Skip to content

Beheersing

Voor de beheersing van belangrijke (financiële) bedrijfsprocessen en risico's maakt de RET gebruik van een internal control framework en tax control framework. Hiermee is de beheersing geformaliseerd en de betrouwbaarheid van de financiële informatievoorziening en verantwoording verhoogd. Om inzicht te verschaffen in de effectiviteit van de control frameworks wordt middels periodieke interne monitoring beoordeeld of deze in opzet, bestaan en werking functioneren zoals beschreven. De voortgang van geconstateerde bevindingen wordt middels de kwartaalrapportage periodiek gemonitord.

Naast de interne monitoring werkzaamheden worden scans door externe partijen uitgevoerd. Gedurende het eerste kwartaal van 2022 is gestart met de interne monitoring van de onderdelen P&O, loonheffingen, OVCP en fraudebeheersing. De bevindingen zijn in het eerste kwartaal van 2023 gedeeld met het directieteam en de Auditcommissie. Aanvullend voert RET in het kader van de doorontwikkeling Horizontaal Toezicht een gegevensgerichte steekproef uit op de belastinginstrumenten omzetbelasting en loonheffingen.

Daarnaast worden meerdere interne controles uitgevoerd. Onder meer binnen Techniek worden periodiek audits uitgevoerd voor de ISO-certificering. In 2022 zijn de risico-inventarisatie en evaluaties (RI&E’s) uitgevoerd voor de afdelingen Vlootservices en Infraservices. Verbeterpunt is dat in het safety dashboard de plannen van aanpak worden opgenomen zodat de opvolging van de acties transparant is en kan worden bewaakt. In het dashboard zijn ook de bedrijfsongevallen en gevaarlijke situaties opgenomen. De risico-inventarisatie en evaluaties (RI&E’s)voor de afdelingen Bus en Veiligheid zijn opnieuw uitgesteld. Wel zijn diverse BHV-locaties geïnspecteerd en zijn verschillende interne veiligheidsonderzoeken en werkplekinspecties uitgevoerd. Tevens is de periodieke audit uitgevoerd naar het beleid, de systeembeveiliging en autorisatiebeheer van de SAP-autorisaties.

Externe audits

Naast de interne beheersingsmechanismen hebben in het verslagjaar ook externe audits plaatsgevonden, zowel periodieke audits als audits op ad-hoc basis. Zoals compliance audits door Inspectie Leefomgeving en Transport (ILT) en Dienst Centraal Milieubeheer Rijnmond (DCMR). De ILT heeft in 2022 invulling gegeven aan de uitvoering van het (door MRDH aan haar opgedragen) toezicht arrangement in het kader van de Wet lokaal spoor. Er zijn in 2022 systeeminspecties uitgevoerd op de onderwerpen toezicht op infrastructuur, toezicht op materieel en toezicht op exploitatie. Hierbij zijn geen signalen of tekortkomingen geconstateerd. In 2021 zijn door DCMR op locatie Kralingen overtredingen geconstateerd. Eind 2022 heeft DCMR een hercontrole uitgevoerd en voor twee overtredingen is een uitstel van 6 maanden verleend. De acties zijn onderhanden.

In 2022 heeft vlootservices de VCA onderhoudsaudit succesvol doorlopen. De VCA onderhoudsaudit bij Infraservices leverde een tekortkoming op door het ontbreken van een actuele risico-inventarisatie en evaluaties (RI&E’s). De risico-inventarisatie en evaluaties (RI&E’s) is uitgevoerd zodat ook hier de naleving van de veiligheidsnormen is bevestigd. Begin 2023 wordt deze RI&E getoetst.

In 2022 hebben daarnaast tussentijdse controles plaatsgevonden voor de certificeringen van de ISO-9001 en ISO-55001 normen. Hierbij zijn geen significante tekortkomingen geconstateerd. Tevens is de verplichte externe audit voor naleving van de Wet Politiegegevens uitgevoerd. Bevindingen zijn gerapporteerd aan de Autoriteit Persoonsgegevens.

De Gemeente Rotterdam heeft in 2022 een archiefinspectie uitgevoerd. Hierbij is vastgesteld dat de RET in geringe mate voldoet aan de daaraan te stellen eisen.

Internal Audit

De internal Audit Functie richt zich op interne beheersingsgebieden waar de organisatie belangrijke risico’s loopt.

