Zes bouwstenen voor het beoordelen van de kwaliteit van de databeheersing onder SII

In control van datakwaliteit onder Solvency II

17 juni 2016
In dit artikel:

De nieuwe Europese wetgeving Solvency II (hierna SII) is per 1 januari 2016 een feit. Als voorbereiding hierop zijn verzekeraars de afgelopen jaren druk bezig geweest met de implementatie van de SII-vereisten. Specifiek onderdeel van SII is de beheersing van de kwaliteit van de data die gebruikt worden voor de berekening van het vermogen dat naar verwachting nodig is om alle lopende verzekeringsverplichtingen te kunnen dekken (technische voorzieningen). De Nederlandsche Bank (DNB) heeft aangekondigd hier in 2016 onderzoek naar te doen bij verzekeraars. SII is een principle based en risicogebaseerde richtlijn en geeft geen concrete handvatten om aan de datakwaliteitseisen te voldoen. Dit maakt het voor verzekeraars een uitdaging om inzicht te krijgen in hoeverre wordt voldaan aan de gestelde SII-datakwaliteitseisen. In dit artikel krijgt u een toetsingskader met zes bouwstenen aangeboden, dat ondersteunend kan zijn bij het beoordelen van de kwaliteit van de databeheersing onder SII.

Om per 1 januari 2016 volledig SII-compliant te zijn, moeten verzekeraars de kwaliteit van de data kunnen aantonen, dat wil zeggen dat ze geschikt, volledig en juist zijn. Dit artikel geeft inzicht in de eisen die de SII stelt aan datakwaliteit, in de vorm van een uit de SII afgeleid toetsingskader dat bestaat uit zes bouwstenen. Deze bouwstenen kunnen als basis dienen om de kwaliteit van het geïmplementeerde ‘SII control framework’ voor datakwaliteit te beoordelen.

Het toetsingskader is ontwikkeld na literatuur- en praktijkonderzoek. [CHAN14] Het praktijkonderzoek heeft plaatsgevonden bij het SII Data Quality programma van een van de grootste verzekeraars in Nederland. Het literatuuronderzoek is gebaseerd op literatuur over SII, datamanagement en interne (data)beheersing. Op basis van het literatuuronderzoek is een geïntegreerd toetsingskader voor datakwaliteit ontwikkeld. In het praktijkonderzoek is het ontwikkelde toetsingskader gevalideerd door een expertgroep van vijf deskundigen die werkzaam zijn bij (grote) verzekeraars.

Dit artikel begint met de achtergrond van SII en de betekenis van datakwaliteit binnen SII. Vervolgens wordt ingegaan op de gebruikte literatuur voor het toetsingskader, waarna een inhoudelijke weergave volgt van de zes belangrijkste bouwstenen waaruit een control framework moet bestaan om aan de datakwaliteitseisen van SII te kunnen voldoen.

Een uitgebreide beschrijving van het toetsingskader is te vinden in [CHAN14].

SII en datakwaliteit

 

SII is bedoeld om de financiële gezondheid van de verzekeringsmaatschappijen te garanderen. Het belangrijkste oogmerk is ervoor te zorgen dat ze moeilijke periodes kunnen overleven, waardoor klanten (polishouders) worden beschermd en de stabiliteit van het financiële stelsel als geheel in stand blijft.

 

SII geeft verzekeraars richtlijnen om de solvabiliteit te beoordelen, risico’s inzichtelijk te maken en te beheersen en hierover te rapporteren aan de toezichthouder. De kapitaalberekeningen die hierbij horen, kunnen op basis van een standaardmodel of (partieel) intern model worden uitgevoerd. Deze modellen moeten worden gevoed met verschillende soorten data, waaronder bijvoorbeeld polisdata uit verzekeringstechnische administraties. In verzekeringstechnische administraties wordt alle informatie met betrekking tot polissen en claims geadministreerd. Met de modellen is het mogelijk diverse scenarioberekeningen te modelleren en de financiële omvang van risico’s te bepalen. Hiermee kan het kapitaal worden berekend dat de verzekeraar dient aan te houden om deze risico’s af te dekken. De kwaliteit van deze berekeningen hangt af van de kwaliteit van de onderliggende data.

 

SII stelt daarom eisen aan de kwaliteit van deze data. SII stelt gelijke datakwaliteitseisen aan data die worden gebruikt in het interne model, in het standaardmodel en in externe rapportages. Als de kwaliteit van de data niet aan de gestelde criteria voldoet, dan voldoet de berekening van de technische voorziening ook niet. SII eist daarom dat de datakwaliteit wordt beoordeeld en het management geïnformeerd wordt over de uitkomsten van deze beoordeling.

