5. Organisation und Prozesse

Siehe auch die Ausführungen in Abschn. 3.​1.

Schließlich generieren Versicherungsunternehmen ihre Erträge durch den Betrieb von Versicherungsgeschäften zum Risikoschutz und Vorsorge für Haushalte, Industrie, Gewerbe und öffentliche Einrichtungen.

Die ONR 49000 Pkt. 3.2.24 (ISO 31000 Pkt. 2.10) definiert den Risikomanagementprozess als „systematische Anwendung von Grundsätzen, Verfahren und Tätigkeiten einer Organisation, um über Risiken zu kommunizieren, Informationen auszutauschen, Zusammenhänge zu erstellen, Risiken zu identifizieren, zu analysieren, zu bewerten, zu bewältigen sowie Risiken aufzuzeigen, zu verfolgen und zu überwachen“. Siehe hierzu auch die Unterpunkte zu Pkt. 7.3.2 MaRisk, wonach der Risikokontrollprozess aus Risikoidentifikation, Risikoanalyse und ‐bewertung, Risikosteuerung sowie Risikoüberwachung besteht.

Die ONR 49001 Pkt. 5.3 (ISO 31000 Pkt. 5.3) ordnet das Festlegen von Rahmenbedingungen (Kontextfestlegung) dem Risikomanagementprozess zu. Nach ISO Guide 73, Definition 3.3.1 umfasst die Kontextfestlegung die „Definition von externen und internen Einflussfaktoren für die Risikohandhabung sowie die Festlegung von Geltungsbereich und Risikokriterien für die Risikopolitik“.

Die ONR 49000 Pkt. 3.2.19 (ISO 31000 Pkt. 2.17) definiert die Risikoidentifikation als einen „Prozess, um Risiken zu finden und mit ihren Ursachen und Auswirkungen zu beschreiben“.

Siehe § 64a Abs. 7 Nr. 3 Lit. b (aa) VAG. Risikobezugsgrößen sollten laut den Erläuterungen zu Pkt. 7.3.2.1 Nr. 1 MaRisk so gewählt werden, dass sie die Wirkung auf die Wirtschafts‐, Finanz‐ oder Ertragslage des Unternehmens widerspiegeln.

Siehe Pkt. 7.3.2.1 Nr. 3 MaRisk.

Siehe Pkt. 7.3.2.1 Nr. 2 MaRisk.

Siehe § 64a Abs. 7 Nr. 3 Lit. b (aa) VAG, Pkt. 7.3.2.2 Nr. 1 MaRisk.

Siehe Pkt. 7.3.2.2 Nr. 8 MaRisk.

Siehe Pkt. 7.3.2.2 Nr. 3 MaRisk.

Gemäß Pkt. 7.3.2.2 Nr. 2 MaRisk sind grundsätzlich geeignete Zufallsvariable und die entsprechenden Wahrscheinlichkeitsverteilungen zu ermitteln. Hierzu ist die Verteilung der Zufallsvariablen aus Vergangenheitsdaten zu bestimmen.

Siehe Pkt. 7.3.2.2 Nr. 3 MaRisk sowie Pkt. 7.3.2.2 Nr. 7 MaRisk.

Siehe § 64a Abs. 7 Nr. 3 Lit. b (aa) VAG, Pkt 7.3.2.2 Nr. 9 MaRisk.

Die MaRisk fassen die Risikosteuerung weiter. Nach Pkt. 7.3.2.3 Nr. 1 MaRisk beinhaltet die Risikosteuerung auch die hierzu erforderlichen Entwicklungs‐ und Umsetzungsprozesse von Strategien und Konzepten. Im hier vorgestellten Risikomanagementprozess sind diese Prozesse Teil des strategischen Risikomanagements.

