Monitoring Commissie Governance Principes Verzekeraars

Monitoring Commissie Governance Principes Verzekeraars Verslag van de Themabijeenkomst over Risicomanagement op 12 juni 2012

Programma  Welkom door prof. Ferdinand Grapperhaus, voorzitter van de Commissie  Behavioural Risk Management door prof. Philip Stork  Kwaliteit en Governance Risicomanagement door Martin Luijt en Saskia Bezoen van DNB  Risicobereidheid door Nicolas Harvey, CRO Amlin Corporate Insurance  Risicobereidheid door Peter Paul Barth, directeur Klaverblad Verzekeringen  Inrichting van de sleutelfuncties door Guus Schoorlemmer, CRO AEGON Nederland

Introductie Dagvoorzitter Ferdinand Grapperhaus opent de middag. Hij is voorzitter van de Monitoring Commissie Governance Principes Verzekeraars. Grapperhaus legt kort uit wat het doel is van de Code en wat de aanleiding was de Code te introduceren. Twee thema’s speelden voor de introductie een rol: de woekerpolissen-affaire en de financiële crisis. Het vertrouwen in de sector bleek flink geschonden, aanleiding voor het Verbond van Verzekeraars het heft in handen te nemen. De Code wil zekerheid bieden aan klanten en aan verzekeraars handvatten bieden om zaken als ‘goed bestuur’, KBC en maatschappelijke betrokkenheid vorm te geven. Zo kan de Code het vertrouwen in de branche helpen herstellen. De branche heeft de Code dus zelf geïnitieerd: “De Code is van uzelf,” aldus Grapperhaus. De Commissie heeft de volgende taken: • Inventariseren van de toepassing van de Governance Principes; • Signaleren van eventuele leemtes, onduidelijkheden en onevenwichtigheden in de Governance Principes; • Aanbevelingen doen over mogelijke aanpassingen van de Governance Principes. De Commissie rapporteert jaarlijks aan de minister van Financiën en aan het Verbond van Verzekeraars, Zorgverzekeraars Nederland en de Federatie van Onderlinge Verzekeraars. Eind 2011 heeft de Commissie haar eerste rapport gepubliceerd. Verder is er een leidraad gemaakt om verzekeraars te ondersteunen bij de verantwoording van de toepassing van de Code. Door middel van een online vragenlijst onderzoekt de Commissie de verantwoording in de jaarverslagen en op de website. Daarnaast organiseert de Commissie themabijeenkomsten over Klantbelang Centraal en deze themabijeenkomst over Risicomanagement. Eind 2012 zal de Commissie haar tweede rapport publiceren. Daarvoor is medewerking van de branche essentieel stelt Grapperhaus: “Eén van de doelstellingen van de Commissie is te adviseren over het voortbestaan van de Code. Uit de sector zelf komen reflecties en ideeën over de Code. Het kan dus zijn dat we adviseren dat de Code moet fuseren met de Code Banken of bijvoorbeeld moet worden aangepast.” Grapperhaus wijst ook op het belang van ‘dynamiek’ in de Code: “Als die er niet is, verlies je het momentum, namelijk het feit dat de sector zich bewust is van het feit dat zij verantwoording moet afleggen naar de maatschappij over hoe zij leert van het verleden en het geschonden vertrouwen wil herwinnen.”

1

Philip Stork: Het belang van Behavioural Risk Management De rationele ‘Homo Economicus’? De ‘oude premisse’ van de economische wetenschap gaat uit van efficiënte markten en rationele mensen, die handelen uit eigenbelang en daar rationeel en calculerend over nadenken. De idee was dat je evenwichtsmodellen kunt gebruiken om bepaalde ontwikkelingen te verklaren. Inmiddels is echter duidelijk dat het tegendeel het geval is. Stork: “Instinct, angst en hebzucht regeren voor een groot deel de financiële markten. Je zou kunnen zeggen dat de waan van de dag ons leidt. Behavioural finance is nu dan ook een belangrijk vak.” Stork refereert aan Daniel Kahneman, die baanbrekend werk heeft verricht op dit gebied en in 2002 de Nobelprijs voor de Economie ontving. Mede dankzij het werk van Kahneman is behavioural finance nu een belangrijk vakgebied. Een belangrijk begrip uit de behavioural science is ‘bias’. Het is een begrip uit de attributietheorie van de sociale psychologie en het laat zich moeilijk vertalen in één woord. ‘Bias’ heeft betrekking op vooroordelen over jezelf en je eigen handelen. Zo is overmoed een belangrijke bias. We kunnen veel marktmechanismen niet rationeel verklaren zegt Stork, maar wel via deze attributietheorie. Zo was er de ‘dot com’ bubble in 2000 op de Nasdaq en een beroemd voorbeeld is de Nederlandse tulpenmanie uit 1637, toen tulpenbollen ongeveer evenveel waard waren als een Amsterdams grachtenpand, wat neerkwam op tien jaarsalarissen van een vakman. Stork: “Er zijn geruchten, mensen zwepen elkaar op en de koers reageert. Het komt erop neer dat mensen kijken wat de buurman doet en dat navolgen.” Stork noemt meer voorbeelden van gebeurtenissen die niet rationeel zijn te verklaren, zoals sentimenten op de beurs: mooi weer, zomertijd en voetbal hebben invloed op de koersen. Er zijn daarnaast ook vanuit andere hoeken bevestigingen voor de stelling dat niet alleen de ratio een rol speelt in ons economisch handelen. Als je bijvoorbeeld naar beleggers kijkt, blijkt dat vrouwen minder risico nemen. Zij halen vergelijkbare bruto rendementen, maar hebben een hoger netto rendement. Jonge, alleenstaande mannen hebben meer volatiele aandelen, handelen het meest en halen het laagste rendement. De handelsfrequentie van beleggers daalt met het stijgen van de leeftijd. Vrouwen verzamelen meer informatie, hebben meer geduld, leren meer van hun fouten en hebben vaker een financieel plan. Overmoed Deze man-vrouw-verschillen brengen Stork op een belangrijke bias voor de behavioural finance: overmoed. Hij noemt het bekende voorbeeld van Long-Term Capital Management, een hedge fund dat het fantastisch deed, tot in 1998 de Azië-crisis uitbrak. Uiteindelijk moest LTCM gered worden door de federale bank van New York. Stork licht een aantal aspecten van de bias ‘overmoed’ toe. Uit onderzoeken is bijvoorbeeld gebleken dat 80% van de mensen vindt dat hij beter is dan het gemiddelde. Veel mensen zijn onrealistisch optimistisch over de toekomst: die zal namelijk fantastisch zijn, zeker voor mij. Daarnaast hebben veel mensen het idee dat ze controle hebben over bepaalde situaties, ook als dat niet het geval is. En tenslotte zijn mensen geneigd successen aan zichzelf toe te schrijven, terwijl de mislukkingen te wijten zijn aan een ander of aan de omstandigheden. Er zijn verschillende indicatoren die kunnen wijzen op overmoed bij een manager. Denk dan bijvoorbeeld aan snel opeenvolgende overnames, aan onder-diversificatie door beleggingen in het eigen bedrijf en een snelle groei van het bedrijf in combinatie met een optimistische en ‘meer risico-tolerante’ CEO. Overmoedige CEO's:  nemen meer risico's;  investeren meer in overnames;  diversifiëren meer;  gebruiken meer schuld en met een kortere looptijd;  kopen meer eigen aandelen in; 2

    

betalen minder dividend; passen vaker earnings management toe; overschatten vaak het rendement op investeringen; vinden externe financiering te duur en overinvesteren als interne financiering mogelijk is.

