4 Teoretisk analyse ‐ udvalgte artikler
4.5 Artikel 44 ‐ Risk Management
4.5 Artikel 44 - Risk Management
For forsikringsvirksomheder, der vælger at benytte en delvist- eller fuldt intern model til beregning af SCR, skal RM-funktionen yderligere sikre følgende:117
Design og implementering af den interne model
Afprøvning og validering af den interne model
Dokumentation af den interne model og alle eventuelle ændringer hertil
Analyse af performance af den interne model samt udfærdige opsummerende rapporter herom
Underretning af administrations-, ledelses- eller tilsynsorganet om resultaterne af den interne model med forslag til eventuelle forbedringer samt løbende underretning af dette organ om bestræbelserne på at udbedre tidligere påviste svagheder.
4.5.2 Niveau 2‐tekst
Gennemgangen vil følge artiklens opbygning.
Artikel 44, stk. 1
Denne artikel omhandler, som nævnt ovenfor, implementeringen af en RM-funktion samt kravet om, at denne skal være en del af beslutningsorganet.
I niveau 2-teksten forklarer CEIOPS, at RM-funktionen skal bruges til at skabe en overordnet forståelse af virksomhedens risikoeksponering. Derfor anbefales det forsikringsvirksomhederne at anvende RM i den indledende proces samt ved implementeringen af virksomhedens overordnede strategi.118
CEIOPS forklarer også nødvendigheden af, at virksomhedens ledelse skal være ansvarlig for implementeringen af RM-funktionen. De forklarer, at ledelsen skal være ansvarlig for, at den implementerede RM-funktion er passende og effektiv i forhold til virksomhedens forretning, samt at ledelsen sørger for, at RM-funktionen med passende interval reviderer risikoprofilen.119
I niveau 1-teksten står der, at RM-funktionen skal sikre oprettelsen af passende strategier til at imødegå risici, som nævnt ovenfor under gennemgangen af niveau 1-teksten. CEIOPS forklarer, at de tolker ordet "Strategier" som high-level planer for virksomheden, som skal lægge rammen om de daglige politikker, som virksomheden skal fungere under.120 RM-funktionen skal dermed være med til at sætte de overordnede retningslinjer for virksomheden.
117 Solvens II-direktivet, Artikel 44, stk. 5
118 CEIOPS' Advice pkt. 3.64
119 CEIOPS' Advice pkt. 3.65 og 3.66
120 CEIOPS' Advice pkt. 3.67
CEIOPS tager igen fat i de nedskrevne forretningsgange, som også er beskrevet tidligere. Dette viser sig ved, at de forklarer, at et effektivt RM-system skal indeholde klart definerede og tilstrækkelige nedskrevne forretningsgange, som tager højde for den risiko, som virksomheden er eksponeret for.121 En af de vigtigste ting, som CEIOPS lægger op til, er virksomhedernes indførsel af ORSA-processen.
CEIOPS skriver direkte, at et effektivt ledelsessystem dækker netop dette punkt. Selve begrebet ORSA vil blive behandlet særskilt i "Artikel 45 - Own Risk & Solvency Assesment (ORSA)" på side 63.
Artikel 44, stk. 2 og 3
Disse to artikler handler om, at RM-funktionen skal dække over alle identificerede risici, som identificeret under udarbejdelsen af SCR, samt de risici, som ikke er en del af SCR-beregningen, men dog stadig udgør en risiko.
Den efterfølgende gennemgang af niveau 2-teksten vil følge CEIOPS' Advice og derved ske ved en kort gennemgang af de i stk. 2, pkt. a) - f) oplistede områder. Pkt. 3 er gennemgået under gennemgangen af pkt. 2 c).
a) Underwriting & Reserving122
Underwriting dækker over den proces, som forsikringsvirksomheden foretager i forbindelse med kundeaccepten og forsikringstegningen. Risikoen, som følger heraf, kommer af den subjektive vurdering af, hvorvidt en forsikringstager vil give underskud eller overskud, afhængig af hvilke forudsætninger, der lægges til grund herfor, herunder forsikringspræmie og hensættelser.
CEIOPS forklarer i deres råd, at RM-funktionen bør indføre flere elementer for at opnå en optimal risikoafdækning i forbindelse med denne proces.123 Af disse elementer kan nævnes en generel grænse for risikoeksponering inden for samme specifikke område.124 Dette betyder, at forsikringsvirksomheden bør have interne retningslinjer for, hvor stor risikoeksponering man må have over for forsikringstagere af så ens karakter, at man ved sammenfald kan risikere en overeksponering. Et eksempel kunne være, hvis forsikringsvirksomheden oprettede interne retningslinjer for, hvor mange fodboldfans, man ville forsikre fra samme fodboldklub, da man ved et terrorangreb kunne risikere at have forsikret alle implicerede.
121 CEIOPS' Advice pkt. 3.69 b)
122 Vil i efterfølgende behandling blive omtalt som "underwriting "og "hensættelse"
123 CEIOPS' Advice pkt. 3.82
124 CEIOPS' Advice pkt. 3.82 b)
Derudover nævner CEIOPS, at der også bør indføres interne grænser for, hvor store beløb der må underwrites af hver enkelt forsikringsmægler, således at særligt store policer skal godkendes af direktionen eller lignende.125
For at sikre den anden del af dette punkt, hensættelsen, pointerer CEIOPS betydning af pålideligheden, tilstrækkeligheden og fuldstændigheden af oplysninger, som indhentes i underwriting-processen.126 Hvis dette ikke er tilfældet, vil forsikringsvirksomheden være i fare for at lave forkerte hensættelser - enten for store eller for små.
Til sidst forklarer CEIOPS, at virksomhederne bør indføre tilstrækkelige Claims-procedurer, omfattende hele processen for udbetalinger.127 Dette for at sikre, at virksomheden udbetaler korrekte summer, da hensættelserne på dette punkt bygger på historiske data.
b) Asset–liability management128
Dette punkt lægger op til, at virksomhederne indfører en strategi for forholdet mellem aktiver og passiver. Gennemgangen af dette punkt vil kort forklare, hvad denne strategi ifølge CEIOPS bør indeholde, og dermed ikke hvordan den daglige behandling vil ske. Dette sker ud fra en vurdering af, at en detaljeret gennemgang vil lægge sig op af en gennemgang af søjle I og dermed ligge uden for denne afhandling.
CEIOPS forklarer i deres råd, at virksomhederne bør indføre en strategi for at sikre, at man til enhver tid vil være i stand til have overdækning i forhold til hensættelserne til forsikringstagerne.129
Denne strategi bør derudover indeholde en formaliseret plan for udførslen af stresstests, til at sikre modstandsdygtigheden over for eventuelle store udsving.130
Uden for disse stresstests, som omhandler de investeringsaktiverne, bør ALM-strategien sikre en stillingtagen til såkaldte "off-balance sheet exposures".131 Dette betyder, at virksomhederne skal tage stilling til - og søge en håndtering af - de eventualforpligtelser, som de besidder.
Igen her forklarer CEIOPS, at virksomhederne skal udfærdige skriftlige forretningsgange og politikker for området.132
125 CEIOPS' Advice pkt. 3.82 c)
126 CEIOPS' Advice pkt. 3.83
127 CEIOPS' Advice pkt. 3.86
128 Efterfølgende forkortet "ALM"
129 CEIOPS' Advice pkt. 3.90 og 3.91
130 CEIOPS' Advice pkt. 3.92 c)
131 CEIOPS' Advice pkt. 3.96
c) Investment, in particular derivatives & similar commitments
Denne del lægger sig en del op ad pkt. b, som gennemgået ovenfor. Gennemgangen her vil derfor ske for ikke-sammenfaldende områder.
CEIOPS forklarer, at virksomheder skal investere iht. forsigtighedsprincippet.133 Dette betyder, at virksomheder kun skal investere i instrumenter, som de forstår, eller som CEIOPS forklarer det;
instrumenter som virksomhederne kan identificere, måle, overvåge, styre og kontrollere. Derudover skal virksomhederne hensigtsmæssigt kunne medtage disse instrumenter SCR-beregningen.
Det bliver nævnt i gennemgangen, at CEIOPS mener, at dette forsigtighedsprincip i Solvens II er tilstrækkeligt mht. investeringsregulering, og at det derfor ikke vurderes nødvendigt med en decideret regulativ begrænsning i investeringsmulighederne for forsikringsvirksomhederne - en begrænsning, som findes i den nuværende lovgivning. 134
Til sidst forklarer CEIOPS, at det anbefales virksomhederne at indføre politikker for investering, som skal bygge på kvalitative informationer omkring både virksomhedens situation samt investeringens data.135 Hertil kommer en løbende overvågning af investeringsafdelingen, især mht. investeringer uden for et reguleret marked.136
d) Liquidity & Concentration risk management
I dette punkt forklarer CEIOPS kort, at virksomhederne skal sørge for at indføre deciderede likviditetsplaner, som skal sikre, at virksomheden har tilstrækkelig likviditet, både på kort og lang sigt.137
Concentration risk management omhandler, på passivsiden, den tidligere beskrevne risiko ved at tegne forsikringer inden for samme segment, samt på aktivsiden, risikoen ved at investere i samme marked eller papir etc. Her anbefales det, som under ALM- og Investeringsstrategi at udfærdige procedurer og politikker for at identificere disse risici, samt vurdere hvor stor eksponeringen må være.138
e) Operational risk management
Denne del af RM refererer til den risiko, som forsikringsvirksomheden har i forbindelse med tab som følge af fejl i interne processer eller eksterne faktorer. Derudover inkluderer det også såkaldte "legal
132 CEIOPS' Advice pkt. 3.99
133 CEIOPS' Advice pkt. 3.108
134 CEIOPS' Advice pkt. 3.114
135 CEIOPS' Advice pkt. 3.134
136 CEIOPS' Advice pkt. 3.135
137 CEIOPS' Advice pkt. 3.142
138 CEIOPS' Advice pkt. 3.152
risks", altså risikoen fra retssager, men ikke risiko i forbindelse med strategiske beslutninger eller omdømmerisiko.139
CEIOPS forklarer i deres råd, at forretningsgangsbeskrivelserne for behandlingen af operationelle risici skal være veldokumenterede indeholdende en klar ansvarsfordeling.140
Forsikringsvirksomhederne bliver i høj grad nu anbefalet at starte en proces for løbende at identificere alle de operationelle risici, som de besidder, samt alle understøttende IT-systemer, som understøtter disse.141
Når først alle risici er identificeret, skal virksomhederne søge at kvantificere disse, bl.a. ved stresstests, hvor dette er muligt, for derigennem at integrere et overordnet system, som skal sikre at virksomheden afdækker alle de operationelle risici.142
f) Reinsurance & other risk‐mitigation techniques
CEIOPS' Advice giver om dette punkt en lang række råd til, hvordan forsikringsvirksomheder skal sikre risikohåndtering af reassurance og lignende teknikker.143
Ved forsikringsvirksomhed vil det ofte være hensigtsmæssigt at benytte reassurance til at afdække større eller usædvanlige begivenheder og dermed afbøde risiko. CEIOPS forklarer dog, at brugen af reassurance også betyder nye risici, da der er risiko for at reassurandøren går konkurs.144
Der vil ikke ske en yderligere gennemgang heraf, da dette ikke vurderes relevant, afhandlingens problemstilling taget i betragtning.
Artikel 44, stk. 4 og 5
Disse to artikler handler som tidligere nævnt om, at virksomhederne skal opbygge en passende RM-funktion i virksomheden. I tilfælde af at forsikringsvirksomheden vælger at benytte en delvist- eller helt intern model til beregning af SCR, er der desuden yderligere krav til denne nyoprettede RM-funktion.
Denne nye funktion, skal have ansvaret for, at hele RM-systemet fungerer og lever op til de ovennævnte krav ved at overvåge systemet samt rapportere til bestyrelse, ledelse og/eller tilsynsorganet. Derudover
139 CEIOPS' Advice pkt. 3.155
140 CEIOPS' Advice pkt. 3.156
141 CEIOPS' Advice pkt. 3.159 a) - c)
142 CEIOPS' Advice pkt. 3.164 og 3.165
143 I gennemgangen omtalt under ét som reassurance
144 CEIOPS' Advice pkt. 3.170
skal RM-funktionen løbende evaluere det udarbejdede RM-system og identificere og vurdere eventuelle svagheder eller nyopståede risici. 145
Oprettelsen af RM-funktionen skal, som med resten af Solvens II, tilpasses virksomhedens art, størrelse, og kompleksiteten i de forretningsmæssige aktiviteter. Derudover skal virksomheden sikre, at denne RM-funktion er uafhængig af andre af virksomhedens funktioner samt bestyrelse, ledelse og/eller tilsynsorgan.146
CEIOPS giver en anbefaling om, at forsikringsvirksomhederne bør have mindst én person fra enten bestyrelse, ledelse eller tilsynsorgan til at overvåge denne RM-funktion, og de forklarer, at det for større og/eller mere komplekse virksomheder ofte vil føre til, at der bliver ansat en Chief Risk Officer (CRO), der udelukkende tager sig af denne overvågning.147
Hvis virksomheden vælger at benytte sig af en delvis- eller hel intern model til beregning af SCR, er det RM-funktionens ansvar, at denne model er passende i forhold til de underliggende risici.148 Derudover er RM-funktionen ansvarlig for, at den interne model er designet og implementeret effektivt, således at denne fungerer efter hensigten.149
4.5.3 Analyse
Implementeringen af artikel 44 lægger op til organisatoriske ændringer, i og med der kræves oprettelse af en RM-funktion. Den reelle påvirkning for de danske forsikringsvirksomheder vil blive gennemgået nedenfor.
