Besturing
De raad van bestuur is verantwoordelijk voor het opzetten, implementeren en onderhouden van een adequaat systeem voor risicobeheersing en interne controle. Dit systeem richt zich op de identificatie en beheersing van strategische, operationele, compliance- en verslaggevingsrisico’s waarmee ProRail te maken heeft.
Dit onderdeel beschrijft hoe ProRail risicomanagement toepast binnen haar werkzaamheden in de spoorsector. Risicomanagement ondersteunt het behalen van onze doelstellingen. Daarbij maakt ProRail gebruik van internationaal erkende raamwerken en interne systemen voor risicobeheersing en controle. Het gaat om inzicht in risico’s én de beheersing daarvan. De raad van bestuur stelt de risicobereidheid vast en besluit welke maatregelen ProRail neemt om risico’s te beperken.
Verantwoordelijkheden en toezicht
De eerste lijn is primair verantwoordelijk voor risicobeheersing.
De afdeling Integriteit, Risicomanagement en Compliance (IRC) ondersteunt en bewaakt het proces als tweede lijn.
Corporate Audit voert onafhankelijke toetsingen uit op opzet, bestaan en werking van beheersmaatregelen.
De raad van bestuur is eindverantwoordelijk voor de adequate opzet en werking van de interne risicobeheersings- en controlesystemen op het gebied van operationele, compliance- en verslaggevingsrisico’s over het afgelopen jaar en welke raamwerken daarbij zijn gehanteerd, alsmede de beoordeling van de effectiviteit van de interne risicobeheersings- en controlesystemen voor deze operationele, compliance- en verslaggevingsrisico’s.
De raad van bestuur zorgt voor periodieke rapportages aan de Auditcommissie en de Raad van Commissarissen, zodat zij adequaat inzicht hebben in de voornaamste risico’s, de risicobereidheid en de effectiviteit van het interne risicobeheersings- en controlesysteem.
Opzet risicomanagement
Risicomanagementproces
Het risicomanagement is vastgelegd in risicobeleid, gericht op transparante registratie van risico’s en besluitvorming daarover. ProRail hanteert een gestructureerde aanpak van risicobeheersing, gebaseerd op het COSO ERM-raamwerk. Op basis van risicobeoordeling ontwerpt, implementeert en onderhoudt ProRail adequate beheersingsmaatregelen. Periodiek inventariseert ProRail op verschillende lagen in de organisatie de aanwezige risico’s. Dit betreft risico’s op gebied van strategie, operatie, compliance en verslaggeving. Voor de geïdentificeerde risico’s gebruiken we een risicomatrix. Hiermee beoordeelt ProRail risico’s op kans en impact. Het hanteren van deze matrix leidt ook tot onderlinge vergelijkbaarheid. In deze risicomatrix komt ook de risicobereidheid van ProRail tot uiting. De status en ontwikkeling van een risico is zichtbaar door de positie in de matrix. ProRail monitort periodiek, minstens eens per kwartaal, de opzet en werking van beheersingsmaatregelen op de individuele risico’s en herijkt hiermee de positie van het risico in de matrix. Het beoordelen van de risico’s kan aanleiding geven tot aanscherping van beheersingsmaatregelen. Tenminste jaarlijks beoordeelt ProRail de opzet en werking van de risicobeheersings- en controlesystemen. Het totaal van de risicobeheersings- en controlesystemen dient als basis voor de bestuursverklaring zoals opgenomen in het onderdeel ‘Verklaring Omtrent Risicobeheersing’.
Risicobereidheid en risicotolerantie
De risicobereidheid wordt jaarlijks per thema door de raad van bestuur geëvalueerd. De individuele risico’s staan uitgewerkt in een risicomatrix. Deze vertalen zich vervolgens in de risicogebieden van ProRail. De risicotolerantie zorgt ervoor dat de raad van bestuur binnen de gestelde kaders van het risicomanagement beleid blijft. De tolerantie uit zich op basis van de mogelijke impact en kans van het risico. De impact wordt bepaald door een directe relatie te leggen met de vijf resultaatgebieden van ProRail: Verbindt, Verbetert, Verduurzaamt, Bevlogen ProRailers en Betaalbaar spoor. Hierbij schaalt ProRail de impact in op een bereik van 'geen/zeer gering' tot 'zeer groot'. De kans wordt bepaald op basis van de waarschijnlijkheid dat het risico zich voor doet. Het resultaat van de weging van de impact en de kans van een risico bepaalt de positie van het risico in de matrix en hoe deze binnen ProRail’s risicobereidheid past.
