Risicomanagement is het bewust omgaan met onzekerheden die een negatieve invloed kunnen hebben op het realiseren van de strategische doelstellingen. Om inzicht te geven in de risicobeheersing van NS komen in dit hoofdstuk de risicobereidheid, de inrichting van de risicobeheersing en de belangrijkste risico’s aan bod.
Risicobereidheid en -toleranties
De risicobereidheid en nagestreefde risicobeheersing over zes risicothema’s van NS staan in zogeheten risk appetite statements. Aan vrijwel alle risicothema’s zijn concrete prestatie-indicatoren gekoppeld, deels met kwantitatieve bandbreedtes. De risicobereidheid wordt jaarlijks per thema door de raad van bestuur geëvalueerd en indien nodig aangepast. In 2018 heeft de raad van bestuur het aantal thema’s teruggebracht van acht naar zes. De thema’s Groei en HR zijn geïntegreerd in de overige thema’s, aangezien de impact van de risico’s van deze thema’s feitelijk onder andere thema’s vallen. De raad van bestuur heeft haar risicobereidheid opnieuw gedefinieerd voor deze zes thema’s:
Categorie | Risicobereidheid | Toelichting, NS accepteert |
Veiligheid | Mijdend | Geen of minimale afwijkingen van veiligheidsdoelstellingen |
Compliance | Mijdend | Geen of minimale afwijkingen van integriteit & compliance-doelstellingen |
Operatie | Mijdend | Geen of minimale afwijkingen van operationele doelstellingen |
Financiën | Mijdend | Geen of minimale afwijkingen van financiële doelstellingen |
Reputatie | Mijdend | Geen of minimale afwijkingen van reputatiedoelstellingen |
Duurzaamheid | Nemend | Ruimere afwijkingen van duurzaamheidsdoelstellingen |
Ten opzichte van 2017 heeft de raad van bestuur de risicobereidheid voor de categorie financiën aangescherpt van neutraal naar mijdend. Dat onderstreept de aandacht die nodig is voor het behalen van voldoende rendement. Gegeven de investeringsagenda voor de komende jaren en de eis om dit zelfstandig en op eigen kracht te financieren kan NS zich minder risico’s permitteren. NS moet een resultaat realiseren wat haar in staat blijft stellen financiering in de markt aan te trekken, waarvoor een rating van minimaal A gewenst is. In 2019 accepteren we eveneens minimale afwijkingen van onze financiële doelstellingen en zijn we risicomijdend. In lijn met het NS Risk Framework wordt de risicobereidheid explicieter gebruikt. Waar we dat in 2017 deden in de vorm van stresstests, ontwikkelden we in 2018 de risk appetite rapportage, waardoor periodiek vastgesteld en gerapporteerd wordt of het risicoprofiel op NS-niveau binnen de risk appetite blijft. Deze rapportage geeft per thema het risicoprofiel ten opzichte van de vastgestelde risk appetite en de belangrijkste (concern)risico’s weer.
Inrichting van de risicobeheersing
Een goede werking van het risicomanagementsysteem is van belang voor NS. Om risico’s blijvend integraal te beheersen, beweegt het risicomanagementsysteem mee met interne en externe ontwikkelingen. Daartoe focusten we op ontwikkelingen zoals het Interne Controle Framework, Business Continuity Management en het kwantificeren van risico’s. Overige maatregelen waarmee we onze risico’s beheersen zijn de planning- en controlcyclus, het Risk Framework en diverse incidentonderzoeken. Die komen op verschillende plaatsen terug in dit verslag. De visie van NS ten aanzien van de ondersteuning en bewaking dat risico’s geïdentificeerd en integraal beheerst worden, is eveneens nader gespecifieerd en vertaald in specifieke en meetbare doelstellingen.
Governance
De risico-governance van NS is ingericht naar het ‘three lines of defence’-model. Uitgangspunt van het model is dat de eerste lijn (de business) verantwoordelijk is voor de beheersing van de risico’s door dit goed te borgen in processen met duidelijke verantwoordelijkheden. De tweede lijn, waar de afdeling NS Risk onderdeel van is, ondersteunt, adviseert en bewaakt of het lijnmanagement de verantwoordelijkheden ook daadwerkelijk neemt. De derde lijn met internal audit controleert onafhankelijk of het systeem van risicobeheersing en interne controle daadwerkelijk functioneert.
De in 2017 ingezette verbeterde samenwerking van de afdelingen Risk, Integriteit & Compliance, Legal, Audit, Security en Information Risk Management hebben we in 2018 voortgezet. Dit versterkt de hele risicobeheersing, bijvoorbeeld doordat jaarplanningen op elkaar worden afgestemd zodat er naar de business toe meer samenhang ontstaat in de geplande activiteiten.
