7 Goed bestuur

Sinds 2017 heeft de Alliantie een tweehoofdig bestuur: de statutaire directie. De statutaire directie bestaat uit een voorzitter statutaire directie en een statutair directeur Bedrijfsvoering. De statutaire directie is:

• belast met het besturen van de stichting;
• verantwoordelijk voor de naleving van relevante wet- en regelgeving;
• verantwoordelijk voor de realisatie van de doelstellingen, de strategie, de financiering, het beleid en de daaruit voortvloeiende resultatenontwikkeling van de stichting, en het beleid voor verbonden ondernemingen.

De statutaire directie handelt hierbij transparant, gaat zorgvuldig om met het maatschappelijk vermogen van de organisatie en legt hierover verantwoording af aan de raad van commissarissen.

De statutaire directie laat zich bijstaan door drie regiodirecteuren en de directeur Vastgoedonderhoud; samen vormen zij het directieteam (DT). De directeur van De Alliantie Ontwikkeling B.V. is aanwezig bij alle DT-overleggen in de rol van adviseur. We hebben hiermee een bestuursmodel waarin formeel de bestuursbevoegdheid ligt bij de statutaire directie, terwijl de besturing van de organisatie materieel plaatsvindt door het DT. De taken en verantwoordelijkheden van het bestuur en het DT zijn verder uitgewerkt in het Bestuurs- en directieteamreglement.

Het directieteam bepaalt welke koers nodig is om de doelen te halen. Het is verantwoordelijk voor de strategie, de bedrijfsvoering, het risicomanagement en de naleving van wet- en regelgeving. De strategische, financiële en operationele keuzes heeft het DT vastgelegd in het ondernemingsplan. Deze keuzes zijn vertaald in de strategie ‘Iedereen een passend thuis’, die weer is vertaald in de meerjarenbegroting en prestatieafspraken.

In overeenstemming met artikel 55a van de Woningwet heeft de Alliantie een Reglement financieel beleid en beheer. Daarin is opgenomen binnen welke grenzen risico’s die aan haar financiële beleid en beheer zijn verbonden, aanvaardbaar zijn.

We zijn ons ervan bewust dat risico’s onlosmakelijk verbonden zijn met onze werkzaamheden. Om onze doelstellingen te realiseren, is het van belang deze risico’s tijdig te herkennen, te beheersen en waar nodig bij te sturen. Risicomanagement is daarom een integraal onderdeel van onze bedrijfsvoering.

De verantwoordelijkheid voor risicomanagement is organisatiebreed belegd. De uitgangspunten en kaders voor risicobeheersing zijn vastgelegd in het Reglement financieel beleid en beheer. Het bestuur is eindverantwoordelijk, maar ook onze collega’s op de werkvloer zijn onmisbaar bij het signaleren en beheersen van (fraude)risico’s. Een open en risicobewuste organisatiecultuur is daarbij essentieel.

De beheersing van risico’s is een continu proces, waarbij risico’s kunnen veranderen door interne en externe ontwikkelingen. In ons risicomanagementproces onderscheiden we de volgende samenhangende stappen:

• het identificeren van risico’s die de realisatie van onze doelstellingen bedreigen, zowel op strategisch niveau als in de bedrijfsprocessen;
• het inschatten van de kans van optreden en de mogelijke impact van deze risico’s;
• het bepalen van de risicobereidheid in relatie tot onze doelstellingen;
• het vaststellen en uitvoeren van een passende risicostrategie, waaronder het treffen van beheersmaatregelen;
• het toetsen van het bestaan en de effectiviteit van beheersmaatregelen door zelfassessments en audits;
• het monitoren en rapporteren van de risico’s en het bepalen van eventuele vervolgacties ter verbetering van de interne beheersing.

Bij de Alliantie is risicomanagement ingericht volgens het Three Lines Model (IIA 2020). De eerste lijn wordt gevormd door managers en collega’s die verantwoordelijk zijn voor de uitvoering van de bedrijfsprocessen, het realiseren van de doelen en het naleven van interne regels en externe wet- en regelgeving. Zij identificeren risico’s en treffen noodzakelijke beheersmaatregelen. De belangrijkste risico’s en maatregelen worden geregistreerd in een risicoregister.

