Ein wesentlicher Baustein von Solvency II ist in der zweiten Säule verankert. Hiernach müssen Versicherungsunternehmen über ein wirksames Governance-System verfügen, das ein solides und vorsichtiges Management des Geschäfts gewährleistet.
Hintergrund
Versicherungsunternehmen haben gemäß §23 Versicherugsaufsichtsgesetz (VAG) ein Governance-System zu etablieren, das ein solides und vorsichtiges Management des Versicherungsgeschäfts ermöglicht. Hierfür wird die Einrichtung geeigneter Prozesse verlangt. Das hierbei geforderte System ist eng mit dem Oberbegriff Corporate Governance verknüpft. Dieser international gebräuchliche Begriff hat in den vergangenen Jahren auch in Deutschland immer mehr an Bedeutung gewonnen.
Unter Corporate Governance ist ein breites Bündel von Einzelaspekten zum Gesellschafts- und Kapitalmarktrecht zu verstehen, mit dem die Unternehmensleitung und Unternehmensüberwachung verbessert werden soll. Eine deutsche Übersetzung des Begriffs der Corporate Governance gibt es nicht, weshalb hierzulande auch der englische Begriff verwendet wird. Corporate Governance ist „die Gesamtheit rechtlicher und ökonomischer Institutionen […], welche geeignet sind, die aus der Dissoziation von Kapitaleigentum und Verfügungsmacht resultierenden Prinzipal-Agent Konflikte im primären Interesse der Eigentümer der Unternehmung zu lösen, zumindest jedoch abzumildern“. (Weber, S. C./Lentfer, T./Köster, M., Einfluss der Corporate Governance auf die Kapitalkosten eines Unternehmens, in: ZCG 2007, 53 – 61 (54).)
Im Versicherungsunternehmen tritt eine besondere Corporate-Governance-Struktur auf. Neben der Eigentümer-Manager-Beziehung ist eine Beziehung der Versicherten, die als Gemeinschaft zu großen Teilen den tatsächlichen kollektiven Risikoausgleich abbilden, zu den Managern zu beobachten. Das nach Solvency II geforderte Governance-System knüpft an der zuletzt genannten Beziehung an und versucht, die Interessen von Managern und Versicherten einander anzunähern. Dies ist in sich schlüssig, hat doch Solvency II als aufsichtsrechtlich motiviertes Regime den Schutz der Versicherungsnehmer und damit die dauerhafte Erfüllbarkeit der Verpflichtungen aus den Versicherungsgeschäften im Fokus. Durch die Einrichtung der geforderten Governance-Strukturen sollen die durch Informationsasymmetrien denkbarerweise gestörten Vertragsverhältnisse im Rahmen der Principal-Agent-Beziehungen in einem Versicherungsunternehmen korrigiert werden.
Governance-System
Organisationsstruktur
Richtliniengemäß muss eine transparente und dem Geschäftsmodell adäquate Organisationsstruktur (Aufbau- und Ablauforganisation) mit klaren Zuweisungen und einer Trennung der Zuständigkeiten etabliert werden. Die Versicherer sind dazu angehalten, Leitlinien schriftlich festzulegen, die zumindest das Risikomanagement, die vier verschiedenen Schlüsselfunktionen und gegebenenfalls das Outsourcing betreffen. Sie müssen die Umsetzung dieser Leitlinien sicherstellen und sie mindestens einmal jährlich überprüfen (vgl. §23 VAG)
Das Governance-System, das der Wesensart, dem Umfang und der Komplexität der Tätigkeiten des Versicherungsunternehmens angemessen sein muss (Proportionalitätsprinzip) (vgl. §296 VAG), unterliegt dem Überprüfungsprozess der Aufsichtsbehörde.
Internes Kontrollsystem
Teil des Governance-Systems ist das interne Kontrollsystem. Dies muss mindestens Verwaltungs- und Rechnungslegungsverfahren, einen internen Kontrollrahmen und angemessene Melderegelungen auf allen Unternehmensebenen umfassen.
Outsourcing
§32 Absatz 1 VAG stellt klar, dass die Versicherungsunternehmen für alle ausgelagerten Funktionen verantwortlich bleiben. Insofern muss seitens des auslagernden Unternehmens sichergestellt werden, dass ein Mindestmaß an Einflussnahme und Kontrolle auf die Tätigkeit der externen Dienstleistungsunternehmen gewährleistet ist. Ferner darf ein Outsourcing kritischer oder wichtiger operativer Funktionen oder Tätigkeiten dann nicht durchgeführt werden, wenn dies die Qualität des Governance-Systems wesentlich beeinträchtigen oder mit der Auslagerung eine übermäßige Steigerung des operationellen Risikos einhergehen würde. Bei Schlüsselfunktionen ist der BaFin im Vorfeld eine gewünschte Ausgliederung anzuzeigen. Zudem ist in der Outsourcing-Leitlinie darzulegen, wie eine koordinierte Rückführung oder Übertragung auf einen anderen Dienstleister erfolgt, sofern die bestehende Kundenbeziehung zum Dienstleister beendet wird.
Fit and Proper Anforderungen
Alle Personen, die ein Versicherungsunternehmen leiten oder andere Schlüsselaufgaben innehaben, müssen für die Ausübung ihrer Aufgaben jederzeit fachlich qualifiziert und persönlich zuverlässig sein. Eine adäquate fachliche Qualifikation ist dann gegeben, wenn die Kenntnisse und Erfahrungen ausreichen, um ein solides und vorsichtiges Management zu gewährleisten. Wichtige Personen (Vorstand, Aufsichtsrat, Ausgliederungsbeauftragte) sind gegenüber der BaFin anzuzeigen. (Vgl. §24 VAG)
Notfallplanung
Innerhalb des Governance-Systems haben Versicherungs- und Rückversicherungsunternehmen Notfallpläne zu entwickeln, um die Kontinuität und die Ordnungsmäßigkeit ihrer Tätigkeiten in Störfallen, Notfällen und Krisen zu gewährleisten. Zu diesem Zweck sind geeignete und verhältnismäßige Systeme, Verfahren und Ressourcen zu verwenden.
Risikomanagement
Risikomanagementsystem
Das Risikomanagementsystem muss derart gestaltet sein (Risikostrategie, Prozesse, Meldeverfahren), dass die Identifikation, Messung, Überwachung, Steuerung und Berichterstattung der eingegangenen und potenziellen Einzelrisiken sowie des Risikoaggregats unter Berücksichtigung der Interdependenzen jederzeit möglich sind. Eine Integration des Risikomanagementsystems in die Organisationsstruktur und die Entscheidungsprozesse wird vorausgesetzt, um dessen effektive Nutzung zu erhöhen. Diese Anforderung ist eng mit der Etablierung einer Risikokultur verknüpft.
Gegenstand des Managementsystems sind die Risiken, die in die Berechnung der Solvenzkapitalanforderung einfließen sowie auch solche Risiken, die hierbei nicht vollständig erfasst werden. Des Weiteren müssen folgende Bereiche abgedeckt werden:
- a) Risikoübernahme und Rückstellungsbildung;
- b) Aktiv-Passiv-Management;
- c) Anlagen, insbesondere Derivate und ähnliche Verpflichtungen;
- d) Liquiditäts- und Konzentrationsrisikomanagement;
- e) Risikomanagement operationeller Risiken;
- f) Rückversicherung und andere Risikominderungstechniken.
Unternehmenseigene Risiko- und Solvabilitätsbeurteilung (ORSA)
§27 VAG verpflichtet die Versicherungsunternehmen dazu, eine unternehmenseigene Risiko- und Solvabilitätsbeurteilung (Own Risk and Solvency Assessment – ORSA) durchzuführen.
Die Beurteilung muss mindestens folgende Elemente umfassen:
- Den Gesamtsolvabilitätsbedarf unter Berücksichtigung von Risikoprofil, Risikotoleranzschwellen und Geschäftsstrategie mit der Methodenwahl und den wichtigsten Annahmen;
- die kontinuierliche Einhaltung der Eigenkapitalanforderungen und der Anforderungen der versicherungstechnischen Rückstellungen;
- die Signifikanz der Abweichung des Risikoprofils des betreffenden Unternehmens von den Annahmen, die der Solvenzkapitalanforderung (SCR) zugrunde liegen und gemäß der Standardformel oder dem internen Modell in der Form eines Voll- oder Partialmodells berechnet wurden.
Im Kern geht es darum, das unternehmenseigene Risikoprofil und den daraus resultierenden internen Risikokapitalbedarf kontinuierlich zu analysieren und zu bewerten, und zwar weitergehend zu der eigentlichen Ermittlung der Solvenzkapitalanforderung. Dieser Prozess der Risiko- und Kapitalsteuerung soll in den Gesamtprozess der strategischen Unternehmenssteuerung eingebettet werden.
Schlüsselfunktionen
Risikomanagementfunktion
Gemäß § 26 VAG ist ausdrücklich eine Risikomanagementfunktion zu schaffen, die so strukturiert sein muss, dass sie die Umsetzung des Risikomanagements erleichtert.
Compliance-Funktion
Darüber hinaus ist eine Compliance-Funktion zu etablieren, die die Einhaltung sämtlicher rechtlicher Vorgaben überwachen soll (vgl. §29 VAG)). Sie hat mögliche Auswirkungen von Änderungen des Rechtsumfelds auf die Tätigkeit des Versicherers sowie das Compliance-Risiko, also das Risiko der Nicht-Einhaltung gesetzlicher Anforderungen, zu identifizieren und zu beurteilen. Eine Compliance-Funktion wird in der beschriebenen Form in den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) explizit gefordert.
Interne Revision
Hinsichtlich der internen Revision wird die Etablierung einer „konventionellen“ internen Revisionsfunktion verlangt, deren Aufgabe die Prüfung der Funktionsfähigkeit und Angemessenheit des internen Kontrollsystems und der anderen Bestandteile des Governance-Systems ist. (Vgl. §30 VAG) Die Anforderungen bezüglich der internen Revision sind zu großen Teilen durch die MaGo abgedeckt.
Versicherungsmathematische Funktion
§31 VAG schreibt die Schaffung einer versicherungsmathematischen Funktion vor. Absatz eins listet abschließend die Tätigkeiten (z.B. Koordinierung der Berechnung der versicherungstechnischen Rückstellungen) auf, die im Aufgabenbereich der aktuariellen Funktion liegen. Die Funktion muss von Personen wahrgenommen werden, die über Kenntnisse der Versicherungs- und der Finanzmathematik verfügen, welche den sich aus dem betriebenen Geschäftsmodell ergebenden Risiken angemessen sind.
Fazit
Die nach der Rahmenrichtlinie geforderten Elemente sollen ein Governance-System in Versicherungsunternehmen stärken. Allerdings betreiben Versicherer bereits aus dem betriebenen Geschäftsmodell heraus ein gewisses Mindestmaß an Strukturen, die einen Transfer und ein Management von Risiken einwandfrei gewährleisten sollten. Deshalb ist auch eine rein regelbasierte Umsetzung der aufsichtsrechtlichen Anforderungen allein nicht ausreichend. Denn eine risikoorientierte Unternehmenskultur kann sich erst nach einer gewissen Zeit entwickeln. Die Förderung einer solchen Kultur innerhalb der Gesellschaften sollte ständig top-down vorgelebt und gefördert werden. Denn eine starke Risikokultur ist Ausdruck eines gelebten Risikomanagements, dessen tragende Elemente nicht schon durch eine einwandfreie Dokumentation in das praktische Handeln Einzug halten.