Risicomanagementsysteem
De Raad van Bestuur is verantwoordelijk voor de opzet en werking van de interne risicobeheersing- en controlesystemen van CZ groep. Deze systemen beogen voldoende zekerheid te bieden ten aanzien van de beheersing van risico’s. Het risicobeheersingsysteem is integraal ingericht en daarmee onderdeel van de organisatie op strategisch, tactisch en operationeel niveau. Deze integraliteit borgt een cultuur, waarin aandacht voor risicobeheersing effectief aanwezig is.
Voor het intern sturen en beheersen van de concernactiviteiten maakt CZ groep gebruik van een planning- en control cyclus (P&C-cyclus). Deze cyclus ondersteunt bij het vertalen van strategische doelen naar meetbare doelstellingen en actieplannen en het toezien op de daadwerkelijke realisatie ervan. Binnen CZ groep is ‘in control zijn’ een continu proces. De essentie van 'control’ is het bewaken van gemaakte afspraken en het bijsturen op inhoud én gedrag in de organisatie daar waar nodig.
Governance: ‘Three Lines’
CZ groep richt zijn besturing en beheersing in volgens het ‘Three Lines’-model. Dit model definieert drie niveaus van risicomanagement met elk hun eigen rol en verantwoordelijkheid. Van de eerste lijn (de primaire lijnfuncties) wordt verwacht dat zij haar risico’s kent en (aantoonbaar) beheerst. De tweede lijn (Governance, Risk & Compliance (GRC)) levert daarvoor de structuren, bewaakt de effectiviteit ervan en monitort (direct of indirect) de toepassing ervan. De derde lijn (de Interne Audit Dienst (IAD)) stelt daarbij vast of het model werkt en leidt tot een effectief aangetoonde beheersing. Dit doet de IAD door de werking van de beheersmaatregelen te toetsen.
Binnen GRC zijn drie sleutelfuncties belegd: Actuariële Functie, Risicomanagement en Compliance. Deze vormen in samenhang, maar met eigen lijnen naar zowel RvB als RvC, een sterke tweede lijn die de challenge- en monitorfunctie vanuit een breed en afgestemd perspectief inhoud geven. GRC is daarnaast vertegenwoordigd in de belangrijkste besluitvoorbereidings- en adviesorganen van CZ groep (zie hiervoor de paragraaf Raad van Bestuur in het hoofdstuk Corporate Governance).
Actuariële functie
De actuariële functie adviseert en faciliteert de organisatie bij de totstandkoming van de technische voorzieningen door een oordeel te vormen over de kwaliteit en invulling van de achterliggende sleutelprocessen: zorgkostentaxatie, taxatie van de bijdragen en premiestelling. Met haar gevraagde en ongevraagde adviezen en oordelen stelt de actuariële functie haar beleidsbepalers in staat weloverwogen besluiten te nemen.
Risicomanagementfunctie
Risicomanagement houdt in dat CZ groep in haar (strategische) besluitvorming en processen zorgvuldig afweegt welke risico’s er zijn, welke impact deze risico’s hebben en hoe wij deze kunnen mitigeren. We maken daarbij onderscheid tussen strategisch en operationeel risicomanagement. Strategisch risicomanagement richt zich op de risico's die samenhangen met de strategische keuzes die CZ bewust maakt om waarde te creëren voor haar verzekerden. Door goede monitoring van de externe omgeving en de strategie-executie wil CZ deze risico's beheersen. Operationeel risicomanagement ziet toe op de dagelijkse risicobeheersing van bedrijfsprocessen, onder andere door het aanbieden en onderhouden van risicomethodieken en het faciliteren van risk self-assessments.
Jaarlijks wordt de risicostrategie opnieuw beoordeeld naar aanleiding van de ‘Own Risk & Solvency Assessment’ (ORSA). In de ORSA voert CZ groep, op basis van relevante besluiten en ontwikkelingen, diverse scenarioanalyses uit die in samenhang meerjarig de invloed op de solvabiliteit(seis) en premie weergeven. Ook wordt de risicobereidheid per soort risico opnieuw beoordeeld en vastgesteld. De vervolgstap is het vaststellen van de risico’s (assessment) en het bepalen van mitigerende maatregelen (control). Monitoring vindt plaats door middel van risicorapportages en In Control Statements.