Schermafbeelding 2016-06-15 om 10.09.46

 

SII-PILAREN

Net als de Basel II regelgeving kent SII drie pilaren waarin de kwantitatieve eisen, kwalitatieve eisen en rapportagevereisten zijn gedefinieerd:
• Pilaar 1: kwantitatieve eisen;
• Pilaar 2: kwalitatieve eisen;
• Pilaar 3: rapportage.

In figuur 1 is een schematische weergave opgenomen van de drie pilaren. Hierna volgt een toelichting op deze pilaren.

Pilaar 1

Pilaar 1 van SII beschrijft de kwantitatieve kapitaaleisen voor berekening van technische voorzieningen en het bepalen van de Solvency Capital Requirement (SCR) en de Minimum Capital Requirement (MCR). De technische voorziening is het vermogen dat een verzekeraar naar verwachting nodig heeft om alle lopende verzekeringsverplichtingen te kunnen dekken. De waardering van de technische voorzieningen vindt onder SII plaats op marktwaarde en bestaat uit een best estimate-berekening van de verplichtingen en een aanvullende risicomarge. De marktwaarde van de best estimate wordt bepaald als de contante waarde van de toekomstige kasstromen, dit is een berekening van de huidige waarde van de toekomstige uitkeringen minus de nog te ontvangen premies. De risicomarge bestaat uit de kapitaalkosten om het verplichte kapitaal (SCR) aan te houden voor onafdekbare risico’s. De kwaliteit van de data is van cruciaal belang omdat de data in de verzekeringstechnische administraties onder andere worden gebruikt om de technische voorzieningen te berekenen. SII stelt daarom de eis dat de data geschikt, volledig en juist moeten zijn. In figuur 2 is de SII-balans schematisch toegelicht.

Schermafbeelding 2016-06-15 om 10.11.35

De SCR is het kapitaal dat moet worden aangehouden om ervoor te zorgen dat de verzekeraars de komende twaalf maanden aan hun verplichtingen kunnen voldoen en hun risico’s kunnen afdekken met een zekerheid van 99,5 procent. Deze risico’s zijn te classificeren in de categorieën marktrisico, tegenpartijrisico, verzekeringstechnisch risico (leven, schade en zorg) en operationeel risico. De SCR-berekeningen kunnen op basis van een standaardmodel of een intern model worden uitgevoerd. Het gebruik van een intern model heeft de goedkeuring nodig van DNB. De MCR is de minimum-kapitaaleis en de drempel waaronder DNB zal ingrijpen. Wanneer dat gebeurt, kan een verzekeraar zijn vergunning kwijtraken.

Datakwaliteit is cruciaal in pilaar 1, omdat de data die gebruikt worden bij de berekeningen direct van invloed zijn op de uitkomst van de berekeningen. In figuur 3 is te zien dat data uit verschillende bronsystemen worden ontsloten. Het ontsluiten van data gebeurt in de praktijk veelal via ETL-processen (Extract, Transform, Load) waarna de data centraal worden opgeslagen en geordend in een datawarehouse. De data worden verzameld en bewerkt om uiteindelijk risicoberekeningen te laten maken door het kasstroommodel. De output van het kasstroommodel wordt vaak geëxporteerd naar End User Computing (EUC) applicaties, bijvoorbeeld Excel. In deze applicaties worden handmatige aanpassingen uitgevoerd aan de berekeningen om vervolgens de vereiste SII-rapportages op te kunnen stellen. In dit hele proces moet geborgd worden dat de data geschikt, volledig en juist zijn. Zo mogen er bijvoorbeeld geen invoerfouten zitten in de verzekeringstechnische administraties (juistheid), mag er niets verloren gaan tijdens opslag, transport, verwerking en berekening van de kapitaalsvereisten door het kasstroommodel (volledigheid) en moeten alle data passend zijn voor het beoogde gebruik door het kasstroommodel (geschiktheid). Verder moet het gebruik van EUC-applicaties op een gecontroleerde wijze plaatsvinden om te borgen dat geen fouten worden gemaakt tijdens het handmatig bewerken van data (juistheid en volledigheid). Het continu monitoren van dit proces en het rapporteren hierover, moet zekerheid geven of er aan de datakwaliteitseisen wordt voldaan.

