Risicomanagement

Algemeen

Lefier werkt continu aan het identificeren, beheersen en monitoren van risico’s. Hiermee willen we onze maatschappelijke doelstellingen realiseren binnen een duidelijke en verantwoorde risicobereidheid.

 We vinden het belangrijk om zicht te hebben op risico’s, de maatregelen die we treffen om risico’s zoveel mogelijk te beheersen, inclusief de restrisico’s die overblijven. We hebben op dit gebied veel baat bij het ‘Risicomanagementsysteem’. In het ‘Risicomanagementbeleid’ beschrijven we hoe we ons risicomanagement hebben opgebouwd en ingericht, op basis van onze doelen en onze eigen risicocultuur. Het geeft ons meer inzicht in de belangrijkste situaties, die de doelstellingen van de organisatie mogelijk negatief kunnen beïnvloeden. In dit hoofdstuk beschrijven we de uitgangspunten en basisprincipes van risicomanagement bij Lefier. Met daarna de voornaamste risico’s op strategisch en op operationeel niveau.

6.1 Risicobeheersingskader

Risicomanagement bij Lefier kent de volgende basisprincipes:

  • Het ‘Three Lines model’, waarbij de eerste lijn (management) zowel verantwoordelijk is voor het managen van kansen als risico’s binnen de gestelde risicobereidheid zodat we onze doelstellingen kunnen behalen;

  • De risicomanagementcyclus, waarbij vanuit de doelstellingen van Lefier risico’s worden geïdentificeerd, beheersmaatregelen worden genomen en we de risicobereidheid en maatregelen monitoren en rapporteren;

  • Een procesgerichte benadering met betrekking tot de operationele risico’s, waarbij we kijken naar de risico’s binnen een proces en de beheersmaatregelen in onderlinge samenhang vaststellen en bewaken.

6.2 Integraal risicomanagement

Lefier streeft bij het vaststellen van haar doelstellingen naar een gezond evenwicht tussen het realiseren van (maatschappelijke) prestaties en het beheersen van risico’s. Ieder jaar brengen we de strategische risico’s rondom de geformuleerde doelstellingen in kaart. De kans op risico’s en de mogelijke impact van de verschillende risico’s die we identificeren, geven we weer op een ‘Strategische risicokaart’.

6.3 Risicobereidheid

Op basis van de gesignaleerde risico’s heeft Lefier haar risicobereidheid geformuleerd. Deze risicobereidheid geeft aan wat de aard en de omvang van de risico’s is, die we bereid zijn aan te gaan tijdens het bereiken van onze bedrijfsdoelstellingen. Deze risicobereidheid is ook weer zowel kwantitatief van aard als kwalitatief. Namelijk vaak uit te drukken in financiële termen als solvabiliteit, liquiditeit of maximaal operationeel verlies, maar het kan ook gaan om bijvoorbeeld reputatierisico’s en maatschappelijke prestaties.

Risico’s die momenteel buiten onze risicobereidheid vallen, worden actief opgevolgd.Tijdelijke acceptatie is mogelijk, maar alleen met gerichte verbeteracties en tijdshorizon.

6.4 Strategische risico's

Het bestuur en de directieleden evalueren jaarlijks de strategische risico’s in een gezamenlijk assessment. Hierbij herijken we de strategische risico’s. Als het nodig is, wijzigen we ze of vullen we ze aan. Ieder jaar beoordelen we de risico’s op de kans dat een risico zich voordoet én als het zich voordoet, wat dan de impact zal zijn voor Lefier. De mogelijke impact bepalen we niet alleen kwantitatief (directe kosten) maar ook kwalitatief. Dat wil zeggen: niet direct meetbaar, maar uitgedrukt in reputatieschade, niet meer voldoen aan de normen van de toezichthouder of het niet realiseren van onze strategische doelen en ambities.

Naast de risico's die van invloed zijn op het realiseren van onze strategische doelen, zien we ook een aantal risico's waar we zelf minder invloed op hebben. Dat soort risico's zijn lastig om te beheersen. We proberen ze in kaart te brengen met behulp van ‘scenario analyses’ en ‘fall back scenario's’. Lefier heeft drie belangrijke ’horizon risico’s benoemd:

• Corporatiesector kent geen duurzaam bedrijfsmodel, als gevolg van ontwikkelingen in de sector wordt het verdienmodel van corporaties beïnvloed.

• Onvoldoende tijdig kunnen reageren op onverwachte ontwikkelingen. Het risico dat Lefier onvoldoende robuust en wendbaar is of dat te veel druk bij de leiding van Lefier komt te liggen.

• Politieke onvoorspelbaarheid waardoor Lefier onvoldoende koersvast kan blijven. We volgen de politieke ontwikkelingen maar de impact kan groot zijn zowel positief als negatief. Een voorbeeld hiervan is de aangekondigde huurbevriezing. We hebben verschillende scenario’s uitgewerkt in het jaarplan 2026. Met voldoende bijstuurmogelijkheden kunnen we meer risico nemen om onze maatschappelijke opgave te realiseren.

Een aantal risico’s vallen nog buiten onze risicobereidheid. Dat blijkt uit onze strategische risico-inventarisatie en de analyse van de beheersing van deze risico’s. In de afgelopen periode hebben we aan deze risicogebieden aandacht besteed. Lefier heeft gewerkt aan een betere beheersing van de strategische risico’s. We hebben ook te maken met externe factoren die van invloed zijn op onze risico’s. Die ontwikkelingen volgen we onder andere door onze jaarlijkse Omgevingsanalyse. Zo bepalen we hoe we hierop kunnen anticiperen, als we dat willen. Aan het begin van elk kalenderjaar kijken we weer vooruit: zijn onze strategische risico’s nog actueel genoeg? Of zijn er misschien risico’s die minder strategisch blijken te zijn? Een en ander zal uiteindelijk moeten resulteren in het herijken van onze Strategische risicokaart.

Belangrijke aandachtspunten vanuit onze strategische risicoanalyse en de maatregelen die we nemen om ze te beheersen:

Risico: Onvoldoende groei woningportefeuille, het risico dat Lefier niet binnen de eigen nomen kan bouwen. Lefier kan minder projecten (nieuwbouw) realiseren. Beheersing: Vanuit de jaarlijkse herijking van de portefeuillestrategie kijken we naar de wensportefeuille en haalbaarheid van plannen en de aantallen nieuwbouw en verduurzamingsprojecten in de pijplijn. Vanaf 2027 wordt een piek verwacht in de nieuwbouw. Vertraging is een risico, hierin zit veel afhankelijkheid van externe factoren, zoals netcongestie, hoge welstandseisen (gemeente Groningen) en vergunningen.

Risico: We laten ons beperken door systemen(leveranciers) en procedures. Werkprocessen zijn onvoldoende gebruiksvriendelijk of niet beschreven. Mogelijk lopen we risico’s op het gebied van ICT (cyberrisico’s) waardoor we onvoldoende in staat zijn onze dienstverlening adequaat uit te voeren, we kunnen afspraken met huurders niet nakomen, mogelijk ontevreden huurders. Beheersing: Vanuit de strategie datagedreven werken geven we invulling aan twee prioriteiten: data governance en datakwaliteit. Recent is de digitaliseringstrategie vastgesteld waarin de digitaliseringsstrategie verder is uitgewerkt. Het beheer en de beveiliging van systemen optimaliseren we continu.

Risico: Niet in staat de juiste medewerkers aan te trekken, te behouden of te ontwikkelen. Beheersing: We werken aan onze strategische personeelsplanning en voeren LEF gesprekken. De uitdaging ligt in het boeien en binden we medewerkers aan Lefier en het behouden van een goede mix tussen nieuwe collega's en behoud van kennis. Op bepaalde functies moeten we moeite doen om deze ingevuld te krijgen.

Risico: We voelen onvoldoende gezamenlijke Lefier verantwoordelijkheid waardoor we onvoldoende vanuit de processen werken waardoor we inefficiënt en niet effectief uitvoering geven aan de opgave. Beheersing: We hebben aandacht voor integraliteit en samenwerking. Procesmanagement wordt verder ingebed vanuit het project ‘De basis op orde 2.0’, de invulling van de rol van proceseigenaar en ook databeheer is hier onderdeel van.

 Risico: Onze woningen niet voldoen aan de basiskwaliteit.Verdere implementatie van basis- en streefkwaliteit is onderwerp in de prioritering van de plannen voor 2026.

Daarnaast loopt het project voor de optimalisatie van de MJOB, waar wordt gekeken welke onderdelen van het interieur worden meegenomen in het planmatig onderhoud. 2026 is het jaar van het onderhoud waarbij optimalisatie plaatsvindt over wat we planmatig doen en wat we bij mutatie uitvoeren. Implementatie van asbest- en brandveiligheidsbeleid loopt, waarbij onder andere aandacht is voor scootmobielstallingen en handhaving.

Risico: Een toenemende maatschappelijke verruwing, het onvermogen conflicten collectief op te lossen, toenemende agressie en serieuze bedreigingen (o.a. sociale media), verlies aan vertrouwen in de gevestigde orde (waar corporaties onderdeel van zijn) en discriminatie van bevolkingsgroepen. Vereenzaming en verloedering. Beheersing: We willen doorstroombeleid ontwikkelen en beoordelen hoe we nog meer gebruik kunnen maken in de monitoring van de overlast en schoon, heel en veilig meldingen. Het huurbeleid biedt ruimte om te kunnen differentiëren in woningtype en huurprijsklassen. De doelstellingen op het gebied van huurprijsklassen zijn herijkt op basis van recent uitgevoerd woningmarktonderzoek. Er is aandacht voor het borgen van de veiligheid voor onze medewerkers en externen.

