Whitepaper 'de ICT invoering van solvency ii

Copyright Sogeti Nederland B.V. ©

Geactualiseerde en aangevulde versie

september 2010

DE ICT-IMPLEMENTATIE VAN SOLVENCY II

De ICT-implementatie van Solvency II

Sogeti Nederland B.V. 2.0 II

september 2010

VERSIE-INFORMATIE

Versie Datum Bijzonderheden Auteur

1.0 22-2-2010 Eerste versie Sogeti Nederland B.V.

1.1 2-3-2010 Diverse tekstuele aanvullingen Sogeti Nederland B.V.

2.0 1-9-2010 Geactualiseerd en aangevuld Sogeti Nederland B.V.


Sogeti Nederland B.V. 2.0 III

september 2010

INHOUDSOPGAVE VOORWOORD ................................................................................ 1

INLEIDING ................................................................................ 3

LEESWIJZER ................................................................................ 4

1 SOLVENCY II IN HET KORT ................................................. 5

1.1 Achtergrond ..................................................................................... 5

1.2 De kenmerken van Solvency II ............................................................... 6

1.3 Reikwijdte ....................................................................................... 7

1.4 Principle based ................................................................................. 7

1.5 Opzet – de drie pilaren ........................................................................ 8

1.6 Groepstoezicht ............................................................................... 12

1.7 Toezichthouder ............................................................................... 13

2 DE IMPACT VAN SOLVENCY II ............................................. 14

2.1 Impact op de business ....................................................................... 14

2.2 Impact op ICT ................................................................................. 22

3 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE ..................... 26

3.1 Solvency II programma-aanpak ............................................................ 26

3.2 Stappen in de implementatie .............................................................. 26

3.3 Het belang van structurele oplossingen .................................................. 32

3.4 Programmabesturing ........................................................................ 36

4 SOGETI EN DE IMPLEMENTATIE VAN SOLVENCY II ...................... 38

4.1 Vooraf .......................................................................................... 38

4.2 Sogeti en de voorbereiding van de ICT-implementatie ................................ 38

4.3 Solvency II implementatie .................................................................. 40


Sogeti Nederland B.V. 2.0 IV

september 2010

OVERZICHT BIJLAGEN

BIJLAGE 1: SOLVENCY II INVOERINGSKALENDER ..................................... 44

BIJLAGE 2: SOLVENCY II EN BASEL II .................................................. 46

BIJLAGE 3: STANDAARDMODEL OF INTERN MODEL .................................. 49

BIJLAGE 4: RISICO’S BIJ DE IMPLEMENTATIE VAN SOLVENCY II .................... 51

BIJLAGE 5: AANDACHTSPUNTEN VOOR UITBESTEDING ............................. 53

BIJLAGE 6: ARCHITECTUUR EN ICT GOVERNANCE ................................... 58

BIJLAGE 7: BUSINESS PROCES MANAGEMENT (BPM) ................................. 61

BIJLAGE 8: GEGEVENS EN GEGEVENSONTSLUITING ................................. 63

BIJLAGE 9: TESTEN EN KWALITEITSZORG ............................................. 69

BIJLAGE 10: MEERWAARDE SOGETI DIENSTVERLENING VOOR DE IMPLEMENTATIE VAN SOLVENCY II ........................................................... 71

BIJLAGE 11: PARTNERSHIPS .............................................................. 74

BIJLAGE 12: BRONNEN .................................................................... 75


Voorwoord

Sogeti Nederland B.V. 2.0 1

september 2010

VOORWOORD

Voor u ligt de tweede versie van ons Whitepaper “De ICT-implementatie van Solvency

II”. De eerste versie dateert van maart 2010 en wij hebben hierop veel positieve

reacties mogen ontvangen. Inmiddels is er meer duidelijk geworden over Solvency II,

zoals door het verschijnen van het Implementatiedocument van De Nederlandsche

Bank en het definitief worden van diverse adviezen van CEIOPS (Committee of

European Insurance and Occupational Pensions Supervisors – het platform van

Europese toezichthouders). Verder hebben wij van relaties en verzekeringsmaat-

schappijen suggesties mogen ontvangen tot verbetering en uitbreiding van het

oorspronkelijke document. Ten slotte hebben wij op een aantal punten formuleringen

aangescherpt en waar nodig toevoegingen gepleegd op basis van nieuwe ervaringen

met Solvency II.

Al met al voldoende aanleiding om met een geactualiseerde en uitgebreide versie te

komen.


Voorwoord


september 2010


Inleiding


september 2010

INLEIDING

Op 31 december 20121 moeten alle verzekeringsmaatschappijen die opereren binnen

de Europese Economische Ruimte (Europese Unie plus Noorwegen, IJsland en Liech-

tenstein) voldoen aan de Solvency II-richtlijn. Deze richtlijn beoogt door nadruk op

goed risicobeheer, de belangen van de polishouders en de aandeelhouders beter te

beschermen. De regelgeving heeft gevolgen voor de bedrijfsvoering van verzeke-

ringsmaatschappijen, met name op het gebied van risicomanagement, bestuur en de

verantwoording aan de Toezichthouder en het publiek.

De principes die ten grondslag liggen aan Solvency II dienen in eerste instantie

vertaald te worden naar de bedrijfsprocessen, de organisatiestructuur en de organisa-

tiecultuur. Dit werkt vervolgens door in de wijze waarop de informatievoorziening is

ingericht en de wijze waarop de bedrijfsprocessen vanuit de informatievoorziening

worden ondersteund.

Gegeven de hoge impact en de relatief korte tijdlijnen is het zaak tijdig de implemen-

tatie van Solvency II ter hand te nemen.

Sogeti heeft als ICT-dienstverlener een coherente visie en aanpak ontwikkeld voor de

invoering van Solvency II. Om de ICT-invoering te versnellen heeft Sogeti specifieke

Solvency II producten (zoals templates, scans, checklists en datamodellen) ontwik-

keld. Deze zijn gebaseerd op onze ervaring met eerdere compliancy programma‟s,

onze betrokkenheid bij verzekeringsmaatschappijen die inmiddels met de invoering

zijn gestart, diepgaande gesprekken met leveranciers van relevante diensten, metho-

den en tools en onderzoek van alle momenteel beschikbare documentatie.

Door middel van dit document wil Sogeti haar kennis en visie delen met haar relaties.

Wij zijn ervan overtuigd de aangewezen ICT-partner te zijn voor de invoering van

Solvency II. Wij gaan hierover graag met u in gesprek.

Indien u naar aanleiding van dit document vragen heeft, dan kunt u contact opnemen

met Tako de Roode via telefoonnummer +31 6 277 46 047 of via e-mail

[email protected].

1 Dit was in eerste instantie 31 oktober 2012. DNB geeft in het Implementatiedocu-

ment (“Implementatie Solvency II, 31 maart 2010, De Nederlandsche Bank) aan dat

zij dit niet als een wezenlijk verschil beschouwen voor de implementatie.

mailto:[email protected]


Leeswijzer


september 2010

LEESWIJZER

Hoofdstuk 1 bevat een beknopte beschrijving van Solvency II, waarbij wordt ingegaan

op het doel en de inhoud van de richtlijn en het invoeringsschema dat daarbij vanuit

Europa en de Nederlandse Toezichthouder (De Nederlandsche Bank) wordt opgelegd.

Hoofdstuk 2 bevat een vertaling van de Solvency II richtlijn naar de business en ICT

consequenties voor het verzekeringsbedrijf. De richtlijn heeft ondermeer impact op de

architectuur (dit is het geheel van concepten, regels en modellen die richting geven

aan het inrichten van de organisatie en de informatievoorziening) en stelt eisen aan de

producten die de verzekeraar aan de Toezichthouder moet opleveren.

Hoofdstuk 3 behandelt de visie van Sogeti op de wijze waarop Solvency II binnen het

ICT-domein ingevoerd kan worden. Wij gaan daarbij ook in op de ICT-oplossingen die

daarbij ingezet kunnen worden. We betogen hier dat er geen “one size fits all”-aanpak

is en geven daarbij belangrijke aandachtspunten en overwegingen op basis van

“lessons learned” uit andere compliancy trajecten.

Het laatste hoofdstuk geeft een overzicht van de diensten en producten (“versnellers”)

die Sogeti aanbiedt met betrekking tot de ICT implementatie van Solvency II.

Tot slot gaan wij in aparte bijlagen diepgaander in op voor Solvency II relevante

onderwerpen. Deze bijlagen zijn bedoeld voor de lezer die behoefte heeft aan verdie-

ping op deelgebieden, zoals:

De Solvency II invoeringskalender

Een vergelijking van Solvency II met Basel II

De (invoerings)verschillen van standaardmodellen en interne modellen

Procesmanagement en procesimplementatie

Aandachtspunten voor uitbesteding

De benodigde datainfrastructuur

Architectuur & governance

Testen & Kwaliteitszorg

Onderkende risico‟s bij de invoering

Diensten en versnellers om de invoering te ondersteunen


Solvency II in het kort


september 2010

1 SOLVENCY II IN HET KORT

1.1 Achtergrond

Solvency II kan gezien worden als onderdeel van de trend waarbij onder maatschap-

pelijke en politieke druk het toezicht op financiële instellingen wordt aangescherpt. De

aandacht voor dit soort regelgeving is door de financiële crisis versterkt en de maat-

schappelijke en politieke aandacht is dan ook hoog. Zo zien we in de bankensector na

Basel II het Basel III-akkoord verschijnen en het is te voorzien dat Solvency II in de

verzekeringsbranche ook niet de laatste ontwikkeling op dit gebied zal zijn.

Solvency II dient enerzijds ter bescherming van de belangen van de aandeelhouders,

consumenten/polishouders en anderzijds met het oog op het creëren van één interne

Europese markt voor verzekeringen, het “level playing field”.

Onder het bestaande regime van Solvency I, dat stamt uit de jaren zeventig, is er te

weinig aandacht voor risico‟s, leidt de minimale

harmonisering in regelgeving tot grote verschillen

tussen lidstaten en is er geen goed toezicht

mogelijk op grensoverschrijdend opererende

verzekeringsmaatschappijen.

Solvency II is vergelijkbaar met de Basel II regel-

geving voor de bankwereld, alhoewel er verschillen

zijn. Uit de implementatie van Basel II kunnen ook

de nodige lessen getrokken worden. Een uitgebrei-

dere beschouwing over de verschillen en

overeenkomsten tussen Solvency II en Basel II alsmede de “lessons learned” treft u

aan in Bijlage 2: Solvency II en Basel II.

De Solvency II richtlijn behelst een grondige herziening van de voor (her)verzekeraars

relevante Europese richtlijnen. Deze bevat nieuwe regelgeving voor kapitaalsvereisten,

waarderingsgrondslagen en risicobeheer met het oog op het aanmoedigen en belonen

van een goed risicomanagement. Daarnaast legt de richtlijn meer verantwoordelijk-

heid in de handen van het senior management om het bedrijf op een verantwoorde

wijze te besturen en brengt de richtlijn meer eenduidigheid tot stand inzake het

toezicht op de interne markt.

De richtlijn is inmiddels door het Europees Parlement en de Europese Raad van

Ministers aangenomen. De Europese Commissie bereidt de uitvoeringsmaatregelen

voor en laat zich daarbij adviseren door CEIOPS. CEIOPS heeft van de Europese

Commissie de opdracht gekregen om enerzijds adviezen uit te werken op alle punten

waarin de kaderrichtlijn uitvoeringsmaatregelen vereist en anderzijds deze adviezen te

toetsen in de verzekeringsmarkt.

Het doel van Solvency II is dus drieledig:

1. Het scheppen van voorwaarden en het bevorderen van een enkelvoudige Europe-

se verzekeringsmarkt door het creëren van een level playing field binnen de E.E.R.

voor verzekeringsmaatschappijen door uniformering van de regelgeving, waar

Solvency I verschillende invullingen kende tussen de lidstaten

2. Het verbeteren van de bescherming van aandeelhouders en verzekerden

door een scherper toezicht op de solvabiliteit van verzekeraars door toezichthou-

ders vroegtijdig te informeren over mogelijke problemen (“early warning”).

http://images.google.nl/imgres?imgurl=http://www.abh-ace.org/expor/instances-regionales/brussels-export/2008/newsletter-13-oktober-08_files/EU-flag.jpg&imgrefurl=http://www.abh-ace.org/expor/instances-regionales/brussels-export/2008/newsletter-13-oktober-08.htm&usg=__3b2G4fhDbcpqFAHY0XTNkg3iQIw=&h=388&w=519&sz=28&hl=nl&start=1&sig2=-3P4jVG-hUH4p630bfSJpQ&um=1&itbs=1&tbnid=oirSdAz8biwTjM:&tbnh=98&tbnw=131&prev=/images?q=europese+unie&um=1&hl=nl&lr=&tbs=isch:1&ei=zNKHS4CvJs2s-gaRx9zjDQ




september 2010

Hierdoor kan de toezichthouder tijdig ingrijpen als het eigen vermogen van de

onderneming onder de kapitaalseisen zakt.

3. Het bevorderen van het vertrouwen in de verzekeringssector door meer transpa-

rantie.

De invoering staat gepland voor 31 december 2012. Op het moment van schrijven is

de Solvency II regelgeving echter nog in ontwikkeling. Het is de bedoeling van de

Nederlandse overheid om de uitwerking van de richtlijn in de nationale wet- en

regelgeving in het vierde kwartaal van 2011 aan de Tweede Kamer aan te bieden ter

goedkeuring. Voor de invoering verwijzen wij naar Bijlage 1: Solvency II Invoerings-

kalender.

Dit betekent, dat er tussen het vaststellen van de definitieve eisen en de invoering

slechts één jaar tijd ligt voor de implementatie! Hier staat tegenover, dat de hoofdlij-

nen reeds bekend zijn en dat er voor die tijd al veel aan voorbereiding kan en moet

gebeuren. In de tussentijd moeten verzekeraars zich baseren op de beschikbare

adviezen en Level 2 en 3 consultation papers van CEIOPS.

1.2 De kenmerken van Solvency II

Op de website van DNB treffen we de volgende tekst aan, die Solvency II goed

karakteriseert:

“Het Solvency II project moet leiden tot een nieuw solvabiliteitsraamwerk, ge-

baseerd op marktconsistente waardering, waarin de financiële eisen beter de

risico's weerspiegelen die de verzekeraars lopen. Ook heeft Solvency II als

doelstelling om het toezicht te laten aansluiten op marktontwikkelingen. Verze-

keraars leggen zich steeds meer toe op het meten en beheersen van hun

risico's. Solvency II moet deze positieve ontwikkeling stimuleren. Met Solvency

II krijgt het toezicht op de risico's die een verzekeraar loopt, en de beheersing

daarvan, ook een meer centrale rol.”

Solvency II houdt een fundamentele wijziging in ten aanzien van de wijze waarop de

kapitaalsvereisten (het eigen vermogen en de samenstelling hiervan) voor verzeke-

raars bepaald moeten worden, als basis voor het kunnen opvangen van negatieve

ontwikkelingen en calamiteiten.

Solvency II is gebaseerd op economische principes voor het meten van risico‟s op

assets en liabilities (bezittingen en verplichtingen): de Total balance sheet approach.

Het systeem is sterk risico-georiënteerd: de verzekeraar moet de risico‟s berekenen

op basis van consistente en herhaalbare methodieken. De kapitaalsvereisten (MCR en

SCR, respectievelijk Minimum Capital Requirement en Solvency Capital Requirement)

zijn daar rechtstreeks op gebaseerd. Deze kapitaalsvereisten zijn modulair opgebouwd

en zijn de som van enkelvoudige risico‟s, die ieder op zich gemodelleerd worden.

Dit zullen wij verderop in dit document behandelen.




september 2010

1.3 Reikwijdte

De regelgeving geldt voor alle verzekeringsmaatschappijen die actief zijn binnen de

Europese Economische Ruimte (EU + Noorwe-

gen, IJsland en Liechtenstein) met een jaarlijks

premie-inkomen groter dan €5 mln of bruto

technische voorzieningen groter dan €25 mln.

Voor verzekeringsmaatschappijen die niet onder

de Solvency II-regelgeving vallen zal De

Nederlandsche Bank als Toezichthouder een

“Solvency II-Proportioneel” beleid ontwikkelen.

Hiernaast zal een aantal kleine verzekeraars

(veelal lokaal opererende onderlinge waarborg-

maatschappijen) geheel buiten de Solvency II-

regelgeving vallen.

Pensioenfondsen en natura-verzekeraars vallen buiten de regelgeving.

1.4 Principle based

Een belangrijk aspect is dat de Solvency II-richtlijn niet primair gebaseerd is op

regels, maar vooral op principes. Dat wil zeggen, dat elk bedrijf de principes moet

vertalen naar de eigen situatie. Dit zal door de Toezichthouder getoetst en goedge-

keurd moeten worden. Na de invoering wordt dan een proces van constante

verbetering ingezet. Toepassing van de principes moet ertoe leiden dat er een

“comfort level” ontstaat van 99,5%, met andere woorden dat er een 99,5% zekerheid

is dat een verzekeraar aan zijn verplichtingen kan voldoen in de komende 12 maan-

den.

De verwachting is dat de invoering van Solvency II regelgeving de verzekeraars zal

stimuleren om in interactie met de Toezichthouder steeds beter invulling te geven aan

de onderliggende principes.

De rol van de toezichthouder wordt ook meer risicogericht en pro-actief, om vroegtij-

dig in te kunnen grijpen bij dreigende problemen ten aanzien van het voldoen aan de

kapitaaleisen.




september 2010

1.5 Opzet – de drie pilaren

Solvency II is gebaseerd op drie pilaren:

- 1: Kwantitatieve eisen

- 2: Kwalitatieve eisen en toezichtactiviteiten

- 3: Marktdiscipline en toezichtrapportage

1.5.1 Pilaar 1: Kwantitatieve eisen

De kwantitatieve eisen hebben betrekking op de berekening van kapitaalsvereisten.

Solvency II kent twee kapitaalsvereisten:

de Minimum Capital Requirement (MCR)

de Solvency Capital Requirement (SCR), het meer risicogevoelig vast te stellen

solvabiliteitsniveau

De SCR moet alle kwantificeerbare risico‟s dekken, waarbij de kapitaaldekking

voldoende moet zijn om met een zekerheid van 99,5% over een periode van een jaar

verliezen te kunnen dekken ter grootte van de SCR. De risico‟s zijn onderverdeeld

naar categorieën marktrisico, tegenpartijrisico, verzekeringstechnisch risico (leven,

schade, zorg) en operationeel risico. Deze categorieën zijn weer onderverdeeld naar

individuele risico‟s. De SCR is de som van de onderliggende risico‟s. Voor de bereke-

ning van de verschillende risico‟s kan het standaardmodel gebruikt worden dan wel

een intern model. Onder bepaalde condities mogen voor immateriële risico‟s vereen-

voudigde berekeningen gebruikt worden. Het geheel aan berekeningen kan ook een

mengvorm zijn (partieel intern model). De Toezichthouder kan hiernaast nog een

capital add on opleggen (De capital add on verhoogt de kapitaaleis onder Pilaar 1,

maar wordt toegewezen op grond van bevindingen van de toezichthouder op het




september 2010

gebied van kwalitatieve aspecten – Pilaar 2). De SCR wordt opgebouwd uit een aantal

componenten (uit technische specificaties QIS5 EU Commissie, 5 juli 2010):

De SCR bestaat uit de Basis-SCR (BSCR), de SCR voor operationele risico‟s (SCROP)en

een eventuele kapitaal add on (Adj.).

De BSCR valt uiteen in SCR voor marktrisico (bezittingen zoals beleggingen, liquiditei-

ten; SCRMARKET), tegenpartijrisico (default risk; SCRDEF) en immateriële risico‟s (SCRDEF)

en SCR‟s voor de verschillende soorten verzekeringen (zorg SCRHEALTH, leven SCRLIFE

en schade SCRNON-LIFE). Deze SCR‟s kunnen weer onderverdeeld zijn in risicogroepen.

Voor elk van die risicogroepen worden berekeningen uitgevoerd voor de benodigde

kapitaalvoorziening voor die risicogroep.

De berekening van de MCR is eenvoudiger dan van de SCR. De MCR moet voldoende

zijn om een jaar te overbruggen met een zekerheid van 85%. De MCR wordt begrensd

van 25% tot 45% van de SCR. De ondergrens van de MCR is de Absolute Minimal

Capital Requirement (AMCR), dat is het minimumbedrag van het garantiefonds.

De Toezichthouder heeft ruime bevoegdheden om in te grijpen in geval van het niet

voldoen aan de kapitaaleisen om de belangen van verzekerden te beschermen. Zodra

het vermogen onder de SCR zakt, maar boven de MCR blijft treedt de escalatieladder

in werking, waarbij aanvullend toezicht strenger wordt naarmate het vermogen dichter

bij de MCR komt en moet de verzekeraar actie ondernemen om het vermogen te

versterken.




september 2010

De Toezichthouder kan aan maatschappijen (zowel solo als groep) opleggen dat zij

een (partieel) intern model ontwikkelen en hanteren indien het risicoprofiel significant

afwijkt van het standaardmodel.

De SCR dient jaarlijks gerapporteerd te worden en eventueel tussentijds als er

significante wijzigingen zijn in het risicoprofiel van de verzekeraar. De MCR dient elk

kwartaal gerapporteerd te worden.

In de aanloop naar de implementatie van Solvency II dienen interne modellen

goedgekeurd te worden door de Toezichthouder. Hiertoe wordt een zogenaamd pre-

applicatieproces uitgevoerd.

In de afgelopen jaren is een aantal Qualitative Impact Studies (QIS) uitgevoerd om de

effecten van Solvency II te bepalen en om de parametrisering te bepalen. Hiertoe

hebben verzekeraars gegevens aangeleverd. Er zijn op dit moment 4 QIS‟s uitge-

voerd. Voor de tweede helft van 2010 staat QIS5 op het programma.

Hoewel deelname optioneel is, dringt DNB er sterk op aan bij de Nederlandse verzeke-

raars om deel te nemen aan QIS5.

1.5.2 Pilaar 2: Kwalitatieve eisen en toezicht

De kwalitatieve eisen hebben betrekking op de besturing van de verzekeringsmaat-

schappij (“Good governance”), de inrichting van de processen en audit trail. Aan de

bestuurders en commissarissen van de maatschappij wordt onder meer als eis gesteld

dat zij de gebruikte modellen en de invullien hiervan moeten kennen en uit kunnen

leggen aan de Toezichthouder.

De motivatie achter good governance is ook dat men sommige risico's beter mitigeert

met governance maatregelen dan met kapitaal alleen. Juist de combinatie van beide

(kapitaal + besturing) moet Solvency II effectief maken. Good governance is daarmee

niet alleen een opgelegd iets, maar leidt ook tot besparingen door vermindering van

kapitaalsbeslag. Indien een maatschappij tekortkomingen vertoont op het gebied van

governance kan de Toezichthouder besluiten een capital add on op te leggen.

Elke maatschappij moet beschikken over een risk managementfunctie, een actuariële

functie, een interne controlefunctie (waarin inbegrepen compliance) en een interne

auditfunctie. Indien een maatschappij één van beide of beide functies uitbesteedt,

dient ook de partij waaraan wordt uitbesteed onder het toezicht te vallen.

ORSA

Een belangrijk onderdeel van het risk managementsysteem wordt de Own Risk and

Solvency Assessment (ORSA), waarbij de maatschappij periodiek de eigen risicopositie

en daarmee de benodigde kapitaalpositie beoordeelt. De bevindingen uit de ORSA

worden zowel op solo-niveau als op groepsniveau gerapporteerd en wordt gebruikt in

het toezichtproces (Supervisory Review Proces – SRP). De ORSA is daarmee tweele-

dig:

1. Het is een intern assessment en maakt deel uit van de strategische besluitvor-

ming, waarbij de maatschappij de eigen solvabiliteit voortdurend volgt en

bewaakt.

