Andre bilag
Bilag 1 (Forsikringsmæssige risici)
Bilag 2 (Investeringsområdet)
Bilag 3 (Operationelle risici)
Bilag 4 (It-sikkerhed)
Bilag 5 (Tilrettelæggelse af arbejdet i bestyrelsen)
Bilag 6 (Risikostyringssystemet, risikostyringsfunktionen og vurdering af egen risiko og solvens i gruppe 1-forsikringsselskaber)
Bilag 7 (Det interne kontrolsystem og compliancefunktionen i gruppe 1-forsikringsselskaber)
Bilag 8 (Aktuarfunktionen i gruppe 1-forsikringsselskaber)
Bilag 9 (Intern auditfunktionen i gruppe 1-forsikringsselskaber)
Bestyrelsens opgaver og ansvar
Risikostyringssystemet
1) Bestyrelsen skal sikre, at risikostyringssystemet udover områderne nævnt i artikel 259, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), mindst dækker følgende områder:
a) Forsikringstegning og hensættelser.
b) Investeringer.
c) Aktiv-passiv styring.
d) Styring af likviditets- og koncentrationsrisici, hvor der ved likviditetsrisiko forstås risiko for at forsikringsselskaber ikke kan afhænde investeringer og andre aktiver med henblik på at imødekomme deres finansielle forpligtelser rettidigt.
e) Styring af operationel risiko.
f) Genforsikring og andre risikoreduktionsteknikker.
Politikker for risikostyring og for vurdering af egen risiko og solvens
2) Bestyrelsen skal udarbejde en politik for risikostyring, der udover at opfylde artikel 258, stk. 2, og artikel 259, stk. 1, litra c, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) og artikel 1 i Kommissionens gennemførelsesforordning (EU) 2015/2015 af 11. november 2015 om gennemførelsesmæssige tekniske standarder vedrørende procedurerne for vurderingen af eksterne kreditvurderinger i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2009/138/EF som minimum
a) definerer risikokategorier og metoder til at måle risici,
b) beskriver, hvordan virksomheden forvalter de enkelte relevante risikokategorier, risikoområder og enhver mulig akkumulering af risici,
c) beskriver forbindelsen mellem virksomhedens vurdering af egen risiko og solvens, kapitalgrundlaget, solvenskapitalkravet, minimumskapitalkravet og virksomhedens risikotolerancegrænser,
d) specificerer risikotolerancegrænser i alle relevante risikokategorier i overensstemmelse med virksomhedens overordnede risikovillighed,
e) beskriver frekvensen og indholdet af regelmæssige stresstests og de situationer, som kan føre til ad-hoc stresstest, og
f) inddrager likviditetsrisici, jf. artikel 260, stk. 1, litra d, nr. i, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), herunder procedurer for fastlæggelse af misforholdet mellem likviditetstilførsel og likviditetsforbrug af både aktiver og passiver, hensyntagen til det samlede likviditetsbehov på kort og mellemlangt sigt, hensyntagen til niveauet og overvågningen af likvide aktiver, identifikation af og omkostninger forbundet med alternative finansieringsredskaber, og hensyntagen til effekten på likviditetssituationen ved forventet nytegning.
3) Bestyrelsen skal udarbejde en politik for vurdering af egen risiko og solvens, der skal være passende i forhold til virksomhedens organisationsstruktur og risikostyringssystem og fastlægges under hensyntagen til arten, størrelsen og kompleksiteten af virksomhedens risici. Politikken skal indeholde alle relevante aspekter, herunder som minimum
a) en beskrivelse af de anvendte metoder, forudsætninger, processer og procedurer for den fremadrettede vurdering af egen risiko og solvens,
b) en beskrivelse af sammenhængen mellem risikoprofilen, de godkendte risikotolerancegrænser og vurderingen af det samlede solvensbehov,
c) information om hvordan og hvor ofte stresstests, følsomhedsanalyser, omvendte stresstests eller andre relevante analyser, jf. nr. 8, skal udføres,
d) information om krav til datakvalitet, og
e) information om frekvensen og tidspunktet for opgørelsen af den fremadrettede vurdering af egen risiko og solvens og en redegørelse for tilstrækkeligheden af frekvensen set i forhold til virksomhedens risikoprofil og volatiliteten af virksomhedens samlede solvensbehov sammenholdt med virksomhedens økonomiske stilling samt en angivelse af, hvilke forhold og omstændigheder, der anses for at medføre væsentlige ændringer i risikoprofilen, og som udløser behov for en fremadrettet vurdering af egen risiko og solvens uden for den almindelige tidsplan.
