Financial Services december EYe Finance. on Informatiebulletin voor financiële ondernemingen

Transcriptie

1 Financial Services december 2007 EYe Finance on Informatiebulletin voor financiële ondernemingen Solvency II, operationele risico s en IT Herverzekeraars onder toezicht AO/IC-verklaring beleggingsinstellingen Vrijgestelde beleggingsinstelling GUISE t

2 index Redactie Jeroen Biekart Joost Csik Jeroen Davidson Alexander Filius Rob Gaillard Joost Hendriks Hans Moison Vragen of opmerkingen over artikelen in EYe on Finance kunt u richten aan: Ernst & Young Financial Services t.a.v. Hans Moison Postbus AB Amsterdam hans.moison@nl.ey.com Colofon EYe on Finance is een uitgave van Ernst & Young Financial Services. EYe on Finance bevat onder meer bijdragen van medewerkers van Ernst & Young betreffende financiële instellingen. In de selectie van onderwerpen weerspiegelt zich een persoonlijke keuze. Ernst & Young is de zakelijke aanduiding voor de samenwerkende maatschappen Ernst & Young Accountants en Ernst & Young Belastingadviseurs. Dit zijn maatschappen van besloten vennootschappen (praktijkvennootschappen). Ernst & Young is actief op het gebied van accountancy, belastingadvisering en juridische advisering. De juridische advisering wordt verzorgd door de maatschap Holland Van Gijzen Advocaten en Notarissen, die een strategische alliantie heeft met Ernst & Young Belastingadviseurs. Voorwoord pag. 3 Verzekeraars Over Solvency II, operationele risico s en IT pag. 4 Herverzekeraars onder wettelijk toezicht pag. 16 Assetmanagement De AO/IC-verklaring van beleggingsinstellingen in de jaarverslagen over het jaar 2006 nader onderzocht pag. 20 De vrijgestelde beleggingsinstelling: een nieuw fiscaal instrument voor collectieve beleggingen pag. 26 GUISE kies de beste risico-indicator voor uw beleggingsfonds pag. 30 Summary in English pag. 36 Hoewel bij het redigeren van deze uitgave de grootst mogelijke zorgvuldigheid wordt betracht, bestaat altijd de mogelijkheid dat bepaalde informatie na verloop van tijd verouderd of niet meer juist is. Ernst & Young is dan ook niet aansprakelijk voor de gevolgen van activiteiten die ondernomen worden op basis van deze uitgave. Het inwinnen van advies bij een deskundige is altijd noodzakelijk. Overname van artikelen is toegestaan, mits integraal en met bronvermelding. t ISSN Tweewekelijkse internet nieuwsbrief EYe on Finance-flash: flash@nl.ey.com

3 voorwoord Voorwoord Er zijn Kamervragen gesteld over de risicohypotheek. Hierbij werden groeiverwachtingen van aanbieders van risicohypotheken aan de kaak gesteld. In samenhang hiermee maakte de vragensteller zijn vrees duidelijk voor de korte periodes waarvoor de rente voor een hypothecaire lening wordt vastgesteld. Minister Bos verklaarde dit verschijnsel door te wijzen op het voordeel dat de korte rente biedt en de kortetermijnvisie waarmee deze hypothecaire leningen over het algemeen worden aangegaan, omdat de aanbieders van niet-standaard hypothecaire leningen er kennelijk van uitgaan dat hun klanten overstappen naar een aanbieder van standaard hypothecaire leningen zodra dat mogelijk is. Als het goed is gaan verstrekkers bij de bepaling van de maximale hoogte van de hypothecaire lening van niet-standaard hypothecaire leningen uit van een vast (hoger) rentepercentage om de eventuele negatieve gevolgen van een stijgende rente op de betaalcapaciteit te kunnen ondervangen. Minister Bos verpakte in zijn beantwoording tevens de constatering dat de AFM toezicht houdt op het gedrag van aanbieders van hypothecaire leningen en dat overcreditering door de aanbieders mede op grond van de Gedragscode Hypothecaire Financieringen dient te worden voorkomen. Aan het slot van zijn beantwoording kwam Bos met zijn voornemen om de ontwikkelingen op deze markt nauwgezet te volgen en zo nodig passende maatregelen te overwegen. De Nederlandse markt voor hypothecaire leningen voor particuliere woningen is lang gekenmerkt door een laag risico. De oorzaak hiervan was dat aanvragen voor een lening waarbij het risicoprofiel iets verhoogd was, door de geldgevers doorgaans niet werden gehonoreerd. De geldgevers waren zonder uitzondering risicomijdend. Sinds enkele jaren is er sprake van een kentering. Nieuwe toetreders en nadien ook traditionele geldgevers ontdekten de onderkant van de markt. Een flink aantal particulieren blijkt minder grote risico s met zich mee te brengen dan op grond van een oppervlakkige analyse het geval lijkt te zijn. Een BKR-aantekening betekent niet altijd dat een kredietnemer een notoire wanbetaler is. Het ontbreken van een vaste baan betekent niet altijd dat de cliënt onvoldoende inkomen heeft. Het spreekt voor zich dat binnen dit deel van de markt een meer diepgaand onderzoek van het risicoprofiel noodzakelijk is, dat kan leiden tot de constatering dat een financiering verantwoord is en dat daarbij een passend rentetarief kan worden geoffreerd. t Bij bespiegelingen over de risicohypotheek dient in ogenschouw te worden genomen dat een deel van de markt in het verleden wellicht ten onrechte braak bleef liggen. Niet elke hypothecaire lening die thans wel wordt verstrekt maar tien jaar geleden onder gelijke condities niet, impliceert een te groot risico of overcreditering. Enige nuancering is gewenst. Dat neemt niet weg dat elke geldgever het evenwicht dient te bewaren tussen de groeiambities en het naar risico gewogen rendement. Geen enkele geldgever zal echter beleidsmatig kiezen voor financiering van cliënten waarbij het risico van wanbetaling onverantwoord hoog is. Wanneer verstandig beleid adequaat wordt omgezet in risicobeheermaatregelen, kan ook een zogenoemde risicohypotheek voor geldgever en geldnemer een interessante propositie zijn. Hans Moison 3

