Corporaties zijn kapitaalintensieve bedrijven met een miljoenenomzet. De kwaliteit van de interne beheersing vraagt meer aandacht dan ooit tevoren. Waar moet de RvC scherp op zijn?
(Auteur: Johan Schudde, directeur Financiën bij Stichting Staedion en commissaris bij Woonpartners Midden Holland en De Goede Woning)
Het krachtenveld waar de woningcorporatie in opereert, is complex en de (maatschappelijke) opgave is groot. De inrichting van de interne beheersing en externe controle in de sector is in de afgelopen jaren aanzienlijk aangescherpt. Het gezamenlijk beoordelingskader van de Aw en het WSW, in 2019 geïntroduceerd, speelt hierin een belangrijke rol. Goed bestuur en toezicht, werken volgens de wet- en regelgeving, risicomanagement en de interne beheersing van de organisatie, alles moet op orde zijn.
In dit hoofdstuk staan we stil bij de interne beheersing (‘het control raamwerk’) van de corporatie: is de organisatie goed ingericht om de strategische doelen van de corporatie te kunnen realiseren? Voldoet de organisatie daarbij aan alle wet- en regelgeving en wordt fraude voorkomen?
De raad van commissarissen (RvC) is verantwoordelijk voor het toezicht op de raad van bestuur (RvB), inclusief het toezicht op de interne beheersing. De RvB is verantwoordelijk voor het voorkomen en ontdekken van fraude én het naleven van de wet- en regelgeving. De RvC houdt daar toezicht op. De organisatie moet de interne beheersing op orde hebben, ook dat is de verantwoordelijkheid van het bestuur.
De RvC houdt niet alleen toezicht op de corporatie, maar heeft ook een klankbordrol. De RvC adviseert en reflecteert met het bestuur en schetst aanvullende perspectieven. Wat speelt er buiten de organisatie en welke risico’s hebben mogelijk impact op de organisatie?
Kleinere woningcorporaties doen vaker een groter beroep op de specifieke deskundigheid van de RvC leden, als sparringpartner. Met name de leden van de auditcommissie (AC) sparren vaker met de RvB en management over de kwaliteit van de inrichting van de interne beheersing bij de corporatie.
Elke corporatie heeft een control raamwerk om de interne beheersing op orde te hebben. Het control raamwerk is gericht op:
Voor de inrichting van het control raamwerk hanteren corporaties vaak het COSO model. Dit model onderscheidt vier risicocategorieën:
Het model volgt per categorie de volgende stappen:
Andere belangrijke pijlers van het control raamwerk zijn onder meer: strategievorming, organisatie inrichting/besturingsmodel, cultuur, risicomanagement, compliance, processen en systemen. Dit geheel vormt de interne beheersing in de corporatie.
Corporaties werken met de zogenaamde ‘drie verdedigingslinies’ om risico’s zoveel mogelijk uit te sluiten. Dit principe houdt in dat de interne beheersmaatregelen zoveel mogelijk ‘in de lijn’ worden geborgd:
De eerste verdedigingslinie bestaat uit het management, onder leiding van een afdelingsdirecteur/-manager. Het management is primair verantwoordelijk voor de uitvoering van de activiteiten, resultaten en effectiviteit van de control in relatie tot de geïdentificeerde risico’s. Het management legt hier jaarlijks verantwoording over af aan de RvB. Op haar beurt legt de RvB verantwoording af aan de RvC over de werking van het control raamwerk.
De tweede verdedigingslinie bestaat uit risicomanagement en diverse staf (control) functies. Deze functies hebben een adviserende en ondersteunende taak bij de interne beheersing. Het gaat hierbij onder andere om het regisseren en borgen (van de implementatie) van risicomanagement (waaronder compliance) in de organisatie.
De derde verdedigingslinie bestaat uit onafhankelijk onderzoek, uitgevoerd door de Interne Audit Dienst (IAD) of onafhankelijk controller en fungeert als ‘extra slot op de deur’. De IAD of de onafhankelijke controller geeft een onafhankelijk oordeel over de opzet en werking van het control raamwerk. Hij beoordeelt de betrouwbaarheid en effectiviteit van de beheersing van risico’s die van invloed zijn op de realisatie van de doelstellingen van de corporatie. De controle door de externe accountant maakt ook deel uit van de derde verdedigingslinie.
