Aufgaben des Controllings im
Risikomanagement in
Versicherungsunternehmen
Eine Analyse vor dem Hintergrund der neuen
aufsichtsrechtlichen Solvency II-Anforderungen und
Hinweise zur praktischen Umsetzung
Mirko Kraft
Prof. Dr. Mirko Kraft ist
Professor für Versicherungsbetriebslehre und
wirtschaftswissenschaftliche Grundlagenfächer an der Hochschule für angewandte
Wissenschaften
Coburg. E-Mail: mirko.
kraft@hs-coburg.de
Stichwörter
Compliance
Risikoberichterstattung
Risikomanagement
Risikomanagement-Prozess
Versicherungsunternehmen
Controlling in Versicherungsunternehmen ist angesichts der aufsichtsrechtlichen und versicherungsmathematischen Dimensionen der Reform
der EU-Versicherungsaufsicht Solvency II in den Hintergrund geraten.
Controlling-Aufgaben im Risikomanagement-Prozess sind daher neu zu
bestimmen. Bezüge zu Unternehmen in nicht regulierten Branchen dienen dazu, Tendenzen für deren Controlling zu antizipieren.
........................................................
1. Herausforderungen des
Controllings in Versicherungsunternehmen durch Solvency II
........................................................
Versicherungsunternehmen nehmen, wie
andere Unternehmen, durch ihre Geschäftstätigkeit zwangsläufig Risiken in
Kauf (vgl. Reichmann, 2011, S. 569).
Weitaus stärker ist die Risikoübernahme
jedoch Kern der Aktivitäten. Beispiele
sind zum einen die versicherungstechnischen Risiken, die Schaden-/Unfall- bzw.
Rückversicherer übernehmen, wie bei
Naturkatastrophen durch Orkane oder
Hochwasser. Zum anderen sind (Lebens-)Versicherer durch Kapitalanlagerisiken betroffen, z. B. durch die andauernde Finanzkrise, insbesondere durch
die niedrigen Zinsen und die Risiken aus
Staatsanleihen im Euro-Raum.
Das Thema Risikomanagement rückt bei
den deutschen Versicherern trotzdem erst
durch die Reform des EU-Versicherungsaufsichtsrechts, dem Solvency II-Projekt,
in den Fokus. Durch Solvency II sollen
eine Harmonisierung der nationalen Beaufsichtigung und eine Verbesserung des
Risikomanagements der Versicherungsunternehmen erreicht werden, um Versicherungsnehmer noch stärker zu schützen. Risikobasierte Kapitalanforderungen
(Säule I), qualitative Anforderungen an
das Risikomanagement (Säule II) und
Transparenz durch Berichtspflichten
(Säule III) ergeben eine Drei-Säulen-
Struktur (vgl. Abb. 1).
Wünschenswert ist, dass die neuen Anforderungen nicht isoliert, sondern integriert in den Unternehmen umgesetzt
werden: Es besteht die Gefahr, dass aufsichtliche Anforderungen nicht synchronisiert mit dem Controlling implementiert werden. Eine Herausforderung ist
darin zu sehen, das Controlling, speziell
das Risiko-Controlling, in die Erfüllung
der Solvency II-Anforderungen an das
Risikomanagement einzubinden (zu den
Begriffen Risikomanagement und Risiko-
Controlling vgl. Reichmann, 2011,
S. 563 ff.). Da momentan die Erfüllung
der gesetzlichen Anforderungen im Vordergrund steht, besteht die Sorge einer
Vernachlässigung des Controllings. Dies
widerspräche einer anhaltenden Entwicklungstendenz der Stärkung des Controllings in Versicherungsunternehmen,
vor allem durch die Einführung wertorientierter Steuerungskonzepte (vgl. Utecht,
2009, S. 91 ff.).
Aktuelle Problemstellungen für das Controlling in Versicherungsunternehmen
sind speziell dessen organisatorische Abgrenzung zu Governance-Funktionen
(z. B. Compliance vs. Controlling) und
die Aufgaben-Teilung mit diesen, z. B. in
der Risikoberichterstattung (Rechnungswesen vs. Controlling). Zu untersuchen
ist, wie die neuen Vorgaben unternehmensspezifisch ausgestaltet werden können.
Die Solvency II-Rahmenrichtlinie ist
2009 verabschiedet worden (Artikel be-
24 CONTROLLING-SCHWERPUNKT
CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG
Solvency II
M
ar
kt
di
sz
ip
lin
A
uf
si
ch
ts
re
ch
tl.
Ü
be
rp
rü
fu
ng
sve
rf
ah
re
n
M
in
de
st
ka
pi
ta
lan
fo
rd
er
un
ge
n
2. bewerten 1. identifizieren 3. berichten
Versicherungsunternehmen sollen Risiken …
Abb. 1: Drei-Säulen-Struktur von Solvency II
ziehen sich immer auf diese). Die Umsetzung der EU-Gesetzgebung in nationales
Recht hat nach momentanem Rechtsstand bis spätestens 30.06.2013 zu erfolgen. Ergänzt werden die Prinzipien der
Rahmenrichtlinie durch Durchführungsbestimmungen in EU-Verordnungen, die
unmittelbar geltendes Recht in den EU-
Mitgliedstaaten sind. Die zugehörigen
Rechtsakte sowie Leitlinien waren ebenfalls für Mitte 2013 geplant. Solvency II
sollte dann für die Versicherer ab dem
01.01.2014 gelten.
