Professioneel Riskmanagement bij Woningcorporaties Bittere Noodzaak!

Het nieuwe risicobeoordelingsmodel van het WSW als opmaat voor een verdere professionalisering van het riskmanagement

De kredietcrisis heeft er de afgelopen jaren voor gezorgd dat banken, verzekeringsmaatschappijen, pensioenfondsen, en vermogensbeheerders door hun toezichthouders (DNB, AFM) strenger worden gereguleerd. Zij zullen zich meer richten op de belangen van hun klanten, waarbij een hogere professionaliteit en transparantie worden geëist. Een kernelement om dit te realiseren is een onafhankelijk en hoogwaardig riskmanagement. Ook de corporatiesector wordt nu met deze ontwikkelingen geconfronteerd, door met name de beoogde herziening van de Woningwet (focus, professionaliteit, toezicht, transparantie) en het nieuwe risicobeoordelingskader van het WSW. Het zijn de gevolgen van onomkeerbare maatschappelijke ontwikkelingen. Daarnaast is de laatste jaren ook de kapitaalmarkt voor corporaties structureel gewijzigd. Deze zaken gaan de mogelijkheden van corporaties sterk beïnvloeden en effect hebben op het (succesvol) functioneren ervan.

Door: Angelique Paulissen, CFA – Partner Montesquieu & Voäs Brouns – Partner Panta Rhei 

De beschikbaarheid van financiering is niet meer zo vanzelfsprekend voor de woningcorporatie. Dit geldt niet alleen voor geborgde leningen maar evenzeer voor niet-geborgde leningen. De beschikbaarheid van financiering is afhankelijk van de financiële positie van de corporatie, nu en in de toekomst. Het WSW noemt dit de Financial Risks. Naast de cijfers wordt het bedrijfsrisicoprofiel van iedere woningcorporatie onder een vergrootglas gelegd. Binnen de corporatie worden de risico´s geanalyseerd om te kunnen beoordelen of de woningcorpora-

tie haar bedrijfsvoering (“Business Risks”) “In Control” heeft. Naast het WSW zal ook iedere bank die een niet-geborgde kredietaanvraag in behandeling neemt op een vergelijkbare wijze de bedrijfsvoering van de woningcorporatie beoordelen. Men wil er immers zeker van zijn dat de woningcorporatie in alle situaties aan haar rente- en aflossingsverplichtingen kan voldoen. De gevraagde informatie zal naar verwachting in belangrijke mate al bij de corporaties voorhanden zijn. Elementaire aandachtspunten hierbij zijn:

  • Is de informatie altijd up-to-date en consistent?
  • Is een onafhankelijk professioneel riskmanagement ingericht en komen rapportages op onafhankelijke wijze tot stand?
  • Zijn de rapportages inzichtelijk en wordt er goed en tijdig gerapporteerd?
  • Worden de risico’s inherent aan deze informatie adequaat in beeld gebracht?

Voor het inrichten van de processen en de beoordeling van de financiële informatie alsmede de voortgang omtrent de implementatie van de geaccordeerde strategie, laten management en toezichthouders, met name ook binnen de vastgoedsector, zich ondersteunen door een professionele risk manager, die risico inventariseert, voorstellen doet voor beheersing en de implementatie daarvan monitort.

WSW risico beoordelingsmodel

Zo vraagt het risicobeoordelingskader van het WSW om een aanpak die verder gaat dan alleen het verstrekken van informatie door de woningcorporatie. Als “hoeder van de borg” ziet het WSW objectief riskmanagement als haar kerntaak. De doelstelling van haar riskmanagementstrategie is zowel de risico’s van het borgstelsel als geheel, als bij de individuele corporaties te beheersen. De individuele corporatie zal het WSW ervan moeten overtuigen dat er sprake is van een gestructureerde wijze van risico-identificatie en gepaste beheersing van de risico’s.

