De bestuursstructuur bestaat uit één directeur-bestuurder ('bestuurder') en het managementteam, de concerncontroller en de staffunctionarissen. Hiermee is kennis, kunde, teamsamenstelling en teamspirit goed en vloeiend geborgd. 

WoonFriesland houdt zich aan de Governancecode woningcorporaties 2025, die vanaf 1 januari 2025 van kracht is.

Het risicomanagement richt zich op de voornaamste risico's en onzekerheden waarmee wij worden geconfronteerd. De hoog blijvende inflatie en de gestegen rente zorgen voor energiearmoede bij onze bewoners, voor onzekerheid over het kunnen realiseren van nieuwbouw- en verbeteringsprojecten en voor een grotere financiële onzekerheid. Daarnaast zijn eind 2024 de nieuwe landelijke prestatieafspraken voor de periode 2025-2035 gemaakt. Hieraan zijn ook voor ons risico’s verbonden, zoals de onzekerheid over het kunnen realiseren van de verwachte huuropbrengsten.

WoonFriesland beschikt over een actueel Risk Control Framework (RCF). Dit RCF spreekt aan en wordt omarmd door onze organisatie vanwege zijn pragmatische eenvoud, gericht op onze basisprocessen en de materiële impact en risicobeheersing van ons handelen.

In 2025 zijn wij verder gegaan met het aanbrengen van meer verbinding en samenhang tussen de verschillende Frameworks (RCF als basis, Privacy Control Framework, Tax Control Framework en verbeterregisters zoals General IT Controls (GITC)).

Eigenaarschap en beheersing worden gecoördineerd en aangestuurd vanuit het sturingsoverleg met leidinggevenden. In het sturingsoverleg, waarin leidinggevenden en staf vertegenwoordigd zijn, zijn diverse risicosessies geweest. Hierbij zijn risico’s geïdentificeerd en gescoord en beheersingsmaatregelen benoemd. Dit zowel ten aanzien van securityrisico’s als risico’s die samenhangen met de KPI’s vanuit het jaarplan.

Een belangrijke koppeling en wisselwerking van informatie over afspraken met stakeholders vindt plaats in het periodieke Strategisch Overleg met in ieder geval team Relatiemanagement, team Assetmanagement en de concerncontroller. Voorzitter tijdens dit overleg is de bestuurder. Hierin staan de koppeling en wisselwerking centraal van informatie over afspraken met stakeholders (de biedingen en prestatieafspraken, het portefeuilleplan en assetmanagement, omgevingsanalyse, voortgang beleid, financiën en risk). Ook dit draagt in belangrijke mate bij aan onze risicobeheersing.

In het tweewekelijkse Managementteamoverleg, waarbij MT-leden en de concerncontroller aanwezig zijn, worden onder leiding van de bestuurder de voortgang van de processen, maandrapportages en risico’s besproken en waar nodig afgestemd en acties ondernomen. Maandelijks vindt na afloop van het Managementteamoverleg een gezamenlijk overleg met de staf plaats om actuele onderwerpen met elkaar te delen.

Elke zes weken zijn in 2025 Kenniscafé’s georganiseerd waarin diverse onderwerpen aan de orde zijn geweest, zoals waterschaarste in provincie Fryslân, waterpompen en thuisbatterijen in de sociale woningbouw en weerbaarheid bij cyberaanvallen. Doel hiervan is kennisdeling en verbinding. Daarnaast zijn de periodieke Zeepkisten in 2025 weer geweest voor alle medewerkers onder leiding van de bestuurder. Tijdens deze bijeenkomsten worden visie, strategie en belangrijke ontwikkelingen gedeeld en hebben medewerkers de gelegenheid om hun vragen rechtstreeks te stellen aan de bestuurder.

