Risicomanagement

Risicobeheersings- en controlesysteem

Voor de identificatie, beheersing en rapportage van risico’s hanteren wij een risicobeheersings- en controlesysteem. De internationaal geaccepteerde standaarden van de Committee of Sponsoring Organizations of the Treadway Commission (COSO) vormen de basis voor het Enterprise Risk Management systeem binnen het Havenbedrijf Rotterdam.

Het risicobeheersings- en controlesysteem start op de werkvloer. Afdelingen en projectteams zijn zelf verantwoordelijk voor de risico-identificatie, -beoordeling, -beheersing en -rapportage. Risicomanagementadviseurs en controllers zorgen voor ondersteuning. Zij komen als Risk & Control community regulier bij elkaar ter versterking en bewaking van de integraliteit van risicomanagement binnen het Havenbedrijf Rotterdam. Daarnaast voert de Interne Audit Dienst periodiek audits uit over het risicobeheersings- en controlesysteem. De externe accountant geeft verder in de jaarlijkse managementletter een oordeel over de werking van de interne beheersing voor zover relevant voor de totstandkoming van de jaarrekening. De Algemene directie is eindverantwoordelijk voor het risicobeheersings- en controlesysteem en de auditcommissie van de Raad van Commissarissen houdt toezicht op de werking hiervan.

Onderdelen van het risicobeheersing- en controlesysteem zijn onder meer:

Planning & controlecyclus en evaluatiemechanismen

Strategy Update

De Strategy Update is het jaarlijkse ijkmoment om te bezien of het Havenbedrijf Rotterdam nog op koers ligt om de vijfjarige ondernemingsstrategie te halen en de ontwikkelingen aanleiding geven tot het bijstellen van de strategie en lijst van belangrijkste risico’s. De (bijgestelde) strategie vormt de basis voor het jaarplan. De Algemene directie en Raad van Commissarissen keuren de ondernemingsstrategie en het jaarplan goed. De Algemene Vergadering van Aandeelhouders keurt de strategie ook goed. Gedurende het jaar monitoren wij de voortgang op de strategie en beheersing van de belangrijkste risico’s via onder meer de kwartaalrapportages.

Kwartaalrapportages

De kwartaalrapportage bevat alle relevante recente ontwikkelingen, prestaties en voortgang op diverse gebieden, zoals nautische veiligheid, investeringsprojecten en financiën. Per kwartaal maken wij projecties voor het resterende deel van het jaar. Het Directieteam, de Algemene directie en Raad van Commissarissen bespreken de kwartaalrapportages. De kwartaalrapportages worden ook met de aandeelhouders besproken.

Portfoliomanagement

Het selecteren en beheerst uitvoeren van de juiste projecten is een kritieke factor voor het realiseren van de ondernemingsstrategie. Om te zorgen dat wij de juiste projecten selecteren, snelheid maken en scherpe projectopdrachten formuleren, passen wij Portfoliomanagement toe.

De diverse funnelboards beoordelen nieuwe opportunities, prioriteren en alloceren resources. Funneloverstijgend bewaakt het Directieteam dat we onze ondernemingsstrategie realiseren en toekomstbestendige keuzes maken. Onze projectmanagement aanpak borgt verder dat de geselecteerde projecten conform plan worden uitgevoerd. Projectboards geven sturing aan ons projectenportefeuille.

Beleid en richtlijnen

Door middel van autorisatielimieten, vastgelegd in het interne bevoegdhedenbeleid en de procuratieregeling, beperken wij risico's bij het aangaan van uitgaven en verplichtingen. Daarnaast hebben wij beleid en richtlijnen voor onder meer accounting, het financiële beheer en het beheer en de beveiliging van geautomatiseerde systemen. Voor de belangrijkste geautomatiseerde systemen van de externe dienstverleners wordt de ISAE 3402-verklaring gevraagd.

Normen, waarden en cultuur

Met het CSR-statement en de Bedrijfscode laten wij zien wat wij belangrijk vinden in het zakelijke en maatschappelijke verkeer en wat gewenst en ongewenst gedrag is. Via het medewerkersonderzoek evalueren we periodiek aspecten als cultuur, werkdruk en bekendheid met de Bedrijfscode. Het in stand houden en vergroten van het risicobewustzijn van onze medewerkers heeft verder onze blijvende aandacht. Dit geldt ook voor het onderwerp integriteit. Wij brengen dit actief onder de aandacht bij onze medewerkers.

