Continuous Monitoring for Solvency II

Transcriptie

1 40 Continuous Monitoring for Solvency II Een fata morgana of een realistische mogelijkheid? Drs. Jaap van Beek RE RA, Chris Hoffman RE RA en Ad Kok AAG Hon FIA Drs. J.J. van Beek RE RA is als partner werkzaam bij KPMG IT Advisory. Hij heeft meer dan twintig jaar ervaring in alle aspecten van het ITauditvakgebied, met een zwaartepunt op het beoordelen en adviseren over de geautomatiseerde informatievoorziening bij financiële instellingen en verzekeraars. In Nederland is hij trekker van de serviceline IT attestation (SAS70). Inmiddels is bekend dat ook de verzekeringssector in toenemende mate te maken heeft met verdergaande regulering. Solvency II, IFRS, MCEV en eisen van DNB beogen meer transparantie en een betere balans tussen risico s en winst maken. Het is uiteraard zaak om op een effectieve wijze compliant te worden met al die eisen. In dit artikel worden de knelpunten in de huidige situatie geanalyseerd en wordt de gewenste situatie op hoofdlijnen beschreven. Tot slot wordt een oplossingsrichting besproken waarbij IT en de IT-auditor een cruciale rol hebben. De kern van dit artikel ligt in het rapporteren van betrouwbare informatie in het vereiste tempo door gebruik te maken van cashflowvectoren. Inleiding C.F.J. Hoffman RE RA is als senior manager werkzaam bij KPMG IT Advisory. Hij heeft na vele jaren werkzaam te zijn geweest binnen Governance & Compliance zijn aandacht verlegd naar Performance & Technology met een specialisatie voor de IT-component binnen de financiële functie zoals grootboeken, consolidatiesystemen, datawarehouses en rapportagetooling. Daarnaast houdt hij zich bezig met Solvency II en de IT-ondersteuning hiervan. hoffman.chris@kpmg.nl A.A.M. Kok AAG Hon FIA is partner bij KPMG Risk & Compliance en verantwoordelijk voor actuariële dienstverlening binnen KPMG Nederland. Hij heeft brede ervaring in de Financial Services-sector ten aanzien van actuariële en strategische dienstverlening alsmede op het gebied van strategische implementatie van Solvency II. kok.ad@kpmg.nl Eén van de belangrijkste oorzaken van de huidige financiële crises is het beperkte inzicht van de markt in de wereldwijde balansrisico s van financiële instellingen zoals banken, verzekeraars en pensioenfondsen. Hoewel de oorsprong van de huidige financiële crises bij de bancaire sector ligt werden al snel de effecten bij verzekeraars en pensioenfondsen merkbaar. In veel gevallen bleek het niet mogelijk om in het vereiste tempo betrouwbare informatie over de risico s en over de financiële positie beschikbaar te krijgen. Het gevolg is dat stakeholders waaronder toezichthouders eisen dat risk management wordt verbeterd, er meer transparantie komt en er gezocht wordt naar een betere balans tussen risico s en winst maken. Een voorbeeld daarvan zijn de Solvency II-eisen zoals die voor verzekeraars vanaf eind oktober 2012 gaan gelden. Ook IFRS-regelgeving, Market Consistent Embedded Value (MCEV) en eisen van DNB wijzen allemaal in dezelfde richting: een verzekeraar moet continu inzicht hebben in de risico s (continuous monitoring). Het is uiteraard zaak om op een effectieve wijze compliant te worden aan al deze eisen. De echte uitdaging is om daarnaast kostenbesparingen en toegevoegde waarde voor de business te realiseren. De nieuwe eisen hebben uiteraard een groot effect op de strategie van verzekeraars en het hart van de processen, waaronder de noodzaak om modelmatig het risk based capital te berekenen en om stochastische modellen te hanteren voor het doorrekenen van economische scenario s. Modellering wordt een integraal deel van het besluitvormingsproces van de verzekeraar, echter de huidige procesgang op gebied van actuariële reporting is niet meer in staat die ontwikkelingen bij te houden. Daarnaast is

2 Compact_ 2010_3 41 Figuur 1. Solvency II-pilaren. De eisen vanuit Solvency II worden kernachtig samengevat in het artikel 45 Own Risk and Solvency Assessment (ORSA), dat door het Europese Parlement wordt gezien als het hart van de regelgeving. Als wij dit vertalen naar de in control -eisen betekent dit eigenlijk dat informatie betrouwbaar en dagelijks beschikbaar moet zijn voor besluitvorming. In de praktijk zijn verzekeraars hier weken, zo niet maanden mee bezig. Ook vanuit het management is één van de belangrijkste zorgen rond de implementatie van de nieuwe eisen rond risk en capital managede integratie tussen Finance- en Risk-processen onvoldoende gerealiseerd en zijn actuariële reportingprocessen nog niet aangepast aan de nieuwe eisen waaronder Solvency II. Leeswijzer In de eerste paragraaf worden de in control -eisen vanuit Solvency II toegelicht. In de volgende paragraaf wordt het proces van actuariële rapportage beschreven zoals dat momenteel veelal is ingericht. In de paragraaf