Risicomanagement
Visie op risicomanagement
‘Risicobewust ondernemerschap’ is een uitgangspunt voor de bedrijfsvoering van Bovemij. Dat wil zeggen dat doelen moeten worden behaald binnen prudente risicokaders. Ondernemerschap en risicobeheersing zijn voor Bovemij daarom onlosmakelijk met elkaar verbonden.
Belangrijke elementen van ons risicomanagement zijn de risicomanagement governance, de risicohouding, het risicomanagementproces, de inschattingen van de hoofdrisico’s, het Bovemij Control Framework, de risicorapportage, en het risico gebaseerde dividendbeleid. Deze elementen zijn in dit hoofdstuk nader beschreven, en zijn bedoeld om de risico’s waarmee Bovemij wordt geconfronteerd, zoveel mogelijk te beheersen.
Voor de toepassing van risicomanagement binnen de realisatie van de strategie en de besturing van de organisatie, heeft Bovemij het risicomanagementsysteem ingericht op basis van ISO 31000, COBIT for Risk Management en aangevuld met COSO ERM.
Risicomanagement governance
Bovemij hanteert het zogenoemde ‘Three Lines of Defense’ model (3LoD). De 3LoD beoogt een efficiënte beheersing van risico’s door duidelijkheid te geven over de verschillende verantwoordelijkheden ten aanzien van risicomanagement binnen de organisatie. Door een zo optimale inrichting van de 3LoD streeft Bovemij ernaar de risico’s zo goed mogelijk te managen. Dit hebben we als volgt ingericht:
De Raad van Bestuur is binnen Bovemij eindverantwoordelijk voor alle risicomanagementactiviteiten bij het behalen van de doelstellingen en het uitvoeren van de strategie. De Raad van Bestuur stelt de risicobereidheid van de groep vast, zorgt dat een risicomanagementraamwerk voor de beheersing van risico’s aanwezig is en bewaakt de effectiviteit ervan. De organisatie onder leiding van de Directieraad is als eerste lijn primair verantwoordelijk voor de besturing en uitvoering van risicomanagement binnen de betreffende bedrijfsentiteiten.
Cruciaal is dat de 3LoD het eigenaarschap van het risico van de risico-eigenaar in de eerste lijn versterkt en dat de tweede en derde lijn onafhankelijk en objectief zijn gepositioneerd. Daarom is de filosofie van Bovemij:
De Directieraad, het management en de medewerkers in de eerste lijn zijn primair verantwoordelijk voor de aantoonbare opzet, het bestaan en de effectieve werking van beleid en beheersingsmaatregelen. Voorafgaand aan de besluitvormingsprocessen voert de eerste lijn een risicoanalyse uit. De risicoanalyse illustreert zowel de mogelijk aanwezige risico’s, als de benodigde maatregelen ter mitigatie van deze risico’s binnen de gestelde risicobereidheid.
De afdelingen Risicomanagement en Compliance in de tweede lijn zijn onafhankelijk gepositioneerd en daarmee gescheiden van de eerste lijn. De functionarissen in de tweede lijn stellen onafhankelijk en objectief de kaders, en ondersteunen de Directieraad en het management bij het identificeren, beoordelen, adviseren, monitoren en rapporteren van risico's. Ook waarborgen zij de effectiviteit van het risicobeheersingssysteem en het voldoen aan de wettelijke eisen, en ondersteunen daarmee de organisatie bij het effectief uitvoeren van het risicomanagement.
De afdeling Interne Audit in de derde lijn toetst onafhankelijk de opzet, het bestaan en de werking van de governance en het risicomanagementsysteem. De functionarissen in de derde lijn beoordelen de kwaliteit van het risicomanagement en de controles binnen het Bovemij Control Framework door middel van een risico gebaseerd auditplan, dat is goedgekeurd door de Raad van Commissarissen van Bovemij.
Risicohouding, -bereidheid en -profiel
Bovemij vervult zowel een algemene behoefte binnen de mobiliteitsbranche als een specifieke behoefte van de BOVAG leden. Via haar verzekeraar voorziet Bovemij in een behoefte van haar klanten om de effecten van risico’s te verminderen.
De risicohouding van Bovemij is in algemene zin voorzichtig en de bijbehorende risicobereidheid is gematigd. Dit houdt in dat Bovemij een voorkeur heeft voor een veilige realisatie van doelstellingen en dat Bovemij haar risico’s bij voorkeur vermijdt.
Bovemij heeft deze risicohouding en -bereidheid gebaseerd op de volgende uitgangspunten:
Bovemij voldoet aan wet- en regelgeving;
Bovemij staat in voor toekomstbestendige en integere besturing, beleid en besluitvorming;
Bovemij staat in voor een verantwoord rendement uit haar producten en -diensten.
In 2023 heeft Bovemij haar risicoprofiel verder aangescherpt. Bovemij heeft haar risicoprofiel onderverdeeld in een viertal risicogebieden: a) strategisch, b) operationeel c) financieel en d) compliance. Per gebied is voor de risicobereidheid een keuze gemaakt uit het spectrum van extreem laag, laag, gematigd, gelimiteerd, tot volledig anticiperen op risico’s.
Als voorbeeld zijn deze gebieden voor de verzekeraar binnen de groep als volgt uitgewerkt in onderliggende risico’s.
Strategisch
Strategische risicomanagement is verbonden met korte en lange termijn strategische doelstellingen van Bovemij.
De risicobereidheid voor strategische risico’s is gelimiteerd. Bovemij is zich bewust van de strategische risico's. Deze worden in goede afweging genomen en voor zo ver mogelijk gemitigeerd. Er zal enkel goedkeuring worden gegeven indien er een gedegen plan van aanpak is en een beschrijving van de benodigde (beheers)maatregelen.Operationeel
Operationeel risicomanagement gaat voor Bovemij over het voorkomen en/of beheersen van ongunstige gebeurtenissen binnen de organisatie die van invloed zijn op het interne vermogen van de organisatie om producten en diensten te produceren, op de kwaliteit en de tijdigheid van de productie, en/of op de winstgevendheid. Daarbij is het operationeel risico nauw verwant met componenten binnen de bedrijfsarchitectuur/-infrastructuur.
De risicobereidheid voor operationele risico’s is gematigd. Daarom gaat Bovemij voorzichtig om met operationele risico’s en wenst Bovemij haar doelstellingen hieromtrent veilig te realiseren.Financieel
Met financieel risicomanagement wil Bovemij ongunstige gebeurtenissen tegengaan die effect hebben op de wijze waarop de financiële continuïteit door de organisatie wordt/is gemanaged en de wijze waarop winstgevendheid wordt bereikt. Waarbij financieel risicomanagement nauw verwant is met kwantificeerbare financiële doelstellingen.
Het Beleggingsbeleid van Bovemij Verzekeringen is erop gericht om, binnen de door haar gestelde risicobereidheid en de passendheid bij de verplichtingen, haar rendement te optimaliseren. De risicobereidheid en passendheid is gericht op de borging dat Bovemij Verzekeringen over voldoende financiële middelen beschikt om met hoge mate van zekerheid aan haar toekomstige verplichtingen aan haar polishouders te kunnen voldoen, en om in de tussentijd voldoende solvabel te blijven en te veel volatiliteit in het resultaat te beperken. Conform ons Beleggingsbeleid belegt Bovemij Verzekeringen alleen in niet-complexe financiële instrumenten, zoals aandelen, staats- en bedrijfsobligaties, hypotheken, leningen en vastgoed. Beleggingen in complexe financiële instrumenten, zoals derivaten, zijn uitgesloten.
De risicobereidheid voor financiële risico’s is gematigd. Daarom gaat Bovemij voorzichtig om met financiële risico’s en wenst Bovemij haar doelstellingen hieromtrent veilig te realiseren.Compliance
Compliance risicomanagement is voor Bovemij het naleven van relevante wetten, voorschriften, overeenkomsten en intern beleid, met daarbinnen het bewustzijn, de gedragingen, houdingen en het handelen van de organisatie en haar medewerkers. Daarbij hecht Bovemij grote waarde aan het zorgvuldig borgen van de privacy van zowel onze interne als externe klanten.
