Risiken adäquat einschätzen

Transkript

1 Risiken adäquat einschätzen Mag. Sibylle Scaria Folie 1

2 Agenda Gesetzliche Grundlagen Vom Risikomanagementsystem zum Risikoprofil Bewertungsmethoden Gesamtsolvabilitätsbedarf Schnittstellen zu anderen Bereichen / Funktionen Effektivität des Risikomanagementsystems 2

3 Agenda Gesetzliche Grundlagen Vom Risikomanagementsystem zum Risikoprofil Bewertungsmethoden Gesamtsolvabilitätsbedarf Schnittstellen zu anderen Bereichen / Funktionen Effektivität des Risikomanagementsystems 3

4 VAG 110 Risikomanagement (2) [VU] hat die Risiken, die in die Berechnung der Solvenzkapitalanforderung einzubeziehen sind, sowie die Risiken, die bei dieser Berechnung nicht vollständig erfasst werden, zumindest aber die folgenden Bereiche abzudecken: 1. Risikozeichnung und Rückstellungsbildung, 2. Asset-Liability-Management, 3. Kapitalanlagen, insbesondere Derivate und ähnliche Verpflichtungen, 4. Liquiditäts- und Konzentrationsrisikomanagement, 5. Risikomanagement operationeller Risiken und 6. Rückversicherung und andere Risikominderungstechniken. 4

5 VAG 111 Risiko- und Solvabilitätsbeurteilung (1) (1) Versicherungs- und Rückversicherungsunternehmen haben im Rahmen des Risikomanagement-Systems eine unternehmenseigene Risiko- und Solvabilitätsbeurteilung durchzuführen. Diese hat integraler Bestandteil der Geschäftsstrategie zu sein, laufend in die strategischen Entscheidungen einzufließen und zumindest Folgendes zu umfassen: 1. den Gesamtsolvabilitätsbedarf unter Berücksichtigung des spezifischen Risikoprofils, der genehmigten Risikotoleranzschwellen und der Geschäftsstrategie, 2. die laufende Einhaltung der Vorschriften über die Solvenz- und Mindestkapitalanforderung gemäß den Bestimmungen des 3. bis 6. Abschnitts des 8. Hauptstücks und der Vorschriften über die versicherungstechnischen Rückstellungen gemäß dem 1. Abschnitt des 8. Hauptstücks und 3. die Signifikanz der Abweichung des Risikoprofils von den Annahmen, die der Berechnung der Solvenzkapitalanforderung zugrunde liegen, die mit der Standardformel oder unter Verwendung eines internen Modells berechnet wurde. 5

6 VAG 111 Risiko- und Solvabilitätsbeurteilung (2) (2) Im Rahmen von Abs. 1 Z 1 sind Prozesse einzurichten, die der Wesensart, dem Umfang und der Komplexität der Risiken angemessen sind, und die es dem Versicherungs- oder Rückversicherungsunternehmen ermöglichen, die Risiken, mit denen es kurz- und langfristig zu rechnen hat und denen es ausgesetzt ist oder ausgesetzt sein könnte, angemessen zu erkennen und zu beurteilen. Die Methoden, nach denen es die Bewertung des Gesamtsolvabilitätsbedarfs vornimmt, sind darzulegen. 6

7 Agenda Gesetzliche Grundlagen Vom Risikomanagementsystem zum Risikoprofil Bewertungsmethoden Gesamtsolvabilitätsbedarf Schnittstellen zu anderen Bereichen / Funktionen Effektivität des Risikomanagementsystems 7

8 Elemente eines angemessenen Risikomanagement-Systems Management-Konzept Risikostrategie Risikotragfähigkeit Risikoappetit Limitsystem Risikomanagement- Leitlinie RM-Prozess Risiko- Identifizierung Risiko-Analyse Risiko-Steuerung Risiko-Reporting Risiko-Überwachung Organisation Aufbauorganisation Ablauforganisation Interne Kontrollen 8

9 Am Anfang stand... die Risikostrategie Lässt sich aus der Geschäftsstrategie ableiten und muss mit dieser konsistent sein Beschreibt den Umgang mit Risiken, die sich aus der Geschäftsstrategie ableiten Muss jährlich überprüft werden Ist vom Vorstand festzulegen In der Risikomanagement-Leitlinie dokumentiert 9

