Bekendtgørelse om ledelse og styring af forsikringsselskaber m.v.

Bekendtgørelse nr. 1405 af 5. december 2024

I medfør af § 95, stk. 6, § 96, stk. 2, § 126, stk. 8, 132, stk. 2, og § 316, stk. 1, i lov nr. 718 af 13. juni 2023 om forsikringsvirksomhed, fastsættes:

Der er ingen senere ændringer til denne bekendtgørelse.

Ændringsbekendtgørelsen er implementeret i den konsoliderede bekendtgørelse
Ændringsbekendtgørelsen er delvist implementeret i den konsoliderede bekendtgørelse
Ændringsbekendtgørelsen er endnu ikke implementeret i den konsoliderede bekendtgørelse

Bilag
Bilag 1 Forsikringsmæssige risici
Bilag 2 Investeringsområdet
Bilag 3 Operationelle risici
Bilag 4 It-sikkerhed
Bilag 5 Tilrettelæggelse af arbejdet i bestyrelsen
Bilag 6 Risikostyringssystemet, risikostyringsfunktionen og vurdering af egen risiko og solvens i gruppe 1-forsikringsselskaber
Bilag 7 Det interne kontrolsystem og compliancefunktionen i gruppe 1-forsikringsselskaber
Bilag 8 Aktuarfunktionen i gruppe 1-forsikringsselskaber

Relaterede bekendtgørelser
Forsikringsvirksomhedsloven

Kapitel 1 Anvendelsesområde

§ 1

Denne bekendtgørelse finder anvendelse på følgende virksomheder:

1) Forsikringsselskaber.
2) Virksomheder omfattet af § 166, stk. 1 og 2, i lov om forsikringsvirksomhed.
3) Filialer her i landet af forsikringsselskaber, der er meddelt tilladelse i et land uden for den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, med de afvigelser, som filialforholdet nødvendiggør, eller som er fastsat i eller i henhold til international aftale.

Stk. 2 Udover reglerne i artikel 258-262 og 266-272 i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) finder denne bekendtgørelse anvendelse på gruppe 1-forsikringsselskabers ledelse og styring. I forhold til nøglefunktioner gælder der regler i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), lov om forsikringsvirksomhed og denne bekendtgørelse.

Stk. 3 For gruppe 2-forsikringsselskaber finder § 3, stk. 2, § 4, § 5, stk. 3, § 6, stk. 4, § 7, stk. 4, § 9, stk. 4, § 17, stk. 1, 3. pkt., § 21, § 25, bilag 1, nr. 2, bilag 2, nr. 2, 4-5, 7 og 9, og bilag 6-9 dog ikke anvendelse.

Stk. 4 Bestemmelserne for gruppe 1-forsikringsselskaber i denne bekendtgørelse finder tilsvarende anvendelse for de i stk. 1, nr. 2, nævnte virksomheder med de tilpasninger, koncern- eller gruppeforholdet nødvendiggør samt de i stk. 1, nr. 3, nævnte filialer.

Stk. 5 Bilag 4 om it-sikkerhed finder alene anvendelse for gruppe 2-forsikringsselskaber.

§ 2

Bestyrelsen henholdsvis direktionen i de af § 1, stk. 1, omfattede virksomheder skal træffe foranstaltninger, der er tilstrækkelige til, at virksomheden drives betryggende. Bestyrelsen henholdsvis di- rektionen skal herunder tage stilling til, hvilke foranstaltninger, der er tilstrækkelige til, at bestemmelserne overholdes. Hvilke foranstaltninger, der er tilstrækkelige, vil afhænge af virksomhedens forretningsmodel, herunder af

1) arten, omfanget og kompleksiteten af virksomhedens risici og aktiviteter,
2) virksomhedens størrelse,
3) virksomhedens struktur samt strukturen af den koncern eller gruppe, hvori virksomheden måtte indgå,
4) de forretningsmæssige og geografiske områder, som virksomheden opererer på,
5) de finansielle tjenesteydelser, som virksomheden tilbyder, og
6) de finansielle produkter, som virksomheden handler med.

Stk. 2 Bestyrelsen og direktionen i de af § 1, stk. 1, nr. 2, omfattede virksomheder skal træffe foranstaltninger, der er tilstrækkelige til, at koncernen eller gruppen drives på betryggende vis.

Kapitel 2 Bestyrelsens opgaver og ansvar

§ 3

Bestyrelsen skal som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

1) træffe beslutning om virksomhedens forretningsmodel, herunder målsætninger for de forhold, der er nævnt under § 2, stk. 1,
2) på grundlag af forretningsmodellen træffe beslutning om virksomhedens politikker, jf. § 5,
3) vurdere og træffe beslutning om virksomhedens budgetter, kapital, likviditet, væsentlige disposition- er, særlige risici og virksomhedens egne overordnede forsikringsforhold,
4) vurdere, om direktionen varetager sine opgaver på en betryggende måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker samt retningslinjerne til direktionen, og
5) tilrettelægge sit arbejde således, at ledelsen af virksomheden er betryggende, jf. bilag 5.

