December Praktijkhandreiking. De Interne Auditfunctie en het Own Risk and Solvency Assessment (ORSA)

December 2015

Praktijkhandreiking De Interne Auditfunctie en het Own Risk and Solvency Assessment (ORSA)

Leden IIA werkgroep Praktijkhandreiking: • Robert Gossen, internal auditor bij Univé Verzekeringen • John de Kruiff, internal auditor bij Menzis • Harry Kruk, internal auditor bij Delta Lloyd • Ronald van de Langenberg, InAudit BV • Patricia Michel, hoofd internal audit bij De Goudse Verzekeringen • Ad Smits, manager internal audit bij Achmea • Bas van der Vlist, risk manager bij De Goudse Verzekeringen

Dit document is ook in digitale vorm beschikbaar op www.iia.nl/vaktechniek © IIA Nederland, Burgemeester Stramanweg 102A, 1101 AA AMSTERDAM

2

1 Inleiding De EU-richtlijn Solvency II stelt expliciet eisen aan de governance inclusief het risicomanagementsysteem van (her)verzekeringsmaatschappijen. Solvency II is het nieuwe, risicogebaseerde toezichtraamwerk voor verzekeraars dat per 1 januari 2016 in werking treedt. Het kader bestaat uit de Solvency II-richtlijn (2009/138/EC) en de nadere invullingen daarvan in de vorm van de uitvoeringsverordening en technische standaarden. Het Solvency II bouwwerk is gebaseerd op drie pijlers, te weten: • Pijler I, de kwantitatieve eisen bestaande uit de waarderingsgrondslagen voor de economische balans,

evenals de beoordeling van het vereiste en aanwezige vermogen. Uitgangspunten zijn marktwaarde en

risicogevoeligheid. • Pijler II, de kwalitatieve eisen die worden gesteld aan het System of Governance. • Pijler III, de rapportage-eisen, zowel aan de toezichthouder als aan het maatschappelijk verkeer. Binnen Solvency II wordt de Own Risk and Solvency Assessment (ORSA) beschouwd als het hart van het framework. Met de periodiek uit te voeren ORSA worden businessplanning, risicomanagement en kapitaalbeheeractiviteiten geïntegreerd. Met het ORSA voert een (her)verzekeraar een toekomstgerichte beoordeling uit op het toereikend zijn van het beschikbare kapitaal (de solvabiliteit). Daarbij wordt rekening gehouden met het eigen risicoprofiel, tolerantielimieten en bedrijfsstrategie. In figuur 1 is dit schematisch weergegeven. Figuur 1: ORSA verbindend in de managementcyclus

Bu Stra sin teg ess ie e pla n nn in

Rendement bedrijfsactiviteiten

(Risk) Management cycle Performance management

en eid nt dh me rei ge be na ico lma Ris itaa p Ka

g

Risicoidentificatie en -meting (modellering)

Kapitaalallocatie

Het ORSA stelt het management in staat om binnen de context van de eigen bedrijfsstrategie een verantwoorde afweging te maken van risico’s, kapitaal en rendement en vanuit de bestaande situatie vooruit te kijken naar de (middel)lange termijn. Het ORSA is een regulier proces dat minimaal jaarlijks dient te worden doorlopen. Bovendien dient bij iedere significante wijziging in het risicoprofiel een ORSA te worden uitgevoerd.

3

Van elke ORSA dienen de uitkomsten en conclusies na goedkeuring door het bestuur te worden gecommuniceerd met alle relevante afdelingen en de toezichthouder. Voor verzekeringsgroepen bestaat onder voorwaarden de mogelijkheid dit te doen met een groepsrapport. Een schematisch voorbeeld van het ORSA-proces is onderstaand opgenomen (figuur 2). Figuur 2: Voorbeeld van een ORSA-proceskader Iteratie vanuit mgt. assessment mogelijk

Rolling forecast / Business plan proces Trigger is RF/BP proces

Kapitaal Projecties Basisscenario S/ST

Finale ORSA input OTSO Rolling Forecast/Business plan proces

Appropriateness Assessment Belangrijkste risico’s

Voorbereiden

Kwantitatief risico ass.

Scenario & Stress testen (S/ST)

Analyse

Mgt. Assesment & besluitvorming ORSA input rapport OTSO

Kwalitatief risico ass.

Rapportage SGW ORSA rapport

Monitoren ORSA triggers

In de huidige regelgeving is de onafhankelijke beoordeling van ORSA niet meer expliciet genoemd. Daarvoor in de plaats bevat de regelgeving1 de algemene verplichting een onafhankelijke evaluatie van het System of Governance, inclusief de daarin opgenomen ORSA uit te voeren. Ook blijkt in praktijk dat bestuurders, commissarissen en ook DNB behoefte hebben aan comfort bij het ORSA. Hierbij is een belangrijke rol weggelegd voor Internal Audit, waarvan de kerntaak immers het geven van assurance over governance, risicomanagementsysteem en interne beheersing is. Met deze praktijkhandreiking geven wij invulling aan de rol die Internal Audit daarin kan nemen, waarbij de concrete toepassing altijd op maat moet worden gemaakt voor de individuele (her)verzekeraar. Daarnaast geven wij de randvoorwaarden van toepassing op deze praktijkhandreiking.

1 Art. 47.2 Directive 2009/138/EC of the European Parliament and of the Council of 25 November 2009 on the taking-up and pursuit of the business of Insurance and Reinsurance (Solvency II)

4

2 Internal Audit en het ORSA-proces De door Internal Audit ten aanzien van het ORSA te verrichten werkzaamheden zijn afhankelijk van de aard van de door de Raad van Bestuur en/of de Raad van Commissarissen gegeven opdracht. Mogelijke opdrachten zijn: a. Het uitvoeren van een operational audit met als doel een oordeel te geven over de beheersing van het

ORSA-proces of van specifieke onderdelen in het ORSA-proces. De door de (her)verzekeraar ingerichte



managementcyclus voor het ORSA is hier het object van onderzoek.

b. Het uitvoeren van een compliance audit met als doel een oordeel te geven over de mate waarin het

ORSA, of specifieke onderdelen van het ORSA, voldoen aan in wet- en regelgeving gestelde eisen.



In deze audit wordt getoetst aan de voor ORSA relevante bepalingen uit de Solvency II richtlijn en de



Uitvoeringsverordening (Delegated Acts) en uit de richtsnoeren van de European Insurance and Occu-



pational Pensions Authority (EIOPA). Omdat de richtsnoeren van EIOPA grotendeels betrekking hebben



op beheersing zal er een grote overlap zijn met een operational audit.

c. Het uitvoeren van een audit, met als doel een oordeel te geven over de plausibiliteit2 van de uitkomsten

van het ORSA-proces of van specifieke onderdelen in het ORSA-proces. Gezien het toekomstgerichte



perspectief van het ORSA zijn de uitkomsten naar hun aard subjectief, waarbij het maken van afwegin-



gen een belangrijke rol speelt. Internal Audit kan de toekomstgerichte informatie onderzoeken en daar-



over rapporteren, teneinde de geloofwaardigheid van de informatie te vergroten. Daarbij maken wij de



kanttekening dat Internal Audit niet in staat is een oordeel uit te spreken of de uitkomsten zoals weerge-



geven in het ORSA daadwerkelijk worden behaald. Er wordt dus een beperkte mate van assurance



gegeven (negative assurance).

d. Het uitvoeren van specifieke overeengekomen werkzaamheden. Bij een dergelijke opdracht worden

uitsluitend die werkzaamheden verricht die Internal Audit met de opdrachtgever is overeengekomen en



rapporteert Internal Audit over de feitelijke bevindingen. Aangezien Internal Audit alleen verslag doet



van de feitelijke bevindingen uit hoofde van de overeengekomen werkzaamheden wordt geen zekerheid



verschaft. De gebruikers van het rapport moeten zich zelf een oordeel vormen over de werkzaamheden



en bevindingen die door Internal Audit in het rapport zijn weergegeven.

e. Overige werkzaamheden, waaronder het geven van advies ten aanzien van (onderdelen van) het ORSA-

proces of het faciliteren van het appropriateness assessment. Internal Audit bewaakt bij een dergelijke



opdracht altijd dat de eigen objectiviteit ten aanzien van het ORSA niet in het gedrang komt.

In deze praktijkhandreiking zijn de onder a, b en c genoemde audits verder uitgewerkt. De onder d en e genoemde opdrachten zijn zodanig specifiek dat deze in dit document buiten beschouwing zijn gelaten.

2 Gesproken wordt over plausibiliteit om aan te geven dat het niet gaat om de exacte juistheid, maar om de waarschijnlijkheid of aannemelijkheid van de uitkomsten.

5

3 De werkzaamheden van Internal Audit In de inleiding is een schematisch voorbeeld van de binnen ORSA te onderkennen stappen opgenomen. Deze stappen zijn onderstaand nader beschreven. Ook geven we bij ieder van deze stappen de mogelijke invulling aan de rol van Internal Audit in de onderscheiden typen audits. Voor een betrouwbare uitvoering van het ORSA moeten enkele randvoorwaardelijke zaken zijn ingevuld. In deze handreiking is verondersteld dat Internal Audit oog heeft voor deze randvoorwaarden, maar dat hierop afzonderlijke audits zijn uitgevoerd. Het gaat daarbij in het bijzonder om: • De verzekeraar heeft een strategieproces geïmplementeerd. Niet alleen is de strategie het uitgangspunt

voor het ORSA maar het ORSA kan ook leiden tot een aanpassing in de strategie. Ze zijn onlosmakelijk



met elkaar verbonden;

• De verzekeraar heeft een adequaat governance ysteem ingericht dat voldoet aan de vereisten vanuit

wet- en regelgeving, waaronder de sleutelfuncties en het 3-lines of defence model. Een goed gover-



nancesysteem is voor elke verzekeraar randvoorwaardelijk voor de integere en beheerste bedrijfsvoering



en heeft als doel dat de verzekeraar adequaat wordt bestuurd, waarbij risico’s tijdig en adequaat worden



geïdentificeerd en beheerst. De eisen voor het governancesysteem behoren tot Pijler II van Solvency II



en hebben betrekking op de interne organisatie waaronder sleutelfuncties, risicobeheer en interne con-



trole, de betrouwbaarheid en deskundigheid van het senior management, interne toezichthouders,



uitbestedingen en beloningen;

• De verzekeraar heeft een passende risicocultuur, waarin het senior management het goede voorbeeld

geeft (tone at the top);

• Het risk appetite framework van de verzekeraar stelt duidelijke grenzen aan de bereidheid om in de

reguliere bedrijfsprocessen risico’s te accepteren;

• Wanneer de verzekeraar gebruikmaakt van een (partieel) intern model beschikt zij over een adequaat

proces voor modelontwikkeling en modelvalidatie, inclusief modelwijzigingsprocedure;

• De in ORSA gebruikte modellen worden daadwerkelijk gebruikt in de bedrijfsvoering (use test); • In de processen van de verzekeraar is geborgd dat de voor het ORSA gebruikte data juist en volledig is.

De Solvency II regelgeving stelt strenge eisen aan de governance en kwaliteit van data. Verzekeraars



dienen rollen en verantwoordelijkheden omtrent data helder te regelen. Daarnaast moeten zij inzicht



hebben in datastromen die relevant zijn voor de berekening van de technische voorzieningen en de



risicokapitalen, en de datastromen voor rapportagedoeleinden;

• De verzekeraar heeft, bijvoorbeeld als onderdeel van de modelvalidatie, vastgesteld dat te gebruiken

data geschikt is.

De auditwerkzaamheden op genoemde randvoorwaardelijke aspecten zijn onderstaand niet verder uitgewerkt. Voor een kleine verzekeraar met een niet al te complex risicoprofiel is het op basis van proportionaliteit mogelijk dat Internal Audit ook 2e lijnstaken vervult. Deze handreiking beperkt zich echter tot de zuivere 3e lijnswerkzaamheden.

3.1 Voorbereiding van ORSA 3.1.1 Uitgangspunten De uitvoering van het ORSA begint met een goede voorbereiding. Hierbij moet onder meer worden gedacht

6

aan de beschikbaarheid van actueel ORSA-beleid, inclusief een duidelijke verdeling van rollen, taken en verantwoordelijkheden. Maar daarnaast ook inzicht in de belangrijkste veranderingen in de bedrijfsstrategie, eventuele aanpassingen in de risicobereidheid en/of risicocapaciteit, belangrijke ontwikkelingen in interne en externe omgeving en belangrijke verbeterpunten uit de vorige ORSA. De focus van de IAF richt zich in deze fase op het risico dat aan het doorlopen van het ORSA geen goede voorbereiding vooraf is gegaan, hetgeen afbreuk kan doen aan de betrouwbaarheid van de uitkomsten.

3.1.2 Mogelijke werkzaamheden Internal Audit a. Bij een audit op de interne beheersing van het ORSA-proces

Bij de beoordeling van de voorbereiding van het ORSA-proces voert de IAF ten minste de volgende



werkzaamheden uit:



• Vaststellen dat de verzekeraar beschikt over een ORSA-beleid dat is vastgesteld door het verantwoor-



• Vaststellen dat het eigenaarschap en de verantwoordelijkheden ten aanzien van ORSA zijn vastge-



delijk bestuurlijk, beleidsbepalend of toezichthoudend orgaan (AMSB); legd in het ORSA-beleid;

• Vaststellen dat het ORSA-beleid ten minste de door EIOPA in haar richtsnoeren benoemde onderde-



len bevat, te weten:



a) de beschrijving van de geïmplementeerde processen en procedures voor het uitvoeren van de



b) een beschouwing van het verband tussen het risicoprofiel, de goedgekeurde risicotolerantie-



prospectieve beoordeling van de eigen risico’s limieten en de algehele solvabiliteitsbehoeften

c) informatie over



(i) hoe en hoe vaak stresstests, gevoeligheidsanalyses, reverse stresstests of andere relevante



analyses moeten worden uitgevoerd,

(ii) datakwaliteitsnormen,

(iii) de frequentie van de beoordeling zelf en de motivering voor de toereikendheid van de



gekozen frequentie, waarbij in het bijzonder het risicoprofiel van de verzekeraar en de volati-



liteit van haar algehele solvabiliteitsbehoeften gerelateerd aan haar kapitaalpositie worden

meegenomen,

(iv) de timing van de uitvoering van de prospectieve beoordeling van de eigen risico’s en de



omstandigheden die aanleiding geven tot het uitvoeren van een prospectieve beoordeling van



de eigen risico’s buiten de vastgelegde frequentie van een dergelijke beoordeling;



• Vaststellen dat het ORSA-beleid actueel is en jaarlijks, al dan niet na benodigde aanpassing door het



management, is herbevestigd;



• Vaststellen dat eventuele aanpassingen in het ORSA-beleid zijn onderbouwd en gedocumenteerd.



• Vaststellen dat belangrijke veranderingen in de bedrijfsstrategie, aanpassingen in risicobereidheid en/



of risicocapaciteit en belangrijke ontwikkelingen in interne en externe omgeving zijn geïdentificeerd;

• Vaststellen dat de belangrijke aandachts- en verbeterpunten (lessons learned) uit de vorige ORSA



in acht zijn genomen. Voor zover verbeterpunten of voorgenomen managementacties niet in gang



zijn gezet dan liggen hier bewuste keuzes aan ten grondslag.

Het doorlopen ORSA-proces wordt afgesloten met een evaluatie, om daarmee mogelijke aandachtspunten en verbeterpunten voor een volgende keer vast te stellen. b. Bij een audit op de compliance met EIOPA-richtsnoeren en ORSA-beleid of bij een inhoudelijke

beoordeling van (onderdelen van) het ORSA



Omdat de EIOPA-richtsnoeren voor ORSA in essentie betrekking hebben op de inrichting van (een

7



onderdeel van) het risicomanagement worden bij de uitvoering van een compliance audit, maar ook bij



een inhoudelijke beoordeling, op deze fase dezelfde werkzaamheden uitgevoerd als genoemd onder a.

3.2 Appropriateness assessment 3.2.1 Uitgangspunten In het appropriateness assessment of passendheidsanalyse wordt beoordeeld of het model ter bepaling van het vereiste kapitaal (SCR) past bij het risicoprofiel van de verzekeraar. Het maakt daarbij niet uit of gebruik wordt gemaakt van de door EIOPA ontwikkelde Standaard Formule of dat de verzekeraar een eigen (Partieel) Intern Model heeft ontwikkeld. In beide situaties wordt in het kader van ORSA de passendheid beoordeeld. Daarmee is het input voor de management besluitvorming van het ORSA. Bij deze beoordeling zijn ten minste vertegenwoordigers van Risk Management (methodologie) en van de business (kennis portefeuille) betrokken. Het appropriateness assessment richt zich op3: • Een analyse van het risicoprofiel van de verzekeraar, een beoordeling van de redenen waarom de

standaardformule of het gebruikte (partieel) intern model geschikt is en een rangschikking van de



(materiële) risico’s;

• Een analyse van de gevoeligheid van de standaardformule of het (partieel) intern model voor veranderin-

gen in het risicoprofiel, met inbegrip van de invloed van herverzekeringsfaciliteiten, diversificatie-effecten



en de effecten van andere risicolimiteringstechnieken;

• Een beoordeling van de gevoeligheden van de SCR op de belangrijkste parameters, waaronder bij

gebruik van de standaardformule- eventuele verzekeraarspecifieke parameters (USP’s);

• Bij gebruik van de standaard formule een beoordeling van de geschiktheid van de daarin opgenomen

standaard parameters of verzekeraarspecifieke parameters;

• Een verklaring waarom aard, omvang en complexiteit van de risico’s rechtvaardigen dat enkele vereen-

voudigingen zijn toegepast;

• Een analyse hoe de resultaten van de standaardformule of het (partieel) intern model worden gebruikt in

de besluitvorming;

Deze beoordeling wordt op verschillende niveau’s gemaakt: • De beoordeling per (sub)risicotype van zowel de methodologie, als van de compleetheid van de model

lering en de juistheid van de kalibratie;

• De beoordeling op het niveau van verzekeraar (OTSO) waarbij de risicotypen in samenhang worden

bezien, rekening houdend met correlaties;

• Voor een verzekeringsgroep de beoordeling op groepsniveau waarbij de OTSO’s en eventuele andere

vennootschappen in samenhang worden bezien, rekening houdend met mogelijke correlaties.

Verwachte uitkomsten van het assessment zijn: • Overzicht per (sub)risicotype van door het management beoordeelde passendheid van standaard

formule of intern model en het daadwerkelijk risicoprofiel. Dit is in ieder geval een kwalitatieve inschat-



ting van mogelijke materiële afwijkingen op basis van methodiek, scenario’s, variabelen en correlaties.



Wanneer die analyse uitwijst dat de afwijking niet significant is, is het niet noodzakelijk een kwantitatieve



beoordeling uit te voeren. In andere gevallen moet de mogelijke afwijking ook worden gekwantificeerd.



