Risico governance
De raad van bestuur is eindverantwoordelijk voor het risicomanagement binnen de onderneming en stelt de risicobereidheid vast. Daarbij kent iedere medewerker van Heijmans zijn rol in het managen en/of mitigeren van de risico’s waaraan de onderneming onderhevig is. Het risicobeheersings- en interne controleproces van Heijmans is essentieel voor het functioneren van het bedrijfsmodel en wordt op drie niveaus in de organisatie geïmplementeerd:
De eerste lijn vormt de operatie die verantwoordelijk is voor de uitvoering en naleving van afgesproken procedures en het managen van de bijbehorende risico’s in zowel de bedrijfsvoering als specifieke projectrisico’s. Daarbij wordt de volgende gradatie onderkend:
het beheersen van risico's op projectniveau vanaf de ontwikkeling, het ontwerp en de bouw van het project tot de voltooiing en het onderhoud; primaire verantwoordelijkheid project- en/of lijnmanagement.
het beheersen van de bedrijfsrisico’s van de portefeuille van projecten en verkoop-, algemene en administratieve kosten op het niveau van de bedrijfsstroom; primaire verantwoordelijkheid bedrijfsstroomdirectie.
het beheer van de portefeuille van projecten over de bedrijfsstromen heen en bedrijfsrisico's op groepsniveau; primaire verantwoordelijkheid raad van bestuur.
De tweede lijn wordt gevormd door onder andere Risk Office, Juridische Zaken en Compliance, en analyseert en toetst het risicoprofiel inhoudelijk, ontwikkelt en verbetert beheersmaatregelen, codificeert geleerde lessen en zorgt dat deze in de eerste lijn worden geïmplementeerd.
De derde lijn (Internal Audit) ziet middels een auditprogramma toe op correcte naleving en effectiviteit van de beheersmaatregelen en rapporteert hierover periodiek aan de raad van bestuur, groepsraad en de audit- en riskcommissie van de raad van commissarissen.
De raad van bestuur rapporteert aan de audit- en riskcommissie van de raad van commissarissen over de risicobeheersingsprocessen. De audit- en riskcommissie en de raad van bestuur krijgen onafhankelijk informatie over risicobeheersingsactiviteiten van zowel de CRO (inhoudelijke rapportage over het risicoprofiel van Heijmans) als Internal Audit (rapportage over de risicogestuurde procestoetsen). De audit- en riskcommissie beoordeelt, ter advisering en voorbereiding van de besluitvorming van de raad van commissarissen, de kwaliteit van verslaglegging en de effectiviteit van de interne risicobeheersing en controlesystemen van Heijmans. De audit- en riskcommissie rapporteert haar observaties en bevindingen aan de voltallige raad van commissarissen.
Dit gestructureerde proces stelt Heijmans in staat om op een beheerste manier risico's te nemen. Constante monitoring van de externe omgeving en de operationele en financiële resultaten is inherent aan onze manier van werken.
Risk Office
Voor het onderdeel risicomanagement, in de tweede lijn, is er Risk Office onder leiding van een CRO. De doelstelling van het Risk Office is het risicomanagement en een risicobewuste cultuur in alle geledingen over de volle breedte van de organisatie duurzaam op een hoger plan te brengen. Daarnaast vormt de CRO met het Risk Office een (inhoudelijk) tweede paar ogen op de project-, portfolio- en bedrijfsrisico’s. De CRO en het Risk Office zijn onafhankelijk van de bedrijfsstromen, waarbij de CRO rechtstreeks rapporteert aan de raad van bestuur. De Risk Officers komen vanuit de verschillende businessonderdelen van Heijmans en vormen daarmee een mix van ervaren specialisten en management potentials met veelal projectinhoudelijke kennis en ervaring. Na een periode binnen het Risk Office stroomt een Risk Officer terug naar de business en wordt hij/zij opgevolgd door een nieuwe ervaren specialist vanuit die business. Binnen Heijmans maakt een werkzame periode als Risk Officer een belangrijk onderdeel uit van opvolgingsplanning en leiderschapsontwikkeling.
Activiteiten van het Risk Office worden regelmatig geëvalueerd en eventueel bijgesteld. Daarnaast worden er Heijmans-breed in de procesoverleggen onderdelen behandeld en aangepast, waarmee zowel het risicobewustzijn als risicomanagement voortdurend worden verbeterd. Hierin worden zaken als afweegmodel t.b.v. projectcategorisatie, tenderboardpresentatie, gebruik van ondersteunende tools, aanpassing van gebruikte formats etc. behandeld en verbeterd.