Stk. 2 Bestyrelsen i en livsforsikringsvirksomhed skal som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden træffe beslutning om hvilke produkter, virksomheden vil udbyde, samt det enkelte produkts væsentligste egenskaber og karakteristika, jf. bilag 1. Resultatet af virksomhedens produktgodkendelsesproces, jf. kapitel II i Kommissionens delegerede forordning (EU) 2017/2358 af 21. september 2017 vedrørende produkttilsyn og styring for forsikringsselskaber og forsikringsdistributører, skal inddrages i grundlaget for bestyrelsens beslutninger. Virksomheden skal dokumentere de beslutninger, der er truffet vedrørende hvert produkt, og den styring af produktet, der er besluttet efter bilag 2 og 6. Dokumentationen kan f.eks. ske i et særskilt dokument.

Stk. 3 Bestyrelsen i et gruppe 1-forsikringsselskab skal endvidere som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

1) mindst én gang årligt foretage en vurdering af egen risiko og solvens, jf. § 4,
2) i overensstemmelse med artikel 258, stk. 1, litra k, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) træffe beslutning om frekvensen for og omfanget af direktionens rapportering til og information af bestyrelsen således, at bestyrelsen har et indgående overblik over virksomheden og dens risici, og at rapporteringen i øvrigt er fyldestgørende for bestyrelsens arbejde,
3) beslutte en kapitalplan, som skal sikre, at virksomhedens kapitalgrundlag vil være tilstrækkelig til at dække de risici, som virksomheden kan forventes at blive udsat for ved virksomhedens fortsatte drift i henhold til den fastsatte strategi, og
4) beslutte en kapitalnødplan, der skal indeholde operationelle procedurer, som kan anvendes i praksis, hvis kapitalplanens forudsætninger brister.

Stk. 4 Bestyrelsen i et gruppe 2-forsikringsselskab skal endvidere som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

1) træffe beslutning om frekvensen for og omfanget af direktionens rapportering til og information af bestyrelsen således, at bestyrelsen har et indgående overblik over virksomheden og dens risici, og at rapporteringen i øvrigt er fyldestgørende for bestyrelsens arbejde,
2) beslutte en kapitalplan, som skal sikre, at virksomhedens basiskapital vil være tilstrækkelig til at dække de risici, som virksomheden kan forventes at blive udsat for ved virksomhedens fortsatte drift i henhold til den fastsatte strategi, og
3) beslutte en kapitalnødplan, der skal indeholde operationelle procedurer, som kan anvendes i praksis, hvis kapitalplanens forudsætninger brister.

§ 4

Bestyrelsen i et gruppe 1-forsikringsselskab skal foretage den i § 3, stk. 2, nr. 1, nævnte vurdering af egen risiko og solvens med udgangspunkt i virksomhedens forretningsmodel, risikoprofil og risikotolerancegrænser. Bestyrelsen skal sikre, at vurderingen af egen risiko og solvens foretages ud fra en going concern-forudsætning både på kort og på lang sigt. Vurderingen skal indeholde en vurdering af, om det opgjorte solvenskapitalkrav har taget tilstrækkeligt højde for alle væsentlige risicis virkning inden for de kommende 12 måneder. Vurderingen skal således udtrykke virksomhedens mulighed for at overholde solvenskapitalkravet og minimumskapitalkravet, både inden for en tidshorisont på 12 måneder og i en periode, der mindst svarer til virksomhedens strategiske planlægningsperiode, jf. artikel 262, stk. 2, litra a, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II). Bestyrelsen beslutter valg af metoder, forudsætninger, parametre m.v. ved de fremskrivninger, som bliver lagt til grund for den langsigtede vurdering.

Stk. 2 Såfremt et gruppe 1-forsikringsselskab anvender standardmodellen til opgørelse af hele eller en del af solvenskapitalkravet, skal bestyrelsen i sin vurdering af egen risiko og solvens have fokus på de forskelle mellem standardmodellen og vurderingen af egen risiko og solvens, der skyldes risici, som enten ikke er medtaget i standardmodellen eller som i standardmodellen er overvurderet eller undervurderet i forhold til risikoprofilen. Det vil ikke være tilstrækkeligt at oplyse afvigelserne ved blot at sammenholde det opgjorte solvenskapitalkrav med resultatet af den kvalitative opgørelse af virksomhedens risici. Såfremt virksomheden anvender en fuld eller partiel intern model til opgørelse af solvenskapitalkravet, skal bestyrelsens vurdering af egen risiko og solvens have fokus på den interne models begrænsninger.

Stk. 3 Bestyrelsen i et gruppe 1-forsikringsselskab beslutter, hvor ofte og i hvilket omfang der skal foretages løbende følsomhedsanalyser for alle virksomhedens væsentlige risici og solvenskapitalkravet, jf. bilag 6.