4 verzekeringen Over Solvency II, operationele risico s en IT Age-Jan van der Meer, Ernst & Young EDP Audit, Gerd-Jan van Wiggen en Wouter Vlag, Ernst & Young Financial Services Risk Management Ernst & Young heeft in 2006 een onderzoek ( Solvency II: readiness & beyond ) uitgevoerd naar de status van Solvency II, het nieuwe kapitaalakkoord voor verzekeraars dat naar verwachting in 2012 van kracht wordt binnen de Europese Unie. Het algemene beeld dat uit het onderzoek naar voren kwam is dat de verzekeraars Solvency II zien als een kans om het risicomanagement van de organisatie te verbeteren. Een aantal aspecten van het akkoord behoeft nog nadere uitwerking. In dit artikel gaan wij in op twee gerelateerde aspecten, namelijk operationeel risico en informatietechnologie (IT). Operationeel risico wordt in beperkte mate gemeten of gemodelleerd bij verzekeraars. In het onderzoek geven verzekeraars aan niet over de aanzienlijke hoeveelheid gegevens te beschikken die hiervoor nodig is. In bredere zin verwachten verzekeraars dat aanpassingen en uitbreidingen van bestaande informatiesystemen grote uitdagingen zullen zijn bij het succesvol implementeren van het Solvency II-akkoord. In dit artikel zal dan ook worden ingegaan op de specifieke problematiek rondom operationeel risico en, breder gezien, de problematiek rondom IT governance en het verkrijgen van accurate data. 4

5 Aanpassingen en uitbreidingen van bestaande informatiesystemen zullen grote uitdagingen zijn bij het succesvol implementeren van het Solvency II-akkoord. Achtergrond Het huidige akkoord betreffende de solvabiliteitseisen voor verzekeraars, Solvency I, wordt niet meer toereikend geacht. Het kapitaal dat dient te worden aangehouden, is geen reflectie van het kapitaal dat aangehouden zou moeten worden met het oog op de werkelijke risico s die een verzekeraar loopt. Zo maakt het akkoord bijvoorbeeld geen onderscheid tussen het aantal polissen dat een onderneming uit heeft staan. Hoe meer polissen een verzekeraar uit heeft staan, hoe groter het diversificatie-effect en des te lager het verzekeringstechnische risico dat de verzekeraar loopt. Figuur 1. Solvency II-pijlers Solvency II is de opvolger van Solvency I. Solvency I is sinds 1973 door middel van tussentijdse akkoorden gevormd en is uiteindelijk door de Europese Commissie aangenomen in Het doel van deze akkoorden en van Solvency II was en is om de polishouders te beschermen tegen insolvabiliteit van de verzekeraars. De eisen zijn van toepassing op leven, schade en herverzekeraars. Subdoelen van het Solvency II-akkoord zijn: zorgen dat de toezichthouders over de juiste methoden en bevoegdheden beschikken; robuustheid, consistentie en harmonisatie; verbeteren van de concurrentiekracht; beter gebruik van de kapitaalmiddelen; invoering mag geen grote veranderingen veroorzaken in de markt. Er zijn vele initiatieven en wijzigingen gaande in de toezichtsomgeving van de financiële sector. Zo is er het Basel Risks II-akkoord dat momenteel wordt ingevoerd in de bancaire sector. Het hoofddoel van het Basel II-akkoord is om het systeemrisico (risico dat voor de hele markt geldt) te reduceren door middel van het reguleren van de kapitaaleisen op basis van de werkelijke risico s die banken lopen. De overeenkomst tussen Basel II en Solvency II is de conceptuele kapstok waar beide aan zijn opgehangen (zie figuur 1). Bij Solvency II en Basel II worden in de eerste pijler de risico s in kaart gebracht en gekwantificeerd. In pijler II wordt intern risicomanagement beschreven en de controle door de toezichthouder die, indien nodig, een extra opslag op het kapitaal kan eisen. Daarnaast worden moeilijk te kwantificeren risico s geanalyseerd. In pijler III worden eisen vastgelegd ten aanzien van de wijze van rapporteren aan zowel de toezichthouder als het publiek. Risks Quantification Risks Governance Risks Tranparency Pillar l Quantitative capital requirements Solvency capital requirements (SCR) Minimum capital requirements (MCR) Pillar ll Supervisory activities Internal control & risk management Supervisory review process Pillar lll Supervisory reporting & public disclosure Tranparency Disclosure 5

6 verzekeringen Door het Committee of European Insurance and Occupational Pension Supervisors (CEIOPS) wordt in overleg met de bedrijfstak op dit moment een voorstel tot invulling gemaakt dat wordt gericht aan de Europese Commissie. De CEIOPS zorgt door middel van de zogenoemde waves of calls for advice die vanuit de EC zijn ontstaan en de Quantitative Impact Studies (ook: QIS) dat de markt (verzekeraars, actuarissen en accountants) kan reageren en meehelpen met de ontwikkeling van het akkoord. Het voordeel is dat de verzekeringsmaatschappijen zich hierdoor grotendeels achter het akkoord scharen en dat het technisch haalbaar is voor de verzekeraars. Het akkoord wordt ontwikkeld in drie fases. In fase 1 is de structuur met drie pijlers gekozen en het besef gecreëerd dat er een op risico gebaseerde solvabiliteit nagestreefd moest worden. Fase 1 is in 2003 afgerond. Nu is de tweede fase gaande, waarin het raamwerk van Solvency II wordt ontwikkeld en beschreven in een richtlijn van de Europese Commissie. Het eerste concept van de nieuwe richtlijn is op 10 juli 2007 verschenen. In de laatste fase, de implementatiefase, wordt het akkoord verder gekalibreerd en ingebed in de nationale wet- en regelgeving. In Nederland zullen de wetgever en DNB dit gaan doen. Daarnaast zal het nodige worden vereist van de verzekeraars, die het akkoord moeten invoeren binnen de organisatie. De verwachting is dat Solvency II per 1 januari 2012 van kracht wordt binnen de Europese Unie. Operationeel risico Pijler 1 van het Solvency II-akkoord kent twee kernbegrippen voor wat betreft de kapitaalvereisten: de minimum capital requirement (MCR) en de solvency capital requirement (SCR). De MCR kan worden beschouwd als het minimaal vereiste kapitaal. De SCR vormt een reëlere inschatting op basis van het risicoprofiel van de verzekeraar. De berekening van de MCR en de SCR wordt binnen pijler 1 opgesplitst in een aantal blokken. Ieder blok vertegenwoordigt een bepaald risicotype. Dit betreft uiteraard het verzekeringsrisico en het marktrisico, maar daarnaast ook kredietrisico en operationeel risico. Operationeel risico valt op omdat dit risicotype op dit moment nog niet of slechts beperkt wordt gemodelleerd door verzekeraars naar het aanhouden van kapitaal. Operationeel risico: het risico op verliezen door tekortschietende of falende interne procedures, door personeel of systemen of door externe gebeurtenissen. 6

7 De ontwerprichtlijn van juli 2007 geeft tegen dertig procent van de SCR voor in artikel 105 aan dat de SCR voor de overige risico s en het minimum operationeel risico een weergave moet wordt gehanteerd als uiteindelijk kapitaalvereiste. zijn van dit risico, voor zover dit niet al gekwantificeerd is bij de andere risicotypen. Bij het bepalen van de SCR Naast de standaardformule kan er ook bestaat een keuze uit een standaardformule en een benadering waarbij geko- modellenbenadering. De bankwereld geopteerd worden voor een interne zen wordt voor het gebruik van een heeft bij de invoering van Basel II uitgebreid ervaring opgedaan met de ont- intern model. wikkeling van interne modellen voor De derde Quantitative Impact Study operationeel risico. De hierbij opgedane ervaring kan eveneens binnen ver- bevat een voorstel waarbij voor de standaardformule het kapitaalvereiste zekeraars worden toegepast. Hierbij voor operationeel risico wordt gebaseerd op de technische voorzieningen meerdere technieken: wordt vaak teruggegrepen op een of en de ontvangen premies, beide opgesplitst naar leven, schade en ziekte- historie van operationele verliezen; inschattingen op basis van de eigen kosten. Het kapitaalvereiste ziet er als inschattingen op basis van de eigen volgt uit: historie van operationele verliezen SCRop = min (Op load * BSCR; max (0,03 * Earn life + 0,02 * Earn nl + 0,02 * Earn h ; 0,003 * TP life + 0,02 * TP nl + 0,002 * TP h )), met: Op load : coëfficiënt van 30%; BSCR: basic solvency capital requirement, te weten de kapitaalvereiste voor de overige risico s; Earn: ontvangen premies (exclusief herverzekeringen); TP: technische voorzieningen (exclusief herverzekeringen). De subscripts life, nl en h staan voor respectievelijk life, non-life en health. Hieruit valt af te leiden dat in eerste aangevuld met een externe historie instantie wordt vastgesteld wat het van verliezen; maximum is van de ontvangen premies (met een bepaalde weging) en de ling van risico s en controles en scena- inschattingen op basis van beoorde- technische voorzieningen (eveneens rioanalyses. met een bepaalde weging). Het resultaat hiervan wordt vervolgens afgezet In een ideale situatie heeft een verzekeraar voldoende operationele verliezen geregistreerd in een verliesdatabase, zodat hiermee kwantitatieve modellen kunnen worden ontwikkeld. Het praktische probleem dat zich hierbij meestal voordoet, is het feit dat veel verzekeraars nog niet op een gestructureerde wijze operationele verliezen in kaart brengen en vastleggen in een systeem. Ook een nadere uitsplitsing van operationele risico s naar type gebeurtenis en bedrijfsonderdeel is vaak afwezig. Deze situatie is analoog aan de ontwikkelingen tijdens de invoering van Basel II bij banken; de meeste banken beschikten niet over een gedetailleerde registratie van operationele verliezen of hadden een tekort aan eigen gegevens om een model te kunnen ontwikkelen. De banken die kozen voor het gebruik van een eigen model voor operationeel risico, hebben de afgelopen jaren dan ook veel energie gestoken in het opzetten van een verliesdatabase. De beperkte beschikbaarheid van eigen verliesgegevens kan worden opgelost door deze extern in te kopen. Deze moeten dan worden vertaald naar de eigen organisatie, onder andere door schalingsmethoden, en meegenomen worden bij de modelontwikkeling. Een alternatieve benadering is het ontwikkelen van een model aan de hand van de uitkomsten van een beoordeling 7

