Senere ændringer til forskriften
Lovgivning forskriften vedrører
Ændrer i/ophæver
Links til EU direktiver, jf. note 1
32009L0138
 
Oversigt (indholdsfortegnelse)
Kapitel 1 Anvendelsesområde
Kapitel 2 Bestyrelsens opgaver og ansvar
Kapitel 3 Direktionens opgaver og ansvar
Kapitel 4 Organisation og ansvarsfordeling
Kapitel 5 Administrativ og regnskabsmæssig praksis
Kapitel 6 Virksomhedens nøglefunktioner
Kapitel 7 Risikostyring i øvrigt
Kapitel 8 Straffebestemmelser
Kapitel 9 Ikrafttrædelse
Bilag 1 Forsikringsmæssige risici
Bilag 2 Investeringsområdet
Bilag 3 Operationelle risici
Bilag 4 It-sikkerhed
Bilag 5 Tilrettelæggelse af arbejdet i bestyrelsen
Bilag 6 Risikostyringssystemet, risikostyringsfunktionen og vurdering af egen risiko og solvens i gruppe 1-forsikringsselskaber
Bilag 7 Det interne kontrolsystem og compliancefunktionen i gruppe 1-forsikringsselskaber
Bilag 8 Aktuarfunktionen i gruppe 1-forsikringsselskaber
Bilag 9 Intern auditfunktionen i gruppe 1-forsikringsselskaber
Den fulde tekst

Bekendtgørelse om ledelse og styring af forsikringsselskaber m.v.1)

I medfør af § 65, stk. 2, § 70, stk. 7, § 71, stk. 2, og § 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 182 af 18. februar 2015, som ændret ved lov nr. 308 af 28. marts 2015 og lov nr. 1563 af 15. december 2015, fastsættes:

Kapitel 1

Anvendelsesområde

§ 1. Denne bekendtgørelse finder anvendelse på følgende virksomheder:

1) Forsikringsselskaber.

2) Forsikringsholdingvirksomheder, der er den øverste modervirksomhed i en koncern.

3) Finansielle holdingvirksomheder omfattet af § 5, stk. 1, nr. 10, litra a, der er den øverste modervirksomhed i en koncern, hvor mindst en af dattervirksomhederne er et gruppe 1-forsikringsselskab.

4) Filialer her i landet af forsikringsselskaber, der er meddelt tilladelse i et land uden for den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, med de afvigelser, som filialforholdet nødvendiggør, eller som er fastsat i eller i henhold til international aftale.

Stk. 2. Udover reglerne i artikel 258-262 og 266-272 i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) finder denne bekendtgørelse anvendelse på gruppe 1-forsikringsselskabers ledelse og styring.

Stk. 3. For gruppe 2-forsikringsselskaber finder § 3, stk. 2, § 4, § 5, stk. 3, § 6, stk. 4, § 7, stk. 4, § 9, stk. 4, § 17, § 18, stk. 1, 2. pkt. og stk. 2, § 19, stk. 2, §§ 20 og 21, § 24, § 28, bilag 1, nr. 2, bilag 2, nr. 2, 4-5, 7 og 9, og bilag 6-9 dog ikke anvendelse.

Stk. 4. Bestemmelserne for gruppe 1-forsikringsselskaber i denne bekendtgørelse finder tilsvarende anvendelse for de i stk. 1, nr. 2 og 3, nævnte holdingvirksomheder med de tilpasninger, koncernforholdet nødvendiggør samt de i stk. 1, nr. 4, nævnte filialer.

Stk. 5. Finanstilsynet kan dispensere fra kravet i § 20 for de i stk. 1, nr. 2 og 3, nævnte holdingvirksomheder.

§ 2. Bestyrelsen henholdsvis direktionen i de af § 1, stk. 1, omfattede virksomheder skal træffe foranstaltninger, der er tilstrækkelige til, at virksomheden drives betryggende. Bestyrelsen henholdsvis direktionen skal herunder tage stilling til, hvilke foranstaltninger, der er tilstrækkelige til, at bestemmelserne overholdes. Hvilke foranstaltninger, der er tilstrækkelige, vil afhænge af virksomhedens forretningsmodel, herunder af

1) arten, omfanget og kompleksiteten af virksomhedens risici og aktiviteter,

2) virksomhedens størrelse,

3) virksomhedens struktur samt strukturen af den koncern, hvori virksomheden måtte indgå,

4) de forretningsmæssige og geografiske områder, som virksomheden opererer på,

5) de finansielle tjenesteydelser, som virksomheden tilbyder, og

6) de finansielle produkter, som virksomheden handler med.

Stk. 2. Bestyrelsen og direktionen i de af § 1, stk. 1, nr. 2 og 3, omfattede virksomheder skal træffe foranstaltninger, der er tilstrækkelige til, at koncernen drives på betryggende vis.

Kapitel 2

Bestyrelsens opgaver og ansvar

§ 3. Bestyrelsen skal som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

1) træffe beslutning om virksomhedens forretningsmodel, herunder målsætninger for de forhold, der er nævnt under § 2, stk. 1,

2) på grundlag af forretningsmodellen træffe beslutning om virksomhedens politikker, jf. § 5,

3) vurdere og træffe beslutning om virksomhedens budgetter, kapital, likviditet, væsentlige dispositioner, særlige risici og virksomhedens egne overordnede forsikringsforhold,

4) vurdere, om direktionen varetager sine opgaver på en betryggende måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker samt retningslinjerne til direktionen, og

5) tilrettelægge sit arbejde således, at ledelsen af virksomheden er betryggende, jf. bilag 5.

Stk. 2. Bestyrelsen i et gruppe 1-forsikringsselskab skal endvidere som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

1) mindst én gang årligt foretage en vurdering af egen risiko og solvens, jf. § 4,

2) i overensstemmelse med artikel 258, stk. 1, litra k, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) træffe beslutning om frekvensen for og omfanget af direktionens rapportering til og information af bestyrelsen således, at bestyrelsen har et indgående overblik over virksomheden og dens risici, og at rapporteringen i øvrigt er fyldestgørende for bestyrelsens arbejde,

3) beslutte en kapitalplan, som skal sikre, at virksomhedens kapitalgrundlag vil være tilstrækkelig til at dække de risici, som virksomheden kan forventes at blive udsat for ved virksomhedens fortsatte drift i henhold til den fastsatte strategi, og

4) beslutte en kapitalnødplan, der skal indeholde operationelle procedurer, som kan anvendes i praksis, hvis kapitalplanens forudsætninger brister.

Stk. 3. Bestyrelsen i et gruppe 2-forsikringsselskab skal endvidere som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

1) træffe beslutning om frekvensen for og omfanget af direktionens rapportering til og information af bestyrelsen således, at bestyrelsen har et indgående overblik over virksomheden og dens risici, og at rapporteringen i øvrigt er fyldestgørende for bestyrelsens arbejde,

2) beslutte en kapitalplan, som skal sikre, at virksomhedens basiskapital vil være tilstrækkelig til at dække de risici, som virksomheden kan forventes at blive udsat for ved virksomhedens fortsatte drift i henhold til den fastsatte strategi, og

3) beslutte en kapitalnødplan, der skal indeholde operationelle procedurer, som kan anvendes i praksis, hvis kapitalplanens forudsætninger brister.

§ 4. Bestyrelsen i et gruppe 1-forsikringsselskab skal foretage den i § 3, stk. 2, nr. 1, nævnte vurdering af egen risiko og solvens med udgangspunkt i virksomhedens forretningsmodel, risikoprofil og risikotolerancegrænser. Bestyrelsen skal sikre, at vurderingen af egen risiko og solvens foretages ud fra en going concern-forudsætning både på kort og på lang sigt. Vurderingen skal indeholde en vurdering af, om det opgjorte solvenskapitalkrav har taget tilstrækkeligt højde for alle væsentlige risicis virkning inden for de kommende 12 måneder. Vurderingen skal således udtrykke virksomhedens mulighed for at overholde solvenskapitalkravet og minimumskapitalkravet, både inden for en tidshorisont på 12 måneder og i en periode, der mindst svarer til virksomhedens strategiske planlægningsperiode, jf. artikel 262, stk. 2, litra a, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II). Bestyrelsen beslutter valg af metoder, forudsætninger, parametre m.v. ved de fremskrivninger, som bliver lagt til grund for den langsigtede vurdering.

Stk. 2. Såfremt et gruppe 1-forsikringsselskab anvender standardmodellen til opgørelse af hele eller en del af solvenskapitalkravet, skal bestyrelsen i sin vurdering af egen risiko og solvens have fokus på de forskelle mellem standardmodellen og vurderingen af egen risiko og solvens, der skyldes risici, som enten ikke er medtaget i standardmodellen eller som i standardmodellen er overvurderet eller undervurderet i forhold til risikoprofilen. Det vil ikke være tilstrækkeligt at oplyse afvigelserne ved blot at sammenholde det opgjorte solvenskapitalkrav med resultatet af den kvalitative opgørelse af virksomhedens risici. Såfremt virksomheden anvender en fuld eller partiel intern model til opgørelse af solvenskapitalkravet, skal bestyrelsens vurdering af egen risiko og solvens have fokus på den interne models begrænsninger.

Stk. 3. Bestyrelsen i et gruppe 1-forsikringsselskab beslutter, hvor ofte og i hvilket omfang der skal foretages løbende følsomhedsanalyser for alle virksomhedens væsentlige risici og solvenskapitalkravet, jf. bilag 6.

Stk. 4. Finanstilsynet kan godkende, at den øverste modervirksomhed i en koncern foretager vurderingen af egen risiko og solvens på koncernniveau og for alle datterselskaber på samme tid og indsender et samlet dokument til tilsynet.

§ 5. Virksomhedens politikker, jf. § 3, stk. 1, nr. 2, skal indeholde virksomhedens overordnede strategiske mål for de pågældende risikoområder, herunder identifikation og afgrænsning af de risici, virksomheden ønsker at påtage sig på de pågældende områder, og anvisninger på, hvorledes de strategiske mål opnås.

Stk. 2. Politikkerne skal, hvor det er relevant, omfatte:

1) Politik for forsikringsmæssige risici, jf. bilag 1.

2) Politik for markeds-, modparts- og kreditrisici (investeringsområdet), jf. bilag 2.

3) Politik for operationelle risici, jf. bilag 3.

4) It-sikkerhedspolitik, jf. bilag 4.

Stk. 3. Udover politikkerne nævnt i artikel 260, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal politikkerne i et gruppe 1-forsikringsselskab endvidere omfatte:

1) Politik for risikostyring, jf. bilag 6.

2) Politik for den interne kontrol, jf. artikel 258, stk. 2, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

3) Politik for den interne audit, jf. artikel 258, stk. 2, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

4) Politik for vurdering af egen risiko og solvens, jf. bilag 6.

5) Politik for kapitalstruktur.

6) Politik for indberetning af oplysninger til Finanstilsynet.

7) Politik for fyldestgørende oplysninger i rapport om solvens og finansiel situation, jf. § 283, stk. 1, 1. pkt., i lov om finansiel virksomhed.

8) Øvrige risikoområder som bestyrelsen skønner er af betydning for virksomheden.

Stk. 4. Et gruppe 2-forsikringsselskab skal foruden de i stk. 2 nævnte politikker endvidere udarbejde en politik for opgørelse af individuelt solvensbehov.

Stk. 5. Virksomhedens politikker skal være forsvarlige i forhold til virksomhedens indtjening og kapitalgrundlag for så vidt angår gruppe 1-forsikringsselskaber eller basiskapital for så vidt angår gruppe 2-forsikringsselskaber.

§ 6. Ved opfyldelse af § 3, stk. 2, nr. 1, for gruppe 1-forsikringsselskaber og § 15 i bekendtgørelse om driftsplaner, planer for genoprettelse, finansieringsplaner og individuelt solvensbehov for forsikringsselskaber for gruppe 2-forsikringsselskaber skal bestyrelsen løbende, dog mindst én gang om året, vurdere, om virksomhedens politikker, jf. § 5, samt retningslinjerne til direktionen, jf. §§ 7 og 8, er betryggende i forhold til virksomhedens forretningsmæssige aktiviteter, organisation og ressourcer samt de markedsforhold, som virksomhedens aktiviteter drives under.

Stk. 2. Vurderingen efter stk. 1 skal foretages i forhold til

1) hvilke risici, som virksomheden er udsat for, herunder forretningsmodellens indflydelse på risici og risikoniveauer,

2) hvilke aktiviteter de pågældende risici er tilknyttet,

3) omfanget af de enkelte risici, og

4) hvorledes risikotyperne påvirker hinanden, hvis dette er relevant.

Stk. 3. Vurderingen efter stk. 1 skal i fornødent omfang desuden indeholde en stillingtagen til om virksomheden har

1) et betryggende antal medarbejdere og kompetencer på risikobehæftede aktiviteter,

2) betryggende it-systemer, og

3) betryggende procedurer for hurtig og effektiv kommunikation på tværs af virksomheden og koncernen.

