Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

Risicoparagraaf

Risicobeheersing en controlesystemen

Het risicobeheersingsbeleid van Jaarbeurs, onder verantwoordelijkheid van de directie, is een integraal onderdeel van haar strategisch beleid. Het doel is de belangrijkste risico’s waaraan Jaarbeurs is of kan worden blootgesteld, zo goed mogelijk te beheersen, betrouwbare realisatie van operationele en financiële doelstellingen mogelijk te maken en de naleving van wet- en regelgeving te waarborgen. De risico’s worden periodiek geëvalueerd en besproken binnen de directie en het managementteam. Jaarlijks staat het beleid en de evaluatie op de agenda van de Audit Commissie en de Raad van Commissarissen.

Het beheersingskader

Het beheersingskader geeft inzicht in hoe de directie de resultaten van het door haar gevoerde beleid verantwoordt richting de interne en externe stakeholders. Dit vindt plaats door middel van voortgangsrapportages over de realisatie van strategische doelstellingen, de effectieve werking van stuurmechanismen, protocollen, richtlijnen en procedures. Binnen Jaarbeurs is het onderstaand beheersingskader van kracht. De belangrijkste aspecten worden nader toegelicht.

Interne protocollen en procedures

Bedrijfscode en personele protocollen

Binnen Jaarbeurs wordt een bedrijfscode gehanteerd, waarin de kernwaarden worden behandeld, waaraan elke medewerker zich dient te conformeren. Hierin wordt aandacht geschonken aan de omgangsvormen en het bewaken van de integriteit, zowel in de omgang met elkaar en met derden, als ook bij de uitvoering van zakelijke activiteiten. Daarnaast wordt het thema veiligheid belicht. Jaarbeurs hanteert een zero-tolerancebeleid ten opzichte van werknemers met betrekking tot omkoping, fraude, corruptie en overige vormen van illegale gedragingen. De bedrijfscode en personele protocollen worden aan iedere medewerker verstrekt bij aanvang van het dienstverband en zijn daarnaast beschikbaar via intranet.

Interne richtlijnen en procedures

Binnen Jaarbeurs zijn er diverse interne richtlijnen rondom procedures aanwezig die gericht zijn op het waarborgen van een gezonde interne beheersomgeving. Zo wordt er gebruikgemaakt van een accounting manual, waarin wordt voorgeschreven op welke wijze de interne en externe financiële verslaglegging is ingericht en welke procedures moeten worden doorlopen. Daarnaast is er een klokkenluidersregeling waaraan misstanden (anoniem) kunnen worden gerapporteerd.

Relevante wet- en regelgeving

Jaarbeurs heeft intern een juridische afdeling die een belangrijke adviserende rol speelt bij de implementatie van alle van toepassing zijnde wet- en regelgeving. Aandachtsgebieden hierbij zijn de gemeentelijke verordeningen, wetgeving rondom privacy en de arbeidsomstandigheden van medewerkers.
Aangezien er wordt gewerkt met persoonsgegevens is er met het oog op de Algemene Verordening Gegevensbescherming (AVG) een uitgebreid AVG-implementatietraject doorlopen over hoe om te gaan met persoonsgegevens. Ook zijn door Jaarbeurs passende maatregelen getroffen op het gebied van databeveiliging. Trainingen worden periodiek gegeven en een speciale AVG-intranetpagina wordt continu geüpdatet.
Vanaf 1 januari 2020 geldt de Wet Arbeidsmarkt in Balans (WAB). Door deze wet zijn de regels rond arbeidscontracten en ontslag gewijzigd. De implementatie is doorgevoerd en het beleid is als gevolg van deze wet aangepast.

Stuurmechanismen

Planning en control-cycli

Jaarbeurs kent een uitgebreide planning en control-cyclus. Periodiek wordt op businessunit-niveau, projectniveau en per stafafdeling beoordeeld in hoeverre de geplande financiële en operationele voortgang rondom gebudgetteerde resultaten wordt gerealiseerd. Afwijkingen ten opzichte van budgetten worden geanalyseerd en besproken met de diverse betrokkenen en indien mogelijk gebruikt om bij te sturen. De planning en control-cyclus wordt continu verfijnd om zo in te kunnen blijven spelen op ontwikkelingen en het verbeterpotentieel voor wat betreft verdienmodellen en kostenbeheersing.

