Risicomanagement
Risicoprofiel
Nederlandse Loterij heeft als kansspelorganisatie te maken met uiteenlopende risico’s op strategisch, operationeel en financieel vlak en op compliance-gebied. Als marktleider in de loterijmarkt en met een nieuw aanbod van online kansspelen in Nederland staat Nederlandse Loterij nadrukkelijk in de spotlights. Wij staan voor het aanbieden van verantwoorde, betrouwbare en leuke spellen. Hierbij steunen wij op een sterke interne organisatie met betrouwbare processen en een aantal externe relaties waarmee we gezamenlijk onze dienstverlening uitvoeren.
Een nieuwe markt, verandering van risico’s
Het betreden van de online kansspelmarkt in oktober 2021 heeft gezorgd voor diverse nieuwe risico’s en ook geleid tot een grotere impact van bestaande risico’s. Het verantwoord aanbieden van online kansspelen en anti-witwasmaatregelen krijgen veel aandacht, onder meer in de vorm van strikte KYC-processen (Know Your Customer) en een monitoring & preventieproces om kansspelverslaving te voorkomen. De online kansspelen die wij sinds oktober 2021 aanbieden, hebben gezorgd voor een forse uitbreiding van ons IT-landschap en een forse toename van de securityrisico’s. Het online spelsysteem voldoet aan de technische en operationele eisen en is gekeurd door een geaccrediteerde keuringsinstantie (GLI) aan de hand van het keuringsschema van de Kansspelautoriteit.
Risicoacceptatie
De mate waarin Nederlandse Loterij bij het nastreven van haar doelstellingen bereid is risico’s te accepteren, verschilt per doelstelling en risicocategorie. De bepaling van deze risicobereidheid is de eindverantwoordelijkheid van de directie. Nederlandse Loterij streeft ernaar een optimale afweging te maken tussen de impact van de mogelijke gevolgen, de kans dat het risico zich zou voordoen en de middelen die nodig zijn om een risico te beheersen. In de tabel op de volgende pagina wordt de risicobereidheid per risicocategorie weergegeven en toegelicht. De risicoacceptatie is niet gewijzigd in 2022. Daar waar de risicohoogte niet past binnen onze ‘risk appetite’ is het mogelijk om risico’s met de juiste onderbouwing (tijdelijk) te accepteren. Acceptatie kan alleen door het Risk Management Commitee (RMC) worden gedaan.
Raamwerk voor risicomanagement
Het risicomanagementraamwerk van Nederlandse Loterij is afgeleid van het best practice COSO ERM-model. In dit systeem wordt aandacht gegeven aan het identificeren van risico’s, het implementeren van maatregelen en het bewaken van de voortgang en effectiviteit van de maatregelen. De inrichting van risicomanagement kan niet los gezien worden van de missie, visie en doelstellingen van Nederlandse Loterij. Risicomanagement is hieraan ondersteunend en is een hulpmiddel in besluitvormingsprocessen. De filosofie achter ons risicomanagementbeleid is:
De directie en het management zijn primair verantwoordelijk voor het uitvoeren van risicomanagement en het toetsen van de werking van beheersmaatregelen. De staffuncties ondersteunen het lijnmanagement hierin.
Er wordt gewerkt aan een cultuur waarin risico’s expliciet onderdeel zijn van de besluitvorming, zodat ze bekend zijn en vervolgens ook de benodigde aandacht krijgen om te voorkomen dat ze zich voordoen.
Het risicomanagementsysteem wordt als een integraal onderdeel gezien van de bedrijfsvoering van Nederlandse Loterij en heeft een relatie met de Planning & Control cyclus.
We hanteren een integrale aanpak, waarin aandacht is voor financiële en niet-financiële risico‘s, op basis van een deugdelijke inventarisatie van risico’s en een optimale beheersing van deze risico’s.
