Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
'In control' over datakwaliteit onder Solvency II Wat zijn de effecten van Solvency II op de interne (data)beheersing van verzekeraars en aan welke eisen moet de interne (data)beheersing van verzekeraars voldoen om de interne audit functie in staat te stellen een oordeel te geven over de datakwaliteit?
Erasmus Universiteit Rotterdam Postmasteropleiding IT-Auditing & Advisory Erasmus School of Accounting & Assurance (ESAA) Student: A.S. (Anil) Changoe (292770) Afstudeerbegeleider: Jan Pasmooij RA RE RO Den Haag, 31 december 2013 Gebruik met bronvermelding toegestaan
1 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
VOORWOORD
Dit referaat is geschreven ter afronding van de postmasteropleiding IT-Auditing & Advisory aan de Erasmus Universiteit te Rotterdam.
In 2013 heb ik als externe adviseur de gelegenheid gehad om te kunnen meedraaien op het Solvency II programma van één van de grootste verzekeraars van Nederland. Binnen dit programma ben ik in aanraking gekomen met het onderwerp datakwaliteit, dat een belangrijk thema is binnen Solvency II. Voor mij was dit de aanleiding om mijn onderzoek aan dit onderwerp te wijden en zo een bijdrage te leveren aan het vakgebied ITAuditing.
Tijdens de uitvoering van dit onderzoek heb ik verschillende personen gesproken. Bij deze wil ik de volgende personen bedanken voor hun kennisdeling en tijd:
Drs. Eva de Mooij RO CIA CFSA CCSA – Manager ERM bij NN
Ivo Roest MSc – Senior project & change manager bij ING Insurance
Drs. Marcel Schut – Lead business analyst bij NN
Drs. Martijn Uunk RA – Data quality manager bij NN
Steven Verreydt RE – Audit manager bij ING
Hans Verstraten RA RE – Senior audit manager bij ING
Verder wil ik Daniel Ritsma bedanken voor zijn coaching gedurende het hele traject en Jan Pasmooij voor zijn begeleiding vanuit ESAA.
Tot slot wens ik u veel leesplezier toe.
Anil Changoe Den Haag, 31 december 2013
2 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
INHOUDSOPGAVE SAMENVATTING ......................................................................................................................................5 1
2
INTRODUCTIE ................................................................................................................................7 1.1
ACHTERGROND ..........................................................................................................................7
1.2
DOELSTELLING ..........................................................................................................................8
1.3
ONDERZOEKSVRAGEN ...............................................................................................................8
1.4
SCOPE ........................................................................................................................................9
1.5
ONDERZOEKSAANPAK...............................................................................................................9
1.6
LEESWIJZER.............................................................................................................................11
THEORETISCH KADER - SOLVENCY II ................................................................................14 2.1
SOLVENCY II ACHTERGROND ..................................................................................................14
2.2
SOLVENCY II PILAREN.............................................................................................................15
2.3
SOLVENCY II EN DATAKWALITEIT ..........................................................................................18 2.3.1 Criteria datakwaliteit ..................................................................................................19 2.3.2 Systeem van databeheersing ......................................................................................21
2.4 3
4
ROL INTERNE AUDIT FUNCTIE .................................................................................................22
THEORETISCH KADER INTERNE BEHEERSING ...............................................................24 3.1
BEHEERSTE BEDRIJFSVOERING - WFT .....................................................................................24
3.2
COSO INTERNAL CONTROL FRAMEWORK .............................................................................25
THEORETISCH KADER - BEHEERSRAAMWERKEN .........................................................29 4.1
COBIT 5 ..................................................................................................................................30
4.2
R.Y. WANG - A FRAMEWORK FOR ANALYSIS OF DATA QUALITY RESEARCH .......................33
4.3
FINANCIAL SERVICES AUTHORITY - EXTERNAL REVIEW SCOPING TOOL ..............................36
4.4
GEÏNTEGREERD CONCEPT BEHEERSRAAMWERK .....................................................................39 4.4.1 Datakwaliteitsbeleid & procedures ............................................................................40 4.4.2 Datakwaliteit training & awareness ...........................................................................41 4.4.3 Data definitie ..............................................................................................................41
3 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4.4.4 Datakwaliteit risicoanalyse ........................................................................................42 4.4.5 Datakwaliteitscontroles ..............................................................................................43 4.4.6 Datakwaliteit monitoring ...........................................................................................46 5
6
PRAKTIJKONDERZOEK ............................................................................................................47 5.1
EXPERTGROEP .........................................................................................................................47
5.2
SAMENVATTING VAN DE BEVINDINGEN ..................................................................................48
ANALYSE THEORIE VERSUS PRAKTIJK ..............................................................................51 6.1
7
EFFECT OP CONCEPT BEHEERSRAAMWERK .............................................................................51
CONCLUSIE ONDERZOEK ........................................................................................................58 7.1
CENTRALE VRAAGSTELLING ...................................................................................................58
7.2
DEELVRAGEN ..........................................................................................................................58
7.3
AANBEVELINGEN ....................................................................................................................60
7.4
BEPERKINGEN EN VERVOLGONDERZOEK ................................................................................61
BIJLAGE A - LITERATUUR ..................................................................................................................63 BIJLAGE B – MATRIX BEHEERSRAAMWERKEN .........................................................................66 BIJLAGE C – DEFINITIEF BEHEERSRAAMWERK .......................................................................67 BIJLAGE D – GEÏNTERVIEWDE PERSONEN ..................................................................................74 BIJLAGE E - DNB EISEN IMAP APPLICATIEPAKKET .................................................................76
4 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
SAMENVATTING De nieuwe Europese wetgeving Solvency II (hierna SII) is per 1 januari 2016 een feit. SII schrijft richtlijnen voor aan verzekeraars om de solvabiliteit te beoordelen, risico’s inzichtelijk te maken en te beheersen en om hierover te rapporteren aan de toezichthouder. SII stelt verder specifieke eisen aan de kwaliteit van de data die gebruikt wordt voor de berekening van de technische voorzieningen en schrijft voor dat de data geschikt, volledig en juist moet zijn om aan de kwaliteitseisen te voldoen. SII stelt dezelfde datakwaliteitseisen aan het interne model, standaardmodel en externe rapportages. Als de kwaliteit van de data niet aan deze criteria voldoet dan voldoet de berekening van de technische voorziening ook niet.
Maar wat zijn nu de effecten van SII op de interne (data)beheersing van verzekeraars en aan welke eisen moet de interne (data)beheersing van verzekeraars voldoen om de interne audit functie (IAF) in staat te stellen een oordeel te geven over de datakwaliteit? Dit onderzoek beantwoordt deze vragen. Het onderzoek geeft verzekeraars inzicht in de SII datakwaliteitseisen, in de vorm van een concreet toepasbaar beheersraamwerk. Door de beoordelingscriteria uit het beheersraamwerk verder te operationaliseren kunnen verzekeraars een organisatie specifiek normenkader ontwerpen dat als basis kan dienen voor de IAF om een oordeel te geven over de datakwaliteit.
De IAF beoordeelt vanuit haar derdelijns functie de effectiviteit van het systeem van interne beheersing, inclusief de governance en rapporteert hierover aan het bestuur. SII vereist specifiek dat de IAF een data-audit uitvoert op de kwaliteitsaspecten geschiktheid, volledigheid en juistheid. SII benadrukt dat de actuaris ook een belangrijke rol speelt bij het beoordelen van de datakwaliteit, maar deze heeft de vorm van een 'assessment' in plaats van een onafhankelijke audit. Verzekeraars die het interne model hanteren, moeten als onderdeel van het Internal Model Approval Process (IMAP) hun interne model laten goedkeuren door DNB en hiermee aantonen dat ze voldoen aan de SII eisen. Het management is verantwoordelijk om vast te stellen dat de aanvraag voor goedkeuring van het interne model voldoet aan de SII eisen, maar dient zijn opinie te baseren op het oordeel van de IAF.
SII is een ‘principle based’ en risicogebaseerde richtlijn. Dit betekent dat verzekeraars zelf een praktische invulling moeten geven aan de principes van deze richtlijn, rekening houdend met het risicoprofiel van de organisatie. Dit betekent dat er geen ‘harde’ regels zijn waaraan het beheersraamwerk moet voldoen en verzekeraars op basis van de gedefinieerde SII principes zelf invulling aan deze eisen kunnen geven.
5 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
De SII regelgeving wordt in Nederland uiteindelijk opgenomen in de Wet op het financieel toezicht (Wft). Interne beheersing is een belangrijk onderdeel van de Wft. De Wft eist dat verzekeraars zorgen voor een beheerste bedrijfsvoering. Middels de jaarrekening en de Wft-staten leggen verzekeraars verantwoording af aan DNB, die op haar beurt het prudentieel toezicht uitvoert. De externe accountant toetst de betrouwbaarheid van deze rapportages als onderdeel van de wettelijke controle. Een effectief stelsel van interne beheersmaatregelen is hierbij essentieel zodat wordt geborgd dat deze verantwoordingsrapportages betrouwbaar tot stand zijn gekomen. De Wft is net als de SII regelgeving gebaseerd op principes en schrijft niet voor hoe verzekeraars hun interne beheersing moeten inrichten.
Interne beheersing is breder dan databeheersing omdat het uitgaat van het bereiken van de bedrijfsdoelstellingen met betrekking tot de dagelijkse operaties, verslaggeving en compliance. Databeheersing onder SII gaat specifiek in op het borgen dat de data die wordt gebruikt voor het berekenen van de technische voorzieningen en de kapitaalsvereisten voldoet aan de kwaliteitscriteria geschiktheid, volledigheid en juistheid. Databeheersing is dus onderdeel van interne beheersing. Interne beheersing is volgens de SII richtlijn met name gebaseerd op het COSO raamwerk, wat meer een denkmodel is dan een normenkader. COSO geeft geen gedetailleerd normenkader voor databeheersing en dient daarom uitgebreid te worden met specifieke normen voor databeheersing.
In het theoretisch kader van dit onderzoek zijn een aantal normenkaders onderzocht die specifiek ingaan op interne (data)beheersing. Op basis van vooronderzoek en gesprekken met deskundigen zijn de volgende normenkaders geselecteerd voor nader onderzoek:
COBIT 5 (Information Systems Audit and Control Association (ISACA), 2012);
“A Framework for Analysis of Data Quality Research” (Wang, 1995); en
“Financial Services Authority (FSA) - External review scoping tool” (FSA, 2011).
Door integratie van de behandelde normenkaders is er een geïntegreerd concept beheersraamwerk voor datakwaliteit ontwikkeld. In het praktijkonderzoek is het ontwikkelde concept beheersraamwerk gevalideerd door een expertgroep van 5 deskundigen werkzaam bij ING Insurance en Nationale Nederlanden. Ze hebben uitgebreide kennis en ervaring op het gebied van SII, datakwaliteitsmanagement en risicomanagement in de verzekeringssector. Uit het praktijkonderzoek is naar voren gekomen dat het concept beheersraamwerk een goede opzet en structuur heeft en daarnaast prettig leesbaar is. Inhoudelijk ontbraken nog eisen die niet tijdens het literatuuronderzoek zijn geïdentificeerd. Deze tekortkomingen zijn geanalyseerd en het effect op het concept beheersraamwerk is beoordeeld. Dit heeft geresulteerd in een aangepast beheersraamwerk. Met dit concreet en toepasbaar beheersraamwerk kunnen verzekeraars beter inzicht krijgen in de datakwaliteitseisen van SII.
6 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
1 1.1
INTRODUCTIE
ACHTERGROND
Data is een belangrijk bezit voor organisaties. Goede kwaliteit van data vormt de basis voor betrouwbare rapportages. Deze rapportages zijn niet alleen belangrijk voor het maken van managementbeslissingen, maar dienen ook als verantwoording naar diverse stakeholders, waaronder toezichthouders zoals De Nederlandsche Bank (DNB). DNB heeft aangekondigd dat SII en de betrouwbaarheid van de aangeleverde rapportages belangrijke kernthema’s zijn voor het toezicht over 2013 (DNB, 2013a). Na eerder uitstel van SII, heeft de Europese Commissie op 2 oktober 2013 besloten de invoeringsdatum van SII ‘voor de laatste maal’ uit te stellen tot 1 januari 2016. Hiermee is de invoering van SII een feit, wat de nodige uitdagingen oplevert voor verzekeraars.
SII schrijft richtlijnen voor aan verzekeraars om de solvabiliteit te beoordelen, risico’s inzichtelijk te maken en te beheersen en hierover te rapporteren aan de toezichthouder. De kapitaalberekeningen die hierbij horen kunnen op basis van een standaardmodel of (partieel) intern model worden uitgevoerd. Deze modellen moeten worden gevoed met verschillende soorten data, waaronder bijvoorbeeld polisdata uit verzekeringstechnische administraties. Met behulp van deze modellen kunnen diverse scenarioberekeningen worden gemodelleerd en kan de financiële omvang van risico’s worden bepaald. Hiermee kan het kapitaal worden berekend dat de verzekeraar dient aan te houden om deze risico’s af te dekken.
SII stelt eisen aan de kwaliteit van de data die gebruikt wordt voor de berekening van de technische voorzieningen en schrijft voor dat de data geschikt, volledig en juist moet zijn om aan de kwaliteitseisen te voldoen. SII stelt dezelfde datakwaliteitseisen aan data die wordt gebruikt in het interne model, standaardmodel en de externe rapportages. Als de kwaliteit van de data niet aan de gestelde criteria voldoet, dan voldoet de berekening van de technische voorziening ook niet. SII eist daarom dat de datakwaliteit wordt beoordeeld en het management geïnformeerd wordt over de uitkomsten van deze beoordeling. SII ziet hier een belangrijke rol voor de interne audit functie (IAF), die de datakwaliteit moet auditen op de kwaliteitsaspecten geschiktheid, volledigheid en juistheid. Onder Solvency I is deze rol voor de IAF niet expliciet benoemd.
Verzekeraars zijn momenteel bezig met de implementatie van SII en als onderdeel hiervan staat datakwaliteit hoog op de agenda. De implementatie is geen gemakkelijke opgave omdat SII strenge eisen stelt aan de interne (data)beheersing, maar beperkte handvatten biedt om aan deze eisen te voldoen. Daarnaast loopt de verzekeringssector een jaar of tien achter op de technische ontwikkelingen op het gebied van datakwaliteit 7 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
en wordt de implementatie hiervan (mede) door het gebruik van legacy systemen vertraagd. Voor de IAF zijn er ook de nodige uitdagingen. Zo zal de interne auditor onder SII moeten rapporteren over datakwaliteit en expliciet kijken naar verschillende interne en externe datastromen, datadefinities en dataverrijkingen en tekortkomingen hierin moeten kunnen identificeren. De interne auditor zal systeem- en gegevensgerichte werkzaamheden moeten uitvoeren om uiteindelijk tot een oordeel te komen over de geschiktheid, volledigheid en juistheid van de data die is gebruikt voor het berekende risicokapitaal. Hierbij is het belangrijk dat de interne auditor over heldere beoordelingscriteria beschikt om tot een oordeel te komen.
1.2
DOELSTELLING
Dit onderzoek geeft verzekeraars inzicht in de SII datakwaliteitseisen, in de vorm van een concreet toepasbaar beheersraamwerk. Dit beheersraamwerk kan als basis dienen om een organisatie specifiek beheersraamwerk te ontwerpen of om de kwaliteit van een bestaand beheersraamwerk te toetsen, opdat de IAF in staat is een oordeel te geven over de datakwaliteit.
1.3
ONDERZOEKSVRAGEN
Wat zijn de effecten van Solvency II op de interne (data)beheersing van verzekeraars en aan welke eisen moet de interne (data)beheersing van verzekeraars voldoen om de interne audit functie in staat te stellen een oordeel te geven over de datakwaliteit?
Deelvragen: 1.
Wat is Solvency II en welke betekenis heeft datakwaliteit binnen Solvency II?
2.
Welke eisen stelt Solvency II aan de databeheersing van verzekeraars?
3.
Wat is de rol van de interne audit functie bij het beoordelen van datakwaliteit?
4.
Wat is interne beheersing en welke aspecten van interne beheersing zien we terug binnen de Wet op het financieel toezicht (Wft)?
5.
Uit welke bouwstenen en eigenschappen moet een beheersraamwerk bestaan om aan de datakwaliteitseisen van Solvency II te kunnen voldoen?
8 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
1.4
SCOPE
De scope van databeheersing in dit onderzoek richt zich primair op de SII kwaliteitscriteria geschiktheid, volledigheid en juistheid. SII stelt naast kwaliteitscriteria voor databeheersing ook kwaliteitscriteria voor ITbeheersing, waaronder bijvoorbeeld beschikbaarheid, toegankelijkheid en vertrouwelijkheid. De generieke IT maatregelen die zich richten op deze kwaliteitscriteria dragen bij aan een goede datakwaliteit en zijn zelfs randvoorwaardelijk voor goede databeheersing. Omdat er reeds veel onderzoek is uitgevoerd naar generieke ITmaatregelen in de financiële sector is dit onderdeel niet meegenomen in de scope van dit referaat. Tevens wordt er niet ingegaan op data-architectuur, metadatamanagement, data privacy & security en dataretentie & archivering.
1.5
ONDERZOEKSAANPAK
Voor dit onderzoek is gebruik gemaakt van de onderzoeksmethodologie van Verschuren en Doorewaard (Verschuren, 2007). Het onderzoek is een combinatie tussen theorie- en praktijkgericht onderzoek, waarbij het accent ligt op theorieontwikkeling.
Verschuren en Doorewaard (2007) maken onderscheid tussen het conceptueel ontwerp en het technisch ontwerp van een onderzoek. In het conceptueel ontwerp wordt aangegeven ‘wat’ en ‘waarom’ moet worden onderzocht. Het beschrijft o.a. de doelstelling, het onderzoeksmodel en de vraagstelling. In het technisch ontwerp wordt aangegeven ‘hoe’, ‘waar’ en ‘wanneer’ je gaat onderzoeken. Hierin wordt beschreven op welke wijze gegevens worden verzameld en welke gegevensbronnen (personen, documenten, etc.) worden gebruikt en hoe deze ontsloten kunnen worden (vb. interview, observatie, enquête, documentanalyse/ inhoudsanalyse etc.). Hieronder wordt ingegaan op het conceptueel en technisch ontwerp van dit referaat.
De doelstelling van dit onderzoek en de onderzoeksvragen zijn in paragraaf 1.3. beschreven. Het onderzoeksmodel is opgenomen in figuur 1.1.
9 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Onderzoeksoptiek Analyse
•Effecten van Solvency II op de datakwaliteit. •Eisen waaraan de interne (data)beheersing moet voldoen.
Literatuur Solvency II
Analyse van de resultaten.
Datamanagement
Interne (data) beheersing
Doelstelling
Inzicht geven in de SII datakwaliteitseisen, in de vorm van een concreet toepasbaar beheersraamwerk, opdat de IAF in staat is een oordeel te geven over de datakwaliteit.
Interne (data)beheersing bij verzekeraars
Vooronderzoek Gesprekken met deskundigen
= vergelijking
Onderzoeksobject
Figuur 1.1. Onderzoeksmodel
Literatuurstudie Het theoretisch gedeelte van het onderzoek is gebaseerd op gesprekken met deskundigen (vooronderzoek) en op bestudering van literatuur op het gebied van SII, datamanagement en interne (data)beheersing. Voor elke onderzoeksvraag
is
gezocht
naar
relevante
literatuur,
voornamelijk
via
internet
en
de
(online)universiteitsbibliotheek. De literatuurlijst is opgenomen in bijlage A. Het resultaat van de literatuurstudie levert een beschrijving op van de belangrijkste effecten van SII op de datakwaliteit van verzekeraars en een set van eisen waaraan de interne (data)beheersing van verzekeraars moet voldoen (een concept beheersraamwerk). In bijlage D is een lijst opgenomen met personen die zijn geïnterviewd tijdens het vooronderzoek.
