Risicomanagement

Besturing en Beheersing

Risicomanagement draait om het overzicht van en het sturen op risico’s. Hierbij hoort het in kaart brengen van risico’s met kans en effect en maatregelen om de kans te beheersen of het effect te verkleinen. Iedereen is in zijn of haar dagelijks werk -bewust of onbewust- bezig met risicomanagement, want onze werkzaamheden zijn gericht op het bereiken van bepaalde doelen, groot of klein. Vrijwel altijd zijn er onzekere factoren die ertoe kunnen leiden dat ProRails doelen niet of niet volledig bereikt worden. Hoe eerder eventuele risico’s worden geïdentificeerd, hoe meer mogelijkheden er zijn om belangen, strategieën en risico’s tegen elkaar af te wegen. Risicomanagement draagt bij aan het behalen van de doelstellingen van ProRail en vormt een onmisbaar onderdeel van het bestuur van de organisatie. 

De raad van bestuur is eindverantwoordelijk voor het risicomanagement van de organisatie. Voor de inrichting van de beheersing hanteert ProRail het ‘three lines'-model. De uitvoering van het risicomanagementproces is gedelegeerd aan het management van de bedrijfsonderdelen vanuit de eerste lijn. De eerste lijn wordt voor diverse risicogebieden inhoudelijk ondersteund door collega’s van specialistische vakafdelingen. De afdeling Integriteit, Risicomanagement en Compliance (IRC) ondersteunt risicomanagement bij ProRail vanuit de tweede lijn en draagt zorg voor beleid, monitoring en procesondersteuning. Corporate Audit fungeert als de derde lijn en toetst periodiek het risicomanagementsysteem. 

Risicomanagementsysteem

Het systeem van risicomanagement is mede gebaseerd op internationale normen voor risicomanagement: ISO31000 en COSO ERM. Het risicomanagement is onderdeel van de bedrijfsvoering en daarmee een continu proces. Elk kwartaal vindt er een rapportage plaats van de dan voorziene risico’s, hun impact en mogelijke beheersmaatregelen. De raad van bestuur stelt de voor ProRail belangrijkste toprisico’s vast. Het management identificeert tenminste jaarlijks in teamverband de risico’s die de beheersing van het toprisico beïnvloeden. Ook bepaalt de raad van bestuur de risicohouding van de organisatie met de risicomatrix van ProRail. In deze matrix worden risico’s op de volgende impactcategorieën beoordeeld: veiligheid, beschikbaarheid, duurzaamheid, financiën, compliance, reputatie en klanttevredenheid. Voor de impactcategorieën zijn toleranties gedefinieerd. In de risicomatrix wordt met een kleurverdeling de grootte (kans x impact) van een risico aangegeven. Hoe hoger het risico, des te belangrijker dat er risico-reducerende maatregelen worden getroffen. We onderkennen groen (laag), geel (middel), oranje (hoog) en rood (zeer hoog). De status en ontwikkeling van een (top)risico’s wordt door middel van plotten op de risicomatrix inzichtelijk gemaakt. Om de vier jaar wordt de risicomatrix herijkt. In 2021/2022 zal een nieuwe matrix in gebruik worden genomen, die beter aansluit op de strategische doelstellingen en KPI’s van ProRail en ook rekening houdt met risicomanagement op afdelings- en projectniveau.

