Solvens II Er vi tæt på mål?

Transkript

1 Solvens II Er vi tæt på mål? Jette Lunding Sandqvist, Helle Dreyer og Jesper Otto Edelbo, Danmark Revision. Skat. Rådgivning.

2 Risikostyring & Compliance: hvad tænker du? Stigende omkostninger? Kompetencer indenfor IT, Digitale ydelser risikostyring & compliance Overholdelse af love & regler Effektiv & sikker IT infrastruktur Transparent risikostyring

3 Agenda God risikostyring jævnfør GL44 3 lines of defence/de 4 funktioner november

4 Regulering på toppen af den politiske dagsorden I forlængelse af udbruddet af den finansielle krise i 2008, fik stabiliseringen af de finansielle markeder 1. prioritet. EU kommissionen har foreslået mere end 40 tiltag for at skabe nye regler for det globale finansielle system. Målet var og er at etablere: Nye, globale finansielle regler til stabilisering af den finansielle sektor Regler som understøtter en sikker, ansvarlig og vækstfremmende finansiel sektor i Europa En bankunion for at styrke Euroen november

5 Solvens II er en del af vækstagendaen november 2015 Finanstilsynet

6 Banker er underlagt GL44 I kølvandet på finanskrisen udarbejdede det europæiske banktilsyn European Banking Authority (EBA) strammere krav til den finansielle sektor for at genoprette troværdighed og sikkerhed i forhold til bankerne en slags single rule book for god opførsel. De nationale finanstilsyn, herunder det danske, har indarbejdet GL44 i deres lovgivning. november

7 Skærpede krav til risikostyring & compliance efter finanskrisen gælder for hele sektoren Det danske finanstilsyn har indarbejdet kravene fra de europæiske myndigheder i den danske lovgivning og regelsættet for finansielle virksomheder. Fokus er især på 2 områder: 1. Krav til bestyrelse og ledelse - dokumentation af en klar og effektiv governance af forretningen og risikostyringen - kompetencer der matcher virksomhedens profil 2. Krav om funktionsadskillelse - en uafhængig risikostyringsfunktion - en uafhængig Compliance funktion - en uafhængig aktuar funktion forankret i 2nd line of defence november

8 Hvad betyder kravene i praksis? - at risikostyring skal integreres i hele organisationen! Compliance funktionen: overblik over & fortolkning af regulatoriske krav omsætning af regulering til interne regelsæt for bestyrelse, ledelse og medarbejdere overvågning og opfølgning uddannelse & rådgivning fokus på specifikke compliance risici såsom fejl i kundeprocesser og hvidvask kvartalsvis rapportering til ledelse og bestyrelse 71 Risikostyringsfunktionen: overblik over & fortolkning af regulatoriske krav for finansielle & operationelle risici udarbejdelse af politikker og instrukser årlig vurdering af de største risici & opfølgning på risikobegrænsende handlinger kontrol og overvågning af forretningens risikostyring med fokus på dokumentation og udførelse af kontroller kvartalsvis rapportering til ledelse og bestyrelse november

9 Hvad er fordelene ved god risikostyring set med den finansielle sektors briller? Leve op til regulatoriske krav Positivt omdømme i forhold til kunder, aktionærer og offentligheden Øget risikobevidsthed Metoderammeværk som giver overblik over de største risici Et scope som forholder sig til mere end blot finansielle risici, men ligeledes proces, regulatoriske og omdømme risici Struktur for opsamling og analyse af data Risikomitigering Re-aktiv for at nedsætte risikoen for gentagelse Pro-aktiv for at identificere potentielle risici før de materialiserer sig En læringskultur At lære af sine fejl egne såvel som andres fejl Great company november

10 Diagnosticering af modenhed Hvor på skalaen er du? Re-aktiv Compliant Pro-aktiv Høj troværdighed Cost of doing business Do what it takes to comply Let s improve how we do things Continuous improvement is in our DNA november

