Whitepaper 'de ICT invoering van solvency ii'
Upcoming SlideShare
Loading in...5
×
 

Whitepaper 'de ICT invoering van solvency ii'

on

  • 1,466 views

Voor verzekeringsmaatschappijen binnen de Europese Economische Ruimte wordt op 1 januari 2013 de Solvency II-regelgeving van kracht. Solvency II heeft grote impact op de wijze waarop risicokapitaal ...

Voor verzekeringsmaatschappijen binnen de Europese Economische Ruimte wordt op 1 januari 2013 de Solvency II-regelgeving van kracht. Solvency II heeft grote impact op de wijze waarop risicokapitaal wordt berekend, op governance, op risk management en op de rapportageprocessen.

De invoering van Solvency II stelt ook de nodige eisen aan de ICT-ondersteuning, zoals de invoering van risk tooling, IT governance en datakwaliteit.
Sogeti heeft de impact van de invoering van Solvency II op het ICT domein in kaart gebracht in het whitepaper ‘De ICT-invoering van Solvency II’. Het whitepaper geeft een overzicht van de regelgeving, de impact op het ICT-landschap en de visie van Sogeti op de aanpak voor een succesvolle ICT-invoering. Hierbij wordt ook behandeld hoe bewezen Sogeti-methoden, technieken en aanpakken kunnen worden ingezet om de invoering van Solvency II te versnellen.

Statistics

Views

Total Views
1,466
Views on SlideShare
1,466
Embed Views
0

Actions

Likes
0
Downloads
28
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Whitepaper 'de ICT invoering van solvency ii' Whitepaper 'de ICT invoering van solvency ii' Document Transcript

  • DE ICT-IMPLEMENTATIE VAN SOLVENCY II Geactualiseerde en aangevulde versie september 2010 Copyright Sogeti Nederland B.V. ©
  • De ICT-implementatie van Solvency IIVERSIE-INFORMATIEVersie Datum Bijzonderheden Auteur1.0 22-2-2010 Eerste versie Sogeti Nederland B.V.1.1 2-3-2010 Diverse tekstuele aanvullingen Sogeti Nederland B.V.2.0 1-9-2010 Geactualiseerd en aangevuld Sogeti Nederland B.V.Sogeti Nederland B.V. 2.0 IIseptember 2010
  • De ICT-implementatie van Solvency IIINHOUDSOPGAVEVOORWOORD ................................................................................ 1INLEIDING ................................................................................ 3LEESWIJZER ................................................................................ 41 SOLVENCY II IN HET KORT ................................................. 5 1.1 Achtergrond .....................................................................................5 1.2 De kenmerken van Solvency II ...............................................................6 1.3 Reikwijdte .......................................................................................7 1.4 Principle based .................................................................................7 1.5 Opzet – de drie pilaren ........................................................................8 1.6 Groepstoezicht ............................................................................... 12 1.7 Toezichthouder ............................................................................... 132 DE IMPACT VAN SOLVENCY II ............................................. 14 2.1 Impact op de business ....................................................................... 14 2.2 Impact op ICT ................................................................................. 223 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE ..................... 26 3.1 Solvency II programma-aanpak ............................................................ 26 3.2 Stappen in de implementatie .............................................................. 26 3.3 Het belang van structurele oplossingen .................................................. 32 3.4 Programmabesturing ........................................................................ 364 SOGETI EN DE IMPLEMENTATIE VAN SOLVENCY II ...................... 38 4.1 Vooraf .......................................................................................... 38 4.2 Sogeti en de voorbereiding van de ICT-implementatie................................ 38 4.3 Solvency II implementatie .................................................................. 40Sogeti Nederland B.V. 2.0 IIIseptember 2010
  • De ICT-implementatie van Solvency IIOVERZICHT BIJLAGENBIJLAGE 1: SOLVENCY II INVOERINGSKALENDER ..................................... 44BIJLAGE 2: SOLVENCY II EN BASEL II .................................................. 46BIJLAGE 3: STANDAARDMODEL OF INTERN MODEL .................................. 49BIJLAGE 4: RISICO’S BIJ DE IMPLEMENTATIE VAN SOLVENCY II .................... 51BIJLAGE 5: AANDACHTSPUNTEN VOOR UITBESTEDING ............................. 53BIJLAGE 6: ARCHITECTUUR EN ICT GOVERNANCE ................................... 58BIJLAGE 7: BUSINESS PROCES MANAGEMENT (BPM) ................................. 61BIJLAGE 8: GEGEVENS EN GEGEVENSONTSLUITING ................................. 63BIJLAGE 9: TESTEN EN KWALITEITSZORG ............................................. 69BIJLAGE 10: MEERWAARDE SOGETI DIENSTVERLENING VOOR DE IMPLEMENTATIE VAN SOLVENCY II ........................................................... 71BIJLAGE 11: PARTNERSHIPS .............................................................. 74BIJLAGE 12: BRONNEN .................................................................... 75Sogeti Nederland B.V. 2.0 IVseptember 2010
  • De ICT-implementatie van Solvency IIVoorwoordVOORWOORDVoor u ligt de tweede versie van ons Whitepaper “De ICT-implementatie van SolvencyII”. De eerste versie dateert van maart 2010 en wij hebben hierop veel positievereacties mogen ontvangen. Inmiddels is er meer duidelijk geworden over Solvency II,zoals door het verschijnen van het Implementatiedocument van De NederlandscheBank en het definitief worden van diverse adviezen van CEIOPS (Committee ofEuropean Insurance and Occupational Pensions Supervisors – het platform vanEuropese toezichthouders). Verder hebben wij van relaties en verzekeringsmaat-schappijen suggesties mogen ontvangen tot verbetering en uitbreiding van hetoorspronkelijke document. Ten slotte hebben wij op een aantal punten formuleringenaangescherpt en waar nodig toevoegingen gepleegd op basis van nieuwe ervaringenmet Solvency II.Al met al voldoende aanleiding om met een geactualiseerde en uitgebreide versie tekomen.Sogeti Nederland B.V. 2.0 1september 2010
  • De ICT-implementatie van Solvency IIVoorwoordSogeti Nederland B.V. 2.0 2september 2010
  • De ICT-implementatie van Solvency IIInleidingINLEIDINGOp 31 december 20121 moeten alle verzekeringsmaatschappijen die opereren binnende Europese Economische Ruimte (Europese Unie plus Noorwegen, IJsland en Liech-tenstein) voldoen aan de Solvency II-richtlijn. Deze richtlijn beoogt door nadruk opgoed risicobeheer, de belangen van de polishouders en de aandeelhouders beter tebeschermen. De regelgeving heeft gevolgen voor de bedrijfsvoering van verzeke-ringsmaatschappijen, met name op het gebied van risicomanagement, bestuur en deverantwoording aan de Toezichthouder en het publiek.De principes die ten grondslag liggen aan Solvency II dienen in eerste instantievertaald te worden naar de bedrijfsprocessen, de organisatiestructuur en de organisa-tiecultuur. Dit werkt vervolgens door in de wijze waarop de informatievoorziening isingericht en de wijze waarop de bedrijfsprocessen vanuit de informatievoorzieningworden ondersteund.Gegeven de hoge impact en de relatief korte tijdlijnen is het zaak tijdig de implemen-tatie van Solvency II ter hand te nemen.Sogeti heeft als ICT-dienstverlener een coherente visie en aanpak ontwikkeld voor deinvoering van Solvency II. Om de ICT-invoering te versnellen heeft Sogeti specifiekeSolvency II producten (zoals templates, scans, checklists en datamodellen) ontwik-keld. Deze zijn gebaseerd op onze ervaring met eerdere compliancy programma‟s,onze betrokkenheid bij verzekeringsmaatschappijen die inmiddels met de invoeringzijn gestart, diepgaande gesprekken met leveranciers van relevante diensten, metho-den en tools en onderzoek van alle momenteel beschikbare documentatie.Door middel van dit document wil Sogeti haar kennis en visie delen met haar relaties.Wij zijn ervan overtuigd de aangewezen ICT-partner te zijn voor de invoering vanSolvency II. Wij gaan hierover graag met u in gesprek.Indien u naar aanleiding van dit document vragen heeft, dan kunt u contact opnemenmet Tako de Roode via telefoonnummer +31 6 277 46 047 of via e-mailtako.de.roode@sogeti.nl.1 Dit was in eerste instantie 31 oktober 2012. DNB geeft in het Implementatiedocu-ment (“Implementatie Solvency II, 31 maart 2010, De Nederlandsche Bank) aan datzij dit niet als een wezenlijk verschil beschouwen voor de implementatie.Sogeti Nederland B.V. 2.0 3september 2010
  • De ICT-implementatie van Solvency IILeeswijzerLEESWIJZERHoofdstuk 1 bevat een beknopte beschrijving van Solvency II, waarbij wordt ingegaanop het doel en de inhoud van de richtlijn en het invoeringsschema dat daarbij vanuitEuropa en de Nederlandse Toezichthouder (De Nederlandsche Bank) wordt opgelegd.Hoofdstuk 2 bevat een vertaling van de Solvency II richtlijn naar de business en ICTconsequenties voor het verzekeringsbedrijf. De richtlijn heeft ondermeer impact op dearchitectuur (dit is het geheel van concepten, regels en modellen die richting gevenaan het inrichten van de organisatie en de informatievoorziening) en stelt eisen aan deproducten die de verzekeraar aan de Toezichthouder moet opleveren.Hoofdstuk 3 behandelt de visie van Sogeti op de wijze waarop Solvency II binnen hetICT-domein ingevoerd kan worden. Wij gaan daarbij ook in op de ICT-oplossingen diedaarbij ingezet kunnen worden. We betogen hier dat er geen “one size fits all”-aanpakis en geven daarbij belangrijke aandachtspunten en overwegingen op basis van“lessons learned” uit andere compliancy trajecten.Het laatste hoofdstuk geeft een overzicht van de diensten en producten (“versnellers”)die Sogeti aanbiedt met betrekking tot de ICT implementatie van Solvency II.Tot slot gaan wij in aparte bijlagen diepgaander in op voor Solvency II relevanteonderwerpen. Deze bijlagen zijn bedoeld voor de lezer die behoefte heeft aan verdie-ping op deelgebieden, zoals:  De Solvency II invoeringskalender  Een vergelijking van Solvency II met Basel II  De (invoerings)verschillen van standaardmodellen en interne modellen  Procesmanagement en procesimplementatie  Aandachtspunten voor uitbesteding  De benodigde datainfrastructuur  Architectuur & governance  Testen & Kwaliteitszorg  Onderkende risico‟s bij de invoering  Diensten en versnellers om de invoering te ondersteunenSogeti Nederland B.V. 2.0 4september 2010
  • De ICT-implementatie van Solvency IISolvency II in het kort1 SOLVENCY II IN HET KORT1.1 AchtergrondSolvency II kan gezien worden als onderdeel van de trend waarbij onder maatschap-pelijke en politieke druk het toezicht op financiële instellingen wordt aangescherpt. Deaandacht voor dit soort regelgeving is door de financiële crisis versterkt en de maat-schappelijke en politieke aandacht is dan ook hoog. Zo zien we in de bankensector naBasel II het Basel III-akkoord verschijnen en het is te voorzien dat Solvency II in deverzekeringsbranche ook niet de laatste ontwikkeling op dit gebied zal zijn.Solvency II dient enerzijds ter bescherming van de belangen van de aandeelhouders,consumenten/polishouders en anderzijds met het oog op het creëren van één interneEuropese markt voor verzekeringen, het “level playing field”.Onder het bestaande regime van Solvency I, dat stamt uit de jaren zeventig, is er teweinig aandacht voor risico‟s, leidt de minimaleharmonisering in regelgeving tot grote verschillentussen lidstaten en is er geen goed toezichtmogelijk op grensoverschrijdend opererendeverzekeringsmaatschappijen.Solvency II is vergelijkbaar met de Basel II regel-geving voor de bankwereld, alhoewel er verschillenzijn. Uit de implementatie van Basel II kunnen ookde nodige lessen getrokken worden. Een uitgebrei-dere beschouwing over de verschillen enovereenkomsten tussen Solvency II en Basel II alsmede de “lessons learned” treft uaan in Bijlage 2: Solvency II en Basel II.De Solvency II richtlijn behelst een grondige herziening van de voor (her)verzekeraarsrelevante Europese richtlijnen. Deze bevat nieuwe regelgeving voor kapitaalsvereisten,waarderingsgrondslagen en risicobeheer met het oog op het aanmoedigen en belonenvan een goed risicomanagement. Daarnaast legt de richtlijn meer verantwoordelijk-heid in de handen van het senior management om het bedrijf op een verantwoordewijze te besturen en brengt de richtlijn meer eenduidigheid tot stand inzake hettoezicht op de interne markt.De richtlijn is inmiddels door het Europees Parlement en de Europese Raad vanMinisters aangenomen. De Europese Commissie bereidt de uitvoeringsmaatregelenvoor en laat zich daarbij adviseren door CEIOPS. CEIOPS heeft van de EuropeseCommissie de opdracht gekregen om enerzijds adviezen uit te werken op alle puntenwaarin de kaderrichtlijn uitvoeringsmaatregelen vereist en anderzijds deze adviezen tetoetsen in de verzekeringsmarkt.Het doel van Solvency II is dus drieledig:1. Het scheppen van voorwaarden en het bevorderen van een enkelvoudige Europe- se verzekeringsmarkt door het creëren van een level playing field binnen de E.E.R. voor verzekeringsmaatschappijen door uniformering van de regelgeving, waar Solvency I verschillende invullingen kende tussen de lidstaten2. Het verbeteren van de bescherming van aandeelhouders en verzekerden door een scherper toezicht op de solvabiliteit van verzekeraars door toezichthou- ders vroegtijdig te informeren over mogelijke problemen (“early warning”).Sogeti Nederland B.V. 2.0 5september 2010
  • De ICT-implementatie van Solvency IISolvency II in het kort Hierdoor kan de toezichthouder tijdig ingrijpen als het eigen vermogen van de onderneming onder de kapitaalseisen zakt.3. Het bevorderen van het vertrouwen in de verzekeringssector door meer transpa- rantie.De invoering staat gepland voor 31 december 2012. Op het moment van schrijven isde Solvency II regelgeving echter nog in ontwikkeling. Het is de bedoeling van deNederlandse overheid om de uitwerking van de richtlijn in de nationale wet- enregelgeving in het vierde kwartaal van 2011 aan de Tweede Kamer aan te bieden tergoedkeuring. Voor de invoering verwijzen wij naar Bijlage 1: Solvency II Invoerings-kalender.Dit betekent, dat er tussen het vaststellen van de definitieve eisen en de invoeringslechts één jaar tijd ligt voor de implementatie! Hier staat tegenover, dat de hoofdlij-nen reeds bekend zijn en dat er voor die tijd al veel aan voorbereiding kan en moetgebeuren. In de tussentijd moeten verzekeraars zich baseren op de beschikbareadviezen en Level 2 en 3 consultation papers van CEIOPS.1.2 De kenmerken van Solvency IIOp de website van DNB treffen we de volgende tekst aan, die Solvency II goedkarakteriseert: “Het Solvency II project moet leiden tot een nieuw solvabiliteitsraamwerk, ge- baseerd op marktconsistente waardering, waarin de financiële eisen beter de risicos weerspiegelen die de verzekeraars lopen. Ook heeft Solvency II als doelstelling om het toezicht te laten aansluiten op marktontwikkelingen. Verze- keraars leggen zich steeds meer toe op het meten en beheersen van hun risicos. Solvency II moet deze positieve ontwikkeling stimuleren. Met Solvency II krijgt het toezicht op de risicos die een verzekeraar loopt, en de beheersing daarvan, ook een meer centrale rol.”Solvency II houdt een fundamentele wijziging in ten aanzien van de wijze waarop dekapitaalsvereisten (het eigen vermogen en de samenstelling hiervan) voor verzeke-raars bepaald moeten worden, als basis voor het kunnen opvangen van negatieveontwikkelingen en calamiteiten.Solvency II is gebaseerd op economische principes voor het meten van risico‟s opassets en liabilities (bezittingen en verplichtingen): de Total balance sheet approach.Het systeem is sterk risico-georiënteerd: de verzekeraar moet de risico‟s berekenenop basis van consistente en herhaalbare methodieken. De kapitaalsvereisten (MCR enSCR, respectievelijk Minimum Capital Requirement en Solvency Capital Requirement)zijn daar rechtstreeks op gebaseerd. Deze kapitaalsvereisten zijn modulair opgebouwden zijn de som van enkelvoudige risico‟s, die ieder op zich gemodelleerd worden.Dit zullen wij verderop in dit document behandelen.Sogeti Nederland B.V. 2.0 6september 2010
  • De ICT-implementatie van Solvency IISolvency II in het kort1.3 ReikwijdteDe regelgeving geldt voor alle verzekeringsmaatschappijen die actief zijn binnen deEuropese Economische Ruimte (EU + Noorwe-gen, IJsland en Liechtenstein) met een jaarlijkspremie-inkomen groter dan €5 mln of brutotechnische voorzieningen groter dan €25 mln.Voor verzekeringsmaatschappijen die niet onderde Solvency II-regelgeving vallen zal DeNederlandsche Bank als Toezichthouder een“Solvency II-Proportioneel” beleid ontwikkelen.Hiernaast zal een aantal kleine verzekeraars(veelal lokaal opererende onderlinge waarborg-maatschappijen) geheel buiten de Solvency II-regelgeving vallen.Pensioenfondsen en natura-verzekeraars vallen buiten de regelgeving.1.4 Principle basedEen belangrijk aspect is dat de Solvency II-richtlijn niet primair gebaseerd is opregels, maar vooral op principes. Dat wil zeggen, dat elk bedrijf de principes moetvertalen naar de eigen situatie. Dit zal door de Toezichthouder getoetst en goedge-keurd moeten worden. Na de invoering wordt dan een proces van constanteverbetering ingezet. Toepassing van de principes moet ertoe leiden dat er een“comfort level” ontstaat van 99,5%, met andere woorden dat er een 99,5% zekerheidis dat een verzekeraar aan zijn verplichtingen kan voldoen in de komende 12 maan-den.De verwachting is dat de invoering van Solvency II regelgeving de verzekeraars zalstimuleren om in interactie met de Toezichthouder steeds beter invulling te geven aande onderliggende principes.De rol van de toezichthouder wordt ook meer risicogericht en pro-actief, om vroegtij-dig in te kunnen grijpen bij dreigende problemen ten aanzien van het voldoen aan dekapitaaleisen.Sogeti Nederland B.V. 2.0 7september 2010
  • De ICT-implementatie van Solvency IISolvency II in het kort1.5 Opzet – de drie pilarenSolvency II is gebaseerd op drie pilaren:- 1: Kwantitatieve eisen- 2: Kwalitatieve eisen en toezichtactiviteiten- 3: Marktdiscipline en toezichtrapportage1.5.1 Pilaar 1: Kwantitatieve eisenDe kwantitatieve eisen hebben betrekking op de berekening van kapitaalsvereisten.Solvency II kent twee kapitaalsvereisten: de Minimum Capital Requirement (MCR) de Solvency Capital Requirement (SCR), het meer risicogevoelig vast te stellen solvabiliteitsniveauDe SCR moet alle kwantificeerbare risico‟s dekken, waarbij de kapitaaldekkingvoldoende moet zijn om met een zekerheid van 99,5% over een periode van een jaarverliezen te kunnen dekken ter grootte van de SCR. De risico‟s zijn onderverdeeldnaar categorieën marktrisico, tegenpartijrisico, verzekeringstechnisch risico (leven,schade, zorg) en operationeel risico. Deze categorieën zijn weer onderverdeeld naarindividuele risico‟s. De SCR is de som van de onderliggende risico‟s. Voor de bereke-ning van de verschillende risico‟s kan het standaardmodel gebruikt worden dan weleen intern model. Onder bepaalde condities mogen voor immateriële risico‟s vereen-voudigde berekeningen gebruikt worden. Het geheel aan berekeningen kan ook eenmengvorm zijn (partieel intern model). De Toezichthouder kan hiernaast nog eencapital add on opleggen (De capital add on verhoogt de kapitaaleis onder Pilaar 1,maar wordt toegewezen op grond van bevindingen van de toezichthouder op hetSogeti Nederland B.V. 2.0 8september 2010
  • De ICT-implementatie van Solvency IISolvency II in het kortgebied van kwalitatieve aspecten – Pilaar 2). De SCR wordt opgebouwd uit een aantalcomponenten (uit technische specificaties QIS5 EU Commissie, 5 juli 2010):De SCR bestaat uit de Basis-SCR (BSCR), de SCR voor operationele risico‟s (SCROP)eneen eventuele kapitaal add on (Adj.).De BSCR valt uiteen in SCR voor marktrisico (bezittingen zoals beleggingen, liquiditei-ten; SCRMARKET), tegenpartijrisico (default risk; SCRDEF) en immateriële risico‟s (SCRDEF)en SCR‟s voor de verschillende soorten verzekeringen (zorg SCRHEALTH, leven SCRLIFEen schade SCRNON-LIFE). Deze SCR‟s kunnen weer onderverdeeld zijn in risicogroepen.Voor elk van die risicogroepen worden berekeningen uitgevoerd voor de benodigdekapitaalvoorziening voor die risicogroep.De berekening van de MCR is eenvoudiger dan van de SCR. De MCR moet voldoendezijn om een jaar te overbruggen met een zekerheid van 85%. De MCR wordt begrensdvan 25% tot 45% van de SCR. De ondergrens van de MCR is de Absolute MinimalCapital Requirement (AMCR), dat is het minimumbedrag van het garantiefonds.De Toezichthouder heeft ruime bevoegdheden om in te grijpen in geval van het nietvoldoen aan de kapitaaleisen om de belangen van verzekerden te beschermen. Zodrahet vermogen onder de SCR zakt, maar boven de MCR blijft treedt de escalatieladderin werking, waarbij aanvullend toezicht strenger wordt naarmate het vermogen dichterbij de MCR komt en moet de verzekeraar actie ondernemen om het vermogen teversterken.Sogeti Nederland B.V. 2.0 9september 2010
  • De ICT-implementatie van Solvency IISolvency II in het kortDe Toezichthouder kan aan maatschappijen (zowel solo als groep) opleggen dat zijeen (partieel) intern model ontwikkelen en hanteren indien het risicoprofiel significantafwijkt van het standaardmodel.De SCR dient jaarlijks gerapporteerd te worden en eventueel tussentijds als ersignificante wijzigingen zijn in het risicoprofiel van de verzekeraar. De MCR dient elkkwartaal gerapporteerd te worden.In de aanloop naar de implementatie van Solvency II dienen interne modellengoedgekeurd te worden door de Toezichthouder. Hiertoe wordt een zogenaamd pre-applicatieproces uitgevoerd.In de afgelopen jaren is een aantal Qualitative Impact Studies (QIS) uitgevoerd om deeffecten van Solvency II te bepalen en om de parametrisering te bepalen. Hiertoehebben verzekeraars gegevens aangeleverd. Er zijn op dit moment 4 QIS‟s uitge-voerd. Voor de tweede helft van 2010 staat QIS5 op het programma.Hoewel deelname optioneel is, dringt DNB er sterk op aan bij de Nederlandse verzeke-raars om deel te nemen aan QIS5.1.5.2 Pilaar 2: Kwalitatieve eisen en toezichtDe kwalitatieve eisen hebben betrekking op de besturing van de verzekeringsmaat-schappij (“Good governance”), de inrichting van de processen en audit trail. Aan debestuurders en commissarissen van de maatschappij wordt onder meer als eis gestelddat zij de gebruikte modellen en de invullien hiervan moeten kennen en uit kunnenleggen aan de Toezichthouder.De motivatie achter good governance is ook dat men sommige risicos beter mitigeertmet governance maatregelen dan met kapitaal alleen. Juist de combinatie van beide(kapitaal + besturing) moet Solvency II effectief maken. Good governance is daarmeeniet alleen een opgelegd iets, maar leidt ook tot besparingen door vermindering vankapitaalsbeslag. Indien een maatschappij tekortkomingen vertoont op het gebied vangovernance kan de Toezichthouder besluiten een capital add on op te leggen.Elke maatschappij moet beschikken over een risk managementfunctie, een actuariëlefunctie, een interne controlefunctie (waarin inbegrepen compliance) en een interneauditfunctie. Indien een maatschappij één van beide of beide functies uitbesteedt,dient ook de partij waaraan wordt uitbesteed onder het toezicht te vallen.ORSAEen belangrijk onderdeel van het risk managementsysteem wordt de Own Risk andSolvency Assessment (ORSA), waarbij de maatschappij periodiek de eigen risicopositieen daarmee de benodigde kapitaalpositie beoordeelt. De bevindingen uit de ORSAworden zowel op solo-niveau als op groepsniveau gerapporteerd en wordt gebruikt inhet toezichtproces (Supervisory Review Proces – SRP). De ORSA is daarmee tweele-dig: 1. Het is een intern assessment en maakt deel uit van de strategische besluitvor- ming, waarbij de maatschappij de eigen solvabiliteit voortdurend volgt en bewaakt. 2. Het is een hulpmiddel voor de Toezichthouder, die moet worden geïnformeerd over de uitkomsten van de ORSASogeti Nederland B.V. 2.0 10september 2010
