Whitepaper 'de ICT invoering van solvency ii'

1,888
-1

Published on

Voor verzekeringsmaatschappijen binnen de Europese Economische Ruimte wordt op 1 januari 2013 de Solvency II-regelgeving van kracht. Solvency II heeft grote impact op de wijze waarop risicokapitaal wordt berekend, op governance, op risk management en op de rapportageprocessen.

De invoering van Solvency II stelt ook de nodige eisen aan de ICT-ondersteuning, zoals de invoering van risk tooling, IT governance en datakwaliteit.
Sogeti heeft de impact van de invoering van Solvency II op het ICT domein in kaart gebracht in het whitepaper ‘De ICT-invoering van Solvency II’. Het whitepaper geeft een overzicht van de regelgeving, de impact op het ICT-landschap en de visie van Sogeti op de aanpak voor een succesvolle ICT-invoering. Hierbij wordt ook behandeld hoe bewezen Sogeti-methoden, technieken en aanpakken kunnen worden ingezet om de invoering van Solvency II te versnellen.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,888
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
36
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Whitepaper 'de ICT invoering van solvency ii'

  1. 1. DE ICT-IMPLEMENTATIE VAN SOLVENCY II Geactualiseerde en aangevulde versie september 2010 Copyright Sogeti Nederland B.V. ©
  2. 2. De ICT-implementatie van Solvency IIVERSIE-INFORMATIEVersie Datum Bijzonderheden Auteur1.0 22-2-2010 Eerste versie Sogeti Nederland B.V.1.1 2-3-2010 Diverse tekstuele aanvullingen Sogeti Nederland B.V.2.0 1-9-2010 Geactualiseerd en aangevuld Sogeti Nederland B.V.Sogeti Nederland B.V. 2.0 IIseptember 2010
  3. 3. De ICT-implementatie van Solvency IIINHOUDSOPGAVEVOORWOORD ................................................................................ 1INLEIDING ................................................................................ 3LEESWIJZER ................................................................................ 41 SOLVENCY II IN HET KORT ................................................. 5 1.1 Achtergrond .....................................................................................5 1.2 De kenmerken van Solvency II ...............................................................6 1.3 Reikwijdte .......................................................................................7 1.4 Principle based .................................................................................7 1.5 Opzet – de drie pilaren ........................................................................8 1.6 Groepstoezicht ............................................................................... 12 1.7 Toezichthouder ............................................................................... 132 DE IMPACT VAN SOLVENCY II ............................................. 14 2.1 Impact op de business ....................................................................... 14 2.2 Impact op ICT ................................................................................. 223 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE ..................... 26 3.1 Solvency II programma-aanpak ............................................................ 26 3.2 Stappen in de implementatie .............................................................. 26 3.3 Het belang van structurele oplossingen .................................................. 32 3.4 Programmabesturing ........................................................................ 364 SOGETI EN DE IMPLEMENTATIE VAN SOLVENCY II ...................... 38 4.1 Vooraf .......................................................................................... 38 4.2 Sogeti en de voorbereiding van de ICT-implementatie................................ 38 4.3 Solvency II implementatie .................................................................. 40Sogeti Nederland B.V. 2.0 IIIseptember 2010
  4. 4. De ICT-implementatie van Solvency IIOVERZICHT BIJLAGENBIJLAGE 1: SOLVENCY II INVOERINGSKALENDER ..................................... 44BIJLAGE 2: SOLVENCY II EN BASEL II .................................................. 46BIJLAGE 3: STANDAARDMODEL OF INTERN MODEL .................................. 49BIJLAGE 4: RISICO’S BIJ DE IMPLEMENTATIE VAN SOLVENCY II .................... 51BIJLAGE 5: AANDACHTSPUNTEN VOOR UITBESTEDING ............................. 53BIJLAGE 6: ARCHITECTUUR EN ICT GOVERNANCE ................................... 58BIJLAGE 7: BUSINESS PROCES MANAGEMENT (BPM) ................................. 61BIJLAGE 8: GEGEVENS EN GEGEVENSONTSLUITING ................................. 63BIJLAGE 9: TESTEN EN KWALITEITSZORG ............................................. 69BIJLAGE 10: MEERWAARDE SOGETI DIENSTVERLENING VOOR DE IMPLEMENTATIE VAN SOLVENCY II ........................................................... 71BIJLAGE 11: PARTNERSHIPS .............................................................. 74BIJLAGE 12: BRONNEN .................................................................... 75Sogeti Nederland B.V. 2.0 IVseptember 2010
  5. 5. De ICT-implementatie van Solvency IIVoorwoordVOORWOORDVoor u ligt de tweede versie van ons Whitepaper “De ICT-implementatie van SolvencyII”. De eerste versie dateert van maart 2010 en wij hebben hierop veel positievereacties mogen ontvangen. Inmiddels is er meer duidelijk geworden over Solvency II,zoals door het verschijnen van het Implementatiedocument van De NederlandscheBank en het definitief worden van diverse adviezen van CEIOPS (Committee ofEuropean Insurance and Occupational Pensions Supervisors – het platform vanEuropese toezichthouders). Verder hebben wij van relaties en verzekeringsmaat-schappijen suggesties mogen ontvangen tot verbetering en uitbreiding van hetoorspronkelijke document. Ten slotte hebben wij op een aantal punten formuleringenaangescherpt en waar nodig toevoegingen gepleegd op basis van nieuwe ervaringenmet Solvency II.Al met al voldoende aanleiding om met een geactualiseerde en uitgebreide versie tekomen.Sogeti Nederland B.V. 2.0 1september 2010
  6. 6. De ICT-implementatie van Solvency IIVoorwoordSogeti Nederland B.V. 2.0 2september 2010
  7. 7. De ICT-implementatie van Solvency IIInleidingINLEIDINGOp 31 december 20121 moeten alle verzekeringsmaatschappijen die opereren binnende Europese Economische Ruimte (Europese Unie plus Noorwegen, IJsland en Liech-tenstein) voldoen aan de Solvency II-richtlijn. Deze richtlijn beoogt door nadruk opgoed risicobeheer, de belangen van de polishouders en de aandeelhouders beter tebeschermen. De regelgeving heeft gevolgen voor de bedrijfsvoering van verzeke-ringsmaatschappijen, met name op het gebied van risicomanagement, bestuur en deverantwoording aan de Toezichthouder en het publiek.De principes die ten grondslag liggen aan Solvency II dienen in eerste instantievertaald te worden naar de bedrijfsprocessen, de organisatiestructuur en de organisa-tiecultuur. Dit werkt vervolgens door in de wijze waarop de informatievoorziening isingericht en de wijze waarop de bedrijfsprocessen vanuit de informatievoorzieningworden ondersteund.Gegeven de hoge impact en de relatief korte tijdlijnen is het zaak tijdig de implemen-tatie van Solvency II ter hand te nemen.Sogeti heeft als ICT-dienstverlener een coherente visie en aanpak ontwikkeld voor deinvoering van Solvency II. Om de ICT-invoering te versnellen heeft Sogeti specifiekeSolvency II producten (zoals templates, scans, checklists en datamodellen) ontwik-keld. Deze zijn gebaseerd op onze ervaring met eerdere compliancy programma‟s,onze betrokkenheid bij verzekeringsmaatschappijen die inmiddels met de invoeringzijn gestart, diepgaande gesprekken met leveranciers van relevante diensten, metho-den en tools en onderzoek van alle momenteel beschikbare documentatie.Door middel van dit document wil Sogeti haar kennis en visie delen met haar relaties.Wij zijn ervan overtuigd de aangewezen ICT-partner te zijn voor de invoering vanSolvency II. Wij gaan hierover graag met u in gesprek.Indien u naar aanleiding van dit document vragen heeft, dan kunt u contact opnemenmet Tako de Roode via telefoonnummer +31 6 277 46 047 of via e-mailtako.de.roode@sogeti.nl.1 Dit was in eerste instantie 31 oktober 2012. DNB geeft in het Implementatiedocu-ment (“Implementatie Solvency II, 31 maart 2010, De Nederlandsche Bank) aan datzij dit niet als een wezenlijk verschil beschouwen voor de implementatie.Sogeti Nederland B.V. 2.0 3september 2010
  8. 8. De ICT-implementatie van Solvency IILeeswijzerLEESWIJZERHoofdstuk 1 bevat een beknopte beschrijving van Solvency II, waarbij wordt ingegaanop het doel en de inhoud van de richtlijn en het invoeringsschema dat daarbij vanuitEuropa en de Nederlandse Toezichthouder (De Nederlandsche Bank) wordt opgelegd.Hoofdstuk 2 bevat een vertaling van de Solvency II richtlijn naar de business en ICTconsequenties voor het verzekeringsbedrijf. De richtlijn heeft ondermeer impact op dearchitectuur (dit is het geheel van concepten, regels en modellen die richting gevenaan het inrichten van de organisatie en de informatievoorziening) en stelt eisen aan deproducten die de verzekeraar aan de Toezichthouder moet opleveren.Hoofdstuk 3 behandelt de visie van Sogeti op de wijze waarop Solvency II binnen hetICT-domein ingevoerd kan worden. Wij gaan daarbij ook in op de ICT-oplossingen diedaarbij ingezet kunnen worden. We betogen hier dat er geen “one size fits all”-aanpakis en geven daarbij belangrijke aandachtspunten en overwegingen op basis van“lessons learned” uit andere compliancy trajecten.Het laatste hoofdstuk geeft een overzicht van de diensten en producten (“versnellers”)die Sogeti aanbiedt met betrekking tot de ICT implementatie van Solvency II.Tot slot gaan wij in aparte bijlagen diepgaander in op voor Solvency II relevanteonderwerpen. Deze bijlagen zijn bedoeld voor de lezer die behoefte heeft aan verdie-ping op deelgebieden, zoals:  De Solvency II invoeringskalender  Een vergelijking van Solvency II met Basel II  De (invoerings)verschillen van standaardmodellen en interne modellen  Procesmanagement en procesimplementatie  Aandachtspunten voor uitbesteding  De benodigde datainfrastructuur  Architectuur & governance  Testen & Kwaliteitszorg  Onderkende risico‟s bij de invoering  Diensten en versnellers om de invoering te ondersteunenSogeti Nederland B.V. 2.0 4september 2010