Weitere Verzögerungen sind jedoch sehr
wahrscheinlich. Aus dem unklaren Zeitplan und den noch offenen Detailregelungen ergeben sich zurzeit erhebliche
Herausforderungen: Vorbereitende Projekte organisatorischer und kommunikativer Natur sowie zur IT sind Großbaustellen in den Unternehmen.
Bereits heute gelten in Deutschland im
Vorgriff auf die Säule II-Regeln qualitative Mindestanforderungen an das Risikomanagement. Dabei handelt es sich um
ein Rundschreiben der deutschen Versicherungsaufsichtsbehörde BaFin von
2009 (sog. MaRisk (VA)). Nicht auszuschließen ist, dass weitere Teile von Solvency II (Säule II) vorgezogen werden.
Stand der Literatur und
Unternehmenspraxis
Risiken in Versicherungsunternehmen
und der Umgang mit diesen sind in der
Literatur umfänglich aufgearbeitet. Controlling in Versicherungsunternehmen ist
hingegen weit weniger umfangreich thematisiert. Solvency II ist zum einen aus
rechtlicher Sicht gut dokumentiert (siehe
z. B. überblicksartig zu den neuen Governance-Regeln Lüttringhaus, 2011). Zum
anderen ist Solvency II auch Gegenstand
versicherungsmathematischer Abhandlungen; speziell werden interne Modelle
thematisiert. Nur teilweise werden hingegen in der versicherungswissenschaftlichen Literatur betriebswirtschaftliche
Aspekte in den Vordergrund gestellt,
wenn dann oft im Hinblick auf eine wertorientierte Steuerung (siehe u. a. Tillmann, 2005) oder ein wertorientiertes Risikomanagement (z. B. Kriele/Wolf, 2012).
Bestimmte untersuchte versicherungsspezifische Teilaspekte basieren auf einem
mittlerweile überholten Diskussionsstand
der zu erwartenden rechtlichen Vorgaben
(u. a. Rittmann, 2010 oder zu Compliance-Aspekten Schaaf, 2010).
Die Solvency II-Regeln sind für die Unternehmen auch praktisch vielfach Neuland. Vorbereitende Projekte leiden darunter, dass die konkreten Details immer
noch in der (politischen) Diskussion
sind, für die der Zeitplan weiter unklar
ist, und pragmatische Lösungen unter
dem Vorbehalt aufsichtlicher Zustimmung stehen.
Gang der Untersuchung
Ausgewählte Aspekte der Solvency II-Anforderungen an das Risikomanagement
in Versicherungsunternehmen werden im
Folgenden entlang des Risikomanagement-Prozesses (vgl. beispielsweise Wild,
2012, S. 319 ff.) herausgegriffen. Es erfolgt eine kurze rechtliche Darstellung,
auf der eine Analyse der potenziellen
Aufgaben des Controllings aufbaut. Die
Ergebnisse werden ferner mit der Umsetzung in Unternehmen verglichen, die
nicht dem Finanzdienstleistungssektor
angehören. Als Referenz dient dazu teilweise die Studie von Nevries/Strauß, die
eine hohe Branchenrepräsentativität für
die Praxis beansprucht und die hingegen
bewusst den Banken- und Finanzsektor
ausschloss (Nevries/Strauß, 2008,
S. 106 ff.). Insofern wird sowohl die theoretische Lücke für das Controlling in Versicherungsunternehmen als auch die der
Praxis adressiert, da die Implementierung erst mit Geltung der Vorgaben ab
2014 abschließt. Auf praktische Lösungsvorschläge mit Blick auf die anstehende
Umsetzung wird jeweils eingegangen.
........................................................
2. Allgemeine Aufgaben des
Controllings im
Risikomanagement
........................................................
Zunächst werden Aufgaben des Controllings in Versicherungsunternehmen in
Bezug auf die Risikostrategie und die generelle Aufgabenteilung mit anderen Governance-Funktionen betrachtet, bevor
die speziellen Aufgaben des Controllings
im Risikomanagement-Prozess behandelt
werden (Abschnitt 3).
Risikostrategie
Eine unternehmensweite Risikostrategie
ist der Ausgangspunkt und gleichzeitig
der Rahmen für das Risikomanagement-
System einschließlich des Risikomanagement-Prozesses. In ihr werden risikopolitische Grundsätze und Ziele festgelegt
(vgl. Nevries/Strauß, 2008, S. 108). Solvency II verlangt von Versicherungsunternehmen, dass sie „über schriftlich festgelegte Leitlinien [verfügen], die zumindest das Risikomanagement, die interne
Kontrolle, die interne Revision [...] betreffen“ (Art. 41 (3)). Die MaRisk (Punkt
7.1) fordern bereits heute, dass eine adäquate Risikostrategie aus der Geschäftsstrategie abgeleitet wird (zu Unterschieden zwischen Geschäfts- und Risikostrategie vgl. Boetius et al., 2008, S. 77 f.). Die
verlangte Konsistenz zwischen beiden
Strategien ist nachvollziehbar. Die Risikostrategie ist auf Grundlage der Geschäftsstrategie zu entwickeln, um sicher
zu stellen, dass das abzuleitende Limit-
System auf das Geschäft passt (vgl.
Abb. 2). Beispiele für die Kongruenz von
Geschäfts- und Risikostrategie wären das
(zwangsläufige) Eingehen von Kumulrisi-
Aufgaben des Controllings im Risikomanagement in Versicherungsunternehmen 25
25. Jahrgang 2013, Heft 1
Geschäftsstrategie
Risikostrategie
Limit-System
Marktrisiko
Vt.
Risiko
Op.
Risiko
…
Risikomanagement-
Funktion
Compliance-
Funktion
interne
Revision
versicherungsmathematische
Funktion
Controlling
Abb. 2: Zusammenhang zwischen Geschäftsstrategie, Risikostrategie und Limit-System
Abb. 3: Governance-Funktionen unter Solvency II in Abgrenzung zum Controlling
ken (mehrere Schäden hängen von einem
Ereignis ab) in der Hagelversicherung als
Teil eines Geschäftsmodells oder das Eingehen von Konzentrationsrisiken (Ausfall
eines Emittenten) aufgrund einer strategische Kapitalanlagepolitik, die jeweils
durch geeignete Schwellenwerte (entsprechend einer Risikostrategie) auf ein akzeptiertes Risikoniveau limitiert werden.
Die Rolle des Controllings besteht sicherlich in einer informationsaufbereitenden
und beratenden Funktion des (Gesamt-)
Vorstandes, der für die Festlegung von
Geschäfts- und Risikostrategie verantwortlich ist. In Versicherungsunternehmen könnten dem Risikomanagement
stärker Aufgaben in Bezug auf die Risikostrategie und dem Controlling stärker in
Bezug auf die Geschäftsstrategie zukommen. Daraus resultiert die Gefahr von Inkonsistenzen. In der Praxis sollten sowohl
Neu- als auch Weiterentwicklung von
Geschäfts- und Risikostrategie integriert
unter Beachtung unternehmerischer
Chancen und Risiken erfolgen. Die Trennung von Strategie und Risiko erscheint
gerade bei Versicherungsunternehmen
künstlich, sodass vor einer Trennung zu
warnen ist. Zu überlegen ist, ob Geschäfts- und Risikostrategie in einem Dokument integriert und nicht in zwei separaten Dokumenten niedergelegt werden
und Änderungen der Geschäfts- bzw. Risikostrategie jeweils nur parallel vorgenommen werden (z. B. in Form eines integrierten Tagesordnungspunktes einer
Aufsichtsratssitzung).
Organisatorische Ansiedlung der
Governance-Funktionen nach Solvency II
und des Controllings
Das Governance-System schließt unter
Solvency II folgende Funktionen mit ein:
die Risikomanagement-Funktion (Art.
44),
die Compliance-Funktion (Art. 46),
die interne Revision (Art. 47) und
die versicherungsmathematische Funktion (Art. 48).
Eine Funktion ist nicht schon als Organisationseinheit zu sehen, sondern vielmehr als „administrative Kapazität zur
Übernahme bestimmter Governanceaufgaben“ (Erwägungsgrund 31). Sofern die
Solvency II-Richtlinie nichts Näheres bestimmt, sind die Unternehmen frei darin,
wie sie diese Funktionen in der Praxis organisieren. Funktionen können daher in
einer Person oder einer Abteilung zusammengefasst (mit Ausnahme der internen
Revision) oder outgesourct werden (z. B.
in andere Konzernunternehmen).
In Solvency II ist weder eine klare Hierarchie der Funktionen noch eine überschneidungsfreie Aufgabenteilung angelegt (vgl. Reese/Ronge, 2011, S. 1230). Die
aufbau- und ablauforganisatorische Ausgestaltung der Funktionen ist also nach
Zweckmäßigkeit sowohl theoretisch als
auch praktisch zu analysieren. Sofern
Controlling-Aufgaben nicht vollständig
als Aufgaben einer der anderen Funktionen gesehen werden (naheliegend dann
als Teil der Risikomanagement-Funktion), stellt sich neben der Frage einer institutionellen insbesondere auch die
einer aufgabenspezifischen Abgrenzung
(vgl. Abb. 3). Da aufsichtlich keine (allgemeine) Controlling-Funktion verlangt
ist, gibt die Solvency II-Richtlinie keine
konkreten Antworten. Abstrakt ist nur
verlangt (Art. 41), dass das Governance-
System eines Versicherungsunternehmens eine angemessene, transparente Organisationsstruktur mit einer klaren Aufgabenzuweisung und einer Trennung von
Zuständigkeiten umfasst. In der bisherigen Literatur wird eher auf die Abgrenzung zu anderen Funktionen fokussiert,
während in den Unternehmen das Controlling ebenfalls stark berührt ist (speziell bei der Datenbeschaffung).
