Nach § 7 Nr. 9 VAG wird als Funktion eine interne Kapazität innerhalb der Geschäftsorganisation zur Übernahme praktischer Aufgaben definiert. Ergänzend werden dann die Schlüsselfunktionen
- unabhängige Risikocontrollingfunktion (URCF),
- Compliance-Funktion,
- interne Revisionsfunktion,
- versicherungsmathematische Funktion
abschließend aufgezählt.
Schlüsselfunktionen sind somit Kontrollinstanzen im Rahmen der Geschäftsorganisation und können beispielsweise über das „Three Lines of Defence“-Modell systematisiert werden. Die Kontrollinstanzen stehen dabei gleichrangig und gleichberechtigt nebeneinander (vgl. MaGo, Rn. 76).
Die Schlüsselfunktionen sind so in die Organisationsstruktur einzubinden, dass sichergestellt wird, dass jede Funktion frei von Einflüssen ihre Aufgabe objektiv, fair und unabhängig wahrnehmen kann. Die Personen, die diese Funktion ausfüllen, müssen über Autorität, Ressourcen und Fachkunde verfügen sowie einen Zugang zu allen relevanten Informationen erhalten. Es bestehen Berichtspflichten unmittelbar an Vorstand und Aufsichtsrat. Die Schlüsselfunktionen sollen bei der Erfüllung ihrer Aufgaben gegebenenfalls mit den anderen Schlüsselfunktionen zusammenarbeiten. (vgl. Delegierte Verordnung (EU) 2015/35, Art. 268).
Besonders herauszustellen ist, dass neben den angemessenen Ressourcen und Befugnissen der Vorstand eine Unternehmenskultur entwickeln muss, die die hervorgehobene Stellung der Schlüsselfunktionen untermauert (vgl. MaGo, Rn. 79).
Die Einrichtung dieser Funktionen erfolgt in angemessener Weise unter Berücksichtigung ihres jeweiligen Zwecks und des Proportionalitätsprinzips, wobei neben zentralen oder stabsstellenartigen auch dezentrale oder integrierte Gestaltungen in Betracht kommen (vgl. MaGo, Rn. 77).
Versicherungsunternehmen können neben den vorgegebenen Schlüsselfunktionen weitere Schlüsselaufgaben definieren, wenn sie aus Sicht des Unternehmens mit Blick auf seine Geschäftstätigkeit und Organisation besonders wichtige Funktionen wahrnehmen. Diese Zuordnung kann von der Aufsichtsbehörde jedoch hinterfragt werden (vgl. Leitlinien Governance, Rn. 1.4; MaGo, Rn. 75).