Die Anforderungen der MaRisk VA an das Risikocontrolling: Implementierung bei einem mittelgroßen Kompositversicherer

Bachelorarbeit von Björn Stressenreuter

Einleitung:

Keine unternehmerische Tätigkeit kommt ohne das Eingehen von Risiken aus. Wie schon Carl Amery trefflich an der Schifffahrt illustrierte, ist dies unabdingbar mit dem Erzielen von Erträgen verknüpft. Sich hiermit zu arrangieren, ist essenziell für einen vernünftigen und nachhaltigen Umgang mit Risiken im Sinne einer wertorientierten Unternehmenssteuerung. Alle Risiken vermeiden zu wollen, ist schlichtweg das Ende einer jeden Unternehmung, da vollständiger Risikoverzicht zugleich alle Chancen eliminiert. Es ist somit für jedes Unternehmen aus eigenem Interesse unerlässlich, sich intensiv mit der unternehmensindividuellen Risikosituation auseinanderzusetzen. Die enorme Bedeutung eines proaktiven Risikomanagements zeigte nicht zuletzt die jüngste Finanzkrise. Exemplarisch führe man sich hier das Versagen des Risikomanagements bei der KfW Bankengruppe vor Augen: Trotz ausführlicher Berichterstattung in der Tagespresse über das Straucheln der amerikanischen Investmentbank Lehman Brothers überwies die KfW Bankengruppe noch 320 Mio. Euro an den Insolvenz beantragenden Investmentriesen.

Risiko als Kerngeschäft:

Noch bedeutsamer wird der Umgang mit Risiken, wenn man dies zu seinem Kerngeschäft macht, wie es in der Versicherungsunternehmung der Fall ist. Hier basiert die vereinfachte Geschäftsidee letztlich auf dem Prinzip des Risikoausgleichs im Kollektiv und/oder in der Zeit. So wird bei jedem Vertragsabschluss gegen Prämienzahlung das Risiko negativer wirtschaftlicher Folgen aus unsicheren Ereignissen vom Versicherungsnehmer auf das Versicherungsunternehmen transferiert. Durch die naturgemäße Stochastizität des Schadeneintritts bezüglich seiner Eintrittswahrscheinlichkeit und seiner -höhe trägt das Versicherungsunternehmen das Risiko, dass die Aufwendungen für Schadenzahlungen die Prämieneinzahlungen übersteigen. Auf der anderen Seite besteht die Chance, dass aufgrund keiner oder nur geringen Schadenzahlungen Gewinne erwirtschaftet werden. Es muss also das erklärte Ziel des Risikomanagement sein, das Chancen-Risiko-Portfolio der Unternehmung zu optimieren und sich nicht nur auf die Betrachtung des Risikopotenzials zu beschränken.

Trotz dieser im Geschäftsbetrieb begründeten Risikoaffinität wurde das Thema Risikomanagement selbst in der Versicherungsbranche in der Vergangenheit vernachlässigt. Als Grund hierfür ist vor allem die hohe Regulierung des Versicherungsmarktes bis 1994 zu nennen, die zum einen Großteile der Risiken abhielt und zum anderen durch geringeren Marktdruck eine wert- und risikoorientierte Unternehmensführung nicht zwingend erforderte. Erste ausführlichere Skizzierungen bezüglich des Umganges mit Risiken im Versicherungsunternehmen finden sich Mitte der Achtziger bzw. Anfang der Neunziger beispielsweise bei Farny und Schradin. Erst jüngere Werke, hier zum Beispiel ist Wagner zu nennen, setzen sich ausführlich mit dem branchenbezogenen Risikomanagement für Versicherungsunternehmen auseinander. Führt man sich die makroökonomische Bedeutung des Versicherungswesens vor Augen, dessen Hauptaufgabe von Albrecht und Schradin trefflich mit dem ‘Gefühl finanzieller Sicherheit’ spezifiziert wird, ist das hierdurch entstehende Risiko für die Volkswirtschaft evident. Denn dem Wort ‘Sicherheit’ ist in diesem Fall nicht nur der Gefühlszustand eines Einzelnen zuzuordnen, sondern dieser Gefühlszustand ist eng mit monetären Vorteilen für sämtliche Akteure einer Volkswirtschaft verbunden. So stellt Farny fest, dass durch das Tragen der Risiken seitens der Versicherungswirtschaft eine Stabilisierung der Wirtschaftsprozesse stattfindet, die durch den sicheren und schnellen Ersatz des Primärschadens die Auswirkungen auf andere verbundene Wirtschaftssubjekte verhindern kann. Der Schutz des eigenen Vermögens sowohl aktiv durch die Inanspruchnahme des Versicherungsschutzes als auch passiv durch den Schutz vor Zahlungsausfällen, ausgelöst durch Schadenfälle verbundener Wirtschaftsakteure, ermöglicht Unternehmen erst kapitalintensive Investitionen zu tätigen, die letztlich zur Steigerung des Volkseinkommens führen. Zudem bewirkt die Versicherungswirtschaft durch ihr breitgefächertes Angebot eine Entlastung des Sozialstaates, da im Schadenfall betroffene Personen nicht den öffentlichen Kassen zur Last fallen. Eine weitere bedeutende Funktion im makroökonomischen Kontext nimmt die Versicherungswirtschaft als Kapitalsammelbecken ein, so ist sie mit einem Volumen von ca. 1.150 Mrd. Euro im Jahre 2007 einer der bedeutendsten deutschen institutionellen Anleger an den internationalen Kapitalmärkten.