Die Einrichtung einer internen Revision
ist nicht versicherungsspezifisch, sondern
auch für andere Unternehmen u. a. aktienrechtlich geboten. Ähnlich ist die Verpflichtung zur Sicherstellung von Compliance, also der Einhaltung von Gesetzen und Richtlinien, nicht nur in Versicherungsunternehmen, sondern auch allgemein in Unternehmen wiederum aktienrechtlich begründet. Entsprechend gilt
dies auch für die Risikomanagement-
Funktion. Unbekannt ist für andere
Branchen jedoch eine versicherungsmathematische Funktion. Eine Aufgabe
dieser Funktion ist die Koordinierung der
Berechnung der versicherungstechni-
26 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT
CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG
Risikoidentifikation
Risikosteuerung
Risikokontrolle
Prozessüberwachung
Risikoberichterstattung
Risikoanalyse/
-bewertung
Abb. 4: Risikomanagement-Prozess (in Anlehnung an Nevries/Strauß, 2008, S. 107 und vgl. die
dort genannten weiteren Quellen zu Phasen des Risikomanagement-Prozesses)
schen Rückstellungen sowie eine Beurteilung deren Angemessenheit (Art. 47 (1)
a) – f)). Zudem sind u. a. Stellungnahmen zur Zeichnungs- und Annahmepolitik sowie zur Rückversicherungspolitik
zu formulieren (Art. 47 (1) g) + h)). Generell wird ein Beitrag der versicherungsmathematischen Funktion zum Risikomanagementsystem, insbesondere im
Hinblick auf Risikomodelle erwartet
(Art. 47 (1) i)). Die versicherungsmathematische Funktion kann damit als interne Wirtschaftsprüfer-/Berater-Rolle gekennzeichnet werden.
In allen von Solvency II verlangten vier
Governance-Funktionen sind die Aufgabenzuweisungen und die Ansprüche an
eine organisatorische Ausgestaltung in
der Regel höher als in Branchen außerhalb
des Finanzsektors. So werden Compliance-Abteilungen mit einem verstärkt unternehmensweiten Fokus eingerichtet (evtl.
auch durch einen Chief Compliance Officer hervorgehoben, so z. B. 2011 in der
ERGO-Gruppe). Compliance-Abteilungen
sind hingegen für die rechtlichen Teilbereiche Korruption, Kartellrecht oder Datenschutz in Nicht-Versicherungsunternehmen durchaus üblich und häufig einer
Rechtsabteilung untergeordnet.
In der Literatur sind die (deutlichen) Unterschiede zwischen Controlling und interner Revision bereits (nicht-versicherungsspezifisch) lange diskutiert (vgl.
z. B. Horva´th, 2009, S. 701; Küpper, 2008,
S. 554). Bezogen auf die anderen Abgrenzungen besteht sowohl theoretisch als
auch praktisch, insbesondere versicherungsspezifisch, Forschungs- bzw. Beratungsbedarf (vgl. z. B. zur Compliance-
Funktion Reese/Ronge, 2011, S. 1217 ff.).
Die Ausgangslage bei der organisatorischen Ausgestaltung des Risikomanagements ist trotz der (engeren) aufsichtlichen Vorgaben vergleichbar mit Unternehmen anderer Branchen. Naheliegende
Varianten sind neben einer eigenen Risikomanagement-Abteilung die Ansiedlung
in oder bei Finanzabteilungen, dem externen Rechnungswesen, der internen Revision und einer eigenständigen Controlling-Abteilung, die ggf. vorhandenen ist
(zur Einrichtung einer eigenständigen
Controlling-Organisation vgl. Küpper,
2008, S. 545). Strauß/Nevries berichten
von einer überwiegenden Organisationsform, bei der eine eigene Abteilung für das
Risikomanagement (auf Konzern-Ebene)
besteht, die stark an eine (Konzern-)Controlling-Abteilung angebunden ist und
wobei Risikomanagement auf Ebene der
strategischen Geschäftseinheiten fast ausschließlich von dezentralen Controlling-
Einheiten übernommen wird. Durch die
explizite Solvency II-Anforderung, eine
Risikomanagement-Funktion einzurichten, ist bei Versicherungsunternehmen
eine noch stärkere Tendenz einer separaten Risikomanagement-Abteilung, evtl. als
Teil einer übergeordneten Controlling-
Abteilung zu erwarten. Risikomanagement- und Controlling-Aufgaben dürften
aber dezentral (z. B. auf Versicherungszweig-/Sparten-Ebene) oft von den gleichen Personen wahrgenommen werden.
Aus dem Zweck des Risikomanagements,
gesetzliche (und hier besonders aufsichtsrechtliche) Anforderungen zu erfüllen, ergibt sich bei Versicherungsunternehmen
sicherlich speziell eine Abgrenzungsproblematik mit der Compliance-Funktion.
Dies folgt aus der stärkeren Reglementierung des Risikomanagements durch aufsichtsrechtliche Vorgaben und der Compliance-Funktion, die die Einhaltung genau dieser prüft. Damit ergibt sich auch
für das Risiko-Controlling die Herausforderung der Abgrenzung.
Der Begriff Controlling wird in den weiteren Ausführungen im Sinne einer Controlling-Funktion gebraucht, unabhängig davon, ob entsprechende Aufgaben in einer
Controlling-Abteilung oder von anderen
Funktionsträgernwahrgenommenwerden.
........................................................
3. Spezielle Aufgaben des Controllings im Risikomanagement-
Prozess
........................................................
