Risicomanagementfunctie verzekeraars onder Solvency II

Transcriptie

1 Risicomanagementfunctie verzekeraars onder Solvency II AG Commissie ERM Leidraad stap 2: inrichting Introductie (Jasper) In dit document wordt inzicht gegeven in de mogelijke inrichting van de risicomanagementfunctie binnen een verzekeraar. Per 1 januari 2016 geldt Solvency II als toezichtskader voor verzekeraars in Europa en ook wereldwijd worden belangrijke onderdelen van Solvency II in verschillende landen overgenomen. Een belangrijk onderdeel van Solvency II bestaat uit governance-vereisten, welke zijn opgenomen in de zogenaamde 2e pijler. Hieronder vallen onder meer vier vereiste sleutelfuncties: de actuariële-, compliance-, risicomanagement- en interne auditfunctie. Met name de actuariële functie en de risicomanagementfunctie behoren tot het werkterrein van de actuaris. In stap 1 van deze leidraad is een overzicht gegeven van de inhoud en vereisten aan de risicomanagementfunctie in de verschillende levels van Solvency II-wet- en regelgeving. Dit document bevat stap 2 van de leidraad over de risicomanagementfunctie bij verzekeraars en gaat achtereenvolgens in op het 3 lines of defence principe, de praktische invulling van de Solvency II-vereisten conform de 3 lines of defence en de verschillende modellen van inrichting en voorbeelden in de praktijk. De kernboodschap van deze leidraad is als volgt samen te vatten: - Voor de inrichting van de risicomanagementfunctie is het 3 lines of defence raamwerk een logisch vertrekpunt; - Daarbinnen heeft de risicomanagementfunctie een 2 e lijns adviserende en toetsende rol. Een dergelijke 2e lijn heeft overlap met de 1 e lijn en kan op verschillende manieren ingevuld worden, waarbij ruimte is voor invulling die past bij de betreffende verzekeraar; - Hierbij dient voldaan te worden aan de randvoorwaarden voor good governance waaronder voldoende onafhankelijkheid en countervailing power; - Binnen Solvency II houdt de risicomanagementfunctie zich voornamelijk bezig met het integraal risicobeleid van de verzekeraar waaronder voorgeschreven risicogebieden; - De risicomanagementfunctie heeft overlap met andere sleutelfuncties waaronder de actuariële functie en kan daar mogelijk mee gecombineerd worden; - De best passende vorm van inrichting van de risicomanagementfunctie verschilt per verzekeraar en kan worden vastgesteld door analyse van externe vereisten en interne visie en voorkeuren; - Er bestaan diverse voorbeelden van inrichting van de risicomanagementfunctie waarbij naast Solvency II tevens een rol geldt bij zaken zoals risicocultuur, volwassenheidsmodellen en additionele vereisten zoals bijvoorbeeld die vanuit S&P. 1

