Inleiding

In dit artikel bekijken we ontwikkelingen en trends binnen en buiten de energiemarkt. Sommige trends zijn algemeen en zijn ook van toepassing op andere markten. Hiernaast behandelen we trends en ontwikkelingen die specifiek kenmerkend zijn voor de energiemarkt. Sourcing komt op verschillende niveaus voor. Zo zijn en worden binnen energieconcerns veelal shared service centers ingericht. Hiernaast wordt de IT of worden delen daarvan geoutsourcet. Verder worden bedrijfsprocessen uitbesteed (zoals frontofficeprocessen). Een trend binnen de frontoffice van energiebedrijven is customer self service. Ondersteund door diverse technologieën (spraakherkenning, of via internet) kunnen klanten zelf (mogelijk kritieke) mutaties doorvoeren.

De aangekondigde splitsing van energiebedrijven zal naar verwachting het aantal overnames in Nederland doen toenemen. Een van de gevolgen is dat de energiebedrijven hun shared service centers en systemen moeten gaan splitsen. Telemetrie (of slimme meters) worden ingezet in de komende jaren om direct bij de consument meterstanden te kunnen uitlezen. De laatste ontwikkeling is de mogelijke samenvoeging van registers (stamdata) om verschillen en ‘spraakverwarring’ tussen energiebedrijven te voorkomen.

Per trend en ontwikkeling wordt aangegeven wat de hierbij behorende risico’s zijn voor de energiebedrijven. Deze risico’s zijn van een andere aard dan waar het energiebedrijf voorheen mee te maken had. Het artikel sluit af met een uiteenzetting van deze nieuwe soort (externe) risico’s en een manier waarop het energiebedrijf hiermee om zou kunnen gaan.

Algemene trends in de markt

Customer self service

Customer self service is een trend die zichtbaar is bij organisaties met een groot aantal klanten, zoals de energiebedrijven. Dit is dan vooral gericht op de kleinverbruik- (of consumenten-) markt. De grote Nederlandse energiebedrijven hebben miljoenen klanten, die allemaal de nodige vragen hebben. Om alle vragen, klachten, problemen, etc. te kunnen verwerken hebben de energiebedrijven een veelheid aan frontofficemedewerkers nodig. Ondanks de enorme inspanningen van deze medewerkers kunnen soms nog niet alle klantreacties tijdig worden verwerkt.

Het is daarom dat energiebedrijven de mogelijkheden onderzoeken om de efficiëntie in de frontofficeprocessen te vergroten dan wel te verbeteren. Eén van de oplossingen die ingezet wordt, is ‘customer self service’. Voor relatief eenvoudige en standaard vragen en verzoeken wordt de klant de mogelijkheid geboden om zichzelf te helpen. Voorbeelden zijn het aanpassen van voorschotbedragen, het aanpassen van de datum waarop het voorschot wordt afgeschreven en het doorgeven van meterstanden.

Om klanten dit soort wijzigingen zelf te laten doorvoeren is het noodzakelijk dat het primaire systeem van het energiebedrijf opengesteld wordt via bijvoorbeeld het internet of een telefoonsysteem (via spraakherkenning). In potentie krijgt het primaire systeem op deze manier een paar miljoen nieuwe gebruikers die rechtstreeks mutaties kunnen uitvoeren. Het spreekt voor zich dat dit het risicoprofiel van de systemen verhoogt. Recentelijk nog kwam in het nieuws dat via de spraakcomputer van een energiebedrijf privé-gegevens van klanten waren te achterhalen en dat op eenvoudige wijze mutaties voor de verkeerde klanten konden worden doorgegeven. De spraakcomputer authenticeerde alleen op postcode en huisnummer.