Risicoanalyses, controle raamwerken en kwaliteitsmanagementsystemen

Voor het signaleren van financiële risico’s en het voorspellen van onze financieringsbehoefte, hanteren wij onder andere een meerjarig Financieel Plan. Wij houden daarbij rekening met verschillende financiële scenario’s. Raamwerken voor financiële controle zijn aanwezig ter beheersing van onder meer financiële verslagleggingsrisico’s. Dit geldt voor de belangrijkste processen, zoals contractopbrengsten, havengelden en inkopen.

Voor het beheerst uitvoeren van operationele activiteiten en projecten voeren de afdelingen en projectteams periodiek risicoanalyses uit en zijn onder meer kwaliteitsmanagementsystemen aanwezig om de realisatie van verbeterpunten te bewaken.

De belangrijkste risico’s (top risico’s) op onder meer strategie, operationele activiteiten en wet- en regelgeving (compliance) worden periodiek als onderdeel van het strategische planningsproces herijkt en vastgesteld door de Algemene directie. We nemen hierin de kansen en bedreigingen als gevolg van diverse trends en ontwikkelingen mee. Klimaatgerelateerde risico's vormen onderdeel van de toprisico's die besproken worden. Zo noodzaakt klimaatverandering tot energietransitie met als risico dat dit niet slaagt. Ook kan een stijgende zeespiegel als gevolg van klimaatverandering resulteren in overstromingen wat op haar beurt het risico van incidenten op water en/of land kan veroorzaken. U leest er hier meer over. Verder vinden op het gebied van klimaat specifieke thema ‘s onderzoeken en verdiepingen plaats.

Ieder toprisico heeft een eigenaar op Directieteam-niveau. De monitoring is onderdeel van onze planning- en controlecyclus. Het Directieteam, de Algemene directie en Raad van Commissarissen bespreken de toprisico’s twee keer per jaar. Onze toprisico’s worden ook met de aandeelhouders besproken.

Belangrijkste risico's

De belangrijkste risico’s (top risico’s) 2023 zijn hieronder aangegeven in ons top risicolandschap. Ontwikkelingen, gebeurtenissen die mogelijk een belangrijke impact hebben op het bereiken van de ondernemingsstrategie, en de impact die wij hebben op derden, onze omgeving (de Rotterdamse haven, logistieke ketens, BV Nederland) door ons (niet) handelen vormen een startpunt in de inventarisatie van top risico’s. Ons succes is onlosmakelijk verbonden aan het functioneren van de gehele haven en alle partijen in en rond de haven. Het merendeel van onze top risico’s gaat dan ook verder dan enkel onze eigen organisatie. Zo spreken we van gebrek aan digitalisering logistieke keten, cyberaanval haven, congesties in en rond de haven. Of wij adequaat handelen, meewerken op het gebied van (nautische) veiligheid raakt externe partijen zoals zee- en binnenvaart, bedrijven in de haven en onderkend in onder meer de top risico’s ‘incident op water en/of land’, ‘cyberaanval haven’, ‘ondermijnende criminaliteit in de haven’.

De classificatie als toprisico en positionering in het top risicolandschap volgt uit de beoordeling van het Directieteam. De risico’s schatten wij eerst in op hun kans en impact zonder maatregelen; stel dat wij niks doen hoe reëel en hoe ernstig is het risico? We nemen daarbij zowel de mogelijke financiële als niet-financiële gevolgen zoals imago-, milieuschade, hinder in onze kernprocessen en gevolgen voor de veiligheid in overweging. Vervolgens zetten wij de uitkomsten af tegen onze risicobereidheid. Dit vormt de basis voor het treffen van maatregelen om het risico te beperken en het restrisico (= na maatregelen) binnen de voor ons aanvaardbare grenzen te houden. Ons uitgangspunt daarbij is dat wij terughoudend zijn. Dit geldt des te meer voor risico’s verbonden aan onze publieke taak als divisie Havenmeester en gerelateerd aan veiligheid, het voldoen aan wet- en regelgeving en betrouwbare financiële verslaglegging. Hoewel onze maatregelen gericht zijn op het beperken van de risico’s, kunnen wij niet vooraf garanderen dat deze ook beperkt blijven.

Onderstaand beschrijven we de belangrijkste risico's met daarbij een overzicht van diverse mitigerende maatregelen. We categoriseren de risico’s in: strategisch, operationeel, compliance, financiële verslaglegging en financieel.

