Varma

Riskhantering

Riskhantering som en del av den interna kontrollen

Intern kontroll är en process med vilken man vill försäkra sig om att

 • fastställda mål och syften uppnås
 • resurserna används på ett ekonomiskt och effektivt sätt
 • riskerna i anslutning till verksamheten är under tillräcklig kontroll
 • företagsledningen har tillgång till tillförlitlig och korrekt ekonomisk och annan information
 • lagar, föreskrifter och anvisningar följs
 • administrativa beslut, interna planer, regler och tillvägagångssätt följs
 • verksamheten, uppgifterna och tillgångarna är tryggade samt att
 • det finns tillräckliga och ändamålsenligt organiserade manuella och datatekniska system till stöd för verksamheten.

Med riskhantering, som utgör en del av den interna kontrollen, avses att identifiera, bedöma, begränsa och övervaka risker som orsakas av och har ett väsentligt samband med affärsverksamheten. Genom den interna kontrollen strävar bolagets ledning efter att säkerställa en effektiv, ekonomiskt lönsam och tillförlitlig verksamhet.

Varma leds med yrkeskunskap enligt sunda och försiktiga affärsprinciper. För sina centrala funktioner har bolaget skriftligt definierade koncept samt kvantitativa och kvalitativa mål. Varmas riskhantering organiseras med beaktande av styrelsens beslut om den interna kontrollens innehåll och organisering, genomförandet av dess delområden och principer samt de gemensamma riktlinjerna för den interna kontrollen inom koncernen.

Styrelsen har en arbetsordning med definitioner av styrelsens viktigaste uppgifter och verksamhetsprinciper. Som ett led i bolagets interna kontroll behandlar styrelsen bl.a. bolagets strategi, riktlinjer för utvecklandet av organisationen och ledningen, risker, ekonomiska rap-portering, ekonomiska planer (budgeter), placeringsverksamheten, pensionsförsäkrings-verksamheten, verksamhetsplanerna och centrala utvecklingsprojekt.

Organiseringen av riskhanteringen samt ansvar, övervakning och rapportering

Förvaltningsrådet har till uppgift att övervaka Varmas förvaltning, som sköts av styrelsen och verkställande direktören.

Styrelsen godkänner årligen en riskhanteringsplan och beredskapsplan som omfattar verk-samheten i dess helhet, samt bedömer huruvida den interna kontrollen är ändamålsenligt ordnad i bolaget. Styrelsens revisionsutskott övervakar den ekonomiska och övriga rapporteringen samt den interna kontrollens tillstånd bl.a. genom att följa upp hur det interna och externa revisionsarbetet framskrider samt genom att gå igenom olika övervakningsrapporter. Verkställande direktören övervakar bolagets risker med iakttagande av principerna i den av styrelsen fastställda riskhanterings-, placerings- och beredskapsplanen.

Ledningsgruppen följer bolagets interna kontroll och riskhantering samt upprätthåller och utvecklar principerna för riskhantering och beredskapsplanering.

Styrelsen får en gång per kvartal en rapport över riskerna.

Bolagets revisor och direktören för intern revision deltar i revisionsutskottets möten.

Cheferna svarar inom sitt respektive ansvarsområde för organiseringen av den interna kontrollen, riskhanteringen, den juridiska compliance-verksamheten samt god förvaltning, varvid den interna kontrollen utgör en del av den normala verksamheten. De planer och principer som godkänts av styrelsen kompletteras av mer detaljerade affärssfunktionsspecifika planer och anvisningar. Varje funktion är ansvarig för att fastställa gränserna för risktagningen och vilka mätare som ska tillämpas samt att övervaka dessa. Varje funktion svarar för genomförandet av verksamhetsplanen och budgetutfallet, verksamhetens effektivitet, övervakningen av utlokaliserade funktioner samt beredskapen i störningssituationer. IT-avdelningen är sakkunnig i fråga om utvecklingen och underhållet av systemen på affärsfunktionens ansvar, projekthanteringen, infrastrukturen samt riskhanteringen. Alla mål, ansvar och metoder för administrationen av datasäkerheten har fastställts i en av IT-ledningsgruppen godkänd dataskyddspolicy. IT-avdelningen har en egen återhämtningsplan i anslutning till datatekniska störningar.

Den funktion som bereder och verkställer placeringsbesluten (placeringsfunktionen) och den funktion som svarar för övervakningen och rapporteringen (ekonomiförvaltningen och aktuariefunktionen) är separerade från varandra. Placeringsfunktionens beslutsbefogenheter och placeringarnas olika maximigränser anges som separata riskgränser i placeringsplanen. Riskövervakningen, som är oavhängig av placeringsverksamheten, står för en placeringsriskövervakning av limittyp i enlighet med de gränser som fastställts av styrelsen inklusive finansierings- och riskteoretisk bedömning av placeringsriskerna samt resultatrapportering. Ekonomiförvaltningen deltar i genomgången av ändringar i placeringsplanen och processen för ibruktagning av nya placeringsprodukter och kontrollerar huvudsakligen genom stickprov solvensklassificeringen och prissättningen av instrument.