10 Rahmenkonzept einer Risikostrategie Unternehmensziele und -strategie Risikoappetit Risikotoleranz Risiko-Limite Das Ausmaß, zu dem der Vorstand bereit ist, Volatilität der Erträge oder Erosion des Kapitals bei der Verfolgung strategischer Ziele in Kauf zu nehmen Die Risikotoleranz ist ein bestimmtes Höchstmaß für Klassen oder Unterklassen von Risiken, in Bezug auf die Größe und Art der Risiken, welche die Organisation bereit ist einzugehen Schwellenwert um Aktivitäten zu kontrollieren und sicherzustellen, dass eine Variation der erwarteten Ergebnisse mit dem Risiko-Ziel im Einklang steht, jedoch nicht die Risikobereitschaft / -toleranz überschreitet 10

11 Risikostrategie Proportionalität & Wesentlichkeit Proportionalität Die Anforderungen sind unter Berücksichtigung der unternehmensindividuellen Risiken, der Art und des Umfangs des Geschäftsbetriebes sowie der Komplexität des gewählten Geschäftsmodells des Unternehmens zu erfüllen. Wesentlichkeit Wesentliche Risiken sind alle Risiken, die sich nachhaltig negativ auf die Wirtschafts-, Finanz- oder Ertragslage des Unternehmens auswirken können. Jedes Unternehmen muss eine individuelle Skalierung der Wesentlichkeit vornehmen. Aufgabe der Geschäftsleitung ist die Festlegung von Wesentlichkeitsgrenzen der einzelnen Risikoarten. 11

12 Risikotragfähigkeit Verhältnis zwischen dem insgesamt zur Verfügung stehenden Risikodeckungspotenzial und dem für die Deckung von wesentlichen Risiken verwendeten Kapital. Risikodeckungspotenzial Bestimmung erfolgt auf Grundlage einer ökonomischen Bewertung Je nach Risikoneigung wird das Risikokapital festgelegt. Dieses besagt, welcher Anteil des ökonomischen Kapitals tatsächlich zur Abdeckung der Risiken eingesetzt werden soll. Das Risikokapital wird auf die wesentlichen Risikoarten aufgeteilt und ergibt somit für jedes Risiko eine individuelle Obergrenze. Erforderliches Risikokapital Aufsichtsrechtliche Anforderungen an die Kapitalausstattung bilden die Untergrenze der Risikotragfähigkeit. Jedoch müssen auch andere Dimensionen berücksichtigt werden, wie z.b. Unternehmensinterne Ziele Rechnungslegungszwecke Anforderungen von Dritten 12

13 Risikoappetit Der Risikoappetit beschreibt das Ausmaß bis zu dem der Vorstand bereit ist, vor dem Hintergrund strategischer Zielsetzungen, Ergebnisvolatilitäten und Kapitalerosion zu tolerieren. Mission, Strategie, Kultur Prozess um den Risikoappetit Erwartungen der Stakeholder Aktionäre Investoren Kunden Finanzteilnehmer Ratingagenturen Mitarbeiter Aufsichten / Regulatoren Definition des Risikoappetits Ggf. Anpassung Einbettung in das Unternehmen Überwachung und Management Integrierte Risikobewertung Kreditrisiko, Marktrisiko, Liquiditätsrisiko, VT Risiko, operationelles Risiko, strategisches Risiko Schritte Risikoappetit kommunizieren Risikoappetit definieren Top- Down X X Bottom-Up X Risiken messen und bewerten X Unterschiedliche Rollen für: Vorstand Aufsichtsrat Abteilung/Abteilungsleitung Risikomanagementfunktion 13

14 Limits Sind für alle wesentlichen Risiken festzulegen Limitauslastung muss regelmäßig kontrolliert werden Einhaltung der Limits muss überwacht werden Überschreitung von Schwellenwerten ist zu berichten Eskalationsprozess tritt in Kraft Gesamtheit der Risikolimits ergibt den Risikoappetit (unter Berücksichtigung von Korrelationen zwischen den Risiken) 14

