Der wichtigste Abschnitt in den "Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen" (MaRisk VA) versteckt sich unter Gliederungspunkt 7.3.3. Dort hat die BaFin definiert, dass Unternehmen eine ausreichende unternehmensinterne Kommunikation über alle wesentlichen Risiken sicherstellen müssen. Dies sei die Aufgabe der Geschäftsleitung sowie der Führungskräfte, heißt es weiter. Dies setzt vor allem eine angemessene Risikokultur innerhalb des Unternehmens voraus, die das Risikobewusstsein aller mit Risiken befassten Mitarbeiter schärft, eine ausreichende Risikotransparenz herstellt und den unternehmensinternen Dialog über Fragen des Risikomanagements fördert.
Ein Blick in die Praxis zeigt, dass eine (gelebte) Risikokultur nur auf einer entsprechenden Unternehmenskultur aufbauen kann. Unter der Organisations- oder Unternehmenskultur ist die Gesamtheit von allen in einer Organisation wirksamen Werten, Normen und Einstellungen zu verstehen, die nach innen das Denken, die Entscheidungen und das Verhalten der Akteure prägen und nach außen die Art und Weise der Interaktion zwischen der Organisation und ihrer Umwelt bestimmen. Gegenüber den "harten" Faktoren gewinnt die Unternehmenskultur als das "weiche" Handlungsfeld der Veränderungsmanagements, insbesondere auch durch den gesellschaftlichen Wertewandel und seine Folgen, zunehmend an Bedeutung.
Thomas Korte (Leiter Risikomanagement bei der Lebensversicherung von 1871 a. G.) und Frank Romeike (Geschäftsführender Gesellschafter der RiskNET GmbH und verantwortlicher Chefredakteur der Fachzeitschriften RISIKO MANAGER und "Risk, Compliance & Audit) diskutieren über die neuen Mindestanforderungen für Versicherungsunternehmen.
Buchpräsentation MaRisk VA erfolgreich umsetzen - Praxisleitfaden für das Risikomanagement in Versicherungen
Datum: Dienstag, 15. September 2009
Uhrzeit: 17 bis 19 Uhr
Ort: Foyer der Hauptverwaltung der Lebensversicherung von 1871 a. G. München (Maximiliansplatz 5, 80333 München)
Diskutieren Sie zusammen mit den Buchautoren Thomas Korte, verantwortlich für das Risikomanagement bei der LV1871 und Frank Romeike, Geschäftsführer und Eigentümer der RiskNET GmbH sowie Vorstand der Risk Management Association (RMA) e. V., die zentralen Fragen zur Auslegung der rechtlichen Regelungen der MaRisk VA.
Bei Interesse an einer Teilnahme schicken Sie bitte ein kurzes E-Mail an marisk@solvency.de
>> Korte: Eigentlich ist die gesamte Vorschrift der MaRisk überflüssig, wenn Versicherungsunternehmen drei einfache Fragen ehrlich beantworten und diese Erkenntnisse vor allem in der strategischen Unternehmenssteuerung berücksichtigen. Die erste Frage lautet "Wie viel Risiko darf ich eingehen?". Im Vordergrund stehen zunächst verbindliche aufsichtsrechtliche Vorgaben, beispielsweise im Bereich der Kapitalanlagen. Ihre Anwendung limitiert die Risikonahme der Versicherungsunternehmen, auch wenn ihre Risikotragfähigkeit höher wäre. Voraussetzung hierfür ist selbstverständlich, dass Unternehmen nicht über Ausweichstrategien – etwa die Gründung von Zweckgesellschaften in nicht oder geringer regulierten Territorien – diese Regeln umgehen. So war es ein großer Fehler, die Zweckgesellschaften bei den Banken von der Regulierung auszunehmen, denn die Muttergesellschaften mussten sich in der Regel auf die Übernahme aller Risiken verpflichten, um den Zweckgesellschaften die erforderliche Bonität zu verleihen. Daher verpflichten die MaRisk VA die Unternehmen zur Berichterstattung über alle Risiken aus Versicherungs-Zweckgesellschaften.
>> Romeike: Und damit wären wir dann bereits bei der zweiten Frage: "Wie viel Risiko kann ich eingehen?" Bleiben wir bei den Zweckgesellschaften: Hätte die Aufsicht eine Unterlegung mit Eigenkapital verlangt – wie in Spanien und Italien geschehen – so hätten die Institute sofort erkannt, dass ihre Risikotragfähigkeit nicht ausreicht. Einer Reihe von Banken wäre das Schicksal einer Insolvenz erspart geblieben. Diese zweite Frage beantwortet die Frage nach dem Risikotragfähigkeitskonzept. Die im Unternehmen individuell vorhandene Risikodeckungsmasse (vor allem Eigenmittel und Liquidität) zeigt die klaren Grenzen der Risikonahme auf.