In het afgelopen jaar zijn geen wijzigingen geweest in de risicobereidheid en de risicotoleranties. De risicobereidheid van ProRail ten aanzien van de risico’s is risicomijdend. Op basis van kans en impact blijft het risicoprofiel voor de thema’s strategie, operatie en compliance hoog. De overige thema’s zoals verslaggeving, financiën, fraude en duurzaamheid scoren lager en vallen daardoor buiten de top vijf risicogebieden. In het jaarverslag verantwoorden wij over de voornaamste risico’s, die hoofdzakelijk strategisch van aard zijn en raken inherent ook de operationele, compliance en verslaggevingskant.
Verantwoording werking en effectiviteit risicomanagement
De afgelopen jaren heeft ProRail risicomanagement naar een hoger niveau gebracht en op corporate niveau dashboards ontwikkeld. Elk kwartaal bespreekt ProRail de belangrijkste risico’s integraal in het overleg met risico-eigenaren en in de prestatiedialogen tussen directeuren en de raad van bestuur. De strategische risico’s komen zowel bottom-up als top-down aan bod in de Executive Committee.
In 2025 heeft de raad van bestuur de werking en effectiviteit van het risicobeheersings- en controlesysteem geëvalueerd. Daarbij is onder andere gebruikgemaakt van:
Risicodashboards
Beleid
Kwartaalrapportages en -gesprekken
Prestatiedialogen
Auditrapporten van de afdeling Corporate Audit
Uit de resultaten van de evaluatie over het afgelopen jaar blijkt een adequate werking van de risicobeheersings- en controlesystemen. Verdere ontwikkeling van het risicobeheersings- en controlesysteem is in 2025 doorgevoerd door de dashboards (bottom-up) te verbinden met de strategische risico’s uit het jaarplan van de ExCo (top-down), ter verdere versterking van de samenhang tussen de risico’s.
Risicogebieden
ProRail onderscheidt risicogebieden die onze activiteiten en processen weerspiegelen en relevant zijn voor het behalen van doelen en prestaties. De belangrijkste risicogebieden voor ProRail zijn:
Executiekracht
Het risico is dat de executiekracht van ProRail onvoldoende is om organisatiedoelen te realiseren. Oorzaken zijn een gebrek aan resultaatsturing, onnodige complexiteit en onvoldoende competentie om complexe vraagstukken te vereenvoudigen en om te zetten in concrete acties.
Toelichting beheersing
ProRail ondergaat een transformatie gericht op versterking van de executiekracht. We werken aan één uniforme manier van samenwerken. Hiervoor hebben we een programma opgezet dat zorgt voor duidelijke werkwijzen en versterking van kennis en vaardigheden. Het werken volgens de zes hoofdlijnen van deze aanpak komt, mede dankzij afgeronde ontwerpen en implementaties, goed op gang. De landelijke managementlaag is ingericht en verantwoordelijkheden zijn steeds duidelijker belegd. De beweging van theorie naar praktijk is zichtbaar ingezet.
Ontwikkeling risico
Ten opzichte van vorig jaar is het risico beter beheerst. De transformatie heeft geleid tot meer duidelijkheid in rollen, verantwoordelijkheden en sturing. Tegelijkertijd blijft de maatschappelijke opgave groot door de toename van projecten en werk, waardoor blijvende aandacht voor executiekracht noodzakelijk is.
Maakbaarheid
Het risico is dat projecten en assetontwikkeling vertragen of niet tijdig worden gerealiseerd door beperkte beschikbaarheid van personeel, materialen, treinvrije periodes en beperkte inschrijvingen op aanbestedingen. De beschikbaarheid van monteurs neemt af door vergrijzing en uitstroom naar andere sectoren, terwijl aannemers capaciteitsproblemen vaak laat melden. Ook binnen het productontwikkelingsproces ontbreekt soms capaciteit en expertise. Deze factoren kunnen leiden tot vertragingen, hogere kosten en verminderde betrouwbaarheid richting stakeholders, waardoor de maatschappelijke opgave in gevaar komt.