Solvency II verlangt, dass Versicherungsunternehmen „über ein wirksames Risikomanagementsystem verfügen, das die Strategien, Prozesse und Meldeverfahren umfasst, die erforderlich sind, um die „[...] Risiken [...] zu erkennen, zu messen, zu
überwachen, zu managen und darüber
Bericht zu erstatten.“ (Art. 44). Damit ist
der klassische Risikomanagement-Prozess
(in leicht veränderter Form) umschrieben
(vgl. Abb. 4). Zur kontinuierlichen Erkennung von Risiken und deren zielorientierter Steuerung ist also für Versicherungsunternehmen kein anderer Risikomanagement-Prozess notwendig als für (nicht-regulierte/nicht beaufsichtigte) Unternehmen anderer Branchen (vgl. zum allgemeinen Risikomanagement-Begriff bzw. -Prozess Reichmann, 2011, S. 571 ff.). Insofern
ist zu vermuten, dass die Aufgaben des
Controllings im Risikomanagement-Prozess inVersicherungsunternehmen ähnlich
zu denen des Controllings in Unternehmen mit weitentwickelten Risikomanagement- bzw. Controlling-Konzeptionen
sind. Dies wird im Folgenden anhand der
Prozessschritte näher untersucht.
Risikomanagement-Prozessschritt:
Risikoidentifikation
Neben der bereits angeführten generellen
Solvency II-Anforderung (Art. 44), Risiken zu identifizieren, werden Risikokategorien und abzudeckende Bereiche konkretisiert (Art. 44 (2) i.V.m. Art. 101 (4)).
Dem Controlling kommt bei der Risikoidentifikation sicherlich eine beratende
und an Schnittstellen eine übergreifende
bzw. koordinierende Funktion zu. Gerade
eine zentrale Controlling-Abteilung mit
einem Überblick über relevante Informationen ist dazu prädestiniert (vgl. Nevries/Strauß, 2008, S. 108).
Bezüglich versicherungstechnischer Risiken kommt jedoch der versicherungsma-
Aufgaben des Controllings im Risikomanagement in Versicherungsunternehmen 27
25. Jahrgang 2013, Heft 1
thematischen Funktion eine Sonderrolle
zu. In der Praxis genießen heute Aktuariate (also die versicherungsmathematischen Abteilungen, meist unterteilt nach
Schaden- und Lebensversicherung) häufig eine weitgehende Zuständigkeit in der
Vorbereitung von Tarifierungs- und Kalkulationsfragen, wohingegen in Nicht-
Versicherungsunternehmen Controller
stärker in die (Kosten-)Kalkulation eingebunden sind.
Unklar ist von vornherein, ob Rechtsrisiken zumindest teilweise als Teil der operationellen Risiken durch die Risikomanagement-Funktion und/oder durch die
Compliance-Funktion identifiziert werden sollten. Es empfiehlt sich, pragmatisch gemeinschaftlich ein Compliance-
Handbuch (ähnlich einem Risikoinventar) zu erstellen.
Risikomanagement-Prozessschritt:
Risikoanalyse/-bewertung
Die Risikoanalyse/-bewertung knüpft an
den Prozessschritt der Risikoidentifikation an (vgl. Nevries/Strauß, 2008,
S. 109). In der Praxis erfolgen Risikoidentifikation und eine (erste) Risikobeurteilung in Versicherungsunternehmen
häufig kombiniert, z. B. durch eine Risk
Map. Risiken werden darin durch Schadenhöhe und Eintrittswahrscheinlichkeit
abgebildet. Die nähere Quantifizierung
versicherungstechnischer Risiken beinhaltet dann (versicherungs-)mathematische Methoden. Das Versicherungsgeschäft-Controlling liefert dabei Korrekturen über die bei der Kalkulation angenommenen Schadenverteilungen und somit über die Risiken aus dem Versicherungsbestand z. B. nach Versicherungszweigen (zur Controlling-Struktur in
Versicherungsunternehmen vgl. Kraft,
2008, S. 33).
Einzelrisiken unter Berücksichtigung ihrer Interdependenzen zu einem Gesamtrisiko zu aggregieren, ist intern herausfordernd. Mit der Solvency II-Standardformel ist aufsichtlich eine Aggregationsform vorgeben, die allerdings pauschal
ist. Kritisch ist, dass Risikointerdependenzen vereinfachend durch feste Korrelationsfaktoren determiniert sind, die nur
lineare Abhängigkeiten approximieren.
Über den Standardansatz hinausgehend
können Versicherungsunternehmen anstreben, interne Modelle aufsichtlich genehmigen zu lassen. Die Modellierungsanforderungen gegenüber der Standardformel steigen dadurch erheblich. Aufgrund dessen ist die interne Modell-Entwicklung zwar durch das Controlling zu
begleiten, um die Einbindung in die späteren Entscheidungsprozesse sicherzustellen, allerdings werden Risikomanagement-Funktion und versicherungsmathematische Funktion erheblich die Modellierung übernehmen.
Risikomanagement-Prozessschritt:
Risikosteuerung
Die Risikosteuerung ist originärer Entscheidungsraum der Unternehmensführung. Dem Controlling kommt dabei
nicht die Aufgabe zu, Entscheidungen zu
treffen, sondern zielsetzungsgerechte
Entscheidungen vorzubereiten (vgl. Kraft,
2008, S. 24 f.). Die Risikomaßnahmen ergeben sich dabei aus der Risikostrategie,
die die maximale Risikoakzeptanz auf
Unternehmensebene festlegt. Die MaRisk
verlangen ein „Herunterbrechen“ in
Form eines Limit-Systems, z. B. Schwellenwerten für Kapitalanlageklassen oder
Höchstgrenzen bei Zeichnungsrichtlinien
für Versicherungsverträge.