Stk. 4. I et gruppe 1-forsikringsselskab skal rapporten fra den ansvarlige for risikostyringsfunktionen, jf. bilag 6, indgå i bestyrelsens samlede vurderingsgrundlag, jf. stk. 1.

§ 7. På grundlag af vurderingen af egen risiko og solvens for gruppe 1-forsikringsselskaber, jf. § 3, stk. 2, nr. 1, risikovurderingen for gruppe 2-forsikringsselskaber, jf. § 15 i bekendtgørelse om driftsplaner, planer for genoprettelse, finansieringsplaner og individuelt solvensbehov for forsikringsselskaber, og i henhold til de i § 5 besluttede politikker skal bestyrelsen udstede skriftlige retningslinjer til direktionen.

Stk. 2. Retningslinjerne efter stk. 1 skal angive, hvilke dispositioner direktionen kan foretage som led i dens stilling, og hvilke beslutninger direktionen eventuelt kan træffe med efterfølgende orientering af bestyrelsen.

Stk. 3. Bestyrelsen kan ikke henlægge beføjelser til direktionen, der hører til bestyrelsens overordnede ledelsesopgaver, jf. §§ 3-6, eller i øvrigt er af usædvanlig art eller af stor betydning for virksomheden. Blandt andet kan følgende beføjelser ikke henlægges til direktionen:

1) Beslutning om outsourcing af kritiske eller vigtige operationelle funktioner eller aktiviteter.

2) Bevilling af usædvanlige eller betydende eksponeringer, jf. dog § 117, stk. 1, 4. og 5. pkt., i lov om aktie- og anpartsselskaber (selskabsloven) og eksponeringer omfattet af § 78 i lov om finansiel virksomhed.

3) Den årlige gennemgang af større aktiver og passiver, jf. principperne i § 115, nr. 1, i lov om aktie- og anpartsselskaber (selskabsloven).

4) Ansættelse af direktion, ansvarshavende aktuar og revisionschef.

5) Beslutning om principper for opgørelse af risici, jf. § 8, stk. 1, nr. 2, herunder anvendelse af interne modeller, der ikke er omfattet af stk. 4, i den løbende risikostyring.

Stk. 4. I et gruppe 1-forsikringsselskab kan bestyrelsen endvidere ikke henlægge beføjelsen til at træffe beslutning om ansøgning om godkendelse af interne modeller til opgørelse af solvenskapitalkrav, jf. § 15, nr. 1, i bekendtgørelse om opgørelse af solvenskapitalkrav ved anvendelse af en intern model, til direktionen.

Stk. 5. I et gruppe 2-forsikringsselskab kan bestyrelsen endvidere ikke henlægge beføjelsen til at træffe beslutning om det individuelle solvensbehov, jf. § 126, stk. 4, i lov om finansiel virksomhed, til direktionen.

§ 8. Retningslinjerne efter § 7, stk. 1 og 2, skal, hvor det er relevant,

1) indeholde kontrollerbare grænser for størrelsen af de risici, som direktionen er bemyndiget til at tage på virksomhedens vegne, og

2) fastlægge principperne for, hvordan udnyttelse af grænserne for hver type af risiko opgøres, herunder for hvordan risiko hidrørende fra finansielle instrumenter og midler, der på virksomhedens vegne forvaltes af eksterne porteføljeforvaltere, indgår i den samlede risikoopgørelse.

Stk. 2. Retningslinjerne skal utvetydigt angive størrelsen af den enkelte fastsatte grænse for risiko, f.eks. som absolutte tal, eller ved at risikoen sættes i forhold til virksomhedens egenkapital, kapitalgrundlag for så vidt angår gruppe 1-forsikringsselskaber eller basiskapital for så vidt angår gruppe 2-forsikringsselskaber.

Stk. 3. Retningslinjerne kan kun undtagelsesvis give mulighed for, at direktionen kan disponere risici i en størrelsesorden, der ligger uden for den fastlagte risikoprofil og retningslinjernes grænser og da kun, hvis forudsætningerne herfor fremgår af retningslinjerne. Kan disse forudsætninger ikke fastlægges, kan forudgående beføjelser til overskridelse af retningslinjernes grænser ikke gives til direktionen.

Stk. 4. Bestyrelsen i et gruppe 2-forsikringsselskab skal ved udformningen af retningslinjerne til direktionen være betrygget i, at direktøren eller direktionens medlemmer tilsammen besidder den fornødne viden og erfaring til at anvende de i retningslinjerne indeholdte beføjelser på en for virksomheden betryggende måde.

Stk. 5. Det skal fremgå af retningslinjerne, hvorledes og hvor hyppigt rapportering til bestyrelsen skal ske. Herunder skal det fremgå, hvorledes og hvor hyppigt direktionen skal rapportere på de områder, hvor bestyrelsen har fastsat grænser for direktionen, eller hvor der er fastsat grænser i lovgivningen. Det skal således fremgå af rapporteringen, om grænser fastsat i lovgivningen er overholdt. Det skal fremgå, i hvilket omfang de af bestyrelsen fastsatte grænser for risici er udnyttet såvel aktuelt som over tid, herunder om der har været overskridelser af grænserne. Endelig skal rapporteringen omfatte et grundlag for bestyrelsens vurdering af anvendte modellers pålidelighed, hvis virksomheden anvender sådanne modeller.

Stk. 6. Rapporteringen efter stk. 5 skal også omfatte rapportering om midler og risici hidrørende fra midler, der forvaltes af eksterne porteføljeforvaltere, idet det fortsat er bestyrelsens ansvar, at midler, der forvaltes af eksterne porteføljeforvaltere, og øvrige midler tilsammen placeres inden for de af bestyrelsen udstukne retningslinjer og i overensstemmelse med lovgivningen.

Kapitel 3

Direktionens opgaver og ansvar

§ 9. Direktionen skal forestå den daglige ledelse af virksomheden i overensstemmelse med lovgivningens bestemmelser, herunder lov om aktie- og anpartsselskaber (selskabsloven) og lov om finansiel virksomhed, de af bestyrelsen vedtagne politikker, jf. § 5, de af bestyrelsen givne retningslinjer, jf. §§ 7 og 8, og eventuelle andre mundtlige eller skriftlige beslutninger og anvisninger fra bestyrelsen.

Stk. 2. Direktionen skal sikre, at de af bestyrelsen vedtagne politikker og retningslinjer implementeres i virksomhedens daglige drift.

Stk. 3. Direktionen er forpligtet til at videregive information til bestyrelsen, som bestyrelsen har anmodet om, samt information, som direktionen vurderer kan være af betydning for bestyrelsens arbejde.

Stk. 4. Direktionen er forpligtet til at videregive de informationer til de ansvarlige for nøglefunktionerne, jf. § 17, stk. 2, som direktionen vurderer kan være af betydning for disses arbejde.

Stk. 5. Direktionen har det daglige ledelsesmæssige ansvar for, at virksomheden kun træffer dispositioner, som direktionen og medarbejdere i fornødent omfang kan vurdere risiciene ved og konsekvenserne af.

Stk. 6. Direktionen skal godkende virksomhedens forretningsgange, jf. § 14, stk. 1, eller udpege en eller flere personer eller organisatoriske enheder med den nødvendige faglige viden til at gøre dette.

Stk. 7. Direktionen skal sikre, at der er anvisninger for, hvilke tiltag der skal iværksættes i forbindelse med nøglemedarbejderes fratræden.

Stk. 8. Direktionen i et gruppe 2-forsikringsselskab skal sikre, at der er anvisninger for, hvilke tiltag der skal iværksættes i forbindelse med alvorlige driftsforstyrrelser, it-nedbrud og øvrige driftsforstyrrelser.

Kapitel 4

Organisation og ansvarsfordeling

Opgaver og ressourcer

§ 10. Et gruppe 2-forsikringsselskab skal være indrettet i organisatoriske enheder med klart definerede arbejdsopgaver, herunder skal alle medarbejdere have klare beføjelser, ansvarsområder og referencelinjer. Det skal herunder være klart for de enkelte enheder og medarbejdere, hvilke opgaver der skal udføres og hvordan opgaverne skal udføres.

Stk. 2. De organisatoriske enheder i et gruppe 2-forsikringsselskab skal være bemandet ressource- og kompetencemæssigt således, at enhederne på betryggende vis kan løse de opgaver, det påhviler enhederne at udføre.

Information af bestyrelsen og øvrige ledelsesniveauer m.v.

§ 11. Et gruppe 2-forsikringsselskab skal være indrettet således, at den information, der skal tilgå bestyrelse, direktion og ledelse på øvrige organisatoriske niveauer, kan tilgå disse i retvisende og dækkende form for disses arbejde, herunder inden for tidsmæssige rammer og i en form, der sikrer, at eventuelle foranstaltninger kan sættes i værk uden unødigt ophold.

Forebyggelse af interessekonflikter

§ 12. Et gruppe 2-forsikringsselskab skal have procedurer for håndtering og forebyggelse af interessekonflikter.

Stk. 2. Et gruppe 1-forsikringsselskab og et gruppe 2-forsikringsselskab skal være indrettet således, at der er betryggende funktionsadskillelse.

Stk. 3. Virksomheden skal have funktionsadskillelse på området for forsikringsmæssige risici. Dette indebærer, at medarbejdere, der er involveret i accept af forsikringer, ikke må

1) varetage eller udføre skadesbehandling,

2) varetage eller udføre forsikringsmæssige udbetalinger, eller

3) have ansvar for udarbejdelse af rapportering.

Stk. 4. Virksomheden skal have funktionsadskillelse på investeringsområdet, der indebærer, at medarbejdere, der er involveret i indgåelse af handler og risikotagning, ikke må

1) varetage eller udføre handlernes afvikling,

2) varetage interne kontroller,

3) have ansvar for værdiansættelse og opgørelse af resultater og risici, eller

4) have ansvar for udarbejdelse af rapportering.

Stk. 5. I virksomheder, hvor der ikke opretholdes funktionsadskillelse i overensstemmelse med stk. 2-4, jf. § 2, skal der indføres betryggende kompenserende foranstaltninger, der skal sikre, at der ikke påføres virksomheden unødige risici eller tab.

Kapitel 5

Administrativ og regnskabsmæssig praksis

Administrativ praksis

§ 13. Virksomheden skal være indrettet således, at de enkelte enheder og medarbejderne har de forretningsgange, manualer, beredskabsplaner, systemer og øvrige redskaber til rådighed, der er nødvendige for udførelsen af deres opgaver, jf. § 14.

§ 14. Virksomheden skal have forretningsgange på alle væsentlige aktivitetsområder. Aktiviteter, der vedrører virksomheden i dens egenskab af finansiel virksomhed, anses som udgangspunkt for væsentlige.

Stk. 2. Forretningsgangene skal som minimum

1) være lettilgængelige og overskuelige,

2) på fyldestgørende måde beskrive de aktiviteter, der skal udføres, herunder sikre at lovgivningen, anden relevant regulering samt de af virksomhedens ledelse besluttede politikker og retningslinjer efterleves og overholdes,

3) angive, hvilken organisatorisk enhed, personer eller grupper af personer, der skal udføre de enkelte opgaver eller delopgaver, og

4) opdateres løbende ved ændring i interne forhold eller i relevant regulering.

Stk. 3. Forretningsgangene kan foreligge elektronisk. Direktionen skal dog sikre, at de er tilgængelige i tilfælde af systemnedbrud i virksomheden.

§ 15. Direktionen skal sikre, at der er fornøden dokumentation for virksomhedens aktiviteter, herunder at der er forretningsgange for

1) i hvilket omfang beslutninger, beføjelser, udførte opgaver og forretninger samt opståede hændelser skal dokumenteres,

2) i hvilken form dokumentationen skal ske,

3) hvorledes der sikres tilgængelighed til dokumentationen,

4) hvor længe dokumentationen skal opbevares, og

5) hvis relevant, til hvem dokumentationen kan og skal videregives.

Stk. 2. Direktionen i et gruppe 2-forsikringsselskab skal sikre, at det klart fremgår af de i § 13 nævnte forretningsgange mv.

1) hvilke opgaver der skal udføres,

2) hvordan opgaverne skal udføres,

3) i hvilket omfang udførte opgaver skal dokumenteres,

4) i hvilken form dokumentationen skal ske,

5) hvor dokumentationen skal opbevares,

6) hvor længe dokumentationen skal opbevares,

7) til hvem dokumentationen skal videregives, og

8) hvor tidligere udarbejdet dokumentation kan findes.

Stk. 3. Dokumentationen, jf. stk. 1, skal foreligge enten skriftligt eller elektronisk.

Regnskabsmæssig praksis

§ 16. Virksomheden skal have en god regnskabsmæssig praksis. Dette indebærer blandt andet, at

1) virksomheden kan dokumentere, at offentliggjorte års- og delårsrapporter, herunder alle enkeltposter og noter, er udarbejdet i overensstemmelse med det regelsæt, der gælder for den pågældende rapport, og

2) virksomheden indhenter nødvendig information til brug for udarbejdelse af års- og delårsrapporter, herunder al relevant information til brug for fastlæggelse af regnskabsposter, der baseres på regnskabsmæssige skøn.

