fbpx

Zichtbaar ‘in controle’

De maatschappelijke taak van de woningcorporaties is te zorgen voor huisvesting in een leefbare buurt tegen een betaalbare huurprijs. Dit doen zij voor mensen met een relatief gering inkomen en voor kwetsbare groepen. Maar aan de andere kant worden er eisen gesteld aan woningcorporaties o.a. vanuit de Woningwet. Diverse belanghouders leggen op, dat de woningcorporatie aan bepaalde eisen moet voldoen. Zoals een strategisch (jaar)plan met gekwantificeerde doelen, prestatiedoelstellingen met gemeentes, financiële kengetallen voor de externe toezichthouders, naleven van de governancecode, etc. Iedere woningcorporatie werkt eraan om te laten zien, dat aan deze eisen wordt voldaan. Maar hoe weet je nu dat de woningcorporatie dit beheerst en daadwerkelijk ‘in control’ is?

13 min lezen
zichtbaar_in_controle

In Control Statement
Actueel is de ontwikkeling bij woningcorporaties van het zogenoemde “In Control Statement”. Sommige corporaties gebruiken deze al in de jaarverslaggeving, terwijl andere hier over nadenken en de bedrijfsvoering daarop afstemmen. Naast de interne behoefte om duidelijk ‘in control’ te zijn, wordt dit door externe factoren afgedwongen. Op grond van verwachte wetgeving in 2019 worden de grotere woningcorporaties (volgens de huidige verwachting met een groter aantal verhuureenheden dan 5.000) een Organisatie van Openbaar Belang. Dit vraagt, naast een (nog) intensievere accountantscontrole, onder andere om de verantwoording in de jaarstukken middels een In Control Statement (ICS) door de bestuurder. De kern van een ICS is het afleggen van verantwoording over de werking van de beheersingsmaatregelen die gericht zijn op het wegnemen of reduceren van de gevolgen van risico’s die zich bij de realisatie van de doelstellingen voordoen.

Wat is ervoor nodig om als corporatie het “In control zijn” te laten zien?

Risicomanagement
‘In Control’ zijn betekent in de eerste plaats dat de organisatie haar risico’s kent, de wenselijke risicobeheersingsmaatregelen genomen heeft en de werking daarvan periodiek vaststelt. Een woningcorporatie zal hiervoor een duidelijk systeem moeten hebben. De rapportages van de risicobeheersingsgesprekken zullen, voorzien van de opmerkingen van de controller, vervolgens door de bestuurder periodiek aan de interne toezichthouders worden afgegeven. De interne toezichthouders zijn de leden van de Raad van Commissarissen (RvC) en waar aanwezig de leden van de Auditcommissie. Aan de orde is of de belangrijkste risico’s voor de organisatie in voldoende mate worden beheerst. Of een risico belangrijk is, zal in een interne afweging beredeneerd moeten zijn. In deze overwegingen kan het begrip “key controls” een rol spelen.

Key controls vaststellen en controleren
Key controls is een actuele term voor de belangrijke beheersingsmaatregelen. Een keycontrol is te omschrijven als een actie die een afdeling neemt om een fout of fraude in het financieel beheer te ontdekken of te voorkomen. Wanneer de key controls niet, incorrect of niet tijdig zijn uitgevoerd, is het risico groot dat de interne beheersing belangrijke gebreken vertoont. Onder belangrijk versta ik, dat er risico's zijn op gemiste opbrengsten, niet geautoriseerde uitgaven, op fraude of het niet voldoen aan wet- en regelgeving.

Iedere manager wil in control zijn en zou daarom de voor zijn of haar afdeling relevante key controls moeten beheersen. Het begint ermee, dat hij deze key controls in overleg met zijn medewerkers bespreekt en benoemt. In dit proces kan de business controller een adviserende rol vervullen. Op deze rol ga ik later verder in.

