Risicomanagement en –beheersing

Risicomanagement helpt Oasen om een redelijke mate van zekerheid te bieden ten aanzien van het realiseren van de strategie. Risicomanagement is onderdeel van de planning- en controlcyclus van Oasen. Per kwartaal wordt aan de directie en het managementteam, de auditcommissie en RvC gerapporteerd over risico’s en het bestaan en werking van de beheersmaatregelen. Eén keer per jaar wordt aan de auditcommissie en RvC gerapporteerd over de opzet en werking van het risicomanagementsysteem waarbij eveneens wordt aangegeven of er verbeteringen zijn doorgevoerd.

Huidig systeem van interne risicobeheersing en controle

Oasen werkt volgens het, in december 2021 vastgestelde, integraal risicomanagementbeleid. Het integraal risicomanagementbeleid is gebaseerd op het RAVC (Risk Appetite Value Chain) vier kwadrantenmodel. Hiermee beschikt Oasen over een raamwerk dat past bij de organisatie.

In het kwadrant risico governance wordt de verankering van het risicomanagementraamwerk binnen de governancestructuur van Oasen beschreven en worden taken, verantwoordelijkheden en bevoegdheden van functies vastgelegd. Oasen hanteert hierbij het ‘three lines of defence’ model. Directeur, sector- en teammanagers zijn verantwoordelijk voor het managen van de risico’s. Zij vormen de eerste lijn. De organisatie wordt hierbij ondersteund door de adviseur risicomanagement. De adviseur risicomanagement faciliteert, bewaakt het risicoproces en monitort de geïdentificeerde risico’s en heeft daarbij een onafhankelijke rol. De adviseur risicomanagement vormt de tweede lijn. De derde lijn wordt gevormd door de interne en externe auditfunctie en eventuele andere toezichthouders zoals de Inspectie Leefomgeving en Transport (ILT).

In het kwadrant risicostrategie geeft Oasen aan te werken volgens een strategische en een operationele risicomanagementcyclus. In de strategische risicomanagementcyclus bepalen we aan de hand van de missie, visie, strategie en doelstellingen de risicohouding. Deze wordt vertaald naar risicobereidheid en concreet gemaakt met behulp van kritieke risico indicatoren. Vervolgens identificeert en benoemt Oasen de strategische en operationele risico’s. Deze risico’s worden ten minste één keer per jaar geëvalueerd.

In het kwadrant risicoprocessen zijn de processen voor evaluatie, beheersing en bijsturing vastgelegd. Het gaat hier om het wegen van de risico’s en het nemen van beheersmaatregelen. Vervolgens het opnieuw wegen van de risico’s na het nemen van deze beheersmaatregelen en het borgen van de beheersmaatregelen in de organisatie. De laatste stappen in het proces zijn het informeren en communiceren over de risico’s en het monitoren en evalueren van het risicomanagementproces.

Tenslotte gaat het kwadrant risicobewustzijn over hoe Oasen door het doorlopend uitvoeren van de risicomanagementprocessen en activiteiten het risicobewustzijn bij haar medewerkers vergroot.

Risicobereidheid

Belangrijk onderdeel van het risicomanagementraamwerk is de risicobereidheid. Oasen operationaliseert het begrip risicobereidheid met behulp van het RAVC-model. Allereerst is de risicohouding voor de domeinen besturingsfilosofie, reputatiemanagement, uitvoeringsprocessen & IT en kapitaalmanagement vastgesteld. Op basis van de risicohouding van deze vier domeinen is de algemene risicohouding van Oasen vastgesteld op kritisch. Door onze maatschappelijke positie en onze bijdrage aan de volksgezondheid geldt dat Oasen risico’s niet actief opzoekt en neemt. Oasen zet beheersmaatregelen in om risico’s die zijn geïdentificeerd zoveel mogelijk te beheersen. Vervolgens zijn voor de vier domeinen diverse risicobereidheidsprincipes gedefinieerd. Deze risicobereidheidsprincipes zijn een weergave van wat Oasen niet wenst bij het behalen van de strategische doelstellingen. Om deze risicobereidheidsprincipes meetbaar te maken, zijn deze verder geconcretiseerd met behulp van risicotolerantiegrenzen. Deze worden uitgedrukt in criteria met een onder- en bovengrens. Dit zijn de kritieke risico-indicatoren.

Ontwikkeling en vooruitblik

De risicomanagementmodule, onderdeel van de managementsysteemsoftware, is ingericht voor het vastleggen van de strategische en de operationele risico’s van Oasen.

