Risicomanagement

Besturing en Beheersing

Risicomanagement draagt bij aan het op beheerste wijze realiseren van de doelen en prestaties van ProRail door proactief onzekerheden te benoemen en te analyseren. Hoe eerder eventuele risico’s worden geïdentificeerd, hoe meer mogelijkheden er zijn om belangen, strategieën en risico’s tegen elkaar af te wegen.

De Raad van Bestuur is eindverantwoordelijk voor het risicomanagement van de organisatie. Voor de inrichting van de beheersing hanteert ProRail het ‘three lines of defense’-model. De uitvoering van het risicomanagementproces is gedelegeerd aan het management van de bedrijfsonderdelen (eerste lijn). De eerste lijn wordt voor diverse risicogebieden inhoudelijk ondersteund door collega’s van specialistische vak-afdelingen. De afdeling Integriteit, Risicomanagement en Compliance (IRC) draagt als tweedelijnsfunctie zorg voor beleid, monitoring en procesondersteuning. Corporate Audit fungeert als de derde lijn en toetst periodiek het risicomanagementsysteem.

Risicomanagementsysteem

Het systeem van risicomanagement is mede gebaseerd op internationale normen voor risicomanagement: ISO31000 en COSO ERM. Het risicomanagement is een continu proces en daarmee onderdeel van de reguliere planning en controle. De Raad van Bestuur stelt de voor ProRail belangrijkste toprisico’s vast. Het management identificeert jaarlijks in teamverband de risico’s die de beheersing van het toprisico beïnvloeden. Ook bepaalt de Raad van Bestuur de risicohouding van de organisatie met de ProRail risicomatrix. In deze matrix worden risico’s op de volgende impactcategorieën beoordeeld: veiligheid, beschikbaarheid, duurzaamheid, financiën, compliance, reputatie en klanttevredenheid. Voor de impactcategorieën zijn toleranties gedefinieerd. In de risicomatrix wordt met een kleurverdeling de grootte (kans x impact) van een risico aangegeven. Hoe hoger het risico, des te belangrijker dat er risico reducerende maatregelen worden getroffen. We onderkennen groen (laag), geel (middel), oranje (hoog) en rood (zeer hoog). De status en ontwikkeling van een (top)risico’s wordt door middel van plotten op de risicomatrix inzichtelijk gemaakt.

Toekomstperspectief

Vier jaar geleden is ProRail gestart met het structureren van de wijze waarop risico’s worden geïdentificeerd, geanalyseerd en opgevolgd. Dit kan worden geoptimaliseerd. In de operationele bedrijfsonderdelen worden diverse risicomanagementsystemen gebruikt. Hier is veel expertise over risicomanagement aanwezig. Er wordt echter nog een kloof ervaren tussen de risicomanagementsystemen van deze verschillende bedrijfsonderdelen en tussen de werkvloer en het management . Daarom is ten eerste meer overzicht van de belangrijkste operationele en strategische risico’s op het niveau van het management van de bedrijfsonderdelen en de Raad van Bestuur noodzakelijk. Met name als die risico’s de diverse bedrijfsonderdelen raken. Ten tweede is het van belang om het huidige systeem van toprisico’s te concretiseren en te koppelen aan de organisatiedoelen en de gewenste resultaten. Ten derde wordt gestreefd naar risicomatrix die als een basis dient voor de hele organisatie en die in de praktijk toepasbaar is binnen de verschillende bedrijfsonderdelen. De huidige werking van het risicomanagement in is goed ingericht, maar niettemin zijn er kansen om in de samenhang tussen de toprisico’s en de in de diverse bedrijfsonderdelen bestaand project- en activiteit gerichte risicoanalyses en -beoordelingen een betere samenhang en objectiveerbaarheid aan te brengen.

Verklaring van Raad van Bestuur

De Raad van Bestuur verklaart dat de systemen voor de financiële verslaggeving naar behoren hebben gewerkt en geeft aan dat met een redelijke mate van zekerheid kan worden gesteld dat de financiële verslaggeving geen onjuistheid van materieel belang bevat. Het bestuur verklaart dat, voor zover bekend,

  • de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en het resultaat van ProRail;

  • het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar; en

  • in het jaarverslag de voornaamste risico’s waarmee ProRail wordt geconfronteerd, zijn beschreven.

Toprisico’s ProRail

We onderscheiden bij ProRail elf toprisico’s die een bedreiging kunnen vormen voor de realisatie van onze doelen en prestaties. De toprisico’s, de mate van beheersing en de belangrijkste maatregelen worden in onderstaand dashboard toegelicht.

