De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

Risicomanagement

Besturing en beheersing

Risicomanagement draait om het overzicht van en het sturen op risico’s. Hierbij hoort het in kaart brengen van risico’s met kans en effect, en maatregelen om de kans te beheersen of het effect te verkleinen. Iedereen is in zijn of haar dagelijks werk -bewust of onbewust- bezig met risicomanagement, want onze werkzaamheden zijn gericht op het bereiken van bepaalde doelen, groot of klein. Vrijwel altijd zijn er onzekere factoren die ertoe kunnen leiden dat ProRails doelen niet of niet volledig bereikt worden. Hoe eerder eventuele risico’s worden geïdentificeerd, des te meer mogelijkheden er zijn om belangen, strategieën en risico’s tegen elkaar af te wegen. Risicomanagement draagt bij aan het behalen van de doelstellingen van ProRail en vormt een onmisbaar onderdeel van het bestuur van de organisatie. 

De raad van bestuur is eindverantwoordelijk voor het risicomanagement van de organisatie. Voor de inrichting van de beheersing hanteert ProRail het ‘Three Lines'-model. De uitvoering van het risicomanagementproces is gedelegeerd aan het management van de bedrijfsonderdelen vanuit de eerste lijn. De afdeling Integriteit, Risicomanagement en Compliance (IRC) ondersteunt het risicomanagement bij ProRail vanuit de tweede lijn en draagt zorg voor beleid, monitoring en procesondersteuning. Corporate Audit fungeert als de derde lijn en toetst periodiek het risicomanagementsysteem. 

Risicomanagementsysteem

Omdat het systeem van toprisico’s niet doelstellings- en kpi-gericht was en evenmin alle bedrijfsgebieden van ProRail dekte, hebben wij afgelopen jaar een nieuw risicomanagementsysteem geïmplementeerd. Op COSO/ERM[1] gerelateerde risicogebieden zijn dashboards ontwikkeld samen met de daartoe geïdentificeerde risico-eigenaren. Beginpunt van het nieuwe proces is om altijd expliciet te starten vanuit de doelstellingen van ProRail. In het derde kwartaal zijn de daaruit voortvloeiende hoogst scorende risico’s integraal besproken in de voltallige ExCo, met tevens aandacht voor de vraag of we hiermee ook inderdaad de belangrijkste risico’s in beeld hebben. De bespreking in de ExCo heeft geleid tot verdere aanscherping van zowel risico-omschrijving, risicoclassificatie als benodigde mitigerende acties.

Van de opgenomen risico’s wordt de opvolging op mitigerende acties elk kwartaal beoordeeld en bewaakt door risico-eigenaren, afdeling IRC en RvB. Ook kunnen er tussentijds andere risico’s worden geïdentificeerd en gerapporteerd. De planning is dat voortaan ieder jaar in de ExCo een integrale herijking op ProRail-niveau plaats vindt.

De risico-eigenaren zijn verantwoordelijk voor de beheersing van risico’s. De raad van bestuur is eindverantwoordelijk voor het oordeel over deze beheersing en voor de uiteindelijke beslissingen daaromtrent. Mede daardoor is volledige openheid over risico’s en risicobepalende factoren essentieel, omdat de organisatie anders niet goed stuurbaar is. De afdeling IRC is verantwoordelijk voor het kader en de normen, de uiteindelijke inhoud van de rapportage, het proces rondom het risicomanagement en maakt mede op basis van meldingen en andere (externe) informatie de definitieve analyse. Ook bepaalt de raad van bestuur de risicohouding van de organisatie met de risicomatrix van ProRail. In deze matrix worden risico’s op de volgende impactcategorieën beoordeeld: fysieke veiligheid, impactvolle storingen op de infra, compliance, duurzaamheid, financiële schade/kosten en reputatie. Voor de impactcategorieën zijn toleranties gedefinieerd. In de risicomatrix wordt met een kleurverdeling de grootte (kans x impact) van een risico aangegeven. Hoe hoger het risico, des te belangrijker dat er risico-reducerende maatregelen worden getroffen. We onderkennen groen (laag), geel (middel), oranje (hoog) en rood (zeer hoog). De status en ontwikkeling van een risico wordt door middel van plotten op de risicomatrix inzichtelijk gemaakt. De risicomatrix wordt regelmatig herijkt.

