God praksis for internkontroll:

Utkontraktering hos forsikringsselskaper

Statsautorisert revisor

Henrik Woxholt

Partner Deloitte

Statsautorisert revisor

Olesya Makarova

Manager Deloitte

Statsautorisert revisor

Kristian Dekke Lø­berg

Senior manager Deloitte

Artikkelen belyser viktige elementer i intern styring og kontroll av operasjonell risiko ved utkontraktering av sentrale prosesser til en serviceorganisasjon.

Problemstillinger og eksempler som presenteres i denne artikkelen er primært relatert til forsikringsbransjen og pensjonskasser. Vi tror likevel at de forhold som belyses har overfø­ringsverdi til andre bransjer. Videre er artikkelen ikke ment å gi en fullstendig beskrivelse av det regulatoriske rammeverket for styring og kontroll ved utkontraktering, men har til hensikt å belyse noen utvalgte områ­der og gi noen praktiske eksempler.

Ansvar for intern styring og kontroll

Styret og daglig leder har ansvaret for å etablere god risikostyring og internkontroll i foretaket ifølge blant annet aksjeloven/allmennaksjeloven og Forskrift om risikostyring og internkontroll («forskriften»). Det presiseres i forskriften at ansvaret også gjelder for de deler av virksomheten som eventuelt er utkontraktert. Utkontraktering av deler av en virksomhet fratar derfor ikke styret og daglig leder ansvaret med å påse at internkontroll knyttet til de utkontrakterte prosessene er hensiktsmessig og fungerer mål-effektivt.

Utkontraktering gir, sett fra et internkontrollperspektiv, flere fordeler, for eksempel kan det gi god arbeidsdeling og uavhengighet mellom funksjoner samtidig som man får tilgang til spesialkompetanse. Samtidig som utkontraktering kan redusere identifiserte risikoer på noen områ­der, gir det også opphav til nye operasjonelle risikoer. Dette kan for eksempel være risiko forbundet med uklare ansvarsgrenser i prosessene mellom selskap og serviceorganisasjon og selskapet blir også direkte eksponert for kvaliteten i den interne risikostyringen og internkontrollen hos serviceorganisasjonen.

Eksempler på funksjoner som er vanlig å utkontraktere i mindre forsikringsselskaper og pensjonsforetak, er salgsavdeling, skadeoppgjørs-/utbetalingsavdeling, administrasjon av pensjonsinn- og utbetalinger, kapitalforvaltning, aktuartjenester, regnskapstjenester samt drift og vedlikehold av IT-systemer.

Ved utkontraktering må ledelsen vurdere hvordan dette på­virker styring og kontroll. Figuren nedenfor viser noen vurderinger som det er naturlig å gjø­re i forbindelse med utkontraktering og skiller mellom risiko og tiltak hos henholdsvis serviceorganisasjon og forsikringsselskap.

Serviceorganisasjon

Forsikringsselskap

Risiko

Forsikringsselskapet bør ha identifisert hvilke risikoer som overfø­res til serviceorganisasjonen. Disse risikoene er ofte de samme risikoene som ville vært til stede dersom prosessen var utført av selskapet selv.

Ledelsen bør identifisere hvilke nye risikoer selskapet blir eksponert for ved å utkontraktere en funksjon eller prosess.

Tiltak

Forsikringsselskapet bør foreta en vurdering av hvordan serviceorganisasjonen håndterer de overnevnte risikoer og inkludere nødvendige bestemmelser knyttet til styring og kontroll samt rapportering i avtalen med serviceorganisasjonen.

Det bør implementeres rutiner og kontroller hos forsikringsselskapet for å håndtere risikoene ved utkontraktering. Som en del av dette bør det implementeres oppfølgingsprosedyrer og kontroller av serviceorganisasjonens leveranse for å kontrollere at denne er i henhold til avtalen.

Vi vil nedenfor innledningsvis kort kommentere enkelte viktige generelle elementer knyttet til styring og kontroll ved utkontraktering. Deretter vil vi fokusere på noen utvalgte prosesser hos forsikringsselskaper og gi enkelte eksempler på kontroller og oppfølgingsaktiviteter som bør etableres for prosesser som er utkontraktert.

