Zum Vergleich: Mindestanforderungen an das Risikomanagement existieren bereits seit einigen Jahren für Kreditinstitute. Im Jahr 1997 wurde § 25a KWG in das Kreditwesengesetz (KWG) aufgenommen, der die besonderen organisatorischen Pflichten von Kreditinstituten regelt. Zu dessen Auslegung wurden später aufsichtsseitig verschiedene Verlautbarungen und Rundschreiben veröffentlicht, die mittlerweile im BaFin-Rundschreiben 5/2007 (MaRisk BA) zusammengefasst sind. Vorausgegangen waren jeweils längere Konsultationsphasen mit der Kreditindustrie ähnlich wie sie jetzt für Versicherer erfolgten (Vgl. insbesondere auch T. Ramke, N.O. Angermüller: Wenig Unterschiede zu den Banken. Zum neuen Entwurf der MaRisk für Versicherungen. Versicherungswirtschaft, Heft 12/2008, S. 10021005).
Die MaRisk VA konkretisieren § 64a VAG. Gemäß § 64a VAG müssen Versicherungsunternehmen über eine ordnungsgemäße Geschäftsorganisation verfügen, welche die Einhaltung der von ihnen zu beachtenden Gesetze und Verordnungen sowie der aufsichtsbehördlichen Anforderungen gewährleistet. Eine derart ordnungsgemäße Geschäftsorganisation setzt neben einer dem Geschäftsbetrieb angemessenen ordnungsgemäßen Verwaltung und Buchhaltung ein angemessenes Risikomanagement voraus.
Zum Risikomanagement gehört dabei nicht nur die Risikostrategie, die sämtliche Risiken des betriebenen Geschäfts umfassend berücksichtigen muss; auch ist ein organisatorischer Rahmen erforderlich, mit dessen Hilfe der Geschäftsablauf effektiv überwacht und flexibel an veränderte Rahmenbedingungen angepasst werden kann.
Grundsatz der Proportionalität
Der Grundsatz der Proportionalität ist der zentrale Maßstab in den MaRisk VA. Er besagt, dass sämtliche Anforderungen konkret immer unter Berücksichtigung der individuellen Risiken, der Art und des Umfangs des Geschäftsbetriebes sowie der Komplexität des Geschäftsmodells umzusetzen sind. Damit stellen die MaRisk VA keinen „one size fits all approach“ dar, sondern gehen explizit auf die individuellen Gegebenheiten der regulierten Unternehmen ein. Die BaFin geht daher davon aus, dass die Anforderungen des Rundschreibens von allen betroffenen Unternehmen erfüllt werden können. Blickt man auf die Erfahrungen im Bankensektor, ist die Flexibilität der große Vorteil der Prinzipienorientierung. Als nachteilig wird hingegen sowohl von Fach- als auch prüfenden Bereichen zuweilen empfunden, dass der Verzicht auf klare Vorgaben Unsicherheit dahingehend verursacht, welche Intensität des Risikomanagements angemessen sei.
Die Verantwortlichkeit für die in den MaRisk VA geforderte ordnungsgemäße Geschäftsorganisation liegt gem. Abschnitt 6 MaRisk VA bei allen Geschäftsleitern. Diese Verantwortlichkeit ist nicht delegierbar.
Risiken
Der Risikobegriff wird in den MaRisk VA als Möglichkeit des Nichterreichens eines explizit formulierten oder sich implizit ergebenden Zieles verstanden. Die Unternehmensleitung hat sich einen Überblick über das Gesamtrisikoprofil des Unternehmens zu verschaffen und zu bewerten, welche Risiken als wesentlich einzustufen sind. Hierzu ist eine Risikoanalyse durchzuführen, bei der Risiken zunächst identifiziert und dann bewertet werden. Die wesentlichen
Risiken sind besonders intensiv im Risikomanagement zu berücksichtigen und können potenziell aus allen Geschäften und Unternehmensbereichen resultieren. Aufsichtsrechtlich sind jedoch zumindest die in der Abbildung „Risikokategorien“ dargestellten acht Risikokategorien zu berücksichtigen.
