Risico’s per ESRS thema

In dit hoofdstuk bespreken we de risico’s die gekoppeld zijn aan de diverse ESRS-thema’s. Voordat wij deze per thema behandelen, beschrijven we eerst overkoepelend welk proces van risico-inschatting en prioritering wij hanteren en hoe wij in algemene zin omgaan met deze risico’s.

Proces van risico-inschatting én prioritering van materiële risico’s

Binnen Hoppenbrouwers hanteren wij een werkwijze om risico’s te beoordelen en te prioriteren. Risico’s identificeren wij op basis van:

Algehele risico inventarisatie op strategisch-, operationeel-, financieel-, compliance en governance, voor diverse onderwerpen.
Onderscheid inherente risico’s en restrisico’s na interne beheersing, op basis van kans en impact
Risico-analyses in MT vergaderingen
De gevoerde stakeholderdialoog
Marktanalyses van onze sector
Overige sectoronderzoeken

Jaarlijks reviewen wij onze Dubbele Materialiteitsanalyse (DMA). Hierin staat beschreven hoe wij de ernst en de waarschijnlijkheid van risico’s beoordelen. De DMA is tot stand gekomen door het organiseren van meerdere interactieve werksessies met onze multidisciplinaire werkgroep onder begeleiding van Rabo Future Fit en het tussentijds actualiseren van deze analyse. Deze DMA hebben wij in 2025 voor de eerste keer geïntegreerd in onze reguliere risico-inventarisatie. Hieronder volgt een overzicht van onze belangrijkste risico’s die raken aan de CSRD thema’s.

CSRD-Thema	Onderwerp	Risico	Beïnvloedbaar	Prioriteit (1=hoog, 5 = laag)
Pijler: Milieubewuste installateur (E)
E1 Klimaat- verandering	Netcongestie	Vertraging of afname van projecten/installaties, reputatieschade, stilvallende planning, beperkte mogelijkheden om technisch door te ontwikkelen, etc.	Ja, deels.	1
E5 Circulariteit en materiaalgebruik	Onzekerheden	Politieke spanningen (oorlog, handelsoorlog/importheffingen, internationaal fiscaal beleid) waardoor prijzen en beschikbaarheid onder druk komen.	Zeer beperkt	4
Beste werkgever (S)
S1 Generiek	Personeelstekort	Beschikbaarheid (kwalitatief) personeel op de markt (krapte arbeidsmarkt, steeds meer inleners, minder langdurige binding). Retentie (behoud van goede en gekwalificeerde medewerkers)	Ja, wij kunnen een maatschappelijke rol pakken	1
S1 Veiligheid eigen personeel	Ongevallen	Uitval medewerkers door ongevallen.	Ja	2
	Certificering	Safety Culture Ladder, niet voldoen aan de juiste trede kan leiden tot verlies opdrachten, relaties en kansen.	Ja	2
	Reputatie	Door negatieve berichtgeving ontstaat reputatieschade waardoor er meer moeite ontstaat om nieuwe mensen aan te trekken, wat het personeelstekort vergroot	Ja	2
S2 Medewerkers in de keten	Veiligheid	Ongevallen op de bouw & arbeidsomstandigheden in de keten (bijv. buitenlandse inlening, direct of indirect).	Ja, deels	2
S2 Medewerkers in de keten	Veiligheid	Afspraken die niet worden nageleefd	Ja, deels	2
S1 Privacy van persoonsgegevens	Incidenten	Onvoldoende beheersing van persoonsgegevens door beperkte capaciteit en onvoldoende structurering van het privacymanagement.	Ja	1
S1 Opleiding en ontwikkeling		Door personeelsverloop bestaat het risico op kennisverlies, lange inwerktijden en een tijdelijke daling van efficiëntie binnen teams.	Ja, zeer	2
S4 Consumenten & Eindgebruikers	Commercie en geheimhouding	Geheimhouding bij vertrouwelijk werk, met als gevolg boetes, imagoschade, verlies relaties.	Ja, zeker	2
S4 Consumenten & Eindgebruikers	IT / Cyber	Bijv. ransomware, door technische kwetsbaarheden met als gevolg uitval van de bedrijfsvoering, financiële— en reputatieschade.	Ja, zeker	1
Ondernemend en wendbaar (G)
G1 Zakelijk gedrag	Inkoopprocessen leveranciers	Parallel inkopen/importen uit het buitenland, buiten ons centrale inkoopsysteem om.	Ja, zeker	4
G1 Zakelijk gedrag	Bedrijfscultuur	Organisatiegroei door overnames: Cultuurverlies en voordelen familiebedrijf gaan verloren.	Ja	3
G1 Zakelijk gedrag	Integer gedrag	Onvoldoende borging van integriteit en zakelijk gedrag kan leiden tot menselijk handelen dat niet in het belang is van Hoppenbrouwers, waaronder ongepast gedrag of integriteitsincidenten van (ex-)medewerkers, zowel intern als extern.	Ja, grotendeels	2
G1 Zakelijk gedrag	Corruptie & omkoping	Relaties met klanten, selectie in klanten (match o.b.v. normen en waarden). Voorkomen van corruptie/fraude/omkoping in totstandkoming relaties en transacties.	Ja, grotendeels	2

Hoe gaat Hoppenbrouwers in algemene zin om met deze risico’s?

