Ein wesentlicher Pfeiler der im November verabschiedeten 9. Novelle des Versicherungsaufsichtsgesetz (VAG) sind neue Bestimmungen zum Risikomanagement in Versicherungsunternehmen. Der Gesetzgeber wollte mit der Novelle die Versicherungsaufsicht an internationale Standards für die Finanzaufsicht, insbesondere hinsichtlich des internen Risikomanagements der Unternehmen, annähern.
Nun wurde mit dem von der BaFin veröffentlichten Entwurf des Rundschreibens "MaRisk VA" den Versicherungsunternehmen und Pensionsfonds ein Rahmen für die Ausgestaltung des unternehmensinternen Risikomanagements an die Hand gegeben. Der Entwurf konkretisiert den § 64a VAG und stellt somit auf die Einrichtung angemessener unternehmensinterner Leitungs-, Steuerungs- und Kontrollprozesse ab. Mit den MaRisk VA soll die deutsche Versicherungswirtschaft rechtzeitig und angemessen auf Solvency II vorbereitet werden, so die BaFin in ihrer Begründung. Die MaRisk VA stellen nach Ansicht der BaFin einen wichtigen Eckpfeiler auf dem Weg zu einer mehr risikoorientierten und prinzipienbasierten Aufsicht dar.
Die Regelungen des Entwurfs sind grundsätzlich von allen Unternehmen umzusetzen, d. h. sowohl von Unternehmen, die zukünftig die Standardformel zur Berechnung ihrer regulatorischen Kapitalanforderungen verwenden, als auch von Unternehmen, die hierfür ein Internes Modell entwickeln wollen.
Risikomanagement ist für Vorstände nicht delegierbar
Für die Professionalisierung des Risikomanagements in der Versicherungswirtschaft ist neben den jüngsten MaRisk-Entwurf auch § 64a VAG relevant. Die neue Regelung übernimmt inhaltlich in weiten Teilen die entsprechenden Vorschriften des Kreditwesengesetzes und ermöglicht damit ein kohärentes Vorgehen der Aufsichtsbehörde im Rahmen qualitativer Aufsichtsnormen.
Mit diversen organisatorischen Anforderungen an ein angemessenes Risikomanagement folgt die Versicherungsaufsicht überdies internationalen Entwicklungen der neuen risikoorientierten Kapitalanforderungen. Zum Risikomanagement gehört nicht nur eine Risikostrategie, die sämtliche Risiken des betriebenen Geschäfts umfassend berücksichtigt, sondern auch ein organisatorischer Rahmen, mit dessen Hilfe der Geschäftsablauf effektiv überwacht und kontrolliert sowie an veränderte Rahmenbedingungen angepasst werden kann.
Außerdem sind von Versicherungsunternehmen im Rahmen ihrer ordnungsgemäßen Geschäftsorganisation interne Steuerungs- und Kontrollprozesse einzurichten, die sich zu einem konsistenten und transparenten Steuerungs- und Kontrollmechanismus zusammenfügen und damit gewährleisten, dass die Geschäftsleitung die wesentlichen Risiken kennt, denen das Versicherungsunternehmen ausgesetzt ist, diese bewerten und steuern kann und somit in der Lage ist, für eine ausreichende Ausstattung des Unternehmens mit Eigenmitteln zur Abdeckung der Risiken zu sorgen.
Die Verantwortung der Geschäftsleiter für die ordnungsgemäße Geschäftsorganisation und eine adäquates Risikomanagement wird im neuen § 64a ausdrücklich festgeschrieben. Sie ist nicht delegierbar.
Klare Risikostrategie und transparentes Risikotragfähigkeitskonzept
Der Gesetzgeber hat recht detailliert die Anforderungen an ein angemessenes Risikomanagement formuliert. Die einzelnen Elemente müssen aufeinander abgestimmt sein, um einen effektiven Umgang mit den unternehmensindividuellen Risiken zu gewährleisten. So muss die unternehmerische Zielsetzung, die sich in der Risikostrategie spiegelt, alle wesentlichen Aspekte des betriebenen Geschäftes und alle wesentlichen Risiken einbeziehen, um eine adäquate Steuerung des Unternehmens zu gewährleisten. Risikostrategie und Geschäftsstrategie müssen zueinander passen.
Das im § 64a genannte angemessene Risikotragfähigkeitskonzept gibt für jedes Unternehmen individuell insbesondere wieder, mit welchen Methoden die unternehmensinternen Kapitalziele abgeleitet werden, welche Verluste über welche Planungshorizonte das Unternehmen höchstens eingehen will, wie sich die vorhandenen Eigenmittel zur Verlustdeckung zusammensetzen und wie sich deren Auskömmlichkeit und Verzinsung aufgrund der getroffenen Steuerungsmaßnahmen beim Vergleich mit den Kapitalzielen darstellt. Das im Zusammenhang mit dem Risikotragfähigkeitskonzept festzulegende Limitsystem muss einerseits aufzeigen, wie viel Risiko die Einheiten des Unternehmens eingehen dürfen und andererseits geeignet sein, die Umsetzung des vom Unternehmen gewählten Risikotragfähigkeitskonzepts zu unterstützen.
So müssen alle wesentlichen Risiken, denen ein Versicherungsunternehmen ausgesetzt ist oder ausgesetzt sein könnte, von dem Unternehmen erkannt und einer angemessenen Behandlung zugeführt werden. Dazu hat das Unternehmen Prozesse einzurichten, mit denen sämtliche Risiken identifiziert, analysiert, bewertet, gesteuert und überwacht werden können.
Gesetzgeber betont die Bedeutung einer adäquaten Risikokultur
Der neue § 64a weist zudem auf die Notwendigkeit einer ausreichenden internen Kommunikation der als wesentlich eingestuften Risiken als Bestandteil einer unternehmensindividuellen Risikokultur hin. Ziel dieser Kommunikation ist es, umfassend ein Risikobewusstsein zu schaffen, welches die unter Risikogesichtspunkten betroffenen Personen oder Organisationseinheiten des Unternehmens ausreichend in die Lage versetzt, ihre Risiken identifizieren, bewerten und steuern zu können.
Sowohl das Risikotragfähigkeitskonzept als auch die Risikoprozesse und die Risikokultur können nicht isoliert betrachtet werden, sondern müssen zur Gewährleistung ihrer Effektivität die Risikostrategie des Unternehmens berücksichtigen und widerspiegeln. Das interne Steuerungs- und Kontrollsystem wird durch die Einrichtung eines Berichtswesens gegenüber der Geschäftsleitung abgerundet. Dieses muss sicherstellen, dass die Geschäftsleitung alle wichtigen Risikoinformationen erhält. Risikoberichte haben Auskunft darüber zu geben, inwieweit und mit welchen Mitteln (beispielsweise Budgets, Steuerungsmechanismen, Kennzahlen) die Vorgaben des Risikomanagements erreicht worden sind. Insbesondere ist darzustellen, inwieweit die vom Unternehmen gewählten Ziele des Risikomanagements gesteuert worden sind und die zur Zielerreichung eingesetzten Maßnahmen sich ausgewirkt haben. Aufgrund der Informationen aus der Risikoberichterstattung können gegebenenfalls eine Änderung der Geschäftspolitik oder geeignete Korrekturmaßnahmen, etwa zur Risikominderung, eingeleitet werden.
Download des Konsultationsentwurfs der MaRisk: