Het nemen van risico’s is inherent aan ondernemen. Bij Heijmans is risicomanagement geen bijzaak, maar een strategische bouwsteen. We willen de belangrijkste risico's op een verantwoorde wijze beheersen. Daarom is risicomanagement een essentieel onderdeel van de Heijmans-cultuur. We richten ons hierbij op het ondersteunen van duurzame waardecreatie voor al onze stakeholders; aandeelhouders, medewerkers, opdrachtgevers, onderaannemers en de samenleving. Het is voor ons essentieel dat risico’s systematisch worden beheerd, zodat we onze strategische ambities realiseren vanuit een gedegen structuur en aantoonbare beheersing.
Binnen dit kader is risicomanagement een integraal onderdeel van onze governance, strategie en operationele aansturing. We benaderen risico's niet alleen als mogelijke bedreigingen, maar ook als kansen die bijdragen aan onze strategie ‘Samen naar 2030’.
In 2025 is, in lijn met de Nederlandse Corporate Governance Code, extra aandacht gevraagd voor het verkrijgen van zekerheid over risicobeheersing voor operationele, compliance-, verslaggevings- en duurzaamheidsrisico’s en -controles. Deze maken onderdeel uit van het hernieuwde risicoraamwerk dat Heijmans hiervoor heeft ingericht.
In dit hernieuwde risicoraamwerk heeft Heijmans de risicotaxonomie gestructureerd, waaruit voor Heijmans achttien risicogebieden zijn benoemd. Voor tien van deze risicogebieden die relevant zijn voor de VOR (Verklaring Omtrent Risicobeheersing), is beoordeeld of de beheersmaatregelen adequaat zijn ingericht, en effectief zijn. De bevindingen per risicogebied zijn beoordeeld op basis van de per risicogebied van toepassing zijnde mate van zekerheid.
Voor de operationele- en compliancerisico’s geeft Heijmans een passende mate van zekerheid dat de risico's effectief worden beheerst. Daarbij kan worden onderbouwd:
-
dat de interne beheersings- en controlesystemen op passende wijze de meest materiële risico’s van Heijmans afdekken (in lijn met de risicobereidheid);
-
dat Heijmans inzicht heeft in de opzet van de maatregelen en processen die deze risico’s mitigeren;
-
dat Heijmans inzicht heeft in de effectieve werking van deze maatregelen en processen.
Heijmans-risicoraamwerk
Heijmans gebruikt het COSO-ERM-model als basis voor het Heijmans-risicoraamwerk om risico's te identificeren, beoordelen en beheren, met de focus op interne controles. Het raamwerk houdt rekening met huidige ontwikkelingen zoals cyberveiligheid en benadrukt het belang van risicomanagement voor strategie en prestaties.
Het Heijmans-risicoraamwerk – met aandacht voor risicostrategie, -cultuur, -landschap, -bereidheid, -managementcyclus, governance en interne beheersing – vormt de leidraad voor onze aanpak. Door te werken met een uniform risicoraamwerk waarin de voor Heijmans relevante risicogebieden zijn opgenomen, maken we de koppeling van initiële risico's en beheersmaatregelen inzichtelijk. Deze inzichten gebruiken we om gericht strategisch en operationeel te sturen, risico's te beheersen en waar nodig te mitigeren tot binnen de vastgestelde risicobereidheid.
Risicostrategie
Onze risicostrategie is erop gericht uitsluitend risico’s te accepteren die beïnvloedbaar en beheersbaar zijn, in balans met het verdienvermogen en passend bij het gewenste risicoprofiel. Onze portfoliokeuzes zijn gericht op een robuuster projectportfolio, met minder zeer grote projecten, meer middelgrote projecten en een groeiend aandeel in recurring business (waaronder services en onderhoud).
