Målstyring i virksomheten

Statsstøtte

Enovas virkemidler vil i de aller fleste tilfeller falle inn under EØS-avtalens statsstøttedefinisjon. Statsstøtte er per definisjon konkurransevridende og derfor i strid med EØS-avtalen. Det innebærer at vi må ha en statsstøtterettslig hjemmel for våre ordninger for at de skal være lovlige.

Grunnprinsippet er at statsstøtte kan benyttes som virkemiddel, dersom det gode formålet med støtten utligner den negative effekten på konkurransen. Forutsetningen for at statsstøtte skal være lovlig og hensiktsmessig, er at støtten er avgjørende for at den miljøvennlige investeringen blir gjennomført. Støtten skal med andre ord bare gis til prosjekter som ellers ikke ville blitt gjennomført. Den skal videre være knyttet til merkostnadene forbundet med det miljøvennlige valget, fremfor det som ellers vil være investors alternativ.

Det rettslige grunnlaget for Enovas støtteordninger er nærmere beskrevet på https://www.enova.no/nb/om-oss/hvem-er-enova/prinsipper-etterlevelse/rettslig-grunnlag

Målstyring og operasjonalisering av oppdraget

Enova benytter en målstyringsmodell som skal bidra til at virksomheten når sine strategiske mål. Modellen benyttes i tillegg til tradisjonell regnskaps- og økonomistyring, og har angitte mål og nøkkeltall. Disse omfatter resultater og prosesser innenfor ulike perspektiver.

Måloppnåelse og resultat følges systematisk opp ved at resultater i alle enheter vurderes periodevis. Denne prosessen fremmer læring og kontinuerlig forbedring i organisasjonen.

Det må skje varige endringer i markedet for å lykkes med oppdraget. De endringene Enova fremmer må være relevante på veien mot lavutslippssamfunnet. Enovas primære mål er å bidra til omstilling gjennom varige markedsendringer, og omstillingen skal i tillegg bidra til utslippsreduksjoner på kort og lang sikt. For å få til endring, defineres et sett med markedsendringsmål. Disse målene har i 2025 vært utgangspunktet for utvikling av virkemidler og Enovas innsats i markedene.

Enova prioriterer mellom markedsendringsmål ved å balansere hensynet til:

• måloppnåelse i tid
• måloppnåelse innenfor de ulike delmålene i styringsavtalen
• vår risikotoleranse
• økonomiske rammebetingelser

Kapittel 3 Resultater og rapportering i årsrapporten gir utdypende beskrivelse av måloppnåelse og ressursutnyttelse.

Risikostyring og internkontroll

Risikostyring er en integrert del av styringen av Enova. Vi vurderer risiko på flere nivåer i hele virksomheten knyttet til måloppnåelse av overordnede mål i styringsavtalen og tilhørende indikatorer.

Strategiske risiko Vi ser en økende usikkerhet knyttet til både tilgangen på nye prosjekter og graden av faktisk gjennomføring kan påvirke den samlede måloppnåelsen. Utviklingen formes i stor grad av eksterne forhold og geopolitisk uro. For å møte denne risikoen arbeider Enova med å etablere porteføljestyring av satsinger, noe som gir større fleksibilitet i prioriteringer og bedre mulighet for å tilpasse kapasiteten. I tillegg videreutvikles styringsinformasjonen på tvers av virkemidler slik at risiko kan identifiseres tidligere. En forsterket drifts- og forvaltningspraksis, særlig innen tilgangsstyring og driftssikkerhet, skal sikre en mer stabil leveransekapasitet.

Å dokumentere og formidle effekten av Enovas innsats er metodisk krevende, spesielt når det gjelder å vise reell påvirkning på markedet, inkludert sprednings- og markedsendringseffekter. Dersom effekten ikke kommuniseres tydelig, kan dette svekke både legitimitet og tillit. Enova arbeider derfor med å forbedre både omstillingsanalysene og de kvantitative effektanalysene. Det legges større vekt på aktiv og tydelig kommunikasjon av resultater til offentligheten, samtidig som måling av effekt kobles tettere til porteføljestyringen for å styrke prioriteringer og læring.

