Likelydende brev til forsikringsformidlingsforetakene

Likelydende brev til forsikringsformidlingsforetakene
 

VÅR REFERANSE 
13/7267

Dato: 02.07.2013

Erfaringer fra stedlig tilsyn: forsikringsformidlingsforetakenes etterlevelse av risikostyringsforskriften

Forskrift 22. september 2008 nr. 1008 om risikostyring og internkontroll (risikostyringsforskriften) gjelder for formidlingsforetakene. Finanstilsynets stedlige tilsyn har avdekket manglende  etterlevelse av forskriften. De enkelte tilsynsrapporter er løpende lagt ut på Finanstilsynets nettsted. Som ledd i tilsynsarbeidet har Finanstilsynet funnet det hensiktsmessig med en generell omtale av de svakhetene som er avdekket, slik at også andre enn de som har hatt stedlig tilsyn blir kjent med hva det er viktig å ha en særlig oppmerksomhet på.

Små foretak og forholdsmessighet

Etter forskriften § 2 gjelder et prinsipp om forholdsmessighet. Finanstilsynet har erfart at enkelte foretak har forstått forholdsmessighetsprinsippet slik at forskriften ikke gjelder for foretak med få ansatte. Det samme har kommet fram i foretak der forsikringsformidlingen bare utgjør en mindre del av virksomheten. Finanstilsynet vil presisere at forskriften gjelder uavhengig av størrelse også om formidlingen bare utgjør en mindre del av virksomheten. Forholdsmessighetsprinsippet gjelder vurderingen av hvor omfattende prosesser foretaket skal gjennomføre.

Styrets rolle

Etter forskriften § 3 skal styret påse at det er en klar ansvarsdeling mellom styret og daglig leder. I flere foretak som har hatt tilsyn har alle eller mange av styrets medlemmer også hatt andre funksjoner i foretaket. Det er flere eksempler på at daglig leder også er styreleder. Ikke sjelden har dette sammenheng med at foretaket er eid av ansatte og at det derfor er naturlig at det også er disse som trer inn i styret og rollen som daglig leder. Finanstilsynet har stilt spørsmål ved om styret, når dette er situasjonen, evner å ha den nødvendige avstand og uavhengighet til rapporter og annen dokumentasjon fra administrasjonen. Finanstilsynet har uttalt at det i slike situasjoner kreves en særskilt aktsomhet og bevissthet fra den enkelte ved utøvelsen av styrevervet. Det anbefales at styret i slike situasjoner vurderer tiltak som kan bidra til å sikre tilliten til styret som et organ med reelle tilsynsfunksjoner, herunder endring av styrets sammensetning.

Årlig risikovurdering

Etter forskriften § 6 skal foretaket minst en gang årlig gjennomgå vesentlige risikoer. De stedlige tilsynene har avdekket at ikke alle foretak har gjennomført årlige risikoanalyser. Hos andre er ikke vurderingene skriftlige og det er også tilfeller der risikovurderingen ikke gjennomgås årlig.

I risikoanalysene er det vanligvis angitt konsekvenser dersom en gitt risiko skulle inntreffe. De fleste foretakene har vektlagt risikoer med vesentlige konsekvenser for foretaket som sådan. Noen foretak har gjort mer omfattende vurderinger, også av konsekvenser feil og mangler kan ha for kunden. Eksempler på dette kan være konsekvenser av at foretaket ikke har gjort gode nok analyser av forsikringsbehovet eller har underdekning eller mangelfulle systemer for avstemming av klientkontoene. Analysene viser at enkelte risikoer kan gi langt alvorligere konsekvenser for kunden enn for formidlingsforetaket. Finanstilsynet anbefaler at foretaket, i tillegg til vesentlige risikoer for foretaket, tar med i vurderingen risikoer med alvorlige konsekvenser for kundene.

Etter forskriften § 8 skal styret minst årlig behandle en samlet vurdering av risikosituasjonen fra daglig leder. Finanstilsynet erfarer at kvaliteten på det som forelegges for styret varierer. Enkelte risikovurderinger angir konkret hva som er foretakets vesentlige risikoer, om tiltak for å redusere  risikoen har fungert etter hensikten og om det er vesentlige endringer i risikobildet siden styrets forrige behandling. Andre steder er risikovurderingen fra ett år til neste nesten uforandret og i det vesentlige en bekreftelse om at risikoen er akseptabel. Daglig leders vurdering må være tilstrekkelig konkret til at styret kan ta stilling til om restrisikoen, dvs. risikoen etter at tiltak er gjennomført, er akseptabel. Styret må sette frister for gjennomføring av tiltak og ta stilling til om gjennomføringen skal rapporteres tilbake til styret.

Gjennomføring av internkontrollen

Etter forskriften § 7 skal det minst en gang årlig foretas en skriftlig oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte. Som for risikovurderingen erfarer Finanstilsynet at kvaliteten på vurderingene varierer. Eksempler på dette er manglende omtale av hvilken kontroll som faktisk er gjennomført i perioden, oversikt over avvik og vurdering av behov for endring av kontrolltiltak. Finanstilsynet mener at kjerneprosessene i formidlingsvirksomheten bør stå i sentrum ved vurderingen av kvaliteten på internkontrollen .

Etter forskriften § 5 har foretaket ansvar for risikostyring og internkontroll for virksomhet som er utkontraktert. I flere tilsynsrapporter har Finanstilsynet påpekt at utkontrakteringsavtalene ikke gir formidlingsforetaket eller Finanstilsynet rett til kontroll med den utkontrakterte virksomheten. Foretakene skal ha kontrolltiltak og avtaleverk på plass når deler av selve formidlingsprosessen er utkontraktert, ikke minst for å påse at kundenes interesser er ivaretatt.

Uavhengig bekreftelse

Etter forskriften § 10 plikter styret å sørge for at valgt revisor årlig avgir en bekreftelse til styret om risikostyringen og internkontrollen. De stedlige tilsynene har avdekket at slike bekreftelser ikke er forelagt styret. Det er viktig at styret påser at bekreftelse fra revisor blir avgitt årlig.

Håndtering av klientmidler

Formidlingslovens krav til opprettelse av klientkonto utgjør et viktig kundebeskyttende tiltak. De stedlige tilsynene har avdekket mangel på tilfredsstillende rutiner for føring av klientkonto. Det er også kommentert på uklare ansvarsforhold for avstemming av klientkonto og stilt spørsmål ved om risikoen ved enefullmakt er forsvarlig håndtert. Det er avdekket mangler ved den pliktige underslagsforsikringen som skal bidra til å beskytte kundemidler. Kommentarer fra revisor i KRT 1010 Behandling av klientmidler med revisors uttalelse, og som kan tyde på at foretaket har svakheter i håndteringen av klientmidler, er fulgt oppgjennom stedlige tilsyn eller i egne brev. Finanstilsynet forutsetter at foretakets håndtering av klientmidler inngår i den årlige vurderingen av om internkontrollen har vært gjennomført på en tilfredsstillende måte.

 

For Finanstilsynet

Atle Eriksen
tilsynsrådgiver

 Ellen Jakobsen
 spesialrådgiver