2 1. Het 3 lines of defence principe (Jasper) Bij de inrichting van risicomanagement binnen een organisatie wordt in veel gevallen uitgegaan van het 3 lines of defence principe. Dit raamwerk is erop gericht verschillende rollen te onderscheiden bij het effectief uitvoeren en waarborgen van risicomanagement in brede zin. De rollen variëren hierbinnen van 1 e lijns uitvoering tot 2 e lijns controle en advies en 3 e lijns interne audit. Daarnaast gelden additionele externe waarborgen zoals de externe audit en toezicht in geval van bijvoorbeeld financiële instellingen. Een algemeen overzicht van de 3 lines of defence is onderstaand opgenomen, gebaseerd op de uitgangspunten van FERMA en ECIIA 1. Supervisory Board / Audit Committee Senior Management 1st line of defense Operations 2nd line of defense Financial control Risk management 3rd line of defense External audit Regulator Management controls Compliance Internal audit Internal controls Safety Health Environment & Quality Other De rollen van de 1 e, 2 e en 3 e lijn zijn als volgt te omschrijven: - 1 e lijn: als eerste verdedigingslinie geldt de reguliere operatie van de organisatie. Daarin worden risico s geïdentificeerd, beheerst en eventueel overgedragen. Het operationele management is bij de uitvoering daarvan betrokken en eindverantwoordelijk; - 2 e lijn: als tweede verdedigingslinie bestaan diverse functies die de reguliere operatie monitoren en ondersteunen. Deze functies kennen een kaderstellende, adviserende en ondersteunende en controlerende rol, zijn onafhankelijk van de 1 e lijn en kennen een eigen aansturing en verantwoordelijkheid. - 3 e lijn: als derde en laatste (interne) verdedigingslinie beoordeelt interne audit onafhankelijk de werking en effectiviteit van processen binnen de 1 e en 2 e lijn. Deze beoordeling vindt risicogebaseerd plaats, zodat vertrouwd kan worden op de inrichting en werking van de voornaamste processen binnen de organisatie in relatie tot risicomanagement. De extern accountant en eventuele toezichthouders zullen bij hun oordeel tevens gebruik maken van informatie uit de 1 e, 2 e en 3 e lijn en de werking van de 3 lines of defence als geheel. Een goed ingericht en werkend 3 lines of defence systeem kan derhalve resulteren in gedegen risicomanagement, maar ook efficiënte samenwerking met de extern accountant en toezichthouders bevorderen. Voor verzekeraars geldt dat Solvency II eisen stelt aan sleutelfuncties, dus ook aan de risicomanagementfunctie. Hoewel in Solvency II geen expliciete verwijzing wordt gemaakt naar de 3 1 Federation of European Risk Management Associations, FERMA en European Confederation of Insitutes of Internal Auditing : 2

3 lines of defence, wordt de vereiste risicomanagementfunctie (net als de actuariële functie en de compliance functie) in de regel beschouwd als een 2 e lijns functie 2. De vereisten aan het risicomanagementsysteem en de risicomanagementfunctie dienen derhalve te worden beschouwd vanuit het perspectief van een onafhankelijke 2 e lijns rol. De rol van de risicomanager is zowel controlerend als adviserend, en zowel ondersteunend aan de dagelijkse bedrijfsvoering als aan de strategische besluitvorming. Controle en toetsing Monitoren risicomanagementsysteem Monitoren algeheel risicoprofiel i.r.t. risicobereidheid Waarborgen kwaliteit output 1ste lijn Waarborgen beheerste procesgang Monitoren opvolging (risico) beleid Toetsen van strategische beslissingen aan relevante criteria, waaronder risicobereidheid Dagelijkse bedrijfsvoering Strategische besluitvorming Formuleren van aanbevelingen m.b.t. - de behandeling van de belangrijkste risico's - de effectiviteit/efficiëntie van de belangrijkste (risicomanagement)- processen - het risicomanagementsysteem, waaronder kaders voor het risicobeleid Doen van aanbevelingen m.b.t. strategische beslissingen Advies en ondersteuning De controlerende taken die tot de risicomanagementfunctie behoren zijn gericht op een integrale toetsing van het risicomanagementsysteem en het monitoren van de het algemene risicoprofiel van de onderneming als geheel. Hiermee wordt geborgd dat strategieën, processen en rapportageprocedures die nodig zijn om de risico s waaraan de onderneming blootstaan te beheersen, voortdurend worden onderkend, gemeten beheerd, bewaakt en gerapporteerd. De adviserende taken die tot de risicomanagementfunctie behoren zijn gericht op het bijstaan van 1 e lijns functies om het risicomanagementsysteem doeltreffend toe te passen en het uitbrengen van verslag en advies over risicomanagement kwesties. Dit kunnen onder andere strategische kwesties zijn, zoals bedrijfsstrategie, fusies en overnames en belangrijke projecten en investeringen. De risico s die onder het risicomanagementsysteem vallen dienen zowel in de 1 e lijns functie uitoefening onderkend te worden als ook in de 2 e lijns functie-uitoefening. De verantwoordelijkheid voor het voeren van een effectief risicomanagementsysteem ligt in de 1 e lijn bij het verantwoordelijke management 3 van de onderneming. 2 Gebaseerd op documentatie van DNB, diverse Europese actuariële beroepsverenigingen en de IAA 3 In de Solvency II regelgeving genoemd bestuurlijk, beleidsbepalend of toezichthoudend orgaan. 3

