Bekendtgørelse af lov om forsikringsvirksomhed i tværgående pensionskasser, livsforsikringsselskaber og skadesforsikringsselskaber m.v. (lov om forsikringsvirksomhed) § 131

Det følger af den gældende § 21 i bekendtgørelse nr. 1723 af 16. december 2015 om ledelse og styring af forsikringsselskaber m.v. (ledelsesbekendtgørelsen), at et gruppe 1-forsikringsselskab skal have en effektiv intern auditfunktion, som ud over at opfylde kravene i Solvens II-forordningens artikel 271 skal vurdere, om virksomhedens interne kontrolsystem og andre elementer af ledelsen og styringen er hensigtsmæssige og betryggende. Bestemmelsen opremser visse af de opgaver, som intern auditfunktionen skal varetage, og fremhæver, at funktionen skal være objektiv og uafhængig. Bestemmelsen fastslår endvidere, at hvis virksomheden har oprettet intern revision, kan chefen for denne også udpeges som nøgleperson for den interne auditfunktion, og den interne revision kan udføre de opgaver, der ellers ville henhøre under intern auditfunktionen.

Den foreslåede bestemmelse i § 131 viderefører § 21 i bekendtgørelse om ledelse og styring af forsikringsselskaber m.v. med enkelte redaktionelle og sproglige ændringer. Den foreslåede bestemmelse har til hensigt at videreføre bekendtgørelsens bestemmelse om intern auditfunktionen direkte i loven. Nogle virksomheder har valgt at lade den interne revision varetage den interne auditfunktion. Den foreslåede bestemmelse vedrører alene reguleringen af intern audit, da intern revision er reguleret særskilt andetsteds.

Bestemmelsen gennemfører og udfylder dele af artikel 47 i Solvens II-direktivet og har til formål at fastlægge indholdet af den pligt til at have en effektiv aktuarfunktion, der er pålagt forsikringsselskaberne i medfør af den foreslåede § 126, stk. 1 (gældende § 17. stk. 1, i ledelsesbekendtgørelsen).

Det foreslås i 1. pkt., at et gruppe 1-forsikringsselskab skal have en effektiv intern auditfunktion.

Det foreslås i 2. pkt., at den interne auditfunktion skal vurdere, om virksomhedens interne kontrolsystem og andre elementer af ledelsen og styringen er hensigtsmæssige og effektive.

Det er virksomhedens bestyrelse, der har det overordnede ansvar for at indrette virksomheden forsvarligt, men det er direktionens ansvar at sikre, at virksomheden som minimum har de fire nøglefunktioner, jf. den foreslåede § 126, stk. 1, der vidererfører den gældende § 17, stk. 1, i ledelsesbekendtgørelsen. Formålet med reglerne er at sikre, at virksomheden har et effektivt ledelsessystem.

Indretningen af ledelsessystemet skal tage afsæt i virksomhedens art, omfang og kompleksitet. Proportionalitetsprincippet finder anvendelse ift. kravene, idet eksempelvis virksomhedens kompleksitet har betydning for, hvor meget der skal til for at opfylde kravet om, at ledelsessystemet kan siges at være effektivt.

Den interne auditfunktion er en af de obligatoriske fire nøglefunktioner og udgør en vigtig og afgørende funktion i forhold til bl.a. at understøtte et hensigtsmæssigt og effektivt ledelsessystem, herunder et effektivt internt kontrolsystem. Formålet med at stille krav om en intern auditfunktion er at sikre, at der i virksomheden findes en uafhængig funktion, som kan understøtte ledelsens rolle i forhold til at sikre løbende vurdering af det interne governancemæssige setup med fokus på ledelsessystemet i virksomheden, herunder det etablerede kontrolsystem.

