Risicomanagement

Risicomanagement maakt integraal onderdeel uit van onze reguliere bedrijfsvoering. De directie is eindverantwoordelijk voor de effectieve beheersing van risico’s. Hierbij wordt evenwicht gezocht tussen duurzaamheid, sociale aspecten en de bedrijfsresultaten.

In de management control cyclus binnen de RET worden de risico’s met mogelijk strategische impact geïnventariseerd, geëvalueerd en zijn beheersmaatregelen bepaald. Een risico wordt van strategische impact ingeschat als deze de strategische doelstellingen van de RET zoals opgenomen in het bedrijfsplan, in gevaar kunnen brengen.

Bij het beoordelen van de risico´s wordt onderscheid gemaakt naar verschillende risicocategorieën, waarbij we strategische, operationele, financiële en compliance risico’s onderkennen. Bij het beoordelen van de risico’s schatten wij de waarschijnlijkheid van de gebeurtenis en de bijbehorende impact van een risico in. In de beoordeling van deze risico’s wordt aan de hand van de risicobereidheid per item bezien of de genomen beheersingsmaatregelen voldoende zijn voor de gewenste beheersing van de risico’s.
Gezien onze maatschappelijke functie en de wijze van financiering van het openbaar vervoer in het algemeen zijn wij terughoudend in het nemen van risico’s.  

In de planning- en control cyclus worden jaarlijks operationele en financiële doelstellingen afgestemd, zowel op bedrijfs- als afdelingsniveau. Periodiek wordt door de verantwoordelijke managers en directeuren over de realisatie van deze doelstellingen gerapporteerd, op basis waarvan eventueel bijsturing kan plaatsvinden.

Als onderdeel van onze planning- en control cyclus monitoren we de gedurende het jaar de werking van de beheersmaatregelen voor elk van de risico’s en evalueren we de impact van deze uitkomsten op onze strategische doelstellingen. Hierover wordt door de betreffende managers en directeuren per kwartaal gerapporteerd, als integraal onderdeel van de plannings- en control cyclus. De risico´s en de bijbehorende beheersingsmaatregelen worden jaarlijks in het Raad van Commissarissen behandeld. De volgende strategische risico’s zijn onderkend, met daarbij aangegeven de belangrijkste beheersmaatregelen:

Uitvoering project Hoekse Lijn

Het project Hoekse Lijn heeft programmarisico’s zoals de exploitatie van vervangend vervoer en het niet realiseren conform planning, waaronder de ombouw en de verlenging naar Hoek van Holland strand. Hierdoor kunnen de aannames over de exploitatie van Hoekse Lijn zoals opgenomen in de bieding voor de Railconcessie mogelijk niet worden gerealiseerd.

Beheersmaatregelen:

  • Financiële risico’s uit het programma liggen grotendeels bij programmabureau Hoekse Lijn van de gemeente Rotterdam, MRDH of kunnen worden verlegd op onderaannemers
  • Binnen het programmamanagement worden standaard risicomethodieken toegepast
  • Op het programmamanagement vindt een externe toetsing plaats (o.a. Prince 2 audit)
  • Periodieke herijking van de business case Hoekse Lijn 

Eisen deelconcessie Infrastructuur

Risico op het niet kunnen voldoen aan eisen vanuit de deelconcessie Infrastructuur.
De uitvoering van de concessie is moeilijk op het huidige peil te houden door druk op de beschikbare middelen vanuit de opdrachtgever, interne capaciteit en toename van het aantal buitendienststellingen van de exploitatie.

Beheersmaatregelen:

  • Aanpassen van onze werkmethodes (efficiënter werken)
  • Via met opdrachtgever afgestemde beheerplannen Railinfrastructuur beheerst de RET als asset manager de gehele levenscyclus
  • Voor investeringen is een meerjarenaanpak opgenomen, inclusief afweging van impact op de exploitatie
  • Periodieke voortgangsrapportages aan directie en opdrachtgever

Vervoerscapaciteit metronet

Vanuit het businessplan wordt een verdere groei in reizigersaantallen en reizigerskilometers verwacht, waarbij het risico bestaat dat er de komende jaren op specifieke trajecten de capaciteitsgrens voor vervoer wordt bereikt, en als gevolg daarvan kan leiden tot een lager dan beoogde reizigersgroei en klanttevredenheid. Verhoging risico op vertraging uitvoering keerspoor RandstadRail door uitblijven bestuurlijke besluitvorming.

Beheersmaatregelen:

  • Onderzoek uitgevoerd naar het punt waarop het net zijn maximum aan vervoerscapaciteit heeft bereikt. Scenario’s zijn uitgewerkt en definitieve keuzes zullen eind 2018 moeten worden gemaakt
  • Tijdig vervolgbesluiten nemen naar aanleiding van uitkomsten onderzoek op het gebied van voertuigen en techniek

Introductie elektrische bus

De introductie van de elektrische bus is onderdeel van de nieuwe bus-concessie van 2019 tot en met 2034. Onbekendheid met de elektrische bus geeft onzekerheid in de uitvoering van aanpassingen aan de infrastructuur qua laadplekken en stallingslocaties. Tevens bestaat er onzekerheid met betrekking tot de haalbaarheid van de efficiency in de bieding met betrekking tot de dienstregeling.

