'In control' over datakwaliteit onder Solvency II

Transcriptie

1 'In control' over datakwaliteit onder Solvency II Wat zijn de effecten van Solvency II op de interne (data)beheersing van verzekeraars en aan welke eisen moet de interne (data)beheersing van verzekeraars voldoen om de interne audit functie in staat te stellen een oordeel te geven over de datakwaliteit? Erasmus Universiteit Rotterdam Postmasteropleiding IT-Auditing & Advisory Erasmus School of Accounting & Assurance (ESAA) Student: A.S. (Anil) Changoe (292770) Afstudeerbegeleider: Jan Pasmooij RA RE RO Den Haag, 31 december 2013 Gebruik met bronvermelding toegestaan 1

2 VOORWOORD Dit referaat is geschreven ter afronding van de postmasteropleiding IT-Auditing & Advisory aan de Erasmus Universiteit te Rotterdam. In 2013 heb ik als externe adviseur de gelegenheid gehad om te kunnen meedraaien op het Solvency II programma van één van de grootste verzekeraars van Nederland. Binnen dit programma ben ik in aanraking gekomen met het onderwerp datakwaliteit, dat een belangrijk thema is binnen Solvency II. Voor mij was dit de aanleiding om mijn onderzoek aan dit onderwerp te wijden en zo een bijdrage te leveren aan het vakgebied IT- Auditing. Tijdens de uitvoering van dit onderzoek heb ik verschillende personen gesproken. Bij deze wil ik de volgende personen bedanken voor hun kennisdeling en tijd: Drs. Eva de Mooij RO CIA CFSA CCSA Manager ERM bij NN Ivo Roest MSc Senior project & change manager bij ING Insurance Drs. Marcel Schut Lead business analyst bij NN Drs. Martijn Uunk RA Data quality manager bij NN Steven Verreydt RE Audit manager bij ING Hans Verstraten RA RE Senior audit manager bij ING Verder wil ik Daniel Ritsma bedanken voor zijn coaching gedurende het hele traject en Jan Pasmooij voor zijn begeleiding vanuit ESAA. Tot slot wens ik u veel leesplezier toe. Anil Changoe Den Haag, 31 december

3 INHOUDSOPGAVE SAMENVATTING INTRODUCTIE ACHTERGROND DOELSTELLING ONDERZOEKSVRAGEN SCOPE ONDERZOEKSAANPAK LEESWIJZER THEORETISCH KADER - SOLVENCY II SOLVENCY II ACHTERGROND SOLVENCY II PILAREN SOLVENCY II EN DATAKWALITEIT Criteria datakwaliteit Systeem van databeheersing ROL INTERNE AUDIT FUNCTIE THEORETISCH KADER INTERNE BEHEERSING BEHEERSTE BEDRIJFSVOERING - WFT COSO INTERNAL CONTROL FRAMEWORK THEORETISCH KADER - BEHEERSRAAMWERKEN COBIT R.Y. WANG - A FRAMEWORK FOR ANALYSIS OF DATA QUALITY RESEARCH FINANCIAL SERVICES AUTHORITY - EXTERNAL REVIEW SCOPING TOOL GEÏNTEGREERD CONCEPT BEHEERSRAAMWERK Datakwaliteitsbeleid & procedures Datakwaliteit training & awareness Data definitie

4 4.4.4 Datakwaliteit risicoanalyse Datakwaliteitscontroles Datakwaliteit monitoring PRAKTIJKONDERZOEK EXPERTGROEP SAMENVATTING VAN DE BEVINDINGEN ANALYSE THEORIE VERSUS PRAKTIJK EFFECT OP CONCEPT BEHEERSRAAMWERK CONCLUSIE ONDERZOEK CENTRALE VRAAGSTELLING DEELVRAGEN AANBEVELINGEN BEPERKINGEN EN VERVOLGONDERZOEK BIJLAGE A - LITERATUUR BIJLAGE B MATRIX BEHEERSRAAMWERKEN BIJLAGE C DEFINITIEF BEHEERSRAAMWERK BIJLAGE D GEÏNTERVIEWDE PERSONEN BIJLAGE E - DNB EISEN IMAP APPLICATIEPAKKET

5 SAMENVATTING De nieuwe Europese wetgeving Solvency II (hierna SII) is per 1 januari 2016 een feit. SII schrijft richtlijnen voor aan verzekeraars om de solvabiliteit te beoordelen, risico s inzichtelijk te maken en te beheersen en om hierover te rapporteren aan de toezichthouder. SII stelt verder specifieke eisen aan de kwaliteit van de data die gebruikt wordt voor de berekening van de technische voorzieningen en schrijft voor dat de data geschikt, volledig en juist moet zijn om aan de kwaliteitseisen te voldoen. SII stelt dezelfde datakwaliteitseisen aan het interne model, standaardmodel en externe rapportages. Als de kwaliteit van de data niet aan deze criteria voldoet dan voldoet de berekening van de technische voorziening ook niet. Maar wat zijn nu de effecten van SII op de interne (data)beheersing van verzekeraars en aan welke eisen moet de interne (data)beheersing van verzekeraars voldoen om de interne audit functie (IAF) in staat te stellen een oordeel te geven over de datakwaliteit? Dit onderzoek beantwoordt deze vragen. Het onderzoek geeft verzekeraars inzicht in de SII datakwaliteitseisen, in de vorm van een concreet toepasbaar beheersraamwerk. Door de beoordelingscriteria uit het beheersraamwerk verder te operationaliseren kunnen verzekeraars een organisatie specifiek normenkader ontwerpen dat als basis kan dienen voor de IAF om een oordeel te geven over de datakwaliteit. De IAF beoordeelt vanuit haar derdelijns functie de effectiviteit van het systeem van interne beheersing, inclusief de governance en rapporteert hierover aan het bestuur. SII vereist specifiek dat de IAF een data-audit uitvoert op de kwaliteitsaspecten geschiktheid, volledigheid en juistheid. SII benadrukt dat de actuaris ook een belangrijke rol speelt bij het beoordelen van de datakwaliteit, maar deze heeft de vorm van een 'assessment' in plaats van een onafhankelijke audit. Verzekeraars die het interne model hanteren, moeten als onderdeel van het Internal Model Approval Process (IMAP) hun interne model laten goedkeuren door DNB en hiermee aantonen dat ze voldoen aan de SII eisen. Het management is verantwoordelijk om vast te stellen dat de aanvraag voor goedkeuring van het interne model voldoet aan de SII eisen, maar dient zijn opinie te baseren op het oordeel van de IAF. SII is een principle based en risicogebaseerde richtlijn. Dit betekent dat verzekeraars zelf een praktische invulling moeten geven aan de principes van deze richtlijn, rekening houdend met het risicoprofiel van de organisatie. Dit betekent dat er geen harde regels zijn waaraan het beheersraamwerk moet voldoen en verzekeraars op basis van de gedefinieerde SII principes zelf invulling aan deze eisen kunnen geven. 5

