Bij het scoren moet een oordeel worden gegeven over de waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact.

BIJLAGE B: BEOORDELINGSCRITERIA VOOR INHERENT RISICO B1: RISICOCATEGORIE: MATCHING-/RENTERISICO Beoordeel het inherente risico voor de risicocategorie matching-/renterisico. Kies de score die het beste aansluit bij het profiel van de functionele activiteit c.q. de instelling. Hierbij hoeft niet steeds aan alle geformuleerde criteria voldaan te worden. Het is aan de toezichthouder om te beoordelen welke criteria de doorslag geven bij de toekenning van een score. Bij het scoren moet een oordeel worden gegeven over de waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact. Definitie matching-/renterisico Het risico als gevolg van het niet gematcht zijn van activa en passiva (inclusief off-balanceposten) dan wel inkomsten en uitgaven in termen van rentevoet, rentetypische looptijden, basisvaluta, liquiditeit typische looptijden en gevoeligheid voor ontwikkeling in prijspeil. Items van matching-/renterisico Rente Het risico dat rentefluctuaties - als gevolg van ontoereikende afstemming tussen rentegevoelige activa en passiva (inclusief off-balanceposten) op het gebied van rentelooptijden en rentevoet - leiden tot ongewenste effecten op balans en resultaat. Dit omvat tevens het risico als gevolg van herbeleggingen, toegezegde rendementsgaranties en embedded options. Valuta Het risico als gevolg van onvoldoende afstemming tussen activa en passiva, dan wel inkomsten en uitgaven op het gebied van vreemde valuta. Liquiditeit Het risico dat liquiditeitstekorten optreden als gevolg van het onvoldoende op elkaar afgestemd zijn van de timing en de omvang van inkomende en uitgaande kasstromen. Inflatie Het risico dat de instelling onvoldoende in staat is om (toenemende) verplichtingen als gevolg van (verwachte aanpassing aan) inflatie te financieren zonder belanghebbenden te benadelen. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 1 van 28

Beoordelingscriteria voor inherent risico 1. Laag inherent risico Het verschil in gemiddelde looptijd tussen activa en passiva dan wel de modified duration gap van het eigen vermogen/optionality extensie risk is gering. Ongedekte valutapositie ten opzichte van balanstotaal is laag. Pensioenregeling bevat geen indexatietoezegging. Geen gebruik van derivatenproducten of andere off-balance sheetproducten. Geringe mate van gevoeligheid voor veranderingen in absolute hoogte en vorm van yieldcurven. Ruim voldoende en zeer liquide werkkapitaal beschikbaar. Zeer regelmatige en voorspelbare kasstromen. Zeer beperkte verschillen in timing van ingaande en uitgaande kasstromen. Rentegevoeligheid van activa en passiva is zeer voorspelbaar. Vermogensratio s uitgedrukt in de basisvaluta zijn stabiel. Inflatie is laag. Producten bevatten geen rendementgaranties. Producten bevatten geen embedded options. Geen gebruik van opties in offertes. Exposures in andere valuta dan de basisvaluta zijn gering. Geen exposures, netto kasstromen in volatiele vreemde valuta. Verzekeraar heeft een volwassen, stabiele portefeuille waarbij inkomende en uitgaande kasstromen binnen een jaar in balans zijn. Er is derhalve geen sprake van een uitloopmaatschappij. 2. Beperkt inherent risico Het verschil in gemiddelde looptijd tussen activa en passiva dan wel de modified duration gap van het eigen vermogen/optionality extensie risk is gemiddeld. Ongedekte valutapositie ten opzichte van balanstotaal is beperkt. Pensioenregeling bevat een indexatietoezegging met een voorwaardelijk karakter. De ambitie is om jaarlijks de aanspraken aan te passen. Geen koppeling aan een ex ante bepaalde maatstaf. Beperkt gebruik van derivatenproducten of andere off-balance sheetproducten. Enige mate van gevoeligheid voor veranderingen in absolute hoogte en vorm van yieldcurven. Beschikbare werkkapitaal voldoende liquide. Regelmatige en redelijk voorspelbare kasstromen. Beperkte verschillen in timing van ingaande en uitgaande kasstromen. Rentegevoeligheid van activa en passiva is enigszins voorspelbaar. Vermogensratio s uitgedrukt in de basisvaluta vertonen enige schommelingen, maar deze zijn niet significant. Inflatie is laag tot gemiddeld. Producten bevatten beperkte of kortlopende rendementgaranties. Producten bevatten in beperkte mate embedded options. Beperkt gebruik van opties in offertes. Exposures in andere valuta dan de basisvaluta zijn gering. Beperkte exposures dan wel, netto kasstromen in volatiele vreemde valuta. Verzekeraar heeft een volwassen, stabiele portefeuille waarbij inkomende en uitgaande kasstromen binnen een jaar in balans zijn. Er is derhalve geen sprake van een uitloopmaatschappij. 3. Aanzienlijk inherent risico Het verschil in gemiddelde looptijd tussen activa en passiva dan wel de modified duration gap van het eigen vermogen/optionality extensie risk is aanzienlijk. Pensioenregeling bevat een indexatietoezegging met een voorwaardelijk karakter. De indexatietoezegging is gekoppeld aan een ex ante bepaalde maatstaf. De ambitie is om jaarlijkse aanspraken grotendeels aan te passen aan de ontwikkeling van de maatstaf. Regelmatig gebruik van derivatenproducten of andere offbalance sheetproducten. Aanzienlijke mate van gevoeligheid voor veranderingen in absolute hoogte en vorm van yieldcurven. Beschikbare werkkapitaal is onvoldoende liquide. Redelijk onregelmatige en veelal lastig te voorspellen kasstromen. Diverse verschillen in timing van in- en uitgaande kasstromen. Rentegevoeligheid van activa en passiva is moeilijk voorspelbaar. Vermogensratio s uitgedrukt in de basisvaluta vertonen aanzienlijke schommelingen. Inflatie is gemiddeld tot hoog. Producten bevatten veelal hoge of langlopende rendementgaranties. Producten bevatten veelal embedded options. Regelmatig gebruik van opties in offertes. Ongedekte exposures in andere valuta dan de basisvaluta zijn aanzienlijk. Aanzienlijke exposures dan wel netto kasstromen in volatiele vreemde valuta. Verzekeraar heeft een portefeuille waarbij inkomende en uitgaande kasstromen binnen een jaar niet geheel in balans zijn. Er is mogelijk sprake van een uitloopmaatschappij. 4. Hoog inherent risico Het verschil in gemiddelde looptijd tussen activa en passiva dan wel de modified duration gap van het eigen vermogen/optionality extensie risk is groot. Ongedekte valutapositie t.o.v. balanstotaal is groot Pensioenregeling bevat een onvoorwaardelijke indexatietoezegging. Veelvuldig gebruik van derivatenproducten of andere offbalance sheetproducten. Grote mate van gevoeligheid voor veranderingen in absolute hoogte en vorm van yieldcurven. Beschikbare werkkapitaal is slecht liquide. Zeer onregelmatige en moeilijk te voorspellen kasstromen. Grote verschillen in timing van ingaande en uitgaande kasstromen. Rentegevoeligheid van activa en passiva is onvoorspelbaar. Vermogensratio's uitgedrukt in de basisvaluta vertonen sterke schommelingen. Inflatie is hoog. Producten bevatten zeer hoge of langlopende rendementgaranties Producten bevatten zeer veel embedded options. Veelvuldig gebruik van opties in offertes. Exposures in andere valuta dan de basisvaluta zijn hoog. Grote exposures, netto kasstromen in volatiele vreemde valuta. Verzekeraar heeft een portefeuille waarbij inkomende en uitgaande kasstromen binnen een jaar niet goed in balans zijn. Er is sprake van een uitloopmaatschappij. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 2 van 28