De RvC maakt geen onderdeel uit van de derde verdedigingslinie, maar maakt gebruik van de verstrekte informatie uit de derde verdedigingslinie om goed toezicht te kunnen houden.
Processen bij een woningcorporatie zijn vaak hetzelfde. Om risico’s zoveel mogelijk te voorkomen, vragen sommige processen in het control raamwerk om meer aandacht. Het gaat om maatwerk per corporatie, maar de IAD en de accountant bestempelen enkele processen als meer risicovol en kernpunten van controle. In het onderstaande schema zijn deze aangegeven:
Nr. |
Proces |
Extra aandacht vanuit toezichtsperpectief |
1 |
Risicomanagement |
+ |
2 |
Automatisering |
+ |
3 |
Fiscaliteiten |
+ |
4 |
Verbindingen & deelnemingen |
+ |
5 |
Fraude risicoanalyse |
+ |
6 |
Administratie & verslaglegging |
|
7 |
Waardering vastgoed |
+ |
8 |
Vermogens & liquiditeitenbeheer (treasury) |
+ |
9 |
Kosten & betalingen (incl. inkoop) |
+ |
10 |
Huurincasso & overige debiteuren |
|
11 |
Personeel |
|
12 |
Kas |
|
13 |
Investeringen (niet zijnde vastgoedprojecten) |
|
14 |
Investeringen (zijnde vastgoedprojecten) |
+ |
15 |
Huren & vergoedingen |
|
16 |
Overige opbrengsten |
|
17 |
Verkopen |
|
18 |
Onderhoud |
|
19 |
VvE’s |
|
Met name het fiscaal beleid en waardering van het vastgoed (marktwaarde en beleidswaarde) vragen om een gedegen analyse en een zorgvuldige beoordeling door de RvC.
De RvC moet extra aandacht hebben voor alle bovengenoemde risicovolle processen. Wie zijn er betrokken bij het proces? Is een extern deskundige ingeschakeld, zo nee, waarom niet? Is er sprake van (wijzigingen in) schattingen/aannames en/of wet- en regelgeving? De informatievoorziening vanuit de organisatie is voor de RvC cruciaal om de interne beheersing van belangrijke processen zoals fiscaliteit en marktwaardering te kunnen beoordelen. Aarzel niet om waar nodig te vragen om nadere onderbouwing en (scenario-)analyses.
Volgens de Woningwet moeten de corporaties sinds 1 januari 2019 een Reglement Financieel Beleid en Beheer (Reglement) hebben dat de Aw heeft goedgekeurd. In dit Reglement staat hoe de corporatie de interne beheersing heeft vormgegeven. Ook staat onder meer beschreven hoe de corporatie de betrokkenheid van intern toezicht heeft georganiseerd.
In het Besluit Toegelaten instellingen Volkshuisvesting (BTiV) en de Regeling Toegelaten instellingen Volkshuisvesting 2015 zijn nadere eisen gesteld aan dit Reglement. Volgens BTiV artikel 105 moet de control-functie in een afzonderlijke organisatie-eenheid opgenomen worden (bij corporaties met meer dan 2500 vhe). BTiV artikel 105 stelt ook eisen aan de RvC over financieel beleid en beheer. De RvC moet voldoende kennis hebben.
Aedes heeft destijds in samenwerking met de VTW een model-reglement Financieel Beleid en Beheer opgesteld dat nagenoeg alle woningcorporaties hebben overgenomen.
https://www.aedes.nl/artikelen/financi-n/financi-n-n/instrumenten/handreikingen-reglement-financieel-beleid-en-beheer-gepubliceerd.html
Het management is verantwoordelijk voor de kwaliteit (lees: betrouwbaarheid) van de processen binnen de corporatie en zijn de zogenaamde ‘proceseigenaren’. Elke proceseigenaar voert diverse beheersmaatregelen uit om de betrouwbaarheid van zijn proces te bewaken. Het management krijgt van de tweede verdedigingslinie (advies over de te hanteren) kaders en richtlijnen en kan deze linie gebruiken voor sparring en advies. De IAD stelt vast of het systeem van interne controle in voldoende mate heeft gefunctioneerd. De IAD stemt de bevindingen af met het betrokken management en rapporteert aan de RvB / de RvC.