Toekomstperspectief

In 2020 is de afdeling IRC begonnen met een herijking van het risicomanagementsysteem: ‘Reschaping Risicomanagement’. Allereerst heeft IRC een meer kritische en integrale werkwijze bij de boordeling van toprisico’s, mede door de rapportage van de toprisico’s bij de risico-eigenaren te toetsen, in context te plaatsen en te kritisch te bevragen. Bovendien geeft IRC in de uiteindelijke rapportage ook aandachtspunten aan. De risico-eigenaren zijn verantwoordelijk voor de sturing op het gerapporteerde risico, de beheersing ervan, en geven aan in hoeverre daar sprake van is. De raad van bestuur is verantwoordelijk voor het oordeel van deze beheersing en voor de uiteindelijke beslissingen daaromtrent. Mede daardoor is volledige openheid over risico’s en risicobepalende factoren essentieel, omdat de organisatie anders niet goed stuurbaar is. De afdeling IRC is verantwoordelijk voor de uiteindelijke inhoud van de rapportage, het proces rondom dit risicomanagement en maakt mede op basis van meldingen en andere (externe) informatie de definitieve analyse. ProRail is op weg naar een nieuw risicomanagementsysteem, wat waarschijnlijk in 2021/2022 het huidige systeem van de toprisico’s zal vervangen. In dit nieuwe risicomanagement-systeem wordt het gehanteerde COSO/ERM-model verder uitgedacht, risico’s meer KPI-gericht en integraal benaderd en meer op risico’s gestuurd. Uitgaande van de basisrisico’s van het COSO/ ERM-model, worden deze uitgesplitst in sub-risico’s, die integraal alle processen en activiteiten van ProRail dekken en zoveel mogelijk worden verbonden aan de strategieën en KPI’s van ProRail. Er wordt een rapportage format ontwikkeld op strategisch (ProRail als totaal), tactisch (niveau businessafdelingen en stafafdelingen) en operationeel niveau (werkvloer).

Verklaring van raad van bestuur

De raad van bestuur verklaart dat de systemen voor de financiële verslaggeving naar behoren hebben gewerkt en geeft aan dat met een redelijke mate van zekerheid kan worden gesteld dat de financiële verslaggeving geen onjuistheid van materieel belang bevat. Het bestuur verklaart dat, voor zover bekend, de jaarrekening een getrouw beeld geeft van de activa, de passiva, de financiële positie en het resultaat van ProRail; het jaarverslag een getrouw beeld geeft van de toestand op balansdatum en de gang van zaken gedurende het boekjaar; en in het jaarverslag de voornaamste risico’s waarmee ProRail wordt geconfronteerd, zijn beschreven.

Toprisico’s ProRail

Binnen ProRail worden elf toprisico’s onderscheiden die een bedreiging kunnen vormen voor de realisatie van de doelen en prestaties. De toprisico’s, de mate van beheersing en de belangrijkste risico’s worden in onderstaand dashboard toegelicht.

Veiligheid & Security (TR1)

Risicobeschrijving

Veiligheid is een randvoorwaarde voor de operatie. Het doel is om reizigers- en goederenvervoerders te faciliteren en een betrouwbaar product te leveren. Veiligheid wordt zodanig georganiseerd dat dit de operationele prestatie helpt te verbeteren. In dat kader stellen we veiligheidsdoelen vast en sturen daarop. We werken aan een proactieve veiligheidscultuur binnen de hele sector, waarin we onveilige situaties melden en elkaar aanspreken op (on)veilig gedrag. De veiligheidsrisico’s op en rond het spoor zijn verdeeld in thema’s, de zogeheten Basis Veiligheidsrisico’s (BVR’s): Treinbotsing, Ontsporing, Suïcide, Overwegongeval, Arbeidsongeval, Elektrocutie, Gevaarlijke stoffen, Transferongeval, Managen van ongevallen en brand, en Security. 

Toelichting beheersing

Veiligheidsrisico’s worden geïdentificeerd, beheerst en gemonitord met de processen van het Veiligheidsmanagementsysteem (VMS). Deze werkwijze wordt regelmatig door onafhankelijke externe en interne partijen getoetst en voortdurend aan de omstandigheden aangepast en verbeterd. Naast de werkwijze is houding en gedrag van medewerkers van ProRail en ketenpartners (veiligheidscultuur) van invloed op de risicobeheersing. Signalen in 2020 dat de veiligheidscultuur op onderdelen achterblijft bij de ProRail ambities zijn onderkend en omgezet in gerichte verbeteracties. De resultaten van de beheersing veiligheidsrisico’s zijn volgens verwachting (zie KPI’s per BVR) met de aantekening dat lagere volumes in verkeer van trein/reizigers/goederen vanwege beperkingen door COVID-19 hebben geleid tot lagere aantallen ongevallen en incidenten voor de volume-afhankelijke veiligheidsrisico’s.