Vervolgens behoren deze benoemde belangrijke beheersmaatregelen een dominante plaats in de procedurebeschrijvingen van de betreffende afdeling in te nemen. Verder zorgt de manager ervoor, dat deze beheersmaatregelen periodiek op naleving getoetst worden. Dit onderzoek kan plaatsvinden door een medewerker op zijn afdeling die geen rol heeft in de betreffende beheersmaatregelen. Deze medewerker rapporteert aan de manager periodiek over de resultaten van dit onderzoek. Op grond van de bevindingen uit deze onderzoeken neemt de manager met de betreffende medewerkers door, waarom bepaalde maatregelen niet, niet voldoende of niet tijdig zijn nageleefd. Het zou kunnen zijn, dat de betrokken medewerkers niet de juiste activiteiten hebben uitgevoerd door een gebrek aan opleiding en/of uitleg. Het kan ook een gebrek aan tijd of inzet zijn geweest. Wellicht vragen de uitkomsten om een verduidelijking van het nut van een beheersingsmaatregel. Dit zijn achterliggende oorzaken waar de manager op zal willen reageren.

Bedrijfsprocessen aanpassen middels het Deming-principe
Het kan ook zijn, dat het onderkende risico ondertussen op een andere wijze wordt beheerst. Als dit het geval is, zou dit tot een aanpassing in de bedrijfsprocessen moeten leiden. Op deze wijze past de manager met de afdeling het Deming-principe met de PDCA-cirkel toe.

De Plannen-Doen-Controleren-Actualiseren cyclus is het bekendste voorbeeld van continu verbeteren. En wie processen kan beheersen, kan ze ook verbeteren. Wie alleen de processen controleert (voldoet het proces aan de gestelde eisen?) doorloopt de cirkel maar voor driekwart, namelijk tot aan ‘Controleren’. Het proces is gecontroleerd, het voldoet aan de voorwaarden (of niet) en het wordt gerapporteerd aan het management.

Wie aan interne beheersing doet, doorloopt de gehele PDCA-cirkel. Er wordt dan ook daadwerkelijk gehandeld naar aanleiding van de gevonden punten in het controleproces. Processen worden beheerst, er wordt geëvalueerd en geoptimaliseerd.

Of op de afdeling goed werkende controles functioneren, kan worden vastgesteld door een controller. Hij neemt kennis van de bevindingen waarover de afdelingsmanager beschikt, gaat na of de interne onderzoeken op de afdeling juist zijn uitgevoerd en gaat na of de getroffen maatregelen door de afdelingsmanager tot de gewenste resultaten leiden. Hij bespreekt met de manager, waar de interne onderzoeken nog verbeterd kunnen worden.

Is de bestuurder nu in control, wanneer de afdelingen op de hiervoor beschreven wijze aantoonbaar aan het werk zijn? Hiervoor is het nodig om dieper in te gaan op de controlfunctie en de drie verdedigingslinies.

De (onafhankelijke) rol van de controller
De controlefunctie heeft in de nieuwe Woningwet 2015 (verder: NWW) een formele, onafhankelijke rol gekregen. Bij corporaties groter dan 2.500 verhuureenheden is deze rol op basis van de NWW in een afzonderlijke organisatie-eenheid geplaatst (niet vallend onder de manager bedrijfsvoering of manager financiën).

Door deze onafhankelijke rol bepaalt de NWW dat de onafhankelijke controller niet in de lijn (1e of 2e lijn, zie het vervolg) actief mag zijn, om te voorkomen dat de controller zijn “eigen vlees keurt”. Dit in tegenstelling tot vóór invoering van de NWW. Ook in het gezamenlijk beoordelingskader van de Aw/WSW, ingegaan op 1 januari 2019, wordt het belang van de drie verdedigingslinies onderschreven.

Wanneer dit stelsel niet goed werkt in de corporatie, spreekt het beoordelingskader over een verhoogd risico. In de NWW ligt verder vast dat de controller een directe lijn heeft met de RvC en wordt verwacht dat deze de RvC en het bestuur gevraagd en ongevraagd van advies voorziet. Dit betekent dat de controller functioneert als businesspartner, maar soms ook als luis in de pels (“countervailing power”).

