Compliance en risicomanagement

Risicomanagement

RAI werkt continu aan het structureel en systematisch beheersen van risico’s. Risicomanagement is ingebed in de strategische en operationele processen. Het integraal risicomanagementsysteem omvat alle niveaus van de bedrijfsvoering en alle onderdelen van de organisatie. Risico’s en beheersmaatregelen zijn geanalyseerd, zijn vastgelegd in een register en worden gemonitord. De Risk & Compliance board overziet elk kwartaal de voortgang. Hieraan nemen het bestuur, het senior management en de Risk & Compliance Officer deel. Het bestuur ziet toe op de effectieve werking van dit systeem en streeft samen met de organisatie naar voortdurende verbetering en versterking.

Focus op realiseren doelstellingen

Risicomanagement en interne controle zijn dynamische processen. We wensen met redelijke mate van zekerheid de risico's die kunnen optreden bij het realiseren van strategische, tactische en operationele doelstellingen in kaart te brengen en te beheersen. Beheersmaatregelen die in dit kader worden getroffen, zijn gericht op het reduceren van de kans dat het risico zich voordoet en/of het reduceren van de impact die het risico bij optreden teweegbrengt. 

Om het risicomanagement goed te laten functioneren, is van belang dat het goed is ingebed in de bedrijfsprocessen en integraal wordt toegepast. Het risicomanagementsysteem dat we hebben ingericht, is gebaseerd op de principes en uitgangspunten van onder andere ISO 31000 en COSO. 

Hoewel we dit zoveel mogelijk proberen te beperken, kan niet worden uitgesloten dat risico’s die momenteel niet onderkend worden of nu niet als significant worden beschouwd, later een belangrijk negatief effect kunnen hebben op ons vermogen om onze doelstellingen te realiseren.

Risicohouding en -bereidheid

Ondernemerschap is een van onze kernwaarden. Daarbij hoort de bereidheid tot het op beheerste wijze nemen van risico’s. Het doel van het risicomanagement is dan ook niet het uitsluiten van risico’s, maar het verkrijgen van inzicht zodat optimaal kan worden ingespeeld op kansen en bedreigingen. We stellen wel grenzen aan onze risicobereidheid. Zo mogen financiële risico’s niet de financiële weerbaarheid in gevaar brengen. We streven te allen tijde een gezonde veiligheidsmarge met betrekking tot onze belangrijkste financieringsratio (net debt/EBITDA) van 15% na. Dit impliceert een voortdurende beschikbaarheid van gecontracteerde financieringscapaciteit van minimaal 10 miljoen euro, als liquiditeitsbuffer. 

We willen een veilige ontmoetingsplaats zijn en blijven. We zijn ons bewust van onze verantwoordelijkheid voor het veilig, gezond en toegankelijk houden van onze locaties en evenementen. Daarbij willen we de veiligheids- of gezondheidsrisico’s zoveel mogelijk beperken. Naleving van wet- en regelgeving is het uitgangspunt. We streven ernaar non-compliance zoveel mogelijk te minimaliseren en hanteren een zeer lage tolerantie op dit gebied.

Integriteit is belangrijk en we hanteren een nultolerantiebeleid ten aanzien van fraude en corruptie. Schematisch kan onze risicohouding als volgt worden weergegeven.

Risicohouding RAI Amsterdam

Organisatie volgens 'Three lines of defence'-model

Bij de inrichting van het risicomanagementsysteem hanteert RAI Amsterdam het 'three lines of defence'-model. Dit stelsel van maatregelen bestaat uit drie ‘lines of defence’: de uitvoerende lijn, de risicomanagementfunctie en de internal auditfunctie. De ‘first line of defence’ is primair verantwoordelijk voor het operationele management en neemt het eigenaarschap voor het beheersen van de risico’s in de operatie. Deze beheersing wordt vormgegeven door een adequate inrichting van de organisatie waarbij niet alleen structuur en processen, maar ook cultuur een rol speelt. De ‘second line of defence’ wordt ingevuld door de onafhankelijke risk & compliance-functie die toeziet op de inrichting en het functioneren van het risicomanagementsysteem. De tweede lijn ondersteunt de eerste lijn, coördineert en rapporteert aan het bestuur en het lijnmanagement. De ‘third line of defence’ wordt vormgegeven door een onafhankelijke internal audit-functie met een scope die in het bijzonder is gericht op milieu- en kwaliteitsmanagement in lijn met ISO 9001 en ISO 14001. Op basis van een jaarlijks te actualiseren internal audit-plan ziet deze functie toe op opzet, bestaan en werking van de beheersmaatregelen.

'Three lines of defence'-model

Toezicht

De rvc ziet onder andere toe op de bedrijfsvoering van RAI Amsterdam. De raad keurt (wijzigingen in) het risicomanagementbeleid goed. Risicomanagement staat op periodiek terugkerende basis geagendeerd in de auditcommissie- en rvc-vergaderingen. De rvc is opdrachtgever voor de externe accountant en keurt jaarlijks het audit plan van de externe accountant goed. 

