Risicomanagement helpt ons om risico’s voor het behalen van onze doelen op tijd te onderkennen en beheersen. Onze aanpak is geïntegreerd in de planning- en controlcyclus en in de reguliere processen. We stimuleren het risicobewustzijn binnen de organisatie en moedigen medewerkers aan om goed met risico’s om te gaan.
Met risicomanagement beheersen we niet alleen risico’s, we zorgen ook voor waardecreatie en –behoud, verbetering van prestaties en de zekerheid dat we voldoen aan wet- en regelgeving.
Met risico-assessments identificeren en analyseren we risico’s op alle niveaus in de organisatie. Op basis daarvan nemen we maatregelen. Het management is verantwoordelijk voor risicobeheersing. Daarbij krijgt het steun van onze business controllers en andere staffuncties. De groeps-risicomanagers van de afdeling Internal Audit & Risk coördineren het risicomanagementproces.
Risicomodel
Enexis hanteert voor risicomanagement het COSO ERM-model en het Three Lines Model, wereldwijde standaards op het gebied van risicomanagement.
In 2022 hebben we de effectiviteit van onze risicomanagementprocessen laten onderzoeken door een extern bureau. Hieruit bleek dat onze risicomanagementaanpak in de basis op orde is en dat de verschillende processen goed en effectief zijn ingericht. Op basis van onder andere de resultaten van dit onderzoek hebben we een risk roadmap opgesteld om ons risicomanagement verder te ontwikkelen van proces- naar business-georiënteerd.
We hebben onze risicomanagementprocessen opgesplitst in strategisch en operationeel risicomanagement. De uitkomsten van de strategische en operationele risicoanalyse worden gerapporteerd aan en besproken in de auditcommissie. Dit proces stelt de raad van bestuur in staat een bestuursverklaring af te geven.
Strategisch risicomanagement
Bij onze strategische risicoanalyse identificeren we gebeurtenissen die de realisatie van onze strategische doelen of de continuïteit van Enexis bedreigen. Ook als gebeurtenissen zich daadwerkelijk voordoen, maar de impact en mate van beheersing onzeker zijn, blijven we deze behandelen als een strategisch risico.
Afdelingen inventariseren jaarlijks de voor hen relevante strategische risico’s en beschrijven deze op een risicokaart. Na deze inventarisatie worden de risico’s geanalyseerd en gewaardeerd. Hierbij maken we een inschatting van de kans dat een gebeurtenis zich voordoet en de impact van die gebeurtenis op een of meerdere bedrijfswaarden. We gebruiken hiervoor een risicomatrix, waarin per bedrijfswaarde de risicobereidheid van Enexis is weergegeven. Vervolgens clusteren we vergelijkbare risico’s op groepsniveau. De raad van bestuur bespreekt en waardeert deze geclusterde risico’s.
Risico’s met een score ‘hoog’ vallen boven de risicobereidheid. Bij deze risico’s nemen we maatregelen, met als doel dat ze terugvallen naar de score ‘midden’. Het management bepaalt of er bij een risico met een score ‘midden’ aanvullende maatregelen nodig zijn.
Elk strategisch risico krijgt een eigenaar. Die is verantwoordelijk voor het nemen van passende maatregelen en volgt de ontwikkeling van het risico. De risicomaatregelen worden verwerkt in de bedrijfsplannen. Het management bewaakt via de planning- en controlcyclus de ontwikkeling van de risico’s en de effectiviteit van de maatregelen. De ontwikkelingen van de belangrijkste strategische risico’s worden periodiek door de eigenaren gerapporteerd aan de raad van bestuur.
Operationeel risicomanagement
Via operationele risicoanalyses identificeren we op tactisch en operationeel niveau risico’s die een bedreiging vormen voor de bedrijfsprocessen van Enexis. Hierbij nemen we de risico’s mee die zijn voortgekomen uit periodieke compliance-, privacy-, security- en datamanagement-analyses. We streven ernaar om risico’s en maatregelen geïntegreerd vast te leggen in ons internal control framework (ICF).