15 Risikokategorien - Mindestumfang - Versicherungstechnik - Marktrisiken - Konzentrationsrisiken - Operationelle Risiken - Liquiditätsrisiken - Ausfallsrisiken - Strategische Risiken - Reputationsrisiken - Compliance Risiken 15

16 Säule 1 vs. Säule 2 Säule 1: - Standardformel / vorgegebene Methoden - Konfidenzniveau: 99,5% Säule 2: - Gesamtsolvabilitätsbedarf muss quantifiziert werden; zusätzlich qualitative Beschreibung der wesentlichen Risiken - Freie Wahl der Methode zur Risikobeurteilung Es ist sicherzustellen, dass die eingesetzten Methoden mit der strategischen Geschäftssteuerung kohärent sind - Konfidenzniveau: frei wählbar 16

17 Gesamtsolvabilitätsbedarf Identifikation wesentlicher Risiken, die aus Unternehmenssicht mit der Standardformel nicht adäquat abgebildet werden Abwandlung der Parameter Verwendung unternehmensindividueller Berechnungsmethoden / Modelle Identifikation wesentlicher Risiken aus Unternehmenssicht, die in der Standardformel nicht enthalten sind Verwendung von Methoden zur Quantifizierung dieser Risiken Stress- & Szenariotests Projektion in die Zukunft 17

18 Exkurs: Umfeldanalyse 1: EIOPA Risk Dashboad February

19 Exkurs: Umfeldanalyse 2: Cyber Risks Wachsende Abhängigkeit der Unternehmen vom Internet Oft werden gezielte Cyberattacken gar nicht bemerkt! Durch wen? Verschiedene Spielarten (one-man-show, Spionage, organisierte Hacker, etc.) Wer ist betroffen? Potenziell jedes Unternehmen Wie? Schadsoftware, Hacking, Diebstahl der Hardware Warum? Datendiebstahl, Geld, öffentliche Aufmerksamkeit, Vandalismus 19

20 Exkurs: Beispiel für Risikomanagement von Cyber Risks Definition von Verantwortlichkeiten Risikoanalyse für IT-Sicherheitsrisiken Klassifizierung / Vertraulichkeitsbereiche Zugriffskonzepte: Prozess für die Vergabe von Berechtigungen Penetration Tests: Sicherheitsüberprüfung (ggf. durch Externe) Change Management: Nachvollziehbarkeit von Veränderungen in Systemen Awareness-Maßnahmen: Schulungen, Datenschutz, Geheimhaltungsvereinbarungen Logging Maßnahmen Sicherungsmaßnahmen Indicents: Meldung von Vorfällen 20

21 ORSA-Prozess und Risikoprofil Geschäftsstrategie Verbinden der ORSA- Ergebnisse mit den strategischen Zielen Die Ergebnisse des gesamten Prozesses werden zusammengefasst Eigenkapitalbewertung Feststellung des Gesamtsolvabilitätsbedarfs (OSN) Risikostrategie Definition von Risikozielen, Risikoappetit und Risikotoleranz Vorausschauende Bewertung Prognose der finanziellen Ressourcen Risikobewertung Risikoidentifikation und Risikomaßnahmen, qualitative Risikoanalyse und Schadensminderung Berechnung der Eigenmittelerfordernisse Risikobewertung Risikoprofil Stressprüfung Stresstests Bewertung des Risikoprofils und der Solvabilität unter bestimmten Belastungen Berechnung der aufsichtsrechtlichen Eigenmittelerfordernisse ORSA Report 21

22 Agenda Gesetzliche Grundlagen Vom Risikomanagementsystem zum Risikoprofil Bewertungsmethoden Gesamtsolvabilitätsbedarf Schnittstellen zu anderen Bereichen / Funktionen Effektivität des Risikomanagementsystems 22

23 Bewertungsmethoden (Beispiele) - Standardformel mit unternehmensindividuellen Parametern - Alternative Stressparameter (z.b. Immobilienrisiko) - Anderes Konfidenzniveau - Andere Korrelationsmatrizen - Andere Volatilitäten - Verwendung von unternehmensindividuellen Methoden - Stochastische Modelle - Monte-Carlo-Simulation - Expertenschätzung 23

