AKTUELLES. Q_PERIOR Audit & Risk Newsletter. Ausgabe 03/2014. Q_PERIOR Audit & Risk Newsletter 2014 Ausgabe 3/6

Transkript

1 Q_PERIOR Audit & Risk Newsletter Ausgabe 03/2014 1

2 Liebe Audit & Risk Newsletter Leserinnen und Leser, ich freue mich, Ihnen eine neue Ausgabe unseres Newsletters zu präsentieren. Wie gewohnt informieren wir Sie über aufsichtsrechtliche Neuerungen und Praxisberichte rund um die Themen Revision, Risikomanagement und Compliance. In der aktuellen Ausgabe betrachten wir das Thema Informationssicherheit im Rahmen der Veräußerungen von Geschäftseinheiten. Außerdem beschäftigen uns die Finanzmarktrichtlinie MiFID II und die neuen Regelungen für die Auslagerung von Compliance Aufgaben. In dem Artikel Bedeutung von Fehlerspannbreiten am Beispiel des Accuracy Ratio (AR) beleuchten wir das mathematisch-statistische Maß für die Trennschärfe AR genauer. Des Weiteren blicken wir auf die Umsetzung der Funktionstrennung bei kleineren Versicherern. Bedanken möchte ich mich noch bei allen Teilnehmern und Interessenten für die rundum gelungenen Veranstaltungen ROUNDTABLE Compliance Management Systeme (CMS) und das Fraud-Grundlagen-Seminar in Köln. Ich wünsche Ihnen eine angenehme Lektüre. Christof Merz (Partner, Lead Audit & Risk) Agenda Schwerpunktthema... 3 Informationssicherheit im Rahmen der Veräußerungen von Geschäftseinheiten... 3 Aktuelles... 7 Was lange währt, wird endlich gut? - Parlament verabschiedet Finanzmarktrichtlinie MiFID II... 7 Neue Regeln für die Auslagerung von Compliance Aufgaben Validierung von Rating- und Scoring-Verfahren: Bedeutung von Fehlerspannbreiten am Beispiel des Accuracy Ratio (AR) Pragmatische Umsetzung der Funktionstrennung bei kleineren Versicherern Neuigkeiten zu Solvency II & Risikomanagementthemen Rückblick ROUNDTABLE Compliance Management Systeme (CMS)" Rückblick: Fraud-Grundlagen-Seminar am 27. Mai 2014 in Köln Seminartermine Who is who Impressum

3 SCHWERPUNKTTHEMA Schwerpunktthema Informationssicherheit im Rahmen der Veräußerungen von Geschäftseinheiten Bei einer Veräußerung geht es, anders als bei Merger & Acquisitions (M&A), um die Freisetzung von Kapital im Unternehmen durch den Verkauf von Vermögenswerten, um zum Beispiel finanzielle oder ethische Ziele zu erreichen. Ferner kann der Verkauf einer bestehenden Geschäftseinheit an ein anderes Unternehmen angestrebt werden. Abhängig von den Konditionen und dem Zeitpunkt eines solchen Vorhabens kann die Durchführung einer Veräußerung sehr einfach oder aber auch sehr kompliziert sein. Es gibt zwar eine Vielzahl an Publikationen zu diesem Thema, eine genauere Betrachtung zeigt jedoch, dass Aspekte der Informationssicherheit im Rahmen von Veräußerungen nur selten genauer betrachtet und beschrieben werden. Daher möchten wir in diesem Beitrag einige erfolgskritische Aspekte der Informationssicherheit aufzeigen, die im Rahmen von Veräußerungen von Geschäftseinheiten zu beachten sind. Jedes Unternehmen, das sich mit der Veräußerung von Geschäftseinheiten beschäftigt, sollte die Informationssicherheitsorganisation möglichst früh in enger Zusammenarbeit in den Prozess einbinden. Nur so kann gewährleistet werden, dass die folgenden Herausforderungen adäquat umgesetzt werden: 1. Sicherstellen, dass mögliche Lücken und Hürden in Bezug auf die Informationssicherheit frühestmöglich identifiziert und Lösungen zeitnah gefunden und pragmatisch umgesetzt werden. 2. Sicherstellen, dass die Konformität zu den einschlägigen Gesetzen und Verordnung gewährleistet ist und auch interne Normen bzw. Richtlinien beachtet und eingehalten werden. 3. Sicherstellen, dass die Informationssicherheit in allen Phasen des Veräußerungsprozesses berücksichtigt wird. Vorbereitung der Veräußerung Veräußerungen bringen in der Regel starke Veränderungen mit sich, jedoch passieren typischerweise die meisten Aktivitäten in einem Vakuum. Das Vorhaben, einen Geschäftsbereich zu veräußern, ist möglichst geheim zu halten, um ungewollte Auswirkungen auf Aktienkurse zu vermeiden. Weiterhin wirken sich Veräußerungen auf die Einstellungen und Werte der Mitarbeiter aus, dies gilt sowohl für die Mitarbeiter, die direkt von der Veräußerung betroffen sind, als auch diejenigen Mitarbeiter, die nur indirekt betroffen sind. Abhängig von den spezifischen Umständen der Veräußerung freuen sich manche Mitarbeiter auf die Bewegung, andere Mitarbeiter fühlen sich im negativen Sinne davon beeinträchtigt. Im Rahmen der Vorbereitung einer Veräußerung sollten daher zunächst die Ressourcen in der Informationssicherheitsorganisation identifiziert werden, die die erforderlichen Fähigkeiten und Kompetenzen mitbringen, um den Veräußerungsprozess mit Blick auf die Informationssicherheit adäquat zu unterstützen. Informationsermittlung Als nächster Schritt müssen verschiedene Informationen ermittelt werden, um einen reibungslosen Übergang zu gewährleisten. Dafür sollten die folgenden Fragen beantwortet werden bzw. die beschriebenen Aktivitäten durchgeführt werden: Sind die betroffenen Mitarbeiter über die Veräußerung in Kenntnis gesetzt worden? Ist das Management über das Vorhaben in dem betroffenen Bereich sensibilisiert? Welche Auswirkungen hätte eine verfrühte Veröffentlichung des Vorhabens? Welche Reaktion der Mitarbeiter wird erwartet? Es ist wichtig, dies zu verstehen, um sicherzustellen, dass ein angemessenes Niveau an Vertraulichkeit mit allen Beteiligten festgelegt wird und entsprechende Kontrollen definiert sind. Dadurch soll gewährleistet werden, dass die gesamte Kommunikation angemessen verwaltet und geschützt wird. Für den Fall einer 3