Kapitel 6

Virksomhedens nøglefunktioner

Nøglefunktionernes formål, organisation m.v.

§ 17. Med henblik på at sikre effektive former for virksomhedsstyring, herunder et effektivt risikostyringssystem og et effektivt internt kontrolsystem, skal direktionen i et gruppe 1-forsikringsselskab sikre, at virksomheden som minimum har følgende fire nøglefunktioner: Risikostyringsfunktion, compliancefunktion, aktuarfunktion og intern auditfunktion.

Stk. 2. Direktionen skal for hver af de mindst fire nøglefunktioner udpege en nøgleperson, der er den ansvarlige for funktionen, jf. dog stk. 7, § 20, stk. 2, og § 21, stk. 3. Direktionen skal vurdere, om virksomheden har andre nøglepersoner og i så fald identificere disse.

Stk. 3. Direktionen skal udarbejde funktionsbeskrivelser af nøglefunktionerne, der fordeler, adskiller og koordinerer nøglefunktionernes arbejdsopgaver og ansvar i overensstemmelse med bestyrelsens politikker med henblik på at forhindre unødigt sammenfald imellem funktionerne og sikre effektivt samarbejde i virksomheden.

Stk. 4. Nøglefunktionerne rapporterer til direktionen på eget initiativ, herunder om større problemer inden for deres ansvarsområde, jf. artikel 268, stk. 3, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), og efter anmodning fra direktionen. De udpegede nøglepersoner er ansvarlige for nøglefunktionernes rapportering til direktionen. Nøglefunktionerne afleverer mindst en gang årligt en rapport til direktionen, jf. dog § 20, stk. 2, og § 21, stk. 3. Direktionen skal sikre, at nøglepersonerne i nødvendigt omfang kan rette henvendelse og rapportere direkte til bestyrelsen uafhængigt af direktionen, og at de kan give udtryk for betænkeligheder og advare bestyrelsen i de tilfælde, hvor de finder det nødvendigt, uden at dette berører det ansvar, som bestyrelsen har, jf. § 70 i lov om finansiel virksomhed.

Stk. 5. En person eller organisatorisk enhed kan udføre mere end én nøglefunktion, hvor det er forsvarligt under hensyntagen til arten, omfanget og kompleksiteten af virksomhedens risici og aktiviteter, jf. § 2, stk. 1, nr. 1, jf. dog artikel 268, stk. 1, og artikel 271, stk. 1 og 2, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

Stk. 6. Direktionen kan som nøgleperson udpege en medarbejder, der også har ansvar for andre opgaver end funktionens, jf. dog artikel 258, stk. 1, litra g, stk. 5, og artikel 268, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

Stk. 7. Et medlem af direktionen kan alene udpeges som en af de i stk. 2, 1. pkt., nævnte nøglepersoner, hvis udpegningen sker under hensyntagen til § 2, stk. 1, nr. 1, og besluttes af bestyrelsen.

Stk. 8. Direktionen kan vælge, at en nøglefunktions opgaver placeres i organisatoriske enheder uden for nøglefunktionen. Hvis direktionen vælger at placere en nøglefunktion i organisatoriske enheder, som har andre opgaver, skal direktionen sikre, at placeringen af nøglefunktionen er betryggende, herunder at eventuelle interessekonflikter i forhold til varetagelsen af funktionens opgaver og øvrige opgaver håndteres betryggende.

Stk. 9. Uanset stk. 7 og 8 skal nøglepersonen sikre, at nøglefunktionen udfører opgaver henhørende under funktionen på betryggende vis.

Stk. 10. Virksomheden kan outsource en eller flere nøglefunktioners opgaver helt eller delvist, men direktionen skal fortsat udpege en nøgleperson, der er den ansvarlige for nøglefunktionen, jf. stk. 2.

Risikostyring og risikostyringsfunktion

§ 18. Virksomheden skal have et risikostyringssystem, der skal være velintegreret i organisationsstrukturen og virksomhedens beslutningsprocesser. Udover områderne nævnt i artikel 259, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal risikostyringssystemet i et gruppe 1-forsikringsselskab dække de risici, der skal indgå i beregningen af solvenskapitalkravet, samt øvrige risici, der ikke eller ikke til fulde indgår i denne beregning. Risikostyringssystemet i et gruppe 2-forsikringsselskab skal dække de risici, der skal indgå i beregningen af individuelt solvensbehov, samt øvrige risici, der ikke indgår i denne beregning.

Stk. 2. Et gruppe 1-forsikringsselskab skal have en risikostyringsfunktion med en struktur, der skal lette gennemførelsen af risikostyringssystemet. Det er funktionens overordnede ansvar at have det samlede overblik over virksomhedens risici og solvens og bistå direktionen med at sikre risikostyringssystemets effektivitet, jf. bilag 6.

Compliance og compliancefunktion

§ 19. Virksomheden skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for virksomhedens manglende overholdelse af den for virksomheden gældende lovgivning, markedsstandarder eller interne regelsæt (compliancerisici).

Stk. 2. Et gruppe 1-forsikringsselskab skal have en effektiv compliancefunktion, jf. bilag 7, der udover at opfylde kravene i artikel 270 i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal kontrollere og vurdere, om metoderne og procedurerne efter stk. 1, og de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive. Compliancefunktionen skal desuden rådgive direktionen og bestyrelsen om overholdelsen af den finansielle lovgivning for virksomheden, vurdere konsekvenser for virksomheden af lovændringer samt identificere og vurdere risici for manglende overholdelse af den finansielle lovgivning, markedsstandarder eller interne regelsæt.

Aktuarfunktion

§ 20. Et gruppe 1-forsikringsselskab skal have en effektiv aktuarfunktion, som udover at opfylde kravene i artikel 272 i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal have det overordnede ansvar for selskabets forsikringsmæssige hensættelser, jf. bilag 8. Funktionen varetages af personer, som har kendskab til aktuarmatematik og finansmatematik på et niveau, der står i rimeligt forhold til arten, omfanget og kompleksiteten af risici, der er forbundet med virksomheden, og som kan påvise at have relevant erfaring med gældende faglige standarder og andre standarder af relevans for aktuarfunktionen.

Stk. 2. I en virksomhed, der har ansat en ansvarshavende aktuar, kan bestyrelsen udpege denne som nøglepersonen i aktuarfunktionen. Den i § 17, stk. 4, nævnte rapport skal da afgives til bestyrelsen og tilgå direktionen til orientering.

Stk. 3. I en koncern udtaler aktuarfunktionen sig om den del af forsikringspolitikken, der vedrører genforsikring og genforsikringsprogrammet for koncernen som helhed.

Intern auditfunktion

§ 21. Et gruppe 1-forsikringsselskab skal have en effektiv intern auditfunktion, der skal vurdere, om virksomhedens interne kontrolsystem og andre elementer af ledelsen og styringen er hensigtsmæssige og betryggende, jf. bilag 9. Indberetning efter artikel 271, stk. 3, litra c, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) af auditplanen skal ske til direktionen. Den interne auditfunktion skal være objektiv og uafhængig af virksomhedens operationelle funktioner. Den interne auditfunktion må ikke i sin audit, vurdering og rapportering af auditresultatet være under påvirkning fra direktionen eller bestyrelsen, som kan bringe funktionens uafhængighed og upartiskhed i fare.

Stk. 2. Den interne auditfunktions skriftlige rapport om funktionens resultater og henstillinger, jf. artikel 271, stk. 3, litra d, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), skal afgives til direktionen. Rapporten skal indeholde en frist for afhjælpning af eventuelle mangler og oplyse om status på anbefalinger, der ikke var afhjulpet ved afgivelsen af den foregående auditrapport.

Stk. 3. Bestyrelsen i en virksomhed, der har oprettet en intern revision, kan beslutte at udpege den interne revisionschef som nøgleperson i den interne auditfunktion og lade den interne revision udføre den interne auditfunktions opgaver. I så fald gælder kravene til intern revision i bekendtgørelse om revisionens gennemførelse i finansielle virksomheder m.v. samt finansielle koncerner ligeledes for den interne auditfunktion. Den i stk. 1 og 2 nævnte auditplan og rapport skal da afgives til bestyrelsen og rapporten skal tilgå direktionen til orientering.

Kapitel 7

Risikostyring i øvrigt

Videregivelse af beføjelser

§ 22. Videregivelse af beføjelser mellem bestyrelse, direktion og øvrige ledelsesniveauer skal kunne dokumenteres, jf. § 15, og proceduren herfor skal i relevant omfang fremgå af forretningsgangene, jf. § 14.

Stk. 2. Videregivelse af beføjelser kan kun ske til medarbejdere, der har den fornødne viden, indsigt og erfaring til at kunne anvende de modtagne beføjelser betryggende.

Stk. 3. Videregivne beføjelser skal som minimum angive

1) arten og omfanget af den eller de videregivne beføjelser,

2) principperne for opgørelse af udnyttelse af beføjelserne,

3) hvilke produkter og/eller handlinger beføjelsen omfatter,

4) eventuelle supplerende grænser for risiko samt principperne for opgørelse af sådanne beføjelser, der opfylder kravene i § 8, stk. 1, og

5) hvordan, hvor ofte og af hvilken person eller organisatorisk enhed rapportering skal foretages til afgiver af beføjelsen og eventuelle andre.

Stk. 4. Ingen kan videregive beføjelser, der går ud over de beføjelser, den pågældende selv har modtaget. Summen af videregivne beføjelser, herunder beføjelser givet til grupper af medarbejdere, må ikke overstige de i bestyrelsens retningslinjer til direktionen indeholdte beføjelser.

Stk. 5. Hvis der er fastsat supplerende risikomål i forbindelse med videregivne beføjelser, skal den, der afgiver beføjelserne, sikre sig, at anvendelse af de supplerende risikomål finder sted på en måde, der sikrer, at der ikke sker overskridelse af øvrige tildelte beføjelser.

Kontroller

§ 23. Direktionen skal sikre, at der foretages kontrol af alle væsentlige risikobehæftede opgaver, herunder

1) overholdelse af samtlige grænser fastsat af bestyrelsen i henhold til § 8, stk. 1, nr. 1, i de til direktionen givne retningslinjer og grænser i lovgivningen,

2) overholdelse af videregivne beføjelser,

3) dispositioner, hvor virksomheden handler i henhold til fuldmagt fra kunder eller modparter og hvor virksomheden har forpligtet sig til at overholde grænser for risici, herunder placeringsgrænser, og

4) andre opgaver, som af anden årsag kan medføre væsentlige økonomiske eller andre væsentlige risici for virksomheden, herunder disponering af virksomhedens konti og opgaver i forbindelse med fremskaffelse eller udarbejdelse af grundlag for regnskab, opgørelse af solvenskapitalkravet og vurdering af egen risiko og solvens for gruppe 1-forsikringsselskaber eller fastsættelse af virksomhedens individuelle solvensbehov for gruppe 2-forsikringsselskaber.

Stk. 2. Kontrol skal udføres af en anden enhed end den, der har udført opgaven, så interessekonflikter undgås. Det gælder dog ikke kontroller, der har karakter af afstemning, overvågning af om forretningsgange overholdes, fejlfinding eller lignende, med mindre dette i det konkrete tilfælde ikke er betryggende.

Stk. 3. Kontroller omfattet af stk. 1 og 2 skal foretages med passende intervaller, afhængigt af virksomhedens størrelse, den enkelte risikos væsentlighed og størrelse set i forhold til virksomhedens forretningsmodel, aktivitetsområde, kompleksiteten af de pågældende risici og virksomhedens kapitalforhold. Kontrollerne skal, hvor der løbende sker dispositioner hen over dagen, omfatte overholdelse af grænser intra-dag. Intra-dag kontroller kan, hvor dette er betryggende, foretages på stikprøvebasis.

Stk. 4. Virksomheden skal have passende overvågning af, at administrative opgaver udføres på en betryggende og ensartet måde, og at forretningsgange m.v. bliver overholdt.

Intern rapportering

§ 24. Foruden reglerne for gruppe 1-forsikringsselskaber i artikel 258, stk. 1, litra k, og artikel 259, stk. 1, litra d, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) finder denne bekendtgørelses §§ 25 og 26 anvendelse for virksomhedernes interne rapportering.

§ 25. Direktionen skal sikre, at der løbende sker skriftlig og betryggende rapportering på alle relevante ledelsesmæssige niveauer om overholdelsen og udnyttelsen af samtlige grænser for risikotagning indeholdt i de i medfør af § 7 givne retningslinjer eller i den videregivne beføjelse. Der skal endvidere ske rapportering om overholdelse af de i lovgivningen fastsatte grænser for risiko på de områder, hvor dette er relevant for den pågældende virksomhed. Rapporteringen skal også omfatte risici, der styres på virksomhedens vegne af porteføljeforvaltere.

Stk. 2. Rapporteringen skal ske i overskuelig form og give direktion og øvrige medarbejdere, der har videregivet beføjelser, jf. § 22, oplysning såvel om den aktuelle udnyttelse af de fastsatte grænser som om udnyttelsen over tid.

Stk. 3. Anvender virksomheden interne modeller til opgørelse af risici, skal rapporteringen desuden omfatte relevante back-tests til dokumentation af modellens pålidelighed.