Samenwerking met stakeholders (TR2)

Risicobeschrijving

Voor ProRail is een goede en open relatie met al zijn stakeholders onmisbaar: van regionale concessieverleners, concessiehouders, overheden, vervoerders, aannemers, omwonenden, reisinformatie-dienstverleners en reizigers tot verladers.

Toelichting beheersing

Het risico is voldoende beheerst. ProRail staat met de meeste stakeholders in goed contact en heeft het bewustzijn van een open en transparante houding intern op alle niveaus versterkt. ProRail heeft zich meer opgesteld als onafhankelijk adviseur op het gebied van duurzame mobiliteit en als zodanig meer verbinding gelegd met het ministerie van Infrastructuur en Waterstaat en opnieuw vormgegeven aan bestaande verhoudingen.

Integriteit & Compliance (TR3)

Risicobeschrijving

ProRail streeft naar een open en verantwoordelijke bedrijfscultuur, door het naleven van de kernwaarden van ProRail, zoals respectvol samenwerken en integer zaken doen. Het compliance risico betreft het voldoen aan wet, (interne) regelgeving en afspraken, of een gemotiveerde en transparante afwijking daarvan.

Door de komst van de Algemene Verordening Gegevensbescherming (AVG) zijn er extra regels waar organisaties aan moeten voldoen. ProRail vindt privacy belangrijk en wil zorgvuldig omgaan met de persoonsgegevens van de eigen medewerkers en die van derden. Het handelen in strijd met de waarden en doelen van ProRail kan mogelijke gevolgen hebben voor de bedrijfscultuur, de reputatie, financiële schade in de vorm van claims en boetes, en sancties van toezichthouders.

Toelichting beheersing

De verantwoordelijkheid voor de beheersing van dit risico ligt in de eerste plaats bij het lijnmanagement, dat hierin wordt ondersteund door IRC. Om een open en verantwoordelijke bedrijfscultuur en bewustzijn over compliant en integer gedrag te bevorderen, worden dilemmaworkshops, e-learnings, presentaties en ProRail-brede programma’s op het gebied van integriteit, sociale veiligheid, compliance en het zorgvuldig omgaan met informatie georganiseerd. Hiermee bereiken we op efficiënte wijze relatief veel medewerkers. In de tweede helft van 2020 werden dilemmaworkshops digitaal aangeboden. Daarnaast kunnen medewerkers van ProRail melding maken van schendingen op het gebied van integriteit en compliance en zo nodig een beroep doen op de Klokkenluidersregeling via de procedure melden vermoede misstand. Het aantal meldingen is in 2020 vergelijkbaar met het aantal in 2019. Ondanks de lange periode van thuiswerken als gevolg van de coronamaatregelen blijven meldingen en signalen binnen komen. Het aantal meldingen is een compliment aan de cultuur en het leiderschap van ProRail: het duidt op openheid, aandacht voor integriteit en compliance, en aandacht voor elkaar. Meldingen zijn een mogelijkheid om medewerkers te helpen ontwikkelen en ProRail als organisatie te verbeteren. Het aantal meldingen vermoede misstand neemt duidelijk af t.o.v. voorgaande jaren, omdat IRC ook een meldingsprocedure heeft ontwikkeld voor meldingen die niet onder de klokkenluidersregeling vallen. Het risico is toenemend beheerst. Dit komt omdat steeds meer zicht is op wat er binnen ProRail leeft. Daarnaast is de capaciteit van de afdeling uitgebreid, waardoor dit risico in toenemende mate wordt beheerst.

Strategische programma’s en projecten (TR4)

Risicobeschrijving

ProRail ontwikkelt en realiseert het spoorsysteem van de toekomst. Jaarlijks worden een groot aantal programma’s en projecten uitgevoerd, waarbij we nu voor ruim € 1,2 miljard vernieuwing en verbetering aan het spoor en aan de stations realiseren en waarbij we groeien naar een productie van circa € 1,7 miljard in 2023. Het risico betreft het niet-realiseren van de doelstellingen van deze projecten en programma’s qua scope, tijd, geld en omgevingsbewustzijn. Dit heeft gevolgen voor de capaciteit, beschikbaarheid en betrouwbaarheid van het spoor voor reizigers en verladers. Projecten en programma’s zijn afhankelijk van de beschikbaarheid van interne en externe resources, treinvrije periodes (TVP’s) en materieel. Het werken op en om het spoor en de keten die daarvoor nodig is, levert een complex samenspel op, waarbij actief gestuurd moet worden op beheersing. Zo is er bij gewenste groei van de productie regeltijd nodig om de organisatie en de keten op te schalen.

