4.3 Risico's en risicomanagement
Onze operatie gaat gepaard met onzekerheden. Door vooraf onze risicobereidheid te bepalen en risico’s actief te managen, zoeken we steeds de juiste balans tussen kansen benutten en risico’s beheersen. Een belangrijke leidraad hierin is onze bedrijfswaardenmatrix, die ons helpt een inschatting te maken van het effect van onze beslissingen op de doelstellingen van Vitens.
Ontwikkelingen in risicomanagementsysteem
In 2025 hebben we gesprekken gevoerd met onder andere de Raad van Bestuur, directeuren en experts om de risico’s en beheersmaatregelen, zoals geïdentificeerd in voorgaande jaren, te herijken. Bij de herijking is rekening gehouden met externe en interne ontwikkelingen (zoals de herinrichting van onze organisatie), wet- en regelgeving en belangen van onze stakeholders. Door risico’s te koppelen aan onze strategie en doelstellingen, borgen we dat risicobeheersing een vast onderdeel blijft van onze besluitvorming. De risico’s zijn besproken in het directieoverleg en met de RvB.
Daarnaast is gewerkt aan het verder integreren van de interne risicobeheersings- en controlesystemen in onze werkprocessen. Binnen de meeste afdelingen is een risicomanagement en compliance specialist aangewezen welke als eerste aanspreekpunt binnen de afdelingen fungeert. Deze (eerste lijn) contactpersonen gaan nauw samenwerken met de (tweede lijn) Risicomanager en Compliance officer om de beheersing van risico’s in de processen te verbeteren. We hebben sessies gehouden met externe risicospecialisten om verbetermogelijkheden te signaleren in de risico controle matrices op procesniveau en een plan van aanpak te maken ter verdere versterking van interne beheersing in de komende jaren.
Verder is een frauderisicoprofiel per afdeling opgesteld dat ons in staat stelt om, op een risicogebaseerde manier, onze fraudegevoelige activiteiten en processen integraal te monitoren en beheersen.
Risicomanagementproces
Risicomanagement is een cyclisch proces om risico’s te identificeren, maatregelen te selecteren en implementeren om onze risico’s te beheersen, met als doel verrassingen te voorkomen en besluitvorming te ondersteunen.
Het bestuur is verantwoordelijk voor het identificeren en beheersen van de risico’s verbonden aan Vitens’ strategie en activiteiten. Zij bepaalt hoe risicobereid we zijn als organisatie en stelt het beleid vast. Daarbij zorgt zij voor de juiste voorwaarden om risico’s goed te kunnen beheersen. De Raad van Commissarissen houdt toezicht op dit proces via de auditcommissie en bespreekt regelmatig de strategie, de uitvoering van de strategie en de daarmee samenhangende voornaamste risico’s.
Afdelingsdirecteuren signaleren risico’s binnen hun eigen werkgebied en nemen maatregelen om deze te beheersen. Zij vormen samen de eerste verdedigingslinie (first line): zij zorgen ervoor dat Vitens binnen de afgesproken risico grenzen blijft en signaleren samen met de procesmanagers risico’s op procesniveau en implementeren maatregelen in de processen.
De afdeling Interne Beheersing & Verbetering ondersteunt dit proces, zij zijn de tweede verdedigingslinie (second line). Zij zorgen dat we voldoen aan wet- en regelgeving, onderhouden het risicobeheersingsbeleid, begeleiden de afdelingen bij het uitvoeren van risicoanalyses, monitoren dit en rapporteren belangrijke kwesties aan het bestuur en auditcommissie.
De afdeling Interne Audit vormt de derde verdedigingslinie (third line) en voert interne audits uit en adviseert over verbeteringen in onze interne processen.
Overzicht belangrijkste risico’s
Binnen Vitens speelt risicomanagement een belangrijke rol bij het realiseren van onze strategische doelstellingen. Ieder jaar evalueren wij de risico’s die de grootste invloed kunnen hebben op het bereiken van onze strategische doelen, de topbedrijfsrisico’s. De sturing op deze beheersmaatregelen en de monitoring van de risico's zijn een essentieel onderdeel van onze planning- en controlcyclus. We werken elk risico uit door het te voorzien van een beheeraanpak en bijbehorende maatregelen, die we gedurende het jaar implementeren en monitoren. Onze risicobereidheid is zeer laag, gezien de aard van ons bedrijf.
