Besturing en beheersing

Risicomanagement draagt bij aan het behalen van de doelstellingen van ProRail en vormt een onmisbaar onderdeel van het bestuur van de organisatie. Risicomanagement draait om het verkrijgen van overzicht van risico’s, alsmede het managen daarvan. Hierbij hoort het registreren van risico’s met kans en effect en maatregelen om de kans en/of het effect te verkleinen. Hoe eerder eventuele risico’s worden geïdentificeerd hoe meer mogelijkheden er zijn om belangen, strategieën en risico’s tegen elkaar af te wegen.

De raad van bestuur is eindverantwoordelijk voor het risicomanagement van de organisatie. Voor de inrichting van de beheersing hanteert ProRail het ‘Three Lines'-model. De afdeling Integriteit, Risicomanagement en Compliance (IRC) ondersteunt het risicomanagement bij ProRail vanuit de tweede lijn en draagt zorg voor beleid, advies en monitoring.

Risicomanagementsysteem

De afgelopen jaren hebben we risicomanagement naar een hoger niveau weten te tillen. Gebaseerd op COSO/ERM zijn op corporate niveau dashboards ontwikkeld. Ieder kwartaal worden de meest ernstige risico’s integraal besproken in het overleg met de risico-eigenaren en in de prestatiedialogen tussen directeuren en RvB. De strategische risico’s zowel bottom-up, als top-down uit het jaarplan van ProRail, worden besproken in de Executive Committee.

De risico-eigenaren zijn verantwoordelijk voor de beheersing van de risico’s. Binnen ProRail hanteren wij een risicomatrix. De risicohouding van de organisatie is bepaald aan de hand van deze matrix. In deze matrix worden risico’s op de volgende impactcategorieën beoordeeld: fysieke veiligheid, impactvolle storingen op de infra, compliance, duurzaamheid, reputatie en kosten. De status en ontwikkeling van een risico wordt door middel van de positie op een risicomatrix inzichtelijk gemaakt.

Verklaring van de raad van bestuur

De raad van bestuur verklaart dat de systemen voor de financiële verslaggeving naar behoren hebben gewerkt en geeft aan dat met een redelijke mate van zekerheid kan worden gesteld dat de financiële verslaggeving geen onjuistheden van materieel belang bevat. Het bestuur verklaart dat (1) de jaarrekening voor zover bekend een getrouw beeld geeft van de activa en de passiva en van de financiële positie en het resultaat van ProRail; (2) het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar, en dat daarin de voornaamste risico’s waarmee ProRail wordt geconfronteerd zijn beschreven.

Risicogebieden ProRail

Binnen ProRail risicogebieden onderscheiden die de activiteiten en processen van ProRail reflecteren en relevant zijn voor het behalen van doelen en prestaties. In 2024 wordt een duidelijk onderscheid gemaakt tussen operationele risico’s in de clusters en strategische risico’s op ExCo-niveau. IRC heeft stappen gemaakt in de verbinding tussen de dashboards (bottom-up) en strategische risico’s uit het jaarplan van de ExCo (top-down). In het jaarverslag 2024 zijn de belangrijkste strategische risico’s vanuit de risicogebieden die op ProRail van toepassing zijn met ingang van 2024 niet meer behandeld per risicogebied, maar gegroepeerd in thema’s. De thema’s zijn: executiekracht, maakbaarheid, onderhoud infra, treinpunctualiteit, geopolitiek en digitalisering. Het thema executiekracht is breed en omvat vrijwel alle risicogebieden, maar ziet met name toe op het risicogebied Human Resource Management. Maakbaarheid is een belangrijk thema dat meerdere risicogebieden omvat, waaronder Projectbeheer, Procurement en Financiële dekking. Onderhoud infra bevat voornamelijk het risicogebied Asset Management. Treinpunctualiteit bevat meerdere risicogebieden, waaronder Continuïteit van de treindienst, Capaciteitsmanagement, Asset Management en Communicatie & Stakeholders. Het thema geopolitiek gaat over cyber security en raakt daarmee veel risicogebieden, zoals IT&OT-systemen, Asset Management, Capaciteitsmanagement en is met namelijk belangrijk voor het risicogebied Continuïteit van de treindienst. Het thema digitalisering omvat onder andere de risicogebieden Innovatie, ERTMS, IT&OT-systemen, Capaciteitsmanagement en Continuïteit van de treindienst.