daarna wordt het principe van rapportage op basis van cashflow toegelicht. Vervolgens wordt aandacht besteed aan de IT-architectuur en de voordelen van het rapporteren op basis van cashflows. Daarna worden de rol van de EDP-auditor in de transitie, de mogelijke vervolgfasen en consequenties voor de organisatie beschreven. In control -eisen vanuit Solvency II Het primaire doel van Solvency II is om de polishouder beter te beschermen tegen insolvabiliteit van de verzekeraars door eisen te stellen aan de omvang van het kapitaal dat de verzekeraar moet aanhouden. De omvang van het kapitaal is mede afhankelijk van de actuele financiële positie en de waardering van de belangrijkste risico s van de verzekeraar. Voor Solvency II worden twee kernbegrippen gehanteerd voor de kapitaalvereisten: de Minimum Capital Requirement (MCR) en de Solvency Capital Requirement (SCR). De MCR staat voor de minimale kapitaalvereiste. De SCR levert de feitelijke kapitaalseis. Voor Solvency II wordt hetzelfde conceptuele kader gehanteerd als eerder voor de Basel II-regelgeving (ter bescherming tegen insolvabiliteit van banken) is ontwikkeld. Het kader bestaat uit drie aspecten, ook wel pilaren genoemd (zie figuur 1). De eerste pilaar behandelt de wijze waarop risico s in kaart worden gebracht en worden gekwantificeerd. Het interne risicomanagement en de controle door de toezichthouder zijn opgenomen in de tweede pilaar en de derde pilaar beschrijft de wijze waarop de verzekeraar moet rapporteren aan de toezichthouder en het publiek. Solvency II dient eind oktober 2012 volledig geïmplementeerd te zijn. Veel verzekeraars zijn momenteel bezig met de voorbereiding hiervoor. Ook is CEIOPS, de Europese toezichthouder, actief om invulling te geven aan de diverse aspecten van de wetgeving (Directive) door middel van een stroom van Advices. In artikel 41 van de directive wordt aangegeven dat verzekeraars een effectief systeem van governance dienen te hebben dat ten minste uit vier elementen bestaat: risk management, internal control, internal audit en uitbesteding. Daarnaast dienen verzekeraars te beschikken over een actuariële functie. Het riskmanagementsysteem (artikel 44) bestaat uit het geheel van strategieën, processen en rapportages die nodig zijn om de risico s van verzekeraars op een continue basis te monitoren, te beheersen en daarover te kunnen rapporteren.

3 42 Continuous Monitoring for Solvency II ment het verkrijgen van data en daarover op een snelle en controleerbare wijze rapporteren. Informatietechnologie wordt niet veel genoemd in de Solvency IIregelgeving maar is wel één van de belangrijkste aspecten. Het verzamelen van gegevens vanuit de diverse organisatieonderdelen en het grote aantal legacy systemen bij verzekeraars brengt problemen met zich mee voor de datakwaliteit (integriteit en continuïteit van gegevens). In dit artikel zullen niet de formele eisen vanuit de directive ten aanzien van de IT worden behandeld, maar meer de gevolgen voor de IT en IT als middel om aan de eisen te kunnen voldoen. Net als bij Basel II kan voor het berekenen van de kapitaalvereisten gebruik worden gemaakt van het standaardmodel, maar kunnen ook interne risicomodellen worden gehanteerd. Bij het gebruik van interne risicomodellen gelden dezelfde voorwaarden op gebied van modelvalidatie als voor Basel II, waarbij onder meer de internal-auditafdeling betrokken moet zijn. Met behulp van risicomodellen kunnen diverse scenario s worden doorgerekend, risico s van portefeuilles en producten worden bepaald en kan het benodigde kapitaalbeslag worden berekend om deze risico s te absorberen. De gegevens zijn afkomstig uit zowel interne als externe bronnen. Verder dienen stresstests te worden uitgevoerd om inzicht te krijgen waar de grenzen van de risico s liggen. In dit artikel hebben we ervoor gekozen om verder niet in te gaan op de eisen rond het gebruiken van standaard- dan wel interne-risicomodellen. Deze problematiek krijgt in andere publicaties al de nodige aandacht. Wij gaan vooral in op een innovatief idee om de data beschikbaar te krijgen en de noodzakelijke verbeteringen in het proces van het rapporteren van risico s te realiseren. Allereerst zullen we het huidige proces van actuariële rapportering verkennen en de wijzigingen die naar ons idee zouden moeten worden gerealiseerd om te kunnen voldoen aan het in control zijn voor Solvency II. Daarna besteden we nog aandacht aan de secundaire, maar daarom niet Figuur 2. Huidig proces van actuariële rapportages. minder belangrijke doelen, waaronder kostenbesparingen en toegevoegde waarde voor het management. Het huidige proces van actuariële rapportages en het IT-landschap Vanuit het gezichtspunt van de IT-auditor (maar ook van de andere stakeholders) valt veel aan het huidige proces van de totstandkoming van de actuariële