Risicomanagement en interne beheersmaatregelen

Effectief risicomanagement is een belangrijke succesfactor voor het realiseren van de strategische doelstellingen van Jaarbeurs. Het vertrekpunt daarbij is dat we structureel in staat willen zijn om risico’s te identificeren en te beheersen, waardoor we tijdig kunnen inspelen op ontwikkelingen en kansen. Jaarbeurs hanteert een topdown-methode bij het vaststellen van de voornaamste risico’s waaraan de organisatie is blootgesteld, zodat Jaarbeurs in staat is om te beoordelen of de interne beheersomgeving adequaat is ingericht om deze risico’s te mitigeren. Om dit te bewerkstelligen, wordt er gebruikgemaakt van een Enterprise Risk Management Framework. dat gebaseerd is op de criteria zoals uiteengezet door de Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dit framework wordt door Jaarbeurs gebruikt om de strategische, operationele, financiële en compliance-risico’s te analyseren en te evalueren.

De belangrijkste componenten van het beheerssysteem zoals toegepast binnen Jaarbeurs, worden onderstaand in meer detail besproken.

 a) Interne controle omgeving

Jaarbeurs hanteert het uitgangspunt dat een sterke interne beheersomgeving de basis vormt voor een gedegen risico-inschatting, passende interne beheersmaatregelen en uiteindelijk een kwalitatief betrouwbare verantwoording. Om dit te bewerkstelligen, is een hoge mate van risicobewustzijn noodzakelijk bij alle medewerkers in combinatie met een sterke interne controle-omgeving.

De interne controle-omgeving binnen Jaarbeurs wordt gekenmerkt door het creëren van bewustzijn bij het management en de medewerkers over risicobewust handelen door het communiceren van interne procedures en richtlijnen, de formele bedrijfscode en het waarborgen van de juiste ‘tone at the top’.

Afgelopen jaar is gestart vanuit de planning en control-cyclus met kwartaalsessies tussen directie en afdelingsmanagers. Naast de reguliere onderwerpen (kwalitatief, financieel en HR) is risicomanagement een onderdeel. De geïdentificeerde risico’s, de impact en de maatregelen worden besproken. Ook is er afgelopen jaar besloten om gezien de impact van de implementatie van Ungerboeck op de organisatie, het risicomanagement hiervan in te vullen en te waarborgen onder begeleiding van een externe adviseur. Medewerkers zijn hier actief bij betrokken.

b) Bepalen van doelstellingen

Het formuleren van de missie, visie en strategische doelstellingen voor zowel de nationale als de internationale activiteiten gebeurt op directieniveau. De operationele doelstellingen zijn terug te vinden in de afdelingsplannen en projectplanningen. Het verband tussen de strategische doelstellingen en de operatie wordt onder meer gevolgd vanuit de planning en control-cyclus, het wekelijkse directieoverleg en het tweewekelijkse managementteamoverleg.

c) Risico-inschatting inclusief beheersmaatregelen

De risico-inschatting vindt plaats op strategische, operationele, financiële & administratieve en compliance-risico’s. Hieronder worden per risicocategorie de voornaamste risico’s beschreven, samen met de interne beheersmaatregelen die Jaarbeurs hanteert.

d) Risk appetite

Bij risico-acceptatie gaat het er om de juiste balans te vinden tussen risico’s nemen en risico's beheersen. De risicobereidheid heeft een verband met de impact en de kans dat het risico zich voordoet. Daarbij speelt ook de beïnvloedbaarheid een rol. De bereidheid om risico’s en onzekerheden te accepteren verschilt per risicocategorie en wordt periodiek op directieniveau geëvalueerd en gekwantificeerd. 

 e) Rapporteren en monitoren

Zekerheid op de effectieve werking van de in plaats zijnde interne beheersmaatregelen wordt verkregen door periodieke reviews op de efficiënte werking van de beheersmaatregelen door het management en (steekproefsgewijze) toetsing vanuit de financiële afdeling. Jaarlijks wordt er door de directie een risicorapportage opgesteld, die wordt besproken met de Audit Commissie en de Raad van Commissarissen. Calamiteiten worden gerapporteerd aan de directie en, wanneer noodzakelijk, worden er aanvullende interne beheersmaatregelen geïmplementeerd. Voor het boekjaar 2019 hebben zich geen calamiteiten voorgedaan. Wel is een aantal datalekken conform de wet- en regelgeving bij de Autoriteit Persoonsgegevens gemeld. 

Legenda

 

Het risico is stabiel ten opzichte van voorgaand jaar

Het risico is gedaald ten opzichte van voorgaand jaar

Het risico is gestegen ten opzichte van voorgaand jaar

Strategische risico’s: worden in beginsel direct bestuurd vanuit de directie. Het manifesteren van een strategische risico kan de positie van Jaarbeurs ondermijnen en leiden tot structurele exploitatievermindering. Er zijn zes strategische risico’s onderkend. Toegevoegd ten opzichte van 2018 is het pandemie-risico. Verder zijn de beheersmaatregelen evenals de kans dat het zich voordoet aangevuld/geüpdatet. 