De belangrijkste risicogebieden voor ProRail zijn:

1. Executiekracht (interne organisatie)

Een belangrijk risico is dat de executiekracht moet worden verbeterd om de doelen van ProRail te realiseren. Dit kan worden bewerkstelligd door meer nadruk op sturing, vereenvoudiging en meer competentiemanagement. Er vindt vanaf 2024 meer resultaatsturing en competentiemanagement plaats, waardoor we effectiever zijn in acties en processen. Dit leidt tot betere reputatie en meer vertrouwen van stakeholders in de organisatie.

Toelichting beheersing

Om meer grip te krijgen op de executiekracht van ProRail is de transformatie ‘Eén ProRail manier van samenwerken’ inclusief het ontwikkelprogramma gestart. Doelen en plannen worden in het jaarplan ‘Spoor naar morgen’ per cluster vastgelegd en gemonitord. Periodiek vindt een assessment van de transformatie plaats. Het jaarplan 2025 zal de actiegerichtheid verder vergroten.

Ontwikkeling risico

Ten opzichte van het voorgaande jaar is het risico meer beheerst, omdat meer zichtbaar is geworden wat wij op dit vlak te doen hebben. Tegelijk is de maatschappelijke opgave toegenomen door een forse toename in projecten en werk. Omdat er tot 2026 meer mensen de arbeidsmarkt verlaten dan erbij komen, geven wij extra aandacht aan onze kritische functies.

2. Maakbaarheid

Het risico bij maakbaarheid is dat projecten en de ontwikkeling van assets niet tijdig worden gerealiseerd, doordat er onvoldoende menskracht, materialen en treinvrije periodes (TVP’s) beschikbaar zijn voor de uitvoering van het projectenportfolio. De projectopgave is afgelopen jaar nagenoeg helemaal uitgevoerd, hoewel deze fors is toegenomen en relatief groot was ten opzichte van de beschikbare capaciteit. Ook waren de benodigde materialen niet altijd tijdig beschikbaar, waardoor maatregelen genomen moesten worden om vertraging en/of hogere kosten te beperken.

Toelichting beheersing

Om het risico onder controle te krijgen, zijn verschillende maatregelen genomen. De certificeringseisen voor monteurs worden aangepast door te zoeken naar een meer passende opleiding en certificering van sommige werkzaamheden, zodat we de inzet van monteurs bij aannemers flexibeler kunnen maken. Daardoor kan efficiënter worden gewerkt. De mogelijkheden om doordeweeks te werken zullen beter worden benut in de TVP programmering. Daarnaast wordt gewerkt aan een robuuster Supply Chain Management. In het jaarplan van 2025 is een programma opgenomen op dit risico op lange termijn te adresseren.

Ontwikkeling risico

Ten opzichte van het voorgaande jaar is het risico nagenoeg gelijk gebleven, hoewel het werk aanzienlijk is toegenomen.

3. Onderhoud infra

Het risico van het thema onderhoud infra is dat er geen onderhoudscontract aanwezig is en/of er sprake is van achterstallig onderhoud. De oorzaken van dit risico zijn divers: de Prestatiegericht Onderhoud (PGO) contracten zijn complex, de planning van de aanbestedingen zijn krap, gerechtelijke procedures worden aangespannen, wederzijdse verplichtingen worden niet nagekomen, en er is onvoldoende capaciteit bij de aannemers. Het risico kan tot ondoelmatige en onrechtmatige uitgaven leiden.