De voor 2024 geïdentificeerde bedrijfsrisico’s zijn onveranderd in 2025 en zijn als volgt:
- Klimaatimpact
- Bestuurlijke maakbaarheid (van infrastructuur)
- Technische maakbaarheid (van infrastructuur)
- Financiële maakbaarheid (van infrastructuur)
- Cybersecurity
- Aantrekkelijk werkgeverschap
- Drukte in de ondergrond
Klimaatimpact
| Risicobeschrijving | Risicobeheersing | Risico-ontwikkeling |
|---|---|---|
| Vitens wil haar klimaatimpact verminderen en anticiperen op klimaatverandering, maar door de beperkte maakbaarheid van infrastructuur en de versnelling van klimaatverandering bestaat het risico dat klimaat- en impactdoelstellingen (2030 en 2050) niet tijdig worden gehaald. Extreme weersomstandigheden vergroten de kans op leidingbreuken en verminderde beschikbaarheid van zoet water. | · CO2-reductie: Integratie van reductieopgave in infrastructuurplannen en maatregelenlijst; ontwikkeling van prestatie-indicator voor CO2-impact van investeringsportfolio. · Adaptatie: Hogere eisen aan veerkracht/flexibiliteit in ontwerpstandaarden; preventief onderhoud en vervanging van hoogrisicoleidingen; budgetreservering voor snelle reparaties. · Waterbeschikbaarheid: Ontwikkeling streefstructuur met minder, duurzaam ingepaste winningen; samenwerking in Living Lab voor brondiversificatie; toepassing droogteschadebeleid. |
Het risicoprofiel neemt toe door snellere klimaatverandering (IPCC-rapport) en toename van weersextremen, zoals extra leidingbreuken door verzadigde bodems bij stormachtig weer. Adaptatiemaatregelen kunnen op korte termijn de CO2-footprint verhogen, maar zijn noodzakelijk voor lange termijn doelstellingen. |
Maakbaarheid
| Risicobeschrijving | Risicobeheersing | Risico-ontwikkeling |
|---|---|---|
| Vitens onderscheidt drie maakbaarheidsrisico’s die de tijdige realisatie van toekomstbestendige infrastructuur bedreigen: • Bestuurlijk: Complexe en langdurige vergunningsprocessen met onzekere uitkomsten. • Technisch: Beperkte capaciteit en middelen voor uitvoering van investeringen. • Financieel: Onvoldoende investeringsruimte om infrastructuur en liquiditeit op orde te houden. Als deze knelpunten niet worden opgelost, kan Vitens niet voldoen aan leveringszekerheid (24/7) en vergunningseisen. |
• Bestuurlijk: Intensieve samenwerking met stakeholders (agrariërs, natuurorganisaties, omwonenden) en integrale gebiedsontwikkeling om vergunningskansen te vergroten. • Technisch: Vorming van ‘Combi’s’ met marktpartijen, nieuwe aanbestedingsvormen, focus op waterbesparing, lekdetectie en reductie van productieverlies. • Financieel: Overleg met I&W en ACM over WACC-aanpassingen; keuzes in investeringsplan om strategische doelen gefaseerd te realiseren. |
Het risicoprofiel is op alle drie gebieden toegenomen door: • Arbeidsmarktkrapte, die samenwerking met marktpartijen bemoeilijkt. • Omgevingsrisico’s die effectiviteit van maatregelen beïnvloeden. • Beperkte financieringsruimte, waardoor strategische doelen later worden gehaald en operationele risico’s op korte termijn toenemen. Positieve trend: inzet van programma-bestuurder, verbeterde resourceplanning en ontwikkeling van meerjarenuitvoeringsplan vergroten voorspelbaarheid en beheersbaarheid. |
Cybersecurity
| Risicobeschrijving | Risicobeheersing | Risico-ontwikkeling |
|---|---|---|
| Vitens loopt risico op cyberaanvallen door interne en externe invloeden, met mogelijke sabotage van haar vitale taak als drinkwaterleverancier. Digitale dreigingen zoals phishing, ransomware, datalekken en aanvallen door statelijke actoren zijn permanent en hoog. | • Framework & beleid: Integrale beveiligingsbeleid met periodieke risicoanalyse, uitvoering van maatregelen en onafhankelijke toetsing. • Programmatische aanpak: Optimalisatie van organisatie, processen en systemen; secure-by-design voor alle digitale projecten. • Taskforce & testen: Permanente multidisciplinaire taskforce lost bevindingen uit penetratietesten direct op. • Governance: Vitens Security Board (VSB) stuurt cybersecurityprogramma en projecten. |
