Bekendtgørelse om ledelse og styring af forsikringsselskaber m.v.

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 1723 af 16. december 2015,
som ændret ved bekendtgørelse nr. 637 af 01. juni 2017, bekendtgørelse nr. 1169 af 31. oktober 2017 og bekendtgørelse nr. 894 af 27. august 2019

I medfør af § 65, stk. 2, § 70, stk. 7, § 71, stk. 3, og § 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 457 af 24. april 2019, som ændret ved lov nr. 552 af 7. maj 2019, fastsættes:

Bekendtgørelsen er konsolideret med senere ændringer. Her kan du se hvilke ændringsbekendtgørelser, som er indarbejdet.

  • Ændringsbekendtgørelsen er implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er delvist implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er endnu ikke implementeret i den konsoliderede bekendtgørelse
  • Bilag

  • Bilag 1 Forsikringsmæssige risici
  • Bilag 2 Investeringsområdet
  • Bilag 3 Operationelle risici
  • Bilag 4 It-sikkerhed
  • Bilag 5 Tilrettelæggelse af arbejdet i bestyrelsen
  • Bilag 6 Risikostyringssystemet, risikostyringsfunktionen og vurdering af egen risiko og solvens i gruppe 1-forsikringsselskaber
  • Bilag 7 Det interne kontrolsystem og compliancefunktionen i gruppe 1-forsikringsselskaber
  • Bilag 8 Aktuarfunktionen i gruppe 1-forsikringsselskaber
  • Bilag 9 Intern auditfunktionen i gruppe 1-forsikringsselskaber
Kapitel 1 Anvendelsesområde
§ 1

Denne bekendtgørelse finder anvendelse på følgende virksomheder:

  • 1) Forsikringsselskaber.

  • 2) Virksomheder omfattet af § 175 b, stk. 1 og 2, i lov om finansiel virksomhed.

  • 3) Filialer her i landet af forsikringsselskaber, der er meddelt tilladelse i et land uden for den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, med de afvigelser, som filialforholdet nødvendiggør, eller som er fastsat i eller i henhold til international aftale.

Stk. 2 Udover reglerne i artikel 258-262 og 266-272 i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) finder denne bekendtgørelse anvendelse på gruppe 1-forsikringsselskabers ledelse og styring.

Stk. 3 For gruppe 2-forsikringsselskaber finder § 3, stk. 2, § 4, § 5, stk. 3, § 6, stk. 4, § 7, stk. 4, § 9, stk. 4, § 17, § 18, stk. 1, 2. pkt. og stk. 2, § 19, stk. 2, §§ 20 og 21, § 24, § 28, bilag 1, nr. 2, bilag 2, nr. 2, 4-5, 7 og 9, og bilag 6-9 dog ikke anvendelse.

Stk. 4 Bestemmelserne for gruppe 1-forsikringsselskaber i denne bekendtgørelse finder tilsvarende anvendelse for de i stk. 1, nr. 2, nævnte virksomheder med de tilpasninger, koncern- eller gruppeforholdet nødvendiggør samt de i stk. 1, nr. 3, nævnte filialer.

Stk. 5 Finanstilsynet kan dispensere fra kravet i § 20 for de i stk. 1, nr. 2, nævnte virksomheder.

§ 2

Bestyrelsen henholdsvis direktionen i de af § 1, stk. 1, omfattede virksomheder skal træffe foranstaltninger, der er tilstrækkelige til, at virksomheden drives betryggende. Bestyrelsen henholdsvis direktionen skal herunder tage stilling til, hvilke foranstaltninger, der er tilstrækkelige til, at bestemmelserne overholdes. Hvilke foranstaltninger, der er tilstrækkelige, vil afhænge af virksomhedens forretningsmodel, herunder af

  • 1) arten, omfanget og kompleksiteten af virksomhedens risici og aktiviteter,

  • 2) virksomhedens størrelse,

  • 3) virksomhedens struktur samt strukturen af den koncern eller gruppe, hvori virksomheden måtte indgå,

  • 4) de forretningsmæssige og geografiske områder, som virksomheden opererer på,

  • 5) de finansielle tjenesteydelser, som virksomheden tilbyder, og

  • 6) de finansielle produkter, som virksomheden handler med.

Stk. 2 Bestyrelsen og direktionen i de af § 1, stk. 1, nr. 2, omfattede virksomheder skal træffe foranstaltninger, der er tilstrækkelige til, at koncernen eller gruppen drives på betryggende vis.

Kapitel 2 Bestyrelsens opgaver og ansvar
§ 3

Bestyrelsen skal som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

  • 1) træffe beslutning om virksomhedens forretningsmodel, herunder målsætninger for de forhold, der er nævnt under § 2, stk. 1,

  • 2) på grundlag af forretningsmodellen træffe beslutning om virksomhedens politikker, jf. § 5,

  • 3) vurdere og træffe beslutning om virksomhedens budgetter, kapital, likviditet, væsentlige dispositioner, særlige risici og virksomhedens egne overordnede forsikringsforhold,

  • 4) vurdere, om direktionen varetager sine opgaver på en betryggende måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker samt retningslinjerne til direktionen, og

  • 5) tilrettelægge sit arbejde således, at ledelsen af virksomheden er betryggende, jf. bilag 5.

