Risicomanagement
Een systematische aanpak met duidelijke rollen
Bovemij definieert een risico als een onzekere gebeurtenis die invloed kan hebben op het vermogen van de organisatie om haar doelstellingen te realiseren. Ons risicomanagementsysteem in combinatie met het zogenoemde ‘Three Lines of Defense’- model zorgt dat wij in onze dagelijkse werkzaamheden verantwoorde en onderbouwde risico-afwegingen kunnen maken.
In 2021 is er verder ingezet op het aantoonbaar en gestructureerd identificeren van de bedrijfsrisico’s en de beheersing ervan. Hierbij hebben wij de grenzen (risicobereidheid en tolerantie) toegepast op de risico’s die wij bereid zijn te accepteren en houden we ons aan wet- en regelgeving.
Risicomanagementsysteem
Het risicomanagementsysteem van Bovemij is onlosmakelijk verbonden met de strategie en besturing van de organisatie. Voor Bovemij is het belangrijk om met het realiseren van de langetermijnorganisatiedoelstellingen waarde te creëren voor haar klanten en blijvend te voldoen aan wet- en regelgeving. De strategie en organisatiedoelstellingen van Bovemij zijn verder vertaald naar de verschillende bedrijfsonderdelen. In navolging hierop is ook het risicomanagement op maat gesneden per bedrijfsentiteit. Hierdoor ontstaat een optimaal samenspel tussen het type organisatie en de interne/ externe context.
Het risicomanagementsysteem van Bovemij bestaat uit strategieën, processen, methodieken en rapportages. Dit is nodig om op individueel en geaggregeerd niveau de risico’s waaraan de organisatie blootstaat of blootgesteld kan worden, alsook de onderlinge afhankelijkheden en relaties daartussen, voortdurend te onderkennen, te meten, te bewaken, te beheren en erover te kunnen rapporteren.
Risicobereidheid en risico's
Risicobereidheid
Bovemij onderkent verschillende risico's en heeft deze risico's in vijf verschillende categorieën ondergebracht: strategische, financiële, operationele, compliance- en transformatierisico's. Hoewel dit allemaal risico’s zijn die impact kunnen hebben op het behalen van de organisatiedoelstellingen zijn niet alle risico’s even groot qua omvang, aard en complexiteit. Voor iedere risicocategorie is een risicobereidheid en risicohouding geformuleerd. Dit geeft duidelijkheid aan de organisatie over hoe met bepaalde categorieën om moet worden gegaan.
De risicobereidheid en risicohouding geven de mate weer waarin Bovemij per risicocategorie bereid is risico’s te accepteren bij het realiseren van haar doelstellingen en geven daarmee een kader voor de bedrijfsvoering. De onderliggende beleidsdocumenten bevatten de beleidsprincipes voor de risicobeheersing in de bedrijfsvoering.
De risicobereidheid van Bovemij is in algemene zin gematigd. Dit houdt in dat in de organisatie uitsluitend risico’s met de risico-indicatie onbeduidend tot en met matig geaccepteerd worden. In overleg met de ingestelde Risico Comités kan worden besloten risico’s met een hogere risico-indicatie te accepteren.
Risico's
In 2021 is in navolging van 2020 vervolg onderzoek verricht binnen de geïdentificeerde hoofd-risicocategorieën voor Bovemij als platformbedrijf. Hierdoor heeft het risicoprofiel van Bovemij weer meer vorm gekregen en worden ook maatregelen binnen de transformatie ingezet om de risico's op een goede manier te beheersen. In deze paragraaf gaan wij in op de vijf hoofdrisico's.
1. Strategische risico's
Strategische risico’s betreffen het risico dat de strategische doelstellingen niet worden gehaald of dat Bovemij niet afdoende reageert op veranderingen binnen en buiten de organisatie. De risicobereidheid voor strategische risico’s is gelimiteerd naar aard en omvang. Bovemij is flexibel in het aangaan van strategische risico’s, maar deze risico’s worden alleen gerechtvaardigd genomen als hiervoor expliciete goedkeuring is gegeven door de RvB en of RvC (afhankelijk van de situatie en het onderwerp).
