Risico’s

Index van dit hoofdstuk

Risicomanagement

Besturing en beheersing

Risicomanagement draagt bij aan het op een verantwoorde wijze realiseren van onze strategische doelen. Met ons risicobeleid wegen we zorgvuldig af welke risico’s Eneco Groep loopt, welke beheersmaatregelen wij daar tegenover zetten en toetsen we de effectieve werking van deze maatregelen.

Governance

De Raad van Bestuur is verantwoordelijk voor het risicomanagement van de onderneming als geheel. Voor de inrichting van het risicomanagement hanteren wij het ‘three lines of defense’-model. Hiermee volgen wij de huidige good practices betreffende risicomanagement. De Raad van Bestuur heeft de uitvoering van het risicomanagement primair gedelegeerd aan de directeuren van de bedrijfsonderdelen ('eerste lijn'). Business Control en staf/functionele gebieden zoals compliance en veiligheid ondersteunen vanuit de ‘tweede lijn’ de bedrijfsonderdelen. De afdeling Group Risk Management is ook onderdeel van de ‘tweede lijn’ en zorgt voor beleidskaders en de coördinatie van het risicomanagementproces. De Internal Audit-functie ('derde lijn') toetst onafhankelijk en rapporteert de resultaten aan de Raad van Bestuur en de Auditcommissie van de Raad van Commissarissen.

De directies van de bedrijfsonderdelen bespreken elk kwartaal hun risico's, de risico-inschattingen en de status van maatregelen die zijn gericht op het beperken en beheersen daarvan. Elk kwartaal worden in de Business Unit Review de belangrijkste risico’s en maatregelen aan de verantwoordelijke portefeuillehouder van de Raad van Bestuur gerapporteerd. Deze worden geconsolideerd voor rapportage aan de Raad van Bestuur en de Auditcommissie.

De Auditcommissie ziet toe op het adequaat functioneren van risicobeheersingsactiviteiten. De risicogrenzen op ondernemingsniveau hebben we vastgelegd in diverse concrete beleidsverklaringen, codes en richtlijnen op gebieden als veiligheid, handelsmandaten, autorisatiebevoegdheden en gedrag. Naast de kwartaalrapportages, kregen enkele onderwerpen op het gebied van risicobeheersing in 2017 specifieker de aandacht in de Auditcommissie. Dit waren onder meer de investeringen in Eni en LichtBlick, een actualisatie van het Treasury Statuut, de financieringsbehoefte in relatie tot de rating van Eneco Groep na splitsing en tot slot cybersecurity.

Raamwerk risico- en performancemanagement

Wij hanteren het interne Eneco risicobeheersings- en controlesysteem (ECRS), dat is afgeleid van het COSO ERM raamwerk, de wereldwijde standaard voor Enterprise Risk Management. Het ECRS omvat een systematische aanpak voor risico-inventarisatie, een set van beheersmaatregelen en een self-assessmentmethodiek waarmee het management van de bedrijfsonderdelen zelf vaststelt of de beheersmaatregelen effectief zijn.

Risicomanagement is een iteratief en continu proces en is onderdeel van de reguliere  Business Planning Cyclus. Minimaal één keer per jaar voeren de bedrijfsonderdelen een diepgaande analyse van de bedreigingen en kansen uit. Voor ieder significant risico bepalen we wat de mogelijke impact kan zijn op de risicocategorieën Financieel, Reputatie, Integriteit en Veiligheid. Wij sturen op beheersingsmaatregelen die individuele risico’s verlagen en door financieel-strategische prognoses ondersteund met gevoeligheidsanalyses, waaronder single-event-stresstesten en VaR-analyses voor het totaal van alle businessrisico’s. Op alle niveaus van de organisatie zijn risicobeheersingssystemen ingericht, waarin specifieke risicobeperkende maatregelen besloten liggen.