rapportage op te merken. In hoofdlijn is er geen sprake van een transparant en controleerbaar proces (zie figuur 2). Vanuit de IT-architectuur is het belangrijkste probleem dat bij veel verzekeraars systemen en processen ingericht zijn op basis van individuele verzekeringsproducten. Vaak hebben systemen een lange historie waarbij heel veel data soms decennialang (vooral bij levensverzekeringen) worden vastgehouden. Veranderingen en conversies zijn bij een dergelijk IT-landschap moeilijk, complex en risicovol. Actuarissen onttrekken de data aan deze systemen maar vanwege de vele opgetreden veranderingen zijn de data vaak niet compleet, betrouwbaar en consistent als gevolg van onderling verschillende conventies. Dit heeft tot gevolg dat de data moeten worden geschoond en verrijkt voordat modelberekeningen überhaupt kunnen plaatsvinden. Voor de berekening van de modellen en de scenario s gebruiken actuarissen vaak standaard-projectiesystemen. Deze systemen zijn krachtig maar maken deels gebruik van verouderde ITtechnologie en passen vaak moeilijk in het aanwezige IT-landschap qua standaarden en architectuur. De projectiesystemen werken op basis van een model van de werkelijke portefeuille, genereren vervolgens verwachte cashflows en komen dan pas aan de feitelijke projecties toe. Per saldo vindt dit in een ITomgeving plaats waarbij de basis general IT controls niet zijn ingericht en ook applicatiecontroles ontbreken (zogenaamde spreadsheet city ). Buiten de tooling is er sprake van een handmatig proces, zowel aan de input- als aan de outputkant, en opvallend is dat voor elke rapportage het proces van begin tot eind wordt doorlopen, zonder dat bijvoorbeeld de initiële cashflows worden opgeslagen voor hergebruik. Als gevolg van de vele handmatige bewerkingen kan de aansluiting met de financiële administratie en het resultaat naar bronnen alleen met veel moeite worden gemaakt. Om minder afhankelijk te worden van spreadsheets zijn bij veel verzekeraars projecten

4 Compact_ 2010_3 43 gestart rond datawarehousing. Dit is een duidelijke stap vooruit maar in de praktijk bleek het vaak moeilijk om dit concept succesvol te implementeren. Doel was om dezelfde data als in de legacy systemen vast te houden (waardoor eigenlijk een herbouw plaatsvond van deze systemen met alle problematiek van dien), maar de interfacing met de primaire systemen bleek complex. Buiten de IT-problemen is ook zichtbaar dat de huidige procesgang steeds meer onder druk komt in het licht van de nieuwe eisen. Het proces is zeer bewerkelijk en drukt een belangrijke tijdstempel op het rapportageproces. Hierdoor blijft er maar weinig tijd over voor de analyse- en de adviestaak van de actuariële afdeling. Het is duidelijk dat veel verzekeraars niet over het instrumentarium beschikken om de complexe standaarden ad-hocrapportages binnen Solvency II en de regelgeving die ongetwijfeld nog zal komen in een transparant en controleerbaar proces te kunnen produceren. Cashflow als basis van het rapportageproces Figuur 3. Cashflowvectoren bestaande uit de potentiële uitkering, de kans en de contante waarde. Het voordeel van het hanteren van de kleinste bouwstenen is de generieke toepassing voor allerhande rapportageprocessen. De definitie van een cashflow is universeel waardoor geen verschillen ontstaan tussen de datamodellen van de verschillende legacy systemen, wat de extractie en de bewerking van de data makkelijker maakt. Werken op basis van deze cashflows creëert dus direct harmonisatie. Bovendien wordt op prospectieve wijze de contractwaardering bepaald waardoor het beschikbaar hebben van historische contractgegevens tot een minimum wordt beperkt. Over het algemeen wordt deze aanpak door actuarissen beaamd. Het idee om cashflows de basis te laten zijn van alle rapportageprocessen wordt echter nauwelijks toegepast. Met het op deze manier opzetten van rapportageprocessen ontstaat tevens een effectiviteit in het complianceproces en wordt voorkomen dat voor elke ontwikkeling weer een spreadsheetoplossing aan het bestaande landschap wordt toegevoegd. Door de actuele cashflows op een continue basis beschikbaar te maken wordt het fundament gelegd voor continuous monitoring. In de volgende paragraaf wordt aandacht besteed aan de hiervoor benodigde IT-architectuur. Hoe ziet de IT-architectuur hiervan eruit? De belangrijkste stap is om de cashflows op een efficiënte manier te verwerken en op te slaan in een IT-architectuur. Deze IT-architectuur bevat de volgende elementen: datawarehouse; extractie- en calculatietools; actuariële analyse- en rapportagetools. Hoe kan er nu wel een meer repeterend, transparant en controleerbaar rapportageproces worden gerealiseerd? Om tot een oplossing te komen van de geconstateerde problemen zijn experts op het gebied van actuariële problemen, risk