De bedrijfsomgeving van Bovemij wordt beïnvloed door economische omstandigheden, sociaal maatschappelijke ontwikkelingen, technologische ontwikkelingen binnen de mobiliteitsbranche en aanverwante branches. Aan de andere kant vormen opkomende trends als platforms een toenemende bron van inkomsten. Het uitvoeren van platformstrategieën gaat niet zonder uitdagingen, aangezien alleen al het bouwen en testen van een technologieplatform een enorme investering in tijd en capaciteit (zowel kennis, competenties en in aantallen van mensen) vergt. We willen hierbij de belangen van onze klanten en stakeholders gedurende dit strategische proces niet uit het oog verliezen.
Daarnaast hebben wij als bedrijf met onze nieuwe strategie nu nog meer te maken met informatie- en technologische risicofactoren binnen de zogenoemde digitale economie. Enerzijds zorgt een platformbedrijf voor snelle informatie-uitwisseling en anderzijds willen we de hoeveelheid informatie-uitwisseling zoveel mogelijk beperken vanwege verschillende securityrisico's. Technologie risicofactoren hebben betrekking op innovaties in technologie die de bedrijfsactiviteiten en technologie die de sector waarbinnen Bovemij actief is gunstig of ongunstig kunnen beïnvloeden. Dit verwijst naar automatisering, onderzoek en ontwikkeling, ICT-arbeidskrachten en alle technologische factoren die de koers van een platformbedrijf zouden kunnen verstoren om zaken te doen. Informatierisicofactoren kunnen Bovemij en onze klanten blootstellen aan het risico van verlies, openbaarmaking of misbruik van informatie.
Ook blijkt het uitdagender te zijn om veranderingen precies te voorspellen door onder andere macro-economische effecten vanuit het buitenland en monetair beleid. De effecten van maatregelen om het coronavirus te beheersen bemoeilijken het proces om accuraat te budgetteren en prognoses vast te stellen.
Het doen van strategische investeringen in onze organisatie en het op een goede manier gebruiken van het kapitaal zijn belangrijke elementen van onze bedrijfsstrategie en van wezenlijk belang voor onze financiële continuïteit en bedrijfsresultaten. Doordat wij verwachten dat de verscheidenheid van strategische activiteiten en strategische investeringen ook kunnen leiden tot onvoorziene omstandigheden en uitgaven, is een formeel Groep Risk en Compliance Comité ingericht om de strategische risico's (in combinatie met de transformatierisico's) maandelijks te evalueren en bespreken. Het niet slagen van de nieuwe strategie kan ertoe leiden dat wij niet de verwachte voordelen realiseren, passiva onverwacht kunnen oplopen, herstructureringskosten aanzienlijk oplopen en daarmee strategische activiteiten niet kunnen worden uitgevoerd. Ongeacht deze ontwikkelingen voorziet Bovemij op korte termijn geen risico’s die zij niet het hoofd kan bieden.
2. Financiële risico's
Factoren en risico’s als fluctuerende rentevoeten en aandelenkoersen, onnauwkeurige waarderingen van vastgoed, herfinanciering, liquiditeitsrisico's en tegenpartijrisico's kunnen voor financiële verliezen of een ongunstige verandering op de financiële status van de organisatie zorgen. De risicobereidheid voor financiële risico’s is gematigd. Daarom gaat Bovemij voorzichtig om met financiële risico’s en heeft Bovemij duidelijke richtlijnen met betrekking tot het beheer van de beleggingsportefeuille. Het kapitaalbeleid van de groep bevat eveneens grenzen zodat buffers aanwezig zijn om tegenvallers in de financiële positie van Bovemij op te kunnen vangen. Bovemij maakt ook geen gebruik van risico dekkende financiële instrumenten zoals derivaten voor handelsdoeleinden.
3. Operationele risico's
Bovemij verstaat onder het operationeel risico de mogelijke verliezen als gevolg van inadequate of falende interne processen, mensen en systemen/ IT-infrastructuur, uitbesteding, fouten in data en/of gebeurtenissen van buitenaf (cyber security). De risicobereidheid voor operationele risico’s is gematigd. Bovemij gaat voorzichtig om met operationele risico’s en wenst haar doelstellingen hieromtrent veilig te realiseren. Om die reden heeft Bovemij haar belangrijkste bedrijfsprocessen en de beheersmaatregelen in een procesbeschrijvingoverzicht beschreven.
