Ondernemerschap brengt risico's en uitdagingen met zich mee. Daarom hebben we ook in 2020 ons risicomanagement verder geoptimaliseerd.

Risk & opportunity management

Het bewust omgaan met risico’s is een belangrijke succesfactor bij het realiseren van onze doelstellingen. Alle Coolblue’ers krijgen veel vrijheid om zelf beslissingen te nemen. Daarnaast staat er groot ‘eerlijk, direct, open’ op de muren geschreven. Dat betekent dat we eerlijk onze verwachtingen naar elkaar uitspreken. Zo komen we niet voor verrassingen of onnodige risico’s te staan.

Risicocultuur

Samen streven we naar een cultuur die verantwoordelijk risicomanagement uitdraagt. In zo’n cultuur is eigen verantwoordelijkheid essentieel. Daarom is iedere Coolblue’er verantwoordelijk voor het beheersen van eigen risico’s. Natuurlijk staan ze hier niet alleen voor. Ze worden ondersteund door onze afdelingen Risk & Compliance-, Security, Fraud en Legal. Met deze aanpak leren we van onze fouten, zodat we het elke dag een beetje beter kunnen doen.

Interne richtlijnen

We communiceren ons interne beleid en externe regelgeving op een eerlijke, directe en open manier. In begrijpelijke taal, via onze eigen richtlijnen die we delen met alle Coolblue’ers:

  • Werkwijzer (personeelshandboek);
  • Vriendencode (code of conduct);
  • Wanneer trek je aan de bel? (klokkenluidersbeleid);
  • Wat als ik sjoemel? (fraudebeleid);
  • Wat als ik me niet aan Coolblue-afspraken houd? (sanctiebeleid).

Trainingen

We hebben verschillende trainingsprogramma’s ontwikkeld en geïmplementeerd, om ervoor te zorgen dat alle Coolblue’ers onze richtlijnen naleven en zich nog meer bewust worden van risico’s. Deze cursussen bestaan uit e-learning modules en workshops en behandelen onderwerpen als de Algemene Verordening Gegevensbescherming (AVG), arbeidsrecht, mededingingsrecht en integriteit.

Het risicoprofiel

Identificatie en beoordeling van risico's

Er zijn verschillende risico's die invloed kunnen hebben op de realisatie van onze strategische doelstellingen. Ons risicomanagement richt zich op 4 categorieën: strategisch, operationeel, financiële verslaggeving en compliance risico’s. Om tot een risicoprofiel te komen, hebben we diverse top-down en bottom-up risk assessments uitgevoerd. We hebben de belangrijkste risico’s geprioriteerd in het jaarlijkse Strategisch Risico Assessment met het Management Team. De resultaten, zoals weergegeven in onderstaande tabel, zijn besproken met de Auditcommissie en de Raad van Commissarissen.

Elk risico is geanalyseerd op basis van kans, impact en risicobereidheid. Onder ‘kans’ verstaan we de waarschijnlijkheid dat een gebeurtenis zich voordoet en een belemmering vormt voor de realisatie van onze strategische doelstellingen. Met ‘impact’ geven we aan hoe groot de (negatieve) gevolgen van het risico daarop zouden zijn. ‘Risicobereidheid’ tot slot, is de mate waarin we bereid zijn risico’s te nemen om onze doelstellingen te behalen. Hoe lager deze is, des te beter het risicomanagement geregeld moet zijn. Aan de andere kant is een hoger risk appetite soms nodig om onze strategische doelen te bereiken.

In 2020 heeft ons algemene risicoprofiel een revisie ondergaan betreffende de schalen van de impact criteria. Hierdoor kan het lijken alsof de scores die toegekend zijn aan de risico’s in bovenstaande tabel afwijken van ons risicoprofiel van 2019, maar dit is niet het geval. We hebben de impact opnieuw beoordeeld, zodat deze past bij de groei van onze omzet en EBITDA.