Anstelle des Begriffs „Risikosteuerung“ verwendet die ONR 49000 den Begriff „Risikobewältigung“, welcher in Pkt. 3.2.13 definiert ist als die „Auswahl und Umsetzung von Maßnahmen, um ein Risiko zu verändern“ (vgl. ISO 31000 Pkt. 2.27). Die in der Norm vorgeschlagenen möglichen Maßnahmen zur Risikobewältigung sind: 1. Risikovermeidung (d. h. durch Maßnahmen eine Risikosituation nicht einzugehen oder sich ihr zu entziehen); 2. Risikoverminderung (d. h. eine günstige Beeinflussung von Eintrittswahrscheinlichkeit und/oder Auswirkung), 3. Risikodiversifikation (d. h. durch eine Kombination von Tätigkeiten mit unterschiedlichen Wahrscheinlichkeitsverteilungen potenzielle Verluste mit potenziellen Gewinnen ausgleichen); 4. Risikofinanzierung (z. B. durch Versicherung oder Einsatz interner Finanzinstrumente); 5. Risikoteilung (d. h. eine günstige Beeinflussung eines bestimmten Risikos zwischen Parteien, z. B. durch Vertrag).

Siehe § 64a Abs. 7 Nr. 3 Lit. b (cc) VAG, Pkt. 7.3.2.4 Nr. 1 MaRisk.

Gemäß den Erläuterungen zu Pkt. 7.3.2.3 Nr. 1 MaRisk stellen Managementregeln lediglich eine Analysemöglichkeit dar und sollen Handlungsalternativen aufzeigen. Sie ersetzen nicht die Entscheidung der Geschäftsleitung.

Hierzu bieten sich Maßnahmen an wie z. B. eine restriktive Zeichnungspolitik, Leistungsausschlüsse in den Allgemeinen Versicherungsbedingungen, Vereinbarungen in den Besonderen Versicherungsbedingungen oder der Ausschluss riskanter Kapitalanlagen.

Mögliche Maßnahmen zur Risikoreduktion umfassen beispielsweise: Limitsysteme zur Begrenzung von Kumulschäden, Kontrollen bei Leistungsprüfung und Schadenregulierung, Anreize durch Vereinbarungen zu Selbstbehalten, vertraglich vereinbarte Kündigungsrechte, Aktiv‐Passiv‐Management, Vertriebsmaßnahmen zum Beeinflussen der Bestandszusammensetzung, Diversifikation über Produkte und Sparten, sichere Auslegung von IT‐Systemen, 4‐Augen‐Prinzip usw.

Maßnahmen zum Risikotransfer umfassen beispielsweise: Vereinbarungen zu Selbstbehalten und Haftungsobergrenzen, Mitversicherungen, der Zusammenschluss mehrerer Versicherungsunternehmen zum gemeinsamen Tragen von Risiken (Versicherungspools), Rückversicherungen, Nutzung von Finanzderivaten, Transfer finanzieller Risiken in den Versicherungsmarkt, Transfer versicherungstechnischer Risiken in den Finanzmarkt usw.

Siehe § 64a Abs. 7 Nr. 3 Lit. b (bb) VAG, Pkt. 7.3.2.4 Nr. 1 MaRisk.

Die MaRisk folgen dieser Sichtweise, denn die Aufbauorganisation ist auf die Unterstützung der wichtigsten Strategieziele des Unternehmens auszurichten (Pkt. 7.2.1 Nr. 1 S. 1 MaRisk). Außerdem sind gemäß Pkt. 7.2.2 Nr. 1 MaRisk alle mit wesentlichen Risiken behafteten Geschäftsabläufe so zu steuern, dass sie die Geschäftsziele unterstützen und Abweichungen hiervon gering halten.

Gesetzlich besteht die Anforderung, dass der organisatorische Rahmen in angemessener Zeit an die Änderungen des Umfelds angepasst werden muss, wofür Leitlinien zur Organisationsentwicklung aufzustellen sind (§ 64a Abs. 7 Nr. 2 VAG, Pkt. 7.2.2.3 Nr. 1 MaRisk).

Gemäß § 64a Abs. 3 VAG sind die aufbau‐ und ablauforganisatorischen Regelungen nachvollziehbar zu dokumentieren und sechs Jahre aufzubewahren. Die MaRisk fordern weiter, dass Aufgaben und Verantwortlichkeiten innerhalb der Aufbauorganisation klar zu definieren und aufeinander abzustimmen sind (Pkt. 7.2.1 Nr. 3 S. 1 MaRisk). Ebenso ist die Ablauforganisation klar zu definieren. Dabei sind für jeden mit Risiken behafteten Geschäftsablauf einschließlich der Übergabe von Daten und Ergebnissen entsprechende Verantwortlichkeiten zu definieren (Pkt. 7.2.2 Nr. 1 S. 3,4 MaRisk).

Gemäß Pkt. 7.2.2.2 Nr. 2 MaRisk ist „die Angemessenheit der den Geschäftsbereichen zur Verfügung gestellten Mittel […] zu bewerten und angemessen zu dokumentieren“. Als zur Verfügung gestellte Mittel kommen u. a. Budgets, qualifiziertes Personal und die technische Ausstattung in Betracht.

Gemäß Pkt. 10 Nr. 1 S. 1 MaRisk müssen den Entscheidungsträgern alle für die Funktionsfähigkeit des Risikomanagements wesentlichen Informationen exakt und vollständig zur Verfügung stehen.

Gemäß Art. 41 Abs. 1 S. 2 RRL umfasst ein Governance‐System zumindest eine angemessene transparente Organisationsstruktur mit einer klaren Zuweisung und angemessenen Trennung der Zuständigkeiten und ein wirksames System zur Gewährleistung der Übermittlung von Informationen.

Gemäß Pkt. 7.3.3 Nr. 1 MaRisk versteht die Aufsicht unter Risikokultur den Umgang mit den unternehmensindividuellen Risiken. Dabei ist es entscheidend, dass die Risikokultur von der obersten Ebene her nach unten systematisch vorgelebt wird. Eine gelebte Risikokultur gewährleistet eine schnelle Anpassung an veränderte Rahmenbedingungen und verhindert bzw. begrenzt so Risiken schon vor ihrer Entstehung.

Die ONR 49000 Pkt. 3.2.22 definiert Risikokultur als „Denken, Handeln und Verhalten einer Organisation nach den Regeln und Grundsätzen des Risikomanagements“.

Nach § 76 Abs. 1 AktG hat der Vorstand die Gesellschaft eigenverantwortlich zu leiten, und nach § 64a Abs. 1 S. 2 VAG obliegt die ordnungsgemäße Geschäftsorganisation der Geschäftsleitung.

Gemäß § 64a Abs. 1 S. 3 VAG setzt eine ordnungsgemäße Geschäftsorganisation neben einer dem Geschäftsbetrieb angemessenen ordnungsgemäßen Verwaltung und Buchhaltung insbesondere ein angemessnes Risikomanagement voraus.

Vgl. Pkt. 7.2.2.3 Nr. 1 MaRisk.

Gemäß den Erläuterungen zu Pkt. 7.3.3 Nr. 1 MaRisk ist die Risikokultur entscheidend von der Unternehmenskultur geprägt.

Vgl. Pkt. 7.2.1 Nr. 1 MaRisk sowie Pkt. 7.2.1 Nr. 3 MaRisk.

Siehe Pkt. 10 Nr. 1 S. 1 MaRisk sowie Art. 41 Abs. 1 S. 2 RRL.

Die MaRisk definieren hinsichtlich der Festlegung von Verantwortlichkeiten Vorgaben für die vier Funktionsträger Geschäftsleitung, unabhängige Risikocontrollingfunktion, operative Geschäftsbereiche und interne Revision (siehe Pkt. 7.2.1 Nr. 3 MaRisk).

Unter Solvency II umfasst dies die vier Schlüsselfunktionen Risikomanagementfunktion (Art. 44 Abs. 4 RRL), Compliance‐Funktion (Art. 46 Abs. 1 RRL), versicherungsmathematische Funktion (Art. 48 RRL) und interne Revision (Art. 47 RRL), die Beschwerdemanagementfunktion sowie die Funktionsträger Geschäftsleitung (vgl. Art 42 RRL) und operative Geschäftsbereiche (vgl. Art. 41 Abs. 3 S. 4 RRL oder Art. 123 S. 1 RRL).

