Risicomanagement
Besturing en beheersing
Risicomanagement draagt bij aan het op een verantwoorde wijze realiseren van onze strategische doelen. Met ons risicobeleid wegen we zorgvuldig af welke risico’s Eneco Groep loopt, welke beheersmaatregelen wij daar tegenover zetten en toetsen we de effectieve werking van deze maatregelen.
Governance
De Raad van Bestuur is verantwoordelijk voor het risicomanagement van de onderneming als geheel. Voor de inrichting van het risicomanagement hanteren wij het ‘three lines of defense’-model. Hiermee volgen wij de huidige good practices betreffende risicomanagement. De Raad van Bestuur heeft de uitvoering van het risicomanagement primair gedelegeerd aan de directeuren van de bedrijfsonderdelen ('eerste lijn'). Business Control en staf/functionele gebieden zoals compliance en veiligheid ondersteunen vanuit de ‘tweede lijn’ de bedrijfsonderdelen. De afdeling Group Risk Management is ook onderdeel van de ‘tweede lijn’ en zorgt voor beleidskaders en de coördinatie van het risicomanagementproces. De Internal Audit-functie ('derde lijn') toetst onafhankelijk en rapporteert de resultaten aan de Raad van Bestuur en de Auditcommissie van de Raad van Commissarissen.
De directies van de bedrijfsonderdelen bespreken elk kwartaal hun risico's, de risico-inschattingen en de status van maatregelen die zijn gericht op het beperken en beheersen daarvan. Elk kwartaal worden in de Business Unit Review de belangrijkste risico’s en maatregelen aan de verantwoordelijke portefeuillehouder van de Raad van Bestuur gerapporteerd. Deze worden geconsolideerd voor rapportage aan de Raad van Bestuur en de Auditcommissie.
De Auditcommissie ziet toe op het adequaat functioneren van risicobeheersingsactiviteiten. De risicogrenzen op ondernemingsniveau hebben we vastgelegd in diverse concrete beleidsverklaringen, codes en richtlijnen op gebieden als veiligheid, handelsmandaten, autorisatiebevoegdheden en gedrag. Naast de kwartaalrapportages, kregen enkele onderwerpen op het gebied van risicobeheersing in 2017 specifieker de aandacht in de Auditcommissie. Dit waren onder meer de investeringen in Eni en LichtBlick, een actualisatie van het Treasury Statuut, de financieringsbehoefte in relatie tot de rating van Eneco Groep na splitsing en tot slot cybersecurity.

Raamwerk risico- en performancemanagement
Wij hanteren het interne Eneco risicobeheersings- en controlesysteem (ECRS), dat is afgeleid van het COSO ERM raamwerk, de wereldwijde standaard voor Enterprise Risk Management. Het ECRS omvat een systematische aanpak voor risico-inventarisatie, een set van beheersmaatregelen en een self-assessmentmethodiek waarmee het management van de bedrijfsonderdelen zelf vaststelt of de beheersmaatregelen effectief zijn.
Risicomanagement is een iteratief en continu proces en is onderdeel van de reguliere Business Planning Cyclus. Minimaal één keer per jaar voeren de bedrijfsonderdelen een diepgaande analyse van de bedreigingen en kansen uit. Voor ieder significant risico bepalen we wat de mogelijke impact kan zijn op de risicocategorieën Financieel, Reputatie, Integriteit en Veiligheid. Wij sturen op beheersingsmaatregelen die individuele risico’s verlagen en door financieel-strategische prognoses ondersteund met gevoeligheidsanalyses, waaronder single-event-stresstesten en VaR-analyses voor het totaal van alle businessrisico’s. Op alle niveaus van de organisatie zijn risicobeheersingssystemen ingericht, waarin specifieke risicobeperkende maatregelen besloten liggen.
