Ausgehend von den Erfahrungen bei der Umsetzung von Basel II/III und MaRisk BA und dem Verhalten von Aufsicht und Wirtschaftsprüfern soll den Versicherungsunternehmen eine Orientierung in der Umsetzung von Solvency II gegeben werden, die sie alleine aus den gegenwärtigen Vorgaben bzw. entsprechenden Entwürfen nicht entnehmen können. Eine grundlegende Herausforderung bei der Umsetzung von Solvency II ist es, das richtige Maß im Engagement zu finden. Das gilt besonders für die Umsetzung der Säule II und der Ausgestaltung des ORSA-Prozesses, wozu es aufgrund der prinzipienbasierten Gestaltung keine detaillierten Vorgaben gibt. Als Folge dessen kann man sich nur an Erfahrungen aus vergleichbaren Aufsichtssystemen orientieren.
Die Unternehmen konzentrierten sich bisher bei der Umsetzung von Solvency II auf die Berechnung der Säule I und die Befüllung der Meldeformulare sowie sukzessive auf die Erstellung der qualitativen Berichte, da diese durch die QIS-Studien und künftige fixe Meldetermine von der Aufsicht forciert wurden. Aus diesem Grund kam die Säule II bisher zu kurz oder wurde nur ansatzweise betrachtet, obwohl sie die Mindestanforderungen an das Management von Risiken darstellt. Die Umsetzung der Säule II und von ORSA orientierte sich eher an der Erfüllung der regulatorischen Vorgaben und weniger daran, dem Unternehmen einen Mehrwert zu liefern. Dies lag in erste Linie an begrenzten Ressourcen und dem Zeitdruck, dem sich die Unternehmen ausgesetzt sahen und auch immer noch sehen. Ein Self-Assessment oder eine GAP-Analyse hinsichtlich der Umsetzung von Säule II erfolgte in den wenigsten Fällen.
Feststellungen der BaFin oder der Wirtschaftsprüfer wurden in der Regel noch nicht bei der ersten Prüfung von Banken verlautbart. Da diese jedoch grundsätzlich rückwirkend zu beheben sind (ab dem Zeitpunkt des Inkrafttretens der relevanten MaRisk), steigt dadurch der Aufwand enorm. Die BaFin hat in diesem Zusammenhang regelmäßig festgestellt, dass Unternehmen die Auslagerungen von institutstypischen Dienstleistungen und Funktionen, wie z.B. der IT, nicht in die unternehmensweite Risikosteuerung eingebunden haben.
Die BaFin-Prüfer fokussierten sich bei den Prüfungen des Risikomanagements von Banken und Finanzkonglomeraten häufig auf folgende Themen der Säule II:
1. Systematische Vorgehensweise bei der Risikoinventur und Rahmenbedingungen bei der Risikotragfähigkeit
Die Notwendigkeit eines strukturierten Vorgehens bei der geforderten Risikoinventur zur Identifizierung der für das Institut wesentlichen Risiken wird stärker betont. Damit wird auch klargestellt, dass sich die Identifizierung wesentlicher Risiken nicht auf eine rein „mechanische“ Bestimmung der in den MaRisk genannten Risiken beschränken darf. Die Vorgaben an die Berücksichtigung von Diversifikationseffekten (Daten und Annahmen) innerhalb des Risikotragfähigkeitskonzepts müssen detailliert werden.
2. Plausibilisierung der Strategien
Optimierungsbedarf wird im Hinblick auf den prozessualen Rahmen gesehen, wo Institute ihre Strategien entwickeln, anpassen, umsetzen und beurteilen. In der Prüfungspraxis hat sich gezeigt, dass die Umsetzung des Moduls häufig als formale Pflichtübung gesehen wird, um den Anforderungen der Aufsicht zu entsprechen. Wesentliche Einflussfaktoren, wie etwa Veränderungen der ökonomischen Umwelt und ihre Bedeutung für das Institut, werden nicht ausreichend gewürdigt. Die in den Strategien formulierten Ziele sind häufig weitgehend unbestimmt und nicht quantitativ unterlegt (Ableitung von operativen Zielen ist meist nicht möglich), so dass sich ein Institut keinen Eindruck über den Grad der Zielerreichung verschaffen kann. Die geforderte Konsistenz zwischen Geschäfts- und Risikostrategie wird nicht immer konsequent umgesetzt und gelebt. Die Aufsicht sieht vor allem das Problem, dass sich Konsistenz nur schwer herstellen lässt, wenn die Geschäfts- und Risikostrategien in unterschiedlichen Organisationseinheiten vorbereitet und erstellt werden, ohne dass systematische Abstimmungen zwischen diesen Einheiten stattfindet.