  9. 9. De ICT-implementatie van Solvency IISolvency II in het kort1 SOLVENCY II IN HET KORT1.1 AchtergrondSolvency II kan gezien worden als onderdeel van de trend waarbij onder maatschap-pelijke en politieke druk het toezicht op financiële instellingen wordt aangescherpt. Deaandacht voor dit soort regelgeving is door de financiële crisis versterkt en de maat-schappelijke en politieke aandacht is dan ook hoog. Zo zien we in de bankensector naBasel II het Basel III-akkoord verschijnen en het is te voorzien dat Solvency II in deverzekeringsbranche ook niet de laatste ontwikkeling op dit gebied zal zijn.Solvency II dient enerzijds ter bescherming van de belangen van de aandeelhouders,consumenten/polishouders en anderzijds met het oog op het creëren van één interneEuropese markt voor verzekeringen, het “level playing field”.Onder het bestaande regime van Solvency I, dat stamt uit de jaren zeventig, is er teweinig aandacht voor risico‟s, leidt de minimaleharmonisering in regelgeving tot grote verschillentussen lidstaten en is er geen goed toezichtmogelijk op grensoverschrijdend opererendeverzekeringsmaatschappijen.Solvency II is vergelijkbaar met de Basel II regel-geving voor de bankwereld, alhoewel er verschillenzijn. Uit de implementatie van Basel II kunnen ookde nodige lessen getrokken worden. Een uitgebrei-dere beschouwing over de verschillen enovereenkomsten tussen Solvency II en Basel II alsmede de “lessons learned” treft uaan in Bijlage 2: Solvency II en Basel II.De Solvency II richtlijn behelst een grondige herziening van de voor (her)verzekeraarsrelevante Europese richtlijnen. Deze bevat nieuwe regelgeving voor kapitaalsvereisten,waarderingsgrondslagen en risicobeheer met het oog op het aanmoedigen en belonenvan een goed risicomanagement. Daarnaast legt de richtlijn meer verantwoordelijk-heid in de handen van het senior management om het bedrijf op een verantwoordewijze te besturen en brengt de richtlijn meer eenduidigheid tot stand inzake hettoezicht op de interne markt.De richtlijn is inmiddels door het Europees Parlement en de Europese Raad vanMinisters aangenomen. De Europese Commissie bereidt de uitvoeringsmaatregelenvoor en laat zich daarbij adviseren door CEIOPS. CEIOPS heeft van de EuropeseCommissie de opdracht gekregen om enerzijds adviezen uit te werken op alle puntenwaarin de kaderrichtlijn uitvoeringsmaatregelen vereist en anderzijds deze adviezen tetoetsen in de verzekeringsmarkt.Het doel van Solvency II is dus drieledig:1. Het scheppen van voorwaarden en het bevorderen van een enkelvoudige Europe- se verzekeringsmarkt door het creëren van een level playing field binnen de E.E.R. voor verzekeringsmaatschappijen door uniformering van de regelgeving, waar Solvency I verschillende invullingen kende tussen de lidstaten2. Het verbeteren van de bescherming van aandeelhouders en verzekerden door een scherper toezicht op de solvabiliteit van verzekeraars door toezichthou- ders vroegtijdig te informeren over mogelijke problemen (“early warning”).Sogeti Nederland B.V. 2.0 5september 2010
  10. 10. De ICT-implementatie van Solvency IISolvency II in het kort Hierdoor kan de toezichthouder tijdig ingrijpen als het eigen vermogen van de onderneming onder de kapitaalseisen zakt.3. Het bevorderen van het vertrouwen in de verzekeringssector door meer transpa- rantie.De invoering staat gepland voor 31 december 2012. Op het moment van schrijven isde Solvency II regelgeving echter nog in ontwikkeling. Het is de bedoeling van deNederlandse overheid om de uitwerking van de richtlijn in de nationale wet- enregelgeving in het vierde kwartaal van 2011 aan de Tweede Kamer aan te bieden tergoedkeuring. Voor de invoering verwijzen wij naar Bijlage 1: Solvency II Invoerings-kalender.Dit betekent, dat er tussen het vaststellen van de definitieve eisen en de invoeringslechts één jaar tijd ligt voor de implementatie! Hier staat tegenover, dat de hoofdlij-nen reeds bekend zijn en dat er voor die tijd al veel aan voorbereiding kan en moetgebeuren. In de tussentijd moeten verzekeraars zich baseren op de beschikbareadviezen en Level 2 en 3 consultation papers van CEIOPS.1.2 De kenmerken van Solvency IIOp de website van DNB treffen we de volgende tekst aan, die Solvency II goedkarakteriseert: “Het Solvency II project moet leiden tot een nieuw solvabiliteitsraamwerk, ge- baseerd op marktconsistente waardering, waarin de financiële eisen beter de risicos weerspiegelen die de verzekeraars lopen. Ook heeft Solvency II als doelstelling om het toezicht te laten aansluiten op marktontwikkelingen. Verze- keraars leggen zich steeds meer toe op het meten en beheersen van hun risicos. Solvency II moet deze positieve ontwikkeling stimuleren. Met Solvency II krijgt het toezicht op de risicos die een verzekeraar loopt, en de beheersing daarvan, ook een meer centrale rol.”Solvency II houdt een fundamentele wijziging in ten aanzien van de wijze waarop dekapitaalsvereisten (het eigen vermogen en de samenstelling hiervan) voor verzeke-raars bepaald moeten worden, als basis voor het kunnen opvangen van negatieveontwikkelingen en calamiteiten.Solvency II is gebaseerd op economische principes voor het meten van risico‟s opassets en liabilities (bezittingen en verplichtingen): de Total balance sheet approach.Het systeem is sterk risico-georiënteerd: de verzekeraar moet de risico‟s berekenenop basis van consistente en herhaalbare methodieken. De kapitaalsvereisten (MCR enSCR, respectievelijk Minimum Capital Requirement en Solvency Capital Requirement)zijn daar rechtstreeks op gebaseerd. Deze kapitaalsvereisten zijn modulair opgebouwden zijn de som van enkelvoudige risico‟s, die ieder op zich gemodelleerd worden.Dit zullen wij verderop in dit document behandelen.Sogeti Nederland B.V. 2.0 6september 2010
  11. 11. De ICT-implementatie van Solvency IISolvency II in het kort1.3 ReikwijdteDe regelgeving geldt voor alle verzekeringsmaatschappijen die actief zijn binnen deEuropese Economische Ruimte (EU + Noorwe-gen, IJsland en Liechtenstein) met een jaarlijkspremie-inkomen groter dan €5 mln of brutotechnische voorzieningen groter dan €25 mln.Voor verzekeringsmaatschappijen die niet onderde Solvency II-regelgeving vallen zal DeNederlandsche Bank als Toezichthouder een“Solvency II-Proportioneel” beleid ontwikkelen.Hiernaast zal een aantal kleine verzekeraars(veelal lokaal opererende onderlinge waarborg-maatschappijen) geheel buiten de Solvency II-regelgeving vallen.Pensioenfondsen en natura-verzekeraars vallen buiten de regelgeving.1.4 Principle basedEen belangrijk aspect is dat de Solvency II-richtlijn niet primair gebaseerd is opregels, maar vooral op principes. Dat wil zeggen, dat elk bedrijf de principes moetvertalen naar de eigen situatie. Dit zal door de Toezichthouder getoetst en goedge-keurd moeten worden. Na de invoering wordt dan een proces van constanteverbetering ingezet. Toepassing van de principes moet ertoe leiden dat er een“comfort level” ontstaat van 99,5%, met andere woorden dat er een 99,5% zekerheidis dat een verzekeraar aan zijn verplichtingen kan voldoen in de komende 12 maan-den.De verwachting is dat de invoering van Solvency II regelgeving de verzekeraars zalstimuleren om in interactie met de Toezichthouder steeds beter invulling te geven aande onderliggende principes.De rol van de toezichthouder wordt ook meer risicogericht en pro-actief, om vroegtij-dig in te kunnen grijpen bij dreigende problemen ten aanzien van het voldoen aan dekapitaaleisen.Sogeti Nederland B.V. 2.0 7september 2010
  12. 12. De ICT-implementatie van Solvency IISolvency II in het kort1.5 Opzet – de drie pilarenSolvency II is gebaseerd op drie pilaren:- 1: Kwantitatieve eisen- 2: Kwalitatieve eisen en toezichtactiviteiten- 3: Marktdiscipline en toezichtrapportage1.5.1 Pilaar 1: Kwantitatieve eisenDe kwantitatieve eisen hebben betrekking op de berekening van kapitaalsvereisten.Solvency II kent twee kapitaalsvereisten: de Minimum Capital Requirement (MCR) de Solvency Capital Requirement (SCR), het meer risicogevoelig vast te stellen solvabiliteitsniveauDe SCR moet alle kwantificeerbare risico‟s dekken, waarbij de kapitaaldekkingvoldoende moet zijn om met een zekerheid van 99,5% over een periode van een jaarverliezen te kunnen dekken ter grootte van de SCR. De risico‟s zijn onderverdeeldnaar categorieën marktrisico, tegenpartijrisico, verzekeringstechnisch risico (leven,schade, zorg) en operationeel risico. Deze categorieën zijn weer onderverdeeld naarindividuele risico‟s. De SCR is de som van de onderliggende risico‟s. Voor de bereke-ning van de verschillende risico‟s kan het standaardmodel gebruikt worden dan weleen intern model. Onder bepaalde condities mogen voor immateriële risico‟s vereen-voudigde berekeningen gebruikt worden. Het geheel aan berekeningen kan ook eenmengvorm zijn (partieel intern model). De Toezichthouder kan hiernaast nog eencapital add on opleggen (De capital add on verhoogt de kapitaaleis onder Pilaar 1,maar wordt toegewezen op grond van bevindingen van de toezichthouder op hetSogeti Nederland B.V. 2.0 8september 2010
  13. 13. De ICT-implementatie van Solvency IISolvency II in het kortgebied van kwalitatieve aspecten – Pilaar 2). De SCR wordt opgebouwd uit een aantalcomponenten (uit technische specificaties QIS5 EU Commissie, 5 juli 2010):De SCR bestaat uit de Basis-SCR (BSCR), de SCR voor operationele risico‟s (SCROP)eneen eventuele kapitaal add on (Adj.).De BSCR valt uiteen in SCR voor marktrisico (bezittingen zoals beleggingen, liquiditei-ten; SCRMARKET), tegenpartijrisico (default risk; SCRDEF) en immateriële risico‟s (SCRDEF)en SCR‟s voor de verschillende soorten verzekeringen (zorg SCRHEALTH, leven SCRLIFEen schade SCRNON-LIFE). Deze SCR‟s kunnen weer onderverdeeld zijn in risicogroepen.Voor elk van die risicogroepen worden berekeningen uitgevoerd voor de benodigdekapitaalvoorziening voor die risicogroep.De berekening van de MCR is eenvoudiger dan van de SCR. De MCR moet voldoendezijn om een jaar te overbruggen met een zekerheid van 85%. De MCR wordt begrensdvan 25% tot 45% van de SCR. De ondergrens van de MCR is de Absolute MinimalCapital Requirement (AMCR), dat is het minimumbedrag van het garantiefonds.De Toezichthouder heeft ruime bevoegdheden om in te grijpen in geval van het nietvoldoen aan de kapitaaleisen om de belangen van verzekerden te beschermen. Zodrahet vermogen onder de SCR zakt, maar boven de MCR blijft treedt de escalatieladderin werking, waarbij aanvullend toezicht strenger wordt naarmate het vermogen dichterbij de MCR komt en moet de verzekeraar actie ondernemen om het vermogen teversterken.Sogeti Nederland B.V. 2.0 9september 2010
  14. 14. De ICT-implementatie van Solvency IISolvency II in het kortDe Toezichthouder kan aan maatschappijen (zowel solo als groep) opleggen dat zijeen (partieel) intern model ontwikkelen en hanteren indien het risicoprofiel significantafwijkt van het standaardmodel.De SCR dient jaarlijks gerapporteerd te worden en eventueel tussentijds als ersignificante wijzigingen zijn in het risicoprofiel van de verzekeraar. De MCR dient elkkwartaal gerapporteerd te worden.In de aanloop naar de implementatie van Solvency II dienen interne modellengoedgekeurd te worden door de Toezichthouder. Hiertoe wordt een zogenaamd pre-applicatieproces uitgevoerd.In de afgelopen jaren is een aantal Qualitative Impact Studies (QIS) uitgevoerd om deeffecten van Solvency II te bepalen en om de parametrisering te bepalen. Hiertoehebben verzekeraars gegevens aangeleverd. Er zijn op dit moment 4 QIS‟s uitge-voerd. Voor de tweede helft van 2010 staat QIS5 op het programma.Hoewel deelname optioneel is, dringt DNB er sterk op aan bij de Nederlandse verzeke-raars om deel te nemen aan QIS5.1.5.2 Pilaar 2: Kwalitatieve eisen en toezichtDe kwalitatieve eisen hebben betrekking op de besturing van de verzekeringsmaat-schappij (“Good governance”), de inrichting van de processen en audit trail. Aan debestuurders en commissarissen van de maatschappij wordt onder meer als eis gestelddat zij de gebruikte modellen en de invullien hiervan moeten kennen en uit kunnenleggen aan de Toezichthouder.De motivatie achter good governance is ook dat men sommige risicos beter mitigeertmet governance maatregelen dan met kapitaal alleen. Juist de combinatie van beide(kapitaal + besturing) moet Solvency II effectief maken. Good governance is daarmeeniet alleen een opgelegd iets, maar leidt ook tot besparingen door vermindering vankapitaalsbeslag. Indien een maatschappij tekortkomingen vertoont op het gebied vangovernance kan de Toezichthouder besluiten een capital add on op te leggen.Elke maatschappij moet beschikken over een risk managementfunctie, een actuariëlefunctie, een interne controlefunctie (waarin inbegrepen compliance) en een interneauditfunctie. Indien een maatschappij één van beide of beide functies uitbesteedt,dient ook de partij waaraan wordt uitbesteed onder het toezicht te vallen.ORSAEen belangrijk onderdeel van het risk managementsysteem wordt de Own Risk andSolvency Assessment (ORSA), waarbij de maatschappij periodiek de eigen risicopositieen daarmee de benodigde kapitaalpositie beoordeelt. De bevindingen uit de ORSAworden zowel op solo-niveau als op groepsniveau gerapporteerd en wordt gebruikt inhet toezichtproces (Supervisory Review Proces – SRP). De ORSA is daarmee tweele-dig: 1. Het is een intern assessment en maakt deel uit van de strategische besluitvor- ming, waarbij de maatschappij de eigen solvabiliteit voortdurend volgt en bewaakt. 2. Het is een hulpmiddel voor de Toezichthouder, die moet worden geïnformeerd over de uitkomsten van de ORSASogeti Nederland B.V. 2.0 10september 2010