Sourcing

Met de komst van globalisering en toenemende competitie zien we de afgelopen decennia een enorme toename van de populariteit van ‘sourcing’. Een eenduidige definitie van sourcing is nog niet te geven, en de verschillende mogelijke vormen van sourcing lijken elkaar in rap tempo op te volgen. We onderscheiden in dit artikel de volgende vormen van sourcing en hanteren daarbij de volgende definities:

• sourcing: het (her)inrichten van taken, functies en diensten van een organisatie, waarbij het vooral gaat om het efficiënter en effectiever managen van bedrijfs- en operationele processen, zowel op intern als op extern niveau, binnen het eigen land of in het buitenland;
• shared services: het concentreren van activiteiten in een intern organisatieonderdeel ten behoeve van meerdere interne klanten;
• outsourcing: het overbrengen van de verantwoordelijkheid van diensten en processen naar een externe partij;
• offshoring: het verplaatsen van diensten en processen naar het buitenland (doorgaans naar lagelonenlanden zoals India en China, maar bijvoorbeeld ook naar landen als Polen en Hongarije). Dit kan zowel in eigen beheer (ook wel ‘captive offshoring’ genoemd) of naar een externe partij (doorgaans aangeduid als ‘offshore outsourcing’).

Deze ontwikkelingen spelen zich ook af binnen de energiebedrijven, waarbij deze zich voornamelijk richten op het opzetten van shared service centers (SSC) voor (een gedeelte van) de ICT-functie. Een voorbeeld hiervan is een SSC voor een ERP-systeem, waarbij technische kennis binnen een aparte entiteit gecentraliseerd wordt.

Behalve sourcing binnen het energiebedrijf is er door de liberalisering van de energiemarkt ook een ontwikkeling gaande richting bedrijfsprocesoutsourcing (BPO). Voorlopig ziet Gartner dat deze ontwikkeling zich voornamelijk richt op het uitbesteden van callcenteractiviteiten ([Gart05]). Een voorbeeld van een bedrijf dat zich specifiek op deze markt heeft gericht in de energiewereld is Any-G (www.any-g.com). Dit bedrijf kan bijvoorbeeld frontoffice- en facturatieprocessen overnemen van energie(leverings)bedrijven.

Onderzoeken naar sourcing tonen aan dat dit proces niet zonder problemen gepaard gaat: een groot deel van de organisaties die hun ICT-dienstverlening hebben gesourcet is niet of slechts matig tevreden over de kwaliteit van de geleverde diensten ([Vank02]). Problemen die zich hierbij voordoen hebben vaak betrekking op de juiste vertaling van de eisen en wensen vanuit de business naar de concrete aanpassing van het systeem door het SSC: niet altijd worden de gewenste producten opgeleverd, doorlooptijden zijn lang en voortgang voor de business is niet altijd even transparant.

Verder kan de liberalisering van de energiemarkt en het splitsen van de energiebedrijven gevolgen hebben voor een SSC; bepaalde gemeenschappelijke activiteiten die eerst voor de leverancier en het netwerkbedrijf werden verricht, zullen nu zowel procedureel als systeemtechnisch gescheiden moeten worden. Een voorbeeld hiervan is de scheiding van registers van de leverancier en het netwerkbedrijf. De relatie en contracten die beide partijen met het SSC hebben, zullen moeten worden aangepast en wellicht zal voor één of meer partijen een nieuwe transitie van mensen, kennis, technologie en processen moeten plaatsvinden met alle gevolgen van dien.

Globalisering

Globalisering is een ingeburgerd begrip dat nauwelijks nog een trend te noemen is. Echter, energiebedrijven staan pas aan het begin van globalisering. Als oorzaak hiervoor is de liberalisering van de energiemarkt aan te wijzen: binnen de Europese Unie is besloten dat (net als andere markten) de energiemarkt opengesteld diende te worden voor concurrentie en grensoverschrijdende handel. Dit besluit heeft in Nederland in 1998 geresulteerd in de elektriciteitswet en de gaswet. In eerste instantie heeft dit geleid tot een consolidatieslag van energiebedrijven op nationaal niveau. Zo is in 2000 Essent ontstaan uit diverse energiemaatschappijen uit het noorden en zuiden van het land. Eneco heeft in 2003 het Utrechtse REMU overgenomen en NUON komt voort uit een fusie van het Gelderse en het Friese energiebedrijf.

De overnames en fusies hebben zeer veel energie gevraagd van de interne organisaties. Processen moesten geüniformeerd worden alsook de ondersteunende systemen. De meeste Nederlandse energiebedrijven worstelen nog steeds in meerdere of mindere mate met de nasleep van deze integratie. De turbulentie van de vaak ingrijpende veranderingen heeft risicomanagement en procesbeheersing op de kaart gezet.