Serviceorganisasjonene som forsikringsselskaper utkontrakterer deler av sine prosesser til, kan velge å utarbeide revisorbekreftede internkontrollrapporter med uttalelser av type ISAE 3402 «Attestasjonsuttalelser om kontroller hos en serviceorganisasjon» eller SSAE 16 «Reporting on controls at a serviceorganization». Et forsikringsselskaps oppfølgingsprosedyrer bør avhenge av hvorvidt en slik rapport foreligger eller ikke. Nedenfor diskuteres først intern styring og kontroll i forsikringsselskapet når en slik uttalelse ikke foreligger, dernest kommenteres naturlige konsekvenser av at den foreligger.

Utkontrakteringsprosessen

Et forsikringsselskap som vurderer å utkontraktere viktige virksomhetsprosesser, bør etablere en policy som regulerer de ulike steg og momenter både i selve utkontrakteringsprosessen og i den lø­pende drift etter utkontrakteringen. Formå­let med policyen er å bidra til å sikre at både den operasjonelle risikoen i selve utkontrakteringen og i de etterfølgende perioder håndteres på en hensiktsmessig måte i samsvar med god praksis samt relevante lover og bestemmelser. En slik policy bør blant annet inkludere:

  • Beskrivelse av innholdet i de ulike delprosessene i en utkontraktering,

  • Prosedyrer for risikoanalyse før utkontrakteringen gjennomfø­res samt lø­pende risikoanalyse i etterfølgende perioder,

  • Prosedyrer for due dilligence av serviceleverandø­ren (kvalitetskontroll),

  • Innholdet i avtalen med serviceorganisasjonen,

  • Hvordan implementeringen, oppfølgingen og styringen av de utkontrakterte prosesser skal gjennomfø­res.

Det følger av forskriften §–5 at det skal foreligge en skriftlig avtale med serviceorganisasjonen for å sikre god risikostyring og internkontroll i utkontrakterte deler av virksomheten. Det fremgår videre av forskriften at avtalen også må sikre at foretaket gis rett til innsyn i og kontroll av den utkontrakterte virksomheten. Dette er vanlig å forankre i avtalen og denne kalles ofte for «Service Level Agreement» (SLA). Vår erfaring er at det er avgjø­rende at denne er tilstrekkelig detaljert for å forhindre misforstå­elser vedrø­rende viktige kontrollaktiviteter, ansvar og dokumentasjon. Dette danner også ofte basis for den jevnlige rapporteringen om styring og kontroll av utkontrakterte prosesser, herunder analyse og håndtering av risiko, som ledelsen skal gi til styret i tråd med forskriften. Nedenfor vil vi gå nærmere inn på den delen av utkontrakteringsprosessen som omhandler risikoanalyse, rapporteringen fra og oppfølging av serviceorganisasjoner. Prosessen som leder frem til en beslutning om utkontraktering og selve valget av serviceleverandør er ikke tema for denne artikkelen og omtales derfor ikke nærmere.

Risikoanalyse, rapportering og kontroll

Som beskrevet over er det vår oppfatning at en utkontraktering normalt reduserer enkelte operasjonelle risikoer samtidig som nye blir introdusert. Som for prosesser som ikke er utkontraktert, er viktige elementer i intern styring og kontroll for utkontrakterte prosesser risikoanalyser av prosessene, kontrollaktiviteter og rapportering. Som følge av at prosessene er utkontraktert, bør risikoanalysen, inkludert forstå­elsen av etablerte kontrollaktiviteter og tilhø­rende rapportering, både omfatte serviceorganisasjonen og de relevante deler av egen organisasjon. Formå­let med disse aktivitetene er å sikre at utkontrakterte prosesser blir gjennomført i henhold til intensjon og innenfor fastsatt risikoprofil.