B2: RISICOCATEGORIE: MARKTRISICO Beoordeel het inherente risico voor de risicocategorie marktrisico. Kies de score die het beste aansluit bij het profiel van de functionele activiteit c.q. de instelling. Hierbij hoeft niet steeds aan alle geformuleerde criteria voldaan te worden. Het is aan de toezichthouder om te beoordelen welke criteria de doorslag geven bij de toekenning van een score. Bij het scoren moet een oordeel worden gegeven over de waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact. Definitie marktrisico Het risico als gevolg van het blootstaan aan wijzigingen in marktprijzen van verhandelbare financiële instrumenten binnen een (handels-)portefeuille. Toelichting Voor banken geldt dat het marktrisico alleen betrekking heeft op het handelsboek, terwijl voor pensioenfondsen en verzekeraars geldt dat het marktrisico alleen betrekking heeft op de niet-rentedragende activa. Het marktrisico ten aanzien van de wel-rentedragende activa betreft immers primair het renterisico, wat als onderdeel van de risicocategorie Matching-/renterisico reeds is beoordeeld. Items van marktrisico Prijsvolatiliteit Het risico van veranderingen in de waarde van (verhandelbare instrumenten binnen) de portefeuille als gevolg van wijzigingen in marktprijzen. Marktliquiditeit Het risico dat aanwezige activa onvoldoende snel dan wel niet tegen acceptabele prijzen kunnen worden omgezet in liquide middelen. Concentratie en correlatie Het risico dat als gevolg van ontoereikende diversificatie binnen de portefeuille een bepaalde ontwikkeling of gebeurtenis een bovengemiddeld effect heeft op de waarde van de portefeuille. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 3 van 28

Beoordelingscriteria voor inherent risico 1. Laag inherent risico Portefeuille bestaat uit instrumenten met een lage volatiliteit (bijvoorbeeld geldmarktpapier en/of lineaire derivaten op geldmarktpapier). Lage tracking error. Relatieve positie van de instelling in de emissie dan wel de totale marktwaarde van een specifieke vermogenstitel is laag. Zeer geringe correlatie in de portefeuille. Omvang van de grootste post in de portefeuille ten opzichte van de totale portefeuille is zeer gering. Geen posities in instrumenten waarin weinig handel plaatsvindt. Geen OTC-producten. De instelling is werkzaam in een stabiele en voorspelbare economische/financiële omgeving. De instelling heeft nauwelijks posities in relatief sterk volatiele markten/landen (bijvoorbeeld emerging markets). Weinig tot geen posities of transacties in complexe financiële producten (waaronder derivaten) De handels- en beleggingsportefeuille is goed gediversifieerd in termen van: financiële producten; industrieën (sectoren); landen, regio s; tegenpartijen; resterende looptijden. Instelling beschikt over zeer liquide en courante beleggingen. Beleggingen lopen niet de kans om te worden onderworpen aan beschikkingsbeperkende maatregelen of andere omstandigheden. Denk hierbij aan maatregelen van overheden of effecten van verpandingen, repo-transacties et cetera. 2. Beperkt inherent risico Portefeuille bestaat uit instrumenten met een beperkte volatiliteit (bijvoorbeeld staatsobligaties, bedrijfsobligaties en lineaire derivaten op vorengenoemd papier). Beperkte tracking error. Relatieve positie van de instelling in de emissie dan wel de totale marktwaarde van een specifieke vermogenstitel is beperkt. Beperkte correlatie in de portefeuille. Omvang van de grootste post in de portefeuille ten opzichte van de totale portefeuille is beperkt. Beperkte posities in instrumenten waarin weinig handel plaatsvindt. In beperkte mate OTC-producten. De instelling is werkzaam in een redelijk stabiele en voorspelbare economische/ financiële markt. De instelling heeft in beperkte mate posities in relatief sterk volatiele markten/landen (bijvoorbeeld emerging markets). Soms posities of transacties in complexe financiële producten (waaronder derivaten). De handels- en beleggingsportefeuille is redelijk goed gediversifieerd in termen van: financiële producten; industrieën (sectoren); landen, regio s; tegenpartijen; resterende looptijden. Instelling beschikt over een redelijke hoeveelheid liquide en courante beleggingen. Beleggingen lopen een beperkte kans om te worden onderworpen aan beschikkingsbeperkende maatregelen of andere omstandigheden. Denk hierbij aan maatregelen van overheden of effecten van verpandingen, repo-transacties etc. 3. Aanzienlijk inherent risico Portefeuille bestaat uit instrumenten met een aanzienlijke volatiliteit (aandelen, non-speculatieve hedge funds en onroerend goed). Tracking error is gemiddeld. Relatieve positie van de instelling in de emissie dan wel de totale marktwaarde van een specifieke vermogenstitel is aanzienlijk. Correlatie in de portefeuille is aanzienlijk. Omvang van de grootste post in de portefeuille ten opzichte van de totale portefeuille is aanzienlijk. Aanzienlijke posities in instrumenten waarin weinig handel plaatsvindt. In ruime mate OTC producten. De instelling is werkzaam in een onstabiele omgeving met slecht voorspelbare economische/financiële ontwikkelingen. De instelling heeft diverse posities in relatief sterk volatiele markten/landen (bijvoorbeeld emerging markets). Regelmatig posities of transacties in complexe financiële producten (waaronder derivaten). De handels- en beleggingsportefeuille is beperkt gediversifieerd in termen van: financiële producten, industrieën (sectoren) landen, regio s, tegenpartijen, resterende looptijden Instelling beschikt over enkele beleggingen die op korte termijn niet zonder groot waardeverlies kunnen worden geliquideerd. Beleggingen lopen een aanzienlijke kans om te worden onderworpen aan beschikkingsbeperkende maatregelen of andere omstandigheden. Denk hierbij aan maatregelen van overheden of effecten van verpandingen, repo-transacties et cetera. 4. Hoog inherent risico Portefeuille bestaat uit instrumenten met een hoge volatiliteit (aandelen, speculatieve hedge funds, private equity). Tracking error is hoog. Relatieve positie van de instelling in de emissie dan wel de totale marktwaarde van een specifieke vermogenstitel is hoog. Hoge correlatie in de portefeuille. Omvang van de grootste post in de portefeuille ten opzichte van de totale portefeuille is hoog. Grote posities in instrumenten waarin weinig handel plaatsvindt. Veel OTC producten. De instelling is werkzaam in een zeer onstabiele omgeving met zeer slecht voorspelbare economische/ financiële ontwikkelingen. De instelling heeft significante posities in relatief sterk volatiele markten/landen (bijvoorbeeld emerging markets). Frequent posities of transacties in complexe financiële producten (waaronder derivaten). De handels- en beleggingsportefeuille is slecht gediversifieerd in termen van: financiële producten, industrieën (sectoren), landen, regio s, tegenpartijen, resterende looptijden Instelling beschikt over een grote hoeveelheid beleggingen die op korte termijn niet zonder significant waardeverlies kunnen worden geliquideerd. Beleggingen lopen een grote kans om te worden onderworpen aan beschikkingsbeperkende maatregelen of andere omstandigheden. Denk hierbij aan maatregelen van overheden of effecten van verpandingen, repo-transacties et cetera.. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 4 van 28

B3: RISICOCATEGORIE: KREDIETRISICO Beoordeel het inherente risico voor de risicocategorie kredietrisico. Kies de score die het beste aansluit bij het profiel van de functionele activiteit c.q. de instelling. Hierbij hoeft niet steeds aan alle geformuleerde criteria voldaan te worden. Het is aan de toezichthouder om te beoordelen welke criteria de doorslag geven bij de toekenning van een score. Bij het scoren moet een oordeel worden gegeven over de waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact. Definitie kredietrisico Het risico dat een tegenpartij contractuele of andere overeengekomen verplichtingen (waaronder verstrekte kredieten, leningen, vorderingen, ontvangen garanties) niet nakomt al dan niet als gevolg van het aan restricties onderhevig zijn van buitenlandse betalingen. Toelichting: Het kredietrisico ten aanzien van obligaties waarin een instelling belegd heeft wordt, mits de obligaties op een voldoende liquide markt worden verhandeld, als aspect van het marktrisico beschouwd. Items van kredietrisico Default probability Het risico dat partijen waaraan kredietfaciliteiten ter beschikking zijn gesteld (of waarbij in schuldpapier belegd is) hun verplichtingen niet of niet volledig nakomen. Concentratie en correlatie Het risico dat als gevolg van ontoereikende diversificatie binnen de portefeuille een bepaalde ontwikkeling of gebeurtenis een aanzienlijk tot hoog effect heeft op de waarde van de kredietportefeuille. Loss given default Het risico dat (maximum) verlies wordt geleden als gevolg van het niet of niet volledig nakomen van verplichtingen van partijen waaraan kredietfaciliteiten zijn verstrekt, rekening houdend met verkregen zekerheden. Exposure at default Het risico dat ontstaat doordat tegenpartijen bij dreigende defaults de hun ter beschikking gestelde faciliteiten kunnen benutten (voltrekken). Bijlage B - Beoordelingscriteria voor inherent risico Pagina 5 van 28