6 De SII regelgeving wordt in Nederland uiteindelijk opgenomen in de Wet op het financieel toezicht (Wft). Interne beheersing is een belangrijk onderdeel van de Wft. De Wft eist dat verzekeraars zorgen voor een beheerste bedrijfsvoering. Middels de jaarrekening en de Wft-staten leggen verzekeraars verantwoording af aan DNB, die op haar beurt het prudentieel toezicht uitvoert. De externe accountant toetst de betrouwbaarheid van deze rapportages als onderdeel van de wettelijke controle. Een effectief stelsel van interne beheersmaatregelen is hierbij essentieel zodat wordt geborgd dat deze verantwoordingsrapportages betrouwbaar tot stand zijn gekomen. De Wft is net als de SII regelgeving gebaseerd op principes en schrijft niet voor hoe verzekeraars hun interne beheersing moeten inrichten. Interne beheersing is breder dan databeheersing omdat het uitgaat van het bereiken van de bedrijfsdoelstellingen met betrekking tot de dagelijkse operaties, verslaggeving en compliance. Databeheersing onder SII gaat specifiek in op het borgen dat de data die wordt gebruikt voor het berekenen van de technische voorzieningen en de kapitaalsvereisten voldoet aan de kwaliteitscriteria geschiktheid, volledigheid en juistheid. Databeheersing is dus onderdeel van interne beheersing. Interne beheersing is volgens de SII richtlijn met name gebaseerd op het COSO raamwerk, wat meer een denkmodel is dan een normenkader. COSO geeft geen gedetailleerd normenkader voor databeheersing en dient daarom uitgebreid te worden met specifieke normen voor databeheersing. In het theoretisch kader van dit onderzoek zijn een aantal normenkaders onderzocht die specifiek ingaan op interne (data)beheersing. Op basis van vooronderzoek en gesprekken met deskundigen zijn de volgende normenkaders geselecteerd voor nader onderzoek: COBIT 5 (Information Systems Audit and Control Association (ISACA), 2012); A Framework for Analysis of Data Quality Research (Wang, 1995); en Financial Services Authority (FSA) - External review scoping tool (FSA, 2011). Door integratie van de behandelde normenkaders is er een geïntegreerd concept beheersraamwerk voor datakwaliteit ontwikkeld. In het praktijkonderzoek is het ontwikkelde concept beheersraamwerk gevalideerd door een expertgroep van 5 deskundigen werkzaam bij ING Insurance en Nationale Nederlanden. Ze hebben uitgebreide kennis en ervaring op het gebied van SII, datakwaliteitsmanagement en risicomanagement in de verzekeringssector. Uit het praktijkonderzoek is naar voren gekomen dat het concept beheersraamwerk een goede opzet en structuur heeft en daarnaast prettig leesbaar is. Inhoudelijk ontbraken nog eisen die niet tijdens het literatuuronderzoek zijn geïdentificeerd. Deze tekortkomingen zijn geanalyseerd en het effect op het concept beheersraamwerk is beoordeeld. Dit heeft geresulteerd in een aangepast beheersraamwerk. Met dit concreet en toepasbaar beheersraamwerk kunnen verzekeraars beter inzicht krijgen in de datakwaliteitseisen van SII. 6

7 1 INTRODUCTIE 1.1 ACHTERGROND Data is een belangrijk bezit voor organisaties. Goede kwaliteit van data vormt de basis voor betrouwbare rapportages. Deze rapportages zijn niet alleen belangrijk voor het maken van managementbeslissingen, maar dienen ook als verantwoording naar diverse stakeholders, waaronder toezichthouders zoals De Nederlandsche Bank (DNB). DNB heeft aangekondigd dat SII en de betrouwbaarheid van de aangeleverde rapportages belangrijke kernthema s zijn voor het toezicht over 2013 (DNB, 2013a). Na eerder uitstel van SII, heeft de Europese Commissie op 2 oktober 2013 besloten de invoeringsdatum van SII voor de laatste maal uit te stellen tot 1 januari Hiermee is de invoering van SII een feit, wat de nodige uitdagingen oplevert voor verzekeraars. SII schrijft richtlijnen voor aan verzekeraars om de solvabiliteit te beoordelen, risico s inzichtelijk te maken en te beheersen en hierover te rapporteren aan de toezichthouder. De kapitaalberekeningen die hierbij horen kunnen op basis van een standaardmodel of (partieel) intern model worden uitgevoerd. Deze modellen moeten worden gevoed met verschillende soorten data, waaronder bijvoorbeeld polisdata uit verzekeringstechnische administraties. Met behulp van deze modellen kunnen diverse scenarioberekeningen worden gemodelleerd en kan de financiële omvang van risico s worden bepaald. Hiermee kan het kapitaal worden berekend dat de verzekeraar dient aan te houden om deze risico s af te dekken. SII stelt eisen aan de kwaliteit van de data die gebruikt wordt voor de berekening van de technische voorzieningen en schrijft voor dat de data geschikt, volledig en juist moet zijn om aan de kwaliteitseisen te voldoen. SII stelt dezelfde datakwaliteitseisen aan data die wordt gebruikt in het interne model, standaardmodel en de externe rapportages. Als de kwaliteit van de data niet aan de gestelde criteria voldoet, dan voldoet de berekening van de technische voorziening ook niet. SII eist daarom dat de datakwaliteit wordt beoordeeld en het management geïnformeerd wordt over de uitkomsten van deze beoordeling. SII ziet hier een belangrijke rol voor de interne audit functie (IAF), die de datakwaliteit moet auditen op de kwaliteitsaspecten geschiktheid, volledigheid en juistheid. Onder Solvency I is deze rol voor de IAF niet expliciet benoemd. Verzekeraars zijn momenteel bezig met de implementatie van SII en als onderdeel hiervan staat datakwaliteit hoog op de agenda. De implementatie is geen gemakkelijke opgave omdat SII strenge eisen stelt aan de interne (data)beheersing, maar beperkte handvatten biedt om aan deze eisen te voldoen. Daarnaast loopt de verzekeringssector een jaar of tien achter op de technische ontwikkelingen op het gebied van datakwaliteit 7