Risico: Veranderingen in klimaat en extreme(re) weersomstandigheden. Door wateroverlast kunnen tuinen, kelders, bergingen of woningen onderlopen met water. Door droogte kunnen problemen met funderingen ontstaan. Bodemdaling kan een oorzaak van problemen zijn. Bij extreme, langdurige hitte kan de warmte lang in de woning blijven hangen en kan de huurder last krijgen van hittestress. Beheersing: Vanuit de duurzaamheidsvisie ligt de korte termijn focus op het versneld verduurzamen van onze woningen. We werken samen met andere partijen om kennis te delen en ervaring op te doen. Er worden kennissessies georganiseerd voor medewerkers. We brengen de risico’s in kaart voor het bezit van Lefier. En nemen maatregelen waar dit het meest noodzakelijk is.

6.5 Operationele risico's

Operationeel risicomanagement gaat over het dagelijkse beheer van risico’s in onze primaire en ondersteunende processen en in projecten. Het management van de verschillende bedrijfsonderdelen is verantwoordelijk voor het tijdig signaleren van deze risico’s, het inrichten van passende maatregelen en de periodieke rapportage op basis van risico gerelateerde indicatoren.

Uit de recente inventarisatie blijkt dat een aantal operationele risico’s nog buiten onze risicobereidheid valt. De uitgangspunten van beleid zijn duidelijk, net als de beschrijving en opzet van onze processen. De verbetering zit vooral in het vergroten van het effect van de maatregelen die zijn geformuleerd, vooral op onderdelen waar we nu nog buiten de risicobereidheid acteren.

Het risicomanagementproces op operationeel niveau wordt verder ontwikkeld om te groeien in risicovolwassenheid en om de rol van proceseigenaren te versterken. In de afgelopen periode is gewerkt aan systemen, processen en rollen. De operationele risico’s zijn verder uitgewerkt in het risicomodel en worden periodiek besproken met management, directie en bestuur. We zien dat er meer aandacht en sturing is om verbeteringen in de interne beheersing te realiseren, ook al duurt de uitvoering soms langer dan eerst gedacht. De positieve ontwikkeling is zichtbaar in het dagelijks onderhoud, ICT en informatievoorziening, privacy en informatiebeveiliging en planning en control.

6.6 Frauderisico's

Management en directie hebben de verantwoordelijkheid risicobeleid uit te dragen en risicoanalyses uit te voeren. Het hoort bij de managementtaken. Vast onderdeel van risicoanalyse is het in beeld brengen van mogelijke risico’s op fraude of integriteitsschendingen. Medewerkers van Lefier kunnen bij een vermoeden van fraude of een integriteitsprobleem in de Gedragswijzer van Lefier lezen bij wie ze in zo’n geval terecht kunnen met hun melding. Het risico op fraude en de maatregelen om dat risico te beperken staan ook regelmatig op de agenda van overleg tussen management, directie, bestuurder en RvC. 

De belangrijke frauderisico's, samengevat:

• Inkopen/onderhoud/nieuwbouw: willekeurige leveranciers kiezen, geen objectieve beoordeling, onrechtmatig een opdracht verstrekken, niet (conform afspraak) geleverde prestaties, ontvreemden van materiaal voor eigen verbruik;
• Aan- en verkopen: Ongeautoriseerde vastgoedtransacties, onvolledige verkoopopbrengsten, risicovolle aankopen vastgoed;
• Verhuur en incasso: onterechte toewijzing woning, huurprijs niet juist, onjuiste leegstand, afboekingen en uitbetalingen huurders.
• Facilitair: beheer van bedrijfsmiddelen;
• Personeel: uitbetaling salaris en declaraties, nevenfuncties;
• Financiële administratie: onjuiste of onvolledige informatie, fraude in de verslaggeving, onjuiste of onterechte betaling;
• Treasury: afsluiten van transacties;
• Informatiebeveiliging en ICT: beheer van bedrijfsmiddelen, beveiliging van informatie, ongeautoriseerde toegang. 

Om de risico's te beheersen, hebben we diverse maatregelen genomen. Zoals functiescheiding, het ‘vier ogen’ principe en interne controles. Onderdeel van het auditprogramma van Lefier is onder andere toetsing op het gebied van autorisaties, functiescheiding en cultuur en gedrag. Als we iets vinden wat niet klopt, verbinden we daar verbeteracties en aanbevelingen aan. Uit de audits en interne controles die in 2025 zijn uitgevoerd, zijn geen aanwijzingen van fraude naar voren gekomen.

​6.7 Ontwikkelingen wet- en regelgeving

Wet- en regelgeving wordt binnen Lefier geborgd vanuit beleid en is belegd bij de uitvoering (proceseigenaar) in de eerste lijn. Lefier heeft een compliance team dat bestaat uit een brede vertegenwoordiging uit de organisatie. Het compliance team heeft periodiek afstemming met de MT’s over actualiteiten en lopende acties op het gebied van compliance. Relevante onderwerpen worden gevolgd en waar nodig wordt hierop actie ondernomen. Het compliance team rapporteert periodiek over de voortgang ten aanzien van de ontwikkelingen en implementatie van nieuwe wet- en regelgeving.