De risicobereidheid voor compliance risico’s is laag. Bovemij heeft een averse houding inzake compliance risico's. Het is daarom een kerndoelstelling om deze risico’s te vermijden.
Risicomanagementproces
Voor een zo volledig mogelijk beeld van de risico’s van Bovemij vinden systematische en gestructureerde risicoanalyses op de vier risicogebieden plaats volgens het standaard risicomanagementproces. Hierbij hanteert Bovemij een top-down en een bottom-up benadering. Dit standaard proces is in beginsel gebaseerd op de best practices uit COBIT, COSO ERM en ISO. In 2023 is onder andere extra aandacht gegeven aan het gestructureerd identificeren van de financiële risico’s en de beheersing ervan.
De risicoanalyses zijn onderdeel van het risicomanagementproces dat nodig is om risico’s van alle soorten en types continu te kunnen identificeren, beoordelen, beheersen, monitoren en rapporteren, en verbeteren. De stappen in het risicomanagementproces zijn:
Uit dit proces is het risicoprofiel voortgekomen met de vier genoemde risicogebieden en de onderliggende risico’s. Hoewel de risico’s daarbinnen allemaal impact kunnen hebben op het behalen van de doelstellingen, zijn niet alle risico’s even groot. Zoals de definitie van het risico al beschrijft, wordt de grootte van het risico bepaald door het product van de ‘mogelijke gevolgen’ (impact) en de ‘waarschijnlijkheid’ (kans) daarvan.
Inschattingen hoofdrisico’s
Tijdens de diverse risicoanalyses is in 2023 bij de verzekeraar binnen de groep gestart met het inschatten in een heatmap van kansen en impacts voor de diverse hoofdrisico’s binnen de vier risicogebieden strategisch, operationeel, financieel en compliance. Daarbij is het bruto risico aangegeven met een grijs bolletje (dus exclusief huidige beheersmaatregelen uit het Bovemij Control Framework) en het netto risico met een wit bolletje (dus inclusief huidige beheersmaatregelen uit het Bovemij Control Framework).
De rode en oranje risico’s hieronder hebben aanzienlijke tot verwoestende impact op de organisatie, en overschrijden de risicobereidheid. Ze vereisen direct (aantoonbare) beheersmaatregelen. De gele risico’s hebben matige impact en liggen op de grens van de risicobereidheid. De groene en blauwe risico’s hebben vrijwel geen tot beperkte impact, en onderschrijden de risicobereidheid. Hiervoor is geen aanvullende actie vereist.
Strategisch risicomanagement | Operationeel risicomanagement: | Financieel risicomanagement: | Compliance risicomanagement: |
1) Organisatie | 3) Organisatie, mensen en functies | 8) Solvabiliteit en continuïteit | 12) Organisatie-integriteit |
2) Omgeving | 4) Processen | 9) Verzekeringstechnisch resultaat | 13) Medewerkersintegriteit |
5) Services, producten en diensten | 10) Beleggingsresultaat | 14) Klant-ketenintegriteit | |
6) Informatiehuishouding | 11) Verslaglegging | 15) Marktintegriteit | |
7) Informatietechnologie | 16) Data-integriteit |
In 2023 hebben met name de volgende netto risico’s de aandacht gehad van het management, omdat deze in de heatmap uitkomen in het gele of oranje gebied en/of omdat deze risico’s voor Bovemij belangrijk zijn. Tussen haakjes is steeds de link gelegd met de tabel hierboven.
Strategisch risicomanagement
(Informatie-)technologie risico (binnen (1) Organisatie):
Dit is het risico dat potentiële bedreigingen en uitdagingen zich binnen een organisatie voordoen vanuit activiteiten met betrekking tot informatietechnologie (IT), met als gevolg dat verkeerde strategische beslissingen worden genomen. De project- en staande organisatie voor Informatiebeveiliging worden geconfronteerd met uitdagingen die bepaalde activiteiten, zoals het inrichten/borgen van beleid, procedures, omgaan met security-incidenten, pentesten en beoordelingen van leveranciers, beperken in hun uitvoering. Om deze reden zijn er de nodige maatregelen genomen, maar voldoet de verzekeraar binnen de groep nog niet aan de normen van De Nederlandsche Bank (DNB). In 2023 heeft Bovemij haar volwassenheid met betrekking tot de Good Practice Informatiebeveiliging van DNB sterk verhoogd, en zijn acties uitgezet op de onderwerpen waar nog een stijging is vereist om in 2024 aan alle normen te voldoen.
