Risicomanagement

‘Risicobewust ondernemerschap’ is een uitgangspunt voor de bedrijfsvoering van Bovemij Group. Dat wil zeggen dat doelen moeten worden behaald binnen prudente risicokaders. Ondernemerschap en risicobeheersing zijn voor ons daarom onlosmakelijk met elkaar verbonden.

Belangrijke elementen van ons risicomanagement zijn de risicomanagement governance, het Bovemij Control Framework, de risicorapportage, het risico gebaseerde dividendbeleid, de risicohouding, het risicomanagement  proces en de inschattingen van de risico’s. Deze elementen zijn in dit hoofdstuk beschreven en zijn bedoeld om de risico’s waarmee Bovemij Group wordt geconfronteerd, zo goed mogelijk te managen.

Risicomanagement governance

Bovemij Group hanteert het zogenoemde ‘Three Lines’ model. Dit model beoogt een efficiënte beheersing van risico’s door duidelijkheid te geven over de verschillende verantwoordelijkheden ten aanzien van risicomanagement binnen de organisatie. Door een zo optimale inrichting streven we ernaar de risico’s zo goed mogelijk te managen.

De 2e en 3e lijnsrollen binnen Bovemij Group, die tevens sleutelfunctiehouders zijn binnen Bovemij Verzekeringen, zijn niet alleen bedoeld om waarde te beschermen, maar ook om deze te vergroten. Zij dienen de countervailing power te bieden aan de bedrijfsentiteiten binnen Bovemij Group ten behoeve van een beheerste en integere bedrijfsvoering. Daarbij staan voor alle rollen de doelen van Bovemij Group centraal. De rollen zijn geen silo’s maar stemmen af en werken samen ieder vanuit de eigen rol. Zodoende wordt niet meer gesproken over ‘Three Lines of Defense’.

Het ‘Three Lines’ model hebben wij als volgt ingericht:

RM = Risicomanagement Functie CF = Compliance Functie AF = Actuariële Functie (alleen van toepassing op Bovemij Verzekeringen

Binnen Bovemij Group is de Raad van Bestuur eindverantwoordelijk voor alle risicomanagementactiviteiten bij het behalen van de doelstellingen en het uitvoeren van de strategie. De Raad van Bestuur stelt de risicobereidheid van de groep vast, zorgt dat een risicomanagementraamwerk voor de beheersing van risico’s aanwezig is en bewaakt de effectiviteit ervan. De Raad van Commissarissen houdt toezicht op de Raad van Bestuur. De Directies onder de Raad van Bestuur zijn als eerste lijn primair verantwoordelijk voor de besturing en uitvoering van risicomanagement binnen de betreffende bedrijfsentiteiten.

Cruciaal is dat het ‘Three Lines’ model het eigenaarschap van het risico van de risico-eigenaar in de eerste lijn versterkt, de tweede lijn daarin ondersteunt en kritisch monitort, en de derde lijn objectieve assurance verleent. Daarom is onze filosofie:

  • De directies, het management en de medewerkers in de eerste lijn zijn primair verantwoordelijk voor de aantoonbare opzet, het bestaan en de effectieve werking van beleid en beheersingsmaatregelen. Voorafgaand aan de besluitvormingsprocessen voert de eerste lijn een risico assessment uit. Deze assessment illustreert zowel de mogelijk aanwezige risico’s, als de benodigde maatregelen ter mitigatie van deze risico’s binnen de gestelde risicobereidheid.

  • De afdeling Risk & Compliance in de tweede lijn stelt objectief de kaders, en ondersteunt de Directies en het management bij het identificeren, beoordelen, adviseren, monitoren en rapporteren van risico's. Ook waarborgen zij de effectiviteit van het risicobeheersingssysteem en het voldoen aan de wettelijke eisen, en ondersteunen daarmee de organisatie bij het effectief uitvoeren van het risicomanagement.

  • De Actuariële Functie in de tweede lijn is specifiek werkzaam voor Bovemij Verzekeringen. Zij ondersteunt de Directie van de verzekeraar met beoordeling van en advisering over de technische voorzieningen, de solvabiliteit, herverzekering, en premiestelling voor de te accepteren verzekeringstechnische risico’s. Deze activiteiten zijn uitbesteed aan Triple A - Risk Finance Certification.

