Risicomanagement: Integraal
onderdeel van
onze bedrijfsvoering

Royal Schiphol Group wordt gezien zijn maatschappelijke functie en zijn ondernemende bedrijfsvoering blootgesteld aan strategische, operationele, financiële en compliancerisico's. Voor het beheersen van deze risico’s hebben we een uniform beleid ontwikkeld. Risicomanagement is een integraal onderdeel van onze bedrijfsvoering.

Risicoprofiel

Als eigenaar en exploitant van luchthavens wordt ons risicoprofiel grotendeels bepaald door onze rol als beheerder/exploitant van een wezenlijk deel van de nationale infrastructuur. De infrastructuur van de luchthaven moet 24 uur per dag, zeven dagen per week beschikbaar zijn. We moeten ervoor zorgen dat onze activiteiten veilig en zonder onderbreking plaatsvinden. Daarbij vertrouwen we op een aantal externe partijen die belangrijke taken in de operationele processen vervullen.

Onze onderneming is kapitaalintensief, met een concentratie van activa op één locatie. We hebben hoge vaste kosten en lange doorlooptijden voor de ontwikkeling van de activa. Onze onderneming kent een hoge mate van regulering, zowel op economisch terrein als op gebieden als geluid en milieu, veiligheid en beveiliging, mededinging en aanbestedingen. We worden bovendien nauwlettend gevolgd door het publiek en de politiek.

Risicoacceptatie

De mate waarin Schiphol Group bereid is risico’s te lopen bij het nastreven van zijn doelstellingen verschilt per doelstelling en per risicocategorie. De risicogrenzen worden vastgelegd in beleidsdocumenten, handboeken en bedrijfsreglementen waarin specifieke limieten en bandbreedtes van de verschillende bedrijfsactiviteiten zijn opgenomen.

Risicocategorie

Risicoacceptatie

Toelichting

Strategisch

gematigd

Schiphol Group is bereid gematigde risico's te nemen bij het nastreven van zijn ambities. We zoeken steeds de balans tussen onze maatschappelijke functie (lage risicoacceptatie) en onze commerciële ambities (hogere risicoacceptatie).

Operationeel

zeer laag

Schiphol Group richt zich vooral op het behoud van de continuïteit van de aviation-activiteiten, ongeacht de omstandigheden. We streven ernaar de risico's die deze continuïteit in gevaar kunnen brengen, zoveel mogelijk te beperken. Onze risicoacceptatie is in dit verband dan ook zeer laag. Op het gebied van veiligheid en beveiliging doen we ons uiterste best risico's te vermijden die passagiers, interne en externe werknemers, bezoekers en omwonenden in gevaar kunnen brengen.

Financieel en rapportage

laag

Schiphol heeft een lage risicoacceptatie wat betreft risico's op het gebied van de financiële verslaglegging. Betrouwbaarheid en transparantie zijn daarbij van cruciaal belang. We onderhouden een solide financiële positie om toegang tot de financiële markten zeker te stellen. Schiphol Group is niet bereid risico's te lopen die onze credit rating van ten minste 'A' (Standard & Poor's) in gevaar kunnen brengen.

Compliance

zeer laag

Schiphol Group streeft ernaar te voldoen aan alle van toepassing zijnde wet- en regelgeving. We hebben daarbij speciale aandacht voor wet- en regelgeving op het gebied van milieu, mededinging, aanbestedingen, privacy/informatiebeveiliging en de vereisten van het Europees Agentschap voor de veiligheid van de luchtvaart (EASA).

Raamwerk voor risicomanagement

Het nemen van risico’s is inherent aan ondernemen. Met een bewuste afweging tussen onze doelstellingen en de risico's die we bereid zijn te nemen, streven we naar een maatschappelijk verantwoorde en duurzame bedrijfsvoering. Op deze wijze vergroten we de kans op het behalen van onze strategische doelstellingen.

De filosofie achter ons risicomanagementbeleid:

  • De directie en het management zijn verantwoordelijk voor de opzet en het testen van de werking van systemen voor risicobeheersing en interne controle. Deze systemen hebben tot doel significante risico's in kaart te brengen, de realisatie van doelstellingen te bewaken en naleving van de wet- en regelgeving te waarborgen.
  • Adequate systemen voor risicobeheersing en interne controle zullen de kans op fouten, verkeerde beslissingen en verrassingen door onvoorziene omstandigheden reduceren.
  • Het risicomanagement is geïntegreerd in de lijnmanagementactiviteiten en de planning-en-controlcyclus.
  • Het nemen van risico's is essentieel voor een gezonde onderneming. Het is de verantwoordelijkheid van de directie om te bepalen wat daarbij maximaal acceptabel is (de zg. risicoacceptatie).