Beoordelingscriteria voor inherent risico 1. Laag inherent risico Gemiddelde rating van kredieten binnen de kredietportefeuille is uitstekend (lage PD). Gemiddeld korte resterende looptijden van vorderingen. Geen substantiële kredieten met lage ratings Uitstaande kredieten veelal hypotheken dan wel leningen aan overheidsgerelateerde instanties De marktbenadering en distributiekanalen van de instelling leiden niet tot een verhoogd aanbod van slechte kredieten. Nauwelijks tot geen uitstaande vorderingen op herverzekeraars en/of tussenpersonen. Omvang van de grootste post in de portefeuille ten opzichte van de totale portefeuille (met uitzondering van OECD overheidspapier) is laag. Grote-postenregeling; cumulatieve grenswaarde (in percentage van het toetsingsvermogen) is laag. Lage mate van concentratie van posities in: debiteuren; tegenpartijen; producten; bedrijfstakken; regio s/landen. Rekening-courantvordering van pensioenfonds op de sponsor is laag. Pensioenfonds heeft geen beleggingen in relatie tot de sponsor. Continuïteit sponsor van pensioenfonds staat buiten twijfel. Gemiddeld percentage loss given default (LGD) is laag. Exposure at default (EAD) ten opzichte van exposure op balans is laag. De instelling verstrekt geen bovenmatige kredietfaciliteiten. Weinig tot geen onbenutte kredietfaciliteiten Uitstaande posities zijn volledig gedekt door een aantal maatregelen zoals solide zekerheden of toepasselijke margeverplichtingen. Er is nauwelijks sprake van achterstelling van verstrekte kredieten. Lage kans op beperkingen of belemmeringen bij betalingen vanuit het buitenland. Karakteristieken van verkochte kredietproducten zijn niet zodanig dat exogene ontwikkelingen (bijvoorbeeld koersdalingen) kunnen leiden tot het bij grote groepen cliënten ontstaan van betalingsproblemen. Weinig klanten en kredieten binnen intensief beheer. 2. Beperkt inherent risico Gemiddelde rating van kredieten binnen de kredietportefeuille is goed (beperkte PD). Gemiddeld beperkte resterende looptijden van vorderingen. Omvang van de grootste post in de portefeuille ten opzichte van de totale portefeuille (met uitzondering van OECD overheidspapier) is beperkt. De marktbenadering en distributiekanalen van de instelling leiden tot een licht verhoogd aanbod van slechte kredieten. Beperkte omvang van uitstaande vorderingen op herverzekeraars en/of tussenpersonen Grote-postenregeling; cumulatieve grenswaarde (in percentage van het toetsingsvermogen) is beperkt Beperkte mate van concentratie van posities in: debiteuren; tegenpartijen; producten; bedrijfstakken; regio s/landen. Belegging dan wel rekening-courantvordering van pensioenfonds in relatie tot de sponsor is beperkt. Continuïteit sponsor van pensioenfonds geeft op de korte termijn geen reden tot zorg. Gemiddeld percentage loss given default (LGD) is beperkt. Exposure at default (EAD) ten opzichte van exposure op balans is beperkt. De instelling verstrekt weinig bovenmatige kredietfaciliteiten. Beperkte aantallen en omvang van onbenutte kredietfaciliteiten Uitstaande posities zijn voldoende, maar niet optimaal gedekt (door bijvoorbeeld redelijk solide zekerheden en/of acceptabele margeverplichtingen). Er is in beperkte mate sprake van achterstelling van verstrekte kredieten. Beperkte kans beperkingen of belemmeringen bij betalingen vanuit het buitenland. Slechts voor een enkel verkocht kredietproduct zijn de karakteristieken zodanig dat exogene ontwikkelingen (bijvoorbeeld koersdalingen) kunnen leiden tot het bij grote groepen cliënten ontstaan van betalingsproblemen of het juridisch succesvol aanvechten van betalingsverplichtingen. Beperkt aantal klanten en kredieten binnen intensief beheer. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 6 van 28

3. Aanzienlijk inherent risico Gemiddelde rating van kredieten binnen kredietportefeuille is matig (aanzienlijke PD). Gemiddeld aanzienlijke resterende looptijden van vorderingen. Omvang van de grootste post in de portefeuille ten opzichte van de totale portefeuille (met uitzondering van OECD overheidspapier) is aanzienlijk. Grote-postenregeling; cumulatieve grenswaarde (in percentage van het toetsingsvermogen) is aanzienlijk. De marktbenadering en distributiekanalen van de instelling leiden tot een verhoogd aanbod van slechte kredieten. Geen bovenmatige uitstaande vorderingen op herverzekeraars en/of tussenpersonen. Aanzienlijke mate van concentratie van posities in: debiteuren; tegenpartijen; producten; bedrijfstakken; regio s/landen. Belegging dan wel rekening-courantvordering van pensioenfonds in relatie tot de sponsor is aanzienlijk. Continuïteit sponsor van pensioenfonds is onbekend. Gemiddeld percentage loss given default (LGD) is aanzienlijk. Exposure at default (EAD) ten opzichte van exposure op balans is aanzienlijk. De instelling verstrekt met enige regelmaat bovenmatige kredietfaciliteiten. Er is sprake van een aanzienlijk aantal en omvang van onbenutte kredietfaciliteiten Enkele uitstaande posities zijn onvoldoende gedekt door zekerheden of margeverplichtingen. Er is in ruime mate sprake van achterstelling van verstrekte kredieten. Aanzienlijke kans op beperkingen of belemmeringen bij betalingen vanuit het buitenland. Voor enkele belangrijke verkochte producten zijn de karakteristieken zodanig dat exogene ontwikkelingen (bijvoorbeeld koersdalingen) kunnen leiden tot het bij grote groepen cliënten ontstaan van betalingsproblemen of het juridisch succesvol aanvechten van betalingsverplichtingen. Aanzienlijk aantal klanten en kredieten binnen intensief beheer. 4. Hoog inherent risico Gemiddelde rating van kredieten binnen de kredietportefeuille is slecht (hoge PD). Gemiddeld lange resterende looptijden van vorderingen. Omvang van de grootste post in de portefeuille ten opzichte van de totale portefeuille (met uitzondering van OECD overheidspapier) is hoog. Uitstaande kredieten slechts beperkt bestaand uit hypotheken dan wel leningen aan overheidsgerelateerde instanties De marktbenadering en distributiekanalen van de instelling leiden tot een sterk verhoogd aanbod van slechte kredieten. Forse uitstaande vorderingen op herverzekeraars en/of tussenpersonen. Grote-postenregeling; cumulatieve grenswaarde (in percentage van het toetsingsvermogen) is hoog. Hoge mate van concentratie van posities in: debiteuren; tegenpartijen; producten; bedrijfstakken; regio s/landen. Belegging dan wel rekening-courantvordering van pensioenfonds in relatie tot de sponsor is hoog. Verder is er sprake van een backservice dan wel vijftienjaars VPL financieringsarrangement. Sponsor van pensioenfonds balanceert op de rand van faillissement. Gemiddeld percentage loss given default (LGD) is hoog. Exposure at default (EAD) ten opzichte van exposure op balans is hoog. De instelling verstrekt vaak bovenmatige kredietfaciliteiten. Groot aantal en omvang van onbenutte kredietfaciliteiten Een aantal significante uitstaande posities is onvoldoende of helemaal niet gedekt door zekerheden of margeverplichtingen. Er is in belangrijke mate sprake van achterstelling van verstrekte kredieten. Grote kans op beperkingen of belemmeringen bij betalingen vanuit het buitenland. Voor diverse verkochte producten zijn de karakteristieken zodanig dat exogene ontwikkelingen (bijvoorbeeld koersdalingen) kunnen leiden tot het bij grote groepen cliënten ontstaan van betalingsproblemen of het juridisch succesvol aanvechten van betalingsverplichtingen. Groot aantal klanten en kredieten binnen intensief beheer. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 7 van 28

