Straight Through Processing

Vrije Universiteit Amsterdam IT Audit opleiding

Straight Through Processing

Straight Through Processing: geautomatiseerde claimafhandeling bij schadeverzekeraars Naam: Studentnummer: Bedrijfscoach Ernst & Young: Begeleider VU:

ir. E.F. (Ernst) Albers 2033003 ing. R.G.J. (Jeroen) Kuper RE Dr.ir. A. (Abbas) Shahim RE


Voorwoord

Voorwoord

Deze scriptie is geschreven ter afsluiting van de postdoctorale opleiding IT Audit aan de Vrije Universiteit Amsterdam. Het schrijven van deze scriptie is uitdagend en zeer leerzaam geweest, waarbij ik het gevoel heb dat mijn kennis van de materie is toegenomen. Met name de samenhang tussen de theorie en de praktijk heeft mij toepasbare kennis en inzicht opgeleverd welke van grote toegevoegde waarde zijn voor het uitoefenen van mijn beroep. Graag wil ik vanaf deze plaats als eerste Rianne bedanken voor de ruimte die zij mij de afgelopen jaren maar zeker ook de afgelopen periode thuis heeft gegeven om de studie te volgen en deze scriptie te schrijven. Een bijzonder woord van dank gaat verder uit naar Dr. ir. Abbas Shahim RE en ing. Jeroen Kuper RE voor alle coaching en alle momenten van overleg gedurende de totstandkoming van deze scriptie. Tenslotte wil ik mijn ouders en schoonouders, collega’s en vrienden bedanken voor hun ondersteuning en support. Deventer, maart 2012

© E.F. Albers 2012

2


Samenvatting

Samenvatting Bij verzekeraars is een automatiseringsslag bezig om operationele efficiëntie te verbeteren. Straight Through Processing (STP) is de volledige tijdsgebonden automatisering van de bedrijfsprocessen. Bij het claimproces betekent STP de registratie tot en met het tijdig uitbetalen van een schadeclaim zonder menselijke betrokkenheid. Vanuit de Europese Unie wordt in 2014 een richtlijn geïmplementeerd gericht op versterking van het toezicht op verzekeraars: Solvency II. De richtlijn Solvency II moet er voor zorgen dat de financiële risico’s die verzekeraars lopen, accuraat, gedetailleerd en permanent inzichtelijk zijn. De automatiseringsslag door middel van de STP en de wijzigingen in het toezicht op verzekeraars door Solvency II, staan in dit onderzoek centraal aan de hand van de volgende hoofdvraag: “Welke additionele maatregelen dienen bij de toepassing van Straight Through Processing (STP) in een claimproces te worden genomen teneinde te kunnen voldoen aan de eisen van Solvency II en wat is de rol van de IT-auditor daarbij?”. Om een antwoord te geven op de onderzoeksvraag is een literatuurstudie uitgevoerd, waarbij is onderzocht wat STP in het claimproces precies inhoudt. Daarbij is gekeken naar welke risico’s in het claimproces aanwezig zijn en welke mitigerende beheersmaatregelen door verzekeraars zijn genomen. Vervolgens is onderzocht welke aanvullende eisen Solvency II aan de beheersing van het claimproces stelt. In het tweede deel van het onderzoek zijn de uitkomsten van de literatuurstudie getoetst in de praktijk door middel van expertinterviews bij een schadeverzekeraar en Solvency II experts bij Ernst & Young. Toepassing van STP in het claimproces verandert de manier van risicobeheersing. Zichtbare handmatige beheersmaatregelen maken plaats voor minder zichtbare geautomatiseerde beheersmaatregelen. Teneinde het claimproces te kunnen beheersen, dient het exacte claimproces bekend te zijn, om daar vervolgens risico’s bij te kunnen identificeren en beheersmaatregelen voor te implementeren. De additionele eisen vanuit Solvency II zitten niet in de risicobeheersing op zich, maar wel in de aantoonbaarheid van de risicobeheersing. Solvency II vereist zichtbare beheersing van zowel operationele risico’s alsmede van de ITGovernance. Voor de aantoonbare beheersing van de operationele risico’s kan gebruik worden gemaakt van een raamwerk, waarbij aan de hand van het proces de risico’s worden geïdentificeerd. Een raamwerk waarmee de IT-Governance kan worden beheerst is Control objectives for Information and related Technology (CobIT). De IT auditor kan zowel de advies als de attestfunctie vervullen bij de risicobeheersing van STP in het kader van Solvency II. De complexiteit van de implementatie van STP in combinatie met de ruimte voor interpretatie van de principle based vereisten van Solvency II, maken de rol als bewaker of adviseur van de kwaliteit van de opgeleverde producten (adviesfunctie) uitermate geschikt voor de IT-auditor.

© E.F. Albers 2012

3


Inhoudsopgave

Inhoudsopgave 1 1.1 1.2 1.3 1.4 1.5 1.6

Inleiding Aanleiding van het onderzoek Vraagstelling Aanvullende onderzoeksvragen Afbakening Onderzoeksmethode Structuur

2 2.1 2.2 2.3 2.4 2.5

Claimverwerking Inleiding claimproces Beheersmaatregelen claimverwerking Straight Through Processing STP bij claimverwerking Risico’s door STP in claimproces

9 9 11 12 13 13

3 3.1 3.2 3.3 3.4

Risicobeheersing claimproces volgens Solvency II Inleiding Solvency II Contouren van het Solvency II Raamwerk Eisen Solvency II op claimverwerking Confrontatie Solvency II eisen met STP beheersmaatregelen

16 16 16 17 18

4 4.1 4.2

Casestudie Bevindingen claimproces Valideren beheersraamwerk

21 22 23

5

Rol IT Auditor

29

6 6.1 6.2 6.3 6.4

Conclusie en persoonlijke reflectie Beantwoording onderzoeksvraag Beantwoording deelvragen Vervolgonderzoek Persoonlijke reflectie

31 31 31 33 34

Literatuurlijst

5 5 6 6 6 6 8

i

Bijlage 1 STP Risico’s

IV

Bijlage 2 Solvency II eisen

V

Bijlage 3 COBIT model

VI

Bijlage 4 Solvency II beheersraamwerk STP

VII

Bijlage 5 Vragenlijst interviews

VIII

© E.F. Albers 2012

4


1

Inleiding

1.1

Aanleiding van het onderzoek

Hoofdstuk 1 - Inleiding

Schadeverzekeraars staan onder druk om financiële problemen te voorkomen, terwijl de komst van Solvency II de kapitaalsvereisten juist verhoogt. Van oudsher wordt de verzekeringsbranche gekenmerkt door een grote hoeveelheid aan handmatige en arbeidsintensieve taken van polisbeheer tot schadeadministratie. Een grotere operationele efficiëntie en kosten reductie zijn derhalve noodzakelijk. De operationele afdelingen polisbeheer en schadeadministratie zijn het administratieve hart van het verzekeringsbedrijf. Deze afdelingen voeren controles en verwerkingen uit van transacties die garant staat voor het uitgeven en hernieuwen van polissen voor klantendekking. Ze actualiseren gegevens voor acceptatiebeoordeling, maken rekeningen voor klanten aan, stemmen betalingen op elkaar af, betalen commissies, registreren schades, verhalen schades, onderhouden contracten en houden zich bezig met pieken en dalen in de vraag. Daarmee vormen deze afdelingen de motor van de backoffice. De operationele efficiëntie op de polisbeheer afdeling is door toepassing van automatisering grotendeels geoptimaliseerd. Bij de automatisering van het claimproces zijn evenwel nog grote efficiëntieslagen te behalen (Maran & Ravikumar, 2011). De automatiseringsslag om operationele efficiëntie te verbeteren en kosten te verlagen is in de bancaire sector reeds gemaakt onder de noemer Straight Through Processing (STP) (Huang & Chen 2006). Het STP paradigma wordt in de verzekeringsbranche eveneens als een belangrijke oplossingsrichting gekozen voor een (kosten) efficiëntere bedrijfsvoering (Emory, 2010). In de bancaire sector is STP eveneens gebruikt om het operationele risico beter te beheersen (Huang & Chen 2006), onder andere op het gebied van settlement. De Europese Unie wil consumenten beschermen tegen mogelijke solvabiliteitsproblemen bij verzekeraars, daarvoor wordt in 2014 een richtlijn geïmplementeerd gericht op versterking van het toezicht op verzekeraars: Solvency II. De richtlijn Solvency II moet er voor zorgen dat de financiële risico’s die verzekeraars lopen, accuraat, gedetailleerd en permanent inzichtelijk zijn. De impact op verzekeraars is enorm: de balanswaardering verandert en de kapitaaleisen worden complexer. Het gaat om grootschalige aanpassingen van modellen en processen in de gehele organisatie. Risico wordt centraal gesteld in het nieuwe toezichtmodel. Een grotere nadruk komt te liggen op de bedrijfsbrede risicobeheersing. Naast een organisatorisch en procesmatig aspect, worden ook grote eisen aan de IT gesteld. De transformatie van bedrijfsprocessen en IT door de implementatie van STP brengt op het gebied van risicobeheersing in de bedrijfsvoering kansen en uitdagingen met zich mee (de Waal & de Visscher, 2011). Het onderzoek richt zich op de vraag wat de impact is van toepassing van STP in het claimproces op de risicobeheersing in het kader van Solvency II. De vanuit de literatuur geïdentificeerde beheersmaatregelen die nodig zijn om aan de Solvency II vereisten te voldoen worden in de praktijk gevalideerd. Dit leidt tot een model in de vorm van een normatief kader, waaraan verzekeraars moeten voldoen in het kader van Solvency II, wanneer zij STP

© E.F. Albers 2012

5



toepassen in het claimproces. Daarnaast wordt onderzocht of de IT-auditor hierin een rol dient te spelen en welke rol dit dan zou moeten zijn.

1.2

Vraagstelling

Op basis van de in paragraaf 1.1 uiteengezette aanleiding van het onderzoek is de volgende vraagstelling geformuleerd: Welke additionele maatregelen dienen bij de toepassing van Straight Through Processing (STP) in een claimproces te worden genomen teneinde te kunnen voldoen aan de eisen van Solvency II en wat is de rol van de IT-auditor daarbij?

1.3

Aanvullende onderzoeksvragen

Teneinde de onderzoeksvraag te kunnen beantwoorden, zijn de volgende subvragen geformuleerd: 1 Welke beheersmaatregelen in het claimproces zijn genomen door schadeverzekeraars? 2 Wat zijn de relevante kenmerken en eigenschappen van STP en welke beheersmaatregelen zijn nodig als STP wordt toegepast in het claimproces? 3 Welke eisen stelt Solvency II aan risicobeheersing van een op STP gebaseerd claimproces en welke additionele beheersmaatregelen zijn nodig om aan de Solvency II eisen te voldoen? 4 Welke rol dient de IT-auditor te spelen bij de risicobeheersing van een op STP gebaseerd claimproces in het kader van Solvency II?

1.4

Afbakening

Bij het uitvoeren van dit onderzoek zijn de volgende onderzoeksgrenzen gehanteerd: — het onderzoek beperkt zich tot schadeverzekeraars; — het onderzoek beperkt zich tot het claimproces; — het onderzoek is uitsluitend gericht op Solvency II regelgeving; — het onderzoek is gericht op generieke IT-maatregelen, onafhankelijk van de gekozen ITarchitectuur en computersystemen.

1.5

Onderzoeksmethode

Voor het uitvoeren van deze scriptie wordt een empirische onderzoeksaanpak gehanteerd, waarbij een gevarieerde dataverzameling plaatsvindt (Cooper & Schindler, 2003). De gevarieerde manier van dataverzameling als initiële onderzoeksaanpak wordt gekozen, omdat niet vast staat welke informatie over STP en het claimproces relevant en beschikbaar is. Het uiteindelijke theoretische kader bestaat uit de beschrijving van risico’s en beheersmaatregelen in een op STP gebaseerd claimproces. De risico’s worden afgeleid van beschikbare risico’s en beheersmaatregelen uit de literatuur (top down). Na het neerzetten van het theoretische kader, wordt het praktijkonderzoek uitgevoerd (bottom up). In dit onderzoek wordt het theoretische model in de praktijk gevalideerd. Uiteindelijk worden conclusies geformuleerd met betrekking tot noodzakelijke beheersmaatregelen in een op STP gebaseerd claimproces in het kader van Solvency II. In Figuur 1 is de onderzoeksmethode schematisch weergegeven.

