Risicomanagement

Strategisch risicoprofiel 2022 

De door Vitens onderkende topbedrijfsrisico’s (zie Risicomanagement in het kort) worden hieronder nader toegelicht. De toelichting bevat onder meer een beschrijving van het risico alsmede de risicobeheersing door de getroffen beheersmaatregelen. Vervolgens beschrijft het de (verwachte) gevolgen ervan voor de risico-ontwikkeling en het behalen van onze strategische doelen.

Topbedrijfsrisico’s

Maakbaarheid toekomstbestendige infrastructuur 

Risicobeschrijving:
Als de vraag sterker blijft stijgen dan de afgelopen jaren en we onze realisatiesnelheid niet vergroten, zijn we mogelijk niet in staat onze infrastructuur tijdig toekomstbestendig te maken waardoor we niet 24/7 kunnen leveren en vergunningen overschrijden. We onderscheiden bestuurlijke maakbaarheidsrisico’s enerzijds, voor het verkrijgen van (voldoende) winvergunningscapaciteit. Anderzijds betreft het technische maakbaarheidsrisico’s, voor beschikbare (personele) capaciteit, zowel intern als extern.

Risicobeheersing:

  • Ten behoeve van de bestuurlijke maakbaarheid is Vitens een intensievere dialoog gestart met bestuurders en lobbyisten van de Unie van Waterschappen, Vewin, met leden van de Tweede Kamer en met de minister van I&W. Ook hebben we in dialoogtafels over ruimtelijke ontwikkeling gesproken met regionale bestuurders.

  • In het concept en project IJsselvallei stimuleren we omdenken bij bestuurlijke en technische grenzen en mogelijkheden.

  • Voor wat betreft de (personele) capaciteit werkt Vitens voor de grote projecten met second opinions en reviews, voor betrouwbaarheid en voorspelbaarheid in scope- en projectramingen. Ook is de resourceplanning verbeterd, met behulp van o.a. kwartaalplanningen in onze assetmanagementteams en -portfolio.

  • Voor het ‘Living Lab Strategisch Hart’ startte Vitens de aanbesteding op. Hierin betrekt ze de markt en bestuurlijke partners actief bij het uitwerken van lange termijn (innovatieve) opties uit de drinkwaterstrategie Overijssel. Het voornemen is om deze lange termijn opties ook in de andere provincies op de agenda te krijgen, als oplossingsrichting voor de watertransitie. Ook startte Vitens afgelopen jaar de omvangrijke aanbesteding voor transportleidingen.

  • Vitens is afgelopen jaar ook begonnen met de ontwikkeling van multifunctionele standaarden, al gaat door capaciteitsbeperkingen het afgelopen jaar dit project wel met vertraging verder in het nieuwe jaar.

  • In het programma Schaalsprong is aandacht voor de intensivering van onze benodigde investeringen. 

Risico-ontwikkeling
Het risicoprofiel is gelijk gebleven, wel maken we ons zorgen dat overheden de zorgplicht en de specifieke (wettelijke) prioriteit voor drinkwater niet als vanzelfsprekend zien. Maatregelen zijn ontwikkeld en in gang gezet, en zullen een positief effect gaan hebben op de bestuurlijke en technische maakbaarheid, is onze verwachting. Vitens gaat actief en resultaatgericht op zoek naar afstemming en mogelijkheden voor vergunnings- en personeelscapaciteit, samen met partners. Dit vindt goede weerklank, tot nu toe, maar dergelijke processen kosten tijd en doorzettingsvermogen. Ook de maatregelen voor verbeterde (resource)planning maken dat de aandacht voor voorspelbaarheid, en uiteindelijk de voorspelbaarheid zelf toeneemt.

Cybersecurity

Risicobeschrijving:
Als cyberdreiging gelijk blijft of toeneemt, zijn we, door toename van ons ‘digitaal oppervlak’, kwetsbaar voor een succesvolle cyberaanval, waardoor de drinkwatervoorziening kan worden verstoord, we kunnen worden afgeperst, of klantgegevens op straat terechtkomen.