Die hier sicher nur unvollständig durchgeführte Skizzierung der Werttreiber der Versicherungswirtschaft für die gesamtwirtschaftliche Leistungserstellung lässt jedoch schon das enorme Interesse des Staates an einem funktionierenden Versicherungsmarkt erkennen. Schon der Insolvenzfall eines einzigen Versicherers könnte eine Kettenreaktion auslösen, die neben einem enormen Reputationsverlust für die gesamte Versicherungswirtschaft auch einen immensen volkswirtschaftlichen Schaden nach sich ziehen würde. Dieser Bedrohung versucht der Staat durch seine Bundesbehörde – die BaFin – als aufsichtführendes Organ zu begegnen. Um die latente Insolvenzgefahr zu minimieren, verfolgt sie den Ansatz, dass Versicherer über eine ausreichende Eigenkapitalunterlegung der eingegangenen Risiken verfügen sollten, um auch in turbulenten Zeiten ihrem Leistungsversprechen gegenüber den Versicherungsnehmern Herr werden zu können. Dieser Gedanke mündete in den MaRisk VA, den aufsichtsrechtlichen Mindestanforderungen für das Risikomanagement von Versicherungsunternehmen, die als Grundlage für diese Arbeit dienen.

Zielsetzung der Arbeit:

Die Motivation für diese Arbeit resultiert aus der Fragestellung, wie die Umsetzung der in den MaRisk VA formulierten Anforderungen in der Praxis aussehen könnte. Da aufgrund der geringen Zeitspanne seit Veröffentlichung des Rundschreibens kaum Erfahrungsberichte zur Umsetzung verfügbar sind, ist es das Ziel, sowohl bekannte Konzepte des Risikomanagements auf die MaRisk VA abzustimmen als auch neue Ansätze zur Diskussion zu stellen. Um dies auch im Rahmen der benötigten Ausführlichkeit gewährleisten zu können, erfolgt im Hauptteil der Arbeit eine Fokussierung auf die im Rahmen der unabhängigen Risikocontrollingfunktion einzurichtenden Prozesse der Risikoidentifikation, -analyse und -bewertung.

Um dem Leser ein Gefühl für die Bedeutung der Prozesse zu geben, fand in der Einleitung eine Sensibilisierung für das Risikomanagement statt. Im Anschluss soll eine Skizzierung der aufsichtsrechtlichen Meilensteine im Risikomanagement dazu dienen, den Weg hin zu den MaRisk VA nachvollziehen zu können. Diese werden dann im Folgenden aufgegriffen und ihre wesentlichen Punkte erläutert. Hierbei wird jedoch bewusst kein Anspruch auf Vollständigkeit erhoben, sondern das Ziel verfolgt, dem Leser die Möglichkeit zu geben, die im Hauptteil dieser Abhandlung vorgestellten Prozesse einordnen und aus der Sichtweise der MaRisk VA nachvollziehen zu können. Für den interessierten Leser orientiert sich der Aufbau dieses Abschnitts eng an dem des Rundschreibens MaRisk VA, sodass ein gezieltes Nachlesen erleichtert wird.

