Risicomanagement

De ontsporing van een reizigerstrein in Dalfsen en de botsing van een reizigerstrein met een melkauto op een onbewaakte spoorovergang in Winsum bevestigen dat vervoer op het spoor risico’s met zich meebrengt. Niet alleen risico’s op het gebied van veiligheid, beheersing van (bouw)projecten en risico’s gerelateerd aan de betrouwbaarheid van de spoorinfrastructuur, zoals de veelvuldige verstoringen van de dienstregeling rond Schiphol en de Moerdijkbrug, kunnen grote gevolgen hebben. ProRail heeft, kortom, een inherent hoog operationeel risicoprofiel.

Om alle risico’s op het gebied van veiligheid, betrouwbaarheid van de infrastructuur en de beheersing van grote (bouw)projecten het hoofd te bieden, is proactief risicomanagement noodzakelijk. ProRail opereert in een complex, hoog gereguleerd speelveld (en het compliance-risico dat dat met zich mee brengt) dat wordt gevormd door vervoerders, belangenorganisaties, reizigers en centrale en decentrale overheden.

Het systeem van risicomanagement

Het systeem van risicomanagement is opgebouwd uit verschillende activiteiten, gebaseerd op de ISO 31000 norm voor risicomanagement. De Raad van Bestuur stellen toprisico’s vast. Dit zijn risico’s die vanwege aard en/of omvang monitoring op het hoogste bestuursniveau vereisen. Onderliggende risico’s worden in teamverband onderkend en beoordeeld en door experts van de juiste respons voorzien. Elk kwartaal wordt de beheersing van alle risico’s gemonitord en waar nodig worden extra maatregelen getroffen.

Verantwoordelijkheid

De leden van de Raad van Bestuur en de Executive committee zijn eindverantwoordelijk voor het risicomanagementsysteem.

Three lines of defence

Risicobeheersing bij ProRail is gebaseerd op het three lines of defence-principe:

Eerste lijn: het management. De directeuren en lijnmanagers van de bedrijfseenheden en afdelingen zijn verantwoordelijk voor het identificeren, analyseren, evalueren en managen van de belangrijkste risico’s die de realisatie van de organisatie- en/of afdelingsdoelstellingen kunnen bedreigen. Zij worden daarbij ondersteund door collega’s in de tweede lijn, die risico assessments faciliteren en het management ondersteunen met specialistische kennis op de diverse (risico-)gebieden. Corporate Audit toetst als derde lijn functie periodiek in opdracht van de Raad van Bestuur, het risicomanagementsysteem.

Risicobereidheid

De Raad van Bestuur bepaalt de risicohouding van de organisatie. De ‘risk appetite’ die hieruit voortvloeit wordt uitgedrukt in de risicomatrix, waarmee de beheersing van de (top)risico’s wordt gevolgd. Aan de hand van het gevolg bij optreden en de kans van optreden, vallen de (top)risico’s in een bepaalde klasse (groen, geel, oranje of rood). ProRail streeft naar een situatie waarin geen rode (top)risico’s bestaan.

De risicomatrix wordt minimaal een keer in de drie jaar herijkt. Deze herijking heeft in 2016 plaatsgevonden. Dit heeft geresulteerd in een aanpassing van de kleurverdeling van de matrix. Gevolg is dat in de matrix minder rode vlakken zijn met als gevolg dat risico’s minder snel in de rode categorie vallen. De risicobereidheid van het nieuwe bestuur van ProRail en de organisatie als geheel is daarmee iets toegenomen. Dit betekent overigens niet dat risico’s die voorheen als rood en nu als oranje worden beoordeeld geen aandacht krijgen.

