Risicomanagement

Het risicomanagementsysteem van ProRail is gebaseerd op de in 2004 ontwikkelde wereldwijde standaard voor risicomanagement; het COSO-ERM-model (Enterprise Risk Management). De verantwoordelijkheid voor het managen van de risico’s is belegd bij de risico-eigenaar. Dit houdt in dat de uiteindelijke verantwoordelijkheid voor de resultaten en de beheersing van de risico’s bij de president-directeur ligt. De president-directeur delegeert de verantwoordelijkheid voor deeldoelstellingen naar het management. Daarmee wordt ook de verantwoordelijkheid voor de beheersing van de risico’s op een lager niveau belegd. In 2015 is ISO 31.000 als richtlijn voor het risicomanagement geïntroduceerd. Eind 2015 zijn twaalf medewerkers ISO 31.000 gecertificeerd.

Voor het managen van veiligheid, milieu en bouwprojecten worden respectievelijk het veiligheidsmanagementsysteem, het milieumanagementsysteem en het RISMAN gebruikt. Deze systemen vormen integraal onderdeel van het ERM. Een integrale risicorapportage op kwartaalbasis vormt de basis voor de monitoring van het risicomanagementsysteem en de beheersing van de toprisico’s door de directie.

Verantwoordelijkheid

Onder verantwoordelijkheid van de directie is het integraal risicomanagement tot stand gekomen en heeft ProRail een negental toprisico’s gedefinieerd. In 2015 is gestart met de vorming van de nieuwe topstructuur waarna een actualisering van de gedefinieerde risico’s zal plaatsvinden. Als gevolg van deze herijking heeft ProRail de keuze gemaakt om de door RJ 400 (sinds 1 januari 2015 van kracht) voorgeschreven uitbreiding van de beschrijving van de voornaamste risico’s en onzekerheden en de duiding van de risicobereidheid c.q. eventuele impact op de resultaten en/of financiële positie, tot de hoofdlijn te beperken. Na afronding van de herijking in 2016 zal in het directieverslag 2016 een meer expliciete uiteenzetting van de toprisico’s worden opgenomen.

De negen toprisico’s kennen hun weerslag in de vier categorieën, om de ondernemingsdoelstellingen te kunnen realiseren, namelijk de strategische-, operationele-, rapportage-, en compliance risico’s. Deze worden hierna nader toegelicht.

ProRail hanteert het three lines of defence-principe:

  • Eerste lijn: het management. De managers van de bedrijfsonderdelen zijn verantwoordelijk voor het opsporen, evalueren en managen van alle risico’s binnen hun bedrijfsprocessen.

  • Tweede lijn: ProRail Risicomanagement onder verantwoordelijkheid van de directeur Financiën. De tweede lijn is verantwoordelijk voor de formulering van beleid, bewaking van het risicomanagementproces, ondersteuning van de bedrijfseenheden en de rapportage aan diverse stakeholders. Voor veiligheidsrisico’s en milieurisico’s is een separate tweede lijn ingericht.

  • Derde lijn: ProRail Corporate Audit. De afdeling Corporate Audit toetst de opzet en de werking van het risicomanagement van ProRail. Deze toets is in 2014 uitgevoerd op het beheersingsproces van de toprisico’s.

Risicomanagementproces

Jaarlijks voeren afdelingen van ProRail een risk-self-assessment uit om risico’s te identificeren en te beoordelen. Daarna wordt een adequate respons geformuleerd, eventueel in combinatie met aanvullende (beheers)maatregelen. Op kwartaalbasis wordt de ontwikkeling van de risico’s gemonitord en wordt eventueel bijgestuurd. De uitkomsten van bovenstaande activiteiten worden vastgelegd in een online risicomanagementsysteem zodat per kwartaal een beeld van de kwaliteit van de beheersing van de risico’s kan worden gegeven. Aan het eind van het jaar wordt een managementverklaring risicomanagement (MVRM) door alle deelnemende managers afgegeven waarin wordt verklaard of en in welke mate de managers aan de verantwoordelijkheid voor de beheersingsactiviteiten van de risico’s hebben voldaan, inclusief een toelichting daarop.