8 en wordt de implementatie hiervan (mede) door het gebruik van legacy systemen vertraagd. Voor de IAF zijn er ook de nodige uitdagingen. Zo zal de interne auditor onder SII moeten rapporteren over datakwaliteit en expliciet kijken naar verschillende interne en externe datastromen, datadefinities en dataverrijkingen en tekortkomingen hierin moeten kunnen identificeren. De interne auditor zal systeem- en gegevensgerichte werkzaamheden moeten uitvoeren om uiteindelijk tot een oordeel te komen over de geschiktheid, volledigheid en juistheid van de data die is gebruikt voor het berekende risicokapitaal. Hierbij is het belangrijk dat de interne auditor over heldere beoordelingscriteria beschikt om tot een oordeel te komen. 1.2 DOELSTELLING Dit onderzoek geeft verzekeraars inzicht in de SII datakwaliteitseisen, in de vorm van een concreet toepasbaar beheersraamwerk. Dit beheersraamwerk kan als basis dienen om een organisatie specifiek beheersraamwerk te ontwerpen of om de kwaliteit van een bestaand beheersraamwerk te toetsen, opdat de IAF in staat is een oordeel te geven over de datakwaliteit. 1.3 ONDERZOEKSVRAGEN Wat zijn de effecten van Solvency II op de interne (data)beheersing van verzekeraars en aan welke eisen moet de interne (data)beheersing van verzekeraars voldoen om de interne audit functie in staat te stellen een oordeel te geven over de datakwaliteit? Deelvragen: 1. Wat is Solvency II en welke betekenis heeft datakwaliteit binnen Solvency II? 2. Welke eisen stelt Solvency II aan de databeheersing van verzekeraars? 3. Wat is de rol van de interne audit functie bij het beoordelen van datakwaliteit? 4. Wat is interne beheersing en welke aspecten van interne beheersing zien we terug binnen de Wet op het financieel toezicht (Wft)? 5. Uit welke bouwstenen en eigenschappen moet een beheersraamwerk bestaan om aan de datakwaliteitseisen van Solvency II te kunnen voldoen? 8

9 1.4 SCOPE De scope van databeheersing in dit onderzoek richt zich primair op de SII kwaliteitscriteria geschiktheid, volledigheid en juistheid. SII stelt naast kwaliteitscriteria voor databeheersing ook kwaliteitscriteria voor ITbeheersing, waaronder bijvoorbeeld beschikbaarheid, toegankelijkheid en vertrouwelijkheid. De generieke IT maatregelen die zich richten op deze kwaliteitscriteria dragen bij aan een goede datakwaliteit en zijn zelfs randvoorwaardelijk voor goede databeheersing. Omdat er reeds veel onderzoek is uitgevoerd naar generieke ITmaatregelen in de financiële sector is dit onderdeel niet meegenomen in de scope van dit referaat. Tevens wordt er niet ingegaan op data-architectuur, metadatamanagement, data privacy & security en dataretentie & archivering. 1.5 ONDERZOEKSAANPAK Voor dit onderzoek is gebruik gemaakt van de onderzoeksmethodologie van Verschuren en Doorewaard (Verschuren, 2007). Het onderzoek is een combinatie tussen theorie- en praktijkgericht onderzoek, waarbij het accent ligt op theorieontwikkeling. Verschuren en Doorewaard (2007) maken onderscheid tussen het conceptueel ontwerp en het technisch ontwerp van een onderzoek. In het conceptueel ontwerp wordt aangegeven wat en waarom moet worden onderzocht. Het beschrijft o.a. de doelstelling, het onderzoeksmodel en de vraagstelling. In het technisch ontwerp wordt aangegeven hoe, waar en wanneer je gaat onderzoeken. Hierin wordt beschreven op welke wijze gegevens worden verzameld en welke gegevensbronnen (personen, documenten, etc.) worden gebruikt en hoe deze ontsloten kunnen worden (vb. interview, observatie, enquête, documentanalyse/ inhoudsanalyse etc.). Hieronder wordt ingegaan op het conceptueel en technisch ontwerp van dit referaat. De doelstelling van dit onderzoek en de onderzoeksvragen zijn in paragraaf 1.3. beschreven. Het onderzoeksmodel is opgenomen in figuur

10 Onderzoeksoptiek Literatuur Solvency II Datamanagement Interne (data) beheersing Vooronderzoek Effecten van Solvency II op de datakwaliteit. Eisen waaraan de interne (data)beheersing moet voldoen. Interne (data)beheersing bij verzekeraars Analyse Analyse van de resultaten. Doelstelling Inzicht geven in de SII datakwaliteitseisen, in de vorm van een concreet toepasbaar beheersraamwerk, opdat de IAF in staat is een oordeel te geven over de datakwaliteit. Gesprekken met deskundigen Onderzoeksobject = vergelijking Figuur 1.1. Onderzoeksmodel Literatuurstudie Het theoretisch gedeelte van het onderzoek is gebaseerd op gesprekken met deskundigen (vooronderzoek) en op bestudering van literatuur op het gebied van SII, datamanagement en interne (data)beheersing. Voor elke onderzoeksvraag is gezocht naar relevante literatuur, voornamelijk via internet en de (online)universiteitsbibliotheek. De literatuurlijst is opgenomen in bijlage A. Het resultaat van de literatuurstudie levert een beschrijving op van de belangrijkste effecten van SII op de datakwaliteit van verzekeraars en een set van eisen waaraan de interne (data)beheersing van verzekeraars moet voldoen (een concept beheersraamwerk). In bijlage D is een lijst opgenomen met personen die zijn geïnterviewd tijdens het vooronderzoek. Praktijkonderzoek Er zijn diepte-interviews gehouden met deskundigen op het gebied van SII, datamanagement en risicomanagement bij verzekeraars. De eisen die uit het literatuuronderzoek naar voren zijn gekomen zijn gevalideerd door de deskundigen en hun commentaar is geïnventariseerd. In bijlage D is een lijst opgenomen met personen die zijn geïnterviewd tijdens het praktijkonderzoek. Analyse resultaten De resultaten uit theorie en praktijk zijn onderling vergeleken om tot een opsomming te komen van belangrijkste effecten van SII op de interne (data)beheersing van verzekeraars en de eisen die aan de interne (data)beheersing 10

