Risicobeheersing

Enterprise risk management (ERM)

In 2025 is de vernieuwde Corporate Governance Code uitgebracht waarin de Verklaring Omtrent Risicobeheersing (VOR) is opgenomen. De VOR vraagt het bestuur uiteindelijk een verklaring te geven over opzet, bestaan en werking van de interne risicomanagement en control systemen ten aanzien van de financiële verslaggeving, de duurzaamheidsverslaggeving, de operationele en compliance risico’s. De onderdelen waarop Enexis in 2025 afwijkt van de Corporate Governance Code, worden toegelicht in het hoofdstuk Corporate Governance.

Als basis voor interne risicomanagement en control systeem hanteert Enexis het COSO Enterprise Risk Management (ERM)-model en het Three Lines Model – wereldwijde standaarden op het gebied van risicomanagement. In 2025 hebben we een uitgebreide analyse uitgevoerd op ons interne risicomanagement en control systeem, met als doel inzicht te krijgen in waar we dit systeem moeten verbeteren en versterken en wat uiteindelijk ook zal bijdragen aan een onderbouwde verklaring.
Dit heeft ertoe geleid dat we ons interne risicomanagement en control systeem in 2026 verder gaan structuren en standaardiseren. Dit stelt ons in staat om - naast het systeem ten aanzien van de financiële verslaggeving - de opzet, bestaan en werking van ons systeem ten aanzien van de duurzaamheidsverslaggeving, compliance en operationele risico’s goed te kunnen monitoren en beoordelen.

INTERN RISICOMANAGEMENT EN CONTROL SYSTEEM

Risicomanagement stelt Enexis in staat om tijdig risico’s te identificeren en beheersen die het behalen van onze doelstellingen kunnen beïnvloeden. Onze aanpak is volledig geïntegreerd in de planning- en controlcyclus en in de dagelijkse bedrijfsprocessen. We stimuleren risicobewustzijn binnen de organisatie en moedigen medewerkers aan om actief en bewust met risico’s om te gaan.

Met risicomanagement beperken we niet alleen risico’s, maar creëren en behouden we ook waarde, verbeteren we prestaties en waarborgen we dat Enexis voldoet aan wet- en regelgeving. Door middel van risico-assessments identificeren en analyseren we risico’s op alle niveaus binnen de organisatie, waarna passende beheersmaatregelen worden genomen. Het management is primair verantwoordelijk voor risicobeheersing, ondersteund door business controllers, Internal Audit & Risk (IA&R) en andere staffuncties. De groepsrisicomanagers van IA&R coördineren en faciliteren het risicomanagementproces.
We hebben onze risicomanagementprocessen opgesplitst in TOP- en operationeel risicomanagement. De uitkomsten van de TOP- en operationele risicoanalyse worden gerapporteerd aan en besproken in de rvb en de auditcommissie of rvc.

TOP-RISICOMANAGEMENT

TOP-risicomanagement focust op de belangrijkste risico’s die de strategische doelen of continuïteit van Enexis kunnen bedreigen. Jaarlijks worden deze risico’s geïnventariseerd, geanalyseerd en gewaardeerd. Voor elk TOP-risico worden maatregelen bepaald en de voortgang wordt periodiek gerapporteerd aan de rvb.

Met elkaar verbonden of samenhangende risico’s worden op groepsniveau geclusterd. Op dit moment heeft Enexis 10 geclusterde TOP-risico’s geïdentificeerd. Risico’s die op de risicomatrix in het rode gebied zijn gepositioneerd, vallen buiten de risicobereidheid van Enexis. Voor deze risico’s worden maatregelen genomen om het risico minimaal terug te brengen naar oranje gebied. Voor risico’s in het oranje gebied bepaalt de directie of er aanvullende maatregelen noodzakelijk zijn.