© E.F. Albers 2012

6



Figuur 1: Onderzoeksmethode

Hieronder wordt de onderzoeksmethode, zoals die in Figuur 1 staat afgebeeld in meer detail uitgewerkt: 1 Formuleren en verdiepen van de aanleiding, het onderzoeksgebied, de probleemstelling en de onderzoeksvragen. 2

Verzamelen, bestuderen en beschrijven van literatuur op het gebied van STP, Solvency II, risicobeheersing en het claimproces (theoretische verdieping). Voor het uitvoeren van de literatuurstudie wordt gebruik gemaakt van academische en vakliteratuur. De uitkomsten van de literatuurstudie beantwoorden onderzoeksvragen 1, 2, en 3.

3

Uitvoeren van praktijkonderzoek. Het praktijkonderzoek wordt uitgevoerd om de uitkomsten uit het literatuuronderzoek te valideren. Voor het praktijkonderzoek wordt een case gebruikt van een implementatie van een STP pakket bij een schadeverzekeraar. Verschillende betrokkenen bij de implementatie en beheersing van het claimproces worden geïnterviewd.

4

Evalueren van de bevindingen uit het praktijkonderzoek. De validatie van de theorie op basis van de uitkomsten en bevindingen uit het praktijkonderzoek leiden tot een normatief kader, waaraan verzekeraars moeten voldoen in het kader van Solvency II, wanneer zij STP toepassen in het

© E.F. Albers 2012

7



claimproces. Vervolgens wordt ingegaan op de rol van de IT-auditor, waarmee onderzoeksvraag 4 wordt beantwoord. 5

1.6

Het extraheren van conclusies uit bevindingen, analyse en de theorie. Op basis van de bevindingen uit de literatuur en de theorie worden conclusies geformuleerd, alvorens de onderzoeksvraag wordt beantwoord.

Structuur

De opbouw van de scriptie is conform de onderzoeksvragen 1 tot en met 4, zoals deze in paragraaf 1.3 zijn benoemd. In figuur 2 is de opbouw van de scriptie weergegeven. Uitvoeren literatuuronderzoek naar claimverwerking en de invloed van STP op het claimproces. (Hoofdstuk 2) Impact van Solvency II op claimverwerking (Hoofdstuk 3) Validatie van theorie in de praktijk. (Hoofdstuk 4) Rol IT-auditor ten aanzien van risicobeheersing STP in het claimproces in het kader van Solvency II. (Hoofdstuk 5) Conclusie en persoonlijke reflectie (Hoofdstuk 6) Figuur 2: Opbouw scriptie

Referenties naar literatuur, artikelen en internet sites worden in de tekst aangegeven met een vermelding van auteur en jaartal als verwijzing naar de literatuurlijst.

© E.F. Albers 2012

8


Hoofdstuk 2– Claimverwerking

2

Claimverwerking

2.1

Inleiding claimproces

Claims zijn feitelijk compensatieverzoeken van verzekerden aan de verzekeringsmaatschappij voor de schade, die binnen de voorwaarden van de verzekeringspolis vallen. Schade wordt gezien als het verschil tussen de nadeliger positie die ontstaat door het schadebrengende feit en de positie zonder het schadebrengende feit. Schade kan worden ingedeeld in economische schade, personenschade en zaakschade. Personenschade is schade die lichamelijk aan een mens wordt berokkend. Zaakschade is de schade door het beschadigen van een zaak. Economische schade is meestal gederfde winst of omzetschade (Maran & Ravikumar, 2011). Claimverwerking is de vervulling van de verplichting van een verzekeraar om claims, ingediend door een verzekerde, te ontvangen, te onderzoeken en daarop te handelen. In Figuur 3 wordt een grafische weergave van een standaard verwerking van het claimproces, gebaseerd op het model van Maran & Ravikumar (2011), weergegeven.

Figuur 3: Claimproces (Maran & Ravikumar, 2011)

© E.F. Albers 2012

9



De onderscheiden processen in het claimproces, zoals weergeven in figuur 1, worden hieronder in meer detail uitgewerkt. A) Claimregistratie De verzekeringsmaatschappij biedt de verzekerde de mogelijkheid om op een eenvoudige en duidelijke wijze het schadegeval in te dienen via een (elektronisch) schadeformulier. De verzekeraar verstuurt ter kennisgeving aan de verzekerde een bericht of de schademelding in goede orde is ontvangen. B) Polis validatie Van de ingediende schadeclaim wordt gecontroleerd of het binnen de dekking van de polisvoorwaarden valt. Indien de schadeclaim niet binnen de dekking van de polisvoorwaarden valt, wordt de verzekerde daarover geïnformeerd. C) Standaard schadereserve Indien de schadeclaim binnen de dekking van de polisvoorwaarden valt, wordt door de verzekeringsmaatschappij een standaardschadereserve aangemaakt. Schadereserves worden aangelegd om in de toekomst de op het einde van het boekjaar niet geregelde schadegevallen te vergoeden. De juiste bepaling van de schadereserves is van groot belang, niet alleen vanuit boekhoudkundig oogpunt, maar het premieniveau hangt ook rechtstreeks af van de schatting van schadereserves (Stiers et al, 1985). D) Claim validatie / onderzoek De verzekeringsmaatschappij valideert de schadeclaim, toetst of de benodigde documenten aanwezig zijn en zo nodig wordt extra (expert) onderzoek ingezet om de juistheid van de schadeclaim te bepalen. Bij de validatie van de schadeclaim wordt eveneens gecontroleerd op tekenen van fraude. In het proces van claim validatie wordt tevens bepaald in hoeverre het mogelijk is om de schade te verhalen op een derde partij, zogenoemde verhaalschade. De afhandeling van verhaalschade wordt in dit onderzoek niet verder uitgewerkt. E) Autorisatie claim Het toegewezen claimbedrag dient geautoriseerd te worden door een daartoe bevoegd functionaris. De autorisatiebevoegdheden voor de hoogte van het claimbedrag zijn in veel gevallen afhankelijk van de rang van de functionaris. F) Uitbetaling claim Op het moment dat het claimbedrag is geautoriseerd voor betaling kan worden overgegaan tot de betaling van het claimbedrag aan de verzekerde. De schadereserve kan vervolgens worden afgeboekt, omdat aan de betalingsverplichting is voldaan. G) Sluiten claim Het dossier van de schadeclaim wordt gesloten en blijft conform de wettelijke termijn beschikbaar voor inzage. De eventuele consequenties voor de polisvoorwaarden, zoals verval van bonus treden of toepassing van malussen worden doorgevoerd in de administratie.

© E.F. Albers 2012

10


2.2


Beheersmaatregelen claimverwerking

Schadeclaims en de verwerking daarvan zijn de grootste kostenpost voor verzekeraars. Risicobeheersing van het claimproces is dan ook van essentieel belang voor het overleven van verzekeraars (Santomero & Babbel, 1997). Per stap in het claimproces worden beheersmaatregelen getroffen om de risico’s te beheersen. Deze beheersmaatregelen kunnen zowel handmatige, als geautomatiseerde beheersmaatregelen zijn (van Praat & Suerink, 1992). In onderstaande tabel worden per stap de belangrijkste beheersmaatregelen die vanuit de literatuur geïdentificeerd zijn, inzichtelijk gemaakt. In Tabel 1 zijn de risico’s in een claimproces zonder toepassing van STP geïdentificeerd. Teneinde de risico’s te kunnen beheersen zijn beheersmaatregelen geïdentificeerd (Gordon, 2003; Maran & Ravikumar, 2011). Daarbij wordt de aanname gedaan dat in het claimproces zonder STP handmatige beheersmaatregelen worden toegepast.

Risico’s en beheersmaatregelen claimproces Risico # 1.1

Beheersmaatregel

Omschrijving

Omschrijving

Claimregistratie Verzekerden kunnen een claim indienen, terwijl niet alle Controle op volledig en juist ingevuld schadeformulier. data juist en volledig is ingevuld. Controle door claimbehandelaar op vereiste gegevens:

— — — — — — — — —

Polis nummer; naam polishouder; naam claimer / begunstigde; datum optreden schade; omschrijving van de schade; omschrijving van de toedracht; naam intermediair, indien van toepassing; geschatte schadebedrag, indien van toepassing; expertrapport, indien van toepassing.

1.2

Claims worden dubbel geregistreerd.

1.3

Onjuiste invoer van het schadeformulier leidt tot onbetrouwbare data.

2.1

Polisvalidatie Schadeclaims worden ingediend, die niet binnen de dekking Controle of claim in de dekkingsdatum valt. van een verzekerde vallen. Controle of claim onder de polisvoorwaarden valt.

2.2

Verzekerden passen de schademelding zodanig aan, zodat de claim binnen de dekkingsdatum valt.

2.3

Verzekerden waarvan de dekking is opgeschort door betalingsachterstanden, dienen een schadeclaim in.

Controle door de schadebehandelaar op dubbel indienen schadeclaim. Toekennen uniek schadenummer aan dossier. Controle op volledig en juist ingevuld schadeformulier.

Controle op fraude indicatie bij verzekerde De verzekeraar neemt steekproeven op claims, waarbij de verzekerde om bewijsmateriaal wordt gevraagd. Controle op fraude indicatie bij verzekerde

3.1

Controle op betalingsachterstanden verzekerde.

Standaard schadereserve De schade wordt verkeerd ingeschat door de verzekerde, Schadereserve wordt automatisch gecreëerd op basis van waardoor een onjuiste schadereserve wordt gecreëerd. standaard schadebedragen Standaard schadebedragen worden geactualiseerd op basis van werkelijke schadebedragen en. De schadebehandelaar beoordeeld de plausibiliteit van de inschatting van de verzekerde. Claim validatie / Onderzoek

© E.F. Albers 2012

11



Risico’s en beheersmaatregelen claimproces Risico # 4.1

4.2 4.3

5.1

Beheersmaatregel

Omschrijving Werknemers van de verzekeraar hebben belang bij het goedkeuren van een schadeclaim.

Omschrijving Tussen het aannemen, toewijzen en behandelen van schadeclaim bestaat functiescheiding

De verzekeraar voert audits op juiste verwerking van afgehandelde claims. Verzekerden voegen onjuiste bewijs documentatie toe. De schadebehandelaar toetst of alle vereiste documenten aanwezig zijn en correct zijn ingevuld. De ingediende schadeclaim is hoger dan de daadwerkelijk Toegekende schadebedragen kunnen niet hoger zijn dan geleden schade. verzekerde bedragen in de polisvoorwaarden. De verzekeraar neemt steekproeven op claimverzoeken, waarbij de verzekerde om bewijsmateriaal wordt gevraagd. De verzekeraar voert audits op juiste verwerking van afgehandelde claims. Autoriseren claim Werknemers van de verzekeraar hebben belang bij het Tussen toekennen en autoriseren betaling schadeclaim goedkeuren van een schadeclaim. bestaat functiescheiding De verzekeraar voert audits op juiste verwerking van afgehandelde claims.

5.2

Claims worden onterecht geautoriseerd.

6.1

Het onjuiste bedrag wordt uitgekeerd.

Werknemers van de verzekeraar worden gescreend. De hoogte van het te autoriseren schadebedrag is gekoppeld aan het functieniveau. Uitbetalen claim Het uit te betalen bedrag kan niet hoger zijn dan het geautoriseerde bedrag. Bij een afwijking tussen het geautoriseerde bedrag en het uit te betalen bedrag, wordt de betaling gestaakt, totdat de proceseigenaar zijn fiat geeft.

6.2

7.1 7.2

De claim wordt op een onjuist rekeningnummer uitgekeerd.

Eigen risico bedragen worden conform polisvoorwaarden verrekend met uit te betalen claimbedrag. Het rekeningnummer waarop het bedrag wordt uitgekeerd is gelijk aan het rekeningnummer van de betreffende verzekerde. Indien de verzekerde zelf een ander rekeningnummer doorgeeft vindt daarop 4-ogen controle plaats.

Sluiten claim De schadeclaim leidt onterecht niet tot een malus of verval Het verval in treden van de polis van de verzekerde wordt in bonustreden. indien van toepassing aangepast Het dossier van de schadeclaim wordt niet conform De schadeclaim wordt gesloten en conform de wettelijke wettelijk termijn bewaard. termijn gearchiveerd.

