin wordt de nieuwe Corporate Governance code voor woningcorporaties, de Governance Code Woningcorporaties (hierna GCW genoemd), verplicht gesteld.8 In de GCW wordt onder andere gesteld dat er in de woningcorporatie een op haar toegesneden intern risicobeheersings- en controlesysteem aanwezig moet zijn (hierna risicomanagement systeem genoemd). 9 De bepalingen in de code hoeven niet verplicht te worden toegepast. In GCW is er sprake van een ‘pas toe of leg uit’ principe. Dit houdt in dat voor bepalingen die niet worden toegepast, moet worden uitgelegd waarom deze niet zijn toegepast.

Hoewel de implementatie van een risicomanagement systeem dus niet verplicht is, komt er vanuit Aedes wel steeds meer druk op woningcorporaties te staan om een dergelijk systeem te implementeren. Steeds meer corporaties zijn er dan ook mee bezig.

Op dit moment is er bij WCD nog geen risicomanagement systeem aanwezig. Er wordt voornamelijk reactief met risico’s omgegaan. Dit houdt in dat problemen op het moment dat ze zich voordoen worden opgelost. Door de veranderingen in de Aedescode is het onderwerp bij WCD echter ook op de agenda komen te staan.

7 _{Bron: www.aedesnet.nl} 8

Een Corporate Governance Code geeft voorschriften die moeten worden nageleefd om te komen tot een goede, efficiënte en verantwoorde leiding van een onderneming.

9 _{Emanuels en de Munnik (2006) geven aan dat de definitie in Code Tabaksblat theoretisch gezien een overbodige}

toevoeging bevat, omdat interne controle een integraal onderdeel is van een risicobeheersingssysteem. Namelijk dat onderdeel dat gaat over het treffen van beheersingsmaatregelen die de betrouwbaarheid van informatie waarborgen. Vandaar dat zij verder spreken over een risicobeheersingssysteem.

De begrippen risicobeheersingssysteem en risicomanagement systeem betekenen hetzelfde en zijn door elkaar te

Figuur 2.1: Bevolkingsgroei gemeente Dongeradeel 2.2.2 Problemen bij WCD

Naast de druk vanuit de omgeving van WCD, zijn er ook probleemsignalen in de directe omgeving van WCD die vragen om de implementatie van een risicomanagement systeem. Concreet komen er vanuit de omgeving van WCD verschillende onzekerheden naar voren die kunnen duiden op een toename van de risico’s voor WCD. De belangrijkste onzekerheden die uit de omgeving naar voren komen worden hieronder beschreven: - Dalende bevolking. De bevolkingsprognoses voor de gemeente Dongeradeel zijn niet éénduidig. In de

onderstaande tabel zijn de bevolkingsprognoses van het Centraal Bureau van Statistiek (hierna CBS genoemd), de Primos prognose en de trendprognose van de provincie Fryslân opgenomen. 10

Aantal inwoners 2005 Aantal inwoners in 2020 Saldo Trendprognose provincie Fryslân 25.199 27.429 + 2.230 Prognose Primos 25.030 25.038 +8 CBS 25.116 24.669 - 707

Tabel 2.1 Voorspellingen bevolkingsgroei gemeente Dongeradeel

Er is te zien dat de prognoses nogal van elkaar afwijken. De verschillende scenario’s hebben elk een totaal verschillend effect op de woningvoorraad

De prognose van het CBS komt op dit moment het meest overeen met de daadwerkelijke bevolkingsgroei die zich in de jaren 2005 tot 2007 heeft voorgedaan. Deze prognose en de daadwerkelijke cijfers over de afgelopen jaren zijn in figuur 2.1 weergegeven. De cijfers in figuur 2.1 zijn indicaties van de omvang van de bevolking op 1 januari van elk jaar.

Bevolkingsgroei Dongeradeel

10 _{De Primos prognose is een jaarlijkse bevolkingsprognose van ABF. ABF is een bedrijf dat informatie verzamelt,}

bewerkt en onderzoek verricht. In de loop der jaren is de Primos prognose uitgegroeid tot de standaard regionale en gemeentelijke bevolkingsprognose. (Bron: www.abfresearch.nl).

De cijfers van de trendprognose van de provincie Fryslân en de Primos prognose komen terug in het rapport ‘Prognose Bevolking & Woningbehoefte 2005’ van de Provincie Fryslân.

De prognose van het CBS laat voor 2006 nog een lichte bevolkingsgroei zien (0,43%). Voor de jaren 2007-2025 wordt echter een daling van de bevolking van ongeveer 4% verwacht (2025 ten opzichte van 2006). De daadwerkelijke cijfers laten zien dat de bevolking op 1 januari 2006 al gedaald is ten opzichte van het voorgaande jaar met 0,32%. Op 1 januari 2007 is de bevolking wederom gedaald ten opzichte van het voorgaande jaar. Ditmaal met een percentage van 0,63%. In de eerste twee maanden van 2007 zet de bevolkingsdaling door met 0,17%.

- Gemeente Dongeradeel gaat uit van een evenwichtsscenario wat betreft de bevolkingsgroei en woningvoorraad in de gemeente (de Primos prognose). De gemeente blijft echter wel nieuwe percelen uitgeven. Als er door de gemeente nieuwe percelen worden uitgegeven, heeft dat tot gevolg dat er op andere plaatsen in de gemeente huizen moeten worden gesloopt. Deze inkrimping komt zeer waarschijnlijk ten laste van de woningvoorraad van WCD. Dit houdt in dat er woningen gesloopt moeten worden en er in geval van herstructurering minder nieuwe woningen worden gebouwd dan dat er zijn gesloopt. Dit is dus al het geval in een evenwichtsscenario. Daar komt bij dat het scenario waar de gemeente vanuit gaat misschien niet realistisch is gezien de bevolkingsprognoses van het CBS en de daadwerkelijke bevolkingsdaling in de afgelopen jaren. Als die prognoses uitkomen, zal de woningvoorraad van WCD verder moeten inkrimpen.

