DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP
Made simple Solvens II udgør den mest omfattende reform af de fælleseuropæiske regler for forsikringsselskaber, genforsikringsselskaber og tværgående pensionskasser i mere end 20 år. Reglerne træder i kraft i Danmark den 1. januar 2016, og på dette tidspunkt skal alle omfattede virksomheder efterleve en række nye regler for blandt andet kapitalkrav, risikostyringsprocesser- og systemer samt myndighedsrapportering. Blandt de nye regler om risikostyring findes krav om etablering af mindst fire nøglefunktioner: (i) en risikostyringsfunktion, (ii) en compliancefunktion, (iii) en aktuarfunktion og (iv) en intern auditfunktion. For hver funktion findes en række regler - enten i forordninger eller implementeret i dansk ret som virksomhederne skal efterleve, og funktionerne skal inden for reglerne tilpasses den enkelte virksomhed. Dette notat beskriver reglerne for de fire nøglefunktioner.
BAGGRUND Solvens II-direktivet (direktiv 2009/138/EF) udgør den mest omfattende reform af de fælleseuropæiske regler for forsikringsselskaber, genforsikringsselskaber og tværgående pensionskasser i mere end 20 år. Hovedformålet med reglerne er særligt: en bedre forsikringstagerbeskytttelse, styrket international konkurrenceevne for europæiske forsikringsselskaber, øget ensretning af EU-reglerne (princippet om en "single rulebook"), samt bidrag til finansiel stabilitet i EU. Med Solvens II omfattes selskaberne af en række nye pligter, som blandt andet vedrører: opgørelse af solvenskapitalkrav, processer for risikostyring, og myndighedsrapportering. Efter vedtagelsen af Solvens II i 2009 er datoen for ikrafttræden blevet udskudt flere gange. Med oprindelig ikrafttræden i oktober 2012 er den endelige deadline for Solvens II fastsat til den 1. januar 2016. I Danmark implementeres Solvens II dels i lov om finansiel virksomhed, dels i en række separate bekendtgørelser, herunder Ledelsesbekendtgørelsen. Og endelig udmøntes Solvens II i en række EU forordninger med direkte national virkning. Med de nye regler skal det særligt bemærkes, at der sker en opdeling af selskaberne i grupper, som det også kendes fra bl.a. den bankretlige regulering. Med opdelingen vil selskaber, som i en periode på fem år forventer at opfylde følgende krav, være Gruppe 2: ingen tegning af ansvarsforsikringer ingen grænseoverskridende virksomhed, årlig bruttopræmie overstiger ikke EUR 5 millioner årlig bruttohensættelse overstiger ikke EUR 25 millioner Øvrige selskaber vil være Gruppe 1. Blandt de tiltag, som introduceres med Solvens II, findes kravet om etablering af mindst fire nøglefunktioner. Nøglefunktionerne genfindes i anden finansiel europæisk regulering, men for de omfattede selskaber er der tale om en nyskabelse. Alle Gruppe 1 selskaber skal fra 1. januar 2016 have udpeget nøglepersoner for følgende fire funktioner: compliance, risikostyring, aktuar og intern audit funktionen. Reglerne om de fire nøglefunktioner findes særligt i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 og i den kommende Ledelsesbekendtgørelse, som Finanstilsynet forventes at udstede i tredje kvartal af 2015. Dette notat beskriver en række af de krav, der er til hver af de nye nøglefunktioner i forordningen. Notatet er desuden baseret på FCGs kendskab til de formodede bestemmelser i den kommende Ledelsesbekendtgørelse. NØGLEFUNKTIONERNES ORGANISATORISKE PLACERING Alt efter virksomhedens størrelse og kompleksitet (proportionalitetsprincippet) kan: 1) opgaver, som individuelt henhører under
forskellige nøglefunktioner, varetages af samme person eller organisatorske enhed, såfremt virksomheden sikrer funktionsadskillelse. 2) opgaver i en nøglefunktion varetages af en person, der har andre ansvarsområder, såfremt virksomheden sikrer, at der ikke er nogen interessekonflikter, og personen har mulighed for at rapportere direkte til bestyrelsen. 3) opgaver i en nøglefunktion varetages af en enhed, der hovedsageligt har andre opgaver end nøglefunktionens, såfremt virksomheden samtidig sikrer, at håndteringen af eventuelle interessekonflikter varetages betryggende. Det er vigtigt at bemærke, at de nævnte muligheder for individuel stillingtagen til nøglefunktionernes interne organisering, som hovedregel ikke omfatter Intern Audit. Den, der varetager Intern Audit, må kun være ansvarlig for andre nøglefunktioner, såfremt bl.a. betydelige krav om interessekonflikter er opfyldt. Det er FCGs vurdering, at det vil være praktisk meget vanskeligt for hoveddelen af de omfattede virksomheder at opfylde disse krav - og at mindre selskaber derfor som hovedregel vil være pligtig at outsource Intern Audit funktionen. Ansvarshavende aktuar/intern revisionschef Har virksomheden udpeget en ansvarshavende aktuar, kan vedkommende udpeges som nøgleperson for aktuarfunktionen ligesom en eksisterende intern revisionschef kan udpeges som nøgleperson i den interne auditfunktion. I de tilfælde gælder, at nedenfor omtalte rapportering da skal ske direkte til bestyrelsen, og der skal være funktionsadskillelse. GOVERNANCE OMKRING DE FIRE NØGLEFUNKTIONER Der skal udpeges en ansvarlig for hver af de fire nøglefunktioner - en såkaldt "nøgleperson". Nøglepersonen har ansvaret for, at opgaverne i pågældende funktion udføres betryggende, og nøglepersonen skal også fit & proper godkendes af Finanstilsynet. Nøglefunktionerne skal indrettes, så de er uden indflydelse, der kan påvirke funktionens evne til at varetage sine opgaver objektivt, retfærdigt og uafhængigt. Der står i forordningen, at alle fire nøglefunktioner skal varetage sine opgaver uafhængigt. Denne uafhængighed er essentiel og skal ses i forhold til dem, der driver forretningen. Desuden skal de fire funktioner have uhindret adgang til alle oplysninger, der er nødvendige for at varetage funktionens ansvarsområde. Der skal laves en beskrivelse af hver af de fire nøglefunktioner, der fastsætter roller og ansvarsfordeling af de opgaver, der ligger i funktionerne - beskrivelsen skal tage højde for bestyrelsens politikker og virksomhedens forretningsmodel. De udpegede nøglepersoner er ansvarlige for rapportering til direktionen. Opstår der et større problem, skal det straks rapporteres, og ellers kan rapporteringen ske på eget initiativ eller efter ønske fra ledelsen - men mindst en gang årligt. Nøglefunktionerne skal også have mulighed for at rapportere direkte til bestyrelsen uafhængigt af direktionen. RISIKOSTYRINGSFUNKTIONEN Risikostyringsfunktionen skal være med til at
lette gennemførelsen af risikostyringssystemet og sikre dets effektivitet. Risikofunktionens nøgleperson skal bl.a. sikre, at alle væsentlige risici i virksomheden identificeres, vurderes, overvåges, styres og rapporteres korrekt. Desuden skal der være en risikostyringspolitik, der definerer risikokategorier, metoder til at måle risici, hvordan risiciene forvaltes, specificerer risikogrænser m.m. Politikken skal også beskrive forbindelsen mellem virksomhedens vurdering af egen risiko og solvens, kapitalgrundlag, solvenskapitalkrav, minimumskapitalkrav og risikotolerancegrænser. COMPLIANCEFUNKTIONEN Compliancefunktionen skal rådgive ledelsen om overholdelse af den finansielle lovgivning, vurdere konsekvenser af lovændringer og identificere samt vurdere compliancerisici. Det vil på den baggrund være naturligt, at funktionen overvåger