Het management beoordeelt tweemaal per jaar de werking van de belangrijkste beheersmaatregelen via een control self assessment (CSA). Managers kijken daarbij zelf in hoeverre de risico’s worden beheerst. Het afdelingsmanagement weegt de uitkomsten van het CSA en voegt die zo nodig toe aan de interne letter of representation (LOR). Op die manier verklaren de afdelingen aan de raad van bestuur in hoeverre het geheel aan interne risicobeheersing- en controlesystemen op orde is.
Naast de hard controls in het ICF besteden we ook aandacht aan soft controls. Die zijn gericht op integer gedrag, bevlogenheid en onderlinge samenwerking. Onze interne integriteitscommissie heeft aandacht voor integriteit en de beheersing van frauderisico’s. Hiertoe voert zij periodiek een fraude-risicoanalyse uit.
De onderkende strategische risico’s
Hieronder zijn de strategische risico’s beschreven. Specifieke risico’s met betrekking tot de financiële instrumenten hebben we beschreven in de toelichting op de jaarrekening.
A. Klantvraag kan onvoldoende tijdig worden gerealiseerd door schaarste van personeel, materiaal en/of netwerkcapaciteit
Dit risico lopen we
De klantvraag groeit snel, zowel aan de kant van duurzame energieleveranciers als aan de kant van gebruikers. Dit komt onder andere door de vervanging van gas door elektriciteit. De benodigde capaciteit overstijgt de transportmogelijkheden in ons elektriciteitsnetwerk en van het landelijke hoogspanningsnet van TenneT. Daarnaast hebben we te maken met erg lange doorlooptijden van netuitbreidingen en schaarste aan technisch personeel. De gevolgen van deze schaarste kunnen we maar gedeeltelijk opvangen door efficiency. De komende vijf jaar verwachten we een grote uitstroom van ervaren medewerkers die met pensioen gaan. De onzekerheid of wij en onze aannemers voldoende technisch personeel kunnen werven, is groot. Alleen al vanwege de sterke afname in ervaringsjaren zal de capaciteit zowel intern als extern – bijvoorbeeld via samenwerking met aannemers - flink moeten groeien.
Tot slot hebben we te maken met schaarste aan materiaal. Door fluctuatie in de vraag is het lastig om de materiaalbehoefte goed in te schatten. Maar ook door de omstandigheden op de inkoopmarkt is de kans groter geworden dat we niet op het juiste moment over het juiste aantal of het juiste soort materialen beschikken.
Het risico bestaat dat we de verwachtingen van klanten niet kunnen waarmaken en dat dit leidt tot een negatief sentiment in de maatschappij. Ook kan het discussie oproepen over onze license to operate.
Zo verkleinen we het risico
Door proactief te investeren op basis van de Regionale Energiestrategieën (RES) en Cluster Energiestrategieën (CES) anticipeert Enexis op toekomstige ontwikkelingen. We proberen de groei van duurzame opwekkers en afnemers te sturen naar gebieden waar nog wél transportcapaciteit in het net is, zetten in op congestiemanagement en flexcontracten met batterijen.
Voor wat betreft personeel hebben we een scala aan maatregelen getroffen om de uitstroom van medewerkers terug te dringen, de instroom van nieuwe medewerkers te bevorderen en de interne opleidingen te optimaliseren.
En om materiaalschaarste tegen te gaan, hebben we op basis van de langetermijnplannen categorieplannen ontwikkeld, gericht op de toekomstige beschikbaarheid van materialen. Ook hebben we een supply chain roadmap opgesteld met verbeterinitiatieven die leiden tot een betere beschikbaarheid van materialen.
Zo hoog schatten we het risico in
Door deze maatregelen is het risico gelijk aan dat van vorig jaar; het is niet verder gestegen.
Meer context over de toenemende klantvraag en schaarse netwerkcapaciteit is te vinden in het hoofdstuk iedereen toegang tot een betrouwbaar energienet.