  • De ICT-implementatie van Solvency IISolvency II in het kortDe ORSA vereist niet dat de verzekeraar een (partieel) intern model hanteert voor deberekening van de SCR, maar indien dit het geval is moeten de uitkomsten van deberekeningen meegenomen worden in de ORSA. De ORSA veroorzaakt geen derdevorm van Solvency kapitaalseisen. De ORSA mag voor kleinere verzekeraars nietbovenmatig belastend zijn (proportioneel regime).De verzekeraar moet zich in de ORSA een mening vormen over het benodigde eigenvermogen (Pilaar 1) en een projectie kunnen maken over de business projectieperiode van toekomstige own funds en vereist vermogen om aan te tonen dat ook inde toekomst aan de Solvency II-eisen voldaan wordt.Self AssessmentOm aan te tonen dat de maatschappij aan de kwaliteitseisen voldoet moet zij een SelfAssessment uitvoeren. Ook hierbij dienen zaken als datakwaliteit en beschikbaarheidalsmede kwaliteit van ICT-infrastructuur en –systemen betrokken te worden. DeToezichthouder voert reviews uit op de Self Assesments en moet deze goedkeuren.Op basis van de uitkomsten van de Self Assesments moet de onderneming eenimplementatieplan opstellen voor de invoering van Solvency II. Dit plan dient eenactiviteitenplanning te omvatten met doorlooptijden en een kritisch-padanalysealsmede de benodigde mensen en middelen. Dit plan moet eind 2011 beschikbaar zijn.Use TestsIn de aanloop naar de invoering van Solvency II zullen er verder verschillende “usetests” worden uitgevoerd om de juiste werking van de gebruikte interne modellen tetoetsen.De Richtlijn noemt de volgende soorten tests voor het goedkeuren van internemodellen:- use test- statistische kwaliteitsnormen- kalibratienormen- validatienormen- documentatienormen- winst- en verlies attributie1.5.3 Pilaar 3: Marktdiscipline en toezichtrapportagesPilaar 3 heeft betrekking op de rapportages aan het publiek en aan de Toezichthouder.De rapportage aan het publiek bestaat uit de Solvency and Financial Condition Report(SFCR). Deze dient om transparantie en marktdiscipline binnen de verzekeringsmarktte bevorderen.De Toezichthouder beoordeelt ten aanzien van de SFCR de totstandkomingprocessenenerzijds en op de inhoud hiervan. Voor de inhoud wordt een minimumstandaardgehanteerd, maar een onderneming kan ervoor kiezen om meer informatie te publice-ren. Hiervoor moet een beleid worden ontwikkeld.De rapportages aan de Toezichthouder (Reports To Supervisor – RTS) bevat gedetail-leerdere informatie dan de SFCR, alsmede concurrentiegevoelige of geheimeinformatie die niet gepubliceerd wordt.Sogeti Nederland B.V. 2.0 11september 2010
  • De ICT-implementatie van Solvency IISolvency II in het kortDe rapportage aan de Toezichthouder wijkt ingrijpend af van de vereisten die thansgelden op grond van de Wet Financieel Toezicht. Er wordt weliswaar gerapporteerdover dezelfde soort onderwerpen als in de huidige verzekeringsstaten, maar hetdetailniveau verschilt. De structuur van de rapportages is voor alle ondernemingengelijk, maar kan op aangeven van de Toezichthouder verschillen qua detailniveau.Hierbij is het proportionaliteitsbeginsel van toepassing, waarbij kleinere verzekeraarsonder een lichter regime vallen.De rapportagevereisten worden geharmoniseerd over het gehele werkingsgebied vanSolvency II. Dit is met name voor internationaal werkende groepen een vereenvoudi-ging. Er kunnen wel afwijkingen zijn op nationaal niveau voor soortenverzekeringsvormen die specifiek zijn voor een bepaald land (denk in Nederland aanzorg- en inkomensverzekeringen).De rapportagekaders worden in 2011 door CEIOPS gepubliceerd (Level 3 advies).De rapportages zullen zowel kwalitatieve als kwantiatieve informatie bevatten overrisico‟s, omvang, samenstelling en kwaliteit van kapitaal, SCR, MCR en technischevoorziening alsmede waarderingsmethoden voor activa, passiva en risico‟s. Ook zal ereen verklaring moeten worden gegeven van het verschil tussen de Solvency II-balansen de jaarrekening. Verder moet er uitgebreid gerapporteerd worden over risico‟s enmitigerende maatregelen.Hiernaast dient er gerapporteerd te worden over het systeem van governance(inclusief risk management en ORSA) en de mate waarin de maatregelen voldoendezijn om de risico‟s te beheersen.Onder Solvency II wordt het toezicht meer risicogeoriënteerd en prospectief. Toezichtvindt zowel on-site als off-site plaats. Rapportages zijn belangrijk voor het plannenvan het off-site toezicht. De rapportages geven inzicht in de algehele toestand van deonderneming en zijn van belang voor het plannen van het risicogeoriënteerde on-sitetoezicht. Naast de reguliere jaar- en kwartaalrapportages kan de Toezichthouder opad-hoc basis aanvullende informatie opvragen bij één verzekeraar of een groep vanverzekeraars.De rapportageprocedures dienen beschreven en door de directie goedgekeurd te zijn.De onderneming dient over een adequaat rapportagesysteem te beschikken en moetde kwaliteit van de rapportage kunnen garanderen.1.6 GroepstoezichtHet groepstoezicht onder Solvency II is een zelfstandig onderdeel van het verzeke-ringstoezicht op de moederonderneming van een verzekeringsgroep. Hierbij wordt eengroep, tenzij er redenen zijn om dat anders te doen, behandeld als een solo-verzekeraar. Het toezicht hierop vindt plaats door de toezichthouder van het landwaarin de moeder gevestigd is.De moeder moet governance en risk management alsmede rapportageproceduresbinnen de groep als geheel overzien. De moeder is ook aanspreekpunt voor vragenover de dochters. Solo-toezicht op de dochters vindt plaats door de toezichthoudervan het vestigingsland van de betreffende dochter. De groepstoezichthouder kan ookinformatie opvragen bij de toezichthouder van de dochter.Sogeti Nederland B.V. 2.0 12september 2010
  • De ICT-implementatie van Solvency IISolvency II in het kortHet groepstoezicht heeft betrekking op dat deel van het concern dat in de E.E.R.gevestigd is. Over het al dan niet rapporteren over entiteiten die buiten de E.E.R.gevestigd zijn dienen aparte afspraken gemaakt te worden die afhankelijk zijn van hettoezichtregime in de landen waar die entiteiten gevestigd zijn. Als er meerderedochters van een groep, waarvan de moeder buiten de E.E.R. gevestigd is, binnen deE.E.R. opereren dan dient er sub-consolidatie voor die dochters binnen de E.E.R.plaats te vinden.De SCR wordt op het niveau van de moeder jaarlijks geconsolideerd berekend. Dit kanzowel met standaard modellen als met interne modellen gebeuren. Als er sprake isvan groepsspecifieke risico‟s, dan dienen deze met behulp van interne modellenberekend te worden. De Toezichthouder kan ook vragen om een intern model toe tepassen als blijkt dat het groeps-risicoprofiel significant afwijkt van het standaardmo-del. Ook als het interne model niet adequaat is kan de Toezichthouder om verbeteringvragen dan wel verzoeken om de berekening met het standaardmodel uit te voeren.In de tussentijd kan de Toezichthouder een capital add-on opleggen.Voor groepen die onderdelen hebben in derde landen gelden afwijkende regels voorconsolidatie, die afhankelijk zijn van het toezichtsregime en regelgeving van debetreffende derde landen.Ook op groepsniveau dienen de governancefuncties (risk management, internecontrole, compliance en actuariaat) ingericht te worden. Voor de implementatiehiervan dienen schriftelijke procedures aanwezig te zijn voor de hele groep en deuitrol dient ook top down gemonitord te worden. De groepsonderdelen dienen vol-doende inspraak te hebben bij de implementatie (bottom up). Verder dient de ORSAgeïmplementeerd te worden op groepsniveau. Eventueel kan de ORSA voor de gehelegroep uitgevoerd te worden, mits de verschillende onderdelen herkenbaar zijn.De rapportage-eisen gelden ook op groepsniveau, waarbij aanvullende informatiewordt gevraagd, zoals over concentratierisico‟s en intra-groepstransacties. Eventueelkan een groep één groeps-SFCR opleveren, waarbij de verschillende onderdelenherkenbaar moeten blijven.De toezichthouders op de groep zullen samenwerken bij het toezicht. Hierbij wordt pergroep een College van Toezichthouders gevormd, waarvan de groepstoezichthoudervoorzitter is. Het College is bedoeld voor het uitwisselen van informatie en voorcoördinatie en is niet besluitvormend, aangezien de groepstoezichthouder eindverant-woordelijk is voor het groepstoezicht.1.7 ToezichthouderDe Toezichthouder in het kader van Solvency II voor Nederland is De NederlandscheBank (DNB). Solvency II valt onder het zogenaamde “prudentieel toezicht”2. DNB kaneen verzekeringsmaatschappij of -groep aanwijzingen geven over de toepassing vanrekenmodellen (standaard of intern), de wijze van rapporteren en over de inrichtingvan de governance. DNB maakt onderdeel uit van The Committee of European Insurance and Occupational Pensions Supervisors, het Europese comité van Toezichthouders op verzekeraars en pensioenfondsen (CEIOPS).2 Naast “prudentieel toezicht” kennen we ook het “gedragstoezicht” dat bij de Autori-teit Financiële Markten (AFM) berust. De AFM heeft geen rol bij Solvency II.Sogeti Nederland B.V. 2.0 13september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency II2 DE IMPACT VAN SOLVENCY II2.1 Impact op de business2.1.1 AlgemeenSolvency II heeft grote invloed op de bedrijfsvoering van verzekeraars, zowel op deprocessen, organisatie, administratie, besturing, cultuur en commerciële strategie alsop de productontwikkeling.Een verzekeraar die standaardmodellen toepast zal een veel minder sterke impact vanSolvency II ervaren dan een verzekeraar die met (partieel) interne modellen werkt.Een uitgebreide beschouwing over de keuze tussen standaardmodellen en internemodellen treft u aan in Bijlage 3: Standaardmodel of intern model. De implementatievan de governance-maatregelen (Pilaar 2) zal niet wezenlijk verschillen.Solvency II betekent een aantal veranderingen ten opzichte van Solvency I, dieweergegeven worden in de volgende tabel.Verschillen tussen Solvency II en Solvency I: Solvency I Solvency II Richtlijn (huidig raamwerk)Waardering IFRS of BW2.9. Marktconsistent.bezittingenWaardering Prudent vastgesteld, geen disconte- Theoretische marktwaardevoorziening ring voor schadeverplichtingen, berekend op basis van overdrachts-verzekerings- geen expliciete risicomarge. waarde. Splitsing in een bestverplichtingen estimate en een expliciete risico- marge. Discontering voor zowel leven als schade.Waardering IFRS of BW2.9. Marktconsistent.overige verplich-tingenPrudentieel Twee kwaliteitsniveaus (tiers). Drie kwaliteitsniveaus (tiers). Tier 1eigen vermogen Tweede tier maximaal 50% van het minimaal 1/3 van het vereiste vereiste of aanwezige vermogen vermogen, tier 3 maximaal 1/3 van (laagste van de twee). Onderscheid het vereiste vermogen. Onderscheid tussen vermogen dat op de balans tussen vermogen dat op de balans aanwezig is en off-balance aanwezig is en off-balance vermo- vermogen (onderdeel van tier 2). gen.SCR Solvabiliteitsmarge. Gekwantificeerd Dekt kwantificeerbare risico‟s voor op basis van alleen verzekering- verzekeringsrisico, marktrisico, technische grootheden. Heeft geen tegenpartijkredietrisico en operatio- specifiek zekerheidniveau. neel risico. De SCR kapitaaleis is zo vastgesteld dat deze met 99,5% zekerheid voldoende is om een volledig jaar mee te overbruggen. Het is mogelijk om de SCR met een intern model te berekenen.MCR Garantiefonds. Is gelijk aan De MCR kapitaaleis is zo vastgesteld eenderde van de solvabiliteitsmar- dat deze met 85% zekerheid ge. voldoende is om een volledig jaar mee te overbruggen.(Bron: Implementatiedocument DNB, 31 maart 2010)Sogeti Nederland B.V. 2.0 14september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIOngeacht de keuze van het te hanteren model geldt dat de implementatie en toepas-sing van Solvency II tot grote consequenties in een groot aantal bedrijfsfuncties leidt.In de komende paragrafen lichten we dit nader toe.2.1.2 Impact van Pilaar 1: kwantitatieve eisenDe eisen voortvloeiend uit Pilaar 1 van Solvency II zijn ingrijpend voor de vermogens-structuur van de verzekeraar. Verzekeraars dienen hun bezittingen (assets) enverplichtingen (liabilities) op een marktconforme wijze te gaan waarderen, in tegen-stelling tot de huidige situatie waarbij de assets op basisvan historische kostprijs worden gewaardeerd. Op ditmoment – in de pre-Solvency II periode – wordt voor desolvabiliteitseisen („Solvency I‟) geen rekening gehoudenmet de risico‟s op de bezittingen. Voor Solvency II gaatdat wijzigen. Daardoor wordt het inrichten van eeneffectief Risk Management systeem essentieel. Het dientin te houden: Risk strategieën, processen en (rapporta-ge)procedures om de impact van de risico‟s op het bedrijfvoortdurend te kunnen monitoren en beheersen.De risico‟s moeten zowel individueel (op niveau van homogene risicogroepen) alsgeaggregeerd en in relatie tot elkaar gemanaged worden in verband met onderlingeafhankelijkheden. Voor bedrijven met meerdere werkmaatschappijen (juridischeentiteiten) dient dit ook nog op zowel werkmaatschappij- als op groepsniveau tegebeuren.Zoals eerder aangegeven moet een maatschappij een keuze maken of ze gebruik wilgaan maken van interne modellen, van standaardmodellen of van een combinatiehiervan (partiële interne modellen). In ieder geval zal de verzekeraar de standaard-modellen moeten kunnen hanteren. De Toezichthouder kan het (op termijn) hanterenvan interne modellen opleggen aan de maatschappij.Een belangrijke strategische keuze die een maatschappij moet maken is de “riskappetite”. De “Risk appetite” is de mate waarin een organisatie bereid is om risico tenemen om een aanvaardbaar of beoogd rendement te maken en om de strategischedoelstellingen te halen.De risk appetite kan verschillen per risicocategorie. Per risicocategorie dient vastge-steld te worden in welke mate risico gelopen mag worden. Hierbij geldt, dat naarmatede risk appetite hoger is de bijbehorende kapitaalvoorziening ook omhoog gaat.De risk appetite dient gedocumenteerd te worden en vormt de basis voor het riskmanagement binnen de organisatie (zie onder pilaar 2 in de volgende paragraaf).Het ontwikkelen van een intern model kan ervoor zorgen dat het kapitaalsbeslag endaarmee de kapitaalskosten optimaal zijn. Dit betekent niet noodzakelijkerwijs dat hetkapitaalsbeslag lager is: het overall risico en het risicodragend kapitaal worden in dejuiste balans gebracht. Een intern model biedt de verzekeraar het voordeel om meerdifferentiatie in de portefeuille ten behoeve van de risicovaststelling aan te brengen,bijvoorbeeld een schadeverzekering voor oldtimers t.o.v. een standaard autoverzeke-ring: door de risicos te differentiëren kan de verzekeraar er voor kiezen om de old-timer verzekering een veel lager risico toe te rekenen. Hierdoor is hij in staat zijnrisicoprofiel te optimaliseren op basis van differentiatie. Optimalisatie is dus niethetzelfde als een zo laag mogelijk risicobeslag, maar een juiste balans tussen risico‟sen kapitaalsvoorzieningen voor de verzekeraar.Sogeti Nederland B.V. 2.0 15september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIHet ontwikkelen en toetsen van een dergelijk model kan echter aanzienlijke inspan-ningen kosten. Naast het ontwikkelen van het model dient ook het pre-applicatieproces doorlopen te worden waarbij de modellen gekalibreerd moetenworden. Hierbij worden zogenaamde “use tests” uitgevoerd, waarbij de werking vande modellen in de praktijk aangetoond moeten worden op basis van live data.Om de parameters nader vast te stellen wordt in de tweede helft van 2010 de 5eQuantitative Impact Study (QIS5) uitgevoerd. Hoewel deelname aan QIS5 nietverplicht is dringt DNB er bij de Nederlandse verzekeraars sterk op aan dat zij hieraandeelnemen. DNB ziet deelname aan QIS5 als een goede voorbereiding op de invoeringvan Solvency II. De gegevens die nodig zijn voor het invullen van QIS5 komenovereen met de gegevens die voor de uiteindelijke Solvency II-rapportages nodig zijn.Deelname aan QIS5 geeft dus een goed inzicht in de problemen die te verwachten zijnop het gebied van de beschikbaarheid van gegevens voor Solvency II.Een probleem dat hierbij opdoemt is dat er niet over alle soorten risico‟s al informatiebeschikbaar is, zowel kwalitatief als kwantatief (historie). Met name het kwantificerenvan operationele risico‟s zal een uitdaging blijken te zijn.2.1.3 Impact van Pilaar 2: kwalitatieve eisen en toezichtactiviteitenImpact op de besturing van de organisatieEen van de meest in het oog springende eisen in het kader van het toezicht is dat de verantwoordelijke bestuurder niet alleen hoofdelijk aansprakelijk is voor de juistheid van de berekeningen en rapportages, maar dat hij ook dient te kunnen toelichten en aantonen dat de resultaten verkregen zijn op basis van betrouwbare en correcte data, procedures en systemen. De bestuurder moet kortom aantonen dat hij de business kent en in control is! Door middel van het Supervisory Review Process (SRP) zal de Toezichthouder de besturing van het bedrijf toetsen op de mogelijkheid om de actuele en mogelijke risico‟s te identificeren, beoordelen en managen. De Toezichthouder heeft daarbij de mogelijkheid om bedrijven te dwingen geconstateerde gebreken en tekortkomingen te verhelpen. Daarbij ligt, zoals hiervoorbesproken, op het bedrijf (lees: de verantwoordelijke) de last om aan te tonen dat hetbesturing- en de risk management processen geschikt en toepasbaar zijn voor hetgekozen risicoprofiel (risk appetite).Het besturingssysteem moet onder andere omvatten: Een toepasselijke en transparante organisatiestructuur Heldere taken, verantwoordelijkheden en bevoegdheden inclusief het – waar van toepassing – scheiden van taken en verantwoordelijkheden Beschrijving en implementatie van beleid op het gebied van tenminste: risk management, interne controle, interne auditering en outsourcing indien van toe- passingKwalificaties van het personeelOnder Solvency II moet de onderneming aan kunnen tonen dat alle personeelsleden,inclusief het hoger en senior management, over de kwalificaties beschikken dietoereikend zijn voor de taken die zij uitvoeren. Verder dienen zij aantoonbaar aaneisen van integriteit te voldoen. De kwalificaties dienen periodiek getoetst te worden.Sogeti Nederland B.V. 2.0 16september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIProcessen en procesmanagementDe implementatie van Solvency II raakt vele bedrijfsfuncties en daarmee essentiëlebedrijfsprocessen en procedures: strategische besturing, risk management, actuariaat,Finance & Control. Maar ook bij ICT, als bijvoorbeeld requirements (lifecycle) ma-nagement structureel wordt ingevoerd.Het is van het grootste belang om de processen op een gestructureerde wijze tebeschrijven en transparant te maken. Niet alleen is dat een eis van DNB maar het isook een instrument om het operationele risico te reduceren, met als spin off datdaarmee de SCR kan dalen. De controls die het bedrijf inbouwt zijn een belangrijkaspect van de procesbeschrijvingen.Zie voor een uitgebreidere beschouwing over processen en procesmanagement Bijlage7: Business Proces Management (BPM) .2.1.4 Impact van Pilaar 3: Marktdiscipline en toezichtrapportagesDe rapportage onder Solvency II wordt zo veel mogelijk op Europees niveau gehar-moniseerd. Hierbij zal er gewerkt worden met Europese templates en kunnenToezichthouders daar buitenom alleen informatie opvragen alsdat om producten met specifiek nationale kenmerken gaat, zoalsin Nederland bijvoorbeeld zorg- of inkomensverzekeringen.De rapportagekaders op het gebied van kwantitatieve vereisten(Pilaar 1) zullen naar verwachting niet veel verschillen voor deverschillende verzekeraars. De kwalitatieve rapportages (Pilaar 2)kunnen wel verschillen qua detailniveau op basis van de aard,omvang, complexiteit en risicoprofiel van de verzekeraar op basisvan proportionaliteit.Solvency II geeft voor de publieke rapportage (Solvency and Financial ConditionReport – SFCR) bepaalde minimumvereisten, maar de verzekeraar wordt aangemoe-digd om meer dan dat te rapporteren. Verzekeraars zullen, gezien het belang datwordt gehecht aan transparantie onder Solvency II, een visie moeten ontwikkelen ophoe zij invulling willen geven aan de doelstellingen op het gebied van transparantie.Verzekeringsgroepen zullen het gemakkelijker krijgen op dit vlak wanneer zij inmeerdere Europese (E.E.R.) landen opereren door de harmonisatie van de rapporta-gevereisten.De verzekeraars dienen uiterlijk eind 2011 een implementatieplan op te leveren aande Toezichthouder waarin zij duidelijk moeten maken hoe zij de rapportageprocessengaan inrichten, hoe deze ingevoerd worden en hoe zij de informatie beschikbaar zullenstellen. Deze datum ligt vrij ver in de tijd en lijkt ingegeven te zijn door formeleargumenten over de afronding van de CEIOPS Level 2 en Level 3 adviezen voor deimplementatie en de implementatie in de wet- en regelgeving in de Lidstaten. Wij zijnechter van mening, dat dit erg laat is voor in ieder geval de ICT-implementatieaangezien de gegevensvoorziening voor Solvency II al per 1 januari 2012 op ordemoet zijn om de rapportage over 2012 in het eerste kwartaal 2013 te kunnen ver-vaardigen.De rapportageprocessen zullen wijzigen ten aanzien van de huidige situatie. Desamenstelling, goedkeuring en publicatie van het SFCR vraagt de nodige aandacht.Sogeti Nederland B.V. 2.0 17september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIHet proces van het opstellen, samenstellen en publiceren van rapportages dientgedetailleerd beschreven te zijn. Alle rapportages moeten ook goedgekeurd wordendoor de directie. Ook zal een deel van de rapportages extern gecertificeerd moetengaan worden.De verzekeraar zal over adequate systemen moeten beschikken voor het producerenvan rapportages.2.1.5 Impact op Risk Management, actuariaat, interne controle en interne auditIn het kader van Solvency II dient een verzekeraar te beschikken over een “system ofgovernance”, dat de volgende functies omvat:- Risk Management- Actuariële functie- Interne