management en IT gezamenlijk aan de slag gegaan. Om een schaalbare en flexibele informatievoorzieningsfunctie in te richten dient deze in onze visie te zijn gebaseerd op de kleinste financiële bouwsteen van een verzekeringscontract. Deze bouwstenen, de feitelijk afzonderlijke verzekeringsdekkingen, kunnen worden weergegeven als cashflows (kasstromen) van zowel de creditzijde als de debetzijde van de balans. Er is een beperkt aantal variabelen (vectoren) benodigd om deze cashflows van een verzekeringscontract vast te stellen. Naast (de waarde van) de potentiële uitkering en de restantduur betreft dit de leeftijd en het geslacht van de verzekerde. Figuur 3 illustreert deze initiële cashflowvectoren. De totale IT-architectuur en stromen tussen de verschillende componenten zijn geïllustreerd in figuur 4. Datawarehouse Voor de vastlegging van de cashflowvectoren dient een datawarehouse nieuwe stijl te worden ingericht. Nieuw is de gedachte om deze cashflowberekeningen niet aan het eind van de periode te doen maar meteen bij de creatie van een nieuwe polis of bij wijziging ervan. Dat voorkomt een opeenstapeling van rekenexercities aan het eind van een rapportageperiode. De berekende cashflows worden opgeslagen in een datawarehouse. Op deze wijze ontstaat een single source of truth en wordt het datawarehouse de basis van een betrouwbare en controleerbare informatievoorziening. Merk op dat dit datawarehouse zich onderscheidt doordat slechts de cashflowvectoren per dekking worden vastgelegd en

5 44 Continuous Monitoring for Solvency II Data Validatie Figuur 4. IT-architectuur. geen integrale vastlegging plaatsvindt van alle polisvariabelen inclusief de historische versies daarvan. Het datawarehouse vormt de bron voor alle statutaire en managementinformatierapportages, waarbij de technologie en de datamodellering borg staan voor een continu inzicht in de risico s en een schaalbare, flexibele oplossing naar de toekomst. Extractie- en calculatietools In de nieuwe opzet wordt voor de hele rapportageketen gebruikgemaakt van cashflows. Ideaal gesproken zouden de primaire systemen beschikken over functionaliteit om de cashflowvectoren te genereren. Dat is in de praktijk vaak niet het geval zodat we hier gebruik moeten maken van in de markt beschikbare tooling om de productdata uit de primaire systemen te vertalen naar cashflowvectoren (zogenaamde cashflow calculation engine). Actuariële analyse- en rapportagetools De feitelijke projecties kunnen vervolgens worden gemaakt op basis van een geaccordeerde set van economische parameters en van specifieke portefeuilleparameters. De uitkomsten van de projecties kunnen zo nodig worden opgeslagen in het datawarehouse. Huidig Er zijn veel standaard-rapportagetools in de markt die kunnen worden gebruikt om in de vereiste statutaire en de gewenste managementinformatierapportages te voorzien. Met de beschikbare gegevens kunnen periodiek, maar ook ad hoc scenarioanalyse en stochastische berekeningen worden uitgevoerd naast de voor de jaarreke- en balansinformatie voor dat moment. Middellangetermijndoelstelling Langetermijndoelstelling ning, MCEV en Solvency II benodigde calculaties. Alle uitkomsten van de calculaties en rapportages kunnen worden opgeslagen in hetzelfde datawarehouse als waarin de cashflows en variabelen zijn opgeslagen. Meer in het bijzonder kan op deze manier de informatie ontleend aan de resultatenrekening en balans per contract (inclusief de gegevens nodig voor een resultaat naar bronnenanalyse) worden vastgelegd. Als hetzelfde principe ook wordt gehanteerd om veranderingen als gevolg van contractwijzigingen direct door te voeren en op te slaan, en hiermee niet te wachten tot het eind van de rapportageperiode, kan men op dagbasis beschikken over de resultatenrekening- Samenvatting voordelen cashflow based reporting De voordelen van deze aanpak zijn velerlei: Er worden vooral veel minder data opgeslagen in het datawarehouse. De berekening van de cashflows gebeurt op het moment dat het kan (bij iedere contractwijziging) en niet op het moment dat het niet meer anders kan (namelijk aan het eind van een rapportageperiode), waardoor bottlenecks op rapportagemomenten worden voorkomen. De rapportages zijn gebaseerd op gegevens op contractniveau zonder aannames en alle soorten rapportages hebben eenzelfde generieke basis waardoor de aansluiting wordt gegarandeerd. Er wordt gewerkt met brondata in plaats van modellen (zoals ook in het geval van replicating portfolios ), waardoor ook het onderhoud van deze modellen niet meer nodig is. Het hele proces kan worden verplaatst naar een professionele IT-omgeving die aan de moderne internecontrole-eisen voldoet waarbij de legacy systemen niet worden aangetast. Figuur 5. Beperken van arbeidsintensieve en repeterende werkzaamheden ten gunste van advies.