Het lijnmanagement is verantwoordelijk voor de uitvoering van het risicomanagement van de processen waarvoor het verantwoording draagt. De risico's op het gebied van de financiële verslaglegging en de bijbehorende maatregelen om die risico's te beperken, worden geregistreerd, getest en gecontroleerd via onze 'risk management information tool'.

De directie rapporteert en legt verantwoording af over het systeem voor risicomanagement en interne controle aan de Raad van Commissarissen. De belangrijkste risico's voor Schiphol Group en de bijbehorende controlemaatregelen zijn voorgelegd aan en in februari 2019 besproken met de Audit Committee van de Raad van Commissarissen.

Beoordeling belangrijkste risico's

Om onze risico's te beoordelen en te vergelijken, maken we gebruik van een risicomatrix. Hiermee wegen we onze risico's op basis van een inschatting van de kans dat het risico zich voordoet en een inschatting van de gevolgen voor het behalen van de doelstellingen van de onderneming. Grote risico's hebben een mogelijke impact op de EBITDA van Schiphol van minimaal 25 miljoen euro of hebben een significante niet-financiële impact, bijvoorbeeld op onze reputatie. We hebben de belangrijkste risico's, die hierna worden beschreven, in een risicomatrix geplaatst, waarbij we rekening houden met de operationele controlemaatregelen.

Classificatie van de risico's van Schiphol Group na toepassing van controlemaatregelen

Risico-omschrijving

Risicobevorderende factoren

Controlemaatregelen

A.

Bereikbaarheid luchthaven (landzijde)

De bereikbaarheid per spoor en over de weg staat onder druk en voldoet niet aan het gewenste kwaliteitsniveau

  • Drukte en passagiersvolumes blijven toenemen
  • Er worden op hetzelfde moment verschillende grote bouw- en renovatieprojecten uitgevoerd binnen een relatief klein gebied
  • Er is geen rechtstreekse metroverbinding tussen Schiphol en Amsterdam
  • Ophalen en wegbrengen, aangezien daarvoor vier vervoersbewegingen nodig zijn in plaats van twee
  • Strengere security-eisen

  • Crowdmanagement. Zie: 'Veiligheid van reizigers en bezoekers'
  • Nieuwe wegeninfrastructuur (A9), en Digital Airport Programme (loopt nog). Zie: Vebeteren van de landzijdige bereikbaarheid van Schiphol' in 'Bereikbaarheid'

B.

Luchthavencapaciteit
(luchtzijde & terminal)

Beperkte capaciteit om de kwalitatieve doelstellingen te realiseren

  • Drukte en passagiersvolumes blijven toenemen
  • De versnelde groei van de vraag naar vliegtuigbewegingen, gecombineerd met het bereiken van het daaraan gestelde plafond heeft tot een significante toename geleid van het aantal bewegingen van widebody-toestellen. De groei in grotere vliegtuigen heeft tot een tekort geleid in onze afhandelingscapaciteit voor widebody-toestellen
  • Aangezien Schiphol het capaciteitsplafond van 500.000 vluchten per jaar heeft bereikt, is de kans groter dat luchtvaartmaatschappijen niet de slots toegewezen krijgen die ze aangevraagd hebben
  • Krimp in vrachtbewegingen door een tekort aan slotrechten
  • Afhankelijkheid van externe service providers (bijv. de Koninklijke Marechaussee en bagageafhandelaren)

  • Snellere security door automatisering. Zie: Snellere security door automatisering
  • Nieuwe securitylanes in Vertrekl 1. Zie: 'Nieuwe securitylanes in Vertrek' in 'Luchthavencapaciteit'
  • Tijdelijke extra vertrekhal. Zie: 'De beste verbindingen'
  • Nieuw toestelplatform (M-platform) officieel in gebruik sinds december 2017
  • Tekort aan widebody-capaciteit per uur. Zie: 'Kwaliteit: drukke dagen vergen investeringen' en 'Widebody-beperkingen' in 'Netwerk van bestemmingen'

C.