Monitoring

Het is voor ons bedrijf belangrijk om alle geïdentificeerde risico’s te blijven monitoren. We geven hier wel extra aandacht aan de materiële risico’s. Dit doen wij door periodiek de inventarisatie en weging van alle risico’s. Voor de restrisico’s met een gemiddeld of hoog risicoprofiel wordt de aanpak vastgesteld en de voortgang en planning gedocumenteerd. Deze monitoring van de grootste restrisico’s wordt zowel binnen het directieteam als met de Raad van Commissarissen behandeld.

Strategieën en controles om te mitigeren

Wij willen op een bewuste manier omgaan met onze risico’s. Het gaat om de Risk-appetite en de willingness/noodzaak om de gevolgen te voorkomen of beperken. Risk appetite: “Hoppenbrouwers is bereid om risico's met een beperkte financiële impact te nemen, terwijl risico's met een hoge impact verzekerd of afgedekt worden.”

CSRD-Thema	Onderwerp	Hoe om te gaan met het risico	Risk appetite	Actie
Pijler: Milieubewuste installateur (E)
E1 Klimaat- verandering	Netcongestie	Samenwerken met netbeheerders voor passende netaansluitingen. Sterke en flexibele planning van projecten en installaties. Focus en investeren in innovatieve oplossingen die minder afhankelijk zijn van netaansluiting. Actieve bijdrage in dit politieke vraagstuk en de oplossingen die hiervoor worden ontwikkeld.	Laag	Gespecialiseerd team en bewust-wording bij klanten
E5 Circulariteit en materiaalgebruik	Onzekerheden	Afdeling inkoop is actief met marktoriëntatie en risico analyse. Samenwerking met DGC-Groep voor goede inkoopcondities en marktinzichten. Alternatieven en scenario's worden overwogen, voor zover deze beschikbaar zijn.	Hoog (4)	Samenwerking met de branchevereniging Techniek Nederland (commissie werkgroep)
Beste werkgever (S)
S1 Generiek	Personeelstekort	Samenwerking met scholen, branchevereniging en gemeente. Eigen opleidingscentrum, voor verschillende doelgroepen. Actief op arbeidsmarkt via openstaande vacatures. Arbeidsmarkten. Eigen website en sociale media. Recruiteren en sourcen. Alternatieve inzet (onderaanneming, inleners). Lange termijn perspectief medewerkers. Focus op persoonlijke ontwikkeling. Goede primaire & secundaire arbeidsvoorwaarden. Behoud van de Hoppenbrouwers cultuur. Werken in kleine teams. Directe begeleiding. MTO onderzoek en actieplan.	Laag	Zie aanpak
S1 Veiligheid eigen personeel	Fysieke veiligheid	Veiligheidsbeleid, certificeringen, toolboxen en trainingen. Cultuur en aansturing. Kwaliteit en veiligheid in uitvoering (van calculatie tot planning, uitvoering). Goede materialen en gereedschappen. Providerboog (aanbieders van externe hulpverleners). Veiligheids KPI's op alle niveau's van de organisatie. Bewust Veilig Weken. Doelgroepgerichte verzuimaanpak jeugd en ouderen. Veiligheid risico-matrix.	Laag	Zie aanpak
	Emotionele veiligheid	Veiligheidsbeleid. Cultuur. Voorbeeldgedrag. Personeelsbeleid rondom verantwoord gedrag. Gedragscode. Personeelshandboek. Meldkanalen voor misstanden. Trainingen over rollen en verantwoordelijkheden. Handboek -> normen en waarden. Providerboog (aanbieders van externe hulpverleners). Doelgroepgerichte verzuimaanpak jeugd en ouderen.	Laag	Zie aanpak
	Certificering	Geheel Hoppenbrouwers op trede 3. Voor Industriële Automatisering essentieel om de benodigde opdrachten en relaties binnen te halen en te houden. Dit is een doorlopende focus vanuit KAM en directie.	Laag	Zie aanpak Het streven is 2026 op trede 4 te komen voor Industriële Automatisering.
	Reputatie	Deels voorkomen ongevallen (zie betreffend risico). Deels communicatiebeleid. Imago & reputatie risicomatrix met daarin het crisisplan.	Laag	Zie aanpak
S2 Medewerkers in de keten	O.a. veiligheid	Alle leveranciers en onderaannemers dienen akkoord te gaan met onze veiligheidsvoorwaarden. In onze onderaannemersovereenkomsten zijn duidelijke afspraken opgenomen met betrekking tot veiligheid.	Hoog (2)	Ja, nodig richting leveranciers (zie doelen)
S1 Privacy van persoonsgegevens	Incidenten	Beperking in rechten en systemen (toegang data beperkt). Bewustwordingstrainingen. Beleid en procedures datalekken.	Laag	Ja, nog stappen in te zetten
S1 Opleiding en ontwikkeling	Verloop en kennisoverdracht	Kennismanagement	Gemiddeld (3)	Ja, nodig
S4 Consumenten & Eindgebruikers	Commercie en geheimhouding	Ondertekening geheimhoudingsverklaringen (algemeen én projectgebonden). Afschermen van geheime informatie in IT systemen. Trainingen informatiebeveiliging. VOG verklaringen.	Laag (1 of 2)	Ja, inhaal-slag is nodig in de hele organisatie
S4 Consumenten & Eindgebruikers	IT / cyber	Authenticatie. Wachtwoordbeleid. Training. Firewall. Security monitoring. Overige procesinrichting om ongeautoriseerde toegang te voorkomen.	Laag	Zie aanpak is continu proces
Ondernemend en wendbaar (G)
G1 Zakelijk gedrag	Inkoopprocessen en leveranciers	Zoveel mogelijk geautomatiseerd inkopen via vaste processen en systemen,waardoor DGC inkoop artikelen en kanalen worden toegepast.	Laag (2)	Gemaakt beleid wordt nog niet afgedwongen door IT systemen in de teams.
G1 Zakelijk gedrag	Bedrijfscultuur	Cultuurverankering via leiderschap. Communicatie en HR-beleid. Zorgvuldige integraties. Cultuur als selectie- en opleidingsmiddel.	Laag (2)	Continu, HR heeft focus hierop
G1 Zakelijk gedrag	Integer gedrag	Cultuur (HOP trainingen). Voorbeeldgedrag. Personeelsbeleid rondom zakelijk gedrag. Gedragscode Personeelshandboek Meldkanalen voor misstanden. Trainingen over rollen/verantwoordelijkheden. Ethisch zakendoen (handboek -> normen en waarden). Beleidsvoering. Personeelshandboek inclusief integriteitsbeleid. Communicatie lessons learned op het juiste niveau. Sturen op data (bijv. rijgedrag) & feedbackloop. Integriteit en zakelijk gedrag in alle onderdelen van de onderneming. Vier-ogen-principe.	Laag (2)	Nee
G1 Zakelijk gedrag	Corruptie en omkoping	Formeel beleid is nog onvoldoende uitgewerkt. Verminderende maatregel is op dit moment beperkt tot cultuur en voorbeeldgedrag. Bevoegdhedenbeleid. Omvangrijke transacties met risicovolle afnemers gaan langs directieleden. Vier-ogen-principe.	Laag	Ja, beleid voor aanname klanten en voorkomen van corruptie/fraude/witwas transacties.

