Kartlegging av internrevisjonsfunksjonen i forsikringsforetak

1. Innledning

Det er et krav at finansforetak har internrevisjon. Internrevisjonen skal kontrollere at foretaket er organisert og drives på en forsvarlig måte og i samsvar med gjeldende krav til virksomheten. Finanstilsynet har gjennomført en kartlegging av forhold knyttet til internrevisjonen i norske forsikringsforetak. I brev datert 5. juni 2025 ble foretakene bedt om å oversende bl.a. opplysninger om interne og eksterne ressurser, retningslinjer, internrevisjonens risikovurderinger, planer og rapporter, protokoll fra styrebehandling av disse samt opplysninger om siste gang internrevisjonen kontrollerte systemet for styring og kontroll. Frist for å svare var 5. august 2025. Utdrag av brevet til foretakene følger i vedlegg. Ut over opplysninger om grad av utkontraktering og tilgjengelige ressurser, omfatter ikke kartleggingen opplysninger om organisering av internrevisjonsfunksjonen.

Kartleggingen omfatter nær alle norske forsikringsforetak; 10 livsforsikringsforetak og 47 skadeforsikringsforetak, herunder 11 brannkasser. Filialer av utenlandske forsikringsforetak er ikke med i kartleggingen.

Innledningsvis vil Finanstilsynet påpeke at det er styrets ansvar å organisere og fastsette retningslinjer for internrevisjonen. Internrevisjonen er et verktøy styret har for å sikre at forsikringsforetaket er forsvarlig organisert og drevet, men dette forutsetter at internrevisjonen tilføres tilstrekkelig med ressurser og kompetanse, jf. punkt 2.1 under.

I rapporten punkt 2.3 framhever vi betydningen av gode, foretaksspesifikke risikovurderinger som grunnlag for utvelgelse av revisjonsprosjekter. Finanstilsynet erfarer at et relativt stort antall prosjekter vurderes som "grønne", og at prosjektene kjennetegnes av å dekke et smalt område av virksomheten. I utgangspunktet er "grønne prosjekter" uttrykk for at revisjonsgjennomgangen av området ikke har gitt grunnlag for alvorlige påpekninger. Dette kan imidlertid også indikere at prosjektene ikke dekker forsikringsforetakets vesentligste risikoområder eller at internrevisjonsfunksjonene stiller for lave krav i vurderingene. Styret må sikre at det har god forståelse av hva internrevisjonen har testet og ikke testet i prosjektet.

Finanstilsynet har ikke noe syn på om internrevisjonsfunksjonen bør utføres av foretaks-/konserninterne ressurser eller om den bør utkontrakteres. Finanstilsynet vil likevel på generelt grunnlag påpeke at det synes som at det for forsikringsforetak som benytter egen konsernrevisjon, utarbeides mer foretaksspesifikke risikovurderinger og at revisjonsprosjektene er mer tilpasset det enkelte foretaks virksomhet. Finanstilsynet vil også påpeke at det kan oppstå interessekonflikter knyttet til utkontraktering av internrevisjonsfunksjonen som det er viktig at styret har bevissthet om og jevnlig vurderer.

I avsnitt 2 er det gitt en oppsummering av resultatene av kartleggingen. I avsnitt 3 følger Finanstilsynets forventninger til forsikringsforetakenes styrer, og til gjennomføringen av internrevisjonen i forsikringsforetak.

2. Oppsummering av kartleggingen

2.1 Ressurser til internrevisjonen

Foretakene ble bedt om å gi en oversikt over antall årsverk benyttet til internrevisjonsfunksjonen i 2025, fordelt på interne årsverk og eksternt kjøpte årsverk.

Grad av utkontraktering

Mange forsikringsforetak har utkontraktert internrevisjonsfunksjonen. Totalt åtte forsikringsforetak oppgir at de benytter egen konsernrevisjon. Flere av disse oppgir at de i tillegg til konsernrevisjonen benytter ekstern konsulent.

De øvrige forsikringsforetakene har utkontraktert internrevisjonsfunksjonen. Flere konsulentselskaper utfører internrevisjonsfunksjonen for et stort antall forsikringsforetak; et konsulentforetak utfører disse tjenestene for totalt 20 forsikringsforetak.

Ressurser

Det er store variasjoner i forsikringsforetakenes ressursbruk knyttet til internrevisjon. Variasjonene er store også innenfor grupper av sammenlignbare foretak. Gruppen av større forsikringsforetak, som med vår rangering består av totalt 13 livsforsikrings- og skadeforsikringsforetak, benyttet i gjennomsnitt 2100 timer på internrevisjon i 2025. Det er en tydelig tendens at foretakene som benytter sin egen konsernrevisjon, allokerer mer ressurser til internrevisjonsfunksjonen enn de foretakene som har utkontraktert oppgavene.