Zu Beginn des Hauptteils der Arbeit findet eine kurze Beschreibung des Beispielversicherers, der Mentholia VVaG, statt. Hierbei wird insbesondere auf die bedeutendsten Gefährdungspotenziale der jüngeren Firmengeschichte eingegangen. Im Anschluss steht die Fragestellung im Fokus, ob die MaRisk VA im Rahmen einer GAP-Analyse oder als Neuimplementation umgesetzt werden sollen. Um der speziellen Unternehmenssituation der Mentholia VVaG Rechnung zu tragen, wird nicht die in der Praxis übliche Variante der GAP-Analyse vorgestellt, sondern das Ziel verfolgt, mit der Abhandlung der Neuimplementation diese im Rahmen der MaRisk-VA-Umsetzung zur Diskussion zu stellen. Des Weiteren wird hierzu ein anspruchsvolles Modell zur Risikoidentifikation vorgestellt, für das insbesondere die aufbau- und ablauforganisatorische Sicht intensiv beleuchtet wird. Mit Beendigung der Risikoidentifikation setzt sich diese Arbeit mit der Forderung der MaRisk VA auseinander, dass Risiken in wesentliche und unwesentliche Risiken zu separieren sind. Hierfür wird ein qualitativer Ansatz vorgestellt, der durch Bestimmung des Risikopotenzials der Einzelrisiken um eine quantitative Komponente erweitert wird. Sind die wesentlichen Risiken bestimmt, muss noch die Frage beantwortet werden, wie mögliche Interdependenzen zwischen den Einzelrisiken zu quantifizieren sind. Hierfür schlägt diese Ausarbeitung im ersten Schritt das Bilden einer homogenen Peergroup vor, um durch eine breitere und validiertere Datenbasis Wettbewerbsvorteile für die Teilnehmer der Peergroup zu realisieren. Mit den aus der Peergroup gewonnenen Quantifizierungen wird im Rahmen des Copula-Ansatzes das ungesteuerte Gesamtrisikoprofil bestimmt. Um das Gesamtrisikoprofil im Unternehmensinteresse positiv zu beeinflussen, wird im Anschluss kurz die Aufgabenstellung der Risikosteuerung beschrieben. Hieran schließt sich letztendlich die Herausforderung für die Mentholia VVaG an, sowohl die ergriffenen Maßnahmen als auch die Einzelrisiken im Geschäftsablauf überwachen zu müssen. Die sogenannte Risikoüberwachung stellt damit den Abschluss des Hauptteils dar. Sowohl die Risikosteuerung als auch die Risikoüberwachung kann in dieser Arbeit nur andeutungsweise betrachtet werden, sodass der interessierte Leser auch hier auf die jeweiligen Quellen verwiesen wird.

Mit Abschluss des Hauptteils wird die Arbeit durch ein Fazit abgerundet, in dem eine kurze Bewertung der MaRisk VA und der in dieser Ausarbeitung aufgegriffenen Ansätze erfolgt.

Inhaltsverzeichnis:

Textprobe:

Kapitel 2.4.2, Abgrenzung der Risikostrategie zum Risikotragfähigkeitskonzept:

Bedeutend für die Definition der Risikostrategie ist vor allem der letzte Punkt in Abbildung 4. Hier wird die Geschäftsleitung im Rahmen der Erstellung der Risikostrategie dazu angehalten sich mit der Risikotragfähigkeit auseinanderzusetzen. Abgegrenzt bedeutet das in groben Zügen, während sich die Risikostrategie mit der unternehmensindividuellen Ausrichtung des Risikomanagements auf strategischer Ebene im Umgang mit Risiken auseinandersetzt, wird im Risikotragfähigkeitskonzept das Potenzial an zur Verfügung stehendem Risikokapital dem Gesamtrisikoprofil gegenübergestellt und erläutert, wie dies zur Absicherung der wesentlichen Risiken verwendet werden soll oder ob es für etwaige andere Positionen verwendet werden soll. Es ist weniger strategisch als vielmehr operativ ausgerichtet und wird somit praktischerweise im internen Steuerungs- und Kontrollsystem angesiedelt.