8 verzekeringen van risico s en controles. Hierbij wordt in een aantal bijeenkomsten vastgesteld welke operationele aspecten verkeerd kunnen lopen in een proces, hoe groot de kans is dat dit gebeurt en welk verlies dit met zich meebrengt. Hoewel deze benadering subjectiever is dan de benaderingen waarbij daadwerkelijk verliesgegevens worden gebruikt, biedt deze werkwijze vaak een goede blik op toekomstige verliezen als gevolg van operationeel risico. In aanvulling op een beoordeling van risico s en controles worden vaak ook specifieke scenario s uitgewerkt door een panel van deskundigen om de invloed van bepaalde gebeurtenissen op de organisatie nader te kwantificeren. Deze methode ondervangt de kritiek dat verliezen uit het verleden zich minder snel nogmaals in dezelfde vorm zullen voordoen, omdat er maatregelen zijn genomen om deze te voorkomen. Deze kritiek wordt vaak geuit op berekeningen voor kapitaalvereisten voor operationeel risico die uitsluitend op een verliesdatabase zijn gebaseerd. Door verzekeringsmaatschappijen wordt op dit moment onderkend dat Solvency II grote gevolgen zal hebben voor de kapitaalberekeningen en de behoefte aan gegevens. Dit geldt niet alleen voor operationeel risico, maar ook voor de andere risicotypen, zoals verzekeringsrisico, marktrisico en kredietrisico. De behoefte aan additionele en meer gedetailleerde gegevens stelt uiteraard aanvullende eisen aan de organisatie en het beleid, risicomanagement en vooral IT. De invoering van Basel II heeft geleerd dat juist de inspanningen rond IT die nodig zijn om te voldoen aan de regelgeving, niet moeten worden onderschat. Informatietechnologie De gevolgen voor IT bestaan enerzijds uit de vereisten die Solvency II stelt aan de beheersing van IT, de zogenaamde IT governance, en anderzijds de gevolgen van het gebruik van gegevens uit (legacy-)systemen voor bijvoorbeeld het berekenen van kapitaalvereisten, het interne risicobeheersysteem en rapportages aan toezichthouders. Artikel 41 van de ontwerprichtlijn stelt dat verzekeringsmaatschappijen een effectief systeem van governance dienen te hebben, dat zorg draagt voor adequaat en zorgvuldig management van de dagelijkse gang van zaken. Het vervolg van artikel 41 leert dat dit systeem bestaat uit ten minste de vier elementen: risk management, internal control, internal audit en uitbesteding. Daarnaast wordt aangegeven dat het beleid inzake deze elementen dient te zijn geformaliseerd, gedocumenteerd en in de organisatie moet zijn geïmplementeerd. Dit geheel dient jaarlijks te worden geëvalueerd. Hierbij is de verwachting dat de toezichthouders, bij het gebruik van interne risicomodel- 8

9 len, een hogere mate van detail in de beschrijvingen van de vier elementen vereisen dan bij het hanteren van de standaardmodellen. Het risicobeheersysteem bestaat uit het geheel van strategieën, processen en rapportages die nodig zijn om de risico s van verzekeringsmaatschappijen op een continue basis te monitoren, beheersen en rapporteren. Om te komen tot adequate rapportages op het gebied van risk management is inzicht nodig in de dagelijkse activiteiten van de verzekeringsmaatschappij. Dit inzicht wordt verkregen uit het combineren en vervolgens analyseren van de diverse gegevens die beschikbaar zijn in de IT-systemen, zoals over geïncasseerde premies, uitgekeerde bedragen, ingenomen (beleggings)posities, storingen, fouten, et cetera. Vanwege het feit dat de gemiddelde verzekeringsmaatschappij een veelvoud aan administratieve (product)systemen heeft, is de IT-omgeving over het algemeen als complex aan te merken. Dit brengt ten aanzien van risk management-rapportages kwesties als beperkte mate van integratie van systemen en lage kwaliteit van data met zich mee. Door datavervuiling kunnen bijvoorbeeld risk management-rapportages onbetrouwbare resultaten opleveren. Daarnaast dienen vanzelfsprekend de (operationele) risico s van het gebruik van IT te worden beheerst, hetgeen de opmaat is voor de behandeling van de andere drie governance-elementen: internal control, internal audit en uitbesteding. Interne beheersing Het internal control system kent ten minste administratieve en verslaggevingsprocedures, een intern controleraamwerk, adequate rapportagelijnen en een permanente compliance-functie. Een onafhankelijke internal audit- functie dient periodiek te evalueren of de interne controle adequaat is ingericht en heeft gewerkt. Gezien de hoge graad van automatisering zal een belangrijk deel van de interne controle steunen op IT. Adequate beheersing van IT is daarom geen sinecure. Het hanteren van een op best practices gebaseerde methodiek zoals het COBIT-raamwerk (control objectives for information and related technology), is daarbij aan te bevelen. COBIT is een internationale de-factostandaard voor het beheersen van IT. In de huidige vierde versie van het COBIT-raamwerk worden 318 beheerdoelstellingen onderscheiden, die zijn gerangschikt naar vier beheerdomeinen: plan and organize; acquire and implement; deliver and support; monitor and evaluate. 9

10 verzekeringen Figuur 2 geeft het COBIT-raamwerk weer. Het COBIT-raamwerk kan zowel worden gebruikt voor de inrichting van het I-gerelateerde deel van het systeem van interne controle, als door internal audit-functies voor het beoordelen van dit systeem. Uitbesteding Het uitbesteden van operationele processen mag niet leiden tot afbreuk van de kwaliteit van het governance-systeem, het substantieel vergroten van de operationele risico s of het ondermijnen van een continue en adequate service aan polishouders. De verzekeringsmaatschappij blijft daarbij altijd verantwoordelijk voor de activiteiten die zij heeft uitbesteed. Uitbesteding van (delen van) de IT-functie en ook operationele processen is tegenwoordig gemeengoed: het zogenaamde business process outsourcing. Dit vraagt een sterke sturende rol van de verzekeringsmaatschappij, bijvoorbeeld door middel van een demand-organisatie. Een demand-organisatie is een organisatieonderdeel dat een regiefunctie vervult tussen de vraag van het bedrijf en het aanbod van de leverancier. Het COBIT-raamwerk schenkt specifiek aandacht enerzijds aan de beheersing van de selectie van uitbestedingspartners (beheerdomein AI5 Procure IT resources ) en anderzijds aan het beheersen van de dienstverlening door deze externe partij (beheerdomein DS2 Manage third-party services ). Gebruik van gegevens Solvency II heeft grote gevolgen voor het gebruik van gegevens door verzekeringsmaatschappijen. Bij het eerder genoemde onderzoek Solvency II: readiness & beyond gaf 57% van de respondenten aan dat het een grote uitdaging is om adequate gegevens te verkrijgen. Het gebruik van een grote verscheidenheid aan gegevens wordt onder Solvency II vergroot door drie factoren: wijziging van de wijze van het berekenen van kapitaalvereisten; het vergroten van de nadruk op een adequaat risk management-systeem; aanpassing van de rapportages aan toezichthouders. Onder Solvency II is het mogelijk dat een verzekeringsmaatschappij voor het berekenen van haar kapitaalvereisten gebruikmaakt van interne risicomodellen. Onder Basel II wordt ook een dergelijke werkwijze gevolgd. De inzichten voortkomend uit historische gegevens en risicomodellen kunnen worden vertaald naar bijvoorbeeld risk-based pricing: het doorberekenen van risicoopslagen aan klanten. Vanwege de recente kredietcrisis met de subprimehypotheken is op deze aanpak forse kritiek geuit. De kern van de zaak draait om het gebruik van historische 10