Strategische  risico’s

Uitleg

Beheersmaatregelen

Trend

S1: Verander-ende markt beurzen derden

Klantbehoeften en verwachtingen (verwachte meerwaarde buiten locatiespecifieke zaken) stijgen. Exploitatierisico ontstaat indien hier onvoldoende op wordt ingespeeld en een beurs-derdentitel wegvalt.

De strategie is herijkt met speerpunten op klantwaardering, beleving en groei van de beurzen-derdenportefeuille. Tevens is de organisatie hiermee in lijn gebracht.

S2: Inter-nationalisatie

Internationalisatie van bepaalde markten maakt dat het speelveld van eigen nationale vakbeurzen verandert. Marktdominantie wordt bepalender voor het behoud en de groei van het marktaandeel binnen deze segmenten.

De focus ligt bij de bestaande activiteiten op de nationale markt. Marktdominantie speelt een cruciale rol voor eigen vakbeurzen (titels) waarvan de markt een internationaal speelveld betreft. Dominantie bereiken wij door actief stakeholdermanagement, klantenbinding, kennis- en communitydeling.

S3: Veranderend en voorspel-baarheid consumenten-gedrag

Veranderend consumentengedrag en toenemende digitalisering leidt tot een lagere mate van voorspelbaarheid omtrent bezoekersaantallen bij consumentenbeurzen.

Bij consumententitels wordt veel aandacht gespendeerd aan de inventarisatie van de klantbehoefte in relatie tot het evenement. Met behulp van intensieve marketinginspanningen wordt de vertaalslag naar het consumentengedrag gemaakt.

S4: Cyberrisico

Cybercrime en/of ransomware kan resulteren in datalekken en verstoorde businesscontinuïteit en daarmee schade/claims.

Een security-organisatie is ingericht om de beveiliging van klantinformatie en eigen informatiesystemen te waarborgen. Voor database-integriteit zijn procedures van kracht om ongeautoriseerd gebruik te voorkomen. Daarnaast wordt er proactief getoetst wat de status is van de IT-omgeving door o.a. pentesten te laten uitvoeren en is een verzekering afgesloten. Leveranciers dienen te voldoen aan de vereisten. Het Business Continuïteit Management plan wordt geüpdatet.

S5: Personeel

De krappe arbeidsmarkt zorgt voor een uitdaging in het aantrekken van voldoende gekwalificeerd personeel. Dit betreft zowel vaste krachten als inhuur via uitzendbureaus.

De arbeidsvoorwaarden/het performance- en rewardbeleid voor vaste medewerkers wordt herzien en sluit daardoor beter aan bij de doelgroepen. Er is een actief (marketing/communicatie)beleid richting de arbeidsmarkt. De employer -, en de corporate branding worden hierbij gebruikt. Ook zijn er intern incentives voor medewerkers die een nieuwe medewerker aandragen.

S6: Pandemie

De uitbraak van een pandemie en de maatregelen die vanuit bedrijven of een overheid hierop genomen kunnen worden, hebben impact op de bedrijfsvoering indien hierdoor geen/beperkt beurzen kunnen plaatsvinden.

Snel kunnen inspelen op veranderende omstandigheden vraagt een goede relatie en communicatie met klanten en leveranciers. Jaarbeurs investeert in langdurige en duurzame relaties. Daarnaast is een gezonde balans tussen vaste en flexibele kosten relevant. Zowel direct als indirect en aangaande het personeelsbestand. Jaarbeurs maakt gebruik van een flexibele schil en kan hierdoor navenant op-, en afschalen. Bovendien is de financiële buffer voldoende om een calamiteit op te vangen.

Operationele risico’s: betreffen risico’s die betrekking hebben op de uitvoering van de dagelijkse bedrijfsactiviteiten en worden in eerste instantie opgemerkt door de uitvoerende medewerkers en de midden laag van het management. Het tijdig opmerken van operationele risico’s is essentieel aangezien dit de continuïteit van de dagelijkse bedrijfsvoering direct raakt en kan bedreigen. Er zijn een 4-tal operationele risico’s onderkent.

Operationele risico’s

Uitleg

Beheersmaatregelen

Trend

O1: Security

Onvoldoende aandacht voor veiligheidsmaatregelen op en rond het complex kan zorgen voor onveilige situaties, ongelukken en daarmee ook reputatieschade en claims. Daarbij speelt ook de beveiliging tegen terrorisme.