2015 bekeken

Vanwege de bestuurswisselingen in 2015 en de wijzigingen in de topstructuur moest in 2015 pas op de plaats worden gemaakt bij de uitvoering van de in 2014 uitgesproken ambities rond de verdere verbetering van het risicomanagement. Ook de reorganisatie in de financiële kolom gaf aanleiding tot het verleggen van de prioriteit naar bestendiging van het risicomanagementproces in de nieuw gevormde bedrijfsonderdelen en naar het opleiden van risicomanagementfunctionarissen.

Over 2015 hebben managers en directieleden naast het MVRM een intern in control statement afgegeven. De hieruit resulterende verbeterpunten worden omgezet in concrete actieplannen, zodat we de risico’s en de bijbehorende beheersmaatregelen nog beter af kunnen stemmen op onze ondernemingsdoelstellingen en de geldende beheerconcessie met het ministerie van Infrastructuur en Milieu.

Hieronder gaan wij in op de vier categorieën die worden onderscheiden om de ondernemingsdoelstellingen van ProRail te kunnen realiseren.

Strategische risico’s

De continuïteit van ProRail is in hoge mate afhankelijk van het vertrouwen dat ProRail geniet van belangrijke stakeholders. Een goede samenwerking met (de)centrale overheden en vervoerders beschouwen wij, naast de beschikking over voldoende financiële ruimte, als een noodzakelijke voorwaarde om onze verantwoordelijkheden goed uit te kunnen voeren. De streefwaarde voor de klanttevredenheid onder vervoerders (6,7) en de gehaalde prestaties op dit punt (6,1) laten zien dat op dit punt voldoende beheersing tot stand is gebracht. Het zwaartepunt van de verantwoordelijkheid voor de strategische doelstellingen is met ingang van de nieuwe concessie in de richting van het ministerie van Infrastructuur en Milieu verschoven. Daarmee wordt de beheersing van de strategische risico’s ook meer een gedeelde verantwoordelijkheid. Het vertrouwen van de overheid in onze organisatie wordt daarom als randvoorwaarde beschouwd en als zodanig dagelijks gemonitord.

Operationele risico’s

Risico’s op (grote) verstoringen, de risico’s verbonden aan grote projecten en het risico van veiligheidsincidenten vormen samen de belangrijkste operationele risico’s. De beheersing van het risico op grote verstoringen van de dienstregeling is in 2015 licht verbeterd. De prestaties op het spoor kunnen zich bewegen tussen bodem- en streefwaarden. Dit geldt voor de punctualiteit op het spoor en de geleverde treinpaden. Gezien de beperkte bandbreedte is de ruimte voor het nemen van risico’s beperkt. Dit verklaart de hoge interne regeldruk en soms trage besluitvorming. Echter gezien de inherente veiligheidsrisico’s die vervoer over het spoor met zich meebrengt en de lange termijn waarop effecten van besluitvorming in het verleden worden gevoeld, rechtvaardigt een zeer zorgvuldige afweging van baten, kosten en risico’s. Voor de beheersing van de risico’s verbonden aan de veiligheid is een structurele aanpak nodig; deze zal in 2016 van start gaan.

Rapportagerisico’s

In 2015 zijn verbeteracties afgerond om de levering van tijdige, volledige en juiste informatie binnen ProRail en richting stakeholders te verbeteren. In een technische omgeving waarin de dynamiek wordt bepaald door de zorg voor de tijdige oplevering van projecten en een betrouwbare dienstregeling, blijft het nodig het belang van tijdigheid, juistheid, kwaliteit en informatiebetrouwbaarheid voortdurend onder de aandacht te brengen. Betrouwbaarheid van rapportages is een operationele kwestie. 100% betrouwbaarheid van onze rapportages moet daarom worden nagestreefd. Voor de beheersing van rapportage- en financiële risico’s is een verbeteraanpak financiële beheersing opgezet, waarin aandacht is voor financiële projectbeheersing, administratieve organisatie en interne beheersing, en de aantoonbare rechtmatigheid van subsidiebestedingen.

