Spring naar inhoud

Compliance en risicomanagement

Risicomanagement

RAI werkt continu aan het structureel en systematisch beheersen van risico’s. Risicomanagement is ingebed in de strategische en operationele processen. Het integraal risicomanagementsysteem omvat alle niveaus van de bedrijfsvoering en alle onderdelen van de organisatie. Risico’s en beheersmaatregelen zijn geanalyseerd, vastgelegd in een register en gemonitord.  De analyse bevat ook frauderisico’s die worden geïdentificeerd. 

Risicohouding en -bereidheid

Ondernemerschap is een van onze kernwaarden. Daarbij hoort de bereidheid tot het op beheerste wijze nemen van risico’s. Het doel van het risicomanagement is dan ook niet het uitsluiten van risico’s, maar het verkrijgen van inzicht zodat optimaal kan worden ingespeeld op kansen en bedreigingen. We stellen wel grenzen aan onze risicobereidheid. Zo mogen financiële risico’s niet de financiële weerbaarheid in gevaar brengen. We streven te allen tijde een gezonde veiligheidsmarge met betrekking tot onze belangrijkste financieringsratio (net debt/EBITDA) van 15% na. Dit impliceert een voortdurende beschikbaarheid van gecontracteerde financieringscapaciteit van minimaal 10 miljoen euro, als liquiditeitsbuffer. We willen een veilige ontmoetingsplaats zijn en blijven. We zijn ons bewust van onze verantwoordelijkheid voor het veilig, gezond en toegankelijk houden van onze locaties en evenementen. Daarbij willen we de veiligheids- of gezondheidsrisico’s zoveel mogelijk beperken. Naleving van wet- en regelgeving is het uitgangspunt. We streven ernaar non-compliance zoveel mogelijk te minimaliseren en hanteren een zeer lage tolerantie op dit gebied. Integriteit is belangrijk. We hanteren een nultolerantiebeleid ten aanzien van fraude en corruptie. Schematisch kan onze risicohouding als volgt worden weergegeven.

Risicohouding RAI Amsterdam

Organisatie volgens 'Three lines of defence'-model

Als risicomanagementsysteem hanteren we het 'three lines of defence'-model. Dit stelsel van maatregelen bestaat uit drie ‘lines of defence’: de uitvoerende lijn, de risicomanagementfunctie en de internal auditfunctie.

'Three lines of defence'-model

De ‘first line of defence’ is primair verantwoordelijk voor het operationele management en neemt het eigenaarschap voor het beheersen van de risico’s in de operatie. Deze beheersing wordt vormgegeven door een adequate inrichting van de organisatie waarbij niet alleen structuur en processen, maar ook cultuur een rol speelt. De ‘second line of defence’ wordt ingevuld door de onafhankelijke risk & compliance-functie die toeziet op de inrichting en het functioneren van het risicomanagementsysteem. De tweede lijn ondersteunt de eerste lijn, coördineert en rapporteert aan de directie en het lijnmanagement. De ‘third line of defence’ wordt vormgegeven door een onafhankelijke internal audit-functie met een scope die in het bijzonder is gericht op milieu- en kwaliteitsmanagement in lijn met ISO 9001 en ISO 14001. Op basis van een jaarlijks te actualiseren internal audit-plan ziet deze functie toe op opzet, bestaan en werking van de beheersmaatregelen.

Een Risk & compliance board overziet elk kwartaal de voortgang. Hieraan neemt het bestuur, het senior management en de Risk & compliance officer deel. Het bestuur ziet toe op de effectieve werking van dit systeem en streeft samen met de organisatie naar voortdurende verbetering en versterking.

Focus op realiseren doelstellingen

Risicomanagement en interne controle zijn dynamische processen. We wensen met redelijke mate van zekerheid de risico's die kunnen optreden bij het realiseren van strategische, tactische en operationele doelstellingen in kaart te brengen en te beheersen. Beheersmaatregelen die in dit kader worden getroffen, zijn gericht op het reduceren van de kans dat het risico zich voordoet en/of het reduceren van de impact die het risico bij optreden teweegbrengt. Om het risicomanagement goed te laten functioneren, is van belang dat het goed is ingebed in de bedrijfsprocessen en integraal wordt toegepast. Het risicomanagementsysteem dat we hebben ingericht, is gebaseerd op de principes en uitgangspunten van onder andere ISO 31000 en COSO. Hoewel we dit zoveel mogelijk proberen te beperken, kan niet worden uitgesloten dat risico’s die momenteel niet onderkend worden of nu niet als significant worden beschouwd, later een belangrijk negatief effect kunnen hebben op ons vermogen om onze doelstellingen te realiseren.

Toezicht

De rvc ziet onder andere toe op de bedrijfsvoering van RAI Amsterdam. De raad keurt (wijzigingen in) het risicomanagementbeleid goed. Risicomanagement staat op periodiek terugkerende basis geagendeerd in de auditcommissie- en rvc-vergaderingen. De rvc is opdrachtgever voor de externe accountant en keurt jaarlijks het audit plan van de externe accountant goed. 