Stk. 4. Rapportering om videregivne beføjelser, herunder overskridelse af disse, skal ske til den, der har afgivet beføjelserne, med intervaller, der afspejler afgiverens involvering i den daglige disponering, og som fremgår af beføjelserne. Overskridelsen skal sædvanligvis rapporteres senest dagen efter, at overskridelsen er konstateret.

§ 26. Direktionen skal sikre, at der sker rapportering om andre væsentlige forhold, der ikke måtte være omfattet af beføjelser fastsat i retningslinjerne eller i videregivne beføjelser, jf. stk. 2. Det kan f.eks. dreje sig om rapportering vedrørende afstemningsfejl, uregelmæssigheder, tab som følge af operationelle forhold, fejl i regnskab eller budgetter, nøglepersoners fratræden etc.

Stk. 2. Direktionen skal sikre, at virksomhedens forretningsgange, jf. § 14, stk. 1, i videst muligt omfang indeholder anvisninger om, hvilke forhold der skal eller bør rapporteres om og til hvem rapporteringen skal foretages, herunder skal det fremgå, om rapportering i særlige tilfælde kan eller skal ske til andre end den pågældendes daglige leder eller dennes leder.

Nye tjenesteydelser og produkter

§ 27. Direktionen skal sikre, at der udarbejdes retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, herunder ændringer i eksisterende tjenesteydelser og produkter, hvorved tjenesteydelsernes og produkternes risikoprofil ændres væsentligt. Retningslinjerne skal som minimum

1) afgrænse, hvornår der er tale om et nyt produkt eller tjenesteydelse, i det omfang det er muligt,

2) angive, hvilken eller hvilke organisatoriske enheder, udvalg eller ad hoc-udvalg, der skal forestå udviklingsprocessen, eventuelt opdelt pr. risikoområde,

3) indeholde retningslinjer for, hvem der som minimum skal inddrages i udviklingsprocessen, således at det sikres, at alle relevante forhold belyses,

4) indeholde retningslinjer for, hvilke overordnede forhold der skal analyseres og dokumenteres, herunder arten, størrelsen og opgørelsen af risici for virksomheden, påvirkning af virksomhedens omkostninger og indtjening, virksomhedens muligheder for at agere på nye markeder, påvirkning af virksomhedens solvens og regnskabsmæssig behandling,

5) indeholde krav om, at analysen skal godtgøre, at virksomheden har tilstrækkelig ekspertise, systemer, kapital og ressourcer i øvrigt til at håndtere det nye produkt eller tjenesteydelsen på betryggende vis, og

6) indeholde bestemmelse om retningslinjer for, at nye produkter og tjenesteydelser, der kan medføre væsentlige nye risici for virksomheden eller virksomhedens kunder, skal forelægges bestyrelsen med henblik på dennes stillingtagen til, om anvendelsen af det nye produkt giver anledning til ændring af de i henhold til § 5 vedtagne politikker eller de i medfør af §§ 7 og 8 givne retningslinjer, herunder til fastsættelse af særlige principper for opgørelse af de til produktet knyttede risici.

§ 28. Den ansvarlige for risikostyringsfunktionen, jf. § 17, stk. 2, 1. pkt., skal deltage eller som minimum høres i forbindelse med udvikling og godkendelse af nye produkter. Den ansvarlige for risikostyringsfunktionen skal løbende være informeret om forløbet af godkendelsesprocessen.

Stk. 2. Den ansvarlige for risikostyringsfunktionen, jf. § 17, stk. 2, 1. pkt., skal høres i forbindelse med stillingtagen til, om ændring af eksisterende produkter har et omfang, der medfører, at ændringen skal være omfattet af kravene til udvikling og godkendelse af nye produkter. Den ansvarlige for risikostyringsfunktionen skal altid kunne kræve, at en ændring af et eksisterende produkt skal behandles som et nyt produkt.

Kapitel 8

Straffebestemmelser

§ 29. Overtrædelse af §§ 3-8, § 9, stk. 2-4, 6-8, §§ 10, 12 og 13, § 14, stk. 1, 1. pkt., stk. 2 og stk. 3, 2. pkt., §§ 15-16, § 17, stk. 1-4, stk. 7, og stk. 8, 2. pkt., § 18, stk. 1, § 19, stk. 1, § 22, § 23, stk. 1, stk. 2, 1. pkt., stk. 3., 1. og 2. pkt., og stk. 4, § 25, § 26, stk. 1, 1. pkt., og stk. 2, og §§ 27 og 28 straffes med bøde.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens kapitel 5.

Kapitel 9

Ikrafttrædelse

§ 30. Bekendtgørelsen træder i kraft den 1. januar 2016.

Stk. 2. Bekendtgørelse nr. 1575 af 15. december 2010 om ledelse og styring af forsikringsselskaber og tværgående pensionskasser ophæves.

Finanstilsynet, den 16. december 2015

Jesper Berg

/ Per Plougmand Bærtelsen


Bilag 1

Forsikringsmæssige risici

Bestyrelsens opgaver og ansvar på forsikringsområdet

Forsikringspolitikken

1) Bestyrelsen for en finansiel virksomhed, der driver forsikringsvirksomhed, skal udarbejde en politik for de forsikringsmæssige risici, virksomheden må påtage sig, jf. § 5, stk. 2, nr. 1.

2) Politikken i et gruppe 1-forsikringsselskab skal på de enkelte områder, i det omfang det er relevant og under hensyntagen til virksomhedens risikoprofil på området, virksomhedens størrelse, den overordnede risikoprofil og kompleksiteten af virksomhedens forsikringsmæssige aktiviteter, indeholde overordnede anvisninger om følgende forhold:

a) Salgskanaler, herunder hvilke salgskanaler, virksomheden fokuserer på og anvender til øget vækst, og hvilken service og rådgivning, virksomheden vil yde sine kunder i salgssituationen.

b) Nytegning, herunder om og hvordan virksomheden baserer sin tegning af forsikring på lønsomhed, vækst, specielle kundesegmenter eller lignende, hvilke risici virksomheden vil tegne, hvilken strategi virksomheden har fastlagt for udbud af forskellige produkttyper, f.eks. gennemsnitsrenteprodukter og markedsrenteprodukter eller arbejdsskadeforsikringer og øvrige erhvervsforsikringer, hvordan virksomheden sikrer en tilstrækkelig præmieindtægt til at dække forventede krav og udgifter, hvornår tegning kræver direktionens godkendelse, eventuelle geografiske begrænsninger og eventuelle strategiske overvejelser omkring udenlandske aktiviteter.

c) Risikotagning, herunder hvilke risici, virksomheden henregner til sine forsikringsrisici, det ønskede eller acceptable risikoniveau samlet set og for hver af de enkelte typer af forsikringsrisici, hvordan virksomheden forholder sig til disse forsikringsrisici, i hvilket omfang og hvordan virksomheden ønsker at afdække disse forsikringsrisici, hvilke af disse forsikringsrisici, der bæres af henholdsvis kunderne og virksomheden, og virksomhedens eventuelle strategi vedrørende tilbud til kunderne om omvalg mellem produkttyper.

d) Reassurancedækningen, herunder hvilke risikominimeringsforanstaltninger virksomheden ønsker at anvende i relation til kapitalaflastning, fastsættelse af selvbehold set i forhold til virksomhedens risikoprofil, kapitalstyrke og det ønskede eller acceptable risikoniveau, valg af reassurandører, herunder vurdering af kreditrisikoen på disse og den maksimale risiko, der må placeres hos den enkelte reassurandør, samt likviditetsstyring til at håndtere eventuelle tidsmæssige misforhold mellem betaling af erstatningsudbetaling og udeståender i forbindelse med reassurance.

e) Skadesbehandlingen, herunder om virksomheden anvender egne eller fremmede skadesbehandlere, hvilken service virksomheden vil yde sine kunder i skadessituationen og hvorledes skadesadministrationen skal forholde sig i tvivlstilfælde.

f) Nye risici, herunder hvorledes virksomheden før tegning af nye risici skal analysere disse og vurdere risici i relation til risikostyringssystemet og virksomhedens kapital, hvorledes virksomheden under udarbejdelse af nye forsikringsprodukter og præmieberegninger skal tage højde for investeringsmæssige begrænsninger, jf. § 158 i lov om finansiel virksomhed, for reassurancedækning og for andre risikoreducerende teknikker, samt hvorledes virksomheden skal overveje eventuelle konsekvenser for den eksisterende bestand.

g) Principper for fordeling af forsikringsrisikobehæftede aktiviteter mellem flere selskaber i en koncern.

h) Udenlandske risici og store risici, herunder om der skal gælde særlig nytegningspolitik for disse kunder (f.eks. accept af større skadeprocent, særlige betalingsvilkår eller særlige dækninger).

i) Kreditrisikoen, herunder om virksomheden vil fravige forsikringsprincippet om forudbetaling af præmie, og hvorledes ændringer i kreditvurdering skal påvirke brugen af reassurandører.

j) Kumul, såfremt virksomheden driver skadesforsikring, herunder hvordan virksomheden sikrer sig mod ikke-beregnet kumulrisiko.

3) Politikken i et gruppe 2-forsikringsselskab skal på de enkelte områder, i det omfang det er relevant og under hensyntagen til virksomhedens risikoprofil på området, virksomhedens størrelse, den overordnede risikoprofil og kompleksiteten af virksomhedens forsikringsmæssige aktiviteter, indeholde overordnede anvisninger om følgende forhold:

a) Salgskanaler, herunder hvilken service og rådgivning, virksomheden vil yde sine kunder i salgssituationen.

b) Nytegning, herunder om virksomheden baserer sin tegning af forsikring på lønsomhed, vækst, specielle kundesegmenter eller lignende, evt. hvilke risici virksomheden ikke vil tegne, hvornår tegning kræver direktionens godkendelse og eventuelle geografiske begrænsninger.

c) Reassurancedækningen, herunder hvilke risikominimeringsforanstaltninger virksomheden ønsker at anvende i relation til kapitalaflastning, fastsættelse af selvbehold set i forhold til virksomhedens kapitalstyrke, valg af reassurandører, herunder vurdering af kreditrisikoen på disse og den maksimale risiko, der må placeres hos den enkelte reassurandør.

d) Skadesbehandlingen, herunder om virksomheden anvender egne eller fremmede skadesbehandlere, hvilken service virksomheden vil yde sine kunder i skadessituationen og hvorledes skadesadministrationen skal forholde sig i tvivlstilfælde.

e) Nye risici, herunder hvorledes virksomheden før tegning af nye risici skal analysere disse, herunder vurdere risici i relation til risikostyringssystemet og virksomhedens kapital,

f) Udenlandske risici og store risici, herunder om der skal gælde særlig nytegningspolitik for disse kunder (f.eks. accept af større skadeprocent, særlige betalingsvilkår eller særlige dækninger).

g) Kreditrisikoen, herunder om virksomheden vil fravige forsikringsprincippet om forudbetaling af præmie, og hvorledes ændringer i kreditvurdering skal påvirke brugen af reassurandører.

h) Principper for fordeling af forsikringsrisikobehæftede aktiviteter mellem flere selskaber i en koncern.

i) Kumul, såfremt virksomheden driver skadesforsikring, herunder hvordan virksomheden sikrer sig mod ikke-beregnet kumulrisiko.

Bestyrelsens retningslinjer til direktionen på forsikringsrisikoområdet

4) På forsikringsrisikoområdet skal retningslinjerne opfylde de fastsatte generelle krav i §§ 7 og 8. Derudover skal de, afhængig af virksomhedens risikoprofil, størrelse og kompleksiteten af de forsikringsmæssige aktiviteter, i relevant omfang indeholde følgende bestemmelser for risikopåtagelsen:

a) Hvilke typer af forsikringer, der kan tegnes, og for gruppe 1-forsikringsselskaber hvilke typer af forsikringer, virksomheden ikke ønsker at tegne.

b) Acceptregler og tarif for disse.

c) Bestemmelser om maksimal forsikringssum pr. risiko og pr. begivenhed.

d) Principper for den løbende opgørelse af de forsikringsmæssige hensættelser, herunder metoder for sag-til-sag-hensættelser og kollektivt afsatte hensættelser.

5) Retningslinjerne skal endvidere indeholde bestemmelser om reassurance, herunder om

a) reassurancedækningens størrelse og fastsættelse af selvbehold i forhold til virksomhedens kapitalstyrke,

b) valg af reassurandører,

c) grænser for kreditrisiko på reassurandører,

d) grænser for maksimal krediteksponering på den enkelte reassurandør, og

e) krav om sikkerhedsstillelse og principper for opgørelse af sikkerheders værdi.

6) Retningslinjerne skal endvidere i relevant omfang indeholde bestemmelser om information af og kommunikation til kunderne, herunder i hvilken udstrækning kunderne skal orienteres om bl.a. bonusudsigterne.