controle (waaronder compliance valt)- Interne auditDeze functies worden hieronder behandeld.Risk ManagementRisk management is bij verzekeraars een gevestigde functie. Hierbij gaat het momen-teel voornamelijk om de bepaling van de verzekeringstechnische risico‟s die de hoogtevan de premie voor de verzekeringen beïnvloeden en het toetsen of de verzekeraar dekomende jaren in staat is zijn verplichtingen na te komen op grond van de nu reedsbekende aanspraken.Additionele taken en verantwoordelijkheden voor de risk management functie: Ontwerpen en implementeren van interne modellen (indien van toepassing) Testen en valideren van de modellen (idem) Documenteren (versiebeheer) Analyseren en rapporteren Verbeteren en uitbreidingen op het bestaande modelHet gehele risk management systeem moet ingepast en geïntegreerd worden in deorganisatiestructuur van het bedrijf. Er dient hierbij geborgd te worden dat de in derisicostrategie vastgestelde en geaccepteerde risiconiveaus per risicocategorie (riskappetite) ook daadwerkelijk gehanteerd worden bij de besluitvorming. Er moetgekeken worden naar de werkelijke risico-blootstellingen in relatie tot de wenselijkerisico-blootstellingen. Risicobewust werken dient onderdeel te worden van de organi-satiecultuur.Het bedrijf moet de uitkomsten van risicobepalingen ook daadwerkelijk gebruiken bijde inrichting van de besturing van de organisatie, dus bijvoorbeeld bij de pricing vannieuwe producten. Onder Solvency II moet bij de besluitvorming risicobeoordelingmeegewogen worden en onderdeel uitmaken van de controlecyclus.De risk management functie dient aantoonbaar objectief en onafhankelijk te werken.Voor kleinere verzekeraars, die mogelijk niet in staat zijn om deze gehele risk ma-nagement functie te implementeren en onderhouden, bestaat de mogelijkheid van hetoutsourcen van de functie. Hiervoor gelden onder het nieuwe Solvency II regime zeerstrakke eisen zoals het recht van de Toezichthouder om on-site inspecties te houden.Sogeti Nederland B.V. 2.0 18september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIOnderdeel van de risk management-functie van elke verzekeraar dient de Own Riskand Solvency Assessment (ORSA) te zijn. De ORSA is bedoeld om vast te stellen inhoeverre er aan de Solvency II-vereisten wordt voldaan.De bevindingen uit de ORSA worden gerapporteerd aan de Toezichthouder (solo engroep) en maakt deel uit van het Supervisory Review Process (SRP). Voor eventuelegeconstateerde tekortkomingen dient een verbeterplan opgesteld te worden datoverlegd moet worden aan de Toezichthouder. De voortgang van de uitvoering vanhet verbeterplan moeten gerapporteerd worden aan de Toezichthouder.De aard van de ORSA is tweeledig: A. Het is een zelfbeoordeling van de organisatie en is als zodanig ingebed in het strategisch besluitvormingsproces B. Het is een hulpmiddel in het toezichtproces waarbij de Toezichthouder geïnfor- meerd moet worden over de uitkomsten.Voor het uitvoeren van de ORSA is het niet noodzakelijk om een (al dan niet partieel)intern model toe te passen. Als een organisatie over een goedgekeurd intern modelbeschikt, dienen de uitkomsten wel meegenomen te worden in de ORSA.Let op dat DNB nieuwe en strenge eisen heeft met betrekking tot de risk managementprocessen en dat de verzekeraar, als onderdeel van de ORSA, moet kunnen aantonendat hij de processen, verantwoordelijkheden (voorbeeld: 4-ogen principe) en werkingvan de systemen goed en auditeerbaar heeft ingericht.Actuariële functieDe actuariële functie heeft een belangrijke taak op het gebied van kwaliteitsbeheer-sing doordat de beslissingen genomen worden op basis van deskundig technischactuarieel advies.Aangezien er op het gebied van actuariaat in Europa nogverschillende regimes gelden zullen er gemeenschappelij-ke actuariële richtlijnen worden ontwikkeld door CEIOPS.Deze zijn een aanvulling op aanwezige nationale stan-daarden.De taken van de actuariële functie omvatten onder meer:- Het coördineren van het berekenen van technische voorzieningen.- Waarborgen dat de gebruikte methodieken en onderliggende modellen en de bij de berekening van technische voorzieningen gehanteerde aannames correct zijn.- Het beoordelen of genoeg gegevens worden gebruikt bij de berekening van technische voorzieningen en het beoordelen van de kwaliteit ervan.- Het toetsen van de beste schattingen (“best estimates”) aan de ervaring.- Het informeren van het bestuurlijk, beleidsbepalend of toezichthoudend orgaan over de betrouwbaarheid en adequaatheid van de berekening van technische voor- zieningen.- Adviseren over de algehele gedragslijn voor het aangaan van verzekeringstechni- sche verplichtingen.- Adviseren over de adequaatheid van herverzekeringsregelingen.De actuariële functie heeft ook de taak om vast te stellen of de kwaliteit van degebruikte gegevens en systemen adequaat zijn voor het uitvoeren van de berekenin-gen onder Solvency II en het opleveren van de rapportages. Het actuariaat dient ookte adviseren over de verbetering van datakwaliteit. Eventueel kan de actuaris ookexterne gegevens gebruiken.Sogeti Nederland B.V. 2.0 19september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIInterne controleDe interne controlefunctie omvat alle administratieve en financiële processen enprocedures. Tot de interne controlefunctie behoort ook de compliancefunctie.De compliancefunctie is verantwoordelijk om het management en toezichthoudendorgaan te rapporteren over het al dan niet voldoen aan wet- en regelgeving enadministratieve aanwijzingen onder Solvency II. Verder dient de compliancefunctie tebeoordelen wat de impact van wijzigingen in wet- en regelgeving is op de bedrijfsvoe-ring. Ten slotte dient de compliancefunctie de compliancerisico‟s te identificeren en tebeoordelen.Een effectief intern controlesysteem dient zodaning opgezet te zijn dat het ten minstede volgende zaken waarborgt:- De effectiviteit en efficiëntie van de bedrijfsvoering in relatie tot de doelstellingen en risico‟s.- Beschikbaarheid en betrouwbaarheid van financiële en niet-financiële informatie.- Het voldoen aan wet- en regelgeving.Er dienen beschreven administratieve procedures te zijn voor de belangrijkstebedrijfsactiviteiten om een goed georganiseerde en efficiënte bedrijfsvoering tegaranderen en fouten te voorkomen.De interne controlefunctie heeft nadrukkelijk de taak om vast te stellen of de syste-men van de verzekeraar, zowel handmatige als geautomatiseerde systemen,aansluiten bij de organisatie qua strategie en gegevensbehoefte en of deze in over-eenstemming zijn met de aard en complexiteit van de bedrijfsactiviteiten.Het beleid ten aanzien van interne controle wordt door de organisatie vastgelegd endient goedgekeurd te zijn door het management en door het toezichthoudend orgaan.Het beleid dient de wijze te beschrijven waarop het senior management het internecontrolesysteem moet implementeren en onderhouden.Onderdeel van het interne controlesysteem is ook een beleid op het gebied vaninformatiebeveiliging om de integriteit en vertrouwelijkheid van gegevens te waarbor-gen.Interne auditVerzekeraars dienen te beschikken over een effectieve interne auditfunctie die toezichtmoet houden op de efficiëntie en effectiviteit van de interne controlefunctie en deoverige onderdelen van het governance-systeem. De interne auditfunctie dientobjectief en onafhankelijk van het operationele management te kunnen functioneren.De interne auditfunctie rapporteert aan het bestuur van de organisatie en het toe-zichthoudend orgaan, die beslissen over welke acties moeten worden genomen opbasis van de rapportage van de interne auditors.De interne auditfunctie dient toegang te hebben tot alle documentatie, bestanden eninformatie binnen de organisatie, inclusief notulen van besluitvormende vergaderin-gen. Alle onderdelen van de organisatie dienen te rapporteren aan de interneauditfunctie, indien er afwijkingen van geldende richtlijnen wordt geconstateert. Deinterne auditfunctie moet hierover richtlijnen opstellen en communiceren binnen deorganisatie.De interne auditfunctie dient te werken op basis van een intern auditplan, dat geba-seerd is op een gedegen risicoanalyse. Het plan omvat meerdere jaren.Sogeti Nederland B.V. 2.0 20september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIDe interne auditfunctie rapporteert bevindingen over geconstateerde afwijkingendirect aan het betrokken management en het toezichthoudend orgaan. Er wordtminimaal één maal per jaar een formeel auditrapport opgesteld voor het bestuur vande organisatie en het toezichthoudend orgaan.De interne auditfunctie dient de eigen activiteiten zodanig te documenteren dat dezecontroleerbaar en verifieerbaar is.2.1.6 Impact op Finance & Control.De rapportages in het kader van Solvency II betekenen een uitbreiding van de F&Cwerkzaamheden voor wat betreft: Additionele kwantitatieve kwartaalrapportages richting DNB m.b.t. MCR berekenin- gen op groepsniveau en werkmaatschappijniveau Idem: jaarrapportages met betrekking tot het voldoen aan de kapitaaleisen en algehele financiële gezondheid (SFCR) Voor wat betreft de externe jaarverslagen: additionele disclosure rapportagesDe Solvency II rapportages maken deel uit van de financiële rapportages voor hetprudentieel toezicht van DNB (Report to Supervisor – RTS). De afdeling (Enterprise)Risk Management levert de volledige input voor deze rapportages. Bovendien zal dezeafdeling de kwalitatieve rapportages m.b.t. toelichting van de gevolgde risk uitgangs-punten, methoden, processen en procedures en dergelijke zelf uitwerken enopleveren.Een aandachtspunt voor F&C is het voldoen aan de nieuwe International FinancialAccounting en Reporting standaards, bijvoorbeeld IFRS4 versie 2. De verwachting isdat een verzekeraar die geheel Solvency II compliant is, daarmee ook de wijzigingenuit hoofde van de nieuwe IFRS regels voor een belangrijk deel heeft opgelost. Hier-naast speelt de invoering van Market Conform Embedded Value (MCEV) voor hetwaarderen van Assets en Liabilities.Als laatste noemen we de management accounting (MA) rapportages, waarvan deverwachting is dat deze risico gericht wordt, met name doordat de bedrijfsvoering nainvoering van Solvency II veel sterker dan nu het geval is. Risicostrategieën en deuitwerkingen daarvan zullen de besluitvorming waarop de MA rapportage gericht is,dus veel sterker beïnvloeden.2.1.7 UitbestedingIn het kader van overall governance worden er vanuit Solvency II ook specifieke eisengesteld aan outsourcing van kritische en belangrijke bedrijfsfuncties. Onder uitbeste-ding vallen alle functies of activiteiten die normaal gesproken door de verzekeraar zelfuitgevoerd zouden worden. Gezien het belang van gegevensverwerking door verzeke-raars valt outsourcing van ICT-functies hier zeker onder. De verzekeraar zal dusspeciale aandacht moeten geven aan de contracten die zij heeft gesloten met serviceproviders. De contracten met de providers zullen aan de eisen moeten voldoen. Dezebehelzen onder meer:  De verzekeraar blijft volledig verantwoordelijk voor de operatie.  De financiële betrouwbaarheid van de partner.  De verzekeraar moet voldoende tijd hebben om bij beëindiging van het contract een alternatieve oplossing te vinden.Sogeti Nederland B.V. 2.0 21september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency II De mogelijkheid om het contract te beëindigen als de service provider niet kan voldoen aan de eisen.  Eisen ten aanzien van beveiliging, confidentialiteit en continuïteit.  De service provider moet over een adequaat risk managementsysteem en interne controlesysteem beschikken, die moeten aansluiten op het risk management- en interne controlesysteem van de opdrachtgever.  Documentatie dient aan eisen van “good practices” te voldoen.  De service provider moet desgevraagd informatie verstrekken aan de Toezicht- houder dan wel externe auditor over de uitbestede diensten en moet zo nodig visitatie toestaanHet is dus van groot belang voor de verzekeraar om de contracten met serviceproviders tijdig te reviewen op compliance met de eisen die vanuit Solvency IIbestaan. Speciale aandacht moet uitgaan naar outsourcing buiten de E.E.R. Ook SLA‟smet interne service providers (binnen de eigen groep) vallen onder deze eisen, zij hetonder een minder strikt regime. De hierover gesloten Service Level Agreementsmoeten ook beoordeeld worden op compliance met deze eisen 3.In Bijlage 5: Aandachtspunten voor uitbesteding gaan wij uitgebreid op dit onderwerpin.2.2 Impact op ICT2.2.1 AlgemeenDe impact van Solvency II op ICT is groot en zal grote delen van het applicatieland-schap gaan raken en daarnaast de nodige impact hebben op de ICT-organisatie enprocessen daarbinnen. De belangrijkste aandacht moet uitgaan naar datamanage-ment, datakwaliteit en data delivery. Dit wordt uitgebreid behandeld in Bijlage 8:Gegevens en gegevensontsluiting. Op basis van de ervaringen vanuit Basel II-implementaties is het de verwachting dat hier tussen de 50% en 70% van de budget-ten aan zal opgaan.Ook ICT Governance is een essentieel onderwerp dat geadresseerd moet worden doorde maatschappijen, als onderdeel van de overall governance-eisen.2.2.2 Impact van Pilaar 1: kwantitatieve eisenDe keuze voor het gebruik van standaardmodellen dan wel interne modellen voor hetberekenen van de SCR en MCR is sterk bepalend voor de impact. Standaardmodellenmaken vooral gebruik van informatie die reeds in de financiële administratie aanwezigis, terwijl interne modellen daarnaast aanvullende informatie nodig hebben die nietper definitie al in digitale vorm beschikbaar is. Informatie over operationele risicobere-keningen is niet altijd beschikbaar. Een goede indicatie van de benodigde gegevensvoor interne modellen valt af te leiden uit de gegevens die voor QIS4 en RiSK4gebruikt zijn. De eerdere QIS-onderzoeken gingen meer uit van het standaardmodel.3 Zie voor de volledige eisen “CEIOPS‟ Advice for Level 2 Implementing Measures OnSolvenc II: System of Governance”, par. 3.7 Outsourcing4 Risicogebaseerd SolvabiliteitsKader, Door DNB in 2009 uitgevoerd onderzoek binnenNederland op basis van de QIS4-spreadsheetsSogeti Nederland B.V. 2.0 22september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIVan augustus tot en met november 2010 zal QIS5 uitgevoerd worden door demaatschappijen. Hoewel QIS5 niet verplicht gesteld wordt door DNB, dringt zij er welsterk op aan bij de maatschappijen.De QIS-sen zijn steeds spreadsheet-acties geweest, die grotendeels uitgevoerd zijndoor Risk Management, Actuariaat en Finance. ICT is hierbij over het algemeen niet ofzijdelings betrokken geweest. Aangezien in QIS5 alle soorten kwantitatieve databetrokken worden die ook in de uiteindelijkeSCR- en MCR-berekeningen omvat, is QIS5 ookeen uitgelezen mogelijkheid om ICT hierbij tebetrekken om de requirements ten aanzien vankwaliteit, kwantiteit en beschikbaarheid vandata vast te stellen. Hierdoor is ook de nodigetijdwinst te boeken.Data en systemen die gebruikt worden voor dedoorrekening van modellen en de rapportageworden onder Solvency II als onderdeelbeschouwd van interne modellen. Hiermeemaken deze data en systemen ook onderdeeluit van het goedkeuringsproces van internemodellen. CEIOPS heeft een apart Level 2 –advies gewijd aan datakwaliteit: “TechnicalProvisions – Article 86f Standards for Data Quality”, waarin deze eisen uitgewerktworden op het gebied van documentatie, kwaliteit, kwantiteit en beheer.Een ander belangrijk probleem is dat het eigendom en beheer van toepassingen ophet gebied van risk management veelal buiten het domein van de ICT-organisatieliggen. Het managen van het risico op de bezittingen wordt uiteraard ook gedaanmaar minder als een geïntegreerde bedrijfsfunctie: vaak met off-line tooling of metExcel toepassingen (zie ook de volgende paragraaf 2.2.3 Impact van Pilaar 2: kwalita-tieve eisen). Het voeden van de applicaties met data gebeurt handmatig met allegevaren op fouten van dien.Indien een verzekeraar kiest voor het toepassen van interne modellen moet deze errekening mee houden dat daar aanvullende gegevens voor nodig zijn. Denk hierbij aangegevens over marktrisico‟s en operationele risico‟s. De verzekeraar moet na gaan ofdergelijke gegevens binnen de organisatie aanwezig zijn en hoe deze ontsloten danwel verkregen kunnen worden. Het is mogelijk dat hiervoor additionele toepassingenof aanpassingen in bestaande toepassingen noodzakelijk zijn dan wel dat er informatievan buiten de organisatie nodig is.Het groepstoezicht krijgt meer gewicht dan in de huidige situatie, waarbij het eenaanvulling is op het solo-toezicht dat per solo-verzekeraar wordt uitgevoerd. Van demoeder van een verzekeringsgroep wordt verwacht dat zij weet wat de reikwijdte isvan de groep, dat zij governance en risicobeheer procedures implementeert enoverziet, dat zij voldoet aan de (publieke) rapportage eisen en dat zij op groepsniveaude SCR berekent. Het toezicht berust bij de Toezichthouder in het land waar demoeder gevestigd is. Voor verzekeringsgroepen – in het bijzonder zij die werkmaat-schappijen in meerdere landen hebben – moet er dus ook een organisatie,infrastructuur en architectuur aanwezig zijn voor het consolideren van gegevens enhet uitvoeren van geconsolideerde risicoberekeningen.Voor het uitvoeren van de risicoberekeningen zijn – mede afhankelijk van de omvangvan de organisatie – grote hoeveelheden betrouwbare data nodig die hun eisen stellenaan de technische ICT-infrastructuur op het gebied van opslagcapaciteit, verwerkings-Sogeti Nederland B.V. 2.0 23september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIcapaciteit, performance en schaalbaarheid. Er is sprake van behoorlijke piekverwer-kingen wanneer de jaarlijkse SCR-berekeningen moeten worden uitgevoerd en inmindere mate per kwartaal wanneer de MCR-berekeningen worden uitgevoerd. Hetbepalen van de capaciteit van de infrastructuur zal een afweging worden van debenodigde piekcapaciteit versus de kosten.2.2.3 Impact van Pilaar 2: kwalitatieve eisenEen tegenwoordige verzekeringsmaatschappij is niet meer denkbaar zonder gebruikvan informatietechnologie. Waar Solvency II eisen stelt ten aanzien van governance,proceskwaliteit en audit trail strekt dit zich ook onverkort uit naar de ICT-organisatie.Ook voor de implementatie van Solvency II is er een cruciale rol weggelegd voor deICT-organisatie. In de huidige situatie hanteren risk management afdelingen voor riskmanagementtoepassingen veelal stand alone, vaak informele (MS Excel) toepassin-gen. De gegevens worden handmatig verwerkt. Onder de eisen vanuit Pilaar 2 kan ditsoort werkwijzen geen stand houden aangezien hiervoor onvoldoende waarborgen tenaanzien van audit trail en informatiebeveiliging kunnen worden gegeven.De eisen ten aanzien van een integraal risk managementsysteem vereisen ook dat ertoepassingen nodig zijn om de werking ervan te monitoren en om hierover te kunnenrapporteren. Verder zijn er toepassingen nodig voor het beheren (versiebeheer!) vandocumentatie over het risk managementsysteem, de processen en procedures en degebruikte informatiesystemen.Een van de meest in het oog springende kwaliteitseisen betreft die van datakwaliteiten audit trail. In het kader van Solvency II moet een organisatie aantonen wat debasis van de berekeningen is, de herkomst van de gegevens en de bewerkingen die degegevens hebben ondergaan5.Een ander belangrijk aspect is procesbesturing. Procesmanagement is een onderdeelvan “good governance”. In de processen moeten ook goed gedefinieerde controlsopgenomen worden waarop gestuurd kan worden en waarover gerapporteerd kanworden (controleerbaarheid van processen).Zeker in een omgeving waarin sprake is van een divers applicatielandschap samenge-steld uit pakketten en maatwerk, legacy en nieuwe systemen zal de ICT-organisatievoor aanzienlijke uitdagingen gesteld worden. Het is dan ook van essentieel belangom het huidige landschap goed in kaart te hebben qua documentatie en architectuur.Onderdeel van het interne controlesysteem dient ook een informatiebeveiligingsbeleidte zijn om de integriteit, betrouwbaarheid, tijdigheid, vertrouwelijkheid en controleer-baarheid van gegevens te waarborgen. Er dient voorzien te worden intoegangsbeveiliging tot infrastructuur, hardware en systemen. Hierbij dient ookvoorzien te worden in managementtoezicht, en operationele en technische controleswaar noodzakelijk.Onder Solvency II worden ook operationele risico‟s meegenomen ter bepaling van dekapitaalsbehoefte. Tekortkomingen binnen de ICT-infrastructuur en het applicatieland-schap (onvoldoende documentatie, verouderde technologie, achterstallig onderhoudenzovoort) leiden in de huidige situatie al tot hoge onderhoudskosten en onnodig hogeprojectkosten alsmede tot instabiliteit van de systemen. Onder Solvency II dient deverzekeraar deze risico‟s mee te wegen als operationele risico‟s en leiden dergelijke5 Zie hiervoor “CEIOPS‟ Advice for Level 2 Implementing Measures On Solvenc II:Technical provisions – Article 86 f Standards for Data Quality”Sogeti Nederland B.V. 2.0 24september 2010
