Risico-
management en –beheersing

Risicomanagement helpt Oasen om een redelijke mate van zekerheid te bieden ten aanzien van het realiseren van de strategie. Risicomanagement is onderdeel van de planning- en controlcyclus van Oasen. Per kwartaal wordt aan de directeur-bestuurder en het managementteam, de auditcommissie en RvC gerapporteerd over risico’s en het bestaan en de werking van de beheersmaatregelen. Eén keer per jaar wordt aan de auditcommissie en RvC gerapporteerd over de opzet en werking van het risicomanagementsysteem waarbij eveneens wordt aangegeven of er verbeteringen zijn doorgevoerd.

Huidig systeem van interne risicobeheersing en controle

Oasen heeft een integraal risicomanagementbeleid. Het integraal risicomanagementbeleid is gebaseerd op het RAVC (Risk Appetite Value Chain) vier kwadrantenmodel. Hiermee beschikt Oasen over een raamwerk dat past bij de organisatie.

In het kwadrant risico governance wordt de verankering van het risicomanagementraamwerk binnen de governancestructuur van Oasen beschreven en worden taken, verantwoordelijkheden en bevoegdheden van functies vastgelegd. De directeur-bestuurder, sector- en teammanagers zijn verantwoordelijk voor het managen van de risico’s. In de opzet van het ‘three lines of defence’ model vormen zij de eerste lijn. De organisatie wordt ondersteund door de adviseur risicomanagement, die het risicomanagement proces faciliteert en bewaakt en de geïdentificeerde risico’s monitort. De adviseur risicomanagement heeft een onafhankelijke rol en is te beschouwen als de tweede lijn. Naast interne audits worden diverse externe audits uitgevoerd voor verschillende doeleinden zoals in het kader van de ISO9001 certificering, voor de controle van de jaarrekening door de externe accountant en in het kader van toezicht door de Inspectie Leefomgeving en Transport (ILT). De hieraan gerelateerde rapportages geven mede steun aan de beoordeling van het risicomanagement systeem van Oasen.

In het kwadrant risicostrategie geeft Oasen aan te werken volgens een strategische en een operationele risicomanagementcyclus. In de strategische risicomanagementcyclus bepalen we aan de hand van de missie, visie, strategie en doelstellingen de risicohouding. Deze wordt vertaald naar risicobereidheid en concreet gemaakt met behulp van kritieke risico indicatoren. Vervolgens identificeert en benoemt Oasen de strategische en operationele risico’s

In het kwadrant risicoprocessen zijn de processen voor evaluatie, beheersing en bijsturing vastgelegd. Het gaat hier om het wegen van de risico’s en het nemen van beheersmaatregelen. Vervolgens het opnieuw wegen van de risico’s na het nemen van deze beheersmaatregelen en het borgen van de beheersmaatregelen in de organisatie. De laatste stappen in het proces zijn het informeren en communiceren over de risico’s en het monitoren en evalueren van het risicomanagementproces.

Tenslotte gaat het kwadrant risicobewustzijn over hoe Oasen door het doorlopend uitvoeren van de risicomanagementprocessen en activiteiten het risicobewustzijn bij haar medewerkers vergroot.

Risicobereidheid

Belangrijk onderdeel van het risicomanagementraamwerk is de risicobereidheid. Oasen operationaliseert het begrip risicobereidheid met behulp van het RAVC-model. In 2025 is de risicohouding geëvalueerd. Allereerst is de risicohouding voor de domeinen besturingsfilosofie (gebalanceerd), reputatiemanagement (gebalanceerd), uitvoeringsprocessen & IT (kritisch) en kapitaalmanagement (gebalanceerd) vastgesteld. Op basis van de risicohouding van deze vier domeinen is de algemene risicohouding van Oasen vastgesteld op gebalanceerd. Dat betekent dat we risico’s niet automatisch vermijden, maar ze ook niet actief opzoeken: we wegen steeds zorgvuldig af wat nodig en verantwoord is. Deze keuze past bij onze verantwoordelijkheid voor de volksgezondheid en bij onze maatschappelijke positie als drinkwaterbedrijf.