Toelichting beheersing

Met Samenspel, portfoliosturing via het Masterplanningsproces en de interventies van Toekomstbestendig Werken Aan Het Spoor (TWAS) zetten we als organisatie stevig in op ketensamenwerking, inzicht en overzicht, sturing op basis van data en slimmer werken. De aannemers worden tweemaal per jaar actief geïnformeerd over het portfolio. De vervoerders worden goed betrokken bij de opgave en dit wordt verder geprofessionaliseerd. De efficiency-opgave en de groei van productie waarmaken in de veranderende omgeving van Samenspel is de uitdaging en moet zijn vruchten nog gaan afwerpen.

ProRail zet alles op alles om de benodigde verhoging in productie maakbaar te maken. We zien een aantal onzekerheden zoals het tijdig kunnen werven van specifieke kennis die schaars is op de markt, de markt is mogelijk niet in staat om het opgehoogde volume met een sprong te realiseren (door tekorten in kennis, kunde en resources), tegenvallende aanbestedingen met kostenverhogend effect en onvoldoende ruimte op het spoor om te werken. Dit vraagt van ons om onzekerheden zo goed mogelijk te managen. Een 100% garantie dat we exact deze productie gaan realiseren in de periode 2022-2025 is er uiteraard niet, maar wel doen we alles wat in onze mogelijkheden ligt om deze productie maakbaar te maken met mogelijke uitloop naar 2026 en 2027, zeker vanuit de ambities die wij als Nederland en als sector hebben om de wereld duurzamer te maken. Het maakbaar krijgen van de productieopgave doen we in samenspel met het ministerie van Infrastructuur en Waterstaat als beleidsmaker, de vervoerders en de aannemers.

COVID-19 heeft in 2020 niet tot vertraging van projecten geleid. De volgende projecten hebben specifieke aandacht: Airportsprinter, Alliantie Geldermalsen, Maaslijn, ZuidasDok, en de spanningssluis. Bij deze projecten is er druk op tijdige realisatie en financiering, en afhankelijkheid van derden. Schipholtunnel is in 2020 versneld uitgevoerd vanwege minder de intensieve dienstregeling ten gevolge van COVID-19.

Managementinformatie & rapportage (TR5)

Risicobeschrijving

Dit risico heeft betrekking op de betrouwbaarheid van de interne rapportages en tevens op de externe verslaggeving van ProRail, zijnde de jaarrekening, het jaarverslag, de halfjaarrapportages en de subsidieverantwoordingen. Tijdig, volledig en juist rapporteren is een noodzakelijke voorwaarde voor een adequate besturing van de organisatie en een vereiste ten behoeve van verantwoording naar opdrachtgevers, financiers en de overheid.

Toelichting beheersing

De beheersing van dit risico is op orde. De basisinrichting van onze AO/IB speelt een belangrijke rol hierin, maar ook het uitvoeren van aanvullende controlemaatregelen zoals data analyse en het zorg dragen van het juiste kennisniveau van onze medewerkers is van belang voor deze beheersing. Hiermee zorgen we dat we beschikken over tijdige, volledige en juiste informatie ten behoeve van onze interne rapportages en zorgen we met betrekking tot onze externe verantwoordingen voor het voldoen aan de van toepassing zijnde regelgeving en de bijbehorende getrouwheids- en rechtmatigheidsprincipes. In 2020 is er aandacht geweest voor het meer data-gedreven inrichten van de processen en verdere automatisering van onze transactionele processen. Deze initiatieven dragen bij aan de betrouwbaarheid van onze rapportage-informatie en zullen ook in 2021 verder toegepast worden.

