Risicogovernance
De RvB is eindverantwoordelijk voor de uitvoering van risicomanagement, samen met de directie van de bedrijfsonderdelen. Zij krijgen ondersteuning van stafafdelingen zoals Corporate Risk Management, Veiligheid, Gezondheid, Milieu & Kwaliteit (VGMK), Business Continuity Management, Security, Corporate Affairs (inclusief Privacy Office), Compliance & Integriteit en Treasury. De afdeling Asset Management heeft de taak om voorstellen voor (vervangings)investeringen te doen op basis van een risicoanalyse. Hiervoor hanteren we de NTA 8120 (ISO 55000)-standaard. De operationele assetrisico’s zijn benoemd in het investeringsplan. Het investeringsplan voor de jaren 2022-2024 is beschikbaar op www.stedin.net. Internal Audit voert audits uit en rapporteert de resultaten aan de RvB en de Auditcommissie van de RvC. Het onderwerp Risk staat vier keer per jaar op de agenda van de Auditcommissie van de RvC. Een gedetailleerde uitwerking van ons risicomanagement governance staat op www.stedingroep.nl.
Risicomanagementproces
Het Enterprise Risk Management (ERM)-raamwerk van Stedin Groep bevat zowel langetermijn- als kortetermijn-onzekerheden. Dit ERM-raamwerk is grotendeels vertaald in een In Control Framework (ICF). Dit ICF bestaat uit de risicocategorieën Tactisch/Operationeel, Financieel, Fraude, Business Continuity, Compliance/Privacy, Information Security en Financiële verslaggeving. Voor de inrichting van dit raamwerk hebben we ons laten leiden door het COSO-raamwerk en de ISO 31000-standaard. Het risicomanagementproces is een vast onderdeel van de standaard businessplanning- en controlcyclus.
Langetermijnonzekerheden
De ontwikkelingen van de langetermijnonzekerheden en de bijbehorende beheersing actualiseren we en rapporteren we eens per kwartaal aan het MT Strategie. De onzekerheden zetten we af tegen de risicobereidheid. Hiernaast vormen de langetermijnonzekerheden input voor de selectie van de veranderprogramma's binnen Stedin, maken ze deel uit van de financieel-strategische prognoses en worden ze meegenomen in het jaarplanproces. Zo zijn de langetermijnonzekerheden zo veel mogelijk onderdeel van de planvorming. De langetermijnonzekerheden staan toegelicht in het onderdeel Belangrijkste strategische risico's en kansen Stedin Groep 2022.
Kortetermijnonzekerheden
Kortetermijnonzekerheden hebben een horizon van ongeveer 1 jaar. Voorbeelden van kortetermijnonzekerheden zijn operationele risico's zoals storingen, fraude en verslaggevingsrisico's. Voor de kortetermijnonzekerheden stellen we risico’s en kansen vast en daarmee samenhangende beheersmaatregelen. De kortetermijnonzekerheden en beheersmaatregelen zijn gekoppeld aan de bedrijfs-, keten- en afdelingsdoelen zoals die zijn opgenomen in de keten- en afdelingsplannen. We inventariseren en actualiseren de risico’s en beheersmaatregelen minimaal één keer per jaar via risico- en beheersingssessies met het management. Periodiek beoordeelt het afdelingsmanagement, in het kader van het 'Samen in control-proces', via zelfevaluatie of de beheersmaatregelen effectief zijn. Ook worden door het afdelingsmanagement verbeterpotentieel en acties bepaald. De uitkomsten van deze zelfevaluaties bespreken we elk kwartaal met het afdelingsmanagement. Over de ontwikkeling van de risico’s en de effectiviteit van de genomen beheersmaatregelen rapporteren we maandelijks via businessunit-reviews aan de RvB. Daarnaast rapporteert het management van elk bedrijfsonderdeel twee keer per jaar via een Letter of Representation aan het bestuur. Daarin rapporteren ze over integriteit, strategie en doelen, risico’s en beheersing, externe verslaglegging en wet- en regelgeving. Hierbij gebruikt het management de interne ‘In Control richtlijnen’ om op ieder element een gedegen afweging te maken. Deze verklaringen vormen een belangrijke basis voor de In control-verklaring van de RvB. In het geval dat er aandachtspunten zijn, maakt risicomanagement een afweging van de impact voor het advies van de algehele In control-verklaring van het bestuur.
Risicobereidheid
Om onze organisatiedoelstellingen te realiseren, moeten we in bepaalde mate risico nemen. Gegeven het publieke en gereguleerde karakter van Stedin Groep neigt de algehele risicobereidheid meer naar de risico-averse en mijdende kant. De mate waarin we bereid zijn om risico’s te nemen (de risicobereidheid), verschilt per risicocategorie:
Bij zowel de risico’s als de kansen zoekt Stedin Groep continu de balans tussen haar maatschappelijke rol, de beschikbare (financiële) middelen en de omgeving.
Strategisch - Neutraal: Stedin Groep is bereid gematigde risico’s te nemen voor het realiseren van haar missie, visie en strategische doelstellingen.
Operationeel - Mijdend: Stedin Groep heeft bij risico’s rond de leveringszekerheid een mijdende risicobereidheid. Hierbij zoekt Stedin Groep de balans tussen leveringszekerheid en de (maatschappelijke) betaalbaarheid.
Financieel - Mijdend: Stedin Groep is een kapitaalintensieve onderneming. Om onze betrouwbare dienstverlening aan klanten betaalbaar te houden, streven we naar een A-categorie rating van Standard & Poor’s. Wij accepteren geen risico’s die deze rating bedreigen. Om deze rating te behouden, is onder andere de betrouwbaarheid van onze financiële verslaggeving randvoorwaardelijk.
Compliance - Avers: Wij vervullen een gereguleerde taak in de energiewereld. Daarom streven we ernaar om te voldoen aan alle van toepassing zijnde wet- en regelgeving.
Veiligheid - Avers: De elektriciteit- en gasinfrastructuur is potentieel (levens)gevaarlijk. Waar het om de veiligheid van onze medewerkers en onze omgeving gaat, hebben we de laagst mogelijke risicobereidheid.