11 van verzekeraars gesteld worden om de interne audit functie in staat te stellen een oordeel te geven over de datakwaliteit. Gebruikte methoden: In dit onderzoek is gebruik gemaakt van literatuuronderzoek en diepte-interviews. Gebruikte bronnen: Voor de validatie van de eisen in het concept beheersraamwerk is gebruik gemaakt van gespreksverslagen en de inhoudelijke schriftelijke opmerkingen van de deskundigen. Geïnterviewde personen: Bij de diepte-interviews is gesproken met specialisten op het gebied van SII, datamanagement en risicomanagement bij verzekeraars. In bijlage D is een lijst opgenomen met de geïnterviewde personen. 1.6 LEESWIJZER In hoofdstuk 2 paragraaf 2.1.en 2.2. is uitgelegd wat SII behelst en welke betekenis datakwaliteit heeft binnen SII. In deze paragraaf is onderzoeksvraag 1 beantwoord. Verder is in paragraaf 2.3. beschreven welke eisen SII stelt aan de databeheersing van verzekeraars. Er is specifiek ingegaan op de SII eisen zoals beschreven in Article 86f Standards for Data Quality, voorheen bekend onder de naam consultation paper 43. Er is daarnaast uitgelegd wat de betekenis is van data en databeheersing. In deze paragraaf is onderzoeksvraag 2 beantwoord. Vervolgens is in paragraaf 2.4. uitgelegd wat de rol van de interne audit functie is bij het beoordelen van datakwaliteit. Hierbij is o.a. ingegaan op de SII richtlijn rondom governance. In deze paragraaf is onderzoeksvraag 3 beantwoord. In hoofdstuk 3 is ingegaan op het begrip interne beheersing. Eerst is uitgelegd wat de wetgever in de Wet op het financieel toezicht (Wft) heeft opgenomen over interne beheersing. Vervolgens is ingegaan op de betekenis van interne beheersing onder SII en het COSO Internal Control Framework, dat een internationaal raamwerk is voor interne beheersing en door veel verzekeraars wordt gebruikt. In dit hoofdstuk is onderzoeksvraag 4 beantwoord. 11

12 In hoofdstuk 4 paragraaf 4.1. t/m 4.5. is een aantal normenkaders dat specifiek ingaat op interne (data)beheersing onderzocht. Het doel hiervan is om te komen tot een set van belangrijkste bouwstenen en eigenschappen waaruit een beheersraamwerk moet bestaan om aan de datakwaliteitseisen van SII te kunnen voldoen. De volgende normenkaders komen aan bod: COBIT 5 (ISACA, 2012), Financial Services Authority - External review scoping tool (FSA, 2011) en A Framework for Analysis of Data Quality Research (Wang, 1995). Door integratie van de behandelde normenkaders is een geïntegreerd concept beheersraamwerk voor datakwaliteit ontwikkeld. In hoofdstuk 5 is het praktijkgedeelte van het onderzoek behandeld. Ter objectivering van het ontwikkelde concept beheersraamwerk is deze voorgelegd aan een expertgroep van 5 personen met specialisatie op het gebied van SII, datakwaliteitsmanagement en risicomanagement in de verzekeringssector. Er is uitgelegd hoe tot objectivering is gekomen van het ontwikkelde beheersraamwerk. Verder is nader ingegaan op de aanpak van de validatie, de deskundigen die de validatie hebben uitgevoerd en hun bevindingen. In hoofdstuk 6 zijn de resultaten uit het theoretisch kader geconfronteerd met de resultaten uit het praktijkonderzoek. Er is geanalyseerd wat de effecten van de bevindingen van de deskundigen uit de expertgroep zijn op het voorgelegde concept beheersraamwerk. Deze analyse resulteert vervolgens in een definitieve versie van het beheersraamwerk. In dit definitieve beheersraamwerk zijn de aanpassingen verwerkt die naar aanleiding van de validatie door de expertgroep naar voren zijn gekomen. In dit hoofdstuk is onderzoeksvraag 5 beantwoord. In hoofdstuk 7 zijn conclusies getrokken, aanbevelingen gedaan en voorstellen voor vervolgonderzoek gedaan. De hoofdstukindeling is in figuur 1.2. schematisch weergeven. 12

13 H1. Introductie H2. Theoretisch kader Solvency II H3. Theoretisch kader Interne beheersing H4. Theoretisch kader Beheersraamwerken H5. Praktijkonderzoek H6. Analyse theorie versus praktijk H7. Conclusie Figuur 1.2 Hoofdstukindeling 13

14 2 THEORETISCH KADER - SOLVENCY II In dit hoofdstuk wordt uitgelegd wat Solvency II (SII) behelst en welke betekenis datakwaliteit heeft binnen SII. Tevens wordt uitgelegd welke eisen SII stelt aan de datakwaliteit van verzekeraars en wat de rol is van de interne audit functie bij het beoordelen van datakwaliteit. 2.1 SOLVENCY II ACHTERGROND SII is een nieuwe Europese solvabiliteitsrichtlijn voor alle Europese verzekeraars en herverzekeraars, die per 1 januari 2016 van kracht wordt. Het doel van SII is om de financiële gezondheid van de verzekeringsmaatschappijen te garanderen en in het bijzonder om ervoor te zorgen dat ze moeilijke periodes kunnen overleven, zodoende klanten (polishouders) te beschermen en de stabiliteit van het financiële stelsel als geheel te beschermen. Het ministerie van Financiën is momenteel bezig om SII op te nemen in de Wet op het financieel toezicht (Wft), waarin het toezicht op de financiële sector is geregeld. SII stelt een nieuwe reeks kapitaalvereisten, waarderingsmethoden, governance en rapportagestandaarden om de bestaande en verouderde Solvency I eisen te vervangen. De nieuwe regelgeving is mede bedoeld om de regelgeving te harmoniseren in de EU, ter vervanging van het versnipperde systeem waarbij verschillende landen de Solvency I regels hebben geïmplementeerd op verschillende manieren. Alle Europese verzekeraars moeten nu dus een risico gewogen kapitaalberekening hanteren en hierover rapporteren aan stakeholders en toezichthouders. SII is een principle based en risicogebaseerde richtlijn. Dit betekent dat verzekeraars zelf praktische invulling moeten geven aan de principes van deze richtlijn, rekening houdend met het risicoprofiel van de organisatie. In tegenstelling tot rule based regelgeving die te allen tijde moet worden gevolgd en waar de nadruk ligt op het voldoen aan de regels. Het voordeel van rule based regelgeving is wel dat het meer houvast geeft, terwijl principle based regelgeving meer ruimte geeft voor interpretatie en arbitrage wat kan leiden tot misverstanden (Schilder, 2008). Dit laatste maakt een SII implementatie in de praktijk uitdagend. Voor SII biedt de principle based benadering uiteindelijk wel kansen omdat het organisaties stimuleert tot het nadenken over regels en de wijze waarop het voor de eigen organisatie geschikt gemaakt kan worden, terwijl bij rule based soms een "gemaakte realiteit" wordt gecreëerd die niet altijd past bij de werkelijkheid en specifieke kenmerken van de organisatie. 14

