Risicomanagement

GVB opereert in de dynamische omgeving van de landelijke hoofdstad. Dat biedt natuurlijk kansen, maar brengt ook risico’s met zich mee. GVB wil deze risico’s beheersen. We brengen ze in beeld, nemen passende maatregelen en zorgen ervoor dat onze basisprocessen op orde zijn. Hierdoor kunnen we onze reizigers een betrouwbare service bieden, gekoppeld aan een voorspelbaar resultaat.

Risicomanagement hoort bij de reguliere bedrijfsvoering van GVB. De directie is eindverantwoordelijk voor een effectieve risicobeheersing. De rvc ziet hierop toe. Risicomanagement geeft inzicht in de strategische, operationele, financiële en compliance-risico’s van GVB. Dit versterkt de basis voor besluitvorming en de uitvoering van de operatie. Het verantwoordelijke lijnmanagement treft beheersmaatregelen om onderkende risico’s te mitigeren. De beheersing van de belangrijkste risico’s en het resulterende risicoprofiel worden periodiek gerapporteerd aan het directieteam en de raad van commissarissen (rvc).

Vanuit het proces van risicomanagement heeft GVB eveneens een analyse verricht op fraude risico's. Deze fraude risico's worden periodiek geëvalueerd en samengevat in het frauderegister. Dit frauderegister bevat vervolgens ook de bijbehorende beheersmaatregelen die aanwezig zijn binnen GVB en die het risico op fraude moeten mitigeren.

Het risicomanagement en het interne beheerssysteem van GVB zijn gebaseerd op de richtlijnen van COSO. De interne beheersystemen zijn gebaseerd op een resultaatgerichte processturing met controls om de grootste risico’s in de processen te beheersen. Cyclische beoordeling van de werking van deze controls leidt tot verbetering van de processen. Hiermee verankert GVB het risicomanagement in de uitvoering van de bedrijfsprocessen.

Het risicomanagementsysteem heeft drie fundamenten: het risicobeleid, de governancestructuur en het risicoproces.

Figuur 1 Risicomanagementsysteem GVB

Risicobeleid

Het risicobeleid van GVB is gericht op het creëren van een transparante besluitvorming waarbij we onze risico’s in acht nemen en beheersen, passend bij de cultuur van GVB. Met een risicomatrix schatten we de omvang van risico’s in termen van kans en effect. Op basis hiervan bepalen we de noodzaak en de urgentie om maatregelen te treffen. Alle risico’s samen, met hun actuele kans en effect, bepalen het risicoprofiel van GVB. Dit risicoprofiel moet door middel van besluitvorming en de uitvoering van maatregelen binnen gestelde grenzen blijven: de vastgestelde risicobereidheid.

Governancestructuur voor risicomanagement

De risicomanager en de directie stellen het risicobeleid op voor GVB. Bij besluitvorming weegt de directie de omvang van risico’s mee en bepaalt of GVB deze (in hun totaliteit) kan dragen. Het lijnmanagement treft maatregelen op risicovolle situaties zowel binnen processen als projecten. Daarmee verkleint het lijnmanagement de impact van de actuele risico’s. De risicomanager ondersteunt hierbij zowel de directie als het lijnmanagement.

De afdelingen rapporteren hun risico’s in de kwartaalrapportages. De directie evalueert jaarlijks de strategische risico’s van GVB, inclusief externe risico’s (zoals wijzigende wetgeving of veranderend beleid). De risicomanager consolideert het totaal van deze risico’s periodiek tot een integrale risicorapportage. Onderdeel hiervan is de toets of het risicoprofiel past binnen de risicobereidheid. Deze risicorapportage wordt besproken met de Auditcommissie van de rvc. Eventuele acties en besluiten ter verdere beheersing van risico’s kunnen in de RvC worden besproken.

Risicoproces

Met behulp van de GVB-risicomatrix identificeren de afdelingen ten minste 2 keer per jaar hun risico’s en stellen beheersmaatregelen vast. Die worden opgenomen in de jaarplannen om de uitvoering te borgen. De risicomanager ondersteunt de afdelingen en coacht ze.

Bij investeringen groter dan € 200.000 bespreekt de risicomanager met projectleider en de projecteigenaar de projectrisico’s. Bespreekpunten zijn een toets op de volledigheid van de risico-inschatting en de robuustheid van maatregelen. Het doel is een beter voorspelbaar projectresultaat.

