Voor verzekeringsmaatschappijen binnen de Europese Economische Ruimte wordt op 1 januari 2013 de Solvency II-regelgeving van kracht. Solvency II heeft grote impact op de wijze waarop risicokapitaal wordt berekend, op governance, op risk management en op de rapportageprocessen.
De invoering van Solvency II stelt ook de nodige eisen aan de ICT-ondersteuning, zoals de invoering van risk tooling, IT governance en datakwaliteit.
Sogeti heeft de impact van de invoering van Solvency II op het ICT domein in kaart gebracht in het whitepaper ‘De ICT-invoering van Solvency II’. Het whitepaper geeft een overzicht van de regelgeving, de impact op het ICT-landschap en de visie van Sogeti op de aanpak voor een succesvolle ICT-invoering. Hierbij wordt ook behandeld hoe bewezen Sogeti-methoden, technieken en aanpakken kunnen worden ingezet om de invoering van Solvency II te versnellen.
2. De ICT-implementatie van Solvency II
VERSIE-INFORMATIE
Versie Datum Bijzonderheden Auteur
1.0 22-2-2010 Eerste versie Sogeti Nederland B.V.
1.1 2-3-2010 Diverse tekstuele aanvullingen Sogeti Nederland B.V.
2.0 1-9-2010 Geactualiseerd en aangevuld Sogeti Nederland B.V.
Sogeti Nederland B.V. 2.0 II
september 2010
3. De ICT-implementatie van Solvency II
INHOUDSOPGAVE
VOORWOORD ................................................................................ 1
INLEIDING ................................................................................ 3
LEESWIJZER ................................................................................ 4
1 SOLVENCY II IN HET KORT ................................................. 5
1.1 Achtergrond .....................................................................................5
1.2 De kenmerken van Solvency II ...............................................................6
1.3 Reikwijdte .......................................................................................7
1.4 Principle based .................................................................................7
1.5 Opzet – de drie pilaren ........................................................................8
1.6 Groepstoezicht ............................................................................... 12
1.7 Toezichthouder ............................................................................... 13
2 DE IMPACT VAN SOLVENCY II ............................................. 14
2.1 Impact op de business ....................................................................... 14
2.2 Impact op ICT ................................................................................. 22
3 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE ..................... 26
3.1 Solvency II programma-aanpak ............................................................ 26
3.2 Stappen in de implementatie .............................................................. 26
3.3 Het belang van structurele oplossingen .................................................. 32
3.4 Programmabesturing ........................................................................ 36
4 SOGETI EN DE IMPLEMENTATIE VAN SOLVENCY II ...................... 38
4.1 Vooraf .......................................................................................... 38
4.2 Sogeti en de voorbereiding van de ICT-implementatie................................ 38
4.3 Solvency II implementatie .................................................................. 40
Sogeti Nederland B.V. 2.0 III
september 2010
4. De ICT-implementatie van Solvency II
OVERZICHT BIJLAGEN
BIJLAGE 1: SOLVENCY II INVOERINGSKALENDER ..................................... 44
BIJLAGE 2: SOLVENCY II EN BASEL II .................................................. 46
BIJLAGE 3: STANDAARDMODEL OF INTERN MODEL .................................. 49
BIJLAGE 4: RISICO’S BIJ DE IMPLEMENTATIE VAN SOLVENCY II .................... 51
BIJLAGE 5: AANDACHTSPUNTEN VOOR UITBESTEDING ............................. 53
BIJLAGE 6: ARCHITECTUUR EN ICT GOVERNANCE ................................... 58
BIJLAGE 7: BUSINESS PROCES MANAGEMENT (BPM) ................................. 61
BIJLAGE 8: GEGEVENS EN GEGEVENSONTSLUITING ................................. 63
BIJLAGE 9: TESTEN EN KWALITEITSZORG ............................................. 69
BIJLAGE 10: MEERWAARDE SOGETI DIENSTVERLENING VOOR DE IMPLEMENTATIE
VAN SOLVENCY II ........................................................... 71
BIJLAGE 11: PARTNERSHIPS .............................................................. 74
BIJLAGE 12: BRONNEN .................................................................... 75
Sogeti Nederland B.V. 2.0 IV
september 2010
5. De ICT-implementatie van Solvency II
Voorwoord
VOORWOORD
Voor u ligt de tweede versie van ons Whitepaper “De ICT-implementatie van Solvency
II”. De eerste versie dateert van maart 2010 en wij hebben hierop veel positieve
reacties mogen ontvangen. Inmiddels is er meer duidelijk geworden over Solvency II,
zoals door het verschijnen van het Implementatiedocument van De Nederlandsche
Bank en het definitief worden van diverse adviezen van CEIOPS (Committee of
European Insurance and Occupational Pensions Supervisors – het platform van
Europese toezichthouders). Verder hebben wij van relaties en verzekeringsmaat-
schappijen suggesties mogen ontvangen tot verbetering en uitbreiding van het
oorspronkelijke document. Ten slotte hebben wij op een aantal punten formuleringen
aangescherpt en waar nodig toevoegingen gepleegd op basis van nieuwe ervaringen
met Solvency II.
Al met al voldoende aanleiding om met een geactualiseerde en uitgebreide versie te
komen.
Sogeti Nederland B.V. 2.0 1
september 2010
7. De ICT-implementatie van Solvency II
Inleiding
INLEIDING
Op 31 december 20121 moeten alle verzekeringsmaatschappijen die opereren binnen
de Europese Economische Ruimte (Europese Unie plus Noorwegen, IJsland en Liech-
tenstein) voldoen aan de Solvency II-richtlijn. Deze richtlijn beoogt door nadruk op
goed risicobeheer, de belangen van de polishouders en de aandeelhouders beter te
beschermen. De regelgeving heeft gevolgen voor de bedrijfsvoering van verzeke-
ringsmaatschappijen, met name op het gebied van risicomanagement, bestuur en de
verantwoording aan de Toezichthouder en het publiek.
De principes die ten grondslag liggen aan Solvency II dienen in eerste instantie
vertaald te worden naar de bedrijfsprocessen, de organisatiestructuur en de organisa-
tiecultuur. Dit werkt vervolgens door in de wijze waarop de informatievoorziening is
ingericht en de wijze waarop de bedrijfsprocessen vanuit de informatievoorziening
worden ondersteund.
Gegeven de hoge impact en de relatief korte tijdlijnen is het zaak tijdig de implemen-
tatie van Solvency II ter hand te nemen.
Sogeti heeft als ICT-dienstverlener een coherente visie en aanpak ontwikkeld voor de
invoering van Solvency II. Om de ICT-invoering te versnellen heeft Sogeti specifieke
Solvency II producten (zoals templates, scans, checklists en datamodellen) ontwik-
keld. Deze zijn gebaseerd op onze ervaring met eerdere compliancy programma‟s,
onze betrokkenheid bij verzekeringsmaatschappijen die inmiddels met de invoering
zijn gestart, diepgaande gesprekken met leveranciers van relevante diensten, metho-
den en tools en onderzoek van alle momenteel beschikbare documentatie.
Door middel van dit document wil Sogeti haar kennis en visie delen met haar relaties.
Wij zijn ervan overtuigd de aangewezen ICT-partner te zijn voor de invoering van
Solvency II. Wij gaan hierover graag met u in gesprek.
Indien u naar aanleiding van dit document vragen heeft, dan kunt u contact opnemen
met Tako de Roode via telefoonnummer +31 6 277 46 047 of via e-mail
tako.de.roode@sogeti.nl.
1
Dit was in eerste instantie 31 oktober 2012. DNB geeft in het Implementatiedocu-
ment (“Implementatie Solvency II, 31 maart 2010, De Nederlandsche Bank) aan dat
zij dit niet als een wezenlijk verschil beschouwen voor de implementatie.
Sogeti Nederland B.V. 2.0 3
september 2010
8. De ICT-implementatie van Solvency II
Leeswijzer
LEESWIJZER
Hoofdstuk 1 bevat een beknopte beschrijving van Solvency II, waarbij wordt ingegaan
op het doel en de inhoud van de richtlijn en het invoeringsschema dat daarbij vanuit
Europa en de Nederlandse Toezichthouder (De Nederlandsche Bank) wordt opgelegd.
Hoofdstuk 2 bevat een vertaling van de Solvency II richtlijn naar de business en ICT
consequenties voor het verzekeringsbedrijf. De richtlijn heeft ondermeer impact op de
architectuur (dit is het geheel van concepten, regels en modellen die richting geven
aan het inrichten van de organisatie en de informatievoorziening) en stelt eisen aan de
producten die de verzekeraar aan de Toezichthouder moet opleveren.
Hoofdstuk 3 behandelt de visie van Sogeti op de wijze waarop Solvency II binnen het
ICT-domein ingevoerd kan worden. Wij gaan daarbij ook in op de ICT-oplossingen die
daarbij ingezet kunnen worden. We betogen hier dat er geen “one size fits all”-aanpak
is en geven daarbij belangrijke aandachtspunten en overwegingen op basis van
“lessons learned” uit andere compliancy trajecten.
Het laatste hoofdstuk geeft een overzicht van de diensten en producten (“versnellers”)
die Sogeti aanbiedt met betrekking tot de ICT implementatie van Solvency II.
Tot slot gaan wij in aparte bijlagen diepgaander in op voor Solvency II relevante
onderwerpen. Deze bijlagen zijn bedoeld voor de lezer die behoefte heeft aan verdie-
ping op deelgebieden, zoals:
De Solvency II invoeringskalender
Een vergelijking van Solvency II met Basel II
De (invoerings)verschillen van standaardmodellen en interne modellen
Procesmanagement en procesimplementatie
Aandachtspunten voor uitbesteding
De benodigde datainfrastructuur
Architectuur & governance
Testen & Kwaliteitszorg
Onderkende risico‟s bij de invoering
Diensten en versnellers om de invoering te ondersteunen
Sogeti Nederland B.V. 2.0 4
september 2010
9. De ICT-implementatie van Solvency II
Solvency II in het kort
1 SOLVENCY II IN HET KORT
1.1 Achtergrond
Solvency II kan gezien worden als onderdeel van de trend waarbij onder maatschap-
pelijke en politieke druk het toezicht op financiële instellingen wordt aangescherpt. De
aandacht voor dit soort regelgeving is door de financiële crisis versterkt en de maat-
schappelijke en politieke aandacht is dan ook hoog. Zo zien we in de bankensector na
Basel II het Basel III-akkoord verschijnen en het is te voorzien dat Solvency II in de
verzekeringsbranche ook niet de laatste ontwikkeling op dit gebied zal zijn.
Solvency II dient enerzijds ter bescherming van de belangen van de aandeelhouders,
consumenten/polishouders en anderzijds met het oog op het creëren van één interne
Europese markt voor verzekeringen, het “level playing field”.
Onder het bestaande regime van Solvency I, dat stamt uit de jaren zeventig, is er te
weinig aandacht voor risico‟s, leidt de minimale
harmonisering in regelgeving tot grote verschillen
tussen lidstaten en is er geen goed toezicht
mogelijk op grensoverschrijdend opererende
verzekeringsmaatschappijen.
Solvency II is vergelijkbaar met de Basel II regel-
geving voor de bankwereld, alhoewel er verschillen
zijn. Uit de implementatie van Basel II kunnen ook
de nodige lessen getrokken worden. Een uitgebrei-
dere beschouwing over de verschillen en
overeenkomsten tussen Solvency II en Basel II alsmede de “lessons learned” treft u
aan in Bijlage 2: Solvency II en Basel II.
De Solvency II richtlijn behelst een grondige herziening van de voor (her)verzekeraars
relevante Europese richtlijnen. Deze bevat nieuwe regelgeving voor kapitaalsvereisten,
waarderingsgrondslagen en risicobeheer met het oog op het aanmoedigen en belonen
van een goed risicomanagement. Daarnaast legt de richtlijn meer verantwoordelijk-
heid in de handen van het senior management om het bedrijf op een verantwoorde
wijze te besturen en brengt de richtlijn meer eenduidigheid tot stand inzake het
toezicht op de interne markt.
