Soorten risico's

CZ groep hanteert de risicotype-indeling die wordt gebruikt door Solvency II, aangevuld met het strategische risico en het wet- en regelgevingsrisico (zie figuur).

Verzekeringstechnisch risico

Het verzekeringstechnisch risico is het risico dat CZ groep verlies lijdt op verzekeringsactiviteiten. Dit door onjuiste aannames en/of grondslagen bij de ontwikkeling en premiestelling van het product. CZ groep voert de basisverzekering uit en biedt daarnaast aanvullende verzekeringen aan. Het verzekeringstechnisch risico van de basisverzekering wordt gematigd door het risicovereveningssysteem. Voor de aanvullende verzekeringen draagt CZ groep zelf het volledige risico. Bij het bepalen van de risico-omvang is de beheersing van de zorgkosten bij beide producten cruciaal. CZ groep zet daarom via haar zorginkoopbeleid sterk in op de beheersing van zorgkosten.

Marktrisico

CZ groep heeft geen winstoogmerk. Met onze beleggingen streven wij naar een zo optimaal mogelijk rendement op ons aanwezig vermogen binnen passende risicokaders. Maar beleggen is niet zonder risico: veranderingen in rentestanden, aandelen- en wisselkoersen kunnen leiden tot verliezen. Wij beheersen de risico’s door te werken met een risicobudget: een maximumbudget waarmee CZ groep risico wil lopen zonder dat dit onze bedrijfsvoering in gevaar brengt. De verdeling van de beleggingen over de verschillende categorieën wordt mede bepaald door een ‘Asset Liability Management’- studie. Daarbij vormt de risicohouding, vertaald in een aantal kwantitatieve risicokaders, het uitgangspunt voor de inrichting van de beleggingsportefeuille. In de eisen die wij stellen aan de beleggingsmandaten voor de externe beheerders worden onder andere de bovenstaande uitgangspunten meegenomen.

Tegenpartijkredietrisico

Dit is het risico dat een tegenpartij zijn financiële verplichtingen niet nakomt. CZ groep heeft vorderingen uitstaan bij verschillende soorten tegenpartijen: financiële tegenpartijen, zorgaanbieders/ -instellingen en verzekerden. Mitigerende maatregelen voor dit risico verschillen per soort tegenpartij. Zo heeft CZ groep alleen gekozen voor financiële tegenpartijen met een hoge kredietwaardigheid en wordt onder andere door middel van spreiding het risico gespreid. Voorschotten die CZ groep heeft uitstaan bij zorgaanbieders en zorginstellingen worden gedekt door het onderhanden werk. Het risico op mogelijke oninbaarheid van verzekeringspremies van de basisverzekering is deels gemitigeerd. Per wanbetaler kan de premieschade oplopen tot maximaal zes maanden. Daarna worden zorgverzekeraars gecompenseerd via de ‘wanbetalersregeling’ van het Zorginstituut Nederland. Voor aanvullende verzekeringen draagt CZ groep wel het volledige kredietrisico. Dit risico wordt deels gemitigeerd door verzekerden het recht op vergoeding uit de aanvullende verzekering te ontnemen bij wanbetaling. CZ groep probeert het kredietrisico op verzekerden te verminderen door in te zetten op een proactief debiteurenbeleid.

Operationeel risico

De operationele risico’s van CZ groep worden vooral gedreven door de grootschalige digitale gegevensverwerking, de omvang van de geldstromen, het imago van zorgverzekeraars en de veelheid aan privacygevoelige informatie. De betrouwbaarheid van de ICT-infrastructuur is van groot belang. Het kwaliteitsniveau van de processen moet hoog zijn. CZ groep richt zich binnen het domein operationeel risico met name op informatiebeveiliging, fraude en compliance.

