5.1 Risicomanagement

Risicobeheersings- en controlesysteem

Voor de identificatie, beheersing en rapportage van risico’s hanteren wij een risicobeheersings- en controlesysteem. De internationaal geaccepteerde standaarden van de Committee of Sponsoring Organizations of the Treadway Commission (COSO) vormen de basis voor het Enterprise Risk Management systeem binnen het Havenbedrijf Rotterdam.

Het risicobeheersings- en controlesysteem start op de werkvloer. Afdelingen en projectteams zijn zelf verantwoordelijk voor de risico-identificatie, -beoordeling, -beheersing en -rapportage. Risicomanagement-, compliance-adviseurs en controllers zorgen voor ondersteuning. Zij komen als Risk, Control & Compliance community regulier vier keer per jaar bij elkaar en waar nodig vaker. Dit ter deling van kennis, afstemming en ter versterking en bewaking van de integraliteit van risico- en compliance management binnen het Havenbedrijf Rotterdam. Ze beoogt dat het Havenbedrijf Rotterdam haar strategie en kerntaken risicobewust en compliant aan wet- en regelgeving realiseert. De Interne Audit Dienst neemt tevens zitting in deze community. Daarnaast voert de Interne Audit Dienst periodiek audits uit over het risicobeheersings- en controlesysteem. De externe accountant geeft verder in de jaarlijkse managementletter een oordeel over de werking van de interne beheersing voor zover relevant voor de totstandkoming van de jaarrekening. De Algemene directie is eindverantwoordelijk voor het risicobeheersings- en controlesysteem en de auditcommissie van de Raad van Commissarissen houdt toezicht op de werking hiervan.

Onderdelen van het risicobeheersing- en controlesysteem zijn onder meer:

Planning & controlecyclus en evaluatiemechanismen

Strategy Update

De Strategy Update is het jaarlijkse ijkmoment om te bezien of het Havenbedrijf Rotterdam nog op koers ligt om de vijfjarige ondernemingsstrategie te halen en de ontwikkelingen aanleiding geven tot het bijstellen van de strategie en lijst van belangrijkste risico’s. De (bijgestelde) strategie vormt de basis voor het jaarplan. De Algemene directie en Raad van Commissarissen keuren de ondernemingsstrategie en het jaarplan goed. De Algemene Vergadering van Aandeelhouders keurt de strategie ook goed. Gedurende het jaar monitoren wij de voortgang op de strategie en beheersing van de belangrijkste impactgebieden, risico’s en kansen via onder meer de kwartaalrapportages.

Kwartaalrapportages

De kwartaalrapportage bevat alle relevante recente ontwikkelingen, prestaties en voortgang op diverse gebieden, zoals nautische en cyberveiligheid, duurzaamheid, investeringsprojecten en financiën. Per kwartaal maken wij projecties voor het resterende deel van het jaar. Het Directieteam, de Algemene directie en Raad van Commissarissen bespreken de kwartaalrapportages. De kwartaalrapportages worden ook met de aandeelhouders besproken.

Portfoliomanagement

Het selecteren en beheerst uitvoeren van de juiste projecten is een kritieke factor voor het realiseren van de ondernemingsstrategie. Om te zorgen dat wij de juiste projecten selecteren, snelheid maken en scherpe projectopdrachten formuleren, passen wij Portfoliomanagement toe.

De funnelboards beoordelen nieuwe opportunities, prioriteren en alloceren resources. Funneloverstijgend bewaakt het Directieteam dat we onze ondernemingsstrategie realiseren en toekomstbestendige keuzes maken. Onze projectmanagement aanpak borgt verder dat de geselecteerde projecten conform plan worden uitgevoerd. Project- en productboards geven sturing aan ons projectenportefeuille.

Beleid en richtlijnen

Door middel van autorisatielimieten, vastgelegd in het interne bevoegdhedenbeleid en de procuratieregeling, beperken wij risico's bij het aangaan van uitgaven en verplichtingen. Daarnaast hebben wij beleid en richtlijnen voor onder meer accounting, het financiële beheer en het beheer en de beveiliging van geautomatiseerde systemen. Voor de belangrijkste geautomatiseerde systemen van de externe dienstverleners wordt de ISAE 3402-verklaring gevraagd.