  • De afdeling Internal Audit in de derde lijn geeft onafhankelijk, objectieve zekerheid en adviezen over de toereikendheid en effectiviteit van governance en risicomanagement. Zij rapporteert haar bevindingen en verbetervoorstellen aan het management en de RvB om continue verbetering te bevorderen en te faciliteren.

Bovemij Control Framework

Het Bovemij Control Framework is een belangrijk onderdeel van succesvol risicomanagement. Interne controle en aantoonbare beheersing hebben betrekking op de methoden, procedures en controles die nodig zijn om ervoor te zorgen dat Bovemij Group haar doelstellingen realiseert. De kaders hiervan zijn vastgelegd in het Bovemij Control Framework (BCF) beleid. Hierbij is een sterke link beoogd met het risicomanagementproces en de –activiteiten. Het Bovemij Control Framework is het gestandaardiseerde middel dat moet zorgen voor structuur, duidelijkheid over verantwoordelijkheden en eigenaarschap, zodat de bedrijfsentiteiten kunnen sturen en transparant kunnen zijn over hun feitelijke risicobeheersing. Het koppelen van de beheersmaatregelen uit ons Control Framework via controledoelstellingen aan de risico’s is onderhanden, waarmee ook de werking van ons Risicomanagementbeleid steeds beter kan worden bewaakt.

Communicatie en overleg

In alle stadia en activiteiten binnen het risicomanagementproces vindt communicatie en overleg plaats met interne en externe belanghebbenden. Bovemij Group heeft een aantal overleggremia en communicatiekanalen ingesteld waarin aandacht wordt besteed aan zaken met betrekking tot risicobeheersing, de verschillende risico’s (inclusief oorzaken en gevolgen daarvan) en eventuele aanvullende maatregelen die getroffen moeten worden. Maar ook in de dagelijkse samenwerking heeft risicomanagement een plaats. Daarnaast kan de eerste lijn de tweede lijn functionarissen als sparringpartner gebruiken.

Risico gebaseerd dividendbeleid

Bovemij Group wil haar financiële verplichtingen op korte en lange termijn nakomen. Een gezonde kapitaalpositie is hiervoor een randvoorwaarde. Kapitaalmanagement is bij ons gebaseerd op het wettelijke kader, economische grondslagen en uitgangspunten vanuit de aandeelhouders bezien.

Bij het beheer van het kapitaal hanteert Bovemij Group een dividend pay-out ratio van 30% (van het resultaat na belasting). De uitkering van het dividend is eveneens afhankelijk van de solvabiliteitspositie van de verzekeraar binnen de groep. De uitkering van dividend is niet mogelijk als de solvabiliteitsratio van de verzekeraar (voor en na dividenduitkering) beneden het intern vastgestelde vereiste niveau van 150% ligt. Boven de zogenoemde bovengrens van 175% is uitkering van dividend mogelijk. Tussen deze 175% en het intern vastgestelde vereiste niveau van 150% kan er alleen dividend worden uitgekeerd als dit verantwoord wordt geacht door het bestuur.

Risicohouding, -bereidheid en -taxonomie

De risicohouding van Bovemij Group is in algemene zin voorzichtig en de bijbehorende risicobereidheid is gematigd. Dit houdt in dat wij een voorkeur hebben voor een veilige realisatie van doelstellingen en dat wij onze risico’s bij voorkeur vermijden.

We hebben deze risicohouding en -bereidheid gebaseerd op de volgende uitgangspunten:

  • we voldoen aan wet- en regelgeving;

  • we staan in voor toekomstbestendige en integere besturing, beleid en besluitvorming;

  • we staan in voor een verantwoord rendement uit onze producten en -diensten.

We hebben onze risicotaxonomie onderverdeeld in vier risicogebieden: a) strategisch, b) operationeel c) financieel en d) compliance. Per gebied is voor de risicobereidheid een keuze gemaakt uit het spectrum van extreem laag, laag, gematigd, gelimiteerd, tot volledig anticiperen op risico’s. De bijbehorende risicohoudingen zijn respectievelijk aversie, minimalistisch, voorzichtig, flexibel en open. De achterliggende filosofie gaat aldus van het vermijden van risico's als kerndoelstelling tot aan het gerechtvaardigd nemen van risico's.  