4 SCHWERPUNKTTHEMA ungeplanten, verfrühten Veröffentlichung (Informationsleck), sollte ein Notfallplan entwickelt werden. In einigen Fällen könnte dies auch eine verstärkte Überwachung von sensiblen internen Ressourcen einschließen. Gibt es innerhalb des zu veräußernden Geschäftsbereichs ausreichend Ressourcen, die die notwendigen Aktivitäten unterstützen können? Mitarbeiter des zu veräußernden Geschäftsbereichs sind wichtige Ressourcen. Sie können einen reibungslosen Übergang unterstützen, da sie einen besseren Einblick in ihren Geschäftsbereich haben. Sie können die notwendigen Informationen bereitstellen und sind daher eine wesentliche Hilfe für die Vorbereitung der Veräußerung. In diesem Zusammenhang ist außerdem zu klären, wo sich die betroffenen Mitarbeiter befinden. Sind sie zum Beispiel in der gesamten Organisation vorstreut oder befinden sie sich in unmittelbarer Nähe (z. B. gleiche Etage) zueinander. Denn der Aufwand für die Veräußerung ist bei verstreuten Mitarbeitern selbstverständlich höher als bei zentral arbeitenden Kollegen. Wie ist der Zeitrahmen für die Veräußerung und wie viel Flexibilität kann dieser aufbringen? Es besteht das Risiko, dass bei einem sehr eng bemessenen Zeitplan nicht alle Ziele erfüllt werden können. In solchen Fällen ist es notwendig, die Aktivitäten zu priorisieren und die höchsten Risikobereiche zuerst zu adressieren. Welche wesentlichen Informationen sind betroffen? Welche Fachbereiche sind tangiert? Welche Aktivitäten üben die Mitarbeiter aus? Diese Fragen sollten gestellt werden, um ein besseres Verständnis darüber zu erlangen, mit welcher Art von Informationen die zu veräußernde Geschäftseinheit arbeitet. So kann außerdem ermittelt werden, welche Auswirkungen sich für die verbleibenden Geschäftseinheiten ergeben und welche Prozesse in der Folge angepasst werden müssen. Darüber hinaus muss verstanden werden, ob es rechtliche Einschränkungen gibt (z. B. Aufbewahrungsfristen), die vor der Zerstörung von Daten beachtet werden müssen. Wenn es gesetzliche Einschränkungen gibt, müssen diese entsprechend identifiziert und verwaltet werden (z. B. die Entfernung/Austausch von Festplatten). Warum wird die Veräußerung durchgeführt? Die Gründe für eine Veräußerung können ganz verschieden sein. In jedem Fall kann ein besseres Verständnis für die Gründe der Veräußerung dazu führen, dass die Reaktion der Betroffenen besser eingeschätzt werden kann. Daraus können ggf. weitere Maßnahmen resultieren, die im Rahmen der Vorbereitung und Durchführung der Veräußerung umgesetzt werden müssen. Welche Bedingungen gibt es für die Veräußerung? Welche Vermögenswerte werden bei der Mutterorganisation verbleiben und was wird mit der ausgegliederten Geschäftseinheit geschehen? Die Beantwortung dieser Fragen ist eine wesentliche Voraussetzung, um zu verstehen, wer was bekommt und um einen entsprechenden Aktionsplan zu entwickeln. Ein wichtiger Teil dieses Schritts ist die Katalogisierung aller Werte, die von der Veräußerung betroffen sind. Identifikation aller betroffenen Applikationen, Systeme und Benutzerkonten, die für den Systemzugriff verwendet werden sowie alle Verteilerlisten der betroffenen Mitarbeiter. Diese Information ist sehr wichtig für einen reibungslosen Übergang während der Durchführungsphase der Veräußerung. Sollte die Sicherheitsorganisation nicht früh genug in den Prozess eingebunden worden sein, besteht die Gefahr, dass viele dieser Aspekte unbekannt bzw. im Rahmen der Vorbereitung der Veräußerung noch nicht finalisiert worden sind. Dies gilt es natürlich zu vermeiden. 4

5 SCHWERPUNKTTHEMA Durchführung der Veräußerung Der Zeitplan für jede der folgenden Aktivitäten muss priorisiert, bewertet und verhandelt werden. Die Risiken müssen identifiziert und an die entsprechende Führungsposition für das Risikomanagement vermittelt werden. Im Allgemeinen jedoch sollten die folgenden Maßnahmen zur Gewährleistung der Informationssicherheit so rasch wie möglich durchgeführt werden. Widerruf der Anmeldeinformationen/ Clean Up Idealerweise sollte im Unternehmen bereits ein Verfahren für den Widerruf von Anmeldeinformationen vorhanden sein (Joiner, Leaver, Mover). Dieses Verfahren würde dann auch im Rahmen der Veräußerung greifen. Deaktivieren, oder falls nötig, löschen aller betroffenen Accounts für Anwendungen, Netzwerkfreigaben, Active-Directory-Strukturen etc. Deaktivieren der automatischen Weiterleitungsregeln, falls diese implementiert wurden. Zusammenarbeit mit den Besitzern von Verteilerlisten, um die Löschung der betroffenen Mitarbeiter zu gewährleisten. Benachrichtigungen aller relevanten Parteien, die durch den Abgang des veräußerten Geschäftsbereiches beeinflusst sein könnten. Physische Sicherheit Unter der Annahme, dass die betroffenen Mitarbeiter nicht an dem gleichen Standort der Mutterorganisation verbleiben, sollten die sicherheitsrelevanten Ausweise der betroffenen Mitarbeiter unverzüglich eingezogen werden. Auch alle physischen Zugriffs-Token oder Schlüssel sollten so schnell wie möglich eingezogen werden. Es muss sichergestellt werden, dass die Personen, die für die physische Sicherheit verantwortlich sind, sich über diese Aktivitäten bewusst sind - falls dies noch nicht geschehen ist. Rückgabe von Werten oder deren Vernichtung Jedes Netzwerkgerät (Router, Switches, etc.) sollte zurückgefordert oder deaktiviert werden, falls eine sofortige Rückgabe nicht praktikabel ist. Bevor diese Geräte im Mutterkonzern wieder eingesetzt werden, müssen sie neu aufgesetzt werden. Jegliche Netzwerkverbindungen zwischen dem veräußerten Geschäftsbereich und dem Mutterkonzern müssen getrennt bzw. deaktiviert werden. Die Rückgabe sämtlicher Hardware von den betroffenen Mitarbeitern muss eingefordert und organisiert werden. Dazu gehören u. a. Laptops, Desktops, Mobiltelefone und Speichermedien wie USB Sticks, SIM Karten, Festplatten, etc. In Fällen, wo die Laptops oder Desktops mit der Geschäftseinheit veräußert werden, muss sichergestellt werden, dass diese kein geistiges Eigentum des Mutterkonzerns mehr enthalten. Dies gilt auch für mobile Geräte wie Smart Phones (z. B. BlackBerry s, iphones und Android Geräte). Es muss auch daran gedacht werden, dass die entsprechenden SIM Karten gelöscht und die dazugehörigen Verträge gekündigt werden. Auch Tokens, z. B. für den Aufbau von VPN Verbindungen, sind von den betroffenen Mitarbeitern einzuziehen. Fazit Die Veräußerung von Geschäftseinheiten bringt in der Regel einen großen Umbruch mit sich und sorgt bei den Betroffenen für entsprechende Aufregung. Jedoch läuft nicht jede Veräußerung nach dem gleichen Schema ab. Folglich können die oben genannten Schritte zwar als allgemeiner Rahmen für die Berücksichtigung der Informationssicherheit im Zusammenhang von Veräußerungen verstanden werden, es muss je- 5