De richtlijn is inmiddels door het Europees Parlement en de Europese Raad van
Ministers aangenomen. De Europese Commissie bereidt de uitvoeringsmaatregelen
voor en laat zich daarbij adviseren door CEIOPS. CEIOPS heeft van de Europese
Commissie de opdracht gekregen om enerzijds adviezen uit te werken op alle punten
waarin de kaderrichtlijn uitvoeringsmaatregelen vereist en anderzijds deze adviezen te
toetsen in de verzekeringsmarkt.
Het doel van Solvency II is dus drieledig:
1. Het scheppen van voorwaarden en het bevorderen van een enkelvoudige Europe-
se verzekeringsmarkt door het creëren van een level playing field binnen de E.E.R.
voor verzekeringsmaatschappijen door uniformering van de regelgeving, waar
Solvency I verschillende invullingen kende tussen de lidstaten
2. Het verbeteren van de bescherming van aandeelhouders en verzekerden
door een scherper toezicht op de solvabiliteit van verzekeraars door toezichthou-
ders vroegtijdig te informeren over mogelijke problemen (“early warning”).
Sogeti Nederland B.V. 2.0 5
september 2010
10. De ICT-implementatie van Solvency II
Solvency II in het kort
Hierdoor kan de toezichthouder tijdig ingrijpen als het eigen vermogen van de
onderneming onder de kapitaalseisen zakt.
3. Het bevorderen van het vertrouwen in de verzekeringssector door meer transpa-
rantie.
De invoering staat gepland voor 31 december 2012. Op het moment van schrijven is
de Solvency II regelgeving echter nog in ontwikkeling. Het is de bedoeling van de
Nederlandse overheid om de uitwerking van de richtlijn in de nationale wet- en
regelgeving in het vierde kwartaal van 2011 aan de Tweede Kamer aan te bieden ter
goedkeuring. Voor de invoering verwijzen wij naar Bijlage 1: Solvency II Invoerings-
kalender.
Dit betekent, dat er tussen het vaststellen van de definitieve eisen en de invoering
slechts één jaar tijd ligt voor de implementatie! Hier staat tegenover, dat de hoofdlij-
nen reeds bekend zijn en dat er voor die tijd al veel aan voorbereiding kan en moet
gebeuren. In de tussentijd moeten verzekeraars zich baseren op de beschikbare
adviezen en Level 2 en 3 consultation papers van CEIOPS.
1.2 De kenmerken van Solvency II
Op de website van DNB treffen we de volgende tekst aan, die Solvency II goed
karakteriseert:
“Het Solvency II project moet leiden tot een nieuw solvabiliteitsraamwerk, ge-
baseerd op marktconsistente waardering, waarin de financiële eisen beter de
risico's weerspiegelen die de verzekeraars lopen. Ook heeft Solvency II als
doelstelling om het toezicht te laten aansluiten op marktontwikkelingen. Verze-
keraars leggen zich steeds meer toe op het meten en beheersen van hun
risico's. Solvency II moet deze positieve ontwikkeling stimuleren. Met Solvency
II krijgt het toezicht op de risico's die een verzekeraar loopt, en de beheersing
daarvan, ook een meer centrale rol.”
Solvency II houdt een fundamentele wijziging in ten aanzien van de wijze waarop de
kapitaalsvereisten (het eigen vermogen en de samenstelling hiervan) voor verzeke-
raars bepaald moeten worden, als basis voor het kunnen opvangen van negatieve
ontwikkelingen en calamiteiten.
Solvency II is gebaseerd op economische principes voor het meten van risico‟s op
assets en liabilities (bezittingen en verplichtingen): de Total balance sheet approach.
Het systeem is sterk risico-georiënteerd: de verzekeraar moet de risico‟s berekenen
op basis van consistente en herhaalbare methodieken. De kapitaalsvereisten (MCR en
SCR, respectievelijk Minimum Capital Requirement en Solvency Capital Requirement)
zijn daar rechtstreeks op gebaseerd. Deze kapitaalsvereisten zijn modulair opgebouwd
en zijn de som van enkelvoudige risico‟s, die ieder op zich gemodelleerd worden.
Dit zullen wij verderop in dit document behandelen.
Sogeti Nederland B.V. 2.0 6
september 2010
11. De ICT-implementatie van Solvency II
Solvency II in het kort
1.3 Reikwijdte
De regelgeving geldt voor alle verzekeringsmaatschappijen die actief zijn binnen de
Europese Economische Ruimte (EU + Noorwe-
gen, IJsland en Liechtenstein) met een jaarlijks
premie-inkomen groter dan €5 mln of bruto
technische voorzieningen groter dan €25 mln.
Voor verzekeringsmaatschappijen die niet onder
de Solvency II-regelgeving vallen zal De
Nederlandsche Bank als Toezichthouder een
“Solvency II-Proportioneel” beleid ontwikkelen.
Hiernaast zal een aantal kleine verzekeraars
(veelal lokaal opererende onderlinge waarborg-
maatschappijen) geheel buiten de Solvency II-
regelgeving vallen.
Pensioenfondsen en natura-verzekeraars vallen buiten de regelgeving.
1.4 Principle based
Een belangrijk aspect is dat de Solvency II-richtlijn niet primair gebaseerd is op
regels, maar vooral op principes. Dat wil zeggen, dat elk bedrijf de principes moet
vertalen naar de eigen situatie. Dit zal door de Toezichthouder getoetst en goedge-
keurd moeten worden. Na de invoering wordt dan een proces van constante
verbetering ingezet. Toepassing van de principes moet ertoe leiden dat er een
“comfort level” ontstaat van 99,5%, met andere woorden dat er een 99,5% zekerheid
is dat een verzekeraar aan zijn verplichtingen kan voldoen in de komende 12 maan-
den.
De verwachting is dat de invoering van Solvency II regelgeving de verzekeraars zal
stimuleren om in interactie met de Toezichthouder steeds beter invulling te geven aan
de onderliggende principes.
De rol van de toezichthouder wordt ook meer risicogericht en pro-actief, om vroegtij-
dig in te kunnen grijpen bij dreigende problemen ten aanzien van het voldoen aan de
kapitaaleisen.
Sogeti Nederland B.V. 2.0 7
september 2010
12. De ICT-implementatie van Solvency II
Solvency II in het kort
1.5 Opzet – de drie pilaren
Solvency II is gebaseerd op drie pilaren:
- 1: Kwantitatieve eisen
- 2: Kwalitatieve eisen en toezichtactiviteiten
- 3: Marktdiscipline en toezichtrapportage
1.5.1 Pilaar 1: Kwantitatieve eisen
De kwantitatieve eisen hebben betrekking op de berekening van kapitaalsvereisten.
Solvency II kent twee kapitaalsvereisten:
de Minimum Capital Requirement (MCR)
de Solvency Capital Requirement (SCR), het meer risicogevoelig vast te stellen
solvabiliteitsniveau
De SCR moet alle kwantificeerbare risico‟s dekken, waarbij de kapitaaldekking
voldoende moet zijn om met een zekerheid van 99,5% over een periode van een jaar
verliezen te kunnen dekken ter grootte van de SCR. De risico‟s zijn onderverdeeld
naar categorieën marktrisico, tegenpartijrisico, verzekeringstechnisch risico (leven,
schade, zorg) en operationeel risico. Deze categorieën zijn weer onderverdeeld naar
individuele risico‟s. De SCR is de som van de onderliggende risico‟s. Voor de bereke-
ning van de verschillende risico‟s kan het standaardmodel gebruikt worden dan wel
een intern model. Onder bepaalde condities mogen voor immateriële risico‟s vereen-
voudigde berekeningen gebruikt worden. Het geheel aan berekeningen kan ook een
mengvorm zijn (partieel intern model). De Toezichthouder kan hiernaast nog een
capital add on opleggen (De capital add on verhoogt de kapitaaleis onder Pilaar 1,
maar wordt toegewezen op grond van bevindingen van de toezichthouder op het
Sogeti Nederland B.V. 2.0 8
september 2010
13. De ICT-implementatie van Solvency II
Solvency II in het kort
gebied van kwalitatieve aspecten – Pilaar 2). De SCR wordt opgebouwd uit een aantal
componenten (uit technische specificaties QIS5 EU Commissie, 5 juli 2010):
De SCR bestaat uit de Basis-SCR (BSCR), de SCR voor operationele risico‟s (SCROP)en
een eventuele kapitaal add on (Adj.).
De BSCR valt uiteen in SCR voor marktrisico (bezittingen zoals beleggingen, liquiditei-
ten; SCRMARKET), tegenpartijrisico (default risk; SCRDEF) en immateriële risico‟s (SCRDEF)
en SCR‟s voor de verschillende soorten verzekeringen (zorg SCRHEALTH, leven SCRLIFE
en schade SCRNON-LIFE). Deze SCR‟s kunnen weer onderverdeeld zijn in risicogroepen.
Voor elk van die risicogroepen worden berekeningen uitgevoerd voor de benodigde
kapitaalvoorziening voor die risicogroep.
De berekening van de MCR is eenvoudiger dan van de SCR. De MCR moet voldoende
zijn om een jaar te overbruggen met een zekerheid van 85%. De MCR wordt begrensd
van 25% tot 45% van de SCR. De ondergrens van de MCR is de Absolute Minimal
Capital Requirement (AMCR), dat is het minimumbedrag van het garantiefonds.
De Toezichthouder heeft ruime bevoegdheden om in te grijpen in geval van het niet
voldoen aan de kapitaaleisen om de belangen van verzekerden te beschermen. Zodra
het vermogen onder de SCR zakt, maar boven de MCR blijft treedt de escalatieladder
in werking, waarbij aanvullend toezicht strenger wordt naarmate het vermogen dichter
bij de MCR komt en moet de verzekeraar actie ondernemen om het vermogen te
versterken.
Sogeti Nederland B.V. 2.0 9
september 2010
14. De ICT-implementatie van Solvency II
Solvency II in het kort
De Toezichthouder kan aan maatschappijen (zowel solo als groep) opleggen dat zij
een (partieel) intern model ontwikkelen en hanteren indien het risicoprofiel significant
afwijkt van het standaardmodel.
De SCR dient jaarlijks gerapporteerd te worden en eventueel tussentijds als er
significante wijzigingen zijn in het risicoprofiel van de verzekeraar. De MCR dient elk
kwartaal gerapporteerd te worden.
In de aanloop naar de implementatie van Solvency II dienen interne modellen
goedgekeurd te worden door de Toezichthouder. Hiertoe wordt een zogenaamd pre-
applicatieproces uitgevoerd.
In de afgelopen jaren is een aantal Qualitative Impact Studies (QIS) uitgevoerd om de
effecten van Solvency II te bepalen en om de parametrisering te bepalen. Hiertoe
hebben verzekeraars gegevens aangeleverd. Er zijn op dit moment 4 QIS‟s uitge-
voerd. Voor de tweede helft van 2010 staat QIS5 op het programma.
Hoewel deelname optioneel is, dringt DNB er sterk op aan bij de Nederlandse verzeke-
raars om deel te nemen aan QIS5.
1.5.2 Pilaar 2: Kwalitatieve eisen en toezicht
De kwalitatieve eisen hebben betrekking op de besturing van de verzekeringsmaat-
schappij (“Good governance”), de inrichting van de processen en audit trail. Aan de
bestuurders en commissarissen van de maatschappij wordt onder meer als eis gesteld
dat zij de gebruikte modellen en de invullien hiervan moeten kennen en uit kunnen
leggen aan de Toezichthouder.
De motivatie achter good governance is ook dat men sommige risico's beter mitigeert
met governance maatregelen dan met kapitaal alleen. Juist de combinatie van beide
(kapitaal + besturing) moet Solvency II effectief maken. Good governance is daarmee
niet alleen een opgelegd iets, maar leidt ook tot besparingen door vermindering van
kapitaalsbeslag. Indien een maatschappij tekortkomingen vertoont op het gebied van
governance kan de Toezichthouder besluiten een capital add on op te leggen.
Elke maatschappij moet beschikken over een risk managementfunctie, een actuariële
functie, een interne controlefunctie (waarin inbegrepen compliance) en een interne
auditfunctie. Indien een maatschappij één van beide of beide functies uitbesteedt,
dient ook de partij waaraan wordt uitbesteed onder het toezicht te vallen.
