Risicomanagement
Besturing en beheersing
Risicomanagement draait om het overzicht van risico’s en het managen daarvan. Hierbij hoort het in kaart brengen van risico’s met kans en effect en maatregelen om de kans en/of het effect te verkleinen. Hoe eerder eventuele risico’s worden geïdentificeerd hoe meer mogelijkheden er zijn om belangen, strategieën en risico’s tegen elkaar af te wegen. Risicomanagement draagt bij aan het behalen van de doelstellingen van ProRail en vormt een onmisbaar onderdeel van het bestuur van de organisatie.
De raad van bestuur is eindverantwoordelijk voor het risicomanagement van de organisatie. Voor de inrichting van de beheersing hanteert ProRail het ‘Three Lines'-model. De stafafdeling Integriteit, Risicomanagement en Compliance (IRC) ondersteunt het risicomanagement bij ProRail vanuit de tweede lijn en draagt zorg voor beleid, monitoring en procesondersteuning.
Risicomanagementsysteem
De afgelopen jaren hebben we risicomanagement naar een hoger niveau weten te tillen. Vanuit het programma ‘Reshaping Risicomanagement’ (gebaseerd op COSO/ERM) zijn op corporate niveau zeventien dashboards ontwikkeld. Ieder kwartaal worden de meest ernstige risico’s integraal besproken in de ExCo met daarnaast aandacht voor de vraag of we hiermee ook inderdaad de belangrijkste risico’s in beeld hebben.
De risico-eigenaren zijn verantwoordelijk voor de beheersing van risico’s. De risicohouding van de organisatie is bepaald aan de hand van de risicomatrix van ProRail. In deze matrix worden risico’s op de volgende impactcategorieën beoordeeld: fysieke veiligheid, impactvolle storingen op de infra, compliance, duurzaamheid, reputatie en financiële kosten. De status en ontwikkeling van een risico wordt door middel van de positie op de risicomatrix inzichtelijk gemaakt.
Verklaring van raad van bestuur
De raad van bestuur verklaart dat de systemen voor de financiële verslaggeving naar behoren hebben gewerkt en geeft aan dat met een redelijke mate van zekerheid kan worden gesteld dat de financiële verslaggeving geen onjuistheid van materieel belang bevat. Het bestuur verklaart dat (1) de jaarrekening voor zover bekend een getrouw beeld geeft van de activa en de passiva en van de financiële positie en het resultaat van ProRail; (2) het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar, en dat daarin de voornaamste risico’s waarmee ProRail wordt geconfronteerd zijn beschreven.
Risicogebieden ProRail
Binnen ProRail worden zestien risicogebieden onderscheiden die relevant zijn voor het behalen van de doelen en prestaties. De nummering correspondeert met het risicomanagementdashboard. De risicogebieden ‘Klanttevredenheid’ en ‘Communicatie & Externe betrekkingen’ zijn in 2023 samengevoegd, terwijl het risicogebied ERTMS-IEP is toegevoegd.
Hieronder worden de belangrijkste netto-risico’s geplot ten opzichte van de situatie in het laatste kwartaal van 2022.
Belangrijkste risicogebieden voor ProRail
Van de risicogebieden lichten we er een aantal uit die de meeste aandacht behoeven:
5. Infrastructuur
Het belangrijkste risico op dit gebied is dat er geen onderhoudscontract is en/of dat er sprake is van achterstallig onderhoud waardoor er op een tracé geen treinen kunnen rijden. Dit wordt veroorzaakt door de complexiteit van de PGO-contracten. Onvoldoende capaciteit bij de aannemers draagt bij aan dit risico. Hierdoor loopt ProRail zowel financiële- als compliance-risico’s.
Toelichting beheersing
Beheersmaatregelen zijn ingezet om de non-compliance op te lossen en de periode zo kort mogelijk te houden. Drie PGO 4.0 contracten zijn inmiddels tijdig afgesloten. De PGO-contractmanagement-organisatie is versterkt door uitbereiding van het aantal medewerkers. De operationele risico’s zijn inzichtelijk en op basis daarvan zijn maatregelen getroffen.
Ontwikkeling risico
Het risico is afgenomen ten opzichte van vorig jaar door het realiseren van een aantal maatregelen, waaronder het versterken van het PGO-contractmanagement.
8. Projectbeheersing
Het belangrijkste risico is dat lopende projecten met vertraging worden gerealiseerd. De productvrijgave of leveringscontracten van noodzakelijke onderdelen is onzeker en het toeleveringsproces schiet tekort.
Toelichting beheersing
Dit risico wordt beheerst via de taskforce Schaarste die vanuit Projecten, Asset Management en Procurement is opgericht, én door de aanbevelingen uit te voeren van een in 2023 gepubliceerd rapport van Corporate Audit over het toeleveringsproces.
Ontwikkeling risico
Ten opzichte van het voorgaande jaar is het risico gelijk gebleven. Enerzijds zijn risico’s met exogene factoren gemitigeerd, zoals kwartsloze ballast en stikstofdepositie. Anderzijds bleken in meerdere projecten nieuwe vrij te geven materialen niet beschikbaar, waardoor projecten moesten worden aangepast en duurder zijn uitgevallen. Het afgelopen jaar is 95% van de projecten gerealiseerd.
9. Capaciteitsmanagement
De twee belangrijkste risico’s zijn dat de systemen voor capaciteitsverdeling onvoldoende toegerust zijn voor de toenemende groei van vervoer en dat omleidingen gedurende de door Deutsche Bahn Netz geplande buitendienststelling van tachtig weken niet in het plansysteem kunnen worden verwerkt.
Toelichting beheersing
Er is opdracht gegeven om de door Deutsche Bahn Netz geplande 80-weekse buitendienststelling te verwerken in het capaciteitsverdelingssysteem Donna, en verder na te gaan hoe dit systeem toekomstbestendig kan worden aangepast.
Ontwikkeling risico
De positie van het risico is nagenoeg gelijk gebleven aan voorgaand jaar. Het risico blijft onder de aandacht, omdat de omleidingen door de Deutsche Bahn een langere periode in beslag nemen en goed georganiseerd moeten worden. Monitoring van de voortgang van ingezette acties is belangrijk voor de beheersing van dit risico.
10. Veiligheid
Het belangrijkste risico op dit gebied is dat wijzigingen (technisch, operationeel en organisatorisch) onvoldoende worden beoordeeld op veiligheidsrisico’s omdat het proces voor risicobeheer bij wijzigingen niet consequent wordt toegepast.
Toelichting beheersing
De aanpak om risicobeheersing bij wijzigingen te borgen in de operatie wordt in het voorjaar van 2024 afgerond.
Ontwikkeling risico
Het risico is in 2023 gelijk gebleven aan 2022 en vraagt oplossingen op maat.
12. Procurement
Het belangrijkste risico hier is dat ingenieursbureaus en aannemers specifiek voor de domeinen Treinbeveiliging (TB), Energievoorziening (EV) en Bovenleiding (BVL) te weinig capaciteit hebben en daarom het werk niet kunnen uitvoeren. Oorzaken van dit risico zijn de grote concurrentie en het gebrek aan voldoende opgeleid personeel.
Toelichting beheersing
Dit risico is beheerst via de taskforce Realisatie met maatregelen om meer werk overdag weg te zetten en te investeren in technische opleidingen.
Ontwikkeling risico
Het risico is in 2023 afgenomen ten opzichte van 2022 in kans van optreden door betere marktomstandigheden.
13. ERTMS-IEP
Het belangrijkste risico is dat de kosten van ERTMS-implementatie hoger uitvallen dan het beschikbare budget. Oorzaak van dit risico zijn macro-economische ontwikkelingen in de bevoorradingsketen waardoor er minder baanvakken binnen de programmaperiode worden gerealiseerd.
Toelichting beheersing
Dit risico is beheerst door besparingsopties door te voeren. Begin 2024 vindt een herijking van de programmaplanning plaats.
Ontwikkeling risico
Dit risicogebied is toegevoegd in 2023. De scope en het budget van het programma behoeven aandacht.
16. Compliance
Ten opzichte van 2022 is de scope van dit risico uitgebreid van alleen het gebied Zee − Zevenaar naar alle regio’s. Het belangrijkste risico is het niet voldoen aan wet- en regelgeving op gebied van milieu compliance. Hieronder valt de ruimtelijke omgeving waarin ProRail opereert, inclusief lucht, water, land, natuurlijke bronnen, flora, fauna, mensen en hun onderlinge relaties.
Toelichting beheersing
Er is recentelijk een rapportage Milieu compliance opgesteld die in 2024 verder moet worden geïmplementeerd.