Praktijkonderzoek Er zijn diepte-interviews gehouden met deskundigen op het gebied van SII, datamanagement en risicomanagement bij verzekeraars. De eisen die uit het literatuuronderzoek naar voren zijn gekomen zijn gevalideerd door de deskundigen en hun commentaar is geïnventariseerd. In bijlage D is een lijst opgenomen met personen die zijn geïnterviewd tijdens het praktijkonderzoek.
Analyse resultaten De resultaten uit theorie en praktijk zijn onderling vergeleken om tot een opsomming te komen van belangrijkste effecten van SII op de interne (data)beheersing van verzekeraars en de eisen die aan de interne (data)beheersing
10 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
van verzekeraars gesteld worden om de interne audit functie in staat te stellen een oordeel te geven over de datakwaliteit.
Gebruikte methoden:
In dit onderzoek is gebruik gemaakt van literatuuronderzoek en diepte-interviews.
Gebruikte bronnen:
Voor de validatie van de eisen in het concept beheersraamwerk is gebruik gemaakt van gespreksverslagen en de inhoudelijke schriftelijke opmerkingen van de deskundigen.
Geïnterviewde personen:
Bij de diepte-interviews is gesproken met specialisten op het gebied van SII, datamanagement en risicomanagement bij verzekeraars. In bijlage D is een lijst opgenomen met de geïnterviewde personen.
1.6
LEESWIJZER
In hoofdstuk 2 paragraaf 2.1.en 2.2. is uitgelegd wat SII behelst en welke betekenis datakwaliteit heeft binnen SII. In deze paragraaf is onderzoeksvraag 1 beantwoord.
Verder is in paragraaf 2.3. beschreven welke eisen SII stelt aan de databeheersing van verzekeraars. Er is specifiek ingegaan op de SII eisen zoals beschreven in “Article 86f Standards for Data Quality”, voorheen bekend onder de naam “consultation paper 43”. Er is daarnaast uitgelegd wat de betekenis is van data en databeheersing. In deze paragraaf is onderzoeksvraag 2 beantwoord.
Vervolgens is in paragraaf 2.4. uitgelegd wat de rol van de interne audit functie is bij het beoordelen van datakwaliteit. Hierbij is o.a. ingegaan op de SII richtlijn rondom governance. In deze paragraaf is onderzoeksvraag 3 beantwoord. In hoofdstuk 3 is ingegaan op het begrip interne beheersing. Eerst is uitgelegd wat de wetgever in de Wet op het financieel toezicht (Wft) heeft opgenomen over interne beheersing. Vervolgens is ingegaan op de betekenis van interne beheersing onder SII en het COSO Internal Control Framework, dat een internationaal raamwerk is voor interne beheersing en door veel verzekeraars wordt gebruikt. In dit hoofdstuk is onderzoeksvraag 4 beantwoord.
11 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
In hoofdstuk 4 paragraaf 4.1. t/m 4.5. is een aantal normenkaders dat specifiek ingaat op interne (data)beheersing onderzocht. Het doel hiervan is om te komen tot een set van belangrijkste bouwstenen en eigenschappen waaruit een beheersraamwerk moet bestaan om aan de datakwaliteitseisen van SII te kunnen voldoen. De volgende normenkaders komen aan bod: COBIT 5 (ISACA, 2012), “Financial Services Authority - External review scoping tool” (FSA, 2011) en “A Framework for Analysis of Data Quality Research” (Wang, 1995). Door integratie van de behandelde normenkaders is een geïntegreerd concept beheersraamwerk voor datakwaliteit ontwikkeld.
In hoofdstuk 5 is het praktijkgedeelte van het onderzoek behandeld. Ter objectivering van het ontwikkelde concept beheersraamwerk is deze voorgelegd aan een expertgroep van 5 personen met specialisatie op het gebied van SII, datakwaliteitsmanagement en risicomanagement in de verzekeringssector. Er is uitgelegd hoe tot objectivering is gekomen van het ontwikkelde beheersraamwerk. Verder is nader ingegaan op de aanpak van de validatie, de deskundigen die de validatie hebben uitgevoerd en hun bevindingen.
In hoofdstuk 6 zijn de resultaten uit het theoretisch kader geconfronteerd met de resultaten uit het praktijkonderzoek. Er is geanalyseerd wat de effecten van de bevindingen van de deskundigen uit de expertgroep zijn op het voorgelegde concept beheersraamwerk. Deze analyse resulteert vervolgens in een definitieve versie van het beheersraamwerk. In dit definitieve beheersraamwerk zijn de aanpassingen verwerkt die naar aanleiding van de validatie door de expertgroep naar voren zijn gekomen. In dit hoofdstuk is onderzoeksvraag 5 beantwoord.
In hoofdstuk 7 zijn conclusies getrokken, aanbevelingen gedaan en voorstellen voor vervolgonderzoek gedaan. De hoofdstukindeling is in figuur 1.2. schematisch weergeven.
12 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
H1. Introductie
H2. Theoretisch kader Solvency II
H3. Theoretisch kader Interne beheersing
H4. Theoretisch kader Beheersraamwerken
H5. Praktijkonderzoek
H6. Analyse theorie versus praktijk
H7. Conclusie
Figuur 1.2 Hoofdstukindeling
13 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
2
THEORETISCH KADER - SOLVENCY II
In dit hoofdstuk wordt uitgelegd wat Solvency II (SII) behelst en welke betekenis datakwaliteit heeft binnen SII. Tevens wordt uitgelegd welke eisen SII stelt aan de datakwaliteit van verzekeraars en wat de rol is van de interne audit functie bij het beoordelen van datakwaliteit.
2.1
SOLVENCY II ACHTERGROND
SII is een nieuwe Europese solvabiliteitsrichtlijn voor alle Europese verzekeraars en herverzekeraars, die per 1 januari 2016 van kracht wordt. Het doel van SII is om de financiële gezondheid van de verzekeringsmaatschappijen te garanderen en in het bijzonder om ervoor te zorgen dat ze moeilijke periodes kunnen overleven, zodoende klanten (polishouders) te beschermen en de stabiliteit van het financiële stelsel als geheel te beschermen. Het ministerie van Financiën is momenteel bezig om SII op te nemen in de Wet op het financieel toezicht (Wft), waarin het toezicht op de financiële sector is geregeld.
SII stelt een nieuwe reeks kapitaalvereisten, waarderingsmethoden, governance en rapportagestandaarden om de bestaande en verouderde Solvency I eisen te vervangen. De nieuwe regelgeving is mede bedoeld om de regelgeving te harmoniseren in de EU, ter vervanging van het versnipperde systeem waarbij verschillende landen de Solvency I regels hebben geïmplementeerd op verschillende manieren. Alle Europese verzekeraars moeten nu dus een risico gewogen kapitaalberekening hanteren en hierover rapporteren aan stakeholders en toezichthouders.
SII is een ‘principle based’ en risicogebaseerde richtlijn. Dit betekent dat verzekeraars zelf praktische invulling moeten geven aan de principes van deze richtlijn, rekening houdend met het risicoprofiel van de organisatie. In tegenstelling tot ‘rule based’ regelgeving die te allen tijde moet worden gevolgd en waar de nadruk ligt op het voldoen aan de regels. Het voordeel van ‘rule based’ regelgeving is wel dat het meer houvast geeft, terwijl ‘principle based’ regelgeving meer ruimte geeft voor interpretatie en arbitrage wat kan leiden tot misverstanden (Schilder, 2008). Dit laatste maakt een SII implementatie in de praktijk uitdagend. Voor SII biedt de ‘principle based’ benadering uiteindelijk wel kansen omdat het organisaties stimuleert tot het nadenken over regels en de wijze waarop het voor de eigen organisatie geschikt gemaakt kan worden, terwijl bij ‘rule based’ soms een "gemaakte realiteit" wordt gecreëerd die niet altijd past bij de werkelijkheid en specifieke kenmerken van de organisatie.
14 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
SII geldt tot slot voor alle Europese verzekeraars met verzekeringsverplichtingen groter dan EUR 25 mln. en minimaal EUR 5 mln. aan opbrengsten uit premies. Verzekeraars die een laag risicoprofiel hebben en producten en beleggingen hebben die minder complex zijn, komen in aanmerking voor een minder zware toepassing van SII.
SOLVENCY II PILAREN
2.2
Net als in de Basel II regelgeving kent SII drie pilaren waarin de kwantitatieve eisen, kwalitatieve eisen en rapportagevereisten zijn gedefinieerd (Franssen, 2011). Hieronder worden deze pilaren kort toegelicht. •
Pilaar 1: Kwantitatieve eisen;
•
Pilaar 2: Kwalitatieve eisen en toezichtsprocessen;
•
Pilaar 3: Marktdiscipline.
SOLVENCY II Pillar 1 Kwantitatieve eisen Verzekeringsrisico
Technische voorzieningen
Marktrisico
Minimale kapitaaleisen (MCR)
Kredietrisico
Solvency kapitaaleisen (SCR)
Verzameling & bewerking Data Bron
Pillar 3 Marktdiscipline
Risicomanagement & Governance
Transparantie in de rapportage
ORSA
Publicatie eisen
Toezichtseisen
Modellering en validatie
Operationeelrisico
Data Bron
Pillar 2 Kwalitatieve eisen & toezichtsprocessen
Calculatie door model
Data governance & management
Rapporteren
Monitoren datakwaliteit
BEDRIJFSPROCESSEN SYSTEMEN EN DATABASES IT INFRASTRUCTUUR Figuur 2.1: Solvency II pilaren
Pilaar 1
15 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Pilaar 1 van SII beschrijft de kwantitatieve kapitaaleisen voor berekening van technische voorzieningen en het bepalen van de Solvency Capital Requirement (SCR) en de Minimum Capital Requirement (MCR). De technische voorziening is het vermogen dat een verzekeraar naar verwachting nodig heeft om alle lopende verzekeringsverplichtingen te kunnen dekken. De waardering van de technische voorzieningen vindt onder SII plaats op marktwaarde, terwijl verzekeringsverplichtingen op dit moment onder Solvency I worden gewaardeerd op boekwaarde (Plat, 2010). Deze technische voorziening bestaat uit een “best estimate” berekening van de verplichtingen en een aanvullende risicomarge. De “best estimate” wordt berekend als de contante waarde van de toekomstige kasstromen. De risicomarge bestaat uit de kapitaalkosten om het verplichte kapitaal (SCR) aan te houden voor onafdekbare risico’s. SII stelt daarom dat de data geschikt, volledig en juist moet zijn. In figuur 2.2 is de SII balans schematisch toegelicht.
Beschikbaar kapitaal SCR MCR
Bezittingen
Bezittingen ter dekking van technische voorzieningen
Risicomarge
Technische voorzieningen Best estimate
Figuur 2.2: Solvency II balans
De SCR is het kapitaal dat moet worden aangehouden om ervoor te zorgen dat de verzekeraars de komende 12 maanden aan hun verplichtingen kunnen voldoen en hun risico’s kunnen afdekken met een zekerheid van 99,5%. Deze risico’s zijn te classificeren in de categorieën: marktrisico, tegenpartijrisico, verzekeringstechnisch risico (leven, schade en zorg) en operationeel risico. De SCR berekeningen kunnen op basis van een standaardmodel of intern model worden uitgevoerd. Het gebruik van een intern model dient wel voorafgaand goedgekeurd te worden door DNB. De MCR is de minimum kapitaaleis en is de drempel waaronder DNB zal ingrijpen, wanneer dat gebeurt, kan een verzekeraar zijn vergunning kwijtraken.
Datakwaliteit speelt een belangrijke rol in pilaar 1 omdat de data die gebruikt wordt bij de berekeningen direct van invloed is op de uitkomst van de berekeningen. In figuur 2.1 is te zien dat data uit verschillende bronsystemen wordt ontsloten, verzameld en bewerkt om uiteindelijk risicoberekeningen te maken. Het ontsluiten van data
16 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
gebeurt in de praktijk veelal via ETL-processen (Extract, Transform, Load) waarna de data centraal wordt opgeslagen en geordend in een datawarehouse. In dit hele proces moet er geborgd worden dat de data geschikt, volledig en juist is. Zo mogen er bijvoorbeeld geen invoerfouten zitten in de verzekeringstechnische administraties (juistheid), mag er niets verloren gaan tijdens opslag, verwerking en berekening van de kapitaalsvereisten door het model (volledigheid) en moet alle data passend zijn voor het beoogd gebruik door het model (geschiktheid). Het continu monitoren van dit proces en het rapporteren hierover moet zekerheid geven of er aan de datakwaliteitseisen wordt voldaan. In hoofdstuk 2.3. wordt verder ingegaan op de datakwaliteitseisen.
Pilaar 2 Pilaar 2 beschrijft de eisen voor de organisatie inrichting van verzekeraars. Dit betekent dat verzekeraars een goede governance structuur moeten hebben en een adequaat systeem van interne (risico)beheersing. Verzekeraars moeten over een adequate transparante organisatiestructuur beschikken met een duidelijke verdeling van bevoegdheden en correcte scheiding van verantwoordelijkheden. Er gelden daarnaast eisen voor bestuurders en overige personen op sleutelfuncties. Deze eisen houden in dat personen over adequate professionele kwalificaties, kennis en ervaring dienen te beschikken om goed, passend en prudent management uit te kunnen oefenen. Deze personen moeten daarnaast een goede reputatie en persoonsintegriteit bezitten.
Verzekeraars zijn verplicht de volgende functies in te richten: •
Risicomanagement;
•
Compliance;
•
Actuariaat;
•
Interne audit functie.
De risicomanagementfunctie heeft als taak het vormgeven en onderhouden van en toezicht houden op het risicomanagement binnen de verzekeraar. Kijken we naar de compliance functie dan zien we dat deze zich bezighoudt met alle wet- en regelgeving waaraan verzekeraars zich dienen te houden om de integriteit en reputatie van de organisatie te kunnen beschermen. De actuariële functie heeft een belangrijke rol bij het borgen van datakwaliteit. De actuariële functie beoordeelt de betrouwbaarheid en juistheid van de berekening van de technische voorziening en dient het management te informeren indien er zorgen zijn over de toereikendheid van de voorziening. Verder dient de actuariële functie de bruikbaarheid van de data te beoordelen en datawijzigingen door te voeren indien nodig. De actuariële functie voert geen audit uit op de data en beschouwt deze in de basis als een gegeven. SII ziet hier voor de interne audit functie (IAF) een belangrijke onafhankelijke toetsende rol (EIOPA, 2009c). De rol van de IAF wordt in hoofdstuk 2.4 verder toegelicht.
17 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Verder dienen verzekeraars een Own Risk and Solvency Assessment (ORSA) uit te voeren. Tijdens de ORSA worden risico’s geïdentificeerd, geëvalueerd, gemonitord en gerapporteerd. Het bijzondere van de ORSA is dat deze assessment met een relatief grote tijdshorizon (3-5 jaar) vooruit kijkt naar risico’s die in de toekomst de solvabiliteit kunnen beïnvloeden. Voor deze risico’s wordt het benodigde SCR en MCR kapitaal aangehouden.
Kijken we naar datakwaliteit in pilaar 2 dan zien we dat data governance en databeheersing een belangrijke rol spelen. Goede data governance is nodig om rollen en verantwoordelijkheden ten aanzien van datakwaliteit te definiëren. Het systeem van databeheersing moet zorgen voor beleid en procedures voor datakwaliteit, het toezien op de naleving hiervan en het continu monitoren van dit proces (EIOPA, 2009d). Verder wordt er in pilaar 2 specifiek aangegeven dat er maatregelen moeten zijn getroffen om de beveiliging, integriteit en vertrouwelijkheid van data te waarborgen (EIOPA, 2009c). In hoofdstuk 2.3. wordt uitgebreider ingegaan op het systeem van databeheersing.
Pilaar 3 Pilaar 3 is de rapportagecomponent en omvat de eisen ten aanzien van te publiceren informatie. Het is de communicatie naar de toezichthouder, aandeelhouders, investeerders en andere stakeholders. Er is door SII een rapportage voor het publiek gedefinieerd (Solvency and Financial Condition Report – SFCR) en een meer gedetailleerde rapportage voor de toezichthouder (Report to Supervisor – RTS). De SFCR en RTS vormen het sluitstuk van het SII rapportageproces en ook hier geldt dat goede kwaliteit van data de basis vormt voor betrouwbare rapportages. Deze nieuwe rapportages zullen uiteindelijk de (huidige) Wft-staten die onder Solvency I gebruikt worden uitbreiden en vervangen.
Ook in pilaar 3 speelt datakwaliteit als sluitstuk van het rapportageproces een belangrijke rol. Om betrouwbare rapportages te kunnen opleveren dienen alle voorgaande stappen in pilaar 1 en 2 op een beheerste wijze te hebben plaatsgevonden. Datakwaliteitsrapportages die voortkomen uit het monitoringsproces moeten een bijdrage leveren aan het verkrijgen van zekerheid dat de datakwaliteit geborgd is en dat hiermee de rapportages daadwerkelijk betrouwbaar tot stand zijn gekomen. 2.3
SOLVENCY II EN DATAKWALITEIT
In deze paragraaf wordt uitgelegd welke eisen SII stelt aan de datakwaliteit van verzekeraars. Er wordt ingegaan op de eisen zoals beschreven in “Article 86f Standards for Data Quality” (EIOPA, 2009a), ook wel bekend onder
18 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
de naam “former consultation paper 43”1. Verder wordt stilgestaan bij het datakwaliteitssysteem en de eisen die hieraan gesteld worden vanuit SII. 2.3.1
Criteria datakwaliteit
Om te begrijpen wat wordt verstaan onder datakwaliteit kijken we eerst wat er wordt verstaan onder data en databeheersing. De European Insurance and Occupational Pensions Authority (EIOPA, 2009a) hanteert de volgende definitie van data: “Data refers to all the information which is directly or indirectly needed in order to carry out a valuation of technical provisions”.
Data omvat daarmee alle informatie die nodig is om een goede schatting te kunnen maken van de technische voorzieningen. SII eist dat verzekeraars interne processen en procedures hebben die ervoor zorgen dat de data die wordt gebruikt in de berekening van hun technische voorzieningen “appropriate” (geschikt), “complete”(volledig) en “accurate” (juist) is. Databeheersing is de mate waarin informatie die gebruikt wordt voor het bepalen van de technische voorzieningen aan de kwaliteitscriteria geschiktheid, volledigheid en juistheid voldoet.
Hoewel artikel 86f is geschreven voor technische voorzieningen wordt door de toezichthouders aanbevolen om het artikel toe te passen op alle kwantitatieve eisen in heel pilaar 1. Verder zijn de datakwaliteitseisen van SII niet alleen van toepassing op technische voorzieningen, maar tevens op alle data die gebruikt wordt voor het interne model, standaardmodel en de externe rapportages.
Hieronder wordt kort ingegaan op de kwaliteitscriteria.
Appropriateness “Data is considered to be appropriate if it is suitable for the intended purpose”.
Om geschikt te zijn voor het schatten van de technische voorzieningen, dient de data representatief te zijn voor de hele portefeuille van verplichtingen en dient het passend te zijn om gebruikt te worden voor schatting van de
1
Naast artikel 86f zijn er specifieke eisen beschreven voor data die wordt gebruikt door het interne model. Deze eisen staan beschreven in
“Articles 120 to 126, Tests and Standards for Internal Model Approval (EIOPA, 2009d), ook bekend onder “former consultation paper 56”. Daarnaast zijn er specifiek eisen opgenomen voor de data die gebruikt wordt om specifiek parameters in de standaard formule te kalibreren. Deze eisen staan beschreven in “SCR standard formula, Article 111 j, k, undertaking-specific parameters” (EIOPA, 2009e), tevens bekend onder “former consultation paper 75”.
19 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
toekomstige kasstromen. Zo is de data die geschikt is voor het inschatten van potentiële verzekeringsclaims voor brandverzekeringen bijvoorbeeld niet geschikt voor levensverzekeringen en vice versa.
Completeness “Data is considered to be complete if it allows for the recognition of all the main homogeneous risk groups within the insurance or reinsurance portfolio”.
Data wordt als volledig beschouwd wanneer het van voldoende detailniveau is om trends te identificeren en het gedrag van risico's in te schatten. Bovendien wordt informatie als volledig beschouwd als voldoende historische informatie beschikbaar is en de informatie materieel is voor de verzekeraar. EIOPA (2009b) definieert een homogene risicogroep als een set van (her)verzekeringsverplichtingen die samen worden beheerd en die dezelfde risicokenmerken hebben in termen van bijvoorbeeld het acceptatiebeleid, risicoprofiel van polishouders, verwacht gedrag van polishouders, productkenmerken (waaronder garanties) en kostenstructuur. De risico's in elke groep moeten voldoende vergelijkbaar zijn om een betrouwbare schatting van de technische voorzieningen te kunnen maken. Een verzekeraar kan deze homogene groepen bijvoorbeeld als volgt indelen: individuele verzekeringen versus collectieve verzekeringen, verzekeringen in geld versus beleggingsverzekeringen, beleggingsverzekeringen met garanties versus zonder garanties, etc.
Accuracy “Data is considered to be accurate if it is free from material mistakes, errors and omissions”.
Volgens SII worden veel fouten en omissies veroorzaakt door menselijke fouten of IT falen en is er een directe relatie met operationele risico's die zich door ineffectieve werking van systemen en processen kunnen manifesteren. Een ander oorzaak van fouten en omissies kan voortkomen uit zwakheden in de systeemarchitectuur zoals het gebruik van verschillende en soms verouderde datasystemen waarvan de interfaces niet geautomatiseerd zijn. Verder vormt uitbesteding van bepaalde bedrijfsprocessen ook een risico omdat de verzekeraar dan geen 'control' meer heeft over de dataverzameling omdat deze door derde partijen wordt uitgevoerd. Data wordt als 'juist' beschouwd als de registratie van data juist en tijdig plaatsvindt en dit consistent gebeurt. Dit is niet altijd even makkelijk, zo is het opnemen van een datum van een latente verzekeringsclaim erg lastig omdat de claim feitelijk nog niet bestaat en het toch vrijwel zeker is dat de claim zich zal voordoen in de toekomst. Hierbij is het belangrijk dat de verzekeraar een helder en eenduidig beleid heeft geformuleerd waarin staat hoe op een consistente wijze om te gaan met deze situaties.
20 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
2.3.2
Systeem van databeheersing
Volgens artikel 86f (EIOPA, 2009a) moeten verzekeraars periodiek de datakwaliteit beoordelen en monitoren op de kwaliteitsaspecten geschiktheid, volledigheid en juistheid. De aspecten volledigheid en juistheid moeten minimaal op portefeuilleniveau worden beoordeeld en individuele onderdelen kunnen eventueel op meer gedetailleerd niveau worden beoordeeld. Het aspect nauwkeurigheid moet altijd worden beoordeeld op individueel niveau.
Om periodiek de datakwaliteit te kunnen beoordelen en monitoren moeten verzekeraars over een goed datakwaliteitssysteem beschikken. Goed datakwaliteitsmanagement is een continu proces dat volgens artikel 86f bestaat uit de volgende stappen: •
Definiëren van data;
•
Beoordelen van datakwaliteit;
•
Oplossen van geïdentificeerde problemen;
•
Monitoren van datakwaliteit.
Definiëren van data Dit omvat het identificeren van de databehoeften, een gedetailleerde beschrijving van de elementen die moeten worden verzameld en eventuele relaties tussen de verschillende elementen. Artikel 86f (EIOPA, 2009a) beschrijft nog specifiek dat bij het verzamelen, opslaan en verwerken van data het belangrijk is dat alle data geregistreerd en onderhouden wordt. De verzamelde data moet van voldoende detailniveau zijn en alle aanpassingen op deze data dienen gedocumenteerd te worden samen met een onderbouwing. In het bijzonder geldt dit voor gecorrigeerde datafouten en omissies.
Beoordelen van datakwaliteit Het beoordelen van de kwaliteit van data houdt in het verifiëren van de kwaliteitscriteria geschiktheid, volledigheid en juistheid om betrouwbare schattingen van de technische voorzieningen te kunnen maken.
Oplossen van geïdentificeerde problemen Als tijdens de verificatie van de kwaliteitscriteria materiële problemen zijn geïdentificeerd, moet de verzekeraar proberen om ze op te lossen binnen een passend tijdsbestek. Daarnaast moeten de interne processen die betrekking hebben op het verzamelen en opslaan van data aangescherpt worden om toekomstige tekortkomingen te voorkomen.
Monitoren van datakwaliteit
21 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
De kwaliteit van de data dient actief gemonitord te worden. Het monitoren kan plaatsvinden door het meten van de gedefinieerde datakwaliteitsindicatoren, maar ook door het meten van de performance van de IT systemen tijdens het verzamelen, opslaan, verzenden en verwerken van data. Bij het beoordelen van de resultaten van de meting dient gebruik te worden gemaakt van een deskundige die de resultaten goed kan interpreteren en analyseren, bijvoorbeeld een actuaris.
2.4
ROL INTERNE AUDIT FUNCTIE
De IAF beoordeelt vanuit haar derdelijns functie de effectiviteit van het systeem van interne beheersing, inclusief de governance en rapporteert hierover aan het bestuur (EIOPA 2009c). SII vereist specifiek dat de IAF een data audit uitvoert op de kwaliteitsaspecten geschiktheid, volledigheid en juistheid van data.
In artikel 3.301 (EIOPA, 2009c) staat expliciet de rol van de IAF bij de audit op datakwaliteit: “While assessing the sufficiency and quality of the data under Article 48(1)(c), the actuarial function should have regard to the objectivity, reasonability and verifiability of management actions included in the calculation of technical provisions. It should also assess whether information technology systems used in actuarial procedures sufficiently support these procedures. However, data auditing is a task that should be performed not by the actuarial function but by the internal audit function”.
Hier wordt expliciet gemaakt dat de IAF verantwoordelijk is voor het auditen van de data en niet de actuaris. De actuaris heeft ook een belangrijke rol bij het beoordelen van de datakwaliteit (art. 3.307), maar deze heeft de vorm van een 'assessment' in plaats van een onafhankelijke audit. In de praktijk beoordeelt het direct verantwoordelijk management uit de 1e lijn, hierbij ondersteund door de actuariële functie uit de 2e lijn, of de datakwaliteit voldoet aan de eisen van SII. De IAF toetst vervolgens vanuit de 3e lijn of het direct verantwoordelijk management en de actuariële functie de datakwaliteit op een juiste wijze hebben beoordeeld en of het management adequaat opvolging heeft gegeven aan mogelijke tekortkomingen. Waar nodig voert de IAF dan nog aanvullende steekproeven uit of laat een deelwaarneming uitvoeren.
In
artikel
3.306
(EIOPA,
2009c)
staat
de
informatiebehoefte
van
het
(hogere)
management:
“The reliability of the calculation of the technical provisions depends on adequate and good quality data. Therefore, the assessment of the sufficiency and quality of the data used in the calculation is information that needs to be included when the administrative, management or supervisory body is informed of the reliability and adequacy of the calculation”.
22 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Hier wordt uitgelegd dat het management dient te worden geïnformeerd over de kwaliteit van de data. De actuariële functie informeert het management hierover (art. 3.309), maar de IAF heeft als onafhankelijk toetsend orgaan een belangrijke rol in het rapporteren van de auditresultaten aan het management.
Hubers (2012) concludeert in zijn onderzoek naar de rol van de internal auditor bij SII dat deze onder SII een sleutelfunctionaris is geworden. Hij legt uit dat als wordt afgegaan op de beschrijving van de controles die de toezichthouder zal verrichten rondom het interne model (EIOPA, 2010), er diepgaander gecontroleerd wordt op zowel proces als inhoud. Dit betekent dat de internal auditor ook zowel proces en inhoud zal controleren om het systeem van interne beheersing (EIOPA 2009c) en de datakwaliteit te controleren (EIOPA 2009a).
Verzekeraars, die het interne model hanteren, moeten als onderdeel van het Internal Model Approval Process (IMAP) hun interne model laten goedkeuren door DNB en hiermee aantonen dat ze voldoen aan de eisen die SII stelt aan het interne model. Onderdeel van deze goedkeuring is het indienen van een applicatiepakket voor het interne model waarvoor DNB een lijst met documentatie-eisen heeft opgesteld die zijn gebaseerd op SII eisen (DNB, 2011a). Het management is verantwoordelijk om vast te stellen dat de aanvraag voor goedkeuring van het interne model voldoet aan de SII eisen, maar dient zijn opinie te baseren op het oordeel van de IAF (DNB, 2011b). DNB eist dat het applicatiepakket voor het interne model voorzien wordt van een mededeling en management-letter van de IAF, in de vorm van een opdracht tot het verrichten van specifiek overeengekomen werkzaamheden. Er hoeft niet door de IAF vastgesteld te worden dat het interne model volledig compliant is aan SII, maar wel of alle documentatie die onderdeel is van het applicatiepakket juist is en of de gevraagde informatieverstrekking volledig is. Hiertoe beoordeelt de IAF de opzet, bestaan en werking van de interne beheersing rondom het interne model (DNB, 2011b). Hoofdstuk P van het applicatiepakket gaat over data en ICT. De eisen uit dit hoofdstuk zijn in bijlage E opgenomen.
23 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
3
THEORETISCH KADER INTERNE BEHEERSING
In dit hoofdstuk wordt ingegaan op het begrip interne beheersing. Er wordt eerst behandeld wat de wetgever in de Wet op het financieel toezicht (Wft) heeft opgenomen over interne beheersing. Vervolgens wordt ingegaan op de betekenis van interne beheersing onder SII en het COSO Internal Control Framework, wat een internationaal raamwerk is voor interne beheersing en door veel verzekeraars wordt gebruikt.
3.1
BEHEERSTE BEDRIJFSVOERING - WFT
In de Wet op het Financieel Toezicht (Wft) is het toezicht op de financiële sector geregeld. Alle verzekeraars in Nederland moeten aan de Wft voldoen. Het toezicht op de financiële sector wordt uitgeoefend door DNB (prudentieel toezicht) en de AFM (gedragstoezicht). De bepalingen uit de Wft zijn nader uitgewerkt in Algemene Maatregelen van Bestuur (AMvB’s) en Koninklijke Besluiten. De SII regelgeving wordt momenteel opgenomen in de Wft.
De Wft schrijft onder andere voor dat verzekeraars met een zetel in Nederland de bedrijfsvoering op een beheerste en integere wijze moeten uitvoeren. In het Besluit prudentiële regels Wft staat dat elke financiële instelling de bedrijfsprocessen adequaat moet beheersen, door identificatie van risico’s en het treffen van mitigerende beheersmaatregelen (Bpr Wft H4). De Wft eist verder dat de beheerste bedrijfsvoering intern op een onafhankelijke wijze wordt getoetst, zodoende zekerheid te krijgen over de effectiviteit (Art. 17 Bpr Wft). Deze taak dient door de IAF uitgevoerd te worden (NBA, 2013). Deze Wft eisen komen overeen met de eisen zoals beschreven in pillar 2 van SII waarin de governance eisen staan beschreven.
Verzekeraars dienen jaarlijks bij DNB een aantal voorgeschreven Wft-staten in te dienen. DNB heeft deze Wftstaten nodig voor het uitvoeren van prudentieel toezicht op de naleving van de Wft. DNB controleert de solvabiliteit en liquiditeit van verzekeraars aan de hand van de Wft-staten, met als doel de stabiliteit van de financiële sector in Nederland te bewaken. De te verstrekken Wft-staten omvatten een jaarrekening alsmede aanvullende financiële gegevens. Verzekeraar hebben de keuze om de staten op de verslaggevingsgrondslagen IFRS dan wel Titel 9 Boek 2 BW in te dienen. Het actuariële verslag en de toereikendheidstoets maken ook onderdeel uit van de Wft-staten en worden gewaarmerkt door de actuaris (Art. 3:73 Wft). Verzekeraars moesten
24 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
over het boekjaar 2011 rapporteren volgens de regels van SII2 (DNB, 2013b). DNB heeft hier specifiek gekeken naar de kwaliteit en de beheersing van het proces, door het controleren of de juiste gegevens zijn ingeleverd en door de juistheid van de berekeningen te controleren.
De Wft-staten moeten periodiek worden voorzien van een verklaring omtrent de getrouwheid, afgegeven door een externe accountant (art. 3:72 lid 7 Wft). De externe accountant voert een controle uit op de Wft-staten, waarbij zo veel mogelijk aansluiting wordt gehouden met de controle van de jaarrekening. Uit de opdracht tot controle van de jaarrekening komt de verplichting voor de externe accountant tot het rapporteren van zijn bevindingen over de kwaliteit en effectiviteit van het functioneren van de governance, het risicobeheer en de beheersprocessen. De toetsing en beoordeling van de Wft-staten richt zich voornamelijk op de beheersing van die risico’s die een materiële invloed kunnen hebben op de financiële prestaties, financiële positie en continuïteit. Hierbij moet de externe accountant tevens voldoende oog hebben voor de beoordeling van de IT-risico's (NBA, 2013). De controle van de staten wordt voornamelijk systeemgericht uitgevoerd. Dit houdt in dat de externe accountant bij de beoordeling van de Wft-staten de beheersing rond de totstandkoming van de staten onderzoekt en de bevindingen rapporteert. De externe accountant steunt hierbij waar relevant op de werkzaamheden van de IAF (NBA, 2013). Tevens steunt de accountant op de actuaris die de toereikendheidstoets en de staten waarin actuariële beweringen staan controleert.
De eisen uit de Wft zijn principle-based, dit betekent dat verzekeraars zelf mogen bepalen op welke wijze zij hun bedrijfsvoering beheersen. De wetgever schrijft hierbij niet voor hoe een instelling tot een beheerste bedrijfsvoering moet komen. DNB eist wel dat verzekeraars hun interne beheersing op een inzichtelijke wijze vastleggen zodat zij aantoonbaar ‘in control’ zijn. Dit is tevens een belangrijke voorwaarde voor de IAF en de externe accountant om een beoordeling te kunnen uitvoeren.
3.2
COSO INTERNAL CONTROL FRAMEWORK
Interne beheersing wordt volgens het COSO Integrated Framework (2013) gedefinieerd als een proces, uitgevoerd door de Raad van Bestuur, het management en ander personeel van een entiteit, bedoeld om met een redelijke mate van zekerheid de doelstellingen te bereiken met betrekking tot de dagelijkse operaties, verslaggeving en compliance. Hier zien we dat het begrip interne beheersing veel breder is dan het begrip databeheersing. In hoofdstuk 2.3. is uitgelegd dat databeheersing onder SII specifiek ingaat op het borgen dat de technische 2
Dit wordt door DNB ook wel de Parallel Run genoemd. In 2013 is er geen Parallel Run vanwege het uitstel van de invoering van
Solvency II.
25 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
voorzieningen voldoen aan de kwaliteitscriteria geschiktheid, volledigheid en juistheid. Databeheersing maakt hiermee onderdeel uit van het begrip interne beheersing.
In SII zien komen de principes van COSO terug. Artikel 3.227 (EIOPA 2009c) verwijst expliciet naar deze definitie van COSO, maar geeft daarbij aan dat er niet per se wordt gepleit voor gebruik van het COSO raamwerk. In artikel 3.223 (EIOPA, 2009c) wordt voorgeschreven dat het systeem van interne beheersing minimaal moet bestaan uit administratieve en financieel-administratieve procedures, een intern beheersraamwerk, passende rapportageprocedures en een permanente compliance functie. In hoofdstuk 2.4. is uitgelegd dat de IAF de effectiviteit van het systeem van interne beheersing toetst.
In tabel 1.1 zijn de COSO componenten toegelicht zoals opgenomen in de SII richtlijn “system of governance” (EIOPA 2009c).
COSO component
Toelichting in SII
Ref. SII artikel
Als fundering beoogt de control environment een sterke beheerscultuur waarin het belang van interne beheersing wordt benadrukt en gedemonstreerd wordt op alle niveaus in de
Control environment
organisatie. Integriteit is een belangrijk onderdeel van deze
Artikel 3.232 t/m
beheerscultuur. Verzekeraars moeten daarnaast beleid
3.236
formuleren over de wijze waarop interne beheersing geïmplementeerd moet worden. Eisen op gebied van gegevensbescherming moeten hierin worden meegenomen.
Risk assessment
Niet onderdeel van de SII richtlijn “L2-Final Advice on System of Governance”, maar wordt in SII separaat beschreven als onderdeel van de activiteiten van de risicomanagementfunctie.
Artikel 3.63 t/m 3.222
De dagelijkse controle activiteiten omvatten bijvoorbeeld goedkeuringen, autorisaties, verificaties, reconciliaties,
Control activities
management reviews, fysieke controles, het controleren op
Artikel 3.237 t/m
naleving van de overeengekomen exposure limits en follow-up 3.238 op bij niet-naleving. Deze controlemaatregelen moeten uiteindelijk wel in verhouding staan tot de geïdentificeerde
26 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
COSO component
Toelichting in SII
Ref. SII artikel
risico’s.
Er dienen duidelijke rapportage- en communicatielijnen opgezet te worden, waarin vooraf duidelijk moet zijn gedefinieerd over welke gerealiseerde doelstellingen en
Communication
materiële risico's gerapporteerd zal worden. Communicatielijnen binnen de organisatie moeten
Artikel 3.239 t/m 3.240
medewerkers stimuleren om potentieel nadelige rapportages toch te rapporteren.
De monitoring mechanismen van de organisatie zorgen ervoor dat het management en de raad van commissarissen adequaat
Monitoring
geïnformeerd worden over zaken die relevant zijn voor de
Artikel 3.241 t/m
besluitvorming, waaronder de effectiviteit van de interne
3.243
beheersing, inclusief de rapportage van geïdentificeerde tekortkomingen in de interne beheersing. Tabel 1.1: Toelichting COSO componenten uit de SII richtlijn “L2-Final Advice on System of Governance”.
De COSO componenten worden in artikel 3.244 t/m 3.253 aangevuld met de compliance functie. De compliance functie dient zich bezig te houden met alle wet- en regelgeving waaraan verzekeraars zich moeten houden om de integriteit en reputatie van de organisatie te kunnen beschermen. De compliance functie moet verwachte herzieningen van wetgeving monitoren en in te voeren nieuwe regelgeving op juiste wijze plannen. Hierbij moeten de effecten op de organisatie beoordeeld worden.
De component “Risk assessment” wordt in SII separaat beschreven als onderdeel van de activiteiten van de risicomanagementfunctie. Deze risicomanagementfunctie heeft als taak het vormgeven en onderhouden van en toezicht houden op het risicomanagement binnen de verzekeraar. Verzekeraars dienen volgens artikel 3.63 (EIOPA, 2009c) te beschikken over een doeltreffend risicobeheersysteem dat bestaat uit strategieën, processen en rapportageprocedures die nodig zijn om risico’s op een continue basis te identificeren, meten, bewaken, beheren en rapporteren. Dit dient te gebeuren op zowel individueel als geaggregeerd niveau waaraan de organisatie wordt of kan worden blootgesteld, als ook de relaties daartussen. Het risicomanagementsysteem moet doeltreffend en
27 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
goed geïntegreerd zijn in de organisatiestructuur en in de besluitvormingsprocessen van de verzekeraar. Hierbij is het essentieel dat de personen die de onderneming besturen of personen die andere sleutelfuncties vervullen een juiste afweging maken bij het beheersen van de risico’s.
Met de uitgangspunten zoals hierboven beschreven geeft het COSO raamwerk goede uitgangspunten voor versterking van de interne beheersing. Het nadeel van het COSO raamwerk is dat het meer een denkmodel is dan een echt normenkader. Dit denkmodel schrijft voor wat er dient te gebeuren maar niet op welke wijze (hoe) dit dient te gebeuren.
28 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4
THEORETISCH KADER - BEHEERSRAAMWERKEN
In dit hoofdstuk worden normen onderzocht die specifiek ingaan op databeheersing. Het doel is te komen tot een set van belangrijkste bouwstenen en eigenschappen waaruit een beheersraamwerk moet bestaan om aan de datakwaliteitseisen van SII te kunnen voldoen. Op basis van vooronderzoek en gesprekken met deskundigen zijn een aantal normenkaders geselecteerd voor nader onderzoek. In bijlage D is een lijst opgenomen met personen die zijn geïnterviewd tijdens het theoretisch onderzoek.
De volgende normenkaders zijn geselecteerd voor nader onderzoek:
COBIT 5 (Information Systems Audit and Control Association (ISACA), 2012);
“A Framework for Analysis of Data Quality Research” (Wang, 1995); en
“Financial Services Authority (FSA) - External review scoping tool” (FSA, 2011).
COBIT 5 (ISACA, 2012) is geselecteerd omdat het een vrij generiek en volledig beheersraamwerk is dat door veel auditors wordt gebruikt als normenkader voor het uitvoeren van audits. Het bevat daarnaast specifieke eisen die gericht zijn op het realiseren van goede datakwaliteit.
“A Framework for Analysis of Data Quality Research” (Wang, 1995) is geselecteerd omdat de auteur, Richard Y. Wang, een vooraanstaande onderzoeker is op het gebied van datakwaliteit en een raamwerk heeft ontwikkeld waarmee onderzoeken op het gebied van datakwaliteit op basis van 7 thema’s gekenmerkt kunnen worden. Deze 7 thema’s vormen samen met de eisen een goede basis voor een beheersraamwerk voor datakwaliteit. De analogie tussen productieprocessen en dataproductie levert tevens interessante inzichten op.
De “FSA external review scoping tool” (FSA, 2011) is geselecteerd omdat het als self-assessment wordt gebruikt om te toetsen of de datakwaliteitsmanagement activiteiten van een organisatie voldoen aan de SII richtlijnen. Het normenkader geeft een goede concretisering van de SII datakwaliteitseisen en wordt tevens door veel auditors gebruikt.
In de volgende paragrafen wordt verder ingegaan op deze normenkaders.
29 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4.1
COBIT 5
COBIT (Control Objectives for Information and related Technology) is een beheersraamwerk dat organisaties helpt bij het bereiken van doelstellingen op het gebied van informatietechnologie. Het wordt door veel auditors gebruikt als normenkader voor het uitvoeren van audits. In de loop der jaren is het raamwerk steeds verder ontwikkeld en in COBIT 5 (ISACA, 2012) is inmiddels sprake van enterprise IT governance, waarbij IT kan worden beheerst en beheerd op een holistische wijze voor de gehele onderneming. COBIT 5 bestaat uit de volgende domeinen: -
Evaluate, Direct and Monitor;
-
Align, Plan and Organise;
-
Build, Acquire and implement;
-
Deliver, Service and Support;
-
Monitor, Evaluate and Assess.
Als gedetailleerder per COBIT 5 domein wordt gekeken naar de relatie met databeheersing, dan komen onderstaande aandachtsgebieden terug: -
Data policies & procedures o
-
-
Definiëren van data o
APO01.06. Define information (data) and system ownership;
o
APO03.02. Define reference architecture.
Managen van relaties met data leveranciers o
-
APO10.03 Manage supplier relationships.
Datakwaliteit risicoanalyse o
-
APO01.03. Maintain the enablers of the management system.
APO12.02 Analyse risk.
Beheren en beoordelen van datakwaliteit o
DSS01.01. Perform operational procedures;
o
DSS06.02. Control the processing of information.
30 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
-
Data quality awareness o
-
DSS06.03 Manage roles and responsibilities.
Monitoren van datakwaliteit o
MEA01.03. Collect and process performance and conformance data.
In tabel 2 is een samenvatting opgenomen met een toelichting per aandachtsgebied.
COBIT 5
APO01.03. Maintain the enablers of the management system Data policies & procedures
Toelichting
Benoemen van rollen en verantwoordelijkheden (APO01.02).
Specifiek beleid ontwikkelen en deze periodiek evalueren en bijwerken op basis van veranderende omstandigheden.
Zoveel mogelijk aansluiting zoeken met nationale en internationale standaarden en best-practises.
Het beleid moet uiteindelijk uitgedragen worden naar alle medewerkers, zodat het een onderdeel uitmaakt van de gehele bedrijfsvoering.
APO01.06. Define information (data) and system ownership
Voor informatie (systemen en data) moet een inventaris gemaakt en onderhouden worden met daarin eigenaarschap, beheer en classificatie van deze informatie.
Definiëren en implementeren van procedures om de integriteit en de consistentie van alle gegevens die worden opgeslagen in elektronische vorm te borgen, zoals
Definiëren van data
databases, data warehouses en data-archieven.
algehele strategie van de organisatie om zo optimaal gebruik te maken van
APO03.02. Define reference architecture Definiëren van data
Het onderhouden van een informatie-architectuur model dat in lijn is met de
informatie voor besluitvorming.
Het onderhouden van een enterprise data dictionary die zorgt voor een gemeenschappelijke taal en een classificatieschema waarin onder andere de details zijn opgenomen over eigenaarschap, security, retentie en vernietiging van data.
APO10.03 Manage supplier relationships Managen van relaties met
Eigenaarschap toekennen aan alle leveranciers en hen verantwoordelijk maken voor de kwaliteit van de dienst(en) die geleverd worden.
data leveranciers
31 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
COBIT 5 APO12.02 Analyse risk
Toelichting
Datakwaliteit
Bouwen en regelmatig updaten van IT risk scenarios, inclusief samengestelde scenario’s van dreigingen. Ontwikkelen van specifieke controlemaatregelen.
risicoanalyse
Maken van inschattingen van de omvang van verlies (of winst) van IT risico's,
DSS01.01. Perform
Verifiëren dat alle data die gebruikt wordt voor verdere verwerking, volledig, juist
operational procedures Beheren en beoordelen
en tijdig is ontvangen en verwerkt.
van datakwaliteit
Leveren van output in overeenstemming met de wensen en eisen van de organisatie.
Verifiëren of alle transacties juist, volledig en valide hebben plaatsgevonden. Het valideren van de input data en deze bewerken of terugsturen indien nodig.
Foutieve input data corrigeren en opnieuw verzenden.
Handhaven van de integriteit en validiteit van de data gedurende het hele proces van verwerking. Zorgen dat gedetecteerde foutieve transacties de valide transacties niet verstoren.
DSS06.02 Control the
processing of information Beheren en beoordelen
Handhaven van de integriteit van de data gedurende onverwachte onderbrekingen en borgen van de data integriteit na verwerking van de fouten.
van datakwaliteit
Behandelen van de output data op een geautoriseerde wijze, controleren op juistheid en volledigheid, leveren aan de juiste ontvanger en beschermen tijdens verzending.
Alvorens transactie data tussen interne applicaties en business/operationele functies (binnen of buiten de organisatie) wordt doorgegeven, controleer op juiste adressering, authenticiteit van de bronbestanden en integriteit van de inhoud.
Zorgen dat de authenticiteit en integriteit gedurende transmissie en transport gehandhaafd blijft.
DSS06.03 Manage roles and responsibilities Data quality awareness
Zorg periodiek voor bewustwording en training met betrekking tot rollen en verantwoordelijkheden zodat iedereen begrijpt wat hun verantwoordelijkheden zijn en wat het belang van controles is.
32 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
COBIT 5
MEA01.03 Collect and process performance and conformance data Monitoren van datakwaliteit
Toelichting
Verzamelen van data van gedefinieerde processen, waar mogelijk geautomatiseerd.
Beoordelen van de efficiency (inspanning in relatie tot inzicht verstrekt) en de geschiktheid (nut en betekenis) en valideren van de integriteit (juistheid en
volledigheid) van de verzamelde gegevens.
Verzamelen van gegevens ter ondersteuning van het meten van de afgesproken meeteenheden.
Tabel 2: COBIT 5 (ISACA, 2012) en relatie met databeheersing
Deze COBIT 5 domeinen zijn een verdieping van de datakwaliteitseisen zoals gesteld door SII in hoofdstuk 2.3.2. COBIT 5 biedt hiermee goede uitgangspunten die kunnen worden opgenomen in een beheersraamwerk voor datakwaliteit. In COBIT 5 zijn de KPI’s (metrics) vrij gedetailleerd beschreven, wat organisaties kan helpen bij het definiëren van deze meetwaarden. COBIT 5 heeft een belangrijke focus op IT beheersprocessen, waarbij de afdeling IT traditioneel een belangrijke rol vervult. Databeheersing bij verzekeraars gaat echter verder dan IT en raakt bijvoorbeeld ook de rapportageprocessen van de afdelingen Finance, Risk en Actuariaat. COBIT heeft het in domein APO12.02 over IT risico’s maar hier dienen dus ook operationele risico’s onder geschaard te worden. Al met al is COBIT 5 een vrij generiek en volledig beheersraamwerk. Dit betekent dat organisaties alsnog zelf concreet invulling moeten geven aan de domeinen, gebaseerd op de specifieke kenmerken van hun eigen organisatie.
4.2
R.Y. WANG - A FRAMEWORK FOR ANALYSIS OF DATA QUALITY RESEARCH
Richard Y. Wang is een pionier op het gebied van datakwaliteit en internationaal bekend. Hij is als hoofdonderzoeker verbonden aan het Massachusetts Institute of Technology (MIT) en heeft veel gepubliceerd over het onderwerp datakwaliteit, waaronder het artikel “A Framework for Analysis of Data Quality Research” (Wang, 1995). In dit artikel introduceren Wang en zijn mede-auteurs op basis van literatuurstudie een raamwerk dat is gebaseerd op ISO9000, waarmee onderzoeken op het gebied van datakwaliteit op basis van 7 thema’s gekenmerkt worden. De doelstelling van het raamwerk is om een kader te ontwikkelen dat kan worden gebruikt om bestaande onderzoeken op het gebied van datakwaliteit te analyseren en om belangrijke toekomstige onderzoeksrichtingen te identificeren. Het kader biedt hiermee goede uitgangspunten die kunnen worden opgenomen in een beheersraamwerk voor datakwaliteit. Hierbij dient wel in ogenschouw genomen te worden dat
33 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
voor effectieve implementatie van de uitgangspunten er nog veel onderzoek nodig is, zoals zelf ook door de auteurs wordt geconcludeerd.
De auteurs maken een analogie tussen productieprocessen en data productie. Zo worden in een productieproces grondstoffen gebruikt als input, om bijvoorbeeld als output materiaal te produceren of een fysiek product. Op dezelfde manier kan een informatiesysteem worden beschouwd als een productiesysteem voor data, waar wordt gewerkt met ruwe data als input (bijvoorbeeld een bestand, een spreadsheet, of een verslag) om output data te produceren (bijvoorbeeld een gesorteerd bestand of een gecorrigeerd mailinglist).
Het raamwerk bestaat uit de volgende 7 thema’s: A. Management responsibilities; B. Operation and Assurance costs; C. Research and development; D. Production; E. Distribution; F. Personnel management; G. Legal function.
In tabel 3 is een samenvatting opgenomen van het raamwerk.
Wang et al. A. Management
Toelichting
responsibilities
datakwaliteit.
B. Operation and Assurance costs
Ontwerpen en implementeren van een corporate policy en management systeem voor
Operationele kosten van een management systeem voor datakwaliteit omvatten kosten voor preventie, beoordeling en faalkosten.
Assurance kosten hebben betrekking op het aantonen en bewijzen van datakwaliteit, zoals vereist door klanten en management.
C. Research and development
D. Production
Identificatie van datakwaliteitseisen van interne en externe klanten.
Analyse en ontwerp van kwaliteitsaspecten van data producten.
Ontwerp van data productiesystemen die deze kwaliteitsaspecten kunnen integreren.
Aanschaf van ruwe data dat voldoet aan de kwaliteitseisen en nodig is voor het produceren van data producten.
34 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Wang et al.
Toelichting
Kwaliteitscontrole op ruwe data, onderhanden werk en definitieve data producten.
Identificatie van data-items die niet voldoen aan de kwaliteitseisen en het nemen van correctieve acties.
E. Distribution
F. Personnel
producten.
Kwaliteitsdocumentatie en dossiervorming voor data producten.
Bewustzijn van werknemers over issues rondom datakwaliteit.
Motivatie van medewerkers om kwalitatief hoogwaardige data producten te
management
G. Legal function
Opslag, identificatie, verpakken, installatie, levering en aftersales service van data
produceren.
Het meten in hoeverre medewerkers de datakwaliteit doelstellingen behaald hebben.
Data veiligheid en aansprakelijkheid.
Tabel 3: Samenvatting Wang et al, Framework for analysis for data quality research.
Ook hier zijn overeenkomsten met de datakwaliteitseisen van SII. Met name de elementen A, C, D en E vertonen overeenkomsten met hetgeen beschreven is in hoofdstuk 2. Het element B (Operation and Assurance costs) wordt kort behandeld in artikel 5.130 en 5.131 (EIOPA, 2009d) en gaat daar in op de afweging van de kosten en baten bij het toepassen van de datakwaliteitseisen. Elementen F (Personnel management) komt in artikel 3.232 (EIOPA, 2009c) terug als onderdeel van het COSO domein “Control Environment” en levert een belangrijke bijdrage aan de realisatie van goede datakwaliteit. Medewerkers spelen namelijk een belangrijke rol bij de realisatie van datakwaliteit en het bewustzijn hierover is daarom erg belangrijk. Element G (Legal function) komt gedeeltelijk terug in artikel 3.236 (EIOPA, 2009c), daar wordt uitgelegd dat er maatregelen moeten zijn getroffen om de beveiliging, integriteit en vertrouwelijkheid van data te waarborgen.
De analogie tussen productieprocessen en dataproductie levert ook nieuwe interessante inzichten op. In het productieproces is het erg belangrijk dat grondstoffen worden ingekocht die voldoen aan kwaliteitseisen. Dit geldt tevens voor data, ook data die “ingekocht” wordt moet voldoen aan bepaalde kwaliteitseisen van de gebruikers. In het distributieproces van producten is het erg belangrijk om alles goed te verpakken en te voorzien van identificatie en leveringsinformatie. Ook bij dataproducten is dit belangrijk om het bijvoorbeeld in de informatiesystemen te kunnen identificeren. Wang et al. leggen uit dat de distributie van dataproducten een goede planning en control vereist. Hieruit kan geconcludeerd worden dat bij overdrachtsmomenten van data tussen twee afdelingen, er formele overdrachtdocumenten getekend moeten worden, bijvoorbeeld een Data Delivery Agreement (DDA), of Service Level Agreement (SLA). In een DDA staan de verantwoordelijkheden en afspraken die zijn gemaakt tussen de partij die de data verzendt (data-eigenaar) en de partij die de data ontvangt
35 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
(datagebruiker). Dit alles om te borgen dat de data volledig en tijdig wordt overgedragen en verwerkt. Het nadeel van het raamwerk is dat concrete beoordelingscriteria ontbreken, hiervoor kan bijvoorbeeld gebruik worden gemaakt van aanvullende raamwerken zoals COBIT 5.
4.3
FINANCIAL SERVICES AUTHORITY - EXTERNAL REVIEW SCOPING TOOL
De “FSA external review scoping tool” (FSA, 2011) is een concretisering van de SII datakwaliteitseisen. Het raamwerk is ontwikkeld door de voormalige Financial Services Authority (FSA). De FSA was verantwoordelijk voor de regulering van de financiële sector in het Verenigd Koninkrijk tussen 2001 en 2013 en is in april 2013 opgeheven. Haar taken zijn verdeeld tussen twee nieuwe agentschappen (de Prudential Regulation Authority en de Financial Conduct Authority) en de Bank of England. De Prudential Regulation Authority is een onderdeel van de Bank of England en verantwoordelijk voor de prudentiële regelgeving, waaronder SII, het toezicht op banken, hypotheekbanken, kredietinstellingen, verzekeraars en grote beleggingsondernemingen.
Het doel van de “FSA external review scoping tool” is om te toetsen of de datakwaliteitsmanagement activiteiten van een organisatie voldoen aan de SII richtlijnen. Dit is onderdeel van het Internal Model Approval Process (IMAP) en kan door organisaties gebruikt worden bij het uitvoeren van een self-assessment ter voorbereiding op de goedkeuring van IMAP. De scope van het raamwerk is alle data (intern en extern) die materieel van invloed is op het interne model, waaronder bijvoorbeeld polisdata, marktdata, sterftecijfers etc.
De FSA heeft in september 2012 een rapport uitgebracht waarin ze haar eerste bevindingen deelt naar aanleiding van de review op datakwaliteit bij een aantal financiële instellingen die zich voorbereiden op IMAP (FSA, 2012). De FSA heeft voor deze review gebruik gemaakt van de “FSA external review scoping tool”.
Het raamwerk bestaat uit de volgende elementen: 1. Data policy implementatie; 2. Data policy naleving; 3. Definiëren van data; 4. Datakwaliteitscontroles; 5. Data general IT controls.
In tabel 4 is een samenvatting opgenomen van de “FSA external review scoping tool”.
36 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
FSA
Beheersdoelstelling
1. Data policy 1.1 Ervoor zorgen dat de kwaliteit van de data implementatie wordt gehandhaafd gedurende het gehele proces
Beoordelingscriteria
1.1.1 Data-beleid is vastgesteld en geïmplementeerd.
van het interne model zoals vereist wordt door SII. 2.1.1. De datagovernance structuren en processen opereren zoals gedefinieerd in het data-beleid en 2.1 Zorgen voor de juiste toonzetting en zorgen
volgens de procedure.
voor adequaat toezicht op de uitvoering van het data-beleid, wat nodig is voor een goede
2.2.1. Datakwaliteit metrics (kwalitatief en
2. Data policy besluitvorming.
kwantitatief) zoals gedefinieerd in het data-beleid
naleving
worden gerapporteerd (individueel, samengevoegd of 2.2. Zorgen voor geschikte en tijdige rapportage als gecategoriseerd) op regelmatige basis naar geschikte ondersteuning voor de vereiste besturing en het
niveaus van het management om ze in staat te stellen
besluitvormingsproces door het management en het om de kwaliteit van de data te beoordelen en tijdig detecteren van issues.
corrigerende maatregelen te nemen wanneer er materiële issues zijn. 3.1.1. Er is een directory samengesteld van alle data
3. Definiëren van data
3.1. Zorgen dat data die gebruikt wordt, de impact die wordt gebruikt in het interne model, met en de kwetsbaarheden, duidelijk zijn
vermelding van de bron, het gebruik en de kenmerken.
geïdentificeerd en worden onderhouden.