Gekwalificeerde medewerkers (TR6)

Risicobeschrijving

De ruim 4.800 medewerkers (stand per ultimo 2020) bij ProRail werken aan de mobiliteit voor Nederland. Zij zijn de belangrijkste ‘asset’ in het realiseren van onze prestaties. ProRail is in hoge mate afhankelijk van de kwaliteit van zijn medewerkers. Het toprisico betreft het risico dat ProRail niet beschikt over voldoende gekwalificeerde medewerkers. De oorzaken kunnen zijn dat gekwalificeerde medewerkers onvoldoende worden behouden of aangetrokken in de key-functies, dat onvoldoende nieuw talent wordt ontwikkeld of aangetrokken, en dat demografische factoren en krapte of verstoring op de arbeidsmarkt, door bijvoorbeeld COVID-19, een rol spelen.

Toelichting beheersing

Om het risico beheerst te houden zijn verschillende programma’s, activiteiten en campagnes gestart, zoals een wervingscampagne voor treindienstleiders. We werken op verschillende manieren aan het versterken van de positie van ProRails werkgeversmerk (o.a. stijging in de lijst beste werkgevers Intermediair, Computable). Daarnaast is er een programma om de prestatie- en ontwikkelcultuur te versterken door te sturen op resultaatgerichtheid en eigenaarschap, werken we concreet aan ons diversiteits- & inclusiebeleid en hebben we een actief stage- en afstudeerbeleid. Door COVID-19 waren aanvankelijk verschillende activiteiten op ‘pauze’ gezet, maar deze zijn in de tweede helft van 2020 weer opgestart. Job-events zoals beurzen op hogescholen en universiteiten vinden inmiddels weer volop plaats, maar dan in een online setting. Aanvullende beheersmaatregelen zijn het verder vergroten van de opleidingscapaciteit voor treinverkeersleiders. Verder zijn we samen met onze partners in de spoorsector in gesprek over hoe we positieve impulsen kunnen organiseren die bijdragen aan de risicobeheersing, niet alleen binnen ProRail.

Gebrek aan Financiering (TR7)

Risicobeschrijving

ProRail wil goede prestaties leveren voor de vervoerders en daarmee aan de reizigers en verladers. De uitdaging daarbij is om de toekomstige mobiliteitsgroei en productontwikkelingen te faciliteren, het huidige prestatieniveau op peil te houden, en om in te kunnen spelen op de behoeften/wensen van de stakeholders. Dit bij een hoger prijsniveau van materialen en arbeid, en bij een door intensiever gebruik sneller verouderende infrastructuur. Het risico betreft onvoldoende financiële middelen, met als gevolg uitstel van beheer, onderhoud, tijdige vervanging en vernieuwing van de infrastructuur en ICT-systemen.

Toelichting beheersing

ProRail heeft maatregelen getroffen om dit risico te beheersen. Enerzijds hebben we samen met het ministerie van Infrastructuur en Waterstaat het proces van onderbouwen en aanvragen van financiële middelen voor Beheer, Onderhoud en Vervangingen (BOV) voor de komende 15 jaar verder geprofessionaliseerd (inclusief een externe audit en het opstellen van scenario’s). Met als resultaat dat het ministerie extra geld voor BOV heeft toegezegd voor de periode 2022 tot en met 2025 (zie berichten Prinsjesdag 2020 over reservering 1,4 miljard euro voor het spoor). Dit is besproken met de aannemers en stakeholders, zodat zij zich ook kunnen voorbereiden. Verder hebben we vanuit het opstellen van het middellange termijn logistiek plan met vervoerders en het ministerie beter inzicht gekregen in de productstappen voor de komende jaren en wat de impact daarvan is op onze integrale assets. Dit stelt ons in staat om tijdig te bepalen welke inframaatregelen we moeten nemen, tijdig financiering te regelen en op tijd te starten met de uitvoering. Ten slotte zijn we de processen verder aan het inrichten en aan het verbeteren om op tijd op subsidiekansen in te spelen, zowel nationaal (e.g. klimaatenvelop en nationaal groeifonds) als op Europees niveau (Recovery and Resilience Facility, Connecting Europe Facility).