Gruppen av livsforsikringsforetak benyttet i gjennomsnitt 1500 timer i 2025. I denne gruppen er det også et stort spenn, og ulik ressursbruk kan ikke bare forklares med størrelse og innretning av virksomheten.

Gruppen av skadeforsikringsforetak (utenom brannkassene), har allokert i gjennomsnitt 680 timer til internrevisjonen. Heller ikke i denne gruppen kan ulik ressursbruk bare forklares med størrelse og innretning av virksomheten.

Brannkassene benytter i gjennomsnitt 54 timer årlig til internrevisjon.

Totalt er ni sjøforsikringsforetak omfattet av kartleggingen. Dette er en svært sammensatt gruppe, og disse foretakene benytter i gjennomsnitt 300 timer på internrevisjon. Også for de større sjøforsikringsforetakene er det store variasjoner i ressursbruk.

Brannkasser og enkelte mindre sjøforsikringsforetak har et formalisert samarbeid om internrevisjon.

En rekke forsikringsforetak som utkontrakterer internrevisjonen, viser til en uttalelse om at et innleid årsverk og internt årsverk må behandles ulikt fordi et innleid årsverk vil være mer effektivt ved at utelukkende medgåtte faktiske timer til internrevisjon medregnes. Det vises videre til at foretakenes internrevisor har empirisk erfaring med at timetallet i et årsverk for utkontraktert virksomhet bør være lavere enn i en konsernrevisjon. Finanstilsynet merker seg at nesten alle forsikringsforetakene gjengir en uttalelse som må antas å komme fra egen internrevisor, uten en egen vurdering. Finanstilsynet mener styret må gjøre en egen vurdering av hva som anses som tilstrekkelige ressurser som del av den risikovurderingen utkontrakteringen krever. Internrevisoren kan ha en egeninteresse i å framstille utkontraktert virksomhet som vesentlig mer effektiv enn om foretaket hadde utført funksjonen selv.

2.2 Retningslinjer for internrevisjonen

Styret skal organisere og fastsette retningslinjer for internrevisjonen. Foretakene ble bedt om å opplyse om de har retningslinjer for internrevisjonen, og evt. hvilket tidspunkt de sist er vedtatt av styret.

I kartleggingen oppgir samtlige forsikringsforetak å ha retningslinjer for internrevisjonen. Av de 57 foretakene kartleggingen omfatter, hadde 47 foretak sist vedtatt retningslinjene i styret i 2024 eller 2025. Ett foretak hadde sist vedtatt retningslinjene i 2020, og de øvrige foretakene hadde sist styrebehandlet retningslinjene i 2022 eller 2023.

Konsulentoppdrag og uavhengighet

Kartleggingen har flere eksempler på at eksterne konsulenter som utfører internrevisjon, også bistår forsikringsforetaket med rådgivning.

Finanstilsynet viser til at internrevisor kan ha en egeninteresse i å anbefale revisjonsprosjekter som resulterer i rådgivningsoppdrag, og rådgivningsoppdragene kan også svekke internrevisjonens objektivitet og uavhengighet.

Finanstilsynet mener at endringer i vedtatte revisjonsplaner, slik som omgjøring til rådgivningsoppdrag, bør forelegges styret til beslutning. I slike tilfeller bør prosjektet fortrinnsvis erstattes av et nytt revisjonsprosjekt. En vurdering av internrevisorens uavhengighet og objektivitet bør inngå i styrets periodiske evaluering av foretakets utkontraktering av internrevisjonsfunksjonen.

2.3 Internrevisjonens risikovurderinger, planer og rapporter

Internrevisjonen skal utarbeide en revisjonsplan som legges fram for styret. Prioriteringene i planen skal være basert på risikoanalyser, hensyntatt forsikringsforetakets aktiviteter og system for styring og kontroll. Internrevisjonen skal minst årlig rapportere til styret om gjennomføring av planen samt funksjonens vurderinger og anbefalinger. Forsikringsforetakene ble bedt om å oversende internrevisjonens risikovurderinger, planer og rapporter for årene 2022 til 2025.

Om risikovurderingene

Risikovurderingene som ligger til grunn for de årlige planene for internrevisjonen har svært ulik karakter. De varierer fra forholdsvis omfattende vurderinger av risikoer knyttet til det aktuelle forsikringsforetaket, sett i lys av foretakets produkter, markedsposisjon og organisering, til helt generelle og overordnede risikovurderinger eller tabeller med stikkord.  Kartleggingen viser at forsikringsforetakene som benytter egen konsernrevisjon, i større grad har virksomhetstilpassede risikovurderinger. For forsikringsforetak som har utkontraktert internrevisjonsfunksjonen, kan risikovurderingene i noen tilfeller framstå standardiserte, slik at risikovurderingene i mindre forsikringsforetak med begrensede aktiviteter ikke er ulike risikovurderingene i større forsikringsforetak med bred virksomhet.

