Formålet med funktionsinspektionen var at undersøge forretningsmodellen med fokus på ledelsessystemet og outsourcing.
Denne redegørelse indeholder de centrale påbud, som selskabet har modtaget fra Finanstilsynet.
Sammenfatning og risikovurdering
Nordic I&P er et forsikringsholdingselskab, som ikke har nogen selvstændig drift. Selskabets formål er at eje kapitalandele i andre virksomheder samt udøve aktiviteter, som efter direktionens skøn er relateret til disse virksomheder. Selskabet har to datterselskaber, Norli Pension Livsforsikring A/S og Norli Liv og Pension Livsforsikring A/S, hvori der drives forsikringsvirksomhed. Alle forsikringsmæssige og forretningsmæssige aktiviteter i koncernen foregår i datterselskaberne.
Finanstilsynet konstaterede i forbindelse med funktionsinspektionen i selskabet, at der er adskillige, og på visse områder væsentlige, mangler i selskabets styringsdokumenter. Dette ses f.eks. i selskabets politik for risikostyring, hvor selskabet bl.a. ikke beskriver, hvordan selskabet forvalter relevante risikokategorier og ikke specificerer risikotolerancegrænser. Selskabet har derfor fået påbud om at opdatere politik for risikostyring [1]. Finanstilsynet vurderer, at der ved væsentlige mangler i politik for risikostyring er en risiko for, at bestyrelsen ikke har det rette beslutningsgrundlag til at kunne fastlægge selskabets risikoprofil samt fastsætte retningslinjerne til direktionen forsvarligt i forhold til selskabets forretningsmæssige aktiviteter, organisation og ressourcer. Selskabet benytter sig desuden i høj grad af henvisninger i selskabets forskellige dokumenter. Finanstilsynet vurderede, at disse henvisninger ofte er uklare og utilstrækkelige, så dokumenterne fremstår mangelfulde og efterlader brugeren af dokumentet med et ufuldstændigt indtryk af dokumentet og selskabets risikoprofil.
Finanstilsynet konstaterede desuden, at selskabet har valgt ikke at udarbejde en række væsentlige dokumenter for selskabet og blot henvise til datterselskabernes dokumenter. Det drejer sig om rapportering fra nøglefunktionerne og funktionsbeskrivelser for aktuar- og risikostyringsfunktionen. Selskabet har derfor fået påbud om at sikre, at nøglefunktionerne mindst én gang årligt afleverer en rapport til direktionen [2] og påbud om at sikre, at der udarbejdes funktionsbeskrivelser for aktuarfunktionen og risikostyringsfunktionen [3]. Derudover henvises der i stor stil i selskabets ORSA-rapport, SFCR-rapport og RSR-rapport til datterselskabernes rapporter. Selskabet har fået påbud om at sikre, at selskabets ORSA-rapport, SFCR-rapport og RSR-rapport lever op til de indholdsmæssige krav [4]. Finanstilsynet vurderede, at der på grund af indholdsmæssige mangler i de omtalte dokumenter er en risiko for, at bestyrelsen ikke har taget stilling til selskabets risici og at det samtidig kan være svært at vurdere selskabets ressourcebehov.
Selskabets brug af splitansættelser på tværs af selskaberne i koncernen og nøglefunktionernes deling af ressourcer med andre afdelinger i selskabet stiller store krav til selskabets kontrolmiljø. Grundet selskabets iboende kompleksitet stilles der store krav til håndtering af mulige interessekonflikter. Finanstilsynet vurderede, at der ved varetagelse af flere roller i selskabet, hhv. som nøglepersonen for risikostyringsfunktionen i alle tre selskaber og som direktør i moderselskabet samt i et af datterselskaberne er en øget risiko for, at nøglepersonens manglende uafhængighed giver anledning til interessekonflikter. Selskabet skal løbende sikre sig, at dets nøglefunktioner, herunder compliancefunktionen, har en passende høj organisatorisk forankring i selskabet, og at nøglepersonens uafhængighed ikke kompromitteres. Selskabet har fået påbud om at sikre, at der foreligger skriftlig dokumentation for identificerede potentielle interessekonflikter og en stillingtagen til håndteringen heraf [5].
Finanstilsynet vurderer, at det er et vigtigt led i et effektivt ledelsessystem, at selskabet løbende sikrer, at det har de nødvendige ressourcer. Finanstilsynet vurderede, at bl.a. mængden af fejl og mangler i selskabets dokumenter kan være en indikator for, at der ikke er tilstrækkelige ressourcer i selskabet. Selskabet har derfor fået påbud om at foretage en fornyet vurdering af, hvorvidt der er tilstrækkelige ressourcer på baggrund af en skriftlig formaliseret proces [6].
Finanstilsynet konstaterede, at intern auditfunktionens plan alene viser de planlagte audits for en etårig periode. Selskabet har derfor fået påbud om at udarbejde en intern auditplan, som indeholder de planlagte audits for de kommende år [7]. Finanstilsynet konstaterede også, at visse områder for compliancekontrol, f.eks. kontrol af andre nøglefunktioner, ikke fremgik tydeligt af complianceplanen. En tydelig, præcis og detaljeret complianceplan for alle væsentlige risikoområder er med til at sikre en regelmæssig kontrol, og at der er overblik over og sammenhæng mellem kontrolfrekvensen på områderne og selskabets vurdering af væsentlighed. Finanstilsynet har derfor påbudt selskabet at sikre, at den udarbejdede complianceplan tydeligt indeholder planlagte aktiviteter og områder [8].
[1] Jf. bilag 6, nr. 2, jf. § 5, stk. 3, nr. 1, i ledelsesbekendtgørelsen og § 95, stk. 3, i lov om forsikringsvirksomhed
[2] Jf. § 17, stk. 4, i ledelsesbekendtgørelsen
[3] Jf. § 17, stk. 3, i ledelsesbekendtgørelsen
[4] Jf. §§ 3 og 4 i ledelsesbekendtgørelsen og bilag XX, artikel 290, 292-298, 304, 306, 307-311, 359 og 372 i Solvens II-forordningen
[5] Jf. § 132, stk. 1, i lov om forsikringsvirksomhed og § 17, stk. 6 (jf. § 1, stk. 4,) i ledelsesbekendtgørelsen
[6] Jf. § 95, stk. 3, (jf. § 2, stk. 1) og § 132, stk. 1, i lov om forsikringsvirksomhed
[7] Jf. artikel 271, stk. 3, litra a, i Solvens II-forordningen
[8] Jf. artikel 270, stk. 1, i Solvens II-forordningen