2. Het is een hulpmiddel voor de Toezichthouder, die moet worden geïnformeerd

over de uitkomsten van de ORSA




september 2010

De ORSA vereist niet dat de verzekeraar een (partieel) intern model hanteert voor de

berekening van de SCR, maar indien dit het geval is moeten de uitkomsten van de

berekeningen meegenomen worden in de ORSA. De ORSA veroorzaakt geen derde

vorm van Solvency kapitaalseisen. De ORSA mag voor kleinere verzekeraars niet

bovenmatig belastend zijn (proportioneel regime).

De verzekeraar moet zich in de ORSA een mening vormen over het benodigde eigen

vermogen (Pilaar 1) en een projectie kunnen maken over de 'business projectie

periode' van toekomstige own funds en vereist vermogen om aan te tonen dat ook in

de toekomst aan de Solvency II-eisen voldaan wordt.

Self Assessment

Om aan te tonen dat de maatschappij aan de kwaliteitseisen voldoet moet zij een Self

Assessment uitvoeren. Ook hierbij dienen zaken als datakwaliteit en beschikbaarheid

alsmede kwaliteit van ICT-infrastructuur en –systemen betrokken te worden. De

Toezichthouder voert reviews uit op de Self Assesments en moet deze goedkeuren.

Op basis van de uitkomsten van de Self Assesments moet de onderneming een

implementatieplan opstellen voor de invoering van Solvency II. Dit plan dient een

activiteitenplanning te omvatten met doorlooptijden en een kritisch-padanalyse

alsmede de benodigde mensen en middelen. Dit plan moet eind 2011 beschikbaar zijn.

Use Tests

In de aanloop naar de invoering van Solvency II zullen er verder verschillende “use

tests” worden uitgevoerd om de juiste werking van de gebruikte interne modellen te

toetsen.

De Richtlijn noemt de volgende soorten tests voor het goedkeuren van interne

modellen:

- use test

- statistische kwaliteitsnormen

- kalibratienormen

- validatienormen

- documentatienormen

- winst- en verlies attributie

1.5.3 Pilaar 3: Marktdiscipline en toezichtrapportages

Pilaar 3 heeft betrekking op de rapportages aan het publiek en aan de Toezichthouder.

De rapportage aan het publiek bestaat uit de Solvency and Financial Condition Report

(SFCR). Deze dient om transparantie en marktdiscipline binnen de verzekeringsmarkt

te bevorderen.

De Toezichthouder beoordeelt ten aanzien van de SFCR de totstandkomingprocessen

enerzijds en op de inhoud hiervan. Voor de inhoud wordt een minimumstandaard

gehanteerd, maar een onderneming kan ervoor kiezen om meer informatie te publice-

ren. Hiervoor moet een beleid worden ontwikkeld.

De rapportages aan de Toezichthouder (Reports To Supervisor – RTS) bevat gedetail-

leerdere informatie dan de SFCR, alsmede concurrentiegevoelige of geheime

informatie die niet gepubliceerd wordt.




september 2010

De rapportage aan de Toezichthouder wijkt ingrijpend af van de vereisten die thans

gelden op grond van de Wet Financieel Toezicht. Er wordt weliswaar gerapporteerd

over dezelfde soort onderwerpen als in de huidige verzekeringsstaten, maar het

detailniveau verschilt. De structuur van de rapportages is voor alle ondernemingen

gelijk, maar kan op aangeven van de Toezichthouder verschillen qua detailniveau.

Hierbij is het proportionaliteitsbeginsel van toepassing, waarbij kleinere verzekeraars

onder een lichter regime vallen.

De rapportagevereisten worden geharmoniseerd over het gehele werkingsgebied van

Solvency II. Dit is met name voor internationaal werkende groepen een vereenvoudi-

ging. Er kunnen wel afwijkingen zijn op nationaal niveau voor soorten

verzekeringsvormen die specifiek zijn voor een bepaald land (denk in Nederland aan

zorgen inkomensverzekeringen).

De rapportagekaders worden in 2011 door CEIOPS gepubliceerd (Level 3 advies).

De rapportages zullen zowel kwalitatieve als kwantiatieve informatie bevatten over

risico‟s, omvang, samenstelling en kwaliteit van kapitaal, SCR, MCR en technische

voorziening alsmede waarderingsmethoden voor activa, passiva en risico‟s. Ook zal er

een verklaring moeten worden gegeven van het verschil tussen de Solvency II-balans

en de jaarrekening. Verder moet er uitgebreid gerapporteerd worden over risico‟s en

mitigerende maatregelen.

Hiernaast dient er gerapporteerd te worden over het systeem van governance

(inclusief risk management en ORSA) en de mate waarin de maatregelen voldoende

zijn om de risico‟s te beheersen.

Onder Solvency II wordt het toezicht meer risicogeoriënteerd en prospectief. Toezicht

vindt zowel on-site als off-site plaats. Rapportages zijn belangrijk voor het plannen

van het off-site toezicht. De rapportages geven inzicht in de algehele toestand van de

onderneming en zijn van belang voor het plannen van het risicogeoriënteerde on-site

toezicht. Naast de reguliere jaar- en kwartaalrapportages kan de Toezichthouder op

ad-hoc basis aanvullende informatie opvragen bij één verzekeraar of een groep van

verzekeraars.

De rapportageprocedures dienen beschreven en door de directie goedgekeurd te zijn.

De onderneming dient over een adequaat rapportagesysteem te beschikken en moet

de kwaliteit van de rapportage kunnen garanderen.

1.6 Groepstoezicht

Het groepstoezicht onder Solvency II is een zelfstandig onderdeel van het verzeke-

ringstoezicht op de moederonderneming van een verzekeringsgroep. Hierbij wordt een

groep, tenzij er redenen zijn om dat anders te doen, behandeld als een solo-

verzekeraar. Het toezicht hierop vindt plaats door de toezichthouder van het land

waarin de moeder gevestigd is.

De moeder moet governance en risk management alsmede rapportageprocedures

binnen de groep als geheel overzien. De moeder is ook aanspreekpunt voor vragen

over de dochters. Solo-toezicht op de dochters vindt plaats door de toezichthouder

van het vestigingsland van de betreffende dochter. De groepstoezichthouder kan ook

informatie opvragen bij de toezichthouder van de dochter.




september 2010

Het groepstoezicht heeft betrekking op dat deel van het concern dat in de E.E.R.

gevestigd is. Over het al dan niet rapporteren over entiteiten die buiten de E.E.R.

gevestigd zijn dienen aparte afspraken gemaakt te worden die afhankelijk zijn van het

toezichtregime in de landen waar die entiteiten gevestigd zijn. Als er meerdere

dochters van een groep, waarvan de moeder buiten de E.E.R. gevestigd is, binnen de

E.E.R. opereren dan dient er sub-consolidatie voor die dochters binnen de E.E.R.

plaats te vinden.

De SCR wordt op het niveau van de moeder jaarlijks geconsolideerd berekend. Dit kan

zowel met standaard modellen als met interne modellen gebeuren. Als er sprake is

van groepsspecifieke risico‟s, dan dienen deze met behulp van interne modellen

berekend te worden. De Toezichthouder kan ook vragen om een intern model toe te

passen als blijkt dat het groeps-risicoprofiel significant afwijkt van het standaardmo-

del. Ook als het interne model niet adequaat is kan de Toezichthouder om verbetering

vragen dan wel verzoeken om de berekening met het standaardmodel uit te voeren.

In de tussentijd kan de Toezichthouder een capital add-on opleggen.

Voor groepen die onderdelen hebben in derde landen gelden afwijkende regels voor

consolidatie, die afhankelijk zijn van het toezichtsregime en regelgeving van de

betreffende derde landen.

Ook op groepsniveau dienen de governancefuncties (risk management, interne

controle, compliance en actuariaat) ingericht te worden. Voor de implementatie

hiervan dienen schriftelijke procedures aanwezig te zijn voor de hele groep en de

uitrol dient ook top down gemonitord te worden. De groepsonderdelen dienen vol-

doende inspraak te hebben bij de implementatie (bottom up). Verder dient de ORSA

geïmplementeerd te worden op groepsniveau. Eventueel kan de ORSA voor de gehele

groep uitgevoerd te worden, mits de verschillende onderdelen herkenbaar zijn.

De rapportage-eisen gelden ook op groepsniveau, waarbij aanvullende informatie

wordt gevraagd, zoals over concentratierisico‟s en intra-groepstransacties. Eventueel

kan een groep één groeps-SFCR opleveren, waarbij de verschillende onderdelen

herkenbaar moeten blijven.

De toezichthouders op de groep zullen samenwerken bij het toezicht. Hierbij wordt per

groep een College van Toezichthouders gevormd, waarvan de groepstoezichthouder

voorzitter is. Het College is bedoeld voor het uitwisselen van informatie en voor

coördinatie en is niet besluitvormend, aangezien de groepstoezichthouder eindverant-

woordelijk is voor het groepstoezicht.

1.7 Toezichthouder

De Toezichthouder in het kader van Solvency II voor Nederland is De Nederlandsche

Bank (DNB). Solvency II valt onder het zogenaamde “prudentieel toezicht”2. DNB kan

een verzekeringsmaatschappij of -groep aanwijzingen geven over de toepassing van

rekenmodellen (standaard of intern), de wijze van rapporteren en over de inrichting

van de governance.

DNB maakt onderdeel uit van The Committee of European

Insurance and Occupational Pensions Supervisors, het

Europese comité van Toezichthouders op verzekeraars en

pensioenfondsen (CEIOPS).

2 Naast “prudentieel toezicht” kennen we ook het “gedragstoezicht” dat bij de Autori-

teit Financiële Markten (AFM) berust. De AFM heeft geen rol bij Solvency II.


De impact van Solvency II


september 2010

2 DE IMPACT VAN SOLVENCY II

2.1 Impact op de business

2.1.1 Algemeen

Solvency II heeft grote invloed op de bedrijfsvoering van verzekeraars, zowel op de

processen, organisatie, administratie, besturing, cultuur en commerciële strategie als

op de productontwikkeling.

Een verzekeraar die standaardmodellen toepast zal een veel minder sterke impact van

Solvency II ervaren dan een verzekeraar die met (partieel) interne modellen werkt.

Een uitgebreide beschouwing over de keuze tussen standaardmodellen en interne

modellen treft u aan in Bijlage 3: Standaardmodel of intern model. De implementatie

van de governance-maatregelen (Pilaar 2) zal niet wezenlijk verschillen.

Solvency II betekent een aantal veranderingen ten opzichte van Solvency I, die

weergegeven worden in de volgende tabel.

Verschillen tussen Solvency II en Solvency I: Solvency I

(huidig raamwerk)

Solvency II Richtlijn

Waardering bezittingen

IFRS of BW2.9. Marktconsistent.

Waardering

voorziening verzekerings-verplichtingen

Prudent vastgesteld, geen disconte-

ring voor schadeverplichtingen, geen expliciete risicomarge.

Theoretische marktwaarde

berekend op basis van overdrachts-waarde. Splitsing in een best estimate en een expliciete risico-marge. Discontering voor zowel leven als schade.

Waardering

overige verplich-tingen

IFRS of BW2.9. Marktconsistent.

Prudentieel

eigen vermogen

Twee kwaliteitsniveaus (tiers).

Tweede tier maximaal 50% van het vereiste of aanwezige vermogen (laagste van de twee). Onderscheid tussen vermogen dat op de balans

aanwezig is en off-balance vermogen (onderdeel van tier 2).

Drie kwaliteitsniveaus (tiers). Tier 1

minimaal 1/3 van het vereiste vermogen, tier 3 maximaal 1/3 van het vereiste vermogen. Onderscheid tussen vermogen dat op de balans

aanwezig is en off-balance vermo-gen.

SCR Solvabiliteitsmarge. Gekwantificeerd op basis van alleen verzekering-technische grootheden. Heeft geen specifiek zekerheidniveau.

Dekt kwantificeerbare risico‟s voor verzekeringsrisico, marktrisico, tegenpartijkredietrisico en operatio-neel risico. De SCR kapitaaleis is zo vastgesteld dat deze met 99,5%

zekerheid voldoende is om een volledig jaar mee te overbruggen. Het is mogelijk om de SCR met een

intern model te berekenen.

MCR Garantiefonds. Is gelijk aan eenderde van de solvabiliteitsmar-ge.

De MCR kapitaaleis is zo vastgesteld dat deze met 85% zekerheid voldoende is om een volledig jaar

mee te overbruggen.

(Bron: Implementatiedocument DNB, 31 maart 2010)




september 2010

Ongeacht de keuze van het te hanteren model geldt dat de implementatie en toepas-

sing van Solvency II tot grote consequenties in een groot aantal bedrijfsfuncties leidt.

In de komende paragrafen lichten we dit nader toe.

2.1.2 Impact van Pilaar 1: kwantitatieve eisen

De eisen voortvloeiend uit Pilaar 1 van Solvency II zijn ingrijpend voor de vermogens-

structuur van de verzekeraar. Verzekeraars dienen hun bezittingen (assets) en

verplichtingen (liabilities) op een marktconforme wijze te gaan waarderen, in tegen-

stelling tot de huidige situatie waarbij de assets op basis

van historische kostprijs worden gewaardeerd. Op dit

moment – in de pre-Solvency II periode – wordt voor de

solvabiliteitseisen („Solvency I‟) geen rekening gehouden

met de risico‟s op de bezittingen. Voor Solvency II gaat

dat wijzigen. Daardoor wordt het inrichten van een

effectief Risk Management systeem essentieel. Het dient

in te houden: Risk strategieën, processen en (rapporta-

ge)procedures om de impact van de risico‟s op het bedrijf

voortdurend te kunnen monitoren en beheersen.

De risico‟s moeten zowel individueel (op niveau van homogene risicogroepen) als

geaggregeerd en in relatie tot elkaar gemanaged worden in verband met onderlinge

afhankelijkheden. Voor bedrijven met meerdere werkmaatschappijen (juridische

entiteiten) dient dit ook nog op zowel werkmaatschappij- als op groepsniveau te

gebeuren.

Zoals eerder aangegeven moet een maatschappij een keuze maken of ze gebruik wil

gaan maken van interne modellen, van standaardmodellen of van een combinatie

hiervan (partiële interne modellen). In ieder geval zal de verzekeraar de standaard-

modellen moeten kunnen hanteren. De Toezichthouder kan het (op termijn) hanteren

van interne modellen opleggen aan de maatschappij.

Een belangrijke strategische keuze die een maatschappij moet maken is de “risk

appetite”. De “Risk appetite” is de mate waarin een organisatie bereid is om risico te

nemen om een aanvaardbaar of beoogd rendement te maken en om de strategische

doelstellingen te halen.

De risk appetite kan verschillen per risicocategorie. Per risicocategorie dient vastge-

steld te worden in welke mate risico gelopen mag worden. Hierbij geldt, dat naarmate

de risk appetite hoger is de bijbehorende kapitaalvoorziening ook omhoog gaat.

De risk appetite dient gedocumenteerd te worden en vormt de basis voor het risk

management binnen de organisatie (zie onder pilaar 2 in de volgende paragraaf).

Het ontwikkelen van een intern model kan ervoor zorgen dat het kapitaalsbeslag en

daarmee de kapitaalskosten optimaal zijn. Dit betekent niet noodzakelijkerwijs dat het

kapitaalsbeslag lager is: het overall risico en het risicodragend kapitaal worden in de

juiste balans gebracht. Een intern model biedt de verzekeraar het voordeel om meer

differentiatie in de portefeuille ten behoeve van de risicovaststelling aan te brengen,

bijvoorbeeld een schadeverzekering voor oldtimers t.o.v. een standaard autoverzeke-

ring: door de risico's te differentiëren kan de verzekeraar er voor kiezen om de old-

timer verzekering een veel lager risico toe te rekenen. Hierdoor is hij in staat zijn

risicoprofiel te optimaliseren op basis van differentiatie. Optimalisatie is dus niet

hetzelfde als een zo laag mogelijk risicobeslag, maar een juiste balans tussen risico‟s

en kapitaalsvoorzieningen voor de verzekeraar.




september 2010

Het ontwikkelen en toetsen van een dergelijk model kan echter aanzienlijke inspan-

ningen kosten. Naast het ontwikkelen van het model dient ook het pre-

applicatieproces doorlopen te worden waarbij de modellen gekalibreerd moeten

worden. Hierbij worden zogenaamde “use tests” uitgevoerd, waarbij de werking van

de modellen in de praktijk aangetoond moeten worden op basis van live data.

Om de parameters nader vast te stellen wordt in de tweede helft van 2010 de 5e

Quantitative Impact Study (QIS5) uitgevoerd. Hoewel deelname aan QIS5 niet

verplicht is dringt DNB er bij de Nederlandse verzekeraars sterk op aan dat zij hieraan

deelnemen. DNB ziet deelname aan QIS5 als een goede voorbereiding op de invoering

van Solvency II. De gegevens die nodig zijn voor het invullen van QIS5 komen

overeen met de gegevens die voor de uiteindelijke Solvency II-rapportages nodig zijn.

Deelname aan QIS5 geeft dus een goed inzicht in de problemen die te verwachten zijn

op het gebied van de beschikbaarheid van gegevens voor Solvency II.

Een probleem dat hierbij opdoemt is dat er niet over alle soorten risico‟s al informatie

beschikbaar is, zowel kwalitatief als kwantatief (historie). Met name het kwantificeren

van operationele risico‟s zal een uitdaging blijken te zijn.

2.1.3 Impact van Pilaar 2: kwalitatieve eisen en toezichtactiviteiten

Impact op de besturing van de organisatie

Een van de meest in het oog springende eisen in het kader van het toezicht is dat de

verantwoordelijke bestuurder niet alleen hoofdelijk aansprakelijk

is voor de juistheid van de berekeningen en rapportages, maar

dat hij ook dient te kunnen toelichten en aantonen dat de

resultaten verkregen zijn op basis van betrouwbare en correcte

data, procedures en systemen. De bestuurder moet kortom

aantonen dat hij de business kent en in control is!

Door middel van het Supervisory Review Process (SRP) zal de

Toezichthouder de besturing van het bedrijf toetsen op de

mogelijkheid om de actuele en mogelijke risico‟s te identificeren,

beoordelen en managen. De Toezichthouder heeft daarbij de

mogelijkheid om bedrijven te dwingen geconstateerde gebreken

en tekortkomingen te verhelpen. Daarbij ligt, zoals hiervoor

besproken, op het bedrijf (lees: de verantwoordelijke) de last om aan te tonen dat het

besturing- en de risk management processen geschikt en toepasbaar zijn voor het

gekozen risicoprofiel (risk appetite).

Het besturingssysteem moet onder andere omvatten:

Een toepasselijke en transparante organisatiestructuur

Heldere taken, verantwoordelijkheden en bevoegdheden inclusief het – waar van

toepassing – scheiden van taken en verantwoordelijkheden

Beschrijving en implementatie van beleid op het gebied van tenminste: risk

management, interne controle, interne auditering en outsourcing indien van toe-

passing

Kwalificaties van het personeel

Onder Solvency II moet de onderneming aan kunnen tonen dat alle personeelsleden,

inclusief het hoger en senior management, over de kwalificaties beschikken die

toereikend zijn voor de taken die zij uitvoeren. Verder dienen zij aantoonbaar aan

eisen van integriteit te voldoen. De kwalificaties dienen periodiek getoetst te worden.




september 2010

Processen en procesmanagement

De implementatie van Solvency II raakt vele bedrijfsfuncties en daarmee essentiële

bedrijfsprocessen en procedures: strategische besturing, risk management, actuariaat,

Finance & Control. Maar ook bij ICT, als bijvoorbeeld requirements (lifecycle) ma-

nagement structureel wordt ingevoerd.

Het is van het grootste belang om de processen op een gestructureerde wijze te

beschrijven en transparant te maken. Niet alleen is dat een eis van DNB maar het is

ook een instrument om het operationele risico te reduceren, met als spin off dat

daarmee de SCR kan dalen. De controls die het bedrijf inbouwt zijn een belangrijk

aspect van de procesbeschrijvingen.

Zie voor een uitgebreidere beschouwing over processen en procesmanagement Bijlage

7: Business Proces Management (BPM) .

2.1.4 Impact van Pilaar 3: Marktdiscipline en toezichtrapportages

De rapportage onder Solvency II wordt zo veel mogelijk op Europees niveau gehar-

moniseerd. Hierbij zal er gewerkt worden met Europese templates en kunnen

Toezichthouders daar buitenom alleen informatie opvragen als

dat om producten met specifiek nationale kenmerken gaat, zoals

in Nederland bijvoorbeeld zorg- of inkomensverzekeringen.

De rapportagekaders op het gebied van kwantitatieve vereisten

(Pilaar 1) zullen naar verwachting niet veel verschillen voor de

verschillende verzekeraars. De kwalitatieve rapportages (Pilaar 2)

kunnen wel verschillen qua detailniveau op basis van de aard,

omvang, complexiteit en risicoprofiel van de verzekeraar op basis

van proportionaliteit.

Solvency II geeft voor de publieke rapportage (Solvency and Financial Condition

Report – SFCR) bepaalde minimumvereisten, maar de verzekeraar wordt aangemoe-

digd om meer dan dat te rapporteren. Verzekeraars zullen, gezien het belang dat

wordt gehecht aan transparantie onder Solvency II, een visie moeten ontwikkelen op

hoe zij invulling willen geven aan de doelstellingen op het gebied van transparantie.

Verzekeringsgroepen zullen het gemakkelijker krijgen op dit vlak wanneer zij in

meerdere Europese (E.E.R.) landen opereren door de harmonisatie van de rapporta-

gevereisten.

De verzekeraars dienen uiterlijk eind 2011 een implementatieplan op te leveren aan

de Toezichthouder waarin zij duidelijk moeten maken hoe zij de rapportageprocessen

gaan inrichten, hoe deze ingevoerd worden en hoe zij de informatie beschikbaar zullen

stellen. Deze datum ligt vrij ver in de tijd en lijkt ingegeven te zijn door formele

argumenten over de afronding van de CEIOPS Level 2 en Level 3 adviezen voor de

implementatie en de implementatie in de wet- en regelgeving in de Lidstaten. Wij zijn

echter van mening, dat dit erg laat is voor in ieder geval de ICT-implementatie

aangezien de gegevensvoorziening voor Solvency II al per 1 januari 2012 op orde

moet zijn om de rapportage over 2012 in het eerste kwartaal 2013 te kunnen ver-

vaardigen.

De rapportageprocessen zullen wijzigen ten aanzien van de huidige situatie. De

samenstelling, goedkeuring en publicatie van het SFCR vraagt de nodige aandacht.




september 2010

Het proces van het opstellen, samenstellen en publiceren van rapportages dient

gedetailleerd beschreven te zijn. Alle rapportages moeten ook goedgekeurd worden

door de directie. Ook zal een deel van de rapportages extern gecertificeerd moeten

gaan worden.

De verzekeraar zal over adequate systemen moeten beschikken voor het produceren

van rapportages.

2.1.5 Impact op Risk Management, actuariaat, interne controle en interne audit

In het kader van Solvency II dient een verzekeraar te beschikken over een “system of

governance”, dat de volgende functies omvat:

- Risk Management

- Actuariële functie

- Interne controle (waaronder compliance valt)

- Interne audit

Deze functies worden hieronder behandeld.

Risk Management

Risk management is bij verzekeraars een gevestigde functie. Hierbij gaat het momen-

teel voornamelijk om de bepaling van de verzekeringstechnische risico‟s die de hoogte

van de premie voor de verzekeringen beïnvloeden en het toetsen of de verzekeraar de

komende jaren in staat is zijn verplichtingen na te komen op grond van de nu reeds

bekende aanspraken.

