Enterprise Risk Management Policy - NL by WDP - Warehouses with Brains

Enterprise Risk Management Policy WDP Groep

Risicofilosofie

Aan de hand van zijn strategie wil WDP duurzame waarde creëren voor zijn klanten, zijn aandeelhouders en alle belanghebbenden. WDP wil een sterke en groeiende inkomstenstroom en dividend creëren en daarbij tegelijkertijd de duurzame waarde van zijn eigendommen en solide operationele en financiële KPI's behouden. De activiteiten van WDP zijn blootgesteld aan een aantal interne en externe risico's of onzekerheidsfactoren die een impact kunnen hebben op het vermogen van de Groep om zijn algemene strategische doelstellingen te realiseren. Het risicobeheer van de Groep focust op risicobewustzijn en de controle en/of beperking van reële risico's of bedreigingen en laat tegelijk ruimte voor beheersbare risico's (in combinatie met opportuniteiten) met het oog op het genereren van waarde en beschermen van onze aandeelhouders, klanten en andere stakeholders. Dit betekent dat de Groep een eerder voorzichtige tot evenwichtige risk appetite heeft die wordt opgenomen in de besluitvormingsprocessen bij het nastreven van onze strategische doelstellingen. De Groep is ervan overtuigd dat risicobeheer integraal deel moet uitmaken van de bedrijfscultuur om zo een omgeving te creëren waarin mensen aangespoord worden om risico's te identificeren en aan te pakken en eventuele risico's met de nodige transparantie te behandelen.

Toepassingsgebied

Het risicobeheerbeleid van de Groep is in dezelfde mate en volledig van toepassing op alle activiteiten (dus binnen alle entiteiten, gebieden, functies, enz. van WDP).

Methodiek

Wanneer het op risicobeheer aankomt, hanteert WDP een geïntegreerde benadering gebaseerd op het 'model van de drie verdedigingslijnen' (Three Lines of Defence Model). Dit model bepaalt hoe specifieke verantwoordelijkheden toegewezen kunnen worden binnen WDP’s organisatie met het oog op het bereiken van de doelstellingen van WDP en het beheersen van de daarmee gepaard gaande risico’s. Deze benadering draagt bij tot de versterking van de risicocultuur, het nemen van verantwoordelijkheid voor het managen van risico’s en interne beheersing en het steeds verder optimaliseren en integreren van de onafhankelijke controlefuncties (risicobeheer, compliance, interne audit).

WDP Enterprise Risk Management Policy | 2

• Eerste lijn – bezit en beheer risico’s en controle De business zelf draagt de verantwoordelijkheid voor alle risico’s van zijn eigen processen en dient te zorgen voor de identificatie ervan en de effectieve controles. De business verzekert hierbij dat de juiste controles op de correcte manier worden uitgevoerd en dat er voldoende kwaliteit schuilt in zelfbeoordeling van de eigen business en dat er voldoende risicobewustzijn aanwezig is alsook voldoende capaciteit wordt toegewezen aan risico-onderwerpen. Risicobeheer maakt integraal deel uit van de manier waarop de Groep wordt gerund. Dit gaat van dagelijks financieel en operationeel beheer, met inbegrip van het four eyes-principe, de analyse van nieuwe investeringsdossiers, het formuleren van de strategie en objectieven, tot het verankeren van de strakke procedures voor de besluitvorming. Daarom is het risicobeheer de verantwoordelijkheid van de hele WDP Groep, i.e. over alle lagen van de organisatie heen, zij het op ieder niveau met een verschillende verantwoordelijkheid. • Tweede lijn – continue monitoring van risico’s en controle Dit betreffen de functies die ondersteuning bieden aan de business en het management door expertise aan te brengen en onafhankelijk van de business een eigen mening te formuleren over de risico’s waarmee WDP geconfronteerd wordt: risicobeheerfunctie, compliancefunctie, financiële controlefunctie, IT securityfunctie. Deze functies geven een behoorlijke zekerheid dat de business zelf (via het eerstelijnsmanagement) zijn risico’s onder controle heeft. Uiteraard blijft de primaire verantwoordelijkheid bij de eerste lijn liggen. Hiertoe dienen de tweedelijnsfuncties risico’s te identificeren, te meten en te rapporteren. • Derde lijn – voorzien in een onafhankelijk controlesysteem De interne audit kan worden begrepen als een onafhankelijke beoordelingsfunctie, ingebed in de organisatie, gericht op het onderzoek en de beoordeling van de goede werking, de doeltreffendheid en de efficiëntie van de processen, procedures en activiteiten van WDP. Dit kan onder meer betrekking hebben op operationele aangelegenheden (kwaliteit en aangepastheid van systemen en procedures, organisatiestructuren, beleidslijnen en gehanteerde methoden en middelen ten opzichte van doelstellingen), financiële aangelegenheden (betrouwbaarheid van de boekhouding, de jaarrekening en het financiële verslaggevingsproces), naleving van de geldende (boekhoud)reglementering, managementaangelegenheden (kwaliteit van de managementfunctie en stafdiensten in het kader van de doelstellingen van de Groep), alsook op de compliance functie en de risicobeheerfunctie.