For å bidra til å sikre det ovenstå­ende er det viktig at forsikringsselskapet også etablerer tydelige krav til intern styring og kontroll hos serviceleverandø­rene, herunder rapporteringskrav. Oppfølgingsprosedyrer i Forsikringsselskapet er etter vårt syn en svært sentral del av styring og kontroll av utkontrakterte tjenester. Prosedyrene bør dekke de risikoer som er identifisert og bør omfatte både en gjennomgang av rapportering fra serviceleverandør og gjennomfø­ring av egne kontroller og analyser av de utkontrakterte prosesser. Selskapet bør som en del av oppfølgingen påse at det lø­pende har en tilfredsstillende forstå­else for kvaliteten på intern styring og kontroll hos serviceorganisasjonen og tilpasse egen oppfølging og kontroll av serviceleverandø­ren etter dette.

Vi vil nedenfor gi noen eksempler på risikoer, rapportering fra serviceorganisasjonen samt naturlige oppfølgingsprosedyrer fra forsikringsselskapets side. Vi understreker at type og omfang av rapportering og oppfølgingsprosedyrer avhenger av den lø­pende risikovurdering. Det nedenstå­ende er derfor kun ment som eksempler for å illustrere prinsippene. Vi har valgt å illustrere dette for følgende prosesser:

  1. saksbehandling

  2. kapitalforvaltning

  3. aktuarfunksjon

Saksbehandlingsavdeling

En rekke pensjonskasser har utkontraktert hele eller vesentlige deler av pensjonsadministrasjonen, inkludert utbetaling av pensjoner. Utenlandske forsikringsselskaper som selger forsikringer i det norske markedet gjennom forsikringsagenter, kan også ha behov for utkontraktering av skadeoppgjør knyttet til norske poliser.

Risikoanalyse og Rapportering

  1. Risikoanalysen knyttet til utkontraktering av saksbehandlingsavdeling kan for eksempel omfatte følgende:

  2. risiko for at serviceorganisasjonen gjør feil utbetalinger på vegne av forsikringsselskapet (feil beløp, feil mottaker, feil dekning)

  3. risiko for at serviceorganisasjonen gjør feil i RBNS-avsetning# RBNS-avsetning (reported, but not settled) er et estimat for skader som er meldt inn, men ikke gjort opp ennå.

Forsikringsselskapet bør sørge for at rapporteringen fra serviceorganisasjonen dekker de ulike risikoene i risikoanalysen. Rapporteringen kan for eksempel inneholde bekreftelse på at serviceorganisasjonen følger avtalte retningslinjer for verdivurdering og etterlever dokumentasjonskrav i saksbehandlingsmapper. Det er vanlig at dette rapporteres som et ledd i serviceorganisasjonens egen revisjon av utførte saker. Eksempler på annen naturlig rapportering er liste over saksbehandlingstid og lister over saker under behandling som kan danne grunnlag for RBNS-avsetningen.

Oppfølgingsprosedyrer

Ledelsen i forsikringsselskapet bør etablere oppfølgingstiltak for å sikre at instrukser og fullmakter etterleves i serviceorganisasjonen. Det vil være naturlig at forsikringsselskapet bl.a. utfø­rer en lø­pende analyse av utviklingen i sine utbetalinger og RBNS-avsetninger Forsikringsselskapet bør vurdere å avtale at serviceorganisasjonen selv skal gjø­re en egen revisjon av behandlede saker, som en del av egen kvalitetssikringsprosess. Uansett bør forsikringsselskapet også selv foreta stikkprø­vekontroller av skadeutbetalinger hos serviceorganisasjonen. I denne sammenhengen er det viktig at avtalen er utformet slik at forsikringsselskapet får tilgang til nødvendig informasjon for å utfø­re egen revisjon av utbetalinger og RBNS-avsetninger hos serviceorganisasjon. Oppfølging av RBNS-avsetninger med serviceorganisasjonen kan også være en sentral oppfølgingsprosedyre. Her er det naturlig at forsikringsselskapet etablerer lø­pende (for eksempel kvartalsvise) mø­ter med serviceorganisasjonen hvor man gjennomgår RBNS-avsetningene.