Hoewel de Nederlandse energiebedrijven de veranderingen van de afgelopen jaren nog aan het verwerken zijn, is de verwachting dat een volgende golf van fusies en overnames aanstaande is (zie ook de trend ‘unbundling’). De energiebedrijven in de landen om ons heen hebben dezelfde ontwikkelingen doorgemaakt, echter meestal op veel grotere schaal dan in Nederland. Deze grote Europese energiebedrijven hebben alle groeiambities en zijn op overnamepad.

Tabel 1. Grootte van Europese energiebedrijven.

In tabel 1 zijn de omzet, het nettobedrijfsresultaat en het aantal medewerkers opgenomen van de grote Nederlandse energiebedrijven en een aantal Europese concurrenten per einde jaar 2005. Gezien de cijfers is het de vraag of Nederlandse energiebedrijven gaan overnemen of overgenomen gaan worden. Zeker is dat er de komende jaren veel veranderingen zullen plaatsvinden.

Specifieke trends in de energiemarkt

Unbundling

Een ontwikkeling in de energiesector die de genoemde trend van globalisering kan versterken, is unbundling. Unbundling betekent dat de energienetwerken (voor het transport van de energie) worden afgesplitst van de huidige (geïntegreerde) energieconcerns. Deze ontwikkeling is voorgesteld door minister Brinkhorst en is inmiddels door de Tweede Kamer geaccepteerd. Het wetsvoorstel zal in oktober 2006 in de Eerste Kamer worden behandeld. Indien het hier geaccepteerd wordt, zal de wet in werking treden vanaf 1 januari 2008. Het doel is om de energienetwerken in handen van de overheid te laten blijven. De rest van de energieconcerns (de levering en eventueel de productie van energie) kan worden verkocht.

Zoals in tabel 1 is af te lezen zijn er in Europa veel grotere energiebedrijven die graag de Nederlandse bedrijven zouden inlijven. Gemeenten en provincies zouden met de verkoop van hun aandelen een grote som geld kunnen incasseren waarmee allerlei plannen gefinancierd zouden kunnen worden. Minister Brinkhorst gaat met de huidige aandeelhouders om de tafel om een eventuele uitverkoop van de Nederlandse energiesector tegen te gaan.

Unbundling en de eventuele verkoop van de rest van de energieconcerns zullen grote gevolgen hebben voor de interne organisatie en controle van energiebedrijven. Processen en systemen zullen echt gescheiden moeten worden (zie ook de trend ‘sourcing’). Hiernaast zal een overname uiteraard grote gevolgen hebben voor de vigerende risicomanagementsystemen. De onbekendheid van buitenlandse partijen met de Nederlandse energiemarkt zal ook mogelijk een negatief effect hebben op de beheersing van de risico’s.

Telemetrie

In het onderzoek van de Directie Toezicht Energie ([DTE05]) worden foutieve en/of te laat aangeleverde meterstanden aangewezen als belangrijkste oorzaak van de administratieve problemen bij energiebedrijven (veroorzaker van vijftig procent van de problemen). Niet-tijdige en niet-correcte meterstanden leiden tot schattingen. De schattingen vormen vervolgens weer vaak aanleiding tot discussies met klanten en complexe aanpassingen op de afrekening. Voor de meterbedrijven is het een uitdaging om tijdig alle benodigde meterstanden te verkrijgen. Meteropnemers treffen mensen niet thuis, of mensen weigeren bijvoorbeeld om de meteropnemer binnen te laten.

De energiebedrijven zijn bezig met slimme, met behulp van telemetrie op afstand uitleesbare, energiemeters. Op afstand uitleesbare meters worden nu al toegepast in de grootverbruik- (zakelijke) markt. Elke vijftien minuten kunnen meterstanden worden uitgelezen (bijvoorbeeld om het energieverbruik en de inkoop/productie zo goed mogelijk in balans te kunnen houden). Voor de kleinverbruikmarkt was telemetrie tot voor kort nog te kostbaar (het gaat om miljoenen meters). Nieuwe ontwikkelingen zorgen er echter voor dat deze technologie ook in de kleinverbruikmarkt toegepast kan worden. Daarnaast heeft minister Brinkhorst voorgesteld de slimme meters gereguleerd uit te gaan rollen in Nederland.