Risk Officers zijn betrokken bij het categoriseren van projecten voor prekwalificatie en projectselectie. Zij geven een onafhankelijk oordeel over het risicoprofiel van alle projectrisico categorie 3 tenders en de grotere meer risicovolle projectrisico categorie 2 tenders. Ze worden ingezet op zowel het inhoudelijk vormgeven van het tweedelijns risicomanagement als het inhoudelijk uitvoeren van onafhankelijke risk reviews van tenders en projecten in realisatie. Daarbij vindt een toetsing plaats op effectiviteit van onze belangrijkste bedrijfsprocessen. In de CRO-rapportage wordt door de CRO per kwartaal een update gegeven over de ontwikkeling van het Heijmans bedrijfsrisicoprofiel.
De CRO wordt ook geconsulteerd in de selectie van partnerkeuze bij grotere projecten op basis van vooraf vastgesteld afwegingskader en rapporteert haar bevindingen aan de raad van bestuur.
Internal Audit
Heijmans heeft een internal auditteam met als primaire taak het initiëren en realiseren van risicogestuurde audits, inclusief een duidelijke terugkoppeling naar het desbetreffende management en opvolging van acties.
In 2023 zijn, conform het auditplan, norm- en risicoaudits uitgevoerd. Daarnaast zijn met regelmaat conformiteitsaudits uitgevoerd om te borgen dat het niveau van goed lopende processen gehandhaafd blijft. De bevindingen uit de audits worden afgezet tegen de door Heijmans benoemde voornaamste risico's en de daarbij uitgesproken risicobereidheid.
De belangrijkste bevindingen uit de audits worden eens per kwartaal gedeeld met de audit- en riskcommissie van de raad van commissarissen, de raad van bestuur en de directies van de bedrijfsstromen. In het afgelopen jaar is het gehele auditprogramma opgenomen in een tool waarmee voor het gehele bedrijf de auditplanning, de audits, de bevindingen en de opvolging van acties worden vastgelegd. Daar waar de audits aanleiding geven tot herstel-of verbeteracties, zijn deze toegewezen aan actiehouders en verantwoordelijken. Met een dashboard krijgen we steeds meer inzicht in de aard en omvang van de bevindingen en kunnen acties Heijmans-breed en risicogestuurd worden uitgezet. In overleg met de raad van bestuur en de raad van commissarissen is voor het komende auditjaar, dat loopt van april t/m maart, een aantal focusgebieden voor het auditprogramma aangewezen. De focus van het auditprogramma wordt in het eerste kwartaal van 2024 bepaald. In de lijn der verwachting zal de focus komen te liggen op het handhaven van reeds bestaande processen (conformiteit), voorspelbaarheid, naleving Algemene Verordening Gegevensbescherming, evaluatie van investeringscases en de borging en implementatie van de benoemde verbeteracties.
Externe accountant
Door de externe accountant EY wordt een accountantscontrole op de jaarcijfers uitgevoerd. De bevindingen uit de managementletter worden naast de bevindingen van Internal Audit gelegd en meegenomen in het verbeterregister. De accountant krijgt tevens de beschikking over de CRO- en auditrapportage en is tenminste éénmaal per jaar aanwezig bij de bespreking daarvan met de raad van commissarissen.
Externe certificeringsaudits
Heijmans heeft kwaliteit en veiligheid hoog in het vaandel staan. De bijbehorende certificeringen worden hiervoor regelmatig onderworpen aan gestructureerde audits door externe instanties. De bevindingen, eventuele afwijkingen en aanbevelingen worden meegenomen in de kwartaalrapportages van Internal Audit. In 2023 is Heijmans Multi-site gecertificeerd voor de normen ISO 9001, ISO 14001 en VCA** en VCA-P. Heijmans laat hiermee zien dat het in de basis beschikt over uniforme processen en werkwijzen, met ruimte voor maatwerk waar nodig. Daarnaast is de auditbelasting voor de organisatie minder geworden. Op het gebied van Veiligheid is heel Heijmans, met uitzondering van recent overgenomen bedrijven, inmiddels gecertificeerd voor de Safety Culture Ladder trede 4.
Raad van bestuur en de audit- en riskcommissie
Per kwartaal wordt door Risk Office en Internal Audit een rapportage opgesteld die wordt besproken met de raad van bestuur, de groepsraad en de audit- en riskcommissie. In deze overleggen ligt de focus op eigenaarschap en opvolging van mitigerende maatregelen en verbeteracties. In 2023 is de voorzitter van de audit- en riskcommissie meer in detail meegenomen over de in gebruik genomen tool waarmee de auditplanning, de vastlegging van bevindingen en de opvolging van acties kan worden gemonitord. Met een dashboard zijn wij in staat om bevindingen beter te analyseren en richting de toekomst focus aan te brengen in het auditprogramma op risico’s die ongewenst zijn vanuit onze risicobereidheid.