Risicobereidheid
Onze risicobereidheid is onderverdeeld naar risicocategorieën, zoals we die binnen Eneco Groep onderscheiden:
laag | midden | hoog | |
---|---|---|---|
Veiligheid | Letsel met vervangend werk | Letsel met verzuim of ziekenhuisopname | Eén of meerdere dode(n) |
Integriteit & Compliance | Geen/beperkte fraude mogelijk | Incidentele fraude mogelijk | Grootschalige fraude mogelijk |
Financieel | < € 1 mln | > € 1 mln | > € 10 mln |
Reputatie & Kwaliteit | Beperkte negatieve beeldvorming stakeholders | Daling vertrouwen bij stakeholders | Structurele schade bij stakeholders |
|
|
---|---|
Veiligheid | Binnen Eneco is veel aandacht voor veiligheid en onze risicobereidheid is zeer laag. Ernstige voorvallen (ziekenhuisopname, dodelijk ongeval) beschouwen we als onacceptabel. |
Integriteit & compliance | Het management heeft een zero tolerance beleid ten aanzien van integriteits en compliance risico’s. |
Financieel | Onze risicobereidheid is in het algemeen laag, maar soms moeten we voor een risico een hogere financiële impact ‘accepteren‘ omdat de mogelijkheid tot mitigatie beperkt is (bijvoorbeeld weerrisico). Daarnaast kiezen we op specifieke gebieden, zoals op innovatie en transformatie, bewust voor een hoger risico profiel. Middels gevoeligheidsanalyses en stress-testen, stellen we vast of we voldoende robuust zijn voor tegenvallers en incidenten. |
Reputatie & Kwaliteit | Onze risicobereidheid is laag, waarbij we waar mogelijk trachten te voorkomen dat er aanleiding ontstaat tot negatieve beeldvorming over de Groep. |
Ontwikkelingen 2017
Bedrijfsonderdelen voeren minimaal twee keer per jaar de self- assessment uit voor benoemde key controls. Key controls zijn beheersmaatregelen die hoge risico’s verlagen. Voor controls op het gebied van IT, financiële verslaggeving en financiële managementinformatie geldt voor de aantoonbaarheid een ambitie op ‘prove me’-niveau. In 2017 is het aantal controls op het gebied van autorisatiemanagement en IT-changemanagement uitgebreid en aangescherpt. Een verdere kwaliteitsverbetering op de aantoonbaarheid is nodig om ons ambitieniveau te halen.
De aan het begin van het verslagjaar uitgevoerde splitsing vergde een bijzondere inspanning van de organisatie om dit op een beheerste en gecontroleerde wijze uit te voeren. Zowel de ontvlechting van de IT organisatie als de financieel administratieve kant is zonder materiële incidenten verlopen. In vervolg op de splitsing hebben we onze financiële risico bereidheid en impactschaal aangepast aan de omvang van de nieuwe organisatie.
Ten behoeve van het interne toezicht en sturing op onze groeiende portefeuille aan innovatieve deelnemingen, is in het afgelopen jaar de Venture Board ingesteld, met vertegenwoordiging vanuit de Raad van Bestuur.
Incidenten
In 2017 hebben zich enkele incidenten voorgedaan. Wij lichten twee grote incidenten toe.
Eneco Zakelijk is in februari 2017 getroffen door een ransomware virus waarbij het normale bedrijfsproces gedurende twee dagen verstoord is geweest. De ransomware is via het klikken op een link in een e-mail via internet binnengedrongen en geactiveerd. De ransomware heeft toegang gehad tot de configuratiebestanden van het klantensysteem, waardoor klant- en facturatieprocessen uitvielen. De totale uitvaltijd bedroeg ongeveer 36 uur vanwege backup-herstel en extra controles. Dit incident en het internationaal verhoogde dreigingsniveau voor de energiesector heeft geleid tot een significante investering in 2017 in cybersecurity: extra Microsoft-licenties, een awareness programma voor het personeel (Kaspersky) en advanced threat protection.