Business continuity management

Verstoring van kritieke bedrijfsprocessen of -functies als gevolg van een langdurig of structureel verlies van cruciale faciliteiten, nutsvoorzieningen, IT-infrastructuur, personeel of belangrijke leveranciers

  • Cyberattacks en terroristische aanslagen
  • Technische storingen
  • Stroomstoringen
  • Brand in de terminal
  • Drukte/opstoppingen
  • Stakingen
  • Klimaatverandering (droogte, buitensporige regenval)
  • Grote projecten
  • Fouten en onvoorziene risico's in de toeleveringsketen
  • Grenzen van de infrastructuur zijn bereikt, waardoor Schiphol kwetsbaar is voor verstoringen van de bedrijfscontinuïteit

  • Corporate Business Continuity Management Programme (loopt nog)
  • IT Security Programme (loopt nog). Zie: 'Versterking van de IT-weerbaarheid'
  • Landside Security Programme' (loopt nog). Zie: 'Landzijdige veiligheid'
  • Generatoren noodstroomvoorziening
  • Integral Fire Safety Plan (loopt nog). Zie: 'Brandveiligheid'
  • Crowdmanagement. Zie: 'Veiligheid van reizigers en bezoekers'

D.

Connectivity performance

De connectiviteitsprestaties staan onder druk

  • Het plafond van 500.000 vliegtuigbewegingen is al ruim voor 2020 bereikt
  • Er zijn geen nieuwe slots beschikbaar
  • Afnemend draagvlak voor groei na 2020 in verband met twijfels over duurzaamheid
  • Toenemende concurrentie van andere hub-luchthavens in Europa / Midden-Oosten die een snelle groei hebben doorgemaakt
  • Vrachtvluchten onder druk door gebrek aan slots

  • Operationele maatregelen gericht op geluids- en emissiereducties
  • Coördinatie binnen de sector om de gevolgen voor het milieu te beperken (bijv. via het actieplan 'Slim en Duurzaam')
  • Permanente dialoog met politieke en publieke stakeholders op lokaal, regionaal en nationaal niveau
  • Onderzoeken van samenwerking met airlines om netwerk te optimaliseren
  • Ondersteunen van airlines bij hun route- en bedrijfsontwikkeling om netwerk in stand te houden
  • In stand houden van vrachtvolumes

E.

Wijzigingen in milieu- en bouwwetgeving

Impact van nieuwe/striktere milieuvoorschriften

  • Nieuwe Klimaatwet (2019) - tot dusver geen aandacht voor internationale luchtvaart
  • Geen nationaal beleid voor het behandelen van grond die met PFOS is vervuild
  • Wet luchtkwaliteit (ultra)fijnstof
  • Meerjarenovereenkomst energie-efficiëntie (loopt in 2020 af)
  • Nieuw Normen en Handhavingsstelsel - interpretatie van WHO-advies over geluid
  • Bouwbesluit. Nieuwe en bestaande kantoren moeten in 2023 een energielabel 'C' kunnen overleggen

  • Dialogen met stakeholders over uiteenlopende onderwerpen in verband met nieuwe en bestaande milieuvoorschriften
  • Plan voor ultrafijnstof
  • Duurzaamheidsstrategie Schiphol
  • Participeren in consultaties

F.

Informatiebeveiliging

Het niet of niet succesvol invoeren of actualiseren van technologieën, processen en praktijken die bedoeld zijn om netwerken, computers, programma's en data te beschermen tegen aanvallen, beschadigingen of toegang door onbevoegden (bijv. Denial of Service Attacks, Data Exfiltration)

  • Toegang door onbevoegden (bijv. cyberattack)
  • Gebruik door externe partijen
  • Data-integriteit

  • IT Security Programme (loopt nog). Zie: 'Versterken van de IT-weerbaarheid' in Security
  • Life Cycle Management
  • Change Management
  • Back-up & Restore
  • Logische toegang

G.

Uitvoering van projecten

Het niet tijdig opleveren van de voordelen van project (binnen de begroting en met de vereiste kwaliteit)

  • Onrealistische tactische (project)planning (geen masterplan, te ambitieuze prognoses, slechte beoordeling initiële risico's, veel druk van stakeholders)
  • Niet in staat zijn om alle relevante projectvereisten aan het begin van het project te definiëren vanwege een complex specificatieproces met meerdere stakeholders
  • Significante veranderingen in de eisen tijdens de ontwerp- en/of constructiefase van een project
  • Er wordt niet aan de gespecificeerde eisen voldaan
  • Onvermogen om de relevante projectrisico's in kaart te brengen, te evalueren en te beheren
  • Verzadigde markt leidt tot minder offertes tijdens het aanbestedingsproces
  • Minder risicoacceptatie bij de leveranciers. Het RSG-contractrisico wordt als te groot beschouwd
  • Prestaties van aannemers/consultants zijn onder de maat
  • Tekort aan noodzakelijke resources tijdens de projectuitvoering

  • Management projectportfolio's
  • Tactische en projectplanning op basis van risico's
  • Processen voor projectaanpassingen en risicomanagement
  • Processen voor kwaliteitsbeheer
  • Prestatiebeheer van (nieuwe) hoofdaannemers
  • Professioneel projectmanagement en ontwikkelingscapaciteiten
  • Safety Management System
  • Processen voor marktconsultatie

H.