11 Figuur 2. Het COBIT-raamwerk BUSINESS OBJECTIVES GOVERNANCE OBJECTIVES COBIT ME1 ME2 ME3 ME4 Monitor and evaluate IT performance. Monitor and evaluate internal control. Ensure compliance with external requirements. Provide IT governance. MONITOR EVALUATE INFORMATION CRITERIA Effectiveness Efficiency Confidentiality Intergrity Availability. Compliance Reliability IT RESOURCES PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 Define a strategic IT plan. Define the information architecture. Determine technological direction. Define the IT processes, organization and relationship. Manage the IT investment. Communicate management aims and direction. Manage IT human resources. Manage quality. Assess and manage IT risks. Manage projects. PLAN AND ORGANIZE Applications Information. Infrastructure People DELIVER SUPPORT ACQUIRE AND IMPLEMENT DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Define and manage service levels. Manage third-party services. Manage performance and capacity. Ensure continuous service. Ensure systems security. Identify and allocate costs. Educate and train users. Manage service desk and incidents. Manage the configuration. Manage problems. Manage data. Manage the physical environment. Manage operations. AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identify automated solutions. Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes. interne gegevens voor het voorspellen van toekomstige scenario s en daarbij behorende risico s. Een Europese bank die bijvoorbeeld niet rechtstreeks is getroffen door 9/11 of orkaan Katrina, heeft deze schok niet in haar interne historische gegevens en modellen verwerkt. Door de mondiale invloed van deze gebeurtenis heeft dit wel effect gehad op het risicoprofiel van de desbetreffende bank en haar portefeuille. De verwachting is dat onder Solvency II naast het gebruik van interne gegevens voor het hanteren van interne modellen, tevens gegevens dienen te worden gebruikt uit externe bronnen, hetgeen over het algemeen complex is vanwege bijvoorbeeld andere gegevensformaten en -definities die worden gehanteerd. Verder moet niet uit het oog worden verloren dat het ontwikkelen en gebruiken van een model slechts één element van risicokwantificering is. In aanvulling hierop dienen scenarioanalyses en stress tests te worden uitgevoerd. Hiermee kan worden voorkomen dat er blind op een model wordt gestuurd zonder na te denken over bijzondere omstandigheden. Zoals eerder beschreven vereist Solvency II een adequaat risicobeheersysteem. Een onderdeel van dit systeem zijn de rapportages. 11

12 verzekeringen Risicobeheerrapportages moeten alle belangrijke risicocategorieën omvatten, afgezet tegen de vooraf door de verzekeringsmaatschappij bepaalde risicotoleranties. In aansluiting op de eerder beschreven risicomodellen, vereist dit het verzamelen, analyseren en rapporteren van gegevens uit zowel interne als externe bronnen. Dit vindt plaats op zowel kwantitatieve als kwalitatieve wijze. Het verzamelen van gegevens vanuit de diverse organisatieonderdelen en een grote variëteit aan interne en externe systemen, brengt datakwaliteitsproblemen met zich mee op bijvoorbeeld het gebied van integriteit en continuïteit van gegevens. Door Solvency II zullen naar verwachting de huidige door DNB gehanteerde verslagstaten komen te vervallen. De verwachting is dat vooral de huidige staten solvabiliteit en organisatie en risico s zullen worden vervangen door nieuwe staten. Het merendeel van de informatie uit Solvency II zal echter moeten worden gerapporteerd in het (nieuwe) financial conditions report (FCR). Vanwege het feit dat de Solvency II-regels nog niet definitief zijn, is op dit moment nog onvoldoende duidelijk wat er op dit gebied gaat veranderen. De ervaring leert dat toezichthouders op basis van voortschrijdend inzicht (bijvoorbeeld de recente kredietcrisis!) hun vereisten aan verslagstaten bijstellen, waardoor de rapportagedruk zal toenemen. Dit vereist enerzijds gebruik van andere gegevens dan tot op heden. Anderzijds vereist dit een zekere mate van flexibiliteit van de aanleverende (legacy-)systemen alsmede de rapportagesystemen. Een in de praktijk veelvuldig gekozen oplossing hiervoor bestaat uit de invoering van een data warehouse, dat wordt gevoed door data vanuit de onderliggende (legacy-)systemen. Datakwaliteit Vanwege de jarenlange groei van verzekeringsmaatschappijen door middel van consolidaties, productinnovaties en diversificatie naar nieuwe distributiekanalen, is de kwaliteit van gegevens of ook wel datakwaliteit op dit moment nog steeds een discussiepunt. Verzekeringsmaatschappijen hebben grote hoeveelheden en soorten gegevens. Dezelfde gegevens worden in meerdere systemen opgeslagen. Elk systeem dat gegevens oplevert, kan eigen dataregels en -definities hebben. Onduidelijk is welk organisatieonderdeel eigenaar is van de data(systemen). Organisatiebreed beleid ten aanzien van data ontbreekt (bijvoorbeeld over hoe lang data bewaard moeten worden en wie data mag bewerken). Uit internationaal door Ernst & Young uitgevoerd onderzoek blijkt dat er een aantal veelvoorkomende aandachtspunten is ten aanzien van datakwaliteit. Deze zijn in onderstaande tabel weergegeven. 12