Procesbewaking

Door de wisselingen in de Raad van Bestuur en de Executive Committee heeft risicomanagement minder aandacht gekregen. De risico’s die voor 2016 zijn geïdentificeerd, zijn op sommige afdelingen onvoldoende aantoonbaar beheerst. Het huidige management onderkent het belang van risicomanagement. In de tweede helft van het jaar is een begin gemaakt met herstel. In september heeft het nieuwe bestuur de nieuwe matrix voor de beoordeling van risico’s vastgesteld en zijn (deels nieuwe) toprisico’s vastgesteld. In het najaar zijn nagenoeg alle jaarlijkse ‘risk self assessments’ uitgevoerd. Een beperkt aantal is in januari 2017 uitgevoerd.

Tools en ondersteuning

Tijdens risk self assessments, dat zijn sessies op afdelingen waarin risico’s worden geïdentificeerd en beoordeeld, gebruikt ProRail software en stemkastjes. Alle risico’s en de (aanvullende) beheersmaatregelen die in deze sessies zijn vastgesteld, worden vastgelegd in het ERM1-systeem. De risico-eigenaar beoordeelt vier keer per jaar het beheersniveau van het risico. Zo is op kwartaalbasis vast te stellen hoeveel risico’s zijn geïdentificeerd en kan het risicoprofiel van ProRail visueel worden gemaakt.

  • 1ERM: Enterprise Risk Management

Bevindingen 2016

Het risicomanagementsysteem dat we hanteren, is tot op heden door de afdeling Corporate Audit van ProRail als voldoende beoordeeld. De aanbeveling om het risicomanagementsysteem in de breedte en diepte van de organisatie volledig te implementeren, is opgevolgd. Echter, om de werking van het risicomanagementsysteem en daarmee de beheersing van de risico’s te verbeteren, worden in 2017 verbetermaatregelen doorgevoerd. Deze zijn met name gericht op een strakkere procesbewaking, die mogelijk wordt gemaakt door gebruik van het ERM-systeem. Daarnaast richten we ons op de verdere integratie van risicomanagement in de organisatie. Dit vereist een grotere kennis van risicomanagement van alle betrokkenen. Hiervoor worden maatwerkopleidingen verzorgd voor risico-eigenaren, risicoanalisten en risicomanagers. Daarnaast wordt ingezet op de integrale verbetering van datamanagement en data-analyse om meer feitelijke, kwantitatieve kennis en informatie van risico’s in te kunnen zetten bij de beheersing van risico’s.

Verklaring van de Raad van Bestuur

Op basis van de breed uitgevoerde risk assessments is een volledig en betrouwbaar beeld van de risicobeheersing van ProRail te geven.

De Raad van Bestuur verklaart dat de systemen voor de financiële verslaggeving naar behoren hebben gewerkt en geeft aan dat met een redelijke mate van zekerheid kan worden gesteld dat de financiële verslaggeving geen onjuistheid van materieel belang bevat. Over deze financiële rapportages verklaart het bestuur dat, voor zover bekend,

  • de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en het resultaat van ProRail;

  • het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar; en

  • in het jaarverslag de voornaamste risico’s waarmee ProRail wordt geconfronteerd, zijn beschreven.

Toprisico’s

ProRail heeft op basis van internationale benchmarks, het interne risicomanagementproces en de uitvoering van een zogenaamde ‘horizon scan’ in 2016 de toprisico’s herijkt. Het bestuur van ProRail heeft in 2016 tien toprisico’s geïdentificeerd.

Toelichting toprisico’s

1. Veiligheidsrisico

Omschrijving

Een veilig spoor is een van de belangrijkste bedrijfsdoelen van ProRail. Het is onze ambitie om het aantal vermijdbare ongevallen terug te dringen naar 0. Dit doel en de nieuwe en aangescherpte regelgeving zijn onze drijfveren voor het verbeteren van de inrichting en werking van veiligheidsmanagement binnen ProRail. De nieuwe opzet van ons Veiligheid Management Systeem (VMS) is hiervan een belangrijk resultaat. Onder veiligheid wordt verstaan, de afwezigheid van een onacceptabel risico of gevaar.

