Verzekeraar ‘in control’ door aanscherping risico control framework

Nulmeting als startpunt

In het project is gestart met een nulmeting. Hieruit zijn de volgende conclusies getrokken:

• De kritische processen waren niet in kaart gebracht en waren niet gemodelleerd;
• De risico’s waren minimaal inzichtelijk. Mede door rapportages van lage kwaliteit;
• Risico scenario’s en mitigerende maatregelen waren sterk verouderd en niet volledig dekkend;
• De bewijslast door externe rapportages werd ad-hoc aangeleverd en was van lage kwaliteit;
• Het interne beleid was niet in lijn met de eisen van toezicht voor o.a. vendor management, uitbestedingen en AVG.

Aanpak

Om de constateringen vanuit de nulmeting te verbeteren, hebben wij gekozen voor de volgende stappen:

• Identificeren en modelleren van de kritische processen binnen de eerste lijn;
• Identificeren en mitigeren risico’s binnen de kritische processen;
• Procesoptimalisatie en implementeren ‘risk by design’;
• Management informatie betreffende risico’s eerste lijn inclusief voortgang change management verbeteren.

In de aanpak is gekozen voor de Prince2 methodiek in combinatie met een agile werkwijze zodat parallel aan de gerealiseerde deliverables aanvullende deliverables zijn toegevoegd op basis van voortschrijdend inzicht.

Kwalitatieve beheersing van processen en risico’s

Voor de uitvoering is gekozen voor een kwalitatieve methode om de processen te modelleren en de risico’s in de eerste lijn te beheersen:

• Identificeren van processen, risico’s en/of mogelijke GAPs;
• Verzamelen van data (kwalitatief via interviews en documentatie);
• Uitwerken van de verzamelde gegevens (o.a. opstellen procesmodellen met bijbehorende risico’s);
• Identificeren en bepalen van mogelijke gebieden voor verbetering;
• Implementeren/documenteren en monitoren.

Kwantitatieve beheersing van processen en risico’s

Kwantitatieve beheersing van processen en risico’saDe kwantitatieve methode is toegepast voor risico’s gelieerd aan de rapportageverplichtingen. Dit zijn onder andere Mifid, Solvency II en IFRS. Door aanscherping van de risico’s is ‘risk by design’ gerealiseerd. Daarna zijn de risico maatregelen, die al geïmplementeerd waren, aangescherpt. De volgende kwantitatieve analyses zijn uitgevoerd:

• Valideren van gebruikte modellen;
• Kwaliteit en foutgevoeligheid van gebruikte methoden/tools (o.a. Excel zonder VBA);
• Aansluiten op de eisen ten aanzien van rapportages van de toezichthouder.

Resultaat voor de klant

Op basis van deze aanpak zijn de volgende resultaten gerealiseerd:

• In samenwerking met de Risk Management Functie (RMF) en de Compliance Functie (CF) van de opdrachtgever is het raamwerk vereenvoudigd en beperkt tot de kritische bedrijfsprocessen;
• Een geïmplementeerd risico controleraamwerk voor de eerste lijn;
• inclusief een verhoogd risicobewustzijn binnen de organisatie;
• Een door DNB op kwaliteit en inhoud goedgekeurd risico controleraamwerk;
• Een gereviseerde en gestroomlijnde SIRA en ORSA. Waarbij de bewijslast periodiek en tijdens operationele werkzaamheden wordt geworven;
• Verbeterde processen waarbij risicomanagement is meegenomen bij de opstelling ‘risk by design’ methodologie;
• Regelgeving aangebracht en toegepast binnen enkele operationele processen; waaronder AVG en klachten (Kifid); voldoende afgedekt conform eis DNB;
• Verbeterde rapportages voor sturing o.b.v. risico’s middels een management dashboard, waarin data is gevisualiseerd met behulp van MS PowerBI.

Contact

Wilt u weten hoe u ervoor staat op dit moment en aan de slag met een adequate aanpak voor uw processen en risico's? Neem telefonisch contact op met Rob Smeets, Business Leader Financial Institutions: 06 - 27 04 70 90.a