Toelichting beheersing

Om het risico te beheersen worden de verlengingen van de PGO-contracten conform de aanbestedingskalender PGO gedaan. In dit kader wordt binnen het cluster AM een centraal team ingericht van waaruit werkdrukverlichting en diverse verbetertrajecten worden geïnitieerd. Werkdrukverlichting zal onder andere plaatsvinden door het beschikbaar stellen van capaciteit aan de teams die opereren in de verschillende gebieden.

Ontwikkeling risico

Ten opzichte van het voorgaande jaar is het risico gelijk gebleven, hoewel er wel veel verbeterinitiatieven hebben plaatsgevonden. Doordat de oorzaken divers zijn, zijn veel maatregelen nodig om dit risico voor de toekomst te mitigeren.

4. Treinpunctualiteit

Het risico onder treinpunctualiteit is treinvertraging en uitval van treinen door verminderde of suboptimale operationele prestaties. De capaciteit van het Nederlandse spoornetwerk wordt maximaal benut, waardoor de impact van één verstoring al snel groot is en veel reizigers raakt. Door maatregelen als gevolg van gesignaleerde of nog niet bekende onderbouwdefecten kunnen treinen niet/minder snel op de HSL rijden. De impact hiervan is voor de beschikbaarheid aanzienlijk.

Toelichting beheersing

Digitalisering van de logistieke keten, opstellen van de integrale ontwikkelagenda en het doorpakken op het maatregelenpakket spoorgoederenvervoer moeten helpen om het risico onder controle te krijgen. Het verbeterprogramma HSL-Zuid voert aanpassingen door op de dienstregeling ten aanzien van tijdelijke snelheidsbeperkingen. Er is een gezamenlijk verbeterprogramma ProRail-NS op punctualiteit en prestaties hoofdrailnet gericht op een prestatieverbetering in 2024 t/m 2026.

Ontwikkeling risico

Ten opzichte van het voorgaande jaar is het risico qua punctualiteit verbeterd. Verder is de personele bezetting (treindienstleiders) op orde. Mogelijk dat er komende jaren een tekort kan ontstaan vanwege krapte op de arbeidsmarkt.

5. Geopolitiek

Het risico onder geopolitiek is dat de organisatie, systemen en infrastructuur, waaronder IT en OT, niet betrouwbaar zijn voor nu en in de toekomst. De geopolitieke ontwikkelingen, zoals instabiliteit in Oost-Europa, vergroten enerzijds de behoefte aan een robuuste infrastructuur en anderzijds de kans op sabotage-activiteiten, zoals een cyberaanval, die grote impact kunnen hebben op de continuïteit van de bedrijfsvoering.

Toelichting beheersing

De bestaande BCM-maatregelen voor vitale ICT-infra worden continu aangescherpt. De conflicten in de wereld worden gemonitord en geanalyseerd wat betreft de impact op onze security. Er is een projectgroep gestart om de functies binnen ProRail in kaart te brengen die de nationale veiligheid kunnen schaden.

Ontwikkeling risico

Ten opzichte van het voorgaande jaar is het risico toegenomen vanwege de geopolitieke ontwikkelingen in Oost-Europa, Midden-Oosten en de toenemende spanningen met betrekking tot China. Deze ontwikkelingen vergroten de kans op cyberaanvallen.

6. Digitalisering

Het risico dat we niet of niet tijdig digitaliseren, waardoor systemen verouderd zijn en/of uitvallen. De scope en financiering hiervoor is bijgesteld, maar het risico blijft dat bijvoorbeeld het vervoerssysteem ERTMS onvoldoende werkend en werkbaar zal zijn. Verder behoeft implementatie van AI aandacht.

Toelichting beheersing

Om gebrek aan digitalisering aan te pakken is een visie op digitalisering tot 2040 gedefinieerd en een roadmap gedetailleerd voor 2024 en 2025. Noodzakelijke fundamentele systeemverbeteringen realiseren we door oude systemen die niet zijn bijgewerkt stapsgewijs te vervangen.

Ontwikkeling risico

Ten opzichte van het voorgaande jaar is het risico gelijk gebleven, ook omdat dit deels een extern karakter heeft.