Tijdens de evaluatie van de strategische risico’s is ook stilgestaan bij, tijdens vorige evaluatiesessies, benoemde risicohouding en risicobereidheidsprincipes. Door ontwikkelingen heeft een aantal risicobereidheidprincipes het karakter van een prestatie-indicator gekregen. De overige risicobereidheidprincipes voldoen wel aan de definitie uit ons integraal risicomanagementbeleid. In 2025 gaat Oasen haar risicohouding evalueren.

Oasen is eind 2023/begin 2024 gestart met een pilot om een tiental werkprocessen vast te leggen in de documentmodule van de managementsysteemsoftware. Met de processen uit de pilot is vervolgens gestart om operationele risico’s te koppelen aan deze processen. Onze managementsysteemsoftware maakt deze koppeling mogelijk.

Na uitvoering van deze pilot is besloten om in 2024 alle werkprocessen op deze wijze vast te leggen. Dit maakt het mogelijk om de integratie van operationele risico’s en processen in de toekomst verder uit te rollen.

De uitkomsten van de verstoringsrisicoanalyse, een analyse van diverse gevaren- en dreigingsscenario’s en onderdeel van het wettelijk verplichte leveringsplan, zijn vastgelegd in de risicomanagementmodule (zie verder onder Operationele risico’s).

Risicoprofiel | Strategische risico’s

Vertrouwen in drinkwater

Wat is het risico?
Het vertrouwen in de veiligheid van Nederlands drinkwater en de drinkwaterbedrijven is heel hoog. Door ontwikkelingen kan dat negatief beïnvloed worden. Dit kan zowel betrekking hebben op de leveringszekerheid als de drinkwaterkwaliteit.

Hoe wordt het risico beheerst?
Om het vertrouwen maximaal te houden en te versterken, zorgen we ervoor dat onze infrastructuur op orde is en passen we de beste technologie toe. Onze strategische ambities voor de infrastructuur leggen we vast in een plan. Ook communiceren we proactief en transparant met onze klanten en belangrijke stakeholders.

Risico-ontwikkeling
Het risicoprofiel is gelijk gebleven ten opzichte van 2023. Met de beheersmaatregelen blijft dit risico voldoende beheerst.

Kwaliteit bronnen voor drinkwater

Wat is het risico?
Door het toenemend ruimtebeslag op de ondergrond, door lozingen van (nieuwe) industriële stoffen en door klimaatverandering komt de kwaliteit van onze bronnen onder druk te staan.

Hoe wordt het risico beheerst?
Om dit risico te beheersen, houden we de waterkwaliteit nauwlettend in de gaten. Door nauwkeurig en veelvuldig te monitoren, signaleren we een achteruitgang in kwaliteit al in een vroeg stadium. Ook doen we alles wat we kunnen om onze bronnen zo schoon mogelijk te houden. Verder handhaven we de bestaande beschermingsconstructies en bouwen daar waar nodig nieuwe barrières. Onder andere ons One-Step Reverse Osmose (OSRO) concept.

Risico-ontwikkeling
Het risicoprofiel is gelijk gebleven ten opzichte van 2023. Met de beheersmaatregelen is dit risico voldoende beheerst.

Beschikbaarheid gekwalificeerd personeel

Wat is het risico?
Door schaarste op de arbeidsmarkt en onvoldoende aandacht voor het behouden van gekwalificeerd personeel, kunnen er personeelstekorten ontstaan.

Hoe wordt het risico beheerst?
Dit risico beheersen we door het zijn en blijven van een aantrekkelijke en zichtbare werkgever. We bieden goede arbeidsvoorwaarden en hebben aandacht voor de gezondheid en vitaliteit van medewerkers. We zetten in op vernieuwing van ons kantoorpand om een aantrekkelijke werkplek aan te bieden voor medewerkers. We stellen ons proactief op om ons als goede werkgever in de regio van Zuid-Holland en Utrecht onder de aandacht te brengen. We gebruiken een systeem voor strategische personeelsplanning. Indien nodig huren we personeel in.

Risico-ontwikkeling
Het risicoprofiel is gelijk gebleven ten opzichte van 2023. Met de beheersmaatregelen blijft dit risico voldoende beheerst.

Bemoeilijking investering in infrastructuur

Wat is het risico?
Door regeldruk rond financiering en milieu worden investeringen in infrastructuur bemoeilijkt.

Hoe wordt het risico beheerst?
Dit risico beheersen we door via de brancheorganisatie (Vewin) te lobbyen bij het Rijk om uitvoeringsprojecten van drinkwaterbedrijven niet te laten vertragen. Vewin lobbyt ook voor voldoende investeringsruimte voor de drinkwaterbedrijven vanwege de toekomstige investeringsopgave.

