Integraal risicomanagement

Risico’s zijn bedreigingen voor de realisatie van onze doelstellingen. Het risicobeheersingskader is het raamwerk dat beschrijft op welke integrale wijze de risico’s waaraan de organisatie blootgesteld staat, of kan komen te staan, worden beheerst.

Het Bestuur stelt driejaarlijks het risicobeheersingskader op, beheert de actualiteit ervan en draagt zorg voor de communicatie naar de medewerkers. De strategische risicoanalyse is onderdeel van het beleidsplan. Het risicobeheersingskader is goedgekeurd door de Raad van Toezicht.

De belangrijkste risicobeheersingskaders zijn:


Structuur en governance

  • er zijn statuten waarin is vastgelegd hoe de verantwoordelijkheden en bevoegdheden van Bestuur, Vergadering van Aangeslotenen, secties, Raad van Aangeslotenen en Raad van Toezicht zijn geregeld;
  • de verschillende organen in de governance hebben een eigen reglement. Zo is er ook een bestuursreglement waarin de taken en bevoegdheden van het Bestuur nader zijn uitgewerkt;
  • er is een formele organisatiestructuur waaruit de hiërarchische en functionele relatie tussen de verschillende functies blijkt. Leidend in het organisatiemodel zijn de competenties die nodig zijn voor de uitvoering van de primaire en ondersteunde processen (procesoriëntatie);
  • uit de beschreven processen blijken de noodzakelijke functiescheidingen. Essentieel hierbij is de scheiding tussen het verstrekken van licenties, het registreren van rechthebbenden, het registreren van speelgegevens, het uitvoeren van de repartitie op basis van het repartitiereglement en het voeren van de administratie;
  • de organisatie valt onder het toezicht van het College van Toezicht Collectieve Beheersorganisaties Auteurs en Naburige rechten, en dient generieke en/of specifieke aanwijzingen van dit college op te volgen.

Gewenste cultuur

  • wij ontlenen ons bestaansrecht aan de wettelijk bepaalde bevoegdheid tot het innen en afdragen van vergoedingen voor het (her)uitzenden of anderszins openbaar maken van voor commerciële doeleinden uitgebrachte fonogrammen (uitgebracht in de landen die het verdrag van Rome hebben geratificeerd) van alle artiesten en producenten. Op basis van deze taak en aansluitend op de geformuleerde missie zijn onze belangrijkste stakeholders:
    - Rechthebbenden: de cultuur is erop gericht om in het belang van deze rechthebbenden zo efficiënt mogelijk, zoveel mogelijk opbrengst te behalen en hier transparant over te rapporteren;
    - Klanten, die op basis van een licentie muziek mogen gebruiken en daar een vergoeding voor afdragen aan ons;

De kernelementen van de cultuur die nodig zijn om deze stakeholders maximaal te bedienen zijn servicegerichtheid, kwaliteit en betrouwbaarheid van (management)informatie en commerciële drive. De kernwaarden die hierbij horen zijn Professioneel, Betrouwbaar en Betrokken.

  • er is een Klachten- en geschillencommissie rechthebbenden die klachten van rechthebbenden ontvangt en opvolgt, waarmee gewaarborgd wordt dat problemen in de dienstverlening serieus worden genomen en er van geleerd wordt;
  • wij zijn (vrijwillig) lid van branchevereniging VOI©E. De accreditatie voor het CBO-Keurmerk dat wij jaarlijks na een audit van een onafhankelijk certificeerder, het Keurmerkinstituut, van deze organisatie ontvangen, is een extra waarborg voor het signaleren van mogelijke tekortkomingen in de kwaliteit en transparantie van de uitoefening van het rechtenbeheer en de voorlichting daarover.

Vereiste competenties

  • de competenties waar medewerkers over moeten beschikken zijn nader uitgewerkt in functieprofielen. Deze profielen zijn gekoppeld aan een inschalings-, beoordelings- en beloningsysteem dat door de Officemanager wordt beheerd en waarin materiële wijzigingen jaarlijks door het Bestuur worden vastgesteld;
  • omdat de kwaliteit en betrouwbare uitvoering van het repartitieproces voor de vereiste datakwaliteit als organisatiecompetentie essentieel is en wij hierover zekerheid willen verschaffen aan de rechthebbenden, wordt er op dit proces een onafhankelijke audit uitgevoerd die resulteert in een ISAE 3402 verklaring. Deze verklaring geeft aan dat dit proces in opzet en bestaan toereikend is (Type 1 2014) en ook dat dit proces naar behoren wordt uitgevoerd (Type 2 2015).

Technologie (ICT)

  • omdat wij voor het bereiken van onze doelstellingen in belangrijke mate afhankelijk zijn van de continuïteit, betrouwbaarheid en veiligheid van de geautomatiseerde gegevensverwerking, is er een aantal overkoepelende maatregelen specifiek gericht op de ICT;
  • de ICT-diensten zijn ingericht volgens de principes van Information Technology Infrastructure Library (ITIL);
  • er vindt periodiek een onafhankelijke externe beoordeling plaats van de veiligheid van de ICT-infrastructuur;
  • wij passen binnen onze processen de Wet bescherming persoonsgegevens zorgvuldig toe.

Beleidsplan
Wij stellen iedere drie jaar een nieuw beleidsplan op. Gedurende die periode updaten we dit plan jaarlijks. Aangezien het vorige beleidsplan liep van 2013 tot 2015 is in het verslagjaar een nieuw beleidsplan opgesteld voor de periode 2016 - 2018.