>> Korte: Und damit bleibt die Frage nach dem "Risikoappetit" des Versicherers noch offen: "Wie viel Risiko will ich eingehen?". Die letzte Frage zielt auf die Bereitschaft der Verantwortlichen in den Unternehmen, Chancen wahrzunehmen, damit aber auch das Unternehmen Risiken auszusetzen – und sich an die selbst definierten Grenzen zu halten. Für die Abwägung dieser Chancen und Risiken hat man einen schönen Begriff gefunden: "Wertorientierte Steuerung".
>> Romeike: Und die Grundlagen der Risikostrategie bauen auf der Geschäftsstrategie auf. Unter einer Risikostrategie versteht die BaFin die Beschreibung des Umgangs mit den sich aus der Geschäftsstrategie resultierenden Risiken. In ihr werden die sich aus der Geschäftsstrategie ergebenden Risiken bezüglich ihres Einflusses auf die Wirtschafts-, Finanz- oder Ertragslage des Unternehmens dargestellt sowie daraus resultierende Leitlinien für den Umgang mit den Risiken.
>> Korte: Mit der Verknüpfung der Geschäftsstrategie und der Risikostrategie verfolgt die Aufsicht primär zwei Ziele: Zum einen möchte die BaFin erfahren, inwieweit die Versicherungen in verschiedene risikobehaftete Geschäftsfelder investieren oder investieren wollen. Aus einer solchen Kumulation können systemische Risiken entstehen, die es zu verhindern gilt. Zum anderen verlangt die Aufsicht den Nachweis, dass der Geschäftserfolg des Unternehmens kein Zufallsprodukt ist, sondern vielmehr das Ergebnis bewusst getroffener Entscheidungen auf der Grundlage einer klaren Strategie.
>> Romeike: Nun ja, Papier ist bekanntlich geduldig. Die jüngste Finanzkrise hat gezeigt, dass viele Beteiligte die unternehmensindividuellen und systemischen Risiken falsch eingeschätzt haben. Die Kette der blinden Akteure ist lang: Bankmanager, Rating-Agenturen, Wirtschaftsprüfer, Politiker, Zentralbanken und Aufsichtsbehörden. Vor dem Hintergrund der Krise werden die MaRisk für die Banken gerade überarbeitet. So weist die BaFin darauf hin, dass insbesondere aggressive Vergütungssysteme mit zur Krise beigetragen haben, indem sie falsche Anreize gesetzt haben. So hatten exorbitant hohe variable Vergütungsbestandteile zum Teil zur Folge, dass Banken sich unvertretbar hohe Risikopositionen aufgeladen haben. Der zweite Entwurf enthält daher beispielsweise die Anforderung, dass die Vergütungssysteme kompatibel mit den Geschäfts- und Risikostrategien sein müssen. Besondere Anforderungen werden die neuen MaRisk für Banken an die variable Vergütung von Vorständen oder Mitarbeitern, die erhebliche Risikopositionen begründen können, stellen.
>> Korte: Die MaRisk VA sind da bereits einen Schritt weiter. Dort wird explizit darauf hingewiesen, dass der variable Teil der Vergütungssysteme sich (nur) am langfristigen Unternehmenserfolg sowie den wesentlichen Risiken orientieren darf. Der variable Teil muss vor allem über die jeweilige Organisationseinheit hinaus auch den Erfolg des gesamten Unternehmens berücksichtigen.
Die Erfahrungen der MaRisk für Banken verdeutlichen aber vor allem auch, dass es weniger darum geht, die einzelnen Anforderungen "abzuhaken". Aus meiner Sicht steht eine derartige "Häkchenmacher-Mentalität" im Widerspruch zu einem gelebten Risikomanagement. Das Ziel des Risikomanagements ist ein rationaler Umgang mit Risiken, der durchaus darin besteht, Risiken bewusst einzugehen, so dass ein ausgewogenes Chancen- und Risikoprofil entsteht.
>> Romeike: Seit der Gründung der ersten Versicherungsunternehmen im Mittelalter basiert das Geschäftsmodell der Versicherer im Kern auf der Übernahme von Risiken. Und die Versicherer haben in den letzten Jahrhunderten keinen schlechten Job gemacht. Schließlich existiert die älteste Versicherung der Welt, gegründet im Jahr 1676 im Hamburg, auch heute noch.
>> Korte: Weil sie klare Grenzen für ihre Risikotragfähigkeit gezogen und damals bereits als VVaG eine Risikokultur etabliert hatte! Bereits mit der Überschrift "Unternehmensinterne Kommunikation und Risikokultur" zeigen die MaRisk auf, dass ein wesentlicher Bestandteil der sogenannten "Risikokultur" das Vorbild im Umgang mit Risiken auf der Ebene der Geschäftsleitung ist. Ein wesentlicher Bestandteil einer gelebten Risikokultur ist die Kommunikation von Risiken. Die Aufsicht weist darauf hin, dass eine gelebte Risikokultur eine schnelle Anpassung an veränderte Rahmenbedingungen gewährleistet und gleichzeitig den Eintritt von Risiken begrenzt bzw. verhindert. Risikomanagement ist eine Aufgabe für jeden Mitarbeiter. Alle Mitarbeiter haben bei der Erledigung ihres Tagesgeschäfts risikobewusst im Sinne der definierten Risikostrategie zu handeln.
>> Romeike: Hierbei ist vor allem zu berücksichtigen, dass das Management der Risiken aus ökonomischen Gründen vor dem Risikomanagement für Regulatoren stehen sollte. Mit jeder regulatorischen Norm steigt die Tendenz, dass ein Teil der Verantwortung für das Risikomanagement und Metarisiken auf den Regulator transferiert wird. Wenn der Regulator ein bestimmtes Minimum an Risikokapital und qualitativen Normen im Risikomanagement fordert, so wird für die Akteure ein gewisser Anreiz definiert, ihr Verhalten auf dieses Minimum zu reduzieren.
>> Korte: Daher setzen sich die MaRisk aus prinzipienbasierten Anforderungen zusammen. Die Anforderungen des MaRisk-Rundschreibens müssen als "Standard" mindestens erfüllt sein. Dies ist unter Beachtung des im Proportionalitätsprinzip definierten Grundsatzes der Verhältnismäßigkeit zu beurteilen. Es bleibt dem Unternehmen offen, auch höhere Standards zu erfüllen und davon zu profitieren.
>> Romeike: Eine Sache muss im Kontext MaRisk jedoch klargestellt werden: Risikomanagement versteht sich nicht als Kunst der Propheterie, sondern liefert Prognosen zur besseren Steuerung von Risiken. Die Zukunft ist nämlich nur dem vorhersehbar, "der die Begebenheiten selber macht und veranstaltet, die er zum voraus verkündigt", wie Immanuel Kant zu bedenken gibt. Risikomanagement bietet die Werkzeuge für eine höhere (Risiko-)Transparenz. Basierend darauf können dann Unternehmenskapitäne bessere Entscheidungen treffen. Allein mit Hilfe von "unternehmerischer Intuition", reaktiven Steuerungssystemen und retrograden Unternehmenswertparametern dürfte es heute und in der Zukunft kaum mehr möglich sein, in der turbulenten und komplexen See der Weltwirtschaft zu überleben.
Thomas Korte verantwortet das Risikomanagement bei Münchens ältestem Lebensversicherungs-Unternehmen, der Lebensversicherung von 1871 a. G. (LV 1871).
Frank Romeike ist geschäftsführender Gesellschafter der RiskNET GmbH und Autor diverser Standardwerke zum Risikomanagement. Gemeinsam haben sie das Praxishandbuch "MaRisk VA erfolgreich umsetzen" geschrieben.
[Bildquelle oben: iStockPhoto, Bildquelle unten: LV1871]
Das Interview ist erschienen in SAS RISK UPDATE 03/2009.
Weitere Themen im Ausgabe 03/2009:
- MaRisk als Qualifying für Solvency II
- Interview: Risikomanagement versteht sich nicht als Kunst der Prophetie
- Aktuelle Entwicklungen im Kontext Solvency II und MaRisk
- Risikomanagement ist kein "Selbstzweck"
Thomas Korte/Frank Romeike: MaRisk VA erfolgreich umsetzen - Praxisleitfaden für das Risikomanagement in Versicherungen
260 Seiten, Erich Schmidt Verlag, Berlin 2009, ISBN-13:978-3-503-11622-5
Ein angemessenes Risikomanagement ist ein zentraler Erfolgsfaktor für Versicherungsunternehmen. Wie aber erfüllen Sie auch die neuen Vorgaben durch die MaRisk VA? Und wie nutzen Sie dabei Gestaltungsspielräume optimal aus?
Thomas Korte und Frank Romeike beraten Sie in diesem Buch fundiert und verständlich zu den zentralen Fragen und zur Auslegung der rechtlichen Regelungen. Mit diesem Wissen erfüllen Sie die Anforderungen der MaRisk VA, verankern Sie das Risikomanagement unbürokratisch im Unternehmen, haben Sie die Folgen für das Interne Kontrollsystem im Blick, berücksichtigen Sie das Prinzip der Proportionalität und kennen Sie die Konsequenzen bei unzureichender Umsetzung.
Download Inhaltsverzeichnis:
Download Flyer und Bestellformular:
Kommentare zu diesem Beitrag