Risicobereidheid

Onze risicobereidheid is onderverdeeld naar risicocategorieën, zoals we die binnen Eneco Groep onderscheiden:

laag

midden

hoog

Veiligheid

Letsel met vervangend werk

Letsel met verzuim of ziekenhuisopname

Eén of meerdere dode(n)

Integriteit & Compliance

Geen/beperkte fraude mogelijk

Incidentele fraude mogelijk

Grootschalige fraude mogelijk

Financieel

< € 1 mln

> € 1 mln

> € 10 mln

Reputatie & Kwaliteit

Beperkte negatieve beeldvorming stakeholders

Daling vertrouwen bij stakeholders

Structurele schade bij stakeholders

Risicocategorieën

Veiligheid

Binnen Eneco is veel aandacht voor veiligheid en onze risicobereidheid is zeer laag. Ernstige voorvallen (ziekenhuisopname, dodelijk ongeval) beschouwen we als onacceptabel.

Integriteit & compliance

Het management heeft een zero tolerance beleid ten aanzien van integriteits en compliance risico’s.

Financieel

Onze risicobereidheid is in het algemeen laag, maar soms moeten we voor een risico een hogere financiële impact ‘accepteren‘ omdat de mogelijkheid tot mitigatie beperkt is (bijvoorbeeld weerrisico). Daarnaast kiezen we op specifieke gebieden, zoals op innovatie en transformatie, bewust voor een hoger risico profiel. Middels gevoeligheidsanalyses en stress-testen, stellen we vast of we voldoende robuust zijn voor tegenvallers en incidenten.

Reputatie & Kwaliteit

Onze risicobereidheid is laag, waarbij we waar mogelijk trachten te voorkomen dat er aanleiding ontstaat tot negatieve beeldvorming over de Groep.

Ontwikkelingen 2017

Bedrijfsonderdelen voeren minimaal twee keer per jaar de self- assessment uit voor benoemde key controls. Key controls zijn beheersmaatregelen die hoge risico’s verlagen. Voor controls op het gebied van IT, financiële verslaggeving en financiële managementinformatie geldt voor de aantoonbaarheid een ambitie op ‘prove me’-niveau. In 2017 is het aantal controls op het gebied van autorisatiemanagement en IT-changemanagement uitgebreid en aangescherpt. Een verdere kwaliteitsverbetering op de aantoonbaarheid is nodig om ons ambitieniveau te halen.

De aan het begin van het verslagjaar uitgevoerde splitsing vergde een bijzondere inspanning van de organisatie om dit op een beheerste en gecontroleerde wijze uit te voeren. Zowel de ontvlechting van de IT organisatie als de financieel administratieve kant is zonder materiële incidenten verlopen. In vervolg op de splitsing hebben we onze financiële risico bereidheid en impactschaal aangepast aan de omvang van de nieuwe organisatie.

Ten behoeve van het interne toezicht en sturing op onze groeiende portefeuille aan innovatieve deelnemingen, is in het afgelopen jaar de Venture Board ingesteld, met vertegenwoordiging vanuit de Raad van Bestuur.

Incidenten

In 2017 hebben zich enkele incidenten voorgedaan. Wij lichten twee grote incidenten toe.

Eneco Zakelijk is in februari 2017 getroffen door een ransomware virus waarbij het normale bedrijfsproces gedurende twee dagen verstoord is geweest. De ransomware is via het klikken op een link in een e-mail via internet binnengedrongen en geactiveerd. De ransomware heeft toegang gehad tot de configuratiebestanden van het klantensysteem, waardoor klant- en facturatieprocessen uitvielen. De totale uitvaltijd bedroeg ongeveer 36 uur vanwege backup-herstel en extra controles. Dit incident en het internationaal verhoogde dreigingsniveau voor de energiesector heeft geleid tot een significante investering in 2017 in cybersecurity: extra Microsoft-licenties, een awareness programma voor het personeel (Kaspersky) en advanced threat protection.

In oktober heeft een onderaannemer bij onderhoudswerkzaamheden bij de warmtekrachtcentrale Vijfwal in Houten met asbest besmet gritzand gebruikt. De werkzaamheden op de locatie zijn direct stilgelegd, bewoners en direct betrokkenen zijn geïnformeerd. Metingen hebben uitgewezen dat het asbest zich beperkt heeft tot het terrein van de centrale zelf. Na grondige schoonmaakwerkzaamheden op het terrein is de centrale weer in bedrijf genomen.

Voor rapportage over incidenten op het gebied van compliance verwijzen wij naar de paragraaf Integriteit en compliance in dit jaarverslag.

