Het nemen van risico’s is inherent aan ondernemen. Daarom is risicomanagement een essentieel onderdeel van de Heijmans-cultuur, corporate governance, strategieontwikkeling en operationeel en financieel management. Heijmans is bereid bepaalde risico’s te nemen die samenhangen met de uitvoering van zijn kernactiviteiten, maar wel binnen de grenzen en in balans met het verdienvermogen zoals vastgesteld door de raad van bestuur in overleg met de groepsraad en onder toezicht van de raad van commissarissen. Hierbij hanteren wij het "three lines of defence" model.
De grenzen zorgen ervoor dat de acties van één persoon niet leiden tot onevenredige risico’s of gemiste kansen voor het hele bedrijf. Het risicomanagement van Heijmans is ontworpen om redelijke zekerheid te bieden dat doelstellingen worden bereikt. Onder meer door het integreren van managementcontrole in de dagelijkse activiteiten (1e lijn), naleving van wettelijke vereisten en het waarborgen van de integriteit van de financiële en niet financiële verslaglegging van de onderneming met de bijbehorende informatieverschaffing. Het risicoraamwerk van Heijmans is in lijn met de Nederlandse Corporate Governance Code, waarbij in het komende jaar wordt toegewerkt naar verdere integratie van ESG-gerelateerde risico’s en controles.
We worden geconfronteerd met risico’s en onzekerheden die veroorzaakt worden door externe en interne ontwikkelingen, zoals geopolitieke omstandigheden op het gebied van energie en beschikbaarheid van gekwalificeerde arbeidskrachten, materialen en producten. Ook de toenemende regelgeving rond stikstof en emissies, en de effecten daarvan op de natuur en leefomgeving zijn van invloed. Aan het einde van 2022 kwam daar het vervallen van de bouwvrijstelling in relatie tot de stikstofemissie bij en eind 2024 de inperking van de interne salderingsregeling door de Raad van State. In 2024 zagen we een verdere destabilisatie van de geopolitieke omstandigheden binnen en buiten Europa en een toename van de effecten van de klimaatverandering, waaronder de steeds grotere impact van water. Risico zit onder meer in de grote uitdagingen waar Europa voor staat, rondom klimaat, energie, supply chains en defensie. Deze vergen veel investeringen en leggen een bodem onder de inflatie. Risico’s worden bovendien complexer en zijn steeds meer met elkaar verbonden en kunnen daarmee bij optreden een grotere impact hebben. Daarbij zien we in Europa een groei van burgerbetrokkenheid bij maatschappelijke kwesties (waaronder vervuiling van de leefomgeving), verschuiving en versplintering van het politieke landschap en maatschappelijke druk op duurzaam en maatschappelijk verantwoord ondernemen.
De transitie van de sector kenmerkt zich door een groeiende focus op verduurzaming, technologie en digitalisering, schaarste aan personeel en materialen, en daarnaast de toename van cybercriminaliteit. Om aan te haken bij de dynamiek en de snelle ontwikkelingen in de bouwwereld, ontwikkelen we intern steeds nieuwe initiatieven en doen we investeringen op het gebied van verduurzamen, industrialiseren en digitaliseren. We zetten in op duurzame langetermijnwaardecreatie. Deze ontwikkelingen creëren kansen, maar brengen ook nieuwe risico’s met zich mee en hebben daarmee impact op ons risicoprofiel, de risicobereidheid en digitaal veilig werken.
Om in control te blijven is het van belang om het nemen van risico's te beperken tot een beheersbare omvang alsmede uitsluitend risico's aan te gaan waar we invloed op kunnen uitoefenen en daarnaast kansen optimaal te benutten. Hiervoor is een risicomanagementproces ingericht. Operationeel sturen we met name op kansen binnen onze projecten. Met de (herijkte) strategie richten we ons met de initiatieven van de vijf pijlers op de kansen op de (middel)lange termijn. Ons risicomanagement draagt dan ook integraal bij aan het realiseren van onze strategische ambities en het bereiken van onze doelen, en bepaalt mede het succes van ons bedrijf.
Risicoprofiel
Heijmans is actief in energie-, bouw- en infraprojecten, inclusief advies, ontwerp, ontwikkeling, realisatie, en beheer en onderhoud. Daarnaast zijn we actief in vastgoed- en integrale gebiedsontwikkeling. Deze activiteiten zijn ondergebracht in de bedrijfsstromen Wonen, Werken en Verbinden. Door digitalisering creëren we datagedreven diensten en maken industriële automatisering en softwareontwikkeling steeds meer een integraal onderdeel uit van onze producten en diensten. De keuze om actief te zijn in de segmenten energie-, bouw-, infra- , technische services - en vastgoed- en integrale gebiedsontwikkeling, en de groei van digitalisering en ‘as a service’-concepten zijn van invloed op het risicoprofiel. Het is een bewuste keuze in onze strategie om het aandeel recurring business te laten groeien. Door onze inzet bij steeds terugkerende klanten en werkzaamheden verlagen we het risicoprofiel als bedrijf.