Veiligheid (TR1)

Risicobeschrijving

Veilig reizen op het spoor, veilig wonen rond het spoor en veilig werken aan het spoor zijn topprioriteiten van de organisatie. De identificatie en beheersing van deze risico’s zijn een noodzakelijke voorwaarde voor de “license to operate”. De veiligheidsrisico’s op en rond het spoor zijn verdeeld in thema’s, de zogeheten Basis Veiligheidsrisico’s (BVR’s): Treinbotsing, Ontsporing, Suïcide, Overwegongeval, Arbeidsongeval, Elektrocutie, Gevaarlijke stoffen, Transferongeval, Managen van ongevallen en brand, en Security.

Toelichting beheersing

De identificatie, beheersing en monitoring van de veiligheidsrisico’s is een continu proces dat met het Veiligheidsmanagementsysteem (VMS) plaatsvindt. Het toprisico is in opzet op orde. Wel is op enkele BVR’s een negatieve ontwikkeling te zien. We zien dat er met de huidige beheersing jaarlijks overwegongevallen en suïcides voorkomen. Het aantal overwegaanrijdingen is gestegen, maar op dit moment is nog geen trend te herkennen. Het aantal STS-passages, bijna-aanrijdingen en elektrisering met baanwerkers en personeel van vervoerders nam in 2019 toe. Voor alle BVR’s zijn verbetermaatregelen getroffen, zoals de uitvoering van een programma voor suïcidepreventie. Ook zijn verschillende maatregelen getroffen om de veiligheid en het veiligheidsbewustzijn op Kijfhoek te verbeteren. Daarnaast heeft een audit plaatsgevonden van zowel het VMS als de veiligheidscultuur.

Samenwerking met stakeholders (TR2)

Risicobeschrijving

Het risico bestaat dat we onvoldoende invloed hebben op de rol van stakeholders bij het realiseren van onze doelstellingen en prestaties. Dit risico kan gevolgen hebben voor onze relatie met hen, en de effectiviteit en het imago van ProRail. Een goede samenwerking met alle betrokken is onmisbaar: van regionale concessieverleners, concessiehouders, overheden, vervoerders, aannemers, omwonenden, reisinformatie-dienstverleners en reizigers tot verladers.

Toelichting beheersing

Het risico is op orde. Er hebben zich geen grote incidenten voorgedaan. Wel is er discussie geweest over publicaties in de media. Op het gebied van goederenvervoer heeft de situatie op de Waalhaven verschillende relaties onder druk gezet. We zien dat de samenwerking met het ministerie van Infrastructuur en Waterstaat is verbeterd, mede door uitwisselingen, werkbezoeken en een grotere rol van ProRail bij de totstandkoming van brieven en beleidsnota’s. De samenwerking met regionale overheden is over het algemeen goed te noemen. We hebben goed contact, ook al zijn niet alle doelen gelijk. De samenwerking met NS is verbeterd door transparant overleg op verschillende niveaus. Door de zbo-omvorming staat deze relatie wel onder druk. De regionale reizigersvervoerders voelen zich achtergesteld ten opzichte van NS en verwachten van ProRail op bestuurlijk niveau een onafhankelijker positie. Zij verwachten dat er een grotere afstand ontstaat door de zbo-omvorming. In dagelijkse capaciteitsvraagstukken is deze relatie echter goed. De relatie met de toezichthouders is verbeterd, mede door een meer open relatie en transparantie. Er is een risico dat de relatie met onze stakeholders verslechterd door de ZBO vorming. Dit risico wordt deels beïnvloedt door het risico dat wij als ProRail meer naar binnen gekeerd raken. Maar ook als wij ervoor zorgen dat dit niet gebeurt, kunnen stakeholders nog steeds het beeld hebben dat wij uit de sector worden getrokken en ons te weinig zelfstandig, onafhankelijk en kritisch opstellen, en hun gedrag naar ons toe veranderen. Beheersmaatregelen zijn in elk geval met stakeholders in gesprek zijn en aandacht hebben voor hun zorgen, actief bespreken van kansen om de samenwerking met stakeholders te verbeteren, zoals een afsprakenkader voor de samenwerking tussen ProRail, ministerie en provincies voor projecten waar de regio in investeert, en actief sturen en monitoren dat de implementatie van de zbo-omvorming niet leidt tot het naar binnen keren van ons als organisatie.

