Risicomanagement

Visie op risicomanagement

De niche verzekeraar binnen Bovemij is een belangrijk bedrijfsonderdeel dat gericht is op het afdekken van specifieke schaderisico’s binnen de mobiliteitsbranche. Deze risico’s van klanten kunnen voor een belangrijk deel worden overgenomen, omdat Bovemij haar eigen risico’s goed weet te managen. ‘Risicobewust ondernemerschap’ is een belangrijk uitgangspunt voor de bedrijfsvoering van Bovemij. Dat wil zeggen dat doelen moeten worden behaald binnen prudente risicokaders. Ondernemerschap en risicobeheersing zijn voor Bovemij daarom onlosmakelijk met elkaar verbonden. Dit is een integraal onderdeel van de strategie, die Bovemij nastreeft.

Belangrijke elementen van ons risicomanagement zijn de risicomanagement governance, de risicohouding, het risicomanagementproces, de inschattingen van de hoofdrisico’s, het Bovemij Control Framework, risicorapportage, en onze risico gebaseerde dividend uitkering. Deze zijn in dit hoofdstuk nader beschreven, en zijn bedoeld om de risico’s waarmee Bovemij wordt geconfronteerd, zoveel mogelijk te beperken.

Voor de toepassing van risicomanagement binnen de realisatie van de strategie en de besturing van de organisatie, heeft Bovemij het risicomanagementsysteem ingericht op basis van artikel 258 Solvency II Verordening 2015/35/EU.

Risicomanagement governance

Bovemij hanteert het zogenoemde ‘Three Lines of Defence’ model (3LoD). De 3LoD beoogt een efficiënte beheersing van risico’s door duidelijkheid te geven over de verschillende verantwoordelijkheden ten aanzien van risicomanagement binnen de organisatie. Door een zo optimale inrichting van de 3LoD streeft Bovemij ernaar de risico’s zo goed mogelijk te managen. Dit hebben we als volgt ingericht:

Cruciaal is dat de 3LoD het eigenaarschap van het risico van de risico-eigenaar in de eerste lijn versterkt en dat de tweede en derde lijn onafhankelijk en objectief zijn gepositioneerd. Daarom is de filosofie van Bovemij:

Cruciaal is dat het 3LoD-model het eigenaarschap van het risico van de risico-eigenaar versterkt en dat de tweede en derde lijn onafhankelijk en objectief zijn gepositioneerd. Daarom is de filosofie van Bovemij:

  • De raad van bestuur, het management en de medewerkers in de eerste lijn zijn primair verantwoordelijk voor de aantoonbare opzet, bestaan en effectieve werking van beleid en beheersingsmaatregelen. Voorafgaand aan de besluitvormingsprocessen voert de eerste lijn een risicoanalyse uit. De risicoanalyse illustreert zowel de mogelijk aanwezige risico’s, als de benodigde maatregelen ter mitigatie van deze risico’s binnen de gestelde risicobereidheid.

  • De risicomanagementfunctie, actuariële functie en de compliance functie zijn zogenoemde sleutelfuncties in de tweede lijn. Deze zijn onafhankelijk gepositioneerd en daarmee gescheiden van de eerste lijn. De functionarissen in de tweede lijn stellen onafhankelijk en objectief de kaders, en ondersteunen de eerste lijn bij het identificeren, beoordelen, adviseren, monitoren en rapporteren van risico's. Ook waarborgen zij de effectiviteit van het risicobeheersingssysteem en het voldoen aan de wettelijke eisen.

  • De interne audit functie in de derde lijn toetst als sleutelfunctie onafhankelijk de opzet, bestaan en werking van de governance en het risicomanagementsysteem. De functionarissen in de derde lijn beoordelen de kwaliteit van het risicomanagement en de controles binnen het Bovemij Control Framework door middel van een risico gebaseerd auditplan, zoals deze is goedgekeurd door het Audit & Risico Comité van Bovemij.

Risicohouding, -bereidheid en -profiel

Bovemij vervult zowel een maatschappelijke behoefte binnen de mobiliteitsbranche als een specifieke behoefte van de BOVAG leden. Als een verzekeraar met een maatschappelijk rol voorziet Bovemij in een behoefte van haar klanten om de effecten van risico’s te verminderen.