Jaarplannen op afdelingsniveau
Op basis van het beleidsplan maakt iedere afdeling een jaarplan waaraan afdelingsdoelen en projecten gekoppeld worden. De jaarplannen hebben tot doel sturing te geven aan het behalen van de beleidsdoelstellingen, het bereiken van het gewenste serviceniveau van de betreffende afdeling en daarmee aan het efficiënt en effectief uitvoeren van de processen waarvoor de betreffende afdeling binnen de organisatie verantwoordelijk is. Deze vastgestelde doelstellingen voor afdelingen worden doorvertaald naar de individuele medewerker. De doelstellingsafspraken per individu liggen vast en worden gemonitord in de jaargesprekken (plan-evaluatie-beoordeling).

Operationele risicobeheersing
De key controls worden vastgelegd in risico control matrices per deelproces. De key controls worden periodiek, en in ieder geval bij belangrijke proceswijzigingen, door de proceseigenaar geëvalueerd en zo nodig aangepast. De Manager F&A adviseert de proceseigenaren daarbij.

Taken, verantwoordelijkheden en rollen
Het lijnmanagement (Bestuur en MT) is verantwoordelijk voor de risicoanalyse (identificatie en prioritering van de risico’s), implementatie van de beheersingsmaatregelen en bewaking van de werking. Zij zijn daarmee “1st line of defense”. De afdeling F&A is additioneel verantwoordelijk voor het bewaken van de opzet en werking van de administratieve organisatie en interne controle (zoals beschreven in het AO/IB handboek en ten behoeve van ISAE 3402) en voor het adviseren over opzet en wijzigingen in beheersingsmaatregelen in processen (“2nd line of defense”).

Als extra waarborg voor de toereikende werking van de interne beheersing toetsen externe controleurs, als “derde dijk”, specifieke activiteiten en prestaties van de organisatie, te weten:

  • de externe accountant voor het controleren van de jaarrekening (met als grondslag Titel 9 Boek 2 van het Burgerlijk Wetboek en het AO/IB handboek) en het beoordelen van het jaarverslag;
  • een externe accountant voor het beoordelen van het repartitieproces en het afgeven van een ISAE 3402 verklaring (met als basis een beschrijving van het proces en de controls);
  • een externe adviseur met de opdracht te rapporteren over de beveiliging van de ICT-infrastructuur;
  • CBO-Keurmerk audit;
  • jaarlijkse beoordeling van het CvTA.

De Raad van Toezicht ziet toe op het Bestuur en is onder andere belast met goedkeuring van het beleid en de strategie (waaraan gekoppeld de voorgenomen beheersing van de strategische risico’s) en het jaarverslag (inclusief de jaarrekening), waarin de uitkomsten van het gevoerde beleid zijn vastgelegd.

De Raad van Aangeslotenen adviseert over het voorgenomen beleid en stelt het repartitiereglement, de statuten, het jaarplan, de begroting en de jaarrekening vast. De belangrijkste strategische risico’s zoals die zijn onderscheiden zijn als volgt gedefinieerd:

  • ten aanzien van veranderende wet- en regelgeving zou onze exclusieve positie kunnen veranderen. De overheidsbemoeienis zou zich verder uit kunnen strekken tot de vaststelling van tarieven. Daarnaast zouden CBO’s van overheidswege gedwongen kunnen worden tot intensivering van de samenwerking. Onwelgevallige jurisprudentie in EU-lidstaten kan eveneens als risico worden aangemerkt in deze categorie;
  • de commerciële risico’s zijn sterk afhankelijk van de reputatie en het imago van CBO’s in het algemeen. Een toenemende populariteit van afdracht vrije muziek en afnemende reclame-inkomsten bij de traditionele RTV-zenders mede als gevolg van een verschuiving van lineaire naar on demand mediaconsumptie spelen eveneens een belangrijke rol. Verdere bezuinigingen op de Nederlandse Publieke Omroep worden ook gerekend tot de risico’s in deze categorie. Dat geldt eveneens voor de toenemende eisen van licentienemers ten aanzien van de verfijning van het repartitieproces en discussies over de hoogte van de billijke vergoeding;
  • als geïdentificeerde risico’s aangaande de relatie met rechthebbenden zijn benoemd:
    - de kwaliteit van de speelgegevens waar wij de repartitie op baseren, met het risico dat niet de juiste rechthebbenden betaald worden;
    - het verlies van internationale mandaten aan agenten en/of buitenlandse zusterorganisaties, waardoor licentie-opbrengsten onder druk komen te staan;

    - borging van de privacy en conformiteit aan de Wet bescherming persoonsgegevens (door afdoende dataprotectiemaatregelen), waardoor Sena niet aan wetgeving op dat vlak zou voldoen.
    - ten aanzien van de interne organisatie zijn het op norm houden van de procesbeheersing en de daarvoor noodzakelijke documentatie als risico’s aangemerkt. Verlies van kwaliteitskeurmerken en/of certificaties heeft verstrekkende gevolgen. Mede gezien de grote hoeveelheid financiële transacties zijn frauderisico’s aanwezig. Het behoud van sleutelfunctionarissen voor de organisatie valt ook in deze categorie risico’s;
    - technologische risico’s tot slot kunnen met zich mee brengen dat de kosten significant toenemen. Een calamiteit waarbij de IT-systemen tijdelijk niet beschikbaar zouden zijn vormt vanzelfsprekend een risico, evenals verlies van data. Het niet synchroon verlopen van processen en
    procedures valt eveneens in deze risicocategorie.

Voor alle onderscheiden strategische risico’s zijn response- en beheersingsmaatregelen geformuleerd die naar de mening van bestuur en toezichthouders als adequaat zijn beoordeeld.

 
Terug naar tijdlijn