Riskhanteringsfunktionen ska vara aktiv och initiativrik

Finansinspektionen har kartlagt det ömsesidiga samarbetet mellan skade- och livförsäkringsbolagens styrelser och riskhanteringsfunktioner utgående från styrelseprotokollen.

Utifrån kartläggningen konstaterar Finansinspektionen att riskhanteringsfunktionens riskrapportering och uppföljning av framväxande risker allmänt taget är på en god nivå. De ärenden som fortsättningsvis behöver utvecklas gäller riskhanteringsfunktionens roll i biträdandet av styrelsens beslutsfattande, säkerställandet av ett effektivt riskhanteringssystem vid förändringar och funktionens närvaro på styrelsemötena. Det är skäl att fästa uppmärksamhet vid att de centrala funktionernas proaktiva rådgivning dokumenteras i styrelseprotokollen.

Finansinspektionen påminner om att försäkringsbolaget alltid ska uppdatera sin risk- och solvens­bedömning då styrelsens beslut kan inverka på bolagets allmänna riskprofil.

Riskhanteringsfunktionens roll

Styrelsen ansvarar för att riskhanteringssystemet är tillräckligt och effektivt. Övervakningsfunktionerna har i uppgift att ge en av affärsverksamheten oberoende åsikt samt stöd för styrelsens beslutsfattande. Styrelsen ska samarbeta med de utskott som den tillsätter samt med företagets högsta ledning och personer som svarar för de centrala funktionerna, proaktivt be dem om information och vid behov utmana dem vad gäller informationen. Styrelsen ska dokumentera på vilket sätt de uppgifter som fåtts från riskhante­ringssystemet har beaktats i beslutsfattandet.

Riskhanteringsfunktionen har en betydande roll vid bedömningen av om försäkringsbolagets riskhan­terings­system är effektivt, tillräckligt och lämpligt med beaktande av verksamhetens art och omfattning. Styrelsen bör få bedömningar av alla de centrala övervakningsfunktionerna, inklusive riskhanteringsfunktionen och de utskott som den tillsatt om huruvida riskhanteringssystemet är effektivt, lämpligt och tillräckligt. Bedömningarna ska även innehålla rekommendationer för utvecklandet av riskhanteringssystemet.

Riskhanteringsfunktionen ska övergripande följa upp företagets riskprofil och detaljerat rapportera om riskexponeringar till styrelsen. Riskhanteringsfunktionen ska följa upp och rapportera åtminstone följande delområden: teckning och reservering av försäkringar, hantering av tillgångar och skulder, investeringar, likviditet och hantering av koncentrationsrisker, hantering av operativa risker samt återförsäkring och andra riskreduceringstekniker.

Riskhanteringsfunktionen ska stöda styrelsens beslutsfattande i ärenden som gäller riskhantering, inklusive frågor som ansluter sig till strategiska faktorer, såsom företagets strategi, företagsarrangemang och betydande projekt och investeringar. Syftet med att stöda beslutsfattandet är att säkerställa att bolagets riskhanteringssystem, tillämpade metoder och rapportering är enhetliga och tillräckliga i det ärende som beslutet gäller.

Riskhanteringsfunktionen ska även följa upp och bedöma framväxande risker. Det är i allmänhet svårt att kvantitativt bedöma sådana risker. Det väsentliga är att företaget har tydliga processer för att identifiera och övervaka framväxande risker.

 
Riskhanteringsfunktionens roll bedömdes inom följande ämnesområden 

Biträdande av styrelsen i uppläggningen av ett effektivt riskhanteringssystem

Styrelsen har i uppgift att bedöma riskhanteringssystemets effektivitet och att i detta arbete samarbeta med riskhanteringsfunktionen. Inom detta delområde finns det fortfarande rum för utveckling.

Observerade brister och dålig praxis:

• Genom att analysera styrelseprotokollen framgår det inte vilken ståndpunkt riskhanteringsfunk­tionen har i beslut som gäller riskhanteringen.
• Av styrelseprotokollen framgår inte på vilket sätt eller på vilka grunder styrelsen eller styrelsens revisionsutskott bedömer riskhanteringssystemets effektivitet.
• Styrelsen bedömer inte om riskhanteringsfunktionen har kvalitativt eller kvantitativt tillräckliga resurser.