Strategische risico's

Strategische risico’s doen zich voor op langere termijn en beïnvloeden de haalbaarheid van onze strategische doelstellingen. Op basis van een stakeholderanalyse is vastgesteld aan welke materiële thema’s belang wordt gehecht. We hebben per thema de belangrijkste strategische risico’s gedefinieerd.

Materiële thema’s

Strategische risico’s

Leven binnen de grenzen van de aarde

1

Verlies geloofwaardigheid duurzame imago

2

Onzeker toekomstig overheidsbeleid en regulering op duurzaamheid

Klanten doen mee aan de energietransitie

3

Achterop raken in de energietransitie

Relevant voor de klant

4

Onvoldoende inspelen op klantbehoefte

Betrokken medewerkers

5

Onvoldoende competenties en inzetbaarheid medewerkers

Een gezond financieel rendement

6

Onder druk komen van financieel rendement van duurzame opwek

Hieronder lichten we de strategische risico’s toe, alsmede onze mitigerende strategieën.

‘Energietransitie kan sneller’

Eelco Blok
CEO KPN
Lees meer
Verlies geloofwaardigheid duurzame imago

De missie van Eneco Groep is 'duurzame energie van iedereen', we willen koploper zijn in de energietransitie en erkenning als duurzaam energiebedrijf. Ons streven is om in de toekomst te opereren binnen de grenzen van onze aarde en onze klanten, partners en leveranciers te helpen dit ook te doen: onze ‘One Planet’-ambitie. Deze ambitie is vertaald in een CO2-reductiedoelstelling voor onze eigen bedrijfsvoering en groei in duurzame productiecapaciteit. Dit komt tot uitdrukking in externe benchmarken zoals de NGO-ranking in Nederland en de Greenpeace ranking in België. Om ons imago te beschermen kiezen we zorgvuldig onze leveranciers en partners en we passen ‘know your customer’ criteria toe bij acceptatie van zakelijke klanten en tegenpartijen. Verder mitigeren we het risico door transparante communicatie naar belanghebbenden over de voortgang van de executie van onze strategie.

Onzeker toekomstig overheidsbeleid en regulering op duurzaamheid

Wijzigingen in Europese en/of Nederlandse regelgeving kunnen grote impact hebben, onder meer via subsidies, CO2-beprijzing, marktinrichting en belastingen. Bij onze producten en diensten hebben we verder te maken met regelgeving met betrekking tot consumenten en met de privacywetgeving. Eneco Groep vraagt op verschillende manieren aandacht bij de overheid voor het belang van een stabiel investerings- en financieringsklimaat dat tevens is gericht op een versnelling in de verduurzaming van de energiehuishouding. Als mitigerende maatregel spreidt Eneco Groep haar duurzame investeringen over meerdere landen, subsidieregimes en diverse duurzame technieken (zoals windenergie, zonne-energie, energieopslag en energie inzicht & besparing).

Achterop raken in de energietransitie

De energiemarkt is volop in transitie. We zien innovaties in technologie voor productie, opslag, besparing en conversie. Uiteraard heeft dat ook gevolgen voor het toekomstige verdienmodel voor onze leveringen aan huishoudens en industrie. Het risico is dat Eneco Groep (te) laat of onvoldoende op deze nieuwe ontwikkelingen inspeelt, waardoor ons marktaandeel onder druk komt te staan en wij bijvoorbeeld onze doelen in het groeidomein innovatieve diensten niet bereiken.

De ontwikkeling van energiegerelateerde markten volgen we op de voet. Welke nieuwe technieken bieden kansen om conventionele productie- en regelvermogen (deels) te vervangen en hoe werkt dat door op onze energielevering in de toekomst? We zien kansen om te verduurzamen op het gebied van warmte, maar ook op de markt voor elektrisch vervoer. Daarom ontwikkelen we samen met onze klanten en partners nieuwe oplossingen en businessmodellen. Eneco Groep mitigeert dit risico verder door het beschikbaar stellen van innovatie­budgetten, dedicated resources om technologieën te reviewen en pilots te starten. We werken samen met universiteiten en voeren marktscans uit. Zo willen we een samenhangende portfolio van ‘best available technologies’ ontwikkelen.

