Risicomanagement­systeem

De Raad van Bestuur is verantwoordelijk voor de opzet en werking van de interne risicobeheersing- en controlesystemen van CZ groep. Deze systemen beogen voldoende zekerheid te bieden ten aanzien van de beheersing van risico’s. Het risicobeheersingsysteem is integraal ingericht en daarmee onderdeel van de organisatie op strategisch, tactisch en operationeel niveau. Deze integraliteit borgt een cultuur, waarin aandacht voor risicobeheersing effectief aanwezig is.

Voor het intern sturen en beheersen van de concernactiviteiten maakt CZ groep daarnaast gebruik van een planning- en control cyclus (P&C-cyclus). Deze cyclus ondersteunt bij het vertalen van ambities naar meetbare doelstellingen en actieplannen. Ook helpt het ervoor te zorgen dat deze plannen daadwerkelijk worden uitgevoerd. Binnen CZ groep is ‘in control zijn’ een continu proces. De essentie van 'control’ is het bewaken van gemaakte afspraken en het bijsturen op inhoud én gedrag in de organisatie daar waar nodig. Het is belangrijk op te merken dat deze mate van risicobeheersing en planning & control geen garantie geeft voor het daadwerkelijk behalen van de strategische, operationele en financiële doelstellingen, noch dat fouten volledig kunnen worden voorkomen.

Het jaar 2020 was ook voor CZ groep een bijzonder jaar, waarin zij geconfronteerd werd met nieuwe omstandigheden en risico’s door de uitbraak van het coronavirus. Zoals eerder in dit bestuursverslag beschreven, is CZ groep actief betrokken geweest bij de landelijke vormgeving van regelingen en heeft zij zich ingezet voor het waarborgen van de continuïteit van zorg. Voor het risicomanagementsysteem binnen CZ groep betekende dit dat zowel de eerste, tweede als derde lijn actief betrokken zijn bij het opstellen en adviseren van de Raad van Bestuur over de landelijke regelingen en de mogelijke risico’s die deze met zich meebrengen. Daarnaast zijn er verscheidene adviezen, (scenario- en gevoeligheids)analyses en risk assessments opgeleverd door de tweede lijn aan het bestuur, met als doel het in beeld brengen en adviseren over de risico’s en mitigerende maatregelen die het gevolg zijn van de coronapandemie.

Governance: Three Lines of Defense

CZ groep richt zijn besturing en beheersing in volgens het Three Lines of Defense-model. Dit model definieert drie levels van risicomanagement, met elk hun eigen rol en verantwoordelijkheid. Daarbij wordt van de eerste lijn (de primaire lijnfuncties) verwacht dat zij hun risico’s kennen en (aantoonbaar) beheersen. De tweede lijn (Governance, Risk & Compliance (GRC)) levert daarvoor de structuren, bewaakt de effectiviteit ervan en monitort (direct of indirect) de toepassing ervan. De derde lijn (de Interne Audit Dienst (IAD)) stelt daarbij vast of het model werkt en leidt tot een effectief aangetoonde beheersing. Dit doet de IAD door de werking van de beheersmaatregelen te toetsen.

Binnen de concernstafafdeling GRC zijn naast de kaderstellende functies, drie sleutelfuncties belegd, te weten: Actuariële Functie, Risicomanagement en Compliance. Deze vormen in samenhang, maar met eigen lijnen naar zowel RvB als RvC, een sterke tweede lijn die de challenge- en monitorfunctie vanuit een breed en afgestemd perspectief inhoud geven. GRC is daarnaast vertegenwoordigd in de belangrijkste besluitvoorbereidings- en adviesorganen van CZ groep (zie hiervoor de paragraaf Raad van Bestuur in het hoofdstuk Corporate Governance)

Actuariële functie

De actuariële functie adviseert en faciliteert de organisatie vanuit een onafhankelijke positie bij de totstandkoming van de technische voorzieningen door een oordeel te vormen over de kwaliteit en invulling van de achterliggende sleutelprocessen: zorgkostentaxatie, taxatie van de bijdragen en premiestelling. Met haar gevraagde en ongevraagde adviezen en oordelen stelt de actuariële functie haar beleidsbepalers in staat weloverwogen besluiten te nemen.

Risk-functie

Risicomanagement houdt in dat CZ groep in haar (strategische) besluitvorming en processen zorgvuldig afweegt welke risico’s er zijn, welke impact deze risico’s hebben en hoe wij deze kunnen mitigeren. We maken daarbij onderscheid tussen strategisch en operationeel risicomanagement. Strategisch risicomanagement richt zich vooral op de bescherming en sturing van de solvabiliteit en de solvabiliteitseis (kapitaalmanagement). Operationeel risicomanagement ziet toe op de dagelijkse risicobeheersing van bedrijfsprocessen, onder andere door het aanbieden en onderhouden van risicomethodieken en het faciliteren van risk self-assessments.