Stk. 4 Finanstilsynet kan godkende, at virksomheder omfattet af § 166, stk. 1 og 2, i lov om forsikringsvirksomhed foretager vurderingen af egen risiko og solvens på koncern- eller gruppeniveau og for alle virksomheder i koncernen eller gruppen på samme tid og indsender et samlet dokument til tilsynet. En godkendelse er betinget af, at virksomheden omfattet af § 166, stk. 1 og 2, i lov om forsikringsvirksomhed sikrer, at koncernen eller gruppen indsender det samlede dokument til Finanstilsynet og relevante udenlandske tilsynsmyndigheder samtidig, og at alle virksomheder i koncernen eller gruppen overholder kravene til vurderingen af egen risiko og solvens.

§ 5

Virksomhedens politikker, jf. § 3, stk. 1, nr. 2, skal indeholde virksomhedens overordnede strategiske mål for de pågældende risikoområder, herunder identifikation og afgrænsning af de risici, virksomheden ønsker at påtage sig på de pågældende områder, og anvisninger på, hvorledes de strategiske mål opnås. I det omfang, at en livsforsikringsvirksomhed udbyder produkter, hvor kunden bærer en risiko i henhold til de indgåede aftaler, skal virksomhedens politikker ligeledes inddrage de risici, som kunden bærer.

Stk. 2 Politikkerne skal, hvor det er relevant, omfatte:

1) Politik for forsikringsmæssige risici, jf. bilag 1.
2) Politik for markeds-, modparts- og kreditrisici (investeringsområdet), jf. bilag 2.
3) Politik for operationelle risici, jf. bilag 3.
4) It-sikkerhedspolitik, jf. bilag 4.

Stk. 3 Udover politikkerne nævnt i artikel 260, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal politikkerne i et gruppe 1-forsikringsselskab endvidere omfatte:

1) Politik for risikostyring, jf. bilag 6.
2) Politik for den interne kontrol, jf. artikel 258, stk. 2, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).
3) Politik for den interne audit, jf. artikel 258, stk. 2, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II).
4) Politik for vurdering af egen risiko og solvens, jf. bilag 6.
5) Politik for kapitalstruktur.
6) Politik for fyldestgørende oplysninger i rapport om solvens og finansiel situation, jf. § 164, stk. 1, 1. pkt., i lov om forsikringsvirksomhed.
7) Øvrige risikoområder som bestyrelsen skønner er af betydning for virksomheden.

Stk. 4 Et gruppe 2-forsikringsselskab skal foruden de i stk. 2 nævnte politikker endvidere udarbejde en politik for opgørelse af individuelt solvensbehov.

Stk. 5 Virksomhedens politikker skal være forsvarlige i forhold til virksomhedens indtjening og kapitalgrundlag for så vidt angår gruppe 1-forsikringsselskaber eller basiskapital for så vidt angår gruppe 2-forsikringsselskaber.

§ 6

Ved opfyldelse af § 3, stk. 2, nr. 1, for gruppe 1-forsikringsselskaber og § 15 i bekendtgørelse om driftsplaner, planer for genoprettelse, finansieringsplaner og individuelt solvensbehov for forsikringsselskaber for gruppe 2-forsikringsselskaber skal bestyrelsen løbende, dog mindst én gang om året, vurdere, om virksomhedens politikker, jf. § 5, samt retningslinjerne til direktionen, jf. §§ 7 og 8, er betryggende i forhold til virksomhedens forretningsmæssige aktiviteter, organisation og ressourcer samt de markedsforhold, som virksomhedens aktiviteter drives under.

Stk. 2 Vurderingen efter stk. 1 skal foretages i forhold til

1) hvilke risici, som virksomheden er udsat for, herunder forretningsmodellens indflydelse på risici og risikoniveauer,
2) hvilke aktiviteter de pågældende risici er tilknyttet,
3) omfanget af de enkelte risici, og
4) hvorledes risikotyperne påvirker hinanden, hvis dette er relevant.

Stk. 3 Vurderingen efter stk. 1 skal i fornødent omfang desuden indeholde en stillingtagen til om virksomheden har

1) et betryggende antal medarbejdere og kompetencer på risikobehæftede aktiviteter,
2) betryggende it-systemer, og
3) betryggende procedurer for hurtig og effektiv kommunikation på tværs af virksomheden og koncernen.

Stk. 4 I et gruppe 1-forsikringsselskab skal rapporten fra den ansvarlige for risikostyringsfunktionen, jf. bilag 6, indgå i bestyrelsens samlede vurderingsgrundlag, jf. stk. 1.

§ 7

På grundlag af vurderingen af egen risiko og solvens for gruppe 1-forsikringsselskaber, jf. § 3, stk. 2, nr. 1, risikovurderingen for gruppe 2-forsikringsselskaber, jf. § 15 i bekendtgørelse om driftsplaner, planer for genoprettelse, finansieringsplaner og individuelt solvensbehov for forsikringsselskaber, og i henhold til de i § 5 besluttede politikker skal bestyrelsen udstede skriftlige retningslinjer til direktionen.

