Toevoegen aan mijn verslag

Risicomanagement

Risicoprofiel

Nederlandse Loterij heeft als kansspelorganisatie te maken met uiteenlopende risico’s op strategisch, operationeel en financieel vlak en op het gebied van compliance. Als marktleider in de loterijmarkt, met een groot aanbod van online kansspelen in Nederland, staat Nederlandse Loterij nadrukkelijk in de spotlights. Wij willen verantwoorde, betrouwbare en leuke spellen aanbieden. Daarbij leunen we op een sterke interne organisatie met betrouwbare processen en op een aantal strategische partners waarmee we onze dienstverlening uitvoeren.

Verandering van risico’s

Het betreden van de online kansspelmarkt eind 2021 heeft gezorgd voor diverse nieuwe risico’s en een grotere impact van bestaande risico’s. Het verantwoord aanbieden van online kansspelen en anti-witwasmaatregelen hebben meer aandacht gekregen, onder andere in de vorm van strikte Know Your Customer-processen en uitgebreide processen om kansspelverslaving te voorkomen. Verder zijn de cyber security risico’s toegenomen, door de uitbreiding van het IT-landschap en de voortdurende groei van cyber security dreigingen.

Risicoacceptatie

De mate waarin Nederlandse Loterij bij het nastreven van haar doelstellingen bereid is risico’s te accepteren, is gespecificeerd per doelstelling en risicocategorie. De bepaling van deze risicobereidheid is de eindverantwoordelijkheid van de directie. Nederlandse Loterij streeft ernaar een optimale afweging te maken tussen de impact van de mogelijke gevolgen, de kans dat het risico zich voordoet en de middelen die nodig zijn om een risico te beheersen. In de tabel op de volgende pagina wordt de risicobereidheid per risicocategorie weergegeven en toegelicht. De risicoacceptatie is niet gewijzigd in 2023.

Raamwerk voor risicomanagement

Het raamwerk risicomanagement van Nederlandse Loterij is afgeleid van het best practice COSO ERM-model. Met dit systeem geven we aandacht aan het identificeren van risico’s, het implementeren van maatregelen en het bewaken van de voortgang en effectiviteit van de maatregelen. De inrichting van risicomanagement kan niet los gezien worden van de missie, visie en doelstellingen van Nederlandse Loterij. Risicomanagement is hieraan ondersteunend en een hulpmiddel bij besluitvormingsprocessen. De filosofie achter ons risicomanagementbeleid is:

  • De directie en het management zijn primair verantwoordelijk voor het uitvoeren van risicomanagement en het toetsen van beheersmaatregelen. De staffuncties ondersteunen hierbij het lijnmanagement.

  • We werken aan een cultuur waarin risico’s expliciet onderdeel zijn van de besluitvorming. Hierdoor krijgen ze de benodigde aandacht en kunnen we beter voorkomen dat ze zich voordoen.

  • Het risicomanagementsysteem zien we als een integraal onderdeel van de bedrijfsvoering van Nederlandse Loterij en heeft een relatie met de planning & controlcyclus.

  • We hanteren een integrale aanpak, waarbij er aandacht is voor financiële en niet-financiële risico‘s, op basis van een deugdelijke inventarisatie en een optimale risicobeheersing.

  • Risico’s worden inzichtelijk gemaakt en periodiek geëvalueerd, onder andere met een Control Self Assessment, resulterend in 'In Control-verklaringen', af te geven door alle Direct Reports. Dit verhoogt het risicobewustzijn van de medewerkers.

Risicocategorie

Risicoacceptatie

Toelichting

Financieel

Laag

Om te waarborgen dat Nederlandse Loterij de uitkering van het gewonnen prijzengeld kan uitbetalen aan haar spelers en kan voorzien in de afdrachten aan het ministerie van Financiën, NOC*NSF en de goede doelen, hanteert zij een lage risicoacceptatie voor financiële risico’s. Hierbij is op basis van verantwoorde budgettering voldoende ruimte om de benodigde investeringen in nieuwe ontwikkelingen te kunnen doen.

Reputatie & Compliance

Laag

Nederlandse Loterij streeft ernaar volledig te voldoen aan de van toepassing zijnde wet- en regelgeving.

