Risicoparagraaf

Risicomanagement

Risicomanagement is essentieel voor het realiseren van onze strategische ambities. We inventariseren en beperken de risico’s die het behalen van onze doelen kunnen belemmeren.

Risicomanagement vormt om die reden een belangrijk onderdeel van de bedrijfsvoering. Onderdeel van het risicobeleid is dat we zorgvuldig afwegen welke risico’s Eneco loopt, welke beheersmaatregelen wij daar tegenover zetten en hoe we grip houden op de effectiviteit van deze maatregelen.

De Raad van Bestuur is verantwoordelijk voor het risicomanagement van de onderneming als geheel. Voor de inrichting van het risicomanagement gebruiken wij het ‘three lines of defense’-model. De Raad van Bestuur heeft de verantwoordelijkheid voor risicomanagement primair gedelegeerd aan de directeuren van de bedrijfsonderdelen ('eerste lijn'). Zij worden op dit punt ondersteund door functies als business control, de veiligheidsorganisatie en compliance ('tweede lijn'). De afdeling Group Risk Managament is verantwoordelijk voor de coördinatie van het risicomanagementproces. De Internal Audit-functie ('derde lijn') voert audits uit en rapporteert de resultaten aan de Raad van Bestuur en de Auditcommissie van de Raad van Commissarissen.

Eneco Control Risk Systeem 2015

Raamwerk risico- en performance management
  1. Het Strategisch Framework van Eneco Groep geeft het kader aan waarbinnen bedrijfsactiviteiten, die gericht zijn op het waarmaken van de missie van ons bedrijf, worden uitgevoerd. Hieruit worden strategische kpi’s bepaald op basis waarvan wordt gestuurd.
  2. Financieel-strategische prognoses helpen de Raad van Bestuur om een afweging te maken tussen strategische en financiële doelen en risico’s.
  3. Voor ieder significant risico bepalen we wat de mogelijke impact kan zijn op de risicocategorieën Financieel, Reputatie, Integriteit en Veiligheid. Op het vlak van financiën sturen wij via het financieel sturingskader op de voornaamste financiële randvoorwaarden van de strategie. Deze randvoorwaarden bevatten onder meer minimale vereisten voor de ratio’s voor solvabiliteit en kasstroom ten opzichte van de nettoschuld, met als richtlijn een kredietwaardigheidsbeoordeling rond de A– (Standard & Poor's). Dit gebeurt door een combinatie van gevoeligheidsanalyses, waaronder 'single event stress-testen' en scenario analyses.
  4. Op alle niveaus zijn risicobeheerssystemen ingericht, waarin weer specifieke risicobeperekende maatregelen besloten liggen. Voor de interne communicatie over risico’s wordt de 'Risico Heat Chart' gebruikt.
Risico's beheersen met ECRS

COSO-ERM, de wereldwijde standaard voor Enterprise Risk Management, vormt de basis voor het interne risicobeheersings- en controlesysteem van Eneco, het Eneco Control & Risk Systeem (ECRS). De eerste versie van het ECRS hebben we in 2005 geïntroduceerd. Elk jaar wordt het ECRS aangepast aan ontwikkelingen in risico’s, bedrijfsontwikkeling en externe invloeden. Het ECRS omvat een methode voor risico-inventarisatie, een set aan beheersmaatregelen en een methodiek waarmee het management zelf kan vaststellen of de toegepaste beheersmaatregelen effectief zijn (zie In Control-verklaring). Internal Audit voert audits uit over de kwaliteit van de uitgevoerde risicoanalyses en self-assessments.

Risicomanagement in 2015
  • In 2015 is een aantal afdelingen op het vlak van risicomanagement ondergebracht in de nieuwe afdeling Group Risk Management. Het doel van deze afdeling is om op termijn informatie en activiteiten rondom alle aspectgebieden van risicobeheersing, voor alle bedrijfsonderdelen van de Eneco Groep, integraal te benaderen en met elkaar te verbinden om zo een efficiënt en effectief risicobeheersingssysteem voor de Groep en de bedrijfsonderdelen te realiseren.
  • Internal Audit heeft in 2015 een start gemaakt met een ketengerichte auditaanpak. Deze aanpak moet leiden tot audits met meer businessrelevantie en een focus op strategie en transformatie.
  • Voor de beheersing van complexe ICT- en transformatieprojecten en -programma’s hebben we diverse verbeter- en controlemaatregelen getroffen.
  • Business Continuity Management is naar een hoger niveau gebracht; we zijn gestart met de integratie met het reguliere risicomanagement.
  • We hebben in 2015 bijzondere aandacht besteed aan het verhogen van het risicobewustzijn rondom de cybersecurity. Ons strategisch beleid voor informatieveiligheid is in 2015 geactualiseerd en geïmplementeerd.
Audit & Risk Committee