Arbeidsmarktrisico (binnen (2) Omgeving):
Dit is het risico dat Bovemij loopt als gevolg van veranderingen in de arbeidsmarkt met betrekking tot onzekerheid en uitdagingen die zich voordoen in verband met werkgelegenheid en arbeid, met als gevolg dat het personeelsbestand niet flexibel en concurrerend genoeg is in een dynamische arbeidsmarkt. Het op orde brengen van het organisatorische fundament vereist meer inzet en middelen dan aanvankelijk verwacht. Gelijktijdig moet er achterstallig onderhoud worden weggewerkt en moeten legacy-systemen worden vervangen. De gelijktijdige uitvoering van deze taken vormt een uitdaging, gezien de beperkte beschikbaarheid van personeel en middelen. Daarbij wordt de organisatie geconfronteerd met uitstroom, ziekteverzuim en verloopt de werving van personeel moeilijk.
Klimaatrisico (binnen (2) Omgeving):
Dit zijn risico’s die ontstaan door de impact van klimaatverandering op het bedrijfsmodel, de activiteiten en de financiële prestaties (verdienmodel) van Bovemij, met als gevolg dat Bovemij te veel bloot staat aan fysieke en transitierisico’s van de klimaatverandering. Fysieke risico’s zijn direct gerelateerd aan de fysieke gevolgen van klimaatverandering. Voor de verzekeraar binnen de groep kan dit een toename van schadeclaims betekenen als gevolg van extreme weersomstandigheden, met name hagelschade. De verzekeraar heeft dit risico gemitigeerd door een herverzekeringsprogramma. Ook kunnen de fysieke risico’s impact hebben op de waarde en rendement van beleggingen. Transitierisico’s ontstaan door de overgang naar een klimaatvriendelijke economie.
Operationeel risicomanagement
Organisatie, mensen en bedrijfsfuncties (3) en Processen (4):
Dit zijn risico’s die ontstaan door de dagelijkse operationele activiteiten, processen, systemen en mensen binnen de organisatie, met als gevolg dat de interne bedrijfsvoering onvoldoende beheerst wordt. Het Bovemij Control Framework (BCF) is nog in ontwikkeling. Bovendien wordt nog verder gewerkt aan het fundament van het BCF, inclusief de kaders, methodieken, beleid en processen. Dit geeft druk op de bestaande organisatie, die tegelijkertijd aan het transformeren is.
Informatiehuishouding (6) en Informatietechnologie (7):
Informatiehuishoudingsrisico’s ontstaan in verband met het beheer en de bescherming van informatie en informatietechnologierisico’s gaan over mensen, technologie, processen en externe risico's (waaronder risico’s van uitbestedingen), met als gevolg dat informatiesystemen en gegevens worden aangetast op gebied van beschikbaarheid, integriteit en vertrouwelijkheid. Binnen de security organisatie is in 2023 meer capaciteit gekomen voor het ondersteunen van operationele processen en het tijdig afhandelen van informatiebeveiligingsincidenten, en is een aantal security processen belegd bij een security partner. Dit heeft geleid tot beter inzicht in de dreigingen die er op cybersecurity gebied zijn en een gestroomlijnder en aantoonbaar proces voor afhandeling. Ook zijn in 2023 verdere stappen gezet in de aantoonbare werking van de belangrijkste controls rondom informatiebeveiliging.
Daarnaast is gebleken uit de DNB-toezichtsuitvraag dat er behoefte is aan verbetering van het datamanagement en de datakwaliteit. De data governance is in 2023 daarom verbeterd: het Data Governance Beleid is aangescherpt en een Data Management Office is geïnitieerd om de gestelde richtlijnen te implementeren.