  15. 15. De ICT-implementatie van Solvency IISolvency II in het kortDe ORSA vereist niet dat de verzekeraar een (partieel) intern model hanteert voor deberekening van de SCR, maar indien dit het geval is moeten de uitkomsten van deberekeningen meegenomen worden in de ORSA. De ORSA veroorzaakt geen derdevorm van Solvency kapitaalseisen. De ORSA mag voor kleinere verzekeraars nietbovenmatig belastend zijn (proportioneel regime).De verzekeraar moet zich in de ORSA een mening vormen over het benodigde eigenvermogen (Pilaar 1) en een projectie kunnen maken over de business projectieperiode van toekomstige own funds en vereist vermogen om aan te tonen dat ook inde toekomst aan de Solvency II-eisen voldaan wordt.Self AssessmentOm aan te tonen dat de maatschappij aan de kwaliteitseisen voldoet moet zij een SelfAssessment uitvoeren. Ook hierbij dienen zaken als datakwaliteit en beschikbaarheidalsmede kwaliteit van ICT-infrastructuur en –systemen betrokken te worden. DeToezichthouder voert reviews uit op de Self Assesments en moet deze goedkeuren.Op basis van de uitkomsten van de Self Assesments moet de onderneming eenimplementatieplan opstellen voor de invoering van Solvency II. Dit plan dient eenactiviteitenplanning te omvatten met doorlooptijden en een kritisch-padanalysealsmede de benodigde mensen en middelen. Dit plan moet eind 2011 beschikbaar zijn.Use TestsIn de aanloop naar de invoering van Solvency II zullen er verder verschillende “usetests” worden uitgevoerd om de juiste werking van de gebruikte interne modellen tetoetsen.De Richtlijn noemt de volgende soorten tests voor het goedkeuren van internemodellen:- use test- statistische kwaliteitsnormen- kalibratienormen- validatienormen- documentatienormen- winst- en verlies attributie1.5.3 Pilaar 3: Marktdiscipline en toezichtrapportagesPilaar 3 heeft betrekking op de rapportages aan het publiek en aan de Toezichthouder.De rapportage aan het publiek bestaat uit de Solvency and Financial Condition Report(SFCR). Deze dient om transparantie en marktdiscipline binnen de verzekeringsmarktte bevorderen.De Toezichthouder beoordeelt ten aanzien van de SFCR de totstandkomingprocessenenerzijds en op de inhoud hiervan. Voor de inhoud wordt een minimumstandaardgehanteerd, maar een onderneming kan ervoor kiezen om meer informatie te publice-ren. Hiervoor moet een beleid worden ontwikkeld.De rapportages aan de Toezichthouder (Reports To Supervisor – RTS) bevat gedetail-leerdere informatie dan de SFCR, alsmede concurrentiegevoelige of geheimeinformatie die niet gepubliceerd wordt.Sogeti Nederland B.V. 2.0 11september 2010
  16. 16. De ICT-implementatie van Solvency IISolvency II in het kortDe rapportage aan de Toezichthouder wijkt ingrijpend af van de vereisten die thansgelden op grond van de Wet Financieel Toezicht. Er wordt weliswaar gerapporteerdover dezelfde soort onderwerpen als in de huidige verzekeringsstaten, maar hetdetailniveau verschilt. De structuur van de rapportages is voor alle ondernemingengelijk, maar kan op aangeven van de Toezichthouder verschillen qua detailniveau.Hierbij is het proportionaliteitsbeginsel van toepassing, waarbij kleinere verzekeraarsonder een lichter regime vallen.De rapportagevereisten worden geharmoniseerd over het gehele werkingsgebied vanSolvency II. Dit is met name voor internationaal werkende groepen een vereenvoudi-ging. Er kunnen wel afwijkingen zijn op nationaal niveau voor soortenverzekeringsvormen die specifiek zijn voor een bepaald land (denk in Nederland aanzorg- en inkomensverzekeringen).De rapportagekaders worden in 2011 door CEIOPS gepubliceerd (Level 3 advies).De rapportages zullen zowel kwalitatieve als kwantiatieve informatie bevatten overrisico‟s, omvang, samenstelling en kwaliteit van kapitaal, SCR, MCR en technischevoorziening alsmede waarderingsmethoden voor activa, passiva en risico‟s. Ook zal ereen verklaring moeten worden gegeven van het verschil tussen de Solvency II-balansen de jaarrekening. Verder moet er uitgebreid gerapporteerd worden over risico‟s enmitigerende maatregelen.Hiernaast dient er gerapporteerd te worden over het systeem van governance(inclusief risk management en ORSA) en de mate waarin de maatregelen voldoendezijn om de risico‟s te beheersen.Onder Solvency II wordt het toezicht meer risicogeoriënteerd en prospectief. Toezichtvindt zowel on-site als off-site plaats. Rapportages zijn belangrijk voor het plannenvan het off-site toezicht. De rapportages geven inzicht in de algehele toestand van deonderneming en zijn van belang voor het plannen van het risicogeoriënteerde on-sitetoezicht. Naast de reguliere jaar- en kwartaalrapportages kan de Toezichthouder opad-hoc basis aanvullende informatie opvragen bij één verzekeraar of een groep vanverzekeraars.De rapportageprocedures dienen beschreven en door de directie goedgekeurd te zijn.De onderneming dient over een adequaat rapportagesysteem te beschikken en moetde kwaliteit van de rapportage kunnen garanderen.1.6 GroepstoezichtHet groepstoezicht onder Solvency II is een zelfstandig onderdeel van het verzeke-ringstoezicht op de moederonderneming van een verzekeringsgroep. Hierbij wordt eengroep, tenzij er redenen zijn om dat anders te doen, behandeld als een solo-verzekeraar. Het toezicht hierop vindt plaats door de toezichthouder van het landwaarin de moeder gevestigd is.De moeder moet governance en risk management alsmede rapportageproceduresbinnen de groep als geheel overzien. De moeder is ook aanspreekpunt voor vragenover de dochters. Solo-toezicht op de dochters vindt plaats door de toezichthoudervan het vestigingsland van de betreffende dochter. De groepstoezichthouder kan ookinformatie opvragen bij de toezichthouder van de dochter.Sogeti Nederland B.V. 2.0 12september 2010
  17. 17. De ICT-implementatie van Solvency IISolvency II in het kortHet groepstoezicht heeft betrekking op dat deel van het concern dat in de E.E.R.gevestigd is. Over het al dan niet rapporteren over entiteiten die buiten de E.E.R.gevestigd zijn dienen aparte afspraken gemaakt te worden die afhankelijk zijn van hettoezichtregime in de landen waar die entiteiten gevestigd zijn. Als er meerderedochters van een groep, waarvan de moeder buiten de E.E.R. gevestigd is, binnen deE.E.R. opereren dan dient er sub-consolidatie voor die dochters binnen de E.E.R.plaats te vinden.De SCR wordt op het niveau van de moeder jaarlijks geconsolideerd berekend. Dit kanzowel met standaard modellen als met interne modellen gebeuren. Als er sprake isvan groepsspecifieke risico‟s, dan dienen deze met behulp van interne modellenberekend te worden. De Toezichthouder kan ook vragen om een intern model toe tepassen als blijkt dat het groeps-risicoprofiel significant afwijkt van het standaardmo-del. Ook als het interne model niet adequaat is kan de Toezichthouder om verbeteringvragen dan wel verzoeken om de berekening met het standaardmodel uit te voeren.In de tussentijd kan de Toezichthouder een capital add-on opleggen.Voor groepen die onderdelen hebben in derde landen gelden afwijkende regels voorconsolidatie, die afhankelijk zijn van het toezichtsregime en regelgeving van debetreffende derde landen.Ook op groepsniveau dienen de governancefuncties (risk management, internecontrole, compliance en actuariaat) ingericht te worden. Voor de implementatiehiervan dienen schriftelijke procedures aanwezig te zijn voor de hele groep en deuitrol dient ook top down gemonitord te worden. De groepsonderdelen dienen vol-doende inspraak te hebben bij de implementatie (bottom up). Verder dient de ORSAgeïmplementeerd te worden op groepsniveau. Eventueel kan de ORSA voor de gehelegroep uitgevoerd te worden, mits de verschillende onderdelen herkenbaar zijn.De rapportage-eisen gelden ook op groepsniveau, waarbij aanvullende informatiewordt gevraagd, zoals over concentratierisico‟s en intra-groepstransacties. Eventueelkan een groep één groeps-SFCR opleveren, waarbij de verschillende onderdelenherkenbaar moeten blijven.De toezichthouders op de groep zullen samenwerken bij het toezicht. Hierbij wordt pergroep een College van Toezichthouders gevormd, waarvan de groepstoezichthoudervoorzitter is. Het College is bedoeld voor het uitwisselen van informatie en voorcoördinatie en is niet besluitvormend, aangezien de groepstoezichthouder eindverant-woordelijk is voor het groepstoezicht.1.7 ToezichthouderDe Toezichthouder in het kader van Solvency II voor Nederland is De NederlandscheBank (DNB). Solvency II valt onder het zogenaamde “prudentieel toezicht”2. DNB kaneen verzekeringsmaatschappij of -groep aanwijzingen geven over de toepassing vanrekenmodellen (standaard of intern), de wijze van rapporteren en over de inrichtingvan de governance. DNB maakt onderdeel uit van The Committee of European Insurance and Occupational Pensions Supervisors, het Europese comité van Toezichthouders op verzekeraars en pensioenfondsen (CEIOPS).2 Naast “prudentieel toezicht” kennen we ook het “gedragstoezicht” dat bij de Autori-teit Financiële Markten (AFM) berust. De AFM heeft geen rol bij Solvency II.Sogeti Nederland B.V. 2.0 13september 2010