B4: RISICOCATEGORIE: VERZEKERINGSTECHNISCH RISICO Beoordeel het inherente risico voor de risicocategorie verzekeringstechnisch risico. Kies de score die het beste aansluit bij het profiel van de functionele activiteit c.q. de instelling. Hierbij hoeft niet steeds aan alle geformuleerde criteria voldaan te worden. Het is aan de toezichthouder om te beoordelen welke criteria de doorslag geven bij de toekenning van een score. Bij het scoren moet een oordeel worden gegeven over de waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact. Definitie verzekeringstechnisch risico Het risico dat uitkeringen (nu dan wel in de toekomst) niet gefinancierd kunnen worden vanuit premie- en/of beleggingsinkomsten als gevolg van onjuiste en/of onvolledige (technische) aannames en grondslagen bij de ontwikkeling en premiestelling van het product. Items van verzekeringstechnisch risico Sterfte Het risico dat verliezen optreden als gevolg van verschillen tussen: de werkelijke en de veronderstelde sterfte; de werkelijke en de veronderstelde ontwikkeling in de sterfteverwachtingen. Arbeidsongeschiktheid Het risico dat verliezen optreden als gevolg van verschillen tussen: de werkelijke en de veronderstelde arbeidsongeschiktheid (inclusief revalidatie); de werkelijke en de veronderstelde ontwikkeling in de verwachtingen inzake arbeidsongeschiktheid (inclusief revalidatie). Toelichting: Ziektegeld/ ziekteverzuim wordt geacht onderdeel van dit arbeidsongeschiktheidsrisico te zijn. Schade Het risico dat verliezen optreden als gevolg van verschillen tussen: de werkelijke en de veronderstelde schade; de werkelijke en de veronderstelde ontwikkeling van schade; mogelijk voortkomend uit: gevoeligheid voor veranderingen in omvang en frequentie van claims (waaronder claimgedrag); time-to-payment van toekomstige claims; de ontwikkeling van uitstaande claims; onvoorziene ontwikkelingen in soorten schades en/of oorzaken van schades. Toelichting: Ziektekosten worden geacht aspect van schade te zijn. Concentratie en correlatie Het risico dat als gevolg van ontoereikende diversificatie (van locatie en/of aard) van verzekerde risico s, een bepaalde (externe) ontwikkeling of gebeurtenis, waaronder catastrofes en calamiteiten, leidt tot een bovengemiddelde schadelast waardoor onvoorziene verliezen optreden. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 8 van 28

Beoordelingscriteria voor inherent risico 1. Laag inherent risico Uitloopresultaten laatste jaren positief. Nauwelijks variabiliteit in de schadepercentages. Zeer goede spreiding van schaderisico s naar objecten, regio s, oorzaken, beroepsgroepen, leeftijden en sectoren. Internationale spreiding van risico s. Premies levensverzekeringen bestaan slechts voor zeer klein deel uit risicopremies. Laag risicokapitaal voor levensverzekeringen Goede balans tussen kortleven- en langlevenrisico s in de portefeuille. Producten betreffen veelal eenvoudige (particuliere) risico s van beperkte omvang en korte uitloop. Geen waardevaste pakketten ten aanzien van natura-uitvaart verzekeringen Instelling introduceert weinig tot geen nieuwe producten dan wel alleen nieuwe producten die sterk zijn afgeleid van reeds bestaande producten. Geen complexe, industriële, uitzonderlijke risico s. Gevoeligheid voor catastrofes is laag. Geen of nauwelijks risicoverhogende ontwikkelingen in claimgedrag van verzekerden. Criteria voor vaststellen en beoordelen van schades en schadelast zeer eenduidig. Voorspelbaarheid van schadelast groot. Veel ervaringscijfers omtrent verzekerde risico s beschikbaar. Hoogte van individuele schades snel na moment van schade goed voorspelbaar Grote, volwassen en uitgebalanceerde portefeuille waar de wet van de grote getallen sterk op gaat. Laag verloop (royement) in de portefeuille. Technisch resultaat op sterfte laatste jaren jaarlijks positief. Technisch resultaat op arbeidsongeschiktheid laatste jaren jaarlijks positief. Combined ratio arbeidsongeschiktheid is laatste jaren stabiel en laag. Combined ratio schade is laatste jaren stabiel en laag. Het bestanddeel van de solvabiliteitsmarge gerelateerd aan het risicokapitaal (staat 300 na 3 (k) ten opzichte van de vereiste solvabiliteit) is zeer laag. Vereiste solvabiliteitsmarge op basis van de schade is fors lager dan die op basis van de premie is zeer laag. Saldo van technische voorzieningen (staat 141) ouder dan twee jaren ten opzichte van de in het boekjaar geboekte schaden is zeer laag. 2. Beperkt inherent risico Uitloopresultaten laatste jaren per saldo positief. Voorspelbaarheid van schadelast is goed. Goede spreiding van schaderisico s naar objecten, regio s, oorzaken, beroepsgroepen, leeftijden en sectoren. Nationale spreiding van risico s. Premies levensverzekeringen bestaan slechts voor klein deel uit risicopremies. Beperkt risicokapitaal voor levensverzekeringen Redelijke balans tussen kortleven en langlevenrisico s in de portefeuille. Producten betreffen veelal eenvoudige (particuliere) risico s. Slechts in beperkte mate waardevaste pakketten ten aanzien van natura-uitvaart verzekeringen Instelling introduceert in beperkte mate nieuwe producten dan wel veelal alleen nieuwe producten die sterk zijn afgeleid van reeds bestaande producten. Beperkte omvang van complexe, industriële, uitzonderlijke risico s. Gevoeligheid voor catastrofes is beperkt. In beperkte mate risicoverhogende ontwikkelingen in claimgedrag van verzekerden. Criteria voor vaststellen en beoordelen van schades en schadelast redelijk eenduidig. Ervaringscijfers omtrent verzekerde risico s beschikbaar. Hoogte van individuele schades na moment van schade goed voorspelbaar. Portefeuille waar de wet van de grote getallen sterk op gaat. Beperkt verloop (royement) in de portefeuille. Lage tot beperkte variabiliteit in de schadepercentages. Technisch resultaat op sterfte laatste jaren per saldo positief. Technisch resultaat op arbeidsongeschiktheid laatste jaren per saldo positief. Combined ratio arbeidsongeschiktheid is laag. Combined ratio schade is laag. Het bestanddeel van de solvabiliteitsmarge gerelateerd aan het risicokapitaal (staat 300 na 3 (k) ten opzichte van de vereiste solvabiliteit) is laag. Technisch resultaat op schade laatste jaren per saldo positief. Vereiste solvabiliteitsmarge op basis van de schade is lager dan die op basis van de premie is laag. Saldo van technische voorzieningen (staat 141) ouder dan twee jaren ten opzichte van de in het boekjaar geboekte schaden is laag. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 9 van 28

3. Aanzienlijk inherent risico Uitloopresultaten laatste jaren gemiddeld negatief. Voorspelbaarheid van schadelast is matig. Beperkte spreiding van schaderisico s naar objecten, regio s, oorzaken, beroepsgroepen, leeftijden en sectoren. Provinciale spreiding van risico s. Premies levensverzekeringen bestaan voor een belangrijk deel uit risicopremies. Aanzienlijk risicokapitaal voor levensverzekeringen Ongunstige balans tussen kortleven en langlevenrisico s in de portefeuille. Producten betreffen nauwelijks eenvoudige (particuliere) risico s. In aanzienlijke mate waardevaste pakketten ten aanzien van natura-uitvaart verzekeringen Instelling introduceert met zekere regelmaat nieuwe producten Aanzienlijke complexe, industriële, uitzonderlijke risico s. Gevoeligheid voor catastrofes is aanzienlijk. In aanzienlijke mate risicoverhogende ontwikkelingen in claimgedrag van verzekerden. Criteria voor vaststellen en beoordelen van schades en schadelast weinig eenduidig. Ervaringscijfers omtrent verzekerde risico s in beperkte mate beschikbaar. Hoogte van individuele schades na moment van schade nog aan verandering onderhevig. Portefeuille waar de wet van de grote getallen beperkt van toepassing is. Hoog verloop (royement) in de portefeuille. Aanzienlijke tot hoge variabiliteit in de schadepercentages. Technisch resultaat op sterfte laatste jaren per saldo negatief. Technisch resultaat op arbeidsongeschiktheid laatste jaren per saldo negatief. Combined ratio arbeidsongeschiktheid is aan de hoge kant. Combined ratio schade is aan de hoge kant. Het bestanddeel van de solvabiliteitsmarge gerelateerd aan het risicokapitaal (staat 300 na 3 (k) ten opzichte van de vereiste solvabiliteit) is aanzienlijk. Vereiste solvabiliteitsmarge op basis van de schade hoger dan die op basis van de premie. Saldo van technische voorzieningen (staat 141) ouder dan twee jaren ten opzichte van de in het boekjaar geboekte schaden is aanzienlijk. 4. Hoog inherent risico Uitloopresultaten al langere tijd negatief. Voorspelbaarheid van schadelast is zeer moeilijk. Zeer beperkte spreiding van schaderisico s naar objecten, regio s, oorzaken, beroepsgroepen, leeftijden en sectoren. Spreiding van risico s: per agglomeratie. Premies levensverzekeringen bestaan grotendeels uit risicopremies. Hoogrisicokapitaal voor levensverzekeringen Zeer ongunstige balans tussen kortleven en langlevenrisico s in de portefeuille. Producten betreffen geen eenvoudige (particuliere) risico s. Veel waardevaste pakketten ten aanzien van natura-uitvaart verzekeringen Instelling introduceert frequent nieuwe producten. Veel en voornamelijk complexe, industriële, uitzonderlijke risico s. Gevoeligheid voor catastrofes is hoog. In grote mate is er sprake van risicoverhogende ontwikkelingen in het claimgedrag van verzekerden. Criteria voor vaststellen en beoordelen van schades en schadelast niet eenduidig. Ervaringscijfers omtrent verzekerde risico s niet beschikbaar. Hoogte van individuele schades na moment van schade nog aan sterke verandering onderhevig. Portefeuille waar de wet van de grote getallen niet van toepassing is. Zeer hoog verloop (royement) in de portefeuille. Hoge variabiliteit in de schadepercentages. Technisch resultaat op sterfte laatste jaren jaarlijks negatief. Technisch resultaat op arbeidsongeschiktheid laatste jaren jaarlijks negatief. Combined ratio arbeidsongeschiktheid is sterk volatiel en laatste jaren erg hoog. Combined ratio schade is sterk volatiel en laatste jaren erg hoog. Het bestanddeel van de solvabiliteitsmarge gerelateerd aan het risicokapitaal (staat 300 na 3 (k) ten opzichte van de vereiste solvabiliteit) is hoog. Vereiste solvabiliteitsmarge op basis van de schade is fors hoger dan die op basis van de premie. Saldo van technische voorzieningen (staat 141) ouder dan twee jaren ten opzichte van de in het boekjaar geboekte schaden is hoog. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 10 van 28