13 het (achteraf) is vast te stellen dat de integriteit en exclusiviteit van gegevens is gewaarborgd en in de toekomst gewaarborgd blijft. Ervaringen uit de praktijk leren dat dit onderwerp als lastig wordt ervaren. Vooral de administratieve lasten in de vorm van het vastleggen en voor bijvoorbeeld het samenstellen van rapportages. De verwachting is dat datakwaliteit de komende jaren een belangrijk onderwerp zal zijn voor verzekeringsmaatschappijen. De eerste stap daarin bestaat uit het op korte termijn starten met een datakwaliteitsprogramma. Dit Definitions and Standards. Ambiguous Business. Rules Multiple Formats for. Same Data Elements Different Meanings for. the Same Code Value Multiple Code Values. with the same Meaning Field Used for Unintended Data Data Content Missing Data. Invalid Data Data outside. Legal Domain Illogical Combinations. of Data Rogue Data Migration/ Integration. Rationalization Anomalies. Duplicate or Lost Data Figuur 3. Veelvoorkomende problemen ten aanzien van datakwaliteit De aspecten die kwaliteit van data bepalen zijn: Integriteit: de mate waarin de weer gegeven data in overeenstemming zijn met de werkelijkheid. Dit omvat elementen als juistheid, volledigheid en tijdigheid. Dit vereist eenduidige datadefinities en technische informatie over dataformaten, en waar deze data zijn opgeslagen (de zogenaamde data over data, of metadata). Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen en systemen toegang hebben tot en gebruikmaken van bepaalde dataelementen. Dit vereist strikte logische en fysieke toegangsbeveiliging. Tevens dient daarbij het eigenaarschap van gegevens in de organisatie te zijn vastgelegd. Controleerbaarheid: de mate waarin accorderen van toegang tot gegevens zullen hierdoor toenemen. Continuïteit: de mate waarin de data beschikbaar zijn en de gegevensverwerking ongestoord kan verlopen. Hierbij moet worden gedacht aan zaken als back-up en recovery en uitwijkmogelijkheden. Niet alleen technische uitwijk verdient daarbij de aandacht, maar ook businessuitwijk, bijvoorbeeld ten aanzien van de vraag waar de mensen naartoe gaan die verantwoordelijk zijn programma bestaat uit drie onderdelen: 1 Assess: analyseren van de huidige in- en externe (legacy-)systemen en de data die daarin beschikbaar zijn. Daarnaast bepalen wat de businessvereisten zijn ten aanzien van data (informatiebehoefte). Daarbij moet zo veel mogelijk rekening worden gehouden met Solvency II. Dit kan worden samengevat met de term: baseline data assessment. 2 Improve: op basis van de analyse uit 13

14 verzekeringen de vorige fase bepalen welke dataelementen kunnen worden gegroepeerd en welke data dienen te worden geschoond om zo de complexiteit te reduceren. Een belangrijk onderdeel hierbij is het hanteren van eenduidige datadefinities en formaten in een bedrijfsbreed datamodel (metadata). Hierbij worden datawarehouse-oplossingen gehanteerd, die een sterke organisatorische aansturing vereisen in verband met bijvoorbeeld eigenaarschap van data (data governance organization). 3 Monitor: het op continue basis monitoren van de datastromen ten einde de integriteit, exclusiviteit, controleerbaarheid en continuïteit van de gegevens en datastromen te waarborgen. Tot slot Door verzekeringsmaatschappijen wordt op dit moment onderkend dat Solvency II grote gevolgen heeft voor de berekeningswijze van kapitaalvereisten en de behoefte aan gegevens. Dit vertaalt zich in aanvullende eisen in het bijzonder voor IT. De invoering van Basel II heeft geleerd dat de inspanningen die nodig zijn om te voldoen aan de regelgeving niet moeten worden onderschat. In de bancaire sector is hiervoor inmiddels leergeld betaald. De invoering van Solvency II in 2012 lijkt ver weg, maar dat is het gezien de benodigde inspanningen niet. Voor de verzekeringsbranche is het zaak nu te starten om hier in een later stadium de vruchten van te plukken. Information Management: Objectives. Uses Perspective Business Rules. Metadata. Models Perform Baseline Data Assessment Source Data Extracts Recommendations Report Continued Monitoring Data Governance Organization Monthly Reports Risk Mitigation Initiatives. Data Clean-up. Source System Process Fixes Re-engineering. Transformation & Cleansing Specifications Figuur 4. Datakwaliteitsprogramma: assess, improve, monitor 14

15 Dit artikel is geschreven door Age-Jan van der Meer, Gerd-Jan van Wiggen en Wouter Vlag. Drs. A.J. van der Meer is werkzaam bij Ernst & Young EDP Audit. De heren ir. drs. G.J. van Wiggen en W. Vlag zijn werkzaam bij Ernst & Young Financial Services Risk Management

16 verzekeringen Herverzekeraars onder wettelijk toezicht Pim Schreuder en Rob Gaillard, Ernst & Young Accountants De ministerraad heeft ingestemd met wijziging van de Wet op het financieel toezicht (Wft) waarmee het toezicht op herverzekeraars binnen deze wet van kracht wordt. Met dit wetsvoorstel wordt een EG-richtlijn geïmplementeerd, die harmonisatie in het toezicht op herverzekeraars tot stand moet brengen. De geharmoniseerde wetgeving dient bij te dragen aan een efficiëntere en versterkte herverzekeringsmarkt binnen de Europese Unie. Het Nederlandse kabinet streeft naar inwerkingtreding van deze wet per 1 januari Deze bijdrage vangt aan met een korte schets van de huidige toezichtsituatie voor herverzekeraars. Vervolgens wordt ingegaan op een aantal bepalingen uit het wetsvoorstel die in het oog springen. Tot slot volgen enige constateringen. 16