De netbeheerder Continuon is bijvoorbeeld in Arnhem gestart met een proef met op afstand uitleesbare gasmeters en slimme elektriciteitsmeters. De meterstanden worden via het elektriciteitsnet naar het meterstandensysteem gestuurd.

EnergieNed heeft becijferd dat het invoeren van slimme meters bij alle Nederlandse huishoudens tot een kostenbesparing van 100 miljoen euro kan leiden in de energiemarkt. Er worden minder administratieve problemen verwacht en ook zouden er minder FTE’s nodig zijn (bijvoorbeeld meteropnemers).

Door de invoering van slimme meters wordt de meteropname en verwerking van meterstanden vooral een geautomatiseerd proces. De betrouwbaarheid van de gegevensverwerking wordt hiermee extra belangrijk (denk bijvoorbeeld aan juiste stambestanden, is de juiste meter bij de juiste aansluiting geregistreerd, en de volledigheid en juistheid van het uitlezen). Vanuit elke meter (elk huis) is er in feite een directe verbinding met het meterstandensysteem van het energiebedrijf. Hierdoor bestaan er inherente beveiligingsrisico’s zoals het manipuleren van de meter en/of meterstanden en eventuele ongeautoriseerde toegang tot het meterstandensysteem.

Eén aansluitingenregister

Verschillen in stambestanden tussen netbeheerders en leveranciers veroorzaken zo’n tien procent van de problemen in de administratieve processen ([DTE05]). Zowel leveranciers als netbeheerders houden stambestanden bij van hun klanten. Netbeheerders beheren het aansluitingenregister (welke aansluiting is aanwezig bij welke klant, met referentie naar de juiste leverancier) en de leveranciers hanteren een contractenregister (contracten per klant, met een referentie naar de aanwezige aansluitingen).

De verschillen in de stambestanden worden vooral veroorzaakt door invoerfouten bij de verschillende partijen. De verschillen leiden tot spraakverwarring over de identiteit van een klant (met als gevolg, bijvoorbeeld, het afrekenen, switchen of verhuizen van de verkeerde klant). In 2005 bestond er een mismatch tussen de stambestanden van zo’n zeven procent ([DTE05]).

Een mogelijkheid om de geschetste problemen op te lossen is om een centraal aansluitingenregister in te richten. Eén partij wordt dan verantwoordelijk voor het bijhouden van de administratie rondom de aansluitingen. De huidige energiebedrijven zullen in een dergelijke oplossing het beheer van een deel van hun stambestanden moeten afstaan aan een derde partij. Naast de verwachte verbetering in de administratieve processen introduceren centrale registers nieuwe risico’s, omdat een energiebedrijf nu moet kunnen vertrouwen op de activiteiten van een derde partij (vergelijkbaar met business process outsourcing, zie ook de trend ‘outsourcing’).

Vergelijkbare ontwikkelingen aan het centrale aansluitingenregister vinden ook in andere markten plaats. Zo wordt in de zorg gewerkt aan de landelijke zorginfrastructuur, AORTA. Via de landelijke infrastructuur dienen uiteindelijk alle zorgaanbieders aangesloten te zijn. Een centrale component van de infrastructuur is de Zorg Informatie Makelaar (ZIM), welke als ‘spin in het web’ medische informatie over een bepaalde patiënt kan verzamelen in de bronregistraties van de verschillende zorgaanbieders waar die patiënt geregistreerd is.

Externe risico’s

De genoemde trends en ontwikkelingen leiden ertoe dat de bedrijfsgrenzen van organisaties in de energiemarkt steeds opener (moeten) worden en vervagen. Hierdoor komt een organisatie bloot te staan aan nieuwe risico’s waar zij zelf niet de volledige controle over heeft. Zo krijgen miljoenen klanten toegang tot het bronsysteem en worden met diverse partijen koppelingen aangegaan. Figuur 1 geeft een indruk van nieuwe relaties en bijbehorende risico’s waar een energiebedrijf mee te maken heeft.

Figuur 1. Nieuwe relaties en vervagende grenzen van het energiebedrijf.

