Marketingkansen voor verzekeraars & intermediairs - de trends en ontwikkelingen
Middelgrote en kleinere verzekeraars in Nederland...De risicomanagementactiviteiten zijn volledig...
Transcript of Middelgrote en kleinere verzekeraars in Nederland...De risicomanagementactiviteiten zijn volledig...
Volwassenheidsniveau risicomanagement
KPMG Advisory N.V.
―
Mei 2020
Middelgrote en kleinere
verzekeraars in Nederland
2© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
25
23
Inhoudsopgave
Aanleiding Risico-
management-
raamwerk
Onderzoeks-
methode
Resultaten Conclusies
Contactgegevens
Bijlage – Beoordelingskader volwassenheidsniveau
3 4 9 13 21
3© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
De professionalisering van de risicomanagementfunctie
(RMF) binnen verzekeraars neemt steeds verder toe.
Dit wordt mede veroorzaakt door verhoogde aandacht van de
toezichthouder. Hierbij komt de ambitie om het risicomanagement-
raamwerk meer integraal neer te zetten en de opzet, het bestaan
en de werking aantoonbaar te maken steeds vaker expliciet naar
voren.
Om inzicht te krijgen in de huidige status van het volwassenheids-
niveau van het risicomanagementraamwerk in de Nederlandse
verzekeringssector heeft KPMG Advisory N.V. een benchmark-
studie uitgevoerd onder middelgrote en kleinere verzekeraars.
In dit rapport presenteren wij de resultaten.
Aanleiding
Risicomanagement-raamwerk
5© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
De Wet op het financieel toezicht (Wft) en de
Solvency II-richtlijnen stellen eisen aan het
risicomanagement binnen de verzekeringssector.
― De hoofdstukken 3 en 4 van het Besluit prudentiële
regels Wft beschrijven de vereisten ten aanzien van
integere respectievelijk beheerste bedrijfsvoering waar
door verzekeraars aan moet worden voldaan.
― De Solvency II-richtlijn (artikel 44) en gedelegeerde
verordening (artikel 259) beschrijven de vereisten voor
het risicomanagementsysteem bij verzekeraars. Dit
systeem bestaat uit strategieën, processen en
rapportageprocedures die essentieel zijn voor het
identificeren, meten, monitoren, beheren en rapporteren
van en over de risico’s. De risicomanagementfunctie is
verantwoordelijk voor het onderhouden van het
risicomanagementsysteem en vervult bovendien een
belangrijke faciliterende rol bij het definiëren van de
risicobereidheid binnen de organisatie en het zorgdragen
voor de daadwerkelijke uitvoering van het beleid.
Het betreft met name open normen waar door de
verzekeraar zelf nader invulling aan moet worden gegeven.
Vereisten uit wet- en regelgeving
Verantwoordelijk
voor de effectieve
en efficiënte
werking van
processen,
beheersmaat-
regelen en het
afleggen van
verantwoording
hierover
Adviseren/
ondersteunen bij
het zorgen voor
een beheerste,
effectieve en
efficiënte
bedrijfsvoering
Toezien op de
kwaliteit van de
opzet van het
beheerssysteem
als geheel en de
werking daarvan
6© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Het risicomanagementraamwerk
dat in de praktijk door veel
verzekeraars wordt toegepast,
kan worden onderverdeeld in
verschillende elementen zoals
hiernaast weergegeven.
Het raamwerkRisicostrategie en -bereidheid
De wijze waarop risicomanagement wordt gebruikt om strategische doelstellingen te behalen en de
mate waarin de organisatie bereid is daarbij risico’s te accepteren
Governance en organisatie
De structuur waarbinnen de organisatie haar risicomanagement-
activiteiten stuurt, monitort en hierover rapporteert
Risicobeleid en -proces
Het beleid en de processen die worden gebruikt met als doel het
bewerkstelligen van een aantoonbare, adequate beheersing
van de risico’s
Risicomonitoring en -rapportage
De activiteiten om risico’s te identificeren, te beoordelen, te
beheersen en erover te rapporteren
Data en systemen
De IT-infrastructuur die de organisatie gebruikt ter ondersteuning van haar
risicomanagementactiviteiten
.