  • De ICT-implementatie van Solvency IIDe impact van Solvency IIsituaties niet alleen tot hogere onderhoudskosten, maar kunnen ze ook leiden totextra kapitaalsbeslag.2.2.4 Impact van Pilaar 3: openbaarmakingDe openbaarmakingsvereisten van Solvency II vragen om een adequate rapportage-infrastructuur en –architectuur. Voor een deel zal het een uitbreiding betekenen vande bestaande rapportages (m.n. financiële rapportages), voor een deel ook nieuwerapportages. In de rapportages dienen kwalitatieve en kwantitatieve gegevensgecombineerd te worden.De wijze waarop de rapportage-infrastructuur moet wordeningericht is afhankelijk van de situatie: enerzijds heeft de keuzevoor interne modellen of standaardmodellen de nodige impact,anderzijds is de samenstelling van het applicatielandschap vanbelang.In geval de verzekeraar kiest voor het gebruik van internemodellen (of deze opgelegd krijgt door de Toezichthouder) moethij de bestaande rapportagestructuur zodanig aan te passen dat aan de nieuwerapportagevereisten en governance-eisen voldaan wordt.De rapportage-infrastructuur dient voldoende robuust te zijn om de benodigderapportages tijdig op te leveren aan de Toezichthouder. Er moet rekening mee wordengehouden, dat dit het doorrekenen van aanzienlijke hoeveelheden gegevens met zichmeebrengt.Het is derhalve van groot belang in het kader van het implementeren van Solvency IIom op zo kort mogelijke termijn inzage te krijgen in de beschikbaarheid van data, dekwaliteit ervan en de hoeveelheid gegevens. Dit heeft ook zijn weerslag op de ICT-infrastructuur, die voldoende capaciteit moet hebben voor de verwerking en opslagvan de rapportagegegevens.Strikt genomen zijn de rapportages reguliere rapportages en zouden zij buiten hetdomein van Business Intelligence vallen. Op basis van de samenstelling van hetapplicatielandschap zal er echter in veel gevallen gekozen worden voor een datawarehouse-oplossing.In de huidige situatie bestaan er veelal meerdere data warehousetoepassingen naastelkaar en is data-integriteit en kwaliteit niet gewaarborgd. Het zal in veel gevallenaanzienlijke inspanningen kosten om de data-kwaliteit, data-integriteit en datadelivery op orde te krijgen. Zie voor uitgebreidere informatie ook Bijlage 8: Gegevensen gegevensontsluiting.Sogeti Nederland B.V. 2.0 25september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatie3 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE3.1 Solvency II programma-aanpak3.1.1 AlgemeenHet Solvency II invoeringstraject voor de ICT-aspecten moeten veel verzekeraars nogontwerpen en inplannen. Meestal is men wel aan de business-kant begonnen maarloopt de betrokkenheid van ICT achter. Het feit dat de regels en richtlijnen momenteelnog niet volledig uitgekristalliseerd zijn, zorgt ervoor dat er ook onzekerheid enafwachtendheid bestaat. De aandacht gaat in eerste instantie sterk uit naar pilaar 1(kwantitatieve eisen) en pilaar 3 (openbaarmaking) en de discussie speelt zich vooralaf bij risk management en actuariaat. De tijd begint echter inmiddels behoorlijk tedringen en het is zaak om met de ICT-implementatie op korte termijn te beginnen. Pilaar 2 (governance) lijkt vooralsnog minder aandacht te krijgen. Het is te voorzien dat ook hierin majeure inspan- ningen gestoken moeten worden. Dit betreft niet alleen de governance-aspecten aan de business-kant, maar ook aan de ICT-kant. Een uitdaging hier is, dat voor de inrichting van governance de “principles” naar de eigen bedrijfssitua- tie vertaald moeten worden en dat hiervoor minder concrete handvatten zijn dan voor de meer cijfermatige en “harde” pilaren 1 en 3. Dit is niet de beste basis om een dergelijk ingrijpend programma te starten, laat staan de ICT afdeling al van de juiste marsorders te voorzien. Toch kunnen bedrijven en ook de ICT afdelingen daarbinnen zich niet permitteren om te wachten op de definitieve regelgeving die op dit moment (september 2010) niet eerder dan begin 2011 verwacht wordt.Een belangrijke uitdaging ligt ook in het karakter van Solvency II. Solvency II is, zoalseerder vermeld, “principles based” en geeft geen strak gedefinieerde regels. Deprincipes van Solvency II zal de verzekeraar moeten vertalen naar de eigen situatie.Dit zal hij moeten doen in wisselwerking met de Toezichthouder. De verfijning enverbetering van deze vertaling zal ook doorgaan na de invoeringsdatum en hier zal hetbedrijf zich ook op moeten inrichten.3.2 Stappen in de implementatieAangezien verzekeringsmaatschappijen sterk van elkaar kunnen verschillen is het nietmogelijk om een generieke programma-aanpak te geven. De te kiezen programma-aanpak wordt bepaald door een aantal factoren die de verzekeraar moet afwegen.Deze worden verderop in dit hoofdstuk behandeld.In de aanpak van de Solvency II ICT-implementatie is wel een aantal stappen aan tegeven waarvan de omvang sterk afhankelijk is van de verzekeringsmaatschappij of -groep in kwestie.Sogeti Nederland B.V. 2.0 26september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieIn de volgende figuur zijn de stappen afgebeeld:In de volgende paragrafen lichten wij de stappen nader toe.3.2.1 OriëntatieTijdens de oriëntatie moet het ICT-management zich een beeld vormen van de impactvan Solvency II op de eigen organisatie. Allereerst is het van belang om vast te stellenwat de invoeringsstrategie van het bedrijf is. Hierbij moet het ICT-management ookaansluiting zoeken bij het business management, dat zij bewust moeten maken vande ICT-impact. Mogelijke knelpunten in de ICT-implementatie dienen zo vroegmogelijk duidelijk te zijn omdat deze mede-bepalend zijn voor het tempo van debusiness implementatie en de haalbaarheid. Data ten behoeve van modellen enrapportage alsmede de bijbehorende systemen worden onder Solvency II als onder-deel beschouwd van de modellen en vallen dus ook onder de goedkeuringsvereisten.Tijdens deze stap dient ook gewerkt te worden aan de bewustwording van de impactvan Solvency II op de ICT-organisatie om een gevoel voor urgentie te ontwikkelen. Ditkan Sogeti ondersteunen met Awareness Workshops voor het ICT-management en deICT-staf en vertegenwoordigers van de business, bij voorkeur risk managers, actuaris-sen en procesverantwoordelijken.3.2.2 Bepaling invoeringsstrategieVoor het bepalen van de invoeringsstrategie moet de organisatie een aantal vragenbeantwoorden:Omvang organisatieDe eerste bepalende factor is de omvang van de organisatie. De aanpak bij een kleinesolo-verzekeraar verschilt qua schaal en structuur sterk van die van een verzekerings-groep met meerdere werkmaatschappijen in verschillende landen.Sogeti Nederland B.V. 2.0 27september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieStandaardmodel of intern modelOok een belangrijke factor is of de verzekeraar gaat werken met een standaardmodelof met interne modellen. Bij keuze voor het werken met interne modellen is eenaanzienlijke tijd nodig voor het ontwikkelen van deze modellen, de bijbehorendekennisopbouw en te ontwikkelen of aan te schaffen applicaties.Beleid t.a.v. openbaarmakingSolvency II stelt minimumeisen ten aanzien van de publicatie van rapportages en de inhoud hiervan (Jaarlijkse SFCR, jaarverslag), maar nodigt verzekeraars uit om meer transparantie te betrachten. Hiertoe zal de verzekeraar een beleid moeten definiëren. Centraal of decentraal Bij grotere maatschappijen/groepen speelt ook de vraag of er gekozen wordt voor een centrale aanpak of een decentrale aanpak. Gegeven het feit dat een verzekeringsgroep op centraal niveau moet rapporteren dient er in alle gevallen sprake te zijn van een centrale regie met betrekking tot de inrichtingvan (enterprise) risk management, rapportagelijnen en data- uitwisseling.Verdere overwegingen zijn onder meer: Organisatiecultuur: Kent de verzekeraar een sterk hiërarchische, centralistische cultuur of hebben de bedrijfsonderdelen een bepaalde mate van autonomie. Differentiatie: In hoeverre verschillen de bedrijfsonderdelen qua productaanbod en risicoprofiel. Applicatielandschap: In hoeverre lijken de applicatielandschappen van de verschil- lende bedrijfsonderdelen op elkaar? Is er sprake van gedeelde systemen of staan alle systemen op zichzelf? Kunnen bestaande applicaties aangepast worden aan Solvency II of is het beter om het applicatielandschap te rationaliseren en bepaal- de systemen (vervroegd) uit te faseren?Gefaseerd of big bangHoe wenselijk een big bang implementatie ook moge zijn, deze is lang niet in allegevallen haalbaar bij complexe operaties zoals de implementatie van Solvency II.Hoewel het misschien haalbaar is bij een kleinere solo-verzekeraar, zal het bij eenverzekeringsgroep niet altijd mogelijk zijn om de gewenste eindsituatie te behalen per31 december 2012 en zal er wellicht volstaan moeten worden met een minimalevariant. Solvency II biedt de mogelijkheid om na de invoeringsdatum verbeteringen enverfijningen aan te brengen.Een andere factor is de verandercapaciteit van de organisatie, die bepaald wordt doorde beschikbare capaciteit (zowel kwalitatief als kwantitatief), beschikbare budgetten,maar ook de status van het applicatielandschap.Combineren met andere compliancy-trajectenMogelijk zijn er binnen de organisatie al compliancy-trajecten gaande die gecombi-neerd kunnen worden met de implementatie van Solvency II, omdat deze eenvergelijkbaar verandergebied hebben of inhoudelijk een grote overlap. Gedacht kanhier worden aan de implementatie van Market Consistent Embedded Value (MCEV)principes voor waardering van assets en liabilities en de verdere uitrol van IFRS fase4.DoorlooptijdSogeti Nederland B.V. 2.0 28september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieDe doorlooptijd voor Solvency II wordt sterk bepaald door extern bepaalde deadlines.Het is derhalve noodzakelijk om vanuit deze deadlines terug te rekenen om vast testellen hoeveel tijd er beschikbaar is voor zowel de business-aspecten als de ICT-aanpassingen en –ontwikkelingen.StrategievormingOp basis van deze overwegingen ontwikkelt het bedrijf een visie op de gewenstesituatie en de marsroute daar naartoe om richting te geven aan het implementatiepro-ces. Dit zal niet op zichzelf kunnen staan.Onderdeel van de beschrijving van de strategie hoort naar onze mening een architec-tuurvisie te zijn (met name de business-architectuur). Dit is een belangrijk middel omde beoogde structuur te communiceren.3.2.3 Analyse en planningAls de strategie bepaald is, moet het programmamanagement een gedegen planningopstellen voor de implementatie. Hiertoe is het sterk aan te bevelen om een GAP-analyse (IST => SOLL) uitgevoerd worden, waarbij de “witte vlekken” en knelpuntenin de processen, systemen en ICT-infrastructuur in kaart gebracht moeten worden.Een probleem hierbij is, dat deregelgeving nog niet vollediguitgekristalliseerd is. Dit betekentdat de functionele detailspecifica-ties nog niet bekend zijn. Deprincipes van Solvency II zijnechter wel bekend en met nameop het gebied van (ICT-)governance, datamanagement,datakwaliteit en data delivery kanal veel gebeuren. Dit wordtbehandeld in de volgende para-graaf 3.2.4 Implementatie.Niet iedere verzekeraar zal instaat zijn om tijdig het gewensteeindambitieniveau te bereiken. Erkan gedacht worden om te werken met een plateauplanning, waarbij een aantalopeenvolgende ambitieniveaus worden gedefinieerd. Hierbij dienen steeds de proces-sen, organisatie (governance, verantwoordelijkheden, cultuur), mensen (kwalitatief enkwantitatief) en systemen bij elkaar aan te sluiten:Het eerste plateau zou dan kunnen zijn dat er per 31 december 2012 voldaan wordtaan de minimumeisen (bijvoorbeeld een partieel intern model) en dat er daarnastapsgewijs gewerkt wordt aan optimalisatie in haalbare stappen.Rekening houdend met de dynamiek van het invoeringstraject van de Solvency II-regelgeving bevelen wij aan om voor de implementatie te werken met scenario‟s diebijgesteld worden aan de hand van actuele ontwikkelingen.Voor de analyse- en planningsfase is het sterk aan te bevelen om dit gelijk op te latenlopen met de beantwoording van QIS5 en het uitvoeren van de eerste self assess-ment.Sogeti Nederland B.V. 2.0 29september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieDoor bij het beantwoorden van de QIS5 samen te werken tussen business en IT kaner ook meteen goed inzicht verkregen worden in de beschikbaarheid, herkomst enkwaliteit van de data, aangezien de gegevens die voor QIS5 gebruikt worden voor hetovergrote deel overeenstemmen met de gegevens die onder Solvency II gerappor-teerd moeten gaan worden.Bij de eerste ORSA moet de organisatie in kaart brengen hoe zij er voor staat tenaanzien van de Solvency II-eisen. Hierbij moeten ook de IT-systemen betrokkenworden.Door nauwe samenwerking tussen business en IT bij QIS5 en Self Assessment kanaanzienlijke snelheidswinst gehaald worden. Dit is ook noodzakelijk, want de verzeke-raars moeten in de loop van 2011 een concreet implementatieplan voor Solvency IIopleveren, dat alle activiteiten bevat die ondernomen moeten worden opgenomenmoeten worden, een kritisch pad-anyse, benodigde capaciteit en risico‟s.3.2.4 ImplementatieVoorwaardenscheppendHoewel de “harde specificaties” van Solvency II nog niet volledig bekend zijn is hetnaar onze mening goed mogelijk om op een aantal gebieden al met zaken te beginnendie voorwaardenscheppend zijn en waarvoor de detailspecificaties niet noodzakelijkzijn. Dit behandelen we verderop in deze paragraaf.Er kunnen in een vroegtijdig stadium al harde requirements worden opgesteld voorzaken waarvan op voorhand duidelijk is dat deze op orde gebracht moeten worden,met name op het gebied van IT Governance en datakwaliteit. Wacht dus niet metrequirements opstellen waar het bedrijf al aan kan beginnen op basis van de globalerichtlijn en daaruit af te leiden aannames! DNB verwijst in het Implementatiedocu-ment ook naar de reeds beschikbare Level 2-adviezen van CEIOPS en de beschikbareLevel 3 Consultation Papers als richtinggevend. Voor het ICT-domein zijn met name deCEIOPS Level 2-adviezen over het “System of Governance” en “Data Quality” vanbelang.Sogeti Nederland B.V. 2.0 30september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieEr is zeer veel dat men als bedrijf als voorbereiding op Solvency II kan doen. In eenaantal gevallen betreft dit zaken die een bredere strekking hebben dan Solvency II,maar waarvoor Solvency II wel een extra motivatie vormt om ter hand te nemen. Eenselectie: QIS5 uitvoeren om te monitoren en te beoordelen in hoeverre men qua beschik- baarheid van de gegevens gereed is voor het leveren van rapportages en het gebruik van interne modellen Impact analyses op zowel business als ICT op basis van op het moment bekende regelgeving als onderdeel van de Self Assessment De kwaliteit van de benodigde brondata meten en op basis van bevindingen verbeteren, inrichten meta datamanagement, master datamanagement Risk management en andere geraakte processen voor de toekomstige situatie modelleren Automatiseren en beveiligen datastromen waarin nog handmatige stappen voorkomen om operationele risico‟s te verlagen Opstellen van gebruikers requirements voor risk engines en enterprise risk management systemen aan de hand van de strategische keuzes en nu bekende voorschriften – men kan daarna volstaan met het monitoren van gewijzigde inzich- ten en regelgeving Shortlist opstellen en Proof of Concept uitvoeren voor nieuwe risk enginesAan de ICT-zijde kan men alternatieven voor de technische implementatie uitwerkenen modelleren. Een mogelijke benadering op hoofdlijnen: Start met het ondersteunen van de uitvoering van de berekeningen met behulp van de standaard methode. Deze moet een verzekeraar immers in ieder geval beheersen, ook wanneer het hanteren van interne modellen in de streefsituatie beoogd wordt Start met voorbereiden en implementeren van interne modellen wanneer daar naast de implementatie van het standaardmodel, ruimte in de planning en be- schikbare resourcing voor is. Het is niet noodzakelijk om per 31 december 2012 de interne modellen volledig gereed en geïmplementeerd te hebben. Na 31 december 2012 zal een periode van permanente verbetering intreden in samenspraak met DNB Start aan ICT-zijde zo snel mogelijk met de voorbereiding en uitvoering van de structurele oplossingRealisatie Solvency II-toepassingenZodra de specificaties bekend zijn kan de organisatie starten met het realiseren vanSolvency II-toepassingen en aanpassingen aan bestaande systemen. Ook met deeventuele selectie en implementatie van (enterprise) risk managementpakketten kandan gestart worden.Enterprise Risk Management omvat meer dan alleen de berekening van SCR en MCR.Gartner geeft aan dat er voor de implementatie van Solvency II de volgende soortenapplicaties nodig zijn: Actuariële modelleringstools voor het modelleren van Asset en Liability risico‟s, om (partieel) interne modellen te ontwikkelen en om SCR en MCR te berekenen. Data integratie-tools voor het extraheren, transformeren en laden (ETL-tooling) van data vanuit bronsystemen naar een data warehouse. Business Intelligence (BI) en rapportagetools voor on line analyse en rapportage (On Line Analytical Processing – OLAP), dashboards voor hoger management en om gebruikers in staat te stellen om rapporten samen te stellen. Risk management en rapportagetoepassingen om verschillende vormen van risico, zoals operationeel risico, verzekeringstechnisch risico en marktrisico, te monitoren en analyseren.Sogeti Nederland B.V. 2.0 31september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatie Governance-, risk- en compliancetoepassingingen (GRC) om bedrijfsbreed een consistent risk management framework te implementeren, controlepunten te defi- niëren en te monitoren en om de interne controlefunctie te ondersteunen. Asset/liability- of investment management-applicaties om kapitaal- en investe- ringsrisco‟s te monitoren en te analyseren en om investeringsportefeuilles te beheren. Andere applicaties voor het ondersteunen van algemene taken zoals het documen- teren van processen, data security of workflow management.Niet expliciet genoemd door Gartner, maar naar onze mening ook van belang om in ditkader te noemen zijn: Data warehouses Applicaties voor meta datamanagement Tools voor data cleansing Ondersteuning van versiebeheer van documentatie van processen en applicaties en van applicaties zelf ProcesmodelleringstoolsEr zijn in de markt geen leveranciers die het volledige palet van toepassingen leveren.Dit betekent, dat de ICT-organisatie vanuit haar verantwoordelijkheid van systeemin-tegrator een belangrijke rol moet krijgen in de selectie, integratie en implementatievan (enterprise) risk management toepassingen en de inbedding binnen de reguliereICT-architectuur, zodat de ICT-organisatie de kwaliteit van de data ook kan garande-ren.TestenEen belangrijke uitdaging, met name bij complexere organisaties, is het testen van derisicoberekeningen (SCR/MCR) en de rapportages. Dit betekent, dat de verzekeraar degehele keten van bronapplicatie tot en met uiteindelijke rapportages, inclusiefconsolidatie op groepsniveau, moet testen. Hiervoor moet de organisatie tijdig startenmet het bepalen en opzetten van de teststrategie, de testaanpak en testinfrastructuur.Idealiter loopt dit vanaf de strategiebepaling mee.3.3 Het belang van structurele oplossingen Ervaringen uit eerdere compliance programma‟s, die in eerste instantie als „moetjes‟ op de betrokken bedrij- ven af komen, wijzen uit dat op ICT-gebied vooral gerichte en „eendimensionale‟ oplossingen gerealiseerd worden, specifiek gericht op het kunnen voldoen aan de opgelegde eisen. Dit is om een aantal redenen, waarop we hierna terug komen, een gemiste kans. Toch is het begrijpelijk dat bedrijven moeite hebben om te kunnen inzetten op structurele oplossingen: Vaak neemt het creëren van structurele oplossingen meer tijd in beslag. De planning werd vaak te krap omdat men zich verkeek op de impact van het eerdere programma en dus de benodigde capaciteit voor de wijzigingen en omdat gedu- rende de rit van de implementatie de wetgever met nieuwe en andere eisen kwam. Gestuwd door de druk van de deadlines koos men vaak toch weer voor een „snelle‟ oplossing.Sogeti Nederland B.V. 2.0 32september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatie Structurele oplossingen zijn als initiële investering meestal duurder dan een snelle, niet structurele oplossing. Het budget van het onderhanden compliance program- ma is meestal beperkt tot het realiseren van de voor het programma benodigde wijzigingen. Het programma heeft daarmee geen funding voor structurele wijzigin- gen. In een tijd dat ICT budgetten krimpen heeft het ICT bedrijf hier ook geen of onvoldoende budget voor. Echter, de verkleining van operationele risico‟s door rationalisatie van het ICT-landschap levert onder Solvency II een extra business case op voor een structurele oplossing (zie hieronder “Kosten operationeel risico”). Veel eindgebruikers, denk hierbij vooral aan actuarissen en risk managers, werken vaak met stand alone tools zoals Exel-toepassingen op PC-pakketten. Data wordt handmatig ingevoerd of door middel van losse bestandjes. Onder Solvency II is dit niet langer aanvaardbaar. Dit vereist structurele inbedding in de reguliere ICT- infrastructuur waarbij de kwaliteit van de gegevens en de verwerking hiervan ge- garandeerd kan worden. Van belang is wel dat dit zo min mogelijk de flexibiliteit mag beïnvloeden. De berekening van risico‟s en het berekenen van SCR en MCR is een complexe aangelegenheid waarbij data uit een groot aantal bronnen bijeen gebracht moet worden (zie 1.5.1 Pilaar 1: Kwantitatieve eisen). Dit vereist een structurele oplos- sing, waarbij de kwaliteit van de data gegarandeerd is.Toch zijn er goede redenen waarom een verzekeraar, zeker met als aanleidingSolvency II, zou horen te werken aan structurele oplossingen. Deze behandelen wehierna.Solvency II wet- en regelgevingDNB eist van bedrijven om Solvency II compliant te zijn, dat zij aantoonbaar aanstringente eisen voldoen op het gebied van kwaliteit van data, geldigheid van gebruik-te modellen en methodieken, stabiliteit van processen en ingeregeldeverantwoordelijkheden. Aan deze eisen kan een verzekeraar alleen tegemoet komenwanneer zij haar zaken structureel en aantoonbaar op orde heeft.Kosten operationeel risicoEen belangrijk onderdeel van de berekening van de SCR wordt gevormd door operati-oneel risico. Hieronder vallen zaken als fraude, reputatierisico, maar ook verstoringvan bedrijfsprocessen door invloeden van buitenaf en binnenuit. Tot die laatstecategorie behoren de risico‟s die voortvloeien uit een verouderd en versnipperdapplicatielandschap.Hiermee wordt ook duidelijk dat rationalisatie van het applicatielandschap bij eenverzekeraar die hiervoor een intern model hanteert tot besparingen leidt, aangeziende risico‟s voor verstoring van de processen hierdoor verkleind worden. Dit geld ookvoor het inrichten van gedegen back up en (disaster) recovery alsmede uitwijkplan-nen.HerbruikbaarheidWanneer men niet de kans aangrijpt om processen, systemen en functies structureelstabiel in te richten, zal men bij een volgend (compliance) programma of zelfs bijregulier onderhoud tegen dezelfde tekortkomingen oplopen. Hiervoor moet men dantelkens opnieuw een oplossing uitwerken. Een structurele inrichting zorgt ervoor, nade extra investering vergeleken met een eendimensionale quick & dirty oplossing, dateen herbruikbaar platform het inrichten van nieuwe programma‟s en regulier onder-houd versnelt en voorspelbaar en goedkoper maakt.Sogeti Nederland B.V. 2.0 33september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieFunding en sturing van structurele oplossingenSolvency II is in dit verband niet meer dan een aanleiding om zaken structureel aan tepakken en te verbeteren. Waar structurele verbeteringen mogelijk zijn, had het bedrijfdat eigenlijk al veel eerder aan moeten pakken. Dit besef is uiteraard binnen de ICTafdeling ook wel aanwezig. Waar het meestal aan ontbreekt is de juiste prioriteitstel-ling van de beschikbare funding en resources.Een programma als Solvency II zal waarschijnlijk deze funding niet leveren, hetvolgende programma ook niet enzovoort. De ICT afdeling beschikt zelf ook niet overde nodige middelen, waardoor de suboptimalisatie en uiteindelijk hogere kostenblijven.Men kan echter wel inzetten op een levensvatbare business case waarin zowel dereductie door optimalisatie als de cost of not doing – bijvoorbeeld door hogereOperational Risk kapitaalseisen - een positieve uitkomst opleveren. In het algemeengeldt, voor alle structurele verbeteracties, dat de businesscase niet alleen gevormdwordt door verlaging van onderhoudskosten en beheer, maar ook het verlagen vanoperationele risico‟s en daarmee een lager kapitaalsbeslag. Dit is de reden waarom debusinesscase beter uitvalt dan bij voorgaande compliancyprogramma‟s. Daarom is hetverstandig om deze verbeteringen nu in gang te zetten.De structurele verbeteringen kunnen binnen de uitvoering van het Solvency IIprogramma aan ICT-zijde gepland, bestuurd en bewaakt worden in samenhang metde voor Solvency II benodigde activiteiten.Aspecten van een structurele oplossingVeel van de aspecten van een structurele oplossing