regelændringer. Funktionen skal også vurdere, om den måde virksomheden har indrettet sig på - i forhold til at sikre regeloverholdelse - er tilstrækkelig. Compliancefunktionen skal lave en compliancepolitik, der fastlægger ansvarsområder, kompetencer og rapporteringsforpligtelser. Der skal også laves en complianceplan for funktionens aktiviteter. AKTUARFUNKTIONEN Aktuarfunktionen skal koordinere beregningen af de forsikringsmæssige hensættelser, herunder sikre at metoderne, der bruges, er fyldestgørende. Funktionen skal bl.a. også vurdere, om de anvendte data er komplette og nøjagtige. Aktuarfunktionen skal varetages af personer, der har kendskab til aktuarmatematik og finansmatematik på et niveau, der reflekterer virksomhedens størrelse og kompleksitet. Aktuarfunktionen skal bidrage til en effektiv gennemførelse af risikostyringssystemet og udtale sig om hhv. indtegningspolitikken og genforsikringsarrangementerne. Aktuarfunktionen skal også kontrollere beregningen af de forsikringsmæssige hensættelser. Denne kontrol kan dog ikke udføres af den person, der har beregnet hensættelserne! INTERN AUDITFUNKTIONEN Intern Auditfunktionen skal ud fra en risikobaseret tilgang undersøge og vurdere, om virksomhedens interne kontrolsystem er hensigtsmæssigt og betryggende, herunder om andre nøglefunktioner fungerer hensigtsmæssigt. Intern Auditfunktionen skal altså ses som et ekstra sæt øjne på virksomheden - ud over dem, der allerede vurderer og kontrollerer virksomheden i selve forretningen, og i de andre nøglefunktioner. Auditfunktionen skal lave en auditplan og en politik. Politikken skal bl.a. omfatte, hvornår den interne auditfunktion kan blive opfordret til at udtale sig eller yde bistand, og hvilke interne procedurer funktionen skal følge, inden tilsynet skal underrettes.
OUTSOURCING AF DE 4 NØGLEFUNKTIONER Virksomheden har mulighed for helt eller delvist at outsource opgaverne i en eller flere nøglefunktioner. I den forbindelse skal virksomheden fortsat udpege en intern ansvarlig for den eller de pågældende funktioner - og personen skal fit & proper godkendes af Finanstilsynet. Det er virksomheden selv, der skal "fit & proper" vurdere den, de outsourcer til. Formålet med at outsource er bl.a. at reducere omkostninger, holde fokus på kerneaktiviteter, frigøre ressourcer til andre formål - og ikke mindst lade leverandøren tage del i vurderingen af virksomhedens risici. For mindre Gruppe 1 selskaber kan det være særligt praktisk at outsource en eller flere nøglefunktioner, netop fordi funktionerne typisk ikke kan bære en fuldtidsmedarbejder. Som beskrevet vil det ofte i praksis være et egentligt lovkrav at outsource Intern Audit funktionen, såfremt der ikke oprettes en selvstændig funktion i virksomheden. konsulentvirksomhed, som er specialiseret i compliance og risikostyring i finansielle virksomheder. FCG er blandt de førende aktører inden for compliance og risikostyring i Norden med kontorer i København og Stockholm. FCG har over 50 medarbejdere, der alle har erfaring fra henholdsvis den finansielle sektor og tilsynsmyndigheder og har siden sin start i 2008 arbejdet med over 200 forskellige finansielle kunder. KONTAKT Kathrine von Grumbkow, Director kathrine.grumbkow@fcg.dk Direkte: +45 2685 1145 Vælger virksomheden at outsource en eller flere nøglefunktioner skal Finanstilsynets regler om outsourcing af væsentlige aktivitetsområder iagttages, og Finanstilsynet skal i denne forbindelse underrettes. INTERESSERET? Er du interesseret i at høre mere om, hvordan de 4 nøglefunktioner kan indrettes alternativt outsources, så kontakt FCG for et uforpligtende møde. OM FCG The Financial Compliance Group (FCG) er en