Den interne auditfunktion er kendetegnet ved at skulle være objektiv og uafhængig af virksomhedens operationelle funktioner. Funktionen skal bidrage med en uafhængig og objektiv vurdering af det setup, som findes i virksomheden. Funktionen skal arbejde ud fra en systematisk tilgang til evaluering og foretage undersøgelser, der kan understøtte et løbende fokus på hensigtsmæssigheden og tilstrækkeligheden af det valgte setup, og som led i sådanne løbende undersøgelser bidrage til at afdække og påpege svagheder ved det etablerede setup og understøtte, at der iværksættes forbedringer, hvor der vurderes at være behov herfor. Fokus for den interne auditfunktion skal omfatte det interne kontrolsystem og andre dele af ledelsessystemet.

Den interne auditfunktion skal udarbejde og vedligeholde en auditplan, som fastlægger, hvilket auditarbejde der skal udføres i de kommende år (eller den kommende periode), dvs. en form for arbejdsplan. Planen skal fastsættes, så den tager højde for alle forsikrings- og genforsikringsselskabets aktiviteter og risici samt hele ledelsessystemet. Intern auditfunktionen skal gøre brug af en metodisk analyse af risici, og ved fastlæggelsen af prioriteter skal intern auditfunktionen anvende en risikobaseret tilgang. Da intern audit som udgangspunkt refererer til direktionen, skal indberetning af den auditplan, der skal laves, ske til direktionen, jf. lovforslagets § 126, stk. 5. I de tilfælde hvor intern audit refererer til bestyrelsen, sker indberetningen i stedet til bestyrelsen.

At den interne auditfunktion skal være effektiv indebærer, udover at funktionen og nøglepersonen skal opfylde de krav, som fremgår af bestemmelsen, at det skal sikres, at der sker en reel vurdering af det set up, som virksomheden har valgt i forhold til det interne kontrolsystem og andre elementer af ledelsen og styringen af virksomheden, og at der løbende sættes fokus på, om det valgte setup fungerer efter hensigten, dvs. om virksomhedens interne kontrolsystem og andre elementer af ledelsessystemet og styringen er hensigtsmæssige og effektive. Funktionen skal bl.a. udføre de opgaver, som fremgår af artikel 271 i Solvens II-forordningen og bilag 9 i ledelsesbekendtgørelsen.

At funktionen skal være effektiv indebærer derudover, at direktionen skal sikre, at funktionen er objektiv og uafhængig af både operationelle funktioner i virksomheden og af bestyrelsen og direktionen, jf. det foreslåede 3. pkt. Se mere herom under bemærkningerne til disse.

Direktionen skal sikre, at medarbejdere i funktionen har de rette beføjelser, kompetencer og den rette organisering til at kunne udføre funktionens opgaver tilfredsstillende i forhold til virksomhedens kompleksitet og størrelse.

Den interne auditfunktions nærmere opgaver følger af bl.a. Solvens II-forordningen og af regler udstedt i medfør af § 132, stk. 2, dvs. ledelsesbekendtgørelsen.

Den interne auditfunktions arbejde skal dokumenteres med henblik på at skabe mulighed for en vurdering af funktionens effektivitet og for at muliggøre en gennemgang af den foretagne interne audit og dens resultater.

Det foreslås i 3. pkt., at den interne auditfunktion skal være objektiv og uafhængig af virksomhedens operationelle funktioner.

At funktionen skal være objektiv betyder, at nøglepersonen og eventuelle medarbejdere i funktionen skal kunne gennemføre audits uden forudindtagede holdninger og uden at være påvirket af virksomhedens interesser eller i øvrigt at blive sat i interessekonflikter under udførelsen af sine opgaver, som kan bringe funktionens uafhængighed og upartiskhed i fare.

Med uafhængighed forstås den organisatoriske indretning, som skal sikre en adskillelse af nøglefunktionerne, og derudover den operationelle uafhængighed, der skal sikre, at intern auditfunktionen ikke er en del af virksomhedens operationelle funktioner.