2.4.3, Organisatorischer Rahmen:

Im Rahmen der MaRisk VA ist die Geschäftsleitung aufgefordert für eine adäquate Aufbau- und Ablauforganisation zu sorgen. Dies soll das Unternehmen in die Lage versetzen, ein ganzheitliches Risikomanagement überhaupt praktizieren zu können. So wird in den MaRisk VA gefordert, ‘dass die mit wesentlichen Risiken behafteten Geschäftsaktivitäten auf der Grundlage von innerbetrieblichen Leitlinien betrieben werden’ sollen. Spezifiziert werden die genannten Leitlinien jedoch nicht, sodass hier ein Blick auf die Parallelnorm im Bankengesetz nötig wird. Gemäß § 25a Abs. 1 Seite 3 Nr. 1a KWG sollen unvereinbare Tätigkeiten durch unterschiedliche Stellen wahrgenommen werden, dies entspricht im Wesentlichen dem in dieser Arbeit gesondert behandelten Prinzip der Funktionstrennung. Abseits davon müssen die jeweiligen Stellen mit ausreichenden Ressourcen ausgestattet sein, um als exekutives Organ das Risikomanagement ausführen zu können. Das bedeutet sowohl ausreichende technische Ausstattung als auch adäquat ausgebildetes Humankapital. Dies ist entweder durch den Zukauf von Fachkräften oder durch Schulungsmaßnahmen von bereits vorhandenem Personal zu gewährleisten. Abgesehen vom Inhalt der von der Geschäftsleitung zu erstellenden Leitlinien spielt die ausreichende Kommunikation für den Erfolg des Risikomanagements eine entscheidende Rolle. Als Instrumente für einen einheitlichen Umgang bietet sich neben Schulungen und Präsentationsveranstaltungen vor allem ein detailliertes Risikohandbuch an.

2.4.3.1, Anforderungen an die Aufbauorganisation:

Der Leitgedanke bei der Gestaltung der Aufbauorganisation ist das bereits ausführlich erläuterte Prinzip der Funktionstrennung. In den MaRisk VA werden auch außer der eindeutigen Zuweisung von Verantwortung und Aufgaben keine weiteren einschränkenden Anforderungen an den Aufbau der Organisation formuliert. Somit sind die Unternehmen bei der Gestaltung der Organisationsstruktur völlig flexibel. Denkbar sind also unter anderem eine reine funktions- und eine kundengruppenorientierte Aufbauorganisation. In der Praxis findet sich zumeist ein Mix aus versicherungssparten- und funktionsorientierter Aufbauorganisation. Gemäß den MaRisk VA müsste in der Aufbauorganisation noch das Bilden von Stabsstellen berücksichtigt werden, die operativ die Aufgaben des Risikomanagements unabhängig wahrnehmen können. Es gehört somit zu den weiteren Aufgaben der Geschäftsleitung, für eine unabhängige Risikokontrollfunktion, ein funktionierendes Risikofrühwarnsystem und für die im nächsten Punkt erörterte unabhängige interne Revision zu sorgen. Sowohl die Anwendung der Funktionstrennung als auch die Ressourcenausstattung der einzelnen Elemente sollte immer unter dem Aspekt der Proportionalität verstanden werden.

2.4.3.2, Interne Revision: Aufgaben und Bedeutung:

Die interne Revision stellt im Unternehmenskomplex das Prüfungs- und Beratungsorgan dar. Ihre wesentliche Aufgabe besteht darin, sämtliche geschäftsrelevante Prozesse risikoorientiert zu überprüfen und auf Verbesserungspotenziale hinzuweisen.

Dies gilt im Unternehmenskontext sowohl für das Risikomanagementsystem als auch für das interne Steuerungs- und Überwachsungssystem.

