Solvency II: eerst de randvoorwaarden dan de details

Solvency II is volop in ontwikkeling. Dit gebeurt onder regie van de Europese Commissie, maar ook nationale en internationale belangenorganisaties als het Actuarieel Genootschap, het Verbond van Verzekeraars en het CEA buigen zich over het conceptraamwerk. Daarnaast zijn toezichthouders, zoals De Nederlandsche Bank en het Ministerie van Financiën, betrokken bij de ontwikkeling.

Centraal in de lobby staan de Quantitative Impact Studies (QIS) en thema’s als Group Supervision en Proportionality. Punten die van essentieel belang zijn om tot een goede en gedragen Solvency II wetgeving te komen. De discussie over deze punten en de inhoud van de QIS-studies is echter ook misleidend.

De aandacht wordt hiermee gevestigd op kwantitatieve elementen die nog niet zijn uitgekristalliseerd. Veel theoretische discussies en kwantitatieve oefeningen van risicomanagement en actuariaat zijn het gevolg. Omdat dit het overgrote deel van de aandacht opeist, verandert er structureel nog maar weinig bij de verzekeraars. En dat terwijl de branche het er over eens is dat de Solvency II transformatieprogramma’s omvangrijk en complex zullen zijn.

De aandacht zou moeten worden gevestigd op zaken die al wél bekend zijn. Daarmee worden (her)verzekeraars in staat gesteld om de Solvency II-transformaties te starten conform de ontwikkeling van de wetgeving zelf; eerst de randvoorwaarden, dan de details. Door deze randvoorwaarden te onderscheiden van de kwantitatieve berekeningen, bent u in staat met de Solvency II-transformatie te starten zonder dat u hierbij wordt gehinderd door een gebrek aan gedetailleerde vereisten.

Net als Basel II in de bancaire industrie, heeft Solvency II tot doel de eisen die worden gesteld aan het solvabiliteitskapitaal op een betere manier te koppelen aan de risico’s waar verzekeraars aan worden blootgesteld. Het Solvency II raamwerk bestaat uit drie pilaren. De pilarenstructuur ziet er als volgt uit:

1. Solvency II vereist kwantificering van alle materiële risico’s aan de hand van moderne actuariële technieken.
2. De uitkomsten van de kwantificering dienen actief in de strategische en operationele beleidsvoering te worden gebruikt, teneinde risicobewustzijn en goed risicomanagement te garanderen. Bovendien moet de inrichting een goede controle door de toezichthouder mogelijk maken.
3. Tot slot wordt hierover transparant gerapporteerd naar de toezichthouder en de markt.

Gezien het blijvende karakter van Solvency II kan een risicomanagementcyclus worden gehanteerd, waarin de elementen uit deze drie pilaren worden ondergebracht. Deze cyclus is een eerste indicatie van de volgorde van de verschillende elementen. De cyclus laat direct zien dat risicomanagement niet start met het meten van risico’s, terwijl dit wel de focus is van de eerder genoemde kwantitatieve impact studies.

1. Strategie & beleids -ontwikkeling
In het Solvency II-raamwerk worden in de tweede pilaar eisen gesteld aan de governance functie. Een belangrijke subvereiste daarbij is de aanwezigheid van een doeltreffend risicobeheersysteem dat bestaat uit strategieën, processen en rapportageprocedures.

Daarnaast wordt een actieve betrokkenheid van het leidinggevend- of bestuursorgaan vereist, waarbij het senior-management verantwoordelijk is voor de implementatie van de risicomanagementstrategie en het beleid. Als onderdeel van de governance-functie is eveneens een onafhankelijke risicomanagementfunctie vereist en worden er eisen gesteld aan actuariaat, internal audit en de interne controlefunctie.

Solvency II laat verder een aantal keuzemogelijkheden. Bijvoorbeeld tussen het gebruik van een standaard formule of interne risicomodellen. Ook dient een afweging gemaakt te worden van het compliance-niveau waar de organisatie naar streeft.

Strategie en beleid ten aanzien van risicomanagement vormen belangrijke randvoorwaarden voor de verdere implementatie van Solvency II. De verzekeraar kan dit als volgt bewerkstelligen:

Stap 1: Beleggen van de verantwoordelijkheid voor Solvency II op directieniveau (doorgaans bij de CFO of CRO).
Stap 2: Benoemen en installeren van risicocomités waar experts zitting in hebben en die worden geleid door de directie. Indien dergelijke comités al bestaan, kan wijziging van de statuten noodzakelijk zijn.
Stap 3: Bepalen van de strategie die voor het risicomanagement en voor de Solvency II-transformatie moet worden gevolgd.
Stap 4: Bepalen welke risicoappetijt de verzekeraar nastreeft en in welke mate risicomanagement moet worden ingezet om haar performancemanagement risicogevoelig te maken.

De ervaring in de bancaire sector met Basel II en de concrete doelstellingen en vereisten van het Solvency IIraamwerk, maken het mogelijk voor verzekeraars om nu de strategie en het te volgen beleid te definiëren.

2. Risico -identificatie en controlemaatregelen
Solvency II richt zich primair op de belangrijkste risico’s waaraan de verzekeraar wordt blootgesteld. Achtereenvolgens zijn dit het verzekeringstechnische risico, het marktrisico, het kredietrisico, het operationele risico en tot slot, het liquiditeitsrisico.

Echter, Solvency II vereist dat alle voor een specifieke verzekeraar relevante risico’s in beschouwing worden genomen. Daarnaast wordt bij gebruik van een intern model, dat waarschijnlijk door de grotere verzekeraars zal worden gehanteerd, vereist dat alle relevante risico’s onderdeel van dit model zijn. De verzekeraar zal dus een goed beeld moeten krijgen van haar risicouniversum, de omvang van de risico’s en de verschillende plaatsen in de organisatie waar deze risico’s kunnen optreden.

Om het risico-universum inzichtelijk te maken en de omvang van de risico’s te bepalen kunnen de volgende stappen worden doorlopen:

Stap 1: Opstellen van een risico-universum op basis van bestaande wetgeving, literatuur en kennis.
Stap 2: Uitvoeren van Risk & Control Self Assessments om te bepalen welke risico’s materieel zijn.
Stap 3: Beoordelen van de uitkomsten van de Risk & Control Self Assessments door de experts in de risicocomités.
Stap 4: Besluiten welke risico’s in risicomodellen of anderszins opgevolgd dienen te worden en wat belangrijke controlemaatregelen zijn om relevante risico’s te beheersen.

De afgelopen jaren is de functie Operational Risk Management sterk geëvolueerd in de bancaire sector. Hoewel bovenstaande stappen in principe alle risico’s in kaart brengen, kan de opzet van Operational Risk Management worden meegenomen in dit stappenplan.

Zo zal een ‘Corporate Loss Database’, waarin geleden verliezen worden vastgelegd, bijdragen aan de identificatie en het bepalen van de omvang van risico’s. In de bancaire sector is dit een gebruikelijk onderdeel van Operational Risk Management waarbij de gerapporteerde verliezen ook worden gebruikt om Operationeel Risico te modelleren.

Het identificeren van risico’s is een belangrijke randvoorwaarde voor de ontwikkeling van risicomodellen. De huidige Solvency II-documentatie biedt voldoende informatie om deze identificatie uit te kunnen voeren.

3. Risicometing & rapportage
De belangrijkste elementen uit de eerste pilaar van het Solvency II-raamwerk zijn de waardering van activa en passiva tegen de reële waarde conform IFRS, de bepaling van de technische voorzieningen en het berekenen van de kapitaalmarges. Deze kapitaalmarges betreffen de minimumkapitaalvereisten en de solvabiliteitskapitaalvereisten.

Om te illustreren wat de implicaties voor de verzekeraar zijn, lichten we de stappen toe die de verzekeraar moet doorlopen om tot een rapportage van de solvabiliteitskapitaalvereiste te komen. In alle gevallen geldt dat de technologische vooruitgang in het nieuwe toezichtskader wordt benut. Denk hierbij aan de modellen ‘mark-to-market’ of ‘mark-to-model’ en interne risicomodellen.

De solvabiliteitskapitaalvereiste kan op twee manieren worden berekend. De verzekeraar bepaalt of hij een standaard formule of interne modellen wenst te gebruiken. In beide gevallen is data noodzakelijk om de uiteindelijke berekeningen uit te voeren. Voor interne modellen is de hoeveelheid vereiste data exponentieel groter.

Ook zal de verzekeraar op basis van expertise en statistische onderzoeken zelf moeten bepalen welke gegevens van voorspellende waarde voor het risico zijn. Om op basis van het verleden interne stochastische risicomodellen te kunnen ontwikkelen, zijn historische data hierbij noodzakelijk.

Solvency II stelt bovendien eisen aan de kwaliteit van data. Zo is het bij het gebruik van interne modellen vereist dat juiste, volledige en adequate gegevens worden gebruikt. Welke benadering u ook kiest, het op orde krijgen en houden van uw data zal een van de zwaartepunten zijn in het Solvency II-programma.

Ook vanuit het CEIOPS (Committee of European Insurance and Occupational Pensions Supervisors), dat in opdracht van het EC het Solvency II-raamwerk opstelt en uitwerkt, wordt dit benadrukt. Paul Sharma, voorzitter van de CEOPS Internal Models Expert Group en werkzaam voor de Britse toezichthouder, bevestigt onlangs dat het merendeel van de uitgaven in het kader van Basel II is besteed aan IT-systemen ten behoeve van dataopslag.

Het is dus van groot belang om met deze dataopslag een goede start te maken. De hieronder genoemde stappen vormen een in de bancaire sector bewezen aanpak en bieden u een leidraad.

Stap 1: Bepaal aan de hand van riskdriver- workshops en statistische onderzoeken welke gegevens van voorspellende kracht zijn voor diverse risico’s.
Stap 2: Stel een datamodel samen waarin alle gegevens zijn verwerkt die nodig zijn om aan de Solvency II eisen te kunnen voldoen.
Stap 3: Ontwikkel een datawarehouse en neem maatregelen om datakwaliteit te verbeteren en te handhaven.
Stap 4: Pas het IT-landschap zodanig aan, zodat het meer frequente en complexere berekeningen aankan.
Stap 5: Ontwikkel, test en valideer uw risicomodellen.
Stap 6: Bepaal samen met management en business de gewenste risicomanagementstuurinformatie.
Stap 7: Definieer en valideer de nieuwe risicorapportages en managementdashboards.
Stap 8: Implementeer de rapportagestraat.
Stap 9: Test en bewaak het volledige proces van gegevensverzameling tot rapportage.

Hoewel de ontwikkeling van een intern risicomodel niet de eerste activiteit zal zijn in een Solvency II-programma, is het wel noodzakelijk om de noodzakelijke data(historie) tijdig op orde te krijgen. In de bancaire sector is bijvoorbeeld gebleken dat historische gegevens veelal niet beschikbaar waren, met alle gevolgen van dien.

Het doorlichten van tonnen papieren dossiers werd hiermee noodzakelijk. Daarnaast vragen de complexere en meer frequente berekening om structurele veranderingen in de rapportagestraat. Dit gegeven verklaart eveneens waarom het Solvency II-domein in de markt op dit moment nog wel eens door de CIO wordt opgeëist.

De CIO voorziet een enorme belasting onder druk van de aanstaande regelgeving en realiseert zich, dat tijdig starten met Solvency II noodzakelijk is. Het Solvency II-raamwerk bevat nog weinig details als het gaat om interne risicomodellen.

Waar Basel II specifiek te schatten parameters voorschrijft om kredietrisico te meten, kent Solvency II geen andere parameters dan het onderbrengen van de risico’s uit de standaard formule in het model. Met name de gegevens uit de standaard formule en de modelleringservaring vanuit de bancaire sector, kunnen u helpen om te bepalen welke gegevens u nodig zult hebben.

4. Risicomanagement
Op basis van inzichten opgedaan bij de risicometing en de hieraan verbonden rapportages, ‘early warning indicators’ en risicotolerantielimieten, kunnen de risico’s beter worden gemanaged.

Waar de lijnorganisatie de primaire verantwoordelijkheid voor het managen van risico’s heeft, is risicomanagement vooral ondersteunend van aard. Solvency II stelt eisen aan het risicobeheer, waarop ook onze risicobeheercyclus is gebaseerd.

Daarnaast vereist Solvency II dat de inzichten die zijn opgedaan uit een intern risicomodel, in de organisatie als onderdeel van de gebruikstest worden ingezet. De meest relevante stappen zijn:

Stap 1: Zorgdragen voor vroegtijdige betrokkenheid van de lijnorganisatie bij het Solvency II transformatieprogramma.
Stap 2: Verzorgen van risicomanagementopleidingen voor het personeel en in het? bijzonder het lijnmanagement.
Stap 3: Betrek de lijnorganisatie bij de ontwikkeling van risicomodellen en valideer uitkomsten bij experts uit de lijnorganisatie.
Stap 4: Geef de governance-structuur zodanig vorm dat de lijnorganisatie en het risicomanagement voldoende frequent informatie uitwisselen en gezamenlijk streven naar een optimale risico-rendementsverhouding.

Het opleiden en betrekken van de lijnorganisatie zal relatief vroeg in de transformatie moeten plaatsvinden. Het creëren van draagvlak en het vergroten van kennis zijn belangrijke randvoorwaarden voor een succesvolle Solvency II-transformatie. Door middel van ‘learning-by-doing’ zal de lijnorganisatie vertrouwd raken met het pro-actief managen van risico’s in lijn met Solvency II en het beleid van de organisatie.

5. Kwaliteitsmanagement
De risicobeheercyclus eindigt met een kwaliteitsstap. Zoals Solvency II eveneens vereist, draagt kwaliteitsmanagement bij aan risicomanagement dat past bij het risicoprofiel van de onderneming.

Op drie onderdelen worden eisen gesteld. In de eerste plaats is risicomanagement onderdeel van het werkterrein van de internal-auditfunctie. Daarnaast is een externe review noodzakelijk, onder andere om de interne risicomodellen te valideren.

Tot slot is ‘beoordeling van eigen risico en solvabiliteit’ vereist. Met name de betrokkenheid van internal audit en de externe reviewer zijn van belang; Voor de toezichthouder die met een ‘principle based’ wetgeving de rapporten van interne en externe reviews op waarde zal schatten en voor de verzekeraar die deze partijen in een vroegtijdig stadium wil betrekken om zo de kwaliteit van de Solvency II-transformatie te waarborgen.

Hoewel niet uitputtend zijn ten minste de volgende stappen noodzakelijk om externe partijen in de juiste mate te betrekken en hen voldoende transparantie te bieden:

Stap 1: Betrek internal audit bij het ontwikkelen van beleid om een goede governance-structuur te waarborgen.
Stap 2: Betrek internal audit en een externe reviewer vroegtijdig in uw risicomodelontwikkeling. Door uw ontwikkelingskader te laten toetsen bent u er zeker van dat de gekozen methodologie geen reden kan zijn voor afwijzing van het risicomodel in een later stadium.
Stap 3: Zorg voor hoogwaardige documentatie om voor de toezichthouder, de externe reviewer en internal audit een goede beoordeling van uw risicomanagement mogelijk te maken.

Opzetten van een Solvency II-transformatie programma
De risicobeheercyclus geeft een goede indicatie van de volgorde van activiteiten, waarbij het verzamelen van data als onderdeel van risicometing een uitzondering vormt.

De uit te stippelen strategie en het beleid bepalen de status waarin de organisatie na de transformatie zal moeten verkeren om Solvency II-compliance te behalen. Om het transformatieprogramma vorm te geven is slechts nog een goed inzicht noodzakelijk van het punt waarvandaan u vertrekt: uw huidige organisatie in relatie tot de Solvency II vereisten.

De kwantitatieve impactstudies helpen hierbij. Immers, de verzekeraar doet ervaring op met de risicoberekeningen en andere vereisten en kan hieruit opmaken waar men wel en niet aan kan voldoen. Daarnaast is een Solvency II-compliancescan noodzakelijk.

In twee tot drie maanden worden met deze scan de Solvency II-vereisten afgezet tegen uw huidige organisatie. Natuurlijk vraagt dat een investering, maar de voordelen zijn significant. Ten eerste weet u exact wat de grootste aandachtsgebieden binnen uw organisatie zijn. Ten tweede zijn activiteiten gedefinieerd waarmee u tijdig Solvency II compliance kunt bereiken op alle terreinen.

Tot slot vormen deze activiteiten samen uw volledige Solvency II-transformatieprogramma. Deze beknopte uiteenzetting van Solvency II, waarin alleen de meest relevante zaken zijn behandeld, toont aan dat Solvency II veel van de verzekeraar zal vergen.

Om hier een beeld van te vormen, is een blik op de bancaire sector waardevol. Vergelijkbare Basel II-transformatieprojecten hebben middelgrote banken tientallen miljoenen euro’s en grootbanken zelfs honderden miljoenen euro’s gekost. Bovendien hebben deze trajecten gemiddeld zeker vier jaar geduurd.

Voor verzekeraars wordt het dus tijd om Solvency II, dat in 2012 van kracht zal worden, snel op de agenda van het bestuur te krijgen. Dat nog niet alle details ten aanzien van kwantitatieve elementen bekend zijn en dat er nog politiek beladen onderwerpen als groepstoezicht ter discussie staan, mogen geen redenen zijn om de Solvency II transformatie uit te stellen.

Door randvoorwaarden als strategie en risicobeleid, het risico-universum en de datahistorie tijdig op orde te brengen, creëert men voldoende ruimte en gelegenheid om in de komende jaren aan de nog ontbrekende details te kunnen werken.

 
De auteurs Sjaak Bouma MSc en dr. Marco Folpmers zijn werkzaam bij Capgemini Consulting binnen de adviesgroep Financial Risk Management & Compliance. Binnen deze adviesgroep hebben zij zich gespecialiseerd op domeinen als Basel II, Solvency II en Economic Capital Management en ondersteunen zij financiële instellingen bij de invoering van dergelijke thema’s.