Stk. 2 Bestyrelsen i et gruppe 1-forsikringsselskab skal endvidere som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

  • 1) mindst én gang årligt foretage en vurdering af egen risiko og solvens, jf. § 4,

  • 2) i overensstemmelse med artikel 258, stk. 1, litra k, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) træffe beslutning om frekvensen for og omfanget af direktionens rapportering til og information af bestyrelsen således, at bestyrelsen har et indgående overblik over virksomheden og dens risici, og at rapporteringen i øvrigt er fyldestgørende for bestyrelsens arbejde,

  • 3) beslutte en kapitalplan, som skal sikre, at virksomhedens kapitalgrundlag vil være tilstrækkelig til at dække de risici, som virksomheden kan forventes at blive udsat for ved virksomhedens fortsatte drift i henhold til den fastsatte strategi, og

  • 4) beslutte en kapitalnødplan, der skal indeholde operationelle procedurer, som kan anvendes i praksis, hvis kapitalplanens forudsætninger brister.

Stk. 3 Bestyrelsen i et gruppe 2-forsikringsselskab skal endvidere som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

  • 1) træffe beslutning om frekvensen for og omfanget af direktionens rapportering til og information af bestyrelsen således, at bestyrelsen har et indgående overblik over virksomheden og dens risici, og at rapporteringen i øvrigt er fyldestgørende for bestyrelsens arbejde,

  • 2) beslutte en kapitalplan, som skal sikre, at virksomhedens basiskapital vil være tilstrækkelig til at dække de risici, som virksomheden kan forventes at blive udsat for ved virksomhedens fortsatte drift i henhold til den fastsatte strategi, og

  • 3) beslutte en kapitalnødplan, der skal indeholde operationelle procedurer, som kan anvendes i praksis, hvis kapitalplanens forudsætninger brister.

§ 4

Bestyrelsen i et gruppe 1-forsikringsselskab skal foretage den i § 3, stk. 2, nr. 1, nævnte vurdering af egen risiko og solvens med udgangspunkt i virksomhedens forretningsmodel, risikoprofil og risikotolerancegrænser. Bestyrelsen skal sikre, at vurderingen af egen risiko og solvens foretages ud fra en going concern-forudsætning både på kort og på lang sigt. Vurderingen skal indeholde en vurdering af, om det opgjorte solvenskapitalkrav har taget tilstrækkeligt højde for alle væsentlige risicis virkning inden for de kommende 12 måneder. Vurderingen skal således udtrykke virksomhedens mulighed for at overholde solvenskapitalkravet og minimumskapitalkravet, både inden for en tidshorisont på 12 måneder og i en periode, der mindst svarer til virksomhedens strategiske planlægningsperiode, jf. artikel 262, stk. 2, litra a, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II). Bestyrelsen beslutter valg af metoder, forudsætninger, parametre m.v. ved de fremskrivninger, som bliver lagt til grund for den langsigtede vurdering.

Stk. 2 Såfremt et gruppe 1-forsikringsselskab anvender standardmodellen til opgørelse af hele eller en del af solvenskapitalkravet, skal bestyrelsen i sin vurdering af egen risiko og solvens have fokus på de forskelle mellem standardmodellen og vurderingen af egen risiko og solvens, der skyldes risici, som enten ikke er medtaget i standardmodellen eller som i standardmodellen er overvurderet eller undervurderet i forhold til risikoprofilen. Det vil ikke være tilstrækkeligt at oplyse afvigelserne ved blot at sammenholde det opgjorte solvenskapitalkrav med resultatet af den kvalitative opgørelse af virksomhedens risici. Såfremt virksomheden anvender en fuld eller partiel intern model til opgørelse af solvenskapitalkravet, skal bestyrelsens vurdering af egen risiko og solvens have fokus på den interne models begrænsninger.

Stk. 3 Bestyrelsen i et gruppe 1-forsikringsselskab beslutter, hvor ofte og i hvilket omfang der skal foretages løbende følsomhedsanalyser for alle virksomhedens væsentlige risici og solvenskapitalkravet, jf. bilag 6.

Stk. 4 Finanstilsynet kan godkende, at virksomheder omfattet af § 175 b, stk. 1 og 2, i lov om finansiel virksomhed, foretager vurderingen af egen risiko og solvens på koncern- eller gruppeniveau og for alle virksomheder i koncernen eller gruppen på samme tid og indsender et samlet dokument til tilsynet. En godkendelse er betinget af, at virksomheden omfattet af § 175 b, stk. 1 og 2, i lov om finansiel virksomhed sikrer, at koncernen eller gruppen indsender det samlede dokument til Finanstilsynet og relevante udenlandske tilsynsmyndigheder samtidig, og at alle virksomheder i koncernen eller gruppen overholder kravene til vurderingen af egen risiko og solvens.

§ 5

Virksomhedens politikker, jf. § 3, stk. 1, nr. 2, skal indeholde virksomhedens overordnede strategiske mål for de pågældende risikoområder, herunder identifikation og afgrænsning af de risici, virksomheden ønsker at påtage sig på de pågældende områder, og anvisninger på, hvorledes de strategiske mål opnås.

Stk. 2 Politikkerne skal, hvor det er relevant, omfatte:

  • 1) Politik for forsikringsmæssige risici, jf. bilag 1.

  • 2) Politik for markeds-, modparts- og kreditrisici (investeringsområdet), jf. bilag 2.

  • 3) Politik for operationelle risici, jf. bilag 3.

  • 4) It-sikkerhedspolitik, jf. bilag 4.

Stk. 3 Udover politikkerne nævnt i artikel 260, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal politikkerne i et gruppe 1-forsikringsselskab endvidere omfatte:

  • 1) Politik for risikostyring, jf. bilag 6.