Risicobereidheid

De risicobereidheid staat aan de basis van de risicomatrix van GVB. GVB vervult een maatschappelijke functie en dat vraagt om een prudent risicobeleid. De omgeving is zeker niet risicovrij: de regio Amsterdam groeit fors en systeemuitbreidingen zijn onderweg. Dit schept kansen voor GVB, maar brengt tegelijkertijd nieuwe operationele risico’s met zich mee. De impact van corona en van de energiecrisis toont de gevoeligheid van GVB voor grote maatschappelijke veranderingen en risico’s. De reizigersgroei is omgeslagen en herstel op korte termijn wordt niet voorzien.

GVB moet de risico-impact van alle effecten opvangen. De belangrijkste beheersmaatregelen zijn een goede procesmatige inrichting van de operationele processen, de administratieve processen en de projecten. Enerzijds om risico’s zo veel mogelijk te voorkomen, en anderzijds om ze zo efficiënt mogelijk op te vangen als ze wel optreden.

Daarmee moet GVB een positief verschil laten zien tussen de risicobereidheid en het werkelijke risicoprofiel. 2022 laat zien dat dit geen eenvoudige opgave is.

Inmiddels is duidelijk dat de nasleep van corona tot zeker 2024 een negatief effect zal hebben op de reizigersaantallen en daarmee op de reizigersinkomsten. De oorlog in Oekraïne heeft geleid tot sterk gestegen energiekosten. De Nederlandse overheid heeft tot en met 2022 een groot deel van de geleden verliezen gecompenseerd via de beschikbaarheidsvergoeding voor het OV (BVOV). Desondanks is de winstgevendheid van GVB fors geraakt. Beheersmaatregelen zijn een versobering van de dienstregeling, nog meer sturing op pure financiële resultaten en KPI’s en de integrale beheersing van risico’s.

Tabel 26 Risicobereidheid GVB Holding NV

Risicocategorie	Beschrijving	Risicobereidheid

Strategie	Risico’s gerelateerd aan realisatie van de strategische koers en strategische trends, onder andere door groei van de stad, investeringen in materieel en systeemsprongen zoals de Noord/Zuidlijn.	Gematigd

Operatie	Risico’s gerelateerd aan de huidige exploitatie en potentiële verliezen ten gevolge van inefficiënte processen, menselijk falen of externe gebeurtenissen.	Laag

Financiën	Risico’s waarbij financieel verlies optreedt ten gevolge van de gehanteerde financiële structuur of instrumenten, of door het ontbreken van deugdelijke financiële controles.	Laag

Compliance	Risico op het niet voldoen aan wettelijke voorschriften of andere geldende reglementen en normen. Deze kunnen voortkomen uit wet- en regelgeving, afspraken met toezichthouders of verplichtingen die voortvloeien uit contracten.	Laag

Risico's en beheersmaatregelen

De volgende tabel geeft inzicht in de risico’s voor GVB en de hiervoor getroffen maatregelen door ons. Ook wordt aangegeven wat de impact van deze risico’s is en hun huidige status

Tabel 27 Strategische risico's

Risico	Verlies van de volgende concessie.
Impact	Einde van GVB als vervoerbedrijf, met uitzondering van Veren.
Maatregelen	Voldoen aan concessie-eisen door goed contractmanagement en een goede operationele en marktconforme prestatie. Goede voorbereiding op een volgende concessie. Een passende organisatie-inrichting.

Risico	Vertraagd herstel van reizigersopbrengsten in de nasleep van corona.
Impact	Verminderde dekking op de operationele kosten.
Maatregelen	Sterke kostensturing en inbreng van de nieuwe situatie in het programma van eisen (PVE) van de nieuwe concessie. Benutting van de beschikbaarheidsvergoeding OV in 2023. Aanhouden van adequaat vermogen en liquiditeit.
Risico	Versobering van de dienstregeling door vertraagd herstel van reizigersaantallen.
Impact	Blijvende consequenties van versobering belemmeren het herstel van reizigersaanbod als reizigersaantallen toenemen als gevolg van stedelijke groei.
Maatregel	Terugwinnen van reizigersvertrouwen en aangepaste dienstregeling.
Risico	Toenemende vervlechting van ICT-systemen voor sturing en controle van voertuigen en betalingssytemen binnen het vervoerssysteem.
Impact	Lokale verstoringen die kunnen leiden tot grote verstoringen in de dienstregeling, met name bij Metro. De complexiteit neemt toe en implementatierisico’s bij projecten raken het hele vervoerssysteem. Het leidt tot hogere assetkosten. Storingen in de betalingssystemen kunnen een negatieve impact hebben op de inkomstenstroom.
Maatregelen	Sterke projectteams die nauw verbonden zijn aan de operatie. Langetermijn-samenwerking met kritische leveranciers.

