NS staat dagelijks bloot aan diverse risico’s. Die brengen we onder in strategische, operationele, financiële (rapportage) en compliance-risico’s. Om risico’s goed te beheersen, is effectief risicomanagement van groot belang.

Ervaringen als de Fyra, de betrouwbaarheid van onze diensten tijdens diverse weersomstandigheden en de onregelmatigheden rondom de aanbesteding in Limburg onderschrijven de noodzaak van een veel sterker risicomanagement. Ondanks onze inspanningen op dat gebied zijn we ons ervan bewust dat het beter kan en moet. Zowel op de ‘harde aspecten’ als governance, organisatie, wet- en regelgeving en procedures, als op de ‘zachte aspecten’ als ethiek, integriteit en professioneel gedrag. Dat blijkt ook uit het rapport van Alvarez & Marsal. Risico’s zijn niet uit te sluiten, wel kunnen we zorgen dat de gevolgen ervan zo veel mogelijk beperkt blijven. Het NS Risk Framework moet borgen dat we adequaat met de belangrijkste risico’s omgaan. Hieronder volgt een toelichting op de componenten van het NS Risk Framework.

Organisatie, governance en rapportage

De bedrijfsonderdelen en de raad van bestuur zijn verantwoordelijk voor de beheersing van de risico’s. Binnen de bedrijfsonderdelen van NS werken risicomanagers die de business ondersteunen met het identificeren van risico’s en het monitoren van de ontwikkeling van de beheersing van significante risico’s. Om een meer uniforme werkwijze te realiseren en risicomanagers breder in te zetten, zijn de risicomanagers hiërarchisch verplaatst naar NS Groep.

Elk kwartaal worden de risico’s per bedrijfsonderdeel gerapporteerd en besproken in de ExCo als onderdeel van de planning-en-control cyclus. De raad van bestuur rapporteert en legt verantwoording af over het systeem van risicobeheersing en interne controle aan de raad van commissarissen na bespreking daarvan in de auditcommissie. Naar aanleiding van de onregelmatigheden die zich hebben voorgedaan bij de aanbesteding van de vervoersconcessie in Limburg is besloten om de verantwoordelijkheid voor governance, risk & compliance op het hoogste bestuurlijke niveau te beleggen. In november 2015 is Susi Zijderveld benoemd tot Chief Governance Risk Compliance Officer (CGRCO). Per 1 februari 2016 start zij in haar nieuwe functie. Deze nieuwe functie binnen de raad van bestuur moet bijdragen aan de verdere professionalisering van de bedrijfsvoering binnen NS en zal een belangrijke rol moeten spelen bij het realiseren van de noodzakelijke versterking van risicomanagement in alle opzichten.

Risicomanagementsysteem

NS heeft een systeem van risico-identificatie en risicobeheersing geïmplementeerd dat is gebaseerd op het COSO ERM-raamwerk. Dit is een wereldwijd toegepast risicomanagement raamwerk. Op operationeel, financieel en veiligheidsgebied doen we het nodige aan risicomanagement. We identificeren risico’s, handelen daarnaar en rapporteren daarover. Uit het rapport van Alvarez & Marsal blijkt dat risicomanagement ten aanzien van integriteit en compliance verbeterd moet worden. Afgelopen jaar is NS gestart met het kwantificeren van de risico’s en het aan elkaar relateren van de risico’s. Het komende jaar wordt dat nog verder uitgewerkt. Hieronder valt ook de relatie met strategisch risicomanagement. Door samen met de businessintegraal risicomanagement op te zetten en systematisch risicoafwegingen te maken (feitelijk en afgezet tegen de goedgekeurde ‘risicobereidheid’), wordt de sturing krachtiger. We zijn als NS dan beter in staat om mogelijke knelpunten of kansen vroegtijdig te signaleren en daar gericht en proactief op te sturen.

Risicobereidheid en -toleranties

In 2015 heeft de Executive Committee een theoretisch concept besproken over haar risicobereidheid. De risicobereidheid is een kwalitatieve uitspraak die inzicht geeft in welke mate afwijkingen geaccepteerd worden bij het behalen van de doelstellingen. Daarin zijn met betrekking tot afwijking van de doelstellingen de vormen risicomijdend, risiconeutraal en risiconemend te onderscheiden. Nadere uitwerking volgt in 2016.

Risico-identificatie en -beheersing

Het systeem van risico-identificatie en risicobeheersing is ingevoerd binnen NS. Zo voeren de bedrijfsonderdelen regelmatig risico-assessments uit op belangrijke programma’s, projecten en processen. De directie bespreekt de risico’s periodiek. Deze risico’s legt NS vast in risicoregisters. In 2015 is NS Risk gestart met het adviseren van de ExCo en RvC bij investeringsvoorstellen groter dan € 10 miljoen, bijvoorbeeld investeringen in treinmaterieel of vastgoed en biedingen op concessies in binnen- en buitenland. Dit doet NS Risk gezamenlijk met Corporate Planning & Control en NS Legal. NS heeft tevens een ‘business control incident regeling’. Het doel van de regeling is om naar aanleiding van incidenten inzicht te krijgen in mogelijke leemtes in het interne beheersingssysteem en deze te verbeteren.

Tools en IT-ondersteuning

NS gebruikt software en stemkastjes om risicosessies te begeleiden. Het afgelopen jaar is ook gewerkt met bow-tie-analyses om risico’s, beheersmaatregelen en de impact inzichtelijk te maken. Er is nog geen sprake van een geïntegreerde Enterprise Risk Management tool of systeem.

Risicocultuur

Binnen NS is er aandacht voor het beheersen van risico’s. Incidenten die zich in het afgelopen jaar hebben voorgedaan, tonen aan dat het risicobewustzijn binnen de organisatie nog verder moet groeien. Het moet een onderdeel worden van ons DNA, zonder dat het de bedrijfsvoering verlamt. Het nieuw aangestelde directielid heeft onder andere als taak om dit verder te versterken.

Verklaring raad van bestuur

De raad van bestuur vindt dat de systemen van risicobeheersing en interne controle ten aanzien van financiële verslaggevingsrisico’s in het verslagjaar naar behoren hebben gewerkt en een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat. We hebben de ambitie om risicomanagement verder te professionaliseren. De raad van bestuur verklaart dat, voor zover bekend,

• de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en de winst van NS, en de gezamenlijk in de consolidatie opgenomen ondernemingen;

• het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar;

• in het jaarverslag de voornaamste risico’s waarmee NS wordt geconfronteerd, zijn beschreven.