6 SCHWERPUNKTTHEMA doch klar sein, dass die detaillierte Ausgestaltung der Aktivitäten sehr von den spezifischen Gegebenheiten der Veräußerung sowie dem Umfeld der Unternehmung abhängt. Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Audit & Security), Florian Wrobel (Senior Consultant IT Security & BCM) und Willi Eifert (Consultant IT Security & Datenschutz) 6

7 Aktuelles Was lange währt, wird endlich gut? - Parlament verabschiedet Finanzmarktrichtlinie MiFID II Um kaum eine andere Regelung und deren Inhalte wurde so gerungen wie um die Neufassung der Markets in Financial Instruments Directive MiFID und die damit zusammenhängenden Markets in Financial Instruments Regulation MiFIR. Die Europäische Kommission hat am 20. Oktober 2011 im Rahmen der Überarbeitung der Richtlinie über Märkte für Finanzinstrumente (Markets in Financial Instruments Directive MiFID) einen Vorschlag für eine neue Richtlinie (MiFID II) angenommen. Des Weiteren wurde ein Vorschlag für eine Verordnung über Märkte für Finanzinstrumente und zur Änderung der Verordnung über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister (Markets in Financial Instruments Regulation MiFIR) von der Europäischen Kommission angenommen. Vertreter des Europäischen Parlaments, des Rates und der EU-Kommission haben sich in den Verhandlungen (Trilog) zur Reform der EU-Richtlinie über Märkte für Finanzinstrumente (MiFID, Markets in Financial Instruments Directive) abschließend geeinigt. Am 15. April 2014 hat das Europäische Parlament die Gesetzestexte zu MiFID II/MiFIR verabschiedet, die Veröffentlichung im Europäischen Amtsblatt wird noch im Juni erfolgen. Die neuen Regeln sollen ab 2017 von den Mitgliedsstaaten angewendet werden. Zuvor müssen Ministerrat und Europäisches Parlament MiFID II aber noch formal auf den Weg bringen. Als Umsetzungsfristen gelten MiFID: 24 Monate nach Verkündung (Implementierungsfrist 6 Monate) MiFIR: 30 Monate Am hat die European Directive Securities and Markets Authority (ESMA) ihre Konsultations- und Diskussionspapiere über die Umsetzung von MiFID II und MiFIR vorgelegt. Der Konsultationsprozess läuft noch bis zum 1. August Der folgende Beitrag soll kurz die wesentlichen Inhalte der Regelungen sowie deren Auswirkungen wiedergeben. Grundlagen Die EU-Richtlinie MiFID I wurde bereits im April 2004 veröffentlicht. Ins Leben gerufen wurde sie, um den Anlegerschutz zu verbessern, den Wettbewerb innerhalb der EU zu stärken und den europäischen Finanzmarkt zu harmonisieren. Während MiFID I Konkretisierung durch europäische Aufsichtsbehörden (zunächst CESR), jetzt ESMA erfuhr, erfolgte die nationale Umsetzung am durch das Gesetz zur Umsetzung der Richtlinie über Märkte für Finanzinstrumente und der Durchführungsrichtlinie der Kommission (FRUG). Das Gesetz trat zum in Kraft. Gleichzeitig trat das Börsengesetz vom außer Kraft. Eine Überwachung erfolgte durch die BaFin. MiFID II verfolgt das Ziel weitreichender Harmonisierung im Finanzbinnenmarkt. Daneben gilt die als Verordnung unmittelbar anwendbare MiFIR. Die Konkretisierung erfolgt durch die ESMA Im Rahmen der sog. Level 2-Maßnahmen. Durch die MiFIR als unmittelbar geltende Verordnung erfolgt zugleich eine Einschränkung nationaler Umsetzungsspielräume. Die Überwachung wird durch die BaFin erfolgen. Das folgende Schaubild soll die Systematik der neuen Regeln verdeutlichen: 7

8 Abbildung 1: Systematik der MiFID- und MiFIR-Regelungen Anwendungsbereich Grundsätzlich erfasst die MiFID den Handel für eigene Rechnung mit Finanzinstrumenten, wenn Wertpapierdienstleistungen oder Anlagetätigkeiten erbracht werden. Neben den bereits bekannten Adressaten könnten zukünftig auch weitere in die Regulierung mit einbezogen werden. Ausgenommen von der neuen Regelung sind zunächst Energiederivate. Hierauf wurde insbesondere von Großbritannien gedrängt. Der Kompromiss sieht hier eine Übergangsfrist von dreieinhalb Jahren nach der Veröffentlichung des MiFID-Textes im EU-Amtsblatt vor. Dann soll aufgrund einer durch die Kommission vorgenommenen Folgeabschätzung über das weitere Vorgehen beim Handel mit Strom, Gas, Öl und Kohle entschieden werden. Folge könnte sein, dass Energiederivate dann sofort dem MiFID-Regime unterworfen werden. Die betroffenen Unternehmen sollten daher den Stand der Regelungen aufmerksam verfolgen und gegebenenfalls im Rahmen von Vorstudien entsprechende Szenarien abbilden, um vorbereitet zu sein. Marktstruktur Börsen und andere multilaterale Handelssysteme werden bereits in der geltenden Fassung der MiFID abgedeckt. Die überarbeitete Fassung bezieht nun aber eine neue Form von Handelsplätzen in den Rechtsrahmen ein: die organisierten Handelssysteme (OTF). Dabei handelt es sich um organisierte Plattformen, die derzeit keiner Regulierung unterliegen, jedoch eine immer wichtigere Rolle spielen. So werden beispielsweise standardisierte Derivatkontrakte zunehmend auf diesen Plattformen gehandelt. Die neuen Rechtsvorschriften werden die Lücke schließen. Standardisierte und ausreichend liquide Derivatkontrakte, etwa 8