In relatie tot de informatiesystemen kan de diversiteit aan informatietechnologie binnen de verschillende bedrijfsentiteiten van Bovemij leiden tot ineffectief en of inefficiënt systeembeheer. Ook maakt dat de huidige uitbestedingen kunnen leiden tot complexiteit in de dienstverlening naar onze klanten en contractbeheer. Daarom zal Bovemij op korte termijn inzetten op het opstellen van haar uitbestedingsbeleid en contractmanagement.
Naarmate de processen (inclusief beheersmaatregelen) in de aankomende jaren meer worden gedigitaliseerd en geautomatiseerd zullen processen intern efficiënter worden. Onze bedrijfsresultaten kunnen er echter onder lijden als deze veranderingen in de processen - en daarmee ook onze producten en diensten - verminderd inspelen op de behoeften van onze klanten. Aan de andere kant dwingen de huidige externe technologische ontwikkelingen en de huidige concurrentie ons om andere manieren en middelen in te zetten om concurrerend te blijven en daarmee de bedrijfskosten laag te houden.
4. Compliancerisico's
Bovemij loopt het risico op reputatieschade of bestaande of toekomstige bedreigingen van vermogen of resultaat als gevolg van een ontoereikende naleving van wet- en regelgeving, alsmede het niet naleven van waarden, normen en (toezichts)regels. Het niet naleven kan resulteren in juridische of bestuurlijke sancties, substantiële financiële verliezen of reputatieschade. De risicobereidheid voor compliancerisico’s is naar aanleiding van het compliance-incident in 2018 laag. Bovemij is hiermee avers als het op compliancerisico’s aankomt en het is daarom een kerndoelstelling om deze risico’s te vermijden. Tegelijkertijd heeft Bovemij ingezet op de zogenoemde “lerende organisatie” om te borgen dat incidenten (zoals in 2018) zo goed mogelijk worden voorkomen. Het leerproces ziet er met behulp van de SIRA toe op de elementen: ‘inbedden van structuur’, ‘toezien op een gewenste cultuur’, ‘duidelijkheid over compliance verantwoordelijkheden en taken’ en een gerichte ‘compliance strategie’, waaronder begrepen een herbeoordeling van de risicobereidheid.
Het compliancebeleid beschrijft hoe het compliancerisico wordt beheerst. Bovemij heeft een gedragscode die medewerkers handvatten biedt om integer te handelen. De Compliance Officer inventariseert de belangrijkste wet- en regelgeving die op Bovemij van toepassing is en monitort en rapporteert ieder kwartaal over de wijze waarop Bovemij aan deze wet- en regelgeving en aan de interne gedragscode voldoet en rapporteert eventuele incidenten. Daarnaast voert Bovemij periodiek een systematische integriteitsrisicoanalyse (SIRA) uit om inzicht te krijgen in de beheersing van integriteitsrisico’s. In 2021 is Bovemij in navolging op de SIRA van 2020 monitoringsactiviteiten gaan verrichten. Aanvullend beleid en regelingen zijn beschikbaar voor specifieke compliance-onderdelen zoals privacy, mededinging, voorwetenschap en de klokkenluidersregeling. Zowel de risico's in de SIRA als de genoemde beleidsdocumenten zijn geëvalueerd en (daar waar nodig) aangepast.
5. Transformatierisico's
Om aan de veranderingen binnen de automotive sector tegemoet te komen heeft Bovemij een strategie ontwikkeld die geïmplementeerd zal worden door middel van een transformatieproces. Aan de transformatie zijn risico's verbonden, de zogenoemde transformatierisico's, omdat de beginsituatie van de transformatie verschilt ten opzichte van de eindsituatie. De risicobereidheid voor de transformatierisico's is gematigd door de sterke verwevenheid met de strategische risico's. Hierbij hanteren wij wel een flexibele houding omdat stilstand als gevolg van te weinig transformatie en innovatie ook risico's met zich meebrengt. Mocht Bovemij onvoldoende in staat zijn om te transformeren en daarmee meegaan met de veranderingen in de bedrijfstak en marktomstandigheden kan dit een wezenlijk nadelig effect hebben op de financiële positie en resultaten van de organisatie.