Additionele taken en verantwoordelijkheden voor de risk management functie:

Ontwerpen en implementeren van interne modellen (indien van toepassing)

Testen en valideren van de modellen (idem)

Documenteren (versiebeheer)

Analyseren en rapporteren

Verbeteren en uitbreidingen op het bestaande model

Het gehele risk management systeem moet ingepast en geïntegreerd worden in de

organisatiestructuur van het bedrijf. Er dient hierbij geborgd te worden dat de in de

risicostrategie vastgestelde en geaccepteerde risiconiveaus per risicocategorie (risk

appetite) ook daadwerkelijk gehanteerd worden bij de besluitvorming. Er moet

gekeken worden naar de werkelijke risico-blootstellingen in relatie tot de wenselijke

risico-blootstellingen. Risicobewust werken dient onderdeel te worden van de organi-

satiecultuur.

Het bedrijf moet de uitkomsten van risicobepalingen ook daadwerkelijk gebruiken bij

de inrichting van de besturing van de organisatie, dus bijvoorbeeld bij de pricing van

nieuwe producten. Onder Solvency II moet bij de besluitvorming risicobeoordeling

meegewogen worden en onderdeel uitmaken van de controlecyclus.

De risk management functie dient aantoonbaar objectief en onafhankelijk te werken.

Voor kleinere verzekeraars, die mogelijk niet in staat zijn om deze gehele risk ma-

nagement functie te implementeren en onderhouden, bestaat de mogelijkheid van het

outsourcen van de functie. Hiervoor gelden onder het nieuwe Solvency II regime zeer

strakke eisen zoals het recht van de Toezichthouder om on-site inspecties te houden.




september 2010

Onderdeel van de risk management-functie van elke verzekeraar dient de Own Risk

and Solvency Assessment (ORSA) te zijn. De ORSA is bedoeld om vast te stellen in

hoeverre er aan de Solvency II-vereisten wordt voldaan.

De bevindingen uit de ORSA worden gerapporteerd aan de Toezichthouder (solo en

groep) en maakt deel uit van het Supervisory Review Process (SRP). Voor eventuele

geconstateerde tekortkomingen dient een verbeterplan opgesteld te worden dat

overlegd moet worden aan de Toezichthouder. De voortgang van de uitvoering van

het verbeterplan moeten gerapporteerd worden aan de Toezichthouder.

De aard van de ORSA is tweeledig:

A. Het is een zelfbeoordeling van de organisatie en is als zodanig ingebed in het

strategisch besluitvormingsproces

B. Het is een hulpmiddel in het toezichtproces waarbij de Toezichthouder geïnfor-

meerd moet worden over de uitkomsten.

Voor het uitvoeren van de ORSA is het niet noodzakelijk om een (al dan niet partieel)

intern model toe te passen. Als een organisatie over een goedgekeurd intern model

beschikt, dienen de uitkomsten wel meegenomen te worden in de ORSA.

Let op dat DNB nieuwe en strenge eisen heeft met betrekking tot de risk management

processen en dat de verzekeraar, als onderdeel van de ORSA, moet kunnen aantonen

dat hij de processen, verantwoordelijkheden (voorbeeld: 4-ogen principe) en werking

van de systemen goed en auditeerbaar heeft ingericht.

Actuariële functie

De actuariële functie heeft een belangrijke taak op het gebied van kwaliteitsbeheer-

sing doordat de beslissingen genomen worden op basis van deskundig technisch

actuarieel advies.

Aangezien er op het gebied van actuariaat in Europa nog

verschillende regimes gelden zullen er gemeenschappelij-

ke actuariële richtlijnen worden ontwikkeld door CEIOPS.

Deze zijn een aanvulling op aanwezige nationale stan-

daarden.

De taken van de actuariële functie omvatten onder meer:

- Het coördineren van het berekenen van technische voorzieningen.

- Waarborgen dat de gebruikte methodieken en onderliggende modellen en de bij de

berekening van technische voorzieningen gehanteerde aannames correct zijn.

- Het beoordelen of genoeg gegevens worden gebruikt bij de berekening van

technische voorzieningen en het beoordelen van de kwaliteit ervan.

- Het toetsen van de beste schattingen (“best estimates”) aan de ervaring.

- Het informeren van het bestuurlijk, beleidsbepalend of toezichthoudend orgaan

over de betrouwbaarheid en adequaatheid van de berekening van technische voor-

zieningen.

- Adviseren over de algehele gedragslijn voor het aangaan van verzekeringstechni-

sche verplichtingen.

- Adviseren over de adequaatheid van herverzekeringsregelingen.

De actuariële functie heeft ook de taak om vast te stellen of de kwaliteit van de

gebruikte gegevens en systemen adequaat zijn voor het uitvoeren van de berekenin-

gen onder Solvency II en het opleveren van de rapportages. Het actuariaat dient ook

te adviseren over de verbetering van datakwaliteit. Eventueel kan de actuaris ook

externe gegevens gebruiken.

http://www.freedigitalphotos.net/images/Finance_g198-Financials_p9160.html




september 2010

Interne controle

De interne controlefunctie omvat alle administratieve en financiële processen en

procedures. Tot de interne controlefunctie behoort ook de compliancefunctie.

De compliancefunctie is verantwoordelijk om het management en toezichthoudend

orgaan te rapporteren over het al dan niet voldoen aan wet- en regelgeving en

administratieve aanwijzingen onder Solvency II. Verder dient de compliancefunctie te

beoordelen wat de impact van wijzigingen in wet- en regelgeving is op de bedrijfsvoe-

ring. Ten slotte dient de compliancefunctie de compliancerisico‟s te identificeren en te

beoordelen.

Een effectief intern controlesysteem dient zodaning opgezet te zijn dat het ten minste

de volgende zaken waarborgt:

- De effectiviteit en efficiëntie van de bedrijfsvoering in relatie tot de doelstellingen

en risico‟s.

- Beschikbaarheid en betrouwbaarheid van financiële en niet-financiële informatie.

- Het voldoen aan wet- en regelgeving.

Er dienen beschreven administratieve procedures te zijn voor de belangrijkste

bedrijfsactiviteiten om een goed georganiseerde en efficiënte bedrijfsvoering te

garanderen en fouten te voorkomen.

De interne controlefunctie heeft nadrukkelijk de taak om vast te stellen of de syste-

men van de verzekeraar, zowel handmatige als geautomatiseerde systemen,

aansluiten bij de organisatie qua strategie en gegevensbehoefte en of deze in over-

eenstemming zijn met de aard en complexiteit van de bedrijfsactiviteiten.

Het beleid ten aanzien van interne controle wordt door de organisatie vastgelegd en

dient goedgekeurd te zijn door het management en door het toezichthoudend orgaan.

Het beleid dient de wijze te beschrijven waarop het senior management het interne

controlesysteem moet implementeren en onderhouden.

Onderdeel van het interne controlesysteem is ook een beleid op het gebied van

informatiebeveiliging om de integriteit en vertrouwelijkheid van gegevens te waarbor-

gen.

Interne audit

Verzekeraars dienen te beschikken over een effectieve interne auditfunctie die toezicht

moet houden op de efficiëntie en effectiviteit van de interne controlefunctie en de

overige onderdelen van het governance-systeem. De interne auditfunctie dient

objectief en onafhankelijk van het operationele management te kunnen functioneren.

De interne auditfunctie rapporteert aan het bestuur van de organisatie en het toe-

zichthoudend orgaan, die beslissen over welke acties moeten worden genomen op

basis van de rapportage van de interne auditors.

De interne auditfunctie dient toegang te hebben tot alle documentatie, bestanden en

informatie binnen de organisatie, inclusief notulen van besluitvormende vergaderin-

gen. Alle onderdelen van de organisatie dienen te rapporteren aan de interne

auditfunctie, indien er afwijkingen van geldende richtlijnen wordt geconstateert. De

interne auditfunctie moet hierover richtlijnen opstellen en communiceren binnen de

organisatie.

De interne auditfunctie dient te werken op basis van een intern auditplan, dat geba-

seerd is op een gedegen risicoanalyse. Het plan omvat meerdere jaren.




september 2010

De interne auditfunctie rapporteert bevindingen over geconstateerde afwijkingen

direct aan het betrokken management en het toezichthoudend orgaan. Er wordt

minimaal één maal per jaar een formeel auditrapport opgesteld voor het bestuur van

de organisatie en het toezichthoudend orgaan.

De interne auditfunctie dient de eigen activiteiten zodanig te documenteren dat deze

controleerbaar en verifieerbaar is.

2.1.6 Impact op Finance & Control.

De rapportages in het kader van Solvency II betekenen een uitbreiding van de F&C

werkzaamheden voor wat betreft:

Additionele kwantitatieve kwartaalrapportages richting DNB m.b.t. MCR berekenin-

gen op groepsniveau en werkmaatschappijniveau

Idem: jaarrapportages met betrekking tot het voldoen aan de kapitaaleisen en

algehele financiële gezondheid (SFCR)

Voor wat betreft de externe jaarverslagen: additionele disclosure rapportages

De Solvency II rapportages maken deel uit van de financiële rapportages voor het

prudentieel toezicht van DNB (Report to Supervisor – RTS). De afdeling (Enterprise)

Risk Management levert de volledige input voor deze rapportages. Bovendien zal deze

afdeling de kwalitatieve rapportages m.b.t. toelichting van de gevolgde risk uitgangs-

punten, methoden, processen en procedures en dergelijke zelf uitwerken en

opleveren.

Een aandachtspunt voor F&C is het voldoen aan de nieuwe International Financial

Accounting en Reporting standaards, bijvoorbeeld IFRS4 versie 2. De verwachting is

dat een verzekeraar die geheel Solvency II compliant is, daarmee ook de wijzigingen

uit hoofde van de nieuwe IFRS regels voor een belangrijk deel heeft opgelost. Hier-

naast speelt de invoering van Market Conform Embedded Value (MCEV) voor het

waarderen van Assets en Liabilities.

Als laatste noemen we de management accounting (MA) rapportages, waarvan de

verwachting is dat deze risico gericht wordt, met name doordat de bedrijfsvoering na

invoering van Solvency II veel sterker dan nu het geval is. Risicostrategieën en de

uitwerkingen daarvan zullen de besluitvorming waarop de MA rapportage gericht is,

dus veel sterker beïnvloeden.

2.1.7 Uitbesteding

In het kader van overall governance worden er vanuit Solvency II ook specifieke eisen

gesteld aan outsourcing van kritische en belangrijke bedrijfsfuncties. Onder uitbeste-

ding vallen alle functies of activiteiten die normaal gesproken door de verzekeraar zelf

uitgevoerd zouden worden. Gezien het belang van gegevensverwerking door verzeke-

raars valt outsourcing van ICT-functies hier zeker onder. De verzekeraar zal dus

speciale aandacht moeten geven aan de contracten die zij heeft gesloten met service

providers. De contracten met de providers zullen aan de eisen moeten voldoen. Deze

behelzen onder meer:

De verzekeraar blijft volledig verantwoordelijk voor de operatie.

De financiële betrouwbaarheid van de partner.

De verzekeraar moet voldoende tijd hebben om bij beëindiging van het contract

een alternatieve oplossing te vinden.




september 2010

De mogelijkheid om het contract te beëindigen als de service provider niet kan

voldoen aan de eisen.

Eisen ten aanzien van beveiliging, confidentialiteit en continuïteit.

De service provider moet over een adequaat risk managementsysteem en interne

controlesysteem beschikken, die moeten aansluiten op het risk management- en

interne controlesysteem van de opdrachtgever.

Documentatie dient aan eisen van “good practices” te voldoen.

De service provider moet desgevraagd informatie verstrekken aan de Toezicht-

houder dan wel externe auditor over de uitbestede diensten en moet zo nodig

visitatie toestaan

Het is dus van groot belang voor de verzekeraar om de contracten met service

providers tijdig te reviewen op compliance met de eisen die vanuit Solvency II

bestaan. Speciale aandacht moet uitgaan naar outsourcing buiten de E.E.R. Ook SLA‟s

met interne service providers (binnen de eigen groep) vallen onder deze eisen, zij het

onder een minder strikt regime. De hierover gesloten Service Level Agreements

moeten ook beoordeeld worden op compliance met deze eisen3.

In Bijlage 5: Aandachtspunten voor uitbesteding gaan wij uitgebreid op dit onderwerp

in.

2.2 Impact op ICT

2.2.1 Algemeen

De impact van Solvency II op ICT is groot en zal grote delen van het applicatieland-

schap gaan raken en daarnaast de nodige impact hebben op de ICT-organisatie en

processen daarbinnen. De belangrijkste aandacht moet uitgaan naar datamanage-

ment, datakwaliteit en data delivery. Dit wordt uitgebreid behandeld in Bijlage 8:

Gegevens en gegevensontsluiting. Op basis van de ervaringen vanuit Basel II-

implementaties is het de verwachting dat hier tussen de 50% en 70% van de budget-

ten aan zal opgaan.

Ook ICT Governance is een essentieel onderwerp dat geadresseerd moet worden door

de maatschappijen, als onderdeel van de overall governance-eisen.

2.2.2 Impact van Pilaar 1: kwantitatieve eisen

De keuze voor het gebruik van standaardmodellen dan wel interne modellen voor het

berekenen van de SCR en MCR is sterk bepalend voor de impact. Standaardmodellen

maken vooral gebruik van informatie die reeds in de financiële administratie aanwezig

is, terwijl interne modellen daarnaast aanvullende informatie nodig hebben die niet

per definitie al in digitale vorm beschikbaar is. Informatie over operationele risicobere-

keningen is niet altijd beschikbaar. Een goede indicatie van de benodigde gegevens

voor interne modellen valt af te leiden uit de gegevens die voor QIS4 en RiSK4

gebruikt zijn. De eerdere QIS-onderzoeken gingen meer uit van het standaardmodel.

3 Zie voor de volledige eisen “CEIOPS‟ Advice for Level 2 Implementing Measures On

Solvenc II: System of Governance”, par. 3.7 Outsourcing 4 Risicogebaseerd SolvabiliteitsKader, Door DNB in 2009 uitgevoerd onderzoek binnen

Nederland op basis van de QIS4-spreadsheets




september 2010

Van augustus tot en met november 2010 zal QIS5 uitgevoerd worden door de

maatschappijen. Hoewel QIS5 niet verplicht gesteld wordt door DNB, dringt zij er wel

sterk op aan bij de maatschappijen.

De QIS-sen zijn steeds spreadsheet-acties geweest, die grotendeels uitgevoerd zijn

door Risk Management, Actuariaat en Finance. ICT is hierbij over het algemeen niet of

zijdelings betrokken geweest. Aangezien in QIS5 alle soorten kwantitatieve data

betrokken worden die ook in de uiteindelijke

SCR- en MCR-berekeningen omvat, is QIS5 ook

een uitgelezen mogelijkheid om ICT hierbij te

betrekken om de requirements ten aanzien van

kwaliteit, kwantiteit en beschikbaarheid van

data vast te stellen. Hierdoor is ook de nodige

tijdwinst te boeken.

Data en systemen die gebruikt worden voor de

doorrekening van modellen en de rapportage

worden onder Solvency II als onderdeel

beschouwd van interne modellen. Hiermee

maken deze data en systemen ook onderdeel

uit van het goedkeuringsproces van interne

modellen. CEIOPS heeft een apart Level 2 –advies gewijd aan datakwaliteit: “Technical

Provisions – Article 86f Standards for Data Quality”, waarin deze eisen uitgewerkt

worden op het gebied van documentatie, kwaliteit, kwantiteit en beheer.

Een ander belangrijk probleem is dat het eigendom en beheer van toepassingen op

het gebied van risk management veelal buiten het domein van de ICT-organisatie

liggen. Het managen van het risico op de bezittingen wordt uiteraard ook gedaan

maar minder als een geïntegreerde bedrijfsfunctie: vaak met off-line tooling of met

Excel toepassingen (zie ook de volgende paragraaf 2.2.3 Impact van Pilaar 2: kwalita-

tieve eisen). Het voeden van de applicaties met data gebeurt handmatig met alle

gevaren op fouten van dien.

Indien een verzekeraar kiest voor het toepassen van interne modellen moet deze er

rekening mee houden dat daar aanvullende gegevens voor nodig zijn. Denk hierbij aan

gegevens over marktrisico‟s en operationele risico‟s. De verzekeraar moet na gaan of

dergelijke gegevens binnen de organisatie aanwezig zijn en hoe deze ontsloten dan

wel verkregen kunnen worden. Het is mogelijk dat hiervoor additionele toepassingen

of aanpassingen in bestaande toepassingen noodzakelijk zijn dan wel dat er informatie

van buiten de organisatie nodig is.

Het groepstoezicht krijgt meer gewicht dan in de huidige situatie, waarbij het een

aanvulling is op het solo-toezicht dat per solo-verzekeraar wordt uitgevoerd. Van de

moeder van een verzekeringsgroep wordt verwacht dat zij weet wat de reikwijdte is

van de groep, dat zij governance en risicobeheer procedures implementeert en

overziet, dat zij voldoet aan de (publieke) rapportage eisen en dat zij op groepsniveau

de SCR berekent. Het toezicht berust bij de Toezichthouder in het land waar de

moeder gevestigd is. Voor verzekeringsgroepen – in het bijzonder zij die werkmaat-

schappijen in meerdere landen hebben – moet er dus ook een organisatie,

infrastructuur en architectuur aanwezig zijn voor het consolideren van gegevens en

het uitvoeren van geconsolideerde risicoberekeningen.

Voor het uitvoeren van de risicoberekeningen zijn – mede afhankelijk van de omvang

van de organisatie – grote hoeveelheden betrouwbare data nodig die hun eisen stellen

aan de technische ICT-infrastructuur op het gebied van opslagcapaciteit, verwerkings-




september 2010

capaciteit, performance en schaalbaarheid. Er is sprake van behoorlijke piekverwer-

kingen wanneer de jaarlijkse SCR-berekeningen moeten worden uitgevoerd en in

mindere mate per kwartaal wanneer de MCR-berekeningen worden uitgevoerd. Het

bepalen van de capaciteit van de infrastructuur zal een afweging worden van de

benodigde piekcapaciteit versus de kosten.

2.2.3 Impact van Pilaar 2: kwalitatieve eisen

Een tegenwoordige verzekeringsmaatschappij is niet meer denkbaar zonder gebruik

van informatietechnologie. Waar Solvency II eisen stelt ten aanzien van governance,

proceskwaliteit en audit trail strekt dit zich ook onverkort uit naar de ICT-organisatie.

Ook voor de implementatie van Solvency II is er een cruciale rol weggelegd voor de

ICT-organisatie. In de huidige situatie hanteren risk management afdelingen voor risk

managementtoepassingen veelal stand alone, vaak informele (MS Excel) toepassin-

gen. De gegevens worden handmatig verwerkt. Onder de eisen vanuit Pilaar 2 kan dit

soort werkwijzen geen stand houden aangezien hiervoor onvoldoende waarborgen ten

aanzien van audit trail en informatiebeveiliging kunnen worden gegeven.

De eisen ten aanzien van een integraal risk managementsysteem vereisen ook dat er

toepassingen nodig zijn om de werking ervan te monitoren en om hierover te kunnen

rapporteren. Verder zijn er toepassingen nodig voor het beheren (versiebeheer!) van

documentatie over het risk managementsysteem, de processen en procedures en de

gebruikte informatiesystemen.

Een van de meest in het oog springende kwaliteitseisen betreft die van datakwaliteit

en audit trail. In het kader van Solvency II moet een organisatie aantonen wat de

basis van de berekeningen is, de herkomst van de gegevens en de bewerkingen die de

gegevens hebben ondergaan5.

Een ander belangrijk aspect is procesbesturing. Procesmanagement is een onderdeel

van “good governance”. In de processen moeten ook goed gedefinieerde controls

opgenomen worden waarop gestuurd kan worden en waarover gerapporteerd kan

worden (controleerbaarheid van processen).

Zeker in een omgeving waarin sprake is van een divers applicatielandschap samenge-

steld uit pakketten en maatwerk, legacy en nieuwe systemen zal de ICT-organisatie

voor aanzienlijke uitdagingen gesteld worden. Het is dan ook van essentieel belang

om het huidige landschap goed in kaart te hebben qua documentatie en architectuur.

Onderdeel van het interne controlesysteem dient ook een informatiebeveiligingsbeleid

te zijn om de integriteit, betrouwbaarheid, tijdigheid, vertrouwelijkheid en controleer-

baarheid van gegevens te waarborgen. Er dient voorzien te worden in

toegangsbeveiliging tot infrastructuur, hardware en systemen. Hierbij dient ook

voorzien te worden in managementtoezicht, en operationele en technische controles

waar noodzakelijk.

Onder Solvency II worden ook operationele risico‟s meegenomen ter bepaling van de

kapitaalsbehoefte. Tekortkomingen binnen de ICT-infrastructuur en het applicatieland-

schap (onvoldoende documentatie, verouderde technologie, achterstallig onderhoud

enzovoort) leiden in de huidige situatie al tot hoge onderhoudskosten en onnodig hoge

projectkosten alsmede tot instabiliteit van de systemen. Onder Solvency II dient de

verzekeraar deze risico‟s mee te wegen als operationele risico‟s en leiden dergelijke

5 Zie hiervoor “CEIOPS‟ Advice for Level 2 Implementing Measures On Solvenc II:

Technical provisions – Article 86 f Standards for Data Quality”




september 2010

situaties niet alleen tot hogere onderhoudskosten, maar kunnen ze ook leiden tot

extra kapitaalsbeslag.

2.2.4 Impact van Pilaar 3: openbaarmaking

De openbaarmakingsvereisten van Solvency II vragen om een adequate rapportage-

infrastructuur en –architectuur. Voor een deel zal het een uitbreiding betekenen van

de bestaande rapportages (m.n. financiële rapportages), voor een deel ook nieuwe

rapportages. In de rapportages dienen kwalitatieve en kwantitatieve gegevens

gecombineerd te worden.

De wijze waarop de rapportage-infrastructuur moet worden

ingericht is afhankelijk van de situatie: enerzijds heeft de keuze

voor interne modellen of standaardmodellen de nodige impact,

anderzijds is de samenstelling van het applicatielandschap van

belang.

In geval de verzekeraar kiest voor het gebruik van interne

modellen (of deze opgelegd krijgt door de Toezichthouder) moet

hij de bestaande rapportagestructuur zodanig aan te passen dat aan de nieuwe

rapportagevereisten en governance-eisen voldaan wordt.

De rapportage-infrastructuur dient voldoende robuust te zijn om de benodigde

rapportages tijdig op te leveren aan de Toezichthouder. Er moet rekening mee worden

gehouden, dat dit het doorrekenen van aanzienlijke hoeveelheden gegevens met zich

meebrengt.

Het is derhalve van groot belang in het kader van het implementeren van Solvency II

om op zo kort mogelijke termijn inzage te krijgen in de beschikbaarheid van data, de

kwaliteit ervan en de hoeveelheid gegevens. Dit heeft ook zijn weerslag op de ICT-

infrastructuur, die voldoende capaciteit moet hebben voor de verwerking en opslag

van de rapportagegegevens.

Strikt genomen zijn de rapportages reguliere rapportages en zouden zij buiten het

domein van Business Intelligence vallen. Op basis van de samenstelling van het

applicatielandschap zal er echter in veel gevallen gekozen worden voor een data

warehouse-oplossing.

In de huidige situatie bestaan er veelal meerdere data warehousetoepassingen naast

elkaar en is data-integriteit en kwaliteit niet gewaarborgd. Het zal in veel gevallen

aanzienlijke inspanningen kosten om de data-kwaliteit, data-integriteit en data

delivery op orde te krijgen. Zie voor uitgebreidere informatie ook Bijlage 8: Gegevens

en gegevensontsluiting.


De aanpak van de Solvency II-implementatie


september 2010

3 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE

3.1 Solvency II programma-aanpak

3.1.1 Algemeen

Het Solvency II invoeringstraject voor de ICT-aspecten moeten veel verzekeraars nog

ontwerpen en inplannen. Meestal is men wel aan de business-kant begonnen maar

loopt de betrokkenheid van ICT achter. Het feit dat de regels en richtlijnen momenteel

nog niet volledig uitgekristalliseerd zijn, zorgt ervoor dat er ook onzekerheid en

afwachtendheid bestaat. De aandacht gaat in eerste instantie sterk uit naar pilaar 1

(kwantitatieve eisen) en pilaar 3 (openbaarmaking) en de discussie speelt zich vooral

af bij risk management en actuariaat. De tijd begint echter inmiddels behoorlijk te

dringen en het is zaak om met de ICT-implementatie op korte termijn te beginnen.