De externe accountant fungeert ook als toezichthouder en ziet door controle op basis van een jaarlijks te actualiseren auditplan toe op opzet, bestaan en, voor zover noodzakelijk geacht, werking van de administratieve organisatie en interne controle. De externe accountant rapporteert met een accountantsverslag aan de rvc en een accountantsverklaring in het jaarverslag.

Risico-inventarisatie en -beoordeling

In 2023 heeft opnieuw een integrale actualisering van de risico-inventarisatie en -beoordeling plaatsgevonden. Een en ander in het licht van de cyclische beoordeling van actuele ontwikkelingen en de bijgestelde doelstellingen van de organisatie. Door de nadrukkelijke koppeling aan doelstellingen versterkt het risicomanagement het prestatiemanagement. Zeventien risico-domeinen worden het meest relevant geacht. Vaak is er onderlinge samenhang. Voor deze domeinen werken we de deelrisico’s uit en definiëren, implementeren en monitoren we beheersingsmaatregelen. Bij de beoordeling van de relevantie van de risico’s voor RAI Amsterdam worden zowel de huidige kans op het voordoen van een mogelijke gebeurtenis alsook het huidige gevolg (gemeten in geld) dat deze gebeurtenis voor RAI Amsterdam heeft, betrokken.

  1. Strategie-executie en verandermanagement
  2. Toename concurrentie
  3. Wijzigende klantvoorkeuren
  4. Wijzigende omgevingsfactoren
  5. Personeel aantrekken en behouden
  6. Internationale activiteiten
  7. Reputatierisico's
  8. Safety & Security
  9. Financiële risico's (inclusief Belastingen)
  1. Cybercrime
  2. Contractuele verplichtingen
  3. Interruptie in bedrijfsvoering
  4. Onvoldoende innovatie
  5. Onvoldoende verbetercapaciteit
  6. Integriteit
  7. Non compliance & licence to operate
  8. Economische en/of politieke tegenwind

Belangrijke risico's en mitigerende maatregelen

Strategievorming en executie
In turbulente tijden is strategische- en operationele wendbaarheid van levensbelang. Onze zes strategische pijlers zijn ook in 2023 leidend geweest in al onze activiteiten en initiatieven. Eind 2023 startten we een integraal programma om tot een actualisering van onze strategie te komen voor de komende jaren. In het verlengde daarvan gaat ook veel aandacht uit naar de wijze waarop we slagvaardig om kunnen gaan met het realiseren van onze strategische doelstellingen.

Markt en concurrentie
Het commerciële speelveld en onze concurrentiële positie kunnen geraakt worden door acties van, of ontwikkelingen bij, concurrerende partijen en mogelijke partners in de markt. Daarom hebben we een strategisch portefeuillebeleid ontwikkeld en houden we de marktpositie van ons portfolio scherp in beeld. We beoordelen proactief de mogelijkheden die er op dit terrein liggen. Dit vertalen we in een marktstrategie per domein. Wijzigende klantvoorkeuren worden hierin meegenomen. Duurzaamheid en digitalisering zijn daarbij in toenemende mate belangrijk.

Wijzigende omgevingsfactoren
Ontwikkelingen in de omgeving van onze organisatie kunnen een materiële impact hebben op de mate waarin strategische doelstellingen kunnen worden gerealiseerd. In veel gevallen hebben we zelf beperkt invloed op gebeurtenissen in onze omgeving en richten we ons vooral op het zo goed als mogelijk beheersen van de gevolgen. Zo raakte de Covid-pandemie ons in het hart. 2023 is het eerste volledige jaar waarin de bedrijfsvoering weer zonder beperkingen kon worden ingericht. Ook de Oekraïne-oorlog en de daaruit voortvloeiende energiecrisis hebben grote impact gehad op onze organisatie. In 2023 is deze situatie in belangrijke mate genormaliseerd. Wel heeft het de noodzaak van een energietransitie versterkt. Zowel uit kostenoogpunt als uit hoofde van de benodigde verduurzaming van ons bedrijf is een energietransitie noodzakelijk. Dit is een complex vraagstuk met veel onzekere variabelen dat niet op korte termijn kan worden opgelost en waar we ons programmatisch op voorbereiden.

Overspannen arbeidsmarkt
De arbeidsmarkt is al langere tijd gespannen. RAI Amsterdam is een aantrekkelijke werkgever. In het algemeen weten we onze vacatures goed in te vullen, maar in een aantal specifieke segmenten van de arbeidsmarkt blijft het nog steeds lastig om geschikt talent aan te trekken en te behouden. Dat kan ons kwetsbaar maken voor verloop. Maatgesneden recruitment en strategische personeelsplanning mitigeert dit risico in belangrijke mate. Ook de markt van flexkrachten is krap. Dit maakt het tijdig beschikbaar krijgen van voldoende competente flexkrachten onzeker, hetgeen de operationele bedrijfsvoering onder druk kan zetten. Door proactief en intensief met de leveranciers van flexkrachten en dienstverleners de verwachte vraag aan capaciteit ruimer van te voren af te stemmen, wordt dit risico beheerst.