11 Risikostyring i sin helhed - Building Blocks Risk strategy Risk appetite Risk profile External communication and stakeholder management Governance, organisation and policies Komponenterne skaleres i forhold til: størrelse kompleksitet modenhed i organisationen Risk assessment (including internal models) People and reward Management information Technology and infrastructure november

12 Validering af risikostyringen s Risk Assurance struktur Risikolandskab Strategisk Kommercielt Omdømme Organisatorisk Operationelt Finansielt Compliance Regulering Risiko Risici, kontroller og varig sikkerhed Risikostrategi Risikovurdering Design Implementering Ledelse Overvågning Assurance Output Tilgang Forsvarslinjer 1. forsvarslinje: ansatte, processer og it 2. forsvarslinje: ledelse og tilsyn 3. forsvarslinje: intern revision 4. forsvarslinje: ekstern assurance Reaktion

13 Agenda God risikostyring jævnfør GL44 3 lines of defence/de 4 funktioner november

14 Forankring af risikostyring i hele organisationen Virksomheder skal kunne dokumentere klar og effektiv governance af forretningen og risikostyringen Governance struktur Bestyrelse 1 st line of defence 2 nd line of defence 3 rd line of defence Forretningen Ejerskab, ansvarlighed og forpligtelse for risiko Risiko funktioner Facilitere, koordinere, udfordre, supportere, træne og uddanne Assurance Uafhængig vurdering Risiko & Compliance komité Executive ledelse Forretningsledere Risikokomité Uafhængig Risikostyring Aktuar Revisionskomité Intern Revision Compliance november

15 De 3 lines of defence en generisk model 1 st line of defence 2 nd line of defence 3 rd line of defence Control by doing Control by monitoring Control by auditing Hvem? Forretningsledelsen Risk controller Hvad? Forretningen er ansvarlig for dag-tildag styringen af risici Risikofunktionen rapporterer til forretningsledelsen og supporterer forretningen med at identificere, vurdere, analysere, mitigere og kontrollere risici. Den konsoliderer data og rapportering på forretningsniveau, som leveres til 2 nd line. Endvidere sikrer den at forretningsgange implementeres i samarbejde med 2 nd line. Hvordan? En governance struktur med risikokomiteer på flere niveauer i organisationen Hvem? Chief Risk Officer Compliance Officer Risikospecialister Hvad? Supporterer 1 st line og etablerer politikker & rammeværk Specialister for væsentlige risikokategorier sikrer ensartet implementering i forretningsområderne Rapporteringsspecialister analyserer og konsoliderer koncernrapporteringen og kontrollerer status og tendenser Controllere monitorerer og kontrollerer data og output fra 1 st line, udfordrer 1 st line og tilføjer deres uafhængige vurdering Hvordan? Rapportering til Risikokomite, direktion og bestyrelse Aktuarer Hvem? Intern Revision Hvad? Uafhængig assurance og udfordring af integriteten og effektiviteten i risikostyringsrammeværket samt dets implementering på tværs af hele koncernen Hvordan? Regelmæssig rapportering til Revisionskomite november

16 Det nye mantra: Vis mig hvad du laver! Øget kontrol & monitorering fra 2nd line: - Krav om dokumentation og logging af kontroller & kontrolhandlinger i 1st line - Sikrer fælles standarder på tværs af virksomheden - Muliggør sammenligning af niveau og kvalitet af kontroller på tværs af virksomheden - Giver en uafhængig vurdering af om kontroller/kontrolmiljø er tilstrækkeligt - Tættere samarbejde mellem 2nd og 3rd line (Intern Revision) Ændret tilgang fra 3rd line: - Intern Revision vil fremover typisk starte sine revisioner af forretningen på baggrund af input og rapportering fra 2nd line - Intern Revision vil fortsat udføre revision af 1st line & 2nd line november

17 Agenda De 4 funktioner 1. Organisering, herunder Fit & Proper 2. Aktuarfunktionen 3. Intern Audit 4. Risikostyring 5. Compliance Gå-hjem møde i 17