Ontwikkeling en vooruitblik

Het integraal risicomanagementbeleid zal worden geëvalueerd en opnieuw ter vaststelling worden aangeboden. De verwachting is niet dat dit risicomanagementbeleid grote aanpassingen behoeft.

Voor de te houden risico-evaluaties binnen de strategische risicomanagementcyclus zal naar een nieuw moment worden gekeken om een nog betere aansluiting de vinden met de evaluatie van de strategie. In 2026 gaat Oasen haar risicohouding opnieuw evalueren.

Voor de operationele risicomanagementcyclus zal in 2026 de nadruk worden gelegd op de processen uit het Atla-procesmodel met betrekking tot drinkwater maken en leveren en de processen rondom beheren assets.

Risicoprofiel | Strategische risico’s

Vertrouwen in drinkwater

Wat is het risico?

Het vertrouwen in de veiligheid van Nederlands drinkwater en de drinkwaterbedrijven is heel hoog. Door ontwikkelingen kan dat negatief beïnvloed worden. Dit kan zowel betrekking hebben op de leveringszekerheid als de drinkwaterkwaliteit.

Hoe wordt het risico beheerst?

Om het vertrouwen maximaal te houden en te versterken, zorgen we ervoor dat onze infrastructuur op orde is en passen we de beste technologie toe. Onze strategische ambities voor de infrastructuur leggen we vast in een plan. Ook communiceren we proactief en transparant met onze klanten en belangrijke stakeholders.

Risico-ontwikkeling

Het risicoprofiel is gelijk gebleven ten opzichte van 2024. Met de beheersmaatregelen blijft dit risico voldoende beheerst.

Kwaliteit bronnen voor drinkwater

Wat is het risico?

Door het toenemend ruimtebeslag op de ondergrond, door lozingen van (nieuwe) industriële stoffen en door klimaatverandering komt de kwaliteit van onze bronnen onder druk te staan.

Hoe wordt het risico beheerst?

Om dit risico te beheersen, houden we de waterkwaliteit nauwlettend in de gaten. Door nauwkeurig en veelvuldig te monitoren, signaleren we een achteruitgang in kwaliteit al in een vroeg stadium. Ook doen we alles wat we kunnen om onze bronnen zo schoon mogelijk te houden. Verder handhaven we de bestaande beschermingsconstructies en bouwen daar waar nodig nieuwe barrières.

Risico-ontwikkeling

Het risicoprofiel is gelijk gebleven ten opzichte van 2024. Met de beheersmaatregelen is dit risico voldoende beheerst.

Beschikbaarheid gekwalificeerd personeel

Wat is het risico?

Door schaarste op de arbeidsmarkt en onvoldoende aandacht voor het behouden van gekwalificeerd personeel, kunnen personeelstekorten ontstaan.

Hoe wordt het risico beheerst?

Dit risico beheersen we door het zijn en blijven van een aantrekkelijke en zichtbare werkgever. We bieden goede arbeidsvoorwaarden en hebben aandacht voor de gezondheid en vitaliteit van medewerkers. We zetten in op vernieuwing van ons kantoorpand om een aantrekkelijke werkplek te bieden aan medewerkers. We stellen ons proactief op om ons als goede werkgever in de regio van Zuid-Holland en Utrecht onder de aandacht te brengen. We gebruiken een systeem voor strategische personeelsplanning. Indien nodig huren we personeel in.

Risico-ontwikkeling

Het risicoprofiel is gelijk gebleven ten opzichte van 2024. Met de beheersmaatregelen blijft dit risico voldoende beheerst.

Bemoeilijking investering in infrastructuur

Wat is het risico?

Door wettelijke beperkingen om het eigen vermogen te laten groeien worden investeringen in infrastructuur bemoeilijkt.

Hoe wordt het risico beheerst?

Dit risico beheersen we door via de brancheorganisatie (Vewin) en met andere drinkwaterbedrijven in constructief overleg met het ministerie van Infrastructuur en Waterstaat te komen tot aanpassing van regelgeving. Beoogde aanpassingen zouden ertoe moeten leiden dat voldoende eigen vermogen kan worden opgebouwd wat nodig is om de benodigde hoge investeringen te financieren. Daarnaast verbreden we onze financieringsbasis.