A. Strategisch

Strategisch risicomanagement is verbonden met het bedrijfsmodel en de strategische doelstellingen op de korte, middellange en lange termijn van Bovemij Group.
De risicobereidheid voor strategische risico’s is gelimiteerd. We zijn ons bewust van de strategische risico's. Deze worden in goede afweging genomen en voor zo ver mogelijk gemitigeerd. Er zal enkel goedkeuring worden gegeven indien er een gedegen plan van aanpak is en een beschrijving van de benodigde (beheers-)maatregelen.

B. Operationeel

Operationeel risicomanagement heeft betrekking op het voorkomen en beheersen van ongunstige gebeurtenissen binnen de organisatie die van invloed zijn op het vermogen om producten en diensten te produceren, op de kwaliteit en de tijdigheid van de productie, en op de winstgevendheid.
De risicobereidheid voor operationele risico’s is gematigd. Daarom gaat we voorzichtig om met operationele risico’s en wensen we onze doelstellingen hieromtrent veilig te realiseren.

C. Financieel

Met financieel risicomanagement wil Bovemij Group ongunstige gebeurtenissen tegengaan die effect hebben op de wijze waarop de financiële continuïteit door de organisatie wordt/is gemanaged en de wijze waarop winstgevendheid wordt bereikt.
De risicobereidheid voor financiële risico’s is gematigd. Daarom gaan we voorzichtig om met financiële risico’s en wensen we onze doelstellingen hieromtrent veilig te realiseren.

D. Compliance

Compliance risicomanagement is voor ons het naleven van relevante wetten, voorschriften, overeenkomsten en intern beleid, met daarbinnen het bewustzijn, de gedragingen, houdingen en het handelen van de organisatie en onze medewerkers. Daarbij hechten we grote waarde aan het zorgvuldig borgen van de privacy van zowel onze interne als externe klanten.
De risicobereidheid voor compliance risico’s is laag. We hebben een averse houding inzake compliance risico's. Het is daarom een doelstelling om deze risico’s te vermijden.

Risicomanagementproces

Voor een zo volledig mogelijk beeld van de risico’s van de organisatie vinden systematische en gestructureerde risico assessments op de vier risicogebieden plaats volgens het standaard risicomanagement proces. Hierbij hanteren we een top-down en een bottom-up benadering. 
De risico assessments zijn onderdeel van ons risicomanagement proces dat nodig is om periodiek vanuit de interne en externe context risico’s te identificeren, analyseren en evalueren om de risico strategie vast te stellen. Daarna wordt met een vaste frequentie de beheersing gemonitord, erover gerapporteerd en zo nodig bijgestuurd. De elementen in het risicomanagement proces zijn:

Inschattingen risico’s

Tijdens verschillende risico assessments zijn in 2024 de kans en impact ingeschat voor de volgende risicocategorieën binnen de vier risicogebieden strategisch, operationeel, financieel en compliance:

Deze kansen en impacts van de risico’s zijn gevisualiseerd in een heatmap. De kleur in de heatmap van het netto risico is hierboven aangegeven achter iedere risicocategorie.

Voor strategisch risicomanagement is de oranje zone de grens van de risicobereidheid. Voor operationeel en financieel risicomanagement is dit de gele zone, en voor compliance risicomanagement de groene zone.

Indien een risicocategorie onze risicobereidheid van het risicogebied overschrijdt, dan zijn (aantoonbare) beheersmaatregelen noodzakelijk om het risico te vermijden, overdragen of te verminderen. Als een risicocategorie zich bevindt op de grens van onze risicobereidheid, zijn aanvullende beheersmaatregelen niet noodzakelijk, maar mogelijk wel wenselijk. Als een risicocategorie zich bevindt binnen onze risicobereidheid, is dit risico in principe voldoende gemitigeerd.

Hierna is per risicogebied beschreven op welke wijze de onderliggende risicocategorieën worden beheerst met de huidige beheersmaatregelen. Indien het netto risico onze risicobereidheid overschrijdt, worden ook de benodigde acties tot aanvullende beheersmaatregelen beschreven.