Het cybersecurity-risico is een permanente factor geworden voor Vitens. Onze systemen en gegevens moeten goed beschermd zijn tegen invloeden van buitenaf en binnenuit. De afhankelijkheid van ICT en data wordt steeds groter en de bescherming hiervan wordt steeds belangrijker. Denk bijvoorbeeld aan de onderdelen van Vitens die de maatschappelijk vitale taak van het produceren en leveren van water verzorgen. Maar daarnaast ook aan de grote hoeveelheden klant- personeelsgegevens die Vitens verwerkt.

Risicobeheersing: 

  • Vitens bestuurt de beheersing van fysieke en cybersecurity integraal vanuit de Vitens Security Board (VSB), het orgaan met de voor het onderwerp relevante topmanagers en specialisten. Daar wordt periodiek vastgesteld hoe de dreiging zich ontwikkelt, waar de kwetsbaarheden zich bevinden en welk risico dat ten gevolge heeft. Daarnaast wordt het cybersecurityprogramma en de onderliggende cybersecurityprojecten bestuurd om het risico te mitigeren. 

  • Mensen: mensen vormen de sleutel tot verhoogde weerbaarheid op veiligheidsgebied. Er is weer fors ingezet op awareness-activiteiten, trainingen en oefeningen. De verplichte, jaarlijkse security game voor het gehele personeel is aangevuld met doelgroep specifieke challenges voor de monteurs. De week van de beveiliging is weer gehouden met diverse events en lezingen. Daarnaast is de doorlopende phishing-campagne uitgebreid met naast e-mail en SMS ook aandacht voor malafide telefonische pogingen tot ontfutselen van vertrouwelijke gegevens. Dit alles om te leren en te meten hoe goed Vitens zich hiertegen verweert. 

  • Processen: in het oefen- en trainingsprogramma is toegewerkt naar de volledige oefening Business Continuïteit. Voor de situatie van het totaal verlies van alle systemen is er een gedetailleerd draaiboek gecreëerd en met het Security Incident Respons Team nagespeeld. Ook het gehele management in de calamiteitenorganisatie is via een serious game getraind op de coördinerende rol in het geval van een aanval. In 2021 heeft Vitens een intern IT General Controls (ITGC) stelsel ingericht. Dankzij dit stelsel zijn we in staat om periodieke controles van onze beveiligingsmaatregelen zelfstandig uit te voeren, zonder externe auditeur. In 2022 zijn verdere periodieke beveiligingscontroles geautomatiseerd. 

  • Techniek: in de hiervoor genoemde periodieke diepgaande penetratietesten en audits kwamen kwetsbaarheden naar voren, die tot nog verdere opschaling van de gemobiliseerde verbeterteams noopten. Er is daarop een permanente multidisciplinaire taskforce geformeerd, die met afdoende tijd en focus alle vaak gedetailleerde technische aanpassingen blijft doen die uit de testen komen. 

Risico-ontwikkeling:
Het risicoprofiel is in 2022 licht gestegen en is daarmee nog steeds (zeer) hoog. Het aantal en tempo waarmee ernstige kwetsbaarheden worden geconstateerd en door kwaadwillenden wordt uitgebuit, neemt toe. Daarnaast is er op het gebied van het produceren en leveren van drinkwater sprake van afhankelijkheid van verouderde technologie, die nog vervangen moet worden. De weerbaarheid van Vitens is op het gebied van detectie en respons weliswaar vergroot, maar door verdergaande digitalisering worden zowel het ‘aanvalsoppervlak’ als de bijbehorende impact van een cyberincident groter. Dit verhoogt het risico. Verhoogde capaciteit voor de taskforce en voor de vervangingsprogramma’s op de verouderde vitale technologie hebben daarom de prioriteit voor de komende periode.