Financieel risicomanagement
Solvabiliteitsrisico (binnen (8) Solvabiliteit en continuïteit):
Dit is het risico dat de verzekeraar binnen de groep onvoldoende solvabel is, met als gevolg dat de verzekeraar niet aan haar polisverplichtingen kan voldoen en daarnaast niet aan Solvency II-eisen. De solvabiliteitsratio wordt ieder kwartaal gemonitord en beoordeeld of grenzen van Key Risk Indicators (KRI's) in gevaar komen. Het behalen van het streefniveau van 170% is in de loop van 2023 onder druk komen te staan vanwege tegenvallende verzekeringstechnische resultaten. Per ultimo 2023 is de ratio gedaald tot het intern vereiste niveau van 150%. Dit heeft de benodigde managementaandacht en er is extra monitoring. De verzekeraar heeft een aantal herstelmaatregelen uit het Kapitaalbeleid ingezet ter bescherming van de solvabiliteitsratio, zoals het derisken van de beleggingsportefeuille. Daarnaast onderneemt de verzekeraar diverse managementacties ter verbetering van het rendement om de solvabiliteit weer te laten groeien richting het streefniveau.
Rentabiliteitsrisico (binnen (8) Solvabiliteit en continuïteit):
Dit is het risico is dat Bovemij onvoldoende rendabel is, met als gevolg dat Bovemij te weinig winst maakt ten opzichte van de netto risico’s en de solvabiliteitsdoelen. Vanwege de combinatie van verzekerings- en beleggingsresultaten kan het rendement op eigen vermogen incidenteel te laag uitvallen. Dit is acceptabel als de solvabiliteitsratio binnen de KRI-grenzen blijft. Gedurende 2023 zijn verzekeringstechnische KRI-grenzen overschreden, waardoor de verzekeraar binnen de groep heeft moeten bijsturen via managementacties op het gebied van premie, schadelast en kosten. De beleggingstechnische KRI’s raken niet de kritische grenzen.
Winstgevendheidsrisico verzekeringen (binnen (9) Verzekeringstechnisch resultaat):
Dit is het risico dat de verzekeraar binnen de groep onvoldoende winstgevend is per productgroep, met als gevolg dat Bovemij te weinig winst maakt ten opzichte van de netto risico's en de solvabiliteitsdoelen. Per productgroep wordt gemonitord en direct bijgestuurd indien de combined ratio te laag uitpakt. Er zijn meerdere knoppen (premie, kosten, dekking) beschikbaar om dit bij te stellen. Daarnaast zijn de grootste risico’s herverzekerd.
Winstgevendheidsrisico beleggingen (binnen (10) Beleggingsresultaat):
Dit is het risico dat de verzekeraar binnen de groep onvoldoende winstgevend is, met als gevolg dat Bovemij te weinig winst maakt ten opzichte van de netto risico's. Voor de langere termijn is een strategische asset allocatie gekozen waardoor incidenteel de winstgevendheid op beleggingen zou kunnen tegenvallen, zoals in 2022. De asset allocatie is echter zodanig gekozen dat de solvabiliteitsratio en het activa rendement op langere termijn worden gemaximaliseerd onder de restrictie van de risicobereidheid voor de financiële risico’s.
Het risico voor grote verliezen vanwege verouderde aannames uit de laatste beleggingsstudie, en/of doordat de werkelijke portefeuille afwijkt van de strategische asset allocatie wordt gemonitord en waar nodig op tijd bijgestuurd.
Risico op onjuiste / onvolledige informatieverstrekking (binnen (11) Verslaglegging):
Dit betreft het risico dat de financiële verslaggeving van Bovemij niet nauwkeurig, tijdig of in overeenstemming met de relevante accountingregels en -normen is, met als gevolg dat de financiële informatie die Bovemij openbaar maakt, niet juist of geloofwaardig is. Zie verder: Informatiehuishouding (6) en Informatietechnologie (7).
Compliance risicomanagement
Incidentenrisico (binnen (12) Organisatie-integriteit):
Dit is het risico dat er onvoldoende inspanningen worden verricht om incidenten te voorkomen, en dat incidenten niet gemeld (kunnen) worden, met als gevolg dat Bovemij er geen lering uit kan trekken en maatregelen kan treffen om herhaling te voorkomen. Bovemij heeft recent haar klokkenluiders- en incidentenregeling geactualiseerd, en doet daarnaast aan awareness-activiteiten om het melden van incidenten te stimuleren. De meldingen die Compliance heeft ontvangen, zijn onderzocht en waar nodig zijn maatregelen getroffen.