In de reguliere (kwartaal) risicorapportages wordt aandacht gegeven aan de verzamelde belangrijkste risico’s en de ontwikkelingen daarvan in de tijd. Risico’s worden gerelateerd aan de (strategische) doelen van CZ groep en aan de toegestane risicohouding. De grootste risico’s met een hoge potentiële financiële impact worden via gestructureerde scenario’s tevens doorgerekend naar hun invloed op solvabiliteit en premie (ORSA). Hiermee heeft CZ groep continu een integraal inzicht in de belangrijkste kwalitatieve en kwantitatieve risicovraagstukken.
In Control Statement
Tweemaal per jaar geven de verantwoordelijke directeuren van de divisies een In Control Statement (ICS) af. Daarin leggen zij verantwoording af aan de Raad van Bestuur over de effectiviteit van de interne beheersing van hun belangrijkste key controls. GRC draagt als tweedelijns risicomanagementfunctie zorg voor een challenge van de opgeleverde ICS en gaat het gesprek hierover aan met de directeuren. De IAD (derdelijn) toetst de werking van de voor beheersing en verslaglegging belangrijke controls. Op basis van het jaarbeeld van alle In Control Statements geeft de Raad van Bestuur een jaarlijkse verklaring over de interne beheersing af. Op grond van alle mechanismen voor governance en control is de Raad van Bestuur ervan overtuigd dat de interne risicobeheersing- en controlesystemen naar behoren hebben gewerkt in 2021 en dat er voldoende zekerheid bestaat over de betrouwbaarheid van de financiële verslaglegging.
Compliance-functie
Naleving van wet- en regelgeving (compliance) ligt aan de basis van de bedrijfsvoering van CZ groep. Het is cruciaal voor het vertrouwen dat verzekerden en andere stakeholders in ons hebben. De verantwoordelijkheid voor het toepassen en naleven van de regelgeving ligt bij het lijnmanagement van ieder bedrijfsonderdeel. De eindverantwoordelijkheid ligt bij de Raad van Bestuur. Binnen onze organisatie kennen wij een centrale compliance-functie voor coördinatie, advisering, ondersteuning en monitoring. Deze werkt samen met local compliance officers in de bedrijfsonderdelen. De centrale compliance-functie ontwikkelt assessments die per bedrijfsonderdeel de mate van naleving van wet- en regelgeving meten en verbeteren. Deze assessments zorgen voor meer grip en een eenduidige rapportage. Onderdeel van de compliance-organisatie is sinds de inwerkingtreding van de Algemene verordening gegevensbescherming de Functionaris voor de gegevensbescherming (FG). Het vorenstaande geldt dan ook onverkort voor deze functie. De FG maakt gebruikt van dezelfde compliance-organisatie en heeft dezelfde rapportagelijnen.
Integriteit
CZ groep vindt het belangrijk dat medewerkers integer handelen. Wij hebben middels een integriteitsbeleid kaders vastgesteld voor het integer handelen voor iedereen die bij CZ groep werkt. Het integriteitsbeleid geeft weer hoe wij ons zowel intern als extern wil presenteren. In 2021 heeft net als vorig jaar een audit plaatsgevonden naar de effectiviteit van een deel van de processen die vallen onder het integriteitsbeleid. Er zijn enkele aanbevelingen gedaan om de praktische uitvoering van het integriteitsbeleid te verbeteren, zoals o.a. het verduidelijken van de informatievoorziening omtrent het onderwerp financiële belangen. We bewaken daarnaast dat er geen nieuwe risico’s ontstaan door het langdurige thuiswerken en dat er aandacht is voor de uitdagingen die dit met zich mee zou kunnen brengen. Wij volgen daarover relevante communicatie vanuit de overheid zoals het rapport ‘Hybride werken vraagt om actualisering RI&E' van het Ministerie van SZW, en verzorgen awareness over relevante onderwerpen in dit kader. Ook het komende jaar zullen wij ons wederom inzetten op de juiste naleving van het integriteitsbeleid. Daarnaast zal het integriteitsbeleid worden geactualiseerd om zodoende de werking en effectiviteit van processen te verbeteren.