- Leegstand van woningen. In het jaarverslag over 2005 komen signalen van leegstand van woningen naar voren. Er stonden in 2005 meer woningen langdurig leeg dan in voorgaande jaren en de animo voor de gepubliceerde woningen was minder ten opzichte van voorgaande jaren. Woningen in de dorpen moesten meerdere malen gepubliceerd worden om verhuurd te kunnen worden. Inmiddels zijn er cijfers bekend over de leegstand van woningen in 2006. In tabel 2.2 wordt de leegstand op 31 december 2006 vergeleken met de leegstand op 31 december 2005.

31/12/2005 31/12/2006

Leegstand tot vier maanden 13 20

Langdurige leegstand (langer dan vier maanden) 8 8

Leegstand in verband met sloop 14 33

Leegstand in verband met verkoop 3 5

Totale Leegstand (aantal leegstaande woningen) 38 66

Totaal aantal woningen 2919 2885

Tabel 2.2 Leegstandsoverzicht WCD Er is te zien dat het totale aantal leegstaande woningen in 2006 met ongeveer 73% is toegenomen ten opzichte van 2005, terwijl het totale aantal woningen juist is afgenomen. Het grootste deel hiervan is echter te verklaren door de leegstand in verband met de sloop en verkoop van woningen. De langdurige leegstand is in 2006 gelijk aan die in 2005. Opvallend is echter wel dat het aantal woningen dat tot vier maanden leeg staat is toegenomen met ongeveer 50%.

- Verandering van woonwensen. Er worden de laatste jaren vaker woningen geweigerd vanwege de slechte onderhoudsstaat van de binnenkant van de woningen. Dit terwijl het bezit van de corporatie wel

voldoet aan de kwaliteitseisen die voor woningen gelden. Uit gesprekken blijkt dat er binnen WCD het idee bestaat dat de eisen en wensen van de woningconsumenten veranderen.

- Activiteiten van WCD veranderen: Er worden op dit moment veel meer projecten uitgevoerd dan vroeger het geval was. Eerder was WCD met maximaal twee projecten tegelijk bezig, waardoor het geheel overzichtelijk bleef. Op dit moment is WCD met 22 Projecten bezig, waarvan een aantal nog in de voorbereidingsfase en een aantal al in de afrondingsfase zitten, waardoor de intensiteit per project verschilt. Door de sterke toename van het aantal projecten wordt het lastiger om het overzicht te behouden.

Deze onzekerheden hoeven voor WCD niet allemaal gevaren te betekenen. Door onzekerheden in kaart te brengen en deze te managen kan er bewust een richting voor de organisatie worden gekozen. Ontwikkelingen in de samenleving zullen de organisatie dan niet ineens overvallen, het beleid van WCD zal er van te voren al op zijn afgestemd. Sommige onzekerheden kunnen door het in kaart brengen en managen zelfs kansen worden voor de organisatie. Door bijvoorbeeld in te spelen op de veranderende woonwensen van klanten en gericht op bepaalde punten onderhoud te plegen, kan de populariteit van het bezit verbeterd worden, waardoor de leegstand van de woningen kan worden verminderd.

Om echter op onzekerheden in te kunnen spelen en een juiste afstemming tussen de maatregelen en onzekerheden te bereiken is er op elk moment inzicht nodig in deze onzekerheden. Dit kan bereikt worden door een risicomanagement systeem in te voeren dat structureel de risico’s voor WCD in kaart brengt. Er ontstaat door een dergelijk systeem een situatie waarin risico’s niet langer onbewust worden gelopen, maar bewust worden genomen. Een éénmalige inventarisatie van de risico’s is hierbij niet voldoende, omdat de omgeving en de organisatie zelf, continu veranderen. Hierdoor kunnen ook de risico’s veranderen en kunnen nieuwe risico’s zich voordoen.

Binnen WCD is de conclusie getrokken dat een goede organisatie niet zonder een risicomanagement systeem kan. Op dit moment bestaat er niet altijd voldoende inzicht in de kansen en risico’s waarmee WCD te maken heeft. Dit kan effecten hebben op de besluitvorming. Door de veranderende Aedescode komt er op WCD extra druk te staan om een risicomanagement systeem te ontwerpen en te implementeren.

2.3 Systeemkeuze

In de GCW code wordt gesteld dat er een risicobeheersingssysteem in de corporatie aanwezig moet zijn. De GCW is afgeleid van Code Tabaksblat. Code Tabaksblat is de Nederlandse Corporate Governance Code en is van toepassing op alle beursgenoteerde vennootschappen met een statutaire zetel in Nederland. In Tabaksblat wordt net als in de GCW gesteld dat er een risicobeheersingssysteem aanwezig moet zijn in de organisatie. Hierbij wordt in Tabaksblat verwezen naar het COSO raamwerk uit 1992. Echter niet alleen in Tabaksblat wordt verwezen naar COSO. Wereldwijd wordt COSO in veel Corporate Governance Codes als de beste manier van handelen genoemd.