We hanteren daarbij de volgende kernprincipes:
-
Bewuste balans tussen risico en rendement
Wij accepteren alleen risico’s waarvan we vooraf de impact, beheersmaatregelen en het bijbehorende rendement hebben beoordeeld. -
Voorkeur voor een robuust portfolio
In de afgelopen vijf jaar hebben we, vooral binnen Verbinden, onze keuzes meer verlegd richting middelgrote projecten, bouwteam- en twee-fasencontracten, en recurring business. Hierdoor is het totale risicoprofiel verminderd ten opzichte van meer traditionele grote contracten. -
Proactief beheren van strategische risico’ s en het benutten van kansen
In plaats van louter reactief managen, richten we ons op het versterken van onze waardepropositie via innovatie, duurzame ontwikkeling en ketensamenwerking. -
Risicofilosofie
We zien risicomanagement niet als een bureaucratische verplichting, maar als een integraal onderdeel van onze bedrijfsvoering, waarbij iedere medewerker verantwoordelijkheid neemt.
Governance en operatiemodel
Wij werken binnen alle risicocategorieën volgens het klassieke drielijnenmodel:
-
Eerste lijn: de operationele bedrijfsstromen, projecten en stafafdeling en zijn verantwoordelijk voor het identificeren, beheersen en monitoren van risico’s in de dagelijkse uitvoering. Dit geldt zowel op projectniveau (ontwikkeling, bouw, onderhoud en services) als op portefeuilleniveau binnen de bedrijfsstromen Wonen, Werken en Verbinden.
-
Tweede lijn: het Risk Office onder leiding van de CRO, evenals Juridische Zaken en Compliance onder leiding van de General counsel, fungeren als onafhankelijke toets- en advieslinie. Zij analyseren en beoordelen het risicoprofiel, ontwikkelen beheersmaatregelen en rapporteren aan de raad van bestuur en de audit- en riskcommissie van de raad van commissarissen.
-
Derde lijn: de functie Internal Audit ziet toe op de effectiviteit van het beheersingskader en rapporteert onafhankelijk aan de raad van bestuur en de audit- en riskcommissie van de raad van commissarissen.
De raad van bestuur is eindverantwoordelijk voor het risicomanagement en stelt de risicobereidheid vast. De audit- en riskcommissie en de raad van commissarissen beoordeelt de effectiviteit van de interne beheersing en verslaglegging. Kwartaalrapportages van het Risk Office en Internal Audit zorgen voor continue monitoring en terugkoppeling. Escalatiepaden zijn helder: alle hoog-risicoprojecten worden besproken met de raad van bestuur en het Risk Office; afwijkingen buiten de bandbreedtes van het risicoprofiel vereisen expliciete goedkeuring. Partnerselectie en contractvormen zijn geborgd via duidelijke besliskaders, waarbij het Risk Office wordt geconsulteerd bij hoog-risicoprojecten.
Risicocultuur, training en bewustzijn
Een open, transparante en actiegerichte cultuur met eigenaarschap is essentieel voor effectief risicomanagement. Voorbeeldgedrag van het management en een aanspreekcultuur worden gestimuleerd via de gedragscode, het programma Zakelijk Zuiver en het GO!-Kompas. Veiligheid, integriteit en privacy zijn verankerd in programma’s en opleidingen, waaronder de Masterclass Risicomanagement, trainingen op het gebied van AVG en security en bewustwordingsprogramma’s zoals ‘Veilig werken met gegevens’. De effectiviteit van cultuurprogramma’s wordt periodiek gemeten.
Risicolandschap en risicobereidheid
Heijmans brengt zijn initiële risico’s op strategisch, operationeel, financieel en compliance gebied systematisch in kaart en beoordeelt deze voordat beheersmaatregelen worden getroffen. Vervolgens worden deze risico’s actief gemitigeerd met gerichte maatregelen om de kans en/of impact van ongewenste gebeurtenissen te beperken. Het restrisico is het risico dat overblijft na toepassing van deze beheersmaatregelen.