ORSA
Een belangrijk onderdeel van het risk managementsysteem wordt de Own Risk and
Solvency Assessment (ORSA), waarbij de maatschappij periodiek de eigen risicopositie
en daarmee de benodigde kapitaalpositie beoordeelt. De bevindingen uit de ORSA
worden zowel op solo-niveau als op groepsniveau gerapporteerd en wordt gebruikt in
het toezichtproces (Supervisory Review Proces – SRP). De ORSA is daarmee tweele-
dig:
1. Het is een intern assessment en maakt deel uit van de strategische besluitvor-
ming, waarbij de maatschappij de eigen solvabiliteit voortdurend volgt en
bewaakt.
2. Het is een hulpmiddel voor de Toezichthouder, die moet worden geïnformeerd
over de uitkomsten van de ORSA
Sogeti Nederland B.V. 2.0 10
september 2010
15. De ICT-implementatie van Solvency II
Solvency II in het kort
De ORSA vereist niet dat de verzekeraar een (partieel) intern model hanteert voor de
berekening van de SCR, maar indien dit het geval is moeten de uitkomsten van de
berekeningen meegenomen worden in de ORSA. De ORSA veroorzaakt geen derde
vorm van Solvency kapitaalseisen. De ORSA mag voor kleinere verzekeraars niet
bovenmatig belastend zijn (proportioneel regime).
De verzekeraar moet zich in de ORSA een mening vormen over het benodigde eigen
vermogen (Pilaar 1) en een projectie kunnen maken over de 'business projectie
periode' van toekomstige own funds en vereist vermogen om aan te tonen dat ook in
de toekomst aan de Solvency II-eisen voldaan wordt.
Self Assessment
Om aan te tonen dat de maatschappij aan de kwaliteitseisen voldoet moet zij een Self
Assessment uitvoeren. Ook hierbij dienen zaken als datakwaliteit en beschikbaarheid
alsmede kwaliteit van ICT-infrastructuur en –systemen betrokken te worden. De
Toezichthouder voert reviews uit op de Self Assesments en moet deze goedkeuren.
Op basis van de uitkomsten van de Self Assesments moet de onderneming een
implementatieplan opstellen voor de invoering van Solvency II. Dit plan dient een
activiteitenplanning te omvatten met doorlooptijden en een kritisch-padanalyse
alsmede de benodigde mensen en middelen. Dit plan moet eind 2011 beschikbaar zijn.
Use Tests
In de aanloop naar de invoering van Solvency II zullen er verder verschillende “use
tests” worden uitgevoerd om de juiste werking van de gebruikte interne modellen te
toetsen.
De Richtlijn noemt de volgende soorten tests voor het goedkeuren van interne
modellen:
- use test
- statistische kwaliteitsnormen
- kalibratienormen
- validatienormen
- documentatienormen
- winst- en verlies attributie
1.5.3 Pilaar 3: Marktdiscipline en toezichtrapportages
Pilaar 3 heeft betrekking op de rapportages aan het publiek en aan de Toezichthouder.
De rapportage aan het publiek bestaat uit de Solvency and Financial Condition Report
(SFCR). Deze dient om transparantie en marktdiscipline binnen de verzekeringsmarkt
te bevorderen.
De Toezichthouder beoordeelt ten aanzien van de SFCR de totstandkomingprocessen
enerzijds en op de inhoud hiervan. Voor de inhoud wordt een minimumstandaard
gehanteerd, maar een onderneming kan ervoor kiezen om meer informatie te publice-
ren. Hiervoor moet een beleid worden ontwikkeld.
De rapportages aan de Toezichthouder (Reports To Supervisor – RTS) bevat gedetail-
leerdere informatie dan de SFCR, alsmede concurrentiegevoelige of geheime
informatie die niet gepubliceerd wordt.
Sogeti Nederland B.V. 2.0 11
september 2010
16. De ICT-implementatie van Solvency II
Solvency II in het kort
De rapportage aan de Toezichthouder wijkt ingrijpend af van de vereisten die thans
gelden op grond van de Wet Financieel Toezicht. Er wordt weliswaar gerapporteerd
over dezelfde soort onderwerpen als in de huidige verzekeringsstaten, maar het
detailniveau verschilt. De structuur van de rapportages is voor alle ondernemingen
gelijk, maar kan op aangeven van de Toezichthouder verschillen qua detailniveau.
Hierbij is het proportionaliteitsbeginsel van toepassing, waarbij kleinere verzekeraars
onder een lichter regime vallen.
De rapportagevereisten worden geharmoniseerd over het gehele werkingsgebied van
Solvency II. Dit is met name voor internationaal werkende groepen een vereenvoudi-
ging. Er kunnen wel afwijkingen zijn op nationaal niveau voor soorten
verzekeringsvormen die specifiek zijn voor een bepaald land (denk in Nederland aan
zorg- en inkomensverzekeringen).
De rapportagekaders worden in 2011 door CEIOPS gepubliceerd (Level 3 advies).
De rapportages zullen zowel kwalitatieve als kwantiatieve informatie bevatten over
risico‟s, omvang, samenstelling en kwaliteit van kapitaal, SCR, MCR en technische
voorziening alsmede waarderingsmethoden voor activa, passiva en risico‟s. Ook zal er
een verklaring moeten worden gegeven van het verschil tussen de Solvency II-balans
en de jaarrekening. Verder moet er uitgebreid gerapporteerd worden over risico‟s en
mitigerende maatregelen.
Hiernaast dient er gerapporteerd te worden over het systeem van governance
(inclusief risk management en ORSA) en de mate waarin de maatregelen voldoende
zijn om de risico‟s te beheersen.
Onder Solvency II wordt het toezicht meer risicogeoriënteerd en prospectief. Toezicht
vindt zowel on-site als off-site plaats. Rapportages zijn belangrijk voor het plannen
van het off-site toezicht. De rapportages geven inzicht in de algehele toestand van de
onderneming en zijn van belang voor het plannen van het risicogeoriënteerde on-site
toezicht. Naast de reguliere jaar- en kwartaalrapportages kan de Toezichthouder op
ad-hoc basis aanvullende informatie opvragen bij één verzekeraar of een groep van
verzekeraars.
De rapportageprocedures dienen beschreven en door de directie goedgekeurd te zijn.
De onderneming dient over een adequaat rapportagesysteem te beschikken en moet
de kwaliteit van de rapportage kunnen garanderen.
1.6 Groepstoezicht
Het groepstoezicht onder Solvency II is een zelfstandig onderdeel van het verzeke-
ringstoezicht op de moederonderneming van een verzekeringsgroep. Hierbij wordt een
groep, tenzij er redenen zijn om dat anders te doen, behandeld als een solo-
verzekeraar. Het toezicht hierop vindt plaats door de toezichthouder van het land
waarin de moeder gevestigd is.
De moeder moet governance en risk management alsmede rapportageprocedures
binnen de groep als geheel overzien. De moeder is ook aanspreekpunt voor vragen
over de dochters. Solo-toezicht op de dochters vindt plaats door de toezichthouder
van het vestigingsland van de betreffende dochter. De groepstoezichthouder kan ook
informatie opvragen bij de toezichthouder van de dochter.
Sogeti Nederland B.V. 2.0 12
september 2010
17. De ICT-implementatie van Solvency II
Solvency II in het kort
Het groepstoezicht heeft betrekking op dat deel van het concern dat in de E.E.R.
gevestigd is. Over het al dan niet rapporteren over entiteiten die buiten de E.E.R.
gevestigd zijn dienen aparte afspraken gemaakt te worden die afhankelijk zijn van het
toezichtregime in de landen waar die entiteiten gevestigd zijn. Als er meerdere
dochters van een groep, waarvan de moeder buiten de E.E.R. gevestigd is, binnen de
E.E.R. opereren dan dient er sub-consolidatie voor die dochters binnen de E.E.R.
plaats te vinden.
De SCR wordt op het niveau van de moeder jaarlijks geconsolideerd berekend. Dit kan
zowel met standaard modellen als met interne modellen gebeuren. Als er sprake is
van groepsspecifieke risico‟s, dan dienen deze met behulp van interne modellen
berekend te worden. De Toezichthouder kan ook vragen om een intern model toe te
passen als blijkt dat het groeps-risicoprofiel significant afwijkt van het standaardmo-
del. Ook als het interne model niet adequaat is kan de Toezichthouder om verbetering
vragen dan wel verzoeken om de berekening met het standaardmodel uit te voeren.
In de tussentijd kan de Toezichthouder een capital add-on opleggen.
Voor groepen die onderdelen hebben in derde landen gelden afwijkende regels voor
consolidatie, die afhankelijk zijn van het toezichtsregime en regelgeving van de
betreffende derde landen.
Ook op groepsniveau dienen de governancefuncties (risk management, interne
controle, compliance en actuariaat) ingericht te worden. Voor de implementatie
hiervan dienen schriftelijke procedures aanwezig te zijn voor de hele groep en de
uitrol dient ook top down gemonitord te worden. De groepsonderdelen dienen vol-
doende inspraak te hebben bij de implementatie (bottom up). Verder dient de ORSA
geïmplementeerd te worden op groepsniveau. Eventueel kan de ORSA voor de gehele
groep uitgevoerd te worden, mits de verschillende onderdelen herkenbaar zijn.
De rapportage-eisen gelden ook op groepsniveau, waarbij aanvullende informatie
wordt gevraagd, zoals over concentratierisico‟s en intra-groepstransacties. Eventueel
kan een groep één groeps-SFCR opleveren, waarbij de verschillende onderdelen
herkenbaar moeten blijven.
De toezichthouders op de groep zullen samenwerken bij het toezicht. Hierbij wordt per
groep een College van Toezichthouders gevormd, waarvan de groepstoezichthouder
voorzitter is. Het College is bedoeld voor het uitwisselen van informatie en voor
coördinatie en is niet besluitvormend, aangezien de groepstoezichthouder eindverant-
woordelijk is voor het groepstoezicht.
1.7 Toezichthouder
De Toezichthouder in het kader van Solvency II voor Nederland is De Nederlandsche
Bank (DNB). Solvency II valt onder het zogenaamde “prudentieel toezicht”2. DNB kan
een verzekeringsmaatschappij of -groep aanwijzingen geven over de toepassing van
rekenmodellen (standaard of intern), de wijze van rapporteren en over de inrichting
van de governance.
DNB maakt onderdeel uit van The Committee of European
Insurance and Occupational Pensions Supervisors, het
Europese comité van Toezichthouders op verzekeraars en
pensioenfondsen (CEIOPS).
2
Naast “prudentieel toezicht” kennen we ook het “gedragstoezicht” dat bij de Autori-
teit Financiële Markten (AFM) berust. De AFM heeft geen rol bij Solvency II.
Sogeti Nederland B.V. 2.0 13
september 2010
18. De ICT-implementatie van Solvency II
De impact van Solvency II
2 DE IMPACT VAN SOLVENCY II
2.1 Impact op de business
2.1.1 Algemeen
Solvency II heeft grote invloed op de bedrijfsvoering van verzekeraars, zowel op de
processen, organisatie, administratie, besturing, cultuur en commerciële strategie als
op de productontwikkeling.
Een verzekeraar die standaardmodellen toepast zal een veel minder sterke impact van
Solvency II ervaren dan een verzekeraar die met (partieel) interne modellen werkt.
Een uitgebreide beschouwing over de keuze tussen standaardmodellen en interne
modellen treft u aan in Bijlage 3: Standaardmodel of intern model. De implementatie
van de governance-maatregelen (Pilaar 2) zal niet wezenlijk verschillen.
Solvency II betekent een aantal veranderingen ten opzichte van Solvency I, die
weergegeven worden in de volgende tabel.
Verschillen tussen Solvency II en Solvency I:
Solvency I Solvency II Richtlijn
(huidig raamwerk)
Waardering IFRS of BW2.9. Marktconsistent.
bezittingen
Waardering Prudent vastgesteld, geen disconte- Theoretische marktwaarde
voorziening ring voor schadeverplichtingen, berekend op basis van overdrachts-
verzekerings- geen expliciete risicomarge. waarde. Splitsing in een best
verplichtingen estimate en een expliciete risico-
marge. Discontering voor zowel
leven als schade.
