Risicomanagement is het bewust omgaan met onzekerheden die een negatieve invloed kunnen hebben op het realiseren van de strategische doelstellingen. Om inzicht te geven in de risicobeheersing van NS komen in dit hoofdstuk de volgende onderwerpen aan bod: de risicobereidheid, het huidige risicoprofiel, de inrichting van de risicobeheersing en de belangrijkste risico’s.

Risicobereidheid en -toleranties

De risicobereidheid en nagestreefde risicobeheersing over acht risicothema’s van NS staan in zogeheten risk appetite statements. Aan vrijwel alle risicothema’s zijn concrete prestatie-indicatoren gekoppeld, deels met kwantitatieve bandbreedtes. De risicobereidheid wordt jaarlijks per thema door de raad van bestuur geëvalueerd en indien nodig aangepast. In 2017 is de risicobereidheid van NS ongewijzigd gebleven:

In 2017 hebben we door middel van stresstesting het risicoprofiel van NS vergeleken met de risicobereidheid. Voor de stresstests zijn extreme maar plausibele scenario’s gekozen. Voor de scenario’s wordt de impact van risico’s op de NS-doelstellingen bepaald op basis van diverse financiële en operationele modellen om mogelijke kwetsbaarheden aan het licht te brengen. Daaruit wordt duidelijk wanneer actie noodzakelijk is om de bedrijfsdoelstellingen met een grotere mate van zekerheid te halen.

Risicoprofiel

NS heeft ambitieuze targets afgesproken met IenW voor de HRN-kpi’s. Het risicoprofiel is bij deze doelstellingen op onderdelen hoog. Daarnaast staat NS bij het uitvoeren van de dienstverlening dagelijks bloot aan veel interne en externe factoren die potentieel de operationele prestaties, reputatie en financiële positie van NS beïnvloeden.

Naast de bekende en bestaande risico’s is NS ook actief op zoek naar nieuwe opkomende risico’s die het realiseren van de bedrijfsdoelstellingen in gevaar kunnen brengen. Het inzicht hierin is gedurende 2017 toegenomen door actief de dialoog aan te gaan met managementteams, het bestuur, toezichthouders en externe betrokkenen over ontwikkelingen in de omgeving en de weerslag daarvan op NS. Er zijn een tiental opkomende risico’s vastgesteld door de Raad van bestuur, zoals extreme verstoring door specifieke kwetsbaarheden en demografie en verstedelijking, die belegd zijn in het reguliere riskmanagementproces.

Inrichting van de risicobeheersing

Een goede werking van het risicomanagementsysteem is van belang voor NS. Om risico’s blijvend integraal te beheersen, beweegt het risicomanagementsysteem mee met interne en externe ontwikkelingen. Daarnaast zijn er verschillende andere maatregelen waarmee wij onze risico's beheersen, zoals de planning- & controlcyclus, het Risk Framework, het Business Control Framework en diverse incidentonderzoeken. Deze komen op verschillende plaatsen terug in dit verslag.

Governance

De risico-governance van NS is ingericht naar het ‘three lines of defense’-model. Uitgangspunt van het model is dat de eerste lijn (de business) verantwoordelijk is voor de beheersing van de risico’s door dit goed te borgen in processen met duidelijke verantwoordelijkheden. De tweede lijn, waar de afdeling Risk onderdeel van is, ondersteunt, adviseert en bewaakt of het lijnmanagement zijn verantwoordelijkheden ook daadwerkelijk neemt. De derde lijn met internal audit controleert onafhankelijk of het systeem van risicobeheersing en interne controle daadwerkelijk functioneert.

In 2017 hebben we de samenwerking tussen de afdelingen Risk, Integriteit & Compliance, Legal en Audit verbeterd. Dit versterkt de totale risicobeheersing, omdat er naar de business toe meer samenhang ontstaat in de geplande activiteiten.

In 2017 zijn verder een aantal verbeterpunten vastgesteld ten aanzien van risicobeheersings- en controlesystemen binnen NS, die betrekking hebben op de governance, rapportage en monitoring. In 2017 is de samenwerking binnen het risicobeheersingswerkveld verbeterd en is de Risk en Auditcommissie geïnstalleerd. In aanvulling daarop is het Riskbeleid geformaliseerd en zijn verschillende delen van het Risk Framework vertaald naar praktisch toepasbare tools, waardoor risico’s eenvoudiger en op gelijke wijze kunnen worden vastgelegd, zowel in de lijn als binnen projecten. Hoewel er reeds interne risicobeheersings- en controlesystemen gebruikt werden, zijn de uitgangspunten niet altijd gelijk. In 2017 zijn de uitgangspunten vastgesteld en in 2018 worden er verdere stappen gezet om alle hoofdprocessen van een Control Framework te voordoen dat voldoet aan deze uitgangspunten.

Risicomanagementsysteem

NS heeft een systeem van risico-identificatie en -beheersing geïmplementeerd waarbij er in alle lagen van de organisatie in de eerste lijn actief aandacht gevraagd wordt voor risicomanagement. De afdeling Risk streeft ernaar om samen met gespecialiseerde risicoafdelingen en de business integraal risicomanagement op te zetten en systematisch risicoafwegingen te maken (afgezet tegen de risicobereidheid). Dit bestaat uit 4 pijlers:

• Regelmatig stilstaan bij risico’s door het management in de vorm van risico-assessments;

• Actief toezien op adequaat risicomanagement binnen projecten en programma’s;

• Risico’s afwegen in besluitvorming;

• Incidenten analyseren om te leren van gemaakte fouten.

Hierdoor wordt de sturing krachtiger, omdat NS in staat is om mogelijke knelpunten of kansen vroegtijdig te signaleren en daar gericht en proactief op te sturen. De mate van ondersteuning door de tweede lijn bij deze processen wordt bepaald op basis van een risicoschatting vooraf en de positie binnen het bedrijf.

Vastlegging en rapportage

Geïdentificeerde risico’s zijn met de risico-eigenaar in risicoregisters vastgelegd. In 2017 zijn belangrijke stappen gezet om risico’s waar mogelijk te kwantificeren, hetgeen in 2018 breder uitgerold zal worden. Elk kwartaal worden de voornaamste risico’s per bedrijfsonderdeel gerapporteerd en besproken in de raad van bestuur als onderdeel van de planning-en-controlcyclus. Een recent geselecteerd Enterprise Risk Management systeem ondersteunt de vastlegging en rapportage van risico’s. In 2018 zal dit leiden tot een meer geüniformeerde werkwijze voor risicomanagement. Risico’s boven de tolerantiegrenzen worden direct gerapporteerd en indien nodig geëscaleerd. De raad van bestuur rapporteert en legt verantwoording af over het systeem van risicobeheersing en interne controle aan de raad van commissarissen na bespreking daarvan in de Risk- en Auditcommissie.

Cultuur

Risicomanagement moet een onderdeel worden van ons dna, zonder dat het de bedrijfsvoering verlamt. Het risicobewustzijn van medewerkers neemt verder toe mede dankzij de activiteiten en trainingen vanuit de afdeling Risk. De afdeling Risk is een integraal maar onafhankelijk onderdeel van NS. Ze informeert, daagt uit, neemt standpunten in en geeft gevraagd en ongevraagd advies vanuit de kennis van ons bedrijf en zonder te veroordelen. De afdeling denkt mee in oplossingen die recht doen aan de diverse belangen en die bijdragen aan de realisatie van de strategie.

Verklaring raad van bestuur

De raad van bestuur vindt dat de systemen van risicobeheersing en interne controle ten aanzien van financiële verslaggevingsrisico’s in het verslagjaar naar behoren hebben gewerkt en een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat. Het verslag geeft daarmee in een voldoende mate inzicht in de werking van voornoemde systemen. De raad van bestuur verklaart dat, voor zover bekend,

• de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en de winst van NS, en de gezamenlijk in de consolidatie opgenomen ondernemingen;

• het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar;

• het naar de huidige stand van zaken gerechtvaardigd is dat de financiële verslaggeving is opgesteld op going concern basis; en

• in het jaarverslag de materiële risico’s en onzekerheden zijn vermeld die relevant zijn ter zake van de verwachting van de continuïteit van de vennootschap voor een periode van twaalf maanden na opstelling van het verslag.