Lieuwe Koopmans

De IAF van Staedion bestaat sinds 2013. De directie wilde meer zicht krijgen op de risicobeheersing, stelt Brigitte de Vries register operations auditor (RO) en vooralsnog de enige auditor bij Staedion. "Ook was de organisatie op zoek naar verbetermogelijkheden voor de interne beheersing. Met de aanwezigheid van concerncontrollers en een procesadviseur waren hiervoor wel bouwstenen aanwezig, maar met de komst van een IAF kwam er meer structuur."

De Vries benadrukt dat de IAF niet is ingegeven door de schandalen die de sector de laatste jaren teisterden op het terrein van derivaten, grote commerciële projecten en excessieve beloningen. "De schandalen zijn geen afspiegeling van de hele sector. Indirect hebben we overigens welde gevolgen ondervonden van deze sectorontwikkelingen. Bijvoorbeeld bij het opvangen van de Vestia-verliezen."

Gedrag

De Vries ziet de uitwassen rond de derivaten meer als een gedrags- dan een controlaspect. "Als de top van een corporatie het niet zo nauw neemt, dan sijpelt dit door naar andere medewerkers, beheersingsmaatregelen of niet. Je kunt gedrag wel meenemen in je auditwerk. Mijn eerste auditproject bij mijn aantreden in 2013 was bijvoorbeeld het doorlichten van de governance van Staedion. Zijn er voldoende checks & balances in de organisatie? Dus worden niet alleen voldoende interne controles uitgevoerd maar is er ook sprake van transparante besluitvorming en is sprake van evenwicht in de besturing en besluitvorming."

Politiek

De speerpunten van de IAF van Staedion zijn ook afkomstig uit de politieke context waarbinnen corporaties opereren. Een actueel heet hangijzer is bijvoorbeeld de vraag of de corporatie de door de wet bepaalde kerntaken uitvoert, aldus De Vries. "Corporaties moeten zich vooral op sociale woningbouw richten en investeringen in leefbaarheid moeten zich beperken tot de directe omgeving van deze sociale huurwoningen. Daarnaast zijn er tal van wettelijke eisen waaraan we moeten voldoen en hebben we, soms samen met de gemeente, maatschappelijke doelstellingen. Bij dit laatste kun je denken aan het 'thuisgevoel' dat we willen bieden aan de bewoners. In mijn audits let ik er op of Staedion zich aan deze zaken houdt. Blijven we binnen ons 'grensgebied'?"

Effectief

Aan de hand van de audits kijkt De Vries of de corporatie voldoende efficiënt is en de uitgevoerde acties en besteedde middelen echt effectief zijn geweest. "Daarnaast beoordeel ik of de organisatie de aanwezige risico's voldoende beheerst. Soms gaat het dan om hele basale zaken zoals een goed factureringsproces."

Verder komen volgens De Vries risico’s naar voren bij de zogeheten 'vastgoedsturing'. Vastgoedsturing gaat om het beheer van de vastgoedportefeuille en de benutting van de woningen, bijvoorbeeld of het aanbod aansluit bij de vraag, of er voldoende nieuwbouw is en of er voldoende rendement wordt gemaakt. "Ik kijk of er voldoende risicobeheersende procedures zijn. Is er bijvoorbeeld een deugdelijke meerjarenbegroting en verlopen onderhouds- en nieuwbouwprojecten volgens planning."

Gaming

De aanpak die De Vries bij een aantal van haar audits kiest, is niet onopgemerkt gebleven, getuige de Internal Audit Innovation Award die zij in 2014 kreeg toegekend. De aanpak gaat uit van het zogeheten serious gaming, waarbij medewerkers in simulaties moeten opereren. De Vries: "Ik breng een aantal werkprocessen in een spelsituatie in combinatie met een aantal onverwachte, maar niet onwaarschijnlijke, elementen. Een voorbeeld van zo’n element is bijvoorbeeld dat de doelstelling voor arbeidsmigranten niet dreigt te worden gehaald terwijl in overleg met de gemeente is toegezegd hiervoor honderd woningen extra beschikbaar te stellen en geschikt te maken voor verhuring aan deze doelgroep. Je creëert met de simulatie een soort snelkookpan waarin medewerkers onder druk moeten werken."

Als auditor zet De Vries vervolgens het instrument van observatie in. "Uit onderzoek blijkt dat mensen in een spelsituatie veel bloot geven van hun intrinsieke gedrag. Je kunt dan met een simulatie zien of mensen zich ondanks toegenomen druk toch aan de procedures houden en of ze met anderen blijven samenwerken."

Bewust

De medewerkers van Staedion accepteren deze manier van auditen. De Vries: "Ze zijn er zich van bewust dat situaties in het spel zich inderdaad zo zouden kunnen voordoen in de praktijk. Het element van de arbeidsmigranten is nu, in de vorm van opvang van vluchtelingen, bijvoorbeeld zeer actueel. Ze snappen dat een dergelijke gebeurtenis in de werkelijkheid goed moet verlopen en ze vinden het dan ook goed dat ze tijdens het spel al een keer in deze situatie zijn gebracht."

De Vries merkt dat medewerkers op een goede manier reflecteren op de simulaties. "Ze hebben hun eigen proces en gedrag ervaren en ervaren de knelpunten die daarin verweven zitten. Ik zie bijvoorbeeld dat medewerkers zich realiseren dat ze elkaar moeten opzoeken in de organisatie en dat ze ook daadwerkelijk naar andere afdelingen toegaan voor andere zienswijzen."

Lef

Een relevante vraag is of ook andere bedrijfstakken met de werkwijze van Staedion uit de voeten zouden kunnen. De Vries denkt van wel. "Voor elke onderneming of organisatie geldt dat je processen kunt simuleren en daar bijzondere elementen aan kunt toevoegen." Wel zijn er volgens haar een aantal voorwaarden die er voor zorgen dat een organisatie snel resultaat kan boeken. "Zorg ervoor dat je de simulatie klein houdt, dat de gebeurtenissen reëel zijn en dat deze voldoende zijn uitgewerkt in de simulatie. Tot slot vraagt het van het management van het organisatieonderdeel voldoende lef om een audit op deze manier vorm te geven!"