Dies beinhaltet den Geldwäschebeauftragten nach § 80d Abs. 3 VAG, den Schadenregulierungsbeauftragten nach § 7b VAG, den Verantwortlichen Aktuar gemäß § 11a, § 12 Abs. 2, 3 VAG, den Datenschutzbeauftragten nach § 4 f BDSG, den Schwerbehindertenbeauftragten in Folge des § 98 SGB IX, den Ausbildungsverantwortlichen nach § 28 BBiG usw.

Dies umfasst Organisationseinheiten zu Notfallplanung, IT‐Sicherheit, Qualitätsmanagement usw.

Für jeden mit Risiken behafteten Geschäftsablauf einschließlich der Übergabe von Daten und Ergebnissen sind entsprechende Verantwortlichkeiten zu definieren (siehe Pkt. 7.2.2 Nr. 1 S. 3,4 MaRisk).

Siehe § 64a Abs. 4 VAG sowie Pkt. 8 MaRisk. Gemäß Erwägungsgrund 31 RRL kann ein Unternehmen bei der Festlegung einer Funktion frei darüber entscheiden, wie diese Funktion in der Praxis organisiert wird. Es kann die Funktion mit eigenem Personal besetzen, sich auf Beratung durch externe Fachleute stützen oder innerhalb gesetzlicher Grenzen an Fachleute outsourcen. Eine Ausgliederung der Leitungsaufgaben der Geschäftsführung ist allerdings wegen § 64a Abs. 1 S. 2 VAG bzw. § 76 Abs. 1 AktG nicht ausgliederungsfähig (siehe auch die Erläuterungen zu Pkt. 8 Nr. 1 MaRisk).

Tensororganisationen sind Verallgemeinerungen von Matrixorganisationen, die sich dadurch ergeben, dass bestimmte Organisationseinheiten in verschiedenen Matrixorganisationen verschiedene Aufgaben wahrnehmen (mit geänderten Rollen und Verantwortlichkeiten). Dies ist vor allem für kleine und weniger komplexe Unternehmen von Bedeutung. Erwägungsgrund 32 RRL weist explizit darauf hin, dass es mit Ausnahme der internen Revisionsfunktion für diese Unternehmen möglich sein soll, mehr als eine Funktion von einer Person oder Organisationseinheit auszuführen.

Beispielsweise die Weiterentwicklung eines vollständigen oder partiellen internen Modells oder Modelländerungen (siehe Art. 44 Abs. 5 RRL, Art. 115 RRL) und Verbesserungen des Governance‐Systems.

Die außer Kraft gesetzte Norm DIN ISO 8402:1994 „Qualitätsmanagement und Qualitätssicherung – Begriffe“ übersetzte „Total Quality Management“ mit „umfassendes Qualitätsmanagement“ und definierte es als eine „auf der Mitwirkung aller ihrer Mitglieder gestützte Managementmethode einer Organisation, die Qualität in den Mittelpunkt stellt und durch Zufriedenstellen der Kunden auf langfristigen Geschäftserfolg sowie Nutzen für die Mitglieder der Organisation und für die Gesellschaft zielt“.