Bij bouwprojecten gelden veiligheidsmaatregelen waarbij alle betrokkenen gecertificeerd dienen te zijn op niveau VCA2. Voor de behandeling van gevaarlijke stoffen wordt voldaan aan de standaard veiligheidsverordeningen en aan de voorschriften die voortvloeien uit onze milieuvergunning. Voor brand is er een verzekering afgesloten en worden de brandbeveiligingsplannen geüpdatet naar het voorschrift ‘veilig vluchten’. Er zijn specifieke procedures van toepassing voor de minimalisatie van risico’s met betrekking tot geldverkeer, waarde transport, calamiteiten en de veiligheid rondom evenementen. Inzake (crisis) calamiteiten worden er periodiek CMT oefeningen uitgevoerd in samenwerking met (lokale en landelijke) overheid en regionale stakeholders.

O2: Voedsel-veiligheid

Voedselveiligheid en hygiëne moet voldoen aan de wet- en regelgeving om te voorkomen dat dit kan leiden tot schade variërend van ongemak tot ziekte wat reputatieschade en schadeclaims tot gevolg kan hebben.

De voedselverstrekking voldoet aan de HACCP eisen. Personeel wordt getraind en krijgt instructies. Tevens worden diverse controles uitgevoerd zowel intern als vanuit de voedsel-en warenautoriteit. Subcontractors worden alleen gecontracteerd als er voldaan wordt aan de gestelde vereisten.

O3: Asbest

Onvoldoende opvolging van het asbest beheersplan kan leiden tot operationele schade, zoals het tijdelijk moeten sluiten van de locatie.

Er is een geüpdatet asbest beheersplan voor het Beatrixtheater. De plannen voor de rest van het Beatrixgebouw en de hallen worden geüpdatet. Monitoring vindt navenant plaats. Daarnaast is de naleving van het asbest beheersplan een vast onderdeel van onze werkafspraken met aannemers.

O4: Privacy schending

Door verkeerd gebruik van data kan een privacy schending optreden hetgeen kan leiden tot claims.

Protocollen en procedures rondom privacy zijn in werking. Een privacy officer is aangesteld evenals ‘privacy champions’ die binnen de diverse business units een verantwoordelijk rol rondom privacy vraagstukken hebben en permanent getraind worden. Tevens is er een meldteam datalekken.

Financiële en administratieve risico’s: Financiële risico’s betreffen veelal risico’s die direct of indirect de financiering van de onderneming aangaan zoals het ter beschikking hebben van voldoende liquiditeit. Administratieve risico’s zijn hier nauw aan verwant en zien toe op de (on)juiste verantwoording in financiële verantwoordingen richting interne en externe partijen. Er zijn een 2-tal financiële/administratieve risico’s onderkent.

Financiële en administra-tieve risico’s

Uitleg

Beheersmaatregelen

Trend

F1: Buitenlandse vestigingen

De groeiende buitenlandse activiteiten vormen een aandachtspunt voor de beheersing en bijbehorende corporate governance.

Vanuit de directie is er zitting in het bestuur van de buitenlandse joint ventures en daardoor is er direct zicht op de business en de accounting. Er wordt nauw contact onderhouden met het operationele management door regelmatige (fysieke) aanwezigheid van de Nederlandse directie bij de buitenlandse vestigingen. De financiële afdeling heeft daarnaast op regelmatige basis contact met de buitenlandse entiteiten over onder andere de maandcijfers en de interne beheersmaatregelen.

F2: Management override of controls

Het management kan het resultaat ongewenst/onrechtmatig (materieel) beïnvloeden door het maken van (handmatige) boekingen/foutieve schattingen of het verantwoorden van fictieve transacties.

Het management is niet geautoriseerd om boekingen te doen in de boekhouding. Fictieve transacties worden voorkomen door toetsing door de financiële afdeling. Daarnaast is er een klokkenluidersregeling om melding van onregelmatigheden te kunnen doen.

Compliancerisico’s: Compliancerisico’s zien toe op zowel het voldoen aan relevante wet- en regelgeving als het handhaven van een passend kader van normen en waarden. Beheersing van deze risico’s heeft hoge prioriteit omdat ze directe impact hebben op de reputatie en integriteit van Jaarbeurs.

Compliance-risico’s

Uitleg

Beheersmaatregelen

Trend

C1: Wet- en regelgeving

Door het niet voldoen aan relevante wet- en regelgeving bestaat het risico op boetes, claims en reputatieschade.

Er is een risicomatrix op basis van de COSO-systematiek. Hierbij wordt onder meer de input uit de Management Letter van de externe accountant meegenomen, de fiscale risico’s zoals besproken met de fiscaal adviseur en de fiscus. Daarnaast is er een integriteitsprogramma waarmee we ons positief willen onderscheiden op het gebied van integriteit, compliance en transparantie. In het kader van het integriteitsprogramma zijn onder andere een aangescherpte gedragscode en bijbehorende gedragsrichtlijnen ingevoerd. Tevens is er een klokkenluidersregeling. Er wordt geruime aandacht besteed aan de AVG-vereisten door middel van het intensief trainen en proactief informeren van medewerkers.