De standaardformule wordt als niet passend beschouwd wanneer het voor een (sub)risicotype berekend



vereist kapitaal significant afwijkt van het werkelijk benodigd kapitaal. Wanneer sprake is van een signi-

3 EIOPA Final Report on Public Consultation No. 13/009 on the Proposal for Guidelines on Forward Looking Assessment of Own Risks, d.d.27 September 2013

8



ficante afwijking is in de regelgeving nog niet expliciet uitgewerkt. Door DNB4 is dit vooralsnog uitgewerkt



als een afwijking die 10% of meer bedraagt van de totale SCR. Bij een afwijking tussen 10% en 15%



bestaat de mogelijkheid het niet passend zijn met sterke bewijzen te weerleggen;

• Onderbouwde managementbesluiten over hoe de verzekeraar omgaat met eventuele significante

afwijkingen. Daarbij kan onder meer worden gedacht aan het reduceren van het risico, het toepassen



van verzekeraar specifieke parameters (USP’s) of het ontwikkelen van een intern model;

• Duidelijke keuzes hoe de verzekeraar omgaat met de SCR ten behoeve van kapitaalprojecties. De wijze van uitvoering en de (deel)conclusies van het assessment worden gedocumenteerd en vormen input voor de verdere ORSA. Wanneer blijkt dat een model niet helemaal passend is wordt vastgesteld of sprake is van een materiële afwijking en welke actie noodzakelijk is; bijvoorbeeld aanpassing van het model of het aanhouden van extra kapitaal. Naast de beoordeling of het gehanteerde model passend is voor het risicoprofiel van de (her)verzekeraar moet de (her)verzekeraar in het ORSA rekening houden met risico’s die niet opgenomen zijn in de standaardformule of het intern model. Hierbij valt bijvoorbeeld te denken aan strategische risico’s. De focus van de IAF richt zich in deze fase op het risico dat geen adequaat appropriateness assessment is uitgevoerd, waardoor in de kapitaalprojecties een model is gebruikt dat onvoldoende past bij het risicoprofiel van de verzekeraar.

3.2.2 Mogelijke werkzaamheden Internal Audit a/b. Bij een audit op de interne beheersing van het ORSA-proces, waaronder voldoen aan wet- en

regelgeving



Bij de beoordeling van het appropriateness assessment voert de IAF ten minste de volgende werkzaam-



heden uit:



• Beoordelen van de wijze waarop taken, verantwoordelijkheden en bevoegdheden in het appropriate-



ness assessment zijn ingericht (opzet) en uitgevoerd (werking). Aandachtspunten daarbij zijn de



invulling van de regierol, de betrokkenheid van methodologie-eigenaren voor de diverse risicotypen,



de betrokkenheid van businessmedewerkers met gedegen kennis van producten, risico-exposures en



de wijze waarop de risico’s zijn gemodelleerd;



• Bij een verzekeringsgroep het beoordelen of het appropriateness assessment voldoende rekening



houdt met het risicoprofiel van iedere individuele onder toezicht staande entiteit;



• Vaststellen dat een actuele procesbeschrijving beschikbaar is van het appropriateness assessment;



• Vaststellen dat taken, bevoegdheden en verantwoordelijkheden ten aanzien van het appropriateness



assessment duidelijk zijn beschreven. Besteed daarbij expliciet aandacht aan de betrokkenheid van



het senior management, van de actuariële- en de risicomanagementfunctie;



• Beoordeel de wijze waarop het risicoprofiel is opgesteld. Denk daarbij aan de vastlegging van het



doorlopen proces en de onafhankelijke inbreng van sleutelfuncties;

• Beoordelen van de ‘rating’systematiek: wanneer wordt een model als ‘geschikt’ gekwalificeerd (bv.



als afwijking in uitkomst op het vereist kapitaal) en wanneer is sprake van een significante onder- of



overschatting waarop corrigerende acties noodzakelijk zijn. Wanneer gebruik wordt gemaakt van de



standaardformule is dan bijvoorbeeld rekening gehouden met het feit dat deze is gebaseerd op



gemiddelden van Europese verzekeraars en dat het risicoprofiel van de individuele verzekeraar hier



van kan afwijken. Er is in overweging genomen dat de standaardformule enkele bekende tekort-



komingen heeft. Voorbeelden daarvan zijn het ontbreken van volatiliteit in equity risk en intrest risk,



het ontbreken van spread risk op staatsobligaties, schokken in property risk zijn gebaseerd op



Engelse markt, gevoeligheid uitkomsten voor valutarisico’s;



• Vaststellen dat de uitkomsten van het assessment voldoende zijn onderbouwd en gedocumenteerd;

4 DNB Solvency II update-sessie, onderdeel ERB/ORSA d.d. 8 april 2015

9



• Vaststellen dat op de uitkomsten van het assessment een 2e lijnsreview heeft plaatsgevonden door



de risicomanagementfunctie (of soortgelijke 2e lijnsfunctie) met gedegen kennis van de werking van



het gehanteerde model en risicoprofiel van de (her)verzekeraar;



• Vaststellen dat wanneer op onderdelen (risicotypen) sprake is van significante afwijkingen er



(passende/logische) corrigerende acties zijn genomen.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden



uitgevoerd als genoemd onder a. Wel zal nadrukkelijker een eigen beoordeling plaatsvinden van de



conclusies uit het assessment.

3.3 Risicoprofiel 3.3.1 Uitgangspunten Het risicoprofiel van de verzekeraar vormt het vertrekpunt in het ORSA. Voor het management en haar ORSA is de vaststelling van een volledig integraal beeld van materiële risico’s op basis van de gekozen strategie essentieel. Dit beeld bepaalt mede de samenstelling en diepgang van scenario’s en stresstesten en de doorvertaling van kapitaalprojecties en risicobereidheid. Ook wordt hiermee de basis gelegd voor de management challenge en risicogebaseerde besluitvorming over (kapitaal)houdbaarheid van de gekozen strategie. Materiële risico’s zijn risico’s die in de businessplanperiode een materiële impact kunnen hebben op het risicoprofiel en de kapitaalpositie. Dit zijn de risico’s waaraan de onderneming bloot staat of bloot zou kunnen staan, rekening houdend met potentiële toekomstige veranderingen in haar risicoprofiel die het gevolg zijn van de bedrijfsstrategie van de onderneming of van het economisch en financieel klimaat, waaronder operationele risico’s. De risicoclassificatie kent daarmee de risicotypen waarvoor kapitaal wordt aangehouden (verzekeringsrisico schade, verzekeringsrisico leven, verzekeringsrisico zorg, marktrisico, tegenpartijrisico, operationeel risico), maar ook de risicotypen die niet op voorhand kunnen worden gekwantificeerd in de standaardformule of het intern model (bijvoorbeeld strategische risico’s, liquiditeitsrisico). Het identificeren van de materiële risico’s begint met een kwalitatief risicoassessment. Hierbij kan gebruik worden gemaakt van vele bronnen. Het kwalitatief risicoassessment vraagt om betrokkenheid van functionarissen die goede kennis hebben van de strategie van de verzekeraar, van relevante interne ontwikkelingen, van marktontwikkelingen, economische ontwikkelingen en andere externe ontwikkelingen. Aanvullend daarop vindt een kwantitatief risicoassessment plaats, waarbij onder meer gekeken wordt naar de opbouw van het vereist kapitaal, de ontwikkeling in de omvang en samenstelling van dit kapitaal in afgelopen periode en de drivers voor vereist kapitaal en ontwikkeling daarin. Een veel gebruikte methodiek in het vervolgens rangschikken van geïdentificeerde risico’s is het inschatten van (a) de kans en de impact van de inherente (bruto) risico’s, (b)het risicobeperkend effect van beheersmaatregelen, en als afgeleide daarvan (c) het netto risicoprofiel. Het netto risicoprofiel wordt vervolgens afgezet tegen de risicobereidheid van de verzekeraar. Voor risico’s boven de risicobereidheid stelt de verzekeraar een aanvullende risicoreactie op, te weten: • Accepteren van het risico en hier aanvullend kapitaal voor aanhouden; • Verplaatsen van het risico naar derden, bijvoorbeeld door herverzekering; • Aanvullende beheersmaatregelen treffen om het risico te beperken; • Staken van de activiteiten die tot het risico leiden.

10

Het ORSA is een prospectieve beoordeling van de eigen risico’s en kapitaalbehoefte. In de prospectieve beoordeling van het risicoprofiel houdt de (her)verzekeraar rekening met het verwachte effect van voorgenomen beheersmaatregelen voor risico’s boven de risicobereidheid. In het ORSA beoordeelt de (her) verzekeraar de effectiviteit van de risicoreactie en bepaalt het effect van de risicoreactie op de benodigde kapitaalbuffers. De (her)verzekeraar houdt in de scenario- analyses rekening met mogelijk niet-effectieve (aanvullende) beheersmaatregelen. Figuur 3: Schematische weergave onderscheiden risiconiveau’s

Bruto risico’s

Netto risico’s voor aanvullende risico reactie

Netto risico’s na aanvullende risico reactie

Restrisico’s (na management actions)

De focus van de IAF richt zich in deze fase op het risico dat de materiële risico’s niet adequaat worden geïdentificeerd, waardoor de input voor de risico-identificatie in het ORSA niet volledig en/of actueel is.

3.3.2 Mogelijke werkzaamheden Internal Audit a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en

regelgeving



Bij de beoordeling van het risicoprofiel voert de IAF ten minste de volgende werkzaamheden uit:



• Vaststellen dat in het ORSA-beleid van de verzekeraar is vastgelegd wat de link is tussen het risico-



• Vaststellen dat de belangrijkste risico’s die zijn geïdentificeerd in het risicomanagementsysteem van



profiel, de risicobereidheid en de kapitaalsbehoefte; de verzekeraar zijn opgenomen in het bruto risicoprofiel in het ORSA;

• Vaststellen dat een ‘back testing’ heeft plaatsgevonden ten aanzien van in de vorige ORSA geïdenti-



ficeerde risico’s. Er is getoetst of zich risico’s hebben voorgedaan buiten het destijds opgestelde

risicoprofiel;

• Vaststellen dat wanneer het risicoprofiel ten opzichte van de vorige ORSA is gewijzigd dat de oor-





zaken daarvan zijn gedocumenteerd;

• Beoordelen of in de risico-identificatie voldoende rekening is gehouden met het risicoprofiel van iedere individuele onder toezicht staande entiteit;

• Vaststellen dat in het bruto risicoprofiel zowel de specifieke risico’s van de onder toezicht staande



entiteit als de groepsrisico’s (bv concentratierisico) die van invloed kunnen zijn op het risicoprofiel



van de onder toezicht staande entiteit zijn opgenomen;

11



• Vaststellen dat een actuele procesbeschrijving beschikbaar is van de risico-identificatie;



• Vaststellen dat bij de risico-identificatie de relevante sleutelfunctionarissen aanwezig zijn geweest,



dit zijn de functionarissen met de relevante kennis, ervaring en verantwoordelijkheden ten aanzien



van de gehanteerde methodologie en businesskennis;



• Vaststellen dat in de risico-identificatie de (her)verzekeraar niet alleen rekening houdt met huidige





soortgelijke 2e lijnsfunctie) zijn gechallenged op volledigheid en actualiteit;

• Vaststellen dat om de risico’s te prioriteren de inschatting van de kans en impact van de risico’s op



risico’s, maar ook met risico’s die zich kunnen gaan ontwikkelen in de geprojecteerde periode;

• Vaststellen dat de geïdentificeerde risico’s in het ORSA door de risicomanagementfunctie (of andere

een consistente manier is gedaan en inzichtelijk vastgelegd in het ORSA-dossier;

• Nagaan dat het AMSB-orgaan de belangrijkste risico’s en de risicotolerantie per risico(categorie)

heeft vastgesteld;

• Vaststellen dat de bepaling van het netto risicoprofiel is onderbouwd met een toetsing van de





boven de risicolimiet;

• Vaststellen dat in het ORSA de effectiviteit en impact van de aanvullende risicoreactie is beoordeeld



aantoonbaar effectieve werking van de huidige beheersmaatregelen;

• Nagaan of het AMSB-orgaan een aanvullende risicoreactie heeft opgesteld voor de netto risico’s

door de risicomanagementfunctie (of soortgelijke 2e lijns functie) en vastgelegd in het ORSA-dossier;

• Nagaan dat het AMSB-orgaan een kwalitatieve beoordeling heeft uitgevoerd van de risico’s die niet



gekwantificeerd kunnen worden in de standaardformule of het interne model voor het berekenen



van de SCR;



• Vaststellen dat de totstandkoming en uitkomsten van de risico-identificatie en het assessment zijn



vastgelegd in het ORSA-dossier, evenals de beoordeling van de effectieve werking van de (aanvul -

lende) beheersmaatregelen. c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden



uitgevoerd als genoemd onder a. Wel zal nadrukkelijker een eigen beoordeling plaatsvinden van de



conclusies uit het assessment.

3.4 Scenario- en stresstesten 3.4.1 Uitgangspunten In deze werkstap worden de in de kapitaalprojecties uit te voeren scenario- en stresstesten ontwikkeld en door het management vastgesteld. Het primaire doel van deze scenario- en stresstesten is de beoordeling dat voor de uitvoering van het businessplan (medium termijn plan) ook onder zwaar tegenvallende omstandigheden nog voldoende kapitaal en liquiditeit beschikbaar is om voortdurend aan de solvabiliteitseisen te voldoen. Feitelijk is dit dus een check op de financiële robuustheid van de verzekeraar. Ook biedt het de mogelijkheid mogelijke zwakheden of zwakke plekken te identificeren, die aanleiding geven tot aanvullende acties. De scenario- en stresstesten zijn gerelateerd aan de materiële risico’s van de (her)verzekeraar, maar kunnen ook meerdere samenhangende risico’s tegelijk raken (bijvoorbeeld: het renterisico heeft ook invloed op de waardering van aandelen en onroerend goed of grote catastrofes met invloed op de premiestelling en solvabiliteit van herverzekeraars). De materiële risico’s kunnen ook risico’s zijn die niet zijn gekwantificeerd in de SCR, maar die kwalitatief in de beoordeling van de solvabiliteit zijn betrokken (bijvoorbeeld reputatie of liquiditeitsrisico). Uitgangspunt is dat alle materiële risico’s via de scenario- en stresstesten alsnog worden

12

gekwantificeerd. De methode van kwantificering kan variëren van expert judgement tot gemodelleerde berekeningen. De (her)verzekeraar heeft als onderdeel van haar ORSA-beleid specifiek beleid voor de uitvoering van stresstesten, gevoeligheidsanalyses, reversed stresstesten en andere relevante analyses. Dit beleid geeft richting aan de wijze waarop scenario’s en stresstesten tot stand komen. Naast een kwalitatieve omschrijving met de specifieke kenmerken en overwegingen bij een scenario of stresstest wordt specifieke informatie gegeven over de te hanteren aannames en aan te passen parameters bij het doorrekenen van het scenario of de stresstest in het kapitaalprojectiemodel. Het ligt voor de hand dat het basisscenario van het ORSA aansluit op de meerjarenbegroting van de (her) verzekeraar. Het ORSA is immers een integraal onderdeel van de strategische besluitvorming. Bij het opstellen van de meerjarenforecast kan er sprake zijn van een neutrale, een optimistische of een pessimistische bias. Dit is niet altijd objectief vast te stellen. Door het goed documenteren van deze uitgangspunten kan inzicht worden verschaft aan de gebruiker hoe dit basisscenario moet worden geïnterpreteerd. Een neutrale bias heeft daarbij overigens de voorkeur. Aanvullend op het basisscenario moeten meerdere scenario’s worden uitgewerkt, waarbij valt te denken aan: • Generieke scenario’s, zoals bijvoorbeeld ontwikkeld door EIOPA of DNB; • Bedrijfsspecifieke scenario’s, gebaseerd op de materiële risico’s van de (her)verzekeraar, waaronder

- scenario’s voor langzaam optredende risico’s (bijvoorbeeld geleidelijk dalende rente);



- scenario’s voor snel optredende risico’s (catastrofes).

De scenario’s moeten voldoende zwaar zijn en inzicht geven in individuele en gecombineerde risico’s van de (her)verzekeraar en in de impact van mogelijke managementacties. Daarbij moet er ook een reverse stresstest c.q. near default scenario worden uitgewerkt . De uit te voeren scenario- en stresstesten worden toereikend beschreven en vastgesteld door het verantwoordelijk governance-orgaan. Het bepalen van goede stress-scenario’s voor individuele (her)verzekeraars vraagt een zekere mate van expert judgement. Deze expert judgement kan door sociaal gedrag worden beïnvloed, bijvoorbeeld door invloeden als gevolg van cognitieve dissonantie, framing, overschatting, groepsdenken en varianten hiervan. Dit kan leiden tot zowel te zware als te lichte scenario’s. Omdat de doorgerekende uitkomsten van scenario’s uiteindelijk bepalend zijn voor het beeld van de mate waarin de verzekeraar over voldoende kapitaal beschikt is het zinvol in het scenariobeleid aandacht te schenken aan de beperking van deze risico’s. Toekomstige managementacties Managementacties zijn stappen die de verzekeraar in bepaalde omstandigheden neemt om risico’s te beheersen. Deze managementacties zijn veelal het reduceren van risico’s, dan wel het verhogen van het kapitaal. Indien in het kader van de beheersing van risico’s risicotoleranties zijn bepaald en daarbij ook concreet is gemaakt welke acties worden ondernomen indien deze toleranties worden overschreden, kunnen deze managementacties worden meegenomen in de modellering van de scenario’s. Het in de modellen rekening houden met managementacties als deze niet concreet of tamelijk vrijblijvend zijn geformuleerd, dan wel wanneer deze op een te hoog niveau zijn geformuleerd (bijvoorbeeld als de SCR onder een bepaalde grens komt), zijn deze acties minder geschikt voor opname in de modellen als risicomitigatie.

13

Het identificeren van managementacties kan op verschillende plaatsen in het ORSA-proces. Het kan een integraal onderdeel zijn van het formuleren van stress-scenario’s, maar het kan ook volgen uit de fase van management-assessment (paragraaf 3.7). De focus van de IAF richt zich in deze fase op het risico dat de ontwikkelde scenario’s en stresstesten gezamenlijk geen goed beeld geven van de materiële risico’s waaraan de (her)verzekeraar blootstaat. Dit kan worden veroorzaakt doordat niet voor ieder geïdentificeerd materieel risico een daaraan gerelateerde scenario- en stresstest is ontwikkeld, doordat ontwikkelde scenario’s en stresstesten niet voldoende zwaar zijn of doordat onvoldoende rekening is gehouden met toekomstige managementacties. Dit kan tot gevolg hebben dat de op basis van scenario’s en stresstesten gemaakte kapitaalprojecties niet voldoende betrouwbaar zijn.

3.4.2 Mogelijke werkzaamheden Internal Audit a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en

regelgeving



Bij de beoordeling van het risicoprofiel voert de IAF ten minste de volgende werkzaamheden uit:



• Vaststellen dat een actuele procesbeschrijving beschikbaar is van de vaststelling van scenario’s en

stresstesten;

• Vaststellen dat taken, bevoegdheden en verantwoordelijkheden ten aanzien van de ontwikkeling en



vaststelling van scenario’s en stresstesten duidelijk zijn beschreven. Besteed daarbij expliciet aan-



dacht aan de betrokkenheid van het senior management, van de actuariële- en de risicomanage-

mentfunctie;

• Beoordeel de wijze waarop scenario’s en stresstesten zijn opgesteld. Denk daarbij aan de vastlegging



van het doorlopen proces, de onafhankelijke inbreng van sleutelfuncties en de objectieve onderbou-



wing van de zwaarte van stress-scenario’s. Voor de onderbouwing kan mogelijk gebruik worden



gemaakt van back testing;



• Vaststellen dat de ontwikkelde scenario’s en stresstesten duidelijk zijn vastgelegd, zowel de kwalita-



• Vaststellen dat wanneer in scenario’s en stresstesten simplificaties zijn gebruikt (bijvoorbeeld



tieve omschrijving als de kwantitatieve factoren; opschalingen) deze voldoende zijn onderbouwd;

• Wanneer de vastgestelde scenario’s en stresstesten anders zijn dan in de vorige ORSA dan wordt



vastgesteld dat hier een deugdelijke oorzaak aan ten grondslag ligt en dat deze voldoende is gedocu-

menteerd;

• Wanneer de vastgestelde reverse stresstesten anders zijn dan in de vorige ORSA dan wordt vast-



gesteld dat hier een deugdelijke oorzaak aan ten grondslag ligt en dat deze voldoende is gedocu-

menteerd;

• Beoordelen of met de vastgestelde scenario’s en stresstesten alle materiële risico’s van de (her)



• Beoordelen of de vastgestelde scenario’s en stresstesten voldoende rekening houden met het risico-



verzekeraar voldoende zijn geraakt, zowel de individuele risico’s als gecombineerde risico’s; profiel van iedere individuele onder toezicht staande entiteit;

• Vaststellen dat impliciete en expliciete managementacties zijn meegenomen in de uitwerking van de



stress-scenario’s, en dat deze managementacties:



- voldoende concreet en toepasbaar zijn;



- realistisch lijken te zijn als het scenario zich daadwerkelijk voordoet;



- consistent zijn met bestaand beleid (bijvoorbeeld ten aanzien van beleggingen, herverzekering

etc.);

- commitment hebben van het bestuur om de verwachte managementactie ook daadwerkelijk uit

te voeren.

14

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden



uitgevoerd als genoemd onder a. Aanvullend worden de volgende werkzaamheden uitgevoerd:



• Vaststellen dat het basisscenario aansluit bij het goedgekeurde businessplan c.q. de meerjaren-



• Vaststellen dat de gekozen stress-scenario’s ook aansluiten bij de (strategische) risico-analyses van de



begroting en ook adequaat is gedocumenteerd in de ORSA-rapportage; onderneming. De opgestelde scenario’s zijn passend voor het risicoprofiel van de (her)verzekeraar;

• Vaststellen of scenario’s en stresstesten in voldoende mate, en daar waar mogelijk de gekozen heftig-



heid van het stress-scenario, voldoende objectief zijn onderbouwd aan de hand van interne bronin-



formatie, en/of externe bronnen (bijvoorbeeld de Macro-economische verkenningen);



• Vaststellen of scenario’s en stresstesten in voldoende mate, en daar waar mogelijk de gekozen heftig



heid van het stress-scenario, niet zijn beïnvloed door of teruggerekend zijn vanuit het beschikbare

kapitaal;

• Zelfstandig raadplegen van interne en externe bronnen om onafhankelijk de gekozen heftigheid te

toetsen;

• Backtesting van eerder geformuleerde scenario’s met de werkelijke realisatie;



• Vaststellen dat er voldoende stresstesten zijn uitgevoerd, inclusief reversed stresstests, gevoelig-





heidsanalyses, individuele en gecombineerde scenario’s;

• Vaststellen dat waar nodig consistentie bestaat in de achtereenvolgende ORSA’s in de keuze van scenario’s en de heftigheid daarvan;

• Vaststellen dat informatie uit eerdere ORSA’s (eigen evaluatie, feedback toezichthouder, interne of



externe auditor) adequaat is meegenomen.

3.5 Kapitaalprojecties 3.5.1 Uitgangspunten Deze stap heeft als doel het basisscenario en de vastgestelde scenario’s en stresstesten door te rekenen in het kapitaalprojectiemodel. Dit kapitaalprojectiemodel maakt onder meer gebruik van basisdata, modelvariabelen en rekenregels om tot kapitaalprojecties te komen. Een projectiemodel kan per scenario of voor meerdere scenario’s tegelijk uitkomsten genereren. Schematisch kan het gebruik van het model als volgt worden weergegeven (figuur 4): Figuur 4: Kapitaalprojectiemodel

Basisdata

Modelvariabelen

Projectie-model

Scenario-variabelen

15

Projecties

Omdat de uitkomsten van de kapitaalprojecties belangrijke invloed kunnen hebben op de strategische besluitvorming is het van belang dat dit onderdeel van het ORSA-proces met voldoende waarborgen is omringd. De projectiemodellen die hiervoor worden gebruikt zijn doorgaans complexe modellen. Zowel het bewaken van de datakwaliteit van de input (basisdata, modelvariabelen en scenario-variabelen) als het beheer van het projectiemodel zelf verdienen daarbij aandacht. Wanneer geborgd is dat de input-variabelen, het projectiemodel en de beheeromgeving waarin het model wordt doorgerekend betrouwbaar zijn, moeten de kapitaalprojecties die hieruit volgen ook betrouwbaar zijn. Belangrijke uitkomsten uit het kapitaalprojectiemodel zijn de meerjarenontwikkeling van • Economisch resultaat en economische balans; • Vereist kapitaal (SCR) en aanwezig kapitaal (Own funds); • Solvabiliteitsratio’s. 1. Datakwaliteit van de basisdata De basisdata waarmee een projectiemodel rekent is feitelijk de uitgangssituatie van waaruit de extrapolatie plaatsvindt. Deze data worden gevormd door de meest recente en bruikbare “actuals”. Het projectiemodel moet in elk geval gebruikmaken van de volgende basisdata: • Balans op marktwaardegrondslagen, in het bijzonder

- de samenstelling van de beleggingen;



- de samenstelling van de technische voorzieningen;

• Samenstelling van het aanwezige vermogen; • Resultatenrekening op marktwaardegrondslagen. De marktwaardegrondslagen zijn de waarderingsgrondslagen die voor de Solvency II- rapportages van toepassing zijn. Zoals vermeld onder de randvoorwaardelijke aspecten is de vaststelling dat in het ORSA gebruikte basisdata juist en volledig is niet in scope van deze praktijkhandreiking. Overweging hierbij is dat deze basisdata niet alleen gebruikt wordt in het ORSA, maar in de bedrijfsvoering van de organisatie in bredere zin. De betrouwbaarheid van de basisdata kan door de internal auditfunctie vanuit reguliere procesaudits of specifieke datakwaliteitaudit(s) worden vastgesteld. De vaststelling dat deze basisdata correct in de projectiemodellen wordt ingevoerd maakt wel deel uit van de audit op ORSA. 2. Datakwaliteit van modelvariabelen Om projecties te kunnen maken van de solvabiliteitsbehoefte in de toekomst moet het projectiemodel gebruik kunnen maken van een aantal modelvariabelen. Tot de modelvariabelen behoren de uitgangspunten die de verwachte toekomstige ontwikkelingen reflecteren en die in beginsel op alle scenario’s van toepassing kunnen zijn. Hiertoe behoren bijvoorbeeld de aannames ten aanzien van toekomstige rentestructuren en inflatieverwachting, parameters (standaard deviatie) voor de berekening van premie- en reserverisico, parameters voor de berekening van de marktrisico’s, uitloop van de technische voorzieningen en de risicomarge, herbelegging van eventuele resultaten. 3. Datakwaliteit van scenariovariabelen De scenariovariabelen zijn de specifieke variabelen die worden ingevoerd om in het projectiemodel de vooraf beschreven scenario’s te modelleren. Hiertoe behoren bijvoorbeeld de aannames ten aanzien van de ontwikkeling van premies (en verdeling naar branches), de ontwikkeling schaderatio (eventueel per branche), de ontwikkeling kosten (expense-ratio, vaste kosten), ontwikkeling beleggingsrendementen, mate van herverzekering (en soort herverzekering) enzovoorts.

16

4. Betrouwbaarheid van het projectiemodel Projectiemodellen zijn doorgaans gebaseerd op deterministische projecties, waarbij uitgaande van vooraf beschreven scenario’s doorrekeningen worden gemaakt. Meer stochastische modellen zijn ook mogelijk, maar vanwege het grote aantal variabelen in de praktijk minder gangbaar. In de praktijk kunnen de ORSAprojectiemodellen technisch op verschillende manieren zijn vormgegeven. Een breed spectrum van oplossingen wordt geboden, variërend van Excel-toepassingen tot en met projectiemodellen die zijn geïntegreerd in actuariële rekentools. De daarin gemaakte keuze heeft invloed op de beheeromgeving van de modellen (met name het wijzigingsbeheer en toegangsbeveiliging). Gezien het grote aantal variabelen en de complexiteit van projectiemodellen is het modelrisico inherent aanwezig. Als het model door de betrokken professionals zelf is ontwikkeld bestaat het risico dat dit automatisch als de beste wijze van projecteren wordt beschouwd, zonder dat de uitkomsten van het model voldoende kritisch worden beoordeeld. De ontwikkeling en validatie van het projectiemodel is niet in deze praktijkhandreiking meegenomen. Hierop kan een afzonderlijke audit worden uitgevoerd, waarvan de uitkomst wordt gebruikt in de ORSA-audit. 5. Betrouwbaarheid van het kapitaalprojecties Op zichzelf zijn de kapitaalprojecties het uitvloeisel van de inputvariabelen en het projectiemodel. Indien deze betrouwbaar zijn, moeten de kapitaalprojecties die hieruit volgen ook betrouwbaar zijn. Toch is het goed om hier niet blind op te vertrouwen. Een goede analyse van de uitkomsten van de kapitaalprojecties kan informatie opleveren die kan leiden tot verdere verbetering van de totstandkoming van de inputvariabelen respectievelijk het projectiemodel.

3.5.2 Mogelijke werkzaamheden Internal Audit a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en

regelgeving



Bij de beoordeling van de interne beheersing van het ORSA-proces met betrekking tot de kapitaalprojec-



tie stelt de IAF ten minste de volgende toetspunten vast:

Algemeen

• Vaststellen dat een actuele procesbeschrijving beschikbaar is van de totstandkoming van kapitaal-

projecties;

• Vaststellen dat taken, bevoegdheden en verantwoordelijkheden ten aanzien van de kapitaalprojecties



duidelijk zijn beschreven. Besteed daarbij expliciet aandacht aan de betrokkenheid van het senior



management, van de actuariële- en de risicomanagementfunctie;



• Beoordeel de wijze waarop kapitaalprojecties zijn opgesteld. Denk daarbij aan de vastlegging van het



doorlopen proces en de onafhankelijke inbreng van sleutelfuncties;

• Vaststellen dat de risico’s die samenhangen met het gebruik van complexe modellen, waaronder het



ORSA-projectiemodel, worden onderkend in het risicomanagementsysteem van de (her)verzekeraar



en dat er passende beheersmaatregelen zijn genomen om dit risico te beheersen;



• Vaststellen dat de maatregelen inzake de beheersing van risico’s bij het gebruik van ORSA-projectie-



modellen adequaat en effectief worden nageleefd;

• Vaststellen dat er documentatie is waaruit blijkt dat de modellen die voor ORSA worden gebruikt ook



in de bedrijfsvoering worden gehanteerd (bijvoorbeeld in productontwikkeling, premiestelling, perfor-

mance management);

17



• Vaststellen dat wanneer in de kapitaalprojecties simplificaties zijn gebruikt (bijvoorbeeld opschalingen)





deze voldoende zijn onderbouwd;

• Vaststellen dat de periode waarvoor projecties zijn gemaakt aansluit op de periode van de business planning (veelal drie tot vijf jaar);

• Beoordelen of in de kapitaalprojecties en solvabiliteitsbeoordeling voldoende rekening is gehouden



met het risicoprofiel van iedere individuele onder toezicht staande entiteit.

Modelvariabelen

• Stel vast dat de toekomstige modelvariabelen gelijk zijn aan de bestaande variabelen. Deze varia-



belen, zoals rentestructuren, parameters, alignment met strategische keuzes en het risicoprofiel van



de onderneming kunnen objectief worden vastgesteld met onder meer de technische specificaties



van de toezichthouder, alsmede met de variabelen in de uitgangssituatie. Voor zover in het model



andere keuzes worden gemaakt, zoals het incalculeren van bepaalde ontwikkelingen in de rente-



curves, de parameters of wijzigingen in de uitloop van de technische voorzieningen mag worden



verwacht dat een en ander zorgvuldig wordt onderbouwd en toegelicht. Deze onderbouwing wordt



door het verantwoordelijke governance orgaan gevalideerd en vastgelegd;



• Stel vast dat er gevoeligheidsanalyses op modelvariabelen/aannames zijn uitgevoerd;



• Stel vast dat (door de actuariële functie) onzekerheden in modelvariabelen en de mogelijke impact



op de betrouwbaarheid van uitkomsten zijn onderkend, en duidelijk zijn toegelicht.

Scenariovariabelen

• De vaststelling van de scenariovariabelen is beduidend meer subjectief dan de basisdata en de



modelvariabelen. De scenariovariabelen reflecteren verwachtingen omtrent toekomstige ontwikkelin-



gen. Stel vast dat de vertaling van de gekozen scenario’s in scenariovariabelen consistent is met de



gekozen scenario’s, alsmede met de gekozen managementacties (voor zover van toepassing);



• Stel vast dat er gevoeligheidsanalyses op scenariovariabelen/aannames zijn uitgevoerd;



• Stel vast dat (door de actuariële functie) onzekerheden in scenariovariabelen en de mogelijke impact



op de betrouwbaarheid van uitkomsten zijn onderkend, en duidelijk zijn toegelicht.



Projectiemodel



• Stel vast dat een toereikend beheerproces rondom het gebruik, het onderhoud en de validatie van



complexe rekenmodellen, zoals het ORSA-projectiemodel, waaronder scheiding van de ontwikkel-,



test-, acceptatie- en productieomgeving;



• Stel vast dat de verantwoordelijkheden rondom het proces van kapitaalprojectie adequaat zijn vast-



gelegd (= opzet) en uitgevoerd (= werking) en ten minste de volgende elementen bevatten



- Validatie van de inputvariabelen (kwaliteit basisdata, modelvariabelen en scenariovariabelen;



- Validatie van de juiste versie van het ORSA-projectiemodel;



- Validatie van de juiste en volledige invoer in het ORSA-projectiemodel;



- Validatie van juiste en volledige invoer in et ORSA-projectiemodel;



- Scheiding van het uitvoeren van de berekening en de verificatie en analyse van de uitkomsten;



- Validatie van de uitkomsten van de ORSA-kapitaalprojecties;



- Documentatie van de uitgangspunten en de uitkomsten van iedere ORSA.



• Stel vast dat 2e lijnsfunctionarissen voldoende zijn betrokken bij de kapitaalprojecties:



- De risk managementfunctie toetst de risicobeheersing rondom het gebruik van het ORSA-projec-

tiemodel;

- De actuariële functie toetst of berekeningen hebben plaatsgevonden binnen de kaders die zij

daartoe heeft gesteld.

• Stel vast dat in het projectiemodel de volgende elementen zijn meegenomen:

18



- De modellen (op basis van de input) voorzien in een betrouwbare projectie van:

o toekomstige resultaten;

o de toekomstige financiële positie;

o de toekomstige kapitaaleis.

- De modellen zijn onderhoudbaar en flexibel:



o geschikt voor wijzigingen in technische specificaties;



o geschikt voor meervoudige en complexe scenario’s;



o geschikt voor wijzigingen in aannames;

o schaalbaar en herbruikbaar.

- De modellen zijn robuust, betrouwbaar en beheersbaar:



o een scheiding van ontwikkel-, test-, acceptatie- en productieomgeving;



o passen in een beheeromgeving, aandacht voor versiebeheer;



o audit trail, controleerbare berekeningen.



- De modellen leveren duidelijke output:



o vastlegging gekozen uitgangspunten, inputvariabelen;

o documentatie uitkomsten.

- De modellen zijn gevalideerd:



o validatie na iedere wijziging;



o onafhankelijke en periodieke toetsing (waaronder testen en backtesten);

o adequaat versiebeheer; o adequate documentatie. Kapitaalprojecties

• Maak een reflectie op de uitkomsten van de kapitaalprojecties door bijvoorbeeld de volgende



analyses te maken:



- Analyse en technische validatie van de uitkomsten:



o analyse (en documentatie) van de uitkomsten;



o technische aansluiting van de uitkomsten vanuit de uitgangspunten.

- Procesmatige toets:

o is het proces zorgvuldig doorlopen;



o is gebruikgemaakt van goedgekeurde inputvariabelen;



o is gebruikgemaakt van een gevalideerd projectiemodel.

- Holistische toets:

o begrijpen we de uitkomsten in het licht van de gekozen scenario’s;



o zijn uitkomsten van kapitaalprojectie logisch en verklaarbaar vanuit gekozen inputvariabelen.



• Vaststellen dat in de kapitaalprojecties rekening is gehouden met te verwachten veranderingen in



bedrijfsstrategie en/of relevante externe factoren;

• Vaststellen dat in de kapitaalprojecties gebruik is gemaakt van in een separate audit datakwaliteit



getoetste data. Stel tevens de aansluiting vast tussen deze op volledigheid en juistheid gecontro-



leerde brondata en de invoer in het kapitaalprojectiemodel.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden



uitgevoerd als genoemd onder a. Aanvullend worden de volgende werkzaamheden uitgevoerd:



• Controle door verificatie inputvariabelen:



- Beoordeling van de aannemelijkheid van de modelvariabelen aan de hand van de technische



specificaties van de toezichthouder en eventuele andere bronnen, alsmede de interne vastleggin-



gen omtrent eventuele afwijkingen ten opzichte van algemene modelvariabelen;



- Beoordeling van de scenariovariabelen door verificatie aan de hand van vastgestelde scenario’s.

19



• Vaststellen van de juistheid van de berekeningen. Deze controle kan door middel van deelwaarne-



ming worden uitgevoerd. Deze controle omvat de volgende onderdelen:



- Uitvoeren van controleberekeningen op de projectie van de resultatenrekeningen aan de hand

van de inputvariabelen;

- Uitvoeren van controleberekeningen op de projectie van de financiële positie aan de hand van de

inputvariabelen;

- Uitvoeren van controleberekeningen op de projectie van de verwachte kapitaalseis aan de hand



van de inputvariabelen en gebruikmakend van gevalideerde modellen.

• Onafhankelijke analyse van de uitkomsten:



- De IAF kan de uitkomsten van de ORSA-kapitaalprojecties zelfstandig analyseren en de resultaten



van deze analyse vergelijken met de analyse die is opgesteld door de verantwoordelijke voor de

kapitaalprojecties.

