De Interne Auditfunctie en het Own Risk and Solvency Assessment (ORSA) Praktijkhandreiking

Praktijkhandreiking

De Interne Auditfunctie en het

Own Risk and Solvency Assessment (ORSA)

December 2015

Leden IIA werkgroep Praktijkhandreiking:

• Robert Gossen, internal auditor bij Univé Verzekeringen

• John de Kruiff, internal auditor bij Menzis

• Harry Kruk, internal auditor bij Delta Lloyd

• Ronald van de Langenberg, InAudit BV

• Patricia Michel, hoofd internal audit bij De Goudse Verzekeringen

• Ad Smits, manager internal audit bij Achmea

• Bas van der Vlist, risk manager bij De Goudse Verzekeringen

Dit document is ook in digitale vorm beschikbaar op www.iia.nl/vaktechniek

© IIA Nederland, Burgemeester Stramanweg 102A, 1101 AA AMSTERDAM

1 Inleiding

De EU-richtlijn Solvency II stelt expliciet eisen aan de governance inclusief het risicomanagementsysteem van (her)verzekeringsmaatschappijen. Solvency II is het nieuwe, risicogebaseerde toezichtraamwerk voor verzekeraars dat per 1 januari 2016 in werking treedt. Het kader bestaat uit de Solvency II-richtlijn (2009/138/EC) en de nadere invullingen daarvan in de vorm van de uitvoeringsverordening en technische standaarden.

Het Solvency II bouwwerk is gebaseerd op drie pijlers, te weten:

• Pijler I, de kwantitatieve eisen bestaande uit de waarderingsgrondslagen voor de economische balans, evenals de beoordeling van het vereiste en aanwezige vermogen. Uitgangspunten zijn marktwaarde en risicogevoeligheid.

• Pijler II, de kwalitatieve eisen die worden gesteld aan het System of Governance.

• Pijler III, de rapportage-eisen, zowel aan de toezichthouder als aan het maatschappelijk verkeer.

Binnen Solvency II wordt de Own Risk and Solvency Assessment (ORSA) beschouwd als het hart van het framework. Met de periodiek uit te voeren ORSA worden businessplanning, risicomanagement en kapitaal- beheeractiviteiten geïntegreerd. Met het ORSA voert een (her)verzekeraar een toekomstgerichte beoordeling uit op het toereikend zijn van het beschikbare kapitaal (de solvabiliteit). Daarbij wordt rekening gehouden met het eigen risicoprofiel, tolerantielimieten en bedrijfsstrategie. In figuur 1 is dit schematisch weergegeven.

Figuur 1: ORSA verbindend in de managementcyclus

Het ORSA stelt het management in staat om binnen de context van de eigen bedrijfsstrategie een verant- woorde afweging te maken van risico’s, kapitaal en rendement en vanuit de bestaande situatie vooruit te kijken naar de (middel)lange termijn. Het ORSA is een regulier proces dat minimaal jaarlijks dient te worden doorlopen. Bovendien dient bij iedere significante wijziging in het risicoprofiel een ORSA te worden uitge- voerd.

(Risk) Management

cycle

Risicobereidheid en Kapitaalmanagement

Strategie en Businessplanning

Performance management

Risico- identificatie

en -meting (modellering)

Rendement

bedrijfsactiviteiten Kapitaal-

allocatie

Van elke ORSA dienen de uitkomsten en conclusies na goedkeuring door het bestuur te worden gecom- municeerd met alle relevante afdelingen en de toezichthouder. Voor verzekeringsgroepen bestaat onder voorwaarden de mogelijkheid dit te doen met een groepsrapport.

Een schematisch voorbeeld van het ORSA-proces is onderstaand opgenomen (figuur 2).

Figuur 2: Voorbeeld van een ORSA-proceskader

In de huidige regelgeving is de onafhankelijke beoordeling van ORSA niet meer expliciet genoemd. Daarvoor in de plaats bevat de regelgeving¹ de algemene verplichting een onafhankelijke evaluatie van het System of Governance, inclusief de daarin opgenomen ORSA uit te voeren. Ook blijkt in praktijk dat bestuurders, commissarissen en ook DNB behoefte hebben aan comfort bij het ORSA. Hierbij is een belangrijke rol weggelegd voor Internal Audit, waarvan de kerntaak immers het geven van assurance over governance, risicomanagementsysteem en interne beheersing is. Met deze praktijkhandreiking geven wij invulling aan de rol die Internal Audit daarin kan nemen, waarbij de concrete toepassing altijd op maat moet worden gemaakt voor de individuele (her)verzekeraar. Daarnaast geven wij de randvoorwaarden van toepassing op deze praktijkhandreiking.

1 Art. 47.2 Directive 2009/138/EC of the European Parliament and of the Council of 25 November 2009 on the taking-up and pursuit of the business of Insurance and Reinsurance (Solvency II)

Rolling forecast / Business plan proces

Rapportage Mgt. Assesment &

besluitvorming Analyse

Iteratie vanuit mgt. assessment mogelijk

Trigger is RF/BP proces

Finale ORSA input OTSO Rolling Forecast/Business plan proces

Monitoren ORSA triggers Scenario & Stress

testen (S/ST)

Kapitaal Projecties Basisscenario S/ST

Belangrijkste risico’s

Voorbereiden Kwantitatief risico ass.

Appropriateness Assessment

Kwalitatief risico ass. ORSA input

rapport OTSO

SGW ORSA rapport

De door Internal Audit ten aanzien van het ORSA te verrichten werkzaamheden zijn afhankelijk van de aard van de door de Raad van Bestuur en/of de Raad van Commissarissen gegeven opdracht.

Mogelijke opdrachten zijn:

a. Het uitvoeren van een operational audit met als doel een oordeel te geven over de beheersing van het ORSA-proces of van specifieke onderdelen in het ORSA-proces. De door de (her)verzekeraar ingerichte managementcyclus voor het ORSA is hier het object van onderzoek.

b. Het uitvoeren van een compliance audit met als doel een oordeel te geven over de mate waarin het ORSA, of specifieke onderdelen van het ORSA, voldoen aan in wet- en regelgeving gestelde eisen.

In deze audit wordt getoetst aan de voor ORSA relevante bepalingen uit de Solvency II richtlijn en de Uitvoeringsverordening (Delegated Acts) en uit de richtsnoeren van de European Insurance and Occu- pational Pensions Authority (EIOPA). Omdat de richtsnoeren van EIOPA grotendeels betrekking hebben op beheersing zal er een grote overlap zijn met een operational audit.

c. Het uitvoeren van een audit, met als doel een oordeel te geven over de plausibiliteit² van de uitkomsten van het ORSA-proces of van specifieke onderdelen in het ORSA-proces. Gezien het toekomstgerichte perspectief van het ORSA zijn de uitkomsten naar hun aard subjectief, waarbij het maken van afwegin- gen een belangrijke rol speelt. Internal Audit kan de toekomstgerichte informatie onderzoeken en daar- over rapporteren, teneinde de geloofwaardigheid van de informatie te vergroten. Daarbij maken wij de kanttekening dat Internal Audit niet in staat is een oordeel uit te spreken of de uitkomsten zoals weerge- geven in het ORSA daadwerkelijk worden behaald. Er wordt dus een beperkte mate van assurance gegeven (negative assurance).

d. Het uitvoeren van specifieke overeengekomen werkzaamheden. Bij een dergelijke opdracht worden uitsluitend die werkzaamheden verricht die Internal Audit met de opdrachtgever is overeengekomen en rapporteert Internal Audit over de feitelijke bevindingen. Aangezien Internal Audit alleen verslag doet van de feitelijke bevindingen uit hoofde van de overeengekomen werkzaamheden wordt geen zekerheid verschaft. De gebruikers van het rapport moeten zich zelf een oordeel vormen over de werkzaamheden en bevindingen die door Internal Audit in het rapport zijn weergegeven.

e. Overige werkzaamheden, waaronder het geven van advies ten aanzien van (onderdelen van) het ORSA- proces of het faciliteren van het appropriateness assessment. Internal Audit bewaakt bij een dergelijke opdracht altijd dat de eigen objectiviteit ten aanzien van het ORSA niet in het gedrang komt.

In deze praktijkhandreiking zijn de onder a, b en c genoemde audits verder uitgewerkt. De onder d en e genoemde opdrachten zijn zodanig specifiek dat deze in dit document buiten beschouwing zijn gelaten.

2 Internal Audit en het ORSA-proces

2 Gesproken wordt over plausibiliteit om aan te geven dat het niet gaat om de exacte juistheid, maar om de waarschijnlijkheid of aannemelijkheid van de uitkomsten.

In de inleiding is een schematisch voorbeeld van de binnen ORSA te onderkennen stappen opgenomen.

Deze stappen zijn onderstaand nader beschreven. Ook geven we bij ieder van deze stappen de mogelijke invulling aan de rol van Internal Audit in de onderscheiden typen audits.

