19de Beursbengel | nr. 843 | april 2015

In de afgelopen decennia is wet- en regelgeving in toenemende mate geïnternationaliseerd. Bij het maken en toepassen van nederlandse wet- en regelgeving wordt sterk rekening gehouden met Europese wet- en regelgeving en speelt ook de wet- en regelgeving op mondiaal niveau een rol. In dit artikel zijn enkele voorbeelden van wet- en regel-geving opgenomen.

De nadruk ligt hier op de wet- en regelgeving die binnen de verzeke-ringssector actueel is.

mondiaal Een belangrijke wet in de Ver-enigde Staten is de Wet Sarbanes-Oxley (SOx). Deze wet heeft betrek-king op het deugdelijk bestuur van ondernemingen. De belangrijkste

reden waarom het wetsvoorstel van de Amerikaanse senatoren Paul Sarbanes en Michael Oxley op 30 juni 2002 door de senaat werd aan-genomen waren de schandalen van WorldCom en Enron. De wet legt tal van regels op aan bedrijven (en haar buitenlandse fi lialen) die aan een Amerikaanse beurs genoteerd zijn, evenals aan buitenlandse bedrijven met een

genoteerde vestiging (zoals Ahold, Delhaize, Nationale Nederlanden, Allianz, of Arcadis). In 69 artikelen tracht de wet deugdelijk onder-nemingsbestuur af te dwingen en nieuwe schandalen te voorkomen.Een concreet voorbeeld van dat risicomanagement en compliance aan elkaar verbonden zijn,is de link tussen de Wet SOx en het risicoma-nagementmodel COSO II.

comPliance en risico-manaGement VersUs het risicomodel coso iiEen voorbeeld van risicomanage-ment dat binnen wet- en regelge-ving is vastgelegd betreft de Wet SOx. Daarin is vastgelegd dat be-drijven en organisaties verplicht zijn om risicomanagement toe te passen en hierbij gebruik te maken van het risicomanagement model COSO II. In artikel 404 hebben de CEO en CFO van een onderneming de verplichting, verantwoording af te leggen over de interne controle met daarbij een oordeel van een externe auditor. Voor de interne controle geldt dat deze moet voldoen aan een algemeen aanvaardbaar model hiervoor, zoals het COSO-model (lees: dit is verplicht). comPliance is ÉÉn Van de Vier cateGorieËn Van coso iiDe vier categorieën van COSO II hebben betrekking op de doelstel-lingen van een totale organisatie, een onderdeel van een organisatie, of een specifi ek aandachtsgebied. Het betreft een onderverdeling in: - strategische doelstellingen; - rapportage (fi nanciële) doelstel-

lingen; - operationele activiteiten die moe-

ten worden uitgevoerd; - het voldoen aan de eisen van

compliance.

eUroPese UnieDe Europese Unie heeft in mei 2003 een actieplan inzake corporate go-

manco solvency i: er was geen goed door-dachte en onderbouw-de strategie

risicomanaGement (DEEL 2)

risicomanaGement VERsus COmPLIanCE

Risicomanagement en compliance zijn twee onderwerpen die bij vrijwel elke organisatie hoog op de agenda staan. In twee artikelen gaan we na hoe beide aandachtsgebieden elkaar kunnen aan-vullen en versterken. In het eerste artikel (in het maartnummer van de Beursbengel) is stilgestaan bij de defi niëring van de twee aandachtsgebieden. Daarnaast zagen we dat risicomanagement een goed hulpmiddel is voor zowel compliance als bedrijfsvoering. Dit tweede artikel gaat in op de internationale en nationale compliance-eisen.

20 de Beursbengel | nr. 843 | april 2015

vernance opgesteld. Iedere lidstaat heeft een eigen referentiecode uit-gewerkt waaraan de ondernemin-gen zich moeten houden. In Neder-land heeft men de Code Tabaksblat opgesteld. In België werkt men met de Code Lippens voor beursgenoteer-de bedrijven en de Code Buysse voor niet-beursgenoteerde bedrijven.

nederlandDe Nederlandse Gorporate Gover-nance Code, vaak aangeduid als de CodeTabaksblat, is een gedragscode voor beursgenoteerde bedrijven met als doel verbeterde transparantie in de jaarrekening, betere verant-woording aan de Raad van Commis-sarissen en een versterking van de zeggenschap en bescherming van aandeelhouders.

in control statement Een ‘In Control Statement’ is een verklaring waarbij het management wordt verplicht om jaarlijks expli-ciet een uitspraak te doen over de betrouwbaarheid van de financiële rapportage en interne controles die in het bedrijf gehanteerd worden. ‘In Control’ kan worden gedefini-eerd als ‘de wijze van sturen, be-heersen en toezicht houden, gericht op een effectieve en efficiënte rea-lisatie van strategische en operatio-nele doelstellingen’. Andere belang-rijke punten zijn op een open wijze communiceren en verantwoording afleggen ten behoeve van belang-hebbenden. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement opgenomen de aangetroffen te-kortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen.