3.1.2. Voor elke dataset, is een risico en impact (gevoeligheid) analyse uitgevoerd.
4.
4.1. Zorgen dat de kwaliteit van de data (volledig, 4.1.1. Management- en datakwaliteitscontroles
Datakwaliteits- juist, adequaat en tijdig / actueel) in het interne
(preventief, detective, en correctief) zijn
controles
geïdentificeerd en daadwerkelijk geïmplementeerd.
model wordt gehandhaafd.
5.1.1. IT general computer controls (ITGCs) op de 5. Data general IT controls
5.1 Zorgen dat de kwaliteit van de data en de
data-omgeving (voor bijv. mainframes, End User
verwerking ervan voor gebruik in het interne model Computing applicaties zoals spreadsheets, enz.) die wordt onderhouden
materiële invloed op het interne model kunnen hebben zijn geïmplementeerd.
Tabel 4: Samenvatting “FSA external review scoping tool”
Het FSA raamwerk is gebaseerd op de datakwaliteitseisen van SII. Zo is te zien dat er aandacht is voor het goed definiëren, beoordelen en monitoren van datakwaliteit. De FSA is verder gegaan dan SII door een domein over generieke IT-maatregelen op te nemen en in het raamwerk de attributen “risico”, “beheersdoelstelling”, “beoordelingscriteria” en “testplan” concreet uit te werken. Met deze componenten vormt het raamwerk een goede basis voor het uitvoeren van een audit.
37 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Als naar 1. Data policy implementation wordt gekeken dan is te zien dat datakwaliteitsbeleid een belangrijke rol speelt. Bij een goed datakwaliteitsbeleid hoort een beschrijving van de rollen en verantwoordelijkheden voor datakwaliteit, waaronder eigenaarschap en accountability voor de verschillende datasets. De FSA geeft in haar rapport van bevindingen aan dat data-eigenaarschap niet specifiek wordt behandeld in SII, maar dat het desondanks belangrijk is om dataproducenten en dataconsumenten te benoemen (FSA, 2012). Deze dataproducenten zijn verantwoordelijk voor het produceren van data conform de datakwaliteitseisen van de dataconsumenten. Naast eigenaarschap voor data heeft de FSA het over het definiëren van data, waarbij niet verder wordt ingegaan op het formaliseren van overdrachtsmomenten middels bijvoorbeeld Data Delivery Agreements. De Data Delivery Agreement is behandeld bij het raamwerk van Wang et al. onder E. Distribution en in COBIT 5 komt deze terug onder het domein APO10.03 (managen van relaties met data leveranciers). Wat verder ontbreekt in het raamwerk is de aandacht voor het realiseren van bewustzijn voor datakwaliteit onder medewerkers. Dit komt wel terug in het raamwerk van Wang et al. (1995) in het domein F. Personnel management en tevens in het COBIT 5 domein DSS06.03 (Data quality awareness). Tot slot is te zien dat er beoordelingscriteria in het FSA raamwerk zijn uitgewerkt, maar dat deze nog altijd vrij summier zijn. COBIT 5 is daarom ook hier een goede aanvulling.
38 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4.4
GEÏNTEGREERD CONCEPT BEHEERSRAAMWERK
In voorgaande paragrafen is gekeken naar een aantal belangrijke normenkaders voor datakwaliteit. Het doel hiervan is om te komen tot een set van belangrijkste bouwstenen en eigenschappen waaruit een beheersraamwerk moet bestaan om aan de datakwaliteitseisen van SII te kunnen voldoen. Door integratie van de behandelde normenkaders komen we tot één geïntegreerd beheersraamwerk voor datakwaliteit, dit raamwerk bestaat uit 6 hoofdcomponenten. In tabel 5 zijn deze 6 hoofdcomponenten opgenomen in een matrix samen met de individuele normenkaders. Een grotere versie van dit overzicht is in bijlage B opgenomen.
Tabel 5: Matrix met de hoofdcomponenten uit een geïntegreerd beheersraamwerk voor datakwaliteit en individuele normenkaders voor datakwaliteit.
In de volgende paragrafen worden de 6 hoofdcomponenten verder toegelicht.
39 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4.4.1
Datakwaliteitsbeleid & procedures
1. Datakwaliteitsbeleid & procedures Beheersdoelstelling
Referentie
Zorgen dat adequaat sturing wordt gegeven aan de dagelijkse beheersing van data en de medewerkers die hier verantwoordelijk voor zijn.
Zorgen dat medewerkers zich bewust zijn van hun rollen en verantwoordelijkheden op het gebied van databeheersing.
SII: former CP 33 & CP 56 article 5.173;
COBIT 5: APO01.03. Maintain the enablers of the management system;
FSA raamwerk: H1. Data policy implementatie.
Beoordelingscriteria
Er is specifiek beleid ontwikkeld voor databeheersing dat is goedgekeurd door de directie en verder is uitgewerkt in procedures. Het beleid en de procedures worden periodiek geëvalueerd en bijgewerkt indien nodig.
Het datakwaliteitsbeleid en de procedures voor datakwaliteit zijn gecommuniceerd naar alle relevante medewerkers en relevante externe partijen.
Rollen en verantwoordelijkheden voor databeheersing zijn gedocumenteerd en worden periodiek geëvalueerd. Specifiek zijn de rollen en verantwoordelijkheden beschreven van:
Het senior management, die de (eind)verantwoordelijkheid dragen voor datakwaliteit en het borgen dat alle medewerkers zich houden aan het datakwaliteitsbeleid;
De data-eigenaar, die de verantwoordelijkheid draagt voor de juistheid en volledigheid van de data en het verzamelen, controleren en leveren van data volgens de eisen van de gebruikers van de data;
De datagebruiker, die de verantwoordelijkheid draagt voor het beschrijven van de data definities, datakwaliteitsindicatoren en het controleren of alle ontvangen data volledig is en aan de gestelde kwaliteitseisen voldoet.
De databeheerder, die de verantwoordelijkheid draagt voor het beheer van de IT infrastructuur waar de data wordt opgeslagen en getransporteerd. Daarnaast zorgt de databeheerder dat de data tijdig beschikbaar is voor de data-eigenaren en datagebruikers en dat de vertrouwelijkheid en integriteit is geborgd tijdens verwerking, opslag en transport.
Er is een managementsysteem voor het beheer en doorlopend verbeteren van datakwaliteit, waarin op een georganiseerde en gestructureerde wijze beleid en procedures zijn opgenomen samen met de rollen en verantwoordelijkheden die hiermee samenhangen.
De procedures voor het controleren en monitoren van datakwaliteit zijn gedetailleerd beschreven, samen met de meetwaarden waarover wordt gerapporteerd aan het management en de benodigde acties wanneer de data niet juist, volledig en geschikt blijkt te zijn.
In het beleid en de procedures voor datakwaliteit staat o.a. beschreven:
welke methodologie gevolgd wordt voor het gebruik van "expert judgement“;
40 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
1. Datakwaliteitsbeleid & procedures
op welke datasets het betrekking heeft;
de definitie van de materialiteit die gehanteerd wordt;
welke aannames gemaakt worden bij het verzamelen, verwerking en toepassing van data;
het risk en impact assessment proces, waaronder de frequentie van de assessment.
De procedures voor het updaten van data zijn gedetailleerd beschreven, waaronder:
de frequentie van data updates;
de acties in gevallen waar ongeplande data updates moeten worden uitgevoerd;
wanneer de update geen nieuwe run van het interne model vereist.
Tabel 6.1. Concept beheersraamwerk voor de component “Datakwaliteitsbeleid & procedures”
4.4.2
Datakwaliteit training & awareness
2. Datakwaliteit training & awareness Beheersdoelstelling
Referentie
SII: former CP 33, article 3.232;
Zorgen dat medewerkers zich bewust zijn van het belang
Wang et al.: Personnel management;
van goede databeheersing en hiertoe gemotiveerd zijn.
COBIT 5: DSS06.03 Manage roles and responsibilities.
Beoordelingscriteria
Er is een communicatieplan en trainingsplan voor databeheersing dat periodiek wordt geëvalueerd. Deze plannen bevatten elementen uit het beleid en de procedures voor datakwaliteit.
Alle betrokken medewerkers hebben de training succesvol afgerond.
Databeheersing is onderdeel van het beoordelingssysteem van medewerkers en er zijn afspraken gemaakt over persoonlijke datakwaliteitsdoelstellingen.
Er wordt bijgehouden in hoeverre medewerkers hun datakwaliteitsdoelstellingen behaald hebben.
Tabel 6.2. Concept beheersraamwerk voor de component “Datakwaliteit training & awareness”
4.4.3
Data definitie
3. Data definitie
41 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
3. Data definitie Beheersdoelstelling
Referentie
SII: former CP 43 & CP 56;
FSA: H3 Data definities definiëren;
Zorgen voor een gemeenschappelijke taal en begrip
Wang et al.: C. Research and development;
van de data die wordt gebruikt in het interne model.
COBIT 5: APO01.06 Define information (data) and system ownership;
COBIT 5: APO03.02 Define reference architecture.
Beoordelingscriteria
Er is een data directory aanwezig waarin alle datasets zijn opgenomen die worden gebruikt in het interne model, met vermelding van waar de data vandaan komt (bron), de eigenaarschap van de data, hoe de data wordt gebruikt en wat de kenmerken zijn, inclusief een beschrijving van,
de opslagplaatsen van de data van de bron t/m verwerking in het interne model;
de wijze waarop de data wordt gebruikt in het interne model, inclusief het data transformatieproces.
Per dataset is aangegeven welke data items er zijn en of deze materieel zijn voor het interne model.
Alleen die data items zijn opgenomen die relevant zijn voor het interne model en op het niveau van granulariteit (mate van detail) dat passend is voor een goede onderhoudbaarheid van de data.
Alle aanpassingen op de data items (vb. datafouten en omissies) worden gedocumenteerd samen met een onderbouwing.
Er is een grafische weergave van de "flow" van data tussen data-opslagplaatsen, waarin alle procesmatige aspecten zijn gemodelleerd.
Er is een classificatieschema per dataset waarin onder andere de eisen zijn opgenomen over security, retentie en vernietiging van data.
Tabel 6.3. Concept beheersraamwerk voor de component “Data definitie”
4.4.4
Datakwaliteit risicoanalyse
4. Datakwaliteit risicoanalyse Beheersdoelstelling
Zorgen voor identificatie, registratie en onderhoud van kwetsbaarheden van de data die gebruikt wordt in het interne model.
Referentie
SII: former CP 56;
COBIT 5: APO12.01 Collect data;
COBIT 5: APO12.02 Analyse risk;
FSA: H3 Data definities definiëren.
Beoordelingscriteria
42 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4. Datakwaliteit risicoanalyse
Voor elke dataset is een risico- en impactanalyse uitgevoerd (gevoeligheidsanalyse en plausibiliteitstest) om te identificeren:
of de impact van slechte data (individueel of geaggregeerd) op het interne model materieel is;
bij welke punten in de data flow van bron naar interne model de kans op fouten het grootst is;
boven welke tolerantiegrenzen een data fout materieel kan zijn (individueel of geaggregeerd).
Een oordeel van actuariële deskundigen (expert judgement) op de datasets is toegepast om een inschatting te maken of de data zal moeten worden aangevuld of vervangen.
Alle informatie over datakwaliteit risico's die opportuun zijn geworden of opportuun kunnen worden is geregistreerd en geanalyseerd.
Alle relevante informatie over datakwaliteit issues, incidenten, problemen en uitkomsten van onderzoeken naar oorzaken hierover is vastgelegd.
Er zijn IT risk scenario’s gebouwd die impact kunnen hebben op de datakwaliteit, deze scenario’s worden regelmatig geactualiseerd.
De huidige operationele beheersmaatregelen zijn geëvalueerd en er is een inschatting gemaakt van de restrisico's. Voor de restrisico’s is een afgewogen risico reactie bepaald, rekening houdend met de kosten en baten.
Tabel 6.4. Concept beheersraamwerk voor de component “Datakwaliteit risicoanalyse”
4.4.5
Datakwaliteitscontroles
5. Datakwaliteitscontroles Beheersdoelstelling
Zorgen dat de kwaliteit van de data (volledig, juist, adequaat en tijdig / actueel) in het interne model wordt gehandhaafd.
Referentie
SII: former CP 33, CP 43 & CP 56;
COBIT 5: DSS01.01. Perform operational procedures;
COBIT 5: DSS06.02 Control the processing of information;
Wang et al: D. Production;
FSA: H4. Datakwaliteitscontroles.
Beoordelingscriteria
Er zijn procedures voor databeheersing waarin een beschrijving is gemaakt van de processtappen tijdens het verzamelen, opslaan, bewerken en leveren van data en de interne controlemaatregelen (preventief, detectief en correctief) die materiële datakwaliteitsrisico’s moeten beheersen.
Alle controlemaatregelen (preventief, detectief en correctief) die een bijdrage leveren aan de beheersing van materiële datakwaliteitsrisico's zijn geïmplementeerd en worden periodiek geëvalueerd. Deze controlemaatregelen bestaan (minimaal) uit een mix van:
Functiescheiding;
43 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
5. Datakwaliteitscontroles
Generieke IT controles (IT general controls);
Geprogrammeerde controles (Application controls);
IT afhankelijke handmatige controles (IT dependent manual controls);
Handmatige gebruikerscontroles (User controls).
Er is functiescheiding toegepast tussen het uitvoeren van datakwaliteitscontroles en het evalueren van de effectiviteit van de uitgevoerde datakwaliteitscontroles.
Er zijn datakwaliteitsindicatoren beschreven in de data directory die in een datakwaliteit tool of applicatie zijn vertaald naar geprogrammeerde controles, deze controles bestaan (minimaal) uit:
Juistheidcontroles:
er hebben data input validaties plaatsgevonden waarbij is gecontroleerd of de data een onjuiste en inconsistente formaat of ongeldige waarde heeft;
er zijn data consistentie controles uitgevoerd waarbij is vergeleken of de outputdata consistent is in de tijd, tussen datasets en binnen een dataset.
Volledigheidscontroles:
er zijn reconciliaties gemaakt tussen controle totalen uit doelsystemen en bronsystemen;.
Er zijn tolerantiegrenswaarden gedefinieerd op basis van de risico- en impactanalyse die resulteren in een automatische foutmelding wanneer de geprogrammeerde controle in de datakwaliteit tool of applicatie signaleert dat de grenswaarde wordt overschreden. Wanneer een grenswaarde is overschreden heeft er een analyse van de oorzaak van het issue plaatsgevonden. Alle materiële issues zijn gerapporteerd aan de dataeigenaar. Indien het issue niet opgelost kon worden is het senior management geïnformeerd dat corrigerende maatregelen heeft genomen.
De IT afhankelijke (handmatige) controles3 staan beschreven in de risico –en controlematrix en bestaan (minimaal) uit evaluaties en analyses van fouten en afwijkingen van tolerantiegrenzen zoals geïdentificeerd door de geprogrammeerde controles in de datakwaliteit tool of applicatie.
De (handmatige) gebruikerscontroles staan beschreven in de risico –en controlematrix en bestaan (minimaal) uit:
Volledigheidscontroles:
er zijn reconciliaties gemaakt tussen controle totalen uit doelsystemen en bronsystemen;
er zijn vergelijkingen gemaakt tussen ontvangen data en verwachte data;
er is geëvalueerd of alle risicogroepen zijn meegenomen binnen de portefeuille;
er is geëvalueerd of de dataset over voldoende granulariteit beschikt voor de identificatie van trends en om een volledig begrip te krijgen van het gedrag van de onderliggende risico’s.
3
Juistheidcontroles:
Een IT Dependent Manual Control is een handmatig uitgevoerde controle die bij de uitvoering in grote mate afhankelijk is van een door
het systeem gegenereerde uiting in de vorm van een lijst of een computerscherm (Merkelbach, 2006).
44 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
5. Datakwaliteitscontroles
er zijn data consistentie controles uitgevoerd waarbij er is vergeleken of de outputdata consistent is in de tijd, tussen datasets en binnen een dataset;
er zijn vergelijkingen gemaakt tussen de outputdata en brondata;
er zijn vergelijkingen gemaakt tussen de outputdata met andere data uit dezelfde bron of gecorreleerde bronnen.
Geschiktheidscontroles:
er zijn consistentie -en plausibiliteitscontroles uitgevoerd om uitschieters en lacunes in de data op te sporen door vergelijking met bekende trends, historische data en externe onafhankelijke bronnen;
er is een beschrijving van de voorschriften die toezien op de hoeveelheid en aard van de data die gebruikt wordt in het interne model en consistentie toepassing hiervan;
de data in het interne model is beoordeeld op inconsistenties met de assumpties die onderliggend zijn aan de actuariële en statistische technieken of met de assumpties die gemaakt zijn gedurende verzameling, verwerking en toepassing van de data.
Er zijn tolerantiegrenswaarden gedefinieerd op basis van de risico- en impactanalyse. Wanneer een grenswaarde is overschreden heeft er een analyse van de oorzaak van het issue plaatsgevonden. Alle materiële issues zijn gerapporteerd aan de data-eigenaar. Indien het issue niet opgelost kon worden is het senior management geïnformeerd dat corrigerende maatregelen heeft genomen..
Er zijn Data Delivery Agreements geïmplementeerd waarin de verantwoordelijkheden en afspraken die zijn gemaakt staan beschreven tussen de interne of externe partij die de data verstuurt (data-eigenaar) en de partij die de data ontvangt (datagebruiker), om te borgen dat de data volledig, juist en tijdig wordt verstuurd en verwerkt.
Er is een goed gedefinieerd en consistent proces voor het vernieuwen of bijwerken van alle data items in lijn met het datakwaliteitsbeleid. Dit proces bevat de juiste (geprogrammeerde of handmatige) change management controls die toezien op eventuele materiële invloed van wijzigingen (individueel hetzij geaggregeerd) op het interne model.
Er zijn generieke IT controles geïmplementeerd op de data-omgeving (voor bijv. Mainframes, End User Computing applicaties zoals spreadsheets, etc.) die van materiële invloed op het interne model kunnen zijn, waaronder (minimaal):
Logische toegangsbeveiliging;
Change management;
Informatiebeveiliging;
Business continuity;
Incident management;
overige operationele controles die het verzamelen, opslaan, analyseren en verwerken van data ondersteunen.
Tabel 6.5. Concept beheersraamwerk voor de component “Datakwaliteitscontroles”
45 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4.4.6
Datakwaliteit monitoring
6. Datakwaliteit monitoring Beheersdoelstelling
Zorgen voor geschikte en tijdige datakwaliteitsrapportages om het management in staat te stellen om de kwaliteit van de data te
Referentie
SII: former CP 33, 43 & CP 56;
COBIT 5: MEA01.03 Collect and process performance and conformance
beoordelen en corrigerende maatregelen te nemen wanneer er materiële issues zijn.
data;
FSA: H2. Data policy naleving.
Beoordelingscriteria
De performance van de betrokken IT-systemen en de kanalen die gebruikt worden voor het verzamelen, opslaan, verzenden en verwerken van data worden actief gemonitord.
Er zijn datakwaliteitsmeetwaarden voor materiële data items gedefinieerd (kwalitatief en kwantitatief) die op regelmatige basis worden gemeten en gerapporteerd (individueel, samengevoegd of gecategoriseerd) naar geschikte niveaus van het management. Voor het meten van de datakwaliteit wordt gebruik gemaakt van datakwaliteitsindicatoren (kwantitatief) en expert judgement (kwalitatief).
Het management beoordeelt de datakwaliteitsrapportages en neemt corrigerende maatregelen wanneer er materiële issues zijn.