Duidelijke voorbeelden van overmoed vindt Stork de cases van Orange County en Lehman Brothers. In plaats van ongelijk te bekennen, werden er grotere risico’s genomen, met uiteindelijk desastreuze gevolgen. Ieder mens heeft biases en is slecht in staat objectief en rationeel naar zichzelf te kijken. Hoe voorkom je dat bestuurders hun biases te overhand laten krijgen en in hun overmoed onverantwoorde risico’s nemen? Je kunt bijvoorbeeld kijken naar diversiteit aan de top zegt Stork: uit onderzoeken blijkt dat meer diversiteit helpt - meer vrouwen in het bestuur dus! Als er weinig monitoring is door de aandeelhouders, is een sterke control-functie belangrijk. Vrouwen helpen dan. Een gender quota kan echter waarde-vernietigend werken voor bedrijven die al een sterke corporate governance hebben: dan werkt het juist verstikkend. De kans dat een CEO overmoedig is, is groot. Sommige biases worden namelijk groter bij bepaalde posities. Dat gebeurt bijvoorbeeld in situaties waarin de taakstelling moeilijk is en veel commitment vereist, waarbij de CEO geen directe signalen krijgt of zijn beslissing de juiste is en als iemand hoogopgeleid en vakkundig is. Overmoed veroorzaakt meer risicobereidheid en grotere carrièrestappen en het groeit bovendien na ieder succes dankzij de attributiebias, oftewel het idee dat je het succes helemaal aan jezelf en je eigen talenten te danken hebt. Overigens merkt Stork op dat overmoed niet per se niet-integer is: je kunt volkomen oprecht zijn in je overtuiging dat je dit allemaal aankunt en dat jij de juiste man op de juiste plaats bent. Debiasing In het kader van risicomanagement is het dus de uitdaging overmoedige managers af te remmen. Beloning is daarvoor niet het beste sturingsmechanisme zegt Stork: extra aandelen of opties werken averechts en maken de worst slechts groter. Hij noemt een aantal maatregelen die je binnen je organisatie kunt nemen om te voorkomen dat overmoedige managers teveel ruimte krijgen. Maatregelen  ‘ Debt overhang’ tegen overinvesteringen.  Lage limiet goedkeuring door RvC, aandeelhouders en/of andere toezichthouders.  Selectie leden RvB, RvC. Winst zit niet in de grootte, maar in de diversiteit, onafhankelijkheid.  Psychometrische persoonlijkheidstoetsen.  Self-assessments.  Beperkte benoemingsduur meerdere niveaus.  DNB (2009): zeven elementen voor integere cultuur.  Klokkenluidersregelingen. Kahneman heeft laten zien dat het heel moeilijk is jezelf te debiasen. Je kunt wel proberen de organisatie zo in te richten dat je elkáár debiast. Je kunt je ook richten op motivatiestrategieën: versterkte drijfveren leiden tot meer reflectie. Dit is effectiever bij eenvoudige taken. Ook verantwoordingsplicht is een goed instrument: het besef dat je verantwoording moet afleggen over grote beslissingen, kan al relativerend werken. Er zijn meer strategieën mogelijk aldus Stork. Speel bijvoorbeeld advocaat van de duivel, kijk naar de andere kant van het verhaal. Ook training kan een goed instrument zijn. Let ook op kuddegedrag binnen een team. Overigens benadruk Stork dat het een moeilijk proces is: mensen willen niet horen dat ze geen gelijk hebben, willen hun controle niet opgeven en zien de voordelen niet van strategieën die zijn gericht op debiasing.

3

Risicomanagement is in de Code een belangrijk aandachtspunt. Aan de kwantitatieve kant is al veel aan gedaan, ook in het kader van Solvency II bijvoorbeeld, maar aan gedragskant is nog veel te doen vindt Stork: “Daarvoor is de toon aan de top belangrijk en dan wordt risicomanagement in plaats van een compliance exercitie een cultuurverandering.”

Martin Luijt en Saskia Bezoen, DNB: Kwaliteit en Governance Risico Management Risicomanagement is de basisactiviteit van een financiële instelling en het is de eigen verantwoordelijkheid van de organisatie, vindt Grapperhaus bij zijn introductie van de tweede presentatie. Hij verwijst naar een onderzoek onder 30 overmoedige topmannen die uiteindelijk de rekening gepresenteerd kregen. Er zijn drie opvallende overeenkomsten: ze zijn allemaal gescheiden van hun eerste partner en kozen vervolgens een heel veel jongere, minder kritische partner. Ze omringden zichzelf allemaal met een kring ja-knikkers en deden niet meer aan sport. Het zijn, kortom, allemaal manieren om zelfreflectie en tegenwicht uit de weg te gaan, constateert Grapperhaus. DNB heeft onderzoek gedaan naar de kwaliteit en governance van het risicomanagement bij verzekeraars. Saskia Bezoen en Martin Luijt lichten vandaag de achtergronden van het onderzoek toe en delen enkele good practices met de aanwezigen. Aanleiding Een belangrijke les uit de crisis is dat in veel gevallen het RM van financiële ondernemingen onvoldoende geïntegreerd was in de bedrijfsvoering. Vaak ontbrak een uniforme benadering en gedeeld begrippenkader binnen de onderneming met als gevolg dat een holistisch overzicht van alle risico’s eveneens ontbrak. Daarenboven beschikten de interne controle functies, zoals de RM-functie, vaak over te weinig middelen, (formele) status en/of deskundigheid. Met de komst van Solvency II zal nog meer nadruk gelegd worden op een goede risk governance. Dit blijkt uit de eisen die aan het ‘system of governance’ worden gesteld – denk aan onafhankelijke sleutelfuncties en ORSA. Voor ORSA is het belangrijk dat RvB en RvC zich bewust zijn van ALLE risico’s die de onderneming loopt en zich niet beperken tot risico’s die gedekt worden door de SCR-berekening of de makkelijk te kwantificeren risico’s. Risicomanagement (RM) van verzekeraars is voor het toezicht een belangrijk element in de beoordeling van de integere en beheerste bedrijfsvoering (Wft 3:17 in het algemeen en Bpr 23 in het bijzonder). Kortom: redenen genoeg voor DNB om hier in te duiken door middel van een themaonderzoek. Met het themaonderzoek ‘Kwaliteit en governance risicomanagement bij verzekeraars’ wilde DNB achterhalen hoe de opzet van het RM in de Nederlandse verzekeringssector zich vergelijkt met de lessen uit de crisis. Enerzijds beoogde het onderzoek vast te stellen of en in welke mate de geïdentificeerde manco’s voor verzekeraars golden. Tegelijkertijd is gezocht naar goede voorbeelden (good practices) die gecommuniceerd kunnen worden aan de sector. Door de uitkomsten van dit onderzoek breed te communiceren beoogt DNB de awareness voor dit onderwerp verder te vergroten en de kwaliteit van de governance van het RM sectorbreed op een hoger peil te krijgen. Onderzoek Voor dit themaonderzoek zijn 12 verzekeraars onderzocht, verspreid over de sector, variërend van kleine verzekeraars met een lage complexiteit tot grote, complexe verzekeraars. In het onderzoek stonden vier onderwerpen centraal: 1. risicocultuur: tone at the top; 2. risicostrategie en –beleid; 3. inrichting van de RM-functie; 4. opzet van risicoprocessen. 4