Sanctiewetrisico (binnen (14) Klant-ketenintegriteit):
Dit betreft het risico dat Bovemij zakendoet met personen die op een sanctielijst staan (en of worden toegevoegd), met als gevolg dat daardoor (inter-)nationale sancties worden geschonden. Bovemij hecht belang en heeft aandacht voor het aantoonbaar compliant zijn aan de sanctiewetgeving. Compliance heeft vastgesteld dat nieuwe en bestaande verzekeringsklanten aan de sanctielijsten worden getoetst.
Cybercrime integriteitsrisico (binnen (16) Data-integriteit):
Dit betreft het risico van digitale criminaliteit waarbij interne/externe partijen zich richten op de ICT van Bovemij, haar klanten en andere samenwerkingspartners, met als gevolg dat zij onbedoeld zouden meewerken aan criminele activiteiten. Op grond van de Wft dienen financiële ondernemingen de bedrijfsvoering zodanig in te richten dat de bedrijfsprocessen en bedrijfsrisico's beheerst worden en integer zijn. De AVG eist passende maatregelen om opslag en uitwisseling van gegevens te beschermen. De huidige informatiebeveiliging kan nog verder verbeteren. Hiervoor is een project gestart.
Bovemij Control Framework
Het Bovemij Control Framework binnen Bovemij is een belangrijk onderdeel van succesvol risicomanagement. Interne controle heeft betrekking op de methoden, procedures en controles die Bovemij heeft ingesteld om ervoor te zorgen dat Bovemij haar doelstellingen realiseert. Hierbij is een sterke link met het risicomanagementproces en de –activiteiten. Bovemij maakt gebruik van het gestandaardiseerde Bovemij Control Framework. Het Bovemij Control Framework is het middel dat zorgt voor structuur, duidelijkheid over verantwoordelijkheden en eigenaarschap, zodat de entiteit kan sturen en transparant kan zijn over haar feitelijke risicobeheersing. In 2023 heeft Bovemij risico’s binnen de vier risicogebieden met bijbehorende beheersingsmaatregelen toegevoegd aan het Bovemij Control Framework waarmee ook Bovemij de werking van haar risicomanagementbeleid steeds beter kan bewaken.
Risicorapportage
In alle stadia en activiteiten binnen het risicomanagementsysteem vindt communicatie en overleg plaats met interne en externe belanghebbenden. Bovemij heeft een aantal overleggremia en communicatiekanalen ingesteld waarin aandacht wordt besteed aan zaken met betrekking tot risicobeheersing, de verschillende risico’s (inclusief oorzaken en gevolgen daarvan) en eventuele aanvullende maatregelen die getroffen moeten worden. Maar ook in de dagelijkse samenwerking heeft risicomanagement een plaats. Daarnaast kan de eerste lijn de tweede lijn functionarissen als sparringpartner gebruiken.
Risico gebaseerd dividendbeleid
Bovemij wil haar financiële verplichtingen op korte en lange termijn nakomen. Een gezonde kapitaalpositie is hiervoor een randvoorwaarde. Kapitaalmanagement is bij Bovemij gebaseerd op het wettelijke kader, economische grondslagen en uitgangspunten vanuit de aandeelhouders bezien.
Bij het beheer van het kapitaal hanteert Bovemij een dividend pay-out ratio van 30% (van het resultaat na belasting). De uitkering van het dividend is eveneens afhankelijk van de solvabiliteitspositie van de verzekeraar binnen de groep. De uitkering van dividend is niet mogelijk als de solvabiliteitsratio van de verzekeraar beneden het intern vastgestelde vereiste niveau van 150% ligt. Boven de zogenoemde bovengrens van 175% is uitkering van dividend mogelijk. Tussen het intern vastgestelde streefniveau van 170% en het intern vastgestelde vereiste niveau van 150% kan er alleen dividend worden uitgekeerd als dit verantwoord wordt geacht door de statutaire directie van de verzekeraar.