Versicherer müssen Risikokultur entwickeln

-
21. Oktober 2016
-
Von Stefan Hirschmann

Dass die Unternehmenskultur das Risiko-Verhalten und dadurch die betrieblichen Ergebnisse beeinflusst, gilt nicht nur für Kreditinstitute. Nachdem für Banken mit der Ende dieses Jahres erwarteten MaRisk-Novelle die Erarbeitung und Dokumentation einer Risikokultur verpflichtend wird, erlangt das Thema nun auch für die Versicherungsunternehmen eine größere Relevanz.

Der von der Finanzaufsicht BaFin vorgelegte Entwurf eines Rundschreibens zu den „Aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo) zählt die Entwicklung einer gemeinsamen Risikokultur („gemeinsame Risikosprache“) erstmals explizit zu den Leitungsaufgaben in der Assekuranz. Dadurch soll ein konsistentes und wirksames Risikomanagement in allen Unternehmensbereichen sichergestellt werden. Hierzu gehört auch, eine Risikostrategie zu entwickeln, mindestens einmal jährlich zu überprüfen und gegebenenfalls anzupassen. Die Risikostrategie, die Überprüfung und etwaige Änderungen sind künftig zu dokumentieren. Die Risikostrategie stellt die sich aus der Geschäftsstrategie ergebenden Risiken dar. Sie ist von den Versicherungsunternehmen so auszugestalten, dass sich die operative Steuerung der Risiken daran anknüpfen lässt. Die BaFin erwartet zudem die Erstellung von Risikomanagement-Leitlinien, die zumindest die mit wesentlichen Risiken behafteten Geschäftsabläufe, Schlüsselfunktionen und Befugnisse sowie Vorgaben zu den unternehmensindividuellen Stresstests abdecken sollen.

Auf eine höhere Aufmerksamkeit der Regulatoren können sich die Versicherer auch im Hinblick auf die operationellen Risiken einstellen. Dazu zählt die BaFin vorrangig IT-Risiken, unabhängig davon, ob sie aus der IT-Aufbauorganisation, den IT-Systemen oder den IT-Prozessen resultieren, sowie Rechts- und Rechtsänderungsrisiken. Letztere bezeichnen Risiken, die sich aufgrund einer Änderung des Rechtsumfeldes einschließlich der aufsichtsbehördlichen Anforderungen ergeben. Eine Analyse operationeller Risiken ist auch vor der Einführung oder wesentlichen Änderung von Produkten, Prozessen und Systemen durchzuführen. Die Ergebnisse dieser Analyse sind in die Entscheidungsfindung einzubeziehen. Die Unternehmen müssen gemäß MaGo einen Prozess für die Erhebung und Überwachung operationeller Risikoereignisse implementieren und dokumentieren, mit dem zumindest die internen Schadenereignisse erfasst werden. Hierfür sind dem Risikoprofil angemessene Schwellenwerte festzulegen. Bei der Identifizierung möglicher operationeller Risiken haben die Versicherer auch bekannte externe Schadenereignisse zu berücksichtigen. Die MaGo, die alle unter Solvency II fallenden Versicherer adressiert, sollen bis Ende des Jahres 2016 veröffentlicht werden. Systematisch wird das Rundschreiben an die Stelle des aufgehobenen Rundschreibens 3/2009 zu den aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement (MaRisk VA) treten.

 

Bildquelle: Fotolia