Met de nieuwe werkwijze en het risicobeoordelingskader streeft het WSW ernaar dat de individuele corporaties inzicht krijgen in hun eigen risico’s. Het is haar maatschappelijke doelstelling om het riskmanagement in de gehele corporatiesector verder te professionaliseren. Het moet natuurlijk ook een toegevoegde waarde hebben voor de betreffende corporatie. Enerzijds heeft een goed risicobeheersingskader een

directe invloed op de financieringsmogelijkheden en dus op de volkshuisvestelijke mogelijkheden van de corporatie. Anderzijds ondersteunt een dergelijk kader het bestuur en het interne toezicht bij de daadwerkelijke beheersing van de risico’s. Naar aanleiding van de ervaringen in de commerciële sector, zijn in die sector nieuwe professionele structuren ontwikkeld die goed kunnen worden ingezet bij een corporatie.

In deze publicatie richten wij ons vooral op wat dit voor de individuele corporatie betekent. De twee pijlers uit het risicobeoordelings-kader van het WSW worden op een transparante wijze toegelicht. De berekening en normering voor de Financials en Business Risks zijn vastgelegd. Met de 24 vragen en de toelichting op deze vragen geeft het WSW de corporaties voorts een duidelijke handleiding over hoe de woningcorporaties de vragen moeten interpreteren. Het is niet alleen zo dat een van de 24 vragen specifiek over de positionering gaat van de riskmanage-mentfunctie binnen de organisatie (zie figuur 1). Ook alle andere vragen worden qua rating positief beïnvloedt door een goed en onafhankelijk functionerend risk-management.

De rode draad door de beoordelingssystematiek is steeds de meting in welke mate een corporatie haar risico’s op strategisch-, tactisch-, en operationeel niveau “in control” heeft en de gehanteerde methodiek juist, betrouwbaar, en consistent in elkaar zit. Dit wordt voornamelijk getoetst in het onderdeel van de Business Risk.

Het WSW kijkt hier naar elementen als het strategisch vastgoedbeleid, het systeem van sturen en beheersen van risico’s door corporatie en specifiek de financiering. Kortom het WSW moet ervan overtuigd zijn dat de corporatie “in control” is. Door de interne processen van de organisatie te toetsen op governance, financiële sturing c.q. beheersing, en strategische vastgoedportefeuille geeft zij hier invulling aan. Daarnaast is het belangrijk in welke mate de corporatie kan reageren op externe ontwikkelingen.

Alles wordt getoetst op basis van de voorhanden strategie, meerjarenraming, portefeuille, financieringen, processen, en track record.

Figuur 1: Business Risk: vraag 23
Business Risk vraag 23

Risicomanagement binnen de corporatie

Ervaring leert dat iedere corporatie op delen hiermee bezig is. Vaak echter als onderdeel van andere functies. Een onafhankelijke riskmanagement functie is voor veel corporaties dan ook nog nieuw. Deze functie zou aandacht moeten hebben voor het integrale overzicht en de samenhang van alle processen op strategisch, tactisch, en operationeel niveau . Zo wordt de risicobereidheid in het nastreven van de volkshuisvestelijke doestelling van de corporatie op strategisch niveau bepaald. Vervolgens dient het hele riskmanagement degelijk en deugdelijk verankerd te zijn in onder meer de planning & control cyclus. Dit betekent concreet dat riskma-nagement ex ante adviseert over de risico’s met betrekking tot de strategie, het jaarplan, en specifieke (des)investeringen / financieringen met bijbehorende beheersmaatregelen. De monitoring van de realisatie en relevante ontwikkelingen worden gerapporteerd per kwartaal. Hier zit met name de interactie tussen strategie, tactiek, en operations. Dit moet het management en het interne toezicht in staat stellen risico’s ex ante te identificeren en te beheersen maar ook deze risico’s ex post te monitoren. Dit in tegenstelling tot de pure ex post audits/visitaties. Op deze wijze worden ook de door het WSW nagestreefde “three lines of defense” (management, riskmanagement, interne en externe audit) ingevuld.