Direktionens opgaver og ansvar på forsikringsrisikoområdet

Forretningsgange

7) Forretningsgangene på forsikringsområdet skal opfylde de i §§ 13 og 14 fastsatte generelle krav og i det omfang, det er relevant, omfatte følgende:

a) Accept og tegning af forsikringer.

b) Procedure for anmeldelse af teknisk grundlag m.v. for livsforsikringsvirksomhed.

c) Helbredsvurdering ved tegning af forsikringer.

d) Håndtering af ind- og udbetalinger.

e) Behandling af sager vedrørende genkøb og udtrædelse.

f) Skadesbehandling.

g) Anmeldelse af krav over for reassurandører.

h) Kontrol af betalinger fra reassurandører.

i) Principper og metoder ved opgørelse af forsikringsmæssige hensættelser.

j) Procedurer for registrering, værdiansættelse, afstemning og individualisering af de registrerede aktiver.

k) Håndtering af eventuelle outsourcede aktiviteter.

Risikostyring og rapportering på forsikringsområdet

8) Virksomheden skal på forsikringsområdet udfærdige periodiske skriftlige rapporter til bestyrelse, direktion og andre ledende medarbejdere i overensstemmelse med de afgivne beføjelser. Rapporteringen skal foretages for de grænser for risikopåtagelse, som de pågældende har videredelegeret i organisationen. Rapporterne kan eksempelvis vedrøre følgende:

a) Accept af forsikringer.

b) Store risici.

c) Omfang af genkøb.

d) Skadesudviklingen.

e) Afløbsresultat på de forsikringsmæssige hensættelser.

f) Nødvendige ændringer i teknisk grundlag for livsforsikringsvirksomhed.

g) Resultat af reassurancedækning.


Bilag 2

Investeringsområdet

Anvendelsesområder og definitioner

1) Dette bilag vedrører

a) risici som følge af udviklingen i priser, kurser, m.v. på rente-, valuta-, aktie- og råvaremarkederne, samt ejendomsmarkedet og alternative investeringer (markedsrisici),

b) risici på virksomheder eller grupper af virksomheder (kredit- og modpartsrisici) som følge af virksomhedens investeringer og placering af midler, og

c) for gruppe 1-forsikringsselskaber desuden risici som følge af en uforholdsmæssig afhængighed af en bestemt kategori af aktiver, et bestemt investeringsmarked eller en bestemt investering (koncentrationsrisici).

2) Ved markedsrisici forstås for gruppe 1-forsikringsselskaber rente-, valuta-, aktie-, råvare- og ejendomsrisici, samt risici ved investering i alternative aktiver, herunder relaterede risici, der er forbundet med afledte finansielle instrumenter, f.eks. volatilitetsrisici. Renterisici omfatter renterisici på alle balance- og ikke-balanceførte poster, herunder også på fastforrentede ind- og udlån, samt fastforrentet funding. Renterisici omfatter endvidere ændringer i en given rentekurve (rentestrukturrisici) og spændrisici.

3) Ved markedsrisici forstås for gruppe 2-forsikringsselskaber rente-, valuta-, aktie-, og råvarerisici, herunder relaterede risici, der er forbundet med afledte finansielle instrumenter, f.eks. optionsrisici. Renterisici omfatter blandt andet renterisici på alle balance- og ikke-balanceførte poster, herunder også på fastforrentede ind- og udlån, samt fastforrentet funding. Renterisici omfatter endvidere rentestrukturrisici.

4) Et gruppe 1-forsikringsselskab skal have procedurer til at identificere, måle, overvåge, forvalte, kontrollere og rapportere om og tage behørigt hensyn til risici som følge af ændringer i rentesatser, kurser, priser og øvrige mål og værdier på risikoområderne nævnt under nr. 1, inklusive virksomhedens ikke-handelsmæssige aktiviteter.

Bestyrelsens opgaver og ansvar

Politikken på investeringsområdet

5) Bestyrelsen i et gruppe 1-forsikringsselskab skal vedtage en politik for investeringsområdet, der udover at overholde reglerne i artikel 260, stk. 1, litra b, c, d og e, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), skal fastlægge virksomhedens risikoprofil på området under hensyntagen til princippet i § 158 i lov om finansiel virksomhed om, at virksomhederne skal investere deres aktiver således, at forsikringstagernes og de begunstigedes interesser varetages bedst muligt, og til § 167 i lov om finansiel virksomhed.

6) Bestyrelsen i et gruppe 2-forsikringsselskab skal vedtage en politik for investeringsområdet, hvori virksomhedens risikoprofil på området fastlægges under hensyntagen til princippet i § 158 i lov om finansiel virksomhed om, at virksomhederne skal investere deres aktiver således, at forsikringstagernes og de begunstigedes interesser varetages bedst muligt og til § 167 i lov om finansiel virksomhed.

7) Politikken i et gruppe 1-forsikringsselskab skal udover de generelle krav indeholdt i § 5, stk. 1, som minimum indeholde relevante overordnede anvisninger om følgende forhold:

a) Hvilke risici, virksomheden henregner til investeringsområdet.

b) Det ønskede eller acceptable risikoniveau samlet for markedsrisici (herunder rente-, aktie-, valuta-, råvare- og ejendomsrisici, samt risici fra alternative investeringer), kreditrisici og modpartsrisici, samt koncentrationsrisici og for de enkelte typer af risici. For markedsrenteprodukter fastsættes samlet og enkeltvis for markedsrisici, kredit- og modpartsrisici, samt koncentrationsrisici det ønskede eller acceptable risikoniveau, som virksomheden vil tage på kundernes vegne, når kunderne ikke selv foretager investeringerne.

c) Under hvilke omstændigheder, f.eks. krig, naturkatastrofer og uro på de finansielle markeder, direktionen skal sikre sig bestyrelsens stillingtagen til, om virksomheden skal fastholde de valgte risikoniveauer, samt proceduren herfor.

d) Principper for den organisatoriske ansvarsfordeling på investeringsområdet, herunder for risikotagning, risikostyring, værdiansættelse og opgørelse af risici, kontrol og rapportering.

e) Mål og sammenligningsgrundlag (eksempelvis i form af benchmarks) til brug for vurderingen af opnåede resultater.

f) Eventuelle særlige typer af risici, som virksomheden specifikt ikke ønsker at påtage sig, eksempelvis aktierisici hidrørende fra unoterede aktier og visse markeder, råvarerisici, risici fra spændforretninger eller risici hidrørende fra visse strukturerede produkter.

g) Likviditetsrisici på den samlede aktivportefølje under hensyntagen til bilag 6.

8) Politikken i et gruppe 2-forsikringsselskab skal udover de generelle krav indeholdt i § 5, stk. 1, indeholde relevante overordnede anvisninger om følgende forhold:

a) Hvilke risici, virksomheden henregner til investeringsområdet.

b) Det ønskede eller acceptable risikoniveau samlet og for de enkelte typer af markeds-, kredit- og modpartsrisici.

c) Under hvilke omstændigheder, f.eks. krig, naturkatastrofer og uro på de finansielle markeder, direktionen skal sikre sig bestyrelsens stillingtagen til, om virksomheden skal fastholde de valgte risikoniveauer, samt proceduren herfor.

d) Principper for den organisatoriske ansvarsfordeling på investeringsområdet, herunder for risikotagning, risikostyring, kontrol og rapportering.

e) Mål og sammenligningsgrundlag (eksempelvis i form af benchmarks) til brug for vurderingen af opnåede resultater.

f) Eventuelle særlige typer af risici, som virksomheden specifikt ikke ønsker at påtage sig, eksempelvis aktierisici hidrørende fra unoterede aktier og visse markeder, råvarerisici, risici fra spændforretninger eller risici hidrørende fra visse strukturerede produkter.

Bestyrelsens retningslinjer til direktionen på investeringsområdet

9) På investeringsområdet skal retningslinjerne i et gruppe 1-forsikringsselskab opfylde de generelle krav fastsat i § 8 og i det omfang, det er relevant for virksomheden, angive

a) grænser for virksomhedens rente-, aktie-, valuta-, råvare-, ejendoms-, modparts-, kredit- og koncentrationsrisici, samt risici ved investeringer i alternative aktiver, fastsat såvel for aktiver, der skal dække de forsikringsmæssige hensættelser, som for øvrige aktiver,

b) hvorledes de enkelte risici opgøres, og hvorledes de enkelte instrumenter medregnes ved opgørelsen,

c) grænser for den samlede rentefølsomhed på aktiver og passiver,

d) grænser for særlige risici, der knytter sig til komplekse eller usædvanlige produkter, herunder risici ved strukturerede produkter, eller til virksomhedens aktiviteter på investeringsområdet i øvrigt, som f.eks. volatilitetsrisici, rentestrukturrisici og spændrisici,

e) til hvilket formål værdipapirer, valutaer og afledte finansielle instrumenter må handles, f.eks. risikoafdækning eller aktiv risikotagning,

f) hvilke valutaer eller grupper af valutaer, der må handles eller tages positioner i, og til hvilke formål der må handles henholdsvis tages positioner,

g) hvilke typer af afledte finansielle instrumenter, der må handles og eventuelt tages positioner i,

h) hvilke øvrige typer af produkter, herunder strukturerede produkter, der må handles og eventuelt tages positioner i,

i) på hvilke markeder eller handelspladser samt i hvilke lande eller grupper af lande, der må handles, og

j) likviditetsrisici på enkeltaktiver og den samlede aktivportefølje under hensyntagen til bilag 6.

10) På investeringsområdet skal retningslinjerne i et gruppe 2-forsikringsselskab opfylde de generelle krav fastsat i § 8 og i det omfang, det er relevant for virksomheden, angive

a) grænser for virksomhedens rente-, valuta-, aktie- og råvarerisici, hvis relevant fastsat såvel for aktiver, der skal dække de forsikringsmæssige hensættelser, som for øvrige aktiver,

b) hvorledes de enkelte risici opgøres, og hvorledes de enkelte instrumenter medregnes ved opgørelsen,

c) grænser for særlige risici, der knytter sig til komplekse eller usædvanlige produkter, herunder risici ved strukturerede produkter, eller til virksomhedens aktiviteter på investeringsområdet i øvrigt, som f.eks. optionsrisici, rentekurverisici og spændrisici,

d) til hvilket formål værdipapirer, valutaer og afledte finansielle instrumenter må handles, f.eks. risikoafdækning eller aktiv risikotagning,

e) hvilke valutaer eller grupper af valutaer, der må handles eller tages positioner i, og til hvilke formål der må handles henholdsvis tages positioner,

f) hvilke typer af afledte finansielle instrumenter, der må handles og eventuelt tages positioner i,

g) hvilke øvrige typer af produkter, herunder strukturerede produkter, der må handles og eventuelt tages positioner i, og

h) på hvilke markeder eller handelspladser samt i hvilke lande eller grupper af lande, der må handles.

11) Retningslinjerne skal endelig indeholde bestemmelser om, hvorledes registret omhandlet i lov om finansiel virksomhed § 167 skal indrettes og føres, herunder tage stilling til

a) hvem, der skal være ansvarlig for førelse af registret,

b) hvem, der er ansvarlig for at føre kontrol med registret,

c) hvordan det sikres, at de registrerede aktiver ved udsving i aktivernes værdi kan dække de forsikringsmæssige hensættelser eventuelt ved fastsættelse af et krav om en minimumsoverdækning,

d) hvorledes registret skal opbygges, f.eks. som enkelt udtræk fra Navision, udskrift fra bankdepot eller regneark med input fra relevante systemer/udskrifter, og

e) i et gruppe 1-forsikringsselskab hvordan der vælges pengeinstitut og kontoførende institut og hvilke kriterier, der anvendes ved valget.

Direktionens opgaver og ansvar

Risikoopgørelser og opgørelser af gevinst eller tab m.v.

12) Såfremt virksomheden selv beregner risici og gevinst eller tab ved samt værdier af finansielle instrumenter og andre poster med markedsrisici, skal direktionen sikre, at virksomheden har betryggende metoder hertil, herunder at det kan kontrolleres, at beregningen sker korrekt.

13) Såfremt virksomheden indhenter risikoopgørelser og opgørelser af gevinst eller tab samt værdier af finansielle instrumenter og andre poster med markedsrisici fra eksterne parter, skal direktionen sikre sig, at de pågældende udfører opgaven på betryggende vis. Direktionen skal desuden sikre sig, at virksomheden løbende evaluerer, om de fra eksterne parter modtagne og anvendte kurser, parametre m.v. er korrekte, og dermed sikre et retvisende billede af virksomhedens risici samt korrekt opgjorte regnskabsposter.

Forretningsgange på investeringsområdet

14) Forretningsgangene på investeringsområdet skal ud over de generelle krav indeholdt i § 14 omfatte

a) procedurer for indgåelse, kontrol, registrering, bogføring og afvikling af handler med værdipapirer, valuta, afledte finansielle instrumenter og eventuelle andre markedsrisikobehæftede aktiviteter,

b) procedurer for indretning og anvendelse af registret omhandlet i § 167 i lov om finansiel virksomhed,

c) fremgangsmåderne for den løbende opgørelse og overvågning af risici, gevinst eller tab og værdier,

d) procedurer for overholdelse af grænser for placering af midler og for risikotagning fastsat i lovgivningen og i interne retningslinjer, beføjelser m.v.,

e) udarbejdelse af ledelsesrapportering på investeringsområdet, og

f) procedurer for introduktion af forretningsmæssige aktiviteter i nye finansielle instrumenter og andre produkter med markedsrisici.