Daarnaast zijn bankconvenanten opnieuw afgesloten. Omdat geldverstrekkers bij het verstrekken van leningen meer en meer belang gaan hechten aan duurzaamheid, gaan we ervoor zorgen dat we kunnen aantonen dat wij een duurzaam bedrijf zijn.

Risico-ontwikkeling
Het risicoprofiel is gelijk gebleven ten opzichte van 2023. De inzet van de huidige beheersmaatregelen blijft noodzakelijk om dit risico voldoende te blijven beheersen.

Toenemende cyberdreiging

Wat is het risico?
Toenemende cyberaanvallen en het onvoldoende treffen van maatregelen kan tot uitval van procesautomatisering, kantoorautomatisering of inbreuk op de privacy van onze stakeholders leiden.

Hoe wordt het risico beheerst?
Dit risico beheerst Oasen door haar procesautomatisering fysiek te scheiden van de kantoorautomatisering. Ook investeren we continu in (nieuwe) maatregelen om deze aanvallen te weren en om de awareness van onze medewerkers hoog te houden. Daarnaast schakelt Oasen een security operations center in om ons IT-landschap te monitoren op dreigingen en aanvallen en zijn wij aangesloten bij instanties zoals het Nationaal Cyber Security Centrum, die ons waarschuwen bij nieuwe dreigingen en ons inzicht verschaffen in de omvang van die bedreigingen. Verder is Oasen wettelijk verplicht om passende technische en organisatorische beveiligingsmaatregelen te treffen en wordt Oasen daarop ook geaudit. Er is een integraal beveiligingsbeleid naar aanleiding waarvan vorig jaar met de inrichting van een security kwaliteitsmanagementsysteem is begonnen, met functies, taken en verantwoordelijkheden die hierop aansluiten. In 2024 is de inrichting hiervan verder uitgewerkt. Ten slotte laat Oasen haar beveiliging testen door ethische hackers.

Risico-ontwikkeling
Het risicoprofiel is niet veranderd ten opzichte van 2023. Met de beheersmaatregelen blijft dit risico voldoende beheerst.

Verminderde productie drinkwater

Wat is het risico?
Door toenemende aandacht en afnemende regelruimte voor de afvoer van de reststroom van onze zuiveringen met het One-Step Reverse Osmose (OSRO) concept kunnen we mogelijk minder drinkwater produceren.

Hoe wordt het risico beheerst?
Dit risico willen we beheersen door te gaan lobbyen bij gemeenten en Rijkswaterstaat en richting het ministerie van Infrastructuur en Waterstaat om aandacht te krijgen voor deze situatie en om oplossingen te vinden. Daarnaast gaan we zelf onderzoek doen naar het verminderen van ongewenste stoffen in de reststroom en de omvang van de reststroom.

Risico-ontwikkeling
Het risicoprofiel is niet veranderd ten opzichte van 2023. Met de beheersmaatregelen blijft dit risico voldoende beheerst.

Risicoprofiel | Overige risico’s

Operationele risico's

Operationele risico’s hebben vooral betrekking op de drinkwaterkwaliteit en de leveringszekerheid. Het continu bewaken van de waterkwaliteit en van het proces van drinkwaterproductie en drinkwaterdistributie vormt de kern van hoe Oasen deze risico’s beheerst. Daarnaast bestaan er tal van andere preventieve en correctieve beheersmaatregelen die ervoor moeten zorgen dat onze klanten altijd onberispelijk drinkwater uit de kraan krijgen. Een calamiteit kan er natuurlijk voor zorgen dat er tijdelijk onvoldoende drinkwater geleverd kan worden.

Daarvoor is een wachtdienstorganisatie ingericht die er bij calamiteiten voor zorgt dat de levering van voldoende en betrouwbaar drinkwater zeker wordt gesteld en de overlast zoveel mogelijk wordt beperkt. De wachtdienstorganisatie oefent regelmatig. Dit doet zij ook samen met crisispartners zoals de veiligheidsregio’s.

Vanuit de Drinkwaterwet zijn we verplicht om elke vier jaar een leveringsplan op te stellen. Onderdeel van het leveringsplan is een analyse van diverse gevaren- en dreigingsscenario’s, de zogenaamde verstoringsrisicoanalyse. Daarmee worden de kans van optreden en de mogelijke impact van deze scenario’s op leveringszekerheid en drinkwaterkwaliteit beoordeeld. In 2024 is de uitgevoerde verstoringsrisicoanalyse door de toezichthouder goedgekeurd.