De risicohouding van Bovemij is in algemene zin voorzichtig en de bijbehorende risicobereidheid is gematigd. Dit houdt in dat Bovemij een voorkeur heeft voor een veilige realisatie van doelstellingen en dat Bovemij risico’s bij voorkeur vermijdt. Bovemij zal risico’s alleen aanvaarden indien deze beperkt zijn en sterk gecompenseerd worden door de voordelen.

Bovemij heeft deze risicohouding en -bereidheid gebaseerd op de volgende uitgangspunten:

  • Bovemij voldoet in de basis altijd aan wet- en regelgeving en aan maatschappelijk verantwoord ondernemen;

  • Bovemij staat in voor toekomstbestendige en integere besturing, beleid en besluitvorming;

  • Bovemij staat in voor een verantwoord rendement uit haar verzekeringsproducten en -diensten.

In 2023 heeft Bovemij haar risicoprofiel verder aangescherpt. Bovemij heeft haar risicoprofiel onderverdeeld in een viertal risicomanagementgebieden: a) strategisch, b) operationeel c) financieel en d) compliance. Per gebied is voor de risicobereidheid een keuze gemaakt uit het spectrum van extreem laag, laag, gematigd, gelimiteerd, tot volledig anticiperen op risico’s. Deze gebieden zijn als volgt uitgewerkt in onderliggende risico’s.

Strategisch 

Strategische risicomanagement is verbonden met korte en lange termijn strategische doelstellingen van Bovemij. Hierbij is onderscheid gemaakt tussen strategisch risicomanagement voor Bovemij als Groep en strategisch risicomanagement voor de verzekeraar als onafhankelijk bedrijfsonderdeel van Bovemij.

De risicobereidheid voor strategische risico’s is gelimiteerd. Bovemij is zich bewust van de strategische risico's. Deze worden in goede afweging genomen en voor zo ver mogelijk gemitigeerd. Er zal enkel goedkeuring worden gegeven indien er een gedegen plan van aanpak is en een beschrijving van de benodigde (beheers)maatregelen.

Operationeel 

Operationeel risicomanagement is voor Bovemij het resultante van ongunstige gebeurtenissen binnen de organisatie die van invloed zijn op het interne vermogen van de organisatie om producten en diensten te produceren, op de kwaliteit en de tijdigheid van de productie, en/ of op de winstgevendheid. Waarbij het operationeel risico nauw verwant is met componenten binnen de bedrijfsarchitectuur/-infrastructuur.

De risicobereidheid voor operationele risico’s is gematigd. Bovemij gaat voorzichtig om met operationele risico’s en wenst haar doelstellingen hieromtrent veilig te realiseren.  

Financieel 

Financieel risicomanagement is voor Bovemij het resultante van ongunstige gebeurtenissen die effect hebben op de wijze waarop de financiële continuïteit door de organisatie wordt/ is gemanaged en de wijze waarop winstgevendheid wordt bereikt. Waarbij financieel risicomanagement nauw verwant is met kwantificeerbare financiële doelstellingen.

Bovemij voert verzekeringsproducten voor de particuliere en zakelijke markt. De particuliere verzekeringen zijn hoofdzakelijk schadeverzekeringen voor auto, motor, brommer, fiets en e-bike. Deze producten worden via directe en indirecte distributiekanalen aan de consument verkocht. Naast deze particuliere rijrisico’s heeft Bovemij ook zakelijke rijrisico’s in de verzekeringsportefeuille. Tevens zijn er grote handelsvoorraden en bedrijfspanden verzekerd bij Bovemij. Deze diversiteit zorgt voor risicospreiding binnen de Lines of Business motor aansprakelijkheid, motor casco, brand en ziekteverzuimverzekeringen.

Conform ons Beleggingsbeleid belegt Bovemij alleen in niet-complexe financiële instrumenten, zoals aandelen, staats- en bedrijfsobligaties, hypotheken, leningen en vastgoed. Beleggingen in complexe financiële instrumenten, zoals derivaten, zijn uitgesloten.

