Risicomanagement
7.1 Waarom risicomanagement?
Risico’s willen we goed in beeld hebben, zodat we waar nodig maatregelen kunnen treffen om de invloed ervan te beperken. Daarom hechten we aan integraal risicomanagement. Het is belangrijk om risico’s te identificeren die de realisatie van de doelstellingen van Dudok Wonen impactvol kunnen bedreigen.
7.2 Drie verdedigingslinies
Het risicomanagement bij Dudok Wonen is ingericht volgens het ‘Three Lines Model’. Het bestuur van Dudok Wonen is verantwoordelijk voor een goede risicobeheersing. De raad van commissarissen houdt hier toezicht op.
- De ‘first line’ bestaat uit de risico-eigenaren. Het lijnmanagement heeft de rol van risico-eigenaar. De risico-eigenaren zijn verantwoordelijk voor hun eigen processen, het identificeren van de risico’s en het definiëren van de maatregelen die getroffen moeten worden. De risico-eigenaren zetten maatregelen in als dat kan en/of nodig is. Ook doen ze zelftoetsen om te controleren of de beheersmaatregelen effectief zijn.
- De ‘second line’ is de functie die de eerste lijn ondersteunt, adviseert en coördineert. Ook bewaakt zij of de eerste lijn zijn verantwoordelijkheid neemt. De controllers en de business analist hebben de rol van tweede lijn. De tweede lijn identificeert, analyseert en bewaakt ook de risico’s die voortkomen uit de bedrijfsvoering en investeringsprojecten. Ook beoordeelt de tweede lijn de kwaliteit van de zelftoetsing van de beheersmaatregelen door de eerste lijn. Doel daarvan is te borgen dat het proces van zelftoetsing naar behoren werkt.
- De ‘third line’ is verantwoordelijk voor het opzetten en bewaken van de integrale risicomanagement-aanpak. De organisatiecontroller heeft de rol van derde lijn. Deze lijn controleert of het samenspel tussen de eerste en tweede lijn soepel functioneert. Daarnaast coördineert de derde lijn de jaarlijkse risicosessie en de overall-analyse tot het bewaken van de beheersing van de belangrijkste risico’s. Ook de onafhankelijke audit op de werking van het risicomanagementsysteem en processen valt onder de verantwoordelijkheid van de derde lijn.
7.3 Risicobeheersing
Wij zijn een woningcorporatie. En dus staat het realiseren van onze maatschappelijke opgave binnen de volkshuisvesting voorop. De financiële continuïteit van onze organisatie geldt daarbij als randvoorwaarde. Hierbij past een zorgvuldige houding als het gaat om risico’s. De omgeving waarin wij opereren is veranderlijk, complex, onzeker en op onderdelen beperkt beheersbaar. Dit vraagt om risicobewustzijn, weerstandsvermogen en veerkracht.
Integraal risicomanagement zien we als hulpmiddel om risico’s te beheersen, waardoor we meer zekerheid krijgen dat we onze maatschappelijke opgaven kunnen halen en de continuïteit van de organisatie waarborgen. Het risicomanagementproces vormt dan ook een integraal onderdeel van de bedrijfsvoering.
7.4 Risicobereidheid
Risicobereidheid gaat om de mate waarin wij bereid zijn risico’s aan te gaan en/of te willen tolereren om onze doelstellingen te bereiken. Het aangaan van risico’s is een actieve benadering, risico’s tolereren noemen we passief. Op dit moment zit de risicobereidheid van Dudok Wonen tussen ‘gematigd defensief’ en ‘neutraal’ in.
- We hebben een lage risicobereidheid als het gaat om onze financiële continuïteit en de wettelijke normen voor de toegelaten instelling (compliance) en de governance die daarbij horen. We hebben speciale aandacht voor de Woningwet, de AVG en de eisen en verwachtingen op het gebied van integriteit/fraude.
- Neutraal is onze risicobereidheid als het gaat om ons streven naar effectieve en efficiënte bedrijfsvoering gericht op het realiseren van onze doelstellingen. Dit vraagt om het monitoren en aantoonbaar beheersen van de belangrijkste risico’s.
- Meer risico willen we nemen bij de strategische doelen als er een hoog maatschappelijk rendement te realiseren is. Daarbij streven wij naar een gezonde balans tussen kansen benutten en risico’s nemen.
7.5 Risicocultuur en gedrag
Risicomanagement en -beheersing bestaat niet alleen uit processen en procedures. Het heeft ook te maken met cultuur en gedrag van onze medewerkers binnen Dudok Wonen. Dat laatste noemen we ook wel ‘soft controls’. Ieder levert een bijdrage vanuit de eigen rol. Het bestuur en het management dragen daaraan bij door voorbeeldgedrag en eigenaarschap voor het beoordelen van risico’s en het nemen van adequate maatregelen.
risico’s beheersen door procedures, maar óók door cultuur en gedrag
7.6 Strategische risicoanalyse 2025
Elk jaar brengen we de strategische risico’s in kaart die de doelstellingen van Dudok Wonen mogelijk negatief beïnvloeden. De risico’s bekijken we vanuit de doelstellingen die volgen uit het strategisch koersplan en binnen de context van in- en externe ontwikkelingen.