Een uniform referentiekader voor risicomanagement is de COSO/ERMF (enterprise riskmanagement framework) methodiek. Dit is een driedimensionaal kader dat de verschillende elementen van een intern beheersingssysteem beschrijft en definieert. Bovendien benadert het kader integraal de relatie tussen doelstellingen van de organisatie, haar beheersings-componenten en de entiteiten/eenheden waarvoor de beheersingsmaatregelen nodig zijn. De controlecomponenten van een organisatie worden in het kader als volgt gedefinieerd:

de realisatie en relevante ontwikkelingen worden gerapporteerd per kwartaal. Hier zit met name de interactie tussen strategie, tactiek, en operations. Dit moet het management en het interne toezicht in staat stellen risico’s ex ante te identificeren en te beheersen maar ook deze risico’s ex post te monitoren. Dit in tegenstelling tot de pure ex post audits/visitaties. Op deze wijze worden ook de door het WSW nagestreefde “three lines of defense” (management, riskmana-gement, interne en externe audit) ingevuld. Een uniform referentiekader voor risicomanagement is de COSO/ERMF (enterprise riskmanagement framework) methodiek. Dit is een driedimensionaal kader dat de verschillende elementen van een intern beheersingssysteem beschrijft en definieert. Bovendien benadert het kader integraal de relatie tussen doelstellingen van de organisatie, haar beheersings-componenten en de entiteiten/eenheden waarvoor de beheersingsmaatregelen nodig zijn. De controlecomponenten van een organisatie worden in het kader als volgt gedefinieerd:

  • Interne integriteit en compliance
  • Objectieve formulering strategie
  • Analyse interne en extern omgeving
  • Risico analyse (Risk Assessment)
  • Risico tolerantie (Risk tolerance)
  • Control maatregelen
  • Informatie en communicatie
  • Monitoring

Het doel van een ERMF is het maximaliseren van de waarde van de woningcorporatie. Waarde wordt gemaximaliseerd als het management volkshuisvestelijke doelstellingen formuleert en doelen stelt om een optimale balans tussen groei, resultaat en gerelateerde risico’s te realiseren en daarbij op een effectieve en efficiënte wijze middelen inzet om de volkshuisvestelijke doelstellingen te realiseren.

Een van de belangrijkste tools om de risico’s expliciet en beheersbaar te maken is een voor elke organisatie specifiek opgestelde riskmatrix. Hierin worden de risico’s benoemd en wordt helder gemaakt wat een acceptabel niveau is. Verder wordt beschreven hoe ze worden gemonitord en wat de mogelijke bijsturingsmaatregelen zijn. Figuur 2 bevat een voorbeeld van een riskmatrix.

Inrichten van de riskmanagementfunctie

De woningcorporatie kan ervoor kiezen de riskmanagementfunctie intern of extern te organiseren. Op het moment dat men ervoor kiest de functie intern te organiseren, betekent dit dat deze functionaris een diepgaande expertise moet hebben van alle aspecten die hierbij een rol spelen. Van vastgoed tot financiering & derivaten tot aan organisatorische en fiscaal juridische elementen. Figuur 2 bevat een voorbeeld van de mogelijke risico hoofdcategorieën waar een interne functionaris diepgaande kennis van moet hebben om zijn rol naar behoren te kunnen uitvoeren.

Figuur 2: Risk Matrix

Risk matrix

Een ander belangrijk element is dat een interne functionaris volledig onafhankelijk zijn werk moet kunnen doen. Daarnaast moet deze functionaris ook de wereld buiten zijn/haar eigen corporatie overzien. Wij hebben gezien dat zich heel wat onvoorziene risico’s hebben gemanifesteerd de afgelopen jaren. Neem alleen bijvoorbeeld het derivaten-dossier. Een externe riskmanagement functie kan hiervoor een oplossing bieden. In de commerciële sector (pensioenfondsen, vastgoedfondsen) wordt steeds meer voor externe ondersteuning in riskmanagement gekozen. Corporaties kunnen bijvoorbeeld een directielid aanwijzen die verantwoordelijk is, maar die bepaalde onderdelen van het risicomanagement uitbesteed. Externe (ondersteuning bij) risico- management heeft de volgende voordelen:

  • continuïteit,
  • onafhankelijkheid,
  • professionaliteit op diverse aspecten,
  • up-to-standard in een snel ontwikkelend vakgebied,
  • kosten,
  • ingroei mogelijkheid;

Om een snelle implementatie te realiseren (ook van belang voor de WSW beoordeling) kan ook gekozen worden voor een externe implementatie/opstart van de risk management functie die na een periode van bijvoorbeeld drie jaar wordt geinsourced. De combinatie Montesquieu/Panta Rhei heeft hiervoor een gestructureerde aanpak ontwikkeld specifiek voor de corporatie gebaseerd op de ervaringen in de commerciële sector.