Download - Whitepaper 'de ICT invoering van solvency ii
Copyright Sogeti Nederland B.V. ©
Geactualiseerde en aangevulde versie
september 2010
DE ICT-IMPLEMENTATIE VAN SOLVENCY II
De ICT-implementatie van Solvency II
Sogeti Nederland B.V. 2.0 II
september 2010
VERSIE-INFORMATIE
Versie Datum Bijzonderheden Auteur
1.0 22-2-2010 Eerste versie Sogeti Nederland B.V.
1.1 2-3-2010 Diverse tekstuele aanvullingen Sogeti Nederland B.V.
2.0 1-9-2010 Geactualiseerd en aangevuld Sogeti Nederland B.V.
De ICT-implementatie van Solvency II
Sogeti Nederland B.V. 2.0 III
september 2010
INHOUDSOPGAVE VOORWOORD ................................................................................ 1
INLEIDING ................................................................................ 3
LEESWIJZER ................................................................................ 4
1 SOLVENCY II IN HET KORT ................................................. 5
1.1 Achtergrond ..................................................................................... 5
1.2 De kenmerken van Solvency II ............................................................... 6
1.3 Reikwijdte ....................................................................................... 7
1.4 Principle based ................................................................................. 7
1.5 Opzet – de drie pilaren ........................................................................ 8
1.6 Groepstoezicht ............................................................................... 12
1.7 Toezichthouder ............................................................................... 13
2 DE IMPACT VAN SOLVENCY II ............................................. 14
2.1 Impact op de business ....................................................................... 14
2.2 Impact op ICT ................................................................................. 22
3 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE ..................... 26
3.1 Solvency II programma-aanpak ............................................................ 26
3.2 Stappen in de implementatie .............................................................. 26
3.3 Het belang van structurele oplossingen .................................................. 32
3.4 Programmabesturing ........................................................................ 36
4 SOGETI EN DE IMPLEMENTATIE VAN SOLVENCY II ...................... 38
4.1 Vooraf .......................................................................................... 38
4.2 Sogeti en de voorbereiding van de ICT-implementatie ................................ 38
4.3 Solvency II implementatie .................................................................. 40
De ICT-implementatie van Solvency II
Sogeti Nederland B.V. 2.0 IV
september 2010
OVERZICHT BIJLAGEN
BIJLAGE 1: SOLVENCY II INVOERINGSKALENDER ..................................... 44
BIJLAGE 2: SOLVENCY II EN BASEL II .................................................. 46
BIJLAGE 3: STANDAARDMODEL OF INTERN MODEL .................................. 49
BIJLAGE 4: RISICO’S BIJ DE IMPLEMENTATIE VAN SOLVENCY II .................... 51
BIJLAGE 5: AANDACHTSPUNTEN VOOR UITBESTEDING ............................. 53
BIJLAGE 6: ARCHITECTUUR EN ICT GOVERNANCE ................................... 58
BIJLAGE 7: BUSINESS PROCES MANAGEMENT (BPM) ................................. 61
BIJLAGE 8: GEGEVENS EN GEGEVENSONTSLUITING ................................. 63
BIJLAGE 9: TESTEN EN KWALITEITSZORG ............................................. 69
BIJLAGE 10: MEERWAARDE SOGETI DIENSTVERLENING VOOR DE IMPLEMENTATIE VAN SOLVENCY II ........................................................... 71
BIJLAGE 11: PARTNERSHIPS .............................................................. 74
BIJLAGE 12: BRONNEN .................................................................... 75
De ICT-implementatie van Solvency II
Voorwoord
Sogeti Nederland B.V. 2.0 1
september 2010
VOORWOORD
Voor u ligt de tweede versie van ons Whitepaper “De ICT-implementatie van Solvency
II”. De eerste versie dateert van maart 2010 en wij hebben hierop veel positieve
reacties mogen ontvangen. Inmiddels is er meer duidelijk geworden over Solvency II,
zoals door het verschijnen van het Implementatiedocument van De Nederlandsche
Bank en het definitief worden van diverse adviezen van CEIOPS (Committee of
European Insurance and Occupational Pensions Supervisors – het platform van
Europese toezichthouders). Verder hebben wij van relaties en verzekeringsmaat-
schappijen suggesties mogen ontvangen tot verbetering en uitbreiding van het
oorspronkelijke document. Ten slotte hebben wij op een aantal punten formuleringen
aangescherpt en waar nodig toevoegingen gepleegd op basis van nieuwe ervaringen
met Solvency II.
Al met al voldoende aanleiding om met een geactualiseerde en uitgebreide versie te
komen.
De ICT-implementatie van Solvency II
Voorwoord
Sogeti Nederland B.V. 2.0 2
september 2010
De ICT-implementatie van Solvency II
Inleiding
Sogeti Nederland B.V. 2.0 3
september 2010
INLEIDING
Op 31 december 20121 moeten alle verzekeringsmaatschappijen die opereren binnen
de Europese Economische Ruimte (Europese Unie plus Noorwegen, IJsland en Liech-
tenstein) voldoen aan de Solvency II-richtlijn. Deze richtlijn beoogt door nadruk op
goed risicobeheer, de belangen van de polishouders en de aandeelhouders beter te
beschermen. De regelgeving heeft gevolgen voor de bedrijfsvoering van verzeke-
ringsmaatschappijen, met name op het gebied van risicomanagement, bestuur en de
verantwoording aan de Toezichthouder en het publiek.
De principes die ten grondslag liggen aan Solvency II dienen in eerste instantie
vertaald te worden naar de bedrijfsprocessen, de organisatiestructuur en de organisa-
tiecultuur. Dit werkt vervolgens door in de wijze waarop de informatievoorziening is
ingericht en de wijze waarop de bedrijfsprocessen vanuit de informatievoorziening
worden ondersteund.
Gegeven de hoge impact en de relatief korte tijdlijnen is het zaak tijdig de implemen-
tatie van Solvency II ter hand te nemen.
Sogeti heeft als ICT-dienstverlener een coherente visie en aanpak ontwikkeld voor de
invoering van Solvency II. Om de ICT-invoering te versnellen heeft Sogeti specifieke
Solvency II producten (zoals templates, scans, checklists en datamodellen) ontwik-
keld. Deze zijn gebaseerd op onze ervaring met eerdere compliancy programma‟s,
onze betrokkenheid bij verzekeringsmaatschappijen die inmiddels met de invoering
zijn gestart, diepgaande gesprekken met leveranciers van relevante diensten, metho-
den en tools en onderzoek van alle momenteel beschikbare documentatie.
Door middel van dit document wil Sogeti haar kennis en visie delen met haar relaties.
Wij zijn ervan overtuigd de aangewezen ICT-partner te zijn voor de invoering van
Solvency II. Wij gaan hierover graag met u in gesprek.
Indien u naar aanleiding van dit document vragen heeft, dan kunt u contact opnemen
met Tako de Roode via telefoonnummer +31 6 277 46 047 of via e-mail
1 Dit was in eerste instantie 31 oktober 2012. DNB geeft in het Implementatiedocu-
ment (“Implementatie Solvency II, 31 maart 2010, De Nederlandsche Bank) aan dat
zij dit niet als een wezenlijk verschil beschouwen voor de implementatie.
De ICT-implementatie van Solvency II
Leeswijzer
Sogeti Nederland B.V. 2.0 4
september 2010
LEESWIJZER
Hoofdstuk 1 bevat een beknopte beschrijving van Solvency II, waarbij wordt ingegaan
op het doel en de inhoud van de richtlijn en het invoeringsschema dat daarbij vanuit
Europa en de Nederlandse Toezichthouder (De Nederlandsche Bank) wordt opgelegd.
Hoofdstuk 2 bevat een vertaling van de Solvency II richtlijn naar de business en ICT
consequenties voor het verzekeringsbedrijf. De richtlijn heeft ondermeer impact op de
architectuur (dit is het geheel van concepten, regels en modellen die richting geven
aan het inrichten van de organisatie en de informatievoorziening) en stelt eisen aan de
producten die de verzekeraar aan de Toezichthouder moet opleveren.
Hoofdstuk 3 behandelt de visie van Sogeti op de wijze waarop Solvency II binnen het
ICT-domein ingevoerd kan worden. Wij gaan daarbij ook in op de ICT-oplossingen die
daarbij ingezet kunnen worden. We betogen hier dat er geen “one size fits all”-aanpak
is en geven daarbij belangrijke aandachtspunten en overwegingen op basis van
“lessons learned” uit andere compliancy trajecten.
Het laatste hoofdstuk geeft een overzicht van de diensten en producten (“versnellers”)
die Sogeti aanbiedt met betrekking tot de ICT implementatie van Solvency II.
Tot slot gaan wij in aparte bijlagen diepgaander in op voor Solvency II relevante
onderwerpen. Deze bijlagen zijn bedoeld voor de lezer die behoefte heeft aan verdie-
ping op deelgebieden, zoals:
De Solvency II invoeringskalender
Een vergelijking van Solvency II met Basel II
De (invoerings)verschillen van standaardmodellen en interne modellen
Procesmanagement en procesimplementatie
Aandachtspunten voor uitbesteding
De benodigde datainfrastructuur
Architectuur & governance
Testen & Kwaliteitszorg
Onderkende risico‟s bij de invoering
Diensten en versnellers om de invoering te ondersteunen
De ICT-implementatie van Solvency II
Solvency II in het kort
Sogeti Nederland B.V. 2.0 5
september 2010
1 SOLVENCY II IN HET KORT
1.1 Achtergrond
Solvency II kan gezien worden als onderdeel van de trend waarbij onder maatschap-
pelijke en politieke druk het toezicht op financiële instellingen wordt aangescherpt. De
aandacht voor dit soort regelgeving is door de financiële crisis versterkt en de maat-
schappelijke en politieke aandacht is dan ook hoog. Zo zien we in de bankensector na
Basel II het Basel III-akkoord verschijnen en het is te voorzien dat Solvency II in de
verzekeringsbranche ook niet de laatste ontwikkeling op dit gebied zal zijn.
Solvency II dient enerzijds ter bescherming van de belangen van de aandeelhouders,
consumenten/polishouders en anderzijds met het oog op het creëren van één interne
Europese markt voor verzekeringen, het “level playing field”.
Onder het bestaande regime van Solvency I, dat stamt uit de jaren zeventig, is er te
weinig aandacht voor risico‟s, leidt de minimale
harmonisering in regelgeving tot grote verschillen
tussen lidstaten en is er geen goed toezicht
mogelijk op grensoverschrijdend opererende
verzekeringsmaatschappijen.
Solvency II is vergelijkbaar met de Basel II regel-
geving voor de bankwereld, alhoewel er verschillen
zijn. Uit de implementatie van Basel II kunnen ook
de nodige lessen getrokken worden. Een uitgebrei-
dere beschouwing over de verschillen en
overeenkomsten tussen Solvency II en Basel II alsmede de “lessons learned” treft u
aan in Bijlage 2: Solvency II en Basel II.
De Solvency II richtlijn behelst een grondige herziening van de voor (her)verzekeraars
relevante Europese richtlijnen. Deze bevat nieuwe regelgeving voor kapitaalsvereisten,
waarderingsgrondslagen en risicobeheer met het oog op het aanmoedigen en belonen
van een goed risicomanagement. Daarnaast legt de richtlijn meer verantwoordelijk-
heid in de handen van het senior management om het bedrijf op een verantwoorde
wijze te besturen en brengt de richtlijn meer eenduidigheid tot stand inzake het
toezicht op de interne markt.
De richtlijn is inmiddels door het Europees Parlement en de Europese Raad van
Ministers aangenomen. De Europese Commissie bereidt de uitvoeringsmaatregelen
voor en laat zich daarbij adviseren door CEIOPS. CEIOPS heeft van de Europese
Commissie de opdracht gekregen om enerzijds adviezen uit te werken op alle punten
waarin de kaderrichtlijn uitvoeringsmaatregelen vereist en anderzijds deze adviezen te
toetsen in de verzekeringsmarkt.
Het doel van Solvency II is dus drieledig:
1. Het scheppen van voorwaarden en het bevorderen van een enkelvoudige Europe-
se verzekeringsmarkt door het creëren van een level playing field binnen de E.E.R.
voor verzekeringsmaatschappijen door uniformering van de regelgeving, waar
Solvency I verschillende invullingen kende tussen de lidstaten
2. Het verbeteren van de bescherming van aandeelhouders en verzekerden
door een scherper toezicht op de solvabiliteit van verzekeraars door toezichthou-
ders vroegtijdig te informeren over mogelijke problemen (“early warning”).
De ICT-implementatie van Solvency II
Solvency II in het kort
Sogeti Nederland B.V. 2.0 6
september 2010
Hierdoor kan de toezichthouder tijdig ingrijpen als het eigen vermogen van de
onderneming onder de kapitaalseisen zakt.
3. Het bevorderen van het vertrouwen in de verzekeringssector door meer transpa-
rantie.
De invoering staat gepland voor 31 december 2012. Op het moment van schrijven is
de Solvency II regelgeving echter nog in ontwikkeling. Het is de bedoeling van de
Nederlandse overheid om de uitwerking van de richtlijn in de nationale wet- en
regelgeving in het vierde kwartaal van 2011 aan de Tweede Kamer aan te bieden ter
goedkeuring. Voor de invoering verwijzen wij naar Bijlage 1: Solvency II Invoerings-
kalender.
Dit betekent, dat er tussen het vaststellen van de definitieve eisen en de invoering
slechts één jaar tijd ligt voor de implementatie! Hier staat tegenover, dat de hoofdlij-
nen reeds bekend zijn en dat er voor die tijd al veel aan voorbereiding kan en moet
gebeuren. In de tussentijd moeten verzekeraars zich baseren op de beschikbare
adviezen en Level 2 en 3 consultation papers van CEIOPS.
1.2 De kenmerken van Solvency II
Op de website van DNB treffen we de volgende tekst aan, die Solvency II goed
karakteriseert:
“Het Solvency II project moet leiden tot een nieuw solvabiliteitsraamwerk, ge-
baseerd op marktconsistente waardering, waarin de financiële eisen beter de
risico's weerspiegelen die de verzekeraars lopen. Ook heeft Solvency II als
doelstelling om het toezicht te laten aansluiten op marktontwikkelingen. Verze-
keraars leggen zich steeds meer toe op het meten en beheersen van hun
risico's. Solvency II moet deze positieve ontwikkeling stimuleren. Met Solvency
II krijgt het toezicht op de risico's die een verzekeraar loopt, en de beheersing
daarvan, ook een meer centrale rol.”
Solvency II houdt een fundamentele wijziging in ten aanzien van de wijze waarop de
kapitaalsvereisten (het eigen vermogen en de samenstelling hiervan) voor verzeke-
raars bepaald moeten worden, als basis voor het kunnen opvangen van negatieve
ontwikkelingen en calamiteiten.
Solvency II is gebaseerd op economische principes voor het meten van risico‟s op
assets en liabilities (bezittingen en verplichtingen): de Total balance sheet approach.
Het systeem is sterk risico-georiënteerd: de verzekeraar moet de risico‟s berekenen
op basis van consistente en herhaalbare methodieken. De kapitaalsvereisten (MCR en
SCR, respectievelijk Minimum Capital Requirement en Solvency Capital Requirement)
zijn daar rechtstreeks op gebaseerd. Deze kapitaalsvereisten zijn modulair opgebouwd
en zijn de som van enkelvoudige risico‟s, die ieder op zich gemodelleerd worden.
Dit zullen wij verderop in dit document behandelen.
De ICT-implementatie van Solvency II
Solvency II in het kort
Sogeti Nederland B.V. 2.0 7
september 2010
1.3 Reikwijdte
De regelgeving geldt voor alle verzekeringsmaatschappijen die actief zijn binnen de
Europese Economische Ruimte (EU + Noorwe-
gen, IJsland en Liechtenstein) met een jaarlijks
premie-inkomen groter dan €5 mln of bruto
technische voorzieningen groter dan €25 mln.
Voor verzekeringsmaatschappijen die niet onder
de Solvency II-regelgeving vallen zal De
Nederlandsche Bank als Toezichthouder een
“Solvency II-Proportioneel” beleid ontwikkelen.
Hiernaast zal een aantal kleine verzekeraars
(veelal lokaal opererende onderlinge waarborg-
maatschappijen) geheel buiten de Solvency II-
regelgeving vallen.
Pensioenfondsen en natura-verzekeraars vallen buiten de regelgeving.
1.4 Principle based
Een belangrijk aspect is dat de Solvency II-richtlijn niet primair gebaseerd is op
regels, maar vooral op principes. Dat wil zeggen, dat elk bedrijf de principes moet
vertalen naar de eigen situatie. Dit zal door de Toezichthouder getoetst en goedge-
keurd moeten worden. Na de invoering wordt dan een proces van constante
verbetering ingezet. Toepassing van de principes moet ertoe leiden dat er een
“comfort level” ontstaat van 99,5%, met andere woorden dat er een 99,5% zekerheid
is dat een verzekeraar aan zijn verplichtingen kan voldoen in de komende 12 maan-
den.
De verwachting is dat de invoering van Solvency II regelgeving de verzekeraars zal
stimuleren om in interactie met de Toezichthouder steeds beter invulling te geven aan
de onderliggende principes.
De rol van de toezichthouder wordt ook meer risicogericht en pro-actief, om vroegtij-
dig in te kunnen grijpen bij dreigende problemen ten aanzien van het voldoen aan de
kapitaaleisen.
De ICT-implementatie van Solvency II
Solvency II in het kort
Sogeti Nederland B.V. 2.0 8
september 2010
1.5 Opzet – de drie pilaren
Solvency II is gebaseerd op drie pilaren:
- 1: Kwantitatieve eisen
- 2: Kwalitatieve eisen en toezichtactiviteiten
- 3: Marktdiscipline en toezichtrapportage
1.5.1 Pilaar 1: Kwantitatieve eisen
De kwantitatieve eisen hebben betrekking op de berekening van kapitaalsvereisten.
Solvency II kent twee kapitaalsvereisten:
de Minimum Capital Requirement (MCR)
de Solvency Capital Requirement (SCR), het meer risicogevoelig vast te stellen
solvabiliteitsniveau
De SCR moet alle kwantificeerbare risico‟s dekken, waarbij de kapitaaldekking
voldoende moet zijn om met een zekerheid van 99,5% over een periode van een jaar
verliezen te kunnen dekken ter grootte van de SCR. De risico‟s zijn onderverdeeld
naar categorieën marktrisico, tegenpartijrisico, verzekeringstechnisch risico (leven,
schade, zorg) en operationeel risico. Deze categorieën zijn weer onderverdeeld naar
individuele risico‟s. De SCR is de som van de onderliggende risico‟s. Voor de bereke-
ning van de verschillende risico‟s kan het standaardmodel gebruikt worden dan wel
een intern model. Onder bepaalde condities mogen voor immateriële risico‟s vereen-
voudigde berekeningen gebruikt worden. Het geheel aan berekeningen kan ook een
mengvorm zijn (partieel intern model). De Toezichthouder kan hiernaast nog een
capital add on opleggen (De capital add on verhoogt de kapitaaleis onder Pilaar 1,
maar wordt toegewezen op grond van bevindingen van de toezichthouder op het
De ICT-implementatie van Solvency II
Solvency II in het kort
Sogeti Nederland B.V. 2.0 9
september 2010
gebied van kwalitatieve aspecten – Pilaar 2). De SCR wordt opgebouwd uit een aantal
componenten (uit technische specificaties QIS5 EU Commissie, 5 juli 2010):
De SCR bestaat uit de Basis-SCR (BSCR), de SCR voor operationele risico‟s (SCROP)en
een eventuele kapitaal add on (Adj.).
De BSCR valt uiteen in SCR voor marktrisico (bezittingen zoals beleggingen, liquiditei-
ten; SCRMARKET), tegenpartijrisico (default risk; SCRDEF) en immateriële risico‟s (SCRDEF)
en SCR‟s voor de verschillende soorten verzekeringen (zorg SCRHEALTH, leven SCRLIFE
en schade SCRNON-LIFE). Deze SCR‟s kunnen weer onderverdeeld zijn in risicogroepen.
Voor elk van die risicogroepen worden berekeningen uitgevoerd voor de benodigde
kapitaalvoorziening voor die risicogroep.
De berekening van de MCR is eenvoudiger dan van de SCR. De MCR moet voldoende
zijn om een jaar te overbruggen met een zekerheid van 85%. De MCR wordt begrensd
van 25% tot 45% van de SCR. De ondergrens van de MCR is de Absolute Minimal
Capital Requirement (AMCR), dat is het minimumbedrag van het garantiefonds.
De Toezichthouder heeft ruime bevoegdheden om in te grijpen in geval van het niet
voldoen aan de kapitaaleisen om de belangen van verzekerden te beschermen. Zodra
het vermogen onder de SCR zakt, maar boven de MCR blijft treedt de escalatieladder
in werking, waarbij aanvullend toezicht strenger wordt naarmate het vermogen dichter
bij de MCR komt en moet de verzekeraar actie ondernemen om het vermogen te
versterken.
De ICT-implementatie van Solvency II
Solvency II in het kort
Sogeti Nederland B.V. 2.0 10
september 2010
De Toezichthouder kan aan maatschappijen (zowel solo als groep) opleggen dat zij
een (partieel) intern model ontwikkelen en hanteren indien het risicoprofiel significant
afwijkt van het standaardmodel.
De SCR dient jaarlijks gerapporteerd te worden en eventueel tussentijds als er
significante wijzigingen zijn in het risicoprofiel van de verzekeraar. De MCR dient elk
kwartaal gerapporteerd te worden.
In de aanloop naar de implementatie van Solvency II dienen interne modellen
goedgekeurd te worden door de Toezichthouder. Hiertoe wordt een zogenaamd pre-
applicatieproces uitgevoerd.
In de afgelopen jaren is een aantal Qualitative Impact Studies (QIS) uitgevoerd om de
effecten van Solvency II te bepalen en om de parametrisering te bepalen. Hiertoe
hebben verzekeraars gegevens aangeleverd. Er zijn op dit moment 4 QIS‟s uitge-
voerd. Voor de tweede helft van 2010 staat QIS5 op het programma.
Hoewel deelname optioneel is, dringt DNB er sterk op aan bij de Nederlandse verzeke-
raars om deel te nemen aan QIS5.
1.5.2 Pilaar 2: Kwalitatieve eisen en toezicht
De kwalitatieve eisen hebben betrekking op de besturing van de verzekeringsmaat-
schappij (“Good governance”), de inrichting van de processen en audit trail. Aan de
bestuurders en commissarissen van de maatschappij wordt onder meer als eis gesteld
dat zij de gebruikte modellen en de invullien hiervan moeten kennen en uit kunnen
leggen aan de Toezichthouder.
De motivatie achter good governance is ook dat men sommige risico's beter mitigeert
met governance maatregelen dan met kapitaal alleen. Juist de combinatie van beide
(kapitaal + besturing) moet Solvency II effectief maken. Good governance is daarmee
niet alleen een opgelegd iets, maar leidt ook tot besparingen door vermindering van
kapitaalsbeslag. Indien een maatschappij tekortkomingen vertoont op het gebied van
governance kan de Toezichthouder besluiten een capital add on op te leggen.
Elke maatschappij moet beschikken over een risk managementfunctie, een actuariële
functie, een interne controlefunctie (waarin inbegrepen compliance) en een interne
auditfunctie. Indien een maatschappij één van beide of beide functies uitbesteedt,
dient ook de partij waaraan wordt uitbesteed onder het toezicht te vallen.
ORSA
Een belangrijk onderdeel van het risk managementsysteem wordt de Own Risk and
Solvency Assessment (ORSA), waarbij de maatschappij periodiek de eigen risicopositie
en daarmee de benodigde kapitaalpositie beoordeelt. De bevindingen uit de ORSA
worden zowel op solo-niveau als op groepsniveau gerapporteerd en wordt gebruikt in
het toezichtproces (Supervisory Review Proces – SRP). De ORSA is daarmee tweele-
dig:
1. Het is een intern assessment en maakt deel uit van de strategische besluitvor-
ming, waarbij de maatschappij de eigen solvabiliteit voortdurend volgt en
bewaakt.
