De Raad van Bestuur is verantwoordelijk voor de opzet en werking van de interne risicobeheersing- en controlesystemen van CZ groep. Deze systemen beogen voldoende zekerheid te bieden ten aanzien van de beheersing van risico’s. Het risicobeheersingssysteem is integraal ingericht en daarmee onderdeel van de organisatie op strategisch, tactisch en operationeel niveau. Deze integraliteit beoogt een cultuur, waarin aandacht voor risicobeheersing effectief aanwezig is.

Voor het intern sturen en beheersen van de concernactiviteiten maakt CZ groep gebruik van een planning- en control cyclus (P&C-cyclus). Deze cyclus ondersteunt bij het vertalen van strategische doelen naar meetbare doelstellingen en actieplannen. Deze cyclus ondersteunt ook bij het toezien op de daadwerkelijke realisatie ervan. Binnen CZ groep is ‘in control zijn’ een continu proces.

Governance: ‘Three lines’

In het kader van adequate risicobeheersing geeft CZ groep binnen de organisatie invulling aan het Three-Lines model. Dit model structureert drie rollen van risicomanagement, met elk hun eigen taak en verantwoordelijkheid. Van de eerste lijn (de functies die de primaire bedrijfsprocessen uitvoeren en de afdelingen die daarbij direct ondersteunen) wordt verwacht dat zij haar risico’s kent en (aantoonbaar) beheerst. De tweede lijn (gesitueerd binnen Governance, Risk & Compliance (GRC)) levert daarvoor de kaders, bewaakt de effectiviteit ervan en monitort (direct of indirect) het juiste gebruik ervan. De derde lijn (Interne Audit Dienst (IAD)) stelt daarbij vast of het model werkt en daadwerkelijk adequaat en doeltreffend is. Dit doet de IAD door onafhankelijk de werking van de beheersmaatregelen te toetsen.

Binnen GRC zijn drie sleutelfuncties belegd: Actuariële functie, Risicomanagement en Compliance. Elke sleutelfunctie heeft een eigen sleutelfunctiehouder. De sleutelfunctiehouders werken nauw samen, hebben elk eigen lijnen naar zowel RvB als RvC en vormen de tweede lijn die de challenge- en monitorfunctie vanuit een breed en afgestemd perspectief inhoud geeft.

Actuariële functie

De actuariële functie adviseert en faciliteert de organisatie bij de totstandkoming van de technische voorzieningen door een oordeel te vormen over de kwaliteit en invulling van de achterliggende sleutelprocessen: zorgkostentaxatie, taxatie van de bijdragen en premiestelling. Met haar gevraagde en ongevraagde adviezen en oordelen stelt de actuariële functie het bestuur in staat weloverwogen besluiten te nemen.

Risicomanagementfunctie

Risicomanagement houdt in dat CZ groep in haar (strategische) besluitvorming en processen afweegt welke risico’s er zijn, welke impact deze risico’s hebben en hoe wij deze kunnen mitigeren. We maken daarbij onderscheid tussen beheersing van strategische risico’s en bedrijfsmatige risico’s. Strategisch risicomanagement richt zich op de risico's die samenhangen met de strategische keuzes die CZ groep bewust maakt om waarde te creëren voor haar verzekerden. Door goede monitoring van de externe omgeving en monitoring van de strategie-executie wil CZ groep dit risico beheersen. Het beheersen van bedrijfsmatige risico’s geschiedt door de dagelijkse risicobeheersing in bedrijfsprocessen, onder andere door het aanbieden en onderhouden van risicomethodieken en het faciliteren van risk self-assessments.

Jaarlijks wordt de risicostrategie opnieuw beoordeeld naar aanleiding van de ‘Own Risk & Solvency Assessment’ (ORSA). In de ORSA voert CZ groep, op basis van relevante besluiten en ontwikkelingen, diverse scenarioanalyses uit die in samenhang meerjarig de invloed op de solvabiliteit(seis) en premie weergeven. Ook wordt de risicobereidheid per soort risico opnieuw beoordeeld en vastgesteld. De vervolgstap is het monitoren van de risico’s (assessment) en het bepalen van mitigerende maatregelen (control). Rapportage vindt plaats door middel van risicorapportages en rapportages over het ‘In Control Systeem’.

In de reguliere (kwartaal)risicorapportages wordt aandacht gegeven aan de materiële risico’s die zijn onderkend en die opdoemen, inclusief de ontwikkelingen daarvan in de tijd. Risico’s worden gerelateerd aan de (strategische) doelen van CZ groep en aan de toegestane risicohouding. De grootste risico’s met een hoge potentiële financiële impact worden via gestructureerde scenario’s tevens doorgerekend naar hun invloed op solvabiliteit en premie (ORSA). Hiermee heeft CZ groep continu een integraal inzicht in de belangrijkste kwalitatieve en kwantitatieve risicovraagstukken.

In Control Statement

Tweemaal per jaar geven de directeuren van de divisies een In Control Statement (ICS) af. Daarin leggen zij verantwoording af aan de Raad van Bestuur over de effectiviteit van de interne beheersing van hun belangrijkste key controls. GRC draagt als tweedelijns risicomanagementfunctie zorg voor een challenge van de opgeleverde ICS, onder meer over de passendheid van de opzet en de aantoonbare werking van de controls. GRC gaat hierover het gesprek aan met de directeuren. De IAD (derde lijn) toetst aan de hand van het auditplan de werking van de voor beheersing en verslaglegging belangrijke controls. Op basis van onder meer het jaarbeeld van alle In Control Statements geeft de Raad van Bestuur een jaarlijkse verklaring over de interne beheersing af. Op grond van alle mechanismen voor governance en control is de Raad van Bestuur ervan overtuigd dat de interne risicobeheersing- en controlesystemen naar behoren hebben gewerkt in 2022 en dat er voldoende zekerheid bestaat over de betrouwbaarheid van de financiële verslaglegging.

Compliance-functie

Naleving van wet- en regelgeving (compliance) ligt aan de basis van de bedrijfsvoering van CZ groep. Het is cruciaal voor het vertrouwen dat verzekerden en andere stakeholders in ons hebben. De verantwoordelijkheid voor het toepassen en naleven van de regelgeving ligt bij het lijnmanagement van ieder bedrijfsonderdeel. De eindverantwoordelijkheid ligt bij de Raad van Bestuur. Binnen onze organisatie kennen wij een centrale compliance-functie voor coördinatie, advisering, ondersteuning en monitoring op het gebied van regelgeving en integriteit. Deze werkt samen met ‘local compliance officers’ in de bedrijfsonderdelen. De centrale compliance-functie bevordert per bedrijfsonderdeel de mate van naleving van wet- en regelgeving. Door monitoring vanuit de compliance-functie wordt gezorgd voor meer grip en een eenduidige rapportage. Onderdeel van de compliance-organisatie is sinds de inwerkingtreding van de Algemene verordening gegevensbescherming de Functionaris voor de gegevensbescherming (FG). Het vorenstaande geldt dan ook onverkort voor deze functie. De FG maakt gebruikt van dezelfde compliance-organisatie en heeft dezelfde rapportagelijnen.