Sunlight is the best disinfectant.“ Revision im Risikomanagement - … · 2012-05-21 ·...
Transcript of Sunlight is the best disinfectant.“ Revision im Risikomanagement - … · 2012-05-21 ·...
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Audit.Tax.Consulting.Corporate Finance.
„Sunlight is the best disinfectant.“ Revision im Risikomanagement
Financial Risk Management / Dominic Rau / 15.5.2012
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Regulatorische Entwicklungen
Revision im Risikomanagement 2
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Haftpflicht und Sachversicherung / Lebensversicherung illustrativ
Warum Aufsicht Versicherung: Ein fremdfinanzierter Anlagefonds.
Versicherungen und Pensionskassen als institutionelle Investoren
Versicherer sind somit langfristige Anleger mit einer schwer zu bewertenden
Passivseite der Bilanz.
Versicherer kontrollieren ca. ¼ der weltweiten Finanzinvestitionen (Sigma 5/2010)
Revision im Risikomanagement 3
0
50
100
0 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36
premium claim
reserve
0
50
100
150
200
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37
premium claim
reserve
• Langfristige
Zahlungsverpflichtungen
• Zeitversetzt zu den
Prämieneingängen
• Versicherer Investieren einen
wesentlichen Teil unseres
Vermögens.
• Versicherungen &
Pensionskassen machen
zusammen fast 2/3 der
gesamten institutionellen
Investitionen aus.
• Versicherungsaufsicht zum
Schutz der Versicherten und
des öffentlichen Interesses.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Transparenz Im Interesse von Aufsicht und Investoren.
Regulatoren
Sie haben den Auftrag ein Regelwerk zu
installieren und zu überwachen, dass kein
Versicherter unter der Zahlungsunfähigkeit
eines Versicherers zu leiden hat.
Investoren
Sie stellen das Risikokapital zur Verfügung,
ohne das keine Versicherung möglich wäre.
=> Impatient Capital (B. Harrison):
Erwarten Renditen schon nach kurzer Zeit,
z.B. durch Preiszunahme der Aktie.
4
Aufsichtsrecht
Gibt vor, wie langfristige Verpflichtungen zu
bewerten sind.
Bestimmt, wie Risiko bemessen wird und
wieviel Eigenkapital dafür erforderlich ist.
Definiert Kontrollen und Governance.
Investorkommunikation
Um für Investoren attraktiv zu sein, müssen
die Firmen glaubhaft den Wertzuwachs auf
einem unsicheren und langfristigen Geschäft
darlegen.
=> “Wertorientierte Firmensteuerung”.
Transparenz
Ist die Basis für eine Planung des
Kapitaleinsatzes und des erzielbaren Gewinns.
Sie ist die Grundlage der Kommunikation mit
dem Management, den Regulatoren und den
Investoren.
Revision im Risikomanagement
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Solvenz II Die Entwicklung des Regulatorischen Rahmenwerks in Europa
Revision im Risikomanagement 5
Mitte 2009
•CEIOPS consultation papers, e.g. CP58
Informelle Konsultation
•April – Aug. 2010
•Jan – Mar 2011
Ende 2011
•Öffentliche Konsultation
•Kommentare bis by 20 Jan 2012
Next steps (?)
•Q3/12 (*) Omnibus 2
•Q3/12 final QRT
•Q3/12 final Level 2
• Entwürfe für die Vorgaben bezüglich Quantitative Reporting
Templates (QRTs)
• Entwurf der Richtlinien für das Narrative Public Disclosure &
Supervisory Reporting (SFCR & RSR)
• Hinweise zur Anwendung des Proportionalitätsprinzips und
Materialität für die QRTs
(*) das Timing der
nächsten Schritte hängt
von der Annahme von
Omnibus 2 ab.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Solvency II Die wichtigsten neuen Reportinganforderungen.
Revision im Risikomanagement 6
Versicherer werden regelmässig einen umfangreichen Report für den Regulator erstellen müssen
(RSR), aus dem sie Teile auch öffentlich offenlegen müssen (SFCR).
Regelmässiges Reporting Situatives Reporting
Jährlich Jährlich/ Quartal Nach Bedarf
Solvency and Financial
Condition Report
(SFCR)
Regular Supervisory
Reporting (RSR)
Quantitative reporting
Templates (QRTs)
Qualitative und
quantitative Information,
öffentlich publiziert für
Vergleichbarkeit und
Marktdisziplin.
Qualitative und
quantitative Information,
vertraulich dem
Regulator zur Verfügung
gestellt.