De tweedelijnsfunctie is belegd bij verschillende afdelingen en functies die kaders stellen, adviseren en toezicht houden op de beheersing van risico’s. De afdeling Strategie en Beleid ontwikkelt beleidskaders en adviseert bestuur en management. De businesscontrollers ondersteunen het management bij het identificeren en beheersen van financiële en operationele risico’s en adviseren over de naleving van vastgestelde kaders. De afdeling Control, onder leiding van de concerncontroller, vervult een coördinerende rol en ondersteunt de organisatie bij het uitvoeren van risicoanalyses en zelftoetsingen, bewaakt de samenhang en kwaliteit hiervan en rapporteert hierover aan de directie. Ten slotte zijn specifieke tweedelijnsverantwoordelijkheden belegd bij de information security officer en de privacy officer, waarover u meer leest in paragraaf 7.3.

Daarnaast vervult de afdeling Control de derdelijnsfunctie door vanuit een onafhankelijke positie audits uit te voeren en aanbevelingen te doen voor procesverbetering. De afdeling Control rapporteert hierover aan de directie en de auditcommissie. Conform de Woningwet is de concerncontroller direct gepositioneerd onder de statutaire directie.

De eerste lijn toetst jaarlijks de effectiviteit van beheersmaatregelen, onder coördinatie van de tweede lijn. De tweede lijn beoordeelt de kwaliteit van de zelftoetsing en borgt daarmee dat dit proces zorgvuldig wordt uitgevoerd. Op basis van de bevindingen uit de zelftoetsing worden verbeteracties geformuleerd om de interne beheersing te versterken. Daarnaast kunnen deze bevindingen aanleiding geven tot audits die door de afdeling Control in haar derdelijnsfunctie worden uitgevoerd. Bevindingen en bijbehorende actiepunten worden gerapporteerd aan de directie.

Bij het realiseren van onze doelen zoeken wij een balans tussen het benutten van kansen en het nemen en beheersen van risico’s. Voor compliancerisico’s en risico’s die onze financiële continuïteit kunnen raken, hanteren wij een lage risicobereidheid. Dit betekent dat wij terughoudend zijn bij activiteiten die onze wettelijke verplichtingen, financiële stabiliteit of reputatie kunnen bedreigen. Voor operationele en strategische risico’s hanteren wij een gematigde risicobereidheid. Daarmee kunnen wij onze kerntaken, zoals het toevoegen van woningen aan de woningvoorraad, doelgericht en met oog voor verantwoorde risico’s uitvoeren. Risico’s worden daarbij afgewogen op basis van de kans dat die zich voordoen en de mogelijke gevolgen daarvan.

Jaarlijks inventariseren en actualiseren wij onze belangrijkste strategische risico’s en bijbehorende beheersmaatregelen. In tabel 7.1 beschrijven wij de belangrijkste risico’s die samenhangen met onze missie, visie en strategische koers, en beschrijven wij kort hoe wij deze risico’s beperken.

De uitvoering van onze dagelijkse werkzaamheden brengt operationele risico’s met zich mee die invloed kunnen hebben op de kwaliteit van onze dienstverlening en het realiseren van onze doelstellingen. Onvolkomenheden in processen, data of systemen kunnen leiden tot fouten of vertragingen. De belangrijkste operationele risico’s hebben betrekking op de uitvoering van onze kernprocessen, zoals woningtoewijzing, onderhoud en nieuwbouw. Om dit te beheersen hebben wij onze belangrijkste bedrijfsprocessen beschreven en voeren wij risicoanalyses uit om de risico’s te identificeren en te monitoren. De toenemende digitalisering brengt daarnaast risico’s met zich mee op het gebied van cybersecurity en privacy. Wij blijven investeren in technische en organisatorische maatregelen om de weerbaarheid tegen digitale dreigingen te vergroten en de bescherming van data verder te verbeteren. Ook zijn wij afhankelijk van leveranciers en ketenpartners voor de uitvoering van werkzaamheden. Door zorgvuldig contractbeheer, spreiding van leveranciers en kwaliteitsborging in aanbestedingen beperken wij risico’s in de keten.

Fraude definiëren we als ‘een opzettelijke handeling door een of meer leden van het management, met governance belaste personen, werknemers of derden, waarbij gebruik wordt gemaakt van misleiding om een onrechtmatig of onwettig voordeel te verkrijgen’. Ook een huurder kan fraude plegen; dit noemen we woonfraude, waarover u meer leest in paragraaf 5.1. Frauduleuze handelingen kunnen ten koste gaan van onze maatschappelijke opgave.