COSO is een model waarmee onzekerheden door het volgen van duidelijk omschreven, elkaar opvolgende stappen, gemanaged kunnen worden. Het model biedt een duidelijke aanpak van risicomanagement voor een

organisatie. Er bestaat op dit moment geen ander concept of model waarin stapsgewijs een risicomanagement systeem wordt opgebouwd. Deze stapsgewijze, duidelijke aanpak is voor een organisatie als WCD ideaal. WCD is een kleine organisatie, waarin veelal uitvoerend werk wordt verricht. Er is een model nodig wat voor iedereen begrijpbaar is en wat goed uitvoerbaar en werkbaar is. Daar komt bij dat de financiële middelen voor het ontwikkelen en uitvoeren van een risicomanagement systeem beperkt zijn. Een duidelijke, stapsgewijze aanpak kan de kosten drukken.

Deze stapsgewijze aanpak en het feit dat COSO een veelvuldig gebruikte methode hebben mij doen besluiten het COSO model in mijn onderzoek te gebruiken.

Inmiddels is er door COSO een aanvulling op het COSO model uit 1992 uitgegeven, het COSO ERM model. De uitgangspunten uit het oude raamwerk uit 1992 blijven overeind in het nieuwe raamwerk. Er wordt alleen uitgebreider ingegaan op de manier waarop bepaalde zaken kunnen worden ingericht. De belangrijkste aanvulling is dat er in het COSO ERM model dieper in wordt gegaan op het onderwerp risicomanagement. Omdat mijn onderzoek over risicomanagement gaat en het nieuwe model enkel een aanvulling geeft op het oude model, heb ik ervoor gekozen het nieuwe COSO ERM model in mijn onderzoek te gebruiken.

In het COSO ERM model wordt gesteld dat het raamwerk gebruikt kan worden voor de implementatie van een risicomanagement proces bij zowel kleine als grote organisaties. In dit onderzoek wil ik onderzoeken in hoeverre het mogelijk is om aan de hand van het COSO ERM model een risicomanagement systeem te ontwerpen voor een relatief kleine, maatschappelijke onderneming als WCD.

2.4 Doel- en probleemstelling

Het doel van het onderzoek is om te kijken in hoeverre het mogelijk is om aan de hand van het COSO ERM model een risicomanagement systeem te ontwerpen voor een relatief kleine, maatschappelijke onderneming als WCD. De hoofdvraag die in dit onderzoek beantwoordt zal worden luidt als volgt:

In hoeverre is het mogelijk aan de hand van COSO ERM een risicomanagement systeem te ontwerpen voor Woningcorporatie Dongeradeel?

De uitkomsten van dit onderzoek zullen praktisch relevant zijn voor WCD. Door dit onderzoek krijgt de organisatie een beter beeld van de manier waarop aan een risicomanagement systeem vorm kan worden gegeven binnen WCD. Ook voor andere woningcorporaties, in het bijzonder de kleinere, kan dit onderzoek bruikbaar zijn indien zij een risicomanagement systeem willen implementeren.

Om deze vraag te kunnen beantwoorden zijn de volgende deelvragen ontworpen:

1. Wat is COSO ERM?

2. Wat is een risicomanagement systeem?

3. In hoeverre zijn de randvoorwaarden van COSO ERM aanwezig binnen WCD?

2.5 Randvoorwaarden

Er zijn verschillende randvoorwaarden waarbinnen dit onderzoek moet worden uitgevoerd. Ten eerste moet het onderzoek uit te voeren zijn binnen een tijdsbestek van vier maanden. Ten tweede moeten de resultaten en aanbevelingen passen binnen de organisatie van WCD. Daarnaast moet het eindproduct voldoen aan de door de Rijksuniversiteit Groningen gestelde eisen voor een master afstudeerwerkstuk accountancy. Dit houdt onder andere in dat het werkstuk openbaar moet worden gemaakt. Hierdoor kan er geen bedrijfsgevoelige informatie van WCD in deze scriptie worden opgenomen.

2.6 Uitgangspunten

Er wordt vanuit gegaan dat WCD het relevant vindt om ook in de toekomst lid te blijven van Aedes, waardoor de invoering van een risicomanagement systeem in ieder geval onderzocht moet worden. Indien blijkt dat de invoering van een risicomanagement systeem niet voordelig zal zijn voor WCD, is het in het kader van het ‘pas toe of leg uit’ beginsel in de Aedescode nog altijd relevant dat WCD goed kan onderbouwen waarom risicomanagement niet voordelig is voor WCD.

2.7 Conceptueel Model en Aanpak

In figuur 2.2 wordt het conceptueel model van dit onderzoek weergegeven. In het figuur is door de verschillende kleurvlakken duidelijk het onderscheid tussen de theorie en de praktijk weergegeven. Het stroomschema geeft hiermee weer wat ik in dit onderzoek wil bereiken; het overbruggen van het gat tussen de theorie en de praktijk.

Er bestaat een praktisch probleem, dit staat linksboven in het schema weergegeven. De theorie geeft een model welke als oplossing zou kunnen dienen voor het praktische probleem, deze oplossing is rechtsboven in het schema weergegeven. De vraag is dan echter; in hoeverre is de theorie ook daadwerkelijk in de praktijk toe te passen. Vaak stuit men hier op problemen doordat dit niet één op één mogelijk is. In dit onderzoek kijk ik in welke mate dit ‘gat’ voor het COSO ERM model bestaat, en in hoeverre het model toe te passen is binnen WCD. Om hierop een antwoord te kunnen vinden worden verschillende stappen doorlopen. De stappen die zijn weergegeven vormen de verschillende deelvragen van het onderzoek.

Probleemsignalen

- Verandering van woonwensen - Activiteiten WCD veranderen - Te weinig inzicht in organisatie en

omgeving om grote besluiten te kunnen nemen

Praktijkstudie; WCD

Theorie

Oplossing?