Det generelt forhøyde trusselbildet, som særlig skyldes geopolitisk uro, øker risikoen for alvorlige cyberangrep og tjenesteforstyrrelser. Enova møter denne risikoen gjennom flere planlagte sikkerhetstester og en oppdatert prosess for sikker utvikling. Et nytt styringssystem for informasjonssikkerhet er innført, og kontinuerlig opplæring gjennom en mikrolæringsportal skal bidra til økt bevissthet i organisasjonen. Samtidig pågår løpende forbedringer innen sikkerhetsovervåkning (SOC), herding av systemer og infrastruktur, samt revisjon av relevante policyer og retningslinjer. Det er også etablert en felles mal for risikovurderinger, for å sikre en mer enhetlig og grundig tilnærming.

Operativ risiko Med utgangspunkt i risiko- og vesentlighetsvurderingene og de halvårlige internkontrollrapportene som ble utarbeidet i løpet av året, er det planlagt, startet og/eller gjennomført flere ulike forbedringstiltak. Dette gjelder særlig tiltak knyttet til internkontrollsystemet, hvor det fortsatt arbeides med å etablere og operasjonalisere styrende dokumenter innenfor et tydeligere dokumenthierarki, samt planlegging for en større oppdatering av vår fullmaktstruktur.

Tidligere er det blitt oppdatert og utarbeidet prosessbeskrivelser for store deler av foretaket. Det gjenstår å fullt ut operasjonalisere resultatet av dette arbeidet for å ytterligere forsterke en prosessorientert tilnærming. Det er også satt ned en arbeidsgruppe for å se på vårt rammeverk for svindelforebyggende tiltak, prosesser og systembehov. Prosjektet forventes ferdigstilt i desember 2026.

Det jobbes kontinuerlig med å forbedre rapporteringen på risikostyring og internkontroll. På bestilling fra styret endrer vi fra halvårlig til kvartalsvis rapportering i 2026, og undersøker hvordan vi kan benytte anskaffet risikostyringssystem til dette formålet.

Kontrollhandlinger Enova gjennomfører en rekke kontroller som en del av ordinær drift innenfor de ulike fagområdene i førstelinjen. Det gjennomføres i tillegg andrelinjekontroller som tar sikte på å avdekke om førstelinjekontrollene er fungerende og effektive. Det er ikke avdekket vesentlige svakheter i internkontrollen i 2025.

Enova har ingen internrevisjon, men benytter ekstern revisor til å gjennomføre avtalte kontrollhandlinger. Avtalte kontrollhandlinger skal som utgangspunkt gjennomføres ved endringer i risikobildet, men har de senere årene blitt gjennomført årlig, med noen unntak. Styret vedtar en treårsplan for avtalte kontrollhandlinger på bakgrunn av risiko- og vesentlighetsvurderingene. Treårsplanen tar sikte på å dekke Enovas mest vesentlige risikoer.

Ved gjennomgang av avtalte kontrollerhandlinger vil revisor se på styringsstruktur, prosesser, systemer og dokumenter innenfor ett eller flere av risikoområdene som går fram av risikorapporteringen. I 2024 ble det gjennomført avtalt kontrollhandling innenfor personvernområdet, noe som resulterte i at Enova gjennom 2025 har arbeidet med en rekke tiltak for å ivareta personvern på en bedre og mer systematisk måte. Revisor har tidligere gjennomført revisjoner innenfor områdene operasjonalisering av strategi, forenklet vedtaksprosess, søknadsbehandlingsprosessen i volumprogrammer med mer.

Revisjonene viser at Enova i hovedsak har gode mekanismer for å sikre overordnet styring og kontroll, men at det likevel er potensiale for mer helhetlig systematisk styring innenfor flere spesialiserte områder som ikke går direkte på det avtalefestede oppdraget.

Behandling av personopplysninger

Enova behandler flere typer personopplysninger; om privatpersoner og ansatte i virksomheter som søker tilskudd, om leverandører og andre som har kontakt med Enova, i tillegg til våre egne ansatte. Enova har som regel rollen som behandlingsansvarlig.

Gjennom året har vi arbeidet med å følge opp anbefalinger og tiltak etter revisjonsrapporten om Enovas ivaretakelse av personvern, som forelå som en del av revisors avtalte kontrollhandlinger for 2024. Revisjonsrapporten ble presentert for styret i Enova SF i februar 2025.

Vi har blant annet utarbeidet og oppdatert styrende dokumenter, forbedret behandlingsprotokollen og opprettet en tverrfaglig gruppe som håndterer løpende personvernspørsmål i organisasjonen. Enova har også knyttet til seg et eksternt personvernombud for å ivareta rollens uavhengighet, samtidig som dette bidrar til å øke egen kompetanse. Oppfølging av tiltak vil fortsette inn i 2026, med et særlig blikk på informasjons- og opplæringstiltak.