Internrevisjonens risikovurderinger er grunnlaget for internrevisjonens planer, dvs. planlagte prosjekter. Med foretaksspesifikke risikovurderinger som hensyntar produkter, markedsforhold og organisering, vil i neste omgang de planlagte prosjektene være bedre tilpasset foretakets aktiviteter og risikoer.

Generelle risikovurderinger kan føre til at de planlagte prosjektene framstår generelle og lite tilpasset det enkelte forsikringsforetak. Slike risikovurderinger vil heller ikke gi styret tilstrekkelig grad av sikkerhet for at vesentlige risikoer jevnlig blir revidert.

Forholdet til risikovurderingene i ORSA

I mange av risikovurderingene er ORSA ikke nevnt, og det er heller ikke enkelt å se noen sammenheng mellom vesentlige risikoer i ORSA og internrevisjonens risikovurderinger og valg av prosjekter. Det er ikke nødvendigvis slik at foretakets største risikoer i ORSA alene skal være førende for hvilke revisjonsprosjekter som velges. Finanstilsynet stiller spørsmål til om internrevisjonsplanen er tilstrekkelig risikobasert når det blir brukt færre timer på kjerneprosesser i forsikringsvirksomheten og kapitalforvaltningen, enn på smalere etterlevelsesprosjekter.

Prosjektgjengangere

Finanstilsynet har sammenlignet revisjonsplanene i konsulentforetak som har internrevisjonsfunksjonen for flere foretak.  Gjennomgangen viser at samme tema blir foreslått og gjennomført i flere forsikringsforetak over perioden 2022-2025; i noen tilfeller i over halvparten av foretakene. Typisk er dette prosjekter om gjennomføring av nytt regelverk.  Finanstilsynet legger til grunn at prosjektene har foretaksspesifikke tilpasninger.

At det kan være kostnadseffektivt å gjennomføre likeartede prosjekter i flere foretak, viser blant annet mer formalisert samarbeid mellom grupper av forholdsvis likeartede forsikringsforetak. For andre forsikringsforetak synes ikke opplysninger om at konsulentforetaket har likeartede prosjekter i flere foretak å framgå av revisjonsplanene eller under styrets behandling av internrevisjonens årsrapporter og planer.

Finanstilsynet vil påpeke at det kan være i konsulentforetakets interesse å foreslå likeartede prosjekter i flere foretak. Det er viktig at styrene ber om å få opplysninger om dette når foretaket velger ekstern leverandør av internrevisjonsfunksjonen og når styret behandler forslag til årsplaner.

Nærmere om valgte revisjonsprosjekter

Finanstilsynet ser av kartleggingen at enkelte internrevisjoner ser hen til kontroller i andrelinjen når de prioriterer mellom prosjekter i årsplanene. Finanstilsynet vil påpeke at førstelinjen har ansvar for gjennomføring av nytt regelverk, og at etterlevelsesfunksjonen og andre andrelinjefunksjoner skal påse at gjennomføringen er hensiktsmessig og forsvarlig.

Finanstilsynet erfarer også at mange internrevisjonsprosjekter får karakteren "grønn". I utgangspunktet er dette uttrykk for at revisjonsgjennomgangen av området ikke har gitt grunnlag for alvorlige påpekninger. Finanstilsynet vil imidlertid bemerke at dette også kan være en indikasjon på at prosjektene ikke treffer forsikringsforetakets viktigste risikoområder, eller at internrevisjonsfunksjonen ikke stiller høye nok krav i vurderingene.

2.4 Protokoller fra styrets behandling

Finanstilsynet ba om å få oversendt protokoller fra styrets behandling av risikovurderinger, internrevisjonsplaner og -rapporter. En gjennomgang av disse protokollene viser at det i 13 av forsikringsforetakene er gjort en eller flere endringer i revisjonsplanene som følge av styrets vurderinger i fireårsperioden. Dette gir antakeligvis ikke hele bildet, fordi det også kan ha vært gjort endringer i planene som følge av behandling i styrets risiko- og/eller revisjonsutvalg. I ett foretak hadde styret også kommentarer til risikovurderingen som lå til grunn for planen. Generelt kan dette indikere at en del styrer er lite aktive, og i liten grad er kritiske til de fremlagte risikovurderingene og internrevisjonens prioritering av prosjekter.

