Insurance
MaRisk in der Versicherungswirtschaft Dr. Thomas Varain 23. September 2009 AUDIT
Agenda
Einführung MaRisk im Versicherungsbereich
2
Einführung Aktuelle Anforderungen an unternehmerische Kontrollsysteme in VU
Allgemeine Organisationspflicht und Einrichtung eines Risikofrüherkennungssystems nach § 91 AktG Ordnungsgemäße Geschäftsorganisation nach § 64a VAG: insbesondere angemessenes Risikomanagement Risikostrategie Aufbau- und ablauforganisatorische Regelungen Geeignetes internes Steuerungs- und Kontrollsystem Interne Revision Konkretisierung durch MaRisk VA sowie weitere Rundschreiben und Standards, die ergänzend hinzuzuziehen sind Vorgriff auf Solvency II „Säule 2“
3
Agenda
Einführung MaRisk im Versicherungsbereich
4
MaRisk im Versicherungsbereich 1. Überblick: § 64a VAG und MaRisk VA - Anforderungen
Überblick über die Inhalte der MaRisk VA Strategischer Rahmen
Gesamtverantwortung der Unternehmensführung Leitlinien zur Aufbau- und Ablauforganisation
Notfallkonzept
Outsourcing
Neue Produkte / Geschäftsfelder
Ressourcen und Anreizsysteme
Definition ausgewählter Kernprozesse (Ablauforganisation): Kapitalanlage- und Rückversicherungsmanagement, Reservekalkulationsprozess, Operatives Versicherungsgeschäft Integration in die Unternehmenssteuerung
Risiko-steuerung und -kontrolle
Identifizierung
Analyse / Bewertung
Limitsystem
Steuerung / Überwachung
Interne Revision
Aufgaben
Prinzipien
Organisation
Reporting
Dokumentation
Organisatori- Organisationsentwicklung scher Rahmen
Risikotragfähigkeitskonzept
Risikostrategie
Prüfungsplanung Berichtspflicht
Versicherungstechnisches Risiko, Marktrisiko, Liquiditätsrisiko, Operationales Risiko, Strategisches Risiko, Reputationsrisiko, Kreditrisiko, Konzentrationsrisiko
Feststellungen
5
MaRisk im Versicherungsbereich 2. § 64a VAG und MaRisk VA: Strategischer Rahmen
Strategischer Rahmen
Gesamtverantwortung der Unternehmensführung
Ziele Angemessene Reaktionen auf Risiken Beschreibung von Art, Risikotoleranz, Herkunft und Zeithorizont Analyse der Auswirkungen auf die Risikosituation Geeignet für operative Steuerung, konsistent mit Teilrisikostrategien Jährliche Prüfung des Gesamtrisikoprofils und Aktualisierung unter Einbindung des AR
* definierte Geschäftsstrategie dient als Basis
Risikotragfähigkeitskonzept
dient der Vermittlung eines Überblicks über das Gesamtrisikoprofil Risikodeckungspotenzials und Kapitalbedarf Bezug zu Ertragsund Kapitalzielen Ableitung des einzusetzenden Risikodeckungspotenzials Dokumentation und Begründung der Annahmen
Dokumentation
für ordnungsgemäße Geschäftsorganisation Implementierung und Weiterentwicklung eines funktionierenden Risikomanagements Verankerung von Risikobewusstsein im Tagesgeschäft Festlegung der Risikostrategie
Risikostrategie*
ist laufend zu überwachen: Implementierung Limitsystem
6
MaRisk im Versicherungsbereich 3. Praxisbeispiel Geschäfts- und abgeleitete Risikostrategie Risikostrategie
Geschäftsstrategie
ie p eis
l
1. Präambel 2. Risikopolitik i. Risikoverständnis ii. Wesentlichkeit und Materialität der Risiken iii.Risikokultur 3. Risikocontrolling i. Risikoidentifizierung ii. Analyse und Evaluation von Risiken iii.Risikomanagement iv. Risikocontrolling v. Risikoüberwachung vi. Risikoreporting 4. Risikotragfähigkeitskonzept i. Risikoarten a. Vers.techn. Risiko e. Konzentrationsrisiko f. Strategisches Risiko b. Marktrisiko g. Operationelles Risiko c. Kreditrisiko h. Reputationsrisiko d. Liquiditätsrisiko ii. Umfang der Risiken iii.Risikoherkunft iv. Zeithorizont der Risiken v. Interne Modelle zur Berechnung der Risikotragfähigkeit 5. Abschließende Bemerkungen