OPERATIONEEL RISICOMANAGEMENT

Operationeel risicomanagement richt zich op het tijdig signaleren en beheersen van risico’s die de dagelijkse bedrijfsvoering kunnen verstoren. Hierbij nemen we ook de risico's mee die zijn voortgekomen uit periodieke compliance -, privacy -, security- en datamanagement-analyses. We streven er hierbij naar om de risico's die boven de risicobereidheid van Enexis vallen te mitigeren via key controls. Deze key controls leggen we vast in ons internal control framework (ICF). Via periodieke analyses en Control Self Assessments (CSA) worden de belangrijkste risico’s en beheersmaatregelen geëvalueerd. Het afdelingsmanagement weegt de uitkomsten van het CSA en voegt die zo nodig toe aan de interne letter of representation (LOR), waarin de belangrijkste tekortkomingen worden gerapporteerd.

Naast de hard controls in het ICF besteden we ook aandacht aan soft controls. Die zijn gericht op integer gedrag. bevlogenheid en onderlinge samenwerking. Onze interne integriteitscommissie heeft aandacht voor integriteit, voert periodiek een frauderisico-analyse uit en bespreekt de beheersing van frauderisico's.

TOP-RISICO'S

Hieronder zijn de TOP-risico’s beschreven. Specifieke risico’s met betrekking tot de financiële instrumenten zijn beschreven in de toelichting op de jaarrekening.

Risicocluster

Omschrijving en ontwikkeling

Belangrijkste maatregelen

A. Schaarste in middelen en capaciteit bij realisatie klantvraag

De energietransitie en toenemende klantvraag leiden tot een structureel tekort aan personeel, materialen en netwerkcapaciteit. Dit veroorzaakt vertragingen bij het realiseren van klantwensen, hogere kosten, ontevreden klanten en risico’s voor kwaliteit en veiligheid. De arbeidsmarkt voor technisch personeel is krap, het elektriciteitsnetwerk raakt overbelast en leveringszekerheid van materialen staat onder druk door geopolitieke en marktfactoren. Ondanks diverse maatregelen blijft het risico hoog, mede door demografische ontwikkelingen, complexe vergunningstrajecten en beperkte voorspelbaarheid van materiaalbehoefte. De verwachting is dat deze schaarste de komende jaren aanhoudt of zelfs toeneemt.

  • Strategische partnerschappen en aanbestedingen met aannemers voor extra capaciteit.

  • Versneld en uniform opleiden van personeel (o.a. via academies en train-the-trainer).

  • Proactief investeren in netuitbreidingen en implementatie van congestiemanagement.

  • Ontwikkeling en standaardisatie van flex-producten en werkprocessen.

  • Categorie- en leveranciersmanagement, inclusief risicodashboards.

  • Uitbreiden van logistieke en leverancierscapaciteit via aanbestedingen.

  • Monitoring van marktontwikkelingen en alternatieve wervingskanalen.

  • Afdeling overstijgende samenwerking in planning en supply chain.

Risico in 2025 t.o.v. 2024:

Gelijk

B. Digitale veiligheid en continuïteit van data en systemen

Door toenemende digitalisering, afhankelijkheid van cloud- en IT-systemen en de opkomst van nieuwe technologieën (zoals quantumcomputers en GenAI), neemt het risico op ongeautoriseerd gebruik van data, cyberaanvallen en grootschalige systeemuitval sterk toe. Incidenten kunnen leiden tot datalekken, verstoring van bedrijfsprocessen, reputatieschade, financiële schade en niet-naleving van wet- en regelgeving. De dreiging wordt versterkt door geopolitieke spanningen, complexiteit van het IT-landschap en beperkte volwassenheid van processen. Nieuwe wetgeving en technologische ontwikkelingen vragen om voortdurende aanpassing van beveiligingsmaatregelen. Het risico blijft hoog en ontwikkelt zich snel, mede door de snelle adoptie van AI en de verwachte doorbraak van quantumtechnologie.