Som nævnt i bemærkningerne til det foreslåede stk. 1, 2. pkt., skal intern auditfunktionen blandt andet kontrollere, at virksomhedens kontrolsystem og andre dele af ledelsessystemet fungerer hensigtsmæssigt. I sin egenskab af kontrolinstans må intern auditfunktionen i sagens natur ikke være under indflydelse fra eller bliver involveret i interessekonflikter med den øvrige del af ledelsessystemet og indretningen og effektiviteten heraf, som funktionen netop skal foretage vurderinger af hensigtsmæssigheden af.

Det betyder, at personer, som varetager opgaverne i intern auditfunktionen, ikke samtidig kan varetage opgaver i de andre nøglefunktioner eller øvrige driftsmæssige opgaver indenfor den samme virksomhed, da det vil medføre, at vedkommende kan komme til at skulle kontrollere sig selv.

Personer, der varetager opgaverne i selve funktionen, kan under visse særlige og kumulative betingelser udpeges til andre nøgleposter, jf. artikel 271, stk. 2, i Solvens II-forordningen. I praksis vil det imidlertid ofte være vanskeligt at kombinere intern auditfunktionens opgaver med andre funktioner eller driftsmæssige opgaver, da enhver involvering i virksomhedens operationelle funktioner vil kompromittere intern auditfunktionens objektivitet og uafhængighed og indebære en interessekonflikt for dem, der varetager intern auditfunktionen.

Uafhængigheden skal sikres både i relationer internt i virksomheden og i relation til eksterne parter. Det kan eksempelvis være i virksomheder, hvor en eller flere af funktionerne eller øvrige driftsmæssige opgaver er outsourcet, og nøglepersonen for intern auditfunktionen eller personer med tilknytning til funktionen på en og samme tid er ansat i virksomheden og i det selskab, der er outsourcingleverandør. Det kan også være i situationer, hvor nøglepersonen for intern auditfunktionen samtidig er ansat som nøgleperson for en eller flere af de øvrige nøglefunktioner i koncernrelaterede selskaber eller i øvrigt udfører opgaver i de andre selskaber, som vil medføre, at kravene vedr. uafhængighed, objektivitet og interessekonflikter ikke kan siges at være opfyldt

I tilfælde af outsourcing af funktionens opgaver bør intern auditfunktionen som udgangspunkt være outsourcet til en anden leverandør end den, som eventuelt er leverandør til virksomhedens øvrige funktioners opgaver eller til driftsmæssige opgaver i øvrigt, så der undgås interessekonflikter. Virksomhedens eksterne revisor kan ikke påtage sig rollen som nøgleperson for intern auditfunktion.

På grund af den interne auditfunktions særlige rolle bør virksomheden løbende have fokus på at sikre, at interessekonflikter er identificeret, og at der er truffet tilstrækkelige foranstaltninger for at afbøde risikoen for såvel aktuelle som potentielle interessekonflikter.

Det er direktionen, der skal sikre intern auditfunktionens objektivitet og uafhængighed, men nøglepersonen har også selv en forpligtelse til at gøre opmærksom på forhold, der kompromitterer eller kan komme til at kompromittere funktionens objektivitet og uafhængighed. Det følger af den foreslåede § 126, stk. 5, at direktionen skal sikre, at nøglepersonerne i nødvendigt omfang kan rette henvendelse og rapportere direkte til bestyrelsen uafhængigt af direktionen. Der henvises til de specielle bemærkninger til denne bestemmelse.

Det foreslås i 4. pkt., at den interne auditfunktion ikke i sin audit, vurdering og rapportering af auditresultater må være under påvirkning fra direktionen eller bestyrelsen, som kan bringe funktionens uafhængighed og upartiskhed i fare.

For at sikre denne uafhængighed kan et medlem af direktionen eller bestyrelsen ikke udpeges til nøgleperson for intern auditfunktionen, og nøglepersonen for intern auditfunktionen kan ikke indgå i ledelsessystemet i øvrigt eller i den operationelle drift, da det ligeledes vil skabe en konflikt mellem virksomheden og funktionen og dennes uafhængige kontrol af det ledelsesmæssige setup og det interne kontrolsystem.