Cybercrime
Cybercrime vormt wereldwijd een van de grootste bedreigingen voor ondernemingen. RAI Amsterdam is daarvoor evenmin immuun. Daarom hebben we een cybersecurity-beleid gedefinieerd en nemen we de organisatorische en fysieke maatregelen om dit risico zo veel mogelijk te mitigeren. Daarmee beogen we tevens vervolgrisico’s als operationele verstoring en het verlies van privacy gevoelige informatie te reduceren.

Economische conjunctuur
Het afgelopen jaar is de economische conjunctuur in iets rustiger vaarwater gekomen. De torenhoge inflatie is gedaald, maar de onzekerheid met betrekking tot de richting waarin zich dit ontwikkelt, blijft groot. Ook voor ons blijft dit belangrijk, want kosteninflatie zet de rentabiliteit van de bedrijfsvoering onder druk en de mogelijkheden om gestegen kosten door te rekenen in de prijsvorming van de producten en dienstverlening zijn niet onbegrensd. Gerichte kostenbesparingen en margemanagement worden zo nodig ingezet om hieraan het hoofd te bieden.

Safety en security
RAI Amsterdam is een multifunctionele venue waar veel mensen samenkomen. Dit impliceert gezondheids- en veiligheidsrisico’s voor bezoekers en medewerkers en risico's van schade aan of diefstal van hun eigendommen. Vandaar dat we een integraal veiligheidsmanagementsysteem hebben ontwikkeld waarin aandacht wordt geschonken aan strategische en operationele veiligheidsbeheersmaatregelen. Daarmee wordt ook het risico van storingen en onderbrekingen als gevolg van calamiteiten zo goed mogelijk gemitigeerd. De effectieve werking van deze maatregelen wordt gemonitord. We investeren voortdurend in organisatorische-, technische en IT-gerelateerde oplossingen om de veiligheid van onze medewerkers, onze bezoekers en de venue zo goed mogelijk te waarborgen.

Financiële risico’s
Financiële risico’s vinden doorgaans hun oorsprong in onderliggende strategische, operationele of compliance risico’s. De beheersmaatregelen vinden plaats binnen het spectrum van financieel management en treasury. Focus ligt op versterking van de financiële weerbaarheid en rentabiliteit van de organisatie op korte en lange termijn.

Reputatie
Reputatieschade kan grote en lange termijn gevolgen hebben voor de organisatie. Om dit te mitigeren zetten we een divers instrumentarium in. Een compliance managementsysteem is ingericht om het voldoen aan wet- en regelgeving zo goed mogelijk te borgen. Een integriteitsbeleid draagt bij aan het voorkomen van ongewenst of niet-integer gedrag. Intensief stakeholdermanagement is mede gericht op het consolideren van de goede reputatie van RAI Amsterdam. Een corporate communicatiebeleid geeft inhoud aan een effectieve communicatie naar alle betrokken stakeholders.

Compliance management

RAI Amsterdam stelt zich ten doel te voldoen aan alle voor de organisatie van toepassing zijnde wettelijke- en vergunningstechnische eisen en richtlijnen. Ook wil zij zich houden aan en werken volgens de normen en richtlijnen waarvan de RAI-organisatie zelf besloten heeft dat zij daaraan wil voldoen. De RAI streeft ernaar de risico’s van non-compliance zoveel mogelijk te minimaliseren en hanteert een zeer lage tolerantie op dit gebied. Om hieraan te kunnen voldoen, heeft de RAI een compliance managementsysteem ingericht.

Bij inrichting van het compliance managementsysteem hebben we ons zo veel mogelijk laten leiden door de uitgangspunten en principes zoals deze zijn vastgelegd in de ISO 19600-standaard voor compliance management. Belangrijke uitgangspunten zijn:

  • een doelgerichte, gestructureerde aanpak in een continue proces;
  • een afgebakende scope en een op risicoanalyse gebaseerde prioritering binnen de context van de specifieke kenmerken van onze organisatie;
  • een duidelijke verdeling en toedeling van taken en verantwoordelijkheden, met een leidende en betrokken rol voor het topmanagement;
  • een cyclisch proces dat ons in staat stelt een lerende organisatie te zijn;
  • aandacht voor cultuur en gedrag, aansluitend op de kernwaarden;
  • transparantie over de compliance-aanpak en de wijze waarop wordt omgegaan met non-compliance.

Met het compliance managementsysteem hebben we de compliance verplichtingen integraal in beeld gebracht en de naleving met behulp van programma’s geborgd. De voortgang wordt voortdurend gemonitord en besproken in de Risk & compliance board, waaraan het bestuur, het senior management en de Risk & compliance officer deelnemen.

Versie:
v8.0.5

Met iwink.report maak je professionele online publicaties. Publicaties die je online, in print en als PDF-download kunt aanbieden.

En daarmee voldoe je direct aan de WCAG-wetgeving rond digitale toegankelijkheid.

Eenvoudig, veilig en efficiënt.

Meer over iwink.report