6 Compact_ 2010_3 45 Met één druk op de knop komt de informatie gelijk beschikbaar zodat wordt voldaan aan de in control -eisen vanuit Solvency II. Door het vastleggen en up-to-date houden van de verlies & winstrekening en balans per verzekeringscontract is de aansluiting tussen Finance en Risk continu gegarandeerd. Het rapportageproces verloopt geautomatiseerd, er is geen handmatige inbreng noodzakelijk en er is een volledige audit trail. Het proces verloopt door de nieuwe aanpak vele malen sneller waardoor de beoogde besparingen op het gebied van het verzamelen, verrijken en schonen van data realistisch worden en er meer tijd voor analyse ontstaat. Dit wordt weergegeven in figuur 5. Rol IT-auditor en relatie met de jaarrekeningcontrole De afgelopen jaren is de rol van de IT-auditor bij de controle van verzekeraars steeds belangrijker geworden. De afhankelijkheid van de geautomatiseerde gegevensverwerking is alleen maar toegenomen en als geen ander kent de IT-auditor de problematiek van de legacy systemen bij verzekeraars. De combinatie van applicatiecontroles en algemene computercontroles is bij veel verzekeraars niet effectief en vaak moeten compenserende gegevensgerichte werkzaamheden plaatsvinden waarbij data-analyse onontbeerlijk is. Een specifieke eis bij de controle van verzekeraars is de controle van de basisgegevens. Op grond van de basisgegevens bepaalt de actuaris de hoogte van de voorziening voor verzekeringsverplichtingen. Zonder betrouwbare input geen betrouwbare voorziening en daarmee resultaat. De IT-auditor is bij uitstek bekend met dit proces. Hij is daarom ook in staat te adviseren hoe dit anders en beter kan. Een opvallend aspect van de controle op de basisgegevens is dat dit elk jaar opnieuw plaatsvindt. Als er sprake is van basisgegevens, is er maar in beperkte mate sprake van wijzigingen. Met de geschetste oplossingsrichting uit de voorgaande paragraaf wordt ook de controle van de basisgegevens zelf veel eenvoudiger doordat specifiek aandacht kan worden besteed aan de wijzigingen in de basisgegevens ten opzichte van de voorgaande periode. Gezien de complexiteit en de organisatorische impact van Solvency II voor verzekeraars, met name ook op IT-gebied, is het belangrijk dat IT-auditors vanaf het begin bij de Solvency IIimplementatie worden betrokken. De IT-auditor is bij uitstek de onafhankelijke deskundige op het gebied van IT zodat hij bij problemen rond het ontsluiten van data uit de bronsystemen en data warehousing als adviseur kan optreden. Noodzakelijke Solvency II-kennis, inclusief kennis op het gebied van interne modellen, zal veel meer bij de actuariële discipline aanwezig zijn. Multidisciplinaire samenwerking is vereist zodat actuarissen, IT-adviseurs en auditors nauw samenwerken op het gebied van Solvency II. Wat zijn de mogelijke fasen hierna? Zoals beschreven hebben we in het datawarehouse een polisadministratie gerealiseerd die uitsluitend is gebaseerd op cashflowvectoren en waarbij de berekeningsuitkomsten met één druk op de knop beschikbaar kunnen zijn. Dit betekent dat we naast de al gerealiseerde voordelen met betrekking tot het sneller en betrouwbaarder rapporteren nog meer toegevoegde waarde kunnen creëren. Wij beschrijven hier een aantal voordelen die op basis van de gekozen oplossing beschikbaar komen: Bij veel verzekeraars zijn berekeningen voor afkoopwaarde vaak tijdrovend, arbeidsintensief en wordt er gewerkt op basis van een vastgestelde set van formules op discrete basis. Binnen deze aanpak wordt het mogelijk afkoopwaarden (en andere contractwaarderingen) op basis van een marktconsistente waarde snel en efficiënt te bepalen. Dat zal een vereiste zijn indien op basis van een marktconsistente waarde wordt gerapporteerd. Wanneer we uitgaan van de veronderstelling dat alle verzekeringsproducten voorgesteld kunnen worden als een combinatie van cashflows kan de time to market van productontwikkeling teruggebracht worden van maanden naar dagen of zelfs uren! Ook combinaties van producten vormen dan geen belemmering meer en kunnen eenvoudig worden gerealiseerd. In feite kan elke combinatie van cashflows worden gebundeld tot een nieuw product. Dit betekent ongekende mogelijkheden voor de marketingafdeling, terwijl de gehele rapportagestructuur al generiek is ingericht en niet meer opnieuw behoeft te worden opgebouwd. De toegevoegde waarde voor de organisatie ligt op het vlak van de besturing van de organisatie en het voldoen aan de eisen van de accountant Doordat cashflowvectoren eenvoudig kunnen worden gecombineerd en de berekeningen snel beschikbaar zijn, leent de oplossing zich ook om contractinformatie en de waarde van een verzekeringscontract snel beschikbaar te krijgen voor polishouders, bijvoorbeeld via web-based applicaties. Voor de waardering van verzekeringscontracten is de historie eigenlijk niet van belang. Overwogen kan worden de overgang in