B5: RISICOCATEGORIE: OMGEVINGSRISICO Beoordeel het inherente risico voor de risicocategorie omgevingsrisico. Kies de score die het beste aansluit bij het profiel van de functionele activiteit c.q. de instelling. Hierbij hoeft niet steeds aan alle geformuleerde criteria voldaan te worden. Het is aan de toezichthouder om te beoordelen welke criteria de doorslag geven bij de toekenning van een score. Bij het scoren moet een oordeel worden gegeven over de waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact. Definitie omgevingsrisico Het risico als gevolg van buiten de instelling of groep komende veranderingen op het gebied van concurrentieverhoudingen, belanghebbenden, reputatie en ondernemingsklimaat. Items van omgevingsrisico Concurrentie Het risico dat de concurrentie- en marktpositie van de instelling wordt beïnvloed als gevolg van activiteiten, acties en/of besluiten van (nieuwe) concurrenten. Afhankelijkheid Het risico dat de invloed van en ontwikkelingen bij: aandeelhouders; andere groepsentiteiten; financiers; vakbonden; de sponsor; polishouders (waaronder deelnemers, slapers en gepensioneerden); resulteren in: conflicterende belangen met de instelling en/of; beïnvloeding van de financiële positie van de instelling. Hierbij kan onder andere gedacht worden aan de invloed van ontwikkelingen in de financiële positie (leidend tot meesleepgevaar), alsmede strategische besluiten. Voor pensioenfondsen kan hierbij tevens gedacht worden aan: wijziging van het draagvlak als gevolg van grote wijzigingen in het verzekerdenbestand (groei of krimp van de sponsor); het ontbreken van evenwichtige belangenbehartiging als gevolg van dominantie van de sponsor of dominantie van de door de sponsor benoemde bestuurders; de invloed van de sponsor op het beleggingsbeleid. Reputatie Het risico dat de marktpositie van de instelling verslechtert als gevolg van negatieve perceptie van het imago van de instelling door cliënten, tegenpartijen, aandeelhouders en/of regelgevende instanties. Ondernemingsklimaat Het risico als gevolg van veranderingen in de omgeving op het gebied van: economie; beursklimaat; loon- en/of koopkrachtontwikkeling; maatschappij; politiek; technologie. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 11 van 28

Beoordelingscriteria voor inherent risico 1. Laag inherent risico Belang (met zeggenschap) van de grootste aandeelhouder is laag. Aandeel van de omzet aan de grootste individuele afnemer (keten van afnemers geldt als één afnemer) is laag. Besluitvorming bestuur pensioenfonds is autonoom. Werknemersbestuursleden pensioenfonds zijn onafhankelijk en deskundig. Wijziging deelnemersbestand als gevolg van personeelsontwikkeling bij de sponsor is laag. De groep van belanghebbenden is zeer beperkt en overzichtelijk. Eenvoudige en transparante organisatiestructuur. Entiteit opereert grotendeels autonoom; geen onderdeel van een groep dan wel nauwelijks onderlinge afhankelijkheid of verwevenheid met andere entiteiten binnen de groep. Geen sturing van strategie, beleid en doelstellingen vanuit de groep. Geen branchevreemde, risicovolle, dan wel niet-gereguleerde activiteiten binnen een groepsconcern. Geen financieel instabiele onderdelen dan wel onderdelen met slechte reputatie binnen de groep die mogelijk een besmettingsgevaar voor de onder toezicht staande instellingen binnen de groep kunnen leiden. Lage concentratie van kapitaalbehoeftige activiteiten binnen een groepsconcern. Geen vestigingen in risicolanden. De instelling opereert in een zeer stabiele markt. Nauwelijks toe- /uittreders en/of fusies/overnames. Nauwelijks tot geen veranderingen in de bedrijfstak. Instelling opereert in een markt waar de gevoeligheid voor schade aan reputatie en vertrouwen nauwelijks van belang is. Geringe concurrentie; nauwelijks nieuwe producten/ substituten worden door de concurrentie op de markt gebracht. Concurrentie gedraagt zich rustig. De instelling heeft een uitstekende reputatie. Belangrijke concurrenten komen eveneens weinig negatief in het nieuws. Reputatie is nooit negatief beïnvloed door negatieve publiciteit als gevolg van wanverkoop van financiële producten. Instelling zelden onderwerp van rechtszaken en claims aangespannen of geëist door tegenpartijen. Technologie verandert niet veelvuldig. De instelling is nauwelijks gevoelig voor veranderingen/ ontwikkelingen van de technologie. Invloed hiervan op de effectiviteit van strategie, processen, producten en distributie is gering. Inflatie is laag. Mutatie in BBP is hoog. Producentenvertrouwen is hoog. Consumentenvertrouwen is hoog. 2. Beperkt inherent risico Belang (met zeggenschap) van de grootste aandeelhouder is beperkt. Aandeel van de omzet aan de grootste individuele afnemer (keten van afnemers geldt als één afnemer) is beperkt. Besluitvorming bestuur pensioenfonds is min of meer autonoom. Werknemersbestuursleden pensioenfonds conformeren zich wel eens aan de sponsor en zijn minder deskundig. Wijziging deelnemersbestand pensioenfonds als gevolg van personeelsontwikkeling bij de sponsor is beperkt. Incidenteel sprake van collectieve toe- en/of uittredingen. De groep van belanghebbenden is redelijk beperkt en overzichtelijk. Redelijk eenvoudige en transparante organisatiestructuur. Entiteiten opereren redelijk autonoom; redelijke onderlinge afhankelijkheid. Nauwelijks sturing van strategie, beleid en doelstellingen vanuit de groep. Nauwelijks branchevreemde, risicovolle dan wel nietgereguleerde activiteiten binnen een groepsconcern. Nauwelijks financieel instabiele onderdelen dan wel onderdelen met slechte reputatie binnen de groep die mogelijk een besmettingsgevaar voor de onder toezicht staande instelling binnen de groep kunnen leiden. Redelijk lage concentratie van kapitaalbehoeftige activiteiten binnen een groepsconcern. Een aantal vestigingen in risicolanden. De instelling opereert in een redelijk stabiele markt. Beperkt aantal toe-/uittreders en/of fusies/overnames. Een redelijk klein aantal veranderingen in de bedrijfstak. Instelling opereert in een markt waar de gevoeligheid voor schade aan reputatie en vertrouwen van beperkt belang is. Beperkte concurrentie; een aantal nieuwe producten/ substituten wordt door de concurrentie op de markt gebracht. Concurrentie gedraagt zich niet agressief. De instelling heeft een prima reputatie. Belangrijke concurrenten komen veelal positief in het nieuws. Reputatie wordt zelden beïnvloed door negatieve publiciteit als gevolg van wanverkoop van financiële producten. Instelling weinig frequent onderwerp van rechtszaken en claims aangespannen of geëist door tegenpartijen. Technologie verandert redelijk veelvuldig. De instelling is beperkt gevoelig voor veranderingen/ ontwikkelingen van de technologie. Invloed hiervan op de effectiviteit van strategie, processen, producten en distributie is beperkt. Inflatie is laag tot gemiddeld. Mutatie in BBP is gemiddeld. Producentenvertrouwen is gemiddeld. Consumentenvertrouwen is gemiddeld. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 12 van 28