18 Organisering, herunder Fit & Proper 1

19 Diagnosticering af modenhed Hvor på skalaen er du?- Hvor vil du gerne være? Hvor ønsker din ledelse, at I skal være? Re-aktiv Compliant Pro-aktiv Høj troværdighed Cost of doing business Do what it takes to comply Let s improve how we do things Continuous improvement is in our DNA Ingen opfølgning på fejlede kontroller Mange kontroller Verificering af kontroller Checklister Validering af kontroller Risikomitigering Optimering af kontrolrammeværk samt underliggende kontroller Smarte kontroller fx adfærd Gå-hjem møde i 19

20 En anden måde at sige modenhed på Få værdi og viden ud af det Gå fra bagud skuende til proaktiv Gå-hjem møde i 20

21 Vores anbefaling er Erkend, at det er en rejse Brug, hvad I har Skab jer et overblik, ex. ved at lave en GAP analyse Forhold jer til modenhed Er der det samme billede i hele jeres organisation Gå-hjem møde i 21

22 Organisering Gå-hjem møde i 22

23 Organisering SII direktivet præambel 31, DA artikel 268 Der indføres (mindst) fire nøglepersoner og nøglefunktioner. Uafhængighed og samarbejde: Funktionerne og deres rapporteringsveje indarbejdes så det sikres, at hver enkelt funktion er uden indflydelse, der kan påvirke funktionens evne til at varetage sine opgaver objektivt, retfærdigt og uafhængigt. Hver funktion er underlagt ledelsens ultimative ansvar og refererer dertil, ligesom hver funktion skal samarbejde med andre funktioner. Informationsadgang: Medarbejdere i en funktion skal på eget initiativ kunne kommunikere med enhver medarbejder og have den nødvendige bemyndigelse og ekspertise og de nødvendige ressourcer samt uhindret adgang til alle relevante oplysninger, der er nødvendige for, at de kan varetage deres ansvarsområder. Indberetningsforpligtelse: Funktionen skal straks indberette ethvert større problem inden for deres ansvarsområde til direktionen. Gå-hjem møde i 23

24 Organisering SII direktivet præambel 31 En funktion er en administrativ kapacitet til at varetage særlige ledelsesopgaver. Identificeringen af en særlig funktion forhindrer ikke selskabet i frit at beslutte, hvordan denne funktion skal organiseres i praksis, medmindre andet er anført i dette direktiv. Dette bør ikke føre til unødigt byrdefulde krav, fordi der skal tages hensyn til arten, omfanget og kompleksiteten af selskabets aktiviteter. Det bør derfor være muligt for disse funktioner at bemandes med eget personale, bero på rådgivning fra eksterne eksperter eller udliciteres til eksperter inden for de grænser, direktivet sætter. Gå-hjem møde i 24

25 FT marts Gå-hjem møde i 25

26 FT marts Gå-hjem møde i 26

27 FT september 2015 Gå-hjem møde i 27

28 FT september 2015 udgangspunktet -1 Gå-hjem møde i 28

29 FT september 2015 udgangspunktet -1 FT: Liv er Niveau 4 Gå-hjem møde i OBS! Er skøn under regel Ulovligt 29

30 FT september Gå-hjem møde i 30

31 FT september Gå-hjem møde i 31

32 FT september Gå-hjem møde i 32

33 FT september Gå-hjem møde i FT mener, at alle livselskaber er Niveau 4 33

34 FT oktober 2015 Gå-hjem møde i 34

35 Fit & Proper Gå-hjem møde i 35

36 Fit & Proper Gå-hjem møde i 36

37 Outsourcing Gå-hjem møde i 37

38 Aktuarfunktionen 2

39 Aktuarfunktionen 20 + bilag 8 + art. 272 Skal have det overordnede ansvar for de forsikringsmæssige hensættelser og derved bl.a. koordinere beregningen heraf og sikre at de metoder, underliggende modeller og antagelser, der anvendes ved opgørelsen af de forsikringsmæssige hensættelser, er fyldestgørende. Herudover skal aktuarfunktionen vurdere om de data, der benyttes til opgørelsen, er tilstrækkelige og har den fornødne kvalitet og sammenligne bedste skøn med de hidtidige erfaringer. Gå-hjem møde i 39