Stk. 2 Retningslinjerne efter stk. 1 skal angive, hvilke dispositioner direktionen kan foretage som led i dens stilling, og hvilke beslutninger direktionen eventuelt kan træffe med efterfølgende orientering af bestyrelsen.

Stk. 3 Bestyrelsen kan ikke henlægge beføjelser til direktionen, der hører til bestyrelsens overordnede ledelsesopgaver, jf. §§ 3-6, eller i øvrigt er af usædvanlig art eller af stor betydning for virksomhe- den. Blandt andet kan følgende beføjelser ikke henlægges til direktionen:

1) Beslutning om outsourcing af kritiske eller vigtige operationelle funktioner eller aktiviteter.
2) Bevilling af usædvanlige eller betydende eksponeringer, jf. dog § 117, stk. 1, 4. og 5. pkt., i lov om aktie- og anpartsselskaber (selskabsloven) og eksponeringer omfattet af §§ 117-120 i lov om forsikringsvirksomhed.
3) Den årlige gennemgang af større aktiver og passiver, jf. principperne i § 115, nr. 1, i lov om aktie- og anpartsselskaber (selskabsloven).
4) Ansættelse af direktion, ansvarshavende aktuar og revisionschef.
5) Beslutning om principper for opgørelse af risici, jf. § 8, stk. 1, nr. 2, herunder anvendelse af interne modeller, der ikke er omfattet af stk. 4, i den løbende risikostyring.

Stk. 4 I et gruppe 1-forsikringsselskab kan bestyrelsen endvidere ikke henlægge beføjelsen til at træffe beslutning om ansøgning om godkendelse af interne modeller til opgørelse af solvenskapitalkrav, jf. § 16, nr. 1, i bekendtgørelse om opgørelse af solvenskapitalkravet ved anvendelse af en intern model for gruppe 1-forsikringsselskaber m.v., til direktionen.

Stk. 5 I et gruppe 2-forsikringsselskab kan bestyrelsen endvidere ikke henlægge beføjelsen til at træffe beslutning om det individuelle solvensbehov, jf. § 156, stk. 4, i lov om forsikringsvirksomhed, til direktionen.

§ 8

Retningslinjerne efter § 7, stk. 1 og 2, skal, hvor det er relevant,

1) indeholde kontrollerbare grænser for størrelsen af de risici, som direktionen er bemyndiget til at tage på virksomhedens vegne og, hvor relevant, på kundens vegne, samt
2) fastlægge principperne for, hvordan udnyttelse af grænserne for hver type af risiko opgøres, herunder for hvordan risiko hidrørende fra finansielle instrumenter og midler, der på virksomhedens vegne forvaltes af eksterne porteføljeforvaltere, indgår i den samlede risikoopgørelse.

Stk. 2 Retningslinjerne skal utvetydigt angive størrelsen af den enkelte fastsatte grænse for risiko, f.eks. som absolutte tal, eller ved at risikoen sættes i forhold til virksomhedens egenkapital, kapitalgrundlag for så vidt angår gruppe 1-forsikringsselskaber eller basiskapital for så vidt angår gruppe 2-forsikringsselskaber.

Stk. 3 Retningslinjerne kan kun undtagelsesvis give mulighed for, at direktionen kan disponere risici i en størrelsesorden, der ligger uden for den fastlagte risikoprofil og retningslinjernes grænser og da kun, hvis forudsætningerne herfor fremgår af retningslinjerne. Kan disse forudsætninger ikke fastlægges, kan forudgående beføjelser til overskridelse af retningslinjernes grænser ikke gives til direktionen.

Stk. 4 Bestyrelsen i et gruppe 2-forsikringsselskab skal ved udformningen af retningslinjerne til direktionen være betrygget i, at direktøren eller direktionens medlemmer tilsammen besidder den fornødne viden og erfaring til at anvende de i retningslinjerne indeholdte beføjelser på en for virksomheden betryggende måde.

Stk. 5 Det skal fremgå af retningslinjerne, hvorledes og hvor hyppigt rapportering til bestyrelsen skal ske. Herunder skal det fremgå, hvorledes og hvor hyppigt direktionen skal rapportere på de områder, hvor bestyrelsen har fastsat grænser for direktionen, eller hvor der er fastsat grænser i lovgivningen. Det skal således fremgå af rapporteringen, om grænser fastsat i lovgivningen er overholdt. Det skal fremgå, i hvilket omfang de af bestyrelsen fastsatte grænser for risici er udnyttet såvel aktuelt som over tid, herunder om der har været overskridelser af grænserne. Endelig skal rapporteringen omfatte et grundlag for bestyrelsens vurdering af anvendte modellers pålidelighed, hvis virksomheden anvender sådanne modeller.

Stk. 6 Rapporteringen efter stk. 5 skal også omfatte rapportering om midler og risici hidrørende fra midler, der forvaltes af eksterne porteføljeforvaltere, idet det fortsat er bestyrelsens ansvar, at midler, der forvaltes af eksterne porteføljeforvaltere, og øvrige midler tilsammen placeres inden for de af bestyrelsen udstukne retningslinjer og i overensstemmelse med lovgivningen.