1. Strategisch risicogebied

  1. Omgeving
    Als nichespeler hebben we grote kennis van de branche en zijn we wendbaar door onze overzichtelijke organisatie. Uitingen van concurrenten worden op de voet gevolgd om snel te kunnen inspelen op ontwikkelingen binnen de branche.

  2. Klimaat en milieu
    Het grootste risico zit nu bij calamiteiten vanuit hagel en overstroming die een hoge schadelast veroorzaken. We beheersen dit risico doordat we dit risico herverzekeren middels een calamiteiten dekking dat is gebaseerd op een model op basis van exposure en kansen. Daarnaast hebben we kortlopende polissen onze productportefeuille, waarbij de premie jaarlijks kan worden aangepast. Tevens hebben we acceptatielimieten in het kader van concentratie van risico bij onze zakelijke klanten. Uit ons beleggingsbeleid blijkt dat onze beleggingen voor het merendeel beursgenoteerd zijn, waarbij we veronderstellen dat het risico van klimaatverandering in de beurskoers is gereflecteerd.

  3. Organisatie
    De strategie is in 2024 goed geformuleerd om de ondernemingsdoelstellingen te behalen. Op dit moment is de executie van de strategie in volle gang. De doorvertaling van de strategie heeft plaats gevonden op managementniveau om alle lagen binnen Bovemij Group mee te nemen in de plannen. De huidige governance is ondersteunend aan de nieuwe strategie en de juiste mensen zijn werkzaam op de juiste posities. Bovemij Group is bezig met traject “InFlow” om de executie van plannen en verandertrajecten te verhogen.

2. Operationeel risicogebied

  1. Mensen en functies
    De strategie van Bovemij Group is voor iedereen goed uitlegbaar, operationele activiteiten worden goed opgevangen bij vertrek van personeel, er wordt geïnvesteerd in deskundigheid in mensen, concrete acties worden ondernomen op de medewerkerstevredenheids-onderzoeken (MTO)-uitkomsten, en plannen worden geëxecuteerd om medewerkers aan boord te houden.

  2. Processen
    We beheersen dit risico via beleidskaders, implementatie van gestandaardiseerde processen en systemen binnen de bedrijfsentiteiten, en gestructureerde procesbeschrijvingen volgens een vast format.
    Ondanks deze beheersmaatregelen overschrijdt het netto risico onze risicobereidheid. Daartoe zijn we in 2024 een project “Beheerste en Integere Bedrijfsvoering” gestart, dat moet bewerkstelligen dat in de loop van 2025 de (risico’s binnen de) keyprocessen aantoonbaar worden beheerst. Daarbij hebben de verzekeringsprocessen prioriteit, maar zal dit ook proportioneel worden uitgerold in de andere niet-verzekeringsentiteiten.

  3. Producten en diensten
    Al ruim 60 jaar hebben we als nichespeler vertrouwen opgebouwd bij onze klanten m.b.t. haar services, producten en diensten binnen de branche. De verzekeraar heeft een PARP-proces, waarbij de producten en diensten periodiek worden gereviewd.
    Ondanks dit gegeven overschrijdt het netto risico onze risicobereidheid. In 2025 zal Bovemij Verzekeringen daarom verder werken aan concurrerende proposities zodat deze meer in lijn komt met de verwachting van de klant (m.b.t. haar service concepten en de garage polis). RDC zal haar productportfolio rationaliseren, ENRA zal haar dienstverlening meer concurrerend maken, en Autotrust gaat op dezelfde succesvolle lijn verder als in 2024.

  4. Informatiehuishouding
    Met betrekking informatiebeveiliging, cybersecurity en weerbaarheid hebben we in 2024 intensief gewerkt aan de naleving van alle 58 controls uit de DNB Good Practice voor Informatiebeveiliging. Dit omvat zowel fysieke als digitale beveiligingsmaatregelen. We werken nauw samen met een security partner om continu mogelijke incidenten te traceren en te mitigeren. Bovemij heeft een robuust bedrijfscontinuïteitsplan geïmplementeerd dat regelmatig wordt getest en bijgewerkt. Dit plan omvat noodherstelprocedures, back-up systemen en crisismanagementteams om ervoor te zorgen dat de bedrijfsvoering zo snel mogelijk kan worden hervat na een verstoring. Naast het beveiligen van systemen en processen, besteedt Bovemij ook veel aandacht aan de bewustwording van haar personeel. De beheersing is geborgd in het Bovemij Control Framework, zodat het zelfsignalerende en corrigerende vermogen behouden blijft. Bovendien is Bovemij Verzekeringen druk met de implementatie van de nieuwe vereisten van de Digital Operational Resilience Act (DORA), waardoor we nog weerbaarder worden tegen cyberdreigingen. Daarbij zullen in 2025 ook de bedrijfscontinuïteitsplannen verder worden verfijnd.

