Risicomanagement

Gezien de maatschappelijke functie als drinkwaterbedrijf is risicomanagement voor Vitens van groot belang. Bij Vitens onderscheiden we drie niveaus waarop we risicomanagement toepassen:

  • Bedrijfswaarden: De bedrijfswaarden geven aan waar de organisatie in de kern voor staat. Hieronder vallen een leveringsbetrouwbare drinkwatervoorziening, tarifering, een veilige en gezonde werkomgeving, duurzaamheid & milieu en tevreden stakeholders. Termijn: lang, > 3 jaar

  • Strategisch: Hierbij gaat het om het vaststellen, beheersen en mitigeren van risico’s die van invloed zijn op onze strategische agenda’s. Te weten: 24/7 leveren van betrouwbaar en betaalbaar drinkwater, voldoende beschikbare en schone bronnen, meer gemak voor de klant, en Vitenser sterk in het werk. Termijn: middellang, 1 tot 3 jaar

  • Operationeel: Dit heeft betrekking op risico’s die samenhangen met de dagelijkse uitvoering van ons werk. Termijn: kort, < 1 jaar

Inbedden topbedrijfsrisico’s in planning-en-controlcyclus

De strategie is vastgelegd in de Vitens Strategie 2018-2020 ‘Samen in beweging voor mens en leefomgeving’. De topbedrijfsrisico’s maken integraal onderdeel uit van de strategie. Jaarlijks actualiseren wij onze topbedrijfsrisico’s en de vertaling van onze strategie in de jaarplannen. In 2019 zijn de topbedrijfsrisico’s meer ingebed in de reguliere planning-en-controlcyclus. Daardoor maken topbedrijfsrisico’s meer expliciet onderdeel uit van de jaarplannen van de afdelingen en het organisatiebrede bedrijfsjaarplan.

In de jaarplannen staan de concreet te treffen verbeteracties opgenomen. Via de kwartaalrapportage wordt over de status en voortgang van deze acties gerapporteerd en per risico een inschatting gemaakt van de ontwikkeling. Tweemaal per jaar worden de topbedrijfsrisico’s geactualiseerd en besproken in het MTO (directie en eerstelijnsmanagement): in de zomer aan de voorkant als onderdeel van het jaarplanproces en aan het eind van het jaar aan de achterkant, als een terugblik.

Geactualiseerde topbedrijfsrisico’s en relatie met materiële thema’s

De risicomatrix 2019 geeft het geactualiseerde overzicht van de topbedrijfsrisico’s. De matrix geeft een inschatting van de kans dat een risico zich voordoet en de impact ervan op onze bedrijfsdoelstellingen en strategische agenda’s. Bij de inschatting van kans en impact is rekening gehouden met reeds getroffen maatregelen.

De connectiviteitsmatrix (zie Connectiviteitsmatrix) geeft de relatie aan tussen de topbedrijfsrisico’s en de materiële thema’s van Vitens.

Toelichting topbedrijfsrisico’s

     

Verbeterinitiatieven datastromen en -betrouwbaarheid

Dit jaar hebben we ingezet op het vaststellen van de informatiebehoefte, het inrichten van processen om de benodigde data te genereren en een goede implementatie van deze processen met oog voor het menselijke aspect. In een ICT roadmap staat de basis voor een goede informatievoorziening binnen Vitens beschreven, waarbij de onderdelen databetrouwbaarheid en datamanagement het informatiehuis van Vitens vormen.

Begin 2019 zijn op basis van uitkomsten van de risicoanalyse uit 2018 veertien concrete verbeterinitiatieven benoemd met betrekking tot datastromen en databetrouwbaarheid. Deze initiatieven zijn in de tweede helft van 2019 toegewezen aan het verantwoordelijk lijnmanagement. Elk kwartaal is de voortgang gerapporteerd richting de datamanagement-organisatie.

Minder knelpunten waterbeschikbaarheid, uitbreiding productiecapaciteit

In 2019 wilden we meer inzicht krijgen in de beschikbare hoeveelheid en kwaliteit water en de vraagontwikkeling. Daarnaast hebben we gewerkt aan sturing op afname door grootzakelijke klanten, tijdige en adequate bestuurlijke afspraken ten behoeve van de wincapaciteit en het voorhanden hebben van noodscenario’s.

Bij het zorgen voor voldoende productiecapaciteit werkt Vitens met vijf sporen:

  1. Kortetermijnknelpunten

  2. Waterbesparing

  3. Strategisch Initiatief Reserves (SIR)

  4. Toekomstbestendige infrastructuur

  5. Herinrichting van de waterketen

Het risicoprofiel voor de vijf sporen is ongeveer gelijk gebleven. Sommige risico’s zijn kleiner geworden door aanpassingen in de infrastructuur en doordat het SIR volgens plan is uitgevoerd.