  18. 18. De ICT-implementatie van Solvency IIDe impact van Solvency II2 DE IMPACT VAN SOLVENCY II2.1 Impact op de business2.1.1 AlgemeenSolvency II heeft grote invloed op de bedrijfsvoering van verzekeraars, zowel op deprocessen, organisatie, administratie, besturing, cultuur en commerciële strategie alsop de productontwikkeling.Een verzekeraar die standaardmodellen toepast zal een veel minder sterke impact vanSolvency II ervaren dan een verzekeraar die met (partieel) interne modellen werkt.Een uitgebreide beschouwing over de keuze tussen standaardmodellen en internemodellen treft u aan in Bijlage 3: Standaardmodel of intern model. De implementatievan de governance-maatregelen (Pilaar 2) zal niet wezenlijk verschillen.Solvency II betekent een aantal veranderingen ten opzichte van Solvency I, dieweergegeven worden in de volgende tabel.Verschillen tussen Solvency II en Solvency I: Solvency I Solvency II Richtlijn (huidig raamwerk)Waardering IFRS of BW2.9. Marktconsistent.bezittingenWaardering Prudent vastgesteld, geen disconte- Theoretische marktwaardevoorziening ring voor schadeverplichtingen, berekend op basis van overdrachts-verzekerings- geen expliciete risicomarge. waarde. Splitsing in een bestverplichtingen estimate en een expliciete risico- marge. Discontering voor zowel leven als schade.Waardering IFRS of BW2.9. Marktconsistent.overige verplich-tingenPrudentieel Twee kwaliteitsniveaus (tiers). Drie kwaliteitsniveaus (tiers). Tier 1eigen vermogen Tweede tier maximaal 50% van het minimaal 1/3 van het vereiste vereiste of aanwezige vermogen vermogen, tier 3 maximaal 1/3 van (laagste van de twee). Onderscheid het vereiste vermogen. Onderscheid tussen vermogen dat op de balans tussen vermogen dat op de balans aanwezig is en off-balance aanwezig is en off-balance vermo- vermogen (onderdeel van tier 2). gen.SCR Solvabiliteitsmarge. Gekwantificeerd Dekt kwantificeerbare risico‟s voor op basis van alleen verzekering- verzekeringsrisico, marktrisico, technische grootheden. Heeft geen tegenpartijkredietrisico en operatio- specifiek zekerheidniveau. neel risico. De SCR kapitaaleis is zo vastgesteld dat deze met 99,5% zekerheid voldoende is om een volledig jaar mee te overbruggen. Het is mogelijk om de SCR met een intern model te berekenen.MCR Garantiefonds. Is gelijk aan De MCR kapitaaleis is zo vastgesteld eenderde van de solvabiliteitsmar- dat deze met 85% zekerheid ge. voldoende is om een volledig jaar mee te overbruggen.(Bron: Implementatiedocument DNB, 31 maart 2010)Sogeti Nederland B.V. 2.0 14september 2010
  19. 19. De ICT-implementatie van Solvency IIDe impact van Solvency IIOngeacht de keuze van het te hanteren model geldt dat de implementatie en toepas-sing van Solvency II tot grote consequenties in een groot aantal bedrijfsfuncties leidt.In de komende paragrafen lichten we dit nader toe.2.1.2 Impact van Pilaar 1: kwantitatieve eisenDe eisen voortvloeiend uit Pilaar 1 van Solvency II zijn ingrijpend voor de vermogens-structuur van de verzekeraar. Verzekeraars dienen hun bezittingen (assets) enverplichtingen (liabilities) op een marktconforme wijze te gaan waarderen, in tegen-stelling tot de huidige situatie waarbij de assets op basisvan historische kostprijs worden gewaardeerd. Op ditmoment – in de pre-Solvency II periode – wordt voor desolvabiliteitseisen („Solvency I‟) geen rekening gehoudenmet de risico‟s op de bezittingen. Voor Solvency II gaatdat wijzigen. Daardoor wordt het inrichten van eeneffectief Risk Management systeem essentieel. Het dientin te houden: Risk strategieën, processen en (rapporta-ge)procedures om de impact van de risico‟s op het bedrijfvoortdurend te kunnen monitoren en beheersen.De risico‟s moeten zowel individueel (op niveau van homogene risicogroepen) alsgeaggregeerd en in relatie tot elkaar gemanaged worden in verband met onderlingeafhankelijkheden. Voor bedrijven met meerdere werkmaatschappijen (juridischeentiteiten) dient dit ook nog op zowel werkmaatschappij- als op groepsniveau tegebeuren.Zoals eerder aangegeven moet een maatschappij een keuze maken of ze gebruik wilgaan maken van interne modellen, van standaardmodellen of van een combinatiehiervan (partiële interne modellen). In ieder geval zal de verzekeraar de standaard-modellen moeten kunnen hanteren. De Toezichthouder kan het (op termijn) hanterenvan interne modellen opleggen aan de maatschappij.Een belangrijke strategische keuze die een maatschappij moet maken is de “riskappetite”. De “Risk appetite” is de mate waarin een organisatie bereid is om risico tenemen om een aanvaardbaar of beoogd rendement te maken en om de strategischedoelstellingen te halen.De risk appetite kan verschillen per risicocategorie. Per risicocategorie dient vastge-steld te worden in welke mate risico gelopen mag worden. Hierbij geldt, dat naarmatede risk appetite hoger is de bijbehorende kapitaalvoorziening ook omhoog gaat.De risk appetite dient gedocumenteerd te worden en vormt de basis voor het riskmanagement binnen de organisatie (zie onder pilaar 2 in de volgende paragraaf).Het ontwikkelen van een intern model kan ervoor zorgen dat het kapitaalsbeslag endaarmee de kapitaalskosten optimaal zijn. Dit betekent niet noodzakelijkerwijs dat hetkapitaalsbeslag lager is: het overall risico en het risicodragend kapitaal worden in dejuiste balans gebracht. Een intern model biedt de verzekeraar het voordeel om meerdifferentiatie in de portefeuille ten behoeve van de risicovaststelling aan te brengen,bijvoorbeeld een schadeverzekering voor oldtimers t.o.v. een standaard autoverzeke-ring: door de risicos te differentiëren kan de verzekeraar er voor kiezen om de old-timer verzekering een veel lager risico toe te rekenen. Hierdoor is hij in staat zijnrisicoprofiel te optimaliseren op basis van differentiatie. Optimalisatie is dus niethetzelfde als een zo laag mogelijk risicobeslag, maar een juiste balans tussen risico‟sen kapitaalsvoorzieningen voor de verzekeraar.Sogeti Nederland B.V. 2.0 15september 2010
  20. 20. De ICT-implementatie van Solvency IIDe impact van Solvency IIHet ontwikkelen en toetsen van een dergelijk model kan echter aanzienlijke inspan-ningen kosten. Naast het ontwikkelen van het model dient ook het pre-applicatieproces doorlopen te worden waarbij de modellen gekalibreerd moetenworden. Hierbij worden zogenaamde “use tests” uitgevoerd, waarbij de werking vande modellen in de praktijk aangetoond moeten worden op basis van live data.Om de parameters nader vast te stellen wordt in de tweede helft van 2010 de 5eQuantitative Impact Study (QIS5) uitgevoerd. Hoewel deelname aan QIS5 nietverplicht is dringt DNB er bij de Nederlandse verzekeraars sterk op aan dat zij hieraandeelnemen. DNB ziet deelname aan QIS5 als een goede voorbereiding op de invoeringvan Solvency II. De gegevens die nodig zijn voor het invullen van QIS5 komenovereen met de gegevens die voor de uiteindelijke Solvency II-rapportages nodig zijn.Deelname aan QIS5 geeft dus een goed inzicht in de problemen die te verwachten zijnop het gebied van de beschikbaarheid van gegevens voor Solvency II.Een probleem dat hierbij opdoemt is dat er niet over alle soorten risico‟s al informatiebeschikbaar is, zowel kwalitatief als kwantatief (historie). Met name het kwantificerenvan operationele risico‟s zal een uitdaging blijken te zijn.2.1.3 Impact van Pilaar 2: kwalitatieve eisen en toezichtactiviteitenImpact op de besturing van de organisatieEen van de meest in het oog springende eisen in het kader van het toezicht is dat de verantwoordelijke bestuurder niet alleen hoofdelijk aansprakelijk is voor de juistheid van de berekeningen en rapportages, maar dat hij ook dient te kunnen toelichten en aantonen dat de resultaten verkregen zijn op basis van betrouwbare en correcte data, procedures en systemen. De bestuurder moet kortom aantonen dat hij de business kent en in control is! Door middel van het Supervisory Review Process (SRP) zal de Toezichthouder de besturing van het bedrijf toetsen op de mogelijkheid om de actuele en mogelijke risico‟s te identificeren, beoordelen en managen. De Toezichthouder heeft daarbij de mogelijkheid om bedrijven te dwingen geconstateerde gebreken en tekortkomingen te verhelpen. Daarbij ligt, zoals hiervoorbesproken, op het bedrijf (lees: de verantwoordelijke) de last om aan te tonen dat hetbesturing- en de risk management processen geschikt en toepasbaar zijn voor hetgekozen risicoprofiel (risk appetite).Het besturingssysteem moet onder andere omvatten: Een toepasselijke en transparante organisatiestructuur Heldere taken, verantwoordelijkheden en bevoegdheden inclusief het – waar van toepassing – scheiden van taken en verantwoordelijkheden Beschrijving en implementatie van beleid op het gebied van tenminste: risk management, interne controle, interne auditering en outsourcing indien van toe- passingKwalificaties van het personeelOnder Solvency II moet de onderneming aan kunnen tonen dat alle personeelsleden,inclusief het hoger en senior management, over de kwalificaties beschikken dietoereikend zijn voor de taken die zij uitvoeren. Verder dienen zij aantoonbaar aaneisen van integriteit te voldoen. De kwalificaties dienen periodiek getoetst te worden.Sogeti Nederland B.V. 2.0 16september 2010
  21. 21. De ICT-implementatie van Solvency IIDe impact van Solvency IIProcessen en procesmanagementDe implementatie van Solvency II raakt vele bedrijfsfuncties en daarmee essentiëlebedrijfsprocessen en procedures: strategische besturing, risk management, actuariaat,Finance & Control. Maar ook bij ICT, als bijvoorbeeld requirements (lifecycle) ma-nagement structureel wordt ingevoerd.Het is van het grootste belang om de processen op een gestructureerde wijze tebeschrijven en transparant te maken. Niet alleen is dat een eis van DNB maar het isook een instrument om het operationele risico te reduceren, met als spin off datdaarmee de SCR kan dalen. De controls die het bedrijf inbouwt zijn een belangrijkaspect van de procesbeschrijvingen.Zie voor een uitgebreidere beschouwing over processen en procesmanagement Bijlage7: Business Proces Management (BPM) .2.1.4 Impact van Pilaar 3: Marktdiscipline en toezichtrapportagesDe rapportage onder Solvency II wordt zo veel mogelijk op Europees niveau gehar-moniseerd. Hierbij zal er gewerkt worden met Europese templates en kunnenToezichthouders daar buitenom alleen informatie opvragen alsdat om producten met specifiek nationale kenmerken gaat, zoalsin Nederland bijvoorbeeld zorg- of inkomensverzekeringen.De rapportagekaders op het gebied van kwantitatieve vereisten(Pilaar 1) zullen naar verwachting niet veel verschillen voor deverschillende verzekeraars. De kwalitatieve rapportages (Pilaar 2)kunnen wel verschillen qua detailniveau op basis van de aard,omvang, complexiteit en risicoprofiel van de verzekeraar op basisvan proportionaliteit.Solvency II geeft voor de publieke rapportage (Solvency and Financial ConditionReport – SFCR) bepaalde minimumvereisten, maar de verzekeraar wordt aangemoe-digd om meer dan dat te rapporteren. Verzekeraars zullen, gezien het belang datwordt gehecht aan transparantie onder Solvency II, een visie moeten ontwikkelen ophoe zij invulling willen geven aan de doelstellingen op het gebied van transparantie.Verzekeringsgroepen zullen het gemakkelijker krijgen op dit vlak wanneer zij inmeerdere Europese (E.E.R.) landen opereren door de harmonisatie van de rapporta-gevereisten.De verzekeraars dienen uiterlijk eind 2011 een implementatieplan op te leveren aande Toezichthouder waarin zij duidelijk moeten maken hoe zij de rapportageprocessengaan inrichten, hoe deze ingevoerd worden en hoe zij de informatie beschikbaar zullenstellen. Deze datum ligt vrij ver in de tijd en lijkt ingegeven te zijn door formeleargumenten over de afronding van de CEIOPS Level 2 en Level 3 adviezen voor deimplementatie en de implementatie in de wet- en regelgeving in de Lidstaten. Wij zijnechter van mening, dat dit erg laat is voor in ieder geval de ICT-implementatieaangezien de gegevensvoorziening voor Solvency II al per 1 januari 2012 op ordemoet zijn om de rapportage over 2012 in het eerste kwartaal 2013 te kunnen ver-vaardigen.De rapportageprocessen zullen wijzigen ten aanzien van de huidige situatie. Desamenstelling, goedkeuring en publicatie van het SFCR vraagt de nodige aandacht.Sogeti Nederland B.V. 2.0 17september 2010
