Redegørelse om funktionsinspektion af IT-risikostyring i Pensionskassen for Sundhedsfaglige

11-07-2023

Finanstilsynet var i februar 2023 på funktionsinspektion i Pensionskassen for Sundhedsfaglige (herefter virksomheden eller Pensionskassen for Sundhedsfaglige). Inspektionen omhandlede virksomhedens IT-risikostyring. Undersøgelsen tog udgangspunkt i virksomhedens indsendte materiale og rapporteringer til Finanstilsynet.

Pensionskassen for Sundhedsfaglige har ca. 71.000 medlemmer. Virksomheden er en del af administrationsfællesskabet i PKA A/S. Virksomheden benytter omfattende outsourcing, herunder outsourcing af IT-området, til Forca.

Virksomhedens forretningsmodel indebærer omfattende anvendelse af IT, hvilket medfører en række IT-risici. 

Virksomhedens IT-ansvarlige i 1. forsvarslinje er selskabets IT-ansvarlige. Herudover har virksomheden etableret en risikostyringsfunktion, som er forankret i risikostyringsafdelingen og placeret i 2. forsvarslinje

IT-risikostyring
Generelt vurderer Finanstilsynet, at IT-risici er et væsentligt risikoområde for Pensionskassen for Sundhedsfaglige. Bestyrelsen skal derfor fastsætte, hvilke og hvor store IT-risici virksomheden må påtage sig samt aktivt tage stilling til strategiske mål for IT-risici.

Samlet set vurderer Finanstilsynet, at der er en risiko for, at virksomheden påtager sig IT-risici, som ikke er i overensstemmelse med bestyrelsens risikoappetit.

Finanstilsynet konstaterede, at bestyrelsen ikke har fastsat tilstrækkelige risikotolerancegrænser for IT-risici. Finanstilsynet har derfor påbudt virksomheden at sikre, at bestyrelsen fastsætter, hvilke og hvor store IT-risici virksomheden må påtage sig, og specificerer risikotolerancegrænser for IT-risici, som udgør kontrollerbare grænser for størrelsen af acceptable IT-risici.

Bestyrelsen havde ikke fastsat en klar metode for IT-risikostyring. Det er bestyrelsens opgave at angive principperne for opgørelse og måling af risici. Virksomheden er derfor blevet påbudt at fastsætte principper for opgørelse og måling af IT-risici. 

Finanstilsynet vurderer, at det ikke er dokumenteret, at virksomhedens risikostyringsfunktion i tilstrækkelig grad inddrager og vurderer IT-risici. Risikostyringsfunktionen har en vigtig opgave i at understøtte risikostyringssystemet ved bl.a. at sikre, at alle væsentlige risici bliver identificeret, målt, overvåget, styret og rapporteret korrekt. Finanstilsynet har derfor påbudt selskabet at sikre, at risikostyringsfunktionen inddrager og vurderer IT-risikostyring i funktionens opgavevaretagelse og rapportering.

Senest opdateret 11-07-2023