Onder het kopje Integriteit vertellen we hierna graag meer over onze soft controls om fraude te voorkomen. Naast soft controls heeft de Alliantie in haar operationele processen diverse beheersingsmaatregelen geïmplementeerd om fraude te voorkomen, zoals scheiding van functies en autorisaties (waaronder het vierogenprincipe) en helder vastgelegde bevoegdheden. Binnen ons risicoraamwerk is onder andere aandacht voor frauderisico’s in betalingsverkeer waar geldstromen de organisatie verlaten, in inkoop- en aanbestedingsprocessen, bij woningtoewijzingen, het risico op verslaggevingsfraude in onze financiële rapportages, en we hebben aandacht voor (potentiële) woonfraude. De afdeling Control voert jaarlijks een frauderisicoanalyse uit waarbij de belangrijkste frauderisico’s in kaart worden gebracht en de beheersingsmaatregelen om fraude te voorkomen. De uitkomsten van de frauderisicoanalyse, inclusief aanbevelingen en de daaruit volgende acties, worden besproken in het directieteam en met de auditcommissie en de raad van commissarissen.Daarnaast besteden wij specifieke aandacht aan sectorbrede signalen van fraude, waaronder aan de aanbevelingen die de Autoriteit woningcorporaties publiceert in integriteitshandreikingen om corporaties bewust te maken van vormen waarin fraude kan plaatsvinden.

Ethiek, integriteit en het tegengaan van fraude speelt een belangrijke rol in ons dagelijks handelen. De Alliantie beschikt over verschillende instrumenten om de integriteitsbewuste organisatiecultuur te behouden. In het bestuurs- en directiereglement en het Reglement raad van commissarissen van de Alliantie wordt het voorkomen van elke vorm of schijn van belangenverstrengeling uitvoerig beschreven. We hebben een beleid voor ongewenste omgangsvormen, er zijn interne en externe vertrouwenspersonen en nieuwe collega’s worden bij indiensttreding gescreend. Daarnaast hebben we een sanctiebeleid en besteden we meermaals per jaar aandacht aan integriteit door dilemmasessies over integriteit in (management)teams. Ook hebben we een integriteitsplatform dat directie en collega’s adviseert over integriteitsvraagstukken en dat actuele onderwerpen aan de orde stelt. Het integriteitsplatform staat aan de basis van onze gedrags- en integriteitscode.

We voeren onze werkzaamheden uit aan de hand van een gedrags- en integriteitscode die alle collega’s moeten naleven. Doorlopend stimuleren we collega’s om met elkaar te praten over ethische kwesties en elkaar ook aan te spreken op gedrag, dagelijks op de werkvloer en tijdens afdelingsoverleggen en functioneringsgesprekken. Het gaat daarbij over meer dan alleen fraude, denk hierbij bijvoorbeeld aan het scheppen en behouden van een veilige werkomgeving voor al onze collega’s. Op deze manier blijven we bouwen aan een integriteitsbewuste organisatiecultuur.

Naast onze gedrags- en integriteitscode hebben wij een klokkenluidersregeling waarmee collega’s ongewenste zaken, onregelmatigheden of misstanden kunnen melden. In 2025 zijn er geen meldingen gedaan over misstanden.

Zie ook onze webpagina voor de relevante informatie over onze integriteitscodes en gerelateerde beleidsdocumenten.

We onderkennen verschillende inherente (fraude)risico’s als opdrachtgever, bij het sluiten van contracten met derden en in de samenwerking die we opzetten met derden om onze doelstellingen te behalen. Om deze processen goed te laten verlopen, hebben we een inkoopbeleid waarin maatregelen staan om deze processen te beheersen. Hierin zijn onder andere algemene adviezen van de Autoriteit woningcorporaties opgenomen, die ingaan op maatregelen bij opdrachtverstrekking.

We volgen de Gedragscode publiek opdrachtgeverschap. Deze gedragscode houdt in dat we in de rollen van projectontwikkelaar en opdrachtgever integer en transparant zijn.

Als we fraude, corruptie en omkoping willen tegengaan en (een schijn van) belangenverstrengeling willen voorkomen, is het voornaamste risico dat mogelijk verplichtingen worden aangegaan en bijbehorende leveranciers worden geselecteerd op oneigenlijke gronden. We besteden doorlopend aandacht aan het tegengaan van corruptie en omkoping en aan het voorkomen van (een schijn van) belangenverstrengeling. Diverse maatregelen om corruptie, fraude en omkoping te voorkomen, zijn onderdeel van onze frauderisicobeheersing en worden periodiek beoordeeld met onze frauderisicoanalyse (zie hiervoor onder het kopje Frauderisico’s eerder in dit hoofdstuk). Als collega’s in dienst treden vragen wij een verklaring omtrent het gedrag (vog) op en besteden we aandacht aan potentiële belangenverstrengelingen als gevolg van nevenwerkzaamheden. Ook ontvangen zij de gedrags- en integriteitscode van de Alliantie. Daarnaast screenen we potentiële leveranciers en volgen we de Governancecode Woningcorporaties.