Onderstaande tabellen geven per risicocategorie een korte beschrijving van de bruto risico's, de belangrijkste beheersmaatregelen en de bijbehorende risicobereidheid van Heijmans. De impact laat zien hoe het risico Heijmans beïnvloedt. De trend beschrijft de ontwikkeling van het risico in het verslagjaar.
|
Strategie |
Omschrijving bruto risico |
Risico en risicobereidheid |
Beheersmaatregelen |
|
Economische omstandigheden |
Economische omstandigheden, zoals marktcycli, en regelgeving (bijvoorbeeld stikstof/PFAS), zorgen voor onvoorspelbare schommelingen in omzet en rendement. |
|
Heijmans heeft een gestructureerde crisisbeheersing en multidisciplinaire bedrijfscontinuiteitsorganisatie om de continuïteit op een veilige en gezonde manier te waarborgen (Macro)economische omstandigheden worden nauwlettend gevolgd waarbij mitigerende maatregelen worden gedefinieerd en voorbereid om optimaal te kunnen anticiperen op veranderende economische omstandigheden. |
|
Klimaatverandering & energietransitie |
Klimaatverandering en de energietransitie zijn essentieel voor de toekomstige leefbaarheid van onze aarde. De belangrijkste risico’s liggen bij te traag handelen richting een economie waarin de uitstoot van schadelijke stoffen wordt geminimaliseerd. Grote investeringen zijn nodig om emissies te verlagen en de ecologische voetafdruk van Heijmans en zijn klanten te verkleinen. Ook bestaat het risico dat Heijmans niet tijdig inspeelt op klimaatgerelateerde veranderingen in de bouwsector. We zien een toename van dit risico door energietransitie en daaruit volgende netcongestie |
|
Heijmans volgt sinds 2023 een routekaart om CO₂-neutraal te worden, vooral door productieprocessen en faciliteiten te verduurzamen. We ontwikkelen datagedreven klimaatadaptieve oplossingen. Sinds 2024 richten we ons op nul scope 1- en 2-emissies (met compensatie), halveren we scope 3-emissies in 2030 en streven we naar bijna nul scope 3-emissies in 2040 (zonder compensatie). |
|
Innovatief vermogen |
Het risico bestaat dat investeringen in innovatie geen tijdige, duurzame en schaalbare technologieën opleveren die bijdragen aan toekomstige uitdagingen en strategische doelstellingen. |
|
Heijmans werkt samen met universiteiten, kennisinstellingen en (hightech)bedrijven, waardoor we kunnen profiteren van externe kennis en expertise en zo effectiever kan presteren. Door technologische ontwikkelingen te benutten op het gebied van digitalisering, industrialisatie, elektrificatie, connectiviteit en geavanceerde analyses, biedt Heijmans veiligere, snellere en kwalitatief betere producten en diensten, met een aanzienlijk lagere CO₂-voetafdruk. In het 'Hive gebouw' is volop ruimte voor innovatie, kennisdeling en leren. Innovatieve projecten worden enthousiast ontvangen, vooral wanneer ze kleinschalig zijn. In onze "Hive" is volop ruimte voor innovatie, kennisdeling en leren. |
|
Beschikbaarheid arbeidskrachten |
Beschikbaarheid van arbeidskrachten verwijst naar de mate waarin een organisatie in staat is om voldoende medewerkers met de juiste kwalificaties aan te trekken, op te leiden en te behouden. |
|
Heijmans erkent dat vakmensen essentieel zijn voor het succes van het bedrijf. Daarom zet Heijmans in op diversiteit, inclusie, training, leiderschap, loopbaanontwikkeling en het aantrekken van jong talent. Ook investeert Heijmans in arbeidspotentieel zoals nieuwkomers en in digitalisering en modulair en industrieel produceren om minder afhankelijk te zijn in geval van schaarste in personeel. |
|
Fusies & overnames |
Onjuiste acquisitie- of fusiebeslissingen kunnen leiden tot financiële afboekingen, waardeverlies, integratieproblemen, een mismatch met het bedrijfsmodel van Heijmans, verlies van vertrouwen bij stakeholders, en verlies van strategische marktposities. |
|