Verklaring van raad van bestuur

De raad van bestuur verklaart dat de systemen voor de financiële verslaggeving naar behoren hebben gewerkt en geeft aan dat met een redelijke mate van zekerheid kan worden gesteld dat de financiële verslaggeving geen onjuistheid van materieel belang bevat. Het bestuur verklaart dat, voor zover bekend, de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en het resultaat van ProRail; het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar; en in het jaarverslag de voornaamste risico’s waarmee ProRail wordt geconfronteerd, zijn beschreven.

Risicogebieden ProRail

Binnen ProRail worden 16 risicogebieden onderscheiden die relevant zijn voor het behalen van de doelen en prestaties van ProRail. In de onderstaande heatmap worden de belangrijkste netto/rest risico’s per risicogebied geplot op de huidige situatie en ten opzichte van de situatie in het laatste kwartaal van 2020.

Deze risico’s en de genomen mitigerende maatregelen worden hieronder toegelicht.

Belangrijkste risicogebieden voor ProRail

Van de 16 risicogebieden lichten we er 6 uit, omdat die de belangrijkste risico’s bevatten die de realisatie van de doelstellingen kunnen bedreigen.

6. Infrastructuur

Het belangrijkste risico in dit risicogebied is dat de spoorinfrastructuur niet beschikbaar of onveilig is doordat de beheersing onvoldoende op orde is en/of gedocumenteerd is, waardoor veilige berijdbaarheid niet kan worden aangetoond en gegarandeerd.

Toelichting beheersing

Om een veilige berijdbaarheid aan te kunnen tonen zijn o.a. Prestatie Gerichte Onderhoudscontracten (PGO) opgezet. Onderdeel van deze contracten zijn het uitvoeren van inspecties en het doorvoeren van de Failure Modes Effects & Critical Analysis (FMECA) methodiek. Er zijn voor veilige berijdbaarheid beheersmaatregelen van toepassing en mitigerende maatregelen getroffen. Deze beheersmaatregelen en ook de aantoonbaarheid daarvan kunnen verder worden ontwikkeld.

7. Continuïteit van de treindienst

In dit risicogebied is het belangrijkste risico dat van uitval van treinen door problemen met de inzetbaarheid van treinverkeersleiders, vanwege structureel tekort aan treindienstleiders en decentrale verkeersleiders, een onverwacht hoog ziekteverzuim, en het feit dat personeel op verkeersleidingsposten lange tijd zo intensief heeft gewerkt dat de grenzen van flexibiliteit en extra inzet zijn bereikt.

Toelichting beheersing

Verkeersleiding heeft een crisisorganisatie ingericht. Van hieruit wordt dagelijks 48 uur vooruitgekeken of de treindienst als gevolg van inzetbaarheid-problemen in gevaar komt. Waar mogelijk worden werkplekken samengevoegd, waardoor minder treindienstleiders nodig zijn. Daarbij worden ook werkplekken vanuit andere verkeersleidingsposten op afstand bediend. De interne opleidingen duren gemiddeld 8 maanden en zijn volledig bezet. Het gemiddelde slagingspercentage is momenteel 70%. Beleid om medewerkers langer te behouden is in de maak.

8. Betrouwbaarheid IT & OT-systemen

Het belangrijkste risico in dit risicogebied is dat IT en OT-systemen niet beschikbaar en/of betrouwbaar zijn, bijvoorbeeld doordat cybersecurity-eisen onvoldoende zijn geïmplementeerd waardoor treinen kunnen uitvallen.

Toelichting beheersing

Er wordt bij ProRail veel geïnvesteerd in adequate informatievoorziening (Information Technology = IT) en industriële automatisering (Operational Technology = OT). Zo is “security by design” verder geïmplementeerd. Er zijn duidelijke security richtlijnen opgesteld voor applicatieontwikkeling waarop wordt getoetst.

9. Projectbeheersing

Het belangrijkste risico in dit risicogebied is dat de werving en opleiding van nieuwe en nog te starten medewerkers in 2022 relatief veel tijd kosten, waardoor nieuwe projecten te laat starten en/of vertraging oplopen en de kwaliteit en de continuïteit van projecten te wensen over laten.