Voor een betrouwbare uitvoering van het ORSA moeten enkele randvoorwaardelijke zaken zijn ingevuld. In deze handreiking is verondersteld dat Internal Audit oog heeft voor deze randvoorwaarden, maar dat hierop afzonderlijke audits zijn uitgevoerd. Het gaat daarbij in het bijzonder om:

• De verzekeraar heeft een strategieproces geïmplementeerd. Niet alleen is de strategie het uitgangspunt voor het ORSA maar het ORSA kan ook leiden tot een aanpassing in de strategie. Ze zijn onlosmakelijk met elkaar verbonden;

• De verzekeraar heeft een adequaat governance ysteem ingericht dat voldoet aan de vereisten vanuit wet- en regelgeving, waaronder de sleutelfuncties en het 3-lines of defence model. Een goed gover- nancesysteem is voor elke verzekeraar randvoorwaardelijk voor de integere en beheerste bedrijfsvoering en heeft als doel dat de verzekeraar adequaat wordt bestuurd, waarbij risico’s tijdig en adequaat worden geïdentificeerd en beheerst. De eisen voor het governancesysteem behoren tot Pijler II van Solvency II en hebben betrekking op de interne organisatie waaronder sleutelfuncties, risicobeheer en interne con- trole, de betrouwbaarheid en deskundigheid van het senior management, interne toezichthouders, uitbestedingen en beloningen;

• De verzekeraar heeft een passende risicocultuur, waarin het senior management het goede voorbeeld geeft (tone at the top);

• Het risk appetite framework van de verzekeraar stelt duidelijke grenzen aan de bereidheid om in de reguliere bedrijfsprocessen risico’s te accepteren;

• Wanneer de verzekeraar gebruikmaakt van een (partieel) intern model beschikt zij over een adequaat proces voor modelontwikkeling en modelvalidatie, inclusief modelwijzigingsprocedure;

• De in ORSA gebruikte modellen worden daadwerkelijk gebruikt in de bedrijfsvoering (use test);

• In de processen van de verzekeraar is geborgd dat de voor het ORSA gebruikte data juist en volledig is.

De Solvency II regelgeving stelt strenge eisen aan de governance en kwaliteit van data. Verzekeraars dienen rollen en verantwoordelijkheden omtrent data helder te regelen. Daarnaast moeten zij inzicht hebben in datastromen die relevant zijn voor de berekening van de technische voorzieningen en de risicokapitalen, en de datastromen voor rapportagedoeleinden;

• De verzekeraar heeft, bijvoorbeeld als onderdeel van de modelvalidatie, vastgesteld dat te gebruiken data geschikt is.

De auditwerkzaamheden op genoemde randvoorwaardelijke aspecten zijn onderstaand niet verder uitge- werkt. Voor een kleine verzekeraar met een niet al te complex risicoprofiel is het op basis van proportionali- teit mogelijk dat Internal Audit ook 2e lijnstaken vervult. Deze handreiking beperkt zich echter tot de zuivere 3e lijnswerkzaamheden.

3.1 Voorbereiding van ORSA

3.1.1 Uitgangspunten

De uitvoering van het ORSA begint met een goede voorbereiding. Hierbij moet onder meer worden gedacht

3 De werkzaamheden

van Internal Audit

aan de beschikbaarheid van actueel ORSA-beleid, inclusief een duidelijke verdeling van rollen, taken en verantwoordelijkheden. Maar daarnaast ook inzicht in de belangrijkste veranderingen in de bedrijfsstrategie, eventuele aanpassingen in de risicobereidheid en/of risicocapaciteit, belangrijke ontwikkelingen in interne en externe omgeving en belangrijke verbeterpunten uit de vorige ORSA. De focus van de IAF richt zich in deze fase op het risico dat aan het doorlopen van het ORSA geen goede voorbereiding vooraf is gegaan, hetgeen afbreuk kan doen aan de betrouwbaarheid van de uitkomsten.

3.1.2 Mogelijke werkzaamheden Internal Audit

a. Bij een audit op de interne beheersing van het ORSA-proces

Bij de beoordeling van de voorbereiding van het ORSA-proces voert de IAF ten minste de volgende werkzaamheden uit:

• Vaststellen dat de verzekeraar beschikt over een ORSA-beleid dat is vastgesteld door het verantwoor- delijk bestuurlijk, beleidsbepalend of toezichthoudend orgaan (AMSB);

• Vaststellen dat het eigenaarschap en de verantwoordelijkheden ten aanzien van ORSA zijn vastge- legd in het ORSA-beleid;

• Vaststellen dat het ORSA-beleid ten minste de door EIOPA in haar richtsnoeren benoemde onderde- len bevat, te weten:

a) de beschrijving van de geïmplementeerde processen en procedures voor het uitvoeren van de prospectieve beoordeling van de eigen risico’s

b) een beschouwing van het verband tussen het risicoprofiel, de goedgekeurde risicotolerantie- limieten en de algehele solvabiliteitsbehoeften

c) informatie over

(i) hoe en hoe vaak stresstests, gevoeligheidsanalyses, reverse stresstests of andere relevante analyses moeten worden uitgevoerd,

(ii) datakwaliteitsnormen,

(iii) de frequentie van de beoordeling zelf en de motivering voor de toereikendheid van de gekozen frequentie, waarbij in het bijzonder het risicoprofiel van de verzekeraar en de volati- liteit van haar algehele solvabiliteitsbehoeften gerelateerd aan haar kapitaalpositie worden meegenomen,

(iv) de timing van de uitvoering van de prospectieve beoordeling van de eigen risico’s en de omstandigheden die aanleiding geven tot het uitvoeren van een prospectieve beoordeling van de eigen risico’s buiten de vastgelegde frequentie van een dergelijke beoordeling;

• Vaststellen dat het ORSA-beleid actueel is en jaarlijks, al dan niet na benodigde aanpassing door het management, is herbevestigd;

• Vaststellen dat eventuele aanpassingen in het ORSA-beleid zijn onderbouwd en gedocumenteerd.

• Vaststellen dat belangrijke veranderingen in de bedrijfsstrategie, aanpassingen in risicobereidheid en/

of risicocapaciteit en belangrijke ontwikkelingen in interne en externe omgeving zijn geïdentificeerd;

• Vaststellen dat de belangrijke aandachts- en verbeterpunten (lessons learned) uit de vorige ORSA in acht zijn genomen. Voor zover verbeterpunten of voorgenomen managementacties niet in gang zijn gezet dan liggen hier bewuste keuzes aan ten grondslag.

Het doorlopen ORSA-proces wordt afgesloten met een evaluatie, om daarmee mogelijke aandachtspunten en verbeterpunten voor een volgende keer vast te stellen.

b. Bij een audit op de compliance met EIOPA-richtsnoeren en ORSA-beleid of bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Omdat de EIOPA-richtsnoeren voor ORSA in essentie betrekking hebben op de inrichting van (een

onderdeel van) het risicomanagement worden bij de uitvoering van een compliance audit, maar ook bij een inhoudelijke beoordeling, op deze fase dezelfde werkzaamheden uitgevoerd als genoemd onder a.

3.2 Appropriateness assessment

3.2.1 Uitgangspunten

In het appropriateness assessment of passendheidsanalyse wordt beoordeeld of het model ter bepaling van het vereiste kapitaal (SCR) past bij het risicoprofiel van de verzekeraar. Het maakt daarbij niet uit of gebruik wordt gemaakt van de door EIOPA ontwikkelde Standaard Formule of dat de verzekeraar een eigen (Partieel) Intern Model heeft ontwikkeld. In beide situaties wordt in het kader van ORSA de passendheid beoordeeld. Daarmee is het input voor de management besluitvorming van het ORSA.

Bij deze beoordeling zijn ten minste vertegenwoordigers van Risk Management (methodologie) en van de business (kennis portefeuille) betrokken. Het appropriateness assessment richt zich op³:

• Een analyse van het risicoprofiel van de verzekeraar, een beoordeling van de redenen waarom de standaardformule of het gebruikte (partieel) intern model geschikt is en een rangschikking van de (materiële) risico’s;

• Een analyse van de gevoeligheid van de standaardformule of het (partieel) intern model voor veranderin- gen in het risicoprofiel, met inbegrip van de invloed van herverzekeringsfaciliteiten, diversificatie-effecten en de effecten van andere risicolimiteringstechnieken;

• Een beoordeling van de gevoeligheden van de SCR op de belangrijkste parameters, waaronder bij gebruik van de standaardformule- eventuele verzekeraarspecifieke parameters (USP’s);

• Bij gebruik van de standaard formule een beoordeling van de geschiktheid van de daarin opgenomen standaard parameters of verzekeraarspecifieke parameters;

• Een verklaring waarom aard, omvang en complexiteit van de risico’s rechtvaardigen dat enkele vereen- voudigingen zijn toegepast;

• Een analyse hoe de resultaten van de standaardformule of het (partieel) intern model worden gebruikt in de besluitvorming;

Deze beoordeling wordt op verschillende niveau’s gemaakt:

• De beoordeling per (sub)risicotype van zowel de methodologie, als van de compleetheid van de model- lering en de juistheid van de kalibratie;

• De beoordeling op het niveau van verzekeraar (OTSO) waarbij de risicotypen in samenhang worden bezien, rekening houdend met correlaties;

• Voor een verzekeringsgroep de beoordeling op groepsniveau waarbij de OTSO’s en eventuele andere vennootschappen in samenhang worden bezien, rekening houdend met mogelijke correlaties.