COSO ERM model;

- Wordt naar verwezen in Tabaksblat

- Veelvuldig gebruikte methode - Stapsgewijze, duidelijke aanpak

Risicomanagement

systeem

4) In hoeverre sluiten de processtappen van COSO aan op de huidige organisatie van WCD?

Figuur 2.2 Conceptueel Model

Risicomanagement

systeem voor WCD

In elk hiernavolgend hoofdstuk zal een deelvraag worden behandeld, waarna in hoofdstuk zeven de conclusie volgt. De verschillende hoofdstukken zien er als volgt uit;

In hoofdstuk drie is de eerste deelvraag uit het conceptuele model behandeld; Wat is COSO ERM? Deze vraag is beantwoordt door middel van literatuurstudie. Hierbij is gebruik gemaakt van het COSO ERM raamwerk en de toepassingstechnieken. Daarnaast is gebruik gemaakt van een aantal publicaties die over dit onderwerp zijn verschenen, namelijk de publicaties van Emanuels en De Munnik (2006), Emanuels (2005) en Van Dongen (2005).

Aan de hand van het raamwerk en de publicaties zijn randvoorwaarden en processtappen binnen COSO onderscheiden welke volgens de theorie in een organisatie aanwezig zouden moeten zijn. Er zijn criteria ontworpen waaraan WCD zou moeten voldoen. In hoofdstuk vijf en zes wordt later getest in hoeverre er daadwerkelijk aan de criteria wordt voldaan.

In hoofdstuk vier zal de volgende deelvraag uit het conceptuele model worden behandeld; Wat is een risicomanagement systeem? In het conceptuele model is te zien dat deze vraag zich aan de rechterzijde, de ‘theorie’ zijde, van het conceptueel model bevindt. Deze deelvraag is dan ook door middel van literatuurstudie beantwoord. Hierbij is gebruik gemaakt van het COSO raamwerk en van de publicaties van Emanuels en De Munnik (2006) en Emanuels (2005). In dit hoofdstuk zijn criteria ontworpen waaraan moet worden voldaan om te kunnen spreken over een risicomanagement systeem. Verderop in het onderzoek is aan de hand van deze criteria getoetst of er nog sprake is van een risicomanagement systeem als er niet aan alle voorwaarden van het COSO ERM model wordt voldaan.

In hoofdstuk vijf en zes is gekeken in hoeverre de randvoorwaarden en processtappen van het COSO ERM model aanwezig zijn binnen WCD. De praktijk is hier vergeleken met de in hoofdstuk drie besproken theorie. Deze deelvragen worden aan de hand van een case study op WCD beantwoord. Er is hierbij gebruik gemaakt van verschillende technieken.

Om vast te kunnen stellen in hoeverre de randvoorwaarden van het COSO ERM model binnen WCD aanwezig zijn, zijn er interviews afgenomen met de afzonderlijke leden van het MT. Dit zijn de afdelingshoofden en de directeur. De vragenlijst die in de interviews is gebruikt is opgesteld aan de hand van het COSO model en is opgenomen in bijlage I.

Daarbij is er voor de beantwoording van deze deelvraag gebruik gemaakt van observatie; ik heb van september tot maart meegelopen binnen WCD. In deze periode heb ik vrijwel alle medewerkers binnen WCD (informeel) gesproken en heb ik met een aantal van hen samengewerkt. Hierdoor heb ik veel meegekregen van onder andere de cultuur en de gang van zaken binnen WCD zoals deze op dit moment zijn.

Ook is er gebruik gemaakt van interne documenten. Belangrijk hierbij zijn het ondernemingsplan, het sociale jaarverslag 2005, de jaarplannen van de verschillende afdelingen, het jaarverslag 2005, een onderzoek naar de gevolgen van de marktontwikkelingen voor de woningvoorraad en organisatie van WCD uitgevoerd door fmh wonen en een interne memo van de directeur betreffende een adviesaanvraag over het transformatieproces.

Om vast te stellen in hoeverre de processtappen van COSO aansluiten op de huidige organisatie van WCD is gebruik gemaakt van de informatie die bij de beantwoording van de vorige deelvraag is verkregen. Aan de hand van de kennis van de organisatie en de stappen in het COSO model is in hoofdstuk zes beargumenteerd in hoeverre bepaalde technieken al dan niet zijn toe te passen binnen WCD. Voor de eerste twee stappen; het identificeren van gebeurtenissen en het beoordelen van de risico’s geldt dat deze stappen ook daadwerkelijk zijn uitgevoerd binnen WCD. De uitvoering ervan is in de (vertrouwelijke) bijlagen V, VI en VII toegevoegd.

Tot slot wordt in hoofdstuk zeven de hoofdvraag van dit onderzoek beantwoord; In hoeverre is het mogelijk om aan de hand van COSO ERM een risicomanagement systeem te ontwerpen voor Woningcorporatie Dongeradeel? Deze vraag kan worden beantwoord aan de hand van de eerder beantwoorde deelvraag. Deze stap wordt in het conceptuele model gecentreerd onderaan weergegeven in het paarse vlak. Met de gekozen kleur wil ik aangeven dat de theorie en de praktijk op dat punt in het onderzoek zijn geïntegreerd; roze en blauw maken samen paars.

3 WAT IS COSO – ERM?

3.1 Inleiding

In dit hoofdstuk zal worden uiteengezet wat het COSO ERM model inhoudt. In paragraaf 3.2 zal algemene informatie over COSO en het ERM model worden gegeven. In paragraaf 3.3 zal vervolgens een algemene beschrijving van het ERM model gegeven worden. In paragraaf 3.4 wordt het COSO ERM model opgesplitst in randvoorwaarden en processtappen. In de hiernavolgende paragrafen worden de afzonderlijke elementen van het model behandeld. En in de laatste paragraaf, paragraaf 3.13, wordt antwoord gegeven op de vraag: Wat is COSO ERM?

