De provincie staat voor grote en complexe opgaven in een tijd van nationale en geopolitieke spanningen. Deze tijd van verandering vraagt om voldoende aanpassingsvermogen van de provincie. Risicomanagement draagt hier in belangrijke mate aan bij. Als we kijken naar de huidige risicoanalyse, zien we dat in de huidige top 10 een aantal grote risico’s niet langer zijn opgenomen. De belangrijkste wijziging is dat we met een grote mate van zekerheid kunnen stellen, dat de provincie in 2026 een nadeelprovincie zal zijn als we kijken naar de uitkering van het provinciefonds. Verder worden risico’s die betrekking hebben op financiële instrumenten conform nieuw beleid niet langer via de reserve weerstandsvermogen afgedekt. Deze risico’s zijn derhalve geen onderdeel meer van de risicoanalyse en hebben een daling van het benodigd weerstandsvermogen als gevolg.
De inventarisatie van risico’s leverde in totaal 103 risico’s op. Deze zijn opgenomen in ons risicomanagementsysteem. Van de 103 hebben 67 risico’s een financieel effect. Het totaalbedrag waarover we risico lopen bedraagt momenteel € 84,6 miljoen. Het is onwaarschijnlijk dat alle opgenomen risico’s zich tegelijkertijd voordoen. Daarom wordt jaarlijks een Monte Carlo-analyse uitgevoerd waarbij statistisch met 90% (landelijke norm) wordt berekend wat het benodigde weerstandsvermogen is. Hieruit blijkt dat € 11,7 miljoen voldoende is om alle risico's op te vangen.
In het onderstaande overzicht presenteren we de top 10 van het aantal risico's. Dit zijn de risico’s met de hoogste impact op het benodigd weerstandsvermogen. Deze risico’s zijn samen goed voor ongeveer 62% van de berekende omvang van het benodigd weerstandsvermogen. De Financiële Klasse is bepaald op het maximaal financieel risico. Als het verwachte financieel gevolg bekend is, is dat ingevuld onder financieel gevolg. Zo niet, dan is het maximale financieel gevolg ingevuld.
(bedragen x € 1 miljoen)
Nr | Risico | Kans | Financieel gevolg | Invloed |
|---|---|---|---|---|
1 | PFAS - 1 SPUK is niet voldoende om project uit te voeren | 47% | max.€ 5,0 | 15,01% |
2 | Er vindt een cyberincident plaats | 25% | max.€ 5,0 | 7.89% |
3 | Uitlekken van vertrouwelijke / privacy gevoelige of privacygevoelige informatie. | 20% | max.€ 5,0 | 6.30% |
4 | ICT gerelateerde voorvallen, waaronder uitval, etc. | 10% | max.€ 10,0 | 6.30% |
5 | Uitval kritieke operationele systemen | 45% | Max. € 1,0 | 5,98% |
6 | (HVH) Oude Tempel 16 Kans op hogere grondopbrengst | 20% | max.€ -2 | 5.01% |
7 | (VBS Woonwijk) Kans op hogere grondopbrengsten | 1% | max.€ -1,0 | 4.47% |
8 | (HvH en VBS) Algemeen - Hogere plankosten door netwerkcongestie en extra combinatierisico | 30% | max.€ 1,0 | 3.80% |
9 | Opstallen in ons bezit leveren bij verkoop minder op dan de waarde waarvoor ze op de balans zijn geactiveerd. | 10% | max.€ 5,0 | 3.17% |
10 | (HvH) Sortie16 4. De opbrengsten binnen project Sortie 16 zijn voorzichtig begroot om tegenvallers te voorkomen, maar er blijft een kans dat deze lager zijn dan verwacht. We zijn daarin afhankelijk van de markt. | 3% | max.€ 12,6 | 3.00% |
PFAS – Rijksbijdrage is niet voldoende om het project uit te voeren
Voor de sanering van de PFAS-verontreiniging van grond en grondwater op de voormalige Vliegbasis Soesterberg is van het rijk een bijdrage van 23,5 miljoen euro ontvangen. Er is nog veel onzekerheid over de toekomstige kosten, onder andere omdat er nog een saneringsvariant gekozen moet worden en ook omdat de normen voor sanering van het grondwater nog niet zijn bepaald. Het kan zijn dat dit bedrag op de lange termijn onvoldoende is, om de kosten te dekken. De ontvangen bijdrage van het rijk is een lump sum, indexering is dus niet aan de orde en daarmee komt de kostenstijging ook ten laste van het bestaande budget. De sanering start na de keuze van de saneringsvariant en het verkrijgen van de benodigde vergunningen. De saneringswerkzaamheden lopen, met name voor het reinigen van het grondwater, zeker meer dan 10 jaar door. Dit risico is opgenomen, omdat de sanering geen deel uitmaakt van de Grex-en.
Er vindt een cyberincident plaats
Het gevolg van een cyberincident kan zijn dat ICT-systemen en/of Operationele besturingssystemen niet beschikbaar zijn, of niet meer werken zoals gewenst. Ook bestaat de mogelijkheid dat systemen overgenomen worden met als doel fysieke schade aanbrengen, ontwrichting en/of desinformatie. Dit kan bijvoorbeeld betekenen dat bedrijfsprocessen niet uitvoerbaar zijn, ongewenste teksten op website van de provincie, rituitval voor het trambedrijf of verstoring van verkeerslichten.
Wij kunnen dit, ondanks getroffen beheersmaatregelen, niet helemaal voorkomen. De dreigingsbeelden van Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en Nationaal Cyber Security Centrum (NCSC) blijven onverminderd hoog vanuit criminaliteit en ook vanuit statelijke actoren. Onze inzet is bedoeld om de kans dat een cyberincident gebeurt te verminderen en de impact bij een incident te beperken. Er is een reële kans dat wij worden geconfronteerd met een cyberincident, zoals een hack, ransomware aanval
Door samenwerking tussen de provincies en de diensten vanuit NCSC, wordt dreigingsinformatie sneller ontvangen en ontstaat een (beter) situationeel beeld van de potentiële dreigingen. We kunnen aanvallen eerder detecteren, risico-inschattingen verbeteren en effecten van mitigerende maatregelen beter beoordelen.
Uitlekken van vertrouwelijke informatie
Naast AVG gerelateerde gevolgen, kan bijvoorbeeld informatie over vertrouwelijke besluitvorming openbaar worden met als mogelijk gevolg reputatieschade voor de provinciale en gedeputeerde staten.
De Meldplicht Datalekken zorgt ervoor dat organisaties die privacygevoelige gegevens opslaan en/of verwerken, verplicht zijn om een datalek bij de Autoriteit Persoonsgegevens te melden als er mogelijk risico’s voor de betrokkenen zijn. Het begrip datalek is hierbij breed gedefinieerd. Voorbeelden van een potentieel datalek zijn onder andere een verloren USB-stick of laptop, ongeoorloofde toegang tot systemen met persoonsgegevens of het versturen van een email met privacygevoelige gegevens naar een onjuiste persoon.
Het niet melden van dergelijke incidenten kan naast eventuele schadeclaims van derden ook leiden tot boetes van de toezichthouder. Ook nadat melding heeft plaatsgevonden kan de Autoriteit Persoonsgegevens een boete opleggen bijvoorbeeld wanneer betrokkenen niet of onvoldoende worden ingelicht, of bij onvoldoende zorgvuldige beveiliging van en omgang met privacygevoelige informatie. Onder de Europese AVG kunnen maximale boetes worden opgelegd tot (theoretisch) € 10 miljoen of 2% van de jaaromzet. De organisatie investeert blijvend in de kennis en in het bewustzijn van de medewerkers over dit onderwerp.
ICT- gerelateerde voorvallen
Door de toenemende digitalisering van ons werk neemt ook de afhankelijkheid van IT-middelen en services toe. Uitval of het niet beschikbaar zijn van IT-middelen en services heeft een grote impact op de continuïteit van onze werkzaamheden en onze bedrijfsvoering. We monitoren de beschikbaarheid van onze systemen dan ook continu en passen onze maatregelen daartoe aan. We hebben onder andere deze maatregelen actief:
- een (actueel) bedrijfscontinuïteitsplan;
- voldoende controle op toegang door autorisatie maatregelen (twee-factor authenticatie);
- zorgen voor uitwijkprocedures in overeenkomsten met leveranciers en hostingpartners en opvang bij stroomuitval (signalering en inschakelen experts bij uitval);
- moderniseren van ICT-infrastructuur en regelmatig onderwerpen aan een diepgaande risicoanalyse (DRA), waarbij nieuwe of aangepaste programmatuur grondig wordt getest voor implementatie. Deze medernisering is in gang gezet met het lopende programma ‘ICT-fundament op orde’, afronding 2026.
Uitval kritieke operationele systemen
Bij het trambedrijf kunnen de operationele systemen door een aantal oorzaken uitvallen met als gevolg rituitval. Belangrijkste oorzaken zijn storingen en hacking van het systeem. Storingen kunnen o.a. veroorzaakt worden door het veranderde klimaat, waardoor onderdelen bij extreme weersomstandigheden voortijdig uitvallen.
Oude Tempel (HvdH) – kans op hogere grondopbrengsten
De gemeente Soest werkt aan een definitief stedenbouwkundig plan voor Oude Tempel waarbij rekening wordt gehouden met ruimte voor de natuurmaatregelen. In dit risico wordt een bandbreedte aangegeven. Enerzijds kans op lagere grondopbrengsten doordat de maatregelen voor de natuur ten koste gaan van uitgeefbaar gebied of extra investeringen vragen. Anderzijds zijn ook hier de grondopbrengsten conservatief geraamd. Kans is dat de grondopbrengsten uiteindelijk hoger uitvallen. Dit betreft een algemeen risico.
Woonwijk Vliegbasis Soesterberg – Kans op hogere grondopbrengsten
De raming van de opbrengsten is conservatief. De kans is aanwezig dat, gezien de ligging van het terrein en de te bouwen woningen, de vraag groot zal zijn en dat kan leiden tot een hogere opbrengst. Zodra de programmering vast staat is een betere inschatting te maken van de verwachte opbrengsten. Zodra de marktpartijen geselecteerd zijn en de planuitwerking gereed is, worden de grondwaarden berekend. Dat is beter zicht op de grondopbrengsten.
(HvdH en VBS) – Hogere plankosten door netwerkcongestie en extra combinatierisico’s
Er is een aantal onderwerpen benoemd, die bij alle projecten een rol kunnen gaan spelen. Een voorbeeld is de netcongestie: grote bouwprojecten dreigen op een wachtlijst te komen voor een aansluiting op het water – en elektriciteitsnet, wat kan leiden tot uitstel en daarmee hogere plankosten. Ook wordt rekening gehouden met schaarste op de arbeidsmarkt, invoering van financieringsrente bij de provincie, extra tijd en kosten door Woo-procedures. Dit betreft een algemeen risico.
Opstallen in ons bezit leveren bij verkoop minder op dan de waarde op de balans
Bij het aankopen van agrarische grond worden soms ook opstallen gekocht. Als deze opstallen worden gekocht vanuit de grondbank is de afspraak dat deze binnen twee jaar weer verkocht gaan worden. Hiermee verkleinen wij de kans op verlies. Mocht er bij de verkoop een verlies optreden kan dit worden verrekend met de risicoreserve van de grondbank. Bij de aankopen die rechtstreeks worden gedaan vanuit een programma zullen de risico’s moeten worden opgevangen binnen de bestemmingsreserve van dit programma. Het gaat hier om het restrisico.
HvH) Sortie16 4 – Kans op lagere grondopbrengsten
De grondexploitaties worden jaarlijks geactualiseerd. Voor de grondopbrengsten wordt op basis van een woningbouwonderzoek nagegaan of de te verwachten opbrengsten nog in lijn liggen met de markt. Dat is het geval voor Sortie 16. Pas bij de aanbesteding van de civiele aannemer voor bouw- en woonrijp maken (verwacht in 2026) en na uitwerking van de bouwplannen en taxatie van residuele grondwaarde (verwachting 2027) is duidelijk of de geschatte opbrengsten en geschatte investeringen ook behaald worden. Deze kunnen beide zowel hoger als lager uitvallen.