Kapitalforvaltning

Forvaltning av investeringer er en av kjerneprosessene i et forsikringsselskap. Forsikringsselskaper og pensjonskasser må forholde seg til en egen forskrift, enten «Forskrift om skadeforsikringsselskapers kapitalforvaltning» eller «Forskrift om livsforsikringsselskapers og pensjonsforetaks kapitalforvaltning». Selskapet har ansvaret for å etterleve disse og en sentral oppgave for selskapet vil være å overvå­ke at serviceorganisasjonen gjør det samme. Ved utkontraktering kan dette medfø­re noen særskilte utfordringer med tanke på at selskapet vil ha begrenset tilgang til informasjon, systemer og ansatte hos serviceorganisasjonen.

Risikoanalyse og Rapportering

En sentral risiko er at kapitalforvaltningen ikke utøves i tråd med kapitalforvaltningsstrategien og øvrige retningslinjer for forvaltningen fra styret og ledelsen som er inkludert i avtalen med serviceorganisasjonen. For å redusere denne risikoen bør forsikringsselskapet motta rapportering på at de ulike deler og begrensningene i mandatene er etterlevd. Det er naturlig at dette er forankret i avtalen med serviceorganisasjonen, og etterlevelse av dette bør være et av må­lepunktene i oppfølgingen av serviceorganisasjonen. Rapporteringen bør være av en slik art at det er mulig for forsikringsselskapet å etterprøve informasjonen. Eksempler på rapportering er etterlevelse av mandat, avkastningsmåling, beholdningsavstemming, verdsettelse, risikoanalyser, skatt, grunnlag for kapitaldekning mv.

Oppfølgingsprosedyrer

Selskapet bør lø­pende følge opp rapporteringen fra serviceorganisasjonen og gjennom dette både vurdere kvaliteten på leveransen og om den er i samsvar med avtalen. Oppfølgingen bør uavhengig av dette også inkludere egne kontroller for å kvalitetssikre informasjonen som mottas fra serviceleverandø­ren. Eksempel på dette kan være egne kontroller på verdsettelse av verdipapirer, egen avstemning av beholdninger mot depotbank eller egne kontroller på at alle mandater og mandatbegrensninger er overholdt. Omfanget og detaljgraden av disse etterkontrollene vil variere ut ifra selskapets behov og risikovurdering av de enkelte prosesser og rapporter. Selskapet må ha tilstrekkelige rutiner for å sikre på­liteligheten av informasjonen samt at lover og regler etterleves.

FORSIKRING OG PENSJONSKASSER: Artikkelen tar primært for seg problemstillinger relatert til forsikringsbransjen og pensjonskasser.

Aktuarfunksjon

Forsikringsselskaper er pliktige til å ha aktuar og denne har en svært sentral rolle i selskapet. Aktuaren skal godkjennes av Finanstilsynet. Aktuarens ansvarsområ­der fremkommer blant annet av «Forskrift om aktuar». Det skilles mellom aktuar i skade- og livsforsikringsselskap, men kort oppsummert har aktuaren et selvstendig ansvar for de forsikringstekniske beregningene og at selskapets virksomhet til enhver tid blir drevet på en forsikringsteknisk ansvarlig måte.

Et forsikringsselskap kan velge om de ansetter en egen aktuar eller om de vil utkontraktere dette til et selskap, jf. §–10 og §–17 i forskrift om aktuar. For mindre forsikringsselskaper, og spesielt pensjonskasser, er det vanlig å utkontraktere denne funksjonen. Aktuarens beregninger er til dels svært komplekse og deler er i stor utstrekning basert på skjønn. Aktuarens rolle kan hos enkelte forsikringsselskaper være vid og inkludere alt fra premieberegning til utarbeidelse av noteinformasjon i årsregnskapet. Dette gjør kontrollen av aktuarens leveranser krevende og for mange oppfattes nok aktuarens arbeid som en «svart boks». Likevel må selskapet ha et forhold til denne informasjonen på lik linje med annen informasjon som brukes som grunnlag for styrets og ledelsens beslutninger.