Zoals vrijwel iedere organisatie hebben ook wij in toenemende mate te maken met risico's op het gebied van informatiebeveiliging. Een belangrijk traject - de verbetering van de GITC (Gereral IT-Controls) - hebben wij bewust apart gezet van het RCF-traject. Deze risico's zijn specifiek en vragen om de inzet van deskundigheid, goed advies en begeleiding van buiten. Wij hebben dit, aanvullend op ons eigen ICT-team, extern belegd. Jaarlijks voeren we een uitgebreide risicoanalyse uit, waarbij de belangrijkste risico’s zijn geïdentificeerd en zijn gescoord en waarbij ook de bestaande beheersingsmaatregelen zijn benoemd. Actiepunten vanuit deze risicoanalyse zijn opgenomen in het Security jaarplan. Periodiek wordt de voortgang van dit jaarplan besproken op bestuurlijk niveau.

Sinds 2023 is de rol van Functionaris Gegevensbescherming (FG) intern belegd bij het team Control & Compliance. Tot die tijd was deze rol extern belegd. Op basis van het Privacy jaarplan zijn door de FG acties uitgezet, waarbij met name ingezet is op bewustwording rondom de AVG en aanverwante privacy gerelateerde zaken. Dit onder andere door diverse sessies in het Sturingsoverleg en presentaties aan alle teams over de impact van de AVG.

In 2022 zijn landelijke prestatieafspraken gemaakt over de inzet van de vrijgevallen middelen van de afschaffing van de verhuurderheffing. Hierin zijn onder andere afspraken gemaakt over extra nieuwbouw, verduurzaming en betaalbaarheid. Eind 2024 zijn deze afspraken herijkt en zijn nieuwe afspraken gemaakt voor de periode 2025-2035.

Door de economische ontwikkelingen, zoals de blijvend hoge inflatie en gestegen rente en de onzekerheden met betrekking tot de huurinkomsten, staan de kasstromen wel onder druk. Om inzicht te hebben in de mogelijke impact, voeren we minimaal elk kwartaal een ‘stresstest’ uit op de financiële haalbaarheid van de meerjarenbegroting. Daarbij rekenen wij de nieuwste inzichten door en bespreken dit in de overleggen met bestuur en de Raad van Commissarissen, indien de uitkomsten afwijken van de begrotingsvariant.

Door ons bedrijfsmodel liggen continuïteitsproblemen niet direct voor de hand, om de volgende redenen:

• De huurstromen zijn omvangrijk en goed gespreid;
• Het onroerend goed is normaal gesproken courant en waardevast;
• De financiële ratio's zijn goed en bieden de vereiste veiligheidsbuffers.

Ook hebben we niet direct te maken met een liquiditeitsrisico. Aantrekken van liquiditeiten bij de sectorbanken BNG/NWB lukt goed. Ook een nog verdere rentestijging heeft op korte termijn geen grote invloed op onze kasstromen. Zo nodig kunnen we temporiseren in onderhouds- en investeringsuitgaven om de uitgaande kasstroom en verzwaring van de financieringslast te beperken. Ook kunnen we krimpen in flexibele kosten.

De hoge inflatie en enorm gestegen energieprijzen raken onze bewoners hard. Om de woonlasten betaalbaar te houden, hebben we de verduurzaming van de woningen met energielabel D of slechter naar voren gehaald. Eind 2025 heeft 97% van onze woningen al een energielabel C. In 2026 gaan we verder om de resterende woningen naar label C te brengen en tegelijkertijd gaan we verder met de verduurzaming om eind 2030 alle woningen op energielabel B te hebben. We lopen hiermee voor op de Nationale prestatieafspraken en gaan daarin ook verder.

Onze bijzondere aandacht voor bewoners bij wie (mogelijk) betalings- en incassoproblemen ontstaan, is gebleven. De primaire verantwoordelijkheid voor de extra aandacht ligt bij de wijkconsulenten. Zij worden ondersteund door team Bijzonder beheer. Ons doel is om bewoners zo vroeg mogelijk hulp te bieden. Zo kunnen we uiteindelijke uitzettingen wegens betalingsproblemen voorkomen. Voorwaarde is wel dat de bewoners zich houden aan de gemaakte afspraken.