Digitale dreiging blijft hoog en ontwikkelt zich continu, inclusief technieken die bestaande maatregelen omzeilen (zoals tweefactorauthenticatie). Vitens moet voorbereid zijn op scenario’s waarin schadebeperking niet volstaat en bedrijfscontinuïteit met minimale digitale middelen moet worden geborgd |
Aantrekkelijk werkgeverschap
| Risicobeschrijving | Risicobeheersing | Risico-ontwikkeling |
|---|---|---|
| Door hoge uitstroom en krapte op de arbeidsmarkt bestaat het risico dat Vitens niet kan voldoen aan de recruitmentopgave en de kwantitatieve en kwalitatieve arbeidsbehoefte. Dit kan leiden tot het (deels) niet uitvoeren van werkzaamheden, met impact op continuïteit en projecten. | • Strategische personeelsplanning: Jaarlijkse analyse van formatie en talentbehoefte per afdeling. • Instroommaatregelen: Campusrecruitment, traineeships, werk-leertrajecten, zij-instroom, parttime na pensioen, drempelverlaging voor niet-Nederlandstaligen. • Employer branding & data: Vernieuwde brandingstrategie, website, datagedreven recruitment en gerichte campagnes. • Behoud & ontwikkeling: Leer- en ontwikkelpaden, samenwerking met sector voor CAO en arbeidsvoorwaarden. • Productiviteit: Standaardisatie van processen, samenwerking voor nieuwe werkmethoden, automatisering en digitalisering. |
Het risicoprofiel is toegenomen door aanhoudende arbeidsmarktkrapte en vergrijzing. Ondanks meer ingevulde vacatures kost werving meer tijd en inspanning. Structurele tekorten in techniek en ICT blijven bestaan. Zelfs bij maximale instroomopties is productiviteitsverbetering noodzakelijk om tekorten te mitigeren. Positief: MTO toont lichte verbetering in medewerkerstevredenheid, wat perspectief biedt voor verdere stappen in leiderschap en koers. |
Drukte in de ondergrond
| Risicobeschrijving | Risicobeheersing | Risico-ontwikkeling |
|---|---|---|
| Door toenemend gebruik van de ondergrond (energie, warmte, opslag) bestaat het risico dat grondwaterkwaliteit verslechtert en bronnen niet meer beschikbaar zijn voor waterwinning. Dit bedreigt de continuïteit en kwaliteit van drinkwaterlevering, nu en in de toekomst. | • Monitoring & adaptieve strategie: Dagelijkse bewaking van waterkwaliteit van bron tot tap; ontwikkeling van slimme watersystemen en flexibele winningen. • Wet- en regelgeving: Lobby via Vewin voor aanscherping bronbescherming; borging van drinkwaterbelangen in Beleidsnota Drinkwater en Drinkwaterbesluit. • Samenwerking & governance: Implementatie- en Uitvoeringsagenda met provincies, waterschappen, gemeenten en Rijk; actieve deelname aan werkgroepen (Kwetsbare gebieden, Diepe Ondergrond). • Preventie & toezicht: Agenderen van functiescheiding, registratie, vergunningen en handhaving bij provincies; interne afspraken en periodieke monitoring van nieuwe initiatieven. |
Het risicoprofiel blijft hoog en is toegenomen door frequente interacties tussen drinkwaterwinning en bodemenergie/geothermie. Positieve ontwikkelingen in samenwerking en beleid bieden perspectief, maar verkleinen de directe kans op risico nog niet. Vitens blijft proactief betrokken bij planprocessen en sectorinitiatieven om toekomstige handhaving en bescherming te versterken. |
Verklaring omtrent Risicobeheersing
Met ingang van verslagjaar 2025 is de herziene Nederlandse Corporate Governance Code van kracht, waarin de Verklaring omtrent Risicobeheersing (VOR) een centrale rol speelt. Voor Vitens betekent dit dat de nieuwe vereisten van toepassing zijn op het boekjaar 2025. De VOR verplicht het bestuur om in het bestuursverslag expliciet te verklaren in hoeverre de interne risicobeheersings- en controlesystemen effectief functioneren.
Vitens werkt gefaseerd toe naar een volledige onderbouwing van de effectiviteit van het interne risicobeheersings- en controlesysteem. In 2025 is het systeem verder ontwikkeld, maar Vitens acht het op dit moment nog niet mogelijk een volledige VOR af te geven.