Toelichting beheersing

Om de gevolgen van het bovenstaande risico te mitigeren, zorgt ProRail voor ‘quick wins’ om de productiegroei aan te kunnen met minder capaciteit. Vorig jaar zijn er stappen gemaakt om de snelheid van besluitvorming rondom interne resources te verbeteren. Aangezien de Masterplanning 2022-2025 gereed is, bestaat er goed overzicht op de werkzaamheden en de kritische resources in het komend jaar. Daarbij is er toenemende aandacht voor het faseren en beter prioriteren van werk. De langetermijnontwikkelagenda en het realiseren van het spoorsysteem van de toekomst worden integraal op elkaar afgestemd, zodat resources worden ingezet op wat echt nodig is. Ook wordt de planningstafel, mede dankzij een pipelinemanagement tool, eerder betrokken om de behoeften voor de toekomst sneller in beeld te hebben.

10. Capaciteitsmanagement

Het belangrijkste risico op dit gebied is dat er gedurende de door Deutsche Bahn Netz geplande 80-weekse enkelsporige buitendienststelling op het baanvak Emmerich-Oberhausen onvoldoende capaciteit is om al het grensoverschrijdend (goederen)verkeer af te wikkelen via de omleidroutes, omdat er tegelijk spoorinfra-werkzaamheden op die routes moeten plaatsvinden.

Toelichting beheersing

De mobiliteitsbehoefte in Nederland neemt de komende jaren aanzienlijk toe. ProRail voert diverse activiteiten uit om aan de toenemende capaciteitsvraag te voldoen. Om de risico’s gedurende de 80-weekse enkelsporig buitendienststelling te beheersen, probeert ProRail sluitende afspraken te maken met ondersteuning van het ministerie van Infrastructuur en Waterstaat, de sector en overige overheden.

16. Compliance & Integriteit

Het belangrijkste risico in dit risicogebied is het niet voldoen aan wet- en regelgeving op het gebied van natuur en milieu, ten gevolge van achterstanden en onvoldoende regie over milieu-compliance, waardoor boetes en andere sancties kunnen worden opgelegd.

Toelichting beheersing

Om dit risico te beheersen zijn diverse maatregelen getroffen, zoals het lopende programma ‘Infra op orde Rotterdamse havenemplacementen’, met als doel om onderhoudsachterstanden weg te werken, infra op orde te brengen en te voldoen aan de vergunningseisen. Ook is begonnen met het project Ketenversterking Milieu & Natuur, met als doel om proactief en volledig in regie te zijn omtrent milieu-compliance.

Overige risicogebieden

Naast de bovengenoemde 6 risicogebieden zijn er nog 10, die samen een integraal beeld geven van de belangrijkste risico’s binnen ProRail. De 16 risicogebieden omvatten de belangrijkste doelstellingen van ProRail en alle bedrijfsprocessen. Hieronder worden de overige risicogebieden kort samengevat.

1. Cultuur & organisatie

Het belangrijkste risico op dit gebied is onduidelijkheid voor medewerkers welke doelstellingen belangrijk zijn, welk resultaat wordt beoogd en daarmee welke werkzaamheden en verantwoordelijkheden worden gevraagd, waardoor prestaties onvoldoende zijn, tijdslijnen niet worden gehaald en niet effectief wordt samengewerkt. Om dit risico te mitigeren wordt onder meer door de RvB en de ExCo gestuurd op de gewenste organisatiekoers, zoals het ontwikkelen van een taakgerichte organisatie en meer samenwerking tussen de bedrijfseenheden.

2. Klanttevredenheid

Het belangrijkste risico is dat afspraken van de organisatie met de stakeholders niet worden nagekomen, omdat er niet effectief op gestuurd wordt, wat kan leiden tot het beeld van een onbetrouwbare partner. Om dit risico te beheersen wordt onder meer jaarlijks een tevredenheidsonderzoek onder reizigers- en goederenvervoerders, havens en verladers, overheden en reizigers gehouden.

3. Duurzaamheid

Het belangrijkste risico is dat we onze doelstelling voor duurzame opwekking van energie niet halen door een mogelijk tekort aan financiële middelen en capaciteit. Mogelijk gevolg hiervan is dat onze reputatie en geloofwaardigheid in relatie tot de rijksoverheid in gevaar komt. Om onze duurzaamheidsdoelstelling te halen, wordt door het verantwoordelijk programmateam een businesscase voor de uitvoeringsfase opgesteld wat in 2022 in werking zal treden.

4. Innovatie

Het belangrijkste risico in dit risicogebied is dat innovatieve projecten en technische systeemsprongen worden stopgezet of vertraagd vanwege een tekort aan financiële of personele middelen, wat leidt tot verouderde techniek waarvan kennis en/of onderdelen niet meer beschikbaar zijn en de infra niet meer te onderhouden is. Om het risico van vertraging of stopzetting van innovatieve projecten en systeemsprongen te voorkomen, worden grote innovaties gekoppeld aan de ontwikkelagenda.

5. Communicatie & Externe betrekkingen

Het belangrijkste risico op dit gebied is discontinuïteit in relaties met regionale en landelijke overheden en ander stakeholders door personele wisselingen, personeelsgebrek en werkdruk binnen ProRail, waardoor we onze diensten niet kunnen leveren, met als gevolg dat de reputatie van ProRail als infrabeheerder en als partner in het spoor-ecosysteem verslechtert. Om de oorzaak van het risico aan te pakken zijn gebiedstafel, omgevingstafel en planningstafel ingezet om te zorgen voor voldoende bemensing en continuïteit in de bezetting.

11. Veiligheid

Het belangrijkste risico is dat de belangrijkste veiligheidsrisico’s sterk afhankelijk zijn van de menselijke factor (overwegen, suïcides, security, Arbo, maar indirect ook zaken als veiligheidscultuur) waarop de beheersing voortdurend aangepast moet worden. Naast de bestaande beheersing van de basisveiligheidsrisico’s zijn er drie veiligheidsthema’s vastgesteld voor de langere termijn (2023) om tot duurzame verbetering in vanzelfsprekend en expliciet gedrag te komen. De drie thema’s zijn: ‘Veiligheidscultuur’, ‘Management of Change’ en ‘Veiligheid & Gezondheid’ die alle kunnen bijdragen om hoger op de Veiligheidsladder te komen.

12. Human Resource management

Het belangrijkste risico is dat ProRail onvoldoende nieuwe medewerkers kan aantrekken voor de ontstane vacatures door de krapte in de arbeidsmarkt. Om de juiste gekwalificeerde medewerkers aan te trekken zijn meerdere initiatieven genomen. De kritieke functies zijn in beeld gebracht en hier zijn specifieke wervingsacties voor ontwikkeld.

13. Procurement

Het belangrijkste risico op dit gebied is dat marktpartijen niet meedoen aan aanbestedingen vanwege een tekort aan uitvoeringscapaciteit en tendercapaciteit in de markt, of omdat ProRail onvoldoende aantrekkelijk is als opdrachtgever, met als gevolg dat ProRail onvoldoende werk kan wegzetten. ProRail concurreert met andere aanpalende branches in binnen- en buitenland. Om te voorkomen dat ProRail onvoldoende werk kan wegzetten wordt een marktbenadering-strategie ontwikkeld, die is gericht op langdurige samenwerking met marktpartijen.

14. Financiële dekking

Het belangrijkste risico is onvoldoende financiële dekking voor het instandhouden van het bestaande areaal en het realiseren van de ambities voor de periode tot en met 2025. In 2020 heeft IenW extra geld toegezegd voor de periode 2022-2025 waardoor het risico wordt beperkt. Daarnaast zijn extra middelen nodig voor maatregelen voor het op orde brengen van de Rotterdamse havenemplacementen en om te blijven voldoen aan strenger wordende wet- en regelgeving. Om het risico te beheersen, houden wij de financieel gemaakte plannen en de benoemde risico’s in de meerjarenreeks van de subsidieaanvraag Beheer, Onderhoud en Vervanging (BOV) tegen het licht. Ook werken we verder aan de integrale ontwikkelagenda en werken we samen met IenW en vervoerders aan een afwegingskader om te bepalen welke investeringen wanneer zullen bijdragen aan het realiseren van de groei voor 2030 en verder.

15. Betrouwbare rapportage van realisatiecijfers

Het belangrijkste risico in dit risicogebied heeft betrekking op interne rapportages. Er worden rapportages ontwikkeld die aansluiten op het nieuwe besturingsmodel. Daarnaast zijn aanvullende controlemaatregelen zoals data-analyse getroffen.

  • 1 Internationale standaard voor risicomanagement