Onder compliance verstaan wij het bevorderen en versterken van de integriteit van de organisatie, haar bestuur en haar collega's. Dit doen we door goed gedrag te stimuleren en erop toe te zien dat (interne en externe) regelgeving wordt nageleefd. De compliancefunctie is een onafhankelijke en objectieve toezichthoudende en adviserende activiteit, waarin goed gedrag gestimuleerd wordt bij de Alliantie.

De compliancefunctie wordt vervuld door primair verantwoordelijken van een desbetreffend integriteitsgebied. De functie heeft als doel gewenst gedrag te stimuleren en integriteitskwesties te voorkomen, te ontdekken en te onderzoeken. De compliancefunctie helpt de Alliantie te voldoen aan interne en externe wet- en regelgeving voor integriteit, zoals die geldt voor woningcorporaties.

De Alliantie heeft haar middelen uitsluitend besteed in het belang van de volkshuisvesting. Al haar activiteiten zijn in het belang van de volkshuisvesting en zijn verricht in overeenstemming met de statuten van de stichting. De woongelegenheden liggen binnen het statutaire werkgebied. Op het gebied van beleggen zijn geen risicovolle posities ingenomen.

Het Waarborgfonds Sociale Woningbouw (WSW) beoordeelt ieder jaar de borgbaarheid van de Alliantie. Op basis van de financiële analyse die WSW in 2025 uitvoerde op dPi2024 vindt het fonds de meerjarenbegroting 2025 realistisch, gegeven de uitgangspunten die wij hanteren. Op basis van de totale risicobeoordeling van bedrijfsrisico’s en de financiële risico’s komt het WSW onveranderd tot de conclusie dat de Alliantie binnen het systeem van de WSW een laag risicoprofiel kent, en heeft een borgbaarheidsverklaring afgegeven.

Elk jaar ontvangen alle woningcorporaties in Nederland een beoordeling rechtmatigheid van de Autoriteit woningcorporaties (Aw). In deze brief deelt het ministerie de uitkomsten van zijn jaarlijkse onderzoek naar rechtmatigheid. In november 2025 heeft de Alliantie haar beoordelingsbrief voor 2025 ontvangen waarin de Aw heeft geconcludeerd dat de risico-inschatting laag is op alle onderzochte onderdelen van het beoordelingskader. Het onderzoek geeft geen aanleiding om een nader onderzoek uit te voeren of interventies op te leggen.

De Alliantie heeft als lid van de Vereniging van Nederlandse Projectontwikkeling Maatschappijen (NEPROM) de NEPROM-code ondertekend. Onze interne gedragscode is met deze code in overeenstemming. Als uitvloeisel van deze code hebben wij onder meer een vastgoedtransactieregister en een contactpunt om (vermoedens van) misstanden te melden.

In 2025 hebben we belangrijke vervolgstappen gezet in het verder professionaliseren en borgen van de informatiebeveiliging in de organisatie. Hiermee hebben we voortgang geboekt voor een structurele beheersing volgens het ISO 27001-framework. De nieuwe beveiligde digitale werkplek is succesvol geïmplementeerd. Daarmee voldoet de organisatie aan aangescherpte beveiligingsstandaarden voor gebruikersapparaten ’en identiteits- en toegangsbeheer, en is de weerbaarheid tegen cyberrisico’s versterkt. Ook hebben we verbeteringen doorgevoerd in monitoring, detectie en incidentrespons, onder andere met behulp van beveiligingsoplossingen. In 2025 hebben we extra aandacht besteed aan het verbeteren van het inzicht in leveranciers- en ketenbeveiliging. We implementeren in 2026 vervolgstappen om de grip hierop verder te vergroten. Bewustwording bij medewerkers blijft een belangrijk aandachtspunt en wordt versterkt met gerichte awareness-activiteiten.

Met deze stappen is de informatiebeveiliging volwassener geworden en hebben we een stevig fundament gelegd voor verdere groei van aantoonbare compliance met ISO 27001 en continue verbetering.