Tabel 6.6. Concept beheersraamwerk voor de component “Datakwaliteit en monitoring”
46 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
5
PRAKTIJKONDERZOEK
In dit hoofdstuk wordt het praktijkgedeelte van het onderzoek behandeld. In hoofdstuk 4 is een geïntegreerd concept beheersraamwerk voor datakwaliteit ontwikkeld. Ter objectivering van het ontwikkelde concept beheersraamwerk is deze voorgelegd aan een expertgroep van 5 personen met specialisatie op het gebied van SII, datakwaliteitsmanagement en risicomanagement in de verzekeringssector. In dit hoofdstuk wordt nader ingegaan op de aanpak van de validatie, de deskundigen die de validatie hebben uitgevoerd en hun bevindingen. 5.1
EXPERTGROEP
Het geïntegreerde concept beheersraamwerk is op 1 november 2013 per email verstuurd naar de deskundigen met het verzoek dit vóór 15 november 2013 te beoordelen en te becommentariëren. Na validatie hebben de deskundigen onafhankelijk van elkaar hun commentaar schriftelijk aangeleverd en zijn er diepte-interviews gehouden om het commentaar nader toe te lichten.
Hieronder volgt een overzicht van de leden van de expertgroep (op alfabetische volgorde van achternaam). Nr. Naam
1
Drs. Eva de Mooij RO CIA CFSA
Bedrijf / Onderdeel
Functie
Nationale Nederlanden / Leven
Manager Enterprise Risk
Nationale Nederlanden /
Data quality manager
CCSA
2 Daniel Ritsma CISA
3 Ivo Roest MSc
4 Drs. Marcel Schut
5 Drs. Martijn Uunk RA
Schade & Inkomen
ING Insurance / Group
Senior project & change manager Data Quality
Nationale Nederlanden / Leven
Lead business analyst
Nationale Nederlanden /
Data quality manager
Schade & Inkomen Tabel 7: Overzicht leden expertgroep
Dit overzicht is tevens opgenomen in bijlage D.
47 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
De deskundigen zijn werkzaam binnen ING Insurance en Nationale Nederlanden (NN). Ze zijn geselecteerd omdat zij uitgebreide kennis en ervaring hebben op het gebied van SII, datakwaliteitsmanagement en risicomanagement binnen de verzekeringssector. Ze hebben een belangrijke rol in een omvangrijk SII programma waar ze de organisatie voorbereiden op een succesvolle SII implementatie. ING Insurance ondersteunt dit proces door ontwikkeling en implementatie van normen en methoden voor het inbedden van data governance en datakwaliteitscontroles voor alle entiteiten in Europa. NN is een dochterbedrijf van ING en is in Nederland één van de grootste verzekeraars. NN heeft daarnaast gekozen om de risicogebaseerde kapitaaleis (SCR) te berekenen middels een intern model, waarvoor aanvullende en strengere eisen gelden. NN wordt door DNB nauwlettend gevolgd op zowel voortgang van de SII implementatie als op de wijze waarop de implementatie plaatsvindt. De lat ligt hoog bij NN en de verwachting is dat NN door DNB als referentiekader zal worden gebruikt om andere verzekeraars te beoordelen.
Voor het praktijkonderzoek leidt de keuze om deskundigen binnen deze grote verzekeraar te selecteren tot een aantal voordelen, waaronder een hogere mate van diepgang en detaillering van de uitkomsten. Daarnaast zijn de resultaten voorzien van een sterke onderbouwing, wat de objectiviteit van de validatie uiteindelijk verhoogt.
5.2
SAMENVATTING VAN DE BEVINDINGEN
De inhoudelijke opmerkingen en bevindingen van de deskundigen uit de expertgroep zijn onderling vergeleken en geanalyseerd en kunnen als volgt worden gecategoriseerd: 1. Scope; 2. Three lines of defence; 3. Data updates en wijzigingen; 4. Data directory; 5. Externe data; 6. Datakwaliteitscontroles en monitoring; 7. Escalatie, waiver en sign off; 8. Cultuur en gedrag; 9. Audit trail.
Uit het praktijkonderzoek is naar voren gekomen dat het concept beheersraamwerk een goede opzet en structuur heeft en daarnaast prettig leesbaar is. Inhoudelijk ontbreken er nog eisen die niet tijdens het literatuuronderzoek
48 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
zijn geïdentificeerd. Hieronder is een samenvatting opgenomen van de belangrijkste opmerkingen en bevindingen per categorie.
1. Scope De scope dient nog verder aangescherpt te worden om duidelijk te maken dat de focus ligt op datakwaliteitsmanagement en dat generieke IT maatregelen buiten de scope van het onderzoek vallen. Verder moet in de scope verder aangescherpt worden dat de eisen betrekking hebben op alle (interne en externe) data die gebruikt wordt door het model (interne model en standaardmodel) voor het berekenen van de technische voorzieningen en de kapitaalsvereisten, inclusief alle externe rapportages.
2. Three lines of defence Niet alle functies uit de ‘three lines of defence’ die een belangrijke bijdrage leveren aan de beheersing van risico’s zijn beschreven. Dit betreft de tweedelijnsfuncties (Actuariaat, Risicomanagement en een Data Quality Officer) en de derdelijnsfuncties (IAF, externe actuaris en exerne accountant).
3. Data updates en wijzigingen Er is discussie geweest over de interpretatie van de SII eisen op gebied van “data update procedures”, een aantal deskundigen vindt de SII richtlijn hierover niet duidelijk. Er is overeenstemming dat het uiteindelijk gaat om goede change management procedures wanneer er veranderingen in systemen, producten en processen optreden die een impact kunnen hebben op de datakwaliteit.
4. Data directory Het onderscheid tussen de data directory en de data dictionary moet nog scherper gemaakt worden. Data definities worden beschreven in de data dictionary. De data directory heeft als primaire doel het oplijsten van de datasets die gebruikt worden voor modelberekeningen, de bron, eigenaar en datakwaliteitsindicatoren. Verder beschrijft de SII richtlijn dat alleen die data items worden opgenomen in de data directory die relevant zijn voor het model en op het niveau van granulariteit (mate van detail) die ook passend is voor een goede onderhoudbaarheid van de data. Bij een aantal deskundigen roept dit de vraag op of onderhoudbaarheid een beheersdoelstelling moet zijn en hoe dit in de praktijk aangetoond en gemeten kan worden. Verder is in het beheersraamwerk niet duidelijk wie nu verantwoordelijk is voor het beheer van de data directory.
5. Externe data
49 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
In het beheersraamwerk ontbreken specifiek eisen voor data die door externe partijen wordt aangeleverd (externe data). Deze externe data moet aan dezelfde kwaliteitseisen voldoen als interne data.
6. Datakwaliteitscontroles en monitoring In het concept beheersraamwerk wordt bij de datakwaliteitscontroles onderscheid gemaakt tussen geautomatiseerde en handmatige controles, deze zijn verder verdeeld in juistheidcontroles, volledigheidscontroles en geschiktheidscontroles. De geschiktheidscontrole is echter alleen als handmatige controle opgenomen. Veel geschiktheidscontroles zijn echter ook te automatiseren, alleen een deel van het analyseren van de controle uitkomsten is handmatig. Daarnaast is de categorie “monitoring” ook een controlemaatregel waardoor deze samengevoegd zou kunnen worden met “datakwaliteitscontroles”. Een andere mogelijkheid is om de naamgeving van het onderdeel “monitoring” uit te breiden met “reporting” aangezien “reporting” een belangrijk onderdeel zijn van de monitoringactiviteiten.
7. Escalatie, waiver en sign off Onder het datakwaliteitsbeleid en procedures ontbreken nog eisen voor organisatorische procedures over de wijze waarop issues afgehandeld moeten worden en escalatie kan plaatsvinden. Daarnaast ontbreken er ‘waiver’ procedures wanneer van het datakwaliteitsbeleid wordt afgeweken en ontbreekt een aftekeningsprocedure voor het aftekenen van het datakwaliteitsrapport.
8. Cultuur en gedrag Onder de beheersdoelstelling bij onderdeel “2. Datakwaliteit training & awareness” is opgenomen dat medewerkers gemotiveerd worden tot goede databeheersing. Maar dit roept de vraag op in hoeverre motivatie kan worden afgedwongen middels een training. Verder ontbreekt in de beheersdoelstelling dat medewerkers in het belang van de organisatiedoelstelling moeten handelen. Daarnaast wordt gesproken over medewerkers, maar ook de managers moeten aan de gestelde eisen voldoen. Medewerkers zelf kunnen ook weer onderverdeeld worden in diverse doelgroepen, waaronder bijvoorbeeld data-eigenaren en datagebruikers, en elke doelgroep heeft eigen eisen. Er ontbreken verder eisen die borgen dat medewerkers naast het volgen van training ook tijd krijgen om de werkzaamheden op het gebied van databeheersing daadwerkelijk uit te voeren.
9. Audit trail Om de IAF tot een oordeel te laten komen over de datakwaliteit is het belangrijk dat aantoonbaarheid als eis wordt opgenomen in het beheersraamwerk. Om aantoonbaar ‘in control’ te zijn is het belangrijk dat de uitgevoerde controles reproduceerbaar zijn en dat er documentatie is van de uitvoering van de controle (bewijsvoering).
50 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
6
ANALYSE THEORIE VERSUS PRAKTIJK
In dit hoofdstuk worden de resultaten uit het theoretisch kader geconfronteerd met de resultaten uit het praktijkonderzoek. Er wordt geanalyseerd wat de effecten van de bevindingen van de deskundigen uit de expertgroep zijn op het voorgelegde concept beheersraamwerk. Deze analyse resulteert vervolgens in een definitieve versie van het beheersraamwerk. In dit definitieve beheersraamwerk zijn de aanpassingen verwerkt die naar aanleiding van de validatie door de expertgroep naar voren zijn gekomen.
6.1
EFFECT OP CONCEPT BEHEERSRAAMWERK
Hieronder is een samenvatting opgenomen van de belangrijkste bevindingen en het effect hiervan op het concept beheersraamwerk.
1.
Scope
Bevindingen
Omschrijving impact op beheersraamwerk
Interne model en standaardmodel
In het beheersraamwerk wordt vaak verwezen naar het interne model. SII stelt dezelfde
De scope is inderdaad breder dan het interne model. “Interne model” is vervangen door “model voor
datakwaliteitseisen aan het interne model,
berekening van de kapitaalsvereisten”.
standaardmodel, technische voorzieningen, en externe rapportages.
Generieke IT maatregelen
Over het onderwerp generieke IT maatregelen is veel
De scope is aangescherpt in paragraaf 1.4.
Omdat reeds veel onderzoek is uitgevoerd naar generieke IT maatregelen in de financiële sector is
geschreven in de literatuur. Het onderwerp wordt in
dit onderdeel inderdaad niet meegenomen in de
het beheersraamwerk slechts in één sectie
scope van dit referaat. Het onderdeel generieke IT
samengevat onder “5.Datakwaliteitscontroles”. Als
maatregelen is volledig verwijderd uit onderdeel “5.
het geen onderdeel is van de scope van het onderzoek
Datakwaliteitscontroles”.
is het beter om dit volledig weg te laten.
Data-architectuur
De scope is aangescherpt in paragraaf 1.4.
In het beheersraamwerk ontbreken eisen voor een
De scope van databeheersing in dit onderzoek richt
goede data-architectuur. Standaarden op dit gebied
zich primair op de SII kwaliteitscriteria geschiktheid,
schrijven voor aan welke eisen de architectuur van
volledigheid en juistheid van data. Hierbij zijn de
een verzekeraar moet voldoen en leveren een
eisen op het gebied van datakwaliteitsmanagement
51 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
1.
Scope
Bevindingen
Omschrijving impact op beheersraamwerk
bijdrage aan een goede datakwaliteit.
onderzocht, inclusief de datagovernance. Als gevolg hiervan zijn de thema’s data-architectuur, metadatamanagement, masterdatamanagement, data privacy & security en dataretentie & archivering niet in de scope van dit onderzoek meegenomen.
Tabel 8.1: Overzicht bevindingen en impact op beheersraamwerk op het gebied van scope
2.
Three lines of defence
Bevindingen
Omschrijving impact op beheersraamwerk
De volgende tweedelijns functies ontbreken bij de
procedures”:
beschrijving van rollen en verantwoordelijkheden:
Actuariële tweedelijnsfunctie;
Risicomanagementfunctie;
Data Quality Officer.
Toegevoegd aan “1. Datakwaliteitsbeleid en
Actuariële tweedelijns functie;
Risicomanagementfunctie.
Omdat de Data Quality Officer geen verplichte eis is vanuit SII is deze niet beschreven. In de praktijk kunnen de taken van de Data Quality Officer door de risicomanagementfunctie uitgevoerd worden.
De volgende derdelijns functies ontbreken bij de
procedures”:
beschrijving van rollen en verantwoordelijkheden:
Interne audit functie;
Externe actuaris;
Externe accountant.
Toegevoegd aan “1. Datakwaliteitsbeleid en
Interne audit functie opgenomen.
De rollen en verantwoordelijkheden van de externe actuaris en de externe accountant vallen buiten de scope van het beheersraamwerk en zijn daarom niet beschreven.
Tabel 8.2: Overzicht bevindingen en impact op beheersraamwerk op het gebied van “three lines of defense”
3.
Data updates en wijzigingen
Bevindingen
Omschrijving impact op beheersraamwerk
52 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
3.
Data updates en wijzigingen
Bevindingen
Omschrijving impact op beheersraamwerk
Omdat de aanwezigheid van “data update procedures” een expliciete eis is vanuit SII is
EIOPA sprak ooit over “data update procedures”, maar in de wetgeving komt dit niet terug. Dit
besloten om dit toch te laten staan.
Wel is onder “1. Datakwaliteitsbeleid en procedures”
onderdeel is daarnaast niet gedetailleerd beschreven
als aanvulling opgenomen dat in de change
in de SII richtlijn. Het is veel relevanter om
management procedure moet worden beschreven dat
duidelijke vereisten op te nemen rondom wat te doen
in geval van wijzigingen aan o.a. systemen,
als er veranderingen in systemen, producten en
producten en processen een impactanalyse
processen optreden en wat het effect hiervan is op
plaatsvindt op de datakwaliteit, de componenten uit
o.a. documentatie en verantwoordelijkheden op het
het datakwaliteitsbeleid en bijbehorende
gebied van datakwaliteit.
documentatie. En verder dat de wijzigingen aan deze datakwaliteitsproducten op een gestructureerde wijze gepland, uitgevoerd en gedocumenteerd worden.
Tabel 8.3: Overzicht bevindingen en impact op beheersraamwerk op het gebied van data updates en wijzigingen
4.
Data directory
Bevindingen
Omschrijving impact op beheersraamwerk
Er kan scherper onderscheid gemaakt worden tussen stap 1 in de datakwaliteitscyclus “het definieren van de data” en data definities. Data definities gaan over SMART definities, waarbij data objecten en hun relaties worden gedefinieerd in een datamodel (ook
“Definiëren van data” en de inhoud is verder
wel metadatamanagement genoemd) en worden
aangescherpt. Metadatamanagement valt buiten de
vastgelegd in een data dictionary. Een data directory bevat geen data definities, maar referentie daarnaar. Een data directory heeft als primaire doel: het
Onderdeel “3. Data definities” is aangepast naar
scope van dit onderzoek.
Bij onderdeel 1. Datakwaliteitsbeleid en procedures is opgenomen dat de datagebruiker verantwoordelijk
oplijsten van de datasets gebruikt in
is voor het beheer van de data directory.
modelberekeningen, hun oorsprong/eigenaar, kwaliteitscriteria en gebruikers.
Beschrijving ontbreekt voor het beheer van de data directory.
De Data Quality Indicators vormen ook een belangrijk onderdeel van de data directory. Deze ontbreken nu in de beschrijving.
Datakwaliteitsindicatoren zijn toegevoegd aan onderdeel “3. Definiëren van data”.
53 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4.
Data directory
Bevindingen
Omschrijving impact op beheersraamwerk
Er wordt verwezen naar granulariteit van de data versus praktisch onderhoud van de data directory.
Granulariteit en onderhoudbaarheid zijn daarnaast als
Onderhoudbaarheid is echter geen
beheersmaatregel lastig te operationaliseren. Deze
beheersdoelstelling. Daarnaast triggert het woord
beheersmaatregel verwijderd uit onderdeel “3.
granulariteit de vraag waar het aspect van
Definiëren van data”.
“granulariteit van data” is belegd. Tabel 8.4: Overzicht bevindingen en impact op beheersraamwerk op het gebied van data directory
5.
Externe data
Bevindingen
Omschrijving impact op beheersraamwerk
Voor externe data gelden dezelfde eisen als voor interne data.
Om dit specifieker te maken is bij onderdeel “1. Datakwaliteitsbeleid en procedures” opgenomen dat de procedures voor het beoordelen van externe data, waaronder de data en de rapportages ontvangen van
externe partijen, gedetailleerd moeten zijn
In het beheersraamwerk ontbreken specifiek eisen
beschreven. Er moet o.a. zijn beschreven op welke
voor data die door externe partijen wordt aangeleverd
wijze wordt vastgesteld dat de externe data voldoet
(externe data).
aan dezelfde kwaliteitseisen als interne data.
Om dit specifieker te maken is er bij onderdeel “4. Datakwaliteit risicoanalyse” opgenomen dat voor externe data specifiek geïdentificeerd moet zijn of er risico's zijn die een impact kunnen hebben op de authenticiteit, betrouwbaarheid, tijdigheid en volledigheid van de externe data.
Tabel 8.5: Overzicht bevindingen en impact op beheersraamwerk op het gebied van externe data
6.
Datakwaliteitscontroles en monitoring
Bevindingen
Omschrijving impact op beheersraamwerk
54 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
6.
Datakwaliteitscontroles en monitoring
Bevindingen
Omschrijving impact op beheersraamwerk
De geprogrammeerde controles en (handmatige)
Door het onderscheid tussen automatische en
gebruikerscontroles zijn in onderdeel “5.
handmatige controles lijkt het nu of de
Datakwaliteitscontroles” samengevoegd.
geschiktheidscontroles bij uitstek handmatige
Verder is in onderdeel “5. Datakwaliteitscontroles”
controles zijn. Veel geschiktheidscontroles zijn ook
opgenomen dat in het functioneel en technisch
te automatiseren. Alleen een deel van het analyseren
ontwerp van de tool of applicatie wordt beschreven
van de controle uitkomsten is handmatig.
hoe de geprogrammeerde controles zijn geprogrammeerd.
In COSO wordt ook onderscheid gemaakt tussen “control activities” en “monitoring activities”. Daarom is besloten om deze twee onderdelen separaat te vermelden.
Er wordt onderscheid gemaakt tussen standaarden
rondom datakwaliteitscontroles en data quality monitoring. Data quality monitoring is ook een vorm
Onderdeel “6. Monitoring” is aangepast naar “6. Monitoring & reporting”.
In onderdeel “6. Monitoring & reporting” is als
van datakwaliteitscontrole.
aanvulling opgenomen dat het management de
Monitoring behelst ook reporting.
datakwaliteitsrapportages beoordeelt, corrigerende maatregelen neemt wanneer er materiële issues zijn en dat het management daarnaast de opvolging monitort en onafhankelijk laat toetsen of het beleid wordt uitgevoerd en nageleefd.
Tabel 8.6: Overzicht bevindingen en impact op beheersraamwerk op het gebied van datakwaliteitscontroles en monitoring
7.
Escalatie, waiver en sign off
Bevindingen
Omschrijving impact op beheersraamwerk
Onder “1. Datakwaliteitsbeleid en procedures” opgenomen:
Een korte beschrijving ontbreekt van benodigde organisatorische procedures voor escalatie, waiver
Wanneer er geëscaleerd dient te worden, op welke wijze en naar welke functionaris;
(uitzondering op beleid) en aftekening.
