Voor één dag een prinses zijn, ik voelde me heel bijzonder.

Billie
Bekijk foto
Vorige Volgende

Risicomanagement

Bij Menzis zijn in de eerste plaats de managers (eerste lijn) verantwoordelijk voor de bedrijfsvoering en het risicomanagement. De managers worden in hun risicomanagementtaak ondersteund door de Governance, Riskmanagement en Compliance (GRC) afdelingen (tweede lijn). Deze ondersteuning op het gebied van risicomanagement bestaat uit het opstellen van beleid en adviezen, monitoren van de uitvoering, review van de besluitvorming en het afhandelen van incidenten op het gebied van bedrijfscontinuïteit. Audit (derde lijn) toetst periodiek of de eerste en de tweede lijn hun risicomanagementtaken op juiste wijze uitvoeren.

De ambitie met betrekking tot risicomanagement is als volgt geformuleerd: ‘In het denken, handelen en verantwoording afleggen over risico’s worden risico’s bewust aangegaan, bewust vermeden of bewust gemitigeerd. De eerste lijn geeft zelf aan in hoeverre zij in control is.’

Risicomanagement is integraal onderdeel van onze besturing, waarbij risico’s aansluiten bij onze doelstellingen.

Risicobeheersing

De risicobeheersing van Menzis is gebaseerd op het 'three lines of defence' model. Hiermee kunnen we onzekerheden managen en risico's minimaliseren, zodat de strategische doelstellingen worden gehaald.

Het 'three lines of defence' model verdeelt de organisatie in drie zogenaamde ‘verdedigingslinies’:

  • De eerste lijn is de ‘business’. De ‘business’ is eindverantwoordelijk voor een goede opzet en werking van activiteiten en processen, en voor het inrichten en uitvoeren van goed risicomanagement. De ‘business’ is ook eigenaar van de processen en risico’s, en verantwoordelijk voor het realiseren van de doelstellingen en het beheersen van deze risico’s. De ‘business’ ziet zelf mogelijke issues aankomen en stuurt zelf bij (zelfsignalerend en zelfcorrigerend).

  • De tweede lijn is de GRC-functie. De kerntaak van de GRC-functie is zorgen dat normenkaders vastgesteld worden (beleidsondersteunend), eventueel ondersteunen bij implementatie en het monitoren van de realisatie. GRC toetst of de rolinvulling van de ‘business’ goed verloopt, en zal zo nodig aanvullend onderzoek doen en adviezen geven aan de ‘business’. GRC Decentraal ondersteunt c.q. monitort voor de clusterdirectie terwijl GRC Centraal en GRC Office ondersteunen c.q. monitoren voor de RvB

  • De derde lijn is de Audit-functie. Het is de kerntaak van de Audit-functie om vanuit een onafhankelijke rol te toetsen of het verantwoordelijke management de risico’s van Menzis identificeert en beheerst. Voor deze toetsing steunt Audit op de werkzaamheden van de tweede lijn (GRC). Audit beoordeelt vanuit haar onafhankelijke rol het functioneren van de eerste en de tweede lijn.

Risicobereidheidverklaring

Jaarlijks actualiseert Menzis de risicobereidheid en stelt de RvC de risicobereidheidsverklaring vast.
Het gewaagde doel van Menzis is een groei naar 2,5 miljoen loyale leden in 2020. Omdat Menzis zelf het verzekeringstechnisch risico draagt, is het voor deze groei noodzakelijk dat de premie ten minste marktconform en kostendekkend is en dat de zorg zo scherp mogelijk is ingekocht.
Het beheersen van risico’s in het verzekeringsbedrijf gaat gepaard met kosten. Menzis maakt een zorgvuldige afweging tussen kosten en risico’s. Menzis hecht grote waarde aan beheersing van de zorgkosten en bewaakt deze actief. Voor fraude bestaat geen begrip. Bij het beheer van de beleggingen staat Menzis voor de keuze tussen risico en rendement. Met de premiegelden die bestemd zijn voor betaling van zorg wil Menzis geen risico lopen. Zekerheid is belangrijker dan rendement. Menzis neemt daarom bij het beleggen van de reserves een beperkt risico en behaalt een redelijk rendement. De reserves blijven zo voldoende om met grote zekerheid tegenslagen op te kunnen vangen, zowel op korte als op langere termijn. Ten aanzien van de omgeving past Menzis een actief monitoringsbeleid toe. Menzis wil tijdig in kunnen spelen op ontwikkelingen en de afhankelijkheid van externe factoren kunnen beheersen.
Om goed te kunnen monitoren en bijsturen hecht Menzis grote waarde aan betrouwbare informatievoorziening en een goede interne rapportage. De externe rapportage informeert de stakeholders naar behoren. De naleving van wet- en regelgeving krijgt passende aandacht.