Organisatie van risicomanagement

Bepalend voor de effectiviteit van het raamwerk risicomanagement en het risicomanagementproces is het kader waarin risicomanagement is georganiseerd binnen Nederlandse Loterij. Er zijn verschillende rollen gedefinieerd. Het directieteam van Nederlandse Loterij is verantwoordelijk voor het interne risicomanagementsysteem en legt hierover verantwoording af aan de Raad van Commissarissen. De coördinatie van het interne risicomanagementsysteem ligt bij het Risk Management Committee. Deze commissie wordt voorgezeten door de CFO en bestaat verder uit Head of Legal, Compliance & Privacy, Head of Financial Accounting, Head of Fraud & Payments, Head of Audit Risk & Security en senior Risk Officer. Tijdens maandelijkse overleggen worden strategische, juridische, operationele, financiële en merkgerelateerde risico’s, incidenten en de opvolging van openstaande acties naar aanleiding van auditbevindingen gemonitord en besproken.

De verschillende tweedelijnsfuncties, die ervoor zorgen dat risico’s op de juiste manier worden geïdentificeerd en beheerd waardoor de organisatie ‘In Control’ kan zijn, komen maandelijks bijeen in het tweedelijnsoverleg. Dit overleg levert een bijdrage aan het behalen van de organisatiedoelstellingen door kaders te stellen en te sturen op risicobeheersing. De leden monitoren en bewaken onder meer de voortgang en effectiviteit van beheersingsmaatregelen. Het overleg signaleert ook tijdig mogelijke knelpunten en helpt en faciliteert de eerste lijn waar nodig om de risicobeheersing verder te verbeteren.

Beoordeling belangrijkste risico's

Om de risico’s te beoordelen en te vergelijken, worden ze gewogen op basis van zowel een inschatting van de kans dat ze zich voordoen als een inschatting van de gevolgen voor het behalen van de doelstellingen van Nederlandse Loterij. Binnen de organisatie voeren we verschillende risicoanalyses uit. Alle risico’s met een beoordeling van medium of hoger zijn in het verslagjaar met de ‘eigenaar’ van het risico besproken. In deze gevallen spreken we maatregelen af met de risico-eigenaar om het risico tot een acceptabel niveau te beperken. Wanneer dat om wat voor reden dan ook niet direct mogelijk is, oordeelt het Risk Management Committee (RMC) over de verdere behandeling van het risico.

Hierna volgt een overzicht van de belangrijkste strategische, operationele en financiële risico’s, alsmede risico’s op het gebied van wet- en regelgeving en compliance. Op alle terreinen zijn voorzieningen en maatregelen getroffen die de mogelijke nadelige effecten van deze risico’s beperken.

Strategische risico's

Dit zijn risico's voor de strategische doelstellingen van Nederlandse Loterij. Een nadere toelichting op de strategische risico’s van Nederlandse Loterij is hieronder opgenomen.

Risico (naam)

Risicodefinitie

Selectie van beheersmaatregelen

Verliesbeschikking

Het risico dat Nederlandse Loterij niet voldoet aan de eisen uit de vergunning en aan in-en externe regels, met als ultiem gevolg het verlies van de beschikking.

Anti-witwas en anti-matchfixingbeleid

Proactief Responsible Gaming-beleid

Foutloze executie van primaire processen

Fraude- en verslavingspreventie

Verlies draagvlak stakeholders

Het risico dat de zeer complexe balans tussen de commerciële doelstelling en de maatschappelijke doelstelling meer druk zal zetten op de perceptie van Nederlandse Loterij bij stakeholders, met als gevolg het verlies van draagvlak bij stakeholders.

Proactief Responsible Gaming-beleid

Fraude- en verslavingspreventie

Anti-witwasbeleid en anti-matchfixingbeleid

Dialoog met stakeholders & beneficianten

Disfunctioneren strategische partners

Het risico dat door gebeurtenissen of incidenten bij strategische partners de dienstverlening van Nederlandse Loterij geraakt wordt, met negatieve gevolgen voor onder meer reputatie, klanttevredenheid en omzet.

Assurancerapporten inzake interne beheersing derde partijen

Heldere afspraken met partners over hoe Nederlandse Loterij zekerheid verkrijgt over uitbestede diensten

Leveranciers- en contractmanagement

Toetsing op nakomen afspraken

Inbreuk op informatie-beveiliging

Het risico dat gebeurtenissen of incidenten negatieve gevolgen hebben voor de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie, waardoor de dienstverlening, reputatie en strategie van Nederlandse Loterij in gevaar komt.