Konstatering af om risici ligger inden for beføjelser

15) Det skal være muligt for disponerende medarbejdere at konstatere, om de dispositioner, de har til hensigt at foretage, ligger inden for deres beføjelser. Tilsvarende gælder ved kollektive beføjelser, hvor flere medarbejdere kan disponere inden for en fælles beføjelse.

Kontroller på investeringsområdet

16) På investeringsområdet skal der etableres interne kontroller, der opfylder kravene i § 23, og som afhængigt af arten, omfanget og kompleksiteten af virksomhedens aktiviteter på investeringsområdet omfatter kontrol af følgende:

a) Om beføjelser overholdes, idet overholdelse af samtlige grænser for samtlige personer, der har beføjelser, skal kontrolleres; det skal i et gruppe 1-forsikringsselskab herunder kunne konstateres, om beføjelser overholdes i løbet af dagen. Gruppe 1-forsikringsselskaber med en vis aktivitet på området skal derfor foretage intra-dag-kontrol, som minimum på stikprøvebasis, idet stikprøvens størrelse og hyppighed skal afspejle aktivitetsomfanget.

b) Om retningslinjernes grænser for placering af midler og begrænsninger for risici på enkelte virksomheder eller grupper af virksomheder overholdes.

c) Om opgørelse af og rapportering om positioner og risici sker korrekt.

d) Om handler indgås til korrekte kurser og priser.

e) Om gevinst eller tab på markedsrisikobehæftede dispositioner opgøres korrekt.

f) Afstemning af beholdninger af værdipapirer, finansielle instrumenter og konti.

g) Om modtagne og anvendte kurser, parametre m.v. fra eksterne parter er korrekte og dermed sikrer et retvisende billede af virksomhedens risici.

17) Det skal, jf. § 23, stk. 3, overvåges, om handel, registrering, bogføring og afvikling af handler sker i henhold til forretningsgangene herfor, ligesom der skal ske afstemning af virksomhedens beholdninger af værdipapirer, finansielle instrumenter og konti.


Bilag 3

Operationelle risici

Anvendelsesområder og definitioner

1) Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer, menneskelige fejl og systemmæssige fejl eller som følge af eksterne begivenheder, herunder juridiske risici. Omdømmerisiko og strategiske risici anses ikke for operationelle risici i denne bekendtgørelse, men skal i det omfang, det er relevant, behandles efter de samme principper som operationelle risici.

2) Ved modelrisiko forstås virksomhedens potentielle tab som konsekvens af beslutninger, der hovedsagelig baseres på output fra interne modeller, på grund af fejl i udviklingen, gennemførelsen eller anvendelsen af sådanne modeller.

3) Med hændelser forstås begivenheder, der kan medføre tab, har medført tab eller som kunne have medført tab, jf. nr. 1, for virksomheden.

Bestyrelsens opgaver og ansvar

Politikken for operationel risiko

4) Politikken for operationel risiko, jf. artikel 260, stk. 1, litra f, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), skal udover de i § 5 indeholdte generelle krav omfatte

a) en identifikation af hvilke typer af hændelser, som virksomheden kan blive ramt af og som kan medføre tab, som bestyrelsen ikke kan acceptere,

b) principperne for opsamling af oplysninger om hændelser, der kan anses for henhørende under området for operationelle risici, samt i hvilket omfang sådanne hændelser skal registreres,

c) efter hvilke overordnede principper virksomheden skal indrettes med henblik på at holde operationelle risici på et for bestyrelsen acceptabelt niveau,

d) arten og størrelsen af de stedfundne hændelser og tab, der skal ske rapportering om til bestyrelsen, og

e) principperne for rapportering om operationelle risici til bestyrelsen i øvrigt.

5) Bestyrelsen skal i politikken, i det omfang det er relevant, forholde sig til

a) særlige operationelle risici knyttet til virksomhedens forretningsmodel og aktiviteter,

b) integrationen, stabiliteten og egnetheden af virksomhedens it-systemer,

c) omfanget af manuelle rutiner, f.eks. i forbindelse med kontrol og afvikling af handler, kontroller og ikke-integrerede it-systemer,

d) afhængighed af eksterne forhold, herunder underleverandører,

e) organisation, herunder omfanget af interne kontroller og eventuel manglende mulighed for at etablere funktionsadskillelse,

f) fysisk sikkerhed, og

g) modelrisiko.

6) Bestyrelsen skal være særligt opmærksom på hændelser, der forventes at indtræde med lav sandsynlighed, men med store tab.

7) Bestyrelsen skal tage stilling til relevante hændelser, og hvorledes disse forebygges eller imødegås. Politikken skal afspejle virksomhedens størrelse og kompleksitet. Hændelser, der ikke skønnes at kunne medføre tab af betydning, kan behandles summarisk i politikken. En stor eller kompleks virksomhed vil alt andet lige skulle have en mere omfattende politik end en lille og ikke-kompleks virksomhed.

Bestyrelsens retningslinjer til direktionen på området for operationel risiko

8) Bestyrelsen skal i sine retningslinjer til direktionen, jf. §§ 7 og 8, fastsætte

a) principper for indretningen og driften af virksomheden med henblik på at holde operationelle risici på et for virksomheden acceptabelt niveau,

b) principper for, hvorledes operationelle risici skal opgøres,

c) principper for, herunder eventuelle beløbsmæssige grænser for, registrering af oplysninger om hændelser, der har medført tab eller som kunne have medført tab som følge af operationelle risici, og

d) retningslinjer for rapportering til bestyrelsen om operationelle risici og tab som følge heraf, jf. litra b og c.

Direktionens opgaver og ansvar

9) Direktionen skal indrette den finansielle virksomhed således, at operationelle risici begrænses, særligt at de styres inden for de principper, der er fastsat af bestyrelsen, samt sikre, at alle relevante medarbejdere har kendskab til virksomhedens politik for operationelle risici.

10) Det påhviler direktionen at sikre, at

a) oplysninger om hændelser, der medførte tab, eller som kunne have medført tab, registreres i overensstemmelse med bestyrelsens politik for operationelle risici og retningslinjerne,

b) der er effektive systemer og metoder til at kommunikere og opbevare oplysninger om operationelle risici,

c) alle medarbejdere har tilstrækkelig viden om operationelle risici til at løse deres opgaver på området,

d) områder, systemer og produkter, der kan medføre væsentlige operationelle risici identificeres, samt at

e) der er forretningsgange for opsamling, opgørelse og rapportering om tab og eventuelt opstået risiko for tab.

11) Direktionen skal på forhånd vurdere om og i hvilket omfang, beslutninger kan medføre operationelle risici, der er i strid med den af bestyrelsen fastsatte politik og strategi på området. Dette gælder såvel for principielle beslutninger på forretningsmæssige områder, herunder udførelser af nye tjenesteydelser eller handel med nye finansielle instrumenter, som væsentlige beslutninger om virksomhedens drift og indretning. Dette kan kræve, at direktionen inddrager den ansvarlige for risikostyringsfunktionen, jf. § 17, stk. 2, § 18, stk. 2, samt bilag 6.

12) Direktionen skal løbende vurdere, om der er områder, hvor de operationelle risici skal søges minimeret, og i givet fald fastlægge en handlingsplan for dette.


Bilag 4

It-sikkerhed

Anvendelsesområde og definitioner

1) Dette bilag indeholder bestemmelser om de i bekendtgørelsen omhandlede forhold, der særligt relaterer sig til it-området, herunder it-sikkerhedsstyringen.

Bestyrelsens opgaver og ansvar

2) Bestyrelsen skal beslutte en it-sikkerhedspolitik for virksomheden.

3) It-sikkerhedspolitikken skal ud fra den ønskede risikoprofil på it-området indeholde en overordnet stillingtagen til alle væsentlige forhold vedrørende it-sikkerheden. Hvad der er væsentligt afhænger bl.a. af virksomhedens størrelse samt omfanget og kompleksiteten af virksomhedens it-anvendelse. Følgende forhold kan f.eks. være relevante at tage stilling til:

a) Organisering af it-arbejdet, herunder funktionsadskillelse mellem systemudvikling/-vedligeholdelse, it-drift og virksomhedens forretningsførelse.

b) Regelmæssig risikovurdering.

c) Beskyttelse af systemer, data, maskinel og kommunikationsveje.

d) Systemudvikling og vedligeholdelse af systemer.

e) Driftsafvikling.

f) Backup og sikkerhedskopiering.

g) Målsætning for beredskabsplaner.

h) Kvalitetssikring.

i) Principper for implementering af politikken i uddybende retningslinjer, forretningsgange og instrukser.

j) Forholdsregler i tilfælde af brud på it-sikkerhedspolitik og sikkerhedsregler.

k) Overholdelse af relevant lovgivning.

l) Rapportering, kontrol og opfølgning.

m) Eventuelle dispensationer fra it-sikkerhedspolitikken.

4) Bestyrelsen skal regelmæssigt og mindst en gang årligt vurdere it-sikkerhedspolitikken, herunder hvorvidt it-sikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som it-anvendelsen medfører og forventes at medføre, fremover er på et for virksomheden acceptabelt niveau.

5) It-sikkerhedspolitikken skal i videst mulig omfang være uafhængig af den anvendte teknologi.

Direktionens opgaver og ansvar

6) Direktionen skal sikre, at virksomhedens it-sikkerhedspolitik efterleves. Direktionen skal uddybe it-sikkerhedspolitikken i procedurer mv., der understøtter, at

a) ansvar, herunder ejerskab for it-processer og ressourcer, er placeret,

b) funktionsadskillelsen bliver overvåget,

c) der er kontrol med opretholdelse af det ønskede it-sikkerhedsniveau samt håndtering af eventuelle svagheder,

d) systemer og data klassificeres og prioriteres,

e) systemer (både basis- og brugersystemer) og konfiguration (hardware) samt ændringer hertil dokumenteres,

f) der er sikkerhedskopiering af systemer og data, herunder opbevaring af sikkerhedskopierne,

g) der anskaffes tilstrækkelige it-ressourcer,

h) systemudvikling, konfigurering og vedligeholdelse samt afprøvning af nye og ændrede systemer sker betryggende,

i) der foretages test og anden kvalitetssikring,

j) der foretages ændringshåndtering og problemstyring,

k) der sker adgangskontrol til systemer og data, og

l) der er tilstrækkelig fysisk sikkerhed, herunder fysisk adgangskontrol.

7) Herudover skal direktionen sikre, at der udarbejdes en it-beredskabsplan, der indeholder målsætning for genetablering af normal drift i tilfælde af fejl, nedbrud, tab af data eller systemer samt hel eller delvis ødelæggelse af bygninger, maskinel og kommunikationsveje i overensstemmelse med bestyrelsens målsætning, jf. ovenfor nr. 3 (g). I planen skal der, afhængig af virksomhedens forhold, være

a) en beskrivelse af, hvorledes der etableres en beredskabsorganisation, samt

b) aktivitetsplaner i tilfælde af alvorlige systemnedbrud, fejl og forstyrrelser i it-anvendelsen.

8) Beredskabsplanen skal afprøves regelmæssigt, og den finansielle virksomhed skal have regler om rapportering af resultatet af en afprøvning af beredskabsplanen.


Bilag 5

Tilrettelæggelse af arbejdet i bestyrelsen

Bestyrelsens forretningsorden

1) Bestyrelsen skal ved en forretningsorden træffe nærmere bestemmelser om udførelsen af sit hverv, jf. § 65 i lov om finansiel virksomhed samt § 130 i lov om aktie- og anpartsselskaber (selskabsloven).

2) Ved udformningen af forretningsordenen efter nr. 1 skal bestyrelsen tage udgangspunkt i sine lovmæssigt fastsatte forpligtelser samt den finansielle virksomheds kompleksitet og forretnings- og aktivitetsområder. Forretningsordenen skal som minimum indeholde:

a) Bestemmelser om bestyrelsens konstitution, herunder anvendelse af suppleanter og krav til beslutningsdygtighed, samt med hvilke intervaller, der skal afholdes møder.

b) Bestemmelser om skriftlige og elektroniske bestyrelsesmøder, jf. nr. 18 og 19.

c) Procedurer for fastlæggelse af arbejdsdelingen mellem bestyrelsen og direktionen, herunder bemyndigelser, ansvar for forretningsgange og tavshedspligt.

d) Procedurer for bestyrelsens tilsyn med direktionens ledelse af virksomheden og eventuelle datterselskaber, herunder vurdering af om direktionen varetager sine opgaver på behørig måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker og bestyrelsens retningslinjer til direktionen, jf. § 70, stk. 5, i lov om finansiel virksomhed.

e) Procedurer for oprettelse og føring af bøger, fortegnelser og protokoller efter selskabslovgivningen.

f) Procedurer for bestyrelsens løbende stillingtagen til den finansielle virksomheds forretningsmodel, risikoprofil, organisation og ressourcer.

g) Procedurer for, hvordan bestyrelsen indhenter de oplysninger, der er nødvendige for udførelse af dens opgaver, herunder de forpligtelser, som bestyrelsen er pålagt i henhold til lov om finansiel virksomhed, lov om værdipapirhandel m.v., lov om forebyggende foranstaltninger mod hvidvask af udbytte og terrorfinansiering og anden relevant lovgivning.

h) Bestemmelser om bestyrelsens løbende stillingtagen til direktionens rapportering til bestyrelsen, herunder stillingtagen til beregningen af solvenskapitalkravet for gruppe 1-forsikringsselskaber eller det individuelle solvensbehov for gruppe 2-forsikringsselskaber, budgetter, finansielle rapporter, likviditet og kapitalbehov, væsentlige dispositioner, særlige risici og egne overordnede forsikringsforhold.

i) Procedurer for bestyrelsens stillingtagen til og underskrivelse af revisionsprotokollen.

j) Procedurer for, hvordan bestyrelsen sikrer tilstedeværelsen af det nødvendige grundlag for revision, herunder, hvis relevant, tage stilling til, om der er behov for intern revision.

