De governancestructuur van ROVA voorziet in een samenstel van beleid, processen en (controle)maatregelen om integer handelen te stimuleren en fraude te voorkomen en te detecteren. Het hanteren en voortdurend actualiseren van ons fraude- en risicobeheersysteem heeft de volgende doelen:

• Voldoen aan wet- en regelgeving (compliance);
• Beschermen van de financiële belangen van ROVA en haar aandeelhouders;
• Opbouwen en behouden van vertrouwen van gemeenten, inwoners en toeleveranciers;
• Beschermen van de reputatie van ROVA.

Binnen het fraude- en risicobeheersysteem maken we gebruik van technische maatregelen zoals:

• Toegangsbeheer (Access control). Dit betreft Multi Factor Authentification (MFA) en functie specifieke toegang tot systemen en informatie;
• Security Controls, waaronder firewallbeveiliging, logging en gebruik van Securiy Operations Center (SOC) ondergebracht bij Unica waarbij realtime monitoring plaatsvindt op o.a. ongebruikelijke zaken m.b.t. toegang tot de ROVA omgeving.

In aanvulling op deze technische maatregelen passen we diverse organisatorische maatregelen toe zoals:

• Toepassen van functiescheiding en waar nodig vier-ogenprincipe;
• Vastleggen van bevoegdheden, denk hierbij aan bevoegdhedenregeling, die we in 2026 verder ondersteunen met de inrichting van een Purchase-to-Pay proces;
• Hanteren van huis/gedragsregels en indien mogelijk uitvoeren van controle hierop (bijv. controle op privégebruik bedrijfsvoertuigen (DTS units) en toepassen van sanctiebeleid in geval van overtredingen;
• Het kunnen doen van meldingen bij een vertrouwenspersoon en het hanteren van een klokkenluidersregeling. Medewerkers moeten zich vrij voelen om elkaar aan te spreken, maar ook om klachten en vermoedens van misstanden of onregelmatigheden vertrouwelijk te melden. 

Enerzijds hebben we het dus over zogenaamde ‘soft controls’ gericht op houding en gedrag van de medewerkers (zoals bewustwording, verantwoordelijkheid nemen, normen en waarden). Anderzijds betreft het zogenaamde ‘hard controls’ gericht op zakelijke aspecten van de bedrijfsvoering (zoals technische maatregelen, reglementen, procedures en bevoegdheden). 

Cyberfraude

Extra aandacht gaat uit naar de risico’s van cyberfraude. Informatiebeveiliging en het trainen van de cybervaardigheid van onze medewerkers staan hoog op de agenda om de risico’s met betrekking tot phishing, malware aanvallen, ransomware en datalekken te voorkomen. In het verslagjaar hebben we ons informatiebeveiligingsbeleid geactualiseerd en hebben we een cybercalamiteit respons plan opgesteld.

Gedragsregels

Binnen ROVA gelden heldere gedragsregels voor directie en medewerkers. Deze gedragsregels zijn vastgelegd in bedrijfsreglementen die directie en ondernemingsraad hebben ondertekend. De naleving hiervan is onderdeel van de normale functievervulling waarop het bestuur en management binnen de organisatie toeziet. Jaarlijks worden de gedragsregels geëvalueerd door directie, ondernemingsraad en RvC. 

Belangenverstrengeling

Belangrijk onderdeel in dit beleid is ook het voorkomen van belangenverstrengeling. In het kader van toezicht op belangenverstrengeling zijn alle medewerkers, leden van de directie en leden van de RvC verplicht hun nevenactiviteiten te rapporteren, zodat deze voortdurend kunnen worden getoetst op mogelijke tegenstrijdige belangen met de organisatie. In het verslagjaar zijn geen tegenstrijdige belangen aangetroffen.

Klokkenluidersregeling en Vertrouwenspersoon

De organisatie beschikt over een klokkenluidersregeling. Het doel van deze regeling is de integriteit van ROVA te waarborgen en erop toe te zien dat medewerkers op een adequate en veilige manier melding kunnen doen van eventuele (vermoedens van) misstanden in de organisatie. In het verslagjaar is geen gebruik gemaakt van de klokkenluidersregeling. Ook beschikt ROVA over een (externe) vertrouwenspersoon waar medewerkers (vermoedens) van misstanden vertrouwelijk kunnen melden. In het verslagjaar zijn geen meldingen gedaan bij de vertrouwenspersoon.