17 Huidige situatie Op dit moment staan herverzekeraars in Nederland niet onder direct wettelijk toezicht. Een uitzondering hierop vormen herverzekeraars die onderdeel zijn van een groep. Dergelijke herverzekeraars vallen in Nederland onder het aanvullende groepstoezicht, waarvoor onder meer een solvabiliteitsberekening moet worden aangeleverd. In de huidige situatie voert DNB alleen indirect toezicht uit door het herverzekeringsbeleid van de verzekeraars te betrekken in het toezicht op directe verzekeraars. Directe verzekeraars leveren DNB informatie over hun herverzekeringsbeleid door middel van de verslagstaten, tijdens bezoeken van DNB en bij periodiek overleg met de toezichthouder. De Nederlandse wetgever is echter tot de conclusie gekomen dat dit onvoldoende mogelijkheden biedt om in te grijpen in situaties waarin herverzekeraars in financiële problemen raken of dreigen te geraken. Nederland behoort daarom tot de voorstanders van een Europese richtlijn betreffende toezicht op herverzekeraars. Gevolgen implementatie herverzekeringsrichtlijn Door de implementatie van de richtlijn ontstaat direct toezicht op herverzekeraars. In dit kader wordt de definitie van verzekeraar uitgebreid tot herverzekeraar, levensverzekeraar, naturauitvaartverzekeraar of schadeverzekeraar. Dit heeft tot gevolg dat alle artikelen die nu voor verzekeraars gelden, ook van toepassing worden op herverzekeraars, tenzij daarop in het wetsvoorstel een uitzondering wordt gemaakt. Voorts wordt aan het Wftdeel Markttoegang financiële ondernemingen een aparte afdeling met betrekking tot herverzekeraars en entiteiten voor risico-acceptatie toegevoegd. Het wetsvoorstel brengt op deze wijze grotendeels dezelfde hoofdregels als voor andere financiële ondernemingen. Wel is het uitgangspunt gehanteerd om bij de implementatie niet verder te gaan dan waartoe de richtlijn verplicht. Door de implementatie van de richtlijn ontstaat direct toezicht op herverzekeraars. Herverzekeraar is degene die zijn bedrijf maakt van het sluiten van herverzekeringen voor eigen rekening en het afwikkelen van die herverzekeringen. Onder herverzekering wordt verstaan de overdracht van risico van een verzekeraar en/of pensioenfonds aan een herverzekeraar. Volgens de toelichting bij het wetsvoorstel wordt binnen de Europese Unie ongeveer 10% van de totale verzekeringspremies besteed aan herverzekering. Schadeverzekeraars besteden ongeveer 18% van de premies aan herverzekering, levensverzekeraars circa 3%. De grootste herverzekeraars in Europa zetelen in Zwitserland. Binnen de Europese Unie zijn de grootste maatschappijen te vinden in Duitsland, het Verenigd Koninkrijk en Frankrijk. In Nederland is er sprake van een relatief kleine herverzekeringsindustrie. Volgens cijfers van DNB betreft dit ultimo 2006 slechts 23 ondernemingen, met een geschat brutopremieinkomen van circa 1,5 miljard. Deze 23 ondernemingen zijn verdeeld over 8 professionele herverzekeraars, 6 interne herverzekeraars en 9 herverzekering-captives. Een interne herverzekeraar accepteert risico s binnen een verzekeringsgroep. De herverzekering-captive houdt zich, als dochter van een financiële onderneming, niet zijnde een verzekeraar of niet-financiële onderneming, bezig met de acceptatie van risico s die een onderneming of groep loopt. Omdat niet alle herverzekeraars nog activiteiten verrichten en omdat er rekening gehouden wordt met zetelverplaatsingen, zullen naar verwachting circa 18 herverzekeraars onder het nieuwe herverzekeringstoezicht gaan vallen. De herverzekeringssector heeft een aantal specifieke kenmerken ten opzichte van de directe verzekeringsbranche. Door een grotere geografische spreiding en diversiteit in verzekerde risico s zijn de verzekeringspor- 17

18 verzekeringen tefeuilles van herverzekeraars gevarieerder dan de portefeuilles van directe verzekeraars. Voorts is een belangrijk verschil dat een herverzekeraar geen rechtstreekse contractuele relatie heeft met de consument. Omdat er alleen sprake is van relaties tussen professionele wederpartijen heeft de wetgever gekozen om geen specifiek gedragstoezicht op herverzekeraars te introduceren. Naast de herverzekeraar wordt in het wetsvoorstel de entiteit voor risicoacceptatie ingevoerd. Dit is een instelling, niet zijnde een verzekeraar, die door een verzekeraar overgedragen risico s accepteert en de acceptatie van die risico s uitsluitend financiert door van derden gelden aan te trekken waarvan de terugbetalingsverplichtingen zijn achtergesteld bij de betalingsverplichtingen die ontstaan uit het accepteren van de overgedragen risico s. Deze special purpose vehicles worden gebruikt om specifieke verzekeringsrisico s op de kapitaalmarkt af te dekken en zijn meestal opgericht door een levens-, schade- of herverzekeraar. De entiteit voor risico-acceptatie geeft vermogenstitels uit, waarbij het rendement afhangt van het verwachte schadeverloop van de onderliggende verzekeringsrisico s. Een bekend voorbeeld is de uitgifte van catastrophe bonds, vooral wanneer er sprake is van natuurrisico s. Als het onderhavige risico zich manifesteert, worden eerst de eigen verzekerden betaald. Daarna worden, afhankelijk van de omvang van het resterende vermogen, de houders van de obligaties geheel of gedeeltelijk terugbetaald. Dergelijke constructies worden vooral gebruikt voor risico s waarvan de kans dat deze zich voordoen klein is, maar de impact groot zal zijn indien het risico zich voordoet (low frequency, high impact). Omdat entiteiten voor risico-acceptatie, onder meer vanwege de volledige financiering, een lager risicoprofiel hebben dan herverzekeraars, zijn de prudentiële eisen in het wetsvoorstel lichter dan voor herverzekeraars. In Nederland komen nog vrijwel geen entiteiten voor risico-acceptatie voor. Om toch de mogelijkheid te bieden om van deze entiteiten gebruik te maken, worden in het wetsvoorstel regels geïntroduceerd. Wij richten ons in het vervolg van dit artikel uitsluitend op herverzekeraars. Gevolgen toezicht Via het Wft-deel Markttoegang financiële ondernemingen wordt de vergunningplicht voor herverzekeraars geïmplementeerd. Binnen Nederland is DNB bevoegd om de vergunning te verlenen, waarmee de herverzekeraar toegang heeft tot de financiële markt van alle lidstaten. Hierbij is uitgegaan van de grondbeginselen die ook gelden voor directe verzekeraars: 18