4 Keuzes bij invulling van 2 e lijns risicomanagement (Jasper) Hoewel de risicomanagementfunctie in beginsel als 2 e lijns een toetsende en adviserende rol acteert, kan er overlap bestaan met 1 e lijns uitvoering. Het is derhalve van belang na te gaan welke exacte rolverdeling in de praktijk wordt gekozen. 1e lijn risicomanagement Bedrijfsvoering Uitvoering risk management Besluitvorming Overlap: hoe in te richten? 2e lijn risicomanagement Kaderstelling Advisering en ondersteuning Controle en toetsing Bij het uitwerken van de exacte rolverdeling tussen 1 e lijns en 2 e lijns risicomanagement kan gebruik gemaakt worden van criteria per activiteit. Voor iedere risicomanagementactiviteit wordt vastgesteld of deze binnen de 1 e lijn of 2 e lijn valt. Daarvoor gelden objectieve en subjectieve criteria: - Objectieve criteria op basis waarvan vastgesteld kan worden of er per definitie sprake is van een 1 e of 2 e lijns risicomanagement activiteit zoals uitvoering van primaire bedrijfsprocessen, besluitvorming, toetsen van wet- en regelgeving en het beschikbaar stellen van beleidskaders; - Subjectieve criteria op basis waarvan een logische rolverdeling kan worden afgeleid zoals huidige processen, capaciteit binnen de 2 e lijn, onafhankelijkheid en borging van kennis. 4

5 Door deze criteria uit te werken kan intern worden nagegaan wat de best passende rolverdeling is. Daarbij gelden altijd de principes van Good Governance. Deze principes volgen uit verschillende bronnen zoals de Solvency II-eisen aan het system of governance 4, DNB-beleid en voorheen de Governance Principes Verzekeraars van het Verbond van Verzekeraars 5. De voornaamste uitgangspunten voor good governance zijn als volgt: - Operationele onafhankelijkheid: er dient een scheiding te zijn tussen uitvoering en toetsing van werkzaamheden, zodat geen situaties ontstaan waarin de slager eigen vlees keurt ; - Voldoende countervailing power: binnen iedere organisatie dient er voldoende tegenwicht te zijn bij besluitvorming, zodat belangen evenwichtig worden afgewogen; - Periodieke evaluatie van het governance systeem: de werking van het governance systeem dient met regelmaat getoetst te worden waarbij tevens een risicoanalyse plaatsvindt van mogelijke conflicterende rollen en belangen, zodat het governance systeem kan worden aangepast en eventueel mitigerende maatregelen kunnen worden genomen; - Externe checks & balances: los van de inrichting van de 3 lines of defence dient externe toetsing aanwezig te zijn in de vorm van een Raad van Commissarissen en externe audit. Zolang bovenstaande uitgangspunten goed geborgd worden kan de rolverdeling tussen 1 e lijns en 2 e lijns risicomanagement zelf worden bepaald, zodanig dat deze past bij de omvang, complexiteit en het profiel van de betreffende verzekeraar. Solvency II stelt vervolgens specifieke eisen aan de aandachtsgebieden van de risicomanagementfunctie. 4 EIOPA-BOS-14/253 5 De Governance Principes Verzekeraars zijn per vervallen vanwege de introductie van Solvency II. Een deel van de principes is overgenomen in de Gedragscode Verzekeraars van het Verbond van Verzekeraars. 5