Ekonomidirektören ansvarar för den oavhängiga uppföljningen av placeringspositioner och placeringsrisker. Ekonomiförvaltningen rapporterar månatligen sina iakttagelser i anslutning till placeringsriskhanteringen till styrelsen. Betydande iakttagelser rapporteras omedelbart till ledningen.

I en månatlig uppföljningsrapport, som sammanställs av chefen för placeringsriskhanteringen vid aktuariefunktionen, redogörs för placeringsriskerna och hur dessa påverkar Varmas risktolerans om de realiseras. Aktuariefunktionen ger styrelsen utredningar om Varmas risknivå i förhållande till arbetspensionssystemets risknivå.

Ansvaret för förvaltningen av placeringsbeståndet och organiseringen av den operativa riskhanteringen ligger hos placeringsledningen. Placeringsfunktionens riskhanteringsfunktion övervakar och rapporterar dagligen om hur placeringsportföljens position utvecklas i förhållande till de riskgränser som fastställts i placeringsplanen och i relation till grundallokeringen. Iakttagandet av beslutsbefogenheterna och allokeringen samt placeringsuppdragen uppföljs dagligen inom placeringsfunktionen.

Ekonomiförvaltningen samordnar identifieringen och hanteringen av affärsfunktionernas operativa risker och gör en sammanfattning av de riskkartläggningar som utarbetas vid af-färsfunktionerna. Ekonomidirektören ansvarar för övervakningen av operativa risker.

Compliance officern rapporterar till styrelsen om iakttagandet av Varmas insiderregler. För att kontrollera riskerna för oegentligheter betonas vikten av att konstant iaktta de etiska verksamhetsprinciperna, och olika kontroller tillämpas som skydd mot dessa risker. Respek-tive affärsfunktion ansvarar för hanteringen av risker för oegentligheter. Varma har separata interna regler för förhindrande av penningtvätt och terrorism.

Varma iakttar i tillämpliga delar den finska koden för bolagsstyrning.

Mål och allmänna principer för riskhanteringen

Syftet med riskhanteringen är att trygga pensionstagarnas och försäkringstagarnas rättigheter. Riskerna i anslutning till bolagets verksamhet identifieras, bedöms, begränsas och övervakas på lång sikt. Med riskhanteringen säkerställer man att riskerna, i händelse av att de realiseras, inte medför väsentliga ekonomiska förluster eller äventyrar bolagets kundservice eller övriga serviceverksamhet, verksamhetens kontinuitet, uppfyllandet av verksamhetsmålen eller det allmänna förtroendet för bolaget. I bolaget och med de instanser som bolaget samarbetar tillämpas effektiva och funktionssäkra processer.

Vid hanteringen av riskerna betonas bland annat omsorgsfull beredning av beslut, anlitande av experter, försäkring av risker, befattningsbeskrivningar och acceptansrutiner, spridning av funktioner och uppdrag, fysiska kontroller, datasäkerhet och kontroller, utbildning av personalen, planeringsprocesser, olika reservsystem, förmedling av nödvändig information samt begränsning av konfidentiell information till personer som behöver sådan information. I och med att uppdrag, beslut och ansvar är fördelade på olika personer får ingen ensam sköta åtgärder genom hela handläggningskedjan, varvid farliga arbetskombinationer har avskilts från varandra. För transaktionerna har fastställts oavhängiga övervaknings- och acceptansmekanismer. Medarbetarna får inte delta i beredning eller beslutsfattande som gäller dem själva och den närmaste kretsen. För datasystemen har fastställts ägare från linjeorganisationen, och datasystemens funktion övervakas inom affärsfunktionerna och IT-ledningsgruppen.

Vid fastställandet av villkoren för utlokalisering beaktas Varmas ansvar över utlokaliserade funktioner när det gäller till exempel iakttagande av regler, affärsverksamhetens kontinuitet samt störningsfrihet och beredskapsplanering. Den funktion som ansvarar för de utlokaliserade uppgifterna ska beakta vikten av klara avtal och processer, övervakningen av den utlokaliserade verksamheten och de risker som utlokaliseringen medför.

Varma iakttar principerna om god försäkringssed. Försäkringstagarna behandlas lika. Af-färstransaktionerna med försäkringstagarna genomförs på marknadsvillkor. Särskild uppmärksamhet fästs vid affärstransaktioner som gäller finansiering av försäkringstagarens verksamhet, fastighetsaffärer och andra affärer samt hyreskontrakt.

Styrelsens utredning över förvaltnings- och styrningssystemet och en utredning över löner och arvoden publiceras på Varmas webbplats.