Nicht vernachlässigt werden sollte beim
Festlegen der Limite, dass mit den Risiken jeweils auch Chancen verbunden
sind. Eine reine Risikobetrachtung kann
daher genauso wenig ausreichend sein
wie eine reine Chancenbetrachtung. Die
naheliegende institutionelle Aufteilung
der Sichtweisen in Zuständigkeiten für
das Controlling (Chancen) und für das
Risikomanagement (Risiken) ist aber
nicht zielführend. Nur eine integrierte
Sichtweise wird der Untrennbarkeit von
Chancen und Risiken gerecht. Ein wirksamer Informationsaustausch durch ein
angemessenes internes Berichtswesen ist
dafür essentiell.
Risikomanagement-Prozessschritt:
Risikokontrolle
Die Risikokontrolle schließt sich der Risikosteuerung an, bevor der Risikomanagement-Prozess wieder mit der Risikoidentifikation beginnt. Startpunkt sind dann die
Netto-Risiken nach Risikosteuerungsmaßnahmen und Risiken aus diesen Maßnahmen (z. B. Ausfallrisiken von Rückversicherern). Bei der Risikokontrolle kommt
dem Controlling auch in Versicherern
wieder eine verstärkte Rolle wie in Nicht-
Versicherern zu, indem u. a. Soll-Ist-Vergleiche der (finanziellen) Kennzahlen erfolgen (vgl. Nevries/Strauß, 2008, S. 110).
Der versicherungsmathematischen Funktion sind bestimmte Kontrollaufgaben
zugewiesen, wie der Vergleich von besten
Schätzwerten für versicherungstechnische Rückstellungen mit Erfahrungswerten (Art. 46 (1) d)). Auch die verlangte
Stellungnahme zur Angemessenheit der
Rückversicherung (Art. 46 (1) h)) beinhaltet Kontrollaufgaben. Rückversicherungs-Controlling und versicherungsmathematische Funktion sind daher bei auseinander fallender personeller Zuständigkeiten auf einen wirksamen Informationsaustausch angewiesen.
Prozessüberwachung
Effizienz und Effektivität der Risikomanagement-Prozessschritte bedürfen einer
Überwachung, die in Unternehmen au-
ßerhalb der Versicherungsbranche in der
Hauptsache bei der internen Revision
und nicht im Controlling angesiedelt ist
(vgl. Nevries/Strauß, 2008, S. 110). Die
unter Solvency II von der internen Revision verlangte Objektivität und Unabhängigkeit (Art. 47 (2)) legt es nahe, die
Prozessüberwachung ebenfalls der internen Revision zuzuweisen. Eine andere
Zuweisung brächte Doppelarbeiten, da
die Angemessenheit und Wirksamkeit
des Governance-Systems insgesamt von
der internen Revision zu beurteilen sind
(Art. 47 (1)).
Risikoberichterstattung
Die Prozessschritte des Risikomanagement-Prozesses sind jeweils zu dokumentieren. Neben den Ergebnissen aus den jeweiligen Prozessschritten ist auch die Prozessdurchführung an sich festzuhalten (zur
risikoorientierten Berichterstattung vgl.
Weber/Schäffer, 2011, S. 247 ff.). Letzteres
gilt wegen konkretererAnforderungen und
der Überprüfung durch Aufsichtsbehörden in Versicherungsunternehmen noch
verstärkt (Art. 36). Hinzu kommt (vgl.
Abb. 5), dass nicht mehr nur eine Berichterstattung gegenüber der Aufsicht zu erfolgen hat (Art. 35), sondern auch gegenüber
der Öffentlichkeit (Art. 51).
Ungeachtet der externen Zielrichtung der
aufsichtlichen Risikoberichterstattung
richtet sich auch in Versicherungsunternehmen die Risikoberichterstattung primär an das Management. Aus der entscheidungsvorbereitenden Aufgabe des
Controllings wäre eine führende Rolle
des (Risiko-)Controllings bei der Risikoberichterstattung zu erwarten (vgl. Reich-
28 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT
CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG
Regular
Supervisory
Report
(RSR)
Aufsichtsbericht
Solvency and
Financial
Condition
Report
(SFCR)
Bericht an die
Öffentlichkeit
Quantitative
Reporting
Templates
(QRT)
Meldeformulare
Risikoberichterstattung
Abteilung
Rechnungswesen/
Aktuariate/
Kapitalanlage-Abteilung
Abteilung
Rechnungswesen/
IT-Abteilung/
Controlling
Abteilung
Rechnungswesen/
Controlling/
FachabteilungenAbb. 5: Elemente der aufsichtlichen Risikoberichterstattung (Säule III) unter Solvency II:
SFCR als Kurzform des RSR ergänzt jeweils um
QRTs (tabellenähnliche Berichtsformate)
Abb. 6: Umsetzung der Berichtspflichten nach Solvency II (Säule III)
mann, 2011, S. 584). Viel stärker noch
zeigen jedoch die laufenden Umsetzungsprojekte zur Säule III von Solvency II
eine vielschichtige Aufgabenverteilung,
häufig mit einer dominanten Rolle des
Rechnungswesens (vgl. beispielhaft Abb. 6).