Waardering IFRS of BW2.9. Marktconsistent.
overige verplich-
tingen
Prudentieel Twee kwaliteitsniveaus (tiers). Drie kwaliteitsniveaus (tiers). Tier 1
eigen vermogen Tweede tier maximaal 50% van het minimaal 1/3 van het vereiste
vereiste of aanwezige vermogen vermogen, tier 3 maximaal 1/3 van
(laagste van de twee). Onderscheid het vereiste vermogen. Onderscheid
tussen vermogen dat op de balans tussen vermogen dat op de balans
aanwezig is en off-balance aanwezig is en off-balance vermo-
vermogen (onderdeel van tier 2). gen.
SCR Solvabiliteitsmarge. Gekwantificeerd Dekt kwantificeerbare risico‟s voor
op basis van alleen verzekering- verzekeringsrisico, marktrisico,
technische grootheden. Heeft geen tegenpartijkredietrisico en operatio-
specifiek zekerheidniveau. neel risico. De SCR kapitaaleis is zo
vastgesteld dat deze met 99,5%
zekerheid voldoende is om een
volledig jaar mee te overbruggen.
Het is mogelijk om de SCR met een
intern model te berekenen.
MCR Garantiefonds. Is gelijk aan De MCR kapitaaleis is zo vastgesteld
eenderde van de solvabiliteitsmar- dat deze met 85% zekerheid
ge. voldoende is om een volledig jaar
mee te overbruggen.
(Bron: Implementatiedocument DNB, 31 maart 2010)
Sogeti Nederland B.V. 2.0 14
september 2010
19. De ICT-implementatie van Solvency II
De impact van Solvency II
Ongeacht de keuze van het te hanteren model geldt dat de implementatie en toepas-
sing van Solvency II tot grote consequenties in een groot aantal bedrijfsfuncties leidt.
In de komende paragrafen lichten we dit nader toe.
2.1.2 Impact van Pilaar 1: kwantitatieve eisen
De eisen voortvloeiend uit Pilaar 1 van Solvency II zijn ingrijpend voor de vermogens-
structuur van de verzekeraar. Verzekeraars dienen hun bezittingen (assets) en
verplichtingen (liabilities) op een marktconforme wijze te gaan waarderen, in tegen-
stelling tot de huidige situatie waarbij de assets op basis
van historische kostprijs worden gewaardeerd. Op dit
moment – in de pre-Solvency II periode – wordt voor de
solvabiliteitseisen („Solvency I‟) geen rekening gehouden
met de risico‟s op de bezittingen. Voor Solvency II gaat
dat wijzigen. Daardoor wordt het inrichten van een
effectief Risk Management systeem essentieel. Het dient
in te houden: Risk strategieën, processen en (rapporta-
ge)procedures om de impact van de risico‟s op het bedrijf
voortdurend te kunnen monitoren en beheersen.
De risico‟s moeten zowel individueel (op niveau van homogene risicogroepen) als
geaggregeerd en in relatie tot elkaar gemanaged worden in verband met onderlinge
afhankelijkheden. Voor bedrijven met meerdere werkmaatschappijen (juridische
entiteiten) dient dit ook nog op zowel werkmaatschappij- als op groepsniveau te
gebeuren.
Zoals eerder aangegeven moet een maatschappij een keuze maken of ze gebruik wil
gaan maken van interne modellen, van standaardmodellen of van een combinatie
hiervan (partiële interne modellen). In ieder geval zal de verzekeraar de standaard-
modellen moeten kunnen hanteren. De Toezichthouder kan het (op termijn) hanteren
van interne modellen opleggen aan de maatschappij.
Een belangrijke strategische keuze die een maatschappij moet maken is de “risk
appetite”. De “Risk appetite” is de mate waarin een organisatie bereid is om risico te
nemen om een aanvaardbaar of beoogd rendement te maken en om de strategische
doelstellingen te halen.
De risk appetite kan verschillen per risicocategorie. Per risicocategorie dient vastge-
steld te worden in welke mate risico gelopen mag worden. Hierbij geldt, dat naarmate
de risk appetite hoger is de bijbehorende kapitaalvoorziening ook omhoog gaat.
De risk appetite dient gedocumenteerd te worden en vormt de basis voor het risk
management binnen de organisatie (zie onder pilaar 2 in de volgende paragraaf).
Het ontwikkelen van een intern model kan ervoor zorgen dat het kapitaalsbeslag en
daarmee de kapitaalskosten optimaal zijn. Dit betekent niet noodzakelijkerwijs dat het
kapitaalsbeslag lager is: het overall risico en het risicodragend kapitaal worden in de
juiste balans gebracht. Een intern model biedt de verzekeraar het voordeel om meer
differentiatie in de portefeuille ten behoeve van de risicovaststelling aan te brengen,
bijvoorbeeld een schadeverzekering voor oldtimers t.o.v. een standaard autoverzeke-
ring: door de risico's te differentiëren kan de verzekeraar er voor kiezen om de old-
timer verzekering een veel lager risico toe te rekenen. Hierdoor is hij in staat zijn
risicoprofiel te optimaliseren op basis van differentiatie. Optimalisatie is dus niet
hetzelfde als een zo laag mogelijk risicobeslag, maar een juiste balans tussen risico‟s
en kapitaalsvoorzieningen voor de verzekeraar.
Sogeti Nederland B.V. 2.0 15
september 2010
20. De ICT-implementatie van Solvency II
De impact van Solvency II
Het ontwikkelen en toetsen van een dergelijk model kan echter aanzienlijke inspan-
ningen kosten. Naast het ontwikkelen van het model dient ook het pre-
applicatieproces doorlopen te worden waarbij de modellen gekalibreerd moeten
worden. Hierbij worden zogenaamde “use tests” uitgevoerd, waarbij de werking van
de modellen in de praktijk aangetoond moeten worden op basis van live data.
Om de parameters nader vast te stellen wordt in de tweede helft van 2010 de 5e
Quantitative Impact Study (QIS5) uitgevoerd. Hoewel deelname aan QIS5 niet
verplicht is dringt DNB er bij de Nederlandse verzekeraars sterk op aan dat zij hieraan
deelnemen. DNB ziet deelname aan QIS5 als een goede voorbereiding op de invoering
van Solvency II. De gegevens die nodig zijn voor het invullen van QIS5 komen
overeen met de gegevens die voor de uiteindelijke Solvency II-rapportages nodig zijn.
Deelname aan QIS5 geeft dus een goed inzicht in de problemen die te verwachten zijn
op het gebied van de beschikbaarheid van gegevens voor Solvency II.
Een probleem dat hierbij opdoemt is dat er niet over alle soorten risico‟s al informatie
beschikbaar is, zowel kwalitatief als kwantatief (historie). Met name het kwantificeren
van operationele risico‟s zal een uitdaging blijken te zijn.
2.1.3 Impact van Pilaar 2: kwalitatieve eisen en toezichtactiviteiten
Impact op de besturing van de organisatie
Een van de meest in het oog springende eisen in het kader van het toezicht is dat de
verantwoordelijke bestuurder niet alleen hoofdelijk aansprakelijk
is voor de juistheid van de berekeningen en rapportages, maar
dat hij ook dient te kunnen toelichten en aantonen dat de
resultaten verkregen zijn op basis van betrouwbare en correcte
data, procedures en systemen. De bestuurder moet kortom
aantonen dat hij de business kent en in control is!
Door middel van het Supervisory Review Process (SRP) zal de
Toezichthouder de besturing van het bedrijf toetsen op de
mogelijkheid om de actuele en mogelijke risico‟s te identificeren,
beoordelen en managen. De Toezichthouder heeft daarbij de
mogelijkheid om bedrijven te dwingen geconstateerde gebreken
en tekortkomingen te verhelpen. Daarbij ligt, zoals hiervoor
besproken, op het bedrijf (lees: de verantwoordelijke) de last om aan te tonen dat het
besturing- en de risk management processen geschikt en toepasbaar zijn voor het
gekozen risicoprofiel (risk appetite).
Het besturingssysteem moet onder andere omvatten:
Een toepasselijke en transparante organisatiestructuur
Heldere taken, verantwoordelijkheden en bevoegdheden inclusief het – waar van
toepassing – scheiden van taken en verantwoordelijkheden
Beschrijving en implementatie van beleid op het gebied van tenminste: risk
management, interne controle, interne auditering en outsourcing indien van toe-
passing
Kwalificaties van het personeel
Onder Solvency II moet de onderneming aan kunnen tonen dat alle personeelsleden,
inclusief het hoger en senior management, over de kwalificaties beschikken die
toereikend zijn voor de taken die zij uitvoeren. Verder dienen zij aantoonbaar aan
eisen van integriteit te voldoen. De kwalificaties dienen periodiek getoetst te worden.
Sogeti Nederland B.V. 2.0 16
september 2010
21. De ICT-implementatie van Solvency II
De impact van Solvency II
Processen en procesmanagement
De implementatie van Solvency II raakt vele bedrijfsfuncties en daarmee essentiële
bedrijfsprocessen en procedures: strategische besturing, risk management, actuariaat,
Finance & Control. Maar ook bij ICT, als bijvoorbeeld requirements (lifecycle) ma-
nagement structureel wordt ingevoerd.
Het is van het grootste belang om de processen op een gestructureerde wijze te
beschrijven en transparant te maken. Niet alleen is dat een eis van DNB maar het is
ook een instrument om het operationele risico te reduceren, met als spin off dat
daarmee de SCR kan dalen. De controls die het bedrijf inbouwt zijn een belangrijk
aspect van de procesbeschrijvingen.
Zie voor een uitgebreidere beschouwing over processen en procesmanagement Bijlage
7: Business Proces Management (BPM) .
2.1.4 Impact van Pilaar 3: Marktdiscipline en toezichtrapportages
De rapportage onder Solvency II wordt zo veel mogelijk op Europees niveau gehar-
moniseerd. Hierbij zal er gewerkt worden met Europese templates en kunnen
Toezichthouders daar buitenom alleen informatie opvragen als
dat om producten met specifiek nationale kenmerken gaat, zoals
in Nederland bijvoorbeeld zorg- of inkomensverzekeringen.
De rapportagekaders op het gebied van kwantitatieve vereisten
(Pilaar 1) zullen naar verwachting niet veel verschillen voor de
verschillende verzekeraars. De kwalitatieve rapportages (Pilaar 2)
kunnen wel verschillen qua detailniveau op basis van de aard,
omvang, complexiteit en risicoprofiel van de verzekeraar op basis
van proportionaliteit.
Solvency II geeft voor de publieke rapportage (Solvency and Financial Condition
Report – SFCR) bepaalde minimumvereisten, maar de verzekeraar wordt aangemoe-
digd om meer dan dat te rapporteren. Verzekeraars zullen, gezien het belang dat
wordt gehecht aan transparantie onder Solvency II, een visie moeten ontwikkelen op
hoe zij invulling willen geven aan de doelstellingen op het gebied van transparantie.
Verzekeringsgroepen zullen het gemakkelijker krijgen op dit vlak wanneer zij in
meerdere Europese (E.E.R.) landen opereren door de harmonisatie van de rapporta-
gevereisten.
De verzekeraars dienen uiterlijk eind 2011 een implementatieplan op te leveren aan
de Toezichthouder waarin zij duidelijk moeten maken hoe zij de rapportageprocessen
gaan inrichten, hoe deze ingevoerd worden en hoe zij de informatie beschikbaar zullen
stellen. Deze datum ligt vrij ver in de tijd en lijkt ingegeven te zijn door formele
argumenten over de afronding van de CEIOPS Level 2 en Level 3 adviezen voor de
implementatie en de implementatie in de wet- en regelgeving in de Lidstaten. Wij zijn
echter van mening, dat dit erg laat is voor in ieder geval de ICT-implementatie
aangezien de gegevensvoorziening voor Solvency II al per 1 januari 2012 op orde
moet zijn om de rapportage over 2012 in het eerste kwartaal 2013 te kunnen ver-
vaardigen.
De rapportageprocessen zullen wijzigen ten aanzien van de huidige situatie. De
samenstelling, goedkeuring en publicatie van het SFCR vraagt de nodige aandacht.