Schermafbeelding 2016-06-15 om 10.17.17

Pilaar 2

Pilaar 2 beschrijft de eisen voor de organisatie-inrichting van verzekeraars. Onder meer moeten verzekeraars een goede governancestructuur en een adequaat systeem van interne (risico)beheersing hebben. Ook moeten verzekeraars over een transparante organisatiestructuur beschikken die adequaat is. Dat wil zeggen dat de verdeling van bevoegdheden duidelijk is en dat verantwoordelijkheden correct van elkaar gescheiden zijn. Er gelden bovendien eisen voor bestuurders en overige personen op sleutelfuncties. Deze eisen houden in dat personen over adequate professionele kwalificaties, kennis en ervaring dienen te beschikken om goed, passend en prudent management uit te kunnen oefenen. Deze personen moeten daarnaast een goede reputatie en persoonsintegriteit bezitten.

Kijken we naar datakwaliteit in pilaar 2, dan zien we dat datagovernance en databeheersing nodig zijn om aan de eisen te kunnen voldoen. Datagovernance is nodig om rollen en verantwoordelijkheden rond datakwaliteit te definiëren. Het systeem van databeheersing moet zorgen voor beleid en procedures voor datakwaliteit, toezicht op de naleving hiervan en continue monitoring van dit proces. [EIOP09-3] Verder wordt in pilaar 2 specifiek aangegeven dat er maatregelen nodig zijn om de beveiliging, integriteit en vertrouwelijkheid van data te waarborgen. [EIOP09-2]

Inzicht krijgen of voldaan wordt aan datakwaliteitseisen is uitdaging voor verzekeraars

Pilaar 3

Pilaar 3 is de rapportagecomponent, die eisen stelt aan de te publiceren informatie. Het betreft de communicatie naar de toezichthouder, aandeelhouders, investeerders en andere stakeholders. SII heeft een gedetailleerde rapportage voor de toezichthouder (Report to Supervisor – RTS) en een rapportage voor het algemene publiek (Solvency and Financial Condition Report – SFCR). De RTS en SFCR vormen het sluitstuk van het SII-rapportageproces.

Ook in pilaar 3 speelt datakwaliteit een belangrijke rol als voorwaarde voor betrouwbare rapportages. Om betrouwbare rapportages te kunnen opleveren, dienen alle voorgaande stappen in pilaar 1 en 2 op een beheerste wijze te hebben plaatsgevonden. Datakwaliteitsrapportages die voortkomen uit het monitoringsproces moeten een bijdrage leveren aan het verkrijgen van zekerheid dat de datakwaliteit geborgd is en dat hiermee de rapportages daadwerkelijk betrouwbaar tot stand zijn gekomen.

Een toetsingskader voor datakwaliteit

SII is een principle based en risicogebaseerde richtlijn en geeft geen concrete handvatten om aan de datakwaliteitseisen te voldoen. Dit maakt het voor verzekeraars een uitdaging inzicht te krijgen in hoeverre wordt voldaan aan de gestelde SII-datakwaliteitseisen. Als antwoord hierop heeft de auteur een toetsingskader ontwikkeld dat verzekeraars kan ondersteunen om de kwaliteit van de databeheersing onder SII te beoordelen.
Het toetsingskader is ontwikkeld na literatuur- en praktijkonderzoek.
Het literatuuronderzoek is gebaseerd op de volgende literatuur over SII, datamanagement en interne (data)beheersing:

  • SII: ‘Article 86f Standards for Data Quality’, voorheen bekend onder de naam ‘consultation paper 43’. [EIOP09-1]
  • COBIT 5. [ISAC12]
  • ‘Financial Services Authority – External review scoping tool’. [FSA11]
  • ‘A Framework for Analysis of Data Quality Research’. [WANG95]

Het praktijkonderzoek heeft plaatsgevonden bij het SII Data Quality-programma van een van de grootste verzekeraars in Nederland.

Op basis van het literatuuronderzoek is een geïntegreerd toetsingskader met zes bouwstenen voor datakwaliteit ontwikkeld (zie figuur 4). In het praktijkonderzoek is het ontwikkelde toetsingskader gevalideerd door een expertgroep van vijf deskundigen werkzaam bij (grote) verzekeraars.

Schermafbeelding 2016-06-15 om 10.26.18

Hieronder volgt per bouwsteen een samenvatting van de belangrijkste beoordelingscriteria uit het toetsingskader.