Pilaar 2 (governance) lijkt vooralsnog minder aandacht te

krijgen. Het is te voorzien dat ook hierin majeure inspan-

ningen gestoken moeten worden. Dit betreft niet alleen de

governance-aspecten aan de business-kant, maar ook aan

de ICT-kant. Een uitdaging hier is, dat voor de inrichting

van governance de “principles” naar de eigen bedrijfssitua-

tie vertaald moeten worden en dat hiervoor minder

concrete handvatten zijn dan voor de meer cijfermatige en

“harde” pilaren 1 en 3.

Dit is niet de beste basis om een dergelijk ingrijpend

programma te starten, laat staan de ICT afdeling al van de

juiste marsorders te voorzien. Toch kunnen bedrijven en

ook de ICT afdelingen daarbinnen zich niet permitteren om

te wachten op de definitieve regelgeving die op dit moment

(september 2010) niet eerder dan begin 2011 verwacht

wordt.

Een belangrijke uitdaging ligt ook in het karakter van Solvency II. Solvency II is, zoals

eerder vermeld, “principles based” en geeft geen strak gedefinieerde regels. De

principes van Solvency II zal de verzekeraar moeten vertalen naar de eigen situatie.

Dit zal hij moeten doen in wisselwerking met de Toezichthouder. De verfijning en

verbetering van deze vertaling zal ook doorgaan na de invoeringsdatum en hier zal het

bedrijf zich ook op moeten inrichten.

3.2 Stappen in de implementatie

Aangezien verzekeringsmaatschappijen sterk van elkaar kunnen verschillen is het niet

mogelijk om een generieke programma-aanpak te geven. De te kiezen programma-

aanpak wordt bepaald door een aantal factoren die de verzekeraar moet afwegen.

Deze worden verderop in dit hoofdstuk behandeld.

In de aanpak van de Solvency II ICT-implementatie is wel een aantal stappen aan te

geven waarvan de omvang sterk afhankelijk is van de verzekeringsmaatschappij of -

groep in kwestie.

https://sharenet.sogeti.nl/IC/Staven/CorporateCommunications/Rechtenvrije fotos/Industry en Transportation/BU000271.jpg




september 2010

In de volgende figuur zijn de stappen afgebeeld:

In de volgende paragrafen lichten wij de stappen nader toe.

3.2.1 Oriëntatie

Tijdens de oriëntatie moet het ICT-management zich een beeld vormen van de impact

van Solvency II op de eigen organisatie. Allereerst is het van belang om vast te stellen

wat de invoeringsstrategie van het bedrijf is. Hierbij moet het ICT-management ook

aansluiting zoeken bij het business management, dat zij bewust moeten maken van

de ICT-impact. Mogelijke knelpunten in de ICT-implementatie dienen zo vroeg

mogelijk duidelijk te zijn omdat deze mede-bepalend zijn voor het tempo van de

business implementatie en de haalbaarheid. Data ten behoeve van modellen en

rapportage alsmede de bijbehorende systemen worden onder Solvency II als onder-

deel beschouwd van de modellen en vallen dus ook onder de goedkeuringsvereisten.

Tijdens deze stap dient ook gewerkt te worden aan de bewustwording van de impact

van Solvency II op de ICT-organisatie om een gevoel voor urgentie te ontwikkelen. Dit

kan Sogeti ondersteunen met Awareness Workshops voor het ICT-management en de

ICT-staf en vertegenwoordigers van de business, bij voorkeur risk managers, actuaris-

sen en procesverantwoordelijken.

3.2.2 Bepaling invoeringsstrategie

Voor het bepalen van de invoeringsstrategie moet de organisatie een aantal vragen

beantwoorden:

Omvang organisatie

De eerste bepalende factor is de omvang van de organisatie. De aanpak bij een kleine

solo-verzekeraar verschilt qua schaal en structuur sterk van die van een verzekerings-

groep met meerdere werkmaatschappijen in verschillende landen.




september 2010

Standaardmodel of intern model

Ook een belangrijke factor is of de verzekeraar gaat werken met een standaardmodel

of met interne modellen. Bij keuze voor het werken met interne modellen is een

aanzienlijke tijd nodig voor het ontwikkelen van deze modellen, de bijbehorende

kennisopbouw en te ontwikkelen of aan te schaffen applicaties.

Beleid t.a.v. openbaarmaking

Solvency II stelt minimumeisen ten aanzien van de publicatie van rapportages en de

inhoud hiervan (Jaarlijkse SFCR, jaarverslag), maar nodigt

verzekeraars uit om meer transparantie te betrachten.

Hiertoe zal de verzekeraar een beleid moeten definiëren.

Centraal of decentraal

Bij grotere maatschappijen/groepen speelt ook de vraag of er

gekozen wordt voor een centrale aanpak of een decentrale

aanpak.

Gegeven het feit dat een verzekeringsgroep op centraal

niveau moet rapporteren dient er in alle gevallen sprake te

zijn van een centrale regie met betrekking tot de inrichting

van (enterprise) risk management, rapportagelijnen en data- uitwisseling.

Verdere overwegingen zijn onder meer:

Organisatiecultuur: Kent de verzekeraar een sterk hiërarchische, centralistische

cultuur of hebben de bedrijfsonderdelen een bepaalde mate van autonomie.

Differentiatie: In hoeverre verschillen de bedrijfsonderdelen qua productaanbod en

risicoprofiel.

Applicatielandschap: In hoeverre lijken de applicatielandschappen van de verschil-

lende bedrijfsonderdelen op elkaar? Is er sprake van gedeelde systemen of staan

alle systemen op zichzelf? Kunnen bestaande applicaties aangepast worden aan

Solvency II of is het beter om het applicatielandschap te rationaliseren en bepaal-

de systemen (vervroegd) uit te faseren?

Gefaseerd of big bang

Hoe wenselijk een big bang implementatie ook moge zijn, deze is lang niet in alle

gevallen haalbaar bij complexe operaties zoals de implementatie van Solvency II.

Hoewel het misschien haalbaar is bij een kleinere solo-verzekeraar, zal het bij een

verzekeringsgroep niet altijd mogelijk zijn om de gewenste eindsituatie te behalen per

31 december 2012 en zal er wellicht volstaan moeten worden met een minimale

variant. Solvency II biedt de mogelijkheid om na de invoeringsdatum verbeteringen en

verfijningen aan te brengen.

Een andere factor is de verandercapaciteit van de organisatie, die bepaald wordt door

de beschikbare capaciteit (zowel kwalitatief als kwantitatief), beschikbare budgetten,

maar ook de status van het applicatielandschap.

Combineren met andere compliancy-trajecten

Mogelijk zijn er binnen de organisatie al compliancy-trajecten gaande die gecombi-

neerd kunnen worden met de implementatie van Solvency II, omdat deze een

vergelijkbaar verandergebied hebben of inhoudelijk een grote overlap. Gedacht kan

hier worden aan de implementatie van Market Consistent Embedded Value (MCEV)

principes voor waardering van assets en liabilities en de verdere uitrol van IFRS fase

4.

Doorlooptijd




september 2010

De doorlooptijd voor Solvency II wordt sterk bepaald door extern bepaalde deadlines.

Het is derhalve noodzakelijk om vanuit deze deadlines terug te rekenen om vast te

stellen hoeveel tijd er beschikbaar is voor zowel de business-aspecten als de ICT-

aanpassingen en –ontwikkelingen.

Strategievorming

Op basis van deze overwegingen ontwikkelt het bedrijf een visie op de gewenste

situatie en de marsroute daar naartoe om richting te geven aan het implementatiepro-

ces. Dit zal niet op zichzelf kunnen staan.

Onderdeel van de beschrijving van de strategie hoort naar onze mening een architec-

tuurvisie te zijn (met name de business-architectuur). Dit is een belangrijk middel om

de beoogde structuur te communiceren.

3.2.3 Analyse en planning

Als de strategie bepaald is, moet het programmamanagement een gedegen planning

opstellen voor de implementatie. Hiertoe is het sterk aan te bevelen om een GAP-

analyse (IST => SOLL) uitgevoerd worden, waarbij de “witte vlekken” en knelpunten

in de processen, systemen en ICT-infrastructuur in kaart gebracht moeten worden.

Een probleem hierbij is, dat de

regelgeving nog niet volledig

uitgekristalliseerd is. Dit betekent

dat de functionele detailspecifica-

ties nog niet bekend zijn. De

principes van Solvency II zijn

echter wel bekend en met name

op het gebied van (ICT-

)governance, datamanagement,

datakwaliteit en data delivery kan

al veel gebeuren. Dit wordt

behandeld in de volgende para-

graaf 3.2.4 Implementatie.

Niet iedere verzekeraar zal in

staat zijn om tijdig het gewenste

eindambitieniveau te bereiken. Er

kan gedacht worden om te werken met een plateauplanning, waarbij een aantal

opeenvolgende ambitieniveaus worden gedefinieerd. Hierbij dienen steeds de proces-

sen, organisatie (governance, verantwoordelijkheden, cultuur), mensen (kwalitatief en

kwantitatief) en systemen bij elkaar aan te sluiten:

Het eerste plateau zou dan kunnen zijn dat er per 31 december 2012 voldaan wordt

aan de minimumeisen (bijvoorbeeld een partieel intern model) en dat er daarna

stapsgewijs gewerkt wordt aan optimalisatie in haalbare stappen.

Rekening houdend met de dynamiek van het invoeringstraject van de Solvency II-

regelgeving bevelen wij aan om voor de implementatie te werken met scenario‟s die

bijgesteld worden aan de hand van actuele ontwikkelingen.

Voor de analyse- en planningsfase is het sterk aan te bevelen om dit gelijk op te laten

lopen met de beantwoording van QIS5 en het uitvoeren van de eerste self assess-

ment.




september 2010

Door bij het beantwoorden van de QIS5 samen te werken tussen business en IT kan

er ook meteen goed inzicht verkregen worden in de beschikbaarheid, herkomst en

kwaliteit van de data, aangezien de gegevens die voor QIS5 gebruikt worden voor het

overgrote deel overeenstemmen met de gegevens die onder Solvency II gerappor-

teerd moeten gaan worden.

Bij de eerste ORSA moet de organisatie in kaart brengen hoe zij er voor staat ten

aanzien van de Solvency II-eisen. Hierbij moeten ook de IT-systemen betrokken

worden.

Door nauwe samenwerking tussen business en IT bij QIS5 en Self Assessment kan

aanzienlijke snelheidswinst gehaald worden. Dit is ook noodzakelijk, want de verzeke-

raars moeten in de loop van 2011 een concreet implementatieplan voor Solvency II

opleveren, dat alle activiteiten bevat die ondernomen moeten worden opgenomen

moeten worden, een kritisch pad-anyse, benodigde capaciteit en risico‟s.

3.2.4 Implementatie

Voorwaardenscheppend

Hoewel de “harde specificaties” van Solvency II nog niet volledig bekend zijn is het

naar onze mening goed mogelijk om op een aantal gebieden al met zaken te beginnen

die voorwaardenscheppend zijn en waarvoor de detailspecificaties niet noodzakelijk

zijn. Dit behandelen we verderop in deze paragraaf.

Er kunnen in een vroegtijdig stadium al harde requirements worden opgesteld voor

zaken waarvan op voorhand duidelijk is dat deze op orde gebracht moeten worden,

met name op het gebied van IT Governance en datakwaliteit. Wacht dus niet met

requirements opstellen waar het bedrijf al aan kan beginnen op basis van de globale

richtlijn en daaruit af te leiden aannames! DNB verwijst in het Implementatiedocu-

ment ook naar de reeds beschikbare Level 2-adviezen van CEIOPS en de beschikbare

Level 3 Consultation Papers als richtinggevend. Voor het ICT-domein zijn met name de

CEIOPS Level 2-adviezen over het “System of Governance” en “Data Quality” van

belang.




september 2010

Er is zeer veel dat men als bedrijf als voorbereiding op Solvency II kan doen. In een

aantal gevallen betreft dit zaken die een bredere strekking hebben dan Solvency II,

maar waarvoor Solvency II wel een extra motivatie vormt om ter hand te nemen. Een

selectie:

QIS5 uitvoeren om te monitoren en te beoordelen in hoeverre men qua beschik-

baarheid van de gegevens gereed is voor het leveren van rapportages en het

gebruik van interne modellen

Impact analyses op zowel business als ICT op basis van op het moment bekende

regelgeving als onderdeel van de Self Assessment

De kwaliteit van de benodigde brondata meten en op basis van bevindingen

verbeteren, inrichten meta datamanagement, master datamanagement

Risk management en andere geraakte processen voor de toekomstige situatie

modelleren

Automatiseren en beveiligen datastromen waarin nog handmatige stappen

voorkomen om operationele risico‟s te verlagen

Opstellen van gebruikers requirements voor risk engines en enterprise risk

management systemen aan de hand van de strategische keuzes en nu bekende

voorschriften – men kan daarna volstaan met het monitoren van gewijzigde inzich-

ten en regelgeving

Shortlist opstellen en Proof of Concept uitvoeren voor nieuwe risk engines

Aan de ICT-zijde kan men alternatieven voor de technische implementatie uitwerken

en modelleren. Een mogelijke benadering op hoofdlijnen:

Start met het ondersteunen van de uitvoering van de berekeningen met behulp

van de standaard methode. Deze moet een verzekeraar immers in ieder geval

beheersen, ook wanneer het hanteren van interne modellen in de streefsituatie

beoogd wordt

Start met voorbereiden en implementeren van interne modellen wanneer daar

naast de implementatie van het standaardmodel, ruimte in de planning en be-

schikbare resourcing voor is. Het is niet noodzakelijk om per 31 december 2012 de

interne modellen volledig gereed en geïmplementeerd te hebben. Na 31 december

2012 zal een periode van permanente verbetering intreden in samenspraak met

DNB

Start aan ICT-zijde zo snel mogelijk met de voorbereiding en uitvoering van de

structurele oplossing

Realisatie Solvency II-toepassingen

Zodra de specificaties bekend zijn kan de organisatie starten met het realiseren van

Solvency II-toepassingen en aanpassingen aan bestaande systemen. Ook met de

eventuele selectie en implementatie van (enterprise) risk managementpakketten kan

dan gestart worden.

Enterprise Risk Management omvat meer dan alleen de berekening van SCR en MCR.

Gartner geeft aan dat er voor de implementatie van Solvency II de volgende soorten

applicaties nodig zijn:

Actuariële modelleringstools voor het modelleren van Asset en Liability risico‟s, om

(partieel) interne modellen te ontwikkelen en om SCR en MCR te berekenen.

Data integratie-tools voor het extraheren, transformeren en laden (ETL-tooling)

van data vanuit bronsystemen naar een data warehouse.

Business Intelligence (BI) en rapportagetools voor on line analyse en rapportage

(On Line Analytical Processing – OLAP), dashboards voor hoger management en

om gebruikers in staat te stellen om rapporten samen te stellen.

Risk management en rapportagetoepassingen om verschillende vormen van risico,

zoals operationeel risico, verzekeringstechnisch risico en marktrisico, te monitoren

en analyseren.




september 2010

Governance-, risk- en compliancetoepassingingen (GRC) om bedrijfsbreed een

consistent risk management framework te implementeren, controlepunten te defi-

niëren en te monitoren en om de interne controlefunctie te ondersteunen.

Asset/liability- of investment management-applicaties om kapitaal- en investe-

ringsrisco‟s te monitoren en te analyseren en om investeringsportefeuilles te

beheren.

Andere applicaties voor het ondersteunen van algemene taken zoals het documen-

teren van processen, data security of workflow management.

Niet expliciet genoemd door Gartner, maar naar onze mening ook van belang om in dit

kader te noemen zijn:

Data warehouses

Applicaties voor meta datamanagement

Tools voor data cleansing

Ondersteuning van versiebeheer van documentatie van processen en applicaties en

van applicaties zelf

Procesmodelleringstools

Er zijn in de markt geen leveranciers die het volledige palet van toepassingen leveren.

Dit betekent, dat de ICT-organisatie vanuit haar verantwoordelijkheid van systeemin-

tegrator een belangrijke rol moet krijgen in de selectie, integratie en implementatie

van (enterprise) risk management toepassingen en de inbedding binnen de reguliere

ICT-architectuur, zodat de ICT-organisatie de kwaliteit van de data ook kan garande-

ren.

Testen

Een belangrijke uitdaging, met name bij complexere organisaties, is het testen van de

risicoberekeningen (SCR/MCR) en de rapportages. Dit betekent, dat de verzekeraar de

gehele keten van bronapplicatie tot en met uiteindelijke rapportages, inclusief

consolidatie op groepsniveau, moet testen. Hiervoor moet de organisatie tijdig starten

met het bepalen en opzetten van de teststrategie, de testaanpak en testinfrastructuur.

Idealiter loopt dit vanaf de strategiebepaling mee.

3.3 Het belang van structurele oplossingen

Ervaringen uit eerdere compliance programma‟s, die in

eerste instantie als „moetjes‟ op de betrokken bedrij-

ven af komen, wijzen uit dat op ICT-gebied vooral

gerichte en „eendimensionale‟ oplossingen gerealiseerd

worden, specifiek gericht op het kunnen voldoen aan

de opgelegde eisen. Dit is om een aantal redenen,

waarop we hierna terug komen, een gemiste kans.

Toch is het begrijpelijk dat bedrijven moeite hebben

om te kunnen inzetten op structurele oplossingen:

Vaak neemt het creëren van structurele oplossingen meer tijd in beslag. De

planning werd vaak te krap omdat men zich verkeek op de impact van het eerdere

programma en dus de benodigde capaciteit voor de wijzigingen en omdat gedu-

rende de rit van de implementatie de wetgever met nieuwe en andere eisen kwam.

Gestuwd door de druk van de deadlines koos men vaak toch weer voor een „snelle‟

oplossing.




september 2010

Structurele oplossingen zijn als initiële investering meestal duurder dan een snelle,

niet structurele oplossing. Het budget van het onderhanden compliance program-

ma is meestal beperkt tot het realiseren van de voor het programma benodigde

wijzigingen. Het programma heeft daarmee geen funding voor structurele wijzigin-

gen. In een tijd dat ICT budgetten krimpen heeft het ICT bedrijf hier ook geen of

onvoldoende budget voor. Echter, de verkleining van operationele risico‟s door

rationalisatie van het ICT-landschap levert onder Solvency II een extra business

case op voor een structurele oplossing (zie hieronder “Kosten operationeel risico”).

Veel eindgebruikers, denk hierbij vooral aan actuarissen en risk managers, werken

vaak met stand alone tools zoals Exel-toepassingen op PC-pakketten. Data wordt

handmatig ingevoerd of door middel van losse bestandjes. Onder Solvency II is dit

niet langer aanvaardbaar. Dit vereist structurele inbedding in de reguliere ICT-

infrastructuur waarbij de kwaliteit van de gegevens en de verwerking hiervan ge-

garandeerd kan worden. Van belang is wel dat dit zo min mogelijk de flexibiliteit

mag beïnvloeden.

De berekening van risico‟s en het berekenen van SCR en MCR is een complexe

aangelegenheid waarbij data uit een groot aantal bronnen bijeen gebracht moet

worden (zie 1.5.1 Pilaar 1: Kwantitatieve eisen). Dit vereist een structurele oplos-

sing, waarbij de kwaliteit van de data gegarandeerd is.

Toch zijn er goede redenen waarom een verzekeraar, zeker met als aanleiding

Solvency II, zou horen te werken aan structurele oplossingen. Deze behandelen we

hierna.

Solvency II wet- en regelgeving

DNB eist van bedrijven om Solvency II compliant te zijn, dat zij aantoonbaar aan

stringente eisen voldoen op het gebied van kwaliteit van data, geldigheid van gebruik-

te modellen en methodieken, stabiliteit van processen en ingeregelde

verantwoordelijkheden. Aan deze eisen kan een verzekeraar alleen tegemoet komen

wanneer zij haar zaken structureel en aantoonbaar op orde heeft.

Kosten operationeel risico

Een belangrijk onderdeel van de berekening van de SCR wordt gevormd door operati-

oneel risico. Hieronder vallen zaken als fraude, reputatierisico, maar ook verstoring

van bedrijfsprocessen door invloeden van buitenaf en binnenuit. Tot die laatste

categorie behoren de risico‟s die voortvloeien uit een verouderd en versnipperd

applicatielandschap.

Hiermee wordt ook duidelijk dat rationalisatie van het applicatielandschap bij een

verzekeraar die hiervoor een intern model hanteert tot besparingen leidt, aangezien

de risico‟s voor verstoring van de processen hierdoor verkleind worden. Dit geld ook

voor het inrichten van gedegen back up en (disaster) recovery alsmede uitwijkplan-

nen.

Herbruikbaarheid

Wanneer men niet de kans aangrijpt om processen, systemen en functies structureel

stabiel in te richten, zal men bij een volgend (compliance) programma of zelfs bij

regulier onderhoud tegen dezelfde tekortkomingen oplopen. Hiervoor moet men dan

telkens opnieuw een oplossing uitwerken. Een structurele inrichting zorgt ervoor, na

de extra investering vergeleken met een eendimensionale quick & dirty oplossing, dat

een herbruikbaar platform het inrichten van nieuwe programma‟s en regulier onder-

houd versnelt en voorspelbaar en goedkoper maakt.




september 2010

Funding en sturing van structurele oplossingen

Solvency II is in dit verband niet meer dan een aanleiding om zaken structureel aan te

pakken en te verbeteren. Waar structurele verbeteringen mogelijk zijn, had het bedrijf

dat eigenlijk al veel eerder aan moeten pakken. Dit besef is uiteraard binnen de ICT

afdeling ook wel aanwezig. Waar het meestal aan ontbreekt is de juiste prioriteitstel-

ling van de beschikbare funding en resources.

Een programma als Solvency II zal waarschijnlijk deze funding niet leveren, het

volgende programma ook niet enzovoort. De ICT afdeling beschikt zelf ook niet over

de nodige middelen, waardoor de suboptimalisatie en uiteindelijk hogere kosten

blijven.

Men kan echter wel inzetten op een levensvatbare business case waarin zowel de

reductie door optimalisatie als de cost of not doing – bijvoorbeeld door hogere

Operational Risk kapitaalseisen - een positieve uitkomst opleveren. In het algemeen

geldt, voor alle structurele verbeteracties, dat de businesscase niet alleen gevormd

wordt door verlaging van onderhoudskosten en beheer, maar ook het verlagen van

operationele risico‟s en daarmee een lager kapitaalsbeslag. Dit is de reden waarom de

businesscase beter uitvalt dan bij voorgaande compliancyprogramma‟s. Daarom is het

verstandig om deze verbeteringen nu in gang te zetten.

De structurele verbeteringen kunnen binnen de uitvoering van het Solvency II

programma aan ICT-zijde gepland, bestuurd en bewaakt worden in samenhang met

de voor Solvency II benodigde activiteiten.

Aspecten van een structurele oplossing

Veel van de aspecten van een structurele oplossing zijn niet per definitie Solvency II-

specifiek, maar vloeien voort uit algemene principes van good (ICT) governance en

architectuurprincipes. Solvency II is wel een sterke motivator om dit op te pakken.

Ook de baten zullen verder strekken dan alleen Solvency II en zich uiten in lagere

beheer-en ontwikkelkosten.