Heijmans mitigeert M&A‑risico’s door de strategische fit vooraf scherp te beoordelen, integratierisico’s structureel te monitoren en alle M&A‑besluiten te verankeren in het formele ERM‑ en governanceproces. |
|
(Geo)politieke omstandigheden |
Het risico dat geopolitieke of nationale veranderingen, zoals conflict, duurzaamheidsregelgeving of handelsbelemmeringen, de operaties van Heijmans negatief beïnvloeden. Geopolitieke spanningen, zoals de oorlog in Oekraïne en handelsconflicten (o.a. VS-China), verhogen wereldwijd de risico's op economische instabiliteit, stijgende inflatie en verstoorde toeleveringsketens. Bedrijven kampen met strategische afhankelijkheden, terwijl cyberdreigingen en fysieke veiligheidsrisico's toenemen. Dit vereist verhoogde weerbaarheid en risicoafdekking. |
|
Heijmans beoordeelt welke impact veranderingen in regelgeving, handel of internationale stabiliteit kunnen hebben op projecten, ketenpartners en operationele continuïteit. Geopolitieke risico’s maken deel uit van het bredere Enterprise Risk Management‑proces. Op die manier is er structurele aandacht van raad van bestuur en raad van commissarissen. |
|
Commercieel & concurrentie |
Het risico dat Heijmans niet optimaal presteert op de Nederlandse markt als gevolg van factoren zoals concurrentie, marktomvang, kwaliteitsissues, veranderende klantbehoeften, mogelijke ontevredenheid, prijsstelling en (financiële) druk vanuit leveranciers. In het afgelopen jaar hebben we de markt verder zien stabiliseren. |
|
Heijmans mitigeert deze risico’s door commerciële beslissingen strikt te toetsen op strategische fit, zodat kansen aansluiten bij het bedrijfsmodel en waardecreatie ondersteunen. Daarnaast worden marktontwikkelingen en klantbehoeften systematisch gemonitord, waardoor tijdige bijsturing mogelijk is. |
|
Operationeel |
Omschrijving bruto risico |
Risico en risicobereidheid |
Beheersmaatregelen |
|
Veilige & gezonde werkomgeving |
Een onveilige werkplek of bouwwerk kan leiden tot fysieke en mentale schade. |
|
Heijmans stelt veiligheid voorop en houdt zich aan alle relevante normen. We bevorderen een proactieve veiligheidscultuur op de werkplek en in sociale interacties. Ons GO!-programma en trede 4 van de Safety Culture Ladder zijn leidend. Integriteit staat centraal; we behandelen iedereen met respect. Het compliance programma omvat o.a. de Gedragscode, het Transactieregister voor Vastgoed en de workshop ‘Zakelijk Zuiver’ voor medewerkers. "We werken veilig of we werken niet". |
|
Projectexecutie |
Projectexecutie kan leiden tot verlieslatende en/of onvoorspelbare projecten en resulteren in klanten die niet tevreden zijn indien niet tijdig mitigerende maatregelen worden genomen. Wanneer klanten niet tevreden zijn, bestaat het risico op het mislopen van referenties en vervolgopdrachten. |
|
Heijmans beheerst projectrisico's door selectief in te schrijven en te focussen op portfoliomanagement. Projecten en servicecontracten worden goedgekeurd volgens de autorisatiematrix; categorie 3 projecten vereisen toestemming van bestuur en CRO. Contractregels en verplichte controles structureren projecten. Het Risk Office beoordeelt onafhankelijk het risicoprofiel en SUP’s volgen de voortgang gedurende de realisatie. Prestatiedashboards geven steeds vaker direct inzicht in prestaties. |
|
Beschikbaarheid en prijs van materialen & ingekochte arbeid |
Het onvoldoende beheersen van inflatie en prijsstijgingen in de toeleveringsketen (zoals onderaannemers, materialen en diensten) en beperkte toegang tot gekwalificeerde en kostenefficiënte leveranciers beïnvloeden de beschikbaarheid en prijs van materialen en producten, wat zowel financiële als technische gevolgen kan hebben voor projecten. |
|