2. Het is een hulpmiddel voor de Toezichthouder, die moet worden geïnformeerd
over de uitkomsten van de ORSA
De ICT-implementatie van Solvency II
Solvency II in het kort
Sogeti Nederland B.V. 2.0 11
september 2010
De ORSA vereist niet dat de verzekeraar een (partieel) intern model hanteert voor de
berekening van de SCR, maar indien dit het geval is moeten de uitkomsten van de
berekeningen meegenomen worden in de ORSA. De ORSA veroorzaakt geen derde
vorm van Solvency kapitaalseisen. De ORSA mag voor kleinere verzekeraars niet
bovenmatig belastend zijn (proportioneel regime).
De verzekeraar moet zich in de ORSA een mening vormen over het benodigde eigen
vermogen (Pilaar 1) en een projectie kunnen maken over de 'business projectie
periode' van toekomstige own funds en vereist vermogen om aan te tonen dat ook in
de toekomst aan de Solvency II-eisen voldaan wordt.
Self Assessment
Om aan te tonen dat de maatschappij aan de kwaliteitseisen voldoet moet zij een Self
Assessment uitvoeren. Ook hierbij dienen zaken als datakwaliteit en beschikbaarheid
alsmede kwaliteit van ICT-infrastructuur en –systemen betrokken te worden. De
Toezichthouder voert reviews uit op de Self Assesments en moet deze goedkeuren.
Op basis van de uitkomsten van de Self Assesments moet de onderneming een
implementatieplan opstellen voor de invoering van Solvency II. Dit plan dient een
activiteitenplanning te omvatten met doorlooptijden en een kritisch-padanalyse
alsmede de benodigde mensen en middelen. Dit plan moet eind 2011 beschikbaar zijn.
Use Tests
In de aanloop naar de invoering van Solvency II zullen er verder verschillende “use
tests” worden uitgevoerd om de juiste werking van de gebruikte interne modellen te
toetsen.
De Richtlijn noemt de volgende soorten tests voor het goedkeuren van interne
modellen:
- use test
- statistische kwaliteitsnormen
- kalibratienormen
- validatienormen
- documentatienormen
- winst- en verlies attributie
1.5.3 Pilaar 3: Marktdiscipline en toezichtrapportages
Pilaar 3 heeft betrekking op de rapportages aan het publiek en aan de Toezichthouder.
De rapportage aan het publiek bestaat uit de Solvency and Financial Condition Report
(SFCR). Deze dient om transparantie en marktdiscipline binnen de verzekeringsmarkt
te bevorderen.
De Toezichthouder beoordeelt ten aanzien van de SFCR de totstandkomingprocessen
enerzijds en op de inhoud hiervan. Voor de inhoud wordt een minimumstandaard
gehanteerd, maar een onderneming kan ervoor kiezen om meer informatie te publice-
ren. Hiervoor moet een beleid worden ontwikkeld.
De rapportages aan de Toezichthouder (Reports To Supervisor – RTS) bevat gedetail-
leerdere informatie dan de SFCR, alsmede concurrentiegevoelige of geheime
informatie die niet gepubliceerd wordt.
De ICT-implementatie van Solvency II
Solvency II in het kort
Sogeti Nederland B.V. 2.0 12
september 2010
De rapportage aan de Toezichthouder wijkt ingrijpend af van de vereisten die thans
gelden op grond van de Wet Financieel Toezicht. Er wordt weliswaar gerapporteerd
over dezelfde soort onderwerpen als in de huidige verzekeringsstaten, maar het
detailniveau verschilt. De structuur van de rapportages is voor alle ondernemingen
gelijk, maar kan op aangeven van de Toezichthouder verschillen qua detailniveau.
Hierbij is het proportionaliteitsbeginsel van toepassing, waarbij kleinere verzekeraars
onder een lichter regime vallen.
De rapportagevereisten worden geharmoniseerd over het gehele werkingsgebied van
Solvency II. Dit is met name voor internationaal werkende groepen een vereenvoudi-
ging. Er kunnen wel afwijkingen zijn op nationaal niveau voor soorten
verzekeringsvormen die specifiek zijn voor een bepaald land (denk in Nederland aan
zorg- en inkomensverzekeringen).
De rapportagekaders worden in 2011 door CEIOPS gepubliceerd (Level 3 advies).
De rapportages zullen zowel kwalitatieve als kwantiatieve informatie bevatten over
risico‟s, omvang, samenstelling en kwaliteit van kapitaal, SCR, MCR en technische
voorziening alsmede waarderingsmethoden voor activa, passiva en risico‟s. Ook zal er
een verklaring moeten worden gegeven van het verschil tussen de Solvency II-balans
en de jaarrekening. Verder moet er uitgebreid gerapporteerd worden over risico‟s en
mitigerende maatregelen.
Hiernaast dient er gerapporteerd te worden over het systeem van governance
(inclusief risk management en ORSA) en de mate waarin de maatregelen voldoende
zijn om de risico‟s te beheersen.
Onder Solvency II wordt het toezicht meer risicogeoriënteerd en prospectief. Toezicht
vindt zowel on-site als off-site plaats. Rapportages zijn belangrijk voor het plannen
van het off-site toezicht. De rapportages geven inzicht in de algehele toestand van de
onderneming en zijn van belang voor het plannen van het risicogeoriënteerde on-site
toezicht. Naast de reguliere jaar- en kwartaalrapportages kan de Toezichthouder op
ad-hoc basis aanvullende informatie opvragen bij één verzekeraar of een groep van
verzekeraars.
De rapportageprocedures dienen beschreven en door de directie goedgekeurd te zijn.
De onderneming dient over een adequaat rapportagesysteem te beschikken en moet
de kwaliteit van de rapportage kunnen garanderen.
1.6 Groepstoezicht
Het groepstoezicht onder Solvency II is een zelfstandig onderdeel van het verzeke-
ringstoezicht op de moederonderneming van een verzekeringsgroep. Hierbij wordt een
groep, tenzij er redenen zijn om dat anders te doen, behandeld als een solo-
verzekeraar. Het toezicht hierop vindt plaats door de toezichthouder van het land
waarin de moeder gevestigd is.
De moeder moet governance en risk management alsmede rapportageprocedures
binnen de groep als geheel overzien. De moeder is ook aanspreekpunt voor vragen
over de dochters. Solo-toezicht op de dochters vindt plaats door de toezichthouder
van het vestigingsland van de betreffende dochter. De groepstoezichthouder kan ook
informatie opvragen bij de toezichthouder van de dochter.
De ICT-implementatie van Solvency II
Solvency II in het kort
Sogeti Nederland B.V. 2.0 13
september 2010
Het groepstoezicht heeft betrekking op dat deel van het concern dat in de E.E.R.
gevestigd is. Over het al dan niet rapporteren over entiteiten die buiten de E.E.R.
gevestigd zijn dienen aparte afspraken gemaakt te worden die afhankelijk zijn van het
toezichtregime in de landen waar die entiteiten gevestigd zijn. Als er meerdere
dochters van een groep, waarvan de moeder buiten de E.E.R. gevestigd is, binnen de
E.E.R. opereren dan dient er sub-consolidatie voor die dochters binnen de E.E.R.
plaats te vinden.
De SCR wordt op het niveau van de moeder jaarlijks geconsolideerd berekend. Dit kan
zowel met standaard modellen als met interne modellen gebeuren. Als er sprake is
van groepsspecifieke risico‟s, dan dienen deze met behulp van interne modellen
berekend te worden. De Toezichthouder kan ook vragen om een intern model toe te
passen als blijkt dat het groeps-risicoprofiel significant afwijkt van het standaardmo-
del. Ook als het interne model niet adequaat is kan de Toezichthouder om verbetering
vragen dan wel verzoeken om de berekening met het standaardmodel uit te voeren.
In de tussentijd kan de Toezichthouder een capital add-on opleggen.
Voor groepen die onderdelen hebben in derde landen gelden afwijkende regels voor
consolidatie, die afhankelijk zijn van het toezichtsregime en regelgeving van de
betreffende derde landen.
Ook op groepsniveau dienen de governancefuncties (risk management, interne
controle, compliance en actuariaat) ingericht te worden. Voor de implementatie
hiervan dienen schriftelijke procedures aanwezig te zijn voor de hele groep en de
uitrol dient ook top down gemonitord te worden. De groepsonderdelen dienen vol-
doende inspraak te hebben bij de implementatie (bottom up). Verder dient de ORSA
geïmplementeerd te worden op groepsniveau. Eventueel kan de ORSA voor de gehele
groep uitgevoerd te worden, mits de verschillende onderdelen herkenbaar zijn.
De rapportage-eisen gelden ook op groepsniveau, waarbij aanvullende informatie
wordt gevraagd, zoals over concentratierisico‟s en intra-groepstransacties. Eventueel
kan een groep één groeps-SFCR opleveren, waarbij de verschillende onderdelen
herkenbaar moeten blijven.
De toezichthouders op de groep zullen samenwerken bij het toezicht. Hierbij wordt per
groep een College van Toezichthouders gevormd, waarvan de groepstoezichthouder
voorzitter is. Het College is bedoeld voor het uitwisselen van informatie en voor
coördinatie en is niet besluitvormend, aangezien de groepstoezichthouder eindverant-
woordelijk is voor het groepstoezicht.
1.7 Toezichthouder
De Toezichthouder in het kader van Solvency II voor Nederland is De Nederlandsche
Bank (DNB). Solvency II valt onder het zogenaamde “prudentieel toezicht”2. DNB kan
een verzekeringsmaatschappij of -groep aanwijzingen geven over de toepassing van
rekenmodellen (standaard of intern), de wijze van rapporteren en over de inrichting
van de governance.
DNB maakt onderdeel uit van The Committee of European
Insurance and Occupational Pensions Supervisors, het
Europese comité van Toezichthouders op verzekeraars en
pensioenfondsen (CEIOPS).
2 Naast “prudentieel toezicht” kennen we ook het “gedragstoezicht” dat bij de Autori-
teit Financiële Markten (AFM) berust. De AFM heeft geen rol bij Solvency II.
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 14
september 2010
2 DE IMPACT VAN SOLVENCY II
2.1 Impact op de business
2.1.1 Algemeen
Solvency II heeft grote invloed op de bedrijfsvoering van verzekeraars, zowel op de
processen, organisatie, administratie, besturing, cultuur en commerciële strategie als
op de productontwikkeling.
Een verzekeraar die standaardmodellen toepast zal een veel minder sterke impact van
Solvency II ervaren dan een verzekeraar die met (partieel) interne modellen werkt.
Een uitgebreide beschouwing over de keuze tussen standaardmodellen en interne
modellen treft u aan in Bijlage 3: Standaardmodel of intern model. De implementatie
van de governance-maatregelen (Pilaar 2) zal niet wezenlijk verschillen.
Solvency II betekent een aantal veranderingen ten opzichte van Solvency I, die
weergegeven worden in de volgende tabel.
Verschillen tussen Solvency II en Solvency I: Solvency I
(huidig raamwerk)
Solvency II Richtlijn
Waardering bezittingen
IFRS of BW2.9. Marktconsistent.
Waardering
voorziening verzekerings-verplichtingen
Prudent vastgesteld, geen disconte-
ring voor schadeverplichtingen, geen expliciete risicomarge.
Theoretische marktwaarde
berekend op basis van overdrachts-waarde. Splitsing in een best estimate en een expliciete risico-marge. Discontering voor zowel leven als schade.
Waardering
overige verplich-tingen
IFRS of BW2.9. Marktconsistent.
Prudentieel
eigen vermogen
Twee kwaliteitsniveaus (tiers).
Tweede tier maximaal 50% van het vereiste of aanwezige vermogen (laagste van de twee). Onderscheid tussen vermogen dat op de balans
aanwezig is en off-balance vermogen (onderdeel van tier 2).
Drie kwaliteitsniveaus (tiers). Tier 1
minimaal 1/3 van het vereiste vermogen, tier 3 maximaal 1/3 van het vereiste vermogen. Onderscheid tussen vermogen dat op de balans
aanwezig is en off-balance vermo-gen.
SCR Solvabiliteitsmarge. Gekwantificeerd op basis van alleen verzekering-technische grootheden. Heeft geen specifiek zekerheidniveau.
Dekt kwantificeerbare risico‟s voor verzekeringsrisico, marktrisico, tegenpartijkredietrisico en operatio-neel risico. De SCR kapitaaleis is zo vastgesteld dat deze met 99,5%
zekerheid voldoende is om een volledig jaar mee te overbruggen. Het is mogelijk om de SCR met een
intern model te berekenen.
MCR Garantiefonds. Is gelijk aan eenderde van de solvabiliteitsmar-ge.
De MCR kapitaaleis is zo vastgesteld dat deze met 85% zekerheid voldoende is om een volledig jaar
mee te overbruggen.
(Bron: Implementatiedocument DNB, 31 maart 2010)
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 15
september 2010
Ongeacht de keuze van het te hanteren model geldt dat de implementatie en toepas-
sing van Solvency II tot grote consequenties in een groot aantal bedrijfsfuncties leidt.
In de komende paragrafen lichten we dit nader toe.
2.1.2 Impact van Pilaar 1: kwantitatieve eisen
De eisen voortvloeiend uit Pilaar 1 van Solvency II zijn ingrijpend voor de vermogens-
structuur van de verzekeraar. Verzekeraars dienen hun bezittingen (assets) en
verplichtingen (liabilities) op een marktconforme wijze te gaan waarderen, in tegen-
stelling tot de huidige situatie waarbij de assets op basis
van historische kostprijs worden gewaardeerd. Op dit
moment – in de pre-Solvency II periode – wordt voor de
solvabiliteitseisen („Solvency I‟) geen rekening gehouden
met de risico‟s op de bezittingen. Voor Solvency II gaat
dat wijzigen. Daardoor wordt het inrichten van een
effectief Risk Management systeem essentieel. Het dient
in te houden: Risk strategieën, processen en (rapporta-
ge)procedures om de impact van de risico‟s op het bedrijf
voortdurend te kunnen monitoren en beheersen.
De risico‟s moeten zowel individueel (op niveau van homogene risicogroepen) als
geaggregeerd en in relatie tot elkaar gemanaged worden in verband met onderlinge
afhankelijkheden. Voor bedrijven met meerdere werkmaatschappijen (juridische
entiteiten) dient dit ook nog op zowel werkmaatschappij- als op groepsniveau te
gebeuren.
Zoals eerder aangegeven moet een maatschappij een keuze maken of ze gebruik wil
gaan maken van interne modellen, van standaardmodellen of van een combinatie
hiervan (partiële interne modellen). In ieder geval zal de verzekeraar de standaard-
modellen moeten kunnen hanteren. De Toezichthouder kan het (op termijn) hanteren
van interne modellen opleggen aan de maatschappij.
Een belangrijke strategische keuze die een maatschappij moet maken is de “risk
appetite”. De “Risk appetite” is de mate waarin een organisatie bereid is om risico te
nemen om een aanvaardbaar of beoogd rendement te maken en om de strategische
doelstellingen te halen.
De risk appetite kan verschillen per risicocategorie. Per risicocategorie dient vastge-
steld te worden in welke mate risico gelopen mag worden. Hierbij geldt, dat naarmate
de risk appetite hoger is de bijbehorende kapitaalvoorziening ook omhoog gaat.
De risk appetite dient gedocumenteerd te worden en vormt de basis voor het risk
management binnen de organisatie (zie onder pilaar 2 in de volgende paragraaf).
Het ontwikkelen van een intern model kan ervoor zorgen dat het kapitaalsbeslag en
daarmee de kapitaalskosten optimaal zijn. Dit betekent niet noodzakelijkerwijs dat het
kapitaalsbeslag lager is: het overall risico en het risicodragend kapitaal worden in de
juiste balans gebracht. Een intern model biedt de verzekeraar het voordeel om meer
differentiatie in de portefeuille ten behoeve van de risicovaststelling aan te brengen,
bijvoorbeeld een schadeverzekering voor oldtimers t.o.v. een standaard autoverzeke-
ring: door de risico's te differentiëren kan de verzekeraar er voor kiezen om de old-
timer verzekering een veel lager risico toe te rekenen. Hierdoor is hij in staat zijn
risicoprofiel te optimaliseren op basis van differentiatie. Optimalisatie is dus niet
hetzelfde als een zo laag mogelijk risicobeslag, maar een juiste balans tussen risico‟s
en kapitaalsvoorzieningen voor de verzekeraar.
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 16
september 2010
Het ontwikkelen en toetsen van een dergelijk model kan echter aanzienlijke inspan-
ningen kosten. Naast het ontwikkelen van het model dient ook het pre-
applicatieproces doorlopen te worden waarbij de modellen gekalibreerd moeten
worden. Hierbij worden zogenaamde “use tests” uitgevoerd, waarbij de werking van
de modellen in de praktijk aangetoond moeten worden op basis van live data.
Om de parameters nader vast te stellen wordt in de tweede helft van 2010 de 5e
Quantitative Impact Study (QIS5) uitgevoerd. Hoewel deelname aan QIS5 niet
verplicht is dringt DNB er bij de Nederlandse verzekeraars sterk op aan dat zij hieraan
deelnemen. DNB ziet deelname aan QIS5 als een goede voorbereiding op de invoering
van Solvency II. De gegevens die nodig zijn voor het invullen van QIS5 komen
overeen met de gegevens die voor de uiteindelijke Solvency II-rapportages nodig zijn.
Deelname aan QIS5 geeft dus een goed inzicht in de problemen die te verwachten zijn
op het gebied van de beschikbaarheid van gegevens voor Solvency II.
Een probleem dat hierbij opdoemt is dat er niet over alle soorten risico‟s al informatie
beschikbaar is, zowel kwalitatief als kwantatief (historie). Met name het kwantificeren
van operationele risico‟s zal een uitdaging blijken te zijn.
2.1.3 Impact van Pilaar 2: kwalitatieve eisen en toezichtactiviteiten
Impact op de besturing van de organisatie
Een van de meest in het oog springende eisen in het kader van het toezicht is dat de
verantwoordelijke bestuurder niet alleen hoofdelijk aansprakelijk
is voor de juistheid van de berekeningen en rapportages, maar
dat hij ook dient te kunnen toelichten en aantonen dat de
resultaten verkregen zijn op basis van betrouwbare en correcte
data, procedures en systemen. De bestuurder moet kortom
aantonen dat hij de business kent en in control is!
Door middel van het Supervisory Review Process (SRP) zal de
Toezichthouder de besturing van het bedrijf toetsen op de
mogelijkheid om de actuele en mogelijke risico‟s te identificeren,
beoordelen en managen. De Toezichthouder heeft daarbij de
mogelijkheid om bedrijven te dwingen geconstateerde gebreken
en tekortkomingen te verhelpen. Daarbij ligt, zoals hiervoor
besproken, op het bedrijf (lees: de verantwoordelijke) de last om aan te tonen dat het
besturing- en de risk management processen geschikt en toepasbaar zijn voor het
gekozen risicoprofiel (risk appetite).
Het besturingssysteem moet onder andere omvatten:
Een toepasselijke en transparante organisatiestructuur
Heldere taken, verantwoordelijkheden en bevoegdheden inclusief het – waar van
toepassing – scheiden van taken en verantwoordelijkheden
Beschrijving en implementatie van beleid op het gebied van tenminste: risk
management, interne controle, interne auditering en outsourcing indien van toe-
passing
Kwalificaties van het personeel
Onder Solvency II moet de onderneming aan kunnen tonen dat alle personeelsleden,
inclusief het hoger en senior management, over de kwalificaties beschikken die
toereikend zijn voor de taken die zij uitvoeren. Verder dienen zij aantoonbaar aan
eisen van integriteit te voldoen. De kwalificaties dienen periodiek getoetst te worden.
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 17
september 2010
Processen en procesmanagement
De implementatie van Solvency II raakt vele bedrijfsfuncties en daarmee essentiële
bedrijfsprocessen en procedures: strategische besturing, risk management, actuariaat,
Finance & Control. Maar ook bij ICT, als bijvoorbeeld requirements (lifecycle) ma-
nagement structureel wordt ingevoerd.
Het is van het grootste belang om de processen op een gestructureerde wijze te
beschrijven en transparant te maken. Niet alleen is dat een eis van DNB maar het is
ook een instrument om het operationele risico te reduceren, met als spin off dat
daarmee de SCR kan dalen. De controls die het bedrijf inbouwt zijn een belangrijk
aspect van de procesbeschrijvingen.
Zie voor een uitgebreidere beschouwing over processen en procesmanagement Bijlage
7: Business Proces Management (BPM) .
2.1.4 Impact van Pilaar 3: Marktdiscipline en toezichtrapportages
De rapportage onder Solvency II wordt zo veel mogelijk op Europees niveau gehar-
moniseerd. Hierbij zal er gewerkt worden met Europese templates en kunnen
Toezichthouders daar buitenom alleen informatie opvragen als
dat om producten met specifiek nationale kenmerken gaat, zoals
in Nederland bijvoorbeeld zorg- of inkomensverzekeringen.
De rapportagekaders op het gebied van kwantitatieve vereisten
(Pilaar 1) zullen naar verwachting niet veel verschillen voor de
verschillende verzekeraars. De kwalitatieve rapportages (Pilaar 2)
kunnen wel verschillen qua detailniveau op basis van de aard,
omvang, complexiteit en risicoprofiel van de verzekeraar op basis
van proportionaliteit.
Solvency II geeft voor de publieke rapportage (Solvency and Financial Condition
Report – SFCR) bepaalde minimumvereisten, maar de verzekeraar wordt aangemoe-
digd om meer dan dat te rapporteren. Verzekeraars zullen, gezien het belang dat
wordt gehecht aan transparantie onder Solvency II, een visie moeten ontwikkelen op
hoe zij invulling willen geven aan de doelstellingen op het gebied van transparantie.
Verzekeringsgroepen zullen het gemakkelijker krijgen op dit vlak wanneer zij in
meerdere Europese (E.E.R.) landen opereren door de harmonisatie van de rapporta-
gevereisten.
De verzekeraars dienen uiterlijk eind 2011 een implementatieplan op te leveren aan
de Toezichthouder waarin zij duidelijk moeten maken hoe zij de rapportageprocessen
gaan inrichten, hoe deze ingevoerd worden en hoe zij de informatie beschikbaar zullen
stellen. Deze datum ligt vrij ver in de tijd en lijkt ingegeven te zijn door formele
argumenten over de afronding van de CEIOPS Level 2 en Level 3 adviezen voor de
implementatie en de implementatie in de wet- en regelgeving in de Lidstaten. Wij zijn
echter van mening, dat dit erg laat is voor in ieder geval de ICT-implementatie
aangezien de gegevensvoorziening voor Solvency II al per 1 januari 2012 op orde
moet zijn om de rapportage over 2012 in het eerste kwartaal 2013 te kunnen ver-
vaardigen.
De rapportageprocessen zullen wijzigen ten aanzien van de huidige situatie. De
samenstelling, goedkeuring en publicatie van het SFCR vraagt de nodige aandacht.
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 18
september 2010
Het proces van het opstellen, samenstellen en publiceren van rapportages dient
gedetailleerd beschreven te zijn. Alle rapportages moeten ook goedgekeurd worden
door de directie. Ook zal een deel van de rapportages extern gecertificeerd moeten
gaan worden.
De verzekeraar zal over adequate systemen moeten beschikken voor het produceren
van rapportages.
2.1.5 Impact op Risk Management, actuariaat, interne controle en interne audit
In het kader van Solvency II dient een verzekeraar te beschikken over een “system of
governance”, dat de volgende functies omvat:
- Risk Management
- Actuariële functie
- Interne controle (waaronder compliance valt)
- Interne audit
Deze functies worden hieronder behandeld.
Risk Management
Risk management is bij verzekeraars een gevestigde functie. Hierbij gaat het momen-
teel voornamelijk om de bepaling van de verzekeringstechnische risico‟s die de hoogte
van de premie voor de verzekeringen beïnvloeden en het toetsen of de verzekeraar de
komende jaren in staat is zijn verplichtingen na te komen op grond van de nu reeds
bekende aanspraken.
