Das interne Kontrollsystem (IKS) sorgt als interner Kontrollmechanismus des Unternehmens für eine wirksame und ordnungsgemäße Geschäftsorganisation. Es dient der unternehmensspezifischen Steuerung und Kontrolle, um unternehmerische Risiken und Ziele aufeinander abstimmen zu können.
Geschäftsorganisation
Versicherungsunternehmen müssen nach § 23 Abs. 1 S. 1 VAG über eine wirksame und ordnungsgemäße Geschäftsorganisation verfügen. Diese Geschäftsorganisation soll für eine solide und umsichtige Leitung des Unternehmens sorgen und sicherstellen, dass die relevanten Gesetze, Verordnungen und aufsichtsbehördlichen Anforderungen eingehalten werden (§ 23 Abs. 1 S. 2 VAG; siehe auch DVO, S. 14). Aufsichtsrechtlich werden die Begriffe Geschäftsorganisation und Governance-System synonym verwendet (Vgl. MaGo, Rn. 5).
Eine wirksame und ordnungsgemäße Geschäftsorganisation beinhaltet aufsichtsrechtlich u. a.:
- angemessene, transparente Organisationsstruktur,
- wirksames internes Kontrollsystem (IKS),
- adäquat ausgestaltete Schlüsselfunktionen,
- wirksames unternehmensinternes Kommunikationssystem,
- schriftliche Leitlinien und eine nachvollziehbare Dokumentation,
- regelmäßige interne Überprüfung.
Gesetzliche Grundlagen
Bei der Umsetzung des internen Kontrollsystems sind folgende gesetzliche und rechtliche Vorschriften zu berücksichtigen:
Solvency-II-Richtlinie | Artikel 46 Abs. 1 |
VAG | § 30 |
Delegierten Verordnung | Artikel 266 |
EIOPA-Leitlinien zum Governance-System | Leitlinie 38 und 39 |
Mindestanforderungen an die Geschäftsorganisation (MaGo) | Rn. 230 ff. |
Internes Kontrollsystem (IKS)
Gemäß § 29 VAG müssen Versicherungsunternehmen über ein wirksames IKS verfügen, welches mindestens Verwaltungs- und Rechnungslegungsverfahren, einen internen Kontrollrahmen und eine angemessene unternehmensinterne Berichterstattung auf allen Unternehmensebenen umfasst.
Ganz allgemein beschreibt das interne Kontrollsystem die vom Vorstand eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die auf die organisatorische Umsetzung der Entscheidungen des Vorstands gerichtet sind
- zur Sicherung der Wirksamkeit und Effizienz der Geschäftstätigkeit,
- zur Verfügbarkeit und Verlässlichkeit finanzieller und nichtfinanzieller Informationen sowie
- zur Einhaltung der geltenden Rechts- und Verwaltungsvorschriften (Vgl. Artikel 266 DVO ; IDW PS 261, Tz. 19).
Das interne Kontrollsystem als Überwachungssystem umfasst dabei prozessintegrierte Überwachungsmaßnahmen (organisatorische Sicherungsmaßnahmen bzw. Kontrollen) und prozessunabhängige Überwachungsmaßnahmen (Vgl. IDW PS 261, Tz. 20). Die prozessunabhängigen Überwachungsmaßnahmen erfolgen außerhalb der Geschäftsprozesse und können somit auch als Überprüfungen separat herausgestellt werden (Vgl. Rohlfs 2020, S. 395).
Das interne Kontrollsystem hat sich am Risikoprofil zu orientieren. Es muss angemessen in die Strukturen und Prozesse der Aufbau- und Ablauforganisation eingebunden sein, damit es seinen Zweck erfüllt. Art, Häufigkeit und Umfang der Kontrollen orientieren sich an den Risiken der jeweiligen Bereiche und Prozesse. Dabei sind Angemessenheit und Wirksamkeit der Kontrollen mit Hilfe angemessener Verfahren fortlaufend zu überwachen.
Ausgegliederte Bereiche und Prozesse sind ggf. ebenfalls über das unternehmenseigene IKS zu berücksichtigen.
Personen, die mit der Durchführung der internen Kontrollen beauftragt wurden, muss der Zugang zu allen kontrollrelevanten Informationen ermöglicht werden. Hierfür sind entsprechende Informations- und Kommunikationssysteme einzurichten.
Insgesamt ist auch ein Kontrollbewusstsein in der gesamten Unternehmensorganisation zu schaffen.
Der Vorstand wird regelmäßig (mindestens jährlich) über die Ergebnisse der Überwachung des internen Kontrollsystems informiert (ggf. auch Ad-hoc-Berichte) und stellt dann sicher, dass die notwendigen Anpassungen zeitnah umgesetzt werden (Vgl. MaGo, Rn. 230 ff.).
Nach § 23 Abs. 5 VAG ist das interne Kontrollsystem für Dritte nachvollziehbar zu dokumentieren. Die Dokumentationen (der Vorgängerversionen) sind mindestens sechs Jahre aufzubewahren.
„Three Lines of Defence“
Das Zusammenspiel von den Anforderungen des internen Kontrollsystems und den Schlüsselfunktionen als spezifische Kontrollinstanzen kann anhand des „Three Lines of Defence“-Modells sehr gut eingeordnet werden. Dieser Ansatz beschreibt drei aufeinander aufbauende Verteidigungslinien, welche unabhängig voneinander agieren und somit die Sicherheit der Unternehmensorganisation erhöhen bzw. die unternehmerischen Risiken mindern (Vgl. Rohlfs 2018, S. 307 ff.):
- Prozessintegrierte Kontrollen (1st Line),
- Risikomanagementfunktion / Compliance-Funktion / versicherungsmathematische Funktion (2nd Line),
- Interne Revision (3rd Line).