Kapitel 7 Risikostyring i øvrigt
Videregivelse af beføjelser mellem bestyrelse, direktion og øvrige ledelsesniveauer skal kunne dokumenteres, jf. § 15, og proceduren herfor skal i relevant omfang fremgå af forretningsgangene, jf. § 14.
Stk. 2 Videregivelse af beføjelser kan kun ske til medarbejdere, der har den fornødne viden, indsigt og erfaring til at kunne anvende de modtagne beføjelser betryggende.
Stk. 3 Videregivne beføjelser skal som minimum angive
-
1) arten og omfanget af den eller de videregivne beføjelser,
-
2) principperne for opgørelse af udnyttelse af beføjelserne,
-
3) hvilke produkter og/eller handlinger beføjelsen omfatter,
-
4) eventuelle supplerende grænser for risiko samt principperne for opgørelse af sådanne beføjelser, der opfylder kravene i § 8, stk. 1, og
-
5) hvordan, hvor ofte og af hvilken person eller organisatorisk enhed rapportering skal foretages til afgiver af beføjelsen og eventuelle andre.
Stk. 4 Ingen kan videregive beføjelser, der går ud over de beføjelser, den pågældende selv har modtaget. Summen af videregivne beføjelser, herunder beføjelser givet til grupper af medarbejdere, må ikke overstige de i bestyrelsens retningslinjer til direktionen indeholdte beføjelser.
Stk. 5 Hvis der er fastsat supplerende risikomål i forbindelse med videregivne beføjelser, skal den, der afgiver beføjelserne, sikre sig, at anvendelse af de supplerende risikomål finder sted på en måde, der sikrer, at der ikke sker overskridelse af øvrige tildelte beføjelser.
Direktionen skal sikre, at der foretages kontrol af alle væsentlige risikobehæftede opgaver, herunder
-
1) overholdelse af samtlige grænser fastsat af bestyrelsen i henhold til § 8, stk. 1, nr. 1, i de til direktionen givne retningslinjer og grænser i lovgivningen,
-
2) overholdelse af videregivne beføjelser,
-
3) dispositioner, hvor virksomheden handler i henhold til fuldmagt fra kunder eller modparter og hvor virksomheden har forpligtet sig til at overholde grænser for risici, herunder placeringsgrænser, og
-
4) andre opgaver, som af anden årsag kan medføre væsentlige økonomiske eller andre væsentlige risici for virksomheden, herunder disponering af virksomhedens konti og opgaver i forbindelse med fremskaffelse eller udarbejdelse af grundlag for regnskab, opgørelse af solvenskapitalkravet og vurdering af egen risiko og solvens for gruppe 1-forsikringsselskaber eller fastsættelse af virksomhedens individuelle solvensbehov for gruppe 2-forsikringsselskaber.
Stk. 2 Kontrol skal udføres af en anden enhed end den, der har udført opgaven, så interessekonflikter undgås. Det gælder dog ikke kontroller, der har karakter af afstemning, overvågning af om forretningsgange overholdes, fejlfinding eller lignende, med mindre dette i det konkrete tilfælde ikke er betryggende.
Stk. 3 Kontroller omfattet af stk. 1 og 2 skal foretages med passende intervaller, afhængigt af virksomhedens størrelse, den enkelte risikos væsentlighed og størrelse set i forhold til virksomhedens forretningsmodel, aktivitetsområde, kompleksiteten af de pågældende risici og virksomhedens kapitalforhold. Kontrollerne skal, hvor der løbende sker dispositioner hen over dagen, omfatte overholdelse af grænser intra-dag. Intra-dag kontroller kan, hvor dette er betryggende, foretages på stikprøvebasis.
Stk. 4 Virksomheden skal have passende overvågning af, at administrative opgaver udføres på en betryggende og ensartet måde, og at forretningsgange m.v. bliver overholdt.
Foruden reglerne for gruppe 1-forsikringsselskaber i artikel 258, stk. 1, litra k, og artikel 259, stk. 1, litra d, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) finder denne bekendtgørelses §§ 25 og 26 anvendelse for virksomhedernes interne rapportering.
Direktionen skal sikre, at der løbende sker skriftlig og betryggende rapportering på alle relevante ledelsesmæssige niveauer om overholdelsen og udnyttelsen af samtlige grænser for risikotagning indeholdt i de i medfør af § 7 givne retningslinjer eller i den videregivne beføjelse. Der skal endvidere ske rapportering om overholdelse af de i lovgivningen fastsatte grænser for risiko på de områder, hvor dette er relevant for den pågældende virksomhed. Rapporteringen skal også omfatte risici, der styres på virksomhedens vegne af porteføljeforvaltere.