Ontwikkeling risico
Dit risico is afgenomen ten opzichte van voorgaand jaar. ProRail is bezig om milieu compliance in te bedden in de processen.
Overige risicogebieden
Hieronder volgt de samenvatting van een aantal relevante risicogebieden.
1. Cultuur & organisatie
In 2022 was het belangrijkste risico dat de doelstellingen onduidelijk waren voor de medewerkers. Dit risico is beheerst doordat de doelstellingen zijn ingebed in ‘Spoor naar morgen’ en zijn vastgesteld in het jaarplan 2024. Per eind 2023 is het belangrijkste risico dat personeel en inhuur zich niet houdt aan gedragsregels en -procedures, bijvoorbeeld omdat regels en procedures niet bekend zijn bij de medewerkers. Dit is geadresseerd via het onboarding programma voor nieuwe medewerkers en verschillende workshops en e-learnings.
2. Communicatie & Stakeholders
Het belangrijkste risico in 2022 was dat afspraken van de organisatie met de stakeholders niet worden nagekomen. Het belangrijkste risico per eind 2023 is dat het vertrouwen van stakeholders afneemt vanwege storingen, dat projecten niet tijdig afgerond worden of dat klachten niet correct of tijdig worden afgerond. Om dit risico te mitigeren is issue-communicatie geprofessionaliseerd en de afhandeling van klachten verbeterd.
3. Duurzaamheid
Het belangrijkste risico op dit gebied is dat we maatregelen rond duurzaam materiaalgebruik niet tijdig kunnen uitvoeren door tekorten aan financiële middelen. Als maatregel is een Bestedingsplan Klimaat Neutrale en Circulaire Infrastructuurprojecten opgesteld.
4. Innovatie
Het belangrijkste risico is dat er te weinig gedigitaliseerd wordt en dat systeemsprongen niet of niet tijdig gemaakt kunnen worden. De voornaamste oorzaak is dat er onvoldoende capaciteit beschikbaar is voor noodzakelijke ICT-ontwikkelingen.
Om dit risico te beheersen is een langetermijnvisie voor digitalisering opgesteld; aan de hand van deze digitaliseringsvisie is de prioritering van middelen en financiering voor 2024 bepaald.
6. Continuïteit van de treindienst
Het belangrijkste risico op dit gebied is de uitval van verouderde systemen waardoor (goederen)treinen niet kunnen rijden.
Om dit risico te beheersen wordt het uitwijkproces versneld en het crisismanagement verbeterd. Op lange termijn is ingezet op de ontwikkeling van nieuwe systemen om te zorgen voor een veilige en betrouwbare dienstverlening.
7. Betrouwbaarheid IT- & OT-systemen
Het belangrijkste risico op dit terrein is dat IT- en OT-systemen niet betrouwbaar of beschikbaar zijn. Om dit risico te mitigeren is de scope en kwaliteit van het Security Operations Center uitgebreid. Ook is er sinds 2023 geautomatiseerd inzicht in de kwetsbaarheden van de IT- en OT-systemen beschikbaar.
11. Human Resource management
Het belangrijkste risico op dit gebied is dat ProRail onvoldoende nieuwe medewerkers kan aantrekken door de krapte in de arbeidsmarkt. Om de juiste gekwalificeerde medewerkers aan te trekken zijn meerdere succesvolle maatregelen getroffen. ProRail heeft relatief weinig last van schaarste, behalve op bepaalde gebieden, zoals technisch personeel.
14. Financiële dekking
Het belangrijkste risico is onvoldoende financiële dekking voor het in stand houden van het bestaande areaal en het realiseren van de ambities voor de periode tot en met 2025. In 2022 en 2023 zijn de financiële reeksen voor Exploitatie, Onderhoud en Vernieuwing (EOV) over de periode 2024-2038 opnieuw opgebouwd. Het ministerie van Infrastructuur en Waterstaat heeft vervolgens een extern bureau een audit laten uitvoeren naar deze reeksen. De focus van deze reeksen ligt vooral op de benodigde financiering voor de periode 2026-2029. De projectportefeuille is dusdanig groot dat deze financieel niet haalbaar lijkt te zijn. Daarom moeten er intern keuzes worden gemaakt.
15. Betrouwbare rapportage van realisatiecijfers
Het belangrijkste risico heeft betrekking op de betrouwbaarheid van interne rapportages. De basisinrichting van de administratieve organisatie en interne beheersing is onderwerp van regelmatige evaluatie en controle.