9 zur Absicherung von Zins-, Währungs- und Rohstoffpreisrisiken, dürfen nicht mehr außerbörslich gehandelt werden und müssen über eine zentrale Clearingstelle abgewickelt werden. Die OTF fungieren als eine Art Auffang-Handelsplatz. Es wird das Ziel verfolgt, sämtliche Handelsplätze sowie die darin gehandelten Produkte zu regulieren. Weiterhin werden die Vorgaben zur bestmöglichen Ausführung ( Best Execution ) ausgeweitet. So sind z. B. bzgl. der betreffenden Handelsplätze Informationen über die Qualität der Ausführung zu veröffentlichen und Wertpapierfirmen haben die Pflicht zur Zusammenfassung und Veröffentlichung der fünf besten Handelsplätze für jede Klasse von Finanzinstrumenten. Transparenz Durch Einführung der Kategorie der OTF als sog. Auffang-Handelsplatz wird die Transparenz der Handelstätigkeiten auf den Aktienmärkten erhöht, auch was die sogenannten Dark Pools (Handelsvolumen oder Liquidität, die nicht auf öffentlichen Plattformen bereitgestellt werden) anbelangt. Unter dem Regime der MiFID I erstreckten sich die Anforderungen betreffend Vor- und Nachhandelstransparenz verpflichtend auf Aktien. MiFID II beinhaltet eine deutliche Ausdehnung der Handelstransparenzen auf: Equity-like instruments (ETFs, depository receipts, Zertifikate) Non-equities (Anleihen, Derivate, SFPs) wenn sie an geregeltem Markt zum Handel zugelassen sind, aber auch, wenn sie an MTF/OTF tatsächlich gehandelt werden Aufsichtsbefugnisse Die Aufsichtsbehörden bekommen die Möglichkeit, nach einer einheitlichen Methode der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) sämtliche Handelstätigkeiten im Bereich Warenderivate zu überwachen und jederzeit zu intervenieren und Obergrenzen für Positionen zu setzen, wenn Marktstörungen zu befürchten sind. Händler müssen ihre Positionen melden. Die nationale Aufsichtsbehörde nach Art. 32 MiFIR-E und vorübergehend die ESMA gem. Art. 32 MiFIR-E erhalten Kompetenz zum Verbot oder der Beschränkung der Vermarktung, des Vertriebs oder des Verkaufs von bestimmten Finanzinstrumenten oder Finanzinstrumenten mit bestimmten Merkmalen oder einer bestimmten Form von Finanztätigkeit oder -praxis. Allerdings müssen die Eingriffsrechte der Aufsichtsbehörden einer strengen Verhältnismäßigkeitskontrolle unterworfen werden. Regulierung des Hochfrequenzhandels Der gesamte algorithmische Handel wird verpflichtet, ausreichend Liquidität bereitzustellen und Vorschriften einzuführen, die verhindern, dass die An- und Verkäufe der betreffenden Händler die Volatilität zusätzlich erhöhen. Eingeführt wird eine Erlaubnispflicht für Hochfrequenzhändler und es werden spezielle Regelungen, z. B. für den direkten Marktzugang, genannt. Entsprechende Aufträge müssen gekennzeichnet werden und es müssen organisatorische Vorkehrungen getroffen werden. In Deutschland hat man den Anforderungen aus der MiFID II bereits durch das Hochfrequenzhandelsgesetz, welches bereits teilweise seit dem in Kraft getreten ist, Rechnung getragen. Weiterhin ist hier die Endfassung des Rundschreibens Anforderungen an Systeme und Kontrollen für den Algorithmushandel von Instituten der BaFin vom 18. Dezember 2013 zu nennen. 9

10 Erhöhung des Anlegerschutzes Kategorisierung der Finanzprodukte Es wird künftig nach sogenannten,,komplexen" und,,nicht-komplexen" Anlageprodukten unterschieden. Erstere gelten als erklärungsbedürftiger. Der Vertrieb an Privatanleger ist deshalb nur unter bestimmten Bedingungen möglich. Provisionen Um diesen Punkt ist sehr gestritten worden. Zeitweise wurde - nach britischem Vorbild - ein generelles Provisionsverbot beraten. Dieses hätte eine generelle Zuwendung zur honorarbasierten Beratung bedeutet. Die aktuelle Beschlussfassung des europäischen Parlaments sieht kein generelles Verbot von Zuwendungen vor. Gleichwohl ist darauf zu achten, dass die Provisionen transparent sind, oder an den Kunden weitergegeben werden, oder für die Bereitstellung eines Produktes notwendig sind. Zur Vermeidung potenzieller Interessenkonflikte werden die Möglichkeiten zur Zahlung von Provisionen an unabhängige Berater und Portfoliomanager eingeschränkt. Es wird eine separate Kategorie der unabhängigen Beratung geschaffen. Eine Beratung gilt als unabhängig, wenn: die beratende Wertpapierfirma für die Erbringung der Dienstleitung keinerlei finanzielle Vorteile von einer dritten Partei erhält, sie eine ausreichende Zahl von auf dem Markt angebotenen Finanzinstrumenten bewertet und diese Finanzinstrumente nicht in einer engen Verbindung zu der beratenden Wertpapierfirma stehen und hinsichtlich ihrer Art und Emittenten beziehungsweise Produktanbieter gestreut sind. Behauptet der Anlageberater unabhängig zu sein, muss er unter anderem Finanzinstrumente und Emittenten streuen, sie dürfen keine enge Verbindung zu ihm unterhalten. Darüber hinaus müsse der unabhängige Berater ein Research zu einer ausreichenden Zahl von auf dem Markt angebotenen Finanzinstrumenten unterhalten. Gem. dem Konsultationspapier der ESMA soll unabhängigen Beratern künftig verboten werden Provisionen anzunehmen. Abhängige Berater dürfen nur dann Zuwendungen annehmen, wenn sie die Qualität der Beratung steigern. Fazit Mit der Veröffentlichung der MiFID II/MiFIR wird eine jahrelange Hängepartie beendet. Spannend dürften die Auswirkungen auch auf andere Branchen sein. Hier stehen insbesondere im Fokus die Energieversorger aber auch Versicherungen. Einer der Streitpunkte war die Frage, ob der Vertrieb von Versicherungsanlageprodukten, insbesondere fondsgebundenen Versicherungen, in die MiFID II einbezogen wird. Mit den Eckpunkten zur MiFID II haben die Trilog-Parteien zugleich auch eine Änderung der Versicherungsvermittlerrichtlinie IMD 1 beschlossen, die damit auch Elemente aus MiFID II enthalten soll. Die IMD 1 wird wiederum von IMD 2 abgelöst, was nach derzeitigem Stand für 2016 zu erwarten ist. Es bleibt also spannend. Insbesondere wenn man sich die mehrere hundert Seiten starke Konsultationspapiere der ESMA vom zu Gemüte führt. Hierzu hat die Branche noch bis zum Zeit. Ansprechpartner: Christian Brockhausen (Managing Consultant Advisory) 10