Risico-ontwikkeling

Op grond van ontwikkelingen is de beschrijving van het risico ten opzichte van 2024 aangepast en is dit risico opnieuw gewaardeerd. Door de inzet van de beheersmaatregelen wordt dit risico voldoende beheerst.

Toenemende cyberdreiging

Wat is het risico?

Toenemende cyberaanvallen en het onvoldoende treffen van maatregelen kan tot uitval van procesautomatisering, kantoorautomatisering of inbreuk op de privacy van onze stakeholders leiden.

Hoe wordt het risico beheerst?

Dit risico beheersen we door de procesautomatisering fysiek te scheiden van de kantoorautomatisering. Ook investeren we continu in (nieuwe) maatregelen om deze aanvallen te weren en om de awareness van onze medewerkers hoog te houden. Daarnaast schakelen we een security operations center in om ons IT-landschap te monitoren op dreigingen en aanvallen en zijn wij aangesloten bij instanties zoals het Nationaal Cyber Security Centrum, die ons waarschuwen bij nieuwe dreigingen en ons inzicht verschaffen in de omvang van die bedreigingen. Verder treft Oasen de wettelijk verplichte technische en organisatorische beveiligingsmaatregelen en wordt Oasen daarop geaudit. Zo is er is een integraal beveiligingsbeleid en een security kwaliteitsmanagementsysteem geïmplementeerd met functies, taken en verantwoordelijkheden die hierop aansluiten. Hiermee wordt risicogestuurd een continue verbetering van de beveiliging gerealiseerd. Ten slotte laten we onze beveiliging testen door ethische hackers.

Risico-ontwikkeling

Het risicoprofiel is niet veranderd ten opzichte van 2024. Met de beheersmaatregelen blijft dit risico voldoende beheerst.

Verminderde productie drinkwater

Wat is het risico?

Door toenemende aandacht en afnemende regelruimte voor de afvoer van de reststroom van onze zuiveringen met het One-Step Reverse Osmose (OSRO) concept kunnen we mogelijk minder drinkwater produceren.

Hoe wordt het risico beheerst?

Dit risico willen we beheersen door constructief in gesprek te gaan met gemeenten en Rijkswaterstaat en richting het ministerie van Infrastructuur en Waterstaat om aandacht te krijgen voor deze situatie en om oplossingen te vinden. Daarnaast doen we onderzoek naar het verminderen van ongewenste stoffen in de reststroom en naar mogelijke beperking van de reststroom.

Risico-ontwikkeling

Het risicoprofiel is niet veranderd ten opzichte van 2024. Met de beheersmaatregelen blijft dit risico voldoende beheerst.

Risicoprofiel | Overige risico’s

Operationele risico's

Operationele risico’s hebben vooral betrekking op de drinkwaterkwaliteit en de leveringszekerheid. Het continu bewaken van de waterkwaliteit en van het proces van drinkwaterproductie en drinkwaterdistributie vormt de kern van hoe Oasen deze risico’s beheerst. Daarnaast bestaan er tal van andere preventieve en correctieve beheersmaatregelen die ervoor moeten zorgen dat onze klanten altijd onberispelijk drinkwater uit de kraan krijgen.

Een calamiteit kan er natuurlijk voor zorgen dat er tijdelijk onvoldoende drinkwater geleverd kan worden. Daarvoor is een wachtdienstorganisatie ingericht die er bij calamiteiten voor zorgt dat de levering van voldoende en betrouwbaar drinkwater zeker wordt gesteld en de overlast zoveel mogelijk wordt beperkt. De wachtdienstorganisatie oefent regelmatig. Dit doet zij ook samen met crisispartners zoals de veiligheidsregio’s.

