Nieuws 09 juni 2020

KPMG: 'Verzekeraars kunnen risicomanagement nog verder professionaliseren'

Nederlandse verzekeringsmaatschappijen kunnen hun risicomanagement nog verder professionaliseren. Vooral de IT-infrastructuur die de bedrijven gebruiken ter ondersteuning van hun risicomanagentactiviteiten kan worden verbeterd. En ook op het gebied van de governance, de structuur waarbinnen de organisatie haar risicomanagementactiviteiten stuurt, monitort en hierover rapporteert, kunnen nog stappen worden gezet.

Uit onderzoek van KPMG naar de wijze waarop Nederlandse verzekeringsmaatschappijen hun risicomanagement hebben ingericht, blijkt dat de bedrijven in het algemeen een ruime voldoende scoren als het gaat om de risicostrategie en de risicobereidheid.

"De risicobereidheid geeft de bandbreedte aan waarbinnen de organisatie bereid is tot het nemen van risico's", zegt Helen Stijnen, partner bij KPMG. "Dat betekent dat doelen voor risicomanagement geformuleerd zijn en dat deze in lijn zijn met de strategie van de organisatie. Wij zien wel dat nog een stap gezet kan worden als het gaat om het vaststellen van 'trigger points' die vroegtijdig aangeven dat de risicobereidheid mogelijk wordt overschreden zodat de bedrijven actie kunnen ondernemen."

"Ik zie overigens dat de risicomanagementfunctie bij verzekeraars steeds professioneler wordt. Dit komt mede door de toegenomen aandacht van de toezichthouder. Steeds meer verzekeraars werken aan integraal risicomanagement en hebben de behoefte om de opzet, het bestaan en de werking beter zichtbaar te maken."

Op twee onderdelen verbeteringen noodzakelijk

Het risicomanagementraamwerk van verzekeraars bestaat in het algemeen uit vijf onderdelen, de risicostrategie en de risicobereidheid, de governance, het risicobeleid en het risicoproces, de risicomonotoring en de rapportage hierover en het gebruik van data en IT-systemen.

Stijnen: "Ons onderzoek laat zien dat op twee onderdelen van risicomanagement verbeteringen nodig zijn om voldoende effectief te kunnen zijn. Bij data en IT-systemen hebben wij vooral gekeken naar de mate van het gebruik van de GRC-tooling, de geïntegreerde, bedrijfsbrede systemen voor risicobeheersing. Hierbij is ook gekeken naar de mate waarin actie- en incidentenmanagement plaatsvindt. Wij zien dat op onderdelen een infrastructuur voor risicomanagement aanwezig is en in beperkte mate gebruik wordt gemaakt van eigen informeel ontwikkelde gestandaardiseerde tools. Er kan dan ook nog een stap worden gezet om de risicomanagementfunctie de middelen en de infrastructuur te geven om taken effectiever en efficiënter te kunnen uitvoeren."

"Voor wat betreft de governance zijn de functies van het 'three lines of defence'-model formeel ingericht. Rollen en verantwoordelijkheden zijn gedocumenteerd, maar nog niet altijd integraal vastgesteld. Risicomanagement maakt in het algemeen aantoonbaar deel uit van de besluitvorming. De noodzakelijke kennis en competenties voor goed risicomanagement zijn bekend, maar niet altijd vastgesteld. Vooral in de eerste lijn, bij medewerkers en lijnmanagers, moet hiervoor meer aandacht zijn. Opvallende conclusie uit het onderzoek is bovendien dat de kennis van IT-risico's in de tweede lijn, zoals de afdeling Risk en de afdeling Compliance, niet altijd in voldoende mate aanwezig is."

Inspanningen beter aantoonbaar maken

Volgens KOMG maakt het onderzoek duidelijk dat de verzekeraars ook op een aantal andere onderdelen nog stappen kunnen zetten. Stijnen: "Zo kunnen veel bedrijven verdere sturing geven aan de risicobereidheid voor hun keyrisico's. Dit kan bijvoorbeeld door waar mogelijk gebruik te maken van relevante KRI's met bijbehorende streef- en tolerantiewaarden."

"Daarnaast kunnen de inspanningen op het gebied van risicomanagement beter aantoonbaar worden gemaakt door ze duidelijk vast te leggen. Niet alleen formeel uitgevoerde evaluaties en risico-opinies, maar ook tussentijdse gesprekken over risico's en risicobeheersing met de eerste lijn."

"Zoals gezegd kan met name op het gebied van data en IT-systemen de sector als geheel nog een stap zetten. Voorwaarde is wel dat de organisatie klaar moet zijn voordat het bedrijf besluit om GRC-tooling aan te schaffen. De praktijk wijst uit dat het geen zin heeft om tooling in te richten als de rollen en verantwoordelijkheden nog niet juist zijn belegd of niet voor iedereen helder zijn."

"Voor verzekeraars die hun governance werkend hebben, kan de introductie van GRC-tooling een voorwaarde zijn om het volwassenheidsniveau van het risicomanagement in de breedte naar een hoger niveau te tillen. Aandachtspunt bij een aantal bedrijven in ons onderzoek is de capaciteit van de tweede lijn. Die is vaak beperkt en daarmee kwetsbaar. Meer volwassenheid van het eerstelijnsrisicomanagement kan ervoor dat de druk op de tweede lijn aanzienlijk afneemt."