Stk. 2 Rapporteringen skal ske i overskuelig form og give direktion og øvrige medarbejdere, der har videregivet beføjelser, jf. § 22, oplysning såvel om den aktuelle udnyttelse af de fastsatte grænser som om udnyttelsen over tid.
Stk. 3 Anvender virksomheden interne modeller til opgørelse af risici, skal rapporteringen desuden omfatte relevante back-tests til dokumentation af modellens pålidelighed.
Stk. 4 Rapportering om videregivne beføjelser, herunder overskridelse af disse, skal ske til den, der har afgivet beføjelserne, med intervaller, der afspejler afgiverens involvering i den daglige disponering, og som fremgår af beføjelserne. Overskridelsen skal sædvanligvis rapporteres senest dagen efter, at overskridelsen er konstateret.
Direktionen skal sikre, at der sker rapportering om andre væsentlige forhold, der ikke måtte være omfattet af beføjelser fastsat i retningslinjerne eller i videregivne beføjelser, jf. stk. 2. Det kan f.eks. dreje sig om rapportering vedrørende afstemningsfejl, uregelmæssigheder, tab som følge af operationelle forhold, fejl i regnskab eller budgetter, nøglepersoners fratræden etc.
Stk. 2 Direktionen skal sikre, at virksomhedens forretningsgange, jf. § 14, stk. 1, i videst muligt omfang indeholder anvisninger om, hvilke forhold der skal eller bør rapporteres om og til hvem rapporteringen skal foretages, herunder skal det fremgå, om rapportering i særlige tilfælde kan eller skal ske til andre end den pågældendes daglige leder eller dennes leder.
Direktionen skal sikre, at der udarbejdes retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, herunder ændringer i eksisterende tjenesteydelser og produkter, hvorved tjenesteydelsernes og produkternes risikoprofil ændres væsentligt. Retningslinjerne skal som minimum
-
1) afgrænse, hvornår der er tale om et nyt produkt eller tjenesteydelse, i det omfang det er muligt,
-
2) angive, hvilken eller hvilke organisatoriske enheder, udvalg eller ad hoc-udvalg, der skal forestå udviklingsprocessen, eventuelt opdelt pr. risikoområde,
-
3) indeholde retningslinjer for, hvem der som minimum skal inddrages i udviklingsprocessen, således at det sikres, at alle relevante forhold belyses,
-
4) indeholde retningslinjer for, hvilke overordnede forhold der skal analyseres og dokumenteres, herunder arten, størrelsen og opgørelsen af risici for virksomheden, påvirkning af virksomhedens omkostninger og indtjening, virksomhedens muligheder for at agere på nye markeder, påvirkning af virksomhedens solvens og regnskabsmæssig behandling,
-
5) indeholde krav om, at analysen skal godtgøre, at virksomheden har tilstrækkelig ekspertise, systemer, kapital og ressourcer i øvrigt til at håndtere det nye produkt eller tjenesteydelsen på betryggende vis, og
-
6) indeholde bestemmelse om retningslinjer for, at nye produkter og tjenesteydelser, der kan medføre væsentlige nye risici for virksomheden eller virksomhedens kunder, skal forelægges bestyrelsen med henblik på dennes stillingtagen til, om anvendelsen af det nye produkt giver anledning til ændring af de i henhold til § 5 vedtagne politikker eller de i medfør af §§ 7 og 8 givne retningslinjer, herunder til fastsættelse af særlige principper for opgørelse af de til produktet knyttede risici.
Den ansvarlige for risikostyringsfunktionen, jf. § 17, stk. 2, 1. pkt., skal deltage eller som minimum høres i forbindelse med udvikling og godkendelse af nye produkter. Den ansvarlige for risikostyringsfunktionen skal løbende være informeret om forløbet af godkendelsesprocessen.
Stk. 2 Den ansvarlige for risikostyringsfunktionen, jf. § 17, stk. 2, 1. pkt., skal høres i forbindelse med stillingtagen til, om ændring af eksisterende produkter har et omfang, der medfører, at ændringen skal være omfattet af kravene til udvikling og godkendelse af nye produkter. Den ansvarlige for risikostyringsfunktionen skal altid kunne kræve, at en ændring af et eksisterende produkt skal behandles som et nyt produkt.