Onvoldoende inspelen op klantbehoefte

Onvoldoende inspelen op klantbehoeften door middel van nieuwe innovatieve oplossingen leidt tot klantverlies en lagere inkomsten. Door het internet is het voor klanten eenvoudiger om energieleveranciers te vergelijken en over te stappen. Nieuwe producten en diensten kennen steeds meer een sterk digitaal en data-gedreven karakter. Ook in de energiesector transformeert de klantbehoefte hierdoor snel, de grenzen van de sector vervagen en nieuwe toetreders zien kansen. We zoeken als energiebedrijf meerwaarde voor onze klanten door eigen hernieuwbare productie, diensten en technologische ontwikkelingen te integreren tot totaaloplossingen. Ook bundelen we soms onze krachten met nieuwe toetreders voor de beste oplossing voor de klant. We investeren in veelbelovende bedrijven die diensten voor onze klanten ontwikkelen gebruikmakend van nieuwe technologie zoals blockchain, Internet of Things en data science. Daarnaast investeert Eneco Groep in nieuwe technologieën om bestaande processen te verbeteren zoals data analytics. We maken gebruik van cloud technologie om kosten te reduceren en flexibiliteit te verhogen en de Internet of Things-technologie om gericht onderhoud uit te voeren op productiefaciliteiten.

Onvoldoende competenties en inzetbaarheid medewerkers

Lacunes in competenties en verminderde inzetbaarheid van management en medewerkers brengt de mate waarin en het tempo waarop strategische doelen worden gerealiseerd in gevaar. Daarom bouwen we aan een high performance organisatie waarin de mens centraal staat. Diverse opleidings-, cultuur- en ontwikkelprogramma’s voor management en medewerkers worden uitgerold en ondersteund. We ontwikkelen en implementeren passende samenwerkingsvormen die continue verbetering stimuleren.

Onder druk komen van financieel rendement van duurzame opwek

De prijs van elektriciteit en warmte wordt momenteel nog grotendeels bepaald door de prijs van gas, steenkool en emissies. Op termijn wordt door een toenemend aandeel duurzaam productievermogen de prijs van elektriciteit echter steeds minder door deze marginale kosten van fuels bepaald. We werken met toekomstscenario’s gebaseerd op mogelijke marktordeningen en prijsontwikkelingen om de robuustheid van onze langetermijninvesteringen in duurzame productie­faciliteiten te toetsen.

Ontwikkeltrajecten voor duurzame productie duren vaak enige jaren. Eenmaal operationeel, gaan wind- en zonneparken tientallen jaren mee, terwijl we de leveringsprijs maar voor een beperkt aantal jaren kunnen vastleggen op de energiehandelsmarkten. Een investering die we nu doen, verdient zichzelf niet terug wanneer de marktprijs op langere termijn structureel daalt of kosten van balanceren op de onbalansmarkt toenemen. Onze strategie is er daarom mede op gericht om duurzame productie­faciliteiten te bouwen met en op verzoek van onze klanten (Client Sources).

Operationele risico's

Hieronder lichten we de belangrijkste operationele risico’s toe die na mitigatiemaatregelen nog een ingeschatte resterende impact van > € 5 miljoen kunnen hebben.

Risico (trend t.o.v. 2016: ↑→↓)

Potentiële impact

Beheersingmaatregelen

Financiële positie

Kredietwaardigheid ↑

Afname gepercipieerde kredietwaardigheid Eneco, respectievelijk rating downgrade

  • Afname in bereidheid door energiehandelspartijen om Eneco Groep ongedekte limieten op handelsposities te geven, respectievelijk toename in af te geven garanties en andere zekerheden door Eneco Groep
  • Slechtere condities voor toegang tot kapitaal- en geldmarkten en (beperkt) hogere rente-opslagen 
  • Vanwege de afsplitsing van het netwerkbedrijf is dit risico toegenomen
  • Stress-testen met name op kritische ratio’s zoals FFO/net debt
  • Sturing op contractcondities met klanten en handelstegenpartijen
  • Beschikbaarheid back-up financierings- en garantiefaciliteiten, met name te benutten in geval van volatiele marktomstandigheden *)
Spark spread ↑

Verlaging marge tussen verkoopprijzen van elektriciteit geproduceerd door gascentrales en kostprijs/inkoop gas en CO2