Verwachte uitkomsten van het assessment zijn:

• Overzicht per (sub)risicotype van door het management beoordeelde passendheid van standaard formule of intern model en het daadwerkelijk risicoprofiel. Dit is in ieder geval een kwalitatieve inschat- ting van mogelijke materiële afwijkingen op basis van methodiek, scenario’s, variabelen en correlaties.

Wanneer die analyse uitwijst dat de afwijking niet significant is, is het niet noodzakelijk een kwantitatieve beoordeling uit te voeren. In andere gevallen moet de mogelijke afwijking ook worden gekwantificeerd.

De standaardformule wordt als niet passend beschouwd wanneer het voor een (sub)risicotype berekend vereist kapitaal significant afwijkt van het werkelijk benodigd kapitaal. Wanneer sprake is van een signi-

3 EIOPA Final Report on Public Consultation No. 13/009 on the Proposal for Guidelines on Forward Looking Assessment of Own Risks, d.d.27 September 2013

ficante afwijking is in de regelgeving nog niet expliciet uitgewerkt. Door DNB⁴ is dit vooralsnog uitgewerkt als een afwijking die 10% of meer bedraagt van de totale SCR. Bij een afwijking tussen 10% en 15%

bestaat de mogelijkheid het niet passend zijn met sterke bewijzen te weerleggen;

• Onderbouwde managementbesluiten over hoe de verzekeraar omgaat met eventuele significante afwijkingen. Daarbij kan onder meer worden gedacht aan het reduceren van het risico, het toepassen van verzekeraar specifieke parameters (USP’s) of het ontwikkelen van een intern model;

• Duidelijke keuzes hoe de verzekeraar omgaat met de SCR ten behoeve van kapitaalprojecties.

De wijze van uitvoering en de (deel)conclusies van het assessment worden gedocumenteerd en vormen input voor de verdere ORSA. Wanneer blijkt dat een model niet helemaal passend is wordt vastgesteld of sprake is van een materiële afwijking en welke actie noodzakelijk is; bijvoorbeeld aanpassing van het model of het aanhouden van extra kapitaal. Naast de beoordeling of het gehanteerde model passend is voor het risicoprofiel van de (her)verzekeraar moet de (her)verzekeraar in het ORSA rekening houden met risico’s die niet opgenomen zijn in de standaardformule of het intern model. Hierbij valt bijvoorbeeld te denken aan strategische risico’s. De focus van de IAF richt zich in deze fase op het risico dat geen adequaat appropria- teness assessment is uitgevoerd, waardoor in de kapitaalprojecties een model is gebruikt dat onvoldoende past bij het risicoprofiel van de verzekeraar.

3.2.2 Mogelijke werkzaamheden Internal Audit

a/b. Bij een audit op de interne beheersing van het ORSA-proces, waaronder voldoen aan wet- en regelgeving

Bij de beoordeling van het appropriateness assessment voert de IAF ten minste de volgende werkzaam- heden uit:

• Beoordelen van de wijze waarop taken, verantwoordelijkheden en bevoegdheden in het appropriate- ness assessment zijn ingericht (opzet) en uitgevoerd (werking). Aandachtspunten daarbij zijn de invulling van de regierol, de betrokkenheid van methodologie-eigenaren voor de diverse risicotypen, de betrokkenheid van businessmedewerkers met gedegen kennis van producten, risico-exposures en de wijze waarop de risico’s zijn gemodelleerd;

• Bij een verzekeringsgroep het beoordelen of het appropriateness assessment voldoende rekening houdt met het risicoprofiel van iedere individuele onder toezicht staande entiteit;

• Vaststellen dat een actuele procesbeschrijving beschikbaar is van het appropriateness assessment;

• Vaststellen dat taken, bevoegdheden en verantwoordelijkheden ten aanzien van het appropriateness assessment duidelijk zijn beschreven. Besteed daarbij expliciet aandacht aan de betrokkenheid van het senior management, van de actuariële- en de risicomanagementfunctie;

• Beoordeel de wijze waarop het risicoprofiel is opgesteld. Denk daarbij aan de vastlegging van het doorlopen proces en de onafhankelijke inbreng van sleutelfuncties;

• Beoordelen van de ‘rating’systematiek: wanneer wordt een model als ‘geschikt’ gekwalificeerd (bv.

als afwijking in uitkomst op het vereist kapitaal) en wanneer is sprake van een significante onder- of overschatting waarop corrigerende acties noodzakelijk zijn. Wanneer gebruik wordt gemaakt van de standaardformule is dan bijvoorbeeld rekening gehouden met het feit dat deze is gebaseerd op gemiddelden van Europese verzekeraars en dat het risicoprofiel van de individuele verzekeraar hier van kan afwijken. Er is in overweging genomen dat de standaardformule enkele bekende tekort- komingen heeft. Voorbeelden daarvan zijn het ontbreken van volatiliteit in equity risk en intrest risk, het ontbreken van spread risk op staatsobligaties, schokken in property risk zijn gebaseerd op Engelse markt, gevoeligheid uitkomsten voor valutarisico’s;

• Vaststellen dat de uitkomsten van het assessment voldoende zijn onderbouwd en gedocumenteerd;

4 DNB Solvency II update-sessie, onderdeel ERB/ORSA d.d. 8 april 2015

• Vaststellen dat op de uitkomsten van het assessment een 2e lijnsreview heeft plaatsgevonden door de risicomanagementfunctie (of soortgelijke 2e lijnsfunctie) met gedegen kennis van de werking van het gehanteerde model en risicoprofiel van de (her)verzekeraar;

• Vaststellen dat wanneer op onderdelen (risicotypen) sprake is van significante afwijkingen er (passende/logische) corrigerende acties zijn genomen.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden uitgevoerd als genoemd onder a. Wel zal nadrukkelijker een eigen beoordeling plaatsvinden van de conclusies uit het assessment.

3.3 Risicoprofiel

3.3.1 Uitgangspunten

Het risicoprofiel van de verzekeraar vormt het vertrekpunt in het ORSA. Voor het management en haar ORSA is de vaststelling van een volledig integraal beeld van materiële risico’s op basis van de gekozen strategie essentieel. Dit beeld bepaalt mede de samenstelling en diepgang van scenario’s en stresstesten en de doorvertaling van kapitaalprojecties en risicobereidheid. Ook wordt hiermee de basis gelegd voor de management challenge en risicogebaseerde besluitvorming over (kapitaal)houdbaarheid van de gekozen strategie.

Materiële risico’s zijn risico’s die in de businessplanperiode een materiële impact kunnen hebben op het risicoprofiel en de kapitaalpositie. Dit zijn de risico’s waaraan de onderneming bloot staat of bloot zou kun- nen staan, rekening houdend met potentiële toekomstige veranderingen in haar risicoprofiel die het gevolg zijn van de bedrijfsstrategie van de onderneming of van het economisch en financieel klimaat, waaronder operationele risico’s. De risicoclassificatie kent daarmee de risicotypen waarvoor kapitaal wordt aangehou- den (verzekeringsrisico schade, verzekeringsrisico leven, verzekeringsrisico zorg, marktrisico, tegenpartij- risico, operationeel risico), maar ook de risicotypen die niet op voorhand kunnen worden gekwantificeerd in de standaardformule of het intern model (bijvoorbeeld strategische risico’s, liquiditeitsrisico).

Het identificeren van de materiële risico’s begint met een kwalitatief risicoassessment. Hierbij kan gebruik worden gemaakt van vele bronnen. Het kwalitatief risicoassessment vraagt om betrokkenheid van functiona- rissen die goede kennis hebben van de strategie van de verzekeraar, van relevante interne ontwikkelingen, van marktontwikkelingen, economische ontwikkelingen en andere externe ontwikkelingen. Aanvullend daarop vindt een kwantitatief risicoassessment plaats, waarbij onder meer gekeken wordt naar de opbouw van het vereist kapitaal, de ontwikkeling in de omvang en samenstelling van dit kapitaal in afgelopen perio- de en de drivers voor vereist kapitaal en ontwikkeling daarin.

Een veel gebruikte methodiek in het vervolgens rangschikken van geïdentificeerde risico’s is het inschatten van (a) de kans en de impact van de inherente (bruto) risico’s, (b)het risicobeperkend effect van beheers- maatregelen, en als afgeleide daarvan (c) het netto risicoprofiel. Het netto risicoprofiel wordt vervolgens afgezet tegen de risicobereidheid van de verzekeraar. Voor risico’s boven de risicobereidheid stelt de verze- keraar een aanvullende risicoreactie op, te weten:

• Accepteren van het risico en hier aanvullend kapitaal voor aanhouden;

• Verplaatsen van het risico naar derden, bijvoorbeeld door herverzekering;

• Aanvullende beheersmaatregelen treffen om het risico te beperken;

• Staken van de activiteiten die tot het risico leiden.