3. Angemessenheit der Stresstests
Ziel dieser ist der Aufbau eines besseren Bildes über maßgebliche Risikotreiber, die, auch in Verkettung miteinander, die Geschäftsaktivitäten kritisch besonders beeinflussen können. Aktuell fehlt bei vielen Instituten die Praxiserfahrung bei der Durchführung von Stresstests. Die Aufsicht wird die Entwicklung auf diesem Gebiet mit Augenmaß begleiten. Zunächst wird es als ausreichend erachtet, wenn solche Stresstests schwerpunktmäßig qualitativ (z. B. in Form einer qualitativen Analyse) durchgeführt werden. Größere Institute müssen jedoch gleichzeitig auch ergänzende quantitative Analysen durchführen. Stresstests müssen mind. einmal pro Jahr durchgeführt werden. Das von einem Institut entwickelte Stresstestprogramm muss als Ganzes die Anforderungen der regulatorischen Vorgaben erfüllen, um zielgerichtet risikorelevante Informationen für das Institut zu liefern. Die konkrete Ausgestaltung und der Umfang der Stresstests bemessen sich nach dem Grundgedanken der „doppelten Proportionalität“.
4. Integrierte Ertrags- und Risikosteuerung obligatorisch
Die Risikosteuerungs- und Risikocontrollingsprozesse sind in eine gemeinsame Ertrags- und Risikosteuerung einzubinden. Ein methodisch sehr komplexes, stringentes und integriertes System im Sinne einer risikoadjustierten Renditesteuerung über das Gesamtinstitut ist damit nicht zwingend gemeint. Jedes Institut muss mit Blick auf Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten individuell festlegen, wie es stärker als bisher Ertrags- und Risikoaspekte gemeinsam im Blick behält, da beide in der Praxis eng miteinander verknüpft sind. Von größeren Instituten werden weitere Schritte hin zu einer Implementierung eines stringenten und integrierten Systems im Sinne einer risikoadjustierten Renditesteuerung des Gesamtinstituts erwartet.
5. Risikoartenübergreifende Komponenten von Risikokonzentrationen sind zu berücksichtigen
Die Institute müssen analysieren, ob bestimmte Risikofaktoren sich gleichermaßen auf verschiedene Risikoarten auswirken bzw. verschiedene Risikofaktoren unterschiedlicher Risikoarten in die gleiche Richtung wirken können. Dadurch soll dem sogenannten „Silo-Problem“ effektiv entgegengewirkt werden. Risikokonzentrationen müssen angemessen in den Risikosteuerungs- und Risikocontrollingsprozessen abgebildet werden sowie bei der Beurteilung der Risikotragfähigkeit berücksichtigt werden. Ein Self-Assessment oder eine GAP-Analyse hinsichtlich der Umsetzungslücken von Säule II kann vor überraschenden Prüfungsfeststellungen schützen. Die Erfahrung zeigt, dass Unternehmen, welche sich ihres Handlungsbedarfs bewusst sind, diesen dokumentiert, priorisiert, projektiert und in einem Umsetzungsplan festgehalten haben, nicht von Prüfungsfeststellungen verschont bleiben. Der Grad der Prüfungsfeststellung fällt jedoch deutlich geringer aus.
Seit einiger Zeit ist jedoch zu beobachten, dass die Säule II weiter in den Fokus der Versicherungsunternehmen gerät, dabei konzentrieren sich die Unternehmen im ersten Schritt auf den ORSA-Prozess.
