Topbedrijfsrisico's

Risico 1: betrouwbaarheid data en data-ontsluiting

Strategische agenda

Voldoende beschikbare schone bronnen, Meer gemak voor de klant en 24/7 Betrouwbaar en betaalbaar drinkwater.

Risicobeschrijving en gevolgen

Het belang van data neemt alleen maar toe. Willen we goede besluiten kunnen nemen en onze strategische initiatieven realiseren, dan hebben we beschikbare en betrouwbare data nodig. We gaan inzetten op het vaststellen van de informatiebehoefte, het inrichten van processen om de benodigde data te genereren en een goede implementatie van deze processen waarbij het menselijke aspect ook wordt geborgd (formele en informele beheersing).

Risicobeheersing
  • Met de SAP-transformatie als katalysator is in 2018 de focus gelegd op de benodigde informatiebehoefte naar de toekomst toe en is de kernstructuur (de asset structuurboom) herijkt en herzien.

  • De samenwerking tussen datastewards van de afdeling Asset Management en de afdelingen Winning & Zuivering en Netbeheer & Levering is geoperationaliseerd. Leidend tot concrete verbeteracties waaronder het inrichten van het proces verbeteren datakwaliteit leidingdata en de start van het op orde brengen van de assetregistratie bovengronds (‘binnen=buiten’).

  • Tevens is in 2018 een risicoanalyse uitgevoerd op de belangrijkste datastromen. Deze zal in het eerste kwartaal van 2019 worden besproken met directie om vervolgens aanvullende beheersmaatregelen te treffen.

Risico-ontwikkeling

Het risicoprofiel is verlaagd. Naast voorbereidende werkzaamheden ten aanzien van de SAP-transformatie is gewerkt aan dataverrijking en dataprocesverbetering. De effecten van de SAP-voorbereiding worden bij live-gang zichtbaar, waarbij het de verwachting is dat het risicoprofiel vervolgens verder naar beneden toe kan worden bijgesteld.

Risico 2: beschikbaarheid productiecapaciteit/bronnen

Strategische agenda

Voldoende beschikbare schone bronnen en 24/7 Betrouwbaar en betaalbaar drinkwater.

Risicobeschrijving en gevolgen

Beschikbaarheid van voldoende (schone) bronnen en productiecapaciteit is noodzakelijk om nu en in de toekomst voldoende drinkwater van gewenste kwaliteit te kunnen leveren. De vraag naar drinkwater neemt naar verwachting de komende jaren toe, daar moeten we tijdig onze win- en productiecapaciteit op afstemmen. Beschikbaarheid van voldoende schone bronnen is een potentieel knelpunt, omdat we afhankelijk zijn van onder andere provincies en waterschappen voor het verkrijgen van winvergunningen. Dit vraagt goede afstemming met deze bevoegde instanties om maatschappelijk draagvlak te verkrijgen voor de benodigde extra vergunningen. Daarvoor moeten we vraag en aanbod goed afstemmen tussen Vitens en de particuliere en (groot) zakelijke klanten, maar ook intern tussen de verschillende afdelingen. We willen meer inzicht in de beschikbare hoeveelheid en kwaliteit water en de vraagontwikkeling. Maar we werken ook aan sturing op afname door grootzakelijke klanten, tijdige en adequate bestuurlijke afspraken ten behoeve van wincapaciteit en het voorhanden hebben van noodscenario’s.

Risicobeheersing
  • In 2018 zijn veel werkzaamheden verricht om inzicht te verkrijgen in de huidige vergunnings- en productiecapaciteit in relatie tot de verwachte stijgende drinkwatervraag naar de toekomst toe.

  • Het Strategisch Initiatief Reserves is uitgewerkt. Dit bevat een ontwerp van de benodigde bouwstenen die samen zorgen voor groei van de reserves tot de beleidsnorm.

