Aufsichtsrechtliche Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen (MaRisk VA) Umsetzungsstand und lessons learned

Transkript

1 Aufsichtsrechtliche Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen (MaRisk VA) Umsetzungsstand und lessons learned Wien, 21. Januar 2010

2 Agenda Die MaRisk VA ein Kurzüberblick Der Deloitte MaRisk VA Compliance Check Umsetzungsstand im deutschen Versicherungsmarkt Lessons learned 2

3 Agenda Die MaRisk VA ein Kurzüberblick Der Deloitte MaRisk VA Compliance Check Umsetzungsstand im deutschen Versicherungsmarkt Lessons learned 3

4 Herausforderungen für die Versicherungswirtschaft Überblick Eine besondere Herausforderung an die Versicherungswirtschaft aktuell und in den nächsten Jahren stellen die folgenden gesetzlichen und aufsichtsrechtlichen Anforderungen dar: Insbesondere 64a VAG zu: Geschäftsorganisation, Risikostrategie, Internes Steuerungs- und Kontrollsystem, Risikotragfähigkeitskonzept, Prozesse, Kommunikation, Berichterstattung, interne Revision VAG-Novelle Seit MaRisk VA Seit U.a. Risikotragfähigkeitskonzept, Risikoidentifikation, -analyse, -bewertung, -steuerung, -überwachung, -berichterstattung, unternehmensinterne Kommunikation Umsetzung von Solvency II, Säule 2 Discussion Paper Preliminary Views on Insurance Contracts für Phase II zur Rechnungslegung von Versicherungsverträgen IFRS Phase II Einführung voraussichtlich in 2010/11 Solvency II Einführung voraussichtlich in 2012 Säule 1: Quantitative Kapitalanforderungen Säule 2: Qualitative Prüfung durch die Aufsicht Säule 3: Marktdisziplin Laufende Durchführung von Quantitative Impact Studies (QIS) 4

5 MaRisk Compliance Check Unser Vorgehen (2/2) 5

6 Agenda Die MaRisk VA ein Kurzüberblick Der Deloitte MaRisk VA Compliance Check Umsetzungsstand im deutschen Versicherungsmarkt Lessons learned 6

7 Säule 1 Quantitative Kapitalanforderungen Säule 2 Qualitative Prüfung Säule 3 Marktdisziplin Deloitte MaRisk VA Compliance Check Unser Vorgehen (1/2) Solvency II ist eine grundlegende Reform des Versicherungsaufsichtsrechts in Europa und stellt insbesondere Anforderungen an die Eigenkapitalausstattung und an die Ausgestaltung des Risikomanagements: Regulatorische Anforderungen Solvency II Deloitte MaRisk Compliance Check Aktuelle Situation Versicherungsunternehmen Umsetzungsstand und weiteres Vorgehen Organisation Verantwortlichkeiten Prozesse Methoden und Verfahren Reporting MaRisk VA (R 3/2009) als erste Konkretisierung der Säule 2 Umsetzungsstand und Handlungsempfehlungen 7

8 Deloitte MaRisk VA Compliance Check Unser Vorgehen (2/2) Scope Fachbereiche / Interviews mit Schlüsselpersonen Vorstand Kapitalanlagecontrolling Interne Revision Risikomanagement Rechnungslegung / Rückversicherung SHUK-Fachbereiche Leben-Fachbereich Zentraler Service Aktuare IT Sichtung relevanter Dokumente Risikostrategie Leitfaden zum Risikomanagement Geschäftsstrategie Ausgewählte Berichte der Internen Revision und Dokumente aus den Fachbereichen Analyse, Konsolidierung und Reporting Interviews auf Basis strukturierter Fragen bezüglich der MaRisk VA Konsolidierung und Analyse der Interviewantworten Findings und Empfehlungen zur Umsetzung der MaRisk VA 8

9 Agenda Die MaRisk VA ein Kurzüberblick Der Deloitte MaRisk VA Compliance Check Umsetzungsstand im deutschen Versicherungsmarkt Lessons learned 9

