Das Risikomanagementsystem

Das Risikomanagementsystem ist ein integraler Bestandteil der Geschäfts-, Planungs- und Kontrollprozesse im Rahmen von Solvency II. Ziel des Risikomanagementsystems ist die frühestmögliche Erkennung von Risiken auf Einzelbasis und aggregierter Ebene sowie deren gegenseitige Abhängigkeiten und anhand dessen eine Optimierung des Chancen-Risiko-Profils für das Unternehmen vorzunehmen.

Das Risikomanagementsystem im Überblick

Die gesetzlichen und rechtlichen Vorgaben, die das Risikomanagementsystem nach Solvency II zu erfüllen hat, sind in folgenden Regularien fixiert:

  • Rahmenrichtlinie 2009/138/EG:
    • Artikel 44
  • Delegierte Verordnung (EU) 2015/35 unter Berücksichtigung der Delegierten Verordnung (EU) 2016/2283:
    • Artikel 259 bis 262
  • Leitlinien zum Governance-System (EIOPA-BoS-14/253 DE):
    • Leitlinie 17, 18, 20 bis 26
  • nationales Versicherungsaufsichtsgesetz in der jeweils gültigen Fassung
  • weitere Veröffentlichungen der nationalen Aufsicht

Versicherungs- und Rückversicherungsunter­nehmen sind gemäß Artikel 44 der Richtlinie 2009/138/EG aufgefordert, ein Risiko-manage­mentsystem in ihrem jeweiligen Unternehmen zu implementieren.

Ziel des Risikomanage­mentsystems soll es sein, anhand geeigneter Strategien, Vorgehensweisen und Meldepro­zesse, die vorhandenen und zukünftigen Risiken, denen das Unternehmen ausgesetzt ist, fortwährend zu messen, zu überwachen, zu managen und zu berichten. Dabei werden die Risiken betrachtet, welche im Sinne von Artikel 101 Abs. 4 der Richtlinie 2009/138/EG zu berücksichtigen sind zuzüglich derer, denen das Unternehmen ausgesetzt ist oder ausgesetzt sein könnte. Um dies umsetzen zu können, muss das Risiko-managementsystem Bestandteil der Organisationsstruktur und in die Entscheidungsprozesse des Versicherungs- oder Rückversicherungsunternehmens inte­griert sein. Implementiert wird das Risikomana­gementsystem durch die Risikomanagement­funktion, die in jedem Unternehmen als eine der vier Schlüsselfunktionen des Governance-Systems einzurichten ist.

Neben den obigen Anforderungen werden ggf. Ergebnisse aus Stresstests und Szenarioanalysen, die zum Beispiel im Rahmen der unternehmenseigenen Risiko- und Solvabilitätsbeurteilung stattfinden, in das Risikomanagementsystem integriert sowie externe Ratingergebnisse hinterfragt.

Das Risikomanagementsystem umfasst mindestens die folgenden Bereiche:

  • Risikoübernahme und Rückstellungsbildung
  • Aktiv-Passiv-Management
  • Anlagenrisikomanagement, insbesondere Derivate und ähnliche Verpflichtungen
  • Liquiditätsrisikomanagement
  • Konzentrationsrisikomanagement
  • Risikomanagement operationeller Risiken
  • Rückversicherung und andere Risiko-minderungstechniken von Versicherungsrisiken

Für diese Bereiche sind in den schriftlich fixierten Leitlinien entsprechende Strategien zu erfassen. Dabei sind die Risiken

  • nach Art des Risikos zu kategorisieren und
  • die genehmigten Risikotoleranzschwellen für jede einzelne Risikoart zu definieren.

Mit Hilfe dieser Leitlinien können die Kontrollmechanismen sowie die Umsetzung der Risikomanagementstrategie unterstützt werden.

Die Risikomanagementstrategie ist von den Versicherungs- und Rückversicherungsunter­nehmen gemäß Artikel 259 Absatz 1 a) der Delegierten Verordnung (EU) 2015/35 zu entwickeln. Diese ist so vorzunehmen, dass sie im Einklang mit der allgemeinen Geschäfts­strategie des Unternehmens steht. Die Geschäftsstrategie, deren Festlegung durch die Geschäftsleitung erfolgt und auf keinen gesetzlichen Vorgaben beruht, beinhaltet die geschäftspolitische Ausrichtung, Zielsetzung und Planung des Unternehmens im Zusammenhang mit nachhaltigen Geschäftser­wartungen über einen Zeithorizont von mindestens drei Jahren.

Die grundsätzliche Aufgabe der Risikomanage­mentstrategie ist es, die Auswirkungen der Geschäftsstrategie auf die Risikosituation des Unternehmens zu beschreiben. Des Weiteren soll sie den Umgang des Unternehmens mit vorhandenen Risiken wiedergeben und deren Fähigkeit, neu hinzukommende Risiken zu tragen.
Genau wie die Geschäftsstrategie sollte die Risikostrategie mindestens einmal im Geschäftsjahr durch die Geschäftsleitung überprüft werden.

Unterschiede und Gemeinsamkeiten zwischen Deutschland und Österreich

Die nationalen Anforderungen an das Risikomanagementsystem sind

  • für Deutschland im §26 des Gesetzes über die Beaufsichtigung der Versicherungsunternehmen (Versicherungsauf­sichtsgesetz – VAG) und
  • für Österreich über §110 des Bundesgesetzes über den Betrieb und die Beaufsichtigung der Vertragsversicherung (Versicherungsaufsichtsgesetz 2016 – VAG 2016) konkretisiert.

Des Weiteren ist

  • das Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransfer-verordnung und zur Neuorganisation der Zentral-stelle für Finanztransaktionsuntersuchungen (GwG) in Deutschland und
  • das Bundesgesetz zur Verhinderung der Geldwäscherei und Terrorismusfinanzierung im Finanzmarkt (Finanzmarkt-Geldwäschegesetz FM-GwG) in Österreich

zu beachten.

Es gibt keine Unterschiede in den rechtlichen Vorgaben, wie die Risiken zu erkennen, zu messen, zu überwachen und zu managen sind.

In Deutschland sind neben dem VAG auch die Anforderungen des Rundschreibens 2/2017 (VA) – Mindestanforderungen an die Geschäfts­organisation von Versicherungsunternehmen (MaGo) der BaFin vom 25.01.2017, Kapitel 10 zu berücksichtigen.