Integratie (van de risico-inventarisatie) in interne functies en processen

Conform ESRS 2 (GOV-5) zijn de uitkomsten van de risico-inventarisatie bij Hoppenbrouwers geïntegreerd in de governance, interne functies en kernprocessen van de organisatie. De materiële risico’s, waaronder duurzaamheids- en CSRD-gerelateerde risico’s, maken onderdeel uit van de reguliere bedrijfsbrede risico-inventarisatie en worden beoordeeld op basis van kans en impact, waarbij onderscheid wordt gemaakt tussen inherente risico’s en restrisico’s na interne beheersing. Per risico zijn duidelijke verantwoordelijkheden belegd binnen de lijnorganisatie en betrokken stafafdelingen, waaronder Inkoop, HR, Financiën, IT, Veiligheid en Risicobeheersing.

De geïdentificeerde risico’s worden vastgelegd in de centrale risicomatrix en structureel meegenomen in besluitvorming binnen de relevante functies en processen, zoals inkoop- en leveranciersmanagement, personeelsbeleid, IT-beveiliging en projectbeheersing. Voor restrisico’s met een gemiddeld of hoog risicoprofiel worden specifieke beheersmaatregelen vastgesteld en wordt de voortgang gemonitord. De integratie van risico-informatie in deze processen borgt dat duurzaamheids- en governance-risico’s niet losstaand worden behandeld, maar onderdeel zijn van de dagelijkse bedrijfsvoering en managementcycli. De voortgang en effectiviteit van de risicobeheersing worden periodiek besproken in het directieoverleg en gerapporteerd aan de Raad van Commissarissen.

Periodieke rapportage

Met ingang van 2025 is er een proces opgezet waarbij een interne inventarisatie en weging van alle risico’s wordt uitgevoerd. Hierbij wordt onderscheid gemaakt tussen inherente risico’s en restrisico’s na interne beheersing, op basis van Kans en Impact. Voor de restrisico’s met een gemiddeld of hoog risicoprofiel wordt de aanpak vastgesteld en de voortgang en planning gedocumenteerd. Deze stappen worden vastgelegd in de Hoppenbrouwers risico matrix, en minimaal één keer per jaar gerapporteerd en besproken in het directieoverleg en een vergadering van de Raad van Commissarissen.