Aufgaben des Controllings im Risikomanagement in Versicherungsunternehmen Eine Analyse vor dem Hintergrund der neuen aufsichtsrechtlichen Solvency II-Anforderungen und Hinweise zur praktischen Umsetzung Mirko Kraft Prof. Dr. Mirko Kraft ist Professor für Versicherungsbetriebslehre und wirtschaftswissenschaftliche Grundlagenfächer an der Hochschule für angewandte Wissenschaften Coburg. E-Mail: mirko. kraft@hs-coburg.de Stichwörter  Compliance  Risikoberichterstattung  Risikomanagement  Risikomanagement-Prozess  Versicherungsunternehmen Controlling in Versicherungsunternehmen ist angesichts der aufsichtsrechtlichen und versicherungsmathematischen Dimensionen der Reform der EU-Versicherungsaufsicht Solvency II in den Hintergrund geraten. Controlling-Aufgaben im Risikomanagement-Prozess sind daher neu zu bestimmen. Bezüge zu Unternehmen in nicht regulierten Branchen dienen dazu, Tendenzen für deren Controlling zu antizipieren. ........................................................ 1. Herausforderungen des Controllings in Versicherungsunternehmen durch Solvency II ........................................................ Versicherungsunternehmen nehmen, wie andere Unternehmen, durch ihre Geschäftstätigkeit zwangsläufig Risiken in Kauf (vgl. Reichmann, 2011, S. 569). Weitaus stärker ist die Risikoübernahme jedoch Kern der Aktivitäten. Beispiele sind zum einen die versicherungstechnischen Risiken, die Schaden-/Unfall- bzw. Rückversicherer übernehmen, wie bei Naturkatastrophen durch Orkane oder Hochwasser. Zum anderen sind (Lebens-)Versicherer durch Kapitalanlagerisiken betroffen, z. B. durch die andauernde Finanzkrise, insbesondere durch die niedrigen Zinsen und die Risiken aus Staatsanleihen im Euro-Raum. Das Thema Risikomanagement rückt bei den deutschen Versicherern trotzdem erst durch die Reform des EU-Versicherungsaufsichtsrechts, dem Solvency II-Projekt, in den Fokus. Durch Solvency II sollen eine Harmonisierung der nationalen Beaufsichtigung und eine Verbesserung des Risikomanagements der Versicherungsunternehmen erreicht werden, um Versicherungsnehmer noch stärker zu schützen. Risikobasierte Kapitalanforderungen (Säule I), qualitative Anforderungen an das Risikomanagement (Säule II) und Transparenz durch Berichtspflichten (Säule III) ergeben eine Drei-Säulen- Struktur (vgl. Abb. 1). Wünschenswert ist, dass die neuen Anforderungen nicht isoliert, sondern integriert in den Unternehmen umgesetzt werden: Es besteht die Gefahr, dass aufsichtliche Anforderungen nicht synchronisiert mit dem Controlling implementiert werden. Eine Herausforderung ist darin zu sehen, das Controlling, speziell das Risiko-Controlling, in die Erfüllung der Solvency II-Anforderungen an das Risikomanagement einzubinden (zu den Begriffen Risikomanagement und Risiko- Controlling vgl. Reichmann, 2011, S. 563 ff.). Da momentan die Erfüllung der gesetzlichen Anforderungen im Vordergrund steht, besteht die Sorge einer Vernachlässigung des Controllings. Dies widerspräche einer anhaltenden Entwicklungstendenz der Stärkung des Controllings in Versicherungsunternehmen, vor allem durch die Einführung wertorientierter Steuerungskonzepte (vgl. Utecht, 2009, S. 91 ff.). Aktuelle Problemstellungen für das Controlling in Versicherungsunternehmen sind speziell dessen organisatorische Abgrenzung zu Governance-Funktionen (z. B. Compliance vs. Controlling) und die Aufgaben-Teilung mit diesen, z. B. in der Risikoberichterstattung (Rechnungswesen vs. Controlling). Zu untersuchen ist, wie die neuen Vorgaben unternehmensspezifisch ausgestaltet werden können. Die Solvency II-Rahmenrichtlinie ist 2009 verabschiedet worden (Artikel be- 24 CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG Solvency II M ar kt di sz ip lin A uf si ch ts re ch tl. Ü be rp rü fu ng sve rf ah re n M in de st ka pi ta lan fo rd er un ge n 2. bewerten 1. identifizieren 3. berichten Versicherungsunternehmen sollen Risiken … Abb. 1: Drei-Säulen-Struktur von Solvency II ziehen sich immer auf diese). Die Umsetzung der EU-Gesetzgebung in nationales Recht hat nach momentanem Rechtsstand bis spätestens 30.06.2013 zu erfolgen. Ergänzt werden die Prinzipien der Rahmenrichtlinie durch Durchführungsbestimmungen in EU-Verordnungen, die unmittelbar geltendes Recht in den EU- Mitgliedstaaten sind. Die