Quantitative Information
wird in einem
standardisierten Format
(XBRL Taxonomie) dem
Regulator zur Verfügung
gestellt.
Während vertieften
Untersuchungen oder
nach Eintreten eines
vorab definierten
Ereignisses.
Die Information muss im Solvency II Originalton folgende Anforderungen erfüllen:
a) be relevant, reliable and comprehensible;
b) reflect the nature scale and complexity of the business of the undertaking concerned; and
c) be accessible, complete in all material respects comparable and consistent over time.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Solvency II Übersicht über den Inhalt von SFCR und RSR.
Revision im Risikomanagement 7
• RSR: Information zur aufsichtsrechtlichen Kontrolle in einem vierteljährlichen Bericht, der
folgende Kategorien umfassen muss:
Regular Supervisory Report (RSR)
Activities System of
Governance
Risks and
management
system of the risks
Structure of capital
and management
of the capital
Principles of
evaluation for
Solvency purpose
Solvency and Financial Condition Report (SFCR)
Business and
Performance
System of
Governance Risk Profile
Valuation for
Solvency Purposes
Capital
Management
• SFCR: Öffentliche Information, jährlich publiziert in einem Bericht, der folgende fünf
Kategorien umfassen muss:
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Code Content CP1/11 Scope Public (*) Frequency Materiality?
Assets - D1Investments Data - Portfolio list (detailed list of
investments) - annualBoth Annually
Assets - D1Q Investments Data - Portfolio list - quarterly Both Quarterly
Assets - D1S Structured products Data - Portfolio list Both Annually 4
Assets - D2O Derivatives data: open positions Both Quarterly and Annually
Assets - D2T Derivatives data: historical derivatives trades Both Quarterly and Annually
Assets - D3 Return on investment assets (by asset category) Both Annually
Assets - D4 Investment funds (look-through approach) Both Quarterly and Annually 4
Assets - D5 Securities lending and repos Both Annually
Assets - D6 Assets held as collateral Both Annually
TP - F1 Life and Health SLT Technical Provisions (Annual) Solo Annually
TP - F1Q Life and Health SLT Technical Provisions (Quarterly) Solo 4 Quarterly
TP - F2 Projection of future cash flows (Best Estmitate - Life) Solo Annually
TP - F3 Life obligations analysis Solo Annually 4
TP - F3A
Only for Variable Annuities - Description of guarantees
by productSolo Annually
TP - F3B Only for Variable Annuities - Hedging of guarantees Solo Annually
TP - F4Information on annuities stemming from Non-Life
Insurance obligationsSolo Annually 4
TP - E1 Non-Life Technical Provisions (annual) Solo Annually
TP - E1Q Non-Life Technical Provisions (quarterly) Solo 4 Quarterly
TP - E2Projection of future cash flows (Best Estimate - Non Life)
Solo Annually
TP - E3 Non-life Insurance Claims Information Solo Annually 4
TP - E4 Movements of RBNS Claims Solo Annually 4
TP - E6 Loss distribution profile non-life Solo Annually
TP - E7A Underwriting risks (peak risks) Solo Annually 4
TP - E7B Underwriting risks (mass risks) Solo Annually
Re - J1
Facultative covers non-life (10 most important risks in
terms of reinsured exposure) Solo Annually 4
Re - J2 Outgoing Reinsurance Program in the next reporting year Solo Annually
Re - J3 Share of reinsurers Both Annually
Re - SPV Special Purpose Insurance Vehicles Both Annually
4
4
Solvency II Ein Eindruck des Umfangs der QRTs
Revision im Risikomanagement 8
Code Content CP1/11 Scope Public (*) Frequency Materiality?