  5. Informatietechnologie
    We zorgen voor een up-to-date landschap, wapenen ons tegen dreigingen en zorgen voor interne awareness op het gebied van informatiebeveiliging. Daarnaast hebben we controls geïmplementeerd die de beheerste bedrijfsvoering op het gebied van IT verder moeten verbeteren.

3. Financieel risicogebied

  1. Solvabiliteit
    Ieder kwartaal beoordelen we of grenzen van Key Risk Indicators (KRI's) in gevaar komen. Daarnaast hebben we kapitaalbeleid geformuleerd waarin herstelmaatregelen zijn opgenomen indien de solvabiliteitsratio van Bovemij Verzekeringen onder bepaalde vooraf gedefinieerde niveaus daalt. We hebben in 2024 ook ons voorbereidend crisis plan geüpdate. Omdat de solvabiliteitsratio van de verzekeraar gedurende 2024 daalde tot onder het intern vereiste niveau van 150%, hebben we herstelmaatregelen uit ons kapitaalbeleid ingezet: een kapitaalstorting vanuit Bovemij Group en een additionele quota share herverzekering. Daarnaast is de berekening van de LACDT verder aangescherpt. De combinatie van deze elementen heeft de ratio stabieler gemaakt en per ultimo 2024 verbeterd.
    Ondanks deze maatregelen overschrijdt het netto risico onze risicobereidheid en vinden we aanvullende managementacties noodzakelijk om de solvabiliteitsratio van Bovemij Verzekeringen te laten groeien tot boven het intern vereiste niveau van 150% en daarna richting het streefniveau van 170%. Ten eerste zal de additionele herverzekering de solvabiliteit gedurende 2025 verder doen verhogen, omdat de netto schadevoorzieningen lager zullen uitvallen. Daarnaast onderneemt de verzekeraar in 2025 diverse acties ter verbetering van het rendement. Tot slot is het mogelijk dat een nieuwe kapitaalstorting de komende jaren beschikbaar komt vanuit Bovemij Group vanwege het kapitaal dat vrijkomt uit de run off van Bovemij Financieringen.

  2. Operationeel resultaat
    Bovemij Verzekeringen bespreekt ieder kwartaal de uitkomst van verzekeringstechnische KRI’s en stuurt hierop indien nodig bij. Per productgroep wordt gemonitord en direct bijgestuurd indien de combined ratio te laag uitvalt. Er zijn meerdere knoppen (premie, kosten, dekking) beschikbaar om dit bij te stellen. Daarnaast zijn de grootste risico’s herverzekerd. Premieverhogingen zijn in 2024 deels en worden voor 2025 breder doorgevoerd. Uitzonderingen vanuit commercieel oogpunt worden daarbij niet meer geaccepteerd. Daarnaast zijn voorwaarden aangescherpt en de risicotarieven op serviceconcepten beoordeeld.
    Ondanks deze beheersmaatregelen overschrijdt het netto risico onze risicobereidheid. In 2025 zal Bovemij Verzekeringen daarom nog strakker sturen op preventie, de doelmatigheid aantonen van procescontrols in letsel en borging en schadesturing implementeren.
    Autotrust beheerst dit risico voldoende, omdat zij op basis van data veel inzicht heeft in haar productenportfolio, haar eigen garagenetwerk kent waar reparaties uitgevoerd worden en pro actief actie onderneemt op de schadelast. Ook is een plan aanwezig om beheersbaar te blijven vanuit de hoge groeidoelstellingen. Hetzelfde geldt voor de beheersing van dit risico binnen RDC vanwege de goede relatie met haar bestaande klanten, het doorvoeren van productrationalisatie en het oplossen van IT legacy.