Governance

Met betrekking tot governance combineert onze geïntegreerde aanpak een strategische top-downvisie met een aanvullend operationeel bottom-upproces.

WDP Enterprise Risk Management Policy | 3

De Raad van Bestuur heeft de algemene verantwoordelijkheid om toezicht te houden op de risico's en een solide systeem voor risicobeheer en interne controle te handhaven. De Raad van Bestuur weet hoe belangrijk het is om marktgebonden, strategische, operationele, financiële en compliance-risico's te identificeren en actief op te volgen, naast andere bedreigingen, trends en uitdagingen op langere termijn waar de onderneming voor staat. Het Auditcomité ondersteunt de Raad van Bestuur bij het beheren van risico's en moet in de loop van het jaar de efficiëntie van het risicobeheer en de interne controleprocessen beoordelen. De leden van het Managementcomité staan in voor het dagdagelijkse beheer van de risico's binnen hun eigen business unit. Samen met hun team zullen de leden dan ook de belangrijke en nieuwe risico's afbakenen en de verantwoordelijkheid opnemen voor de interne opvolging en controle van deze risico's. Daarnaast legt het Managementcomité zich ook toe op de beoordeling van de voorgestelde strategieën voor risicobeheer, en op het ontwerpen, invoeren en beoordelen van de interne controle. Uitvoerend en leidinggevend personeel mag ook vergaderingen van het Auditcomité of het Managementcomité bijwonen om relevante informatie en inzichten aan te dragen die betrekking hebben op hun verantwoordelijkheidsgebied. WDP NV | BE-REIT (Openbare GVV naar Belgisch recht) | Blakebergen 15 | 1861 Wolvertem | België | +32 (0)52 338 400 info@wdp.eu | www.wdp.eu | Ondernemingsnummer: 0417.199.869 | BTW BE 0417.199.869 | RPR Brussel Nederlandstalige Afdeling

WDP Enterprise Risk Management Policy | 4

Binnen WDP wordt de functie van risk manager uitgevoerd door de CFO. Vanuit deze functie heeft hij een algemeen beeld van alle facetten van de Groep en zo kan hij de risicobeheeractiviteiten efficiënt sturen. De risk manager oefent zijn functie uit door een analyse te maken van de risico's waarmee de Groep geconfronteerd wordt, opgesplitst in categorieën, zowel op regelmatige basis als ad hoc. Deze analyse gebeurt in nauwe samenwerking met de compliance officer en de verschillende risk ambassadors binnen de onderneming. Ook het uittekenen, ontwikkelen, opvolgen, updaten en toepassen van het risicobeheer van de onderneming behoort tot het takenpakket van de risk manager. De risk manager leidt en ondersteunt het netwerk van risk ambassadors binnen de onderneming. Indien nodig faciliteert de risk manager risico-escalaties. Voor elk bedrijfsplatform werd er een risk ambassador aangesteld. De risk ambassadors kunnen beschouwd worden als het aanspreekpunt voor de medewerkers van WDP als zij een (potentieel) risico willen melden. Daartoe werd er een laagdrempelig meldingssysteem ingevoerd zodat elke medewerker binnen #TeamWDP (potentiële) risico's kan melden op een toegankelijke en gebruiksvriendelijke manier. De risk ambassador helpt om het risico te beoordelen en in kaart te brengen binnen de grenzen van de tool voor risicobeoordeling. Voor elk risico in de risk register werd een niet-exhaustieve reeks van Key Risk Indicators opgesteld die in een vroege fase kunnen wijzen op een toenemende risicoblootstelling en concreet advies kunnen aanreiken om risico's te beoordelen. Daarnaast spelen de risk ambassadors een cruciale rol om een positieve risicocultuur te promoten binnen de onderneming en om ons beter bewust te maken van de risico's. Interne audit biedt garanties aan het Auditcomité door het ontwerp en de operationele efficiëntie van de processen voor risicobeheer en interne controle te beoordelen aan de hand van een onafhankelijk onderzoek (zie het Corporate Governance Charter voor meer informatie over de functie interne audit). De risicobeheerfunctie wordt ook jaarlijks doorgelicht door een onafhankelijke consulent en de resultaten worden voorgelegd aan de Raad van Bestuur.