3. Aanzienlijk inherent risico Belang (met zeggenschap) van de grootste aandeelhouder is aanzienlijk. Aandeel van de omzet aan de grootste individuele afnemer (keten van afnemers geldt als één afnemer) is aanzienlijk. Besluitvorming bestuur pensioenfonds is overwegend op basis van instructies van de sponsor. Werknemersbestuursleden pensioenfonds zijn voor hun functioneren enigszins afhankelijk van de sponsor. Wijziging deelnemersbestand pensioenfonds als gevolg van personeelsontwikkeling bij de sponsor is aanzienlijk. Regelmatig collectieve toe- en/of uittredingen. De groep van belanghebbenden is aanzienlijk en onoverzichtelijk. Vrij complexe en deels onduidelijke organisatiestructuur. Instelling maakt deel uit van een groep/concern. Entiteiten zijn afhankelijk van elkaar dan wel sterk onderling verweven. Sterke sturing van strategie, beleid en doelstellingen vanuit de groep. Een aanzienlijk aantal branchevreemde, risicovolle dan wel nietgereguleerde activiteiten binnen een groepsconcern. Een aanzienlijk aantal instabiele onderdelen dan wel onderdelen met slechte reputatie binnen de groep die mogelijk een besmettingsgevaar voor de onder toezicht staande instelling binnen de groep kunnen leiden. Aanzienlijke concentratie van kapitaalbehoeftige activiteiten binnen een groepsconcern. Aanzienlijk aantal vestigingen in risicolanden. De instelling opereert in een redelijke fluctuerende markt. Een aanzienlijk aantal toe-/uittreders en/of fusies/overnames. Een redelijk groot aantal veranderingen in de bedrijfstak. Instelling opereert in een markt waar de gevoeligheid voor schade aan reputatie en vertrouwen van groot belang is. Aanzienlijke concurrentie; een aanzienlijk aantal nieuwe producten/substituten wordt door de concurrentie op de markt gebracht. Concurrentie gedraagt zich agressief. De instelling heeft geen goede reputatie. Belangrijke concurrenten komen eveneens veelal negatief in het nieuws. Reputatie wordt soms beïnvloed door negatieve publiciteit als gevolg van wanverkoop van financiële producten. Instelling frequent onderwerp van rechtszaken en claims aangespannen of geëist door tegenpartijen. Technologie verandert veelvuldig. De instelling is in aanzienlijke mate gevoelig voor veranderingen/ontwikkelingen van de technologie. Invloed hiervan op de effectiviteit van strategie, processen, producten en distributie is aanzienlijk. Inflatie is gemiddeld tot hoog. Mutatie in BBP is laag. Producentenvertrouwen is laag. Consumentenvertrouwen is laag. 4. Hoog inherent risico Belang (met zeggenschap) van de grootste aandeelhouder is hoog. Aandeel van de omzet aan de grootste individuele afnemer (keten van afnemers geldt als één afnemer) is hoog. Besluitvorming bestuur pensioenfonds is afhankelijk van instructies van de sponsor. Werknemersbestuursleden pensioenfonds zijn voor hun functioneren afhankelijk van de sponsor. Wijziging deelnemersbestand pensioenfonds als gevolg van personeelsontwikkeling bij de sponsor is hoog. Vaak collectieve toe- en/of uittredingen. De groep van belanghebbenden is zeer groot en onoverzichtelijk. Complexe en niet transparante organisatiestructuur. Grote onderlinge afhankelijkheid of verwevenheid tussen de bedrijfsonderdelen.. Zeer sterke sturing van strategie, beleid en doelstellingen vanuit de groep. Diverse branchevreemde, risicovolle dan wel niet-gereguleerde activiteiten binnen een groepsconcern. Diverse financieel instabiele onderdelen dan wel onderdelen met slechte reputatie binnen de groep die mogelijk een besmettingsgevaar voor de onder toezicht staande instelling binnen de groep kunnen leiden. Hoge concentratie van kapitaalbehoeftige activiteiten binnen een groepsconcern. Een zeer hoog aantal vestigingen in risicolanden. De instelling opereert in een zeer fluctuerende markt. Zeer groot aantal toe-/uittreders en/of grote fusies/overnames. Een groot aantal veranderingen in de bedrijfstak. Instelling opereert in een markt waar de gevoeligheid voor schade aan reputatie en vertrouwen van zeer groot belang is. Hevige concurrentie; een groot aantal nieuwe producten/substituten wordt door de concurrentie op de markt gebracht. Concurrentie gedraagt zich zeer agressief. Instelling heeft een slechte reputatie. Belangrijke concurrenten hebben ook een slechte reputatie. Reputatie wordt regelmatig negatief beïnvloed door negatieve publiciteit als gevolg van wanverkoop van financiële producten. Instelling zeer frequent onderwerp van rechtszaken en claims aangespannen of geëist door tegenpartijen. Technologie verandert veelvuldig en de veranderingen zijn onvoorspelbaar. De instelling is zeer gevoelig voor veranderingen/ ontwikkelingen van de technologie. Invloed hiervan op de effectiviteit van strategie, processen, producten en distributie is hoog. Inflatie is hoog. Mutatie in BBP is zeer laag. Producentenvertrouwen is zeer laag. Consumentenvertrouwen is zeer laag. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 13 van 28

B6: RISICOCATEGORIE: OPERATIONEEL RISICO Beoordeel het inherente risico voor de risicocategorie operationeel risico. Kies de score die het beste aansluit bij het profiel van de functionele activiteit c.q. de instelling. Hierbij hoeft niet steeds aan alle geformuleerde criteria voldaan te worden. Het is aan de toezichthouder om te beoordelen welke criteria de doorslag geven bij de toekenning van een score. Bij het scoren moet een oordeel worden gegeven over de waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact. Definitie operationeel risico Het risico samenhangend met ondoelmatige of onvoldoende doeltreffende procesinrichting dan wel procesuitvoering. Items van operationeel risico (Pre)acceptatie/transactie Het risico van onvoldoende doelmatige en/of onvoldoende doeltreffende processen op het gebied van het aangaan van nieuwe betrekkingen (klantacceptatie, prijsbepaling en onderhandeling) met (nieuwe) klanten of tegenpartijen. Verwerking Het risico dat de doelmatigheid en doeltreffendheid van het verwerkingsproces wordt beïnvloed als gevolg van: inadequaat administreren van transacties en data; inadequaat bepalen en doorberekenen van premies en andere tarieven; inadequate klantenservice. Uitkering/betaling/settlement Het risico dat de doelmatigheid en doeltreffendheid van de uitvoering van het betalingsproces, settlement en/of clearingproces wordt beïnvloed. Informatie Het risico samenhangend met de vraag hoe cruciaal juiste, tijdige en volledige informatievoorziening is voor het adequaat sturen en beheersen van de betreffende activiteit en ter ondersteuning van adequate managementbeslissingen. Productontwikkeling Het risico dat de instelling producten introduceert die: niet voldoen aan de eisen en wensen van potentiële klanten; niet voldoen aan wet- en regelgeving; onvoldoende rendabel zijn; ongewenste risico s (voor de instelling dan wel voor haar klanten) met zich mee brengen; bij de introductie onvoldoende ondersteund kunnen worden door de processen, IT en medewerkers van de instelling. Kosten Het risico dat actuele of toekomstige (ontwikkeling in) kosten onvoldoende gefinancierd uit dan wel doorvertaald kunnen worden in toekomstige premies, tarieven en/of andere activiteiten. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 14 van 28