Architectuur

Als Solvency II projectmatig en per afdeling wordt opgepakt, is het essentieel dat alle

projecten aangaande Solvency II en alle afdelingen op

eenzelfde manier omgaan met Solvency II. Dit houdt in

dat in al deze projecten en op al deze afdelingen met een

eenduidige set aan principes en richtlijnen wordt gewerkt,

op proces-, applicatie-, gegevens- en infrastructuurni-

veau. Dit betekent dat de organisatie een bedrijfsbrede

verzameling principes en richtlijnen op moet stellen en de

naleving hiervan moet bewaken. Dit dient als referentie-

materiaal voor elk project en elke afdeling. Voor elk

project stellen architecten een Project Start Architectuur

op waarin de belangrijkste elementen uit het referentie-

materiaal worden aangehaald en voor zover nodig

uitgewerkt op project niveau. Een Architecture Board

houdt toezicht en controle op dit geheel. Het bespreekt

alle Project Start Architecturen (PSA‟s) en keurt deze goed

(IT Governance). Hierbij kunnen de principes van Dynamic Architecture (DYA®)

toegepast worden. Architectuur en ICT Governance worden verder uitgediept in Bijlage

6: Architectuur en ICT Governance.




september 2010

Datakwaliteit

Datakwaliteit is één van de hoekstenen onder Solvency II. Voor de berekening van

SCR en MCR moeten grote hoeveelheden data doorgerekend worden en de verzeke-

raar moet de kwaliteit van die data ook kunnen garanderen. De data vormt de basis

voor rapportages en voor management informatie (dashboards) in het kader van het

Risk Managementsysteem.

Aangezien de kwaliteit van data veelal te wensen overlaat, zal er veel aandacht

besteed moeten worden aan het verbeteren van de datakwaliteit. Ook de ontsluiting

van data uit bestaande systemen moet gestroomlijnd worden (ETL-processen –

Extract, Transform, Load). Er moet gezorgd worden voor “a single version of the

truth”.

Om dit te bewerkstelligen is het noodzakelijk om een aantal zaken in te richten:

- Data Governance

- Metadata-management

- Master datamanagement

Requirements Management

Solvency II is gebaseerd op principes en bestaat niet uit voorgedefinieerde regels.

Elke verzekeringsmaatschappij zal

deze principes moeten vertalen

naar concrete eisen en maatregelen

passend bij de eigen situatie.

De concrete eisen aan de verschil-

lende inrichtingscomponenten van

de organisatie noemen we require-

ments.

Requirements kunnen betrekking

hebben op de volgende inrichtings-

componenten:

- Organisatie

- Processen

- Personeel

- Systemen

- Data

- Infrastructuur

De vertaling van Solvency II

principes naar requirements is een

gemeenschappelijke verantwoorde-

lijkheid van materiedeskundigen en

Enterprise Architecten. Een

materiedeskundige zoals een

juridisch adviseur of actuaris kan

aangeven welke producten en maatregelen een Solvency II principe afdoende afdekt.

Enterprise Architecten kunnen aangeven via welke inrichtingsaspecten deze producten

en maatregelen geleverd c.q. geïmplementeerd kunnen worden.

Uit governance-optiek is het van groot belang om de relatie vast te leggen tussen de

requirements en de oorspronkelijke principes uit Solvency II. Ook de relatie tussen

requirements en inrichtingscomponenten is cruciaal: via die relatie is zichtbaar welk

inrichtingscomponent welk requirement afdekt.




september 2010

Om deze relaties te kunnen beheren moet een requirements-framework opgezet

worden. De vorm waarin dit gebeurt moet passen bij de organisatie en effectief zijn.

Gedurende de implementatie van Solvency II ontwikkelt de regelgeving zich. Dit leidt

weer tot mutaties op de requirements die de vertaling ervan zijn. Om grip te krijgen

op de “levenscyclus” van de requirements is versiebeheer dus essentieel.

Beheerprocessen

Het is aan te bevelen om achterstallige en ontbrekende documentatie aan te vullen en

up to date te brengen. Dit is noodzakelijk om de precieze impact van de implementa-

tie van Solvency II te bepalen en om risico‟s binnen het applicatielandschap te

identificeren en te elimineren.

Het is daarna zaak om de documentatie up to date te houden door de processen in te

richten conform de principes van Application Lifecycle Management (ALM) en Requi-

rements Lifecycle Management (RLcM).

Ten slotte is het belangrijk om beheerprocessen goed op orde te hebben, zoals op

basis van ITIL6.

CMM®7, COBIT8 en OPM39

Hoe de ICT functie is georganiseerd is op zich van minder belang voor Solvency II.

Bedenk echter wel dat DNB ook strenge eisen stelt aan de invulling van de ICT

processen en de beheersbaarheid van systemen en data. Dit zijn ook componenten die

impact hebben op de hoogte van de kapitaalseisen: operationeel risico is immers „het

risico dat ontstaat door het gebruik van processen, systemen en mensen‟. Hoe beter

gestructureerd des te lager het kapitaalsbeslag uit hoofde hiervan.

Gevestigde verbeteringsmethodes zoals CMM® en OPM3 en het COBIT-framework

kunnen helpen het ICT bedrijf verder te optimaliseren. De implementatie van Solvency

II is een uitstekende aanleiding hiervoor.

3.4 Programmabesturing

Solvency II is business driven. Meer dan voorheen is de

samenwerking en communicatie tussen de business en IT

belangrijk. De organisatie, business management in samen-

werking met ICT management moet dit procesmatig goed

organiseren. Architectuur kan hierbij essentieel zijn voor de

communicatie van IT naar business en omgekeerd (architec-

tuur omvat beide disciplines en kan wederzijds uitleg geven).

Solvency II heeft impact op de organisatie, processen,

applicaties, gegevens en infrastructuur. Dit betekent ook dat

de mate van samenhang tussen deze lagen ook meegenomen moet worden in de

6 Information Technology Infrastructure Library: Standaard voor de inrichting van IT-

beheerprocessen 7 Capability Maturity Model: Model dat verschillende niveaus van volwassenheid van de

IT-organisatie beschrijft 8 Control Objectives for Information and related Technology is een framework voor het

gestructureerd inrichten en beoordelen van een IT-beheeromgeving. 9 Organizational Project Management Maturity Model: Model dat de volwassenheid van

projectmanagement binnen een organisatie beschrijft




september 2010

impactanalyse (welke impact heeft een applicatie aanpassing op de processen en

infrastructuur, welke impact heeft een proces aanpassing op applicatie en infrastruc-

tuur niveau?). Dit betekent een analyse op lagen niveau (samenhang binnen de laag

en impact binnen de laag), maar ook enterprise-breed, tussen de lagen.

De uitvoering van het Solvency II programma zal bij veel verzekeraars een „tour de

force‟ worden. Een intensieve samenwerking tussen business en ICT van groot belang

omdat het programma in uitvoering zeer ICT intensief is en de uitgangspunten en

keuzes op strategisch niveau gemaakt worden. ICT is niet zozeer de uitvoerder

(supplier) van de business behoefte als wel de partner die de business vanuit haar

competenties begeleidt en ondersteunt en de uitvoering van de benodigde ICT

trajecten doet.

In de discussie over het wat (behoeften – van oorsprong het primaat van de business)

en hoe (supply van de oplossing – van oorsprong het primaat van ICT) blijkt het vaak

lastig om de taken en verantwoordelijkheden van beide partijen uit elkaar te houden.

Voorbeeld

Een afdeling Risk management is van nature gewend zelf zorg te dragen voor de

keuze en implementatie van de benodigde oplossingen en systemen. Nu de Risk

management functie een integrale functie krijgt en de werkzaamheden afhankelijk zijn

van (semi-) live data die middels geautomatiseerde processen worden opgehaald en

verwerkt, wordt de samenwerking met ICT belangrijker. Deze veranderende verant-

woordelijkheden maken deel uit van de cultuuromslag die in het kader van Solvency II

gemaakt moet worden.

Voor de besturing van deze complexe rol is een volwassen ICT Governance voorwaar-

delijk en dient het topmanagement taken, verantwoordelijkheden en bevoegdheden

van het ICT bedrijf opnieuw in te vullen.

De ICT programmamanager zal daarom zitting hebben in het hoofdbestuur van het

Solvency II programma, waarvan het Hoofd Risk Management of de CFO de eigenaar

is. De ICT programmamanager is de counterparty van de business programmamana-

ger; zij beiden zijn in gelijkwaardigheid verantwoordelijk voor het gehele Solvency II

programma.

Wanneer op zowel de uitvoerende (business analisten, informatieanalisten) als de

management niveaus intensief met de business wordt samengewerkt, is daarmee de

basis gelegd voor een succesvolle implementatie van Solvency II.


Sogeti en de implementatie van Solvency II


september 2010

4 SOGETI EN DE IMPLEMENTATIE VAN SOLVENCY II

4.1 Vooraf

Sogeti kenmerkt zich van oudsher door ICT vakmanschap. Sogeti ontwikkelt haar

dienstverlening door de ervaring die zij opdoet

bij haar klanten te vertalen naar concrete

aanpakken en methodes. Een aantal van deze

methodes zoals DYA® en TMap Next® zijn

toonaangevend in de markt en andere metho-

den en technieken zoals Pronto®, Regatta® en

Busines Intelligence Implementatie Methode

hebben hun sporen ruimschoots bewezen bij

Sogeti-klanten. De binnen Sogeti aanwezige

kennis is ook toegespitst op Solvency II.

Hiermee kan Sogeti een belangrijke brugfunctie

vervullen tussen business en ICT.

Drie vormen van dienstverlening zijn van toepassing op de invoering van Solvency II:

Resultaatverplichte opdrachten waarbij Sogeti, onder regie van de klant, verant-

woordelijk is voor een deel van de werkzaamheden en resultaten

Producten en productised services waarin Sogeti haar expertise heeft verwerkt om

bij haar klanten de Solvency II implementatie te kunnen versnellen en vergemak-

kelijken

Inzet van experts met voor de inzet adequate kennis voor de implementatie van

Solvency II

Sogeti heeft haar ICT-vakmanschap vastgelegd in een groot aantal methoden,

technieken en aanpakken. Hiernaast heeft Sogeti specifiek voor de implementatie van

Solvency II een aantal producten ontwikkeld die versnelling kunnen brengen bij de

voorbereiding van de implementatie van Solvency II en de implementatie van Solven-

cy II. Zie voor een uitgebreid overzicht over hoe Sogeti u kan helpen bij de

implementatie van Solvency II Bijlage 10: Meerwaarde Sogeti dienstverlening.

Hiernaast heeft Sogeti een aantal business partners waarmee zij samenwerkt. Een

overzicht hiervan kunt u vinden in Bijlage 11: Partnerships.

In dit hoofdstuk bespreken we op welke wijze Sogeti haar klanten kan bijstaan bij een

gecontroleerde en beheerste Solvency II implementatie.

4.2 Sogeti en de voorbereiding van de ICT-implementatie

De voorbereiding van de implementatie van Solvency II is essentieel. Hiervoor biedt

Sogeti de volgende producten aan:

4.2.1 Solvency II Awareness workshop

Het doel van deze workshop is om het ICT-management bewust te maken van wat

Solvency II inhoudt en wat de impact kan zijn op de ICT-organisatie.

Deze workshop is gericht op het ICT-management en de ICT-staf. Ook business

managers, risk managers en actuarissen vormen een potentieel publiek voor deze

workshop.




september 2010

Tijdens deze workshop zetten wij de visie van Sogeti op de impact van Solvency II

uiteen en gaan met u in gesprek over de situatie binnen uw organisatie. Het resultaat

is een door de deelnemers gedeeld vertrekpunt voor het verder aanpakken van de

Solvency II-problematiek.

De workshop duurt een dag en wordt verzorgd door onze Solvency II-specialisten.

4.2.2 Solvency II Readiness Scan

Het doel van deze scan is om een organisatie snel op hoofdlijnen inzicht te geven over

waar zij staat ten aanzien van de ICT-implementatie van Solvency II op een aantal

aandachtsgebieden zodat er besloten kan worden welke acties genomen moeten

worden.

De scan bestaat uit een gestandaardiseerde vragenlijst die medewerkers uit diverse

ICT-disciplines en business medewerkers (met name risk management en actuariaat)

invullen. De keuze van de te raadplegen medewerkers wordt met de opdrachtgever

van tevoren afgestemd. De resultaten verwerken wij in een rapportage in de vorm van

een presentatie die wij bespreken met de opdrachtgever.

De Solvency II Readiness Scan heeft een doorlooptijd van één tot twee weken,

afhankelijk van de omvang van de organisatie en het aantal beoogde respondenten.

De scan legt slechts een zeer beperkt tijdsbeslag bij de organisatie en blijft beperkt tot

maximaal een uur per respondent alsmede enige voorbereidingstijd met de opdracht-

gever.

De Solvency II Readiness Scan kan gecombineerd worden met de Solvency II Aware-

ness Workshop.

4.2.3 Solvency II ICT GAP-analyse

De GAP-analyse is bedoeld om een gedetailleerd inzicht te krijgen in de “witte

vlekken” in het ICT-landschap ten aanzien van de invoering van Solvency II als

voorbereiding op het Solvency II invoeringsprogramma.




september 2010

In nauwe samenwerking met de opdrachtgever wordt een aantal workshops (brown

paper) georganiseerd voor strategiebepaling, requirementsanalyse en het ontwikkelen

van het toetsingskader. Vervolgens wordt de feitelijke GAP-analyse uitgevoerd,

waarbij het nodige “huiswerk” wordt uitgezet binnen de organisatie.

Op basis hiervan organiseren wij workshops om de mogelijke invoeringsscenario‟s uit

te werken.

De GAP-analyse kunnen wij snel uitvoeren door het gebruik van

gestandaardiseerde scans, checklists en templates zoals:

ICT Governance Scan (eventueel Assessment)

Scan ICT Architectuur (DYAgnose/DYAScan)

Data Quality Scan (ook als apart product mogelijk)

BI Scan

Totale beheerketenscan

Procesverbeterscan

Inbreng van generieke Solvency II requirements, BI-frameworks en architectuur-

platen door Sogeti

Het is een beheersbaar traject door duidelijke fasering en time-boxed aanpak.

De resultaten van de GAP-analyse zijn materieel:

Duidelijke uitgangspunten voor implementatie Solvency II

Inzage in “witte vlekken” en te ondernemen acties en kosten

“Roadmap” voor de ICT-implementatie van Solvency II

Immaterieel is het resultaat dat er bewustwording plaatsvindt van de impact van

Solvency II binnen de ICT-organisatie en er het juiste gevoel voor urgentie ontstaat.

Hiermee wordt draagvlak gecreëerd voor het Solvency II invoeringstraject binnen de

gehele ICT-organisatie.

De doorlooptijd en feitelijke invulling is maatwerk, want deze is sterk afhankelijk van

de situatie bij de opdrachtgever. Hiertoe zou de GAP-analyse bij voorkeur vooraf

moeten worden gegaan door een Solvency II Readiness Scan.

Versnelling bij de GAP-analyse kan behaald worden door de ICT-GAPanalyse aan te

laten sluiten bij de invulling van de eerste ORSA.

4.3 Solvency II implementatie

4.3.1 Algemeen

Solvency II is een ontwikkeling die al enige jaren geleden begonnen is, maar zich nu

concretiseert. De kennis en ervaring binnen de markt is nog beperkt. Binnen Sogeti is

er uitgebreide kennis en ervaring op het gebied van eerdere compliance-trajecten

zoals Basel II, SOX en IFRS. Verder is de richtlijn nog in ontwikkeling, welke ontwikke-

ling Sogeti nauwgezet volgt en vertaalt naar de ICT-praktijk.

Alle projectmedewerkers van Sogeti krijgen een uitgebreide workshop op het gebied

van Solvency II (deze is eventueel ook beschikbaar voor de interne medewerkers van

de klant). Sogeti borgt de opgedane kennis op het gebied van Solvency II en zorgt dat

haar medewerkers in Solvency II projecten hiervan op de hoogte blijven.




september 2010

Op deze manier kan Sogeti haar klanten de zekerheid geven dat zij toegang hebben

tot de uitgebreide, zich steeds ontwikkelende Solvency II kennis en ervaring van

Sogeti.

4.3.2 Project- en programmamanagement

Sogeti heeft een uitgebreid track record op het gebied van projecten programmama-

nagement binnen de financiële wereld van veelal complexe en bedrijfskritische

projecten en programma‟s, waaronder menig compliance-project. Sogeti beschikt over

ervaren en gecertificeerde projecten programmamanagers die hun sporen ruim-

schoots verdiend hebben binnen de verzekeringswereld en veelal ervaring hebben op

het gebied van compliance-projecten.

4.3.3 Inrichting ICT Governance

Voor een succesvolle implementatie van Solvency II, zeker gezien de vele disciplines

en aspecten van het ICT bedrijf die hierdoor geraakt worden, is adequate samenhang

en integratie van de ICT besturing een voorwaarde

vooraf. Deze is dus ook een belangrijke voorwaar-

de vooraf en onderdeel van de structurele

benadering. Solvency II is een valide aanleiding

om, wanneer op dit punt nog meters te maken

zijn, de ICT governance te verbeteren.

Sogeti biedt u aan om de huidige ICT besturing als

onderdeel van de Solvency II besturing en als

onderdeel van de gehele ICT huishouding door te

lichten en op eventuele tekortkomingen verbeter-

voorstellen te doen. We analyseren de drie

competenties die tezamen de ICT governance

vormen: Architectuur en IT strategie, IT portfolio

management en ICT-programmamanagement. Invalshoeken: processen, organisatie

en mensen, producten en integratie/samenhang.

4.3.4 ICT Architectuur

Op het gebied van architectuur heeft Sogeti een indrukwekkend track record en wordt

erkend als de thought leader. Architectuur heeft vele verschijningsvormen en niet alle

zijn even relevant voor de implementatie van Solvency II. In ieder geval zijn in het

kader van Solvency II aan de orde:

Applicatie architectuur en applicatielandschap

Informatie- en data architectuur

Architectuur van data warehouse

Zie ook Bijlage 6: Architectuur en ICT Governance.

4.3.5 Datamanagement, datakwaliteit en data delivery

Naar verwachting is het onderwerp „data‟ in brede zin (datakwaliteit en - beschikbaar-

heid, metadata, traceability, data warehouse/datamart, import/export, ETL etc.)

verantwoordelijk voor 70% van de gehele inspanningen en kosten die in Solvency II

gestoken moeten worden. Kortom: een essentieel onderdeel van de Solvency II

implementatie, zoals we reeds in paragraaf 2.2 Impact op ICT hebben toegelicht.




september 2010

Sogeti beschikt over ruime ervaring in het ontwerpen en implementeren van data-

infrastructuren en BI-toepassingen. Deze worden ook genoemd in Bijlage 8: Gegevens

en gegevensontsluiting.

4.3.6 Business Proces Management (BPM) en procesimplementatie

In paragraaf 2.1 Impact op de business zijn we ingegaan op het belang van processen

en procesmanagement voor zowel Pilaar 1 als Pilaar 2. Het is ons al meermalen in

trajecten waarbij DNB stringente eisen aan processen stelde (zoals bijvoorbeeld Basel

II), gebleken dat de inzet van Sogeti op dit vlak de werkzaamheden enorm heeft

versneld en de resultaten beter dan ooit tevoren geborgd en onderhoudbaar heeft

gemaakt. Dus niet alleen voldoen aan DNB eisen, maar deel laten uitmaken van de

kwaliteit van de bedrijfsvoering. Een uitgebreidere behandeling treft u aan in Bijlage

7: Business Proces Management (BPM) .

4.3.7 Pakketselectie

Naar verwachting zullen vele verzekeraars bij de implementatie van het Solvency II

programma overgaan op andere en additionele risk management systemen.

De benodigde functionaliteit daarvan wordt onder

andere bepaald door:

de Solvency II richtlijnen betreffende de door de

verzekeraar gebruik te methodiek: standaardmodel

of standaardmodel + (deels) interne modellen

de bedrijfseigen invulling van de risk management

en actuariële functie

de door het bedrijf gekozen risk appetite

de organisatie van de risk management functie:

centraal of decentraal+centraal

Verzekeraars, met name de verzekeraars die (eventueel deels) met interne modellen

gaan werken, zullen tooling (risk engines) kunnen invoeren voor:

marktrisico‟s + kredietrisico‟s van effecten (aandelen, obligaties, leningen, swaps,

derivaten etc.)

idem, specifiek voor real estate

verzekeringstechnische risico‟s – hierin onderscheid te maken naar bedrijfstak:

leven, non-leven, herverzekeren

Catastroferisico‟s

operationele risico‟s – hierbij kan gebruik gemaakt worden uit ervaringen van

banken met Basel II

risk management op Groep niveau: enterprise risk management (ERM), concentra-

tierisico‟s

Requirements

Sogeti kan een belangrijke bijdrage leveren op het gebied van het bepalen van de

behoefte (drivers, objectives, user requirements, use cases) en de uitvoering (techni-

sche requirements, non-functional requirements) en op die wijze een belangrijke brug

vormen tussen business en ICT.

Requirements Lifecycle Management is een door Sogeti ontwikkelde methode, die met

tooling ondersteund wordt. RLcM speelt niet alleen een rol bij het bepalen van de

vereisten, maar ook bij het valideren van de specificaties van de oplossingen (tools),

het in beheer nemen van de oplossingen en onderhouden gedurende de levenscyclus

van de oplossing. RLcM wordt door Sogeti business analisten begeleid. Zij spreken

zowel de taal van de business als van de ICT.




september 2010

Aanpak pakketkeuze

Hoewel het bepalen van het hoe in principe de verantwoordelijkheid is van ICT, is het

essentieel hierin samen te werken met de business (risk managers). Zij zijn het

uiteindelijk die de oplossing moeten valideren en gebruiken. Ook hier kunnen Sogeti

business analisten een belangrijke bijdrage leveren en een brugfunctie tussen busi-

ness en ICT vormen. Ook het begeleiden van een Proof of Concept valt hieronder.

Bij een definitieve keuze kan Sogeti bijvoorbeeld ook de contracten en service levels

helpen uitwerken en deze tegen de richtlijnen van Solvency II houden.

Pakketimplementatie

Momenteel wordt veel van het risk management (en actuariaat) instrumentarium off-

line gebruikt en vindt veel end userautomatisering plaats. Dit is niet wenselijk onder

het Solvency II regime in het licht van de Pilaar 2 vereisten over aantoonbare kwaliteit

van systemen en processen en van het optimaliseren van het operationele risico.

De ICT-organisatie dient de geselecteerde systemen in de ICT-infrastructuur en –

architectuur te integreren. Zij zullen op geautomatiseerde wijze gebruik moeten

maken van live-like brondata. Bewerkte resultaten moeten controleerbaar op centrale

plaatsen teruggeschreven worden door de risk management applicaties. Dit vraagt om

een methodische benadering en aanpak waardoor de gebruikers zich kunnen beperken

en concentreren op het testen van de functionele gebruikers aspecten (werking en

resultaat van modellen) en het valideren van het eindresultaat.

De gehele implementatie van nieuwe systemen, inclusief aspecten als opleiding, in

beheer nemen, documentatie enzovoort kan Sogeti voor haar rekening nemen.




september 2010

BIJLAGE 1: SOLVENCY II INVOERINGSKALENDER

Aan Solvency II wordt sinds 2005 gewerkt. In het eerste kwartaal van 2009 is de

richtlijn door het Europese Parlement en door de Europese Raad. De lidstaten zijn

daarna aan zet. Parallel hieraan werkt CEIOPS de maatregelen uit. De laatste adviezen

komen in januari/februari 2010 uit. De lidstaten zullen daarna de richtlijn gaan

omzetten in wet- en regelgeving.

Gedurende deze periode is er ook een aantal veldonderzoeken uitgevoerd, de Quanti-

tative Impact Studies (QIS). Deelname hieraan was vrijwillig, maar DNB dringt er ten

zeerste op aan dat de Nederlandse verzekeringsmaatschappijen deelnemen aan QIS5,

die start per september 2010. De samenstelling van QIS5 wordt in juni/juli 2010

verwacht. DNB overweegt om op nationaal niveau in 2011 en 2012 nog aanvullende

studies te doen analoog aan QIS5.