Risicocultuur

Bij WDP zijn we ervan overtuigd dat we het risicobeheer van onze onderneming optimaal kunnen benutten door risicobeheer een vaste plaats te geven in de dagdagelijkse werking van #TeamWDP. We streven naar een risicocultuur waarbij iedereen binnen #TeamWDP de risicobenadering van WDP begrijpt, niet aarzelt om risico's openlijk en eerlijk ter sprake te brengen, zich persoonlijk verantwoordelijk voelt om de risico's te beheren bij alles wat we doen, anderen betrekt als dat een betere optie is en anderen aanmoedigt om hetzelfde te doen. We zorgen er dan ook voor dat de risico-infrastructuur beschikbaar is en willen iedereen binnen WDP bewust maken van de risico's door opleidingen rond risicobeheer te organiseren, de beschikbaarheid van de risk ambassadors, door het engagement van de leden van het Managementcomité en door een cultuur van opbouwende kritiek te creëren.

WDP Enterprise Risk Management Policy | 5

Risk appetite

De Raad van Bestuur bepaalt het risiconiveau dat aanvaardbaar is voor WDP om zijn strategische doelstellingen te bereiken. Minstens een keer per jaar zal de Raad van Bestuur de risk appetite van de onderneming beoordelen, de beschikbare informatie en de relevante risicofactoren opnieuw evalueren. Met deze dynamische aanpak kunnen we garanderen dat onze risicoblootstelling altijd gepast blijft. Het risk dashboard, de tool om te rapporteren aan de Raad van Bestuur, legt ook de risk appetite vast voor elk risico op een schaal die gaat van een bijna-nultolerantie over beperkt risico's nemen tot een open risk appetite waarbij potentiële verliezen aanvaard zouden worden. De Groep werkt binnen de contouren van een voorzichtige tot evenwichtige risicobereidheid. De bijnanultolerantie of voorzichtige bereidheid heeft betrekking op juridische, regelgevende, HSES-, complianceen financiële risico's. De Groep hanteert een beperkte tot evenwichtige risicobereidheid in haar streven naar de realisatie van haar strategische en operationele doelstellingen.

Risicobeheerproces

7.1

Algemeen

De marktomgeving en de algemene wettelijk vereiste en regelgevende voorwaarden waaraan WDP gebonden is, evolueren voortdurend. WDP heeft een risicobeheersysteem ingevoerd om te garanderen dat we de risico's die relevant zijn voor de Groep kunnen identificeren, beoordelen, beheren en opvolgen. Dit beperkt het risicopotentieel, ondersteunt onze strategische ontwikkeling en bevordert verantwoord ondernemerschap. In 2021 werd het risicobeheerbeleid van de Groep herzien, bijgewerkt en aangepast aan de huidige complexiteit, dimensies en strategische doelen van WDP en aan de veranderende context, zoals regelgeving, ESG en klimaatverandering. •