15 SII geldt tot slot voor alle Europese verzekeraars met verzekeringsverplichtingen groter dan EUR 25 mln. en minimaal EUR 5 mln. aan opbrengsten uit premies. Verzekeraars die een laag risicoprofiel hebben en producten en beleggingen hebben die minder complex zijn, komen in aanmerking voor een minder zware toepassing van SII. 2.2 SOLVENCY II PILAREN Net als in de Basel II regelgeving kent SII drie pilaren waarin de kwantitatieve eisen, kwalitatieve eisen en rapportagevereisten zijn gedefinieerd (Franssen, 2011). Hieronder worden deze pilaren kort toegelicht. Pilaar 1: Kwantitatieve eisen; Pilaar 2: Kwalitatieve eisen en toezichtsprocessen; Pilaar 3: Marktdiscipline. SOLVENCY II Verzekeringsrisico Marktrisico Kredietrisico Pillar 1 Kwantitatieve eisen Technische voorzieningen Minimale kapitaaleisen (MCR) Solvency kapitaaleisen (SCR) Pillar 2 Kwalitatieve eisen & toezichtsprocessen Risicomanagement & Governance ORSA Toezichtseisen Pillar 3 Marktdiscipline Transparantie in de rapportage Publicatie eisen Operationeelrisico Modellering en validatie Data Bron Data Bron Verzameling & bewerking Calculatie door model Data governance & management Monitoren datakwaliteit Rapporteren BEDRIJFSPROCESSEN SYSTEMEN EN DATABASES IT INFRASTRUCTUUR Figuur 2.1: Solvency II pilaren Pilaar 1 15

16 Pilaar 1 van SII beschrijft de kwantitatieve kapitaaleisen voor berekening van technische voorzieningen en het bepalen van de Solvency Capital Requirement (SCR) en de Minimum Capital Requirement (MCR). De technische voorziening is het vermogen dat een verzekeraar naar verwachting nodig heeft om alle lopende verzekeringsverplichtingen te kunnen dekken. De waardering van de technische voorzieningen vindt onder SII plaats op marktwaarde, terwijl verzekeringsverplichtingen op dit moment onder Solvency I worden gewaardeerd op boekwaarde (Plat, 2010). Deze technische voorziening bestaat uit een best estimate berekening van de verplichtingen en een aanvullende risicomarge. De best estimate wordt berekend als de contante waarde van de toekomstige kasstromen. De risicomarge bestaat uit de kapitaalkosten om het verplichte kapitaal (SCR) aan te houden voor onafdekbare risico s. SII stelt daarom dat de data geschikt, volledig en juist moet zijn. In figuur 2.2 is de SII balans schematisch toegelicht. Beschikbaar kapitaal MCR SCR Bezittingen Risicomarge Bezittingen ter dekking van technische voorzieningen Best estimate Technische voorzieningen Figuur 2.2: Solvency II balans De SCR is het kapitaal dat moet worden aangehouden om ervoor te zorgen dat de verzekeraars de komende 12 maanden aan hun verplichtingen kunnen voldoen en hun risico s kunnen afdekken met een zekerheid van 99,5%. Deze risico s zijn te classificeren in de categorieën: marktrisico, tegenpartijrisico, verzekeringstechnisch risico (leven, schade en zorg) en operationeel risico. De SCR berekeningen kunnen op basis van een standaardmodel of intern model worden uitgevoerd. Het gebruik van een intern model dient wel voorafgaand goedgekeurd te worden door DNB. De MCR is de minimum kapitaaleis en is de drempel waaronder DNB zal ingrijpen, wanneer dat gebeurt, kan een verzekeraar zijn vergunning kwijtraken. Datakwaliteit speelt een belangrijke rol in pilaar 1 omdat de data die gebruikt wordt bij de berekeningen direct van invloed is op de uitkomst van de berekeningen. In figuur 2.1 is te zien dat data uit verschillende bronsystemen wordt ontsloten, verzameld en bewerkt om uiteindelijk risicoberekeningen te maken. Het ontsluiten van data 16

17 gebeurt in de praktijk veelal via ETL-processen (Extract, Transform, Load) waarna de data centraal wordt opgeslagen en geordend in een datawarehouse. In dit hele proces moet er geborgd worden dat de data geschikt, volledig en juist is. Zo mogen er bijvoorbeeld geen invoerfouten zitten in de verzekeringstechnische administraties (juistheid), mag er niets verloren gaan tijdens opslag, verwerking en berekening van de kapitaalsvereisten door het model (volledigheid) en moet alle data passend zijn voor het beoogd gebruik door het model (geschiktheid). Het continu monitoren van dit proces en het rapporteren hierover moet zekerheid geven of er aan de datakwaliteitseisen wordt voldaan. In hoofdstuk 2.3. wordt verder ingegaan op de datakwaliteitseisen. Pilaar 2 Pilaar 2 beschrijft de eisen voor de organisatie inrichting van verzekeraars. Dit betekent dat verzekeraars een goede governance structuur moeten hebben en een adequaat systeem van interne (risico)beheersing. Verzekeraars moeten over een adequate transparante organisatiestructuur beschikken met een duidelijke verdeling van bevoegdheden en correcte scheiding van verantwoordelijkheden. Er gelden daarnaast eisen voor bestuurders en overige personen op sleutelfuncties. Deze eisen houden in dat personen over adequate professionele kwalificaties, kennis en ervaring dienen te beschikken om goed, passend en prudent management uit te kunnen oefenen. Deze personen moeten daarnaast een goede reputatie en persoonsintegriteit bezitten. Verzekeraars zijn verplicht de volgende functies in te richten: Risicomanagement; Compliance; Actuariaat; Interne audit functie. De risicomanagementfunctie heeft als taak het vormgeven en onderhouden van en toezicht houden op het risicomanagement binnen de verzekeraar. Kijken we naar de compliance functie dan zien we dat deze zich bezighoudt met alle wet- en regelgeving waaraan verzekeraars zich dienen te houden om de integriteit en reputatie van de organisatie te kunnen beschermen. De actuariële functie heeft een belangrijke rol bij het borgen van datakwaliteit. De actuariële functie beoordeelt de betrouwbaarheid en juistheid van de berekening van de technische voorziening en dient het management te informeren indien er zorgen zijn over de toereikendheid van de voorziening. Verder dient de actuariële functie de bruikbaarheid van de data te beoordelen en datawijzigingen door te voeren indien nodig. De actuariële functie voert geen audit uit op de data en beschouwt deze in de basis als een gegeven. SII ziet hier voor de interne audit functie (IAF) een belangrijke onafhankelijke toetsende rol (EIOPA, 2009c). De rol van de IAF wordt in hoofdstuk 2.4 verder toegelicht. 17