BS-C1 Balance sheet Both 4Annually, and quarterly
in certain cases
BS-C1B Off-balance sheet items Both Annually
BS-C1D Assets and liabilities by currency Both Annually 4
Country - K1 Activity by country Solo Annually 4
Cover - A1A Premiums, claims & expenses - annual data Both Annually 4
Cover - A1Q Premiums, claims & expenses - quarterly data Both 4 Quarterly 4
OF - B1A (solo) Own funds (annual template - for solo entities) Solo Annually
OF - B1A (group) Own funds (annual template - for groups) Group 4 Annually
OF - B1Q (solo) Own funds (quarterly template - for solo) Solo Quarterly
OF - B1Q (group) Own funds (quarterly template - for groups) Group Quarterly
VA - C2A Summary analysis of changes in BOF Solo Annually
VA - C2B Analysis of changes in BOF due to investments Solo Annually
VA - C2C Analysis of changes in BOF due to technical provisions Solo Annually4
VA - C2D
Analysis of changes in BOF due to own debt and other
itemsSolo Annually
SCR - B2ASCR - for undertakings on Standard Formula or Partial
Internal Models Both 4 Annually
SCR - B2B SCR - for undertakings on Partial Internal Models Both 4 Annually
SCR - B2C SCR - for firms on Full Internal Models Both 4 Annually
SCR - B3A SCR - Market risk - basic information Both Annually
SCR - B3B SCR - Counterparty default risk Both Annually
SCR - B3C SCR - Life underwriting risk Both Annually
SCR - B3D SCR - Health underwriting risk Both Annually
SCR - B3E SCR - Non-life underwriting risk Both Annually
SCR - B3F SCR - Non-life catastrophe risk Both Annually
SCR - B3G SCR - Operational risk Both Annually
MCR - B4AMinimum Capital Requirement (except for composite
undertakings) Solo 4 Quarterly and Annually
MCR - B4B Minimum capital Requirement - Composite undertakingsSolo 4 Quarterly and Annually
Code Content CP1/11 Scope Public (*) Frequency Materiality?
G01 Undertakings in the scope of the group Group 4 Annually
G03 (Re)insurance Solo requirements Group Annually
G04 Other regulated entities incl. holding companies Group Annually
G14 Technical Provisions: Contribution to group TP Group Annually
G20Contribution to Group SCR with Deduction and
AggregationGroup
Annually
IGT1IGT involving equity-type transactions, debt and asset
transferGroup Annually 4
IGT2
IGT - Derivatives (include guarantees but exclude other
contingent liabilities and off balance sheet items which
are to be reported in IGT4)
Group Annually 4
IGT3 IGT - Internal Reinsurance Group Annually 4
IGT4IGT - Internal Cost Sharing, Other Contigent Liabilities &
Off Balance Sheet Items and Other Types of IGTGroup Annually 4
RC Risk concentration Group 4 Annually 4
(*) where quarterly templates are described as public, this is to indicate that the quarterly template will be used for annual
public disclosure. It does not imply a quarterly public disclosure requirement
No change made to the cells/descriptions
Minimal change to definition/wording of cells
Significant change or new requirement
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Qualität & Prüfbarkeit
Revision im Risikomanagement 9
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Änderungen in der Schweiz Sind wir nach dem SST gut vorbereitet auf Solvency II?
Revision im Risikomanagement 10
Die Regulatorischen Anforderungen in
der Schweiz fokussieren auf die Säule 1.
Beispiel Datenqualität:
• AVO Art. 52 Datenerhebung (1.1.2006): Das
Versicherungsunternehmen erhebt und erfasst die
relevanten Daten in einer Form, welche die
Berechnung des Zielkapitals, des risikotragenden
Kapitals sowie der marktnahen Rückstellungen
ermöglicht.
• Richtlinie zum SST, 8.4.4 Dokumentation der
Internen Modelle (2008): Die Dokumentation äussert
sich zur Art und Weise, wie die Datenqualität und
insbesondere die Qualität der Information über die
Positionen und Exposures gesichert wird.
• Rundschreiben zum SST (2008): Die
verwendeten Daten müssen vollständig, korrekt
und zeitnah sein. Falls zu wenig relevante Daten
vorhanden sind, können auch
Expertenmeinungen beigezogen werden. …
Solvency II formuliert auch in der zweiten
Säule klare Anforderungen. Beispiel Datenqualität, aus dem Level 2 Text:
Es scheint, dass die Schweizer Unternehmen nach dem SST in der Säule 1 mehrheitlich gut aufgestellt sind.
In der zweiten Säule erwarten wir, dass sich die Anforderungen in der Schweiz noch konkretisieren werden.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
System of Governance in Solvency II Solvency II enthält schon in der Direktive klare Anforderungen.
Revision im Risikomanagement 11
Risk management function
• Implements system to identify, measure, monitor,
manage and report risks
• Designs, implements, tests, validates, documents
internal model
• Must be effective and well integrated in the decision
making process
Actuarial function
• Coordinates and reviews the calculation of
technical provisions
• Responsible for sufficiency of data and
appropriateness of methods
• Expresses an opinion on UW policy
• Contributes to the risk management system
Policies
• Proportionate to the nature, scale and complexity of the operations
• Written policies must exist for risk management, internal control, internal audit.
• A data policy with standards, assumptions made and processes and a data dictionnary (e.g. TP3, TSIM10)
• A model validation policy (TSIM18) and a change policy (Art 115 dir.) must exist
Internal audit function
• Evaluates the adequacy and effectiveness of the
internal control system
• Must be objective and independent from operational
functions.
