7. Governance des Risikomanagements

Richtlinie 2006/46/EG des Europäischen Parlamentes und des Rates vom 14. Juni 2006 zur Änderung der Richtlinien des Rates 78/660/EWG über den Jahresabschluss von Gesellschaften bestimmter Rechtsformen, 83/349/EWG über den konsolidierten Abschluss, 86/635/EWG über den Jahresabschluss und den konsolidierten Abschluss von Banken und anderen Finanzinstituten und 91/674/EWG über den Jahresabschluss und den konsolidierten Abschluss von Versicherungsunternehmen, Amtsblatt der Europäischen Union L 224/1 vom 16.08.2006.

Englisch: comply or explain.

Vgl. auch die Begriffsdefinitionen der Norm ISO/IEC 38500:2008 – Corporate governance of information technology.

Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz – BilMoG). BGBl. I (2009) 1102.

Siehe Rz. K168–178, Deutscher Rechnungslegungsstandard – Nr. 20 (DRS 20) – Konzernlagebericht (Bundesministerium der Justiz, BAnz AT 04.12.2012 B1).

Der Deutsche Corporate Governance Kodex wurde am 26.02.2002 verabschiedet. Der Kodex besitzt über die Entsprechenserklärung gemäß § 161 AktG eine gesetzliche Grundlage. Die Bekanntgabe der für die Erklärung nach § 161 AktG maßgeblichen Fassung vom 20.08.2002 erfolgte im elektronischen Bundesanzeiger (Bundesministerium der Justiz, eBAnz AT1 2002 B1).

Vgl. Ebenen der wertorientierten Steuerung, Kap. 1, S. 8–10.

Wird der Zyklus der ISO/IEC 38500 in „bewerten‐führen‐überwachen‐steuern“ unterteilt, entspricht er inhaltlich und konzeptionell dem PDCA‐Zyklus des Qualitätsmanagements nach ISO 9001.

Begrifflich und inhaltlich ist ein Risikomanagementsystem nicht mit dem in Art. 44 RRL bzw. in § 27 VAG‐E beschriebenen Risikomanagementsystem zur Identifikation, Bewertung, Steuerung, Überwachung und Berichterstattung von Risiken gleichzusetzen. Vielmehr entsprechen die Vorgaben des Art. 44 RRL bzw. des § 27 VAG‐E konzeptionell und inhaltlich dem ISKS nach Pkt. 7.3.2 MaRisk. Das ISKS ist auch kein Managementsystem für Risiken, sondern ein systematischer Ansatz zur internen Risikosteuerung und ‐überwachung.

Die Vorschriften des § 64b VAG werden durch die Versicherungsvergütungsverordnung (VersVergV) konkretisiert.

Vgl. § 64a Abs. 1 S. 1 u. 3 VAG, § 25 Abs. 1 FKAG; Art. 41 Abs. 1 S. 1–2 RRL; § 24 Abs. 1 VAG‐E. Bei Solvency II sind die Kriterien der Angemessenheit gemäß Art. 41 Abs. 2 RRL zu beachten.

Vgl. § 64a Abs. 7 Nr. 2 VAG, Art. 41 Abs. 1 RRL; § 24 Abs. 1 VAG‐E.

Vgl. § 64a Abs. 1 S. 4 Nr. 3 Lit. c, d VAG, § 64a Abs. 3 S. 1 VAG, § 64a Abs. 7 Nr. 3 Lit. c VAG; Pkt. 7.3.3 Nr. 1 MaRisk; Art. 41 Abs. 1 S. 2 RRL; § 24 Abs. 1 VAG‐E. Ein Kommunikationssystem i. S. d. RRL ist kein Management‐ oder IT‐System. Gemeint sind angemessene Prozesse zur Identifikation, Bewertung, Steuerung, Überwachung und Kommunikation von Dokumenten und Informationen.

Vgl. § 64a Abs. 1 S. 4 Nr. 4 VAG, § 64a Abs. 7 Nr. 4 VAG sowie § 80d Abs. 4 VAG; Pkt. 7.1 Nr. 4 MaRisk, Pkt. 7.5 Nr. 1 MaRisk; Art. 41 Abs. 1 S. 4 RRL; § 24 Abs. 2 VAG‐E.

Vgl. Pkt. 9 MaRisk; Art. 41 Abs. 4 S. 1 RRL; § 24 Abs. 4 VAG‐E.

Vgl. § 7a Abs. 1 S. 1–3 VAG, § 11a Abs. 1 S. 2 VAG; Art. 41 Abs 1 RRL; § 25 Abs. 1 VAG‐E.

Vgl. § 7a Abs. 1 S. 2 VAG; § 25 Abs. 1 S. 3 VAG‐E.

Vgl. § 7a Abs. 1 S. 3 VAG; § 25 Abs. 1 S. 3 VAG‐E.

Vgl. § 64b Abs. 1 VAG; § 3 Abs. 1 VersVergV; § 26 Abs. 1 VAG‐E.

Gemäß Art. 13 Nr. 29 RRL ist der Begriff der Funktion definiert als „eine interne Kapazität innerhalb des Governance‐Systems zur Übernahme praktischer Aufgaben“. Sofern nichts anderes bestimmt ist, können die Unternehmen frei darüber entscheiden, wie diese Funktion in der Praxis unter dem Gesichtspunkt der Proportionalität organisiert wird. Eine „Funktion“ kann dabei nicht nur von einer Person, sondern auch von mehreren wahrgenommen werden.