•

Om te beginnen heeft de risk manager een risk register opgesteld die een overzicht geeft van de risico's waarmee de onderneming geconfronteerd wordt. De risico's worden ingedeeld in categorieën en gelabeld (trend, termijn, bron, type). Het risk register werd doorgelicht en goedgekeurd door het Managementcomité en het Auditcomité en werd vervolgens ter goedkeuring voorgelegd aan de Raad van Bestuur. Na goedkeuring van het risk register, heeft de Raad van Bestuur dan de risk appetite vastgelegd voor elk van deze risico's en, op basis van een risicobeoordeling, de risicowaarde van elk risico bepaald. WDP NV | BE-REIT (Openbare GVV naar Belgisch recht) | Blakebergen 15 | 1861 Wolvertem | België | +32 (0)52 338 400 info@wdp.eu | www.wdp.eu | Ondernemingsnummer: 0417.199.869 | BTW BE 0417.199.869 | RPR Brussel Nederlandstalige Afdeling

WDP Enterprise Risk Management Policy | 6

•

Daarnaast zal de Raad van Bestuur elk jaar een grondige beoordeling maken van het risicobeheer van de Groep want via een dergelijke periodieke controle en opvolging kunnen we garanderen dat het risicobeheer van WDP blijft verbeteren (bv. identificatie van nieuwe risico's, de veerkracht van WDP versterken, het niveau van risk appetite aanpassen, afstemming tussen het risicobeheer van de onderneming en de strategische doelstellingen van WDP, de geschiktheid van de tool voor risicobeoordeling inschatten, enz.).

Het risk register deelt de risico's van WDP in in vijf algemene risicotypes om de risico's sneller te kunnen identificeren: •

Markt

•

Strategisch

• •

Operationeel Financieel

•

Compliance

7.2

Risico's die veroorzaakt worden door externe factoren, zoals bedrijfsvoering, economische of rentevoetcycli Risico's die een impact hebben op of teweeggebracht worden door de bedrijfsstrategie en de vastgelegde doelstellingen van de Groep Risico's die inherent zijn aan de bedrijfsactiviteit en -werking Financiële risico's omvatten risico's met betrekking tot liquiditeit, krediet, waardering, begroting en rapportage Risico's voor de wettelijke en regelgevende compliance en politieke en ethische risico's

Risico-identificatie

Aangezien risico's voortdurend evolueren, toenemen, afnemen en/of opduiken afhankelijk van de externe omgeving en afhankelijk van de strategische doelstellingen en prestaties van de Groep, ziet WDP de identificatie van risico's als een continu proces. Het netwerk van risk ambassadors binnen de onderneming, samen met voortdurende gesprekken met managers, externe adviseurs en belanghebbenden, is dan ook cruciaal om de risico's te bepalen waaraan WDP het hele jaar door wordt blootgesteld. Deze risico-identificatie gebeurt minstens driemaandelijks door de risk ambassadors op basis van de input die #TeamWDP geeft via de meldingstool of rechtstreeks aan een risk ambassador. Deze input wordt besproken tijdens specifieke vergaderingen van de risk ambassadors.

7.3

Risico-evaluatie

De risk manager voert op kwartaalbasis een analyse en evaluatie uit van de risico’s die gemeld worden in de verschillende departementen en landen met aandacht voor de mogelijke negatieve impact, de verwachtingswaarde qua realisatie van het risico, alsook de mate van beheersing van het risico. Deze analyse gebeurt in samenwerking met de compliance officer en de verschillende risk ambassadors binnen de onderneming, indien nodig ondersteund door gespecialiseerde (externe) adviseurs. WDP gebruikt een tool voor risicobeoordeling om er zeker van te zijn dat de risico's consistent geëvalueerd worden. Deze tool kijkt enerzijds naar de waarschijnlijkheid en anderzijds naar de negatieve impact op de WDP NV | BE-REIT (Openbare GVV naar Belgisch recht) | Blakebergen 15 | 1861 Wolvertem | België | +32 (0)52 338 400 info@wdp.eu | www.wdp.eu | Ondernemingsnummer: 0417.199.869 | BTW BE 0417.199.869 | RPR Brussel Nederlandstalige Afdeling

