Sunlight is the best disinfectant.“ Revision im Risikomanagement - … · 2012-05-21 ·...

Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)

© 2012 Deloitte AG. Private and confidential.

Audit.Tax.Consulting.Corporate Finance.

„Sunlight is the best disinfectant.“ Revision im Risikomanagement

Financial Risk Management / Dominic Rau / 15.5.2012



Regulatorische Entwicklungen

Revision im Risikomanagement 2



Haftpflicht und Sachversicherung / Lebensversicherung illustrativ

Warum Aufsicht Versicherung: Ein fremdfinanzierter Anlagefonds.

Versicherungen und Pensionskassen als institutionelle Investoren

Versicherer sind somit langfristige Anleger mit einer schwer zu bewertenden

Passivseite der Bilanz.

Versicherer kontrollieren ca. ¼ der weltweiten Finanzinvestitionen (Sigma 5/2010)


0

50

100

0 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36

premium claim

reserve

0

50

100

150

200

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37

premium claim

reserve

• Langfristige

Zahlungsverpflichtungen

• Zeitversetzt zu den

Prämieneingängen

• Versicherer Investieren einen

wesentlichen Teil unseres

Vermögens.

• Versicherungen &

Pensionskassen machen

zusammen fast 2/3 der

gesamten institutionellen

Investitionen aus.

• Versicherungsaufsicht zum

Schutz der Versicherten und

des öffentlichen Interesses.



Transparenz Im Interesse von Aufsicht und Investoren.

Regulatoren

Sie haben den Auftrag ein Regelwerk zu

installieren und zu überwachen, dass kein

Versicherter unter der Zahlungsunfähigkeit

eines Versicherers zu leiden hat.

Investoren

Sie stellen das Risikokapital zur Verfügung,

ohne das keine Versicherung möglich wäre.

=> Impatient Capital (B. Harrison):

Erwarten Renditen schon nach kurzer Zeit,

z.B. durch Preiszunahme der Aktie.

4

Aufsichtsrecht

Gibt vor, wie langfristige Verpflichtungen zu

bewerten sind.

Bestimmt, wie Risiko bemessen wird und

wieviel Eigenkapital dafür erforderlich ist.

Definiert Kontrollen und Governance.

Investorkommunikation

Um für Investoren attraktiv zu sein, müssen

die Firmen glaubhaft den Wertzuwachs auf

einem unsicheren und langfristigen Geschäft

darlegen.

=> “Wertorientierte Firmensteuerung”.

Transparenz

Ist die Basis für eine Planung des

Kapitaleinsatzes und des erzielbaren Gewinns.

Sie ist die Grundlage der Kommunikation mit

dem Management, den Regulatoren und den

Investoren.

Revision im Risikomanagement



Solvenz II Die Entwicklung des Regulatorischen Rahmenwerks in Europa


Mitte 2009

•CEIOPS consultation papers, e.g. CP58

Informelle Konsultation

•April – Aug. 2010

•Jan – Mar 2011

Ende 2011

•Öffentliche Konsultation

•Kommentare bis by 20 Jan 2012

Next steps (?)

•Q3/12 (*) Omnibus 2

•Q3/12 final QRT

•Q3/12 final Level 2

• Entwürfe für die Vorgaben bezüglich Quantitative Reporting

Templates (QRTs)

• Entwurf der Richtlinien für das Narrative Public Disclosure &

Supervisory Reporting (SFCR & RSR)

• Hinweise zur Anwendung des Proportionalitätsprinzips und

Materialität für die QRTs

(*) das Timing der

nächsten Schritte hängt

von der Annahme von

Omnibus 2 ab.



Solvency II Die wichtigsten neuen Reportinganforderungen.


Versicherer werden regelmässig einen umfangreichen Report für den Regulator erstellen müssen

(RSR), aus dem sie Teile auch öffentlich offenlegen müssen (SFCR).

Regelmässiges Reporting Situatives Reporting

Jährlich Jährlich/ Quartal Nach Bedarf

Solvency and Financial

Condition Report

(SFCR)

Regular Supervisory

Reporting (RSR)

Quantitative reporting

Templates (QRTs)

Qualitative und

quantitative Information,

öffentlich publiziert für

Vergleichbarkeit und

Marktdisziplin.

Qualitative und

quantitative Information,

vertraulich dem

Regulator zur Verfügung

gestellt.

Quantitative Information

wird in einem

standardisierten Format

(XBRL Taxonomie) dem

Regulator zur Verfügung

gestellt.