  • In 2018 is de Strategische Omgevingsmanagement (SOM) strategie ontwikkeld, om maatschappelijk draagvlak te creëren voor onze extra vraag naar vergunningen op korte en lange termijn.

  • Er zijn in 2018 reeds concrete acties in gang gezet om de vergunde- en/of productiecapaciteit te vergroten.

Risico-ontwikkeling

Als gevolg van de extreem droge zomer in 2018 is sprake geweest van een tijdelijke overschrijding van de vergunde capaciteit in een aantal voorzieningsgebieden. Vitens is in gesprek met bevoegde instanties om gezamenlijk te werken aan een oplossing. In 2018 zijn veel acties gestart in het kader van het Strategisch Initiatief Reserves. Vanwege de doorlooptijd van vergunningsuitbreiding en de doorlooptijd van ontwikkeling van infra nemen de prestaties van de assets niet direct toe. Daarbij zien we ook de drinkwatervraag nog steeds stijgen. Het risicoprofiel is als gevolg daarvan gelijk gebleven.

Risico 3: cybersecurity

Strategische agenda

24/7 Betrouwbaar en betaalbaar drinkwater en Meer gemak voor de klant.

Risicobeschrijving en gevolgen

Het cybersecurity-risico is niet meer weg te denken uit de bedrijfsvoering. Onze systemen en gegevens moeten goed beschermd zijn tegen invloeden van buitenaf en binnenuit. De afhankelijkheid van ICT en data wordt steeds groter en de bescherming hiervan wordt steeds belangrijker. Denk bijvoorbeeld aan onderdelen van Vitens die rechtstreeks de klant raken (productie en levering van water, klantenservice), maar ook de personeelsgegevens bij HR.

Risicobeheersing
  • In 2018 heeft Vitens de Security Organisatie verder geformaliseerd. Het informatiebeveiligingsbeleid is geactualiseerd en een Security Operations Center (SOC) is aanbesteed en gegund. In 2019 zal dit verder worden uitgerold over het netwerk. 

  • Daarnaast is in 2018 een extra Information Security Officer aangetrokken.

  • Ook is een awareness-programma doorgevoerd waarbij door middel van gerichte acties cybersecurity ̶ risico’s onder de aandacht van medewerkers zijn gebracht.

  • Via de cybersecurity roadmap zijn geplande acties voor 2018 uitgevoerd waaronder beveiliging van e-mailverkeer via Mobile Device-management alsmede Network Access Control.

  • In 2018 heeft Vitens vastgesteld dat aanvullende technische en organisatorische maatregelen noodzakelijk zijn om aantoonbaar te maken dat onze beveiliging van de procesautomatisering in overeenstemming is met de door de Vereniging van waterbedrijven in Nederland (Vewin) opgestelde kaders.

Risico-ontwikkeling

Vitens heeft 2018 met name gebruikt om de risico’s nog beter in beeld te krijgen. De conclusie is dat het huidige weerbaarheids/volwassenheidsniveau voor de kantoorautomatisering verder is verbeterd. Desondanks is gebleken dat Vitens voor de procesautomatisering nog niet zichtbaar voldoet aan haar zorgplicht. Bovendien geldt dat het dreigingsbeeld onveranderd hoog is. Speerpunt voor 2019 is dan ook met name gericht op de procesautomatisering.

Risico 4: verandervermogen organisatie

Strategische agenda

Vitenser sterk in je werk, 24/7 Betrouwbaar en betaalbaar drinkwater en Meer gemak voor de klant.

Risicobeschrijving en gevolgen

Het risico is aanwezig dat Vitens onvoldoende controle heeft over de personeelsplanning in de continu veranderende toekomst. De krapte op de arbeidsmarkt speelt daarin eveneens een belangrijke rol. Het risico heeft onder andere gevolgen voor de duurzame inzetbaarheid van Vitensers, onze managementstijl en het tijdig kunnen inspelen op (technologische) ontwikkelingen.