18 Verder dienen verzekeraars een Own Risk and Solvency Assessment (ORSA) uit te voeren. Tijdens de ORSA worden risico s geïdentificeerd, geëvalueerd, gemonitord en gerapporteerd. Het bijzondere van de ORSA is dat deze assessment met een relatief grote tijdshorizon (3-5 jaar) vooruit kijkt naar risico s die in de toekomst de solvabiliteit kunnen beïnvloeden. Voor deze risico s wordt het benodigde SCR en MCR kapitaal aangehouden. Kijken we naar datakwaliteit in pilaar 2 dan zien we dat data governance en databeheersing een belangrijke rol spelen. Goede data governance is nodig om rollen en verantwoordelijkheden ten aanzien van datakwaliteit te definiëren. Het systeem van databeheersing moet zorgen voor beleid en procedures voor datakwaliteit, het toezien op de naleving hiervan en het continu monitoren van dit proces (EIOPA, 2009d). Verder wordt er in pilaar 2 specifiek aangegeven dat er maatregelen moeten zijn getroffen om de beveiliging, integriteit en vertrouwelijkheid van data te waarborgen (EIOPA, 2009c). In hoofdstuk 2.3. wordt uitgebreider ingegaan op het systeem van databeheersing. Pilaar 3 Pilaar 3 is de rapportagecomponent en omvat de eisen ten aanzien van te publiceren informatie. Het is de communicatie naar de toezichthouder, aandeelhouders, investeerders en andere stakeholders. Er is door SII een rapportage voor het publiek gedefinieerd (Solvency and Financial Condition Report SFCR) en een meer gedetailleerde rapportage voor de toezichthouder (Report to Supervisor RTS). De SFCR en RTS vormen het sluitstuk van het SII rapportageproces en ook hier geldt dat goede kwaliteit van data de basis vormt voor betrouwbare rapportages. Deze nieuwe rapportages zullen uiteindelijk de (huidige) Wft-staten die onder Solvency I gebruikt worden uitbreiden en vervangen. Ook in pilaar 3 speelt datakwaliteit als sluitstuk van het rapportageproces een belangrijke rol. Om betrouwbare rapportages te kunnen opleveren dienen alle voorgaande stappen in pilaar 1 en 2 op een beheerste wijze te hebben plaatsgevonden. Datakwaliteitsrapportages die voortkomen uit het monitoringsproces moeten een bijdrage leveren aan het verkrijgen van zekerheid dat de datakwaliteit geborgd is en dat hiermee de rapportages daadwerkelijk betrouwbaar tot stand zijn gekomen. 2.3 SOLVENCY II EN DATAKWALITEIT In deze paragraaf wordt uitgelegd welke eisen SII stelt aan de datakwaliteit van verzekeraars. Er wordt ingegaan op de eisen zoals beschreven in Article 86f Standards for Data Quality (EIOPA, 2009a), ook wel bekend onder 18

19 de naam former consultation paper Verder wordt stilgestaan bij het datakwaliteitssysteem en de eisen die hieraan gesteld worden vanuit SII Criteria datakwaliteit Om te begrijpen wat wordt verstaan onder datakwaliteit kijken we eerst wat er wordt verstaan onder data en databeheersing. De European Insurance and Occupational Pensions Authority (EIOPA, 2009a) hanteert de volgende definitie van data: Data refers to all the information which is directly or indirectly needed in order to carry out a valuation of technical provisions. Data omvat daarmee alle informatie die nodig is om een goede schatting te kunnen maken van de technische voorzieningen. SII eist dat verzekeraars interne processen en procedures hebben die ervoor zorgen dat de data die wordt gebruikt in de berekening van hun technische voorzieningen appropriate (geschikt), complete (volledig) en accurate (juist) is. Databeheersing is de mate waarin informatie die gebruikt wordt voor het bepalen van de technische voorzieningen aan de kwaliteitscriteria geschiktheid, volledigheid en juistheid voldoet. Hoewel artikel 86f is geschreven voor technische voorzieningen wordt door de toezichthouders aanbevolen om het artikel toe te passen op alle kwantitatieve eisen in heel pilaar 1. Verder zijn de datakwaliteitseisen van SII niet alleen van toepassing op technische voorzieningen, maar tevens op alle data die gebruikt wordt voor het interne model, standaardmodel en de externe rapportages. Hieronder wordt kort ingegaan op de kwaliteitscriteria. Appropriateness Data is considered to be appropriate if it is suitable for the intended purpose. Om geschikt te zijn voor het schatten van de technische voorzieningen, dient de data representatief te zijn voor de hele portefeuille van verplichtingen en dient het passend te zijn om gebruikt te worden voor schatting van de 1 Naast artikel 86f zijn er specifieke eisen beschreven voor data die wordt gebruikt door het interne model. Deze eisen staan beschreven in Articles 120 to 126, Tests and Standards for Internal Model Approval (EIOPA, 2009d), ook bekend onder former consultation paper 56. Daarnaast zijn er specifiek eisen opgenomen voor de data die gebruikt wordt om specifiek parameters in de standaard formule te kalibreren. Deze eisen staan beschreven in SCR standard formula, Article 111 j, k, undertaking-specific parameters (EIOPA, 2009e), tevens bekend onder former consultation paper

20 toekomstige kasstromen. Zo is de data die geschikt is voor het inschatten van potentiële verzekeringsclaims voor brandverzekeringen bijvoorbeeld niet geschikt voor levensverzekeringen en vice versa. Completeness Data is considered to be complete if it allows for the recognition of all the main homogeneous risk groups within the insurance or reinsurance portfolio. Data wordt als volledig beschouwd wanneer het van voldoende detailniveau is om trends te identificeren en het gedrag van risico's in te schatten. Bovendien wordt informatie als volledig beschouwd als voldoende historische informatie beschikbaar is en de informatie materieel is voor de verzekeraar. EIOPA (2009b) definieert een homogene risicogroep als een set van (her)verzekeringsverplichtingen die samen worden beheerd en die dezelfde risicokenmerken hebben in termen van bijvoorbeeld het acceptatiebeleid, risicoprofiel van polishouders, verwacht gedrag van polishouders, productkenmerken (waaronder garanties) en kostenstructuur. De risico's in elke groep moeten voldoende vergelijkbaar zijn om een betrouwbare schatting van de technische voorzieningen te kunnen maken. Een verzekeraar kan deze homogene groepen bijvoorbeeld als volgt indelen: individuele verzekeringen versus collectieve verzekeringen, verzekeringen in geld versus beleggingsverzekeringen, beleggingsverzekeringen met garanties versus zonder garanties, etc. Accuracy Data is considered to be accurate if it is free from material mistakes, errors and omissions. Volgens SII worden veel fouten en omissies veroorzaakt door menselijke fouten of IT falen en is er een directe relatie met operationele risico's die zich door ineffectieve werking van systemen en processen kunnen manifesteren. Een ander oorzaak van fouten en omissies kan voortkomen uit zwakheden in de systeemarchitectuur zoals het gebruik van verschillende en soms verouderde datasystemen waarvan de interfaces niet geautomatiseerd zijn. Verder vormt uitbesteding van bepaalde bedrijfsprocessen ook een risico omdat de verzekeraar dan geen 'control' meer heeft over de dataverzameling omdat deze door derde partijen wordt uitgevoerd. Data wordt als 'juist' beschouwd als de registratie van data juist en tijdig plaatsvindt en dit consistent gebeurt. Dit is niet altijd even makkelijk, zo is het opnemen van een datum van een latente verzekeringsclaim erg lastig omdat de claim feitelijk nog niet bestaat en het toch vrijwel zeker is dat de claim zich zal voordoen in de toekomst. Hierbij is het belangrijk dat de verzekeraar een helder en eenduidig beleid heeft geformuleerd waarin staat hoe op een consistente wijze om te gaan met deze situaties. 20