  3. Beleggingsresultaat
    Bovemij Verzekeringen heeft een goed functionerend Beleggingscomité waarin voldoende expertise is vertegenwoordigd en de beleggings-KRI’s worden besproken. Voor de langere termijn is een strategische beleggingsmix gekozen waardoor incidenteel de winstgevendheid op beleggingen zou kunnen tegenvallen. De beleggingsmix is echter zodanig gekozen dat de solvabiliteitsratio en het activa rendement op langere termijn worden gemaximaliseerd onder de restrictie van de risicobereidheid voor de financiële risico’s. Conform het beleggingsbeleid belegt Bovemij Verzekeringen alleen in niet complexe financiële instrumenten, zoals aandelen, staats- en bedrijfsobligaties, hypotheken, leningen en vastgoed. Beleggingen in complexe financiële instrumenten, zoals derivaten, zijn uitgesloten.

  4. Liquiditeit
    Bovemij Verzekeringen heeft normen in de beleggingsmix opgenomen voor liquiditeit. Op verzekerings- en holdingniveau is een cashflow planning beschikbaar om indien nodig ruim van te voren te kunnen ingrijpen. Richting de holding wordt de komende jaren een liquiditeitsstroom verwacht via dividend vanuit de onderliggende bedrijfsentiteiten en de run off van Bovemij Financieringen binnen Bovemij Group.

  5. Verslaglegging
    We hebben een gedetailleerde planning en sturing op ons jaarwerk, controls op processen binnen de financiële administratie en een goede bijdrage van de 2e lijn om het management te ondersteunen richting de certificerend accountant.

4. Compliance risicogebied

  1. Organisatie integriteit
    We hebben diverse governance charters beschikbaar, en daarnaast beheerst beloningsbeleid, uitbestedingsbeleid, een gedragscode en incidentenregeling. Ook vindt training en awareness plaats m.b.t. incidenten.

  2. Medewerker integriteit
    Er is pre-employment screening, fraudebeleid, nevenfunctie- en geschenkenregister, een klachtenregeling voor ongewenste omgangsvormen en een meldingsregeling vermoeden van een misstand. Ook is een vertrouwenspersonen beschikbaar en zijn er dilemma trainingen. Daarbij wordt maandelijks de stemming onder het personeel gemeten via MTO-moodmeters. In 2024 heeft geen interne fraude plaatsgevonden.

  3. Klant-keten integriteit
    We voeren sanctiewet controles en een fraude en insolventie check uit. Supplier Due Diligence (SDD) is ingericht en de risico’s bij volmachten en leveranciers worden beheerst.
    Ondanks deze beheersmaatregelen overschrijdt het netto risico onze risicobereidheid. In 2025 zal daarom de aantoonbaarheid worden verbeterd m.b.t. de Sanctiewet en SDD, zal strakkere sturing plaatsvinden op onze zorgplicht. Daarnaast zal Bovemij Group compliant moeten zijn aan de DORA-vereisten rondom het informatieregister.

  4. Markt integriteit
    We hebben een Reglement Voorwetenschap, een up-to-date insiderregister die op kwartaalbasis wordt gecontroleerd, transitiemonitoring, en gesloten periodes voor insiders waarbij de handelsmogelijkheden voor insiders met certificaten worden geblokkeerd. De kans op handel met voorwetenschap is beperkt, omdat de certificaten in de STAK met een aandeel in Bovemij Group niet vrij verhandelbaar zijn.

  5. Data integriteit
    Via controls op het gebied van financiële en actuariële data, privacy, datakwaliteits-en cleardesk-beleid beheersen we dit risico.
    Ondanks deze beheersmaatregelen overschrijdt het netto risico onze risicobereidheid. In 2025 zullen we daarom onze ‘Data Protection Impact Assessments' (DPIA’s) verder uitvoeren en strakker handhaven op ons beleid m.b.t. bewaartermijnen. Tevens zal via het project “Datakwaliteit” in 2025 worden gewerkt aan het op orde brengen van de datastrategie, het management en de processen.

Toevoegen aan verslag
Vorige Onze impact op de mens en het klimaat
Volgende Kerncijfers
Home Jaarverslag 2024 Verslag van de Raad van Bestuur