Skip to content
Sluiten
Menu
WhatsApp

Beheersing

Voor de beheersing van belangrijke (financiële) bedrijfsprocessen en risico's maakt RET gebruik van een internal control framework en tax control framework. Hiermee is de beheersing geformaliseerd en de betrouwbaarheid van de financiële informatievoorziening en verantwoording verhoogd. Om inzicht te verschaffen in de effectiviteit van de control frameworks wordt middels periodieke interne monitoring beoordeeld of deze in opzet, bestaan en werking functioneren zoals beschreven. De voortgang van geconstateerde bevindingen wordt middels de kwartaalrapportage periodiek gemonitord.

Afwisselend op de interne monitoring werkzaamheden worden ter controle scans door externe partijen uitgevoerd. Gedurende 2021 hebben externe scans plaatsgevonden op de aangiften omzetbelasting en loonheffingen 2020. De partieel roulerende monitoringwerkzaamheden over 2021 inzake OV-chipkaart, P&O en het TCF-loonheffingen gaan van start gedurende het eerste kwartaal van 2022.

Daarnaast worden meerdere interne controles uitgevoerd. Onder meer binnen Techniek worden periodiek audits uitgevoerd voor de ISO-certificering. Op personeelsgebied hebben interne controles plaatsgevonden op de naleving van de verzuimprocedures.   Op het gebied van veiligheid is een self assessment op de veiligheidscultuur uitgevoerd, zijn diverse BHV-locaties geïnspecteerd en zijn verschillende interne veiligheidsonderzoeken en werkplekinspecties uitgevoerd. Bij de Centrale Verkeersleiding is een risico-inventarisatie en evaluatie (RI&E) uitgevoerd. De overige geplande periodieke RI&E’s binnen enkele exploitatie-afdelingen zijn in verband met de coronabeperkingen uitgesteld naar 2022. Tevens is de periodieke audit uitgevoerd naar het beleid, de systeembeveiliging en autorisatiebeheer van de SAP-autorisaties. En in opdracht van de RET heeft een externe partij audits uitgevoerd op het kwaliteitsmanagement van de SLF-E 350 kWh bussen bij VDL en op de productie van de elektrische bussen. 

Externe audits

Naast de interne beheersingsmechanismen hebben in het verslagjaar ook externe audits plaatsgevonden, zowel periodieke audits als audits op ad-hoc basis. Zoals compliance audits door Inspectie Leefomgeving en Transport (ILT) en Dienst Centraal Milieubeheer Rijnmond (DCMR). De ILT heeft in 2021 invulling gegeven aan de uitvoering van het (door MRDH aan haar opgedragen) toezicht arrangement in het kader van de Wet lokaal spoor. Er is een inspectie verricht bij metro op de processen rond de kuilwielenbank van de metrovoertuigen.   DCMR heeft een inspectie uitgevoerd op mogelijke energiebesparende maatregelen bij de locaties Waalhaven, Kralingen, Krimpen en de ’s Gravenweg.

Noemenswaardig is dat in 2021 de verplichte audit is afgerond op basis van de Europese Energie-Efficiency Richtlijn om inzicht te geven in het besparing /verduurzamingspotentieel. De opvolging van het verbeterpotentieel voor energiebesparing volgt begin 2022.

Eind 2021 is een pre audit uitgevoerd voor certificering op de Veiligheidsladder.  De uitkomst bevestigde de groei in het bewust veilig handelen. Eind 2022 is een audit gepland voor certificering. Vlootservices heeft in 2021 de VCA-certificering (opnieuw) toegekend gekregen. De naleving van de veiligheidsnormen is middels de VCA-onderhoudsaudit bevestigd, evenals bij Infraservices waar de VCA-certificering is verlengd.

Ook de drie jaarlijkse audits voor de hercertificeringen van de ISO-9001 en ISO-55001 normen hebben plaatsgevonden. Het ISO-9001 certificaat van Techniek is verlengd. De ISO-55001 certificeringen van de afdelingen Assetmanagement, Vlootservices en Infraservices zijn ook verlengd.

Gedurende 2021 zijn geen significante tekortkomingen geconstateerd in de interne beheersingsstructuur. Er is geen aanleiding om te concluderen dat de interne beheersingssystemen niet naar behoren hebben gefunctioneerd.