Verstoring van de treindienst (TR8)

Risicobeschrijving

Dit risico betreft het risico op ernstige verstoring van de treindienstregeling. Het verzorgen van een betrouwbare en punctuele dienstregeling is een van de belangrijkste kernactiviteiten van ProRail. Ons spoorwegnet wordt intensief gebruikt, gebaseerd op een ingenieuze dienstregeling. Hierdoor kunnen verstoringen een complex karakter hebben (of krijgen bij samenloop). Daarom kennen we tal van preventieve maatregelen en werken we met vooraf bedachte maatregelen bij verstoringen om hinder zo beperkt mogelijk te houden en dus dienstverlening zo optimaal mogelijk te laten zijn. Verstoringen kunnen o.a. voortkomen uit falen van infrastructuur, ICT, energievoorziening, externe oorzaken (zoals weersinvloeden, derden, spoorlopers, aanrijdingen, suïcides), defecten in materieel van vervoerders en evenementen.

Toelichting beheersing

De beheersing van dit risico is op orde. Ondanks dat we maatschappelijk te maken hebben met een grote crisis (COVID-19) zijn we in staat gebleken de volledige (en in het voorjaar aangepaste) dienstregeling waar te maken (een enkel incident daargelaten). Op basis van het crisismanagementplan (preventie) is een operationele crisisorganisatie neergezet die maatregelen heeft genomen om de veiligheid van kritische functies en taken te waarborgen, waardoor de operatie intact is gebleven. Maatregelen kennen een groot spectrum, van fysieke beveiliging van werkplekken tot de inzet van persoonlijke hygiënemiddelen, het actualiseren en aanscherpen van business continuity plannen, tot een dagelijks landelijk overleg waarin telkens 48 uur vooruitgekeken wordt of de kritische taken waargemaakt kunnen worden. De gebrekkige infrastructuur in het Rotterdamse havengebied geeft logistieke uitdagingen. Hier zit een potentieel uitstralingseffect naar het landelijk hoofdrailnet. Reden voor ProRail om de komende jaren programmatisch grootschalige verbeteringen door te voeren.

Beschikbare infracapaciteit (TR9)

Risicobeschrijving

De mobiliteitsbehoefte neemt de komende jaren aanzienlijk toe. Het risico bestaat dat ProRail niet kan voldoen aan de groei van het aantal reizigers- en tonkilometers per spoor. De uitbreiding van de infracapaciteit is afhankelijk van de beschikbare ruimte in Nederland, de technische staat van de infra en van externe partijen. ProRail voert diverse activiteiten uit om gereed te zijn voor de toenemende capaciteitsvraag. 

Toelichting beheersing

Het toprisico is voldoende beheerst. Hoewel de trend nu is dat er weinig reizigers gebruik maken van de trein vanwege COVID-19 is de verwachting dat het aantal treinreizigers zal blijven groeien in de komende jaren.

Om het risico ook in de toekomst beheerst te houden kijkt ProRail verder vooruit. ProRail doet dit door invulling te geven aan het toekomstbeeld OV, het logistiek model middellange termijn (MLT), het implementeren van de visie Toekomstbestendig werken aan het spoor (TWAS) en door scherpe keuzes te maken op het gebied van capaciteitsverdeling. Vanwege de huidige staat van de infrastructuur en de blusvoorzieningen in het Rotterdamse havengebied staat het vervoer van gevaarlijke stoffen onder druk. Hier en ook op andere emplacementen wordt een plan uitgevoerd om de infra op orde te brengen, zodat het goederenvervoer weer veilig en conform plan kan rijden.

Beschikbaarheid van IT-systemen (TR10)

Risicobeschrijving

Met de digitale transformatie binnen het spoor zijn betrouwbare informatievoorziening en industriële automatisering meer en meer essentieel voor de bedrijfsvoering van ProRail. En aangezien met de toename van digitale technologie Cyber aanvallen op de spoorsector zullen toenemen, is digitale weerbaarheid vereist. Het betreft hier de beveiliging van onze Information Technology-systemen (planning en be-/bijsturing treindienst, interne bedrijfsvoering) en Operational Technology-objecten (bediening, energievoorziening, treinbeveiliging). Inbreuk kan hier niet alleen leiden tot niet-beschikbare systemen/objecten (en dus geen treinenloop), maar kan ook gevolgen hebben voor de veiligheid en het imago van ProRail.