Additionele taken en verantwoordelijkheden voor de risk management functie:
Ontwerpen en implementeren van interne modellen (indien van toepassing)
Testen en valideren van de modellen (idem)
Documenteren (versiebeheer)
Analyseren en rapporteren
Verbeteren en uitbreidingen op het bestaande model
Het gehele risk management systeem moet ingepast en geïntegreerd worden in de
organisatiestructuur van het bedrijf. Er dient hierbij geborgd te worden dat de in de
risicostrategie vastgestelde en geaccepteerde risiconiveaus per risicocategorie (risk
appetite) ook daadwerkelijk gehanteerd worden bij de besluitvorming. Er moet
gekeken worden naar de werkelijke risico-blootstellingen in relatie tot de wenselijke
risico-blootstellingen. Risicobewust werken dient onderdeel te worden van de organi-
satiecultuur.
Het bedrijf moet de uitkomsten van risicobepalingen ook daadwerkelijk gebruiken bij
de inrichting van de besturing van de organisatie, dus bijvoorbeeld bij de pricing van
nieuwe producten. Onder Solvency II moet bij de besluitvorming risicobeoordeling
meegewogen worden en onderdeel uitmaken van de controlecyclus.
De risk management functie dient aantoonbaar objectief en onafhankelijk te werken.
Voor kleinere verzekeraars, die mogelijk niet in staat zijn om deze gehele risk ma-
nagement functie te implementeren en onderhouden, bestaat de mogelijkheid van het
outsourcen van de functie. Hiervoor gelden onder het nieuwe Solvency II regime zeer
strakke eisen zoals het recht van de Toezichthouder om on-site inspecties te houden.
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 19
september 2010
Onderdeel van de risk management-functie van elke verzekeraar dient de Own Risk
and Solvency Assessment (ORSA) te zijn. De ORSA is bedoeld om vast te stellen in
hoeverre er aan de Solvency II-vereisten wordt voldaan.
De bevindingen uit de ORSA worden gerapporteerd aan de Toezichthouder (solo en
groep) en maakt deel uit van het Supervisory Review Process (SRP). Voor eventuele
geconstateerde tekortkomingen dient een verbeterplan opgesteld te worden dat
overlegd moet worden aan de Toezichthouder. De voortgang van de uitvoering van
het verbeterplan moeten gerapporteerd worden aan de Toezichthouder.
De aard van de ORSA is tweeledig:
A. Het is een zelfbeoordeling van de organisatie en is als zodanig ingebed in het
strategisch besluitvormingsproces
B. Het is een hulpmiddel in het toezichtproces waarbij de Toezichthouder geïnfor-
meerd moet worden over de uitkomsten.
Voor het uitvoeren van de ORSA is het niet noodzakelijk om een (al dan niet partieel)
intern model toe te passen. Als een organisatie over een goedgekeurd intern model
beschikt, dienen de uitkomsten wel meegenomen te worden in de ORSA.
Let op dat DNB nieuwe en strenge eisen heeft met betrekking tot de risk management
processen en dat de verzekeraar, als onderdeel van de ORSA, moet kunnen aantonen
dat hij de processen, verantwoordelijkheden (voorbeeld: 4-ogen principe) en werking
van de systemen goed en auditeerbaar heeft ingericht.
Actuariële functie
De actuariële functie heeft een belangrijke taak op het gebied van kwaliteitsbeheer-
sing doordat de beslissingen genomen worden op basis van deskundig technisch
actuarieel advies.
Aangezien er op het gebied van actuariaat in Europa nog
verschillende regimes gelden zullen er gemeenschappelij-
ke actuariële richtlijnen worden ontwikkeld door CEIOPS.
Deze zijn een aanvulling op aanwezige nationale stan-
daarden.
De taken van de actuariële functie omvatten onder meer:
- Het coördineren van het berekenen van technische voorzieningen.
- Waarborgen dat de gebruikte methodieken en onderliggende modellen en de bij de
berekening van technische voorzieningen gehanteerde aannames correct zijn.
- Het beoordelen of genoeg gegevens worden gebruikt bij de berekening van
technische voorzieningen en het beoordelen van de kwaliteit ervan.
- Het toetsen van de beste schattingen (“best estimates”) aan de ervaring.
- Het informeren van het bestuurlijk, beleidsbepalend of toezichthoudend orgaan
over de betrouwbaarheid en adequaatheid van de berekening van technische voor-
zieningen.
- Adviseren over de algehele gedragslijn voor het aangaan van verzekeringstechni-
sche verplichtingen.
- Adviseren over de adequaatheid van herverzekeringsregelingen.
De actuariële functie heeft ook de taak om vast te stellen of de kwaliteit van de
gebruikte gegevens en systemen adequaat zijn voor het uitvoeren van de berekenin-
gen onder Solvency II en het opleveren van de rapportages. Het actuariaat dient ook
te adviseren over de verbetering van datakwaliteit. Eventueel kan de actuaris ook
externe gegevens gebruiken.
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 20
september 2010
Interne controle
De interne controlefunctie omvat alle administratieve en financiële processen en
procedures. Tot de interne controlefunctie behoort ook de compliancefunctie.
De compliancefunctie is verantwoordelijk om het management en toezichthoudend
orgaan te rapporteren over het al dan niet voldoen aan wet- en regelgeving en
administratieve aanwijzingen onder Solvency II. Verder dient de compliancefunctie te
beoordelen wat de impact van wijzigingen in wet- en regelgeving is op de bedrijfsvoe-
ring. Ten slotte dient de compliancefunctie de compliancerisico‟s te identificeren en te
beoordelen.
Een effectief intern controlesysteem dient zodaning opgezet te zijn dat het ten minste
de volgende zaken waarborgt:
- De effectiviteit en efficiëntie van de bedrijfsvoering in relatie tot de doelstellingen
en risico‟s.
- Beschikbaarheid en betrouwbaarheid van financiële en niet-financiële informatie.
- Het voldoen aan wet- en regelgeving.
Er dienen beschreven administratieve procedures te zijn voor de belangrijkste
bedrijfsactiviteiten om een goed georganiseerde en efficiënte bedrijfsvoering te
garanderen en fouten te voorkomen.
De interne controlefunctie heeft nadrukkelijk de taak om vast te stellen of de syste-
men van de verzekeraar, zowel handmatige als geautomatiseerde systemen,
aansluiten bij de organisatie qua strategie en gegevensbehoefte en of deze in over-
eenstemming zijn met de aard en complexiteit van de bedrijfsactiviteiten.
Het beleid ten aanzien van interne controle wordt door de organisatie vastgelegd en
dient goedgekeurd te zijn door het management en door het toezichthoudend orgaan.
Het beleid dient de wijze te beschrijven waarop het senior management het interne
controlesysteem moet implementeren en onderhouden.
Onderdeel van het interne controlesysteem is ook een beleid op het gebied van
informatiebeveiliging om de integriteit en vertrouwelijkheid van gegevens te waarbor-
gen.
Interne audit
Verzekeraars dienen te beschikken over een effectieve interne auditfunctie die toezicht
moet houden op de efficiëntie en effectiviteit van de interne controlefunctie en de
overige onderdelen van het governance-systeem. De interne auditfunctie dient
objectief en onafhankelijk van het operationele management te kunnen functioneren.
De interne auditfunctie rapporteert aan het bestuur van de organisatie en het toe-
zichthoudend orgaan, die beslissen over welke acties moeten worden genomen op
basis van de rapportage van de interne auditors.
De interne auditfunctie dient toegang te hebben tot alle documentatie, bestanden en
informatie binnen de organisatie, inclusief notulen van besluitvormende vergaderin-
gen. Alle onderdelen van de organisatie dienen te rapporteren aan de interne
auditfunctie, indien er afwijkingen van geldende richtlijnen wordt geconstateert. De
interne auditfunctie moet hierover richtlijnen opstellen en communiceren binnen de
organisatie.
De interne auditfunctie dient te werken op basis van een intern auditplan, dat geba-
seerd is op een gedegen risicoanalyse. Het plan omvat meerdere jaren.
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 21
september 2010
De interne auditfunctie rapporteert bevindingen over geconstateerde afwijkingen
direct aan het betrokken management en het toezichthoudend orgaan. Er wordt
minimaal één maal per jaar een formeel auditrapport opgesteld voor het bestuur van
de organisatie en het toezichthoudend orgaan.
De interne auditfunctie dient de eigen activiteiten zodanig te documenteren dat deze
controleerbaar en verifieerbaar is.
2.1.6 Impact op Finance & Control.
De rapportages in het kader van Solvency II betekenen een uitbreiding van de F&C
werkzaamheden voor wat betreft:
Additionele kwantitatieve kwartaalrapportages richting DNB m.b.t. MCR berekenin-
gen op groepsniveau en werkmaatschappijniveau
Idem: jaarrapportages met betrekking tot het voldoen aan de kapitaaleisen en
algehele financiële gezondheid (SFCR)
Voor wat betreft de externe jaarverslagen: additionele disclosure rapportages
De Solvency II rapportages maken deel uit van de financiële rapportages voor het
prudentieel toezicht van DNB (Report to Supervisor – RTS). De afdeling (Enterprise)
Risk Management levert de volledige input voor deze rapportages. Bovendien zal deze
afdeling de kwalitatieve rapportages m.b.t. toelichting van de gevolgde risk uitgangs-
punten, methoden, processen en procedures en dergelijke zelf uitwerken en
opleveren.
Een aandachtspunt voor F&C is het voldoen aan de nieuwe International Financial
Accounting en Reporting standaards, bijvoorbeeld IFRS4 versie 2. De verwachting is
dat een verzekeraar die geheel Solvency II compliant is, daarmee ook de wijzigingen
uit hoofde van de nieuwe IFRS regels voor een belangrijk deel heeft opgelost. Hier-
naast speelt de invoering van Market Conform Embedded Value (MCEV) voor het
waarderen van Assets en Liabilities.
Als laatste noemen we de management accounting (MA) rapportages, waarvan de
verwachting is dat deze risico gericht wordt, met name doordat de bedrijfsvoering na
invoering van Solvency II veel sterker dan nu het geval is. Risicostrategieën en de
uitwerkingen daarvan zullen de besluitvorming waarop de MA rapportage gericht is,
dus veel sterker beïnvloeden.
2.1.7 Uitbesteding
In het kader van overall governance worden er vanuit Solvency II ook specifieke eisen
gesteld aan outsourcing van kritische en belangrijke bedrijfsfuncties. Onder uitbeste-
ding vallen alle functies of activiteiten die normaal gesproken door de verzekeraar zelf
uitgevoerd zouden worden. Gezien het belang van gegevensverwerking door verzeke-
raars valt outsourcing van ICT-functies hier zeker onder. De verzekeraar zal dus
speciale aandacht moeten geven aan de contracten die zij heeft gesloten met service
providers. De contracten met de providers zullen aan de eisen moeten voldoen. Deze
behelzen onder meer:
De verzekeraar blijft volledig verantwoordelijk voor de operatie.
De financiële betrouwbaarheid van de partner.
De verzekeraar moet voldoende tijd hebben om bij beëindiging van het contract
een alternatieve oplossing te vinden.
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 22
september 2010
De mogelijkheid om het contract te beëindigen als de service provider niet kan
voldoen aan de eisen.
Eisen ten aanzien van beveiliging, confidentialiteit en continuïteit.
De service provider moet over een adequaat risk managementsysteem en interne
controlesysteem beschikken, die moeten aansluiten op het risk management- en
interne controlesysteem van de opdrachtgever.
Documentatie dient aan eisen van “good practices” te voldoen.
De service provider moet desgevraagd informatie verstrekken aan de Toezicht-
houder dan wel externe auditor over de uitbestede diensten en moet zo nodig
visitatie toestaan
Het is dus van groot belang voor de verzekeraar om de contracten met service
providers tijdig te reviewen op compliance met de eisen die vanuit Solvency II
bestaan. Speciale aandacht moet uitgaan naar outsourcing buiten de E.E.R. Ook SLA‟s
met interne service providers (binnen de eigen groep) vallen onder deze eisen, zij het
onder een minder strikt regime. De hierover gesloten Service Level Agreements
moeten ook beoordeeld worden op compliance met deze eisen3.
In Bijlage 5: Aandachtspunten voor uitbesteding gaan wij uitgebreid op dit onderwerp
in.
2.2 Impact op ICT
2.2.1 Algemeen
De impact van Solvency II op ICT is groot en zal grote delen van het applicatieland-
schap gaan raken en daarnaast de nodige impact hebben op de ICT-organisatie en
processen daarbinnen. De belangrijkste aandacht moet uitgaan naar datamanage-
ment, datakwaliteit en data delivery. Dit wordt uitgebreid behandeld in Bijlage 8:
Gegevens en gegevensontsluiting. Op basis van de ervaringen vanuit Basel II-
implementaties is het de verwachting dat hier tussen de 50% en 70% van de budget-
ten aan zal opgaan.
Ook ICT Governance is een essentieel onderwerp dat geadresseerd moet worden door
de maatschappijen, als onderdeel van de overall governance-eisen.
2.2.2 Impact van Pilaar 1: kwantitatieve eisen
De keuze voor het gebruik van standaardmodellen dan wel interne modellen voor het
berekenen van de SCR en MCR is sterk bepalend voor de impact. Standaardmodellen
maken vooral gebruik van informatie die reeds in de financiële administratie aanwezig
is, terwijl interne modellen daarnaast aanvullende informatie nodig hebben die niet
per definitie al in digitale vorm beschikbaar is. Informatie over operationele risicobere-
keningen is niet altijd beschikbaar. Een goede indicatie van de benodigde gegevens
voor interne modellen valt af te leiden uit de gegevens die voor QIS4 en RiSK4
gebruikt zijn. De eerdere QIS-onderzoeken gingen meer uit van het standaardmodel.
3 Zie voor de volledige eisen “CEIOPS‟ Advice for Level 2 Implementing Measures On
Solvenc II: System of Governance”, par. 3.7 Outsourcing 4 Risicogebaseerd SolvabiliteitsKader, Door DNB in 2009 uitgevoerd onderzoek binnen
Nederland op basis van de QIS4-spreadsheets
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 23
september 2010
Van augustus tot en met november 2010 zal QIS5 uitgevoerd worden door de
maatschappijen. Hoewel QIS5 niet verplicht gesteld wordt door DNB, dringt zij er wel
sterk op aan bij de maatschappijen.
De QIS-sen zijn steeds spreadsheet-acties geweest, die grotendeels uitgevoerd zijn
door Risk Management, Actuariaat en Finance. ICT is hierbij over het algemeen niet of
zijdelings betrokken geweest. Aangezien in QIS5 alle soorten kwantitatieve data
betrokken worden die ook in de uiteindelijke
SCR- en MCR-berekeningen omvat, is QIS5 ook
een uitgelezen mogelijkheid om ICT hierbij te
betrekken om de requirements ten aanzien van
kwaliteit, kwantiteit en beschikbaarheid van
data vast te stellen. Hierdoor is ook de nodige
tijdwinst te boeken.
Data en systemen die gebruikt worden voor de
doorrekening van modellen en de rapportage
worden onder Solvency II als onderdeel
beschouwd van interne modellen. Hiermee
maken deze data en systemen ook onderdeel
uit van het goedkeuringsproces van interne
modellen. CEIOPS heeft een apart Level 2 –advies gewijd aan datakwaliteit: “Technical
Provisions – Article 86f Standards for Data Quality”, waarin deze eisen uitgewerkt
worden op het gebied van documentatie, kwaliteit, kwantiteit en beheer.
Een ander belangrijk probleem is dat het eigendom en beheer van toepassingen op
het gebied van risk management veelal buiten het domein van de ICT-organisatie
liggen. Het managen van het risico op de bezittingen wordt uiteraard ook gedaan
maar minder als een geïntegreerde bedrijfsfunctie: vaak met off-line tooling of met
Excel toepassingen (zie ook de volgende paragraaf 2.2.3 Impact van Pilaar 2: kwalita-
tieve eisen). Het voeden van de applicaties met data gebeurt handmatig met alle
gevaren op fouten van dien.
Indien een verzekeraar kiest voor het toepassen van interne modellen moet deze er
rekening mee houden dat daar aanvullende gegevens voor nodig zijn. Denk hierbij aan
gegevens over marktrisico‟s en operationele risico‟s. De verzekeraar moet na gaan of
dergelijke gegevens binnen de organisatie aanwezig zijn en hoe deze ontsloten dan
wel verkregen kunnen worden. Het is mogelijk dat hiervoor additionele toepassingen
of aanpassingen in bestaande toepassingen noodzakelijk zijn dan wel dat er informatie
van buiten de organisatie nodig is.
Het groepstoezicht krijgt meer gewicht dan in de huidige situatie, waarbij het een
aanvulling is op het solo-toezicht dat per solo-verzekeraar wordt uitgevoerd. Van de
moeder van een verzekeringsgroep wordt verwacht dat zij weet wat de reikwijdte is
van de groep, dat zij governance en risicobeheer procedures implementeert en
overziet, dat zij voldoet aan de (publieke) rapportage eisen en dat zij op groepsniveau
de SCR berekent. Het toezicht berust bij de Toezichthouder in het land waar de
moeder gevestigd is. Voor verzekeringsgroepen – in het bijzonder zij die werkmaat-
schappijen in meerdere landen hebben – moet er dus ook een organisatie,
infrastructuur en architectuur aanwezig zijn voor het consolideren van gegevens en
het uitvoeren van geconsolideerde risicoberekeningen.
Voor het uitvoeren van de risicoberekeningen zijn – mede afhankelijk van de omvang
van de organisatie – grote hoeveelheden betrouwbare data nodig die hun eisen stellen
aan de technische ICT-infrastructuur op het gebied van opslagcapaciteit, verwerkings-
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 24
september 2010
capaciteit, performance en schaalbaarheid. Er is sprake van behoorlijke piekverwer-
kingen wanneer de jaarlijkse SCR-berekeningen moeten worden uitgevoerd en in
mindere mate per kwartaal wanneer de MCR-berekeningen worden uitgevoerd. Het
bepalen van de capaciteit van de infrastructuur zal een afweging worden van de
benodigde piekcapaciteit versus de kosten.
2.2.3 Impact van Pilaar 2: kwalitatieve eisen
Een tegenwoordige verzekeringsmaatschappij is niet meer denkbaar zonder gebruik
van informatietechnologie. Waar Solvency II eisen stelt ten aanzien van governance,
proceskwaliteit en audit trail strekt dit zich ook onverkort uit naar de ICT-organisatie.
Ook voor de implementatie van Solvency II is er een cruciale rol weggelegd voor de
ICT-organisatie. In de huidige situatie hanteren risk management afdelingen voor risk
managementtoepassingen veelal stand alone, vaak informele (MS Excel) toepassin-
gen. De gegevens worden handmatig verwerkt. Onder de eisen vanuit Pilaar 2 kan dit
soort werkwijzen geen stand houden aangezien hiervoor onvoldoende waarborgen ten
aanzien van audit trail en informatiebeveiliging kunnen worden gegeven.
De eisen ten aanzien van een integraal risk managementsysteem vereisen ook dat er
toepassingen nodig zijn om de werking ervan te monitoren en om hierover te kunnen
rapporteren. Verder zijn er toepassingen nodig voor het beheren (versiebeheer!) van
documentatie over het risk managementsysteem, de processen en procedures en de
gebruikte informatiesystemen.
Een van de meest in het oog springende kwaliteitseisen betreft die van datakwaliteit
en audit trail. In het kader van Solvency II moet een organisatie aantonen wat de
basis van de berekeningen is, de herkomst van de gegevens en de bewerkingen die de
gegevens hebben ondergaan5.
Een ander belangrijk aspect is procesbesturing. Procesmanagement is een onderdeel
van “good governance”. In de processen moeten ook goed gedefinieerde controls
opgenomen worden waarop gestuurd kan worden en waarover gerapporteerd kan
worden (controleerbaarheid van processen).
Zeker in een omgeving waarin sprake is van een divers applicatielandschap samenge-
steld uit pakketten en maatwerk, legacy en nieuwe systemen zal de ICT-organisatie
voor aanzienlijke uitdagingen gesteld worden. Het is dan ook van essentieel belang
om het huidige landschap goed in kaart te hebben qua documentatie en architectuur.
Onderdeel van het interne controlesysteem dient ook een informatiebeveiligingsbeleid
te zijn om de integriteit, betrouwbaarheid, tijdigheid, vertrouwelijkheid en controleer-
baarheid van gegevens te waarborgen. Er dient voorzien te worden in
toegangsbeveiliging tot infrastructuur, hardware en systemen. Hierbij dient ook
voorzien te worden in managementtoezicht, en operationele en technische controles
waar noodzakelijk.
Onder Solvency II worden ook operationele risico‟s meegenomen ter bepaling van de
kapitaalsbehoefte. Tekortkomingen binnen de ICT-infrastructuur en het applicatieland-
schap (onvoldoende documentatie, verouderde technologie, achterstallig onderhoud
enzovoort) leiden in de huidige situatie al tot hoge onderhoudskosten en onnodig hoge
projectkosten alsmede tot instabiliteit van de systemen. Onder Solvency II dient de
verzekeraar deze risico‟s mee te wegen als operationele risico‟s en leiden dergelijke
5 Zie hiervoor “CEIOPS‟ Advice for Level 2 Implementing Measures On Solvenc II:
Technical provisions – Article 86 f Standards for Data Quality”
De ICT-implementatie van Solvency II
De impact van Solvency II
Sogeti Nederland B.V. 2.0 25
september 2010
situaties niet alleen tot hogere onderhoudskosten, maar kunnen ze ook leiden tot
extra kapitaalsbeslag.
2.2.4 Impact van Pilaar 3: openbaarmaking
De openbaarmakingsvereisten van Solvency II vragen om een adequate rapportage-
infrastructuur en –architectuur. Voor een deel zal het een uitbreiding betekenen van
de bestaande rapportages (m.n. financiële rapportages), voor een deel ook nieuwe
rapportages. In de rapportages dienen kwalitatieve en kwantitatieve gegevens
gecombineerd te worden.
De wijze waarop de rapportage-infrastructuur moet worden
ingericht is afhankelijk van de situatie: enerzijds heeft de keuze
voor interne modellen of standaardmodellen de nodige impact,
anderzijds is de samenstelling van het applicatielandschap van
belang.
In geval de verzekeraar kiest voor het gebruik van interne
modellen (of deze opgelegd krijgt door de Toezichthouder) moet
hij de bestaande rapportagestructuur zodanig aan te passen dat aan de nieuwe
rapportagevereisten en governance-eisen voldaan wordt.
De rapportage-infrastructuur dient voldoende robuust te zijn om de benodigde
rapportages tijdig op te leveren aan de Toezichthouder. Er moet rekening mee worden
gehouden, dat dit het doorrekenen van aanzienlijke hoeveelheden gegevens met zich
meebrengt.
Het is derhalve van groot belang in het kader van het implementeren van Solvency II
om op zo kort mogelijke termijn inzage te krijgen in de beschikbaarheid van data, de
kwaliteit ervan en de hoeveelheid gegevens. Dit heeft ook zijn weerslag op de ICT-
infrastructuur, die voldoende capaciteit moet hebben voor de verwerking en opslag
van de rapportagegegevens.
Strikt genomen zijn de rapportages reguliere rapportages en zouden zij buiten het
domein van Business Intelligence vallen. Op basis van de samenstelling van het
applicatielandschap zal er echter in veel gevallen gekozen worden voor een data
warehouse-oplossing.
In de huidige situatie bestaan er veelal meerdere data warehousetoepassingen naast
elkaar en is data-integriteit en kwaliteit niet gewaarborgd. Het zal in veel gevallen
aanzienlijke inspanningen kosten om de data-kwaliteit, data-integriteit en data
delivery op orde te krijgen. Zie voor uitgebreidere informatie ook Bijlage 8: Gegevens
en gegevensontsluiting.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 26
september 2010
3 DE AANPAK VAN DE SOLVENCY II-IMPLEMENTATIE
3.1 Solvency II programma-aanpak
3.1.1 Algemeen
Het Solvency II invoeringstraject voor de ICT-aspecten moeten veel verzekeraars nog
ontwerpen en inplannen. Meestal is men wel aan de business-kant begonnen maar
loopt de betrokkenheid van ICT achter. Het feit dat de regels en richtlijnen momenteel
nog niet volledig uitgekristalliseerd zijn, zorgt ervoor dat er ook onzekerheid en
afwachtendheid bestaat. De aandacht gaat in eerste instantie sterk uit naar pilaar 1
(kwantitatieve eisen) en pilaar 3 (openbaarmaking) en de discussie speelt zich vooral
af bij risk management en actuariaat. De tijd begint echter inmiddels behoorlijk te
dringen en het is zaak om met de ICT-implementatie op korte termijn te beginnen.