Security-awarenessprogramma (learningplatform)

Toegang met sterke/unieke wachtwoorden in combinatie met MFA

Continue pentestingprogramma

Security monitoring

Cloud strategie

Tech & data kwaliteit inhouse

Business-continuity management

Security-responsmaatregelen (onder meer incident-responseplannen, CERT)

Certificering ISO27001/WLA SCS

Restrictievere wet- en regelgeving

Het risico dat door toename van complexiteit en beperkingen door wet- en regelgeving Nederlandse Loterij minder mogelijkheden krijgt om te groeien en het verdienvermogen structureel afneemt.

Foutloze executie in het primaire proces

Scenario’s verwerken in langetermijnstrategie

Versterkte compliancefunctie

Innovatie ter compensatie van verdienvermogen

Toenemende concurrentie

Het risico dat acties van concurrenten of nieuwe toetreders tot de markt de concurrentiepositie van Nederlandse Loterij bedreigen.

Ondernemerslab initiatieven

CRM capabilities

Monitoring markt

Omnichannel-strategie

Onvoldoende executiekracht

Het risico van onvoldoende geschikte medewerkers (kwantiteit en kwaliteit in de vorm van kennis, vaardigheden en ervaring) en middelen om de organisatie of een proces te managen, zodat kritische bedrijfsdoelstellingen worden behaald en key-businessrisico’s naar een acceptabel niveau worden gebracht.

Aantrekkelijk werkgeverschap buiten primaire salariëring

Agile werkwijze met nadrukkelijk aandacht voor resource planning

Verandering in klantgedrag

Het risico dat de klantbehoefte en wensen veranderen zonder dat Nederlandse Loterij daarvan op de hoogte is of daar tijdig op kan inspelen.

Business Development (Lotify partnership)

Ondernemerslab initiatieven

Omnichannel klantervaring

Verlies van consumenten-vertrouwen

Het risico van foutieve of niet-presterende producten of diensten, resulterend in klachten van klanten, verlies van omzet en reputatie.

Positieve media aandacht

Responsible Gaming (onder andere programma Rugdekking)

Correcte operatie in het retailkanaal (onder meer optimaal presteren van de Klantenservice)

Learning loop op basis van verbeteracties (reflectie) uit klachten en ombudsmanzaken

Doorlopende klanttevredenheidsmonitoring (vroegtijdige signalering issues)

Foutloze executie in het primaire proces

Verlies van materiële rechtszaken

Het risico dat Nederlandse Loterij geconfronteerd wordt met negatieve gerechtelijke uitspraken, bijvoorbeeld rondom vergunningverlening aan Nederlandse Loterij door de Kansspelautoriteit, onderzoeken van toezichthouders of (massa)schadeclaims van consumenten.

Het voeren van verweer, ondersteund met (hoogwaardig) advies/advocaten

Foutloze executie

Jaarlijks actualiseren we, als onderdeel van het strategisch planproces, het overzicht van de strategische risico’s. Vervolgens verifiëren we of de set aan beheersingsmaatregelen nog up-to-date is, om ten slotte te bepalen of we de overblijvende risico’s acceptabel vinden.

In het RMC en in het overleg van de tweedelijnsfuncties bespreken we maandelijks eventuele ontwikkelingen (intern en extern) en verwachtingen die impact kunnen hebben op de strategische risico’s en de beheersing daarvan. Indien nodig kunnen we dan tijdig bijsturen.

Financiële risico's

Nederlandse Loterij maakt in de normale bedrijfsuitoefening gebruik van financiële instrumenten die de vennootschap blootstellen aan liquiditeits-, krediet- en marktrisico’s. Deze risico’s hebben, gezien de niet-complexe aard van de financiële instrumenten, een geringe impact op de bedrijfsuitoefening. Nederlandse Loterij heeft beleids- en beheersingsmaatregelen geïmplementeerd die waarborgen dat transacties binnen de lage risicobereidheid vallen en die risico’s beheersbaar houden.

