Risicomanagement

Een systematische aanpak met duidelijke rollen

In het kader van onze bedrijfsstrategie en bedrijfsplanning is in 2020 ook het risicomanagement van Bovemij geactualiseerd. Inherent hieraan zijn de bestaande risico’s en de risicobereidheid geëvalueerd op basis van externe ontwikkelingen, de (bedrijfs)activiteiten en de aangescherpte doelstellingen.

Bovemij definieert een risico als een onzekere gebeurtenis welke invloed kan hebben op het vermogen van de organisatie om haar doelstellingen te realiseren. Ons risicomanagementsysteem in combinatie met het zogenoemde ‘Three Lines of Defense’ model zorgt dat wij in onze dagelijkse werkzaamheden verantwoorde risico-afwegingen kunnen maken.

In 2019 gaven wij in het jaarverslag aan dat de beheersing niet in alle gevallen op papier gedocumenteerd was, waardoor de risicobeheersing niet aantoonbaar was. In 2020 hebben wij continu gewerkt aan het aantoonbaar en gestructureerd identificeren van de bedrijfsrisico’s en de beheersing ervan. Hierbij hebben wij de grenzen (risicobereidheid en tolerantie) toegepast op de risico’s die wij bereidt zijn te accepteren en houden we ons aan wet- en regelgeving.

Risicomanagementsysteem

Het risicomanagementsysteem van Bovemij is onlosmakelijk verbonden met de strategie en besturing van de organisatie. Voor Bovemij is het belangrijk om met het realiseren van de lange termijn organisatiedoelstellingen waarde te creëren voor haar klanten en blijvend voldoen aan wet- en regelgeving. De strategie en organisatiedoelstellingen van Bovemij zijn verder vertaald naar de verschillende bedrijfsonderdelen. In navolging hierop is ook het risicomanagement op maat gesneden per bedrijfsentiteit. Hierdoor ontstaat een optimaal samenspel is tussen het type organisatie en de interne/ externe context.

Het risicomanagementsysteem van Bovemij bestaat uit strategieën, processen, methodieken en rapportages. Dit is nodig om op individueel en geaggregeerd niveau de risico’s waaraan de organisatie blootstaat of blootgesteld kan worden, alsook de onderlinge afhankelijkheden en relaties daartussen, voortdurend te onderkennen, te meten, te bewaken, te beheren en erover te kunnen rapporteren.

Risicobereidheid en risico's 

Risicobereidheid

Bovemij onderkent verschillende risico's en heeft deze risico's in vijf verschillende categorieën ondergebracht: Strategische, Financiële, Operationele, Compliance en Transformatierisico's. Hoewel dit allemaal risico’s zijn die impact kunnen hebben op het behalen van de organisatiedoelstellingen, zijn niet alle risico’s even groot qua omvang, aard en complexiteit. Voor iedere risicocategorie is een risicobereidheid en risicohouding geformuleerd. Dit geeft duidelijkheid aan de organisatie over hoe met bepaalde categorieën om moet worden gegaan. 

De risicobereidheid en risicohouding geven de mate weer waarin Bovemij per risicocategorie bereid is risico’s te accepteren bij het realiseren van haar doelstellingen en geven daarmee een kader voor de bedrijfsvoering. De onderliggende beleidsdocumenten bevatten de beleidsprincipes voor de risicobeheersing in de bedrijfsvoering. 

De risicobereidheid van Bovemij is in algemene zin gematigd. Dit houdt in dat de organisatie uitsluitend risico’s met de risico-indicatie onbeduidend tot en met matig geaccepteerd worden. In overleg met de ingestelde Risico Comités kan worden besloten risico’s met een hogere risico-indicatie te accepteren. 

Risico's

In 2020 zijn de eerste stappen gezet voor het identificeren van de hoofd-risico categorieën onder Bovemij als groep. In de aankomende jaren zal met het groeien naar een hogere risicomanagementvolwassenheidsniveau ook gewerkt worden aan de verdere implementatie en beschrijvingen van de risico's en beheersmaatregelen.  

1. Strategische risico's

Strategische risico’s betreffen het risico dat de strategische doelstellingen niet worden gehaald of dat Bovemij niet afdoende reageert op veranderingen binnen en buiten de organisatie. De risicobereidheid voor strategische risico’s is gelimiteerd naar aard en omvang. Bovemij is flexibel in het aangaan van strategische risico’s, maar deze risico’s worden alleen gerechtvaardigd genomen als hiervoor expliciete goedkeuring is gegeven door de RvB en RvC.