  • Inzicht via digitale beveiligingsdashboards

  • Regelmatige testen op kwetsbaarheden en cyberaanvallen

  • Beveiliging ingebouwd in ontwerp van systemen

  • Beperking en regulering van kunstmatige intelligentie

  • Plannen voor bedrijfscontinuïteit en herstel ingericht en getest

  • Aangescherpt leveranciersbeleid gericht op digitale veiligheid

  • Training en bewustwording bij medewerkers

  • Voorbereiding op versleuteling die bestand is tegen quantumcomputers

  • Afstemming op nieuwe Europese en nationale wetgeving (NIS2, Wbni2 en EU-netcodes)

Geopolitieke spanningen en statelijke actoren, de verdergaande digitalisering integratie met onze operationele technologie zijn belangrijke drijfveren achter de toegenomen kans, deels gemitigeerd door betere beheersingsmaatregelen.

Risico in 2025 t.o.v. 2024:

Kans

Impact

C. Veiligheid van medewerkers, omstanders en publieke ruimte

Het werken aan elektriciteits- en gasinfrastructuur en in de publieke ruimte brengt risico’s op ongevallen en gezondheidsschade voor medewerkers en omstanders met zich mee. Oorzaken zijn onder andere foutieve inschattingen, onveilige situaties, falende materialen, agressie uit de omgeving en complexere werkomstandigheden dan voorheen. Incidenten kunnen leiden tot ernstig letsel, langdurige gezondheidsschade, reputatieschade en financiële gevolgen. Ondanks inspanningen stijgt het risico door toenemende complexiteit van het werk, strengere wetgeving en veranderende externe omstandigheden zoals klimaatverandering en maatschappelijke ontwikkelingen.

  • Opleiden en trainen van medewerkers in veilig werken en risicobewustzijn

  • Implementatie van gasloos en spanningsloos werken

  • Tweedelijns controles op veiligheid in werkprocessen

  • Uitvoeren van onderhouds- en vervangingsprogramma’s voor netwerken en componenten

  • Strikte toegangscontrole en fysieke beveiliging van installaties

  • Gebruik van digitale hulpmiddelen voor monitoring en rapportage van veiligheid

  • Verbeteren van communicatie met klanten om agressie te verminderen

  • Periodieke audits en kwaliteitscontroles bij leveranciers en aannemers

  • Inrichting van crisismanagement en directe opvolging bij incidenten

Risico in 2025 t.o.v. 2024:

Kans

D. Omvangrijke en/of frequente onderbrekingen in de energievoorziening

Het risico op omvangrijke en frequente onderbrekingen in de energievoorziening neemt toe door natuurrampen, klimaatverandering, veroudering van netwerken, toegenomen belasting en externe dreigingen zoals moedwillige schade of tekorten aan gas. Zulke onderbrekingen kunnen leiden tot langdurige uitval van elektriciteit en gas, verstoring van de bedrijfsvoering, juridische gevolgen en schade aan het imago.

  • Regelmatig onderhoud en tijdige vervanging van onderdelen in het netwerk

  • Crisismanagementplannen en crisisoefeningen, inclusief aandacht voor communicatie

  • Voorraad van noodstroomvoorzieningen en reserve-onderdelen

  • Continue actualisatie van ontwerp- en veiligheidsrichtlijnen voor netwerken

  • Prioriteit voor onderhoud boven klantgedreven werkzaamheden

  • Monitoring van kritieke netten en analyse van risico’s

  • Specifieke maatregelen tegen graafschade en externe dreigingen

  • Samenwerking met landelijke en regionale instanties voor bescherming en herstel

Door de groeiende vraag en vertraagde investeringen worden netten zwaarder belast, waardoor de storingen waarschijnlijker worden en zich frequenter kunnen voordoen. Onze aandacht voor deze risico’s is toegenomen, mede door recente crises en ontwikkelingen in binnen- en buitenland. Het voorkomen en snel herstellen van onderbrekingen blijft een topprioriteit.

Risico in 2025 t.o.v. 2024:

Gelijk

E. Financiële weerbaarheid en financierbaarheid van Enexis

De financiële positie van Enexis staat onder druk door schommelingen in rente en grondstofprijzen, stijgende investeringen en een vertraagde aanpassing van de vergoeding vanuit regelgeving. Hierdoor ontstaat een grotere behoefte aan eigen vermogen en wordt het moeilijker om financiering aan te trekken. Een verslechtering van het kredietprofiel kan leiden tot hogere rentelasten, minder toegang tot financiering en een verminderd vertrouwen van aandeelhouders en geldverstrekkers. Op termijn kan dit de continuïteit van onze investeringen en de uitvoering van de strategie in gevaar brengen. Door de toegenomen omvang van Enexis, dalende financiële buffers en externe economische ontwikkelingen, is het risico toegenomen ten opzichte van vorig jaar.