Kapitel 3 Direktionens opgaver og ansvar

§ 9

Direktionen skal forestå den daglige ledelse af virksomheden i overensstemmelse med lovgivningens bestemmelser, herunder lov om aktie- og anpartsselskaber (selskabsloven) og lov om forsikringsvirksomhed, de af bestyrelsen vedtagne politikker, jf. § 5, de af bestyrelsen givne retningslinjer, jf. §§ 7 og 8, og eventuelle andre mundtlige eller skriftlige beslutninger og anvisninger fra bestyrelsen.

Stk. 2 Direktionen skal sikre, at de af bestyrelsen vedtagne politikker og retningslinjer implementeres i virksomhedens daglige drift.

Stk. 3 Direktionen er forpligtet til at videregive information til bestyrelsen, som bestyrelsen har anmodet om, samt information, som direktionen vurderer kan være af betydning for bestyrelsens arbejde.

Stk. 4 Direktionen er forpligtet til at videregive de informationer til de ansvarlige for nøglefunktioner- ne, jf. § 126, stk. 4, og § 127, stk. 1, i lov om forsikringsvirksomhed, som direktionen vurderer kan være af betydning for disses arbejde.

Stk. 5 Direktionen har det daglige ledelsesmæssige ansvar for, at virksomheden kun træffer disposition- er, som direktionen og medarbejdere i fornødent omfang kan vurdere risiciene ved og konsekvenserne af.

Stk. 6 Direktionen skal godkende virksomhedens forretningsgange, jf. § 14, stk. 1, eller udpege en eller flere personer eller organisatoriske enheder med den nødvendige faglige viden til at gøre dette.

Stk. 7 Direktionen skal sikre, at der er anvisninger for, hvilke tiltag der skal iværksættes i forbindelse med nøglemedarbejderes fratræden.

Stk. 8 Direktionen i et gruppe 2-forsikringsselskab skal sikre, at der er anvisninger for, hvilke tiltag der skal iværksættes i forbindelse med alvorlige driftsforstyrrelser, it-nedbrud og øvrige driftsforstyrrelser.

Kapitel 4 Organisation og ansvarsfordeling Opgaver og ressourcer

§ 10

Et gruppe 2-forsikringsselskab skal være indrettet i organisatoriske enheder med klart definerede arbejdsopgaver, herunder skal alle medarbejdere have klare beføjelser, ansvarsområder og referencelin- jer. Det skal herunder være klart for de enkelte enheder og medarbejdere, hvilke opgaver der skal udføres og hvordan opgaverne skal udføres.

Stk. 2 De organisatoriske enheder i et gruppe 2-forsikringsselskab skal være bemandet ressource- og kompetencemæssigt således, at enhederne på betryggende vis kan løse de opgaver, det påhviler enhederne at udføre.

Information af bestyrelsen og øvrige ledelsesniveauer m.v.

§ 11

Et gruppe 2-forsikringsselskab skal være indrettet således, at den information, der skal tilgå bestyrelse, direktion og ledelse på øvrige organisatoriske niveauer, kan tilgå disse i retvisende og dækkende form for disses arbejde, herunder inden for tidsmæssige rammer og i en form, der sikrer, at eventuelle foranstaltninger kan sættes i værk uden unødigt ophold.

Forebyggelse af interessekonflikter

§ 12

Et gruppe 2-forsikringsselskab skal have procedurer for håndtering og forebyggelse af interessekonflikter.

Stk. 2 Et gruppe 1-forsikringsselskab og et gruppe 2-forsikringsselskab skal være indrettet således, at der er betryggende funktionsadskillelse.

Stk. 3 Virksomheden skal have funktionsadskillelse på området for forsikringsmæssige risici. Dette indebærer, at medarbejdere, der er involveret i accept af forsikringer, ikke må

1) varetage eller udføre skadesbehandling,
2) varetage eller udføre forsikringsmæssige udbetalinger, eller
3) have ansvar for udarbejdelse af rapportering.

Stk. 4 Virksomheden skal have funktionsadskillelse på investeringsområdet, der indebærer, at medarbejdere, der er involveret i indgåelse af handler og risikotagning, ikke må

1) varetage eller udføre handlernes afvikling,
2) varetage interne kontroller,
3) have ansvar for værdiansættelse og opgørelse af resultater og risici, eller
4) have ansvar for udarbejdelse af rapportering.

Stk. 5 I virksomheder, hvor der ikke opretholdes funktionsadskillelse i overensstemmelse med stk. 2-4, jf. § 2, skal der indføres betryggende kompenserende foranstaltninger, der skal sikre, at der ikke påføres virksomheden unødige risici eller tab.