De directieteams van de verschillende bedrijfssegmenten bespreken periodiek de risico-inschattingen en de status van maatregelen die zijn gericht op het beperken en beheersen van risico's. In het Audit Risk Committee van de Raad van Bestuur worden de grootste risico’s en de maatregelen besproken. De Auditcommissie van de Raad van Commissarissen ziet toe op het adequaat functioneren van het geheel van risicobeheersactiviteiten. De risicogrenzen op ondernemingsniveau hebben we vastgelegd in diverse concrete beleidsverklaringen, codes en richtlijnen op gebieden als veiligheid, handelsmandaten, autorisatiebevoegdheden en gedrag.

Risicoclusters

Om overzicht te creëren en om de consolidatie en aggregatie van de risico’s en de maatregelen traceerbaar te houden, hebben we de risico’s in clusters ingedeeld, waarbij risico's verder verbijzonderd zijn.

De belangrijkste risico’s die samenhangen met onze strategische doelstellingen en de maatregelen die we treffen om deze risico's te beheersen worden verder toegelicht in het onderdeel Voortgang. Het betreft onder meer:

  • het risico van storingen in de levering van energie (zie Betrouwbare levering van energie),
  • onzeker toekomstig overheidsbeleid ten aanzien van de energietransitie, de lage CO2-prijs en dalende energieprijzen (zie Investeren in duurzame capaciteit en productie),
  • de wijzigende subsidieregimes, risico's rondom de ontwikkeling van de kapitaalintensieve projecten (zie Forse groei windenergie), 
  • risico in verband met het onvoldoende aantrekken van de juiste competenties en beperkte sturing op High Performance-cultuur ( zie Dynamische werkgever),
  • veiligheidsrisico’s waaronder de koolmonoxide-incidenten (zie Nieuwe veiligheidsrisico’s),
  • ICT risico's, waaronder cybersecurity en business continuity (zie Nieuwe veiligheidsrisico’s),
  • het risico van splitsing, veranderingen in de methodologie voor het vaststellen van credit rating door S&P, risico's ten aanzien van de regulering tarieven gereguleerd domein, compensatie overwinsten meetdomein, risico's betreffende de grootschalige uitrol van slimme meters en het risico op claims in verband met de aansluit- en transporttarieven (zie Transformatie en Rendement).
  • Financiële risico's die Eneco groep loopt worden besproken in toelichting 32 op de jaarrekening: Beheersing van de financiële risico's.
  • In het onderdeel Integriteit en Compliance wordt de wijze waarop compliancerisico's worden beheerst toegelicht.

Risicobereidheid

Onze risicobereidheid is onderverdeeld naar risicotypes, zoals we die binnen Eneco onderscheiden:

Veiligheid

Het bouwen en exploiteren van (duurzame) productiefaciliteiten speelt een centrale rol in onze strategie. Deze activiteiten brengen veiligheidsrisico’s met zich mee. Onze risicobereidheid is in dit geval nul. Een ongeval met verzuim merken wij aan als significant. Ernstiger voorvallen (ziekenhuisopname, dodelijk ongeval) beschouwen we als kritisch, respectievelijk onaanvaardbaar.

Financiën

De strategie van Eneco is gericht op groei en transformatie, wat substantiële investeringen in nieuwe en bestaande activiteiten met zich meebrengt. We hebben deze strategie vertaald in financieel-strategische prognoses voor de lange termijn, die we iedere zes maanden volgens de laatste inzichten bijwerken. Onze risicobereidheid op dit gebied is afgeleid van het financieel sturingskader. Voor risico’s die kunnen leiden tot overschrijding of het niet behalen van de tolerantiegrenzen zoals gesteld in het financieel sturingskader worden passende maatregelen genomen.