40 De nye nøglefunktioner er kontrolfunktioner First line Ledelsen Second line Kontrolfunktioner: Risikostyring Aktuar Compliance Third line Intern audit Intern revision Gå-hjem møde i 40

41 Men FT ser måske verden lidt anderledes? First line Opgørelse af hensættelser Aktuarfunktionen Second line Ansvarlige for Aktuarfunktionen Third line Er det så her den uafhængige kontrol sker - ved Intern Audit? Gå-hjem møde i 41

42 Ansvarlig for Aktuarfunktionen hhv. Aktuarfunktionen Finanstilsynet har tidligere været opmærksomme på forskellen på krav til Aktuarfunktionen og den ansvarlige for Aktuarfunktionen (nøglepersonen). Det er den ansvarlige for Aktuarfunktionen, som skal være ansat i selskabet og Fit & Proper vurderes af Finanstilsynet. I Danmark er det ikke et krav, at Aktuarfunktionen skal bemandes med uddannede aktuarer, men med personer som besidder kompetencen. I Sverige har man ophævet den ansvarshavende aktuar og i stedet for lagt kravene over i den ansvarlige for Aktuarfunktionen (et krav er f.eks. at man skal kunne svensk). I Norge forventes ansvarshavende aktuar at blive ophævet og erstattet med Aktuarfunktionen. Men dialog pågår stadig særligt vedrørende Liv. Gå-hjem møde i 42

43 JOE opdaterer slides Intern Audit 3

44 Intern Audit Funktionen art 271 i forordningen Opgaver a) indførelse, gennemførelse og opretholdelse af en auditplan, som indeholder det auditarbejde, der skal udføres i de kommende år, idet der tages højde for alle forsikrings-og genforsikringsselskabets aktiviteter og hele ledelsessystemet b) anvendelse af en risikobaseret tilgang i fastlæggelsen af prioriteter c) Indberetning af auditplanen til administrations-, ledelses-eller tilsynsorganet d) udstedelse af henstillinger baseret på resultatet af det arbejde, der er udført i overensstemmelse med litra a), og indgivelse af en skriftlig rapport om funktionens resultater og henstillinger til administrations-, ledelses-eller tilsynsorganet mindst én gang årligt e) kontrol af foreneligheden med administrations-, ledelses-eller tilsynsorganets afgørelser på grundlag af de henstillinger, der er omhandlet i litra d). Gå-hjem møde i 44

45 Bestyrelsens opgaver i ledelsesbekendtgørelsen Bilag 9 Bestyrelsens opgaver og ansvar 1) Bestyrelsen skal udarbejde en politik for den interne audit, der, i det omfang det er relevant, som minimum beskriver: a) vilkår og betingelser for, hvornår den interne auditfunktion kan blive opfordret til at udtale sig eller yde bistand eller udføre andre særlige opgaver, b) interne regler for, hvilke procedurer den ansvarlige for den interne auditfunktion skal følge, når Finanstilsynet skal underrettes om resultaterne af den interne audit, c) kriterierne for rotation af medarbejderopgaver, d) hvordan den interne auditfunktion koordinerer koncernens interne auditaktivitet, og e) hvordan den interne auditfunktion sikrer overensstemmelse med de interne auditkrav på koncernniveau. Gå-hjem møde i 45