Er hebben zich geen significante cyberincidenten voorgedaan in 2022. Wel is er sinds het uitbreken van de oorlog in Oekraïne, sprake van een constante verhoogde paraatheid

Fraude

Risicobeschrijving:
Door de toegang tot geldstromen en activa, nauwe contacten met opdrachtnemers én onvoldoende integriteitsbewustzijn kunnen medewerkers in de verleiding komen te frauderen, waardoor Vitens financiële en reputatieschade kan oplopen. Om fraudebewustzijn te verhogen, besteedt Vitens aandacht aan sociale veiligheid  waarmee een omgeving wordt gecreëerd, waarin medewerkers uit zichzelf gewenst gedrag vertonen en handelen in het belang van de organisatie en 'hard controls' waarbij beheersmaatregelen worden genomen die gewenst en ongewenst gedrag direct of indirect afdwingen.

Risicobeheersing:

  • Om fraudebewustzijn meer vanzelfsprekend te laten zijn, besteedt Vitens meer aandacht aan sociale veiligheid. Hiermee wordt een werkomgeving gecreëerd waarin medewerkers uit zichzelf gewenst gedrag tonen en handelen in het belang van de organisatie.

  • Daarnaast zijn vanuit risicobeheersing beheersmaatregelen genomen die procedureel of via het geautomatiseerd systeem de kans op fraude verkleinen en gewenst gedrag stimuleren.

  • Sociale veiligheid is opnieuw onder de aandacht gebracht bij medewerkers en management. Er heeft een live-event over sociale veiligheid plaatsgevonden als startpunt om de organisatie te informeren over het thema sociale veiligheid. Dit event heeft, net als het gesprek over sociale veiligheid, het thema opnieuw onder de aandacht gebracht, ook binnen de teams.

  • Jaarlijks worden de frauderisico’s voor Vitens herijkt. Dit jaar hebben we gekozen voor een vernieuwde, organisatiebrede aanpak. Er is een twintigtal gesprekken gehouden met medewerkers in verschillende functies van alle afdelingen en directie om eventuele nieuwe frauderisico’s te inventariseren, zodat Vitens up-to-date blijft. Ook is de scoring van de frauderisico’s door een grote groep van afgevaardigden gedaan. Daarnaast zijn voor het eerst de belangrijkste beheersmaatregelen door de afdelingen zelf getoetst, om te beoordelen of ze worden beheerst. 

Risico-ontwikkeling:
Het risicoprofiel is licht gedaald, omdat sociale veiligheid meer aandacht heeft gekregen binnen de organisatie. We zien dat het aantal meldingen dit jaar significant is gestegen. Daarnaast is het risicobewustzijn verhoogd door het inbedden van integraal risicomanagement in de werkprocessen. Uit de herijking van de frauderisico’s blijkt dat er geen hoge frauderisico’s zijn geïdentificeerd (in 2021 lagen twee frauderisico’s boven het geaccepteerd risiconiveau). De koopkrachtontwikkeling in 2022 heeft een verhogend effect gehad op het risicoprofiel (en de aandacht binnen de organisatie een sterk verlagend effect), vandaar dat er sprake is van een 'lichte' daling.  Dit komt doordat een van de oorzaken van fraude, financiële nood bij mensen, is toegenomen, wat de kans op frauduleus handelen vergroot. 

Financierbaarheid 

Risicobeschrijving:
Als de Weighted Average Cost of Capital (WACC) leidt tot een te grote beperking van onze winst, komt de financierbaarheid onder druk te staan, waardoor we onvoldoende in staat zijn onze strategische doelen te realiseren. 

Risicobeheersing:

  • Begin 2022 stelden de directie en RvC van Vitens de ontwikkelde financieringsstrategie vast, en herijkten we op basis daarvan ons financieel beleid 2023-2025. In de Aandeelhoudersvergadering van afgelopen november is dit beleid vervolgens vastgesteld.

  • De Treasury-commissie heeft zich gebogen over de financiering voor de korte- en lange termijn, en eind oktober is gestart met het aantrekken van een Revolving Credit Facility (RCF) van € 100 miljoen, als back-upfaciliteit. Deze zal begin 2023 worden afgesloten.

  • Vitens heeft in 2022 waivers (vrijstelling) moeten aanvragen voor de afgesproken norm inzake de debt ratio. Dit als gevolg van het verwachte resultaat 2022. In het vierde kwartaal zijn deze waivers ontvangen. In 2023 blijven we de ratio’s volgen en verwachten we weer aan de normen te voldoen. Hierbij is het belangrijk dat de begrote winst wordt gerealiseerd.