Een risico dat een noemenswaardige toename liet zien, was het risico op informatiebeveiliging en gegevensprivacy, wat kan worden toegeschreven aan de groei van Coolblue in de loop van 2020. We hebben ook een afname gezien in de risico's die samenhangen met het werven en behouden van gekwalificeerde Coolblue'ers en voorraadbeheer.

Over het algemeen is de rest van ons risicoprofiel hetzelfde gebleven, met uitzondering van de toevoeging van het nieuwe risico: ‘gezondheidscrisis’. In de volgende paragrafen beschrijven we voor elk risico hoe het zich in 2020 heeft ontwikkeld en welke verzachtende maatregelen we hebben genomen.

Strategische risico’s

1. Reputatie

We zijn een grote retailer met een eigen infrastructuur en bieden verschillende diensten aan. We repareren bijvoorbeeld producten in onze fysieke winkels en installeren zonnepanelen op de daken van onze klanten. Omdat we zo zichtbaar zijn, moeten we onze merkreputatie goed beschermen. In 2020 hebben we hard gewerkt om risico’s die onze merkreputatie kunnen beïnvloeden in kaart te brengen. Het gaat hier bijvoorbeeld om onze berichtgeving naar de pers, maar ook het beschermen van onze klanten tegen partijen die onze naam onrechtmatig gebruiken.

2. Concurrentie

We zitten in een hypercompetitieve markt. Onze risicobereidheid op het gebied van concurrentie is groot: we zien het juist als een kans om nóg verder te gaan voor onze klanten. Zo zijn we voortdurend bezig met het verbeteren van onze klantreizen en investeren we in de kwaliteit van onze service en nieuwe proposities. Dit geeft ons een sterk concurrentievoordeel.

3. Gezondheidscrisis

In 2020 deed zich een nieuw risico voor: de gezondheidscrisis. Dit heeft gevolgen gehad voor verschillende andere risico's, zoals supply chain continuïteit, financiën en liquiditeit en een veilige en gezonde werkomgeving. Daarnaast heeft de gezondheidscrisis een grote impact gehad op ons voorraadbeheer, onze winkels, onze bezorgproposities en het werk in ons magazijn. Dankzij de flexibiliteit van onze Coolblue’ers hebben we ons snel kunnen aanpassen aan de interne en externe veranderende omstandigheden.

Operationele risico’s

4. Informatiebeveiliging en gegevensprivacy

We doen er alles aan om onze gegevens te beveiligen en datalekken te voorkomen. We slaan bijvoorbeeld geen creditcardgegevens van onze klanten op. Kwetsbaarheden in onze eigen of gehuurde software worden automatisch gedetecteerd, waardoor we mogelijke problemen al in een vroeg stadium kunnen voorkomen. Daarnaast maken we onze Coolblue’ers continu bewust van IT security- en privacy risico’s. Voor een goede beschikbaarheid van onze interne systemen en schaalbaarheid hiervan, passen we een cloud-first strategie toe. Applicaties en systemen worden altijd op de cloud geïnstalleerd, tenzij dit niet mogelijk is. Daarnaast verbeteren we voortdurend onze beveiligingsmaatregelen aan de hand van penetratietesten, vulnerability scans en red teaming.

5. Beschikbaarheid van systemen en kritische processen

Een aanzienlijke verstoring in de beschikbaarheid van onze systemen of bedrijfsprocessen kan reputatieschade en financiële schade veroorzaken. We hebben onze kritische bedrijfsprocessen en risico's in kaart gebracht en een escalatie- en communicatieplan opgesteld. Daarnaast stellen we plannen op voor de verschillende scenario's die kunnen optreden tijdens een crisis, zodat we we onze kritische bedrijfsprocessen draaiende kunnen houden en indien nodig zo snel mogelijk kunnen herstellen.