Integriteit

Onethisch en frauduleus gedrag van medewerkers vormt een belangrijk risico. Eneco kan haar rol alleen goed vervullen als we de hoogste gedragsnormen hanteren. De Eneco Gedragscode en onderliggende richtlijnen geven aan wat Eneco verstaat onder gewenst gedrag en integer handelen. In werkoverleggen en workshops besteden we veel aandacht aan het integriteitsbewustzijn van managers en medewerkers. Eneco heeft ook een meldpunt integriteit en vertrouwenspersonen. Samen zorgen zij voor een adequate en vertrouwelijke afhandeling van integriteitsincidenten.

Reputatie

Onze goede reputatie en betrouwbaarheid zijn wezenlijke onderdelen van ons bestaansrecht. Het risico dat onze strategische doelen om een duurzame en betrouwbare energievoorziening te realiseren niet worden behaald rubriceren wij ook onder het reputatierisico. Een toprisico in deze categorie is het niet kunnen voldoen aan de betrouwbaarheidsvereisten die aan onze netbeheeractiviteiten of leveranciersactiviteiten worden gesteld. Dit geldt ook voor het niet realiseren van afspraken ten aanzien van duurzaamheid die we hebben gemaakt met het Wereld Natuur Fonds in het kader van het Climate Savers initiatief.

In Control-verklaring

In Control-verklaring

Sinds 2007 geeft de Raad van Bestuur van Eneco Holding N.V. een In Control-verklaring. Ook over 2015 verklaart de Raad van Bestuur 'In Control' te zijn. Vanuit onze maatschappelijke verantwoordelijkheid houden wij vast aan de oorspronkelijke reikwijdte van de Nederlandse Corporate Governance code ten aanzien van interne beheersing, ofwel een adequate en effectieve werking ten aanzien van alle doelstellingen van het Eneco Control & Risk Systeem (ECRS).

De Raad van Bestuur is zich bewust van zijn verantwoordelijkheid voor de adequate en effectieve werking van de interne beheersing binnen Eneco Groep. De Raad van Bestuur heeft het Eneco Control & Risk Systeem (ECRS) ingezet als instrument om te waarborgen dat de realisatie van strategische, operationele en financiële doelstellingen wordt bewaakt, de verslaggeving over financiële en niet-financiële kpi’s betrouwbaar is en dat wet- en regelgeving wordt nageleefd.

Ieder kwartaal worden risicorapportages op bedrijfsonderdeel en groepsniveau opgesteld. Deze worden op Raad van Bestuur-niveau besproken en waar nodig bijgestuurd.

Jaarlijks voeren de bedrijfsonderdelen zelfcontroles uit, die steekproefsgewijs worden beoordeeld door Internal Audit. De zelfcontroles hebben ertoe geleid dat de Raad van Bestuur een aantal verbeterpunten heeft geformuleerd op het vlak van business continuity, informatiebeveiliging en project­management. Op basis van alle maatregelen tezamen is de Raad van Bestuur van mening dat de interne beheersing adequaat is opgezet en in 2015 effectief heeft gewerkt. Wel moet rekening worden gehouden met de inherente beperkingen die aan ieder intern risicobeheersings- en controlesysteem zijn verbonden. Wij kunnen dan ook nimmer absolute zekerheid geven dat wij onze ondernemingsdoelstellingen realiseren of dat zich geen materiële fouten, verliezen, fraudes of overtredingen van wet en regelgeving zullen voordoen.

Forward looking statement

De Raad van Bestuur zal met het Eneco Control & Risk Systeem in 2016 verder invulling geven aan het gedachtegoed van Enterprise Risk Management. Wij verwachten, evenals voorgaande jaren, in 2016 het ECRS nog verder te ontwikkelen en te verbeteren. In 2016 zullen wij in het bijzonder aandacht besteden aan de maatregelen in verband met de naleving van de Europese Privacy wetgeving en de noodzakelijke activiteiten rondom de eventuele splitsing. Er is geen aanleiding om te veronderstellen dat het ECRS in 2016 niet naar behoren zal functioneren.

Vorige paragraaf:
Ketenverantwoordelijkheid
Volgende paragraaf:
Naleving Gedragscode