De risicobereidheid voor financiële risico’s is gematigd. Daarom gaat Bovemij voorzichtig om met deze risico’s en zal ze ervoor kiezen om haar doelstellingen op een veilige manier te realiseren. In dit kader heeft Bovemij een herverzekeringsbeleid en -programma dat is gericht op het beschermen tegen grote schades en catastrofes. 

Compliance

Compliance risicomanagement is voor Bovemij het naleven van relevante wetten, voorschriften, contractuele overeenkomsten en intern beleid, met daarbinnen het bewustzijn, de gedragingen, houdingen en het handelen van de organisatie en haar medewerkers.

De risicobereidheid voor compliance risico’s is laag. Bovemij heeft een averse houding inzake compliance risico's. Het is daarom een kerndoelstelling om deze risico’s te vermijden.

Risicomanagementproces

Voor een zo volledig mogelijk beeld van de risico’s van Bovemij, vinden systematische en gestructureerde risicoanalyses op de vier risicogebieden plaats volgens het standaard risicomanagementproces. Hierbij hanteert Bovemij een top-down en een bottom-up benadering. Dit standaard proces is in beginsel gebaseerd op Solvency II artikel 44 en aangevuld met best practices uit COBIT, COSO ERM en ISO. In 2023 is o.a. extra aandacht gegeven aan het gestructureerd identificeren van de financiële risico’s en de beheersing ervan.

De risicoanalyses zijn onderdeel van het risicomanagementproces dat nodig is om risico’s van alle soorten en types continu te kunnen identificeren, beoordelen, beheersen, monitoren en rapporteren, en verbeteren. De stappen in het risicomanagementproces zijn:

Uit dit proces is het risicoprofiel voortgekomen met de vier genoemde Risk Frameworks en de onderliggende risico’s. Hoewel de risico’s daarbinnen allemaal impact kunnen hebben op het behalen van de doelstellingen, zijn niet alle risico’s even groot. Zoals de definitie van het risico al beschrijft wordt de grootte van het risico bepaald door het product van de ‘mogelijke gevolgen’ (impact) en de ‘waarschijnlijkheid’ (kans) daarvan.

Inschattingen hoofdrisico’s

Tijdens de diverse risico analyses is in 2023 gestart met het inschatten van kansen en impacts in de heatmap van de verzekeraar binnen Bovemij voor de diverse hoofdrisico’s binnen de vier risicogebieden strategisch, operationeel, financieel en compliance. Daarbij is het bruto risico aangegeven met een grijs blokje (dus exclusief huidige beheersmaatregelen uit het Bovemij Control Framework) en het netto risico met een wit blokje (dus inclusief huidige beheersmaatregelen uit het Bovemij Control Framework).

De rode en oranje risico’s hieronder hebben aanzienlijke tot verwoestende impact op de organisatie, en overschrijden de risicobereidheid. Ze vereisen direct (aantoonbare) beheersmaatregelen. De gele risico’s hebben matige impact en liggen op de grens van de risicobereidheid. De groene en blauwe risico’s hebben vrijwel geen tot beperkte impact, en onderschrijden de risicobereidheid. Hiervoor is geen aanvullende actie vereist.

Strategisch risicomanagement

  • 1 Organisatie

  • 2 Omgeving

Operationeel risicomanagement:

  • 3 Organisatie, mensen en functies

  • 4 Processen

  • 5 Services, producten en diensten

  • 6 Informatiehuishouding

  • 7 Informatietechnologie

Financieel risicomanagement:

  •  8 Solvabiliteit en continuïteit

  •  9 Verzekeringstechnisch resultaat

  • 10 Beleggingsresultaat

  • 11 Verslaglegging

Compliance risicomanagement:

  • 12 Organisatie-integriteit

  • 13 Medewerkersintegriteit

  • 14 Klant-ketenintegriteit

  • 15 Marktintegriteit

  • 16 Data-integriteit

In 2023 hebben met name de volgende netto risico’s de aandacht gehad van het management, omdat deze in de heatmap uitkomen in het gele of oranje gebied en/of omdat deze risico’s voor een verzekeraar als Bovemij belangrijk zijn.