Risicobeheersing
  • In 2018 is een stuurgroep Strategische Personeelsplanning (SPP) ingericht en is het als proces ingeregeld. Als onderdeel van de Strategische Personeelsplanning is in beeld gebracht welke opgave Vitens heeft met de huidige personeelsbezetting. Er vindt centrale rapportage en sturing plaats, waarbij per kwartaal kwantitatief wordt verantwoord en per jaar kwalitatief wordt verantwoord. Per afdeling wordt in de kwartaalrapportages structureel gerapporteerd.

  • Ook is in 2018 gebleken dat het op bepaalde deelgebieden lastig is om (technisch) deskundig personeel aan Vitens te binden en te behouden. Dit wordt mede veroorzaakt door krapte op de arbeidsmarkt. Als gevolg hiervan is nieuw arbeidsmarktbeleid uitgewerkt. Lancering hiervan staat gepland voor het eerste kwartaal van 2019.

  • Vitens heeft in 2018 een start gemaakt met het ontwikkelen van een leiderschapsprogramma. In 2019 zal hier verder invulling aan worden gegeven.

Risico-ontwikkeling

Vitens is van mening dat het risico eind 2018 gelijk is gebleven ten opzichte van de risico-inschatting eind 2017. Ondanks de intern getroffen maatregelen ten aanzien van meer inzicht en sturing in de personeelsplanning, is nog onvoldoende controle over de personeelsplanning als gevolg van krapte op de arbeidsmarkt. Hierdoor sluit de personeelssamenstelling nog onvoldoende aan bij externe ontwikkelingen en interne ambities. Wel is in 2018 meer inzicht verkregen in de wervingsopgave voor Vitens naar de toekomst toe.

Risico 5: efficiënte slagvaardige bedrijfsvoering

Strategische agenda

Vitenser sterk in je werk, 24/7 Betrouwbaar en betaalbaar drinkwater en Meer gemak voor de klant.

Risicobeschrijving en gevolgen

Vitens beschikt mogelijk over een onvoldoende efficiënte en slagvaardige bedrijfsvoering, waardoor besluitvorming regelmatig lang duurt en als bureaucratisch kan worden ervaren. We streven veelal naar een zeer hoog kwaliteitsniveau en dan zijn we snel geneigd om een risicomijdende houding aan te nemen, terwijl dit wellicht niet altijd noodzakelijk is. Enerzijds willen we graag efficiënt werken, maar anderzijds willen we ook een lerende organisatie zijn waar je fouten mag maken. Dit kan zorgen voor onduidelijkheid bij collega’s.

Risicobeheersing
  • In 2018 heeft Vitens focus aangebracht op de strategische initiatieven en een keuze gemaakt in de volgorde. Daarnaast is de sturing op strategische initiatieven aangescherpt. Op het communicatieve vlak zijn medewerkers hierover geïnformeerd en dit is vervat in ‘Samen in de stroomversnelling’. We concentreren ons op een paar dingen tegelijk. Zo creëren we meer slagkracht en snelheid.

  • Met de SAP-transformatie beoordeelt Vitens of de bedrijfsprocessen van Vitens adequaat zijn ingericht. Hiermee is in 2018 een start gemaakt en dit zal de komende jaren een verder vervolg krijgen.

  • Vitens experimenteert tevens met andere werkwijzen. Denk daarbij aan multidisciplinaire taskforces, pilots, Agile werken en Lean.

  • Op managementniveau heeft Vitens in 2018 stilgestaan bij ons eigen leiderschap en onze eigen werkwijzen.

Risico-ontwikkeling

In 2018 heeft een herijking van de strategische initiatieven voor 2019 plaatsgevonden waarbij Vitens focus heeft aangebracht in het aantal initiatieven. Daarbij is bewust de keuze gemaakt om eerst te vertragen om zo gericht versnelling aan te brengen op de gekozen initiatieven: samen in de stroomversnelling.