zugehörigen Rechtsakte sowie Leitlinien waren ebenfalls für Mitte 2013 geplant. Solvency II sollte dann für die Versicherer ab dem 01.01.2014 gelten. Weitere Verzögerungen sind jedoch sehr wahrscheinlich. Aus dem unklaren Zeitplan und den noch offenen Detailregelungen ergeben sich zurzeit erhebliche Herausforderungen: Vorbereitende Projekte organisatorischer und kommunikativer Natur sowie zur IT sind Großbaustellen in den Unternehmen. Bereits heute gelten in Deutschland im Vorgriff auf die Säule II-Regeln qualitative Mindestanforderungen an das Risikomanagement. Dabei handelt es sich um ein Rundschreiben der deutschen Versicherungsaufsichtsbehörde BaFin von 2009 (sog. MaRisk (VA)). Nicht auszuschließen ist, dass weitere Teile von Solvency II (Säule II) vorgezogen werden. Stand der Literatur und Unternehmenspraxis Risiken in Versicherungsunternehmen und der Umgang mit diesen sind in der Literatur umfänglich aufgearbeitet. Controlling in Versicherungsunternehmen ist hingegen weit weniger umfangreich thematisiert. Solvency II ist zum einen aus rechtlicher Sicht gut dokumentiert (siehe z. B. überblicksartig zu den neuen Governance-Regeln Lüttringhaus, 2011). Zum anderen ist Solvency II auch Gegenstand versicherungsmathematischer Abhandlungen; speziell werden interne Modelle thematisiert. Nur teilweise werden hingegen in der versicherungswissenschaftlichen Literatur betriebswirtschaftliche Aspekte in den Vordergrund gestellt, wenn dann oft im Hinblick auf eine wertorientierte Steuerung (siehe u. a. Tillmann, 2005) oder ein wertorientiertes Risikomanagement (z. B. Kriele/Wolf, 2012). Bestimmte untersuchte versicherungsspezifische Teilaspekte basieren auf einem mittlerweile überholten Diskussionsstand der zu erwartenden rechtlichen Vorgaben (u. a. Rittmann, 2010 oder zu Compliance-Aspekten Schaaf, 2010). Die Solvency II-Regeln sind für die Unternehmen auch praktisch vielfach Neuland. Vorbereitende Projekte leiden darunter, dass die konkreten Details immer noch in der (politischen) Diskussion sind, für die der Zeitplan weiter unklar ist, und pragmatische Lösungen unter dem Vorbehalt aufsichtlicher Zustimmung stehen. Gang der Untersuchung Ausgewählte Aspekte der Solvency II-Anforderungen an das Risikomanagement in Versicherungsunternehmen werden im Folgenden entlang des Risikomanagement-Prozesses (vgl. beispielsweise Wild, 2012, S. 319 ff.) herausgegriffen. Es erfolgt eine kurze rechtliche Darstellung, auf der eine Analyse der potenziellen Aufgaben des Controllings aufbaut. Die Ergebnisse werden ferner mit der Umsetzung in Unternehmen verglichen, die nicht dem Finanzdienstleistungssektor angehören. Als Referenz dient dazu teilweise die Studie von Nevries/Strauß, die eine hohe Branchenrepräsentativität für die Praxis beansprucht und die hingegen bewusst den Banken- und Finanzsektor ausschloss (Nevries/Strauß, 2008, S. 106 ff.). Insofern wird sowohl die theoretische Lücke für das Controlling in Versicherungsunternehmen als auch die der Praxis adressiert, da die Implementierung erst mit Geltung der Vorgaben ab 2014 abschließt. Auf praktische Lösungsvorschläge mit Blick auf die anstehende Umsetzung wird jeweils eingegangen. ........................................................ 2. Allgemeine Aufgaben des Controllings im Risikomanagement ........................................................ Zunächst werden Aufgaben des Controllings in Versicherungsunternehmen in Bezug auf die Risikostrategie und die generelle Aufgabenteilung mit anderen Governance-Funktionen betrachtet, bevor die speziellen Aufgaben des Controllings im Risikomanagement-Prozess behandelt werden (Abschnitt 3). Risikostrategie Eine unternehmensweite Risikostrategie ist der Ausgangspunkt und gleichzeitig der Rahmen für das Risikomanagement- System einschließlich des Risikomanagement-Prozesses. In ihr werden risikopolitische Grundsätze und Ziele festgelegt (vgl. Nevries/Strauß, 2008, S. 108). Solvency II verlangt von Versicherungsunternehmen, dass sie „über schriftlich festgelegte Leitlinien [verfügen], die zumindest das Risikomanagement, die interne Kontrolle, die interne Revision [...] betreffen“ (Art. 41 (3)). Die MaRisk (Punkt 7.1) fordern bereits heute, dass eine adäquate Risikostrategie aus der Geschäftsstrategie abgeleitet wird (zu Unterschieden