Kapitel 5 Administrativ og regnskabsmæssig praksis

Administrativ praksis

§ 13

Virksomheden skal være indrettet således, at de enkelte enheder og medarbejderne har de forretningsgange, manualer, beredskabsplaner, systemer og øvrige redskaber til rådighed, der er nødvendige for udførelsen af deres opgaver, jf. § 14.

§ 14

Virksomheden skal have forretningsgange på alle væsentlige aktivitetsområder. Aktiviteter, der vedrører virksomheden i dens egenskab af finansiel virksomhed, anses som udgangspunkt for væsentlige. Gruppe 1-forsikringsselskabets indberetning af oplysninger til Finanstilsynet anses altid for at være væsentlig.

Stk. 2 Forretningsgangene skal som minimum

1) være lettilgængelige og overskuelige,
2) på fyldestgørende måde beskrive de aktiviteter, der skal udføres, herunder sikre at lovgivningen, anden relevant regulering samt de af virksomhedens ledelse besluttede politikker og retningslinjer efterleves og overholdes,
3) angive, hvilken organisatorisk enhed, personer eller grupper af personer, der skal udføre de enkelte opgaver eller delopgaver, og
4) opdateres løbende ved ændring i interne forhold eller i relevant regulering.

Stk. 3 Forretningsgangene kan foreligge elektronisk. Direktionen skal dog sikre, at de er tilgængelige i tilfælde af systemnedbrud i virksomheden.

§ 15

Direktionen skal sikre, at der er fornøden dokumentation for virksomhedens aktiviteter, herunder at der er forretningsgange for

1) i hvilket omfang beslutninger, beføjelser, udførte opgaver og forretninger samt opståede hændelser skal dokumenteres,
2) i hvilken form dokumentationen skal ske,
3) hvorledes der sikres tilgængelighed til dokumentationen,
4) hvor længe dokumentationen skal opbevares, og
5) hvis relevant, til hvem dokumentationen kan og skal videregives.

Stk. 2 Direktionen i et gruppe 2-forsikringsselskab skal sikre, at det klart fremgår af de i § 13 nævnte forretningsgange mv.

1) hvilke opgaver der skal udføres,
2) hvordan opgaverne skal udføres,
3) i hvilket omfang udførte opgaver skal dokumenteres,
4) i hvilken form dokumentationen skal ske,
5) hvor dokumentationen skal opbevares,
6) hvor længe dokumentationen skal opbevares,
7) til hvem dokumentationen skal videregives, og
8) hvor tidligere udarbejdet dokumentation kan findes.

Stk. 3 Dokumentationen, jf. stk. 1, skal foreligge enten skriftligt eller elektronisk.

Regnskabsmæssig praksis

§ 16

Virksomheden skal have en god regnskabsmæssig praksis. Dette indebærer blandt andet, at

1) virksomheden kan dokumentere, at offentliggjorte års- og delårsrapporter, herunder alle enkeltposter og noter, er udarbejdet i overensstemmelse med det regelsæt, der gælder for den pågældende rapport, og
2) virksomheden indhenter nødvendig information til brug for udarbejdelse af års- og delårsrapporter, herunder al relevant information til brug for fastlæggelse af regnskabsposter, der baseres på regnskabsmæssige skøn.

Kapitel 6 Risikostyring og compliance

Risikostyring

§ 17

Virksomheden skal have et risikostyringssystem, der skal være velintegreret i organisations- strukturen og virksomhedens beslutningsprocesser. Derudover skal risikostyringssystemet for livsforsikringsvirksomheder dække kundens risici i det omfang, at virksomheden udbyder produkter, hvor kunden bærer en risiko i henhold til de indgåede aftaler. Udover områderne nævnt i artikel 259, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal risikostyringssystemet i et gruppe 1-forsikringsselskab dække de risici, der skal indgå i beregningen af solvenskapitalkravet, samt øvrige risici, der ikke eller ikke til fulde indgår i denne beregning. Risikostyringssystemet i et gruppe 2-forsikringsselskab skal dække de risici, der skal indgå i beregningen af individuelt solvensbehov, samt øvrige risici, der ikke indgår i denne beregning.

Compliance

§ 18

Virksomheden skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for virksomhedens manglende overholdelse af den for virksomheden gældende lovgivning, markedsstandarder eller interne regelsæt (compliancerisici).

Kapitel 7 Risikostyring i øvrigt

Videregivelse af beføjelser

§ 19

Videregivelse af beføjelser mellem bestyrelse, direktion og øvrige ledelsesniveauer skal kunne dokumenteres, jf. § 15, og proceduren herfor skal i relevant omfang fremgå af forretningsgangene, jf. § 14.

Stk. 2 Videregivelse af beføjelser kan kun ske til medarbejdere, der har den fornødne viden, indsigt og erfaring til at kunne anvende de modtagne beføjelser betryggende.

