Tematisk bedömning: Risker och utvecklingsbehov har identifierats i utläggningen av den interna kontrollen i pensionsstiftelser och pensionskassor som bedriver lagstadgad arbetspensionsförsäkringsverksamhet
Finansinspektionen har gjort en bedömning av utläggningen av delområden av den interna kontrollen i pensionsstiftelser och pensionskassor som bedriver lagstadgad arbetspensionsförsäkringsverksamhet. Av den tematiska bedömningen framgår att viktiga delområden av den interna kontrollen har lagts ut i omfattande grad inom sektorn och att utläggningarna i många fall har koncentrerats till några få tjänsteleverantörer. Utläggning av verksamhet kan vara ett ändamålsenligt sätt att förvärva kompetens och organisera verksamheten effektivt, men styrelsen ska kunna försäkra sig om att också de utlagda funktionerna bildar en i praktiken väl fungerande, oberoende och tillräcklig internkontrollhelhet. Utläggning ska inte betraktas enbart som ett avtalsförhållande eller ett administrativt arrangemang, utan som en del av pensionsanstaltens företagsstyrningssystem.
Genomförande och avgränsning av den tematiska bedömningen
Syftet med den tematiska bedömningen var att undersöka hur pensionsstiftelser och pensionskassor som bedriver lagstadgad arbetspensionsförsäkringsverksamhet har organiserat den interna kontrollen när riskhanterings- eller complianceuppgifter eller verkställande direktörens uppgifter har lagts ut på entreprenad. Föremål för bedömningen var framför allt den interna kontrollens struktur, ansvar och rutiner samt praxis för uppföljning och rapportering av utläggningarna.
Bedömningen riktade sig till alla tio pensionsstiftelser och pensionskassor som bedriver lagstadgad arbetspensionsförsäkringsverksamhet. Den tematiska bedömningen granskade inte skötseln av det offentliga förvaltningsuppdraget eller utövandet av offentlig makt. Placeringsverksamheten och kapitaltäckningsfrågor lämnades likaså utanför bedömningen.
Viktiga observationer
Omfattande utläggning och leverantörskoncentrationer framhäver behovet av övervakning
Av den tematiska bedömningen framgår att den totala situationen inom sektorn präglas av en omfattande utläggning av viktiga delområden av den interna kontrollen och många fall av koncentration av utläggningarna till några få tjänsteleverantörer. I flera fall går arrangemanget ut på att samma tjänsteleverantör samtidigt tillhandahåller riskhantering, compliancetjänster och viktiga operativa tjänster. I vissa fall hade också flera viktiga roller för kontrollen koncentrerats till samma ansvarspersoner. Detta framhäver riskerna för intressekonflikter samt koncentrations-, nyckelpersons- och kontinuitetsriskerna samt styrelsens skyldighet att försäkra sig om att den utlagda helheten i praktiken utgör en tillräcklig och oberoende internkontrollstruktur.
Dokumentationen över hanteringen av utläggningarna motsvarar inte alltid utläggningarnas stora betydelse
Hos flera pensionsanstalter utgör dokumentationen över utläggningarna inte en tillräckligt strukturerad och identifierbar helhet. Endast få pensionsanstalter har upprättat särskilda riktlinjer för utläggning av verksamhet eller på ett tydligt och heltäckande sätt beskrivit utläggningsprocessen.
Bristerna i dokumentationen är inte endast ett formellt problem, utan de försvagar möjligheterna för pensionsanstalten att styra, övervaka och bedöma de utlagda funktionerna. Då principerna och processerna för utläggning av verksamhet inte bildar en strukturerad och identifierbar helhet, är det svårt för den operativa ledningen och compliance- och riskhanteringsfunktionerna att i praktiken tillräckligt styra och övervaka de utlagda funktionerna på ett ändamålsenligt sätt. Då försvagas styrelsens förutsättningar att bilda sig en välgrundad helhetsuppfattning om huruvida den interna kontrollen och riskhanteringen är ändamålsenligt organiserad också i de utlagda funktionerna.
Övervakning av utläggningarna förutsätter styrelsens aktiva roll
I flera pensionsanstalter har styrelsen formella ramverk för uppföljning av de utlagda funktionerna, och ingen enskild handlingsmodell som tydligt strider mot regelverket identifierades i den tematiska bedömningen. Det handlar framför allt om strukturella riskfaktorer, vilkas betydelse accentueras när styrelsens uppföljning huvudsakligen beror på de utlagda funktionernas egen rapportering. Av svaren framgår dessutom att säkerställandet av den interna kontrollens oberoende ofta är beroende av avtal, tjänstebeskrivningar och andra formella arrangemang, medan praktiska skyddsåtgärder saknas.
Styrelsens roll som säkerställare av den interna kontrollen framhävs när den operativa verksamheten och den interna kontrollen har lagts ut på samma aktör och en intern revision saknas. I den tematiska bedömningen kunde inte säkerställas att styrelserna i praktiken övervakar de utlagda funktionerna på det sätt som riskerna med strukturen för de utlagda funktionerna förutsätter.
Krav enligt lagstiftningen och Finansinspektionens förväntningar på pensionsanstalterna
En pensionsanstalt ska ha en tillräcklig intern kontroll med tanke på arten och omfattningen av dess verksamhet och som bland annat omfattar de viktigaste funktionerna. Med beaktande av observationernas stora betydelse och breda förekomst förutsätter Finansinspektionen därför att pensionsstiftelserna och pensionskassorna hänskjuter observationerna i den tematiska bedömningen och nedan presenterade krav enligt lagstiftningen till styrelsen för behandling och bedömer deras betydelse för sin egen struktur för utlagda funktioner och för sin förvaltningsmodell och riskprofil.
Riktlinjer och utläggningsprocess
- Rekommenderad god praxis för pensionsanstalterna är att de vidareutvecklar sin dokumentation åtminstone så att de utlagda funktionerna och övervakningen av dem bildar en tydlig helhet och att dokumentationen också innehåller en beskrivning av utläggningsprocessen inklusive hanteringen av och livscykeln för processen.
- Riskanalyserna av utläggningarna bör också ges till kännedom för det organ som beslutar om utläggningen innan beslut om utläggningen fattas, eller när ett sådant beslut ändras till väsentliga delar eller förnyas.
Styrelsens verksamhet
- Styrelsen ska minst årligen bedöma om den interna kontrollen är ändamålsenligt organiserad också i fråga om de utlagda funktionerna.
- Rekommenderad god praxis vid bedömningen skulle vara att styrelsen utöver riktlinjer och avtalsvillkor också tar hänsyn till den verksamhet som faktiskt bedrivits av de utlagda funktionerna, tjänsteleverantörens rapportering och pensionsanstaltens egen uppföljning och kontroll av att övervakningen fungerar.
Compliance
- Compliancefunktionen ska också övervaka de utlagda funktionerna.
- Rekommenderad god praxis för compliancefunktionen är att den har en regelbunden möjlighet att föra diskussioner med styrelsen utan den operativa ledningens närvaro.
Riskhantering
- Pensionsanstalterna ska identifiera och bedöma sådana risker i samband med utläggningen av viktiga internkontrollfunktioner som är väsentliga med tanke på arten och omfattningen av verksamheten.
- Som god praxis kan betraktas att rapporteringen från den utlagda riskhanteringen är tillräckligt regelbunden i förhållande till arten och omfattningen av pensionsanstaltens verksamhet samt strukturen för de utlagda funktionerna. Enligt Finansinspektionens bedömning är rapportering endast en gång om året i princip inte tillräcklig.
- Rapporteringen från den utlagda riskhanteringen bör utöver rapportering av investerings- och kapitaltäckningsrisker också i bredare utsträckning än tidigare omfatta rapportering av operativa risker, avvikelser i de utlagda tjänsterna, tjänsteleverantörernas fel och risker med leverantörskoncentrationer. Genom sådan god praxis säkerställs styrelsens möjligheter att uppfylla sin egen övervakningsskyldighet på ett ändamålsenligt sätt.
Intern revision
- Pensionsanstalterna bör som god praxis bedöma behovet av kontroll av den interna revisionen eller en annan oberoende instans i förhållande till sin struktur för utlagda funktioner. Bedömningen bör fånga upp situationer där interna kontrollfunktioner och operativa tjänster har lagts ut i omfattande utsträckning eller koncentrerats till samma tjänsteleverantör.
Fortsatta åtgärder
Finansinspektionen skickar individuella observationer om den tematiska bedömningen till de deltagande pensionsanstalterna. Finansinspektionen följer upp genomförandet av de korrigerande åtgärder som observationerna gett anledning till och utnyttjar observationerna i den tematiska bedömningen för inriktning av den riskbaserade tillsynen.
Närmare upplysningar lämnas av
Mikko Myllymäki, senior specialist, mikko.myllymaki(at)fiva.fi
Motsvarande tillsynsmeddelande på finska publicerades den 25 juni 2026.