  • 2) Politik for den interne kontrol, jf. artikel 258, stk. 2, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

  • 3) Politik for den interne audit, jf. artikel 258, stk. 2, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

  • 4) Politik for vurdering af egen risiko og solvens, jf. bilag 6.

  • 5) Politik for kapitalstruktur.

  • 6) Politik for fyldestgørende oplysninger i rapport om solvens og finansiel situation, jf. § 283, stk. 1, 1. pkt., i lov om finansiel virksomhed.

  • 7) Øvrige risikoområder som bestyrelsen skønner er af betydning for virksomheden.

Stk. 4 Et gruppe 2-forsikringsselskab skal foruden de i stk. 2 nævnte politikker endvidere udarbejde en politik for opgørelse af individuelt solvensbehov.

Stk. 5 Virksomhedens politikker skal være forsvarlige i forhold til virksomhedens indtjening og kapitalgrundlag for så vidt angår gruppe 1-forsikringsselskaber eller basiskapital for så vidt angår gruppe 2-forsikringsselskaber.

§ 6

Ved opfyldelse af § 3, stk. 2, nr. 1, for gruppe 1-forsikringsselskaber og § 15 i bekendtgørelse om driftsplaner, planer for genoprettelse, finansieringsplaner og individuelt solvensbehov for forsikringsselskaber for gruppe 2-forsikringsselskaber skal bestyrelsen løbende, dog mindst én gang om året, vurdere, om virksomhedens politikker, jf. § 5, samt retningslinjerne til direktionen, jf. §§ 7 og 8, er betryggende i forhold til virksomhedens forretningsmæssige aktiviteter, organisation og ressourcer samt de markedsforhold, som virksomhedens aktiviteter drives under.

Stk. 2 Vurderingen efter stk. 1 skal foretages i forhold til

  • 1) hvilke risici, som virksomheden er udsat for, herunder forretningsmodellens indflydelse på risici og risikoniveauer,

  • 2) hvilke aktiviteter de pågældende risici er tilknyttet,

  • 3) omfanget af de enkelte risici, og

  • 4) hvorledes risikotyperne påvirker hinanden, hvis dette er relevant.

Stk. 3 Vurderingen efter stk. 1 skal i fornødent omfang desuden indeholde en stillingtagen til om virksomheden har

  • 1) et betryggende antal medarbejdere og kompetencer på risikobehæftede aktiviteter,

  • 2) betryggende it-systemer, og

  • 3) betryggende procedurer for hurtig og effektiv kommunikation på tværs af virksomheden og koncernen.

Stk. 4 I et gruppe 1-forsikringsselskab skal rapporten fra den ansvarlige for risikostyringsfunktionen, jf. bilag 6, indgå i bestyrelsens samlede vurderingsgrundlag, jf. stk. 1.

§ 7

På grundlag af vurderingen af egen risiko og solvens for gruppe 1-forsikringsselskaber, jf. § 3, stk. 2, nr. 1, risikovurderingen for gruppe 2-forsikringsselskaber, jf. § 15 i bekendtgørelse om driftsplaner, planer for genoprettelse, finansieringsplaner og individuelt solvensbehov for forsikringsselskaber, og i henhold til de i § 5 besluttede politikker skal bestyrelsen udstede skriftlige retningslinjer til direktionen.

Stk. 2 Retningslinjerne efter stk. 1 skal angive, hvilke dispositioner direktionen kan foretage som led i dens stilling, og hvilke beslutninger direktionen eventuelt kan træffe med efterfølgende orientering af bestyrelsen.

Stk. 3 Bestyrelsen kan ikke henlægge beføjelser til direktionen, der hører til bestyrelsens overordnede ledelsesopgaver, jf. §§ 3-6, eller i øvrigt er af usædvanlig art eller af stor betydning for virksomheden. Blandt andet kan følgende beføjelser ikke henlægges til direktionen:

Stk. 4 I et gruppe 1-forsikringsselskab kan bestyrelsen endvidere ikke henlægge beføjelsen til at træffe beslutning om ansøgning om godkendelse af interne modeller til opgørelse af solvenskapitalkrav, jf. § 16, nr. 1, i bekendtgørelse om opgørelse af solvenskapitalkravet ved anvendelse af en intern model for gruppe 1-forsikringsselskaber m.v., til direktionen.

Stk. 5 I et gruppe 2-forsikringsselskab kan bestyrelsen endvidere ikke henlægge beføjelsen til at træffe beslutning om det individuelle solvensbehov, jf. § 126, stk. 4, i lov om finansiel virksomhed, til direktionen.

§ 8

Retningslinjerne efter § 7, stk. 1 og 2, skal, hvor det er relevant,

  • 1) indeholde kontrollerbare grænser for størrelsen af de risici, som direktionen er bemyndiget til at tage på virksomhedens vegne, og

  • 2) fastlægge principperne for, hvordan udnyttelse af grænserne for hver type af risiko opgøres, herunder for hvordan risiko hidrørende fra finansielle instrumenter og midler, der på virksomhedens vegne forvaltes af eksterne porteføljeforvaltere, indgår i den samlede risikoopgørelse.

Stk. 2 Retningslinjerne skal utvetydigt angive størrelsen af den enkelte fastsatte grænse for risiko, f.eks. som absolutte tal, eller ved at risikoen sættes i forhold til virksomhedens egenkapital, kapitalgrundlag for så vidt angår gruppe 1-forsikringsselskaber eller basiskapital for så vidt angår gruppe 2-forsikringsselskaber.