Voor bouwbedrijven van de omvang van Heijmans, die veelal als hoofdaannemer fungeren, gelden diverse risicodempende aspecten in het geval van laag- of hoogconjunctuur. De verschillende activiteiten (bedrijfsstromen van Heijmans) komen doorgaans niet tegelijk in een (economische) crisis terecht. Daar waar het gaat om publieke opdrachtgevers loopt de conjunctuur wat achter op de private markt en zijn de pieken en dalen ook minder extreem dan in de private markt. Dit geldt met name voor grote infrastructurele en utiliteitswerken. Daarnaast is er nog steeds een druk op de woningmarkt door het gebrek aan ‘betaalbare’ woningen, en onvoldoende uitleggebieden. Hoewel de woningmarkt regelmatig gestimuleerd wordt, zijn de maatregelen hier meer indirect (gericht op kopers) en wordt de markt voor een groot deel bepaald door consumentenvertrouwen dat in de regel minder snel herstelt. We zien dat daar waar institutionele investeerders een terugtrekkende beweging maakten in 2024, woningcorporaties juist weer extra investeerden in de realisatie van nieuwe projecten en het versneld verduurzamen van hun bestaande voorraad, mede dankzij het wegvallen van de verhuurdersheffing.
Deels hieraan gekoppeld geldt een additionele risicodempende factor. De bouwsector is weliswaar cyclisch, maar voor een hoofdaannemer als Heijmans verschilt de cycliciteit per sector. Dit heeft te maken met de omvang en duur van de orderportefeuille op het moment dat een crisis intreedt. We zijn in staat vroegtijdig te anticiperen met ons aansturingsmodel, waardoor medewerkers in behoorlijke mate uitwisselbaar zijn en tussen sectoren en de kostenstructuur kan worden bijgestuurd. Daarnaast proberen wij met een flexibele schil in de personele bezetting mee te bewegen met de markt, waarbij de vigerende regelgeving ten aanzien van de inzet van zzp'ers zal worden gerespecteerd.
Om in de top van de Nederlandse bouwsector te blijven, investeert Heijmans volop in duurzaamheid, industrialisatie, digitalisering en innovatie. Met name de onderlinge samenstelling van deze elementen, in combinatie met de complexiteit en de integraliteit van onze projecten, bepaalt in de afzonderlijke projecten de risico’s die we wel of niet willen aangaan. Het portfolio aan projecten, contracten en diensten bepaalt in grote mate het risicoprofiel van Heijmans. Met de overname van Van Wanrooij in 2023 en Van Gisbergen in 2024 is er meer evenwicht gekomen in het portfolio Wonen en daarmee ook in het gehele Heijmans-portfolio. Risicomanagement, systemen en rapportages bedden we ook in bij de bedrijven die we aan de Heijmans-groep toevoegen, waarbij we het van wezenlijk belang achten dat ondernemerschap en zelfstandigheid behouden blijven.
Vanaf de selectie van een opdracht of ontwikkeling tot en met nazorg is ons risicomanagementproces erop gericht de juiste balans te houden tussen ondernemerschap, rendement en het voor Heijmans gewenste en acceptabele risicoprofiel. De markten waarin wij opereren, zijn veelzijdig, uitdagend en vaak competitief. Wij voeren projecten en servicecontracten uit van eenvoudig en klein in omvang tot omvangrijk en complex. Daarom maken wij steeds opnieuw de afweging welke projecten wel en welke projecten niet bij ons passen. Daarbij dient een verantwoorde balans tussen risico-acceptatie en verdienvermogen als algemeen uitgangspunt.
Risicobereidheid
Risicobereidheid verwijst naar het risiconiveau dat Heijmans bereid is te accepteren of waaraan het wordt blootgesteld in het streven naar duurzame langetermijnwaardecreatie. Bij risicobereidheid behoren risicogrenzen en criteria. Die worden bepaald door de cultuur, corporate governance en managementsystemen van het bedrijf, en zijn vastgelegd in onze waarden, gedragscode, beleid en procedures, en autorisatieschema’s.
De bedrijfsrisico’s delen we op hoofdlijnen in vier categorieën in: strategisch, operationeel, financiële positie en verslaggeving, en wet- en regelgeving. Dit doen we voor zowel interne als externe risico’s en het geeft ons een beeld van de impact op de organisatie mochten deze risico’s zich materialiseren. In een risicomatrix worden de belangrijkste risico’s per risicocategorie, de inschatting van de kans en impact daarvan en de getroffen beheersmaatregelen opgenomen. De potentiële impact van risico’s wordt hierbij niet alleen bepaald op basis van de financiële impact op de bedrijfswaarde, maar ook op basis van de negatieve impact op onze omgeving (mens, milieu en maatschappij) en onze reputatie.
Bij de beoordeling van de risicobereidheid zijn de projectrisico’s gecategoriseerd. Hierbij wordt onder andere gekeken naar de jaaromzet van een project ten opzichte van de bedrijfsomzet, de contractvorm, de klant, de cashflow, de competentie ‘fit’, de winstgevendheid, de capaciteit om het werk te maken en het technische risicoprofiel van de gekozen oplossing. Ieder project wordt op basis van het voorgaande ingedeeld in een risicoprojectcategorie (1 t/m 3). Deze indeling gaat uit van het principe dat, hoe hoger het risicoprofiel, des te hoger de autorisatie in de organisatie, des te hoger de rendementseisen en des te frequenter de projectmonitoring. Aan de risicoprojectcategorie is automatisch een workflow en autorisatie gekoppeld. Afhankelijk van aard, omvang en risicoprofiel van een project moet deze worden goedgekeurd door de bedrijfsstroomdirectie en/of de raad van bestuur. Alle projecten met de hoogste risicoprojectcategorie 3 worden besproken met de raad van bestuur en de Chief Risk Officer (CRO). In die gevallen dat we toch buiten de bandbreedtes van het risicoprofiel en de rendementseisen gaan behoeft dit expliciet de goedkeuring van de RvB.