Compliance function
• Advises on compliance with the laws and
regulations
• Assesses impact of changes of law and the
compliance risk
Während die meisten Schweizer Verischerungsunternehmen ein funktionierendes Governance-System
haben, ist doch die Formalisierung und konzeptionelle Klarheit der Aufgabenteilung und Policies unter
Solvency II eine neue Erfahrung für die meisten.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
MCR
• Die MCR-Berechnung und die verwendetend
Datenquellen müssen prüfbar sein. (Art. 129)
• Der Revisor muss Nichteinhaltung von MCR oder
SCR der Aufsicht melden. (Art. 72)
SFCR/ RSR/ QRTs
• CEIOPS denkt es sei angebracht, einzelne Teile
der aufsichtsrechtlichen Berichterstattung und der
Offenlegung einer externen Prüfung zu unterziehen
• Der genaue Umfang und das erforderliche Mass an
Sicherheit wird erst in Level 3 festgelegt werden.
Verhalten der Industrie
• Das Aktuariat hat meist ein internes Kontrollsystem
und ist Teil der externen Finanzrevision.
• Einzelne Versicherungsunternehmen haben
bereits interne Kontrollsysteme für SST.
• Die grösseren Unternehmen bereiten sich heute
schon vor auf die bevorstehenden Anforderungen.
Prüfbarkeit Was das heisst und wo es gefordert wird.
Prüfbarkeit unter Solvency II
Standards
• Die ISA Standards vom IAASB sind Grundlage für
die meisten Audits (und die Schweizerischen PS).
• ISAE 3000 für Assurance Aufträge, die keine
Audits oder Reviews sind.
Levels of Assurance
• Audit/ positive assurance: Die Prüfgesellschaft
(PG) bestätigt, dass die publizierten Informationen
materiell richtig sind.
• Review/ negative assurance: Die PG bestätigt,
dass keine Fehler gefunden wurden.
• Plausibilitätsprüfung: Die PG bestätigt, dass die
Prozesse sinnvoll gestaltet sind.
• Keine assurance: Vereinbarte Prüfungshandlungen
Materialität
• Assurance geschieht immer gegenüber einer
Materialitätsdefinition, was auch den Prüfaufwand
endlich hält.
Standards der Prüfbarkeit
Es ist unklar, wann und in welchem Grade Prüfbarkeit eine Anforderung wird. Es besteht also kein
unmittelbarer Handlungszwang.
Die Einführung eines prüfbaren Kontrollsystems hat aber sehr viele positive Effekte, wenn man sich auf
materielle Aspekte konzentriert und gleichzeitigen an der Industrialisierung der Prozesse arbeitet.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Reality-Check
Revision im Risikomanagement 13
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Status Quo Risiko Reporting-Prozesse sind über die Zeit gewachsen.
Revision im Risikomanagement 14
• Interne Datensätze
• Buchhaltung
• Bestandsverwaltung
• Schadendaten
• Rückstellungen
• Externe Datensätze
• Markt-Zeitreihen
• OpRisk Schäden
• Nat Cat Events
• Extrahiere und
transformiere
Information
• Validierung,
Qualitätssicherung,
Vervollständigung,
Fehlerkorrektur
• Experten-
Einschätzungen
• Prä-Aggregation
• Parameter-
Kalibrierung
• Economic scenario
generation
• Sensitivitäten und
Exposure-Funktionen
• Erfahrungsanalyse
• Simulationsmodell/
Standard-Formel
• Berechnung der
Kapitalanforderung
• Aggregation und
Konsolidierung
• Allokation der
Kapitalkosten auf die
Geschäftsbereiche
• Validierung der
Resultate
• Verfassen der
Reports
• Publikation und
Verbreitung der
Reports
2. Beschaffung 1. Datenquellen 3. Vorbereitung 4. Rechnung 5. Reporting
7. Archivierung und Historisierung
6. Durchführung und Kontrolle
• Inputs und Outputs der
Teilmodelle sind nicht
kohärent definiert
• Modellversionen werden nicht
systematisch deployed
• Wenig Kontrolle über die
tatsächlice Implementierung
• Prozesse sind dezentral
• Datenqualitäts-Checks sind
informell oder reine Sign-Offs
• Oft wird eine Mischung
verschiedener IT-Extrakte aus
den operativen Systemen
verwendet.
• Information zum Ursprung der
Daten geht verloren oder ist
nur in Mails archiviert.