Stk. 3 Retningslinjerne kan kun undtagelsesvis give mulighed for, at direktionen kan disponere risici i en størrelsesorden, der ligger uden for den fastlagte risikoprofil og retningslinjernes grænser og da kun, hvis forudsætningerne herfor fremgår af retningslinjerne. Kan disse forudsætninger ikke fastlægges, kan forudgående beføjelser til overskridelse af retningslinjernes grænser ikke gives til direktionen.

Stk. 4 Bestyrelsen i et gruppe 2-forsikringsselskab skal ved udformningen af retningslinjerne til direktionen være betrygget i, at direktøren eller direktionens medlemmer tilsammen besidder den fornødne viden og erfaring til at anvende de i retningslinjerne indeholdte beføjelser på en for virksomheden betryggende måde.

Stk. 5 Det skal fremgå af retningslinjerne, hvorledes og hvor hyppigt rapportering til bestyrelsen skal ske. Herunder skal det fremgå, hvorledes og hvor hyppigt direktionen skal rapportere på de områder, hvor bestyrelsen har fastsat grænser for direktionen, eller hvor der er fastsat grænser i lovgivningen. Det skal således fremgå af rapporteringen, om grænser fastsat i lovgivningen er overholdt. Det skal fremgå, i hvilket omfang de af bestyrelsen fastsatte grænser for risici er udnyttet såvel aktuelt som over tid, herunder om der har været overskridelser af grænserne. Endelig skal rapporteringen omfatte et grundlag for bestyrelsens vurdering af anvendte modellers pålidelighed, hvis virksomheden anvender sådanne modeller.

Stk. 6 Rapporteringen efter stk. 5 skal også omfatte rapportering om midler og risici hidrørende fra midler, der forvaltes af eksterne porteføljeforvaltere, idet det fortsat er bestyrelsens ansvar, at midler, der forvaltes af eksterne porteføljeforvaltere, og øvrige midler tilsammen placeres inden for de af bestyrelsen udstukne retningslinjer og i overensstemmelse med lovgivningen.

Kapitel 3 Direktionens opgaver og ansvar
§ 9

Direktionen skal forestå den daglige ledelse af virksomheden i overensstemmelse med lovgivningens bestemmelser, herunder lov om aktie- og anpartsselskaber (selskabsloven) og lov om finansiel virksomhed, de af bestyrelsen vedtagne politikker, jf. § 5, de af bestyrelsen givne retningslinjer, jf. §§ 7 og 8, og eventuelle andre mundtlige eller skriftlige beslutninger og anvisninger fra bestyrelsen.

Stk. 2 Direktionen skal sikre, at de af bestyrelsen vedtagne politikker og retningslinjer implementeres i virksomhedens daglige drift.

Stk. 3 Direktionen er forpligtet til at videregive information til bestyrelsen, som bestyrelsen har anmodet om, samt information, som direktionen vurderer kan være af betydning for bestyrelsens arbejde.

Stk. 4 Direktionen er forpligtet til at videregive de informationer til de ansvarlige for nøglefunktionerne, jf. § 17, stk. 2, som direktionen vurderer kan være af betydning for disses arbejde.

Stk. 5 Direktionen har det daglige ledelsesmæssige ansvar for, at virksomheden kun træffer dispositioner, som direktionen og medarbejdere i fornødent omfang kan vurdere risiciene ved og konsekvenserne af.

Stk. 6 Direktionen skal godkende virksomhedens forretningsgange, jf. § 14, stk. 1, eller udpege en eller flere personer eller organisatoriske enheder med den nødvendige faglige viden til at gøre dette.

Stk. 7 Direktionen skal sikre, at der er anvisninger for, hvilke tiltag der skal iværksættes i forbindelse med nøglemedarbejderes fratræden.

Stk. 8 Direktionen i et gruppe 2-forsikringsselskab skal sikre, at der er anvisninger for, hvilke tiltag der skal iværksættes i forbindelse med alvorlige driftsforstyrrelser, it-nedbrud og øvrige driftsforstyrrelser.

Kapitel 4 Organisation og ansvarsfordeling
Opgaver og ressourcer
§ 10

Et gruppe 2-forsikringsselskab skal være indrettet i organisatoriske enheder med klart definerede arbejdsopgaver, herunder skal alle medarbejdere have klare beføjelser, ansvarsområder og referencelinjer. Det skal herunder være klart for de enkelte enheder og medarbejdere, hvilke opgaver der skal udføres og hvordan opgaverne skal udføres.

Stk. 2 De organisatoriske enheder i et gruppe 2-forsikringsselskab skal være bemandet ressource- og kompetencemæssigt således, at enhederne på betryggende vis kan løse de opgaver, det påhviler enhederne at udføre.

Information af bestyrelsen og øvrige ledelsesniveauer m.v.
§ 11

Et gruppe 2-forsikringsselskab skal være indrettet således, at den information, der skal tilgå bestyrelse, direktion og ledelse på øvrige organisatoriske niveauer, kan tilgå disse i retvisende og dækkende form for disses arbejde, herunder inden for tidsmæssige rammer og i en form, der sikrer, at eventuelle foranstaltninger kan sættes i værk uden unødigt ophold.

Forebyggelse af interessekonflikter
§ 12

Et gruppe 2-forsikringsselskab skal have procedurer for håndtering og forebyggelse af interessekonflikter.

Stk. 2 Et gruppe 1-forsikringsselskab og et gruppe 2-forsikringsselskab skal være indrettet således, at der er betryggende funktionsadskillelse.