zwischen Geschäfts- und Risikostrategie vgl. Boetius et al., 2008, S. 77 f.). Die verlangte Konsistenz zwischen beiden Strategien ist nachvollziehbar. Die Risikostrategie ist auf Grundlage der Geschäftsstrategie zu entwickeln, um sicher zu stellen, dass das abzuleitende Limit- System auf das Geschäft passt (vgl. Abb. 2). Beispiele für die Kongruenz von Geschäfts- und Risikostrategie wären das (zwangsläufige) Eingehen von Kumulrisi- Aufgaben des Controllings im Risikomanagement in Versicherungsunternehmen 25 25. Jahrgang 2013, Heft 1 Geschäftsstrategie Risikostrategie Limit-System Marktrisiko Vt. Risiko Op. Risiko … Risikomanagement- Funktion Compliance- Funktion interne Revision versicherungsmathematische Funktion Controlling Abb. 2: Zusammenhang zwischen Geschäftsstrategie, Risikostrategie und Limit-System Abb. 3: Governance-Funktionen unter Solvency II in Abgrenzung zum Controlling ken (mehrere Schäden hängen von einem Ereignis ab) in der Hagelversicherung als Teil eines Geschäftsmodells oder das Eingehen von Konzentrationsrisiken (Ausfall eines Emittenten) aufgrund einer strategische Kapitalanlagepolitik, die jeweils durch geeignete Schwellenwerte (entsprechend einer Risikostrategie) auf ein akzeptiertes Risikoniveau limitiert werden. Die Rolle des Controllings besteht sicherlich in einer informationsaufbereitenden und beratenden Funktion des (Gesamt-) Vorstandes, der für die Festlegung von Geschäfts- und Risikostrategie verantwortlich ist. In Versicherungsunternehmen könnten dem Risikomanagement stärker Aufgaben in Bezug auf die Risikostrategie und dem Controlling stärker in Bezug auf die Geschäftsstrategie zukommen. Daraus resultiert die Gefahr von Inkonsistenzen. In der Praxis sollten sowohl Neu- als auch Weiterentwicklung von Geschäfts- und Risikostrategie integriert unter Beachtung unternehmerischer Chancen und Risiken erfolgen. Die Trennung von Strategie und Risiko erscheint gerade bei Versicherungsunternehmen künstlich, sodass vor einer Trennung zu warnen ist. Zu überlegen ist, ob Geschäfts- und Risikostrategie in einem Dokument integriert und nicht in zwei separaten Dokumenten niedergelegt werden und Änderungen der Geschäfts- bzw. Risikostrategie jeweils nur parallel vorgenommen werden (z. B. in Form eines integrierten Tagesordnungspunktes einer Aufsichtsratssitzung). Organisatorische Ansiedlung der Governance-Funktionen nach Solvency II und des Controllings Das Governance-System schließt unter Solvency II folgende Funktionen mit ein:  die Risikomanagement-Funktion (Art. 44),  die Compliance-Funktion (Art. 46),  die interne Revision (Art. 47) und  die versicherungsmathematische Funktion (Art. 48). Eine Funktion ist nicht schon als Organisationseinheit zu sehen, sondern vielmehr als „administrative Kapazität zur Übernahme bestimmter Governanceaufgaben“ (Erwägungsgrund 31). Sofern die Solvency II-Richtlinie nichts Näheres bestimmt, sind die Unternehmen frei darin, wie sie diese Funktionen in der Praxis organisieren. Funktionen können daher in einer Person oder einer Abteilung zusammengefasst (mit Ausnahme der internen Revision) oder outgesourct werden (z. B. in andere Konzernunternehmen). In Solvency II ist weder eine klare Hierarchie der Funktionen noch eine überschneidungsfreie Aufgabenteilung angelegt (vgl. Reese/Ronge, 2011, S. 1230). Die aufbau- und ablauforganisatorische Ausgestaltung der Funktionen ist also nach Zweckmäßigkeit sowohl theoretisch als auch praktisch zu analysieren. Sofern Controlling-Aufgaben nicht vollständig als Aufgaben einer der anderen Funktionen gesehen werden (naheliegend dann als Teil der Risikomanagement-Funktion), stellt sich neben der Frage einer institutionellen insbesondere auch die einer aufgabenspezifischen Abgrenzung (vgl. Abb. 3). Da aufsichtlich keine (allgemeine) Controlling-Funktion verlangt ist, gibt die Solvency II-Richtlinie keine konkreten Antworten. Abstrakt ist nur verlangt (Art. 41), dass das Governance- System eines Versicherungsunternehmens eine angemessene, transparente Organisationsstruktur mit einer klaren Aufgabenzuweisung und einer Trennung von Zuständigkeiten umfasst. In der bisherigen Literatur wird eher auf die Abgrenzung zu anderen Funktionen fokussiert, während in den Unternehmen das Controlling ebenfalls stark berührt ist (speziell bei der