Sogeti Nederland B.V. 2.0 17
september 2010
22. De ICT-implementatie van Solvency II
De impact van Solvency II
Het proces van het opstellen, samenstellen en publiceren van rapportages dient
gedetailleerd beschreven te zijn. Alle rapportages moeten ook goedgekeurd worden
door de directie. Ook zal een deel van de rapportages extern gecertificeerd moeten
gaan worden.
De verzekeraar zal over adequate systemen moeten beschikken voor het produceren
van rapportages.
2.1.5 Impact op Risk Management, actuariaat, interne controle en
interne audit
In het kader van Solvency II dient een verzekeraar te beschikken over een “system of
governance”, dat de volgende functies omvat:
- Risk Management
- Actuariële functie
- Interne controle (waaronder compliance valt)
- Interne audit
Deze functies worden hieronder behandeld.
Risk Management
Risk management is bij verzekeraars een gevestigde functie. Hierbij gaat het momen-
teel voornamelijk om de bepaling van de verzekeringstechnische risico‟s die de hoogte
van de premie voor de verzekeringen beïnvloeden en het toetsen of de verzekeraar de
komende jaren in staat is zijn verplichtingen na te komen op grond van de nu reeds
bekende aanspraken.
Additionele taken en verantwoordelijkheden voor de risk management functie:
Ontwerpen en implementeren van interne modellen (indien van toepassing)
Testen en valideren van de modellen (idem)
Documenteren (versiebeheer)
Analyseren en rapporteren
Verbeteren en uitbreidingen op het bestaande model
Het gehele risk management systeem moet ingepast en geïntegreerd worden in de
organisatiestructuur van het bedrijf. Er dient hierbij geborgd te worden dat de in de
risicostrategie vastgestelde en geaccepteerde risiconiveaus per risicocategorie (risk
appetite) ook daadwerkelijk gehanteerd worden bij de besluitvorming. Er moet
gekeken worden naar de werkelijke risico-blootstellingen in relatie tot de wenselijke
risico-blootstellingen. Risicobewust werken dient onderdeel te worden van de organi-
satiecultuur.
Het bedrijf moet de uitkomsten van risicobepalingen ook daadwerkelijk gebruiken bij
de inrichting van de besturing van de organisatie, dus bijvoorbeeld bij de pricing van
nieuwe producten. Onder Solvency II moet bij de besluitvorming risicobeoordeling
meegewogen worden en onderdeel uitmaken van de controlecyclus.
De risk management functie dient aantoonbaar objectief en onafhankelijk te werken.
Voor kleinere verzekeraars, die mogelijk niet in staat zijn om deze gehele risk ma-
nagement functie te implementeren en onderhouden, bestaat de mogelijkheid van het
outsourcen van de functie. Hiervoor gelden onder het nieuwe Solvency II regime zeer
strakke eisen zoals het recht van de Toezichthouder om on-site inspecties te houden.
Sogeti Nederland B.V. 2.0 18
september 2010
23. De ICT-implementatie van Solvency II
De impact van Solvency II
Onderdeel van de risk management-functie van elke verzekeraar dient de Own Risk
and Solvency Assessment (ORSA) te zijn. De ORSA is bedoeld om vast te stellen in
hoeverre er aan de Solvency II-vereisten wordt voldaan.
De bevindingen uit de ORSA worden gerapporteerd aan de Toezichthouder (solo en
groep) en maakt deel uit van het Supervisory Review Process (SRP). Voor eventuele
geconstateerde tekortkomingen dient een verbeterplan opgesteld te worden dat
overlegd moet worden aan de Toezichthouder. De voortgang van de uitvoering van
het verbeterplan moeten gerapporteerd worden aan de Toezichthouder.
De aard van de ORSA is tweeledig:
A. Het is een zelfbeoordeling van de organisatie en is als zodanig ingebed in het
strategisch besluitvormingsproces
B. Het is een hulpmiddel in het toezichtproces waarbij de Toezichthouder geïnfor-
meerd moet worden over de uitkomsten.
Voor het uitvoeren van de ORSA is het niet noodzakelijk om een (al dan niet partieel)
intern model toe te passen. Als een organisatie over een goedgekeurd intern model
beschikt, dienen de uitkomsten wel meegenomen te worden in de ORSA.
Let op dat DNB nieuwe en strenge eisen heeft met betrekking tot de risk management
processen en dat de verzekeraar, als onderdeel van de ORSA, moet kunnen aantonen
dat hij de processen, verantwoordelijkheden (voorbeeld: 4-ogen principe) en werking
van de systemen goed en auditeerbaar heeft ingericht.
Actuariële functie
De actuariële functie heeft een belangrijke taak op het gebied van kwaliteitsbeheer-
sing doordat de beslissingen genomen worden op basis van deskundig technisch
actuarieel advies.
Aangezien er op het gebied van actuariaat in Europa nog
verschillende regimes gelden zullen er gemeenschappelij-
ke actuariële richtlijnen worden ontwikkeld door CEIOPS.
Deze zijn een aanvulling op aanwezige nationale stan-
daarden.
De taken van de actuariële functie omvatten onder meer:
- Het coördineren van het berekenen van technische voorzieningen.
- Waarborgen dat de gebruikte methodieken en onderliggende modellen en de bij de
berekening van technische voorzieningen gehanteerde aannames correct zijn.
- Het beoordelen of genoeg gegevens worden gebruikt bij de berekening van
technische voorzieningen en het beoordelen van de kwaliteit ervan.
- Het toetsen van de beste schattingen (“best estimates”) aan de ervaring.
- Het informeren van het bestuurlijk, beleidsbepalend of toezichthoudend orgaan
over de betrouwbaarheid en adequaatheid van de berekening van technische voor-
zieningen.
- Adviseren over de algehele gedragslijn voor het aangaan van verzekeringstechni-
sche verplichtingen.
- Adviseren over de adequaatheid van herverzekeringsregelingen.
De actuariële functie heeft ook de taak om vast te stellen of de kwaliteit van de
gebruikte gegevens en systemen adequaat zijn voor het uitvoeren van de berekenin-
gen onder Solvency II en het opleveren van de rapportages. Het actuariaat dient ook
te adviseren over de verbetering van datakwaliteit. Eventueel kan de actuaris ook
externe gegevens gebruiken.
Sogeti Nederland B.V. 2.0 19
september 2010
24. De ICT-implementatie van Solvency II
De impact van Solvency II
Interne controle
De interne controlefunctie omvat alle administratieve en financiële processen en
procedures. Tot de interne controlefunctie behoort ook de compliancefunctie.
De compliancefunctie is verantwoordelijk om het management en toezichthoudend
orgaan te rapporteren over het al dan niet voldoen aan wet- en regelgeving en
administratieve aanwijzingen onder Solvency II. Verder dient de compliancefunctie te
beoordelen wat de impact van wijzigingen in wet- en regelgeving is op de bedrijfsvoe-
ring. Ten slotte dient de compliancefunctie de compliancerisico‟s te identificeren en te
beoordelen.
Een effectief intern controlesysteem dient zodaning opgezet te zijn dat het ten minste
de volgende zaken waarborgt:
- De effectiviteit en efficiëntie van de bedrijfsvoering in relatie tot de doelstellingen
en risico‟s.
- Beschikbaarheid en betrouwbaarheid van financiële en niet-financiële informatie.
- Het voldoen aan wet- en regelgeving.
Er dienen beschreven administratieve procedures te zijn voor de belangrijkste
bedrijfsactiviteiten om een goed georganiseerde en efficiënte bedrijfsvoering te
garanderen en fouten te voorkomen.
De interne controlefunctie heeft nadrukkelijk de taak om vast te stellen of de syste-
men van de verzekeraar, zowel handmatige als geautomatiseerde systemen,
aansluiten bij de organisatie qua strategie en gegevensbehoefte en of deze in over-
eenstemming zijn met de aard en complexiteit van de bedrijfsactiviteiten.
Het beleid ten aanzien van interne controle wordt door de organisatie vastgelegd en
dient goedgekeurd te zijn door het management en door het toezichthoudend orgaan.
Het beleid dient de wijze te beschrijven waarop het senior management het interne
controlesysteem moet implementeren en onderhouden.
Onderdeel van het interne controlesysteem is ook een beleid op het gebied van
informatiebeveiliging om de integriteit en vertrouwelijkheid van gegevens te waarbor-
gen.
Interne audit
Verzekeraars dienen te beschikken over een effectieve interne auditfunctie die toezicht
moet houden op de efficiëntie en effectiviteit van de interne controlefunctie en de
overige onderdelen van het governance-systeem. De interne auditfunctie dient
objectief en onafhankelijk van het operationele management te kunnen functioneren.
De interne auditfunctie rapporteert aan het bestuur van de organisatie en het toe-
zichthoudend orgaan, die beslissen over welke acties moeten worden genomen op
basis van de rapportage van de interne auditors.
De interne auditfunctie dient toegang te hebben tot alle documentatie, bestanden en
informatie binnen de organisatie, inclusief notulen van besluitvormende vergaderin-
gen. Alle onderdelen van de organisatie dienen te rapporteren aan de interne
auditfunctie, indien er afwijkingen van geldende richtlijnen wordt geconstateert. De
interne auditfunctie moet hierover richtlijnen opstellen en communiceren binnen de
organisatie.
De interne auditfunctie dient te werken op basis van een intern auditplan, dat geba-
seerd is op een gedegen risicoanalyse. Het plan omvat meerdere jaren.
Sogeti Nederland B.V. 2.0 20
september 2010
25. De ICT-implementatie van Solvency II
De impact van Solvency II
De interne auditfunctie rapporteert bevindingen over geconstateerde afwijkingen
direct aan het betrokken management en het toezichthoudend orgaan. Er wordt
minimaal één maal per jaar een formeel auditrapport opgesteld voor het bestuur van
de organisatie en het toezichthoudend orgaan.
De interne auditfunctie dient de eigen activiteiten zodanig te documenteren dat deze
controleerbaar en verifieerbaar is.
2.1.6 Impact op Finance & Control.
De rapportages in het kader van Solvency II betekenen een uitbreiding van de F&C
werkzaamheden voor wat betreft:
Additionele kwantitatieve kwartaalrapportages richting DNB m.b.t. MCR berekenin-
gen op groepsniveau en werkmaatschappijniveau
Idem: jaarrapportages met betrekking tot het voldoen aan de kapitaaleisen en
algehele financiële gezondheid (SFCR)
Voor wat betreft de externe jaarverslagen: additionele disclosure rapportages
De Solvency II rapportages maken deel uit van de financiële rapportages voor het
prudentieel toezicht van DNB (Report to Supervisor – RTS). De afdeling (Enterprise)
Risk Management levert de volledige input voor deze rapportages. Bovendien zal deze
afdeling de kwalitatieve rapportages m.b.t. toelichting van de gevolgde risk uitgangs-
punten, methoden, processen en procedures en dergelijke zelf uitwerken en
opleveren.
Een aandachtspunt voor F&C is het voldoen aan de nieuwe International Financial
Accounting en Reporting standaards, bijvoorbeeld IFRS4 versie 2. De verwachting is
dat een verzekeraar die geheel Solvency II compliant is, daarmee ook de wijzigingen
uit hoofde van de nieuwe IFRS regels voor een belangrijk deel heeft opgelost. Hier-
naast speelt de invoering van Market Conform Embedded Value (MCEV) voor het
waarderen van Assets en Liabilities.
Als laatste noemen we de management accounting (MA) rapportages, waarvan de
verwachting is dat deze risico gericht wordt, met name doordat de bedrijfsvoering na
invoering van Solvency II veel sterker dan nu het geval is. Risicostrategieën en de
uitwerkingen daarvan zullen de besluitvorming waarop de MA rapportage gericht is,
dus veel sterker beïnvloeden.
2.1.7 Uitbesteding
In het kader van overall governance worden er vanuit Solvency II ook specifieke eisen
gesteld aan outsourcing van kritische en belangrijke bedrijfsfuncties. Onder uitbeste-
ding vallen alle functies of activiteiten die normaal gesproken door de verzekeraar zelf
uitgevoerd zouden worden. Gezien het belang van gegevensverwerking door verzeke-
raars valt outsourcing van ICT-functies hier zeker onder. De verzekeraar zal dus
speciale aandacht moeten geven aan de contracten die zij heeft gesloten met service
providers. De contracten met de providers zullen aan de eisen moeten voldoen. Deze
behelzen onder meer:
De verzekeraar blijft volledig verantwoordelijk voor de operatie.