Afhankelijk van de behoefte van de directie, verschaft de Internal Audit Functie de directie van de RET aanvullende zekerheid ten aanzien van de beheersing van deze risico's of richt zij zich op het verstrekken van meer inzicht in het aanwezige verbeterpotentieel. Dit gebeurt door op een systematische wijze organisatie-brede, onafhankelijke en objectieve internal audits (onderzoeken) uit te voeren. De uitkomsten van de audits helpen om processen en werkwijzen te evalueren, zodat het management waar nodig verbeteringen kan treffen.

In 2022 zijn opdrachten uitgevoerd die waren gericht op Onderhoud Bus, de programma’s OV Betalen, Cyber Security en ICT Backbone, Fysieke Beveiliging en de veiligheid indicatoren waarover wordt gerapporteerd aan de MRDH. Daarnaast is de opvolging getoetst van eerdere bevindingen uit opdrachten gericht op de privacyaspecten rondom de OV-Chipkaart gegevens, Inzetbaarheid en de naleving van de Corporate Governance Code en de Wet politiegegevens.

Naar aanleiding van de bij audits geconstateerde risico’s formuleert het management acties. Deze acties worden periodiek gemonitord als onderdeel van de reguliere plannings- en controlcyclus en dragen bij aan betere beheersing van de bedrijfsprocessen.

Integriteitsbeleid en de klokkenluidersregeling

Integriteit is een belangrijk onderwerp dat in toenemende mate de aandacht opeist. Integriteit en (ongewenst) gedrag zijn onderwerpen die op allerlei manieren in de maatschappelijke belangstelling staan. Ook vanuit de overheid wordt steeds meer aandacht aan psychosociale arbeidsbelasting besteed. De arbeidsinspectie inventariseert de risicofactoren voor ongewenst gedrag en onderzoekt de mogelijkheid om organisaties in de toekomst te kunnen sanctioneren. Ook wij realiseren ons dat integriteit een onderwerp is dat voortdurend aandacht nodig heeft. Binnen de RET zijn de vertrouwenspersonen belangrijke spelers van het integriteitsbeleid. Behalve dat zij een meldpunt zijn voor medewerkers die worden geconfronteerd met ongewenst gedrag of integriteitsschendingen, hebben zij ook een signalerende taak.

EU-regelgeving en de nationale wetgeving die hieruit voortvloeit is voor ons een reden om het meldproces ten aanzien van misstanden aan te scherpen en een melder van een misstand betere bescherming te bieden. Het komende jaar zal de RET daarom haar beleid aan de wet bescherming klokkenluiders aanpassen, zodat voldaan wordt aan de eisen die in EU verband gesteld worden aan grote organisaties.

Functionaris gegevensbescherming (FG)

Om ‘compliant’ te zijn aan de Algemene Verordening Gegevensbescherming (AVG) en de Wet politiegegevens (Wpg), heeft de RET in 2022 verdere progressie geboekt, hoewel er nog verbeterpunten resteren. Zo is in 2022 een opzet gerealiseerd voor een betere beheersing van datastromen alsmede een meer gestructureerde verwerking van persoonsgegevens. Ook is een e-learning programma in ontwikkeling om bewustwording bij medewerkers te vergroten. De in gang gezette activiteiten lopen door in 2023.

De FG beoordeelde dat de privacy-inrichting van de RET in 2022 over het algemeen voldoende is, maar dat op een aantal aspecten nog onvoldoende wordt gescoord, met een matige totaalbeoordeling als gevolg. Mede op basis van formele FG-adviezen zal de komende jaren intensief worden gewerkt aan een continu verbeterproces.

In het kader van de Wet politiegegevens worden jaarlijks audits gehouden ter controle van de verwerking van politiegegevens door de Buitengewoon Opsporingsambtenaren (BOA’s) van de RET. Als gevolg van een matige beoordeling hiervan eind 2021, is in 2022 een plan van aanpak opgesteld. Uit de laatste her-controle blijkt dat de naleving van de Wpg sterk is verbeterd. Op aanwijzing van de Autoriteit Persoonsgegevens is eind 2022 een afschrift van de resultaten van de Wpg-audit aan de toezichthouder gestuurd.

Ook voor het verwerken van persoonsgegevens heeft de RET contractuele informatiebeveiligingsverplichtingen. Organisatie-breed is de RET op de goede weg. Voor de langere termijn zal een continue focus op verbetering en inzichtelijkheid bijdragen aan verdere transparantie.