Met een integrale CRO-rapportage evalueert Heijmans voortdurend project-, portfolio- en bedrijfsrisico’s, naast het bedrijfsrisicoprofiel en de risicobereidheid. De CRO-rapportage wordt ieder kwartaal door de CRO opgesteld en besproken met de raad van bestuur en de raad van commissarissen. Het doel van deze rapportage is de ontwikkeling van het risicoprofiel van Heijmans in beeld te brengen. Heijmans maakt in zijn bedrijfsvoering een onderscheid in risico’s die gaan over ‘running the business’ en ‘changing the business’. Dit onderscheid is gemaakt om naast de risico’s ook specifiek aandacht te besteden aan kansen als het gaat om invulling te geven aan onze strategie richting 2030 met de vijf pijlers Welzijn, Duurzaamheid, Verbinding, Maakbaarheid en Team. Er is in onze ogen sprake van een verantwoorde balans tussen risico en rendement wanneer:
-
Het project qua aard en omvang past binnen de doelstellingen van de onderneming en de benodigde ervaring, capaciteit en deskundigheid beschikbaar zijn.
-
Onder het project een helder en evenwichtig contract ligt. Hoe de opdrachtgever het te verwerven project financiert. Op projectniveau in geval van onbeperkte aansprakelijkheid dit beheersbaar is en waar mogelijk en gewenst risico’s worden verzekerd.
-
Het project renderend is, met een bij de risico’s en contractvorm passende opslag voor winst en risico, waarbij projecten met een afzetrisico een hogere rendementseis hebben.
-
Bij vastgoedontwikkelingsactiviteiten de financierbaarheid beoordeeld wordt. Aspecten die in deze beoordeling een rol spelen, zijn de wijze van financieren, de looptijd en het te behalen resultaat, rekening houdend met dit hogere risicoprofiel.
-
In principe 70% van het vastgoedproject verkocht en/of verhuurd is voor start bouw, in het geval dat Heijmans risicodrager is bij de ontwikkeling van het project.
-
Voor projecten die in combinatie met anderen (partner) uitgevoerd worden, iedere partner naar rato van zijn inbreng middelen inbrengt, in evenredigheid risico loopt en een toegevoegde waarde heeft voor het project. Tevens met een gefundeerde inschatting dat de partner daadwerkelijk het risico kan dragen over zijn deel.
Daarnaast stuurt Heijmans zowel tussen als binnen alle bedrijfsstromen op een goede balans in de omzetmix, risicoacceptatie en verdienvermogen. Om tot een voor Heijmans juiste risico/rendementsverhouding te komen, is het portfolio binnen Heijmans in de afgelopen jaren op meerdere vlakken verschoven. Minder (zeer) grote projecten en meer middelgrote projecten, risicoaversie ten aanzien van Design Build Finance Maintain Operate (DBFMO)-contracten en meer focus op bouwteam- en twee-fasen-contracten, en een groeiend aandeel onderhoudsprojecten en services (recurring business) ten opzichte van nieuwbouwprojecten. Al deze verschuivingen hebben geleid tot een robuuster portfolio aan projecten en services met een lager risicoprofiel. Voorbeelden hiervan zien we bij Verbinden, waar de verhouding tussen grote projecten enerzijds en regionale projecten, specialistische activiteiten en assetmanagement anderzijds, zich ontwikkelt ten gunste van de tweede risicocategorie (minder grote en meer middelgrote projecten). Bij Werken streven we naar een evenwichtige verhouding tussen utilitaire projecten en servicewerkzaamheden. Bij Wonen sturen we op de verhouding tussen ontwikkeling vanuit eigen posities, tenders/prijsvragen en bestaande relaties met opdrachtgevers, met tevens een goede balans tussen binnenstedelijke en buitenstedelijke projecten. Hierin is een beter evenwicht gekomen met de recente overnames van Van Wanrooij en Van Gisbergen. Ook hebben de overnames bijgedragen aan een betere balans tussen grondgebonden woningen en binnenstedelijke appartementen. Onze voorkeur gaat uit naar ontwikkeling vanuit eigen posities en een duurzame relatie met onze klanten en opdrachtgevers. Tenders worden gebruikt om het portfolio desgewenst aan te vullen.
Voornaamste risico’s
Het risicoassessment beschrijft de risico’s die het behalen van onze strategische doelstellingen of onze continuïteit in gevaar kunnen brengen. De risico’s zijn direct gerelateerd aan de marktontwikkelingen, onze marktpositionering en onze bedrijfsvoering. De door Heijmans geïdentificeerde risico’s blijken vanuit een benchmark niet anders dan die waaraan onze branchegenoten worden blootgesteld. In het hoofdstuk Klimaat van het duurzaamheidsverslag staan de klimaatgerelateerde kansen en risico’s en de relevantie daarvan voor Heijmans in meer detail beschreven.
Bij het bepalen van de impact van de hierna genoemde risico’s maken we een onderscheid in zeer laag, laag, gemiddeld en hoog.
-
Impact zeer laag: indien het risico zich manifesteert zal de impact op strategie, doelstellingen en de reputatie van Heijmans op zowel de korte als lange termijn zo goed als nihil zijn.
-
Impact laag: indien het risico zich manifesteert zal de impact op strategie, doelstellingen en de reputatie van Heijmans op de korte termijn beperkt en op de lange termijn zo goed als nihil zijn.
-
Impact gemiddeld: indien het risico zich manifesteert zal de impact op strategie, doelstellingen en de reputatie van Heijmans op zowel de korte als de lange termijn beperkt en nog beheersbaar zijn indien passende beheersmaatregelen worden genomen.