Cultuur en gedrag
De geldende normen en waarden binnen de organisatie die van
invloed zijn op risicogerelateerde beslissingen
Risico-
management-
raamwerk
7© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Ter illustratie:
― De verzekeraar heeft als strategisch doel
gedefinieerd duurzaam winstgevend te
willen zijn (1) en wil het pricing risico (2)
daarom mitigeren door te sturen op de
waarde van nieuwe productie (3).
― De verzekeraar meet daarom de waarde
van de Value New Business (VNB) zowel
in de economische werkelijkheid als op
Solvency II-grondslagen (4) en heeft
hiervoor streef- en tolerantiewaarden
opgesteld die zijn opgenomen in het
beleid (5).
― De werkelijke VNB, zowel in de
economische werkelijkheid als op
Solvency II-grondslagen, wordt periodiek
gemeten en in de rapportage vergeleken
met de vooraf gestelde streef- en
tolerantiewaarden (6).
De elementen voor een goed functionerend risicomanagementsysteem zijn in de markt breed bekend, maar aan de onderlinge
samenhang kan vaak meer aandacht worden besteed. In de figuur is opgenomen hoe de samenhang tussen de elementen er in
de praktijk uit zou kunnen zien.
Samenhang binnen het raamwerk (1/2)
Vaststellen
KRI’s en
streefwaar
den
G O V E R N A N C E & C U L T U U R
Strategische doelen
verzekeraar
Risico universum
Key risico’s
Vaststellen
en beschrijven
processen
Risicobeoordeling(RCSA per proces of risico)
Vaststellen
key processen
en systemen
Vaststellen
key controls
Vastlegging in
control
framework
Vaststellen
risicobereidheid
Rapportages
Opstellen beleid / procedures
In kaart brengen
(effectiviteit) beheers-
maatregelen
1
2 34
5
6
2
3
4
5
6
1
8© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Ter illustratie:
― Het pricingproces is beschreven (7)
waarbij ook de van toepassing zijnde
operationele risico’s en
beheersmaatregelen in kaart zijn
gebracht (8).
― Periodiek wordt voor het pricingproces
een RCSA uitgevoerd (9) en wordt
geëvalueerd of het proces, de risico’s en
de beheersmaatregelen ‘key’ zijn (10).
― Als dat het geval is, wordt dit opgenomen
in het key control framework (11). Over
de effectiviteit van de key controls wordt
periodiek gerapporteerd (12).
De elementen voor een goed functionerend risicomanagementsysteem zijn in de markt breed bekend, maar aan de onderlinge
samenhang kan vaak meer aandacht worden besteed. In de figuur is opgenomen hoe de samenhang tussen de elementen er in
de praktijk uit zou kunnen zien.
Samenhang binnen het raamwerk (2/2)
Vaststellen
KRI’s en
streefwaar
den
G O V E R N A N C E & C U L T U U R
Strategische doelen
verzekeraar
Risico universum
Key risico’s
Vaststellen
en beschrijven
processen
Risicobeoordeling(RCSA per proces of risico)
Vaststellen
key processen
en systemen
Vaststellen
key controls
Vastlegging in
control
framework
Vaststellen
risicobereidheid
Rapportages
Opstellen beleid / procedures
In kaart brengen
(effectiviteit) beheers-
maatregelen
7 9 10
8 11
12
10
7
9
10
8
11
12
Onderzoeks-methode
10© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Deze benchmarkstudie is gebaseerd op interviews met risicomanagement-
(sleutel)functionarissen van middelgrote en kleinere verzekeraars in
Nederland. Onder de deelnemers bevinden zich zowel leven- als schade-
verzekeraars en gemengde verzekeringsgroepen. Aan het onderzoek hebben
12 verzekeraars deelgenomen die samen ruim 35% van de markt voor
kleinere en middelgrote verzekeraars reflecteren, gemeten op basis van
premieomzet.
Het risicomanagementraamwerk dat in de praktijk door verzekeraars wordt
toegepast kan worden onderverdeeld in verschillende elementen zoals
hiervoor is toegelicht. Omdat de volwassenheid per element van het
raamwerk binnen een verzekeraar sterk kan verschillen, hebben wij, op basis
van de gehouden interviews, elk van de deelnemende verzekeraars per
element een score van 1 tot 5 gegeven. Het daarbij gehanteerde
beoordelingskader wordt op de volgende pagina’s toegelicht.
In dit onderzoek zijn overigens geen scores toegekend op het element
‘cultuur en gedrag’, omdat de onderzoeksmethode niet passend is voor het
beoordelen van het volwassenheidsniveau op dit element.
Toelichting onderzoeksmethode
Initieel 01
Reproduceerbaar
en informeel02
Gedefinieerd03
Beheerst en
meetbaar 04
Continu
verbeteren05
11© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Toelichting beoordelingskader (1/2)In dit onderzoek is gebruikgemaakt van een vijfpuntschaal voor de beoordelingsmogelijkheden. Onderstaand wordt toegelicht
welke eisen aan elke score zijn gesteld ter toekenning van de betreffende score. In de bijlage is een nadere uitwerking van dit
beoordelingskader per element van het risicomanagementraamwerk opgenomen.
Governancevereisten voor een formeel risicomanagementkader zijn niet of nauwelijks aanwezig. De
risicomanagementprocessen en -kaders zijn niet volledig gedocumenteerd, inconsistent en/of
onduidelijk. Risicomanagementactiviteiten zijn niet (voldoende) afgestemd op de bedrijfsstrategie en
de uitvoering van risicomanagementactiviteiten is afhankelijk van individuen.
De risicomanagementcyclus wordt in beperkte mate doorlopen.
Initieel
01
De organisatie voldoet aan de minimale verwachtingen van interne en externe belanghebbenden ten
aanzien van risicomanagementactiviteiten. Enkele risicomanagementactiviteiten zijn vastgesteld en
gedocumenteerd en zijn (in elk geval deels) in lijn met de strategie. Er is een beperkte focus op
opkomende risico’s en/of samenhang tussen risico’s. Risicobeleid en -processen zijn op hoofdlijnen
gedocumenteerd, maar niet integraal vastgesteld. Beheersmaatregelen zijn genomen, maar niet
formeel vastgelegd en de effectiviteit wordt niet standaard integraal beoordeeld.
Reproduceerbaar en informeel
02
12© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Toelichting beoordelingskader (2/2)
De risicomanagementactiviteiten zijn geïntegreerd en gecoördineerd en de doelstellingen voor
risicomanagement zijn consistent in lijn met de bedrijfsstrategie. De risicomanagementcyclus wordt
aantoonbaar periodiek doorlopen en beheersmaatregelen worden periodiek aantoonbaar integraal
geëvalueerd. De uitkomst van de evaluatie geeft aantoonbaar aanleiding tot aanpassingen. Er wordt
waar relevant infrastructuur gebruikt voor ondernemingsbrede risicometing, -beheersing en
-rapportage.
Beheerst en meetbaar
04
De risicomanagementactiviteiten zijn volledig ingebed in strategische planning en de dagelijkse
besluitvorming. Er is een goedwerkend systeem om de directie en het management vroegtijdig te
waarschuwen en op de hoogte te stellen van risico’s buiten de vastgestelde toleranties en limieten.
Risicomanagement vormt en dient als bron van concurrentievoordeel.
Continu verbeteren
05
De directie en het management vertrouwen er steeds meer op dat risico’s effectief worden beheerd
op basis van aantoonbare inspanningen. De risicobereidheid is integraal vastgesteld en waar
mogelijk middels relevante KRI’s, doorvertaald naar toleranties en limieten.
Risicomanagementactiviteiten zijn gericht op het behalen van de strategie. Het
risicomanagementproces wordt periodiek geëvalueerd, maar dit is nog niet altijd aantoonbaar.
Gedefinieerd03
Resultaten
14© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Leeswijzer boxplotEen boxplot is een vereenvoudigde grafische weergave van de verdeling van data. Aan de hand van een voorbeeld wordt
uitgelegd hoe u deze weergave kunt lezen. In dit voorbeeld zien de scores er, gesorteerd op hoogte, als volgt uit:
14
Hoogste scoreLaagste score
1 2 3 4 5
Verzekeraar 1 2 3 4 5 6 7 8 9 10 11 12
Score 1.5 1.5 1.5 2 2 2 2 2.5 2.5 3 3.5 5
Kwartiel 1 1 1 2 2 2 3 3 3 4 4 4
1. Minimum: de laagst toebedeelde score (1,5), zie de staart aan de linker kant
2. Tweede kwartiel Q2: 25 - 50% van de scores, zie het lichtblauwe blok
3. Mediaan: het middelste getal in de scorereeks (2), de kleurensplit tussen
4. Derde kwartiel Q3: 50 - 75% van de scores, zie het donkerblauwe blok
5. Maximum: de hoogst toebedeelde score (5), zie de staart aan de rechter kant
6. Gemiddelde van alle scores (2,4), zie het oranje kruis
In dit rapport zien we twee ‘bijzondere’ boxplots:
• De staarten vallen weg onder de blauwe blokken: dit houdt in dat de laagste en/of de hoogste scores binnen de grenzen van het eerste en derde
kwartiel vallen.
• Het derde kwartiel valt over het tweede kwartiel . Dat betekend dat er een lage mate is van spreiding, de hoogste waarde in het
tweede kwartiel is gelijk aan de laagste waarde in het derde kwartiel.
15© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Uitkomst benchmarkonderzoekDe uitkomsten van de benchmark zijn samengevat in onderstaande twee figuren.
Figuur 1 geeft de boxplots per element van het risicomanagementraamwerk weer waar informatie over de verdeling van scores
per element kan worden gehaald. In figuur 2 wordt een spiderweb weergegeven. Hiermee is inzichtelijk gemaakt hoe de
verzekeraars gemiddeld gezien op de verschillende elementen van het risicomanagementraamwerk hebben gescoord. Te zien is
dat de gemiddelde score op alle elementen net boven de 3 ligt, met uitzondering van de score op het element ‘Data en
systemen’.
Figuur 2
Figuur 1
16© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Toelichting
De risicostrategie en -bereidheid is
de wijze waarop risicomanagement
wordt gebruikt om strategische
doelstellingen, businessplannen en
overige doelstellingen te behalen. De
risicobereidheid geeft de
bandbreedte aan waarbinnen de
organisatie bereid is tot het nemen
van risico’s. Dit kan zowel in
kwalitatieve als kwantitatieve termen
of een combinatie daarvan zijn
geformuleerd.
Resultaten
Op dit element wordt gemiddeld 3,3 van de 5 punten gescoord. De risicostrategie en
-bereidheid zijn op dit niveau integraal gedocumenteerd en vastgesteld, wat zich
vertaalt naar operationele limieten voor de meeste risicocategorieën. Er zijn doelen
voor risicomanagement geformuleerd en deze zijn in lijn met de strategie van de
organisatie. Er kan nog een stap worden gezet in het vaststellen van ‘trigger points’
die vroegtijdig aangeven dat de risicobereidheid mogelijk wordt overschreden, zodat
tijdig actie kan worden ondernomen.
Voorbeelden van ‘best practices’ binnen dit element zijn het vaststellen van een
integraal risicobeleid dat toeziet op alle relevante risico’s en het vaststellen van de
risicobereidheid voor de ‘key risico’s’ die de strategie reflecteert en die zijn vertaald
naar relevante Kritische Risico Indicatoren (KRI’s) met bijbehorende streef- en
tolerantiewaarden waarover periodiek wordt gerapporteerd.
Risicostrategie en –bereidheid Uitkomsten en bijzonderheden
1 2 3 4 5
Op het element risicostrategie en -bereidheid zijn scores tussen de 1,5 en
4,5 toebedeeld. De meeste scores liggen tussen 3 en 4.
17© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Toelichting
Onder ‘Governance en organisatie’
wordt de structuur verstaan
waarbinnen de organisatie haar
risicomanagementactiviteiten stuurt,
monitort en hierover rapporteert.
Deze organisatiestructuur omvat
duidelijk omschreven taken en
verantwoordelijkheden, inclusief
beslissingsbevoegdheden en
rapportagelijnen.
Resultaten
Op dit element wordt gemiddeld 3,3 van de 5 punten gescoord. De functies van het
‘three lines of defence’-model zijn formeel ingericht, rollen en verantwoordelijkheden
zijn gedocumenteerd maar nog niet altijd integraal vastgesteld. Risicomanagement
maakt in het algemeen aantoonbaar deel uit van de besluitvorming. De benodigde
kennis en competenties voor goed risicomanagement zijn bekend, maar niet altijd
vastgesteld en hier kan met name in de eerste lijn meer aandacht voor zijn.
Opvallend is dat kennis van IT-risico’s niet altijd in voldoende mate aanwezig is
binnen de tweede lijn. Daarnaast kan in het algemeen nog een stap worden gezet op
het gebied van doorleving van de rollen en verantwoordelijkheden en het
aantoonbaar periodiek evalueren en aanpassen daarvan.
Voorbeelden van ‘best practices’ binnen dit element zijn het instellen van een
periodiek overleg waarin eerste en tweede lijn gezamenlijk de prioriteiten van de
komende periode en eventuele incidenten bespreken. Daarnaast kan ook gedacht
worden aan het op het gewenste niveau brengen van eerste, tweede en derde lijn,
zowel qua kwaliteit als qua capaciteit en het aantoonbaar meenemen van
risicomanagementaspecten in de HR-cyclus.
Governance en organisatie
1 2 3 4 5
Op het element governance en organisatie zijn scores tussen 2,5 en 4
toebedeeld. De laagste en hoogste scores komen overeen met het begin
van het eerste en het eind van het derde kwartiel; om die reden valt de
spreidingslijn onder de boxplot weg.
Uitkomsten en bijzonderheden
18© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Toelichting
Onder risicobeleid en -proces
worden het beleid en de
bijbehorende processen verstaan die
worden gebruikt met als doel het
bewerkstelligen van een
aantoonbare, adequate beheersing
van de risico’s in relatie tot de
doelstellingen van de organisatie.
Resultaten
Op dit element wordt gemiddeld 3,1 van de 5 punten gescoord. Risicobeleid en -
processen zijn integraal vastgelegd en vastgesteld inclusief de kaders en de
vereisten waaraan de uitvoering moet voldoen. Er kan nog een stap worden gezet in
het aantoonbaar periodiek evalueren van opzet, bestaan en werking van relevante
processen.
Voorbeelden van ‘best practices’ binnen dit element zijn een adequate beschrijving
van het datakwaliteitsbeleid en implementatie in relevante processen en het vooraf in
kaart brengen van realistische maatregelen die kunnen worden genomen als actuele
risico’s buiten de limieten vallen, waar mogelijk ook voor de niet-financiële risico’s.
Risicobeleid en –proces
1 2 3 4 5
Op het element risicobeleid en -proces zijn scores tussen 2 en 4
toebedeeld. De mate van spreiding op dit element is zeer beperkt.
Uitkomsten en bijzonderheden
19© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Toelichting
Risicomonitoring en -rapportage zijn
de activiteiten om risico’s te
identificeren, te beoordelen, te
prioriteren en erover te rapporteren
met als doel inzicht te krijgen in de
mate waarin relevante risico’s impact
hebben op het behalen van de
organisatiedoelen. Daarnaast de
wijze waarop wordt omgegaan met
de geïdentificeerde risico’s door
deze te vermijden, te accepteren, te
delen of beheersmaatregelen te
implementeren met als doel de
risico’s te beheersen en te mitigeren.
Resultaten
Op dit element wordt gemiddeld 3,2 van de 5 punten gescoord. De
risicomanagementcyclus wordt doorlopen en het proces voor identificatie, meting en
beheersing van risico’s is geformaliseerd en vastgelegd. Risico’s worden integraal
beoordeeld, waarbij meestal ook aandacht is voor eventuele samenhang tussen
risico’s. Er kan nog een flinke stap worden gezet in het aantoonbaar maken van
periodieke evaluatie van beheersmaatregelen en het omzetten daarvan in concrete
verbeteracties. Daarnaast verdient de opvolging van aandachtspunten en
aanbevelingen in risicomanagementrapportages soms meer aandacht.
Risicomonitoring en –rapportage
1 2 3 4 5
Op het element risicomonitoring en -rapportage zijn scores tussen 2 en 4
toebedeeld. De meeste scores liggen tussen 3 en 3,5.
Uitkomsten en bijzonderheden
20© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Toelichting
Binnen het element ‘Data en
systemen’ is de mate van gebruik
van geïntegreerde, bedrijfsbrede
systemen voor risicobeheersing
(GRC-tooling) beoordeeld, waarbij
ook actie- en incidentenmanagement
zijn meegenomen.
Resultaten
Op dit element wordt gemiddeld 2,4 van de 5 punten gescoord, waarmee dit de
laagste score in dit onderzoek is. Er is op onderdelen een infrastructuur voor
risicomanagement aanwezig en er wordt in beperkte mate gebruikgemaakt van eigen
informeel ontwikkelde gestandaardiseerde tools. Er kan nog een stap worden gezet
om risicomanagement de middelen en infrastructuur te geven om zijn taken effectief
en efficiënt uit te kunnen voeren.
Data en systemen
1 2 3 4 5
Op het element data en systemen zijn scores tussen 1,5 en 5 toebedeeld.
De score 5 blijkt een uitschieter, aangezien het merendeel van de scores
zich tussen 1,5 en 2,5 bevindt.
Uitkomsten en bijzonderheden
Conclusies
22© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Uit het onderzoek is gebleken dat de
gemiddelde score op alle elementen van het
risicomanagementraamwerk net boven score 3
ligt, met uitzondering van de score op het
element data en systemen. Of deze score ook
als een voldoende gezien mag worden, is
afhankelijk van de ambitie van de organisatie
zelf. De vereisten ten aanzien van integere en
beheerste bedrijfsvoering noch de Solvency-II
richtlijnen vullen dit niet voor de verzekeraar in.
In het algemeen zijn wij van mening dat
gestreefd zou moeten worden naar een niveau
waarin het risicomanagement aantoonbaar,
integraal en effectief wordt uitgevoerd, waarbij
de kosten opwegen tegen de baten. De
vertaling hiervan naar een ambitieniveau
verschilt per element en is onder meer
afhankelijk van de omvang van de organisatie
en de aard en complexiteit van de risico’s die
gelopen worden. In het algemeen zal dit tot
een gewenste score van ten minste 3 en op
onderdelen 4 leiden.
Op basis van ons onderzoek zien we de volgende ontwikkelmogelijkheden
voor de sector als geheel:
― Verdere sturing geven aan de risicobereidheid voor key risico’s,
bijvoorbeeld door waar mogelijk gebruik te maken van relevante KRI’s
met bijbehorende streef- en tolerantiewaarden.
― De inspanningen op het gebied van risicomanagement meer aantoonbaar
maken door vastlegging. Niet alleen van formeel uitgevoerde evaluaties
en risico-opinies, maar juist ook van tussentijdse gesprekken over risico’s
en risicobeheersing met de eerste lijn.
― Specifiek op het gebied van data en systemen kan de sector als geheel
nog een stap zetten. Daarbij moet aangetekend worden dat de
organisatie zelf wel eerst klaar moet zijn voordat het zinvol is GRC-tooling
aan te schaffen. Zo blijkt uit de praktijk dat het geen zin heeft om tooling
in te richten als de rollen en verantwoordelijkheden nog niet juist zijn
belegd of niet voor iedereen helder zijn. Bij een organisatie die de
governance wel al op een juiste wijze heeft ingericht en als die in de
praktijk ook werkt, kan de introductie van GRC-tooling een voorwaarde
zijn om het volwassenheidsniveau van het risicomanagement in de
breedte naar een hoger niveau te tillen.
Tot slot merken we op dat de tweede lijn vaak beperkt is qua capaciteit en
daarmee kwetsbaar is. Verdere groei in volwassenheid ten aanzien van
eerstelijnsrisicomanagement kan de druk op de tweede lijn doen verminderen.
Conclusies
ContactgegevensVeronique de Boer-Achmad
Risk & Regulatory - Financial Risk Management
Senior Manager
Tel: + 31 6 10 77 52 67
Nina Schallenberg
Risk & Regulatory - Financial Risk Management
Consultant
Tel: + 31 6 83 32 38 30
Bijlage: Beoordelingskader volwassenheidsniveau
25© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
Beoordelingskader volwassenheidsniveau (1/2)1. Initieel
2. Reproduceerbaar en
informeel 3. Gedefinieerd
4. Beheerst en
meetbaar 5. Continu verbeteren
1. Risicostrategie en
-bereidheid
Er is geen vastgelegde
risicostrategie en -
bereidheid. Doelstellingen
voor risico- management zijn
niet geformuleerd en
risicomanagement maakt
geen deel uit van de
strategie.
De risicostrategie en -
bereidheid zijn op hoofdlijnen
gedocumenteerd maar niet
vastgesteld. Doelstellingen
voor risicomanagement zijn
informeel en worden impliciet
meegenomen in de strategie
van de organisatie.
De risicostrategie en -
bereidheid zijn integraal
gedocumenteerd en
vastgesteld. Er zijn doelen
voor risicomanagement
geformuleerd en deze maken
deel uit van de strategie van
de organisatie.
De risicostrategie en -
bereidheid worden periodiek
geëvalueerd en aan
uitkomsten van evaluaties
wordt opvolging gegeven.
Doelstellingen ten aanzien
van risicomanagement
worden geëvalueerd en
maken deel uit van de
evaluatie van de
(bedrijfs)prestaties.
Er wordt continu gezocht
naar mogelijkheden om de
risicostrategie te verbeteren
en doelstellingen aan te
scherpen door middel van
self-assesments en actief
gebruik van externe bronnen.
2. Governance en
organisatie
Het ‘three lines of defence’-
model is ten dele opgezet,
waarbij rollen en
verantwoordelijkheden niet of
beperkt zijn vastgelegd.
Risicomanagement vormt
geen standaardonderdeel
van de besluitvorming.
De functies van het ‘three
lines of defence’-model zijn
ingericht, maar rollen en
verantwoordelijkheden zijn in
beperkte mate
gedocumenteerd en niet
integraal vastgesteld.
Risicomanagement maakt
niet standaard deel uit van
de besluitvorming. De
benodigde kennis en
competenties voor een goed
risicomanagement zijn
bekend, maar niet
vastgesteld.
Het ‘three lines of defence’-
model is formeel vastgesteld
en geïmplementeerd met
een duidelijke toewijzing van
rollen en
verantwoordelijkheden.
Risicomanagement maakt
standaard deel uit van de
besluitvorming. Er is een
duidelijk beeld van de
benodigde kennis en
competenties voor een
gedegen risicomanagement
en er is beleid om deze op
peil te houden.
Het ‘three lines of defence’-
model wordt in de praktijk
doorleefd, waarbij gehandeld
wordt in lijn met de rollen en
verantwoordelijkheden. De
werking van het ‘three lines
of defence’-model en de
wijze waarop invulling is
gegeven aan het beleid ten
aanzien van kennis en
competenties worden
periodiek geëvalueerd en
naar aanleiding hiervan
worden verbeteringen
doorgevoerd.
Als onderdeel van de
bedrijfsvoering wordt
doorlopend gezocht naar
mogelijkheden om de
werking van het ‘three lines
of defence’-model te
verbeteren. Hierbij wordt
gebruikgemaakt van externe
bronnen.
3. Risicobeleid en
-proces
Risicobeleid en -processen
zijn in beperkte mate
vastgelegd. Er ontbreken
duidelijke kaders en
vereisten voor de uitvoering
van taken.
Risicobeleid en -processen
zijn op hoofdlijnen
gedocumenteerd maar zijn
niet integraal vastgesteld. Er
wordt uitvoering aan taken
gegeven op een
gestructureerde manier,
maar de kaders waarbinnen
dit gebeurt en de vereisten
zijn informeel.
Risicobeleid en -processen
zijn integraal vastgelegd en
vastgesteld inclusief de
kaders waarbinnen en de
vereisten waaraan de
uitvoering moet voldoen.
Het risicobeleid en -
procedures worden periodiek
geëvalueerd zowel qua opzet
en inhoud als qua
uitvoering. Aan de evaluatie
wordt concreet follow-up
gegeven. De kwaliteit van de
sturingsinformatie wordt
periodiek geëvalueerd.
Het risicobeleid en -
procedures worden
doorlopend geëvalueerd en
er wordt gezocht naar
verbeteringen. Hierbij wordt
actief gebruikgemaakt van
externe bronnen.
26© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen
die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.
1. Initieel
2. Reproduceerbaar en
informeel 3. Gedefinieerd
4. Beheerst en
meetbaar 5. Continu verbeteren
4. Risicomonitoring
en -rapportage
De risicomanagementcyclus
wordt in beperkte mate
doorlopen. Risico’s worden
niet actief geïdentificeerd en
gemeten en deze worden ad
hoc beoordeeld. Er wordt
niet gebruikgemaakt van
scenarioanalyses en de
effectiviteit van
beheersmaatregelen wordt
niet gemonitord en
geëvalueerd. Rapportages
zijn summier.
De risicomanagementcyclus
wordt doorlopen, maar dit is
niet vastgelegd. Risico’s
worden actief
geïdentificeerd, gemeten en
beoordeeld, maar niet
integraal en in samenhang.
Formele vastlegging
ontbreekt veelal. De
effectiviteit van
risicomanagement wordt niet
standaard beoordeeld en
geëvalueerd. Er zijn
risicorapportages, maar de
vereisten hiervoor zijn niet
vastgesteld en lenen zich
beperkt voor sturing.
De risicomanagementcyclus
wordt doorlopen en het
proces voor identificatie,
meting en beheersing van
risico’s is geformaliseerd en
vastgelegd. Risico’s worden
integraal beoordeeld inclusief
de samenhang. Risico’s
worden in samenhang met
elkaar gemeten met
gebruikelijke technieken.
Periodiek worden
scenarioanalyses uitgevoerd.
Rapportages bevatten de
vereisten van de gebruikers
en vormen een effectief
sturingsmiddel.
De risicomanagementcyclus
wordt periodiek doorlopen,
met een zichtbare rol voor de
stap evaluatie in de cyclus.
Cycli zijn niet op zichzelf
staand maar volgen elkaar
op, met aandacht voor de
uitkomsten. Hierbij wordt
gebruik-gemaakt van state-
of-the-art technieken voor
scenarioanalyses. De
evaluaties leiden tot een
concreet actieplan dat
vervolgens wordt omgezet.
Er wordt gestuurd op
risicorapportages en de
kwaliteit van de
sturingsinformatie wordt
periodiek geëvalueerd.
De risicomanagementcyclus
wordt continu doorlopen
waarbij gezocht wordt naar
nieuwe risico’s en vergroting
van de kwaliteit van de
beoordeling en
meetmethoden,
gebruikmakend van de state-
of-the-art technieken. Hierbij
wordt actief gebruikgemaakt
van externe bronnen.
Risicomanagement en de
kwaliteit van
risicorapportages worden
doorlopend geëvalueerd en
er wordt gezocht om deze te
verbeteren.
5. Data en systemen De infrastructuur en
middelen voor
risicomanagement zijn
beperkt. Er zijn in beperkte
mate tools beschikbaar,
maar deze zijn afhankelijk
van individuen
Er is op onderdelen een
infrastructuur voor risico-
management en er zijn
middelen aan toegewezen.
Er wordt in beperkte mate
gebruikgemaakt van eigen
informeel ontwikkelde
gestandaardiseerde tools.
Risicomanagement beschikt
over de middelen en
infrastructuur om zijn taken
effectief en efficiënt uit te
voeren. Hierbij wordt op
onderdelen gebruikgemaakt
van tooling die in de markt
aanwezig is en er zijn deels
geautomatiseerde
dashboards.
Risicomanagement heeft de
middelen en tooling om een
integraal risicomanagement
effectief en efficiënt uit te
voeren. Dashboards zijn
geautomatiseerd. De
middelen en tooling worden
periodiek geëvalueerd en
verbeteringen naar
aanleiding hiervan worden
uitgevoerd.
Risicomanagement beschikt
over geavanceerde tooling
en over ruime middelen om
een state-of-the-art
risicomanagement op te
zetten en doorlopend uit te
voeren.
Beoordelingskader volwassenheidsniveau (2/2)
KPMG on social media KPMG app
© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van
zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten
voorbehouden.
De naam KPMG en het logo zijn geregistreerde merken van KPMG International.