Dem qualitativen Risikomanagement bei Kreditinstituten liegt in Deutschland § 25a KWG zugrunde, konkretisiert durch die Mindestanforderungen an das Risikomanagement für Kreditinstitute (kurz MaRisk BA, BaFin-Rundschreiben 05/2007). Für die Versicherungswirtschaft wird mit Solvency II ein Basel-II-analoges Modell erprobt. Es beruht auf den Erfahrungen der Kreditinstitute mit Mindestanforderungen. Politisch ist die Konsistenz zwischen Banken- und Versicherungsaufsicht gewollt. Als Nebeneffekt werden den Versicherungsgesellschaften teure Umwege erspart, die die Banken zwangsläufig hinnehmen mussten. Die quantitativen Aspekte des Risikomodells werden für Versicherer derzeit in sogenannten QIS-Studien untersucht, für die qualitativen Aspekte hat die BaFin im Januar 2009 das Rundschreiben 3/2009 Mindestanforderungen an das Risikomanagement für Versicherungsunternehmen (kurz MaRisk VA) veröffentlicht und die Solvency-II-Bestrebungen damit frühzeitig umgesetzt. Die MaRisk VA sind für die Versicherungswirtschaft nicht nur eine weitere Verpflichtung, sondern auch eine große Hilfestellung. Denn sie setzen die richtigen Akzente, etwa indem sie eine Risikokultur innerhalb des Unternehmens fordern, die alle mit Risiken befassten Mitarbeiter eint: Gefahrenbewusstsein, Transparenz und Dialog sind der Schlüssel zum guten Risikomanagement. Es gibt nicht die eine Risikokultur sie muss immer den Gegebenheiten angepasst und von der obersten Ebene nach unten
systematisch vorgelebt werden. Dieser Beitrag stellt MaRisk VA und MaRisk BA sowie deren gesetzliche Grundlagen aus VAG und KWG einander gegenüber und erläutert die wesentlichen Gemeinsamkeiten und Unterschiede. Versicherer
können aus den Erfahrungen der Umsetzung in Banken viel lernen und sie effizienzsteigernd für sich nutzen.
Gesamtverantwortung der Geschäftsleiter
Die Verantwortung für die „ordnungsgemäße Geschäftsorganisation“ liegt bei der Geschäftsleitung des Versicherungsunternehmens insgesamt. Damit sind alle Vorstände oder Geschäftsführer für Implementierung und Weiterentwicklung des Risikomanagements zuständig. Sie müssen auf Grundlage von Berichten wissen, welchen Risiken das Unternehmen ausgesetzt ist, deren Auswirkungen beurteilen können und Maßnahmen zur Begrenzung ergreifen.
Relevanz für den Aufsichtsrat
Die Geschäftsleitung hat das Aufsichtsorgan regelmäßig adäquat über die Risikosituation zu informieren. Die MaRisk VA gewichten das Aufsichtsorgan stärker als die MaRisk BA: Seine Mitglieder können sich direkt an das Risikocontrolling wenden und Informationen einholen. Hinsichtlich gewollt eingegangener Risiken muss die Geschäftsleitung für das Aufsichtsorgan dokumentieren, welche Handlungsalternativen im Entscheidungszeitpunkt vorlagen und warum die Risikoübernahme präferiert wurde.
Grundsatz der Proportionalität
Die MaRisk sind prinzipienorientiert konzipiert. Jedes Unternehmen darf also im Rahmen der Mindestanforderungen entscheiden, wie es das Risikomanagement konkret ausgestaltet. Es muss lediglich zu Risikostruktur, Art und Umfang des Geschäftsbetriebs sowie dem gewählten Geschäftsmodell passen, oder, anders ausgedrückt, proportional sein. Dabei gilt der Grundsatz der Materialität: Nur wesentliche Risiken sind zu beachten. Für die Praxis bedeutet das Flexibilität, aber auch eine nicht zu unterschätzende Herausforderung.
Kernfelder des Risikomanagements
§ 64a Abs. 1 VAG ist parallel zu
§ 25a KWG formuliert. Danach muss zunächst eine auf die Unternehmenssteuerung abgestimmte Risikostrategie (§ 64a Abs. 1 Satz 4 Nr. 1 VAG) und eine Organisationsstruktur entwickelt werden, die Überwachung und Kontrolle der wesentlichen Prozesse erlaubt (Satz 4 Nr. 2). Dabei müssen die wesentlichen Risiken auf Gesamtunternehmensebene berücksichtigt (Satz 4 Nr. 3c) und ein internes Kontroll- und Steuerungssystem einschließlich Risikotragfähigkeitskonzept und Limitsystem (Satz 4 Nr. 3a), Prozessen zur Identifikation, Analyse, Bewertung, Steuerung und Überwachung von Risiken (Satz 4 Nr. 3 b) sowie der Risikoberichterstattung eingerichtet werden. Als letzten Punkt fordert § 64a Abs. 1 VAG eine unabhängige interne Revision (Satz 4 Nr. 3d). Abs. 4 stellt klar, dass die Geschäftsleitung auch für Aufgaben, die an Fremdfirmen ausgelagert wurden, die volle Verantwortung trägt. § 64a Abs. 2 VAG erweitert die Anforderungen vom Einzelunternehmen auf die Gruppenebene.