  • Regelmatige analyse en rapportage van financiële risico’s door de treasury-afdeling

  • Voorstellen om de impact van prijsrisico’s te beperken

  • Onderzoek naar het versterken van financiële buffers, bijvoorbeeld door afsplitsing van niet-reguliere activiteiten

  • Aanpassingen gericht op het verbeteren van het kredietprofiel en het beperken van risico’s bij kredietbeoordelaars

  • Bestuurlijke besluitvorming over financiële strategie en risicobeheersing

Risico in 2025 t.o.v. 2024:

Kans

Impact

F. Wendbaarheid en verander-vermogen van Enexis

De energietransitie, veranderende wet- en regelgeving en toenemende complexiteit in de markt vragen om een organisatie die snel en effectief kan inspelen op veranderingen. Enexis loopt het risico dat klantprocessen, medewerkers, ketens en verandercapaciteit onvoldoende wendbaar zijn om tijdig en adequaat te reageren, mede door de snelle groei van het bedrijf. Dit kan leiden tot vertraging in het realiseren van strategische doelen, dalende klanttevredenheid, inefficiëntie, verhoogde werkdruk en het missen van kansen in de energietransitie. Ondanks diverse initiatieven blijft het risico hoog door de omvang en snelheid van veranderingen, beperkte capaciteit en de noodzaak tot samenwerking binnen en buiten de organisatie.

  • Versnellen en vernieuwen van klantprocessen en producten

  • Investeren in leiderschap, samenwerking en ontwikkeling van medewerkers

  • Strategische personeelsplanning en inzet op duurzame inzetbaarheid

  • Intensiveren van samenwerking met andere netbeheerders en partners

  • Programmasturing en prioritering van verandertrajecten

  • Faseren en plannen van grote veranderprogramma’s

  • Regelmatige evaluatie en bijstelling van strategie en uitvoering

Risico in 2025 t.o.v. 2024:

Gelijk

G. Reputatie en vertrouwen bij klanten en stakeholders

Door schaarste in het energiesysteem en onzekerheid over de planning van investeringen, kunnen verwachtingen van klanten en stakeholders niet altijd worden waargemaakt. Onvoldoende transparantie en het niet tijdig of adequaat reageren op klachten of incidenten vergroten het risico op negatieve beeldvorming, klachten en reputatieschade. Incidenten, vertragingen of onduidelijke communicatie kunnen leiden tot ontevredenheid, claims en verlies van vertrouwen in de organisatie. De mogelijke impact van reputatieschade is toegenomen door toenemende knelpunten in de energietransitie en wachtrijen, onvoldoende handelingsperspectief voor klanten, de politieke en maatschappelijke druk die wordt versneld door social media. Snelle en open communicatie wordt steeds belangrijker om het vertrouwen te behouden.

  • Proactieve en transparante communicatie met klanten en stakeholders

  • Tijdig informeren over ontwikkelingen, knelpunten en oplossingen

  • Landelijke capaciteitskaarten en publiekscampagnes inzetten

  • Monitoring van klanttevredenheid en reputatie via onderzoek en media-analyses

  • Duidelijke structuur en voorbereiding voor crisiscommunicatie

  • Intensieve samenwerking binnen de sector en met overheden

  • Training en bewustwording bij medewerkers over reputatierisico’s

  • Projecten gericht op stakeholderbetrokkenheid en relatiebeheer

Risico in 2025 t.o.v. 2024:

Impact

H. Beperkingen en onzekerheden door regelgeving en vergunningen

De energietransitie vraagt om snelle uitbreiding van het elektriciteitsnet, maar ruimtelijke beperkingen, complexe en trage vergunningstrajecten, veranderende wet- en regelgeving en stikstofbeperkingen zorgen voor vertraging. Ook neemt de juridisering toe: klanten en stakeholders kiezen vaker voor juridische procedures bij vertragingen of onduidelijkheid. Politieke instabiliteit en onvoorspelbaarheid van beleid maken het lastig om tijdig te anticiperen. Hierdoor kunnen projecten later of niet doorgaan, stijgen de kosten en neemt de kans op ontevredenheid en reputatieschade toe. De urgentie is hoog, maar de benodigde versnelling wordt belemmerd door externe factoren en interne afstemming. Daardoor hebben we het risico ten opzichte van 2024 zien toenemen.