De verstoringsrisicoanalyse, onderdeel van het wettelijk verplichte leveringsplan, beschrijft diverse gevaren- en dreigingsscenario’s. Hiermee wordt de kans van optreden en de mogelijke impact van deze scenario’s op leveringszekerheid en drinkwaterkwaliteit beoordeeld. De bestaande beheersmaatregelen van Oasen voor deze scenario’s zijn in veel gevallen afdoende, waar nodig zijn aanvullende beheersmaatregelen geïmplementeerd. De verstoringsrisicoanalyse levert een belangrijke bijdrage aan het beheersen van de operationele risico’s op het gebied van drinkwaterkwaliteit en de leveringszekerheid

Compliance risico's

Op de activiteiten van Oasen is een groot aantal wetten en regelingen van toepassing. Uitgangspunt is dat wij op al deze wetten en regelingen compliant willen zijn. Oasen realiseert zich dat de praktische uitvoerbaarheid op het gebied van naleving, borging en toezicht op zoveel regels uitgebreid en complex is. Om die reden kiest Oasen ervoor om de wetten te prioriteren, zodanig dat de aandacht eerst op de meest belangrijke wetten gericht wordt. De Drinkwaterwet, het Drinkwaterbesluit, de Drinkwaterregeling en de Algemene Verordening Gegevensbescherming (AVG) staan bovenaan in de lijst met belangrijkste wetgeving. Ook is er nadrukkelijk aandacht voor de Omgevingswet, Wet milieubeheer, Wet natuurbescherming (stikstof) en de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Financiële risico's

Voor een toelichting op de financiële risico’s wordt verwezen naar de paragraaf Financiën in dit bestuursverslag.

Fraude mitigatie

Oasen is zich bewust van de inherente kans op fraude die zij, zowel intern als extern, loopt bij het uitvoeren van haar activiteiten.

Er is geïnventariseerd waar de kans op fraude (geld, goederen) bestaat en we hebben preventieve maatregelen (hard en soft controls) genomen om de kans op fraude op die plekken in de processen te verkleinen. Bij de processen rond uitbetalen van facturen, processen rond inkoop en processen rondom magazijnvoorraden hanteren we functiescheidingen, we hanteren screeningsniveaus per functie, we hanteren 4-ogenprincipe en workflows met goedkeuring.

Integriteit staat bij Oasen hoog in het vaandel. Ook onze stakeholders verwachten dat Oasen integer is en haar medewerkers op een betrouwbare, eerlijke en zorgvuldige manier zakendoen. Oasen hanteert een integriteitscode en een reglement voor ongewenst gedrag.

Hiermee willen we het besef van integer handelen bij de medewerkers verder vergroten. Het belang van de integriteitscode en de naleving ervan wordt periodiek benadrukt en is onderwerp van gesprek tussen leidinggevende en medewerker. De integriteitscode is beschikbaar via onze website en wordt (daarmee) ook gedeeld met onze externe relaties. Er is een klokkenluidersregeling waarin staat hoe eventuele misstanden kunnen worden gemeld.

Onze (financiële) processen kenmerken zich door de aanwezigheid van functiescheiding. Hiermee voorkomen we dat slechts één persoon ongecontroleerd transacties of verplichtingen kan aangaan, autoriseren, verwerken en afwikkelen en toegang heeft tot activa.

De directeur-bestuurder heeft, als onderdeel van het integraal risicomanagementbeleid, de risicohouding vastgesteld. Voor het domein ‘reputatiemanagement’ is de risicohouding kritisch. Deze risicohouding vertaalt zich, onder andere, in het risicobereidheidsprincipe “we handelen integer”. We meten dit met de kritieke risico-indicator: aantal fraudegevallen per jaar. Hiermee geven we als Oasen aan dat we fraude niet tolereren.

Ondanks alle beheersmaatregelen resteert de kans dat het management of de directeur-bestuurder maatregelen doorbreekt en de kans op samenspanning tussen medewerkers. Transparante besluitvorming, de governance structuur, een open cultuur waarbij we elkaar durven aan te spreken, periodieke interne en externe audits op de naleving van beheersmaatregelen moeten ertoe bijdragen dat override of controls wordt gesignaleerd.

De directeur-bestuurder is van mening dat, met alle analyses en getroffen beheersmaatregelen, de kans op fraude op adequate wijze wordt verkleind.

Download

Jaarverslag 2025 Jaarverslag 2024 Jaarverslag 2023 Jaarverslag 2022 Archief jaarverslagen

Bezoekadres

Oasen N.V.
Nieuwe Gouwe O.Z. 3
2801 SB Gouda

Postadres

Postbus 122 2800 AC Gouda

oasen.nl
© Oasen 2025
Colofon Disclaimer Privacy Cookies