Door cookies te accepteren kunnen we uw gebruikerservaring op onze website verbeteren.

×

Verslagzoeker help

Verfijn hieronder op onderwerp
Toon inhoudsopgave jaarverslag

Het systeem van risicomanagement

Elk jaar voert ProRail risicoanalyses uit. De toprisico’s rubriceren we in de categorieën strategie, operatie, rapportage en compliance. De directie volgt deze risico’s actief en stelt vast hoe we ze kunnen beheersen. Strategische risico’s zijn onder meer het risico van aantasting van de concurrentiepositie van vervoer over het spoor en het risico van een vertrouwensconflict met onze stakeholders.
Ons risicomanagementsysteem is gebaseerd op het COSO-ERM-model en is in 2013 breder en dieper in de organisatie ingevoerd. Het inventariseren van de belangrijkste risico’s voor de organisatie is niet langer uitsluitend belegd bij de directie van ProRail en de managers die rechtstreeks aan de directie rapporteren. Ook de managementlagen daaronder zijn nu in het proces betrokken. 
In 2013 is nieuwe risicomanagementsoftware ingevoerd, waarmee we integraal en proactief risico’s managen. Als onderdeel van het overkoepelend risicomanagementsysteem van ProRail hebben we ook een systeem voor risicomanagement ingericht voor veiligheid, milieu en bouwprojecten.

Verantwoordelijkheid

De directie is verantwoordelijk voor het integraal risicomanagement. Om de grootste risico’s goed te beheersen, heeft ProRail een risk committee dat bestaat uit de directie, de manager Business Control en de manager Corporate Audit. Het committee komt op kwartaalbasis bijeen en bewaakt de kwaliteit van de beheersing van de toprisico’s en de risico’s ten aanzien van economische, ecologische en sociale onderwerpen.

Three lines of defence

Om de risico’s te beheersen, hanteert ProRail het three lines of defence-principe:

  1. Eerste lijn: het management. De manager van de bedrijfsonderdelen zijn verantwoordelijk voor het opsporen, evalueren en managen van alle risico’s binnen de bedrijfsprocessen.
  2. Tweede lijn: ProRail Risicomanagement en Compliance, onder verantwoordelijkheid van de directeur Financiën. De tweede lijn is verantwoordelijk voor het formuleren van beleid, het bewaken van het risicomanagementproces, het ondersteunen van de bedrijfseenheden en het rapporteren aan diverse stakeholders.
  3. Derde lijn: ProRail Corporate Audit. Deze afdeling toetst jaarlijks de opzet, het bestaan en de werking van het risicomanagement van ProRail.

De risico’s op het gebied van milieu en veiligheid nemen een aparte, belangrijke plaats in. Expertteams formuleren het beleid en volgen de milieu- en veiligheidsincidenten samen met de betrokken medewerkers. Deze teams rapporteren rechtstreeks aan de directie en via de kwartaalrapportages risicomanagement aan het risk committee.

Risicobereidheid

Om te bepalen of een risico binnen de ‘risicobereidheid’ van de organisatie valt, wordt het gepositioneerd in een matrix op basis van kans en gevolg. Deze matrix is in 2013 herijkt.
Voor de risico’s binnen de matrix is bepaald welke respons daarop moet volgen. De respons weerspiegelt de risicobereidheid van ProRail; kleine risico’s die niet vaak voorkomen kunnen worden geaccepteerd, grote risico’s meestal niet, ook niet als ze weinig voorkomen. Voor deze laatste categorie risico’s worden maatregelen geformuleerd waarmee het risico naar een aanvaardbaar niveau kan worden teruggebracht. De directie bepaalt welke risico’s wel en niet acceptabel zijn.

Procesbewaking

ProRail peilt jaarlijks het risicobewustzijn van de medewerkers en het management met (self)assessments, onderzoek naar de manier waarop we risico’s managen vastleggen en controle van beheersmaatregelen. ProRail Corporate Audit controleert jaarlijks het risicomanagementsysteem. De directie bespreekt periodiek de opzet en werking van het risicomanagementsysteem en de toprisico’s met de raad van commissarissen.

Managementverklaring

Aan het eind van de jaarlijkse risicomanagementcyclus leggen managers en directeuren de mate van beheersing vast in een Managementverklaring Risicomanagement (MVRM). Daarbij stellen ze ook vast of en in hoeverre minder controleerbare zaken, zoals de bedrijfscultuur, bijdragen aan het behalen van de doelstellingen. Naar aanleiding van de MVRM’s 2013 is geconstateerd dat in een aantal bedrijfsonderdelen niet alle activiteiten, die verbonden zijn aan de uitvoering van risicomanagement, aantoonbaar zijn uitgevoerd. Mede hierdoor is de interne beheersing niet op alle punten aantoonbaar op voldoende niveau. Er zijn verbeteracties bepaald om er voor te zorgen dat de beheersing in 2014 wel aantoonbaar op voldoende niveau zal zijn.

