Middelgrote en kleinere verzekeraars in Nederland...De risicomanagementactiviteiten zijn volledig...

Volwassenheidsniveau risicomanagement

KPMG Advisory N.V.

―

Mei 2020

Middelgrote en kleinere

verzekeraars in Nederland

2© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen

die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden.

25

23

Inhoudsopgave

Aanleiding Risico-

management-

raamwerk

Onderzoeks-

methode

Resultaten Conclusies

Contactgegevens

Bijlage – Beoordelingskader volwassenheidsniveau

3 4 9 13 21



De professionalisering van de risicomanagementfunctie

(RMF) binnen verzekeraars neemt steeds verder toe.

Dit wordt mede veroorzaakt door verhoogde aandacht van de

toezichthouder. Hierbij komt de ambitie om het risicomanagement-

raamwerk meer integraal neer te zetten en de opzet, het bestaan

en de werking aantoonbaar te maken steeds vaker expliciet naar

voren.

Om inzicht te krijgen in de huidige status van het volwassenheids-

niveau van het risicomanagementraamwerk in de Nederlandse

verzekeringssector heeft KPMG Advisory N.V. een benchmark-

studie uitgevoerd onder middelgrote en kleinere verzekeraars.

In dit rapport presenteren wij de resultaten.

Aanleiding

Risicomanagement-raamwerk



De Wet op het financieel toezicht (Wft) en de

Solvency II-richtlijnen stellen eisen aan het

risicomanagement binnen de verzekeringssector.

― De hoofdstukken 3 en 4 van het Besluit prudentiële

regels Wft beschrijven de vereisten ten aanzien van

integere respectievelijk beheerste bedrijfsvoering waar

door verzekeraars aan moet worden voldaan.

― De Solvency II-richtlijn (artikel 44) en gedelegeerde

verordening (artikel 259) beschrijven de vereisten voor

het risicomanagementsysteem bij verzekeraars. Dit

systeem bestaat uit strategieën, processen en

rapportageprocedures die essentieel zijn voor het

identificeren, meten, monitoren, beheren en rapporteren

van en over de risico’s. De risicomanagementfunctie is

verantwoordelijk voor het onderhouden van het

risicomanagementsysteem en vervult bovendien een

belangrijke faciliterende rol bij het definiëren van de

risicobereidheid binnen de organisatie en het zorgdragen

voor de daadwerkelijke uitvoering van het beleid.

Het betreft met name open normen waar door de

verzekeraar zelf nader invulling aan moet worden gegeven.

Vereisten uit wet- en regelgeving

Verantwoordelijk

voor de effectieve

en efficiënte

werking van

processen,

beheersmaat-

regelen en het

afleggen van

verantwoording

hierover

Adviseren/

ondersteunen bij

het zorgen voor

een beheerste,

effectieve en

efficiënte

bedrijfsvoering

Toezien op de

kwaliteit van de

opzet van het

beheerssysteem

als geheel en de

werking daarvan



Het risicomanagementraamwerk

dat in de praktijk door veel

verzekeraars wordt toegepast,

kan worden onderverdeeld in

verschillende elementen zoals

hiernaast weergegeven.

Het raamwerkRisicostrategie en -bereidheid

De wijze waarop risicomanagement wordt gebruikt om strategische doelstellingen te behalen en de

mate waarin de organisatie bereid is daarbij risico’s te accepteren

Governance en organisatie

De structuur waarbinnen de organisatie haar risicomanagement-

activiteiten stuurt, monitort en hierover rapporteert

Risicobeleid en -proces

Het beleid en de processen die worden gebruikt met als doel het

bewerkstelligen van een aantoonbare, adequate beheersing

van de risico’s

Risicomonitoring en -rapportage

De activiteiten om risico’s te identificeren, te beoordelen, te

beheersen en erover te rapporteren

Data en systemen

De IT-infrastructuur die de organisatie gebruikt ter ondersteuning van haar

risicomanagementactiviteiten

.

Cultuur en gedrag

De geldende normen en waarden binnen de organisatie die van

invloed zijn op risicogerelateerde beslissingen

Risico-

management-

raamwerk



Ter illustratie:

― De verzekeraar heeft als strategisch doel

gedefinieerd duurzaam winstgevend te

willen zijn (1) en wil het pricing risico (2)

daarom mitigeren door te sturen op de

waarde van nieuwe productie (3).