Als wij binnen Bovemij spreken over fundamentele en snelle veranderingen dan spreken wij bijvoorbeeld over de overgang naar digitalisering en automatisering. Deze ontwikkelingen hebben de bedrijfstak en marktomstandigheden al drastisch veranderd. Indien Bovemij niet in staat is het bedrijfsmodel aan de omstandigheden aan te passen, of als zich omstandigheden voordoen vanuit concurrentie, dan kan dit ook een aanzienlijk effect hebben op de groeiambities. Om zo goed mogelijk met deze risico’s om te gaan heeft Bovemij een transformatieteam ingesteld dat centraal toeziet op de risicobeheersing en is het risicomanagement geïncorporeerd in alle plannen.
Ons bedrijf wordt gekenmerkt door veranderingen in verschillende tempo's, veranderende prioriteiten, en nieuwe technologieën terwijl de winkel open is. Dit kan leiden tot een vermindering van onze huidige betrouwbaarheid, verstoring van onze lopende activiteiten inclusief verlies van managementfocus op bestaande activiteiten en dit legt een aanzienlijke druk op ons management, personeel en financiële prestaties en controle over het geheel. Binnen de bedrijfsplannen over 2022 wordt met behulp van verschillende maatregelen aandacht besteed aan de prioritering van veranderinitiatieven.
Daarnaast zijn de basisprocessen nog niet op orde. Met de nieuwe strategie bestaat een afhankelijkheid tussen de basisprocessen en de programma’s die ervoor moeten zorgen dat de strategie wordt geïmplementeerd. Doordat de basisprocessen niet op orde zijn bestaat de kans dat vertragingen binnen programma’s of capaciteitstekorten binnen de entiteiten ervoor zorgen dat de doelstellingen van entiteiten hierdoor in het geding komen. Dit risico wordt met name gemitigeerd door het target operating model.
Klimaatrisico's
Klimaatverandering heeft in toenemende mate impact op de maatschappij. Ook voor Bovemij zijn de veranderingen op de markt en de financiële gevolgen zichtbaarder geworden. Naast klimaatverandering besteedt Bovemij ook steeds meer aandacht aan het thema duurzaamheid. Binnen de ORSA van SVM is over 2021 voor het eerst een specifiek scenario opgenomen met betrekking tot de impact van klimaatrisico’s en de beheersing hiervan. In dit scenario resulteert de maatschappelijke aandacht voor klimaat en duurzaamheid in gewijzigde opvattingen ten opzichte van bedrijven, vastgoed en mobiliteit: vervuilende bedrijven verliezen koerswaarde op de aandelenbeurs, het huidige vastgoed daalt in waarde of behoeft extra duurzaamheidsinvesteringen en het autogebruik neemt af doordat mensen meer voor meer duurzamere mobiliteitsoplossingen kiezen. In 2022 zal een verdere verdieping worden gemaakt op de klimaat- en duurzaamheidsrisico’s van Bovemij.
Risicomangementrapportage
Over 2021 is gewerkt aan een overkoepelende groepsrisicorapportage (voor alle bedrijfsentiteiten), waarin op kwartaalbasis het strategisch risicoprofiel, de Key Risk Indators (KRI’s), effectiviteit van het interne controlesysteem en algemeen awareness niveau omtrent risicomanagement worden gemonitord. De uitkomsten uit het risicomanagementsysteem worden gedocumenteerd en via de afgestemde communicatielijnen gerapporteerd. Voor SVM is vanwege wetgeving een separate rapportage op kwartaalbasis opgesteld en gerapporteerd over het actuele risicoprofiel van de organisatie met behulp van KRI’s en het interne controlesysteem. Binnen RDC zijn in 2021 de jaarlijkse risicomanagementactiviteiten en audits uitgevoerd. Door een onafhankelijke externe auditor is dit beoordeeld. Via de jaarlijkse ISAE 3000-verklaring rapporteert RDC over de interne beheersing en daarmee over de naleving van de wetgeving. De scope hiervan betreft de IT-beheersmaatregelen en IT-infrastructuur beheersmaatregelen (applicatie specifieke IT en generieke IT).
Risicomanagementorganisatie
Bovemij hanteert het zogenoemde “Three Lines of Defense”-model (3LoD). Het 3LoD-model beoogt een efficiënte beheersing van risico’s door duidelijkheid te geven over de verschillende verantwoordelijkheden ten aanzien van risicomanagement binnen de organisatie. Door een optimale inrichting van de 3LoD streeft Bovemij ernaar de risico’s zo goed mogelijk te beheersen.