Risico’s worden inzichtelijk gemaakt en periodiek geëvalueerd, onder andere door middel van een Control Self Assessment resulterend in In Control verklaringen af te geven door alle Direct Reports. Dit verhoogt het risicobewustzijn van de medewerkers.
|
Risicocategorie |
Risicoacceptatie |
Toelichting |
|
Financieel |
Laag |
Om te waarborgen dat Nederlandse Loterij de uitkering van het gewonnen prijzengeld kan uitbetalen aan haar spelers en kan voorzien in de afdrachten aan het ministerie van Financiën, NOC*NSF en de goede doelen, hanteert zij een lage risicoacceptatie voor financiële risico’s. Hierbij is op basis van verantwoorde budgettering voldoende ruimte om de benodigde investeringen in nieuwe ontwikkelingen te kunnen doen. |
|
Reputatie & Compliance |
Laag |
Nederlandse Loterij streeft ernaar volledig te voldoen aan de van toepassing zijnde wet- en regelgeving. |
Organisatie van risk management
Bepalend voor de effectiviteit van het risicomanagementraamwerk en het risicomanagementproces is het kader waarin risicomanagement is georganiseerd binnen Nederlandse Loterij. Er zijn verschillende rollen gedefinieerd. Het directieteam van Nederlandse Loterij is verantwoordelijk voor het interne risicomanagementsysteem en legt hierover verantwoording af aan de Raad van Commissarissen. De coördinatie van het interne risicomanagementsysteem ligt bij het Risk Management Committee. Deze commissie onder voorzitterschap van de CFO, bestaande uit leden van het directieteam, manager Juridische Zaken, manager Finance, manager Fraud & Payments, manager Audit Risk & Security en senior Risk Officer, komt maandelijks bij elkaar. Strategische, juridische, operationele, financiële en merkgerelateerde risico’s, incidenten en de opvolging van openstaande acties naar aanleiding van auditbevindingen worden hier besproken en gemonitord.
De verschillende tweedelijnsfuncties, die ervoor zorgen dat risico’s op de juiste manier worden geïdentificeerd en beheerd waardoor de organisatie ‘In Control’ kan zijn, komen maandelijks bijeen in het tweedelijnsoverleg. Het overleg levert een bijdrage aan het behalen van de organisatiedoelstellingen door kaders te stellen (policies) en te sturen op risicobeheersing. Dit onder meer door de voortgang en effectiviteit van beheersingsmaatregelen te monitoren en te bewaken. Het overleg signaleert (en indien nodig escaleert) tijdig mogelijke knelpunten en helpt en faciliteert de eerste lijn waar nodig om de risicobeheersing verder te verbeteren.
Beoordeling belangrijkste risico's
Om de risico’s te beoordelen en te vergelijken worden de risico’s gewogen op basis van een inschatting van de kans dat het risico zich voordoet en een inschatting van de gevolgen voor het behalen van de doelstellingen van Nederlandse Loterij. Binnen de organisatie worden verschillende soorten risicoanalyses uitgevoerd. Alle risico’s met een beoordeling van medium of hoger zijn in het verslagjaar met de eigenaar van het risico besproken; voor deze risico’s worden maatregelen met de risico-eigenaar afgesproken om het risico tot een acceptabel niveau te beperken. Wanneer dit om wat voor reden dan ook niet direct mogelijk is, beoordeelt het Risk Management Committee over de verdere behandeling van het risico.
Strategische risico's
Dit betreft risico's met betrekking tot de strategische doelstellingen van Nederlandse Loterij. Een nadere toelichting op de strategische risico’s van Nederlandse Loterij is hieronder opgenomen.