Heijmans beperkt prijsrisico's door zoveel als mogelijk vaste partners te kiezen en tijdig in te kopen en voor langlopende contracten een indexeringsclausule op te nemen. Leveranciers worden geselecteerd en beoordeeld op veiligheid, kwaliteit, kosten, logistiek en engineering/proces. Op basis van deze beoordeling volgt overleg om prestaties en samenwerking te verbeteren of indien nodig alternatieven te zoeken. |
|
IT & Cybersecurity |
Risico's zijn vermogensverlies door diefstal, misbruik of ontoegankelijkheid van systemen, en dat vertrouwelijke informatie kan worden gelekt of privacyregels worden overtreden. |
|
Heijmans past maatregelen toe op het gebied van AVG- en security-management met betrekking tot de beschikbaarheid en continuïteit van informatie, waaronder cybersecurityinbreuken. Op basis van dit beleid zijn beheersmaatregelen ingebed, zoals het formuleren van richtlijnen en het regelmatig uitvoeren van bewustzijn tests bij onze medewerkers. |
|
Organisatie & lerend vermogen |
Het risico bestaat dat Heijmans door onvoldoende capaciteit (kwantitatief en of kwalitatief) en lerend vermogen, initiatieven voor efficiëntie en effectiviteit niet goed kan toepassen in de praktijk. |
|
Heijmans mitigeert risico’s rond Organisatie & Lerend Vermogen door HR‑risico’s expliciet te koppelen aan de strategie richting 2030, door systematische risico‑identificatie en analyse met HR, business en Risk Office, en door gerichte maatregelen rond leiderschap, onboarding, cultuur, compliance en personeelsbeschikbaarheid. We brengen in de toekomst benodigde competenties in kaart en ontwikkelen daarop een actief programma. |
|
Financiële positie en verslaglegging |
Omschrijving bruto risico |
Risico en risicobereidheid |
Beheersmaatregelen |
|
Financiering & financiële veerkracht |
Een actuele, eerlijke rapportage van prestaties en financiële resultaten is belangrijk voor het vertrouwen in en succes van Heijmans. Snelle signalering van ontwikkelingen maakt tijdig bijsturen mogelijk. Beperkte solvabiliteit en liquiditeit verminderen ondernemingsruimte, terwijl beperkte grip op financiën en slechte voorbereiding op tegenvallers de financiële veerkracht aantasten. |
|
Heijmans onderhoudt langdurige relaties met gerenommeerde financiële instellingen en hanteert een gespreid aflossingsschema. Treasury beoordeelt en verdeelt garantieaanvragen bij verschillende aanbieders en bewaakt het verloop ervan. Met bilaterale financiers is er intensief stakeholdermanagement. De strakke planning- en controlcyclus zorgt voor voortdurende beoordeling van financiën, projecten en risico's op korte en lange termijn. |
|
Financiële verslaglegging |
Er bestaat een risico dat de financiële verslaggeving van Heijmans materiële onjuistheden bevat, bijvoorbeeld met betrekking tot omzet, onderhanden werk, kasstromen, of niet voldoet aan de geldende wettelijke vereisten voor financiële verslaggeving. Dit kan naast reputatieschade resulteren in een verlies van vertrouwen bij belangrijke stakeholders, zoals banken en aandeelhouders. |
|
Heijmans mitigeert verslaggevingsrisico’s door een lage risicobereidheid, stevige interne controles, periodieke rapportage en externe accountantscontrole. Dit wordt ondersteund door een strak financieel rapportageproces en het Heijmans- risico raamwerk. |
|
Duurzaamheids-verslaggeving |
Het risico bestaat dat duurzaamheidsverslaglegging niet voldoet aan de ESRS of artikel 8 van Verordening (EU) 2020/852, en er materiële onjuistheden rondom kwantitatieve niet-financiële verslaggeving kunnen voorkomen. |
|
Heijmans beheerst duurzaamheidsverslaggevingsrisico’s via een lage risicobereidheid, een governance‑structuur gebaseerd op het drie‑lijnenmodel, vastgelegde CSRD‑processen, interne controles en externe accountantscontrole. Deze beheersing wordt ondersteund door het Heijmans- risico raamwerk, procesdocumentatie en (in ontwikkeling zijnde) dashboards voor monitoring. |
|
Wet- en regelgeving |
Omschrijving bruto risico |