19 home country control; single licence. Home country control wil zeggen dat toezicht wordt gehouden op de herverzekeraar in de lidstaat waar die herverzekeraar zijn zetel heeft. Single licence betekent dat als een herverzekeraar een vergunning heeft, die door de bevoegde autoriteiten van alle lidstaten wordt erkend. Bij de vergunningaanvraag worden onder meer eisen gesteld aan betrouwbaarheid en deskundigheid van personen die de herverzekeraar leiden, het aantal personen dat het bestuur vormt, zeggenschapsstructuur, rechtsvorm, solvabiliteit en inrichting van de bedrijfsvoering. Voor herverzekeraars die hun bedrijf reeds voor 10 december 2005 uitoefenden, bestaat ten aanzien van de vergunningaanvraag een overgangsregeling. De stukken die moeten worden overgelegd bij het aanvragen van een vergunning worden genoemd in het Besluit markttoegang financiële ondernemingen Wft. DNB zal, in nog uit te vaardigen toezichthouderregels, nadere bepalingen voor herverzekeraars opnemen. Op grond van de Wft dienen herverzekeraars over voldoende solvabiliteit te beschikken. Op grond van artikel 3:57 Wft dienen herverzekeraars over voldoende solvabiliteit te beschikken. De aan te houden solvabiliteit wordt uitgedrukt in een (vereiste) solvabiliteitsmarge. Bij of krachtens algemene maatregel van bestuur (AMvB) worden regels gesteld met betrekking tot de berekening van de minimumomvang en samenstelling van de solvabiliteit en de waardering van de vermogensbestanddelen die tot de solvabiliteit kunnen worden gerekend. Zowel voor schadeherverzekeraars als voor levensherverzekeraars zullen de solvabiliteitsvereisten in het Besluit prudentiële regels mogelijk gebaseerd op de regelgeving voor schadeverzekeraars. In de praktijk blijkt namelijk dat het risicoprofiel van een levensherverzekeraar meer overeenkomt met een schadeverzekeraar dan met een levensverzekeraar. Dit komt doordat levensverzekeraars vooral het overlijdensrisico dat zij lopen herverzekeren. Herverzekeraars worden ingevolge artikel 3:72 verplicht om verslagstaten in te dienen bij de toezichthouder, die periodiek gecertificeerd dienen te worden door accountant en actuaris. Ingevolge artikel 3:67 Wft dienen de technische voorzieningen volledig door waarden gedekt te worden. Blijkens de EG richtlijn wordt aan herverzekeraars vrijheid van beleggen geboden zolang dit prudent gebeurt. Herverzekeraars kunnen hiermee een grotere vrijheid dan directe verzekeraars krijgen. De uitwerking van de regelgeving zal geïmplementeerd worden in het Besluit prudentiële regels Wft (BPR). Conclusie Met het implementeren van de herverzekeringsrichtlijn in de Wft is het fundament voor direct toezicht op herverzekeraars gelegd. Dat is van belang omdat financiële problemen bij herverzekeraars vergaande gevolgen hebben voor directe verzekeraars. De wijziging schakelt herverzekeraars zo veel mogelijk gelijk met directe verzekeraars, maar Nederland houdt zich daarbij aan de minimumeisen. Er blijven verschillen bestaan. De nadere uitwerking van de wijziging van de Wft krijgt nog zijn weerslag in lagere weten regelgeving, waaronder het Besluit prudentiële regels Wft (BPR) en nog uit te vaardigen toezichthouderregels. Eind 2007 moeten alle details van de gevolgen voor de (rapportage)verplichtingen voor herverzekeraars geheel in beeld zijn. Dit artikel is geschreven door Pim Schreuder en Rob Gaillard. De heren P. Schreuder RA en R.H. Gaillard RA zijn werkzaam bij Ernst & Young Accountants

20 assetmanagement Xander Wilaert, Ernst & Young Accountants De AO/ICverklaring van beleggingsinstellingen in de jaarverslagen over het jaar 2006 nader onderzocht Per 1 september 2005 zijn de Wet toezicht beleggingsinstellingen (Wtb) en het Besluit toezicht beleggingsinstellingen (Btb) ingrijpend veranderd. Een van de veranderingen was de verplichting tot het opnemen van een verklaring door de beheerder van beleggingsinstellingen over zowel de opzet als de effectieve werking van de administratieve organisatie en interne controle (AO/IC). We hebben onderzocht in hoeverre beheerders van beleggingsinstellingen hebben voldaan aan deze nieuwe verplichting in hun jaarverslag over 2006 en welke trends zijn te onderkennen in de formulering van deze AO/IC-verklaring. Dit artikel geeft een samenvatting van het onderzoek. 20