  22. 22. De ICT-implementatie van Solvency IIDe impact van Solvency IIHet proces van het opstellen, samenstellen en publiceren van rapportages dientgedetailleerd beschreven te zijn. Alle rapportages moeten ook goedgekeurd wordendoor de directie. Ook zal een deel van de rapportages extern gecertificeerd moetengaan worden.De verzekeraar zal over adequate systemen moeten beschikken voor het producerenvan rapportages.2.1.5 Impact op Risk Management, actuariaat, interne controle en interne auditIn het kader van Solvency II dient een verzekeraar te beschikken over een “system ofgovernance”, dat de volgende functies omvat:- Risk Management- Actuariële functie- Interne controle (waaronder compliance valt)- Interne auditDeze functies worden hieronder behandeld.Risk ManagementRisk management is bij verzekeraars een gevestigde functie. Hierbij gaat het momen-teel voornamelijk om de bepaling van de verzekeringstechnische risico‟s die de hoogtevan de premie voor de verzekeringen beïnvloeden en het toetsen of de verzekeraar dekomende jaren in staat is zijn verplichtingen na te komen op grond van de nu reedsbekende aanspraken.Additionele taken en verantwoordelijkheden voor de risk management functie: Ontwerpen en implementeren van interne modellen (indien van toepassing) Testen en valideren van de modellen (idem) Documenteren (versiebeheer) Analyseren en rapporteren Verbeteren en uitbreidingen op het bestaande modelHet gehele risk management systeem moet ingepast en geïntegreerd worden in deorganisatiestructuur van het bedrijf. Er dient hierbij geborgd te worden dat de in derisicostrategie vastgestelde en geaccepteerde risiconiveaus per risicocategorie (riskappetite) ook daadwerkelijk gehanteerd worden bij de besluitvorming. Er moetgekeken worden naar de werkelijke risico-blootstellingen in relatie tot de wenselijkerisico-blootstellingen. Risicobewust werken dient onderdeel te worden van de organi-satiecultuur.Het bedrijf moet de uitkomsten van risicobepalingen ook daadwerkelijk gebruiken bijde inrichting van de besturing van de organisatie, dus bijvoorbeeld bij de pricing vannieuwe producten. Onder Solvency II moet bij de besluitvorming risicobeoordelingmeegewogen worden en onderdeel uitmaken van de controlecyclus.De risk management functie dient aantoonbaar objectief en onafhankelijk te werken.Voor kleinere verzekeraars, die mogelijk niet in staat zijn om deze gehele risk ma-nagement functie te implementeren en onderhouden, bestaat de mogelijkheid van hetoutsourcen van de functie. Hiervoor gelden onder het nieuwe Solvency II regime zeerstrakke eisen zoals het recht van de Toezichthouder om on-site inspecties te houden.Sogeti Nederland B.V. 2.0 18september 2010
  23. 23. De ICT-implementatie van Solvency IIDe impact van Solvency IIOnderdeel van de risk management-functie van elke verzekeraar dient de Own Riskand Solvency Assessment (ORSA) te zijn. De ORSA is bedoeld om vast te stellen inhoeverre er aan de Solvency II-vereisten wordt voldaan.De bevindingen uit de ORSA worden gerapporteerd aan de Toezichthouder (solo engroep) en maakt deel uit van het Supervisory Review Process (SRP). Voor eventuelegeconstateerde tekortkomingen dient een verbeterplan opgesteld te worden datoverlegd moet worden aan de Toezichthouder. De voortgang van de uitvoering vanhet verbeterplan moeten gerapporteerd worden aan de Toezichthouder.De aard van de ORSA is tweeledig: A. Het is een zelfbeoordeling van de organisatie en is als zodanig ingebed in het strategisch besluitvormingsproces B. Het is een hulpmiddel in het toezichtproces waarbij de Toezichthouder geïnfor- meerd moet worden over de uitkomsten.Voor het uitvoeren van de ORSA is het niet noodzakelijk om een (al dan niet partieel)intern model toe te passen. Als een organisatie over een goedgekeurd intern modelbeschikt, dienen de uitkomsten wel meegenomen te worden in de ORSA.Let op dat DNB nieuwe en strenge eisen heeft met betrekking tot de risk managementprocessen en dat de verzekeraar, als onderdeel van de ORSA, moet kunnen aantonendat hij de processen, verantwoordelijkheden (voorbeeld: 4-ogen principe) en werkingvan de systemen goed en auditeerbaar heeft ingericht.Actuariële functieDe actuariële functie heeft een belangrijke taak op het gebied van kwaliteitsbeheer-sing doordat de beslissingen genomen worden op basis van deskundig technischactuarieel advies.Aangezien er op het gebied van actuariaat in Europa nogverschillende regimes gelden zullen er gemeenschappelij-ke actuariële richtlijnen worden ontwikkeld door CEIOPS.Deze zijn een aanvulling op aanwezige nationale stan-daarden.De taken van de actuariële functie omvatten onder meer:- Het coördineren van het berekenen van technische voorzieningen.- Waarborgen dat de gebruikte methodieken en onderliggende modellen en de bij de berekening van technische voorzieningen gehanteerde aannames correct zijn.- Het beoordelen of genoeg gegevens worden gebruikt bij de berekening van technische voorzieningen en het beoordelen van de kwaliteit ervan.- Het toetsen van de beste schattingen (“best estimates”) aan de ervaring.- Het informeren van het bestuurlijk, beleidsbepalend of toezichthoudend orgaan over de betrouwbaarheid en adequaatheid van de berekening van technische voor- zieningen.- Adviseren over de algehele gedragslijn voor het aangaan van verzekeringstechni- sche verplichtingen.- Adviseren over de adequaatheid van herverzekeringsregelingen.De actuariële functie heeft ook de taak om vast te stellen of de kwaliteit van degebruikte gegevens en systemen adequaat zijn voor het uitvoeren van de berekenin-gen onder Solvency II en het opleveren van de rapportages. Het actuariaat dient ookte adviseren over de verbetering van datakwaliteit. Eventueel kan de actuaris ookexterne gegevens gebruiken.Sogeti Nederland B.V. 2.0 19september 2010
  24. 24. De ICT-implementatie van Solvency IIDe impact van Solvency IIInterne controleDe interne controlefunctie omvat alle administratieve en financiële processen enprocedures. Tot de interne controlefunctie behoort ook de compliancefunctie.De compliancefunctie is verantwoordelijk om het management en toezichthoudendorgaan te rapporteren over het al dan niet voldoen aan wet- en regelgeving enadministratieve aanwijzingen onder Solvency II. Verder dient de compliancefunctie tebeoordelen wat de impact van wijzigingen in wet- en regelgeving is op de bedrijfsvoe-ring. Ten slotte dient de compliancefunctie de compliancerisico‟s te identificeren en tebeoordelen.Een effectief intern controlesysteem dient zodaning opgezet te zijn dat het ten minstede volgende zaken waarborgt:- De effectiviteit en efficiëntie van de bedrijfsvoering in relatie tot de doelstellingen en risico‟s.- Beschikbaarheid en betrouwbaarheid van financiële en niet-financiële informatie.- Het voldoen aan wet- en regelgeving.Er dienen beschreven administratieve procedures te zijn voor de belangrijkstebedrijfsactiviteiten om een goed georganiseerde en efficiënte bedrijfsvoering tegaranderen en fouten te voorkomen.De interne controlefunctie heeft nadrukkelijk de taak om vast te stellen of de syste-men van de verzekeraar, zowel handmatige als geautomatiseerde systemen,aansluiten bij de organisatie qua strategie en gegevensbehoefte en of deze in over-eenstemming zijn met de aard en complexiteit van de bedrijfsactiviteiten.Het beleid ten aanzien van interne controle wordt door de organisatie vastgelegd endient goedgekeurd te zijn door het management en door het toezichthoudend orgaan.Het beleid dient de wijze te beschrijven waarop het senior management het internecontrolesysteem moet implementeren en onderhouden.Onderdeel van het interne controlesysteem is ook een beleid op het gebied vaninformatiebeveiliging om de integriteit en vertrouwelijkheid van gegevens te waarbor-gen.Interne auditVerzekeraars dienen te beschikken over een effectieve interne auditfunctie die toezichtmoet houden op de efficiëntie en effectiviteit van de interne controlefunctie en deoverige onderdelen van het governance-systeem. De interne auditfunctie dientobjectief en onafhankelijk van het operationele management te kunnen functioneren.De interne auditfunctie rapporteert aan het bestuur van de organisatie en het toe-zichthoudend orgaan, die beslissen over welke acties moeten worden genomen opbasis van de rapportage van de interne auditors.De interne auditfunctie dient toegang te hebben tot alle documentatie, bestanden eninformatie binnen de organisatie, inclusief notulen van besluitvormende vergaderin-gen. Alle onderdelen van de organisatie dienen te rapporteren aan de interneauditfunctie, indien er afwijkingen van geldende richtlijnen wordt geconstateert. Deinterne auditfunctie moet hierover richtlijnen opstellen en communiceren binnen deorganisatie.De interne auditfunctie dient te werken op basis van een intern auditplan, dat geba-seerd is op een gedegen risicoanalyse. Het plan omvat meerdere jaren.Sogeti Nederland B.V. 2.0 20september 2010
  25. 25. De ICT-implementatie van Solvency IIDe impact van Solvency IIDe interne auditfunctie rapporteert bevindingen over geconstateerde afwijkingendirect aan het betrokken management en het toezichthoudend orgaan. Er wordtminimaal één maal per jaar een formeel auditrapport opgesteld voor het bestuur vande organisatie en het toezichthoudend orgaan.De interne auditfunctie dient de eigen activiteiten zodanig te documenteren dat dezecontroleerbaar en verifieerbaar is.2.1.6 Impact op Finance & Control.De rapportages in het kader van Solvency II betekenen een uitbreiding van de F&Cwerkzaamheden voor wat betreft: Additionele kwantitatieve kwartaalrapportages richting DNB m.b.t. MCR berekenin- gen op groepsniveau en werkmaatschappijniveau Idem: jaarrapportages met betrekking tot het voldoen aan de kapitaaleisen en algehele financiële gezondheid (SFCR) Voor wat betreft de externe jaarverslagen: additionele disclosure rapportagesDe Solvency II rapportages maken deel uit van de financiële rapportages voor hetprudentieel toezicht van DNB (Report to Supervisor – RTS). De afdeling (Enterprise)Risk Management levert de volledige input voor deze rapportages. Bovendien zal dezeafdeling de kwalitatieve rapportages m.b.t. toelichting van de gevolgde risk uitgangs-punten, methoden, processen en procedures en dergelijke zelf uitwerken enopleveren.Een aandachtspunt voor F&C is het voldoen aan de nieuwe International FinancialAccounting en Reporting standaards, bijvoorbeeld IFRS4 versie 2. De verwachting isdat een verzekeraar die geheel Solvency II compliant is, daarmee ook de wijzigingenuit hoofde van de nieuwe IFRS regels voor een belangrijk deel heeft opgelost. Hier-naast speelt de invoering van Market Conform Embedded Value (MCEV) voor hetwaarderen van Assets en Liabilities.Als laatste noemen we de management accounting (MA) rapportages, waarvan deverwachting is dat deze risico gericht wordt, met name doordat de bedrijfsvoering nainvoering van Solvency II veel sterker dan nu het geval is. Risicostrategieën en deuitwerkingen daarvan zullen de besluitvorming waarop de MA rapportage gericht is,dus veel sterker beïnvloeden.2.1.7 UitbestedingIn het kader van overall governance worden er vanuit Solvency II ook specifieke eisengesteld aan outsourcing van kritische en belangrijke bedrijfsfuncties. Onder uitbeste-ding vallen alle functies of activiteiten die normaal gesproken door de verzekeraar zelfuitgevoerd zouden worden. Gezien het belang van gegevensverwerking door verzeke-raars valt outsourcing van ICT-functies hier zeker onder. De verzekeraar zal dusspeciale aandacht moeten geven aan de contracten die zij heeft gesloten met serviceproviders. De contracten met de providers zullen aan de eisen moeten voldoen. Dezebehelzen onder meer:  De verzekeraar blijft volledig verantwoordelijk voor de operatie.  De financiële betrouwbaarheid van de partner.  De verzekeraar moet voldoende tijd hebben om bij beëindiging van het contract een alternatieve oplossing te vinden.Sogeti Nederland B.V. 2.0 21september 2010