| Risico-categorie | Risico's | Risiconiveau | |||
|---|---|---|---|---|---|
| Laag | Midden | Hoog | |||
| Strategische risico's | 1 | Woningen zijn niet betaalbaar voor de doelgroep | |||
| 2 | Stijgende bouwkosten | ||||
| 3 | Vertraging door wettelijke procedures | ||||
| 4 | Onvoldoende bouwlocaties | ||||
| 5 | De vastgoedportefeuille sluit niet aan bij de doelgroepen | ||||
| 6 | Verkopen overstijgen nieuwbouwtoevoegingen | ||||
| 7 | Onvoldoende datakwaliteit | ||||
| 8 | Het niet (tijdig) realiseren van de duurzaamheidsopgave | ||||
| 9 | Woningen voldoen niet aan basiskwaliteit | ||||
| 10 | Woningen niet bestand tegen klimaatveranderingen | ||||
| 11 | Onverwachte grootschalige renovaties/sanering | ||||
| 12 | Meer kwetsbare bewoners | ||||
| 13 | Informatiebeveiliging/cybercriminaliteit | ||||
| 14 | Onvoldoende passend medewerkersbestand | ||||
| 15 | Dienstverlening aan huurders is onvoldoende | ||||
| 16 | Toekomstige kasstromen zijn onvoldoende om bestaande voorraad in stand te houden. Dit is het gevolg van stapeling externe risico's (regulering huur, stijgende bouw- en rentekosten, duurzaamheidsopgaven etc ) | ||||
7.7 Niet-beïnvloedbare risico's
Factoren als politieke besluitvorming, inflatie, de renteontwikkeling enzovoort zijn externe risico’s waar we geen of weinig invloed op hebben. Op deze risico’s anticiperen we in de meerjarenbegroting met scenarioanalyses. Ook sturen we voortdurend op de meerjarenbegroting. Hierbij rekenen we het effect van deze risico’s door zodra ze zich voordoen. Daarnaast houden we in ons bedrijfsmodel rekening met voldoende risicobuffer om dergelijke risico’s op te kunnen vangen.
7.8 Beïnvloedbare risico's
Om onze organisatie te versterken stelden we het actieplan Huis op Orde op. Dit plan bevatte maatregelen voor betere interne beheersing, informatiebeveiliging, datakwaliteit en het versneld aanpakken van woningen met een slecht energielabel. Eind 2025 waren vrijwel alle acties uitgevoerd.
Risicomanagement is dan een continu proces. Zo voerden we in 2025 ook regelmatig risicodialogen over de ontwikkeling en beheersing van risico’s. Uit deze gesprekken kwam onder meer het plan naar voren om in 2026 over te gaan op een nieuw ERP-systeem. Dit is een softwaresysteem dat de kernbedrijfsprocessen stroomlijnt binnen één centrale database.
Tactische en operationele risico’s
Naast de strategische risico’s inventariseren we per afdeling de risico’s die het bereiken van de afdelingsdoelstellingen mogelijk in de weg staan. Ook maken we de kritische risico’s in onze bedrijfsprocessen inzichtelijk. Voor onze operationele processen betekent dit dat wij de key risico’s (belangrijkste risico’s) in kaart hebben gebracht. We hebben key controls opgesteld om deze risico’s te beheersen: interne beheersingsmaatregelen die risico's tot een acceptabel niveau terugbrengen.
Frauderisicobeheersing
Ook brengen we elk jaar de belangrijkste frauderisico’s voor de doelstellingen van Dudok Wonen in kaart. Voor 2025 zijn dat deze risico’s:
| Risico-categorie | Risiconiveau | ||||
|---|---|---|---|---|---|
| Risico's | Laag | Midden | Hoog | ||
| Fraude risico's | 1 | Aanbestedings- en/of inkoopfraude | |||
| 2 | Het leveren van fictieve diensten en/of te veel betalen voor verrichte diensten | ||||
| 3 | Cybercrime/informatiebeveiliging | ||||
| 4 | Betalingen aan niet bestaande crediteuren en/of debiteuren | ||||
| 5 | Bewust onjuist/onrechtmatig toekennen van woningen (sleutelgelden) en/of onrechtmatige bewoning (woonfraude) | ||||
| 6 | Integriteit en belangenverstrengeling | ||||
| 7 | Verslaggevingsfraude | ||||
Opdrachtgeverschap
Als opdrachtgever onderkennen we een aantal frauderisco’s die kunnen plaatsvinden na het sluiten van contracten en het samenwerken met derden. Bij grote investeringen doen we er alles aan om deze risico’s te voorkomen door ons investeringsstatuut, de investeringskaders en het aanbestedingsbeleid te volgen. Ook vindt hierbij een beoordeling plaats door onze (onafhankelijke) controller.
In 2025 hebben we ons inkoopbeleid herzien. Dat deden we omdat uit interne analyse naar voren kwam dat meer grip op de prijs-prestatielevering noodzakelijk is. Hiervoor zijn verbeteracties in gang gezet.