3) Bestyrelsen skal løbende og mindst en gang årligt gennemgå forretningsordenen med henblik på at sikre, at denne afspejler den finansielle virksomheds forretnings- og aktivitetsområder.

4) Bestyrelsen skal sikre og kunne dokumentere, at samtlige bestyrelsesmedlemmer har kendskab til forretningsordenen.

Bestyrelsesmøder og bestyrelsens forhandlinger

5) Bestyrelsen skal, jf. § 74, stk. 1, i lov om finansiel virksomhed, mødes, når der skal træffes beslutning om forhold, der ikke er omfattet af de beføjelser, bestyrelsen har givet til direktionen, jf. § 70. Bestyrelsen kan således ikke lovligt delegere sin beslutningskompetence til f.eks. et forretningsudvalg.

6) Nr. 5 finder ikke anvendelse på behandling af standardiserede sager, som i henhold til vedtægter eller andet skal behandles af bestyrelsen. Sådanne sager kan henlægges til behandling og beslutning i et udvalg under bestyrelsen, hvis der på forhånd af den samlede bestyrelse er fastlagt retningslinjer for sagernes behandling. Disse retningslinjer samt udvalgets behandling af de pågældende sager skal løbende evalueres af den samlede bestyrelse. Delegeringen omfatter ikke bestyrelsens ansvar for sagernes behandling og de trufne beslutninger.

7) Bestyrelsen kan beslutte, at ansatte i den finansielle virksomhed samt bestyrelsesmedlemmer og ansatte i andre selskaber i koncernen kan deltage i et bestyrelsesmøde, eventuelt alene ved enkelte punkter på dagsordenen.

8) Bestyrelsen kan ligeledes i enkeltstående tilfælde beslutte, at der kan være andre personer end de i nr. 7 nævnte, eksempelvis aktionærer eller rådgivere, til stede ved et eller flere angivne punkter på dagsordenen.

9) Uanset nr. 7 og 8 må der ikke være uvedkommende personer til stede ved et bestyrelsesmøde eller ved et punkt på bestyrelsesmødets dagsorden, hvor der behandles fortrolige oplysninger, som ikke lovligt kan videregives efter reglerne om videregivelse af fortrolige oplysninger i kapitel 9 i lov om finansiel virksomhed.

10) Den i medfør af § 74, stk. 3, i lov om finansiel virksomhed førte forhandlingsprotokol skal afspejle de på møderne førte drøftelser, herunder skal væsentlige risikovurderinger og trufne beslutninger samt forudsætninger for disse fremgå. Det skal fremgå, hvilke medlemmer der har været til stede på et møde. Har andre personer end medlemmer af bestyrelsen været til stede, skal dette også fremgå.

11) Protokollen skal indrettes på betryggende vis, herunder således at det er tydeligt, når protokollen for et møde er endelig, samt at hver side i forhandlingsprotokollen er fortløbende nummereret.

12) Det skal udtrykkeligt anføres i forhandlingsprotokollen, når der behandles eksponeringer omfattet af § 78, stk. 1 og 4, i lov om finansiel virksomhed. De pågældende bestyrelsesmedlemmer og direktører må ikke være til stede under sagens behandling, og det skal protokolleres, at de ikke er til stede.

13) Bestemmelsen i nr. 12 er ikke til hinder for, at et bestyrelsesmedlem eller en direktør, der tillige deltager i ledelsen af et moderselskab, der ejer hele kapitalen i virksomheden, eller i et 100 pct.-ejet søster- eller datterselskab, deltager i behandlingen af spørgsmål om eller eksponeringer med dette selskab.

14) Bestemmelserne i § 78, stk. 1 og 4, i lov om finansiel virksomhed er ikke til hinder for, at medarbejdervalgte bestyrelsesmedlemmer kan bevilges eksponeringer på samme vilkår som medarbejderne i den pågældende finansielle virksomhed i øvrigt.

15) Bestemmelsen i § 78, stk. 3, i lov om finansiel virksomhed finder ikke anvendelse på fuldt sikrede eksponeringer eller eksponeringer af helt ubetydelig størrelse.

16) Bestyrelsen skal mindst én gang årligt gennemgå eksponeringerne med de i § 78, stk. 1 og 4, i lov om finansiel virksomhed nævnte personer og selskaber, f.eks. i forbindelse med den årlige aktivgennemgang. At gennemgangen har været foretaget, samt konklusionerne herpå, skal fremgå af protokollen.

Skriftligt og elektronisk afholdte bestyrelsesmøder

17) Bestyrelsen kan afholde skriftlige og elektroniske bestyrelsesmøder i overensstemmelse med lov om aktie- og anpartsselskaber (selskabsloven) i det omfang dette er foreneligt med udførelsen af bestyrelsens hverv.

18) Bestyrelsen skal beslutte, hvilke typer af sager der er egnede til behandling på et skriftligt eller elektronisk bestyrelsesmøde, f.eks. ukomplicerede og rutineprægede sager eller presserende sager, der ikke kan udsættes uden skadevirkning for virksomheden. Beslutningen skal fremgå af forretningsordenen.

19) Nr. 17 og 18 finder tilsvarende anvendelse på skriftlige bevillingsprocedurer.

20) I det omfang en bestyrelsesbeslutning træffes skriftligt eller elektronisk, kræves så vidt muligt en egentlig tilkendegivelse fra de enkelte bestyrelsesmedlemmer, jf. § 125 i lov om aktie- og anpartsselskaber (selskabsloven) og §§ 114 (gensidige selskaber) og 116 (tværgående pensionskasser) i lov om finansiel virksomhed. Sådanne tilkendegivelser skal protokolleres. En undladelse af at reagere på fremsendt materiale er ikke tilstrækkelig tilkendegivelse.


Bilag 6

Risikostyringssystemet, risikostyringsfunktionen og vurdering af egen risiko og solvens i gruppe 1-forsikringsselskaber

Bestyrelsens opgaver og ansvar

Risikostyringssystemet

1) Bestyrelsen skal sikre, at risikostyringssystemet udover områderne nævnt i artikel 259, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), mindst dækker følgende områder:

a) Forsikringstegning og hensættelser.

b) Investeringer.

c) Aktiv-passiv styring.

d) Styring af likviditets- og koncentrationsrisici.

e) Styring af operationel risiko.

f) Genforsikring og andre risikoreduktionsteknikker.

Politikker for risikostyring og for vurdering af egen risiko og solvens

2) Bestyrelsen skal udarbejde en politik for risikostyring, der udover at opfylde artikel 258, stk. 2, og artikel 259, stk. 1, litra c, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) og artikel 1 i Kommissionens gennemførelsesforordning (EU) 2015/2015 af 11. november 2015 om gennemførelsesmæssige tekniske standarder vedrørende procedurerne for vurderingen af eksterne kreditvurderinger i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2009/138/EF som minimum

a) definerer risikokategorier og metoder til at måle risici,

b) beskriver, hvordan virksomheden forvalter de enkelte relevante risikokategorier, risikoområder og enhver mulig akkumulering af risici,

c) beskriver forbindelsen mellem virksomhedens vurdering af egen risiko og solvens, kapitalgrundlaget, solvenskapitalkravet, minimumskapitalkravet og virksomhedens risikotolerancegrænser,

d) specificerer risikotolerancegrænser i alle relevante risikokategorier i overensstemmelse med virksomhedens overordnede risikovillighed,

e) beskriver frekvensen og indholdet af regelmæssige stresstests og de situationer, som kan føre til ad-hoc stresstest, og

f) inddrager likviditetsrisici, jf. artikel 260, stk. 1, litra d, nr. i, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), herunder procedurer for fastlæggelse af misforholdet mellem likviditetstilførsel og likviditetsforbrug af både aktiver og passiver, hensyntagen til det samlede likviditetsbehov på kort og mellemlangt sigt, hensyntagen til niveauet og overvågningen af likvide aktiver, identifikation af og omkostninger forbundet med alternative finansieringsredskaber, og hensyntagen til effekten på likviditetssituationen ved forventet nytegning.

3) Bestyrelsen skal udarbejde en politik for vurdering af egen risiko og solvens, der skal være passende i forhold til virksomhedens organisationsstruktur og risikostyringssystem og fastlægges under hensyntagen til arten, størrelsen og kompleksiteten af virksomhedens risici. Politikken skal indeholde alle relevante aspekter, herunder som minimum

a) en beskrivelse af de anvendte metoder, forudsætninger, processer og procedurer for den fremadrettede vurdering af egen risiko og solvens,

b) en beskrivelse af sammenhængen mellem risikoprofilen, de godkendte risikotolerancegrænser og vurderingen af det samlede solvensbehov,

c) information om hvordan og hvor ofte stresstests, følsomhedsanalyser, omvendte stresstests eller andre relevante analyser, jf. nr. 8, skal udføres,

d) information om krav til datakvalitet, og

e) information om frekvensen og tidspunktet for opgørelsen af den fremadrettede vurdering af egen risiko og solvens og en redegørelse for tilstrækkeligheden af frekvensen set i forhold til virksomhedens risikoprofil og volatiliteten af virksomhedens samlede solvensbehov sammenholdt med virksomhedens økonomiske stilling samt en angivelse af, hvilke forhold og omstændigheder, der anses for at medføre væsentlige ændringer i risikoprofilen, og som udløser behov for en fremadrettet vurdering af egen risiko og solvens uden for den almindelige tidsplan.

Direktionens opgaver og ansvar

Dokumentation og rapportering

4) Hver enkelt vurdering af egen risiko og solvens skal være skriftligt dokumenteret. Dokumentationen skal have en detaljeringsgrad, der gør det muligt for en tredjepart at evaluere de foretagne vurderinger og beregninger. Dokumentationen skal udformes således, at den på anmodning kan indsendes til Finanstilsynet på papir eller andet varigt medium. Det er herudover op til den enkelte virksomhed at fastlægge, hvordan dokumentationen skal udformes.

5) Dokumentationen skal omfatte en beskrivelse af de metoder, forudsætninger, processer og procedurer, der er anvendt til vurderingen, samt en beskrivelse af vurderingens resultater og konklusioner. Følgende skal som minimum indgå i dokumentationen:

a) Dokumentation for, at bestyrelsen har godkendt metoderne til vurdering af egen risiko og solvens.

b) Dokumentation for, at bestyrelsen har foretaget vurderingen af egen risiko og solvens, og en redegørelse for, hvordan bestyrelsen har udfordret vurderingens resultater.

c) En beskrivelse af de risikoanalyser, der er anvendt i vurderingen af egen risiko og solvens, af den kvantitative opgørelse af risiciene og af den kvalitative beskrivelse af risiciene samt en angivelse af, hvilke potentielle inde- eller udefrakommende påvirkninger, der er taget i betragtning.

d) En redegørelse for sammenhængen mellem vurderingen af egen risiko og solvens, processerne for kapitalallokering i kapitalplanen og de godkendte risikotolerancegrænser.

e) Konklusionerne fra vurderingen af, om virksomheden fremadrettet kan leve op til solvenskapitalkravet og minimumskapitalkravet og de forsikringsmæssige hensættelser.

f) En begrundet redegørelse for fundne afvigelser mellem virksomhedens risikoprofil og forudsætningerne for opgørelsen af solvenskapitalkrav samt for, hvordan virksomheden har reageret eller planlægger at reagere på de afvigelser, der er vurderet til at være væsentlige.

g) En begrundet redegørelse for eventuelt planlagte ledelseshandlinger, der vil kunne påvirke virksomhedens vurdering af egen risiko og solvens.

h) En redegørelse for kapitalplanen og kapitalnødplanen.

6) På koncernniveau skal dokumentationen for koncernens vurdering af egen risiko og solvens endvidere indeholde opgørelsen af koncernens solvenskapitalkrav, der som minimum inkluderer en beskrivelse af, hvordan der er taget højde for følgende faktorer:

a) Identifikation af mulighederne for kapitalfremskaffelse i koncernen, hvis der er behov for yderligere kapital.

b) Vurdering af rådigheden, omsætteligheden eller ombytteligheden af kapitalen.

c) Enhver planlagt overførsel af kapital i koncernen, som vil have en væsentlig betydelig for enhederne i koncernen.

d) Sammenhæng mellem de enkelte enheders strategier og koncernens strategi.

e) Specifikke risici, som koncernen kan være eksponeret overfor.