  • Circa € 10 miljoen per jaar
  • Risico neemt gematigd toe gezien de ontwikkelingen op de handelsmarkten
  • Portfoliomanagement en hedgingstrategieën in de energiehandelsmarkten met energiederivaten *)
Winstgevendheid duurzame assets →

Lagere toekomstige opbrengsten vanwege dalende elektriciteitsprijzen of dalende marktwaarde van groene stroom

  • Circa € 5 - € 10 miljoen per jaar
  • De Nederlandse en Belgische subsidieregelingen nemen niet het volledig prijsrisico weg. Subsidieregime VK impliceert een inherent grotere gevoeligheid voor prijsniveau
  • Spreiding van investeringen over meerdere landen
  • Afdekken posities via energiehandelsmarkten *); er is echter voor een beperkt aantal jaren vooruit een liquide markt
  • Sluiten van langjarige klantbelevering-transacties, in lijn met onze Client Sources-strategie
Weerrisico ↑

Vanwege weersomstandigheden lager dan gemiddelde productieopbrengsten van windparken (weinig wind) of lagere vraag van klanten naar gas/warmte door milde winter.

  • Circa € 20 - € 40 miljoen op jaarbasis
  • Door het uitbreiden van onze windproductie en klantenportefeuille (warmtevraag), neemt de invloed van het weer op de resultaten toe. Per huishouden neemt het temperatuurrisico overigens gradueel af vanwege betere isolatie en andere technieken. Het weerrisico is ten dele kosteneffectief te mitigeren, maar er blijft substantieel restrisico
  • Afsluiten van (contraire) weer gerelateerde inkoopcontracten, verkoopcontracten en derivaten *)
  • Gebruik van onze gasopslagfaciliteiten
  • Portfoliomanagement en inzet expertise op voorspelling weer in relatie tot verwacht energievraag en -aanbod
  • Toepassing van vraagsturingsmechanismen samen met onze klanten
  • Sourcing van duurzame energie deels via langjarige inkoop van derden (PPA’s) in plaats van eigen windparken
Risico’s ten aanzien van business performance, beheersing en governance van onze deelnemingen en recente overnames ↑
  • Reputatieschade en financieel verlies, waarvan de impact afhangt van de omvang en belang dat we hebben. Reputatieschade ontstaat indien beoogde businessdoelstellingen in onvoldoende mate worden bereikt of zich incidenten op het vlak van de interne beheersing voordoen. Financiële impact ontstaat bij het niet realiseren van beoogde synergievoordelen bij te consolideren overnames, schades, of bij het niet kunnen waarmaken van de groeidoelstellingen bij overnames en deelnemingen.
    De omvang van dit risico neemt toe, want Eneco versnelt haar transitie naar nieuwe verdienmodellen en klant afzetgebieden middels een actief acquisitiebeleid in binnen- en buitenland. Daarnaast geven wij onze op innovatie gerichte deelnemingen bewust meer ruimte zodat zij sneller kunnen innoveren en excelleren, daarbij accepteren we dat er een inherent groter risico kleeft aan dit type deelnemingen.
  • Via de Venture Board houden we toezicht op onze ventureportfolio
  • Eneco houdt middels haar vertegenwoordigende zetels in toezichthoudende organen van haar deelnemingen toezicht en toetst het beleid van het management op bedrijfsontwikkeling en interne beheersing
  • Voor onze mee te consolideren deelnemingen geldt dat aanvullend eisen gesteld worden, met name op verslaggevings- en IT-controls, in lijn met Eneco-standaarden

*) Zie noot 32 van de geconsolideerde jaarrekening voor nadere toelichting van de beheersing van financiële risico’s

Financiële verslaggeving

Risico’s op het gebied van de interne en externe financiële planning en verslaggeving →
  • Reputatieschade, claims en juridische procedures
  • Niet compliant of onjuiste verslaggeving
  • Ontbreken van juiste, tijdige en onderbouwde financiële stuurinformatie ten behoeve van besluitvorming door management
  • In geval van besluit tot een aandeelhouderstransactie neemt de potentiele impact van dit risico toe

  • Up-to-date houden van kennis over de financiële verslaggeving
  • De interne controle en administratief organisatorische maatregelen, waaronder onze accountingrichtlijnen
  • Procedures voor periodieke afsluiting, rapportage, forecasting en energiebalans