|
Risico (naam) |
Risicodefinitie |
Selectie van beheersmaatregelen |
|
|
Verliesbeschikking |
Het risico dat Nederlandse Loterij niet voldoet aan de eisen uit de vergunning en in-en externe regels met als ultiem gevolg het verlies van de beschiking. |
• |
Anti-witwas en anti-matchfixingbeleid |
|
• |
Proactief responsible gaming beleid en uitvoering hiervan |
||
|
• |
Foutloze executie van primaire processen |
||
|
• |
Fraude-en verslavingspreventie |
||
|
Verlies draagvlak stakeholders |
Het risico dat de zeer complexe balans tussen de commerciële doelstelling en maatschappelijke doelstelling meer druk zal zetten op perceptie van Nederlandse Loterij bij stakeholders met als gevolg het verlies van draagvlak bij de stakeholders. |
• |
Proactief Responsible Gaming beleid en adequate uitvoering hiervan |
|
• |
Fraude-en verslavingspreventie |
||
|
• |
Anti-witwasbeleid |
||
|
• |
Relatiemanagement |
||
|
• |
Anti-matchfixingbeleid |
||
|
Disfunctioneren strategische partners |
Het risico dat door gebeurtenissen of incidenten bij strategische partners de dienstverlening van Nederlandse Loterij geraakt wordt, met negatieve gevolgen voor onder meer reputatie, klanttevredenheid en omzet. |
• |
Assurance-rapporten inzake interne beheersing derde partijen |
|
• |
Heldere afspraken met partners over hoe Nederlandse Loterij zekerheid verkrijgt over de uitbestede diensten |
||
|
• |
Leveranciers- en contractmanagement |
||
|
• |
Toetsing op nakomen afspraken |
||
|
Inbreuk op Informatie-beveiliging |
Het risico dat gebeurtenissen of incidenten negatieve gevolgen hebben voor de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie, waardoor de dienstverlening, reputatie en strategie van Nederlandse Loterij in gevaar komt. |
• |
Certificering ISO27001/WLA SCS |
|
• |
Adequate security monitoring |
||
|
• |
Cloud strategie |
||
|
• |
Tech & data kwaliteit in-house |
||
|
• |
Eenvoud in accountbeheer (IAM) |
||
|
Restrictievere wet- en regelgeving |
Het risico dat door toename complexiteit en beperkingen wet- en regelgeving Nederlandse Loterij enerzijds minder mogelijkheden krijgt om te groeien en anderzijds het verdienvermogen structureel afneemt. |
• |
Foutloze executie in het primaire proces |
|
• |
Scenario’s verwerken in lange termijn strategie |
||
|
• |
Versterkte compliance-functie |
||
|
Toenemende concurrentie |
Het risico dat acties van concurrenten of nieuwe toetreders tot de markt de concurrentiepositie van Nederlandse Loterij bedreigen. |
• |
Ondernemerslab initiatieven |
|
• |
CRM capabilities |
||
|
• |
Monitoring markt |
||
|
• |
Omnichannel-strategie |
||
|
Onvoldoende executiekracht |
Het risico dat er sprake is van onvoldoende geschikte medewerkers (kwantiteit en kwaliteit in de vorm van kennis, vaardigheden en ervaring) en middelen om de organisatie of een proces te managen zodanig dat de kritische bedrijfsdoelstellingen worden behaald en dat key business risico’s tot een acceptabel niveau worden gebracht. |
• |
Aantrekkelijk werkgeverschap buiten primaire salariëring |
|
• |
Agile werkwijze met nadrukkelijk aandacht voor resource planning |
||
|
Verandering in klantgedrag |
Het risico dat de klantbehoefte en wensen veranderen zonder dat Nederlandse Loterij daarvan op de hoogte is of daarop tijdig kan inspelen. |
• |
Business Development (Lotify partnership) |
|
• |
Ondernemeslab initiatieven |
||
|
• |
Omnichannel klantervaring |
||
|
Verlies van consumenten-vertrouwen |
Het risico van foutieve of niet-presterende producten of services resulterend in klachten van klanten, verlies van omzet en reputatie. |
• |
Optimaal presteren van de Klantenservice |
|
• |
Foutloze operatie in primaire proces |
||
|
Verlies van materiële rechtszaken |
Het risico dat Nederlandse Loterij geconfronteerd wordt met negatieve gerechtelijke uitspraken, bijvoorbeeld rondom vergunningverlening aan Nederlandse Loterij door de Kansspelautoriteit, onderzoeken van toezichthouders, (massa)schadeclaims van consumenten. |
• |
Het voeren van verweer ondersteund met (hoogwaardig) advies/advocaten |
|
• |
Foutloze executie |
||
Financiële risico's
Nederlandse Loterij maakt in de reguliere bedrijfsuitoefening gebruik van uiteenlopende financiële instrumenten die de organisatie blootstellen aan liquiditeits-, krediet- en marktrisico’s. Dit zijn financiële instrumenten die in de balans zijn opgenomen. Nederlandse Loterij kent een treasury-statuut, waarin kaders en regels zijn opgesteld voor financiële geldstromen, de financiële posities en de hieraan verbonden risico’s.