De bedrijfsomgeving van Bovemij wordt beïnvloedt door economische omstandigheden, sociaal maatschappelijke ontwikkelingen, technologische ontwikkelingen binnen de mobiliteitsbranche en aanverwante branches. Aan de andere kant vormen opkomende trends als platformen een toenemende bron van inkomsten. Het blijft moeilijk om veranderingen precies te voorspellen in onder andere macro-economische effecten vanuit het buitenland en monetair beleid. Ook de effecten van maatregelen om het coronavirus te beheersen bemoeilijken het proces om accuraat te budgetteren en prognoses vast te stellen. 

Het doen van strategische investeringen in onze organisatie en het op een goede manier gebruiken van het kapitaal zijn belangrijke elementen van onze bedrijfsstrategie en van wezenlijk belang voor onze financiële continuïteit en bedrijfsresultaten. Doordat wij verwachten dat de verscheidenheid van strategische activiteiten en strategische investeringen ook kunnen leiden tot onvoorziene omstandigheden en uitgaven, is een formeel Governance, Risk en Compliance comité ingericht om de strategische risico's (in combinatie met de transformatie risico's) maandelijks te evalueren en bespreken. Het niet slagen van de nieuwe strategie kan ertoe leiden dat wij niet de verwachte voordelen realiseren, passiva onverwacht kan oplopen, herstructureringskosten aanzienlijk oplopen en daarmee strategische activiteiten niet kunnen worden uitgevoerd. Ongeacht deze ontwikkelingen voorziet Bovemij op korte termijn geen risico’s die zij niet het hoofd kan bieden.

2. Financiële risico's

Factoren en risico’s als fluctuerende rentevoeten en aandelenkoersen, onnauwkeurige waarderingen van vastgoed, herfinanciering, liquiditeitsrisico's en tegenpartijrisico's kunnen voor financiële verliezen of een ongunstige verandering op de financiële status van de organisatie zorgen. De risicobereidheid voor financiële risico’s is gematigd. Daarom gaat Bovemij voorzichtig om met financiële risico’s en heeft Bovemij duidelijke richtlijnen met betrekking tot het beheer van de beleggingsportefeuille. Het kapitaalbeleid van de groep bevat eveneens grenzen zodat buffers aanwezig zijn om tegenvallers in de financiële positie van Bovemij op te kunnen vangen. Bovemij maakt ook geen gebruik van risico dekkende financiële instrumenten zoals derivaten voor handelsdoeleinden. 

De uitbraak van het coronavirus heeft in de loop van 2020 impact gehad op de realisatie van doelstellingen van bedrijven over de hele wereld. Ook heeft COVID-19 en de door de overheid genomen maatregelen invloed gehad op de resultaten van Bovemij. Dit zorgde dat financiële resultaten verschilden ten opzichte van hetgeen was begroot. Het coronavirus heeft onder meer effect gehad op de schade-ontwikkeling (positief) van Schadeverzekering-maatschappij Bovemij (SVM), het liquiditeit risico van Bovemij Finaniceringsmaatschappij (BFM) en het beleggingsresultaat (negatief). Waarbij mede als gevolg van een herstel van de beleggingsresultaten de resultaten over 2020 tot nu toe beter uitvielen dan de prognoses. Op de langere termijn zou de coronacrisis de resultaten van Bovemij echter nog negatief kunnen beïnvloeden. Het uiteindelijke effect zal mede afhangen van de wijze waarop de uitbraak van het coronavirus wordt beheerst en de overheidsmaatregelen.

3. Operationele risico's

Bovemij verstaat onder het operationeel risico de mogelijke verliezen als gevolg van inadequate of falende interne processen, mensen en systemen/ IT infrastructuur, uitbesteding, fouten in data en/of gebeurtenissen van buitenaf (cyber security). De risicobereidheid voor operationele risico’s is gematigd. Bovemij gaat voorzichtig om met operationele risico’s en wenst haar doelstellingen hieromtrent veilig te realiseren. Om die reden heeft Bovemij haar belangrijkste bedrijfsprocessen en de beheersmaatregelen in een procesbeschrijvingoverzicht beschreven.

In het afgelopen jaar hebben wij gemerkt dat een eenmalige inbreuk in de Citrix omgeving een aanzienlijke verstoring kan veroorzaken. Daarom heeft Bovemij in 2020 zwaarder ingezet op het verstevigen van haar informatiebeveiliging. Voor specifieke gebeurtenissen in relatie toe de logische toegang tot de systemen, is daarom ook gekozen om aanvullend beleid en procedures in te zetten.

In relatie tot de informatiesystemen kan de diversiteit aan informatietechnologie binnen de verschillende bedrijfsentiteiten van Bovemij leiden tot ineffectief en of inefficiënt systeembeheer. Ook maakt dat de huidige uitbestedingen kunnen leiden tot complexiteit in de dienstverlening naar onze klanten en contractbeheer. Daarom heeft Bovemij ingezet op het verbeteren van haar uitbestedingsbeleid en contractmanagement.