Die Grundsätze sind: 1. Ausgewogene Ergebnisse erzielen, denn durch ausgewogene Ergebnisse lassen sich kurz‐ und langfristige Bedürfnisse der Anspruchsgruppen befriedigen oder übertreffen; 2. Kundennutzen mehren, indem die Bedürfnisse und Erwartungen der Kunden verstanden und antizipiert werden; 3. Mit Vision, Inspiration und Integrität führen, sodass die Führungskräfte die Zukunft gestalten und verwirklichen sowie vorbildlich für Werte und Ethik einstehen; 4. Mittels Prozessen lenken, sodass die Steuerung des Unternehmens mittels strukturierter und strategisch ausgerichteter Prozesse erfolgt und die Entscheidungsfindung faktenbasiert ist; 5. Durch Menschen erfolgreich sein, da sich mit einer Kultur unternehmerischer und sozialer Verantwortung sowohl persönliche als auch Ziele der Organisation in ausgewogenem Umfang erreichen lassen; 6. Innovation und Kreativität fördern, denn durch das Nutzen der Kreativität der Anspruchsgruppen können Wertschöpfung und Leistung im Rahmen einer kontinuierlichen und systematischen Erneuerung gesteigert werden; 7. Partnerschaften aufbauen, denn vertrauensvolle Beziehungen zu unterschiedlichen Partnern helfen dabei, wechselseitigen Erfolg zu erzielen; 8. Verantwortung für eine nachhaltige Zukunft übernehmen, indem eine ethische Haltung, klare Werte und höchste Verhaltensstandards zu integralen Bestandteilen der Organisationskultur werden.

1. Sensibilisierung; 2. Realisierung; 3. Stabilisierung; 4. Excellence.

Siehe auch die Ausführungen zu Kanban in der IT in Abschn. 3.​4, S. 49.

Entsprechend referenziert COBIT gezielt auf ITIL und andere gängige Standards (vgl. hierzu auch [vBVe06]). Das ist beispielsweise an der Positionierung der Service‐Management‐Prozesse innerhalb von Prozessdomänen oder beim Lebenszyklusansatz zu erkennen.

Der Standard ISO/IEC 38500:2008 „Corporate governance in information technology“ entstand auf Basis des Standards AS8015:2005 „Australian Standard for Corporate Governance of Information and Communication Technology (ICT)“. Dieses Referenzmodell richtet sich an die obere Führungsebene und Entscheidungsträger und zielt auf eine effektive, effiziente und rechtskonforme Nutzung der IT ab. Zentrale Elemente sind die systematische Bewertung des IT‐Einsatzes sowie die ständige Überwachung der Planumsetzung.

Diese Ansätze werden bereits seit über einem Jahrzehnt in der Literatur diskutiert und in der Praxis eingesetzt (siehe hierzu die Ausführungen in Abschn. 6.​3 sowie z. B. [KaNo97; Klin01; Wefe00]).

In COBIT 5 ersetzen die Governance‐ und Management‐Praktiken die in früheren Versionen definierten „Control Objectives“. Mit diesem Begriff wurden wesentliche Bereiche bezeichnet, die im Prozess berücksichtigt sein müssen, um über das Prozessziel sowie das IT‐Ziel die Unternehmensziele zu erreichen (siehe z. B. [Gaul10]). Die „Control Practices“ sind in COBIT 5 als Aktivitäten der Management‐Praktiken abgebildet.

Die Komponenten des internen Kontrollsystems nach dem COSO‐IC‐Modell sind Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung.

Siehe Section 404 SOX.

Vgl. Pkt. 5 (Fußnote) sowie Pkt. 87 PACOB Standard No. 5.

COSO Enterprise Risk Management – Integrated Framework.

Die Norm ISO 31000 führt an, dass Risikomanagement grundsätzlich: Werte schafft und schützt; ein integraler Bestandteil aller organisatorischen Abläufe ist; Bestandteil der Entscheidungsfindung ist; Unsicherheiten explizit adressiert; systematisch, strukturiert und zeitnah erfolgt; auf den besten verfügbaren Informationen basiert; unternehmensindividuell ausgestaltet ist; menschliche und kulturelle Faktoren berücksichtigt; transparent und umfassend ist; dynamisch und iterativ ist und auf Veränderungen reagiert; die kontinuierliche Verbesserung im Unternehmen erleichtert.

Siehe Abschn. 4.​2 ISO 31000 (Mandat und Verpflichtung). Diese Forderung deckt sich mit § 64a Abs. 7 VAG und Pkt. 6 Nr. 1 MaRisk.