Bouwsteen 1: Kwaliteitsbeleid en -procedures

Datakwaliteitsbeleid en -procedures borgen adequate sturing van de dagelijkse beheersing van data en aansturing van de medewerkers die hiervoor verantwoordelijk zijn. Onderdeel hiervan is dat medewerkers zich bewust worden van hun rollen en verantwoordelijkheden op het gebied van databeheersing.

Hierna volgen de belangrijkste maatregelen die aanwezig moeten zijn op het terrein van kwaliteitsbeleid en -procedures:

  • Beleid goedgekeurd. Er is specifiek beleid ontwikkeld voor databeheersing, dat is goedgekeurd door de directie.
  • Communicatie. Het datakwaliteitsbeleid en de procedures voor datakwaliteit zijn gecommuniceerd naar alle relevante medewerkers en relevante externe partijen.
  • Managementsysteem. Er is een managementsysteem voor beheer en doorlopende verbetering van datakwaliteit.
  • Evaluatie rollen en verantwoordelijkheden. Rollen en verantwoordelijkheden voor databeheersing zijn gedocumenteerd en worden periodiek geëvalueerd. Specifiek zijn de rollen en verantwoordelijkheden beschreven van:
    · het verantwoordelijke lid van het seniormanagement – de eigenaar van het datakwaliteitsbeleid;
    · de data-eigenaar – verantwoordelijk voor de juistheid en volledigheid van de data;
    · de datagebruiker – verantwoordelijk voor datadefinities, kwaliteitsindicatoren en controle;
    · de databeheerder – verantwoordelijk voor beheer IT-infrastructuur tijdens opslag, verwerking en transport van data;
    · de actuariële functie – verantwoordelijk voor uitvoeren van plausibiliteits- en geschiktheidscontroles;
    · de risicomanagementfunctie – verantwoordelijk voor beoordelen control framework en adviseren over beleid;
    · de interne auditfunctie – verantwoordelijk voor onafhankelijke beoordeling van de interne databeheersing.

Bouwsteen 2: Training en awareness

Training en bewustwording zorgen ervoor dat medewerkers en managers zich bewust zijn van de eisen en het belang van goede databeheersing voor het realiseren van organisatiedoelstellingen, en gemotiveerd zijn hieraan bij te dragen.

Hierna volgen de belangrijkste maatregelen die aanwezig moeten zijn op het terrein van training en awareness:

  • Communicatie- en trainingsplan. Er is een communicatie- en trainingsplan voor databeheersing dat periodiek wordt geëvalueerd.
  • Periodieke training. Alle betrokken medewerkers en managers hebben een periodieke training succesvol afgerond.
  • Databeheersing onderdeel van beoordelingssysteem. Databeheersing is onderdeel van het beoordelingssysteem van medewerkers en managers en er zijn afspraken gemaakt over persoonlijke datakwaliteitsdoelstellingen.
  • Monitoring datakwaliteitsdoelstellingen. Er wordt bijgehouden in hoeverre medewerkers en managers hun datakwaliteitsdoelstellingen behaald hebben.

Bouwsteen 3: Definiëren van data

Het definiëren van data draagt bij aan uniforme definities en eenduidig begrip van de data die worden gebruikt in het model voor de berekening van de kapitaalsvereisten.

Hierna volgen de belangrijkste maatregelen die aanwezig moeten zijn op het terrein van datadefinitie:

  • Data directory. Er is een data directory opgesteld waarin alle datasets zijn opgenomen die worden gebruikt in het model, met vermelding van de databron, de eigenaar van de data, hoe de data worden gebruikt en wat de kenmerken zijn, met inbegrip van een beschrijving van de data-kwaliteitsindicatoren per data-item.
  • Identificatie van key data-items. Per dataset is aangegeven welke data-items er zijn en of deze een materiële impact hebben op de berekening van de kapitaalsvereisten wanneer er een fout optreedt. Data items met een materiële impact zijn de key data items.
  • Data-flow. Er is een schematische weergave van het transport van data tussen dataopslagplaatsen. Daarin is onder meer vastgelegd hoe de data worden gebruikt en waar het datatransformatieproces uit bestaat.

Bouwsteen 4: Risicoanalyse

Periodieke risicoanalyses zorgen voor identificatie, registratie en onderhoud van risico’s op het gebied van datakwaliteit.

Hierna volgen de belangrijkste maatregelen die aanwezig moeten zijn op het terrein van risicoanalyse:

  • Risico- en impactanalyse. Voor elke dataset is periodiek een risico- en impactanalyse uitgevoerd. Dit wil zeggen dat via gevoeligheidsanalyses en plausibiliteitstests is nagegaan:
    · of de impact van slechte data (individueel of geaggregeerd) op het model materieel is;
    · bij welke knooppunten in de dataflow van bron naar model de kans op fouten het grootst is;
    · boven welke tolerantiegrenzen een datafout materieel kan zijn (individueel of geaggregeerd).
  • Expert judgement. Op de datasets is expert judgement toegepast door actuariële deskundigen en risicomanagement-experts, om een inschatting te maken of de data moeten worden aangevuld of vervangen.
  • Vastlegging informatie. Alle relevante informatie over issues, incidenten, problemen op het gebied van datakwaliteit en de uitkomsten van onderzoeken naar oorzaken hiervan is vastgelegd.
  • IT risk-scenario’s. Er zijn IT risk-scenario’s gebouwd die impact kunnen hebben op de vertrouwelijkheid, integriteit en beschikbaarheid van data, en deze scenario’s worden regelmatig geactualiseerd.
  • Inschatting restrisico. De huidige operationele beheersmaatregelen zijn geëvalueerd en er is een inschatting gemaakt van het restrisico.

Bouwsteen 5: Kwaliteitscontroles

Datakwaliteitscontroles dragen bij aan het borgen van de kwaliteit van de data (volledig, juist, geschikt en tijdig/actueel) in het model.

Hierna volgen de belangrijkste maatregelen die aanwezig moeten zijn op het terrein van datakwaliteitscontrole:

  • Procedures. Er zijn procedures voor databeheersing waarin een beschrijving is gemaakt van de processtappen tijdens het verzamelen, opslaan, bewerken en leveren van data en de interne controlemaatregelen.
  • Controlemaatregelen. Alle preventieve, detectieve en correctieve controlemaatregelen die een bijdrage leveren aan de beheersing van materiële datakwaliteitsrisico’s zijn geïmplementeerd en worden periodiek aantoonbaar geëvalueerd.
  • Verankering data-kwaliteitsindicatoren. De data-kwaliteitsindicatoren die zijn beschreven in de data directory zijn in een datakwaliteit-tool of -applicatie vertaald naar geprogrammeerde controles. In het functioneel en technisch ontwerp van de tool of applicatie staat beschreven hoe deze controles zijn geprogrammeerd.
  • Juistheidscontroles. De volgende juistheidcontroles worden uitgevoerd:
    · Input-validaties, om te controleren op de juistheid en consistentie van dataformaten en op de geldigheid van datawaarden;
    · data-consistentiecontroles, om na te gaan of de outputdata consistent zijn in de tijd, tussen datasets en binnen datasets.
  • Volledigheidscontroles. Er worden volledigheidscontroles uitgevoerd, zoals:
    · reconciliaties tussen controletotalen uit doelsystemen en bronsystemen;
    · vergelijkingen tussen ontvangen en verwachte data;
    · evaluaties of alle risicogroepen zijn meegenomen binnen de portefeuille;
    · evaluaties of de dataset over voldoende granulariteit beschikt voor de identificatie van trends en om een volledig begrip te krijgen van het gedrag van de onderliggende risico’s.
  • Geschiktheidscontroles. Er worden geschiktheidscontroles uitgevoerd, zoals consistentie- en plausibiliteitscontroles om uitschieters en lacunes in de data op te sporen door vergelijking met bekende trends, historische data en onafhankelijke externe bronnen.
  • Tolerantiegrenswaarden. Er zijn tolerantiegrenswaarden gedefinieerd op basis van een risico- en impactanalyse. Wanneer een grenswaarde is overschreden moet er een analyse van de oorzaak van het issue plaatsvinden.
  • Data Delivery Agreements. Er zijn Data Delivery Agreements geïmplementeerd met daarin onder meer de verantwoordelijkheidsverdeling en de gemaakte afspraken tussen de interne of externe partij die de data verstuurt (data-eigenaar) en de partij die de data ontvangt (datagebruiker). Dit, om te borgen dat de data volledig, juist en tijdig wordt verstuurd en verwerkt.

Bouwsteen 6: Monitoring en reporting

Monitoring en reporting van datakwaliteit zorgt voor geschikte en tijdige datakwaliteitsrapportages om het management in staat te stellen de kwaliteit van de data te beoordelen en corrigerende maatregelen te nemen wanneer er materiële issues zijn.

Hierna volgen de belangrijkste maatregelen die aanwezig moeten zijn op het terrein van monitoring en reporting:

  • Performance-monitoring. De performance van de IT-systemen en de kanalen die gebruikt worden voor het verzamelen, opslaan, verzenden en verwerken van data worden actief gemonitord.
  • Datakwaliteitsmeetwaarden. Voor materiële data-items zijn kwalitatieve en kwantitatieve meetwaarden gedefinieerd die een beeld geven van de kwaliteit van die data. Kwantitatieve meetwaarden kunnen objectief gemeten worden, terwijl kwalitatieve meetwaarden expert judgement vereisen. De waarden worden op regelmatige basis gemeten en gerapporteerd, hetzij individueel, geaggregeerd of gecategoriseerd, naar de relevante niveaus van het management.
  • Beoordeling en monitoring door het management. Het management beoordeelt de datakwaliteitsrapportages en neemt corrigerende maatregelen wanneer er materiële issues zijn. Daarnaast monitort het management de opvolging en laat onafhankelijk toetsen of het beleid wordt uitgevoerd en nageleefd.

Tot slot

Dit artikel heeft inzicht gegeven in de SII-datakwaliteitseisen, in de vorm van een toetsingskader dat bestaat uit zes bouwstenen. Deze bouwstenen kunnen door interne en externe IT-auditors en accountants gebruikt worden om de kwaliteit van het geïmplementeerde SII-control framework voor datakwaliteit te beoordelen, en een oordeel te geven in hoeverre wordt voldaan aan de gestelde SII-datakwaliteitseisen. Ook DNB kan ze gebruiken bij onderzoek naar de kwaliteit van SII-rapportages.

De implementatie van een control framework mag geen doel op zich zijn, louter om te kunnen voldoen aan de eisen van de toezichthouder of om de externe accountant tevreden te stellen. De belangrijkste drijfveer moet gelegen zijn in de behoefte van verzekeraars zelf om hun risico’s te beheersen, zodat de doelrealisatie van de organisatie niet in gevaar wordt gebracht. Goede datakwaliteit geldt daarnaast niet alleen voor SII, maar ook voor alle andere rapportages. Een integrale aanpak is daarom wenselijk.

De kritische succesfactor voor een succesvolle implementatie van een control framework is dat het vanuit de hoogste bestuurslaag gedragen moet worden. Het senior management moet het belang van goede databeheersing uitdragen en de organisatie wijzen op de noodzaak. Er moet zichtbare steun en betrokkenheid zijn op alle managementniveaus.

 

Literatuur

[CHAN14] Changoe, A., onderzoeksreferaat ‘In control’ over datakwaliteit onder Solvency II, Erasmus School of Accounting & Assurance, Post-master IT- Auditing, 2014. http://www.auditing.nl/bibliotheek/2014-changoe-a/ (kosteloze registratie vereist).
 
[EIOP09-1]: EIOPA, CEIOPS’ Advice for Level 2 Implementing Measures on Solvency II: Technical Provisions – Article 86 f, Standards for Data Quality, former consultation paper 43, The European Insurance and Occupational Pensions Authority, 2009.
 
[EIOP09-2]: EIOPA, CEIOPS’ Advice for Level 2 Implementing Measures on Solvency II: System of Governance, former consultation paper 33, The European Insurance and Occupational Pensions Authority, 2009.
 
[EIOP09-3]: EIOPA. CEIOPS’ Advice for Level 2 Implementing Measures on Solvency II: Articles 120 to 126, Tests and Standards for Internal Model Approval, former consultation paper 56, The European Insurance and Occupational Pensions Authority, 2009.
 
[FSA11]: Financial Services Authority, External Review Scoping Tool, 2011.
 
[ISAC12]: ISACA, COBIT 5, 2012.
 
[WANG95]: Wang, R.Y., Storey, V.C., Firth., C.P., A Framework for Analysis of Data Quality Research, IEEE Transactions on Knowledge and Data Engineering, 1995.

Anil Changoe RE CISA

Anil is Managing Consultant bij adviesorganisatie ConQuaestor Consulting. Binnen de unit Business Risk Services houdt Anil zich bezig met financiële, operationele en IT-vraagstukken op het gebied van Risk management, Internal Audit en Compliance. Daarvoor was hij werkzaam voor Deloitte Accountants en Enterprise Risk Services. Als IT-auditor (RE/CISA) richt hij zich onder andere op Data Privacy & Security en Data Analytics en Third Party Assurance.