Risicomanagement oude tekst niet in pdf

Visie op risicomanagement

Ondernemerschap en risicobeheersing zijn onlosmakelijk met elkaar verbonden. In het jaarverslag van de verzekeraar is risicomanagement dan ook beschreven als een integraal onderdeel van het gevoerde kapitaalbeleid.Daarnaast benadert Bovemij risicomanagement als een waarde creërende activiteit. Dit is een onderdeel van de digitaliserings- en automatisering strategie, die Bovemij binnen Bovemij Groep heeft ingezet. 

Belangrijke elementen van ons risicomanagement zijn de risicomanagement governance, ons risicoprofiel en risicobereidheid, het risicomanagementproces, de voornaamste strategische risico’s, het Bovemij Control Framework, risicorapportage, en onze risico gebaseerde dividend uitkering. Deze onderdelen zijn in dit hoofdstuk nader beschreven, en zijn bedoeld om de risico’s waarmee Bovemij wordt geconfronteerd, zoveel mogelijk te vermijden of beperken.

Voor de toepassing van risicomanagement binnen de realisatie van de strategie en de besturing van de organisatie, richt Bovemij het risicomanagement in op basis van ISO 31000, COBIT for Risk Management en aangevuld met COSO ERM.

Risicomanagement governance

Bovemij hanteert het zogenoemde 'Three Lines of Defence' model (3LoD). Het 3LoD-model beoogt een efficiënte beheersing van risico’s door duidelijkheid te geven over de verschillende verantwoordelijkheden ten aanzien van risicomanagement binnen de organisatie. Door een zo optimale inrichting van de 3LoD streeft Bovemij ernaar de risico’s zo goed mogelijk te beheersen. Dit hebben we als volgt gedaan:

De Raad van Bestuur is binnen Bovemij eindverantwoordelijk voor alle risicomanagementactiviteiten in de realisatie van de doelstellingen en strategie. De Raad van Bestuur stelt de risicobereidheid van de groep vast, zorgt dat een risicomanagementraamwerk voor de beheersing van risico’s aanwezig is en bewaakt de effectiviteit ervan. De organisatie onder leiding van de Directieraad is als eerste lijn primair verantwoordelijk voor de besturing en uitvoering van risicomanagement binnen de betreffende bedrijfsentiteiten.

Cruciaal is dat het 3LoD-model het eigenaarschap van het risico van de risico-eigenaar versterkt en dat de tweede en derde lijn onafhankelijk en objectief zijn gepositioneerd. Daarom is de filosofie van Bovemij:

  • Het management in de eerste lijn is primair verantwoordelijk voor de aantoonbare effectieve uitvoering van beleid en beheersingsmaatregelen. Verschillende eerste lijn risk & compliance functionarissen ondersteunen het managen van specifieke risicogebieden.

  • De specifieke tweedelijnsfuncties binnen de afdelingen Risicomanagement en Compliance, bestaande uit deskundigen op het gebied van verschillende risicocategorieën, ondersteunen de Raad van Bestuur en de Directieraad in het nemen van hun verantwoordelijkheden. Dit doen zij onder andere door het regelmatig uitvoeren van risicoanalyses, het ontwikkelen van methodieken en onafhankelijke toetsing van de effectiviteit van beheersingsmaatregelen;

  • De afdeling Interne Audit in de derde lijn toetst de opzet, het bestaan en de werking van de governance en het risicomanagementsysteem. De interne audit functie beoordeelt de kwaliteit van het risicomanagement en de controles binnen het Bovemij Control Framework door middel van een risico gebaseerd auditplan, zoals dit is goedgekeurd door het Audit & Risico Comité van Bovemij.

Risicoprofiel en risicobereidheid

Over 2022 heeft Bovemij haar risicoprofiel opgesteld voor de groep. Het risicoprofiel van Bovemij bestaat uit een viertal risicogebieden en onderliggende risico-categorieën. Hoewel alle risico’s impact kunnen hebben op het behalen van de doelstellingen, zijn niet alle risico’s even groot.