Bedrijfscontinuïteitsmanagement

Vanwege de ontwikkelingen in 2020 hebben we ons bedrijfscontinuïteitsmanagement

in de praktijk moeten testen. In korte tijd hebben we de inrichting van onze werkomgeving en de daarbij behorende processen aangepast. We hebben onze manier van werken flexibeler ingericht, waarin werken op afstand mogelijk is. Binnen 2 weken konden onze kantoor- en klantenservicemedewerkers al vanuit huis werken. Daarnaast hebben we ons magazijn opnieuw ingericht, zodat magazijnmedewerkers makkelijk 1,5 meter afstand kunnen houden. In onze winkels hebben we afhaalpunten geplaatst, zodat we alsnog klanten blij kunnen maken hun af te halen bestelling.

6. Werven en behouden van gekwalificeerde Coolblue'ers

Goede en slimme mensen zijn essentieel voor ons succes. Om een aantrekkelijke werkgever te zijn, bieden we een eigenzinnige bedrijfscultuur en voldoende ontwikkelingsmogelijkheden. Zo voorzien we iedere doelgroep van een op maat gemaakte sollicitatie-reis, ondersteund door grote online en offline wervingscampagnes en masterclasses. We beperken we ons niet tot de Nederlandse, Belgische en Duitse markt, maar zoeken wereldwijd naar geschikte kandidaten.

7. Voorraadbeheer

Er zijn 2 voorraadbeheer risico’s: te veel en te weinig voorraad. We voorkomen deze risico’s door elke dag verkooppatronen te berekenen op basis van algoritmen en onze inkopen hierop af te stemmen. Op deze manier bestellen we de optimale hoeveelheid producten en houden we onze voorraad nauwlettend in de gaten.

8. Supply chain continuïteit

We werken samen met veel verschillende leveranciers, waarmee we goede afspraken maken. Daarnaast dragen onze eigen bezorgdiensten CoolblueBezorgt en CoolblueFietst bij aan ons supply chain management. Doordat we deze bezorging volledig in eigen hand hebben en we niet afhankelijk zijn van één partij, kunnen we verstoringen in de supply chain tot een absoluut minimum beperken.

Financiering en rapportage risico's

9. Financiën en liquiditeit

Onze activiteiten worden gefinancierd door een grote operationele kasstroom, een negatief werkkapitaal en herinvestering van onze winst. We hebben een strak debiteurenbeheer, voorraadbeheer en treasury-procedures geïmplementeerd. Hierdoor weten we zeker dat we aan onze betaalverplichtingen kunnen voldoen.

Compliance risico’s

10. Naleving van regelgeving

Onze afdelingen Risk & Compliance en Legal volgen de ontwikkelingen in wet- en regelgeving op de voet en waarborgen daarmee onze naleving hiervan. We hanteren een zerotolerancebeleid bij omkoping, corruptie, fraude en elke andere vorm van (illegaal) wangedrag.

We waarborgen onze naleving van de wet- en regelgeving voor alle interne ontwikkelingen, zoals nieuwe zakelijke proposities. Externe ontwikkelingen die onze bedrijfsvoering beïnvloeden, zoals de AVG of de aangekondigde ePrivacy verordening, worden ook geïmplementeerd. Daarnaast zijn alle Coolblue’ers die met persoonsgegevens werken, verplicht om tijdens hun inwerktraject een op hun rol afgestemde GDPR-training te volgen. We houden bij of ze deze training succesvol afronden.

11. Veilige en gezonde werkomgeving

We doen er alles aan om de veiligheid van onze klanten en medewerkers te waarborgen. Binnen onze afdeling Quality, Environment, Safety and Health-afdeling (QESH) zijn we continu bezig met verbeteringen op het gebied van milieu, veiligheid en gezondheid. Zo volgen onze magazijnmedewerkers en zonnepanelen-installateurs trainingen om veilig te werken en is er een intern verkeersplan uitgerold.

