10 minute read
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Risicomanagement
RISICOANALYSE EN CONTROLE
In 2020 heeft RAI Amsterdam haar risicomanagementactiviteiten verder versterkt. Er wordt beleidsmatig gewerkt aan het structureel en systematisch beheersen van risico’s. Risicomanagement is ingebed in de strategische en operationele processen. Het integraal risicomanagementsysteem omvat alle niveaus van de bedrijfsvoering en alle onderdelen van de organisatie. Risico’s en beheersmaatregelen worden periodiek geanalyseerd, vastgelegd in een register en gemonitord. Een risk&compliance-board overziet elk kwartaal de voortgang. Hieraan neemt het bestuur, het senior management en de Risk & compliance officer deel.
De directie ziet toe op de effectieve werking van dit systeem en streeft samen met de organisatie naar voortdurende verbetering en versterking. Het ligt voor de hand dat de COVID-pandemie ertoe heeft geleid dat naast de structurele doorontwikkeling van het integrale risicomanagement vooral veel aandacht uitging naar acuut crisismanagement. De COVIDpandemie was voor de RAI een onvoorziene crisis, toch kon zij in 2020 gebruik maken van reeds eerder ontwikkelde risicobeheersmaatregelen, waardoor de impact beter beheersbaar is gebleken.
Focus op realiseren doelstellingen
Risicomanagement en interne controle zijn dynamische processen. RAI Amsterdam wenst met een redelijke mate van zekerheid de risico's die kunnen optreden bij het realiseren van strategische, tactische en operationele doelstellingen in kaart te brengen en te beheersen. Beheersmaatregelen die in dit kader worden getroffen, zijn gericht op het reduceren van de kans dat het risico zich voordoet en/of het reduceren van de impact die het risico bij optreden teweegbrengt.
reduceren van de kans en/of
van de impact
goede inbedding in bedrijfsprocessen en integrale toepassing van belang
onzekerheden
risico's nemen hoort bij ondernemerschap Om het risicomanagement goed te laten functioneren, is van belang dat het goed is ingebed in de bedrijfsprocessen en integraal wordt toegepast. Het risicomanagementsysteem dat de RAI heeft ingericht, is gebaseerd op de principes en uitgangspunten van onder andere ISO 31000 en COSO.
Hoewel we dit zoveel mogelijk proberen te beperken, kan niet worden uitgesloten dat risico’s die momenteel niet onderkend worden of nu niet als significant worden beschouwd, later een belangrijk negatief effect kunnen hebben op het vermogen van de RAI om haar doelstellingen te realiseren. De Covid-pandemie heeft dit eens te meer aangetoond.
Risicohouding en -bereidheid
Ondernemerschap is een van de kernwaarden van de RAI. Daarbij hoort de bereidheid tot het op beheerste wijze nemen van risico’s. Het doel van het risicomanagement is dan ook niet het uitsluiten van risico’s, maar het verkrijgen van inzicht zodat optimaal kan worden ingespeeld op kansen en bedreigingen.
grenzen risicobereidheid RAI Amsterdam stelt wel grenzen aan haar risicobereidheid. Zo mogen financiële risico’s niet de financiële weerbaarheid van de RAI in gevaar brengen. En streeft de RAI te allen tijde een gezonde veiligheidsmarge met betrekking tot haar belangrijkste financieringsratio (net debt/EBITDA) van 15% na. Dit impliceert een voortdurende beschikbaarheid van gecontracteerde financieringscapaciteit van minimaal 10 miljoen euro, als liquiditeitsbuffer. Deze buffer heeft in 2020 zijn waarde aangetoond.
RAI Amsterdam wil een veilige ontmoetingsplaats zijn en is zich bewust van haar verantwoordelijkheid voor het veilig, gezond en toegankelijk houden van haar locaties en evenementen. Daarbij wil de RAI veiligheids- of gezondheidsrisico’s zoveel mogelijk beperken. Naleving van wet- en regelgeving is tevens het uitgangspunt. RAI streeft ernaar de risico’s van non-compliance zoveel mogelijk te minimaliseren en hanteert een zeer lage tolerantie op dit gebied.
Integriteit is belangrijk en RAI Amsterdam hanteert een nultolerantiebeleid ten aanzien van omkoping en corruptie.
Schematisch kan de risicohouding van RAI Amsterdam als volgt weergegeven worden.
Risicohouding RAI Amsterdam
Organisatie volgens 'Three lines of defence'-model
Bij de inrichting van het risicomanagementsysteem hanteert RAI Amsterdam het 'three lines of defence'-model. Dit stelsel van maatregelen bestaat uit drie ‘lines of defence’: de uitvoerende lijn, de risicomanagementfunctie en de internal auditfunctie.
first line: operationele management
second line: risk &
compliance-functie
third line: internal audit De ‘first line of defence’ is primair verantwoordelijk voor het operationele management en neemt het eigenaarschap voor het beheersen van de risico’s in de operatie. Deze beheersing wordt vormgegeven door een adequate inrichting van de organisatie waarbij niet alleen structuur en processen, maar ook cultuur een rol speelt.
