Risicobeheersings- en controlesysteem

Voor de identificatie, beheersing en rapportage van risico’s hanteren wij een risicobeheersings- en controlesysteem waarvoor de Algemene directie eindverantwoordelijk is. Het systeem is gebaseerd op de internationaal geaccepteerde standaarden van de Committee of Sponsoring Organizations of the Treadway Commission (COSO).
Het risicobeheersings- en controlesysteem start op de werkvloer. Afdelingen en projectteams zijn zelf verantwoordelijk voor de risico-identificatie, -beheersing en -rapportage. Desgewenst worden zij ondersteund door risicomanagementadviseurs en controllers. De Interne Audit afdeling, als derde lijn, voert periodiek audits uit over het risicobeheersings- en controlesysteem. De externe accountant geeft in de jaarlijkse management letter een oordeel over de werking van de interne beheersing omtrent financiële verslagleggingsrisico’s. De Auditcommissie van de Raad van Commissarissen houdt toezicht op de werking van het risicobeheersing- en controlesysteem. Onderdelen van dit systeem zijn onder meer:

  • Planning- en controlcyclus
    Het jaarlijkse planning- en controlproces start met de actualisatie van onze ondernemingsstrategie. Naar aanleiding van interne en externe trends en ontwikkelingen en de daarvan afgeleide kansen en bedreigingen wordt de strategie indien nodig bijgesteld. De (bijgestelde) strategie vormt de basis voor het Havenbedrijf Rotterdam-jaarplan waarin de doelstellingen, activiteiten en budgetten van afdelingen zijn opgenomen. De update op de ondernemingsstrategie en het jaarplan worden door de Algemene directie en Raad van Commissarissen goedgekeurd.
    Het Havenbedrijf Rotterdam-jaarplan is de basis voor het periodiek monitoren van de performance en waar nodig treffen van bijsturende acties. Op kwartaalbasis worden projecties gemaakt voor het resterende deel van het jaar. Vier keer per jaar wordt de performance besproken in de Raad van Commissarissen en drie keer per jaar in de Auditcommissie. Bij de monitoring van het jaarplan hanteren wij kritische prestatie-indicatoren die onder andere inzicht geven in de ontwikkeling van risico’s op het gebied van bereikbaarheid, veiligheid en financiën.

  • Beleid en richtlijnen
    Door middel van autorisatielimieten, vastgelegd in het interne bevoegdhedenbeleid en de procuratieregeling, beperken wij risico's bij het aangaan van uitgaven en verplichtingen. Daarnaast hebben wij onder meer beleid en richtlijnen voor accounting, het financiële beheer en het beheer en de beveiliging van geautomatiseerde systemen. Voor de belangrijkste geautomatiseerde systemen wordt van de externe dienstverleners een ISAE 3402-verklaring opgevraagd en beoordeeld.
    In de Bedrijfscode zijn onze normen en waarden opgenomen. De Bedrijfscode bevat richtlijnen die duidelijkheid scheppen over wat is toegestaan en wat gewenst en ongewenst gedrag is. In 2016 hebben wij deze gedragsregels uitgebracht in een e-learning.

  • Risicoanalyses, controleraamwerken en kwaliteitsmanagementsystemen
    Voor het signaleren van financiële risico’s en het voorspellen van onze financieringsbehoefte, hanteren wij onder andere een meerjarig Financial Framework. Wij houden daarbij rekening met verschillende financiële scenario’s. Daarnaast zijn voor onze belangrijkste processen, zoals contractopbrengsten, zeehavengelden en inkopen, raamwerken voor financiële controle aanwezig die een beschrijving geven van maatregelen ter beheersing van financiële verslagleggingsrisico’s.
    Voor het beheerst uitvoeren van operationele activiteiten zoals scheepvaartbegeleiding, incidentenbestrijding, toezicht en handhaving en realisatie en beheer van infrastructuur, havens en vaarwegen, voeren de afdelingen en projectteams periodiek risicoanalyses uit en zijn onder meer kwaliteitsmanagementsystemen geïmplementeerd om de realisatie van verbeterpunten te bewaken. Zo hebben wij in 2016 wederom het gewenste niveau behaald tijdens de certificering ISO 55001 voor assetmanagement.
    De belangrijkste risico’s op de verschillende domeinen, zoals operationele activiteiten en wet- en regelgeving (compliance), zijn vastgelegd in ons toprisicolandschap. Ieder risico heeft daarbij een eigenaar. De monitoring van onze belangrijkste risico's is onderdeel van onze planning- en controlecyclus. Het risicolandschap van het Havenbedrijf Rotterdam wordt twee keer per jaar besproken in de Algemene directie en Raad van Commissarissen. Voorafgaand wordt met de risico-eigenaren in de business de risicotrend (gestegen, gedaald, stabiel) van de reeds geïdentificeerde risico’s en eventuele nieuwe risico’s besproken. Het in stand houden en vergroten van het risicobewustzijn van onze medewerkers heeft verder onze blijvende aandacht. Zo meten wij periodiek of onze mensen zich bewust zijn van risico's op het werk.