Organisatiestructuur en internecontrolesysteem

Regelgevend kader

  1. Solvabiliteit II-wet: Art. 42, § 1, 2° (administratieve en boekhoudkundige organisatie en interne controle) en 10° (rapporteringssysteem), art. 61 (hoofdbestuur), art. 76 (bewaring van documenten) en art. 199 (periodieke informatieverstrekking en boekhoudregels)
  2. Gedelegeerde Verordening 2015/35: Art. 258, lid 1, b) (organisatiestructuur), k) (rapporteringslijnen), f) (procedures) en g) (toewijzing van de taken)
  3. Onderliggende thematische NBB-circulaires: zie het onderdeel "interne controle" van het Reglement van 19 mei 2015 en van Circulaire NBB_2015_21 over de interneauditfunctie
  4. EIOPA-richtsnoeren: richtsnoeren 2, 5, 38 en 39

De vereiste voor verzekeringsondernemingen om te beschikken over een solide en passende regeling voor de bedrijfsorganisatie teneinde een doeltreffend en voorzichtig beleid te garanderen, wordt nader toegelicht in verschillende bepalingen van de Solvabiliteit II-wet en van Gedelegeerde Verordening 2015/35.  Er wordt ook van de verzekeringsondernemingen verwacht dat zij bovendien de onderstaande specifieke elementen voor de verzekeringssector naleven.

4.1. Organisatorische en operationele structuur

De verzekeringsonderneming beschikt over een organisatorische en operationele structuur die gericht is op het ondersteunen van haar strategische doelstellingen en activiteiten. Wanneer er zich veranderingen voordoen in de strategische doelstellingen of activiteiten van de onderneming of in het voor de onderneming relevante ondernemingsklimaat, kunnen dergelijke structuren binnen een redelijke termijn aan die veranderingen worden aangepast.

4.1.1. Toewijzing en scheiding van taken en verantwoordelijkheden

De verzekeringsonderneming ziet erop toe dat de taken en verantwoordelijkheden worden toegewezen, gescheiden en gecoördineerd overeenkomstig het beleid van de onderneming en dat deze tot uitdrukking komen in de omschrijvingen van taken en verantwoordelijkheden. De onderneming zorgt ervoor dat alle belangrijke taken worden gedekt, dat onnodige overlappingen worden vermeden en dat de rapporteringslijnen duidelijk bepaald zijn (met name in een organogram). Effectieve samenwerking tussen medewerkers wordt bevorderd.

4.1.2. Administratieve en boekhoudkundige organisatie en financiële rapportering

De verzekeringsonderneming beschikt over een passende administratieve en boekhoudkundige organisatie en interne controle, waaronder met name een controlesysteem dat een redelijke mate van zekerheid verschaft over de betrouwbaarheid van het financiëleverslaggevingsproces.  Onder toezicht van de raad van bestuur neemt het directiecomité de nodige maatregelen opdat de onderneming over een betrouwbare financiële en prudentiële verslaggeving beschikt.  Dit financiële rapporteringssysteem moet het mogelijk maken te voldoen aan de informatieverzoeken van de Bank, met name op grond van de artikelen 201 en 312 van de Solvabiliteit II-wet.

4.1.3. Uitvoeringsbeleidslijnen, -procedures en -processen

De verzekeringsonderneming moet een reeks doeltreffende uitvoeringsbeleidslijnen, -procedures en -processen uitwerken die evenredig zijn met de risico’s.

In de beleidslijnen worden de grondbeginselen vastgelegd die bij de activiteiten van de verzekeringsonderneming in acht moeten worden genomen. Deze beginselen worden vervolgens vertaald in gedetailleerde uitvoeringsprocedures en -processen (zoals IT-tools).

De onderneming brengt alle in het kader van het governancesysteem vereiste beleidslijnen[1] zowel onderling als met de ondernemingsstrategie in overeenstemming. In elke beleidslijn wordt een duidelijke omschrijving gegeven van ten minste:

  1. de nagestreefde doelstellingen;
  2. de taken die moeten worden uitgevoerd en de persoon of functie die daarvoor verantwoordelijk is;
  3. de rapporteringsprocessen en -procedures die moeten worden toegepast;
  4. de verplichting van de betrokken organisatorische eenheden om de risicobeheerfunctie, de compliancefunctie, de interneauditfunctie en de actuariële functie in kennis te stellen van alle relevante feiten die nodig zijn voor de uitvoering van hun taken.

