Risicomanagement
Het risicomanagementsysteem zorgt ervoor dat risico’s van tevoren worden benoemd en van beheersmaatregelen worden voorzien. Absolute zekerheid dat er zich geen verrassingen voordoen, kan echter nooit worden gegeven. Het stelsel van risicobeheersingsmaatregelen is bedoeld om effectiever om te gaan met onzekerheden, zodat bedreigingen worden ingeperkt en kansen optimaal worden benut. Op deze manier worden de negatieve gevolgen voor de bedrijfsvoering en bedrijfskosten zo veel als mogelijk geminimaliseerd.
Waterbedrijf Groningen actualiseert voortdurend het inzicht in de (potentiële) risico’s om op basis daarvan de noodzakelijke beheersmaatregelen te treffen. Zo is in 2023 specifieke aandacht gegeven aan de risico’s met betrekking tot (1) klimaatverandering (droogte) en gebieds-/vraagontwikkeling in relatie tot benodigde strategische en operationele reserves (zoetwaterreserves en productie- en transportcapaciteit) en communicatie richting stakeholders, (2) landelijke ontwikkeling rond thema’s als zorg- en leveringsplicht, WACC en ‘ander water’, (3) cybersecurity en informatiebeveiliging en (4) financierbaarheid van het meerjarig investeringsplan.
Risicomanagementsysteem
Wij gebruiken risicomanagement als onderdeel van onze besluitvorming om onze doelstellingen op een zo effectief en efficiënt mogelijke wijze te realiseren. Tegelijkertijd draagt risicomanagement bij aan de interne en externe transparantie. Waterbedrijf Groningen hanteert de lijn dat risicomanagement nadrukkelijk wordt toegepast in de dagelijkse bedrijfsvoering. Behalve als onderdeel van de bedrijfsvoering komt risicomanagement ook terug in de vaststelling van de strategische koers met aandeelhouders en Raad van Commissarissen en maakt het (in)direct ook onderdeel uit van de bepaling van de kaderstelling en uitwerking van jaarplannen.
Waterbedrijf Groningen streeft zes strategische bedrijfswaarden na, zijnde: drinkwaterkwaliteit en -kwantiteit, wetgeving, veiligheid, milieu, financiën en imago. Als onderdeel van de ISO 55001 normstelling – kwaliteitsmanagement-systeem assetmanagement – hebben wij deze bedrijfswaarden gekoppeld aan een risicomatrix, een matrix die gebaseerd is op de uitkomsten van een bedrijf breed uitgevoerde risico-inventarisatie. De risicomatrix geeft een transparante en reproduceerbare sturing aan investeringen en andere risicobeperkende maat-regelen ingeval risicotoleranties worden overschreden.
De directie is verantwoordelijk voor de inrichting en effectieve werking van het risicomanagementsysteem van Waterbedrijf Groningen. Dit systeem is erop gericht:
- om steeds tijdig op de hoogte te zijn van de mate waarin de strategische, operationele en financiële doelstellingen worden bereikt c.q. zijn gerealiseerd;
- een betrouwbare financiële verslaglegging te waarborgen;
- te handelen in overeenstemming met de toepasselijke wet- en regelgeving.
Externe beoordeling van de interne beheersingsmaatregelen vindt plaats door de externe accountant voor zover deze relevant zijn voor het oordeel van de jaarrekening, door middel van certificering (ISO 9001 en ISO 55001) van het kwaliteitsmanagementsysteem en eens per vier jaar een audit in het kader van de Wet beveiliging netwerk- en informatiesystemen.
Risicohouding
Een belangrijk element in het beoordelen en afwegen van risico’s is de bereidheid om risico’s te lopen om de organisatiedoelstellingen te realiseren. Hierbij maakt Waterbedrijf Groningen onderscheid naar strategische, operationele, financiële en compliance ambities en/of risico’s. Waterbedrijf Groningen is bereid om tot op zekere hoogte risico’s te aanvaarden om haar strategische ambities te realiseren. Hierbij wordt gestreefd naar een optimale balans tussen risico’s en ambities op de langere termijn.