Stk. 3 Virksomheden skal have funktionsadskillelse på området for forsikringsmæssige risici. Dette indebærer, at medarbejdere, der er involveret i accept af forsikringer, ikke må

  • 1) varetage eller udføre skadesbehandling,

  • 2) varetage eller udføre forsikringsmæssige udbetalinger, eller

  • 3) have ansvar for udarbejdelse af rapportering.

Stk. 4 Virksomheden skal have funktionsadskillelse på investeringsområdet, der indebærer, at medarbejdere, der er involveret i indgåelse af handler og risikotagning, ikke må

  • 1) varetage eller udføre handlernes afvikling,

  • 2) varetage interne kontroller,

  • 3) have ansvar for værdiansættelse og opgørelse af resultater og risici, eller

  • 4) have ansvar for udarbejdelse af rapportering.

Stk. 5 I virksomheder, hvor der ikke opretholdes funktionsadskillelse i overensstemmelse med stk. 2-4, jf. § 2, skal der indføres betryggende kompenserende foranstaltninger, der skal sikre, at der ikke påføres virksomheden unødige risici eller tab.

Kapitel 5 Administrativ og regnskabsmæssig praksis
Administrativ praksis
§ 13

Virksomheden skal være indrettet således, at de enkelte enheder og medarbejderne har de forretningsgange, manualer, beredskabsplaner, systemer og øvrige redskaber til rådighed, der er nødvendige for udførelsen af deres opgaver, jf. § 14.

§ 14

Virksomheden skal have forretningsgange på alle væsentlige aktivitetsområder. Aktiviteter, der vedrører virksomheden i dens egenskab af finansiel virksomhed, anses som udgangspunkt for væsentlige. Gruppe 1-forsikringsselskabets indberetning af oplysninger til Finanstilsynet anses altid for at være væsentlig.

Stk. 2 Forretningsgangene skal som minimum

  • 1) være lettilgængelige og overskuelige,

  • 2) på fyldestgørende måde beskrive de aktiviteter, der skal udføres, herunder sikre at lovgivningen, anden relevant regulering samt de af virksomhedens ledelse besluttede politikker og retningslinjer efterleves og overholdes,

  • 3) angive, hvilken organisatorisk enhed, personer eller grupper af personer, der skal udføre de enkelte opgaver eller delopgaver, og

  • 4) opdateres løbende ved ændring i interne forhold eller i relevant regulering.

Stk. 3 Forretningsgangene kan foreligge elektronisk. Direktionen skal dog sikre, at de er tilgængelige i tilfælde af systemnedbrud i virksomheden.

§ 15

Direktionen skal sikre, at der er fornøden dokumentation for virksomhedens aktiviteter, herunder at der er forretningsgange for

  • 1) i hvilket omfang beslutninger, beføjelser, udførte opgaver og forretninger samt opståede hændelser skal dokumenteres,

  • 2) i hvilken form dokumentationen skal ske,

  • 3) hvorledes der sikres tilgængelighed til dokumentationen,

  • 4) hvor længe dokumentationen skal opbevares, og

  • 5) hvis relevant, til hvem dokumentationen kan og skal videregives.

Stk. 2 Direktionen i et gruppe 2-forsikringsselskab skal sikre, at det klart fremgår af de i § 13 nævnte forretningsgange mv.

  • 1) hvilke opgaver der skal udføres,

  • 2) hvordan opgaverne skal udføres,

  • 3) i hvilket omfang udførte opgaver skal dokumenteres,

  • 4) i hvilken form dokumentationen skal ske,

  • 5) hvor dokumentationen skal opbevares,

  • 6) hvor længe dokumentationen skal opbevares,

  • 7) til hvem dokumentationen skal videregives, og

  • 8) hvor tidligere udarbejdet dokumentation kan findes.

Stk. 3 Dokumentationen, jf. stk. 1, skal foreligge enten skriftligt eller elektronisk.

Regnskabsmæssig praksis
§ 16

Virksomheden skal have en god regnskabsmæssig praksis. Dette indebærer blandt andet, at

  • 1) virksomheden kan dokumentere, at offentliggjorte års- og delårsrapporter, herunder alle enkeltposter og noter, er udarbejdet i overensstemmelse med det regelsæt, der gælder for den pågældende rapport, og

  • 2) virksomheden indhenter nødvendig information til brug for udarbejdelse af års- og delårsrapporter, herunder al relevant information til brug for fastlæggelse af regnskabsposter, der baseres på regnskabsmæssige skøn.

Kapitel 6 Virksomhedens nøglefunktioner
Nøglefunktionernes formål, organisation m.v.
§ 17

Med henblik på at sikre effektive former for virksomhedsstyring, herunder et effektivt risikostyringssystem og et effektivt internt kontrolsystem, skal direktionen i et gruppe 1-forsikringsselskab sikre, at virksomheden som minimum har følgende fire nøglefunktioner: Risikostyringsfunktion, compliancefunktion, aktuarfunktion og intern auditfunktion.

Stk. 2 Direktionen skal for hver af de mindst fire nøglefunktioner udpege en nøgleperson, der er den ansvarlige for funktionen, jf. dog stk. 7, § 20, stk. 2, og § 21, stk. 3. Direktionen skal vurdere, om virksomheden har andre nøglepersoner og i så fald identificere disse.

Stk. 3 Direktionen skal udarbejde funktionsbeskrivelser af nøglefunktionerne, der fordeler, adskiller og koordinerer nøglefunktionernes arbejdsopgaver og ansvar i overensstemmelse med bestyrelsens politikker med henblik på at forhindre unødigt sammenfald imellem funktionerne og sikre effektivt samarbejde i virksomheden.