46 Direktionens opgaver i ledelsesbekendtgørelsen Bilag 9 Direktionens opgaver og ansvar 2) Direktionen skal træffe passende foranstaltninger for at mindske risikoen for interessekonflikter for den interne auditfunktion. 3) Direktionen skal sikre, at medarbejdere i og den ansvarlige for den interne auditfunktion ikke udfører audit af aktiviteter eller funktioner, som de selv har udført eller udarbejdet grundlaget for i den periode, som den interne audit omfatter. 4) Direktionen kan anmode den interne auditfunktion om at inddrage specifikke emner i den interne audit, uden at dette strider imod funktionens uafhængighed, jf. 21, stk. 1. Gå-hjem møde i 46

47 Den interne auditfunktions opgaver i ledelsesbekendtgørelsen, Bilag 9 Intern Audits opgaver og ansvar 5) Udover opgaverne nævnt i artikel 271, stk. 3, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings-og genforsikringsvirksomhed (Solvens II), skal den interne auditfunktion varetage opgaverne nævnt i nr ) Den interne auditfunktion giver ledelsen sin vurdering af, hvorvidt det interne kontrolsystem er tilstrækkeligt og effektivt. 7) Den interne auditfunktions arbejde skal dokumenteres med henblik på at vurdere funktionens effektivitet og muliggøre en gennemgang af den foretagne interne audit og dens resultater. 8) Den interne auditplan, jf. artikel 271, stk. 3, litra a, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa- Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings-og genforsikringsvirksomhed (Solvens II) og 21, stk. 1, 2. pkt., skal bygge på en metodisk analyse af risici. Gå-hjem møde i 47

48 Årshjulet Gå-hjem møde i 48

49 Hvad er der bag punkterne 1. Risikovurdering Overordnet info: Strategi og forretning. Opdater forståelsen om forretningen Inddel forretningen i hoved-/nøgleområder. Strategi. Inddel forretningen i nøgleprocesser og subprocesser Risici på hovedområder Afstem risikobillede med forretningen 2. Risikoafdækning Håndtering Identificer risikomitigerende kontroller på 1st & 2nd lines of defence GAP analyser: er der noget, der mangler? Skal ske forud for en revision eller som noget af det første under en revision Gå-hjem møde i 49

50 Hvad er der bag punkterne 3. Revisionsplan Definer en revisionsplan per hovedområde Aftal timing Overvej uforudsigelighed 4. Udførelse af revisionsplan 5. Rapportering Gå-hjem møde i 50

51 Risikostyring 4

52 Risikostyringsfunktionen 18 + bilag 6 + art Skal bl.a. overvåge risikostyringssystemet og risikoprofilen, identificere og vurdere nye risici, høres om væsentlige beslutninger og sikre, at alle væsentlige risici i virksomheden, herunder risici, der går på tværs af virksomhedens organisation, identificeres, måles, overvåges, styres og rapporteres korrekt. Gå-hjem møde i 52

53 Compliance 5

54 Compliancefunktionen 19 + bilag 7 + art. 270 Skal vurdere om selskabet har tilstrækkelige metoder og procedurer til at opdage og mindske risikoen for manglende overholdelse af gældende lovgivning, markedsstandarder eller interne regelsæt og rådgive ledelsen om overholdelse af finansiel lovgivning, vurdere konsekvenser af lovændringer og identificere og vurdere risici for manglende overholdelse af finansiel lovgivning mv. Gå-hjem møde i 54

55 Dialog Gå-hjem møde i 55

56 Dialog Hvad var svært? Hvad var nemt? Noget at dele? Hvor langt er I? Valgt nøglepersonerne? Valgt ny-ansættelse af nøglefunktionsansvarlig? Har lavet funktionsbeskrivelserne? Har lavet politikken for de 4 funktioner (inkl. Grænseflader)? Har set på opgaver, årshjul og rapporteringskrav etc.? Overvejer ekstern støtte? Valgt hjælp til outsourcing? Gå-hjem møde i 56

57 Hvis I vil vide mere... Jette Lunding Sandqvist Director, aktuar, FS T M E jls@pwc.dk Jesper Edelbo Partner, FS T M E joe@pwc.dk Helle Dreyer Director, FS T M E hdr@pwc.dk Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.