Strategische risicomanagement:

Als onderdeel van het BCF zijn standaard controles uitgevoerd over de verschillende bedrijfsprocessen en zijn in 2022 een nieuwe set aan beheersingsmaatregelen opgenomen in het BCF. Hiermee beoogt Bovemij zekerheid te verschaffen dat activa zijn veilig gesteld, dat de financiële administratie een getrouw en juist beeld geeft van de transacties die nodig zijn voor het opstellen van het jaarverslag, dat beleid en procedures door geschikt en betrouwbaar personeel wordt uitgevoerd, en dat de gepubliceerde jaarrekening naar behoren is opgesteld en geen onjuistheden van materieel belang bevat. Binnen Bovemij is elke afdelingsmanager en directeur verantwoordelijk voor het aanpassen van de beheersingsmaartegelen aan hun beleid, operationele activiteiten en systemen.

  • (Informatie-)technologie risico (binnen 1 Organisatie):

Dit betreft het risico dat potentiële bedreigingen en uitdagingen zich binnen een organisatie voordoen vanuit activiteiten met betrekking tot informatietechnologie (IT), met als gevolg dat verkeerde strategische beslissingen worden genomen. De projectorganisatie voor Informatiebeveiliging en de 1ste lijn (run) worden geconfronteerd met uitdagingen die bepaalde activiteiten, zoals het inrichten/borgen van beleid, procedures, omgaan met security-incidenten, pentesten en beoordelingen van leveranciers, beperken in hun uitvoering. Om deze reden zijn er in 2023 reeds maatregelen genomen.

  • Arbeidsmarktrisico (binnen 2 Omgeving):

Dit betreft het risico dat Bovemij loopt als gevolg van veranderingen in de arbeidsmarkt met betrekking tot onzekerheid en uitdagingen die zich voordoen in verband met werkgelegenheid en arbeid, met als gevolg dat het personeelsbestand niet flexibel en concurrerend genoeg is in een dynamische arbeidsmarkt. Het op orde brengen van het organisatorische fundament vereist meer inzet en middelen dan aanvankelijk verwacht. Gelijktijdig moet er achterstallig onderhoud worden weggewerkt en zijn er ongewenste legacy-systemen. De gelijktijdige uitvoering van deze taken vormt een uitdaging, gezien de beperkte beschikbaarheid van personeel en middelen. Daarbij wordt de organisatie geconfronteerd met uitstroom als gevolg van interne oorzaken, ziekteverzuim en de moeilijke werving van cruciaal personeel.

  • Klimaatrisico (binnen 2 Omgeving):

Dit betreft risico’s die ontstaan door de impact van klimaatverandering op het bedrijfsmodel, de activiteiten en de financiële prestaties (verdienmodel) van Bovemij, met als gevolg dat Bovemij teveel bloot staat aan fysieke en transitierisico’s van de klimaatverandering. Fysieke risico’s zijn direct gerelateerd aan de fysieke gevolgen van klimaatverandering. Voor Bovemij kan dit een toename van schadeclaims betekenen als gevolg van extreme weersomstandigheden, zoals overstromingen, bosbranden en stormen. Ook kunnen de fysieke risico’s impact hebben op de waarde en rendement van beleggingen. Transitierisico’s ontstaan door de overgang naar een klimaatvriendelijke economie.


Operationeel risicomanagement:

  • Organisatie, mensen en bedrijfsfuncties (3) en Processen (4):

Dit betreft de risico’s die ontstaan door de dagelijkse operationele activiteiten, processen, systemen en mensen binnen de organisatie, met als gevolg dat de interne bedrijfsvoering onvoldoende beheerst wordt. Het Bovemij Control Framework (BCF) is nog in ontwikkeling. Bovendien wordt nog verder gewerkt aan het fundament van het BCF, inclusief de kaders, methodieken, beleid en processen. Dit geeft druk op de bestaande organisatie, die tegelijkertijd aan het transformeren is.

  • Informatiehuishouding (6) en Informatietechnologie (7):

Dit betreft de risico’s die ontstaan in verband met het beheer en de bescherming van informatie binnen een organisatie, met als gevolg dat informatie verkeerd gebruikt wordt of op verkeerde plekken terecht komt. Uit de DNB-toezichtsuitvraag is gebleken dat er behoefte is aan verbetering van het datamanagement en de datakwaliteit.

