Deep Dive: Mindestanforderungen an die Geschäftsorganisation von Pensionskassen und -fonds (MaGo EbAV)

Der veröffentlichte Entwurf ist für alle Einrichtungen der betrieblichen Altersversorgung (Pensionskassen und Pensionsfonds), die der Aufsicht der BaFin unterliegen, von Relevanz.

Die in Anlehnung an Solvency II von der EU in 2016 veröffentlichte Richtlinie (EU) 2016/2341 über die Tätigkeit und die Beaufsichtigung von Einrichtungen der betrieblichen Altersversorgung (EbAV), die sog. „EbAV-II-Richtlinie“, wurde im Januar 2019 in nationales Recht überführt und ist seitdem gültig. Die EbAV-II-Richtlinie löst die EbAV-Richtlinie (Richtlinie 2003/41) ab und reformiert die Beaufsichtigung von Pensionskassen und -fonds grundlegend (siehe Blog-Beitrag vom 18. Januar 2019). Unter anderem beinhaltet die Richtlinie verschiedenste Anforderungen an die Geschäftsorganisation von EbAVs. Diese werden nun durch ein Rundschreiben der BaFin konkretisiert.

Die Umsetzung der EbAV-II-Richtlinie in das deutsche Versicherungsaufsichtsgesetzes (VAG) führt insbesondere zu Änderungen in den folgenden Bereichen:

  • Implementierung eines angemessenen Governance-Systems
  • Durchführung einer eigenen Risikobeurteilung (ERB)
  • Erweiterung von Informationspflichten gegenüber den Versorgungsanwärtern und –empfängern

Hinsichtlich der Implementierung eines angemessenen Governance-Systems stellte die BaFin am 11. August 2020 einen Entwurf des Rundschreiben „Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von Einrichtungen der betrieblichen Altersversorgung“ (kurz: MaGo (EbAV)) zur Konsultation (siehe Blog-Beitrag vom 12. August 2020). Bis zum 27. September 2020 können hierzu Stellungnahmen eingereicht werden. Der veröffentlichte Entwurf ist für alle Einrichtungen der betrieblichen Altersversorgung (Pensionskassen und Pensionsfonds), die der Aufsicht der BaFin unterliegen, von Relevanz.

MaGo (EbAV)

EbAV unterliegen nicht den Solvency II-Anforderungen und sind daher von der Anwendung der im Jahr 2017 veröffentlichten MaGo (Rundschreiben 2/2017 (VA)) ausgeschlossen. Ziel des zur Konsultation gestellten Entwurf ist es daher, die für die Geschäftsorganisation der EbAV relevanten Vorschriften des VAG verbindlich auszulegen und deren konsistente Anwendung zu gewährleisten. Dabei sind die Anforderungen der MaGo für EbAV zu großen Teilen identisch zu denen aus der MaGo für Versicherungsunternehmen.

In den Mindestanforderungen geht die BaFin auf alle wesentlichen Elemente einer angemessenen Geschäftsorganisation ein, wobei zunächst einleitend das Proportionalitätsprinzip sowie die Gesamtverantwortung der Geschäftsleitung, wesentliche Risiken und die Risikokultur hervorgehoben werden.

Abbildung 1: Elemente der BaFin Konsultation bezüglich der MaGo (EbaV)

Folgende Anforderungen an die Geschäftsorganisation von EbAV konkretisiert das Rundschreiben der BaFin:

Geschäftsleitung & weitere Risikoaspekte

Die Verantwortung der Geschäftsleitung wird definiert und dabei herausgestellt, dass in den überwiegenden Fällen die gesamte Geschäftsleitung verantwortlich ist und dies nicht auf einzelne Mitglieder delegiert werden kann. Die gesamte Geschäftsleitung ist auch dafür verantwortlich, dass die EbAV über ein ihrem Profil angemessenes und wirksames Risikomanagement- und internes Kontrollsystem verfügt.

Darüber hinaus beschließt die gesamte Geschäftsleitung zur Bestimmung der entsprechenden wesentlichen Risiken anhand geeigneter und nachvollziehbarer Kriterien dem Profil angemessene unternehmensindividuelle Wesentlichkeitsgrenzen, da sich einzelne Anforderungen lediglich auf die wesentlichen Risiken beziehen. Darüber hinaus fördert sie die Risikokultur. Dabei kommt ihr eine Vorbildfunktion zu („Tone at the Top“). Sie sorgt dafür, dass die Risikokultur innerhalb der EbAV kommuniziert, beim Aufbau von Risiken beachtet und mit dem Risikomanagement und den internen Kontrollen verknüpft wird.

Geschäftsorganisation

Die Geschäftsleitung muss die Angemessenheit und Wirksamkeit der Geschäftsorganisation regelmäßig (mind. alle 3 Jahre) beurteilen. Dafür können Berichte und Ergebnisse der Schlüsselfunktionen meinungsbildend hinzugezogen werden. Dennoch ist der regelmäßig zu erfolgende Bewertungsprozess übergeordnet zu sehen und geht für gewöhnlich über den Umfang der Prüfungen und Einschätzungen durch die Schlüsselfunktionen hinaus. Bestandteile zur Beurteilung sind dabei die Aufbau- und Ablauforganisation mit klaren Verantwortlichkeiten und einer entsprechenden Dokumentation, Informationsaustausch zwischen Geschäftsleitung und Aufsichtsrat mit entsprechender Dokumentation, interne Überprüfung der Geschäftsorganisation, schriftliche Leitlinien zu Aufgaben und Pflichten der Organisationseinheiten sowie Sicherheit von automatisierten Geschäftsabläufen. Die schriftlichen Leitlinien betreffen Leitlinien zum Risikomanagement, zum internen Kontrollsystem, zur internen Revision und, soweit relevant, zur Ausgliederung von Funktionen und Tätigkeiten.

