Risicomanagement

GVB opereert in de dynamische omgeving van de landelijke hoofdstad. Dat biedt natuurlijk kansen, maar brengt ook risico’s met zich mee. GVB wil deze risico’s beheersen. We brengen ze in beeld, nemen passende maatregelen en zorgen ervoor dat onze basisprocessen op orde zijn. Hierdoor kunnen we onze reizigers een betrouwbare service bieden, gekoppeld aan een voorspelbaar resultaat.

Risicomanagement hoort bij de reguliere bedrijfsvoering van GVB. De directie is eindverantwoordelijk voor een effectieve risicobeheersing. Risicomanagement geeft inzicht in de strategische, operationele, financiële en compliance-risico’s van GVB. Dit versterkt de basis voor besluitvorming en de uitvoering van de operatie. Het verantwoordelijke lijnmanagement treft beheersmaatregelen om onderkende risico’s te mitigeren. De beheersing van de belangrijkste risico’s en het resulterende risicoprofiel worden periodiek gerapporteerd aan het directieteam en de raad van commissarissen (rvc).

Het risicomanagement en het interne beheerssysteem van GVB zijn gebaseerd op de richtlijnen van het Committee of Sponsoring Organizations of the Treadway Commission (COSO). De interne beheersystemen zijn gebaseerd op een resultaatgerichte processturing met controls om de grootste risico’s in de processen te beheersen. Cyclische beoordeling van de werking van deze controls leidt tot verbetering van de processen. Hiermee verankert GVB het risicomanagement in de uitvoering van de bedrijfsprocessen.

Het risicomanagementsysteem heeft drie fundamenten: het risicobeleid, de governancestructuur en het risicoproces.

Figuur 1 Risicomanagementsysteem GVB

Risicobeleid

Het risicobeleid van GVB is gericht op het creëren van een transparante besluitvorming waarbij we onze risico’s in acht nemen en beheersen, passend bij de cultuur van GVB. Met een risicomatrix schatten we de omvang van risico’s in termen van kans en effect. Op basis hiervan bepalen we de noodzaak en de urgentie om maatregelen te treffen. Alle risico’s samen, met hun actuele kans en effect, bepalen het risicoprofiel van GVB. Dit risicoprofiel moet door middel van besluitvorming en de uitvoering van maatregelen binnen gestelde grenzen blijven: de vastgestelde risicobereidheid.

Governancestructuur voor risicomanagement

De risicomanager en de directie stellen het risicobeleid op voor GVB. Bij besluitvorming weegt de directie de omvang van risico’s mee en bepaalt of GVB deze (in hun totaliteit) kan dragen. Het lijnmanagement treft maatregelen op risicovolle situaties zowel binnen processen als projecten. Daarmee verkleint het lijnmanagement de impact van de actuele risico’s. De risicomanager ondersteunt hierbij zowel de directie als het lijnmanagement.

De afdelingen rapporteren hun risico’s in de kwartaalrapportages. De directie bepaalt jaarlijks de strategische risico’s van GVB, inclusief externe risico’s (zoals wijzigende wetgeving of beleid). De risicomanager consolideert het totaal van deze risico’s periodiek tot een integrale risicorapportage. Onderdeel hiervan is de toets of het risicoprofiel past binnen de risicobereidheid. Deze risicorapportage wordt besproken met de Auditcommissie van de rvc.

In 2021 is het OV Governance-traject tussen de Vervoerregio, de gemeente Amsterdam en GVB afgerond. Rond het aspect Rekening & Risico zijn de afspraken verduidelijkt en gaat men meer in samenhang gezamenlijke risico’s bespreken.

Proces

Met behulp van de GVB-risicomatrix identificeren de afdelingen ten minste 2 keer per jaar hun risico’s en stellen beheersmaatregelen vast. Die worden opgenomen in de jaarplannen, zodat de uitvoering is geborgd. De risicomanager ondersteunt de afdelingen en coacht ze.