Pilaar 2 (governance) lijkt vooralsnog minder aandacht te
krijgen. Het is te voorzien dat ook hierin majeure inspan-
ningen gestoken moeten worden. Dit betreft niet alleen de
governance-aspecten aan de business-kant, maar ook aan
de ICT-kant. Een uitdaging hier is, dat voor de inrichting
van governance de “principles” naar de eigen bedrijfssitua-
tie vertaald moeten worden en dat hiervoor minder
concrete handvatten zijn dan voor de meer cijfermatige en
“harde” pilaren 1 en 3.
Dit is niet de beste basis om een dergelijk ingrijpend
programma te starten, laat staan de ICT afdeling al van de
juiste marsorders te voorzien. Toch kunnen bedrijven en
ook de ICT afdelingen daarbinnen zich niet permitteren om
te wachten op de definitieve regelgeving die op dit moment
(september 2010) niet eerder dan begin 2011 verwacht
wordt.
Een belangrijke uitdaging ligt ook in het karakter van Solvency II. Solvency II is, zoals
eerder vermeld, “principles based” en geeft geen strak gedefinieerde regels. De
principes van Solvency II zal de verzekeraar moeten vertalen naar de eigen situatie.
Dit zal hij moeten doen in wisselwerking met de Toezichthouder. De verfijning en
verbetering van deze vertaling zal ook doorgaan na de invoeringsdatum en hier zal het
bedrijf zich ook op moeten inrichten.
3.2 Stappen in de implementatie
Aangezien verzekeringsmaatschappijen sterk van elkaar kunnen verschillen is het niet
mogelijk om een generieke programma-aanpak te geven. De te kiezen programma-
aanpak wordt bepaald door een aantal factoren die de verzekeraar moet afwegen.
Deze worden verderop in dit hoofdstuk behandeld.
In de aanpak van de Solvency II ICT-implementatie is wel een aantal stappen aan te
geven waarvan de omvang sterk afhankelijk is van de verzekeringsmaatschappij of -
groep in kwestie.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 27
september 2010
In de volgende figuur zijn de stappen afgebeeld:
In de volgende paragrafen lichten wij de stappen nader toe.
3.2.1 Oriëntatie
Tijdens de oriëntatie moet het ICT-management zich een beeld vormen van de impact
van Solvency II op de eigen organisatie. Allereerst is het van belang om vast te stellen
wat de invoeringsstrategie van het bedrijf is. Hierbij moet het ICT-management ook
aansluiting zoeken bij het business management, dat zij bewust moeten maken van
de ICT-impact. Mogelijke knelpunten in de ICT-implementatie dienen zo vroeg
mogelijk duidelijk te zijn omdat deze mede-bepalend zijn voor het tempo van de
business implementatie en de haalbaarheid. Data ten behoeve van modellen en
rapportage alsmede de bijbehorende systemen worden onder Solvency II als onder-
deel beschouwd van de modellen en vallen dus ook onder de goedkeuringsvereisten.
Tijdens deze stap dient ook gewerkt te worden aan de bewustwording van de impact
van Solvency II op de ICT-organisatie om een gevoel voor urgentie te ontwikkelen. Dit
kan Sogeti ondersteunen met Awareness Workshops voor het ICT-management en de
ICT-staf en vertegenwoordigers van de business, bij voorkeur risk managers, actuaris-
sen en procesverantwoordelijken.
3.2.2 Bepaling invoeringsstrategie
Voor het bepalen van de invoeringsstrategie moet de organisatie een aantal vragen
beantwoorden:
Omvang organisatie
De eerste bepalende factor is de omvang van de organisatie. De aanpak bij een kleine
solo-verzekeraar verschilt qua schaal en structuur sterk van die van een verzekerings-
groep met meerdere werkmaatschappijen in verschillende landen.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 28
september 2010
Standaardmodel of intern model
Ook een belangrijke factor is of de verzekeraar gaat werken met een standaardmodel
of met interne modellen. Bij keuze voor het werken met interne modellen is een
aanzienlijke tijd nodig voor het ontwikkelen van deze modellen, de bijbehorende
kennisopbouw en te ontwikkelen of aan te schaffen applicaties.
Beleid t.a.v. openbaarmaking
Solvency II stelt minimumeisen ten aanzien van de publicatie van rapportages en de
inhoud hiervan (Jaarlijkse SFCR, jaarverslag), maar nodigt
verzekeraars uit om meer transparantie te betrachten.
Hiertoe zal de verzekeraar een beleid moeten definiëren.
Centraal of decentraal
Bij grotere maatschappijen/groepen speelt ook de vraag of er
gekozen wordt voor een centrale aanpak of een decentrale
aanpak.
Gegeven het feit dat een verzekeringsgroep op centraal
niveau moet rapporteren dient er in alle gevallen sprake te
zijn van een centrale regie met betrekking tot de inrichting
van (enterprise) risk management, rapportagelijnen en data- uitwisseling.
Verdere overwegingen zijn onder meer:
Organisatiecultuur: Kent de verzekeraar een sterk hiërarchische, centralistische
cultuur of hebben de bedrijfsonderdelen een bepaalde mate van autonomie.
Differentiatie: In hoeverre verschillen de bedrijfsonderdelen qua productaanbod en
risicoprofiel.
Applicatielandschap: In hoeverre lijken de applicatielandschappen van de verschil-
lende bedrijfsonderdelen op elkaar? Is er sprake van gedeelde systemen of staan
alle systemen op zichzelf? Kunnen bestaande applicaties aangepast worden aan
Solvency II of is het beter om het applicatielandschap te rationaliseren en bepaal-
de systemen (vervroegd) uit te faseren?
Gefaseerd of big bang
Hoe wenselijk een big bang implementatie ook moge zijn, deze is lang niet in alle
gevallen haalbaar bij complexe operaties zoals de implementatie van Solvency II.
Hoewel het misschien haalbaar is bij een kleinere solo-verzekeraar, zal het bij een
verzekeringsgroep niet altijd mogelijk zijn om de gewenste eindsituatie te behalen per
31 december 2012 en zal er wellicht volstaan moeten worden met een minimale
variant. Solvency II biedt de mogelijkheid om na de invoeringsdatum verbeteringen en
verfijningen aan te brengen.
Een andere factor is de verandercapaciteit van de organisatie, die bepaald wordt door
de beschikbare capaciteit (zowel kwalitatief als kwantitatief), beschikbare budgetten,
maar ook de status van het applicatielandschap.
Combineren met andere compliancy-trajecten
Mogelijk zijn er binnen de organisatie al compliancy-trajecten gaande die gecombi-
neerd kunnen worden met de implementatie van Solvency II, omdat deze een
vergelijkbaar verandergebied hebben of inhoudelijk een grote overlap. Gedacht kan
hier worden aan de implementatie van Market Consistent Embedded Value (MCEV)
principes voor waardering van assets en liabilities en de verdere uitrol van IFRS fase
4.
Doorlooptijd
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 29
september 2010
De doorlooptijd voor Solvency II wordt sterk bepaald door extern bepaalde deadlines.
Het is derhalve noodzakelijk om vanuit deze deadlines terug te rekenen om vast te
stellen hoeveel tijd er beschikbaar is voor zowel de business-aspecten als de ICT-
aanpassingen en –ontwikkelingen.
Strategievorming
Op basis van deze overwegingen ontwikkelt het bedrijf een visie op de gewenste
situatie en de marsroute daar naartoe om richting te geven aan het implementatiepro-
ces. Dit zal niet op zichzelf kunnen staan.
Onderdeel van de beschrijving van de strategie hoort naar onze mening een architec-
tuurvisie te zijn (met name de business-architectuur). Dit is een belangrijk middel om
de beoogde structuur te communiceren.
3.2.3 Analyse en planning
Als de strategie bepaald is, moet het programmamanagement een gedegen planning
opstellen voor de implementatie. Hiertoe is het sterk aan te bevelen om een GAP-
analyse (IST => SOLL) uitgevoerd worden, waarbij de “witte vlekken” en knelpunten
in de processen, systemen en ICT-infrastructuur in kaart gebracht moeten worden.
Een probleem hierbij is, dat de
regelgeving nog niet volledig
uitgekristalliseerd is. Dit betekent
dat de functionele detailspecifica-
ties nog niet bekend zijn. De
principes van Solvency II zijn
echter wel bekend en met name
op het gebied van (ICT-
)governance, datamanagement,
datakwaliteit en data delivery kan
al veel gebeuren. Dit wordt
behandeld in de volgende para-
graaf 3.2.4 Implementatie.
Niet iedere verzekeraar zal in
staat zijn om tijdig het gewenste
eindambitieniveau te bereiken. Er
kan gedacht worden om te werken met een plateauplanning, waarbij een aantal
opeenvolgende ambitieniveaus worden gedefinieerd. Hierbij dienen steeds de proces-
sen, organisatie (governance, verantwoordelijkheden, cultuur), mensen (kwalitatief en
kwantitatief) en systemen bij elkaar aan te sluiten:
Het eerste plateau zou dan kunnen zijn dat er per 31 december 2012 voldaan wordt
aan de minimumeisen (bijvoorbeeld een partieel intern model) en dat er daarna
stapsgewijs gewerkt wordt aan optimalisatie in haalbare stappen.
Rekening houdend met de dynamiek van het invoeringstraject van de Solvency II-
regelgeving bevelen wij aan om voor de implementatie te werken met scenario‟s die
bijgesteld worden aan de hand van actuele ontwikkelingen.
Voor de analyse- en planningsfase is het sterk aan te bevelen om dit gelijk op te laten
lopen met de beantwoording van QIS5 en het uitvoeren van de eerste self assess-
ment.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 30
september 2010
Door bij het beantwoorden van de QIS5 samen te werken tussen business en IT kan
er ook meteen goed inzicht verkregen worden in de beschikbaarheid, herkomst en
kwaliteit van de data, aangezien de gegevens die voor QIS5 gebruikt worden voor het
overgrote deel overeenstemmen met de gegevens die onder Solvency II gerappor-
teerd moeten gaan worden.
Bij de eerste ORSA moet de organisatie in kaart brengen hoe zij er voor staat ten
aanzien van de Solvency II-eisen. Hierbij moeten ook de IT-systemen betrokken
worden.
Door nauwe samenwerking tussen business en IT bij QIS5 en Self Assessment kan
aanzienlijke snelheidswinst gehaald worden. Dit is ook noodzakelijk, want de verzeke-
raars moeten in de loop van 2011 een concreet implementatieplan voor Solvency II
opleveren, dat alle activiteiten bevat die ondernomen moeten worden opgenomen
moeten worden, een kritisch pad-anyse, benodigde capaciteit en risico‟s.
3.2.4 Implementatie
Voorwaardenscheppend
Hoewel de “harde specificaties” van Solvency II nog niet volledig bekend zijn is het
naar onze mening goed mogelijk om op een aantal gebieden al met zaken te beginnen
die voorwaardenscheppend zijn en waarvoor de detailspecificaties niet noodzakelijk
zijn. Dit behandelen we verderop in deze paragraaf.
Er kunnen in een vroegtijdig stadium al harde requirements worden opgesteld voor
zaken waarvan op voorhand duidelijk is dat deze op orde gebracht moeten worden,
met name op het gebied van IT Governance en datakwaliteit. Wacht dus niet met
requirements opstellen waar het bedrijf al aan kan beginnen op basis van de globale
richtlijn en daaruit af te leiden aannames! DNB verwijst in het Implementatiedocu-
ment ook naar de reeds beschikbare Level 2-adviezen van CEIOPS en de beschikbare
Level 3 Consultation Papers als richtinggevend. Voor het ICT-domein zijn met name de
CEIOPS Level 2-adviezen over het “System of Governance” en “Data Quality” van
belang.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 31
september 2010
Er is zeer veel dat men als bedrijf als voorbereiding op Solvency II kan doen. In een
aantal gevallen betreft dit zaken die een bredere strekking hebben dan Solvency II,
maar waarvoor Solvency II wel een extra motivatie vormt om ter hand te nemen. Een
selectie:
QIS5 uitvoeren om te monitoren en te beoordelen in hoeverre men qua beschik-
baarheid van de gegevens gereed is voor het leveren van rapportages en het
gebruik van interne modellen
Impact analyses op zowel business als ICT op basis van op het moment bekende
regelgeving als onderdeel van de Self Assessment
De kwaliteit van de benodigde brondata meten en op basis van bevindingen
verbeteren, inrichten meta datamanagement, master datamanagement
Risk management en andere geraakte processen voor de toekomstige situatie
modelleren
Automatiseren en beveiligen datastromen waarin nog handmatige stappen
voorkomen om operationele risico‟s te verlagen
Opstellen van gebruikers requirements voor risk engines en enterprise risk
management systemen aan de hand van de strategische keuzes en nu bekende
voorschriften – men kan daarna volstaan met het monitoren van gewijzigde inzich-
ten en regelgeving
Shortlist opstellen en Proof of Concept uitvoeren voor nieuwe risk engines
Aan de ICT-zijde kan men alternatieven voor de technische implementatie uitwerken
en modelleren. Een mogelijke benadering op hoofdlijnen:
Start met het ondersteunen van de uitvoering van de berekeningen met behulp
van de standaard methode. Deze moet een verzekeraar immers in ieder geval
beheersen, ook wanneer het hanteren van interne modellen in de streefsituatie
beoogd wordt
Start met voorbereiden en implementeren van interne modellen wanneer daar
naast de implementatie van het standaardmodel, ruimte in de planning en be-
schikbare resourcing voor is. Het is niet noodzakelijk om per 31 december 2012 de
interne modellen volledig gereed en geïmplementeerd te hebben. Na 31 december
2012 zal een periode van permanente verbetering intreden in samenspraak met
DNB
Start aan ICT-zijde zo snel mogelijk met de voorbereiding en uitvoering van de
structurele oplossing
Realisatie Solvency II-toepassingen
Zodra de specificaties bekend zijn kan de organisatie starten met het realiseren van
Solvency II-toepassingen en aanpassingen aan bestaande systemen. Ook met de
eventuele selectie en implementatie van (enterprise) risk managementpakketten kan
dan gestart worden.
Enterprise Risk Management omvat meer dan alleen de berekening van SCR en MCR.
Gartner geeft aan dat er voor de implementatie van Solvency II de volgende soorten
applicaties nodig zijn:
Actuariële modelleringstools voor het modelleren van Asset en Liability risico‟s, om
(partieel) interne modellen te ontwikkelen en om SCR en MCR te berekenen.
Data integratie-tools voor het extraheren, transformeren en laden (ETL-tooling)
van data vanuit bronsystemen naar een data warehouse.
Business Intelligence (BI) en rapportagetools voor on line analyse en rapportage
(On Line Analytical Processing – OLAP), dashboards voor hoger management en
om gebruikers in staat te stellen om rapporten samen te stellen.
Risk management en rapportagetoepassingen om verschillende vormen van risico,
zoals operationeel risico, verzekeringstechnisch risico en marktrisico, te monitoren
en analyseren.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 32
september 2010
Governance-, risk- en compliancetoepassingingen (GRC) om bedrijfsbreed een
consistent risk management framework te implementeren, controlepunten te defi-
niëren en te monitoren en om de interne controlefunctie te ondersteunen.
Asset/liability- of investment management-applicaties om kapitaal- en investe-
ringsrisco‟s te monitoren en te analyseren en om investeringsportefeuilles te
beheren.
Andere applicaties voor het ondersteunen van algemene taken zoals het documen-
teren van processen, data security of workflow management.
Niet expliciet genoemd door Gartner, maar naar onze mening ook van belang om in dit
kader te noemen zijn:
Data warehouses
Applicaties voor meta datamanagement
Tools voor data cleansing
Ondersteuning van versiebeheer van documentatie van processen en applicaties en
van applicaties zelf
Procesmodelleringstools
Er zijn in de markt geen leveranciers die het volledige palet van toepassingen leveren.
Dit betekent, dat de ICT-organisatie vanuit haar verantwoordelijkheid van systeemin-
tegrator een belangrijke rol moet krijgen in de selectie, integratie en implementatie
van (enterprise) risk management toepassingen en de inbedding binnen de reguliere
ICT-architectuur, zodat de ICT-organisatie de kwaliteit van de data ook kan garande-
ren.
Testen
Een belangrijke uitdaging, met name bij complexere organisaties, is het testen van de
risicoberekeningen (SCR/MCR) en de rapportages. Dit betekent, dat de verzekeraar de
gehele keten van bronapplicatie tot en met uiteindelijke rapportages, inclusief
consolidatie op groepsniveau, moet testen. Hiervoor moet de organisatie tijdig starten
met het bepalen en opzetten van de teststrategie, de testaanpak en testinfrastructuur.
Idealiter loopt dit vanaf de strategiebepaling mee.
3.3 Het belang van structurele oplossingen
Ervaringen uit eerdere compliance programma‟s, die in
eerste instantie als „moetjes‟ op de betrokken bedrij-
ven af komen, wijzen uit dat op ICT-gebied vooral
gerichte en „eendimensionale‟ oplossingen gerealiseerd
worden, specifiek gericht op het kunnen voldoen aan
de opgelegde eisen. Dit is om een aantal redenen,
waarop we hierna terug komen, een gemiste kans.
Toch is het begrijpelijk dat bedrijven moeite hebben
om te kunnen inzetten op structurele oplossingen:
Vaak neemt het creëren van structurele oplossingen meer tijd in beslag. De
planning werd vaak te krap omdat men zich verkeek op de impact van het eerdere
programma en dus de benodigde capaciteit voor de wijzigingen en omdat gedu-
rende de rit van de implementatie de wetgever met nieuwe en andere eisen kwam.
Gestuwd door de druk van de deadlines koos men vaak toch weer voor een „snelle‟
oplossing.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 33
september 2010
Structurele oplossingen zijn als initiële investering meestal duurder dan een snelle,
niet structurele oplossing. Het budget van het onderhanden compliance program-
ma is meestal beperkt tot het realiseren van de voor het programma benodigde
wijzigingen. Het programma heeft daarmee geen funding voor structurele wijzigin-
gen. In een tijd dat ICT budgetten krimpen heeft het ICT bedrijf hier ook geen of
onvoldoende budget voor. Echter, de verkleining van operationele risico‟s door
rationalisatie van het ICT-landschap levert onder Solvency II een extra business
case op voor een structurele oplossing (zie hieronder “Kosten operationeel risico”).
Veel eindgebruikers, denk hierbij vooral aan actuarissen en risk managers, werken
vaak met stand alone tools zoals Exel-toepassingen op PC-pakketten. Data wordt
handmatig ingevoerd of door middel van losse bestandjes. Onder Solvency II is dit
niet langer aanvaardbaar. Dit vereist structurele inbedding in de reguliere ICT-
infrastructuur waarbij de kwaliteit van de gegevens en de verwerking hiervan ge-
garandeerd kan worden. Van belang is wel dat dit zo min mogelijk de flexibiliteit
mag beïnvloeden.
De berekening van risico‟s en het berekenen van SCR en MCR is een complexe
aangelegenheid waarbij data uit een groot aantal bronnen bijeen gebracht moet
worden (zie 1.5.1 Pilaar 1: Kwantitatieve eisen). Dit vereist een structurele oplos-
sing, waarbij de kwaliteit van de data gegarandeerd is.
Toch zijn er goede redenen waarom een verzekeraar, zeker met als aanleiding
Solvency II, zou horen te werken aan structurele oplossingen. Deze behandelen we
hierna.
Solvency II wet- en regelgeving
DNB eist van bedrijven om Solvency II compliant te zijn, dat zij aantoonbaar aan
stringente eisen voldoen op het gebied van kwaliteit van data, geldigheid van gebruik-
te modellen en methodieken, stabiliteit van processen en ingeregelde
verantwoordelijkheden. Aan deze eisen kan een verzekeraar alleen tegemoet komen
wanneer zij haar zaken structureel en aantoonbaar op orde heeft.
Kosten operationeel risico
Een belangrijk onderdeel van de berekening van de SCR wordt gevormd door operati-
oneel risico. Hieronder vallen zaken als fraude, reputatierisico, maar ook verstoring
van bedrijfsprocessen door invloeden van buitenaf en binnenuit. Tot die laatste
categorie behoren de risico‟s die voortvloeien uit een verouderd en versnipperd
applicatielandschap.
Hiermee wordt ook duidelijk dat rationalisatie van het applicatielandschap bij een
verzekeraar die hiervoor een intern model hanteert tot besparingen leidt, aangezien
de risico‟s voor verstoring van de processen hierdoor verkleind worden. Dit geld ook
voor het inrichten van gedegen back up en (disaster) recovery alsmede uitwijkplan-
nen.
Herbruikbaarheid
Wanneer men niet de kans aangrijpt om processen, systemen en functies structureel
stabiel in te richten, zal men bij een volgend (compliance) programma of zelfs bij
regulier onderhoud tegen dezelfde tekortkomingen oplopen. Hiervoor moet men dan
telkens opnieuw een oplossing uitwerken. Een structurele inrichting zorgt ervoor, na
de extra investering vergeleken met een eendimensionale quick & dirty oplossing, dat
een herbruikbaar platform het inrichten van nieuwe programma‟s en regulier onder-
houd versnelt en voorspelbaar en goedkoper maakt.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 34
september 2010
Funding en sturing van structurele oplossingen
Solvency II is in dit verband niet meer dan een aanleiding om zaken structureel aan te
pakken en te verbeteren. Waar structurele verbeteringen mogelijk zijn, had het bedrijf
dat eigenlijk al veel eerder aan moeten pakken. Dit besef is uiteraard binnen de ICT
afdeling ook wel aanwezig. Waar het meestal aan ontbreekt is de juiste prioriteitstel-
ling van de beschikbare funding en resources.
Een programma als Solvency II zal waarschijnlijk deze funding niet leveren, het
volgende programma ook niet enzovoort. De ICT afdeling beschikt zelf ook niet over
de nodige middelen, waardoor de suboptimalisatie en uiteindelijk hogere kosten
blijven.
Men kan echter wel inzetten op een levensvatbare business case waarin zowel de
reductie door optimalisatie als de cost of not doing – bijvoorbeeld door hogere
Operational Risk kapitaalseisen - een positieve uitkomst opleveren. In het algemeen
geldt, voor alle structurele verbeteracties, dat de businesscase niet alleen gevormd
wordt door verlaging van onderhoudskosten en beheer, maar ook het verlagen van
operationele risico‟s en daarmee een lager kapitaalsbeslag. Dit is de reden waarom de
businesscase beter uitvalt dan bij voorgaande compliancyprogramma‟s. Daarom is het
verstandig om deze verbeteringen nu in gang te zetten.
De structurele verbeteringen kunnen binnen de uitvoering van het Solvency II
programma aan ICT-zijde gepland, bestuurd en bewaakt worden in samenhang met
de voor Solvency II benodigde activiteiten.
Aspecten van een structurele oplossing
Veel van de aspecten van een structurele oplossing zijn niet per definitie Solvency II-
specifiek, maar vloeien voort uit algemene principes van good (ICT) governance en
architectuurprincipes. Solvency II is wel een sterke motivator om dit op te pakken.
Ook de baten zullen verder strekken dan alleen Solvency II en zich uiten in lagere
beheer-en ontwikkelkosten.
Architectuur
Als Solvency II projectmatig en per afdeling wordt opgepakt, is het essentieel dat alle
projecten aangaande Solvency II en alle afdelingen op
eenzelfde manier omgaan met Solvency II. Dit houdt in
dat in al deze projecten en op al deze afdelingen met een
eenduidige set aan principes en richtlijnen wordt gewerkt,
op proces-, applicatie-, gegevens- en infrastructuurni-
veau. Dit betekent dat de organisatie een bedrijfsbrede
verzameling principes en richtlijnen op moet stellen en de
naleving hiervan moet bewaken. Dit dient als referentie-
materiaal voor elk project en elke afdeling. Voor elk
project stellen architecten een Project Start Architectuur
op waarin de belangrijkste elementen uit het referentie-
materiaal worden aangehaald en voor zover nodig
uitgewerkt op project niveau. Een Architecture Board
houdt toezicht en controle op dit geheel. Het bespreekt
alle Project Start Architecturen (PSA‟s) en keurt deze goed
(IT Governance). Hierbij kunnen de principes van Dynamic Architecture (DYA®)
toegepast worden. Architectuur en ICT Governance worden verder uitgediept in Bijlage
6: Architectuur en ICT Governance.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 35
september 2010
Datakwaliteit
Datakwaliteit is één van de hoekstenen onder Solvency II. Voor de berekening van
SCR en MCR moeten grote hoeveelheden data doorgerekend worden en de verzeke-
raar moet de kwaliteit van die data ook kunnen garanderen. De data vormt de basis
voor rapportages en voor management informatie (dashboards) in het kader van het
Risk Managementsysteem.
Aangezien de kwaliteit van data veelal te wensen overlaat, zal er veel aandacht
besteed moeten worden aan het verbeteren van de datakwaliteit. Ook de ontsluiting
van data uit bestaande systemen moet gestroomlijnd worden (ETL-processen –
Extract, Transform, Load). Er moet gezorgd worden voor “a single version of the
truth”.
Om dit te bewerkstelligen is het noodzakelijk om een aantal zaken in te richten:
- Data Governance
- Metadata-management
- Master datamanagement
Requirements Management
Solvency II is gebaseerd op principes en bestaat niet uit voorgedefinieerde regels.
Elke verzekeringsmaatschappij zal
deze principes moeten vertalen
naar concrete eisen en maatregelen
passend bij de eigen situatie.
De concrete eisen aan de verschil-
lende inrichtingscomponenten van
de organisatie noemen we require-
ments.
Requirements kunnen betrekking
hebben op de volgende inrichtings-
componenten:
- Organisatie
- Processen
- Personeel
- Systemen
- Data
- Infrastructuur
De vertaling van Solvency II
principes naar requirements is een
gemeenschappelijke verantwoorde-
lijkheid van materiedeskundigen en
Enterprise Architecten. Een
materiedeskundige zoals een
juridisch adviseur of actuaris kan
aangeven welke producten en maatregelen een Solvency II principe afdoende afdekt.
Enterprise Architecten kunnen aangeven via welke inrichtingsaspecten deze producten
en maatregelen geleverd c.q. geïmplementeerd kunnen worden.
Uit governance-optiek is het van groot belang om de relatie vast te leggen tussen de
requirements en de oorspronkelijke principes uit Solvency II. Ook de relatie tussen
requirements en inrichtingscomponenten is cruciaal: via die relatie is zichtbaar welk
inrichtingscomponent welk requirement afdekt.
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 36
september 2010
Om deze relaties te kunnen beheren moet een requirements-framework opgezet
worden. De vorm waarin dit gebeurt moet passen bij de organisatie en effectief zijn.
Gedurende de implementatie van Solvency II ontwikkelt de regelgeving zich. Dit leidt
weer tot mutaties op de requirements die de vertaling ervan zijn. Om grip te krijgen
op de “levenscyclus” van de requirements is versiebeheer dus essentieel.
Beheerprocessen
Het is aan te bevelen om achterstallige en ontbrekende documentatie aan te vullen en
up to date te brengen. Dit is noodzakelijk om de precieze impact van de implementa-
tie van Solvency II te bepalen en om risico‟s binnen het applicatielandschap te
identificeren en te elimineren.
Het is daarna zaak om de documentatie up to date te houden door de processen in te
richten conform de principes van Application Lifecycle Management (ALM) en Requi-
rements Lifecycle Management (RLcM).
Ten slotte is het belangrijk om beheerprocessen goed op orde te hebben, zoals op
basis van ITIL6.
CMM®7, COBIT8 en OPM39
Hoe de ICT functie is georganiseerd is op zich van minder belang voor Solvency II.
Bedenk echter wel dat DNB ook strenge eisen stelt aan de invulling van de ICT
processen en de beheersbaarheid van systemen en data. Dit zijn ook componenten die
impact hebben op de hoogte van de kapitaalseisen: operationeel risico is immers „het
risico dat ontstaat door het gebruik van processen, systemen en mensen‟. Hoe beter
gestructureerd des te lager het kapitaalsbeslag uit hoofde hiervan.
Gevestigde verbeteringsmethodes zoals CMM® en OPM3 en het COBIT-framework
kunnen helpen het ICT bedrijf verder te optimaliseren. De implementatie van Solvency
II is een uitstekende aanleiding hiervoor.
3.4 Programmabesturing
Solvency II is business driven. Meer dan voorheen is de
samenwerking en communicatie tussen de business en IT
belangrijk. De organisatie, business management in samen-
werking met ICT management moet dit procesmatig goed
organiseren. Architectuur kan hierbij essentieel zijn voor de
communicatie van IT naar business en omgekeerd (architec-
tuur omvat beide disciplines en kan wederzijds uitleg geven).
Solvency II heeft impact op de organisatie, processen,
applicaties, gegevens en infrastructuur. Dit betekent ook dat
de mate van samenhang tussen deze lagen ook meegenomen moet worden in de
6 Information Technology Infrastructure Library: Standaard voor de inrichting van IT-
beheerprocessen 7 Capability Maturity Model: Model dat verschillende niveaus van volwassenheid van de
IT-organisatie beschrijft 8 Control Objectives for Information and related Technology is een framework voor het
gestructureerd inrichten en beoordelen van een IT-beheeromgeving. 9 Organizational Project Management Maturity Model: Model dat de volwassenheid van
projectmanagement binnen een organisatie beschrijft
De ICT-implementatie van Solvency II
De aanpak van de Solvency II-implementatie
Sogeti Nederland B.V. 2.0 37
september 2010
impactanalyse (welke impact heeft een applicatie aanpassing op de processen en
infrastructuur, welke impact heeft een proces aanpassing op applicatie en infrastruc-
tuur niveau?). Dit betekent een analyse op lagen niveau (samenhang binnen de laag
en impact binnen de laag), maar ook enterprise-breed, tussen de lagen.
De uitvoering van het Solvency II programma zal bij veel verzekeraars een „tour de
force‟ worden. Een intensieve samenwerking tussen business en ICT van groot belang
omdat het programma in uitvoering zeer ICT intensief is en de uitgangspunten en
keuzes op strategisch niveau gemaakt worden. ICT is niet zozeer de uitvoerder
(supplier) van de business behoefte als wel de partner die de business vanuit haar
competenties begeleidt en ondersteunt en de uitvoering van de benodigde ICT
trajecten doet.
In de discussie over het wat (behoeften – van oorsprong het primaat van de business)
en hoe (supply van de oplossing – van oorsprong het primaat van ICT) blijkt het vaak
lastig om de taken en verantwoordelijkheden van beide partijen uit elkaar te houden.
Voorbeeld
Een afdeling Risk management is van nature gewend zelf zorg te dragen voor de
keuze en implementatie van de benodigde oplossingen en systemen. Nu de Risk
management functie een integrale functie krijgt en de werkzaamheden afhankelijk zijn
van (semi-) live data die middels geautomatiseerde processen worden opgehaald en
verwerkt, wordt de samenwerking met ICT belangrijker. Deze veranderende verant-
woordelijkheden maken deel uit van de cultuuromslag die in het kader van Solvency II
gemaakt moet worden.
Voor de besturing van deze complexe rol is een volwassen ICT Governance voorwaar-
delijk en dient het topmanagement taken, verantwoordelijkheden en bevoegdheden
van het ICT bedrijf opnieuw in te vullen.
De ICT programmamanager zal daarom zitting hebben in het hoofdbestuur van het
Solvency II programma, waarvan het Hoofd Risk Management of de CFO de eigenaar
is. De ICT programmamanager is de counterparty van de business programmamana-
ger; zij beiden zijn in gelijkwaardigheid verantwoordelijk voor het gehele Solvency II
programma.
Wanneer op zowel de uitvoerende (business analisten, informatieanalisten) als de
management niveaus intensief met de business wordt samengewerkt, is daarmee de
basis gelegd voor een succesvolle implementatie van Solvency II.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 38
september 2010
4 SOGETI EN DE IMPLEMENTATIE VAN SOLVENCY II
4.1 Vooraf
Sogeti kenmerkt zich van oudsher door ICT vakmanschap. Sogeti ontwikkelt haar
dienstverlening door de ervaring die zij opdoet
bij haar klanten te vertalen naar concrete
aanpakken en methodes. Een aantal van deze
methodes zoals DYA® en TMap Next® zijn
toonaangevend in de markt en andere metho-
den en technieken zoals Pronto®, Regatta® en
Busines Intelligence Implementatie Methode
hebben hun sporen ruimschoots bewezen bij
Sogeti-klanten. De binnen Sogeti aanwezige
kennis is ook toegespitst op Solvency II.
Hiermee kan Sogeti een belangrijke brugfunctie
vervullen tussen business en ICT.
Drie vormen van dienstverlening zijn van toepassing op de invoering van Solvency II:
Resultaatverplichte opdrachten waarbij Sogeti, onder regie van de klant, verant-
woordelijk is voor een deel van de werkzaamheden en resultaten
Producten en productised services waarin Sogeti haar expertise heeft verwerkt om
bij haar klanten de Solvency II implementatie te kunnen versnellen en vergemak-
kelijken
Inzet van experts met voor de inzet adequate kennis voor de implementatie van
Solvency II
Sogeti heeft haar ICT-vakmanschap vastgelegd in een groot aantal methoden,
technieken en aanpakken. Hiernaast heeft Sogeti specifiek voor de implementatie van
Solvency II een aantal producten ontwikkeld die versnelling kunnen brengen bij de
voorbereiding van de implementatie van Solvency II en de implementatie van Solven-
cy II. Zie voor een uitgebreid overzicht over hoe Sogeti u kan helpen bij de
implementatie van Solvency II Bijlage 10: Meerwaarde Sogeti dienstverlening.
Hiernaast heeft Sogeti een aantal business partners waarmee zij samenwerkt. Een
overzicht hiervan kunt u vinden in Bijlage 11: Partnerships.
In dit hoofdstuk bespreken we op welke wijze Sogeti haar klanten kan bijstaan bij een
gecontroleerde en beheerste Solvency II implementatie.
4.2 Sogeti en de voorbereiding van de ICT-implementatie
De voorbereiding van de implementatie van Solvency II is essentieel. Hiervoor biedt
Sogeti de volgende producten aan:
4.2.1 Solvency II Awareness workshop
Het doel van deze workshop is om het ICT-management bewust te maken van wat
Solvency II inhoudt en wat de impact kan zijn op de ICT-organisatie.
Deze workshop is gericht op het ICT-management en de ICT-staf. Ook business
managers, risk managers en actuarissen vormen een potentieel publiek voor deze
workshop.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 39
september 2010
Tijdens deze workshop zetten wij de visie van Sogeti op de impact van Solvency II
uiteen en gaan met u in gesprek over de situatie binnen uw organisatie. Het resultaat
is een door de deelnemers gedeeld vertrekpunt voor het verder aanpakken van de
Solvency II-problematiek.
De workshop duurt een dag en wordt verzorgd door onze Solvency II-specialisten.
4.2.2 Solvency II Readiness Scan
Het doel van deze scan is om een organisatie snel op hoofdlijnen inzicht te geven over
waar zij staat ten aanzien van de ICT-implementatie van Solvency II op een aantal
aandachtsgebieden zodat er besloten kan worden welke acties genomen moeten
worden.
De scan bestaat uit een gestandaardiseerde vragenlijst die medewerkers uit diverse
ICT-disciplines en business medewerkers (met name risk management en actuariaat)
invullen. De keuze van de te raadplegen medewerkers wordt met de opdrachtgever
van tevoren afgestemd. De resultaten verwerken wij in een rapportage in de vorm van
een presentatie die wij bespreken met de opdrachtgever.
De Solvency II Readiness Scan heeft een doorlooptijd van één tot twee weken,
afhankelijk van de omvang van de organisatie en het aantal beoogde respondenten.
De scan legt slechts een zeer beperkt tijdsbeslag bij de organisatie en blijft beperkt tot
maximaal een uur per respondent alsmede enige voorbereidingstijd met de opdracht-
gever.
De Solvency II Readiness Scan kan gecombineerd worden met de Solvency II Aware-
ness Workshop.
4.2.3 Solvency II ICT GAP-analyse
De GAP-analyse is bedoeld om een gedetailleerd inzicht te krijgen in de “witte
vlekken” in het ICT-landschap ten aanzien van de invoering van Solvency II als
voorbereiding op het Solvency II invoeringsprogramma.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 40
september 2010
In nauwe samenwerking met de opdrachtgever wordt een aantal workshops (brown
paper) georganiseerd voor strategiebepaling, requirementsanalyse en het ontwikkelen
van het toetsingskader. Vervolgens wordt de feitelijke GAP-analyse uitgevoerd,
waarbij het nodige “huiswerk” wordt uitgezet binnen de organisatie.
Op basis hiervan organiseren wij workshops om de mogelijke invoeringsscenario‟s uit
te werken.
De GAP-analyse kunnen wij snel uitvoeren door het gebruik van
gestandaardiseerde scans, checklists en templates zoals:
ICT Governance Scan (eventueel Assessment)
Scan ICT Architectuur (DYAgnose/DYAScan)
Data Quality Scan (ook als apart product mogelijk)
BI Scan
Totale beheerketenscan
Procesverbeterscan
Inbreng van generieke Solvency II requirements, BI-frameworks en architectuur-
platen door Sogeti
Het is een beheersbaar traject door duidelijke fasering en time-boxed aanpak.
De resultaten van de GAP-analyse zijn materieel:
Duidelijke uitgangspunten voor implementatie Solvency II
Inzage in “witte vlekken” en te ondernemen acties en kosten
“Roadmap” voor de ICT-implementatie van Solvency II
Immaterieel is het resultaat dat er bewustwording plaatsvindt van de impact van
Solvency II binnen de ICT-organisatie en er het juiste gevoel voor urgentie ontstaat.
Hiermee wordt draagvlak gecreëerd voor het Solvency II invoeringstraject binnen de
gehele ICT-organisatie.
De doorlooptijd en feitelijke invulling is maatwerk, want deze is sterk afhankelijk van
de situatie bij de opdrachtgever. Hiertoe zou de GAP-analyse bij voorkeur vooraf
moeten worden gegaan door een Solvency II Readiness Scan.
Versnelling bij de GAP-analyse kan behaald worden door de ICT-GAPanalyse aan te
laten sluiten bij de invulling van de eerste ORSA.
4.3 Solvency II implementatie
4.3.1 Algemeen
Solvency II is een ontwikkeling die al enige jaren geleden begonnen is, maar zich nu
concretiseert. De kennis en ervaring binnen de markt is nog beperkt. Binnen Sogeti is
er uitgebreide kennis en ervaring op het gebied van eerdere compliance-trajecten
zoals Basel II, SOX en IFRS. Verder is de richtlijn nog in ontwikkeling, welke ontwikke-
ling Sogeti nauwgezet volgt en vertaalt naar de ICT-praktijk.
Alle projectmedewerkers van Sogeti krijgen een uitgebreide workshop op het gebied
van Solvency II (deze is eventueel ook beschikbaar voor de interne medewerkers van
de klant). Sogeti borgt de opgedane kennis op het gebied van Solvency II en zorgt dat
haar medewerkers in Solvency II projecten hiervan op de hoogte blijven.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 41
september 2010
Op deze manier kan Sogeti haar klanten de zekerheid geven dat zij toegang hebben
tot de uitgebreide, zich steeds ontwikkelende Solvency II kennis en ervaring van
Sogeti.
4.3.2 Project- en programmamanagement
Sogeti heeft een uitgebreid track record op het gebied van project- en programmama-
nagement binnen de financiële wereld van veelal complexe en bedrijfskritische
projecten en programma‟s, waaronder menig compliance-project. Sogeti beschikt over
ervaren en gecertificeerde project- en programmamanagers die hun sporen ruim-
schoots verdiend hebben binnen de verzekeringswereld en veelal ervaring hebben op
het gebied van compliance-projecten.
4.3.3 Inrichting ICT Governance
Voor een succesvolle implementatie van Solvency II, zeker gezien de vele disciplines
en aspecten van het ICT bedrijf die hierdoor geraakt worden, is adequate samenhang
en integratie van de ICT besturing een voorwaarde
vooraf. Deze is dus ook een belangrijke voorwaar-
de vooraf en onderdeel van de structurele
benadering. Solvency II is een valide aanleiding
om, wanneer op dit punt nog meters te maken
zijn, de ICT governance te verbeteren.
Sogeti biedt u aan om de huidige ICT besturing als
onderdeel van de Solvency II besturing en als
onderdeel van de gehele ICT huishouding door te
lichten en op eventuele tekortkomingen verbeter-
voorstellen te doen. We analyseren de drie
competenties die tezamen de ICT governance
vormen: Architectuur en IT strategie, IT portfolio
management en ICT-programmamanagement. Invalshoeken: processen, organisatie
en mensen, producten en integratie/samenhang.
4.3.4 ICT Architectuur
Op het gebied van architectuur heeft Sogeti een indrukwekkend track record en wordt
erkend als de thought leader. Architectuur heeft vele verschijningsvormen en niet alle
zijn even relevant voor de implementatie van Solvency II. In ieder geval zijn in het
kader van Solvency II aan de orde:
Applicatie architectuur en applicatielandschap
Informatie- en data architectuur
Architectuur van data warehouse
Zie ook Bijlage 6: Architectuur en ICT Governance.
4.3.5 Datamanagement, datakwaliteit en data delivery
Naar verwachting is het onderwerp „data‟ in brede zin (datakwaliteit en - beschikbaar-
heid, metadata, traceability, data warehouse/datamart, import/export, ETL etc.)
verantwoordelijk voor 70% van de gehele inspanningen en kosten die in Solvency II
gestoken moeten worden. Kortom: een essentieel onderdeel van de Solvency II
implementatie, zoals we reeds in paragraaf 2.2 Impact op ICT hebben toegelicht.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 42
september 2010
Sogeti beschikt over ruime ervaring in het ontwerpen en implementeren van data-
infrastructuren en BI-toepassingen. Deze worden ook genoemd in Bijlage 8: Gegevens
en gegevensontsluiting.
4.3.6 Business Proces Management (BPM) en procesimplementatie
In paragraaf 2.1 Impact op de business zijn we ingegaan op het belang van processen
en procesmanagement voor zowel Pilaar 1 als Pilaar 2. Het is ons al meermalen in
trajecten waarbij DNB stringente eisen aan processen stelde (zoals bijvoorbeeld Basel
II), gebleken dat de inzet van Sogeti op dit vlak de werkzaamheden enorm heeft
versneld en de resultaten beter dan ooit tevoren geborgd en onderhoudbaar heeft
gemaakt. Dus niet alleen voldoen aan DNB eisen, maar deel laten uitmaken van de
kwaliteit van de bedrijfsvoering. Een uitgebreidere behandeling treft u aan in Bijlage
7: Business Proces Management (BPM) .
4.3.7 Pakketselectie
Naar verwachting zullen vele verzekeraars bij de implementatie van het Solvency II
programma overgaan op andere en additionele risk management systemen.
De benodigde functionaliteit daarvan wordt onder
andere bepaald door:
de Solvency II richtlijnen betreffende de door de
verzekeraar gebruik te methodiek: standaardmodel
of standaardmodel + (deels) interne modellen
de bedrijfseigen invulling van de risk management
en actuariële functie
de door het bedrijf gekozen risk appetite
de organisatie van de risk management functie:
centraal of decentraal+centraal
Verzekeraars, met name de verzekeraars die (eventueel deels) met interne modellen
gaan werken, zullen tooling (risk engines) kunnen invoeren voor:
marktrisico‟s + kredietrisico‟s van effecten (aandelen, obligaties, leningen, swaps,
derivaten etc.)
idem, specifiek voor real estate
verzekeringstechnische risico‟s – hierin onderscheid te maken naar bedrijfstak:
leven, non-leven, herverzekeren
Catastroferisico‟s
operationele risico‟s – hierbij kan gebruik gemaakt worden uit ervaringen van
banken met Basel II
risk management op Groep niveau: enterprise risk management (ERM), concentra-
tierisico‟s
Requirements
Sogeti kan een belangrijke bijdrage leveren op het gebied van het bepalen van de
behoefte (drivers, objectives, user requirements, use cases) en de uitvoering (techni-
sche requirements, non-functional requirements) en op die wijze een belangrijke brug
vormen tussen business en ICT.
Requirements Lifecycle Management is een door Sogeti ontwikkelde methode, die met
tooling ondersteund wordt. RLcM speelt niet alleen een rol bij het bepalen van de
vereisten, maar ook bij het valideren van de specificaties van de oplossingen (tools),
het in beheer nemen van de oplossingen en onderhouden gedurende de levenscyclus
van de oplossing. RLcM wordt door Sogeti business analisten begeleid. Zij spreken
zowel de taal van de business als van de ICT.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 43
september 2010
Aanpak pakketkeuze
Hoewel het bepalen van het hoe in principe de verantwoordelijkheid is van ICT, is het
essentieel hierin samen te werken met de business (risk managers). Zij zijn het
uiteindelijk die de oplossing moeten valideren en gebruiken. Ook hier kunnen Sogeti
business analisten een belangrijke bijdrage leveren en een brugfunctie tussen busi-
ness en ICT vormen. Ook het begeleiden van een Proof of Concept valt hieronder.
Bij een definitieve keuze kan Sogeti bijvoorbeeld ook de contracten en service levels
helpen uitwerken en deze tegen de richtlijnen van Solvency II houden.
Pakketimplementatie
Momenteel wordt veel van het risk management (en actuariaat) instrumentarium off-
line gebruikt en vindt veel end userautomatisering plaats. Dit is niet wenselijk onder
het Solvency II regime in het licht van de Pilaar 2 vereisten over aantoonbare kwaliteit
van systemen en processen en van het optimaliseren van het operationele risico.
De ICT-organisatie dient de geselecteerde systemen in de ICT-infrastructuur en –
architectuur te integreren. Zij zullen op geautomatiseerde wijze gebruik moeten
maken van live-like brondata. Bewerkte resultaten moeten controleerbaar op centrale
plaatsen teruggeschreven worden door de risk management applicaties. Dit vraagt om
een methodische benadering en aanpak waardoor de gebruikers zich kunnen beperken
en concentreren op het testen van de functionele gebruikers aspecten (werking en
resultaat van modellen) en het valideren van het eindresultaat.
De gehele implementatie van nieuwe systemen, inclusief aspecten als opleiding, in
beheer nemen, documentatie enzovoort kan Sogeti voor haar rekening nemen.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 44
september 2010
BIJLAGE 1: SOLVENCY II INVOERINGSKALENDER
Aan Solvency II wordt sinds 2005 gewerkt. In het eerste kwartaal van 2009 is de
richtlijn door het Europese Parlement en door de Europese Raad. De lidstaten zijn
daarna aan zet. Parallel hieraan werkt CEIOPS de maatregelen uit. De laatste adviezen
komen in januari/februari 2010 uit. De lidstaten zullen daarna de richtlijn gaan
omzetten in wet- en regelgeving.
Gedurende deze periode is er ook een aantal veldonderzoeken uitgevoerd, de Quanti-
tative Impact Studies (QIS). Deelname hieraan was vrijwillig, maar DNB dringt er ten
zeerste op aan dat de Nederlandse verzekeringsmaatschappijen deelnemen aan QIS5,
die start per september 2010. De samenstelling van QIS5 wordt in juni/juli 2010
verwacht. DNB overweegt om op nationaal niveau in 2011 en 2012 nog aanvullende
studies te doen analoog aan QIS5.
In de loop van 2011 zullen dan de definitieve vereisten voor rapportages door de DNB
worden geleverd. In reactie hierop dienen bedrijven een implementatieplan hiervoor
per november 2011 aan de DNB te overleggen. In 2010 dienen hiertoe self
assessments uitgevoerd te worden.
Op 29 oktober 2009 heeft DNB een Consultatiedocument naar de verzekeraars
gestuurd waarin DNB haar aanpak voor de invoering van Solvency II schetst en de
aanpak voor het toezicht.
Gedurende de periode daarna zal DNB de use tests van de maatschappijen beoordelen
alsmede de ORSA‟s.
Daarnaast zal in de loop van 2011 de definitieve vereisten voor rapportage door DNB
worden aangeleverd. In reactie hierop dienen bedrijven een implementatieplan voor
rapportage per november 2011 aan DNB te kunnen overleggen.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 45
september 2010
De regering zal de wet- en regelgeving naar verwachting in het 4e kwartaal 2011
voorleggen aan de Tweede Kamer.
In Nederland ziet de invoeringskalender er als volgt uit:
2009 RiSK (balansdatum 31-12-2008)
2010 Tussen 31 maart en 30 september 2010: “Self assessment Solvency II”
inclusief implementatieplan
Juli 2010 - maart 2011: Pre-applicatie interne modellen
QIS5 (balansdatum 31-12-2009)
2011 Pilaar 1 berekeningen (op basis van standaardformule en eventueel intern
model) over de situatie per 31 december 2010
Formele applicatie interne modellen
Pillar 3 Vereisten en templates rapportage
Implementatieplan rapportages
2012 Vervolg formele applicatie interne modellen
Pilaar 1 berekeningen (op basis van standaardformule en eventueel intern
model) over de situatie per 31 december 2011
Generale repetitie ORSA per 31-12-2011
Schaduw kwartaalrapportage over het tweede of derde kwartaal van 2012
Voldoen aan alle vereisten per 31-12-2012
2013 Eerste formele rapportage volgens Solvency II per 31-12-2012
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 46
september 2010
BIJLAGE 2: SOLVENCY II EN BASEL II
Solvency II en Basel II programma‟s hebben veel overeenkomsten. Aan de andere
kant zijn er ook wezenlijke verschillen. Het Basel II programma is door de meeste
bedrijven succesvol afgerond. Er kan dus lering worden getrokken uit de lessen die
geleerd zijn bij de implementatie van Basel II.
Daarnaast zijn er belangrijke overeenkomsten met de implementatie van IFRS (de
huidige boekhoud- en rapportage grondslagen). Deze hebben de meeste verzekeraars
wel aan den lijve meegemaakt. Bovendien gebruiken de verzekeraars de gelegenheid
om met Solvency II ook de laatste IRFS4 versie 2 wijzigingen te realiseren.
Bijl. 2.1 Overeenkomsten met Basel II
Het zijn beide omvangrijke projecten waarbij het gevaar van onderschatting van
de impact loert
De richtlijnen van Basel II en Solvency II bieden beide mogelijkheden voor het
verfijnen van de gebruikte methoden en daarmee het creëren van business bene-
fits
Beide programma‟s zijn gebaseerd op een 3-pilaren risk management framework
(zie figuur 1) bestaande uit kwantitatieve, kwalitatieve en publicatierichtlijnen
(disclosure)
Beide programma‟s zoomen in op het bepalen van het operationele risico van een
organisatie. Daarbij wordt de definitie van het Basel Comité gehanteerd: “risico op
potentiële verliezen die resulteren uit ongeschikte of fout ingerichte interne pro-
cessen, medewerkers, systemen of uit externe oorzaken en gebeurtenissen”
Zowel banken als verzekeraars hebben grote moeite om de operationele risico‟s te
meten en te kwantificeren
Beide programma‟s hebben een grote impact op de ICT huishouding van de
maatschappijen, met name op het beheren, ontsluiten en bewerken van grote
hoeveelheden data.
Figuur 1 – 3-pilaren framework van Solvency II en Basel II
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 47
september 2010
Bijl. 2.2 Verschillen met Basel II
De relevante risicoklassen van banken en verzekeraars verschillen fundamenteel
Basel II kent geen risico‟s uit hoofde van verplichtingen
Solvency II gaat uit van een total balance sheet approach en kent meer, en soms
afwijkende risicoklassen (kredietrisico, marktrisico, verzekeringstechnisch risico,
liquiditeitsrisico, operationeel risico) dan Basel II (kredietrisico, marktrisico en
operationeel risico)
De richtlijnen voor Pilaar 1 van Solvency II zijn veel minder voorgeschreven dan
die voor Basel II – waar een vaste kapitaalratio berekend moet worden
De detaillering van de risicodefinities voor Solvency II – zoals bijvoorbeeld de
solvabiliteitsniveaus – gaat veel verder dan bij Basel II
Bijl. 2.3 Lessons learned van BASEL II implementaties
Onderschat de effort (en de kosten) niet
Veel banken hebben de benodigde tijd en effort om Basel II-compliant te worden
enorm onderschat. Banken hadden ook de keuze om een aantal standaardmodellen te
gebruiken dan wel een intern model (IRB: internal ratings based) te gebruiken. Nog in
de eerste helft van 2010 waren banken nog steeds bezig om de IRB modellen in te
voeren of te optimaliseren, terwijl het Basel II regime sinds begin 2007 geldt.
De impact van Solvency II op de risk management functie van verzekeraars, zeker
wanneer een intern model gehanteerd gaat worden, is groter dan de impact van Basel
II op de risk management functie van banken. En Solvency II omvat – zoals eerder
toegelicht – ook de verplichtingen-zijde van de balans, dus de scope is zelfs groter dan
bij Basel II. Er zullen nieuwe risk modellen uitgewerkt en getest moeten worden. Hier
gaat, zo leert Basel II, al snel een jaar overheen.
Houd ook in het achterhoofd dat de Solvency II vereisten nieuw en nog steeds aan
veranderingen onderhevig zijn, dus de uiteindelijke impact op processen en systemen
is onbekend. Dit leidt tot verdere onzekerheden aangaande effort en kosten.
Combineer Solvency II compliance efforts met andere structurele wijzigingen
Implementatie van Basel II was een goede aanleiding om structureel te werken aan
verbeteringen, bijvoorbeeld op het gebied van de kwaliteit van de benodigde data in
de bronsystemen.
Het advies luidt derhalve: kies ook voor een structurele aanpak en oplossingen.
Plan zorgvuldig en doe niet alles tegelijk
De verzekeraar moet bedenken waar deze strategisch wil staan na volledige imple-
mentatie van Solvency II. Deze eindbestemming moet de verzekeraar vastleggen en
de route daarheen plannen in duidelijke stappen (plateaus). Per plateau moet de
verzekeringsmaatschappij bepalen welke risico´s verwacht kunnen worden (asses-
sment en impact analyse).
De meeste bedrijven die geacht worden een intern model te gaan hanteren zullen
eerst zorgen dat ze in ieder geval het standaardmodel op tijd kunnen hanteren.
Optimalisaties en verfijningen (interne modellen) kunnen ze vervolgens implemente-
ren volgens de eigen optimale planning zonder de druk van de deadline van 31-10-
2012: het moment dat elke verzekeraar aantoonbaar Solvency II compliant dient te
zijn. Ook na 31-10-2012 zijn verbeteringen nog steeds aan de orde!
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 48
september 2010
Verwacht geen „one size fits all‟ oplossing
Solvency II omvat uiteenlopende technische issues, zoals risk management, asset and
liability management, financiële analyses en BI. Banken hebben bij implementatie van
Basel II ervaren dat er niet één oplossing van één leverancier beschikbaar was.
Banken hebben gezocht naar „best of breed‟ oplossingen voor deeltrajecten. Zo zal het
bij verzekeraars ook verlopen. Bijvoorbeeld op het gebied van risk management een
risk engine specifiek voor de technische voorzieningen, een voor marktrisico‟s en
credit risico‟s van beleggingen (aandelen, fixed income, derivaten), een voor real
estate en een overkoepelend Enterprise risk management systeem t.b.v. het optimali-
seren van de onderlinge afhankelijkheden van risico‟s over werkmaatschappijen heen.
Houd zicht op potentiële benefits
De potentiële benefits dient de verzekeraar te expliciteren in een „Solvency II business
case‟. Hier kan men op sturen om daarmee de benefits in focus te houden. Bij Basel II
hebben banken ervaren hoe gemakkelijk men deze benefits uit het oog verloor onder
druk van de tucht van alledag: van „wat willen we‟ naar „wat kunnen we‟ naar „wat
moeten we‟.
ICT en business partnership
Solvency II is – evenmin als Basel II – geen project waarbij de business haar behoef-
ten kenbaar maakt en deze bij ICT als „aannemer‟ in uitvoering geeft. Met name voor
de benodigde uitbreidingen en wijzigingen in risk management processen, procedures
en systemen is de wisselwerking tussen business en ICT essentieel. Zet dit partnership
vroegtijdig op en werk zoveel mogelijk in gezamenlijkheid. Zorg ook voor een ICT
vertegenwoordiging in het bestuur van het Solvency II programma.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 49
september 2010
BIJLAGE 3: STANDAARDMODEL OF INTERN MODEL
Bijl. 3.1 Verschillen tussen het standaardmodel en interne model-len
De standaard methode voor het bepalen van het risicokapitaal (SCR) is een door
CEIOPS bepaalde rekenexercitie, het standaardmodel.
Als alternatief heeft CEA (het Europees Verbond van Verzekeraars) een ESA (European
Standard Approach) uitgewerkt. Een zo eenvoudig mogelijk model dat eveneens
uitgaat van een total balance sheet approach (assets en verplichtingen), met voor de
verplichtingen, naast de boekwaarde een Cost of Capital berekening voor de non-
hedgeable (niet af te dekken of herverzekeren) risico‟s: wat zou het bedrijf kwijt zijn
(inclusief het rendement) aan kapitaal dat men uit de markt (van de aandeelhouders)
zou aantrekken om het eigen vermogen aan te vullen om aan de SCR te voldoen.
Dit model is ter beoordeling neergelegd bij CEIOPS. Inmiddels heeft CEIOPS een
aantal aanbevelingen uitgebracht over de berekeningen met standaardmodellen.
In alle gevallen moet de verzekeraar de kapitaalvereisten kunnen berekenen aan de
hand van het standaardmodel.
De methode voor het bepalen van de SCR volgens de interne modellen wordt bepaald
door de verzekeraar zelf. De methode en de uitkomsten dienen eerst door de Toe-
zichthouder te worden goedgekeurd voordat een verzekeraar ze mag toepassen. De
uitkomsten dienen aantoonbaar te voldoen aan de eis (het „comfort level‟) van 99,5%
zeker voor de komende 12 maanden. Dit komt overeen met een falen eens in de 200
jaar. Overigens is het ook toegestaan – uiteraard mits door DNB geaccordeerd – om
deels het standaardmodel en deels interne modellen te gebruiken.
De hoogte van de MCR wordt vooralsnog bepaald door een percentage van het SCR
kapitaalsbeslag dat volgens de standaard methode berekend is.
Hieruit blijkt overigens dat verzekeraars die het kapitaalsbeslag volgens interne
modellen berekenen, ook de standaard methode moeten uitvoeren: vooralsnog om de
verschillen met de uitslagen volgens de interne modellen aan te geven en te verklaren
en dus om de MCR te berekenen.
De MCR is in die zin belangrijk, dat de Toezichthouder (DNB) kan overgaan tot
liquidatie van het bedrijf wanneer het eigen vermogen van de verzekeraar onder de
MCR is gekomen.
Wanneer het eigen vermogen onder de SCR grens is gedaald, worden er overigens al
heel indringende afspraken ter verbetering door de Toezichthouder opgelegd.
Bijl. 3.2 Potentiële baten van interne modellen
De standaard methode leidt tot een vrij starre uitkomst waarop een verzekeraar
weinig tot geen manoeuvreerruimte heeft.
De interne modellen staan de verzekeraar toe om – binnen de genoemde 99,5%
veiligheidsgrens – eigen keuzes te maken op het gebied van het risico dat hij bereid is
te nemen (risk appetite). Naarmate een verzekeraar bereid is hogere risico‟s te
nemen, staat hier ook een hogere kapitaalseis tegenover, maar ook hogere winstmo-
gelijkheden. Een lagere risk appetite leidt tot lagere kapitaalseisen en navenant lagere
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 50
september 2010
premie en hiermee mogelijk hogere omzet, maar tegen lagere marges. Ook kan de
verzekeraar door het aanbrengen van verfijningen in de methodiek het vereiste
kapitaalsbeslag (SCR) verlagen. Bijvoorbeeld door het toepassen van hedge accoun-
ting om marktrisico‟s te verkleinen, historische data of gegevens van externe partijen
(rating agencies zoals S&P en Moody‟s) gebruiken om aan te tonen dat een lager
kapitaalsbeslag verantwoord is, of door het zeer stabiel inrichten van systemen en
processen hetgeen kan leiden tot verlagen van het operationele risico.
Gevolg hiervan is wel dat kleinere verzekeringsmaatschappijen (die de standaard
methode gebruiken) een concurrentienadeel kunnen ondervinden – zij kunnen immers
de hoogte van hun premie minder goed optimaliseren. En dat levert niet echt een
eerlijke concurrentieverhoudingen, een “level playing field” op.
Het is onder andere ook daarom dat de verwachting is dat DNB het merendeel van de
Nederlandse maatschappijen een methode zal opleggen die (deels) volgens interne
modellen werkt.
Overigens is onze informatie dat grote verzekeraars zullen starten met de standaard
methode en gaandeweg steeds meer (partieel) interne modellen zullen hanteren,
maar dat in de eindsituatie toch nog steeds ten dele met de standaard methode
gewerkt zal worden.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 51
september 2010
BIJLAGE 4: RISICO’S BIJ DE IMPLEMENTATIE VAN SOLVENCY II
Bijl. 4.1 ‘Just another compliancy program’
Verzekeraars lopen risico‟s wanneer ze de implementatie van Solvency II waarderen
als „min of meer gewoon weer zo‟n compliance verplichting, waarvan we er al de
nodige achter de rug hebben‟.
De richtlijnen voor Solvency II zullen grote veranderingen teweeg brengen in de
werkwijze van de business en de daaraan gerelateerde ICT ondersteuning. Dit geldt
met name voor de Risk Management functie bij de business en datakwali-
teit/datamanagement in het ICT bedrijf. Dit speelt zowel bij de verzekeraars die een
specifieke „maatwerk‟ implementatie met nog nader uit te werken methoden en
technieken willen gaan uitvoeren, als bij de verzekeraars die kunnen volstaan met het
toepassen van een standaard methodiek:
De huidige Solvency I richtlijnen zijn niet bruikbaar als basis voor de implementa-
tie van Solvency II: het huidige Solvency I regime gaat uit van risico‟s op de
verplichtingen (technische voorzieningen) terwijl Solvency II uitgaat van een total
balance sheet approach waarin de risico‟s op zowel de verplichtingen als de bezit-
tingen gewogen worden
De Risk Management functie en processen zullen een centrale rol spelen in de
commerciële en financiële processen. Op dit moment vinden de actuariële en de
risk management processen nog vaak offline en decentraal plaats.
Conform de huidige Solvency II richtlijnen (ze zijn nog niet definitief) zal de toe-
zichthouder, in dit geval DNB als prudentieel toezichthouder, dat afkeuren
Verzekeraars lopen ook risico‟s wanneer ze zich beperken tot het voldoen aan de
standaard nieuwe kapitaalrichtlijnen en niet ook de kernprocessen van de business
onderhanden nemen
Wanneer verzekeraars Solvency II niet aangrijpen als een kans om belangrijke
verbeteringen aan te brengen, bijvoorbeeld in hun architectuur, data-infrastructuur
en applicatielandschap, worden 1-dimensionale oplossingen gebouwd en kan dit
leiden tot het telkens weer gehele traject doorlopen worden bij onvermijdelijk vol-
gende compliance trajecten.
En ja: Solvency II is inderdaad weer een volgend compliance-programma, maar wel
een met een grote impact op essentiële bedrijfsfuncties en –processen en zelfs op de
commerciële slagkracht van de verzekeraar
Bijl. 4.2 Te weinig focus op pilaar 2
De neiging bestaat om zich te richten op de “harde” aspecten van Solvency II zoals de
inrichting van de riskmodellen (pilaar 1) en de rapportageprocessen (pilaar 3).
Hierdoor krijgen de governance-aspecten (pilaar 2) te laat aandacht. Het merendeel
van de governance-eisen is onafhankelijk van de gehanteerde modellen (standaard of
intern). Aspecten van governance zoals data governance, procesinrichting en -
documentatie en audit trail zijn enerzijds voorwaardenscheppend voor het correct en
controleerbaar kunnen uitvoeren van risicoberekeningen en opleveren van rapporta-
ges.
Bijl. 4.3 Late start
Het gevaar bestaat, dat de ICT-organisatie pas laat aangehaakt wordt omdat de
business nog bezig is met het bepalen van strategische keuzes en het opzetten van
interne modellen op basis van een onbeschreven en alleen uitkomst gerichte aanpak-
voor wat betreft de onderliggende dataverzameling en bewerkingen. Hierdoor kan het
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 52
september 2010
gehele Solvency II-implementatieproces voor de organisatie in gevaar raken. De ICT-
organisatie zal dan ook op een zo vroeg mogelijk moment betrokken moeten worden.
Bijl. 4.4 Er is al zoveel te doen….
De meeste ICT-organisaties bij verzekeraars hebben al een overvol programma. Denk
aan programma‟s op het gebied van transparantie en zorgplicht. Hiernaast speelt nog
het reguliere onderhoud en aanpassingen aan systemen. Dit legt druk op de budget-
ten, maar ook op schaarse kennis van de benodigde medewerkers.
Bijl. 4.5 Stoppen als het klaar is
Een Solvency II-programma zal zich vooral focussen op het halen van de deadline van
de invoering per 31 december 2012. Er valt in veel gevallen niet aan te ontkomen dat
hierbij concessies gedaan moeten worden aan het “ideaalplaatje”. Ongetwijfeld zullen
er ook andere ontwikkelingen gaan spelen die dan de aandacht zullen krijgen,
waardoor er zaken blijven liggen en mensen gealloceerd gaan worden aan andere
ontwikkelingen waardoor kennis en capaciteit wegvloeit.
Solvency II is “principle based” en DNB geeft duidelijk aan dat er na de 1e implemen-
tatie een continu verbeterproces zal gaan plaatsvinden waarbij de toegepaste
modellen, maar ook de governance en rapportagevereisten (m.n. die met betrekking
tot governance) verfijnd worden.
Het behoeft dan ook aanbeveling om de Solvency II veranderorganisatie gedurende
het invoeringsproces ook in te bedden in de staande organisatie.
Bijl. 4.6 Onderschatting van de testinspanning
Solvency II gaat grote delen van de organisatie raken, zowel qua processen als
systemen. Dit leidt, met name bij verzekeringsgroepen, tot veelomvattende aanpas-
singen. De testinspanning hiervoor zal navenant complex zijn en zal veel
voorbereiding vragen. Er zal dus van het begin af aan aandacht moeten zijn voor de
organisatie en voorbereiding van het testen.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 53
september 2010
BIJLAGE 5: AANDACHTSPUNTEN VOOR UITBESTEDING
Bijl. 5.1 Inleiding
Een onderdeel van de Solvency II-richtlijn betreft eisen die gesteld worden aan
uitbesteding. In het kader van de implementatie van Solvency II zullen verzekeraars
en dienstverleners hun dienstverleningscontacten moeten beoordelen en waar nodig
aanpassen.
Deze bijlage is gebaseerd op “CEIOPS‟ Advice for Level 2 Implementing Measures on
Solvency II: System of Governance” (Verder “CEIOPS-advies”) van oktober 2009. De
richtlijn is nog in ontwikkeling en de definitieve versie kan op details afwijken.
Bijl. 5.2 Reikwijdte
Het CEIOPS-advies definieert outsourcing als volgt:
3.345. Outsourcing in the context of the Level 1 text means an arrangement of
any form between an insurance or reinsurance undertaking and a ser-
vice provider, whether a supervised entity or not, by which that service
provider performs a process, a service or an activity, whether directly or
by sub-outsourcing, which would otherwise be performed by the insur-
ance or reinsurance undertaking by itself.
Merk hierbij op, dat de definitie heel breed is. Het incidenteel inhuren van specialisten
of het verzorgen van opleidingen valt er niet onder, maar als er over langere tijd een
afhankelijkheid ontstaat valt het er wel onder. CEIOPS zal nog komen met een nadere
uitwerking hiervan.
Voor uitbesteding geldt, dat de verzekeraar te allen tijde eindverantwoordelijk voor de
uitbestede processen en de verzekeraar moet beschikken over een uitgewerkt
uitbestedingbeleid. Dit beleid moet onder meer de beoordeling omvatten van de
impact van outsourcing op de bedrijfsvoering en de monitoring en rapportageafspra-
ken die geïmplementeerd moeten worden als een uitbestedingcontract in werking
treedt.
De verzekeraar moet het monitoren van uitbestede processen opnemen in het risk
managementsysteem. De dienstverlener dient te beschikken over een eigen risk
managementsysteem. De verzekeraar moet te allen tijde zelf beschikken over de
kennis die nodig is om vast te stellen dat de dienstverlening de diensten verleent
conform het contract.
AANDACHTSPUNT: Beschikbaarheid van een geaccordeerd uitbestedingbeleid
en het toetsen of lopende uitbestedingcontracten eraan voldoen.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 54
september 2010
De richtlijn zelf stelt in artikel 92 over uitbesteding:
Outsourcing of critical or important operational functions or activities shall not
be undertaken in such a way as to lead to any of the following:
(a) materially impairing the quality of the system of governance of the
undertaking concerned;
(b) unduly increasing the operational risk;
(c) impairing the ability of the supervisory authorities to monitor the
compliance of the undertaking with its obligations;
(d) undermining continuous and satisfactory service to policy holders.
Tot “kritische” of “belangrijke” functies of activiteiten rekent CEIOPS in ieder geval het
governancesysteem en alle functies die van belang zijn voor het uitvoeren van de
kernactiviteiten. Als voorbeelden noemt CEIOPS het beprijzen en ontwerpen van
verzekeringsproducten, het beleggen van middelen, portefeuillebeheer en schadeaf-
handeling. Hoewel niet expliciet genoemd, moet de ontwikkeling en het beheer van
informatiesystemen hier ook toe gerekend worden, aangezien informatiesystemen de
primaire bedrijfsfuncties van de verzekeraar ondersteunen.
Bijl. 5.3 Eisen aan uitbesteding
Selectie van dienstverleners
Bij de selectie van dienstverleners voor uitbesteding van essentiële en belangrijke
functies dient de verzekeraar een aantal stappen te doorlopen om de volgende zaken
vast te stellen:
(a) dat de dienstverlener over de vaardigheden en capaciteiten beschikt om de
vereiste functies of activiteiten op een bevredigende manier uit te voeren met
het oog op de doelstellingen en behoeften van de verzekeraar
(b) dat de dienstverlener alles in het werk heeft gesteld om veilig te stellen dat er
geen feitelijke of potentiële conflicterende belangen zijn met de verzekeraar die
schade kunnen opleveren voor de verzekeraar
(c) er een schriftelijke overeenkomst is met de dienstverlener waarin de rechten
en plichten van de partijen zijn vastgelegd
(d) dat de algemene voorwaarden van de overeenkomst goedgekeurd en begrepen
zijn door de bestuurder van de verzekeraar of het toezichthoudend orgaan
(e) de uitbesteding niet leidt tot overtreding van enige wet- of regelgeving op het
gebied van gegevensbescherming of anderszins
(f) De dienstverlener onderworpen is aan dezelfde voorwaarden als waaraan de
verzekeraar is onderworpen met betrekking tot de beveiliging en vertrouwelijk-
heid van gegevens die gerelateerd is aan diens klanten
Hierbij dient de verzekeraar ervoor te zorgen inzage te krijgen in de risico‟s die
verbonden zijn aan de uitbesteding en in de meest gepaste maatregelen om deze
risico‟s te managen dan wel te beperken. Verder dient vastgesteld te worden of de
dienstverlener de kennis, capaciteit en eventueel benodigde vergunningen heeft om de
diensten te kunnen verlenen. De conclusies van dit onderzoek dienen gedocumenteerd
en vastgelegd te worden.
AANDACHTSPUNT: Indien er onderuitbesteding buiten de E.E.R. plaatsvindt
moet nagegaan worden of overdracht van gegevens moet plaatsvinden naar
bijvoorbeeld India en of dit onder Nederlandse en Europese wet- en regelge-
ving toegestaan is. Indien dit noodzakelijk is voor bijvoorbeeld testen is het
wellicht noodzakelijk om gegevens te anonimiseren
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 55
september 2010
De overeenkomst
De verzekeraar moet zich ervan vergewissen dat de tekst van de overeenkomst in
overeenstemming is met de verplichtingen van de verzekeraar onder Solvency II. In
de schriftelijke uitbestedingovereenkomst zullen op zijn minst de volgende zaken
geregeld moeten worden:
(a) de plichten en verantwoordelijkheden van de partijen
(b) de dienstverlener moet zich verbinden zich te onderwerpen aan alle toepasse-
lijke wet- en regelgeving en richtlijnen en meewerken met de Toezichthouders
van de verzekeraar met betrekking tot de uitbestede functie of activiteit
AANDACHTSPUNT: Hierover een clausule opnemen in uitbestedingcontracten
(c) de dienstverlener dient alle ontwikkelingen te melden die een materiële invloed
hebben op diens vermogen om de uitbesteding uit te voeren, inclusief mogelij-
ke belemmerende effecten van nieuwe wet- en regelgeving in diens
vestigingsland en enig materiële wijzigingen in zijn financiële positie of risico-
profiel
AANDACHTSPUNT: Hierover een clausule opnemen in uitbestedingcontracten
(d) dat de opzegtermijn voor de dienstverlener van het contract voldoende lang
moet zijn voor de verzekeraar om een alternatieve oplossing te vinden
AANDACHTSPUNT: Hierover een clausule opnemen in uitbestedingcontracten
(e) Dat de verzekeraar de overeenkomst mag beëindigen binnen een redelijke
opzegtermijn indien de geleverde diensten niet voldoen aan de eisen
(f) Dat de verzekeraar zich het recht voorbehoudt om geïnformeerd te worden
over de uitbestede activiteiten en de performance van de dienstverlener en dat
de verzekeraar het recht heeft om algemene richtlijnen en specifieke aanwij-
zingen uit te vaardigen waarmee rekening gehouden moet worden bij de
uitvoering van de uitbestede functies en activiteiten
AANDACHTSPUNT: Duidelijke rapportageafspraken opnemen in de overeen-
komst. Ingeval de eisen tussentijds kunnen wijzigen meer/minderwerkclausules
opnemen om disputen tussen de verzekeraar en dienstverlener te voorkomen
AANDACHTSPUNT: Zoals het nu verwoord is in het CEIOPS-advies blijft in het
midden of dit tussentijds kan plaatsvinden. Indien dit open gelaten wordt kan
het contract onbestuurbaar worden. Er zal dus een duidelijke beschrijving moe-
ten zijn van de diensten (SLA‟s e.d.) met meer/minderwerkclausules indien er
aangepaste richtlijnen komen om disputen tussen de verzekeraar en dienstver-
lener te voorkomen
(g) Dat de dienstverlener enige vertrouwelijke informatie in relatie tot de verzeke-
raar of diens klanten zal beschermen
AANDACHTSPUNT: Opnemen van clausules met betrekking tot gegevensbe-
scherming (niveaus, beveiligingsmaatregelen) en vertrouwelijkheid (non-
disclosure)
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 56
september 2010
(h) Dat de dienstverlener de verzekeraar, diens externe auditor en Toezichthouder
onbelemmerd toegang verstrekt tot alle informatie met betrekking tot de uitbe-
stede functies en activiteiten alsmede dat de dienstverlener hen toegang
verschaft tot diens bedrijf indien een inspectie of audit ter plaatse moet worden
uitgevoerd
AANDACHTSPUNT: Standaardclausule voor opnemen. Het verdient aanbeve-
ling om vast te stellen om welke informatie dit gaat en het aantal
inspecties/audits vast te stellen en de kosten die hiervoor doorberekend mogen
worden
(i) Dat de Toezichthouder direct vragen mag stellen aan de dienstverlener
AANDACHTSPUNT: Een clausule voor opnemen in het contract
Dienstverleners in derde landen
Indien de dienstverlener gevestigd is in een ander land dan de Lidstaat waarin de
verzekeraar gevestigd is, dient er een bepaling opgenomen te worden over het
beslechten van geschillen met name ten aanzien van het bepalen van het toepasselijk
recht en forumkeuze.
OPMERKING: Dit is mogelijk van toepassing indien onderuitbesteding plaats-
vindt naar bijvoorbeeld India
Onder-uitbesteding Een overeenkomst tussen een verzekeraar en een dienstverlener dient ook te regelen
of onder-uitbesteding toegestaan is. Er moet dan bepaald worden aan welke eisen de
dienstverlener(s) moeten voldoen. Dit mag de verantwoordelijkheden van de hoofd-
aannemer onder de uitbestedingovereenkomst niet veranderen. In algemene zin dient
de dienstverlener (hoofdaannemer) in te staan voor de kwaliteit van diens onderaan-
nemers, op dezelfde manier als waarop de verzekeraar dat ten aanzien van de
hoofdaannemer moet kunnen. De hoofdaannemer dient in zijn onder-
uitbestedingcontracten bepalingen op te nemen ten aanzien van de rechten en
bevoegdheden van de Toezichthouder en diens auditors.
AANDACHTSPUNT: Uitbesteding buiten de E.E.R.
Intellectuele eigendom
De eigendom van werken van intellectuele aard, bijvoorbeeld in het geval van
softwareontwikkeling, moet geregeld worden in de overeenkomst, inclusief bij
opzegging of afloop van de overeenkomst.
Governance en Contingency planning
De dienstverlener dient te beschikken over een eigen risk managementsysteem en
over passende contingencyplannen en dient de uitbestede activiteiten of functies op te
nemen in het eigen risk management- en interne controlesysteem. De verzekeraar
dient niettemin ook over eigen contingencyplannen te beschikken in relatie tot
mogelijke verstoring van diens bedrijfsprocessen ten gevolge van verstoringen van de
dienstverlening van de dienstverlener.
Bij uitbesteding dient de uitbestedende partij zich ervan te vergewissen dat de
dienstverlener:
(a) Over voldoende financiële middelen beschikt om de uit te besteden taken over
te nemen en dat deze over voldoende adequaat opgeleid personeel beschikt
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 57
september 2010
(b) De informatie, documentatie en eigendommen van de verzekeraar en diens
klanten kan identificeren en afscheiden om de vertrouwelijkheid ervan te kun-
nen waarborgen
(c) Over adequate contingencyplannen beschikt om noodsituaties en verstoringen
van de bedrijfsvoering te kunnen ondervangen en backup en uitwijk regelmatig
test waar de aard van de uitbestede functies en activiteiten dit vereist
AANDACHTSPUNT: dit impliceert dat de contingencyplannen van de dienst-
verlener en die van de verzekeraar op elkaar aan moeten sluiten, in ieder geval
met betrekking tot communicatie rond calamiteiten en recovery
AANDACHTSPUNT: vaststellen eisen aan eventuele backup, uitwijk en reco-
very. Denk ook aan bereikbaarheid en eventuele uitwijk van helpdesks en
functioneel/technisch beheer in geval van calamiteiten
Informeren Toezichthouder
Verzekeraars dienen de Toezichthouder tijdig (minimaal 6 weken) voorafgaand te
informeren over voorgenomen uitbesteding van kritische en belangrijke functie en
activiteiten. Dit betekent dat de Toezichthouder de uitbesteding moet goedkeuren,
maar deze kan de uitbesteding en eventuele zorgen dienaangaande bespreken met de
verzekeraar indien er sprake is van strijdigheid met de Richtlijn.
Ook dient de verzekeraar de Toezichthouder te informeren over substantiële ontwikke-
lingen met betrekking tot die functies en activiteiten die invloed hebben op het
toezicht of op de dienstverlening aan de klanten, bijvoorbeeld wanneer er een
wijziging wordt aangebracht in de overeenkomst, er overgestapt wordt naar een
andere dienstverlener of dat de dienstverlener onvoldoende presteert dan wel niet
handelt in overeenstemming met relevante wet en regelgeving. De Toezichthouder
kan in dergelijke gevallen de uitbesteding opnieuw beoordelen.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 58
september 2010
BIJLAGE 6: ARCHITECTUUR EN ICT GOVERNANCE
Bijl. 6.1 Algemeen
Een goede implementatie van Solvency II bij een bedrijf vereist een goede architec-
tuur op alle lagen, omdat de impact van Solvency II op business-, informatie-,
applicatie- en infrastructuurlaag groot is.
Architectuur in de digitale wereld omvat enterprise-breed de samenhang tussen
organisatie/business, informatie/applicatie en infrastructuur. Architectuur stelt hierbij
principes en modellen op die richting gevend zijn en inzicht geven.
In pilaar 2 van Solvency II wordt een systeem van Governance geëist als middel voor
de bestuurder om te voldoen aan de eisen en als middel om sturing te geven. Waar in
het verleden risk management en actuariële zaken een afdeling waren van een
verzekeraar, wordt nu geëist dat deze disciplines speerpunten zijn in het beleid van de
organisatie. Hier moet een goede governance voor zorgen.
Governance bestaat uit de business governance met daar op aangesloten de IT
governance. Het vereist op beide vlakken snelle en correcte informatie om hiermee
sturing te kunnen geven en besluiten te nemen. Om dit goed te kunnen uitvoeren is
een goed architectuurproces ter inrichting en ondersteuning vereist op alle lagen.
In de volgende delen zal toegelicht worden hoe architectuur per laag kan bijdragen en
wat de samenhang tussen de lagen is.
Het Sogeti DYA® architectuur raamwerk onderscheidt 3 lagen:
1) de organisatie / businesslaag,
2) de informatie/applicatie laag,
3) de infrastructuur laag.
Elke laag zal hieronder nader besproken worden.
Bijl. 6.2 Business Architectuur
Bijl. 6.1.2 Organisatie Als een bedrijf aan Solvency II wil voldoen, zal de organisatie zodanig moeten worden
ingericht dat er een duidelijke plek is voor Solvency II met risicoanalyse en rapporta-
gemogelijkheden. Wordt dit niet goed ingericht, dan zal dit niet de juiste aandacht en
toezicht krijgen om aan de regelgeving te voldoen.
Bijl. 6.2.2 Principes Solvency II bevat principes en regels die algemeen van aard zijn. Elk bedrijf zal dit
moeten vertalen naar principes die in het eigen bedrijf toepasbaar zijn. Dit zal
resulteren in een verzameling principes gebaseerd op de Solvency II richtlijnen. Dit zal
als basis gebruikt moeten worden bij nieuwe projecten waarbij aan de Solvency II
richtlijnen voldaan moet worden.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 59
september 2010
Bijl. 6.3.2 Processen
Solvency II vraagt om risico analyses, controles, assessments en rapporteringen.
Elk bedrijf zal moeten nagaan of haar processen hierop ingericht zijn om de gevraagde
Solvency II compliancy in specifieke producten en diensten op te kunnen leveren.
Dit kan inhouden dat bestaande processen veranderd moeten worden of dat er zelfs
nieuwe processen bij komen. Om deze processen snel en goed uit te kunnen is een
adequate tooling ter ondersteuning vereist.
Bijl. 6.3 Informatie/applicatie architectuur
Informatie architectuur omvat de applicaties en gegevens in een bedrijf. Solvency II
vraagt om risico en actuariële berekeningen om hiermee te voldoen aan de MCR en
SCR. Hiervoor zijn applicaties nodig die deze berekeningen kunnen doen. Er is heel
veel data nodig om te kunnen rekenen. En alles moet nog in rapportages beschikbaar
zijn.
Om dit te kunnen realiseren zal er een applicatie/informatie architectuur opgesteld
moeten worden die duidelijk maakt hoe en waar de data geleverd kan worden aan die
applicaties die ermee gaan rekenen en vervolgens gerapporteerd moeten worden door
een ander applicatie. Dit geheel zal gebruikt worden door de daarbij behorende
processen als risicoanalyse, actuariële berekeningen en rapportage.
Bijl. 6.4 Infrastructuur architectuur
Om de bovenstaande zaken te kunnen uitvoeren (de berekeningen en de rapportages)
is heel veel dataverkeer nodig en heel veel opslag- en verwerkingscapaciteit. Elk
bedrijf zal moeten nagaan of hun infrastructuurlaag dit ondersteunen kan en zo niet,
wat er nodig is om dit wel te kunnen.
Bijl. 6.5 Enterprise architectuur
Om dit geheel in samenhang te kunnen overzien is een algehele architectuur nodig, de
enterprise architectuur. Dit voorkomt dat er op verschillende plekken in een organisa-
tie verschillende dingen gebeuren, wat het geheel juist complexer maakt. Het is
verstandiger om eenduidig alle impact duidelijk te maken en eenduidig hierop een
bedrijfsbrede oplossing op business, informatie en infrastructuur te realiseren.
Bijl. 6.6 Service Oriented Architectuur (SOA)
Een SOA architectuur maakt het mogelijk dat een bedrijf wendbaar is om snel
producten en diensten te kunnen wijzigen als dat geëist wordt door externe factoren
zoals wet en regelgeving. Door services te gebruiken bij processen, applicaties en
infrastructuur kan sneller een aanpassing gerealiseerd worden die nodig is voor een
nieuw product of dienst. Omdat Solvency II grote impact heeft, is het des te meer
nodig dat een bedrijf Service Oriented is. Dit maakt het mogelijk dat snel en wendbaar
voldaan kan worden aan nieuwe en veranderende eisen vanuit de wet en regelgeving.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 60
september 2010
Bijl. 6.7 Architectuurproducten
Een ingerichte architectuurfunctie kan de volgende producten en diensten leveren:
1. Principes en richtlijnen gebaseerd op Solvency II
2. Referentiearchitectuur voor Solvency II
3. Project Start Architectuur(PSA) als middel voor projecten om te voldoen aan de
Solvency II richtlijnen. Hierin zijn die onderdelen van Pilaar 1 en 2 opgenomen
die voor het project specifiek van belang zijn
4. Illustratie architectuur. Dit maakt het mogelijk om per groep stakeholders een
zodanige illustratie samen te stellen, die gebruikt kan worden om snel en effec-
tief te discussiëren en te communiceren. Omdat de impact alle lagen raakt en
meerdere typen belanghebbenden, is hierbij architectuur nodig om goede, on-
derling samenhangende en consistente blauwdrukken uit te werken voor alle
lagen
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 61
september 2010
BIJLAGE 7: BUSINESS PROCES MANAGEMENT (BPM)
Inleiding
In 2.1.3 Impact van Pilaar 2: kwalitatieve eisen is ingegaan op het belang van
processen en procesmanagement voor alle drie de pilaren van Solvency II. Het is
Sogeti al meermaals gebleken dat in trajecten waarbij DNB stringente eisen aan
processen stelde (bijvoorbeeld Basel II) dat op dit vlak de werkzaamheden enorm zijn
te versnellen door het hanteren van een gedegen BPM-aanpak.
Soepel lopende processen zijn het kloppende hart van een succesvolle organisatie.
Processen slaan de brug tussen bedrijfsstrategie en bedrijfsmodel enerzijds
en organisatiestructuur en informatievoorziening anderzijds, maar is ook de brug
tussen management en operatie. Procesmanagement zorgt dat de processen die brug
zo effectief en efficiënt mogelijk blijven slaan en dat daarmee de gewenste bijdrage
wordt geleverd aan het behalen van de bedrijfsdoelstellingen. Vanuit deze filosofie
heeft Sogeti een eigen aanpak ontwikkeld voor Business Process Management: Pronto
De huidige situatie
Processen spelen in toenemende mate een centrale rol bij het adresseren van actuele
business vraagstukken, zoals governance, compliance, demand-supply en
(out)sourcing, service oriëntatie, efficiëntieverbetering en kostenreductie. Maar de
huidige processen zijn vaak nog sterk gericht op operationele situaties:
flow-chartachtige schema‟s, primair gericht op de medewerkers “op de werkvloer”. Het
is lastig op basis van dergelijke processen te sturen, veranderingen door te voeren of
informatiesystemen te ontwikkelen.
Business Process Management
Procesmanagement (en daaraan gekoppeld informatiemanagement) kan worden
weergegeven als de schakel tussen strategie en productmanagement (producten,
markten, klanten) en applicatie- en infrastructuur management. Deze managementla-
gen worden “omsloten” door een governance structuur voor adequate besturing en
hebben een duidelijke hiërarchische relatie: informatievoorziening is een afgeleide van
processen, en niet andersom.
De B van BPM
De essentiële business vragen zijn het vertrekpunt voor processen. Waarom bestaat
een organisatie? Wat zijn vanuit business optiek de essentiële stappen in een proces?
En als dat duidelijk is: welke extra eisen zijn er waaraan voldaan moet worden (zoals
externe wet- en regelgeving)?
De antwoorden op deze vragen leiden tot een model, waarin alle essentiële stuurele-
menten een plaats hebben gekregen. Vanuit dit besturingsmodel worden de
gedetailleerde werkprocessen ontwikkeld; hierin zijn alle gewenste, operationele
details uitgewerkt.
BPM stadia
Business Proces Management kent drie stadia van ontwikkeling:
I. inrichten en toepassen van de business processen (fundament)
II. meten, analyseren en sturen met deze processen (inzicht);
III. continu verbeteren van de processen (optimalisatie)
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 62
september 2010
Waarom de Sogeti Pronto aanpak?
Business Proces Management kost tijd en geld. Daar moet voldoende rendement
tegenover staan. Processen moeten daadwerkelijk kunnen dienen als stuurmiddel:
1. bij het doelgericht realiseren van bedrijfsstrategieën en bedrijfsdoelen;
2. bij het (aantoonbaar) voldoen aan eisen en wensen van alle relevante partijen;
3. bij de integrale operationele sturing van alle onderdelen van een organisatie.
In de huidige praktijk ligt een sterke focus op toepassing 3, sturing met behulp van
werkprocessen.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 63
september 2010
BIJLAGE 8: GEGEVENS EN GEGEVENSONTSLUITING
Bijl. 8.1 Inleiding
Solvency II stelt eisen ten aanzien van de beschikbaarheid van gegevens, de kwaliteit
en betrouwbaarheid van gegevens en de documentatie van de rapportageprocessen
en daarmee over de gegevens die gebruikt worden.
Per pilaar zijn er verschillende soorten gegevens nodig.
Pilaar 1:
Voor de kwantitatieve berekeningen zijn voor de verplichtingen (liabilities) gegevens
nodig uit de verzekeringstechnische administraties (leven, schade, zorg). Voor de
bezittingen (assets) zijn gegevens nodig uit de financiële administratie, beleggingsad-
ministratie, onroerend goedadministratie en crediteurenadministratie.
Pilaar 2:
De gegevens van pilaar 2 bestaan uit documentatie, proces- en procedurebeschrijvin-
gen en verslaglegging over de uitvoering van processen en procedures t.b.v. audit
trail. Verder dienen managers en medewerkers te beschikken over gegevens ter
ondersteuning van besluitvorming en monitoring van risico‟s.
Pilaar 3:
Voor de rapportages zijn zowel kwantitatieve gegevens (pilaar 1) als kwalitatieve
gegevens (pilaar 2) nodig.
Verder dient het hele rapportageproces volledig gedocumenteerd en onder controle te
zijn.
Bijl. 8.2 Datamanagement, data kwaliteit en data delivery
Het feit dat er vaak meerdere silo‟s met informatie aanwezig zijn in verschillende
bronsystemen maakt goed datamanagement voor een ICT afdeling tot een uitdagende
taak, aangezien data kwaliteit, beschikbaarheid en consistentie vaak niet op het
vereiste/gewenste niveau zijn. Solvency II vraagt expliciete aandacht voor de data
kwaliteit en de zekerstelling hiervan (Zie hiervoor CEIOPS Advice for Level2 Imple-
menting Measures on Solvency II, technical provisions – Article 83 – f Standards voor
data Quality, former CP 43, october 2009). In het vervolg van deze bijlage geven wij
onze visie over de invulling van deze vereisten.
Bijl. 8.3 Datawarehousing
De gegevens die nodig zijn in het kader van Solvency II komen uit verschillende
administraties en externe bronnen, zodat het gebruik van een data warehouse in veel
gevallen voor de hand ligt. Dit komt voort uit het feit, dat de gegevens bijna altijd uit
verschillende bronsystemen moeten worden onttrokken.
Een aantal drempels staat de samenwerking tussen die systemen in de weg:
Productiesystemen kunnen meestal niet geraadpleegd worden voor andere
doeleinden dan productie, zonder deze systemen eerst af te sluiten. De gegevens
kunnen dan bijvoorbeeld alleen ‟s nachts geraadpleegd worden;
Diverse systemen hanteren verschillende normen en standaarden voor dezelfde
gegevens;
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 64
september 2010
Productiesystemen zijn gemaakt voor het hier en nu. Er wordt bij veel oudere
systemen veelal geen of slechts in beperkte mate historie bewaard.
Pilaar 1 van Solvency II draait om het berekenen van de kapitaalvereisten wat
solvabiliteit betreft door de verzekeraars. Als die hun rapportage aanbieden aan de
toezichthouder moeten ze uiteraard kunnen aantonen dat de berekening correct is.
Deze systemen vormen gezamenlijk de informatiebron die nodig is voor de berekening
van de kapitaalvereiste.
Die berekening, maar ook de bewijsvoering daaromtrent, vraagt om de bewerking van
een enorme hoeveelheid data. Hiernaast dient risico-informatie ontsloten te worden
ten behoeve van besluitvorming (als onderdeel van het Risk Management Systeem).
Dat betreft data die het beste centraal kan worden opgeslagen, geordend in een
datawarehouse. Verzekeraars hebben veel verschillende productiesystemen in
gebruik, bijvoorbeeld vanwege lokale wetgeving of overnames.
Alle voldoende bewezen principes van Business Intelligence en Datawarehousing zijn
volledig van toepassing voor Solvency II, en een belangrijke succesfactor zal de
beschikbaarheid van een robuust centraal datawarehouse zijn dat de processen en
producten weergeeft, gevoed vanuit de bestaande (legacy) productiesystemen.
Een goed datawarehouse is cruciaal om Solvency II naar behoren te kunnen beheer-
sen. Het opslaan van de waardevolle historie in het datawarehouse helpt om de
kwaliteit en vergelijkbaarheid van de data te verbeteren. Daarnaast houdt het
opzetten van een datawarehouse ook rekening de mogelijkheid om met gegevens die
alleen in papieren of ingescande dossiers beschikbaar zijn te ontsluiten.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 65
september 2010
Het datawarehouse is daarnaast ook de ideale bron voor rapportages zoals die voor
Pilaar 3 nodig zijn. Datamarts zijn deelselecties van de gegevens uit het datawarehou-
se. Ze zijn gericht op het snel en inzichtelijk kunnen ontsluiten van de gegevens. Voor
de snelheid is het belangrijk dat niet te veel gegevens worden opgeslagen in een
datamart. Dit hoeft ook meestal niet. Dit komt omdat een gebruiker vaak geen
behoefte heeft aan alle gegevens, maar slechts aan een gedeelte. Business Intelligen-
ce tools voor het presenteren van informatie aan de gebruiker moeten snel resultaat
geven. Ze werken daarom vanuit datamarts en niet vanuit het datawarehouse. Voor
bedrijven met meerdere werkmaatschappijen (juridische entiteiten) kan daarbij
gedacht worden aan verschillende datamarts op zowel werkmaatschappij- als op
groepsniveau.
Het centrale datawarehouse wordt gevoed via een interface die de data kwaliteit
controleert en data consolideert vanuit verschillende bronnen. Het datawarehouse
ondersteunt op een consistente manier de requirements van verschillende business
gebruikers en applicaties, vormt dus „one version of the truth‟, en voedt de risk engine
met consistente datasets. Gebaseerd op de inventarisatie en groepering van data in de
bronsystemen aan de ene kant, en het centrale datawarehouse aan de andere kant,
vormt de creatie van een samengestelde interface tussen de bronsystemen en het
centrale datawarehouse een cruciale taak. Aangezien de bronsystemen aan verande-
ringen onderhevig zijn, moet deze interface continu aangepast worden. Daarom is
duidelijke en correcte documentatie belangrijk, net als kwaliteitseisen en consistentie
checks.
Bijl. 8.4 Business Intelligence Competence Center (BICC)
Om de regie over BI, standaardisatie van BI te bevorderen en kennis omtrent BI te
borgen is het aan te bevelen een BICC in te richten. Een BICC is een organisatorische
eenheid. Dit kan een formele afdeling zijn binnen ICT of binnen bij voorbeeld Finance
& Control. Ook is het mogelijk om een BICC in te richten als een virtuele eenheid in de
vorm van een matrixorganisatie. Ook is het mogelijk om een BICC door een externe of
interne dienstverlener in te laten richten (“BI As A Service”) waarbij de diensten
worden vastgelegd in een Service Level Agreement (SLA).
Een BICC bestaat uit zowel IT-deskundigen op het gebied van datamodellering en
ontwikkeling van BI-toepassingen (rapportages, kubussen) als materiedeskundigen.
Van belang is het, dat een BICC voor de eindgebruiker laagdrempelig en toegankelijk
is en dat het flexibel kan inspelen op steeds veranderende informatiebehoeften.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 66
september 2010
De kracht van een Business Intelligence Competence Center (BICC) schuilt vooral in
de concentratie van expertise en de mogelijkheid om onder centrale regie efficiënt en
effectief invulling te geven aan het BI-beleid. Vanuit deze optiek verdient de inrichting
van één BICC in een organisatie de voorkeur. In geval van meerdere data warehouses
kan worden volstaan met de inrichting van één BICC binnen een organisatie, waarbij
toch recht wordt gedaan aan een systeemlandschap met meerdere, verschillende data
warehouses.
Om dit te realiseren kan het onderscheid tussen de verschillende data warehouses en
hun omgeving worden gemaakt bij de invulling van de gerelateerde functies en rollen
binnen het BICC, bijvoorbeeld:
Data stewardschap
Data-acquisitie
Geavanceerde rapportage en analyse
Afhankelijk van de situatie kunnen per data warehouse-omgeving medewerkers op
deze gebieden actief zijn. Andere taken, bevoegdheden en verantwoordelijkheden, op
gebieden bieden als training, support, BI programma- en projectmanagement en BI-
procesmanagement worden dan centraal binnen het BICC belegd.
De inrichting van een BICC is een proces, dat de nodige aandacht en begeleiding
vergt, wil het BICC bijdragen aan een succesvol BI-beleid. Dit geldt ook voor het
functioneren van het BICC: in feite is er sprake van een proces, waarbij het BICC als
BI-expertisecentrum in- en externe ontwikkelingen volgt en zijn activiteiten baseert op
een dynamische informatiebehoefte van de organisatie. Dit vereist een gedegen regie.
Bijl. 8.5 Metadata Management
Metadata omvat de documentatie van gegevens, zoals:
- Betekenis
- Structuur
- Domein
- Formaat
- Mogelijke waarden
- Validatie-eisen
- Eigendom
- Bron
- ….
Het beheer van de metadata is van cruciaal belang voor het waarborgen van datakwa-
liteit en voor gegevensuitwisseling.
De verantwoordelijkheid voor het metadatamanagement dient eenduidig belegd te
worden binnen de organisatie (eventueel per domein).
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 67
september 2010
Bijl. 8.6 Master Data Management
Masterdata is de informatie die nodig is om:
1. een bedrijfsbreed „system of records‟ te kunnen creëren en onderhouden voor
noodzakelijke business entiteiten, om
2. de business transacties te kunnen vastleggen en de resultaten voor die entiteiten
te kunnen meten.
Een MDM-systeem is een software applicatie met voorgedefinieerde datamodellen,
voorgebouwde workflows en business processen, en gebruikersinterfaces om master-
data-elementen te kunnen managen.
Masterdata management (MDM) beheert de kerngegevens van een bedrijf in samen-
hang en consistentie. Er moet voor worden gezorgd dat de attributen van een entiteit
overal in de organisatie(systemen) inhoudelijk hetzelfde, in waarde en betekenis, zijn.
MDM levert business gebruikers en IT specialisten een set van high-level governance
kenmerken zoals traceability en auditability die zeer belangrijk zijn om te komen tot
een geslaagde implementatie en waarmee aantoonbaar voldaan wordt aan de externe
Solvency II voorschriften (Zie hiervoor CEIOPS Advice for Level2 Implementing
Measures on Solvency II, technical provisions – Article 83 – f Standards voor data
Quality, former CP 43, october 2009).
Is de data interface en data verrijking consistent en traceerbaar? Dit had in het
verleden minder nadruk, maar is voor Solvency II zeer belangrijk. Dit betekent een
gegevens analyse en traceerbaarheid tussen de applicaties.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 68
september 2010
Bijl. 8.7 Kosten Datakwaliteit en data ontsluiting
Een groot deel van de kosten van een Solvency II-implementatie kan gaan zitten in
het op orde brengen van alle aspecten in relatie tot gegevens. Dit valt af te leiden uit
de ervaringen rond de implementatie van Basel II.
Onderstaande figuur toont een voorbeeld van de onderverdeling van kosten verbon-
den aan de Basel II implementatie.
Kostenverdeling Basel II invoering
Frontoffice en
backofficeapplicaties 10-20%
Data-integratie en
data delivery 50-70%
Ontwikkeling
risicomodellen 10-15%
Risicomanagement-
applicaties 10-15%
Veruit het grootste deel van de kosten kan dus gerelateerd zijn aan data, afhankelijk
van de actuele situatie binnen de organisatie.
Voor Solvency II kan een vergelijkbare kostenverdeling verwacht worden, aangezien
de breedte en diepte van de data management requirements daar op zijn minst even
uitdagend zijn. Er zal extra data nodig zijn, uit verschillende bronnen zoals in deze
bijlage behandeld.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 69
september 2010
BIJLAGE 9: TESTEN EN KWALITEITSZORG
Bijl. 9.1 Inleiding
Solvency II stelt eisen aan onder meer de governance van de organisatie. De verzeke-
raar moet kunnen aantonen dat het de processen – en daarmee ondersteunende
applicaties – onder controle heeft en dat dit ook tegenover de Toezichthouder aange-
toond moet kunnen worden. Essentieel hierbij is dat deze processen en wijzigingen
hierop ook aantoonbaar gevalideerd worden en dat de ondersteunende systemen
systematisch en controleerbaar getest worden. Hiernaast is het belang van een
gedegen kwaliteitsborging in te richten.
Binnen Sogeti is er ruime ervaring op het gebied van testen en kwaliteitszorg. De
verschillende aspecten hiervan bespreken wij hieronder.
Bijl. 9.2 Validatietesten
Het door de verzekeraar gekozen risicomodel en het gebruik hiervan zal in de aanloop
naar de invoering getoetst worden in zogenaamde “Use tests”. Deze tests richten zich
op de juistheid van het model en niet zozeer op de juistheid van de werking van de
applicaties (=testen van de ICT-oplossing).
Voor het concreet handen en voeten geven is hiervoor naar onze mening, naast risk
managementexpertise ook testexpertise nodig, zowel voor het opstellen van de
protocollen als het voor uitvoeren van de testen.
Voor het geautomatiseerd herhaalbaar testen beschikt Sogeti over een aanpak en een
gespecialiseerde groep medewerkers. Voor de riskmanagers kan Sogeti een korte
testopleiding verzorgen.
Bijl. 9.3 Testen van ICT-oplossingen
Bijl. 9.1.3 Methodisch Voor testen maakt Sogeti gebruik van de zelfontwikkelde en wereldwijd gebruikte
TMap Next® methode. Een belangrijke component van TMap is BDTM: Business
Driven Test Management. BDTM wordt ook wel Test-Governance genoemd en sluit
naadloos aan op ICT-Governance door stuurbaar te zijn op risico, kosten en doorloop-
tijd. TMap Next® BDTM is daardoor bij uitstek geschikt om het testen bij de Solvency
II transitie vorm te geven.
In TMap Next® is de (product) risicoanalyse een belangrijk sturingsmiddel voor het
bepalen van de zwaarte van de uit te voeren test. De risico‟s uit deze risicoanalyse
maken deel uit van de operationele risico‟s. De door testen bereikte risicoreductie is
enorm van belang bij het afschatten van de overblijvende operationele risico‟s.
Bijl. 9.2.3 Testen van de nieuwe en aangepaste applicaties Indien de Solvency II richtlijnen in de bestaande applicatie wordt vormgegeven zal
zeker moeten worden gesteld dat de volledige applicatieportfolio goed blijft werken.
Iedere applicatieaanpassing zal moeten worden getest maar ook de ketens die de
feitelijke informatiestromen verzorgen.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 70
september 2010
Met name bij verzekeringsgroepen kan er sprake zijn van complexe ketens van front
office applicaties => back office applicaties => ETL => werkmaatschappij data
warehouse => consolidatie => corporate data warehouse => rapportages.
Het voorbereiden van het testen van deze complexe ketens en het inrichten van de
testinfrastructuur en de testorganisatie vragen om een gedegen voorbereiding en het
testen vraagt om een controleerbare en herhaalbare aanpak.
Voor het testen van de applicatie is TMap zeer geschikt, voor het testen van de ketens
van informatiesystemen heeft Sogeti een specifieke aanpak ontwikkeld: Het testen
van ketens volgens TMap Next®
Bijl. 9.3.3 Testen data warehouse en BI oplossingen Voor de implementatie van Solvency II zal in veel gevallen gebruik gemaakt worden
van data warehouse oplossingen van waaruit de Solvency II rapportages worden
aangemaakt en van waaruit risk engines worden gevoed en de resultaten van de
risicoberekeningen worden vastgelegd.
De kwaliteit van een BI-oplossing is van groot belang voor de implementatie van
Solvency II. Een gestructureerde testaanpak, gebaseerd op de BI-risico‟s
voor de business, is dus noodzakelijk. Met de methodiek BI-testen volgens TMap
Next®®, gebaseerd op onze marktstandaard voor testen en onze BI-testervaringen,
garandeert Sogeti een effectief en efficiënt testproces voor alle onderdelen van de BI-
keten.
Bijl. 9.4 Kwaliteitszorg
Om de risico‟s bij de invoering van Solvency II te verminderen is het van belang om
over een gedegen kwaliteitssysteem te beschikken om de kwaliteit van de implemen-
tatie te verhogen. Het Solvency II transitie programma kent strakke deadlines. Er is
geen tijd voor het aanpassen en herstellen. Dit vereist veel aandacht voor de kwaliteit
van het projectproces en de producten. Sogeti beschikt met QMap (Quality manage-
ment) en IKB (Integrale Kwaliteitsbeheersing) over instrumenten en een
gespecialiseerde groep medewerkers.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 71
september 2010
BIJLAGE 10: MEERWAARDE SOGETI DIENSTVERLENING VOOR DE IMPLEMENTATIE VAN SOLVENCY II
Verzekeraars zoeken naar ICT partners die houvast en versnelling kunnen realiseren
binnen de Solvency II trajecten. Wij hebben hiervoor op vele aspecten de competen-
ties van Sogeti toegelicht, en getoond dat onze productised services daadwerkelijk
voor de benodigde versnelling kunnen zorgen.
Naam product Doel product
Solvency II ICT Readiness Scan Kwalitatieve beoordeling op alle geraakte aspecten: in
hoeverre is het ICT bedrijf gereed als supplier van de
Solvency II behoefte van de business – inclusief
beoordeling van de relaties met de business
Aanpak ICT GAP analyse Generieke aanpak met alle ICT aspecten geadresseerd:
welke verbeteringen en wijzigingen zijn nodig in de
informatiehuishouding voor Solvency II compliancy.
Kan ook gebruikt worden om voortgang te monitoren
Data Quality Scan Voor Solvency II gespecificeerd – snel inzicht in de
kwaliteit van beschikbare data (bron en bewerkt) plus
verbetervoorstellen aan de hand van Solvency II
vereisten.
Data referentiemodellen
- Voor standaard methode
- Voor interne modellen
Analyse van gegevens en gegevenstypes benodigd
voor Solvency II calculaties en rapportages. Beschik-
baar:
- Markt- en kredietrisico – leven (STD)
- Markt- en kredietrisico – non-leven (STD)
- Data requirements voor intern model
Shortlist Risk Engines Lijst met de meest voorkomende risk engines +
inzetbaarheid
Requirements ERM tooling Requirements lijst (tot niveau van business require-
ments uitgewerkt) voor de voorkeuze van ERM tooling
Checklist inrichting rapportagepro-
cessen
Controlelijst aan de hand van een generiek uitgewerkte
modellering van rapportageprocessen: governance
aspecten, vastlegging adit trail, traceability, documen-
tatie, centraal/decentraal
Reporting requirements Lijst met eisen en voorschriften op het gebied van de
Pilaar 1, 2 en 3 rapportages. Eveneens te gebruiken als
controlelijst op volledigheid
NB: Deze producten zijn zo ver uitgewerkt als mogelijk op basis van de op dit
moment beschikbare informatie. Naarmate de richtlijn zich verder ontwikkeld
verwerken wij dit in de producten. Hiernaast verwerken wij de kennis en erva-
ring die wij bij onze klanten opdoen direct in onze dienstverlening.
Om voorspelbaarheid te kunnen garanderen in onze brede dienstverlening hanteert
Sogeti breed geaccepteerde standaards en tooling, zoals Prince2, MSP, OPM3, CMM,
Metaplan, RUP, DSDM, Agile en aanverwante methoden, frameworks en technieken.
Daarnaast passen we door ons zelf ontwikkelde standaarden en methodieken vanuit
ons IT vakmanschap toe. Hiervan hebben er overigens meerdere de status van
(inter)nationale standaard verworven. Bij de standaards horen uiteraard ook onze
producten en deskundigen die de standaards toepassen en helpen implementeren bij
onze klanten. De standaards worden continu verbeterd en aangepast aan de laatste
behoeften en inzichten.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 72
september 2010
Dynamic Architecture - DYA®
In DYA® is ons gehele architectuur gedachtegoed vervat. DYA® en haar producten
(zoals een PSA – Project Start Architectuur) worden door veel bedrijven en organisa-
ties in Nederland en daarbuiten toegepast.
Regatta®
Regatta® omvat alle aspecten op het gebied van implementatie, inclusief pakketselec-
tie, realisatie, in beheer nemen en realisatie van benefits.
Pronto®
Pronto® is onze methode voor procesmanagement, proces (her)ontwerp en procesin-
voering. Pronto® heeft in haar relatief korte bestaan reeds tot veel succes en
erkenning in het bedrijfsleven en (semi)overheid geleid.
Pronto® is onafhankelijk van procesmanagement tooling, maar kan daar wel gebruik
van maken.
Requirement Lifecycle Management
Requirements Lifecycle Management (RLcM) is onze benadering van het hanteren van
requirements, voor de initiële (pakketselectie, ontwerp) fase en daarnaast gedurende
de gehele levensduur van de door systemen ondersteunde bedrijfsfuncties. Bij het
toepassen van RLcM wordt vaak gebruik gemaakt van tooling, zoals Caliber en
RequisitePro.
BI-Scan
Met de BI-Scan wordt snel en duidelijk inzichtelijk wat het huidige en gewenste
volwassenheidsniveau van een organisatie is op het gebied van BI. Deze scan is snel
uit te voeren en geeft in korte tijd een helder advies. Deze kan onderdeel zijn van een
GAP-analyse of naast de Solvency II Readiness Scan worden uitgevoerd.
BI Implementatie Methodiek (BIIM)
De Sogeti BI-implementatiemethodiek is een framework voor de succesvolle imple-
mentatie van BI-oplossingen. Hierin zijn de best practices van Sogeti vertaald
naar concrete producten, hulpmiddelen en werkwijzen. De toepassing van deze
methodiek leidt er niet alleen toe dat de BI-oplossing succesvol wordt gerealiseerd,
maar borgt tevens de inbedding in de organisatie van de opdrachtgever.
Data Quality Scan
Het belang van de kwaliteit van data voor de implementatie van Solvency II is in dit
document al uitgebreid aan de orde geweest. De Data Quality Scan geeft snel en
duidelijk inzicht in de kwaliteit van de data in de organisatie. Deze scan resulteert in
een maatwerk advies hoe de oorzaken en de gevolgen aan te pakken. Deze scan kan
als onderdeel van de GAP-analyse worden uitgevoerd dan wel naast een Solvency II
Readiness Scan.
Data Quality Services
Om de juiste beslissingen te kunnen nemen, moet men kunnen vertrouwen
op de informatie. Dit is niet vanzelfsprekend, aangezien veel organisaties kampen met
slechte datakwaliteit. Dit zal ook bij de implementatie van Solvency II een van de
belangrijkste struikelblokken zijn.
Een goede BI oplossing kan door slechte datakwaliteit toch onbetrouwbare informatie
opleveren. Met Data Quality Solutions biedt Sogeti niet alleen een oplossing voor het
opschonen van vervuilde data. Ook de oorzaak van de datavervuiling wordt achter-
haald en weggenomen en wordt eenzelfde herhaalde datavervuiling voorkomen.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 73
september 2010
TMap®, TPI
TMap® wordt wereldwijd gebruikt als de standaard voor testmanagement.
TMap kent meerdere „dialecten‟ zoals bijvoorbeeld TMap® voor SAP, TMap® voor
SOA, TMap Next®. Ook TPI (test process improvement) en TPI Next hebben wereld-
wijde erkenning gekregen.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 74
september 2010
BIJLAGE 11: PARTNERSHIPS
Sogeti is een onafhankelijke ICT dienstverlener die voor haar klanten de best passen-
de ICT oplossing adviseert en realiseert. Sogeti‟s eigen visie, aanpak, methodieken,
competenties en „versnellers‟ vormen daarom het hart van haar Solvency II dienstver-
lening.
Voor het succesvol en tijdig invoeren van Solvency II is een goede samenwerking
noodzakelijk tussen het Business- en het ICT-domein van verzekeringsmaatschappij-
en. Sogeti werkt daarom intensief samen met vaste partners die deskundigheid,
diensten en producten aanbieden die relevant zijn voor een Solvency II implementa-
tie, binnen zowel het Business- als het ICT-domein.
Voor het Businessdomein kan hierbij gedacht worden aan partners op het gebied van
Risk Management, Actuariaat en Finance & Control. Verder zijn in dit kader leveran-
ciers van gespecialiseerde Enterprise Risk Management (ERM), Governance, Risk &
Compliancy (GRC) en Cash Flow projectie tooling en modellen relevant.
Voor het ICT-domein heeft Sogeti zelf de benodigde deskundigheid in huis. Voor de
realisatie van de beoogde Solvency oplossingen maakt Sogeti gebruik van toepassin-
gen die geleverd worden door partners op het gebied van procesmodellering,
managementrapportage, datawarehousing en BI (DWH/BI).
Voorbeelden van partijen waar Sogeti een samenwerkingsrelatie mee heeft zijn:
Towers Watson. Towers Watson is een deskundige, wereldwijd actieve partij op het
gebied van onder meer Risk Management, Actuariaat en Finance & Control. Samen
met Towers Watson biedt Sogeti een Solvency II totaalaanpak en oplossing, delen
wij kennis en verkorten wij de communicatielijnen tussen Business en ICT. Towers
Watson is voorts leverancier van gespecialiseerde Cash Flow projectietooling (Mo-
Ses en in het recente verleden VIPitech).
Microsoft, voor het ontwerpen, installeren en tunen van BI/Datawarehouse
oplossingen op Microsoft (HPC) technologie. Sogeti is Microsoft Gold Partner.
IBM, leverancier van functionele (zoals IIW) en technische (DWH/BI) oplossingen.
Diverse gerenommeerde leveranciers op het gebied van Datawarehousing,
Business Intelligence, data-integratie en datakwaliteit zoals SAS, Informatica en
Teradata/DFA
BWise met een specifiek voor Solvency II ontwikkelde procesmanagement
Oplossing.
Akkermans & Partners en Talent & Pro; Beiden leveranciers van specialisten op het
vlak van Finance & Control en Actuariaat.
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 75
september 2010
BIJLAGE 12: BRONNEN
Bijl. 12.1 Literatuur
RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD BETREFFENDE DE
TOEGANG TOT EN DE UITOEFENING VAN HET VERZEKERINGS- EN HERVERZEKE-
RINGSBEDRIJF (SOLVABILITEIT II)(HERSCHIKKING), Straatsburg, 25 november
2009, PE-CONS 3643/609 REV 6
Implementatie Solvency II, De Nederlandsche Bank N.V., 31 maart 2010, nr.
01B/NL
CEIOPS‟ Advice for Level 2 Implementing Measures on Solvency II: Supervisory
Reporting and Public Disclosure Requirements (Former CP 58),
CEIOPS‟ Advice for Level 2 Implementing Measures on Solvency II: Technical
provisions – Article 86 f Standards for data quality (Former CP 43), October 2009
CEIOPS‟ Advice for Level 2 Implementing Measures on Solvency II: System of
Governance (Former CP 33), October 2009
CEIOPS, Challenges of Solvency II Implementation, October 2009
Preparing for IT Implementation of Solvency II regulations in Insurance Compa-
nies, Rusalovskiy, VDM Verlag Dr. Müller, ISBN 978-3-639-10263-5
QIS5 Technical Specifications, European Commission, Brussels, 5 July
2010Solvency II: Insurers Can Learn From Basel II Implementations, Juergen
Weiss - Gartner, 29 juli 2008, ID Number: G00159664
Much More Than Compliance: How Solvency II Will Impact Business Processes and
IT Systems, Juergen Weiss – Gartner, 21 augustus 2008, ID Number: G00160756
Overview of the Solvency II Software Market: There Is No One-Size-Fits-All
Solution, Juergen Weiss – Gartner, 5 juni 2009, ID Number: G00168330
ERM and Other Considerations Related To A Principles-Based Approach, A White
Paper Prepared January 2008 For The Society of Actuaries, Doodian, Knott. Rech,
januari 2008 Automatisering van de testuitvoering, Broekman, Hoos, Paap, SDU, ISBN 10 90 440
0103
TMap NEXT® voor resultaatgericht testen, Koomen, van der Aalst, Broekman,
Vroon, UTN, ISBN 9072194799
TMap NEXT® Business Driven Test Management, van der Aalst, Baarda, Roodenrijs,
Vink, Visser, UTN, ISBN 9272194926
Testen van ketens met TMap NEXT®, Smit, Baarda, UTN, ISBN 9072194950
De actuaris in Solvency II, Een nieuwe rol, leren we van het verleden? - Presenta-
tie voor het Actuarieel Genootschap, Bouwknegt, mei 2009
DYA®: Stap voor stap naar professionele enterprise-architectuur, Van den Berg,
Steenbergen, Academic Service, 2004, ISBN-13: 9789012118552
SOA for Profit, A Manager's Guide to Success with Service Oriented Architecture,
van den Berg, Bieberstein en van Ommeren, IBM & Sogeti, 2007, 978-90-75414-
14-1
De ICT-implementatie van Solvency II
Sogeti en de implementatie van Solvency II
Sogeti Nederland B.V. 2.0 76
september 2010
Bijl. 12.2 Links
Officiële EU-site over Solvency II,
http://ec.europa.eu/internal_market/insurance/solvency/index_en.htm
Site van CEIOPS (Europese toezichthouders), http://www.ceiops.org/
De Nederlandsche Bank – toezicht op verzekeraars,
http://www.dnb.nl/openboek/extern/id/nl/vz/40-117237.html
De Nederlandsche Bank – Solvency II,
http://www.dnb.nl/openboek/extern/id/nl/vz/40-194778.html