Beheersen van financiële en niet-financiële risico’s

Menzis onderkent de onderstaande financiële en niet-financiële risicocategorieën:

Verzekeringstechnisch risico

De beheersing van ons verzekeringstechnisch risico is een van onze belangrijkste speerpunten. Een betaalbare premie vraagt om een adequate zorginkoop, premiestelling en voorzieningenbeleid.

In 2016 hebben we deze processen verder verbeterd. Zo zijn de normkostenmodellen, die de basis vormen voor het maken van contractafspraken, doorontwikkeld en is verder geïnvesteerd in verbeteringen van het zorgkostenprognoseproces door onder andere meer actuariële kennis in te brengen. In 2017 zal aandacht besteed worden aan het verder verbeteren van het zorgkostenprognoseproces, de wijze van (beveiligde) bestandsaanleveringen, formele en materiële controles, fraudebeheersing en business intelligence. De plannen hiertoe zijn in 2016 ontwikkeld.

Financieel marktrisico

Menzis hanteert een behoudend beleggingsbeleid dat afgestemd is op de maatschappelijke rol die we als zorgverzekeraar hebben. Door middel van periodieke ALM-studies (Asset Liability Management) wordt de samenstelling van de beleggingsportefeuille herijkt. Vanaf 2017 worden dergelijke analyses zelf uitgevoerd door middel van een geïmplementeerde ALM/ORSA tool.

Vorderingenrisico

Menzis financiert instellingen door middel van voorschotten. Door voorschotten te koppelen aan het onderhanden werk heeft Menzis het risico op oninbaarheid beperkt.

Liquiditeitsrisico

Menzis wil te allen tijde aan haar financiële verplichtingen kunnen voldoen. Dit is dan ook een belangrijk uitgangspunt bij het beleggen van reserves.

Omgevingsrisico: voldoende aandacht voor imago

Menzis is afhankelijk van de tevredenheid van haar klanten. Menzis heeft een goed imago en hecht er sterk aan dit imago goed te houden. Menzis communiceert daarom proactief en transparant, en voorkomt zo negatieve berichtgeving. Bij beslissingen op Directieraadniveau is de impact op het imago één van de zaken die meegewogen wordt bij besluitvorming.

Bedrijfsvoeringrisico: naar meer aantoonbare beheersing

In 2016 is met het strategische programma Bedrijfsvoering 2.0 een verbetering gerealiseerd in de aantoonbare beheersing van processen. Doelstelling van het programma is om de bedrijfsvoering inzichtelijk, controleerbaar en bestuurbaar te maken conform de vereisten die daaraan gesteld worden De uitwerking en vastlegging van processen, doelen, KPI’s, risico’s en beheersmaatregelen heeft geleid tot meer structuur in de vastlegging en samenhang in de bedrijfsvoering.

In de GRC-applicatie BWise wordt de vastlegging van alle bovengenoemde elementen van de risico & control omgeving geautomatiseerd, zodat stuur- en verantwoordingsinformatie eenduidiger en efficiënter kan worden verzameld. In 2016 zijn per proces de Kritische Proces Indicatoren (KPI’s), key risico’s en key controls bepaald. Eind 2016 zijn ook alle procesbeschrijvingen overgezet naar BWise, zodat nu één geïntegreerde beheersing van processen, risico’s en beheersmaatregelen mogelijk is in de nieuwe applicatie. Vanaf 2017 gaat hiermee gewerkt worden en gaat het management hier actief op sturen. Op basis hiervan kan het management uiteindelijk een in control statement afgeven.