Normen, waarden en cultuur

Met het CSR-statement en de Bedrijfscode laten wij zien wat wij belangrijk vinden in het zakelijke en maatschappelijke verkeer en wat gewenst en ongewenst gedrag is. Via het medewerkersonderzoek evalueren we periodiek aspecten als cultuur, werkdruk en bekendheid met de Bedrijfscode. Het in stand houden en vergroten van het risicobewustzijn van onze medewerkers heeft verder onze blijvende aandacht. Dit geldt ook voor het onderwerp integriteit. Wij brengen dit actief onder de aandacht bij onze medewerkers.

Risicoanalyses, controle raamwerken en kwaliteitsmanagementsystemen

Voor het signaleren van financiële risico’s en het voorspellen van onze financieringsbehoefte, hanteren wij onder andere een meerjarig Financieel Plan. Wij houden daarbij rekening met verschillende financiële scenario’s. Raamwerken voor financiële controle zijn aanwezig ter beheersing van onder meer financiële verslagleggingsrisico’s. Dit geldt voor de belangrijkste processen, zoals contractopbrengsten, havengelden en inkopen. Daarnaast werken we aan controle raamwerken voor de controle van niet-financiële informatie. Zo is dit jaar een eerste versie van het controle raamwerk ‘CO2 data’ opgesteld.

Voor het beheerst uitvoeren van operationele activiteiten en projecten voeren de afdelingen en projectteams periodiek risicoanalyses uit en zijn onder meer kwaliteitsmanagementsystemen aanwezig om de realisatie van verbeterpunten te bewaken.

Compliance risico’s - ofwel risico’s die voortvloeien uit wet- en regelgeving en onder andere onzekerheden door het opereren in een omgeving met veel, complexe en veranderende wet- en regelgeving omvatten - vormen integraal onderdeel uit van bijvoorbeeld de risicoanalyses op afdelings- en projectactiviteiten. Daarnaast zijn we dit jaar gestart met een aanpak wat ons in staat stelt om onze volwassenheid in het blijven voldoen aan wet- en regelgeving eenduidig te beoordelen en waar nodig te verbeteren. Deze aanpak in onderdeel van ons compliance raamwerk, ofwel de gehele structuur die wij hebben om te zorgen dat HbR compliant handelt en dit kan aantonen.

De belangrijkste risico’s (top risico’s) op onder meer strategie, operationele activiteiten en wet- en regelgeving (compliance) worden periodiek als onderdeel van het strategische planningsproces herijkt en vastgesteld door de Algemene directie. Voor een eenduidige risicobeoordeling en het prioriteren van onze top risico’s hanteren wij onze Havenbedrijf Rotterdam risicobeoordelingenmatrix. De matrix toont, afhankelijk van de kans en impact, hoe risico’s worden ingeschaald van zeer laag tot zeer hoog. De impact wordt beoordeeld op financiële schade HbR (financiële impact), imagoschade HbR (imago impact), veiligheid van medewerkers en derden werkend in opdracht van HbR (mens veiligheid impact), milieu-impact havengebied en de core business van HbR. Dit laatste verwijst - bedrijfsbreed bezien - naar de statutaire doelen, onze kerntaken.

Ieder toprisico heeft een eigenaar op Directieteam-niveau. De monitoring is onderdeel van onze planning- en controlecyclus. Het Directieteam, de Algemene directie en Raad van Commissarissen bespreken de toprisico’s twee keer per jaar. Onze toprisico’s worden ook met de aandeelhouders besproken.

De belangrijkste risico’s (top risico’s) 2024 zijn hieronder aangegeven in ons top risicolandschap. Al onze top risico’s houden verband met potentiële gebeurtenissen/omstandigheden die het bereiken van onze ondernemingsstrategie belemmeren. Onze ondernemingsstrategie is als volgt:

  • Visie: Wij zijn de ontwikkelaar van een toonaangevende, veilige, efficiënte en duurzame haven waar onze klanten succesvol kunnen ondernemen