6 2. Praktische invulling vereisten Solvency II conform 3 lines of defence Voor de vereiste taken en activiteiten van de risicomanagementfunctie een uitwerking van het onderscheid tussen een 1 e lijns invulling ervan en een 2 e lijns invulling ervan. Ook aandacht voor de overlap met de actuariële functie en hoe dit efficiënt ingericht kan worden. Zoals beschreven in stap 1 van de leidraad stelt Solvency II verschillende eisen aan het risicomanagementsysteem, het risicomanagementbeleid en de risicomanagementfunctie. Een onderdeel van het risicomanagementsysteem betreft de aanwezigheid van risicomanagementbeleid voor de verschillende risicogebieden waarin de volgende elementen naar voren komen: Het risicomanagementsysteem en de uitwerking hiervan in het risicomanagementbeleid valt onder de verantwoordelijkheid van het management. De risicomanagementfunctie heeft hierbij een faciliterende rol, monitort het beleid en brengt verslag uit aan het verantwoordelijk management ten aanzien van mogelijke materiële risico s en andere risicogebieden, zowel op eigen initiatief als op aangeven van het verantwoordelijk management. In onderstaande tabel is in het algemeen aangegeven wat de taken en vereisten zijn voor zowel de 1 ste als de 2 de lijns functie bij het risicomanagementbeleid: Taken en vereisten 1 ste lijn - Eigenaar en besluitvorming over het te voeren beleid - Verantwoordelijk voor het beoordelen van risico s - Uitvoering conform beleid Taken en vereisten 2 ste lijn - Kaderstelling door beheer van het beleid - Ondersteunend en adviserend t.a.v. 1 ste lijns uitvoering en de effectiviteit van beleid - Controlerend: - uitvoering conform betreffend beleid - effectiviteit betreffend beleid vaststellen Hieronder zijn twee voorbeelden uitgewerkt van de genoemde risicogebieden van Solvency II. Aangaan van verzekeringstechnische verplichtingen en reservevorming Het risicomanagementbeleid ten aanzien van het verzekeringstechnische risico en reserve risico bevat ten minste de volgende onderwerpen: - De karakteristieken van de gevoerde producten, waaronder het type verzekeringsrisico dat de onderneming bereid is te accepteren; - De wijze waarop zeker wordt gesteld dat premie-inkomsten voldoende zijn voor het dekken van de schade-uitkeringen en kosten; 6

7 - Het identificeren van risico s die voortkomen uit de verzekeringsverplichtingen, waaronder ingebouwde opties en gegarandeerde afkoopwaardes in de producten; - De wijze waarop in het proces van productontwerp en premieberekeningen, rekening wordt gehouden met limiteringen aan investeringen; - De wijze waarop in het proces van productontwerp en premieberekeningen, rekening wordt gehouden met herverzekeren of andere risicolimitering. Voorbeelden van 2 e lijn controleactiviteiten met betrekking tot de premieberekeningen zijn: - Inhoudelijke beoordeling van de adequaatheid van premiestelling (kostendekkendheid, inrekenen inflatie, risico-inschattingen, juridisch risico, bonus-malus etc.); - Beoordelen van de beoogde winstgevendheid en risico s bij de premiestelling aan de risicobereidheid; - Het beoordelen van maatregelen om het risico op onjuiste inschatting van de technische voorziening door onjuiste prijsstelling in te schatten en te beheren; - Toetsen van de separate onderdelen van een product approval proces (PAP) alsmede de onderlinge relaties en afhankelijkheden. Voorbeelden van 2 e lijns controleactiviteiten met betrekking tot de vaststelling van de technische voorzieningen zijn: - Inhoudelijke beoordeling van de vaststelling van de technische voorziening (methodieken, grondslagen, aannames, gebruikte gegevens) - Beoordelen van de mate van onzekerheid in de vaststelling van de technische voorziening en het benoemen van de grootste risicodrijvers van de technische voorzieningen. - Beoordelen van schaderegelingsprocedures waarbij wordt gekeken naar de mate waarin deze procedures de gehele schaderegelingscyclus bestrijkt. Afgestemd beheer van activa en passiva (asset liability management ALM) Het risicomanagementbeleid bevat ten minste de volgende onderwerpen ten aanzien van afgestemd beheer van activa en passiva: - Een beschrijving van de procedure voor identificatie en beoordeling van de verschillende oorzaken van een activa-passiva mismatch, ten minste met betrekking tot looptijd en valuta; - Een beschrijving van de risicolimiteringstechnieken die ingezet kunnen worden en het effect hiervan op het bereiken van afgestemd beheer van activa en passiva; - Een beschrijving van bewuste en toegestane mismatches; - Een beschrijving van de onderliggende methode en frequentie van stresstesten en de scenario s die uitgevoerd dienen te worden. De 2 e lijn heeft een controlerende rol bij analyses die worden uitgevoerd om het beheer van activa en passiva op elkaar af te stemmen. Enkele onderdelen waarop de toets dient plaats te vinden zijn: - De mate waarin een looptijdmismatch tussen activa en passiva bestaat; - Afhankelijkheid tussen de risico s die zijn verbonden aan de verschillende categorieën van activa en passiva (bijvoorbeeld rentegevoelige activa en passiva); - Afhankelijkheid tussen de risico s verbonden aan de verplichtingen (bijvoorbeeld renterisico); - Blootstellingen van de onderneming die niet tot uiting komen in de balans (bijvoorbeeld reputatierisico); 7