24 Expertenschätzung - Identifikation von wesentlichen Risiken - Bewertung von schwer quantifizierbaren Risiken - Risiken werden anhand von Schadenshöhe und Eintrittswahrscheinlichkeit von Risk Ownern eingeschätzt 24

25 Marktrisiken Zinsrisiko Zinsänderungen / Stresstest Veränderte Volatilitäten Veränderte Duration Aktienrisiko VaR, Expected Shortfall Stresstest / Szenarien (z.b. Rückgang der Aktien um x%) Spreadrisiko VaR, Expected Shortfall Veränderte Volatilitäten, Ratings Stresstest Immobilienrisiko VaR, Expected Shortfall Stresstest / Szenarien (z.b. Senkung Immobilienpreis) Fremdwährungsrisiko VaR, Expected Shortfall Veränderter Wechselkurs Stresstest 25

26 Marktrisiken Liquiditätsrisiko Szenarioanalysen ALM Veränderte Zinskurven (Shift / Drehung) Darstellung der Auswirkungen auf Aktiv- UND Passivseite Ausfallsrisiko Ausfall von RV Forderungsausfall Ratingmigration Konzentrationsrisiko Szenarioanalysen 26

27 Versicherungstechnik Leben Sterblichkeit Langlebigkeit Veränderung der Sterbetafeln Veränderung von Parametern (z.b. Erhöhung der Sterblichkeit um x%) Veränderung der Sterbetafeln Veränderung von Parametern (z.b. Senkung der Sterblichkeit um x%) Stornorisiko Erhöhung / Verringerung der Stornoquote Szenarioanalyse (z.b. Massenstorno) Kostenrisiko Erhöhung der Kosten Szenarioanalysen Katastrophenrisiko Szenarioanalysen / Kumulszenarien (z.b. Ableben von x Personen mit Ablebensversicherung, Pandemie, etc.) 27

28 Versicherungstechnik Schaden- & Unfallversicherung Prämienrisiko Combined Ratio Reserverisiko Volatilität der Combined Ratio Abwicklungsfaktoren Stornorisiko Erhöhung der Stornoquote Szenarioanalysen (z.b. Massenstorno) Katastrophenrisiko Szenarioanalysen (z.b. Hagel-, Sturmereignisse, Großschadenereignisse) Expertenschätzung 28

29 Operationelle Risiken Personalrisiken Fluktuation Abwesenheit/Ausfall (Langzeit-Krankenstände, Epidemie) Qualifizierung IT-Risiken System-Ausfälle Datenverlust / Datendiebstahl Outsourcing Rechtliche Risiken Offene Rechtsfälle Compliance Fälle Sonstige OpRisks Projektkostenüberschreitungen Fehler Betrugsfälle 29

30 Sonstige Risiken Strategische Risiken Reputationsrisiko Expertenschätzung Szenarien / Ausfall Beteiligungen Marktanteile Neue Produkte Expertenschätzung Anzahl Beschwerdefälle Statistiken über Erreichbarkeit (Telefon, Homepage, etc.) 30

31 Agenda Gesetzliche Grundlagen Vom Risikomanagementsystem zum Risikoprofil Bewertungsmethoden Gesamtsolvabilitätsbedarf Schnittstellen zu anderen Bereichen / Funktionen Effektivität des Risikomanagementsystems 31

32 Governance-Funktionen Unabhängigkeit der Schlüsselfunktionen ( Lines-of-Defense-Ansatz ) Direkte und unmittelbare Berichtslinie an den Vorstand Keine Weisungsbefugnis untereinander Versicherungsmathematische Funktion (VMF) Interne Revision Abgrenzungen und Schnittstellen Compliance-Funktion Risikomanagement-Funktion Klare Zuständigkeiten sind zu definieren! 32

33 Aufgaben der Governance-Funktionen Versicherungsmathematische Funktion (VMF) Interne Revision Compliance Funktion Risikomanagement- Funktion Koordination der Berechnung und Angemessenheitsbeurteilung der vt. Rückstellungen gemäß SII Stellungnahmen zur Angemessenheit der Rückversicherung sowie Zeichnungs- und Annahmepolitik Beitrag zur effektiven Umsetzung des Risikomanagementsystems Beurteilung im Zuge der Revisionsprüfungen, ob IKS und weitere Bestandteile des Governance-Systems angemessen und wirksam sind Etablierung einer wirksamen Compliance- Organisation mit - Frühwarn- - Kontroll- - Beratungs- - Überwachungs- - Berichtsfunktion zu Compliance-Risiken und -Themen Konzeption und Umsetzung des RM-Systems Gruppenweit einheitliche Umsetzung der Risikomanagementleitlinien sicherstellen Definition der Methoden zur Messung und Aggregation von Risiken 33

