AZL past het zogeheten Three Lines of Defence-model toe om duidelijkheid en structuur te realiseren binnen de interne beheersingsomgeving van AZL, waarbij verantwoordelijkheden ten aanzien van risicobeheersing duidelijk zijn gedefinieerd.

Voor het realiseren van (organisatie- en beheers-)doelstellingen is een samenspel van mensen, middelen en procedures nodig, die veelal door middel van processen worden georganiseerd en aan elkaar worden verbonden. Risico’s bedreigen de realisatie van deze doelstellingen. Adequaat risicomanagement is daarom essentieel en wordt ingezet om (een redelijke mate van) zekerheid te geven dat de doelstellingen van de organisatie ook daadwerkelijk worden behaald.

Er is een directe relatie tussen de doelstellingen die een onderneming tracht te behalen en de componenten van risicomanagement, die aangeven wat nodig is om deze doelen te realiseren. AZL heeft ervoor gekozen om zijn risicomanagementmethodiek te baseren op het door de Committee of Sponsoring Organizations of the Treadway Commission (COSO) gepubliceerde Enterprise Risk Management (ERM) raamwerk.

Risicomanagement is onlosmakelijk verbonden met het realiseren van (lange termijn) doelstellingen. Om onze doelstellingen op risicomanagement gebied te realiseren, stelt de afdeling Risk een jaarlijkse planning op met hierin de belangrijkste activiteiten. Zo voeren wij onder andere jaarlijks het DNB IT self assessment, cyber security assessment en business continuity assessment uit. Op het gebied van compliance voeren wij jaarlijks het fraude assessment en de systematische integriteitsanalyse (SIRA) uit. We informeren onze klanten periodiek over de resultaten.

Onze klanten ontvangen tevens de ISAE 3402- en 3000-rapportages van ons. Een externe accountant audit jaarlijks nagenoeg al onze processen, applicaties en IT general controls. In de ISAE 3000-rapportage beoordeelt de externe accountant ook het risicomanagementsysteem van AZL, waarbij AZL een aantal belangrijke SOC II-controls (IT) heeft opgenomen in het rapport. We breiden onze ISAE 3000-rapportage jaarlijks uit met een aantal SOC II-controls.

De informatiebeveiliging wordt continu verder aangescherpt. Zo heeft AZL geavanceerde beveiligingssoftware op alle werkstations en servers geïmplementeerd en is AZL sinds april 2022 aangesloten op het Security Operations Center van NN Group. Verder is onder andere het configuratie management aangescherpt, een strenger authenticatiebeleid ingevoerd voor alle beheeractiviteiten, zijn de eisen aan wachtwoorden aangescherpt en de processen voor het opsporen en opvolgen van kwetsbaarheden verder verfijnd. Daarnaast heeft AZL een uitgebreid awareness programma met periodieke phishing testen, wachtwoordcontroles en e-learnings.

Voor de programma’s ‘Vernieuwing Pensioenen’ en ‘Vernieuwing IT’ zijn er omvangrijke risicoassessments uitgevoerd. De monitoring van risico's en acties vindt plaats door de eerste en tweede lijn van AZL. Hierbij ligt de focus op budgettering, resources, planningen en review van proofpoints die een risicobeoordeling en second line opinion vereisen. Maandelijks vindt er een review plaats, worden de risk assessments indien nodig geactualiseerd en vindt er een update plaats van de risk log.

AZL heeft in 2022 wederom forse stappen gezet om zichzelf verder te ontwikkelen als datagedreven organisatie. Het datakwaliteitsbeleid is geüpdatet in lijn met de verwachtingen van diverse wet- en regelgeving. Onze datakwaliteit is aantoonbaar op orde. Diverse externe data-analytics onderzoeken hebben dit aangetoond. Hoewel onze datakwaliteit op orde is, betekent dit niet dat er geen verbeteringen kunnen en moeten worden aangebracht.

Voor pensioenfondsen die invaren in het nieuwe pensioenstelsel is datakwaliteit van essentieel belang. De Pensioenfederatie heeft in samenwerking met DNB en de sector een kader ‘Datakwaliteit’ ontwikkeld met als doel om pensioenfondsen en pensioenuitvoeringsorganisaties te faciliteren om datakwaliteit op een consistente en onderbouwde wijze te toetsen en borgen. AZL heeft een controlemethodiek ontwikkeld om aantoonbaar inzage te krijgen in de fondsspecifieke datakwaliteit zodat fondsen een oordeel kunnen vormen over hun datakwaliteit.