Risico 6: gezondheid en werkgeluk medewerkers

Strategische agenda

Vitenser sterk in je werk.

Risicobeschrijving en gevolgen

Vitensers nemen onvoldoende verantwoordelijkheid om gezond en gelukkig te zijn en te blijven. Dit draagt bij aan een hoog ziekteverzuim en het heeft effect op de betrokkenheid en bevlogenheid van collega’s.

Risicobeheersing
  • Vitens heeft in 2018 een gezondheidscheck laten uitvoeren. De resultaten ervan laten Vitens-breed een positieve ontwikkeling zien ten opzichte van de vorige meting in 2014. Met name op het gebied van werkomstandigheden is nog ruimte voor verbetering.

  • Naar aanleiding van de uitkomsten van de gezondheidscheck zijn twee maatregelen getroffen, waaronder het opstellen van een visie op duurzame inzetbaarheid. Daarnaast zijn er per afdeling verbetermaatregelen vanuit de uitkomsten van de gezondheidscheck opgesteld (en opgenomen in de jaarplancyclus).

Risico-ontwikkeling

Vitens is van mening dat per saldo sprake is van een lichte daling van het risico. Onderbouwing hiervoor vormen de uitkomsten van de gezondheidscheck en een daling van het ziekteverzuim in 2018 ten opzichte van vorig jaar (van 5,3 procent naar 4,7 procent). De komende jaren zal het risico echter onverminderd extra aandacht vragen. Het thema ‘Het goede gesprek’ is een element van het leiderschapsprogramma (gepland voor 2019); daarin zal duurzame inzetbaarheid een van de onderwerpen zijn. Verder is het de intentie om voor 2022 opnieuw een gezondheidscheck uit te voeren om vast te stellen in hoeverre de getroffen verbetermaatregelen het gewenste effect hebben gehad.

Risico 7: uitbesteed werk

Strategische agenda

24/7 Betrouwbaar en betaalbaar drinkwater.

Risicobeschrijving en gevolgen

Het risico bestaat dat Vitens niet altijd voldoende regie en grip heeft op werkzaamheden die door derden worden uitgevoerd. We hebben veel projecten die uitgevoerd moeten worden (vraag Vitens/Ontwerp & Aanleg), maar de aannemers kunnen qua aanbod onvoldoende personeel leveren. Dit is een landelijk probleem dat bij alle netbeheerders speelt en vraagt dan ook om een landelijke/bredere oplossing. Het risico wordt Vitens-breed aangepakt, omdat bij meerdere afdelingen dit risico zich mogelijk ook manifesteert. Daarnaast doet dit risico zich ook bij andere opdrachtgevers voor (niet zijnde netbeheerders) en bij andere disciplines zoals bouwkunde, werktuigbouwkunde, elektrotechniek en procesautomatisering. Ook bij dit risico geldt dat de krapte op de arbeidsmarkt een belangrijke rol speelt.

Risicobeheersing
  • In 2018 is een uitgebreide oorzakenanalyse uitgevoerd en is een overzicht opgesteld met te treffen beheersmaatregelen (inclusief tijdsplanning).

  • Op zowel het onderwerp beschikbaarheid technisch personeel als schaarste op de aannemersmarkt zijn in 2018 gerichte acties uitgevoerd. Voor specifieke deelgebieden is overeenstemming bereikt met (nieuwe) uitvoerende aannemers, waardoor voor die gebieden de continuïteit beter is gewaarborgd.

Risico-ontwikkeling

Het risicoprofiel blijft eind 2018 naar onze mening nagenoeg onveranderd ten opzichte van eind 2017. Op enkele vlakken is de continuïteit beter gewaarborgd. Vitens ziet dat bij aanbesteding van projecten minder partijen inschrijven en de inschrijving plaatsvindt tegen hogere prijzen, dit als gevolg van krapte op de aannemersmarkt. Er is een plan van aanpak opgesteld voor de te treffen beheersmaatregelen en dit wordt verder opgepakt in 2019.