De financiële betrouwbaarheid van de partner.
De verzekeraar moet voldoende tijd hebben om bij beëindiging van het contract
een alternatieve oplossing te vinden.
Sogeti Nederland B.V. 2.0 21
september 2010
26. De ICT-implementatie van Solvency II
De impact van Solvency II
De mogelijkheid om het contract te beëindigen als de service provider niet kan
voldoen aan de eisen.
Eisen ten aanzien van beveiliging, confidentialiteit en continuïteit.
De service provider moet over een adequaat risk managementsysteem en interne
controlesysteem beschikken, die moeten aansluiten op het risk management- en
interne controlesysteem van de opdrachtgever.
Documentatie dient aan eisen van “good practices” te voldoen.
De service provider moet desgevraagd informatie verstrekken aan de Toezicht-
houder dan wel externe auditor over de uitbestede diensten en moet zo nodig
visitatie toestaan
Het is dus van groot belang voor de verzekeraar om de contracten met service
providers tijdig te reviewen op compliance met de eisen die vanuit Solvency II
bestaan. Speciale aandacht moet uitgaan naar outsourcing buiten de E.E.R. Ook SLA‟s
met interne service providers (binnen de eigen groep) vallen onder deze eisen, zij het
onder een minder strikt regime. De hierover gesloten Service Level Agreements
moeten ook beoordeeld worden op compliance met deze eisen 3.
In Bijlage 5: Aandachtspunten voor uitbesteding gaan wij uitgebreid op dit onderwerp
in.
2.2 Impact op ICT
2.2.1 Algemeen
De impact van Solvency II op ICT is groot en zal grote delen van het applicatieland-
schap gaan raken en daarnaast de nodige impact hebben op de ICT-organisatie en
processen daarbinnen. De belangrijkste aandacht moet uitgaan naar datamanage-
ment, datakwaliteit en data delivery. Dit wordt uitgebreid behandeld in Bijlage 8:
Gegevens en gegevensontsluiting. Op basis van de ervaringen vanuit Basel II-
implementaties is het de verwachting dat hier tussen de 50% en 70% van de budget-
ten aan zal opgaan.
Ook ICT Governance is een essentieel onderwerp dat geadresseerd moet worden door
de maatschappijen, als onderdeel van de overall governance-eisen.
2.2.2 Impact van Pilaar 1: kwantitatieve eisen
De keuze voor het gebruik van standaardmodellen dan wel interne modellen voor het
berekenen van de SCR en MCR is sterk bepalend voor de impact. Standaardmodellen
maken vooral gebruik van informatie die reeds in de financiële administratie aanwezig
is, terwijl interne modellen daarnaast aanvullende informatie nodig hebben die niet
per definitie al in digitale vorm beschikbaar is. Informatie over operationele risicobere-
keningen is niet altijd beschikbaar. Een goede indicatie van de benodigde gegevens
voor interne modellen valt af te leiden uit de gegevens die voor QIS4 en RiSK4
gebruikt zijn. De eerdere QIS-onderzoeken gingen meer uit van het standaardmodel.
3
Zie voor de volledige eisen “CEIOPS‟ Advice for Level 2 Implementing Measures On
Solvenc II: System of Governance”, par. 3.7 Outsourcing
4
Risicogebaseerd SolvabiliteitsKader, Door DNB in 2009 uitgevoerd onderzoek binnen
Nederland op basis van de QIS4-spreadsheets
Sogeti Nederland B.V. 2.0 22
september 2010
27. De ICT-implementatie van Solvency II
De impact van Solvency II
Van augustus tot en met november 2010 zal QIS5 uitgevoerd worden door de
maatschappijen. Hoewel QIS5 niet verplicht gesteld wordt door DNB, dringt zij er wel
sterk op aan bij de maatschappijen.
De QIS-sen zijn steeds spreadsheet-acties geweest, die grotendeels uitgevoerd zijn
door Risk Management, Actuariaat en Finance. ICT is hierbij over het algemeen niet of
zijdelings betrokken geweest. Aangezien in QIS5 alle soorten kwantitatieve data
betrokken worden die ook in de uiteindelijke
SCR- en MCR-berekeningen omvat, is QIS5 ook
een uitgelezen mogelijkheid om ICT hierbij te
betrekken om de requirements ten aanzien van
kwaliteit, kwantiteit en beschikbaarheid van
data vast te stellen. Hierdoor is ook de nodige
tijdwinst te boeken.
Data en systemen die gebruikt worden voor de
doorrekening van modellen en de rapportage
worden onder Solvency II als onderdeel
beschouwd van interne modellen. Hiermee
maken deze data en systemen ook onderdeel
uit van het goedkeuringsproces van interne
modellen. CEIOPS heeft een apart Level 2 –advies gewijd aan datakwaliteit: “Technical
Provisions – Article 86f Standards for Data Quality”, waarin deze eisen uitgewerkt
worden op het gebied van documentatie, kwaliteit, kwantiteit en beheer.
Een ander belangrijk probleem is dat het eigendom en beheer van toepassingen op
het gebied van risk management veelal buiten het domein van de ICT-organisatie
liggen. Het managen van het risico op de bezittingen wordt uiteraard ook gedaan
maar minder als een geïntegreerde bedrijfsfunctie: vaak met off-line tooling of met
Excel toepassingen (zie ook de volgende paragraaf 2.2.3 Impact van Pilaar 2: kwalita-
tieve eisen). Het voeden van de applicaties met data gebeurt handmatig met alle
gevaren op fouten van dien.
Indien een verzekeraar kiest voor het toepassen van interne modellen moet deze er
rekening mee houden dat daar aanvullende gegevens voor nodig zijn. Denk hierbij aan
gegevens over marktrisico‟s en operationele risico‟s. De verzekeraar moet na gaan of
dergelijke gegevens binnen de organisatie aanwezig zijn en hoe deze ontsloten dan
wel verkregen kunnen worden. Het is mogelijk dat hiervoor additionele toepassingen
of aanpassingen in bestaande toepassingen noodzakelijk zijn dan wel dat er informatie
van buiten de organisatie nodig is.
Het groepstoezicht krijgt meer gewicht dan in de huidige situatie, waarbij het een
aanvulling is op het solo-toezicht dat per solo-verzekeraar wordt uitgevoerd. Van de
moeder van een verzekeringsgroep wordt verwacht dat zij weet wat de reikwijdte is
van de groep, dat zij governance en risicobeheer procedures implementeert en
overziet, dat zij voldoet aan de (publieke) rapportage eisen en dat zij op groepsniveau
de SCR berekent. Het toezicht berust bij de Toezichthouder in het land waar de
moeder gevestigd is. Voor verzekeringsgroepen – in het bijzonder zij die werkmaat-
schappijen in meerdere landen hebben – moet er dus ook een organisatie,
infrastructuur en architectuur aanwezig zijn voor het consolideren van gegevens en
het uitvoeren van geconsolideerde risicoberekeningen.
Voor het uitvoeren van de risicoberekeningen zijn – mede afhankelijk van de omvang
van de organisatie – grote hoeveelheden betrouwbare data nodig die hun eisen stellen
aan de technische ICT-infrastructuur op het gebied van opslagcapaciteit, verwerkings-
Sogeti Nederland B.V. 2.0 23
september 2010
28. De ICT-implementatie van Solvency II
De impact van Solvency II
capaciteit, performance en schaalbaarheid. Er is sprake van behoorlijke piekverwer-
kingen wanneer de jaarlijkse SCR-berekeningen moeten worden uitgevoerd en in
mindere mate per kwartaal wanneer de MCR-berekeningen worden uitgevoerd. Het
bepalen van de capaciteit van de infrastructuur zal een afweging worden van de
benodigde piekcapaciteit versus de kosten.
2.2.3 Impact van Pilaar 2: kwalitatieve eisen
Een tegenwoordige verzekeringsmaatschappij is niet meer denkbaar zonder gebruik
van informatietechnologie. Waar Solvency II eisen stelt ten aanzien van governance,
proceskwaliteit en audit trail strekt dit zich ook onverkort uit naar de ICT-organisatie.
Ook voor de implementatie van Solvency II is er een cruciale rol weggelegd voor de
ICT-organisatie. In de huidige situatie hanteren risk management afdelingen voor risk
managementtoepassingen veelal stand alone, vaak informele (MS Excel) toepassin-
gen. De gegevens worden handmatig verwerkt. Onder de eisen vanuit Pilaar 2 kan dit
soort werkwijzen geen stand houden aangezien hiervoor onvoldoende waarborgen ten
aanzien van audit trail en informatiebeveiliging kunnen worden gegeven.
De eisen ten aanzien van een integraal risk managementsysteem vereisen ook dat er
toepassingen nodig zijn om de werking ervan te monitoren en om hierover te kunnen
rapporteren. Verder zijn er toepassingen nodig voor het beheren (versiebeheer!) van
documentatie over het risk managementsysteem, de processen en procedures en de
gebruikte informatiesystemen.
Een van de meest in het oog springende kwaliteitseisen betreft die van datakwaliteit
en audit trail. In het kader van Solvency II moet een organisatie aantonen wat de
basis van de berekeningen is, de herkomst van de gegevens en de bewerkingen die de
gegevens hebben ondergaan5.
Een ander belangrijk aspect is procesbesturing. Procesmanagement is een onderdeel
van “good governance”. In de processen moeten ook goed gedefinieerde controls
opgenomen worden waarop gestuurd kan worden en waarover gerapporteerd kan
worden (controleerbaarheid van processen).
Zeker in een omgeving waarin sprake is van een divers applicatielandschap samenge-
steld uit pakketten en maatwerk, legacy en nieuwe systemen zal de ICT-organisatie
voor aanzienlijke uitdagingen gesteld worden. Het is dan ook van essentieel belang
om het huidige landschap goed in kaart te hebben qua documentatie en architectuur.
Onderdeel van het interne controlesysteem dient ook een informatiebeveiligingsbeleid
te zijn om de integriteit, betrouwbaarheid, tijdigheid, vertrouwelijkheid en controleer-
baarheid van gegevens te waarborgen. Er dient voorzien te worden in
toegangsbeveiliging tot infrastructuur, hardware en systemen. Hierbij dient ook
voorzien te worden in managementtoezicht, en operationele en technische controles
waar noodzakelijk.
Onder Solvency II worden ook operationele risico‟s meegenomen ter bepaling van de
kapitaalsbehoefte. Tekortkomingen binnen de ICT-infrastructuur en het applicatieland-
schap (onvoldoende documentatie, verouderde technologie, achterstallig onderhoud
enzovoort) leiden in de huidige situatie al tot hoge onderhoudskosten en onnodig hoge
projectkosten alsmede tot instabiliteit van de systemen. Onder Solvency II dient de
verzekeraar deze risico‟s mee te wegen als operationele risico‟s en leiden dergelijke
5
Zie hiervoor “CEIOPS‟ Advice for Level 2 Implementing Measures On Solvenc II:
Technical provisions – Article 86 f Standards for Data Quality”
Sogeti Nederland B.V. 2.0 24
september 2010
29. De ICT-implementatie van Solvency II
De impact van Solvency II
situaties niet alleen tot hogere onderhoudskosten, maar kunnen ze ook leiden tot
extra kapitaalsbeslag.
2.2.4 Impact van Pilaar 3: openbaarmaking
De openbaarmakingsvereisten van Solvency II vragen om een adequate rapportage-
infrastructuur en –architectuur. Voor een deel zal het een uitbreiding betekenen van
de bestaande rapportages (m.n. financiële rapportages), voor een deel ook nieuwe
rapportages. In de rapportages dienen kwalitatieve en kwantitatieve gegevens
gecombineerd te worden.
De wijze waarop de rapportage-infrastructuur moet worden
ingericht is afhankelijk van de situatie: enerzijds heeft de keuze
voor interne modellen of standaardmodellen de nodige impact,
anderzijds is de samenstelling van het applicatielandschap van
belang.