  26. 26. De ICT-implementatie van Solvency IIDe impact van Solvency II De mogelijkheid om het contract te beëindigen als de service provider niet kan voldoen aan de eisen.  Eisen ten aanzien van beveiliging, confidentialiteit en continuïteit.  De service provider moet over een adequaat risk managementsysteem en interne controlesysteem beschikken, die moeten aansluiten op het risk management- en interne controlesysteem van de opdrachtgever.  Documentatie dient aan eisen van “good practices” te voldoen.  De service provider moet desgevraagd informatie verstrekken aan de Toezicht- houder dan wel externe auditor over de uitbestede diensten en moet zo nodig visitatie toestaanHet is dus van groot belang voor de verzekeraar om de contracten met serviceproviders tijdig te reviewen op compliance met de eisen die vanuit Solvency IIbestaan. Speciale aandacht moet uitgaan naar outsourcing buiten de E.E.R. Ook SLA‟smet interne service providers (binnen de eigen groep) vallen onder deze eisen, zij hetonder een minder strikt regime. De hierover gesloten Service Level Agreementsmoeten ook beoordeeld worden op compliance met deze eisen 3.In Bijlage 5: Aandachtspunten voor uitbesteding gaan wij uitgebreid op dit onderwerpin.2.2 Impact op ICT2.2.1 AlgemeenDe impact van Solvency II op ICT is groot en zal grote delen van het applicatieland-schap gaan raken en daarnaast de nodige impact hebben op de ICT-organisatie enprocessen daarbinnen. De belangrijkste aandacht moet uitgaan naar datamanage-ment, datakwaliteit en data delivery. Dit wordt uitgebreid behandeld in Bijlage 8:Gegevens en gegevensontsluiting. Op basis van de ervaringen vanuit Basel II-implementaties is het de verwachting dat hier tussen de 50% en 70% van de budget-ten aan zal opgaan.Ook ICT Governance is een essentieel onderwerp dat geadresseerd moet worden doorde maatschappijen, als onderdeel van de overall governance-eisen.2.2.2 Impact van Pilaar 1: kwantitatieve eisenDe keuze voor het gebruik van standaardmodellen dan wel interne modellen voor hetberekenen van de SCR en MCR is sterk bepalend voor de impact. Standaardmodellenmaken vooral gebruik van informatie die reeds in de financiële administratie aanwezigis, terwijl interne modellen daarnaast aanvullende informatie nodig hebben die nietper definitie al in digitale vorm beschikbaar is. Informatie over operationele risicobere-keningen is niet altijd beschikbaar. Een goede indicatie van de benodigde gegevensvoor interne modellen valt af te leiden uit de gegevens die voor QIS4 en RiSK4gebruikt zijn. De eerdere QIS-onderzoeken gingen meer uit van het standaardmodel.3 Zie voor de volledige eisen “CEIOPS‟ Advice for Level 2 Implementing Measures OnSolvenc II: System of Governance”, par. 3.7 Outsourcing4 Risicogebaseerd SolvabiliteitsKader, Door DNB in 2009 uitgevoerd onderzoek binnenNederland op basis van de QIS4-spreadsheetsSogeti Nederland B.V. 2.0 22september 2010
  27. 27. De ICT-implementatie van Solvency IIDe impact van Solvency IIVan augustus tot en met november 2010 zal QIS5 uitgevoerd worden door demaatschappijen. Hoewel QIS5 niet verplicht gesteld wordt door DNB, dringt zij er welsterk op aan bij de maatschappijen.De QIS-sen zijn steeds spreadsheet-acties geweest, die grotendeels uitgevoerd zijndoor Risk Management, Actuariaat en Finance. ICT is hierbij over het algemeen niet ofzijdelings betrokken geweest. Aangezien in QIS5 alle soorten kwantitatieve databetrokken worden die ook in de uiteindelijkeSCR- en MCR-berekeningen omvat, is QIS5 ookeen uitgelezen mogelijkheid om ICT hierbij tebetrekken om de requirements ten aanzien vankwaliteit, kwantiteit en beschikbaarheid vandata vast te stellen. Hierdoor is ook de nodigetijdwinst te boeken.Data en systemen die gebruikt worden voor dedoorrekening van modellen en de rapportageworden onder Solvency II als onderdeelbeschouwd van interne modellen. Hiermeemaken deze data en systemen ook onderdeeluit van het goedkeuringsproces van internemodellen. CEIOPS heeft een apart Level 2 –advies gewijd aan datakwaliteit: “TechnicalProvisions – Article 86f Standards for Data Quality”, waarin deze eisen uitgewerktworden op het gebied van documentatie, kwaliteit, kwantiteit en beheer.Een ander belangrijk probleem is dat het eigendom en beheer van toepassingen ophet gebied van risk management veelal buiten het domein van de ICT-organisatieliggen. Het managen van het risico op de bezittingen wordt uiteraard ook gedaanmaar minder als een geïntegreerde bedrijfsfunctie: vaak met off-line tooling of metExcel toepassingen (zie ook de volgende paragraaf 2.2.3 Impact van Pilaar 2: kwalita-tieve eisen). Het voeden van de applicaties met data gebeurt handmatig met allegevaren op fouten van dien.Indien een verzekeraar kiest voor het toepassen van interne modellen moet deze errekening mee houden dat daar aanvullende gegevens voor nodig zijn. Denk hierbij aangegevens over marktrisico‟s en operationele risico‟s. De verzekeraar moet na gaan ofdergelijke gegevens binnen de organisatie aanwezig zijn en hoe deze ontsloten danwel verkregen kunnen worden. Het is mogelijk dat hiervoor additionele toepassingenof aanpassingen in bestaande toepassingen noodzakelijk zijn dan wel dat er informatievan buiten de organisatie nodig is.Het groepstoezicht krijgt meer gewicht dan in de huidige situatie, waarbij het eenaanvulling is op het solo-toezicht dat per solo-verzekeraar wordt uitgevoerd. Van demoeder van een verzekeringsgroep wordt verwacht dat zij weet wat de reikwijdte isvan de groep, dat zij governance en risicobeheer procedures implementeert enoverziet, dat zij voldoet aan de (publieke) rapportage eisen en dat zij op groepsniveaude SCR berekent. Het toezicht berust bij de Toezichthouder in het land waar demoeder gevestigd is. Voor verzekeringsgroepen – in het bijzonder zij die werkmaat-schappijen in meerdere landen hebben – moet er dus ook een organisatie,infrastructuur en architectuur aanwezig zijn voor het consolideren van gegevens enhet uitvoeren van geconsolideerde risicoberekeningen.Voor het uitvoeren van de risicoberekeningen zijn – mede afhankelijk van de omvangvan de organisatie – grote hoeveelheden betrouwbare data nodig die hun eisen stellenaan de technische ICT-infrastructuur op het gebied van opslagcapaciteit, verwerkings-Sogeti Nederland B.V. 2.0 23september 2010
  28. 28. De ICT-implementatie van Solvency IIDe impact van Solvency IIcapaciteit, performance en schaalbaarheid. Er is sprake van behoorlijke piekverwer-kingen wanneer de jaarlijkse SCR-berekeningen moeten worden uitgevoerd en inmindere mate per kwartaal wanneer de MCR-berekeningen worden uitgevoerd. Hetbepalen van de capaciteit van de infrastructuur zal een afweging worden van debenodigde piekcapaciteit versus de kosten.2.2.3 Impact van Pilaar 2: kwalitatieve eisenEen tegenwoordige verzekeringsmaatschappij is niet meer denkbaar zonder gebruikvan informatietechnologie. Waar Solvency II eisen stelt ten aanzien van governance,proceskwaliteit en audit trail strekt dit zich ook onverkort uit naar de ICT-organisatie.Ook voor de implementatie van Solvency II is er een cruciale rol weggelegd voor deICT-organisatie. In de huidige situatie hanteren risk management afdelingen voor riskmanagementtoepassingen veelal stand alone, vaak informele (MS Excel) toepassin-gen. De gegevens worden handmatig verwerkt. Onder de eisen vanuit Pilaar 2 kan ditsoort werkwijzen geen stand houden aangezien hiervoor onvoldoende waarborgen tenaanzien van audit trail en informatiebeveiliging kunnen worden gegeven.De eisen ten aanzien van een integraal risk managementsysteem vereisen ook dat ertoepassingen nodig zijn om de werking ervan te monitoren en om hierover te kunnenrapporteren. Verder zijn er toepassingen nodig voor het beheren (versiebeheer!) vandocumentatie over het risk managementsysteem, de processen en procedures en degebruikte informatiesystemen.Een van de meest in het oog springende kwaliteitseisen betreft die van datakwaliteiten audit trail. In het kader van Solvency II moet een organisatie aantonen wat debasis van de berekeningen is, de herkomst van de gegevens en de bewerkingen die degegevens hebben ondergaan5.Een ander belangrijk aspect is procesbesturing. Procesmanagement is een onderdeelvan “good governance”. In de processen moeten ook goed gedefinieerde controlsopgenomen worden waarop gestuurd kan worden en waarover gerapporteerd kanworden (controleerbaarheid van processen).Zeker in een omgeving waarin sprake is van een divers applicatielandschap samenge-steld uit pakketten en maatwerk, legacy en nieuwe systemen zal de ICT-organisatievoor aanzienlijke uitdagingen gesteld worden. Het is dan ook van essentieel belangom het huidige landschap goed in kaart te hebben qua documentatie en architectuur.Onderdeel van het interne controlesysteem dient ook een informatiebeveiligingsbeleidte zijn om de integriteit, betrouwbaarheid, tijdigheid, vertrouwelijkheid en controleer-baarheid van gegevens te waarborgen. Er dient voorzien te worden intoegangsbeveiliging tot infrastructuur, hardware en systemen. Hierbij dient ookvoorzien te worden in managementtoezicht, en operationele en technische controleswaar noodzakelijk.Onder Solvency II worden ook operationele risico‟s meegenomen ter bepaling van dekapitaalsbehoefte. Tekortkomingen binnen de ICT-infrastructuur en het applicatieland-schap (onvoldoende documentatie, verouderde technologie, achterstallig onderhoudenzovoort) leiden in de huidige situatie al tot hoge onderhoudskosten en onnodig hogeprojectkosten alsmede tot instabiliteit van de systemen. Onder Solvency II dient deverzekeraar deze risico‟s mee te wegen als operationele risico‟s en leiden dergelijke5 Zie hiervoor “CEIOPS‟ Advice for Level 2 Implementing Measures On Solvenc II:Technical provisions – Article 86 f Standards for Data Quality”Sogeti Nederland B.V. 2.0 24september 2010