In oktober heeft een onderaannemer bij onderhoudswerkzaamheden bij de warmtekrachtcentrale Vijfwal in Houten met asbest besmet gritzand gebruikt. De werkzaamheden op de locatie zijn direct stilgelegd, bewoners en direct betrokkenen zijn geïnformeerd. Metingen hebben uitgewezen dat het asbest zich beperkt heeft tot het terrein van de centrale zelf. Na grondige schoonmaakwerkzaamheden op het terrein is de centrale weer in bedrijf genomen.
Voor rapportage over incidenten op het gebied van compliance verwijzen wij naar de paragraaf Integriteit en compliance in dit jaarverslag.
Strategische risico's
Strategische risico’s doen zich voor op langere termijn en beïnvloeden de haalbaarheid van onze strategische doelstellingen. Op basis van een stakeholderanalyse is vastgesteld aan welke materiële thema’s belang wordt gehecht. We hebben per thema de belangrijkste strategische risico’s gedefinieerd.
Materiële thema’s | Strategische risico’s | |
---|---|---|
Leven binnen de grenzen van de aarde | 1 | Verlies geloofwaardigheid duurzame imago |
| 2 | Onzeker toekomstig overheidsbeleid en regulering op duurzaamheid |
Klanten doen mee aan de energietransitie | 3 | Achterop raken in de energietransitie |
Relevant voor de klant | 4 | Onvoldoende inspelen op klantbehoefte |
Betrokken medewerkers | 5 | Onvoldoende competenties en inzetbaarheid medewerkers |
Een gezond financieel rendement | 6 | Onder druk komen van financieel rendement van duurzame opwek |
Hieronder lichten we de strategische risico’s toe, alsmede onze mitigerende strategieën.

Verlies geloofwaardigheid duurzame imago
De missie van Eneco Groep is 'duurzame energie van iedereen', we willen koploper zijn in de energietransitie en erkenning als duurzaam energiebedrijf. Ons streven is om in de toekomst te opereren binnen de grenzen van onze aarde en onze klanten, partners en leveranciers te helpen dit ook te doen: onze ‘One Planet’-ambitie. Deze ambitie is vertaald in een CO2-reductiedoelstelling voor onze eigen bedrijfsvoering en groei in duurzame productiecapaciteit. Dit komt tot uitdrukking in externe benchmarken zoals de NGO-ranking in Nederland en de Greenpeace ranking in België. Om ons imago te beschermen kiezen we zorgvuldig onze leveranciers en partners en we passen ‘know your customer’ criteria toe bij acceptatie van zakelijke klanten en tegenpartijen. Verder mitigeren we het risico door transparante communicatie naar belanghebbenden over de voortgang van de executie van onze strategie.
Onzeker toekomstig overheidsbeleid en regulering op duurzaamheid
Wijzigingen in Europese en/of Nederlandse regelgeving kunnen grote impact hebben, onder meer via subsidies, CO2-beprijzing, marktinrichting en belastingen. Bij onze producten en diensten hebben we verder te maken met regelgeving met betrekking tot consumenten en met de privacywetgeving. Eneco Groep vraagt op verschillende manieren aandacht bij de overheid voor het belang van een stabiel investerings- en financieringsklimaat dat tevens is gericht op een versnelling in de verduurzaming van de energiehuishouding. Als mitigerende maatregel spreidt Eneco Groep haar duurzame investeringen over meerdere landen, subsidieregimes en diverse duurzame technieken (zoals windenergie, zonne-energie, energieopslag en energie inzicht & besparing).
Achterop raken in de energietransitie
De energiemarkt is volop in transitie. We zien innovaties in technologie voor productie, opslag, besparing en conversie. Uiteraard heeft dat ook gevolgen voor het toekomstige verdienmodel voor onze leveringen aan huishoudens en industrie. Het risico is dat Eneco Groep (te) laat of onvoldoende op deze nieuwe ontwikkelingen inspeelt, waardoor ons marktaandeel onder druk komt te staan en wij bijvoorbeeld onze doelen in het groeidomein innovatieve diensten niet bereiken.