De In Control Statement heeft dui-delijk verwantschap met pijler 2 van Solvency II. De Nederlandsche Bank (DNB) kan aan de hand hiervan beter beoordelen of de onderteken-de verklaring overeenkomt met de praktijk binnen het lijnmanagement en de werkvloer.

solVency i te BePerkt Onder Solvency I werd niet genoeg rekening gehouden met het daad-werkelijke risicoprofiel van verzeke-raars. Solvency I betrof wetgeving die betrekking had op kapitaaleisen waaraan verzekeraars moesten voldoen, om de belangen van con-sumenten te beschermen. Het manco van Solvency I was dat de focus primair was gericht op het door een verzekeraar berekend kapitaal. Er was geen sprake van een goed doordachte en onder-bouwde strategie. Net zoals andere grote bedrijven namen verzekeraars vanwege con-currentieoverwegingen steeds meer onaanvaardbaar grote risico’s om een betere ‘shareholder value’ en ‘Return on Equity’ te behalen. Voor-beelden van bedrijven waar het mis ging, waren onder andere Enron en Barings en in een later stadium Lehman Brothers.

richtlijn solVency ii Solvency II heeft betrekking op nieuwe Europese wetgeving voor verzekeraars. Deze richtlijn dient per 1 januari 2016 voor de eerste keer te worden toegepast. De richt-lijn vervangt en integreert een groot aantal bestaande verzekeringsricht-lijnen in een kaderichtlijn. De richtlijn is uitgevaardigd door het Europees Parlement en de Raad toegang tot en uitoefening van het verzekerings- en herverzekeringsbe-drijf (Solvabiliteit II). De nieuwe richtlijn betekent een grondige herziening en een herschikking van

voor (her)verzekeraars relevante Europese Richtlijnen. Solvency II zal de huidige Solvency I-regels vervan-gen met nieuwe regelgeving voor kapitaaleisen, waarderingsgrondsla-gen en risicobeheer. Primaire doelstellingen van Sol-vency II zijn: - borging van een nog betere

consumentenbescherming, ter voorkoming van een bankroet van verzekeraars; en

- een eenduidige werkwijze voor alle verzekeraars binnen de EU.

Uitrol solVency iiDe Richtlijn Solvency II (geïnspi-reerd door Basel II, de Europese wet- en regelgeving voor banken) kent een drietal pijlers die onderling samenhangen: zie schema onder op deze pagina.

Hét grootste winstpunt van Sol-vency II is dat de berekeningen van het benodigde kapitaal (pijler 1) die verzekeraars moeten hebben om aan de wettelijke eisen te voldoen, niet meer op zich zelf staan. Ze wor-den onderbouwd door strategische doelstellingen die zijn gekoppeld aan een risicobeheersysteem in pijler 2. Binnen pijler 2 is geregeld hoe het proces dat betrekking heeft op ‘governance’, zodanig binnen de organisatie van een verzekeraar is ingericht, dat wordt voldaan aan de eisen van Solvency II. Een belangrijk aspect in deze pijler is daarnaast de verankering en uitrol van ‘risicoma-nagement’ binnen een organisatie. In pijler 3 van Solvency II zijn de

Gehele organisatie van verzeke-raars moet op een andere, meer geïntegreer-de manier gaan werken

Pijlers Van solVency ii

Pillar 1 QUantitatiVe reQUirements

Pillar 2 sUPerVisory reView

Pillar 3 disclosUre

• TechnicalProvisions • SolvencyCapital Requirement (SRC) • MinimumCapital requirement (MCR)

• RiskManagementand Governance • OwnRiskand Solvency Assessment (ORCA) • SupervisoryReview

• AnnualPublished Solvency and Financial Condition Report • Marketdiscipline

21de Beursbengel | nr. 843 | april 2015

eisen van rapportage en verslagge-ving vastgelegd. Deze pijler heeft tot gevolg dat er in de toekomst op uitgebreidere en nauwkeurigere wijze gerapporteerd zal worden. Er is hierbij sprake van een dubbele rapportage, te weten naar de toezichthouder en naar de eindklant. Een taak van de derde pijler is het bevorderen van transpa-rantie in de financiële sector. Trans-parantie is een belangrijke factor om het vertrouwen van meerdere stakeholders in de verzekeringssec-tor te herstellen. Naar verwachting zijn hiervoor meer data nodig dan in het verleden.

imPact solVency ii Binnen de orGanisatie Van Verzekeraars De impact van de Richtlijn Sol-vency II die in de Wet op het finan-cieel toezicht (Wft) wordt geïn-corporeerd, is zeer groot. Dit komt omdat verzekeraars, naast het aanpassen van actuariële rekenpro-gramma’s, ook te maken krijgen met een nieuwe economische en risicogebaseerde benadering van het gehele businessmodel. Dit bete-kent dat de gehele organisatie van verzekeraars op een andere, meer geïntegreerde manier moet gaan werken, zowel aan de asset- als aan de liabilitieskant. Alle afdelingen binnen een verzekeraar krijgen ermee te maken. Daarbij valt te denken aan: de interne actuaris, de interne accountant, de auditor, de controller, de risk officer, de compliance officer, de investment officer, de afdeling marketing, de

afdelingen sales, volmachten, Le-gal, IT, et cetera.

oPerationele werkinG solVency iiBij de implementatie van Solvency II worden verzekeraars intensief be-geleid door de toezichthouder DNB. Een van de vormen van ondersteu-ning van DNB is het ter beschikking stellen van een implementatiedocu-ment1. In dit document is een arti-kel over een ‘risicobeheersysteem’ opgenomen:

’Artikel 4.9 Risicobeheer is één van de kernbouwstenen van het Solvency II-bouwwerk. Risicobe-heer – de Richtlijn duidt het aan als het risicobeheersysteem – omvat ‘strategieën, processen en rappor-tageprocedures gericht op het con-tinue kunnen identificeren, meten, monitoren, managen van en rap-porteren over de risico’s op een geïndividualiseerd en geaggregeerd niveau – en de onderlinge afhanke-lijkheden tussen risico’s, waaraan de verzekeraar bloot staat of kan worden blootgesteld. Het risico-beheersysteem moet geïntegreerd zijn in de gehele organisatie van de verzekeraar.’

waar kijkt dnB naar Bij risicomanaGement Binnen de wFt?Een andere benadering van risico-management binnen het kader van wet- en regelgeving is na te gaan hoe er vanuit de Wet op het finan-cieel toezicht (Wft) naar toepassing van risicomanagement moet worden gekeken. Op grond van de Wft is de ‘governance’ van het risicoma-nagement een belangrijk element in de beoordeling van de integere en beheerste bedrijfsvoering (Wft 3:17). DNB schenkt aandacht aan ‘governance’ van het risicomanage-ment voor banken en verzekeraars en beschrijft het als volgt:- de wijze waarop een onderne-

ming zijn risicomanagement heeft ingericht (denk aan: strategie, beleid, processen, procedures, inbedding in de bedrijfsvoering, verdeling van capaciteit en ver-antwoordelijkheden en onafhan-kelijke toetsing);

- de werking van het risicoma-nagement, waarbij het gaat om de beheersing van alle verschil-lende risico’s/risicogebieden in

onderlinge samenhang (integraal risicomanagement).

Er zijn drie hoofdonderwerpen te onderscheiden in het toezicht op ri-sicomanagement door DNB: 1 de risicocultuur binnen een onder-

neming. ‘Tone at the top’ is een be-langrijke factor, waaronder risico-strategie en -beleid, waaronder de risicobereidheid/risicotolerantie;

2. de inrichting van de risicoma-nagementfunctie, waarbij de operationele risicomanagement-functie onafhankelijk is en toe-gang heeft tot de RvB en RvC;

3. een holistische benadering en integrale beheersing van alle relevante risico’s door kwalitatief hoogwaardige risicomanagement-processen.

conclUsieEen wettelijke verankering van risicomanagement en een actieve bijdrage van toezicht-houders vor-men een basis voor succesvol risi-comanagement in de praktijk. Het werkelijke succes komt tot stand doordat risicomanagement binnen de gehele organisatie wordt geïm-plementeerd (‘top down’ en ‘bottom up’) en dat zowel de directie, het lijnmanagement en medewerkers op de werkvloer, echt openstaan om met risicomanagement te gaan werken. Hierbij is het belangrijk dat men de voordelen van risicoma-nagement ziet. Actief werken met risicomanage-ment houdt in dat iedereen echt nadenkt over risico’s, de mogelijke gevolgen ervan en de afweging voor welke risicomitigerende oplossin-gen het beste kan worden gekozen. Het is dus ‘thinken’ in plaats van ‘vinken’. Vrij vertaald: geen hokjes invullen om maar zo snel mogelijk van de verplichting af te zijn, maar actief meedenken en samenwerken met collega’s. Pas dan komt risico-management tot zijn recht en biedt het voordelen. l

Lourens van der Linden MRM De auteur is risk manager bij Brunel en werkzaam bij Interpolis Achmea als coach Preventie en Risicomanagement. Hij is tevens lid van de redactieraad van de Beursbengel.

Voetnoot:1 De Nederlandsche Bank N.V, Solvency

II Implementation No. 01B/EN, 31 March 2010, blz.29.

werken met risico-management is ‘thinken’ in plaats van ‘vinken’