Naarmate de processen (inclusief beheersmaatregelen) in de aankomende jaren meer worden gedigitaliseerd en geautomatiseerd zullen processen intern efficiënter worden. Echter, kunnen onze bedrijfsresultaten er onder lijden als deze veranderingen in de processen - en daarmee ook onze producten en diensten - verminderd inspelen op de behoeften van onze klanten. Aan de andere kant dwingen de huidige externe technologische ontwikkelingen en de huidige concurrentie ons om andere manieren en middelen in te zetten om concurrerend te blijven en daarmee de bedrijfskosten laag te houden. 

4. Compliance risico's

Bovemij loopt het risico op reputatieschade of bestaande of toekomstige bedreigingen van vermogen of resultaat als gevolg van een ontoereikende naleving van wet- en regelgeving, alsmede het niet naleven van waarden, normen en (toezichts)regels. Het niet naleven kan resulteren in juridische of bestuurlijke sancties, substantiële financiële verliezen of reputatieschade. De risicobereidheid voor compliance risico’s is naar aanleiding van het compliance incident in 2018 laag. Bovemij is hiermee avers als het op compliance risico’s aankomt en het is daarom een kerndoelstelling om deze risico’s te vermijden. Tegelijkertijd heeft Bovemij ingezet op de zogenoemde “lerende organisatie” om te borgen dat incidenten, zoals hetgeen in 2018 plaats had gevonden, zo goed mogelijk worden voorkomen. Het leerproces ziet er met behulp van de SIRA toe op de elementen: ‘inbedden van structuur’, ‘toezien op een gewenste cultuur’, ‘duidelijkheid over compliance verantwoordelijkheden en taken’ en een gerichte ‘compliance strategie’, waaronder begrepen een herbeoordeling van de risicobereidheid.

Het compliancebeleid beschrijft hoe het compliancerisico wordt beheerst. Bovemij heeft een gedragscode die medewerkers handvatten biedt om integer te handelen. De Compliance Officer inventariseert de belangrijkste wet- en regelgeving die op Bovemij van toepassing is en monitort en rapporteert ieder kwartaal over de wijze waarop Bovemij aan deze wet- en regelgeving, maar ook aan de interne gedragscode, voldoet en rapporteert eventuele incidenten. Daarnaast voert Bovemij periodiek een systematische integriteitsrisicoanalyse (SIRA) uit om inzicht te krijgen in de beheersing van integriteitsrisico’s. In 2020 is de SIRA uitgevoerd. Dit is een belangrijke stap om een beheerste- en integere bedrijfsvoering te waarborgen. In 2021 zal Bovemij in aansluiting op de SIRA zeer uitvoerige monitoringsactiviteiten gaan verrichten. Aanvullend beleid en regelingen zijn beschikbaar voor specifieke compliance-onderdelen zoals privacy, mededinging, voorwetenschap en de klokkenluidersregeling.

5. Transformatierisico's 

Om aan de veranderingen tegemoet te komen heeft Bovemij een strategie ontwikkeld welke geïmplementeerd zal worden middels een transformatieproces. Aan de transformatie zijn risico's verbonden, de zogenoemde transformatierisico's, omdat de beginsituatie van de transformatie verschilt ten opzichte van de eindsituatie. De risicobereidheid voor de transformatierisico's is gematigd door de sterke verwevenheid met de strategische risico's. Hierbij hanteren wij wel een flexibele houding omdat stilstand als gevolg van te weinig transformatie en innovatie ook risico's met zich meebrengt. Mocht Bovemij onvoldoende in staat zijn om te transformeren en daarmee mee gaan met de veranderingen in de bedrijfstak en marktomstandigheden kan dit een wezenlijk nadelig effect hebben op de financiële positie en resultaten van de organisatie. 

Als wij binnen Bovemij spreken over fundamentele en snelle veranderingen dan spreken wij bijvoorbeeld over de overgang naar digitalisering en automatisering. Deze ontwikkelingen hebben de bedrijfstak en marktomstandigheden al drastisch verandert. Indien Bovemij niet in staat is het bedrijfsmodel aan de omstandigheden aan te passen, of als zich omstandigheden voordoen vanuit concurrentie, dan kan dit ook een aanzienlijk effect hebben op de groeiambities. Om zo goed mogelijk met deze risico’s om te gaan heeft Bovemij een transformatieteam ingesteld die centraal toeziet op de risicobeheersing en is het risicomanagement geïncorporeerd in alle plannen. 