WDP Enterprise Risk Management Policy | 7

activiteiten en processen van WDP, op de bedrijfsresultaten, op de reputatie, op de compliance van de Groep (juridisch, gezondheid & veiligheid ...). Zowel de impact als de waarschijnlijkheid wordt bij voorkeur gemeten op kwantitatief niveau en, zo niet, op kwalitatief niveau, altijd op een schaal van 1 tot 5 (zeer laag, laag, gemiddeld, hoog, zeer hoog). Door deze twee componenten te vermenigvuldigen (impact x waarschijnlijkheid) wordt voor elk risico een risicowaarde bepaald. Bij de evaluatie van de risico's kijken we naar het inherente of bruto-risico (het niveau van het risico vóór elke beperkende maatregel) en het resterende of netto-risico (het risico dat blijft bestaan nadat we de impact van beperkende maatregelen en controles overwegen). De risico's worden apart en gezamenlijk beoordeeld en dan wordt bepaald hoe goed de Groep deze risico's onder controle heeft en welke acties ondernomen moeten worden om ze onder controle te krijgen en om het resterende risico zo veel mogelijk te beperken. Binnen deze context wordt ook een scenario-analyse opgemaakt op basis van de verwachte waarde van elk scenario en de mogelijkheden om een risico te vermijden of te beperken, in zoverre dat mogelijk is. Deze sensitiviteitsanalyse en stresstest worden momenteel uitgevoerd op zowel de financiële (krediet, liquiditeit, markt) als de niet-financiële risico's (operationeel, regelgevend, juridisch, solventie). In de nabije toekomst zal WDP ook een sensitiviteitsanalyse uitvoeren met betrekking tot de klimaatveranderingsrisico's (o.a. op basis van de rapportage volgens de vereisten van het TCFD). Deze analyse helpt ons ook om sterke afhankelijkheden van interne controles op te sporen (bv. voor redelijk hoge brutorisico's en redelijk lage resterende risico's) en vormt dan de basis voor de aandachtspunten in het werk van de interne auditfunctie.

7.4

Risicobeheer

Op basis van de bovenstaande evaluatie kan het risicobeheer via verschillende methodes toegepast worden: • Voorkomen (wegwerken, niet deelnemen aan of niet betrokken raken in) • Beperken (verminderen of optimaliseren) • Delen (overdragen - outsourcen of verzekeren) • Behouden (aanvaarden en budgetteren) Bijvoorbeeld: • Alle redelijke stappen ondernemen om het risico te vermijden • Proactief ingrijpen • Proberen het risico om te vormen tot een opportuniteit • Proberen de verwachtingswaarde te beïnvloeden • Proberen het resultaat te veranderen • Zich indekken tegen de gevolgen en/of de verantwoordelijkheid voor gevolgen van zich afschuiven Verantwoordelijkheid en beheer van de risico's worden toegewezen aan leden van #TeamWDP. Het is hun verantwoordelijkheid om de interne controlesystemen efficiënt te laten verlopen en de risicobeperkingsplannen toe te passen. WDP NV | BE-REIT (Openbare GVV naar Belgisch recht) | Blakebergen 15 | 1861 Wolvertem | België | +32 (0)52 338 400 info@wdp.eu | www.wdp.eu | Ondernemingsnummer: 0417.199.869 | BTW BE 0417.199.869 | RPR Brussel Nederlandstalige Afdeling

WDP Enterprise Risk Management Policy | 8

7.5

Risico-monitoring

Zodra de risico's werden geïdentificeerd en beoordeeld en beslist werd hoe we zullen ingrijpen, worden de risico's opgevolgd om te zien wat er veranderd is en welke impact dit heeft op de organisatie. De risicoopvolging zit verankerd in het risicobeheerproces van de onderneming en de verantwoordelijkheid voor de opvolging ligt bij de verschillende niveaus van de organisatie: #TeamWDP, het Managementcomité en de Raad van Bestuur. Zo weet de Groep zeker dat de controles effectief en efficiënt zijn, zowel qua ontwerp als werking, dat nieuwe risico's opgespoord kunnen worden, dat het proces van risicobeoordeling verder verbeterd kan worden, dat veranderingen in de externe en interne context opgemerkt zullen worden. Dit kan eventueel een herziening van bepaalde beperkende maatregelen of vastgelegde prioriteiten vereisen.