Jaarlijks wordt de risicostrategie opnieuw beoordeeld naar aanleiding van de Own Risk & Solvency Assessment (ORSA). In de ORSA voert CZ groep, op basis van relevante besluiten en ontwikkelingen, diverse scenarioanalyses uit die in samenhang meerjarig de invloed op de solvabiliteit(seis) en premie weergeven. Ook wordt de risicobereidheid per soort risico opnieuw beoordeeld en vastgesteld. De vervolgstap is het vaststellen van de risico’s (assessment) en het bepalen van mitigerende maatregelen (control). Monitoring vindt plaats door middel van risicorapportages en In Control Statements. Vanuit de risicokaders worden minstens elk kwartaal risicorapportages uitgebracht. 

In de reguliere (kwartaal) risicorapportages wordt aandacht gegeven aan de verzamelde belangrijkste risico’s en de ontwikkelingen daarvan in de tijd. Risico’s worden gerelateerd aan de (strategische) doelen van CZ groep en aan de toegestane risicohouding. De grootste risico’s met een hoge potentiële financiële impact worden via gestructureerde scenario’s tevens doorgerekend naar hun invloed op solvabiliteit en premie (ORSA). Hiermee heeft CZ groep continu een integraal inzicht in de belangrijkste kwalitatieve en kwantitatieve risicovraagstukken. Alle scenario’s worden meerjarig doorgerekend op zowel solvabiliteit als premieontwikkelingen. Zo is inzet van (over)solvabiliteit in de premiestelling een in het kapitaal- en premiebeleid verankerd mechanisme waarmee het een aan de strategie gekoppelde activiteit is, waarin de stabiliteit van de premieontwikkeling over meerdere jaren topprioriteit heeft.

Compliance-functie

Naleving van wet- en regelgeving (compliance) ligt aan de basis van de bedrijfsvoering van CZ groep. Het is cruciaal voor het vertrouwen dat verzekerden en andere stakeholders in ons hebben. De verantwoordelijkheid voor het toepassen en naleven van de regelgeving ligt bij het lijnmanagement van ieder bedrijfsonderdeel. De eindverantwoordelijkheid ligt bij de Raad van Bestuur. Binnen onze organisatie kennen wij een centrale compliancefunctie voor coördinatie, advisering, ondersteuning en monitoring. Deze werkt samen met local compliance officers in de bedrijfsonderdelen. De centrale compliancefunctie ontwikkelt assessments die per bedrijfsonderdeel de mate van naleving van wet- en regelgeving meten en verbeteren. Deze assessments zorgen voor meer grip en een eenduidige rapportage. Onderdeel van de complianceorganisatie is sinds de inwerkingtreding van de Algemene verordening gegevensbescherming de Functionaris voor de gegevensbescherming (FG). Het vorenstaande geldt dan ook onverkort voor deze functie. De FG maakt gebruikt van dezelfde compliance-organisatie en heeft dezelfde rapportagelijnen.

Ook hebben we aandacht voor integriteit vanuit ons Integriteitsbeleid. Dit beleid bevat de kaders voor integer handelen voor iedereen die bij onze organisatie werkt en geeft weer hoe wij ons willen presenteren. We hanteren daarbij enkele basisregels. De medewerker handelt eerlijk, zorgvuldig en oprecht en stimuleert respect, eerlijkheid en betrouwbaarheid bij anderen. De medewerker voorkomt dat zijn privébelangen in conflict komen met de belangen van CZ groep of dat de schijn wordt gewekt dat dat het geval is. Medewerkers moeten elke betrokkenheid bij handelingen (waaronder zowel een doen en nalaten) die het vertrouwen in CZ groep en de financiële markten in het algemeen kan schaden, voorkomen. De bedrijfsonderdelen besteden regelmatig via workshops en e-surveys aandacht aan het belang van integer handelen om zo een gezond integriteitsbewustzijn te stimuleren. Jaarlijks toetsen wij door middel van een organisatiebrede uitvraag of het Integriteitsbeleid wordt nageleefd. Ook in 2020 is weer gebleken dat het Integriteitsbeleid goed wordt nageleefd door divisies.

In Control Statement

Tweemaal per jaar geven de eindverantwoordelijke directeuren van de divisies een In Control Statement (ICS) af. Daarin leggen zij verantwoording af aan de Raad van Bestuur over de effectiviteit van de interne beheersing van hun belangrijkste key controls. De tweedelijns risk functie draagt zorg voor een challenge van de opgeleverde ICS en gaat het gesprek hierover aan met de directeuren. De IAD (derdelijn) toetst de werking van de voor beheersing en verslaglegging belangrijke controls. Op basis van het jaarbeeld van alle In Control Statements geeft de RvB een jaarlijkse verklaring over de interne beheersing af. Op grond van alle mechanismen voor governance en control is de Raad van Bestuur er van overtuigd dat de interne risicobeheersing- en controlesystemen naar behoren hebben gewerkt in 2020 en dat er voldoende zekerheid bestaat over de betrouwbaarheid van de financiële verslaglegging.