― De verzekeraar meet daarom de waarde

van de Value New Business (VNB) zowel

in de economische werkelijkheid als op

Solvency II-grondslagen (4) en heeft

hiervoor streef- en tolerantiewaarden

opgesteld die zijn opgenomen in het

beleid (5).

― De werkelijke VNB, zowel in de

economische werkelijkheid als op

Solvency II-grondslagen, wordt periodiek

gemeten en in de rapportage vergeleken

met de vooraf gestelde streef- en

tolerantiewaarden (6).

De elementen voor een goed functionerend risicomanagementsysteem zijn in de markt breed bekend, maar aan de onderlinge

samenhang kan vaak meer aandacht worden besteed. In de figuur is opgenomen hoe de samenhang tussen de elementen er in

de praktijk uit zou kunnen zien.

Samenhang binnen het raamwerk (1/2)

Vaststellen

KRI’s en

streefwaar

den

G O V E R N A N C E & C U L T U U R

Strategische doelen

verzekeraar

Risico universum

Key risico’s

Vaststellen

en beschrijven

processen

Risicobeoordeling(RCSA per proces of risico)

Vaststellen

key processen

en systemen

Vaststellen

key controls

Vastlegging in

control

framework

Vaststellen

risicobereidheid

Rapportages

Opstellen beleid / procedures

In kaart brengen

(effectiviteit) beheers-

maatregelen

1

2 34

5

6

2

3

4

5

6

1



Ter illustratie:

― Het pricingproces is beschreven (7)

waarbij ook de van toepassing zijnde

operationele risico’s en

beheersmaatregelen in kaart zijn

gebracht (8).

― Periodiek wordt voor het pricingproces

een RCSA uitgevoerd (9) en wordt

geëvalueerd of het proces, de risico’s en

de beheersmaatregelen ‘key’ zijn (10).

― Als dat het geval is, wordt dit opgenomen

in het key control framework (11). Over

de effectiviteit van de key controls wordt

periodiek gerapporteerd (12).

De elementen voor een goed functionerend risicomanagementsysteem zijn in de markt breed bekend, maar aan de onderlinge

samenhang kan vaak meer aandacht worden besteed. In de figuur is opgenomen hoe de samenhang tussen de elementen er in

de praktijk uit zou kunnen zien.

Samenhang binnen het raamwerk (2/2)

Vaststellen

KRI’s en

streefwaar

den

G O V E R N A N C E & C U L T U U R

Strategische doelen

verzekeraar

Risico universum

Key risico’s

Vaststellen

en beschrijven

processen

Risicobeoordeling(RCSA per proces of risico)

Vaststellen

key processen

en systemen

Vaststellen

key controls

Vastlegging in

control

framework

Vaststellen

risicobereidheid

Rapportages

Opstellen beleid / procedures

In kaart brengen

(effectiviteit) beheers-

maatregelen

7 9 10

8 11

12

10

7

9

10

8

11

12

Onderzoeks-methode



Deze benchmarkstudie is gebaseerd op interviews met risicomanagement-

(sleutel)functionarissen van middelgrote en kleinere verzekeraars in

Nederland. Onder de deelnemers bevinden zich zowel leven- als schade-

verzekeraars en gemengde verzekeringsgroepen. Aan het onderzoek hebben

12 verzekeraars deelgenomen die samen ruim 35% van de markt voor

kleinere en middelgrote verzekeraars reflecteren, gemeten op basis van

premieomzet.

Het risicomanagementraamwerk dat in de praktijk door verzekeraars wordt

toegepast kan worden onderverdeeld in verschillende elementen zoals

hiervoor is toegelicht. Omdat de volwassenheid per element van het

raamwerk binnen een verzekeraar sterk kan verschillen, hebben wij, op basis

van de gehouden interviews, elk van de deelnemende verzekeraars per

element een score van 1 tot 5 gegeven. Het daarbij gehanteerde

beoordelingskader wordt op de volgende pagina’s toegelicht.

In dit onderzoek zijn overigens geen scores toegekend op het element

‘cultuur en gedrag’, omdat de onderzoeksmethode niet passend is voor het

beoordelen van het volwassenheidsniveau op dit element.