-
Impact hoog: indien het risico zich manifesteert kan de impact op strategie, doelstellingen en de reputatie van Heijmans op zowel de korte als de lange termijn groot zijn en zijn direct beheersmaatregelen noodzakelijk.
Risicoraamwerk
Om alle mogelijke risico’s tijdig te kunnen onderkennen en beheersen, en om kansen te kunnen benutten, zijn binnen alle lagen van onze organisatie procedures en maatregelen vastgesteld en geïmplementeerd. De verantwoordelijkheid voor de naleving hiervan is in de breedte van de organisatie belegd. De raad van bestuur schept de kaders en biedt de middelen en is daarnaast verantwoordelijk voor de overkoepelende risico’s op het niveau van Koninklijke Heijmans N.V. De Chief Risk Officer rapporteert aan de raad van bestuur en de raad van commissarissen over het bedrijfsrisicoprofiel. De risk- en auditmanager rapporteert aan de raad van bestuur en de audit- en riskcommissie van de raad van commissarissen over de naleving van de beheersmaatregelen en de effectiviteit daarvan. Relevante bevindingen en aanbevelingen vanuit Risk Office en Corporate Audit worden gedeeld met de deelnemers aan de procesoverleggen Verwerving, Voorbereiding & Realisatie en Service & Onderhoud.
De basis voor ons risicomanagementsysteem is het COSO ERM-raamwerk, waarbij de risicobeheersing rondom projecten de rode draad vormt. Ons interne beheersingssysteem is top-down ingericht en omvat beheersmaatregelen op strategisch, tactisch en operationeel niveau van onze organisatie. Vanuit het raamwerk wordt continu door Heijmans geïnventariseerd hoe alle onderdelen van het COSO ERM-raamwerk binnen de organisatie in zowel de eerste, tweede als derde lijn zijn geborgd. We noemen dit het Heijmans Governance, Risk & Compliance-model. Wij erkennen dat GRC-systemen complex kunnen zijn en hun doel voorbij kunnen schieten. Daarom gaan wij verder me de doorontwikkeling van ons model waarbij de nadruk komt te liggen op het borgen van de twintig bouwstenen door de key functionarissen waaraan de raad van bestuur taken en verantwoordelijkheden heeft gedelegeerd. Dit model sluit ook aan bij de aanpak zoals verwacht vanuit de CSRD-richtlijnen.
Cultuur en risicobewustzijn
Heijmans is van mening dat de cultuur van de organisatie een belangrijke factor is in het beheersen van risico’s. Projecten kennen vanwege de inherente risico’s een bepaalde mate van onvoorspelbaarheid die niet alleen kan worden ondervangen met richtlijnen en procedures. Het vereist enige flexibiliteit en een open/transparante en actiegerichte cultuur waarbij voldoende eigenaarschap wordt getoond om tijdig te signaleren en voorkomende problemen tijdig bespreekbaar te maken en op te lossen. Voorbeeldgedrag vanuit het management is daarbij cruciaal, evenals het elkaar aanspreken op het niet naleven van afspraken en het benoemen van zaken die goed of juist niet goed gaan. Opleidingen en instrumenten waarbij gedrags- en cultuurgerichte elementen aan bod komen, maken voor medewerkers concreet welk gedrag van hen wordt verwacht en welk gedrag niet acceptabel is. Voorbeelden hiervan zijn de Heijmans gedragscode, het programma Zakelijk Zuiver, het programma 'Veilig werken met gegevens', de Masterclass Risicomanagement en het GO! Kompas.
Privacy compliance
Binnen Heijmans besteden we veel aandacht aan privacycompliance. Alle medewerkers volgen regelmatig een e-learning over dit onderwerp en via het interne platform Viva Engage wordt veel praktische informatie gedeeld. Voor verschillende doelgroepen geven we specifieke trainingen en lezingen. Daarnaast zijn er in alle bedrijfsonderdelen Algemene Verordening Gegevensbescherming (AVG)-contactpersonen aangesteld die adviseren bij alle voorkomende privacyvraagstukken. Op centraal niveau houdt de Privacy Officer zich bezig met beleidsmatige aspecten en is vraagbaak voor de complexere vragen.
Gezien het toenemende belang en de complexiteit van privacy en cybersecurity is in samenwerking tussen het privacy office en IT-security in 2023 gestart met een meerjarig bewustwordingsprogramma 'Veilig werken met gegevens'. Daarbij ligt de nadruk meer op gedragsverandering en minder op kennisoverdracht. Ook wordt via de inzet van technologische middelen het risico actief verder verkleind.
Procedurele maatregelen
Het management in het hele bedrijf is gebonden aan duidelijke kaders met betrekking tot vertegenwoordiging en besluitvorming. Belangrijke aspecten binnen het beheersingskader zijn:
-
directiereglementen en instructies voor het management van de werkmaatschappijen/businessunits, gericht op bevoegdheden, projectverwerving, het aangaan van investeringsverplichtingen en rapportage- en verantwoordingsverplichtingen;
-
autorisatiematrix als richtinggevend kader;
-
gedragsgerichte instrumenten zoals de Heijmans gedragscode, het GO! Kompas en het Transactieregister en de Customer Due Diligence (CDD)-check bij Heijmans Vastgoed;
-
een Accounting Manual met voorschriften voor interne en externe financiële verslaglegging en bijbehorende procedures;
-
bedrijfsprocessystemen voor de primaire en secundaire processen van Wonen, Werken en Verbinden, met als doel uniformiteit van hoofdprocessen voor het hele concern en het delen van best practices;
-
register met verklaringen als extra waarborg voor integriteit van senior management en specifieke functies. Hieronder vallen Verklaring Omtrent Gedrag en Eigen Verklaring Justitiële Antecedenten;
-
intern auditprogramma gericht op naleving van beheersmaatregelen in het kader van project specifieke risico’s, het beheersen van organisatiebrede bedrijfsprocesrisico’s en het borgen van certificeringen.