Actiepunten volgend uit de evaluatie van de warme en droge zomer van 2018 zijn conform plan uitgevoerd (spoor 1). Mede hierdoor is de operationele waterlevering het afgelopen jaar in grote lijnen goed verlopen. Vergeleken met de zomer van 2018 waren er in 2019 minder pieken (slechts twee) waardoor ook het aantal knelpunten beperkt was.

Voor het SIR (spoor 3) wordt een uitgebreider rapportage gemaakt en wordt de voortgang in het oplossen van de tekorten in het operationele verschil (OV) (productiecapaciteit) en netto operationele reserve (NOR) (vergunningscapaciteit) inzichtelijk gemaakt.

In 2017 definieerden we ‘beschikbaarheid productiecapaciteit en bronnen’ als topbedrijfsrisico. De droge zomers van 2018 en 2019 onderstreepten de actualiteit van dit thema. In een aantal regio’s bleek de operationele drinkwaterreserve onvoldoende. Dit betekent dat we de komende jaren inzetten op uitbreiding van de productiecapaciteit (zie hoofdstuk Continuïteit, paragraaf Investeringen.)

Cybersecurity beter in beeld

De Security Organisatie is dit jaar gelanceerd en verder verstevigd door het opzetten en uitrollen van het Security Operations Center (SOC) over het netwerk. De weerbaarheid van Vitens is toegenomen door een versteviging van de interne security-organisatie. Alle incidenten, meldingen en gebeurtenissen op gebied van cybersecurity zijn dankzij centrale systeemregistratie en -management beter in beeld. In een pre-audit is het overgrote deel van de kritieke beheersmaatregelen ‘Vewin controls’ door een externe auditor in opzet en bestaan als voldoende beoordeeld.

Meer focus op integriteit, risicoprofiel gestegen

In het streven naar meer integriteit staan twee pijlers centraal. Enerzijds de pijler met mensgerichte aspecten (soft controls), zoals verantwoordelijkheid, bewustwording, normen en waarden alsmede houding en gedrag. Anderzijds de pijler met harde, zakelijke aspecten van onze bedrijfsvoering (hard controls), zoals vastgelegd in regelgeving en procedures.

In 2019 is het ‘Meerjarenplan Integriteit’ opgesteld. Hierin staan de activiteiten beschreven die de komende jaren nodig zijn om een integere organisatie te zijn en te blijven. Het onderwerp integriteit maakt inmiddels onderdeel uit van het introductieprogramma voor nieuwe medewerkers.

Het elkaar aanspreken op gedrag (aanspreekbaarheid) is opgenomen in het leiderschapsprogramma dat in 2019 is gestart en doorloopt in 2020. Daarnaast gaan leidinggevenden op basis van de uitkomsten van het integriteitsonderzoek met hun team in gesprek over de betekenis van integriteit.

Het frauderisicoprofiel van Vitens is eind 2019 geactualiseerd. Hieruit blijkt dat het risicoprofiel binnen Vitens is gestegen ten opzichte van het profiel uit 2018. Verklaring hiervoor is dat de bestaande mitigerende maatregelen in 2018 te positief waren ingeschat. Dit is gebleken uit een interne audit die we in 2019 hebben uitgevoerd naar de effectiviteit van de beheersmaatregelen. Ook heeft de SAP-transformatie invloed op het stijgen van het fraude risicoprofiel (externe medewerkers, meerdere systemen, ‘workarounds’) En ten slotte hebben de inzichten van het integriteitsonderzoek 2019 ertoe bijgedragen dat we het risicoprofiel naar boven hebben bijgesteld. Want uit dat onderzoek blijkt dat er veel meer observaties zijn van niet integer gedrag dan uiteindelijk op directieniveau zijn gerapporteerd. (zie beschrijving van risico-ontwikkeling ‘Risico 8: Integer werken’ onder Topbedrijfsrisico’s).

Actualisatie topbedrijfsrisico’s 2020

Voor 2020 zijn de volgende risico’s vastgesteld:

  1. Betrouwbaarheid data en data-ontsluiting

  2. Beschikbaarheid productiecapaciteit/bronnen

  3. Cybersecurity en fysieke beveiliging assets

  4. Verandervermogen organisatie

  5. Efficiënte en slagvaardige bedrijfsvoering

  6. Uitbesteed werk

  7. Integer werken

  8. Drukte in de ondergrond