Während vertieften

Untersuchungen oder

nach Eintreten eines

vorab definierten

Ereignisses.

Die Information muss im Solvency II Originalton folgende Anforderungen erfüllen:

a) be relevant, reliable and comprehensible;

b) reflect the nature scale and complexity of the business of the undertaking concerned; and

c) be accessible, complete in all material respects comparable and consistent over time.



Solvency II Übersicht über den Inhalt von SFCR und RSR.


• RSR: Information zur aufsichtsrechtlichen Kontrolle in einem vierteljährlichen Bericht, der

folgende Kategorien umfassen muss:

Regular Supervisory Report (RSR)

Activities System of

Governance

Risks and

management

system of the risks

Structure of capital

and management

of the capital

Principles of

evaluation for

Solvency purpose

Solvency and Financial Condition Report (SFCR)

Business and

Performance

System of

Governance Risk Profile

Valuation for

Solvency Purposes

Capital

Management

• SFCR: Öffentliche Information, jährlich publiziert in einem Bericht, der folgende fünf

Kategorien umfassen muss:



Code Content CP1/11 Scope Public (*) Frequency Materiality?

Assets - D1Investments Data - Portfolio list (detailed list of

investments) - annualBoth Annually

Assets - D1Q Investments Data - Portfolio list - quarterly Both Quarterly

Assets - D1S Structured products Data - Portfolio list Both Annually 4

Assets - D2O Derivatives data: open positions Both Quarterly and Annually

Assets - D2T Derivatives data: historical derivatives trades Both Quarterly and Annually

Assets - D3 Return on investment assets (by asset category) Both Annually

Assets - D4 Investment funds (look-through approach) Both Quarterly and Annually 4

Assets - D5 Securities lending and repos Both Annually

Assets - D6 Assets held as collateral Both Annually

TP - F1 Life and Health SLT Technical Provisions (Annual) Solo Annually

TP - F1Q Life and Health SLT Technical Provisions (Quarterly) Solo 4 Quarterly

TP - F2 Projection of future cash flows (Best Estmitate - Life) Solo Annually

TP - F3 Life obligations analysis Solo Annually 4

TP - F3A

Only for Variable Annuities - Description of guarantees

by productSolo Annually

TP - F3B Only for Variable Annuities - Hedging of guarantees Solo Annually

TP - F4Information on annuities stemming from Non-Life

Insurance obligationsSolo Annually 4

TP - E1 Non-Life Technical Provisions (annual) Solo Annually

TP - E1Q Non-Life Technical Provisions (quarterly) Solo 4 Quarterly

TP - E2Projection of future cash flows (Best Estimate - Non Life)