7) For hver bestyrelsesgodkendt vurdering af egen risiko og solvens skal virksomheden udarbejde en intern rapport, der indeholder information om vurderingens resultater, konklusioner samt andre relaterede informationer, som virksomheden finder relevante, og kommunikere disse informationer til virksomhedens relevante medarbejdere. Rapporten skal have en detaljeringsgrad, der gør det muligt for de relevante medarbejdere at foretage eventuelle nødvendige handlinger for at følge op på rapportens konklusioner. Den præcise udformning af rapporten godkendes af bestyrelsen.

Følsomhedsanalyser

8) I følsomhedsanalyserne, jf. § 4, skal indgå vurderinger af forudsætningerne, herunder modellernes input, modellernes parametre samt følsomheden omkring stødniveauerne. Formålet med følsomhedsanalyserne er at bestemme usikkerheden på vurderingen af egen risiko og solvens. Virksomheden skal analysere, hvilke stødniveauer der vil medføre, at kapitalgrundlaget ikke kan dække det opgjorte solvensbehov (omvendte stresstests). Virksomheder, der udbyder produkter med ret til bonus, skal endvidere analysere, hvilke stødniveauer der skal til, for at de kollektive og individuelle potentialer er opbrugt i de enkelte rentegrupper.

Beslutningsgrundlag

9) Direktionen skal sikre, at den ansvarlige for risikostyringsfunktionen i relevant omfang inddrages i vurderingen af direktionens og bestyrelsens beslutningsgrundlag, jf. nr. 10.

Risikostyringsfunktionens opgaver på risikostyringsområdet

10) Udover opgaverne nævnt i artikel 269, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal risikostyringsfunktionen varetage opgaverne nævnt i nr. 11-20.

11) Den ansvarlige for risikostyringsfunktionen skal i sin rapportering omkring de i punkt 12-14 nævnte områder tage stilling til, i hvilket omfang de leverede oplysninger giver direktion og bestyrelse det tilstrækkelige beslutningsgrundlag.

12) Den ansvarlige for risikostyringsfunktionen skal sikre, at alle væsentlige risici i virksomheden, herunder risici, der går på tværs af virksomhedens organisation, identificeres, måles, overvåges, styres og rapporteres korrekt.

13) Den ansvarlige for risikostyringsfunktionen skal sikre, at risikoeksponeringer i datterselskaber indgår i vurderingen af virksomhedens samlede risikoeksponeringer, jf. § 2, stk. 2.

14) Den ansvarlige for risikostyringsfunktionen skal sikre, at risikoeksponeringer i outsourcede funktioner indgår i vurderingen af virksomhedens samlede risikoeksponeringer.

15) Den ansvarlige for risikostyringsfunktionen skal deltage aktivt i udviklingen af virksomhedens risikostrategi, jf. § 5, stk. 1.

16) Den ansvarlige for risikostyringsfunktionen skal på forhånd høres om væsentlige beslutninger, så risikostyringsfunktionen har mulighed for at udtale sig om risikoen forinden.

17) Den ansvarlige for risikostyringsfunktionen skal mindst én gang årligt udarbejde en rapport til direktionen om virksomhedens risikostyring, jf. § 17, stk. 4. Rapporten skal indeholde den ansvarliges stillingtagen til de under § 18, stk. 2, 2. pkt., og i nr. 11-14 og 16 anførte forhold og skal indgå som en del af bestyrelsens samlede vurderingsgrundlag, jf. § 6, stk. 4. Den ansvarlige for risikostyringsfunktionen kan vælge, at rapporten indgår som en del af eller som et tillæg til virksomhedens risikovurdering. Den ansvarlige for risikostyringsfunktionen skal i givet fald sikre, at de i nr. 12 og 13 nævnte forhold klart fremgår af tillægget, og at bestyrelsen er orienteret om, at rapporten indgår som et tillæg.

18) Den ansvarlige for risikostyringsfunktionen skal i relevant omfang give udtryk for betænkeligheder og advare bestyrelsen, når det er passende i de tilfælde, hvor specifikke risikoudviklinger påvirker eller kan påvirke virksomheden.

19) Den ansvarlige for risikostyringsfunktionen rapporterer til direktionen om identificerede potentielt væsentlige risici og om andre specifikke risikoområder, både på eget initiativ og efter anmodning fra direktionen.

20) Den ansvarlige for risikostyringsfunktionen skal underrette direktionen, såfremt en investering medfører en betydelig risiko eller en ændring i risikoprofilen.


Bilag 7

Det interne kontrolsystem og compliancefunktionen i gruppe 1-forsikringsselskaber

Bestyrelsens opgaver og ansvar

Det interne kontrolsystem

1) Bestyrelsen skal sikre, at det interne kontrolsystem er effektivt og som minimum omfatter følgende områder:

a) Administrative procedurer.

b) Regnskabsprocedurer.

c) En intern kontrolstruktur.

d) Passende rapporteringsrutiner på alle niveauer i virksomheden.

e) En compliancefunktion, jf. § 19, stk. 2.

2) Bestyrelsen i en virksomhed, der er en del af en koncern, skal sikre, at det interne kontrolsystem gennemføres på samme måde i hele koncernen.

3) Bestyrelsen i en virksomhed, der er en del af en koncern, skal sikre, at risikokoncentrationer og koncerninterne transaktioner vurderes, overvåges og rapporteres i koncernens interne kontrolsystem, og at der tages højde for indbyrdes sammenhænge og afhængigheder.

Politik for intern kontrol

4) Bestyrelsen skal udarbejde den i artikel 258, stk. 2, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) nævnte politik om intern kontrol. Politikken skal derudover som minimum indeholde en

a) overordnet beskrivelse af virksomhedens kontrolsystem,

b) kort gennemgang af de interne kontroller på forskellige niveauer i organisationen,

c) beskrivelse af, i hvilket omfang kontrolsystemet indeholder krav om godkendelser, bemyndigelser, kontroller, ledelsesvurderinger og andre passende forholdsregler inden for virksomhedens ansvarsområder, og

d) beskrivelse af, hvordan og i hvilket omfang virksomheden følger op på manglende compliance.

Politik for compliance

5) Bestyrelsen skal godkende compliancefunktionens politik for compliance, jf. artikel 270, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

Direktionens opgaver og ansvar

6) Direktionen skal sikre, at virksomhedens medarbejdere kender deres ansvar og opgaver i det interne kontrolsystem.

Compliancefunktionens opgaver

7) Udover opgaverne nævnt i artikel 270 i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal compliancefunktion varetage opgaven nævnt i nr. 8.

8) Når compliancefunktionen vurderer mulige konsekvenser for virksomheden af de i § 19, stk. 2, 2. pkt., nævnte lovændringer, som ikke vedrører den finansielle lovgivning, skal compliancefunktionen sikre, at vurderingen foretages med den fornødne kompetence ved i nødvendigt omfang at inddrage medarbejdere fra andre organisatoriske enheder i virksomheden.


Bilag 8

Aktuarfunktionen i gruppe 1-forsikringsselskaber

Direktionens opgaver og ansvar

Aktuarfunktionens opgaver

1) Udover opgaverne nævnt i artikel 272, stk. 1-5, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal aktuarfunktionen varetage følgende opgaver vedrørende de forsikringsmæssige hensættelser:

a) Koordinere beregningen af forsikringsmæssige hensættelser.

b) Sikre, at de metoder, underliggende modeller og antagelser, der anvendes og lægges til grund ved opgørelsen af forsikringsmæssige hensættelser, er betryggende.

c) Vurdere tilstrækkeligheden og kvaliteten af de data, der benyttes til opgørelsen af forsikringsmæssige hensættelser.

d) Sammenligne bedste skøn med de hidtidige erfaringer.

e) Informere direktionen om, hvorvidt opgørelsen af de forsikringsmæssige hensættelser er troværdig og fyldestgørende.

f) Føre tilsyn med beregningen af de forsikringsmæssige hensættelser i de særlige tilfælde, hvor data ikke er tilstrækkelige, og det derfor er nødvendigt at anvende approksimationer.

2) Aktuarfunktionen skal i øvrigt varetage følgende opgaver:

a) Afgive udtalelse om den overordnede tegningspolitik, idet aktuarfunktionen tager hensyn til det indbyrdes forhold mellem de dele af forsikringspolitikken, der vedrører indtegning, genforsikringsarrangementerne og de forsikringsmæssige hensættelser, jf. dog artikel 272, stk. 6, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

b) Afgive udtalelse om, hvorvidt genforsikringsarrangementerne er betryggende, idet aktuarfunktionen tager hensyn til det indbyrdes forhold mellem de dele af forsikringspolitikken, der vedrører indtegning, genforsikringsarrangementerne og de forsikringsmæssige hensættelser, jf. dog artikel 272, stk. 7, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

c) Bidrage til den effektive gennemførelse af risikostyringssystemet, navnlig med hensyn til de modeller, der ligger til grund for beregningen af solvenskapitalkravet og minimumskapitalkravet, jf. §§ 126 c og 126 d i lov om finansiel virksomhed, og virksomhedens vurdering af egen risiko og solvens.

3) Aktuarfunktionen identificerer en eventuel uoverensstemmelse med kravene fastsat i medfør af § 126 e i lov om finansiel virksomhed om beregning af forsikringsmæssige hensættelser og foreslår ændringer, hvor det er relevant.

4) Aktuarfunktionen forklarer enhver væsentlig konsekvens af ændringer i data, metoder eller antagelser imellem tidspunkter for værdiansættelse af de forsikringsmæssige hensættelser.

5) Anvender virksomheden en intern model, skal aktuarfunktionen bidrage til at præcisere, hvilke risici inden for deres ekspertiseområde der er omfattet af en intern model. Aktuarfunktionen skal også bidrage til at belyse, både hvorfra de indbyrdes sammenhænge mellem disse risici stammer og hvorfra sammenhængene mellem disse risici og andre risici stammer. Aktuarfunktionens bidrag skal være baseret på en forsikringsmæssig analyse og skal afspejle funktionens erfaring og ekspertise.

6) Aktuarfunktionen kommer med indstillinger om interne procedurer til forbedring af datakvaliteten, hvor det er relevant.

7) Aktuarfunktionens rapportering til direktionen, jf. § 17, stk. 4, eller til bestyrelsen, jf. § 20, stk. 2, skal redegøre for eventuelle væsentlige afvigelser mellem faktiske erfaringer og bedste skøn, undersøge årsagerne hertil og foreslå ændringer i antagelserne og modifikationer i værdiansættelsesmodellen med henblik på en forbedring af bedste skøn.


Bilag 9

Intern auditfunktionen i gruppe 1-forsikringsselskaber

Bestyrelsens opgaver og ansvar

Politik for den interne audit

1) Bestyrelsen skal udarbejde en politik for den interne audit, der, i det omfang det er relevant, som minimum beskriver:

a) vilkår og betingelser for, hvornår den interne auditfunktion kan blive opfordret til at udtale sig eller yde bistand eller udføre andre særlige opgaver,

b) kriterierne for rotation af medarbejderopgaver,

c) hvordan den interne auditfunktion koordinerer koncernens interne auditaktivitet, og

d) hvordan den interne auditfunktion sikrer overensstemmelse med de interne auditkrav på koncernniveau.

Direktionens opgaver og ansvar

2) Direktionen skal træffe passende foranstaltninger for at mindske risikoen for interessekonflikter for den interne auditfunktion.

3) Direktionen skal sikre, at medarbejdere i og den ansvarlige for den interne auditfunktion ikke udfører audit af aktiviteter eller funktioner, som de selv har udført eller udarbejdet grundlaget for i den periode, som den interne audit omfatter.

4) Direktionen kan anmode den interne auditfunktion om at inddrage specifikke emner i den interne audit, uden at dette strider imod funktionens uafhængighed, jf. § 21, stk. 1.

Den interne auditfunktions opgaver

5) Udover opgaverne nævnt i artikel 271, stk. 3, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), skal den interne auditfunktion varetage opgaverne nævnt i nr. 6-7.

6) Den interne auditfunktion giver ledelsen sin vurdering af, hvorvidt det interne kontrolsystem er tilstrækkeligt og effektivt.

7) Den interne auditfunktions arbejde skal dokumenteres med henblik på at vurdere funktionens effektivitet og muliggøre en gennemgang af den foretagne interne audit og dens resultater.

8) Den interne auditplan, jf. artikel 271, stk. 3, litra a, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) og § 21, stk. 1, 2. pkt., skal bygge på en metodisk analyse af risici.

Officielle noter

1) Bekendtgørelsen indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2014 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II). I bekendtgørelsen er der medtaget visse bestemmelser fra Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), EU-Tidende 2015, nr. L 12, side 1. Ifølge artikel 288 i EUF-Traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i bekendtgørelsen er således udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.