Stk. 3 Videregivne beføjelser skal som minimum angive

1) arten og omfanget af den eller de videregivne beføjelser,
2) principperne for opgørelse af udnyttelse af beføjelserne,
3) hvilke produkter og/eller handlinger beføjelsen omfatter,
4) eventuelle supplerende grænser for risiko samt principperne for opgørelse af sådanne beføjelser, der opfylder kravene i § 8, stk. 1, og
5) hvordan, hvor ofte og af hvilken person eller organisatorisk enhed rapportering skal foretages til afgiver af beføjelsen og eventuelle andre.

Stk. 4 Ingen kan videregive beføjelser, der går ud over de beføjelser, den pågældende selv har modtaget. Summen af videregivne beføjelser, herunder beføjelser givet til grupper af medarbejdere, må ikke overstige de i bestyrelsens retningslinjer til direktionen indeholdte beføjelser.

Stk. 5 Hvis der er fastsat supplerende risikomål i forbindelse med videregivne beføjelser, skal den, der afgiver beføjelserne, sikre sig, at anvendelse af de supplerende risikomål finder sted på en måde, der sikrer, at der ikke sker overskridelse af øvrige tildelte beføjelser.

Kontroller

§ 20

Direktionen skal sikre, at der foretages kontrol af alle væsentlige risikobehæftede opgaver, herunder

1) overholdelse af samtlige grænser fastsat af bestyrelsen i henhold til § 8, stk. 1, nr. 1, i de til direktionen givne retningslinjer og grænser i lovgivningen,
2) overholdelse af videregivne beføjelser,
3) dispositioner, hvor virksomheden handler i henhold til fuldmagt fra kunder eller modparter og hvor virksomheden har forpligtet sig til at overholde grænser for risici, herunder placeringsgrænser, og
4) andre opgaver, som af anden årsag kan medføre væsentlige økonomiske eller andre væsentlige risici for virksomheden eller kunder, i det omfang, at livsforsikringsvirksomheder udbyder produkter, hvor kunden bærer en risiko i henhold til de indgåede aftaler, herunder disponering af virksomhedens konti og opgaver i forbindelse med fremskaffelse eller udarbejdelse af grundlag for regnskab, opgørelse af solvenskapitalkravet og vurdering af egen risiko og solvens for gruppe 1-forsikringsselskaber eller fastsættelse af virksomhedens individuelle solvensbehov for gruppe 2-forsikringsselskaber.

Stk. 2 Kontrol skal udføres af en anden enhed end den, der har udført opgaven, så interessekonflikter undgås. Det gælder dog ikke kontroller, der har karakter af afstemning, overvågning af om forretnings- gange overholdes, fejlfinding eller lignende, medmindre dette i det konkrete tilfælde ikke er betryggende.

Stk. 3 Kontroller omfattet af stk. 1 og 2 skal foretages med passende intervaller, afhængigt af virksomhedens størrelse, den enkelte risikos væsentlighed og størrelse set i forhold til virksomhedens forretningsmodel, aktivitetsområde, kompleksiteten af de pågældende risici og virksomhedens kapitalforhold. Kontrollerne skal, hvor der løbende sker dispositioner hen over dagen, omfatte overholdelse af grænser intra-dag. Intra-dag kontroller kan, hvor dette er betryggende, foretages på stikprøvebasis.

Stk. 4 Virksomheden skal have passende overvågning af, at administrative opgaver udføres på en betryggende og ensartet måde, og at forretningsgange m.v. bliver overholdt.

Intern rapportering

§ 21

Foruden reglerne for gruppe 1-forsikringsselskaber i artikel 258, stk. 1, litra k, og artikel 259, stk. 1, litra d, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) finder denne bekendtgørelses §§ 22 og 23 anvendelse for virksomhedernes interne rapportering.

§ 22

Direktionen skal sikre, at der løbende sker skriftlig og betryggende rapportering på alle relevante ledelsesmæssige niveauer om overholdelsen og udnyttelsen af samtlige grænser for risikotagning inde- holdt i de i medfør af § 7 givne retningslinjer eller i den videregivne beføjelse. Der skal endvidere ske rapportering om overholdelse af de i lovgivningen fastsatte grænser for risiko på de områder, hvor dette er relevant for den pågældende virksomhed. Rapporteringen skal også omfatte risici, der styres på virksomhedens vegne af porteføljeforvaltere.

Stk. 2 Rapporteringen skal ske i overskuelig form og give direktion og øvrige medarbejdere, der har videregivet beføjelser, jf. § 19, oplysning såvel om den aktuelle udnyttelse af de fastsatte grænser som om udnyttelsen over tid.

Stk. 3 Anvender virksomheden interne modeller til opgørelse af risici, skal rapporteringen desuden omfatte relevante back-tests til dokumentation af modellens pålidelighed.

Stk. 4 Rapportering om videregivne beføjelser, herunder overskridelse af disse, skal ske til den, der har afgivet beføjelserne, med intervaller, der afspejler afgiverens involvering i den daglige disponering, og som fremgår af beføjelserne. Overskridelsen skal sædvanligvis rapporteres senest dagen efter, at overskridelsen er konstateret.