In de loop van 2011 zullen dan de definitieve vereisten voor rapportages door de DNB

worden geleverd. In reactie hierop dienen bedrijven een implementatieplan hiervoor

per november 2011 aan de DNB te overleggen. In 2010 dienen hiertoe self

assessments uitgevoerd te worden.

Op 29 oktober 2009 heeft DNB een Consultatiedocument naar de verzekeraars

gestuurd waarin DNB haar aanpak voor de invoering van Solvency II schetst en de

aanpak voor het toezicht.

Gedurende de periode daarna zal DNB de use tests van de maatschappijen beoordelen

alsmede de ORSA‟s.

Daarnaast zal in de loop van 2011 de definitieve vereisten voor rapportage door DNB

worden aangeleverd. In reactie hierop dienen bedrijven een implementatieplan voor

rapportage per november 2011 aan DNB te kunnen overleggen.




september 2010

De regering zal de wet- en regelgeving naar verwachting in het 4e kwartaal 2011

voorleggen aan de Tweede Kamer.

In Nederland ziet de invoeringskalender er als volgt uit:

2009 RiSK (balansdatum 31-12-2008)

2010 Tussen 31 maart en 30 september 2010: “Self assessment Solvency II”

inclusief implementatieplan

Juli 2010 - maart 2011: Pre-applicatie interne modellen

QIS5 (balansdatum 31-12-2009)

2011 Pilaar 1 berekeningen (op basis van standaardformule en eventueel intern

model) over de situatie per 31 december 2010

Formele applicatie interne modellen

Pillar 3 Vereisten en templates rapportage

Implementatieplan rapportages

2012 Vervolg formele applicatie interne modellen

Pilaar 1 berekeningen (op basis van standaardformule en eventueel intern

model) over de situatie per 31 december 2011

Generale repetitie ORSA per 31-12-2011

Schaduw kwartaalrapportage over het tweede of derde kwartaal van 2012

Voldoen aan alle vereisten per 31-12-2012

2013 Eerste formele rapportage volgens Solvency II per 31-12-2012




september 2010

BIJLAGE 2: SOLVENCY II EN BASEL II

Solvency II en Basel II programma‟s hebben veel overeenkomsten. Aan de andere

kant zijn er ook wezenlijke verschillen. Het Basel II programma is door de meeste

bedrijven succesvol afgerond. Er kan dus lering worden getrokken uit de lessen die

geleerd zijn bij de implementatie van Basel II.

Daarnaast zijn er belangrijke overeenkomsten met de implementatie van IFRS (de

huidige boekhoud- en rapportage grondslagen). Deze hebben de meeste verzekeraars

wel aan den lijve meegemaakt. Bovendien gebruiken de verzekeraars de gelegenheid

om met Solvency II ook de laatste IRFS4 versie 2 wijzigingen te realiseren.

Bijl. 2.1 Overeenkomsten met Basel II

Het zijn beide omvangrijke projecten waarbij het gevaar van onderschatting van

de impact loert

De richtlijnen van Basel II en Solvency II bieden beide mogelijkheden voor het

verfijnen van de gebruikte methoden en daarmee het creëren van business bene-

fits

Beide programma‟s zijn gebaseerd op een 3-pilaren risk management framework

(zie figuur 1) bestaande uit kwantitatieve, kwalitatieve en publicatierichtlijnen

(disclosure)

Beide programma‟s zoomen in op het bepalen van het operationele risico van een

organisatie. Daarbij wordt de definitie van het Basel Comité gehanteerd: “risico op

potentiële verliezen die resulteren uit ongeschikte of fout ingerichte interne pro-

cessen, medewerkers, systemen of uit externe oorzaken en gebeurtenissen”

Zowel banken als verzekeraars hebben grote moeite om de operationele risico‟s te

meten en te kwantificeren

Beide programma‟s hebben een grote impact op de ICT huishouding van de

maatschappijen, met name op het beheren, ontsluiten en bewerken van grote

hoeveelheden data.

Figuur 1 – 3-pilaren framework van Solvency II en Basel II




september 2010

Bijl. 2.2 Verschillen met Basel II

De relevante risicoklassen van banken en verzekeraars verschillen fundamenteel

Basel II kent geen risico‟s uit hoofde van verplichtingen

Solvency II gaat uit van een total balance sheet approach en kent meer, en soms

afwijkende risicoklassen (kredietrisico, marktrisico, verzekeringstechnisch risico,

liquiditeitsrisico, operationeel risico) dan Basel II (kredietrisico, marktrisico en

operationeel risico)

De richtlijnen voor Pilaar 1 van Solvency II zijn veel minder voorgeschreven dan

die voor Basel II – waar een vaste kapitaalratio berekend moet worden

De detaillering van de risicodefinities voor Solvency II – zoals bijvoorbeeld de

solvabiliteitsniveaus – gaat veel verder dan bij Basel II

Bijl. 2.3 Lessons learned van BASEL II implementaties

Onderschat de effort (en de kosten) niet

Veel banken hebben de benodigde tijd en effort om Basel II-compliant te worden

enorm onderschat. Banken hadden ook de keuze om een aantal standaardmodellen te

gebruiken dan wel een intern model (IRB: internal ratings based) te gebruiken. Nog in

de eerste helft van 2010 waren banken nog steeds bezig om de IRB modellen in te

voeren of te optimaliseren, terwijl het Basel II regime sinds begin 2007 geldt.

De impact van Solvency II op de risk management functie van verzekeraars, zeker

wanneer een intern model gehanteerd gaat worden, is groter dan de impact van Basel

II op de risk management functie van banken. En Solvency II omvat – zoals eerder

toegelicht – ook de verplichtingen-zijde van de balans, dus de scope is zelfs groter dan

bij Basel II. Er zullen nieuwe risk modellen uitgewerkt en getest moeten worden. Hier

gaat, zo leert Basel II, al snel een jaar overheen.

Houd ook in het achterhoofd dat de Solvency II vereisten nieuw en nog steeds aan

veranderingen onderhevig zijn, dus de uiteindelijke impact op processen en systemen

is onbekend. Dit leidt tot verdere onzekerheden aangaande effort en kosten.

Combineer Solvency II compliance efforts met andere structurele wijzigingen

Implementatie van Basel II was een goede aanleiding om structureel te werken aan

verbeteringen, bijvoorbeeld op het gebied van de kwaliteit van de benodigde data in

de bronsystemen.

Het advies luidt derhalve: kies ook voor een structurele aanpak en oplossingen.

Plan zorgvuldig en doe niet alles tegelijk

De verzekeraar moet bedenken waar deze strategisch wil staan na volledige imple-

mentatie van Solvency II. Deze eindbestemming moet de verzekeraar vastleggen en

de route daarheen plannen in duidelijke stappen (plateaus). Per plateau moet de

verzekeringsmaatschappij bepalen welke risico´s verwacht kunnen worden (asses-

sment en impact analyse).

De meeste bedrijven die geacht worden een intern model te gaan hanteren zullen

eerst zorgen dat ze in ieder geval het standaardmodel op tijd kunnen hanteren.

Optimalisaties en verfijningen (interne modellen) kunnen ze vervolgens implemente-

ren volgens de eigen optimale planning zonder de druk van de deadline van 31-10-

2012: het moment dat elke verzekeraar aantoonbaar Solvency II compliant dient te

zijn. Ook na 31-10-2012 zijn verbeteringen nog steeds aan de orde!




september 2010

Verwacht geen „one size fits all‟ oplossing

Solvency II omvat uiteenlopende technische issues, zoals risk management, asset and

liability management, financiële analyses en BI. Banken hebben bij implementatie van

Basel II ervaren dat er niet één oplossing van één leverancier beschikbaar was.

Banken hebben gezocht naar „best of breed‟ oplossingen voor deeltrajecten. Zo zal het

bij verzekeraars ook verlopen. Bijvoorbeeld op het gebied van risk management een

risk engine specifiek voor de technische voorzieningen, een voor marktrisico‟s en

credit risico‟s van beleggingen (aandelen, fixed income, derivaten), een voor real

estate en een overkoepelend Enterprise risk management systeem t.b.v. het optimali-

seren van de onderlinge afhankelijkheden van risico‟s over werkmaatschappijen heen.

Houd zicht op potentiële benefits

De potentiële benefits dient de verzekeraar te expliciteren in een „Solvency II business

case‟. Hier kan men op sturen om daarmee de benefits in focus te houden. Bij Basel II

hebben banken ervaren hoe gemakkelijk men deze benefits uit het oog verloor onder

druk van de tucht van alledag: van „wat willen we‟ naar „wat kunnen we‟ naar „wat

moeten we‟.

ICT en business partnership

Solvency II is – evenmin als Basel II – geen project waarbij de business haar behoef-

ten kenbaar maakt en deze bij ICT als „aannemer‟ in uitvoering geeft. Met name voor

de benodigde uitbreidingen en wijzigingen in risk management processen, procedures

en systemen is de wisselwerking tussen business en ICT essentieel. Zet dit partnership

vroegtijdig op en werk zoveel mogelijk in gezamenlijkheid. Zorg ook voor een ICT

vertegenwoordiging in het bestuur van het Solvency II programma.




september 2010

BIJLAGE 3: STANDAARDMODEL OF INTERN MODEL

Bijl. 3.1 Verschillen tussen het standaardmodel en interne model-len

De standaard methode voor het bepalen van het risicokapitaal (SCR) is een door

CEIOPS bepaalde rekenexercitie, het standaardmodel.

Als alternatief heeft CEA (het Europees Verbond van Verzekeraars) een ESA (European

Standard Approach) uitgewerkt. Een zo eenvoudig mogelijk model dat eveneens

uitgaat van een total balance sheet approach (assets en verplichtingen), met voor de

verplichtingen, naast de boekwaarde een Cost of Capital berekening voor de non-

hedgeable (niet af te dekken of herverzekeren) risico‟s: wat zou het bedrijf kwijt zijn

(inclusief het rendement) aan kapitaal dat men uit de markt (van de aandeelhouders)

zou aantrekken om het eigen vermogen aan te vullen om aan de SCR te voldoen.

Dit model is ter beoordeling neergelegd bij CEIOPS. Inmiddels heeft CEIOPS een

aantal aanbevelingen uitgebracht over de berekeningen met standaardmodellen.

In alle gevallen moet de verzekeraar de kapitaalvereisten kunnen berekenen aan de

hand van het standaardmodel.

De methode voor het bepalen van de SCR volgens de interne modellen wordt bepaald

door de verzekeraar zelf. De methode en de uitkomsten dienen eerst door de Toe-

zichthouder te worden goedgekeurd voordat een verzekeraar ze mag toepassen. De

uitkomsten dienen aantoonbaar te voldoen aan de eis (het „comfort level‟) van 99,5%

zeker voor de komende 12 maanden. Dit komt overeen met een falen eens in de 200

jaar. Overigens is het ook toegestaan – uiteraard mits door DNB geaccordeerd – om

deels het standaardmodel en deels interne modellen te gebruiken.

De hoogte van de MCR wordt vooralsnog bepaald door een percentage van het SCR

kapitaalsbeslag dat volgens de standaard methode berekend is.

Hieruit blijkt overigens dat verzekeraars die het kapitaalsbeslag volgens interne

modellen berekenen, ook de standaard methode moeten uitvoeren: vooralsnog om de

verschillen met de uitslagen volgens de interne modellen aan te geven en te verklaren

en dus om de MCR te berekenen.

De MCR is in die zin belangrijk, dat de Toezichthouder (DNB) kan overgaan tot

liquidatie van het bedrijf wanneer het eigen vermogen van de verzekeraar onder de

MCR is gekomen.

Wanneer het eigen vermogen onder de SCR grens is gedaald, worden er overigens al

heel indringende afspraken ter verbetering door de Toezichthouder opgelegd.

Bijl. 3.2 Potentiële baten van interne modellen

De standaard methode leidt tot een vrij starre uitkomst waarop een verzekeraar

weinig tot geen manoeuvreerruimte heeft.

De interne modellen staan de verzekeraar toe om – binnen de genoemde 99,5%

veiligheidsgrens – eigen keuzes te maken op het gebied van het risico dat hij bereid is

te nemen (risk appetite). Naarmate een verzekeraar bereid is hogere risico‟s te

nemen, staat hier ook een hogere kapitaalseis tegenover, maar ook hogere winstmo-

gelijkheden. Een lagere risk appetite leidt tot lagere kapitaalseisen en navenant lagere




september 2010

premie en hiermee mogelijk hogere omzet, maar tegen lagere marges. Ook kan de

verzekeraar door het aanbrengen van verfijningen in de methodiek het vereiste

kapitaalsbeslag (SCR) verlagen. Bijvoorbeeld door het toepassen van hedge accoun-

ting om marktrisico‟s te verkleinen, historische data of gegevens van externe partijen

(rating agencies zoals S&P en Moody‟s) gebruiken om aan te tonen dat een lager

kapitaalsbeslag verantwoord is, of door het zeer stabiel inrichten van systemen en

processen hetgeen kan leiden tot verlagen van het operationele risico.

Gevolg hiervan is wel dat kleinere verzekeringsmaatschappijen (die de standaard

methode gebruiken) een concurrentienadeel kunnen ondervinden – zij kunnen immers

de hoogte van hun premie minder goed optimaliseren. En dat levert niet echt een

eerlijke concurrentieverhoudingen, een “level playing field” op.

Het is onder andere ook daarom dat de verwachting is dat DNB het merendeel van de

Nederlandse maatschappijen een methode zal opleggen die (deels) volgens interne

modellen werkt.

Overigens is onze informatie dat grote verzekeraars zullen starten met de standaard

methode en gaandeweg steeds meer (partieel) interne modellen zullen hanteren,

maar dat in de eindsituatie toch nog steeds ten dele met de standaard methode

gewerkt zal worden.




september 2010

BIJLAGE 4: RISICO’S BIJ DE IMPLEMENTATIE VAN SOLVENCY II

Bijl. 4.1 ‘Just another compliancy program’

Verzekeraars lopen risico‟s wanneer ze de implementatie van Solvency II waarderen

als „min of meer gewoon weer zo‟n compliance verplichting, waarvan we er al de

nodige achter de rug hebben‟.

De richtlijnen voor Solvency II zullen grote veranderingen teweeg brengen in de

werkwijze van de business en de daaraan gerelateerde ICT ondersteuning. Dit geldt

met name voor de Risk Management functie bij de business en datakwali-

teit/datamanagement in het ICT bedrijf. Dit speelt zowel bij de verzekeraars die een

specifieke „maatwerk‟ implementatie met nog nader uit te werken methoden en

technieken willen gaan uitvoeren, als bij de verzekeraars die kunnen volstaan met het

toepassen van een standaard methodiek:

De huidige Solvency I richtlijnen zijn niet bruikbaar als basis voor de implementa-

tie van Solvency II: het huidige Solvency I regime gaat uit van risico‟s op de

verplichtingen (technische voorzieningen) terwijl Solvency II uitgaat van een total

balance sheet approach waarin de risico‟s op zowel de verplichtingen als de bezit-

tingen gewogen worden

De Risk Management functie en processen zullen een centrale rol spelen in de

commerciële en financiële processen. Op dit moment vinden de actuariële en de

risk management processen nog vaak offline en decentraal plaats.

Conform de huidige Solvency II richtlijnen (ze zijn nog niet definitief) zal de toe-

zichthouder, in dit geval DNB als prudentieel toezichthouder, dat afkeuren

Verzekeraars lopen ook risico‟s wanneer ze zich beperken tot het voldoen aan de

standaard nieuwe kapitaalrichtlijnen en niet ook de kernprocessen van de business

onderhanden nemen

Wanneer verzekeraars Solvency II niet aangrijpen als een kans om belangrijke

verbeteringen aan te brengen, bijvoorbeeld in hun architectuur, data-infrastructuur

en applicatielandschap, worden 1-dimensionale oplossingen gebouwd en kan dit

leiden tot het telkens weer gehele traject doorlopen worden bij onvermijdelijk vol-

gende compliance trajecten.

En ja: Solvency II is inderdaad weer een volgend compliance-programma, maar wel

een met een grote impact op essentiële bedrijfsfuncties en –processen en zelfs op de

commerciële slagkracht van de verzekeraar

Bijl. 4.2 Te weinig focus op pilaar 2

De neiging bestaat om zich te richten op de “harde” aspecten van Solvency II zoals de

inrichting van de riskmodellen (pilaar 1) en de rapportageprocessen (pilaar 3).

Hierdoor krijgen de governance-aspecten (pilaar 2) te laat aandacht. Het merendeel

van de governance-eisen is onafhankelijk van de gehanteerde modellen (standaard of

intern). Aspecten van governance zoals data governance, procesinrichting en -

documentatie en audit trail zijn enerzijds voorwaardenscheppend voor het correct en

controleerbaar kunnen uitvoeren van risicoberekeningen en opleveren van rapporta-

ges.

Bijl. 4.3 Late start

Het gevaar bestaat, dat de ICT-organisatie pas laat aangehaakt wordt omdat de

business nog bezig is met het bepalen van strategische keuzes en het opzetten van

interne modellen op basis van een onbeschreven en alleen uitkomst gerichte aanpak-

voor wat betreft de onderliggende dataverzameling en bewerkingen. Hierdoor kan het




september 2010

gehele Solvency II-implementatieproces voor de organisatie in gevaar raken. De ICT-

organisatie zal dan ook op een zo vroeg mogelijk moment betrokken moeten worden.

Bijl. 4.4 Er is al zoveel te doen….

De meeste ICT-organisaties bij verzekeraars hebben al een overvol programma. Denk

aan programma‟s op het gebied van transparantie en zorgplicht. Hiernaast speelt nog

het reguliere onderhoud en aanpassingen aan systemen. Dit legt druk op de budget-

ten, maar ook op schaarse kennis van de benodigde medewerkers.

Bijl. 4.5 Stoppen als het klaar is

Een Solvency II-programma zal zich vooral focussen op het halen van de deadline van

de invoering per 31 december 2012. Er valt in veel gevallen niet aan te ontkomen dat

hierbij concessies gedaan moeten worden aan het “ideaalplaatje”. Ongetwijfeld zullen

er ook andere ontwikkelingen gaan spelen die dan de aandacht zullen krijgen,

waardoor er zaken blijven liggen en mensen gealloceerd gaan worden aan andere

ontwikkelingen waardoor kennis en capaciteit wegvloeit.

Solvency II is “principle based” en DNB geeft duidelijk aan dat er na de 1e implemen-

tatie een continu verbeterproces zal gaan plaatsvinden waarbij de toegepaste

modellen, maar ook de governance en rapportagevereisten (m.n. die met betrekking

tot governance) verfijnd worden.

Het behoeft dan ook aanbeveling om de Solvency II veranderorganisatie gedurende

het invoeringsproces ook in te bedden in de staande organisatie.

Bijl. 4.6 Onderschatting van de testinspanning

Solvency II gaat grote delen van de organisatie raken, zowel qua processen als

systemen. Dit leidt, met name bij verzekeringsgroepen, tot veelomvattende aanpas-

singen. De testinspanning hiervoor zal navenant complex zijn en zal veel

voorbereiding vragen. Er zal dus van het begin af aan aandacht moeten zijn voor de

organisatie en voorbereiding van het testen.




september 2010

BIJLAGE 5: AANDACHTSPUNTEN VOOR UITBESTEDING

Bijl. 5.1 Inleiding

Een onderdeel van de Solvency II-richtlijn betreft eisen die gesteld worden aan

uitbesteding. In het kader van de implementatie van Solvency II zullen verzekeraars

en dienstverleners hun dienstverleningscontacten moeten beoordelen en waar nodig

aanpassen.

Deze bijlage is gebaseerd op “CEIOPS‟ Advice for Level 2 Implementing Measures on

Solvency II: System of Governance” (Verder “CEIOPS-advies”) van oktober 2009. De

richtlijn is nog in ontwikkeling en de definitieve versie kan op details afwijken.

Bijl. 5.2 Reikwijdte

Het CEIOPS-advies definieert outsourcing als volgt:

3.345. Outsourcing in the context of the Level 1 text means an arrangement of

any form between an insurance or reinsurance undertaking and a ser-

vice provider, whether a supervised entity or not, by which that service

provider performs a process, a service or an activity, whether directly or

by sub-outsourcing, which would otherwise be performed by the insur-

ance or reinsurance undertaking by itself.

Merk hierbij op, dat de definitie heel breed is. Het incidenteel inhuren van specialisten

of het verzorgen van opleidingen valt er niet onder, maar als er over langere tijd een

afhankelijkheid ontstaat valt het er wel onder. CEIOPS zal nog komen met een nadere

uitwerking hiervan.

Voor uitbesteding geldt, dat de verzekeraar te allen tijde eindverantwoordelijk voor de

uitbestede processen en de verzekeraar moet beschikken over een uitgewerkt

uitbestedingbeleid. Dit beleid moet onder meer de beoordeling omvatten van de

impact van outsourcing op de bedrijfsvoering en de monitoring en rapportageafspra-

ken die geïmplementeerd moeten worden als een uitbestedingcontract in werking

treedt.

De verzekeraar moet het monitoren van uitbestede processen opnemen in het risk

managementsysteem. De dienstverlener dient te beschikken over een eigen risk

managementsysteem. De verzekeraar moet te allen tijde zelf beschikken over de

kennis die nodig is om vast te stellen dat de dienstverlening de diensten verleent

conform het contract.

AANDACHTSPUNT: Beschikbaarheid van een geaccordeerd uitbestedingbeleid

en het toetsen of lopende uitbestedingcontracten eraan voldoen.




september 2010

De richtlijn zelf stelt in artikel 92 over uitbesteding:

Outsourcing of critical or important operational functions or activities shall not

be undertaken in such a way as to lead to any of the following:

(a) materially impairing the quality of the system of governance of the

undertaking concerned;

(b) unduly increasing the operational risk;

(c) impairing the ability of the supervisory authorities to monitor the

compliance of the undertaking with its obligations;

(d) undermining continuous and satisfactory service to policy holders.

Tot “kritische” of “belangrijke” functies of activiteiten rekent CEIOPS in ieder geval het

governancesysteem en alle functies die van belang zijn voor het uitvoeren van de

kernactiviteiten. Als voorbeelden noemt CEIOPS het beprijzen en ontwerpen van

verzekeringsproducten, het beleggen van middelen, portefeuillebeheer en schadeaf-

handeling. Hoewel niet expliciet genoemd, moet de ontwikkeling en het beheer van

informatiesystemen hier ook toe gerekend worden, aangezien informatiesystemen de

primaire bedrijfsfuncties van de verzekeraar ondersteunen.

Bijl. 5.3 Eisen aan uitbesteding

Selectie van dienstverleners

Bij de selectie van dienstverleners voor uitbesteding van essentiële en belangrijke

functies dient de verzekeraar een aantal stappen te doorlopen om de volgende zaken

vast te stellen:

(a) dat de dienstverlener over de vaardigheden en capaciteiten beschikt om de

vereiste functies of activiteiten op een bevredigende manier uit te voeren met

het oog op de doelstellingen en behoeften van de verzekeraar

(b) dat de dienstverlener alles in het werk heeft gesteld om veilig te stellen dat er

geen feitelijke of potentiële conflicterende belangen zijn met de verzekeraar die

schade kunnen opleveren voor de verzekeraar

(c) er een schriftelijke overeenkomst is met de dienstverlener waarin de rechten

en plichten van de partijen zijn vastgelegd

(d) dat de algemene voorwaarden van de overeenkomst goedgekeurd en begrepen

zijn door de bestuurder van de verzekeraar of het toezichthoudend orgaan

(e) de uitbesteding niet leidt tot overtreding van enige wet- of regelgeving op het

gebied van gegevensbescherming of anderszins

(f) De dienstverlener onderworpen is aan dezelfde voorwaarden als waaraan de

verzekeraar is onderworpen met betrekking tot de beveiliging en vertrouwelijk-

heid van gegevens die gerelateerd is aan diens klanten

Hierbij dient de verzekeraar ervoor te zorgen inzage te krijgen in de risico‟s die

verbonden zijn aan de uitbesteding en in de meest gepaste maatregelen om deze

risico‟s te managen dan wel te beperken. Verder dient vastgesteld te worden of de

dienstverlener de kennis, capaciteit en eventueel benodigde vergunningen heeft om de

diensten te kunnen verlenen. De conclusies van dit onderzoek dienen gedocumenteerd

en vastgelegd te worden.