Interne richtlijnen
De raad van bestuur bepaalt de kaders waarbinnen de directies en het management van de bedrijfsstromen opereren. Via directiereglementen en instructies aan het management van de bedrijfsstromen zijn de bevoegdheden ten aanzien van projectverwerving, het aangaan van investeringsverplichtingen en rapportage- en verantwoordingsverplichtingen verankerd:
-
Voorschriften voor interne en externe financiële verslaglegging zijn vastgelegd in de accounting manual, inclusief gerelateerde procedures, zoals de procedure voor investeringen en het aangaan van samenwerkingen met andere partijen.
-
Tenderrichtlijnen, tenderboard, go/no-go-procedure voor tenders in de projectrisicocategorieën 2 en 3 waarbij alle projectrisicocategorie 3 tenders door de raad van bestuur worden geautoriseerd. Voor iedere projectrisicocategorie 3 tender wordt onder begeleiding van de CRO een onafhankelijke risk review gemaakt en gerapporteerd aan de raad van bestuur, zowel op meerdere momenten tijdens het tenderproces, als tijdens de uitvoering.
-
In de bedrijfsprocessystemen zijn primaire en secundaire processen van Wonen, Werken en Verbinden beschreven, inclusief risicomanagementsystemen waarmee de projectgerelateerde risico’s in kaart worden gebracht en beheerst. Dit bevordert de uniformiteit van processen voor het hele concern. Het Heijmans-brede op SAP gebaseerde ERP-platform draagt hier in toenemende mate aan bij.
Planning- en controlcyclus
De strategische pijlers en de daaruit afgeleide bold statements zijn gericht op het behalen van de langetermijndoelstellingen van Heijmans. Risk Office voert ‘stresstesten’ uit om te bepalen in hoeverre Heijmans potentiële worst case scenario’s in gegeven omstandigheden kan opvangen (kreukelzone). De raad van bestuur overlegt op periodieke basis - en ad hoc indien nodig - met het management van de bedrijfsstromen en het projectmanagement over materiële thema’s. In deze overleggen worden aan de hand van maand- en kwartaalrapportages onder meer de ontwikkeling van relevante markten, (financiële) gang van zaken in relatie tot budget en doelen, financiële en operationele voortgang van projecten, duurzaamheid en veiligheid gereviewd. Tevens krijgen impacts, kansen en risico’s voor de korte en lange termijn, in relatie tot de strategie en doelstellingen de aandacht. Voor de projecten in uitvoering met een verhoogd risicoprofiel (met name projectrisicocategorie 3) vinden daarnaast separaat periodieke projectreviews met de raad van bestuur, CRO en de directies van de bedrijfsstromen plaats, waarin impacts, kansen en risico’s voor de korte en langetermijnrisicobeheersing aan de orde komen. De stand van de verkopen, voorraad onverkocht en opties bij Wonen worden wekelijks in een dashboard aan de raad van bestuur gerapporteerd.
Risico governance
De raad van bestuur is eindverantwoordelijk voor het risicomanagement binnen de onderneming en stelt de risicobereidheid vast. Daarbij kent iedere medewerker van Heijmans zijn rol in het managen en/of mitigeren van de risico’s waaraan de onderneming wordt blootgesteld. Het risicobeheersings- en interne controleproces van Heijmans is essentieel voor het functioneren van het bedrijfsmodel en is op drie niveaus in de organisatie geïmplementeerd:
-
De eerste lijn vormt de operatie die verantwoordelijk is voor de uitvoering en naleving van afgesproken procedures en het managen van de bijbehorende risico’s in zowel de bedrijfsvoering als specifieke projectrisico’s. Daarbij worden de volgende gradaties onderkend:
-
-
het beheersen van risico's op projectniveau vanaf de ontwikkeling, het ontwerp en de bouw van het project tot de voltooiing en het onderhoud; primaire verantwoordelijkheid project- en/of lijnmanagement;
-
het beheersen van de bedrijfsrisico’s van de portefeuille van projecten en verkoop-, algemene en administratieve kosten op het niveau van de bedrijfsstroom; primaire verantwoordelijkheid bedrijfsstroomdirectie;
-
het beheer van de portefeuille van projecten over de bedrijfsstromen heen en bedrijfsrisico's op groepsniveau; primaire verantwoordelijkheid raad van bestuur.
-
-
De tweede lijn wordt gevormd door onder andere Risk Office, Juridische Zaken en Compliance, en analyseert en toetst het risicoprofiel inhoudelijk, geeft een onafhankelijk oordeel, ontwikkelt en verbetert bedrijfsstroomoverstijgende beheersmaatregelen, codificeert geleerde lessen en zorgt dat deze aan de eerste lijn worden teruggekoppeld en rapporteert hierover periodiek aan de raad van bestuur, groepsraad en de audit- en riskcommissie van de raad van commissarissen.
-
De derde lijn (Internal Audit) ziet middels een auditprogramma toe op de correcte naleving en effectiviteit van de beheersmaatregelen en rapporteert hierover periodiek aan de raad van bestuur, groepsraad en de audit- en riskcommissie van de raad van commissarissen.