3.2 Algemeen

COSO Enterprise Risk Management (hierna COSO ERM genoemd) is een management model, in 2004 uitgegeven door COSO11, dat gebruikt kan worden om het interne beheersingssysteem in een onderneming te beoordelen en te verbeteren.12 Door de interne beheersing te verbeteren en bewust met risico’s om te gaan, wordt de kans dat de doelstellingen van de organisatie gehaald worden groter.

Het ERM model is een uitbreiding van het Internal Control – Integrated Framework dat in 1992 door COSO werd uitgegeven. Dat raamwerk wordt door duizenden ondernemingen over de hele wereld gebruikt om de interne beheersing van de organisaties te verbeteren. Het Integrated Framework wordt in veel corporate governance codes wereldwijd als ‘best practice’ genoemd; zo ook in de Nederlandse corporate governance code, code Tabaksblat.

In het ERM model wordt een op risicomanagement gebaseerde benadering van interne beheersing uiteengezet. Hierbij wordt meer focus gelegd op de doelstellingen van een organisatie dan dat in het COSO model uit 1992. Door gebruik te maken van het ERM model kunnen ondernemingen de interne beheersing verbeteren en daarbij komen tot een vollediger risicomanagement proces.

3.3 COSO ERM

Eén van de uitgangspunten van COSO in het ERM model is dat elke organisatie bestaat om waarde te creëren voor haar belanghebbenden. Voor WCD is deze waarde te vinden in de maatschappelijke functie die ze vervult, het bieden van huisvesting aan zwakkere groepen in de samenleving. Er zijn verscheidene belanghebbenden voor een woningcorporatie aan te wijzen zoals huurders, woningzoekenden en gemeenten. Een tweede uitgangspunt van COSO is dat elke organisatie geconfronteerd wordt met onzekerheid. Uit deze onzekerheid kunnen zowel kansen als risico’s voortvloeien. In hoofdstuk twee worden een aantal veranderingen in de omgeving van WCD beschreven die leiden tot onzekerheden voor WCD.

11 _{COSO staat voor Committee of Sponsoring Organizations of the Treadway Commission. Het COSO comité}

bestaat uit representanten van het American Institute of Certified Puplic Accountants, The Institute of Internal Auditors, Financial Executives International, Institute of Management Accountants en de American Accounting Association, bijgestaan door PricewaterhouseCoopers.

COSO is een ‘Voluntary private sector organisation, dedicated to improving the quality of financial reporting through business ethics, effective internal controls and corporate governance.’ (Bron: www.coso.org)

Verder gaat COSO er vanuit dat de waarde van een onderneming wordt gemaximaliseerd als de strategie en doelstellingen ervoor zorgen dat er een optimale balans tussen groei, winst en de daaraan gerelateerde risico’s ontstaat. Voor WCD wordt deze winst niet in geld uitgedrukt, maar in het behalen van haar maatschappelijke doelstellingen. Daarnaast moet de financiële continuïteit van de organisatie gewaarborgd worden, dit is echter slechts een belangrijke randvoorwaarde om de maatschappelijke doelstellingen te kunnen halen (Deloitte, juli 2004). De strategie en doelstellingen moeten bij WCD voor zorgen dat er een optimale balans ontstaat tussen de financiële en maatschappelijke doelstellingen van WCD en de risico’s die de bedrijfsvoering met zich meebrengt.

In figuur 3.1 is het ERM model weergegeven. Het model is schematisch weergegeven in de vorm van een drie dimensionale matrix. In de dimensies wordt het volgende weergegeven:

- Eerste dimensie: de verschillende controle elementen die er in een organisatie aanwezig moeten zijn. De verschillende elementen zullen in de hiernavolgende paragrafen worden toegelicht.

- Tweede dimensie: de verschillende niveaus van doelstellingen in een onderneming. De

doelstellingen zijn opgedeeld in vier

categorieën:

o Strategisch

o Operationeel

o Rapportage

o Toezicht

De verschillende doelstellingen zullen in paragraaf 3.6 worden toegelicht.

- Derde dimensie: de eenheden of

organisatieniveaus waarvoor interne

beheersing nodig is. Deze dimensie is

toegevoegd om aan te geven dat het ERM model

zowel relevant is voor de gehele organisatie als voor alle individuele onderdelen van de organisatie. In het ERM model worden de volgende bedrijfseenheden onderscheiden:

o De dochteronderneming

o Bedrijfseenheid

o Divisie

o Entiteit.

Er bestaat een directe relatie tussen de doelstellingen die de organisatie wil bereiken en de controle elementen. COSO stelt dat alle acht controle elementen in een organisatie aanwezig moeten zijn en effectief moeten werken, wil het ERM model effectief zijn.

12

Emanuels (2005) geeft de volgende definitie van interne beheersing: Interne beheersing is het systeem dat het management in staat stelt om de risico’s, die het behalen van doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen.

3.4 Onderscheid in Randvoorwaarden en Processtappen

Er zijn verschillen tussen de controle elementen te onderscheiden. Van Dongen (2005) maakt onderscheid tussen de controle elementen die het daadwerkelijke ERM proces vormen en de elementen die randvoorwaarden vormen om het ERM proces goed te laten werken. Dit onderscheid geeft duidelijker aan hoe het ERM model in elkaar zit. De tweedeling zoals Van Dongen die gebruikt is naar mijn idee echter niet volledig juist. Daarvoor is het van belang eerst goed naar de definitie van de begrippen ‘randvoorwaarde’ en ‘proces’ te kijken;

Een randvoorwaarde is een bijkomstige conditie die noodzakelijk is voor het te bereiken doel; in dit geval is het doel het proces. Een randvoorwaarde moet dus aanwezig zijn om het proces te laten werken.13

Een proces is een aaneenschakeling van activiteiten, in een bedoelde volgorde en

met een beoogd resultaat.14

3.4.1 Randvoorwaarden

Kijkend naar de bovenstaande definitie zijn die elementen, die absoluut aanwezig moeten zijn om het ERM proces goed te laten werken, de randvoorwaarden van het proces. Het zijn geen stappen die continu moeten worden doorlopen, het zijn condities die er moeten zijn. Er kan wel aan de condities worden gewerkt, om deze te optimaliseren, maar de basis moet aanwezig zijn.