B. Ongeautoriseerd gebruik van data en/of niet beschikbaar zijn van systemen door ontoereikende beveiligingsmaatregelen
Dit risico lopen we
De digitalisering in ons bedrijf neemt steeds verder toe. Dat brengt risico’s met zich mee. Zo kunnen clouddiensten voor langere tijd uitvallen. Daarbovenop neemt de dreiging van digitale aanvallen toe. Ongeautoriseerde toegang tot onze systemen en data kan leiden tot incidenten op het gebied van dataveiligheid, businesscontinuïteit en compliance (naleving van bijvoorbeeld de Algemene verordening gegevensbescherming).
Zo verkleinen we het risico
We hebben een breed scala aan structurele veiligheidsmaatregelen getroffen, zoals netwerksegmentatie, het meenemen van security eisen in aanbestedingen, audits, penetratietesten, veiligheidsscans en training en screening van medewerkers. Om onze operationele technologie te beschermen, nemen we specifieke maatregelen, zoals certificering van medewerkers, firewalls en security assessments op onze stations.
Verder classificeren we het IT-landschap om kritische componenten te identificeren, zodat we de juiste interne beheersmaatregelen te kunnen treffen. Voor de belangrijkste IT-leveranciers beoordeelt Enexis periodiek de beschikbare assuranceverklaringen en certificeringen om vast te stellen dat risico’s goed worden beheerst. Voor de kritische systemen hebben we continuïteitsplannen die we periodiek testen .
Zo hoog schatten we het risico in
Onder andere door de toegenomen activiteiten van cybercriminelen, georganiseerde criminaliteit en statelijke actoren schatten we de kans op dit risico hoger in dan vorig jaar.
Meer context over dit risico is te vinden in het hoofdstuk de proactieve borging van digitale veiligheid.
C. Ongevallen van medewerkers en/of omstanders als gevolg van onveilige situaties en/of falende assets
Dit risico lopen we
Werken aan energienetten brengt risico’s met zich mee voor de gezondheid van medewerkers en omstanders. Vanwege de aard van onze primaire processen – het werken aan de elektriciteits- en gasinfrastructuur in de publieke ruimte – is de kans op een ongeval met gevolgen voor de gezondheid altijd aanwezig. Ook als gevolg van falende bedrijfsmiddelen of materiaalfouten kunnen ernstige veiligheidsrisico’s ontstaan.
Zo verkleinen we het risico
Enexis geeft hoge prioriteit aan veiligheid. We analyseren continu het risico op onveilige situaties in onze elektriciteits- en gasnetten. We hebben een solide onderhouds- en vervangingsbeleid om de kans op onveilige situaties zo veel mogelijk te beperken. De publieke veiligheid van de gas- en elektriciteitsnetten en de voortgang van veiligheids-gedreven werk bewaken we via prestatie-indicatoren.
We versterken het veiligheidsbewustzijn en de alertheid van medewerkers en management. We letten op de veiligheidsperformance bij onze aannemers en er is verhoogde aandacht in de opvolging van de zogenoemde werkplekdialoog. In aansluiting op de nieuwe strategie en onze kernwaarden ‘duidelijk, lerend en inclusief’ willen we via een meerjarig traject doorgroeien naar trede 4 op de Veiligheidsladder.
Zo hoog schatten we het risico in
De kans neemt toe door een hoge instroom van nieuw (onervaren) personeel en ervaren werkdruk bij medewerkers. Ondanks dat medewerkers zorgvuldig getraind worden om met veiligheidsprocedures te werken, zien we een toename van het aantal incidenten en ongevallen bij zowel ervaren als onervaren collega’s.
Meer context over veiligheid is te vinden in het hoofdstuk veilige en gezonde werkomstandigheden.
D. Langdurige uitval netwerk door natuurrampen, intern falen of moedwillig handelen
Dit risico lopen we
Natuurrampen als aardbevingen en overstromingen en moedwillig handelen (waaronder terrorisme) kunnen ernstige storingen in onze netten veroorzaken. Ook neemt de dreiging toe van een tekort aan gas. Dit alles kan leiden tot omvangrijke en langdurige onderbreking van de energie-/gasvoorziening aan klanten.