  • De WACC is in november 2021 vastgesteld op 2,95 procent voor de periode 2022-2024. In 2022 is een extern onderzoek gestart naar aanpassingen in de regulering vanaf 2025, evenals naar de financiële gezondheid van drinkwaterbedrijven. In december is een conceptrapportage opgesteld. De definitieve rapportage en vervolgstappen volgen begin 2023. 

Risico-ontwikkeling:
Het risicoprofiel is gelijk gebleven. De vaststelling van de WACC vorig jaar tot en met 2024 zorgde voor wat lucht, waardoor Vitens voor de korte termijn goed aan de financieringsbehoefte kan voldoen. Met de nieuwe financiële strategie en nieuw beleid bereidt Vitens zich ook voor op de langere termijn. Hiervoor zet Vitens zich, samen met de sector, ook onverminderd in voor de aanpassing van de regulering via de WACC. Dit is noodzakelijk voor structurele oplossingen voor de financieringssystematiek.

Drukte in de ondergrond 

Risicobeschrijving:
Vitens is niet de enige partij die de ondergrond gebruikt. De ondergrond wordt in toenemende mate gebruikt voor andere opgaven, zoals opslag van energie en warmte. Dit brengt risico’s met zich mee voor de grondwaterkwaliteit van onze drinkwaterbronnen en voor de kwaliteit van drinkwater door ongewenste opwarming in de leidingen.  

Vanwege de nog onbekende en moeilijk te beheersen risico’s pleit Vitens voor functiescheiding. Dit betekent: geen aardwarmte (geothermie en bodemenergie) in gebieden bestemd voor de drinkwaterwinning. Voor de beheersing van het risico is het met name van belang dat de overheden primair de drinkwaterbelangen borgen in hun beleid en wet- en regelgeving. 

De risico’s verschillen in aard en urgentie: van bestuurlijke drang tot acute problemen met kwaliteit. Bij onvoldoende resultaten kan dit leiden tot een lager beschermingsniveau, gedwongen acceptatie van een lagere kwaliteit van bronnen en het moeten verlaten van bestaande locaties of het niet kunnen ontwikkelen van Aanvullende Strategische Voorraden (ASV).

Risicobeheersing:

  • Om onze infrastructuur betere te beschermen tegen de risico’s van Bodemenergie-systemen (BES), opslag en geothermie agendeerden we het belang van goede registratie en van vergunningen, toezicht en handhaving (VTH) bij de provincies. Ook bepleitten we doorvertaling naar gemeentelijke omgevingsplannen en registratie en VTH op dat niveau.

  • Ons eigen standpunt inzake dit thema hebben we deels aangepast; we kiezen een meer adaptieve aanpak, waarin we het principe van functiescheiding niet loslaten, maar meer handelingsperspectief proberen te (helpen) bieden, zonder concessies te doen aan het drinkwaterbelang. 

  • Om uniform grondwaterbeschermingsbeleid van provincies op activiteiten in de ondergrond te stimuleren, hebben we gestuurd op een eenduidige en consistente lijn hierin (via het Rijk en via ons strategisch overleg met de provincies). Een aantal provincies is nu bezig met aanpassing van de omgevingsverordening en betrekt Vitens hier inmiddels bij. Implementatie van ‘Herijking grondwaterbeschermingsbeleid’ is bovendien opgenomen in het Uitvoeringsprogramma bij de Beleidsnota Drinkwater. En het ministerie van EZK neemt provinciaal beleid op dit vlak over.

  • Om het drinkwaterbelang te (laten) borgen in de zogenoemde Warmtevisies en de Regionale Energie Strategieën (2.0) brengen we bij gemeenten onder de aandacht dat het van belang is dat de functiescheiding tussen aardwarmte en drinkwater van kracht blijft in drinkwaterbeschermingsgebieden (inclusief De ASV-gebieden).