- De IAF kan onafhankelijk van de operationele functie die verantwoordelijk is voor de berekening



en/of de analyse van de uitkomsten van de kapitaalprojectie, zelf een analyse uitvoeren op de



uitkomsten. Daarbij kan zij aandacht geven aan onder meer de volgende aspecten:



o Is de vertaling van de scenario’s naar scenariovariabelen logisch verklaarbaar;



o Zijn de uitkomsten logisch verklaarbaar in het licht van de toegepaste scenario’s, ook zonder



daarbij uit te gaan van het model (holistische analyse);



o Zijn de verschillen tussen de uitkomsten van verschillende scenario’s logisch verklaarbaar;



o Zijn er relevante ontwikkelingen buiten het model die van relevante invloed kunnen zijn op



de interpretatie van de uitkomsten (unknown-unknowns).

- De IAF kan de uitkomsten van de kapitaalprojecties vergelijken met kapitaalprojecties uit eerdere

jaren.

3.6 Analyses 3.6.1 Uitgangspunten • De uitkomsten van de drie voorgaande analyses (appropriateness assessment, kapitaalprojecties en

stress- en scenario-analyse) moeten niet alleen afzonderlijk worden beoordeeld, maar ook in samen-



hang worden geanalyseerd. Daarbij hoort ook een confrontatie met de risicobereidheid en het kapitaal



beleid (capital adequacy policy). De uitkomst van deze fase is dan ook



- Een integrale analyse van risico, rendement en kapitaal als onderdeel voor het businessplan van de

verzekeraar;

- De voorbereidende conclusie en besluitvorming voor management challenge (in de volgende fase);



- Input voor het ORSA-rapport.

Op basis van de analyse kunnen de volgende typen besluiten aan het management worden voorgelegd • Besluiten omtrent kapitaalmanagement (inclusief contingency planning); • Kwalitatieve besluiten voor risicomanagement; • Besluitvorming omtrent strategie, en daarmee impact op het businessplan; • Besluitvorming omtrent risicomanagementraamwerk, en mogelijk impact op de risicobereidheid of de risicomodellen. De focus van de IAF richt zich in deze fase op het risico dat de uitkomsten van de in eerdere fases van het ORSA-proces gemaakte analyses niet in samenhang worden beoordeeld. Deze integrale beoordeling is noodzakelijk om de juiste eindconclusies mogelijk te maken en gefundeerde besluiten voor businessplan en kapitaalmanagement te kunnen nemen.

20

3.6.2 Mogelijke werkzaamheden Internal Audit a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en

regelgeving



Bij de beoordeling van de integrale analyse voert de IAF ten minste de volgende werkzaamheden uit:



• Vaststellen dat de uitkomsten van de genoemde individuele analyses volledig in de integrale analyse

zijn betrokken;

• Vaststellen dat de aannames, scenario’s en projecties uit het businessplan en het ORSA op elkaar

zijn afgestemd;

• Vaststellen dat de op basis van de integrale analyse voorbereide conclusies geen zichtbaar onver-



klaarbare en/of niet gedocumenteerde elementen bevat. Zo zal een zichtbaar op het businessplan



afgestemde meerjarenprojectie van vereist en beschikbaar kapitaal aanwezig moeten zijn.



Tevens wordt vastgesteld dat bij de integrale analyse behorende mogelijke besluiten zijn voorbereid;



• Beoordelen van de wijze waarop taken, verantwoordelijkheden en bevoegdheden in de integrale ana-



lyse zijn ingericht (opzet) en uitgevoerd (werking). Aandachtspunten daarbij zijn de invulling van



de regierol, de betrokkenheid van businessmedewerkers met gedegen kennis van producten en de



daarin besloten risico’s, van experts vanuit risicomanagement en van medewerkers met goede ken-



nis van kapitaalmanagement;



• Stel vast dat er een gestructureerde aanpak is toegepast voor de vaststelling van de kapitaalbehoefte

per risico;

• Beoordeel of bij het vaststellen van de vereiste kapitaalbehoefte deugdelijk gebruik is gemaakt van



de uitgevoerde projecties, stresstesten en scenario-analyses. Ook is rekening gehouden met de



risico’s waar geen kapitaal voor hoeft te worden aangehouden en met additionele met de bedrijfs



strategie samenhangende niet-risicogerelateerde kapitaalbehoeften.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden



uitgevoerd als genoemd onder a. Wel zal nadrukkelijker aandacht worden geschonken aan de beoorde-



ling van de voorbereide uitkomsten uit de integrale analyse.

3.7 Management assessment 3.7.1 Uitgangspunten Het doel van deze fase is de voorbereide integrale analyse met het management te challengen en vervolgens te komen tot een integrale conclusie en besluitvorming. Het management assessment kan overigens resulteren in een itteratie, wanneer blijkt dat bepaalde risico- en kapitaalanalyses opnieuw moeten worden bekeken om tot een beter beeld te komen. Uiteindelijk resulteert het proces in een integrale conclusie over de passendheid van kapitaalpositie en business-strategie. Meer in detail is de uitkomst van deze fase • Managementinzicht in de samenhangende en afzonderlijke assessments: passendheid, capital adequa

cy en stress- en scenariotests waarin de materiële risico’s zijn meegenomen;

• Een integrale conclusie over kapitaalhoudbaarheid van de in het businessplan uitgewerkte strategie; • Besluitvorming in het kader van ORSA en het businessplan ten aanzien van kapitaalmanagement (waar

onder contingency planning), kwalitatief risicomanagement, strategie en risicomanagement framework.

De focus van de IAF richt zich in deze fase op het risico van a) onvoldoende betrokkenheid van verantwoordelijk management, b) onvoldoende challenge van de in voorgaande fase voorbereide conclusies en daarmee uiteindelijk c) ondeugdelijke besluitvorming ten aanzien van businessplan en kapitaalmanagement.

21

3.7.2 Mogelijke werkzaamheden Internal Audit a/b. Bij een audit op de interne beheersing van het ORSA-proces waaronder voldoen aan wet- en

regelgeving



Bij de beoordeling van management assessment voert de IAF ten minste de volgende werkzaamheden uit:



• Beoordelen van de wijze waarop taken, verantwoordelijkheden en bevoegdheden in het management



assessment zijn ingericht (opzet) en uitgevoerd (werking). Aandachtspunten daarbij zijn de invulling



van de regierol, de betrokkenheid van verantwoordelijk senior management uit de business, van



verantwoordelijke directie of raad van bestuur, van experts vanuit risicomanagement en van mede-



werkers met goede kennis van kapitaalmanagement;



• Beoordelen van de aard en diepgang van de discussie in de assessmentfase. Aandachtspunt is de



door besluitvormers getoonde professionele scepcis. Deze moet bijdragen aan de kwaliteit van de

besluitvorming;

• Vaststellen dat in het assessment voldoende aandacht is gegeven aan de afstemming van de uit-



komsten voor ORSA met capital funding plan en liquity plan.

c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het management assessment worden in deze fase dezelfde werk-



zaamheden uitgevoerd als genoemd onder a. Wel zal nadrukkelijker aandacht worden geschonken aan



de beoordeling van de conclusies uit het assessment en de daaraan gerelateerde besluiten.

3.8 Rapportage 3.8.1 Uitgangspunten Aan het einde van het ORSA-proces moet de (her)verzekeraar een zelfstandig leesbaar ORSA-rapport opstellen, dat een realistische en dynamische weerspiegeling is van de (toekomstige) risico’s. In het rapport moet de afwegingen inzake kapitaal, risico en strategie samenkomen, met een, op basis van de op dat moment beschikbare informatie, toekomstgerichte aanpak. Het ORSA-rapport moet minimaal jaarlijks worden opgesteld. Dit kan ook eventueel vaker als de situatie daarom vraagt, bijvoorbeeld in het geval dat er significante wijzigingen zijn in het risicoprofiel of de risicobereidheid van de (her)verzekeraar. In het rapport komen de uitkomsten van de voorgaande stappen samen, waarbij het rapport bestaat uit zowel statische elementen (beschrijving van de bestaande ERM-informatie, zoals algemene informatie over de verzekeraar en de governancestructuur) als dynamische elementen (on-going solvency assessment, zoals strategie, solvency-vereisten en specifieke risico’s). (NB het is een optie om een onderscheid te maken in een statisch en dynamisch ORSA). Het ORSA-rapport moet voldoende informatie bevatten over: • De kwalitatieve en kwantitatieve resultaten van de prospectieve beoordeling en de conclusies die de

onderneming uit deze resultaten trekt;

• De gebruikte methoden en belangrijkste aannames; en • Voor zover van toepassing, een vergelijking van de algemene solvabiliteitsbehoeften, de wettelijke kapi-

taalvereisten en het eigen vermogen van de onderneming.

Het Bestuur moet het ORSA-rapport goedkeuren. De relevante werknemers moeten op de hoogte worden

22

gesteld over ten minste de resultaten en conclusies van de prospectieve beoordeling van de eigen risico’s. Na goedkeuring van het ORSA-rapport dient de (her)verzekeraar binnen twee weken het ORSA-rapport te verstrekken aan de toezichthouder. Daarnaast moet het senior management en het Bestuur een adequaat monitoring- en rapportageproces inrichten om tijdig in te kunnen grijpen als dat nodig is. Ook is het van belang dat het ORSA een integraal onderdeel is van de strategische bedrijfsvoering en geen losstaande activiteit is. De focus van de IAF richt zich in deze fase op de risico’s dat de rapportage niet tijdig, onbetrouwbaar is, te beperkt van diepgang is of dat bij een groepsrapportage de separate entiteiten onvoldoende aandacht krijgen, waardoor de rapportage niet voldoet aan de Solvency II- eisen. Daarnaast bestaat het risico dat op de risico’s die uit het ORSA naar voren komen onvoldoende geacteerd wordt, waardoor de uitkomsten van het ORSA onvoldoende worden meegenomen bij het bepalen en uitvoeren van de strategie van de verzekeraar.

3.8.2 Mogelijke werkzaamheden Internal Audit a/b. Bij een audit op de interne beheersing van het ORSA-proces, waaronder voldoen aan wet- en

regelgeving



Bij de beoordeling van de de rapportage stelt de IAF vast dat aan de volgende onderwerpen voldoende



aandacht is besteed:



• De ORSA-rapportage bevat ten minste de volgende elementen:



- (meer) Statische informatie:



o Omschrijving van de onderneming,



o Risico- en kapitaalmanagement framework,



o Inbedding/geïntegreerdheid van het risicomanagement;



- Strategie (business-scenario’s, risicostrategie, risicobereidheid, risicoprofiel, overwegingen

management, business-strategie);

- Kapitaalbehoefte (analyse toereikendheid van het gebruik van standaard of intern model, analyse



van het huidige kapitaal en de kwaliteit van het kapitaal, berekende SCR, resultaten van de

stresstests, kapitaalprojecties);

- Acties van het management.

• In de rapportage is aandacht besteed aan:



- De inzichtelijkheid en samenhang tussen de diverse onderdelen van het risk management waar



onder de samenhang met de risk appetite;



- De link van de belangrijkste risico’s met de risk appetite;



- De prioritering van risico’s, indien van toepassing op groepsniveau en onderliggend niveau;



- De uitgangspunten en veronderstellingen van het basisscenario in de kapitaalsprojecties;



- Een gedegen toelichting van de scenario- en stresstesten;



- De doorvertaling van de uitkomsten van het ORSA naar conclusies en mogelijke acties;



- Mogelijke kapitaalrestricties voor dochterondernemingen buiten de Europese Economische



Ruimte (EER) en de impact hiervan op het risicoprofiel en het ORSA zijn duidelijk toegelicht;



- De solvabiliteit is adequaat op basis van Solvency II beoordeeld;



- De ontwikkeling van het eigen vermogen is opgenomen;



- De consistentie met de voorgaande ORSA-rapportage.

Daarnaast beoordeelt de IAF de ORSA-rapportage op de volgende punten: • De inputrapportages zijn van voldoende kwaliteit, uniform en volledig

23



- Alle individuele rapportages zijn volledig;



- Alle benodigde rapportages zijn meegenomen;

• De inhoud van de ORSA-rapportage is consistent met de daaraan ten grondslag liggende berekeningen,

analyses ed.;

• Algemene punten:

- De uitgangspunten zijn consistent;



- De rapportage voldoet aan het ORSA-beleid;



- De rapportage is consistent met de voorgaande ORSA-rapportage en belangrijke wijzigingen en de



voortgang op de managementacties zijn toegelicht;

• Er is aantoonbaar vastgesteld dat aan alle Solvency II-rapportagevereisten is voldaan en, indien van toe

passing, dat opvolging is gegeven aan eerdere opmerkingen van DNB (eventueel buitenlandse toezicht-



houder) inzake het ORSA;

• De kwaliteit en vastlegging van het expert judgement wegingsproces is geborgd (vwb de rapportage.

De expert judgement in eerdere stappen in het ORSA-proces wordt in de eerdere stappen getoetst);

• Afstemming:

- Er heeft een tweedelijnsreview plaatsgevonden;



- Het rapport is beoordeeld en goedgekeurd (door de daarvoor aangewezen verantwoordelijken) en



opmerkingen, besluiten en acties zijn gedocumenteerd;

- Het ORSA is/wordt besproken en geëvalueerd met commissarissen of andere interne toezichthouders.

• In het ORSA-rapport zijn acties van het management opgenomen:

- Managementacties op basis van de huidige situatie;



- Acties van het management bij eventuele worst case scenario’s;



- Acties van het management wanneer de solvabiliteitsratio onder de interne limiet en/of onder de

100% komt. Bij groepsrapportage dienen additioneel de volgende punten te worden getoetst: • De groep ORSA kent voldoende diepgang, op basis van geschikte en tijdige input, door de juiste samen-

stelling van mensen (kennis, verantwoordelijkheden, evenwichtig) en managementbetrokkenheid;

• Wanneer uitsluitend een Single Group Wide (SGW) ORSA is opgesteld dan

- Is hiervoor toestemming van de toezichthouder;



- Is zichtbaar dat alle groepsentiteiten in de SGW ORSA zijn betrokken;



- Zijn de managementteams van deze entiteiten aantoonbaar bij het opstellen van de SGW ORSA

betrokken; • Consolidatie/weging/vaststellen samenhang risico’s tussen onderdelen vindt plaats en de impact op

groepsniveau is vastgesteld;

• De materiële risico’s van kleinere bedrijfsonderdelen zijn meegenomen in de groepsrapportage. c. Bij een inhoudelijke beoordeling van (onderdelen van) het ORSA

Bij een inhoudelijke beoordeling van het ORSA-rapport worden in deze fase dezelfde werkzaamheden



uitgevoerd als genoemd onder a.

24

4 De rapportage van Internal Audit De uitkomst van de door de IAF uitgevoerde audit wordt gerapporteerd aan het verantwoordelijk management. In de regel is dit een assurancerapport, opgesteld volgens de professionele regels van de IAF en een bijbehorende kwalificatie c.q. audit rating. De inhoud van de rapportage is afgestemd op de aard van de opdracht, zoals in hoofdstuk 2 beschreven. Het auditrapport geeft derhalve een uitspraak over de mate van interne beheersing van het ORSA-proces (opdracht type a), of het proces voldoet aan relevante wet- en regelgeving (type b) en/of dat de uitkomsten plausibel zijn (type c). Het uitbrengen van de rapportage over het ORSA kan een timingsvraagstuk met zich brengen. De Raad van Bestuur zal op het moment van bespreking en vaststelling van het ORSA-rapport de uitkomst willen kennen van de uitgevoerde audit. Dit geldt uiteraard ook bij de behandeling in de Raad van Commissarissen of Audit Committee. Dit sluitstuk van het ORSA-proces kan echter ook in de scope van de audit zijn begrepen. In dat geval zal het rapportageproces moeten worden opgeknipt in (1) het uitbrengen van de voorlopige bevindingen en conclusies en (2) het uitbrengen van een definitief rapport. Het kan daarbij pragmatisch zijn om voor de eerste stap het conceptrapport te gebruiken. Hoewel dit niet verplicht is, bestaat de mogelijkheid dat de opdrachtgever vraagt om een assurance- of onderzoeksrapport dat aan de ORSA-rapportage kan worden toegevoegd. Deze rapportage van de IAF is daarmee voor iedere gebruiker van het ORSA-rapport beschikbaar. Omdat de auditor vaak behoefte heeft een beperking aan te brengen in gebruik en verspreidingskring van zijn rapportage zal daarvoor een zorgvuldige afweging moeten worden gemaakt. Wanneer de keuze wordt gemaakt de uitkomst aan het ORSA-rapport toe te voegen, heeft het de voorkeur deze in een afzonderlijk, beknopt doch voldoende duidelijk assurance- of onderzoeksrapport op te nemen. Een voorbeeld hiervan kan onder meer ontleend worden aan de standaarden en voorbeeldteksten van de Nederlandse Beroepsorganisatie van Accountants (NBA) . In een dergelijke situatie is het waardevol om ook het gebruikelijke auditrapport met uitvoerigere bevindingen en aanbevelingen uit te brengen.

25

5 Ten slotte Velen beschouwen het ORSA als het hart van Solvency II en daarmee een essentieel integraal onderdeel van de bedrijfsstrategie en het risicomanagementsysteem. Met de onafhankelijke beoordeling van het doorlopen ORSA en het opgestelde eindrapport levert de IAF hieraan een belangrijke bijdrage. Deze praktijkhandreiking biedt de IAF een referentiepunt in de uitvoering van een audit op het ORSA. Tegelijkertijd merken we op dat regelgeving nog in beweging is. Met het naderen van de implementatiedatum van Solvency II zullen ook de praktijkervaring van IAF’s met het ORSA toenemen. De daaruit voortkomende nieuwe inzichten kunnen leiden tot een update van deze praktijkhandreiking. Reacties van gebruikers van deze praktijkhandleiding worden zeer op prijs gesteld. Suggesties voor verbetering en aanvulling kunnen worden doorgegeven aan de Commissie Professional Practices van IIA Nederland via [email protected].  

26

Bijlage: Verantwoording In deze praktijkhandreiking is de volgende regelgeving als uitgangspunt gebruikt: • European Commission, Directive 2009/138/EC of the European Parliament and of the Council of

25 November 2009 on the taking-up and pursuit of the business of Insurance and Reinsurance



(Solvency II), 17 December 2009;

• European Commission, Commission Delegated Regulation (EU) 2015/35 of 10 October 2014 supple

menting Directive 2009/138/EC of the European Parliament and of the Council on the taking-up and



pursuit of the business of Insurance and reinsurance (Solvency II), 17 January 2015;

• EIOPA, Final Report on Public Consultation No. 13/009 on the Proposal for Guidelines on Forward

Looking assessment of own risks (based on the ORSA principles), 27 September 2013;

• EIOPA, Final Report on Public Consultation No. 14/017 on Guidelines on own risk and solvency assessment, 28 January 2015; Daarnaast is gebruikgemaakt van de praktijkervaringen van de internal auditfuncties van Achmea, Delta Lloyd, De Goudse Verzekeringen, Menzis, Univé Verzekeringen, van de kennis van InAudit B.V. en van de door ECIIA uitgebrachte publicatie “The rol of Internal Audit under Solvency II”.

 

27