|
Risico (naam) |
Risicodefinitie |
Selectie van beheersmaatregelen |
|
|
Liquiditeitsrisico |
Het risico dat Nederlandse Loterij niet aan haar betalingsverplichtingen kan voldoen door een tekort aan liquide middelen. |
• |
Nederlandse Loterij moet te allen tijde in staat zijn om op het juiste moment aan haar verplichtingen te kunnen voldoen. Om tijdige uitkering van alle prijzen te waarborgen is een egalisatievoorziening voor nog uit te keren prijzen gevormd. Financiële processen zijn zodanig ingericht dat het liquiditeitsrisico tot een absoluut minimum is beperkt. |
|
Kredietrisico |
Het risico dat een kredietnemer zijn beloofde betalingen niet na komt of kan komen, leidend tot een verlies (een andere term voor kredietrisico is debiteurenrisico). |
• |
Nederlandse Loterij heeft een aantal grote debiteuren. In het geval de debiteur niet meer aan zijn betalingsverplichtingen kan voldoen, is Nederlandse Loterij een van de schuldeisers. Het beoordelen van kredietrisico’s is standaard onderdeel van inkoop- en contactmanagementactiviteiten. Deze beoordeling wordt uitgevoerd door Dun & Bradstreet. |
|
Marktrisico |
Het risico dat Nederlandse Loterij verliezen lijdt als gevolg van nadelige bewegingen in marktvariabelen zoals aandelenkoersen, impliciete volatiliteit en valutakoersen. |
• |
Nederlandse Loterij mag alleen aan renterisico blootstaan en niet aan andere soorten marktrisico’s zoals valutarisico’s of aandelenprijsrisico’s. |
Reputatie- en compliance-risico's
|
Risico (naam) |
Risicodefinitie |
Selectie van beheersmaatregelen |
|
|
Niet voldoen aan wet- en regelgeving en vergunnings-voorschriften |
Het risico dat Nederlandse Loterij niet voldoet aan wet- en regelgeving en/of vergunningsvoorschriften. Nederlandse Loterij opereert in een sterk gereguleerde markt. Het ministerie van Justitie & Veiligheid en de toezichthouder (Kansspelautoriteit) organiseren via een gedetailleerd stelsel van wet- en regelgeving de kansspelmarkt, onder andere met vergunningen voor de verschillende aanbieders van kansspelen. Deze vergunningen bevatten voorwaarden. Op het moment dat Nederlandse Loterij structureel niet voldoet aan een of meerdere voorwaarden, kan dit de verleende vergunning in gevaar brengen. |
• |
Om dit risico te voorkomen, worden door de afdeling Juridische Zaken wet- en regelgeving en vergunningsvoorschriften vertaald in processen en afspraken in de organisatie en in de openbare deelnemersreglementen. Het naleven wordt actief gemonitord door de Compliance Officer. De afdeling Audit & Risk voert ten slotte een onafhankelijke toetsing uit van de naleving. |
|
Integriteitsschending |
Het risico dat er wordt gehandeld (incidenteel of structureel) in strijd met de ethische code (incl. aanverwante protocollen) of op andere wijze de normen en waarden niet nageleefd worden. |
• |
Om reputatierisico’s te beheersen, heeft Nederlandse Loterij een ethische code opgesteld, inclusief protocollen met betrekking tot integriteit, klokkenluiders en de opvolging van vermeende overtredingen. De Compliance Officer monitort de naleving. |
|
Reputatieschade |
Het risico dat externe communicatie-uitingen niet voldoen aan de regels voor verantwoorde deelname aan kansspelen. |
• |
Alle externe communicatie wordt zorgvuldig opgesteld en voor publicatie door meerdere betrokkenen in de organisatie getoetst. De inspanningen zijn erop gericht dat uitingen aan spelers volledig, transparant en waarheidsgetrouw zijn. Een Responsible Gaming Officer monitort dat alle publicaties en spelvormen voldoen aan de regels voor verantwoorde deelname aan kansspelen. |
Extern toezicht
Het externe toezicht op Nederlandse Loterij wordt uitgevoerd door de gebruikelijke toezichthouders zoals onder andere de Kansspelautoriteit, de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens.
Kansspelautoriteit
Voor de exploitatie van de Staatsloterij, Miljoenenspel, Lotto, Eurojackpot, Lucky Day, TOTO Winkel en Krasloten zijn door de Kansspelautoriteit vergunningen verleend aan Staatsloterij B.V. en Lotto B.V. Voor de exploitatie van TOTO Sport en TOTO Casino zijn vergunningen verleend aan TOTO Online B.V. De Kansspelautoriteit is belast met het toezicht op deze vergunningen.