Deze vier onderwerpen zijn verder uitgewerkt in hoofdvragen en subvragen. In het onderzoek kwamen vragen aan de orde als: “Hoe kijkt de organisatie aan tegen RM? Zijn er concrete acties? Heeft de betrokken functionaris voldoende status en is hij onafhankelijk? Vormen de risicoprocessen een cyclisch geheel? Zit het proces goed in elkaar? Komen de processen bij elkaar en vormt het een geïntegreerd geheel?” DNB heeft de branche via een brief geïnformeerd over de uitkomsten van het onderzoek. Uitkomsten De bereidheid om aan RM te doen is aan de top van de onderzochte verzekeraars vrij hoog, maar het daadwerkelijke implementeren laat op aantal punten nog te wensen over.

Bron: powerpointpresentatie Saskia Bezoen en Martin Luijt

De betrokkenheid van risicomanagement bij de reguliere activiteiten is meestal redelijk goed geformaliseerd in de organisatie, maar als er strategische beslissingen worden genomen is RM meestal niet of op ad hoc basis betrokken. De RM-rol bij strategische besluiten is meestal niet geformaliseerd. In de praktijk is de betrokkenheid van RM bij deze besluiten dan ook afhankelijk van het verantwoordelijke management. In veel gevallen blijft betrokkenheid van RM zelfs helemaal achterwege, terwijl deze besluiten vaak gepaard gaan met de hoogste risico’s. De risicobereidheid is op hoofdlijnen vaak wel vastgesteld, maar is meestal onvoldoende doorvertaald naar de werkvloer (operationeel niveau). Verder is het opvallend dat de risicobereidheid in veel gevallen niet voor alle risico-categorieën is gedefinieerd, maar slechts voor de financiële, eenvoudig te kwantificeren risico’s. Ten aanzien van de inrichting van het RM valt het volgende op te merken. De RM-functie is vaak ook uitvoerend in de eerste lijn. De onafhankelijkheid van de betreffende functionaris ten aanzien van de betreffende eerstelijnsactiviteiten komt dan in het geding. Verder bleek dat in veel gevallen niet alle risicogebieden samen komen bij de risicomanager, maar dat hij slechts bemoeienis heeft met een gedeelte van de risicogebieden. Hierdoor ontstaat de situatie dat de RM-functie onvoldoende overzicht heeft over alle risico-categorieën. De risicoprocessen zijn er dus wel, maar dienen met name op de volgende punten verbeterd te worden. In veel gevallen worden niet alle relevante risico's in samenhang beschouwd, waardoor de besluitvorming over de risicobeheersing niet integraal wordt genomen. Verder valt op te merken dat er bij de risicoprocessen vaak nog geen sprake is van een gesloten Plan-Do-Check-Act cyclus. Met name de uitvoering, monitoring en evaluatie van de beheersmaatregelen schieten tekort. De lessen die uit de crisis 5

zijn geleerd, gelden ook voor verzekeraars! Voorts is ons opgevallen dat de interne auditfunctie in veel gevallen nog niet voldoende de werking van de risicomanagementprocessen toetst. De relevantie daarvan hangt uiteraard samen met de mate waarin risicomanagementprocessen al zijn geïmplementeerd, maar we moeten wel naar de situatie toe dat de risicomanagement processen structureel getoetst gaan worden.

Bron: powerpointpresentatie Saskia Bezoen en Martin Luijt

Good practices De good practices die uit het onderzoek naar voren komen, zijn in feite omgekeerd aan de uitkomsten die nog verbetering behoeven. Je kunt bijvoorbeeld de niet-financiële risico’s definiëren. Zo kun je bij reputatieschade stellen dat je maximaal één keer per jaar negatieve publiciteit in een regionaal of landelijk dagblad een aanvaardbaar risico vindt. Een belangrijke good practice die DNB nog wil benadrukken is “Centrale aansturing van RM: alle risicogebieden komen samen bij de RM-functie die daarover een geïntegreerde rapportage uitbrengt richting de organisatie.” Dit is eigenlijk geen good practice, maar de norm. Een goede governance van het RM is geformaliseerd, gestructureerd en heeft een bewezen werking. Idealiter wordt het periodiek geëvalueerd, zodat een steeds hoger niveau van beheersing ontstaat. DNB heeft recent een Q&A (governance risicomanagement verzekeraars) opgesteld, waarmee de branche zijn eigen RM kan inventariseren. Dit is ook het kader waarmee DNB naar het thema kijkt. Vanuit de zaal wordt gevraagd hoe DNB het begrip proportionaliteit heeft vorm gegeven in dit verband. DNB antwoordt dat gekeken wordt naar aard, omvang, complexiteit en risicoprofiel van de onderneming: “We verwachten van grote, complexe verzekeraars bijvoorbeeld meer geformaliseerd beleid en eerder een aparte RM-afdeling dan van kleine, niet-complexe verzekeraars. De norm is steeds hetzelfde, maar we kijken naar de specifieke kenmerken van een individuele verzekeraar. Iedereen moet daarom een voldoende kunnen scoren op basis van de verzekeraar die hij is. Uit het onderzoek blijkt echter dat kleine, minder complexe verzekeraars toch minder goed scoren op risk governance. Dat is, gegeven het feit dat proportionaliteit is meegenomen, een opvallende uitkomst.” Tot slot is DNB benieuwd naar de ervaringen van de aanwezige verzekeraars: “Komt u over de meetlat? Is het bij u goed of is er nog werk aan de winkel?” De aanwezigen vinden hun RM-beleid goed, “maar de meetlat is strenger. We zijn misschien ook wat optimistischer over proportionaliteit.” DNB antwoordt dat 6

hun risico-inschatting ook belangrijk is: “We verwachten soms inderdaad meer van een verzekeraar op dit vlak naar aanleiding van onze eigen risicoanalyse.”