Integriteit & Compliance (TR3)

Risicobeschrijving

ProRail streeft naar een open en verantwoordelijke bedrijfscultuur, waarbij zijn doelstellingen gerealiseerd worden in het kader van wet- en regelgeving en met oog voor de praktijk; van regels kan worden afgeweken als dit wordt gemotiveerd en transparant plaatsvindt . Het compliance-risico betreft overtreding van wet- en regelgeving, het niet naleven van interne regelgeving en het handelen in strijd met de waarden en doelen van ProRail. Met mogelijke gevolgen voor de bedrijfscultuur, de reputatie, financiële schade in de vorm van claims en boetes, en sancties van toezichthouders.

Toelichting beheersing

De verantwoordelijkheid voor de beheersing van dit risico ligt in de eerste plaats bij het lijnmanagement, dat hierbij wordt ondersteund door de juridische afdeling en IRC. Om een open en verantwoordelijke bedrijfscultuur te bevorderen, de kennis over wet- en regelgeving en met oog voor de praktijk te delen, en bewustzijn over compliant en integer gedrag te vergroten, worden dilemmaworkshops, e-learnings en presentaties georganiseerd. Daarnaast kunnen medewerkers van ProRail melding maken van schendingen op het gebied van integriteit en compliance, en zo nodig een beroep doen op de Klokkenluidersregeling via de procedure vermoede misstand. Met een integriteitstheater en het project Sociale Veiligheid is ProRail-breed gewerkt aan het integriteitsbewustzijn. In 2019 is het aantal meldingen fors toegenomen. In 2020 zal worden gewerkt aan het verbeteren van het overzicht over compliance-zaken en de beheersing daarvan. Met ProRail-brede programma’s op het gebied van sociale veiligheid, compliance en het veilig omgaan met vertrouwelijke informatie zal worden gewerkt aan een open en verantwoordelijke bedrijfscultuur. Verder worden er in 2020 nadrukkelijker dilemmaworkshops op het gebied van integriteit en compliance georganiseerd.

Strategische programma’s en projecten (TR4)

Risicobeschrijving

Om te voldoen aan de veranderende en groeiende vraag naar mobiliteit in relatie tot aanleg en onderhoud van het spoor en ICT-infrastructuur, worden grote projecten en programma’s georganiseerd. Het risico betreft het niet-realiseren van de doelstellingen van deze projecten en programma’s qua scope, tijd en geld. Zo zijn projecten en programma’s afhankelijk van de beschikbaarheid van treinvrije periodes (TVP’s). Het risico kan gevolgen hebben voor de beschikbaarheid en betrouwbaarheid van het spoor en hinder voor reizigers en verladers opleveren.

Toelichting beheersing

De beheersing van dit risico brengt een groot aantal uitdagingen met zich mee. Vaak vereisen projecten een lange voorbereiding en zijn ze complex vanwege de technische aard en de veelheid aan interne en externe betrokkenen. De beheersing van het toprisico is verbeterd, maar kan nog beter. Afgelopen jaar hebben externe ontwikkelingen – onder meer de stikstofuitspraak van de Raad van State, het PFAS-handelingskader en de krapte op de aannemersmarkt – invloed gehad op de projectenportefeuille. Managers projectbeheersing, projectanalisten en projectcontrollers zijn bezig om hoog-risicoprojecten meer beheerst te krijgen, niet alleen op scope, kosten en planning, maar ook op de aspecten kwaliteit, informatie en organisatie. Aan de beheersing van het integraal projectmanagement levert het programma TWAS een bijdrage. We werken bij deze nieuwe werkwijze op basis van een meerjarig masterplan voor het spoor dat steeds een doorkijk geeft voor de komende zeven jaar in spoorlogistiek, infrastructuur en geplande werkzaamheden.

Managementinformatie (TR5)

Risicobeschrijving

Het rapportagerisico heeft betrekking op de betrouwbaarheid van de externe verslaggeving van ProRail, zijnde de jaarrekening, het jaarverslag, de halfjaarrapportages en de subsidieverantwoordingen. Tijdig, volledig en juist rapporteren is een noodzakelijke voorwaarde voor een adequate besturing van de organisatie en een vereiste ten behoeve van verantwoording naar opdrachtgevers, financiers en de overheid. Betrouwbaarheid van rapportages is een voorwaarde voor effectieve besturing van de organisatie.

Toelichting beheersing

Bij het opstellen van de jaarstukken op basis van NLGAAP, de subsidieverantwoordingen op basis van het controleprotocol en de rapportages op basis van de beheerconcessie zijn getrouwheidaspecten en rechtmatigheid de basisprincipes. Wij zorgen dat we voldoen aan deze principes door de inrichting van AO/IB, alsmede aanvullende controlewerkzaamheden met behulp van aanvullende data-analyse. De beheersing van dit risico is op orde. In 2019 heeft implementatie plaatsgevonden van een nieuw financieel en contractregistratiesysteem (SAP 4/HANA). Met de migratie is het financiële systeem toekomstbestendig en kan verder worden gewerkt aan optimalisatie en automatisering van de financiële processen, zoals met het strategische programma Connected Finance.