Versterkte interne beheersing

We zijn continu bezig met het verder professionaliseren van ons risicomanagement. Onze afdelingen Risk & Compliance, Fraud, Security en Legal zijn allemaal gegroeid. Daarnaast hebben we in 2020 via verschillende initiatieven het bewustzijn van risico’s kunnen vergroten, zoals hieronder vermeld.

Reinforced internal control environment

We besteden continu aandacht aan het verbeteren van onze interne beheersing. Zo hebben we nog meer domeinen en processen meegenomen in onze risicobeoordeling. Hierdoor hebben we beter inzicht in de belangrijkste risico's en kunnen we deze nóg beter beperken en hiermee onze interne beheersing versterken.

Fysieke beveiligingsmaatregelen geïmplementeerd

We hebben een fysiek beveiligingsbeleid om de veiligheid van onze klanten, medewerkers en producten te waarborgen. Het belangrijkste uitgangspunt van dit beleid is dat we voor al onze locaties een beveiligingsblauwdruk hebben opgesteld. De blauwdruk en de procedures die daarbij horen controleren we meerdere keren per jaar. Daarnaast werken we met de nieuwste beveiligingssystemen. Hiermee hebben we weer een stap gezet in het bereiken van ons doel om beveiligingsincidenten en fraude tot een absoluut minimum te beperken.

Verbeterde authenticatie en autorisatie

Om onze databeveiliging verder te verbeteren, hebben we het aantal applicaties dat gebruikmaakt van multi-factor authentication en eenmalige login via onze active directory uitgebreid. Daarnaast hebben we onze structuur voor toegangsrechten weer een beetje beter gemaakt. Hierdoor is het aantal gebruikers met kritische rechten in onze systemen verminderd, wat ons helpt om de toegang op een need-to-know-basis verder af te dwingen.

Vooruitblik

In 2021 willen we verder professionaliseren op het gebied van risicomanagement en blijven we onze werkwijzen, risico’s en incidenten zo zichtbaar mogelijk vastleggen.

Verdere uitbreiding van Risk-workshops

Onze afdelingen Risk & Compliance, Fraud en Security gaan meer risicoworkshops faciliteren voor alle relevante operationele en technische afdelingen. Ons doel is om de risico's voor onze afdelingen te identificeren en te analyseren en deze informatie vervolgens te gebruiken voor het vaststellen van passende beheersmaatregelen. Hierdoor kunnen we het bewustzijn en inzicht vergroten in onze technologische- en cyberrisico's waarbij bedreigingen toenemen.

Verder optimaliseren van ons Compliance Management

We gaan ons Compliance Management verder documenteren en formaliseren. Het bijbehorende normenkader zal toezicht houden op risico's die vooral samenhangen met de naleving van wet- en regelgeving met betrekking tot concurrentie, financiële dienstverlening, privacywetgeving en gezondheid. Voor compliance risico's gaan we relevante processen en beheersmaatregelen implementeren, testen en continu bewaken. Bovendien gaan we ons Coolblue-brede informatiebeveiligingsbeleid uitbreiden. Dit stelt ons ook in staat om ons normenkader te verbeteren zodat we processen, applicaties en services kunnen verifiëren volgens duidelijk gedefinieerde standaarden.

Voorbereiding op ePrivacy verordening

We zullen in 2021 de ontwikkelingen rondom de aangekondigde ePrivacy verordening op de voet volgen, vanwege de verwachte impact op direct marketing. Net als met de GDPR gaan we ook voor deze nieuwe regelgeving de juiste voorbereidingen treffen, zodat we hier tijdig aan voldoen.

Bewustwording van Tech-beveiliging vergroten

In 2020 hebben we een groep ethische hackers gevraagd om te proberen toegang te krijgen tot het Coolblue-netwerk en onze systemen. De lessen die we hieruit geleerd hebben en het bewustzijn dat is ontstaan binnen de Tech-afdelingen is heel waardevol gebleken. Daarom gaan we in 2021 nog meer tests uitvoeren.