In geval de verzekeraar kiest voor het gebruik van interne
modellen (of deze opgelegd krijgt door de Toezichthouder) moet
hij de bestaande rapportagestructuur zodanig aan te passen dat aan de nieuwe
rapportagevereisten en governance-eisen voldaan wordt.
De rapportage-infrastructuur dient voldoende robuust te zijn om de benodigde
rapportages tijdig op te leveren aan de Toezichthouder. Er moet rekening mee worden
gehouden, dat dit het doorrekenen van aanzienlijke hoeveelheden gegevens met zich
meebrengt.
Het is derhalve van groot belang in het kader van het implementeren van Solvency II
om op zo kort mogelijke termijn inzage te krijgen in de beschikbaarheid van data, de
kwaliteit ervan en de hoeveelheid gegevens. Dit heeft ook zijn weerslag op de ICT-
infrastructuur, die voldoende capaciteit moet hebben voor de verwerking en opslag
van de rapportagegegevens.
Strikt genomen zijn de rapportages reguliere rapportages en zouden zij buiten het
domein van Business Intelligence vallen. Op basis van de samenstelling van het
applicatielandschap zal er echter in veel gevallen gekozen worden voor een data
warehouse-oplossing.
In de huidige situatie bestaan er veelal meerdere data warehousetoepassingen naast
elkaar en is data-integriteit en kwaliteit niet gewaarborgd. Het zal in veel gevallen
aanzienlijke inspanningen kosten om de data-kwaliteit, data-integriteit en data
delivery op orde te krijgen. Zie voor uitgebreidere informatie ook Bijlage 8: Gegevens
en gegevensontsluiting.
Sogeti Nederland B.V. 2.0 25
september 2010
30. De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
3 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE
3.1 Solvency II programma-aanpak
3.1.1 Algemeen
Het Solvency II invoeringstraject voor de ICT-aspecten moeten veel verzekeraars nog
ontwerpen en inplannen. Meestal is men wel aan de business-kant begonnen maar
loopt de betrokkenheid van ICT achter. Het feit dat de regels en richtlijnen momenteel
nog niet volledig uitgekristalliseerd zijn, zorgt ervoor dat er ook onzekerheid en
afwachtendheid bestaat. De aandacht gaat in eerste instantie sterk uit naar pilaar 1
(kwantitatieve eisen) en pilaar 3 (openbaarmaking) en de discussie speelt zich vooral
af bij risk management en actuariaat. De tijd begint echter inmiddels behoorlijk te
dringen en het is zaak om met de ICT-implementatie op korte termijn te beginnen.
Pilaar 2 (governance) lijkt vooralsnog minder aandacht te
krijgen. Het is te voorzien dat ook hierin majeure inspan-
ningen gestoken moeten worden. Dit betreft niet alleen de
governance-aspecten aan de business-kant, maar ook aan
de ICT-kant. Een uitdaging hier is, dat voor de inrichting
van governance de “principles” naar de eigen bedrijfssitua-
tie vertaald moeten worden en dat hiervoor minder
concrete handvatten zijn dan voor de meer cijfermatige en
“harde” pilaren 1 en 3.
Dit is niet de beste basis om een dergelijk ingrijpend
programma te starten, laat staan de ICT afdeling al van de
juiste marsorders te voorzien. Toch kunnen bedrijven en
ook de ICT afdelingen daarbinnen zich niet permitteren om
te wachten op de definitieve regelgeving die op dit moment
(september 2010) niet eerder dan begin 2011 verwacht
wordt.
Een belangrijke uitdaging ligt ook in het karakter van Solvency II. Solvency II is, zoals
eerder vermeld, “principles based” en geeft geen strak gedefinieerde regels. De
principes van Solvency II zal de verzekeraar moeten vertalen naar de eigen situatie.
Dit zal hij moeten doen in wisselwerking met de Toezichthouder. De verfijning en
verbetering van deze vertaling zal ook doorgaan na de invoeringsdatum en hier zal het
bedrijf zich ook op moeten inrichten.
3.2 Stappen in de implementatie
Aangezien verzekeringsmaatschappijen sterk van elkaar kunnen verschillen is het niet
mogelijk om een generieke programma-aanpak te geven. De te kiezen programma-
aanpak wordt bepaald door een aantal factoren die de verzekeraar moet afwegen.
Deze worden verderop in dit hoofdstuk behandeld.
In de aanpak van de Solvency II ICT-implementatie is wel een aantal stappen aan te
geven waarvan de omvang sterk afhankelijk is van de verzekeringsmaatschappij of -
groep in kwestie.
Sogeti Nederland B.V. 2.0 26
september 2010
31. De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
In de volgende figuur zijn de stappen afgebeeld:
In de volgende paragrafen lichten wij de stappen nader toe.
3.2.1 Oriëntatie
Tijdens de oriëntatie moet het ICT-management zich een beeld vormen van de impact
van Solvency II op de eigen organisatie. Allereerst is het van belang om vast te stellen
wat de invoeringsstrategie van het bedrijf is. Hierbij moet het ICT-management ook
aansluiting zoeken bij het business management, dat zij bewust moeten maken van
de ICT-impact. Mogelijke knelpunten in de ICT-implementatie dienen zo vroeg
mogelijk duidelijk te zijn omdat deze mede-bepalend zijn voor het tempo van de
business implementatie en de haalbaarheid. Data ten behoeve van modellen en
rapportage alsmede de bijbehorende systemen worden onder Solvency II als onder-
deel beschouwd van de modellen en vallen dus ook onder de goedkeuringsvereisten.
Tijdens deze stap dient ook gewerkt te worden aan de bewustwording van de impact
van Solvency II op de ICT-organisatie om een gevoel voor urgentie te ontwikkelen. Dit
kan Sogeti ondersteunen met Awareness Workshops voor het ICT-management en de
ICT-staf en vertegenwoordigers van de business, bij voorkeur risk managers, actuaris-
sen en procesverantwoordelijken.
3.2.2 Bepaling invoeringsstrategie
Voor het bepalen van de invoeringsstrategie moet de organisatie een aantal vragen
beantwoorden:
Omvang organisatie
De eerste bepalende factor is de omvang van de organisatie. De aanpak bij een kleine
solo-verzekeraar verschilt qua schaal en structuur sterk van die van een verzekerings-
groep met meerdere werkmaatschappijen in verschillende landen.
Sogeti Nederland B.V. 2.0 27
september 2010
32. De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Standaardmodel of intern model
Ook een belangrijke factor is of de verzekeraar gaat werken met een standaardmodel
of met interne modellen. Bij keuze voor het werken met interne modellen is een
aanzienlijke tijd nodig voor het ontwikkelen van deze modellen, de bijbehorende
kennisopbouw en te ontwikkelen of aan te schaffen applicaties.
Beleid t.a.v. openbaarmaking
Solvency II stelt minimumeisen ten aanzien van de publicatie van rapportages en de
inhoud hiervan (Jaarlijkse SFCR, jaarverslag), maar nodigt
verzekeraars uit om meer transparantie te betrachten.
Hiertoe zal de verzekeraar een beleid moeten definiëren.
Centraal of decentraal
Bij grotere maatschappijen/groepen speelt ook de vraag of er
gekozen wordt voor een centrale aanpak of een decentrale
aanpak.
Gegeven het feit dat een verzekeringsgroep op centraal
niveau moet rapporteren dient er in alle gevallen sprake te
zijn van een centrale regie met betrekking tot de inrichting
van (enterprise) risk management, rapportagelijnen en data- uitwisseling.
Verdere overwegingen zijn onder meer:
Organisatiecultuur: Kent de verzekeraar een sterk hiërarchische, centralistische
cultuur of hebben de bedrijfsonderdelen een bepaalde mate van autonomie.
Differentiatie: In hoeverre verschillen de bedrijfsonderdelen qua productaanbod en
risicoprofiel.
Applicatielandschap: In hoeverre lijken de applicatielandschappen van de verschil-
lende bedrijfsonderdelen op elkaar? Is er sprake van gedeelde systemen of staan
alle systemen op zichzelf? Kunnen bestaande applicaties aangepast worden aan
Solvency II of is het beter om het applicatielandschap te rationaliseren en bepaal-
de systemen (vervroegd) uit te faseren?
Gefaseerd of big bang
Hoe wenselijk een big bang implementatie ook moge zijn, deze is lang niet in alle
gevallen haalbaar bij complexe operaties zoals de implementatie van Solvency II.
Hoewel het misschien haalbaar is bij een kleinere solo-verzekeraar, zal het bij een
verzekeringsgroep niet altijd mogelijk zijn om de gewenste eindsituatie te behalen per
31 december 2012 en zal er wellicht volstaan moeten worden met een minimale
variant. Solvency II biedt de mogelijkheid om na de invoeringsdatum verbeteringen en
verfijningen aan te brengen.
Een andere factor is de verandercapaciteit van de organisatie, die bepaald wordt door
de beschikbare capaciteit (zowel kwalitatief als kwantitatief), beschikbare budgetten,
maar ook de status van het applicatielandschap.
Combineren met andere compliancy-trajecten
Mogelijk zijn er binnen de organisatie al compliancy-trajecten gaande die gecombi-
neerd kunnen worden met de implementatie van Solvency II, omdat deze een
vergelijkbaar verandergebied hebben of inhoudelijk een grote overlap. Gedacht kan
hier worden aan de implementatie van Market Consistent Embedded Value (MCEV)
principes voor waardering van assets en liabilities en de verdere uitrol van IFRS fase
4.
Doorlooptijd
Sogeti Nederland B.V. 2.0 28
september 2010
33. De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
De doorlooptijd voor Solvency II wordt sterk bepaald door extern bepaalde deadlines.
Het is derhalve noodzakelijk om vanuit deze deadlines terug te rekenen om vast te
stellen hoeveel tijd er beschikbaar is voor zowel de business-aspecten als de ICT-
aanpassingen en –ontwikkelingen.
Strategievorming
Op basis van deze overwegingen ontwikkelt het bedrijf een visie op de gewenste
situatie en de marsroute daar naartoe om richting te geven aan het implementatiepro-
ces. Dit zal niet op zichzelf kunnen staan.
Onderdeel van de beschrijving van de strategie hoort naar onze mening een architec-
tuurvisie te zijn (met name de business-architectuur). Dit is een belangrijk middel om
de beoogde structuur te communiceren.
3.2.3 Analyse en planning
Als de strategie bepaald is, moet het programmamanagement een gedegen planning
opstellen voor de implementatie. Hiertoe is het sterk aan te bevelen om een GAP-
analyse (IST => SOLL) uitgevoerd worden, waarbij de “witte vlekken” en knelpunten
in de processen, systemen en ICT-infrastructuur in kaart gebracht moeten worden.
Een probleem hierbij is, dat de
regelgeving nog niet volledig
uitgekristalliseerd is. Dit betekent
dat de functionele detailspecifica-
ties nog niet bekend zijn. De
principes van Solvency II zijn
echter wel bekend en met name
op het gebied van (ICT-
)governance, datamanagement,
datakwaliteit en data delivery kan
al veel gebeuren. Dit wordt
behandeld in de volgende para-
graaf 3.2.4 Implementatie.
Niet iedere verzekeraar zal in
staat zijn om tijdig het gewenste
eindambitieniveau te bereiken. Er
kan gedacht worden om te werken met een plateauplanning, waarbij een aantal
opeenvolgende ambitieniveaus worden gedefinieerd. Hierbij dienen steeds de proces-
sen, organisatie (governance, verantwoordelijkheden, cultuur), mensen (kwalitatief en
kwantitatief) en systemen bij elkaar aan te sluiten:
Het eerste plateau zou dan kunnen zijn dat er per 31 december 2012 voldaan wordt
aan de minimumeisen (bijvoorbeeld een partieel intern model) en dat er daarna
stapsgewijs gewerkt wordt aan optimalisatie in haalbare stappen.
Rekening houdend met de dynamiek van het invoeringstraject van de Solvency II-
regelgeving bevelen wij aan om voor de implementatie te werken met scenario‟s die
bijgesteld worden aan de hand van actuele ontwikkelingen.