Beheersmaatregelen:

  • Er is een Program Board ingesteld waarbij het programma zes-wekelijks wordt gemonitord
  • Er is een overlegstructuur met MRDH en HTM ingesteld
  • Er zijn werkgroepen ingesteld
  • Er is een risicoregister opgesteld
  • De (laad)infra is als speerpunt benoemd binnen het programma

Duurzame inzetbaarheid van personeel

Een ouder wordend personeelsbestand, met verhoudingsgewijs lagere vitaliteit en lagere arbeidsproductiviteit, geeft risico op onvoldoende medewerkers voor de operatie met als gevolg verhoogde werkdruk en ziekteverzuim.

Beheersmaatregelen:

  • Werkgroep duurzame inzetbaarheid voor het langer gezond en vitaal aan het werk zijn, inclusief monitoring geschetste doelstellingen:
    • Onderzoek werkvermogen inclusief nulmeting
    • Vanaf 2017 introductie van combifuncties, voorwaarts roteren van roosters en periodiek medisch onderzoek.

Overige risico's

Hiernaast worden in de management controlcyclus ook overige risico´s meegewogen. Deze onderwerpen worden als risico onderkend indien zij een bedreiging vormen voor de realisatie van de in het bedrijfsplan opgenomen doelstellingen. De belangrijkste risico’s zijn als volgt:

  • Instroom personeel
    Door toenemende krapte arbeidsmarkt onvoldoende instroom voor technisch personeel en specifieke overige functies. Risico op onvoldoende medewerkers voor operatie met als gevolg verhoogde werkdruk.
  • Afhankelijkheid overheid/politiek
    De RET kent een belangrijke mate van afhankelijkheid van overheid en politiek, zowel vanuit eigenaarschap, opdrachtgeverschap als maatschappelijke invloeden. De overheid bepaalt zowel de kaders als de investeringsruimte. Tevens is de MRDH bezig met een onderzoek naar beleidsruimte ('aan welke knoppen kan de MRDH draaien bij de RET'). Dit heeft zowel invloed op de opbrengsten (kaartopbrengsten en exploitatiebijdragen) als op bedrijfsmatige keuzes. Tot slot zijn er dit jaar gemeenteraadsverkiezingen.
  • Verandervermogen van de organisatie
    Wij zijn ambitieus in het bedrijfsplan en de doelstellingen op overige projecten en programma’s. De realisatie hiervan vraagt naast goede sturing op resultaat en proces (beheersmatig) een toereikend verandervermogen (flexibiliteit) en goede samenwerking. Gebrek hieraan wordt als risico gezien door de huidige cultuur van weinig kennis delen, beperkt eigenaarschap voelen, beperkt financieel bewustzijn, te weinig keten denken en de beperkingen vanuit de cao/interne bedrijfsregelingen.
  • Terrorisme
    Risico op gevoel van onzekerheid door externe oorzaken als terrorisme. Inschatting Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) huidig dreigingsniveau voor de sector stad- en streekvervoer is basis, dit is het laagste niveau.
  • Uitval CVL systemen
    Cruciale CVL systemen zijn nog niet redundant uitgevoerd. Uitval van deze systemen heeft directe gevolgen voor de exploitatie van de metro (waar in tunnels, in tegenstelling tot bus en tram niet op zicht kan worden gereden). Dit geldt uiteraard ook bij een calamiteit met het pand (brand, bewuste beschadiging, bommelding, enz) wat als minder waarschijnlijk wordt ingeschat, maar waarvan de duur van uitval aanzienlijk langer kan zijn en de impact aanzienlijk hoger zal zijn.

Voor de financiële vertaling van de belangrijkste risico’s is in het proces van de bieding gebruik gemaakt van een meerjarig financieel scenariomodel, waarin rekening wordt gehouden met meerdere scenario’s. De overige (financiële) risico’s en onzekerheden in relatie tot de financiële verslaglegging worden in de geconsolideerde jaarrekening toegelicht.

Als verdere verbijzondering van de strategische risico’s en als onderdeel van het onderwerp integriteit uit de bedrijfscode wordt sinds 2016 een frauderisico inventarisatie uitgevoerd. Dit heeft als doel om frauderisico’s jaarlijks gestructureerd in kaart te brengen. Belangrijke elementen zijn: onrechtmatig, persoonlijk voordeel, misleiding, benadeling en opzet.