Daar waar het gaat om de operationele en financiële risico’s is de risicobereidheid laag. De bereidheid tot acceptatie van risico’s is mede afhankelijk van de inspanning (tijd/kosten) die de risicobeheersing met zich meebrengt en de mate waarin de drinkwaterkwaliteit, de leveringszekerheid en de veiligheid voor mens en omgeving wordt bedreigd. Waterbedrijf Groningen streeft ernaar te voldoen aan wet- en regelgeving, waarmee de risicohouding ten aanzien van compliance zeer laag is.
Risicoprofiel
De belangrijkste risico’s die in 2023 binnen Waterbedrijf Groningen zijn geïdentificeerd worden hierna kort toegelicht.
Uit onze analyse blijkt dat het verlies van essentiële data als gevolg van ontoereikende informatiebeveiliging en cybercrime als risico wordt onderkend. Op 17 mei 2024 zijn wij door onze dienstverlener AddComm geïnformeerd dat zij zijn getroffen door een ransomware incident en het vermoeden bestaat dat ook bij AddComm aanwezige klantgegevens van Waterbedrijf Groningen door dit incident zijn geraakt. Addcomm heeft Waterbedrijf Groningen aangegeven dat zij vervolgens alle redelijke middelen, die technisch en organisatorisch mogelijk zijn, heeft ingezet om verspreiding van onze klantgegevens te voorkomen. Tevens heeft onze dienstverlener bevestigd dat de door hun ingezette externe security experts inschatten dat door de getroffen maatregelen het risico op misbruik of verspreiding van buitgemaakte klantgegevens zeer klein is. Begin juni heeft AddComm bevestigd dat ook klantgegevens van Waterbedrijf Groningen deel uit hebben gemaakt van voornoemd incident. Geen aanwijzingen zijn er geweest dat door dit ransomware incident systemen van Waterbedrijf Groningen zijn geraakt.
Rekening houdend met geldende wetgeving hebben wij gedurende het verloop van dit incident de Autoriteit Persoonsgegevens geïnformeerd over het datalek bij AddComm. Verder hebben wij al onze klanten via onze website en via persoonlijke berichtgeving geïnformeerd over het datalek en benadrukt alert te zijn op phishing mails. Hierbij hebben wij ons laten adviseren door een gespecialiseerd jurist. De met Addcomm gemaakte afspraken alsmede de getroffen maatregelen voor wat betreft de cybersecurity zullen wij in de komende periode evalueren in het licht van dit incident en we zullen bepalen of aanpassingen in bestaande maatregelen of nieuwe maatregelen noodzakelijk zijn.
Strategische risico's
| Risico | Beheersmaatregelen |
| Kwaliteitseffecten drinkwater door verontreiniging bron door nieuwe, onbekende, opkomende stoffen. | - Voorkomen van vervuiling door actief omgevings-management waarbij de focus ligt op ontwikkelingen met potentiële invloed op de kwaliteit van onze drink-waterbronnen. - Tijdig signaleren van kwaliteitsverandering op basis van risico gestuurde monitoring van de drinkwaterkwaliteit. - Borgen dat gebruikte zuiveringstechnieken voldoende zijn afgestemd op kwaliteitsveranderingen drinkwaterbronnen. |
| Leveringszekerheid onder druk vanwege onvoldoende broncapaciteit | - Uitvoeringsprogramma ‘Watertransitie Groningen’ (grondslag: Watervoorzieningsplan). Doel van dit plan is om de watervraag en het aanbod in evenwicht te brengen, rekening houdend met de wettelijk voorgeschreven (strategische en operationele) reserve-capaciteit. Dit programma kent vijf bouwstenen gericht op voorkomen van verspilling (eigen bedrijfsvoering), waterbesparing en vergroting broncapaciteit. |