De onderstaande randvoorwaarden zijn te onderscheiden;

De Interne omgeving; De interne omgeving is het geheel waarbinnen de processtappen moeten functioneren. Er worden in de interne omgeving een achttal onderdelen onderscheiden die aanwezig moeten zijn om het ERM proces effectief en efficiënt te laten verlopen.

De doelstellingen; Het vaststellen van de doelstellingen van een organisatie is een voorwaarde om met risicomanagement te kunnen beginnen. De doelstellingen vormen het uitgangspunt van het proces. Zonder doelstellingen kan het proces niet op gang worden gezet. Dat is in feite ook logisch, er moeten doelstellingen zijn voordat er risico’s kunnen worden geïdentificeerd die de doelstellingen bedreigen. De doelstellingen kunnen wel veranderen, maar dat hoeft niet in het continue proces te gebeuren. Als doelstellingen veranderen moeten de processtappen wel opnieuw worden doorlopen.

Informatie en communicatie; Zonder goede informatie en de communicatie ervan zouden alle beslissingen op verkeerde gronden worden genomen. Alle processtappen zouden op verkeerde informatie worden gebaseerd, waardoor het uiteindelijke resultaat van het proces niet is zoals gewenst. Informatie en communicatie zijn in alle stappen van het proces van belang en vinden dus niet op één plaats in het proces plaats. Ze zijn continu aanwezig. Als de informatie en communicatie niet goed zijn zal het doel van het proces ook niet worden behaald.

13 _{www.vandale.nl}

3.4.2 Processtappen

Kijkend naar de definitie zijn de processtappen de opeenvolgende stappen in het ERM model die er samen voor zorgen dat de risico’s worden gemanaged. De onderstaande stappen vormen samen het proces en worden continu doorlopen;

Identificatie risico’s; dit is de start van het ERM proces. Er wordt gekeken welke risico’s het behalen van de doelstellingen bedreigen.

Risicotoewijzing; In deze stap wordt een waarde toegekend aan de risico’s die in de vorige stap zijn onderscheiden.

Risicoreactie; Aan de hand van de gewenste hoeveelheid risico en de daadwerkelijk toegewezen hoeveelheid risico worden hier gekeken of en welke reactie nodig is.

Beheersingsmaatregelen; beheersingsmaatregelen zijn maatregelen die er voor moeten zorgen dat de risicoreactie die in de vorige stap is bepaald ook daadwerkelijk wordt uitgevoerd.

Monitoring; Dit is de laatste processtap. Hier wordt gekeken of het systeem goed functioneert. Als het systeem niet goed functioneert doordat er bijvoorbeeld veranderingen hebben plaatsgevonden in de omgeving van de organisatie moet het proces opnieuw worden doorlopen, totdat het weer goed functioneert.

3.4.3 Het ERM systeem

Tot nu toe is er steeds gesproken over het ‘ERM model’. Emanuels en de Munnik (2006) schrijven over een ‘ERM systeem’, dit is een proces met een aantal volgordelijke stappen, dat functioneert binnen een kader van randvoorwaarden. Deze definitie geeft de inhoud van COSO ERM met de bovengemaakte splitsing in processtappen en randvoorwaarden exact weer, vandaar dat er vanaf nu zal worden gerefereerd naar het ‘ERM systeem’. Het biedt bovendien duidelijkheid wat betreft de terminologie. Als er wordt gesproken over het ERM proces worden de opeenvolgende stappen bedoeld. Als er wordt gesproken over het ERM systeem wordt het geheel, dus zowel de processtappen als de randvoorwaarden bedoeld. In hoofdstuk vier zal het begrip ‘systeem’ nader worden toegelicht.

In figuur 3.2 wordt het ERM systeem zoals deze eerder beschreven is, schematisch weergegeven.15 Er is gebruik gemaakt van een ononderbroken cirkel om aan te geven dat er sprake is van een continu proces.

15 _{Dit model is afgeleid van het model van Emanuels en de Munnik (2006). Emanuels en de Munnik geven een}

model van een risicomanagement systeem. Het door hun ontworpen model is afgeleid van het COSO ERM model, hierbij maken ze echter geen gebruik van dezelfde benamingen zoals deze in het COSO ERM model worden gebruikt. Omdat ik me hier strikt aan het COSO model wil houden heb ik het model van Emanuels en de Munnik

aangepast tot het model in figuur 3.2. De processtappen en randvoorwaarden zijn rechtstreeks uit het COSO model

De verschillende controle elementen zullen in de hiernavolgende paragrafen afzonderlijk worden besproken. Hiervoor worden in de paragrafen 3.5 tot en met 3.7 de randvoorwaarden van het ERM systeem behandeld en in de paragrafen 3.8 tot en met 3.11 de processtappen van het systeem.

