Tillsynsmeddelande 11.4.2024 – 23/2024

Pensionsstiftelser och -kassor som bedriver lagstadgad pensionsförsäkring ska ha fastställda verksamhetsprinciper för riskhantering och intern kontroll

Finansinspektionen har kartlagt verksamhetsprinciperna för riskhantering och intern kontroll i pensionsstiftelser och -kassor som bedriver lagstadgad pensionsförsäkring. Kartläggningen gjordes utifrån de dokument som upprättats om verksamhetsprinciperna. Kravet på dokumentation grundar sig på Finansinspektionens föreskrifter och anvisningar 11/2021.

Aktörerna har i huvudsak ändamålsenliga verksamhetsprinciper, men det finns också saker som behöver utvecklas. Styrelsen i varje pensionsstiftelse och -kassa bör ännu säkerställa de nödvändiga utvecklingsåtgärder som gäller dem.

Enstaka brister i fastställandet av verksamhetsprinciperna

Resultatet av kartläggningen visar att aktörerna i huvudsak har fastställda verksamhetsprinciper för riskhantering och intern kontroll, och att principernas innehåll uppfyller minimikraven enligt regleringen. Det observerades emellertid enstaka brister i dokumentationen och i bekräftandet av den.

Gott om dokumenterade riskhanteringsåtgärder

I kartläggningen observerades att det fanns gott om dokumenterade riskhanteringsåtgärder, vilket är positivt. Behovet av utvecklingsåtgärder observerades i identifieringen och dokumenteringen av andra delområden inom riskhanteringen för risker som identifierats som betydande. För de mest betydande riskerna hade det till exempel inte fastställts mätare, gränser för risktagningen eller ansvar. Även i fråga om operativa risker överlag saknade aktörerna mätare, och flera hade inte fastställt gränser för risktagning gällande dem.

Variation i dokumenteringen av verksamhetsprinciperna för intern kontroll

Vissa aktörer saknade helt verksamhetsprinciper för intern kontroll. Dessutom varierade princi­pernas innehåll och dokumentationssätt. Hos vissa framhävdes compliance-funktionens roll i den interna kontrollen. Den mest omfattande beskrivningen i principerna för intern kontroll gällde den interna kontrollens olika försvarslinjer och deras inbördes kopplingar, vilka ger en logisk bild av hela den interna kontrollen.

Enhetligheten i verksamhetsprincipernas struktur visar både styrkor och rum för förbättringar

Både vad gäller riskhanteringen och intern kontroll kunde man se en klar enhetlighet i den struktur enligt vilken verksamhetsprinciperna dokumenterats. Som den enhetliga strukturens styrka kan man betrakta att de faktorer som aktörerna valt att ta med i strukturen presenteras täckande och på ett jämförbart sätt i principerna. Vad gäller en enskild aktör är det emellertid viktigt att observera att det utöver den grundläggande strukturen är viktigt att identifiera och dokumentera de faktorer som är betydelsefulla uttryckligen för aktören i fråga. På så sätt ger verksamhetsprinciperna en täckande bild av riskhanteringen och den interna kontrollen i sin helhet och även faktisk nytta i aktörens verksamhet.

Finansinspektionen påminner om att verksamhetsprinciperna för riskhantering och intern kontroll ska vara skriftliga och godkända av styrelsen. Därtill ska verksamhetsprinciperna regelbundet fastställas eller ses över. Finansinspektionen förutsätter att meddelade föreskrifter iakttas i dokumenteringen av verksam­hets­principerna både för riskhantering och intern kontroll. Aktörerna kommer att kontaktas beträffande de observationer som gjordes vid kartlägg­ningen såväl i fråga om dokumentationen som utvecklingsobjekten.

Närmare upplysningar lämnas av

  • Jyrki Rasi, Tillsynschef, tfn 09 183 5210 eller jyrki.rasi(at)fiva.fi
  • Tiina Laine, tillsynschef, tfn 09 183 5211 eller tiina.laine(at)fiva.fi