Strategische risico's

Hieronder vallen risico’s die een belemmering vormen voor de realisatie van de ondernemingsstrategie en/of ons bestaansrecht. Ze omvatten onder andere onzekerheden die betrekking hebben op of gepaard gaan met ontwikkelingen in ons concurrerend vermogen en/of maatschappelijke ontwikkelingen.

Strategische risico	Maatregel
Toprisico 4: Hoge vestigings- en ketenkosten De Rotterdamse haven is vanwege hoge kosten ten opzichte van andere havens niet aantrekkelijk voor partijen om zich er te vestigen en/of goederen over te slaan. Lading vermindert en klanten gaan/blijven weg. Hierdoor verslechtert de concurrentiepositie van de Rotterdamse haven.	• Investeren in infrastructuur in de haven en achterlandtransport • Opzetten en realiseren digitaliseringsinitiatieven • Opzetten en realiseren energietransitieinitiatieven • Overleg voor gelijk speelveld met andere (Europese) havens • Drie sporen aanpak stikstofproblematiek • Segmentspecifieke maatregelen zoals faciliteren efficiëntie aanpak containerbinnenvaart
Toprisico 5: Congesties in en rond haven (beschikbare infra en bereikbaarheid) De beschikbare infrastructuur is niet in staat om de marktvraag op het gebied van achterlandtransport te faciliteren. De resulterende congestie in en rond de Rotterdamse haven heeft een negatieve impact op de bereikbaarheid van de haven, ons imago en het vestigingsklimaat.	• Investeren in infrastructuur in de haven en achterlandtransport • Opzetten en realiseren digitaliseringsinitiatieven • Deelnemen aan onder meer Zuid-Holland Bereikbaar • Containerbinnenvaartoverleg en -initiatieven faciliteren • Lobby op relevante dossiers
Toprisico 6: Gebrek aan digitalisering logistieke keten Digitalisering en daarmee een duurzame, veilige en efficiënte afhandeling in de logistieke keten vindt te weinig plaats. Doordat de juiste tools ontbreken en/of doordat partijen geen vertrouwen hebben in elkaar en/of de data, blijven duurzame(re), veilige(re) opties onbenut, verlagen de kosten niet en verslechtert de concurrentiepositie van de Rotterdamse haven.	• Opzetten en realiseren digitaliseringsinitiatieven • Initieren, deelnemen aan Green en Digital corridoren • Medeoprichter en aandeelhouder van Portbase • Faciliteren cybersecurity in de haven • Borgen juiste competenties medewerkers via onder meer opleidingen en trainingen
Toprisico 8a + 8b: Energietransitie Rotterdamse haven slaagt niet Energietransitie slaagt niet vanwege diverse oorzaken, waardoor het Havenbedrijf Rotterdam niet toonaangevend is in duurzaamheid, de Rotterdamse haven de CO₂ -reductiedoelstellingen niet haalt, het imago, draagvlak en concurrentiepositie van de Rotterdamse haven verslechtert.	• Opzetten en realiseren energietransitieinitiatieven • Opzetten en realiseren digitaliseringsinitiatieven • Initieren, deelnemen aan Green en Digital corridoren • Deelnemen aan onder meer Versnellingshuis Energietransitie HIC, Cluster Energie Strategie (CES) Rotterdam-Moerdijk, Europese waterstofalliantie, World Ports Climate Action Program, Hydrogen Council, UN Race to Zero, TrHyHub
Toprisico 11: Afnemende draagvlak haven en industrie Publieke opinie en perceptie rondom de waarde van haven en industrie voor de maatschappij is langzaam aan aan het veranderen. Afnemende draagvlak en steun van de omgeving waardoor onze ‘licence to operate & to grow’ als HbR en haven onder druk komt te staan.	• Monitoren draagvlak voor haven en industrie via onder meer regulier reputatieonderzoek, stuur- en expertgroep Omgeving en waar nodig/mogelijk treffen van gerichte acties • Opbouwen en onderhouden relaties met diverse instanties op lokaal/regionaal/nationaal niveau • Toepassen Strategisch Omgevingsmanagement in projecten en programma's

Operationele risico's

Hieronder vallen risico’s die de operationele activiteiten beïnvloeden. Deze omvatten onder andere onzekerheden die gerelateerd zijn aan de interne organisatie, informatiesystemen, onze reputatie en producten/diensten.