  • Om ontwikkelingen ten aanzien van geothermie en innovaties hiertoe goed te blijven volgen, hebben we interne (proces)afspraken ingeregeld voor periodieke monitoring van nieuwe initiatieven door een themagroep (Diepe Ondergrond). Zij coördineren waar nodig ook de reactie van Vitens op deze initiatieven. Ook nemen we actief deel aan de externe werkgroep ‘Kwetsbare gebieden’. Dat is een overleg tussen provincies, de geothermiesector, EBN en de Vewin/drinkwaterbedrijven gericht op het definiëren van kwetsbare gebieden en bescherming van de grondwaterkwaliteit. 

  • Om afstemming van ruimtelijke ontwikkelingen, energie en drinkwater te stimuleren, bepleiten we vastlegging van de drinkwaterstrategieën in de provinciale omgevingsplannen. In Utrecht, Flevoland, Overijssel en Friesland is die stap gezet. Voor het herijkte beschermingsbeleid geldt dit nog niet. Drenthe en Gelderland verwachten de ASV-gebieden binnen één jaar bestuurlijk vast te stellen.

  • Vewin heeft namens de waterbedrijven in Nederland in een position paper aanbevelingen gedaan aan bestuurders en netbeheerders hoe opwarming van drinkwater in het leidingnet voorkomen kan worden bij de uitrol van warmtenetten.

Risico-ontwikkeling:
Het risicoprofiel is licht gestegen. Verschillende provincies zijn bijvoorbeeld bezig om de drinkwaterstrategieën en omgevingsverordeningen aan te passen, en betrekken ons hierin. We bepleiten ons standpunt bij gemeenten. En ook zijn we aangesloten bij diverse landelijke werk- en onderzoeksgroepen, wat maakt dat we goed op de hoogte kunnen blijven van wat er speelt inzake dit risico. Daarmee is/wordt het drinkwaterbelang uiteindelijk beter beschermd, en kunnen instanties in de toekomst gaan handhaven, maar het maakt de directe kans op het risico nu nog niet kleiner. Onze inschatting is dat, ondanks de urgentie en positieve ontwikkelingen, het risico voor zowel onze bronnen als leidinginfrastructuur opnieuw groter is geworden. 

Aantrekkelijk werkgeverschap 

Risicobeschrijving:
Door schaarste op de arbeidsmarkt in relatie tot onze recruitmentopgave ontstaat het risico dat we niet tijdig kunnen inspelen op de juiste invulling van de posities met benodigde talenten en als organisatie niet kunnen presteren. In deze context is ook het enthousiasmeren en behouden van bestaand personeel een belangrijke uitdaging.

Risicobeheersing:

  • Vitens zette afgelopen jaar actief het ontwikkelde campuscrecruitment in, en startte met een MBO-traineeship, naast het al bestaande HBO/WO-traineeship. Ook is gestart met de opzet van een stagebureau, voor centralisatie van (coördinatie van) stageplekken binnen Vitens. Met onderwijsinstellingen in het MBO en HBO zijn bovendien gesprekken gestart over betere positionering als werkgever, voor deze doelgroepen.

  • Begin 2022 verrichtte Vitens een doelgroepenonderzoek gericht op het imago als werkgever, om de strategieën om kandidaten aan te trekken hierop te toe kunnen spitsen. Ook ontwikkelde ze zogenoemd data-driven recruitment, door de zichtbaarheid van Vitens voor werkzoekenden te meten, en er daar waar nodig (extra) op te kunnen acteren.

  • De wijze van instromen van nieuwe medewerkers is ook verbeterd, door naast de recruiting-fase ook aandacht te hebben voor de andere onderdelen van de ‘candidate-journey’, en het optimaliseren daarvan.

  • Medewerkers kregen een Talent Motivatie Analyse (TMA) aangeboden. Met de uitkomst van deze persoonlijke analyse ontstond inzicht in drijfveren en talenten, waarover met de leidinggevende een dialoog kon worden gevoerd over de huidige positie, ambities en nieuwe mogelijkheden binnen Vitens.