Risicomangementrapportage

De uitkomsten uit het risicomanagementsysteem worden gedocumenteerd en via de afgestemde communicatielijnen gerapporteerd. Er is gewerkt aan het bepalen van de belangrijkste risico’s met een passende risicobereidheid voor de bedrijfsentiteiten BFM en viaBOVAG. Voor SVM is op kwartaalbasis het risicoprofiel van de organisatie gemonitord met behulp van "Key Risk Indators" (KRI’s) en het interne controlesysteem. In 2021 staat eenzelfde structuur op de planning voor BFM,  viaBOVAG en de overige bedrijfsentiteiten. De KRI’s helpen de organisatie inzicht te hebben en houden zodat Bovemij risico’s weloverwogen, bewust en beheerst aangaat binnen haar risicobereidheid. Binnen RDC zijn in 2020 de jaarlijkse risicomanagementactiviteiten en audits uitgevoerd. Door een onafhankelijke externe auditor is dit beoordeeld en via de jaarlijkse ISAE 3000 verklaring rapporteert RDC over de interne beheersing en daarmee ook de naleving van de wetgeving. De scope hiervan betreft de IT-beheersmaatregelen, IT-infrastructuur beheersmaatregelen (applicatiespecifieke IT en Generieke IT). 

Risicomanagement organisatie

Bovemij hanteert het zogenoemde “Three Lines of Defense” model (3LoD). Het 3LoD-model beoogt een efficiënte beheersing van risico’s door duidelijkheid te geven over de verschillende verantwoordelijkheden ten aanzien van risicomanagement binnen de organisatie. Bovemij streeft naar een optimale inrichting van de 3LoD om de risico’s zo goed mogelijk te beheersen. In 2020 is veelvuldig middels (individuele) gesprekken met bestuurders, directieleden en management gesproken over verantwoordelijkheden, bevoegdheden, rollen en taken binnen het 3LoD model. Het bewustzijn hiervan is aanzienlijk verhoogd en de naleving hieromtrent is steeds beter aantoonbaar.

Eerste lijn

De organisatie is als eerste lijn primair verantwoordelijk voor de beheersing van de risico’s. Risicobeheersing borgt zij in haar processen met duidelijke verantwoordelijkheden. Binnen Bovemij is de Raad van Bestuur eindverantwoordelijk voor onder andere de risicomanagementactiviteiten, het waarborgen van risicobewustzijn, integriteit en ethisch gedrag. De directies en (senior) management van de verschillende bedrijfsentiteiten zijn eindverantwoordelijk voor de dagelijkse uitvoering van risicomanagement binnen hun bedrijfsentiteit.

Tweede lijn

De tweede lijn, bestaande uit de Risicomanagementfunctie (RMF) en de Compliance Functie (CF), stelt kaders voor, ondersteunt, faciliteert, adviseert, bewaakt de risicomanagementactiviteiten, rapporteert aan de eerste lijn over de effectiviteit van de risicobeheersing. SVM heeft, als onderdeel van Bovemij groep, ook een Actuariële functie in de tweede lijn.  De tweede lijn opereert onafhankelijk van de eerste lijn en is geenszins verantwoordelijk voor de dagelijkse uitvoering van risicomanagement activiteiten. 

Derde lijn

De Interne Audit Functie (IAF) is de derde lijn. De IAF is een  onafhankelijke functie die de statutaire directie en RvC voorziet van extra zekerheid of het systeem van risicobeheersing, de governance en interne controle daadwerkelijk functioneert.

Kapitaal- en dividendbeleid

Bovemij wil haar financiële verplichtingen op korte en lange termijn nakomen. Een gezonde kapitaalpositie is hiervoor een randvoorwaarde. In het kapitaal(allocatie)- en dividendbeleid zijn de belangrijkste beleidsuitgangspunten opgenomen voor de beheersing van de kapitaalpositie van de groep (inclusief de verschillende bedrijfsentiteiten), de beleidsuitgangspunten voor het uitkeren van dividend.  

Kapitaalmanagement is bij Bovemij gebaseerd op het wettelijke kader, economische grondslagen en uitgangspunten vanuit de aandeelhouders bezien. Het kapitaalmanagement is onderdeel en het fundament van ons kapitaal(allocatie)- en dividendbeleid.

Bij het beheer van het kapitaal hanteert Bovemij met inachtneming van het kapitaalbeleid van Bovemij N.V. een dividend pay-out ratio van 30% (van het nettoresultaat na belasting). De uitkering van het dividend is eveneens afhankelijk van de solvabiliteitspositie van SVM. De uitkering van dividend is niet mogelijk indien de solvabiliteitsratio van SVM beneden het intern vastgestelde vereiste niveau van 150% ligt. Boven het intern vastgestelde streefniveau van 170% is de uitkering van dividend mogelijk. Tussen het intern vastgestelde streefniveau van 170% en het intern vastgestelde vereiste niveau van 150% kan er dividend worden uitgekeerd indien dit verantwoord wordt geacht.