De ‘second line of defence’ wordt ingevuld door de risk & compliance-functie die toeziet op de inrichting en het functioneren van het risicomanagementsysteem. De tweede lijn rapporteert aan de directie en het lijnmanagement.
De ‘third line of defence’ wordt vormgegeven door een onafhankelijke internal audit-functie. Op basis van een jaarlijks te actualiseren internal audit-plan ziet deze functie toe op opzet, bestaan en werking van de administratieve organisatie, interne controle en beheersmaatregelen.
Momenteel kent RAI Amsterdam een internal audit-aanpak die zich beperkt tot ISO-certificeringen. In 2021 wil RAI de verdere uitbouw van de internal audit-aanpak ontwerpen en vaststellen.
'Three lines of defence'-model
Intern: rvc
extern: accountant
Toezicht
De rvc ziet onder andere toe op de bedrijfsvoering van RAI Amsterdam. De raad keurt (wijzigingen in) het risicomanagementbeleid goed. Risicomanagement staat op regelmatige basis geagendeerd in de auditcommissie- en rvc-vergaderingen. De rvc is opdrachtgever voor de externe accountant en keurt jaarlijks het audit plan van de externe accountant goed.
De externe accountant fungeert ook als toezichthouder en ziet door controle op basis van een jaarlijks te actualiseren auditplan toe op opzet, bestaan en werking van de administratieve organisatie en interne controle. De externe accountant rapporteert met een managementletter aan de rvc en een accountantsverklaring in het jaarverslag.
strategische risico’s
huidige kans en huidig gevolg
Risico’s
In 2020 heeft een actualisering van de risico-inventarisatie en -beoordeling plaatsgevonden. Een en ander in het licht van de actuele ontwikkelingen en crisissituatie en de bijgestelde doelstellingen van de organisatie. Door de nadrukkelijke koppeling aan de geactualiseerde doelstellingen van RAI Amsterdam versterkt het risicomanagement de crisisbeheersing en het prestatiemanagement. In totaal 18 risico’s worden het meest relevant geacht.
De onzekerheid met betrekking tot de Covid-problematiek is in dit overzicht in hoofdzaak geschaard onder wijzigende omgevingsfactoren.
Bij de beoordeling van de actualiteit van de risico’s voor RAI Amsterdam worden zowel de huidige kans op het voordoen van een mogelijke gebeurtenis alsook het huidige gevolg (gemeten in geld) dat deze gebeurtenis voor RAI Amsterdam heeft, betrokken.
beoordeling impact risico De combinatie huidige kans en huidig gevolg bepaalt of het actuele risiconiveau als laag, medium of hoog wordt beoordeeld. In de beoordeling wordt expliciet rekening gehouden met de controles en maatregelen die genomen zijn om het bedoeld risico te mitigeren. De bepaling van kans en gevolg zijn weergegeven in de matrixtabel. De letters in de matrix geven het type risico aan waarbij S staat voor strategische risico’s, O voor operationele en F voor financiële risico’s. De bijbehorende nummers verwijzen naar de risico’s zoals hierboven staan vermeld. De gebruikte kleuren staan voor: laag risiconiveau (blauw), medium risiconiveau (grijs) en hoog risiconiveau (rood).
Belangrijkste risico's en mitigerende maatregelen
strategisch portefeuillebeleid en ontwikkelen new business Toenemende concurrentie Het commerciële speelveld en de concurrentiële positie van RAI Amsterdam kunnen geraakt worden door acties of ontwikkelingen bij de concurrerende partijen en mogelijke partners op de markt. De Corona-crisis versterkt deze ontwikkelingen in de markt. Daarom heeft RAI Amsterdam
vier sporen om het hoofd te bieden aan de Covid-
pandemie
strategische- en operationele wendbaarheid
maximale focus op cashflows een strategisch portefeuillebeleid ontwikkeld en de marktpositie van haar portfolio scherp in beeld. De merites en voorwaarden met betrekking tot mogelijke partners zijn in kaart gebracht. Dit wordt vertaald in een marktstrategie per domein. Het New business-proces is gericht op het ontwikkelen van nieuwe proposities, al dan niet in partnership.
Wijzigende omgevingsfactoren De Covid-pandemie heeft de RAI in het hart geraakt. De pandemie is daarmee de meest relevante externe omgevingsfactor met immense gevolgen. Hoe deze crisis zich verder ontwikkelt is ongewis, de impact op de RAI betreft niet alleen de korte termijn, maar ook de lange termijn. Het is onzeker hoe en wanneer de terughoudendheid met betrekking tot reizen en evenementenbezoek zal zijn afgenomen, maar de RAI gelooft in de kracht van de persoonlijke ontmoeting. Om aan de Covid-crisis het hoofd te bieden heeft de RAI een crisismanagementorganisatie ingericht en ingezet op viertal sporen. Deze sporen zijn; inzetten op snelle heropening van de RAI, focus op financiële continuïteit, versneld ontwikkelen van nieuwe verdienmodellen en het verder moderniseren van de venue tot een aantrekkelijke multifunctionele locatie. Concreet is dit vertaald in onder meer het uitwerken van Covid-protocollen, focus op cashmanagement, bezuinigingen en reorganisatie, vervroegde herfinanciering, gebruik maken van Covid-gerelateerde ondersteuning zoals de NOW en de GO-C, inzet op digitale en hybride evenementen en doorontwikkeling van het logistiek concept voor de RAI.