Zwei Gründe sind dafür zu nennen:
1. Bisher sind die Nachweisungen gegen-
über der Aufsicht aus den HGB-Zahlen abgeleitet. Außerdem ist von Versicherungsunternehmen/-konzernen ein
Risikobericht im Jahresabschluss zu
veröffentlichen (§ 289 bzw. § 315HGB).
Beides sind heute und auch zukünftig
Aufgaben des Rechnungswesens.
2. Der Umfang und die Fristen der Berichtspflichten nach Solvency II dominieren die Rechnungslegungsvorschriften. Aufsichtliche Risikoberichterstattung und handelsrechtlicher Jahresabschluss werden daher effizient
nur parallel zu erstellen sein. Damit
macht es Sinn, das Rechnungswesen
dem Controlling in der koordinierenden Rolle vorzuziehen.
Es wird dann allerdings wieder vorrangig
Aufgabe des Controllings sein, wertorientierte Steuerungskonzepte, die Risiken
einbeziehen, in die Unternehmenssteuerung einzubetten.
........................................................
4. Fazit und Ausblick
........................................................
In den Phasen des Risikomanagement-
Prozesses in Versicherungsunternehmen
kann das Controlling jeweils einen Beitrag leisten. Durch die aufsichtlichen Vorgaben ist im Vergleich zu Unternehmen
anderer Branchen das Controlling eingeschränkter in seinen Aufgaben. Beispielsweise konkurriert die Compliance-Funktion um Aufgaben, die als Teil des (Risiko-)Controllings (wie der Überwachung
von Rechtsrisiken) gesehen werden
könnten.
Offen bleibt die organisatorische Ausgestaltung der Governance-Funktionen in
verschiedenen Abteilungen und eine Einbindung in das Controlling als Funktion
oder umgekehrt von Controlling-Stellen
in die Governance-Funktionen. Abzuwarten bleiben Konkretisierungen durch
EU-Durchführungsbestimmungen und
Leitlinien. Die Ausgestaltung bleibt zudem eine unternehmensindividuelle Entscheidung, die aufgrund des Umfangs,
der Art und der Komplexität der Risiken,
also nach dem Proportionalitätsprinzip,
sowie den Kosten zu treffen ist.
Erstaunlich, aber erklärbar ist, dass ein
Schwerpunkt der Koordination der (aufsichtlichen) Berichtspflichten im externen Rechnungswesen und nicht im Controlling liegen wird.
Es ist zu hoffen, dass über die Erfüllung
der aufsichtlichen Anforderungen hinaus, die Möglichkeiten durch Risiko-
Controlling Wertsteigerungen zu generieren, erkannt werden. Aufgrund der ökonomischen Sichtweisen in Solvency II ist
der Schritt von der Risikobetrachtung
hin zu einer integrierten Chancen- und
Risikobetrachtung nicht mehr weit. Fast
zwangsläufig mündet sie in einer wertorientierten Steuerung, die auch in Versicherungsunternehmen eine Domäne
des Controllings sein sollte.
Für Unternehmen außerhalb des Finanzdienstleistungssektors lassen sich folgende entsprechende Tendenzen erwarten:
höhere Anforderungen an die organisatorische Ausgestaltung des Governance-Systems,
„Verrechtlichung“ der Betrachtung
von Risiken und Ausweitung der Compliance-Anforderungen,
zumindest zusätzliche Wertorientierung auch in kleineren und nicht-kapitalmarktorientierten Unternehmen
sowie
zunehmende Vorgaben an die interne
Dokumentation als auch steigende
(externe) Publizitätspflichten zu Risiken.
Wie auch im Versicherungssektor wird
der Prozess dahin, der mit einer „faktischen Normierung des Controllings“
(siehe Sassen, 2012, S. 328) einhergeht,
noch Jahre andauern.
Keywords
Compliance
Insurance companies
Risk management
Risk management process
Risk reporting
Summary
In this paper the consequences of the
new European supervisory regime for
insurers, Solvency II, on the management accounting (controlling) in insurance companies is analysed. Main aspects are organising efficient structures of the required governance functions (for example internal audit, compliance and actuarial function) and the
clear delegation of tasks within the
risk management process.
Literatur
Boetius, F./Ellenbürger, F./Frey, C./Ott, P.
(Hrsg.), Mindestanforderungen an das Risikomanagement (MaRisk) für Versicherungen
– Eine einführende Kommentierung, Stuttgart 2008.
Aufgaben des Controllings im Risikomanagement in Versicherungsunternehmen 29
25. Jahrgang 2013, Heft 1
Überzeugend auftreten.
Dieser neue Ratgeber
erläutert konkret die unbewussten
Signale, die jeder Mensch aussendet. Denn man kann nicht
»nicht kommunizieren«.
Besonders lehrreich
für alle, die präsentieren oder
vortragen: Key Accounter, Projektleiter, Rechtsanwälte und Politiker sowie für alle, die Menschen
einschätzen müssen: Personalentscheider, Käufer und Verkäufer.
Im Klartext:
Q Konkrete Tipps, wie wir die
eigene Körpersprache verbessern
können
Q Die geheimen Botschaften:
Was der Körper über uns verrät
Q Wie Sie die Körpersprache der
anderen lesen und deuten
Q Mit zahlreichen Fotos zur
besseren Erklärung.