Financieel risicomanagement

  • Solvabiliteitsrisico (binnen 8 Solvabiliteit en continuïteit):

Dit betreft het risico dat Bovemij onvoldoende solvabel is, met als gevolg dat Bovemij niet haar polisverplichtingen kan voldoen en daarnaast niet aan SII-eisen. De SCR-ratio wordt ieder kwartaal gemonitord en beoordeeld of KRI-grenzen in gevaar komen. In het Kapitaalbeleid zijn afdoende herstelmaatregelen beschikbaar.

  • Rentabiliteitsrisico (binnen 8 Solvabiliteit en continuïteit):

Dit betreft het risico is dat Bovemij onvoldoende rendabel is, met als gevolg dat Bovemij te weinig winst maakt t.o.v. de netto risico's en de solvabiliteitsdoelen. Vanwege de combinatie van verzekerings- en beleggingsresultaten kan het rendement op eigen vermogen incidenteel te laag uitvallen. Dit is acceptabel indien de SCR binnen de KRI-grenzen blijft.

  • Winstgevendheidsrisico verzekeringen (binnen 9 Verzekeringstechnisch resultaat):

Dit betreft het risico is dat Bovemij onvoldoende winstgevend is per pijler, met als gevolg dat Bovemij te weinig winst maakt t.o.v. de netto risico's en de solvabiliteitsdoelen. Per productpijler wordt gemonitord en direct bijgestuurd indien de combined ratio te laag uitpakt. Er zijn meerdere knoppen (premie, kosten, dekking) beschikbaar om dit bij te stellen. Daarnaast zijn de grootste risico’s herverzekerd.

  • Winstgevendheidsrisico beleggingen (binnen 10 Beleggingsresultaat):

Dit betreft het risico is dat Bovemij onvoldoende winstgevend is, met als gevolg dat Bovemij te weinig winst maakt t.o.v. de netto risico's. Voor de langere termijn is een strategische asset allocatie gekozen waardoor incidenteel de winstgevendheid op beleggingen zou kunnen tegenvallen, zoals in 2022. De asset allocatie is echter zodanig gekozen dat de SCR-ratio en het activa rendement op langere termijn worden gemaximaliseerd onder de restrictie van de risicobereidheid voor de financiële risico’s.

Het risico voor grote verliezen vanwege verouderde aannames uit de laatste beleggingsstudie, en/of doordat de werkelijke portefeuille afwijkt van de strategische asset allocatie wordt gemonitord en waar nodig op tijd bijgestuurd.

  • Risico op onjuiste / onvolledige informatieverstrekking (binnen 11 Verslaglegging):

Dit betreft het risico dat de financiële verslaggeving van Bovemij niet nauwkeurig, tijdig of in overeenstemming met de relevante accountingregels en -normen is, met als gevolg dat de financiële informatie die de verzekeraar openbaar maakt, niet juist of geloofwaardig is. Zie verder: Informatiehuishouding (6) en Informatietechnologie (7).

Compliance risicomanagement:

  • Incidentenrisico (binnen 12 Organisatie-integriteit):

Dit betreft het risico dat er onvoldoende inspanningen worden verricht om incidenten te voorkomen, en dat incidenten niet gemeld (kunnen) worden, met als gevolg dat Bovemij er geen lering uit kan trekken en maatregelen kan treffen om herhaling te voorkomen. Compliance heeft incidenten geregistreerd inzake advisering. Bovemij heeft in alle gevallen een minnelijke regeling met de klant getroffen. Voor het meest risicovolle product is inmiddels een herstelactie opgezet. Daarnaast legt de buitendienst bij schades steeds meer vast, en dit wordt gemonitord. Tevens wordt geïnvesteerd in een adviestool waardoor ook de adviesplicht voor zakelijke schadeverzekeringen beter worden vastgelegd.

  • Sanctiewetrisico (binnen 14 Klant-ketenintegriteit):

Dit betreft het risico dat Bovemij zaken doet met personen die op een Sanctielijst staan (en of worden toegevoegd), et als gevolg dat daardoor (inter-)nationale sancties worden geschonden. Compliance heeft vastgesteld dat Bovemij weliswaar UBO checks uitvoert, maar daar onvoldoende bewijs van kan overleggen. Inmiddels zijn diverse verbeterinitiatieven gestart om aantoonbaar compliant te zijn aan de Sanctiewetgeving.