Zo verkleinen we het risico
Om de kans op grote calamiteiten zo veel mogelijk te beperken, voeren we een onderhouds- en vervangingsbeleid. We hebben vervangende bedrijfsmiddelen die we snel kunnen inzetten bij noodsituaties, we scherpen onze crisismanagementplannen voortdurend aan en houden regelmatig crisisoefeningen. We hebben zowel preventieve als reactieve maatregelen gericht op aardbevingen (Groningen). Ook hebben we de overstromingsrisico’s geïnventariseerd. Maatregelen om de gevolgen van deze risico’s zo klein mogelijk te houden hebben we in kaart gebracht en zetten we om in actie.
Samen met de andere netbeheerders voeren we een uniform bewakingssysteem in voor hoogspanningsstations.
De ontwikkelingen in relatie tot de oorlog in Oekraïne en de (potentiële) consequenties worden actief gevolgd. Ook overleggen we intensief met het ministerie van Economische Zaken en Klimaat (EZK) over het landelijke Bescherm- en Herstelplan Gas.
Zo hoog schatten we het risico in
We schatten de kans op dit risico iets hoger in dan vorig jaar, onder andere vanwege de toegenomen fysieke dreigingen in Europa van aanvallen op energie-infrastructuren.
E. Financiële positie wordt slechter door prijseffecten en effecten van energietransitie en reguleringsmethodiek
Dit risico lopen we
De reguleringsmethodiek elektriciteit voor de periode 2022-2026 is niet berekend op de trendbreuk in investeringen en exploitatiekosten als gevolg van de energietransitie. En de nieuwe reguleringsmethodiek gas houdt geen rekening met een scenario waarin het gasverbruik en het aantal aansluitingen sneller dalen dan de kosten. Gevolg is dat kosten niet tijdig en niet volledig worden vergoed. Dit zet de financiële ratio’s en onze investeringsruimte onder druk. We hebben daarom behoefte aan extra kapitaal. Ook prijsrisico’s, vooral rentestijgingen en netverliezen, kunnen leiden tot een aanzienlijke extra behoefte aan eigen vermogen.
Zo verkleinen we het risico
Enexis is op meerdere fronten actief om extra middelen aan te trekken voor de financiering van de energietransitie. We spreken met meerdere stakeholders over het financieringsvraagstuk en werken aan interne efficiencyverbeteringen.
Met de Autoriteit Consument & Markt (ACM) zijn we in gesprek over de toekomst van de regulering. Ook hebben we samen met de andere netbeheerders beroep aangetekend bij het College van Beroep voor het bedrijfsleven (CBb) tegen het Methodebesluit elektriciteit.
Onze afdeling Treasury bewaakt en rapporteert de prijsrisico’s. Om het risico netverliezen elektriciteit en gas te beheersen, versnellen we de inkoop van energie tot en met 2026.
Zo hoog schatten we het risico in
We schatten dit risico even hoog in als in 2021: de financiële positie blijft een risico. Wel is de impact iets is gedaald, omdat er inmiddels een onderhandelingsakkoord is met het Rijk over een ‘Afsprakenkader’. Dit geeft ons de mogelijkheid om het eigen vermogen te versterken als dat nodig is.
Meer context over dit risico is te vinden in het hoofdstuk financieel solide blijven.
F. Gevolgen betalingsproblemen bij klanten en energieleveranciers door hoge energieprijzen
Dit risico lopen we
Als gevolg van hoge energieprijzen hebben meer klanten en energieleveranciers moeite om gas en elektriciteit te betalen. Dit kan leiden tot faillissementen van leveranciers en een incassorisico voor Enexis. Een toename van klanten zonder energiecontract leidt ook tot hogere operationele kosten en een toename van netverlies. Verder kan het leiden tot toenemende agressie van klanten richting medewerkers van Enexis.