De risicobereidheid van Bovemij in algemene zin is gematigd. Dit houdt in dat Bovemij voorzichtig omgaat met risico’s en uitsluitend risico’s met de risico-indicatie laag tot matig geaccepteerd kunnen worden door de eerste lijn. Alleen in overleg met het Audit & Risico Comité kan worden besloten risico’s met een hogere dan matig risico-indicatie te accepteren. Bovemij heeft deze risicobereidheid en -houding gebaseerd op de volgende uitgangspunten:

  • Bovemij voldoet in de basis altijd aan wet- en regelgeving en aan maatschappelijk verantwoord ondernemen;

  • Bovemij staat in voor toekomstbestendige en integere besturing, beleid en besluitvorming; en

  • Bovemij staat in voor een verantwoord rendement uit haar producten en –diensten.

De relatie tussen de strategische gebieden en de risico’s is als volgt weergegeven:

Strategisch risico

Het strategisch risico betreft het risico dat organisatiedoelstellingen niet worden gerealiseerd en/of dat de organisatie niet afdoende reageert op veranderingen in/buiten het bedrijfsklimaat of veranderingen die verband houden met bijvoorbeeld sociaal-maatschappelijk, politiek, maatschappelijk verantwoord ondernemen, fusies, overnames, klimaat- en technologische ontwikkelingen. Dit zijn risico’s die uitsluitend verlies met zich meebrengen of tot een neutraal (bedrijfs-)resultaat leiden.

De risicobereidheid voor strategische risico’s is gelimiteerd. Bovemij is flexibel in het aangaan van strategische risico’s, maar deze risico’s worden alleen gerechtvaardigd genomen als hiervoor expliciete goedkeuring is gegeven door de RvB en RvC. Er zal enkel goedkeuring worden gegeven als er een gedegen plan van aanpak is en een beschrijving van de benodigde (beheers)maatregelen.

Operationeel risico

Het operationeel risico omvat gebeurtenissen die zich voordoen als gevolg van onder andere falende of deels functioneren van interne processen of systemen, menselijke fouten, crimineel handelen of externe gebeurtenissen en risico’s die verband houden met zaken zoals het voorkomen van fraude en criminaliteit, personeel IT/infrastructuur, bedrijfsbescherming, projecten en programma’s, bedrijfsprocessen, derden (uitbestedingsrisico’s) en distributie.

De risicobereidheid voor operationele risico’s is gematigd. Bovemij gaat voorzichtig om met operationele risico’s en wenst haar doelstellingen hieromtrent veilig te realiseren.  

Financieel risico

Het financieel risico verwijst naar het vermogen van Bovemij om activa en passiva adequaat te beheren en voldoende inkomsten te genereren om de bedrijfskosten te dekken. Dit risico wordt veelal beïnvloed door verliezen of ongunstige veranderingen in de financiële status van de organisatie (intern) of als gevolg van veranderingen in de financiële markten (extern).

De risicobereidheid voor financiële risico’s is gematigd. Daarom gaat Bovemij voorzichtig om met deze risico’s en zal ze ervoor kiezen om haar doelstellingen op een veilige manier te realiseren.

Integriteitsrisico

Het integriteitsrisico ontstaat door het niet tijdig onderkennen van relevante (veranderende) wet- en regelgeving, dan wel het mogelijk niet voldoen aan de relevante wet- en regelgeving. Daarnaast betreft dit het niet naleven van het intern beleid en regels en de consequenties ervan.

De risicobereidheid voor integriteitsrisico’s is laag. Bovemij is avers als het op integriteitsrisico’s aankomt en het is daarom een kerndoelstelling om deze risico’s te vermijden.

Risicomanagementproces

Om een zo volledig mogelijk beeld te hebben van de risico’s van Bovemij, vinden systematische en gestructureerde risicoanalyses plaats volgens het standaard risicomanagementproces. Als groep hanteren we in de basis hetzelfde risicomanagementproces. Dit standaard proces is in beginsel gebaseerd op de best practices uit COBIT, COSO ERM en ISO. Hierbij hanteert Bovemij een top-down en een bottom-up benadering, waarbij het risicomanagementproces van het technologiebedrijf of de verzekeraar kan verschillen in het aantal stappen en de snelheid van uitvoer. De essentie is dat de activiteiten in het risicomanagementproces leiden tot het managen van (en enige vorm van controle hebben in de omgang met) risico's. Ook kunnen de methodieken verschillen (bijvoorbeeld kwantitatief, kwalitatief of strategische versus operationeel) die worden gebruikt in het risicomanagementproces, afhankelijk van de context en het te bereiken doel.