De audit- en riskcommissie, de raad van bestuur en de groepsraad krijgen onafhankelijk informatie over risicobeheersingsactiviteiten van zowel de CRO (inhoudelijke rapportage over het risicoprofiel van Heijmans) als Internal Audit (rapportage over de risicogestuurde procestoetsen). De audit- en riskcommissie beoordeelt, ter advisering en voorbereiding van de besluitvorming van de raad van commissarissen, de kwaliteit van verslaglegging en de effectiviteit van de interne risicobeheersing en controlesystemen van Heijmans. De audit- en riskcommissie rapporteert haar observaties en bevindingen aan de voltallige raad van commissarissen.
Risk Office
Verantwoordelijk voor het onderdeel risicomanagement, in de tweede lijn, is het Risk Office onder leiding van de CRO. De doelstelling van het Risk Office is het risicomanagement en een risicobewuste cultuur in alle geledingen over de volle breedte van de organisatie duurzaam op een hoger plan te brengen. Daarnaast vormt de CRO met het Risk Office een (inhoudelijk) tweede paar ogen op de project-, portfolio- en bedrijfsrisico’s. De CRO en het Risk Office zijn onafhankelijk van de bedrijfsstromen, waarbij de CRO rechtstreeks rapporteert aan de raad van bestuur. De Risk Officers komen vanuit de verschillende businessonderdelen van Heijmans en vormen daarmee een mix van ervaren specialisten en management potentials met veelal projectinhoudelijke kennis en ervaring. Na een periode binnen het Risk Office stroomt een Risk Officer terug naar de business en wordt hij/zij opgevolgd door een nieuwe ervaren specialist vanuit die business. Binnen Heijmans maakt een werkzame periode als Risk Officer een belangrijk onderdeel uit van opvolgingsplanning en leiderschapsontwikkeling.
Activiteiten van het Risk Office worden regelmatig geëvalueerd en eventueel bijgesteld. Daarnaast worden er Heijmansbreed in de procesoverleggen onderdelen behandeld en aangepast, waarmee zowel het risicobewustzijn als risicomanagement voortdurend worden verbeterd. Hierin worden zaken als het afweegmodel t.b.v. projectcategorisatie, tenderboardpresentatie, het gebruik van ondersteunende tools, aanpassing van gebruikte formats etc. behandeld en verbeterd.
Risk Officers zijn betrokken bij het categoriseren van projecten voor prekwalificatie en projectselectie. Zij geven een onafhankelijk oordeel over het risicoprofiel van alle projectrisicocategorie 3 tenders en de grotere meer risicovolle projectrisicocategorie 2 tenders. Ze worden ingezet op zowel het inhoudelijk vormgeven van het tweedelijns risicomanagement als het inhoudelijk uitvoeren van onafhankelijke riskreviews van tenders en projecten in realisatie. In de CRO-rapportage wordt door de CRO per kwartaal een update gegeven over de ontwikkeling van het Heijmans-bedrijfsrisicoprofiel.
De CRO wordt ook geconsulteerd in de selectie van partnerkeuze bij grotere projecten op basis van een vooraf vastgesteld afwegingskader en rapporteert zijn bevindingen aan de raad van bestuur.
Internal Audit
Heijmans heeft een internal auditteam met als primaire taak het initiëren en realiseren van risicogestuurde audits, inclusief een duidelijke terugkoppeling naar het desbetreffende management en opvolging van acties. In 2024 zijn, conform het auditplan, norm- en risicoaudits uitgevoerd. Daarnaast zijn met regelmaat conformiteitsaudits uitgevoerd om te borgen dat het niveau van goed lopende processen gehandhaafd blijft. De bevindingen uit de audits worden afgezet tegen de door Heijmans benoemde voornaamste risico's en de daarbij uitgesproken risicobereidheid.
De belangrijkste bevindingen uit de audits worden eens per kwartaal door Internal Audit gedeeld met de audit- en riskcommissie van de raad van commissarissen, de raad van bestuur en de directies van de bedrijfsstromen. Het gehele auditprogramma wordt gevolgd middels een tool waarmee voor het gehele bedrijf de auditplanning, de audits, de bevindingen en de opvolging van acties worden vastgelegd. Daar waar de audits aanleiding geven tot herstel- of verbeteracties, zijn deze toegewezen aan actiehouders en verantwoordelijken. Met een dashboard krijgen we steeds meer inzicht in de aard en omvang van de bevindingen - als ook hun onderlinge samenhang - en kunnen acties Heijmans-breed en risicogestuurd worden uitgezet. In overleg met de raad van bestuur en de raad van commissarissen is voor het komende auditjaar, dat loopt van april t/m maart, een aantal focusgebieden voor het auditprogramma aangewezen. De focus van het auditprogramma wordt in het eerste kwartaal van 2025 bepaald. Naar verwachting zal de focus komen te liggen op het handhaven van reeds bestaande processen (conformiteit), voorspelbaarheid, naleving Algemene Verordening Gegevensbescherming, inzet en contractering van zzp’ers, evaluatie van materiële investeringen en de borging en implementatie van de benoemde verbeteracties.
Externe accountant
Door de externe accountant KPMG wordt een accountantscontrole op de jaarcijfers uitgevoerd. De bevindingen uit de managementletter worden naast de bevindingen van Internal Audit gelegd en meegenomen in het verbeterregister. De accountant krijgt tevens de beschikking over de CRO- en auditrapportage en is tenminste éénmaal per jaar aanwezig bij de bespreking daarvan met de raad van commissarissen.