Risico-ontwikkeling:
Het risicoprofiel is gestegen, met name door de arbeidsmarktontwikkeling. Deze wordt voor Vitens steeds kritischer, met name in de technische en IT-vakgebieden. Het kost moeite voor verschillende vacatures om ze ingevuld te krijgen, en het proces hiertoe kost meer inspanning en tijd. De vergrijzing en uitstroom daardoor neemt bovendien verder toe. De organisatie moet zich onder meer (nog) meer richten op het creëren en invullen van startersposities, om deze ontwikkeling het hoofd te bieden. Maatregelen daartoe zijn ontwikkeld en worden momenteel ingezet.

Beschikbaarheid productiecapaciteit en bronnen 

Risicobeschrijving:
Beschikbaarheid van voldoende (schone) bronnen en productiecapaciteit is noodzakelijk om nu en in de toekomst voldoende drinkwater van gewenste kwaliteit te kunnen leveren. De vraag naar drinkwater neemt naar verwachting de komende jaren toe; daar moeten we tijdig onze win- en productiecapaciteit op afstemmen. De beschikbaarheid is een potentieel knelpunt, omdat we afhankelijk zijn van onder andere provincies en waterschappen voor het verkrijgen van winvergunningen. 

Als onze bronnen ontoereikende (RO-)bescherming hebben, kan de kwaliteit van onze bronnen bovendien achteruitgaan, waardoor extra zuiveringsinspanningen nodig zijn of een bron zelfs moet worden verlaten.

Risicobeheersing:

  • De zogeheten streefstructuur, voor ontwikkeling van onze infrastructuur op de lange termijn, is opgeleverd en wordt verwerkt in onze infrastructuurplannen;

  • Voor de vier strategische harten hieruit zijn onderzoeken gestart en grotendeels afgerond naar de haalbaarheid van een grote winning (25-50 miljoen m3/jaar). Zo’n winning lijkt mogelijk op de Veluwe, in Noord- en Oost-Flevoland, in het rivierengebied en langs de IJssel (IJsselvallei). Voor de laatste zijn we gestart met het opzetten van een pilot en aanbesteding voor (ontwikkeling van) de zuiveringstechnologie en het gebiedsproces;

  • Met provincies is afgesproken de werkwijze van de streefstructuur beter af te stemmen op de werkwijze van provinciale plannen.

  • In praktisch opzicht zijn we afgelopen zomer goed in staat geweest om de piekbelasting op te vangen met onze operationele, dagelijkse sturing. De werking van het ingestelde droogteteam werkt hierin goed, ook in de communicatie met de buitenwereld. De campagne Wijs met Water heeft bijgedragen aan het dempen van het watergebruik. De hoge gasprijzen hielpen waarschijnlijk ook, omdat mensen minder/korter douchten.

  • We zijn ook beter in staat om vergunningsruimte over de tijd beter te benutten, om overschrijdingen in piekperioden te voorkomen. De laatste maanden van 2022 is de vraag daarnaast lager uitgevallen dan verwacht (niveau 2015).

  • Met het ontwikkelde position paper Watervriendelijk Bouwen zetten we regionaal en landelijk in op waterbesparende maatregelen bij nieuw- en verbouw. Voor grootzakelijke klanten is nieuw aansluitbeleid in ontwikkeling met een afwegingskader voor het beoordelen van nieuwe aanvragen. Bovendien zijn we met (groot)zakelijke klanten in gesprek gegaan over waterbesparende maatregelen.

Risico-ontwikkeling:
Het risicoprofiel is gelijk gebleven. De impact van klimaatverandering door de aanhoudende droogte wordt groter, waardoor de piek in de vraag toeneemt en winningen onder druk komen te staan. Winvergunningen moeten hierop aangepast worden, en dat blijken nog steeds tijdrovende processen. De urgentie bij onder andere provincie en waterschappen voor win- en omgevingsvergunningen wordt hierin inmiddels wel gedeeld, evenals de noodzaak tot samenwerking voor lange termijn oplossingen. We ervaren ook dat onze streefstructuur steeds meer leidend wordt in de gesprekken over toekomstige drinkwaterinfrastructuur met stakeholders.