Het ORSA is een prospectieve beoordeling van de eigen risico’s en kapitaalbehoefte. In de prospectieve beoordeling van het risicoprofiel houdt de (her)verzekeraar rekening met het verwachte effect van voor- genomen beheersmaatregelen voor risico’s boven de risicobereidheid. In het ORSA beoordeelt de (her) verzekeraar de effectiviteit van de risicoreactie en bepaalt het effect van de risicoreactie op de benodigde kapitaalbuffers. De (her)verzekeraar houdt in de scenario- analyses rekening met mogelijk niet-effectieve (aanvullende) beheersmaatregelen.

Figuur 3: Schematische weergave onderscheiden risiconiveau’s

De focus van de IAF richt zich in deze fase op het risico dat de materiële risico’s niet adequaat worden geïdentificeerd, waardoor de input voor de risico-identificatie in het ORSA niet volledig en/of actueel is.

3.3.2 Mogelijke werkzaamheden Internal Audit

a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en regelgeving

Bij de beoordeling van het risicoprofiel voert de IAF ten minste de volgende werkzaamheden uit:

• Vaststellen dat in het ORSA-beleid van de verzekeraar is vastgelegd wat de link is tussen het risico- profiel, de risicobereidheid en de kapitaalsbehoefte;

• Vaststellen dat de belangrijkste risico’s die zijn geïdentificeerd in het risicomanagementsysteem van de verzekeraar zijn opgenomen in het bruto risicoprofiel in het ORSA;

• Vaststellen dat een ‘back testing’ heeft plaatsgevonden ten aanzien van in de vorige ORSA geïdenti- ficeerde risico’s. Er is getoetst of zich risico’s hebben voorgedaan buiten het destijds opgestelde risicoprofiel;

• Vaststellen dat wanneer het risicoprofiel ten opzichte van de vorige ORSA is gewijzigd dat de oor- zaken daarvan zijn gedocumenteerd;

• Beoordelen of in de risico-identificatie voldoende rekening is gehouden met het risicoprofiel van iedere individuele onder toezicht staande entiteit;

• Vaststellen dat in het bruto risicoprofiel zowel de specifieke risico’s van de onder toezicht staande entiteit als de groepsrisico’s (bv concentratierisico) die van invloed kunnen zijn op het risicoprofiel van de onder toezicht staande entiteit zijn opgenomen;

Restrisico’s (na management

actions) Netto risico’s na aanvullende risico reactie

Netto risico’s voor aanvullende risico reactie

Bruto risico’s

• Vaststellen dat een actuele procesbeschrijving beschikbaar is van de risico-identificatie;

• Vaststellen dat bij de risico-identificatie de relevante sleutelfunctionarissen aanwezig zijn geweest, dit zijn de functionarissen met de relevante kennis, ervaring en verantwoordelijkheden ten aanzien van de gehanteerde methodologie en businesskennis;

• Vaststellen dat in de risico-identificatie de (her)verzekeraar niet alleen rekening houdt met huidige risico’s, maar ook met risico’s die zich kunnen gaan ontwikkelen in de geprojecteerde periode;

• Vaststellen dat de geïdentificeerde risico’s in het ORSA door de risicomanagementfunctie (of andere soortgelijke 2e lijnsfunctie) zijn gechallenged op volledigheid en actualiteit;

• Vaststellen dat om de risico’s te prioriteren de inschatting van de kans en impact van de risico’s op een consistente manier is gedaan en inzichtelijk vastgelegd in het ORSA-dossier;

• Nagaan dat het AMSB-orgaan de belangrijkste risico’s en de risicotolerantie per risico(categorie) heeft vastgesteld;

• Vaststellen dat de bepaling van het netto risicoprofiel is onderbouwd met een toetsing van de aantoonbaar effectieve werking van de huidige beheersmaatregelen;

• Nagaan of het AMSB-orgaan een aanvullende risicoreactie heeft opgesteld voor de netto risico’s boven de risicolimiet;

• Vaststellen dat in het ORSA de effectiviteit en impact van de aanvullende risicoreactie is beoordeeld door de risicomanagementfunctie (of soortgelijke 2e lijns functie) en vastgelegd in het ORSA-dossier;

• Nagaan dat het AMSB-orgaan een kwalitatieve beoordeling heeft uitgevoerd van de risico’s die niet gekwantificeerd kunnen worden in de standaardformule of het interne model voor het berekenen van de SCR;

• Vaststellen dat de totstandkoming en uitkomsten van de risico-identificatie en het assessment zijn vastgelegd in het ORSA-dossier, evenals de beoordeling van de effectieve werking van de (aanvul - lende) beheersmaatregelen.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden uitgevoerd als genoemd onder a. Wel zal nadrukkelijker een eigen beoordeling plaatsvinden van de conclusies uit het assessment.

3.4 Scenario- en stresstesten

3.4.1 Uitgangspunten

In deze werkstap worden de in de kapitaalprojecties uit te voeren scenario- en stresstesten ontwikkeld en door het management vastgesteld. Het primaire doel van deze scenario- en stresstesten is de beoordeling dat voor de uitvoering van het businessplan (medium termijn plan) ook onder zwaar tegenvallende omstan- digheden nog voldoende kapitaal en liquiditeit beschikbaar is om voortdurend aan de solvabiliteitseisen te voldoen. Feitelijk is dit dus een check op de financiële robuustheid van de verzekeraar. Ook biedt het de mogelijkheid mogelijke zwakheden of zwakke plekken te identificeren, die aanleiding geven tot aanvullende acties.

De scenario- en stresstesten zijn gerelateerd aan de materiële risico’s van de (her)verzekeraar, maar kun- nen ook meerdere samenhangende risico’s tegelijk raken (bijvoorbeeld: het renterisico heeft ook invloed op de waardering van aandelen en onroerend goed of grote catastrofes met invloed op de premiestelling en solvabiliteit van herverzekeraars). De materiële risico’s kunnen ook risico’s zijn die niet zijn gekwantificeerd in de SCR, maar die kwalitatief in de beoordeling van de solvabiliteit zijn betrokken (bijvoorbeeld reputatie of liquiditeitsrisico). Uitgangspunt is dat alle materiële risico’s via de scenario- en stresstesten alsnog worden

gekwantificeerd. De methode van kwantificering kan variëren van expert judgement tot gemodelleerde berekeningen.

De (her)verzekeraar heeft als onderdeel van haar ORSA-beleid specifiek beleid voor de uitvoering van stresstesten, gevoeligheidsanalyses, reversed stresstesten en andere relevante analyses. Dit beleid geeft richting aan de wijze waarop scenario’s en stresstesten tot stand komen. Naast een kwalitatieve omschrij- ving met de specifieke kenmerken en overwegingen bij een scenario of stresstest wordt specifieke infor- matie gegeven over de te hanteren aannames en aan te passen parameters bij het doorrekenen van het scenario of de stresstest in het kapitaalprojectiemodel.

Het ligt voor de hand dat het basisscenario van het ORSA aansluit op de meerjarenbegroting van de (her) verzekeraar. Het ORSA is immers een integraal onderdeel van de strategische besluitvorming.

Bij het opstellen van de meerjarenforecast kan er sprake zijn van een neutrale, een optimistische of een pessimistische bias. Dit is niet altijd objectief vast te stellen. Door het goed documenteren van deze uit- gangspunten kan inzicht worden verschaft aan de gebruiker hoe dit basisscenario moet worden geïnterpre- teerd. Een neutrale bias heeft daarbij overigens de voorkeur.

Aanvullend op het basisscenario moeten meerdere scenario’s worden uitgewerkt, waarbij valt te denken aan:

• Generieke scenario’s, zoals bijvoorbeeld ontwikkeld door EIOPA of DNB;

• Bedrijfsspecifieke scenario’s, gebaseerd op de materiële risico’s van de (her)verzekeraar, waaronder - scenario’s voor langzaam optredende risico’s (bijvoorbeeld geleidelijk dalende rente);

- scenario’s voor snel optredende risico’s (catastrofes).

De scenario’s moeten voldoende zwaar zijn en inzicht geven in individuele en gecombineerde risico’s van de (her)verzekeraar en in de impact van mogelijke managementacties. Daarbij moet er ook een reverse stresstest c.q. near default scenario worden uitgewerkt .

De uit te voeren scenario- en stresstesten worden toereikend beschreven en vastgesteld door het verant- woordelijk governance-orgaan.

Het bepalen van goede stress-scenario’s voor individuele (her)verzekeraars vraagt een zekere mate van expert judgement. Deze expert judgement kan door sociaal gedrag worden beïnvloed, bijvoorbeeld door invloeden als gevolg van cognitieve dissonantie, framing, overschatting, groepsdenken en varianten hiervan.

Dit kan leiden tot zowel te zware als te lichte scenario’s. Omdat de doorgerekende uitkomsten van scena- rio’s uiteindelijk bepalend zijn voor het beeld van de mate waarin de verzekeraar over voldoende kapitaal beschikt is het zinvol in het scenariobeleid aandacht te schenken aan de beperking van deze risico’s.