De ontwikkeling van energiegerelateerde markten volgen we op de voet. Welke nieuwe technieken bieden kansen om conventionele productie- en regelvermogen (deels) te vervangen en hoe werkt dat door op onze energielevering in de toekomst? We zien kansen om te verduurzamen op het gebied van warmte, maar ook op de markt voor elektrisch vervoer. Daarom ontwikkelen we samen met onze klanten en partners nieuwe oplossingen en businessmodellen. Eneco Groep mitigeert dit risico verder door het beschikbaar stellen van innovatiebudgetten, dedicated resources om technologieën te reviewen en pilots te starten. We werken samen met universiteiten en voeren marktscans uit. Zo willen we een samenhangende portfolio van ‘best available technologies’ ontwikkelen.
Onvoldoende inspelen op klantbehoefte
Onvoldoende inspelen op klantbehoeften door middel van nieuwe innovatieve oplossingen leidt tot klantverlies en lagere inkomsten. Door het internet is het voor klanten eenvoudiger om energieleveranciers te vergelijken en over te stappen. Nieuwe producten en diensten kennen steeds meer een sterk digitaal en data-gedreven karakter. Ook in de energiesector transformeert de klantbehoefte hierdoor snel, de grenzen van de sector vervagen en nieuwe toetreders zien kansen. We zoeken als energiebedrijf meerwaarde voor onze klanten door eigen hernieuwbare productie, diensten en technologische ontwikkelingen te integreren tot totaaloplossingen. Ook bundelen we soms onze krachten met nieuwe toetreders voor de beste oplossing voor de klant. We investeren in veelbelovende bedrijven die diensten voor onze klanten ontwikkelen gebruikmakend van nieuwe technologie zoals blockchain, Internet of Things en data science. Daarnaast investeert Eneco Groep in nieuwe technologieën om bestaande processen te verbeteren zoals data analytics. We maken gebruik van cloud technologie om kosten te reduceren en flexibiliteit te verhogen en de Internet of Things-technologie om gericht onderhoud uit te voeren op productiefaciliteiten.
Onvoldoende competenties en inzetbaarheid medewerkers
Lacunes in competenties en verminderde inzetbaarheid van management en medewerkers brengt de mate waarin en het tempo waarop strategische doelen worden gerealiseerd in gevaar. Daarom bouwen we aan een high performance organisatie waarin de mens centraal staat. Diverse opleidings-, cultuur- en ontwikkelprogramma’s voor management en medewerkers worden uitgerold en ondersteund. We ontwikkelen en implementeren passende samenwerkingsvormen die continue verbetering stimuleren.
Onder druk komen van financieel rendement van duurzame opwek
De prijs van elektriciteit en warmte wordt momenteel nog grotendeels bepaald door de prijs van gas, steenkool en emissies. Op termijn wordt door een toenemend aandeel duurzaam productievermogen de prijs van elektriciteit echter steeds minder door deze marginale kosten van fuels bepaald. We werken met toekomstscenario’s gebaseerd op mogelijke marktordeningen en prijsontwikkelingen om de robuustheid van onze langetermijninvesteringen in duurzame productiefaciliteiten te toetsen.
Ontwikkeltrajecten voor duurzame productie duren vaak enige jaren. Eenmaal operationeel, gaan wind- en zonneparken tientallen jaren mee, terwijl we de leveringsprijs maar voor een beperkt aantal jaren kunnen vastleggen op de energiehandelsmarkten. Een investering die we nu doen, verdient zichzelf niet terug wanneer de marktprijs op langere termijn structureel daalt of kosten van balanceren op de onbalansmarkt toenemen. Onze strategie is er daarom mede op gericht om duurzame productiefaciliteiten te bouwen met en op verzoek van onze klanten (Client Sources).
Operationele risico's
Hieronder lichten we de belangrijkste operationele risico’s toe die na mitigatiemaatregelen nog een ingeschatte resterende impact van > € 5 miljoen kunnen hebben.
Risico (trend t.o.v. 2016: ↑→↓) | Potentiële impact | Beheersingmaatregelen |
---|---|---|
|
|
|
Financiële positie |
|
|
Kredietwaardigheid ↑Afname gepercipieerde kredietwaardigheid Eneco, respectievelijk rating downgrade |
|
|
Spark spread ↑Verlaging marge tussen verkoopprijzen van elektriciteit geproduceerd door gascentrales en kostprijs/inkoop gas en CO2 |
|
|
Winstgevendheid duurzame assets →Lagere toekomstige opbrengsten vanwege dalende elektriciteitsprijzen of dalende marktwaarde van groene stroom |
|
|
Weerrisico ↑Vanwege weersomstandigheden lager dan gemiddelde productieopbrengsten van windparken (weinig wind) of lagere vraag van klanten naar gas/warmte door milde winter. |
|
|
Risico’s ten aanzien van business performance, beheersing en governance van onze deelnemingen en recente overnames ↑ |
|
|
*) Zie noot 32 van de geconsolideerde jaarrekening voor nadere toelichting van de beheersing van financiële risico’s |
|
|
|
|
|
Financiële verslaggeving |
|
|
Risico’s op het gebied van de interne en externe financiële planning en verslaggeving → |
|
|
|
|
|
Operationeel – |
|
|
Ongeautoriseerde toegang tot en/of wijzigingen in IT-systemen alsmede cybersecurity ↑ |
|
|
|
|
|
Operationeel – Klanten |
|
|
Business continuity interrupties ↓Ongevallen en/of storingen in onze warmtelevering, productie, handels- of klantsystemen |
|
|
|
|
|
Wet- en regelgeving |
|
|
Het niet voldoen aan wet- en regelgeving → |
|
|
In control-verklaring
De Raad van Bestuur is zich bewust van de verantwoordelijkheid voor de adequate en effectieve werking van de interne beheersing binnen Eneco Groep.
De Raad van Bestuur heeft onder meer het in de risicoparagraaf beschreven risicobeheersing- en controlesysteem ingezet als instrument om te waarborgen dat de realisatie van strategische, operationele en financiële doelstellingen wordt bewaakt, de verslaggeving over financiële en niet-financiële informatie betrouwbaar is en dat wet- en regelgeving wordt nageleefd.
Aan ieder intern risicobeheersings- en controlesysteem zijn echter inherente beperkingen verbonden. Wij kunnen dan ook nimmer absolute zekerheid geven dat wij onze ondernemingsdoelstellingen zullen realiseren of dat zich geen materiële fouten, verliezen, fraudes of overtredingen van wet- en regelgeving zullen voordoen.
Ten aanzien van financiële verslaggevingsrisico’s is de Raad van Bestuur van mening dat de gehanteerde interne risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen afwijkingen van materieel belang bevat en dat de risicobeheersings- en controlesystemen in het verslagjaar voldoende hebben gewerkt.
Net als in 2016 heeft de Raad van Bestuur in 2017, naar aanleiding van onder andere self-assessments van de bedrijfsonderdelen en internal audit, extra aandacht gegeven aan de versterking en formalisering van beheersmaatregelen ten aanzien van verslaggevingsrisico’s en van risico’s verbonden aan voortgaande digitalisering, waaronder cybersecurity. De interne controle systemen rondom beide thema’s zullen in 2018 verdergaand worden versterkt, zodat we aanvullende borging en zekerheid op deze gebieden bereiken.
Daarnaast zal er extra aandacht besteed worden in 2018 aan de risico’s op het gebied van de internationalisering van ons bedrijf, deze zijn in omvang toegenomen in verband met de gedane acquisities in het verslagjaar.
Tot slot is vermeldenswaard dat de in het begin van 2017 uitgevoerde splitsing tussen het energiebedrijf en het netwerkbedrijf volgens plan is verlopen en niet tot belangrijke lacunes in de interne beheersing heeft geleid.
sVorige paragraaf:Voortgang sVolgende paragraaf:
Governance