Beheersing

Voor de beheersing van belangrijke bedrijfsprocessen is een internal control framework en tax control framework opgezet. Hiermee wordt de beheersing geformaliseerd en de betrouwbaarheid van de (financiële)informatievoorziening en verantwoording verhoogd. Om inzicht te verschaffen in de effectiviteit van de control frameworks wordt middels periodieke interne monitoring beoordeeld of deze in opzet, bestaan en werking functioneren zoals beschreven.

Gedurende 2020 heeft een gegevensgerichte controle plaatsgevonden op de aangiften omzetbelasting en loonheffingen. Voortgang op geconstateerde verbeterpunten wordt middels de kwartaalrapportage periodiek gemonitord. De partieel roulerende monitoringwerkzaamheden inzake energiekosten, OZB en P&O staan gepland voor 2021.

Hiernaast worden meerdere interne controles uitgevoerd. Onder meer binnen Techniek worden periodiek audits uitgevoerd voor de ISO-certificering. Op personeelsgebied hebben interne controles plaatsgevonden op de verzuimprocedures. Daarnaast is gestart met een energie audit ten behoeve van energiebesparing en verduurzaming voor de gehele RET. De geplande periodieke risico-inventarisatie en evaluaties (RI&E’s) binnen enkele exploitatie-afdelingen zijn in verband met de coronabeperkingen doorgeschoven naar 2021.

Externe audits

Naast de interne beheersingsmechanismen hebben in het verslagjaar ook externe audits plaatsgevonden, zowel periodieke audits als audits op ad-hoc basis. Zoals compliance audits door Inspectie Leefomgeving en Transport (ILT), Dienst Centraal Milieubeheer Rijnmond (DCMR) en Inspectie Sociale Zaken en Werkgelegenheid (ISZW). ILT heeft in opdracht van de MRDH de periodieke audit gericht op het veiligheidsbeheersysteem uitgevoerd. Het veiligheidscertificaat is verstrekt en dat betekent dat het veiligheidsbeheersysteem voldoet aan de vereisten in de Wet Lokaal Spoor. DCMR heeft één inspectie op de locatie Waalhaven uitgevoerd, waarbij tekortkomingen zijn geconstateerd en daaruit volgende acties grotendeels zijn opgevolgd. ISZW heeft een onderzoek aangekondigd naar de inrichting van processen rond agressie en geweld voor de boa’s. De documenten zijn bij ISZW aangeleverd. Er is nog geen terugkoppeling ontvangen.

Noemenswaardig is dat de strafzaak van het Openbaar Ministerie, naar aanleiding van asbest op station Stadhuis, is geseponeerd.

Gedurende 2020 zijn geen significante tekortkomingen geconstateerd in de interne beheersingsstructuur. Er is geen aanleiding om te concluderen dat de interne beheersingssystemen niet naar behoren hebben gefunctioneerd.

Internal Audit

De Internal Audit Functie richt zich op interne beheersingsgebieden waarbij de organisatie belangrijke risico’s loopt. Afhankelijk van de behoefte van de directie, verschaft de Internal Audit Functie de directie van de RET aanvullende zekerheid ten aanzien van de beheersing hiervan of richt zij zich op het verstrekken van meer inzicht in het verbeterpotentieel. Dit gebeurt door op een systematische wijze organisatie- brede, onafhankelijke en objectieve internal audits (onderzoeken) uit te voeren. De uitkomsten van de audits helpen om processen en werkwijzen te evalueren, zodat we waar nodig verbeteringen kunnen treffen.

Een belangrijke mijlpaal in 2020 was dat voor het eerst een externe kwaliteitsbeoordeling is uitgevoerd op de Internal Audit Functie. Hierbij is bevestigd dat wordt voldaan aan de algemeen aanvaarde internationale beroepsnormen vanuit het Institute of Internal Auditors. In 2020 zijn audits uitgevoerd op het project Alexander en op de (naleving van de) Corporate Governance Code. Daarnaast is een opdracht uitgevoerd om knelpunten in het proces Buitendienststelling in kaart te brengen en is vastgesteld in hoeverre in het verslagjaar opvolging is gegeven aan de bevindingen vanuit eerder uitgevoerde audits.

Naar aanleiding van de bij de audits geconstateerde risico’s heeft het management acties geformuleerd of gebeurt dit in 2021. Deze acties worden periodiek gemonitord, door zowel Business en Concern Control als Internal Audit. Ze zijn onderdeel van de reguliere plannings- en controlcyclus en dragen bij aan betere beheersing van de bedrijfsprocessen.

Externe accountant

De accountant heeft de ‘managementletter’ naar aanleiding van zijn onderzoek naar de processen die van belang zijn voor het jaarrekeningtraject gepresenteerd aan de directie, de auditcommissie en de RvC.

Integriteitsbeleid en de klokkenluidersregeling

De RET streeft ernaar een integere organisatie te zijn. Het bevorderen van een integriteitsbewustzijn en het correct opvolgen en afhandelen van meldingen heeft hierbij de prioriteit. De RET bedrijfscode en vertrouwenspersonen zijn belangrijke pijlers van het integriteitsbeleid. In de RET bedrijfscode zijn onder andere de RET (kern)waarden, relevante (CAO-)regelingen en overige interne afspraken opgenomen. In de bedrijfscode is vastgelegd op welke wijze klachten op het gebied van ongewenst gedrag en integriteitschendingen gemeld en afgehandeld worden. Een relevante regeling in dat kader is de klokkenluidersregeling die verankerd is in de CAO. Periodiek worden dilemma´s in de commissie Integriteit besproken.

Functionaris gegevensbescherming

Een belangrijke toezichthouder is de Autoriteit Persoonsgegevens. Sinds 2017 is een functionaris gegevensbescherming aangesteld bij de RET, die is aangemeld bij de Autoriteit Persoonsgegevens.

Uit de “Interne Audit AVG 2029” en gebaseerd op het Jaarverslag van de Functionaris voor Gegevensbescherming bleek dat de RET achterliep met de implementatie van de Algemene Verordening Gegevensbescherming (AVG). Om te voldoen aan de privacywetgeving heeft de RET daarom in 2020 actie ondernomen. Hiermee is het urgentiebesef toegenomen en een aantal privacyrisico’s ondervangen. In 2021 worden resterende actiepunten opgepakt, zodat de RET in de zomer 2021 op hoofdlijnen voldoet aan de wetgeving. De positie van de Functionaris Gegevensbescherming is verder versterkt. Dit draagt bij aan de onafhankelijke advisering en vroegtijdige privacy-toetsing op (ICT-)projecten. In 2020 zijn er geen verzoeken gedaan door betrokkenen die van hun privacyrechten gebruik wilden maken. DPIA’s (privacy-risicoanalyses) op nieuwe projecten zijn voldoende uitgevoerd. De privacycultuur binnen de RET groeit geleidelijk van een reactief/calculerend niveau naar een proactieve instelling.