Datenbeschaffung). Die Einrichtung einer internen Revision ist nicht versicherungsspezifisch, sondern auch für andere Unternehmen u. a. aktienrechtlich geboten. Ähnlich ist die Verpflichtung zur Sicherstellung von Compliance, also der Einhaltung von Gesetzen und Richtlinien, nicht nur in Versicherungsunternehmen, sondern auch allgemein in Unternehmen wiederum aktienrechtlich begründet. Entsprechend gilt dies auch für die Risikomanagement- Funktion. Unbekannt ist für andere Branchen jedoch eine versicherungsmathematische Funktion. Eine Aufgabe dieser Funktion ist die Koordinierung der Berechnung der versicherungstechni- 26 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG Risikoidentifikation Risikosteuerung Risikokontrolle Prozessüberwachung Risikoberichterstattung Risikoanalyse/ -bewertung Abb. 4: Risikomanagement-Prozess (in Anlehnung an Nevries/Strauß, 2008, S. 107 und vgl. die dort genannten weiteren Quellen zu Phasen des Risikomanagement-Prozesses) schen Rückstellungen sowie eine Beurteilung deren Angemessenheit (Art. 47 (1) a) – f)). Zudem sind u. a. Stellungnahmen zur Zeichnungs- und Annahmepolitik sowie zur Rückversicherungspolitik zu formulieren (Art. 47 (1) g) + h)). Generell wird ein Beitrag der versicherungsmathematischen Funktion zum Risikomanagementsystem, insbesondere im Hinblick auf Risikomodelle erwartet (Art. 47 (1) i)). Die versicherungsmathematische Funktion kann damit als interne Wirtschaftsprüfer-/Berater-Rolle gekennzeichnet werden. In allen von Solvency II verlangten vier Governance-Funktionen sind die Aufgabenzuweisungen und die Ansprüche an eine organisatorische Ausgestaltung in der Regel höher als in Branchen außerhalb des Finanzsektors. So werden Compliance-Abteilungen mit einem verstärkt unternehmensweiten Fokus eingerichtet (evtl. auch durch einen Chief Compliance Officer hervorgehoben, so z. B. 2011 in der ERGO-Gruppe). Compliance-Abteilungen sind hingegen für die rechtlichen Teilbereiche Korruption, Kartellrecht oder Datenschutz in Nicht-Versicherungsunternehmen durchaus üblich und häufig einer Rechtsabteilung untergeordnet. In der Literatur sind die (deutlichen) Unterschiede zwischen Controlling und interner Revision bereits (nicht-versicherungsspezifisch) lange diskutiert (vgl. z. B. Horva´th, 2009, S. 701; Küpper, 2008, S. 554). Bezogen auf die anderen Abgrenzungen besteht sowohl theoretisch als auch praktisch, insbesondere versicherungsspezifisch, Forschungs- bzw. Beratungsbedarf (vgl. z. B. zur Compliance- Funktion Reese/Ronge, 2011, S. 1217 ff.). Die Ausgangslage bei der organisatorischen Ausgestaltung des Risikomanagements ist trotz der (engeren) aufsichtlichen Vorgaben vergleichbar mit Unternehmen anderer Branchen. Naheliegende Varianten sind neben einer eigenen Risikomanagement-Abteilung die Ansiedlung in oder bei Finanzabteilungen, dem externen Rechnungswesen, der internen Revision und einer eigenständigen Controlling-Abteilung, die ggf. vorhandenen ist (zur Einrichtung einer eigenständigen Controlling-Organisation vgl. Küpper, 2008, S. 545). Strauß/Nevries berichten von einer überwiegenden Organisationsform, bei der eine eigene Abteilung für das Risikomanagement (auf Konzern-Ebene) besteht, die stark an eine (Konzern-)Controlling-Abteilung angebunden ist und wobei Risikomanagement auf Ebene der strategischen Geschäftseinheiten fast ausschließlich von dezentralen Controlling- Einheiten übernommen wird. Durch die explizite Solvency II-Anforderung, eine Risikomanagement-Funktion einzurichten, ist bei Versicherungsunternehmen eine noch stärkere Tendenz einer separaten Risikomanagement-Abteilung, evtl. als Teil einer übergeordneten Controlling- Abteilung zu erwarten. Risikomanagement- und Controlling-Aufgaben dürften aber dezentral (z. B. auf Versicherungszweig-/Sparten-Ebene) oft von den gleichen Personen wahrgenommen werden. Aus dem Zweck des Risikomanagements, gesetzliche (und hier besonders aufsichtsrechtliche) Anforderungen zu erfüllen, ergibt sich bei Versicherungsunternehmen sicherlich speziell eine Abgrenzungsproblematik mit der Compliance-Funktion. Dies folgt aus der stärkeren Reglementierung des Risikomanagements durch aufsichtsrechtliche Vorgaben und der Compliance-Funktion, die die Einhaltung genau dieser prüft. Damit ergibt sich auch für das Risiko-Controlling die Herausforderung der Abgrenzung. Der Begriff Controlling wird in den weiteren Ausführungen im Sinne einer Controlling-Funktion gebraucht, unabhängig davon, ob entsprechende Aufgaben in einer Controlling-Abteilung oder von anderen Funktionsträgernwahrgenommenwerden. ........................................................ 