Op prudentieel vlak verwacht de Bank dat de ondernemingen de volgende beleidslijnen uitwerken en die op eerste verzoek van haar diensten aan haar kunnen bezorgen:

Beleidslijnen die op eerste verzoek ter beschikking van de Bank moeten worden gesteld

Wettelijke basis voor de verplichting tot uitwerking van de beleidslijn

Beleidslijnen inzake risicobeheer

Beleid inzake risicobereidheid

Art. 259 van Gedelegeerde Verordening 2015/35

Algemeen risicobeheerbeleid

Art. 259 van Gedelegeerde Verordening 2015/35

Beleid met betrekking tot het beheer van het verzekeringstechnisch risico en het reserveringsrisico

Art. 260 van Gedelegeerde Verordening 2015/35

Beleid inzake het beheer van activa en passiva (asset-liability management of ALM)

Art. 260 van Gedelegeerde Verordening 2015/35

Beleid inzake het beheer van het beleggingsrisico

Art. 260 van Gedelegeerde Verordening 2015/35

Beleid inzake het beheer van het liquiditeitsrisico

Art. 260 van Gedelegeerde Verordening 2015/35

Beleid inzake het beheer van het concentratierisico

Art. 260 van Gedelegeerde Verordening 2015/35

Beleid inzake het beheer van het operationeel risico

Art. 260 van Gedelegeerde Verordening 2015/35

Herverzekeringsbeleid

Art. 260 van Gedelegeerde Verordening 2015/35

Beleid inzake hypothecair krediet (in voorkomend geval)

Art. 261 van Gedelegeerde Verordening 2015/35

Beleid inzake de waardering van activa en passiva

Art. 267, punt 2 van Gedelegeerde Verordening 2015/35

Beleid inzake winstdeling

Artikel 59, § 1, 10°, van de Solvabiliteit II-wet

ORSA-beleid

Art. 91, § 2 van de Solvabiliteit II-wet

Beleid inzake het beheer van het kapitaal

Art. 262 van Gedelegeerde Verordening 2015/35

Beleid inzake de rapportering aan de NBB

Art. 77, § 7, van de Solvabiliteit II-wet

 

 

Beleidslijnen inzake governance sensu stricto

Fit & proper-beleid

Art. 273 van Gedelegeerde Verordening 2015/35

Beloningsbeleid

Art. 42, § 1, 6° van de Solvabiliteit II-wet en art. 275 van Gedelegeerde Verordening 2015/35

Interne regels inzake externe functies

Art. 83, § 3 van de Solvabiliteit II-wet

Uitbestedingsbeleid

Art. 274 van Gedelegeerde Verordening 2015/35

Continuïteitsbeleid

Art. 258, punt 3 van Gedelegeerde Verordening 2015/35

Integriteitsbeleid dat minstens de volgende onderwerpen omvat: (i) Doelstellingen en ondernemingswaarden (ii) Voorkoming van het witwassen van geld en de financiering van terrorisme, (iii) Whistleblowing / interne waarschuwingen en (iv) Belangenconflicten

Art. 42, § 1, 5°, 8° en 44 van de Solvabiliteit II-wet en art. 258, punt 5 van Gedelegeerde Verordening 2015/35

 

 

Charters van de onafhankelijke controlefuncties

Risicobeheercharter

Artikel 54, § 1, tweede lid van de Solvabiliteit II-wet

Charter van de actuariële functie

Artikel 54, § 1, tweede lid van de Solvabiliteit II-wet

Interneauditcharter

Artikel 54, § 1, tweede lid van de Solvabiliteit II-wet

Compliancecharter

Artikel 54, § 1, tweede lid van de Solvabiliteit II-wet

[1] Onder “vereiste beleidslijnen” dienen alle beleidslijnen te worden verstaan die krachtens de Solvabiliteit II-wet moeten worden opgesteld, ongeacht of ze betrekking hebben op aspecten in verband met risicobeheer (bv. het algemeen risicobeheerbeleid en de beleidslijnen met betrekking tot het beheer van het verzekeringstechnisch risico en het reserveringsrisico, het beheer van activa en passiva, het beleggingsrisico, het liquiditeitsrisico, het concentratierisico, het operationeel risico, herverzekering, hypothecair krediet, waardering van de activa en passiva en ORSA) of op aspecten in verband met governance sensu stricto (bv.: het “fit & proper”-beleid, het uitbestedingsbeleid, het beloningsbeleid, interne regels inzake externe functies, integriteitsbeleid, klokkenluidersregeling, continuïteit, beheer van belangenconflicten).

4.2. Internecontrolesysteem

4.2.1. Internecontroleomgeving

De onderneming benadrukt het belang van de uitvoering van adequate interne controles door ervoor te zorgen dat alle medewerkers zich bewust zijn van hun rol binnen het internecontrolesysteem. De controleactiviteiten moeten zijn afgestemd op de risico's die voortvloeien uit de te controleren activiteiten en processen.

4.2.2. Monitoring en rapportering

Binnen het internecontrolesysteem zijn monitorings- en rapporteringsmechanismen opgericht die de raad van bestuur en het directiecomité voorzien van alle relevante informatie voor het besluitvormingsproces.

4.2.3. Internecontrolemechanismen

De onderneming past een internecontrolesysteem toe dat alle activiteiten van de onderneming bestrijkt.  Dit systeem bestaat uit mechanismen voor de periodieke en permanente controle van alle werknemers van de onderneming. 