11 Neue Regeln für die Auslagerung von Compliance Aufgaben Seit dem haben alle Kredit- und Finanzdienstleistungs-Institute eine Compliance-Funktion nach MaRisk AT einzuführen. Wenn nicht schon vorher, stellt sich spätestens ab diesem Zeitpunkt für einige betroffene Institute die Frage nach den Anforderungen an eine Auslagerung der Compliance Funktion. Unter dem Geschäftszeichen WA 38-Wp /0004 hat die BaFin am den Entwurf der ergänzten Fassung des BT des Rundschreibens 4/2010 Mindestanforderungen an die Compliance- Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach 31 ff. WpHG (MaComp) veröffentlicht. Ziel dieser Präzisierung des BT soll die Vermeidung von betriebswirtschaftlich motivierten Fehlentwicklungen bei den auslagernden Instituten sein und zugleich wird eine Hilfestellung für die Organisation einer solchen Auslagerung der Compliance Funktion gegeben. Eine Auslagerung soll demnach nicht nur aus ökonomischen (Kosten-)Gründen erfolgen. Die Beurteilung richtet sich im Einzelfall nach Art, Größe, Geschäftsumfang und Risikopotenzial der jeweils angebotenen Wertpapier(-neben)dienstleistungen des Instituts (Proportionalitätsgrundsatz). Stellungnahmen an die BaFin sind bis zum 11. Juni 2014 möglich. Lt. BaFin wird sich der Umsetzungsaufwand für die Institute, welche bereits geltende aufsichtsrechtliche Bestimmungen zur Auslagerung durch die MaComp und die Guidelines von ESMA befolgen bzw. einhalten, in Grenzen halten. Wesentliche Gesichtspunkte der geplanten neuen MaComp-Regelungen Unteilbarkeit der Verantwortung des Compliance-Beauftragten bei Auslagerung Ein Wertpapierdienstleistungsunternehmen kann als Compliance-Beauftragten entweder einen eigenen Mitarbeiter, einen Mitarbeiter eines Auslagerungsunternehmens oder einen selbstständig/freiberuflich tätigen Experten ernennen. Die Verantwortung des Compliance-Beauftragten für die Durchführung der gesamten Compliance-Funktion des Wertpapierdienstleistungsunternehmens nach dem WpHG kann auch im Falle einer Auslagerung nicht auf mehrere Personen verteilt werden. In einem Institut kann es jeweils nur einen einzigen Compliance-Beauftragten geben, der für die Durchführung der gesamten Compliance-Funktion uneingeschränkt verantwortlich ist. Dieser unteilbaren Verantwortung des Compliance-Beauftragten für die gesamte Compliance-Funktion eines Instituts steht jedoch nicht entgegen, dass eben unter seiner Verantwortung, Aufsicht und Überwachung, spezialisierte interne und/oder externe Compliance-Mitarbeiter in klarer und transparenter Organisation und Zuständigkeit ihm zuarbeiten. Ebenfalls ändert eine Auslagerung der Compliance Funktion selbstverständlich nichts an der Gesamtverantwortung der Geschäftsleitung. Sicherstellung der Unabhängigkeit bei Auslagerung der Compliance-Funktion Die BaFin akzeptiert im Bereich der Durchführung der Compliance-Funktion nach WpHG eine Auslagerung (arbeitsteilige Verfahren), wenn: die aufsichtsrechtlichen Vorgaben für die Auslagerung nachhaltig erfüllt werden; die Anforderung einer aufsichtsrechtskonformen Wahrnehmung der Compliance-Funktion insgesamt oder einzelner Compliance-Aufgaben nach WpHG nachhaltig erfüllt wird, insbesondere die Anforderung an die Rechtsstellung und die Tätigkeiten des Compliance-Beauftragten, der ihm zuzuordnenden Compliance-Mitarbeiter sowie an die jeweils erforderlichen sachlichen und EDV-technischen Ressourcen und Überwachungslücken, Überwachungsdefizite oder nennenswerte Qualitätsverluste in der Wahrnehmung der Compliance-Funktion und der einzelnen Compliance-Aufgaben nach den organisatorischen Vorkehrungen des Instituts nachhaltig nicht zu erwarten sind. 11

12 Der Compliance-Beauftragte übt auch im Falle einer Auslagerung der Compliance-Funktion seine Tätigkeit unabhängig aus. Der ausgelagerte Compliance-Beauftragte ist allerdings nur gegenüber dem Vorstand des auslagernden Unternehmens verpflichtet, das Auslagerungsunternehmen darf hierauf nicht einwirken. Anforderungen an das auslagernde Institut Das Wertpapierdienstleistungsunternehmen ist dafür verantwortlich, dass der externe Dienstleister: über die notwendigen organisatorischen Vorkehrungen und fachliche Kompetenz verfügt, die für den jeweiligen Mandanten erforderlichen sachlichen, personellen und finanziellen Ressourcen sicherstellen muss sowie die einzusetzenden Mitarbeiter des Dienstleisters über die erforderliche Sachkunde und den Zugang zu allen für die wirksame und präventive Ausübung der ausgelagerten Compliance-Funktion erforderlichen Informationen einschließlich IT-System und IT-Zugängen verfügen. Fazit Die geplanten Präzisierungen des BT der MaComp enthalten keine grundsätzlich völlig neuen Anforderungen. Letztendlich wird nur klargestellt, was bei ordnungsgemäßer Aufbau- und Ablauforganisation im Falle der Auslagerung bereits bekannt, bzw. gefordert war. Zwar weist die BaFin auf den nicht bestehenden bzw. geringen Aufwand hin, jedoch ist es unbestritten, dass der qualitativen Überwachung der Compliance Funktion eine größere Bedeutung zukommt. Hierfür sind die entsprechenden Ressourcen zu schaffen. Ansprechpartner: Christian Brockhausen (Managing Consultant Advisory) 12