Solo Annually

TP - E3 Non-life Insurance Claims Information Solo Annually 4

TP - E4 Movements of RBNS Claims Solo Annually 4

TP - E6 Loss distribution profile non-life Solo Annually

TP - E7A Underwriting risks (peak risks) Solo Annually 4

TP - E7B Underwriting risks (mass risks) Solo Annually

Re - J1

Facultative covers non-life (10 most important risks in

terms of reinsured exposure) Solo Annually 4

Re - J2 Outgoing Reinsurance Program in the next reporting year Solo Annually

Re - J3 Share of reinsurers Both Annually

Re - SPV Special Purpose Insurance Vehicles Both Annually

4

4

Solvency II Ein Eindruck des Umfangs der QRTs



BS-C1 Balance sheet Both 4Annually, and quarterly

in certain cases

BS-C1B Off-balance sheet items Both Annually

BS-C1D Assets and liabilities by currency Both Annually 4

Country - K1 Activity by country Solo Annually 4

Cover - A1A Premiums, claims & expenses - annual data Both Annually 4

Cover - A1Q Premiums, claims & expenses - quarterly data Both 4 Quarterly 4

OF - B1A (solo) Own funds (annual template - for solo entities) Solo Annually

OF - B1A (group) Own funds (annual template - for groups) Group 4 Annually

OF - B1Q (solo) Own funds (quarterly template - for solo) Solo Quarterly

OF - B1Q (group) Own funds (quarterly template - for groups) Group Quarterly

VA - C2A Summary analysis of changes in BOF Solo Annually

VA - C2B Analysis of changes in BOF due to investments Solo Annually

VA - C2C Analysis of changes in BOF due to technical provisions Solo Annually4

VA - C2D

Analysis of changes in BOF due to own debt and other

itemsSolo Annually

SCR - B2ASCR - for undertakings on Standard Formula or Partial

Internal Models Both 4 Annually

SCR - B2B SCR - for undertakings on Partial Internal Models Both 4 Annually

SCR - B2C SCR - for firms on Full Internal Models Both 4 Annually

SCR - B3A SCR - Market risk - basic information Both Annually

SCR - B3B SCR - Counterparty default risk Both Annually

SCR - B3C SCR - Life underwriting risk Both Annually

SCR - B3D SCR - Health underwriting risk Both Annually

SCR - B3E SCR - Non-life underwriting risk Both Annually

SCR - B3F SCR - Non-life catastrophe risk Both Annually

SCR - B3G SCR - Operational risk Both Annually

MCR - B4AMinimum Capital Requirement (except for composite

undertakings) Solo 4 Quarterly and Annually

MCR - B4B Minimum capital Requirement - Composite undertakingsSolo 4 Quarterly and Annually


G01 Undertakings in the scope of the group Group 4 Annually

G03 (Re)insurance Solo requirements Group Annually

G04 Other regulated entities incl. holding companies Group Annually

G14 Technical Provisions: Contribution to group TP Group Annually

G20Contribution to Group SCR with Deduction and

AggregationGroup

Annually

IGT1IGT involving equity-type transactions, debt and asset

transferGroup Annually 4

IGT2

IGT - Derivatives (include guarantees but exclude other

contingent liabilities and off balance sheet items which

are to be reported in IGT4)

Group Annually 4

IGT3 IGT - Internal Reinsurance Group Annually 4

IGT4IGT - Internal Cost Sharing, Other Contigent Liabilities &

Off Balance Sheet Items and Other Types of IGTGroup Annually 4

RC Risk concentration Group 4 Annually 4

(*) where quarterly templates are described as public, this is to indicate that the quarterly template will be used for annual

public disclosure. It does not imply a quarterly public disclosure requirement

No change made to the cells/descriptions

Minimal change to definition/wording of cells

Significant change or new requirement



Qualität & Prüfbarkeit




Änderungen in der Schweiz Sind wir nach dem SST gut vorbereitet auf Solvency II?


Die Regulatorischen Anforderungen in

der Schweiz fokussieren auf die Säule 1.

Beispiel Datenqualität:

• AVO Art. 52 Datenerhebung (1.1.2006): Das

Versicherungsunternehmen erhebt und erfasst die

relevanten Daten in einer Form, welche die

Berechnung des Zielkapitals, des risikotragenden

Kapitals sowie der marktnahen Rückstellungen

ermöglicht.

• Richtlinie zum SST, 8.4.4 Dokumentation der

Internen Modelle (2008): Die Dokumentation äussert

sich zur Art und Weise, wie die Datenqualität und

insbesondere die Qualität der Information über die

Positionen und Exposures gesichert wird.

• Rundschreiben zum SST (2008): Die

verwendeten Daten müssen vollständig, korrekt

und zeitnah sein. Falls zu wenig relevante Daten

vorhanden sind, können auch

Expertenmeinungen beigezogen werden. …

Solvency II formuliert auch in der zweiten

Säule klare Anforderungen. Beispiel Datenqualität, aus dem Level 2 Text:

Es scheint, dass die Schweizer Unternehmen nach dem SST in der Säule 1 mehrheitlich gut aufgestellt sind.

In der zweiten Säule erwarten wir, dass sich die Anforderungen in der Schweiz noch konkretisieren werden.



System of Governance in Solvency II Solvency II enthält schon in der Direktive klare Anforderungen.


Risk management function

• Implements system to identify, measure, monitor,

manage and report risks

• Designs, implements, tests, validates, documents

internal model

• Must be effective and well integrated in the decision

making process

Actuarial function

• Coordinates and reviews the calculation of

technical provisions

• Responsible for sufficiency of data and

appropriateness of methods

• Expresses an opinion on UW policy

• Contributes to the risk management system

Policies

• Proportionate to the nature, scale and complexity of the operations

• Written policies must exist for risk management, internal control, internal audit.

• A data policy with standards, assumptions made and processes and a data dictionnary (e.g. TP3, TSIM10)

• A model validation policy (TSIM18) and a change policy (Art 115 dir.) must exist

Internal audit function

• Evaluates the adequacy and effectiveness of the

internal control system

• Must be objective and independent from operational

functions.

