Risicogovernance
De RvB is eindverantwoordelijk voor de uitvoering van risicomanagement, samen met de directie van de bedrijfsonderdelen. Zij krijgen ondersteuning van stafafdelingen die zijn gespecialiseerd in Corporate Risk Management, Veiligheid, Gezondheid, Milieu & Kwaliteit (VGMK), Business Continuity Management, Security, Corporate Affairs, Compliance & Integriteit en Treasury. De afdeling Asset Management heeft de taak om voorstellen voor (vervangings)investeringen te doen op basis van een risicoanalyse. Hiervoor hanteren we de NTA 8120 (ISO 55000)-standaard. De operationele assetrisico’s zijn benoemd in het investeringsplan. Het investeringsplan voor de jaren 2020-2022 is beschikbaar op www.stedin.net. Internal audit voert audits uit en rapporteert de resultaten aan de RvB en de Auditcommissie van de RvC. Het onderwerp Risk staat twee keer per jaar op de agenda van de Auditcommissie van de RvC. Een gedetailleerde uitwerking van ons risicomanagement governance staat op www.stedingroep.nl.
Risicomanagement-proces
Het Enterprise Risk Management (ERM)-raamwerk van Stedin Groep bevat zowel langetermijn- als kortetermijn-onzekerheden. Dit ERM-raamwerk is grotendeels vertaald in een In Control Framework (ICF). Dit ICF bestaat uit de risicocategorieën Operationeel, Financieel, Fraude, Business Continuity, Compliance/Privacy, Information Security en Financiële verslaggeving. Voor de inrichting van dit raamwerk hebben we ons laten leiden door het COSO-raamwerk en de ISO 31000-standaard. Het risicomanagementproces is een vast onderdeel van de standaard businessplanning- en controlcyclus.
Langetermijn-onzekerheden
De ontwikkelingen van de langetermijn-onzekerheden en de bijbehorende beheersing actualiseren en rapporteren we eens per kwartaal aan het MT Strategie. De onzekerheden zetten we af tegen de risicobereidheid. Hiernaast vormen de langetermijn-onzekerheden input voor de selectie van de veranderprogramma's binnen Stedin, maken ze deel uit van de financieel-strategische prognoses en worden ze meegenomen in het jaarplanproces. Zo zijn de langetermijn-onzekerheden zo veel mogelijk onderdeel van de planvorming. De langetermijn-onzekerheden staan toegelicht in het onderdeel 'Belangrijkste strategische risico's en kansen Stedin Groep 2021'.
Kortetermijn-onzekerheden
Kortetermijn-onzekerheden hebben een beschouwingshorizon van ongeveer 1 jaar. Voorbeelden van kortetermijn-onzekerheden zijn operationele risico's zoals storingen, fraude en verslaggevingsrisico's. Voor de kortetermijn-onzekerheden stellen we risico’s en kansen en daarmee samenhangende beheersmaatregelen vast. De kortetermijn-onzekerheden en beheersmaatregelen zijn gekoppeld aan de bedrijfs-, keten- en afdelingsdoelen zoals die zijn opgenomen in de keten- en afdelingsplannen. We inventariseren en actualiseren de risico’s en beheersmaatregelen minimaal één keer per jaar via risico- en beheersingssessies met het management. Periodiek beoordeelt het afdelingsmanagement, in het kader van het 'Samen in control-proces', via zelfevaluatie of de beheersmaatregelen effectief zijn. Ook bepalen we verbeterpotentieel en acties. De uitkomsten van deze zelfevaluaties bespreken we elk kwartaal met het afdelingsmanagement. Over de ontwikkeling van de risico’s en de effectiviteit van de genomen beheersmaatregelen rapporteren we maandelijks via businessunit-reviews aan de RvB. Daarnaast rapporteert het management van ieder bedrijfsonderdeel twee keer per jaar via een Letter of Representation aan het bestuur. Daarin rapporteren ze over risico’s en beheersing, externe verslaglegging en integriteit. In 2021 zijn hier twee elementen aan toegevoegd: strategie en doelen en wet- en regelgeving. Hiernaast gebruikt het management de interne ‘In Control richtlijnen’ om op ieder element een gedegen afweging te maken. Deze verklaringen vormen een belangrijke basis voor de In control-verklaring van de RvB.
Risicobereidheid
Om onze organisatiedoelstellingen te realiseren, moeten we in bepaalde mate risico nemen. Gegeven het publieke en gereguleerde karakter van Stedin Groep neigt de algehele risicobereidheid meer naar de risico-averse en mijdende kant. De mate waarin we bereid zijn om risico’s te nemen (de risicobereidheid) verschilt per risicocategorie:
Bij zowel de risico’s als de kansen zoekt Stedin Groep continu de balans tussen haar maatschappelijke rol, de beschikbare (financiële) middelen en de omgeving.
- Strategisch - Neutraal: Stedin Groep is bereid gematigde risico’s te nemen voor het realiseren van haar missie, visie en strategische doelstellingen.
- Operationeel - Mijdend: Stedin Groep heeft bij risico’s rond de leveringszekerheid een mijdende risicobereidheid. Hierbij zoekt Stedin Groep de balans tussen leveringszekerheid en de (maatschappelijke) betaalbaarheid.
- Financieel - Mijdend: Stedin Groep is een kapitaalintensieve onderneming. Om onze betrouwbare dienstverlening aan klanten betaalbaar te houden, streven we naar een A-categorie rating van Standard & Poor’s. Wij accepteren geen risico’s die deze rating bedreigen. Om deze rating te behouden, is onder andere de betrouwbaarheid van onze financiële verslaggeving randvoorwaardelijk.
- Compliance - Avers: Wij vervullen een gereguleerde taak in de energiewereld. Daarom streven we ernaar om te voldoen aan alle van toepassing zijnde wet- en regelgeving.
- Veiligheid - Avers: De elektriciteit- en gasinfrastructuur is potentieel (levens)gevaarlijk. Waar het om de veiligheid van onze medewerkers en onze omgeving gaat, hebben we de laagst mogelijke risicobereidheid.