Voornaamste strategische risico's

Voor Bovemij is het van belang om de strategie en lange termijn organisatiedoelstellingen te realiseren en daarmee te voldoen aan de toenemende verwachtingen van klanten en eisen vanuit toezichthouders. De realisatie hiervan gaat echter gepaard met risico’s die zich kunnen ontwikkelen binnen de interne en externe context van Bovemij. In 2022 zijn in samenwerking met de Raad van Bestuur de strategische risico’s geïdentificeerd en uitgebreid doorgesproken.

Risico

Omschrijving

Managementreactie

Verdienmodel

Veranderingen in de mobiliteitsmarkt kunnen een negatief effect hebben op het verdienmodel van Bovemij.

Onze zakelijke klanten (waaronder garagebedrijven en leasemaatschappijen) ervaren een sterk veranderende mobiliteitsmarkt, hogere consumentverwachtingen, minder onderscheidend vermogen en een dalend aantal aanbieders. Deze ontwikkelingen verlangen aanpassingen aan het businessmodel van Bovemij. Daarbij krijgt zowel Bovemij als haar zakelijke klanten steeds meer binnen de mobiliteitsketen te maken met online concurrentie uit binnen- en buitenland. De reactie van Bovemij op deze ontwikkelingen brengt steeds meer inspanning en kosten met zich mee, waardoor de juiste investeringskeuzes essentieel zijn.

  • In haar strategie heeft Bovemij de genoemde ontwikkelingen onderkend.

  • Bovemij volgt de ontwikkelingen in de markt nauwlettend en bespreekt deze periodiek binnen het Groep Risico en Compliance Comité.

  • Bovemij voert een actief beleid om nieuwe proposities voor online dienstverlening te ontwikkelen, nieuwe producten en diensten in de bestaande markt aan te bieden om haar concurrentiepositie te bestendigen.

  • Bovemij heeft nauw contact met mobiliteitsbedrijven inzake het aangaan van strategische samenwerkingen en het creëren van een blijvende positie binnen de mobiliteitsbranche.

 

Mensen

Bovemij is afhankelijk van haar personeel voor leiderschap en specialistische vaardigheden en is mogelijk niet in staat dergelijk personeel te behouden en aan te trekken.

Indien Bovemij er te weinig in zou slagen om gekwalificeerd personeel met de juiste expertise aan te trekken, op sleutelposities te behouden of te motiveren of de benodigde aanpassingen te doen in onze bedrijfscultuur en bepaalde gedragingen is het mogelijk dat wij niet effectief leren en groeien en onze executiekracht verliezen om onze strategische doelstellingen te behalen. En als Bovemij de gestegen loonkosten niet weet te compenseren met hogere inkomstenstromen dan heeft dit ook een wezenlijk effect op het niveau van onze dienstverlening en de bedrijfsresultaten.

  • Bovemij investeert in haar medewerkers en leidinggevenden door hen opleidingsmogelijkheden te bieden, waardoor zij zich binnen Bovemij kunnen blijven ontwikkelen.

  • Het leiderschapsprogramma van Bovemij zorgt dat leidinggevenden handreikingen ontvangen om te blijven groeien en de strategie te executeren.

  • Bovemij ondervangt de uitdagingen als gevolg van de huidige arbeidsmarkt door zzp'ers in te huren, en deskundigen in te zetten vanuit erkende gespecialiseerde bedrijven.

Operational excellence

Bovemij kan te maken hebben met uitdagingen op het gebied van operational excellence en snelheid om de strategie te kunnen realiseren.