34 Schnittstellen und Abgrenzungen Zusammenarbeit des Risikomanagements v.a. mit VMF und Interner Revision, aber auch Compliance Gremium: Governance Komitee regelmäßiger Informationsaustausch aufeinander abgestimmte Vorgehensweisen Abgrenzungen: Trennung von Aufgaben und Verantwortlichkeiten zwischen den einzelnen Governance-Funktionen Definition von klaren Informations- und Berichtswegen 34

35 Synergie-Effekte: Risk Governance Darunter kann eine Weiterentwicklung des Risikomanagements verstanden werden. Eine gute Risk Governance richtet die Risikosteuerung auf das jeweilige Geschäftsmodell angemessen aus. Damit wird der Corporate Governance und dem Risikomanagement ein gemeinsames Dach geschaffen, um wirksamer zu sein und das Geschäftsmodell proaktiv auf alle möglichen Risiken hin zu prüfen. 35

36 Potentielle Interessenskonflikte Intransparente oder widersprechende Berichterstattung an die Geschäftsleitung Möglicher ineffizienter Einsatz von Ressourcen (Redundanzen) aufgrund Unzureichender Abgrenzung der Aufgabenbereiche Mangelndem Informationsaustausch Fehlender Abstimmung der risikoorientierten Prüfungsplanung / -durchführung und der Überwachungsaktivitäten 36

37 Konflikten vorbeugen Regelmäßige Abstimmung der Funktionen untereinander bzgl. Berichtszeiträume Berichtsformate Wertigkeit der jeweiligen Berichtsinhalte Risiko- und ggf. Kontrollkategorien Zeitliche Abstimmung der Prüfungs- und Überwachungshandlung, um Überlastungen der Fachbereiche zu vermeiden Enge Zusammenarbeit bei der Erstellung von zu veröffentlichenden Berichten (SFCR / RSR, tlw. ORSA) 37

38 Agenda Gesetzliche Grundlagen Vom RMS zum Risikoprofil Bewertungsmethoden Schnittstellen zu anderen Bereichen / Funktionen Effektivität des Risikomanagementsystems 38

39 Vorstände und Aufsichtsräte stellen immer häufiger die richtigen Fragen Welche Erfolgsfaktoren haben wir identifiziert? Sind diese bedroht? Welche schwachen Signale erkennen wir? Ist unser Geschäftsmodell zukunftsfähig? Verfügen wir über angemessene Liquiditätsreserven? Ist unsere Risikotragfähigkeit ausreichend? Wie ist meine persönliche Haftung quantitativ zu bewerten? Welche sind die Top-10-Risiken? Welche Streuungsbreite haben unsere wichtigsten Erfolgsgrößen? Ist der ROE angemessen? Welche Maßnahmen sind umzusetzen, um besser durch widrige Marktbedingungen zu kommen? 39

40 Steigerung der Effektivität des Risikomanagements durch: Frühaufklärung: Verbesserung der Looking-Forward-Analyse Einbettung: Integration von Risikomanagement, Kapitalmanagement und Unternehmensplanung Risiko-Bewusstsein: weitere Verbesserung der ersten Verteidigungslinie Effektivität: Integration und verbesserte Abstimmung der Risikomanagement-Aktivitäten Unternehmerschaft: Bereitstellung wertschöpfender Beratung der Unternehmensleitung Effizienz: Verbesserung der Prozesse und Kommunikation Engagement: Schaffung einer adäquaten Risikokultur In Anlehnung an: The EY Global Financial Services Institute The Journal of Financial Perspectives, November 2013/Volume 1, Issue 3 40

41 Kontaktdaten Prokuristin Mag. Sibylle Scaria Leiterin Risikomanagement Grazer Wechselseitige Versicherung AG Tel.: Mail: Web: 41