Tabel 1: Risico’s en beheersmaatregelen claimproces (Gordon, 2003; Maran & Ravikumar, 2011)

2.3


Straight Through processing is afkomstig uit de beleggingswereld waar rond het jaar 2000 door gewijzigde regelgeving en toenemende concurrentie een noodzaak ontstond om de verwerking van effectenorders te optimaliseren. STP wordt gebruikt als een manier om de tijd tussen de deal en de settlement te verkleinen om daarmee grotere operationele efficiëntie te bereiken, kosten te verlagen en settlement risico te verkleinen (Huang & Chen, 2006). Het concept STP kenmerkt zich als een operationeel bedrijfsproces, dat na de start door een trigger direct en volledig wordt uitgevoerd. Veelal betreft het bedrijfsprocessen met een homogeen, hoog-volumekarakter en zichtbaarheid voor de klant. De selectie van het

© E.F. Albers 2012

12



genoemde type processen wordt ingegeven door de grootst haalbare financiële en concurrentievoordelen (Willems & de Kraker, 2004). Een belangrijk kenmerk van STP is de omschakeling van de batch georiënteerde gegevensverwerking naar de real-time gegevensverwerking. Bij batch georiënteerde gegevensverwerking wordt data verwerkt door het eerst te verzamelen, daarna ergens op te slaan om het vervolgens te verwerken (Inmon et al, 1998). Bij real-time verwerking ligt de nadruk op het tijdsaspect, waarbij een minimale verwerkingsduur wordt bedoeld, die overkomt als directe verwerking (Madison, 2009). Bij real-time gegevensverwerking behoort verouderde data tot het verleden. Vanuit de techniek beschouwd is de basis van STP de interoperabiliteit van systemen. In het bijzonder de verwerking van geautomatiseerde informatiestromen van aanroeping tot uitvoering (Liddle, 2003). In dit onderzoek wordt de volgende definitie voor STP gebruikt: STP behelst de volledige tijdsgebonden automatisering van een bedrijfsproces, dat wil zeggen: zonder menselijke betrokkenheid (van der Aalst & ter Hofstede, 2003).

2.4

STP bij claimverwerking

De verzekeringsbranche staat onder druk van regelgeving, toenemende concurrentie en een snel veranderend distributielandschap. Succes – of zelfs overleven – vereist van verzekeraars aanzienlijk te verminderen in hun kosten, terwijl het leveren van hogere service normen door klanten wordt geëist (bijvoorbeeld door het aanbieden van verzekeringen via een applicatie op de smarthphone). De business case voor optimalisatie van het claimproces is voor verzekeraars dan ook eenvoudig te maken; schadeclaims en de verwerking daarvan zijn de grootste kostenpost voor verzekeraars en daarnaast wordt klanttevredenheid voor een belangrijk deel bepaald door het claimproces. STP is de techniek, die gebruikt wordt om het claimproces te optimaliseren en tegelijkertijd de kosten per claim te verlagen. Voordelen van STP in het claimproces, die vanuit de literatuur worden geïdentificeerd zijn (Huang & Chen, 2006; Maran & Ravikumar, 2011): — doeltreffende en een snellere responstijd bij de klantenservice; — kostenreductie in exploitatie en het beheerproces; — minimalisatie van risico’s bij de claimverwerking; — verhoogde klanttevredenheid; — verbeterde datakwaliteit.

2.5

Risico’s door STP in claimproces

De beschrijving van STP in het claimproces maakt duidelijk, dat de afhankelijkheid van de ITsystemen en de daaruit voortkomende informatievoorziening toeneemt. Beslissingen worden real-time genomen op basis van real-time informatie, waardoor de betrouwbaarheid van de informatie cruciaal is (Flowerday & Solms, 2005). De betrouwbaarheid van informatie kan worden gedefinieerd als juistheid, volledigheid en tijdigheid (NIST, 1995).

© E.F. Albers 2012

13



De waarborgen, die zijn ingesteld om te zorgen dat de bedrijfsprocessen juist verlopen worden aangeduid als interne beheersmaatregelen. Organisaties hebben als onderdeel van hun risicomanagement een stelsel van interne beheersmaatregelen, die bedoeld zijn om de inherente risico’s te mitigeren (Lindberg, 2004). Interne beheersmaatregelen worden onderscheiden in drie soorten (GTAG, 2005): — Preventieve beheersmaatregelen; — Detectieve beheersmaatregelen; — Correctieve beheersmaatregelen. Preventieve beheersmaatregelen voorkomen, dat ongewenste dingen gebeuren. Detectieve beheersmaatregelen monitoren activiteiten om te bepalen, of de preventieve beheersmaatregelen hebben gefaald. Correctieve beheersmaatregelen zetten een conditie terug naar de verwachte staat. De real-time gegevensverwerking bij STP brengt tijdsgebonden risico’s met zich mee. Door de real-time beslissingen en informatievoorziening is het mogelijk, dat beheersmaatregelen die zonder STP als preventief zouden worden gebruikt, met STP alleen nog detectief kunnen worden gebruikt. STP neemt alle handmatige interventies in een proces weg, daardoor verdwijnen eveneens controles in het proces. Het aantal mensen in de organisatie, die een overzicht hebben op de diverse operationele processen is daarmee afgenomen (Aerts, 2001). De complexiteit van STP bij verzekeraars neemt daarbij toe door de veelal verouderde architectuur, waarmee dient te worden geïntegreerd. Daarbij doet zich een verscheidenheid aan operationele risico’s voor. In Bijlage 1 is een tabel opgenomen waarin de algemene risico’s van STP zijn weergegeven. Daaruit blijkt dat de risico’s in drie categorieën kunnen worden verdeeld: 1) Data risico’s, 2) Beheersmaatregelen en 3) IT beschikbaarheid. De categorieën zijn tot stand gekomen op basis van de in de literatuur gevonden risico’s (Bardoloi, 2003; Grody et al, 2005; Khanna, 2008; Rodero et al, 1999; Schiefer & Seufert, 2005 ). De risico’s zoals die zich voordoen in een niet op STP gebaseerd claimproces veranderen niet door STP, echter wel de beheersmaatregelen. De beheersmaatregelen bij een niet op STP gebaseerd claimproces, zoals in Tabel 1, zijn voornamelijk handmatig, terwijl door de toepassing van STP de beheersmaatregelen, voor zover mogelijk, worden geautomatiseerd. In Tabel 2 zijn de aanvullende risico’s die door toepassing van STP in het claimproces ontstaan inzichtelijk gemaakt. Deze risico’s zijn afgeleid van de generieke STP risico’s uit Bijlage 1. Tabel 2 is een aanvulling op Tabel 1, derhalve wordt de nummering van de risico’s uit Tabel 1 in Tabel 2 voortgezet. De maatregelen zijn in Tabel 2, voor zover van toepassing, volledig geautomatiseerd.

© E.F. Albers 2012

14



STP risico’s en beheersmaatregelen claimproces Risico #

Beheersmaatregel

Omschrijving

1.4 1.5

2.4

Omschrijving

Claimregistratie Verzekerden krijgen inzicht in de business rules, doordat De gebruiker krijgt geen terugmeldingen over tolerantie grenzen kunnen worden opgezocht. tolerantiegrenzen. Bij niet beschikbaar zijn van het claimregistratie medium, loopt de verzekeraar reputatieschade. Adequate continuïteitsmaatregelen zijn geïmplementeerd. Polisvalidatie Bij niet beschikbaar zijn van gekoppelde (externe) Schadeclaims worden niet betaalbaar gesteld voordat de systemen worden betalingsachterstanden en fraude benodigde informatie uit gekoppelde systemen is verwerkt. indicaties niet ontdekt. Interfaces met het STP zijn in kaart gebracht en worden op adequate wijze beheerd, waarbij aandacht is voor betrouwbaarheid (juistheid, volledigheid en tijdigheid) en controleerbaarheid. De proceseigenaar wordt geïnformeerd door het systeem, indien de gekoppelde systemen niet beschikbaar zijn.

2.5

Het onjuist wijzigen van een business rule leidt tot het onterecht doorlaten van claims.

-

-

4.4

5.3

5.4 6.3

7.3

Een adequaat wijzigingenproces voor het STP systeem en de daarbij horende business-rules is geïmplementeerd.

Standaard schadereserve -

Claim validatie / Onderzoek Ongeautoriseerde toegang tot business rules leidt tot het De verzekeraar heeft adequate procedures voor logische doorlaten van claims die niet voldoen aan de toegangsbeveiliging en informatiebeveiliging polisvoorwaarden. geïmplementeerd. Autoriseren claim Kennis van verzekerden over de business-rules leidt ertoe De gebruiker krijgt geen terugmeldingen over dat claims worden opgedeeld, zodat ze onder tolerantiegrenzen. autorisatiegrenzen vallen. Verzekerden worden gecontroleerd op fraude-indicatie. De verzekeraar neemt steekproeven op claims, waarbij de verzekerde om bewijsmateriaal wordt gevraagd. Medewerkers hebben onvoldoende kennis om de gehele Medewerkers worden opgeleid om het gehele claimproces claim te kunnen beoordelen, bij uitval. te kunnen overzien. Uitbetalen claim Ongeautoriseerde toegang tot databases van het STP De verzekeraar heeft adequate procedures voor logische systeem leidt tot onjuist uitbetaalde bedragen. toegangsbeveiliging en informatiebeveiliging geïmplementeerd. Sluiten claim Data zijn niet betrouwbaar overgekomen tussen de Beheersmaatregelen om de juistheid, volledigheid en verschillende systemen, waardoor onjuistheden in de tijdigheid van de dataoverdracht te borgen, zijn administratie ontstaan. geïmplementeerd. De proceseigenaar wordt geïnformeerd indien data tussen systemen niet juist en volledig overkomt.

Tabel 2: Aanvullende STP risico’s en beheersmaatregelen STP claimproces (Bardoloi, 2003; Grody et al, 2005; Khanna, 2008;Rodero et al, 1999; Schiefer & Seufert, 2005)

© E.F. Albers 2012

15


Hoofdstuk 3– Risicobeheersing claimproces volgens Solvency II

3

Risicobeheersing claimproces volgens Solvency II

3.1

Inleiding Solvency II

Solvency II is de nieuwe Europese regelgeving voor verzekeraars en herverzekeraars, die naar verwachting vanaf 2014 van kracht gaat. Solvency II is regelgeving die de bestaande Europese richtlijnen voor het verzekeringsbedrijf herschikt in één Kaderrichtlijn en tegelijkertijd wijzigingen voorstelt zodat een overstap wordt gemaakt naar principle-based en risicogebaseerd toezicht. De financiële eisen aan verzekeraars, vastgelegd in de Europese verzekeringsrichtlijnen, stammen uit de jaren zeventig van de vorige eeuw, waarna in 2002 nog enkele aanpassingen zijn gedaan (Solvency I). Alhoewel tussentijds aanvullende regels zijn opgesteld is het huidige toezichtkader voor verzekeraars onvoldoende uitgerust voor de huidige toezichteisen. De financiële crisis heeft dit beeld nog eens bevestigd. De invoering van Solvency II beoogt hier verandering in te brengen. Het Solvency II project leidt tot een nieuw toezichtkader en solvabiliteitsraamwerk, gebaseerd op marktconsistente waardering. Met Solvency II krijgt het toezicht op de risico's, die een verzekeraar loopt en de beheersing daarvan ook een meer centrale rol. De financiële eisen zullen de risico's, die de verzekeraars lopen beter weerspiegelen. Verder beoogt Solvency II betere aansluiting bij marktontwikkelingen, als ook bij het interne risicomanagement van verzekeraars. De nieuwe Kaderrichtlijn Solvency II gaat uit van maximale harmonisatie. Dit betekent, dat de Europese regels niet alleen neerslaan in Nederlandse weten regelgeving, maar in alle landen van de Europese Economische Ruimte (EU plus IJsland, Liechtenstein en Noorwegen). Daarmee kan het gelijkspeelveld in Europa beter bewaakt worden, met als doel een gelijke bescherming van polishouders in heel Europa (DNB, 2011).

3.2

Contouren van het Solvency II Raamwerk

De opbouw van Solvency II is geïnspireerd op Basel II en kent drie pijlers die onderling samenhangen: • kwantitatieve eisen (pijler 1) • kwalitatieve eisen (pijler 2) • marktdiscipline en toezichtrapportage (pijler 3) De kwantitatieve eisen omvatten de technische voorzieningen, een minimale kapitaalseis en een risicogevoelige kapitaalseis. Deze eisen weerspiegelen, anders dan in Basel II, voor zover mogelijk alle kwantificeerbare risico's van verzekeraars. De tweede pijler focust op het risicomanagement en de beheerste bedrijfsvoering van een verzekeraar. In de derde pijler worden de rapportages van verzekeraars aan het publiek en de toezichthouder geregeld. Onder Solvency II zullen meer publicatie verplichtingen gelden voor verzekeraars (en ook voor toezichthouders). Solvency II beschrijft ook het toezichtproces, dat aangrijpt op alle drie de pilaren. In figuur 4 wordt het Solvency II raamwerk visueel weergegeven.