Voor de analyse- en planningsfase is het sterk aan te bevelen om dit gelijk op te laten
lopen met de beantwoording van QIS5 en het uitvoeren van de eerste self assess-
ment.
Sogeti Nederland B.V. 2.0 29
september 2010
34. De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Door bij het beantwoorden van de QIS5 samen te werken tussen business en IT kan
er ook meteen goed inzicht verkregen worden in de beschikbaarheid, herkomst en
kwaliteit van de data, aangezien de gegevens die voor QIS5 gebruikt worden voor het
overgrote deel overeenstemmen met de gegevens die onder Solvency II gerappor-
teerd moeten gaan worden.
Bij de eerste ORSA moet de organisatie in kaart brengen hoe zij er voor staat ten
aanzien van de Solvency II-eisen. Hierbij moeten ook de IT-systemen betrokken
worden.
Door nauwe samenwerking tussen business en IT bij QIS5 en Self Assessment kan
aanzienlijke snelheidswinst gehaald worden. Dit is ook noodzakelijk, want de verzeke-
raars moeten in de loop van 2011 een concreet implementatieplan voor Solvency II
opleveren, dat alle activiteiten bevat die ondernomen moeten worden opgenomen
moeten worden, een kritisch pad-anyse, benodigde capaciteit en risico‟s.
3.2.4 Implementatie
Voorwaardenscheppend
Hoewel de “harde specificaties” van Solvency II nog niet volledig bekend zijn is het
naar onze mening goed mogelijk om op een aantal gebieden al met zaken te beginnen
die voorwaardenscheppend zijn en waarvoor de detailspecificaties niet noodzakelijk
zijn. Dit behandelen we verderop in deze paragraaf.
Er kunnen in een vroegtijdig stadium al harde requirements worden opgesteld voor
zaken waarvan op voorhand duidelijk is dat deze op orde gebracht moeten worden,
met name op het gebied van IT Governance en datakwaliteit. Wacht dus niet met
requirements opstellen waar het bedrijf al aan kan beginnen op basis van de globale
richtlijn en daaruit af te leiden aannames! DNB verwijst in het Implementatiedocu-
ment ook naar de reeds beschikbare Level 2-adviezen van CEIOPS en de beschikbare
Level 3 Consultation Papers als richtinggevend. Voor het ICT-domein zijn met name de
CEIOPS Level 2-adviezen over het “System of Governance” en “Data Quality” van
belang.
Sogeti Nederland B.V. 2.0 30
september 2010
35. De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Er is zeer veel dat men als bedrijf als voorbereiding op Solvency II kan doen. In een
aantal gevallen betreft dit zaken die een bredere strekking hebben dan Solvency II,
maar waarvoor Solvency II wel een extra motivatie vormt om ter hand te nemen. Een
selectie:
QIS5 uitvoeren om te monitoren en te beoordelen in hoeverre men qua beschik-
baarheid van de gegevens gereed is voor het leveren van rapportages en het
gebruik van interne modellen
Impact analyses op zowel business als ICT op basis van op het moment bekende
regelgeving als onderdeel van de Self Assessment
De kwaliteit van de benodigde brondata meten en op basis van bevindingen
verbeteren, inrichten meta datamanagement, master datamanagement
Risk management en andere geraakte processen voor de toekomstige situatie
modelleren
Automatiseren en beveiligen datastromen waarin nog handmatige stappen
voorkomen om operationele risico‟s te verlagen
Opstellen van gebruikers requirements voor risk engines en enterprise risk
management systemen aan de hand van de strategische keuzes en nu bekende
voorschriften – men kan daarna volstaan met het monitoren van gewijzigde inzich-
ten en regelgeving
Shortlist opstellen en Proof of Concept uitvoeren voor nieuwe risk engines
Aan de ICT-zijde kan men alternatieven voor de technische implementatie uitwerken
en modelleren. Een mogelijke benadering op hoofdlijnen:
Start met het ondersteunen van de uitvoering van de berekeningen met behulp
van de standaard methode. Deze moet een verzekeraar immers in ieder geval
beheersen, ook wanneer het hanteren van interne modellen in de streefsituatie
beoogd wordt
Start met voorbereiden en implementeren van interne modellen wanneer daar
naast de implementatie van het standaardmodel, ruimte in de planning en be-
schikbare resourcing voor is. Het is niet noodzakelijk om per 31 december 2012 de
interne modellen volledig gereed en geïmplementeerd te hebben. Na 31 december
2012 zal een periode van permanente verbetering intreden in samenspraak met
DNB
Start aan ICT-zijde zo snel mogelijk met de voorbereiding en uitvoering van de
structurele oplossing
Realisatie Solvency II-toepassingen
Zodra de specificaties bekend zijn kan de organisatie starten met het realiseren van
Solvency II-toepassingen en aanpassingen aan bestaande systemen. Ook met de
eventuele selectie en implementatie van (enterprise) risk managementpakketten kan
dan gestart worden.
Enterprise Risk Management omvat meer dan alleen de berekening van SCR en MCR.
Gartner geeft aan dat er voor de implementatie van Solvency II de volgende soorten
applicaties nodig zijn:
Actuariële modelleringstools voor het modelleren van Asset en Liability risico‟s, om
(partieel) interne modellen te ontwikkelen en om SCR en MCR te berekenen.
Data integratie-tools voor het extraheren, transformeren en laden (ETL-tooling)
van data vanuit bronsystemen naar een data warehouse.
Business Intelligence (BI) en rapportagetools voor on line analyse en rapportage
(On Line Analytical Processing – OLAP), dashboards voor hoger management en
om gebruikers in staat te stellen om rapporten samen te stellen.
Risk management en rapportagetoepassingen om verschillende vormen van risico,
zoals operationeel risico, verzekeringstechnisch risico en marktrisico, te monitoren
en analyseren.
Sogeti Nederland B.V. 2.0 31
september 2010
36. De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Governance-, risk- en compliancetoepassingingen (GRC) om bedrijfsbreed een
consistent risk management framework te implementeren, controlepunten te defi-
niëren en te monitoren en om de interne controlefunctie te ondersteunen.
Asset/liability- of investment management-applicaties om kapitaal- en investe-
ringsrisco‟s te monitoren en te analyseren en om investeringsportefeuilles te
beheren.
Andere applicaties voor het ondersteunen van algemene taken zoals het documen-
teren van processen, data security of workflow management.
Niet expliciet genoemd door Gartner, maar naar onze mening ook van belang om in dit
kader te noemen zijn:
Data warehouses
Applicaties voor meta datamanagement
Tools voor data cleansing
Ondersteuning van versiebeheer van documentatie van processen en applicaties en
van applicaties zelf
Procesmodelleringstools
Er zijn in de markt geen leveranciers die het volledige palet van toepassingen leveren.
Dit betekent, dat de ICT-organisatie vanuit haar verantwoordelijkheid van systeemin-
tegrator een belangrijke rol moet krijgen in de selectie, integratie en implementatie
van (enterprise) risk management toepassingen en de inbedding binnen de reguliere
ICT-architectuur, zodat de ICT-organisatie de kwaliteit van de data ook kan garande-
ren.
Testen
Een belangrijke uitdaging, met name bij complexere organisaties, is het testen van de
risicoberekeningen (SCR/MCR) en de rapportages. Dit betekent, dat de verzekeraar de
gehele keten van bronapplicatie tot en met uiteindelijke rapportages, inclusief
consolidatie op groepsniveau, moet testen. Hiervoor moet de organisatie tijdig starten
met het bepalen en opzetten van de teststrategie, de testaanpak en testinfrastructuur.
Idealiter loopt dit vanaf de strategiebepaling mee.
3.3 Het belang van structurele oplossingen
Ervaringen uit eerdere compliance programma‟s, die in
eerste instantie als „moetjes‟ op de betrokken bedrij-
ven af komen, wijzen uit dat op ICT-gebied vooral
gerichte en „eendimensionale‟ oplossingen gerealiseerd
worden, specifiek gericht op het kunnen voldoen aan
de opgelegde eisen. Dit is om een aantal redenen,
waarop we hierna terug komen, een gemiste kans.
Toch is het begrijpelijk dat bedrijven moeite hebben
om te kunnen inzetten op structurele oplossingen:
Vaak neemt het creëren van structurele oplossingen meer tijd in beslag. De
planning werd vaak te krap omdat men zich verkeek op de impact van het eerdere
programma en dus de benodigde capaciteit voor de wijzigingen en omdat gedu-
rende de rit van de implementatie de wetgever met nieuwe en andere eisen kwam.
Gestuwd door de druk van de deadlines koos men vaak toch weer voor een „snelle‟
oplossing.
Sogeti Nederland B.V. 2.0 32
september 2010
37. De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Structurele oplossingen zijn als initiële investering meestal duurder dan een snelle,
niet structurele oplossing. Het budget van het onderhanden compliance program-
ma is meestal beperkt tot het realiseren van de voor het programma benodigde
wijzigingen. Het programma heeft daarmee geen funding voor structurele wijzigin-
gen. In een tijd dat ICT budgetten krimpen heeft het ICT bedrijf hier ook geen of
onvoldoende budget voor. Echter, de verkleining van operationele risico‟s door
rationalisatie van het ICT-landschap levert onder Solvency II een extra business
case op voor een structurele oplossing (zie hieronder “Kosten operationeel risico”).
Veel eindgebruikers, denk hierbij vooral aan actuarissen en risk managers, werken
vaak met stand alone tools zoals Exel-toepassingen op PC-pakketten. Data wordt
handmatig ingevoerd of door middel van losse bestandjes. Onder Solvency II is dit
niet langer aanvaardbaar. Dit vereist structurele inbedding in de reguliere ICT-
infrastructuur waarbij de kwaliteit van de gegevens en de verwerking hiervan ge-
garandeerd kan worden. Van belang is wel dat dit zo min mogelijk de flexibiliteit
mag beïnvloeden.
De berekening van risico‟s en het berekenen van SCR en MCR is een complexe
aangelegenheid waarbij data uit een groot aantal bronnen bijeen gebracht moet
worden (zie 1.5.1 Pilaar 1: Kwantitatieve eisen). Dit vereist een structurele oplos-
sing, waarbij de kwaliteit van de data gegarandeerd is.
Toch zijn er goede redenen waarom een verzekeraar, zeker met als aanleiding
Solvency II, zou horen te werken aan structurele oplossingen. Deze behandelen we
hierna.
Solvency II wet- en regelgeving
DNB eist van bedrijven om Solvency II compliant te zijn, dat zij aantoonbaar aan
stringente eisen voldoen op het gebied van kwaliteit van data, geldigheid van gebruik-
te modellen en methodieken, stabiliteit van processen en ingeregelde
verantwoordelijkheden. Aan deze eisen kan een verzekeraar alleen tegemoet komen
wanneer zij haar zaken structureel en aantoonbaar op orde heeft.
Kosten operationeel risico
Een belangrijk onderdeel van de berekening van de SCR wordt gevormd door operati-
oneel risico. Hieronder vallen zaken als fraude, reputatierisico, maar ook verstoring
van bedrijfsprocessen door invloeden van buitenaf en binnenuit. Tot die laatste
categorie behoren de risico‟s die voortvloeien uit een verouderd en versnipperd
applicatielandschap.
Hiermee wordt ook duidelijk dat rationalisatie van het applicatielandschap bij een
verzekeraar die hiervoor een intern model hanteert tot besparingen leidt, aangezien
de risico‟s voor verstoring van de processen hierdoor verkleind worden. Dit geld ook
voor het inrichten van gedegen back up en (disaster) recovery alsmede uitwijkplan-
nen.
Herbruikbaarheid
Wanneer men niet de kans aangrijpt om processen, systemen en functies structureel
stabiel in te richten, zal men bij een volgend (compliance) programma of zelfs bij
regulier onderhoud tegen dezelfde tekortkomingen oplopen. Hiervoor moet men dan
telkens opnieuw een oplossing uitwerken. Een structurele inrichting zorgt ervoor, na
de extra investering vergeleken met een eendimensionale quick & dirty oplossing, dat
een herbruikbaar platform het inrichten van nieuwe programma‟s en regulier onder-
houd versnelt en voorspelbaar en goedkoper maakt.
Sogeti Nederland B.V. 2.0 33
september 2010