Eerste lijn
De organisatie is als eerste lijn primair verantwoordelijk voor de beheersing van de risico’s. Zij borgt risicobeheersing met duidelijke verantwoordelijkheden in haar processen. Binnen Bovemij is de Raad van Bestuur eindverantwoordelijk voor onder andere de risicomanagementactiviteiten, het waarborgen van risicobewustzijn, integriteit en ethisch gedrag. De directies en (senior) management van de verschillende bedrijfsentiteiten zijn eindverantwoordelijk voor de dagelijkse uitvoering van risicomanagement binnen hun bedrijfsentiteit.
Tweede lijn
De tweede lijn, bestaande uit de Risicomanagementfunctie (RMF), Functionaris Gegevensbescherming* en de Compliance Functie (CF), stelt kaders, ondersteunt, faciliteert, adviseert en bewaakt de risicomanagementactiviteiten en rapporteert aan de eerste lijn over de effectiviteit van de risicobeheersing. De Verzekeraar (Schadeverzekering-Maatschappij, SVM) heeft, als onderdeel van Bovemij, ook een Actuariële functie in de tweede lijn. De tweede lijn sleutelfuncties zijn beperkt tot het onafhankelijk en objectief ondersteunen van de organisatie bij het identificeren, beoordelen, adviseren, monitoren en rapporteren over risico's, het waarborgen van de effectiviteit en het monitoren op naleving wettelijke eisen. De organisatie zelf (eerste lijn) - zijnde directie en lijnmanagement - is eigenaar van de (bedrijfs)processen. Directie en lijnmanagement zijn opdrachtgevers van programma en projecten. Hiermee zijn zij ook eigenaar en (eind)verantwoordelijk voor het beheren en beheersen van de risico's.
* De Functionaris heeft in sommige omstandigheden formeel ook een 3e lijn toetsende rol.
De scheiding (en soms ook overlap) tussen degenen die het operationele werk uitvoeren (eerste lijn) en degenen die het risicomanagementproces en de controle moeten verzorgen (tweede lijn) en audits doen(derde lijn) moet zo goed mogelijk worden geborgd. Hoewel een tweede lijn sleutelfunctionaris verantwoordelijk is voor het faciliteren en coördineren van een goed werkend risicomanagementsysteem, blijft de eerste lijn eindverantwoordelijk voor de individuele risico’s en de effectiviteit van de beheersmaatregelen.
Derde lijn
De Interne Audit Functie (IAF) is de derde lijn. De IAF is een onafhankelijke functie die de statutaire directie en RvC voorziet van extra zekerheid of het systeem van risicobeheersing, de governance en interne controle daadwerkelijk functioneert. De IAF toetst periodiek de opzet, bestaan en werking van werkzaamheden van de eerste en tweede lijn.
Kapitaal- en dividendbeleid
Bovemij wil haar financiële verplichtingen op korte en lange termijn nakomen. Een gezonde kapitaalpositie is hiervoor een randvoorwaarde. In het kapitaal(allocatie)- en dividendbeleid zijn de belangrijkste beleidsuitgangspunten opgenomen voor de beheersing van de kapitaalpositie van de groep (inclusief de verschillende bedrijfsentiteiten) en de beleidsuitgangspunten voor het uitkeren van dividend.
Kapitaalmanagement is bij Bovemij gebaseerd op het wettelijke kader, economische grondslagen en uitgangspunten vanuit de aandeelhouders bezien. Het kapitaalmanagement is onderdeel en het fundament van ons kapitaal(allocatie)- en dividendbeleid.
Bij het beheer van het kapitaal hanteert Bovemij met inachtneming van het kapitaalbeleid van Bovemij N.V. een dividend pay-out ratio van 30% (van het operationeel resultaat na belasting). De uitkering van het dividend is eveneens afhankelijk van de solvabiliteitspositie van SVM. De uitkering van dividend is niet mogelijk indien de solvabiliteitsratio van SVM beneden het intern vastgestelde vereiste niveau van 150% ligt. Boven de zogenoemde bovengrens van 175% is uitkering van dividend mogelijk. Tussen het intern vastgestelde streefniveau van 170% en het intern vastgestelde vereiste niveau van 150% kan er alleen dividend worden uitgekeerd indien dit verantwoord wordt geacht door de statutaire directie van SVM.