zijn niet per definitie Solvency II-specifiek, maar vloeien voort uit algemene principes van good (ICT) governance enarchitectuurprincipes. Solvency II is wel een sterke motivator om dit op te pakken.Ook de baten zullen verder strekken dan alleen Solvency II en zich uiten in lagerebeheer-en ontwikkelkosten.ArchitectuurAls Solvency II projectmatig en per afdeling wordt opgepakt, is het essentieel dat alle projecten aangaande Solvency II en alle afdelingen op eenzelfde manier omgaan met Solvency II. Dit houdt in dat in al deze projecten en op al deze afdelingen met een eenduidige set aan principes en richtlijnen wordt gewerkt, op proces-, applicatie-, gegevens- en infrastructuurni- veau. Dit betekent dat de organisatie een bedrijfsbrede verzameling principes en richtlijnen op moet stellen en de naleving hiervan moet bewaken. Dit dient als referentie- materiaal voor elk project en elke afdeling. Voor elk project stellen architecten een Project Start Architectuur op waarin de belangrijkste elementen uit het referentie- materiaal worden aangehaald en voor zover nodig uitgewerkt op project niveau. Een Architecture Board houdt toezicht en controle op dit geheel. Het bespreekt alle Project Start Architecturen (PSA‟s) en keurt deze goed(IT Governance). Hierbij kunnen de principes van Dynamic Architecture (DYA®)toegepast worden. Architectuur en ICT Governance worden verder uitgediept in Bijlage6: Architectuur en ICT Governance.Sogeti Nederland B.V. 2.0 34september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieDatakwaliteitDatakwaliteit is één van de hoekstenen onder Solvency II. Voor de berekening vanSCR en MCR moeten grote hoeveelheden data doorgerekend worden en de verzeke-raar moet de kwaliteit van die data ook kunnen garanderen. De data vormt de basisvoor rapportages en voor management informatie (dashboards) in het kader van hetRisk Managementsysteem.Aangezien de kwaliteit van data veelal te wensen overlaat, zal er veel aandachtbesteed moeten worden aan het verbeteren van de datakwaliteit. Ook de ontsluitingvan data uit bestaande systemen moet gestroomlijnd worden (ETL-processen –Extract, Transform, Load). Er moet gezorgd worden voor “a single version of thetruth”.Om dit te bewerkstelligen is het noodzakelijk om een aantal zaken in te richten:- Data Governance- Metadata-management- Master datamanagementRequirements ManagementSolvency II is gebaseerd op principes en bestaat niet uit voorgedefinieerde regels.Elke verzekeringsmaatschappij zaldeze principes moeten vertalennaar concrete eisen en maatregelenpassend bij de eigen situatie.De concrete eisen aan de verschil-lende inrichtingscomponenten vande organisatie noemen we require-ments.Requirements kunnen betrekkinghebben op de volgende inrichtings-componenten:- Organisatie- Processen- Personeel- Systemen- Data- InfrastructuurDe vertaling van Solvency IIprincipes naar requirements is eengemeenschappelijke verantwoorde-lijkheid van materiedeskundigen enEnterprise Architecten. Eenmateriedeskundige zoals eenjuridisch adviseur of actuaris kanaangeven welke producten en maatregelen een Solvency II principe afdoende afdekt.Enterprise Architecten kunnen aangeven via welke inrichtingsaspecten deze productenen maatregelen geleverd c.q. geïmplementeerd kunnen worden.Uit governance-optiek is het van groot belang om de relatie vast te leggen tussen derequirements en de oorspronkelijke principes uit Solvency II. Ook de relatie tussenrequirements en inrichtingscomponenten is cruciaal: via die relatie is zichtbaar welkinrichtingscomponent welk requirement afdekt.Sogeti Nederland B.V. 2.0 35september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieOm deze relaties te kunnen beheren moet een requirements-framework opgezetworden. De vorm waarin dit gebeurt moet passen bij de organisatie en effectief zijn.Gedurende de implementatie van Solvency II ontwikkelt de regelgeving zich. Dit leidtweer tot mutaties op de requirements die de vertaling ervan zijn. Om grip te krijgenop de “levenscyclus” van de requirements is versiebeheer dus essentieel.BeheerprocessenHet is aan te bevelen om achterstallige en ontbrekende documentatie aan te vullen enup to date te brengen. Dit is noodzakelijk om de precieze impact van de implementa-tie van Solvency II te bepalen en om risico‟s binnen het applicatielandschap teidentificeren en te elimineren.Het is daarna zaak om de documentatie up to date te houden door de processen in terichten conform de principes van Application Lifecycle Management (ALM) en Requi-rements Lifecycle Management (RLcM).Ten slotte is het belangrijk om beheerprocessen goed op orde te hebben, zoals opbasis van ITIL6.CMM®7, COBIT8 en OPM39Hoe de ICT functie is georganiseerd is op zich van minder belang voor Solvency II.Bedenk echter wel dat DNB ook strenge eisen stelt aan de invulling van de ICTprocessen en de beheersbaarheid van systemen en data. Dit zijn ook componenten dieimpact hebben op de hoogte van de kapitaalseisen: operationeel risico is immers „hetrisico dat ontstaat door het gebruik van processen, systemen en mensen‟. Hoe betergestructureerd des te lager het kapitaalsbeslag uit hoofde hiervan.Gevestigde verbeteringsmethodes zoals CMM® en OPM3 en het COBIT-frameworkkunnen helpen het ICT bedrijf verder te optimaliseren. De implementatie van SolvencyII is een uitstekende aanleiding hiervoor.3.4 Programmabesturing Solvency II is business driven. Meer dan voorheen is de samenwerking en communicatie tussen de business en IT belangrijk. De organisatie, business management in samen- werking met ICT management moet dit procesmatig goed organiseren. Architectuur kan hierbij essentieel zijn voor de communicatie van IT naar business en omgekeerd (architec- tuur omvat beide disciplines en kan wederzijds uitleg geven). Solvency II heeft impact op de organisatie, processen, applicaties, gegevens en infrastructuur. Dit betekent ook datde mate van samenhang tussen deze lagen ook meegenomen moet worden in de6 Information Technology Infrastructure Library: Standaard voor de inrichting van IT-beheerprocessen7 Capability Maturity Model: Model dat verschillende niveaus van volwassenheid van deIT-organisatie beschrijft8 Control Objectives for Information and related Technology is een framework voor hetgestructureerd inrichten en beoordelen van een IT-beheeromgeving.9 Organizational Project Management Maturity Model: Model dat de volwassenheid vanprojectmanagement binnen een organisatie beschrijftSogeti Nederland B.V. 2.0 36september 2010
  • De ICT-implementatie van Solvency IIDe aanpak van de Solvency II-implementatieimpactanalyse (welke impact heeft een applicatie aanpassing op de processen eninfrastructuur, welke impact heeft een proces aanpassing op applicatie en infrastruc-tuur niveau?). Dit betekent een analyse op lagen niveau (samenhang binnen de laagen impact binnen de laag), maar ook enterprise-breed, tussen de lagen.De uitvoering van het Solvency II programma zal bij veel verzekeraars een „tour deforce‟ worden. Een intensieve samenwerking tussen business en ICT van groot belangomdat het programma in uitvoering zeer ICT intensief is en de uitgangspunten enkeuzes op strategisch niveau gemaakt worden. ICT is niet zozeer de uitvoerder(supplier) van de business behoefte als wel de partner die de business vanuit haarcompetenties begeleidt en ondersteunt en de uitvoering van de benodigde ICTtrajecten doet.In de discussie over het wat (behoeften – van oorsprong het primaat van de business)en hoe (supply van de oplossing – van oorsprong het primaat van ICT) blijkt het vaaklastig om de taken en verantwoordelijkheden van beide partijen uit elkaar te houden.VoorbeeldEen afdeling Risk management is van nature gewend zelf zorg te dragen voor dekeuze en implementatie van de benodigde oplossingen en systemen. Nu de Riskmanagement functie een integrale functie krijgt en de werkzaamheden afhankelijk zijnvan (semi-) live data die middels geautomatiseerde processen worden opgehaald enverwerkt, wordt de samenwerking met ICT belangrijker. Deze veranderende verant-woordelijkheden maken deel uit van de cultuuromslag die in het kader van Solvency IIgemaakt moet worden.Voor de besturing van deze complexe rol is een volwassen ICT Governance voorwaar-delijk en dient het topmanagement taken, verantwoordelijkheden en bevoegdhedenvan het ICT bedrijf opnieuw in te vullen.De ICT programmamanager zal daarom zitting hebben in het hoofdbestuur van hetSolvency II programma, waarvan het Hoofd Risk Management of de CFO de eigenaaris. De ICT programmamanager is de counterparty van de business programmamana-ger; zij beiden zijn in gelijkwaardigheid verantwoordelijk voor het gehele Solvency IIprogramma.Wanneer op zowel de uitvoerende (business analisten, informatieanalisten) als demanagement niveaus intensief met de business wordt samengewerkt, is daarmee debasis gelegd voor een succesvolle implementatie van Solvency II.Sogeti Nederland B.V. 2.0 37september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency II4 SOGETI EN DE IMPLEMENTATIE VAN SOLVENCY II4.1 VoorafSogeti kenmerkt zich van oudsher door ICT vakmanschap. Sogeti ontwikkelt haar dienstverlening door de ervaring die zij opdoet bij haar klanten te vertalen naar concrete aanpakken en methodes. Een aantal van deze methodes zoals DYA® en TMap Next® zijn toonaangevend in de markt en andere metho- den en technieken zoals Pronto®, Regatta® en Busines Intelligence Implementatie Methode hebben hun sporen ruimschoots bewezen bij Sogeti-klanten. De binnen Sogeti aanwezige kennis is ook toegespitst op Solvency II. Hiermee kan Sogeti een belangrijke brugfunctie vervullen tussen business en ICT.Drie vormen van dienstverlening zijn van toepassing op de invoering van Solvency II: Resultaatverplichte opdrachten waarbij Sogeti, onder regie van de klant, verant- woordelijk is voor een deel van de werkzaamheden en resultaten Producten en productised services waarin Sogeti haar expertise heeft verwerkt om bij haar klanten de Solvency II implementatie te kunnen versnellen en vergemak- kelijken Inzet van experts met voor de inzet adequate kennis voor de implementatie van Solvency IISogeti heeft haar ICT-vakmanschap vastgelegd in een groot aantal methoden,technieken en aanpakken. Hiernaast heeft Sogeti specifiek voor de implementatie vanSolvency II een aantal producten ontwikkeld die versnelling kunnen brengen bij devoorbereiding van de implementatie van Solvency II en de implementatie van Solven-cy II. Zie voor een uitgebreid overzicht over hoe Sogeti u kan helpen bij deimplementatie van Solvency II Bijlage 10: Meerwaarde Sogeti dienstverlening.Hiernaast heeft Sogeti een aantal business partners waarmee zij samenwerkt. Eenoverzicht hiervan kunt u vinden in Bijlage 11: Partnerships.In dit hoofdstuk bespreken we op welke wijze Sogeti haar klanten kan bijstaan bij eengecontroleerde en beheerste Solvency II implementatie.4.2 Sogeti en de voorbereiding van de ICT-implementatieDe voorbereiding van de implementatie van Solvency II is essentieel. Hiervoor biedtSogeti de volgende producten aan:4.2.1 Solvency II Awareness workshopHet doel van deze workshop is om het ICT-management bewust te maken van watSolvency II inhoudt en wat de impact kan zijn op de ICT-organisatie.Deze workshop is gericht op het ICT-management en de ICT-staf. Ook businessmanagers, risk managers en actuarissen vormen een potentieel publiek voor dezeworkshop.Sogeti Nederland B.V. 2.0 38september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IITijdens deze workshop zetten wij de visie van Sogeti op de impact van Solvency IIuiteen en gaan met u in gesprek over de situatie binnen uw organisatie. Het resultaatis een door de deelnemers gedeeld vertrekpunt voor het verder aanpakken van deSolvency II-problematiek.De workshop duurt een dag en wordt verzorgd door onze Solvency II-specialisten.4.2.2 Solvency II Readiness ScanHet doel van deze scan is om een organisatie snel op hoofdlijnen inzicht te geven overwaar zij staat ten aanzien van de ICT-implementatie van Solvency II op een aantalaandachtsgebieden zodat er besloten kan worden welke acties genomen moetenworden.De scan bestaat uit een gestandaardiseerde vragenlijst die medewerkers uit diverseICT-disciplines en business medewerkers (met name risk management en actuariaat)invullen. De keuze van de te raadplegen medewerkers wordt met de opdrachtgevervan tevoren afgestemd. De resultaten verwerken wij in een rapportage in de vorm vaneen presentatie die wij bespreken met de opdrachtgever.De Solvency II Readiness Scan heeft een doorlooptijd van één tot twee weken,afhankelijk van de omvang van de organisatie en het aantal beoogde respondenten.De scan legt slechts een zeer beperkt tijdsbeslag bij de organisatie en blijft beperkt totmaximaal een uur per respondent alsmede enige voorbereidingstijd met de opdracht-gever.De Solvency II Readiness Scan kan gecombineerd worden met de Solvency II Aware-ness Workshop.4.2.3 Solvency II ICT GAP-analyseDe GAP-analyse is bedoeld om een gedetailleerd inzicht te krijgen in de “wittevlekken” in het ICT-landschap ten aanzien van de invoering van Solvency II alsvoorbereiding op het Solvency II invoeringsprogramma.Sogeti Nederland B.V. 2.0 39september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIIn nauwe samenwerking met de opdrachtgever wordt een aantal workshops (brownpaper) georganiseerd voor strategiebepaling, requirementsanalyse en het ontwikkelenvan het toetsingskader. Vervolgens wordt de feitelijke GAP-analyse uitgevoerd,waarbij het nodige “huiswerk” wordt uitgezet binnen de organisatie.Op basis hiervan organiseren wij workshops om de mogelijke invoeringsscenario‟s uitte werken.De GAP-analyse kunnen wij snel uitvoeren door het gebruik vangestandaardiseerde scans, checklists en templates zoals: ICT Governance Scan (eventueel Assessment) Scan ICT Architectuur (DYAgnose/DYAScan) Data Quality Scan (ook als apart product mogelijk) BI Scan Totale beheerketenscan Procesverbeterscan Inbreng van generieke Solvency II requirements, BI-frameworks en architectuur- platen door SogetiHet is een beheersbaar traject door duidelijke fasering en time-boxed aanpak.De resultaten van de GAP-analyse zijn materieel: Duidelijke uitgangspunten voor implementatie Solvency II Inzage in “witte vlekken” en te ondernemen acties en kosten “Roadmap” voor de ICT-implementatie van Solvency IIImmaterieel is het resultaat dat er bewustwording plaatsvindt van de impact vanSolvency II binnen de ICT-organisatie en er het juiste gevoel voor urgentie ontstaat.Hiermee wordt draagvlak gecreëerd voor het Solvency II invoeringstraject binnen degehele ICT-organisatie.De doorlooptijd en feitelijke invulling is maatwerk, want deze is sterk afhankelijk vande situatie bij de opdrachtgever. Hiertoe zou de GAP-analyse bij voorkeur voorafmoeten worden gegaan door een Solvency II Readiness Scan.Versnelling bij de GAP-analyse kan behaald worden door de ICT-GAPanalyse aan telaten sluiten bij de invulling van de eerste ORSA.4.3 Solvency II implementatie4.3.1 AlgemeenSolvency II is een ontwikkeling die al enige jaren geleden begonnen is, maar zich nuconcretiseert. De kennis en ervaring binnen de markt is nog beperkt. Binnen Sogeti iser uitgebreide kennis en ervaring op het gebied van eerdere compliance-trajectenzoals Basel II, SOX en IFRS. Verder is de richtlijn nog in ontwikkeling, welke ontwikke-ling Sogeti nauwgezet volgt en vertaalt naar de ICT-praktijk.Alle projectmedewerkers van Sogeti krijgen een uitgebreide workshop op het gebiedvan Solvency II (deze is eventueel ook beschikbaar voor de interne medewerkers vande klant). Sogeti borgt de opgedane kennis op het gebied van Solvency II en zorgt dathaar medewerkers in Solvency II projecten hiervan op de hoogte blijven.Sogeti Nederland B.V. 2.0 40september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIOp deze manier kan Sogeti haar klanten de zekerheid geven dat zij toegang hebbentot de uitgebreide, zich steeds ontwikkelende Solvency II kennis en ervaring vanSogeti.4.3.2 Project- en programmamanagementSogeti heeft een uitgebreid track record op het gebied van project- en programmama-nagement binnen de financiële wereld van veelal complexe en bedrijfskritischeprojecten en programma‟s, waaronder menig compliance-project. Sogeti beschikt overervaren en gecertificeerde project- en programmamanagers die hun sporen ruim-schoots verdiend hebben binnen de verzekeringswereld en veelal ervaring hebben ophet gebied van compliance-projecten.4.3.3 Inrichting ICT GovernanceVoor een succesvolle implementatie van Solvency II, zeker gezien de vele disciplinesen aspecten van het ICT bedrijf die hierdoor geraakt worden, is adequate samenhangen integratie van de ICT besturing een voorwaardevooraf. Deze is dus ook een belangrijke voorwaar-de vooraf en onderdeel van de structurelebenadering. Solvency II is een valide aanleidingom, wanneer op dit punt nog meters te makenzijn, de ICT governance te verbeteren.Sogeti biedt u aan om de huidige ICT besturing alsonderdeel van de Solvency II besturing en alsonderdeel van de gehele ICT huishouding door telichten en op eventuele tekortkomingen verbeter-voorstellen te doen. We analyseren de driecompetenties die tezamen de ICT governancevormen: Architectuur en IT strategie, IT portfoliomanagement en ICT-programmamanagement. Invalshoeken: processen, organisatieen mensen, producten en integratie/samenhang.4.3.4 ICT ArchitectuurOp het gebied van architectuur heeft Sogeti een indrukwekkend track record en wordterkend als de thought leader. Architectuur heeft vele verschijningsvormen en niet allezijn even relevant voor de implementatie van Solvency II. In ieder geval zijn in hetkader van Solvency II aan de orde: Applicatie architectuur en applicatielandschap Informatie- en data architectuur Architectuur van data warehouseZie ook Bijlage 6: Architectuur en ICT Governance.4.3.5 Datamanagement, datakwaliteit en data deliveryNaar verwachting is het onderwerp „data‟ in brede zin (datakwaliteit en - beschikbaar-heid, metadata, traceability, data warehouse/datamart, import/export, ETL etc.)verantwoordelijk voor 70% van de gehele inspanningen en kosten die in Solvency IIgestoken moeten worden. Kortom: een essentieel onderdeel van de Solvency IIimplementatie, zoals we reeds in paragraaf 2.2 Impact op ICT hebben toegelicht.Sogeti Nederland B.V. 2.0 41september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IISogeti beschikt over ruime ervaring in het ontwerpen en implementeren van data-infrastructuren en BI-toepassingen. Deze worden ook genoemd in Bijlage 8: Gegevensen gegevensontsluiting.4.3.6 Business Proces Management (BPM) en procesimplementatieIn paragraaf 2.1 Impact op de business zijn we ingegaan op het belang van processenen procesmanagement voor zowel Pilaar 1 als Pilaar 2. Het is ons al meermalen intrajecten waarbij DNB stringente eisen aan processen stelde (zoals bijvoorbeeld BaselII), gebleken dat de inzet van Sogeti op dit vlak de werkzaamheden enorm heeftversneld en de resultaten beter dan ooit tevoren geborgd en onderhoudbaar heeftgemaakt. Dus niet alleen voldoen aan DNB eisen, maar deel laten uitmaken van dekwaliteit van de bedrijfsvoering. Een uitgebreidere behandeling treft u aan in Bijlage7: Business Proces Management (BPM) .4.3.7 PakketselectieNaar verwachting zullen vele verzekeraars bij de implementatie van het Solvency IIprogramma overgaan op andere en additionele risk management systemen. De benodigde functionaliteit daarvan wordt onder andere bepaald door:  de Solvency II richtlijnen betreffende de door de verzekeraar gebruik te methodiek: standaardmodel of standaardmodel + (deels) interne modellen  de bedrijfseigen invulling van de risk management en actuariële functie  de door het bedrijf gekozen risk appetite  de organisatie van de risk management functie: centraal of decentraal+centraalVerzekeraars, met name de verzekeraars die (eventueel deels) met interne modellengaan werken, zullen tooling (risk engines) kunnen invoeren voor: marktrisico‟s + kredietrisico‟s van effecten (aandelen, obligaties, leningen, swaps, derivaten etc.) idem, specifiek voor real estate verzekeringstechnische risico‟s – hierin onderscheid te maken naar bedrijfstak: leven, non-leven, herverzekeren Catastroferisico‟s operationele risico‟s – hierbij kan gebruik gemaakt worden uit ervaringen van banken met Basel II risk management op Groep niveau: enterprise risk management (ERM), concentra- tierisico‟sRequirementsSogeti kan een belangrijke bijdrage leveren op het gebied van het bepalen van debehoefte (drivers, objectives, user requirements, use cases) en de uitvoering (techni-sche requirements, non-functional requirements) en op die wijze een belangrijke brugvormen tussen business en ICT.Requirements Lifecycle Management is een door Sogeti ontwikkelde methode, die mettooling ondersteund wordt. RLcM speelt niet alleen een rol bij het bepalen van devereisten, maar ook bij het valideren van de specificaties van de oplossingen (tools),het in beheer nemen van de oplossingen en onderhouden gedurende de levenscyclusvan de oplossing. RLcM wordt door Sogeti business analisten begeleid. Zij sprekenzowel de taal van de business als van de ICT.Sogeti Nederland B.V. 2.0 42september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIAanpak pakketkeuzeHoewel het bepalen van het hoe in principe de verantwoordelijkheid is van ICT, is hetessentieel hierin samen te werken met de business (risk managers). Zij zijn hetuiteindelijk die de oplossing moeten valideren en gebruiken. Ook hier kunnen Sogetibusiness analisten een belangrijke bijdrage leveren en een brugfunctie tussen busi-ness en ICT vormen. Ook het begeleiden van een Proof of Concept valt hieronder.Bij een definitieve keuze kan Sogeti bijvoorbeeld ook de contracten en service levelshelpen uitwerken en deze tegen de richtlijnen van Solvency II houden.PakketimplementatieMomenteel wordt veel van het risk management (en actuariaat) instrumentarium off-line gebruikt en vindt veel end userautomatisering plaats. Dit is niet wenselijk onderhet Solvency II regime in het licht van de Pilaar 2 vereisten over aantoonbare kwaliteitvan systemen en processen en van het optimaliseren van het operationele risico.De ICT-organisatie dient de geselecteerde systemen in de ICT-infrastructuur en –architectuur te integreren. Zij zullen op geautomatiseerde wijze gebruik moetenmaken van live-like brondata. Bewerkte resultaten moeten controleerbaar op centraleplaatsen teruggeschreven worden door de risk management applicaties. Dit vraagt omeen methodische benadering en aanpak waardoor de gebruikers zich kunnen beperkenen concentreren op het testen van de functionele gebruikers aspecten (werking enresultaat van modellen) en het valideren van het eindresultaat.De gehele implementatie van nieuwe systemen, inclusief aspecten als opleiding, inbeheer nemen, documentatie enzovoort kan Sogeti voor haar rekening nemen.Sogeti Nederland B.V. 2.0 43september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 1: SOLVENCY II INVOERINGSKALENDERAan Solvency II wordt sinds 2005 gewerkt. In het eerste kwartaal van 2009 is derichtlijn door het Europese Parlement