Reports sind
unzugänglich
und schwierig
zu reprodu-
zieren. • Viele manuelle Anpassungen sind
erforderlich, um die Daten auf eine
gemeinsame Basis zu bringen.
Sich häufig ändernde Anforderungen und der hohe Spezialisierungsgrad der Akteure hat dazu geführt, dass mehr
Gewicht auf Flexibilität und Offenheit der Umgebungen gelegt wurde als auf Kontrollen und Industrialisierung.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Status Quo Erfahrungen aus der QIS5bis malen dasselbe Bild
Revision im Risikomanagement 15
Vergleichbarkeit der Resultate
• Grosse Veränderungen der Zahlen zum Vorjahr bringen das Management
in einen Erklärungsnotstand. Veränderungsanalysen sind essentiell für die
Argumentation:
• Veränderte Methoden, Annahmen, Granularität
• Verändertes Marktumfeld
• Operationelle Fehler
• Vergleichbarkeit mit Finanzberichterstattung und MCEV
Datenlage
• Verfügbarkeit:
• Benötigte Daten sind über viele Abteilungen verteilt.
• Die Datengrundlage des letzten Jahres ist nicht mehr vollständig
zugänglich
• Die Daten haben eine andere Granularität
• Qualität:
• Keine Standardformate, klar definierten Datenflüsse
• Nicht nachvollziehbare Manipulationen
• Keine klaren Validierungsregeln
Systeme
• Berechnungen in einer Vielzahl von Best-of-Breed Systemen
• Einzelne Transformationen in Excel
The Solvency Capital Required (SCR)
and the Risk Margin (RM) reflect
fairly, in all material respects, the risk
profile and the cost of holding capital
against this risk, in accordance with
the Solvency II Directive
(2009/138/EC) of the European
parliament and of the council.
Is Positive
Assurance
Possible?
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Reality-Check Sind wir gut aufgestellt, für was da kommt?
Revision im Risikomanagement 16
Mehr Berichte müssen in
kürzerer Zeit erstellt werden,
basierend auf der gleichen
Datenbasis
unter Einbezug derselben
Mitarbeiter.
Ressourcenengpässe und
erhöhte Fehleranfälligkeit
werden zur Herausforderung.
Sowohl qualitäts- und effizienz-
steigernde Massnahmen als
auch verbesserte
Kontrollsysteme werden
vermehrt von Interesse.
Ohne grundlegende
Massnahmen wird die
Berichtsaison für viele
Unternehmen nicht mehr zu
schaffen sein.
Reporting-Fahrplan
«Fast Close»
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Reality-Check Anforderungen an eine Umgebung.
Revision im Risikomanagement 17
2. Collection 3. Preparation 4. Calculation 5. Reporting
ET
L
Data
qualit
y
ESG
Experience
analysis
Portfolio replication
Life TP
Non life TP -
Premium
Life risk
Non life risk
Health risk
Market risk
Default risk
Op. risk
Health TP
Assets
Valuation
SFCR
Public disclosure
Internal Monitoring
1. Data sources
Liabilities data
Assets data
External market
data
Other input data
Model points
Accounting data
6. Operation and monitoring
7. Data historisation and archiving
Security Workflow & monitoring Scalability & performance
Data storage
Non life TP -
C.O.
Aggre
gatio
n
Capital
planning KRI
ORSA Stress test
& scenarios
RSR Regulatory submissions
Ad hoc Requests
Risikoreporting ist eine End-to-End Wertschöpfungskette. Es umspannt fast alle Bereiche einer Firma. Eine IT Plattform für
Risikomanagement muss sich bei einer grossen Anzahl von Quellsystemen bedienen und sollte sehr verschiedene und
spezialisierte Tools integrieren können.
Heute zeigt sich, dass insbesondere in der Schweiz Firmen schon ziemlich reife Kenntnisse zur Modellierung haben, aber
immer noch unter der magenlnden Integration der Tools und nicht zur Verfügung stehenden Daten leiden.
Eine grosse Herausforderung für die Hersteller einer Risikomanagement Plattform sind die grossen Kontraste der
Anforderungen: Kontrolle, Nachvollziehbarkeit und Prüfbarkeit auf der einen Seite, Flexibilität und sich immer wieder
verändernde Anforderungen auf der anderen Seite.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Es gibt mehr Leute, die kapitulieren, als solche, die scheitern. Henry Ford
Revision im Risikomanagement 18
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Was Nun?
Revision im Risikomanagement 19
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Ist Prüfbarkeit ein Ziel? «Der Preis ist, was wir bezahlen. Der Wert ist, was wir bekommen.»