Het succes van de executie van de nieuwe strategie van Bovemij is afhankelijk van het samenspel tussen de basisprocessen in de bestaande organisatie en de programma’s die moeten zorgen dat de strategie voor onze klanten wordt geïmplementeerd. Als Bovemij er als gevolg van onder andere capaciteitstekort (bezettingsgraad en kennis) in mindere mate slaagt haar strategie te realiseren en te commercialiseren, kan zij haar marktaandeel en concurrentiepositie verliezen. Dit kan een negatief effect hebben op haar financiële positie en bedrijfsresultaten.

  • In de executie van de strategie is ervoor gekozen om de basisprocessen op orde te krijgen. Hiermee ontstaat een solide basis om klaar te zijn voor de toekomst.

  • Vanuit dat fundament optimaliseert en automatiseert Bovemij haar interne processen, waardoor de klanttevredenheid toeneemt, de efficiency wordt verhoogt en de bedrijfskosten verlaagd.

Transformatie

Bovemij is blootgesteld aan risico’s als gevolg van de bedrijfstransformatie terwijl de bestaande organisatie gecontinueerd moet blijven.

Bovemij wordt geconfronteerd met veranderingen en transformatieprocessen in verschillende tempo's, veranderende prioriteiten, en nieuwe technologieën terwijl de winkel open moet blijven. Dit kan leiden tot een vermindering van onze huidige betrouwbaarheid, verstoring van onze lopende activiteiten inclusief verlies van managementfocus op bestaande activiteiten. Dit legt een aanzienlijke druk op ons management, personeel en financiële prestaties en controle over het geheel. Als Bovemij er te weinig in slaagt op de juiste wijze en snel genoeg te transformeren, kan zij haar marktaandeel en concurrentiepositie verliezen.

  • Bovemij houdt rekening met de effecten van transformatie-activiteiten op de bestaande organisatie en de verschillende bedrijfsonderdelen acteren steeds meer vanuit gezamenlijke belangen.

  • Bovemij hanteert een gefaseerde aanpak voor de implementatie van de strategie met AgileSafe als standaard methodiek.

  • Onverwachte verstoringen als gevolg van veranderingen en de transformatie worden behandeld binnen een incidentmanagementproces.

Security

Bovemij kan worden blootgesteld aan een aanzienlijke security breach.

De nieuwste dataprivacy en security-uitdagingen stellen steeds hogere eisen aan onze ICT-infrastructuur en bedrijfsprocessen. Als deze aanpassing te langzaam gaat, kan dit het vertrouwen van onze stakeholders en klanten schaden en ons blootstellen aan aansprakelijkheidsrisico's. Software bugs of defecten, beveiligingsinbreuken en aanvallen op onze systemen kunnen resulteren in ongeoorloofde openbaarmaking en ongeoorloofd gebruik van onze dan wel persoons-/klantgegevens. Eveneens kan dit leiden tot verstoringen in het gebruik van ons platform, waardoor klanten onze diensten en producten niet meer kunnen afnemen. Net als andere bedrijven heeft Bovemij tegenwoordig voortdurend te maken met de operationele dreiging van cybercriminaliteit en heeft tot nu toe aanzienlijke schade of hoge kosten kunnen voorkomen door maatregelen te nemen.

  • De blijvende ontwikkelingen rondom informatiebeveiliging hebben ook impact op Bovemij.

  • Bovemij stelt mensen en middelen beschikbaar voor het implementeren van maatregelen ter verbetering van de bestaande beheersingsmaatregelen voor informatiebeveiliging om bestand te zijn tegen de nieuwste externe ontwikkelingen.

  • Bovemij heeft een Security Organisatie ingericht en voert maandelijkse controles en periodieke audits uit op de ingerichte beheersingsmaatregelen.

  • Bovemij heeft een Awareness programma voor het continue bewustzijn van medewerkers op gebied van informatiebeveiliging.

Strategische allianties

De veranderingen binnen Bovemij leiden tot uitbesteding waardoor voor Bovemij een risico ontstaat van afhankelijkheid van derden met betrekking tot de levering van diensten.