Risico (naam)

Risicodefinitie

Liquiditeitsrisico

Het risico dat Nederlandse Loterij niet aan haar actuele en toekomstige (potentiële) betalingsverplichtingen kan voldoen door een tekort aan liquide middelen.

Nederlandse Loterij moet te allen tijde in staat zijn om op het juiste moment aan haar verplichtingen te kunnen voldoen. Nederlandse Loterij houdt voldoende liquide middelen aan om het liquiditeitsrisico te minimaliseren, onder zowel normale als meer uitdagende omstandigheden. Hiertoe worden de kasstromen nauwgezet gevolgd.

Kredietrisico

Het risico dat een kredietnemer zijn beloofde betalingen niet nakomt of kan nakomen, leidend tot een verlies (een andere term voor kredietrisico is debiteurenrisico).

Nederlandse Loterij loopt kredietrisico’s over haar handelsvorderingen. Bij het aangaan van (nieuwe) distributieovereenkomsten worden de afzonderlijke verkooppunten, als onderdeel van het kredietbeleid, met behulp van een externe partij beoordeeld op kredietwaardigheid. Daarnaast vindt periodieke monitoring plaats op de inbaarheid van uitstaande vorderingen.

Markt- en renterisico

Het risico dat de inkomsten van Nederlandse Loterij of de waarde van financiële instrumenten nadelig worden beïnvloed door veranderingen in rentetarieven.

Het renterisico van Nederlandse Loterij is zeer beperkt door haar financieringsstructuur. De vennootschap heeft geen opgenomen leningen en maakt geen gebruik van rentederivaten.

Reputatie- en compliance-risico's

Risico (naam)

Risicodefinitie

Selectie van beheersmaatregelen

Niet voldoen aan wet- en regelgeving en vergunnings-voorschriften

Het risico dat Nederlandse Loterij niet voldoet aan wet- en regelgeving en/of vergunningsvoorschriften. Nederlandse Loterij opereert in een sterk gereguleerde markt. Het ministerie van Justitie en Veiligheid en de toezichthouder (Kansspelautoriteit) organiseren via een gedetailleerd stelsel van wet- en regelgeving de kansspelmarkt, onder andere met vergunningen voor de verschillende aanbieders van kansspelen. Deze vergunningen bevatten voorwaarden. Op het moment dat Nederlandse Loterij niet voldoet aan wet- en regelgeving of een of meerdere voorwaarden kan de verleende vergunning in gevaar komen.

Om dit risico te voorkomen, vertaalt de afdeling Legal, Compliance & Privacy wet- en regelgeving en vergunningsvoorschriften in processen en afspraken in de organisatie. De naleving hiervan wordt actief gemonitord door Intern Toezicht Functionarissen en de Compliance Officers. De afdeling Audit & Risk voert ten slotte een onafhankelijke toetsing uit van de naleving.

Integriteitsschending

Het risico dat er incidenteel of structureel wordt gehandeld in strijd met de ethische code (inclusief aanverwante protocollen), of dat op andere wijze de normen en waarden niet worden nageleefd.

Om reputatierisico’s te beheersen, heeft Nederlandse Loterij een ethische code opgesteld, inclusief protocollen, met betrekking tot integriteit, klokkenluiders en de opvolging van vermeende overtredingen. De Compliance Officer monitort de naleving hiervan.

Reputatieschade

Het risico dat externe communicatie-uitingen niet voldoen aan de regels voor verantwoorde deelname aan kansspelen.

Alle externe communicatie wordt zorgvuldig opgesteld en vóór publicatie door meerdere betrokkenen in de organisatie getoetst. Deze inspanningen zijn erop gericht dat uitingen aan spelers volledig, transparant en waarheidsgetrouw zijn. Een Responsible Gaming Officer ziet erop toe dat alle publicaties en spelvormen voldoen aan de regels voor verantwoorde deelname aan kansspelen.

Extern toezicht

Het externe toezicht op Nederlandse Loterij wordt uitgevoerd door de gebruikelijke toezichthouders.

Kansspelautoriteit

Voor de exploitatie van de Staatsloterij, Miljoenenspel, Lotto, Eurojackpot, Lucky Day, TOTO Winkel en Krasloten zijn door de Kansspelautoriteit vergunningen verleend aan Staatsloterij B.V. en Lotto B.V. Voor de exploitatie van TOTO Sport, TOTO Casino en Winnitt is een vergunning verleend aan TOTO Online B.V. De Kansspelautoriteit is belast met het toezicht op deze vergunningen.