Het gedachtegoed van de drie verdedigingslinies (Three lines of defence-model)

In de NWW is opgenomen dat de controller betrokken is bij besluiten met verstrekkende financiële gevolgen en hij aspecten van de interne bedrijfsvoering toetst. In het Reglement Financieel Beleid en Beheer (RFFB) zijn specifieke werkzaamheden benoemd waar de controlfunctie in elk geval bij betrokken dient te zijn (w.o. de effectiviteit en efficiency van de corporatie). Hoewel in de NWW geen exacte inhoud van de functie van deze controller is benoemd, is de rode draad: onafhankelijk in rol en inhoud, deskundigheid met ordening naar het bekende denkmodel “three lines of defence”.

Three lines of defence model - Bron: Financieel-maganement.nl

Hierbij zie je dat in de praktijk – onder andere afhankelijk van de beschikbaarheid van de kwaliteiten van medewerkers -  in de rol verschillende accenten worden gelegd en is de benaming van de rol verschillend. Sommige controllers zijn nog heel breed bezig. Ze helpen en adviseren in de eerste lijn (met o.a. procedures of onderdelen van de begroting of jaarrekening) tot en met de communicatie met de RvC over het risicomanagement en de uitvoering van het controleplan.

Heel belangrijk is dat de rol goed wordt vastgelegd (duidelijkheid), nut en noodzaak naar de hele organisatie). De onafhankelijk controller houdt zich bezig in de breedte met de bewaking van de werking van de interne beheersing (Engels: “in control” zijn), waarbij o.a. interne controlewerkzaamheden (Engels: “audits”) een belangrijk hulpmiddel zijn om vast te stellen dat de interne beheersing adequaat is zodat gekozen doelen worden bereikt op een efficiënte wijze.

De RvC en het bestuur horen niet bij de drie linies, maar worden wel als de eerste belanghebbenden bediend door de linies. Zij zorgen ervoor dat de linies toegerust zijn en hebben  de verantwoordelijkheid om doelstellingen en kaders te bepalen, de strategie en activiteiten uit te zetten en om de (governance-)structuur in te richten teneinde de risico’s te managen tijdens het bereiken van de doelstellingen.

Eerste linie: lijnmanagement

Het lijnmanagement (afdelingsniveau) is verantwoordelijk voor de primaire processen, waaronder het procesmanagement, beheersingsmaatregelen inclusief de controle op de naleving ervan en het dagelijks operationeel beheersen van risico’s. Zij zorgen dat uitgevoerde activiteiten in lijn zijn met de doelstellingen van de organisatie.

Het lijnmanagement is op natuurlijke wijze de eerste linie, onder andere door de controls die zij ingebouwd heeft in de processen en systemen waar zij voor verantwoordelijk is. Iedereen heeft een belangrijke rol bij de beheersing van risico’s, maar de primaire verantwoordelijkheid voor risicomanagement en besturing ligt bij het lijnmanagement.

Tweede linie: financial control en business control

De tweede linie ondersteunt en adviseert de eerste lijn, coördineert waar nodig en bewaakt of die zijn verantwoordelijkheden ook daadwerkelijk neemt. Bepaalde beleidsvoorbereidende taken en het ondersteunen van risico-assessments horen hier thuis.

De tweede lijn opereert nooit volledig onafhankelijk, omdat het management altijd de mogelijkheid heeft te interveniëren. Rollen die hier thuis horen zijn: de risicomanagementfunctie, wet- en regelgeving (compliance) en de controlling-rol gericht op de toetsing van de financiële verslaglegging en toetsing van de interne controles door de eerste lijn.

Onderwerpen die aan bod komen zijn het ondersteunen bij ontwikkeling van nieuwe processen, richtlijnen, de doelstellingen, onderkennen van en melden van bestaande en nieuwe problemen, opstellen van kaders voor risicobeheersing, faciliteren en bewaken van de invoering van risicobeheersing t.b.v. het eerste lijnmanagement.