Toelichting beheersing
Voor beheersing van dit risico worden certificeringseisen voor monteurs herzien en wordt de inzet tijdens treinvrije periodes efficiënter gepland. Voor een robuustere supply chain is een plan van aanpak opgesteld, inclusief maatregelen voor materiaalplanning, productvrijgaven en procesoptimalisatie, die structureel zijn ingebed in de lijnorganisatie. Procurement ondersteunt met marktconsultaties en erkenningen voor extra capaciteit. Het Supply Chain Operating Model is begin juni geïmplementeerd en het multidisciplinaire team werkt steeds beter samen.
Ontwikkeling risico
Ten opzichte van vorig jaar blijft het risico stabiel. Voor 2026 ligt de focus op consolidatie, structurele borging en betere afstemming van systemen en processen, zodat projecten tijdig en betrouwbaar kunnen worden uitgevoerd.
Onderhoud infra
Het risico is dat onderhoudscontracten en/of onderhoud achterblijven, waardoor de betrouwbaarheid van de infrastructuur in gevaar komt. Oorzaken zijn de complexiteit van PGO-contracten, onduidelijke rolverdeling, onvoldoende beheersing van veiligheids- en beschikbaarheidsrisico’s, krappe aanbestedingsplanning, gerechtelijke procedures, niet nagekomen verplichtingen en beperkte capaciteit bij aannemers. Dit kan leiden tot ondoelmatige uitgaven, belemmering van treinverkeer op sommige tracés en oplopende kosten voor PGO.
Toelichting beheersing
Voor beheersing van dit risico is gestructureerde besluitvorming tussen aanbiedingen en gunningen ingevoerd, in samenspraak met het ministerie van Infrastructuur en Waterstaat. Na voorlopige gunning wordt samen met de aannemer de capaciteitsverdeling voorbereid. Het integreren van groenbeheer in PGO is in uitvoering, waarbij ProRail de regie versterkt, de uitvoering verbetert en de teameffectiviteit verhoogt. Daarnaast zijn er verbetertrajecten, waaronder optimalisatie van het storingsvalidatieproces met AI-ondersteuning en Performance Management op tactisch en operationeel niveau.
Ontwikkeling risico
Ten opzichte van vorig jaar blijft het risico gelijk, ondanks diverse verbeterinitiatieven en mitigatie van enkele specifieke risico’s. De tijd blijft krap, het dossier complex en de uitvoering van onderhoud uitdagend. Verdere implementatie van maatregelen wordt de komende jaren voortgezet.
Geopolitiek
Het risico is dat sabotage van infrastructuur of een cyberaanval de continuïteit van de dienstverlening in gevaar brengt. Wereldwijde spanningen, zoals in Oost-Europa en het Midden-Oosten, verhogen de kans op cyberaanvallen en sabotage. Onvoldoende borging van cybersecurity, beperkt risicomanagement en beperkte monitoring van dreigingen beïnvloeden de effectiviteit van preventie en herstel. Dit kan leiden tot onzekerheid over betrouwbaarheid en beschikbaarheid van infrastructuur en systemen. Daarnaast kunnen geopolitieke ontwikkelingen gevolgen hebben voor de supplychain.
Toelichting beheersing
ProRail heeft diverse maatregelen getroffen om dit risico te beheersen. Het externe Security Operations Center (SOC) is operationeel en bewaakt alle kritieke systemen, ondersteund door een Expertise Team Security. Cybersecurity is geïntegreerd in het Procurement-beleid en geborgd in contracten en leveranciersmanagement. Voor alle missiekritieke systemen worden risicoanalyses uitgevoerd en bijbehorende maatregelen geïmplementeerd op basis van businesscases. Daarnaast wordt de positie van ProRail ten opzichte van de NIS2-richtlijn en de Cyberbeveiligingswet geanalyseerd, waarna ICT en Asset Management beveiligingsplannen uitvoeren. BCM-maatregelen, zoals uitwijkmogelijkheden en inzet van wachtdiensten, zorgen dat ProRail kan anticiperen op incidenten.