De bestaande beheersmaatregelen van Oasen zijn in veel gevallen afdoende, waar nodig zijn en worden aanvullende beheersmaatregelen geïmplementeerd.

Compliance risico's

Uit een inventarisatie bleek dat er ruim 270 wetten en regelingen op Oasen van toepassing zijn. Uitgangspunt voor Oasen is dat zij op al deze wetten en regelingen compliant wil zijn. Oasen realiseert zich dat de praktische uitvoerbaarheid op het gebied van naleving, borging en toezicht op een dergelijke hoeveelheid wetten uitgebreid en complex is. Om die reden kiest Oasen ervoor om de wetten te prioriteren, zodanig dat de aandacht eerst op de meest belangrijke wetten gericht wordt. De Drinkwaterwet, het Drinkwaterbesluit, de Drinkwaterregeling en de Algemene Verordening Gegevensbescherming (AVG) staan bovenaan in de lijst met belangrijkste wetgeving. Ook is er nadrukkelijk aandacht voor de Omgevingswet, Wet milieubeheer, Wet natuurbescherming (stikstof) en de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Financiële risico's

Voor een toelichting op de financiële risico’s wordt verwezen naar de paragraaf Financiën in dit jaarverslag.

Fraude mitigatie

De directie van Oasen is zich bewust van de inherente kans op fraude die zij, zowel intern als extern, loopt bij het uitvoeren van haar activiteiten.

Integriteit staat bij Oasen hoog in het vaandel. Ook onze stakeholders verwachten dat Oasen integer is en haar medewerkers op een betrouwbare, eerlijke en zorgvuldige manier zakendoen. Oasen hanteert een integriteitscode en een reglement voor ongewenst gedrag.

Hiermee willen we als Oasen het besef van integer handelen bij de medewerkers verder vergroten. Iedere medewerker ontvangt bij indiensttreding de integriteitscode. Het belang van de integriteitscode en de naleving wordt periodiek benadrukt en is onderwerp van gesprek tussen leidinggevende en medewerker. Er is een klokkenluidersregeling waarbij eventuele misstanden kunnen worden gemeld. De integriteitscode is beschikbaar via onze website en wordt (daarmee) ook gedeeld met onze externe relaties. Onze (financiële) processen kenmerken zich door de aanwezigheid van functiescheiding. Hiermee voorkomen we dat slechts één persoon ongecontroleerd transacties of verplichtingen kan aangaan, autoriseren, verwerken en afwikkelen en toegang heeft tot activa.

Er is geïnventariseerd waar de kans op fraude (geld, goederen) bestaat en we hebben preventieve maatregelen (hard en soft controls) genomen om de kans op fraude op die plekken in de processen te verkleinen. Bij de processen rond uitbetalen van facturen, processen rond inkoop en processen rondom magazijnvoorraden hanteren we functiescheidingen, we hanteren screeningsniveaus per functie, we hanteren 4-ogenprincipe en workflows met goedkeuring.

De directie en het managementteam heeft, als onderdeel van het integraal risicomanagementbeleid, de risicohouding vastgesteld. Voor het domein ‘reputatiemanagement’ is de risicohouding kritisch. Deze risicohouding vertaalt zich, onder andere, in het risicobereidheidsprincipe “we handelen integer”. We meten dit met de kritieke risico-indicator: aantal fraudegevallen per jaar. Hiermee geven we als Oasen aan dat we fraude niet tolereren.

Ondanks alle beheersmaatregelen resteert de kans dat het management of de directie maatregelen doorbreken en de kans op samenspanning tussen medewerkers. Transparante besluitvorming, de governance structuur, een open cultuur waarbij we elkaar durven aan te spreken, periodieke interne en externe audits op de naleving van beheersmaatregelen moeten ertoe bijdragen dat override of controls wordt gesignaleerd.

De afgelopen jaren zijn er regelmatig berichten in de media over cyberaanvallen, gevallen van ransomware en datalekken. Gezien de activiteiten van Oasen heeft informatiebeveiliging vanuit de perspectieven continuïteit, fraude en privacy en daarmee samenhangende reputatie een hoge prioriteit.

Tijdens de dagelijkse bedrijfsvoering vinden controles plaats om vast te stellen of gewerkt wordt volgens de daarover gemaakte afspraken, waaronder de diverse protocollen voor informatiebeveiliging. Periodiek wordt de beheersing van informatiebeveiliging getoetst, zowel intern als extern. Eventuele verbeterpunten vormen de input voor verdere aanscherping en/of naleving van het informatiebeveiligingsproces.

De directie is van mening dat, met alle analyses en getroffen beheersmaatregelen, de kans op fraude op adequate wijze wordt verkleind.