| Groeiende onzekerheid rond wetgeving (zorg- en leveringsplicht en ruimtelijke ordeningsvraagstukken) en toenemende omgevingsdruk natuurwetgeving met potentieel negatieve impact op drinkwateractiviteiten. | - Actieve lobby - in Vewin verband – om de drinkwaterbelangen bij ontwikkeling van wetgeving voldoende te borgen. - Omgevingsmanagement en actieve participatie in diverse overleggremia om het belang van beschikbaarheid drinkwater te duiden. Dit vanuit een breed perspectief: ruimtelijke ordening, vestigingsklimaat, milieu en energietransitie. |
| Drinkwaterinfrastructuur voldoet op lange termijn onvoldoende aan de eisen van leveringszekerheid en/of drinkwaterkwaliteit. | - Gecertificeerd assetmanagementsysteem gebaseerd op de kwaliteitseisen van ISO 55001. - Gebruik van asset bedrijfsnomen die minimaal, maar veelal strinenter, voldoen aan de wettelijk voorgeschreven eisen. - Proactief onderhoud aan assets en gebruik van lange termijn investeringsprogramma’s, mede gebaseerd op een onderliggende risicomatrix en met een eenduidige prioritering. - Voortgangsbewaking uitvoering lange termijn investeringsprogramma. |
Operationele risico's
| Risico | Beheersmaatregelen |
| Leveringszekerheid bij calamiteiten. | - Redundantie in drinkwaterinfrastructuur, mede gebaseerd op leveringszekerheid- en risicoanalyses en toepassing van de wettelijke normstelling of stringentere eigen bedrijfsnormen. - Beheer, monitoring en periodieke inspectie drinkwaterinfrastructuur (basis voor ons meerjarig assetmanagementplan). - Beveiligings- en crisismanagement (‘stand-by’ crisisorganisatie, kennisonderhoud via toolboxen). - Periodieke calamiteitenoefeningen zowel intern als met externe stakeholders. - Aanhouden van voorraden van kritische materialen. |
| Verstoring drinkwaterlevering als gevolg van aan gaswinning gerelateerde aardbevingen. | - Gerichte inspectie bedrijfsmiddelen (w.o. distributiepompstation Appingedam) op zichtbare schade en aardbevingsbestendigheid. Extern onderzoek aardbevingsbestendigheid van een specifiek leidingtracé. - Toepassing beschikbare technische bouwnormen voor aardbevingsbestendigheid. - Preventief redundant uitvoeren leidingtracé richting de Eemshaven. |
| Ontoereikende dienstverlening aan drinkwaterklanten (imagoschade en ontevreden klanten). | - Monitoring klanttevredenheid en verpersoonlijken van klantcommunicatie. - Klachtenregistratie en analyse gericht op procesverbetering en vergroten klanttevredenheid. - Bedrijfsbrede aandacht voor het centraal plaatsen van onze klant(wensen) binnen onze bedrijfsvoering. - Accountmanagersoverleg (groot)zakelijke klanten en onderhouden van contacten met zakelijke klanten en waterketenpartners via het Waterbedrijf Groningen watertransitie evenement. |
| Onveilige werkomgeving (fysiek en/of sociaal). | - Uitvoeren van Risico-inventarisatie en Evaluatie en het gebruik van project-specifieke ‘V&G plannen’. - Bedrijf breed toepassen van de veiligheidsnormen van het VCA** systeem. Verplichte opleiding VCA (VOL). - Periodiek veiligheidsoverleg met leidinggevend kader en veiligheidsambassadeurs en het houden van toolbox meetings. - Hantering van de veiligheidscultuurladder en invoering van ‘Life Saving Rules’. - Aanwezigheid van externe vertrouwenspersoon en gerichte communicatie aan medewerkers om ongewenste omgangsvormen te melden. |
| Onvoldoende gekwalificeerd personeel en kennisverlies organisatie. | - Strategische personeelsplanning gericht op het tijdig invullen van toekomstige resource behoeften, waar nodig door vroegtijdig (boven formatie) te werven, en duurzame inzetbaarheid van medewerkers. - Arbeidsmarktcommunicatie afgestemd op externe verwachtingen, met gebruikmaking van passende communicatiekanalen en uitingen. - Onderhouden van contacten met onderwijsinstellingen, geven van gastlessen, aanbieden van stageplaatsen en participeren in de Stichting AOT Noord. - Vergroten digitale vaardigheden en kennis. |