7 46 Continuous Monitoring for Solvency II de contractadministratie te maken van productgericht naar cashflow als basis. Het moge duidelijk zijn dat de inspanning noodzakelijk om een traditionele backoffice-administratie bij te houden vele malen groter is dan die voor een cashflowadministratie. De laatste maakt een veel efficiëntere procesgang mogelijk. Gevolgen voor de organisatie Het ontsluiten van cashflows als basis voor de rapportages voor verschillende stakeholders binnen en buiten de organisatie is niet alleen een IT-project. Het heeft ook zeker gevolgen voor de betrokken afdelingen zoals Finance, Risk en het Actuariaat. Zoals eerder genoemd is cashflow de kleinste bouwsteen van de rapportage-elementen van onder andere de financiële, risk en actuariële rapportages. De aansluiting tussen deze rapportages benodigd voor Solvency II, die hiermee kan worden gerealiseerd, is dan ook een groot voordeel van deze aanpak. De afdelingen Finance, Risk en het Actuariaat zijn echter verre van geïntegreerd. De afdelingen opereren los van elkaar met eigen processen, systemen en rapportages. De grenzen tussen de verschillende afdelingen zullen voor een succesvolle implementatie van Solvency II in ieder geval moeten worden geslecht. Het voordeel van het gebruik van cashflows is juist de gemeenschappelijkheid ervan als basis voor de harmonisatie. Transparantie en controleerbaarheid kan als een bedreiging worden gezien door de betrokken afdelingen die daarmee een deel van de onafhankelijkheid verliezen. Echter, hun taken zullen worden verrijkt doordat nu (meer) tijd beschikbaar is voor analyses en voor het voorbereiden van beleidsbeslissingen. Afdelingen als Finance, Risk en Actuariaat worden bemenst met vakmensen met hun eigen specialisme, methoden en tooling. Samenwerking tussen specialisten brengt doorgaans problemen met zich mee. Zo zal het rapportageproces in het kader van bijvoorbeeld de maandafsluiting eveneens sterk veranderen, wat ook gevolgen heeft voor de eigen planning en werkwijze. Als cashflow de basis wordt voor meerdere rapportages voor verschillende afdelingen komt de vraag over eigenaarschap al snel op. Wie is nu eigenaar van het datawarehouse, de tooling, maar vooral van de data zelf? Het beleggen van het eigenaarschap zal geen makkelijke opdracht zijn maar het is wel een essentiële stap in de realisatie van een afdelingsoverstijgende verandering. Wij hebben hierboven een aantal organisatorische aspecten beschreven die in het kader van change management van groot belang zijn voor een succesvolle implementatie van Solvency II en rapportering op basis van cashflows. Uiteindelijk is Solvency II eigenlijk niet een compliancevraagstuk of een vraagstuk van rapportagesystemen, maar zal ook de strategie van de verzekeraars moeten worden bijgesteld om de nieuwe noodzakelijke balans tussen risico s en rendement inzichtelijk te krijgen. Als deze veranderingen niet door het hoogste managementniveau worden onderschreven en uitgedragen, zal het moeilijk blijven Het beleggen van het eigenaarschap is essentieel in de realisatie van een afdelingsoverstijgende verandering om ook op rapportagegebied stappen vooruit te maken. Wij horen in de praktijk momenteel nog vaak het argument dat bestaande problemen al veel aandacht vragen en er weinig tijd is om meer fundamentele zaken zoals cashflow based reporting op te pakken. Solvency II en de effecten daarvan op de organisatie leven kennelijk nog te weinig waardoor kansen worden gemist om in één keer een aantal voordelen te realiseren. Wij verwachten het komende jaar een omslag op dit gebied waarbij verzekeraars die wel ruimte maken om te innoveren op dit gebied een belangrijk concurrentievoordeel kunnen bewerkstelligen. Samenvatting en conclusie Door verzekeraars worden op dit moment gap-analyses gestart op gebied van Solvency II. Hierbij is er vooral aandacht voor de gevolgen van de berekeningswijze van de kapitaalvereisten en het inrichten van de modellen. In dit artikel werd ingegaan op de gevolgen voor de actuariële reporting en is een oplossing aangereikt om te komen tot continuous monitoring op basis van cashflows als fundament voor het voldoen aan de in control -eisen die de kern van Solvency II vormen. De IT-auditor vervult tussen de actuarissen en specialisten vanuit risk management een belangrijke rol in de realisatie van Solvency II-compliance. Als beter kan worden voldaan aan de nieuwe in control -eisen betekent dit ook dat de controle van de jaarrekening kan worden vereenvoudigd, met name voor wat betreft de controle van de basisgegevens en de verzekeringstechnische voorziening. Op basis van zijn ervaring kan de IT-auditor adviseren over verbeteringen en samen met actuarissen en specialisten vanuit risk management een belangrijke rol spelen bij het traject van de realisatie van Solvency-compliance. Literatuur [CEIO08] CEIOPS Advice for L2 Implementing Measures on SII: System of Governance, [Dijk09] Agnes van Dijk, Carola Steenmeijer en Ad Kok, Solvency II overview, presentatie KPMG 8 april [Meer09] Age Jan van der Meer, De IT-impact van Solvency II, de EDP auditor, 1, 2009.