Externe certificeringsaudits
Heijmans heeft veiligheid, kwaliteit en milieu hoog in het vaandel staan. De bijbehorende certificeringen worden hiervoor regelmatig onderworpen aan gestructureerde audits door externe instanties. De relevante bevindingen, afwijkingen en aanbevelingen worden meegenomen in de kwartaalrapportages van Corporate Audit. Heijmans is gecertificeerd voor de normen ISO 9001, ISO 14001 en VCA** en VCA-P, (Infra), CO₂-Prestatieladder, FSC/PEFC en diverse BRL-en (Beoordelingsrichtlijnen). Op het gebied van veiligheid is Heijmans, behoudens recente overnames, gecertificeerd voor de Safety Culture Ladder trede 4.
Heijmans hanteert waar mogelijk uniforme processen en werkwijzen, met ruimte voor maatwerk waar nodig. De recent overgenomen bedrijven (Van Wanrooij en Van Gisbergen) zijn nog gecertificeerd volgens hun eigen managementsysteem.
Raad van bestuur en de audit- en riskcommissie
Per kwartaal wordt door zowel de Chief Risk Officer als Internal Audit een rapportage opgesteld die wordt besproken met de raad van bestuur, de groepsraad en de audit- en riskcommissie. In deze overleggen ligt de focus op eigenaarschap en opvolging van mitigerende maatregelen en verbeteracties. In 2024 is de audit- en riskcommissie met behulp van een dashboard geïnformeerd over de tool waarmee de auditplanning, de vastlegging van bevindingen en de opvolging van acties worden gemonitord. Met een dashboard zijn we in staat om bevindingen beter te analyseren en richting de toekomst focus aan te brengen in het auditprogramma op risico’s die ongewenst zijn vanuit onze risicobereidheid.
Bestuurdersverklaring
De raad van bestuur is verantwoordelijk voor het risicoraamwerk van Heijmans en voor het beoordelen van de effectiviteit daarvan onder toezicht van de raad van commissarissen. De raad van bestuur heeft verantwoordelijkheden gedelegeerd aan de in het raamwerk beschreven functionarissen/rollen. Het raamwerk, zoals eerder beschreven, is ontworpen om de belangrijkste risico's te beheersen die ons kunnen verhinderen onze bedrijfsdoelstellingen te bereiken. Het kader biedt echter geen volledige garantie dat alle lacunes in de controle, afwijkingen van materieel belang, fraudegevallen of schendingen van wet- en regelgeving worden voorkomen. Het risicoraamwerk moet zorgen voor consistente en betrouwbare financiële verslaglegging, zowel intern als extern. In overeenstemming met de Nederlandse Corporate Governance Code hebben we de opzet en operationele effectiviteit van ons risicoraamwerk beoordeeld. Voor meer informatie zie bijlage bestuurdersverklaring.
Ontwikkeling risicoprofiel
Zowel de bedrijfsrisico’s als het portfolio van projectrisico’s worden actief gemonitord. Heijmans monitort zijn voornaamste risico’s door gebruik te maken van dynamische heatmaps. Dit doen we zowel voor operationele kansen en risico’s (‘running the business’), als voor strategische kansen en risico’s (‘changing the business’).
Periodiek worden de verwachting en de impact van de kansen en risico’s in beeld gebracht en gereviewd door de raad van bestuur en de raad van commissarissen.
In 2024 is het interne risicoprofiel van de bedrijfsvoering licht gestegen door opstartende grote projecten en contracten bij Werken en Verbinden. In de projectexecutie van Wonen werd dit gecompenseerd als gevolg van een toegenomen aandeel van grondgebonden woningen in de mix van projecten. Door selectief aannamebeleid en conservatieve waardering bevat het projectenportfolio geen grote verrassingen. Het huidige projectenportfolio is adequaat gewaardeerd waarbij rekening is gehouden met het risicoprofiel van de verschillende projecten.
Het externe risicoprofiel is in 2024 gelijk gebleven. Hoewel geo- en nationaalpolitieke omstandigheden onrustig blijven, zijn inkoopmarkten gestabiliseerd op een nieuw normaal en zijn rente en inflatie in de tweede helft van 2024 licht gedaald. We zien wel de druk op de arbeidsmarkt verder toenemen. Ondanks interne en externe uitdagingen waren alle segmenten in 2024 in staat om in hun operationele bedrijfsvoering succesvol te zijn. Daarbij is de aanwezige kreukelzone, de buffer om eventuele tegenvallers op te vangen, aangegroeid tot een robuust niveau.
Manifestatie van risico's
De meest belangrijke operationele risico’s waarmee Heijmans in 2024 werd geconfronteerd, zijn risico’s als gevolg van schaarste aan arbeidskrachten, krappe uitvoeringscapaciteit en onzekere budgetten bij overheden alsmede uitstel van projecten door stikstofproblematiek of bezwaren van de omgeving (vergunningverlening).
De groeiende en veranderende orderportefeuille van Werken en Verbinden vraagt om sterk tender- en projectmanagement. Krapte op de arbeidsmarkt en toegenomen mobiliteit leiden tot kwantitatieve en kwalitatieve onbalans in personele capaciteit, wat een portfoliorisico kan opleveren. Heijmans mitigeert dit risico door enerzijds een selectief tenderbeleid (rendement-capaciteit en risicogestuurd) toe te passen en anderzijds extra inspanningen te verrichten om mensen te werven, op te leiden en te behouden.
Bij Wonen hebben we te maken met uitgebreide ruimtelijke ordeningsprocedures en stagnerende vergunningverlening, met tegelijkertijd een beperkte ambtelijke capaciteit, die tot vertraging leiden. Langdurige bezwaarprocedures van belanghebbenden vormen een verdere vertraging.
Stikstofproblematiek heeft geleid tot vertraging van projecten, met name nieuwbouwprojecten bij Rijkswaterstaat lijninfra. Dit betreft het geheel van verkeersinfrastructuur en omgeving bedoeld voor verkeer en vervoer van mensen, goederen en berichten. Het omvat autowegen, waterwegen, pijpleidingen, elektriciteitsleidingen en infrastructuur voor telecommunicatie. Ook het tekort in overheidsbudgetten ten behoeve van infraprojecten heeft geleid tot uitstel en afstel van projecten.
Heijmans heeft deze risico’s gemitigeerd door verschuivingen in het projectportfolio naar vervanging en renovatie van infrastructuur (wegen). Naast lijninfrastructuur vergroten we de inzet op hoogwaterbeschermingsprogramma’s en energietransitie, als ook een verdere focus op vervanging en renovatie van bestaande lijninfra.
Door het periodiek monitoren van onze meest belangrijke projecten en contracten proberen we tijdig ongewenste ontwikkelingen te signaleren om in een zo vroeg mogelijk stadium passende beheersmaatregelen te nemen. Op dit punt hebben we het afgelopen jaar ervaren dat het monitoren van langjarige projecten en het daarbij eerder doorpakken op (zwakke) signalen essentieel is om tijdig in te kunnen grijpen.
Het is van belang dat het Risk Office onafhankelijk is en blijft van het verwervingsteam om zo voldoende scherpte te brengen en te houden in afwegingen die we maken tijdens het tenderproces.
Heijmans is wendbaar en kan adequaat inspelen op veranderende omstandigheden. Mocht in de toekomst de markt verslechteren of wezenlijk veranderen, dan kan druk op orderportefeuille toenemen. We zijn zeer alert om onze risicobereidheid maar ook ons algemene kostenniveau niet te laten toenemen en hiermee potentiële problemen voor de toekomst binnen te halen. We blijven dan ook sturen op marge boven volume.
Integratie van CSRD-gedreven impacts,
risico’s en kansen
Vanaf het rapportagejaar 2024 is ook de Corporate Sustainability Reporting Directive van toepassing op Heijmans. Vanuit de wet- en regelgeving, waarbij verdiepende toelichting op de inhoud wordt gegeven in de duurzaamheidsverslag, zal verdere integratie met het bestaande risicomanagementsysteem in de komende jaren noodzakelijk zijn.
Heijmans is bezig met het verbeteren van de beheersmaatregelen voor ESG-informatie. Aan sommige materiële onderwerpen (binnen ESRS standaarden E1 - Klimaatverandering en S1 - Eigen Werknemers) is prioriteit gegeven in de huidige rapportageperiode. Binnen Eigen Werknemers is het subthema Gezondheid en Veiligheid op dit moment het meest ontwikkelde onderwerp, waarbij gebruik is gemaakt van geautomatiseerde controles in het bestaande rapportagesysteem.
De rapportageprocessen en definities rondom ESG zijn geformaliseerd als onderdeel binnen de Accounting Manual van Heijmans. De Accounting Manual omvat de governance, rollen en verantwoordelijkheden, en managementreviewcontroles t.b.v. rapporteren op ESG-informatie. Er worden richtlijnen gegeven voor het verzamelen, consolideren en rapporteren van gegevens, daarnaast wordt ook de relatie tot het risicomanagementproces (van risico-identificatie tot monitoring) beschreven. Hier zullen we in 2025 verder opvolging aan geven. Ten slotte worden ook de operationele impacts, risico’s en kansen - geïdentificeerd tijdens de dubbele materialiteitsanalyse - in het komende jaar geïntegreerd in het bestaande ERM-raamwerk. Hierbij is rekening gehouden met het vertalen van de schalen van financiële materialiteit, naar het gebruik van de risicoprioriteringsmethodologie van Heijmans. Momenteel richt de bestaande vastlegging zich voornamelijk op risico’s met betrekking tot de volledigheid, reikwijdte en tijdigheid van informatie, waar met managementreviewcontroles invulling aan wordt gegeven. Zoals eerder beschreven, wordt onderzocht hoe deze aanpak kan worden uitgebreid naar andere materiële thema’s met verschillende typen controles.
Op dit moment wordt gebruikgemaakt van dezelfde sturingslijnen als beschreven in voorgaande paragrafen. De raad van bestuur is verantwoordelijk voor het risicoraamwerk van Heijmans en voor het beoordelen van de effectiviteit en naleving daarvan onder toezicht van de raad van commissarissen. Daarbij vindt nog geen formele delegatie plaats naar functies en commissies. Wel hebben op dit moment het interne duurzaamheidsteam en de bedrijfsstromen een leidende rol in het proces rondom het managen van impacts, risico’s en kansen. In deze rol wordt ten minste maandelijks actief met de raad van bestuur gecommuniceerd over de implementatie van de wetgeving en het beheersen van de materiële impacts, risico’s en kansen. Hierbij wordt onder andere gesproken over impact op strategie, implementatie van due diligence, en de implementatie van beleid, doelen, maatregelen, acties en bijbehorende data. De werkwijze zal verder geformaliseerd en geïntegreerd worden in het komende rapportagejaar.