Het risicoprofiel is een actueel overzicht van verschillende strategische risico’s die de provincie onderkent. Het is altijd een momentopname, omdat de risico’s in de loop van de tijd veranderen. Het geschetste risicoprofiel is een actualisatie van het risicoprofiel uit de Jaarstukken 2022.
De omvang van de risico’s wordt bepaald door de combinatie van kans en financiële impact, of met behulp van een probabilistische raming (Monte Carlo-methode). Op deze wijze worden de risico’s gekwantificeerd, waarna er op basis van omvang een volgorde in de risicolijst wordt aangebracht. Dit leidt tot een opsomming van risico’s met een substantiële financiële impact. De kwantificering is een instrument om gewicht te geven aan de genoemde risico’s en dit af te zetten tegen de weerstandscapaciteit. Als de risico’s zich daadwerkelijk voordoen, zal van geval tot geval worden bezien wat de daadwerkelijke financiële impact is en op welke wijze hiermee wordt omgegaan. Dit kan leiden tot bijstelling van de ambities, het opvangen van de financiële effecten binnen de bestaande budgetten of het inzetten van de weerstandscapaciteit.
In onderstaande tabel 2.1 is de onderverdeling in kanspercentages weergegeven.
Tabel 2.1: Classificatieschema kans
Score kans | Percentage |
---|---|
Zeer klein | 10% |
Klein | 25% |
Matig | 50% |
Groot | 75% |
Zeer groot | 90% |
De kwantificering van de financiële (maar ook niet financiële) impact van de risico’s is gebaseerd op het classificatieschema zoals weergegeven in tabel 2.2.
Tabel 2.2: Classificatieschema impact
Score impact | Schades (financieel/ | Imago | Informatieveiligheid | Veiligheid (letsel) | Proces |
---|---|---|---|---|---|
1 Zeer klein | < € 250.000 | Enkele personen binnen de provincie | Openbaar: alle informatie die algemeen toegankelijk is voor eenieder. Er is geen schending van deze classificatie mogelijk. | EHBO | Weinig tot geen vertraging in het proces |
2 Klein | ≥ € 250.000 | Gehele provincie | Bedrijfsvertrouwelijk: informatie die toegankelijk mag of moet zijn voor alle medewerkers van de eigen organisatie(s). Vertrouwelijkheid is gering. Schending van deze classificatie kan enige (in)directe schade toebrengen. | Gering letsel | Lichte vertraging in het proces |
3 Matig | ≥ € 500.000 | Plaatselijke pers | Vertrouwelijk: informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers. De informatie wordt ter beschikking gesteld op basis van vertrouwen. Schending van deze classificatie kan serieuze (in)directe schade toebrengen | Blijvend invalide | Hinderlijke vertraging in het proces |
4 Groot | ≥ € 3.000.000 – | Regionale pers | Zeer vertrouwelijk: dit betreft gevoelige informatie die alleen toegankelijk mag zijn voor de direct geadresseerde. Schending van deze classificatie kan zeer grote schade toebrengen. | Catastrofaal (enkel persoon) | Ernstige vertraging in het proces |
5 Zeer groot | ≥ € 7.500.000 | Landelijke pers | Geheim: dit betreft zeer gevoelige informatie die alleen toegankelijk mag zijn voor de direct geadresseerde. Schending van deze classificatie kan catastrofale schade toebrengen. | Catastrofaal (meerdere personen) | Het proces stopt |
In tabel 2.3 zijn de belangrijkste financiële risico’s opgenomen. Een nadere toelichting op deze risico’s is terug te vinden in paragraaf 2.5.
Tabel 2.3: Risicoprofiel
Nr. | Omschrijving risico | Financiële impact | Kans | Incidenteel / structureel (factor 3) | Risicobedrag (kans x impact x factor) | Risicobedrag (kans x impact x factor) | Opmerking | |
---|---|---|---|---|---|---|---|---|
1 | Maritieme Servicehaven (MSNF) | n.v.t (MC) | n.v.t | incidenteel | € 4,0 | € 4,0 | ||
2 | Persoonsgegevens (AVG) | € 8,0 | 40% | incidenteel | € 0,4 | € 3,4 | (1) | |
3 | Informatieveiligheid | € 10,0 | 20% | incidenteel | € 0,6 | € 2,0 | (2) | |
4 | Innovatiepaviljoen (Floriade) | € 1,8 | 100% | incidenteel | € 1,4 | € 1,8 | (3) | |
5 | Grote Infrastructurele projecten | n.v.t (MC) | n.v.t | structureel | € 0,9 | € 1,3 | (4) | |
6 | Nazorgfonds | € 0,8 | 50% | incidenteel | € 0,4 | € 0,4 | ||
7 | OMALA | € 2,6 | 10% | incidenteel | € 0,3 | € 0,3 | ||
8 | Informatie-voorziening | € 2,5 | 10% | incidenteel | € 0,3 | € 0,3 | ||
9 | APPA (Algemene Pensioenwet politieke Ambtsdragers) | € 0,5 | 50% | incidenteel | € 0,3 | € 0,3 | ||
10 | Overige risico's | n.v.t. | n.v.t. | n.v.t. | € 0,3 | € 0,2 | ||
Totaal | € 8,8 | € 13,9 | ||||||
afgerond op € 1 mln. |
Het actuele risicoprofiel van provincie Flevoland is (afgerond) ca. € 13,9 mln. In vergelijking met de Begroting 2023 een toename van ca. € 5,1 mln.
De weging van de risico’s in tabel 2.3 is bepaald door de verwachtingswaardemethode. Uitzonderingen zijn 'Maritieme Servicehaven Noordelijk Flevoland (MSNF)' en 'Grote Infrastructurele Projecten', die grotendeels zijn gebaseerd op een Monte Carlo simulatie. Bij de verwachtingswaarde methode wordt gerekend met de formule: kans x impact. Indien het een structureel risico betreft wordt de uitkomst van de kans x impact vermenigvuldigd met de factor 3, overeenkomstig de vastgestelde 'Nota Risico en Weerstandsvermogen 2021'.
Mutaties
De (voornaamste) mutaties van de risico’s (nieuwe en bestaande) ten opzichte van de Programmabegroting 2023 zijn:
- Het risico op persoonsgegevens is toegenomen naar aanleiding van de uitkomsten een interne AVG-compliance analyse. De uitkomsten zijn gekwantificeerd aan de hand van het boetebesluit van de Autoriteit Persoonsgegevens.
- Het risico op informatieveiligheid is toegenomen. De financiële impact neemt in verhoogde mate toe, een cyberaanval kan direct leiden tot een ernstige verstoring van kerntaken van de provincie.
- Het risico omtrent het Innovatiepaviljoen Floriade is toegenomen als gevolg van het voornemen het paviljoen minimaal tot 2030 in eigendom te houden en te gaan exploiteren.
- Het risico van grote infrastructurele projecten is toegenomen onder meer door de substantiële prijsstijgingen.
De post 'Overige risico’s' betreft de som van de overige financiële risico’s.
Voor risico’s, waarop de provincie voldoende invloed heeft, worden passende beheersmaatregelen genomen. Hierbij wordt een afweging gemaakt tussen de mate waarin het risico kan worden beperkt en de kosten hiervan.