Risicomanagement

GVB opereert in de dynamische omgeving van een groeiende stad, met een sterk stijgende vraag naar openbaar vervoer. Dat biedt natuurlijk kansen, maar brengt ook risico’s met zich mee. GVB wil deze risico’s beheersen.

We brengen risico’s in beeld, komen met passende maatregelen en zorgen ervoor dat onze basisprocessen op orde zijn. Hierdoor kunnen we onze reizigers een betrouwbare service bieden, gekoppeld aan een voorspelbaar resultaat van onze gestelde doelen.

Risicomanagement hoort bij de reguliere bedrijfsvoering van GVB. De directie is eindverantwoordelijk voor een effectieve risicobeheersing. Risicomanagement geeft inzicht in de strategische, operationele, financiële en compliance-risico’s van GVB. Dit versterkt de basis voor besluitvorming en de uitvoering van de operatie. Het risicoprofiel en de belangrijkste risico’s worden periodiek besproken met de raad van commissarissen (rvc). Dit is ook in 2019 gebeurd. Het verantwoordelijk management treft beheersmaatregelen om de onderkende risico’s te mitigeren. De beheersing van de belangrijkste risico’s en het resulterende risicoprofiel worden periodiek gerapporteerd aan de rvc.

Het risicomanagement en het interne beheerssysteem van GVB zijn gebaseerd op de richtlijnen van het Committee of Sponsoring Organizations of the Treadway Commission (COSO).

De interne beheersystemen zijn gebaseerd op een resultaatgerichte processturing met controls om de grootste risico’s in de processen te beheersen. Cyclische beoordeling van de werking van deze controls leidt tot verbetering van de processen. Hiermee verankert GVB het risicomanagement in de uitvoering van de bedrijfsprocessen.

Het risicomanagementsysteem heeft drie fundamenten: het risicobeleid, de governancestructuur en het risicoproces.

Figuur 1 Risicomanagementsysteem GVB

Risicobeleid

Het risicobeleid van GVB is gericht op het creëren van een transparante besluitvorming waarbij we de risico’s in de operatie in acht nemen en beheersen, passend en aansluitend bij de cultuur van GVB. Binnen het beleid heeft GVB een risicomatrix opgesteld om de omvang van risico’s in te schatten in termen van kans en effect. Op basis hiervan bepalen we de noodzaak en urgentie om maatregelen te treffen op het risico. Alle risico’s tezamen, met hun actuele kans en effect, bepalen het risicoprofiel van GVB. Dit risicoprofiel moet door besluitvorming en uitvoering van maatregelen binnen gestelde grenzen blijven: de vastgestelde risicobereidheid.

Governancestructuur

Binnen GVB is de lijnorganisatie verantwoordelijk voor het managen van risico’s. De risicomanager en de directie stellen het risicobeleid op voor GVB. De directie weegt bij besluitvorming over zaken de omvang van de risico’s mee en bepaalt of GVB deze (in hun totaliteit) kan dragen. De uitvoerende organisaties treffen maatregelen op risicovolle situaties (zowel binnen processen als projecten) en verkleinen daarmee de impact van de actuele risico’s. De risicomanager ondersteunt hierbij zowel de directie als het lijnmanagement.

Op basis van dit beleid rapporteren de afdelingen hun risico’s in de kwartaalrapportages. De directie bepaalt jaarlijks de strategische risico’s van GVB. Ook worden externe risico’s in kaart gebracht (zoals wijzigende wetgeving of beleid). De risicomanager consolideert het totaal van al deze risico’s periodiek tot een integrale risicorapportage. Onderdeel hiervan is de toets of het risicoprofiel past binnen de risicobereidheid. Deze risicorapportage wordt besproken met de Auditcommissie van de rvc.

Proces

De afdelingen identificeren met behulp van de GVB-risicomatrix ten minste twee keer per jaar hun risico’s en stellen beheersmaatregelen vast. De uit te voeren beheersmaatregelen worden opgenomen in de jaarplannen. Langs deze weg stellen we budget en planning vast, zodat de uitvoering is geborgd. De risicomanager ondersteunt de afdelingen en coacht ze.

Alle voorstellen voor investeringen groter dan € 200.000 bespreekt de risicomanager met projectleider en business owner. Bespreekpunten zijn een toets op de volledigheid van de risico-inschatting en de robuustheid van maatregelen. Het doel is een beter voorspelbaar projectresultaat.

Risicobereidheid

De risicobereidheid staat aan de basis van de risicomatrix van GVB. Het komende decennium heeft GVB te maken met een aantal grote veranderingen. De Noord/Zuidlijn is inmiddels geïntegreerd, maar andere systeemsprongen zijn onderweg. De groei van stad en regio leidt tot grote vervoerskundige aanpassingen, en de stad zelf wil autoluw worden. GVB beweegt mee. Dit schept kansen.

Maar elke kans gaat gepaard met nieuwe risico’s, die door de schaalgrootte van de projecten groot kunnen zijn. Deze dynamiek geeft GVB gedurende meerdere jaren een verhoogd risicoprofiel. De belangrijkste beheersmaatregelen zijn een vroegtijdige inrichting van projectteams voor beheersing van raakvlakken met externe projecten, het voorbereiden van de operatie en de tijdige inbedding van systeemsprongen in de staande organisatie.

Tabel 21 Risicobereidheid

Risicocategorie	Beschrijving	Risicobereidheid

Strategie	Risico’s gerelateerd aan realisatie van de strategische koers en strategische trends, onder andere door groei van de stad, investeringen in materieel en systeemsprongen zoals de Noord/Zuidlijn, maar ook prijsontwikkelingen van het tarief van OV.	Gematigd

Operatie	Risico’s gerelateerd aan de huidige exploitatie en potentiële verliezen ten gevolge van inefficiënte processen, menselijke fouten of externe gebeurtenissen.	Laag

Financiën	Risico’s waarbij financieel verlies optreedt ten gevolge van de gehanteerde financiële structuur of instrumenten, of door het ontbreken van deugdelijke financiële controles.	Laag

Compliance	Risico op het niet voldoen aan wettelijke voorschriften of andere geldende reglementen en normen. Deze kunnen voortkomen uit wet- en regelgeving, afspraken met toezichthouders of verplichtingen die voortvloeien uit contracten.	Laag

Actuele gebeurtenissen: corona-uitbraak 2020

In maart 2020 heeft zich in Nederland (en wereldwijd) een pandemie gemanifesteerd in de vorm van de uitbraak van het coronavirus (COVID-19). Deze uitbraak heeft een grote impact op de Nederlandse samenleving en het gebruik van het openbaar vervoer in Nederland. GVB merkt de gevolgen hiervan met name als gevolg van dalende reizigersaantallen (86% minder dan vergelijkbare periode 2019) en als gevolg hiervan dalende reizigersopbrengsten, en kan ook impact hebben op de veiligheid van ons personeel. De directie van GVB Holding NV heeft een aantal maatregelen genomen, die passen bij de landelijk afgekondigde maatregelen. Wij beschrijven hier de genomen maatregelen.

Teneinde de impact van deze uitbraak op de continuïteit van onze dienstverlening, onze financiële positie en de veiligheid van onze medewerkers te beperken heeft GVB een Calamiteiten Team ingesteld dat de dagelijkse aansturing verzorgt van deze activiteiten en de informatievoorziening daarover aan de directie van GVB Holding NV. Onze primaire dienstverlening bestaat immers uit het verlenen van diensten op het gebied van openbaar vervoer en daaraan gerelateerde activiteiten in groot Amsterdam. GVB monitort haar kernprocessen dagelijks en zorgt ervoor dat de bemensing in overeenstemming is met de vraag naar openbaar vervoer en andere daaraan gerelateerde activiteiten.

Daarnaast staat GVB waar nodig in direct contact met haar leveranciers, die een rol spelen bij de uitvoering van onze primaire dienstverlening. Het Calamiteiten Team heeft maatregelen getroffen voor de veiligheid van onze medewerkers in de operatie en op kantoor. Ook heeft zij gezorgd voor middelen om al haar kantoormedewerkers in staat te stellen thuis te werken. Voor de medewerkers in de operatie zijn in overeenstemming met de landelijke maatregelen voor het OV in Nederland extra beschermende maatregelen getroffen.

Risico's en beheersmaatregelen

Strategische risico's

Tabel 22 Strategische risico's

Risico	Onvoldoende financiële middelen in BDU (Brede Doel Uitkering: Rijksbijdrage voor het openbaar vervoer) om groei van en beleid voor OV voor Amsterdam te accommoderen.
Impact	Beleid voor OV voor Amsterdam wordt in onvoldoende mate gerealiseerd waardoor de OV-realisatie achterblijft op de werkelijke vervoersvraag.
Maatregelen	Samenwerking tussen gemeente Amsterdam, VRA en GVB om gezamenlijk de belangen van de stad te behartigen. Aanpassing van de governance structuur van het OV in Amsterdam om de samenwerking te optimaliseren.

Risico	Toenemende vervlechting van ICT-systemen voor sturing en controle van het vervoerssysteem.
Impact	De complexiteit neemt toe en implementatierisico’s bij projecten raken het gehele vervoerssysteem, bij een zwaardere beheersopgave.
Maatregelen	Sterke projectteams die nauw verbonden zijn aan de operatie. Langetermijn-samenwerking met kritische leveranciers.

Tabel 23 Groei van de stad

Risico	Strategische vervoerplanning wijkt af van werkelijke groei in aantal reizigers.
Impact	De afwijking leidt tot onvoldoende rijdend materieel, waardoor vervoer van reizigers niet voldoet aan de afgesproken prestaties. De lange besteltijd van materieel maakt snelle correctie lastig.
Maatregelen	Voortdurende optimalisatie van de strategische plannen (financieel, materieel, personeel) van GVB. Optieregelingen in materieelbestellingen voor aanvullend materieel. Uitbreiding van het netwerk.