Pr
ei
s
in
kl
. M
w
St
./1
6
0
5
1
5
Bestellen Sie bei Ihrem Buchhändler oder bei:
beck-shop.de oder Verlag C.H.BECK · 80791 München
Fax: 089/38189-402 · www.beck.de
Von Dr. Christian Schmid-Egger und
Caroline Krüll.
2012. XI, 262 Seiten. Kartoniert € 19,80
ISBN 978-3-406-63624-0
Horva´th, P., Controlling. 11. Aufl., München
2009.
Kraft, M., Kostentransparenz in Versicherungsunternehmen durch Deckungsbeitragsrechnungen – Controlling als informatorische Basis der Steuerung von Komposit-Versicherungsunternehmen, Karlsruhe 2008.
Kriele, M./Wolf, J., Wertorientiertes Risikomanagement von Versicherungsunternehmen, Berlin/Heidelberg, 2012.
Küpper, H.-U., Controlling – Konzeption,
Aufgaben, Instrumente, 5. Aufl., Stuttgart
2008.
Lüttringhaus, J., Neue Governance- und
Aufsichtsregeln für die europäische Versicherungswirtschaft nach Solvency II, in: Europäische Zeitschrift für Wirtschaftsrecht,
22. Jg. (2012), H. 22, S. 856–860.
Nevries, P./Strauß, E., Aufgaben des Controllings im Rahmen des Risikomanagementprozesses – Eine empirische Untersuchung in
deutschen Großkonzernen, in: Zeitschrift für
Controlling & Management, 52. Jg. (2008),
H. 2, S. 106–111.
Reese, B./Ronge, C., Aufgaben und Struktur
der Compliance-Funktion im Versicherungsunternehmen unter besonderer Berücksichtigung von Solvency II, in: Versicherungsrecht,
62. Jg. (2011), H. 28, S. 1217–1233.
Reichmann, T., Controlling mit Kennzahlen
und Management-Tools – Die systemgestützte Controlling-Konzeption, 8. Aufl., München 2011.
Rittmann, M., Neuausrichtung der Versicherungsaufsicht im Rahmen von Solvency II –
Implikationen und Ansatzpunkte für die Gestaltung des Risikomanagements in Versicherungsunternehmen, Wiesbaden 2010.
Sassen, R., Integration des Controllings in
das Corporate Governance-System einer
Aktiengesellschaft, in: Controlling, 24. Jg.
(2012), H. 6, S. 323–329.
Schaaf, M., Risikomanagement und Compliance in Versicherungsunternehmen – Aufsichtsrechtliche Anforderungen und Organverantwortung, Karlsruhe 2010.
Solvency II-Richtlinie, Richtlinie 2009/138/EG
des Europäischen Parlaments und des Rates
vom 25. November 2009 betreffend die Aufnahme und Ausübung der Versicherungsund der Rückversicherungstätigkeit (Solvabilität II), http://eur-lex.europa.eu/LexUriServ/
LexUriServ.do?uri=OJ:L:2009:335:0001:0155:
de:PDF.
Tillmann, M., Risikokapitalbasierte Steuerung in der Schaden- und Unfallversicherung – Konzeption einer modellgestützten
Risikoanalyse, Frankfurt am Main 2005.
Utecht, T., Entwicklungstrends im Controlling von Versicherungsunternehmen, in:
Zeitschrift für die gesamte Versicherungswissenschaft, 98. Jg. (2009), H. 1, S. 91–118.
Weber, J./Schäffer, U., Einführung in das
Controlling, 13. Aufl., Stuttgart 2011.
Wild, P., Risikocontrolling – Aufgaben und
Funktionen des Risikocontrolling im Risikomanagementprozess, in: Controlling, 24. Jg.
(2012), H. 6, S. 319–322.
30 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT
CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG
Abstract
In this paper the consequences of the new European supervisory regime for insurers, Solven-cy II, on the management accounting (controlling) in insurance companies is analysed. Main aspects are organising efficient structures of the required governance functions (for example internal audit, compliance and actuarial function) and the clear delegation of tasks within the risk management process.
Zusammenfassung
Controlling in Versicherungsunternehmen ist angesichts der aufsichtsrechtlichen und versiche-rungsmathematischen Dimensionen der Reform der EU-Versicherungsaufsicht Solvency II in den Hintergrund geraten. Controlling-Aufgaben im Risikomanagement-Prozess sind daher neu zu bestimmen. Bezüge zu Unternehmen in nicht regulierten Branchen dienen dazu, um Ten-denzen für deren Controlling zu antizipieren.
References
Abstract
Month by month, Controlling - Zeitschrift für erfolgsorientierte Unternehmenssteuerung publishes peer-reviewed, applied research contributions for business management, accounting and reporting. Key elements of succesful corporate controlling are presented in an analytic, well-structured manner.
Language: German.
For more information for authors and subscribers, see www.zeitschrift-controlling.de.
Zusammenfassung
Die Controlling - Zeitschrift für erfolgsorientierte Unternehmenssteuerung liefert Monat für Monat fundierte und anwendungsorientierte Fachbeiträge für das Management sowie das Finanz- und Rechnungswesen in Unternehmen. Klar gegliedert und strukturiert werden für alle Controlling-Bereiche die Faktoren für eine erfolgreiche Unternehmenssteuerung aufgezeigt.
Weitere Informationen für Autoren und Abonnenten finden Sie unter www.zeitschrift-controlling.de.