Gennemgangen vil følge artikel 44's opstilling.
Artikel 44 stk. 1
Som nævnt tidligere omhandler denne artikel implementeringen af en RM-funktion, som skal sikre virksomhedens opfyldelse af risikobetinget ledelse.
Som nævnt i gennemgangen af implementeringerne af mere risikofokuseret lovgivning,150 er forsikringsbranchen ikke underlagt samme krav om implementeringen af en sådan risikofunktion, som
145 CEIOPS' Advice pkt. 3.211, 3.212 og 3.213
146 CEIOPS' Advice pkt. 3.209
147 CEIOPS' Advice pkt. 3.210
148 CEIOPS' Advice pkt. 3.215
149 CEIOPS' Advice pkt. 3.216
150 Jf. Udvikling i regulering af forsikringsvirksomhed på side 19
fx pengeinstitutter. Dette betyder, at der for forsikringsvirksomheder kun foreligger en kort beskrivelse af kravet omkring håndtering af risici og risikostyring.151
Denne del af direktivet omkring styring og ledelse af forsikringsvirksomheder pålægger alene krav om, at forsikringsvirksomhederne skal have metoder og procedurer som sikrer, at fremtidige risici identificeres og håndteres.152
Denne nye RM-funktion skal sørge for, at virksomheden identificerer og mindsker risikoen for overeksponering. Dette ses allerede i gældende dansk lovgivning, hvoraf det fremgår, at en virksomhed skal have metoder og procedurer, som er egnede til at opdage og mindske risiko for sanktioner samt omdømme- og økonomisk tab.153
Derudover forklarer CEIOPS også, at det er vigtigt med nedskrevne og effektive forretningsgange, som forklaret ovenfor. Dette er et tilbagevendende tema og for danske forsikringsvirksomheder vil dette ikke være noget nyt, i og med at det allerede er et krav, at der foreligger procedurer og forretningsgange.
Artikel 44 stk. 2 og 3
At virksomheden skal afdække alle identificerede risici er ikke nyt for de danske virksomheder. I den tidligere benyttede bekendtgørelse omkring styring og ledelse af forsikringsvirksomheder154 står der direkte, at bestyrelsen på baggrund af risikovurderingen skal vedtage politikker for fx forsikringsmæssige risici, markeds- modparts- og kreditrisici (investeringsområdet) samt operationelle risici.155
Hvorvidt der er tale om en skærpelse af kravene bygger på en vurdering af, hvorvidt bilagene i bekendtgørelsen er strengere end Solvens II-direktivet. En gennemgang heraf vil lægge sig op ad en gennemgang af de kvantitative krav, som indeholdes i Solvens II-direktivets søjle I, hvorfor dette vurderes irrelevant for nærværende afhandlings problemstilling.
Artikel 44 stk. 4 og 5
Som nævnt ovenfor omhandler disse artikler implementering af RM-funktionen. Såfremt virksomheden vælger en delvis- eller hel intern model til beregning af SCR, fremgår det hvilke yderligere handlinger virksomheden skal udføre.
151 BEK 1575 kapitel 7
152 BEK 1575 § 19
153 BEK 1575 § 20
154 BEK 1575
155 BEK 1575, § 5, stk. 1
Dette krav til RM-funktionen er ikke direkte skrevet i gældende dansk lovgivning, da begrebet i sig selv er nyt. Dette betyder dog ikke, at der ikke allerede er gældende dansk lovgivning som tager sig af et eventuelt problem herved.
Det vurderes, at den kommende risikofunktion skal afdække et relativt bredt område. CEIOPS nævner at funktionen skal have kendskab til alle de risici, virksomheder løber - dette gælder både risici som er en del af SCR-beregningen såvel som risici der ikke indgår i beregningen.
Som nævnt ovenfor er det i dansk lovgivning allerede implementeret at der skal være en risikoansvarlig i virksomheden. Hvorvidt dette er tilstrækkeligt i forhold til de i Solvens II-direktivet beskrevne krav for funktionen, er et vurderingsspørgsmål.
Det vurderes dog at risikofunktionen på nogle punkter har et øget ansvar, hvilket blandt andet ses gennem i Solvens II-direktivet hvor fokus ikke blot er på hvor aktiverne placeres, men mere hvorvidt virksomhederne (RM-funktionen) kender til de risici som er ved placeringen.
Selvom Solvens II lægger op til et proportionalitetsprincip, vurderes det dog stadig at være et krav, at der er en RM-funktion, som varetager risikostyringen i virksomheden.