Hoe geïdentificeerde issues afgehandeld dienen te worden;
Welke ‘waiver’ procedurestappen moeten worden doorlopen wanneer er van het datakwaliteitsbeleid wordt afgeweken;
55 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
7.
Escalatie, waiver en sign off
Bevindingen
Omschrijving impact op beheersraamwerk
Welke ‘sign off’ procedurestappen moeten worden gevolgd voor het aftekenen van het datakwaliteitsrapport en door welke functionaris deze aftekening dient plaats te vinden.
Tabel 8.7: Overzicht bevindingen en impact op beheersraamwerk op het gebied van escalatie, waiver & sign off
8.
Cultuur en gedrag
Bevindingen
Omschrijving impact op beheersraamwerk
Motivatie en bewustzijn voor goede interne beheersing wordt niet alleen bereikt door training, maar door een combinatie van factoren, waaronder goede communicatie, training en door medewerkers
te belonen of te bestraffen (beoordelingssysteem).
Als beheersdoelstelling staat bij “2. Datakwaliteit
Daarnaast is voorbeeldgedrag van het management
training & awareness” opgenomen dat medewerkers
erg belangrijk. Cultuur en gedrag zijn echter niet
gemotiveerd worden tot goede databeheersing. Maar
altijd even gemakkelijk te operationaliseren in een
motivatie dwing je niet af middels een training.
beheersraamwerk en de maatregelen kunnen verschillen per organisatie. Verzekeraars zullen zelf moeten beoordelen wat voor hun organisatie het beste werkt en de genomen maatregelen operationaliseren in hun beheersraamwerk.
Bij onderdeel “2. Datakwaliteit training & awareness” toegevoegd dat naast algemene plannen
Specifieke doelgroepen ontbreken. Elke doelgroep
ook specifieke plannen ontwikkeld moeten worden
heeft zijn eigen specifieke eisen.
per doelgroep (o.a. data-eigenaren, datagebruikers, databeheerders, senior management).
Het accent ligt nu op de medewerkers, maar ook
managers moeten aan deze eisen voldoen.
awareness” is management toegevoegd.
Bij onderdeel “2. Datakwaliteit training &
Bij onderdeel “2. Datakwaliteit training &
In de beheersdoelstelling ontbreekt dat medewerkers
awareness” toegevoegd dat medewerkers en
in het belang van de organisatiedoelstelling moeten
managers zich bewust moeten zijn van de eisen en
handelen.
het belang van goede databeheersing voor het realiseren van organisatiedoelstellingen.
Er ontbreken eisen die borgen dat medewerkers naast
Beheersing in algemene zin moet onderdeel zijn van
56 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
8.
Cultuur en gedrag
Bevindingen
Omschrijving impact op beheersraamwerk
het volgen van training ook tijd krijgen om de
de dagelijkse werkzaamheden van elke medewerkers.
werkzaamheden op het gebied van databeheersing
Het uitvoeren en documenteren van controles hoort
daadwerkelijk uit te voeren.
hier ook bij. Het is wel belangrijk dat er in de afdelingsplanning rekening wordt gehouden dat deze werkzaamheden worden uitgevoerd. Omdat elke verzekeraar hier op een eigen manier invulling aan kan geven is dit niet meegenomen in het beheersraamwerk.
Tabel 8.8: Overzicht bevindingen en impact op beheersraamwerk op het gebied van cultuur en gedrag
9.
Audit trail
Bevindingen
Omschrijving impact op beheersraamwerk
Aantoonbaarheid als eis ontbreekt in het beheersraamwerk. Om aantoonbaar ‘in control’ te zijn is het belangrijk dat de uitgevoerde controles reproduceerbaar zijn en dat er documentatie is van de
Aangescherpt bij onderdeel “5. Datakwaliteitscontroles”.
uitvoering van de controle (bewijsvoering). Tabel 8.9: Overzicht bevindingen en impact op beheersraamwerk op het gebied van audit trail
In bijlage C is de definitieve versie van het beheersraamwerk opgenomen. In dit definitieve beheersraamwerk zijn de aanpassingen verwerkt die naar aanleiding van de validatie door de expertgroep naar voren zijn gekomen.
57 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
7
CONCLUSIE ONDERZOEK
Dit onderzoek is een verkenning geweest naar de effecten van SII op de interne (data)beheersing van verzekeraars en de eisen waaraan de interne (data)beheersing van verzekeraars moet voldoen om de IAF in staat te stellen een oordeel te geven over de datakwaliteit. In dit hoofdstuk worden de onderzoeksvragen beantwoord samen met de belangrijkste conclusies en aanbevelingen. Verder wordt ingegaan op de beperkingen van het onderzoek en worden voorstellen gedaan voor vervolgonderzoek.
7.1
CENTRALE VRAAGSTELLING
De centrale vraagstelling van dit onderzoek is: Wat zijn de effecten van Solvency II op de interne (data)beheersing van verzekeraars en aan welke eisen moet de interne (data)beheersing van verzekeraars voldoen om de interne audit functie in staat te stellen een oordeel te geven over de datakwaliteit?
Op basis van het uitgevoerde onderzoek blijkt dat de eisen die door SII worden gesteld grote impact hebben op de interne (data)beheersing van verzekeraars. Om per 1 januari 2016 volledig SII compliant te zijn moeten verzekeraars kunnen aantonen dat de kwaliteit van de data geschikt, volledig en juist is. Tijdens het onderzoek zijn de eisen waaruit een beheersraamwerk moet bestaan om aan de datakwaliteitseisen van SII te kunnen voldoen geïnventariseerd en in de praktijk gevalideerd. Dit heeft geresulteerd in een concreet toepasbaar beheersraamwerk voor datakwaliteit. Verzekeraars kunnen op basis van het ontwikkelde beheersraamwerk beter inzicht krijgen in de datakwaliteitseisen van SII. Door de beoordelingscriteria uit het beheersraamwerk verder te operationaliseren kunnen verzekeraars een organisatie specifiek normenkader ontwerpen, als basis voor de IAF om een oordeel te geven over de datakwaliteit.
7.2
DEELVRAGEN
Hieronder wordt per deelvraag dieper ingegaan op de belangrijkste conclusies.
1.
Wat is Solvency II en welke betekenis heeft datakwaliteit binnen Solvency II?
58 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
In paragraaf 2.1.en 2.2. is uitgelegd wat SII behelst en welke betekenis datakwaliteit heeft binnen SII. SII stelt eisen aan de kwaliteit van de data die gebruikt wordt voor de berekening van de technische voorzieningen en schrijft voor dat de data geschikt, volledig en juist moet zijn om aan de kwaliteitseisen te voldoen. Als de kwaliteit van de data niet aan deze criteria voldoet dan voldoet de berekening van de technische voorziening ook niet.
2.
Welke eisen stelt Solvency II aan de databeheersing van verzekeraars?
In paragraaf 2.3. is ingegaan op de eisen die SII stelt aan de databeheersing van verzekeraars en is specifiek ingegaan op de SII eisen voor datakwaliteit. SII is een ‘principle based’ en risicogebaseerde richtlijn, dit betekent dat verzekeraars zelf een praktische invulling moeten geven aan de principes van deze richtlijn, rekening houdend met het risicoprofiel van de organisatie. Dit betekent dat er geen ‘harde’ regels zijn waaraan het beheersraamwerk moet voldoen en verzekeraars op basis van de gedefinieerde SII principes zelf invulling aan deze eisen kunnen en moeten geven.
3.
Wat is de rol van de interne audit functie bij het beoordelen van datakwaliteit?
In paragraaf 2.4. is uitgelegd wat de rol is van de IAF bij het beoordelen van de datakwaliteit. De IAF beoordeelt vanuit haar derdelijns functie de effectiviteit van het systeem van interne beheersing, inclusief de governance en rapporteert hierover aan het bestuur. SII vereist specifiek dat de IAF een data-audit uitvoert op de kwaliteitsaspecten geschiktheid, volledigheid en juistheid. SII benadrukt dat de actuaris ook een belangrijke rol speelt bij het beoordelen van de datakwaliteit, maar deze beoordeling heeft de vorm van een 'assessment' in plaats van een onafhankelijke audit. Verzekeraars die het interne model hanteren, moeten als onderdeel van het Internal Model Approval Process (IMAP) hun interne model laten goedkeuren door DNB en hiermee aantonen dat ze voldoen aan de SII eisen. Het management is er verantwoordelijk voor om vast te stellen dat de aanvraag voor goedkeuring van het interne model voldoet aan de SII eisen, maar dient zijn opinie te baseren op het oordeel van de IAF.
4.
Wat is interne beheersing en welke aspecten van interne beheersing zien we terug binnen de Wet op het
financieel toezicht? In paragraaf 3.1. is het begrip interne beheersing behandeld. Er is eerst uitgelegd wat de wetgever in de Wet op het financieel toezicht (Wft) heeft opgenomen over interne beheersing. Alle verzekeraars moeten voldoen aan de Wft en de SII regelgeving wordt uiteindelijk opgenomen in deze Wft. Verder komt het aspect interne beheersing prominent terug in de Wft. De Wft eist dat verzekeraars zorgen voor een beheerste bedrijfsvoering. Middels de jaarrekening en de Wft-staten leggen verzekeraars verantwoording af aan DNB, die op haar beurt het prudentieel toezicht uitvoert. De externe accountant toetst de betrouwbaarheid van deze rapportages als onderdeel van de
59 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
wettelijke controle. Een effectief stelsel van interne beheersmaatregelen is hierbij essentieel zodat er wordt geborgd dat deze verantwoordingsrapportages betrouwbaar tot stand zijn gekomen. De Wft is net als de SII regelgeving gebaseerd op principes en schrijft niet voor hoe verzekeraars hun interne beheersing moeten inrichten.
In paragraaf 3.2. is vervolgens nader ingegaan op de betekenis van interne beheersing onder SII en het COSO Internal Control Framework. Interne beheersing is breder dan databeheersing omdat het uitgaat van het bereiken van de bedrijfsdoelstellingen met betrekking tot de dagelijkse operaties, verslaggeving en compliance. Databeheersing onder SII gaat specifiek in op het borgen dat de technische voorzieningen voldoen aan de kwaliteitscriteria geschiktheid, volledigheid en juistheid. Databeheersing is dus onderdeel van interne beheersing. Interne beheersing is volgens de SII richtlijn met name gebaseerd op het COSO raamwerk, wat meer een denkmodel is dan een normenkader. Het COSO raamwerk geeft geen gedetailleerd normenkader voor databeheersing en dient daarom uitgebreid te worden met specifieke normen voor databeheersing.
5.
Uit welke bouwstenen en eigenschappen moet een beheersraamwerk bestaan om aan de
datakwaliteitseisen van Solvency II te kunnen voldoen? In paragraaf 4.1. t/m 4.5. zijn een aantal normenkaders die specifiek ingaan op interne (data)beheersing onderzocht. Door integratie van de behandelde normenkaders is er een geïntegreerd concept beheersraamwerk voor datakwaliteit ontwikkeld. In het praktijkonderzoek in hoofdstuk 5 is beschreven hoe de validatie van het ontwikkelde concept beheersraamwerk door de expertgroep heeft plaatsgevonden. Er is nader ingegaan op de aanpak van de validatie, de deskundigen die de validatie hebben uitgevoerd en hun belangrijkste bevindingen. Uit het praktijkonderzoek is naar voren gekomen dat het concept beheersraamwerk een goede opzet en structuur heeft en daarnaast prettig leesbaar is. Inhoudelijk ontbraken nog eisen die niet tijdens het literatuuronderzoek zijn geïdentificeerd. Deze tekortkomingen zijn geanalyseerd en het effect op het concept beheersraamwerk is beoordeeld. Deze analyse heeft geresulteerd in een definitieve versie van het beheersraamwerk.
7.3
AANBEVELINGEN
Met de afronding van het onderzoek worden de volgende aanbevelingen gedaan.
Compliance is geen hoofddoel De implementatie van het beheersraamwerk moet geen doel op zich worden om te kunnen voldoen aan de eisen van de toezichthouder of om de externe accountant tevreden te stellen. De belangrijkste drijfveer moet liggen in
60 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
het feit dat verzekeraars hun risico’s beheersen zodat de doelrealisatie van de organisatie niet in gevaar wordt gebracht. Goede datakwaliteit geldt daarnaast niet alleen voor SII, maar ook voor alle andere rapportages. Een integrale aanpak is daarom erg belangrijk.
Management commitment De grootste kritische succesfactor voor een succesvolle implementatie van het beheersraamwerk is dat het vanuit de hoogste bestuurslaag gedragen moet worden. Het senior management moet het belang van goede databeheersing uitdragen en de organisatie wijzen op de noodzaak. Er moet zichtbare steun en betrokkenheid zijn op alle managementniveaus.
Overdracht van project naar lijn De datakwaliteitsprojecten die verzekeraars momenteel hebben opgezet draaien in projectorganisaties. Alhoewel een projectorganisatie altijd eindigt, zijn de projectresultaten voor onbepaalde tijd. Een goede overdracht van projectorganisatie naar lijnorganisatie is daarom belangrijk. Bij de overdracht komt tevens het beheer kijken van de datakwaliteitsproducten. Met name het beleggen van het beheer van de data directory blijkt in de praktijk een belangrijke uitdaging te zijn omdat de data directory vaak omvangrijk is en door medewerkers als “technisch” wordt ervaren.
7.4
BEPERKINGEN EN VERVOLGONDERZOEK
De diepte-interviews hebben plaatsgevonden met deskundigen die werkzaam zijn binnen ING Insurance en Nationale Nederlanden. Om de externe geldigheid en de generaliseerbaarheid van het beheersraamwerk te vergroten is het noodzakelijk dat de expertgroep wordt uitgebreid met deskundigen van andere (grote) verzekeraars.
Omvang en doorlooptijd hebben geleid tot afbakeningen in dit onderzoek. In dit onderzoek zijn alleen de SII eisen op het gebied van datakwaliteitsmanagement onderzocht, inclusief de datagovernance. De thema’s data-architectuur,
metadatamanagement, masterdatamanagement, data privacy & security en dataretentie & archivering zijn niet in de scope van dit onderzoek meegenomen. Vervolgonderzoek naar eisen op het gebied van data-architectuur kan een goede aanvulling zijn. Standaarden op dit gebied schrijven voor aan welke eisen de architectuur van een verzekeraar moet voldoen en leveren een bijdrage aan een goede datakwaliteit. Bijvoorbeeld of bepaalde calculatietaken centraal of decentraal uitgevoerd moeten worden en of alle asset data centraal moet worden verzameld of niet.
61 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Vervolgonderzoek op het gebied van monitoren en rapporteren over datakwaliteit met behulp van Continuous Controls Monitoring (CCM) kan tevens interessante inzichten opleveren voor verzekeraars. Dit onderzoek kan kennis
opleveren
over
de
wijze
waarop
CCM
als
methodiek
kan
dienen
om
geïdentificeerde
datakwaliteitsindicatoren in de data directory geautomatiseerd te meten, om zo issues te detecteren en op te lossen. Daarnaast levert het kennis op over de wijze waarop CCM kan helpen bij de implementatie van rapportages over datakwaliteit om het management in staat te stellen om de kwaliteit van de data te beoordelen en corrigerende maatregelen te nemen wanneer er materiële issues zijn.
62 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
BIJLAGE A - LITERATUUR
Altinay Soyer, S.S. (2013). Data Quality Management, a Solvency II Perspective. (Master thesis, Leiden University)
COSO. (2013). Internal Control - Integrated Framework, Executive Summary
DNB. (2011). Draft contents of application document. http://www.toezicht.dnb.nl/binaries/DNB%20Contents%20of%20Application%20document_tcm50223244.PDF
DNB. (2011b). Audit Assurance Applicatie Interne Modellen DNB.(2013a). Thema’s DNB toezicht 2013. http://www.dnb.nl/binaries/Thema%20DNB%20toezicht%202013_tcm46-284483.pdf
DNB.(2013b). Parallel Run over boekjaar 2011, kwalitatieve resultaten op hoofdlijnen. http://www.toezicht.dnb.nl/binaries/Parallel%20Run%20-%20uitkomsten%20op%20hoofdlijnen%20%20OpenBoek_tcm50-227612.pdf
EIOPA. (2009a). CEIOPS’ Advice for Level 2 Implementing Measures on Solvency II: Technical Provisions - Article 86 f, Standards for Data Quality, former consultation paper 43. https://eiopa.europa.eu/publications/sii-final-l2-advice/
EIOPA. (2009b). CEIOPS’ Advice for Level 2 Implementing Measures on Solvency II: Technical Provisions - Lines of business on the basis of which (re)insurance obligations are to be segmented, former consultation paper 27. https://eiopa.europa.eu/publications/sii-final-l2-advice/
EIOPA. (2009c). CEIOPS’ Advice for Level 2 Implementing Measures on Solvency II: System of Governance, former consultation paper 33. https://eiopa.europa.eu/publications/sii-final-l2-advice/
EIOPA. (2009d). CEIOPS’ Advice for Level 2 Implementing Measures on Solvency II: Articles 120 to 126, Tests and Standards for Internal Model Approval, former consultation paper 56.
63 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
https://eiopa.europa.eu/publications/sii-final-l2-advice/
EIOPA. (2009e). CEIOPS’ Advice for Level 2 Implementing Measures on Solvency II: SCR standard formula - Article 111 j, k, Undertaking-specific parameters, former consultation paper 75. https://eiopa.europa.eu/fileadmin/tx_dam/files/consultations/consultationpapers/CP75/CEIOPS-L2-AdviceUndertaking-specific-parameters.pdf
EIOPA. (2010). CEIOPS’ Level 3 Guidance on Solvency II: Pre-application process for Internal Models, former consultation paper 80. https://eiopa.europa.eu/en/consultations/consultation-papers/2010-2009-closedconsultations/january-2010/consultation-paper-no-80/
Financial Services Authority. (2011). External Review Scoping Tool
Financial Services Authority. (2012). Solvency II: Internal Model Approval Process Data Review Findings
Franssen, I. (2011). Solvency II basis regels en praktijk. Finance Incorporated. http://www.conquaestor.nl/solvency-ii-basis-regels-en-praktijk
Hartog, P., de Korte, R., Otten, J. (2011). Management Control Auditing: bijdrage aan assurance & consulting activities. P.69-93
Hendriks, L.(2012), Presentatie Accountants en EDP, ESAA IT Auditing
Hubers, R. (2012). Solvency II, wat is de impact op de Internal Audit Functie? (Referaat postinitiële master opleiding IT Auditing & Advisory, Erasmus Universiteit Rotterdam, ESAA)
IIA. (2008). De Internal Auditor in Nederland
ISACA. (2012). COBIT 5. www.isaca.org
Merkelbach, X.(2006). MAB. De IT Dependent Manual Control; een nog te verkennen gebied binnen de auditing
64 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
NBA. (2013). NBA-handreiking 1104. Specifieke wettelijke verplichtingen van de interne auditfunctie en de externe accountant van een financiële onderneming, een elektronisch-geldinstelling, een premiepensioeninstelling en een pensioenfonds.
Plat, R. (2010). Essays on Valuation and Risk Management for Insurers. (Proefschrift, Universiteit van Amsterdam)
Van der Meer, A.J.(2009). De IT-impact van Solvency II. EDP-Auditor nr. 1, 20-27
Verschuren,P., Doorewaard, H.(2007). Het ontwerpen van een onderzoek
Wang, R.Y., Storey, V.C., Firth., C.P. (1995). A Framework for Analysis of Data Quality Research, IEEE Transactions on Knowledge and Data Engineering
65 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
BIJLAGE B – MATRIX BEHEERSRAAMWERKEN
66
BIJLAGE C – DEFINITIEF BEHEERSRAAMWERK
1. Datakwaliteitsbeleid & procedures Beheersdoelstelling
Borgen dat er adequaat sturing wordt gegeven aan de dagelijkse beheersing van data en de medewerkers die hier verantwoordelijk voor zijn.