Personeel Het risico samenhangend met de vraag hoe cruciaal: kwalitatieve en/of kwantitatieve personele bezetting; wervingsproces personeel; beloningsbeleid; opleidings- en loopbaanbeleid; motiverende cultuur; sociaal beleid; is voor de doelmatigheid en doeltreffendheid van de uitvoering van de processen van de betreffende activiteit. Fraudegevoeligheid Het risico samenhangend met de vraag hoe gevoelig de instelling, haar producten en processen zijn voor: fraude door werknemers van de instelling; samenspanning door werknemers met derden; fraude door externen. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 15 van 28

Beoordelingscriteria voor inherent risico 1. Laag inherent risico Zeer eenvoudige transacties, routine, gemakkelijk te standaardiseren en automatiseren. Voor het proces is geen hooggekwalificeerd personeel nodig dan wel personeel met capaciteiten die schaars zijn. Portefeuillestructuur en productenpallet zeer stabiel. Grote samenhang in producten; sterk homogeen productenpallet. Eenvoudige producten die aan het publiek worden aangeboden, bij verkoop en in productvoorwaarden en promotiemateriaal veel aandacht voor het risico dat een cliënt loopt in geval een negatief scenario zich voordoet. Producten van de instelling niet gevoelig voor (pogingen tot) fraude van cliënten. Geen commerciële druk om nieuwe producten te produceren. Tijdens acceptatie en uitkeringsproces worden slechts eenvoudige en bescheiden verzekerings- of kredietrisico s beoordeeld. In geval van operationele fouten of falen kunnen deze eenvoudig en zonder schade hersteld worden. Er worden geen externe dienstverleners gebruikt voor het invoeren van gegevens. Gegevens zijn niet privacygevoelig. Geen koppelingen met externe systemen (bijvoorbeeld via internet). Sterk geautomatiseerde interne verwerking. Eenvoudige betalingssystemen. Zeer beperkt aantal medewerkers heeft toegang tot betaalmiddelen. Zeer stabiele processen; weinig tot geen aanpassingen in processen gedurende laatste jaar. Weinig tot geen verloop in personeel betrokken bij primaire processen. Resultaat op kosten over de afgelopen jaren jaarlijks positief. Betrouwbare stuurinformatie (management informatie) is niet van essentieel belang voor adequate en tijdige bijsturing en besluitvorming (onder andere vanwege stabiele posities, beperkte dynamiek, voorspelbare resultaten eenvoudige producten, eenvoudige organisatiestructuur en geringe omvang van de instelling). 2. Beperkt inherent risico Eenvoudige transacties, standaardisering mogelijk. Voor het proces is in beperkte mate hooggekwalificeerd personeel nodig dan wel personeel met capaciteiten die schaars zijn. Portefeuillestructuur en productenpallet veranderen nauwelijks. Duidelijke samenhang in producten. Nauwelijks complexe producten die aan het publiek worden aangeboden, bij verkoop en in productvoorwaarden en promotiemateriaal ruim aandacht voor het risico dat een cliënt loopt in geval een negatief scenario zich voordoet. Producten van de instelling nauwelijks gevoelig voor (pogingen tot) fraude van cliënten. Nauwelijks commerciële druk om nieuwe producten te produceren. Tijdens acceptatie en uitkeringsproces worden veelal eenvoudige en bescheiden verzekerings- of kredietrisico s beoordeeld. In geval van operationele fouten of falen kunnen deze redelijk eenvoudig en vrijwel zonder schade hersteld worden. Er wordt slechts een klein aantal externe dienstverleners gebruikt voor het invoeren van gegevens (die van gering belang zijn). Enkele gegevens zijn privacygevoelig. Enkele (geautomatiseerde) koppelingen. Redelijk eenvoudige betalingssystemen. Beperkt aantal medewerkers heeft toegang tot betaalmiddelen. Stabiele processen, beperkt aantal aanpassingen in processen gedurende laatste jaar. Gering verloop in personeel betrokken bij primaire processen. Resultaat op kosten over de afgelopen jaren per saldo positief. Betrouwbare informatie (managementinformatie) is van gemiddeld belang voor adequate en tijdige bijsturing en besluitvorming (onder andere vanwege relatief stabiele posities, beperkte dynamiek, relatief voorspelbare resultaten, relatief eenvoudige producten, relatief eenvoudige organisatiestructuur en relatief geringe omvang van de instelling). Bijlage B - Beoordelingscriteria voor inherent risico Pagina 16 van 28

3. Aanzienlijk inherent risico Complexe transacties, standaardisering van onderdelen mogelijk. Voor het proces is hooggekwalificeerd personeel nodig dan wel personeel met capaciteiten die schaars zijn. Portefeuillestructuur en productenpallet veranderen veelvuldig. Geringe samenhang in producten. Enkele complexe producten die aan het publiek worden aangeboden, bij verkoop en in productvoorwaarden en promotiemateriaal enige aandacht voor het risico dat een cliënt loopt in geval een negatief scenario zich voordoet. Producten van de instelling gevoelig voor (pogingen tot) fraude van cliënten. Commerciële druk om nieuwe producten te produceren. Tijdens acceptatie en uitkeringsproces worden veelal complexe en qua omvang relatief grote verzekeringsrisico- of kredietrisico s beoordeeld. In geval van operationele fouten of falen kunnen deze met moeite en met schade worden hersteld. Er worden enkele externe dienstverleners gebruikt voor het invoeren van belangrijke gegevens. Diverse gegevens zijn privacygevoelig. Diverse koppelingen, waarvan sommige handmatig Complexe betalingssystemen. Processen zijn niet zo stabiel, diverse aanpassingen in processen gedurende laatste jaar. Meer dan gemiddeld verloop in personeel betrokken bij primaire processen. Resultaat op kosten over de afgelopen jaren per saldo negatief. Betrouwbare informatie (managementinformatie) is van belang voor adequate en tijdige bijsturing en besluitvorming (onder andere vanwege enkele complexe producten, volatiele posities, aanzienlijke dynamiek, volatiele resultaten, complexe organisatiestructuur en middelgrote omvang van de instelling). Diverse medewerkers hebben toegang tot betaalmiddelen. 4. Hoog inherent risico Zeer complexe transacties, niet of nauwelijks te standaardiseren. Voor het proces is veel hooggekwalificeerd personeel nodig dan wel personeel met capaciteiten die schaars zijn. Portefeuillestructuur en productenpallet veranderen veelvuldig en veranderingen zijn belangrijk en onvoorspelbaar. Nauwelijks samenhang in producten. Veel complexe producten die aan het publiek worden aangeboden, bij verkoop en in productvoorwaarden en promotiemateriaal nauwelijks aandacht voor het risico dat een cliënt loopt in geval een negatief scenario zich voordoet. Producten van de instelling zijn zeer gevoelig voor (pogingen tot) fraude van cliënten. Aanzienlijke commerciële druk om nieuwe producten te produceren. Tijdens acceptatie en uitkeringsproces worden complexe en qua omvang grote verzekeringsrisico- of kredietrisico s beoordeeld. In geval van operationele fouten of falen kunnen deze zeer lastig en met aanzienlijke schade worden hersteld. Er worden diverse externe dienstverleners gebruikt voor het invoeren van belangrijke gegevens. Veel gegevens zijn privacygevoelig. Veel handmatige koppelingen. Zeer complexe betalingssystemen. Veel medewerkers hebben toegang tot betaalmiddelen. Processen zijn niet stabiel, veel aanpassingen in processen gedurende laatste jaar. Aanzienlijk verloop in personeel betrokken bij primaire processen. Resultaat op kosten over de afgelopen jaren jaarlijks negatief. Betrouwbare informatie (managementinformatie) is essentieel voor adequate en tijdige bijsturing en besluitvorming (onder andere vanwege complexe producten, zeer volatiele posities, grote dynamiek, zeer volatiele resultaten, complexe organisatiestructuur en grote omvang van de instelling). Bijlage B - Beoordelingscriteria voor inherent risico Pagina 17 van 28

B7: RISICOCATEGORIE: UITBESTEDINGSRISICO Beoordeel het inherente risico voor de risicocategorie uitbestedingsrisico. Kies de score die het beste aansluit bij het profiel van de functionele activiteit c.q. de instelling. Hierbij hoeft niet steeds aan alle geformuleerde criteria voldaan te worden. Het is aan de toezichthouder om te beoordelen welke criteria de doorslag geven bij de toekenning van een score. Bij het scoren moet een oordeel worden gegeven over de waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact. Definitie uitbestedingsrisico Het risico dat de continuïteit, integriteit en/of kwaliteit van de aan derden (al dan niet binnen een groep, al dan niet aan de sponsor) uitbestede werkzaamheden dan wel door deze derden ter beschikking gestelde apparatuur en personeel wordt geschaad. Items van uitbestedingsrisico Continuïteit bedrijfsvoering Het risico dat de continuïteit van (een deel van) de bedrijfsvoering van de instelling in gevaar komt als gevolg van ontoereikende financiële soliditeit van de tegenpartij, contractbreuk of het beëindigen van de activiteiten door de tegenpartij. Integriteit Het risico dat de reputatie dan wel de financiële positie van de instelling wordt geschaad als gevolg van het niet integer zijn van de bedrijfsvoering van de partij waaraan werkzaamheden zijn uitbesteed. Hieronder valt het risico van het ongewenst omgaan met vertrouwelijke gegevens door de tegenpartij. Kwaliteit dienstverlening Het risico dat de door de externe partij geleverde kwaliteit van de werkzaamheden niet in overeenstemming is met het door de instelling gewenste dan wel aan belanghebbenden toegezegde kwaliteitsniveau. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 18 van 28

Beoordelingscriteria voor inherent risico 1. Laag inherent risico Omvang uitbestede activiteiten is gering. Uitvoerende partij is algemeen bekende zeer solide partij met uitstekende reputatie waarmee gemakkelijk gecommuniceerd kan worden. Stabiele meerjarige relatie met uitvoerder. Zeer transparante relatie met uitvoerder. Merendeel van uitbestede activiteiten kan op korte termijn elders worden ondergebracht. Gegevens zijn niet privacygevoelig of vertrouwelijk. Eenvoudige activiteit, geen complex of omvangrijk bestand. Voor uitvoering van uitbesteed proces is geen hoogwaardige of schaarse kennis en ervaring nodig. Uitbestede processen en bestanden zijn zeer stabiel qua complexiteit en omvang. De uitvoerder heeft geen beschikking over of toegang tot (geld)middelen van klanten dan wel van de instelling. Uitbestede activiteit heeft geen betrekking op: directe support voor business processen; belangrijke business processen; core business processen. In geval van operationele fouten of falen kunnen deze eenvoudig en zonder schade hersteld worden. De instelling is (in omvang, qua reputatie) een zeer belangrijke klant voor de uitvoerder. De uitvoerder is in Nederland gevestigd. Specifiek voor ondernemingspensioenfondsen: enkele incidentele non-coreprocessen uitbesteed aan de sponsor. 2. Beperkt inherent risico Omvang uitbestede activiteiten is beperkt. Uitvoerende partij is algemeen bekende partij met prima reputatie waarmee redelijk gemakkelijk gecommuniceerd kan worden. Stabiele meerjarige relatie met uitvoerder. Transparante relatie met uitvoerder. Voor beperkt deel van de uitbestede activiteiten is geruime tijd nodig om activiteiten elders onder te brengen. Gegevens zijn deels privacygevoelig of vertrouwelijk. Eenvoudige activiteit, complex of omvangrijk bestand. Voor uitvoering van uitbesteed proces is nauwelijks hoogwaardige of schaarse kennis en ervaring nodig. Uitbestede processen en bestanden zijn stabiel qua complexiteit en omvang. De uitvoerder heeft in beperkte mate beschikking over of toegang tot (geld)middelen van klanten dan wel van de instelling. Uitbestede activiteit heeft betrekking op directe support voor businessprocessen. In geval van operationele fouten of falen kunnen deze redelijk eenvoudig en vrijwel zonder schade hersteld worden. De instelling is (in omvang, qua reputatie) een belangrijke klant voor de uitvoerder. De uitvoerder is in Europa gevestigd. Specifiek voor ondernemingspensioenfondsen: administratie en beleggingen extern uitbesteed, overige operationele processen uitbesteed aan de sponsor. 3. Aanzienlijk inherent risico Omvang uitbestede activiteiten is aanzienlijk. Uitvoerende partij is bekende partij waarmee soms moeilijk gecommuniceerd kan worden. Weinig stabiele dan wel kortdurende relatie met uitvoerder. Aanzienlijk intransparante relatie met uitvoerder. Voor diverse uitbestede activiteiten is geruime tijd nodig om activiteiten elders onder te brengen. Diverse gegevens zijn privacygevoelig (waaronder inkomen en vermogen) en vertrouwelijk. Complexe activiteit; complex of omvangrijk bestand. Voor uitvoering van uitbesteed proces is in beperkte mate hoogwaardige en schaarse kennis en ervaring nodig. Uitbestede processen en bestanden zijn dynamisch qua complexiteit en omvang. De uitvoerder heeft vaak beschikking over of toegang tot (geld)middelen van klanten dan wel van de instelling. Uitbestede activiteit heeft betrekking op belangrijk business proces. In geval van operationele fouten of falen kunnen deze met moeite en met schade worden hersteld. De instelling is (in omvang, qua reputatie) een gewone, reguliere klant voor de uitvoerder. De uitvoerder is buiten Europa, en in minder ontwikkelde markten gevestigd. Specifiek voor ondernemingspensioenfondsen: administratie en beleggingen extern uitbesteed, overige operationele processen uitbesteed aan de sponsor. Advisering aan het fonds loopt ook via de sponsor. Fonds heeft geen eigen bankrekening. 4. Hoog inherent risico Omvang uitbestede activiteiten is groot. Uitvoerende partij is onbekend dan wel partij met zeer slechte reputatie waarmee moeizaam gecommuniceerd kan worden. Instabiele dan wel nieuwe relatie met uitvoerder. Zeer intransparante relatie met uitvoerder. Aanzienlijke tijd nodig om merendeel van activiteiten elders onder te brengen. Veel privacygevoelige of vertrouwelijk gegevens ( waaronder ziektekosten en arbeidsongeschiktheid, gezindheid, strafrechtelijk verleden). Complexe activiteit; complex en omvangrijk bestand met grote verscheidenheid aan bijzondere kenmerken. Voor uitvoering van uitbesteed proces is hoogwaardige en schaarse kennis en ervaring nodig. Uitbestede processen en bestanden zijn zeer dynamisch qua complexiteit en omvang. Uitbestede activiteit heeft betrekking op core business proces. In geval van operationele fouten of falen kunnen deze zeer lastig en met aanzienlijke schade worden hersteld. De instelling is (in omvang, qua reputatie) nauwelijks van belang voor de uitvoerder. De uitvoerder is in opkomende, minder volwassen markten gevestigd. Specifiek voor ondernemingspensioenfondsen: sponsor is een internationaal concern, beleggingsactiviteiten alle fondsen gepoold en inbreng bestuur op beleid beperkt. Bijlage B - Beoordelingscriteria voor inherent risico Pagina 19 van 28

B8: RISICOCATEGORIE: IT-RISICO Beoordeel het inherente risico voor de risicocategorie IT-risico. Kies de score die het beste aansluit bij het profiel van de functionele activiteit c.q. de instelling. Hierbij hoeft niet steeds aan alle geformuleerde criteria voldaan te worden. Het is aan de toezichthouder om te beoordelen welke criteria de doorslag geven bij de toekenning van een score. Bij het scoren moet een oordeel worden gegeven over de waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact. Definitie IT-risico Het risico dat bedrijfsprocessen en informatievoorziening onvoldoende integer, niet continue of onvoldoende beveiligd worden ondersteund door IT. Items van IT-risico Strategie en beleid Het risico als gevolg van het niet of onvoldoende toegesneden zijn van IT-strategie en IT-beleid op de bedrijfsprocessen en de bestaande informatie- en dataverwerking waardoor onvoldoende ondersteuning wordt geboden aan processen en informatievoorziening. Beveiliging Het risico als gevolg van: het niet volledig of niet accuraat zijn van informatie/informatiesystemen/ processen; het niet toegankelijk zijn van informatie voor geautoriseerde gebruikers; het toegankelijk zijn van informatie voor niet geautoriseerde gebruikers. Beheersbaarheid Het risico als gevolg van: ontoereikend beheer van de ICT-omgeving en/of -processen en/of; het onvoldoende (tijdig) kunnen anticiperen op ontwikkelingen in de business, op technische innovaties of op overige externe factoren. Continuïteit Het risico dat de continuïteit van de (kritische) bedrijfsprocessen/de gehele instelling in gevaar komt als gevolg van het niet beschikbaar zijn van de IT-infrastructuur (waaronder applicaties en systemen). Bijlage B - Beoordelingscriteria voor inherent risico Pagina 20 van 28