Internal Audit

De internal Audit Functie richt zich op interne beheersingsgebieden waar de organisatie belangrijke risico’s loopt. Afhankelijk van de behoefte van de directie, verschaft de Internal Audit Functie de directie van de RET aanvullende zekerheid ten aanzien van de beheersing van deze risico's of richt zij zich op het verstrekken van meer inzicht in het aanwezige verbeterpotentieel. Dit gebeurt door op een systematische wijze organisatiebrede, onafhankelijke en objectieve internal audits (onderzoeken) uit te voeren. De uitkomsten van de audits helpen om processen en werkwijzen te evalueren, zodat het management waar nodig verbeteringen kan treffen.

In 2021 is een audit uitgevoerd op het onderwerp Onderhoud Tram en Revisie & Modificatie Tram. Ook is een nulmeting uitgevoerd, gericht op de compliance aan de Wet politiegegevens en is een opdracht gestart gericht op de privacyaspecten rondom de OV-Chipkaart gegevens. Daarnaast is een opdracht gestart gericht op de betrouwbaarheid van de KPI’s waarover wordt gerapporteerd aan de MRDH en een opdracht gericht op het verbeterpotentieel ten aanzien van Business Continuity Management / IT Continuity Management.

Naar aanleiding van de bij audits geconstateerde risico’s formuleert het management acties. Deze acties worden periodiek gemonitord, als onderdeel van de reguliere plannings- en controlcyclus en dragen bij aan betere beheersing van de bedrijfsprocessen.

Integriteitsbeleid en de klokkenluidersregeling

De RET streeft ernaar een integere organisatie te zijn. Het bevorderen van integriteitsbewustzijn en het correct opvolgen en afhandelen van meldingen heeft hierbij de prioriteit. De RET-bedrijfscode en vertrouwenspersonen zijn belangrijke pijlers van het integriteitsbeleid. In de RET-bedrijfscode zijn onder andere de RET-(kern)waarden, relevante (CAO-)regelingen en overige interne afspraken opgenomen. In de bedrijfscode is vastgelegd op welke wijze klachten op het gebied van ongewenst gedrag en integriteitschendingen gemeld en afgehandeld worden. Een relevante regeling in dat kader is de klokkenluidersregeling die verankerd is in de CAO. Periodiek worden dilemma´s in de commissie Integriteit besproken. Om het belang van integriteit te onderstrepen, is in 2021 een e-learning bedrijfscode ontwikkeld die verplicht gesteld wordt voor alle medewerkers.

Functionaris gegevensbescherming (FG)

De RET dient compliant te zijn aan twee belangrijke privacywetten, te weten de Algemene Verordening Gegevensbescherming (AVG) en de Wet politiegegevens (Wpg).

In 2021 heeft de RET vooruitgang geboekt ten aanzien van de compliance aan de AVG. De vereiste beleidsstukken en procedures (zowel in- als extern gericht) zijn vastgesteld, geïmplementeerd en gepubliceerd. De FG heeft de interne Audit AVG over het jaar 2021 gehouden, gebaseerd op het NOREA privacy framework. In vergelijking tot de uitkomsten uit de interne Audit AVG over 2019 kan geconcludeerd worden dat de RET de afgelopen twee jaren weliswaar behoorlijke stappen heeft gemaakt, maar dat met name aandacht besteed zal moeten worden aan het optimaliseren van het beheer van datastromen en enkele onvoldoende gestructureerde verwerkingen van persoonsgegevens. Hiertoe wordt door de Privacy Officer een plan van aanpak opgesteld. De toegekende auditconclusie over 2021 is over het algemeen voldoende. Op een beperkt aantal aspecten scoort de RET nog onvoldoende. Dit betekent een totaalbeoordeling als matig. Het systeem van interne beheersing functioneert (nog) niet volledig naar behoren. Een beperkt aantal belangrijke tekortkomingen is geconstateerd en/of belangrijke risico’s zijn aanwezig. Verbetering is vereist op de middellange termijn.

Vanuit de Wet politiegegevens dient de RET ten aanzien van de verwerking van politiegegevens door de Buitengewoon Opsporingsambtenaren jaarlijks een interne audit te houden en éénmaal per 4 jaar een externe audit door een onafhankelijke bevoegde instantie. In 2021 is gestart met de interne audit als gap-analyse om vast te stellen op welke aspecten van de Wpg de RET risico zou kunnen lopen. In 2022 wordt de formele externe Audit Wpg gehouden en hierover wordt verantwoording afgelegd aan de toezichthouder.

De RET beschikt over een helder Governance Document Privacy en ICT-Security, dat als basis dient voor het periodieke overleg van de verantwoordelijke managers en de FG met de Algemeen directeur als verwerkingsverantwoordelijke vanuit de wet. De in 2020 gesignaleerde verbetering in de privacy cultuur binnen de organisatie heeft zich dit jaar verder doorgezet.