Bij investeringen groter dan € 200.000 bespreekt de risicomanager met projectleider en de projecteigenaar de projectrisico’s. Bespreekpunten zijn een toets op de volledigheid van de risico-inschatting en de robuustheid van maatregelen. Het doel is een beter voorspelbaar projectresultaat.

Risicobereidheid

De risicobereidheid staat aan de basis van de risicomatrix van GVB. Het komende decennium heeft GVB te maken met een aantal grote veranderingen. De Amstelveenlijn is eind 2021 opgestart en andere systeemuitbreidingen zijn onderweg. Dit mechanisme schept kansen voor GVB, maar brengt tegelijkertijd nieuwe operationele risico’s met zich mee.

De realiteit van corona toont de gevoeligheid van GVB voor grote maatschappelijke risico’s. De reizigersgroei is omgeslagen en de aantallen zijn geslonken tot 60% van het niveau 2019. Herstel op korte termijn wordt niet voorzien. De eisen voor markconformiteit verkleinen de interne reserves voor het opvangen van risico’s.

GVB moet de impact van beide opvangen. De belangrijkste verbetermaatregelen zijn een goede procesmatige inrichting van de operationele processen, de administratieve processen en de projecten. Enerzijds om risico’s zo veel mogelijk te voorkomen, en anderzijds om ze zo efficiënt mogelijk op te vangen als ze wel optreden. Daarmee moet er een positief verschil zijn tussen risicobereidheid en het werkelijke risicoprofiel.

Belangrijkste gebeurtenis: corona

Inmiddels is duidelijk dat de pandemie tot zeker 2024 een negatief effect zal hebben op de reizigersaantallen. De Nederlandse overheid compenseert via de beschikbaarheidsvergoeding voor het OV een deel van de geleden verliezen, maar nog steeds wordt de winstgevendheid van GVB geraakt. De maatregelen hiervoor zijn met grote focus sturen op kosten en uitgaven en versoberen van de dienstregeling, dit laatste in overleg met de Vervoerregio. Kosten beheersen is ook risico’s beheersen. Daarbij kiest GVB voor het versterken van de processen en het optimaliseren van de interne procesketens als belangrijke instrumenten om deze doelen te ondersteunen.

Risico's en beheersmaatregelen

Tabel 22 Strategische risico's

Risico	Onduidelijk overheidsbeleid over de beschikbaarheidsvergoeding na augustus 2022.
Impact	Terugval van inkomsten en cashpositie van GVB zet de continuïteit van de onderneming onder druk.
Maatregelen	Landelijke belangenbehartiging en campagnes via OV-NL. Versobering dienstregeling en organisatie.

Risico	Toenemende vervlechting van ICT-systemen voor sturing en controle van het vervoerssysteem.
Impact	Lokale verstoringen kunnen leiden tot grote verstoringen in de dienstregeling, met name bij Metro. De complexiteit neemt toe en implementatierisico’s bij projecten raken het hele vervoerssysteem. Het leidt tot hogere assetkosten.
Maatregelen	Sterke projectteams die nauw verbonden zijn aan de operatie. Langetermijn-samenwerking met kritische leveranciers.

Tabel 23 Inpasbaarheid OV in de stad

Risico	Realisatie van OV-voorzieningen in de stad (zoals eindhuisjes, laadinfra) onvoldoende voorzien in de ontwikkeling van de stad.
Impact	Projectonzekerheden treden op (go/no-go of grote uitloop). Daarnaast zijn de kosten van de voorzieningen buitengewoon hoog vanwege inpassingseisen.
Maatregelen	Overleg in vroeg stadium met verantwoordelijke instanties.

Risico	Onteigening van terreinen (GVB-locaties) ten behoeve van stadsontwikkeling.
Impact	Onteigening binnen de stad leidt tot meer en niet vergoede dienstreiskilometers door herplaatsing naar terreinen buiten de stad.
Maatregel	In gesprek met stadsontwikkeling. Duidelijke eisen voor nieuwe locaties.