Het aangaan van samenwerkingsverbanden (opzetten proposities, intern centralisatie, strategische allianties en joint ventures met externe partijen) vereist nieuwe vaardigheden om dit succesvol te laten verlopen, en dit efficiënt te laten integreren met de bedrijfsactiviteiten binnen Bovemij. Hoe minder bedreven Bovemij hierin is, hoe hoger de investeringen en herstructureringskosten. In een uiterste geval kan het in de samenwerking leiden tot juridische kwesties met de samenwerkingspartners wat Bovemij te allen tijde wil voorkomen. Hoewel Bovemij haar beheersingsmaatregelen met betrekking tot inkoop-, contract- en leveranciersmanagement versterkt, kunnen deze maatregelen vooralsnog onvoldoende of niet succesvol blijken.

  • Strategische samenwerkingen en allianties zet Bovemij bewust in als middel om haar strategische doelstellingen te realiseren.

  • Bovemij voert een strategisch inkoop, contract- en leveranciersmanagementbeleid.

  • Bovemij investeert op dit moment in het inrichten van een regie organisatie voor de samenwerking maar haar strategische partners.

Rente en inflatie

Geopolitieke-, inflatie en rente ontwikkelingen kunnen een negatief effect hebben op de bedrijfsactiviteiten, producten en diensten van Bovemij.

De grondstoffenmarkt is gevoelig voor geopolitieke ontwikkelingen die leiden tot prijsstijgingen. Dit heeft een drukkend effect op de economie. Gezien de stijgende rente en inflatie met onzekere doorwerkingseffecten voor Bovemij en haar klanten, bestaat het risico dat de huidige investeringen de realisatie van de strategie aanhoudend vertraagd. Deze ontwikkeling vereist ook een voldoende (tijdige) doorberekening van de inflatie in onze prijsstelling om het rendement van Bovemij veilig te stellen. Bovendien worden onze zakelijke klanten ook geconfronteerd met gestegen inflatie, waardoor zij meer uitdagingen ondervinden op gebied van rendement en liquiditeit. Zonder maateregelen zouden de genoemde ontwikkelingen ook een negatief effect op het kostenresultaat hebben. Het beleggingsresultaat van de verzekeraar binnen Bovemij toont in 2022 al de negatieve effecten. Het is de verwachting dat in 2023 de effecten op het kostenresultaat zichtbaar zullen worden als gevolg van de indexatie van contracten. 

  • In haar tarieven werkt Bovemij met eenduidige prijsaanpassingen naar klanten waarbij de stijging van haar kosten in acht wordt genomen. Hiermee kunnen grote negatieve gevolgen van indexatie op het kostenresultaat worden gedempt.

  • Specifiek voor de beleggingsportefeuille van de verzekeraar heeft Bovemij een lage risicobereidheid. Voor de bescherming van de solvabiliteit van de verzekeraar wordt geen duratie mismatch positie ingenomen met betrekking tot rente-ontwikkelingen.

Wet- en regelgeving

Bovemij loopt het risico dat haar producten en diensten niet voldoen aan diversie wet- en regelgeving.

Verschillende bedrijfsentiteiten binnen Bovemij opereren in een sterk gereguleerde omgeving waardoor producten, diensten, processen, systemen en data zijn onderworpen aan regelgeving van diverse overheids- en toezichthoudende instanties (RDW, AFM, Belastingdienst en DNB). Bovemij constateert een toename van vereisten in nieuwe en komende wetgeving die betrekking heeft op markttoegang, consumentenbescherming en verantwoorde omgang met data. Bovemij wil hier te allen tijde aan voldoen, omdat we ook de toegevoegde waarde hiervan zien. Maar mogelijk niet-naleving van voorwaarden kan ons blootstellen aan rechtszaken, administratieve sancties, boetes en of civielrechtelijke maatregelen. De aandacht die ook hieraan moet worden besteed, gaat ten koste van andere activiteiten in onze primaire dienstverlening aan onze klanten.

  • Gedurende het jaar monitort de compliance afdeling de naleving van wet- en regelgeving.

  • Nieuwe kaders zijn – daar waar relevant - voor Bovemij gedefinieerd op basis van (nieuwe- en of gewijzigde) wet- en regelgeving.