AANDACHTSPUNT: Indien er onderuitbesteding buiten de E.E.R. plaatsvindt

moet nagegaan worden of overdracht van gegevens moet plaatsvinden naar

bijvoorbeeld India en of dit onder Nederlandse en Europese wet- en regelge-

ving toegestaan is. Indien dit noodzakelijk is voor bijvoorbeeld testen is het

wellicht noodzakelijk om gegevens te anonimiseren




september 2010

De overeenkomst

De verzekeraar moet zich ervan vergewissen dat de tekst van de overeenkomst in

overeenstemming is met de verplichtingen van de verzekeraar onder Solvency II. In

de schriftelijke uitbestedingovereenkomst zullen op zijn minst de volgende zaken

geregeld moeten worden:

(a) de plichten en verantwoordelijkheden van de partijen

(b) de dienstverlener moet zich verbinden zich te onderwerpen aan alle toepasse-

lijke wet- en regelgeving en richtlijnen en meewerken met de Toezichthouders

van de verzekeraar met betrekking tot de uitbestede functie of activiteit

AANDACHTSPUNT: Hierover een clausule opnemen in uitbestedingcontracten

(c) de dienstverlener dient alle ontwikkelingen te melden die een materiële invloed

hebben op diens vermogen om de uitbesteding uit te voeren, inclusief mogelij-

ke belemmerende effecten van nieuwe wet- en regelgeving in diens

vestigingsland en enig materiële wijzigingen in zijn financiële positie of risico-

profiel


(d) dat de opzegtermijn voor de dienstverlener van het contract voldoende lang

moet zijn voor de verzekeraar om een alternatieve oplossing te vinden


(e) Dat de verzekeraar de overeenkomst mag beëindigen binnen een redelijke

opzegtermijn indien de geleverde diensten niet voldoen aan de eisen

(f) Dat de verzekeraar zich het recht voorbehoudt om geïnformeerd te worden

over de uitbestede activiteiten en de performance van de dienstverlener en dat

de verzekeraar het recht heeft om algemene richtlijnen en specifieke aanwij-

zingen uit te vaardigen waarmee rekening gehouden moet worden bij de

uitvoering van de uitbestede functies en activiteiten

AANDACHTSPUNT: Duidelijke rapportageafspraken opnemen in de overeen-

komst. Ingeval de eisen tussentijds kunnen wijzigen meer/minderwerkclausules

opnemen om disputen tussen de verzekeraar en dienstverlener te voorkomen

AANDACHTSPUNT: Zoals het nu verwoord is in het CEIOPS-advies blijft in het

midden of dit tussentijds kan plaatsvinden. Indien dit open gelaten wordt kan

het contract onbestuurbaar worden. Er zal dus een duidelijke beschrijving moe-

ten zijn van de diensten (SLA‟s e.d.) met meer/minderwerkclausules indien er

aangepaste richtlijnen komen om disputen tussen de verzekeraar en dienstver-

lener te voorkomen

(g) Dat de dienstverlener enige vertrouwelijke informatie in relatie tot de verzeke-

raar of diens klanten zal beschermen

AANDACHTSPUNT: Opnemen van clausules met betrekking tot gegevensbe-

scherming (niveaus, beveiligingsmaatregelen) en vertrouwelijkheid (non-

disclosure)




september 2010

(h) Dat de dienstverlener de verzekeraar, diens externe auditor en Toezichthouder

onbelemmerd toegang verstrekt tot alle informatie met betrekking tot de uitbe-

stede functies en activiteiten alsmede dat de dienstverlener hen toegang

verschaft tot diens bedrijf indien een inspectie of audit ter plaatse moet worden

uitgevoerd

AANDACHTSPUNT: Standaardclausule voor opnemen. Het verdient aanbeve-

ling om vast te stellen om welke informatie dit gaat en het aantal

inspecties/audits vast te stellen en de kosten die hiervoor doorberekend mogen

worden

(i) Dat de Toezichthouder direct vragen mag stellen aan de dienstverlener

AANDACHTSPUNT: Een clausule voor opnemen in het contract

Dienstverleners in derde landen

Indien de dienstverlener gevestigd is in een ander land dan de Lidstaat waarin de

verzekeraar gevestigd is, dient er een bepaling opgenomen te worden over het

beslechten van geschillen met name ten aanzien van het bepalen van het toepasselijk

recht en forumkeuze.

OPMERKING: Dit is mogelijk van toepassing indien onderuitbesteding plaats-

vindt naar bijvoorbeeld India

Onder-uitbesteding Een overeenkomst tussen een verzekeraar en een dienstverlener dient ook te regelen

of onder-uitbesteding toegestaan is. Er moet dan bepaald worden aan welke eisen de

dienstverlener(s) moeten voldoen. Dit mag de verantwoordelijkheden van de hoofd-

aannemer onder de uitbestedingovereenkomst niet veranderen. In algemene zin dient

de dienstverlener (hoofdaannemer) in te staan voor de kwaliteit van diens onderaan-

nemers, op dezelfde manier als waarop de verzekeraar dat ten aanzien van de

hoofdaannemer moet kunnen. De hoofdaannemer dient in zijn onder-

uitbestedingcontracten bepalingen op te nemen ten aanzien van de rechten en

bevoegdheden van de Toezichthouder en diens auditors.

AANDACHTSPUNT: Uitbesteding buiten de E.E.R.

Intellectuele eigendom

De eigendom van werken van intellectuele aard, bijvoorbeeld in het geval van

softwareontwikkeling, moet geregeld worden in de overeenkomst, inclusief bij

opzegging of afloop van de overeenkomst.

Governance en Contingency planning

De dienstverlener dient te beschikken over een eigen risk managementsysteem en

over passende contingencyplannen en dient de uitbestede activiteiten of functies op te

nemen in het eigen risk management- en interne controlesysteem. De verzekeraar

dient niettemin ook over eigen contingencyplannen te beschikken in relatie tot

mogelijke verstoring van diens bedrijfsprocessen ten gevolge van verstoringen van de

dienstverlening van de dienstverlener.

Bij uitbesteding dient de uitbestedende partij zich ervan te vergewissen dat de

dienstverlener:

(a) Over voldoende financiële middelen beschikt om de uit te besteden taken over

te nemen en dat deze over voldoende adequaat opgeleid personeel beschikt




september 2010

(b) De informatie, documentatie en eigendommen van de verzekeraar en diens

klanten kan identificeren en afscheiden om de vertrouwelijkheid ervan te kun-

nen waarborgen

(c) Over adequate contingencyplannen beschikt om noodsituaties en verstoringen

van de bedrijfsvoering te kunnen ondervangen en backup en uitwijk regelmatig

test waar de aard van de uitbestede functies en activiteiten dit vereist

AANDACHTSPUNT: dit impliceert dat de contingencyplannen van de dienst-

verlener en die van de verzekeraar op elkaar aan moeten sluiten, in ieder geval

met betrekking tot communicatie rond calamiteiten en recovery

AANDACHTSPUNT: vaststellen eisen aan eventuele backup, uitwijk en reco-

very. Denk ook aan bereikbaarheid en eventuele uitwijk van helpdesks en

functioneel/technisch beheer in geval van calamiteiten

Informeren Toezichthouder

Verzekeraars dienen de Toezichthouder tijdig (minimaal 6 weken) voorafgaand te

informeren over voorgenomen uitbesteding van kritische en belangrijke functie en

activiteiten. Dit betekent dat de Toezichthouder de uitbesteding moet goedkeuren,

maar deze kan de uitbesteding en eventuele zorgen dienaangaande bespreken met de

verzekeraar indien er sprake is van strijdigheid met de Richtlijn.

Ook dient de verzekeraar de Toezichthouder te informeren over substantiële ontwikke-

lingen met betrekking tot die functies en activiteiten die invloed hebben op het

toezicht of op de dienstverlening aan de klanten, bijvoorbeeld wanneer er een

wijziging wordt aangebracht in de overeenkomst, er overgestapt wordt naar een

andere dienstverlener of dat de dienstverlener onvoldoende presteert dan wel niet

handelt in overeenstemming met relevante wet en regelgeving. De Toezichthouder

kan in dergelijke gevallen de uitbesteding opnieuw beoordelen.




september 2010

BIJLAGE 6: ARCHITECTUUR EN ICT GOVERNANCE

Bijl. 6.1 Algemeen

Een goede implementatie van Solvency II bij een bedrijf vereist een goede architec-

tuur op alle lagen, omdat de impact van Solvency II op business-, informatie-,

applicatie- en infrastructuurlaag groot is.

Architectuur in de digitale wereld omvat enterprise-breed de samenhang tussen

organisatie/business, informatie/applicatie en infrastructuur. Architectuur stelt hierbij

principes en modellen op die richting gevend zijn en inzicht geven.

In pilaar 2 van Solvency II wordt een systeem van Governance geëist als middel voor

de bestuurder om te voldoen aan de eisen en als middel om sturing te geven. Waar in

het verleden risk management en actuariële zaken een afdeling waren van een

verzekeraar, wordt nu geëist dat deze disciplines speerpunten zijn in het beleid van de

organisatie. Hier moet een goede governance voor zorgen.

Governance bestaat uit de business governance met daar op aangesloten de IT

governance. Het vereist op beide vlakken snelle en correcte informatie om hiermee

sturing te kunnen geven en besluiten te nemen. Om dit goed te kunnen uitvoeren is

een goed architectuurproces ter inrichting en ondersteuning vereist op alle lagen.

In de volgende delen zal toegelicht worden hoe architectuur per laag kan bijdragen en

wat de samenhang tussen de lagen is.

Het Sogeti DYA® architectuur raamwerk onderscheidt 3 lagen:

1) de organisatie / businesslaag,

2) de informatie/applicatie laag,

3) de infrastructuur laag.

Elke laag zal hieronder nader besproken worden.

Bijl. 6.2 Business Architectuur

Bijl. 6.1.2 Organisatie Als een bedrijf aan Solvency II wil voldoen, zal de organisatie zodanig moeten worden

ingericht dat er een duidelijke plek is voor Solvency II met risicoanalyse en rapporta-

gemogelijkheden. Wordt dit niet goed ingericht, dan zal dit niet de juiste aandacht en

toezicht krijgen om aan de regelgeving te voldoen.

Bijl. 6.2.2 Principes Solvency II bevat principes en regels die algemeen van aard zijn. Elk bedrijf zal dit

moeten vertalen naar principes die in het eigen bedrijf toepasbaar zijn. Dit zal

resulteren in een verzameling principes gebaseerd op de Solvency II richtlijnen. Dit zal

als basis gebruikt moeten worden bij nieuwe projecten waarbij aan de Solvency II

richtlijnen voldaan moet worden.




september 2010

Bijl. 6.3.2 Processen

Solvency II vraagt om risico analyses, controles, assessments en rapporteringen.

Elk bedrijf zal moeten nagaan of haar processen hierop ingericht zijn om de gevraagde

Solvency II compliancy in specifieke producten en diensten op te kunnen leveren.

Dit kan inhouden dat bestaande processen veranderd moeten worden of dat er zelfs

nieuwe processen bij komen. Om deze processen snel en goed uit te kunnen is een

adequate tooling ter ondersteuning vereist.

Bijl. 6.3 Informatie/applicatie architectuur

Informatie architectuur omvat de applicaties en gegevens in een bedrijf. Solvency II

vraagt om risico en actuariële berekeningen om hiermee te voldoen aan de MCR en

SCR. Hiervoor zijn applicaties nodig die deze berekeningen kunnen doen. Er is heel

veel data nodig om te kunnen rekenen. En alles moet nog in rapportages beschikbaar

zijn.

Om dit te kunnen realiseren zal er een applicatie/informatie architectuur opgesteld

moeten worden die duidelijk maakt hoe en waar de data geleverd kan worden aan die

applicaties die ermee gaan rekenen en vervolgens gerapporteerd moeten worden door

een ander applicatie. Dit geheel zal gebruikt worden door de daarbij behorende

processen als risicoanalyse, actuariële berekeningen en rapportage.

Bijl. 6.4 Infrastructuur architectuur

Om de bovenstaande zaken te kunnen uitvoeren (de berekeningen en de rapportages)

is heel veel dataverkeer nodig en heel veel opslag- en verwerkingscapaciteit. Elk

bedrijf zal moeten nagaan of hun infrastructuurlaag dit ondersteunen kan en zo niet,

wat er nodig is om dit wel te kunnen.

Bijl. 6.5 Enterprise architectuur

Om dit geheel in samenhang te kunnen overzien is een algehele architectuur nodig, de

enterprise architectuur. Dit voorkomt dat er op verschillende plekken in een organisa-

tie verschillende dingen gebeuren, wat het geheel juist complexer maakt. Het is

verstandiger om eenduidig alle impact duidelijk te maken en eenduidig hierop een

bedrijfsbrede oplossing op business, informatie en infrastructuur te realiseren.

Bijl. 6.6 Service Oriented Architectuur (SOA)

Een SOA architectuur maakt het mogelijk dat een bedrijf wendbaar is om snel

producten en diensten te kunnen wijzigen als dat geëist wordt door externe factoren

zoals wet en regelgeving. Door services te gebruiken bij processen, applicaties en

infrastructuur kan sneller een aanpassing gerealiseerd worden die nodig is voor een

nieuw product of dienst. Omdat Solvency II grote impact heeft, is het des te meer

nodig dat een bedrijf Service Oriented is. Dit maakt het mogelijk dat snel en wendbaar

voldaan kan worden aan nieuwe en veranderende eisen vanuit de wet en regelgeving.




september 2010

Bijl. 6.7 Architectuurproducten

Een ingerichte architectuurfunctie kan de volgende producten en diensten leveren:

1. Principes en richtlijnen gebaseerd op Solvency II

2. Referentiearchitectuur voor Solvency II

3. Project Start Architectuur(PSA) als middel voor projecten om te voldoen aan de

Solvency II richtlijnen. Hierin zijn die onderdelen van Pilaar 1 en 2 opgenomen

die voor het project specifiek van belang zijn

4. Illustratie architectuur. Dit maakt het mogelijk om per groep stakeholders een

zodanige illustratie samen te stellen, die gebruikt kan worden om snel en effec-

tief te discussiëren en te communiceren. Omdat de impact alle lagen raakt en

meerdere typen belanghebbenden, is hierbij architectuur nodig om goede, on-

derling samenhangende en consistente blauwdrukken uit te werken voor alle

lagen




september 2010

BIJLAGE 7: BUSINESS PROCES MANAGEMENT (BPM)

Inleiding

In 2.1.3 Impact van Pilaar 2: kwalitatieve eisen is ingegaan op het belang van

processen en procesmanagement voor alle drie de pilaren van Solvency II. Het is

Sogeti al meermaals gebleken dat in trajecten waarbij DNB stringente eisen aan

processen stelde (bijvoorbeeld Basel II) dat op dit vlak de werkzaamheden enorm zijn

te versnellen door het hanteren van een gedegen BPM-aanpak.

Soepel lopende processen zijn het kloppende hart van een succesvolle organisatie.

Processen slaan de brug tussen bedrijfsstrategie en bedrijfsmodel enerzijds

en organisatiestructuur en informatievoorziening anderzijds, maar is ook de brug

tussen management en operatie. Procesmanagement zorgt dat de processen die brug

zo effectief en efficiënt mogelijk blijven slaan en dat daarmee de gewenste bijdrage

wordt geleverd aan het behalen van de bedrijfsdoelstellingen. Vanuit deze filosofie

heeft Sogeti een eigen aanpak ontwikkeld voor Business Process Management: Pronto

De huidige situatie

Processen spelen in toenemende mate een centrale rol bij het adresseren van actuele

business vraagstukken, zoals governance, compliance, demand-supply en

(out)sourcing, service oriëntatie, efficiëntieverbetering en kostenreductie. Maar de

huidige processen zijn vaak nog sterk gericht op operationele situaties:

flow-chartachtige schema‟s, primair gericht op de medewerkers “op de werkvloer”. Het

is lastig op basis van dergelijke processen te sturen, veranderingen door te voeren of

informatiesystemen te ontwikkelen.

Business Process Management

Procesmanagement (en daaraan gekoppeld informatiemanagement) kan worden

weergegeven als de schakel tussen strategie en productmanagement (producten,

markten, klanten) en applicatie- en infrastructuur management. Deze managementla-

gen worden “omsloten” door een governance structuur voor adequate besturing en

hebben een duidelijke hiërarchische relatie: informatievoorziening is een afgeleide van

processen, en niet andersom.

De B van BPM

De essentiële business vragen zijn het vertrekpunt voor processen. Waarom bestaat

een organisatie? Wat zijn vanuit business optiek de essentiële stappen in een proces?

En als dat duidelijk is: welke extra eisen zijn er waaraan voldaan moet worden (zoals

externe wet- en regelgeving)?

De antwoorden op deze vragen leiden tot een model, waarin alle essentiële stuurele-

menten een plaats hebben gekregen. Vanuit dit besturingsmodel worden de

gedetailleerde werkprocessen ontwikkeld; hierin zijn alle gewenste, operationele

details uitgewerkt.

BPM stadia

Business Proces Management kent drie stadia van ontwikkeling:

I. inrichten en toepassen van de business processen (fundament)

II. meten, analyseren en sturen met deze processen (inzicht);

III. continu verbeteren van de processen (optimalisatie)




september 2010

Waarom de Sogeti Pronto aanpak?

Business Proces Management kost tijd en geld. Daar moet voldoende rendement

tegenover staan. Processen moeten daadwerkelijk kunnen dienen als stuurmiddel:

1. bij het doelgericht realiseren van bedrijfsstrategieën en bedrijfsdoelen;

2. bij het (aantoonbaar) voldoen aan eisen en wensen van alle relevante partijen;

3. bij de integrale operationele sturing van alle onderdelen van een organisatie.

In de huidige praktijk ligt een sterke focus op toepassing 3, sturing met behulp van

werkprocessen.




september 2010

BIJLAGE 8: GEGEVENS EN GEGEVENSONTSLUITING

Bijl. 8.1 Inleiding

Solvency II stelt eisen ten aanzien van de beschikbaarheid van gegevens, de kwaliteit

en betrouwbaarheid van gegevens en de documentatie van de rapportageprocessen

en daarmee over de gegevens die gebruikt worden.

Per pilaar zijn er verschillende soorten gegevens nodig.

Pilaar 1:

Voor de kwantitatieve berekeningen zijn voor de verplichtingen (liabilities) gegevens

nodig uit de verzekeringstechnische administraties (leven, schade, zorg). Voor de

bezittingen (assets) zijn gegevens nodig uit de financiële administratie, beleggingsad-

ministratie, onroerend goedadministratie en crediteurenadministratie.

Pilaar 2:

De gegevens van pilaar 2 bestaan uit documentatie, proces- en procedurebeschrijvin-

gen en verslaglegging over de uitvoering van processen en procedures t.b.v. audit

trail. Verder dienen managers en medewerkers te beschikken over gegevens ter

ondersteuning van besluitvorming en monitoring van risico‟s.

Pilaar 3:

Voor de rapportages zijn zowel kwantitatieve gegevens (pilaar 1) als kwalitatieve

gegevens (pilaar 2) nodig.

Verder dient het hele rapportageproces volledig gedocumenteerd en onder controle te

zijn.

Bijl. 8.2 Datamanagement, data kwaliteit en data delivery

Het feit dat er vaak meerdere silo‟s met informatie aanwezig zijn in verschillende

bronsystemen maakt goed datamanagement voor een ICT afdeling tot een uitdagende

taak, aangezien data kwaliteit, beschikbaarheid en consistentie vaak niet op het

vereiste/gewenste niveau zijn. Solvency II vraagt expliciete aandacht voor de data

kwaliteit en de zekerstelling hiervan (Zie hiervoor CEIOPS Advice for Level2 Imple-

menting Measures on Solvency II, technical provisions – Article 83 – f Standards voor

data Quality, former CP 43, october 2009). In het vervolg van deze bijlage geven wij

onze visie over de invulling van deze vereisten.

Bijl. 8.3 Datawarehousing

De gegevens die nodig zijn in het kader van Solvency II komen uit verschillende

administraties en externe bronnen, zodat het gebruik van een data warehouse in veel

gevallen voor de hand ligt. Dit komt voort uit het feit, dat de gegevens bijna altijd uit

verschillende bronsystemen moeten worden onttrokken.

Een aantal drempels staat de samenwerking tussen die systemen in de weg:

Productiesystemen kunnen meestal niet geraadpleegd worden voor andere

doeleinden dan productie, zonder deze systemen eerst af te sluiten. De gegevens

kunnen dan bijvoorbeeld alleen ‟s nachts geraadpleegd worden;

Diverse systemen hanteren verschillende normen en standaarden voor dezelfde

gegevens;




september 2010

Productiesystemen zijn gemaakt voor het hier en nu. Er wordt bij veel oudere

systemen veelal geen of slechts in beperkte mate historie bewaard.

Pilaar 1 van Solvency II draait om het berekenen van de kapitaalvereisten wat

solvabiliteit betreft door de verzekeraars. Als die hun rapportage aanbieden aan de

toezichthouder moeten ze uiteraard kunnen aantonen dat de berekening correct is.

Deze systemen vormen gezamenlijk de informatiebron die nodig is voor de berekening

van de kapitaalvereiste.

Die berekening, maar ook de bewijsvoering daaromtrent, vraagt om de bewerking van

een enorme hoeveelheid data. Hiernaast dient risico-informatie ontsloten te worden

ten behoeve van besluitvorming (als onderdeel van het Risk Management Systeem).

Dat betreft data die het beste centraal kan worden opgeslagen, geordend in een

datawarehouse. Verzekeraars hebben veel verschillende productiesystemen in

gebruik, bijvoorbeeld vanwege lokale wetgeving of overnames.

Alle voldoende bewezen principes van Business Intelligence en Datawarehousing zijn

volledig van toepassing voor Solvency II, en een belangrijke succesfactor zal de

beschikbaarheid van een robuust centraal datawarehouse zijn dat de processen en

producten weergeeft, gevoed vanuit de bestaande (legacy) productiesystemen.

Een goed datawarehouse is cruciaal om Solvency II naar behoren te kunnen beheer-

sen. Het opslaan van de waardevolle historie in het datawarehouse helpt om de

kwaliteit en vergelijkbaarheid van de data te verbeteren. Daarnaast houdt het

opzetten van een datawarehouse ook rekening de mogelijkheid om met gegevens die

alleen in papieren of ingescande dossiers beschikbaar zijn te ontsluiten.




september 2010

Het datawarehouse is daarnaast ook de ideale bron voor rapportages zoals die voor

Pilaar 3 nodig zijn. Datamarts zijn deelselecties van de gegevens uit het datawarehou-

se. Ze zijn gericht op het snel en inzichtelijk kunnen ontsluiten van de gegevens. Voor

de snelheid is het belangrijk dat niet te veel gegevens worden opgeslagen in een

datamart. Dit hoeft ook meestal niet. Dit komt omdat een gebruiker vaak geen

behoefte heeft aan alle gegevens, maar slechts aan een gedeelte. Business Intelligen-

ce tools voor het presenteren van informatie aan de gebruiker moeten snel resultaat

geven. Ze werken daarom vanuit datamarts en niet vanuit het datawarehouse. Voor

bedrijven met meerdere werkmaatschappijen (juridische entiteiten) kan daarbij

gedacht worden aan verschillende datamarts op zowel werkmaatschappij- als op

groepsniveau.

