Internal control frameworks vaak niet op orde bij verzekeraars

Ook is verbetering mogelijk door handmatige controles te vervangen door geautomatiseerde (systeem)controles en controleraamwerken meer aan te laten sluiten bij nieuwe technologische ontwikkelingen zoals het toepassen van Agile werken en het uitvoeren van RPA’s.

DNB verwacht dat de verzekeraars een robuust intern controleraamwerk hebben voor de beheersing van de risico’s binnen de bedrijfsprocessen en vraagt hierbij uw nadrukkelijke aandacht voor dit onderwerp. DNB zal binnen haar toezicht de opvolging van de noodzakelijke verbeteringen monitoren. 

Onderdelen ICF-onderzoek

In de onderzoeken beoordeelde DNB de effectiviteit en de volledigheid van de key controls, in relatie tot de risico’s van de primaire key bedrijfsprocessen. Vier onderdelen zijn onderzocht: opzet, bestaan en werking, rapportage en evaluatie van het ICF.

De belangrijkste waarnemingen uit het onderzoek 

1. In beleidsdocumentatie of achterliggende documenten is niet vastgelegd hoe primaire bedrijfsprocessen, key risico’s en key controls moeten worden geïdentificeerd, getest, gemonitord en gerapporteerd. Ook is de rol van het tweedelijns risicomanagement binnen het ICF onvoldoende uitgewerkt.
2. De effectieve werking van het ICF kan onvoldoende worden aangetoond. Veel verzekeraars kunnen niet aantonen dat key controls effectief functioneren, noch dat die controls de risico’s binnen de primaire bedrijfsprocessen voldoende mitigeren.
3. Verzekeraars die nieuwe technologische of organisatorische ontwikkelingen, zoals ‘Robotics Process Automation (RPA)’ en ‘agile werken’ hebben geadopteerd, onderkennen in veel gevallen niet de risico’s hiervan, waardoor hun beheersmaatregelen niet meer passend zijn.
4. De controleraamwerken kunnen worden versterkt door een effectievere controlemix te gebruiken van handmatige en geautomatiseerde controlemaatregelen.
5. De rapportage- en evaluatiestructuren van verzekeraars zijn redelijk op orde.

ICF

Meer dan driekwart van de onderzochte verzekeraars scoort onvoldoende of minder op opzet, bestaan en werking. In de meeste gevallen hebben de verzekeraars wel een rapportage- en evaluatiestructuur die voldoende is om te rapporteren over het ICF en te kunnen evalueren.

Figuur 1: score op de onderdelen opzet, bestaan en werking, rapportage en evaluatie

Uit het onderzoek blijkt verder dat de onderzochte verzekeraars voor het grootste gedeelte steunen op handmatige key controls. Gemiddeld 80% van de geïdentificeerde key controls zijn handmatig en gemiddeld 20% geautomatiseerd. Het verder automatiseren van controls zou kunnen leiden tot een efficiënter en effectiever controleraamwerk.

Bij alle verzekeraars in scope onderzocht de Internal Audit functie de beheersing van de primaire bedrijfsprocessen. Verondersteld mag dus worden dat de onderzochte verzekeraars zich bewust zijn van de tekortkomingen in de opzet, bestaan en werking van het ICF.

Innovatie

Uit het onderzoek blijkt dat circa 50% van de onderzochte verzekeraars RPA’s (Robotic Process Automation) inzet binnen haar primaire processen. Van de verzekeraars die RPA’s gebruiken, geeft 60% aan dat de beheersmaatregelen rondom RPA nog in ontwikkeling zijn.

Daarnaast wordt bij 70% van de onderzochte verzekeraars agile gewerkt in onder meer IT Changemanagement of voor het beheersen van de veranderingen van de key processen in de business. Van de groep die Agile werkt, heeft circa 70% de beheersmaatregelen nog niet aangepast aan deze werkwijze.