2.5 Siste gang revisjonen kontrollerte systemet for styring og kontroll

Foretakets system for styring og kontroll, herunder styringen av vesentlige risikoer, bør jevnlig evalueres av internrevisjonen. Finanstilsynet ba forsikringsforetakene gi opplysninger om siste gang internrevisjonen kontrollerte systemet for styring og kontroll.

Foretakene har valgt ulik tilnærming til denne problemstillingen. En del foretak har svart konkret og viser for eksempel til mer overordnede revisjonsprosjekter om styring og kontroll av kjerneprosesser, ORSA og kapitalstyring samt kontroller av hhv. første- og andrelinjekontrollen.

En del foretak svarer overordnet at kontroll med systemet for styring og kontroll gjøres årlig. Flere foretak som har utkontraktert internrevisjonen til samme konsulentforetak, har likelydende svar. I svarene gjengis konsulentforetakets metodikk, uten nærmere konkretisering. Dette gir ikke et godt grunnlag for å vurdere internrevisjonens arbeid i det enkelte foretak. Blant foretakene som har utkontraktert internrevisjonen, er det også enkelte som angir mer konkret hvordan internrevisjonens aktiviteter over tid sikrer kontroll av systemet for styring og kontroll.

Det kan synes som at foretak som benytter egen konsernrevisjon gjennomgående har en høyere bevissthet knyttet til at internrevisjonens prosjekter og aktiviteter sikrer evaluering av foretakets system for styring og kontroll.  

3. Finanstilsynets forventninger

Finanstilsynets har følgende forventninger til internrevisjonsfunksjonen og av styrets oppfølging av denne:

• Forsikringsforetak skal ha en internrevisjonsfunksjon. Det er styrets ansvar å allokere tilstrekkelige ressurser til internrevisjonen hensyntatt foretakets størrelse og kompleksitet.
• Ved vesentlige endringer i virksomheten eller omgivelsene bør det gjøres en ny vurdering av om ressursene er tilstrekkelige. Internrevisjonen skal kontrollere at foretaket er organisert og drives på en forsvarlig måte og i samsvar med kravene som stilles til virksomheten.
• Internrevisjonen skal jevnlig vurdere om systemet for styring og kontroll av foretakets vesentlige risikoer er hensiktsmessig sett i forhold til virksomhetens kompleksitet og risikonivå. I dette ligger bl.a.:
  • kontroll av om interne retningslinjer og rutiner for styring og kontroll av vesentlige risikoer etterleves
  • kontroll av etterlevelse av lovkrav
  • vurderinger av om metoder og forutsetninger for verdivurderinger er godt kvalitetssikret og dokumentert
  • vurderinger av om det er tilstrekkelig kompetanse og ressurser knyttet til de ulike risiko- og virksomhetsområder i foretaket
  • vurderinger av styret og ledelsens deltagelse i risikostyringsprosessen
• Funksjonen skal være uavhengig av foretakets første- og andrelinje og rapportere direkte til styret.
• Internrevisjonen skal utarbeide en risikobasert revisjonsplan som legges fram for styret.
  • Risikovurderingen skal være foretaksspesifikk og hensynta produkter, markedsforhold og organisering samt foretakets egenvurdering av risiko og solvens.
  • Revisjonsplanen skal være godt tilpasset foretakets aktiviteter og risikoer.
  • Vesentlige endringer og presiseringer i vedtatte revisjonsplaner bør behandles i styret.
  • Internrevisjonen skal minst årlig rapportere til styret om gjennomføring av planen og funksjonens vurderinger og anbefalinger.

Vedlegg

Utdrag fra Finanstilsynets kartleggingsbrev til forsikringsforetakene:

Finanstilsynet ønsker å kartlegge internrevisjonsfunksjonen i forsikringsforetak. Dette omfatter både organisering, ressursbruk og valg av revisjonsprosjekter, samt styrets rolle i styring av funksjonen.

Finanstilsynet ber foretaket oversende:

1.En oversikt over antall årsverk i internrevisjonsfunksjonen i 2025. Oversikten skal vise interne årsverk og eksternt kjøpte årsverk i 2025. Ett årsverk skal tilsvare 1700 timer.

2.Retningslinje for internrevisjonen, og dato den er vedtatt av styret.

3.En liste over de tre største risikoene i hver egenvurdering av risiko og solvens (ORSA) fra 2022 til 2025. Det bes om at risikoene konkretiseres.

4.Internrevisjonens risikovurderinger, IR-planer og rapporter fra 2022 til 2025.

5.Protokoller fra styrets behandling av risikovurderinger, IR-planer og rapporter.

6.Opplysninger om siste gang revisjonen kontrollerte systemet for styring og kontroll.

(…)

Finanstilsynet ber om at svaret leveres (…) senest 5. august 2025. (…)