Corporate Governance

Goede zaak

Eigendom

Pieter Zwart B.V., HAL Investments B.V. en de directieleden zijn aandeelhouders van Mondhoekie B.V., het moederbedrijf van Coolblue. Pieter heeft hierin een meerderheidsaandeel. Coolblue’ers die op 1 januari 2021 meer dan 12 maanden bij Coolblue werken, zullen begin 2021 Verwonderdelen krijgen. Dit zijn certificaten van aandelen.

Structuur

Coolblue Holding B.V. is een Besloten Vennootschap volgens de Nederlandse wet en is volledig eigendom van Mondhoekie B.V. We houden we onze organisatiestructuur zo simpel mogelijk: wel zo eerlijk, direct en open. De rechter grafiek geeft een overzicht van de structuur. In 2020 hebben we Coolblue GmbH aan deze structuur toegevoegd.

Management Team

Het Management Team van Coolblue bestaat uit de directie en de 17 afdelingshoofden, van bijvoorbeeld Winkels, Bezorging & Installatie en Categorie Teams. De directie bestaat uit CEO Pieter Zwart en CFO/COO Daphne Smit. Zij zijn beiden volledig bevoegd om Coolblue te vertegenwoordigen.

Het Management Team is verantwoordelijk voor de dagelijkse operatie van hun domeinen en de ontwikkeling van Coolblue. De leden hebben de benodigde middelen en verantwoordelijkheid om hun domein elke dag een beetje beter te maken.

We erkennen het belang van diversiteit in een werkomgeving. Daarom streven we in onze directie naar een gelijke vertegenwoordiging van mannen en vrouwen. Maar als het op selectiecriteria aankomt, zijn de competenties van de kandidaten leidend.

Pieter Zwart

Leeftijd: 43

Functie: CEO

Werkt bij Coolblue sinds: 1999

Opleiding: Business Administration aan de Erasmus Universiteit Rotterdam.

Verantwoordelijkheden bij Coolblue: Categorie teams, Customer Experience, Winkels, Tech, Inkoop, Duitsland, Business Journeys, Zonnepanelen, Energie, Marketing en de website.

Waar ben je in 2020 een beetje beter in geworden? Ik heb hard getraind met FIFA, want ik wil Coolblue’s FIFA-kampioen worden.

Daphne Smit

Leeftijd: 35

Functie: CFO

Werkt bij Coolblue sinds: 2014

Opleiding: International Business Administration aan de Erasmus Universiteit Rotterdam.

Eerder gewerkt als: Trainee, Account manager en Credit Analist bij Rabobank.

Verantwoordelijkheden bij Coolblue: Finance, Magazijn, Bezorging & Installatie, Retouren & Reparaties, Klantenservice, Corporate Governance en Human Resources.

Waar ben je in 2020 een beetje beter in geworden? Ik heb aan mijn kookkunsten gewerkt door een hoop nieuwe recepten te proberen. Vooral op mijn romige rode curry ben ik erg trots!

Beloning

De salarissen van de directie worden bepaald door de Raad van Commissarissen. Leden van de directie krijgen een vast salaris en hebben geen recht op bonussen, opties of aandelen in de Mondhoekie B.V. als onderdeel van hun beloning. CEO Pieter en CFO/COO Daphne zijn aandeelhouders van Mondhoekie B.V. Alle aandelen die ze hebben, hebben ze verkregen onder commerciële voorwaarden.

Code Corporate Governance

Hoewel we juridisch gezien niet verplicht zijn om de Nederlandse Code Corporate Governance te volgen, erkennen we het belang van goed bestuur. We monitoren actief relevante ontwikkelingen in de Code Corporate Governance en volgen de uitgangspunten die voor ons als Besloten Vennootschap relevant zijn.