Gekwalificeerde medewerkers (TR6)

Risicobeschrijving

Voor het leveren van de gewenste prestaties is ProRail in hoge mate afhankelijk van de kwaliteit van zijn medewerkers. Het toprisico betreft het risico dat ProRail beschikt over onvoldoende gekwalificeerde medewerkers. Dit kan komen doordat medewerkers onvoldoende worden behouden, onvoldoende nieuw talent wordt ontwikkeld of aangetrokken, en er onvoldoende aanbod is op de arbeidsmarkt.

Toelichting beheersing

Om het risico te beheersen wordt een stagebeleid gevoerd en gewerkt met trainees. Daarnaast is ProRail bezig met een arbeidsmarktcampagne om te laten zien waar de organisatie voor staat. Ook wordt er gewerkt aan diversiteitsbeleid en ontwikkelmogelijkheden voor medewerkers. Het risico is enigszins toegenomen door een toenemende spanning op de arbeidsmarkt. We zien dat de gehele spoorsector op dit moment moeite heeft om gekwalificeerd personeel aan te trekken en dat de krapte op de arbeidsmarkt voorlopig aanhoudt. Op dit moment is het uitdagend om voldoende treindienstleiders te werven voor de verkeersleidingsposten en zijn daarvoor diverse scenario’s ontwikkeld. Ook heeft een enquête over sociale veiligheid plaatsgevonden met een respons van 60%, op basis waarvan in 2020 verbeteracties worden ondernomen. In 2020 wordt een strategische personeelsplanning voor de hele organisatie vormgegeven en worden verdere plannen ontwikkeld voor de prestatie- en ontwikkelcultuur.

Financiering (TR7)

Risicobeschrijving

ProRail wil goede prestaties leveren aan reizigers en vervoerders. Daarbij staan we voor de uitdaging om de toekomstige mobiliteitsgroei en productontwikkelingen te faciliteren, het huidige prestatieniveau op peil te houden, en om gehoor te geven aan de wensen van onze stakeholders. Dit bij gelijkblijvende financiële middelen, een hoger prijsniveau van materialen en arbeid, en een door intensiever gebruik sneller verouderende infrastructuur. Het risico betreft onvoldoende financiële middelen, met uitstel van beheer, onderhoud, tijdige vervanging en vernieuwing van de infrastructuur en ICT- systemen.

Toelichting beheersing

Vorig jaar is in samenwerking met het ministerie van Infrastructuur en Waterstaat een 3-sporenbeleid gestart, waarbij de financiële uitdagingen voor nu en in de toekomst worden afgestemd. De strategische planning- en controlcyclus is met het oog op de zbo-omvorming neergelegd in een meerjarenplan. Verder is een indicatie gegeven van de middelen die nodig zijn om de voorziene vervoersgroei te faciliteren. In 2020 gaan we in gesprek met het ministerie over de beschikbare versus de benodigde financiële middelen voor de periode 2022-2025, inclusief het beoordelen van eventuele consequenties voor de prestaties.

Verstoring van de treindienst (TR8)

Risicobeschrijving

Dit risico betreft het risico op ernstige verstoring van de treindienstregeling. Het verzorgen van een betrouwbare en punctuele dienstregeling is een van de belangrijkste kernactiviteiten van ProRail. Verstoringen kunnen voortkomen uit een complexe dienstregeling of een gebrek aan capaciteit, maar ook uit het falen van spoorinfrastructuur, stroomvoorziening en ICT, of uit externe oorzaken, zoals defecte treinen, spoorlopers, overstekend wild, weersinvloeden en grootschalige evenementen.

Toelichting beheersing

Elk incident met aanzienlijke hinder wordt onderzocht op achterliggende oorzaken en patronen. De centrale coördinatie voor het oplossen van verstoringen loopt via het CMBO van ProRail. Verder is er een BCM-organisatie die de continuitsrisico’s bewaakt en loopt het strategisch programma ‘Klanthinder’ waarbij wordt gewerkt aan het verder verminderen van verstoringen met een aanzienlijke klanthinder. We zien een uitdaging ten aanzien van de staat van de infrastructuur in relatie tot de vervoersprognose en de beschikbare financiële middelen. Ook verwachten we vanwege nieuwe productintroducties op de HSL-Zuid een complexe situatie. In 2020 zal worden gewerkt aan een nieuw beleid voor beheer, onderhoud en vervanging, waarbij rekening wordt gehouden met eisen voor de toekomstige vervoersvraag.