Regelgeving en compliance

Inbreuken op wetten, intern beleid of Gedragscode

  • De luchtvaartsector is in hoge mate gereguleerd
  • Er is een groot aantal partijen op deze markt actief
  • Gebrek aan kennis van de wet- en regelgeving
  • Incidenten op gebied van compliance en integriteit

Zie: materieel aspect Integriteit

I.

Veiligheid en beveiliging

Risico op een ernstig veiligheids- of beveiligingsincident

  • Vogelaanvaringen
  • Constructiefouten
  • Drukte
  • Brand in de terminal
  • Grote projecten
  • Runway incursions
  • Cyberattacks en terroristische aanslagen

Zie: materieel aspect Veiligheid en beveiliging

J.

Personeel

Onvermogen om medewerkers te werven en te behouden

  • Krappe arbeidsmarktsituatie (IT, digitale capaciteiten)
  • Onvermogen om medewerkers met de juiste vaardigheden te werven
  • Groot aantal externe medewerkers
  • Slechte afstemming tussen beschikbare banen en personeel
  • Digitale transformatie
  • Groot verloop van jonge professionals

Zie: materieel aspect Werkgeverschap

Financiële risicofactoren

Door de aard van de activiteiten heeft Schiphol Group te maken met een verscheidenheid aan risico's, onder meer in de vorm van marktrisico's, tegenpartijrisico's en liquiditeitsrisico's. In het beheerprogramma voor financiële risico's (dat deel uitmaakt van het overkoepelende risicobeheerprogramma van Schiphol Group) ligt de nadruk op de onvoorspelbaarheid van de financiële markten en op het minimaliseren van de eventuele nadelige effecten daarvan op de financiële resultaten van Schiphol Group.

Schiphol Group maakt gebruik van derivaten voor de afdekking van bepaalde risico's. Het financiële risicobeheer wordt verzorgd door de centrale treasury-afdeling (Corporate Treasury) en valt onder beleid dat de directie heeft goedgekeurd. De directie stelt schriftelijke richtlijnen op voor het financiële risicobeheer, en stelt daarnaast ook het beleid vast voor specifieke aandachtsgebieden als valutarisico's, renterisico's, kredietrisico's, gebruik van afgeleide (derivaten) en niet-afgeleide financiële instrumenten en het uitzetten van een tijdelijk surplus aan liquiditeiten.

Zie voor uitgebreidere informatie over het beheer van financiële risico's noot 29 van de toelichting op de geconsolideerde jaarrekening.

Verklaring van de directie

We streven ernaar de kans op fouten, verkeerde beslissingen en verrassingen door onvoorziene omstandigheden zoveel mogelijk te reduceren. Honderd procent zekerheid is echter niet haalbaar. Het is nooit uit te sluiten dat we blootstaan aan risico's die op dit moment nog niet bekend zijn of die nu nog niet belangrijk worden geacht. Bovendien kan geen enkel systeem voor risicobeheersing en interne controle absolute zekerheid bieden dat ondernemingsdoelstellingen worden gerealiseerd en dat verlies, fraude en overtreding van wetten en regels worden voorkomen.

Daarnaast is Schiphol als luchthaven bijvoorbeeld gevoelig voor weers- en natuurverschijnselen. Deze kunnen we niet voorkomen of beïnvloeden. Wel kunnen we ervoor zorgen dat de gevolgen zoveel mogelijk beperkt blijven.

Gelet op het bovenstaande zijn we van oordeel dat de systemen voor risicobeheersing en interne controle een redelijke mate van zekerheid geven over de risico's in de financiële verslaglegging en dat de financiële verslaggeving geen onjuistheden van materieel belang bevat.

De directie verklaart dat, voor zover bekend:

  • de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en de winst van Schiphol Group en de gezamenlijk in de consolidatie opgenomen ondernemingen;
  • de jaarrekening terecht is opgesteld op de veronderstelling van continuïteit (going concern basis) van Schiphol Group gegeven de sterke financiële positie;
  • in het jaarverslag de materiële risico's en onzekerheden zijn beschreven die relevant zijn voor de beoordeling van de continuïteit van Schiphol Group voor een periode van twaalf maanden na opstelling van het verslag;
  • het jaarverslag een getrouw beeld geeft van de toestand op de balansdatum en van de gang van zaken gedurende het boekjaar; en
  • in het jaarverslag de voornaamste risico's waarmee Schiphol Group wordt geconfronteerd, zijn beschreven.
Volgende:

Relevante
niet-financiële
indicatoren