8 Compact_ 2010_3 47 Cumulatief 10/2 37e jaargang 2010/2 Performance & Technology Succesvol en gestructureerd innoveren van businessmodellen Drs. Aad Boonstra RC, Martijn Jansen en Tjerk Klompmaker MBA Optimalisatie van primaire processen door uitbesteding: een realiteit of een idee-fixe? Ir. Eric Wesselman, ing. Frank Lipper BSc en drs. Paul Geerts MScMC Dit is hét moment om duurzaam cash management te implemen teren Drs. Jacqueline Bongartz, drs. Gido Schouten en drs. Jordi Wardenburg RC Optimaliseren afsluit- en rapportage proces: juist nu! Belang van snelle en betrouwbare informatie groter dan ooit Drs. Wim Kouwenhoven en drs. Maarten van Delft Westerhof Leren en ontwikkelen in economisch barre tijden! Resultaatgericht én organisch leren en ontwikkelen Drs. Mark de Lat, drs. Jan Slump en Martijn Hulshof MSc De zorg en dilemma s van IT-organisaties Belangrijke keuzen voor ziekenhuizen Drs. Jan de Boer RE en Wilco Leenslag MSc Hercontrac teren en heronder handelen van uitbeste dingscontracten Geen kwestie van pleisters plakken Drs. Peter Bakker, drs. ing. Paul Olieman RE en Liselore Sauer 10/1 37e jaargang 2010/1 IT Risk & Compliance Digitaal sporen Een methodiek voor het gebruik van digitale informatie bij onderzoek naar mogelijke integriteitsschendingen Gerben Schreurs en drs. Laurens Aakster Geslaagd GRC binnen handbereik Brigitte Beugelaar RE RA en drs. Willem van Loon RA CIA Trends in IT internal audit Kim van Houwelingen RE, drs. Micha Sjoerts en Brigitte Beugelaar RE RA AudIT Innovation Drs. Maurice op het Veld RE, drs. ing. Stephen van den Biggelaar RE en drs. Eric Daanen RE Federated Identity Management, het perspectief van de IT-auditor Drs. Willem Guensberg CISA en Emanuël van der Hulst SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording Drs. Jaap van Beek RE RA en drs. Marco Francken RE RA CISA Facts to Value Data omzetten in toegevoegde waarde Drs. Peter van Toledo RE RA, drs. Gideon Lamberiks RE en Quintra Rijnders MSc RA 09/4 36e jaargang 2009/4 Informatiebeveiliging Data Leakage Prevention De uitdaging om bedrijfsgevoelige informatie binnen uw organisatie te houden Ir. Arjan van Vliet IT-beveiligingstesten als onderdeel in IT-audits Ir. Peter Kornelisse RE CISA, Marc Smeets MSc en ing. Michiel van Veen MSc Waarom vraagt LinkedIn je Google-wachtwoord? Pieter Ceelen MSc Hacken met pdf-files De risico s van kwaadaardige pdf-bestanden Ir. Matthieu Paques Informatiebeveiliging versus open source software Drs. Mike Chung RE De Payment Card Industry Data Security Standard Drs. Hans IJkel RE CISSP CISA Invoering van één toegangspas Op weg naar één corporate identiteit Ir. Amand Veltmeijer CISA 09/3 36e jaargang 2009/3 Juridische & fiscale aspecten van IT E-factureren: efficiënt én betrouwbaar? Drs. ing. Ronald Koorn RE, Wil Peters RE RA en ir. Alexander Zegers Contractuele en fiscale aspecten bij outsourcing van ICT-beheer & systeemontwikkeling Liselore Sauer Tax Control Framework (TCF) Nut en noodzaak van IT bij het opzetten van een TCF Wil Peters RE RA, drs. Marcel van den Brink, drs. Gerben de Roest en drs. Stephan Janssen Testen van informatiesystemen en het gebruik van (geanonimiseerde) persoonsgegevens Ir. Hilbrand Kikkers, Bert Nienhuis B.ICT en drs. Erik Rutkens RE