Nicolas Harvey: Risk, from framework to culture Amlin Corporate Insurance was een van de 12 verzekeraars die deelnamen aan het onderzoek van DNB, dat in de voorafgaande presentatie door DNB werd toegelicht. Het risicoframework van Amlin wordt door DNB beschouwd als een good practice. CRO Nicolas Harvey van Amlin Corporate Insurance legt uit hoe het risicoframework bij Amlin is ingericht. De vragen die Harvey centraal wil stellen:  Wat is een RM framework?  Hoe na te denken over risicobereidheid?  Het implementeren van deze thema’s en de risico-cultuur van de organisatie - zonder dat is bovenstaande overbodig.

Bron: powerpointpresentatie Nicolas Harvey

Het risicoframework bestaat uit een aantal bouwstenen. Het bouwen van het framework begint met het definiëren van alle bouwstenen, zoals: riskpolicy, risicostrategie, risicostandaarden, risicobereidheid, verantwoordelijkheid, de link naar strategie en governance en het risicoproces. Harvey wil een geïntegreerde visie op het risicoframework laten zien: “Ik wil een manier van denken presenteren die alle elementen samenbrengt: top down én bottom up”. Harvey benadrukt dat het voor een goed functioneren van het RM essentieel is dat het topmanagement betrokken is, “dat RM niet alleen leeft in de hoofden van 7

de risicomanagers”. Daarom is het belangrijk dat er verband is tussen de bedrijfsvisie, de bedrijfscultuur en het RM raamwerk. Zo is de visie van Amlin gebaseerd op vijf pilaren, waarvan RM er een is. RM maakt ook deel uit van duurzame bedrijfsvoering vindt Harvey: “We’re here to last!”

Where does the framework fit? • Amlin’s Vision states that we seek “Effective risk management which optimises returns for the risks we take” – Employing a sound and informative risk management framework which promotes effective use of our balance sheet – Return on risk adjusted capital is a well understood concept across the Group which is actively used in the deployment of capital and measurement of performance – Being highly regarded by rating agencies, regulators and shareholders for our Risk management expertise • The Target Operating Model states that Amlin’s strategy is to “actively seek and accept risk, but manages this within acceptable bounds and provides clarity surrounding this risk for its stakeholders”. • Our Core Value ‘Focus on Sustainability’ is all about risk management - We take a “measured approach in our business strategy and in our acceptance and management of risk to secure the long term viability of the business” • The framework seeks to ensure consistently applications of the behaviours and processes required in all areas to support these goals Bron: Powerpointpresentatie Nicolas Harvey

Iedere bouwsteen moet zijn rol goed spelen. Het proces moet daarom relevant en doelgericht blijven. Een risico-commissie kan bijvoorbeeld verzanden in papier. Een concrete en pragmatische aanpak voorkomt dat medewerkers cynisch worden en afhaken. RM moet meer zijn dan een raamwerk: het moet deel uitmaken van de organisatie en de mensen. Dat betekent dat je moet uitleggen waarom je het zo doet. Liefst in ‘Jip en Janneke-taal’ zegt Harvey. “Wij zeggen dan dingen als: ‘We houden niet van liquiditeitsrisico. Daarom doen we….’ Dit helpt mensen het zich eigen te maken en zo bouw je aan een breed gedragen risico-cultuur binnen je organisatie. De analytische, cijfermatige benadering en de meer intuïtieve benadering zijn daarbij complementair aan elkaar.”

8

Bron: powerpointpresentatie Nicolas Harvey

Het formuleren van de risicobereidheid is de verantwoordelijkheid van het topmanagement en bestuur. Het moet wel door iedereen in de organisatie worden begrepen stelt Harvey. De risicobereidheid moet in verband staan met de strategie van de organisatie en kan dus veranderen als de strategie wijzigt. Het kan bijvoorbeeld zijn dat er in bepaalde omstandigheden meer flexibiliteit nodig is en als de solvabiliteit zakt, kan ook de risicobereidheid voor bepaalde zaken dalen. Harvey constateert dat een geïntegreerde visie op RM en een model dat alle noodzakelijke elementen samenbrengt, nog zeldzaam is. Harvey: “Denk dan aan vragen als ‘Welke volatiliteit van de combined ratio aanvaarden we? Welke volatiliteit van CoR? Ik beschouw dat als bouwstenen van het totale risico. Daarnaast hebben we een tolerantie voor niet-financiële elementen gedefinieerd. We hebben dan bijvoorbeeld een bereidheid van 0, maar brengen dat in om een realistisch framework op te kunnen stellen.”

9

Bron: powerpointpresentatie Nicolas Harvey

Als je het risicoframework daadwerkelijk wilt gaan implementeren, moet er een cultuurverandering plaatsvinden bij mensen op operationele posities. Je begint met wat er is: Hoe denken mensen over risico? Zijn ze geïnteresseerd? Of vinden ze het op hun positie niet relevant? Welke zwakke punten zijn er? Waaraan willen we iets doen? Zwakke punten zijn bijvoorbeeld: een organisatie waar mensen begrippen als risico en tolerantie niet goed begrijpen. Een ander zwak punt is een cultuur waar mensen niet durven te zeggen wat ze denken: mensen zijn een beetje passief en voelen de urgentie niet. Een derde voorbeeld zijn medewerkers die het risico niet respecteren en proberen voor eigen winst met risico's te spelen die voor de organisatie te groot zijn. Met name als het incentive systeem onvoldoende werkt, is het risico hierop groter. Een ander aspect met betrekking tot de implementatie van het risk framework is de cultuur van de organisatie ten aanzien van governance: zijn er veel regels en afspraken of is de cultuur juist informeel? Als je dat aspect combineert met RM, geeft dat veel inzicht in hoe je de implementatie kunt aanpakken. Als je bijvoorbeeld een chaotische cultuur hebt met mensen die niet zijn geïnteresseerd in RM en die niet zijn gewend te werken met regels, zul je daar je acties op moeten aanpassen. Overigens vindt Harvey een ‘slaapwandel-cultuur’ ook niet goed: “Mensen volgen dan weliswaar de regels, maar ze begrijpen ze niet, omdat het hun eigen regels niet zijn. Je moet dus niet alleen naar rechts werken, maar ook naar boven, anders word je een slaapwandelaar; mensen moet betrokken zijn en begrijpen waarom ze iets moeten doen.”

