Het systeem van risicomanagement

Ons systeem om risico’s te managen is gebaseerd op het COSO-ERM-model. Met interne risicomanagementtrainingen zorgen we ervoor dat er voldoende kennis in huis is. Ook het risicomanagement voor veiligheid, milieu en van projecten maakt geheel onderdeel uit van ons risicomanagementsysteem.


Verantwoordelijkheid

De directie van ProRail is verantwoordelijk voor het integraal risicomanagement. Om de grootste risico’s goed te beheersen, heeft zij in 2009 het risk committee ingesteld. Het committee bestaat uit de directie, de manager Corporate Finance & Control en de manager Corporate Audit. Het committee komt drie keer per jaar bijeen.

Three lines of defence

Om de risico’s te beheersen, hanteren we het three lines of defence-principe:

  • Eerste lijn: het lijnmanagement. De manager van een bedrijfsonderdeel is verantwoordelijk voor het opsporen, meten en managen van alle risico’s binnen de bedrijfsprocessen.
  • Tweede lijn: de afdelingen Risicomanagement en Control, onder verantwoordelijkheid van de directeur Financiën. De tweede lijn is verantwoordelijk voor het formuleren van beleid, het bewaken van het risicomanagementproces, het ondersteunen van de bedrijfseenheden en het rapporteren aan diverse stakeholders.
  • Derde lijn: de afdeling Corporate Audit. Deze toetst jaarlijks de opzet, het bestaan en de werking van het risicomanagement binnen ProRail.

De risico’s voor milieu en veiligheid nemen een belangrijke aparte plaats in. Een expertteam formuleert het beleid en volgt de milieu- en veiligheidsincidenten samen met de lijnmedewerkers. Dit team rapporteert rechtstreeks aan de directie.

Procesbewaking

ProRail bewaakt het proces van risicomanagement door:

  • jaarlijks aandacht te geven aan het risicobewustzijn van de medewerkers en het management
  • jaarlijkse risico en control (self)assessments uit te voeren
  • de manier vast te leggen waarop we risico’s managen
  • beheersmaatregelen te controleren en vast te leggen
  • toe te zien op het beheersen van de geregistreerde risico’s
  • rapportages op te stellen.

 

Risicomatrix

Om de risico’s te meten, en om te bepalen welke prioriteit ze krijgen, werken we met een risicomatrix. Deze matrix bestaat uit de assen ‘kans op het risico’ en ‘gevolgen van het risico’.

Managementverklaring

Aan het eind van elke jaarlijkse risicomanagementcyclus leggen de managers en directeuren van de verschillende eenheden de mate van beheersing vast in een Managementverklaring Risicomanagement (MVRM).

Dan stellen we ook vast of, en in hoeverre, minder controleerbare zaken zoals de bedrijfscultuur bijdragen aan het behalen van de doelstellingen. De afdeling Corporate Audit voert jaarlijks controlewerkzaamheden uit voor het risicomanagementsysteem. En bespreekt periodiek de opzet en werking van het risicomanagementsysteem en de toprisico’s met de raad van commissarissen.

Bevindingen 2010

Het risicomanagementsysteem zoals dat heeft functioneert in 2011 is als voldoende beoordeeld door Corporate Audit. Naar aanleiding van het rapport is een aantal verbeteringen ingezet. Dit betreft de reikwijdte van het systeem, het vergroten van de betrokkenheid van lijnmanagers bij risicomanagement  en de aanschaf en de  implementatie van een GRC-applicatie (governance, risk & compliance) ter ondersteuning van het risicomanagementproces.