Bevindingen 2013

Het risicomanagementsysteem dat we in 2013 hanteerden, is door ProRail Corporate Audit als voldoende beoordeeld. De aanbevelingen voor verbetering, met name gericht op volledige werking van het risicomanagementsysteem in de breedte en diepte van de organisatie, worden opgevolgd. Het systeem is tevens op een aantal punten aangepast aan de visie op risicomanagement die de directie begin 2013 heeft vastgesteld.
Uit het Control Risk Self Assessment en diverse interne rapporten is de conclusie getrokken dat het interne beheersingssysteem (ERM) weliswaar sterk is verbeterd qua opzet en bestaan, maar dat er op specifieke onderdelen nog stevig moet worden ingezet op de werking. Dit betreft een verbetering van de rapportageprocessen met betrekking tot prestaties en interne controlemaatregelen in het algemeen. Ook in specifieke thema’s zoals bijvoorbeeld integriteit, een meer bedrijfscultuur gerelateerd thema, wordt geïnvesteerd. Het proactief signaleren van risico’s (in het bijzonder financiële risico’s en compliance risico’s) en het proactief handelen staan hierbij centraal. Door de uitrol van ERM binnen de organisatie in combinatie met de implementatie van een nieuw risicomanagementsysteem wordt meer transparantie gecreëerd en worden rapportage lijnen verkort.
Het systeem van risicomanagement zoals dit binnen ProRail is opgezet en wordt uitgevoerd, is gericht op de totale beheersing van ProRail. Dit houdt in dat de opzet, bestaan en werking dienen te leiden tot het behalen van onze doelstellingen op strategisch en operationeel niveau. Aanvullend verzorgt een beheerst proces betrouwbare rapportages. Ten slotte wordt ProRail geacht binnen de kaders van de wet- en interne en externe regelgeving te opereren. In de afgelopen jaren is veel vooruitgang geboekt met de opzet en het bestaan van het risicomanagementsysteem. Nog niet in alle gevallen kan op basis van de opzet en het bestaan de werking ervan volledig worden gegarandeerd.
Absolute zekerheid bestaat niet op het gebied van risicomanagement, maar we kunnen met redelijke zekerheid verklaren dat onze financiële rapportages geen materiële onjuistheden bevatten en dat de controlemaatregelen in dit proces hebben gewerkt. Wij streven er naar om met ingang van 2015 op basis van het risicomanagementsysteem deze verklaring te kunnen verbreden tot een verklaring met betrekking tot de integrale beheersing van de doelstellingen van ProRail.
In 2012 is het aantal vertrouwenspersonen uitgebreid van één vertrouwenspersoon naar drie vertrouwenspersonen. De gedragscode en de namen van de vertrouwenspersonen zijn in 2013 extra onder de aandacht gebracht. In 2013 is een vermoede misstand bij hen gemeld. Naar aanleiding van deze melding is een diepgaand onderzoek ingesteld dat nog niet is afgerond. Van een beperkt aantal medewerkers is helaas komen vast te staan dat zij hun bevoegdheden te buiten zijn gegaan en in strijd hebben gehandeld met de geldende voorschriften. Met betrekking tot deze medewerkers zijn passende maatregelen genomen. De directie zal naar aanleiding van de uitkomsten van het bovengenoemd onderzoek extra beheersmaatregelen treffen ter voorkoming van integriteitsschendingen in de toekomst.

Strategische risico’s

De continuïteit van ProRail hangt voor een deel af van de concurrentiepositie van het spoor ten opzichte van andere vervoersmodaliteiten. In 2013 zijn we daarom begonnen met een structurele aanpak van de manier waarop wij onze concurrentiepositie meten. Ook de beschikbaarheid van voldoende gekwalificeerd personeel speelt een rol in de continuïteit. Met behulp van een strategisch personeelsplan wordt deze thematiek voldoende beheerst. Daarnaast is in 2013 in het reguliere onderwijs een specifieke opleiding voor de spoorsector van start gegaan.

Operationele risico’s

Operationele risico’s omvatten onder meer het risico van (grote) verstoringen, risico’s verbonden aan grote projecten en het risico van veiligheidsincidenten. De beheersing van het risico op grote verstoringen van de dienstregeling is in 2013 verbeterd.

Rapportagerisico’s

Rapportagerisico ontstaat als de tijdigheid, juistheid, kwaliteit of betrouwbaarheid van informatie en financiële gegevens in het geding zijn. Voor 2013 hebben we dit risico iets hoger ingeschat vanwege een reorganisatie van de afdeling die verantwoordelijk is voor het grootste deel van de rapportages. Het doel van de herinrichting was een efficiënter en effectiever rapportageproces. Voor 2014 verwachten we dan ook een betere beheersing van de rapportagerisico’s.

Compliance risico’s

Compliance risico’s betreffen de integriteit van de organisatie en de naleving van wet- en regelgeving. Compliance risico’s kunnen leiden tot reputatieschade, juridische schade, sancties en financiële schade. Vanwege de toenemende regeldruk en verscherpt toezicht zijn compliancerisico’s in 2013 uitdagender geworden.


Vorig artikelRisicomanagement Volgend artikelInternationaal vergelijken