2.2 SFCR-rapport 2025 IPH - Flipbook - Page 21
INDUSTRIPENSION HOLDING A/S
RAPPORT OM SOLVENS OG FINANSIEL SITUATION
De væsentligste ændringer i perioden
Der er i rapporteringsperioden ikke sket væsentlige ændringer i likviditetsrisikoen.
C. 5 Operationelle risici
Operationel risiko er risikoen for tab som følge
af uhensigtsmæssige eller mangelfulde interne
procedurer, menneskelige og systemmæssige
fejl, eller at eksterne begivenheder indtræffer.
Operationelle risici eksisterer som en naturlig
del af det at drive forretning og reduceres i størst
muligt omfang under hensyntagen til det dermed forbundne forventede omkostningsbidrag.
De væsentligste risici kan henføres til selskabets
it-anvendelse, herunder risikoen for cyberkriminalitet. Truslen fra cyber-kriminelle er generelt
stigende, og trusselsbilledet er konstant i bevægelse. For Industriens Pension betyder det, at
der løbende arbejdes med trussels- og risikovurderinger med henblik på at imødegå de aktuelle
trusler. Dette arbejde udmøntes i såvel tekniske
som organisatoriske tilpasninger med henblik
på at opretholde et tilstrækkeligt højt sikkerhedsniveau. På baggrund af dette arbejde er
blandt andet interne arbejdsgange blevet kvalitetssikret, og der er stadig øget overvågning af
it-infrastrukturen. Industriens Pension samarbejder desuden med eksterne eksperter i cyberforsvar med henblik på at håndtere udviklingen.
Operationelle hændelser registreres i et internt
hændelsesregister og gennemgås løbende af
den interne operationelle risikogruppe. Med udgangspunkt i dette register identificeres og
iværksættes relevante tiltag med henblik på at
reducere risikoen for gentagelse af tilsvarende
og lignende hændelser. Som led i denne proces
vurderes for hver hændelse, hvorvidt den er itrelateret og dermed omfattet af gældende krav
til håndtering af it-hændelser, herunder DORAforordningen.
DORA-forordningen om digital operationel robusthed i den finansielle sektor trådte i kraft i januar 2025. Forordningen fastsætter fælles krav
til modstandsdygtighed over for it-risici på tværs
af EU’s finansielle virksomheder med henblik på
at styrke sektoren mod cyberangreb, systemfejl
og andre digitale trusler.
Kravene i DORA til en robust ramme for it-risikostyring er forankret i hele organisationen gennem de 3 forsvarslinjer.
It-afdelingen, som udgør 1. forsvarslinje, håndterer de etablerede rammer og retningslinjer for
anvendelse af it og gælder på tværs af hele organisationen. Der er arbejdet målrettet med at
opnå overensstemmelse med DORA-forordningens krav. Arbejdet har omfattet it-risikostyring,
hændelseshåndtering, test af den digitale operationelle robusthed, styring af it-tredjepartsrisici
samt forberedelse til understøttelse af de myndighedsfastsatte processer for informationsdeling.
I løbet af 2025 er der etableret en ramme for itrisikostyring, herunder udarbejdet en forretningskonsekvensanalyse, som kortlægger forretningens afhængigheder af en velfungerende
og sikker it-understøttelse. Analysen udgør fundamentet for en årlig tværgående it-risikovurdering. Yderligere kan det fremhæves, at der er
lanceret nye processer for håndtering af it-hændelser og it-tredjeparter.
I 2. forsvarslinje er der igangsat compliance- og
risikostyringsaktiviteter og involvering af intern
revision.
C. RISIKOPROFIL
C. 6 Andre væsentlige risici
Industriens Pension har identificeret en række
strategiske risici. Strategiske risici indgår ikke i
standardmodellen. Det er holdningen, at den
økonomiske risiko ved disse hovedsageligt vedrører andre risici, som der afsættes kapital til i
standardmodellen.
Politiske og lovgivningsmæssige risici
Politiske og lovgivningsmæssige risici er risikoen for, at der gennemføres politiske eller lovgivningsmæssige tiltag, der kan påvirke Industriens Pensions forretning og/eller markedsposition negativt.
Under denne risiko hører også uklarheder i fx
den skatte- og afgiftsmæssige behandling af
pensionsudbetalinger og investeringsaktiver.
Det er væsentligt for Industriens Pension, at der
altid sker en vurdering af ændringer i lovgivningen mv. og så vidt muligt også før vedtagelsen
af lovforslag. Dette sker, dels ved at de relevante
medarbejdere altid holdes ajour i forhold til kommende lovgivning, dels ved at Industriens Pension gennem repræsentationer fx i brancheforeningen Forsikring & Pension kan forsøge at påvirke lovgiver, inden lovforslag bliver til egentlig
lovgivning.
Omdømmerisici
Omdømmerisiko er risikoen for, at dårlig eller
negativ omtale kan skade virksomhedens omdømme og dermed påvirke selskabets forretningsgrundlag eller økonomiske forhold.
Industriens Pensions omdømme kan påvirkes af
etiske og samfundsmæssige forhold, bl.a. investeringsrelaterede problemstillinger samt forhold vedrørende selskabskonstruktioner og
skatteforhold. Omdømmerisiko kan også opstå
som følge af bl.a. utilfredsstillende investeringsresultater, mangler i sagsbehandling eller kommunikation samt i forbindelse med større enkeltinvesteringer, der udvikler sig utilfredsstillende.
Tiltag til at reducere den overordnede risiko for
negativ omtale eller omdømme gennemføres på
de underliggende risici, der vurderes at ville
kunne udløse dette.
Outsourcing
Industriens Pension har udarbejdet politikker for
outsourcing af kritiske og vigtige operationelle
funktioner eller aktiviteter, der sikrer, at outsourcing ikke medfører en væsentlig forringelse af
ledelsessystemet eller en væsentlig forøgelse af
operationelle risici. Outsourcingområdet er reguleret gemmen en outsourcingspolitik for outsourcing, der ikke er omfattet af DORA-forordningen, samt en separat politik for it-tredjeparter, der understøtter kritiske eller vigtige funktioner i overensstemmelse med DORA-forordningen.
Disruption
Risikoen for disruption af pensionsmarkedet inden for forretningsmodeller eller it-teknologi kan
give helt nye krav til, hvordan pensionsopsparing foretages.
Industriens Pensions forretningsmodel har en
fast defineret kundegruppe, og forretningsomfanget er aftalt mellem arbejdsmarkedets parter
i overenskomster. Disse aftaleparter ejer Industriens Pension og har derfor mulighed for at
træffe de nødvendige beslutninger, herunder at
ændre forretningsmodellen, så den opfylder nye
krav.
21