7.6

Interne verslaggeving van risico's

Het resultaat van de driemaandelijkse analyse, de evaluatie van de risico’s en de formulering van concrete aanbevelingen aan de andere afdelingen van WDP, wordt onder toezicht van de risk manager geformaliseerd in een risk dashboard dat in detail besproken wordt door het Managementcomité. Op basis van de uitgevoerde risicoevaluatie, rekening houdend met de beperkende maatregelen en controles, en de inschatting van de risk manager, worden dan de risico's geselecteerd die gemeld zullen worden via het risk dashboard. Waar nodig wordt het risk dashboard nog bijgestuurd om vervolgens door de risk manager voorgelegd te worden aan het Auditcomité en de Raad van Bestuur zodat zij gewezen worden op de belangrijkste risico's die gevolgen hebben voor de strategische doelen van WDP. De risk manager bespreekt ook de belangrijkste ontwikkelingen met betrekking tot risico's op basis van belangrijke cijfers en ondersteunende materialen. Het Auditcomité en de Raad van Bestuur maken, rekening houdend met deze input, op kwartaalbasis een evaluatie van de risico’s waaraan de Groep is blootgesteld en nemen op basis van deze evaluaties de nodige beslissingen (bijvoorbeeld met betrekking tot het bepalen van de renteindekkingsstrategie, de evaluatie van de huurdersrisico’s, enz.).

Externe verslaggeving van risico's

In het jaarverslag van WDP wordt een lijst van specifieke en materiële risicofactoren opgenomen met hun beschrijving, en een inschatting van de potentiële impact van deze risico’s, alsook de mitigerende factoren en enkele voorbeelden van Key Risk Indicators. WDP hecht enorm veel belang aan transparantie en bespreekt het onderwerp risico en risicobeheer dan ook met zijn belanghebbenden, zowel ad hoc als via de periodieke rapportage in driemaandelijkse persmededelingen. WDP NV | BE-REIT (Openbare GVV naar Belgisch recht) | Blakebergen 15 | 1861 Wolvertem | België | +32 (0)52 338 400 info@wdp.eu | www.wdp.eu | Ondernemingsnummer: 0417.199.869 | BTW BE 0417.199.869 | RPR Brussel Nederlandstalige Afdeling

WDP Enterprise Risk Management Policy | 9

9. •

• •

• • • •

Lexicon Enterprise Management Policy: een uitgebreide beschrijving van de manier waarop WDP het onderwerp risico aanpakt binnen zijn organisatie met informatie over de risicofilosofie, de risicobenadering, en de risicobeoordeling van WDP; dit alles wordt formeel vastgelegd in het document/beleid 'Enterprise Management Policy'. Risicofilosofie: een reeks van gedeelde overtuigingen en houdingen die kenmerkend zijn voor de manier waar wij in onze bedrijfsactiviteiten omgaan met risico's. Risk register: een overzicht van de risico's waarmee WDP geconfronteerd wordt. Deze risico's worden ingedeeld in categorieën en gelabeld (trend, termijn, bron, type). Deze onvolledige lijst wordt jaarlijks bijgewerkt op basis van een grondige beoordeling en doorgelicht en goedgekeurd door het Managementcomité en het Auditcomité. Tot slot wordt de lijst ter goedkeuring voorgelegd aan de Raad van Bestuur. Tool voor risicobeoordeling: een beoordelingstool met criteria om risico's in kaart te brengen en de impact&waarschijnlijkheid-matrix. Key Risk Indicator: een indicator die in een vroege fase kan wijzen op een risicoblootstelling en concreet advies kan aanreiken om risico's te beoordelen. Risk dashboard: tool om verslag uit te brengen aan de Raad van Bestuur en het Managementcomité. Risk ambassadors: het aanspreekpunt voor de medewerkers van WDP als zij een (potentieel) risico willen melden. De risk ambassador helpt om het risico te beoordelen en in kaart te brengen binnen de grenzen van de tool voor risicobeoordeling.

WDP Enterprise Risk Management Policy | 10