Toekomstige managementacties

Managementacties zijn stappen die de verzekeraar in bepaalde omstandigheden neemt om risico’s te beheersen. Deze managementacties zijn veelal het reduceren van risico’s, dan wel het verhogen van het kapitaal.

Indien in het kader van de beheersing van risico’s risicotoleranties zijn bepaald en daarbij ook concreet is gemaakt welke acties worden ondernomen indien deze toleranties worden overschreden, kunnen deze managementacties worden meegenomen in de modellering van de scenario’s. Het in de modellen rekening houden met managementacties als deze niet concreet of tamelijk vrijblijvend zijn geformuleerd, dan wel wanneer deze op een te hoog niveau zijn geformuleerd (bijvoorbeeld als de SCR onder een bepaalde grens komt), zijn deze acties minder geschikt voor opname in de modellen als risicomitigatie.

Het identificeren van managementacties kan op verschillende plaatsen in het ORSA-proces. Het kan een integraal onderdeel zijn van het formuleren van stress-scenario’s, maar het kan ook volgen uit de fase van management-assessment (paragraaf 3.7).

De focus van de IAF richt zich in deze fase op het risico dat de ontwikkelde scenario’s en stresstesten ge- zamenlijk geen goed beeld geven van de materiële risico’s waaraan de (her)verzekeraar blootstaat. Dit kan worden veroorzaakt doordat niet voor ieder geïdentificeerd materieel risico een daaraan gerelateerde scena- rio- en stresstest is ontwikkeld, doordat ontwikkelde scenario’s en stresstesten niet voldoende zwaar zijn of doordat onvoldoende rekening is gehouden met toekomstige managementacties. Dit kan tot gevolg hebben dat de op basis van scenario’s en stresstesten gemaakte kapitaalprojecties niet voldoende betrouwbaar zijn.

3.4.2 Mogelijke werkzaamheden Internal Audit

a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en regelgeving

Bij de beoordeling van het risicoprofiel voert de IAF ten minste de volgende werkzaamheden uit:

• Vaststellen dat een actuele procesbeschrijving beschikbaar is van de vaststelling van scenario’s en stresstesten;

• Vaststellen dat taken, bevoegdheden en verantwoordelijkheden ten aanzien van de ontwikkeling en vaststelling van scenario’s en stresstesten duidelijk zijn beschreven. Besteed daarbij expliciet aan- dacht aan de betrokkenheid van het senior management, van de actuariële- en de risicomanage- mentfunctie;

• Beoordeel de wijze waarop scenario’s en stresstesten zijn opgesteld. Denk daarbij aan de vastlegging van het doorlopen proces, de onafhankelijke inbreng van sleutelfuncties en de objectieve onderbou- wing van de zwaarte van stress-scenario’s. Voor de onderbouwing kan mogelijk gebruik worden gemaakt van back testing;

• Vaststellen dat de ontwikkelde scenario’s en stresstesten duidelijk zijn vastgelegd, zowel de kwalita- tieve omschrijving als de kwantitatieve factoren;

• Vaststellen dat wanneer in scenario’s en stresstesten simplificaties zijn gebruikt (bijvoorbeeld opschalingen) deze voldoende zijn onderbouwd;

• Wanneer de vastgestelde scenario’s en stresstesten anders zijn dan in de vorige ORSA dan wordt vastgesteld dat hier een deugdelijke oorzaak aan ten grondslag ligt en dat deze voldoende is gedocu- menteerd;

• Wanneer de vastgestelde reverse stresstesten anders zijn dan in de vorige ORSA dan wordt vast- gesteld dat hier een deugdelijke oorzaak aan ten grondslag ligt en dat deze voldoende is gedocu- menteerd;

• Beoordelen of met de vastgestelde scenario’s en stresstesten alle materiële risico’s van de (her) verzekeraar voldoende zijn geraakt, zowel de individuele risico’s als gecombineerde risico’s;

• Beoordelen of de vastgestelde scenario’s en stresstesten voldoende rekening houden met het risico- profiel van iedere individuele onder toezicht staande entiteit;

• Vaststellen dat impliciete en expliciete managementacties zijn meegenomen in de uitwerking van de stress-scenario’s, en dat deze managementacties:

- voldoende concreet en toepasbaar zijn;

- realistisch lijken te zijn als het scenario zich daadwerkelijk voordoet;

- consistent zijn met bestaand beleid (bijvoorbeeld ten aanzien van beleggingen, herverzekering etc.);

- commitment hebben van het bestuur om de verwachte managementactie ook daadwerkelijk uit te voeren.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden uitgevoerd als genoemd onder a. Aanvullend worden de volgende werkzaamheden uitgevoerd:

• Vaststellen dat het basisscenario aansluit bij het goedgekeurde businessplan c.q. de meerjaren- begroting en ook adequaat is gedocumenteerd in de ORSA-rapportage;

• Vaststellen dat de gekozen stress-scenario’s ook aansluiten bij de (strategische) risico-analyses van de onderneming. De opgestelde scenario’s zijn passend voor het risicoprofiel van de (her)verzekeraar;

• Vaststellen of scenario’s en stresstesten in voldoende mate, en daar waar mogelijk de gekozen heftig- heid van het stress-scenario, voldoende objectief zijn onderbouwd aan de hand van interne bronin- formatie, en/of externe bronnen (bijvoorbeeld de Macro-economische verkenningen);

• Vaststellen of scenario’s en stresstesten in voldoende mate, en daar waar mogelijk de gekozen heftig heid van het stress-scenario, niet zijn beïnvloed door of teruggerekend zijn vanuit het beschikbare kapitaal;

• Zelfstandig raadplegen van interne en externe bronnen om onafhankelijk de gekozen heftigheid te toetsen;

• Backtesting van eerder geformuleerde scenario’s met de werkelijke realisatie;

• Vaststellen dat er voldoende stresstesten zijn uitgevoerd, inclusief reversed stresstests, gevoelig- heidsanalyses, individuele en gecombineerde scenario’s;

• Vaststellen dat waar nodig consistentie bestaat in de achtereenvolgende ORSA’s in de keuze van scenario’s en de heftigheid daarvan;

• Vaststellen dat informatie uit eerdere ORSA’s (eigen evaluatie, feedback toezichthouder, interne of externe auditor) adequaat is meegenomen.

3.5 Kapitaalprojecties

3.5.1 Uitgangspunten

Deze stap heeft als doel het basisscenario en de vastgestelde scenario’s en stresstesten door te rekenen in het kapitaalprojectiemodel. Dit kapitaalprojectiemodel maakt onder meer gebruik van basisdata, model- variabelen en rekenregels om tot kapitaalprojecties te komen. Een projectiemodel kan per scenario of voor meerdere scenario’s tegelijk uitkomsten genereren. Schematisch kan het gebruik van het model als volgt worden weergegeven (figuur 4):

Figuur 4: Kapitaalprojectiemodel

Projecties Basisdata

Modelvariabelen

Scenario-variabelen

Projectie-model

Omdat de uitkomsten van de kapitaalprojecties belangrijke invloed kunnen hebben op de strategische besluitvorming is het van belang dat dit onderdeel van het ORSA-proces met voldoende waarborgen is omringd. De projectiemodellen die hiervoor worden gebruikt zijn doorgaans complexe modellen. Zowel het bewaken van de datakwaliteit van de input (basisdata, modelvariabelen en scenario-variabelen) als het be- heer van het projectiemodel zelf verdienen daarbij aandacht. Wanneer geborgd is dat de input-variabelen, het projectiemodel en de beheeromgeving waarin het model wordt doorgerekend betrouwbaar zijn, moeten de kapitaalprojecties die hieruit volgen ook betrouwbaar zijn. Belangrijke uitkomsten uit het kapitaalprojec- tiemodel zijn de meerjarenontwikkeling van

• Economisch resultaat en economische balans;

• Vereist kapitaal (SCR) en aanwezig kapitaal (Own funds);

• Solvabiliteitsratio’s.

1. Datakwaliteit van de basisdata

De basisdata waarmee een projectiemodel rekent is feitelijk de uitgangssituatie van waaruit de extrapolatie plaatsvindt. Deze data worden gevormd door de meest recente en bruikbare “actuals”. Het projectiemodel moet in elk geval gebruikmaken van de volgende basisdata:

• Balans op marktwaardegrondslagen, in het bijzonder - de samenstelling van de beleggingen;

- de samenstelling van de technische voorzieningen;

• Samenstelling van het aanwezige vermogen;

• Resultatenrekening op marktwaardegrondslagen.

De marktwaardegrondslagen zijn de waarderingsgrondslagen die voor de Solvency II- rapportages van toepassing zijn.

Zoals vermeld onder de randvoorwaardelijke aspecten is de vaststelling dat in het ORSA gebruikte basisdata juist en volledig is niet in scope van deze praktijkhandreiking. Overweging hierbij is dat deze basisdata niet alleen gebruikt wordt in het ORSA, maar in de bedrijfsvoering van de organisatie in bredere zin. De betrouw- baarheid van de basisdata kan door de internal auditfunctie vanuit reguliere procesaudits of specifieke data- kwaliteitaudit(s) worden vastgesteld. De vaststelling dat deze basisdata correct in de projectiemodellen wordt ingevoerd maakt wel deel uit van de audit op ORSA.

2. Datakwaliteit van modelvariabelen

Om projecties te kunnen maken van de solvabiliteitsbehoefte in de toekomst moet het projectiemodel ge- bruik kunnen maken van een aantal modelvariabelen. Tot de modelvariabelen behoren de uitgangspunten die de verwachte toekomstige ontwikkelingen reflecteren en die in beginsel op alle scenario’s van toepassing kunnen zijn. Hiertoe behoren bijvoorbeeld de aannames ten aanzien van toekomstige rentestructuren en inflatieverwachting, parameters (standaard deviatie) voor de berekening van premie- en reserverisico, para- meters voor de berekening van de marktrisico’s, uitloop van de technische voorzieningen en de risicomarge, herbelegging van eventuele resultaten.

3. Datakwaliteit van scenariovariabelen

De scenariovariabelen zijn de specifieke variabelen die worden ingevoerd om in het projectiemodel de vooraf beschreven scenario’s te modelleren. Hiertoe behoren bijvoorbeeld de aannames ten aanzien van de ontwikkeling van premies (en verdeling naar branches), de ontwikkeling schaderatio (eventueel per bran- che), de ontwikkeling kosten (expense-ratio, vaste kosten), ontwikkeling beleggingsrendementen, mate van herverzekering (en soort herverzekering) enzovoorts.

4. Betrouwbaarheid van het projectiemodel

Projectiemodellen zijn doorgaans gebaseerd op deterministische projecties, waarbij uitgaande van vooraf beschreven scenario’s doorrekeningen worden gemaakt. Meer stochastische modellen zijn ook mogelijk, maar vanwege het grote aantal variabelen in de praktijk minder gangbaar. In de praktijk kunnen de ORSA- projectiemodellen technisch op verschillende manieren zijn vormgegeven. Een breed spectrum van oplos- singen wordt geboden, variërend van Excel-toepassingen tot en met projectiemodellen die zijn geïntegreerd in actuariële rekentools. De daarin gemaakte keuze heeft invloed op de beheeromgeving van de modellen (met name het wijzigingsbeheer en toegangsbeveiliging).

Gezien het grote aantal variabelen en de complexiteit van projectiemodellen is het modelrisico inherent aanwezig. Als het model door de betrokken professionals zelf is ontwikkeld bestaat het risico dat dit au- tomatisch als de beste wijze van projecteren wordt beschouwd, zonder dat de uitkomsten van het model voldoende kritisch worden beoordeeld.

De ontwikkeling en validatie van het projectiemodel is niet in deze praktijkhandreiking meegenomen. Hierop kan een afzonderlijke audit worden uitgevoerd, waarvan de uitkomst wordt gebruikt in de ORSA-audit.

5. Betrouwbaarheid van het kapitaalprojecties

Op zichzelf zijn de kapitaalprojecties het uitvloeisel van de inputvariabelen en het projectiemodel. Indien deze betrouwbaar zijn, moeten de kapitaalprojecties die hieruit volgen ook betrouwbaar zijn. Toch is het goed om hier niet blind op te vertrouwen. Een goede analyse van de uitkomsten van de kapitaalprojecties kan informatie opleveren die kan leiden tot verdere verbetering van de totstandkoming van de inputvariabe- len respectievelijk het projectiemodel.

3.5.2 Mogelijke werkzaamheden Internal Audit

a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en regelgeving

Bij de beoordeling van de interne beheersing van het ORSA-proces met betrekking tot de kapitaalprojec- tie stelt de IAF ten minste de volgende toetspunten vast:

Algemeen

• Vaststellen dat een actuele procesbeschrijving beschikbaar is van de totstandkoming van kapitaal- projecties;

• Vaststellen dat taken, bevoegdheden en verantwoordelijkheden ten aanzien van de kapitaalprojecties duidelijk zijn beschreven. Besteed daarbij expliciet aandacht aan de betrokkenheid van het senior management, van de actuariële- en de risicomanagementfunctie;

• Beoordeel de wijze waarop kapitaalprojecties zijn opgesteld. Denk daarbij aan de vastlegging van het doorlopen proces en de onafhankelijke inbreng van sleutelfuncties;

• Vaststellen dat de risico’s die samenhangen met het gebruik van complexe modellen, waaronder het ORSA-projectiemodel, worden onderkend in het risicomanagementsysteem van de (her)verzekeraar en dat er passende beheersmaatregelen zijn genomen om dit risico te beheersen;

• Vaststellen dat de maatregelen inzake de beheersing van risico’s bij het gebruik van ORSA-projectie- modellen adequaat en effectief worden nageleefd;

• Vaststellen dat er documentatie is waaruit blijkt dat de modellen die voor ORSA worden gebruikt ook in de bedrijfsvoering worden gehanteerd (bijvoorbeeld in productontwikkeling, premiestelling, perfor- mance management);

• Vaststellen dat wanneer in de kapitaalprojecties simplificaties zijn gebruikt (bijvoorbeeld opschalingen) deze voldoende zijn onderbouwd;

• Vaststellen dat de periode waarvoor projecties zijn gemaakt aansluit op de periode van de business planning (veelal drie tot vijf jaar);

• Beoordelen of in de kapitaalprojecties en solvabiliteitsbeoordeling voldoende rekening is gehouden met het risicoprofiel van iedere individuele onder toezicht staande entiteit.

Modelvariabelen

• Stel vast dat de toekomstige modelvariabelen gelijk zijn aan de bestaande variabelen. Deze varia- belen, zoals rentestructuren, parameters, alignment met strategische keuzes en het risicoprofiel van de onderneming kunnen objectief worden vastgesteld met onder meer de technische specificaties van de toezichthouder, alsmede met de variabelen in de uitgangssituatie. Voor zover in het model andere keuzes worden gemaakt, zoals het incalculeren van bepaalde ontwikkelingen in de rente- curves, de parameters of wijzigingen in de uitloop van de technische voorzieningen mag worden verwacht dat een en ander zorgvuldig wordt onderbouwd en toegelicht. Deze onderbouwing wordt door het verantwoordelijke governance orgaan gevalideerd en vastgelegd;

• Stel vast dat er gevoeligheidsanalyses op modelvariabelen/aannames zijn uitgevoerd;

• Stel vast dat (door de actuariële functie) onzekerheden in modelvariabelen en de mogelijke impact op de betrouwbaarheid van uitkomsten zijn onderkend, en duidelijk zijn toegelicht.

Scenariovariabelen

• De vaststelling van de scenariovariabelen is beduidend meer subjectief dan de basisdata en de modelvariabelen. De scenariovariabelen reflecteren verwachtingen omtrent toekomstige ontwikkelin- gen. Stel vast dat de vertaling van de gekozen scenario’s in scenariovariabelen consistent is met de gekozen scenario’s, alsmede met de gekozen managementacties (voor zover van toepassing);

• Stel vast dat er gevoeligheidsanalyses op scenariovariabelen/aannames zijn uitgevoerd;

• Stel vast dat (door de actuariële functie) onzekerheden in scenariovariabelen en de mogelijke impact op de betrouwbaarheid van uitkomsten zijn onderkend, en duidelijk zijn toegelicht.

Projectiemodel

• Stel vast dat een toereikend beheerproces rondom het gebruik, het onderhoud en de validatie van complexe rekenmodellen, zoals het ORSA-projectiemodel, waaronder scheiding van de ontwikkel-, test-, acceptatie- en productieomgeving;

• Stel vast dat de verantwoordelijkheden rondom het proces van kapitaalprojectie adequaat zijn vast- gelegd (= opzet) en uitgevoerd (= werking) en ten minste de volgende elementen bevatten

- Validatie van de inputvariabelen (kwaliteit basisdata, modelvariabelen en scenariovariabelen;

- Validatie van de juiste versie van het ORSA-projectiemodel;

- Validatie van de juiste en volledige invoer in het ORSA-projectiemodel;

- Validatie van juiste en volledige invoer in et ORSA-projectiemodel;

- Scheiding van het uitvoeren van de berekening en de verificatie en analyse van de uitkomsten;

- Validatie van de uitkomsten van de ORSA-kapitaalprojecties;

- Documentatie van de uitgangspunten en de uitkomsten van iedere ORSA.

• Stel vast dat 2e lijnsfunctionarissen voldoende zijn betrokken bij de kapitaalprojecties:

- De risk managementfunctie toetst de risicobeheersing rondom het gebruik van het ORSA-projec- tiemodel;

- De actuariële functie toetst of berekeningen hebben plaatsgevonden binnen de kaders die zij daartoe heeft gesteld.

• Stel vast dat in het projectiemodel de volgende elementen zijn meegenomen:

- De modellen (op basis van de input) voorzien in een betrouwbare projectie van:

o toekomstige resultaten;

o de toekomstige financiële positie;

o de toekomstige kapitaaleis.

- De modellen zijn onderhoudbaar en flexibel:

o geschikt voor wijzigingen in technische specificaties;

o geschikt voor meervoudige en complexe scenario’s;

o geschikt voor wijzigingen in aannames;

o schaalbaar en herbruikbaar.

- De modellen zijn robuust, betrouwbaar en beheersbaar:

o een scheiding van ontwikkel-, test-, acceptatie- en productieomgeving;

o passen in een beheeromgeving, aandacht voor versiebeheer;

o audit trail, controleerbare berekeningen.

- De modellen leveren duidelijke output:

o vastlegging gekozen uitgangspunten, inputvariabelen;

o documentatie uitkomsten.

- De modellen zijn gevalideerd:

o validatie na iedere wijziging;

o onafhankelijke en periodieke toetsing (waaronder testen en backtesten);

o adequaat versiebeheer;

o adequate documentatie.

Kapitaalprojecties

• Maak een reflectie op de uitkomsten van de kapitaalprojecties door bijvoorbeeld de volgende analyses te maken:

- Analyse en technische validatie van de uitkomsten:

o analyse (en documentatie) van de uitkomsten;

o technische aansluiting van de uitkomsten vanuit de uitgangspunten.

- Procesmatige toets:

o is het proces zorgvuldig doorlopen;

o is gebruikgemaakt van goedgekeurde inputvariabelen;

o is gebruikgemaakt van een gevalideerd projectiemodel.

- Holistische toets:

o begrijpen we de uitkomsten in het licht van de gekozen scenario’s;

o zijn uitkomsten van kapitaalprojectie logisch en verklaarbaar vanuit gekozen inputvariabelen.

• Vaststellen dat in de kapitaalprojecties rekening is gehouden met te verwachten veranderingen in bedrijfsstrategie en/of relevante externe factoren;

• Vaststellen dat in de kapitaalprojecties gebruik is gemaakt van in een separate audit datakwaliteit getoetste data. Stel tevens de aansluiting vast tussen deze op volledigheid en juistheid gecontro- leerde brondata en de invoer in het kapitaalprojectiemodel.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden uitgevoerd als genoemd onder a. Aanvullend worden de volgende werkzaamheden uitgevoerd:

• Controle door verificatie inputvariabelen:

- Beoordeling van de aannemelijkheid van de modelvariabelen aan de hand van de technische specificaties van de toezichthouder en eventuele andere bronnen, alsmede de interne vastleggin- gen omtrent eventuele afwijkingen ten opzichte van algemene modelvariabelen;

- Beoordeling van de scenariovariabelen door verificatie aan de hand van vastgestelde scenario’s.

• Vaststellen van de juistheid van de berekeningen. Deze controle kan door middel van deelwaarne- ming worden uitgevoerd. Deze controle omvat de volgende onderdelen:

- Uitvoeren van controleberekeningen op de projectie van de resultatenrekeningen aan de hand van de inputvariabelen;

- Uitvoeren van controleberekeningen op de projectie van de financiële positie aan de hand van de inputvariabelen;

- Uitvoeren van controleberekeningen op de projectie van de verwachte kapitaalseis aan de hand van de inputvariabelen en gebruikmakend van gevalideerde modellen.

• Onafhankelijke analyse van de uitkomsten:

- De IAF kan de uitkomsten van de ORSA-kapitaalprojecties zelfstandig analyseren en de resultaten van deze analyse vergelijken met de analyse die is opgesteld door de verantwoordelijke voor de kapitaalprojecties.

- De IAF kan onafhankelijk van de operationele functie die verantwoordelijk is voor de berekening en/of de analyse van de uitkomsten van de kapitaalprojectie, zelf een analyse uitvoeren op de uitkomsten. Daarbij kan zij aandacht geven aan onder meer de volgende aspecten:

o Is de vertaling van de scenario’s naar scenariovariabelen logisch verklaarbaar;

o Zijn de uitkomsten logisch verklaarbaar in het licht van de toegepaste scenario’s, ook zonder daarbij uit te gaan van het model (holistische analyse);

o Zijn de verschillen tussen de uitkomsten van verschillende scenario’s logisch verklaarbaar;

o Zijn er relevante ontwikkelingen buiten het model die van relevante invloed kunnen zijn op de interpretatie van de uitkomsten (unknown-unknowns).

- De IAF kan de uitkomsten van de kapitaalprojecties vergelijken met kapitaalprojecties uit eerdere jaren.

3.6 Analyses

3.6.1 Uitgangspunten

• De uitkomsten van de drie voorgaande analyses (appropriateness assessment, kapitaalprojecties en stress- en scenario-analyse) moeten niet alleen afzonderlijk worden beoordeeld, maar ook in samen- hang worden geanalyseerd. Daarbij hoort ook een confrontatie met de risicobereidheid en het kapitaal beleid (capital adequacy policy). De uitkomst van deze fase is dan ook

- Een integrale analyse van risico, rendement en kapitaal als onderdeel voor het businessplan van de verzekeraar;

- De voorbereidende conclusie en besluitvorming voor management challenge (in de volgende fase);

- Input voor het ORSA-rapport.

Op basis van de analyse kunnen de volgende typen besluiten aan het management worden voorgelegd

• Besluiten omtrent kapitaalmanagement (inclusief contingency planning);

• Kwalitatieve besluiten voor risicomanagement;

• Besluitvorming omtrent strategie, en daarmee impact op het businessplan;

• Besluitvorming omtrent risicomanagementraamwerk, en mogelijk impact op de risicobereidheid of de risicomodellen.

De focus van de IAF richt zich in deze fase op het risico dat de uitkomsten van de in eerdere fases van het ORSA-proces gemaakte analyses niet in samenhang worden beoordeeld. Deze integrale beoordeling is noodzakelijk om de juiste eindconclusies mogelijk te maken en gefundeerde besluiten voor businessplan en kapitaalmanagement te kunnen nemen.

a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en regelgeving

Bij de beoordeling van de integrale analyse voert de IAF ten minste de volgende werkzaamheden uit:

• Vaststellen dat de uitkomsten van de genoemde individuele analyses volledig in de integrale analyse zijn betrokken;

• Vaststellen dat de aannames, scenario’s en projecties uit het businessplan en het ORSA op elkaar zijn afgestemd;

• Vaststellen dat de op basis van de integrale analyse voorbereide conclusies geen zichtbaar onver- klaarbare en/of niet gedocumenteerde elementen bevat. Zo zal een zichtbaar op het businessplan afgestemde meerjarenprojectie van vereist en beschikbaar kapitaal aanwezig moeten zijn.

Tevens wordt vastgesteld dat bij de integrale analyse behorende mogelijke besluiten zijn voorbereid;

• Beoordelen van de wijze waarop taken, verantwoordelijkheden en bevoegdheden in de integrale ana- lyse zijn ingericht (opzet) en uitgevoerd (werking). Aandachtspunten daarbij zijn de invulling van de regierol, de betrokkenheid van businessmedewerkers met gedegen kennis van producten en de daarin besloten risico’s, van experts vanuit risicomanagement en van medewerkers met goede ken- nis van kapitaalmanagement;

• Stel vast dat er een gestructureerde aanpak is toegepast voor de vaststelling van de kapitaalbehoefte per risico;

• Beoordeel of bij het vaststellen van de vereiste kapitaalbehoefte deugdelijk gebruik is gemaakt van de uitgevoerde projecties, stresstesten en scenario-analyses. Ook is rekening gehouden met de risico’s waar geen kapitaal voor hoeft te worden aangehouden en met additionele met de bedrijfs strategie samenhangende niet-risicogerelateerde kapitaalbehoeften.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden uitgevoerd als genoemd onder a. Wel zal nadrukkelijker aandacht worden geschonken aan de beoorde- ling van de voorbereide uitkomsten uit de integrale analyse.

3.7 Management assessment

3.7.1 Uitgangspunten

Het doel van deze fase is de voorbereide integrale analyse met het management te challengen en vervol- gens te komen tot een integrale conclusie en besluitvorming. Het management assessment kan overigens resulteren in een itteratie, wanneer blijkt dat bepaalde risico- en kapitaalanalyses opnieuw moeten worden bekeken om tot een beter beeld te komen. Uiteindelijk resulteert het proces in een integrale conclusie over de passendheid van kapitaalpositie en business-strategie. Meer in detail is de uitkomst van deze fase

• Managementinzicht in de samenhangende en afzonderlijke assessments: passendheid, capital adequa- cy en stress- en scenariotests waarin de materiële risico’s zijn meegenomen;

• Een integrale conclusie over kapitaalhoudbaarheid van de in het businessplan uitgewerkte strategie;

• Besluitvorming in het kader van ORSA en het businessplan ten aanzien van kapitaalmanagement (waar onder contingency planning), kwalitatief risicomanagement, strategie en risicomanagement framework.