Revision im Risikomanagement 20
Fokus auf Werthaltigkeit – ohne Hektik.
Wenn Sie ein genaues Verständnis der Risiken in Ihrem Unternehmen haben, können Sie Ihre
Ressourcen gezielt auf die relevanten fokussieren.
Kostenkontrolle Effizienzsteigerung
• Fokussierung auf materielle Prozesse
• Szenario-Analyse
• zur vertieften Kenntnis des Risikoprofils
• zur unsicheren regulatorischen Entwicklung
• Das Rad nicht neu erfinden:
• Referenzmodelle für Prozesse und Organisation
• Erwiesene Dokumentstrukturen/ Vorlagen für
Policies
• Frühe Bekenntnis des Managements zu einer
Strategie
• Verbesserte Industrialisierung und
Systemunterstützung verbessern Kontrollen und
verkürzen Reporting-Prozess
• Dokumentation zuerst dort, wo sie Freiraum in der
Personalplanung ermöglicht
• Klare Ansagen in der Erstlieferung und Zugriff auf
gute Erklärungen der Veränderungen verhindern
aufwändige Nachfragen der Aufsicht
• Fokus auf Bereiche, wo Handlungsoptionen
erschlossen werden.
Prüfbarkeit als Ziel führt zu einem verbesserten Risikobewusstsein, hilft die Effizienz zu
steigern und bereitet vor für die Kommunikation mit der Aufsicht und Rating Agenturen.
Methoden und Vorgehensweisen aus der Revision helfen bei der Rationalisierung der
Risikomanagement-Prozesse.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Vorgehen Viele sind hartnäckig in Bezug auf den einmal eingeschlagenen Weg -
wenige in Bezug auf das Ziel.
Revision im Risikomanagement 21
Analyse der Materialität und Priorisierung der Aktivitätsfelder.
Installation von Kontrollen und Erfüllung der regulatorischen Vorgaben.
Effizienzsteigerung durch Standardi-sierung, Industriali-sierung und Infra-struktur.
Ein Zyklus der graduellen
Verbesserung, der zulässt, auf
neue Erkenntnisse zu reagieren
und der Risikokultur Zeit lässt, der
Entwicklung zu folgen.
Fokus
• Investition in Risikoidentifikation hat oft
ein besseres Preis-Leistungs-
Verhältnis als aufwändige Modelle.
• Keine langwierigen Spezifikationen.
Dokumentation, dann Code.
• Solides Test- und Deploymentkonzept
direkt aus dem Business in eine solide
IT Umgebung.
Keine Erosion
• Keine Zunahme bei der Anzahl fester
Mitarbeiter nur wegen Governance –
verbesserte Governance muss die
Arbeit erleichtern.
• Einheitliche Reporting-Granularität und
top-down Materialitätsdefinition.
• Klarheit über Entwicklungs-, Betriebs-
und Revisionskosten.
Pflichtenteilung
• Zwischen Risikomanagement und
Aktuariat: Aktuariat bewertet,
Risikomanagement “stresst”.
• Zwischen 2nd und 3rd Line of Defense.
• Zwischen IT und Business in einem
klaren Deployment Prozess. RM
und/oder Aktuariat entwickeln, IT
betreibt.
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Nur ein Vorgehen mit kombiniert organisatorischen und technologischen Massnahmen verspricht Erfolg.
Vorgehen Kommunizierbare Schritte verschaffen Raum und verhindern Aktivismus.
Revision im Risikomanagement 22
Organisatorische Massnahmen Technologische Massnahmen
• Klare Prozesse und Zuständigkeiten
• Empowerment der Mitarbeiter zu echter Verantwortlichkeit
durch Zugang zu Resultaten
• Delegation von wiederkehrenden Arbeiten an jüngere
Mitarbeiter (erfordert Dokumentation)
• Die Anpassung der Business-Architektur in Phasen,
ausgerichtet auf andere Entwicklungen
• Workflow-Unterstützung in Multi-Tool Umgebungen
• Keine Arbeitsplatz-Versionen im operativen Reporting,
Trennung von Entwicklung durch ein Deployment
• Einheitliche Metadaten, integrierte Datenspeicherung
• Transparente Datenvalidierung
• Zugang zu resultaten und Testrechnungen vor einem
formalen Sign-Off
• Zugang zu Plausibilitäts-Checks
Priorisierung Analyse Massnahmenplan Umsetzung
Definition der Reifegrade
und Materialitätskriterien.
Aufnahme der End-to-End
Prozesses.
Aufnahme der wesentlichen
Inputs und zugehöriger
Sensitivitäten.
Erstellung einer Heat Map.
Green-Spot Analyse der
für gut befundenenen
materiellen Prozesse.
Vertiefte Gap-Analyse aller
anderen materiellen
Prozesse.
Erfassung der Prozesse
und Erstellung der Doku,
wo diese noch fehlte.
Definition von Massnah-
men und Arbeitspaketen.
Zeit- und Budgetplanung.
Kommunikation mit und
Ratifizierung durch die
Aufsicht.
Probeweise Ausübung von
Kontrollen, «Dry Run».
Ein Prozess in Phasen,
abgestimmt auf andere
Entwicklungen in der
Firma.
Ein IT / Change Projekt:
Planung, Spezifikation,
Umsetzung und
Qualitätskontrolle.
2 Wochen – 2 Monate 2 - 4 Monate 2 Wochen - 2 Monate 4 Monate - Jahre
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Priorisierung Beispielhafte Aufgaben.
Revision im Risikomanagement 23
Erfassen der Prozesse & Zuständigkeiten Erfassen der Datenflüsse
Definition von Reifegrad und Materialität Erfassen der Technischen Architektur
ID Description Materiality Documented Effectiveness Quality Maturity
33.1 Procure Portfolio Information Nat Cat 5% y 2 2 2
33.2 Calibrate Parameters Nat Cat 4% y 1 2 1.5
34.1 Update Reserve Risk Parameters 6% y 1 1 1
35.1 Upate Economic Scenarios 25% n 2 2 2
35.2 Download FM Data 20% y 2 1 1.5
35.3 Apply Manual Adjustments to FM Ptf 25% n 2 0 1
36.1 Quality-check economic balance sheets 3% y 2 1 1.5
ID Description Materiality Documented Effectiveness Quality Maturity
33.1 Procure Portfolio Information Nat Cat 5% y 1.9 1.9 1.9
33.2 Calibrate Parameters Nat Cat 4% y 0.96 1.92 1.44
34.1 Update Reserve Risk Parameters 6% y 0.94 0.94 0.94
35.1 Upate Economic Scenarios 25% n 1.5 1.5 1.5
35.2 Download FM Data 20% y 1.6 0.8 1.2
35.3 Apply Manual Adjustments to FM Ptf 25% n 1.5 0 0.75
36.1 Quality-check economic balance sheets 3% y 1.94 0.97 1.455
Qua
lity
FairScore Category
Score Category Definition Effectiveness Definition
1 Excellent 1 Excellent Process in place, always applied
as intended
Effective Process in place and ready for
auditing.
Weak
2 Fair 3 Adequate Process is sometimes not
operational
Adequate Minor weaknesses in process. Needs
some improvement.
Deficient Adequate Excel lent 3 Weak 4 Deficient Process most of the time not
operational
Deficient Deficiency in process. Needs
improvement.
Performance
Excel lent
Not permitted Effective Excellent
Process in place and
generally reliable. Plans
agreed for improvement
Deficient Adequate Effective
Considers how well the process is designed and
how well it should work in theory.
Process effectiveness (heatmap) definitions
Ineffective Deficient Adequate
Process not in place or
known issues exist.
Considers the way the process is operated in practice,
if it is applied when it should be and in the way
intended by its designer
Definition
Process in place, reliable and
documented
Quality of design Performance
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Priorisierung Beispielhafte Aufgaben.
Revision im Risikomanagement 24
Erfassen der Prozesse & Zuständigkeiten Erfassen der Datenflüsse
Definition von Effektivität, Reifegrad und Materialität Erfassen der Technischen Architektur
Performance
Qu
alit
ät
Effektivität
Description MaterialityDoc
?
Quality of
design
Performan
ce
Effectiven
ess
Risk identif ication process 3 2 2 4 No
Model validation process 3 1 1 1 yes
Procure portfolio information Nat Cat 3 1 1 1 yes
Calibrate parameters Nat Cat 2 2 1 2 yes
Update Reserve Risk Parameters 3 2 2 4 yes
Update ecomonic scenarios 3 1 1 1 No
Dow nload FM data 3 1 2 2 yes
Apply manual adjustments to FM Ptf 3 1 3 3 No
Quality check economic balance sheet 1 1 2 2 yes
Processes
Methodology
Process maturity rating (Red,
Amber, Green)
Ineffective Deficient
Deficient Adequate
Adequate
Adequate
Effective
Effective Excellent
Reifegrad und Materialität
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Analyse Beispielhafte Aufgaben.
Revision im Risikomanagement 25 Revision im Risikomanagement 25
Vervollständigung der Dokumentation Erstellen eines Katalogs der Kontrollen
Walk-Through Workshops Technische Prüfung
• Sind Kontrollen definiert,
wo man sie erwarten
würde?
• Kennen die involvierten
Mitarbeiter die Kontrollen?
• Werden sie gelebt?
• Sind weitere Kontrollen
sinnvoll und wären sie
technologisch umsetzbar?
Datenqualität
Modellvalidierung
Forensische Prüfung
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Massnahmenplan Beispielhafte Aufgabe: Wahl des Systems, Make or Buy.
Buy
Systeme bleiben meist für 10 und mehr Jahre im Einsatz. Die Einführung eines
Risikomanagementsystems stellt weichen und erfordert eine saubere Evaluation.
Make
• 20-25% billiger
• Innovation
• Wissenstransfer
• Import eines
geprüften
Prozessmodells
• 100% fit
• Lernprozess
• Flexibilität
• Firmengeschichte
Policy administration and
claims data
Investment management
data
Balance sheet outputPreparationData sources Models
Global assumptions data
Sales projection dataModel point file
creation
Model point file
grouping
Experience analysis
and assumption
setting
In force
Historic
Asset allocations
Asset and liability
modelling
(Deterministic,
stochastic, asset,
tax)
Counterparty
exposure
modelling
MPFs
Assump-
tions
Capital
calculations
Risk and capital
aggregation
(VaR, MCR, SCR)
Assets
Market
value of
assets
Other
Liabilities
Surplus
SCR (over
MCR)
MCR
Risk
Margin
Best
estimate
liabilities
(for non-
hedgeable
risks)
Market
value of
liabilities
(for
hedgeable
risks)
Tech
nic
al p
rovis
ions
Operational risk team Loss event dataOperational risk
AMA model
Data Controls
Die Make or Buy Entscheidung und die Wahl des Systems muss nicht exklusiv sein. Eine offene
Umgebung muss mit der Integration von Produkten verschiedener Hersteller umgehen können.
Revision im Risikomanagement 26
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Massnahmenplan Beispielhafte Aufgabe: Abstimmung mit anderen Vorgängen in der Firma.
Data Gover-nance
Data Architec-
ture
Data Retention
and Archiving
Data Quality
Manage-ment Metadata
Manage-ment
Master Data
Manage-ment
Data Privacy
and Security
Data
Manage-
ment
Supporting topics.
Less impacted areas
that often are
required for
enterprise-wide data
management
The key areas of impact
Solvency II Andere Treiber
Eine Vielzahl widersprüchlicher Anforderungen erzeugen Komplexität auf dem Projekt und
machen Stakeholder Management zu einem zentralen Erfolgsfaktor.
• Geschäftsbereiche fordern Anpassungen
in den Quellsystemen und haben
Priorität-
• Fortlaufend ändernde Reporting-
Anforderungen erfordern ein hohes
Mass an Flexibilität.
• Ad Hoc Analysen erfordern manuelle
Eingriffe und direkten Zugang zu
Modellen und Daten.
• Weder Organisation noch Umsysteme
können angepasst werden für
Risikomanagement.
Revision im Risikomanagement 27
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Kontakt
Revision im Risikomanagement 28
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Kontakt
Dr. Dominic Rau
Director | Financial Risk Management
Deloitte AG
General Guisan-Quai 38, CH-8022 Zurich, Switzerland
Tel/Direct: +41 44 421 61 10 | Cell: +41 79 520 72 38
[email protected] | www.deloitte.ch
Deloitte-LBG UK screen 4:3 (19.05 cm x 25.40 cm)
© 2012 Deloitte AG. Private and confidential.
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), a UK private company limited by guarantee, and its network of member firms,
each of which is a legally separate and independent entity. Please see www.deloitte.com/ch/about for a detailed description of the legal structure of DTTL
and its member firms.
Deloitte AG is a subsidiary of Deloitte LLP, the United Kingdom member firm of DTTL.
Deloitte AG is recognised as auditor by the Federal Audit Oversight Authority and the Swiss Financial Market Supervisory Authority.
This publication has been written in general terms and therefore cannot be relied on to cover specific situations; application of the principles set out will
depend upon the particular circumstances involved and we recommend that you obtain professional advice before acting or refraining from acting on any of
the contents of this publication. Deloitte AG would be pleased to advise readers on how to apply the principles set out in this publication to their specific
circumstances. Deloitte AG accepts no duty of care or liability for any loss occasioned to any person acting or refraining from action as a result of any
material in this publication.
© 2012 Deloitte AG. All rights reserved.