Risicomanagement

Risicomanagement maakt integraal onderdeel uit van onze reguliere bedrijfsvoering. De directie is eindverantwoordelijk voor de effectieve beheersing van risico’s. Hierbij wordt evenwicht gezocht tussen duurzaamheid, sociale aspecten en de bedrijfsresultaten. Gezien onze maatschappelijke functie en de wijze van financiering van het openbaar vervoer in het algemeen zijn wij terughoudend in het nemen van risico’s.

De directie is de eigenaar van de management controlcyclus binnen de RET. In de management control cyclus worden de risico’s met mogelijk strategische impact ieder jaar geïnventariseerd, geëvalueerd en worden beheersmaatregelen bepaald.

Op een lager, operationeel niveau zijn de managers eigenaar van de jaarlijkse planning- en controlcyclus. Hierin worden jaarlijks operationele en financiële doelstellingen afgestemd, zowel op bedrijfs- als afdelingsniveau. Periodiek wordt door de verantwoordelijke managers en directeuren over de realisatie van deze doelstellingen gerapporteerd, op basis waarvan eventueel bijsturing kan plaatsvinden. Tevens worden periodiek de risico’s beoordeeld en wordt door de verantwoordelijke managers en directeuren per kwartaal over de voortgang gerapporteerd, als integraal onderdeel van de plannings- en control cyclus. Bij het beoordelen van de risico’s schatten wij de waarschijnlijkheid van de gebeurtenis en de mogelijke financiële impact van een risico in.

In 2019 is de aanpak gericht de strategische risico-analyse verder verbeterd. Onder andere is gestart met het visualiseren van de strategische risico’s op een Strategische Risk Radar en zijn naast de directieleden ook de managers betrokken bij de inventarisatie. Daarnaast heeft de RET de ambitie om het risicomanagement verder te ontwikkelen en in te bedden in de organisatie. Om dit te bewerkstelligen wordt in 2020, onder regie van Concern Control, gestart met het schrijven van beleid en het ontwikkelen en implementeren van een strategisch risicobeheersingsraamwerk. De omschrijving van de risicobereidheid zal hierin meegenomen worden. De RET beoogt hiermee focus en inzicht op de risicobeheersing te geven en een verbeterde beheersing van de strategische risico’s te realiseren.

Strategische risico’s

Met nauwe betrokkenheid van managers en de directieleden zijn de strategische risico’s vastgesteld en gevisualiseerd op de Strategische Risk Radar. Ten opzichte van 2018 zijn een drietal strategische risico’s vervallen, de uitvoering van het project Hoekse Lijn, eisen deelconcessie infrastructuur en de introductie van de elektrische bus. Door de ingebruikname van de Hoekse Lijn en de elektrische bussen en het stellen van andere prioriteiten zijn deze risico’s vervallen. Cyber dreigingen is als Strategisch Risico onderkend maar qua prioriteit niet in de top vijf opgenomen.

De geïnventariseerde strategische risico's en de bijbehorende beheersingsmaatregelen worden jaarlijks door de RvC behandeld. In tabel 1 zijn de vijf strategische risico’s met de hoogste prioriteit opgenomen.

Operationele risico’s

Bij de inventarisatie van de strategische risico’s zijn tevens negen strategische risico’s vastgesteld die de operationele processen van de RET raken. Operational excellence techniek en verandervermogen en flexibiliteit zijn reeds toegelicht bij de strategische risico’s. In tabel 2 zijn de strategische risico’s opgenomen die de operationele processen raken.

Fraude risico’s

De RET wil een integere organisatie zijn en bekend staan als een betrouwbare partner binnen het openbaar vervoer, daarbij gaat zij uit van de goede trouw van haar medewerkers, relaties en reizigers. Helaas is dit vertrouwen niet altijd gerechtvaardigd. Fraude is voor de RET een vorm van integriteitsschending. De RET verwacht van haar medewerkers dat zij integriteitsschendingen te alle tijden voorkomen en tolereert geen enkele vorm van fraude.

Deze uitgangspunten zijn geformaliseerd middels vaststelling van het RET-fraudebeleid. Het doel van dit beleid is het neerleggen van een kader als leidraad voor het juiste gedrag op het gebied van fraudebeheersing. De RET heeft een bedrijfscode met klokkenluidersregeling, integriteit- en  gedragscommissie, vertrouwenspersonen, screeningsprocedures en andere periodieke scans om fraude zoveel mogelijk te voorkomen of tijdig te signaleren. Het beleid geeft aan wat de RET onder fraude verstaat, hoe zij hiermee omgaat en hoe de verantwoordelijkheden in dit proces zijn geregeld. Daarnaast biedt het een concrete systematiek waarmee het risico op fraude op een gedegen wijze wordt beoordeeld en een passende risicoreactie wordt gekozen.

Om frauderisico’s tijdig te signaleren is op basis van de vernieuwde systematiek een inschatting gemaakt van de potentiële frauderisico’s, rekening houdend met bestaande beheersmaatregelen en het fraudebeleid. Dit heeft geleid tot drie ‘top’ frauderisico’s die ten aanzien van verslaggeving en 13 ‘big’ frauderisico’s in de categorieën: opbrengstenverantwoording, uitgaande betalingen, hacking & cyberfraude, verduistering van voorraad, zwartrijden en salarismutaties. Om deze risico’s naar een conform het fraudebeleid acceptabel niveau terug te brengen zijn diverse actiehouders aangewezen. Die zijn middels een plan van aanpak en concrete vervolgacties verantwoordelijk voor reductie van deze risico’s. De voortgang wordt periodiek gemonitord middels de kwartaalrapportage.