| Verlies van essentiële data voor bedrijfsvoering als gevolg van ontoereikende informatiebeveiliging en cybercrime. | - Beveiligingsmaatregelen zowel technisch als procedureel o.a. afgestemd op eenduidig beveiligingsbeleid, Algemene Verordening Gegevensbescherming (AVG) en richtlijnen voor Netwerk- en Informatiebeveiliging (NIB richtlijnen). - Periodieke externe toetsing (cyber testen, WBNI audit) en gestructureerde cyber/calamiteitenoefeningen. - Implementatie ‘Information Security Management System’. - Netwerk monitoring en bewaking tijdige implementatie van software updates/patches. - Onderhouden contacten met Nationaal Cyber Security Center (NCSC), Nationaal Detectie Netwerk (NDN), Cybersecurity Netwerk Drinkwaterbedrijven en Water-ISAC. - Vergroten awareness medewerkers via opleiding, training en table-top oefeningen. |
| Kwaliteitsrisico’s drinkwater door onvoldoende fysieke beveiliging productielocaties. | - Fysieke barrières en beveiligingsschillen om indringers op relevante (delen van) locaties te weren. |
Financiële risico's
| Risico | Beheersmaatregelen |
| Financierbaarheid van toekomstige investeringsopgave. | - Monitoring ontwikkeling (financiële) ratio’s middellange termijn, mede in relatie tot leningsconvenanten en algemene toetsingscriteria kapitaalmarkt. - Periodiek overleg met banken en intermediairs. - Optimaal benutten van de wettelijk toelaatbare kapitaalvergoeding voor eigen en vreemd vermogen (WACC). - Actieve lobby - in Vewin verband – om de WACC berekeningswijze meer in overeenstemming te brengen met de kapitaalbehoefte voortvloeiend uit de meerjarige investeringsopgave. |
| Volatiliteit in de drinkwaterafzet leidende tot onder-/overschrijding van de WACC | - Overleg met IenW om te komen tot wijzigingen in de toepassing van de WACC (regeling tot middeling). - Voorspelbaarheid afzet via trendanalyses en accountmanagersoverleg zakelijke afnemers. |
| Onvoorziene rentedruk op drinkwatertarieven. | - Aangaan van langlopende vastrentende financieringsovereenkomsten. - Terughoudend gebruik van derivaatconstructies en het uitsluiten van zogenaamde open (derivaten) posities. |
| Afboeken van openstaande (water) debiteuren. | - Monitoring openstaande debiteurenposities gericht op ‘vroeg-signalering’ en hantering van een incassobeleid afgestemd op wettelijke voorschriften (contactmomenten en huisbezoek), inzet schuldhulpverlening en mogelijkheid tot termijnbetalingen. - Toepassen van het tussen Vewin en NVVK afgesloten convenant, ter voorkoming dat klanten worden afgesloten van drinkwater. |
| Risico’s samenhangend met niet drinkwateractiviteiten hebben hun weerslag op de wettelijke drinkwateractiviteiten. | - Niet drinkwateractiviteiten zijn ondergebracht in afzonderlijke juridische entiteiten. - Geen (moeder)garanties vanuit N.V. Waterbedrijf Groningen aan joint ventures en dochter- / werkmaatschappijen. |
Compliance risico's
| Risico | Beheersmaatregelen |
| Non-compliance aan wet- en regelgeving. | - Monitoring ontwikkelingen geldende wetgeving mede aan de hand van geïmplementeerd vergunningen en wetgevingssysteem. - Afstemming (en beïnvloeding) ontwikkelingen wet- en regelgeving binnen brancheorganisatie Vewin. - Periodiek overleg toezichthoudende instanties. - Roadmap tijdige implementatie Corporate Sustainability Reporting Directive (CSRD). |
| Fraude en integriteitsrisico’s door te ruime bevoegdheden of onvoldoende controls. | - Voldoende functiescheiding. - Gedragscodes en classificatie van functies naar fraudegevoeligheid met daaraan gekoppeld een eenduidig screeningsbeleid. |