Beredskap inför störningar och exceptionella förhållanden

Arbetspensionsbolagen är enligt lag skyldiga att säkerställa att de kan sköta sina uppgifter så störningsfritt som möjligt även under exceptionella förhållanden. Enligt den nationella säkerhetsstrategin hör pensions- och värdeandelssystemen till de funktioner som måste tryggas.

Centrala hotbilder i anslutning till utbetalningen och finansieringen av pensionerna och därtill hörande exceptionella situationer är bland annat allvarliga störningar i den infrastruktur som krävs för ett nätverksbaserat verksamhetssätt, befolkningens hälsa och utkomstskydd eller samhällets ekonomiska funktionsförmåga. Eftersom pensionsskyddet handhas av många olika aktörer bygger arbetspensionssystemet i hög grad på samarbete, vilket medför större ömsesidigt beroende och ökad sårbarhet. Internationaliseringen av IT- och banktjänsterna är en utmaning för beredskapsarbetet.

Syftet med beredskapsarbetet är att trygga de kritiska funktionerna under exceptionella förhållanden och vid allvarliga störningar i normala förhållanden. Varma har som mål att även under exceptionella förhållanden eller vid hot om sådana uppfylla sina lag- och avtalsenliga skyldigheter så fullständigt och länge som möjligt. I första hand tryggas tjänsterna i anslutning till medborgarnas utkomstskydd i samarbete med de övriga aktörerna, bankerna, myndigheterna och organisationen för försörjningsberedskap.

Varma har en återhämtningsplan i anslutning till datatekniska störningar samt en beredskapsplan som godkänts av styrelsen och som kompletteras av mer detaljerade planer som tagits fram av funktionerna. Beredskapen samordnas av en beredskapsgrupp, som består av cheferna för de centrala funktionerna.

Gruppen ansvarar för utarbetandet av beredskapsplanen och dess medlemmar sörjer för utarbetandet och uppdateringen av andra planer som anknyter till störningssituationer och beredskapsplanen (bl.a. återhämtningsplan, säkerhets- och räddningsplan samt evakueringsplan) och anvisningar i anslutning till dessa samt för hanteringen av störningssituationer, beredskapsåtgärder och uppbyggandet, administreringen och testningen av reservsystem. Dessutom ansvarar beredskapsgruppen för att erfarenheter av branschspecifika övningar beaktas i bolagets verksamhet. Medlemmarna i beredskapsgruppen sörjer inom sitt eget ansvarsområde för att planera verksamheten under exceptionella förhållanden, bygga upp reservsystem och testa dessa, tillgängliggöra uppdaterade uppgifter och säkerställa förvaringen av uppgifterna.

Under exceptionella förhållanden finns betydande risker bland annat i anknytning till

 1. utbetalningen av pensioner
 2. finansieringen av pensionerna och hanteringen av likviditeten
 3. tidtabellen för ibruktagandet av nödvändiga processer vid exceptionella förhållanden
 4. bankernas system, systemen för handel med placeringar eller samhällets övriga infrastruktur
 5. arbetspensionssystemets funktion, dataförbindelserna eller samordningen inom branschen
 6. funktionen hos program eller nätverk på eget ansvar, serviceproduktionens kontinuitet
 7. motpartsrisker och avtalens giltighet i exceptionella förhållanden samt
 8. tillgången till information i början av krisen.

Varma deltar i finansbranschens verksamhetsövningar tillsammans med de övriga pens-ionsanstalterna, försäkringsbolagen, bankerna och aktörerna inom finansbranschen.

Intern revision

Den interna revisionen verkar enligt de principer som finns fastställda i yrkesstandarderna för intern revision. Intern revision innebär oberoende och objektiv utvärdering, kontroll och konsultering som utförs för att stödja uppnåendet av organisationens mål genom produktion av utvärderingar och utvecklingsförslag som gäller riskhanteringen och den övriga interna kontrollen. Den interna revisionens ställning i organisationen, uppgiftsområden, ansvar och behörighet finns fastställda i instruktionen, som har godkänts av styrelsen. Revisionsobjekten bestäms i den årliga revisionsplanen, som efter behandling i ledningsgruppen och revisionsutskottet godkänns av styrelsen. Iakttagelser vid revisionen rapporteras till bolagets ledning, revisionsutskottet och styrelsen. Den interna revisionen är placerad direkt under verkställande direktören.

Myndighetstillsyn

Varmas verksamhet regleras förutom av lagar och förordningar även av Finansinspektionens föreskrifter och anvisningar. Finansinspektionen tillställs regelbundet samt på begäran uppgifter och utredningar som myndigheten begär. Tillsynsmyndigheten utför i enlighet med sin uppgift olika granskningar bland annat i anslutning till bolagets förvaltning, solvens, placeringsverksamhet och operativa risker.