21 2.3.2 Systeem van databeheersing Volgens artikel 86f (EIOPA, 2009a) moeten verzekeraars periodiek de datakwaliteit beoordelen en monitoren op de kwaliteitsaspecten geschiktheid, volledigheid en juistheid. De aspecten volledigheid en juistheid moeten minimaal op portefeuilleniveau worden beoordeeld en individuele onderdelen kunnen eventueel op meer gedetailleerd niveau worden beoordeeld. Het aspect nauwkeurigheid moet altijd worden beoordeeld op individueel niveau. Om periodiek de datakwaliteit te kunnen beoordelen en monitoren moeten verzekeraars over een goed datakwaliteitssysteem beschikken. Goed datakwaliteitsmanagement is een continu proces dat volgens artikel 86f bestaat uit de volgende stappen: Definiëren van data; Beoordelen van datakwaliteit; Oplossen van geïdentificeerde problemen; Monitoren van datakwaliteit. Definiëren van data Dit omvat het identificeren van de databehoeften, een gedetailleerde beschrijving van de elementen die moeten worden verzameld en eventuele relaties tussen de verschillende elementen. Artikel 86f (EIOPA, 2009a) beschrijft nog specifiek dat bij het verzamelen, opslaan en verwerken van data het belangrijk is dat alle data geregistreerd en onderhouden wordt. De verzamelde data moet van voldoende detailniveau zijn en alle aanpassingen op deze data dienen gedocumenteerd te worden samen met een onderbouwing. In het bijzonder geldt dit voor gecorrigeerde datafouten en omissies. Beoordelen van datakwaliteit Het beoordelen van de kwaliteit van data houdt in het verifiëren van de kwaliteitscriteria geschiktheid, volledigheid en juistheid om betrouwbare schattingen van de technische voorzieningen te kunnen maken. Oplossen van geïdentificeerde problemen Als tijdens de verificatie van de kwaliteitscriteria materiële problemen zijn geïdentificeerd, moet de verzekeraar proberen om ze op te lossen binnen een passend tijdsbestek. Daarnaast moeten de interne processen die betrekking hebben op het verzamelen en opslaan van data aangescherpt worden om toekomstige tekortkomingen te voorkomen. Monitoren van datakwaliteit 21

22 De kwaliteit van de data dient actief gemonitord te worden. Het monitoren kan plaatsvinden door het meten van de gedefinieerde datakwaliteitsindicatoren, maar ook door het meten van de performance van de IT systemen tijdens het verzamelen, opslaan, verzenden en verwerken van data. Bij het beoordelen van de resultaten van de meting dient gebruik te worden gemaakt van een deskundige die de resultaten goed kan interpreteren en analyseren, bijvoorbeeld een actuaris. 2.4 ROL INTERNE AUDIT FUNCTIE De IAF beoordeelt vanuit haar derdelijns functie de effectiviteit van het systeem van interne beheersing, inclusief de governance en rapporteert hierover aan het bestuur (EIOPA 2009c). SII vereist specifiek dat de IAF een data audit uitvoert op de kwaliteitsaspecten geschiktheid, volledigheid en juistheid van data. In artikel (EIOPA, 2009c) staat expliciet de rol van de IAF bij de audit op datakwaliteit: While assessing the sufficiency and quality of the data under Article 48(1)(c), the actuarial function should have regard to the objectivity, reasonability and verifiability of management actions included in the calculation of technical provisions. It should also assess whether information technology systems used in actuarial procedures sufficiently support these procedures. However, data auditing is a task that should be performed not by the actuarial function but by the internal audit function. Hier wordt expliciet gemaakt dat de IAF verantwoordelijk is voor het auditen van de data en niet de actuaris. De actuaris heeft ook een belangrijke rol bij het beoordelen van de datakwaliteit (art ), maar deze heeft de vorm van een 'assessment' in plaats van een onafhankelijke audit. In de praktijk beoordeelt het direct verantwoordelijk management uit de 1e lijn, hierbij ondersteund door de actuariële functie uit de 2e lijn, of de datakwaliteit voldoet aan de eisen van SII. De IAF toetst vervolgens vanuit de 3e lijn of het direct verantwoordelijk management en de actuariële functie de datakwaliteit op een juiste wijze hebben beoordeeld en of het management adequaat opvolging heeft gegeven aan mogelijke tekortkomingen. Waar nodig voert de IAF dan nog aanvullende steekproeven uit of laat een deelwaarneming uitvoeren. In artikel (EIOPA, 2009c) staat de informatiebehoefte van het (hogere) management: The reliability of the calculation of the technical provisions depends on adequate and good quality data. Therefore, the assessment of the sufficiency and quality of the data used in the calculation is information that needs to be included when the administrative, management or supervisory body is informed of the reliability and adequacy of the calculation. 22

23 Hier wordt uitgelegd dat het management dient te worden geïnformeerd over de kwaliteit van de data. De actuariële functie informeert het management hierover (art ), maar de IAF heeft als onafhankelijk toetsend orgaan een belangrijke rol in het rapporteren van de auditresultaten aan het management. Hubers (2012) concludeert in zijn onderzoek naar de rol van de internal auditor bij SII dat deze onder SII een sleutelfunctionaris is geworden. Hij legt uit dat als wordt afgegaan op de beschrijving van de controles die de toezichthouder zal verrichten rondom het interne model (EIOPA, 2010), er diepgaander gecontroleerd wordt op zowel proces als inhoud. Dit betekent dat de internal auditor ook zowel proces en inhoud zal controleren om het systeem van interne beheersing (EIOPA 2009c) en de datakwaliteit te controleren (EIOPA 2009a). Verzekeraars, die het interne model hanteren, moeten als onderdeel van het Internal Model Approval Process (IMAP) hun interne model laten goedkeuren door DNB en hiermee aantonen dat ze voldoen aan de eisen die SII stelt aan het interne model. Onderdeel van deze goedkeuring is het indienen van een applicatiepakket voor het interne model waarvoor DNB een lijst met documentatie-eisen heeft opgesteld die zijn gebaseerd op SII eisen (DNB, 2011a). Het management is verantwoordelijk om vast te stellen dat de aanvraag voor goedkeuring van het interne model voldoet aan de SII eisen, maar dient zijn opinie te baseren op het oordeel van de IAF (DNB, 2011b). DNB eist dat het applicatiepakket voor het interne model voorzien wordt van een mededeling en management-letter van de IAF, in de vorm van een opdracht tot het verrichten van specifiek overeengekomen werkzaamheden. Er hoeft niet door de IAF vastgesteld te worden dat het interne model volledig compliant is aan SII, maar wel of alle documentatie die onderdeel is van het applicatiepakket juist is en of de gevraagde informatieverstrekking volledig is. Hiertoe beoordeelt de IAF de opzet, bestaan en werking van de interne beheersing rondom het interne model (DNB, 2011b). Hoofdstuk P van het applicatiepakket gaat over data en ICT. De eisen uit dit hoofdstuk zijn in bijlage E opgenomen. 23

