Governance-System in Versicherungsunternehmen
Einbindung der Compliance-Funktion in das Interne Kontrollsystem gemäß Solvency II
Die Compliance-Funktion als Bestandteil des Internen Kontrollsystems hat gemäß Artikel 46 der Solvency-II-Richtlinie (2009/38/EG) die Aufgaben:
- den Vorstand in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die mit dem Betrieb des Versicherungsgeschäfts in Zusammenhang stehen, zu beraten und
- Änderungen im Rechtsumfeld und die daraus resultierenden Konsequenzen für das Unternehmen zu beurteilen und
- das Compliance-Risiko zu identifizieren und zu beurteilen, welches mit der Verletzung rechtlicher Aspekte in Zusammenhang steht.
Die letzten zwei Punkte haben sicherlich eine Schnittmenge und unterscheiden sich dahingehend, dass mögliche rechtliche Änderungen in Zukunft in ihrem Ausmaß nur bedingt bewertet werden können. Dennoch gilt es auch, diese unsicheren Ereignisse zu berücksichtigen.
Des Weiteren beschreibt dieser Artikel 46 die Compliance-Funktion als „Funktion der Überwachung der Einhaltung der Anforderungen“. Diese Aufgabe wahrzunehmen, stellt erst die echte Herausforderung dar.
Eine entscheidende Frage in Bezug auf die aufgeführten Aufgaben ist die, welche Organisationseinheiten die Compliance-Funktion in Versicherungsunternehmen wahrnehmen. Eine allgemeine Antwort ist aufgrund der unterschiedlichen Strukturen und Größen der Unternehmen nicht möglich, daher sollen die folgenden Ausführungen als Vorschlag betrachtet werden.
Die Hauptaufgabe im Rahmen der Compliance-Funktion nimmt (falls vorhanden) die Compliance-Abteilung (mit dem CCO) wahr, die sich in der Regel mit der Rechtsabteilung abstimmt. Dort wird das rechtliche Fachwissen gebündelt, welches für die Beratung des Vorstandes in Bezug auf Einhaltung von Gesetzen und weiteren Vorschriften, aber auch für die Einschätzung der Konsequenzen bei Nichteinhaltung benötigt wird.
In der Praxis sind diese Abteilungen jedoch, insbesondere in Bezug auf die Erfüllung der Aufgaben "Identifizierung und Beurteilung des Compliance-Risikos" und dem Thema "Überwachung der Einhaltung der Vorschriften", auf Informationen der Geschäftsbereiche und anderer Funktionen angewiesen. Denn dort werden Kontrollen, welche auf Compliance-Risiken wirken, hauptsächlich durchgeführt und überwacht (unabhängig von weiteren Kontrollen auf Unternehmensebene).
Möglicher Ansatz zum Managen von Compliance-Risiken
Die eben angesprochenen Informationen seitens der Geschäftsbereiche können aus dem Risikomanagement gewonnen werden, da hier in der Regel Compliance-Risiken und die entsprechenden Maßnahmen bzw. Kontrollen zentral erfasst werden. Idealerweise findet sich im Risikoatlas eine Risikoklasse „Compliance“ wieder, z.B. im Rahmen der operationellen Risiken, sodass eine einfache Selektion ermöglicht wird. Diese Risiken könnten der Compliance-Abteilung (oder auch Rechtsabteilung) zur Qualitätssicherung weitergeleitet werden. Die Ergebnisse dieser Qualitätssicherung fließen zurück in das Risikomanagement und dadurch auch an die Fachbereiche. Das Risikomanagement fungiert hier als eine Art „Zwischenstelle“.
Die Vorteile einer solchen Methodik ist die, dass sämtliche Organisationseinheiten, die für die ordnungsgemäße Ausübung der Compliance-Funktion beteiligt sein sollten, eingebunden sind und somit Doppelarbeiten vermieden werden. Zudem wird die Kommunikation, die ein wichtiges Element des Kontrollrahmens darstellt, gefördert. Der Vollständigkeit halber soll an dieser Stelle auch die Revision erwähnt werden, die die Compliance-Funktion prüft und eigene Feststellungen aus anderen Prüfungen, die mit dem Thema Compliance zusammenhängen, einfließen lassen kann.
Gelingt es, alle Einheiten in den Prozess zu integrieren, so wird auch die Transparenz erhöht und das Berichtswesen innerhalb des Unternehmens in Bezug auf Compliance weist keine Unterschiede durch divergierende Einschätzungen, z.B. seitens Compliance-Abteilung oder Risikomanagement (Aufführung der Compliance-Risiken im Risikobericht), auf.