§ 23

Direktionen skal sikre, at der sker rapportering om andre væsentlige forhold, der ikke måtte være omfattet af beføjelser fastsat i retningslinjerne eller i videregivne beføjelser, jf. stk. 2. Det kan f.eks. dreje sig om rapportering vedrørende afstemningsfejl, uregelmæssigheder, tab som følge af operationelle forhold, fejl i regnskab eller budgetter, nøglepersoners fratræden etc.

Stk. 2 Direktionen skal sikre, at virksomhedens forretningsgange, jf. § 14, stk. 1, i videst muligt omfang indeholder anvisninger om, hvilke forhold der skal eller bør rapporteres om og til hvem rapporteringen skal foretages, herunder skal det fremgå, om rapportering i særlige tilfælde kan eller skal ske til andre end den pågældendes daglige leder eller dennes leder.

Nye tjenesteydelser og produkter

§ 24

Direktionen skal sikre, at der udarbejdes retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, herunder ændringer i eksisterende tjenesteydelser og produkter, hvorved tjenesteydelsernes og produkternes risikoprofil ændres væsentligt. Retningslinjerne skal som minimum

1) afgrænse, hvornår der er tale om et nyt produkt eller tjenesteydelse, i det omfang det er muligt,
2) angive, hvilken eller hvilke organisatoriske enheder, udvalg eller ad hoc-udvalg, der skal forestå udviklingsprocessen, eventuelt opdelt pr. risikoområde,
3) indeholde retningslinjer for, hvem der som minimum skal inddrages i udviklingsprocessen, således at det sikres, at alle relevante forhold belyses,
4) indeholde retningslinjer for, hvilke overordnede forhold der skal analyseres og dokumenteres, herunder arten, størrelsen og opgørelsen af risici for virksomheden, påvirkning af virksomhedens omkostninger og indtjening, virksomhedens muligheder for at agere på nye markeder, påvirkning af virksomhedens solvens og regnskabsmæssig behandling,
5) indeholde krav om, at analysen skal godtgøre, at virksomheden har tilstrækkelig ekspertise, systemer, kapital og ressourcer i øvrigt til at håndtere det nye produkt eller tjenesteydelsen på betryggende vis, og
6) indeholde bestemmelse om retningslinjer for, at nye produkter og tjenesteydelser, der kan medføre væsentlige nye risici for virksomheden eller virksomhedens kunder, skal forelægges bestyrelsen med henblik på dennes stillingtagen til, om anvendelsen af det nye produkt giver anledning til ændring af de i henhold til § 5 vedtagne politikker eller de i medfør af §§ 7 og 8 givne retningslinjer, herunder til fastsættelse af særlige principper for opgørelse af de til produktet knyttede risici.

§ 25

Den ansvarlige for risikostyringsfunktionen, jf. § 126, stk. 4, i lov om forsikringsvirksomhed, skal deltage eller som minimum høres i forbindelse med udvikling og godkendelse af nye produkter. Den ansvarlige for risiko- styringsfunktionen skal løbende være informeret om forløbet af godkendelsesprocessen.

Stk. 2 Den ansvarlige for risikostyringsfunktionen, jf. § 126, stk. 4, i lov om forsikringsvirksomhed, skal høres i forbindelse med stillingtagen til, om ændring af eksisterende produkter har et omfang, der medfører, at ændringen skal være omfattet af kravene til udvikling og godkendelse af nye produkter. Den ansvarlige for risikostyringsfunktionen skal altid kunne kræve, at en ændring af et eksisterende produkt skal behandles som et nyt produkt.

Kapitel 8 Straffebestemmelser

§ 26

Overtrædelse af §§ 3-8, § 9, stk. 2-4 og 6-8, §§ 10, 12 og 13, § 14, stk. 1, 1. og 3. pkt., stk. 2 og stk. 3, 2. pkt., §§ 15-19, § 20, stk. 1, stk. 2, 1. pkt., stk. 3., 1. og 2. pkt., og stk. 4, § 22, § 23, stk. 1, 1. pkt., og stk. 2, og §§ 24 og 25 straffes med bøde.

Stk. 2 Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens kapitel 5.

Kapitel 9 Ikrafttrædelse

§ 27

Bekendtgørelsen træder i kraft den 2. januar 2025, jf. dog stk. 2 og 3.

Stk. 2 § 1, stk. 5, træder i kraft den 17. januar 2025.

Stk. 3 § 3, stk. 2, § 5, stk. 1, 2. pkt., § 8, stk. 1, nr. 1, § 17, stk. 1, 2. pkt., § 20, stk. 1, nr. 4, bilag 1, nr. 2, litra c, bilag 2, nr. 1, litra a, bilag 2, nr. 7, litra b, 2. pkt., bilag 2, nr. 9, litra a, bilag 6, nr. 2, litra e, bilag 6, nr. 9-11 og nr. 15, træder i kraft den 30. juni 2025.

Stk. 4 Bekendtgørelse nr. 1723 af 16. december 2015 om ledelse og styring af forsikringsselskaber og tværgående pensionskasser ophæves.