Zo verkleinen we het risico
We bewaken continu de kredietwaardigheid van energieleveranciers en de garantiebepalingen. Daarnaast hanteren we een strak incassoproces. We houden onze procedures voor faillissementsaanvragen up-to-date, zodat we op tijd kunnen ingrijpen bij financiële problemen van energieleveranciers. Klanten zonder contract stimuleren we om een energiecontract af te sluiten. Binnen Enexis coördineert de Werkgroep Energiearmoede alle ontwikkelingen op dit thema. Netbeheer Nederland (NBNL) coördineert de afstemming met energieleveranciers en ACM/EZK.
Zo hoog schatten we het risico in
Het incassorisico als gevolg van faillissementen van leveranciers hebben we in het verleden ook onderkend. Vanwege de gevolgen van de instabiele energieprijzen, hebben we dit risico opnieuw opgevoerd.
G. Wendbaarheid Enexis onvoldoende om complexe en rigoureuze changes door te voeren
Dit risico lopen we
De energietransitie vereist dat we versnellen. Als we onvoldoende wendbaar zijn, wordt het moeilijk om snel in te spelen op veranderende regelgeving en klantbehoeften. Onze dienstverlening, slagvaardigheid en betrouwbaarheid kunnen daardoor in het gedrang komen. Dit doet een groot beroep op het vermogen van onze organisatie en medewerkers om te veranderen. We hebben de wil om te veranderen en te versnellen, maar er zijn ook belemmeringen. Zo hebben we complexe klantprocessen. Bij het doorvoeren van veranderingen spelen onzekerheden, die kunnen leiden tot hogere kosten, een langere doorlooptijd en onvoldoende aansluiting bij de beoogde strategie. Ook in de keten van marktfacilitering zijn er veel veranderingen waar we als netbeheerders op moeten anticiperen. Denk aan de nieuwe Energiewet en het mogelijk maken van flexibiliteitsmarkten/congestiemanagement.
Zo verkleinen we het risico
We nemen een scala aan maatregelen gericht op de wendbaarheid van onze klantprocessen, beheersing van complexe veranderprojecten en verhoging van het verandervermogen van personeel. We hebben al veel geïnvesteerd in gedrag, leiderschap, vitaliteit en de duurzame inzetbaarheid van medewerkers. Ook monitoren we periodiek hun bevlogenheid.
We onderzoeken waar we onze processen kunnen vereenvoudigen en onze wendbaarheid kunnen vergroten. We hebben geleerd van de knelpunten in grote programma’s van de afgelopen jaren. We hebben maatregelen getroffen om het risico op falende projecten te verkleinen, zoals beperking van de scope van projecten. We hebben roadmaps ontwikkeld voor verschillende waardenketens, zodat we de afhankelijkheden beter kunnen inventariseren. We streven naar verdergaande samenwerking met andere netbeheerders en delen steeds intensiever onze geleerde lessen en kennis met hen.
Zo hoog schatten we het risico in
De totale omvang van het risico schatten we per saldo op een gelijk niveau als vorig jaar.
Meer context over dit risico is te vinden in het hoofdstuk steeds slimmer werken.
H. Het faciliteren van de energietransitie kan worden belemmerd door een te beperkte taakomschrijving in de nieuwe Energiewet
Dit risico lopen we
Het ministerie van Economische Zaken en Klimaat (EZK) is begonnen met de ontwikkeling van de Energiewet. Hierin wordt zowel gas als elektriciteit meegenomen, net als de invoering van de Clean Energy Package. Het risico bestaat dat de nieuwe Energiewet een te beperkte taakomschrijving voor de netbeheerder bevat. Dit kan leiden tot vertraging of het niet kunnen realiseren van de doelen die Enexis heeft op gebied van de energietransitie.
Zo verkleinen we het risico
Om ons voor te bereiden op de invoering van de Energiewet hebben we onze interne organisatie opgeschaald. We stemmen onze reactie op de nieuwe versie van de Energiewet intensief af binnen de sector en via Netbeheer Nederland overleggen we met EZK.
Zo hoog schatten we het risico in
We zijn positief over de samenwerking binnen de sector en met de overheid, we schatten dit risico inmiddels in als laag.
Meer context over dit risico is te vinden in het hoofdstuk kennis en visie delen voor beleidsontwikkeling.