Buiten de effecten van de huidige economische ontwikkeling, landelijke prestatieafspraken en informatiebeveiliging, zien wij als voornaamste risicogebieden:

1. Netcongestie
2. Klimaatrisico’s
3. Betaalbaar wonen
4. De hoge investeringen in kwaliteit en stapsgewijze verduurzaming
5. Het laag houden van de bedrijfslasten
6. Het ons kunnen richten op onze kerntaak als het sociaal verhuurbedrijf
7. Voldoende financiële weerbaarheid

Zonder elektriciteit geen nieuwbouw en geen bestaande woningen van het gas af. Het bestaande elektriciteitsnet in Friesland is helaas niet altijd opgewassen tegen de groeiende elektriciteitsvraag. Dit heeft netcongestie als gevolg. Het risico bestaat dat we hierdoor onze volkshuisvestelijke taak onvoldoende kunnen realiseren en we onze gemaakte prestatieafspraken niet halen. In de praktijk lopen we hier al tegenaan. In Koudum kon de nieuwbouw niet direct aangesloten worden. Ook bij andere nieuwbouw- en verduurzamingsprojecten kan dit op korte termijn gaan spelen.

We proberen dit risico te beheersen door vroegtijdig met de netbeheerders op bestuurlijk niveau om tafel te gaan en de komende projecten met elkaar af te stemmen.

Door de opwarming van de aarde verandert ons klimaat en nemen weersextremen toe. De kans op hitte, droogte, wateroverlast en overstromingen neemt toe. Deze weersextremen brengen risico’s met zich mee en beïnvloeden de leefbaarheid in en rondom onze woningen.

Om de effecten te beperken, richten we de gebouwde omgeving klimaatbestendig in en treffen daarvoor klimaatadaptieve maatregelen. We willen woningen en tuinen vergroenen, slim omgaan met regenwater en hittestress voorkomen. Dit doen we bijvoorbeeld door met bewoners en gemeenten te onderzoeken hoe we de verstening kunnen aanpakken in straten en tuinen. Ook nemen we ons eigen groenbeheer onder de loep.

Door de hoge bouwkostenstijging en beperkte beschikbaarheid van arbeid en materiaal bestaat het risico dat we onvoldoende in nieuwbouw, kwaliteit en verduurzaming kunnen investeren en we hierdoor onze volkshuisvestelijke opgave onvoldoende kunnen realiseren. De beheersing van dit risico wordt steeds lastiger.

Wij proberen dit risico met name te beheersen door de professionaliteit van onze gehele organisatie te verbeteren (waaronder het laag houden van de bedrijfslasten, scenario-analyses, integratie van vastgoed- en financiële sturing), ingezette innovaties in het DreamHûs-project, liquiditeitssturing en het blijven beheersen van de business risks uit het gezamenlijk beoordelingskader van Aw/WSW. 

Dit alles doen we geheel binnen de financiële normen van Aw en WSW, omdat we anders onder verscherpt toezicht komen te staan. Daarnaast maken we afspraken met onze aannemers over af te nemen volumes, zoals bijvoorbeeld het aantal af te nemen nieuwbouwwoningen. Onze risicobereidheid is voor betaalbaar wonen gemiddeld.

De verduurzamingsopgave is een pittige. Op lange termijn is er een discrepantie tussen opgaven en middelen, zoals blijkt uit landelijke en regionale onderzoeken en informatie. Dit geldt voor nagenoeg iedere woningcorporatie. Deze risico's raken de bouwkundige staat van relatief oud bezit, waaronder veiligheidsrisico's (asbest, balkons en breedplaatvloeren) en de risico's dat investeringen in verduurzaming onaanvaardbaar stijgen. Hierdoor bestaat het risico dat we onze volkshuisvestelijke opgave niet kunnen realiseren of - als we dit wel realiseren - we niet meer aan de financiële normen voldoen en mogelijk onder verscherpt toezicht komen.

Ons standpunt over verduurzaming is dat investeringen betaalbaar moeten zijn en de woonlasten van de bewoner niet onaanvaardbaar mogen stijgen. Onze risicobereidheid is laag. Dit sluit aan op onze risicobeheersing voor relatief oud bezit op dit moment, op grond van de getroffen maatregelen. Door stapsgewijs te verduurzamen en innovaties in te zetten, mitigeren we de genoemde risico’s tot een laag niveau.