Realiseren dat medewerkers zich bewust zijn van hun rollen en verantwoordelijkheden op het gebied van databeheersing.
Referentie
SII: former CP 33 & CP 56 article 5.173;
COBIT 5: APO01.03. Maintain the enablers of the management system;
FSA raamwerk: H1. Data policy implementatie.
Beoordelingscriteria
Er is specifiek beleid ontwikkeld voor databeheersing dat is goedgekeurd door de directie en verder is uitgewerkt in procedures. Het beleid en de procedures worden periodiek geëvalueerd en bijgewerkt indien nodig.
Het datakwaliteitsbeleid en de procedures voor datakwaliteit zijn gecommuniceerd naar alle relevante medewerkers en relevante externe partijen.
Er is een managementsysteem voor het beheer en doorlopend verbeteren van datakwaliteit, waarin op een georganiseerde en gestructureerde wijze beleid en procedures zijn opgenomen samen met de rollen en verantwoordelijkheden die hiermee samenhangen.
Rollen en verantwoordelijkheden voor databeheersing zijn gedocumenteerd en worden periodiek geëvalueerd. Specifiek zijn de rollen en verantwoordelijkheden beschreven van:
Het lid van het senior management, dat de eigenaar is van het datakwaliteitsbeleid en de (eind)verantwoordelijkheid draagt voor datakwaliteit en het borgen dat alle medewerkers zich houden aan het datakwaliteitsbeleid;
De data-eigenaar, die de verantwoordelijkheid draagt voor de juistheid en volledigheid van de data en het verzamelen, controleren en leveren van data volgens de eisen van de datagebruikers;
De datagebruiker, die de verantwoordelijkheid draagt voor het beschrijven van de data definities, datakwaliteitsindicatoren en het controleren of alle data ontvangen en geschikt voor gebruik is. Daarnaast is de datagebruiker verantwoordelijk voor het beheer van de data directory.
De databeheerder, die de verantwoordelijkheid draagt voor het beheer van de IT infrastructuur waar de data wordt opgeslagen en getransporteerd. Daarnaast zorgt de databeheerder dat de data tijdig beschikbaar is voor de data-eigenaren en datagebruikers en dat de vertrouwelijkheid en integriteit is geborgd tijdens opslag, verwerking en transport.
De actuariële functie in de tweede lijn, die de verantwoordelijkheid draagt voor het uitvoeren van plausibiliteits- en geschiktheidscontroles op de datasets die zijn gebruikt voor het berekenen van de kapitaalseisen. Daarnaast adviseert de actuariële functie in de tweede lijn de datagebruiker over de
67
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
1. Datakwaliteitsbeleid & procedures datakwaliteitsindicatoren en de data items die een materiële impact kunnen hebben op de berekening van de kapitaalsvereisten wanneer er een fout optreedt (key data items).
De risicomanagementfunctie, die de verantwoordelijkheid draagt voor het beoordelen van de opzet, bestaan en werking van het beheersraamwerk voor datakwaliteit en het adviseren van de eerstelijnsfuncties over datakwaliteitsbeleid en procedures. De risicomanagementfunctie rapporteert haar bevindingen naar het verantwoordelijk senior management.
De interne audit functie (IAF), die de verantwoordelijkheid draagt voor het op onafhankelijke wijze beoordelen van de opzet, bestaan en werking van het gehele stelsel van interne beheersing van de organisatie, waaronder de effectiviteit van de eerste- en tweedelijnsfuncties. De IAF rapporteert haar bevindingen aan het verantwoordelijk senior management. Op verzoek van het verantwoordelijk senior management voert de IAF specifieke onderzoeken uit op het gebied van datakwaliteit.
De procedures voor het controleren en monitoren van datakwaliteit zijn gedetailleerd beschreven, samen met de meetwaarden waarover wordt gerapporteerd aan het management en de benodigde acties wanneer de data niet juist, volledig en geschikt blijkt te zijn.
In het beleid en de procedures voor datakwaliteit staat o.a. beschreven:
de scope van het beleid en de procedures;
de definitie van de materialiteit die gehanteerd wordt;
de definitie van de kwaliteitsaspecten juistheid, volledigheid en geschiktheid;
het risk en impact assessment proces, waaronder de frequentie van de assessment, de wijze van analyse en de betrokken partijen;
op welke datasets het beleid en de procedures betrekking hebben;
welke methodologie gevolgd wordt voor het gebruik van "expert judgement“ wanneer de datakwaliteit is aangetast of van onvoldoende kwaliteit is;
wanneer er geëscaleerd dient te worden, op welke wijze en naar welke functionaris;
hoe geïdentificeerde issues afgehandeld dienen te worden;
welke ‘waiver’ procedurestappen moeten worden doorlopen wanneer er van het datakwaliteitsbeleid wordt afgeweken;
welke ‘sign off’ procedurestappen moeten worden gevolgd voor het aftekenen van het datakwaliteitsrapport en door welke functionaris deze aftekening dient plaats te vinden.
De procedures voor het beoordelen van externe data, waaronder de data en de rapportages ontvangen van externe partijen, zijn gedetailleerd beschreven. Er is o.a. beschreven op welke wijze wordt vastgesteld dat de externe data voldoet aan dezelfde kwaliteitseisen als interne data.
In de change management procedure staat beschreven dat in geval van wijzigingen aan o.a. systemen, producten en processen er een impactanalyse plaatsvindt op de datakwaliteit, de componenten uit het datakwaliteitsbeleid en 68
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
1. Datakwaliteitsbeleid & procedures bijbehorende documentatie. De wijzigingen aan deze datakwaliteitsproducten worden op een gestructureerde wijze gepland, uitgevoerd en gedocumenteerd.
De procedures voor het updaten van data zijn gedetailleerd beschreven, waaronder:
de frequentie van data updates;
de acties in gevallen waar ongeplande data updates moeten worden uitgevoerd;
wanneer de update geen nieuwe run van het model vereist.
2. Datakwaliteit training & awareness Beheersdoelstelling
Referentie
Borgen dat medewerkers en managers zich bewust zijn van de eisen en het belang van goede databeheersing voor het realiseren van organisatiedoelstellingen en hiertoe gemotiveerd zijn.
SII: former CP 33, article 3.232;
Wang et al.: Personnel management;
COBIT 5: DSS06.03 Manage roles and responsibilities.
Beoordelingscriteria
Er is een communicatie -en trainingsplan voor databeheersing dat periodiek wordt geëvalueerd. Deze plannen bevatten elementen uit het beleid en de procedures voor datakwaliteit. Er zijn naast algemene plannen ook specifieke plannen ontwikkeld per doelgroep (o.a. data-eigenaren, datagebruikers, databeheerders, senior management).
Alle betrokken medewerkers en managers hebben de periodieke training succesvol afgerond.
Databeheersing is onderdeel van het beoordelingssysteem van medewerkers en managers en er zijn afspraken gemaakt over persoonlijke datakwaliteitsdoelstellingen.
Er wordt bijgehouden in hoeverre medewerkers en managers hun datakwaliteitsdoelstellingen behaald hebben.
3. Definiëren van data Beheersdoelstelling
Hanteren van een uniforme definitie en begrip van de data die wordt gebruikt in het model voor de berekening van de kapitaalsvereisten.
Referentie
SII: former CP 43 & CP 56;
FSA: H3 Definiëren van data;
Wang et al.: C. Research and development;
COBIT 5: APO01.06 Define information (data) and system ownership;
COBIT 5: APO03.02 Define reference architecture.
69 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
3. Definiëren van data Beoordelingscriteria
Er is een data directory opgesteld waarin alle datasets zijn opgenomen die worden gebruikt in het model, met vermelding van de data bron, de eigenaar van de data, hoe de data wordt gebruikt en wat de kenmerken zijn, inclusief een beschrijving van de datakwaliteitsindicatoren per data item.
Per dataset is aangegeven welke data items er zijn en of deze een materiële impact hebben op de berekening van de kapitaalsvereisten wanneer er een fout optreedt (key data items).
Er is een schematische weergave van de "flow" van data tussen dataopslagplaatsen, waarin de wijze waarop de data wordt gebruikt in het model is vastgelegd, inclusief het data transformatieproces.
4. Datakwaliteit risicoanalyse Beheersdoelstelling
Referentie
SII: former CP 56;
Zorgen voor identificatie, registratie en onderhoud
COBIT 5: APO12.01 Collect data;
van risico’s op het gebied van datakwaliteit.
COBIT 5: APO12.02 Analyse risk;
FSA: H3 Definiëren van data.
Beoordelingscriteria
Voor elke dataset is periodiek een risico- en impactanalyse uitgevoerd (gevoeligheidsanalyse en plausibiliteitstest) om te identificeren:
of de impact van slechte data (individueel of geaggregeerd) op het model materieel is;
bij welke punten in de dataflow van bron naar model de kans op fouten het grootst is;
boven welke tolerantiegrenzen een data fout materieel kan zijn (individueel of geaggregeerd).
Voor externe data is er specifiek geïdentificeerd of er risico's zijn die een impact kunnen hebben op de authenticiteit, betrouwbaarheid, tijdigheid en volledigheid van de externe data.
Op de datasets is expert judgement toegepast door actuariële deskundigen en risicomanagement experts, om een inschatting te maken of de data zal moeten worden aangevuld of vervangen.
Alle informatie over datakwaliteit risico's die zich hebben voorgedaan of zich kunnen voordoen is geregistreerd en geanalyseerd.
Alle relevante informatie over datakwaliteit issues, incidenten, problemen en uitkomsten van onderzoeken naar oorzaken hierover is vastgelegd.
Er zijn IT risk scenario’s gebouwd die impact kunnen hebben op de datakwaliteit, deze scenario’s worden regelmatig geactualiseerd.
70 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4. Datakwaliteit risicoanalyse
De huidige operationele beheersmaatregelen zijn geëvalueerd en er is een inschatting gemaakt van de restrisico's. Voor de restrisico’s is een afgewogen risico reactie bepaald, rekening houdend met de kosten en baten.
5. Datakwaliteitscontroles Beheersdoelstelling
Referentie
Borgen van de kwaliteit van de data (volledig, juist,
SII: former CP 33, CP 43 & CP 56;
COBIT 5: DSS01.01. Perform operational procedures;
COBIT 5: DSS06.02 Control the processing of
geschikt en tijdig/actueel) in het model.
information;
Wang et al: D. Production;
FSA: H4. Datakwaliteitscontroles.
Beoordelingscriteria
Er zijn procedures voor databeheersing waarin een beschrijving is gemaakt van de processtappen tijdens het verzamelen, opslaan, bewerken en leveren van data en de interne controlemaatregelen (preventief, detectief en correctief) die materiële datakwaliteitsrisico’s moeten beheersen.
Alle controlemaatregelen (preventief, detectief en correctief) die een bijdrage leveren aan de beheersing van materiële datakwaliteitsrisico's zijn geïmplementeerd en worden periodiek aantoonbaar geëvalueerd. Er is een vastlegging van de uitgevoerde controles (audit trail). De controlemaatregelen bestaan (minimaal) uit een mix van:
Functiescheiding;
Generieke IT controles4 (IT general controls);
Geprogrammeerde controles (Application controls);
IT afhankelijke handmatige controles (IT dependent manual controls5);
Handmatige gebruikerscontroles (User controls).
Er is functiescheiding toegepast tussen het uitvoeren van datakwaliteitscontroles en het evalueren van de effectiviteit van de uitgevoerde datakwaliteitscontroles.
De datakwaliteitsindicatoren die zijn beschreven in de data directory zijn in een datakwaliteit tool of applicatie vertaald naar geprogrammeerde controles. In het functioneel en technisch ontwerp van de tool of applicatie staat beschreven hoe deze controles zijn geprogrammeerd.
4
Een beschrijving van de generieke IT controles valt buiten de scope van dit referaat.
5
Een IT Dependent Manual Control is een handmatig uitgevoerde controle die bij de uitvoering in grote mate afhankelijk is van een door
het systeem gegenereerde uiting in de vorm van een lijst of een computerscherm (Merkelbach, 2006). 71 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
5. Datakwaliteitscontroles
De geprogrammeerde controles en (handmatige) gebruikerscontroles bestaan (minimaal) uit:
Juistheidcontroles:
er hebben data input validaties plaatsgevonden waarbij is gecontroleerd of de data een onjuiste en inconsistente formaat of ongeldige waarde heeft;
er zijn data consistentie controles uitgevoerd waarbij er is vergeleken of de outputdata consistent is in de tijd, tussen datasets en binnen een dataset;
er zijn vergelijkingen gemaakt tussen de outputdata en brondata;
er zijn vergelijkingen gemaakt tussen de outputdata met andere data uit dezelfde bron of gerelateerde bronnen.
Volledigheidscontroles:
er zijn reconciliaties gemaakt tussen controle totalen uit doelsystemen en bronsystemen;. er zijn vergelijkingen gemaakt tussen ontvangen data en verwachte data;
er is geëvalueerd of alle risicogroepen zijn meegenomen binnen de portefeuille;
er is geëvalueerd of de dataset over voldoende granulariteit beschikt voor de identificatie van trends en om een volledig begrip te krijgen van het gedrag van de onderliggende risico’s.
Geschiktheidscontroles:
er zijn consistentie- en plausibiliteitscontroles uitgevoerd om uitschieters en lacunes in de data op te sporen door vergelijking met bekende trends, historische data en externe onafhankelijke bronnen;
er is een beschrijving van de voorschriften die toezien op de hoeveelheid en aard van de data die gebruikt wordt in het model en consistentie toepassing hiervan;
de data in het model is beoordeeld op inconsistenties met de assumpties die onderliggend zijn aan de actuariële en statistische technieken of met de assumpties die gemaakt zijn gedurende verzameling, verwerking en toepassing van de data.
Er zijn tolerantiegrenswaarden gedefinieerd op basis van een risico- en impactanalyse. Wanneer een grenswaarde is overschreden heeft er een analyse van de oorzaak van het issue plaatsgevonden. Alle materiële issues zijn gerapporteerd aan de data-eigenaar. Indien het issue niet opgelost kon worden is het senior management geïnformeerd dat corrigerende maatregelen heeft genomen.
De IT afhankelijke (handmatige) controles staan beschreven in de risico –en controlematrix en bestaan (minimaal) uit evaluaties en analyses van fouten en afwijkingen van tolerantiegrenzen zoals geïdentificeerd door de geprogrammeerde controles in de datakwaliteit tool of applicatie.
72 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
5. Datakwaliteitscontroles
Er zijn Data Delivery Agreements geïmplementeerd waarin o.a. de verantwoordelijkheden en afspraken die zijn gemaakt staan beschreven tussen de interne of externe partij die de data verstuurt (data-eigenaar) en de partij die de data ontvangt (datagebruiker), om te borgen dat de data volledig, juist en tijdig wordt verstuurd en verwerkt.
6. Datakwaliteit monitoring & reporting Beheersdoelstelling
Zorgen voor geschikte en tijdige datakwaliteitsrapportages om het management in staat te stellen om de kwaliteit van de data te
Referentie
SII: former CP 33, 43 & CP 56;
COBIT 5: MEA01.03 Collect and process performance and conformance
beoordelen en corrigerende maatregelen te nemen wanneer er materiële issues zijn.
data;
FSA: H2. Data policy naleving.
Beoordelingscriteria
De performance van de betrokken IT-systemen en de kanalen die gebruikt worden voor het verzamelen, opslaan, verzenden en verwerken van data worden actief gemonitord.
Er zijn datakwaliteitsmeetwaarden voor materiële data items gedefinieerd (kwalitatief en kwantitatief) dieop regelmatige basis worden gemeten en gerapporteerd (individueel, samengevoegd of gecategoriseerd) naar geschikte niveaus van het management. Voor het meten van de datakwaliteit wordt gebruik gemaakt van datakwaliteitsindicatoren (kwantitatief) en expert judgement (kwalitatief).
Het management beoordeelt de datakwaliteitsrapportages, neemt corrigerende maatregelen wanneer er materiële issues zijn. Daarnaast monitort het management de opvolging en laat onafhankelijk toetsen of het beleid wordt uitgevoerd en nageleefd.
73 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
BIJLAGE D – GEÏNTERVIEWDE PERSONEN
Tijdens het theoretisch onderzoek zijn de volgende personen geïnterviewd (op alfabetische volgorde van achternaam): Nr. Naam
1 Drs. Eva de Mooij RO CIA CFSA
Bedrijf / Onderdeel
Functie
Nationale Nederlanden / Leven
Manager Enterprise Risk
Nationale Nederlanden /
Data quality manager
CCSA
2 Daniel Ritsma CISA
Schade & Inkomen
3 Steven Verreydt RE
ING / Corporate Audit Services
Audit manager
4 Hans Verstraten RA RE
ING / Corporate Audit Services
Senior audit manager
Tijdens het praktijkonderzoek zijn de volgende personen geïnterviewd (op alfabetische volgorde van achternaam): Nr. Naam
1 Drs. Eva de Mooij RO CIA CFSA
Bedrijf / Onderdeel
Functie
Nationale Nederlanden / Leven
Manager Enterprise Risk
Nationale Nederlanden /
Data quality manager
CCSA
2 Daniel Ritsma CISA
Schade & Inkomen
3 Ivo Roest MSc
ING Insurance / Group
Senior project & change manager Data Quality
4 Drs. Marcel Schut
Nationale Nederlanden / Leven
Lead business analyst
74 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Nr. Naam
5 Drs. Martijn Uunk RA
Bedrijf / Onderdeel
Functie
Nationale Nederlanden /
Data quality manager
Schade & Inkomen
75 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
BIJLAGE E - DNB EISEN IMAP APPLICATIEPAKKET
DNB EISEN IMAP APPLICATIEPAKKET - HOOFDSTUK P
Provide evidence how you have ensured that the data used for the internal model is accurate, complete and appropriate.
Please provide evidence of an effective data quality and data update policy as it refers to your internal model.
P.1 Data quality policy and data update policy
The policy should cover as a minimum the following areas:
definition of data quality and how this is implemented;
detailed processes that are in place for reconciling and validating data quality;
documentation of methodology followed to validate the use of expert judgment in relation to data in the event that the quality is compromised or poor;
detailed processes that are in place for updating data with a focus on the data that is used for the probability distribution forecast;
details of standards regarding the frequency of regular data updates, circumstances that trigger unscheduled data updates and which prompt recalculations of the SCR.
P.2 Directory of data used
Please provide a high level overview of all data used in the internal model, specifying their source, characteristics and usage.
Please explain and provide evidence of the data management processes used within your internal model.
P.3 Data management
processes
Please include details of data items;
databases, internal and external data interfaces;
processes used to obtain and load data; processes to ensure data is complete, accurate and appropriate (including any reconciliation points);
P.4 Process to safeguard the confidentiality,
of information
software tools (‘system landscape’)
Please explain and provide evidence of the processes that are in place to safeguard the confidentiality, integrity and availability of information in all IT components of your internal model.
integrity and availability
P.5 Technology and
details of data flows through your internal model and data security processes undertaken.
Please provide details of your business continuity planning and/or disaster recovery for your internal model and any relevant data feeds into the model.
Please describe the technology and software tools used to implement your internal model, and state to what extent they are internal or external solutions.
76 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Changoe, A.S., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
77 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl