Risicomanagement
Besturing en beheersing
Risicomanagement draait om het overzicht van en het managen van risico’s. Hierbij hoort het in kaart brengen van risico’s met kans en effect, en maatregelen om de kans te beheersen of het effect te verkleinen. Iedereen is in zijn of haar dagelijks werk -bewust of onbewust- bezig met risicomanagement, want onze werkzaamheden zijn gericht op het bereiken van bepaalde doelen, groot of klein. Vrijwel altijd zijn er onzekere factoren die ertoe kunnen leiden dat ProRails doelen niet of niet volledig bereikt worden. Hoe eerder eventuele risico’s worden geïdentificeerd, des te meer mogelijkheden er zijn om belangen, strategieën en risico’s tegen elkaar af te wegen. Risicomanagement draagt bij aan het behalen van de doelstellingen van ProRail en vormt een onmisbaar onderdeel van het bestuur van de organisatie.
De raad van bestuur is eindverantwoordelijk voor het risicomanagement van de organisatie. Voor de inrichting van de beheersing hanteert ProRail het ‘Three Lines'-model. De uitvoering van het risicomanagementproces is gedelegeerd aan het management van de bedrijfsonderdelen vanuit de eerste lijn. De afdeling Integriteit, Risicomanagement en Compliance (IRC) ondersteunt het risicomanagement bij ProRail vanuit de tweede lijn en draagt zorg voor beleid, monitoring en procesondersteuning. Corporate Audit fungeert als de derde lijn en toetst periodiek het risicomanagementsysteem.
Risicomanagementsysteem
De afgelopen jaren hebben we risicomanagement naar een hoger niveau weten te tillen. Vanuit het programma ‘Reshaping Risicomanagement’ (gebaseerd op COSO/ERM) zijn op corporate niveau zestien dashboards ontwikkeld. Hierin worden de ProRail brede risico’s in detail met onder andere achterliggende oorzaken, gevolgen en maatregelen gepresenteerd. Deze hebben allen betrekking op de core business van ProRail. Ieder kwartaal worden de meest ernstige risico’s integraal besproken in de voltallige ExCo, met tevens aandacht voor de vraag of we hiermee ook inderdaad de belangrijkste risico’s in beeld hebben. De bespreking in de ExCo leidt vervolgens tot een verdere aanscherping van zowel risico-omschrijving, risicoclassificatie als benodigde mitigerende acties. In de ExCo zijn de meeste risico-eigenaren vertegenwoordigd.
Van de risico’s wordt de opvolging op mitigerende acties elk kwartaal beoordeeld en bewaakt door risico-eigenaren, afdeling IRC en RvB. Ook kunnen er tussentijds andere risico’s worden geïdentificeerd en gerapporteerd. De planning is dat voortaan ieder jaar in de ExCo een integrale herijking op ProRail-niveau plaatsvindt.
De risico-eigenaren zijn verantwoordelijk voor de beheersing van risico’s. De raad van bestuur is eindverantwoordelijk voor het oordeel over deze beheersing en voor de uiteindelijke beslissingen daaromtrent. Mede daardoor is volledige openheid over risico’s en risicobepalende factoren essentieel, omdat de organisatie anders niet goed bestuurbaar is. De afdeling IRC is verantwoordelijk voor het kader en de normen, de uiteindelijke inhoud van de rapportage, het proces rondom het risicomanagement en maakt mede op basis van meldingen en andere (externe) informatie de definitieve analyse. Ook bepaalt de raad van bestuur de risicohouding van de organisatie op basis van de risicomatrix van ProRail. In deze matrix worden risico’s op de volgende impactcategorieën beoordeeld: fysieke veiligheid, impactvolle storingen op de infra, compliance, duurzaamheid, financiële schade/kosten, reputatie en klanttevredenheid. Voor de impactcategorieën zijn toleranties gedefinieerd. In de risicomatrix wordt met een kleurverdeling de grootte (kans x impact) van een risico aangegeven. Hoe hoger het risico, des te belangrijker dat er risico-reducerende maatregelen worden getroffen. We onderkennen groen (laag), geel (middel), oranje (hoog) en rood (zeer hoog). De status en ontwikkeling van een risico wordt door middel van plotten op de risicomatrix inzichtelijk gemaakt.
Verklaring van raad van bestuur
De raad van bestuur verklaart dat de systemen voor de financiële verslaggeving naar behoren hebben gewerkt en geeft aan dat met een redelijke mate van zekerheid kan worden gesteld dat de financiële verslaggeving geen onjuistheid van materieel belang bevat. Het bestuur verklaart dat, (1) voor zover bekend, de jaarrekening een getrouw beeld geeft van de activa, de passiva, en (2) de financiële positie en het resultaat van ProRail; het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar en (3) in het jaarverslag de voornaamste risico’s waarmee ProRail wordt geconfronteerd, zijn beschreven.
Risicogebieden ProRail
Binnen ProRail worden zestien risicogebieden onderscheiden die relevant zijn voor het behalen van de doelen en prestaties van ProRail. In de onderstaande heatmap worden de belangrijkste netto/rest risico’s per risicogebied geplot op de huidige situatie en ten opzichte van de situatie in het laatste kwartaal van 2022.
Deze risico’s en de genomen mitigerende maatregelen worden hieronder toegelicht.
Belangrijkste risicogebieden voor ProRail
Van de zestien risicogebieden lichten we de belangrijkste risico’s op zeven risicogebieden uit, omdat deze ultimo 2022 de meest ernstige zijn die de realisatie van de doelstellingen kunnen bedreigen. Dit zijn risico’s die zich in het oranje en rode gebied van de risicomatrix bevinden. Ernst van het risico wordt bepaald aan de hand van de score van het netto risico.
6. Infrastructuur
Het belangrijkste risico in dit risicogebied is dat er op een tracé geen treinen kunnen rijden omdat er geen onderhoudscontract is en/of er sprake is van achterstallig onderhoud. Dit kan veroorzaakt worden door de complexiteit in het PGO-contractmanagement, zowel in de uitvoering van het contract als in de aanbesteding en in de markt zetten van deze contracten. Hierdoor loopt ProRail zowel financiële- als compliance risico’s. Naast dit risico speelt ook het risico van veilige berijdbaarheid zoals in 2021 is gerapporteerd. De inhoudelijke ontwikkeling van dit risico verklaart de verschuiving van het netto risico van dit risicogebied.
Toelichting beheersing
Beheersmaatregelen zijn ingezet om de non-compliance op te lossen en de periode van non-compliance zo kort mogelijk te laten duren. Alle non-compliant contracteringen volgen conform intern beleid de Tenderboard-procedure waarbij de RvB expliciet akkoord moet geven voor het aangaan van een non-compliant contractering. De beheersmaatregelen voor veilige berijdbaarheid en ook de aantoonbaarheid daarvan kunnen verder worden ontwikkeld.
13. Procurement
In 2021 was het belangrijkste risico dat marktpartijen niet meededen aan aanbestedingen vanwege een tekort aan uitvoerings- en tendercapaciteit. In 2022 zien we dit risico vooral tot uiting komen op het domein treinbeveiliging (TB), waar ingenieursbureaus en aannemers tegen capaciteitsproblemen aanlopen. Oorzaken van dit risico zijn de grote concurrentie en het gebrek aan voldoende opgeleid personeel bij ingenieursbureaus en aannemers. Dit kan als gevolg hebben dat ProRail niet voldoende TB-werk kan wegzetten, met negatieve impact op het realiseren van de maatschappelijke opgave en stijging van de operationele kosten.
Toelichting beheersing
De mitigerende maatregel MBO-railtechniek voor zij-instromers gaat starten in maart 2023. Verder wordt samen met de markt gekeken of de capaciteit vergroot en indien mogelijk efficiënter gemaakt kan worden voor de aannemer. Tevens zullen projecten opnieuw geprioriteerd worden.
16. Compliance & Integriteit
Het belangrijkste risico in dit gebied is het niet voldoen aan wet- en regelgeving op het gebied van natuur en milieu, wat dit jaar specifiek toespitst op de stikstofproblematiek. In 2021 zag dit toe op de blusvoorzieningen in de haven, wat de ontwikkeling van de positie in de matrix verklaart. Door stikstofdepositie kunnen projecten vertraging oplopen en dieselactiviteiten op emplacementen worden stilgelegd. Dit risico wordt onder andere veroorzaakt doordat sommige emplacementen niet beschikken over een vergunning in het kader van de wet Natuurbescherming en deze wordt minder uitgegeven door strengere wetgeving.
Toelichting beheersing
Om dit risico te beheersen worden onder andere ecologische onderbouwingen nabij Natura 2000-gebieden opgesteld. Tevens zal worden ingezet op de verduurzaming van bouwplaatsen en bouwlogistiek, bijvoorbeeld door het inzetten van elektrisch materieel.
9. Projectbeheersing
Het belangrijkste risico in dit gebied is dat projecten tegen hogere kosten of helemaal niet worden gerealiseerd. In 2021 was de voornaamste oorzaak hier het werven en opleiden van medewerkers, waarvoor afgelopen jaar maatregelen zijn getroffen. Inmiddels zijn de voornaamste oorzaken de grote prijsstijgingen van grondstoffen onder andere door de oorlog in Oekraïne en door marktspanning.
Toelichting beheersing
Om de gevolgen van het bovenstaande risico te mitigeren is er een taskforce opgericht. Verder is ProRail bezig om productiegroei efficiënter te realiseren. Daarbij is toenemende aandacht voor het faseren en beter prioriteren van werk.
4. Innovatie
Het belangrijkste risico in dit gebied is dat er te weinig gedigitaliseerd wordt en systeemsprongen niet of niet tijdig gereed zijn. Voornaamste oorzaak is dat er onvoldoende bewustzijn en capaciteit beschikbaar zijn voor noodzakelijke ICT-ontwikkelingen waardoor de groei- en duurzaamheidsambitie niet gehaald worden en de capaciteitsuitbreiding niet tijdig gereed is. Hierdoor is de impact van het risico ten opzichte van vorig jaar toegenomen.
Toelichting beheersing
Om dit risico te beheersen zal een integraal systeembeeld worden ontwikkeld waarbij systeemsprongen, ICT-visie, techniekvisie en de innovatieagenda als een deel kunnen worden opgenomen (inclusief ATO) in de integrale ontwikkelagenda. Verder zijn met het ministerie van Infrastructuur en Waterstaat afspraken gemaakt over een financieringsstrategie voor sectorbrede systeeminnovaties.
10. Capaciteitsmanagement
In 2021 werd voor capaciteitsmanagement het risico van onvoldoende capaciteit gedurende de door Deutsche Bahn Netz geplande tachtigweekse enkelsporige buitendienststelling als meest belangrijk gezien. Dit risico is inmiddels beter onder controle. Het belangrijkste risico in 2022 in dit risicogebied is dat er onvoldoende capaciteit beschikbaar is voor noodzakelijke ICT-ontwikkelingen door de complexiteit van de organisatie en de systemen. Dit kan leiden tot problemen met de continuïteit van de dienstregeling in de toekomst.
Toelichting beheersing
Om dit risico te beheersen is er een integrale ontwikkelagenda voor ProRail opgesteld en vindt sturing plaats op toekenning resources via de Planningstafel. Vanuit capaciteitsmanagement wordt een prognose aan benodigde maatregelen en projecten concreet gemaakt, zodat de resourcebehoefte duidelijk is.
11. Veiligheid
Het belangrijkste risico in dit gebied is dat wijzigingen (technisch, operationeel en organisatorisch) onvoldoende worden beoordeeld op veiligheidsrisico’s doordat het proces voor risicobeheer bij wijzigingen niet consequent wordt toegepast. In 2021 ging de aandacht in dit risico voornamelijk naar de afhankelijkheid van de menselijke factor in de beheersing van veiligheidsrisico’s. De inhoudelijk aanscherping van het risico verklaart de verschuiving van het risico van het gele naar het oranje gebied.
Toelichting beheersing
Om dit risico te beheersen zijn aanvullende acties getroffen waaronder het opstellen van een template van het veiligheidsdossier en een template voor een HAZARD-LOG bij de corporate procedure voor risico bij wijziging waarin alle stappen van de CSM-REA (Common Safety Method) zijn opgenomen.
Overige risicogebieden
Naast de bovengenoemde risicogebieden zijn er nog negen, die samen een integraal beeld geven van de belangrijkste risico’s binnen ProRail. De zestien risicogebieden omvatten de belangrijkste doelstellingen van ProRail en alle bedrijfsprocessen. Hieronder worden de overige risicogebieden kort samengevat.
1. Cultuur & organisatie
In 2021 was het belangrijkste risico dat doelstellingen onduidelijk zijn voor de medewerkers. Dit risico is inmiddels meer beheerst. Nu is het belangrijkste risico in dit gebied dat signalen, vragen en meldingen omtrent integriteit, compliance en sociale veiligheid achterwege blijven. Om dit risico te mitigeren wordt de zichtbaarheid vergroot omtrent integriteit en compliance door o.a. programma’s, gesprekken, cursussen en dilemmaworkshops.
2. Klanttevredenheid
Het belangrijkste risico is dat afspraken van de organisatie met de stakeholders niet worden nagekomen, omdat er niet effectief op gestuurd wordt, wat kan leiden tot het beeld van een onbetrouwbare partner. Om dit risico te monitoren wordt onder meer jaarlijks een tevredenheidsonderzoek onder reizigers- en goederenvervoerders, havens en verladers, overheden en reizigers gehouden.
3. Duurzaamheid
In 2021 was het belangrijkste risico dat onze doelstelling voor duurzame opwekking van energie niet werd gehaald vanwege tekort aan financiële middelen. Dit risico is inmiddels beheerst doordat subsidie is toegekend. Het belangrijkste risico in dit gebied in 2022 is dat we de maatregelen op duurzaam materiaalgebruik niet tijdig kunnen uitvoeren door tekorten aan financiële middelen. Daarnaast is het risico dat er onvoldoende prioriteit aan wordt gegeven. Als maatregel is een Bestedingsplan Klimaatneutrale en Circulaire Infrastructuurprojecten opgesteld.
5. Communicatie & externe betrekkingen
Het belangrijkste risico op dit gebied is discontinuïteit in relaties met regionale en landelijke overheden en andere stakeholders door personele wisselingen, personeelsgebrek en werkdruk binnen ProRail, waardoor we onze diensten niet kunnen leveren, met als gevolg dat de reputatie van ProRail als infrabeheerder en als partner in het spoor-ecosysteem verslechtert. Om de oorzaak van het risico aan te pakken zijn gebiedstafel, omgevingstafel en planningstafel ingezet om te zorgen voor voldoende bemensing en continuïteit in de bezetting.
7. Continuïteit van de treindienst
Het belangrijkste risico in dit gebied is dat (goederen)treinen uitvallen. Dit kan veroorzaakt worden door problemen met de inzetbaarheid van operationeel personeel en ook de kwetsbaarheid van de infrastructuur in het Rotterdamse havengebied. Om dit risico te beheersen is gestart met het programma ‘Anders werken’, waardoor er minder treindienstleidersdiensten nodig zijn. De kans van optreden van dit risico is kleiner geworden, waardoor het risico ultimo 2022 is gepositioneerd in het gele gebied. Voor het havengebied lopen er verschillende trajecten vanuit de afdelingen Asset Management, Verkeersleiding en Capaciteitsmanagement om de problemen op te lossen.
8. Betrouwbaarheid IT & OT-systemen
Het belangrijkste risico in dit gebied is dat IT en OT-systemen niet betrouwbaar of niet beschikbaar zijn, doordat actuele IT & OT security-eisen niet voldoende zijn geïmplementeerd of onvoldoende beheersing is bij het doorvoeren van wijzigingen. Security-initiatieven om dit risico te beheersen omvatten onder andere het integreren van cybersecurity binnen ERTMS en het uitbreiden van de scope en kwaliteit van het huidige Security Operations Center. Hierdoor is de inschatting van de impact van het risico ten opzichte van vorig jaar verlaagd.
12. Human Resource management
Het belangrijkste risico in dit gebied is dat ProRail onvoldoende nieuwe medewerkers kan aantrekken voor de ontstane vacatures door de krapte in de arbeidsmarkt. Om de juiste gekwalificeerde medewerkers aan te trekken zijn meerdere initiatieven genomen. De kritieke functies zijn in beeld gebracht en hier zijn specifieke wervingsacties voor ontwikkeld. Hierdoor is de inschatting van de impact van het risico ten opzichte van vorig jaar verlaagd.
14. Financiële dekking
Het belangrijkste risico in dit gebied is onvoldoende financiële dekking voor het in stand houden van het bestaande areaal en het realiseren van de ambities voor de periode tot en met 2025. In 2022 is gestart met het opnieuw opbouwen van de financiële reeksen voor Onderhoud en Vervanging (EOV) betreffende de periode 2024-2038. Focus ligt vooral op benodigde financiering voor de periode 2026-2029. In 2022 is de kans op optreden hoger ingeschat ten opzichte van vorig jaar doordat nieuwe ontwikkelingen, zoals prijsverhoging van materialen, om aanvullende financiële middelen vragen.
15. Betrouwbare rapportage van realisatiecijfers
Het belangrijkste risico in dit gebied heeft betrekking op de betrouwbaarheid van interne rapportages. De basisinrichting van de administratieve organisatie en interne beheersing wordt frequent onderhouden en aanvullende controlemaatregelen zijn getroffen, zoals data-analyse en het op peil houden van het kennisniveau van medewerkers.