Schlüsselfunktionen

EbAV haben für die drei Schlüsselfunktionen versicherungsmathematische Funktion, interne Revision und unabhängige Risikocontrollingfunktion (URCF) der Geschäftsleitung nachgeordneten Personen zu bestimmen, die dafür intern verantwortlich sind. Dabei sind die Anforderungen ähnlich derer, die Versicherungsunternehmen unterliegen. Vor allem für die versicherungsmathematische Funktion werden umfangreiche Angaben gemacht. Die Schlüsselfunktionen werden gegeneinander abgegrenzt und der jeweilige Tätigkeitsbereich mit den sich daraus ergebenden Aufgaben und Pflichten definiert. Die Compliance Funktion zählt im Gegensatz zu Versicherungsunternehmen nicht zu den erforderlichen Schlüsselfunktionen.

Risikomanagementsystem

Das Risikomanagementsystem besteht aus mehr als nur den Schlüsselfunktionen im Einzelnen. Hierunter fallen auch übergeordnete Themen wie entsprechende Leitlinien, operationelles Risiko, Rückversicherung, aber auch der Risikomanagementprozess mit u.a. dem Berichtswesen bildet einen wichtigen Baustein davon. Die Geschäftsführung trägt zudem mit der Entwicklung einer gemeinsamen Risikokultur eine besondere, übergeordnete Verantwortung. Die Leitlinien des Risikomanagementsystems müssen dabei mindestens die folgenden Themen erfassen:

  • wesentlichen Risiken (falls diese Festlegungen nicht in der Risikostrategie erfolgen),
  • Risikotoleranzschwellen (mind. für die wesentlichen Risiken),
  • Aufgaben, Stellung und Befugnisse der URCF,
  • Aufgaben, Stellung und Befugnisse weiterer Schlüsselfunktionen (soweit sie Aufgaben innerhalb des Risikomanagementsystems wahrnehmen),
  • Zeichnung von Versicherungsrisiken und die Bildung von Rückstellungen,
  • Aktiv-Passiv-Management,
  • Kapitalanlagen (insbesondere Derivate und Instrumente von vergleichbarer Komplexität),
  • Steuerung des Liquiditäts- und des Konzentrationsrisikos,
  • Steuerung operationeller Risiken,
  • Rückversicherung und andere Risikominderungstechniken,
  • ökologische und soziale Risiken (sowie die Unternehmensführung betreffende Risiken, soweit diese Risiken mit dem Anlageportfolio und dessen Verwaltung in Verbindung stehen) und
  • Risiken, die die Versorgungsanwärter und Versorgungsempfänger gemäß den Bedingungen eines Altersversorgungssystems tragen (aus der Sicht der Versorgungsanwärter und Versorgungsempfänger).

Internes Kontrollsystem (IKS)

Im IKS werden die internen Kontrollen beschrieben und die dafür benötigten Informationen. Hier liegt ein wesentliches Verbindungsstück über alle Elemente der Geschäftsorganisation hinweg, denn die Gesellschaften müssen durch ein entsprechendes Informations- und Kontrollsystem die Zurverfügungstellung der für die Mitarbeiter relevanten Informationen sicherstellen und die relevanten Kontrollen fördern. Das IKS kann auch ausgegliederte Bereiche berücksichtigen.

Ausgliederung

Bezugnehmend auf das VAG wird in den Mindestanforderungen der Begriff der Ausgliederung aus Versicherungssicht definiert und gegenüber sonstigen Dienstleistungen abgegrenzt. Entscheidend sind in diesem Zusammenhang die Art der Ausgliederung, die dazugehörige Risikoanalyse, die originär ausgelagerte Tätigkeit sowie die Kontrolle der Ausgliederung durch einen Ausgliederungsbeauftragten. Hinsichtlich Ausgliederungsverträgen werden die Anforderungen der MaGo von Versicherungsunternehmen analog für EbAV angewandt.

Notfallmanagement

Das Notfallmanagement erhöht die Widerstandsfähigkeit von Bereichen und Prozessen in der EbAV, um in möglichen Krisensituationen die Verfügbarkeit wesentlicher Daten und Funktionen sowie die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren zu gewährleisten. Verantwortlich für das operative Notfallmanagement ist die Geschäftsleitung. Themenübergreifend wird die Bedeutung der angemessenen Dokumentation durch Leitlinien sowie die damit einhergehende Kommunikation verdeutlicht.

Ausblick

Auch wenn die Konsultation zurzeit andauert, ist davon auszugehen, dass wesentlichen Anforderungen des vorliegenden Entwurfs der MaGo für EbAVs auch in die finalen Fassung Eingang finden werden. Die umfassenden Anforderungen an die Geschäftsorganisation erfordern eine strukturierte Auseinandersetzung des jeweiligen Ist-Zustandes mit den nun durch die MaGo für EbAV konsultierten Regelungen hinsichtlich des Governance-Systems, um so eventuelle Handlungsfelder zeitig zu identifizieren und deren Behebung auf dem Weg zur MaGo-Compliance sicherzustellen.

Für Versicherungsunternehmen unter Solvency II gelten bereits vergleichbare Anforderungen. Die Erfahrung lehrt, dass eine frühzeitige Vorbereitung notwendig ist, um den neuen und umfangreichen Anforderungen zeitlich und inhaltlich gerecht zu werden.

Zu weiteren PwC Blogs

Zum Anfang