Risico governance

De raad van bestuur is eindverantwoordelijk voor het risicomanagement binnen de onderneming en stelt de risicobereidheid vast. Daarbij kent iedere medewerker van Heijmans zijn rol in het managen en/of mitigeren van de risico’s waaraan de onderneming onderhevig is. Het risicobeheersings- en interne controleproces van Heijmans is essentieel voor het bedrijfsmodel en wordt op drie niveaus in de organisatie geïmplementeerd:

  • De eerste lijn vormt de operatie die verantwoordelijk is voor de uitvoering en naleving van afgesproken procedures en het managen van de bijbehorende risico’s in zowel de bedrijfsvoering als specifieke projectrisico’s. Daarbij wordt de volgende gradatie onderkend:

    • het beheersen van risico's op projectniveau vanaf de ontwikkeling, het ontwerp en de bouw van het project tot de voltooiing en het onderhoud; primaire verantwoordelijkheid project- en/of lijnmanagement.

    • het beheersen van de bedrijfsrisico’s van de portefeuille van projecten en verkoop-, algemene en administratieve kosten op het niveau van de bedrijfsstroom; primaire verantwoordelijkheid bedrijfsstroomdirectie.

    • het beheer van de portefeuille van projecten over de bedrijfsstromen heen en bedrijfsrisico's op groepsniveau; primaire verantwoordelijkheid raad van bestuur.

  • De tweede lijn wordt gevormd door onder andere Risk Office, Legal en Compliance, en analyseert en toetst het risicoprofiel inhoudelijk, ontwikkelt en verbetert beheersmaatregelen, codificeert geleerde lessen en zorgt dat deze in de eerste lijn worden geïmplementeerd.

  • De derde lijn (Internal Audit) ziet middels een auditprogramma toe op correcte naleving en effectiviteit van de beheersmaatregelen en rapporteert hierover periodiek aan de raad van bestuur, Groepsraad en de risk- en auditcommissie.

De raad van bestuur rapporteert aan de risk- en auditcommissie over de risicobeheersingsprocessen. De risk- en auditcommissie en de raad van bestuur krijgen onafhankelijke informatie over risicobeheersings-activiteiten van zowel de CRO (inhoudelijke rapportage over het risicoprofiel van Heijmans) als internal audit (rapportage over de risico gestuurde procestoetsen). De risk- en auditcommissie beoordeelt, ter advisering en voorbereiding van de besluitvorming van de raad van commissarissen, de kwaliteit van verslaggeving en effectiviteit van de interne risicobeheersing en controlesystemen van Heijmans. De risk- en auditcommissie rapporteert haar observaties en bevindingen aan de voltallige raad van commissarissen.

Dit gestructureerde proces stelt Heijmans in staat om op een beheerste manier risico's te nemen. Constante monitoring van de externe omgeving en de operationele en financiële resultaten is inherent aan onze manier van werken.

Risk Office

Voor het onderdeel risicomanagement in de tweede lijn is er een Chief Risk Officer en een Risk Office. De doelstelling van het Risk Office is het risicomanagement en een risicobewuste cultuur in alle geledingen en over de volle breedte van de organisatie duurzaam op een hoger plan te brengen. Daarnaast vormt de CRO met het Risk Office een (inhoudelijk) tweede paar ogen op de project-, portfolio- en bedrijfsrisico’s. De CRO en het Risk Office zijn onafhankelijk, waarbij de CRO rechtstreeks rapporteert aan de raad van bestuur. De Risk Officers komen vanuit de verschillende businessonderdelen van Heijmans en vormen daarmee een mix van ervaren specialisten en young potentials met veelal projectinhoudelijke kennis en ervaring. Na een periode binnen het Risk Office stroomt een specialist terug naar de business en wordt hij/zij opgevolgd door een nieuwe ervaren specialist vanuit die business. Voor Heijmans maakt een werkzame periode als Risk Officer een belangrijk onderdeel uit van opvolgingsplanning en leidersschapsontwikkeling.

Activiteiten van het Risk Office worden regelmatig geëvalueerd en eventueel bijgesteld. Daarnaast worden er Heijmans-breed in de procesoverleggen onderdelen behandeld en aangepast waarmee zowel het risicobewustzijn als risicomanagement wordt verbeterd. Hierin worden zaken als afweegmodel, tenderboard presentatie, gebruik van ondersteunende tools, aanpassing van gebruike formats etc. behandeld en verbeterd.