Stk. 4 Nøglefunktionerne rapporterer til direktionen på eget initiativ, herunder om større problemer inden for deres ansvarsområde, jf. artikel 268, stk. 3, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), og efter anmodning fra direktionen. De udpegede nøglepersoner er ansvarlige for nøglefunktionernes rapportering til direktionen. Nøglefunktionerne afleverer mindst en gang årligt en rapport til direktionen, jf. dog § 20, stk. 2, og § 21, stk. 3. Direktionen skal sikre, at nøglepersonerne i nødvendigt omfang kan rette henvendelse og rapportere direkte til bestyrelsen uafhængigt af direktionen, og at de kan give udtryk for betænkeligheder og advare bestyrelsen i de tilfælde, hvor de finder det nødvendigt, uden at dette berører det ansvar, som bestyrelsen har, jf. § 70 i lov om finansiel virksomhed.

Stk. 5 En person eller organisatorisk enhed kan udføre mere end én nøglefunktion, hvor det er forsvarligt under hensyntagen til arten, omfanget og kompleksiteten af virksomhedens risici og aktiviteter, jf. § 2, stk. 1, nr. 1, jf. dog artikel 268, stk. 1, og artikel 271, stk. 1 og 2, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

Stk. 6 Direktionen kan som nøgleperson udpege en medarbejder, der også har ansvar for andre opgaver end funktionens, jf. dog artikel 258, stk. 1, litra g, stk. 5, og artikel 268, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).

Stk. 7 Et medlem af direktionen kan alene udpeges som en af de i stk. 2, 1. pkt., nævnte nøglepersoner, hvis udpegningen sker under hensyntagen til § 2, stk. 1, nr. 1, og besluttes af bestyrelsen.

Stk. 8 Direktionen kan vælge, at en nøglefunktions opgaver placeres i organisatoriske enheder uden for nøglefunktionen. Hvis direktionen vælger at placere en nøglefunktion i organisatoriske enheder, som har andre opgaver, skal direktionen sikre, at placeringen af nøglefunktionen er betryggende, herunder at eventuelle interessekonflikter i forhold til varetagelsen af funktionens opgaver og øvrige opgaver håndteres betryggende.

Stk. 9 Uanset stk. 7 og 8 skal nøglepersonen sikre, at nøglefunktionen udfører opgaver henhørende under funktionen på betryggende vis.

Stk. 10 Virksomheden kan outsource en eller flere nøglefunktioners opgaver helt eller delvist, men direktionen skal fortsat udpege en nøgleperson, der er den ansvarlige for nøglefunktionen, jf. stk. 2.

Risikostyring og risikostyringsfunktion
§ 18

Virksomheden skal have et risikostyringssystem, der skal være velintegreret i organisationsstrukturen og virksomhedens beslutningsprocesser. Udover områderne nævnt i artikel 259, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal risikostyringssystemet i et gruppe 1-forsikringsselskab dække de risici, der skal indgå i beregningen af solvenskapitalkravet, samt øvrige risici, der ikke eller ikke til fulde indgår i denne beregning. Risikostyringssystemet i et gruppe 2-forsikringsselskab skal dække de risici, der skal indgå i beregningen af individuelt solvensbehov, samt øvrige risici, der ikke indgår i denne beregning.

Stk. 2 Et gruppe 1-forsikringsselskab skal have en risikostyringsfunktion med en struktur, der skal lette gennemførelsen af risikostyringssystemet. Det er funktionens overordnede ansvar at have det samlede overblik over virksomhedens risici og solvens og bistå direktionen med at sikre risikostyringssystemets effektivitet, jf. bilag 6.

Compliance og compliancefunktion
§ 19

Virksomheden skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for virksomhedens manglende overholdelse af den for virksomheden gældende lovgivning, markedsstandarder eller interne regelsæt (compliancerisici).

Stk. 2 Et gruppe 1-forsikringsselskab skal have en effektiv compliancefunktion, jf. bilag 7, der udover at opfylde kravene i artikel 270 i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal kontrollere og vurdere, om metoderne og procedurerne efter stk. 1, og de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive. Compliancefunktionen skal desuden rådgive direktionen og bestyrelsen om overholdelsen af den finansielle lovgivning for virksomheden, vurdere konsekvenser for virksomheden af lovændringer samt identificere og vurdere risici for manglende overholdelse af den finansielle lovgivning, markedsstandarder eller interne regelsæt.

Aktuarfunktion
§ 20

Et gruppe 1-forsikringsselskab skal have en effektiv aktuarfunktion, som udover at opfylde kravene i artikel 272 i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal have det overordnede ansvar for selskabets forsikringsmæssige hensættelser, jf. bilag 8. Funktionen varetages af personer, som har kendskab til aktuarmatematik og finansmatematik på et niveau, der står i rimeligt forhold til arten, omfanget og kompleksiteten af risici, der er forbundet med virksomheden, og som kan påvise at have relevant erfaring med gældende faglige standarder og andre standarder af relevans for aktuarfunktionen.

Stk. 2 I en virksomhed, der har ansat en ansvarshavende aktuar, kan bestyrelsen udpege denne som nøglepersonen i aktuarfunktionen. Den i § 17, stk. 4, nævnte rapport skal da afgives til bestyrelsen og tilgå direktionen til orientering.

Stk. 3 I en koncern eller gruppe udtaler aktuarfunktionen sig om den del af forsikringspolitikken, der vedrører genforsikring og genforsikringsprogrammet for koncernen eller gruppen som helhed.