3. Spezielle Aufgaben des Controllings im Risikomanagement- Prozess ........................................................ Solvency II verlangt, dass Versicherungsunternehmen „über ein wirksames Risikomanagementsystem verfügen, das die Strategien, Prozesse und Meldeverfahren umfasst, die erforderlich sind, um die „[...] Risiken [...] zu erkennen, zu messen, zu überwachen, zu managen und darüber Bericht zu erstatten.“ (Art. 44). Damit ist der klassische Risikomanagement-Prozess (in leicht veränderter Form) umschrieben (vgl. Abb. 4). Zur kontinuierlichen Erkennung von Risiken und deren zielorientierter Steuerung ist also für Versicherungsunternehmen kein anderer Risikomanagement-Prozess notwendig als für (nicht-regulierte/nicht beaufsichtigte) Unternehmen anderer Branchen (vgl. zum allgemeinen Risikomanagement-Begriff bzw. -Prozess Reichmann, 2011, S. 571 ff.). Insofern ist zu vermuten, dass die Aufgaben des Controllings im Risikomanagement-Prozess inVersicherungsunternehmen ähnlich zu denen des Controllings in Unternehmen mit weitentwickelten Risikomanagement- bzw. Controlling-Konzeptionen sind. Dies wird im Folgenden anhand der Prozessschritte näher untersucht. Risikomanagement-Prozessschritt: Risikoidentifikation Neben der bereits angeführten generellen Solvency II-Anforderung (Art. 44), Risiken zu identifizieren, werden Risikokategorien und abzudeckende Bereiche konkretisiert (Art. 44 (2) i.V.m. Art. 101 (4)). Dem Controlling kommt bei der Risikoidentifikation sicherlich eine beratende und an Schnittstellen eine übergreifende bzw. koordinierende Funktion zu. Gerade eine zentrale Controlling-Abteilung mit einem Überblick über relevante Informationen ist dazu prädestiniert (vgl. Nevries/Strauß, 2008, S. 108). Bezüglich versicherungstechnischer Risiken kommt jedoch der versicherungsma- Aufgaben des Controllings im Risikomanagement in Versicherungsunternehmen 27 25. Jahrgang 2013, Heft 1 thematischen Funktion eine Sonderrolle zu. In der Praxis genießen heute Aktuariate (also die versicherungsmathematischen Abteilungen, meist unterteilt nach Schaden- und Lebensversicherung) häufig eine weitgehende Zuständigkeit in der Vorbereitung von Tarifierungs- und Kalkulationsfragen, wohingegen in Nicht- Versicherungsunternehmen Controller stärker in die (Kosten-)Kalkulation eingebunden sind. Unklar ist von vornherein, ob Rechtsrisiken zumindest teilweise als Teil der operationellen Risiken durch die Risikomanagement-Funktion und/oder durch die Compliance-Funktion identifiziert werden sollten. Es empfiehlt sich, pragmatisch gemeinschaftlich ein Compliance- Handbuch (ähnlich einem Risikoinventar) zu erstellen. Risikomanagement-Prozessschritt: Risikoanalyse/-bewertung Die Risikoanalyse/-bewertung knüpft an den Prozessschritt der Risikoidentifikation an (vgl. Nevries/Strauß, 2008, S. 109). In der Praxis erfolgen Risikoidentifikation und eine (erste) Risikobeurteilung in Versicherungsunternehmen häufig kombiniert, z. B. durch eine Risk Map. Risiken werden darin durch Schadenhöhe und Eintrittswahrscheinlichkeit abgebildet. Die nähere Quantifizierung versicherungstechnischer Risiken beinhaltet dann (versicherungs-)mathematische Methoden. Das Versicherungsgeschäft-Controlling liefert dabei Korrekturen über die bei der Kalkulation angenommenen Schadenverteilungen und somit über die Risiken aus dem Versicherungsbestand z. B. nach Versicherungszweigen (zur Controlling-Struktur in Versicherungsunternehmen vgl. Kraft, 2008, S. 33). Einzelrisiken unter Berücksichtigung ihrer Interdependenzen zu einem Gesamtrisiko zu aggregieren, ist intern herausfordernd. Mit der Solvency II-Standardformel ist aufsichtlich eine Aggregationsform vorgeben, die allerdings pauschal ist. Kritisch ist, dass Risikointerdependenzen vereinfachend durch feste Korrelationsfaktoren determiniert sind, die nur lineare Abhängigkeiten approximieren. Über den Standardansatz hinausgehend können Versicherungsunternehmen anstreben, interne Modelle