Toelichting

Het veiligheidsrisico is vertaald naar elf onderliggende veiligheidsrisico’s. Hiervan is het risico op suïcide het grootst, gevolgd door het risico op een overwegongeval en een arbeidsongeval. Het aantal suïcides in 2016 overschreed de tweehonderd. Ook zijn er twee baanwerkers medewerkers zwaar gewond geraakt. Bij overwegongevallen zijn vier doden en twee zwaar gewonden gevallen. De beheersing van het risico op een treinbotsing en het risico op transferongevallen (letsel bij het in- en uitstappen van een stilstaande trein) ligt eind 2016 lager dan het gewenste beheersingsniveau.

Maatregelen

Om de beheersing van deze risico’s te verbeteren, worden in 2017 aanvullende beheersmaatregelen ingevoerd. Onder meer door de opheffing van onbewaakte overgangen en extra maatregelen ter voorkoming van suïcides (in samenwerking met de NS) trachten wij het risico op dodelijke slachtoffers beter te beheersen. Door een landelijke uitrol van een zogenaamde ’werkzone schakelaar’ wordt de veiligheid van baanwerkers verbeterd.

2. Stakeholders en klanttevredenheid

Omschrijving

ProRail maakt voor toprisico 2 onderscheid tussen klanten (goederen- en reizigersvervoerders) en stakeholders (centrale en decentrale overheid en toezichthouders). Het vertrouwen van klanten en stakeholders is een noodzakelijke voorwaarde voor de continuïteit van de organisatie. ProRail staat in dienst van reizigers- en goederenvervoerders. De tevredenheid van onze klanten is afhankelijk van de wijze waarop wij verwachtingen waar maken.

Toelichting

Om verdere verhoging van de tevredenheid van klanten en stakeholders te operationaliseren, zijn doelstellingen geformuleerd en maatstaven ontwikkeld. In kalenderjaar 2016 is vastgesteld dat verwachtingen van vervoerders meer dan in 2015, maar toch nog in onvoldoende mate zijn waargemaakt. Daarom zijn aanvullende maatregelen ingevoerd. Deze liggen met name op het vlak van de ’interne accountability‘ voor afspraken die met vervoerders worden gemaakt. Het gebrek aan integraliteit voor de beheersing van dit risico is een belangrijke oorzaak voor het gebrek aan progressie.

Maatregelen

Om verwachtingen te kunnen waarmaken, wordt in 2017 ingezet op het stroomlijnen van interne processen en het verbeteren van de communicatie met klanten en stakeholders. De aanzet voor deze verbeteringen is in 2016 al gegeven. Met het ministerie van Infrastructuur en Milieu en de Inspectie voor Leefomgeving en Transport, twee van onze belangrijke stakeholders, is afgestemd over de prioritering van voorziene wijzigingen ten gevolge van wijzigingen in wet- en regelgeving. ProRail zet samen met stakeholders in op transparantie en heldere communicatie op de gebieden die voor alle partijen van belang zijn.

3. Compliance

Omschrijving

Het compliance-risico betreft het niet naleven van wet- en regelgeving en interne regels, waaronder de gedragscode. De omgeving waarin ProRail opereert maakt dat aanbestedingswet- en regelgeving nadrukkelijk de aandacht krijgt. Interne regels dragen bij aan de betrouwbaarheid van de dienstverlening van ProRail. De gedragscode, waarin de normen en waarden van de organisatie zijn verankerd, is in 2016 herzien.

Toelichting

Meldingen van een vermoede misstand en/of compliance-incidenten worden geregistreerd. Onder een vermoede misstand verstaan we alle activiteiten van ProRail of van een medewerker waarbij het vermoeden bestaat dat daarbij wet- en regelgeving geschonden is of dreigt te worden geschonden. In 2016 zijn er elf meldingen van een vermoede misstand gedaan. Deze meldingen hadden betrekking op integriteit en compliance. Er zijn vijftien compliance-incidenten geregistreerd. Een compliance-incident is een vastgestelde overtreding van wet- en regelgeving, bijvoorbeeld diefstal. Van de vijftien incidenten hebben er negen geen financiële impact en drie een beperkte impact. De overige drie zijn nog in onderzoek.