GLI

Gaming Labs International (GLI), geaccrediteerd door de Raad voor Accreditatie in Nederland, inspecteert de trekkingsmachine en de ballen van Lotto, Miljoenenspel en Lucky Day, beoordeelt ontwerpdocumenten van Krasloten en controleert de fabrieken waar de Krasloten worden gedrukt. Ook houdt GLI via steekproeven toezicht op verkooppunten voor de naleving van wetgeving (bijvoorbeeld of er niet aan minderjarigen wordt verkocht). Het onafhankelijk instituut GLI doet dit in opdracht van Lotto B.V. Daarnaast heeft Nederlandse Loterij een ontheffing ontvangen voor GLI als keuringsinstelling voor het keuren van ons online aanbod. Het volledige aanbod van online kansspelen van Nederlandse Loterij (TOTO Casino, TOTO Sport en Winnitt) is en wordt door GLI gecertificeerd conform het door de Kansspelautoriteit opgestelde keuringsschema, waaraan iedere aanbieder van online kansspelen moet voldoen.

Notaris

Alle trekkingen staan onder toezicht van notariskantoor Caminada Notarissen te Rijswijk.

BSI

Nederlandse Loterij is gecertificeerd door de World Lottery Association (WLA). In 2023 is vastgesteld dat Nederlandse Loterij voldoet aan de eisen van de WLA Security Control Standard: 2020. Dit zijn de eisen van ISO 27001, aangevuld door de WLA met loterij- en kansspelspecifieke eisen op het gebied van beveiliging en integriteit. BSI Group heeft de processen en procedures rondom informatiebeveiliging beoordeeld en een goedkeurende verklaring afgegeven.

Externe accountant

Met ingang van het verslagjaar 2017 is PricewaterhouseCoopers Accountants N.V. (PwC) de externe accountant van Nederlandse Loterij. PwC is in die rol verantwoordelijk voor het afgeven van een controleverklaring bij de geconsolideerde jaarrekening. Als onderdeel van de controle beoordeelt PWC de opzet, het bestaan en de werking van de interne beheersingsmaatregelen van de belangrijkste bedrijfsprocessen in de organisatie, om te komen tot een oordeel over de betrouwbaarheid van de interne informatievoorziening en de jaarrekening van Nederlandse Loterij. PwC rapporteert over zijn bevindingen in een management letter en in een accountantsverslag aan de Raad van Commissarissen en de directie. De bevindingen en aanbevelingen van de externe accountant worden besproken in het RMC, dat ook de opvolging van de bevindingen bewaakt. Alle auditresultaten worden voorgelegd aan en afgestemd met de Auditcommissie, ingesteld door de Raad van Commissarissen.

Managementverklaring

Het bestuur van Nederlandse Loterij is eindverantwoordelijk voor het beheersen van de risico’s verbonden aan de ondernemingsdoelstellingen en de betrouwbaarheid van de externe (financiële) rapportage. Ook is het bestuur verantwoordelijk voor de beoordeling van de effectiviteit van de op deze risico’s gerichte preventieve of beperkende maatregelen.

Het bestuur heeft de werking van de interne beheersings- en controlemaatregelen beoordeeld. Op basis van deze beoordeling is het bestuur van mening dat de interne beheersings- en controlesystemen van de onderneming per einde boekjaar 2023 voldoende effectief waren en een redelijke mate van zekerheid verschaffen dat:

  • het bestuur tijdig op de hoogte is van de mate waarin de strategische, operationele en financiële doelstellingen van de onderneming worden gerealiseerd, en

  • de externe (financiële) rapportage geen onjuistheden van materieel belang bevat.

Het geheel van de werkzaamheden met betrekking tot de interne beheersingssystemen en de daaruit voortgekomen bevindingen, aanbevelingen en maatregelen is besproken met de Auditcommissie, de Raad van Commissarissen en de externe accountant.

's-Gravenhage, 25 maart 2024

Bestuur Nederlandse Loterij,
Niels Onkenhout (CEO)
Arjan Blok (CFO)

Naar de resultaten van Nederlandse Loterij in 2023

Ontwikkeling en resultaat