Tabel 28 Operationele risico's

Risico	Onvoldoende aansluitingen op het elektriciteitsnetwerk.
Impact	Uitlopende projecten, waaronder elektrificatie van de busvloot en uitbreiding van de vervoerscapaciteit.
Maatregelen	Knelpunten in beeld brengen en bespreken met netbeheerder. Waar mogelijk in overleg met de netbeheerder slimme oplossingen toepassen.

Risico	Prijsstijgingen en langere levertijden als gevolg van de oorlog in Oekraïne.
Impact	Vertragingen in de levering van kritische onderdelen en kostenstijgingen in met name het onderhoud van assets.
Maatregel	Vroegtijdig kritische delen in beeld brengen zodat we eerder bestellingen kunnen doen. De kostenstijging wordt deels geabsorbeerd en zal deels tot aanpassing van de subsidie leiden.

Risico	Gerichte indringing van buitenaf op GVB-systemen, met als doel crimineel geldelijk gewin of sabotage.
Impact	Gijzeling en chantage door een kwaadwillende externe partij via de systemen van GVB en in het ergste geval zodanige beïnvloeding van de besturingssystemen dat de veiligheid van de reiziger en medewerker in het geding komt.
Maatregelen	Uitvoering van een meerjarig integraal programma voor verbetering van de cybersecurity en informatiebeveiliging bij alle IT-projecten bij bestaande en nieuwe systemen. Implementatie van beheersprocessen onder leiding van de Chief Information Security Officer (CISO)
Risico	Extra onderhoudskosten als gevolg van verhoogde inzet.
Impact	Verhoogde jaarlijkse inzet van assets, dus meer gereden kilometers per jaar, waardoor de jaarlijkse onderhoudskosten stijgen en de levensduur van de assets afneemt.
Maatregel	Kilometerafhankelijke berekening van de onderhoudskosten. Implementatie van assetmanagement voor beheersing en optimalisatie van onderhoudskosten.

Tabel 29 Personele risico's

Risico	Personeelstekorten die leiden tot beperkingen in de dienstregeling.
Impact	Tekorten in de personele bezetting van Vervoer en onderhoud als gevolg van de competitieve en schaarse markt voor bestuurders en technisch personeel.
Maatregelen	Behoud van huidig eigen personeel. Positionering van GVB in de markt als aantrekkelijke werkgever

Risico	Verzuim boven de norm binnen operatie en onderhoud.
Impact	Verzuim boven de norm na de coronaperiode, wat leidt tot beperkingen in de dienstregeling en toename van de operationele kosten.
Maatregelen	Gedragsmatige aanpak van verzuim. Voorkomen van onnodig langdurig verzuim door inzet op maat. Verbetering van de leeftijdsverdeling op langere termijn.

Tabel 30 Financiële risico's

Risico	Boven de markt uitstijgende kosten van de cao.
Impact	Te hoge personeelskosten die de marktconformiteit verlagen, waardoor de verlenging van de concessie in gevaar kan komen
Maatregelen	Productiviteitsverbeteringen waar mogelijk en ten minste marktconform. Behoudende loonkostenontwikkeling.
Risico	Energie voor 2024 en verder nog niet geheel ingekocht.
Impact	Hogere energieprijzen als gevolg van de oorlog in Oekraïne, waarbij de huidige volatiliteit onzekerheid geeft in de finale prijs van het resterende deel.
Maatregelen	Zorgvuldige inkoop van het resterende deel energie voor de komende jaren. Evaluatie van de inkoopstrategie en de inkoopprocessen voor energie.

Tabel 31 Compliancerisico's

Risico	Ongunstige uitkomst van de herijking in de concessie Amsterdam.
Impact	Aanpassing van de subsidiereeksen door de concessieverlener bij onvoldoende voldoen aan de concessie-eisen van GVB bij de laatste herijking, met als gevolg dat geen optimaal resultaat wordt bereikt tussen opbrengsten, kosten en subsidie.
Maatregelen	Het bieden van duidelijkheid in de vervoersopgave van GVB tegen de achtergrond van de maatschappelijke situatie. Goede afspraken over de veranderingsopgave en de optredende risico’s binnen de concessie.
Risico	Niet voldoen aan wet- en regelgeving
Impact	Boetekosten, stopzetten van werkzaamheden, belemmering vanuit toezichthouders op de ingeslagen procesgang.
Maatregelen	In beeld brengen wettelijk en normatief kader van GVB door compliance manager en op basis daarvan de afwijkingen corrigeren. Sturing op het morele kompas door DT en senior management .