13 Validierung von Rating- und Scoring-Verfahren: Bedeutung von Fehlerspannbreiten am Beispiel des Accuracy Ratio (AR) Um aus dem quantitativen Teil der Validierung von Rating- und Scoring-Modellen mit seinen Aspekten Trennschärfe, Kalibrierung und Stabilität prägnante Aussagen ableiten zu können, sind mathematischstatistische Maße wünschenswert, die die Analyseergebnisse der Leistungsfähigkeit des betrachteten Modells auf wenige Zahlenwerte verdichten. Solch ein Maß für die Trennschärfe ist die Accuracy Ratio (kurz: AR). In diesem Artikel soll beispielhaft aufgezeigt werden, welche Variabilität mit der Gütemessung verbunden sein kann, welche Bedeutung Konfidenzintervallen im Sinne von Fehlerspannbreiten zukommt und wo Grenzen der Abschätzung und der Kommunikation liegen. Aufsichtsrechtliche Einordnung Die Bestimmung der Trennschärfe eines Rating- bzw. Scoring-Verfahrens im Zuge der Validierung ist Teil der quantitativen Prüfung der Leistungsfähigkeit im Sinne der Anforderungen der Artikel 174 und 185 der EU- Verordnung Nr. 575/2013. Die Ergebnisse der Trennschärfeberechnungen bilden damit einen Teil der zusammenfasenden Würdigung der Analyseergebnisse. Faktisch liefern die Trennschärfeanalysen eine Zahl als Ergebnis, deren Betrag und möglicher Fehler zu würdigen sind. Accuracy Ratio (AR) und Area under the Curve (AUC) als Trennschärfemaße Die Deutsche Bundesbank 1 definiert als Trennschärfe die Fähigkeit [von Ratingsystemen] im Voraus ausfallgefährdete Kreditnehmer zu erkennen. Ein maximal trennscharfes Ratingsystem könnte demnach bereits im Vorfeld alle später ausfallenden Kreditnehmer exakt identifizieren, auch wenn dies natürlich den theoretischen Extremfall darstellt. Ein grafisches Verfahren, das die Trennschärfe eines Rating- bzw. Scoring-Verfahrens darstellt, ist die sog. CAP-Kurve (vgl. Abbildung 2), die entsteht, indem auf der Abszisse (x-achse) alle Kunden dem Score bzw. der Rating-Klasse nach geordnet und auf der Ordinate (y-achse) die anteiligen ausgefallenen Kunden abgetragen werden. 2 Das in der Abbildung 2 abgetragene (theoretische) Perfekte Modell reiht ausgefallene Schuldner nacheinander beginnend mit dem kleinsten Score auf und schneidet die Abszisse (x-achse) in Höhe der Schlechtenrate des betrachteten Portfolios. Das Zufallsmodell hingegen reiht die ausgefallenen Schuldner zufällig entlang des Scores des Modells. Als Maß für die Leistungsfähigkeit im Sinne einer Trennschärfe des Ratingverfahrens wird die Fläche zwischen CAP-Kurve und Zufallsmodell a R als Anteil an der Fläche des Perfekten Modells a P AR = a R a P betrachtet und als Accuracy Ratio (AR) bezeichnet, deren Wertebereich von -1 bis +1 reicht 3. Für das Zufallsmodell ist AR=0 und für das Perfekte Modell AR=1. 1 Die folgenden Aussagen und Abbildungen sind dem Monatsbericht 9/2003 der Deutschen Bundesbank entnommen. 2 Typischerweise zeigt sich eine konkave Gestalt der CAP-Kurve. Die grafischen Darstellungen der CAP-Kurven ermöglichen das Aufzeigen von Besonderheiten. So zeigt sich z. B. eine geringe Trennschärfe durch eine funktionale Gestalt nahe der Gerade des Zufallsmodells. 3 Ein AR<0 entsteht, falls der Score für die Reihung der betrachteten Schuldner nicht die schlechten (ex-post: ausgefallenen) zuerst, sondern zuletzt einreiht. 13

14 Abbildung 2: CAP-Kurve Abbildung 3: ROC-Kurve Eng mit der CAP-Kurve verwandt ist die sog. ROC-Kurve (Receiver-Operating-Characteristic); für diese wird die Score-Verteilung für die nicht-ausgefallenen Kunden auf der Abszisse (x-achse) gegen diejenige der ausgefallenen Kunden auf der Ordinate (y-achse) abgetragen. Abbildung 3 zeigt ein Beispiel. Analog zur CAP-Kurve lässt sich für die ROC-Kurve mittels der Fläche unter der Kurve (Area under the Curve, AUC) ein Trennschärfemaß definieren. Für das Zufallsmodell beträgt der AUC= 0,5, für das Perfekte Modell ist AUC=1. Es lässt sich zeigen, dass zwischen AR und AUC folgender linearer Zusammenhang gilt: AR = 2 AUC 1. Werden im Rahmen von Validierungen AR- oder AUC-Werte bestimmt, so können diese ineinander überführt werden. Beispielsweise entspricht ein AUC von 0,75 einem AR-Wert von 2*0,75-1=0,5. Im Zuge der vergangenen Jahre haben sich typische Größenordnungen des AR für Antrags- und Verhaltens- Scorekarten sowie Rating-Verfahren für Unternehmen, Objekt- und Objekt-Finanzierungen gezeigt. Es bleibt allerdings die Frage, mit welcher Unsicherheit der berechnete AR behaftet ist, also die Frage nach einer Abschätzung des Konfidenzintervalls. Um diese beispielhaft zu beantworten, soll im Folgenden zunächst die Variabilität, die vom Stichprobenzufall ausgelöst wird, anhand eines Simulationsbeispiels motiviert werden. 14

15 Zufällige Trennschärfe Es wird beispielhaft ein kleines Portfolio mit Kunden betrachtet und die Ausfallrate betrage zwei Prozent, es liegen also 20 Ausfälle vor. Statt eines Rating-Verfahrens, das anhand von Kunden- und/oder Vertragsinformationen eine ex-ante Bonitätseinschätzung vornimmt, werden allen Kunden Zufallszahlen zwischen Null und eins als Score zugeordnet und der AR berechnet. Die Zuordnung zwischen Bonität und Score entspricht dem o. a. Zufallsmodell. Es ist davon auszugehen, dass sich da es keinen Zusammenhang zwischen Score und Bonität gibt ein AR von Null zeigt. Im Rahmen einer Simulationsstudie wurde für das Portfolio mal die den nicht-ausgefallenen und den ausgefallenen Kunden eine Zufallszahl zwischen 0 und 1 zugeordnet und jeweils die Trennschärfe in Form des AR berechnet. In der nachstehenden Abbildung 4 sind die Ergebnisse in Form eines Histogramms der ARs wiedergegeben. Abbildung 4: Histogramm AR (Zufallsmodell) Als Mittelwert der Verteilung des AR ergibt sich -0, und als Median -0, , also faktisch Null. Die Verteilung ist symmetrisch, in der Erwartung hat das Modell keine Trennschärfe. Dass sich AR-Werte abweichend von Null zeigen, erklärt sich damit, dass in den Simulationsläufen den ausgefallenen Kunden zufällig eher kleine (nahe Null) oder große (nahe 1) Scores zugeordnet wurden und sich damit natürlich eine funktionale Gestalt analog der CAP-Kurve ergibt, die z. B. einen AR von zehn Prozent widerspiegelt. In der nachstehenden Tabelle 1 sind die Perzentile der Verteilungsfunktion des AR zwischen 0,5% und 5% sowie zwischen 95% und 99% für das Beispiel jeweils in 0,5%p-Schritten wiedergegeben. Percentil 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% AR -0,3046-0,2783-0,2589-0,2450-0,2338-0,2251-0,2170-0,2099-0,2035-0,

