Artykuł ukazał się w Miesięczniku Ubezpieczeniowym, nr 7/8, lipiec/sierpień 2025.

Zakłady ubezpieczeń działają w silnie regulowanym otoczeniu, w którym skuteczne zarządzanie ryzykiem i kontrola wewnętrzna są kluczowe dla stabilności finansowej. Wymogi Solvency II oraz lokalne regulacje nakładają na ubezpieczycieli obowiązek posiadania adekwatnego i skutecznego systemu kontroli wewnętrznej oraz funkcji nadzorczych, takich jak zarządzanie ryzykiem, zgodność (compliance) i audyt wewnętrzny. – Gracjan Buller

Celem wprowadzania systemów kontroli wewnętrznej jest zapewnienie, że firma ubezpieczeniowa realizuje strategię w sposób ostrożny i zgodny z prawem, chroniąc interesy ubezpieczonych. Z perspektywy audytora finansowego, który na co dzień obserwuje rynek ubezpieczeniowy, widać jednak, że pomimo spełniania formalnych wymogów wiele organizacji boryka się z wyzwaniami we wdrażaniu tych zasad w codziennej praktyce. Poniżej przedstawiono kluczowe obszary, w których pojawiają się te wyzwania: zaczynając od ładu korporacyjnego, poprzez kulturę ryzyka i jakość danych, aż po outsourcing i zarządzanie incydentami.

ROLA ZARZĄDU I NADZORU W ZARZĄDZANIU RYZYKIEM

Osobiste zaangażowanie najwyższego kierownictwa spółki ma kluczowe znaczenie dla skutecznego zarządzania ryzykiem. Zarząd ubezpieczyciela, wspierany przez radę nadzorczą, powinien aktywnie uczestniczyć w wyznaczaniu apetytu na ryzyko, zatwierdzaniu strategii zarządzania ryzykiem oraz regularnym monitorowaniu kluczowych ekspozycji. Zgodnie z Zasadami Ładu Korporacyjnego KNF instytucja finansowa powinna posiadać właściwą strukturę organizacyjną z odpowiednim systemem kontroli wewnętrznej i zarządzania ryzykiem, aby realizować cele strategiczne. W praktyce najlepsze efekty przynosi zaplanowanie cyklicznych dyskusji o ryzykach na najwyższym szczeblu. Dobrym rozwiązaniem jest przygotowanie rocznego planu tematów ryzyka do omówienia na posiedzeniach zarządu i rady nadzorczej, co pozwala mieć pewność, że żadna istotna kategoria, taka jak ryzyka ubezpieczeniowe, finansowe, operacyjne czy strategiczne, nie zostanie pominięta przez dłuższy czas. Taki plan zatwierdzony przez radę zapewnia, że nadzór właścicielski ma wgląd w ryzyka na bieżąco, a nie dopiero w razie kryzysu. Aktywne zaangażowanie zarządu ma istotny wpływ na kształtowanie kultury ryzyka w całej organizacji, ponieważ pracownicy widząc, że kwestie zarządzania ryzykiem i zgodności są traktowane priorytetowo na najwyższym szczeblu, częściej przywiązują do nich wagę również na swoim poziomie.

KULTURA ORGANIZACYJNA I WŁASNOŚĆ KONTROLI

Skuteczny system kontroli wewnętrznej to nie tylko procedury i polityki, ale przede wszystkim ludzie, którzy je realizują. Jednym z częstych wyzwań jest jasne przypisanie odpowiedzialności za poszczególne mechanizmy kontrolne. Każda kluczowa kontrola powinna mieć właściciela, czyli konkretną osobę lub jednostkę organizacyjną odpowiedzialną za jej wykonywanie i monitoring. Gdy odpowiedzialność nie jest jasno przypisana do kontrolera, każdy pracownik zaangażowany zakłada, że zadanie wykona ktoś inny, co podnosi ryzyko zaniedbań. Przykładowo, kontrola zgodności danych finansowych z raportami aktuarialnymi będzie skuteczna tylko wtedy, gdy przypisany właściciel regularnie ją przeprowadza i raportuje wyniki. Dobrą praktyką jest również mierzenie skuteczności kontroli przy pomocy jasno zdefiniowanych wskaźników, takich jak odsetek błędów wykrywanych przez daną kontrolę czy czas reakcji na wykrycie nieprawidłowości. Dzięki temu zarząd i komórki ryzyka mogą ocenić, czy mechanizmy kontrolne faktycznie działają, czy wymagają usprawnień.

Ważnym elementem skutecznego systemu jest kultura otwartości na ryzyko, która opiera się na zachęcaniu pracowników do zgłaszania problemów, naruszeń i słabości systemu bez obaw o negatywne konsekwencje. Kultura bez wskazywania winnych sprzyja zgłaszaniu incydentów i usprawnianiu procesów, zanim drobne uchybienia przeistoczą się w poważne straty. Audytorzy często sprawdzają, czy pracownicy liniowi rozumieją znaczenie kontroli wewnętrznych oraz czy widzą, że kierownictwo docenia przestrzeganie ustalonych zasad. Jeżeli mechanizmy kontrolne są postrzegane wyłącznie jako narzucony odgórnie obowiązek, oderwany od realiów codziennej pracy, pojawia się pokusa ich omijania. Dlatego budowanie świadomości i zaangażowania na każdym szczeblu organizacji, od zarządu po pracowników pierwszej linii, stanowi fundament skutecznego systemu kontroli.