Maatregelen

In 2015 is een zelfstandige compliance functie ingeregeld. Onder leiding van de compliance officer wordt de beheersing van het compliance risico gecoördineerd. De verantwoordelijkheid voor de beheersing van dit risico ligt in de eerste plaats bij het management in de eerste lijn. Ter ondersteuning van het management worden met enige regelmaat integriteit-workshops georganiseerd. Op basis van input uit het risicomanagementsysteem wordt de ondersteuning aan de lijn over de naleving van interne regels en procedures, risk based geprioriteerd. Daarnaast is een nieuwe gedragscode vastgesteld, een strategisch compliance plan opgesteld en deels geïmplementeerd waarbij de focus ligt op gedrag van de medewerkers en de rechtmatigheid van bestedingen.

4. Strategische programma’s en projecten

Omschrijving

Om te realiseren dat vervoer over het spoor ook op de middellange en lange termijn een volwaardig alternatief voor vervoer over weg of water blijft, zijn strategische projecten en programma’s geïdentificeerd gericht op verbetering van de veiligheid (ERTMS, LVO, STS), de capaciteit op het spoor (Beter en Meer, Programma Hoogfrequent Spoorvervoer), de betrouwbaarheid van de dienstregeling (programma Winterweer en Derde Spoor Duitsland) en programma’s gericht op de toegankelijkheid voor reizigers (Programma Toegankelijkheid en Fietsparkeren). Het betreft programma’s met een substantieel budget, die deels in nauwe samenwerking met stakeholders tot stand komen.

Toelichting

De bovengenoemde programma’s zijn deels onderling afhankelijk. Dit maakt dat risico’s bij het ene programma ook van invloed kunnen zijn bij andere programma’s. Dit treft vooral de programma’s ERTMS, Beter en Meer en het programma Hoogfrequent Spoorvervoer. Het beheersingsniveau van de gehele programmaportefeuille wordt als voldoende beoordeeld.

Maatregelen

Technologische- en conjuncturele ontwikkelingen kunnen van invloed zijn op lopende strategische projecten en programma’s. In 2016 is gestart met een evaluatie van het totale pakket aan programma’s. De uitkomst van deze evaluatie wordt in de eerste helft van 2017 verwacht.

5. Rapportagerisico

Omschrijving

Ten behoeve van de interne sturing en het afleggen van verantwoording aan stakeholders produceert ProRail een groot aantal rapportages. Dit toprisico heeft betrekking op het jaarverslag, de maand-/kwartaalrapportages en de subsidieverantwoording voor o.a. MIRT-projecten en Beheer, Onderhoud en Vervanging (BOV).

Toelichting

Rapportages en verslagen dienen tijdig, volledig en juist te worden opgesteld ten behoeve van sturing en verantwoording. Aangescherpte naleving van wet- en regelgeving, herontwerp van interne processen en een grote mate van IT-afhankelijkheid maken dat de beheersing van dit risico over de afgelopen jaren is verbeterd. Omdat de beheersing van dit risico volledig intern te controleren is, is de risicobereidheid ten opzichte van dit risico laag. Dat wil zeggen dat gestreefd wordt naar betrouwbare rapportages.

Maatregelen

In 2015 is een verbeterprogramma ‘veranderplan financiële beheersing’ ingezet dat in 2017 wordt afgerond. De financiële administratie is verbeterd en in 2018 wordt gestart met de invoering van een nieuw ERP-systeem1.

  • 1ERP: Enterprise Resource Planning

6. Gekwalificeerd personeel

Omschrijving

Voor het leveren van de afgesproken prestaties is ProRail afhankelijk van de kwaliteit van zijn medewerkers. Alle andere toprisico’s zijn in meer of mindere mate voor de beheersing afhankelijk van de beheersing van dit toprisico.

