Ja, ik ga akkoord Nee, ik ga niet akkoord X

Het systeem van risicomanagement

Ons systeem om risico’s te managen is gebaseerd op het COSO-ERM-model. Met interne risicomanagementtrainingen zorgen we ervoor dat er voldoende kennis in huis is. Ook het risicomanagement voor veiligheid, milieu en van projecten maakt geheel onderdeel uit van ons risicomanagementsysteem.

Verantwoordelijkheid

De directie van ProRail is verantwoordelijk voor het integraal risicomanagement. Om de grootste risico’s goed te beheersen, heeft zij in 2009 het risk committee ingesteld. Het committee bestaat uit de directie, de manager Corporate Finance & Control en de manager Corporate Audit. Het committee komt op kwartaalbasis bijeen en bewaakt de kwaliteit van de beheersing van de toprisico’s. Wanneer nodig wordt bijgestuurd.

Three lines of defence

Om de risico’s te beheersen, hanteren we het three lines of defence-principe:

  • Eerste lijn: het lijnmanagement. De manager van een bedrijfsonderdeel is verantwoordelijk voor het opsporen, evalueren en managen van alle risico’s binnen de bedrijfsprocessen.
  • Tweede lijn: de afdeling Risicomanagement en Compliance, onder verantwoordelijkheid van de directeur Financiën. De tweede lijn is verantwoordelijk voor het formuleren van beleid, het bewaken van het risicomanagementproces, het ondersteunen van de bedrijfseenheden en het rapporteren aan diverse stakeholders.
  • Derde lijn: de afdeling Corporate Audit. Deze toetst jaarlijks de opzet, het bestaan en de werking van het risicomanagement binnen ProRail.

De risico’s voor milieu en veiligheid nemen een belangrijke aparte plaats in. Een expertteam formuleert het beleid en volgt de milieu- en veiligheidsincidenten samen met de lijnmedewerkers. Dit team rapporteert rechtstreeks aan de directie, maar ook via de kwartaalrapportages risicomanagement aan het risk committee.

Dit om de samenhang en coördinatie tussen de verschillende risico’s te borgen.

Risk appetite

Activiteiten die ProRail onderneemt voor het neerzetten van afgesproken prestaties brengen risico’s met zich mee. Deze risico’s worden gemeten, waarna bepaald wordt welke respons noodzakelijk/wenselijk wordt geacht. De respons weerspiegelt de ‘risk appetite’ van ProRail. Kleine risico’s met een lage frequentie van optreden kunnen worden geaccepteerd, grote risico’s onafhankelijk van de frequentie van optreden in de regel meestal niet. Voor deze laatste categorie worden aanvullende maatregelen geformuleerd, zodanig dat het risico naar een aanvaardbaar niveau wordt teruggebracht. Welke risico’s wel en welke niet acceptabel zijn wordt door de directie bepaald.

Procesbewaking

ProRail bewaakt het proces van risicomanagement door:

  • Jaarlijks aandacht te geven aan het risicobewustzijn van de medewerkers en het management
  • Jaarlijkse risico en control (self)assessments uit te voeren
  • De manier vast te leggen waarop we risico’s managen
  • Beheersmaatregelen te controleren en vast te leggen
  • Toe te zien op het beheersen van de geregistreerde risico’s
  • Rapportages over de beheersing van risico’s op te stellen.

Risicomatrix

Om de risico’s te meten, en om te bepalen welke prioriteit ze krijgen, werken we met een risicomatrix. Deze matrix bestaat uit de assen ‘kans op het risico’ en ‘gevolgen van het risico’. De vlakken van de matrix zijn rood, geel of groen van kleur. Afhankelijk van de score op bovengenoemde assen en de risk-appetite van het risk-committee wordt een risico als rood, geel of groen beschouwd. De kleur van het risico bepaalt de behandeling ervan en geeft richting aan eventueel aanvullende acties om het risico te verkleinen. De kleurverdeling is de visuele weergave van de risk appetite en wordt driejaarlijks door het risk-committee vastgesteld.

Managementverklaring

Aan het eind van elke jaarlijkse risicomanagementcyclus leggen de managers en directeuren van de verschillende eenheden de mate van beheersing vast in een Managementverklaring Risicomanagement (MVRM).

Dan stellen we ook vast of, en in hoeverre, minder controleerbare zaken zoals de bedrijfscultuur bijdragen aan het behalen van de doelstellingen. De afdeling Corporate Audit voert jaarlijks controlewerkzaamheden uit voor het risicomanagementsysteem. De directie bespreekt periodiek de opzet en werking van het risicomanagementsysteem en de toprisico’s met de raad van commissarissen.

Bevindingen 2012

Het risicomanagementsysteem zoals dat heeft gefunctioneerd in 2012 is als voldoende beoordeeld door Corporate Audit. Naar aanleiding van deze beoordeling is een aantal verbeteringen ingezet. Deze verbeteringen zijn onderdeel van de door de directie geformuleerde visie op risicomanagement die in de eerste helft van 2012 is vastgesteld. Dit betreft de reikwijdte van het systeem, het vergroten van de betrokkenheid van lijnmanagers bij risicomanagement en de aanschaf en de implementatie van een GRC-applicatie (governance, risk & compliance) ter ondersteuning van het risicomanagementproces.