Das interne Steuerungs- und Kontrollsystem

Das interne Steuerungs- und Kontrollsystems (ISK) gewährleistet einen effizient und effektiv gestalteten Prozessablauf im Unternehmen. Aufgabe des ISK ist zum Einen die Prüfung der Einhaltung aller rechtlichen Rahmenbedingungen, Regelungen, Satzungen sowie unternehmensspezifischen Vereinbarungen und zum Anderen die Bereitstellung steuerungs- und kontrollrelevanter Informationen vollständig, korrekt sowie adressaten- und zeitgerecht.

Das Interne Steuerungs- und Kontrollsystem im Überblick

Das Interne Steuerungs- und Kontrollsystem setzt sich zusammen aus dem Risikotragfähigkeitskonzept, dem Limitsystem, dem Risikokontrollprozess (Risikoidentifikation,

Risikoanalyse und –bewertung, Risikosteuerung, Risikoüberwachung) sowie der Risikoberichterstattung.

Das Risikotragfähigkeitskonzept

Laut Rundschreiben 3 / 2009, 7.3.1 muss das Risikotragfähigkeitskonzept die Darlegung des insgesamt zur Verfügung stehenden Risikodeckungspotenzials und dessen Anteil zur Abdeckung aller wesentlichen Risiken beinhalten. Die Risikotragfähigkeit muss dabei mindestens den aufsichtsrechtlichen

Kapitalausstattungsanforderungen (derzeit: Solvency I) genügen. Dabei ist bei der Erstellung des unternehmensspezifischen Risikotragfähigkeitskonzeptes darauf zu achten, dass eine vollständige und nachvollziehbare Dokumentation der Methoden und Annahmen vorgenommen wird (Rundschreiben 3 / 2009, 7.3.3).

Das Limitsystem

Grundlage des Limitsystem bildet das Risikotragfähigkeitskonzept. Bei der Entwicklung eines unternehmensspezifischen Limitsystems durch die Geschäftsleitung ist – gemäß des Rundschreibens 3 / 2009, 7.3.1 – darauf zu achten, dass dieses im Einklang mit der innerhalb der Risikostrategie festgelegten Risikolimiten erfolgt und alle relevanten Steuerungsebenen sowie Risikokategorien erfasst sind. Die Kontrolle und periodische Berichterstattung der Limitauslastung erfolgt in Form von quantitativen oder qualitativen Risikokennzahlen durch die unabhängige Risikocontrollingfunktion an die Geschäftsleitung. Die Risikokennzahlen sind dafür auf Gesamtunternehmensebene zu aggregieren

und mit dem Anteil des Risikodeckungspotenzials zur Abdeckung der Risiken zu vergleichen. Um bei einer Überschreitung der Schwellenwerte entsprechend reagieren zu können, ist hierfür die Festlegung von innerbetrieblichen Leitlinien erforderlich. Sie geben zum einen den Berichtsprozess bei Limitverletzungen vor und zum Anderen die Konsequenzen bei einer Limitüberschreitung (Eskalationsverfahren).
Kommt es zu einer Limitüberschreitung, so hat die unabhängige Risikocontrollingfunktion die Dauer sowie die Überschreitung der Schwellenwerte an die Geschäftsleitung zu berichten.

Die Risikoidentifikation

Die Risikoidentifikation bildet die Basis des Risikokontrollprozesses (Rundschreiben 3 / 2009, 7.3.2.1). Hierfür ist es erforderlich, dass eine einheitliche Datenbasis, eine ausgeprägte Risikokultur sowie ein funktionierendes Risikomeldewesen im Unternehmen implementiert ist, um eine Definition, Strukturierung, zeitnahe Erfassung und Klassifizierung der unternehmensspezifischen Risiken vornehmen zu können. Anhand des Rundschreibens 3 / 2009, 5 sind mindestens folgende Risikokategorien zu berücksichtigen:

  • versicherungstechnisches Risiko,
  • Marktrisiko,
  • Kreditrisiko (einschließlich Länderrisiko),
  • Operationelles Risiko,
  • Liquiditätsrisiko,
  • Konzentrationsrisiko,
  • Strategisches Risiko und
  • Reputationsrisiko.