Het risico van te hoge bedrijfslasten is laag, in lijn met onze risicobereidheid. Dit komt door de voortdurende toename van onze professionaliteit, de flexibele omvang en structuur, het in stand houden van onze activiteiten met 21.000 vhe's en het reeds bereikte lage niveau van bedrijfslasten. Dit blijkt ook jaarlijks uit de hoge Aedes benchmark-score voor de bedrijfslasten. 

Daarnaast zetten we in op hergebruik van materialen en vervangen we bijvoorbeeld alleen keukens als ze echt 'af’ zijn. Dit doen we niet alleen in verband met kostenbesparing, maar ook in het kader van duurzaamheid/circulariteit. Het risico bestaat anders dat door te hoge bedrijfslasten we onze volkshuisvestelijke opgave niet kunnen realiseren. Door de bedrijfslasten laag te houden, kunnen we onze inkomsten zo goed mogelijk inzetten voor onze bewoners.

Er is een laag risico dat onze bedrijfsvoering (processen en invoering van innovaties en digitalisering) onvoldoende aangepast is aan de ontwikkelingen in de maatschappij en we hierdoor onvoldoende grip houden op de besturing van WoonFriesland. Dit geldt ook voor het risico dat wij niet voldoen aan wet- en regelgeving zoals Woningwet, AVG en OOB. Wanneer we hier niet aan te voldoen, bestaat het risico om onder verscherpt toezicht te komen en eventueel boetes opgelegd te krijgen.

Dit voorkomen wij door maatregelen te treffen die we al in voorgaande jaren in gang hebben gezet, zoals:

• Doorontwikkeling van de informatievoorziening met Power BI;
• Het koppelen van risico’s (beheersingsmaatregelen) aan KPI's en teamplannen;
• Opleiden van eigen medewerkers en waar nodig het aantrekken en inhuren van professionals;
• Leiderschapsprogramma, tweede paar ogen principe en meldplicht.

Het risico dat wij ons niet zouden kunnen richten op onze kerntaak als 'het sociaal verhuurbedrijf' wordt daardoor gemitigeerd tot laag. Dit sluit aan op onze lage risicobereidheid.

Ook onze financiële weerbaarheid wordt kwetsbaarder doordat de kasstromen onder druk staan. Dit komt door onzekerheid over de huurinkomsten, kostenstijgingen en de toenemende heffingen en belastingen. Hierdoor bestaat het risico dat we onvoldoende financiële mogelijkheden hebben om onze volkshuisvestelijke taken te realiseren. Daarnaast bestaat het risico dat we de financiële normen van Aw/WSW niet halen en we hierdoor onder verscherpt toezicht komen. 

We sturen strak op het realiseren van onze begroting, waarbij we inzetten op maximaal volkshuisvestelijk presteren. Hiervoor is actuele en accurate sturingsinformatie onmisbaar. Het benodigde instrumentarium hiervoor ontwikkelen we steeds verder door.

Naast een goede kostenbeheersing en sturing hierop, hebben wij een beperkte ‘vluchtstrook’ ingebouwd in onze financiële normen ten opzichte van de normen van Aw/WSW. Onze risicobereidheid is laag en wij vinden ons beleid op dit punt voldoende om het risico te beheersen.

Het management heeft de verantwoordelijkheid om het risicobeleid uit te dragen en risicoanalyses uit te voeren als onderdeel van de managementtaken. Onderdeel van de risicoanalyse is het in beeld brengen van, en beheersmaatregelen nemen tegen mogelijke fraude- en integriteitsrisico’s. Dit heeft met name te maken met de sociale taak die wij als sociaal verhuurbedrijf hebben en zorgt dat we goed omgaan met de middelen die we te besteden hebben. Daar gaan we zorgvuldig mee om en dit verwachten we dan ook van al onze medewerkers.

Om hier handen en voeten aan te geven, heeft de bestuurder met het management en de concerncontroller de frauderisico’s in kaart gebracht.