Toelichting

Vergrijzing, ontwikkelingen op de arbeidsmarkt, verandering van het takenpakket en technologische vernieuwingen maken dat dit risico permanente monitoring vereist. De nieuwe wet- en regelgeving voor de inzet van tijdelijke krachten maakt de beheersing van dit risico extra uitdagend. In de jaarlijkse ‘risk self assessments’ die worden uitgevoerd op alle afdelingen van ProRail worden eventuele personele knelpunten in kaart gebracht.

Maatregelen

In 2017 wordt een strategisch personeelsplan opgesteld. De duurzame inzet van onze medewerkers heeft in 2016 extra aandacht gekregen. Dit om voortijdige, ongewenste uitval te voorkomen. Kort ziekteverzuim kan leiden tot langdurig ziekteverzuim. Daarom wordt in een zo vroeg mogelijk stadium in kaart gebracht welke mogelijke oorzaken aan verzuim ten grondslag liggen en hoe hier (proactief) mee om te gaan.

7. Financiële planning

Omschrijving

Toprisico 7 is in 2016 aangepast. De focus ligt meer op de risico’s verbonden met de financiële planning op de korte, middellange en lange termijn in plaats van het potentiële gebrek aan financiering.

Toelichting

Het beheren van het spoor vergt naast grote investeringen ook structurele beschikbaarheid van kapitaal voor spooronderhoud. Hiervoor is een betrouwbare planning van alle activiteiten (aanleg en onderhoud) noodzakelijk. Om de structurele beschikbaarheid te kunnen borgen, wordt het benodigde kapitaal voor onderhoud voor de korte (twee jaar) en middellange termijn (tien jaar)geïnventariseerd. Voor de financiële planning voor onderhoud en vervanging hanteert ProRail een ‘risk appetite’ (bandbreedte) van - 2% tot + 10% hetgeen flexibiliteit geeft aan de werkelijke uitvoering van activiteiten. De risicobereidheid ten aanzien van afwijkingen van de planning is minder tolerant dan voorheen.

Maatregelen

In 2016 zijn audits uitgevoerd op twee belangrijke projecten (PHS en Spoorzone Delft). Deze audits hebben geleid tot o.m. een verhoging van het projectbudget, een additionele risicoreservering en sturing op lagere kosten. In 2016 is geconstateerd dat de risico’s die de financiële planning bedreigen, nog niet voldoende inzichtelijk zijn gemaakt met behulp van het risicomanagementsysteem. Dit betekent dat verschillende acties ten behoeve van een verbetering van het financiële planningsproces worden gecontinueerd in 2017.

8. Operationeel risico

Omschrijving

Dit risico betreft de betrouwbaarheid en punctualiteit van de dienstregeling. ProRail beoordeelt de beheersing van dit risico op basis van ‘hinderklasse 1 (zeer veel hinder) en hinderklasse 2 (veel hinder) verstoringen’ Ook de betrouwbaarheid van de HSL (de hogesnelheidslijn) is onderdeel van dit risico.

Toelichting

De beheersing van dit risico is afhankelijk van externe en interne factoren. De betrouwbaarheid van de vervoerders van de spoorinfrastructuur is een belangrijke externe risicofactor voor de robuustheid van de dienstregeling. Maar ook derden, zoals mensen die zich ongeoorloofd langs het spoor ophouden, planten en dieren die zich op enig moment op het spoor bevinden, kunnen leiden tot verstoringen. De onderliggende risico’s zijn onderverdeeld in verstoringen ten gevolge van een falende (ICT)infrastructuur, stroomstoringen of falen van bijsturingsacties. Het huidige niveau van beheersing van de infrastructuur op het hoofdrailnet ligt in lijn met de overeengekomen doelstellingen en vormt geen direct risico met uitzondering van de punctualiteitsdoelstelling.