  29. 29. De ICT-implementatie van Solvency IIDe impact van Solvency IIsituaties niet alleen tot hogere onderhoudskosten, maar kunnen ze ook leiden totextra kapitaalsbeslag.2.2.4 Impact van Pilaar 3: openbaarmakingDe openbaarmakingsvereisten van Solvency II vragen om een adequate rapportage-infrastructuur en –architectuur. Voor een deel zal het een uitbreiding betekenen vande bestaande rapportages (m.n. financiële rapportages), voor een deel ook nieuwerapportages. In de rapportages dienen kwalitatieve en kwantitatieve gegevensgecombineerd te worden.De wijze waarop de rapportage-infrastructuur moet wordeningericht is afhankelijk van de situatie: enerzijds heeft de keuzevoor interne modellen of standaardmodellen de nodige impact,anderzijds is de samenstelling van het applicatielandschap vanbelang.In geval de verzekeraar kiest voor het gebruik van internemodellen (of deze opgelegd krijgt door de Toezichthouder) moethij de bestaande rapportagestructuur zodanig aan te passen dat aan de nieuwerapportagevereisten en governance-eisen voldaan wordt.De rapportage-infrastructuur dient voldoende robuust te zijn om de benodigderapportages tijdig op te leveren aan de Toezichthouder. Er moet rekening mee wordengehouden, dat dit het doorrekenen van aanzienlijke hoeveelheden gegevens met zichmeebrengt.Het is derhalve van groot belang in het kader van het implementeren van Solvency IIom op zo kort mogelijke termijn inzage te krijgen in de beschikbaarheid van data, dekwaliteit ervan en de hoeveelheid gegevens. Dit heeft ook zijn weerslag op de ICT-infrastructuur, die voldoende capaciteit moet hebben voor de verwerking en opslagvan de rapportagegegevens.Strikt genomen zijn de rapportages reguliere rapportages en zouden zij buiten hetdomein van Business Intelligence vallen. Op basis van de samenstelling van hetapplicatielandschap zal er echter in veel gevallen gekozen worden voor een datawarehouse-oplossing.In de huidige situatie bestaan er veelal meerdere data warehousetoepassingen naastelkaar en is data-integriteit en kwaliteit niet gewaarborgd. Het zal in veel gevallenaanzienlijke inspanningen kosten om de data-kwaliteit, data-integriteit en datadelivery op orde te krijgen. Zie voor uitgebreidere informatie ook Bijlage 8: Gegevensen gegevensontsluiting.Sogeti Nederland B.V. 2.0 25september 2010
  30. 30. De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatie3 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE3.1 Solvency II programma-aanpak3.1.1 AlgemeenHet Solvency II invoeringstraject voor de ICT-aspecten moeten veel verzekeraars nogontwerpen en inplannen. Meestal is men wel aan de business-kant begonnen maarloopt de betrokkenheid van ICT achter. Het feit dat de regels en richtlijnen momenteelnog niet volledig uitgekristalliseerd zijn, zorgt ervoor dat er ook onzekerheid enafwachtendheid bestaat. De aandacht gaat in eerste instantie sterk uit naar pilaar 1(kwantitatieve eisen) en pilaar 3 (openbaarmaking) en de discussie speelt zich vooralaf bij risk management en actuariaat. De tijd begint echter inmiddels behoorlijk tedringen en het is zaak om met de ICT-implementatie op korte termijn te beginnen. Pilaar 2 (governance) lijkt vooralsnog minder aandacht te krijgen. Het is te voorzien dat ook hierin majeure inspan- ningen gestoken moeten worden. Dit betreft niet alleen de governance-aspecten aan de business-kant, maar ook aan de ICT-kant. Een uitdaging hier is, dat voor de inrichting van governance de “principles” naar de eigen bedrijfssitua- tie vertaald moeten worden en dat hiervoor minder concrete handvatten zijn dan voor de meer cijfermatige en “harde” pilaren 1 en 3. Dit is niet de beste basis om een dergelijk ingrijpend programma te starten, laat staan de ICT afdeling al van de juiste marsorders te voorzien. Toch kunnen bedrijven en ook de ICT afdelingen daarbinnen zich niet permitteren om te wachten op de definitieve regelgeving die op dit moment (september 2010) niet eerder dan begin 2011 verwacht wordt.Een belangrijke uitdaging ligt ook in het karakter van Solvency II. Solvency II is, zoalseerder vermeld, “principles based” en geeft geen strak gedefinieerde regels. Deprincipes van Solvency II zal de verzekeraar moeten vertalen naar de eigen situatie.Dit zal hij moeten doen in wisselwerking met de Toezichthouder. De verfijning enverbetering van deze vertaling zal ook doorgaan na de invoeringsdatum en hier zal hetbedrijf zich ook op moeten inrichten.3.2 Stappen in de implementatieAangezien verzekeringsmaatschappijen sterk van elkaar kunnen verschillen is het nietmogelijk om een generieke programma-aanpak te geven. De te kiezen programma-aanpak wordt bepaald door een aantal factoren die de verzekeraar moet afwegen.Deze worden verderop in dit hoofdstuk behandeld.In de aanpak van de Solvency II ICT-implementatie is wel een aantal stappen aan tegeven waarvan de omvang sterk afhankelijk is van de verzekeringsmaatschappij of -groep in kwestie.Sogeti Nederland B.V. 2.0 26september 2010
  31. 31. De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieIn de volgende figuur zijn de stappen afgebeeld:In de volgende paragrafen lichten wij de stappen nader toe.3.2.1 OriëntatieTijdens de oriëntatie moet het ICT-management zich een beeld vormen van de impactvan Solvency II op de eigen organisatie. Allereerst is het van belang om vast te stellenwat de invoeringsstrategie van het bedrijf is. Hierbij moet het ICT-management ookaansluiting zoeken bij het business management, dat zij bewust moeten maken vande ICT-impact. Mogelijke knelpunten in de ICT-implementatie dienen zo vroegmogelijk duidelijk te zijn omdat deze mede-bepalend zijn voor het tempo van debusiness implementatie en de haalbaarheid. Data ten behoeve van modellen enrapportage alsmede de bijbehorende systemen worden onder Solvency II als onder-deel beschouwd van de modellen en vallen dus ook onder de goedkeuringsvereisten.Tijdens deze stap dient ook gewerkt te worden aan de bewustwording van de impactvan Solvency II op de ICT-organisatie om een gevoel voor urgentie te ontwikkelen. Ditkan Sogeti ondersteunen met Awareness Workshops voor het ICT-management en deICT-staf en vertegenwoordigers van de business, bij voorkeur risk managers, actuaris-sen en procesverantwoordelijken.3.2.2 Bepaling invoeringsstrategieVoor het bepalen van de invoeringsstrategie moet de organisatie een aantal vragenbeantwoorden:Omvang organisatieDe eerste bepalende factor is de omvang van de organisatie. De aanpak bij een kleinesolo-verzekeraar verschilt qua schaal en structuur sterk van die van een verzekerings-groep met meerdere werkmaatschappijen in verschillende landen.Sogeti Nederland B.V. 2.0 27september 2010
  32. 32. De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieStandaardmodel of intern modelOok een belangrijke factor is of de verzekeraar gaat werken met een standaardmodelof met interne modellen. Bij keuze voor het werken met interne modellen is eenaanzienlijke tijd nodig voor het ontwikkelen van deze modellen, de bijbehorendekennisopbouw en te ontwikkelen of aan te schaffen applicaties.Beleid t.a.v. openbaarmakingSolvency II stelt minimumeisen ten aanzien van de publicatie van rapportages en de inhoud hiervan (Jaarlijkse SFCR, jaarverslag), maar nodigt verzekeraars uit om meer transparantie te betrachten. Hiertoe zal de verzekeraar een beleid moeten definiëren. Centraal of decentraal Bij grotere maatschappijen/groepen speelt ook de vraag of er gekozen wordt voor een centrale aanpak of een decentrale aanpak. Gegeven het feit dat een verzekeringsgroep op centraal niveau moet rapporteren dient er in alle gevallen sprake te zijn van een centrale regie met betrekking tot de inrichtingvan (enterprise) risk management, rapportagelijnen en data- uitwisseling.Verdere overwegingen zijn onder meer: Organisatiecultuur: Kent de verzekeraar een sterk hiërarchische, centralistische cultuur of hebben de bedrijfsonderdelen een bepaalde mate van autonomie. Differentiatie: In hoeverre verschillen de bedrijfsonderdelen qua productaanbod en risicoprofiel. Applicatielandschap: In hoeverre lijken de applicatielandschappen van de verschil- lende bedrijfsonderdelen op elkaar? Is er sprake van gedeelde systemen of staan alle systemen op zichzelf? Kunnen bestaande applicaties aangepast worden aan Solvency II of is het beter om het applicatielandschap te rationaliseren en bepaal- de systemen (vervroegd) uit te faseren?Gefaseerd of big bangHoe wenselijk een big bang implementatie ook moge zijn, deze is lang niet in allegevallen haalbaar bij complexe operaties zoals de implementatie van Solvency II.Hoewel het misschien haalbaar is bij een kleinere solo-verzekeraar, zal het bij eenverzekeringsgroep niet altijd mogelijk zijn om de gewenste eindsituatie te behalen per31 december 2012 en zal er wellicht volstaan moeten worden met een minimalevariant. Solvency II biedt de mogelijkheid om na de invoeringsdatum verbeteringen enverfijningen aan te brengen.Een andere factor is de verandercapaciteit van de organisatie, die bepaald wordt doorde beschikbare capaciteit (zowel kwalitatief als kwantitatief), beschikbare budgetten,maar ook de status van het applicatielandschap.Combineren met andere compliancy-trajectenMogelijk zijn er binnen de organisatie al compliancy-trajecten gaande die gecombi-neerd kunnen worden met de implementatie van Solvency II, omdat deze eenvergelijkbaar verandergebied hebben of inhoudelijk een grote overlap. Gedacht kanhier worden aan de implementatie van Market Consistent Embedded Value (MCEV)principes voor waardering van assets en liabilities en de verdere uitrol van IFRS fase4.DoorlooptijdSogeti Nederland B.V. 2.0 28september 2010
  33. 33. De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieDe doorlooptijd voor Solvency II wordt sterk bepaald door extern bepaalde deadlines.Het is derhalve noodzakelijk om vanuit deze deadlines terug te rekenen om vast testellen hoeveel tijd er beschikbaar is voor zowel de business-aspecten als de ICT-aanpassingen en –ontwikkelingen.StrategievormingOp basis van deze overwegingen ontwikkelt het bedrijf een visie op de gewenstesituatie en de marsroute daar naartoe om richting te geven aan het implementatiepro-ces. Dit zal niet op zichzelf kunnen staan.Onderdeel van de beschrijving van de strategie hoort naar onze mening een architec-tuurvisie te zijn (met name de business-architectuur). Dit is een belangrijk middel omde beoogde structuur te communiceren.3.2.3 Analyse en planningAls de strategie bepaald is, moet het programmamanagement een gedegen planningopstellen voor de implementatie. Hiertoe is het sterk aan te bevelen om een GAP-analyse (IST => SOLL) uitgevoerd worden, waarbij de “witte vlekken” en knelpuntenin de processen, systemen en ICT-infrastructuur in kaart gebracht moeten worden.Een probleem hierbij is, dat deregelgeving nog niet vollediguitgekristalliseerd is. Dit betekentdat de functionele detailspecifica-ties nog niet bekend zijn. Deprincipes van Solvency II zijnechter wel bekend en met nameop het gebied van (ICT-)governance, datamanagement,datakwaliteit en data delivery kanal veel gebeuren. Dit wordtbehandeld in de volgende para-graaf 3.2.4 Implementatie.Niet iedere verzekeraar zal instaat zijn om tijdig het gewensteeindambitieniveau te bereiken. Erkan gedacht worden om te werken met een plateauplanning, waarbij een aantalopeenvolgende ambitieniveaus worden gedefinieerd. Hierbij dienen steeds de proces-sen, organisatie (governance, verantwoordelijkheden, cultuur), mensen (kwalitatief enkwantitatief) en systemen bij elkaar aan te sluiten:Het eerste plateau zou dan kunnen zijn dat er per 31 december 2012 voldaan wordtaan de minimumeisen (bijvoorbeeld een partieel intern model) en dat er daarnastapsgewijs gewerkt wordt aan optimalisatie in haalbare stappen.Rekening houdend met de dynamiek van het invoeringstraject van de Solvency II-regelgeving bevelen wij aan om voor de implementatie te werken met scenario‟s diebijgesteld worden aan de hand van actuele ontwikkelingen.Voor de analyse- en planningsfase is het sterk aan te bevelen om dit gelijk op te latenlopen met de beantwoording van QIS5 en het uitvoeren van de eerste self assess-ment.Sogeti Nederland B.V. 2.0 29september 2010