Compliance-risico’s

Deze risico’s betreffen de integriteit van ProRail en de naleving van wet- en regelgeving. Compliance-risico’s kunnen leiden tot reputatieschade, juridische schade, sancties en financiële schade. ProRail is een publieke organisatie die voor 100% in eigendom is van de Nederlandse Staat. Onze maatschappelijke positie gecombineerd met het feit dat ProRail als monopolist opereert, vereist dat wij naleving van wet- en regelgeving van onszelf verwachten en eisen. Wettelijke kaders zijn daarom harde kaders. Tegelijkertijd worden we soms geconfronteerd met tegenstrijdigheden in belangen en wet- en regelgeving. Bijvoorbeeld wanneer blijkt dat strikte naleving van milieuwetgeving op het gebied van trillingen het stilleggen van het treinverkeer zou vergen. In een dergelijke situatie kan een tijdelijke gedoogsituatie noodzakelijk zijn. In 2015 is door de rvc een tijdelijke Commissie Compliance en Integriteit ingesteld om het toezicht op het gebied van compliance en integriteit te versterken. De Commissie leidt de uitvoering van de onderzoeken die door de rvc zelf worden uitgevoerd, monitort de afwikkeling van de meldingen van een vermoede misstand en ziet toe op de ontwikkeling van de organisatiecultuur op het gebied van compliance en integriteit. Daarnaast is een compliance officer aangesteld waar de verantwoordelijkheid voor de tweedelijnsbeheersing van dit risico is belegd. Aanleiding voor de versterkte dijkbewaking vormen incidenten rond schending van wet- en regelgeving bij aanbestedingen en de toename van de externe regeldruk in het algemeen.

Klokkenluidersmeldingen

In 2015 zijn tien vermoedens van misstanden gemeld. Naar aanleiding van één melding is een diepgaand onderzoek ingesteld en in 2015 afgerond. Van een beperkt aantal medewerkers is komen vast te staan dat zij hun bevoegdheden te buiten zijn gegaan en in strijd met geldende voorschriften hebben gehandeld. Er zijn passende stappen gezet en de directie heeft naar aanleiding van bovengenoemd onderzoek extra beheersmaatregelen getroffen. Wij zijn van mening dat de onderhavige meldingen op basis van de huidige inzichten niet leiden tot materiële effecten voor de jaarrekening.

In control statement

ProRail heeft vastgesteld dat een aantal interne beheersingsmaatregelen niet volledig het gewenste en ingeschatte effect heeft gesorteerd. In navolging daarop hebben wij aanvullend gegevensgerichte werkzaamheden uitgevoerd op basis waarvan wij concluderen dat de niet volledig functionerende beheersmaatregelen voor zover wij weten geen materieel effect hebben op de in het jaarverslag en de jaarrekening gepresenteerde gegevens.

Een systeem van risicomanagement kan nooit absolute zekerheid geven. Onvoorziene gebeurtenissen, bewuste of onbewuste menselijke fouten of vergissingen kunnen aanzienlijke gevolgen hebben. Hiermee rekening houdend kunnen we met een redelijke mate van zekerheid verklaren dat de financiële rapportages voor zover wij weten geen materiële onjuistheden bevatten. Met betrekking tot deze financiële rapportages verklaart de directie dat, voor zover bekend,

  • de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en de winst van ProRail;

  • het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar;

  • in het jaarverslag de voornaamste risico’s waarmee ProRail wordt geconfronteerd, zijn beschreven.