Direktionens opgaver og ansvar
Dokumentation og rapportering
4) Hver enkelt vurdering af egen risiko og solvens skal være skriftligt dokumenteret. Dokumentationen skal have en detaljeringsgrad, der gør det muligt for en tredjepart at evaluere de foretagne vurderinger og beregninger. Dokumentationen skal udformes således, at den på anmodning kan indsendes til Finanstilsynet på papir eller andet varigt medium. Det er herudover op til den enkelte virksomhed at fastlægge, hvordan dokumentationen skal udformes.
5) Dokumentationen skal omfatte en beskrivelse af de metoder, forudsætninger, processer og procedurer, der er anvendt til vurderingen, samt en beskrivelse af vurderingens resultater og konklusioner. Følgende skal som minimum indgå i dokumentationen:
a) Dokumentation for, at bestyrelsen har godkendt metoderne til vurdering af egen risiko og solvens.
b) Dokumentation for, at bestyrelsen har foretaget vurderingen af egen risiko og solvens, og en redegørelse for, hvordan bestyrelsen har udfordret vurderingens resultater.
c) En beskrivelse af de risikoanalyser, der er anvendt i vurderingen af egen risiko og solvens, af den kvantitative opgørelse af risiciene og af den kvalitative beskrivelse af risiciene samt en angivelse af, hvilke potentielle inde- eller udefrakommende påvirkninger, der er taget i betragtning.
d) En redegørelse for sammenhængen mellem vurderingen af egen risiko og solvens, processerne for kapitalallokering i kapitalplanen og de godkendte risikotolerancegrænser.
e) Konklusionerne fra vurderingen af, om virksomheden fremadrettet kan leve op til solvenskapitalkravet og minimumskapitalkravet og de forsikringsmæssige hensættelser.
f) En begrundet redegørelse for fundne afvigelser mellem virksomhedens risikoprofil og forudsætningerne for opgørelsen af solvenskapitalkrav samt for, hvordan virksomheden har reageret eller planlægger at reagere på de afvigelser, der er vurderet til at være væsentlige.
g) En begrundet redegørelse for eventuelt planlagte ledelseshandlinger, der vil kunne påvirke virksomhedens vurdering af egen risiko og solvens.
h) En redegørelse for kapitalplanen og kapitalnødplanen.
6) På koncern- eller gruppeniveau skal dokumentationen for koncernens eller gruppens vurdering af egen risiko og solvens endvidere indeholde opgørelsen af koncernens eller gruppens solvenskapitalkrav, der som minimum inkluderer en beskrivelse af, hvordan der er taget højde for følgende faktorer:
a) Identifikation af mulighederne for kapitalfremskaffelse i koncernen eller gruppen, hvis der er behov for yderligere kapital.
b) Vurdering af rådigheden, omsætteligheden eller ombytteligheden af kapitalen.
c) Enhver planlagt overførsel af kapital i koncernen eller gruppen, som vil have en væsentlig betydelig for enhederne i koncernen eller gruppen.
d) Sammenhæng mellem de enkelte enheders strategier og koncernens eller gruppens strategi.
e) Specifikke risici, som koncernen eller gruppen kan være eksponeret overfor.
7) For hver bestyrelsesgodkendt vurdering af egen risiko og solvens skal virksomheden udarbejde en intern rapport, der indeholder information om vurderingens resultater, konklusioner samt andre relaterede informationer, som virksomheden finder relevante, og kommunikere disse informationer til virksomhedens relevante medarbejdere. Rapporten skal have en detaljeringsgrad, der gør det muligt for de relevante medarbejdere at foretage eventuelle nødvendige handlinger for at følge op på rapportens konklusioner. Den præcise udformning af rapporten godkendes af bestyrelsen.