ORSA (Own Risk and Solvency Assessment) kann verstanden werden als „die Gesamtheit der Prozesse und Verfahren, die eingesetzt werden, um kurz- und langfristige Risiken, denen das Versicherungsunternehmen ausgesetzt ist bzw. ausgesetzt sein könnte, zu identifizieren, zu bewerten, zu kontrollieren, handzuhaben oder zu berichten und die der Ermittlung der Eigenmittel, die den gesamten Solvabilitätsbedarf sicherstellen sollen.“
Durch die neue Steuerungsgrößen Eigenkapital und -bedarf benötigt man für die Unternehmenssteuerung die ORSA-Betrachtung, d. h., das erforderliche Eigenkapital ist nicht mehr nur eine Kennzahl, die retrospektiv ermittelt wird, sie wird gleichermaßen auch für die Strategie und Unternehmenssteuerung relevant. Bei der strategischen Ausrichtung der Geschäftsbereiche ist es entscheidend, wie eigenkapitalaufzehrend unterschiedliche Geschäftsformen sind. Daher liegt die prospektive Berechnung des erforderlichen Eigenkapitals den strategischen Entscheidungen zu Grunde.
Für Versicherungsunternehmen, die sich erst mit ihrer Solvabilität beschäftigen, wenn die regulatorischen Meldetermine bevorstehen, wird es schwierig, steuernd einzugreifen, sie weichen von der Risikostrategie ab und können sogar ihre Geschäftsstrategie verfehlen. 25 % der Lebensversicherer waren bei QIS 5 unter die 100 %-Marke gerutscht. In der QIS 6 (2012) und nach der Durchführung der LTGA (2013) haben sich die Ergebnisse leider nicht verbessert. Diese Erkenntnis zeigt deutlich, wie wichtig es ist, sich stets über die Eigenkaptalausstattung unter dem neuen Aufsichtssystem bewusst zu sein und dass es nicht mehr ausreichen wird, den SCR-Bedarf erst zu den offiziellen Meldeterminen zu betrachten.
Eine besondere Herausforderung stellt dabei die Datenanforderung für den ORSA-Prozess dar. Unter ORSA muss der SCR auf Ebene der Risikomodule nicht nur in die Zukunft projiziert werden, also eine Antwort darauf geben können wie sich der SCR in den nächsten Jahren entwickelt. Die Unternehmen werden auch verpflichtet den SCR unter adäquaten Stressszenarien zu ermitteln und müssen den gestressten SCR ebenfalls für die nächsten 3-5 Jahre projizieren können. Das bedeutet, dass die Datenbasis heute bereits auf die zukünftigen Anforderungen und die dafür notwendigen Historien aufgestellt werden muss. Die Daten, die die Unternehmen bisher für die Berechnung der Säule I herangezogen haben, sind eine verdichtete Form der Datenanforderungen für den ORSA-Prozess. Das bedeutet, dass die Grundlage für die ORSA-Betrachtung in den Unternehmen bereits geschaffen wurde. Diese Erkenntnis darf nun jedoch beim Aufbau der Datenmodelle für die Berechnung der Säule I nicht vernachlässigt werden. Ziel sollte es also sein, ein Datawarehouse für Solvency II so aufzubauen, dass nicht nur die Ist-Daten für die Berechnung der Säule I und die Befüllung der Säule III für den Ein-Jahres-Horizont vorliegen. Es müssen vielmehr auch die Vergangenheitswerte und die Planungsdaten der kommenden 3-5 Jahre in der notwendigen Qualität, Quantität und Granularität Bestandteil des Datawarehouses sein. Nur so ist sichergestellt, dass die nötigen Überleitungsrechnungen, Projektionen, Szenarien und ORSA-Betrachtungen korrekt abgebildet werden können.
Fazit
Wenn die Säule II und der ORSA-Prozess angemessen umgesetzt und in das Unternehmen integriert werden, entsteht doppelter Nutzen, weniger Feststellungen durch die Aufsicht und eine angemessene risikoorientierte Steuerung. Basel II / III sowie MaRisk BA haben gezeigt, dass frühzeitig Self-Assessments mit Blick auf die Anforderungen von Säule II (samt der erforderlichen Dokumentation) erfolgen sollten. Nur so können Nachbesserungen, mit denen ein nicht unerheblicher Zusatzaufwand verbunden ist, in den Versicherungsunternehmen vermieden werden.