Operationeel –
IT gerelateerd

Ongeautoriseerde toegang tot en/of wijzigingen in IT-systemen alsmede cybersecurity ↑
  • Reputatieschade
  • Fraude
  • Financiële impact: afhankelijk van aard en ernst van het zich voordoende incident kan schade oplopen tot meer dan € 1 miljoen
  • In lijn met de maatschappelijke trend neemt het risico op cybersecurity-incidenten toe
  • Signalerings- en detectietechnieken op ongeautoriseerde toegang en verdachte activiteiten
  • Bewustwordingstrainingen voor medewerkers
  • Assurancetoetsing door derden (audits en certificeringen)
  • IT change management, beleid op toekennen en intrekken van accounts, bijbehorende rechten en toepassen IT- beveiligingsprotocollen

Operationeel – Klanten

Business continuity interrupties ↓ 

Ongevallen en/of storingen in onze warmtelevering, productie, handels- of klantsystemen

  • Veiligheidsincidenten met letsel of erger
  • Financiële impact: afhankelijk van aard- en ernst van het zich voordoende incident, kan dit oplopen tot meer dan € 5 miljoen
  • Risico neemt af vanwege afsplitsing van het netwerkbedrijf
  • Veiligheidsbeleid en voorschriften
  • Dubbel uitgevoerd IT-platform voor kritische systemen
  • Uitvoeren van periodieke crisismanagement- en hersteltesten
  • Business Interruption Awareness programma uitgerold bij de bedrijfsonderdelen
  • Onderhoud en monitoring van onze warmtenetten en eigen productie-units

Wet- en regelgeving

Het niet voldoen aan wet- en regelgeving →
  • Reputatieschade
  • Claims
  • Juridische procedures
  • Financiële impact: afhankelijk van aard en ernst van eventuele overschrijdingen, kan oplopen tot meer dan € 5 miljoen
  • Compliance control frameworks bij bedrijfsonderdelen
  • Up-to-date houden van kennis over aankomende relevante wetgeving en dit actief delen met de business via interne media en kennis sessies

In control-verklaring

De Raad van Bestuur is zich bewust van de verantwoordelijkheid voor de adequate en effectieve werking van de interne beheersing binnen Eneco Groep.

De Raad van Bestuur heeft onder meer het in de risicoparagraaf beschreven risicobeheersing- en controlesysteem ingezet als instrument om te waarborgen dat de realisatie van strategische, operationele en financiële doelstellingen wordt bewaakt, de verslaggeving over financiële en niet-financiële informatie betrouwbaar is en dat wet- en regelgeving wordt nageleefd.

Aan ieder intern risicobeheersings- en controlesysteem zijn echter inherente beperkingen verbonden. Wij kunnen dan ook nimmer absolute zekerheid geven dat wij onze ondernemingsdoelstellingen zullen realiseren of dat zich geen materiële fouten, verliezen, fraudes of overtredingen van wet- en regelgeving zullen voordoen.

Ten aanzien van financiële verslaggevingsrisico’s is de Raad van Bestuur van mening dat de gehanteerde interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen afwijkingen van materieel belang bevat en dat de risicobeheersings- en controlesystemen in het verslagjaar voldoende hebben gewerkt.

Net als in 2016 heeft de Raad van Bestuur in 2017, naar aanleiding van onder andere self-assessments van de bedrijfsonderdelen en internal audit, extra aandacht gegeven aan de versterking en formalisering van beheersmaatregelen ten aanzien van verslaggevingsrisico’s en van risico’s verbonden aan voortgaande digitalisering, waaronder cybersecurity. De interne controle systemen rondom beide thema’s zullen in 2018 verdergaand worden versterkt, zodat we aanvullende borging en zekerheid op deze gebieden bereiken.

Daarnaast zal er extra aandacht besteed worden in 2018 aan de risico’s op het gebied van de internationalisering van ons bedrijf, deze zijn in omvang toegenomen in verband met de gedane acquisities in het verslagjaar.

Tot slot is vermeldenswaard dat de in het begin van 2017 uitgevoerde splitsing tussen het energiebedrijf en het netwerkbedrijf volgens plan is verlopen en niet tot belangrijke lacunes in de interne beheersing heeft geleid.

sVorige paragraaf:
Voortgang sVolgende paragraaf:
Governance