De onderkende frauderisico’s zijn onder andere:

• Het risico dat woningen onrechtmatig aan bevriende huurders en/of collega’s worden toegewezen.
• Het risico dat opdrachten voor meer- minderwerk niet op de juiste gronden en/of ten onrechte worden verstrekt en betaald.
• Het risico dat de onderhoudsactiviteiten ten onrechte worden opgenomen in de MJOP en/of inschatting van de bijbehorende kosten te hoog is. Onderhoud kan hierdoor onterecht of tegen te hoge prijzen worden uitgevoerd. 
• Het risico dat WoonFriesland hogere prijzen betaalt voor projecten dan in de markt gangbaar zijn.
• Het risico dat autorisaties voor onze ICT-systemen onrechtmatig worden toegekend.
• Het risico op onrechtmatige beïnvloeding van de verantwoording vanuit schattingsposten: met name de waardering van het vastgoed in exploitatie en de toelichting op de beleidswaarde (verslaggevingsfraude).
• Het risico op CEO-fraude.
• Het risico op fraude als gevolg van niet uitgevoerde werkzaamheden die wel gefactureerd worden.
• Het risico op betalingsfraude als gevolg van onjuiste bankrekeningnummers van crediteuren.

Deze risico’s spelen onder andere op het gebied van verhuur. We zorgen ervoor dat het verhuurproces eerlijk en transparant verloopt. Ook op het gebied van investeringen, planmatig onderhoud, inkopen en betaling hanteren we een beleid waarbij de uitgaven gemonitord en getoetst worden.

Op het gebied van automatisering zorgen we met het vier-ogenprincipe voor de juiste autorisaties en toegang tot systemen. We gebruiken alleen die functionaliteit die noodzakelijk is voor de functie. Aansluitend is er binnen ons risicoraamwerk aandacht voor het risico op verslaggevingsfraude in onze financiële rapportages.

Deze frauderisico’s worden periodiek besproken met het management, de bestuurder en de RvC en waar nodig wordt actie ondernomen. De beheersmaatregelen hebben betrekking op het vier-ogenprincipe, gebruik van onafhankelijke derden en markttoetsing. Daarnaast voert team Control & Compliance controles uit waarbij de uitkomsten periodiek gerapporteerd worden aan de bestuurder en de RvC.

Daarnaast is ook vastgesteld hoe we met elkaar omgaan binnen WoonFriesland. Hierover zijn richtlijnen vastgelegd in bijvoorbeeld de integriteitswijzer. In de integriteitswijzer staat onder andere hoe we met elkaar omgaan, wat we van elkaar verwachten en wat onze werkhouding is, zowel intern als naar buiten toe. En ook wat wij verwachten van onze aannemers en partners. We zijn transparant in onze werkwijzen. Deze documenten zijn daarom ook allemaal te vinden op onze website.

In 2025 heeft de Autoriteit woningcorporaties de Handreiking integriteit en fraude woningcorporaties 2025 uitgebracht. Het betreft hier deels een herijking van de eerdere handreiking gepubliceerd in 2024. Nieuwe onderwerpen zijn meegenomen in het fraude-responsplan zoals opgesteld door team Control & Compliance. Dit fraude-responseplan helpt ons bij een passende en procesmatige aanpak van onderzoek naar (vermoeden van) fraude, inclusief opvolging en afhandeling van incidenten. Dat stelt ons in staat om adequaat en voortvarend te handelen om schade voor WoonFriesland – in welke vorm dan ook – zoveel mogelijk te beperken.

We beschikken over een actuele klokkenluidersregeling. We vinden het belangrijk dat onze collega’s eventuele misstanden kunnen melden.

Met de aanwezigheid van een interne Functionaris Gegevensbescherming (FG) kunnen medewerkers laagdrempelig melding doen van eventuele datalekken en informatieverzoeken. Ook in 2025 besteedden we hier aandacht aan in de vorm van bijvoorbeeld trainingen en/of workshops. Op die manier houden we integriteit onder de aandacht.