  • Cybercrime integriteitsrisico (binnen 16 Data-integriteit):

Dit betreft het risico van digitale criminaliteit waarbij interne/externe partijen zich richten op de ICT van Bovemij, haar klanten en andere samenwerkingspartners, met als gevolg dat zij onbedoeld zouden meewerken aan criminele activiteiten. Op grond van de Wft dienen financiële ondernemingen de bedrijfsvoering zodanig in te richten dat de bedrijfsprocessen en bedrijfsrisico's beheerst worden. De AVG eist passende maatregelen om opslag en uitwisseling van gegevens te beschermen. De huidige informatiebeveiliging kan nog verder verbeteren. Hiervoor is een project gestart waarbij de doelstelling is dat medio 2024 een volwassenheidsscore van 3 op basis van DNB Best Practice wordt bereikt.

Bovemij Control Framework

Het Bovemij Control Framework binnen Bovemij is een belangrijk onderdeel van succesvol risicomanagement. Interne controle heeft betrekking op de methoden, procedures en controles die Bovemij heeft ingesteld om ervoor te zorgen dat Bovemij haar doelstellingen realiseert. Hierbij is een sterke link met het risicomanagementproces en de –activiteiten. Als onderdeel van Bovemij maakt Bovemij gebruik van het gestandaardiseerde Bovemij Control Framework. Het Bovemij Control Framework is het middel dat zorgt voor structuur, duidelijkheid over verantwoordelijkheden en eigenaarschap, zodat de entiteit kan sturen en transparant kan zijn over haar feitelijke risicobeheersing. In 2023 heeft Bovemij risico’s binnen de vier risicogebieden met bijbehorende beheersingsmaatregelen toegevoegd aan het Bovemij Control Framework waarmee ook Bovemij de werking van haar risicomanagementbeleid steeds beter kan bewaken.

Risicorapportage

In alle stadia en activiteiten binnen het risicomanagementsysteem vindt communicatie en overleg plaats met interne en externe belanghebbenden. Bovemij heeft een aantal overleggremia en communicatiekanalen ingesteld waarin aandacht wordt besteed aan zaken met betrekking tot risicobeheersing, de verschillende risico’s (inclusief oorzaken en gevolgen daarvan) en eventuele aanvullende maatregelen die getroffen moeten worden. Daarnaast kan de eerste lijn de tweede lijn sleutelfunctionarissen als sparringpartner gebruiken.

In het kader van risicobeheersing zijn de volgende overleggremia ingesteld:

  • Asset & Liability Comité

  • Operationeel Risico Comité

  • Herverzekeringscomité beleid en het operationeel herverzekeringscomité

  • Periodieke Overleggen tussen directie/ management en 2e lijn functionarissen

  • Sleutelfunctie overleg

  • Groep Risico & Compliance Comité

  • Quarterly Business Reviews

De Raad van Commissarissen heeft vanuit haar toezichtrol de volgende gremia ingesteld:

  • Audit & Risico Comité

  • Nominatie & Remuneratie Comité

Risico gebaseerde dividend uitkering

Bovemij wil haar financiële verplichtingen op korte en lange termijn nakomen. Een gezonde kapitaalpositie is hiervoor een randvoorwaarde. Kapitaalmanagement is bij Bovemij gebaseerd op het wettelijke kader, economische grondslagen en uitgangspunten vanuit de aandeelhouders bezien.

Bij het beheer van het kapitaal hanteert Bovemij een dividend pay-out ratio van 30% (van het resultaat na belasting). De uitkering van het dividend is eveneens afhankelijk van de solvabiliteitspositie van de verzekeraar binnen Bovemij. De uitkering van dividend is niet mogelijk indien de solvabiliteitsratio van de verzekeraar beneden het intern vastgestelde vereiste niveau van 150% ligt. Boven de zogenoemde bovengrens van 175% is uitkering van dividend mogelijk. Tussen het intern vastgestelde streefniveau van 170% en het intern vastgestelde vereiste niveau van 150% kan er alleen dividend worden uitgekeerd indien dit verantwoord wordt geacht door de statutaire directie van de verzekeraar binnen Bovemij.

Toevoegen aan verslag