Operationeel risico	Maatregel
Toprisico 1a + 1b: Incident op water en/of land Door weersomstandigheden, achterstallig onderhoud, onveilig werken, zeespiegelstijging of andere oorzaken vindt er een groot incident (of een reeks kleinere incidenten) in de haven plaats (op het land en/of water). Dit heeft een grote impact op de veiligheid, bereikbaarheid en het imago van de Rotterdamse haven.	• Faciliteren van onder meer Rijksoverheid, provincie, gemeente, DCMR, Veiligheidsregio Rotterdam-Rijnmond (VRR) bij onder andere externe veiligheid, veiligheid leidingstroken • Faciliteren en borgen waterveiligheid via onder meer gebiedsgerichte adaptatiestrategieën • Risicoanalyses op onder andere nautische veiligheid samen met Loodswezen Rotterdam-Rijnmond (LRR), deelname door roeiers (KRVE), slepers, kapiteins en schippers en op evenementen, projecten, onderhoud assets • Safety Evaluation Board (SEB) Nautisch met VRR, LRR, binnenvaart Platform Zero Incidents (PZI) en SEB Niet-Nautisch intern HbR gericht op het leren van opgetreden incidenten • Beperken incidenten als gevolg van drugscriminaliteit via onder meer bijdrage vanuit ISPS rol • Opzetten en realiseren digitaliserings- en innovatieinitiatieven • Periodiek in kaart brengen risico's voor HbR en haven als gevolg van klimaatverandering (stijgende zeespiegel, hitte, droogte, neerslag, enzovoorts) en waar mogelijk/nodig maatregelen treffen • Jaarlijkse veiligheidsmonitorcyclus en -rapportage over status diverse veiligheidsdomeinen
Toprisico 3a + 3b: Cyberaanval HbR/haven De Rotterdamse haven wordt geraakt door een cyberaanval waardoor (kritieke) systemen van bedrijven in de haven, waaronder die van het Havenbedrijf Rotterdam, uitvallen en informatie gelekt, niet beschikbaar en/of onbetrouwbaar is. Dit verstoort de logistieke ketens en scheepvaartafwikkeling en heeft een negatieve impact op de veiligheid, bereikbaarheid en het imago van de Rotterdamse haven.	• Technische maatregelen op IT infrastructuur • Cyber security awarenesstrainingen • Periodieke toetsing werking cyber security maatregelen • Deelname aan onder meer NCSC- ISAC • Medeoprichter en partner in stichting FERM • Haven Cybermeldpunt • Havenbrede crisis oefening • Jaarlijkse veiligheidsmonitor cyclus en -rapportage over status diverse veiligheidsdomeinen
Toprisico 9: Gebrek aan talent voor haven, nu en in de toekomst Ontbreken van talent voor haven nu en in de toekomst als gevolg van diverse oorzaken zoals krimpende beroepsbevolking, afnemend draagvlak/imago haven industrie complex (HIC), mismatch tussen onderwijs en benodigde banen in het HIC. Hierdoor heeft de haven niet de juiste kwaliteit en kwantiteit mensen om in te spelen op huidige en toekomstige uitdagingen; is niet toekomstbestendig.	• Werken aan sociale innovatie@HIC in diverse verbanden, denk aan Leerwerkakkoord, Human Capital Coalitie Energietransitie, Human Capital Zuid-Holland Akkoord, Bridge to Possible IT Skills, platform Werken in de Rotterdamse haven.nl • Vergroten toekomstbestendigheid en wendbaarheid HbR via talentmanagement, training en ontwikkeling (onder andere e-learning platform Port Academy) en programma's zoals Diversiteit en Inclusiviteit, Digitale Wendbaarheid
Toprisico 10: Terroristische aanslag in de haven Er vindt een terroristische aanslag plaats in de haven van Rotterdam. Dit heeft een grote impact op de veiligheid, bereikbaarheid en het imago van de Rotterdamse haven.	• Faciliteren van en samen optreden met onder meer Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) • Optreden als sectorcoördinator Zeehavens van het NCTV • Jaarlijkse veiligheidsmonitor cyclus en -rapportage over status diverse veiligheidsdomeinen
Toprisico 12: Niet integer handelen en/of fraude Niet integer handelen en/of fraude, waardoor mogelijk financiële, imago en/of core business schade kan optreden.	• Verankering Bedrijfscode en CSR statement in denken en doen via onder andere kernteam integriteit, onboardingprogramma, trainingen • Bescherming medewerkers tegen ronselactiviteiten drugscriminelen (awarenesstrainingen) • Reviews op financieel control frameworks voor processen zoals zeehavengelden, inkoop • Audits op checks en balances
Toprisico 13: Ondermijnende criminaliteit in de haven Door de vraag naar drugs en winstgevendheid hiervan voor criminelen vindt er drugsgerelateerde ondermijnende criminaliteit plaats in de Rotterdamse haven. Dit heeft een negatief effect op de integriteit, veiligheid, het imago en vestigingsklimaat van de Rotterdamse haven.	• Bescherming medewerkers tegen ronselactiviteiten drugscriminelen (awarenesstrainingen) • Deelname aan programma integere haven (Rotterdamse haven, Veilige haven) • Beperken incidenten als gevolg van drugscriminaliteit via onder meer bijdrage vanuit ISPS rol • Cameraplatform Haven Rotterdam