3.5 Randvoorwaarde: Interne Omgeving

De interne omgeving is het geheel waarbinnen de processen van een organisatie moeten functioneren. In deze omgeving zijn cultuur en structuur elementen te onderscheiden. De cultuur bepaald hoe tegen bepaalde onderwerpen wordt aangekeken en hoe men met bepaalde dingen omgaat. De structuur is de opbouw van de organisatie, het kader waarbinnen alle processen moeten draaien. Hieronder valt bijvoorbeeld de verdeling van verantwoordelijkheden.

De interne omgeving is de basis voor alle andere componenten van het risicomanagement systeem. Binnen de interne omgeving worden acht elementen onderscheiden, welke allemaal belangrijk zijn. De mate van het belang van elk individueel onderdeel verschilt echter per organisatie:

3.5.1 Risicomanagement filosofie

Dit is de manier waarop een onderneming omgaat met risico’s. Het management van een onderneming heeft hierbij een voorbeeldfunctie voor de rest van de organisatie. Als het management geen aandacht besteed aan risico’s en door zijn houding laat zien dat de risico’s er eigenlijk niet toe doen, dan bestaat er een grote kans dat de rest van de organisatie deze houding zal overnemen. Het management is een belangrijke factor achter de cultuur die er in een organisatie heerst. Om het ERM systeem te laten werken moet het management het belang van risicomanagement dus inzien en dit uitdragen.

3.5.2 Risicoacceptatiegraad

De risicoacceptatiegraad (hierna RAG genoemd) geeft aan hoeveel risico de onderneming wil accepteren in het bereiken van zijn doelstellingen. Als de daadwerkelijke risico’s zijn bepaald worden deze afgezet tegen de RAG van de onderneming. Aan de hand van de RAG, die ook wordt beïnvloedt door de risicomanagement filosofie, wordt er bepaald of er al dan niet acties moeten worden ondernomen om risico’s in te perken. Er

Identificatie Beoordeling Reactie Beheersing Monitoring Interne omgeving Informatie Doelstellingen Communicatie

moet een RAG in de organisatie aanwezig zijn om te kunnen bepalen of er al dan niet maatregelen moeten worden genomen.

3.5.3 Raad van Commissarissen

De Raad van Commissarissen (hierna RvC genoemd) houdt toezicht op het management van een onderneming. Ze toetst het beleid en de algemene gang van zaken in de onderneming. De RvC is hierdoor van groot belang voor de interne beheersing van een organisatie. Als een RvC niet goed functioneert, hoeft het MT aan niemand verantwoording af te leggen en heeft het MT in feite vrij spel.

Er zijn verschillende factoren die invloed hebben op een goed werkende RvC, in het ERM model worden de onafhankelijk van het management, de ervaring en status van de leden, de mate van betrokkenheid en nauwkeurigheid, de gepastheid van de acties, de graad waarin moeilijke vragen worden gesteld en de interactie met de interne en externe accountants genoemd. Verder moet de RvC uit een passende samenstelling van management-, technische- en andere vaardigheden bestaan en moet de RvC een goede ‘mindset’ hebben. Een harde eis die in het ERM model wordt gesteld is dat de meerderheid van de commissarissen moet bestaan uit onafhankelijke buitenstaanders. Binnen WCD is er geen sprake van een RvC maar van een RvT. Deze raden hebben dezelfde taken en zijn dan ook met elkaar te vergelijken.

3.5.4 Integriteit en ethische waarden

In een organisatie moet een bepaald niveau van integriteit en ethische waarden aanwezig zijn om het risicomanagement systeem te laten werken. De integriteit en ethische waarden in een organisatie bepalen hoe werknemers met bepaalde zaken omgaan, waaronder dus ook risicomanagement. Als het niveau van integriteit en ethische waarden niet voldoende is kan het bijvoorbeeld zo zijn dat werknemers resultaten frauderen of maatregelen niet (goed) uitvoeren. Dit heeft tot gevolg dat het risicomanagement systeem niet goed kan functioneren.

Voor integer en ethisch gedrag is de voorbeeldfunctie van het management erg belangrijk. Het gedrag van het management zie je vaak terug in het gedrag van het personeel. Stel dat het management van een onderneming zijn eigen regels en maatregelen niet naleeft, dan kan er ook in de rest van de organisatie een cultuur ontstaan waarin dat heel normaal is. Werknemers ontwikkelen vaak dezelfde houding over wat goed en fout is als het management. Hierdoor is ethisch en integer gedrag van het management ook een absolute voorwaarde voor ethisch en integer gedrag in de gehele organisatie.

Daarnaast zijn er nog andere factoren die ethisch en integer gedrag in een organisatie kunnen bevorderen. Hieronder vallen bijvoorbeeld het niet creëren van een sterke verleiding om te gaan frauderen. Door resultaatafhankelijke beloningen toe te kennen, te veel nadruk te leggen op resultaten en door onrealistische doelen te stellen ontstaat er voor werknemers een grotere verleiding om te gaan frauderen. Het is belangrijk dit te voorkomen. Verder is het belangrijk dat het duidelijk is voor het personeel wat de gevolgen van het plegen van fraude voor hen zullen zijn. Als de straffen duidelijk zijn, en deze ook daadwerkelijk worden toegepast wordt de kans op onethisch gedrag kleiner.

3.5.5 Human resource standaarden

Human Resource standaarden zijn personeelsstandaarden. Personeelsstandaarden sturen een boodschap naar de werknemers wat betreft de verwachte niveaus van integriteit, ethisch gedrag en competenties. Bij personeelsstandaarden valt onder andere te denken aan het aannemen, de training, evaluatie, advisering en compensatie van het personeel. Personeelsstandaarden kunnen gebruikt worden om werknemers te stimuleren en te motiveren, maar ook om ze in een bepaalde richting te sturen. Het is een middel om de cultuur in een organisatie te beïnvloeden. Zoals eerder al gezegd is er een bepaald niveau van integriteit nodig om een ERM systeem te kunnen implementeren, personeelsstandaarden dragen bij om dit te sturen.