Toelichting beheersing

Binnen dit toprisico is beschikbaarheid van systemen voldoende beheerst, wel vraagt vertrouwelijkheid (o.a. werken/bedienen op afstand) onze continue aandacht. Die aandacht is er binnen de cybersecurity architectuur, maar ook in het cybersecurity management-proces. Er is een Cyber Security Strategie ProRail opgesteld wat ProRail naar een hoger volwassenheidsniveau zal brengen. Gezien het feit dat spoorvervoer per definitie een ketenproces is, is verdere samenwerking noodzakelijk voor een cyber weerbare spoorsector. Binnen de ProRail operatie trekken AM en ICT samen op, maar ook buiten ProRail wordt al langer samengewerkt. Zo is op nationaal niveau, samen met de Rijksoverheid en vervoerders, een gemeenschappelijk Cyber Security Governance tot stand gekomen en wordt vorm gegeven aan een gezamenlijk Security Operations Center (SOC). Binnen Europa worden, samen met o.a. de Europese Commissie, cybersecurity-standaarden voor Rail opgesteld die gaan leiden tot beter beveiligde producten. Ook moeten eventuele cyber aanvallen op de sector tijdig worden gedetecteerd en de juiste opvolging krijgen, o.a. door informatie veilig met partners te delen. Binnen deze samenwerkingen zijn onderling vertrouwen, een gezamenlijk gevoel van verantwoordelijkheid en het nemen van eigenaarschap essentieel.

Leveranciersrisico (TR11)

Risicobeschrijving

ProRail besteed onderhoud en aanleg van het spoor uit aan ingenieursbureaus en aannemers en is hiermee afhankelijk van deze partijen. De risico’s die voortkomen uit afhankelijkheid van producten en diensten van leveranciers noemen we het counterpart risico. Daarnaast wordt ProRail voor de uitvoering van zijn taken steeds meer afhankelijk van ICT en daarmee van ICT-leveranciers. De inspanningen van leveranciers brengen in verschillende mate risico’s met zich mee. Counterpart risico kan optreden wanneer sprake is van belangenverstrengeling of fraude, wanneer de levering niet kan plaatsvinden door een belemmering in de “keten”, door faillissement van de leverancier, door een gebrek aan capaciteit of gekwalificeerd personeel, door gebrek aan kwaliteitsbewaking of schaarste aan materialen voor projecten.

Toelichting beheersing

Het toprisico is voldoende beheerst, gelet op de wijze waarop we in 2020 alle beschikbare mankracht en middelen hebben beheerst, ondanks COVID-19. Omdat tot 2023 de inkoopproductie met circa 10-15% zal stijgen, blijft dit risico prominent op de agenda staan. Om de impact van COVID-19 te beperken is de relatie met de leveranciers geïntensiveerd, met veel aandacht voor opdrachtgeverschap. Vanwege een beperkt aantal aanbieders is gestart met een strategische heroriëntatie op de erkenningsregeling om de beschikbare markt te vergroten. Daarnaast is een integrale inkoopstrategie ontwikkeld, waardoor we duidelijker en voorspelbaarder naar de markt zijn, zodat de markt zich tijdig kan mobiliseren. Om personele capaciteitstekorten in de toekomst tegen te gaan, is MBO Railtechniek opgericht. De prioriteit binnen dit toprisico ligt bij het risico op onvoldoende (kritische) capaciteit. Dit risico betreft onder andere niet-beschikbare materialen. Door het nemen van mitigerende maatregelen zijn de verstoringen in de supply chain afgenomen. Daarnaast is spare parts management relevant, zodat ProRail meer regie neemt op beschikbaarheid van reserveonderdelen voor unicaten of systemen die op termijn uit de lucht gaan.