Risikoanalyse og Rapportering

Selv om aktuaren er godkjent av Finanstilsynet og har et selvstendig ansvar for deler av det forsikringstekniske i selskapet, er det naturlig at styret og ledelsen også utarbeider retningslinjer for aktuarens ansvarsområ­der som også bør være nedfelt i avtalen med ansvarshavende aktuar. Avtalen kan blant annet inneholde retningslinjer for ansvarsdeling, prinsipper for beregninger og reservering, kvalitet på leveranse, samarbeidsmodell og rapportering. Dette bør også være en del av rapporteringen fra aktuar og som selskapet bør ha en jevnlig gjennomgang av. Selskapet bør ha hensiktsmessige kontroller som sikrer at aktuar får all nødvendig informasjon og at den er kvalitetssikret. Selskapet er selv ansvarlig for å sikre at aktuarens beregninger er foretatt på riktig grunnlag. Dette gjelder blant annet informasjon om tariffer, produkter og bestand. Selskapet bør derfor ha implementert tilstrekkelige kontroller underveis i hele prosessen fra overlevering av grunnlagsdata til endelig reservering mottas fra aktuaren. Det bør være et spesielt fokus på områ­der hvor det er skjønnsmessige vurderinger og disponeringer, og at disse er foretatt i samsvar med retningslinjene fra styret og ledelsen. Det bør også foreligge dokumentasjon som beskriver vurderingene.

Oppfølgingsprosedyrer

Til tross for at ansvarshavende aktuar er godkjent av Finanstilsynet og aktuarens ansvarsoppgaver er forskriftsregulert, må selskapet som for de øvrige områ­der som eventuelt utkontrakteres, etablere en hensiktsmessig oppfølging som dekker de identifiserte risikoene. Selskapet bør gjø­re egne analyser og vurderinger knyttet til aktuarens leveranse. Som en del av oppfølgingen bør selskapet også ha analyser som dokumenterer at aktuarens beregninger er utført basert på korrekt og fullstendig informasjonsgrunnlag fra selskapets systemer. Selskapet må videre sørge for at det etableres hensiktsmessige rapporteringslinjer mot aktuaren og at det er jevnlige kontaktpunkter for å følge opp utviklingen i reserveringen og risikoresultater og for å diskutere eventuelle problemstillinger. Aktuarens ansvar inkluderer også pliktig rapportering til Finanstilsynet, og selskapets oppfølging må også omfatte denne rapporteringen.

ISAE 3402/SSAE 16 og overvåkning av utkontrakterte prosesser

En serviceorganisasjon kan velge å utstede en rapport om foretakets tjenester. En slik ISAE 3402/SSAE 16-rapport er en revisorbekreftet rapport som inneholder en beskrivelse av foretaket samt dets etablerte interne styring og kontroll. Beskrivelsen av den etablerte interne styring og kontroll inneholder de overordnede målsetninger, samt de ulike kontrollaktivitetene som utfø­res i foretaket for å sikre at kontrollmålsetningene overholdes. Foreligger det en slik rapport, vil denne kunne redusere omfanget av oppfølgingsaktivitetene som er beskrevet ovenfor samtidig som selskapet må ha et forhold til om rapporten dekker de tjenestene som mottas, hvilken periode rapporten dekker og resultatet av revisors kontrollhandlinger.

Selskapet bør ha etablert prosedyrer og retningslinjer for å vurdere innholdet i rapporten og for hvordan eventuelle avvik skal følges opp mot leverandø­ren. I vurderingen av rapporten må selskapet være oppmerksom på at det er serviceorganisasjonen selv som fastsetter rapportens innholdsmessige rekkevidde og de kontrollmålsettingene og kontrollaktivitetene som skal vurderes av serviceorganisasjonens revisor. Serviceorganisasjonens revisor gir normalt sett kun en uttalelse vedrø­rende de angitte kontrollmå­lene i rapporten. Det kan så­ledes oppstå situasjoner hvor relevante kontrollmål ikke er gjenstand for vurdering, da disse ikke er definert inn som en del av rapporten av serviceorganisasjonen. En mottaker av rapporten må derfor identifisere eventuelle områ­der og kontrollmål som ikke er inkludert i rapporten og som kan være relevante for selskapet.