Strategie-executie en changemanagement In een turbulent jaar is strategische- en operationele wendbaarheid van levensbelang. De RAI heeft hieraan vorm gegeven door in een vroeg stadium een crisisorganisatie in te richten. Het reeds bestaande crisismanagementprotocol kon daarvoor worden ingezet. Een strategische herijking heeft plaatsgehad en is vertaald naar een vier sporen-beleid. De risico’s en onzekerheden daaromtrent zijn systematisch in beeld gebracht. De afstemming met de diverse stakeholders (aandeelhouders, RvC, Gemeente en OR) werd geïntensiveerd. Een reorganisatie is voorbereid en uitgevoerd. Door middel van transitieplannen per afdeling zijn de effecten en risico’s beheersbaar gemaakt. De flexibele schil kon worden afgebouwd. dit leverde bedrijfseconomisch een belangrijke bijdrage om aan de crisis het hoofd te bieden. Een commerciële task force heeft zich ingezet op de klantrelatie en het managen van verplaatsingen en annuleringen van evenementen. De daartoe relevante bepalingen uit de standaard contracten gaven daarbij veel houvast en mitigeerden de nadelige effecten. Een operationele taskforce richtte zich op het ontwikkelen van Covid-protocollen en het managen van de gevolgen voor medewerkers en venue. Het innovatieplatform richtte zich op de versnelde doorontwikkeling van nieuwe verdienmodellen, zoals digitale en hybride evenementen. De IT infrastructuur werd aangepast om de thuiswerksituaties beter te faciliteren. En de financiële taskforce begeleidde de diverse programma’s, maakte scenario-analyses, bracht focus aan op beheersing van de kasstromen en slaagde erin de financiering van de RAI te continueren en uit te breiden.
Financiële risico’s Financiële risico’s vinden doorgaans hun oorsprong in onderliggende strategische, operationele of compliance risico’s. De beheersmaatregelen vinden plaats binnen het spectrum van financieel management en treasury. De RAI heeft in 2020 gereageerd op de Covid-crisis met een bezuinigingsprogramma, met een maximale focus op cashflows. De lopende leningportefeuille is
vervroegd geherfinancierd, dit heeft geresulteerd in een flexibeler commitment en verlenging van de looptijd. Tevens heeft de RAI gebruik gemaakt van de NOW regeling en is eind 2020 een GO-C financiering aangetrokken.
Het cashmanagement is geïntensiveerd en door middel van scenariogebaseerde planning wordt de organisatie door deze turbulente periode geloodst.
Cybercrime Cybercrime vormt wereldwijd een van de grootste bedreigingen voor ondernemingen. RAI Amsterdam is daarvoor evenmin immuun. Daarom heeft RAI Amsterdam een cybersecurity-beleid gedefiniëerd en neemt zij de organisatorische en fysieke maatregelen om dit risico zo veel mogelijk te mitigeren. Een periodieke externe toets op de deugdelijkheid van deze maatregelen maakt onderdeel uit van deze aanpak.
cybersecurity-beleid gedefiniëerd, maatregelen in uitvoering
integraal veiligheidsmanagementsysteem ontwikkeld
compliance management, integriteitsbeleid, stakeholdermanagement & communicatiebeleid Safety en security RAI Amsterdam is een multifunctionele venue waar normaal gesproken veel mensen samenkomen. Dit impliceert gezondheids- en veiligheidsrisico’s voor bezoekers en medewerkers en risico's van schade aan of diefstal van hun eigendommen. Vandaar dat RAI Amsterdam een integraal veiligheidsmanagementsysteem heeft ontwikkeld waarin op risico's gebaseerd aandacht wordt geschonken aan strategische en operationele veiligheidsbeheersmaatregelen. De effectieve werking van deze maatregelen wordt gemonitord. Covid-protocollen inzake een veilig bezoek aan de RAI venue hebben in het afgelopen jaar logischerwijs veel aandacht gekregen.
Reputatie Het schaden van de reputatie van de RAI kan grote en lange termijn gevolgen hebben voor de RAI. Om deze mogelijkheid te mitigeren zet RAI een divers instrumentarium in. Een compliance management systeem is ingericht om het voldoen aan wet- en regelgeving zo goed mogelijk te borgen. Een integriteitsbeleid draagt bij aan het voorkomen van ongewenst of niet-integer gedrag. Klantreputatie wordt voortdurend gemeten en vertaald naar actie. Intensief stakeholdermanagement is mede gericht op het consolideren van de goede reputatie van de RAI. Een corporate communicatiebeleid geeft inhoud aan een effectieve communicatie naar alle betrokken stakeholders.