10 Ergebnisse 1. Geschäfts- und Risikostrategie Hauptanforderungen der MaRisk VA Formulierung geschäftspolitischer Erwartungen und der Unternehmensplanung Dokumentation der Geschäfts- und Risikostrategie Konsistenz zwischen Geschäfts- und Risikostrategie Definition der Wesentlichkeit von Risiken Beschreibung der Art, der Höhe, des Treibers und des Zeithorizonts des Risikos Erstellung eines Risikotragfähigkeitskonzepts Analyse der Risiken und deren Auswirkung auf die Risikotragfähigkeit speziell im Rahmen des Neuproduktprozesses Gaps in der Umsetzung Vollständige Dokumentation von Geschäftsund Risikostrategie entsprechend der Anforderungen nach MaRisk VA Konsistenz von Geschäftsstrategie und Risikostrategie Prozess zur Erstellung/Aktualisierung/Prüfung von Geschäfts- und Risikostrategie Konzernweite Risikostrategie Klare Definition der Wesentlichkeit der Risiken Konkrete Inhalte der Risikostrategie (insbesondere Art, Riskotoleranz, Herkunft und Zeithorizont des Risikos) Umsetzungsstand Risikotragfähigkeitskonzept 10

11 Ergebnisse 2. Aufbau- und Ablauforganisation Hauptanforderungen der MaRisk VA Gesamtverantwortung des Vorstandes Etablierung einer Unabhängigen Risikocontrollingfunktion (URCF) Identifikation, Analyse und Management aller wesentlichen Risiken Implementierung eines Frühwarnsystems Definition und Dokumentation von Verantwortlichkeiten und Vertreterregelungen Einrichtung eines Risikoreportings Prinzip der Funktionstrennung bis einschließlich der Ebene der Geschäftsleitung Gaps in der Umsetzung Grobe, veraltete oder nicht transparente Prozessdokumentationen Funktionstrennung bis auf Vorstandsebene Verschärfung der Regelung im Rahmen des R 3/2009 Ausgestaltung der URCF im Konzern (Beachtung von Verantwortlichkeiten und Zuständigkeiten; Funktionstrennung); klare Definition und Abgrenzung der URCF Dokumentation von Verantwortlichkeiten und Zuständigkeiten Angemessene Personalausstattung und adäquate Vertreterregelung Überwachung risikomindernder Maßnahmen Angemessenes Risikoberichterstattung für alle wesentlichen Risikoarten der Aktiv- und Passivseite 11

12 Ergebnisse 3. Internes Steuerungs- und Kontrollsystem Hauptanforderungen der MaRisk VA Risikotragfähigkeitskonzept und Limitsystem Risikoidentifikation, Definition von Wesentlichkeit Analyse, Bewertung und Überwachung von Risiken durch die unabhängige Risikocontrollingfunktion (URCF) Offene Risikokommunikation im Unternehmen und transparente Risikokultur Risikoberichterstattung Qualitätssicherung des Internen Steuerungsund Kontrollsystems Gaps in der Umsetzung Ausgestaltung und Dokumentation des Limitund Schwellenwertsystems (insb. auch versicherungstechnische Risiken) Prozessdefinition, insbesondere Eskalationsprozesse im Limit- und Schwellenwertsystem Methodenhoheit der URCF Adäquate Risikokennzahlen und deren einheitliche Definition Definition geeigneter Maßnahmen zur Risikosteuerung Standardisiertes Risikoberichtswesen Ausgestaltung und Dokumentation des Risikotragfähigkeitskonzepts Bestimmung Risikodeckungsmasse und Ableitung Risikokapital z.t. problematisch Regelmäßige Risk Assessments 12

13 Ergebnisse 4. Interne Revision Hauptanforderungen der MaRisk VA Selbständig und unabhängig durchgeführte Prüfungen der relevanten Geschäftseinheiten und prozesse, Methoden, Prozeduren und Systeme Jährliche, risikoorientierte, vom Vorstand freigegebene Prüfungsplanung Interne Revision ist direkt dem Vorstand unterstellt Angemessenheit der Qualifikation und Quantität des Personals Erstellung eines Gesamtberichts zur Vorlage an den Vorstand Gaps in der Umsetzung Ausgestaltung der Konzernrevision Zuständigkeiten und Weisungsrechte der Internen Revision innerhalb des Konzerns Prüfung der URCF Spezialwissen zu den Themenbereichen Risikomanagement, aktuarieller Bewertung, IT Personelle Ausstattung der Internen Revision 13