3.5.6 Commitment to competence

Dit zijn de kennis en vaardigheden die in de organisatie nodig zijn om de taken binnen een organisatie te kunnen doen. Om het ERM proces goed te kunnen inrichten moeten er voldoende vaardigheden in de organisatie aanwezig zijn. Er moeten mensen in de organisatie zijn die verstand hebben van risicomanagement en het ERM model, en deze kennis kunnen uitvoeren, of doorgeven aan anderen. Ter vergelijking kan er ook gedacht worden aan een nieuw computersysteem. Stel WCD schaft een nieuw computersysteem aan, maar er is niemand binnen de organisatie die snapt hoe het systeem werkt. Het gevolg is dat er niet met het systeem gewerkt kan worden.

3.5.7 Organisatiestructuur

De organisatiestructuur voorziet in een raamwerk waarbinnen de activiteiten van een organisatie plaatsvinden. Zonder organisatiestructuur is er sprake van een ongeorganiseerde massa, waarbinnen ERM niet kan functioneren. Voor het ERM model is het belangrijk dat de autoriteit en verantwoordelijkheidsgebieden worden benoemd en de juiste rapportagelijnen worden vastgesteld. Welke structuur passend is verschilt per organisatie en hangt af van de grootte en de aard van de activiteiten van de organisatie.

3.5.8 Toewijzing van autoriteit en verantwoordelijkheid

De toewijzing van autoriteit en verantwoordelijkheid is de graad waarin individuen autoriteit hebben en aangemoedigd worden eigen initiatieven te gebruiken om problemen aan te stippen en op te lossen. Hierbij horen ook beperkingen aan bevoegdheden. Deze randvoorwaarde valt deels samen met de structuur van de organisatie. De verdeling van autoriteit en verantwoordelijkheden zijn eigenlijk onderdelen van de structuur van de organisatie, en dus het kader waarbinnen het ERM systeem moet worden geïmplementeerd. Het is belangrijk dat het duidelijk is binnen een organisatie wie waar verantwoordelijk voor is. De werknemers moeten ook weten hoe hun werkzaamheden relateren aan die van andere werknemers in de organisatie en aan het realiseren van de doelstellingen.

3.6 Randvoorwaarde: Doelstellingen

De volgende randvoorwaarde van het ERM systeem zijn geformuleerde doelstellingen voor de organisatie. Er moeten doelstellingen in de organisatie aanwezig zijn om te kunnen starten met het ERM proces, de doelstellingen vormen namelijk het uitgangspunt voor het proces. De doelstellingen moeten specifiek,

begrijpelijk en meetbaar zijn, waardoor achteraf kan worden vastgesteld of de doelstellingen al dan niet gehaald zijn. Daarnaast moeten de doelstellingen bekend zijn bij díé werknemers die invloed kunnen uitoefenen op het bereiken van de doelstellingen.

Er kunnen verschillende soorten doelstellingen in een organisatie worden onderscheiden;

- Strategische doelstellingen; Globale doelen, afgestemd op en ondersteunt de missie van de organisatie. - Operationele doelstellingen; Doeltreffendheid en efficiëntie van de operationele werkzaamheden. - Rapportage doelstellingen; Betrouwbaarheid en volledigheid van financiële verslaggeving. - Toezicht doelstellingen; Naleving van relevante wet- en regelgeving.

3.7 Randvoorwaarde: Informatie en communicatie

3.7.1 Informatie

Voor een goede werking van het ERM proces is het belangrijk dat er op alle organisatieniveaus sprake is van een goede en betrouwbare informatie. Alle stappen in het ERM proces worden gebaseerd op informatie. Als er geen goede en betrouwbare informatie is worden alle beslissingen gebaseerd op verkeerde gronden. De kwaliteit van informatie is goed als de informatie de juiste mate van detail heeft en tijdig, recent, correct en toegankelijk is voor degene die de informatie nodig heeft. Voor het ERM proces is het van belang dat er zowel actuele als historische informatie wordt verzameld. Historische informatie om eventuele trends te ontdekken en de toekomst te voorspellen. Actuele informatie om te bepalen of de organisatie binnen het gewenste risico blijft en om de huidige risico’s vast te stellen. Omdat informatie zo belangrijk is, moet de informatievoorziening goed worden beheerst.

3.7.2 Communicatie

Ook communicatie is een randvoorwaarde van ERM. Zonder een goede communicatie van de informatie, bereikt de informatie niet de juiste plaats en kunnen taken alsnog niet worden uitgevoerd. Communicatie vindt echter ook plaats op een bredere manier, namelijk de communicatie van verwachtingen en verantwoordelijkheden.

Intern moeten werknemers weten wat de regels en procedures zijn die er binnen het bedrijf gelden, maar ook welke gedragsstandaarden er heersen. Verder moet het personeel weten wat er van hun verwacht wordt en wat voor invloed hun werk heeft op het werk van anderen. Om een goede communicatie te bewerkstelligen is het noodzakelijk dat er goede communicatie kanalen bestaan. Een medewerker moet de mogelijkheid hebben om belangrijke informatie tijdig aan de juiste mensen over te brengen. Daarnaast moet een werknemer weten en geloven dat superieuren problemen ook echt willen horen en er effectief mee zullen omgaan. Hierdoor zullen werknemers zich niet geremd voelen om slechte informatie over te brengen. Meestal zijn de normale communicatiekanalen hiervoor wel voldoende, maar ERM vereist een alternatief kanaal, zodat informatiestromen in ieder geval niet worden geblokkeerd.