Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

Intern risicobeheersings- en controlesysteem

De Key heeft de risicobeheersing voor de organisatie als geheel ingericht volgens het three lines of defence-model.

1e lijn: procesmanagement

We werken continu aan de verbetering van onze (kern)processen en procedures. De verantwoordelijkheid voor procesverbetering ligt bij de procesteams in de lijn, zowel voor het oplossen van knelpunten (Lean) als het beheersen van operationele risico’s. Het programma samenbeter@dekey.nl dient als fundering voor de continue procesverbetering. Daarbij is onder andere aandacht voor eigenaarschap en risicobewustzijn binnen de organisatie waaronder ook op de gebieden privacy en informatiebeveiliging.

2e lijn: risicobeheersing en compliance

In 2019 hebben wij de opzet van ons framework voor governance, risk en compliance (GRC) verder uitgewerkt en vertaald naar de organisatie. In 2020 vullen we de fte’s die voor risicomanagement en compliance zijn opgenomen in de formatiebegroting in. Daarbij houden we rekening met de verwachtingen die de status als Organisatie van Openbaar Belang met zich meebrengt voor risicobeheersing en de documentatie van interne beheersmaatregelen.

Op het gebied van risicobeheersing hebben we niet alleen aandacht gehad voor onze strategische risico’s en onzekerheden met een financiële impact (zie volgende paragrafen voor de beschrijving daarvan), we hebben ook een overzicht gemaakt van risico’s die van invloed kunnen zijn op de betrouwbaarheid van de financiële informatievoorziening. De komende jaren borgen wij de belangrijkste interne beheersmaatregelen in de processen.

Hoewel wij de fte voor compliance nog niet hebben ingevuld, houden wij op centraal niveau wel een overzicht bij van relevante wet- en regelgeving specifiek voor de corporatiesector. Voor de Algemene Verordening Gegevensbescherming hebben wij een onafhankelijke beoordeling laten uitvoeren. Op basis van die beoordeling voeren wij verdere verbeteringen door op gebied van dataprivacy.

3e lijn: auditing

De afdeling Audit & Interne Beheersing functioneert als onafhankelijke afdeling direct onder het bestuur. De auditwerkzaamheden volgen uit het CORA-procesmodel dat we in 2019 hebben uitgewerkt naar de audit-universe van De Key. Hiermee bedoelen wij het totaal van periodiek te beoordelen onderwerpen dat de basis vormt voor de meerjarenplanning en dat op een risico-inschatting is gebaseerd. Met een audit wordt opzet, bestaan en werking van de kernprocessen beoordeeld. Een audit kent een operationele focus en is gericht op verbetering.

Vanuit de financiële functie voert de afdeling Planning & Control zogenoemde toetsingen uit. De toetsingen volgen ook het CORA-procesmodel dat we in 2019 hebben uitgewerkt naar het Overzicht Interne Controles. Dat overzicht verschaft inzicht in de belangrijkste processen binnen De Key die van invloed kunnen zijn op de betrouwbaarheid van de financiële informatievoorziening, de risico’s die daarop betrekking hebben en de periodiek uit te voeren toetsingen. Met een toetsing wordt beoordeeld of specifieke interne beheersmaatregelen hebben gewerkt. Een toetsing kent veelal een financiële focus en is gericht op verantwoording.

De Key werkt aan een transitie van de afdeling Audit & Interne Beheersing richting een Interne Auditfunctie. De gewenste Interne Auditfunctie omvat drie medewerkers en zal niet alleen operationele en financiële audits uitvoeren, maar ook de toetsingen en de interne review op de interim- en jaarrekeningdossiers. De Interne Auditfunctie stelt het jaarplan op en rapporteert periodiek over de voortgang en de resultaten daarvan aan de directie en aan de auditcommissie van de raad van commissarissen.

Intern risicobeheersings- en controlesysteem