Het centrale datawarehouse wordt gevoed via een interface die de data kwaliteit

controleert en data consolideert vanuit verschillende bronnen. Het datawarehouse

ondersteunt op een consistente manier de requirements van verschillende business

gebruikers en applicaties, vormt dus „one version of the truth‟, en voedt de risk engine

met consistente datasets. Gebaseerd op de inventarisatie en groepering van data in de

bronsystemen aan de ene kant, en het centrale datawarehouse aan de andere kant,

vormt de creatie van een samengestelde interface tussen de bronsystemen en het

centrale datawarehouse een cruciale taak. Aangezien de bronsystemen aan verande-

ringen onderhevig zijn, moet deze interface continu aangepast worden. Daarom is

duidelijke en correcte documentatie belangrijk, net als kwaliteitseisen en consistentie

checks.

Bijl. 8.4 Business Intelligence Competence Center (BICC)

Om de regie over BI, standaardisatie van BI te bevorderen en kennis omtrent BI te

borgen is het aan te bevelen een BICC in te richten. Een BICC is een organisatorische

eenheid. Dit kan een formele afdeling zijn binnen ICT of binnen bij voorbeeld Finance

& Control. Ook is het mogelijk om een BICC in te richten als een virtuele eenheid in de

vorm van een matrixorganisatie. Ook is het mogelijk om een BICC door een externe of

interne dienstverlener in te laten richten (“BI As A Service”) waarbij de diensten

worden vastgelegd in een Service Level Agreement (SLA).

Een BICC bestaat uit zowel IT-deskundigen op het gebied van datamodellering en

ontwikkeling van BI-toepassingen (rapportages, kubussen) als materiedeskundigen.

Van belang is het, dat een BICC voor de eindgebruiker laagdrempelig en toegankelijk

is en dat het flexibel kan inspelen op steeds veranderende informatiebehoeften.




september 2010

De kracht van een Business Intelligence Competence Center (BICC) schuilt vooral in

de concentratie van expertise en de mogelijkheid om onder centrale regie efficiënt en

effectief invulling te geven aan het BI-beleid. Vanuit deze optiek verdient de inrichting

van één BICC in een organisatie de voorkeur. In geval van meerdere data warehouses

kan worden volstaan met de inrichting van één BICC binnen een organisatie, waarbij

toch recht wordt gedaan aan een systeemlandschap met meerdere, verschillende data

warehouses.

Om dit te realiseren kan het onderscheid tussen de verschillende data warehouses en

hun omgeving worden gemaakt bij de invulling van de gerelateerde functies en rollen

binnen het BICC, bijvoorbeeld:

Data stewardschap

Data-acquisitie

Geavanceerde rapportage en analyse

Afhankelijk van de situatie kunnen per data warehouse-omgeving medewerkers op

deze gebieden actief zijn. Andere taken, bevoegdheden en verantwoordelijkheden, op

gebieden bieden als training, support, BI programma- en projectmanagement en BI-

procesmanagement worden dan centraal binnen het BICC belegd.

De inrichting van een BICC is een proces, dat de nodige aandacht en begeleiding

vergt, wil het BICC bijdragen aan een succesvol BI-beleid. Dit geldt ook voor het

functioneren van het BICC: in feite is er sprake van een proces, waarbij het BICC als

BI-expertisecentrum in- en externe ontwikkelingen volgt en zijn activiteiten baseert op

een dynamische informatiebehoefte van de organisatie. Dit vereist een gedegen regie.

Bijl. 8.5 Metadata Management

Metadata omvat de documentatie van gegevens, zoals:

- Betekenis

- Structuur

- Domein

- Formaat

- Mogelijke waarden

- Validatie-eisen

- Eigendom

- Bron

- ….

Het beheer van de metadata is van cruciaal belang voor het waarborgen van datakwa-

liteit en voor gegevensuitwisseling.

De verantwoordelijkheid voor het metadatamanagement dient eenduidig belegd te

worden binnen de organisatie (eventueel per domein).




september 2010

Bijl. 8.6 Master Data Management

Masterdata is de informatie die nodig is om:

1. een bedrijfsbreed „system of records‟ te kunnen creëren en onderhouden voor

noodzakelijke business entiteiten, om

2. de business transacties te kunnen vastleggen en de resultaten voor die entiteiten

te kunnen meten.

Een MDM-systeem is een software applicatie met voorgedefinieerde datamodellen,

voorgebouwde workflows en business processen, en gebruikersinterfaces om master-

data-elementen te kunnen managen.

Masterdata management (MDM) beheert de kerngegevens van een bedrijf in samen-

hang en consistentie. Er moet voor worden gezorgd dat de attributen van een entiteit

overal in de organisatie(systemen) inhoudelijk hetzelfde, in waarde en betekenis, zijn.

MDM levert business gebruikers en IT specialisten een set van high-level governance

kenmerken zoals traceability en auditability die zeer belangrijk zijn om te komen tot

een geslaagde implementatie en waarmee aantoonbaar voldaan wordt aan de externe

Solvency II voorschriften (Zie hiervoor CEIOPS Advice for Level2 Implementing

Measures on Solvency II, technical provisions – Article 83 – f Standards voor data

Quality, former CP 43, october 2009).

Is de data interface en data verrijking consistent en traceerbaar? Dit had in het

verleden minder nadruk, maar is voor Solvency II zeer belangrijk. Dit betekent een

gegevens analyse en traceerbaarheid tussen de applicaties.




september 2010

Bijl. 8.7 Kosten Datakwaliteit en data ontsluiting

Een groot deel van de kosten van een Solvency II-implementatie kan gaan zitten in

het op orde brengen van alle aspecten in relatie tot gegevens. Dit valt af te leiden uit

de ervaringen rond de implementatie van Basel II.

Onderstaande figuur toont een voorbeeld van de onderverdeling van kosten verbon-

den aan de Basel II implementatie.

Kostenverdeling Basel II invoering

Frontoffice en

backofficeapplicaties 10-20%

Data-integratie en

data delivery 50-70%

Ontwikkeling

risicomodellen 10-15%

Risicomanagement-

applicaties 10-15%

Veruit het grootste deel van de kosten kan dus gerelateerd zijn aan data, afhankelijk

van de actuele situatie binnen de organisatie.

Voor Solvency II kan een vergelijkbare kostenverdeling verwacht worden, aangezien

de breedte en diepte van de data management requirements daar op zijn minst even

uitdagend zijn. Er zal extra data nodig zijn, uit verschillende bronnen zoals in deze

bijlage behandeld.




september 2010

BIJLAGE 9: TESTEN EN KWALITEITSZORG

Bijl. 9.1 Inleiding

Solvency II stelt eisen aan onder meer de governance van de organisatie. De verzeke-

raar moet kunnen aantonen dat het de processen – en daarmee ondersteunende

applicaties – onder controle heeft en dat dit ook tegenover de Toezichthouder aange-

toond moet kunnen worden. Essentieel hierbij is dat deze processen en wijzigingen

hierop ook aantoonbaar gevalideerd worden en dat de ondersteunende systemen

systematisch en controleerbaar getest worden. Hiernaast is het belang van een

gedegen kwaliteitsborging in te richten.

Binnen Sogeti is er ruime ervaring op het gebied van testen en kwaliteitszorg. De

verschillende aspecten hiervan bespreken wij hieronder.

Bijl. 9.2 Validatietesten

Het door de verzekeraar gekozen risicomodel en het gebruik hiervan zal in de aanloop

naar de invoering getoetst worden in zogenaamde “Use tests”. Deze tests richten zich

op de juistheid van het model en niet zozeer op de juistheid van de werking van de

applicaties (=testen van de ICT-oplossing).

Voor het concreet handen en voeten geven is hiervoor naar onze mening, naast risk

managementexpertise ook testexpertise nodig, zowel voor het opstellen van de

protocollen als het voor uitvoeren van de testen.

Voor het geautomatiseerd herhaalbaar testen beschikt Sogeti over een aanpak en een

gespecialiseerde groep medewerkers. Voor de riskmanagers kan Sogeti een korte

testopleiding verzorgen.

Bijl. 9.3 Testen van ICT-oplossingen

Bijl. 9.1.3 Methodisch Voor testen maakt Sogeti gebruik van de zelfontwikkelde en wereldwijd gebruikte

TMap Next® methode. Een belangrijke component van TMap is BDTM: Business

Driven Test Management. BDTM wordt ook wel Test-Governance genoemd en sluit

naadloos aan op ICT-Governance door stuurbaar te zijn op risico, kosten en doorloop-

tijd. TMap Next® BDTM is daardoor bij uitstek geschikt om het testen bij de Solvency

II transitie vorm te geven.

In TMap Next® is de (product) risicoanalyse een belangrijk sturingsmiddel voor het

bepalen van de zwaarte van de uit te voeren test. De risico‟s uit deze risicoanalyse

maken deel uit van de operationele risico‟s. De door testen bereikte risicoreductie is

enorm van belang bij het afschatten van de overblijvende operationele risico‟s.

Bijl. 9.2.3 Testen van de nieuwe en aangepaste applicaties Indien de Solvency II richtlijnen in de bestaande applicatie wordt vormgegeven zal

zeker moeten worden gesteld dat de volledige applicatieportfolio goed blijft werken.

Iedere applicatieaanpassing zal moeten worden getest maar ook de ketens die de

feitelijke informatiestromen verzorgen.




september 2010

Met name bij verzekeringsgroepen kan er sprake zijn van complexe ketens van front

office applicaties => back office applicaties => ETL => werkmaatschappij data

warehouse => consolidatie => corporate data warehouse => rapportages.

Het voorbereiden van het testen van deze complexe ketens en het inrichten van de

testinfrastructuur en de testorganisatie vragen om een gedegen voorbereiding en het

testen vraagt om een controleerbare en herhaalbare aanpak.

Voor het testen van de applicatie is TMap zeer geschikt, voor het testen van de ketens

van informatiesystemen heeft Sogeti een specifieke aanpak ontwikkeld: Het testen

van ketens volgens TMap Next®

Bijl. 9.3.3 Testen data warehouse en BI oplossingen Voor de implementatie van Solvency II zal in veel gevallen gebruik gemaakt worden

van data warehouse oplossingen van waaruit de Solvency II rapportages worden

aangemaakt en van waaruit risk engines worden gevoed en de resultaten van de

risicoberekeningen worden vastgelegd.

De kwaliteit van een BI-oplossing is van groot belang voor de implementatie van

Solvency II. Een gestructureerde testaanpak, gebaseerd op de BI-risico‟s

voor de business, is dus noodzakelijk. Met de methodiek BI-testen volgens TMap

Next®®, gebaseerd op onze marktstandaard voor testen en onze BI-testervaringen,

garandeert Sogeti een effectief en efficiënt testproces voor alle onderdelen van de BI-

keten.

Bijl. 9.4 Kwaliteitszorg

Om de risico‟s bij de invoering van Solvency II te verminderen is het van belang om

over een gedegen kwaliteitssysteem te beschikken om de kwaliteit van de implemen-

tatie te verhogen. Het Solvency II transitie programma kent strakke deadlines. Er is

geen tijd voor het aanpassen en herstellen. Dit vereist veel aandacht voor de kwaliteit

van het projectproces en de producten. Sogeti beschikt met QMap (Quality manage-

ment) en IKB (Integrale Kwaliteitsbeheersing) over instrumenten en een

gespecialiseerde groep medewerkers.




september 2010

BIJLAGE 10: MEERWAARDE SOGETI DIENSTVERLENING VOOR DE IMPLEMENTATIE VAN SOLVENCY II

Verzekeraars zoeken naar ICT partners die houvast en versnelling kunnen realiseren

binnen de Solvency II trajecten. Wij hebben hiervoor op vele aspecten de competen-

ties van Sogeti toegelicht, en getoond dat onze productised services daadwerkelijk

voor de benodigde versnelling kunnen zorgen.

Naam product Doel product

Solvency II ICT Readiness Scan Kwalitatieve beoordeling op alle geraakte aspecten: in

hoeverre is het ICT bedrijf gereed als supplier van de

Solvency II behoefte van de business – inclusief

beoordeling van de relaties met de business

Aanpak ICT GAP analyse Generieke aanpak met alle ICT aspecten geadresseerd:

welke verbeteringen en wijzigingen zijn nodig in de

informatiehuishouding voor Solvency II compliancy.

Kan ook gebruikt worden om voortgang te monitoren

Data Quality Scan Voor Solvency II gespecificeerd – snel inzicht in de

kwaliteit van beschikbare data (bron en bewerkt) plus

verbetervoorstellen aan de hand van Solvency II

vereisten.

Data referentiemodellen

- Voor standaard methode

- Voor interne modellen

Analyse van gegevens en gegevenstypes benodigd

voor Solvency II calculaties en rapportages. Beschik-

baar:

- Markt- en kredietrisico – leven (STD)

- Markt- en kredietrisico – non-leven (STD)

- Data requirements voor intern model

Shortlist Risk Engines Lijst met de meest voorkomende risk engines +

inzetbaarheid

Requirements ERM tooling Requirements lijst (tot niveau van business require-

ments uitgewerkt) voor de voorkeuze van ERM tooling

Checklist inrichting rapportagepro-

cessen

Controlelijst aan de hand van een generiek uitgewerkte

modellering van rapportageprocessen: governance

aspecten, vastlegging adit trail, traceability, documen-

tatie, centraal/decentraal

Reporting requirements Lijst met eisen en voorschriften op het gebied van de

Pilaar 1, 2 en 3 rapportages. Eveneens te gebruiken als

controlelijst op volledigheid

NB: Deze producten zijn zo ver uitgewerkt als mogelijk op basis van de op dit

moment beschikbare informatie. Naarmate de richtlijn zich verder ontwikkeld

verwerken wij dit in de producten. Hiernaast verwerken wij de kennis en erva-

ring die wij bij onze klanten opdoen direct in onze dienstverlening.

Om voorspelbaarheid te kunnen garanderen in onze brede dienstverlening hanteert

Sogeti breed geaccepteerde standaards en tooling, zoals Prince2, MSP, OPM3, CMM,

Metaplan, RUP, DSDM, Agile en aanverwante methoden, frameworks en technieken.

Daarnaast passen we door ons zelf ontwikkelde standaarden en methodieken vanuit

ons IT vakmanschap toe. Hiervan hebben er overigens meerdere de status van

(inter)nationale standaard verworven. Bij de standaards horen uiteraard ook onze

producten en deskundigen die de standaards toepassen en helpen implementeren bij

onze klanten. De standaards worden continu verbeterd en aangepast aan de laatste

behoeften en inzichten.




september 2010

Dynamic Architecture - DYA®

In DYA® is ons gehele architectuur gedachtegoed vervat. DYA® en haar producten

(zoals een PSA – Project Start Architectuur) worden door veel bedrijven en organisa-

ties in Nederland en daarbuiten toegepast.

Regatta®

Regatta® omvat alle aspecten op het gebied van implementatie, inclusief pakketselec-

tie, realisatie, in beheer nemen en realisatie van benefits.

Pronto®

Pronto® is onze methode voor procesmanagement, proces (her)ontwerp en procesin-

voering. Pronto® heeft in haar relatief korte bestaan reeds tot veel succes en

erkenning in het bedrijfsleven en (semi)overheid geleid.

Pronto® is onafhankelijk van procesmanagement tooling, maar kan daar wel gebruik

van maken.

Requirement Lifecycle Management

Requirements Lifecycle Management (RLcM) is onze benadering van het hanteren van

requirements, voor de initiële (pakketselectie, ontwerp) fase en daarnaast gedurende

de gehele levensduur van de door systemen ondersteunde bedrijfsfuncties. Bij het

toepassen van RLcM wordt vaak gebruik gemaakt van tooling, zoals Caliber en

RequisitePro.

BI-Scan

Met de BI-Scan wordt snel en duidelijk inzichtelijk wat het huidige en gewenste

volwassenheidsniveau van een organisatie is op het gebied van BI. Deze scan is snel

uit te voeren en geeft in korte tijd een helder advies. Deze kan onderdeel zijn van een

GAP-analyse of naast de Solvency II Readiness Scan worden uitgevoerd.

BI Implementatie Methodiek (BIIM)

De Sogeti BI-implementatiemethodiek is een framework voor de succesvolle imple-

mentatie van BI-oplossingen. Hierin zijn de best practices van Sogeti vertaald

naar concrete producten, hulpmiddelen en werkwijzen. De toepassing van deze

methodiek leidt er niet alleen toe dat de BI-oplossing succesvol wordt gerealiseerd,

maar borgt tevens de inbedding in de organisatie van de opdrachtgever.

Data Quality Scan

Het belang van de kwaliteit van data voor de implementatie van Solvency II is in dit

document al uitgebreid aan de orde geweest. De Data Quality Scan geeft snel en

duidelijk inzicht in de kwaliteit van de data in de organisatie. Deze scan resulteert in

een maatwerk advies hoe de oorzaken en de gevolgen aan te pakken. Deze scan kan

als onderdeel van de GAP-analyse worden uitgevoerd dan wel naast een Solvency II

Readiness Scan.

Data Quality Services

Om de juiste beslissingen te kunnen nemen, moet men kunnen vertrouwen

op de informatie. Dit is niet vanzelfsprekend, aangezien veel organisaties kampen met

slechte datakwaliteit. Dit zal ook bij de implementatie van Solvency II een van de

belangrijkste struikelblokken zijn.

Een goede BI oplossing kan door slechte datakwaliteit toch onbetrouwbare informatie

opleveren. Met Data Quality Solutions biedt Sogeti niet alleen een oplossing voor het

opschonen van vervuilde data. Ook de oorzaak van de datavervuiling wordt achter-

haald en weggenomen en wordt eenzelfde herhaalde datavervuiling voorkomen.




september 2010

TMap®, TPI

TMap® wordt wereldwijd gebruikt als de standaard voor testmanagement.

TMap kent meerdere „dialecten‟ zoals bijvoorbeeld TMap® voor SAP, TMap® voor

SOA, TMap Next®. Ook TPI (test process improvement) en TPI Next hebben wereld-

wijde erkenning gekregen.




september 2010

BIJLAGE 11: PARTNERSHIPS

Sogeti is een onafhankelijke ICT dienstverlener die voor haar klanten de best passen-

de ICT oplossing adviseert en realiseert. Sogeti‟s eigen visie, aanpak, methodieken,

competenties en „versnellers‟ vormen daarom het hart van haar Solvency II dienstver-

lening.

Voor het succesvol en tijdig invoeren van Solvency II is een goede samenwerking

noodzakelijk tussen het Business- en het ICT-domein van verzekeringsmaatschappij-

en. Sogeti werkt daarom intensief samen met vaste partners die deskundigheid,

diensten en producten aanbieden die relevant zijn voor een Solvency II implementa-

tie, binnen zowel het Business- als het ICT-domein.

Voor het Businessdomein kan hierbij gedacht worden aan partners op het gebied van

Risk Management, Actuariaat en Finance & Control. Verder zijn in dit kader leveran-

ciers van gespecialiseerde Enterprise Risk Management (ERM), Governance, Risk &

Compliancy (GRC) en Cash Flow projectie tooling en modellen relevant.

Voor het ICT-domein heeft Sogeti zelf de benodigde deskundigheid in huis. Voor de

realisatie van de beoogde Solvency oplossingen maakt Sogeti gebruik van toepassin-

gen die geleverd worden door partners op het gebied van procesmodellering,

managementrapportage, datawarehousing en BI (DWH/BI).

Voorbeelden van partijen waar Sogeti een samenwerkingsrelatie mee heeft zijn:

Towers Watson. Towers Watson is een deskundige, wereldwijd actieve partij op het

gebied van onder meer Risk Management, Actuariaat en Finance & Control. Samen

met Towers Watson biedt Sogeti een Solvency II totaalaanpak en oplossing, delen

wij kennis en verkorten wij de communicatielijnen tussen Business en ICT. Towers

Watson is voorts leverancier van gespecialiseerde Cash Flow projectietooling (Mo-

Ses en in het recente verleden VIPitech).

Microsoft, voor het ontwerpen, installeren en tunen van BI/Datawarehouse

oplossingen op Microsoft (HPC) technologie. Sogeti is Microsoft Gold Partner.

IBM, leverancier van functionele (zoals IIW) en technische (DWH/BI) oplossingen.

Diverse gerenommeerde leveranciers op het gebied van Datawarehousing,

Business Intelligence, data-integratie en datakwaliteit zoals SAS, Informatica en

Teradata/DFA

BWise met een specifiek voor Solvency II ontwikkelde procesmanagement

Oplossing.

Akkermans & Partners en Talent & Pro; Beiden leveranciers van specialisten op het

vlak van Finance & Control en Actuariaat.




september 2010

BIJLAGE 12: BRONNEN

Bijl. 12.1 Literatuur

RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD BETREFFENDE DE

TOEGANG TOT EN DE UITOEFENING VAN HET VERZEKERINGS- EN HERVERZEKE-

RINGSBEDRIJF (SOLVABILITEIT II)(HERSCHIKKING), Straatsburg, 25 november

2009, PE-CONS 3643/609 REV 6

Implementatie Solvency II, De Nederlandsche Bank N.V., 31 maart 2010, nr.

01B/NL

CEIOPS‟ Advice for Level 2 Implementing Measures on Solvency II: Supervisory

Reporting and Public Disclosure Requirements (Former CP 58),

CEIOPS‟ Advice for Level 2 Implementing Measures on Solvency II: Technical

provisions – Article 86 f Standards for data quality (Former CP 43), October 2009

CEIOPS‟ Advice for Level 2 Implementing Measures on Solvency II: System of

Governance (Former CP 33), October 2009

CEIOPS, Challenges of Solvency II Implementation, October 2009

Preparing for IT Implementation of Solvency II regulations in Insurance Compa-

nies, Rusalovskiy, VDM Verlag Dr. Müller, ISBN 978-3-639-10263-5

QIS5 Technical Specifications, European Commission, Brussels, 5 July

2010Solvency II: Insurers Can Learn From Basel II Implementations, Juergen

Weiss - Gartner, 29 juli 2008, ID Number: G00159664

Much More Than Compliance: How Solvency II Will Impact Business Processes and

IT Systems, Juergen Weiss – Gartner, 21 augustus 2008, ID Number: G00160756

Overview of the Solvency II Software Market: There Is No One-Size-Fits-All

Solution, Juergen Weiss – Gartner, 5 juni 2009, ID Number: G00168330

ERM and Other Considerations Related To A Principles-Based Approach, A White

Paper Prepared January 2008 For The Society of Actuaries, Doodian, Knott. Rech,

januari 2008 Automatisering van de testuitvoering, Broekman, Hoos, Paap, SDU, ISBN 10 90 440

0103

TMap NEXT® voor resultaatgericht testen, Koomen, van der Aalst, Broekman,

Vroon, UTN, ISBN 9072194799

TMap NEXT® Business Driven Test Management, van der Aalst, Baarda, Roodenrijs,

Vink, Visser, UTN, ISBN 9272194926

Testen van ketens met TMap NEXT®, Smit, Baarda, UTN, ISBN 9072194950

De actuaris in Solvency II, Een nieuwe rol, leren we van het verleden? - Presenta-

tie voor het Actuarieel Genootschap, Bouwknegt, mei 2009

DYA®: Stap voor stap naar professionele enterprise-architectuur, Van den Berg,

Steenbergen, Academic Service, 2004, ISBN-13: 9789012118552

SOA for Profit, A Manager's Guide to Success with Service Oriented Architecture,

van den Berg, Bieberstein en van Ommeren, IBM & Sogeti, 2007, 978-90-75414-

14-1

http://www.managementboek.nl/uitgever/5/academic_service




september 2010

Bijl. 12.2 Links

Officiële EU-site over Solvency II,

http://ec.europa.eu/internal_market/insurance/solvency/index_en.htm

Site van CEIOPS (Europese toezichthouders), http://www.ceiops.org/

De Nederlandsche Bank – toezicht op verzekeraars,

http://www.dnb.nl/openboek/extern/id/nl/vz/40-117237.html

De Nederlandsche Bank – Solvency II,


http://ec.europa.eu/internal_market/insurance/solvency/index_en.htm

http://www.ceiops.org/



Documents

Whitepaper 'de ICT invoering van solvency ii