Risico & Compliance – Casus Nationaal Warmtefonds

Samenvatting

Hoe krijg je grip op risico's in een snelgroeiende non-profitorganisatie?

In haar rol van tweedelijns risicomanager ontwikkelde Zanders een pragmatisch risicomanagement-raamwerk voor NWF. Dit raamwerk gaf NWF meer grip op haar risico's: relevante risico's in beeld, een vastgestelde risicobereidheid, helder belegd eigenaarschap, en een gestructureerde rapportage naar het Bestuur en de Raad van Commissarissen.

Nationaal Warmtefonds

NWF is een initiatief van de Rijksoverheid en heeft als missie het financieel toegankelijk maken van energiebesparende maatregelen voor woningeigenaren en verenigingen van huiseigenaren. Het is een onafhankelijke financiële instelling die samenwerkt met banken en lokale overheden om de energietransitie voor iedereen toegankelijk te maken, ongeacht het inkomen.

Binnen haar bedrijfsvoering heeft NWF te maken met diverse financiële, operationele, strategische en compliance aspecten. Het financiële landschap omvat kredietnemers, afhankelijkheden van derden en een financieringsmix van overheidssubsidies en banken. Daarnaast gelden wettelijke verplichtingen op het gebied van consumentenkredietverlening, AML, KYC en privacy. En zoals voor elke organisatie geldt: negatieve media-aandacht en juridische geschillen moeten worden voorkomen.

Omdat NWF intern niet over de expertise beschikte om de risicobereidheid te formuleren en het risicoprofiel te meten, ontwikkelde Zanders de risicotaxonomie en het bijbehorende governance-ontwerp voor risicomanagement.

Risicotaxonomie

In de rol van onafhankelijke tweede lijn (risico en compliance) bouwde Zanders een pragmatische risicotaxonomie en governance-structuur. Deze taxonomie verbindt de primaire risicotypes (strategisch, operationeel, financieel, compliance en privacy) met de uitgangspunten op gebied van risicobereidheid van de organisatie. Op basis hiervan hebben we:

• de risicobereidheid per risicocategorie vastgesteld, in overleg met het bestuur;
• het eigenaarschap van ieder risico en elke beheersmaatregel belegd en vastgelegd in een risicoregister en heatmap;
• heldere KRI's, KPI's, beheersmaatregelen en drempelwaarden gedefinieerd die aansluiten bij het risicobeleid;
• een rapportageritme ingericht voor het bestuur en de Raad van Commissarissen;
• het framework verankerd in het beleid en de dagelijkse managementroutines.
• met het betrekken / beleggen van deze risico's in de organisatie, de risicorapportages en de directe management aandacht voor risicomanagement, is er een organisatiebreed risicobewustzijn ontstaan, inclusief een gedeeld risicovocabulaire.

Het risicomanagementproces maakt nu integraal deel uit van de governance-structuur van NWF. Het bestuur gebruikt het risicoraamwerk om te zien welke risico's binnen of buiten de risicobereidheid vallen en om strategische en operationele besluiten weloverwogen te nemen — inclusief het bewust accepteren of mitigeren van risico's. De Raad van Commissarissen ontvangt een actueel en feitelijk beeld van de risicopositie van de organisatie.

Van inzicht naar actie

NWF neemt nu concrete en goed onderbouwde acties op basis van een gedeeld risicobeeld, in afstemming met het bestuur. Risicomanagement is geen project met een einddatum, maar een continu proces. In de praktijk beoordeelt NWF periodiek waar de organisatie staat, legt dit vast in rapportages en vertaalt bevindingen naar concrete actiepunten.

Het risicoraamwerk wordt tastbaar en effectief door doorlopende monitoring en rapportage van KPI's, KRI's en beheersmaatregelen, in combinatie met bestuurlijke bespreking en gerichte bijsturing. Het is nadrukkelijk geen 'tick-the-box'-oefening: risicomanagement werkt alleen met organisatiebrede betrokkenheid.

Inzet van Zanders' expertise

In zes maanden bouwde NWF, met Zanders als tweedelijns risicomanager, een systematisch risicoframework dat strategische, risico- en compliancebesluiten onderbouwt. Een gedeeld risicovocabulaire, vastgestelde risicomaatstaven en limieten, en een lichte maar consistente reviewcyclus zorgden voor een lerend ritme en verankerden risicobewustzijn in de organisatie.

Brede toepasbaarheid

De principes achter deze risicotaxonomie zijn ook bruikbaar voor overheden, bedrijven en NGO's die transparantie en verantwoording willen versterken, intern én richting financiers en toezichthouders.
Juist in organisaties waar data verspreid staat over spreadsheets en systemen, waar risicodiscussies informeel verlopen en waar risico-eigenaarschap nog niet scherp is belegd, geeft het framework houvast.

De risicotaxonomie creëert een gedeelde prestatie- en risicotaal voor programma's en projecten. Dit stelt bestuurders in staat om risico's expliciet te verbinden aan beslissingen en tijdig bij te sturen zonder extra bureaucratie te introduceren. De risicotaxonomie helpt afwijkingen en knelpunten eerder te signaleren, zodat tussentijds kan worden bijgestuurd in plaats van achteraf verklaard. Daarnaast worden middelen gerichter ingezet voor activiteiten die de doelstellingen van de organisatie ondersteunen.

De basisprincipes zijn in dit proces essentieel, maar een uniform standaardmodel bestaat niet. Non-profitorganisaties, goede doelen en NGO's verschillen wezenlijk in missie, schaal, context en werkwijze. Een effectieve inrichting van risicomanagement is altijd maatwerk, waarbij wij generieke principes vertalen naar een concreet risicoraamwerk dat past bij de governance-, management- en informatiebehoeften van de betreffende organisatie.

Voor meer informatie kunt u contact opnemen met Tim Neijs of Jeroen Boogert.