en door de Europese Raad. De lidstaten zijndaarna aan zet. Parallel hieraan werkt CEIOPS de maatregelen uit. De laatste adviezenkomen in januari/februari 2010 uit. De lidstaten zullen daarna de richtlijn gaanomzetten in wet- en regelgeving.Gedurende deze periode is er ook een aantal veldonderzoeken uitgevoerd, de Quanti-tative Impact Studies (QIS). Deelname hieraan was vrijwillig, maar DNB dringt er tenzeerste op aan dat de Nederlandse verzekeringsmaatschappijen deelnemen aan QIS5,die start per september 2010. De samenstelling van QIS5 wordt in juni/juli 2010verwacht. DNB overweegt om op nationaal niveau in 2011 en 2012 nog aanvullendestudies te doen analoog aan QIS5.In de loop van 2011 zullen dan de definitieve vereisten voor rapportages door de DNBworden geleverd. In reactie hierop dienen bedrijven een implementatieplan hiervoorper november 2011 aan de DNB te overleggen. In 2010 dienen hiertoe selfassessments uitgevoerd te worden.Op 29 oktober 2009 heeft DNB een Consultatiedocument naar de verzekeraarsgestuurd waarin DNB haar aanpak voor de invoering van Solvency II schetst en deaanpak voor het toezicht.Gedurende de periode daarna zal DNB de use tests van de maatschappijen beoordelenalsmede de ORSA‟s.Daarnaast zal in de loop van 2011 de definitieve vereisten voor rapportage door DNBworden aangeleverd. In reactie hierop dienen bedrijven een implementatieplan voorrapportage per november 2011 aan DNB te kunnen overleggen.Sogeti Nederland B.V. 2.0 44september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIDe regering zal de wet- en regelgeving naar verwachting in het 4e kwartaal 2011voorleggen aan de Tweede Kamer.In Nederland ziet de invoeringskalender er als volgt uit:2009  RiSK (balansdatum 31-12-2008)2010  Tussen 31 maart en 30 september 2010: “Self assessment Solvency II” inclusief implementatieplan  Juli 2010 - maart 2011: Pre-applicatie interne modellen  QIS5 (balansdatum 31-12-2009)2011  Pilaar 1 berekeningen (op basis van standaardformule en eventueel intern model) over de situatie per 31 december 2010  Formele applicatie interne modellen  Pillar 3 Vereisten en templates rapportage  Implementatieplan rapportages2012  Vervolg formele applicatie interne modellen  Pilaar 1 berekeningen (op basis van standaardformule en eventueel intern model) over de situatie per 31 december 2011  Generale repetitie ORSA per 31-12-2011  Schaduw kwartaalrapportage over het tweede of derde kwartaal van 2012  Voldoen aan alle vereisten per 31-12-20122013  Eerste formele rapportage volgens Solvency II per 31-12-2012Sogeti Nederland B.V. 2.0 45september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 2: SOLVENCY II EN BASEL IISolvency II en Basel II programma‟s hebben veel overeenkomsten. Aan de anderekant zijn er ook wezenlijke verschillen. Het Basel II programma is door de meestebedrijven succesvol afgerond. Er kan dus lering worden getrokken uit de lessen diegeleerd zijn bij de implementatie van Basel II.Daarnaast zijn er belangrijke overeenkomsten met de implementatie van IFRS (dehuidige boekhoud- en rapportage grondslagen). Deze hebben de meeste verzekeraarswel aan den lijve meegemaakt. Bovendien gebruiken de verzekeraars de gelegenheidom met Solvency II ook de laatste IRFS4 versie 2 wijzigingen te realiseren.Bijl. 2.1 Overeenkomsten met Basel II Het zijn beide omvangrijke projecten waarbij het gevaar van onderschatting van de impact loert De richtlijnen van Basel II en Solvency II bieden beide mogelijkheden voor het verfijnen van de gebruikte methoden en daarmee het creëren van business bene- fits Beide programma‟s zijn gebaseerd op een 3-pilaren risk management framework (zie figuur 1) bestaande uit kwantitatieve, kwalitatieve en publicatierichtlijnen (disclosure) Beide programma‟s zoomen in op het bepalen van het operationele risico van een organisatie. Daarbij wordt de definitie van het Basel Comité gehanteerd: “risico op potentiële verliezen die resulteren uit ongeschikte of fout ingerichte interne pro- cessen, medewerkers, systemen of uit externe oorzaken en gebeurtenissen” Zowel banken als verzekeraars hebben grote moeite om de operationele risico‟s te meten en te kwantificeren Beide programma‟s hebben een grote impact op de ICT huishouding van de maatschappijen, met name op het beheren, ontsluiten en bewerken van grote hoeveelheden data.Figuur 1 – 3-pilaren framework van Solvency II en Basel IISogeti Nederland B.V. 2.0 46september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBijl. 2.2 Verschillen met Basel II De relevante risicoklassen van banken en verzekeraars verschillen fundamenteel Basel II kent geen risico‟s uit hoofde van verplichtingen Solvency II gaat uit van een total balance sheet approach en kent meer, en soms afwijkende risicoklassen (kredietrisico, marktrisico, verzekeringstechnisch risico, liquiditeitsrisico, operationeel risico) dan Basel II (kredietrisico, marktrisico en operationeel risico) De richtlijnen voor Pilaar 1 van Solvency II zijn veel minder voorgeschreven dan die voor Basel II – waar een vaste kapitaalratio berekend moet worden De detaillering van de risicodefinities voor Solvency II – zoals bijvoorbeeld de solvabiliteitsniveaus – gaat veel verder dan bij Basel IIBijl. 2.3 Lessons learned van BASEL II implementatiesOnderschat de effort (en de kosten) nietVeel banken hebben de benodigde tijd en effort om Basel II-compliant te wordenenorm onderschat. Banken hadden ook de keuze om een aantal standaardmodellen tegebruiken dan wel een intern model (IRB: internal ratings based) te gebruiken. Nog inde eerste helft van 2010 waren banken nog steeds bezig om de IRB modellen in tevoeren of te optimaliseren, terwijl het Basel II regime sinds begin 2007 geldt.De impact van Solvency II op de risk management functie van verzekeraars, zekerwanneer een intern model gehanteerd gaat worden, is groter dan de impact van BaselII op de risk management functie van banken. En Solvency II omvat – zoals eerdertoegelicht – ook de verplichtingen-zijde van de balans, dus de scope is zelfs groter danbij Basel II. Er zullen nieuwe risk modellen uitgewerkt en getest moeten worden. Hiergaat, zo leert Basel II, al snel een jaar overheen.Houd ook in het achterhoofd dat de Solvency II vereisten nieuw en nog steeds aanveranderingen onderhevig zijn, dus de uiteindelijke impact op processen en systemenis onbekend. Dit leidt tot verdere onzekerheden aangaande effort en kosten.Combineer Solvency II compliance efforts met andere structurele wijzigingenImplementatie van Basel II was een goede aanleiding om structureel te werken aanverbeteringen, bijvoorbeeld op het gebied van de kwaliteit van de benodigde data inde bronsystemen.Het advies luidt derhalve: kies ook voor een structurele aanpak en oplossingen.Plan zorgvuldig en doe niet alles tegelijkDe verzekeraar moet bedenken waar deze strategisch wil staan na volledige imple-mentatie van Solvency II. Deze eindbestemming moet de verzekeraar vastleggen ende route daarheen plannen in duidelijke stappen (plateaus). Per plateau moet deverzekeringsmaatschappij bepalen welke risico´s verwacht kunnen worden (asses-sment en impact analyse).De meeste bedrijven die geacht worden een intern model te gaan hanteren zulleneerst zorgen dat ze in ieder geval het standaardmodel op tijd kunnen hanteren.Optimalisaties en verfijningen (interne modellen) kunnen ze vervolgens implemente-ren volgens de eigen optimale planning zonder de druk van de deadline van 31-10-2012: het moment dat elke verzekeraar aantoonbaar Solvency II compliant dient tezijn. Ook na 31-10-2012 zijn verbeteringen nog steeds aan de orde!Sogeti Nederland B.V. 2.0 47september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIVerwacht geen „one size fits all‟ oplossingSolvency II omvat uiteenlopende technische issues, zoals risk management, asset andliability management, financiële analyses en BI. Banken hebben bij implementatie vanBasel II ervaren dat er niet één oplossing van één leverancier beschikbaar was.Banken hebben gezocht naar „best of breed‟ oplossingen voor deeltrajecten. Zo zal hetbij verzekeraars ook verlopen. Bijvoorbeeld op het gebied van risk management eenrisk engine specifiek voor de technische voorzieningen, een voor marktrisico‟s encredit risico‟s van beleggingen (aandelen, fixed income, derivaten), een voor realestate en een overkoepelend Enterprise risk management systeem t.b.v. het optimali-seren van de onderlinge afhankelijkheden van risico‟s over werkmaatschappijen heen.Houd zicht op potentiële benefitsDe potentiële benefits dient de verzekeraar te expliciteren in een „Solvency II businesscase‟. Hier kan men op sturen om daarmee de benefits in focus te houden. Bij Basel IIhebben banken ervaren hoe gemakkelijk men deze benefits uit het oog verloor onderdruk van de tucht van alledag: van „wat willen we‟ naar „wat kunnen we‟ naar „watmoeten we‟.ICT en business partnershipSolvency II is – evenmin als Basel II – geen project waarbij de business haar behoef-ten kenbaar maakt en deze bij ICT als „aannemer‟ in uitvoering geeft. Met name voorde benodigde uitbreidingen en wijzigingen in risk management processen, proceduresen systemen is de wisselwerking tussen business en ICT essentieel. Zet dit partnershipvroegtijdig op en werk zoveel mogelijk in gezamenlijkheid. Zorg ook voor een ICTvertegenwoordiging in het bestuur van het Solvency II programma.Sogeti Nederland B.V. 2.0 48september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 3: STANDAARDMODEL OF INTERN MODELBijl. 3.1 Verschillen tussen het standaardmodel en interne model- lenDe standaard methode voor het bepalen van het risicokapitaal (SCR) is een doorCEIOPS bepaalde rekenexercitie, het standaardmodel.Als alternatief heeft CEA (het Europees Verbond van Verzekeraars) een ESA (EuropeanStandard Approach) uitgewerkt. Een zo eenvoudig mogelijk model dat eveneensuitgaat van een total balance sheet approach (assets en verplichtingen), met voor deverplichtingen, naast de boekwaarde een Cost of Capital berekening voor de non-hedgeable (niet af te dekken of herverzekeren) risico‟s: wat zou het bedrijf kwijt zijn(inclusief het rendement) aan kapitaal dat men uit de markt (van de aandeelhouders)zou aantrekken om het eigen vermogen aan te vullen om aan de SCR te voldoen.Dit model is ter beoordeling neergelegd bij CEIOPS. Inmiddels heeft CEIOPS eenaantal aanbevelingen uitgebracht over de berekeningen met standaardmodellen.In alle gevallen moet de verzekeraar de kapitaalvereisten kunnen berekenen aan dehand van het standaardmodel.De methode voor het bepalen van de SCR volgens de interne modellen wordt bepaalddoor de verzekeraar zelf. De methode en de uitkomsten dienen eerst door de Toe-zichthouder te worden goedgekeurd voordat een verzekeraar ze mag toepassen. Deuitkomsten dienen aantoonbaar te voldoen aan de eis (het „comfort level‟) van 99,5%zeker voor de komende 12 maanden. Dit komt overeen met een falen eens in de 200jaar. Overigens is het ook toegestaan – uiteraard mits door DNB geaccordeerd – omdeels het standaardmodel en deels interne modellen te gebruiken.De hoogte van de MCR wordt vooralsnog bepaald door een percentage van het SCRkapitaalsbeslag dat volgens de standaard methode berekend is.Hieruit blijkt overigens dat verzekeraars die het kapitaalsbeslag volgens internemodellen berekenen, ook de standaard methode moeten uitvoeren: vooralsnog om deverschillen met de uitslagen volgens de interne modellen aan te geven en te verklarenen dus om de MCR te berekenen.De MCR is in die zin belangrijk, dat de Toezichthouder (DNB) kan overgaan totliquidatie van het bedrijf wanneer het eigen vermogen van de verzekeraar onder deMCR is gekomen.Wanneer het eigen vermogen onder de SCR grens is gedaald, worden er overigens alheel indringende afspraken ter verbetering door de Toezichthouder opgelegd.Bijl. 3.2 Potentiële baten van interne modellenDe standaard methode leidt tot een vrij starre uitkomst waarop een verzekeraarweinig tot geen manoeuvreerruimte heeft.De interne modellen staan de verzekeraar toe om – binnen de genoemde 99,5%veiligheidsgrens – eigen keuzes te maken op het gebied van het risico dat hij bereid iste nemen (risk appetite). Naarmate een verzekeraar bereid is hogere risico‟s tenemen, staat hier ook een hogere kapitaalseis tegenover, maar ook hogere winstmo-gelijkheden. Een lagere risk appetite leidt tot lagere kapitaalseisen en navenant lagereSogeti Nederland B.V. 2.0 49september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIpremie en hiermee mogelijk hogere omzet, maar tegen lagere marges. Ook kan deverzekeraar door het aanbrengen van verfijningen in de methodiek het vereistekapitaalsbeslag (SCR) verlagen. Bijvoorbeeld door het toepassen van hedge accoun-ting om marktrisico‟s te verkleinen, historische data of gegevens van externe partijen(rating agencies zoals S&P en Moody‟s) gebruiken om aan te tonen dat een lagerkapitaalsbeslag verantwoord is, of door het zeer stabiel inrichten van systemen enprocessen hetgeen kan leiden tot verlagen van het operationele risico.Gevolg hiervan is wel dat kleinere verzekeringsmaatschappijen (die de standaardmethode gebruiken) een concurrentienadeel kunnen ondervinden – zij kunnen immersde hoogte van hun premie minder goed optimaliseren. En dat levert niet echt eeneerlijke concurrentieverhoudingen, een “level playing field” op.Het is onder andere ook daarom dat de verwachting is dat DNB het merendeel van deNederlandse maatschappijen een methode zal opleggen die (deels) volgens internemodellen werkt.Overigens is onze informatie dat grote verzekeraars zullen starten met de standaardmethode en gaandeweg steeds meer (partieel) interne modellen zullen hanteren,maar dat in de eindsituatie toch nog steeds ten dele met de standaard methodegewerkt zal worden.Sogeti Nederland B.V. 2.0 50september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 4: RISICO’S BIJ DE IMPLEMENTATIE VAN SOLVENCY IIBijl. 4.1 ‘Just another compliancy program’Verzekeraars lopen risico‟s wanneer ze de implementatie van Solvency II waarderenals „min of meer gewoon weer zo‟n compliance verplichting, waarvan we er al denodige achter de rug hebben‟.De richtlijnen voor Solvency II zullen grote veranderingen teweeg brengen in dewerkwijze van de business en de daaraan gerelateerde ICT ondersteuning. Dit geldtmet name voor de Risk Management functie bij de business en datakwali-teit/datamanagement in het ICT bedrijf. Dit speelt zowel bij de verzekeraars die eenspecifieke „maatwerk‟ implementatie met nog nader uit te werken methoden entechnieken willen gaan uitvoeren, als bij de verzekeraars die kunnen volstaan met hettoepassen van een standaard methodiek: De huidige Solvency I richtlijnen zijn niet bruikbaar als basis voor de implementa- tie van Solvency II: het huidige Solvency I regime gaat uit van risico‟s op de verplichtingen (technische voorzieningen) terwijl Solvency II uitgaat van een total balance sheet approach waarin de risico‟s op zowel de verplichtingen als de bezit- tingen gewogen worden De Risk Management functie en processen zullen een centrale rol spelen in de commerciële en financiële processen. Op dit moment vinden de actuariële en de risk management processen nog vaak offline en decentraal plaats. Conform de huidige Solvency II richtlijnen (ze zijn nog niet definitief) zal de toe- zichthouder, in dit geval DNB als prudentieel toezichthouder, dat afkeuren Verzekeraars lopen ook risico‟s wanneer ze zich beperken tot het voldoen aan de standaard nieuwe kapitaalrichtlijnen en niet ook de kernprocessen van de business onderhanden nemen Wanneer verzekeraars Solvency II niet aangrijpen als een kans om belangrijke verbeteringen aan te brengen, bijvoorbeeld in hun architectuur, data-infrastructuur en applicatielandschap, worden 1-dimensionale oplossingen gebouwd en kan dit leiden tot het telkens weer gehele traject doorlopen worden bij onvermijdelijk vol- gende compliance trajecten.En ja: Solvency II is inderdaad weer een volgend compliance-programma, maar weleen met een grote impact op essentiële bedrijfsfuncties en –processen en zelfs op decommerciële slagkracht van de verzekeraarBijl. 4.2 Te weinig focus op pilaar 2De neiging bestaat om zich te richten op de “harde” aspecten van Solvency II zoals deinrichting van de riskmodellen (pilaar 1) en de rapportageprocessen (pilaar 3).Hierdoor krijgen de governance-aspecten (pilaar 2) te laat aandacht. Het merendeelvan de governance-eisen is onafhankelijk van de gehanteerde modellen (standaard ofintern). Aspecten van governance zoals data governance, procesinrichting en -documentatie en audit trail zijn enerzijds voorwaardenscheppend voor het correct encontroleerbaar kunnen uitvoeren van risicoberekeningen en opleveren van rapporta-ges.Bijl. 4.3 Late startHet gevaar bestaat, dat de ICT-organisatie pas laat aangehaakt wordt omdat debusiness nog bezig is met het bepalen van strategische keuzes en het opzetten vaninterne modellen op basis van een onbeschreven en alleen uitkomst gerichte aanpak-voor wat betreft de onderliggende dataverzameling en bewerkingen. Hierdoor kan hetSogeti Nederland B.V. 2.0 51september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIgehele Solvency II-implementatieproces voor de organisatie in gevaar raken. De ICT-organisatie zal dan ook op een zo vroeg mogelijk moment betrokken moeten worden.Bijl. 4.4 Er is al zoveel te doen….De meeste ICT-organisaties bij verzekeraars hebben al een overvol programma. Denkaan programma‟s op het gebied van transparantie en zorgplicht. Hiernaast speelt noghet reguliere onderhoud en aanpassingen aan systemen. Dit legt druk op de budget-ten, maar ook op schaarse kennis van de benodigde medewerkers.Bijl. 4.5 Stoppen als het klaar isEen Solvency II-programma zal zich vooral focussen op het halen van de deadline vande invoering per 31 december 2012. Er valt in veel gevallen niet aan te ontkomen dathierbij concessies gedaan moeten worden aan het “ideaalplaatje”. Ongetwijfeld zullener ook andere ontwikkelingen gaan spelen die dan de aandacht zullen krijgen,waardoor er zaken blijven liggen en mensen gealloceerd gaan worden aan andereontwikkelingen waardoor kennis en capaciteit wegvloeit.Solvency II is “principle based” en DNB geeft duidelijk aan dat er na de 1 e implemen-tatie een continu verbeterproces zal gaan plaatsvinden waarbij de toegepastemodellen, maar ook de governance en rapportagevereisten (m.n. die met betrekkingtot governance) verfijnd worden.Het behoeft dan ook aanbeveling om de Solvency II veranderorganisatie gedurendehet invoeringsproces ook in te bedden in de staande organisatie.Bijl. 4.6 Onderschatting van de testinspanningSolvency II gaat grote delen van de organisatie raken, zowel qua processen alssystemen. Dit leidt, met name bij verzekeringsgroepen, tot veelomvattende aanpas-singen. De testinspanning hiervoor zal navenant complex zijn en zal veelvoorbereiding vragen. Er zal dus van het begin af aan aandacht moeten zijn voor deorganisatie en voorbereiding van het testen.Sogeti Nederland B.V. 2.0 52september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 5: AANDACHTSPUNTEN VOOR UITBESTEDINGBijl. 5.1 InleidingEen onderdeel van de Solvency II-richtlijn betreft eisen die gesteld worden aanuitbesteding. In het kader van de implementatie van Solvency II zullen verzekeraarsen dienstverleners hun dienstverleningscontacten moeten beoordelen en waar nodigaanpassen.Deze bijlage is gebaseerd op “CEIOPS‟ Advice for Level 2 Implementing Measures onSolvency II: System of Governance” (Verder “CEIOPS-advies”) van oktober 2009. Derichtlijn is nog in ontwikkeling en de definitieve versie kan op details afwijken.Bijl. 5.2 ReikwijdteHet CEIOPS-advies definieert outsourcing als volgt: 3.345. Outsourcing in the context of the Level 1 text means an arrangement of any form between an insurance or reinsurance undertaking and a ser- vice provider, whether a supervised entity or not, by which that service provider performs a process, a service or an activity, whether directly or by sub-outsourcing, which would otherwise be performed by the insur- ance or reinsurance undertaking by itself.Merk hierbij op, dat de definitie heel breed is. Het incidenteel inhuren van specialistenof het verzorgen van opleidingen valt er niet onder, maar als er over langere tijd eenafhankelijkheid ontstaat valt het er wel onder. CEIOPS zal nog komen met een nadereuitwerking hiervan.Voor uitbesteding geldt, dat de verzekeraar te allen tijde eindverantwoordelijk voor deuitbestede processen en de verzekeraar moet beschikken over een uitgewerktuitbestedingbeleid. Dit beleid moet onder meer de beoordeling omvatten van deimpact van outsourcing op de bedrijfsvoering en de monitoring en rapportageafspra-ken die geïmplementeerd moeten worden als een uitbestedingcontract in werkingtreedt.De verzekeraar moet het monitoren van uitbestede processen opnemen in het riskmanagementsysteem. De dienstverlener dient te beschikken over een eigen riskmanagementsysteem. De verzekeraar moet te allen tijde zelf beschikken over dekennis die nodig is om vast te stellen dat de dienstverlening de diensten verleentconform het contract. AANDACHTSPUNT: Beschikbaarheid van een geaccordeerd uitbestedingbeleid en het toetsen of lopende uitbestedingcontracten eraan voldoen.Sogeti Nederland B.V. 2.0 53september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIDe richtlijn zelf stelt in artikel 92 over uitbesteding: Outsourcing of critical or important operational functions or activities shall not be undertaken in such a way as to lead to any of the following: (a) materially impairing the quality of the system of governance of the undertaking concerned; (b) unduly increasing the operational risk; (c) impairing the ability of the supervisory authorities to monitor the compliance of the undertaking with its obligations; (d) undermining continuous and satisfactory service to policy holders.Tot “kritische” of “belangrijke” functies of activiteiten rekent CEIOPS in ieder geval hetgovernancesysteem en alle functies die van belang zijn voor het uitvoeren van dekernactiviteiten. Als voorbeelden noemt CEIOPS het beprijzen en ontwerpen vanverzekeringsproducten, het beleggen van middelen, portefeuillebeheer en schadeaf-handeling. Hoewel niet expliciet genoemd, moet de ontwikkeling en het beheer vaninformatiesystemen hier ook toe gerekend worden, aangezien informatiesystemen deprimaire bedrijfsfuncties van de verzekeraar ondersteunen.Bijl. 5.3 Eisen aan uitbestedingSelectie van dienstverlenersBij de selectie van dienstverleners voor uitbesteding van essentiële en belangrijkefuncties dient de verzekeraar een aantal stappen te doorlopen om de volgende zakenvast te stellen:(a) dat de dienstverlener over de vaardigheden en capaciteiten beschikt om de vereiste functies of activiteiten op een bevredigende manier uit te voeren met het oog op de doelstellingen en behoeften van de verzekeraar(b) dat de dienstverlener alles in het werk heeft gesteld om veilig te stellen dat er geen feitelijke of potentiële conflicterende belangen zijn met de verzekeraar die schade kunnen opleveren voor de verzekeraar(c) er een schriftelijke overeenkomst is met de