Om aantoonbaar in control te zijn op belangrijke processen en systemen heeft NS in 2018 verder invulling gegeven aan het Interne Controle Framework, een uniform raamwerk om processen/systemen, risico’s, beheersmaatregelen en de werking daarvan vast te leggen en te monitoren. Hiertoe heeft NS pilots op het gebied van operationele en financiële rapportage gestart en uitgevoerd.
Risicomanagementsysteem
NS heeft een systeem van risico-identificatie en -beheersing geïmplementeerd waarbij we in alle lagen van de organisatie in de eerste lijn actief aandacht vragen voor risicomanagement. De afdeling Risk streeft ernaar om samen met gespecialiseerde risicoafdelingen en de businessintegraal risicomanagement op te zetten en systematisch risicoafwegingen te maken (afgezet tegen de risicobereidheid). Dit bestaat uit vier pijlers:
Regelmatig stilstaan bij risico’s door het management in de vorm van risico-assessments;
Actief toezien op adequaat risicomanagement binnen projecten en programma’s;
Risico’s afwegen in besluitvorming;
Incidenten analyseren waarbij tekortkomingen in beheersing de reden was, om te leren van gemaakte fouten.
Hierdoor wordt de sturing krachtiger, omdat NS in staat is om mogelijke knelpunten of kansen vroegtijdig te signaleren en daar gericht en proactief op te sturen. De mate van ondersteuning door de tweede lijn bij deze processen wordt bepaald op basis van een risicoschatting vooraf.
Vastlegging en rapportage
Geïdentificeerde risico’s zijn met de risico-eigenaar in risicoregister vastgelegd. De diverse risicomatrices en risico-acceptatiecriteria die we hierbij hanteerden binnen de diverse onderdelen van NS, hebben we geharmoniseerd en teruggebracht naar één uniforme risicomatrix. We verwachten dat dit gaat leiden tot een verbeterd gedeeld inzicht in risicosituaties en daarmee breder gedragen risicoafwegingen. In 2018 heeft NS bij enkele grote projecten belangrijke stappen gezet om planning- en budgetrisico’s waar mogelijk te analyseren en kwantificeren. Dit leidt tot verbeterd inzicht in planningen en financiën. In 2019 rollen we dit breder uit. Ook op andere gebieden kijken we of kwantificeren van toegevoegde waarde is. Per kwartaal worden de voornaamste risico’s per bedrijfsonderdeel gerapporteerd en besproken in de raad van bestuur als onderdeel van de planning- en controlcyclus. De voornaamste risico’s legt de afdeling NS Risk vast in een Enterprise Risk Management systeem, wat bijdraagt aan een meer geüniformeerde werkwijze voor risicomanagement en een integraal inzicht in risico’s. Risico’s buiten de risicobereidheid worden direct gerapporteerd en indien nodig geëscaleerd. De raad van bestuur rapporteert en legt verantwoording af over het systeem van risicobeheersing en interne controle aan de raad van commissarissen na bespreking daarvan in de Risk- en Auditcommissie.
Cultuur
Risicomanagement moet een onderdeel worden van ons dna, zonder dat het de bedrijfsvoering verlamt. Het risicobewustzijn van medewerkers neemt verder toe mede dankzij de activiteiten en trainingen vanuit de afdeling NS Risk, zodat medewerkers openlijk risico’s en incidenten bespreken om de beheersing verder te verbeteren. De afdeling NS Risk is een integraal maar onafhankelijk onderdeel van NS. Ze informeert, daagt uit, neemt standpunten in en geeft gevraagd en ongevraagd advies vanuit de kennis van ons bedrijf en zonder te veroordelen. De afdeling denkt mee in oplossingen die recht doen aan de diverse belangen en die bijdragen aan de realisatie van de strategie.
Verklaring raad van bestuur
De raad van bestuur vindt dat de systemen van risicobeheersing en interne controle ten aanzien van financiële verslaggevingsrisico’s in het verslagjaar naar behoren hebben gewerkt en een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat. Het verslag geeft daarmee in een voldoende mate inzicht in de werking van voornoemde systemen. De raad van bestuur verklaart dat, voor zover bekend,
de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en de winst van NS, en de gezamenlijk in de consolidatie opgenomen ondernemingen;
het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar;
het naar de huidige stand van zaken gerechtvaardigd is dat de financiële verslaggeving is opgesteld op going concern basis; en
in het jaarverslag de materiële risico’s en onzekerheden zijn vermeld die relevant zijn ter zake van de verwachting van de continuïteit van de vennootschap voor een periode van twaalf maanden na opstelling van het verslag.