4.3. Hoofdbestuur in België

De Solvabiliteit II-wet stelt als vergunningsvoorwaarde dat de verzekeringsondernemingen naar Belgisch recht hun hoofdbestuur in België dienen te hebben, d.w.z. in dezelfde lidstaat als hun statutaire zetel.   Deze wettelijke verplichting vloeit voort uit de Europese Richtlijn 95/26/EG van 29 juni 1995, de zogenoemde "BCCI-richtlijn".

Het begrip "hoofdbestuur" moet worden opgevat in de zin van artikel 48 van het EG-verdrag en slaat dus op het begrip "werkelijke zetel", namelijk de plaats waar de voornaamste beslissingen van de vennootschap worden genomen en waar de bedrijfsvoering van de vennootschap effectief plaatsheeft. Het gaat hierbij om de administratieve hoofdvestiging en niet om de belangrijkste bedrijfszetel. Onder "hoofdbestuur" wordt dus verstaan de plaats van waar de vennootschap wordt bestuurd en waar haar organen bijeenkomen.

Het staat vast dat de middelen die tegenwoordig worden aangewend voor de besluitvorming op afstand, de afbakening van het begrip "hoofdbestuur" bemoeilijken. Om te kunnen concluderen dat het "zenuwcentrum" van de bedrijfsvoering van een onderneming met een grensoverschrijdende organisatie zich in België bevindt en dat de onderneming in kwestie dus voldoet aan de wettelijke voorwaarde om een hoofdbestuur in België te hebben, wordt ten minste aanbevolen dat:

  1. alle verantwoordelijken voor de onafhankelijke controlefuncties in het personeelsregister (payroll) van de verzekeringsonderneming naar Belgisch recht zijn opgenomen;
  2. de meerderheid van de vergaderingen van de raad van bestuur en het directiecomité op Belgisch grondgebied plaatshebben en
  3. de leden van het directiecomité voldoende beschikbaar zijn in België.

4.4. Bewaring van de documenten

De Solvabiliteit II-wet (artikel 76) bepaalt dat verzekeringsondernemingen documenten in verband met hun activiteiten op hun maatschappelijke zetel moeten bewaren.  Rekening houdend met de recente technologische ontwikkelingen en het feit dat informatie over verzekerings- of herverzekeringsactiviteiten thans zeer regelmatig wordt bewaard in datacenters of op gelijkwaardige beveiligde IT-dragers (zoals "clouds"), is de Bank van mening, na overleg met de FSMA, dat een dergelijk systeem als gelijkwaardig aan de bewaring van documenten op het hoofdkantoor kan worden beschouwd indien het aan de volgende vier voorwaarden voldoet:  

  1. de verzekeringsondernemingen hebben permanent toegang tot de documenten die in datacenters of op gelijkwaardige beveiligde IT-dragers worden bewaard;
  2. de verzekeringsondernemingen kunnen snel, dat wil zeggen in principe binnen twee werkdagen na het verzoek, een volledig en passend antwoord geven op de verzoeken van de Belgische toezichthoudende of gerechtelijke autoriteiten;
  3. de verzekeringsondernemingen behouden de controle over belangrijke beslissingen met betrekking tot deze datacenters of gelijkwaardige beveiligde IT-dragers; de controle over belangrijke beslissingen behouden, betekent dat de verzekeringsonderneming voorafgaandelijk in kennis moet worden gesteld van belangrijke wijzigingen en de mogelijkheid moet hebben om de overeenkomst te beëindigen en de gegevens naar een ander systeem over te dragen voordat de wijzigingen worden ingevoerd, als ze deze niet aanvaardt;
  4. de betrokken datacenters of gelijkwaardige beveiligde IT-dragers waarborgen de vertrouwelijkheid, de integriteit en de beschikbaarheid van de overgedragen informatie en voldoen
    1. aan de vereisten van de Bank inzake de beveiliging van het IT-systeem (zie circulaire 2015_32 voor systeemrelevante ondernemingen);
    2. aan de vereisten van de Bank inzake de continuïteit van het IT-systeem (zie circulaire 2015_32 voor systeemrelevante ondernemingen);
    3. in voorkomend geval aan de vereisten van de Bank inzake uitbesteding.

Indien de gegevens (volledig of gedeeltelijk) op papier worden bewaard, gelden de volgende voorwaarden:

  1. De twee partijen moeten een overeenkomst sluiten om de bewaring van de documenten en de bijhorende rechten en plichten te regelen;
  2. Documenten die betrekking hebben op dezelfde activiteitenportefeuille moeten op dezelfde plaats worden bewaard, waarbij erop toegezien moet worden dat alle nodige beschermingsmaatregelen zijn getroffen (bv. plaats beschermd tegen brand;
  3. De bewaarplaats(en) moet(en) toegankelijk zijn voor de FSMA en de NBB;
  4. Indien niet alle documenten op IT-dragers worden bewaard, moet(en) de bewaarplaats(en) zich in België bevinden; en
  5. De beveiligings- en continuïteitsmaatregelen moeten aan een periodieke controle worden onderworpen.