In 2016 heeft Menzis extra aandacht besteed aan het beheersen van continuïteitsrisico. Om het voortbestaan te kunnen waarborgen zijn er in 2016 stappen gezet om nog beter voorbereid te zijn op een potentiële crisissituatie. Hierdoor is Menzis beter in staat om bedreigingen tijdig te signaleren en de gevolgen van calamiteiten te beheersen.

IT-risico: continuïteit en beveiliging op orde

De continuïteit van de IT borgen we door jaarlijks een crisisoefening en uitwijktesten uit te voeren. De beveiliging is onderdeel van reguliere toetsing en is adequaat ingericht.

Compliance risico

Vanuit Compliance hebben we een strategische kader voor beheersing van compliance risico’s. Jaarlijks voeren we compliance analyses uit op de bedrijfsfuncties van Menzis. Uit deze analyse komt naar voren dat we compliance in voldoende mate beheersen. In 2016 is het kader geactualiseerd, waarbij we de maatregelen om compliance risico’s te beheersen hebben aangescherpt en nadere eisen gesteld hebben aan de aantoonbaarheid van de beheersing.

Uitbestedingsrisico

In 2016 hebben we de uitbesteding van kritieke processen en activiteiten die worden uitgevoerd buiten Menzis getoetst op naleving van het Menzis beleid voor uitbesteding. Het uitgevoerde selfassessment toont aan dat we deze kritieke uitbestedingen in voldoende mate beheersen.

Integriteitsrisico

Menzis heeft in 2016 een integriteitsrisicoanalyse uitgevoerd gebaseerd op de best practice van De Nederlandsche Bank. Uit deze analyse blijkt dat de beheersing van het integriteitsrisico voldoende is.

Ontwikkeling van risicomanagement

Per 1 januari 2016 is Solvency II van kracht gegaan. Deze Europese wetgeving vraagt om een op risico gebaseerde besturing. Menzis heeft haar risicobeheersing de afgelopen jaren al op basis van deze wetgeving ingericht, en heeft zodoende per 1 januari 2016 kunnen voldoen aan de gestelde Solvency II eisen.

In 2016 zijn er vanuit het strategisch programma Bedrijfsvoering 2.0 stappen gezet naar een aantoonbaar integere en beheerste bedrijfsvoering. Hiervoor zijn per bedrijfsproces KPI’s opgesteld en zijn risico’s en controls geformuleerd.

Risicobewustzijn

Om de doelen van Menzis te realiseren, is het van belang dat er in de organisatie continu aandacht is voor risicobewustzijn. Het risicomanagementsysteem kan nog zo goed van opzet zijn, als er geen risicobewustzijn is bij de Directieraad, management en medewerkers, zal er geen sprake zijn van een effectief risicomanagement. In 2016 hebben wederom binnen Menzis diverse activiteiten plaatsgevonden om het bewustzijn te vergroten. Zo zijn voor het nieuwe management workshops risicomanagement en met een aantal medewerkers ronde-tafelsessies georganiseerd. Risicobewustzijn vraagt om blijvende aandacht, hier zal de komende jaren verder aan gewerkt worden.

Strategische toprisico’s 2016

  1. Onvoldoende tijdig en zichtbaar zorgaanbod voor onze klanten en ongunstiger zorgaanbod dan concurrenten ingekocht.

  2. Overheid grijpt in op huidige zorgverzekeringsstelsel door bijvoorbeeld verbod op provisies, verbod op bepaalde collectiviteiten en verscherpen van hinderpaalcriterium, gelijk product gelijke prijs per concern.

  3. Concurrenten zetten een scherpere premie neer mede als gevolg van betere solvabiliteitspositie.

  4. Structurele afwijking van de zorgkosten en -opbrengsten ontstaat buiten onze invloed.

  5. Niveau van de informatievoorziening (data-analyse) is ontoereikend; onjuiste informatie of gebrek aan informatie.

  6. Gevoelige persoons- en bedrijfsinformatie komt in verkeerde handen terecht (cybercrime).

In onderstaande ‘heatmap’ staat hoe wij de risico’s inschatten. De verticale as geeft aan hoe groot de gevolgen voor Menzis zijn als een risico zich voordoet. De horizontale as toont hoe groot wij de kans achten dat een risico zich voordoet.

Meer weten over dit onderwerp?

Vorige Governancestructuur en personalia
Volgende Risicomanagement