Mit Einführung von Solvency II wurde das Aufsichtsrecht im Hinblick auf die Corporate Governance erheblich ausgeweitet. Unter dem Abschnitt 3 „Geschäftsorganisation“ werden konkrete Aufgaben an den Vorstand im Hinblick auf mögliche Einrichtungspflichten gestellt. Demnach verlangt eine angemessene Geschäftsorganisation (Governance-System) eine solide und umsichtige Leitung des Unternehmens mit Anforderungen an
- Vergütung,
- Risikomanagement,
- Risiko- und Solvabilitätsbeurteilung,
- Internes Kontrollsystem,
- Interne Revision,
- Versicherungsmathematische Funktion,
- Ausgliederung.
Konkretisiert werden die Anforderungen an das Risikomanagement in § 26 VAG. Versicherungsunternehmen müssen über ein wirksames Risikomanagementsystem verfügen, welches gut in die Organisationsstruktur und die Entscheidungsprozesse integriert ist. Ein funktionierendes Risikomanagementsystem verlangt eine angemessene interne Berichterstattung an alle relevanten Stakeholder.
Das Risikomanagementsystem hat demnach
- sämtliche Risiken zu umfassen;
- eine Risikostrategie zu definieren;
- Strategien, Prozesse und interne Meldeverfahren zu implementieren, um die Risiken zu
- identifizieren,
- bewerten,
- steuern,
- überwachen und über sie zu berichten;
- auf individueller und aggregierter Basis eine kontinuierliche Risikosteuerung unter Berücksichtigung der zwischen den Risiken bestehenden Interdependenzen zu ermöglichen (Risikoaggregation).
Mit diesen Aspekten bildet das Aufsichtsrecht den klassischen Risikomanagementprozess ab.
Zum Risikomanagementsystem gehört nach § 27 VAG auch eine unternehmenseigene Risiko- und Solvabilitätsbeurteilung, die Versicherungsunternehmen regelmäßig sowie im Fall wesentlicher Änderungen in ihrem Risikoprofil unverzüglich vorzunehmen haben. Diese Beurteilung muss fester Bestandteil der Geschäftsstrategie des Unternehmens sein und kontinuierlich in die strategischen Entscheidungen einfließen.