Ontwikkeling risico
Ten opzichte van vorig jaar blijft het risico hoog door toenemende geopolitieke spanningen en complexiteit van cyberdreigingen. De genomen maatregelen versterken echter het vermogen van ProRail om tijdig te anticiperen en effectief te reageren. In de strategie-update voor 2026 wordt de aanpak verder aangescherpt en geborgd. Door de recente ontwikkelingen in het Midden-Oosten wordt daarnaast gekeken naar de supplychain, zoals de beschikbaarheid en betaalbaarheid van energie.
Digitalisering
Het risico is dat digitalisering niet of niet tijdig wordt gerealiseerd, waardoor systemen verouderen of uitvallen en andere mobiliteitssectoren sneller innoveren. Complexiteit, beperkte multidisciplinaire capaciteit en uitdagingen bij toepassing van technologische innovaties bemoeilijken digitale vernieuwing binnen ProRail. Het ontbreken van een integraal systeembeeld kan samenhang en overzicht van digitale programma’s beperken.
Toelichting beheersing
ProRail werkt volgens een stapsgewijze aanpak waarbij pijnpunten in kaart zijn gebracht en dienen als basis voor een oplossingenportfolio. We werken aan een beter overzicht van onze processen en systemen, zodat er meer samenhang ontstaat in hoe we samenwerken en plannen voor de toekomst. Voor het voorkomen van uitval van verouderde systemen zijn kortetermijnmaatregelen getroffen, die verder worden uitgewerkt in het jaarplan 2026.
Ontwikkeling risico
Ten opzichte van vorig jaar blijft het risico stabiel door de complexiteit van digitale programma’s en capaciteitsdruk. We voeren vernieuwingen stap voor stap en volgens een duidelijke aanpak uit. Het jaarplan 2026 zorgt ervoor dat deze acties structureel worden geborgd en dat we overzicht houden in onze digitale ontwikkelingen.
Verklaring omtrent risicobeheersing
De raad van bestuur is verantwoordelijk voor de opzet en werking van de interne risicobeheersings- en controlesystemen op het gebied van operationele, compliance- en verslaggevingsrisico’s over het afgelopen jaar en welke raamwerken daarbij zijn gehanteerd. De raad van bestuur heeft de effectiviteit van de interne risicobeheersings- en controlesystemen voor deze operationele, compliance- en verslaggevingsrisico’s beoordeeld. Voor een weergave van deze beoordeling verwijzen wij naar het onderdeel ‘Verantwoording werking en effectiviteit risicomanagement’.
Het risicobeheersings- en controlesysteem geeft geen absolute zekerheid ten aanzien van het realiseren van de ondernemingsdoelstellingen, noch zal dit een absolute garantie kunnen geven dat materiële fouten, verliezen, fraude of overtreding van wet- en regelgeving niet zullen voorkomen in de processen of de financiële verslaggeving.
Op basis van haar beoordeling en met verwijzing naar de best practice bepaling 1.4.3 van de Nederlandse Corporate Governance Code (2025), bevestigt de raad van bestuur van ProRail naar beste weten dat:
Het verslag voldoende mate van inzicht geeft in de werking van de interne risicobeheersings- en controlesystemen, zoals uiteengezet in het onderdeel ‘Verantwoording werking en effectiviteit risicomanagement’.
De interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van materieel belang bevat.
De interne risicobeheersings- en controlesystemen een beperkte mate van zekerheid geven dat de duurzaamheidsverslaggeving geen onjuistheden van materieel belang bevat, zoals uiteengezet in het hoofdstuk ESG.
Per balansdatum 31 december 2025, het bestuur niet is gebleken dat de interne risicobeheersings- en controlesystemen niet voldoende comfort bieden, dat deze systemen de voornaamste operationele en compliance risico’s effectief hebben beheerst, gegeven de risicobereidheid en met inachtneming van inherente beperkingen.
Het naar de huidige stand van zaken gerechtvaardigd is dat de financiële verslaggeving is opgesteld op going concern basis.
In het verslag de materiële risico's en onzekerheden zijn vermeld die relevant zijn ter zake van de verwachting van de continuïteit van de vennootschap voor een periode van twaalf maanden na opstelling van het verslag.