  • Speerpunt: Slimme partner in logistieke ketens

  • Speerpunt: Versneller van duurzaamheid in de haven

  • Speerpunt: Ondernemende en slagvaardige organisatie

Bij het identificeren van top risico’s kijken we naar ontwikkelingen, gebeurtenissen die mogelijk een belangrijke invloed hebben op het bereiken van onze ondernemingsstrategie. We nemen ook kansen en bedreigingen als gevolg van diverse trends en ontwikkelingen mee. Klimaatverandering noodzaakt bijvoorbeeld tot energietransitie met als risico dat dit niet slaagt. Ook kan een stijgende zeespiegel als gevolg van klimaatverandering resulteren in overstromingen wat op haar beurt het risico van incidenten op water en/of land kan veroorzaken. U leest er hier meer over. Bij het identificeren van top risico’s nemen we ook de invloed die wij hebben op derden, onze omgeving (de Rotterdamse haven, logistieke ketens, BV Nederland) door ons (niet) handelen mee. Denk daarbij bijvoorbeeld aan het top risico ‘corruptie- en mensenrechtenissues in buitenlandse en inkoopactiviteiten’. Ons succes is verder onlosmakelijk verbonden aan het functioneren van de gehele haven en alle partijen in en rond de haven. Het merendeel van onze top risico’s gaat dan ook verder dan enkel onze eigen organisatie. Zo spreken we van gebrek aan digitalisering logistieke keten, cyberaanval haven, congesties in en rond de haven. Of wij adequaat handelen, meewerken op het gebied van (nautische) veiligheid raakt externe partijen zoals zee- en binnenvaart, bedrijven in de haven en onderkend in onder meer de top risico’s ‘incident op water en/of land’, ‘cyberaanval haven’, ‘ondermijnende criminaliteit in de haven’.

De classificatie als toprisico en positionering in het top risicolandschap volgt uit de beoordeling van het Directieteam conform onze risicobeoordelingsmatrix. De risico’s schatten wij eerst in op hun kans en impact zonder maatregelen; stel dat wij niks doen hoe reëel en hoe ernstig is het risico? We nemen daarbij zowel de mogelijke financiële als niet-financiële impact zoals imago-, milieuschade, hinder in onze kernprocessen en gevolgen voor de veiligheid in overweging. Vervolgens zetten wij de uitkomsten af tegen onze risicobereidheid. Afhankelijk hiervan, vermijden we de activiteit(en) waar risico’s uit voortvloeien (Terminate), accepteren we het risico (Take), mitigeren we het risico (Treat), of dragen/delen we dit over aan/met de markt (Transfer). Vervolgens bepalen en treffen we maatregelen om het restrisico (= na maatregelen) binnen de voor ons aanvaardbare grenzen te houden. Hoewel onze maatregelen gericht zijn op het beperken van de risico’s, kunnen wij niet vooraf garanderen dat deze ook beperkt blijven.

Voor wat betreft onze risicobereidheid is ons uitgangspunt dat wij terughoudend zijn. Dit geldt des te meer voor risico’s verbonden aan onze publieke taak als divisie Havenmeester en gerelateerd aan veiligheid, het voldoen aan wet- en regelgeving en betrouwbare financiële verslaglegging. We zullen daar waar onze risicobereidheid laag is, eerder kiezen voor vermijden, of maximaal mitigeren.

Onderstaand beschrijven we de belangrijkste risico's met daarbij een overzicht van diverse mitigerende maatregelen. We categoriseren de risico’s, RJ 400 volgend, in: strategisch, operationeel, compliance, financiële verslaglegging en financieel. Daarnaast zijn de risico’s inzichtelijk gemaakt naar hun relatie met onze ondernemingsstrategie. Alsook hebben we onze top risico’s opgehangen aan onze materiële thema’s en KPI’s. Het bezien van ESG risico’s en beheersing hiervan is integraal onderdeel van ons risicobeheersings- en controlesysteem. Vooruitblikkend zijn we voornemens om materiele thema’s vanuit CSRD en top risico’s vanuit RJ 400 nog nauwer bij elkaar te brengen. Belangrijk uitgangspunt bij de identificatie van top risico’s blijft het bezien van ontwikkelingen, gebeurtenissen die mogelijk een belangrijke invloed hebben op het bereiken van onze ondernemingsstrategie, waar ook de uitkomsten van onze dubbele materialiteitsanalyse in zijn verweven.

Deel deze pagina: