Om de risico’s integraal te managen heeft NS een three-lines-of-defence model ingericht. Uitgangspunt van het model is dat de eerste lijn (de business) verantwoordelijk is voor de beheersing van haar processen. De tweede lijn (waar risicomanagement onderdeel van is) ondersteunt, adviseert en bewaakt of het lijnmanagement zijn verantwoordelijkheden ook daadwerkelijk neemt. De derde lijn (internal audit) controleert of het systeem van risicobeheersing en interne controle daadwerkelijk functioneert.

Bij het uitvoeren van de dienstverlening staat NS dagelijks bloot aan diverse risico’s. Die brengen we onder in strategische, operationele, financiële (rapportage) en compliance-risico’s. Om risico’s goed te beheersen, is effectief risicomanagement van groot belang. Het NS Risk Framework moet borgen dat we adequaat omgaan met de belangrijkste risico’s tijdens besluitvorming en in de dagelijkse bedrijfsvoering.

Organisatie, governance en rapportage

De bedrijfsonderdelen en de raad van bestuur zijn verantwoordelijk voor de beheersing van de risico’s. Risico’s hebben zo een eigenaar binnen de organisatie. Risicomanagers ondersteunen de business bij het identificeren van risico’s en het monitoren van de ontwikkeling van de beheersing van significante risico’s. Om een meer uniforme en onafhankelijke werkwijze te realiseren en risicomanagers breed in te kunnen zetten, vallen de risicomanagers onder de directeur Risicobeheersing.
Elk kwartaal worden de risico’s per bedrijfsonderdeel gerapporteerd en besproken in de raad van bestuur als onderdeel van de planning-en-controlcyclus. Risico’s boven de tolerantiegrenzen worden direct gerapporteerd. De raad van bestuur rapporteert en legt verantwoording af over het systeem van risicobeheersing en interne controle aan de raad van commissarissen na bespreking daarvan in de risk- en auditcommissie.

Risicomanagementsysteem

NS heeft een systeem van risico-identificatie en -beheersing geïmplementeerd. We identificeren risico’s, handelen daarnaar en rapporteren daarover. Kwantificering van risico’s, zowel bij strategische besluitvorming als de dagelijkse bedrijfsvoering, krijgt daarbij meer aandacht. Door samen met de business integraal risicomanagement op te zetten en systematisch risicoafwegingen te maken (afgezet tegen de ‘risicobereidheid’), wordt de sturing krachtiger. We zijn daardoor beter in staat om mogelijke knelpunten of kansen vroegtijdig te signaleren en daar gericht en proactief op te sturen.

Risicobereidheid en -toleranties

In 2016 heeft de raad van bestuur haar risicobereidheid opnieuw gedefinieerd voor acht thema’s. De definitie van de risicobereidheid volgens de raad van bestuur:

Ten opzichte van vorig jaar heeft de raad van bestuur haar risicobereidheid voor de categorie Reputatie aangescherpt van neutraal naar mijdend. De risicobereidheid voor de categorie Groei verschoof van neutraal naar nemend. De risicobereidheid geeft vervolgens richting aan het bepalen van toleranties (ondergrenzen) bij doelstellingen en kpi’s. In het kader van het businessplan- en budgetteringsproces zijn bij de belangrijkste NS-kpi’s ondergrenzen bepaald. Verdere doorvertaling van de kpi’s en bijbehorende ondergrenzen binnen de organisatie vindt in 2017 plaats, zodat alle medewerkers direct betrokken worden bij het realiseren van doelstellingen en het risicomanagement.

Risico-identificatie en -beheersing

Het systeem van risico-identificatie en -beheersing is ingevoerd binnen NS. Zo voeren de bedrijfsonderdelen regelmatig risico-assessments uit op belangrijke programma’s, projecten en processen. De directie bespreekt de risico’s periodiek. Deze risico’s legt NS vast in risicoregisters. NS Risk adviseert de raad van bestuur en raad van commissarissen onder andere bij investeringsvoorstellen groter dan € 5 miljoen, bijvoorbeeld investeringen in treinmaterieel of vastgoed, en bij biedingen op concessies in binnen- en buitenland. Dit doet NS Risk gezamenlijk met Business Control Group en NS Legal. NS heeft tevens een ‘business control incident regeling’, met als doel om naar aanleiding van incidenten inzicht te krijgen in leemtes in het interne beheersingssysteem en deze te verbeteren.

Tools en IT-ondersteuning

In bepaalde gevallen voert NS ook stresstesten uit. De risico’s met een hoge prioriteit worden verder uitgewerkt met bow-tie-analyses. Hierdoor verkrijgen we een goed inzicht in oorzaken en gevolgen van de risico’s, maar ook in de aanwezige en ontbrekende beheersmaatregelen. Er is nog geen sprake van een geïntegreerde Enterprise Risk Management tool of systeem. Dit zal in de komende jaren worden opgezet, eventueel als onderdeel van een bredere Governance, Risk en Compliance-tool.

Risicocultuur

Risicomanagement moet een onderdeel worden van ons dna, zonder dat het de bedrijfsvoering verlamt. In 2017 start binnen NS een cultuurprogramma waarvan risicomanagement een onderdeel is. Het risicobewustzijn van medewerkers zal hierdoor moeten toenemen.

Verklaring raad van bestuur

De raad van bestuur vindt dat de systemen van risicobeheersing en interne controle ten aanzien van financiële verslaggevingsrisico’s in het verslagjaar naar behoren hebben gewerkt en een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat. De raad van bestuur verklaart dat, voor zover bekend,

• de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en de winst van NS, en de gezamenlijk in de consolidatie opgenomen ondernemingen;

• het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar;

• in het jaarverslag de voornaamste risico’s waarmee NS wordt geconfronteerd, zijn beschreven.