© E.F. Albers 2012

16



Figuur 4: Pilars Solvency II (Verbond van Verzekeraars, 2011)

3.3

Eisen Solvency II op claimverwerking

Solvency II stelt met name eisen aan de beheersing van IT: de zogenaamde IT-Governance. Vanuit de Solvency II directive wordt in artikel 41 aangegeven, dat verzekeraars over een effectief systeem van governance dienen te beschikken. Het systeem van governance dient te bestaan uit de volgende vier elementen: risk management, internal control, internal audit en uitbesteding. Het element risk management wordt beschreven bij pijler 2 onder beheersing van operationele IT risico’s. De elementen internal control en internal audit zullen gezien de hoge graad van automatisering steunen op IT. Daarbij zal de aandacht uitgaan naar de entity level controls, IT general controls en geautomatiseerde beheersmaatregelen. Adequate beheersing van IT is derhalve essentieel (Van der Meer, 2009). Uitbesteding van operationele processen mag niet leiden tot verminderde kwaliteit van het governance systeem, het substantieel vergroten van de operationele risico’s en/of ondermijnen van een continue en adequate service aan verzekerden (CEIOPS, 2008). De eerste pijler van Solvency II bevat waarderingsstandaarden voor activa en verplichtingen en geeft de kapitaaleisen, waaraan verzekeraars moeten voldoen om het hoofd te kunnen bieden aan verzekeringstechnische, krediet-, markt- en operationele risico´s. Pijler 1 kent twee kernbegrippen voor wat betreft de kapitaalvereisten: de Minimum Capital Requirement (MCR) en de Solvency Capital Requirement (SCR). In deze eerste pijler wordt gedefinieerd op welke wijze de MCR en SCR worden vastgesteld. De mogelijkheden zijn daarbij tweeledig: 1) op grond van een standaardmodel of 2) een zelf ontwikkeld en goedgekeurd model, waarin de specifieke risico’s van de (deel)portefeuilles (verzekeringen) zijn opgenomen. Deze eerste pijler heeft daarmee geen directe invloed op de beheersing van het claimproces (Heuvelink & Huug, 2011).

© E.F. Albers 2012

17



De tweede pijler omvat het toezichtproces, dat zich richt op het beoordelen van de toereikendheid van kapitaal- en risico management systemen en processen. Van verzekeraars wordt verlangd, dat zij een volledig inzicht hebben in de operationele risico’s, die zij lopen en die risico’s beheersen. De hoge automatiseringsgraad van STP in het claimproces stelt verzekeraars bloot aan operationele (IT) risico’s met financiële impact. In het kader van de beheersing van de IT-aspecten van operationele risico’s dient te worden gedacht aan entity level controls (geformaliseerde en geïmplementeerde IT-strategie, beleid, planning en informatiebeveiliging), IT general controls (logische toegangsbeveiliging, wijzigingenbeheer en continuïteitsaspecten) en geautomatiseerde beheersmaatregelen (applicatieve controles ter beheersing van specifieke operationele risico’s) (Van der Meer, 2009). De derde pijler bevat zwaardere eisen, betreffende financiële en risico rapportages van verzekeraars, met als doel meer transparantie naar de buitenwereld en de toezichthouder. Deze eisen aan rapportages brengen voor het claimproces op verschillende gebieden problemen met zich mee. De belangrijkste zijn (Newman, 2011): — aantoonbare data kwaliteit, accuraatheid en integriteit; — snelheid van dataverwerking; — snelheid van rapporteren. Solvency II raakt in het claimproces het strategische risicomanagement en het operationele risicomanagement (pijler 2), de datakwaliteitseisen (pijler 3) en verantwoording in rapportages (pijler 3). In Bijlage 2 is een tabel opgenomen waarin de algemene eisen die vanuit Solvency II aan IT worden gesteld, per pijler zijn geplot.

3.4

Confrontatie Solvency II eisen met STP beheersmaatregelen

De eisen vanuit Solvency II zijn gericht op de beheersing van IT. CobIT (Control objectives for Information and related Technology) is de leading practice voor het beheersen van IT (Shahim, 2009). Het raamwerk is vanaf 1994 ontwikkeld door de Information Systems Audit and Control Association (ISACA) en is een open, internationaal gehanteerde standaard voor het gestructureerd inrichten en beoordelen van de geautomatiseerde informatievoorziening. Het raamwerk kan worden gezien als de IT specifieke invulling van het COSO raamwerk. In de huidige versie (CobIT 4.11), uitgegeven in 2007 wordt het voldoen aan wet en regelgeving benadrukt, worden handvatten geboden om IT risico’s te mitigeren en het kan gebruikt worden als een model, wanneer een revisie van een organisatie haar controlemodel aanstaande is. CobIT hangt derhalve nauw samen met het begrip IT Governance. Het COBIT raamwerk onderscheidt 318 beheersdoelstellingen, die zijn gerangschikt naar vier domeinen. Deze zijn vervolgens weer onderverdeeld in 34 IT-processen (IT Governance Institute, 2007): — Plan and Organise (PO); — Acquire and Implement (AI); — Deliver and Support (DS); — Monitor and Evaluate (ME).

1

De release van CobIT 5.0 staat gepland voor het 2e kwartaal van 2012.

© E.F. Albers 2012

18



Het CobIT raamwerk is op hoofdlijnen weergegeven in Bijlage 3. Hierin is aangegeven, hoe de vier domeinen samenhangen met de 34 IT-processen. CobIT is toepasbaar voor compliance raamwerken (Shahim, 2009), waarbij de opmerking gemaakt dient te worden dat de invulling van het raamwerk landen organisatieafhankelijk is. Voor dit onderzoek is het van belang te onderzoeken welke eisen Solvency II specifiek aan een STP claimproces stelt. Daarvoor is het van belang om een raamwerk te hebben waarin de eisen van Solvency II tegen de risico’s van STP in het claimproces kunnen worden afgezet. Daarnaast dient het raamwerk inzicht te bieden met welke CobIT referenties de Solvency II eisen kunnen worden beheerst. In Bijlage 4 is een raamwerk opgenomen waarin de algemene eisen die vanuit Solvency II aan IT worden gesteld afgezet worden tegen de algemene STP risico’s. De CobIT referenties, waarmee aan de eisen voldaan kan worden en waarmee de risico’s gemitigeerd kunnen worden zijn eveneens opgenomen in Bijlage 4. In Tabel 3 zijn de specifieke compliancy eisen vanuit Solvency II voor het claimproces opgenomen. De eisen zijn geformuleerd als zijnde een risico van het niet voldoen aan de eis. De eisen zijn afgeleid van de generieke Solvency II risico’s uit Bijlage 2. Door de eisen als risico te formuleren, kan Tabel 3 worden beschouwd als een aanvulling op de risico’s en beheersmaatregelen uit Tabellen 1 en 2. De nummering van de risico’s uit Tabel 2 wordt in Tabel 3 voortgezet. De CobIT referenties, waarmee aan de Solvency II eisen voldaan kan worden en waarmee de risico’s gemitigeerd kunnen worden, zijn opgenomen in de kolom ‘CobIT referentie(s)’.

Solvency II eisen en beheersmaatregelen STP claimproces Solvency II Eis (Risico) # 1.6

Beheersmaatregel

CobIT

Omschrijving

Referentie(s)

Omschrijving De kwaliteit van de data bij de claimregistratie is niet aantoonbaar juist, tijdig en volledig.

Claimregistratie Claims krijgen unieke oplopende schadenummers.

AI1, AI2, AI3.

De proceseigenaar wordt geïnformeerd door het systeem, indien de claimregistratie niet volledig is. Bij de invoer van data vinden juistheid en plausibiliteitcontroles plaats. Polisvalidatie -

-

-

3.2

Standaard schadereserve Er kan niet tijdig, juist en volledig gerapporteerd Beheersmaatregelen om de volledigheid van de worden over de ontstane schadelast. dataoverdracht te borgen, zijn geïmplementeerd. Beheersmaatregelen om de juistheid van de dataoverdracht te borgen, zijn geïmplementeerd.

DS9, DS11,ME3, ME4.

Een rapportageproces is ingericht die voorziet in tijdige en betrouwbare rapportages. -

-

-

-

-

-

7.4

Er kunnen niet tijdig, juiste en volledige rapportages over de uitbetaalde schadelast

Claim validatie / Onderzoek Autoriseren claim Uitbetalen claim -

-

Sluiten claim

© E.F. Albers 2012

Beheersmaatregelen om de volledigheid van de dataoverdracht te borgen, zijn geïmplementeerd.

DS9, DS11,ME3,

19



Solvency II eisen en beheersmaatregelen STP claimproces Solvency II Eis (Risico) #

Omschrijving worden vervaardigd.

Beheersmaatregel

CobIT

Omschrijving

Referentie(s) ME4.

Beheersmaatregelen om de juistheid van de dataoverdracht te borgen, zijn geïmplementeerd. Een rapportageproces is ingericht die voorziet in tijdige en betrouwbare rapportages.

7.5

Het STP systeem en de aanpalende systemen maken geen onderdeel uit van het internal control framework.

Een internal control framework, adequate rapportagelijnen en een permanente compliancefunctie zijn ingericht.

ME1, ME2, ME3, ME4.

7.6

De toepassing van STP in het claimproces past niet binnen de IT strategie en het beleid van de verzekeraar.

De verzekeraar beschikt over een geformaliseerde en geïmplementeerde IT-strategie die aansluit op het gebruik van STP in het claimproces.

PO1, PO2, PO3, PO4, PO5, PO6, PO7, PO8, PO9, PO10.

De verzekeraar heeft een van de IT-strategie afgeleid en geïmplementeerd beleid, waar STP in het claimproces een integraal onderdeel van uit maakt. De IT-planning sluit aan bij het geformuleerde ITbeleid.

Tabel 3: Solvency II eisen en beheersmaatregelen STP claimproces

De aanvullende eisen vanuit Solvency II op een op STP gebaseerd claimproces hebben betrekking op claimregistratie, standaardschadereserve en sluiten van de claim. De eisen hebben betrekking op het aantoonbaar kunnen beheersen van de risico’s en daarover kunnen rapporteren. In de casestudie, die in Hoofdstuk 4 wordt uitgewerkt, wordt het beheersraamwerk, die wordt samengesteld uit de Tabellen 1,2 en 3, gevalideerd.

© E.F. Albers 2012

20


4

Hoofdstuk 4– Casestudie

Casestudie

In de vorige hoofdstukken is aangegeven, wat vanuit de literatuur de vereisten aan het toepassen van STP in het claimproces zijn en welke aanvullende beheersmaatregelen nodig zijn, teneinde te voldoen aan de eisen van Solvency II. Aan de hand van een praktijkcasus zullen de uitkomsten uit het literatuuronderzoek worden gevalideerd op basis van de waarnemingen in de praktijk. In de hierna volgende casusbeschrijving staat een relatief kleine schadeverzekeraar centraal. De verzekeraar heeft haar gehele back-office gebouwd in de jaren zeventig van de vorige eeuw en in 2010 vervangen door een applicatie die STP mogelijk maakt. Voor dit praktijkonderzoek is vooral gekeken naar de implementatie van de schadeverwerkingsmodule, de verwerking in de financiële programma’s en de informatievoorziening in het datawarehouse. Gezien de vertrouwelijkheid van de gegevens in de casestudie zijn de resultaten geanonimiseerd. Het anonimiseren van de gegevens heeft geen invloed op de resultaten en de leesbaarheid. Tijdens het praktijkonderzoek zijn in totaal zes interviews gehouden met de volgende functionarissen: — Schade-expert; — Hoofd financiële afdeling; — Risk manager; — IT manager; — Implementatieconsultant voor STP applicatie; — Solvency II kennisleider vanuit Ernst & Young, betrokken bij STP implementaties. Deze functies zijn gekozen vanwege de diverse invalshoeken op het onderwerp STP. De schade-expert heeft specifieke kennis op het gebied van operationele risico’s bij de verwerking van schadeclaims. Het hoofd van de financiële afdeling is voornamelijk betrokken bij de beheersing van de risico’s met betrekking tot de juistheid en volledigheid van de financiële verslaglegging en verantwoording daarvan. Vanwege de betrokkenheid bij de risico’s binnen de verzekeraar is de riskmanager gekozen. De IT manager is geïnterviewd vanwege de mogelijke impact van STP op zijn afdeling. De implementatieconsultant is gekozen vanwege de inzichten in de specifieke IT risico’s van STP. De Solvency II kennisleider vanuit Ernst & Young is gekozen ter validatie van de risicomodellen en specifieke Solvency II elementen daarbinnen. Bij het houden van de interviews zijn de in Hoofdstuk 2 onderscheiden processen in het claimproces als leidraad gebruikt. De gebruikte vragenlijst is opgenomen in Bijlage 5. De vragenlijst is tot stand gekomen door de onderzoeksvragen te vertalen in interviewvragen. Bij de totstandkoming van de vragenlijst is rekening gehouden met de gekozen geïnterviewden, waardoor vooral open vragen zijn opgesteld. Voor specifieke onderdelen worden gerichte vragen gebruikt (Cooper & Schindler, 2003) met als doel de onderzoeksvragen te beantwoorden. Per geïnterviewde is het accent van het interview gelegd op zijn specialisme. Naast het houden van interviews is gebruik gemaakt van risicomatrices die bij de implementatie van het STP pakket zijn opgesteld door de verzekeraar.

© E.F. Albers 2012

21


4.1


Bevindingen claimproces

Hieronder volgt een samenvatting van de bevindingen per onderscheiden stap in het claimproces. Deze bevindingen zijn vergeleken met de Solvency II eisen en STP beheersmaatregelen uit het literatuuronderzoek. Opvallende zaken en eventuele relevante verschillen tussen literatuur en praktijk worden toegelicht. Claimregistratie Het beschikbaar stellen van de website om schades te melden brengt vanuit een IT perspectief weinig verandering met zich mee, doordat het al mogelijk is om de polis via internet af te sluiten. De werklast voor de schadeafdeling wordt wel significant teruggebracht; de klant belt niet meer om een schadeformulier op te vragen, het formulier hoeft niet meer opgestuurd te worden, het schadeformulier hoeft niet meer ingescand of overgetypt te worden en er hoeft geen intake van de schade meer plaats te vinden. Het risico dat verzekerden business rules gaan uittesten wordt onderkend. De verzekeraar is bezig om voor dat risico een nieuwe beheersmaatregel te implementeren. De beheersmaatregel houdt in dat het ‘klik-gedrag’ van de verzekerde op de website wordt gevolgd. Op het moment dat de verzekerde bijvoorbeeld vaak tussen schermen heen en weer gaat, zal de schadeclaim uitvallen voor handmatige beoordeling. Polis validatie De risico’s die vanuit de literatuur zijn geïdentificeerd, worden onderkend. Evenwel waren procedures voor wijzigingbeheer, logische toegangsbeveiliging en continuïteit, sowieso al erg belangrijk voor de verzekeraar. De complexiteit van de beheersing, door de komst van het STP pakket, is vooral toegenomen doordat diensten bij meerdere nieuwe leveranciers worden afgenomen. Voor hardware hosting, technisch beheer en functioneel beheer zijn nieuwe partijen geselecteerd. De coördinatie van alle betrokken partijen vergt een andere en onbekende rol voor de IT-organisatie. Creatie standaard schadereserve Het afdwingen dat klanten informatie juist en volledig invullen is een kwestie van instellen en afstellen van business-rules. Hetzelfde geldt ook bij het online afsluiten van de polis. De schadereserve is een belangrijke stuurvariabele in het proces. Op het moment dat de schadereserve, of daarvan afgeleide stuurgetallen, afwijkt van het normale patroon kan in het validatie en autorisatie proces worden ingegrepen, door bijvoorbeeld van meer schades bewijsmateriaal op te vragen. Claim validatie / onderzoek Voor het invoeren van STP worden alleen simpele producten geselecteerd, waarbij de complexiteit van de schade leidend is. Bij het wel of niet automatisch afhandelen van de claim zijn drempelbedragen ingesteld. Boven de drempelwaarde dient er bewijsmateriaal naar de verzekeraar te worden verstuurd, alvorens de claim wordt geaccepteerd. Daarnaast wordt op door het systeem op polisniveau beoordeeld of er al vaker claims in voorgaande periodes zijn ingediend, bij te hoge of teveel declaratie valt de claim uit voor handmatige beoordeling.

© E.F. Albers 2012

22



Een beheersmaatregel die niet vanuit de literatuur is geïdentificeerd, is het aansluiten op schadetrends. Indien bijvoorbeeld een substituut voor een populair elektronica-apparaat wordt uitgebracht, kan de business-rule zo worden ingesteld dat claims voor het oude apparaat uitvallen voor handmatige beoordeling. Autorisatie claim Medewerkers die uitgevallen claims moeten autoriseren kunnen hun aandacht meer besteden aan complexe gevallen, doordat de eenvoudigere gevallen automatische worden afgehandeld. Medewerkers die het gehele schadeproces kunnen overzien en daarmee de risico’s kunnen inschatten, worden evenwel steeds schaarser door de toenemende complexiteit. Risk managers worden derhalve steeds meer betrokken bij wijzigingen in polisvoorwaarden en de doorvertaling daarvan in (schade) business-rules. Uitbetaling claim De betalingen van claims worden nog steeds in batches verwerkt en niet als een STP proces. De beheersing van de uitbetaling van claims verandert derhalve niet door de komst van STP in het claimproces. Alhoewel het technisch mogelijk zou zijn om uitbetalingen op te nemen in het STP proces, blijft de beoordeling van de totaal uit te betalen bedragen een beheersmaatregel waar de verzekeraar niet vanaf wil stappen. Sluiten claim Bij de verantwoording over het claimproces is de invloed van Solvency II waarneembaar. De aantoonbare juistheid en volledigheid van rapportages over de schadelasten vergen grote inspanningen van de organisatie. Behalve dat juistheid en volledigheid van interfaces naar het datawarehouse moet worden aangetoond, dient de beheersing van operationele risico’s in het claimproces te worden aangetoond. Het aantoonbaar maken van de volledigheid van de risicoanalyse is daarbij complex. De invoering van STP draagt wel bij aan de haalbaarheid van de tijdige oplevering van verantwoordingsrapportages, daarnaast kunnen business-rules de datakwaliteit eveneens verhogen.

4.2

Valideren beheersraamwerk

Op basis van de uitkomsten van het praktijkonderzoek wordt het beheersraamwerk gevalideerd. De wijzigingen die voortkomen uit de confrontatie tussen de uitkomsten van het literatuuronderzoek en het praktijkonderzoek zijn blauwgedrukt in Tabel 4 weergegeven. Tabel 4 is samengesteld uit Tabellen 1, 2 en 3. Aan Tabellen 1 en 2 zijn CobIT referenties toegevoegd, teneinde te komen tot een uniform beheersraamwerk. Tevens is de formulering van de beheersmaatregelen uit Tabel 1 aangepast van handmatige naar geautomatiseerde beheersmaatregelen, zodat het beheersraamwerk relevant is voor STP in het claimproces.

© E.F. Albers 2012

23



STP beheersraamwerk claimproces Risico # 1.1

Omschrijving Verzekerden kunnen een claim indienen, terwijl niet alle data juist en volledig is ingevuld.

1.2

Claims worden dubbel geregistreerd.

1.3

Onjuiste invoer van het schadeformulier leidt tot onbetrouwbare data.

Beheersmaatregel

CobIT

Omschrijving

Referentie(s)

Claimregistratie Controle op volledig en juist ingevuld schadeformulier. Controle op vereiste gegevens:

— — — — — — — —

Polis nummer;

—

expertrapport, indien van toepassing.

A11, DS11, DS13.

naam polishouder; naam claimer / begunstigde; datum optreden schade; omschrijving van de schade; omschrijving van de toedracht; naam intermediair, indien van toepassing; geschatte schadebedrag, indien van toepassing;

Controles op dubbel indienen schadeclaim.

AI1, DS11.

Toekennen uniek schadenummer aan dossier.

1.4 1.5

1.6

Verzekerden krijgen inzicht in de business rules, doordat tolerantie grenzen kunnen worden opgezocht. Bij niet beschikbaar zijn van het claimregistratie medium, loopt de verzekeraar reputatieschade. De kwaliteit van de data bij de claimregistratie is niet aantoonbaar juist, tijdig en volledig.

Controle op volledig en juist ingevuld schadeformulier. De intefaces tussen de verschillende systemen zijn in kaart gebracht en de risico’s met betrekking tot juistheid volledigheid en tijdigheid zijn geïdentificeerd. Voor elk risico zijn beheersmaatregelen opgenomen. De gebruiker krijgt geen terugmeldingen over tolerantiegrenzen. Adequate continuïteitsmaatregelen zijn geïmplementeerd. Claims krijgen unieke oplopende schadenummers. De proceseigenaar wordt geïnformeerd door het systeem, indien de claimregistratie niet volledig is.

AI1, DS11, AI3, ME2, ME3, ME4.

AI6, DS5, ME1. PO2, AI6, DS1, DS3, DS4, DS11, ME1. AI1, AI2, AI3.

Bij de invoer van data vinden juistheid en plausibiliteitcontroles plaats. 2.1

Schadeclaims worden ingediend, die niet binnen de dekking van een verzekerde vallen.

Polisvalidatie Controle of claim in de dekkingsdatum valt.

AI1, AI2.

Controle of claim onder de polisvoorwaarden valt. Controle op fraude indicatie bij verzekerde.

2.2

Verzekerden passen de schademelding zodanig aan, zodat de claim binnen de dekkingsdatum valt.

De verzekeraar neemt steekproeven op claims, waarbij de verzekerde om bewijsmateriaal wordt gevraagd. Controle op fraude indicatie bij verzekerde

PO7, PO9, AI4, DS11, ME1, ME2.

2.3

Verzekerden waarvan de dekking is opgeschort door betalingsachterstanden, dienen een schadeclaim in. Bij niet beschikbaar zijn van gekoppelde (externe) systemen worden betalingsachterstanden en fraude indicaties niet ontdekt.

Controle op betalingsachterstanden verzekerde.

AI1, AI2.

Schadeclaims worden niet betaalbaar gesteld voordat de benodigde informatie uit gekoppelde systemen is verwerkt. Interfaces met het STP zijn in kaart gebracht en worden op adequate wijze beheerd, waarbij aandacht is voor betrouwbaarheid (juistheid, volledigheid en tijdigheid) en controleerbaarheid.

PO2, AI6, DS1, DS3, DS4, DS5,ME1.

2.4

© E.F. Albers 2012

24



STP beheersraamwerk claimproces Risico #

Omschrijving

2.5

Het onjuist wijzigen van een business rule leidt tot het onterecht doorlaten van claims.

2.6

Uitbesteding van diensten leidt tot verhoogde risico’s in het claimproces.

3.1

Beheersmaatregel

CobIT

Omschrijving De proceseigenaar wordt geïnformeerd door het systeem, indien de gekoppelde systemen niet beschikbaar zijn.

Referentie(s)

Een adequaat wijzigingenproces voor het STP systeem en bijbehorende business-rules is geïmplementeerd. Een adequaat wijzigingenproces van de businessrules is geïmplementeerd. Over de uitbesteding van technisch of functioneel beheer zijn afspraken over taken, bevoegdheden, verantwoordelijkheden en serviceniveaus gemaakt met de dienstverlener. De verzekeraar monitort de prestaties van de dienstverlening.

AI5.

Standaard schadereserve De schade wordt verkeerd ingeschat door de Schadereserve wordt automatisch gecreëerd op verzekerde, waardoor een onjuiste schadereserve basis van standaard schadebedragen wordt gecreëerd. Standaard schadebedragen worden geactualiseerd

DS1, DS2.

AI1, DS9, DS11,ME3, ME4

op basis van werkelijke schadebedragen en De plausibiliteit van de inschatting van de verzekerde wordt beoordeeld. 3.2

Er kan niet tijdig, juist en volledig gerapporteerd worden over de ontstane schadelast

Beheersmaatregelen om de volledigheid van de dataoverdracht te borgen, zijn geïmplementeerd. Beheersmaatregelen om de juistheid van de dataoverdracht te borgen, zijn geïmplementeerd.

4.1

4.2 4.3

Een rapportageproces is ingericht die voorziet in tijdige en betrouwbare rapportages. Claim validatie / Onderzoek Werknemers van de verzekeraar hebben belang bij Tussen het aannemen, toewijzen en behandelen het goedkeuren van een schadeclaim. van schadeclaim bestaat functiescheiding

Verzekerden voegen onjuiste bewijs documentatie toe. De ingediende schadeclaim is hoger dan de daadwerkelijk geleden schade.

De verzekeraar voert audits op juiste verwerking van afgehandelde claims. Er wordt getoetst of alle vereiste documenten aanwezig zijn en correct zijn ingevuld Toegekende schadebedragen kunnen niet hoger zijn dan verzekerde bedragen in de polisvoorwaarden. De verzekeraar neemt steekproeven op claimverzoeken, waarbij de verzekerde om bewijsmateriaal wordt gevraagd.

4.4

5.1

De verzekeraar voert audits op juiste verwerking van afgehandelde claims. Ongeautoriseerde toegang tot business rules leidt De verzekeraar heeft adequate procedures voor tot het doorlaten van claims die niet voldoen aan logische toegangsbeveiliging en de polisvoorwaarden. informatiebeveiliging geïmplementeerd. Autoriseren claim Werknemers van de verzekeraar hebben belang bij Tussen toekennen en autoriseren betaling het goedkeuren van een schadeclaim. schadeclaim bestaat functiescheiding De verzekeraar voert audits op juiste verwerking van afgehandelde claims.

5.2

Claims worden onterecht geautoriseerd.

5.3

Kennis van verzekerden over de business-rules

© E.F. Albers 2012

AI1, DS9, DS11,ME3, ME4.

AI3, ME1, ME2, ME3.

AI3. PO4, PO6, PO7, PO8, PO9,AI4, ME1, ME2, ME3, ME4.

DS5.

AI3, DS7, ME1, ME2, ME3.

Werknemers van de verzekeraar worden gescreend. De hoogte van het te autoriseren schadebedrag is gekoppeld aan het functieniveau.

AI1, AI2, AI3, ME1. ME2.

De gebruiker krijgt geen terugmeldingen over

AI1, DS5,

25




Omschrijving leidt ertoe dat claims worden opgedeeld, zodat ze onder autorisatiegrenzen vallen.

Beheersmaatregel

CobIT

Omschrijving

Referentie(s) DS9, ME1, ME2.

tolerantiegrenzen. Verzekerden worden gecontroleerd op fraudeindicatie. De verzekeraar neemt steekproeven op claims, waarbij de verzekerde om bewijsmateriaal wordt gevraagd. Bij het invoeren van de schadeclaim wordt het klikgedrag geanalyseerd. Schademeldingen waarbij meer dan gemiddeld wordt gewijzigd en tussen invoervelden wordt versprongen, vallen uit voor handmatige acceptatie. Bij het invoeren van de claim wordt gecontroleerd of de schademelding betrekking heeft op actuele risicogevoelige schadetrends. Dergelijke schademeldingen vallen uit voor handmatige beoordeling en krijgen een grotere kans om in de steekproef te worden opgenomen.

5.4

Medewerkers hebben onvoldoende kennis om de gehele claim te kunnen beoordelen, bij uitval.

Medewerkers worden opgeleid om het gehele claimproces te kunnen overzien.

AI4, DS7, PO11, DS7.

Door middel van RACI tabellen worden taken, verantwoordelijkheden en bevoegdheden over onderdelen in het claimproces inzichtelijk gemaakt. Uitbetalen claim 6.1

Het onjuiste bedrag wordt uitgekeerd.

Het uit te betalen bedrag kan niet hoger zijn dan het geautoriseerde bedrag.

6.2

De claim wordt op een onjuist rekeningnummer uitgekeerd.

6.3

Ongeautoriseerde toegang tot de database van het STP systeem leidt tot onjuist uitbetaalde bedragen.

7.1

De schadeclaim leidt onterecht niet tot een malus of verval in bonustreden. Het dossier van de schadeclaim wordt niet conform wettelijk termijn bewaard. Data zijn niet betrouwbaar overgekomen tussen de verschillende systemen, waardoor onjuistheden in de administratie ontstaan.

7.2 7.3

Bij een afwijking tussen het geautoriseerde bedrag en het uit te betalen bedrag, wordt de betaling gestaakt, totdat de proceseigenaar zijn fiat geeft. Eigen risico bedragen worden conform polisvoorwaarden verrekend met uit te betalen claimbedrag. Het rekeningnummer waarop het bedrag wordt uitgekeerd is gelijk aan het rekeningnummer van de betreffende verzekerde. Indien de verzekerde zelf een ander rekeningnummer doorgeeft vindt daarop 4-ogen controle plaats. De verzekeraar heeft adequate procedures voor logische toegangsbeveiliging en informatiebeveiliging geïmplementeerd.

Sluiten claim Het verval in treden van de polis van de verzekerde wordt indien van toepassing aangepast De schadeclaim wordt gesloten en conform de wettelijke termijn gearchiveerd. Beheersmaatregelen om de juistheid, volledigheid en tijdigheid van de dataoverdracht te borgen, zijn geïmplementeerd. De proceseigenaar wordt geïnformeerd indien data tussen systemen niet juist en volledig overkomt.

7.4

Er kunnen niet tijdig, juiste en volledige rapportages over de uitbetaalde schadelast worden vervaardigd.

Beheersmaatregelen om de juistheid en volledigheid van de dataoverdracht te borgen, zijn geïmplementeerd. Een rapportageproces is ingericht die voorziet in tijdige en betrouwbare rapportages.

AI1, AI2, AI3.

AI1, AI2, AI3.

DS5.

AI3, M1. DS11. AI1, DS9, DS11,ME3, ME4 ME2, ME3, ME4. AI1, DS9, DS11,ME3, ME4 ME2, ME3, ME4.

De intefaces tussen de verschillende systemen zijn

© E.F. Albers 2012

26




Beheersmaatregel

Omschrijving

CobIT

Omschrijving in kaart gebracht en de risico’s met betrekking tot juistheid volledigheid en tijdigheid zijn geïdentificeerd. Voor elk risico zijn beheersmaatregelen opgenomen.

Referentie(s)

7.5

Het STP systeem en de aanpalende systemen maken geen onderdeel uit van het internal control framework.

Een internal control framework, adequate rapportagelijnen en een permanente compliancefunctie zijn ingericht.

ME1, ME2, ME3, ME4.

7.6

De toepassing van STP in het claimproces past niet binnen de IT strategie en het beleid van de verzekeraar.

De verzekeraar beschikt over een geformaliseerde en geïmplementeerde IT-strategie die aansluit op het gebruik van STP in het claimproces.

PO1, PO2, PO3, PO4, PO5, PO6, PO7, PO8, PO9, PO10.

De verzekeraar heeft een van de IT-strategie afgeleid en geïmplementeerd beleid, waar STP in het claimproces een integraal onderdeel van uit maakt. De IT-planning sluit aan bij het geformuleerde ITbeleid.

Tabel 4: Gevalideerd STP beheersraamwerk claimproces

Vanuit het praktijkonderzoek zijn zowel risico’s als beheersmaatregelen als toegevoegd, die niet bij de literatuurstudie zijn geïdentificeerd. De vervanging van een verouderd back-office pakket door een STP oplossing is in het praktijkonderzoek samengegaan met een kanteling in de IT organisatie. De verouderde backoffice was zelf ontwikkeld en werd in de eigen organisatie beheerd. De STP oplossing is een gekocht pakket, waarbij het beheer voor een belangrijk gedeelte is ondergebracht bij de leverancier. Solveny II eist dat uitbesteding van diensten niet mag leiden tot verhoogde risico’s in de beheersing. De aanvulling vanuit het praktijkonderzoek op het STP beheersraamwerk heeft betrekking op de uitbesteding van IT-beheer werkzaamheden: — uitbesteding van diensten mag niet leiden tot verhoogde risico’s in het claimproces. Sommige van de geïdentificeerde beheersmaatregelen uit het literatuuronderzoek worden door de verschillende betrokkenen verschillend op waarde ingeschat. De verschillen lijken ingegeven door de verschillende invalshoeken van de geïnterviewden. Een goed voorbeeld hiervan is het verschil in opvatting over risicobeheersing tussen de financiële afdeling en de schadeafdeling. De financiële afdeling wil vooral de ontwikkeling van schadegetallen op macroniveau beheersen, terwijl de schadeafdeling veel meer bezig is met de inrichting van de business-rules. Hieronder nogmaals de aanvullende beheersmaatregelen die vanuit het praktijkonderzoek zijn geïdentificeerd: — de intefaces tussen de verschillende systemen zijn in kaart gebracht en de risico’s met betrekking tot juistheid volledigheid en tijdigheid zijn geïdentificeerd. Voor elk risico zijn beheersmaatregelen opgenomen; — over de uitbesteding van technisch of functioneel beheer zijn afspraken over taken, bevoegdheden, verantwoordelijkheden en serviceniveaus gemaakt met de dienstverlener. De verzekeraar monitort de prestaties van de dienstverlening; — bij het invoeren van de schadeclaim wordt het klikgedrag geanalyseerd. Schademeldingen waarbij meer dan gemiddeld wordt gewijzigd en tussen invoervelden wordt versprongen, vallen uit voor handmatige acceptatie;

© E.F. Albers 2012

27


—

—


bij het invoeren van de claim wordt gecontroleerd of de schademelding betrekking heeft op actuele risicogevoelige schadetrends. Dergelijke schademeldingen vallen uit voor handmatige beoordeling en krijgen een grotere kans om in de steekproef te worden opgenomen; door middel van RACI (Responsible, Accountable, Consulted, Informed) tabellen worden taken, verantwoordelijkheden en bevoegdheden over onderdelen in het claimproces inzichtelijk gemaakt.

De beheersmaatregelen hebben betrekking op data-analyse, door bijvoorbeeld gedrag van verzekerden bij het invullen van claims te beoordelen of aan te sluiten bij schadetrends. De data-analyse kan zowel real-time bij het invoeren van de claim worden toegepast, als achteraf bij het uitvoeren van kwaliteitscontroles op de afhandeling van de claims. CobIT biedt geen handvatten voor risicobeheersing door middel van data-analyse technieken.

© E.F. Albers 2012

28


5

Hoofdstuk 5– Rol IT Auditor

Rol IT Auditor

De betrokkenheid van een gekwalificeerde IT-auditor bestaat uit het geven van onpartijdige oordelen of adviezen over de kwaliteitsaspecten van IT. Een voor dit onderzoek meer brede definitie is dat de IT-auditor is betrokken bij de beoordeling of advisering over de inzet van IT binnen organisaties. Deze rollen kunnen worden samengevat in twee hoofdfuncties, te weten de attestfunctie en de adviesfunctie (van Praat & Suerink, 1992). De attestfunctie van de IT-auditor houdt in het geven van een onafhankelijk en onpartijdig oordeel over de mate waarin één of meer (bestaande dan wel toekomstige) objecten uit de ITdomeinen voldoen aan de in de opdracht overeengekomen kwaliteitsaspecten. Daarnaast wordt van de IT-auditor verwacht dat hij niet alleen een oordeel weet te geven omtrent ITobjecten, maar ook in staat is om - mede op basis van zijn werkzaamheden - adviezen te geven ter opheffing van geconstateerde gebreken, zowel gevraagd als ongevraagd (natuurlijke adviesfunctie). De adviesfunctie van de IT-auditor behelst aanbevelingen aan te reiken respectievelijk het geven van raad op het deskundigheidsgebied van de IT-auditor (dat is ontleend aan zijn kennis en ervaring op het gebied van IT). Uitdrukkelijk dient te worden opgemerkt dat onafhankelijkheid en onpartijdigheid van de IT-auditor hier geen rol spelen. Het essentiële verschil ten opzichte van de attestfunctie zit in het doel van de adviesfunctie, te weten het uitbrengen van voorstellen voor het creëren van nieuwe (toekomstige) situaties. Daarnaast verwacht het management dat de IT-auditor zich in deze functie vereenzelvigt met zijn advies en het welslagen van zijn advies in de praktijk. De complexiteit van STP bij verzekeraars met daarbij de complexe regelgeving Solvency II en daaraan verbonden organisatorische impact vereist een hoge mate van betrokkenheid van de IT-auditor. De interpretatie van de principle based vereisten van Solvency II, maken de rol als bewaker of adviseur van de kwaliteit van de opgeleverde producten (adviesfunctie) uitermate geschikt voor de IT-auditor. Een beoordeling achteraf (attestfunctie) behoort evenwel ook tot de mogelijkheden. Specifieke kennis van met name Solvency II is zowel bij de advies als bij de attestfunctie gewenst, om projectbetrokkenen als schade-experts of actuarissen van voldoende repliek te kunnen dienen. Door een adviesrol te vervullen en meer als kwaliteitsbewaker dan als controleur op te treden bij de implementatie van STP, is de IT-auditor in de gelegenheid om al bij het ontstaan van risico’s, deze direct te signaleren, daarover te rapporteren aan verantwoordelijken en waar mogelijk voorstellen voor beheersmaatregelen te doen. De rol van de IT-auditor kan meer concreet op diverse manieren worden ingevuld, zowel voor, tijdens als na het implementatietraject. De volgende opdrachten zijn daarbij mogelijk: — Voordat wordt besloten om STP in te zetten kan een haalbaarheidsonderzoek worden uitgevoerd. In het haalbaarheidsonderzoek kan worden onderzocht in hoeverre STP de beoogde doelstellingen kan behalen; — indien STP de beoogde doelstellingen kan behalen kan de IT-auditor de organisatie ondersteunen bij het opstellen van vereisten voor een uiteindelijke pakketselectie. De ITauditor kan de organisatie eveneens ondersteunen in het selectietraject;

© E.F. Albers 2012

29


—

—

—


Tijdens het implementatietraject kan de IT-auditor de rol van Quality Assurance (QA) invullen. In de QA rol kan de IT-auditor het belang van de opdrachtgever in het implementatietraject behartigen door te beoordelen in hoeverre de implementatie conform doelstelling en gewenst kwaliteitsniveau geschiedt; Na de implementatie kan de IT-auditor worden betrokken bij het leveren van nazorg door toezicht te houden op het opvolgen van openstaande punten. De opdrachtgever kan zich op deze manier vergewissen dat de nog openstaande punten tijdens live-gang volledig en conform gewenst kwaliteitsniveau worden opgelost; Vanuit de attestfunctie kan de IT-auditor een beoordeling uitvoeren op het resultaat van de implementatie. Het object van onderzoek kan in dat geval zowel de implementatie zelf zijn, alsmede het STP systeem. De attestfunctie gaat vanuit het collisiegevaar bezien niet samen met bovengenoemde opdrachten.

© E.F. Albers 2012

30


6

Hoofdstuk 6 Conclusie en persoonlijke reflectie

Conclusie en persoonlijke reflectie

In dit hoofdstuk wordt op basis van de uitkomsten uit de Hoofdstukken 2 tot en met 5 een conclusie getrokken en wordt middels een persoonlijke reflectie een overweging gemaakt aangaande het onderwerp van de scriptie.

6.1

Beantwoording onderzoeksvraag

Welke additionele maatregelen dienen bij de toepassing van Straight Through Processing (STP) in een claimproces te worden genomen teneinde te kunnen voldoen aan de eisen van Solvency II en wat is de rol van de IT-auditor daarbij? Op basis van het onderzoek blijkt dat STP de manier van risicobeheersing van het claimproces verandert. Zichtbare handmatige beheersmaatregelen maken plaats voor minder zichtbare geautomatiseerde beheersmaatregelen. Solvency II vereist zichtbare beheersing van zowel operationele risico’s alsmede van de IT-Governance. Voor de aantoonbare beheersing van de operationele risico’s kan gebruik worden gemaakt van een raamwerk, waarbij aan de hand van het proces de risico’s worden geïdentificeerd. Een raamwerk waarmee de IT-Governance kan worden beheerst is CobIT. Verzekeraars dienen maatregelen te nemen om de risicobeheersing aantoonbaar te maken en daarover tijdig te kunnen rapporteren. Bij toepassing van STP in een claimproces dienen, uitgaande van de beheersmaatregelen die geïmplementeerd zijn bij STP, in de volgende onderdelen van het claimproces aanvullende beheersmaatregelen te worden geïmplementeerd: — Claimregistratie; — Standaardschadereserve; — Sluiten claim. In Tabel 3 zijn de specifieke beheersmaatregelen benoemd, die dienen te worden geïmplementeerd om aan de vereisten van Solvency II te voldoen. Op basis van het onderzoek wordt de adviesfunctie als meest passende rol voor de IT-auditor voorgesteld. De onderbouwing voor de voorgestelde rol wordt verder onderbouwd bij de beantwoorden van de vierde deelvraag in de volgende paragraaf.

6.2

Beantwoording deelvragen

Voor het uitvoeren van dit onderzoek zijn vier deelvragen geformuleerd die helpen een antwoord te geven op de centrale onderzoeksvraag. Hieronder wordt per deelvraag een antwoord gegeven: 1 Welke beheersmaatregelen in het claimproces zijn genomen door schadeverzekeraars? De beheersmaatregelen kunnen zowel handmatig als geautomatiseerd van aard zijn. Per stap in het schadeproces zijn beheersmaatregelen geïmplementeerd, die zijn afgeleid van de polisvoorwaarden. Handmatige beheersmaatregelen zijn vooral genomen voor situaties waarin de procesgang afwijkt van het standaardproces en voor specifieke kwaliteitscontroles, daarnaast zijn bij een niet op STP gebaseerd claimproces veel handmatige beheersmaatregelen bij de claimregistratie, claim validatie / onderzoek en het autoriseren van de claim.

© E.F. Albers 2012

31



De genomen beheersmaatregelen kunnen verschillen per afdeling van de verzekeraar. Het kan gesteld worden dat afdelingen die verder van de directe operatie afzitten, gebruik maken van beheersmaatregelen op macroniveau en afdelingen die direct betrokken zijn in de operatie meer gebruik maken van beheersmaatregelen op operationeel niveau. 2

Wat zijn de relevante kenmerken en eigenschappen van STP en welke beheersmaatregelen zijn nodig als STP wordt toegepast in het claimproces? STP is de volledige tijdsgebonden automatisering van een bedrijfsproces. Bij het claimproces betekent STP de registratie tot en met het tijdig uitbetalen van een schadeclaim zonder menselijke betrokkenheid. Toepassing van STP neemt zichtbare beheersmaatregelen weg en introduceert meer geautomatiseerde beheersmaatregelen. Daarbij verschuift de controle op het proces van claimverwerking meer richting verzekerde, die meer ruimte krijgt om te bepalen waar en hoe zijn claim wordt ingevuld. Op de volgende onderdelen in het claimproces zijn aanvullende beheersmaatregelen geïmplementeerd bij een op STP gebaseerd claimproces: — Claimregistratie; — Polisvalidatie; — Claim validatie / Onderzoek; — Autoriseren claim; — Uitbetalen claim; — Sluiten claim; In Tabel 2 zijn de specifieke STP risico’s met daarbij de benodigde beheersmaatregelen om de risico’s te mitigeren opgenomen. 3

Welke eisen stelt Solvency II aan risicobeheersing van een op STP gebaseerd claimproces en welke additionele beheersmaatregelen zijn nodig om aan de Solvency II eisen te voldoen? De eisen vanuit Solvency II zijn principle based, waardoor een concrete vertaling naar het claimproces niet eenvoudig is te maken. Door de geïdentificeerde stappen in het claimproces te volgen en die te koppelen aan geïdentificeerde risico’s is toch een vertaling gemaakt naar meer concrete eisen. Solvency II stelt met name eisen aan de aantoonbare beheersing van IT. De meeste eisen zijn te herleiden naar Pijler II uit het Solvency II raamwerk, de operationele risicobeheersing. Vanuit Pijler III worden vooral eisen gesteld aan datamanagement en rapportages. Pijler I heeft geen directe invloed op de beheersing van het claimproces. Bij toepassing van STP in een claimproces dienen, uitgaande van de beheersmaatregelen die geïmplementeerd zijn bij STP, in de volgende onderdelen van het claimproces aanvullende beheersmaatregelen te worden geïmplementeerd: — Claimregistratie; — Standaardschadereserve; — Sluiten claim. In Tabel 3 zijn de specifieke beheersmaatregelen benoemd, die dienen te worden geïmplementeerd om aan de vereisten van Solvency II te voldoen.

© E.F. Albers 2012

32



Voor de beheersing van de IT-Governance kan gebruikt worden gemaakt van de leadingpractice CobIT. Uit het opgestelde beheersraamwerk blijkt dat met CobIT aan alle eisen vanuit Solvency II kan worden voldaan. Evenwel kunnen beheersmaatregelen worden getroffen met behulp van data-analyse, waarvoor CobIT geen handvatten biedt. De additionele eisen vanuit Solvency II zitten niet in de risicobeheersing op zich, maar wel in de aantoonbaarheid van de risicobeheersing. Een raamwerk waarbij aan de hand van het proces de risico’s worden geïdentificeerd, helpt verzekeraars om aantoonbaar een gestructureerde risicoanalyse te hebben gemaakt. Op basis van de risico’s kunnen beheersmaatregelen worden geïmplementeerd, die de risico’s mitigeren. De laatste stap die benodigd is om risico’s aantoonbaar te beheersen is rapporteren. CobIT biedt daarvoor in het hoofdstuk Monitoring and Evaluate handvatten. 4

Welke rol dient de IT-auditor te spelen bij de risicobeheersing van een op STP gebaseerd claimproces in het kader van Solvency II? De IT auditor kan zowel de advies als de attestfunctie vervullen bij de risicobeheersing van STP in het kader van Solvency II. De complexiteit van de implementatie van STP in combinatie met de ruimte voor interpretatie van de principle based vereisten van Solvency II, maken de rol als bewaker of adviseur van de kwaliteit van de opgeleverde producten (adviesfunctie) uitermate geschikt voor de IT-auditor.

6.3

Vervolgonderzoek

Deze paragraaf bestaat uit een aanbeveling voor verder onderzoek op het gebied van toepassing van STP bij verzekeraars. In dit onderzoek zijn additionele beheersmaatregelen geïdentificeerd in een op STP gebaseerd claimproces teneinde aan de eisen van Solvency II te voldoen. Daarnaast maakt het onderzoek duidelijk dat verzekeraars bezig zijn om beheersmaatregelen op een continue basis door middel van data-analyse te implementeren. Het onderzoek maakt duidelijk dat STP bij het claimproces kan worden toegepast, mogelijk is STP eveneens geschikt voor bedrijfsbrede toepassing. STP kan door haar eigenschappen bij uitstek geschikt zijn voor het verkrijgen van audit evidence op een continue basis. Het verkrijgen van audit evidence op een continue basis wordt continuous auditing (CA) genoemd. CA kan verzekeraars in staat stellen om beheersmaatregelen, transacties en gebeurtenissen te volgen en ondersteunt het proces om vast te stellen dat deze in overeenstemming zijn met het afgesproken beleid, procedures en weten regelgeving, bijvoorbeeld Solvency II. Het management van een verzekeraar kan soortgelijke technieken als bij CA eveneens gebruik om de accuraatheid van beheersmaatregelen vast te stellen, in dat geval is sprake van continuous monitoring (CM). STP kan verzekeraars, behalve efficiëntie voordelen eveneens meerwaarde bieden bij het monitoren van het proces en het vergaren van audit evidence. Behalve beheersmaatregelen om te voldoen aan de eisen van Solvency II is het voor verzekeraars noodzakelijk om de impact van STP in het overall spectrum van Governance Risk Management and Compliance (GRC) te onderzoeken. Vervolg onderzoek dient meer inzicht te geven in onderstaande onderwerpen: — Impact van bedrijfsbrede toepassing van STP; — toepassing van continuous auditing en continuous auditing bij STP;

© E.F. Albers 2012

33


—

6.4


Governance Risk Management and Compliance.

Persoonlijke reflectie

Tijdens het uitvoeren van een implementatie beoordeling bij een klant, nu ongeveer anderhalf jaar geleden dacht ik precies te weten hoe mijn scriptie er uit zou moeten zien. Al tijdens de formulering van mijn onderzoeksvragen bleek de praktijk weerbarstiger te zijn. Juist vanwege die reden is de keuze van de onderzoeksvragen zorgvuldig tot stand gekomen. De uitvoering van het onderzoek en het toevertrouwen van de resultaten aan het papier bleek desalniettemin geen sinecure te zijn. Terugkijkend op dit afstudeeronderzoek ben ik van mening dat ik een diepgaander inzicht heb gekregen in zowel risico’s rondom STP alsmede de Solvency II regelgeving. De toepassing van theoretische concepten, heeft tot aanvullende inzichten geleid, die verder reiken dan de werkzaamheden die ik toch nog toe heb mogen uitvoeren. De toepassing van deze inzichten in de praktijk heeft grote toegevoegde waarde. Het bepalen vanuit welke Pijler van het Solvency II raamwerk een eis voortkomt is in de praktijk geen exacte wetenschap gebleken. Op basis van de theorie blijkt dat beheersmaatregelen voornamelijk voortkomen uit de eisen van Pijler II. In de praktijk blijkt evenwel dat de eisen ook kunnen voortkomen uit Pijler I of Pijler III. De IT betrokkenheid of het IT bewustzijn van een projectleider van een bepaalde Pijler lijkt in dat verband een belangrijke variabele. Voor wat betreft de inhoud en het onderwerp van deze scriptie, is een kader gesteld voor welke risico’s door de verzekeraar beheersmaatregelen dienen te worden getroffen bij de implementatie van STP. Daarbij is gebleken dat de vertaling van de principle based regelgeving van Solvency II naar een concreet onderwerp als claimverwerking ruimte voor interpretatie overlaat. Voorafgaand aan het schrijven van deze scriptie had ik wel dit vermoeden, maar door het uitvoeren van het onderzoek is dit vermoeden meer dan bevestigd.

© E.F. Albers 2012

34


Literatuurlijst

Literatuurlijst Aalst, W.M.P. van der., Hofstede A.H.M. ter, Weske, M., (2003) ‘Business Process Management: A Survey’, Computer Science, 2003, Volume 2678/2003, pp 222-234. Aerts, L., (2001) ‘A Framework for Managing Operational Risk’, Internal Auditor, vol 8. Bardoloi, S., (2003) ‘Operational risk: The STP Mantra?’ The Business Continuity Journal. Bommel, S, Peek,L., Winterink, J, (2008) ‘De betekenis van IT-auditing voor risicobeheersing en ITgovernance’, Maandblad voor Accountancy en Bedrijfseconomie (MAB), januari 2008, pp.43-50. CEIOPS (2008) ’DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the taking-up and pursuit of the business of Insurance and Reinsurance (SOLVENCY II)’. Chen, Y., Huang, W.W., Hee, J. (2004) ‘STP Technology and Global Financial Market: An Assessment Framework’ Advanced Topics In Global Information management, vol. 4, pp 139153. Cooper, D. R., Schindler, P. S. (2003) ‘Business Research Methods’. 8e editie. London: McGraw Hill De Nederlandsche Bank (2011) ‘Interne Modellen’ http://www.toezicht.dnb.nl/2/50202384.jsp Emory, D.J. (2010) ‘Understanding Straight Through Processing Case Studies’, EzineArticles.com Expert Autho. Flowerday, F., von Solms, R. (2005) ‘Real-time information integrity[system integrityDdata integrityDcontinuous assurances’, Computers & Security, No. 24, pp. 604-613. Gordon, L.A., Martin, P.B., Tashfeen, S. (2003) ‘A framework for using insurance for cyberrisk management’, Communications of the ACM, Vol. 46, Iss. 3. GTAG. Global Technology Audit Guide (2005) ‘Information technology controls’, The Institute of Internal Auditors. Grody, A. D., Harmantzis, F. C., G. J. Kaple, (2005) ‘Operational Risk and Reference Data: Exploring Costs, Capital Requirements and Risk Mitigation’ Working paper, Stevens Institute of Technology, Hoboken, New Jersey. Heuvelinkg, G.J., Huug, J. (2011) ‘Solvency II raakt de gehele organisatie: van acceptatie tot claims’, Assurantie Beurs nota, jaargang 17 voorjaar 2011.

© E.F. Albers 2012

i


Literatuurlijst

Huang, W., Chen, Y. (2006) ‘STP technology: An overview and a conceptual framework’, Information & Management Vol.43, Issue 3, pp 263-270. Inmon, W.H., Imhof C.,Sousa, R. (1998) ‘Corporate information factory’, John Wiley & Sons, Inc., 1998. IT Governance Institute (2007) ’ CobIT 4.1 Exerpt - Executive Summary Framework’, IT Governance Institute. Khanna, A., (2008) ‘Straight through Processing for Financial Services’. Elsevier, Amsterdam 2008. Levi, M. H. (2002) ‘The Business Process (Quiet) Revolution: Transformation to Process Organization,Interfacing Technologies Corporation’, Verkregen via: http://www.interfacing.com/rtecontent/document/CreatingProcessOrganization03.pdf Liddle, J. (2003) ‘Understanding Straight-Through Processing - A technical overview’, WebSphere Journal, November 24. Lindberg, D.l. (2004) ‘Corporate governance - the role of the audit Committee’ verkregen via http://www.oppapers.com/essays/Corporate-Governance-The-Role-Of/608154. Madison, N. (2009) What is real-time?, wisegeek.com, 2009. Maran, C.M., Ravikumar, B. (2011) ‘A Study on Straight Through Processing In Medical Insurance Operations with special focus on Claims Processing and Settlements’, Indian Streams Research Journal,Vol - I, ISSUE - VII [ August 2011 ] : Commerce. Mearian, L. (2002) ‘Straight-Through Trade Processing pressures IT’, Computerworld, 36, pp.10. Meer, van der, A.J. (2009) ‘De IT-impact van Solvency II’, de EDP-Auditor, nummer 1, pp. 2027. Newman, G. (2011) ‘The claims function no longer plays Cinderella under Solvency II’, Insurance ERM, juli 2011. NIST (1995) ‘ 800-12 Handbook. An introduction to computer security.’ National Institute of Standards and Technology. US Department of Commerce. Beschikbaar op: http://csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf OECD, (2004) ‘OECD Guidelines for Good Practice for Insurance Claim Management’, OECD Insurance Committee. Praat, van, J.C., Suerink, J.M. (1992) ‘Inleiding EDP Auditing’, SDU Uitgevers bv pp 39.

© E.F. Albers 2012

ii


Literatuurlijst

Rodero, J., Toval, J., Piattini, M. (1999) ‘The Audit of the Data Warehouse Framework’, Proceedings of the International Workshop on Design and Management of Data Warehouses, Heidelberg, Germany, 1999, June 14–15, pp. 1. Santomero, A.M., Babbel, D.F. (1997) ‘Financial risk management by insurers: An analysis of the process’, Journal of Risk and Insurance, Vol. 64, No.2, pp 231-270. Shahim, A. (2009) ‘IT Governance Attestation’, Academic Service, pp. 29. Schiefer, J., Seufert, A. (2005) ‘Management and Controlling of Time-Sensitive Business Processes with Sense & Respond’ International Conference on Computational Intelligence for Modelling Control and Automation, Vienna, 2005. Stiers, D.,Goovaerts, M., De Vylder, F. (1985) ‘Methoden ter bepaling van schadereserves’ Tijdschrift voor Economie en Management, pp. 89-106. Verbond van Verzekeraars, (2011) ‘Solvency II: evenwichtige kapitaaleisen versterken en beschermen’ Position paper, maart 2011. Waal,A., de., Visscher, N.G. de., Sieben, J.W. (2011) ‘Gecontroleerd veranderen’, CompactMagazine, 2011-1. Willems, R., Kraker, K.J., de, Nieuwenhuys, K., (2004) ‘In één keer een geheel proces afhandelen’, Informatie, Vol. Maart 2004, pp. 13-18.

© E.F. Albers 2012

iii


Bijlage 1

Bijlage 1 STP Risico’s Een overzicht van algemene STP risico’s (Bardoloi, 2003; Grody et al, 2005; Khanna, 2008;Rodero et al, 1999; Schiefer & Seufert, 2005 ).

STP risico’s #

Risico

1 2 3

Onbetrouwbare data Inconsistente data Incompatibele data

4

Onbetrouwbare referentie data

5

Inconsistente business rules

6

Fouten worden niet tijdig ontdekt

7 8

Fraude De procesgang is te complex voor de organisatie

9

Klanten hebben te veel controle

10 11

Operationele continuïteit Inadequaat IT-beheer

© E.F. Albers 2012

Omschrijving Data risico’s Data zijn niet juist, volledig of tijdig. Data in verschillende systemen is niet gelijk aan elkaar. Data tussen verschillende systemen kan niet juist, volledig en tijdig worden getransporteerd. Referentie data bevat informatie en instructies over en voor de data. Onbetrouwbare (onjuiste, onvolledige of niet tijdige) referentie data zorgt voor een niet juiste verwerking van de data in een opvolgende schakel van de systeemketen. Beheersmaatregelen In verschillende systemen kunnen inconsistente business rules (preventieve beheersmaatregelen) worden geprogrammeerd, dit kan tot fouten leiden. Door STP is het mogelijk dat bepaalde bestaande beheersmaatregelen fouten niet tijdig ontdekken. Fraude risico’s wijzigen door veranderende procesgang. Medewerkers binnen de organisatie dienen de gehele procesgang te begrijpen om juiste beslissingen te nemen. Bij niet STP is de procesgang verdeeld, waardoor per medewerker slechts kennis van een gedeelte van het proces nodig is. De controle op de procesgang verschuift richting klantzijde, daardoor neemt het risico op onjuistheden toe. IT afhankelijkheid Bij falende IT is de continuïteit van de bedrijfsvoering niet geborgd. De impact van IT op de beheersing van de claimverwerking is groter bij STP, daarmee ook de impact van inadequaat IT-beheer.

IV


Bijlage 2

Bijlage 2 Solvency II eisen Een overzicht van de algemene eisen die vanuit Solvency II aan IT worden gesteld, per pijler geplot (Bommel, 2008; Heuvelink & Huug, 2011; Newman, 2011;Van der Meer, 2009).

Solvency II algemene IT eisen Solvency II Eis #

Eis

1

IT-strategie

2

IT-beleid

3

IT-Planning

4

Informatiebeveiliging

5

Logische toegangsbeveiliging

6

Wijzigingenbeheer

7

Continuïteitsbeheer

8

Geautomatiseerde beheersmaatregelen

9

Uitbesteding

10

Datamanagement

11

Rapportages

12

Internal control

© E.F. Albers 2012

Omschrijving Een geformaliseerde en geïmplementeerde IT-strategie Een van de IT-strategie afgeleid en geïmplementeerd beleid. Een van het IT-beleid afgeleide en geïmplementeerde planning. Maatregelen ter borging van de beschikbaarheid, exclusiviteit en integriteit van informatie. Procedures en maatregelen ter voorkoming van ongeautoriseerde logische toegang. Processen, werkafspraken en verantwoordelijkheden ter borging dat wijzigingen in de software op een beheerste wijze in productie worden genomen. Het stelsel van processen en maatregelen ter borging van de ongestoorde voortgang van gegevensverwerking en continue beschikbaarheid van informatie. Applicatieve controles ter beheersing van specifieke operationele risico’s Het beheersen van uitbestede diensten aan derde partijen. De aantoonbare beheersing van data kwaliteit, accuraatheid en integriteit. Het juist, tijdig en volledig vervaardigen van rapportages richting toezichthouders en buitenwereld. Een internal control framework, adequate rapportagelijnen en een permanente compliancefunctie.

Pijler 1

2

3

P P P P P P

P

P P P P

P

V


Bijlage 3

Bijlage 3 COBIT model Het CobIT raamwerk op hoofdlijnen weergegeven (IT Governance Institute, COBIT 4.1).

© E.F. Albers 2012

VI


Bijlage 4

Bijlage 4 Solvency II beheersraamwerk STP Een overzicht van de Solvency II eisen, gekoppeld aan de STP risico’s en de CobIT referenties om mitigerende beheersmaatregelen te treffen voor de risico’s (Bardoloi, 2003; Bommel, 2008; Grody et al, 2005; Heuvelink & Huug, 2011; Khanna, 2008; Newman, 2011;Van der Meer, 2009; Rodero et al, 1999).

Solvency II beheersraamwerk STP # 1 2 3 4 5 6 7 8

Solvency II eis

STP risico

IT-strategie IT-beleid IT-Planning Informatiebeveiliging Logische toegangsbeveiliging Wijzigingenbeheer Continuïteitsbeheer Geautomatiseerde beheersmaatregelen

- Inadequaat IT-beheer - Operationele continuïteit

P01, P02, P03 , ME3 P04, ME1 P06, ME1 DS5, ME1 PO2, DS1, DS3, DS4, AI16, ME1

- Inconsistente business rules

PO7, PO9, AI4, ME2

9 10

Uitbesteding Datamanagement

11 12

Rapportages Internal control

© E.F. Albers 2012

- Fraude - Klanten hebben teveel controle - De procesgang is te complex voor de organisatie - Onbetrouwbare data - Inconsistente data - Incompatibele data - Onbetrouwbare referentie data - Fouten worden niet tijdig ontdekt

CobIT referentie(s)

DS2 DS11, ME1

ME3, ME4 PO4, PO6, PO8, PO9, ME1, ME2, ME3, ME4

VII


Bijlage 5

Bijlage 5 Vragenlijst interviews Introductie • Vertrouwelijkheidaspect benadrukken; • Introductie afstudeeronderzoek (vermelden van validatie van theorie). Claimproces 1. Welke nieuwe risico’s zijn volgens u ontstaan bij de claimverwerking door de invoering van het STP pakket? Het claimproces bestaat daarbij uit de volgende stappen: — Claimregistratie — Polis validatie — Creatie standaard schadereserve — Claim validatie / onderzoek — Autorisatie claim — Uitbetaling claim — Sluiten claim 2.Welke beheersmaatregelen zijn genomen om deze risico’s weg te nemen? 3.Zijn er beheersmaatregelen bij de claimverwerking, die nog niet zijn geïmplementeerd, maar wel gepland zijn om te implementeren? 4. Overwegen jullie om te stoppen met bepaalde beheersmaatregelen die al zijn geïmplementeerd? IT organisatie: 5. Op welke wijze heeft de implementatie van STP invloed op de organisatie? 6.Zijn er door de STP implementatie wijzigingen in de IT organisatie doorgevoerd? 7.Zijn er door de STP implementatie wijzigingen in de IT processen of beheersing doorgevoerd? Financieel: 8.Op welke wijze heeft de STP implementatie invloed gehad op de financiële verwerking van het claimproces? 9.Zijn er door de STP implementatie wijzigingen op de financiële afdeling doorgevoerd? 10.Zijn er door de STP implementatie wijzigingen in de processen doorgevoerd, of zijn er nieuwe beheersmaatregelen geïmplementeerd? Solvency II: 11. Op welke manier heeft Solvency II invloed op het claimproces? 12. Stelt Solvency II specifieke eisen aan gebruik van STP? 13. Zijn er extra beheersmaatregelen in het claimproces getroffen door Solvency II? Algemeen: 14. Zou u de opgestelde tabellen 1 t/m 3 willen beoordelen op inhoudelijk juistheid en op de volledigheid? 15. Zijn er nog aanvullende opmerkingen of ‘lessons learned’ met betrekking tot de STP implementatie?

© E.F. Albers 2012

VIII

Straight Through Processing

Recommend Documents