De nieuwe relaties en opengestelde bedrijfsgrenzen vereisen een nieuwe aanpak van risicomanagement en interne controle. Trends en ontwikkelingen zoals outsourcing, customer self service, intelligente meters en een centraal aansluitingenregister introduceren nieuwe risico’s voor de betrouwbaarheid van de gegevensverwerking. Voor energiebedrijven in Nederland vormen de splitsing (unbundling) en eventuele overname door een buitenlandse partij extra dreigingen waarmee de beheersing van risico’s extra onder druk zal komen te staan.

Het IT Governance Institute ([ITGI05]) geeft een aantal voorbeelden van gevallen waarin het niet goed managen van externe risico’s van de ‘extended enterprise’ tot grote financiële consequenties heeft geleid:

• In de afgelopen jaren moest Cisco zo’n 2,5 miljard dollar afschrijven op voorraden vanwege slechte informatie en management van partners en leveranciers.
• Micron technologies moest 260 miljoen dollar afschrijven op geheugen vanwege supply chain-problemen.
• IBM verloor zestien procent waarde op de beurs vanwege diverse tekorten aan componenten, veroorzaakt door gebrekkige communicatie met en informatie van partners.

Tabel 2. Externe risico’s bij energiebedrijven.

Ook al is het lastig te kwantificeren, het is voorstelbaar dat deze risico’s grote (financiële) consequenties kunnen hebben. Energiebedrijven zijn nu nog vaak te veel intern gericht en daardoor niet voorbereid op specifieke risico’s die de nieuwe manier van werken introduceert.

Beheersing van externe risico’s

Zoals genoemd krijgen organisaties te maken met nieuwe risico’s. Niet alleen de eigen processen en systemen zijn van belang, maar ook die van ketenpartners, concurrenten of klanten. De benadering van risicobeheersing was tot nu toe vooral gericht op de interne organisatie. Aan de hand van een internecontroleraamwerk worden beheersingsmaatregelen ingericht.

Door de nieuwe risico’s is de interne aanpak niet voldoende meer. Een organisatie moet over haar eigen grenzen heenkijken. Het is echter een utopie om ervan uit te gaan dat alle partijen waarmee de organisatie te maken heeft hun eigen interne controle op orde hebben. Hierdoor is het noodzakelijk dat verder wordt gekeken dan interne controle.

De externe risico’s die zich kunnen voordoen, dienen te worden geïdentificeerd en hiervoor dienen passende maatregelen te worden ingericht. Deels kunnen dit maatregelen zijn die de organisatie zelf kan invoeren (waarover zij de volledige controle heeft), maar vaak zullen ook andere partijen daarbij betrokken zijn. Bij het bepalen en implementeren van beheersingsmaatregelen (‘external controls’) zal dan vaak moeten worden samengewerkt met partners in de markt of keten. De volgende voorbeelden illustreren het verschil:

• Een organisatie kan bijvoorbeeld in haar eigen systeem extra controles inbouwen om binnenkomende berichten te verifiëren.
• Periodiek kunnen stamgegevens met die van concurrenten of partners vergeleken worden om eventuele fouten op te sporen dan wel fouten te voorkomen.

Volwassenheidsniveaus beheersing van externe risico’s

Voordat een bedrijf effectief externe risico’s kan beheersen, moeten de interne organisatie en de interne controle op orde zijn. Volgens Hammer ([Hamm01]) dienen de muren tussen afdelingen afgebroken te zijn, zodat de interne organisatie optimaal kan functioneren (zonder fouten, miscommunicatie, etc.). De intern ‘perfect’ georganiseerde organisatie is echter nog maar het begin. Hierna moeten de ‘intercompany’-processen worden aangepakt. Hiermee kan een organisatie van efficiënt naar superefficiënt groeien. Het internecontrolemechanisme dient hierin mee te groeien (van intern naar extern).

De groei van interne naar externe controle gaat samen met de overgang op een ‘extended enterprise’ (of netwerkorganisatiemodel). Hierbij is een parallel te trekken met de Nolan-fasentheorie. In dit geval zijn twee fasen te onderscheiden (zie figuur 2).

Figuur 2. Van intern naar extern risicomanagement.