Hierfür steht der internen Revision gemäß den MaRisk VA ein uneingeschränktes Informationsrecht zu. Neben einer risikoorientierten Prüfung der Prozesse wird ihr in § 55c Abs. 1 Satz 2 VAG auch aufgetragen ihre internen Revisionsberichte an die BaFin zu übermitteln. Das bedeutet neben zusätzlichen Anforderungen an das Berichtswesen auch eine gestiegene Bedeutung der Abteilung im Unternehmen. Bei der Ausgestaltung der Aufgabengebiete für die interne Revision ist eine klare Abgrenzung zur im Hauptteil noch ausführlich behandelten unabhängigen Risikocontrollingfunktion wichtig. Während sich die interne Revision mit der Umsetzung und Bewertung des Prozesses als Ganzem auseinandersetzt, übernimmt die Risikocontrollingfunktion neben strategischen Aufgaben die operative Umsetzung des Risikomanagements. Eine enge Verzahnung beider Abteilungen ist jedoch aufgrund gleicher Betätigungsfelder unabdingbar.

2.4.3.3, Anforderungen an die Ablauforganisation:

Im Rahmen der MaRisk VA wird der Ablauforganisation aufgetragen, die Aufbauorganisation bezogen auf die Umsetzung der Risikostrategie zu unterstützen. Sie soll die wesentlichen Geschäftsprozesse identifizieren, überwachen, steuern und die hierfür erforderlichen Verantwortlichkeiten festlegen, um so einen reibungslosen und geschäftszielkonformen Ablauf sicherzustellen. Da sie als ausführendes Organ direkt mit der Leistungserstellung beauftragt ist, ist eine Abstimmung mit der Aufbauorganisation, wie in den MaRisk VA gefordert wird, unerlässlich, um unter anderem Missverständnisse, Doppelarbeit oder lange Bearbeitungszeiten zu vermeiden. Dies sollte jedoch nicht erst seit den MaRisk VA im Interesse der Unternehmen sein.

Unternehmensindividuell ist für die Ablauforganisation die Frage nach den wesentlichen Geschäftsprozessen zu beantworten, die es zu überwachen und zu steuern gilt. Die MaRisk VA führen als Mindestgröße die Kernproduktionsprozesse des Versicherungsgewerbes auf. Angeführt wird die Auflistung durch das Kerngeschäft einer Versicherung, das versicherungstechnische Geschäft. Die Steuerung durch Annahme- und Zeichnungsrichtlinie ist hier als Hauptwerkzeuge der Ablauforganisation zu nennen. Für die Gestaltung der beiden Werkzeuge ist die Risikostrategie als Grundlage zu Rate zu ziehen.

Abweichend wird den Versicherungsunternehmen im Rahmen des Rundschreibens aufgetragen, ihre derzeitige zumeist auf bilanzielle Zwecke ausgelegte Bewertung der Reservierung dahingehend zu überprüfen, ob mittels implementierter IT-Prozesse zur Bildung eines umfassenden statistischen Datenkranzes eine stärker risikoadjustierte Bewertung der Rückstellungen stattfinden kann. Ziel ist es letztlich, eine bessere Abbildung des Risikoprofils des Versicherungsunternehmens bezüglich der versicherungstechnischen Risiken zu erhalten.

Als weitere Kerngeschäftsfelder zählen die MaRisk VA das Kapitalanlagemanagement inklusive des Asset-Liability-Managements und das passive Rückversicherungsgeschäft auf, also das entgeltliche Abtreten von bestimmten Risikopositionen an Rückversicherungsunternehmen. Jedoch werden dazu keine Anforderungen formuliert, sondern es wird auf die speziellen Regelungen in den themenbezogenen Rundschreiben verwiesen.

Im Rahmen der Ablauforganisation haben im Vorfeld vor besonders risikobehafteten Entscheidungen, wie dem Betreten von neuen Geschäftsfeldern, dem Einführen von neuen Kapitalmarktprodukten oder neuen Versicherungs- und Rückversicherungsprodukten, eine intensive Betrachtung und Abwägung bezüglich des Einflusses auf das Gesamtrisikoprofil der Unternehmung stattzufinden. Hierfür bieten sich für die Kapitalmarktprodukte unter anderem Stresstests zur Überprüfung an. Wird auch im Nachgang die Neuerung als wertsteigernd für das Unternehmen erachtet, so ist für eine adäquate Anpassung der Ablauforganisation zu sorgen, damit die entstehenden Risiken überwacht und gesteuert werden können.