  • Bovemij voert jaarlijks binnen de relevante bedrijfsonderdelen een integriteit risico analyse uit.

  • Bij het voorkomen van issues wordt en is de Compliance Officer direct op de hoogte gesteld en betrokken binnen het incidentmanagementproces.

Bovemij Control Framework

Het Bovemij Control Framework (‘BCF’) stelt de norm voor de interne beheersing binnen de processen die effect hebben op de financiële verslaggeving van Bovemij. Het BCF is gebaseerd op COSO Internal Control Framework (2012). Het doel van het BCF is het handhaven van een geïntegreerde beheersingsaanpak voor de activiteiten van de organisatie om zodoende de kwaliteit van diensten en producten, integriteit van de financiële verslaggeving en de naleving van wet- en regelgeving te waarborgen.

Als onderdeel van het BCF zijn standaard controles uitgevoerd over de verschillende bedrijfsprocessen en zijn in 2022 een nieuwe set aan beheersingsmaatregelen opgenomen in het BCF. Hiermee beoogt Bovemij zekerheid te verschaffen dat activa zijn veiliggesteld, dat de financiële administratie een getrouw en juist beeld geeft van de transacties die nodig zijn voor het opstellen van het jaarverslag, dat beleid en procedures door geschikt en betrouwbaar personeel wordt uitgevoerd, en dat de gepubliceerde jaarrekening naar behoren is opgesteld en geen onjuistheden van materieel belang bevat. Binnen Bovemij is elke afdelingsmanager en directeur verantwoordelijk voor het aanpassen van de beheersingsmaartegelen aan hun beleid, operationele activiteiten en systemen.

Risicorapportage en communicatie

In alle stadia en activiteiten binnen het risicomanagementsysteem vindt communicatie en overleg plaats met interne en externe belanghebbenden. Bovemij heeft een aantal overleggremia en rapportagelijnen ingesteld waarin men gericht aandacht besteedt aan de beheersing van verschillende risicocategorieën (inclusief oorzaken en gevolgen daarvan) en eventuele aanvullende maatregelen om te treffen.

Voor het bespreken van verschillende risico’s en bijbehorende maatregelen zijn de volgende comités ingesteld:

  1. Operationeel Risico & Compliance Comité (ORC)

  2. Groep Risico & Compliance Comité (GRC)

  3. Quarterly Business Review (QBR)

Ieder kwartaal rapporteren de tweede lijn risicomanagement en compliance over risicobeheersing door de verschillende bedrijfsentiteiten binnen de groep en mate van effectiviteit van haar beheersingsmaatregelen. De directieleden bespreken de groepsrapportage binnen hun ORC, gedelegeerden vanuit de Raad van Bestuur bespreken de groepsrapportage in het GRC en de rapportage wordt door de Raad van Bestuur vastgesteld nadat deze is besproken binnen de ARC. Binnen de governance leggen de directieleden (binnen de Directieraad) verantwoording af over de integere en beheerste bedrijfsvoering met de leden van de Raad van Bestuur binnen de QBR-gesprekken.

Risicogebaseerde dividenduitkering

Bovemij wil haar financiële verplichtingen op korte en lange termijn nakomen. Een gezonde kapitaalpositie is hiervoor een randvoorwaarde. Kapitaalmanagement is bij Bovemij gebaseerd op het wettelijke kader, economische grondslagen en uitgangspunten vanuit de aandeelhouders bezien.

Bij het beheer van het kapitaal hanteert Bovemij een dividend pay-out ratio van 30% (van het operationeel resultaat na belasting). De uitkering van het dividend is eveneens afhankelijk van de solvabiliteitspositie van SVM. De uitkering van dividend is niet mogelijk indien de solvabiliteitsratio van SVM beneden het intern vastgestelde vereiste niveau van 150% ligt. Boven de zogenoemde bovengrens van 175% is uitkering van dividend mogelijk. Tussen het intern vastgestelde streefniveau van 170% en het intern vastgestelde vereiste niveau van 150% kan er alleen dividend worden uitgekeerd indien dit verantwoord wordt geacht door de statutaire directie van SVM.