9 48 Cumulatief Transformational Records Management Minimizing Risk and Liability Steve Kenny Data Retention Opportunity or Burden in Times of Economic Downturn? Maarten Wilpshaar and Jack van Gestel 09/2 36e jaargang 2009/2 IT-strategie en performance Lekker eten uit de integratiekeuken Drs. Michiel Kooper, drs. Gerben de Roest RE en Onne Schouten MSc Duivelse dilemma s van IT-organisaties uit de praktijk Wilco Leenslag MSc en drs. Jan de Boer RE IT blijft mensenwerk Kijken naar business & IT-alignment met een andere bril Drs. Mark Reijnders MMC en Daniël Wolfs MSc De rol van een IT-outsourcingspecialist Drs. ing. Paul Olieman RE en ir. D. Buchinhoren Macht en belang bij ERP-implementaties Drs. Nico Knotters MScBA en drs. Jan Hoogstra RE Beeld je eens in Drs. Mark Reijnders MMC 09/1 36e jaargang 2009/1 Onderwijs en IT Wat kan het onderwijs op IT-gebied leren van het bedrijfsleven? Drs. ing. Ronald Koorn RE Verslag KPMG business diner informatiemanagement Drs. Erik Rutkens RE en prof. dr. Jos van Hillegersberg Wordt u al (goed en efficiënt) geholpen? Ervaringen met de invoering van een shared service center IT bij universiteiten Drs. Erik Rutkens RE en drs. ing. Ronald Koorn RE Programma- en projectmanagement in het onderwijs: lessen uit de praktijk Drs. Erik Rutkens RE Identitymanagement, ervaringen uit het onderwijs Drs. Jaap Kuipers RE RA Succesfactoren van pakketselecties en -implementaties Ing. Deborah Hofland RO CISA CISM, drs. Jan Hoogstra RE, drs. Maartje Smit en ir. Kathelijn Manschot RE Kennismanagement en onderwijs Drs. Vincent Seekles RE 09/0 36e jaargang 2009/0 Special: IT Performance IT: kostenpost of waardecreator in crisistijd? Drs. Jan de Boer RE, drs. Mark Reijnders MMC en Wilco Leenslag MSc ERP & Performance Drs. Mark Scheurwater CISA and ir. Benjamin De Swaan Arons RE Business Intelligence Holistisch benaderen, stap voor stap implementeren Menno Gaus, drs. Teo Griffioen MMC en drs. Arjan Vreeke RE Green IT, geen hype maar een duidelijke business case! Drs. Gaston Vankan RE Ervaringen met geïntegreerde IT-controleraamwerken De kunst van het loslaten Koos Wolters RE CISA, ir. Ruben de Wolf RE en Pieter van Houten MSc Earned Value Management Drs. Jan Vermeulen en Onne Schouten MSc Informatiebeveiliging versus SaaS Drs. Mike Chung 08/4 35e jaargang 2008/4 Beveiliging Informatiebeveiliging versus SaaS Drs. Mike Chung RFID, fysieke beveiliging en de IT-auditor Jeroen van Beek MSc CISSP CISA RE en drs. Hans IJkel RE CISSP CISA Authenticatiemanagement: een procesbenadering Ir. ing. Jules Steevens en Maarten de Boer MSc Beveiliging van industriële IT-omgevingen Drs. Hans IJkel RE CISSP CISA en ir. Ronald Heil CISSP CISA Alternate Data Streams Het verbergen van malware via een verborgen feature van NTFS Ir. Matthieu Paques SABA: IT-audit tooling 2.0 Marc Smeets MSc KPMG s Identity and Access Management Survey 2008 Ing. John Hermans RE, Emanuël van der Hulst, Pieter Ceelen MSc en Geo van Gestel MSc 08/3 35e jaargang 2008/3 Governance, Risk and Compliance Het effect van GRC-software op de jaarrekeningcontrole Faried Ibrahim MSc en drs. Dennis Hallemeesch Embedded Testing uitrol naar IT controls? Cees Klumper RA CIA MBA en drs. Marco Francken RE RA CISA Auditing van single client ERP Drs. Roeland van den Heuvel en drs. Dennis Hallemeesch Afweging tussen businessfexibiliteit en control via functiescheiding Welke risico s is de organisatie bereid te nemen? Drs. Gerben de Roest RE en drs. Maarten de Rooij Benchmarking IT application controls A practical guide for SAP Ramon de Bruijn RE en Maurice op het Veld RE Oracle ebs en een geautomatiseerde gegevensgerichte controle Ir. Björn van Nunen en drs. Mark Scheurwater