Enligt bästa praxis:

• Om bolaget inte har ett revisionsutskott, beaktas skötseln av revisionsutskottets uppgifter i styrelsens arbetsordning.
• Styrelsen bedömer riskhanteringssystemets effektivitet per ärendehelhet, och i bedömningen lyfter man sammanfattat fram övervakningsfunktionernas och den interna kontrollens iakttagelser i ärendet.
• I samband med strategiska eller operativa ändringar säkerställer riskhanteringsfunktionen att tillämpade riskhanteringsmetoder är lämpliga och effektiva även efter ändringarna eller ger vid behov en rekommendation för utredning av ärendet. 

Riskhanteringssystemets uppföljning och rapportering

Ansvarspersonen för riskhanteringsfunktionen verkar i huvudsak själv presentera den regelbundna riskrapporten för styrelsen. Enligt Finansinspektionens kartläggning ser det ut som om riskhanteringsfunk­tionernas regelbundna rapportering i regel täcker de ovan nämnda kraven i regleringen.

Som dålig praxis observerades att

• ansvarspersonen för riskhanteringsfunktionen inte själv presenterar den regelbundna riskrapporten för styrelsen.

Även i fråga om den regelbundna riskrapporteringen är det bra att fästa uppmärksamhet vid att obser­verade brister eller rekommendationer tydligt framgår och att de dokumenteras i styrelsens protokoll, liksom även de åtgärder som styrelsen har beslutat vidta.

Stödjande av styrelsens beslutsfattande i ärenden som gäller riskhanteringen

Allmänt taget behöver riskhanteringens biträdande och rådgivande roll i styrelsens beslutsfattande fortfarande utvecklas till de delar som gäller riskhanteringssystemet.

Som brister eller dålig praxis vad gäller riskhanteringsfunktionens stöd för styrelsens beslutsfattande observerades bland annat:

• Ansvarspersonen för riskhanteringsfunktionen är inte närvarande på styrelsens möten till andra delar än vad som berör den regelbundna riskrapporteringen.
• Riskhanteringsfunktionens proaktiva rådgivning eller det sätt på vilket styrelsen beaktat erhållna råd i beslutsfattandet dokumenteras inte i styrelsens protokoll.

Enligt bästa praxis:

• I ledningssystemet tas ställning till de ärenden i vilka styrelsen före sitt beslutsfattande förutsätter ett ställningstagande eller rådgivning av ansvarspersonen för riskhanteringsfunktionen. Besluts­fattandesystemet beaktar betydelsen av det ärende som ska behandlas för strategin, företags­arrangemangen, betydande projekt och investeringar.
• Ansvarspersonen för riskhanteringsfunktionen är närvarande på styrelsens möten åtminstone då de viktigaste besluten behandlas. Närvaro på styrelsens möten gör det möjligt att ge råd till styrelsen, och å andra sidan ger det styrelsen en möjlighet att ställa säkerställande frågor och att utmana riskhanteringsfunktionen samt att försäkra sig om att det egna övervakningsansvaret uppfylls.
• I protokollen dokumenteras riskhanteringsfunktionens uppfattning om det ärende i vilket beslut fattas tydligt samt även på vilket sätt den beaktats i beslutsfattandet eller i vidareberedningen av ärendet.  Dokumenteringen innehåller tydliga rekommendationer eller observerade brister vad gäller utvecklandet eller uppläggningen av funktionen.
• Riskhanteringsfunktionen använder sin närvarorätt på styrelsemötena, fastän ärendena skulle ha behandlats i revisionsutskottet eller i en så kallad riskhanteringskommitté.
• Styrelsen eller revisionsutskottet för en dialog med de centrala funktionerna även utan den verkställande ledningens närvaro.

Identifiering och bedömning av nya risker

Allmänt taget ser det ut som om framväxande risker följs upp på styrelsenivå och att ansvarspersonen  för riskhanteringsfunktionen deltar i behandlingen av dessa ärenden. I vissa bolag har styrelsen inte behandlat framväxande risker överhuvudtaget.

Finansinspektionen rekommenderar att de ärenden som framförs i detta tillsynsmeddelande behandlas av försäkringsbolagets styrelse och att den för egen del utvärderar riskhanteringsfunktionen. Samarbetet mellan styrelsen och riskhanteringsfunktionen kommer att följas upp i Finansinspektionens fortlöpande tillsyn.

Närmare upplysningar lämnas av

Tony Airio, senior övervakare, tfn 09 183 5256 eller tony.airio(at)fiva.fi