Derde linie: interne controle en governance

De derde lijn velt een zelfstandig, objectief oordeel over de opzet en de werking van het systeem, met het noemen van mogelijkheden tot verbetering. De derde lijn opereert los van andere organisatieonderdelen. De functie van interne controle (auditfunctie) geeft de RvC en het Bestuur/MT assurance (zekerheid) met de grootst mogelijke onafhankelijkheid. Dit gaat over de organisatiedoelstellingen, effectiviteit en efficiency, goed ondernemingsbestuur, alle elementen van het risicomanagement en het geheel van de beheersingsmaatregelen, inclusief het functioneren van het samenspel tussen de eerste en tweede lijn en de mate waarin deze de doelstellingen van de organisatie behalen. Deze verbeteringen gaan in eerste instantie over wat er beter moet, niet hoe dat moet – dat is de rol van de eerste en tweede lijn. De derde lijn opereert los van andere organisatieonderdelen.

De derde lijn moet kunnen steunen op de werkzaamheden van de tweede lijn. De ondersteuning van het lijnmanagement door de tweede lijn resulteert in verbeterde processen en beheersingsmaatregelen, die de derde lijn gericht evalueert door het uitvoeren van interne controles (audits). De bevindingen en aanbevelingen van de derde lijn zijn weer input voor de eerste en tweede lijn. Hiermee is de Deming-cirkel (plannen, doen, controleren, actualiseren) afgerond.

De praktijk in 2019

In de praktijk van 2019 zien we, dat woningcorporaties onderscheid (willen) maken tussen de “woningwetcontroller” (de onafhankelijke) en eerste/tweede lijns controller (in het kort de business controller genoemd). De business controller functioneert dan in de eerste en/of tweede lijn. De woningwetcontroller bedient uitsluitend de derde lijn en is de adviseur en kritische gesprekspartner voor de bestuurder en de RvC. Denkbaar is, dat de business controller in dienst is bij de woningcorporatie en dat de woningwetcontroller “gedeeld” wordt met enkele andere woningcorporaties.

Bij woningcorporaties met tussen de 5 en 10.000 verhuureenheden zien we nu, dat de corporatie veelal met één controller niet kan voldoen aan alle eisen die aan deze functie worden gesteld. Herkenbaar is dan dat er een splitsing is gemaakt tussen enerzijds de businesscontroller en anderzijds de woningwetcontroller. Dit zijn beide opgeteld geen twee formatieplaatsen. Voor de meeste corporaties van deze omvang zal hier tussen de 1 en 1,5 formatieplaatsen voor nodig zijn. Vanwege de gevraagde ontwikkeling om het in control zijn te laten zien, zullen de meeste werkzaamheden in 2019 en de komende jaren op het terrein van de business controller liggen. Voor de pure taak van de woningwetcontroller is dan een fractie van een formatieplaats noodzakelijk. Hierin komt dan de mogelijkheid om de woningwetcontroller te delen met andere corporaties of deze deeltaak in te huren.

Ook voor de corporaties die op grond van de NWW niet de verplichting een “woningwetcontroller” te hebben speelt de behoefte om In Control te zijn, bijvoorbeeld vanwege vragen door de RvC, de extern accountant of de toezichthouders vanwege het verscherpte gezamenlijk beoordelingskader. Ook deze kleinere woningcorporaties doen er goed aan om de controle-aspecten binnen de afdelingen duidelijk te bewaken (de keycontrols en de daarop gebaseerde interne controlewerkzaamheden binnen de afdelingen).

Voor de derde-lijns-controle ten behoeve van de RvC resteert zeker bij deze categorie een parttime inzet. Vanwege de gevraagde scheiding tussen de eerste/tweede lijn en deze derde lijn is het raadzaam om de waken van de controller te delen met andere woningcorporaties of deze in te huren. Dit versterkt bovendien de kwaliteit en onafhankelijkheid van deze woningwetcontroller.

Is de bestuurder ‘in control’?
Uitgaande van wat nodig is: risicomanagement, bespreken van keycontrols per afdeling, rapportages over de werking van de keycontrols binnen de afdelingen, de advisering door de businesscontroller (tweede verdedigingslinie) en de audits door de woningwetcontroller in de derde verdedigingslinie zal de bestuurder voldoende onderbouwing hebben om vast te stellen of de woningcorporatie ‘in control’ is. Dat geeft duidelijkheid en geeft ook aan de interne en externe toezichthouders aan, dat de organisatie de belangrijkste risico’s beheerst. Hierop kan de bestuurder –desgewenst- een In Controle Statement formuleren.