aufsichtlich genehmigen zu lassen. Die Modellierungsanforderungen gegenüber der Standardformel steigen dadurch erheblich. Aufgrund dessen ist die interne Modell-Entwicklung zwar durch das Controlling zu begleiten, um die Einbindung in die späteren Entscheidungsprozesse sicherzustellen, allerdings werden Risikomanagement-Funktion und versicherungsmathematische Funktion erheblich die Modellierung übernehmen. Risikomanagement-Prozessschritt: Risikosteuerung Die Risikosteuerung ist originärer Entscheidungsraum der Unternehmensführung. Dem Controlling kommt dabei nicht die Aufgabe zu, Entscheidungen zu treffen, sondern zielsetzungsgerechte Entscheidungen vorzubereiten (vgl. Kraft, 2008, S. 24 f.). Die Risikomaßnahmen ergeben sich dabei aus der Risikostrategie, die die maximale Risikoakzeptanz auf Unternehmensebene festlegt. Die MaRisk verlangen ein „Herunterbrechen“ in Form eines Limit-Systems, z. B. Schwellenwerten für Kapitalanlageklassen oder Höchstgrenzen bei Zeichnungsrichtlinien für Versicherungsverträge. Nicht vernachlässigt werden sollte beim Festlegen der Limite, dass mit den Risiken jeweils auch Chancen verbunden sind. Eine reine Risikobetrachtung kann daher genauso wenig ausreichend sein wie eine reine Chancenbetrachtung. Die naheliegende institutionelle Aufteilung der Sichtweisen in Zuständigkeiten für das Controlling (Chancen) und für das Risikomanagement (Risiken) ist aber nicht zielführend. Nur eine integrierte Sichtweise wird der Untrennbarkeit von Chancen und Risiken gerecht. Ein wirksamer Informationsaustausch durch ein angemessenes internes Berichtswesen ist dafür essentiell. Risikomanagement-Prozessschritt: Risikokontrolle Die Risikokontrolle schließt sich der Risikosteuerung an, bevor der Risikomanagement-Prozess wieder mit der Risikoidentifikation beginnt. Startpunkt sind dann die Netto-Risiken nach Risikosteuerungsmaßnahmen und Risiken aus diesen Maßnahmen (z. B. Ausfallrisiken von Rückversicherern). Bei der Risikokontrolle kommt dem Controlling auch in Versicherern wieder eine verstärkte Rolle wie in Nicht- Versicherern zu, indem u. a. Soll-Ist-Vergleiche der (finanziellen) Kennzahlen erfolgen (vgl. Nevries/Strauß, 2008, S. 110). Der versicherungsmathematischen Funktion sind bestimmte Kontrollaufgaben zugewiesen, wie der Vergleich von besten Schätzwerten für versicherungstechnische Rückstellungen mit Erfahrungswerten (Art. 46 (1) d)). Auch die verlangte Stellungnahme zur Angemessenheit der Rückversicherung (Art. 46 (1) h)) beinhaltet Kontrollaufgaben. Rückversicherungs-Controlling und versicherungsmathematische Funktion sind daher bei auseinander fallender personeller Zuständigkeiten auf einen wirksamen Informationsaustausch angewiesen. Prozessüberwachung Effizienz und Effektivität der Risikomanagement-Prozessschritte bedürfen einer Überwachung, die in Unternehmen au- ßerhalb der Versicherungsbranche in der Hauptsache bei der internen Revision und nicht im Controlling angesiedelt ist (vgl. Nevries/Strauß, 2008, S. 110). Die unter Solvency II von der internen Revision verlangte Objektivität und Unabhängigkeit (Art. 47 (2)) legt es nahe, die Prozessüberwachung ebenfalls der internen Revision zuzuweisen. Eine andere Zuweisung brächte Doppelarbeiten, da die Angemessenheit und Wirksamkeit des Governance-Systems insgesamt von der internen Revision zu beurteilen sind (Art. 47 (1)). Risikoberichterstattung Die Prozessschritte des Risikomanagement-Prozesses sind jeweils zu dokumentieren. Neben den Ergebnissen aus den jeweiligen Prozessschritten ist auch die Prozessdurchführung an sich festzuhalten (zur risikoorientierten Berichterstattung vgl. Weber/Schäffer, 2011, S. 247 ff.). Letzteres gilt wegen konkretererAnforderungen und der Überprüfung durch Aufsichtsbehörden in Versicherungsunternehmen noch verstärkt (Art. 36). Hinzu kommt (vgl. Abb. 5), dass nicht mehr nur eine Berichterstattung gegenüber der Aufsicht zu erfolgen hat (Art. 35), sondern auch gegenüber der Öffentlichkeit (Art. 51). Ungeachtet der externen Zielrichtung der aufsichtlichen Risikoberichterstattung richtet sich auch in Versicherungsunternehmen die Risikoberichterstattung primär an das Management. Aus der entscheidungsvorbereitenden Aufgabe des Controllings wäre eine führende Rolle des (Risiko-)Controllings bei der Risikoberichterstattung zu erwarten (vgl. Reich- 28 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG Regular Supervisory Report (RSR) Aufsichtsbericht Solvency and Financial Condition Report (SFCR) Bericht an die Öffentlichkeit Quantitative Reporting Templates (QRT) Meldeformulare Risikoberichterstattung Abteilung Rechnungswesen/ Aktuariate/ Kapitalanlage-Abteilung Abteilung Rechnungswesen/ IT-Abteilung/ Controlling Abteilung Rechnungswesen/ Controlling/ FachabteilungenAbb. 