Weitere wesentliche Punkte einer ordnungsgemäßen Einbindung der Compliance-Funktion in das IKS
Die bisherigen Ausführungen haben eine grobe Idee vorgestellt, welche Stellen im Unternehmen eingebunden werden könnten und welche Vorteile sich daraus für das Berichtswesen und die Transparenz ergeben. Jedoch ist es mit diesem Prozessablauf, in dem Risiken und Kontrollen kommuniziert werden, und der Festlegung der Verantwortlichkeiten nicht getan. Um von einer ordnungsgemäßen und effektiven Einbindung in ein IKS zu sprechen, sollten folgende Punkte, die innerhalb eines Kontrollrahmens wesentlich sind, berücksichtigt werden (Auszug):
1. Berücksichtigung des Themas "Compliance" im Kontrollumfeld
Damit ein Unternehmen „compliant“ handelt, sollte es eine gewisse „Compliance-Kultur“ auch leben. Hiermit ist nicht gemeint, auf Unternehmensebene eine Standard-Verhaltensrichtlinie per Rundschreiben zu veröffentlichen und im Intranet zu hinterlegen. Es bedarf einer ausführlichen Kommunikation und einer konsequenten Einhaltung. Hier hat insbesondere das Management eine Vorbildfunktion. Sinn und Zweck von Compliance und Kontrollen sollten mit Hilfe eines durchdachten Schulungskonzeptes geschult werden. Die Prozesse innerhalb der Geschäftsbereiche sollten so optimiert werden, dass Verstöße gegen Gesetze, Vorgaben, aber auch interne Richtlinien, ohne Angst vor eigenen Nachteilen gemeldet werden können. Des Weiteren dürfen keine falschen Anreizsysteme geschaffen werden, die, zum Beispiel, Türen zu Betrug öffnen. Das Thema "Kontrollumfeld" ist ein sehr umfangreiches Thema, welches im Rahmen dieses Artikels nicht gänzlich analysiert werden kann.
2. Im Risiko- und Kontrollprozess das Thema "Compliance" gesondert betrachten
Üblicherweise werden für die Aufnahme und Bewertung von Risiken und Kontrollen Expertengespräche, Control Self Assessments (CSA) oder andere Methoden angewendet. In diesen Gesprächen sollte das Thema "Compliance" strukturiert analysiert werden, beispielsweise durch die Abfrage und Erläuterung typischer Compliance-Risiken und die Zuordnung derer in eine eigene Risikoklasse. Schwieriger wird es bei der Bewertung dieser Risiken, da das Ausmaß schwer beziffert werden kann, falls nicht das Vergehen mit direktem Bußgeld zusammenhängt. Der größte Schaden bezieht sich aber oft auf die Reputation. Vergleichsfälle, definierte Szenarien, die oft nicht bedacht werden, können zur Analyse herangezogen werden, um solche Geschehnisse „vorstellbar“ zu machen. Ergebnis sollte es sein, Standardrisiken wie „Nichteinhaltung der Gesetze“ in den Risikokatalogen ohne nähere Erläuterungen zu vermeiden.
Gute Kenntnisse und Erfahrung sind vor allem bei der Identifizierung und Bewertung von dazugehörigen Kontrollen notwendig, insbesondere wenn es sich um solche handelt, die auf die Verhinderung von Verstößen durch betrügerisches Handeln abzielen. Eine angemessene Compliance-Funktion im Rahmen des IKS muss auch für Fraud-Fälle geeignete präventive und detektivische Maßnahmen vorweisen. Die Herausforderung ist dabei, die Möglichkeiten des Betruges von vornherein zu begrenzen, ohne dass sich eine Misstrauenskultur im Unternehmen unbeabsichtigt einschleicht.
Weitere Punkte, wie ein angemessenes Monitoring der Kontrollen oder Festlegung von Informations- und Kommunikationswegen, sind ebenfalls Punkte, die auf die Compliance-Funktion wesentlichen Einfluss haben. Sie werden aber in diesem Artikel nicht weiter beleuchtet.
Zum Schluss soll noch auf eine Thematik besonders hingewiesen werden. Durch die Auslagerung von Funktionen und Dienstleistungen verschieben Unternehmen gleichzeitig auch Compliance-Risiken, die durch ein fahrlässiges Handeln der externen Dienstleister Schaden verursachen können. Ein ordnungsgemäßes IKS, eine effektive Compliance-Funktion und natürlich das Risikomanagement müssen auch diese Risiken berücksichtigen und mit Hilfe von Kontrollen steuern.
Sollten Sie Interesse an bestimmten Themen haben oder einen reinen unverbindlichen Gesprächstermin wünschen, lassen Sie uns dies bitte wissen. Sie können hierfür das Kontaktformular nutzen oder dem Autor eine E-Mail schreiben: ioannis.karamitros@compliance-net.com.