Om het externe risicomanagement te ontwikkelen kan een volwassenheidsmodel worden toegepast. De nieuwe risico’s zullen op eenzelfde manier moeten worden beheerst als de interne risico’s. De verschillende fasen kunnen nu als volgt worden gekarakteriseerd:

1. Onbetrouwbaar. Op het eerste niveau zijn voor het eerst relaties aangegaan met externe partijen. In de organisatie is er nog onvoldoende bewustzijn over de risico’s en noodzakelijke beheersingsmaatregelen die dit met zich meebrengt (het ‘externecontrolebewustzijn’). Voorbeeld: meldingen van niet te verwerken, onvolledige of onjuiste berichten worden niet tijdig gesignaleerd.
2. Beginnend. Het bewustzijn van de externe risico’s groeit, alsook de noodzaak van beheersingsmaatregelen. De maatregelen worden gedocumenteerd, maar een totaalinzicht ontbreekt nog. De externe risico’s worden gesignaleerd maar niet altijd tijdig gemitigeerd. Voorbeeld: het risico van onjuiste berichten is onderkend maar er is nog geen adequate maatregel geïmplementeerd. Als noodoplossing worden extra mensen ingehuurd om achterstanden en fouten weg te werken.
3. Betrouwbaar. De noodzakelijke beheersingsmaatregelen zijn gedocumenteerd en de organisatie is zich bewust van de externe risico’s. Periodiek worden evaluaties uitgevoerd op het ‘externecontroleraamwerk’. Gebreken die worden gesignaleerd, worden tijdig opgelost, daar waar mogelijk in samenwerking met partners. Voorbeeld: op basis van een risico-evaluatie worden met partners richtlijnen aangescherpt voor het versturen van berichten via het clearing house. Intern wordt de verifiëring van binnenkomende berichten hierop aangepast.
4. Proactief. Behalve een adequaat externecontroleraamwerk dat periodiek geëvalueerd wordt, gebruikt de organisatie tools om de uitvoering van controls te kunnen monitoren en te rapporteren. De tooling wordt ook door de partners van de organisatie gebruikt (zij geven aan welke controleactiviteiten zij uitgevoerd hebben), waardoor inzicht wordt verkregen in de beheersing van het gehele ketenproces.
5. Geoptimaliseerd. De organisatie is gericht op een continue verbetering van het risicomanagement, alsook op het continu verbeteren van de relatie met partners waarmee wordt samengewerkt. In gezamenlijke evaluaties en zelfevaluaties worden met partners de risico’s geëvalueerd. Investeringen in noodzakelijke externe beheersingsmaatregelen worden gezamenlijk gedaan.

Figuur 3. Volwassenheidsniveaus voor extern risicomanagement.

Conclusie

In dit artikel zijn verschillende trends en ontwikkelingen uiteengezet welke van toepassing zijn op de energiemarkt. De trends en ontwikkelingen brengen nieuwe en een ander soort risico’s met zich mee: externe risico’s. Kenmerkend voor externe risico’s is dat het energiebedrijf geen of slechts gedeeltelijk invloed kan uitoefenen op het mitigeren van deze risico’s. Bij het analyseren van deze risico’s zou daarom naast kans en impact ook het aspect ‘mate van invloed’ meegenomen moeten worden. Hierdoor ontstaat er een completer beeld van de in te richten controles en de te nemen maatregelen.

Figuur 4. Mate van invloed betrekken bij het beoordelen van risico’s.

Met het drama van Enron in het achterhoofd zal er een steeds grotere nadruk komen te liggen op risicomanagement en beheersing bij de energiebedrijven. Door de relatie van deze risico’s met ICT is hierbij een belangrijke rol weggelegd voor de IT-auditor. Deze kan bijvoorbeeld een rol vervullen binnen verschillende fasen en onderdelen van het sourcingtraject. Voorbeelden hiervan zijn due dilligence-onderzoeken, vendor selection, SLA-review en ‘post merger’-integratieprojecten.

Vanwege de steeds sterkere relatie van ICT met risicomanagement en interne beheersing is ook een duidelijke rol weggelegd voor de IT-auditor in de transitie van intern risicomanagement naar extern risicomanagement welke energiebedrijven (en overige organisaties) op dit moment doormaken. In dit artikel is een aanzet gegeven hoe om te gaan met de nieuwe, externe, risico’s aan de hand van volwassenheidsniveaus.