De externe accountant fungeert ook als toezichthouder en ziet door controle op basis van een jaarlijks te actualiseren auditplan toe op opzet, bestaan en waar benodigd de werking van de administratieve organisatie en interne controle. De externe accountant rapporteert met een managementletter aan de rvc en een accountantsverklaring in het jaarverslag.

Risico-inventarisatie en -beoordeling

Ook in 2025 heeft opnieuw een integrale actualisering van de risico-inventarisatie en -beoordeling plaatsgevonden. Een en ander in het licht van de cyclische beoordeling van actuele ontwikkelingen en de bijgestelde doelstellingen van de organisatie. Door de nadrukkelijke koppeling aan doelstellingen versterkt het risicomanagement het prestatiemanagement. Zeventien risico-domeinen worden het meest relevant geacht. Vaak is er sprake van een onderlinge samenhang. Voor deze domeinen werken we de deelrisico’s uit en definiëren, implementeren en monitoren we beheersmaatregelen. 

Bij de beoordeling van de relevantie van de risico’s voor RAI Amsterdam worden zowel de huidige kans op het voordoen van een mogelijke gebeurtenis alsook het huidige gevolg (gemeten in geld) dat deze gebeurtenis voor RAI Amsterdam heeft, betrokken.

Belangrijke risico's en mitigerende maatregelen

Toelichting:

  1. Strategie-executie en verandermanagement
  2. Toename concurrentie
  3. Wijzigende klantvoorkeuren
  4. Wijzigende omgevingsfactoren
  5. Personeel aantrekken en behouden
  6. Internationale activiteiten
  7. Reputatierisico's
  8. Safety & Security
  9. Financiële risico's (inclusief Belastingen)
  10. Cybercrime
  11. Contractuele verplichtingen
  12. Interruptie in bedrijfsvoering
  13. Onvoldoende innovatie
  14. Onvoldoende verbetercapaciteit
  15. Integriteit
  16. Non compliance & licence to operate
  17. Economische en/of politieke tegenwind

Strategie-executie en changemanagement
In 2024 is de nieuwe RAI NEXT-strategie gefinaliseerd. De core business wordt uitgebreid en verder geoptimaliseerd. De nieuwe strategie zet vol in op het toekomstbestendig en duurzaam maken van de venue en het RAI-gebied aan het Europaplein in Amsterdam.Om dit mogelijk te maken, wil RAI Amsterdam transformeren naar een meer ontwikkelende organisatie. We richten onze organisatie en bedrijfsvoering zodanig in dat daarmee het operationaliseren van de strategie wordt versterkt. De voortgang wordt continu gemonitord. Externe factoren zoals stakeholderbelangen en geopolitieke ontwikkelingen kunnen materiële impact hebben op het vermogen van RAI Amsterdam om haar strategische doelstellingen te realiseren.

Markt en concurrentie
Het commerciële speelveld en onze concurrentiële positie kunnen geraakt worden door acties van, of ontwikkelingen bij, concurrerende partijen en mogelijke partners in de markt. Daarom hebben we een strategisch portefeuillebeleid ontwikkeld en houden we de marktpositie van ons portfolio scherp in beeld. We beoordelen proactief de mogelijkheden die er op dit terrein liggen. Dit vertalen we in een groeistrategie voor de domeinen en markten waarin we actief willen zijn. De eigen kracht van deze aanpak draagt positief bij aan de weerbaarheid van RAI Amsterdam met betrekking tot bedreigingen vanuit de markt en onze concurrentie.

Wijzigende omgevingsfactoren
Ontwikkelingen in de omgeving van onze organisatie kunnen een materiële impact hebben op de mate waarin strategische doelstellingen kunnen worden gerealiseerd. In veel gevallen hebben we zelf beperkt invloed op gebeurtenissen in onze omgeving en richten we ons vooral op het zo goed als mogelijk beheersen van de gevolgen. In 2025 zijn de wereldwijde geopolitieke ontwikkelingen heel turbulent geweest en naar verwachting blijft dit ook in 2026 aan de orde. RAI Amsterdam volgt deze ontwikkelingen op de voet en beoordeelt voortdurend waar dit gevolgen kan hebben op haar activiteiten. In 2025 was de directe impact vooralsnog gering.

Ontwikkelingen op de arbeidsmarkt
RAI Amsterdam is een aantrekkelijke werkgever. In het algemeen weten we onze vacatures goed in te vullen, maar in een aantal specifieke segmenten van de arbeidsmarkt blijft het nog steeds lastig om geschikt talent aan te trekken en te behouden. Dat kan ons kwetsbaar maken voor verloop.Maatgesneden recruitment en strategische personeelsplanning mitigeren dit risico in belangrijke mate. Ook de markt van flexkrachten is krap.Dit maakt het tijdig beschikbaar krijgen van voldoende competente flexkrachten onzeker, hetgeen de operationele bedrijfsvoering onder druk kan zetten. De regelgeving met betrekking tot voorkoming van schijnzelfstandigheid van ZZPers en gelijke arbeidsvoorwaarden voor flexwerkers maken dit nog complexer. RAI stelt haar inhuurbeleid voortdurend bij als de marktomstandigheden en relevante regelgeving daar om vragen.