B
Ableitung
B
l
Konsistente
ie p eis
1. Einleitung 2. Leitbild und Unternehmensvision i. Selbstverständnis ii. Darstellung des Unternehmenszwecks iii. Strategien zur Zielerreichung iv. Unternehmenskultur v. Regeln für das Krisenmanagement 3. Beschreibung der kurz- und mittelfristigen strategischen Ziele i. Gewinnziele ii. Unternehmenssteuerung und Risikomanagement iii. Kapitalausstattung, Kapitalanlagen, Asset Liability Management iv. Performanceziele v. Geschäftsbereiche vi. Zielmärkte vii. Wachstumsziele viii. Organisation ix. Personalpolitik x. Performance Excellence 4. Planung- und Maßnahmen für wesentliche Geschäftsaktivitäten 5. Qualitative und Quantitative Ziele 6. Abschließende Bemerkungen
7
MaRisk im Versicherungsbereich 4. § 64a VAG und MaRisk VA: Organisatorischer Rahmen (1)
Organisatori- Organisationsentwicklung scher Rahmen
Notfallkonzept
Outsourcing
Neue Produkte / Geschäftsfelder
Ressourcen und Anreizsysteme
Definition ausgewählter Kernprozesse (Ablauforganisation): Kapitalanlage- und Rückversicherungsmanagement, Reservekalkulationsprozess, Operatives Versicherungsgeschäft
Leitlinien zur Aufbauorganisation: Ausrichtung auf Strategieziele Funktionstrennung: Risikonahme und –kontrolle wegen möglicher Interessenskonflikte Etablierung einer unabhängigen Risikocontrollingfunktion (URCF) Definition und Festlegung von Aufgaben und Verantwortlichkeiten insb. für Geschäftsleitung, URCF, operative Geschäftsbereiche und weitere Funktionen
Ergänzend: Leitlinien zur Organisationsentwicklung
Leitlinien zur Ablauforganisation: Ablauforganisation im Einklang mit Risikostrategie und unterstützend für die Aufbauorganisation Festlegung der risikorelevanten Geschäftsabläufe sowie Schnittstellen und Verantwortlichkeiten, mindestens für: VT, Reservierung, AM incl. ALM, RV-Management Festlegung der Kontrollaktivitäten Ablauforganisation setzt adequates Personal voraus Personal ist hinsichtlich Risikoidentifikation und Reaktion zu schulen
Übergreifende Dokumentation (z.B. als Bestandteil des IKS)
Leitlinien zur Aufbau- und Ablauforganisation
8
MaRisk im Versicherungsbereich 4. § 64a VAG und MaRisk VA: Organisatorischer Rahmen (2)
Organisatori- Organisationsentwicklung scher Rahmen
Notfallkonzept
Outsourcing
Neue Produkte / Geschäftsfelder
Ressourcen und Anreizsysteme
Definition ausgewählter Kernprozesse (Ablauforganisation): Kapitalanlage- und Rückversicherungsmanagement, Reservekalkulationsprozess, Operatives Versicherungsgeschäft
Maßnahmen im Rahmen der Notfallplanung: Neue Produkte und Geschäftsfelder Abdeckung aller Geschäftsbereiche und Vorabuntersuchung auf alle wesentlichen internen und aller kritischen Geschäftsabläufe externen Einflussfaktoren Erarbeitung spezifischer Bewertung der Auswirkungen auf das Gesamtrisikoprofil Notfallszenarien und Abschätzung ihrer und Dokumentation Auswirkungen auf Organisation und Offizielle Freigabe neuer Produkte durch die Geschäftsbetrieb Geschäftsleitung Regelmäßige Überprüfung auf Integration in das bestehende Risikomanagement und Wirksamkeit und Angemessenheit Anpassung der Organisation sowie der Steuerungs- und Kontrollprozesse Die MaRisk VA verlangen zu Outsourcing: Risikoanalyse unter Einbeziehung der Internen Revision vor der Entscheidung Identifikation, Bewertung und Steuerung und Überwachung der Outsourcing-Prozesse