Risico 8: contractmanagement

Strategische agenda

24/7 Betrouwbaar en betaalbaar drinkwater.

Risicobeschrijving en gevolgen

Het risico bestaat dat door ontoereikend contractmanagement met grootzakelijke klanten en leveranciers niet alle wederzijdse afspraken worden nagekomen, waardoor er bijvoorbeeld financiële claims kunnen worden ingediend. Het (vooraf) intern afstemmen van (de impact van) contractafspraken, het eenduidig vastleggen en het nakomen van contractafspraken vraagt om een goede samenwerking en een professionele houding/organisatie.

Risicobeheersing
  • In 2018 heeft Vitens aandacht besteed aan het creëren van uniformiteit en draagvlak door het opstellen van kaders. Het Inkoopbeleid en Contract- en Leveranciersmanagementbeleid inclusief taken, verantwoordelijkheden en bevoegdheden is gecommuniceerd en wordt inmiddels gehanteerd.

  • De contractmanagementprocessen zijn met contractmanagers besproken. De werkwijze en rolverdeling zijn hun bekend.

  • Het contractmanagementproces is geactualiseerd en opgenomen in het kwaliteitshandboek Vitens.

  • Viermaal per jaar organiseert de afdeling Inkoop een bijeenkomst voor de inkopers en contractmanagement om knelpunten en verbeterpunten in de contractmanagementprocessen te bespreken en daar waar nodig de processen aan te passen.

Risico-ontwikkeling

Vitens heeft in 2018 veel acties getroffen om het risico te beheersen. Naar onze mening is het risicoprofiel in 2018 zodoende verder afgenomen. Het managementteam heeft besloten om het risico voor 2019 ook niet meer als topbedrijfsrisico aan te merken.

Risico 9: fysieke beveiling assets

Strategische agenda

Voldoende beschikbare schone bronnen en 24/7 Betrouwbaar en betaalbaar drinkwater.

Risicobeschrijving en gevolgen

Het risico is aanwezig dat door ontoereikende fysieke beveiliging van productiebedrijven, het drinkwater moedwillig wordt verontreinigd en hierdoor de levering en/of kwaliteit van het drinkwater (langdurig) wordt verstoord. Beveiliging van de bovengrondse assets is onderdeel van het programma Beveiliging. Belangrijkste beheersmaatregel betreft hierin het realiseren van het vereiste beveiligingsniveau, zoals vastgesteld in het Vitens integraal securitybeleid. Vanuit het beleid is een vertaling gemaakt naar een functionele standaard met fysieke securitymaatregelen voor de beveiliging van de Vitens productiebedrijven.

Risicobeheersing
  • Vitens heeft in 2018 fysieke terreinafschermingen aangebracht voor die locaties waar nog geen hekwerk geplaatst was. In 2019 zal gestart worden met het aanpassen van de resterende locaties naar het gewenste security baseline-niveau.

  • Het Securitymanagementsysteem (inclusief organisatie) is nader uitgewerkt en goedgekeurd door de directie. Uitrol ervan vindt plaats in 2019.

  • Vanuit de campagne Veilig & Alert is gewerkt aan het vergroten van beveiligingsbewustzijn zoals het melden van security-incidenten, zichtbaar dragen van toegangspas en ‘De Tien Gouden Regels Beveiliging’. Plan uitvoeren om systematisch het beveiligingsbewustzijn te vergroten.

Risico-ontwikkeling

Het risiconiveau is in 2018 gedaald. De externe dreiging is onveranderd. Security Management Systeem (SMS) wordt geïmplementeerd en acties gericht op het vergroten van veiligheidsbewustzijn zijn uitgezet. In 2018 zijn reeds beheersmaatregelen getroffen om de productiebedrijven op het niveau van de security baseline te brengen. De menselijke factor ten aanzien van fysieke beveiliging verdient nog verdere aandacht.