Compliance risico's

Hieronder vallen risico’s die voortvloeien uit wet- en regelgeving. Deze omvatten onder andere onzekerheden door het opereren in een omgeving met veel, complexe en veranderende wet- en regelgeving.

Compliance risico	Maatregel
Toprisico 2a: Wetgeving/handhaving zorgt voor ongunstig vestigingsklimaat Rotterdam is minder aantrekkelijk als vestigingslocatie door lokale, nationale of Europese wet- en regelgeving ten aanzien van onder andere milieu en de handhaving daarop. Hierdoor worden het Havenbedrijf Rotterdam en zijn klanten beperkt in de uitbreiding van bestaande en ontwikkeling van nieuwe activiteiten.	• Beleidsbeïnvloeding en belangenbehartiging op gemeentelijk, regionaal, nationaal en Europees niveau • Optimaal inrichten en gebruiken milieugebruiksruimte
Toprisico 2b: Stikstofproblematiek zorgt voor ongunstig vestigingsklimaat 'Rotterdam is minder aantrekkelijk als vestigingslocatie door aanhoudende onzekerheid rondom stikstof. Hierdoor verplaatsen klanten activiteiten en/of blijven investeringen uit en worden lopende projecten vertraagd. Dit heeft een negatieve impact op de energietransitie, bereikbaarheid en de concurrentiepositie van de haven.	Aanpak stikstofproblematiek via drie sporen: • Nationaal/provinciaal, Europees: monitoring, lobby en deelname aan overlegtafels • Gebiedsgerichte aanpak HIC: in samenwerking met Rijk, Provincie Zuid-Holland, gemeente Rotterdam en Deltalinqs komen tot een werkbare construct voor het HIC; deelname aan landelijke NOVEX programma/gebied Rotterdamse haven • Per project zoeken naar vergunningsoplossing via voornamelijk intern en extern salderen
Toprisico 7a +b: Corruptie- en mensenrechtenissues buitenlandse en inkoopactiviteiten Imago- en/of financiële schade als gevolg van buitenlandse en inkoop activiteiten en de daaruit volgende exposure op corruptie en mensenrechten issues	• Integriteitstrainingen medewerkers • Risicoanalyse corruptie- en mensenrechtenissues internationale en inkoopactiviteiten • Afweging investering op inpasbaarheid in het beleid van het Havenbedrijf Rotterdam • Integriteit due diligences potentiële (internationale) partners • Hanteren gedragscode voor leveranciers en specifieke tendercriteria • Periodieke controle via ondermeer control framework deelnemingen, inkoop

Financiële verslagleggingsrisico's

Financiële verslagleggingsrisico’s betreffen risico’s die van invloed zijn op de betrouwbaarheid van financiële verslaglegging. Deze zijn geen onderdeel van de lijst toprisico's, zie verder managementverklaring.

Financiële risico's

Financiële risico’s hebben betrekking op de financiële positie en omvatten onder andere renterisico, valutarisico en onzekerheden in de mogelijkheden om financiering aan te trekken. Zie verder grondslagen voor waardering van activa en passiva. Lees hier meer over onze financiële risico’s. Wij hebben geen financiële risico's als toprisico's geïdentificeerd.

Opgetreden risico's en onzekerheden

Er zijn geen risico’s en onzekerheden opgetreden die een dusdanige impact hadden op het afgelopen boekjaar, dat wij daartoe aanpassingen moesten doen aan ons risicobeheersings- en controlesysteem. De getroffen maatregelen en acties waren afdoende om de gevolgen voor het Havenbedrijf Rotterdam te beperken.