  34. 34. De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieDoor bij het beantwoorden van de QIS5 samen te werken tussen business en IT kaner ook meteen goed inzicht verkregen worden in de beschikbaarheid, herkomst enkwaliteit van de data, aangezien de gegevens die voor QIS5 gebruikt worden voor hetovergrote deel overeenstemmen met de gegevens die onder Solvency II gerappor-teerd moeten gaan worden.Bij de eerste ORSA moet de organisatie in kaart brengen hoe zij er voor staat tenaanzien van de Solvency II-eisen. Hierbij moeten ook de IT-systemen betrokkenworden.Door nauwe samenwerking tussen business en IT bij QIS5 en Self Assessment kanaanzienlijke snelheidswinst gehaald worden. Dit is ook noodzakelijk, want de verzeke-raars moeten in de loop van 2011 een concreet implementatieplan voor Solvency IIopleveren, dat alle activiteiten bevat die ondernomen moeten worden opgenomenmoeten worden, een kritisch pad-anyse, benodigde capaciteit en risico‟s.3.2.4 ImplementatieVoorwaardenscheppendHoewel de “harde specificaties” van Solvency II nog niet volledig bekend zijn is hetnaar onze mening goed mogelijk om op een aantal gebieden al met zaken te beginnendie voorwaardenscheppend zijn en waarvoor de detailspecificaties niet noodzakelijkzijn. Dit behandelen we verderop in deze paragraaf.Er kunnen in een vroegtijdig stadium al harde requirements worden opgesteld voorzaken waarvan op voorhand duidelijk is dat deze op orde gebracht moeten worden,met name op het gebied van IT Governance en datakwaliteit. Wacht dus niet metrequirements opstellen waar het bedrijf al aan kan beginnen op basis van de globalerichtlijn en daaruit af te leiden aannames! DNB verwijst in het Implementatiedocu-ment ook naar de reeds beschikbare Level 2-adviezen van CEIOPS en de beschikbareLevel 3 Consultation Papers als richtinggevend. Voor het ICT-domein zijn met name deCEIOPS Level 2-adviezen over het “System of Governance” en “Data Quality” vanbelang.Sogeti Nederland B.V. 2.0 30september 2010
  35. 35. De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieEr is zeer veel dat men als bedrijf als voorbereiding op Solvency II kan doen. In eenaantal gevallen betreft dit zaken die een bredere strekking hebben dan Solvency II,maar waarvoor Solvency II wel een extra motivatie vormt om ter hand te nemen. Eenselectie: QIS5 uitvoeren om te monitoren en te beoordelen in hoeverre men qua beschik- baarheid van de gegevens gereed is voor het leveren van rapportages en het gebruik van interne modellen Impact analyses op zowel business als ICT op basis van op het moment bekende regelgeving als onderdeel van de Self Assessment De kwaliteit van de benodigde brondata meten en op basis van bevindingen verbeteren, inrichten meta datamanagement, master datamanagement Risk management en andere geraakte processen voor de toekomstige situatie modelleren Automatiseren en beveiligen datastromen waarin nog handmatige stappen voorkomen om operationele risico‟s te verlagen Opstellen van gebruikers requirements voor risk engines en enterprise risk management systemen aan de hand van de strategische keuzes en nu bekende voorschriften – men kan daarna volstaan met het monitoren van gewijzigde inzich- ten en regelgeving Shortlist opstellen en Proof of Concept uitvoeren voor nieuwe risk enginesAan de ICT-zijde kan men alternatieven voor de technische implementatie uitwerkenen modelleren. Een mogelijke benadering op hoofdlijnen: Start met het ondersteunen van de uitvoering van de berekeningen met behulp van de standaard methode. Deze moet een verzekeraar immers in ieder geval beheersen, ook wanneer het hanteren van interne modellen in de streefsituatie beoogd wordt Start met voorbereiden en implementeren van interne modellen wanneer daar naast de implementatie van het standaardmodel, ruimte in de planning en be- schikbare resourcing voor is. Het is niet noodzakelijk om per 31 december 2012 de interne modellen volledig gereed en geïmplementeerd te hebben. Na 31 december 2012 zal een periode van permanente verbetering intreden in samenspraak met DNB Start aan ICT-zijde zo snel mogelijk met de voorbereiding en uitvoering van de structurele oplossingRealisatie Solvency II-toepassingenZodra de specificaties bekend zijn kan de organisatie starten met het realiseren vanSolvency II-toepassingen en aanpassingen aan bestaande systemen. Ook met deeventuele selectie en implementatie van (enterprise) risk managementpakketten kandan gestart worden.Enterprise Risk Management omvat meer dan alleen de berekening van SCR en MCR.Gartner geeft aan dat er voor de implementatie van Solvency II de volgende soortenapplicaties nodig zijn: Actuariële modelleringstools voor het modelleren van Asset en Liability risico‟s, om (partieel) interne modellen te ontwikkelen en om SCR en MCR te berekenen. Data integratie-tools voor het extraheren, transformeren en laden (ETL-tooling) van data vanuit bronsystemen naar een data warehouse. Business Intelligence (BI) en rapportagetools voor on line analyse en rapportage (On Line Analytical Processing – OLAP), dashboards voor hoger management en om gebruikers in staat te stellen om rapporten samen te stellen. Risk management en rapportagetoepassingen om verschillende vormen van risico, zoals operationeel risico, verzekeringstechnisch risico en marktrisico, te monitoren en analyseren.Sogeti Nederland B.V. 2.0 31september 2010
  36. 36. De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatie Governance-, risk- en compliancetoepassingingen (GRC) om bedrijfsbreed een consistent risk management framework te implementeren, controlepunten te defi- niëren en te monitoren en om de interne controlefunctie te ondersteunen. Asset/liability- of investment management-applicaties om kapitaal- en investe- ringsrisco‟s te monitoren en te analyseren en om investeringsportefeuilles te beheren. Andere applicaties voor het ondersteunen van algemene taken zoals het documen- teren van processen, data security of workflow management.Niet expliciet genoemd door Gartner, maar naar onze mening ook van belang om in ditkader te noemen zijn: Data warehouses Applicaties voor meta datamanagement Tools voor data cleansing Ondersteuning van versiebeheer van documentatie van processen en applicaties en van applicaties zelf ProcesmodelleringstoolsEr zijn in de markt geen leveranciers die het volledige palet van toepassingen leveren.Dit betekent, dat de ICT-organisatie vanuit haar verantwoordelijkheid van systeemin-tegrator een belangrijke rol moet krijgen in de selectie, integratie en implementatievan (enterprise) risk management toepassingen en de inbedding binnen de reguliereICT-architectuur, zodat de ICT-organisatie de kwaliteit van de data ook kan garande-ren.TestenEen belangrijke uitdaging, met name bij complexere organisaties, is het testen van derisicoberekeningen (SCR/MCR) en de rapportages. Dit betekent, dat de verzekeraar degehele keten van bronapplicatie tot en met uiteindelijke rapportages, inclusiefconsolidatie op groepsniveau, moet testen. Hiervoor moet de organisatie tijdig startenmet het bepalen en opzetten van de teststrategie, de testaanpak en testinfrastructuur.Idealiter loopt dit vanaf de strategiebepaling mee.3.3 Het belang van structurele oplossingen Ervaringen uit eerdere compliance programma‟s, die in eerste instantie als „moetjes‟ op de betrokken bedrij- ven af komen, wijzen uit dat op ICT-gebied vooral gerichte en „eendimensionale‟ oplossingen gerealiseerd worden, specifiek gericht op het kunnen voldoen aan de opgelegde eisen. Dit is om een aantal redenen, waarop we hierna terug komen, een gemiste kans. Toch is het begrijpelijk dat bedrijven moeite hebben om te kunnen inzetten op structurele oplossingen: Vaak neemt het creëren van structurele oplossingen meer tijd in beslag. De planning werd vaak te krap omdat men zich verkeek op de impact van het eerdere programma en dus de benodigde capaciteit voor de wijzigingen en omdat gedu- rende de rit van de implementatie de wetgever met nieuwe en andere eisen kwam. Gestuwd door de druk van de deadlines koos men vaak toch weer voor een „snelle‟ oplossing.Sogeti Nederland B.V. 2.0 32september 2010
  37. 37. De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatie Structurele oplossingen zijn als initiële investering meestal duurder dan een snelle, niet structurele oplossing. Het budget van het onderhanden compliance program- ma is meestal beperkt tot het realiseren van de voor het programma benodigde wijzigingen. Het programma heeft daarmee geen funding voor structurele wijzigin- gen. In een tijd dat ICT budgetten krimpen heeft het ICT bedrijf hier ook geen of onvoldoende budget voor. Echter, de verkleining van operationele risico‟s door rationalisatie van het ICT-landschap levert onder Solvency II een extra business case op voor een structurele oplossing (zie hieronder “Kosten operationeel risico”). Veel eindgebruikers, denk hierbij vooral aan actuarissen en risk managers, werken vaak met stand alone tools zoals Exel-toepassingen op PC-pakketten. Data wordt handmatig ingevoerd of door middel van losse bestandjes. Onder Solvency II is dit niet langer aanvaardbaar. Dit vereist structurele inbedding in de reguliere ICT- infrastructuur waarbij de kwaliteit van de gegevens en de verwerking hiervan ge- garandeerd kan worden. Van belang is wel dat dit zo min mogelijk de flexibiliteit mag beïnvloeden. De berekening van risico‟s en het berekenen van SCR en MCR is een complexe aangelegenheid waarbij data uit een groot aantal bronnen bijeen gebracht moet worden (zie 1.5.1 Pilaar 1: Kwantitatieve eisen). Dit vereist een structurele oplos- sing, waarbij de kwaliteit van de data gegarandeerd is.Toch zijn er goede redenen waarom een verzekeraar, zeker met als aanleidingSolvency II, zou horen te werken aan structurele oplossingen. Deze behandelen wehierna.Solvency II wet- en regelgevingDNB eist van bedrijven om Solvency II compliant te zijn, dat zij aantoonbaar aanstringente eisen voldoen op het gebied van kwaliteit van data, geldigheid van gebruik-te modellen en methodieken, stabiliteit van processen en ingeregeldeverantwoordelijkheden. Aan deze eisen kan een verzekeraar alleen tegemoet komenwanneer zij haar zaken structureel en aantoonbaar op orde heeft.Kosten operationeel risicoEen belangrijk onderdeel van de berekening van de SCR wordt gevormd door operati-oneel risico. Hieronder vallen zaken als fraude, reputatierisico, maar ook verstoringvan bedrijfsprocessen door invloeden van buitenaf en binnenuit. Tot die laatstecategorie behoren de risico‟s die voortvloeien uit een verouderd en versnipperdapplicatielandschap.Hiermee wordt ook duidelijk dat rationalisatie van het applicatielandschap bij eenverzekeraar die hiervoor een intern model hanteert tot besparingen leidt, aangeziende risico‟s voor verstoring van de processen hierdoor verkleind worden. Dit geld ookvoor het inrichten van gedegen back up en (disaster) recovery alsmede uitwijkplan-nen.HerbruikbaarheidWanneer men niet de kans aangrijpt om processen, systemen en functies structureelstabiel in te richten, zal men bij een volgend (compliance) programma of zelfs bijregulier onderhoud tegen dezelfde tekortkomingen oplopen. Hiervoor moet men dantelkens opnieuw een oplossing uitwerken. Een structurele inrichting zorgt ervoor, nade extra investering vergeleken met een eendimensionale quick & dirty oplossing, dateen herbruikbaar platform het inrichten van nieuwe programma‟s en regulier onder-houd versnelt en voorspelbaar en goedkoper maakt.Sogeti Nederland B.V. 2.0 33september 2010

×