Følsomhedsanalyser
8) I følsomhedsanalyserne, jf. § 4, skal indgå vurderinger af forudsætningerne, herunder modellernes input, modellernes parametre samt følsomheden omkring stødniveauerne. Formålet med følsomhedsanalyserne er at bestemme usikkerheden på vurderingen af egen risiko og solvens. Virksomheden skal analysere, hvilke stødniveauer der vil medføre, at kapitalgrundlaget ikke kan dække det opgjorte solvensbehov (omvendte stresstests). Virksomheder, der udbyder produkter med ret til bonus, skal endvidere analysere, hvilke stødniveauer der skal til, for at de kollektive og individuelle potentialer er opbrugt i de enkelte rentegrupper.
Beslutningsgrundlag
9) Direktionen skal sikre, at den ansvarlige for risikostyringsfunktionen i relevant omfang inddrages i vurderingen af direktionens og bestyrelsens beslutningsgrundlag, jf. nr. 10.
Risikostyringsfunktionens opgaver på risikostyringsområdet
10) Udover opgaverne nævnt i artikel 269, stk. 1, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) skal risikostyringsfunktionen varetage opgaverne nævnt i nr. 11-20.
11) Den ansvarlige for risikostyringsfunktionen skal i sin rapportering omkring de i punkt 12-14 nævnte områder tage stilling til, i hvilket omfang de leverede oplysninger giver direktion og bestyrelse det tilstrækkelige beslutningsgrundlag.
12) Den ansvarlige for risikostyringsfunktionen skal sikre, at alle væsentlige risici i virksomheden, herunder risici, der går på tværs af virksomhedens organisation, identificeres, måles, overvåges, styres og rapporteres korrekt.
13) Den ansvarlige for risikostyringsfunktionen skal sikre, at risikoeksponeringer i datterselskaber indgår i vurderingen af virksomhedens samlede risikoeksponeringer, jf. § 2, stk. 2.
14) Den ansvarlige for risikostyringsfunktionen skal sikre, at risikoeksponeringer i outsourcede funktioner indgår i vurderingen af virksomhedens samlede risikoeksponeringer.
15) Den ansvarlige for risikostyringsfunktionen skal deltage aktivt i udviklingen af virksomhedens risikostrategi, jf. § 5, stk. 1.
16) Den ansvarlige for risikostyringsfunktionen skal på forhånd høres om væsentlige beslutninger, så risikostyringsfunktionen har mulighed for at udtale sig om risikoen forinden.
17) Den ansvarlige for risikostyringsfunktionen skal mindst én gang årligt udarbejde en rapport til direktionen om virksomhedens risikostyring, jf. § 17, stk. 4. Rapporten skal indeholde den ansvarliges stillingtagen til de under § 18, stk. 2, 2. pkt., og i nr. 11-14 og 16 anførte forhold og skal indgå som en del af bestyrelsens samlede vurderingsgrundlag, jf. § 6, stk. 4. Den ansvarlige for risikostyringsfunktionen kan vælge, at rapporten indgår som en del af eller som et tillæg til virksomhedens risikovurdering. Den ansvarlige for risikostyringsfunktionen skal i givet fald sikre, at de i nr. 12 og 13 nævnte forhold klart fremgår af tillægget, og at bestyrelsen er orienteret om, at rapporten indgår som et tillæg.
18) Den ansvarlige for risikostyringsfunktionen skal i relevant omfang give udtryk for betænkeligheder og advare bestyrelsen, når det er passende i de tilfælde, hvor specifikke risikoudviklinger påvirker eller kan påvirke virksomheden.
19) Den ansvarlige for risikostyringsfunktionen rapporterer til direktionen om identificerede potentielt væsentlige risici og om andre specifikke risikoområder, både på eget initiativ og efter anmodning fra direktionen.
20) Den ansvarlige for risikostyringsfunktionen skal underrette direktionen, såfremt en investering medfører en betydelig risiko eller en ændring i risikoprofilen.