  • Aanpassen van organisatiestructuur en processen voor betere ruimtelijke inpassing

  • Intensieve samenwerking met overheden en andere netbeheerders

  • Proactieve lobby voor snellere besluitvorming en duidelijk beleid

  • Ontwikkelen en implementeren van beleid voor stikstofbeperkingen

  • Juridische ondersteuning bij nieuwe regelgeving en geschillen

  • Monitoring van projecten en tijdige signalering van vertragingen

  • Structurele stakeholderdialoog en transparante communicatie over knelpunten

  • Inventarisatie en rapportage van risico’s en vertragingen in projecten

Risico in 2025 t.o.v. 2024:

Kans

Impact

I. Risico op verkeerde beslissingen door onvoldoende datakwaliteit

Enexis is in toenemende mate afhankelijk van data voor het nemen van operationele beslissingen en het aansturen van processen. Onvoldoende nauwkeurigheid, volledigheid of tijdige beschikbaarheid van gegevens kan leiden tot verkeerde keuzes, verstoringen in primaire processen en onbetrouwbare rapportages. Door de groeiende inzet van voorspellende modellen en kunstmatige intelligentie wordt het belang van goede datakwaliteit steeds groter. Problemen met datakwaliteit versterken het risico op fouten, hogere kosten en verlies van vertrouwen. De noodzaak om te kunnen vertrouwen op data neemt toe, zeker nu het netwerk complexer wordt en sneller moet inspelen op ontwikkelingen.

  • Ontwikkelen van een centrale datastrategie en dataplatform

  • Verbeteren van datakwaliteit in alle processen

  • Toewijzen van duidelijke verantwoordelijkheden voor databeheer

  • Inzetten op training en bewustwording rondom datakwaliteit

  • Aanstellen van een Chief Data Officer, die primair verantwoordelijk is en focus heeft op het onderwerp datakwaliteit

Risico in 2025 t.o.v. 2024:

Gelijk

J. Geopolitieke disruptie leidt tot verstoring van de energievoorziening en dienstverlening

Door toenemende geopolitieke spanningen, cyberdreigingen, verstoringen in de toeleveringsketen en internationale conflicten loopt Enexis het risico dat de energievoorziening en dienstverlening aan klanten en maatschappij wordt onderbroken. Dit kan leiden tot verminderde betrouwbaarheid, hogere kosten, beperkte toegang tot energie en beschadiging van infrastructuur. De energietransitie en afhankelijkheid van internationale markten vergroten deze kwetsbaarheid. Het risico is nieuw als samenhangend thema, maar onderdelen zoals cyber- en inkooprisico’s waren eerder al bekend. De kans op verstoring is reëel en de potentiële impact zeer groot, waardoor onze weerbaarheid steeds belangrijker wordt.

  • Periodieke monitoring van dreigingen en periodieke audits op weerbaarheid, crisismanagement en business continuity management

  • Versterken van weerbaarheid en samenwerking binnen de energiesector, waaronder expliciet maken van te bereiken doelen en bijbehorende acties

  • Ontwikkelen van integrale van risicoanalyses en crisismanagementplannen en het inrichten van bijbehorende governance

  • Implementeren van beleid voor bedrijfscontinuïteit

  • Verbeteren van cyberbeveiliging en incidentrapportage

  • Monitoring van dreigingen en periodieke audits op weerbaarheid

  • Versterken van weerbaarheid van medewerkers

Risico in 2025 t.o.v. 2024:

Nieuw in 2025