Risico	Onvoldoende capaciteitsaansluitingen op het elektriciteitsnetwerk.
Impact	Projecten lopen uit, waaronder elektrificatie van de busvloot en uitbreiding van de vervoerscapaciteit.
Maatregel	Knelpunten in beeld brengen en bespreken met de netbeheerder.

Operationele risico's

Tabel 24 Bedrijfsvoering

Risico	Toename van tijdelijke verkeersmaatregelen (TVM). Verstoring van de dienstregeling door het grote aantal bruggen en kades die de komende jaren versterkt moeten worden.
Impact	Toename van de hoeveelheid infrastructurele werken binnen de stad heeft verstoringen in de dienstregeling tot gevolg, leidend tot lagere klantwaardering en lagere productiviteit.
Maatregelen	Vroegtijdige betrokkenheid in planprocessen van de gemeente. Risicoanalyse per TVM om maatregelen situatie-specifiek te maken.

Risico	Opschaling na corona vertraagd door onvoldoende personeel.
Impact	Door hoog ziekteverzuim en een lage beschikbaarheid van bestuurders in de markt kan GVB onvoldoende snel opschalen als reizigersaantallen toenemen.
Maatregel	Strakke handhaving van beleid op ziekte en verzuim. Actief wervingsbeleid.

Tabel 25 Veiligheid

Risico	Veiligheid van rijdend personeel tijdens de coronaperiode.
Impact	Groeiend gevoel van onveiligheid door toename van agressief gedrag ten opzichte van bestuurders en conducteurs.
Maatregelen	Goede afschermende maatregelen in de voertuigen. Inzet vanuit Service & Veiligheid daar waar nodig.

Tabel 26 Externe bedreigingen voor de operatie

Risico	Manifestatie van een pandemie door de uitbraak van Covid-19.
Impact	De grote daling van reizigersaantallen en daarmee reizigersinkomsten vormt een bedreiging voor de continuïteit.
Maatregelen	Veilige werkomgeving voor alle medewerkers. Aanhouden van adequaat vermogen en liquiditeit. Beheersmaatregelen om operationele en financiële impact door corona op te vangen. Benutting van beschikbaarheidsvergoeding voor het OV.

Financiële risico's

Tabel 27 Personeelskosten

Risico	Marktconformiteit van GVB negatief beïnvloed door hoge personeelslasten (cao-stijging boven marktgemiddelde).
Impact	Te hoge personeelskosten verlagen marktconformiteit, waardoor verlenging van de concessie in gevaar kan komen.
Maatregel	Productiviteitsverbetering. Behoudende loonkostenontwikkeling.

Tabel 28 Assetkosten

Risico	Extra onderhoudskosten ten gevolge van onvoorziene defecten en ontwerpfouten.
Impact	De materiële assets van GVB worden aangeschaft met verwachte inzet en verwachte onderhoudskosten. Als het materieel sneller veroudert door een hogere inzet dan voorzien, leidt dit tot hogere onderhoudskosten.
Maatregel	Kilometerafhankelijke berekening van onderhoudskosten. Verwerking van ervaringen in bestelspecificaties. Verbetering van de onderhoudsanalyse van processen.

Tabel 29 IT-security

Risico	Gerichte indringing van buitenaf op GVB-systemen, met als doel crimineel geldelijk gewin of sabotage.
Impact	Een kwaadwillende externe partij kan via de systemen GVB gijzelen en chanteren en in het ergste geval de besturingssystemen beïnvloeden zodanig dat de veiligheid van de reiziger en medewerker in het geding komt.
Maatregel	Besloten tot een aanvullend integraal programma voor verbetering van de cybersecurity en informatiebeveiliging bij alle IT-projecten bij bestaande en nieuwe systemen.