Maatregelen

Om de beheersing van dit risico te verbeteren, wordt na ieder incident in hinderklasse 1 een onderzoek gedaan naar achterliggende oorzaken en patronen. Voor het verbeteren van de performance op de HSL is een team van specialisten ingezet. Daarnaast wordt steeds meer gebruik gemaakt van data-analyse om de ’fit for use‘ van de infrastructuur structureel te verbeteren. De coördinatie voor het oplossen van verstoringen wordt met ingang van maart 2017 centraal aangestuurd onder verantwoordelijkheid van ProRail.

9. Projectbeheersing

Omschrijving

Uitloop van projecten leidt tot hinder voor vervoerders en reizigers. Wanneer dat gebeurt en/of budgetten worden overschreden, leidt dit tot schade in de relatie met belangrijke stakeholders

Toelichting

De projectenportefeuille van ProRail bestaat naast ICT-projecten uit infrastructurele projecten. De infrastructurele projecten zijn onderverdeeld in (groot-) onderhouds- of vervangingsprojecten, de aanleg van nieuwe infrastructuur of de bouw van nieuwe stations. De wijze van risicobeheersing op budgetoverschrijdingen, scopeverschuivingen en/of de planning van een project kan per project verschillen. In 2016 zijn bij een aantal projecten gebreken in de projectbeheersing geconstateerd ondanks de toepassing van standaardmethodieken, zoals Prince II voor ICT-projecten en het ’kernproces’ bij bouwprojecten. Deze gebreken zijn onder meer geconstateerd bij de projecten Delft en Programma Hoogfrequent Spoorvervoer.

Maatregelen

In 2016 zijn extra managers projectbeheersing ingezet. In 2016 is een audit uitgevoerd op het separaat georganiseerde projectrisicomanagement (het risicomanagement dat wordt uitgevoerd bij projecten). Uit de audit is gebleken dat het actuele beheersniveau nog niet op het gewenste niveau is. Daarom wordt in 2017 ingezet op het gebruik van een ‘rolling forecast’, een betere capaciteitsbewaking waarbij productie en benodigde capaciteit beter met elkaar in lijn worden gebracht.

10. Leveranciersrisico

Omschrijving

ProRail besteedt het onderhoud en aanleg van het spoor uit aan ingenieursbureaus en aannemers en is hiermee afhankelijk van deze partijen. Daarnaast wordt ProRail voor de uitvoering van zijn taken steeds meer afhankelijk van ICT en daarmee van ICT-leveranciers.

Toelichting

Het leveranciersrisico is in 2016 na een evaluatie toegevoegd aan de toprisico’s van ProRail. Dat dit een belangrijk risico is, bleek uit internationale benchmarks en interne risico-identificatiebijeenkomsten. Veel van de kernactiviteiten van ProRail worden of zijn uitbesteed. De risicobeheersing van de leveranciers bepaalt daarmee steeds meer het risicoprofiel van ProRail. De beschikbaarheid van leveranciers die voldoen aan de standaarden van ProRail is niet vanzelfsprekend. Het risico bestaat dat bestaande leveranciers op enig moment niet meer aan onze verwachtingen voldoen. De inschakeling van nieuwe leveranciers brengt onzekerheid met zich mee.

Maatregelen

Om de afhankelijkheid van leveranciers en hieraan gerelateerde risico’s op een aanvaardbaar niveau te brengen, maakt ProRail gebruik van een erkenningsregeling1 voor de borging van de veiligheid op en rond het spoor. Daarnaast werken we met ratio’s om de solvabiliteit van onze leveranciers te bepalen met het oog op continuïteit. Voor dit risico is nog geen actueel beheersingsniveau bepaald, net zo min als een gewenst niveau van risicobeheersing. De visie op het leveranciersrisico (de risicobereidheid, de risico-tolerantie en de wijze van structurele beheersing) worden in 2017 verder ontwikkeld.

  • 1Regels waaraan een bedrijf moet voldoen, voordat het mag meedoen aan een aanbesteding. Bij de erkenningsregeling kijken we onder meer naar de financiële en economische draagkracht van het bedrijf. Maar ook naar vakmanschap, bedrijfsvoering en maatschappelijk bewustzijn.