Beschikbare infracapaciteit (TR9)

Risicobeschrijving

De mobiliteitsbehoefte neemt de komende jaren aanzienlijk toe. ProRail voert diverse activiteiten uit om gereed te zijn voor de toenemende capaciteitsvraag. Het risico is reëel dat onvoldoende capaciteit beschikbaar is voor de toenemende vraag, omdat uitbreiding van de capaciteit afhangt van de beschikbare ruimte in Nederland, van de technische staat van de infra en van externe partijen.

Toelichting beheersing

De verwachte groei van het reizigersvervoer en de prioriteiten voor goederenvervoer vereisen dat we verder vooruitkijken. ProRail doet dit door invulling te geven aan het toekomstbeeld OV, het logistiek model Middellange termijn (MLT), het implementeren van de visie Toekomstbestendig werken aan het spoor (TWAS) en door scherpe keuzes te maken op het gebied van capaciteitsverdeling. Ook wordt verder gewerkt in het geformuleerde maatregelenpakket Goederenvervoer. De focus ligt met name op langere treinen (740 meter). Er is een impuls gegeven aan het verbeteren van de kwaliteit van de infra in de Rotterdamse haven. Ook wordt in samenwerking met onze partners onderzocht welke mogelijkheden er zijn op het gebied van technische innovaties (ERTMS, 3kV, ATO).

Beschikbaarheid van IT-systemen (TR10)

Risicobeschrijving

De beschikbaarheid van IT-systemen is een kritieke factor voor de bedrijfsvoering. Een toegankelijk netwerk, een brede ontsluiting van informatie en een toename van cyber gerelateerde bedreigingen maakt de kans op inbreuk op de bedrijfsvoering van ProRail groter. Dat geldt zowel voor onze kantoorautomatisering als voor de operatie. Het risico is dat de IT-systemen niet beschikbaar zijn ten behoeve van een continue en betrouwbare ondersteuning van de operationele bedrijfsvoering. Het optreden van een dergelijke ongewenste gebeurtenis kan gevolgen hebben voor de veiligheid, de dienstverlening en het imago.

Toelichting beheersing

De beheersing van dit risico richt zich onder meer op databeveiliging, het voorkomen dat onbevoegden toegang krijgen tot onze systemen, en activiteiten gericht op de continue beschikbaarheid en betrouwbaarheid van de systemen. De bescherming van onze systemen is voor een groot deel te vinden in de IT-techniek. Naast technische maatregelen die veelal preventief zijn, is ook de response van belang. Hierbij zijn mens en processen belangrijk. We werken continu aan het verbeteren van het medewerkersbewustzijn over informatiebeveiliging en cybercrime. In 2018 is gestart met een Security Managementverbeterprogramma. Dit verbeterprogramma wordt voortgezet in 2020. Daarnaast wordt een digital resilience team ingericht bij ICT-CIO Office, waarin de expertise op het vlak van cyber, security en safety management bijeen wordt gebracht.

Leveranciersrisico (TR11)

Risicobeschrijving

ProRail besteedt onderhoud en aanleg van het spoor uit aan ingenieursbureaus en aannemers en is hiermee afhankelijk van deze partijen. Daarnaast wordt ProRail voor de uitvoering van zijn taken steeds meer afhankelijk van ICT en daarmee van ICT-leveranciers. De inspanningen van leveranciers brengen in verschillende mate risico’s met zich mee. De risico’s die voortkomen uit de producten en diensten van leveranciers noemen we leveranciersrisico of het counterpart risk. Dit risico kan optreden wanneer sprake is van belangenverstrengeling of fraude, wanneer de levering niet kan plaatsvinden door een belemmering in de “keten”, door faillissement van de leverancier, door een gebrek aan gekwalificeerd personeel, of door gebrek aan kwaliteitsbewaking of risicobeheersing.

Toelichting beheersing

Om het risico te beheersen hanteert ProRail voor een effectieve selectie en borging van de kwaliteit en veiligheid een erkenningsregeling voor de strategische leveranciers. Ook werken we bij assetmanagement en ICT met onderhoudscontracten en backlogprogramma’s, gericht op een duurzame leveranciersrelatie. In 2019 is de erkenningsregeling vereenvoudigd en daarmee de marktcapaciteit vergroot. Op het moment is er een tekort aan gekwalificeerd personeel in de spoorsector en zien we dat het prijsniveau van materialen en arbeid stijgt. In 2020 zal een marktvisie worden opgesteld om voorziene risico’s bij de leveranciers te adresseren.

Mijn Verslag (0)