Ein weiterer Bestandteil der Risikoidentifikation ist die Definition von sogenannten internen als auch externen Faktoren, die das Risiko wesentlich beeinflussen (sog. Risikotreiber) und Bezugsgrößen, die von der Risikowirkung betroffen sind (sog. Risikobezugsgröße) (Rundschreiben 3 / 2009, 7.3.2.1(1)).

Die Risikoanalyse und -bewertung

Auf Grundlage der Priorisierung nach Wesentlichkeit sowie der Einteilung der potenziellen Risiken nach Risikokategorien und Bezugsgrößen kann das Unternehmen gemäß Rundschreiben 3 / 2009, 7.3.2.2 unterscheiden, mit welcher Methodik die Risiken analysiert werden. Eine Möglichkeit wäre z.B. mittels Wahrscheinlichkeitsverteilung.
Im Anschluss erfolgt die Risikobewertung. Anzuwendende Methoden sind beispielsweise die Fehlerbaumanalyse, die Sensitivitätsanalyse und die ABC-Analyse.

Die Risikoanalyse und -bewertung kann anhand qualitativer und quantitativer Methoden erfolgen, bspw. Befragungstechniken, Stresstests, Balanced Scorecard, Risikomatrix / Risikolandkarte, Szenario- oder Sensitivitätsanalyse, Brutto- und Nettobewertung. Die Bestimmung des unter Zugrundelegung eines bestimmten Sicherheitsniveaus erwarteten Verlustes bei versicherungstechnischen Risiken kann mittels aktuarieller Modelle ermittelt werden. Der betrachtete Zeithorizont ist einjährig.
(Rundschreiben 3 / 2009, 7.3.2.2)

Die Risikosteuerung

Gemäß Rundschreiben 3 / 2009, 7.3.2.3(1) und 7.3.2.3(1) Erläuterung wird unter Risikosteuerung das Treffen von Maßnahmen zur Risikohandhabung verstanden. Die Risikosteuerung umfasst demzufolge den Entwicklungs- und Umsetzungsprozess von Strategien und Konzepten, die darauf ausgerichtet sind, identifizierte und analysierte Risiken entweder

bewusst zu akzeptieren, zu vermeiden zu reduzieren oder abzuwälzen. Beispiele für konkrete Maßnahmen können z.B. verstärkte Kontrollen sein, die die Eintrittswahrscheinlichkeit des Risikos mindern, oder aber eine Erhöhung des Rückversicherungsschutzes zur Begrenzung der Schadenhöhe.

Die Risikoüberwachung

Laut Rundschreiben 3 / 2009, 7.3.2.4 gehört zur regelmäßigen Risikoüberwachung aller identifizierten und analysierten Risiken durch die unabhängige Risikocontrollingfunktion die Kontrolle des Risikoprofils, der Limite, der

Umsetzung der Risikostrategie, der Risikotragfähigkeit, der risikorelevanten Methoden und Prozesse sowie der Risikohandhabung.

Die Risikoberichterstattung

Gemäß §64a Abs. 1 Satz 4 Nr. 3d VAG sowie Rundschreiben 3 / 2009, 7.3.4 wird von den Unternehmen eine mindestens jährliche, aussagefähige Risikoberichterstattung gefordert.

Der Risikobericht sollte nach Rundschreiben 3 / 2009, 7.3.4(1) und 7.3.4(4) Informationen zum Gesamtrisikoprofil, zur Risikosituation als auch zum Soll-Ist-Abgleich der in der Risikostrategie festgelegten Ziele und Limitauslastungen beinhalten. Er sollte Informationen zu vergangenheits- und zukunftsbezogenen Änderungen hinsichtlich der Methodik der Risikoidentifizierung, -analyse und -bewertung umfassen, wenn

diese Auswirkungen auf das Ergebnis des Unternehmens haben (Rundschreiben 3 / 2009, 7.3.4(2)). Der Risikobericht umfasst außerdem Informationen zur Änderung der Geschäftspolitik, eingeleitete Maßnahmen zur Risikosteuerung und Hinweise zu Folgen, die sich aufgrund von wesentlichen unternehmensinternen Änderungen ergeben Rundschreiben 3 / 2009, 7.3.4(3)).

Die Geschäftsleitung muss des Weiteren jederzeit in der Lage sein, den Risikobericht sowie die Handlungsalternativen und Maßnahmen zu erläutern (Rundschreiben 3 / 2009, 7.3.4(7)).