Cybercrime
Cybercrime vormt wereldwijd een van de grootste bedreigingen voor ondernemingen. RAI Amsterdam is daarvoor evenmin immuun en de risico's zijn groot. Daarom hebben we een cybersecurity-beleid gedefinieerd en nemen we organisatorische en fysieke maatregelen om dit risico zo veel mogelijk te mitigeren. Langs de lijnen van ISO27002 richten we de beheersing van IT security in.Daarmee beogen we tevens vervolgrisico’s zoals operationele verstoring en het verlies van privacy gevoelige informatie te reduceren.

Economische conjunctuur
Het afgelopen jaar is de economische conjunctuur niet ongunstig geweest. De inflatie is gedaald, maar de onzekerheid met betrekking tot de richting waarin de wereldwijde economie zich ontwikkelt, blijft groot. Met name de geopolitieke ontwikkelingen vergroten de potentiële dreiging van een recessie, ook al heeft zich dit in 2025 niet gemanifesteerd. Voor RAI Amsterdam blijft dit belangrijk, want minder klantvraag en kosteninflatie kunnen de rentabiliteit van de bedrijfsvoering onder druk zetten. Flexibiliteit, gerichte kostenbesparingen en margemanagement worden zo nodig ingezet om hieraan het hoofd te bieden.

Safety en security
RAI Amsterdam is een multifunctionele venue waar veel mensen samenkomen. Dit impliceert gezondheids- en veiligheidsrisico’s voor bezoekers en medewerkers en risico's van schade aan of diefstal van hun eigendommen. Vandaar dat we een integraal veiligheidsmanagementsysteem hebben ontwikkeld waarin aandacht wordt geschonken aan strategische en operationele veiligheidsbeheersmaatregelen.Daarmee wordt ook het risico van storingen en onderbrekingen als gevolg van calamiteiten zo goed mogelijk gemitigeerd. De effectieve werking van deze maatregelen wordt gemonitord. We investeren voortdurend in organisatorische-, technische en IT-gerelateerde oplossingen om de veiligheid van onze medewerkers, onze bezoekers en de venue zo goed mogelijk te waarborgen.

Financiële risico’s
Financiële risico’s vinden doorgaans hun oorsprong in onderliggende strategische, operationele of compliance risico’s. De beheersmaatregelen vinden plaats binnen het spectrum van financieel management en treasury. Focus ligt op versterking van de financiële weerbaarheid en rentabiliteit van de organisatie op korte en lange termijn.

Reputatie
Reputatieschade kan grote en lange termijn gevolgen hebben voor de organisatie. Om dit te mitigeren zetten we een divers instrumentarium in. Een compliance managementsysteem is ingericht om het voldoen aan wet- en regelgeving zo goed mogelijk te borgen. Een integriteitsbeleid draagt bij aan het voorkomen van ongewenst of niet-integer gedrag. Intensief stakeholdermanagement is mede gericht op het consolideren van de goede reputatie van RAI Amsterdam. Een corporate communicatiebeleid geeft inhoud aan een effectieve communicatie naar alle betrokken stakeholders.

Compliance management

RAI Amsterdam stelt zich ten doel te voldoen aan alle voor de organisatie van toepassing zijnde wettelijke- en vergunningstechnische eisen en richtlijnen. Ook wil zij zich houden aan en werken volgens de normen en richtlijnen waarvan de RAI-organisatie zelf besloten heeft dat zij daaraan wil voldoen. RAI Amsterdam streeft ernaar de risico’s van non-compliance zoveel mogelijk te minimaliseren en hanteert een zeer lage tolerantie op dit gebied. Om hieraan te kunnen voldoen, hebben we een compliance managementsysteem ingericht.

Bij inrichting van het compliance managementsysteem heeft RAI Amsterdam zich zo veel mogelijk laten leiden door de uitgangspunten en principes zoals deze zijn vastgelegd in de ISO 19600-standaard voor compliance management. Belangrijke uitgangspunten zijn:

  • een doelgerichte, gestructureerde aanpak in een continue proces;
  • een afgebakende scope en een op risico-analyse gebaseerde prioritering binnen de context
    van de specifieke kenmerken van de RAI-organisatie;
  • een duidelijke verdeling en toedeling van taken en verantwoordelijkheden, met een leidende
    en betrokken rol voor het topmanagement;
  • een cyclisch proces dat RAI Amsterdam in staat stelt een lerende organisatie te zijn;
  • aandacht voor cultuur en gedrag, aansluitend op de kernwaarden;
  • transparantie over de compliance-aanpak en de wijze waarop wordt omgegaan met non-compliance.

Met het compliance managementsysteem hebben we de compliance-verplichtingen integraal in beeld gebracht en de naleving met behulp van programma’s geborgd. De voortgang wordt voortdurend gemonitord en besproken in de Risk & Compliance board, waaraan het bestuur, het senior management en de Risk & Compliance Officer deelnemen.