Risk Officers zijn betrokken bij het categoriseren van projecten voor prekwalificatie en projectselectie. Zij geven een onafhankelijk oordeel over het risicoprofiel van alle projectrisicocategorie 3 tenders en de grotere meer risicovolle projectrisicocategorie 2 tenders. Ze worden ingezet op zowel het inhoudelijk vormgeven van het tweedelijns risicomanagement als het inhoudelijk uitvoeren van onafhankelijke risk reviews van tenders en projecten in realisatie. Daarbij vindt een toetsing plaats op effectiviteit van onze belangrijkste bedrijfsprocessen. In de CRO-rapportage wordt door de CRO per kwartaal een update gegeven over de ontwikkeling van het Heijmans bedrijfsrisicoprofiel.

Internal audit

Heijmans heeft een internal auditteam met als primaire taak het initiëren en realiseren van voldoende risicogestuurde procesaudits, inclusief een duidelijke terugkoppeling naar het desbetreffende management en opvolging van acties.

In 2022 zijn, conform het auditplan, norm- en risicoaudits uitgevoerd. Daarnaast zijn met regelmaat conformiteitsaudits uitgevoerd om te borgen dat het niveau van goed lopende processen gehandhaafd blijft. De belangrijkste bevindingen uit de audits worden eens per kwartaal gedeeld met de raad van bestuur, de groepsraad en de risk- en auditcommissie van de raad van commissarissen. Daar waar de audits aanleiding geven tot verbetering zijn deze vastgelegd in verbeterregisters. Middels deze verbeterregisters wordt de opvolging van de verbeteracties gemonitord. In 2022 kwamen onder andere thematische audits met impact op een (financieel) succesvol project aan de orde, zoals Invoering van ProjectID op de bouwplaatsen (herhaling), voorspelbaarheid projectresultaten, waardering Kansen & Risico’s (herhaling), Inkoopproces, proces onderhoudscontracten en Algemene Verordening Gegevensbescherming (AVG). Eind 2022 is de inrichting afgerond van een tool waarmee het gehele proces van audits en afwijkingen tot en met opvolging van de acties beter wordt ondersteund.

In overleg met de raad van bestuur en de raad van commissarissen is voor het komende jaar weer een aantal focusgebieden voor het auditprogramma aangewezen. De focus van het auditprogramma zal in 2023 komen te liggen op het handhaven van reeds bestaande processen (conformiteit), voorspelbaarheid, naleving Algemene Verordening Gegevensbescherming en de borging en implementatie van de benoemde verbeteracties.

Externe accountant

Door de externe accountant EY wordt een accountantscontrole op de jaarcijfers uitgevoerd. De bevindingen uit de managementletter worden naast de bevindingen van Internal Audit gelegd en meegenomen in het verbeterregister. De accountant krijgt tevens de beschikking over de Chief Risk Office- en auditrapportage en is aanwezig bij de bespreking daarvan in de raad van commissarissen.

Externe certificeringsaudits

Heijmans heeft kwaliteit en veiligheid hoog in het vaandel staan. De bijbehorende certificeringen worden hiervoor regelmatig onderworpen aan gestructureerde audits door externe instanties. De bevindingen, eventuele afwijkingen en aanbevelingen worden meegenomen in de kwartaalrapportages van Internal Audit. In 2022 is Infra opnieuw door Kiwa gecertificeerd voor de Veiligheidsladder trede 4, waarbij de positie is versterkt van een score 84% naar 87%. Bij de overige bedrijfsonderdelen zijn de voorbereidende audits succesvol doorlopen om in 2023 ook op het niveau van trede 4 te kunnen komen.

Raad van bestuur en de risk- en auditcommissie

Per kwartaal wordt door Risk Office en Internal Audit een rapportage opgesteld die wordt besproken met de raad van bestuur, de groepsraad en de risk- en auditcommissie. In deze overleggen ligt de focus op eigenaarschap en opvolging van mitigerende maatregelen en verbeteracties.

Deel dit verhaal