5: Elemente der aufsichtlichen Risikoberichterstattung (Säule III) unter Solvency II: SFCR als Kurzform des RSR ergänzt jeweils um QRTs (tabellenähnliche Berichtsformate) Abb. 6: Umsetzung der Berichtspflichten nach Solvency II (Säule III) mann, 2011, S. 584). Viel stärker noch zeigen jedoch die laufenden Umsetzungsprojekte zur Säule III von Solvency II eine vielschichtige Aufgabenverteilung, häufig mit einer dominanten Rolle des Rechnungswesens (vgl. beispielhaft Abb. 6). Zwei Gründe sind dafür zu nennen: 1. Bisher sind die Nachweisungen gegen- über der Aufsicht aus den HGB-Zahlen abgeleitet. Außerdem ist von Versicherungsunternehmen/-konzernen ein Risikobericht im Jahresabschluss zu veröffentlichen (§ 289 bzw. § 315HGB). Beides sind heute und auch zukünftig Aufgaben des Rechnungswesens. 2. Der Umfang und die Fristen der Berichtspflichten nach Solvency II dominieren die Rechnungslegungsvorschriften. Aufsichtliche Risikoberichterstattung und handelsrechtlicher Jahresabschluss werden daher effizient nur parallel zu erstellen sein. Damit macht es Sinn, das Rechnungswesen dem Controlling in der koordinierenden Rolle vorzuziehen. Es wird dann allerdings wieder vorrangig Aufgabe des Controllings sein, wertorientierte Steuerungskonzepte, die Risiken einbeziehen, in die Unternehmenssteuerung einzubetten. ........................................................ 4. Fazit und Ausblick ........................................................ In den Phasen des Risikomanagement- Prozesses in Versicherungsunternehmen kann das Controlling jeweils einen Beitrag leisten. Durch die aufsichtlichen Vorgaben ist im Vergleich zu Unternehmen anderer Branchen das Controlling eingeschränkter in seinen Aufgaben. Beispielsweise konkurriert die Compliance-Funktion um Aufgaben, die als Teil des (Risiko-)Controllings (wie der Überwachung von Rechtsrisiken) gesehen werden könnten. Offen bleibt die organisatorische Ausgestaltung der Governance-Funktionen in verschiedenen Abteilungen und eine Einbindung in das Controlling als Funktion oder umgekehrt von Controlling-Stellen in die Governance-Funktionen. Abzuwarten bleiben Konkretisierungen durch EU-Durchführungsbestimmungen und Leitlinien. Die Ausgestaltung bleibt zudem eine unternehmensindividuelle Entscheidung, die aufgrund des Umfangs, der Art und der Komplexität der Risiken, also nach dem Proportionalitätsprinzip, sowie den Kosten zu treffen ist. Erstaunlich, aber erklärbar ist, dass ein Schwerpunkt der Koordination der (aufsichtlichen) Berichtspflichten im externen Rechnungswesen und nicht im Controlling liegen wird. Es ist zu hoffen, dass über die Erfüllung der aufsichtlichen Anforderungen hinaus, die Möglichkeiten durch Risiko- Controlling Wertsteigerungen zu generieren, erkannt werden. Aufgrund der ökonomischen Sichtweisen in Solvency II ist der Schritt von der Risikobetrachtung hin zu einer integrierten Chancen- und Risikobetrachtung nicht mehr weit. Fast zwangsläufig mündet sie in einer wertorientierten Steuerung, die auch in Versicherungsunternehmen eine Domäne des Controllings sein sollte. Für Unternehmen außerhalb des Finanzdienstleistungssektors lassen sich folgende entsprechende Tendenzen erwarten:  höhere Anforderungen an die organisatorische Ausgestaltung des Governance-Systems,  „Verrechtlichung“ der Betrachtung von Risiken und Ausweitung der Compliance-Anforderungen,  zumindest zusätzliche Wertorientierung auch in kleineren und nicht-kapitalmarktorientierten Unternehmen sowie  zunehmende Vorgaben an die interne Dokumentation als auch steigende (externe) Publizitätspflichten zu Risiken. Wie auch im Versicherungssektor wird der Prozess dahin, der mit einer „faktischen Normierung des Controllings“ (siehe Sassen, 2012, S. 328) einhergeht, noch Jahre andauern. Keywords  Compliance  Insurance companies  Risk management  