Intern auditfunktion
§ 21

Et gruppe 1-forsikringsselskab skal have en effektiv intern auditfunktion, der skal vurdere, om virksomhedens interne kontrolsystem og andre elementer af ledelsen og styringen er hensigtsmæssige og betryggende, jf. bilag 9. Indberetning efter artikel 271, stk. 3, litra c, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) af auditplanen skal ske til direktionen. Den interne auditfunktion skal være objektiv og uafhængig af virksomhedens operationelle funktioner. Den interne auditfunktion må ikke i sin audit, vurdering og rapportering af auditresultatet være under påvirkning fra direktionen eller bestyrelsen, som kan bringe funktionens uafhængighed og upartiskhed i fare.

Stk. 2 Den interne auditfunktions skriftlige rapport om funktionens resultater og henstillinger, jf. artikel 271, stk. 3, litra d, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), skal afgives til direktionen. Rapporten skal indeholde en frist for afhjælpning af eventuelle mangler og oplyse om status på anbefalinger, der ikke var afhjulpet ved afgivelsen af den foregående auditrapport.

Stk. 3 Bestyrelsen i en virksomhed, der har oprettet en intern revision, kan beslutte at udpege den interne revisionschef som nøgleperson i den interne auditfunktion og lade den interne revision udføre den interne auditfunktions opgaver. I så fald gælder kravene til intern revision i bekendtgørelse om revisionens gennemførelse i finansielle virksomheder m.v. samt finansielle koncerner ligeledes for den interne auditfunktion. Den i stk. 1 og 2 nævnte auditplan og rapport skal da afgives til bestyrelsen og rapporten skal tilgå direktionen til orientering.

Kapitel 7 Risikostyring i øvrigt
Videregivelse af beføjelser
§ 22

Videregivelse af beføjelser mellem bestyrelse, direktion og øvrige ledelsesniveauer skal kunne dokumenteres, jf. § 15, og proceduren herfor skal i relevant omfang fremgå af forretningsgangene, jf. § 14.

Stk. 2 Videregivelse af beføjelser kan kun ske til medarbejdere, der har den fornødne viden, indsigt og erfaring til at kunne anvende de modtagne beføjelser betryggende.

Stk. 3 Videregivne beføjelser skal som minimum angive

  • 1) arten og omfanget af den eller de videregivne beføjelser,

  • 2) principperne for opgørelse af udnyttelse af beføjelserne,

  • 3) hvilke produkter og/eller handlinger beføjelsen omfatter,

  • 4) eventuelle supplerende grænser for risiko samt principperne for opgørelse af sådanne beføjelser, der opfylder kravene i § 8, stk. 1, og

  • 5) hvordan, hvor ofte og af hvilken person eller organisatorisk enhed rapportering skal foretages til afgiver af beføjelsen og eventuelle andre.

Stk. 4 Ingen kan videregive beføjelser, der går ud over de beføjelser, den pågældende selv har modtaget. Summen af videregivne beføjelser, herunder beføjelser givet til grupper af medarbejdere, må ikke overstige de i bestyrelsens retningslinjer til direktionen indeholdte beføjelser.

Stk. 5 Hvis der er fastsat supplerende risikomål i forbindelse med videregivne beføjelser, skal den, der afgiver beføjelserne, sikre sig, at anvendelse af de supplerende risikomål finder sted på en måde, der sikrer, at der ikke sker overskridelse af øvrige tildelte beføjelser.

Kontroller
§ 23

Direktionen skal sikre, at der foretages kontrol af alle væsentlige risikobehæftede opgaver, herunder

  • 1) overholdelse af samtlige grænser fastsat af bestyrelsen i henhold til § 8, stk. 1, nr. 1, i de til direktionen givne retningslinjer og grænser i lovgivningen,

  • 2) overholdelse af videregivne beføjelser,

  • 3) dispositioner, hvor virksomheden handler i henhold til fuldmagt fra kunder eller modparter og hvor virksomheden har forpligtet sig til at overholde grænser for risici, herunder placeringsgrænser, og

  • 4) andre opgaver, som af anden årsag kan medføre væsentlige økonomiske eller andre væsentlige risici for virksomheden, herunder disponering af virksomhedens konti og opgaver i forbindelse med fremskaffelse eller udarbejdelse af grundlag for regnskab, opgørelse af solvenskapitalkravet og vurdering af egen risiko og solvens for gruppe 1-forsikringsselskaber eller fastsættelse af virksomhedens individuelle solvensbehov for gruppe 2-forsikringsselskaber.

Stk. 2 Kontrol skal udføres af en anden enhed end den, der har udført opgaven, så interessekonflikter undgås. Det gælder dog ikke kontroller, der har karakter af afstemning, overvågning af om forretningsgange overholdes, fejlfinding eller lignende, med mindre dette i det konkrete tilfælde ikke er betryggende.

Stk. 3 Kontroller omfattet af stk. 1 og 2 skal foretages med passende intervaller, afhængigt af virksomhedens størrelse, den enkelte risikos væsentlighed og størrelse set i forhold til virksomhedens forretningsmodel, aktivitetsområde, kompleksiteten af de pågældende risici og virksomhedens kapitalforhold. Kontrollerne skal, hvor der løbende sker dispositioner hen over dagen, omfatte overholdelse af grænser intra-dag. Intra-dag kontroller kan, hvor dette er betryggende, foretages på stikprøvebasis.

Stk. 4 Virksomheden skal have passende overvågning af, at administrative opgaver udføres på en betryggende og ensartet måde, og at forretningsgange m.v. bliver overholdt.