24 3 THEORETISCH KADER INTERNE BEHEERSING In dit hoofdstuk wordt ingegaan op het begrip interne beheersing. Er wordt eerst behandeld wat de wetgever in de Wet op het financieel toezicht (Wft) heeft opgenomen over interne beheersing. Vervolgens wordt ingegaan op de betekenis van interne beheersing onder SII en het COSO Internal Control Framework, wat een internationaal raamwerk is voor interne beheersing en door veel verzekeraars wordt gebruikt. 3.1 BEHEERSTE BEDRIJFSVOERING - WFT In de Wet op het Financieel Toezicht (Wft) is het toezicht op de financiële sector geregeld. Alle verzekeraars in Nederland moeten aan de Wft voldoen. Het toezicht op de financiële sector wordt uitgeoefend door DNB (prudentieel toezicht) en de AFM (gedragstoezicht). De bepalingen uit de Wft zijn nader uitgewerkt in Algemene Maatregelen van Bestuur (AMvB s) en Koninklijke Besluiten. De SII regelgeving wordt momenteel opgenomen in de Wft. De Wft schrijft onder andere voor dat verzekeraars met een zetel in Nederland de bedrijfsvoering op een beheerste en integere wijze moeten uitvoeren. In het Besluit prudentiële regels Wft staat dat elke financiële instelling de bedrijfsprocessen adequaat moet beheersen, door identificatie van risico s en het treffen van mitigerende beheersmaatregelen (Bpr Wft H4). De Wft eist verder dat de beheerste bedrijfsvoering intern op een onafhankelijke wijze wordt getoetst, zodoende zekerheid te krijgen over de effectiviteit (Art. 17 Bpr Wft). Deze taak dient door de IAF uitgevoerd te worden (NBA, 2013). Deze Wft eisen komen overeen met de eisen zoals beschreven in pillar 2 van SII waarin de governance eisen staan beschreven. Verzekeraars dienen jaarlijks bij DNB een aantal voorgeschreven Wft-staten in te dienen. DNB heeft deze Wftstaten nodig voor het uitvoeren van prudentieel toezicht op de naleving van de Wft. DNB controleert de solvabiliteit en liquiditeit van verzekeraars aan de hand van de Wft-staten, met als doel de stabiliteit van de financiële sector in Nederland te bewaken. De te verstrekken Wft-staten omvatten een jaarrekening alsmede aanvullende financiële gegevens. Verzekeraar hebben de keuze om de staten op de verslaggevingsgrondslagen IFRS dan wel Titel 9 Boek 2 BW in te dienen. Het actuariële verslag en de toereikendheidstoets maken ook onderdeel uit van de Wft-staten en worden gewaarmerkt door de actuaris (Art. 3:73 Wft). Verzekeraars moesten 24

25 over het boekjaar 2011 rapporteren volgens de regels van SII 2 (DNB, 2013b). DNB heeft hier specifiek gekeken naar de kwaliteit en de beheersing van het proces, door het controleren of de juiste gegevens zijn ingeleverd en door de juistheid van de berekeningen te controleren. De Wft-staten moeten periodiek worden voorzien van een verklaring omtrent de getrouwheid, afgegeven door een externe accountant (art. 3:72 lid 7 Wft). De externe accountant voert een controle uit op de Wft-staten, waarbij zo veel mogelijk aansluiting wordt gehouden met de controle van de jaarrekening. Uit de opdracht tot controle van de jaarrekening komt de verplichting voor de externe accountant tot het rapporteren van zijn bevindingen over de kwaliteit en effectiviteit van het functioneren van de governance, het risicobeheer en de beheersprocessen. De toetsing en beoordeling van de Wft-staten richt zich voornamelijk op de beheersing van die risico s die een materiële invloed kunnen hebben op de financiële prestaties, financiële positie en continuïteit. Hierbij moet de externe accountant tevens voldoende oog hebben voor de beoordeling van de IT-risico's (NBA, 2013). De controle van de staten wordt voornamelijk systeemgericht uitgevoerd. Dit houdt in dat de externe accountant bij de beoordeling van de Wft-staten de beheersing rond de totstandkoming van de staten onderzoekt en de bevindingen rapporteert. De externe accountant steunt hierbij waar relevant op de werkzaamheden van de IAF (NBA, 2013). Tevens steunt de accountant op de actuaris die de toereikendheidstoets en de staten waarin actuariële beweringen staan controleert. De eisen uit de Wft zijn principle-based, dit betekent dat verzekeraars zelf mogen bepalen op welke wijze zij hun bedrijfsvoering beheersen. De wetgever schrijft hierbij niet voor hoe een instelling tot een beheerste bedrijfsvoering moet komen. DNB eist wel dat verzekeraars hun interne beheersing op een inzichtelijke wijze vastleggen zodat zij aantoonbaar in control zijn. Dit is tevens een belangrijke voorwaarde voor de IAF en de externe accountant om een beoordeling te kunnen uitvoeren. 3.2 COSO INTERNAL CONTROL FRAMEWORK Interne beheersing wordt volgens het COSO Integrated Framework (2013) gedefinieerd als een proces, uitgevoerd door de Raad van Bestuur, het management en ander personeel van een entiteit, bedoeld om met een redelijke mate van zekerheid de doelstellingen te bereiken met betrekking tot de dagelijkse operaties, verslaggeving en compliance. Hier zien we dat het begrip interne beheersing veel breder is dan het begrip databeheersing. In hoofdstuk 2.3. is uitgelegd dat databeheersing onder SII specifiek ingaat op het borgen dat de technische 2 Dit wordt door DNB ook wel de Parallel Run genoemd. In 2013 is er geen Parallel Run vanwege het uitstel van de invoering van Solvency II. 25