8 - Het effect van herverzekeren of andere risicolimitering op het afgestemde beheer van activa en passiva. Nauwe samenwerking risicomanagement en actuariële functie Voor bovengenoemde risicogebieden zal in praktijk veelal sprake zijn van een nauwe samenwerking tussen de actuariële functie en de risicomanagementfunctie (indien deze separaat belegd zijn binnen de organisatie, zie volgend hoofdstuk). Zo kan de actuariële functie de risicomanagementfunctie ondersteunen in het definiëren van het complexiteitsniveau van de toegepaste reserveringsmodellen, waarbij de complexiteit afhankelijk is van de mate van volledigheid van toegepaste data, de aard en complexiteit van het risico en de relevantie ten opzichte van andere risico s. Hetzelfde geldt voor de samenwerking met de actuariële functie waar het gaat om het modelleren van verzekeringstechnische risico s waarvoor zeker gesteld dient te worden dat aannames in de berekening van de technische voorzieningen consistent zijn met de toegepaste aannames in de berekening van de kapitaalsvereiste. 8

9 3. Verschillende modellen van inrichting en voorbeelden in de praktijk (John en Loes) Bij de inrichting van de risicomanagementfunctie spelen onder andere de volgende uitgangspunten een rol: - De volwassenheid van risicomanagement in de 1 ste lijn; - De (risico)cultuur binnen de organisatie; - De manier waarop de organisatie wordt aangestuurd; - Bestaande beloningsstructuren (incentives); - Het ambitieniveau van de organisatie ten aanzien van risicomanagement; - De manier waarop de belangrijkste processen binnen de organisatie zijn ingericht; - De strategie en risicostrategie van de organisatie; - De financiële positie van de organisatie. Inzicht in deze uitgangspunten is van cruciaal belang voor een efficiënte en effectieve inrichting en uitvoering van de risicomanagementfunctie, in relatie tot de andere sleutelfuncties onder Solvency II. Op basis van het inzicht in de uitgangspunten kan worden vastgesteld wat de beste manier is om de risicomanagementfunctie in te richten. Bij de inrichting speelt niet alleen de organisatorische inrichting een rol, in termen van afdelingen en rapportagelijnen, maar ook de softere positionering van werknemers werkzaam binnen de risicomanagementfunctie. Bij softere positionering kan bijvoorbeeld gedacht worden aan hoe en waar activiteiten worden uitgevoerd en met welke scope en diepgang. Hieronder volgt een toelichting per uitgangspunt en mogelijke consequenties voor de inrichting van de risicomanagementfunctie. Uitwerking van inrichting in de praktijk: afdelingen, rapportagelijnen, vastlegging governance, combinaties van sleutelfuncties, harde vs zachte 2e lijn, etc. Hierbij ook aandacht voor andere vereisten en stakeholders dan Solvency II voor de risicomanagementfunctie zoals S&P en Risk Culture. Ook aandacht voor andere risico s en taken dan die in Solvency II genoemd worden. Rol van de actuaris (NTB) Dit onderdeel is nog optioneel, later te bepalen. Conclusie (NTB) Invulling conclusie later te bepalen. 9