Definition von Verantwortlichkeiten und Festlegung von Informations- und Prüfrechten Überwachung und regelmäßige Beurteilung des Dienstleisters
Übergreifende Dokumentation (z.B. als Bestandteil des IKS)
Leitlinien zur Aufbau- und Ablauforganisation
9
MaRisk im Versicherungsbereich 4. § 64a VAG und MaRisk VA: Organisatorischer Rahmen (3)
Vorgaben der MaRisk VA zur Aufbauorganisation Geschäftsleitung • Leitlinien für das Risikomanagement • Festlegung von Risikotoleranz, Risikotragfähigkeit • Einrichtung eines Frühwarnsystem • Überwachung des Risikoprofils • Wesentliche risikostrategische Vorgaben
Geschäftsbereiche • Umsetzung von Identifikation, Analyse und Steuerung aller wesentlichen Risiken • Detailliertere Aufteilung der vorgegebenen Limite • Definition und Dokumentation der Aufgaben, Verantwortlichkeiten, Vertretungsregelungen und Kompetenzen im Umgang mit Risiken
Unabhängige Risikocontrollingfunktion • Identifikation, Bewertung und Analyse aller wesentlichen Risiken, Identifikation von Kumulen, „Methodenhoheit“, Validierung • Risikoberichterstattung • Vorschlag und Überwachung von Limiten • Risikobeurteilung von Strategien • Neuproduktprozess (NPP), Neue-Geschäftsfelder-Prozess (NGP)
Interne Revision • Selbständige, unabhängige und objektive risikoorientierte Prüfung von Geschäftsbereichen, Abläufen, Verfahren und Systemen • Frühzeitiges Erkennen von Risiken, Gefahren und Mängeln und entsprechende Berichterstattung an die Geschäftsleitung
10
MaRisk im Versicherungsbereich 4. § 64a VAG und MaRisk VA: Organisatorischer Rahmen (4)
Bisher (R15/2005) war eine formale Funktionstrennung im Risikomanagement der Kapitalanlagen erforderlich (graue Darstellung), Funktionstrennung nach MaRisk VA stellt höhere Anforderungen und verlangt eine Überprüfung der Aufgabenbereiche, solange keine „flankierenden Maßnahmen“ ergriffen werden Ggfs direkte Berichterstattung an das Aufsichtsorgan
Berichterstattung an den Gesamtvorstand
Beurteilung • Strategien • Produktportfolio • Neue Produkte
Umsetzung in Gruppen
Aufsichtsorgan VorstandsRessort
VorstandsRessort
KA-Controlling Unabhängige Risiko• Steuerung controlling• Reporting • Überwachung funktion Kapitalanlagemanagement ALM
Methoden- und Prozesshoheit • Bewertung • Überwachung von Risiken
VorstandsRessort Operatives Controlling Aktuariat Vertrieb/ Betrieb/ Schaden/ RV
Trennung von jeder operativen Tätigkeit
Risiken auf aggregierter Ebene • Identifikation, • Bewertung, • Analyse, • Überwachung
11
MaRisk im Versicherungsbereich 4. § 64a VAG und MaRisk VA: Risikosteuerung und -kontrolle (1)
Integration in die Unternehmenssteuerung
Risikosteuerung Identifizierung und -kontrolle
Analyse / Bewertung
Limitsystem
Steuerung / Überwachung
Reporting
Anforderungen an die Identifikation von Risiken Definition sämtlicher Risiken, Risikotreiber (incl. Interdependenzen), Risikobezugsgrößen und Wesentlichkeitsgrenzen Dokumentation von Risikoursachen Ergebnis ist ein Risikokatalog / Risikoinventar mit -Risikoarten, Risikotreiber, Risikoexposure, -Wechselwirkungen der Risiken, Maßnahmen -Risikoverantwortlicher / Risikomanager Mind.jährliche Risikoinventur & halbjährliche Überprüfung, ggf. Abweichungs- u. Bedarfsberichte