De focus van de IAF richt zich in deze fase op het risico van a) onvoldoende betrokkenheid van verantwoor- delijk management, b) onvoldoende challenge van de in voorgaande fase voorbereide conclusies en daar- mee uiteindelijk c) ondeugdelijke besluitvorming ten aanzien van businessplan en kapitaalmanagement.

3.6.2 Mogelijke werkzaamheden Internal Audit

a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en regelgeving

Bij de beoordeling van management assessment voert de IAF ten minste de volgende werkzaamheden uit:

• Beoordelen van de wijze waarop taken, verantwoordelijkheden en bevoegdheden in het management assessment zijn ingericht (opzet) en uitgevoerd (werking). Aandachtspunten daarbij zijn de invulling van de regierol, de betrokkenheid van verantwoordelijk senior management uit de business, van verantwoordelijke directie of raad van bestuur, van experts vanuit risicomanagement en van mede- werkers met goede kennis van kapitaalmanagement;

• Beoordelen van de aard en diepgang van de discussie in de assessmentfase. Aandachtspunt is de door besluitvormers getoonde professionele scepcis. Deze moet bijdragen aan de kwaliteit van de besluitvorming;

• Vaststellen dat in het assessment voldoende aandacht is gegeven aan de afstemming van de uit- komsten voor ORSA met capital funding plan en liquity plan.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het management assessment worden in deze fase dezelfde werk- zaamheden uitgevoerd als genoemd onder a. Wel zal nadrukkelijker aandacht worden geschonken aan de beoordeling van de conclusies uit het assessment en de daaraan gerelateerde besluiten.

3.8 Rapportage

3.8.1 Uitgangspunten

Aan het einde van het ORSA-proces moet de (her)verzekeraar een zelfstandig leesbaar ORSA-rapport opstellen, dat een realistische en dynamische weerspiegeling is van de (toekomstige) risico’s. In het rapport moet de afwegingen inzake kapitaal, risico en strategie samenkomen, met een, op basis van de op dat moment beschikbare informatie, toekomstgerichte aanpak.

Het ORSA-rapport moet minimaal jaarlijks worden opgesteld. Dit kan ook eventueel vaker als de situatie daarom vraagt, bijvoorbeeld in het geval dat er significante wijzigingen zijn in het risicoprofiel of de risicobe- reidheid van de (her)verzekeraar.

In het rapport komen de uitkomsten van de voorgaande stappen samen, waarbij het rapport bestaat uit zo- wel statische elementen (beschrijving van de bestaande ERM-informatie, zoals algemene informatie over de verzekeraar en de governancestructuur) als dynamische elementen (on-going solvency assessment, zoals strategie, solvency-vereisten en specifieke risico’s). (NB het is een optie om een onderscheid te maken in een statisch en dynamisch ORSA).

Het ORSA-rapport moet voldoende informatie bevatten over:

• De kwalitatieve en kwantitatieve resultaten van de prospectieve beoordeling en de conclusies die de onderneming uit deze resultaten trekt;

• De gebruikte methoden en belangrijkste aannames; en

• Voor zover van toepassing, een vergelijking van de algemene solvabiliteitsbehoeften, de wettelijke kapi- taalvereisten en het eigen vermogen van de onderneming.

Het Bestuur moet het ORSA-rapport goedkeuren. De relevante werknemers moeten op de hoogte worden

3.7.2 Mogelijke werkzaamheden Internal Audit

gesteld over ten minste de resultaten en conclusies van de prospectieve beoordeling van de eigen risico’s.

Na goedkeuring van het ORSA-rapport dient de (her)verzekeraar binnen twee weken het ORSA-rapport te verstrekken aan de toezichthouder.

Daarnaast moet het senior management en het Bestuur een adequaat monitoring- en rapportageproces inrichten om tijdig in te kunnen grijpen als dat nodig is. Ook is het van belang dat het ORSA een integraal onderdeel is van de strategische bedrijfsvoering en geen losstaande activiteit is.

De focus van de IAF richt zich in deze fase op de risico’s dat de rapportage niet tijdig, onbetrouwbaar is, te beperkt van diepgang is of dat bij een groepsrapportage de separate entiteiten onvoldoende aandacht krij- gen, waardoor de rapportage niet voldoet aan de Solvency II- eisen. Daarnaast bestaat het risico dat op de risico’s die uit het ORSA naar voren komen onvoldoende geacteerd wordt, waardoor de uitkomsten van het ORSA onvoldoende worden meegenomen bij het bepalen en uitvoeren van de strategie van de verzekeraar.

3.8.2 Mogelijke werkzaamheden Internal Audit

a/b. Bij een audit op de interne beheersing van het ORSA-proces, waaronder voldoen aan wet- en regelgeving

Bij de beoordeling van de de rapportage stelt de IAF vast dat aan de volgende onderwerpen voldoende aandacht is besteed:

• De ORSA-rapportage bevat ten minste de volgende elementen:

- (meer) Statische informatie:

o Omschrijving van de onderneming, o Risico- en kapitaalmanagement framework,

o Inbedding/geïntegreerdheid van het risicomanagement;

- Strategie (business-scenario’s, risicostrategie, risicobereidheid, risicoprofiel, overwegingen management, business-strategie);

- Kapitaalbehoefte (analyse toereikendheid van het gebruik van standaard of intern model, analyse van het huidige kapitaal en de kwaliteit van het kapitaal, berekende SCR, resultaten van de stresstests, kapitaalprojecties);

- Acties van het management.

• In de rapportage is aandacht besteed aan:

- De inzichtelijkheid en samenhang tussen de diverse onderdelen van het risk management waar onder de samenhang met de risk appetite;

- De link van de belangrijkste risico’s met de risk appetite;

- De prioritering van risico’s, indien van toepassing op groepsniveau en onderliggend niveau;

- De uitgangspunten en veronderstellingen van het basisscenario in de kapitaalsprojecties;

- Een gedegen toelichting van de scenario- en stresstesten;

- De doorvertaling van de uitkomsten van het ORSA naar conclusies en mogelijke acties;

- Mogelijke kapitaalrestricties voor dochterondernemingen buiten de Europese Economische Ruimte (EER) en de impact hiervan op het risicoprofiel en het ORSA zijn duidelijk toegelicht;

- De solvabiliteit is adequaat op basis van Solvency II beoordeeld;

- De ontwikkeling van het eigen vermogen is opgenomen;

- De consistentie met de voorgaande ORSA-rapportage.

Daarnaast beoordeelt de IAF de ORSA-rapportage op de volgende punten:

• De inputrapportages zijn van voldoende kwaliteit, uniform en volledig

- Alle individuele rapportages zijn volledig;

- Alle benodigde rapportages zijn meegenomen;

• De inhoud van de ORSA-rapportage is consistent met de daaraan ten grondslag liggende berekeningen, analyses ed.;

• Algemene punten:

- De uitgangspunten zijn consistent;

- De rapportage voldoet aan het ORSA-beleid;

- De rapportage is consistent met de voorgaande ORSA-rapportage en belangrijke wijzigingen en de voortgang op de managementacties zijn toegelicht;

• Er is aantoonbaar vastgesteld dat aan alle Solvency II-rapportagevereisten is voldaan en, indien van toe- passing, dat opvolging is gegeven aan eerdere opmerkingen van DNB (eventueel buitenlandse toezicht- houder) inzake het ORSA;

• De kwaliteit en vastlegging van het expert judgement wegingsproces is geborgd (vwb de rapportage.

De expert judgement in eerdere stappen in het ORSA-proces wordt in de eerdere stappen getoetst);

• Afstemming:

- Er heeft een tweedelijnsreview plaatsgevonden;

- Het rapport is beoordeeld en goedgekeurd (door de daarvoor aangewezen verantwoordelijken) en opmerkingen, besluiten en acties zijn gedocumenteerd;

- Het ORSA is/wordt besproken en geëvalueerd met commissarissen of andere interne toezichthouders.

• In het ORSA-rapport zijn acties van het management opgenomen:

- Managementacties op basis van de huidige situatie;

- Acties van het management bij eventuele worst case scenario’s;

- Acties van het management wanneer de solvabiliteitsratio onder de interne limiet en/of onder de 100% komt.

Bij groepsrapportage dienen additioneel de volgende punten te worden getoetst:

• De groep ORSA kent voldoende diepgang, op basis van geschikte en tijdige input, door de juiste samen- stelling van mensen (kennis, verantwoordelijkheden, evenwichtig) en managementbetrokkenheid;

• Wanneer uitsluitend een Single Group Wide (SGW) ORSA is opgesteld dan - Is hiervoor toestemming van de toezichthouder;

- Is zichtbaar dat alle groepsentiteiten in de SGW ORSA zijn betrokken;

- Zijn de managementteams van deze entiteiten aantoonbaar bij het opstellen van de SGW ORSA betrokken;

• Consolidatie/weging/vaststellen samenhang risico’s tussen onderdelen vindt plaats en de impact op groepsniveau is vastgesteld;

• De materiële risico’s van kleinere bedrijfsonderdelen zijn meegenomen in de groepsrapportage.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden uitgevoerd als genoemd onder a.