Risk management process  Risk reporting Summary In this paper the consequences of the new European supervisory regime for insurers, Solvency II, on the management accounting (controlling) in insurance companies is analysed. Main aspects are organising efficient structures of the required governance functions (for example internal audit, compliance and actuarial function) and the clear delegation of tasks within the risk management process. Literatur Boetius, F./Ellenbürger, F./Frey, C./Ott, P. (Hrsg.), Mindestanforderungen an das Risikomanagement (MaRisk) für Versicherungen – Eine einführende Kommentierung, Stuttgart 2008. Aufgaben des Controllings im Risikomanagement in Versicherungsunternehmen 29 25. Jahrgang 2013, Heft 1 Überzeugend auftreten. Dieser neue Ratgeber erläutert konkret die unbewussten Signale, die jeder Mensch aussendet. Denn man kann nicht »nicht kommunizieren«. Besonders lehrreich für alle, die präsentieren oder vortragen: Key Accounter, Projektleiter, Rechtsanwälte und Politiker sowie für alle, die Menschen einschätzen müssen: Personalentscheider, Käufer und Verkäufer. Im Klartext: Q Konkrete Tipps, wie wir die eigene Körpersprache verbessern können Q Die geheimen Botschaften: Was der Körper über uns verrät Q Wie Sie die Körpersprache der anderen lesen und deuten Q Mit zahlreichen Fotos zur besseren Erklärung. Pr ei s in kl . M w St ./1 6 0 5 1 5 Bestellen Sie bei Ihrem Buchhändler oder bei: beck-shop.de oder Verlag C.H.BECK · 80791 München Fax: 089/38189-402 · www.beck.de Von Dr. Christian Schmid-Egger und Caroline Krüll. 2012. XI, 262 Seiten. Kartoniert € 19,80 ISBN 978-3-406-63624-0 Horva´th, P., Controlling. 11. Aufl., München 2009. Kraft, M., Kostentransparenz in Versicherungsunternehmen durch Deckungsbeitragsrechnungen – Controlling als informatorische Basis der Steuerung von Komposit-Versicherungsunternehmen, Karlsruhe 2008. Kriele, M./Wolf, J., Wertorientiertes Risikomanagement von Versicherungsunternehmen, Berlin/Heidelberg, 2012. Küpper, H.-U., Controlling – Konzeption, Aufgaben, Instrumente, 5. Aufl., Stuttgart 2008. Lüttringhaus, J., Neue Governance- und Aufsichtsregeln für die europäische Versicherungswirtschaft nach Solvency II, in: Europäische Zeitschrift für Wirtschaftsrecht, 22. Jg. (2012), H. 22, S. 856–860. Nevries, P./Strauß, E., Aufgaben des Controllings im Rahmen des Risikomanagementprozesses – Eine empirische Untersuchung in deutschen Großkonzernen, in: Zeitschrift für Controlling & Management, 52. Jg. (2008), H. 2, S. 106–111. Reese, B./Ronge, C., Aufgaben und Struktur der Compliance-Funktion im Versicherungsunternehmen unter besonderer Berücksichtigung von Solvency II, in: Versicherungsrecht, 62. Jg. (2011), H. 28, S. 1217–1233. Reichmann, T., Controlling mit Kennzahlen und Management-Tools – Die systemgestützte Controlling-Konzeption, 8. Aufl., München 2011. Rittmann, M., Neuausrichtung der Versicherungsaufsicht im Rahmen von Solvency II – Implikationen und Ansatzpunkte für die Gestaltung des Risikomanagements in Versicherungsunternehmen, Wiesbaden 2010. Sassen, R., Integration des Controllings in das Corporate Governance-System einer Aktiengesellschaft, in: Controlling, 24. Jg. (2012), H. 6, S. 323–329. Schaaf, M., Risikomanagement und Compliance in Versicherungsunternehmen – Aufsichtsrechtliche Anforderungen und Organverantwortung, Karlsruhe 2010. Solvency II-Richtlinie, Richtlinie 2009/138/EG des Europäischen Parlaments und des Rates vom 25. November 2009 betreffend die Aufnahme und Ausübung der Versicherungsund der Rückversicherungstätigkeit (Solvabilität II), http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=OJ:L:2009:335:0001:0155: de:PDF. Tillmann, M., Risikokapitalbasierte Steuerung in der Schaden- und Unfallversicherung – Konzeption einer modellgestützten Risikoanalyse, Frankfurt am Main 2005. Utecht, T., Entwicklungstrends im Controlling von Versicherungsunternehmen, in: Zeitschrift für die gesamte Versicherungswissenschaft, 98. Jg. (2009), H. 1, S. 91–118. Weber, J./Schäffer, U., Einführung in das Controlling, 13. Aufl., Stuttgart 2011. Wild, P., Risikocontrolling – Aufgaben und Funktionen des Risikocontrolling im Risikomanagementprozess, in: Controlling, 24. Jg. (2012), H. 6, S. 319–322. 30 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG