logoRevisjon og regnskap

Logg på for å laste ned PDF
Revisjon

Statsautorisert revisor

Henrik Woxholt

Partner Deloitte

Statsautorisert revisor

Olesya Makarova

Manager Deloitte

Statsautorisert revisor

Kristian Dekke Lø­berg

Senior manager Deloitte

God praksis for internkontroll:

Utkontraktering hos forsikringsselskaper

Artikkelen belyser viktige elementer i intern styring og kontroll av operasjonell risiko ved utkontraktering av sentrale prosesser til en serviceorganisasjon.

Problemstillinger og eksempler som presenteres i denne artikkelen er primært relatert til forsikringsbransjen og pensjonskasser. Vi tror likevel at de forhold som belyses har overfø­ringsverdi til andre bransjer. Videre er artikkelen ikke ment å gi en fullstendig beskrivelse av det regulatoriske rammeverket for styring og kontroll ved utkontraktering, men har til hensikt å belyse noen utvalgte områ­der og gi noen praktiske eksempler.

Ansvar for intern styring og kontroll

Styret og daglig leder har ansvaret for å etablere god risikostyring og internkontroll i foretaket ifølge blant annet aksjeloven/allmennaksjeloven og Forskrift om risikostyring og internkontroll («forskriften»). Det presiseres i forskriften at ansvaret også gjelder for de deler av virksomheten som eventuelt er utkontraktert. Utkontraktering av deler av en virksomhet fratar derfor ikke styret og daglig leder ansvaret med å påse at internkontroll knyttet til de utkontrakterte prosessene er hensiktsmessig og fungerer mål-effektivt.

Utkontraktering gir, sett fra et internkontrollperspektiv, flere fordeler, for eksempel kan det gi god arbeidsdeling og uavhengighet mellom funksjoner samtidig som man får tilgang til spesialkompetanse. Samtidig som utkontraktering kan redusere identifiserte risikoer på noen områ­der, gir det også opphav til nye operasjonelle risikoer. Dette kan for eksempel være risiko forbundet med uklare ansvarsgrenser i prosessene mellom selskap og serviceorganisasjon og selskapet blir også direkte eksponert for kvaliteten i den interne risikostyringen og internkontrollen hos serviceorganisasjonen.

Eksempler på funksjoner som er vanlig å utkontraktere i mindre forsikringsselskaper og pensjonsforetak, er salgsavdeling, skadeoppgjørs-/utbetalingsavdeling, administrasjon av pensjonsinn- og utbetalinger, kapitalforvaltning, aktuartjenester, regnskapstjenester samt drift og vedlikehold av IT-systemer.

Ved utkontraktering må ledelsen vurdere hvordan dette på­virker styring og kontroll. Figuren nedenfor viser noen vurderinger som det er naturlig å gjø­re i forbindelse med utkontraktering og skiller mellom risiko og tiltak hos henholdsvis serviceorganisasjon og forsikringsselskap.

Serviceorganisasjon

Forsikringsselskap

Risiko

Forsikringsselskapet bør ha identifisert hvilke risikoer som overfø­res til serviceorganisasjonen. Disse risikoene er ofte de samme risikoene som ville vært til stede dersom prosessen var utført av selskapet selv.

Ledelsen bør identifisere hvilke nye risikoer selskapet blir eksponert for ved å utkontraktere en funksjon eller prosess.

Tiltak

Forsikringsselskapet bør foreta en vurdering av hvordan serviceorganisasjonen håndterer de overnevnte risikoer og inkludere nødvendige bestemmelser knyttet til styring og kontroll samt rapportering i avtalen med serviceorganisasjonen.

Det bør implementeres rutiner og kontroller hos forsikringsselskapet for å håndtere risikoene ved utkontraktering. Som en del av dette bør det implementeres oppfølgingsprosedyrer og kontroller av serviceorganisasjonens leveranse for å kontrollere at denne er i henhold til avtalen.

Vi vil nedenfor innledningsvis kort kommentere enkelte viktige generelle elementer knyttet til styring og kontroll ved utkontraktering. Deretter vil vi fokusere på noen utvalgte prosesser hos forsikringsselskaper og gi enkelte eksempler på kontroller og oppfølgingsaktiviteter som bør etableres for prosesser som er utkontraktert.

Serviceorganisasjonene som forsikringsselskaper utkontrakterer deler av sine prosesser til, kan velge å utarbeide revisorbekreftede internkontrollrapporter med uttalelser av type ISAE 3402 «Attestasjonsuttalelser om kontroller hos en serviceorganisasjon» eller SSAE 16 «Reporting on controls at a serviceorganization». Et forsikringsselskaps oppfølgingsprosedyrer bør avhenge av hvorvidt en slik rapport foreligger eller ikke. Nedenfor diskuteres først intern styring og kontroll i forsikringsselskapet når en slik uttalelse ikke foreligger, dernest kommenteres naturlige konsekvenser av at den foreligger.