Risico en risicobereidheid |
Beheersmaatregelen |
|
Wettelijke fiscale |
Wet- en regelgeving verandert snel op het gebied van duurzaamheid, milieu, intellectueel eigendom, ICT-recht, cybersecurity, AVG en energietransitie. Het is daarom essentieel om alert te blijven en aan alle wettelijke, fiscale en regelgevende eisen te voldoen. |
|
Heijmans ziet het naleven van wet- en regelgeving als een vanzelfsprekend onderdeel van professioneel handelen. Binnen ons risicoraamwerk herkennen en beheersen we deze risico’s gestructureerd, ondersteund door het drie‑lijnenmodel en een stevig complianceframework. Door de aangescherpte Corporate Governance Code (2025) hebben we onze interne beheersing verder verdiept, waarbij we aantoonbaar maken dat maatregelen goed zijn ingericht en effectief zijn. Eventuele tekortkomingen pakken we systematisch op, zodat we blijvend kunnen vertrouwen op een integere en betrouwbare bedrijfsvoering. |
|
Contractmanagement, |
Vanuit juridisch perspectief bestaat er een risico met betrekking tot het onjuist beheren van projectgerelateerde contracten en het adequaat onderhouden van verzekeringen. Daarnaast zijn er mogelijk juridische en strafrechtelijke procedures die een negatieve invloed kunnen hebben op de reputatie en publieke beeldvorming van Heijmans. |
|
Heijmans beperkt risico’s rondom contractmanagement, verzekeringen en juridische zaken door strakke beheersing van contracten. Dit omvat onder andere change- en meerwerkmanagement en een onafhankelijke beoordeling van contracten door de general counsel. Dankzij een zorgvuldig en afgewogen verzekeringsbeleid wordt voorkomen dat afwijkingen van contracten, claims of juridische procedures financiële schade of reputatierisico’s veroorzaken die de risicobereidheid te boven gaan. |
|
Integriteit & Gedrag |
Het risico bestaat dat Heijmans-medewerkers zich bewust niet aan interne regels of wetgeving houden, wat kan leiden tot oneerlijke concurrentie, belangenverstrengeling, corruptie, omkoping, fraude, gebruik van voorwetenschap of grensoverschrijdend gedrag. |
|
Heijmans beheerst integriteits- en gedragsrisico’s via o.a. een Gedragscode, cultuur- en bewustwordingstrajecten (Zakelijk Zuiver), duidelijke meldprocedures, en een gedegen governance- en compliance‑structuur gebaseerd op het 3‑lijnenmodel en het complianceframework. |
Risicomanagementcyclus
Het risicomanagementproces is cyclisch en als volgt ingericht:
-
Identificatie: op groepsniveau, bedrijfsstroomniveau en projectniveau worden risico’s en kansen systematisch in kaart gebracht. Hierbij maken we gebruik van instrumenten zoals risicomatrices en heatmaps.
-
Analyse: vormt de basis voor het bepalen welke risico’s prioriteit krijgen en welke beheersmaatregelen noodzakelijk zijn.
-
Beoordeling: risico’s worden beoordeeld op kans en impact, waarbij impact zowel financiële als reputatie- en maatschappelijke aspecten omvat.
-
Beheersing: wordt geborgd via risico- en controlematrices, contractregels, tenderboards en portfoliosturing.
-
Monitoring & rapportage: risicoprofielen worden periodiek geëvalueerd. Het dashboardrapport van de CRO geeft inzicht in de ontwikkeling van de risico’s aan de raad van bestuur en de raad van commissarissen. Aanvullende inzichten komen voort uit Status Update Projecten, periodieke reviews van projecten in uitvoering en de planning- en controlecyclus. Verbeteracties worden centraal geregistreerd en opgevolgd.
Deze cyclus is ingebed in de governance- en managementstructuur en garandeert dat risicomanagement geen eenmalige actie is, maar een integraal onderdeel van onze bedrijfsvoering. Heijmans monitort continu de effectiviteit van de getroffen maatregelen en past deze waar nodig aan, zodat het risicoprofiel in lijn blijft met de strategische doelstellingen, de risicobereidheid en de belangen van stakeholders.