16 Percentil 95,00% 95,50% 96,00% 96,50% 97,00% 97,50% 98,00% 98,50% 99,00% 99,50% AR 0,1964 0,2023 0,2088 0,2161 0,2243 0,2338 0,2445 0,2578 0,2774 0,3059 Tabelle 1: Percentile der Verteilung der AR Würde auf dieser Basis für das Beispiel-Portfolio ein Mindest-AR festgelegt werden müssen, von dem auszugehen ist, dass die beobachtete Trennschärfe nur in fünf Prozent (Irrtumswahrscheinlichkeit α) aller Fälle zufällig (= Null) ist, so würde z. B. 0,19 als Konfidenzgrenze festgelegt 4. Im folgenden Abschnitt wird beispielhaft aufzeigt, wie zu gegebenem AR ein Intervall bestimmt werden kann, so dass in (1- α)-fällen das wahre AR in diesem Intervall liegt, also die Irrtumswahrscheinlichkeit, dass das beobachte AR außerhalb des Konfidenzintervalls liegt, α beträgt. Konfidenzintervall für AR In den Studies on the Validation of Internal Rating Systems 5 (WP 14, revised) wird ausgeführt, wie sich ein Konfidenzintervall, gegeben eine Irrtumswahrscheinlichkeit α, für AUC bestimmen lässt, das hier beispielhaft herangezogen werden soll; in der Praxis eignet sich dieses Vorgehen für Portfolien ab Kunden, wie die Beispiele später zeigen werden. Für die Fläche unterhalb der ROC-Kurve (AUC) ergibt sich das Konfidenzintervall für A durch den unverzerrten Schätzer Û I α AUC = U σ U ϕ α 2 ; U + σ U ϕ α 2 mit oberer Abschätzung 6 für σ U mit N D (N ND ) als die Anzahl der (nicht) ausgefallenen Schuldner und durch σ U 2 AUC(1 AUC) min (N D, N ND ) Das Konfidenzintervall für AUC gegeben α=0,05 mit AUC=(AR+1)/2 sowie U als Schätzer für AUC [sic!] ergibt sich als + 1 I 0,05 AUC = U +/ AR 2 1 AR ,96 min (.. ) 4 Vgl. auch Tabelle 2, dort wird für ein Nicht-Null-Modell mit Kunden/Anträgen und verschiedenen ARs betrachtet. 5 Basel Committee on Banking Supervision, Working Paper No. 14, Studies on the Validation of Internal Rating Systems, Revised version, May 2005, Seite 36 ff. 6 Dieses Vorgehen wird in der Praxis als konservativer Ansatz gesehen und soll hier im Sinne des Vorsichtsprinzips zum Tragen kommen. 16

17 Das Konfidenzintervall für AR durch Verwenden von AR = 2A 1 ergibt sich für α=0,05 schließlich als I 0,05 AR = 2 U +/ AR AR+1 min (..) mit U = AR ,96-1. Ein Modell ist mindestens dann als trennscharf auf Basis der Konfidenzüberlegungen gegeben eine Irrtumswahrscheinlichkeit von 0,05 anzusehen, falls das Konfidenzintervall die Null nicht einschließt 7. Beispiele Im Folgenden sind die Ergebnisse von drei Beispielrechnungen für Portfolien mit 1.000, und Kunden bzw. Anträgen unter Anwendung der oben vorgestellten konservativen Abschätzung der Grenzen der Konfidenzintervalle angegeben. Die Irrtumswahrscheinlichkeit ist jeweils 0,05. Entgegen dem synthetischen Beispiel oben, das sich mit der zufälligen Trennschärfe beschäftigt hat, soll im Folgenden für alle Modelle AR echt größer Null gelten. Das erste, hier beispielhaft sehr kleine Portfolio mit Kunden zeigt, dass auf Basis der o. g. Abschätzung für eine Schlechtenrate (Anteil ausgefallener Kunden/Anträge) von 1 % bis zu einem AR von 0,5 faktisch keine Aussage über die Trennschärfe des Modells möglich ist, da die (zugegeben sehr geringe Anzahl) an Ausfällen in der Praxis keine valide statistisch belastbare Analyse ermöglicht (vgl. Tabelle 2). Allerdings kann für dieses sehr kleine Portfolio für steigende AR und/oder Schlechtenquoten die Hypothese einer von Null verschiedenen Trennschärfe diskutiert werden. n= Accuracy Ratio ,50 0,55 0,60 0,65 Schlechtenrate I u I o I u I o I u I o I u I o 1 % 0,0000 1,0000 0,0324 1,0000 0,1042 1,0000 0,1790 1, % 0,1204 0,8796 0,1840 0,9160 0,2494 0,9506 0,3169 0, % 0,1901 0,8099 0,2511 0,8489 0,3137 0,8863 0,3781 0,9219 Tabelle 2: Portfolio mit Kunden bzw. Anträgen Das zweite Beispiel in Tabelle 3 mit Kunden bzw. Anträgen zeigt, dass gegeben die sehr konservative Abschätzung hier im Beispiel schon ab ARs von 0,5 und geringen Ausfallraten gut die Frage nach der von Null verschiedenen Trennschärfe beantwortet werden kann. 7 Das Konfidenzintervall wird in der Regel auf den Wertebereich [0; 1] beschränkt. 17

18 n= Accuracy Ratio ,50 0,55 0,60 0,65 Schlechtenrate I u I o I u I o I u I o I u I o 1 % 0,2600 0,7400 0,3185 0,7815 0,3783 0,8217 0,4394 0, % 0,3303 0,6697 0,3863 0,7137 0,4432 0,7568 0,5011 0, % 0,3614 0,686 0,4163 0,6837 0,4720 0,7280 0,5284 0,7716 Tabelle 3: Portfolio mit Kunden bzw. Anträgen Das dritte Beispiel in Tabelle 4 kann als typisch für kleine Retail-Portfolien angesehen werden. n= Accuracy Ratio ,50 0,55 0,60 0,65 Schlechtenrate I u I o I u I o I u I o I u I o 1 % 0,3303 0,6697 0,3863 0,7137 0,4432 0,7568 0,5011 0, % 0,3800 0,6200 0,4343 0,6657 0,4891 0,7109 0,5447 0, % 0,4020 0,5980 0,4555 0,6445 0,5095 0,6905 0,5640 0,7360 Tabelle 4: Portfolio mit Kunden bzw. Anträgen Die hier gezeigten Spannbreiten der Konfidenzintervalle mögen die in der Praxis oftmals angeführte Faustformel zum Abschätzen des AR ( AR plus/minus 10 bis 15 Prozentpunkte ) untermauern. Für diese Portfoliogröße liefert die Abschätzung, dass das wahre AR nur mit einer Irrtumswahrscheinlichkeit von fünf Prozent nicht in dem Konfidenzintervall liegt, ein einfaches und handhabbares Vorgehen. Fazit Gütemaße zur Bestimmung der Trennschärfe wie der Accuracy Ratio verdichten die Datenlage und erleichtern die Kommunikation. Allerdings müssen sich die mit der Validierung Beauftragten der (faktischen) Anwendungsbeschränkungen bewusst sein und in der zusammenfassenden Wertung als Teil des Validierungsberichts dem Leser und in management-relevanten Zusammenfassungen deutlich machen, mit welcher Unsicherheit das jeweilige Maß behaftet ist. Gütemaße lassen sich auch auf sehr kleinen Datenbasen bestimmen; Konfidenzintervalle können helfen, Scheingenauigkeiten zu vermeiden. Zeigt eine Scorekarte/ein Rating-Modell in einer Validierung eine geringe Trennschärfe, so muss dies bei dünner Datenlage kein starkes Indiz für ein zeitnahes Adjustieren des Instruments sein. Zeigt sich aber bei engen Konfidenzbändern eine geringe Trennschärfe, so ist im Folgenden übergeordneten Validierungsprozess zu prüfen, ob eine Anpassung des Modells überlegt werden sollte. Ansprechpartner: Dr. Sigurd Prieur (Manager Audit Banking & Insurance) 18