Externe accountant
Met ingang van het verslagjaar 2017 is PricewaterhouseCoopers Accountants N.V. (hierna: "PwC") de externe accountant van Nederlandse Loterij. PwC is in die rol verantwoordelijk voor het afgeven van een controleverklaring bij de geconsolideerde jaarrekening. Als onderdeel van de controle beoordeelt PWC de opzet, het bestaan en de werking van de interne beheersingsmaatregelen van de belangrijkste bedrijfsprocessen in de organisatie om te komen tot een oordeel over de betrouwbaarheid van de interne informatievoorziening en de jaarrekening van Nederlandse Loterij. PwC rapporteert over haar bevindingen in een management letter en in een accountantsverslag aan de Raad van Commissarissen en de directie. De bevindingen en aanbevelingen van de externe accountant worden besproken in het Risk Management Committee, waar ook de opvolging van de bevindingen wordt bewaakt. Alle auditresultaten worden voorgelegd aan en afgestemd met de Auditcommissie die is ingesteld door de Raad van Commissarissen.
GLI
Gaming Labs International (GLI), geaccrediteerd door de Raad voor Accreditatie in Nederland, inspecteert de trekkingsmachine en ballen van Lotto, Miljoenenspel en Lucky Day, beoordeelt ontwerpdocumenten van Krasloten en controleert de fabrieken waar de Krasloten worden gedrukt. Ook houdt GLI via steekproeven toezicht op verkooppunten voor de naleving van wetgeving (bijvoorbeeld of er niet aan minderjarigen wordt verkocht). Het onafhankelijk instituut GLI doet dit in opdracht van Lotto B.V. Daarnaast heeft Nederlandse Loterij een ontheffing ontvangen dat zij GLI mag gebruiken als keuringsinstelling voor het keuren van haar online aanbod. Het volledige aanbod van online kansspelen van Nederlandse Loterij (TOTO Casino en TOTO Sport) is en wordt door GLI gecertificeerd conform het door de Kansspelautoriteit opgestelde keuringsschema waaraan iedere aanbieder van online kansspelen moet voldoen.
Notaris
Alle trekkingen staan onder toezicht van notariskantoor Caminada Notarissen te Rijswijk.
BSI
Nederlandse Loterij is gecertificeerd door World Lottery Association. In 2022 is vastgesteld dat Nederlandse Loterij voldoet aan de eisen van de WLA Security Control Standard:2020. Dit betreft de eisen van de ISO 27001 standaard, aangevuld door de WLA met loterij- en kansspel specifieke eisen op het gebied van beveiliging en integriteit. BSI Group heeft de processen en procedures rondom informatiebeveiliging beoordeeld en een goedkeurende verklaring afgegeven.
Managementverklaring
Het bestuur van Nederlandse Loterij is eindverantwoordelijk voor het beheersen van de risico’s verbonden aan de ondernemingsdoelstellingen en de betrouwbaarheid van de externe (financiële) rapportage. Tevens draagt het bestuur verantwoordelijkheid voor de beoordeling van de effectiviteit van de op deze risico’s gerichte preventieve of beperkende maatregelen.
Het bestuur heeft de werking van de interne beheersings- en controlemaatregelen beoordeeld. Op basis van deze beoordeling is het bestuur van mening dat de interne beheersings- en controlesystemen van de onderneming per einde boekjaar 2022 voldoende effectief waren en een redelijke mate van zekerheid verschaffen dat:
het bestuur tijdig op de hoogte is van de mate waarin de strategische, operationele en financiële doelstellingen van de onderneming worden gerealiseerd, en
de externe (financiële) rapportage geen onjuistheden van materieel belang bevat.
Het geheel van de werkzaamheden met betrekking tot de interne beheersingssystemen en de daaruit voortgekomen bevindingen, aanbevelingen en maatregelen is besproken met de Auditcommissie, de Raad van Commissarissen en de externe accountant.
's Gravenhage, 27 maart 2023
Bestuur Nederlandse Loterij,
Niels Onkenhout (CEO)
Arjan Blok (CFO)