dienstverlener waarin de rechten en plichten van de partijen zijn vastgelegd(d) dat de algemene voorwaarden van de overeenkomst goedgekeurd en begrepen zijn door de bestuurder van de verzekeraar of het toezichthoudend orgaan(e) de uitbesteding niet leidt tot overtreding van enige wet- of regelgeving op het gebied van gegevensbescherming of anderszins(f) De dienstverlener onderworpen is aan dezelfde voorwaarden als waaraan de verzekeraar is onderworpen met betrekking tot de beveiliging en vertrouwelijk- heid van gegevens die gerelateerd is aan diens klantenHierbij dient de verzekeraar ervoor te zorgen inzage te krijgen in de risico‟s dieverbonden zijn aan de uitbesteding en in de meest gepaste maatregelen om dezerisico‟s te managen dan wel te beperken. Verder dient vastgesteld te worden of dedienstverlener de kennis, capaciteit en eventueel benodigde vergunningen heeft om dediensten te kunnen verlenen. De conclusies van dit onderzoek dienen gedocumenteerden vastgelegd te worden. AANDACHTSPUNT: Indien er onderuitbesteding buiten de E.E.R. plaatsvindt moet nagegaan worden of overdracht van gegevens moet plaatsvinden naar bijvoorbeeld India en of dit onder Nederlandse en Europese wet- en regelge- ving toegestaan is. Indien dit noodzakelijk is voor bijvoorbeeld testen is het wellicht noodzakelijk om gegevens te anonimiserenSogeti Nederland B.V. 2.0 54september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIDe overeenkomstDe verzekeraar moet zich ervan vergewissen dat de tekst van de overeenkomst inovereenstemming is met de verplichtingen van de verzekeraar onder Solvency II. Inde schriftelijke uitbestedingovereenkomst zullen op zijn minst de volgende zakengeregeld moeten worden:(a) de plichten en verantwoordelijkheden van de partijen(b) de dienstverlener moet zich verbinden zich te onderwerpen aan alle toepasse- lijke wet- en regelgeving en richtlijnen en meewerken met de Toezichthouders van de verzekeraar met betrekking tot de uitbestede functie of activiteit AANDACHTSPUNT: Hierover een clausule opnemen in uitbestedingcontracten(c) de dienstverlener dient alle ontwikkelingen te melden die een materiële invloed hebben op diens vermogen om de uitbesteding uit te voeren, inclusief mogelij- ke belemmerende effecten van nieuwe wet- en regelgeving in diens vestigingsland en enig materiële wijzigingen in zijn financiële positie of risico- profiel AANDACHTSPUNT: Hierover een clausule opnemen in uitbestedingcontracten(d) dat de opzegtermijn voor de dienstverlener van het contract voldoende lang moet zijn voor de verzekeraar om een alternatieve oplossing te vinden AANDACHTSPUNT: Hierover een clausule opnemen in uitbestedingcontracten(e) Dat de verzekeraar de overeenkomst mag beëindigen binnen een redelijke opzegtermijn indien de geleverde diensten niet voldoen aan de eisen(f) Dat de verzekeraar zich het recht voorbehoudt om geïnformeerd te worden over de uitbestede activiteiten en de performance van de dienstverlener en dat de verzekeraar het recht heeft om algemene richtlijnen en specifieke aanwij- zingen uit te vaardigen waarmee rekening gehouden moet worden bij de uitvoering van de uitbestede functies en activiteiten AANDACHTSPUNT: Duidelijke rapportageafspraken opnemen in de overeen- komst. Ingeval de eisen tussentijds kunnen wijzigen meer/minderwerkclausules opnemen om disputen tussen de verzekeraar en dienstverlener te voorkomen AANDACHTSPUNT: Zoals het nu verwoord is in het CEIOPS-advies blijft in het midden of dit tussentijds kan plaatsvinden. Indien dit open gelaten wordt kan het contract onbestuurbaar worden. Er zal dus een duidelijke beschrijving moe- ten zijn van de diensten (SLA‟s e.d.) met meer/minderwerkclausules indien er aangepaste richtlijnen komen om disputen tussen de verzekeraar en dienstver- lener te voorkomen(g) Dat de dienstverlener enige vertrouwelijke informatie in relatie tot de verzeke- raar of diens klanten zal beschermen AANDACHTSPUNT: Opnemen van clausules met betrekking tot gegevensbe- scherming (niveaus, beveiligingsmaatregelen) en vertrouwelijkheid (non- disclosure)Sogeti Nederland B.V. 2.0 55september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency II(h) Dat de dienstverlener de verzekeraar, diens externe auditor en Toezichthouder onbelemmerd toegang verstrekt tot alle informatie met betrekking tot de uitbe- stede functies en activiteiten alsmede dat de dienstverlener hen toegang verschaft tot diens bedrijf indien een inspectie of audit ter plaatse moet worden uitgevoerd AANDACHTSPUNT: Standaardclausule voor opnemen. Het verdient aanbeve- ling om vast te stellen om welke informatie dit gaat en het aantal inspecties/audits vast te stellen en de kosten die hiervoor doorberekend mogen worden(i) Dat de Toezichthouder direct vragen mag stellen aan de dienstverlener AANDACHTSPUNT: Een clausule voor opnemen in het contractDienstverleners in derde landenIndien de dienstverlener gevestigd is in een ander land dan de Lidstaat waarin deverzekeraar gevestigd is, dient er een bepaling opgenomen te worden over hetbeslechten van geschillen met name ten aanzien van het bepalen van het toepasselijkrecht en forumkeuze. OPMERKING: Dit is mogelijk van toepassing indien onderuitbesteding plaats- vindt naar bijvoorbeeld IndiaOnder-uitbestedingEen overeenkomst tussen een verzekeraar en een dienstverlener dient ook te regelenof onder-uitbesteding toegestaan is. Er moet dan bepaald worden aan welke eisen dedienstverlener(s) moeten voldoen. Dit mag de verantwoordelijkheden van de hoofd-aannemer onder de uitbestedingovereenkomst niet veranderen. In algemene zin dientde dienstverlener (hoofdaannemer) in te staan voor de kwaliteit van diens onderaan-nemers, op dezelfde manier als waarop de verzekeraar dat ten aanzien van dehoofdaannemer moet kunnen. De hoofdaannemer dient in zijn onder-uitbestedingcontracten bepalingen op te nemen ten aanzien van de rechten enbevoegdheden van de Toezichthouder en diens auditors. AANDACHTSPUNT: Uitbesteding buiten de E.E.R.Intellectuele eigendomDe eigendom van werken van intellectuele aard, bijvoorbeeld in het geval vansoftwareontwikkeling, moet geregeld worden in de overeenkomst, inclusief bijopzegging of afloop van de overeenkomst.Governance en Contingency planningDe dienstverlener dient te beschikken over een eigen risk managementsysteem enover passende contingencyplannen en dient de uitbestede activiteiten of functies op tenemen in het eigen risk management- en interne controlesysteem. De verzekeraardient niettemin ook over eigen contingencyplannen te beschikken in relatie totmogelijke verstoring van diens bedrijfsprocessen ten gevolge van verstoringen van dedienstverlening van de dienstverlener.Bij uitbesteding dient de uitbestedende partij zich ervan te vergewissen dat dedienstverlener:(a) Over voldoende financiële middelen beschikt om de uit te besteden taken over te nemen en dat deze over voldoende adequaat opgeleid personeel beschiktSogeti Nederland B.V. 2.0 56september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency II(b) De informatie, documentatie en eigendommen van de verzekeraar en diens klanten kan identificeren en afscheiden om de vertrouwelijkheid ervan te kun- nen waarborgen(c) Over adequate contingencyplannen beschikt om noodsituaties en verstoringen van de bedrijfsvoering te kunnen ondervangen en backup en uitwijk regelmatig test waar de aard van de uitbestede functies en activiteiten dit vereist AANDACHTSPUNT: dit impliceert dat de contingencyplannen van de dienst- verlener en die van de verzekeraar op elkaar aan moeten sluiten, in ieder geval met betrekking tot communicatie rond calamiteiten en recovery AANDACHTSPUNT: vaststellen eisen aan eventuele backup, uitwijk en reco- very. Denk ook aan bereikbaarheid en eventuele uitwijk van helpdesks en functioneel/technisch beheer in geval van calamiteitenInformeren ToezichthouderVerzekeraars dienen de Toezichthouder tijdig (minimaal 6 weken) voorafgaand teinformeren over voorgenomen uitbesteding van kritische en belangrijke functie enactiviteiten. Dit betekent dat de Toezichthouder de uitbesteding moet goedkeuren,maar deze kan de uitbesteding en eventuele zorgen dienaangaande bespreken met deverzekeraar indien er sprake is van strijdigheid met de Richtlijn.Ook dient de verzekeraar de Toezichthouder te informeren over substantiële ontwikke-lingen met betrekking tot die functies en activiteiten die invloed hebben op hettoezicht of op de dienstverlening aan de klanten, bijvoorbeeld wanneer er eenwijziging wordt aangebracht in de overeenkomst, er overgestapt wordt naar eenandere dienstverlener of dat de dienstverlener onvoldoende presteert dan wel niethandelt in overeenstemming met relevante wet en regelgeving. De Toezichthouderkan in dergelijke gevallen de uitbesteding opnieuw beoordelen.Sogeti Nederland B.V. 2.0 57september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 6: ARCHITECTUUR EN ICT GOVERNANCEBijl. 6.1 AlgemeenEen goede implementatie van Solvency II bij een bedrijf vereist een goede architec-tuur op alle lagen, omdat de impact van Solvency II op business-, informatie-,applicatie- en infrastructuurlaag groot is.Architectuur in de digitale wereld omvat enterprise-breed de samenhang tussenorganisatie/business, informatie/applicatie en infrastructuur. Architectuur stelt hierbijprincipes en modellen op die richting gevend zijn en inzicht geven.In pilaar 2 van Solvency II wordt een systeem van Governance geëist als middel voorde bestuurder om te voldoen aan de eisen en als middel om sturing te geven. Waar inhet verleden risk management en actuariële zaken een afdeling waren van eenverzekeraar, wordt nu geëist dat deze disciplines speerpunten zijn in het beleid van deorganisatie. Hier moet een goede governance voor zorgen.Governance bestaat uit de business governance met daar op aangesloten de ITgovernance. Het vereist op beide vlakken snelle en correcte informatie om hiermeesturing te kunnen geven en besluiten te nemen. Om dit goed te kunnen uitvoeren iseen goed architectuurproces ter inrichting en ondersteuning vereist op alle lagen.In de volgende delen zal toegelicht worden hoe architectuur per laag kan bijdragen enwat de samenhang tussen de lagen is.Het Sogeti DYA® architectuur raamwerk onderscheidt 3 lagen: 1) de organisatie / businesslaag, 2) de informatie/applicatie laag, 3) de infrastructuur laag.Elke laag zal hieronder nader besproken worden.Bijl. 6.2 Business ArchitectuurBijl. 6.1.2 OrganisatieAls een bedrijf aan Solvency II wil voldoen, zal de organisatie zodanig moeten wordeningericht dat er een duidelijke plek is voor Solvency II met risicoanalyse en rapporta-gemogelijkheden. Wordt dit niet goed ingericht, dan zal dit niet de juiste aandacht entoezicht krijgen om aan de regelgeving te voldoen.Bijl. 6.2.2 PrincipesSolvency II bevat principes en regels die algemeen van aard zijn. Elk bedrijf zal ditmoeten vertalen naar principes die in het eigen bedrijf toepasbaar zijn. Dit zalresulteren in een verzameling principes gebaseerd op de Solvency II richtlijnen. Dit zalals basis gebruikt moeten worden bij nieuwe projecten waarbij aan de Solvency IIrichtlijnen voldaan moet worden.Sogeti Nederland B.V. 2.0 58september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBijl. 6.3.2 ProcessenSolvency II vraagt om risico analyses, controles, assessments en rapporteringen.Elk bedrijf zal moeten nagaan of haar processen hierop ingericht zijn om de gevraagdeSolvency II compliancy in specifieke producten en diensten op te kunnen leveren.Dit kan inhouden dat bestaande processen veranderd moeten worden of dat er zelfsnieuwe processen bij komen. Om deze processen snel en goed uit te kunnen is eenadequate tooling ter ondersteuning vereist.Bijl. 6.3 Informatie/applicatie architectuurInformatie architectuur omvat de applicaties en gegevens in een bedrijf. Solvency IIvraagt om risico en actuariële berekeningen om hiermee te voldoen aan de MCR enSCR. Hiervoor zijn applicaties nodig die deze berekeningen kunnen doen. Er is heelveel data nodig om te kunnen rekenen. En alles moet nog in rapportages beschikbaarzijn.Om dit te kunnen realiseren zal er een applicatie/informatie architectuur opgesteldmoeten worden die duidelijk maakt hoe en waar de data geleverd kan worden aan dieapplicaties die ermee gaan rekenen en vervolgens gerapporteerd moeten worden dooreen ander applicatie. Dit geheel zal gebruikt worden door de daarbij behorendeprocessen als risicoanalyse, actuariële berekeningen en rapportage.Bijl. 6.4 Infrastructuur architectuurOm de bovenstaande zaken te kunnen uitvoeren (de berekeningen en de rapportages)is heel veel dataverkeer nodig en heel veel opslag- en verwerkingscapaciteit. Elkbedrijf zal moeten nagaan of hun infrastructuurlaag dit ondersteunen kan en zo niet,wat er nodig is om dit wel te kunnen.Bijl. 6.5 Enterprise architectuurOm dit geheel in samenhang te kunnen overzien is een algehele architectuur nodig, deenterprise architectuur. Dit voorkomt dat er op verschillende plekken in een organisa-tie verschillende dingen gebeuren, wat het geheel juist complexer maakt. Het isverstandiger om eenduidig alle impact duidelijk te maken en eenduidig hierop eenbedrijfsbrede oplossing op business, informatie en infrastructuur te realiseren.Bijl. 6.6 Service Oriented Architectuur (SOA)Een SOA architectuur maakt het mogelijk dat een bedrijf wendbaar is om snelproducten en diensten te kunnen wijzigen als dat geëist wordt door externe factorenzoals wet en regelgeving. Door services te gebruiken bij processen, applicaties eninfrastructuur kan sneller een aanpassing gerealiseerd worden die nodig is voor eennieuw product of dienst. Omdat Solvency II grote impact heeft, is het des te meernodig dat een bedrijf Service Oriented is. Dit maakt het mogelijk dat snel en wendbaarvoldaan kan worden aan nieuwe en veranderende eisen vanuit de wet en regelgeving.Sogeti Nederland B.V. 2.0 59september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBijl. 6.7 ArchitectuurproductenEen ingerichte architectuurfunctie kan de volgende producten en diensten leveren:1. Principes en richtlijnen gebaseerd op Solvency II2. Referentiearchitectuur voor Solvency II3. Project Start Architectuur(PSA) als middel voor projecten om te voldoen aan de Solvency II richtlijnen. Hierin zijn die onderdelen van Pilaar 1 en 2 opgenomen die voor het project specifiek van belang zijn4. Illustratie architectuur. Dit maakt het mogelijk om per groep stakeholders een zodanige illustratie samen te stellen, die gebruikt kan worden om snel en effec- tief te discussiëren en te communiceren. Omdat de impact alle lagen raakt en meerdere typen belanghebbenden, is hierbij architectuur nodig om goede, on- derling samenhangende en consistente blauwdrukken uit te werken voor alle lagenSogeti Nederland B.V. 2.0 60september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 7: BUSINESS PROCES MANAGEMENT (BPM)InleidingIn 2.1.3 Impact van Pilaar 2: kwalitatieve eisen is ingegaan op het belang vanprocessen en procesmanagement voor alle drie de pilaren van Solvency II. Het isSogeti al meermaals gebleken dat in trajecten waarbij DNB stringente eisen aanprocessen stelde (bijvoorbeeld Basel II) dat op dit vlak de werkzaamheden enorm zijnte versnellen door het hanteren van een gedegen BPM-aanpak.Soepel lopende processen zijn het kloppende hart van een succesvolle organisatie.Processen slaan de brug tussen bedrijfsstrategie en bedrijfsmodel enerzijdsen organisatiestructuur en informatievoorziening anderzijds, maar is ook de brugtussen management en operatie. Procesmanagement zorgt dat de processen die brugzo effectief en efficiënt mogelijk blijven slaan en dat daarmee de gewenste bijdragewordt geleverd aan het behalen van de bedrijfsdoelstellingen. Vanuit deze filosofieheeft Sogeti een eigen aanpak ontwikkeld voor Business Process Management: ProntoDe huidige situatieProcessen spelen in toenemende mate een centrale rol bij het adresseren van actuelebusiness vraagstukken, zoals governance, compliance, demand-supply en(out)sourcing, service oriëntatie, efficiëntieverbetering en kostenreductie. Maar dehuidige processen zijn vaak nog sterk gericht op operationele situaties:flow-chartachtige schema‟s, primair gericht op de medewerkers “op de werkvloer”. Hetis lastig op basis van dergelijke processen te sturen, veranderingen door te voeren ofinformatiesystemen te ontwikkelen.Business Process ManagementProcesmanagement (en daaraan gekoppeld informatiemanagement) kan wordenweergegeven als de schakel tussen strategie en productmanagement (producten,markten, klanten) en applicatie- en infrastructuur management. Deze managementla-gen worden “omsloten” door een governance structuur voor adequate besturing enhebben een duidelijke hiërarchische relatie: informatievoorziening is een afgeleide vanprocessen, en niet andersom.De B van BPMDe essentiële business vragen zijn het vertrekpunt voor processen. Waarom bestaateen organisatie? Wat zijn vanuit business optiek de essentiële stappen in een proces?En als dat duidelijk is: welke extra eisen zijn er waaraan voldaan moet worden (zoalsexterne wet- en regelgeving)?De antwoorden op deze vragen leiden tot een model, waarin alle essentiële stuurele-menten een plaats hebben gekregen. Vanuit dit besturingsmodel worden degedetailleerde werkprocessen ontwikkeld; hierin zijn alle gewenste, operationeledetails uitgewerkt.BPM stadiaBusiness Proces Management kent drie stadia van ontwikkeling: I. inrichten en toepassen van de business processen (fundament) II. meten, analyseren en sturen met deze processen (inzicht); III. continu verbeteren van de processen (optimalisatie)Sogeti Nederland B.V. 2.0 61september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIWaarom de Sogeti Pronto aanpak?Business Proces Management kost tijd en geld. Daar moet voldoende rendementtegenover staan. Processen moeten daadwerkelijk kunnen dienen als stuurmiddel:1. bij het doelgericht realiseren van bedrijfsstrategieën en bedrijfsdoelen;2. bij het (aantoonbaar) voldoen aan eisen en wensen van alle relevante partijen;3. bij de integrale operationele sturing van alle onderdelen van een organisatie.In de huidige praktijk ligt een sterke focus op toepassing 3, sturing met behulp vanwerkprocessen.Sogeti Nederland B.V. 2.0 62september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 8: GEGEVENS EN GEGEVENSONTSLUITINGBijl. 8.1 InleidingSolvency II stelt eisen ten aanzien van de beschikbaarheid van gegevens, de kwaliteiten betrouwbaarheid van gegevens en de documentatie van de rapportageprocessenen daarmee over de gegevens die gebruikt worden.Per pilaar zijn er verschillende soorten gegevens nodig.Pilaar 1:Voor de kwantitatieve berekeningen zijn voor de verplichtingen (liabilities) gegevensnodig uit de verzekeringstechnische administraties (leven, schade, zorg). Voor debezittingen (assets) zijn gegevens nodig uit de financiële administratie, beleggingsad-ministratie, onroerend goedadministratie en crediteurenadministratie.Pilaar 2:De gegevens van pilaar 2 bestaan uit documentatie, proces- en procedurebeschrijvin-gen en verslaglegging over de uitvoering van processen en procedures t.b.v. audittrail. Verder dienen managers en medewerkers te beschikken over gegevens terondersteuning van besluitvorming en monitoring van risico‟s.Pilaar 3:Voor de rapportages zijn zowel kwantitatieve gegevens (pilaar 1) als kwalitatievegegevens (pilaar 2) nodig.Verder dient het hele rapportageproces volledig gedocumenteerd en onder controle tezijn.Bijl. 8.2 Datamanagement, data kwaliteit en data deliveryHet feit dat er vaak meerdere silo‟s met informatie aanwezig zijn in verschillendebronsystemen maakt goed datamanagement voor een ICT afdeling tot een uitdagendetaak, aangezien data kwaliteit, beschikbaarheid en consistentie vaak niet op hetvereiste/gewenste niveau zijn. Solvency II vraagt expliciete aandacht voor de datakwaliteit en de zekerstelling hiervan (Zie hiervoor CEIOPS Advice for Level2 Imple-menting Measures on Solvency II, technical provisions – Article 83 – f Standards voordata Quality, former CP 43, october 2009). In het vervolg van deze bijlage geven wijonze visie over de invulling van deze vereisten.Bijl. 8.3 DatawarehousingDe gegevens die nodig zijn in het kader van Solvency II komen uit verschillendeadministraties en externe bronnen, zodat het gebruik van een data warehouse in veelgevallen voor de hand ligt. Dit komt voort uit het feit, dat de gegevens bijna altijd uitverschillende bronsystemen moeten worden onttrokken.Een aantal drempels staat de samenwerking tussen die systemen in de weg: Productiesystemen kunnen meestal niet geraadpleegd worden voor andere doeleinden dan productie, zonder deze systemen eerst af te sluiten. De gegevens kunnen dan bijvoorbeeld alleen ‟s nachts geraadpleegd worden; Diverse systemen hanteren verschillende normen en standaarden voor dezelfde gegevens;Sogeti Nederland B.V. 2.0 63september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency II Productiesystemen zijn gemaakt voor het hier en nu. Er wordt bij veel oudere systemen veelal geen of slechts in beperkte mate historie bewaard.Pilaar 1 van Solvency II draait om het berekenen van de kapitaalvereisten watsolvabiliteit betreft door de verzekeraars. Als die hun rapportage aanbieden aan detoezichthouder moeten ze uiteraard kunnen aantonen dat de berekening correct is.Deze systemen vormen gezamenlijk de informatiebron die nodig is voor de berekeningvan de kapitaalvereiste.Die berekening, maar ook de bewijsvoering daaromtrent, vraagt om de bewerking vaneen enorme hoeveelheid data. Hiernaast dient risico-informatie ontsloten te wordenten behoeve van besluitvorming (als onderdeel van het Risk Management Systeem).Dat betreft data die het beste centraal kan worden opgeslagen, geordend in eendatawarehouse. Verzekeraars hebben veel verschillende productiesystemen ingebruik, bijvoorbeeld vanwege lokale wetgeving of overnames.Alle voldoende bewezen principes van Business Intelligence en Datawarehousing zijnvolledig van toepassing voor Solvency II, en een belangrijke succesfactor zal debeschikbaarheid van een robuust centraal datawarehouse zijn dat de processen enproducten weergeeft, gevoed vanuit de bestaande (legacy) productiesystemen.Een goed datawarehouse is cruciaal om Solvency II naar behoren te kunnen beheer-sen. Het opslaan van de waardevolle historie in het datawarehouse helpt om dekwaliteit en vergelijkbaarheid van de data te verbeteren. Daarnaast houdt hetopzetten van een datawarehouse ook rekening de mogelijkheid om met gegevens diealleen in papieren of ingescande dossiers beschikbaar zijn te ontsluiten.Sogeti Nederland B.V. 2.0 64september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIHet datawarehouse is daarnaast ook de ideale bron voor rapportages zoals die voorPilaar 3 nodig zijn. Datamarts zijn deelselecties van de gegevens uit het datawarehou-se. Ze zijn gericht op het snel en inzichtelijk kunnen ontsluiten van de gegevens. Voorde snelheid is het belangrijk dat niet te veel gegevens worden opgeslagen in eendatamart. Dit hoeft ook meestal niet. Dit komt omdat een gebruiker vaak geenbehoefte heeft aan alle gegevens, maar slechts aan een gedeelte. Business Intelligen-ce tools voor het presenteren van informatie aan de gebruiker moeten snel resultaatgeven. Ze werken daarom vanuit datamarts en niet vanuit het datawarehouse. Voorbedrijven met meerdere werkmaatschappijen (juridische entiteiten) kan daarbijgedacht worden aan verschillende datamarts op zowel werkmaatschappij- als opgroepsniveau.Het centrale datawarehouse wordt gevoed via een interface die de data kwaliteitcontroleert en data consolideert vanuit verschillende bronnen. Het datawarehouseondersteunt op een consistente manier de requirements van verschillende businessgebruikers en applicaties, vormt dus „one version of the truth‟, en voedt de risk enginemet consistente datasets. Gebaseerd op de inventarisatie en groepering van data in debronsystemen aan de ene kant, en het centrale datawarehouse aan de andere kant,vormt de creatie van een samengestelde interface tussen de bronsystemen en hetcentrale datawarehouse een cruciale taak. Aangezien de bronsystemen aan verande-ringen onderhevig zijn, moet deze interface continu aangepast worden. Daarom isduidelijke en correcte documentatie belangrijk, net als kwaliteitseisen en consistentiechecks.Bijl. 8.4 Business Intelligence Competence Center (BICC)Om de regie over BI, standaardisatie van BI te bevorderen en kennis omtrent BI teborgen is het aan te bevelen een BICC in te richten. Een BICC is een organisatorischeeenheid. Dit kan een formele afdeling zijn binnen ICT of binnen bij voorbeeld Finance& Control. Ook is het mogelijk om een BICC in te richten als een virtuele eenheid in devorm van een matrixorganisatie. Ook is het mogelijk om een BICC door een externe ofinterne dienstverlener in te laten richten (“BI As A Service”) waarbij de dienstenworden vastgelegd in een Service Level Agreement (SLA).Een BICC bestaat uit zowel IT-deskundigen op het gebied van datamodellering enontwikkeling van BI-toepassingen (rapportages, kubussen) als materiedeskundigen.Van belang is het, dat een BICC voor de eindgebruiker laagdrempelig en toegankelijkis en dat het flexibel kan inspelen op steeds veranderende informatiebehoeften.Sogeti Nederland B.V. 2.0 65september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIDe kracht van een Business Intelligence Competence Center (BICC) schuilt vooral inde concentratie van expertise en de mogelijkheid om onder centrale regie efficiënt eneffectief invulling te geven aan het BI-beleid. Vanuit deze optiek verdient de inrichtingvan één BICC in een organisatie de voorkeur. In geval van meerdere data warehouseskan worden volstaan met de inrichting van één BICC binnen een organisatie, waarbijtoch recht wordt gedaan aan een systeemlandschap met meerdere, verschillende datawarehouses.Om dit te realiseren kan het onderscheid tussen de verschillende data warehouses enhun omgeving worden gemaakt bij de invulling van de gerelateerde functies en rollenbinnen het BICC, bijvoorbeeld:  Data stewardschap  Data-acquisitie  Geavanceerde rapportage en analyseAfhankelijk van de situatie kunnen per data warehouse-omgeving medewerkers opdeze gebieden actief zijn. Andere taken, bevoegdheden en verantwoordelijkheden, opgebieden bieden als training, support, BI programma- en projectmanagement en BI-procesmanagement worden dan centraal binnen het BICC belegd.De inrichting van een BICC is een proces, dat de nodige aandacht en begeleidingvergt, wil het BICC bijdragen aan een succesvol BI-beleid. Dit geldt ook voor hetfunctioneren van het BICC: in feite is er sprake van een proces, waarbij het BICC alsBI-expertisecentrum in- en externe ontwikkelingen volgt en zijn activiteiten baseert opeen dynamische informatiebehoefte van de organisatie. Dit vereist een gedegen regie.Bijl. 8.5 Metadata ManagementMetadata omvat de documentatie van gegevens, zoals:- Betekenis- Structuur- Domein- Formaat- Mogelijke waarden- Validatie-eisen- Eigendom- Bron- ….Het beheer van de metadata is van cruciaal belang voor het waarborgen van datakwa-liteit en voor gegevensuitwisseling.De verantwoordelijkheid voor het metadatamanagement dient eenduidig belegd teworden binnen de organisatie (eventueel per domein).Sogeti Nederland B.V. 2.0 66september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBijl. 8.6 Master Data ManagementMasterdata is de informatie die nodig is om:1. een bedrijfsbreed „system of records‟ te kunnen creëren en onderhouden voor noodzakelijke business entiteiten, om2. de business transacties te kunnen vastleggen en de resultaten voor die entiteiten te kunnen meten.Een MDM-systeem is een software applicatie met voorgedefinieerde datamodellen,voorgebouwde workflows en business processen, en gebruikersinterfaces om master-data-elementen te kunnen managen.Masterdata management (MDM) beheert de kerngegevens van een bedrijf in samen-hang en consistentie. Er moet voor worden gezorgd dat de attributen van een entiteitoveral in de organisatie(systemen) inhoudelijk hetzelfde, in waarde en betekenis, zijn.MDM levert business gebruikers en IT specialisten een set van high-level governancekenmerken zoals traceability en auditability die zeer belangrijk zijn om te komen toteen geslaagde implementatie en waarmee aantoonbaar voldaan wordt aan de externeSolvency II voorschriften (Zie hiervoor CEIOPS Advice for Level2 ImplementingMeasures on Solvency II, technical provisions – Article 83 – f Standards voor dataQuality, former CP 43, october 2009).Is de data interface en data verrijking consistent en traceerbaar? Dit had in hetverleden minder nadruk, maar is voor Solvency II zeer belangrijk. Dit betekent eengegevens analyse en traceerbaarheid tussen de applicaties.Sogeti Nederland B.V. 2.0 67september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBijl. 8.7 Kosten Datakwaliteit en data ontsluitingEen groot deel van de kosten van een Solvency II-implementatie kan gaan zitten inhet op orde brengen van alle aspecten in relatie tot gegevens. Dit valt af te leiden uitde ervaringen rond de implementatie van Basel II.Onderstaande figuur toont een voorbeeld van de onderverdeling van kosten verbon-den aan de Basel II implementatie. Kostenverdeling Basel II invoering Frontoffice en 10-20% backofficeapplicaties Data-integratie en 50-70% data delivery Ontwikkeling 10-15% risicomodellen Risicomanagement- 10-15% applicatiesVeruit het grootste deel van de kosten kan dus gerelateerd zijn aan data, afhankelijkvan de actuele situatie binnen de organisatie.Voor Solvency II kan een vergelijkbare kostenverdeling verwacht worden, aangeziende breedte en diepte van de data management requirements daar op zijn minst evenuitdagend zijn. Er zal extra data nodig zijn, uit verschillende bronnen zoals in dezebijlage behandeld.Sogeti Nederland B.V. 2.0 68september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 9: TESTEN EN KWALITEITSZORGBijl. 9.1 InleidingSolvency II stelt eisen aan onder meer de governance van de organisatie. De verzeke-raar moet kunnen aantonen dat het de processen – en daarmee ondersteunendeapplicaties – onder controle heeft en dat dit ook tegenover de Toezichthouder aange-toond moet kunnen worden. Essentieel hierbij is dat deze processen en wijzigingenhierop ook aantoonbaar gevalideerd worden en dat de ondersteunende systemensystematisch en controleerbaar getest worden. Hiernaast is het belang van eengedegen kwaliteitsborging in te richten.Binnen Sogeti is er ruime ervaring op het gebied van testen en kwaliteitszorg. Deverschillende aspecten hiervan bespreken wij hieronder.Bijl. 9.2 ValidatietestenHet door de verzekeraar gekozen risicomodel en het gebruik hiervan zal in de aanloopnaar de invoering getoetst worden in zogenaamde “Use tests”. Deze tests richten zichop de juistheid van het model en niet zozeer op de juistheid van de werking van deapplicaties (=testen van de ICT-oplossing).Voor het concreet handen en voeten geven is hiervoor naar onze mening, naast riskmanagementexpertise ook testexpertise nodig, zowel voor het opstellen van deprotocollen als het voor uitvoeren van de testen.Voor het geautomatiseerd herhaalbaar testen beschikt Sogeti over een aanpak en eengespecialiseerde groep medewerkers. Voor de riskmanagers kan Sogeti een kortetestopleiding verzorgen.Bijl. 9.3 Testen van ICT-oplossingenBijl. 9.1.3 MethodischVoor testen maakt Sogeti gebruik van de zelfontwikkelde en wereldwijd gebruikteTMap Next® methode. Een belangrijke component van TMap is BDTM: BusinessDriven Test Management. BDTM wordt ook wel Test-Governance genoemd en sluitnaadloos aan op ICT-Governance door stuurbaar te zijn op risico, kosten en doorloop-tijd. TMap Next® BDTM is daardoor bij uitstek geschikt om het testen bij de SolvencyII transitie vorm te geven.In TMap Next® is de (product) risicoanalyse een belangrijk sturingsmiddel voor hetbepalen van de zwaarte van de uit te voeren test. De risico‟s uit deze risicoanalysemaken deel uit van de operationele risico‟s. De door testen bereikte risicoreductie isenorm van belang bij het afschatten van de overblijvende operationele risico‟s.Bijl. 9.2.3 Testen van de nieuwe en aangepaste applicatiesIndien de Solvency II richtlijnen in de bestaande applicatie wordt vormgegeven zalzeker moeten worden gesteld dat de volledige applicatieportfolio goed blijft werken.Iedere applicatieaanpassing zal moeten worden getest maar ook de ketens die defeitelijke informatiestromen verzorgen.Sogeti Nederland B.V. 2.0 69september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIMet name bij verzekeringsgroepen kan er sprake zijn van complexe ketens van frontoffice applicaties => back office applicaties => ETL => werkmaatschappij datawarehouse => consolidatie => corporate data warehouse => rapportages.Het voorbereiden van het testen van deze complexe ketens en het inrichten van detestinfrastructuur en de testorganisatie vragen om een gedegen voorbereiding en hettesten vraagt om een controleerbare en herhaalbare aanpak.Voor het testen van de applicatie is TMap zeer geschikt, voor het testen van de ketensvan informatiesystemen heeft Sogeti een specifieke aanpak ontwikkeld: Het testenvan ketens volgens TMap Next®Bijl. 9.3.3 Testen data warehouse en BI oplossingenVoor de implementatie van Solvency II zal in veel gevallen gebruik gemaakt wordenvan data warehouse oplossingen van waaruit de Solvency II rapportages wordenaangemaakt en van waaruit risk engines worden gevoed en de resultaten van derisicoberekeningen worden vastgelegd.De kwaliteit van een BI-oplossing is van groot belang voor de implementatie vanSolvency II. Een gestructureerde testaanpak, gebaseerd op de BI-risico‟svoor de business, is dus noodzakelijk. Met de methodiek BI-testen volgens TMapNext®®, gebaseerd op onze marktstandaard voor testen en onze BI-testervaringen,garandeert Sogeti een effectief en efficiënt testproces voor alle onderdelen van de BI-keten.Bijl. 9.4 KwaliteitszorgOm de risico‟s bij de invoering van Solvency II te verminderen is het van belang omover een gedegen kwaliteitssysteem te beschikken om de kwaliteit van de implemen-tatie te verhogen. Het Solvency II transitie programma kent strakke deadlines. Er isgeen tijd voor het aanpassen en herstellen. Dit vereist veel aandacht voor de kwaliteitvan het projectproces en de producten. Sogeti beschikt met QMap (Quality manage-ment) en IKB (Integrale Kwaliteitsbeheersing) over instrumenten en eengespecialiseerde groep medewerkers.Sogeti Nederland B.V. 2.0 70september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 10: MEERWAARDE SOGETI DIENSTVERLENING VOOR DE IMPLEMENTATIE VAN SOLVENCY IIVerzekeraars zoeken naar ICT partners die houvast en versnelling kunnen realiserenbinnen de Solvency II trajecten. Wij hebben hiervoor op vele aspecten de competen-ties van Sogeti toegelicht, en getoond dat onze productised services daadwerkelijkvoor de benodigde versnelling kunnen zorgen.Naam product Doel productSolvency II ICT Readiness Scan Kwalitatieve beoordeling op alle geraakte aspecten: in hoeverre is het ICT bedrijf gereed als supplier van de Solvency II behoefte van de business – inclusief beoordeling van de relaties met de businessAanpak ICT GAP analyse Generieke aanpak met alle ICT aspecten geadresseerd: welke verbeteringen en wijzigingen zijn nodig in de informatiehuishouding voor Solvency II compliancy. Kan ook gebruikt worden om voortgang te monitorenData Quality Scan Voor Solvency II gespecificeerd – snel inzicht in de kwaliteit van beschikbare data (bron en bewerkt) plus verbetervoorstellen aan de hand van Solvency II vereisten.Data referentiemodellen Analyse van gegevens en gegevenstypes benodigd - Voor standaard methode voor Solvency II calculaties en rapportages. Beschik- - Voor interne modellen baar: - Markt- en kredietrisico – leven (STD) - Markt- en kredietrisico – non-leven (STD) - Data requirements voor intern modelShortlist Risk Engines Lijst met de meest voorkomende risk engines + inzetbaarheidRequirements ERM tooling Requirements lijst (tot niveau van business require- ments uitgewerkt) voor de voorkeuze van ERM toolingChecklist inrichting rapportagepro- Controlelijst aan de hand van een generiek uitgewerktecessen modellering van rapportageprocessen: governance aspecten, vastlegging adit trail, traceability, documen- tatie, centraal/decentraalReporting requirements Lijst met eisen en voorschriften op het gebied van de Pilaar 1, 2 en 3 rapportages. Eveneens te gebruiken als controlelijst op volledigheidNB: Deze producten zijn zo ver uitgewerkt als mogelijk op basis van de op dit moment beschikbare informatie. Naarmate de richtlijn zich verder ontwikkeld verwerken wij dit in de producten. Hiernaast verwerken wij de kennis en erva- ring die wij bij onze klanten opdoen direct in onze dienstverlening.Om voorspelbaarheid te kunnen garanderen in onze brede dienstverlening hanteertSogeti breed geaccepteerde standaards en tooling, zoals Prince2, MSP, OPM3, CMM,Metaplan, RUP, DSDM, Agile en aanverwante methoden, frameworks en technieken.Daarnaast passen we door ons zelf ontwikkelde standaarden en methodieken vanuitons IT vakmanschap toe. Hiervan hebben er overigens meerdere de status van(inter)nationale standaard verworven. Bij de standaards horen uiteraard ook onzeproducten en deskundigen die de standaards toepassen en helpen implementeren bijonze klanten. De standaards worden continu verbeterd en aangepast aan de laatstebehoeften en inzichten.Sogeti Nederland B.V. 2.0 71september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIDynamic Architecture - DYA®In DYA® is ons gehele architectuur gedachtegoed vervat. DYA® en haar producten(zoals een PSA – Project Start Architectuur) worden door veel bedrijven en organisa-ties in Nederland en daarbuiten toegepast.Regatta®Regatta® omvat alle aspecten op het gebied van implementatie, inclusief pakketselec-tie, realisatie, in beheer nemen en realisatie van benefits.Pronto®Pronto® is onze methode voor procesmanagement, proces (her)ontwerp en procesin-voering. Pronto® heeft in haar relatief korte bestaan reeds tot veel succes enerkenning in het bedrijfsleven en (semi)overheid geleid.Pronto® is onafhankelijk van procesmanagement tooling, maar kan daar wel gebruikvan maken.Requirement Lifecycle ManagementRequirements Lifecycle Management (RLcM) is onze benadering van het hanteren vanrequirements, voor de initiële (pakketselectie, ontwerp) fase en daarnaast gedurendede gehele levensduur van de door systemen ondersteunde bedrijfsfuncties. Bij hettoepassen van RLcM wordt vaak gebruik gemaakt van tooling, zoals Caliber enRequisitePro.BI-ScanMet de BI-Scan wordt snel en duidelijk inzichtelijk wat het huidige en gewenstevolwassenheidsniveau van een organisatie is op het gebied van BI. Deze scan is sneluit te voeren en geeft in korte tijd een helder advies. Deze kan onderdeel zijn van eenGAP-analyse of naast de Solvency II Readiness Scan worden uitgevoerd.BI Implementatie Methodiek (BIIM)De Sogeti BI-implementatiemethodiek is een framework voor de succesvolle imple-mentatie van BI-oplossingen. Hierin zijn de best practices van Sogeti vertaaldnaar concrete producten, hulpmiddelen en werkwijzen. De toepassing van dezemethodiek leidt er niet alleen toe dat de BI-oplossing succesvol wordt gerealiseerd,maar borgt tevens de inbedding in de organisatie van de opdrachtgever.Data Quality ScanHet belang van de kwaliteit van data voor de implementatie van Solvency II is in ditdocument al uitgebreid aan de orde geweest. De Data Quality Scan geeft snel enduidelijk inzicht in de kwaliteit van de data in de organisatie. Deze scan resulteert ineen maatwerk advies hoe de oorzaken en de gevolgen aan te pakken. Deze scan kanals onderdeel van de GAP-analyse worden uitgevoerd dan wel naast een Solvency IIReadiness Scan.Data Quality ServicesOm de juiste beslissingen te kunnen nemen, moet men kunnen vertrouwenop de informatie. Dit is niet vanzelfsprekend, aangezien veel organisaties kampen metslechte datakwaliteit. Dit zal ook bij de implementatie van Solvency II een van debelangrijkste struikelblokken zijn.Een goede BI oplossing kan door slechte datakwaliteit toch onbetrouwbare informatieopleveren. Met Data Quality Solutions biedt Sogeti niet alleen een oplossing voor hetopschonen van vervuilde data. Ook de oorzaak van de datavervuiling wordt achter-haald en weggenomen en wordt eenzelfde herhaalde datavervuiling voorkomen.Sogeti Nederland B.V. 2.0 72september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IITMap®, TPITMap® wordt wereldwijd gebruikt als de standaard voor testmanagement.TMap kent meerdere „dialecten‟ zoals bijvoorbeeld TMap® voor SAP, TMap® voorSOA, TMap Next®. Ook TPI (test process improvement) en TPI Next hebben wereld-wijde erkenning gekregen.Sogeti Nederland B.V. 2.0 73september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 11: PARTNERSHIPSSogeti is een onafhankelijke ICT dienstverlener die voor haar klanten de best passen-de ICT oplossing adviseert en realiseert. Sogeti‟s eigen visie, aanpak, methodieken,competenties en „versnellers‟ vormen daarom het hart van haar Solvency II dienstver-lening.Voor het succesvol en tijdig invoeren van Solvency II is een goede samenwerkingnoodzakelijk tussen het Business- en het ICT-domein van verzekeringsmaatschappij-en. Sogeti werkt daarom intensief samen met vaste partners die deskundigheid,diensten en producten aanbieden die relevant zijn voor een Solvency II implementa-tie, binnen zowel het Business- als het ICT-domein.Voor het Businessdomein kan hierbij gedacht worden aan partners op het gebied vanRisk Management, Actuariaat en Finance & Control. Verder zijn in dit kader leveran-ciers van gespecialiseerde Enterprise Risk Management (ERM), Governance, Risk &Compliancy (GRC) en Cash Flow projectie tooling en modellen relevant.Voor het ICT-domein heeft Sogeti zelf de benodigde deskundigheid in huis. Voor derealisatie van de beoogde Solvency oplossingen maakt Sogeti gebruik van toepassin-gen die geleverd worden door partners op het gebied van procesmodellering,managementrapportage, datawarehousing en BI (DWH/BI).Voorbeelden van partijen waar Sogeti een samenwerkingsrelatie mee heeft zijn: Towers Watson. Towers Watson is een deskundige, wereldwijd actieve partij op het gebied van onder meer Risk Management, Actuariaat en Finance & Control. Samen met Towers Watson biedt Sogeti een Solvency II totaalaanpak en oplossing, delen wij kennis en verkorten wij de communicatielijnen tussen Business en ICT. Towers Watson is voorts leverancier van gespecialiseerde Cash Flow projectietooling (Mo- Ses en in het recente verleden VIPitech). Microsoft, voor het ontwerpen, installeren en tunen van BI/Datawarehouse oplossingen op Microsoft (HPC) technologie. Sogeti is Microsoft Gold Partner. IBM, leverancier van functionele (zoals IIW) en technische (DWH/BI) oplossingen. Diverse gerenommeerde leveranciers op het gebied van Datawarehousing, Business Intelligence, data-integratie en datakwaliteit zoals SAS, Informatica en Teradata/DFA BWise met een specifiek voor Solvency II ontwikkelde procesmanagement Oplossing. Akkermans & Partners en Talent & Pro; Beiden leveranciers van specialisten op het vlak van Finance & Control en Actuariaat.Sogeti Nederland B.V. 2.0 74september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBIJLAGE 12: BRONNENBijl. 12.1 Literatuur RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD BETREFFENDE DE TOEGANG TOT EN DE UITOEFENING VAN HET VERZEKERINGS- EN HERVERZEKE- RINGSBEDRIJF (SOLVABILITEIT II)(HERSCHIKKING), Straatsburg, 25 november 2009, PE-CONS 3643/609 REV 6 Implementatie Solvency II, De Nederlandsche Bank N.V., 31 maart 2010, nr. 01B/NL CEIOPS‟ Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (Former CP 58), CEIOPS‟ Advice for Level 2 Implementing Measures on Solvency II: Technical provisions – Article 86 f Standards for data quality (Former CP 43), October 2009 CEIOPS‟ Advice for Level 2 Implementing Measures on Solvency II: System of Governance (Former CP 33), October 2009 CEIOPS, Challenges of Solvency II Implementation, October 2009 Preparing for IT Implementation of Solvency II regulations in Insurance Compa- nies, Rusalovskiy, VDM Verlag Dr. Müller, ISBN 978-3-639-10263-5 QIS5 Technical Specifications, European Commission, Brussels, 5 July 2010Solvency II: Insurers Can Learn From Basel II Implementations, Juergen Weiss - Gartner, 29 juli 2008, ID Number: G00159664 Much More Than Compliance: How Solvency II Will Impact Business Processes and IT Systems, Juergen Weiss – Gartner, 21 augustus 2008, ID Number: G00160756 Overview of the Solvency II Software Market: There Is No One-Size-Fits-All Solution, Juergen Weiss – Gartner, 5 juni 2009, ID Number: G00168330 ERM and Other Considerations Related To A Principles-Based Approach, A White Paper Prepared January 2008 For The Society of Actuaries, Doodian, Knott. Rech, januari 2008 Automatisering van de testuitvoering, Broekman, Hoos, Paap, SDU, ISBN 10 90 440 0103 TMap NEXT® voor resultaatgericht testen, Koomen, van der Aalst, Broekman, Vroon, UTN, ISBN 9072194799 TMap NEXT® Business Driven Test Management, van der Aalst, Baarda, Roodenrijs, Vink, Visser, UTN, ISBN 9272194926 Testen van ketens met TMap NEXT®, Smit, Baarda, UTN, ISBN 9072194950 De actuaris in Solvency II, Een nieuwe rol, leren we van het verleden? - Presenta- tie voor het Actuarieel Genootschap, Bouwknegt, mei 2009 DYA®: Stap voor stap naar professionele enterprise-architectuur, Van den Berg, Steenbergen, Academic Service, 2004, ISBN-13: 9789012118552 SOA for Profit, A Managers Guide to Success with Service Oriented Architecture, van den Berg, Bieberstein en van Ommeren, IBM & Sogeti, 2007, 978-90-75414- 14-1Sogeti Nederland B.V. 2.0 75september 2010
  • De ICT-implementatie van Solvency IISogeti en de implementatie van Solvency IIBijl. 12.2 Links Officiële EU-site over Solvency II, http://ec.europa.eu/internal_market/insurance/solvency/index_en.htm Site van CEIOPS (Europese toezichthouders), http://www.ceiops.org/ De Nederlandsche Bank – toezicht op verzekeraars, http://www.dnb.nl/openboek/extern/id/nl/vz/40-117237.html De Nederlandsche Bank – Solvency II, http://www.dnb.nl/openboek/extern/id/nl/vz/40-194778.htmlSogeti Nederland B.V. 2.0 76september 2010