JAKOŚĆ DANYCH I SPÓJNOŚĆ RAPORTOWANIA

Dane stanowią fundament działania zakładu ubezpieczeń, ponieważ służą do ustalania rezerw techniczno-ubezpieczeniowych, kalkulacji składek i wyznaczania wymogów kapitałowych, a w konsekwencji kształtują ostateczny wynik finansowy towarzystwa. W dobie Solvency II firmy ubezpieczeniowe prowadzą równolegle dwie perspektywy sprawozdawcze: jedną według standardów rachunkowości oraz drugą według wymogów regulacyjnych Solvency II. Nierzadko te dwa światy danych różnią się od siebie, co rodzi ryzyko niespójności i błędnych decyzji. Dlatego tak istotne jest zapewnienie wysokiej jakości danych i ich integracji. EIOPA w swoim raporcie podkreśla, że doskonalenie jakości danych to niekończący się proces.

Jedną z najlepszych praktyk jest regularna kontrola spójności danych pomiędzy systemami finansowymi a aktuarialnymi. Raport niespójnych danych może wychwytywać różnice między zapisami księgowymi a danymi w hurtowni Solvency II, takie jak rozbieżności w wartości rezerw czy składek. Wczesne wykrycie niezgodności pozwala zapobiec raportowaniu błędnych informacji do KNF lub publikacji ich w SFCR. Ponadto dbałość o jakość danych to nie tylko realizacja obowiązków sprawozdawczych, lecz także kluczowy element zarządzania ryzykiem, ponieważ w sytuacji, gdy zarząd otrzymuje sprzeczne sygnały, podejmowanie trafnych decyzji biznesowych staje się znacznie trudniejsze.

FUNKCJA COMPLIANCE A PROCESY BIZNESOWE

Zapewnienie zgodności działania z przepisami to element ochrony reputacji i interesu klienta. Funkcja compliance w zakładzie ubezpieczeń, zgodnie z oczekiwaniami nadzorcy, powinna być niezależna od działalności operacyjnej oraz odpowiednio umocowana w strukturze. Jednym z obszarów, w których najczęściej ujawniają się luki, jest proces wdrażania nowych produktów. Obecnie za dobrą praktykę uchodzi, by każdy nowy produkt przed zatwierdzeniem przez zarząd otrzymał opinię działu compliance, obejmującą analizę zgodności OWU z prawem i ocenę ryzyk dla klienta. Włączenie compliance już na etapie projektowania pozwala uniknąć kosztownych korekt oferty lub sankcji.

OUTSOURCING I PRAWO DO AUDYTU USŁUGODAWCÓW

Coraz więcej obszarów działalności ubezpieczycieli jest zlecanych na zewnątrz (np. administracja polis, obsługa IT). Outsourcing może przynosić oszczędności, ale niesie też ryzyko utraty kontroli nad kluczowymi procesami. Każda umowa outsourcingowa powinna zawierać jasne postanowienie, które zapewnia zakładowi ubezpieczeń, jego audytorom oraz UKNF pełny dostęp do informacji i prawo przeprowadzenia kontroli u dostawcy. Z perspektywy audytora kluczowe jest, aby firma realnie korzystała z tego prawa, zwłaszcza wobec podmiotów świadczących usługi krytyczne, takie jak przetwarzanie danych czy likwidacja szkód.

ZARZĄDZANIE INCYDENTAMI I DZIAŁANIA KORYGUJĄCE

Nawet najlepszy system kontroli nie wyeliminuje w pełni błędów. Dlatego integralną częścią zarządzania ryzykiem operacyjnym jest rejestracja incydentów oraz monitorowanie działań naprawczych. Każdy incydent powinien być opisany, oceniony pod kątem skutków i mieć przypisany plan korekty. Dojrzałe organizacje posiadają komitety ryzyka operacyjnego, które regularnie przeglądają status incydentów i działań. Dzięki temu zarząd ma pewność, że problemy są rozwiązywane u źródła.

TECHNOLOGIA, KONTROLA IT I ROLA AUDYTU

Systemy informatyczne są kręgosłupem procesów zakładu ubezpieczeń, dlatego kontrola IT musi obejmować nie tylko same aplikacje, lecz także interfejsy przekazywania danych między systemami, tak aby zapewnić kompletność i spójność informacji. Regularna weryfikacja algorytmów stosowanych przy kalkulacji składek, rezerw i współczynników ryzyka pozwala upewnić się, że działają zgodnie z założeniami i pozostają odporne na nieautoryzowane modyfikacje. Wspólne testy prowadzone przez audytorów, zespół IT oraz właścicieli procesów pozwalają szybko ujawniać kontrole, które funkcjonują wyłącznie w dokumentacji i nie przynoszą realnej ochrony.

ZAKOŃCZENIE

Polski sektor ubezpieczeniowy zrobił ogromny postęp w obszarze kontroli wewnętrznej od czasu wdrożenia Solvency II, lecz wyzwania pozostają. Utrzymanie efektywnego systemu to proces ciągły, obejmujący kulturę ryzyka, jakość danych, zgodność, outsourcing i technologię. Dojrzały zakład ubezpieczeń traktuje wymogi regulacyjne nie jako biurokratyczny ciężar, lecz jako szansę na zwiększenie bezpieczeństwa i efektywności. Solidny system kontroli to fundament spokojnego, zrównoważonego rozwoju i klucz do budowania zaufania interesariuszy, które w ubezpieczeniach jest równie cenne jak kapitał.