De IAD stemt vooraf (de planning van) en achteraf (de resultaten van) zijn werkzaamheden af met de RvC. In de vergaderingen van de auditcommissie zijn het intern controleplan en de controlerapporten van de IAD nadrukkelijk onderwerp van gesprek. De uitgevoerde controlewerkzaamheden van de IAD zijn ook input voor de externe accountant bij het bepalen van de controle aanpak van zijn jaarrekeningcontrole. Dit auditplan stemt de accountant vervolgens - voordat de controle start - ook weer af met de RvC (zie hoofdstuk 11 in deze handreiking over De accountant).
De RvB is verantwoordelijk voor zowel de resultaten van de organisatie als de risico’s die voortvloeien uit de organisatieactiviteiten, de interne beheersing. De RvC houdt hier toezicht op. Deze verantwoordelijkheid kan de RvC alleen dragen als iedereen in de organisatie zich hiervoor inzet. Managementstijl en het goede voorbeeld van leidinggevenden en RvB /RvC (“tone at the top”) is essentieel. De visie van de RvB / de RvC op de rol van interne beheersing, risicomanagement en de organisatiecultuur beïnvloedt het gedrag van medewerkers.
De RvC moet hier aandacht voor vragen. Worden medewerkers gestimuleerd om kansen voor verbetering van processen en potentiële risico’s voor de interne beheersing te signaleren? Welke verbale en non-verbale signalen geven bestuurder, controller en de externe toezichthouders af?
Ga als AC/RvC minimaal 1 x per jaar, zoals de Woningwet verplicht, hierover in gesprek met de controller en de manager/directeur financiën. Zet alle in- en uitgaande correspondentie met de externe toezichthouders ter bespreking op de RvC-agenda.
Bij kleinere woningcorporaties is toepassing van een zuivere vorm van de drie verdedigingslinies niet mogelijk, omdat een officiële IAD (3e lijn) ontbreekt. Dit leidt vaak tot overlap tussen de diverse rollen. Op het gebied van interne controle spelen dan zowel de 1e als 2e lijn een actieve rol. Uitvoering van de interne controle vindt plaats door management én de controller. De controller fungeert in de 2e lijn en zal op onderdelen ook onafhankelijke controles uitvoeren die raakvlak hebben met de 3e lijn. Uiteindelijk geeft ook hier de externe accountant als onafhankelijke externe partij zijn totaal oordeel over het functioneren van de organisatie door middel van de interim- en jaarrekeningcontrole.
Voor de RvC is het van belang om te beoordelen of ‘het geheel’ van de maatregelen van interne beheersing klopt bij de corporatie. Klopt de samenhang tussen de drie verschillende verdedigingslinies op papier én in de praktijk: in het bijzonder de samenhang tussen de 2e en de 3e linie. De positionering, focus en taakafbakening moet op elkaar afgestemd zijn (wie is verantwoordelijk voor procesverbetering, informatievoorziening en compliance?).
Ga als RvC ook in gesprek met de accountant. De accountant rapporteert jaarlijkse over de kwaliteit van de interne beheersing in zijn managementletter. Niet alle commissarissen kunnen volgen wat de accountant meldt in zijn rapportages vol vakjargon. Door de omvang van de rapportage gaat de kern van de boodschap soms verloren. Vraag uitleg waar nodig. Alleen dan krijg je als RvC voldoende inzicht om de juiste afwegingen te kunnen maken.
Voor het oordeel over de kwaliteit van de interne beheersing kan de RvC gebruik maken van diverse interne en externe documenten:
De enorme toename van wet- en regelgeving die in afgelopen jaren op de sector is afgekomen, inclusief de toenemende kosten, is velen een doorn in het oog. Verschillende onderzoeken, zoals die van de VTW en Aedes, bevestigen dat de accountantskosten fors zijn toegenomen. (Zie nieuws: https://www.vtw.nl/nieuwsbrief/92/artikel/6330 ) Ook de kosten voor specialisten als taxateurs en fiscalisten zijn significant hoger dan in de periode vóór de Woningwet. Minder controle van de extern toezichthouder, zoals de sector wil, vraagt echter van corporaties dat zij de interne beheersing op orde hebben.