10

Bron: Powerpointpresentatie Nicolas Harvey

De volgende stap – na diagnose – is design. Afhankelijk van de categorie moet je de risico’s die je hebt vastgesteld, beheersen. Zijn mensen passief en durven ze zich niet uit te spreken? Dan bouw je aan een cultuur van moed en openheid. Amlin doet bijvoorbeeld ‘reversed stress tests’: “Samen met de medewerkers bepalen we welke gebeurtenissen kunnen leiden tot een bankroet en daarvoor stellen we scenario’s op,” aldus Harvey. Hij noemt zaken als communicatie en training belangrijke hefbomen in dit verband: “Wij hebben een handboek dat alle medewerkers ontvangen. Er is een training die iedereen moet volgen. Daarin leren we onze medewerkers risico’s te herkennen en ze in verband te brengen met de toolbox. Daarnaast doen we veel aan wat ik ‘symbolische communicatie’ noem. We laten onze medewerkers daarmee nadenken over vragen als “Stel dat we aandeelhouders zijn bij een groot bedrijf. Iedere ochtend moeten we onze huissleutels inleveren bij binnenkomst. Als er die dag iets misgaat en we verliezen veel geld, moeten we een van de huizen verkopen.” Met dit soort voorbeelden, maak je risico’s concreet en persoonlijk.” Daarnaast laat Amlin casestudies zien aan de medewerkers: wat kan er mis gaan? Na uitvoering volgt het meten, want ‘wat wordt gemeten, gebeurt ook!’ Harvey: “We hebben tracking tools. Dat is een onafhankelijk proces, dat wordt uitgevoerd door collega’s van internal audit en group risk management.”

11

Bron: Powerpointpresentatie Nicolas Harvey

Harvey laat een voorbeeldrapportage zien over elementen uit het risico framework van Amlin. Dit soort gereedschappen maken RM naar zijn zeggen concreet. Hij besluit zijn inleiding met de constatering dat het opstellen van een risk framework alleen onvoldoende is: ook de organisatiecultuur moet worden aangepast aan het RM. Voor een geslaagde implementatie van het risk framework en de bijbehorende bedrijfscultuur vindt Harvey, net als Stork, de ‘toon aan de top’ essentieel.

Peter Paul Barth, Risicobereidheid Klaverblad Verzekeringen Directeur Peter Paul Barth vertelt over de manier waarop Klaverblad Verzekeringen de risicobereidheid heeft geformuleerd. Klaverblad Verzekeringen relateert de risicobereidheid aan de doelstellingen van de organisatie. Die doelstellingen zijn eenvoudig aldus Barth. De kerndoelstelling van Klaverblad Verzekeringen luidt: Als zelfstandige verzekeringsmaatschappij op korte en lange termijn verzekeringen sluiten met particulieren en MKB. Deze doelstelling is in het kader van risicobereidheid niet te meten. Daarom zijn er vier afgeleide doelstellingen bepaald en in prioriteit gezet:  nakomen verplichtingen;  waarborgen dienstverlening;  realiseren commerciële ambities;  kosten efficiënt opereren. Vervolgens heeft Klaverblad Verzekeringen het begrip ‘risicobereidheid’ gedefinieerd. Barth: “Wij vinden risicobereidheid de mate waarin Klaverblad bereid is onzekerheid te accepteren dat een doelstelling niet wordt gerealiseerd. Je moet altijd onzekerheid accepteren omdat je nu eenmaal niet alles in de hand hebt, 12

omdat risico’s nooit 0 zijn en omdat je middelen beperkt zijn. We streven daarom naar optimale beheersing en dat hebben we per afgeleide doelstelling kwalitatief uitgedrukt in termen als ‘zeer laag, laag, gematigd, hoog, zeer hoog’. Dat stuurt vervolgens de inzet van middelen.” De volgende vraag is dan: Wat kun je hiermee? Barth constateert dat risico’s effect hebben op de doelstellingen. Het risico dat de IT-systemen uitvallen, heeft bijvoorbeeld invloed op verschillende doelstellingen: het nakomen van de verplichtingen en het waarborgen van de dienstverlening. Zo hebben risico's effect op de afgeleide doelstellingen.

Bron: Powerpointpresentatie Peter Paul Barth

De omvang van een risico = kans x impact. Naarmate de kans groter wordt, is de impact lager. Klaverblad bepaalt van ieder risico het bruto risico. Vervolgens worden de beheersingsmaatregelen daarbij betrokken en wordt het restrisico bepaald. De impact is afhankelijk van de kans en andersom. Je moet dus voor ieder risico de kans dat het zal gebeuren inschatten én de gevolgen die het zal hebben. Dat is ingewikkeld en daarom heeft Klaverblad gekozen voor een vaste impact, te weten middelgroot. Dat is de zwarte, horizontale lijn in de grafiek. Middelgroot is door Klaverblad per afgeleide doelstelling gedefinieerd. Bijvoorbeeld voor de doelstelling ‘Nakomen van verplichtingen’ als ‘Een verlies van ca 10 miljoen euro binnen een jaar’ en voor de doelstelling ‘Waarborgen dienstverlening’ als ‘Essentiële delen van de dienstverlening zijn enkele dagen buiten bedrijf”. Omdat deze risicobereidheid vast staat, hoef je alleen nog maar te kijken naar de kans dat dit zal gebeuren. Barth: “We hebben ‘onwaarschijnlijk’ bijvoorbeeld vastgesteld op één keer per 100 jaar. Als we een kans te hoog vinden, komen we in actie.” Vaste impact Uit de zaal komt een vraag over het vastzetten van de impact. Barth: “Als je dat niet doet, moet je allerlei scenario’s doorworstelen. Kansen snappen we, maar impact is eigenlijk niet te berekenen. Nu hebben we vastgesteld wat we maximaal bereid zijn aan schade te lijden. Het zijn toleranties en we bepalen steeds of we vinden dat we dat risico kunnen lopen. Een middelgrote impact vinden we bijvoorbeeld dat het systeem er twee dagen uitligt. Maar als de database kapot is, is de impact veel groter. Dat raakt de continuïteit van 13