19 Pragmatische Umsetzung der Funktionstrennung bei kleineren Versicherern Verteilung auf min. 2 Vorstandsresorts Solvency II fordert von Versicherern den Aufbau einer angemessenen transparenten Organisationsstruktur mit einer klaren Zuweisung und angemessenen Trennung der Zuständigkeiten (siehe Solvency Rahmenrichtlinie Artikel 41 (1)). In Anlehnung an Artikel 41 der Rahmenrichtlinie fordert Leitlinie 6 des Level 3 Papiers (EIOPA_CP_13/08), dass das Unternehmen dafür Sorge trägt, dass die tatsächliche Leitung des Unternehmens durch mindestens zwei Personen erfolgt. Diese Anforderung gilt auch für kleinere Versicherer, die unter Beachtung der Erleichterungen des Proportionalitätsprinzips (siehe Rahmenrichtlinie Artikel 41 (2)) Funktionen und Entscheidungen so verteilen, dass bis auf Vorstandsebene eine Funktionstrennung vorliegt und nachgewiesen werden kann. Eine Herausforderung bei der tatsächlichen Umsetzung ist die Verteilung der Verantwortlichkeiten der Schlüsselfunktionen (Risikomanagement, Compliance, interne Revision und versicherungsmathematische Funktion) bis auf Vorstandsebene. Beispiele für flankierende Maßnahmen sind Entscheidungen in Gremien als auch Vetorechte und Entscheidungen über ein erweitertes Vorstandsgremium, z. B. Einbeziehung Leiter Risikomanagement oder Leiter Aktuariat in die Entscheidungsfindung. Funktionstrennung gem. MaRisk VA In Deutschland gilt das Prinzip der Funktionstrennung bereits nach Vorgabe der MaRisk (VA), die gemäß Nr die Trennung bis auf Ebene der Geschäftsleitung von unvereinbaren Funktionen fordert. Hierunter wird gem. Erläuterungstext die Trennung risikoaufbauender Bereiche (Kapitalanlage, Vertrieb und passives Rückversicherungsmanagement) von der Risikoüberwachung verstanden. Ausnahmen sind in Anwendung des Proportionalitätsprinzips bei geringer Anzahl von Mitarbeitern möglich, sofern durch die Unternehmen entsprechende flankierende Maßnahmen ergriffen werden. Die BaFin Verlautbarung zu den Allgemeinen Governance Anforderungen weitet diesen Gedanken jedoch noch weiter aus und fordert in Punkt 20, dass Interessenkonflikte zwischen dem Aufbau wesentlicher Risikopositionen einerseits und deren Überwachung und Kontrolle andererseits zu vermeiden sind. Die bereits aus der MaRisk bekannten risikoaufbauenden Bereiche werden erneut genannt. Darüber hinaus fordert Punkt 22 der Verlautbarung, dass die Unternehmen weitere Geschäftsabläufe, mit denen weitere wesentliche Risiken einhergehen, anhand geeigneter Kriterien überprüfen, da diese von den Überwachungsprozessen zu trennen sind. Bei einer Verteilung auf zwei Vorstände lässt sich die risikoaufbauende von der risikoüberwachenden Funktion Abbildung 5: Organigramm Mehrspartenversicherer 19

20 jedoch nur sehr schwer trennen. Der klassische Mehrspartenversicherer betreibt sowohl Leben- als auch Komposit-Geschäft, das jeweils in der Verantwortung eines Vorstandes ist und damit beide Vorstände automatisch risikoaufbauende Funktionen betreuen. Flankierende Maßnahmen und ihre praktische Umsetzung Für das Problem kann die Gründung einer weiteren Gesellschaft die Lösung sein, so dass unter dem Dach der Muttergesellschaft eine eigenständige Leben- und eine eigenständige Kompositgesellschaft fungiert, in deren Verantwortung die zwei Vorstände sich abwechseln. Der Vorstandsvorsitzende betreut in diesem Fall jegliche risikoaufbauenden Funktionen, das weitere Vorstandsmitglied die überwachenden Funktionen. Des Weiteren können auch weitere Maßnahmen, wie die punktuelle Erweiterung des Vorstandes, in einzelnen Situationen zur Lösung des Problems beitragen. So kann z. B. die Leitung Risikomanagement als CRO in ein erweitertes Vorstandsgremium berufen werden und die Rolle der risikoüberwachenden Funktion aktiv ausführen und Entscheidungen herbeirufen. Gleiches gilt für die Leitung Aktuariat sowie Compliance. Abbildung 6: Punktuelle Erweiterung des Vorstandes Ebenso kann die Bündelung von Funktionen zu einem Vorstands-unterstützenden Gremium erfolgen, das mit den Rechten eines vollwertigen Vorstandsmitgliedes ausgestattet ist und risikoüberwachende Aspekte verfolgt. Eine weitere Möglichkeit, die Verantwortung auf einen größeren Personenkreis zu verteilen, sind die Definition und Implementierung von Vetorechten im Führungskreis (Vorstand + Abteilungsleiter) z. B. für die Leitung Rückversicherung oder Kapitalanlagen(-controlling). Diese können bei kritischen Entscheidungen von ihrem Vetorecht Gebrauch machen und somit Gremien für eine dezidierte Betrachtung und Entscheidungsfindung einberufen. Fazit Bei der Ausgestaltung der Funktionstrennung müssen gem. dem Proportionalitätsprinzip insbesondere für Versicherungsunternehmen mit wenig komplexem Risikoprofil praktikable Lösungen zulässig sein, die nicht zu einer Überfrachtung der Leitungsfunktionen führen. Ziel sollte die Vernetzung und die Kommunikation der Führungskräfte zu einer starken und geschlossenen Führungseinheit sein. Die im Artikel genannten Maßnahmen ermöglichen eine gem. den Solvency Anforderungen gültige Aufbauund Ablauforganisation und stellen die Funktionstrennung zwischen aufbauenden und überwachenden Funktionen ausreichend dar. Die so genannten flankierenden Maßnahmen dienen der Optimierung des eigenen Governance-Systems und beeinflussen die Entscheidungen im Unternehmen positiv. Ansprechpartner: Jan-Hendrik Uhlenberg (Manager, Business Unit Lead Solvency & Risk Management) und Thorsten Malzbender (Senior Consultant Solvency & Risk Management) 20