Besonders das Reputationsrisiko hat im Verlauf der aktuellen Finanzkrise an Bedeutung gewonnen. Es tritt meist auf, wenn sich andere Risiken wie etwa Marktpreisrisiken realisieren. Interessant ist, dass die Abgrenzung einiger Risiken anders als bei den MaRisk für Banken erfolgte: Hier sind strategische Risiken und Reputationsrisiken den operationellen Risiken zugeordnet.
Elemente eines angemessenen Risikomanagements
Neben den oben vorgestellten Risiken werden auch die Elemente eines angemessenen Risikomanagements explizit durch den Abschnitt 7 der MaRisk VA vorgegeben. Ausgangspunkt für ein funktionsfähiges Risikomanagement ist die Risikostrategie, in der grundsätzliche Festlegungen getroffen werden. Ein funktionsfähiges Risikomanagement setzt voraus, dass es auf einer adäquaten Organisation basiert. Im Bereich der Aufbauorganisation gilt es insbesondere sicherzustellen, dass miteinander unvereinbare Tätigkeiten klar funktional getrennt werden. Im Rahmen der Ablauforganisation ist die Notwendigkeit eines so genannten internen Steuerungs- und Kontrollsystems von besonderer Bedeutung.
Das interne Steuerungs- und Kontrollsystem fordert einen Risikomanagement-Regelkreis. Dieser beinhaltet die Elemente Risikomanagement-Rahmen, Risikoidentifikation, Risikoanalyse und -bewertung, Risikosteuerung und Risikokontrolle sowie die Risikokommunikation. Zu einem angemessenen Risikomanagement gehören darüber hinaus eine Interne Revision sowie interne Kontrollen.
Outsourcing
Für viele Versicherer hat Outsourcing in den letzten Jahren erheblich an Bedeutung gewonnen. Im aktuellen Marktumfeld ist damit zu rechnen, dass der Ergebnisdruck diese Tendenz weiter verstärken wird. Sollen so genannte Funktionsausgliederungen durchgeführt werden, zum Beispiel Call-Center-Aktivitäten an einen Partner vergeben werden, sind (wie auch seit Ende 2007 bei Banken) relativ weitreichende Anforderungen zu erfüllen. So hat das auslagernde Unternehmen im Vorfeld eine Risikoanalyse durchzuführen. Auf deren Basis muss es gem. Abschnitt 8 Nr. 2 MaRisk VA eigenverantwortlich festlegen, welche Aktivitäten und Prozesse überhaupt ausgelagert werden dürfen. In diese Bewertung ist auch die interne Revision einzubinden. Ist eine Auslagerung zulässig, so ist auch der ausgelagerte Bereich weiterhin in das Risikomanagement zu integrieren. Von Bedeutung für die Geschäftsleitung ist, dass sie auch im Falle einer Auslagerung für die Ordnungsmäßigkeit verantwortlich bleibt. Im Bankenbereich hat sich gezeigt, dass die eigenverantwortliche Bewertung von Auslagerungen vielfältige Herausforderungen mit sich bringt was die Bewertungskriterien anbelangt. Das große Maß unternehmerischer Freiheit wird hier insoweit mit Unsicherheit hinsichtlich der Angemessenheit der Bewertung und des Risikomanagements verknüpft. Zur Unterstützung der Bewertung können unter anderem externe Standards wie etwa DIN-EN-ISO-Zertifizierungen herangezogen werden. Einen abschließenden Überblick über die wesentlichen Anforderungen der MaRisk VA gibt die Aufstellung „Anforderungen gemäß MaRisk VA“.
Ausblick
Versicherer werden durch die Umsetzung der MaRisk VA mit erheblichen Anforderungen konfrontiert. Diese können aber auch als Chance begriffen werden, den eigenen Umgang mit wesentlichen Risiken zu verbessern und dadurch auch unternehmerischen Mehrwert zu generieren. Die erwähnte Prinzipienorientierung erlaubt hierbei einerseits ein hohes Maß an Flexibilität, das aber andererseits auch partiell zu Unsicherheit führt. Eine wesentliche Änderung ist die auch im Bankenbereich durchzuführende Risikoanalyse bei Funktionsausgliederungen. Die MaRisk VA konkretisieren den § 64a VAG. Der Geschäftsleitung drohen bei dessen Nichteinhaltung erhebliche Sanktionen, auch im zivil- und strafrechtlichen Bereich.