Risico	Onteigening van terreinen (GVB-locaties) ten behoeve van stadsontwikkeling.
Impact	Onteigening van terreinen (GVB-locaties) binnen de stad leidt tot meer en niet vergoede dienstreiskilometers door herplaatsing naar terreinen buiten de stad.
Maatregel	In gesprek met stadsontwikkeling. Duidelijke eisen voor nieuwe locaties.

Operationele risico's

Tabel 24 Bedrijfsvoering

Risico	Toename van tijdelijke verkeersmaatregelen (TVM). Het grote aantal bruggen en kades die de komende jaren versterkt moeten gaan worden, verstoren de dienstregeling.
Impact	Verstoringen in de dienstregeling door toename van infrastructurele werken binnen de stad, leidend tot lagere klantwaardering en lagere productiviteit.
Maatregelen	Vroegtijdige betrokkenheid in planprocessen van de gemeente. Risicoanalyse per TVM om maatregelen situatie-specifiek te maken.

Risico	Te lage beschikbaarheid personeel.
Impact	GVB heeft in toenemende mate moeite om voldoende technisch en rijdend personeel te werven om de operaties efficiënt en zonder gaten te draaien, zeker nu een forse golf van pensioengerechtigde medewerkers het bedrijf zal verlaten.
Maatregel	Voortdurend actief blijven werven en jongeren uitnodigen om kennis te maken met GVB.

Tabel 25 Veiligheid

Risico	Verborgen gevaren bedreigen gezondheid en welzijn van werknemers.
Impact	Bij openbaring van verborgen gevaren (bijvoorbeeld chroom-6) wordt het werk stilgelegd en moeten corrigerende maatregelen genomen worden. Onderzoek en herstel vragen geld, leggen extra beslag op materieel en geven interne onrust.
Maatregelen	Veiligheid altijd speerpunt in managementprogramma's. Goed verder onderzoek, transparantie naar werknemers, treffen van passende maatregelen intern en naar derden.

Tabel 26 Externe bedreigingen voor de operatie

Risico	Manifestatie pandemie door uitbraak coronavirus (COVID-19).
Impact	Grote terugval van reizigersaantallen en daarmee reizigersinkomsten tot mogelijk een bedreiging van de continuïteit; bedreiging van de gezondheid van reizigers en onze medewerkers.
Maatregelen	Instellen calamiteitenteam. Veiligheid bieden voor alle medewerkers. Aanhouden adequaat vermogen en liquiditeit. Beheersmaatregelen om operationele en financiële impact door COVID-19 op te vangen. Actieve monitoring op kengetallen continuïteit primaire dienstverlening. Waar mogelijk thuiswerkfaciliteiten bieden aan medewerkers. Flexibele schil personeel inzetten.

Financiële risico's

Tabel 27 Kostenontwikkeling

Risico	Budgettaire prijsinschattingen vinden plaats op basis van indices. Deze kunnen afwijken van de werkelijkheid.
Impact	Er kunnen afwijkingen ontstaan ten opzichte van het geprognotiseerde resultaat.
Maatregel	Bewaking van de ontwikkeling van de gehanteerde indices om tijdig budgettair bij te sturen.

Tabel 28 Personeelskosten

Risico	Hoge personeelslasten beïnvloeden marktconformiteit van GVB in negatieve zin (cao-stijging boven marktgemiddelde).
Impact	Te hoge personeelskosten verlagen marktconformiteit, waardoor verlenging van de concessie in gevaar kan komen.
Maatregel	Productiviteitsverbetering. Behoudende loonkostenontwikkeling.

Tabel 29 Assetkosten

Risico	Extra onderhoudskosten ten gevolge van onvoorziene defecten en ontwerpfouten.
Impact	De materiële assets van GVB worden aangeschaft met verwachte onderhoudskosten. Als het materieel sneller veroudert dan voorzien, leidt dit tot hogere onderhoudskosten.
Maatregel	Ervaringen verwerken in bestelspecificaties. Versterking van het contractmanagement. Verbetering van de onderhoudsanalyse van processen.

Governancerisico's

Tabel 30 Projectmanagement

Risico	Besluitvorming over financiering van grote projecten neemt veel tijd.
Impact	Het punt van realisatie is veelal vast. Als de financieringsvraag veel tijd vergt, resteert er beduidend minder tijd voor de projectrealisatie, waardoor de realisatie vertraagd wordt, met forse financiële impact.
Maatregel	Herbezinning op de governance van het Amsterdamse OV. Strakke projectvoering.

Tabel 31 IT-security

Risico	Gerichte indringing van buitenaf op GVB-systemen met als doel crimineel geldelijk gewin of sabotage.
Impact	Een kwaadwillende externe partij kan via de systemen GVB gijzelen en chanteren en in een ergste geval de besturingssystemen beïnvloeden zodanig dat de veiligheid van de reiziger in het geding komt.
Maatregel	Integrale aanpak van cybersecurity en informatiebeveiliging bij alle IT-projecten op bestaande en nieuwe systemen als focus voor 2020 en verder.