14 Ergebnisse 5. Outsourcing Hauptanforderungen der MaRisk VA Erfüllung der Vorschriften aus 64a Abs. 4 VAG und MaRisk VA Identifikation, Evaluation und Überwachung der ausgelagerten Prozesse und Aktivitäten Festlegung von Informations- und Weisungsrechten Prüfung der Qualifikation des externen Dienstleisters Gaps in der Umsetzung Anpassung der Outsourcingverträge (SLA) nach Maßgabe des 64a Abs. 4 VAG sowie der MaRisk VA Nicht in allen Fällen ist ein angemessenes Auslagerungscontrolling vorhanden Teilweise mangelnde Übersicht über die ausgelagerte Dienstleistungen (bspw. Bewertungen durch z.t. mehrfach ausgelagerte Dienstleister) Prozesse zur Identifikation der mit der Funktionsausgliederung verbundenen Risiken (z.b. Personal, Prozesse, interne Kontrollen, Bewertung) 14

15 Ergebnisse 6. Notfallplanung Hauptanforderungen der MaRisk VA Dokumentation von Geschäftsfortführungsund -wiederaufnahmeplänen (BCP) Festlegung von Kommunikationswegen im Notfall Berücksichtigung aller notwendigen Aktivitäten Festlegung der als wesentlich erachteten Störungen der Organisation in innerbetrieblichen Leitlinien Regelmäßiges Testen auf korrekten Ablauf und Angemessenheit Gaps in der Umsetzung Notfallplanung oft noch nicht vollständig umgesetzt Angemessene Kommunikation von Notfallplänen Aktualisierung von Notfallplänen Prüfung bzgl. Wirksamkeit und Angemessenheit Dokumentationen teilweise nicht auf dem neuesten Stand Zum Teil nur eventbezogene Notfallpläne (bspw. Pandemien) 15

16 Agenda Die MaRisk VA ein Kurzüberblick Der Deloitte MaRisk VA Compliance Check Umsetzungsstand im deutschen Versicherungsmarkt Lessons learned 16

17 17

18 Lessons learned Bei den meisten Versicherungsunternehmen sind viele Elemente zur Umsetzung der Anforderungen der MaRisk VA bereits vorhanden und werden teilweise schon seit Jahren eingesetzt Ein wirklich ganzheitlicher Ansatz zur strukturierten Analyse, Identifikation, Bewertung und Steuerung aller relevanten Risiken der Aktiv- und Passivseite findet sich bei kaum einem Unternehmen Nachholbedarf zeigt sich insbesondere im Bereich der Risikoorganisation (Einzelunternehmen und Konzern) einschließlich der Schaffung einer Unabhängigen Risikocontrollingfunktion Auch bei der Definition einer geeigneten Risikostrategie sowie im Bereich der MaRisk-konformen Limitierung und Steuerung insbesondere der versicherungstechnischen Risiken und im Risikoreporting besteht oft noch Nachholbedarf Ein angemessenes Risikotragfähigkeitskonzept ist bei den weitaus meisten Versicherungsunternehmen noch im Aufbau Viele der bereits vorhandenen Bausteine zur Erfüllung der Anforderungen der MaRisk VA sind nicht oder nur unzureichend dokumentiert 18

19 Kontakt Volker Linde Partner Financial Risk Solutions Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft Schwannstraße Düsseldorf Deutschland Tel: +49 (0) Mobile +49 (0) vlinde@deloitte.de Member of Deloitte Touche Tohmatsu 19

20 Deloitte bezieht sich auf Deloitte Touche Tohmatsu, einen Verein schweizerischen Rechts, und/oder sein Netzwerk von Mitgliedsunternehmen. Jedes dieser Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Eine detaillierte Beschreibung der rechtlichen Struktur von Deloitte Touche Tohmatsu und seiner Mitgliedsunternehmen finden Sie auf Member of Deloitte Touche Tohmatsu