Compliance function

• Advises on compliance with the laws and

regulations

• Assesses impact of changes of law and the

compliance risk

Während die meisten Schweizer Verischerungsunternehmen ein funktionierendes Governance-System

haben, ist doch die Formalisierung und konzeptionelle Klarheit der Aufgabenteilung und Policies unter

Solvency II eine neue Erfahrung für die meisten.



MCR

• Die MCR-Berechnung und die verwendetend

Datenquellen müssen prüfbar sein. (Art. 129)

• Der Revisor muss Nichteinhaltung von MCR oder

SCR der Aufsicht melden. (Art. 72)

SFCR/ RSR/ QRTs

• CEIOPS denkt es sei angebracht, einzelne Teile

der aufsichtsrechtlichen Berichterstattung und der

Offenlegung einer externen Prüfung zu unterziehen

• Der genaue Umfang und das erforderliche Mass an

Sicherheit wird erst in Level 3 festgelegt werden.

Verhalten der Industrie

• Das Aktuariat hat meist ein internes Kontrollsystem

und ist Teil der externen Finanzrevision.

• Einzelne Versicherungsunternehmen haben

bereits interne Kontrollsysteme für SST.

• Die grösseren Unternehmen bereiten sich heute

schon vor auf die bevorstehenden Anforderungen.

Prüfbarkeit Was das heisst und wo es gefordert wird.

Prüfbarkeit unter Solvency II

Standards

• Die ISA Standards vom IAASB sind Grundlage für

die meisten Audits (und die Schweizerischen PS).

• ISAE 3000 für Assurance Aufträge, die keine

Audits oder Reviews sind.

Levels of Assurance

• Audit/ positive assurance: Die Prüfgesellschaft

(PG) bestätigt, dass die publizierten Informationen

materiell richtig sind.

• Review/ negative assurance: Die PG bestätigt,

dass keine Fehler gefunden wurden.

• Plausibilitätsprüfung: Die PG bestätigt, dass die

Prozesse sinnvoll gestaltet sind.

• Keine assurance: Vereinbarte Prüfungshandlungen

Materialität

• Assurance geschieht immer gegenüber einer

Materialitätsdefinition, was auch den Prüfaufwand

endlich hält.

Standards der Prüfbarkeit

Es ist unklar, wann und in welchem Grade Prüfbarkeit eine Anforderung wird. Es besteht also kein

unmittelbarer Handlungszwang.

Die Einführung eines prüfbaren Kontrollsystems hat aber sehr viele positive Effekte, wenn man sich auf

materielle Aspekte konzentriert und gleichzeitigen an der Industrialisierung der Prozesse arbeitet.



Reality-Check




Status Quo Risiko Reporting-Prozesse sind über die Zeit gewachsen.


• Interne Datensätze

• Buchhaltung

• Bestandsverwaltung

• Schadendaten

• Rückstellungen

• Externe Datensätze

• Markt-Zeitreihen

• OpRisk Schäden

• Nat Cat Events

• Extrahiere und

transformiere

Information

• Validierung,

Qualitätssicherung,

Vervollständigung,

Fehlerkorrektur

• Experten-

Einschätzungen

• Prä-Aggregation

• Parameter-

Kalibrierung

• Economic scenario

generation

• Sensitivitäten und

Exposure-Funktionen

• Erfahrungsanalyse

• Simulationsmodell/

Standard-Formel

• Berechnung der

Kapitalanforderung

• Aggregation und

Konsolidierung

• Allokation der

Kapitalkosten auf die

Geschäftsbereiche

• Validierung der

Resultate

• Verfassen der

Reports

• Publikation und

Verbreitung der

Reports

2. Beschaffung 1. Datenquellen 3. Vorbereitung 4. Rechnung 5. Reporting

7. Archivierung und Historisierung

6. Durchführung und Kontrolle

• Inputs und Outputs der

Teilmodelle sind nicht

kohärent definiert

• Modellversionen werden nicht

systematisch deployed

• Wenig Kontrolle über die

tatsächlice Implementierung

• Prozesse sind dezentral

• Datenqualitäts-Checks sind

informell oder reine Sign-Offs

• Oft wird eine Mischung

verschiedener IT-Extrakte aus

den operativen Systemen

verwendet.

• Information zum Ursprung der

Daten geht verloren oder ist

nur in Mails archiviert.

Reports sind

unzugänglich

und schwierig

zu reprodu-

zieren. • Viele manuelle Anpassungen sind

erforderlich, um die Daten auf eine

gemeinsame Basis zu bringen.