de organisatie. Hoe schatten we de kans in dat die situatie zich voordoet? Zonder beheersingsmaatregelen is de bruto kans bijvoorbeeld één keer per tien jaar, na beheersingsmaatregelen is de netto kans veel lager. Vinden we dat dan acceptabel?” Klaverblad heeft acht ‘risicogroepen’ vastgesteld, zoals ICT en Personeel & Organisatie. Daarbinnen zijn zo’n honderd risico’s geformuleerd. Uit de zaal komt de vraag hoe Klaverblad Verzekeringen dit aan de bedrijfsdoelstellingen heeft gekoppeld. Dat valt onder tactisch risicomanagement zegt Barth: “We kijken per risico of hij een of meer van de doelstellingen raakt. Dan schatten we in wat kans kan zijn dat het risico een middelgrote impact heeft op de doelstelling.” Amlin heeft een register van 180 risico’s geformuleerd. Harvey: “Wij bepalen de waarschijnlijkheid dat een risico zal gebeuren en maken daar scenario’s voor. Wij zetten dus de kans vast. We evalueren de kracht van de controls. Dat doen we decentraal met workshops voor de risico-eigenaren. We evalueren ieder kwartaal: zeker in de opbouwfase is dat intensief.” Heeft Klaverblad gekeken naar cumulatie van risico's? Bijvoorbeeld uitval van ICT door een zware storm? Barth: “Zo hebben we er nog niet naar gekeken. We houden onze solvabiliteit bewust heel hoog, omdat we onze verplichtingen altijd willen nakomen. Dat moet voor de cumulatie voldoende zijn” Harvey legt uit dat Amlin voor individuele risico’s met scenario’s werkt, maar dat je cumulatieve risico’s ook op die manier kunt formuleren. Is de risicobereidheid gekoppeld aan boekhouding? Hoe maak je dat operationeel? Harvey: “We hebben bereidheid voor PL-volatiliteit en we kunnen dat vertalen naar individuele klassen van producten. Het is ook een goede manier om discussie met het management te hebben over de volatiliteit per klasse. Veel discussies gaan over solvabiliteit in zwaar weer, maar interessant zijn ook de dagelijkse risico's. Om het concreet te maken, kwantificeren we het risico: ‘wat kost het ons als xxx gebeurt?’ Operationele risico’s zijn moeilijk te kwantificeren. Daarom werken we met scenario's. Als de cijfers geloofwaardig zijn, kun je risico’s en de gevolgen daarvan gemakkelijker inzichtelijk maken en beslissingen nemen.” Barth voegt toe: “Wij kiezen voor een middelgrote impact. Vervolgens proberen we in te schatten hoe groot de kans is dat die zich voordoet. Als die kans groter is dan we willen, komen we in actie. Dat maakt het hele proces eenvoudiger!” De RM-modellen die Amlin gebruikt, zijn goed in lijn met de modellen die het moederbedrijf en DNB toepassen. Harvey: “De RvC wil alles zien en controleren op basis van documentatie. DNB kijkt anders, maar de bouwstenen zijn hetzelfde.” Hoe stel je risicobereidheid vast? Harvey: “Je kunt kijken in termen van kapitaal: hoeveel kan ik verliezen? Hoe lang duurt het om dat te herwinnen? Wat is mijn buffer? Wij redeneren ook in extreme gebeurtenissen. Een van de voor ons slechtste scenario is bijvoorbeeld een zware storm, en dan een storm die zo zwaar is dat hij een naam krijgt. Op basis van modellen weten we de schade die zo’n gebeurtenis veroorzaakt. Het meest moeilijk te bepalen is de operationele tolerantie: hoeveel risico wil je lopen dat mensen vertrekken bijvoorbeeld?”

14

Guus Schoorlemmer, AEGON Nederland, De inrichting van de sleutelfuncties De parallelsessie over de inrichting van sleutelfuncties wordt geleid door de heer Guus Schoorlemmer, CRO bij AEGON Nederland. De presentatie van Schoorlemmer begint met een schets van de vormgeving van het risicomanagement binnen AEGON. Risicomanagement binnen AEGON: three lines of defence model De inrichting van het risicomanagement binnen AEGON is gebaseerd op het 3 lines of defence model. Binnen AEGON heeft dit model op basis van een eigen filosofie ten aanzien van het model de volgende concrete invulling gekregen, waarbij risicomanagement wordt opgevat als een keten van processen die gezamenlijk leiden tot inzicht in risico’s en de mate van beheersing.

Bron: Powerpointpresentatie Guus Schoorlemmer

1e lijn: Business De eerste lijn wordt gevormd door de core business van AEGON: verzekeren. De eerste lijn is hiermee verantwoordelijk voor alles wat met verzekeren te maken heeft, waaronder het inrichten van processen en controles. De beheersing van alle risico’s is hierbij de verantwoordelijkheid van de eerste lijn zelf. Zo is bijvoorbeeld het vaststellen van risk respons niet de taak van risicomanagement. Zou dat wel het geval zijn, dan zou dat immers betekenen dat de eerste lijn niet verantwoordelijk is voor risicomanagement. En dat is de eerste lijn binnen AEGON juist wel. Ook het schrijven van de risicostrategie is de verantwoordelijkheid van de eerste lijn. De tweede lijn toetst die strategie en de eerste lijn voert hem vervolgens uit. Controle op de beheersing van de risico’s vindt op eerste lijnsniveau plaats door de operationele afdeling die belast is met het specifieke aandachtsgebied. De tweede en de derde lijn dienen in dit kader als een extra toets, bedoeld om de eerste lijn scherp te houden en te controleren. Dit betekent dat eerste lijn ook moet kunnen blijven functioneren als de tweede en derde lijn zouden wegvallen. 2e lijn: Risk Management & Compliance De tweede lijn, Risk Management & Compliance, dient als een extra toets (ten opzichte van de eerste lijn) ten aanzien van de beheersing van materiële risico’s. De controle op de beheersing van deze risico’s geschiedt door de centrale Risk en Compliance Management functies op basis van een daarvoor ingericht risk en control framework. Tevens vinden er vanuit de tweede lijn elk jaar risk & control self-assessments 15

plaats met de business (eerste lijn) waarbij wordt gekeken of medewerkers binnen de risicobereidheid van het bedrijf opereren. De tweede lijn rapporteert omtrent rest risico’s. 3e lijn: Internal Audit Nederland De derde lijn toetst de werking van de tweede lijn en beoordeelt of het risk en control framework van de eerste lijn adequaat is. Deze controle vindt plaats door een onafhankelijke interne auditor die rapporteert over de volledigheid en juistheid van de risk assessment. Schoorlemmer geeft aan dat Risk Management vanuit de tweede lijn bij het Risk & Capital Committee, de Product Approval Board en de Funding Board een vetorecht of escalatiemogelijkheid hebben ten aanzien van acties van de eerste lijn. Naar aanleiding hiervan wordt vanuit de zaal de vraag gesteld hoe vaak veto’s worden uitgesproken en of er geen sprake is van veto-mijdend gedrag. In zijn antwoord spreekt Schoorlemmer de hoop uit dat dit recht zo weinig mogelijk gebruikt hoeft te worden, want anders zou dat betekenen dat de eerste lijn zijn werk niet goed doet. Er worden echter, indien nodig, wel degelijk veto’s uitgesproken, dus van veto-mijdend gedrag is geen sprake. Schoorlemmer geeft aan dat de riskmanager hierbij altijd de balans zal moeten vinden tussen formeel risicomanagement en effectief risicomanagement. In het eerste geval (formeel) zit de risicomanager zuiver en onafhankelijk als een soort politieagent op de tweede lijn. Hierdoor ontstaat er afstand tussen de eerste lijn en de tweede lijn. In het tweede geval (effectief) zal de risicomanager (meer) meedenken met de eerste lijn. Schoorlemmer benadrukt dat iedereen in de keten verantwoordelijk is voor risicomanagement. De eerste lijn dient hierbij de zaken goed op orde te hebben. Het is aan de tweede en de derde lijn om dit (en elkaar) te toetsen. Boven de derde lijn zit eventueel nog een toetsende vierde lijn met externe controleurs. Desgevraagd geeft Schoorlemmer aan dat de Raad van Commissarissen niet als vierde lijn wordt beschouwd. Het toezicht van de RvC is meer gericht op de eerste lijn. De RvC is dus meer een verlengstuk van de tweede lijn die periodiek toezicht houdt. Risicobeheersing in de praktijk Het oude adagium ‘business is voor de business en compliance is voor compliance’ gaat binnen AEGON niet meer op. Immers, ook de beheersing van alle risico’s is de verantwoordelijkheid van de business (eerste lijn). Toetsing en controle is de taak van de tweede en de derde lijn. Binnen AEGON is Risk Management dus geen afdeling (meer), maar een manier van denken die geldt voor iedereen binnen AEGON. Risicocultuur Van belang is wel dat iedereen binnen de organisatie mee gaat in dit nieuwe adagium. Hiervoor moeten twee stappen genomen worden die moeten leiden tot het ontstaan van de juiste risicocultuur. Allereerst is het van belang risk awareness te creëren bij de eerste lijn. Binnen de business moet men op de hoogte zijn van de risico’s en in staat zijn om de risico’s van het handelen in te schatten. Er moet dus bij de business een goed besef en begrip zijn van wat risicobeheersing inhoudt. Wanneer er voldoende risk awareness is, bestaat de tweede stap uit het zorgen dat de risk awareness echt in het DNA van de mensen komt te zitten. Er moet dus een juiste risico-cultuur gecreëerd worden waarbij risk awareness intrinsiek wordt meegenomen in de day-to-day business van de eerste lijn. Schoorlemmer noemt ter illustratie de survey die AEGON Engeland heeft uitgevoerd. Voor de introductie van een risico cultuurprogramma gaf 90 procent van de medewerkers van AEGON Engeland aan ‘risk aware’ te zijn. Na de introductie van een risicoprogramma was dat nog slechts 60 procent. Dit is geen slechte ontwikkeling, want vaak overschatten mensen hun eigen kunnen met betrekking tot risicobeheersing totdat men beseft wat dat daadwerkelijke betekent. Een dalende score als men meer bewust wordt, is dan een logisch gevolg. Vanuit de zaal wil men graag weten op welk niveau binnen AEGON deze stappen genomen worden. Schoorlemmer geeft aan dat allereerst op senior management niveau wordt gewerkt aan het tot stand brengen van een sterke risicocultuur. Daarna zakt men af naar het senior management niveau per business line. Ten slotte komt dan het middel management niveau aan de beurt door middel van een apart opleidingsprogramma. Het middel management moet de medewerkers meenemen. 16

Schoorlemmer geeft aan dat de effectiviteit en de omvang van risicomanagement hiermee dus afhankelijk is van de risico-awareness en de beheersing van de risico’s op de eerste lijn. Hierop wordt de vraag gesteld of AEGON dan niet met een lastig probleem zit. Er is een cultuurschok nodig om medewerkers een andere manier van denken aan te leren. Gaat er aan het bewustmaken van de medewerkers niet iets vooraf in de zin van dat er vanuit de organisatie wordt aangegeven dat deze verandering permanent is? Schoorlemmer antwoordt dat er aan de introductie van het nieuwe denken inderdaad iets vooraf is gegaan, namelijk een hele strategieverandering. Men is binnen AEGON van een productgerichte strategie naar een klantgerichte strategie overgegaan. Deze klantgerichtheid moet in de genen van de medewerkers komen. Immers, zowat 90 procent van de compliancewetgeving wordt afgedekt wanneer de klant centraal wordt gesteld in de afwegingen die worden gemaakt. Randvoorwaarden Een van de randvoorwaarden voor het realiseren van een sterke risicocultuur vindt Schoorlemmer een sterk senior management commitment. Een sterke risicocultuur staat of valt met een dergelijk commitment. Als voorbeeld van een manier om dit commitment te realiseren noemt hij de risk modifier die AEGON Engeland gebruikt. Bij AEGON Engeland wordt de bonus van het management namelijk vermenigvuldigd aan de hand van een risk modifier, vast te stellen door de risicomanager. Bij een volledige beheersing van de risico’s wordt deze modifier op 100 procent gesteld, maar de mogelijkheid bestaat ook om deze op 0 te stellen. Ter afsluiting van de bespreking van het 3 lines of defence model en de invulling daarvan binnen AEGON geeft Schoorlemmer het volgende overzicht:

3 lines of defence: Invulling compliance

1e lijn

2e lijn

3e lijn

• Adviseren van senior management over de wijze waarop de organisatie kan voldoen aan geldende wet- en regelgeving

• Verantwoordelijk voor het compliance control framework

• Valideren van de effectiviteit van het risk control framework

• Waarborgen dat de organisatie handelt in lijn met haar eigen strategie, interne policies en rapportage procedures

• Audits op de effectiviteit van de monitoringactiviteiten van de 2e lijn

• Assesment van de mogelijke impact van wetswijzigingen Identificeren van compliance risk exposure

• Identificeren van compliance risk exposure • Uitvoeren van controle activiteiten • Beoordelen van compliance risico’s

• Vaststellen van beleid en policies mbt compliance risico

• Uitvoeren van controle activiteiten proportioneel aan het risico

• Uitvoeren van activiteiten voor het creëren van compliance awareness binnen de business Lines

• Rapportage over compliance risico’s

• Bewaken van oplossen van incidenten

• Monitoring van compliance risico’s

• Assistentie bij onderzoeken toezichthouders

• Monitoren op naleving van procedures

• Het uitvoeren van de centrale AMLO functies

• Toetsen van beleid en policies op het gebied van compliance

• Toetsen dat in de compliance polices en systems of governance op de juiste wijze invullingen wordt gegeven aan: -Taken en verantwoordelijkheden - Proces rondom compliance - Documentatie en controls

• Opstellen van een compliance plan • Assistentie bij onderzoeken toezichthouders • De coördinator van het 2 e lijns compliance team is dè compliance functionaris van AEGON Nederland

Bron: LocalPowerpointpresentatie knowledge. Global power. Guus Schoorlemmer

9

Vanuit de zaal wordt gevraagd waarom de net risk management beoordeling niet in de eerste lijn zit. Schoorlemmer legt uit dat de toetsing of maatregelen voldoen aan de risk appetite zoals neergelegd in de risk policy van AEGON in de tweede lijn zit, omdat de eerste lijn daar niet dagelijks mee bezig is.

17

Sleutelfuncties Solvency II Artikel 44 – Risicomanagement functie Schoorlemmer begint met een bespreking van artikel 44 waarin de risicomanagementfunctie staat beschreven. Deze titel kan verwarring opwekken, want niet alles wat in het artikel genoemd wordt is volgens Schoorlemmer een deel van de risicomanagement functie. De risicobeheersfunctie zoals die is omschreven in artikel 44 is wel een deel van de risicomanagement functie en ligt zuiver in de tweede lijn van het 3 lines of defence model. Het risicobeheerssysteem zoals artikel 4 dat omschrijft ligt echter meer op eerste lijnsniveau en betreft zaken die horen bij het day-to-day runnen van een onderneming. Bij AEGON houdt een risicomanager zich bijvoorbeeld niet bezig met ALM, dat is een taak voor de Capital Management functie. Het hedgen van risico’s wordt beheerst door de eerste lijn. De risicomanager houdt hier toezicht op en toetst of de eerste lijn valide aannames heeft vastgesteld. Daarnaast is ook het vaststellen van de risicostrategie binnen AEGON een taak van de eerste lijn. De tweede lijn toetst en challenged de kaders, maar stelt de strategie niet vast. Deze uiteenzetting roept de vraag op in de zaal of het formuleren van beleidsmaatregelen een taak is van de eerste lijn en of het de tweede lijn is die controleert of deze maatregelen voldoen. Schoorlemmer beantwoordt deze vraag bevestigend en geeft aan dat er binnen AEGON tevens gewerkt wordt met selfassessments waarbij de eerste lijn aangeeft of de controle volgens hen voldoet. De tweede lijn heeft dan het overzicht over de hele business. Schoorlemmer stelt op zijn beurt de vraag hoe dat het zit bij de aanwezige verzekeraars. Worden zaken als ALM, het hedgen van risico’s en het vaststellen van de strategie ook gescheiden van het risicomanagement? Vanuit de zaal komen bevestigende reacties, waarop Schoorlemmer aangeeft dat dit een goede zaak is. Bij zijn weten is dit bij enkele grote verzekeraars nog niet het geval. Van DNB wil men vervolgens weten hoe de DNB deze scheiding van taken ziet. Bezoen en Luijt van DNB geven aan dat de risicomanagementfunctie inderdaad toetsend is en niet uitvoerend. Juist dat toetsende element is de meerwaarde van de risicomanagementfunctie. Artikel 46 – Compliance functie Bij AEGON is de compliance functie onderdeel van de risicomanagement functie en wordt als een van de acht risicofuncties op de tweede lijn beheerst. In dit kader komen vanuit de zaal vragen over de inrichting van het PAP-proces binnen AEGON. Allereerst wordt de vraag gesteld of risicomanagement een veto heeft over een nieuw product en zo ja, of dit betekent dat compliance nu aan het einde van het productontwikkelingsproces zit. Er is inderdaad de mogelijkheid tot het uitspreken van een veto, zo geeft Schoorlemmer aan, maar compliance zit niet alleen aan het einde van het proces. Er is een controleraamwerk dat de eerste lijn over het gehele proces moet toepassen. De riskmanager controleert dit periodiek en rapporteert aan de directie als er zaken niet goed gaan. Er zijn dus waarborgen ingebouwd gedurende het hele PAP-proces. Wel is het zo, aldus Schoorlemmer, dat het nieuwe PAP-proces nog te weinig zit ingebakken. Men ervaart het PAP vaak nog als een vertragende factor. Inhakend daarop wordt vanuit de zaal aangegeven dat het de vraag is vertragend ten opzichte van wat. En is de PAP wel een vertragende factor of juist een ‘abc-tje’? De marketingafdeling wil het product zo snel mogelijk op de markt zetten. Wat voor vertraging leveren controlemiddelen vooraan in het PAP-proces op? Schoorlemmer antwoordt dat voorheen producten inderdaad snel op de markt gezet werden. Echter, toen moesten andere functies achteraf de steken die men in de productontwikkeling had laten vallen herstellen, zodat de vertraging achteraf kwam. Met de invoering van het PAP-proces wordt de vertraging aan het begin van het ontwikkelingsproces ingepland zodat dergelijke situaties voorkomen worden. Er wordt nu immers vanaf het begin overal rekening mee gehouden in plaats van dat alles achteraf ‘opgeruimd’ moest worden. Bij AEGON betekent dit dat een product in een productontwikkelingsproces vijf keer langs de Product Approval Board moet. Snelheid staat dus niet meer voorop, er moeten meer stappen genomen worden dan in het verleden. Wel wordt er voor gezorgd dat de eerste lijn zo min mogelijk belast wordt door de tweede lijn door middel van een geïntegreerd controleraamwerk van de tweede en derde lijn. 18

Hierop wordt vanuit de zaal gevraagd hoe groot de riskmanagementafdeling binnen AEGON eigenlijk is. Bij AEGON werken 22 mensen op risicomanagement niveau op de tweede lijn. Dit zijn allemaal academisch geschoolde mensen die samen vanuit hun eigen expertise en al dan niet doorgegroeid vanuit de eerste lijn een breed en divers gezelschap vormen. Op de vraag of het PAP-proces innovatie remt, geeft Schoorlemmer aan dat binnen AEGON de afdelingen marketing en innovatiestrategie nog steeds bestaan. Deze moeten nu alleen door meer poortjes om een product op de markt te kunnen zetten. Artikel 47 – Interne auditfunctie Schoorlemmer vervolgt zijn verhaal over de sleutelfuncties uit Solvency II met een bespreking van de interne auditfunctie. De omschrijving van artikel 47 is volgens hem duidelijk en zuiver. Met name is van belang dat de auditfunctie (derde lijn) geen andere taken heeft; het combineren van sleutelfuncties kan, maar niet met de interne auditfunctie. Deze toetst immers de effectiviteit van de tweede lijn. De tweede lijn en derde lijn werken wel nauw samen, maar de derde lijn dient onafhankelijk te zijn van de tweede lijn. Artikel 48 - Actuariële functie Deze functie wordt door Schoorlemmer omschreven als ‘de lastigste van de vier’, nu er (te) veel artikel 48 te veel ruimte laat voor interpretatie. Het artikel schaart bovendien een aantal eerstelijnsfuncties onder de actuariële functie. Binnen AEGON wordt er daarom onderscheid gemaakt tussen drie functiescheidingen in de eerste lijn en functiescheidingen op de actuariële lijn. Hierbij is de actuariële functie in vier verschillende functies verdeeld die over vier verschillende afdelingen zijn verspreid. De actuariële functie is hiermee binnen AEGON geen functie, maar een verdeling van vier verantwoordelijkheden.

Bron: Powerpointpresentatie Guus Schoorlemmer

Tot slot wordt gevraagd of de riskmanager rapporteert aan de directie en de Raad van Commissarissen. Schoorlemmer antwoord dat hij rapporteert aan de risk & auditcommissie van de RvC. De CEO en de CFO zijn daarbij aanwezig. Bij de voorbespreking met de commissie zijn zij niet aanwezig, die vindt plaats met alleen de CRO.

19

Gevraagd naar zijn positie ten aanzien van het al dan niet zitting nemen van een CRO in de directie, geeft Schoorlemmer aan dat het binnen AEGON zo is dat de CRO (een tweedelijnsfunctie binnen AEGON) rapporteert aan de CFO (eerste lijn). De CFO zit in de directie, de CRO niet. Nu de CFO op de eerste lijn zit is deze beleidsbepalend. De CRO is dit, als tweedelijnspersoon niet. Tegen deze achtergrond is het dus zuiver als een CRO niet in de directie zit.

20