Magazine 01 januari 2012

Solvency II verandert internal audit

Solvency II heeft gevolgen voor de internal audit bij verzekeraars. De audit wordt binnen de ‘tweede pijler’ een ‘sleutelfunctie’ en gaat zich meer richten op risicomanagement en minder op operationele processen.

Dit artikel is verschenen in Accountant nr. 1/2, 2012

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Verzekeraars zijn op dit moment druk bezig met de invoering van Solvency II. Dit omvangrijke project moet er voor zorgen dat verzekeringsmaatschappijen een robuuster eigen vermogen hebben en er meer zicht is op de risico's. Solvency II bestaat uit drie pijlers. De eerste pijler richt zich op de waardering van de risico's die een verzekeraar loopt en de kwantitatieve vertaling naar het benodigde kapitaal. De tweede pijler zorgt ervoor dat de governance en de kwaliteit van de organisatie op orde is. Een goede verslaggeving en transparantie vormen de derde pijler. Niet alleen jaarverslagen en dergelijke maar ook richting de consument door inzichtelijke productinformatie.

De drie pijlers moeten ervoor zorgen dat de belangen van de consument beter worden beschermd. De hoofdlijnen zijn inmiddels bekend, maar op dit moment wordt in Brussel nog steeds gewerkt aan de details van de richtlijnen. De verwachting is dat de regels in 2014 geldig worden.

Sleutelfunctie

Internal audit is een van de afdelingen waar veranderingen zullen plaatsvinden. Samen met compliance, actuariaat en risk management wordt internal audit binnen de tweede pijler van Solvency II een zogeheten ‘sleutelfunctie’. Dit zijn functies die een verzekeraar moet hebben om Solvency II te kunnen uitvoeren, stelt Jan-Huug Lobregt, actuaris bij PwC en adviseur van verzekeringsmaatschappijen over Solvency II. “Een verzekeraar moet kunnen aantonen dat er een goed risicomanagement is en dat de organisatie qua compliance en internal audit in control is.”

Binnen Solvency II zijn sleutelfuncties gericht op het beheersen van risico's, zegt Eelco van der Schagt, audit manager bij ASR Verzekeringen. Verder staan sleutelfuncties onafhankelijk van de commerciële en bestuurlijke activiteiten. “De sleutelfuncties kunnen vanuit de business geen prikkels ervaren. Het is de bedoeling dat ze de business en het management op een onafhankelijke manier toetsen.”

Linies

Een belangrijke vraag is waarom internal audit een sleutelfunctie is geworden. Willem de Korte, manager audit bij Delta Lloyd, wijst naar het governancemodel van three lines of defence waar verzekeraars mee werken. De business en het management zitten in de eerste linie. Risicobeheersing, compliance, actuariaat en risk management in de tweede (ze controleren de eerste) en internal audit in de derde. De Korte: “Wij hebben vanuit de derde linie de taak om naast de eerste ook de tweede linie te auditen. Onafhankelijkheid is op dit punt belangrijk.”

Internal audit is om deze reden de enige sleutelfunctie die je niet kunt ‘verenigen’. Lobregt: “Een riskmanager kan tegelijk compliance officer zijn, maar geen auditor. Internal audit moet gescheiden zijn van de rest.”

In control

Los van het governancemodel is internal audit de aangewezen afdeling om te toetsen en dus aan te tonen dat een verzekeraar in control is, vindt Lobregt. “In de afzonderlijke processen, bijvoorbeeld het acceptatieproces of de financiële rapportage, zitten risico's. Op elk risico-onderdeel moet je een controle hebben. De business is hiervoor verantwoordelijk en de tweede lijn toetst de werking en het bestaan van de controles. De derde lijn doet vervolgens weer een toets op het werk van de tweede lijn.”

Vergelijkbare eisen

De Nederlandsche Bank (DNB), de toezichthouder op verzekeringsmaatschappijen, stelt mede aan de hand van Solvency II eisen aan internal audit. Het gaat om de plek in de organisatie (onafhankelijk, onder de raad van bestuur), de scope van de werkzaamheden (business én risk management/compliance) en rapportage aan raad van bestuur en audit committee.

Van der Schagt (ASR) signaleert dat kleine verzekeraars nog aanpassingen zullen moeten doen, maar voor grotere verzekeraars betekent het weinig extra's. “Het gaat te ver om te spreken van geen verschil tussen voor en na Solvency II, maar het niveau van internal audit bij de grotere maatschappijen is relatief goed. In de Code Verzekeraars, van de sector zelf, staan vergelijkbare eisen geformuleerd.”

De eisen zijn in beginsel niet nieuw, vindt ook De Korte (Delta Lloyd). “Wat verandert is dat het nu nog meer transparant en meetbaar wordt wat de organisatie doet. De transparantie is op zich een goed idee, maar het moet niet te ver doorschieten. We zetten veel dingen op papier die bij wijzen van spreken in een la zouden kunnen verdwijnen. Het is dan oppassen dat het auditproces geen formeel afvinken wordt. Het gaat om de beoordeling van risk management in relatie tot de bedrijfsvoering.”

Assessment

In de werkzaamheden van internal audit komen wel andere punten in het zicht die direct te maken hebben met Solvency II. Lobregt (PwC) noemt als voorbeelden de interne modellen waarmee verzekeraars hun solvabiliteit berekenen en het zogenoemde own risk & solvency assessment (ORSA). “Een verzekeraar doet met ORSA zelf een assessment op de risico's die aanwezig zijn. Internal audit gaat op ORSA en op de modellen voor solvabiliteit een audit doen.”

Het is bij een audit van ORSA belangrijk dat goed wordt gekeken of bij het beheersen van risico's de verschillende afdelingen hun rol goed spelen, benadrukt Van der Schagt (ASR). “We kijken naar de deelstappen, de modellen, zijn data integer en functioneren de rekenregels. Meer algemeen kun je zeggen dat internal audit meer betrokken is bij de processen van risicobeheersing.”

Actuarissen

Met de nieuwe thema's moet ook aanvullende kennis bij internal audit in huis komen, onder meer op het vlak van complexe wiskundige modellen en actuariële rekensommen. “Het is te ingewikkeld om daar wat van te vinden als auditor”, signaleert Lobregt bij de verzekeraars waar hij advies geeft. “Er ontstaan nu samenwerkingsverbanden tussen risicomanagement en internal audit. Er wordt dan gekeken wie wat doet in de inhoudelijke controle. Verder gaan bij sommige auditafdelingen specialisten werken. Bij de audit van ING werken wereldwijd inmiddels vijf actuarissen.” Van der Schagt herkent het beeld dat Lobregt schetst. “We werken met de actuariële functie samen. Ze participeren in het auditteam van ASR. Internal audit is wel de eindverantwoordelijke.” Willem de Korte (Delta Lloyd) benadrukt het kostenaspect van het extra werk voor internal audit. “Ondanks de Solvency II-activiteiten neemt het budget van audit niet toe. Internal audit zal de allocatie van de inzet van haar resources opnieuw moeten bepalen gebaseerd op de inschatting van risico's.”

Keuzes

Het is volgens De Korte daarom nodig dat er andere keuzes worden gemaakt. Hij verwacht dat het Enterprise Risk Model bij auditafdelingen van verzekeraars een belangrijke plaats inneemt. “Er komen dan andere accenten in de audit. Minder audit op de processen in de organisatie, meer op de tweede line of defence. Er is dan sprake van het toetsen van de toetser.” De Korte is hier positief over. Er wordt voorkomen dat audit het werk van bijvoorbeeld compliance overdoet. Verder vindt hij dat je bij het andere type audit meer gebruik kunt maken van zaken in de tweede linie die al goed werken. De impact van de bijdrage van internal audit wordt volgens hem daardoor hoger.

Van der Schagt ziet een vergelijkbare ontwikkeling. “Bij Solvency II wordt risicomanagement belangrijker. Het accent van audit schuift toe naar het controleren van de tweede linie. Een voorwaarde is wel dat de sleutelfuncties goed zijn ingericht. Internal audit kan er dan voldoende op steunen.” De Korte wijst erop dat de nieuwe soort audit op dit moment in ontwikkeling is. In 2012 of 2013 is er meer duidelijkheid over.

Overleg

In hoeverre heeft Solvency II invloed op het contact van internal audit met toezichthouder DNB? In elk geval vervalt de huidige rapportage aan DNB in het kader van Solvency I, in de branche ‘de staten’ genoemd. Daarvoor in de plaats komen rapportages in het kader van Solvency II, zoals het Solvency & Financial Condition Report (SFCR). Verder verwachten Van der Schagt en De Korte niet al te veel verschillen. Het driemaandelijkse overleg met de toezichthouder blijft bestaan. Van der Schagt verwacht dat Solvency II in de overleggen standaard op de agenda staat. Een nieuw element is het contact met de Autoriteit Financiële Markten over de transparantie van producten (zie kader). Ten aanzien van de relatie met DNB vindt De Korte dat DNB moet nadenken over de verhouding risico en rendement als het om regelgeving gaat. “DNB ziet naast Solvency II ook toe op andere thema's, waarbij ook een rol wordt toebedeeld aan internal audit. Er is derhalve een spanningsveld tussen willen, kunnen en moeten. Het scheiden van hoofd- en bijzaken is en blijft zeer belangrijk.”

Kleine verzekeraars

Solvency II geldt voor alle verzekeraars. ook kleine verzekeraars moeten er aan voldoen, uitgezonderd verzekeraars met zeer beperkte premie-inkomsten. Dit betekent dat bij kleine verzekeraars een internal auditafdeling aanwezig moet zijn.

Omdat de functie van internal audit niet mag worden gecombineerd met compliance of risk management, is het voor kleine verzekeraars erg moeilijk om een eigen afdeling op te zetten, stelt Jan-Huug Lobregt (PwC). “het is toegestaan om internal audit uit te besteden en verschillende kleine verzekeraars maken van die mogelijkheid gebruik.” PwC is een van de kantoren die internal auditdiensten aan verzekeraars leveren. lobregt wijst er op dat het werk voor internal audit bij kleine verzekeraars minder ingewikkeld is, omdat wordt gewerkt met standaardmodellen voor het berekenen van kapitaal. “Er worden in dit verband goede afspraken gemaakt tussen bijvoorbeeld risk management en de externe interal auditor. verder zijn in het algemeen de risico's bij kleine verzekeraars minder groot en is de productenportefeuille minder ingewikkeld. de rapportage aan het management en dnb is minder uitgebreid. voor internal audit is het werk daarmee overzichtelijk.”

Contact internal audit met AFM

In het kader van Solvency II is er meer aandacht voor de belangen van de polishouders. dit uit zich onder meer in meer duidelijke producten en voorwaarden. Eelco van der Schagt (ASR) geeft aan dat internal audit bijvoorbeeld gaat kijken naar het productgoedkeuringsproces. “In het verleden werd bij een nieuw product in het bijzonder gekeken naar de winstgevendheid. nu en onder Solvency II moeten verzekeraars er ook op letten of een product geschikt is voor de doelgroep en of klanten op een goede manier worden geïnformeerd. Internal audit moet hierover rapporteren aan de afm. verder komt er een periodiek overleg tussen de AFM en internal audit.”