Toelichting onderzoeksmethode

Initieel 01

Reproduceerbaar

en informeel02

Gedefinieerd03

Beheerst en

meetbaar 04

Continu

verbeteren05



Toelichting beoordelingskader (1/2)In dit onderzoek is gebruikgemaakt van een vijfpuntschaal voor de beoordelingsmogelijkheden. Onderstaand wordt toegelicht

welke eisen aan elke score zijn gesteld ter toekenning van de betreffende score. In de bijlage is een nadere uitwerking van dit

beoordelingskader per element van het risicomanagementraamwerk opgenomen.

Governancevereisten voor een formeel risicomanagementkader zijn niet of nauwelijks aanwezig. De

risicomanagementprocessen en -kaders zijn niet volledig gedocumenteerd, inconsistent en/of

onduidelijk. Risicomanagementactiviteiten zijn niet (voldoende) afgestemd op de bedrijfsstrategie en

de uitvoering van risicomanagementactiviteiten is afhankelijk van individuen.

De risicomanagementcyclus wordt in beperkte mate doorlopen.

Initieel

01

De organisatie voldoet aan de minimale verwachtingen van interne en externe belanghebbenden ten

aanzien van risicomanagementactiviteiten. Enkele risicomanagementactiviteiten zijn vastgesteld en

gedocumenteerd en zijn (in elk geval deels) in lijn met de strategie. Er is een beperkte focus op

opkomende risico’s en/of samenhang tussen risico’s. Risicobeleid en -processen zijn op hoofdlijnen

gedocumenteerd, maar niet integraal vastgesteld. Beheersmaatregelen zijn genomen, maar niet

formeel vastgelegd en de effectiviteit wordt niet standaard integraal beoordeeld.

Reproduceerbaar en informeel

02



Toelichting beoordelingskader (2/2)

De risicomanagementactiviteiten zijn geïntegreerd en gecoördineerd en de doelstellingen voor

risicomanagement zijn consistent in lijn met de bedrijfsstrategie. De risicomanagementcyclus wordt

aantoonbaar periodiek doorlopen en beheersmaatregelen worden periodiek aantoonbaar integraal

geëvalueerd. De uitkomst van de evaluatie geeft aantoonbaar aanleiding tot aanpassingen. Er wordt

waar relevant infrastructuur gebruikt voor ondernemingsbrede risicometing, -beheersing en

-rapportage.

Beheerst en meetbaar

04

De risicomanagementactiviteiten zijn volledig ingebed in strategische planning en de dagelijkse

besluitvorming. Er is een goedwerkend systeem om de directie en het management vroegtijdig te

waarschuwen en op de hoogte te stellen van risico’s buiten de vastgestelde toleranties en limieten.

Risicomanagement vormt en dient als bron van concurrentievoordeel.

Continu verbeteren

05

De directie en het management vertrouwen er steeds meer op dat risico’s effectief worden beheerd

op basis van aantoonbare inspanningen. De risicobereidheid is integraal vastgesteld en waar

mogelijk middels relevante KRI’s, doorvertaald naar toleranties en limieten.

Risicomanagementactiviteiten zijn gericht op het behalen van de strategie. Het

risicomanagementproces wordt periodiek geëvalueerd, maar dit is nog niet altijd aantoonbaar.

Gedefinieerd03

Resultaten



Leeswijzer boxplotEen boxplot is een vereenvoudigde grafische weergave van de verdeling van data. Aan de hand van een voorbeeld wordt

uitgelegd hoe u deze weergave kunt lezen. In dit voorbeeld zien de scores er, gesorteerd op hoogte, als volgt uit:

14

Hoogste scoreLaagste score

1 2 3 4 5

Verzekeraar 1 2 3 4 5 6 7 8 9 10 11 12

Score 1.5 1.5 1.5 2 2 2 2 2.5 2.5 3 3.5 5

Kwartiel 1 1 1 2 2 2 3 3 3 4 4 4

1. Minimum: de laagst toebedeelde score (1,5), zie de staart aan de linker kant

2. Tweede kwartiel Q2: 25 - 50% van de scores, zie het lichtblauwe blok

3. Mediaan: het middelste getal in de scorereeks (2), de kleurensplit tussen

4. Derde kwartiel Q3: 50 - 75% van de scores, zie het donkerblauwe blok

5. Maximum: de hoogst toebedeelde score (5), zie de staart aan de rechter kant

6. Gemiddelde van alle scores (2,4), zie het oranje kruis

In dit rapport zien we twee ‘bijzondere’ boxplots:

• De staarten vallen weg onder de blauwe blokken: dit houdt in dat de laagste en/of de hoogste scores binnen de grenzen van het eerste en derde

kwartiel vallen.

• Het derde kwartiel valt over het tweede kwartiel . Dat betekend dat er een lage mate is van spreiding, de hoogste waarde in het

tweede kwartiel is gelijk aan de laagste waarde in het derde kwartiel.



Uitkomst benchmarkonderzoekDe uitkomsten van de benchmark zijn samengevat in onderstaande twee figuren.

Figuur 1 geeft de boxplots per element van het risicomanagementraamwerk weer waar informatie over de verdeling van scores

per element kan worden gehaald. In figuur 2 wordt een spiderweb weergegeven. Hiermee is inzichtelijk gemaakt hoe de

verzekeraars gemiddeld gezien op de verschillende elementen van het risicomanagementraamwerk hebben gescoord. Te zien is

dat de gemiddelde score op alle elementen net boven de 3 ligt, met uitzondering van de score op het element ‘Data en

systemen’.

Figuur 2

Figuur 1



Toelichting

De risicostrategie en -bereidheid is

de wijze waarop risicomanagement

wordt gebruikt om strategische

doelstellingen, businessplannen en

overige doelstellingen te behalen. De

risicobereidheid geeft de

bandbreedte aan waarbinnen de

organisatie bereid is tot het nemen

van risico’s. Dit kan zowel in

kwalitatieve als kwantitatieve termen

of een combinatie daarvan zijn

geformuleerd.

Resultaten

Op dit element wordt gemiddeld 3,3 van de 5 punten gescoord. De risicostrategie en

-bereidheid zijn op dit niveau integraal gedocumenteerd en vastgesteld, wat zich

vertaalt naar operationele limieten voor de meeste risicocategorieën. Er zijn doelen

voor risicomanagement geformuleerd en deze zijn in lijn met de strategie van de

organisatie. Er kan nog een stap worden gezet in het vaststellen van ‘trigger points’

die vroegtijdig aangeven dat de risicobereidheid mogelijk wordt overschreden, zodat

tijdig actie kan worden ondernomen.

Voorbeelden van ‘best practices’ binnen dit element zijn het vaststellen van een

integraal risicobeleid dat toeziet op alle relevante risico’s en het vaststellen van de

risicobereidheid voor de ‘key risico’s’ die de strategie reflecteert en die zijn vertaald

naar relevante Kritische Risico Indicatoren (KRI’s) met bijbehorende streef- en

tolerantiewaarden waarover periodiek wordt gerapporteerd.

Risicostrategie en –bereidheid Uitkomsten en bijzonderheden

1 2 3 4 5

Op het element risicostrategie en -bereidheid zijn scores tussen de 1,5 en

4,5 toebedeeld. De meeste scores liggen tussen 3 en 4.



Toelichting

Onder ‘Governance en organisatie’

wordt de structuur verstaan

waarbinnen de organisatie haar

risicomanagementactiviteiten stuurt,

monitort en hierover rapporteert.

Deze organisatiestructuur omvat

duidelijk omschreven taken en

verantwoordelijkheden, inclusief

beslissingsbevoegdheden en

rapportagelijnen.

Resultaten

Op dit element wordt gemiddeld 3,3 van de 5 punten gescoord. De functies van het

‘three lines of defence’-model zijn formeel ingericht, rollen en verantwoordelijkheden

zijn gedocumenteerd maar nog niet altijd integraal vastgesteld. Risicomanagement

maakt in het algemeen aantoonbaar deel uit van de besluitvorming. De benodigde

kennis en competenties voor goed risicomanagement zijn bekend, maar niet altijd

vastgesteld en hier kan met name in de eerste lijn meer aandacht voor zijn.

Opvallend is dat kennis van IT-risico’s niet altijd in voldoende mate aanwezig is

binnen de tweede lijn. Daarnaast kan in het algemeen nog een stap worden gezet op

het gebied van doorleving van de rollen en verantwoordelijkheden en het

aantoonbaar periodiek evalueren en aanpassen daarvan.

Voorbeelden van ‘best practices’ binnen dit element zijn het instellen van een

periodiek overleg waarin eerste en tweede lijn gezamenlijk de prioriteiten van de

komende periode en eventuele incidenten bespreken. Daarnaast kan ook gedacht

worden aan het op het gewenste niveau brengen van eerste, tweede en derde lijn,

zowel qua kwaliteit als qua capaciteit en het aantoonbaar meenemen van

risicomanagementaspecten in de HR-cyclus.

Governance en organisatie

1 2 3 4 5

Op het element governance en organisatie zijn scores tussen 2,5 en 4

toebedeeld. De laagste en hoogste scores komen overeen met het begin

van het eerste en het eind van het derde kwartiel; om die reden valt de

spreidingslijn onder de boxplot weg.

Uitkomsten en bijzonderheden



Toelichting

Onder risicobeleid en -proces

worden het beleid en de

bijbehorende processen verstaan die

worden gebruikt met als doel het

bewerkstelligen van een

aantoonbare, adequate beheersing

van de risico’s in relatie tot de

doelstellingen van de organisatie.

Resultaten

Op dit element wordt gemiddeld 3,1 van de 5 punten gescoord. Risicobeleid en -

processen zijn integraal vastgelegd en vastgesteld inclusief de kaders en de

vereisten waaraan de uitvoering moet voldoen. Er kan nog een stap worden gezet in

het aantoonbaar periodiek evalueren van opzet, bestaan en werking van relevante

processen.

Voorbeelden van ‘best practices’ binnen dit element zijn een adequate beschrijving

van het datakwaliteitsbeleid en implementatie in relevante processen en het vooraf in

kaart brengen van realistische maatregelen die kunnen worden genomen als actuele

risico’s buiten de limieten vallen, waar mogelijk ook voor de niet-financiële risico’s.

Risicobeleid en –proces

1 2 3 4 5

Op het element risicobeleid en -proces zijn scores tussen 2 en 4

toebedeeld. De mate van spreiding op dit element is zeer beperkt.




Toelichting

Risicomonitoring en -rapportage zijn

de activiteiten om risico’s te

identificeren, te beoordelen, te

prioriteren en erover te rapporteren

met als doel inzicht te krijgen in de

mate waarin relevante risico’s impact

hebben op het behalen van de

organisatiedoelen. Daarnaast de

wijze waarop wordt omgegaan met

de geïdentificeerde risico’s door

deze te vermijden, te accepteren, te

delen of beheersmaatregelen te

implementeren met als doel de

risico’s te beheersen en te mitigeren.

Resultaten

Op dit element wordt gemiddeld 3,2 van de 5 punten gescoord. De

risicomanagementcyclus wordt doorlopen en het proces voor identificatie, meting en

beheersing van risico’s is geformaliseerd en vastgelegd. Risico’s worden integraal

beoordeeld, waarbij meestal ook aandacht is voor eventuele samenhang tussen

risico’s. Er kan nog een flinke stap worden gezet in het aantoonbaar maken van

periodieke evaluatie van beheersmaatregelen en het omzetten daarvan in concrete

verbeteracties. Daarnaast verdient de opvolging van aandachtspunten en

aanbevelingen in risicomanagementrapportages soms meer aandacht.

Risicomonitoring en –rapportage

1 2 3 4 5

Op het element risicomonitoring en -rapportage zijn scores tussen 2 en 4

toebedeeld. De meeste scores liggen tussen 3 en 3,5.




Toelichting

Binnen het element ‘Data en

systemen’ is de mate van gebruik

van geïntegreerde, bedrijfsbrede

systemen voor risicobeheersing

(GRC-tooling) beoordeeld, waarbij

ook actie- en incidentenmanagement

zijn meegenomen.

Resultaten

Op dit element wordt gemiddeld 2,4 van de 5 punten gescoord, waarmee dit de

laagste score in dit onderzoek is. Er is op onderdelen een infrastructuur voor

risicomanagement aanwezig en er wordt in beperkte mate gebruikgemaakt van eigen

informeel ontwikkelde gestandaardiseerde tools. Er kan nog een stap worden gezet

om risicomanagement de middelen en infrastructuur te geven om zijn taken effectief

en efficiënt uit te kunnen voeren.

Data en systemen

1 2 3 4 5

Op het element data en systemen zijn scores tussen 1,5 en 5 toebedeeld.

De score 5 blijkt een uitschieter, aangezien het merendeel van de scores

zich tussen 1,5 en 2,5 bevindt.


Conclusies



Uit het onderzoek is gebleken dat de

gemiddelde score op alle elementen van het

risicomanagementraamwerk net boven score 3

ligt, met uitzondering van de score op het

element data en systemen. Of deze score ook

als een voldoende gezien mag worden, is

afhankelijk van de ambitie van de organisatie

zelf. De vereisten ten aanzien van integere en

beheerste bedrijfsvoering noch de Solvency-II

richtlijnen vullen dit niet voor de verzekeraar in.

In het algemeen zijn wij van mening dat

gestreefd zou moeten worden naar een niveau

waarin het risicomanagement aantoonbaar,

integraal en effectief wordt uitgevoerd, waarbij

de kosten opwegen tegen de baten. De

vertaling hiervan naar een ambitieniveau

verschilt per element en is onder meer

afhankelijk van de omvang van de organisatie

en de aard en complexiteit van de risico’s die

gelopen worden. In het algemeen zal dit tot

een gewenste score van ten minste 3 en op

onderdelen 4 leiden.

Op basis van ons onderzoek zien we de volgende ontwikkelmogelijkheden

voor de sector als geheel:

― Verdere sturing geven aan de risicobereidheid voor key risico’s,

bijvoorbeeld door waar mogelijk gebruik te maken van relevante KRI’s

met bijbehorende streef- en tolerantiewaarden.

― De inspanningen op het gebied van risicomanagement meer aantoonbaar

maken door vastlegging. Niet alleen van formeel uitgevoerde evaluaties

en risico-opinies, maar juist ook van tussentijdse gesprekken over risico’s

en risicobeheersing met de eerste lijn.

― Specifiek op het gebied van data en systemen kan de sector als geheel

nog een stap zetten. Daarbij moet aangetekend worden dat de

organisatie zelf wel eerst klaar moet zijn voordat het zinvol is GRC-tooling

aan te schaffen. Zo blijkt uit de praktijk dat het geen zin heeft om tooling

in te richten als de rollen en verantwoordelijkheden nog niet juist zijn

belegd of niet voor iedereen helder zijn. Bij een organisatie die de

governance wel al op een juiste wijze heeft ingericht en als die in de

praktijk ook werkt, kan de introductie van GRC-tooling een voorwaarde

zijn om het volwassenheidsniveau van het risicomanagement in de

breedte naar een hoger niveau te tillen.

Tot slot merken we op dat de tweede lijn vaak beperkt is qua capaciteit en

daarmee kwetsbaar is. Verdere groei in volwassenheid ten aanzien van

eerstelijnsrisicomanagement kan de druk op de tweede lijn doen verminderen.

Conclusies

ContactgegevensVeronique de Boer-Achmad

Risk & Regulatory - Financial Risk Management

Senior Manager

Tel: + 31 6 10 77 52 67

[email protected]

Nina Schallenberg

Risk & Regulatory - Financial Risk Management

Consultant

Tel: + 31 6 83 32 38 30

[email protected]

mailto:[email protected]?subject=Benchmark volwassenheidsniveau Risicomanagement

mailto:[email protected]?subject=Benchmark volwassenheidsniveau Risicomanagement

Bijlage: Beoordelingskader volwassenheidsniveau



Beoordelingskader volwassenheidsniveau (1/2)1. Initieel

2. Reproduceerbaar en

informeel 3. Gedefinieerd

4. Beheerst en

meetbaar 5. Continu verbeteren

1. Risicostrategie en

-bereidheid

Er is geen vastgelegde

risicostrategie en -

bereidheid. Doelstellingen

voor risicomanagement zijn

niet geformuleerd en

risicomanagement maakt

geen deel uit van de

strategie.

De risicostrategie en -

bereidheid zijn op hoofdlijnen

gedocumenteerd maar niet

vastgesteld. Doelstellingen

voor risicomanagement zijn

informeel en worden impliciet

meegenomen in de strategie

van de organisatie.


bereidheid zijn integraal

gedocumenteerd en

vastgesteld. Er zijn doelen

voor risicomanagement

geformuleerd en deze maken

deel uit van de strategie van

de organisatie.


bereidheid worden periodiek

geëvalueerd en aan

uitkomsten van evaluaties

wordt opvolging gegeven.

Doelstellingen ten aanzien

van risicomanagement

worden geëvalueerd en

maken deel uit van de

evaluatie van de

(bedrijfs)prestaties.

Er wordt continu gezocht

naar mogelijkheden om de

risicostrategie te verbeteren

en doelstellingen aan te

scherpen door middel van

self-assesments en actief

gebruik van externe bronnen.

2. Governance en

organisatie

Het ‘three lines of defence’-

model is ten dele opgezet,

waarbij rollen en

verantwoordelijkheden niet of

beperkt zijn vastgelegd.

Risicomanagement vormt

geen standaardonderdeel

van de besluitvorming.

De functies van het ‘three

lines of defence’-model zijn

ingericht, maar rollen en

verantwoordelijkheden zijn in

beperkte mate

gedocumenteerd en niet

integraal vastgesteld.

Risicomanagement maakt

niet standaard deel uit van

de besluitvorming. De

benodigde kennis en

competenties voor een goed

risicomanagement zijn

bekend, maar niet

vastgesteld.


model is formeel vastgesteld

en geïmplementeerd met

een duidelijke toewijzing van

rollen en

verantwoordelijkheden.

Risicomanagement maakt

standaard deel uit van de

besluitvorming. Er is een

duidelijk beeld van de

benodigde kennis en

competenties voor een

gedegen risicomanagement

en er is beleid om deze op

peil te houden.


model wordt in de praktijk

doorleefd, waarbij gehandeld

wordt in lijn met de rollen en

verantwoordelijkheden. De

werking van het ‘three lines

of defence’-model en de

wijze waarop invulling is

gegeven aan het beleid ten

aanzien van kennis en

competenties worden

periodiek geëvalueerd en

naar aanleiding hiervan

worden verbeteringen

doorgevoerd.

Als onderdeel van de

bedrijfsvoering wordt

doorlopend gezocht naar

mogelijkheden om de

werking van het ‘three lines

of defence’-model te

verbeteren. Hierbij wordt

gebruikgemaakt van externe

bronnen.

3. Risicobeleid en

-proces

Risicobeleid en -processen

zijn in beperkte mate

vastgelegd. Er ontbreken

duidelijke kaders en

vereisten voor de uitvoering

van taken.


zijn op hoofdlijnen

gedocumenteerd maar zijn

niet integraal vastgesteld. Er

wordt uitvoering aan taken

gegeven op een

gestructureerde manier,

maar de kaders waarbinnen

dit gebeurt en de vereisten

zijn informeel.


zijn integraal vastgelegd en

vastgesteld inclusief de

kaders waarbinnen en de

vereisten waaraan de

uitvoering moet voldoen.

Het risicobeleid en -

procedures worden periodiek

geëvalueerd zowel qua opzet

en inhoud als qua

uitvoering. Aan de evaluatie

wordt concreet follow-up

gegeven. De kwaliteit van de

sturingsinformatie wordt

periodiek geëvalueerd.

Het risicobeleid en -

procedures worden

doorlopend geëvalueerd en

er wordt gezocht naar

verbeteringen. Hierbij wordt

actief gebruikgemaakt van

externe bronnen.



1. Initieel

2. Reproduceerbaar en

informeel 3. Gedefinieerd

4. Beheerst en

meetbaar 5. Continu verbeteren

4. Risicomonitoring

en -rapportage

De risicomanagementcyclus

wordt in beperkte mate

doorlopen. Risico’s worden

niet actief geïdentificeerd en

gemeten en deze worden ad

hoc beoordeeld. Er wordt

niet gebruikgemaakt van

scenarioanalyses en de

effectiviteit van

beheersmaatregelen wordt

niet gemonitord en

geëvalueerd. Rapportages

zijn summier.


wordt doorlopen, maar dit is

niet vastgelegd. Risico’s

worden actief

geïdentificeerd, gemeten en

beoordeeld, maar niet

integraal en in samenhang.

Formele vastlegging

ontbreekt veelal. De

effectiviteit van

risicomanagement wordt niet

standaard beoordeeld en

geëvalueerd. Er zijn

risicorapportages, maar de

vereisten hiervoor zijn niet

vastgesteld en lenen zich

beperkt voor sturing.


wordt doorlopen en het

proces voor identificatie,

meting en beheersing van

risico’s is geformaliseerd en

vastgelegd. Risico’s worden

integraal beoordeeld inclusief

de samenhang. Risico’s

worden in samenhang met

elkaar gemeten met

gebruikelijke technieken.

Periodiek worden

scenarioanalyses uitgevoerd.

Rapportages bevatten de

vereisten van de gebruikers

en vormen een effectief

sturingsmiddel.


wordt periodiek doorlopen,

met een zichtbare rol voor de

stap evaluatie in de cyclus.

Cycli zijn niet op zichzelf

staand maar volgen elkaar

op, met aandacht voor de

uitkomsten. Hierbij wordt

gebruik-gemaakt van state-

of-the-art technieken voor

scenarioanalyses. De

evaluaties leiden tot een

concreet actieplan dat

vervolgens wordt omgezet.

Er wordt gestuurd op

risicorapportages en de

kwaliteit van de

sturingsinformatie wordt

periodiek geëvalueerd.


wordt continu doorlopen

waarbij gezocht wordt naar

nieuwe risico’s en vergroting

van de kwaliteit van de

beoordeling en

meetmethoden,

gebruikmakend van de state-

of-the-art technieken. Hierbij

wordt actief gebruikgemaakt

van externe bronnen.

Risicomanagement en de

kwaliteit van

risicorapportages worden

doorlopend geëvalueerd en

er wordt gezocht om deze te

verbeteren.

5. Data en systemen De infrastructuur en

middelen voor

risicomanagement zijn

beperkt. Er zijn in beperkte

mate tools beschikbaar,

maar deze zijn afhankelijk

van individuen

Er is op onderdelen een

infrastructuur voor risico-

management en er zijn

middelen aan toegewezen.

Er wordt in beperkte mate

gebruikgemaakt van eigen

informeel ontwikkelde

gestandaardiseerde tools.

Risicomanagement beschikt

over de middelen en

infrastructuur om zijn taken

effectief en efficiënt uit te

voeren. Hierbij wordt op

onderdelen gebruikgemaakt

van tooling die in de markt

aanwezig is en er zijn deels

geautomatiseerde

dashboards.

Risicomanagement heeft de

middelen en tooling om een

integraal risicomanagement

effectief en efficiënt uit te

voeren. Dashboards zijn

geautomatiseerd. De

middelen en tooling worden

periodiek geëvalueerd en

verbeteringen naar

aanleiding hiervan worden

uitgevoerd.

Risicomanagement beschikt

over geavanceerde tooling

en over ruime middelen om

een state-of-the-art

risicomanagement op te

zetten en doorlopend uit te

voeren.

Beoordelingskader volwassenheidsniveau (2/2)

KPMG on social media KPMG app

© 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van

zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten

voorbehouden.

De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

http://to.kpmg.nl/2iv8HTV

http://to.kpmg.nl/2iv8HTV

http://to.kpmg.nl/2j4tejc

http://to.kpmg.nl/2j4tejc

http://to.kpmg.nl/2i6b5NQ

http://to.kpmg.nl/2i6b5NQ

http://to.kpmg.nl/2i6acoF

http://to.kpmg.nl/2i6acoF

http://to.kpmg.nl/2ivbvAp

http://to.kpmg.nl/2ivbvAp

http://to.kpmg.nl/2hOgmvR

http://to.kpmg.nl/2hOgmvR

Middelgrote en kleinere verzekeraars in Nederland...De risicomanagementactiviteiten zijn volledig...

Documents

Transcript of Middelgrote en kleinere verzekeraars in Nederland...De risicomanagementactiviteiten zijn volledig...