Sich häufig ändernde Anforderungen und der hohe Spezialisierungsgrad der Akteure hat dazu geführt, dass mehr

Gewicht auf Flexibilität und Offenheit der Umgebungen gelegt wurde als auf Kontrollen und Industrialisierung.



Status Quo Erfahrungen aus der QIS5bis malen dasselbe Bild


Vergleichbarkeit der Resultate

• Grosse Veränderungen der Zahlen zum Vorjahr bringen das Management

in einen Erklärungsnotstand. Veränderungsanalysen sind essentiell für die

Argumentation:

• Veränderte Methoden, Annahmen, Granularität

• Verändertes Marktumfeld

• Operationelle Fehler

• Vergleichbarkeit mit Finanzberichterstattung und MCEV

Datenlage

• Verfügbarkeit:

• Benötigte Daten sind über viele Abteilungen verteilt.

• Die Datengrundlage des letzten Jahres ist nicht mehr vollständig

zugänglich

• Die Daten haben eine andere Granularität

• Qualität:

• Keine Standardformate, klar definierten Datenflüsse

• Nicht nachvollziehbare Manipulationen

• Keine klaren Validierungsregeln

Systeme

• Berechnungen in einer Vielzahl von Best-of-Breed Systemen

• Einzelne Transformationen in Excel

The Solvency Capital Required (SCR)

and the Risk Margin (RM) reflect

fairly, in all material respects, the risk

profile and the cost of holding capital

against this risk, in accordance with

the Solvency II Directive

(2009/138/EC) of the European

parliament and of the council.

Is Positive

Assurance

Possible?



Reality-Check Sind wir gut aufgestellt, für was da kommt?


Mehr Berichte müssen in

kürzerer Zeit erstellt werden,

basierend auf der gleichen

Datenbasis

unter Einbezug derselben

Mitarbeiter.

Ressourcenengpässe und

erhöhte Fehleranfälligkeit

werden zur Herausforderung.

Sowohl qualitäts- und effizienz-

steigernde Massnahmen als

auch verbesserte

Kontrollsysteme werden

vermehrt von Interesse.

Ohne grundlegende

Massnahmen wird die

Berichtsaison für viele

Unternehmen nicht mehr zu

schaffen sein.

Reporting-Fahrplan

«Fast Close»



Reality-Check Anforderungen an eine Umgebung.


2. Collection 3. Preparation 4. Calculation 5. Reporting

ET

L

Data

qualit

y

ESG

Experience

analysis

Portfolio replication

Life TP

Non life TP -

Premium

Life risk

Non life risk

Health risk

Market risk

Default risk

Op. risk

Health TP

Assets

Valuation

SFCR

Public disclosure

Internal Monitoring

1. Data sources

Liabilities data

Assets data

External market

data

Other input data

Model points

Accounting data

6. Operation and monitoring

7. Data historisation and archiving

Security Workflow & monitoring Scalability & performance

Data storage

Non life TP -

C.O.

Aggre

gatio

n

Capital

planning KRI

ORSA Stress test

& scenarios

RSR Regulatory submissions

Ad hoc Requests

Risikoreporting ist eine End-to-End Wertschöpfungskette. Es umspannt fast alle Bereiche einer Firma. Eine IT Plattform für

Risikomanagement muss sich bei einer grossen Anzahl von Quellsystemen bedienen und sollte sehr verschiedene und

spezialisierte Tools integrieren können.

Heute zeigt sich, dass insbesondere in der Schweiz Firmen schon ziemlich reife Kenntnisse zur Modellierung haben, aber

immer noch unter der magenlnden Integration der Tools und nicht zur Verfügung stehenden Daten leiden.

Eine grosse Herausforderung für die Hersteller einer Risikomanagement Plattform sind die grossen Kontraste der

Anforderungen: Kontrolle, Nachvollziehbarkeit und Prüfbarkeit auf der einen Seite, Flexibilität und sich immer wieder

verändernde Anforderungen auf der anderen Seite.



Es gibt mehr Leute, die kapitulieren, als solche, die scheitern. Henry Ford




Was Nun?




Ist Prüfbarkeit ein Ziel? «Der Preis ist, was wir bezahlen. Der Wert ist, was wir bekommen.»


Fokus auf Werthaltigkeit – ohne Hektik.

Wenn Sie ein genaues Verständnis der Risiken in Ihrem Unternehmen haben, können Sie Ihre

Ressourcen gezielt auf die relevanten fokussieren.

Kostenkontrolle Effizienzsteigerung

• Fokussierung auf materielle Prozesse

• Szenario-Analyse

• zur vertieften Kenntnis des Risikoprofils

• zur unsicheren regulatorischen Entwicklung

• Das Rad nicht neu erfinden:

• Referenzmodelle für Prozesse und Organisation

• Erwiesene Dokumentstrukturen/ Vorlagen für

Policies

• Frühe Bekenntnis des Managements zu einer

Strategie

• Verbesserte Industrialisierung und

Systemunterstützung verbessern Kontrollen und

verkürzen Reporting-Prozess

• Dokumentation zuerst dort, wo sie Freiraum in der

Personalplanung ermöglicht

• Klare Ansagen in der Erstlieferung und Zugriff auf

gute Erklärungen der Veränderungen verhindern

aufwändige Nachfragen der Aufsicht

• Fokus auf Bereiche, wo Handlungsoptionen

erschlossen werden.

Prüfbarkeit als Ziel führt zu einem verbesserten Risikobewusstsein, hilft die Effizienz zu

steigern und bereitet vor für die Kommunikation mit der Aufsicht und Rating Agenturen.

Methoden und Vorgehensweisen aus der Revision helfen bei der Rationalisierung der

Risikomanagement-Prozesse.



Vorgehen Viele sind hartnäckig in Bezug auf den einmal eingeschlagenen Weg -

wenige in Bezug auf das Ziel.


Analyse der Materialität und Priorisierung der Aktivitätsfelder.

Installation von Kontrollen und Erfüllung der regulatorischen Vorgaben.

Effizienzsteigerung durch Standardi-sierung, Industriali-sierung und Infra-struktur.

Ein Zyklus der graduellen

Verbesserung, der zulässt, auf

neue Erkenntnisse zu reagieren

und der Risikokultur Zeit lässt, der

Entwicklung zu folgen.

Fokus

• Investition in Risikoidentifikation hat oft

ein besseres Preis-Leistungs-

Verhältnis als aufwändige Modelle.

• Keine langwierigen Spezifikationen.

Dokumentation, dann Code.

• Solides Test- und Deploymentkonzept

direkt aus dem Business in eine solide

IT Umgebung.

Keine Erosion

• Keine Zunahme bei der Anzahl fester

Mitarbeiter nur wegen Governance –

verbesserte Governance muss die

Arbeit erleichtern.

• Einheitliche Reporting-Granularität und

top-down Materialitätsdefinition.

• Klarheit über Entwicklungs-, Betriebs-

und Revisionskosten.

Pflichtenteilung

• Zwischen Risikomanagement und

Aktuariat: Aktuariat bewertet,

Risikomanagement “stresst”.

• Zwischen 2nd und 3rd Line of Defense.

• Zwischen IT und Business in einem

klaren Deployment Prozess. RM

und/oder Aktuariat entwickeln, IT

betreibt.



Nur ein Vorgehen mit kombiniert organisatorischen und technologischen Massnahmen verspricht Erfolg.

Vorgehen Kommunizierbare Schritte verschaffen Raum und verhindern Aktivismus.


Organisatorische Massnahmen Technologische Massnahmen

• Klare Prozesse und Zuständigkeiten

• Empowerment der Mitarbeiter zu echter Verantwortlichkeit

durch Zugang zu Resultaten

• Delegation von wiederkehrenden Arbeiten an jüngere

Mitarbeiter (erfordert Dokumentation)

• Die Anpassung der Business-Architektur in Phasen,

ausgerichtet auf andere Entwicklungen

• Workflow-Unterstützung in Multi-Tool Umgebungen

• Keine Arbeitsplatz-Versionen im operativen Reporting,

Trennung von Entwicklung durch ein Deployment

• Einheitliche Metadaten, integrierte Datenspeicherung

• Transparente Datenvalidierung

• Zugang zu resultaten und Testrechnungen vor einem

formalen Sign-Off

• Zugang zu Plausibilitäts-Checks

Priorisierung Analyse Massnahmenplan Umsetzung

Definition der Reifegrade

und Materialitätskriterien.

Aufnahme der End-to-End

Prozesses.

Aufnahme der wesentlichen

Inputs und zugehöriger

Sensitivitäten.

Erstellung einer Heat Map.

Green-Spot Analyse der

für gut befundenenen

materiellen Prozesse.

Vertiefte Gap-Analyse aller

anderen materiellen

Prozesse.

Erfassung der Prozesse

und Erstellung der Doku,

wo diese noch fehlte.

Definition von Massnah-

men und Arbeitspaketen.

Zeit- und Budgetplanung.

Kommunikation mit und

Ratifizierung durch die

Aufsicht.

Probeweise Ausübung von

Kontrollen, «Dry Run».

Ein Prozess in Phasen,

abgestimmt auf andere

Entwicklungen in der

Firma.

Ein IT / Change Projekt:

Planung, Spezifikation,

Umsetzung und

Qualitätskontrolle.

2 Wochen – 2 Monate 2 - 4 Monate 2 Wochen - 2 Monate 4 Monate - Jahre



Priorisierung Beispielhafte Aufgaben.


Erfassen der Prozesse & Zuständigkeiten Erfassen der Datenflüsse

Definition von Reifegrad und Materialität Erfassen der Technischen Architektur

ID Description Materiality Documented Effectiveness Quality Maturity

33.1 Procure Portfolio Information Nat Cat 5% y 2 2 2

33.2 Calibrate Parameters Nat Cat 4% y 1 2 1.5

34.1 Update Reserve Risk Parameters 6% y 1 1 1

35.1 Upate Economic Scenarios 25% n 2 2 2

35.2 Download FM Data 20% y 2 1 1.5

35.3 Apply Manual Adjustments to FM Ptf 25% n 2 0 1

36.1 Quality-check economic balance sheets 3% y 2 1 1.5

ID Description Materiality Documented Effectiveness Quality Maturity

33.1 Procure Portfolio Information Nat Cat 5% y 1.9 1.9 1.9

33.2 Calibrate Parameters Nat Cat 4% y 0.96 1.92 1.44

34.1 Update Reserve Risk Parameters 6% y 0.94 0.94 0.94

35.1 Upate Economic Scenarios 25% n 1.5 1.5 1.5

35.2 Download FM Data 20% y 1.6 0.8 1.2

35.3 Apply Manual Adjustments to FM Ptf 25% n 1.5 0 0.75

36.1 Quality-check economic balance sheets 3% y 1.94 0.97 1.455

Qua

lity

FairScore Category

Score Category Definition Effectiveness Definition

1 Excellent 1 Excellent Process in place, always applied

as intended

Effective Process in place and ready for

auditing.

Weak

2 Fair 3 Adequate Process is sometimes not

operational

Adequate Minor weaknesses in process. Needs

some improvement.

Deficient Adequate Excel lent 3 Weak 4 Deficient Process most of the time not

operational

Deficient Deficiency in process. Needs

improvement.

Performance

Excel lent

Not permitted Effective Excellent

Process in place and

generally reliable. Plans

agreed for improvement

Deficient Adequate Effective

Considers how well the process is designed and

how well it should work in theory.

Process effectiveness (heatmap) definitions

Ineffective Deficient Adequate

Process not in place or

known issues exist.

Considers the way the process is operated in practice,

if it is applied when it should be and in the way

intended by its designer

Definition

Process in place, reliable and

documented

Quality of design Performance



Priorisierung Beispielhafte Aufgaben.


Erfassen der Prozesse & Zuständigkeiten Erfassen der Datenflüsse

Definition von Effektivität, Reifegrad und Materialität Erfassen der Technischen Architektur

Performance

Qu

alit

ät

Effektivität

Description MaterialityDoc

?

Quality of

design

Performan

ce

Effectiven

ess

Risk identif ication process 3 2 2 4 No

Model validation process 3 1 1 1 yes

Procure portfolio information Nat Cat 3 1 1 1 yes

Calibrate parameters Nat Cat 2 2 1 2 yes

Update Reserve Risk Parameters 3 2 2 4 yes

Update ecomonic scenarios 3 1 1 1 No

Dow nload FM data 3 1 2 2 yes

Apply manual adjustments to FM Ptf 3 1 3 3 No

Quality check economic balance sheet 1 1 2 2 yes

Processes

Methodology

Process maturity rating (Red,

Amber, Green)

Ineffective Deficient

Deficient Adequate

Adequate

Adequate

Effective

Effective Excellent

Reifegrad und Materialität



Analyse Beispielhafte Aufgaben.

Revision im Risikomanagement 25 Revision im Risikomanagement 25

Vervollständigung der Dokumentation Erstellen eines Katalogs der Kontrollen

Walk-Through Workshops Technische Prüfung

• Sind Kontrollen definiert,

wo man sie erwarten

würde?

• Kennen die involvierten

Mitarbeiter die Kontrollen?

• Werden sie gelebt?

• Sind weitere Kontrollen

sinnvoll und wären sie

technologisch umsetzbar?

Datenqualität

Modellvalidierung

Forensische Prüfung



Massnahmenplan Beispielhafte Aufgabe: Wahl des Systems, Make or Buy.

Buy

Systeme bleiben meist für 10 und mehr Jahre im Einsatz. Die Einführung eines

Risikomanagementsystems stellt weichen und erfordert eine saubere Evaluation.

Make

• 20-25% billiger

• Innovation

• Wissenstransfer

• Import eines

geprüften

Prozessmodells

• 100% fit

• Lernprozess

• Flexibilität

• Firmengeschichte

Policy administration and

claims data

Investment management

data

Balance sheet outputPreparationData sources Models

Global assumptions data

Sales projection dataModel point file

creation

Model point file

grouping

Experience analysis

and assumption

setting

In force

Historic

Asset allocations

Asset and liability

modelling

(Deterministic,

stochastic, asset,

tax)

Counterparty

exposure

modelling

MPFs

Assump-

tions

Capital

calculations

Risk and capital

aggregation

(VaR, MCR, SCR)

Assets

Market

value of

assets

Other

Liabilities

Surplus

SCR (over

MCR)

MCR

Risk

Margin

Best

estimate

liabilities

(for non-

hedgeable

risks)

Market

value of

liabilities

(for

hedgeable

risks)

Tech

nic

al p

rovis

ions

Operational risk team Loss event dataOperational risk

AMA model

Data Controls

Die Make or Buy Entscheidung und die Wahl des Systems muss nicht exklusiv sein. Eine offene

Umgebung muss mit der Integration von Produkten verschiedener Hersteller umgehen können.




Massnahmenplan Beispielhafte Aufgabe: Abstimmung mit anderen Vorgängen in der Firma.

Data Gover-nance

Data Architec-

ture

Data Retention

and Archiving

Data Quality

Manage-ment Metadata

Manage-ment

Master Data

Manage-ment

Data Privacy

and Security

Data

Manage-

ment

Supporting topics.

Less impacted areas

that often are

required for

enterprise-wide data

management

The key areas of impact

Solvency II Andere Treiber

Eine Vielzahl widersprüchlicher Anforderungen erzeugen Komplexität auf dem Projekt und

machen Stakeholder Management zu einem zentralen Erfolgsfaktor.

• Geschäftsbereiche fordern Anpassungen

in den Quellsystemen und haben

Priorität-

• Fortlaufend ändernde Reporting-

Anforderungen erfordern ein hohes

Mass an Flexibilität.

• Ad Hoc Analysen erfordern manuelle

Eingriffe und direkten Zugang zu

Modellen und Daten.

• Weder Organisation noch Umsysteme

können angepasst werden für

Risikomanagement.




Kontakt




Kontakt

Dr. Dominic Rau

Director | Financial Risk Management

Deloitte AG

General Guisan-Quai 38, CH-8022 Zurich, Switzerland

Tel/Direct: +41 44 421 61 10 | Cell: +41 79 520 72 38

[email protected] | www.deloitte.ch



Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), a UK private company limited by guarantee, and its network of member firms,

each of which is a legally separate and independent entity. Please see www.deloitte.com/ch/about for a detailed description of the legal structure of DTTL

and its member firms.

Deloitte AG is a subsidiary of Deloitte LLP, the United Kingdom member firm of DTTL.

Deloitte AG is recognised as auditor by the Federal Audit Oversight Authority and the Swiss Financial Market Supervisory Authority.

This publication has been written in general terms and therefore cannot be relied on to cover specific situations; application of the principles set out will

depend upon the particular circumstances involved and we recommend that you obtain professional advice before acting or refraining from acting on any of

the contents of this publication. Deloitte AG would be pleased to advise readers on how to apply the principles set out in this publication to their specific

circumstances. Deloitte AG accepts no duty of care or liability for any loss occasioned to any person acting or refraining from action as a result of any

material in this publication.

© 2012 Deloitte AG. All rights reserved.

Sunlight is the best disinfectant.“ Revision im Risikomanagement - … · 2012-05-21 ·...

Documents

Transcript of Sunlight is the best disinfectant.“ Revision im Risikomanagement - … · 2012-05-21 ·...