Vgl. Pkt. 7.2.1 Nr. 3 Lit. c MaRisk; Art. 13 Nr. 29 RRL, Art. 44 Abs. 4 RRL; § 27 Abs. 5 VAG‐E. Allerdings entstehen durch den Einsatz interner Modelle gesetzlich auch Unterschiede (Art. 44 Abs. 5 RRL).

Siehe die implizite Anforderung des § 64a Abs. 1 S. 1 VAG zur Gewährleistung der Einhaltung der zu beachtenden Gesetze, Verordnungen und aufsichtsbehördlichen Anforderungen; vgl. Art. 13 Nr. 29 RRL, Art. 46 Abs. 1 S. 2 RRL; § 29 Abs. 1 VAG‐E. Siehe dazu die Ausführungen von Dreher [Dreh08, Dreh12].

Vgl. § 64a Abs. 1 S. 4 Nr. 4 VAG, Pkt. 7.4 MaRisk; Art. 13 Nr. 29 RRL, Art. 47 RRL; § 30 Abs. 1 VAG‐E.

Vgl. Art. 13 Nr. 29 RRL, Art. 48 RRL; § 31 Abs. 1 VAG‐E.

Vgl. Pkt. 7.4 Nr. 3 MaRisk; Art. 47 Abs. 2 RRL; § 30 Abs. 2 S. 1 VAG‐E.

Schlüsselfunktionen sind im Solvency‐II‐System durch die RRL abschließend geregelt und damit nicht durch nationales Versicherungsaufsichtsrecht erweiterbar. Der Begriff der Schlüsselaufgabe ist im Solvency‐II‐Kontext mit dem der Schlüsselfunktion gleichzusetzen und besitzt keine eigene rechtliche Bedeutung (vgl. hierzu die Ausführungen von Dreher [Dreh12]). Es existieren zahlreiche gesetzliche Anforderungen für spezielle Befugnisse bzw. Aufgaben, die dennoch nicht mit Schlüsselfunktionen gleich gesetzt werden dürfen. Beispiele sind der Geldwäschebeauftragte nach § 80d Abs. 3 VAG, der Schadenregulierungsbeauftragte nach § 7b VAG, der Verantwortliche Aktuar gemäß § 11a, § 12 Abs. 2, 3 VAG, der Datenschutzbeauftragte gemäß § 4 f BDSG, der Schwerbehindertenbeauftragte als Folge der individuellen Ausgestaltung des § 98 SGB IX, oder auch der Ausbilder nach § 28 BBiG für den besondere Anforderungen an die persönliche Zuverlässigkeit und fachliche Eignung gestellt werden (§§ 29, 30 BBiG).

Ein Versicherungsunternehmen kann nicht völlig frei entscheiden, ob es weitere Leitlinien aufstellt oder nicht. Die Notwendigkeit ergibt sich teilweise aus anderen gesetzlichen Regelungen, kann aber auch daraus folgen, dass andernfalls ein ordnungsgemäßer Ablauf in einem bestimmten Bereich nicht sichergestellt werden kann.

Inhaltlich entspricht dies dem aktuellen VAG. Siehe Pkt. 7.2 Abs. 1 MaRisk; Art. 42 Abs. 1 S. 1 RRL; § 24 Abs. 3 VAG‐E.

Siehe Art. 42 Abs. 1 S. 3 RRL; § 24 Abs. 3 VAG‐E.

Vgl. § 28 VAG‐E; Art. 45 RRL. Siehe hierzu ausführlich die Ausführungen in Kap. 6.

Siehe hierzu S. 10.

Analog etwa zur Geschäftsordnung des Vorstands.

Systeme (Managementsysteme) beinhalten – unabhängig von ihrer Bedeutung oder Größe – aufeinander abgestimmte Prozesse zur Identifikation, Bewertung, Steuerung, Überwachung und Berichterstattung, sowie Vorgaben und Verfahren zu deren Umsetzung und Anwendung. Beispielsweise definiert der § 2 Nr. 3 VersVergV das Vergütungssystem als „alle unternehmensinternen Regelungen zur Vergütung sowie deren tatsächliche Umsetzung und Anwendung durch die Unternehmen“.

Gemäß Pkt. 1 Nr. 2 MaRisk hat eine Berücksichtigung der unternehmensindividuellen Risiken, der Art und des Umfangs des Geschäftsbetriebs sowie des gewählten Geschäftsmodells zu erfolgen.

Strukturell unterscheidet sich dieser Ansatz von dem in Art. 44 RRL definierten Risikomanagementsystem dadurch, dass die Risikostrategie und die ihr nachgelagerten Strategien die Geschäftsstrategie ergänzen und nicht dem ISKS zugeschlagen werden. Dies steht im Einklang mit Empfehlungen internationaler Standards zur Grundstruktur von integrierten Managementsystemen wie beispielsweise der Norm ISO 31000.

Vor dem Hintergrund des § 64a VAG lässt sich argumentieren, dass ein Antrag für ein internes Modell nur dann erfolgreich ist, wenn die Anforderungen des § 64a Abs. 1, 7 VAG und die zusätzlichen Anforderungen der Solvency‐II‐Richtlinie zum Governance‐System grundsätzlich erfüllt sind.