Erfahrungen der Bankenwelt führen zu konkreten Vorgaben
Der erste der genannten Punkte Aufstellung einer Risikostrategie zieht sich durch den ganzen strategischen und operativen Prozess. Sie ist der Ausgangspunkt für das Risikomanagement und muss unbedingt aus der Geschäftsstrategie abgeleitet werden. Die Probleme und praktischen Erfahrungen der Banken führten bei den MaRisk VA zu konkreten Vorgaben, wie die Risikostrategie auf operativer Ebene umzusetzen ist: Die strategischen Risikoziele sind für alle relevanten Geschäftsbereiche in operativ messbare Teilziele zu zerlegen. Um ihre Erreichung zu kontrollieren, müssen für alle Steuerungsebenen Risikokennzahlen existieren, die auf jeder Aggregationsstufe in sich und zu den erstellten Risikogrößen konsistent sind. Ein wesentlicher Baustein der Risikostrategie ist das Risikotragfähigkeitskonzept. Es bestimmt, wie viel Risikodeckungspotenzial insgesamt zur Verfügung steht und wie viel davon zur Abdeckung welcher Risiken verwendet wird. Zentrale Anforderung an die Aufbau- und Ablauforganisation ist folgender Regelkreis: Risikoidentifikation, Risikoanalyse und -bewertung, Risikosteuerung, Risikoüberwachung.
Informationsmanagement
Die MaRisk VA definieren „Risiko“ im Gegensatz zur MaRisk BA konkret und legen die wesentlichen Risikoarten fest. Neben Adressenausfall-, Marktpreis-, Liquiditäts- und operationelle Risiken kommen für Versicherungen das versicherungstechnische, das strategische, das Konzentrations- und das Reputationsrisiko dazu. Die MaRisk VA schreiben dem Risikoreporting und der Risikokommunikation als aktivem Informationsmanagement erhebliche Bedeutung zu. Ein Mindestturnus und Ad-hoc-Berichte sind Pflicht. Die interne Revision muss das Risikomanagement auf Einzelunternehmens- wie Konzernebene beurteilen. Dabei stellen die MaRisk VA auf die risikoorientierte Prüfungsplanung ab, während die MaRisk BA einen Revisionsturnus von drei Jahren verlangen.
Aus Erfahrungen lernen
Seit den MaH 1995 sind Banken mit Mindestanforderungen an das Risikomanagement konfrontiert. Die Unterschiede zu den MaRisk VA, die größere Detaillierung und die schärferen Formulierungen, sind auch ein Produkt der Diskussionen, Probleme, Unklarheiten und Missverständnisse in ihrer Praxis. Erfahrungen in kleinen, mittelständischen und Großbanken haben den Grundsatz der individuellen Implementierung und Analyse gefördert, die Qualitätssicherung auf Basis von Best Practices und den Rückgriff auf die Grundsätze von Proportionalität und Materialität. Wer bei Banken fachliche Expertise gesammelt hat, hat auch für Versicherungen wertvolles Know-how. Das betrifft die Einbindung der unentbehrlichen IT-Systeme ebenso wie die Entwicklung von Risikostrategie und -profil oder die Erstellung und Implementierung des Risikotragfähigkeitskonzepts.
Kostspieleioge Prozessirrläufe ersparen
Das Risikocontrolling erfordert ganz verschiedene Detaillierungsgrade. Datenerhebung und -aufbereitung, Analyse und Bewertungsmethoden hängen von Art und Umfang des Geschäfts ab, und Gleiches gilt für Risikosteuerung und -überwachung. Das interne Steuerungs- und Kontrollsystem bis hin zum Aufsichtsorgan ist auf ein gegebenenfalls konzernweites Risikohandbuch, IT-gestützte Limitsysteme, IT-gestützte Qualitätssicherung und transparente Risikoberichte angewiesen. Versicherungen können, wenn sie auf die Erfahrungen im bankaufsichtsrechtlichen Meldewesen durch Basel I und II zugreifen, ihre Meldeanforderungen effizienter umsetzen. Bei den qualitativen wie bei den quantitativen Anforderungen können sie sich kostspielige Prozessirrläufe im gesamten Umfeld ersparen, die alle Banken schmerzlich durchlaufen haben.