De volgende top-5 fraude risico’s zijn onderkend:

  • Ransomware, systemen gegijzeld voor geld of productie lamleggen
  • Te veel toegekende of uitbetaalde salarissen, verlofuren, declaraties en overwerk door leidinggevende onvoldoende kritisch of niet gezien
  • Onterechte goedkeuring van prestaties door leveranciers en relaties met externen
  • Prestatieverantwoording door RET aan MRDH gunstiger weergeven
  • Wijzigen bankrekeningnummer of valse facturatie

Voor de beheersing van de risico’s worden naast de bestaande functiescheidingen en reviews op begrotingen en realisaties ook een set van overige beheersmaatregelen ingezet. Hierbij valt – niet limitatief – te denken aan het aanstellen van een Security & Privacy officer en het uitvoeren van een vastgestelde security roadmap. Verlof een onderwerp is van gesprek tussen manager en de personeelsadviseur en declaraties worden door functionarissen van de (salaris)administratie bekeken. Voor inkopen is een offerteprocedure ingesteld en op het wijzigen van bankrekeningnummers is het vier ogen principe van toepassing. Op het gebied van prestatieverantwoording aan MRDH is er een beperkte relatie tussen individuele targets van de prestaties en wordt additionele zekerheid ontvangen door onafhankelijke accountantscontrole.

Voor de beheersing van belangrijke bedrijfsprocessen zijn internal control frameworks en tax control frameworks opgezet. Hierin wordt de beheersing geformaliseerd en daarmee de betrouwbaarheid van de informatievoorziening en verantwoording verhoogd. Om inzicht te verschaffen over effectiviteit van de control frameworks wordt beoordeeld of deze in opzet, bestaan en werking functioneren zoals beschreven. Als onderdeel van de control cyclus worden monitoring activiteiten partieel roulerend uitgevoerd op de verschillende control frameworks. In de monitoring activiteiten gedurende het verslagjaar zijn de procedures rond btw, loonheffingen en OV-chipkaartprocessen onderwerp van controle geweest. De conclusies uit deze monitoring is dat het overgrote deel van de procedures voor btw en loonheffingen effectief heeft gewerkt of dat er mogelijkheden aanwezig zijn om het proces verder te verbeteren. Uit de monitoring van OV-chipkaartprocessen zijn meerdere niet-effectieve controls gesignaleerd. Deze houden hoofdzakelijk verband met de risicogebieden privacy, security en fraudemanagement. Ten opzichte van voorgaand jaar is de mate van beheersing overall verbeterd en zijn verdere verbeteringen voorgesteld. De voorgestelde verbeteringen worden periodiek gemonitord als onderdeel van de reguliere plannings- en control cyclus.

Hiernaast worden meerdere interne controles uitgevoerd. Onder meer binnen Techniek worden periodiek audits uitgevoerd voor onder meer de ISO-certificering. Op het gebied van personeel hebben interne controles plaatsgevonden op de verzuimprocedures voor RET als geheel en de periodieke risico inventarisatie en evaluatie (RI&E) binnen enkele exploitatie-afdelingen. Naast de interne beheersingsmechanismen hebben gedurende het verslagjaar ook externe audits plaatsgevonden, dit kunnen zowel periodieke audits zijn als audits op ad-hoc basis. Hierbij valt onder meer te denken aan compliance audits door Inspectie Leefomgeving en Transport (ILT), Inspecties milieudienst Rijnmond (DCMR) en onderzoeken door Sociale Zaken en Werkgelegenheid (SZW) naar aanleiding van een drietal arbeidsongevallen. Op het gebied van privacy is een tweejaarlijks onderzoek uitgevoerd, waarvan de uitkomsten aan de Autoriteit Persoonsgegevens worden verstrekt. Tevens heeft een ethical hack plaatsgevonden.

Gedurende 2017 is niet geconstateerd dat er significante tekortkomingen aanwezig waren in de interne beheersingsstructuur en is geen aanleiding om te concluderen dat de interne beheersingssystemen niet naar behoren hebben gefunctioneerd.

Via de Internal Audit Functie wordt aan de directie van de RET aanvullende zekerheid verschaft ten aanzien van de effectiviteit van de interne risicobeheersings- en controlesystemen en haar governance processen. Dit gebeurt door op een systematische wijze organisatiebrede, onafhankelijke en objectieve interne audits (onderzoeken) en adviesdiensten uit te voeren. Voor risico’s, welke in de in 2017 uitgevoerde audits zijn geconstateerd, zijn of worden acties geformuleerd. Deze acties worden periodiek gemonitord als onderdeel van de reguliere plannings- en control cyclus.

De accountant heeft de ‘management letter’ naar aanleiding van zijn onderzoek naar de processen die van belang zijn voor het jaarrekeningtraject gepresenteerd aan de directie, de auditcommissie en Raad van Commissarissen.

De RET heeft een klokkenluidersregeling en overlegt periodiek dilemma´s in de commissie Integriteit. De klokkenluidersregeling is verankerd in de cao. Met behulp van deze regelingen en de interne handhaving heeft de directie een transparant kader geschetst voor gewenste integriteit en openheid binnen de organisatie.