Analyse und Bewertung von Risiken Qualitative und quantitative Bewertung (Netto-) Risikoposition Steuerungsmaßnahmen Nachvollziehbare Dokumentation
Dokumentation
Versicherungstechnisches Risiko, Marktrisiko, Liquiditätsrisiko, Operationales Risiko, Strategisches Risiko, Reputationsrisiko, Kreditrisiko, Konzentrationsrisiko
12
MaRisk im Versicherungsbereich 4. § 64a VAG und MaRisk VA: Risikosteuerung und -kontrolle (2)
Integration in die Unternehmenssteuerung
Risikosteuerung Identifizierung und -kontrolle
Analyse / Bewertung
Limitsystem
Steuerung / Überwachung
Reporting
Risikoüberwachung Risikosteuerung Regelmäßige, unabhängige Überwachung Zerlegung strategischer Risikoziele in operativ messbare der identifizierten, analysierten und Teilziele der Geschäftsbereiche bewerteten Risiken mittels Kontrolle von Messung der Zielerreichung anhand unternehmensweit Risikoprofil, Limiten, Umsetzung der vergleichbarer Steuerungskennzahlen und Darstellung im Risikostrategie, Risikotragfähigkeit, Risikobericht Einhaltung von risikorelevanten Methoden Überprüfung der Risikosteuerung auf Basis einer und Prozessen, Risikohandhabung Nettobewertung: vorhandene Nettorisikoposition vs. durch die unabhängige gewünschte Nettorisikoposition Risikocontrollingfunktion Definition von Schwellenwerten mit entsprechenden Schwerpunkt : rechtzeitigen Identifikation Meldewegen von Wechselwirkungen
Dokumentation
Versicherungstechnisches Risiko, Marktrisiko, Liquiditätsrisiko, Operationales Risiko, Strategisches Risiko, Reputationsrisiko, Kreditrisiko, Konzentrationsrisiko
13
MaRisk im Versicherungsbereich 4. § 64a VAG und MaRisk VA: Risikosteuerung und -kontrolle (3)
Integration in die Unternehmenssteuerung
Risikosteuerung Identifizierung und -kontrolle
Analyse / Bewertung
Limitsystem
Steuerung / Überwachung
Reporting
Der Risikobericht beinhaltet Darstellungen zu: Gesamtrisikoprofil und Beurteilung der Risikosituation Soll-Ist-Abgleich der in der Risikostrategie festgelegten Ziele des Risikomanagements Limitauslastungen Methoden der Identifikation, Analyse und Bewertung von Risiken sowie über Methoden- und Bewertungsänderungen Eingeleiteten Maßnahmen zur Risikosteuerung, Folgen wesentlicher unternehmensinterner Änderungen und Änderungen der Geschäftspolitik Ursachen/Auswirkungen überraschender Entwicklungen oder extremer Ereignisse, ggf. Ad-hocBerichterstattung Frequenz der Berichterstattung ist abhängig von der Bedeutung der Risiken, jedoch mindestens einmal jährlich. BaFin erwartet von den Mitgliedern der Geschäftsleitung und der direkt untergebene Führungsebene genaue Kenntnis des Risikoberichts
Dokumentation
Versicherungstechnisches Risiko, Marktrisiko, Liquiditätsrisiko, Operationales Risiko, Strategisches Risiko, Reputationsrisiko, Kreditrisiko, Konzentrationsrisiko
14
MaRisk im Versicherungsbereich 4. § 64a VAG und MaRisk VA: Interne Revision
Interne Revision
Aufgaben
Prinzipien
Organisation
Dokumentation
Organisatorische Ausgestaltung der Internen Revision:: Innerbetriebliche Leitlinien zur Definition der Aufgaben, Verantwortung, organisatorischen Einbindung, Befugnisse und Berichtspflichten der Mitarbeiter der Internen Revision Vollständiges und uneingeschränktes Informations- und Prüfungsrecht Unabhängig und direkt der Geschäftsleitung unterstellt Ausstattung mit ausreichendem, angemessen qualifiziertem Personal Möglichkeit zum vollständigen oder teilweisen Outsourcing unter Sicherstellung der fachlichen Eignung und erforderlichen Kapazitäten sowie Benennung eines Revisionsbeauftragten Pflicht aller Organisationseinheiten zur Meldung von wesentlichen Mängeln, finanziellen Schäden oder eines konkreten Verdachts auf Unregelmäßigkeiten an die Interne Revision Anforderungen an die Interne Revision: Prüfung aller wesentlichen Aktivitäten der ges. Geschäftsorganisation, insbes. des RM Grundlage: jährlich fortzuschreibender, risikobasierter Prüfungsplan Genehmigung des Prüfungsplans durch die Geschäftsleitung Laufende Überprüfung von Prüfungsplanung, -methoden und –qualität Zeitnahe Berichterstellung über Prüfungen mit Darstellung des Prüfungsgegenstandes und feststellungen. Bei schwerwiegenden Mängeln ist die Geschäftsleitung unverzüglich zu informieren. Überwachung und Dokumentation einer fristgerechten Mängelbeseitigung, ggfs Eskalationsverfahren Bericht der Internen Revision Zeitnaher Gesamtbericht ist allen Mitglieder der Geschäftsleitung, der Unabhängigen Risikocontrollingfunktion und der BaFin vorzulegen.
Prüfungsplanung Berichtspflicht Feststellungen
15
MaRisk im Versicherungsbereich 1. Status Quo
Aktueller Stand der Umsetzung der MaRisk VA im deutschen Markt
3
Strategischer Rahmen
Gesamtverantwortung der Unternehmensführung Leitlinien zur Aufbau- und Ablauforganisation
Notfallkonzept
Outsourcing
Neue Produkte / Geschäftsfelder
Ressourcen und Anreizsysteme
Definition ausgewählter Kernprozesse (Ablauforganisation): Kapitalanlage- und Rückversicherungsmanagement, Reservekalkulationsprozess, Operatives Versicherungsgeschäft Integration in die Unternehmenssteuerung
Risikosteuerung Identifizierung und -kontrolle
„in Arbeit“
Analyse / Bewertung
Limitsystem
Steuerung / Überwachung
Interne Revision
Aufgaben
Prinzipien
Organisation
Reporting
Versicherungstechnisches Risiko, Marktrisiko, Liquiditätsrisiko, Operationales Risiko, Strategisches Risiko, Reputationsrisiko, Kreditrisiko, Konzentrationsrisiko
Dokumentation
?
Organisatori- Organisationsentwicklung scher Rahmen
Risikotragfähigkeitskonzept
Risikostrategie
Prüfungsplanung Berichtspflicht Feststellungen
16
MaRisk im Versicherungsbereich 2. Versicherungsaufsicht im Jahr 2012
Solvency II ist wie folgt aufgebaut: Solvency II
Säule 1 Quantitative Anforderungen •
• •
•
Ökonomische Bilanz Mindestkapital Zielkapital: Standardmodell vs. Internes Modell Begrenzung der Ruinwahrsch. innerhalb eines Jahres auf 0,5%
•
•
•
Säule 2 Qualitative Aufsicht GovernanceAnforderungen Angemessene r Umgang mit wesentlichen Risiken Supervisory Review Process
Etablierung adäquater Risikomanagementsysteme / MaRisk VA
Säule 3 Marktdisziplin u. Transparenz • •
•
Offenlegung Berichterstattun g gegenüber der Aufsicht Transparenz gegenüber Aufsicht und Öffentlichkeit über die Solvenzlage
Nächster Schritt: Aufbau von Reportingsystemen 17
Dr. Thomas Varain Wirtschaftsprüfer Partner Audit Barbarossaplatz 1a 50674 Cologne Germany
T +49 221 2073-1100 F +49 1802 11991-8725
[email protected] KPMG AG Wirtschaftsprüfungsgesellschaft eine Konzerngesellschaft der KPMG Europe LLP
Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. © 2009 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International, einer Genossenschaft schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
18