Risicomanagement is het bewust omgaan met onzekerheden die een negatieve invloed kunnen hebben op het realiseren van de strategische doelstellingen. Om inzicht te geven in de risicobeheersing van NS komen in dit hoofdstuk de risicobereidheid, de inrichting van de risicobeheersing en de belangrijkste risico’s aan bod.
Risicobereidheid en -toleranties
De risicobereidheid en nagestreefde risicobeheersing over zes risicothema’s van NS staan in zogeheten risk appetite statements. Aan alle risicothema’s zijn concrete prestatie-indicatoren gekoppeld met kwantitatieve bandbreedtes. De risicobereidheid wordt jaarlijks per thema door de raad van bestuur geëvalueerd en indien nodig aangepast.
Categorie | Risicobereidheid | Toelichting, NS accepteert |
Veiligheid | Mijdend | Geen of minimale afwijkingen van veiligheidsdoelstellingen |
Compliance | Mijdend | Geen of minimale afwijkingen van integriteit & compliance-doelstellingen |
Operatie | Mijdend | Geen of minimale afwijkingen van operationele doelstellingen en concessie-kpi's |
Financiën | Mijdend | Geen of minimale afwijkingen van financiële doelstellingen |
Reputatie | Mijdend | Geen of minimale afwijkingen van reputatiedoelstellingen |
Duurzaamheid | Nemend | Ruimere afwijkingen van duurzaamheidsdoelstellingen |
Per kwartaal wordt de risk appetite rapportage vastgesteld en gerapporteerd of het risicoprofiel op NS-niveau binnen de risk appetite blijft. Deze rapportage geeft per thema het risicoprofiel ten opzichte van de vastgestelde risk appetite en de belangrijkste concernrisico’s weer die worden gemonitord door de RvB en de RvC.
Inrichting van de risicobeheersing
Een goede werking van het risicomanagementsysteem is van belang voor NS. Om risico’s blijvend integraal te beheersen, beweegt het risicomanagementsysteem mee met interne en externe ontwikkelingen. In 2019 richtte NS zich op het verbeteren van het risicobeheersingsproces door het kwantificeren van risico’s en deze expliciet op te nemen in planningen & analyses.
Met behulp van probabilistische planningen en analyses maakt NS de toekomstige impact van onzekerheden en risico’s expliciet en ontstaat een beter beeld van de betrouwbaarheid van plannen, beleidskeuzes en het risicobudget bij projecten. Zo zijn we als NS beter in staat om beslissingen te nemen. In 2019 is deze aanpak op verschillende onderdelen binnen NS toegepast. In het komende jaar breiden we deze aanpak verder uit binnen de organisatie. Daarnaast is er aandacht geweest voor het inbedden van Business Continuity Management in de organisatie, waarvoor we samenwerking met ProRail hebben opgezet.
Governance
De risico-governance van NS is ingericht naar het ‘three lines of defence’-model. Uitgangspunt van het model is dat de eerste lijn (de business) verantwoordelijk is voor de beheersing van de risico’s door dit goed te borgen in processen met duidelijke verantwoordelijkheden. De tweede lijn, waar de afdeling NS Risk onderdeel van is, ondersteunt, adviseert en bewaakt of het lijnmanagement de verantwoordelijkheden ook daadwerkelijk neemt. De derde lijn met internal audit controleert onafhankelijk of het systeem van risicobeheersing en interne controle functioneert.
De samenwerking met verschillende afdelingen binnen risicobeheersing, waaronder Integriteit & Compliance, Cybersecurity en Legal heeft NS Risk in 2019 voortgezet. Gezamenlijk beoordelen we beleidsvoorstellen en nieuwe investeringen en geven we advies aan de raad van bestuur. Daarnaast werken we samen bij diverse NS-brede risicoanalyses, zoals op het gebied van cybersecurity waarbij risico’s zijn geïnventariseerd, geprioriteerd en belegd.
Om aantoonbaar in control te zijn op belangrijke processen en systemen heeft NS in 2019 het Interne Controle Framework verder ingevuld: een uniform raamwerk om processen/systemen en bijbehorende risico’s, beheersmaatregelen en de werking daarvan vast te leggen en te monitoren.
De afdeling Risk streeft ernaar om samen met specialisten uit de business integraal risicomanagement op te zetten en systematisch risicoafwegingen te maken (afgezet tegen de risicobereidheid). Het integraal risicomanagement bestaat uit drie pijlers:
-
Actief ondersteunen en toezien op de inventarisatie en mitigatie van risico’s door het management, bijvoorbeeld in de vorm van risico-assessments;
-
Risico’s afwegen in besluitvorming;
-
Incidenten analyseren waarbij tekortkomingen in beheersing de reden was, om te leren van gemaakte fouten.
Hierdoor wordt de sturing krachtiger, omdat NS in staat is om mogelijke knelpunten of kansen vroegtijdig te signaleren en daar gericht en proactief op te sturen. De mate van ondersteuning door de tweede lijn bij deze processen bepalen we op basis van een risicoschatting vooraf.
Vastlegging en rapportage
Geïdentificeerde risico’s zijn met risico-eigenaar in risicoregisters vastgelegd en scoren we kwantitatief met behulp van één uniforme risicomatrix. Per kwartaal rapporteert NS de voornaamste risico’s per bedrijfsonderdeel en die worden besproken in de raad van bestuur als onderdeel van de planning- en controlcyclus. Risico’s buiten de risicobereidheid rapporteren we direct en indien nodig escaleren we. De raad van bestuur rapporteert en legt verantwoording af over het systeem van risicobeheersing en interne controle aan de raad van commissarissen na bespreking daarvan in de Risk- en Auditcommissie.
Cultuur
Risicomanagement is van ons allemaal; het is onderdeel van de dagelijkse werkzaamheden. Het Risk-team heeft een steeds grotere bekendheid binnen de organisatie. Collega’s uit de business weten hen te vinden en NS Risk ondersteunt daar waar nodig.
NS Risk biedt de business risicomanagementtrainingen aan zodat collega’s zelfstandig aan de slag kunnen met risicomanagement. In 2020 komt er een syllabus beschikbaar waarin opgenomen is hoe je het risicomanagementproces zelfstandig kan aanpakken.
NS Risk is een integraal, maar onafhankelijk onderdeel van NS. Ze informeert, daagt uit, neemt standpunten in en geeft gevraagd en ongevraagd advies vanuit de kennis van NS en zonder te veroordelen. De afdeling denkt mee in oplossingen die recht doen aan de diverse belangen en die bijdragen aan de realisatie van de strategie.