Informatiebeveiliging

Onze kernprocessen zijn in hoge mate geautomatiseerd en verlopen via een aantal centraal beheerde ICTsystemen. Ook veel van de ondersteunende bedrijfsprocessen zijn sterk afhankelijk van informatie- en communicatietechnologie (ICT). Dit vereist een ICT-omgeving met waarborgen voor een optimale beschikbaarheid, betrouwbaarheid, integriteit en continuïteit van de opslag en verwerking van onze data. Door de snelle ontwikkelingen op het gebied van cybercriminaliteit is er veel aandacht voor informatiebeveiliging. ICT-systemen dienen aan de hoogste eisen te voldoen. Daarom worden die systemen regelmatig beproefd op hun weerbaarheid tegen cybercriminaliteit. Ook het bewustzijn van onze medewerkers op het gebied van cybercriminaliteit dient hoog te zijn. Daarom zijn binnen CZ groep ‘awareness trainingen’ voor medewerkers verplicht gesteld waarin onderwerpen als 'phishing' aan bod komen. Daarnaast wordt het beveiligingsbewustzijn van medewerkers gedurende het jaar op verschillende manieren gemeten. De uitkomsten van deze metingen worden vervolgens meegenomen bij het aanbrengen van de focus voor nieuwe activiteiten.

Fraude

CZ groep neemt maatregelen om fraude zo veel mogelijk te voorkomen en zo goed mogelijk op te sporen. Immers, fraude schaadt het vertrouwen in onze organisatie, zet de betaalbaarheid van zorg onder druk en is vanuit maatschappelijk oogpunt niet aanvaardbaar. Wij beheersen interne en externe frauderisico’s als integraal onderdeel van onze bedrijfsvoering middels preventie, tijdig signaleren en onderzoeken van fraude. Dit is uitgewerkt in ons fraudebeheersingsplan dat ieder jaar wordt herijkt en vastgesteld door de Raad van Bestuur. In 2020 heeft CZ groep voor 3,3 miljoen euro teruggehaald uit fraudeonderzoeken (2019: 15,1 miljoen euro).

Strategisch risico

De wijze waarop CZ groep invulling geeft aan haar maatschappelijke opdracht kan soms schuren met de directe belangen van onze individuele verzekerden. Als zorgverzekeraar hebben we te maken met het spanningsveld tussen het betaalbaar houden van de premie en handhaving van de solidariteit enerzijds en zorgen voor kwaliteit en toegankelijkheid van zorg anderzijds. Ons handelen wordt meer dan ooit kritisch bekeken vanuit de maatschappij. CZ groep moet zijn strategie zien te verwezenlijken binnen dit complexe speelveld, waarbij we zorgvuldig moeten laveren tussen de belangen van alle stakeholders. Stakeholdermanagement en responsiveness zijn daarom belangrijk voor CZ groep, net als onze reputatie. Laatstgenoemde heeft een belangrijke strategische (en financiële) invloed op onze organisatie. CZ groep is alert op reputatiekansen en -risico’s binnen en buiten onze organisatie. Uitleggen waarom we bepaalde keuzes hebben gemaakt en reflecteren achteraf wordt steeds belangrijker. Omdat de reputatie van CZ groep niet los gezien kan worden van de reputatie van de branche vindt daarover regelmatig contact plaats met branchegenoten.

Wet- en regelgevingsrisico

Sinds 2006 is er steeds meer marktwerking in de zorgverzekeringsmarkt gebracht. Toch speelt de overheid nog steeds een belangrijke rol. Zo hebben we onder meer te maken met een veelheid aan complexe wet- en regelgeving. Als zorgverzekeraar moet CZ groep niet alleen voldoen aan financiële wetgeving, zoals de Wet op het financieel toezicht (Wft) en Solvency II, maar ook aan privacywetgeving zoals de Algemene Verordening Gegevensbescherming (AVG). Medische gegevens zijn immers zeer privacygevoelig. Daarnaast zijn we ook op het vlak van financiering van zorg afhankelijk van wet- en regelgeving. Zo bepaalt de overheid jaarlijks de spelregels voor de risicoverevening. Daarbij is de overheid verantwoordelijk voor de dekking van het basispakket, de hoogte van het eigen risico en het budgettair kader. Gevoeligheid voor politieke verschuivingen is een belangrijke factor waar CZ groep als zorgverzekeraar mee te maken heeft. Deze kunnen immers leiden tot veranderingen in de voor ons zo beleidsbepalende wet- en regelgeving.