Intern rapportering
§ 24

Foruden reglerne for gruppe 1-forsikringsselskaber i artikel 258, stk. 1, litra k, og artikel 259, stk. 1, litra d, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) finder denne bekendtgørelses §§ 25 og 26 anvendelse for virksomhedernes interne rapportering.

§ 25

Direktionen skal sikre, at der løbende sker skriftlig og betryggende rapportering på alle relevante ledelsesmæssige niveauer om overholdelsen og udnyttelsen af samtlige grænser for risikotagning indeholdt i de i medfør af § 7 givne retningslinjer eller i den videregivne beføjelse. Der skal endvidere ske rapportering om overholdelse af de i lovgivningen fastsatte grænser for risiko på de områder, hvor dette er relevant for den pågældende virksomhed. Rapporteringen skal også omfatte risici, der styres på virksomhedens vegne af porteføljeforvaltere.

Stk. 2 Rapporteringen skal ske i overskuelig form og give direktion og øvrige medarbejdere, der har videregivet beføjelser, jf. § 22, oplysning såvel om den aktuelle udnyttelse af de fastsatte grænser som om udnyttelsen over tid.

Stk. 3 Anvender virksomheden interne modeller til opgørelse af risici, skal rapporteringen desuden omfatte relevante back-tests til dokumentation af modellens pålidelighed.

Stk. 4 Rapportering om videregivne beføjelser, herunder overskridelse af disse, skal ske til den, der har afgivet beføjelserne, med intervaller, der afspejler afgiverens involvering i den daglige disponering, og som fremgår af beføjelserne. Overskridelsen skal sædvanligvis rapporteres senest dagen efter, at overskridelsen er konstateret.

§ 26

Direktionen skal sikre, at der sker rapportering om andre væsentlige forhold, der ikke måtte være omfattet af beføjelser fastsat i retningslinjerne eller i videregivne beføjelser, jf. stk. 2. Det kan f.eks. dreje sig om rapportering vedrørende afstemningsfejl, uregelmæssigheder, tab som følge af operationelle forhold, fejl i regnskab eller budgetter, nøglepersoners fratræden etc.

Stk. 2 Direktionen skal sikre, at virksomhedens forretningsgange, jf. § 14, stk. 1, i videst muligt omfang indeholder anvisninger om, hvilke forhold der skal eller bør rapporteres om og til hvem rapporteringen skal foretages, herunder skal det fremgå, om rapportering i særlige tilfælde kan eller skal ske til andre end den pågældendes daglige leder eller dennes leder.

Nye tjenesteydelser og produkter
§ 27

Direktionen skal sikre, at der udarbejdes retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, herunder ændringer i eksisterende tjenesteydelser og produkter, hvorved tjenesteydelsernes og produkternes risikoprofil ændres væsentligt. Retningslinjerne skal som minimum

  • 1) afgrænse, hvornår der er tale om et nyt produkt eller tjenesteydelse, i det omfang det er muligt,

  • 2) angive, hvilken eller hvilke organisatoriske enheder, udvalg eller ad hoc-udvalg, der skal forestå udviklingsprocessen, eventuelt opdelt pr. risikoområde,

  • 3) indeholde retningslinjer for, hvem der som minimum skal inddrages i udviklingsprocessen, således at det sikres, at alle relevante forhold belyses,

  • 4) indeholde retningslinjer for, hvilke overordnede forhold der skal analyseres og dokumenteres, herunder arten, størrelsen og opgørelsen af risici for virksomheden, påvirkning af virksomhedens omkostninger og indtjening, virksomhedens muligheder for at agere på nye markeder, påvirkning af virksomhedens solvens og regnskabsmæssig behandling,

  • 5) indeholde krav om, at analysen skal godtgøre, at virksomheden har tilstrækkelig ekspertise, systemer, kapital og ressourcer i øvrigt til at håndtere det nye produkt eller tjenesteydelsen på betryggende vis, og

  • 6) indeholde bestemmelse om retningslinjer for, at nye produkter og tjenesteydelser, der kan medføre væsentlige nye risici for virksomheden eller virksomhedens kunder, skal forelægges bestyrelsen med henblik på dennes stillingtagen til, om anvendelsen af det nye produkt giver anledning til ændring af de i henhold til § 5 vedtagne politikker eller de i medfør af §§ 7 og 8 givne retningslinjer, herunder til fastsættelse af særlige principper for opgørelse af de til produktet knyttede risici.

§ 28

Den ansvarlige for risikostyringsfunktionen, jf. § 17, stk. 2, 1. pkt., skal deltage eller som minimum høres i forbindelse med udvikling og godkendelse af nye produkter. Den ansvarlige for risikostyringsfunktionen skal løbende være informeret om forløbet af godkendelsesprocessen.

Stk. 2 Den ansvarlige for risikostyringsfunktionen, jf. § 17, stk. 2, 1. pkt., skal høres i forbindelse med stillingtagen til, om ændring af eksisterende produkter har et omfang, der medfører, at ændringen skal være omfattet af kravene til udvikling og godkendelse af nye produkter. Den ansvarlige for risikostyringsfunktionen skal altid kunne kræve, at en ændring af et eksisterende produkt skal behandles som et nyt produkt.

Kapitel 8 Straffebestemmelser

Stk. 2 Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens kapitel 5.

Kapitel 9 Ikrafttrædelse
§ 30

Bekendtgørelsen træder i kraft den 1. januar 2016.

Stk. 2 Bekendtgørelse nr. 1575 af 15. december 2010 om ledelse og styring af forsikringsselskaber og tværgående pensionskasser ophæves.