Elemente eines Governance-Systems
Die Anforderungen an ein Governance-System in Versicherungsunternehmen sind ein wesentlicher Bestandteil von Solvency II. Konkretisiert werden diese Anforderungen in den Artikeln 41 bis 50 der EU-Richtlinie 2009/138/EG vom 25.11.2009, welche auch in die nationale Gesetzgebung einfließen werden. Angelehnt an die Richtlinie sollte ein wirksames Governance-System folgende Elemente umfassen:
Beurteilung und Weiterentwicklung des Governance-Systems im eigenen Unternehmen
Die Elemente sind bei den meisten Versicherungsunternehmen bereits vorhanden, wahrscheinlich aber noch nicht in dem Umfang, um den zukünftigen Anforderungen gerecht zu werden. Z.B. existiert eine Compliance-Abteilung, die jedoch nicht die Anforderungen einer Compliance-Funktion erfüllt, oder Kontrollen liegen unternehmensweit vor, jedoch fehlt der Kontrollrahmen, der ein Kontrollsystem erst wirksam macht.
Eine Überprüfung der Wirksamkeit des Governance-Systems, um darauf aufbauend die notwendigen Maßnahmen zu ergreifen, damit geltende und zukünftige Anforderungen erfüllt sind, ist zeitaufwendig und stellt für viele Unternehmen eine Herausforderung dar. In einem ersten Schritt sollte im Rahmen einer Bestandsaufnahme festgestellt werden, welche Elemente vorhanden und wie diese ausgeprägt sind. Im Anschluss sollten die Ergebnisse mit den Anforderungen abgeglichen und entsprechende Maßnahmen abgeleitet werden.
Erfahrungsgemäß ist der entscheidende Schritt jedoch, die Prozesse und Kommunikationswege zu implementieren, die mehrere Elemente verknüpfen. Die Führungs- und Überwachungssysteme im Rahmen des Governance-Konzeptes sind keine unabhängigen Bausteine.
Schnittstellen und Abhängigkeiten der Elemente
Die Wirksamkeit des Governance-Systems hängt zu einem großen Teil davon ab, inwieweit Schnittstellen und Abhängigkeiten der einzelnen Elemente berücksichtigt und darauf aufbauend Kommunikationswege geschaffen werden. Eine isolierte Betrachtung der Elemente verringert die Effektivität des Governance-Systems. Zudem besteht das Risiko, dass Aufgaben bei der Umsetzung der Anforderungen doppelt ausgeführt werden und zu unterschiedlichen Informationsständen im Unternehmen führen. Das zentrale Element wird dabei das Risikomanagementsystem sein.
Drei Beispiele zur Verdeutlichung (die Beispiele sind vereinfacht dargestellt und beschreiben lediglich einen fokussierten Teil der Aufgaben in einem entsprechenden Projekt):
1) Abhängigkeit zwischen Risikomanagement und IKS
Ein Unternehmen erkennt Verbesserungspotentiale bei den Themen "Risikomanagement" und "IKS" und entschließt sich, in Projektarbeit diese Themen gemäß den aufsichtsrechtlichen Anforderungen weiterzuentwickeln. Ein effektiver Ansatz wäre, das Kontrollsystem auf Basis der Risikoerfassung aufzusetzen und das nicht getrennt voneinander durchzuführen. Es wäre nicht ratsam, im gleichen Fachbereich einerseits Risiken zu erfassen (Projekt Risikomanagement) und andererseits zu einem anderen Zeitpunkt Kontrollziele zu benennen (IKS-Projekt), die nicht mit den wesentlichen Risiken zusammenhängen bzw. denen nicht zugeordnet werden können. Die Basis sollte hier die gleiche sein. Das vereinfacht den Prozess für die Verantwortlichen, die Projekt- und laufenden Kosten sind geringer und das Berichtswesen für IKS und Risikomanagement basiert auf einheitlichen Informationen.
2) Schnittstelle Notfallplanung und Risikomanagement
Ein Unternehmen verbessert seine Notfallplanung und orientiert sich dabei u.a.an anerkannten Standards (bspw. BS 25999 oder zukünftig ISO 22301). Im Rahmen dieses Vorhabens werden auch Risiken identifiziert und Maßnahmen auf Basis möglicher Notfälle, Krisen und Katastrophen festgelegt und getestet. Die Festlegung dieser Risiken und Maßnahmen der Notfallplanung sollten zumindest im Risikokatalog des Unternehmens zu finden sein und mit den Risikomeldungen der Fachbereiche übereinstimmen. Hierfür müssen geeignete Kommunikationswege zwischen Risikomanagement und den Verantwortlichen der Notfallplanung implementiert werden.
3) Outsourcing, Revision, Risikomanagement und IKS (Ausschnitt des Prozesses)
Die Auslagerung von Prozessen entbindet das Unternehmen nicht von der Verantwortung, die Ordnungsmäßigkeit der Prozesse zu überprüfen. Daher sollten die Vertragswerke immer dem auslagernden Unternehmen ein Prüfungsrecht für die eigene Revision oder Externe einräumen. Die Ergebnisse dieser Prüfungen, welche primär die Gestaltung und Wirksamkeit der Kontrollen beurteilen, sollten dem Risikomanagement kommuniziert werden, damit Risiken durch Auslagerung nicht aus der Betrachtung fallen. In der Praxis werden die Prüfungsergebnisse nicht immer in das Risikomanagement integriert. Meist verbleibt es bei einer Abstimmung zwischen Revision und geprüftem Bereich, der die aus der Prüfung identifizierten Risiken und Kontrollen (evtl. auch ergänzenden Kontrollen im eigenen Unternehmen) dem Risikomanagement nicht meldet. Die Folgen sind z.B., dass eventuelle wesentliche (operationelle) Risiken nicht in die Bewertung einfließen, die Maßnahmen und Kontrollen nicht zentral erfasst oder wichtige Themen nicht berücksichtigt werden.
MaRisk VA vs. zukünftige Anforderungen
Die obigen Ausführungen verdeutlichen, dass Information und Kommunikation einen wesentlichen Bestandteil der zu beachtenden Aspekte in einem Governance-System darstellen.
Die MaRisk VA als „Abbild“ der Säule 2 beinhaltete bereits Punkte wie Outsourcing oder Notfallplanung, der Schwerpunkt lag aber bei der Ausgestaltung der eigentlichen Risikomanagementbestandteile. Die neue nationale Gesetzgebung, welche auf der EU-Richtlinie 2009/138/EG vom 25.11.2009 aufbaut, und die Durchführungsbestimmungen der europäischen Kommission werden auch die Anforderungen an die anderen Elemente des Governance-Systems konkretisieren.
Das Thema "Governance-System" in Versicherungsunternehmen ist ein sehr umfangreiches Gebiet, über welches wir Sie mit der Veröffentlichung weiterer Artikel in Zukunft näher informieren möchten. Sollten Sie Interesse an bestimmten Themen haben oder einen reinen unverbindlichen Gesprächstermin wünschen, lassen Sie uns dies bitte wissen. Sie können hierfür das Kontaktformular nutzen oder dem Autor eine E-Mail schreiben: ioannis.karamitros@compliance-net.com.