Ontwikkeling van het risicoprofiel
Het risicoprofiel van Heijmans verschuift door zowel interne professionalisering als dynamiek in onze omgeving. Intern blijft onze operationele basis stabiel, maar vraagt toenemende focus op innovatie- en veranderprojecten en meer integrale afwegingen. In het vernieuwde risicoraamwerk – waarin strategie, cultuur, risicobereidheid en interne beheersing samenkomen – zien we dat operationele risico’s zoals veiligheid, projectuitvoering en lerend vermogen stabiel zijn, maar dat strategische en regelgevingsrisico’s licht toenemen door de veranderende context. De uitvoering van de strategie ‘Samen naar 2030’ wordt steeds relevanter voor het risicoprofiel, waardoor het vasthouden aan een uniform en aantoonbaar risicomanagementproces essentieel blijft.
Extern staan we in een complex en volatiel speelveld. Overheidsinitiatieven rondom woningbouw creëren kansen maar vergroten tegelijkertijd onze afhankelijkheid van politiek-bestuurlijke besluitvorming en stikstofregelgeving. Structurele knelpunten zoals netcongestie, elektrificatie, vergunningverlening en krapte op de arbeidsmarkt kunnen leiden tot vertragingen en hogere faalkosten, terwijl margedruk door inflatie en sectorfaillissementen het financiële risicoprofiel kunnen beïnvloeden. Daarnaast nemen compliance- en duurzaamheidsrisico’s toe door strengere (milieu)wetgeving en de invoering van CSRD. Dit alles vraagt steeds meer om een integrale, transparante en toetsbare beheersing. Continue monitoring, governanceversterking en het borgen van risicodiscipline zijn cruciaal om onze (strategische) doelstellingen te kunnen blijven realiseren binnen de vastgestelde risicobereidheid.
Interne beheersing en assurance
Om de betrouwbaarheid en effectiviteit van ons risicomanagement te waarborgen, hebben we een omvangrijk beheersings- en assurance-framework ingericht dat governance, beleidsstructuur, autorisaties, bedrijfsprocessystemen en certificeringen omvat. Internal Audit voert risicogestuurde audits uit en monitort de opvolging van acties.
De externe accountant toetst de jaarrekening, het bestuursverslag en het duurzaamheidsverslag, en externe certificeringen waarborgen kwaliteit, veiligheid en milieu (o.a. ISO 9001/14001, VCA, CO2-Prestatieladder, SCL). Bij overnames wordt ingezet op harmonisatie van managementsystemen en certificeringen, met behoud van ondernemerschap binnen het raamwerk.
-
Heijmans-risicoraamwerk: hierin zijn normen, procedures en maatregelen vastgelegd die gelden op groeps-, bedrijfsstroom- en projectniveau.
-
Self-assessments: lijnmanagement voert periodiek zelftoetsen uit op naleving en werking van beheersmaatregelen.
-
Beheersing van rapportagerisico's: voor de vastlegging van (niet-)financiële verslagleggingsrisico's worden bij kwantitatieve datapunten specifieke beheersmaatregelen vastgelegd in risicocontrolematrices. Deze matrices beschrijven de controleactiviteiten die door de lijn worden uitgevoerd om de volledigheid, juistheid en transparantie van de data te waarborgen.
-
Interne controleverklaringen: conform wet- en regelgeving legt de raad van bestuur verantwoording af over de werking van interne risicobeheersing en controlesystemen.
-
Rol van Internal Audit: voert audits uit op geselecteerde procesonderdelen, rapporteert bevindingen aan de raad van bestuur en de audit- en riskcommissie en adviseert over opvolging.
-
Externe assurance en certificeringen: in aanvulling op de werkzaamheden door de externe accountant is er aandacht voor externe standaarden zoals ISO, de CO₂-Prestatieladder en SCL (veiligheidskeurmerk) om systematische beheersing te ondersteunen.
-
Opvolging van bevindingen: auditbevindingen worden inzichtelijk gemaakt in een dashboard, toegewezen aan verantwoordelijke actiehouders en de voortgang wordt actief gemonitord via rapportages.
Deze opzet zorgt ervoor dat we niet alleen beheersmaatregelen vastleggen, maar ook actief toetsen of deze effectief zijn en gericht blijven op voortdurende verbetering.